需求:
1、全部接入都要控制,非法用户不能;
2、用户不装客户端软件,不用账号密码认证;
3、各vlan的人员可以在学校漫游,vlan不变。
4、终端与人员进行关联
设备选型:
核心:华三7510
接入:华三5130或5560
接入控制软件:imc平台、uam组件。
具体规划:
1、全部用mac认证,用mac作为用户名和密码,前期可以设计一个guest vlan,让没有认证的客户端进来先到这个vlan,然后再记录下这些客户端的mac地址,再加入到合法的vlan,这样就不用提前去找员工收集mac地址表了。
2、所有接入接口用hybrid模式,hybrid接口可以让多个vlan通过。
3、接口的vlan信息由imc软件平台下发,实现用户漫游。
4、为了可靠性,设计逃生vlan,当主备dhcp服务器挂了,让客户端再自动获取一个vlan,让业务不中断。
5、禁止手动配置ip地址, 手动配置的ip认证不通过。
6、要有radius服务器,配置如下:
配置认证、授权、计费等,
radius scheme myscheme
primary authentication 1.1.1.1
primary accounting 1.1.1.1
key authentication cipher admin
key accouting cipher admin
user-name-format without-domain
domain test
authentication lan-access radius-scheme myscheme
authorization lan-access radius-scheme myscheme
accounting lan-access radius-scheme myscheme
domain default enable test
mac-authentication
mac-authentication domain test
7、接入交换机配置:
interface g0/0/1
port link-type hybrid
port hybrid vlan 1 untagged
mac-vlan enable /按mac下发vlan
mac-authentication
mac-authentication guest-vlan 100 /前期没有认证的mac都自动到这个vlan
mac-authentication critical vlan 10 /dhcp服务坏了就自动用这个逃生vlan
8、核心交换机上:
dhcp enable
dhcp relay client-information record /底下客户端获取到地址时会生成dhcp会话表项,用于检测是不是自动获取的ip,手动设置的IP,肯定没有这个会话项。
interface vlan-interfac 20
ip add 192.168.20.254 24
dhcp select relay
dhcp relay server-address 2.2.2.2
ip verfy source ip-address mac-address /验证有没有会话表项
9、vlan下发,在iac软件平台上,web界面进行下发。