このページの目次
クライアント VLAN の自動割り当て
ユーザーが入力したユーザー名/パスワードに従って、特定のVLANに自動的に接続されるようにWLANを設定できます。このためには、MistポータルでRADIUSサーバーを利用して動的VLANを設定します。不明なクライアントの場合は、ゲストネットワークに送信できます。RADIUSサーバーはすでにスイッチに接続されているはずです。同様に、アクセス ポイント(AP)はスイッチに接続され、正しい VLAN が設定されている必要があります。
ダイナミックVLANでサポートされているVLANタイプは、 airespace-interface-name と Tunnel-Private-Group-IDです。
RADIUSセットアップ
RADIUS 側の具体的な設定はプロバイダーによって異なりますが、一般的には、クライアント トラフィックを暗号化および署名するための共有シークレットを構成し、クライアントの IP アドレスからのインバウンド トラフィック を許可 し、セグメント化する WLAN クライアントとそれに関連付けられた VLAN ID を識別するユーザー リストを用意するという考え方です。
FreeRADIUSサーバーを例に、 clients.conf と usersのファイルを編集します。
次のように、 clients.conf でクライアント要求のネットワークとシークレットを構成します。
#client WLAN-1 { # ipaddr= 192.0.2.0/24 # secret= testing123-1 #}
次のように、WLAN ユーザーのリスト(ユーザー名、パスワード、VLAN アソシエーションを含む)を含む /etc/freeradius/user ファイルを構成します。
user1 Cleartext-Password := "password1" User-Name = user1, Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-ID = 10 user2 Cleartext-Password := "password2" User-Name = user2, Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-ID = 20 user3 Cleartext-Password := "password3" User-Name = user3, Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-ID = 30
FreeRADIUSサーバーを使用していて、Access-Acceptリクエストでトンネル属性が返されない場合、および/またはユーザーに(VLANからの)正しいIPアドレスが割り当てられていない場合は、 /etc/freeradius/mods-available/eap.conf
ファイルに行を追加する必要があります。
use_tunneled_reply = yes
WLANのセットアップ
前述のように、ユーザーがログオンしたときに、選択したVLANに自動的に接続されるようにWLANを設定できます。Mist ポータルでは、これはダイナミック VLAN と呼ばれ、次のように機能を有効にすることができます。