通常在無線網路驗證時,還可以使用Wi-Fi去對應預設VLAN。
不過有線網路驗證時,Aruba Gateway 送出的 RADIUS Request訊息中,預設是不會帶VLAN的。如果是Trunk Port,那麼,預設值就沒有辦法針對各VLAN去做不同驗證。
經過調整,可以讓Gateway送出RADIUS Request包含VLAN,本文會教學如何進行。
前言
在認證中,訊息傳遞是透過附屬在驗證訊息的屬性值對,因此,能讓AAA Server知道相關使用者更多訊息,做到更多的應對。
此外,回覆時,也能讓NAS(Network Access Server)知道要如何調整該使用者的相關屬性,如User Role、VLAN等。
Accounting時,也能添加上更多訊息,讓後續回推某時某設備連線時,可以獲取更多資訊。
要是能定義這些內容,我們可以做到更進階方便的管理。
調整NAS的RADIUS屬性
- 新增 RADIUS Modifier Profile
- 在 RADIUS Server Access-Request Modifier 套用 RADIUS Modifier Profile
新增RADIUS Modifier Profile
Configuration > System > Profiles > Wireless LAN > RADIUS Modifier
新增Profile「Add_VLAN」。
在+Attr,新增一筆,NAME為「Aruba-User-VLAN」,Type選「dynamic」,D_filed1選擇「user-vlan1」。
這邊可以自行多多探索,其他可以新增的值,或是減少帶出的屬性。
在 RADIUS Server Access-Request Modifier 套用 RADIUS Modifier Profile
Profiles > Wireless LAN > RADIUS Server > <Your Server> > Access Request Modifier
要顯示出相關屬性才算真正套用到
實測成果
我做了一個MPSK Wi-Fi,並使用「CPPM37」作為AAA Server。
修改前 – 看不到有帶VLAN屬性
修改後 – 看得到VLAN的值
