透過 RADIUS 的 VLAN Assignment 設定動態 VLAN

Knowledgebase
Configuration Guide
Authentication
Vlan
04-23-2023

透過 RADIUS 的 VLAN Assignment 功能,Omada SDN 方案可讓用戶端透過不同的認證帳號分配對應的 VLAN。使用這種方式,用戶端將從不同 VLAN 取得不同 IP 位址,在無線網路中您不用建立多個SSID綁定不同VLAN;在有線網路中不必將交換器連接埠綁定特定 VLAN。

若要達到上述功能,您將需要 Omada SDN 控制器、EAP 進行無線分配、JetStream 交換器進行有線分配以及外部 RADIUS server。在此文章中,我們將分享下圖網路拓樸的設定手冊。

 

 

步驟 1. 設定 RADIUS server。

這裡我們在 Linux 上執行 FreeRADIUS® server,如需詳細安裝或設定資訊,請參考他們的官網: https://freeradius.org/

首先,編輯“clients.conf”檔,將用戶端 IP 位址設為“192.168.0.0/24”且密碼為“tplink”。

接著,編輯“users” 檔,分別建立兩個帳號“test10(VLAN10)”和“test20(VLAN20)。

您也可以編輯“eap.conf”將 EAP 類型改為 WPA-Enterprise。設定完之後,執行 RADIUS server 以驗證連線請求。

 

步驟 2. 建立 RADIUS 設定檔。

前往驗證 --- RADIUS 設定檔,建立新的設定檔綁定 RADIUS server,並勾選 “Enable VLAN Assignment for Wireless Network” 將 VLAN 分配給無線裝置。

 

步驟 3. 為 VLAN assignments 建立更多 VLAN。

假設所有 Omada 設備都已被控制器納管,前往設定 --- 有線網路 --- LAN,建立兩個分別為 VLAN10 和 VLAN20 的介面。

 

步驟 4. 為無線網路設定 VLAN assignment。

前往設定 – 無線網路,建立加密為 WPA-Enterprise 的新 SSID。關於 WPA-Personal 和 WPA-Enterprise 之間的差異,請參考 FAQ500

當您的裝置連接 SSID 時,您將被要求選擇 WPA-Enterprise 連線類型,並輸入帳號使用者名稱和密碼。成功透過帳號 “test10” 驗證後,用戶端將從 VLAN10 取得 IP 位址;當使用帳號 “test20” 驗證後,將從 VLAN20 取得 IP 位址。

 

步驟 5. 為有線網路設定 VLAN assignment。

前往驗證 --- 802.1X 並啟用功能,將驗證類型選為 “Port Based”,啟用 “VLAN Assignment” 並依需求勾選要驗證的連接埠。

請勿點擊連接埠兩次為它們啟用 MAB。

 

接著前往有線網路 --- LAN --- 設定檔,建立新的連接埠設定檔,將 VLAN10 和 VLAN20 新增至 untagged 網路中,並確認 802.1X Control 模式為 Auto。

 

接著前往設備,點擊您的交換器,前往連接埠,檢查驗證埠並批次編輯將連接埠設定檔修改為新增的連接埠。

 

若使用 802.1X 驗證,您需要執行 TP-Link 802.1X Client Software (點擊此處下載)進行驗證。請參考FAQ787 和步驟 3.

 

Please Rate this Document

Related Documents