透過 RADIUS 的 VLAN Assignment 設定動態 VLAN

透過 RADIUS 的 VLAN Assignment 功能，Omada SDN 方案可讓用戶端透過不同的認證帳號分配對應的 VLAN。使用這種方式，用戶端將從不同 VLAN 取得不同 IP 位址，在無線網路中您不用建立多個SSID綁定不同VLAN;在有線網路中不必將交換器連接埠綁定特定 VLAN。

若要達到上述功能，您將需要 Omada SDN 控制器、EAP 進行無線分配、JetStream 交換器進行有線分配以及外部 RADIUS server。在此文章中，我們將分享下圖網路拓樸的設定手冊。

步驟 1. 設定 RADIUS server。

這裡我們在 Linux 上執行 FreeRADIUS^® server，如需詳細安裝或設定資訊，請參考他們的官網: https://freeradius.org/

首先，編輯“clients.conf”檔，將用戶端 IP 位址設為“192.168.0.0/24”且密碼為“tplink”。

接著，編輯“users” 檔，分別建立兩個帳號“test10(VLAN10)”和“test20(VLAN20)。

您也可以編輯“eap.conf”將 EAP 類型改為 WPA-Enterprise。設定完之後，執行 RADIUS server 以驗證連線請求。

步驟 2. 建立 RADIUS 設定檔。

前往驗證 --- RADIUS 設定檔，建立新的設定檔綁定 RADIUS server，並勾選 “Enable VLAN Assignment for Wireless Network” 將 VLAN 分配給無線裝置。

步驟 3. 為 VLAN assignments 建立更多 VLAN。

假設所有 Omada 設備都已被控制器納管，前往設定 --- 有線網路 --- LAN，建立兩個分別為 VLAN10 和 VLAN20 的介面。

步驟 4. 為無線網路設定 VLAN assignment。

前往設定 – 無線網路，建立加密為 WPA-Enterprise 的新 SSID。關於 WPA-Personal 和 WPA-Enterprise 之間的差異，請參考 FAQ500。

當您的裝置連接 SSID 時，您將被要求選擇 WPA-Enterprise 連線類型，並輸入帳號使用者名稱和密碼。成功透過帳號 “test10” 驗證後，用戶端將從 VLAN10 取得 IP 位址；當使用帳號 “test20” 驗證後，將從 VLAN20 取得 IP 位址。

步驟 5. 為有線網路設定 VLAN assignment。

前往驗證 --- 802.1X 並啟用功能，將驗證類型選為 “Port Based”，啟用 “VLAN Assignment” 並依需求勾選要驗證的連接埠。

請勿點擊連接埠兩次為它們啟用 MAB。

接著前往有線網路 --- LAN --- 設定檔，建立新的連接埠設定檔，將 VLAN10 和 VLAN20 新增至 untagged 網路中，並確認 802.1X Control 模式為 Auto。

接著前往設備，點擊您的交換器，前往連接埠，檢查驗證埠並批次編輯將連接埠設定檔修改為新增的連接埠。

若使用 802.1X 驗證，您需要執行 TP-Link 802.1X Client Software (點擊此處下載)進行驗證。請參考FAQ787 和步驟 3.。