問題描述:
一個半導體企業,不用vxlan和控製器情況下怎麼實現動態vlan下發?就是員工電腦移動位置但是獲取的ip地址和網絡權限是不變的。
組網及組網描述:
一個半導體企業,不用vxlan和控製器情況下怎麼實現動態vlan下發?就是員工電腦移動位置但是獲取的ip地址和網絡權限是不變的
- 2025-02-28提問
- 舉報
-
(0)
最佳答案
端口安全方式下MAC認證實現動態VLAN下發案例
一、 實現需求
1、采用端口安全方式下的MAC向Radius服務器認證,實現動態VLAN下發;
2、默認用戶認證上來放入VLAN 10,並獲取VLAN 10的地址;如果動態下發VLAN 20則用戶獲取VLAN 20的地址,並能夠正常上網。
二、 網絡拓撲
本例中采用S31EI做接入認證交換機,DHCP服務器啟在S3610 SI交換機上,拓撲如下:
使用版本:
S31EI:Comware Software, Version 3.10, Test 2210
S3610:Comware Software, Version 5.20, Release 5309P02
iMC/UAM:PLAT(E2606)/ UAM(E6208)
三、 配置關鍵點:
iMC服務器側配置:
1、 分別創建不下發VLAN的服務service_10和下發VLAN的服務service_20,如下:
2、 創建用戶0015c50d090b,由於隻有一台電腦,所以替換著分別申請service_1和service_2服務。
3、 將S31EI設備在iMC UAM中添加為接入設備,如下圖所示:
交換機側配置:
S31EI配置:
1、 創建VLAN10、VLAN20、VLAN100,並將VLAN 100設置為管理VLAN並配置地址:
#
vlan 10
#
vlan 20
#
vlan 100
#
interface Vlan-interface100
ip address 192.168.132.222 255.255.255.0
2、 配置Radius服務器
radius scheme imc_auth
server-type standard
primary authentication 192.168.132.180
primary accounting 192.168.132.180
key authentication h3c
key accounting h3c
user-name-format without-domain
3、 配置認證域
domain imc_auth_domain
scheme radius-scheme imc_auth
4、 使能該域為默認域
domain default enable imc_auth_domain
5、 開啟端口下的MAC-VLAN和認證配置
#
interface Ethernet1/0/3
port link-type hybrid
port hybrid vlan 10 20 untagged
undo port hybrid vlan 1
port hybrid pvid vlan 10
loopback-detection enable
port-security port-mode mac-authentication
port-security intrusion-mode blockmac
mac-vlan enable
#
6、 全局下使能端口安全和MAC認證
#
port-security enable
#
MAC-authentication domain imc_auth_domain
#
S3610的配置:
主要是DHCP Server的配置和開啟,詳見附件。
四、 實現效果
當我的PC接入網線的時候,自動啟動端口安全MAC認證,可以看到iMC上該用戶的在線信息,如下:
在設備上也可看到其在線信息及當前VLAN信息,如下:
[H3C]dis connection
------------------------Unit 1------------------------
Index=797 ,Username=xxxxc50d090b@imc_auth_domain
MAC=xxxx-c50d-090b ,IP=0.0.0.0
IPV6=::
On Unit 1:Total 1 connections matched, 1 listed.
Total 1 connections matched, 1 listed.
[H3C]
[H3C]
[H3C]dis conn
[H3C]dis connection uci 797
------------------------Unit 1------------------------
Index=797 , Username=xxxxc50d090b@imc_auth_domain
MAC=xxxx-c50d-090b , IP=0.0.0.0
IPV6=::
Access=MAC-authentication,Auth=PAP ,Port=Ether ,Port NO=0x10003014
Initial VLAN=10, Authorization VLAN=20
ACL Group=Disable
CAR=Disable
Priority=Disable
Start=2000-04-02 13:03:45 ,Current=2000-04-02 13:03:55 ,Online=00h00m11s
On Unit 1:Total 1 connections matched, 1 listed.
Total 1 connections matched, 1 listed.
五、 案例外延
此案例當中的用戶認證是針對不同用戶,通過申請不同的服務來實現區別對待是否下發VLAN,還可以針對同一個用戶來實現是否動態下發VLAN,即對同一個用戶申請不同的服務,這些服務由不同的服務後綴(認證域)來區別,例如當帳號使用user@service1上來的時候不下發vlan,而使用user@service2上來的時候下發VLAN。
六、 配置附件
- 2025-02-28回答
- 評論(0)
- 舉報
-
(0)
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論