Просмотреть исходный

Для настройки выдачи динамического VLAN клиенту (сVLAN) предполагается, что была произведена настройка сетевой связности аутентификатора и NAICE, а также выполнена базовая настройка 802.1x авторизации (см. v1.0_4. Быстрый запуск (Quickstart)).

Пример настройки приведен для коммутатора Eltex MES серии 23хх.

Настройка клиентского порта

Предполагается, что коммутатор уже настроен на работу с NAICE ранее.

Требуется на интерфейсе, к которому подключается пользователь, разрешить использовать cVLAN командой dot1x radius-attributes vlan:

interface <порт клиента>
 dot1x radius-attributes vlan static
 dot1x port-control auto
 power inline never
 switchport access vlan <vlan сети управления>
exit

dot1x radius-attributes vlan static - включить обработку опции Tunnel-Private-Group-ID (81) в сообщениях RADIUS-сервера;
power inline never - отключение PoE на интерфейсе.

Настройка выдачи сVLAN с использованием RADIUS-атрибутов

Предполагается, что NAICE и коммутатор уже настроены, как описано выше.

1. Редактирование профиля устройства

Для разрешения настройки выдачи cVLAN необходимо в разделе Администрирование → Сетевые ресурсы → Профили устройств создать/отредактировать профиль устройства, который планируется использовать:

Eltex Documentation > v1.0_4.3.1 Настройка выдачи динамического VLAN клиенту (сVLAN) > 01_device_profile_permissions_vlan.png

Открыть вкладку Разрешения:

Настроить VLAN - включить возможность упрощенной выдачи VLAN в RADIUS-атрибутах.
Атрибуты по умолчанию - использовать стандартные IETF RADIUS-атрибуты для выдачи VLAN.

После ввода необходимых данных нажать Добавить.

2. Редактирование профиля авторизации

В разделе Политики → Элементы → Профили авторизации требуется создать/отредактировать требуемый профиль авторизации:

Eltex Documentation > v1.0_4.3.1 Настройка выдачи динамического VLAN клиенту (сVLAN) > 02_auth_profile_vlan_2300.png

В блоке Общие задачи:

Профиль устройства - выбрать ранее добавленный/отредактированный профиль;
VLAN - включить динамическое назначение VLAN пользователю и указать желаемый cVLAN в поле VLAN ID/Name.

Нажать Сохранить в правом нижнем углу страницы.

3. Редактирование набора политик аутентификации и авторизации

В разделе Политики → Наборы политик перейти в редактирование политики, в которой будет использоваться ранее настроенный профиль авторизации через :

Eltex Documentation > v1.0_4.3.1 Настройка выдачи динамического VLAN клиенту (сVLAN) > 03_policy_set_edit.png

Добавить новое правило для политики авторизации:

Статус - ;
Имя - имя правила;
Условие - любое подходящее условие. В качестве примера приведено условие по локации сетевого устройства;
Профили - выбрать профиль авторизации из предыдущего шага, где был настроен VLAN.

После добавления необходимых политик нажать Сохранить в правом нижнем углу страницы.

Просмотр информации о подключенных пользователях

При подключении проводной клиент как правило требует, чтобы возможность использования авторизации 802.1x была включена в настройках его сетевого подключения. Без этого он не попытается пройти авторизацию! Подробнее настройка клиента описана в v1.0_8. Настройка подключения клиента.

После настройки клиентского подключения и попытки авторизации результат авторизации можно будет увидеть в разделе Мониторинг → RADIUS → Пользовательские сессии.

В случае успешной авторизации можно просмотреть вывод информации о пользователе на коммутаторе командой:

sw1#sh dot1x users
                          MAC               Auth   Auth   Session        VLAN Filter
Port     Username         Address           Method Server Time
-------- ---------------- ----------------- ------ ------ -------------- ---- ------
gi1/0/16 ivan.ivanov      7c:c2:c6:45:d3:46 802.1X Remote 00:10:22       2300

В колонке VLAN отобразится VLAN, назначенный пользователю (2300).