0

Cisco autonomous access point 802.1x and dynamic vlan configuration

Merhabalar,

Bu yazıda autonomous (WLC kontrol olmadan çalışan software yüklü olan ap ler) access pointlerde 802.1x  ve dynamic vlan configuration nasıl yapılır onu anlatacağım.

aaa new-model
!
!
aaa group server radius rad_eap
server 172.19.201.159 auth-port 1645 acct-port 1646                       // burada radius ipsini ve kullanılan portları tanımladık.
!
aaa authentication login default local
aaa authentication login eap_methods group rad_eap
aaa authorization exec default local
aaa accounting update periodic 1000

dot11 vlan-name TESTA vlan 20

!
dot11 ssid TEST
vlan 20
authentication open eap eap_methods
authentication key-management wpa version 2
mbssid guest-mode       // bu config birden fazla ssid yayın yapılıyorsa girilir.

 

interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 20 mode ciphers aes-ccm
!

!
ssid TEST
!
antenna gain 0
mbssid
station-role root
bridge-group 1
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.20
encapsulation dot1Q 20
no ip route-cache
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
bridge-group 20 spanning-disabled

 

interface GigabitEthernet0.20
encapsulation dot1Q 20
no ip route-cache
bridge-group 20
no bridge-group 20 source-learning
bridge-group 20 spanning-disabled

 

ip radius source-interface BVI1
radius-server attribute 32 include-in-access-req format %h
radius-server host 172.19.201.159 auth-port 1645 acct-port 1646 key 7 0217135E0A150B
radius-server timeout 1000
radius-server vsa send accounting

 

Buraya kadar 802.1x configuration yapıldı.   Peki Dynamic vlan nedir?

Dynamic vlan kısacası “ssid – multi vlan” yani bir ssid üzerinden kullanıcıların account bilgilerine göre (kullanıcı adı şifre)

radius tarafında config edilmiş bir vlana hostu atamaya yarar. Kurumunuzda bir tek ssid yayın yapıp kullanıcıların farklı subnetten ip almasını sağlayabilirsiniz. Ama bunun için WLC gerekli :) Eee cisco nerden para kazanacak :)

Ama 2 vlan için bir çözüm buldum :) Backup vlan denen bir yapı var aplerde, bunu kullanıyoruz. Toplamda 2 vlan destekliyor ama olsun hiç yoktan iyidir :)

Yukarıdaki confige ek olarak :

dot11 vlan-name TESTB vlan 160

dot11 ssid TEST
vlan 20 backup 160                    // burada ikinci vlanı yazıyoruz.

 

interface Dot11Radio0.160
encapsulation dot1Q 160
no ip route-cache
bridge-group 160
bridge-group 160 subscriber-loop-control
bridge-group 160 block-unknown-source
no bridge-group 160 source-learning
no bridge-group 160 unicast-flooding
bridge-group 160 spanning-disabled

 

interface GigabitEthernet0.160
encapsulation dot1Q 160
no ip route-cache
bridge-group 160
no bridge-group 160 source-learning
bridge-group 160 spanning-disabled

———————————————————-

 

Dynamic vln

İyi Konfigler :)

 

Bu yazıyı paylaş..Share on LinkedInShare on Google+Share on FacebookTweet about this on Twitter

Numan KARAKAŞ

Bir Cevap Yazın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir