Cisco单SSID多VLAN的设置

in #media6 years ago (edited)

A:客户需求:一客户公司无线需求如下:
一:公司只发一个SSID,做802.1x认证,公司域内的用户不需要输入密码就能连接无线网络,
二:根据用户的职位不同,获取到不同的VLAN地址段。

B:首先,我们先在DHCP上新建两个VLAN的地址段;如下是设备的拓扑图

C:思科设备的设置:
一:在CONTROLLER—Interfaces—New,建立两个Interfaces,如下图

二:然后选择CONTROLLER—Interfaces Groups—ADD Group,新建一个接口组,然后将刚刚建立的两个VLAN段,添加进去,如下图

三:选择WLANs—WLANs,新建一个SSID,在Generl中,Profile Name和SSID,根据实际需要填入方便记忆和管理的名字,这一步的重点是在Interface/Interface Group中选择第二步刚刚新建的组名,;然后,在Security—AAA Server中选择802.1x服务的地址,端口保持默认;最后,在Advanced选项卡中,一定要勾选Allow AAA Override;如下图:



这样,我们就完成了Cisco端的设置。

D:802.1x服务器段的设置:
一:在Windows 2003上打开Internet验证服务(添加Internet验证服务过程略),然后选择Radius,新建Radius客户端,如下图,名称随意,地址要指向无线控制器的地址,共享秘钥和无线控制器的共享秘钥一定要相同;

二:建立两条远程访问策略,策略请参照下图,在Window Group中,选择对应的用户组,该Windows组对应VLAN230,另一条访问策略中的Windows组对应VLAN168,如下图:


至此,完成服务器的设置。
E:验证结果,我们登陆WLC控制器,可以看到,不同的用户连接同一个SSID,获取的地址是不同的。如下图:

以上,为单SSID多VLAN的设置应用。谢谢。