クライアントVLANの自動割り当て
ユーザーが入力したユーザー名/パスワードに従って、ユーザーが特定の VLAN に自動的に接続されるように WLAN を設定できます。そのためには、Mist ポータルでダイナミック VLAN と RADIUS サーバーを組み合わせて構成します。不明なクライアントについては、ゲストネットワークに送信できます。RADIUSサーバーはすでにスイッチに接続されているはずです。同様に、アクセスポイント(AP)は、正しいVLANが設定された状態でスイッチに接続されている必要があります。
ダイナミック VLAN でサポートされる VLAN タイプは、 Airespace-Interface-Name と Tunnel-Private-Group-ID です。
RADIUS設定
特定のRADIUS側の設定はプロバイダーによって異なりますが、一般的な考え方は、クライアントトラフィックを暗号化して署名するための共有シークレットを設定し、クライアントのIPアドレスからの着信トラフィック を許可し 、セグメント化するWLANクライアントとそれに関連付けられたVLAN IDを識別するユーザーリストを持つことです。
FreeRADIUSサーバを例にとると、次のファイルを編集します。 clients.conf usersと です。
クライアント要求のネットワークとシークレットを、次のように構成します clients.conf。
#client WLAN-1 { # ipaddr= 192.0.2.0/24 # secret= testing123-1 #}
/etc/freeradius/user次のように、WLAN ユーザのリスト(ユーザ名、パスワード、VLAN の関連付けを含む)でファイルを設定します。
user1 Cleartext-Password := "password1" User-Name = user1, Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-ID = 10 user2 Cleartext-Password := "password2" User-Name = user2, Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-ID = 20 user3 Cleartext-Password := "password3" User-Name = user3, Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-ID = 30
FreeRADIUSサーバーを使用していて、Access-Acceptリクエストでトンネル属性を返さない場合、または(VLANから)ユーザーに正しいIPアドレスが割り当てられていない場合は、ファイルに次の行 /etc/freeradius/mods-available/eap.conf
を追加する必要があります。
use_tunneled_reply = yes
WLAN設定
前述のように、ユーザーがログオンしたときに、選択した VLAN に自動的に接続するように WLAN を設定できます。Mist ポータルでは、これは動的 VLAN と呼ばれ、次のように機能を有効化できます。