“动态”接入点和端口认证

“动态”接入点和端口认证

以下是问题的背景:

我有多个带端口认证(基于 MAC 或 802.1X)的交换机。每个交换机都通过静态配置的中继端口连接。一个 VLAN 用于认证用户,一个 VLAN 用于访客用户。RADIUS 服务器连接到交换机 1 上的端口 1。两个交换机上的中继端口都是端口 4。

        [RADIUS server]
              |
[SWITCH 1 | Port1 | Port2 | Port3 | Port4]
                                      |
                                      |
[SWITCH 2 | Port1 | Port2 | Port3 | Port4]

问题是:

如何在不改变相应端口配置的情况下将接入点插入任意端口?(意味着禁用相应端口上的身份验证并在其上激活中继)?

我希望在所有端口上同时支持“接入点”和经典用户。

(接入点提供两个 SSID,一个用于传统用户,一个用于访客。)

谢谢,欢迎大家发表评论。

答案1

在您描述的配置中,您通常会将接入点 (AP) 插入配置为 VLAN 成员的端口,该端口应发送“经过身份验证的用户”流量和“访客用户”流量。哪些需要标记或不标记取决于您的环境和交换机的怪异之处(例如,一些较旧的交换机无法标记 VLAN 1)。一些 AP 专门允许您分配管理 VLAN,而其他 AP 则只想从未标记的 VLAN 进行管理。

您可能会从将发送“经过身份验证的用户”流量的同一 VLAN 来管理 AP,因此您可能可以使用该 VLAN 的未标记成员端口和“访客用户”VLAN 的标记成员端口。

编辑:

我明白你现在在寻找什么。

你正在做的有线您的交换机上现在有 802.1x。

您的接入点可能可以做到无线的802.1x。如我上面所述,您需要将 AP 插入端口,并在交换机中禁用 802.1x。AP 将处理无线客户端的 802.1x,并向 RADIUS 服务器进行身份验证。

可以将 AP 视为另一个连接无线客户端的交换机。您希望 802.1x 在 AP 内部发生,而不是在它插入的交换机端口中发生。

相关内容