(!) Описание функции Guest VLAN в XGS-4526 и XGS-4728F

Для чего предназначена функция Guest VLAN, реализованная в микропрограммах версий 4.00 для Ethernet-коммутаторов третьего уровня XGS-4526 и XGS-4728F?

В микропрограммном обеспечении версий 4.00 для Ethernet-коммутаторов третьего уровня XGS-4526 и XGS-4728F была расширена функциональность, в частности добавлена поддержка новой функции Guest VLAN для предоставления пользователям ограниченного доступа к сети.


Guest VLAN позволяет совместно использовать настройки аутентификации (проверки подлинности) IEEE 802.1x и VLAN.

Если пользователь будет успешно авторизован по стандарту 802.1x, ему будет автоматически присвоен VLAN ID, установленный RADIUS-сервером или автоматически назначенный коммутатором. Если пользователь не пройдет авторизацию, то в этом случае клиент будет автоматически переведен в Guest VLAN (гостевой VLAN ID, назначаемый неавторизованным клиентам на коммутаторе).



Существует 2 режима в настройках Guest VLAN: Multi-Host и Multi-Secure.


Если при настройке Guest VLAN установлен клиентский режим Multi-Host, то в этом случае коммутатор будет производить аутентификацию на порту только первого клиента. Если первый клиент будет успешно авторизован на порту, то затем другие клиенты будут также успешно подключены и им будет автоматически присвоен VLAN ID, который установлен Radius-сервером или статически настроен на коммутаторе. Подключение всех клиентов будет зависеть от аутентификации первого клиента.
Если при настройке Guest VLAN установлен клиентский режим Multi-Secure, то в этом случае коммутатор будет авторизовывать каждого клиента на каждом порту индивидуально. Каждый клиент может быть авторизован успешно или не пройти авторизацию.


Приведем пример.


Рассмотрим следующую топологию сети:



По умолчанию все порты принадлежат VLAN 1. Uplink-порт Port 5 находится в обоих VLAN 10 и VLAN 20. В настройках Port 5 установлен PVID 1.


Вариант 1. Неудачная аутентификация 802.1x



Клиент находится в Guest VLAN 10. Исходящий трафик направляется в VLAN 10. Входящий трафик направляется в VLAN 1.


Перед процессом аутентификации в настройках Port 1 автоматически устанавливается PVID 10, и клиент может получить только доступ в Интернет. Так как PVID 10 является Guest VLAN ID 10, то трафик от клиента в Интернет направляется в VLAN 10. Однако трафик из Интернета к клиенту направляется в VLAN 1, т.к. на Uplink-порту Port 5 установлен PVID 1.


Вариант 2. Успешная аутентификация 802.1x



Клиент находится в VLAN 20. Исходящий трафик направляется в VLAN 20. Входящий трафик направляется в VLAN 1.


Если клиент успешно прошел авторизацию, то в настройках Port 1 устанавливается PVID 20, и клиент может получить доступ и в Интранет, и в Интернет. Так как на порту Port 1 устанавливается PVID 20, то трафик от клиента в Интернет направляется в VLAN 20. Однако трафик из Интернета к клиенту направляется в VLAN 1, т.к. на Uplink-порту Port 5 установлен PVID 1.


Пример настройки функции Guest VLAN


Шаг 1: В меню Basic Setting > IP Setup настройте IP-интерфейс для VLAN 1 (VLAN по умолчанию).



Шаг 2: В меню Advanced Application > VLAN > Static VLAN настройте Static VLAN.



В VLAN 10 порты Port 1 и Port 5 нетегированные (Untagged), а в VLAN 20 порты Port 1, Port 3 и Port 5 нетегированные (Untagged).


К Port 1 подключен компьютер клиента; к Port 3 подключен сервер в сети Интранет; к Port 5 подключен Интернет.


Шаг 3: В меню Advanced Application > VLAN > VLAN Port Setting настройте PVID. На портах Port 1 и Port 3 установите PVID 20.



Шаг 4: В меню Advanced Application > Port Authentication > 802.1x активируйте 802.1x на Port 1.



Шаг 5: В меню Advanced Application > Port Authentication > 802.1x > Guest VLAN активируйте Guest VLAN 10 на Port 1.



Шаг 6: В меню Advanced Application > AAA > Radius Server Setup укажите настройки внешнего Radius-сервера.



Шаг 7: На компьютере клиента в настройках протокола TCP/IP настройте статический IP-адрес. Установите флажок в поле Использовать существующий IP-адрес (Use the following IP address) и укажите IP-адрес, маску подсети и основной шлюз.



Шаг 8: Включите аутентификацию 802.1x. Зайдите в раздел Проверка подлинности (Authentication), установите галочку в поле Включить проверку подлинности IEEE 802.1x для этой сети (Enable IEEE 802.1x authentication for this network) и в поле Тип EAP (EAP type) установите значение MD5-задача (MD5-Challenge).



На этом настройка Guest VLAN в Ethernet-коммутаторе и на компьютере клиента завершена.
Проверьте правильность выполненных настроек.


На компьютере клиента выполните подключение к сети (авторизацию).



Проверка настроек на коммутаторе перед аутентификацией клиента: 




Проверка настроек на коммутаторе после успешной аутентификации клиента:



Проверка на компьютере клиента перед аутентификацией:



Мы видим, что существует доступ в Интернет, но отсутствует доступ к серверу сети Интранет.


Проверка на компьютере клиента после успешной аутентификации:



Теперь мы видим, что существует как доступ в Интернет, так и доступ к серверу сети Интранет.

KB-2175

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0