本地MAC组,在同一端口上具有经过身份验证的附加未经身份验证的MAC地址
我有以下设置:阿鲁巴2930F交换机在一个平面层-2网络,我正试图分离到VLAN。这些开关运行的是AOS (不是CX),固件版本16.11.008。
我有许多Ubiquiti Unifi接入点,一个UAP-AC-PRO,U6-LR和U6-PRO的组合,所有的最新固件。
它们目前有三个虚拟局域网:
1:主要的Wifi (目前最知名和未知的设备)
20:公众Wifi
100:管理(用于管理接口)
其想法是AP为他们的客户端分配VLAN (而不是分配它的交换机),这应该传递给交换机。我现在正在尝试为访问点的端口设置自动VLAN标记,这样就可以将AP从一个端口移动到另一个端口,或者自动设置新的端口。这些an没有一个EAP请求者为他们自己的端口,所以我不能使用EAP分配的VLAN,这将是可行的。
相反,我选择使用阿鲁巴上的Local组功能来设置它。将检测到与组匹配的MAC地址,并将VLAN配置文件应用于该端口。
相关配置如下(端口1是本例中的主要上行链路)
vlan 1
name "DEFAULT_VLAN"
untagged 1
no ip address
exit
vlan 20
name "PublicWifi"
tagged 1
no ip address
exit
vlan 100
name "Management"
tagged 1
ip address dhcp-bootp
exit
aaa port-access local-mac mac-group "APs"
mac-oui 802aa8
exit
aaa port-access local-mac profile "APs"
vlan tagged 20,100
vlan untagged 1
exit
aaa port-access local-mac apply profile "APs" mac-group "APs"
aaa port-access local-mac 5
aaa port-access local-mac 5 unauth-vid 1如您所见,应用于动态AP端口的配置文件有VLAN 1无标记,VLAN 20和100标记。我希望未经身份验证的端口被转储到VLAN 1中。
但是,我看到的结果是,端口只将此配置文件应用于实际AP的MAC地址,而不是应用于通过AP连接的任何后续MAC地址。
MySwitch# show port-access local-mac clients 5
Port Access Local MAC Authentication Client Status
Port MAC Address IP Address Client Status
----- ----------------- ------------------ ----------------------
5 06a259-bfb15e n/a rejected no vlan
5 78b8d6-714e2c n/a rejected no vlan
5 802aa8-997fec n/a authenticated本质上,我希望本地MAC认证以基于端口的方式运行,而不是基于每个MAC的方式。因此,连接到端口( AP)的第一个MAC地址决定应用哪个配置文件。
第8章中的文献资料似乎表明使用基于端口的身份验证是可能的,但是没有关于如何配置它的信息。命令aaa port-access local-mac 5 addr-limit 50没有帮助。
为清楚起见:我请求帮助re阿鲁巴开关配置,而不是Unifi AP。
回答 2
Network Engineering用户
发布于 2023-03-13 21:09:30
我只想让交换机为AP端口分配VLAN标记,以避免手动分配它们。
它不是这样工作的。如果使用端口访问安全(802.1X + RADIUS),则会将单个VLAN分配给身份验证客户端的端口。您不能使用基于MAC的分配,因为WAP是桥接的,在下行链路上显示的是无线客户端的地址。最后,您将手动将这些MACs分配给您的VLAN,这是( a) 2930 F不做,b)将是一个真正的痛苦管理。
您真正想要的是将多个标记的VLAN分配到AP的下行端口。虽然有自动执行的协议(GVRP、MVRP、.),但我并不真正建议这样做--其中一个VLAN需要是不应该动态分配的托管VLAN。
如果a、交换机端口和VLAN的数量太大,无法手动处理,那么您可能需要寻找一个合适的管理工具。只有三个VLAN和少量的开关,这甚至是不必要的。
Network Engineering用户
发布于 2023-03-14 02:08:46
您需要启用“混合模式”:aaa port-access <ports> mixed
“拒绝-没有vlan”意味着unauth-vid不能成功地应用到端口,因为一个授权的客户端有优先权。
要使混合模式发挥作用,unauth vlan和任何来宾vlan必须是相同的,并且没有标记。[参考文献]
https://networkengineering.stackexchange.com/questions/82658
复制相似问题
腾讯云开发者
