以前有介绍过基于Windows2012 NPS的Radius 无线认证方案,文章:https://blog.51cto.com/hubuxcg/1636719?cid=702921#702921 今天介绍下,基于Windows 2012 NPS Radius配置动态VLAN!
NPS的初始配置部分,请参考前在的文章,这里只介绍和VLAN配置相关的。
1、 在NPS的策略中,添加连接策略,选择安全有线(以太网)连接
基于Windows2012 NPS的Radius 动态VLAN
2、 添加需要调用RAIDS的网络设备名称、IP地址和认证密码,后面配置网络设置时需要。
基于Windows2012 NPS的Radius 动态VLAN
3、 选择认证方式:PEAP
基于Windows2012 NPS的Radius 动态VLAN
4、 选择已有的证书
基于Windows2012 NPS的Radius 动态VLAN
5、 添加用户,这里需要换用户配置VLAN的,所以我们选择已配置好的组:VLAN100
基于Windows2012 NPS的Radius 动态VLAN
6、 配置传输控制,打开配置:
基于Windows2012 NPS的Radius 动态VLAN
7、 Tunnel-type:VLAN
基于Windows2012 NPS的Radius 动态VLAN
8、 Tunnel-Medium-type:802
基于Windows2012 NPS的Radius 动态VLAN
9、 Tunnel-Pvt-Group-ID:100(交换机上的VLAN ID )
基于Windows2012 NPS的Radius 动态VLAN
10、 以上三项配置完成点完成。
基于Windows2012 NPS的Radius 动态VLAN
11、 配置完成后的结果如下:
基于Windows2012 NPS的Radius 动态VLAN
12、 重复以上操作,依次添加需要配置的用户组\VLAN对应配置:
基于Windows2012 NPS的Radius 动态VLAN
13、 确认退出,到此Windows端的Radius配置完成,下面是Cisco交换机的认证配置:在交换机上启用Radius\配置Raidus服务器信息:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
radius-server host 192.168.1.2 key 123456
radius-server vsa send authentication

14、 对交换机的端口配置VLAN\启用PAE认证
switchport mode access
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast

15、 配置完成!