Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Automatische Client-VLAN-Zuweisungen

Sie können das WLAN so einrichten, dass Benutzer entsprechend dem von ihnen eingegebenen Benutzernamen und Passwort automatisch mit einem bestimmten VLAN verbunden werden. Konfigurieren Sie dazu dynamische VLANs im Mist-Portal in Verbindung mit einem RADIUS-Server. Unbekannte Clients können Sie an das Gastnetzwerk senden. Der RADIUS-Server sollte bereits mit Ihrem Switch verbunden sein. Ebenso sollten Ihre Access Points (APs) mit den richtigen VLANs mit dem Switch verbunden sein.

Die folgenden VLAN-Typen werden für dynamische VLANs unterstützt: Airespace-Interface-Name und Tunnel-Private-Group-ID.

RADIUS-Einrichtung

Obwohl die spezifische RADIUS-seitige Konfiguration je nach Anbieter variiert, besteht die Idee im Allgemeinen darin, einen gemeinsamen geheimen Schlüssel für die Verschlüsselung und Signatur des Clientdatenverkehrs zu konfigurieren, eingehenden Datenverkehr von den IP-Adressen der Clients zuzulassen und eine Benutzerliste zu erstellen, die die zu segmentierenden WLAN-Clients und die zugehörigen VLAN-IDs identifiziert.

Wenn Sie den FreeRADIUS-Server als Beispiel verwenden, bearbeiten Sie die folgenden Dateien: clients.conf und users.

Konfigurieren Sie das Netzwerk und einen geheimen Schlüssel für Clientanforderungen in wie folgt clients.conf:

Konfigurieren Sie die /etc/freeradius/user Datei mit einer Liste von WLAN-Benutzern (einschließlich Benutzername, Passwort und VLAN-Zuordnung) wie folgt:

Wenn Sie den FreeRADIUS-Server verwenden und dieser keine Tunnelattribute in der Access-Accept-Anforderung zurückgibt und/oder wenn dem Benutzer nicht die richtige IP-Adresse (aus dem VLAN) zugewiesen wird, müssen Sie der /etc/freeradius/mods-available/eap.conf Datei möglicherweise eine Zeile hinzufügen:

use_tunneled_reply = yes

WLAN-Einrichtung

Abbildung 1: Dynamisches VLAN ist mit den Sicherheitstypen Dynamic VLAN is available with WPA3 and WPA2 Security Types WPA3 und WPA2 verfügbar

Wie bereits erwähnt, können Sie Ihr WLAN so einrichten, dass Benutzer, die sich anmelden, automatisch mit einem ausgewählten VLAN verbunden werden. Im Mist-Portal wird dies als dynamische VLANs bezeichnet, und Sie können die Funktion wie folgt aktivieren:

  1. Klicken Sie im Juniper Mist-Portal auf Organisation > Drahtlos | WLAN-Vorlagen, und klicken Sie auf der Seite WLAN-Vorlagen auf WLAN hinzufügen (oder wählen Sie aus der Liste das WLAN aus, das Sie verwenden möchten).
  2. Geben Sie der SSID einen Namen (oder wählen Sie sie im Abschnitt "WLANs" der Vorlage aus). In der Regel ist der Name der SSID identisch mit dem Namen des WLANs, sodass er leicht zu finden und zu merken ist.
  3. Wählen Sie im Fenster "WLAN" unter dem Bereich "Sicherheit" die Option WPA3 oder WPA2 für den Sicherheitstyp und Enterprise (802.1X) aus. Durch diese Aktion wird auch die Option "Dynamisch" im Abschnitt "VLAN" freigeschaltet.
  4. Wählen Sie im Bereich "Authentifizierungsserver" die Option "RADIUS" aus.

    • Klicken Sie auf Server hinzufügen , und geben Sie die IP-Adresse Ihres RADIUS-Servers an.

    • Fügen Sie den gemeinsamen geheimen Schlüssel hinzu, der bereits auf Ihrem RADIUS-Server konfiguriert ist.

    • Klicken Sie auf das Häkchen-Symbol, wenn Sie fertig sind, um Ihre Änderungen zu veröffentlichen (Sie müssen immer noch in der oberen rechten Ecke auf Speichern klicken, wenn Sie mit allen Schritten fertig sind).

  5. Wählen Sie im Bereich "VLAN" die Option "Dynamisch" und geben Sie dann ggf. Folgendes an:

    • Statische VLAN-ID(s): Sie können statische VLANs oder VLAN-Pool-IDs angeben (erfordert AP-Firmware-Version 0.14.x oder höher). Alternativ können Sie eine Variable angeben oder sowohl VLAN-IDs als auch Variablen verwenden. Trennen Sie mehrere Werte durch ein Komma ohne Leerzeichen.

    • Der VLAN-Typ unterstützt sowohl die RADIUS-Attribute Airespace-Interface-Name als auch Tunnel-Private-Group-ID. Beachten Sie, dass der VLAN-Typ pro WLAN funktioniert. Mit anderen Worten, Sie können nicht zwei verschiedene Typen auf derselben SSID verwenden.

      • VLAN-ID – (auch Standard genannt) Dies ist die Tunnel-Private-Group-ID. Geben Sie die VLAN-IDs an, die in Ihrer Benutzerdatei auf Ihrem RADIUS-Server konfiguriert sind. Wenn Sie mehrere VLAN-IDs und/oder -Bereiche in derselben Zeile eingeben, trennen Sie diese durch ein Komma ( CSV-Unterstützung gilt nur für Standard Tunnel-Private-Group-ID ).

      • Named— Dies ist der Airespace-Interface-Name. Geben Sie die in der Benutzerdatei konfigurierten Schnittstellennamen und daneben die entsprechende VLAN-ID an, die Sie verwenden möchten.

  6. Füllen Sie den Rest der Konfiguration nach Bedarf aus.
  7. Klicken Sie oben auf dem Bildschirm auf Speichern, wenn Sie fertig sind.