通过 MAC 地址将无线设备分配到 VLAN

网络工程 VLAN 无线的 半径 梅拉基
2021-07-29 21:46:44

设想

我有一个有数百个无线设备的环境。我试图将一个相当大的网络分解成几个 VLAN。我希望推车中有无线设备(每组 30 个),它们位于它们自己的专用 VLAN 中。似乎基于 MAC 的分配将是合乎逻辑的方法。

问题

如何为无线设备完成基于MAC的VLAN分配?

信息

  • 我在 VLAN 和子网划分方面有一些经验,但我对 RADIUS、GVRP 或类似技术不太熟悉。

  • 我们是 AP 的 Meraki 商店

  • 我们运行 HP 2510 交换机

研究

Meraki 文档(包括一些 RADIUS 内容)

Meraki VLAN 标记文档

从后一个链接(特别是关于基于用户的分配)我发现这个信息可能有帮助,但我确实需要基于 MAC 的分配而不是基于用户的分配。

RADIUS 服务器在Access-Accept 消息中返回一个组策略属性(例如Filter-ID)。组策略属性指定应应用于无线用户的组策略,覆盖 SSID 本身配置的策略。如果组策略包含 VLAN ID,则组策略的 VLAN ID 将应用于用户。

其他信息

如果遗漏了任何重要的细节,请评论并告诉我。我会及时添加任何需要的信息。谢谢!

1个回答

回答

我最终意识到基于 MAC 的 VLAN 并不是我真正想要的,而且基于组的 VLAN 实际上更加灵活。从这里开始,信息将涉及基于组成员身份完成 VLAN 分配。

台架测试

我遵循了 Meraki 发布的这份非常棒的指南它是 99% 通用的,因此如果您不是 Meraki 商店,请不要担心。Meraki 中只需更改 2-3 个设置,您可能可以轻松地将其转换到您的系统中。

  • Windows Server 2012 R2(在 VMware Workstation 中)
    • 域控制器
    • DHCP
      • 192.168.3.1 /24(主要范围)
      • 192.168.4.1 /24(范围将用于 VLAN 400)
      • 192.168.5.1 /24(范围将用于 VLAN 500)
      • 选项 3(路由器)设置为指向 Aruba 交换机 (192.198.3.6)
    • DNS(标准设置)
    • 证书服务
      • (我遵循了这个指南。跳过他们让你测试撤销证书的部分。它做了一些额外的工作)
    • 小憩
    • 连接到交换机上的端口 1
  • L3 Aruba 2920-24G 交换机
    • 配置用于测试网络内部的路由(但不输出到 Internet)
    • 不要忘记 IP 助手
    • 下面列出了 sho 配置以供参考
  • 思科 Meraki MR18 WAP
    • 连接到交换机上的端口 3
    • 配置为使用 RADIUS(评论中的链接......我是这个 stackexchange 网络的新手,我不能在正文中发布超过 2 个)
  • 2 台联想 ThinkPad 11e 笔记本电脑(用于测试的无线客户端)
    • 加入域
    • 命名为“WIRELESSLAPTOP”和“WIRELESSLAPTOP2”
  • 广告结构
    • OU:包含两台笔记本电脑的“测试机”
    • OU:“VLAN 分配组”
      • 组:具有成员“WIRELESSLAPTOP2”的“VLAN 400”
      • 组:具有成员“WIRELESSLAPTOP”的“VLAN 500”

结果

遵循指南,然后稍微扩展,我总结了三个网络策略。有一个 VLAN 400 策略将 VLANID 400 注入到 RADIUS-ACCEPT 数据包中,还有一个 VLAN 500 策略以相同的方式工作。还有一个必需的默认策略(在指南中解释)。这些策略中的每一个都有一个“条件”列表,您可以在该列表中将该策略分配给一个组。只需将您的计算机放在该组中,它们就可以使用了。

现在,当我将这两台笔记本电脑连接到网络时,一台连接到 400 VLAN 并获得 4.x 地址,另一台连接到 500 VLAN 并获得 5.x 地址。这些分配可以像组成员身份一样轻松更改。

我相信这将是我们前进的一个非常强大的解决方案。读者请注意,这是一个复杂的解决方案,因此虽然可管理性很好,但在将几个新的复杂层引入您的环境之前,请确保它是您需要和使用的东西。

sho config placed here for reference

; J9727A Configuration Editor; Created on release #WB.16.03.0004

; Ver #10:08.3f.f3.b8.ee.34.79.3c.29.eb.9f.fc.f3.ff.37.ef:86


hostname "HP-2920-24G-PoEP"

module 1 type j9727a

gvrp

ip route 0.0.0.0 0.0.0.0 10.1.30.1 (config for routing to the production 
network)

ip routing

snmp-server community <removed> unrestricted

oobm

   ip address dhcp-bootp

   exit

vlan 1

   name "DEFAULT_VLAN"

   no untagged 5,15

   untagged 1-4,6-14,16-24

   ip address dhcp-bootp

   exit

vlan 300

   name "aovlan"

   untagged 5 (this is an uplink to our production environment.  Not currently 
in use)

   ip address 10.1.30.100 255.255.255.0

   exit

vlan 400

   name "TestA"

   tagged 3 (this is where the AP lives)

   ip address 192.168.4.1 255.255.255.0

   ip helper-address 192.168.3.1

   exit

vlan 500

   name "TestB"

   untagged 15 (port 15 was used in previous testing...not really important 
here)

   tagged 3 (this is where the AP lives)

   ip address 192.168.5.1 255.255.255.0

   ip helper-address 192.168.3.1

   exit

device-profile name "default-ap-profile"

   cos 0

   exit

activate software-update disable



activate provision disable

----------
其它你可能感兴趣的问题
上一篇哪个字段告诉我 IPFIX 中的字节数? 下一篇拥塞控制、流量控制、MTU 和 MSS、Rwnd-Cwnd 和慢启动