Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

自动客户端 VLAN 分配

您可以设置 WLAN,以便根据用户输入的用户名/密码自动连接到给定的 VLAN。为此,您可以在 Mist 门户中结合 RADIUS 服务器配置动态 VLAN。对于未知客户端,您可以将其发送到访客网络。RADIUS 服务器应已连接到您的交换机。同样,您的接入点 (AP) 应连接到交换机,并配置正确的 VLAN。

动态 VLAN 支持以下 VLAN 类型:airespace-interface-nametunnel-private-group-id。

RADIUS 设置

尽管具体的 RADIUS 端配置因提供商而异,但总的来说,其思路是配置一个共享密钥,用于对客户端流量进行加密和签名, 允许 来自客户端 IP 地址的入站流量,并有一个用户列表来标识要分段的 WLAN 客户端及其关联的 VLAN ID。

以 FreeRADIUS 服务器为例,您将编辑以下文件: clients.confusers.

clients.conf中配置客户端请求的网络和密钥,如下所示:

使用 WLAN 用户列表(包括其用户名、密码和 VLAN 关联)配置 /etc/freeradius/user 文件,如下所示:

如果您使用的是 FreeRADIUS 服务器,并且它没有在 Access-Accept 请求中返回隧道属性,和/或没有为用户分配正确的 IP 地址(来自 VLAN),那么您可能需要在 /etc/freeradius/mods-available/eap.conf 文件中添加一行:

use_tunneled_reply = yes

WLAN 设置

图 1:动态 VLAN 可用于 WPA3 和 WPA2 安全类型 Dynamic VLAN is available with WPA3 and WPA2 Security Types

如前所述,您可以对 WLAN 进行设置,以便在用户登录时自动连接到选定的 VLAN。在Mist门户中,这称为动态 VLAN,您可以按如下方式启用该功能:

  1. 在Juniper Mist门户中,单击“无线>组织 |WLAN 模板,在 WLAN 模板页面上,单击添加 WLAN(或从列表中选择要使用的 WLAN)。
  2. 为 SSID 命名(或从模板的 WLAN 部分中选择)。通常情况下,SSID 名称与 WLAN 的名称相同,因此易于查找和记忆。
  3. 在 WLAN 窗口的“安全”面板下,选择“WPA3”或“WPA2”作为“安全类型”和“企业 (802.1X)”。此作还会解锁 VLAN 部分中的动态选项。
  4. “身份验证服务器”面板中,选择“RADIUS”
    • 单击 “添加服务器 ”,然后指定 RADIUS 服务器的 IP 地址。

    • 添加 RADIUS 服务器上已配置的共享密钥。
    • 完成后,单击复选标记图标以发布更改(完成所有步骤后,您仍需要单击右上角的 “保存 ”)。

  5. VLAN 面板中,选择“动态”,然后根据需要指定以下内容:
    • 静态 VLAN ID — 您可以指定静态 VLAN 或 VLAN 池 ID(需要 0.14.x 或更高版本的接入点固件)。或者,您可以指定一个变量或同时使用 VLAN ID 和变量。用逗号分隔多个值,不要有空格。

    • VLAN 类型 支持 Airespace-Interface-Name 和 Tunnel-Private-Group-ID RADIUS 属性。请注意,VLAN 类型基于每个 WLAN 工作。换句话说,您不能在同一个 SSID 上使用两种不同的类型。

      • VLAN ID—(也称为标准)这是隧道专用组 ID。指定在 RADIUS 服务器上的 用户 文件中配置的 VLAN ID。如果在同一行上输入多个 VLAN ID 和/或范围,请用逗号分隔(CSV 支持仅适用于 标准隧道专用组 ID )。

      • Named— 这是 airespace-interface-name。指定 在用户 文件中配置的接口名称,并在旁边指定要使用的相应 VLAN ID。

  6. 根据需要填写其余配置。
  7. 完成后,单击屏幕顶部的“保存”。