Просмотреть исходный

Для настройки выдачи динамического VLAN клиенту (сVLAN) предполагается, что была произведена настройка сетевой связности аутентификатора и NAICE, а также выполнена базовая настройка 802.1x авторизации (см. Быстрый запуск (Quickstart)).

Пример настройки приведен для коммутатора Eltex MES серии 23хх.

Настройка клиентского порта

Предполагается, что коммутатор уже настроен на работу с NAICE ранее.

Требуется на интерфейсе, к которому подключается пользователь, разрешить использовать cVLAN командой "dot1x radius-attributes vlan":

interface <порт клиента>
 dot1x radius-attributes vlan
 dot1x port-control auto
 power inline never
 switchport access vlan <vlan сети управления>
exit

dot1x radius-attributes vlan - включить обработку опции Tunnel-Private-Group-ID (81) в сообщениях RADIUS-сервера.
power inline never - отключение PoE на интерфейсе.

Настройка выдачи сVLAN с использованием RADIUS-атрибутов

Предполагается, что NAICE и коммутатор уже настроены, как описано выше.

1. Редактирование профиля устройства

Для добавления настроек выдачи cVLAN необходимо перейти в редактирование профиля устройства, нажав на его имя.

Eltex Documentation > v0.7_4.3 Пример настройки выдачи динамического VLAN клиенту (сVLAN) > image2024-8-12_16-56-6.png

Раскрыть "Разрешения":

Настроить VLAN - включить возможность упрощенной выдачи VLAN в RADIUS-атрибутах.
Атрибуты по умолчанию - использовать стандартные IETF RADIUS-атрибуты для выдачи VLAN.

После ввода необходимых данных нажмите .

2. Редактирование профиля авторизации

Необходимо перейти в редактирование профиля авторизации нажав на его имя.

Eltex Documentation > v0.7_4.3 Пример настройки выдачи динамического VLAN клиенту (сVLAN) > image2024-8-12_17-17-22.png

Раскрыть настройки "Общие задачи":

VLAN: включить динамическое назначение VLAN пользователю и указать желаемый cVLAN в поле VLAN ID/Name .

Нажмите в правом нижнем углу страницы.

3. Редактирование набора политик аутентификации и авторизации

Перейдите в редактирование конкретной политики через .

Добавьте новое правило для политики аутентификации:

"Статус" - включено (, по умолчанию);
"Имя" - имя правила;
"Условие" - для простоты выберете аналогичное условие, что и для всего набора политик;
"Использовать" - выберите Default sequence. Данная цепочка идентификации содержит только один источник учетных данных пользователей.

Добавьте новое правило для политики авторизации:

"Статус" - включено (, по умолчанию);
"Имя" - имя правила;
"Условие" - для простоты выберете аналогичное условие, что и для всего набора политик;
"Профили" - выберите профиль авторизации из предыдущего шага, где был настроен VLAN.

После добавления необходимых политик нажмите в правом нижнем углу страницы.

Просмотр информации о подключенных пользователях

При подключении проводной клиент как правило требует требует, чтобы возможность использовать авторизацию 802.1x была включена в настройках его сетевого подключения. Без этого он не пытается пройти авторизацию! Подробнее настройка клиента описана в v0.7_8. Настройка подключения клиента

После настройки клиентского подключения и попытки авторизации результат авторизации можно увидеть в разделе "Мониторинг" → "RADIUS" → "Пользовательские сессии".

В случае успешной авторизации можно просмотреть вывод информации о пользователе на коммутаторе командой:

sw1#sh dot1x users
                          MAC               Auth   Auth   Session        VLAN Filter
Port     Username         Address           Method Server Time
-------- ---------------- ----------------- ------ ------ -------------- ---- ------
gi1/0/16 obi-wan.kenobi   7c:c2:c6:45:d3:46 802.1X Remote 00:10:22       2300

В колонке VLAN отображается VLAN, назначенный пользователю (2300).