使用RADIUS服务器与无线控制器动态分配VLAN配置指南

需积分: 42 22 下载量 101 浏览量 更新于2024-07-18 1 收藏 907KB PDF 举报
"通过RADIUS服务器和无线控制器动态分配VLAN" 在现代企业网络环境中,尤其是在无线网络的管理中,动态分配VLAN是一种灵活且高效的方法。通过RADIUS服务器和无线控制器实现这一功能,能够根据用户的认证信息动态地为其分配合适的VLAN,从而实现更精细化的网络访问控制和策略实施。本文将深入探讨这一技术。 首先,了解RADIUS(Remote Authentication Dial-In User Service)服务器的角色至关重要。RADIUS是一种网络认证协议,广泛用于无线网络、有线网络接入点和远程拨入用户服务,提供用户身份验证、授权和计费。在动态分配VLAN的场景中,RADIUS服务器接收来自无线控制器的认证请求,并根据预设的策略决定用户的VLAN分配。 配置动态VLAN的前提条件包括对LAP(Lightweight Access Point)的基础知识,如LWAPP(Lightweight Access Point Protocol)的理解,以及对AAA(Authentication, Authorization, and Accounting)服务器和无线网络安全的熟悉。LAP是Cisco的一种协议,允许无线控制器管理和控制接入点,而LWAPP则负责数据传输和控制平面通信。 在具体实施过程中,需要使用特定的软件和硬件版本,例如,本文提到的是使用固件4.0的Cisco 2006 WLC,1000系列的LAP,以及软件版本2.6的无线客户端和ACCS。在配置前,建议查阅相关设备的文档,确保对命令的正确理解和操作。 动态VLAN的分配通常与SSID(Service Set Identifier)策略相关,但在传统的静态策略中,每个SSID对应一个固定的VLAN。然而,这种方法限制了网络的灵活性,因为每个客户端必须连接到特定的SSID才能获得相应的网络访问权限。通过RADIUS服务器,可以实现基于用户身份的动态VLAN分配,即使客户端在不同位置移动,也能保持相同的VLAN接入,确保网络访问的一致性。 RADIUS服务器通过特定的属性来实现VLAN分配,例如IETF64(Tunnel-Type)和IETF65(Tunnel-Medium-Type),这两个属性可以用来设置VLAN ID。当客户端通过LAP进行认证时,WLC会将认证请求转发给RADIUS服务器。如果认证成功,RADIUS服务器会返回包含VLAN信息的属性,这些信息会被应用到客户端的连接上,从而实现动态VLAN分配。 在实际应用中,这种动态分配VLAN的方法有助于提高网络的安全性,因为可以为不同级别的用户提供不同的访问权限。此外,它还有助于简化网络管理,减少配置工作量,特别是对于拥有大量用户和复杂网络环境的企业来说,这种动态分配策略是不可或缺的。 通过RADIUS服务器和无线控制器动态分配VLAN是一种强大的网络管理工具,它结合了认证、授权和网络策略,为企业网络提供了更灵活、安全的接入解决方案。理解并熟练掌握这一技术,对于IT专业人士来说,对于提升网络管理水平和保障企业信息安全具有重要意义。
2008-11-24 上传
前 言本书讲述了在互联网上传送数据的“盒子”的内部是如何工作的,这些“盒子”有不同的名称:网桥、路由器、交换机和集线器。本书也讲述了连接到网络上的设备。在这个领域有不少的混乱。大多数术语的定义不准确,使用时相互抵触;术语及规范的数量惊人;一些知识分布在不同的文档中,还有很多非书面的民间智慧。引起混乱的还有教条。信念被当成真理,对任何教条的置疑都会引起不满的回应。但良好的工程要求我们懂得我们在做什么,以及为什么这样做;要求我们保持开放的思想,从经验中获得知识。在本书中,我没有直接讨论某个协议的细节,而是首先集中在所要解决的问题上。我考查了每个问题的多种解决方法,讨论其中涉及的工程折衷。然后我检查已经应用的方案,对这些方案进行比较。对任何观点,我都给出了技术上的理由,如果你认为我遗落了某些论据,欢迎通过电子邮件与我进行讨论。我的电子邮件地址附在书后,希望你从头到尾读过本书后才能找到它。在本书第1版中,我的意图是帮助人们理解问题和通常的解决方案,而假定他们会去阅读规范以得到特定协议的细节。但人们不仅利用本书来理解问题,还把它当作参考书。因此在本版中,我收录了更多的协议细节。我认为,要深入了解某件东西必须把它与其它东西作比较。第1版是“最小化”的,因为我常只举两个例子:两种网桥,网桥与路由器,面向连接的与无连接的网络层协议,两个无连接的协议(CLNP和IP)。在本版中我增加了更多的例子,包括ATM、IPv6、IPX、AppleTalk和DECnet。这样做,部分是因为这些协议存在着,并且较难找到相关的信息。但更主要的,是因为这些协议体现了不该错过的有趣的想法。当我们设计新协议时,应该学习以前的想法,无论是好的还是坏的。另外,在对问题作了一般描述之后,就很容易讨论一些例子。本书导读前四章与第1版中的相应部分没有明显的不同,但其余部分已大量重写。第1章至第4章包括了一般网络概念、数据链路问题(如编址和复用)、透明桥和生成树算法及源路由网桥。第5章是全新的,解释了交换的概念如何演变到重新发现网桥。它也包括了VLAN和快速以太网。余下部分集中在第三层(网络层)。第6章是网络层概览,第7章涉及面向连接的网络,包括ATM和X.25。第8章讨论无连接网络层的一般问题,第9章包括了第三层中的一般编址技术,详尽比较了IP、IPv6、CLNP、DECnet、AppleTalk和IPX。第10章谈到在网络层报头中应出现的信息及几种协议报头的对比。第11章涉及自动配置和近邻发现,包括ARP和DHCP协议。第12章是一般的路由选择算法。第13章讨论最长前缀匹配问题,这在快速转发IP包时需要。第14章讨论各种路由选择协议的特点,包括RIP、IS-IS、OSPF、PNNI、NLSP和BGP。第15章是网络层组播。第16章说明如何设计免受破坏的网络,这在将来会有用。最后两章总结了本书,我希望它们是轻松有趣的。第17章探究了将网桥和路由器区别开来的秘密,第18章试图收集人们有关如何设计协议的经验知识。最后有一张术语表。我在第一次使用某个术语时会给出定义,但如果我没有给出定义,你也可以从术语表中找到。 本书被认为是讲述网络理论和实践的主要书籍之一。除介绍了一般的网络概念外,对路由算法和协议、编址、网桥、路由器、交换机和集线器的功能结构等都提供了权威和全面的信息。包括网络领域的最新发展,如交换和桥接技术、VLAN、快速以太网、DHCP、ATM以及IPv6等。作者以专家的洞察力分析了网络的运作过程和工作机理,并深入到技术背后的概念和原理,帮助读者获得对可用的解决方案的更深理解。本书适用于作为大专院校计算机专业本科生网络课程的教材,也适用于从事网络研究的技术人员和其他对网络技术有兴趣的人员。 译者序 前言 第1章 网络基本概念 1 1.1 网络分层模型 1 1.2 服务模型 5 1.3 网络的重要特性 7 1.4 可靠的数据传输协议 9 第2章 数据链路层 14 2.1 一般的LAN 14 2.1.1 什么是局域网 14 2.1.2 轮转 15 2.2 IEEE 802 LAN 16 2.3 名字、地址与路由 17 2.4 局域网地址 18 2.5 组播地址与单播地址 19 2.6 广播地址 20 2.7 复用字段 20 2.8 位序 23 2.9 逻辑链路控制 24 2.10 802.3中的问题 25 2.11 802.5中的问题 27 2.12 包的突发性 28 2.13 需要网桥的理由 28 2.14 点对点链路 29 第3章 透明网桥 32 3.1 纯网桥 32 3.2 学习式网桥 33 3.3 生成树算法 41 3.3.1 配置消息 42 3.3.2 计算根ID以及到根网桥的费用 44 3.3.3 选择生成树的端口 44 3.3.4 一个例子 45 3.4 生成树算法的改进 45 3.4.1 故障 46 3.4.2 避免临时循环 47 3.4.3 站点缓冲区超时值 49 3.4.4 网络范围的参数 50 3.4.5 端口ID 51 3.4.6 分配端口号 52 3.4.7 性能问题 53 3.4.8 单向连通 53 3.4.9 可设参数 54 3.5 网桥报文格式 55 3.5.1 配置信息格式 55 3.5.2 拓扑变化通告信息的格式 56 3.6 其他的网桥问题 57 3.6.1 多连接的站点 57 3.6.2 配置过滤器 58 3.6.3 网桥的不完全透明 60 3.7 远程网桥 62 第4章 源路由网桥 68 4.1 纯源路由 68 4.1.1 路由信息报头 68 4.1.2 网桥编号 69 4.1.3 网桥算法 72 4.2 SR-TB网桥 74 4.2.1 从TB端口发出的包 74 4.2.2 从SR端口发出的包 75 4.2.3 环 76 4.3 SRT网桥 77 4.4 端系统算法 78 4.4.1 什么时候寻找路由 78 4.4.2 怎样发现一个路由 79 4.4.3 通过目的端发现路由 83 4.4.4 路由选择 83 4.5 源路由与透明网桥 83 4.5.1 带宽费用 83 4.5.2 配置难易度 84 4.5.3 普遍性 84 4.5.4 网桥的费用和性能 85 4.6 改善源路由网桥的方法 85 4.6.1 源路由网桥的自动配置 85 4.6.2 使指数级的开销固定 86 第5章 集线器、交换机、虚拟局域网与 快速以太网 90 5.1 集线器 90 5.1.1 学习式HUB和安全性 91 5.1.2 存储-转发和生成树 91 5.1.3 混合L1和L2的交换机 92 5.1.4 产品与标准,L1与L2 93 5.2 快速LAN 93 5.3 虚拟局域网 95 5.3.1 为什么需要虚拟局域网 96 5.3.2 映射端口到虚拟局域网 97 5.3.3 举例:虚拟局域网使用独立路由器 转发 97 5.3.4 举例:虚拟局域网使用交换机作为 路由器转发 98 5.3.5 动态绑定链路到虚拟局域网 99 5.3.6 动态虚拟局域网绑定,交换机- 交换机 101 第6章 网络接口:服务模型 104 6.1 什么是网络层 104 6.2 网络服务类型 104 6.2.1 性能保证 105 6.2.2 服务模型选择举例 105 6.2.3 混合策略 106 6.2.4 无连接与面向连接 107 第7章 面向连接的网络:X.25和ATM 110 7.1 一般的面向连接的网络 110 7.2 X.25:可靠的面向连接服务 111 7.2.1 基本思想 112 7.2.2 虚电路号 113 7.2.3 呼叫建立 113 7.2.4 数据转发 114 7.2.5 流控制 117 7.2.6 功能 119 7.2.7 呼叫释放 119 7.2.8 中断 120 7.3 在网络内部实现X.25 120 7.3.1 电路方法 120 7.3.2 基于数据报的可靠连接方法 121 7.3.3 比较 121 7.4 异步传输模式 121 7.4.1 信元大小 122 7.4.2 虚电路和虚路径 122 7.4.3 ATM服务种类 124 7.4.4 ATM信元头部格式 124 7.4.5 连接的建立与释放 125 7.4.6 ATM适应层 126 第8章 一般的无连接的服务 129 8.1 数据传输 129 8.2 地址 129 8.3 跳计数 129 8.4 服务类型信息 130 8.4.1 优先级 130 8.4.2 带宽预留和服务保证 131 8.4.3 特别的路由计算 131 8.5 网络反馈 132 8.6 分段和重组 132 8.7 最大包的发现 133 第9章 网络层地址 135 9.1 有固定边界的分层地址 135 9.2 有活动边界的分层地址 136 9.3 自有地址和租用地址 137 9.4 地址类型 138 9.5 IP 138 9.5.1 IP地址规定 140 9.5.2 IP地址文字表示 141 9.6 IPX 141 9.6.1 采用唯一ID的保密性问题 142 9.6.2 对IPX恶意的中伤 142 9.6.3 IPX地址管理 142 9.6.4 内部IPX网络号 143 9.7 IPX+ 144 9.8 IPv6 145 9.8.1 IPv6版本编号由来 146 9.8.2 IPv6地址的书写表示 146 9.8.3 IPv6前缀的书写表示 146 9.8.4 EUI-64 147 9.8.5 IPv6中用的EUI-64类型 148 9.8.6 IPv6地址约定 148 9.8.7 从IPv4到IPv6的转换 149 9.9 CLNP网络层地址 149 9.9.1 自动配置 151 9.9.2 内嵌的DTE地址 151 9.10 AppleTalk网络层地址 152 9.11 DECnet Phase 3和Phase 4 153 9.11.1 位的来由 153 9.11.2 DECnet Phase 4地址 153 9.11.3 从DECnet 地址到以太网地址的 映射 153 9.12 NAT/NAPT 154 第10章 无连接数据包格式 156 10.1 无连接网络层的几个部分 156 10.2 数据包 156 10.3 包格式汇总以便参阅 157 10.3.1 IP 157 10.3.2 IPX 157 10.3.3 IPX+ 158 10.3.4 AppleTalk 159 10.3.5 IPv6 160 10.3.6 DECnet 160 10.3.7 CLNP 161 10.4 数据包格式的技术特征与比较 162 10.4.1 目的地址 162 10.4.2 源地址 163 10.4.3 目标与源套接字 163 10.4.4 报头长度 163 10.4.5 包长度 163 10.4.6 报头校验和 164 10.4.7 允许分段 164 10.4.8 包标识 165 10.4.9 分段偏移 165 10.4.10 预分段长度 166 10.4.11 多分段 166 10.4.12 寿命 166 10.4.13 版本号 168 10.4.14 填充 168 10.4.15 协议 168 10.4.16 类型 169 10.4.17 错误报告要求 169 10.4.18 拥塞反馈:源抑制与DEC位 170 10.4.19 服务类型 171 10.4.20 选项 173 10.5 源路由 176 10.5.1 松源路由和紧源路由 177 10.5.2 用一个外出的链路地址重写源 路由 178 10.5.3 用外出的链路地址重写一个目的 地址 178 10.5.4 有源路由选项的安全漏洞 178 10.6 IPX帧格式的大秘诀 179 10.6.1 IPX的四种帧格式 179 10.6.2 多重IPX帧格式的处理 180 10.7 给端节点的出错报告和其他网络 反馈 181 10.7.1 CLNP错误报文 181 10.7.2 ICMP:IP错误报文 182 10.7.3 IPv6错误报文 185 第11章 邻机问候和自动配置 188 11.1 经由点到点链路相连的端节点 188 11.2 经由LAN相连的端节点 189 11.2.1 ES-IS:CLNP的解决方案 190 11.2.2 IP的解决方案 192 11.2.3 IPX的解决方案 197 11.2.4 DECnet的解决方案 198 11.2.5 AppleTalk的解决方案 198 11.2.6 IPv6的解决方案 200 11.2.7 回顾和比较 200 11.2.8 比较 201 11.3 通过非广播的多路访问媒体相连的 端节点 202 11.3.1 不同的解决方案 202 11.3.2 在协议Y的网络中提供组播 203 11.3.3 LAN仿真 205 11.3.4 传统的IP及ARP over ATM 206 11.3.5 去除额外的跳 207 11.4 查找 208 11.4.1 一般性的查找服务 208 11.4.2 AppleTalk的方案 209 11.4.3 NetWare的服务通告协议 210 第12章 路由选择算法概念 212 12.1 距离向量路由 212 12.2 链路状态路由 217 12.2.1 与邻机会话 218 12.2.2 构建一个LSP 218 12.2.3 给所有路由器散播LSP 218 12.2.4 计算路由 224 12.3 链路状态和距离向量路由的比较 225 12.3.1 内存 225 12.3.2 带宽耗费 227 12.3.3 计算量 227 12.3.4 对计算成本的说明 228 12.3.5 健壮性 228 12.3.6 功能性 229 12.3.7 收敛速度 229 12.4 负载分割 230 12.5 链路代价 231 12.6 迁移路由算法 233 12.6.1 运行两个算法 233 12.6.2 人工逐个节点切换 233 12.6.3 转换 234 12.7 LAN 234 12.7.1 把LAN当成一个节点 234 12.7.2 散布路由信息 236 12.8 服务类型 237 12.8.1 处理指令 237 12.8.2 多种度量 237 12.8.3 基于策略的路由和约束 239 12.8.4 静态路由 240 12.8.5 过滤器 240 12.8.6 源路由 240 12.8.7 路由域特有的策略 240 12.8.8 服务类别特有的策略 241 12.9 划分修复:第1层子网划分 242 第13章 快速包转发 245 13.1 使用附加报头 245 13.2 地址前缀匹配 246 13.3 使用Trie算法的最长前缀匹配 247 13.3.1 倒塌一个无分支的长路径 248 13.3.2 以存储空间换取查找时间 248 13.3.3 前缀长度的二分查找 251 13.3.4 利用特殊硬件实现并行性 252 13.4 二分查找 255 13.4.1 前缀排序 255 13.4.2 给用1填充的前缀增加前缀长度 255 13.4.3 排除重复的填充前缀 256 13.4.4 k-ary查找 257 13.4.5 做一次查询 257 第14章 特定的路由协议 259 14.1 域内路由协议简史 259 14.2 RIP 260 14.3 RTMP、IPX-RIP和DECnet 262 14.4 IS-IS、OSPF、NLSP和PNNI 263 14.4.1 层次结构 263 14.4.2 区域地址 268 14.4.3 LAN与指定路由器 269 14.4.4 LAN上LSP的可靠传播 270 14.4.5 参数同步 272 14.4.6 每个包的目的地数目 273 14.4.7 LSP数据库过载 273 14.4.8 认证 274 14.4.9 IS-IS细节 275 14.4.10 OSPF 288 14.4.11 PNNI细节 300 14.5 域间路由协议 301 14.5.1 静态路由 301 14.5.2 EGP 302 14.5.3 BGP 307 第15章 广域网组播 317 15.1 简介 317 15.1.1 第2层组播 317 15.1.2 第3层组播的原因 317 15.1.3 需要考虑的方面 318 15.1.4 (非IP中的)多跳组播 319 15.2 IP中的组播 319 15.2.1 集中式的组播与分散式的组播 320 15.2.2 可以不用第3层组播吗 321 15.2.3 映射NL组播到DL组播 321 15.2.4 IGMP协议 322 15.2.5 IGMP探听 323 15.2.6 反向路径转发 323 15.2.7 距离向量组播路由协议 324 15.2.8 组播OSPF 325 15.2.9 基于核心的树 327 15.2.10 PIM-DM 328 15.2.11 PIM-SM 328 15.2.12 BGMP/MASC 329 15.2.13 组播源分布协议 330 15.2.14 简化组播 330 第16章 防破坏的路由 337 16.1 问题 337 16.2 需要了解的密码系统知识 337 16.3 方法概述 339 16.3.1 强健扩散 339 16.3.2 强健路由 340 16.4 方法的详细描述 340 16.4.1 再谈强健扩散 340 16.4.2 强健的包路由器 343 16.4.3 其他的动态数据库 343 16.5 小结 345 16.6 其他参考资料 345 第17章 路由、桥接,还是交换: 是问题吗 347 17.1 交换机 347 17.2 网桥与路由器 347 17.3 网桥的扩展 349 17.3.1 不只是使用生成树 349 17.3.2 分段网桥 349 17.3.3 IGMP探听 349 17.4 路由器的扩展 350 17.4.1 更快的路由器 350 17.4.2 多协议路由器 350 17.4.3 单协议主干 351 17.4.4 Brouter 352 第18章 协议设计中的诀窍 353 18.1 简单性、灵活性与最优性 353 18.2 了解需要解决的问题 354 18.3 开销与升级 354 18.4 超出能力时的操作 355 18.5 紧凑ID与对象标识符 355 18.6 最普遍或最重要情况的最优化 356 18.7 向前兼容 357 18.7.1 足够大的字段 357 18.7.2 层的独立性 357 18.7.3 保留字段 358 18.7.4 单个版本号字段 358 18.7.5 分割版本号字段 358 18.7.6 选项 359 18.8 迁移:路由算法与编址 359 18.9 参数 360 18.9.1 避免参数 361 18.9.2 合法的参数设置 361 18.10 使多协议操作成为可能 362 18.11 在第3层与第2层上运行 363 18.12 健壮性 364 18.13 决定性与稳定性 365 18.14 实现正确性的性能要求 365 18.15 结束语 366 术语 367