没有ISE的Cisco radius自动vlan分配
我在许多教程中读到,我必须拥有ISE引擎才能使用
authentication event fail retry 3 action authorize vlan 2思科交换机上的命令?这是正确的,我不能在没有任何ISE设备的简单独立开关上实现该功能吗?
目前有一个Windows 2012运行NPS角色,交换机对其进行身份验证,我想知道是否可以在不购买ISE的情况下配置该功能。
回答 3
Network Engineering用户
发布于 2023-01-11 12:43:28
是的,您可以使用NPS来完成它,因为ISE只是花哨的RADIUS服务器。但是NPS配置的细节应该在服务器故障上询问。
Network Engineering用户
发布于 2023-01-11 11:44:19
您需要某种类型的服务器来动态地将VLAN分配给用户。您可以使用RADIUIS或TACACS+服务器,包括ISE。身份验证发生在您配置为在交换机配置中使用的服务器上。
实现这一点的现代方法是使用802.1X,这需要一个服务器。交换机只是将802.1X身份验证消息从主机传递到您在交换机中配置的服务器。当服务器回复时,应答可以包括动态的VLAN分配,但这不一定是802.1X身份验证的主要原因,这通常只是网络上允许主机的身份验证。
请记住,交换机依赖于资源,动态VLAN分配相当复杂,因此它发生在服务器上。即使是较旧的VMPS也需要外部服务器。
Network Engineering用户
发布于 2023-01-11 15:04:10
下面是为Windows服务器完成802.1x动态访问VLAN配置的Windows服务器NPS配置的两个很好的例子,用于连接到设备的端口。
https://community.cisco.com/t5/switching/802-1x-nps-dynamic-vlan-assignment/td-p/3756533
https://networkguy.de/how-to-use-802-1xmac-auth-and-dynamic-vlan-assignment/
希望这将使您很容易实现一个工作的VLAN部署已经到位和所需的半径到NPS的设置。
https://networkengineering.stackexchange.com/questions/81151
复制相似问题
腾讯云开发者
