我目前正在研究 Microsoft NPS 解决方案,为有线和无线客户端提供 802.1x MAC 身份验证,并为要移动的客户端提供 VLAN。
它目前与我们的无线 AP 和交换机配合得很好,但我们希望 NPS/RADIUS 服务器即使 MAC 地址验证失败也能以 Access-Accept 进行响应,从而将客户端置于访客/注册 VLAN 中。
是否可以在 NPS 服务器上创建一个策略或规则,以授权数据库中没有的 MAC 地址并提供相关的 VLAN 标记?
我们已经使用 vlan/tunnel-id 字段为授权用户进行 vlan 标记,这很棒。
谢谢
答案1
有时,身份验证器(取决于供应商)可以根据设计对访问拒绝采取行动,将终端设备置于保留 VLAN 中。有些人可能将其称为身份验证失败 VLAN,但每个实施此类功能的供应商的命名略有不同。
我还没有在 NPS 中找到任何可以提供相同结果的东西。
Juniper 将其称为 server-reject-vlan -http://www.juniper.net/techpubs/en_US/junos9.3/topics/reference/configuration-statement/server-reject-vlan-edit-protocols-dot1x-authenticator-interface-802-1x.html