ACS_52做为Radius服务器和无线控制器为无线客户端动态分配VLAN的配置

ACS5.2做为Radius服务器和无线控制器为无线客户端动态分配VLAN的配置上次讲了如何配置ACS5.2来认证无线客户端。下面通过图示看看如何配置ACS5.2做为Radius服务器和无线控制器为无线客户端动态分配VLAN。关于无线控制器的配置不做介绍请见下面文档：关于无线客户端的配置请见之前的文章，这里也不描述了。下面来看看如何配置ACS5.2，主要配置步骤如下：-生成证书；-添加NASclient；-配置用户和组；-配置授权策略-定义访问策略生成证书；请参考之前的文章，这里不做描述。添加NASclient；请参考之前的文章，这里不做描述。配置用户和组；这里我们要定义两个用户并将其归纳到不同的组中。首先创建组，点击UsersandIdentityStores-InternalIdentityStores-IdentityGroups，点击Create，输入组名称，点击submit。同样操作过程，再创建一个组然后创建用户，点击UsersandIdentityStores-InternalIdentityStores-Users，点击Create，输入用户名/密码信息并将该用户对应到组，然后submit同样操作过程，再创建一个用户配置授权策略点击PolicyElements-AuthorizationandPermissions-NetworkAccess-AuthorizationProfiles，在General页面输入策略名称，在CommonTasks页面，VLAN处配置VLANID，此时如果没有其它需要设置项就可以submit了。也可到RADIUSAttribuites页面进行高级配置同样的，再创建另外一个VLAN授权策略，对应另外的VLAN定义策略点击AccessPolicies-AccessServices，点击Create，输入Service名称，然后选择UserSelectedServiceType（NetworkAccess），PolicyStructure选择Identity，GroupMapping和Authorization。点击下一步。配置Radius需要支持的协议，点击Finish。如果相关的EAP需要额外配置，系统会提示，例如下图PEAP的配置EAP-FAST的配置系统图示AccessService创建成功，是否激活，选择Yes点击AccessPolicies-ServiceSelectionRules，点击Create，定义Rule名称和对应的service，然后选择支持的协议协议选择Radius定义好ServiceSelectionRule后如下图所示,需要将该Rule上移到顶部做为首个Rule（通过窗口中下方的上下箭头操作）点击AccessPolicies-AccessServices-刚才定义好的Rule-Identity，选择Singleresultselection，点击Select选择IdentitySource选择InternalUsers选好后的Identity配置如下图点击AccessPolicies-AccessServices-刚才定义好的Rule-GroupMapping，选择Rulebasedresultselection，点击Select选择IdentityGroup配置groupmapping的界面如下配置AttributesList配置NetworkDeviceGroupsValue将条件通过Add下箭头键加入配置Result定义另外一个VLAN的GroupMapping配置点击AccessPolicies-AccessServices-刚才定义好的Rule-Authorization，点击Create配置Authorization的界面如下配置AttributesList配置NetworkDeviceGroupsValue将条件通过Add下箭头键加入配置Result，选择之前定义好的对应的AuthorizationProfiles定义另外一个VLAN的Authorization配置验证下一步就是配置无线客户端采用不同的用户名/密码连接相关SSID。通过ACS的监视界面可以看到成功认证的日志且Radius返回了不同的VLAN属性。客户端采用不同的用户名/密码获得的IP地址分别位于不同VLAN对应的子网。通过MonitoringandReports-LaunchMonitoring&ReportViewer可以打开一个新窗口。选择Authentications–RADIUS–Today。可以看到认证成功的日志，点击相关日志可以看到更详细的认证日志信息。