动态VLAN配置实例

VLAN的作⽤以及配置⽬录⼀、为什么需要VLAN1、什么是 VLAN(Virtual LAN)，翻译成中⽂是“虚拟局域⽹”。

LAN可以是由少数⼏台家⽤计算机构成的⽹络，也可以是数以百计的计算机构成的企业⽹络。

VLAN所指的LAN特指使⽤路由器分割的⽹络——也就是⼴播域。

简单来说，同⼀个VLAN中的⽤户间通信就和在⼀个局域⽹内⼀样，同⼀个VLAN中的⼴播只有VLAN中的成员才能听到，⽽不会传输到其他的VLAN中去，从⽽控制不必要的⼴播风暴的产⽣。

同时，若没有路由，不同VLAN之间不能相互通信，从⽽提⾼了不同⼯作组之间的信息安全性。

⽹络管理员可以通过配置VLAN之间的路由来全⾯管理⽹络内部不同⼯作组之间的信息互访。

2、未分割VLAN时将会发⽣什么? 那么，为什么需要分割VLAN(⼴播域)呢?那是因为，如果仅有⼀个⼴播域，有可能会影响到⽹络整体的传输性能。

具体原因，请参看附图加深理解。

图中，是⼀个由5台⼆层交换机(交换机1～5)连接了⼤量客户机构成的⽹络。

假设这时，计算机A需要与计算机B通信。

在基于以太⽹的通信中，必须在数据帧中指定⽬标MAC地址才能正常通信，因此计算机A必须先⼴播“ARP请求(ARP Request)信息”，来尝试获取计算机B的MAC 地址。

交换机1收到⼴播帧(ARP请求)后，会将它转发给除接收端⼝外的其他所有端⼝，也就是泛滥了。

接着，交换机2收到⼴播帧后也会泛滥。

交换机3、4、5也还会泛滥。

最终ARP请求会被转发到同⼀⽹络中的所有客户机上，这也就是⽹络风暴。

我们分析下，这个计算A的ARP请求原本是为了获得计算机B的MAC地址⽽发出的。

也就是说：只要计算机B能收到就万事⼤吉了。

可是事实上，数据帧却传遍整个⽹络，导致所有的计算机都收到了它。

如此⼀来，⼀⽅⾯⼴播信息消耗了⽹络整体的带宽，另⼀⽅⾯，收到⼴播信息的计算机还要消耗⼀部分CPU时间来对它进⾏处理。

造成了⽹络带宽和CPU运算能⼒的⼤量⽆谓消耗，可能会造成⽹络瘫痪。

详解:VLAN+路由器典型配置实例近期看到有些朋友问交换机划 VLAN 后接路由器如何配置访问外网，其实这是个比较简单，也比较典型的配置。

网上也很容易找到，但都不系统很零散。

这里针对几种常见的情况，分别做了配置：1、拓扑结构图：1）本例中的路由器均为华为 AR28-10,交换机 SW1为华为的 S3526 带3 层交换功能，SW2为华为 2403H-EI二层交换机。

2）图模拟了常见的拓扑结构。

也没有用到任何厂商特性，因此也适用于其他厂商的设备，只是命令行有所不同。

2、基础配置：ISP:interface Serial0/0 #配置和RA相连的接口clock DTECLK1link-protocol pppip address 10.0.1.1 255.255.255.252interface LoopBack0 #配置该接口模拟 internet 的一个 IP。

ip address 1.1.1.1 255.255.255.255ip route-static 59.61.94.144 255.255.255.248 10.0.1.2 preference 60 #将该地址段指向 RA，也即分配地址池给 RA。

RA:nat address-group 0 59.61.94.145 59.61.94.150 #配置NAT 地址池，也即ISP分配的地址段。

（如果外网接口类型为广播，则最好把这些地址配置给LOOPBACK接口，否则可能不同，但此例是点对点接口，无此问题）acl number 2000 #配置NA T 用的ACL列表rule 0 permit source 172.16.0.0 0.0.0.255rule 1 permit source 172.16.1.0 0.0.0.255rule 2 permit source 10.0.0.0 0.0.0.3interface Ethernet0/0 #配置内网口ip address 10.0.0.1 255.255.255.252interface Serial0/0 #配置外网口link-protocol pppip address 10.0.1.2 255.255.255.252nat outbound 2000 address-group 0 #做NA T，采用先前配置的地址池。

VLAN典型配置举例1. 组网需求●Device A与对端Device B使用Trunk端口GigabitEthernet1/0/1相连；●该端口的缺省VLAN ID为100；●该端口允许VLAN2、VLAN6到VLAN50、VLAN100的报文通过。

2. 组网图图1-4 配置基于端口的VLAN组网图3. 配置步骤(1)配置Device A# 创建VLAN2、VLAN6到VLAN50、VLAN100。

<DeviceA> system-view[DeviceA] vlan 2[DeviceA-vlan2] quit[DeviceA] vlan 100[DeviceA-vlan100] vlan 6 to 50Please wait... Done.# 进入GigabitEthernet1/0/1以太网端口视图。

[DeviceA] interface gigabitethernet 1/0/1# 配置GigabitEthernet1/0/1为Trunk端口，并配置端口的缺省VLAN ID为100。

[DeviceA-GigabitEthernet1/0/1] port link-type trunk[DeviceA-GigabitEthernet1/0/1] port trunk pvid vlan 100# 配置GigabitEthernet1/0/1禁止VLAN1的报文通过（所有端口缺省情况下都是允许VLAN1的报文通过的）。

[DeviceA-GigabitEthernet1/0/1] undo port trunk permit vlan 1# 配置GigabitEthernet1/0/1允许VLAN2、VLAN6到VLAN50、VLAN100的报文通过。

[DeviceA-GigabitEthernet1/0/1] port trunk permit vlan 2 6 to 50 100Please wait... Done.[DeviceA-GigabitEthernet1/0/1] quit[DeviceA] quit(2)配置Device B，与设备A配置步骤雷同，不再赘述。

VLAN的划分和网络的配置实例VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"，注意不是"VPN"（虚拟专用网）。

VLAN是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。

这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。

但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。

由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。

通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。

在共享网络中，一个物理的网段就是一个广播域。

而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。

这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。

这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。

在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。

同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很好的控制不必要的广播风暴的产生。

利用802.1X、动态VLAN和DHCP技术实现方案利用802.1X、动态VLAN和DHCP技术实现方案一、前言各行各业网络的快速发展，尤其是企业局域网的建设发生了日新月异的变化。

金融业电子商务、网上办公、业务系统处理已应用工作中的方方面面，但是由于局域网大量建设、网络接入的灵活性、开放性给企业安全管理带来了新的课题，如何建立安全灵活的可有效防范的企业局域网安全摆在各企业IT管理者的面前。

目前发生在各金融行业的安全事件中，大多是由于不合理的使用网络资源、病毒传播造成网络拥挤、随意更改IP地址银企网络冲突、移动办公用户随意接入等不确定因素造成，给金融行业信息系统安全生产运行带来了严峻挑战。

在网络接入点控制、地址分配、资源管理利用、授权访问等方面，很有必要研究技术手段解决网络接入带来的安全隐患。

本文主要在网络接入点控制和授权访问方面进行分析。

目前局域网身份主要采取PPPoE,WEB+Portal,EAPoL等方式，前两种方案硬件投入大且无法有效的解决认证安全的问题，尤其是接入点控制。

IEEE 802.1X标准认证协议和动态VLAN的引入，在以太网交换机端口实现对用户认证、授权，，以其实现技术简单、灵活、投入收成为企业局域网的首选。

利用802.1X和RADIUS认证服务器的授权控制，根据用户不同动态分配交换机端口VLAN属性、ACL控制、利用DHCP分配IP地址实现较灵活的控制，实现了用户地址分配和一定范围内的移动办公需求。

整套方案应用成熟，易于实现，给企业局域网安全管理提供了一种有效的解决途径。

二、技术简介1、IEEE 802.1X认证协议它是基于C/S结构面向端口的访问控制认证协议。

交换机端口有几种状态Block、Listen、Learn和Forward，如果端口不配置认证，PC配置相应的地址即可访问网络。

通过对端口802.1X的配置，端口处于受控状态Authen和UNAuthen，在未认证状态下，端口仅收发EAPoL等认证包信息，不允许存取网络，如果未配置VLAN，端口处于那个VLAN都未知；在认证通过后，根据用户在服务器上的配置，端口分配相应特性，才可以存取网络。

一、802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。

现在已经开始被应用于一般的有线LAN的接入。

为了对端口加以控制，以实现用户级的接入控制。

802.1x就是IEEE为了解决基于端口的接入控制（Port-BasedAccess Control）而定义的一个标准。

1、802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。

2、802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个―端口‖就是一条信道）3、802.1X的认证的最终目的就是确定一个端口是否可用。

对于一个端口，如果认证成功那么就―打开‖这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持―关闭‖，此时只允许802.1X的认证报文EAPOL（Extensible AuthenticationProtocoloverLAN）通过。

二、802.1X 的认证体系分为三部分结构：SupplicantSystem，客户端(PC/网络设备)AuthenticatorSystem，认证系统Authentication ServerSystem，认证服务器三、认证过程1、认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；2、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等；3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。

4、Supplicant System-Client（客户端）是—需要接入LAN，及享受c3560提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1Xcomplain、WindowsXP等和802.1x相关的ACS主要配置内容：5、Cisco 文档说ACS3.0乊前是不支持802.1x的。

LACP 配置实例在上图的网络中有两台交换机通过一个动态的以太网链路聚合互联,每台交换机上需要配置两个VLAN, VLAB 2 和VLAN 3,分别配置相应的路由端口。

假设互连端口均为2/1-2.第一步: 在交换机 A 上创建所有VLAN,分配固定端口和路由接口-> vlan 2-> vlan 2 port default 1/1-4-> vlan 3-> vlan 3 port default 1/5-8-> ip interface vlan2 address 192.168.10.1 mask 255.255.255.0 vlan 2-> ip interface valn3 address 192.168.12.1 mask 255.255.255.0 vlan 3第二步: 在交换机 B 上创建所有VLAN 和路由端口-> vlan 2-> vlan 2 port default 1/1-4-> vlan 3-> vlan 3 port default 1/5-8-> ip interface vlan2 address 192.168.10.2 mask 255.255.255.0 vlan 2-> ip interface vlan3 address 192.168.12.2 mask 255.255.255.0 vlan 3第三步: 在交换机A 上创建动态链路聚合-> lacp linkagg 1 size 2 admin state enable-> lacp agg 2/1 actor admin key 1-> lacp agg 2/2 actor admin key 1第四步: 在交换机B 上创建动态链路聚合-> lacp linkagg 1 size 2 admin state enable-> lacp agg 2/1 actor admin key 1-> lacp agg 2/2 actor admin key 1第五步:在交换机A 上将互联连路聚合上打上802.1q 标签。

动态VLAN动态VLAN根据终端用户的MAC地址，决定属于哪一个VLAN；VMPS（VLAN 管理策略服务器) 中包含一个文本文件，文件中存有VLAN与MAC地址对应表。

交换机对这个文件进行下载，然后对文件中的MAC地址进行校验。

而静态VLAN是根据交换机的端口划分VLAN。

原理当启动了VMPS以后，交换机首先会从一个预先指定好的TFTP服务器上下载MAC地址-VLAN的映射数据库，这个数据库是一个预先写好的文本文件，然后它会打开一个UDP进程来监听从客户端发来的请求，并进行处理。

当VMPS接到从客户端发来的一个合法请求后，首先是查看数据库中是否有该MAC地址 -VLAN的映射记录。

如果有，则把对应的VLAN号发给客户端交换机；如果没有，且VMPS处于非安全模式下，则客户端只是简单地拒绝该主机的访问；同样是没有该MAC地址的映射记录，但VMPS处于安全模式下，则客户端交换机上连接该MAC的断口被关闭，想要重新开启此端口，只有进行手工操作。

用户可以配置一个缺省的VLAN，如果数据库中没有该MAC的记录，则它会被分配到这个VLAN上。

用户也可以使用NONE关键字来明确地指定一个MAC 不能属于某个VLAN。

VMPS还提供了一些策略，以使VMPS配置起来更加灵活。

这些策略包括端口组（Port-group）和VLAN组（VLAN- group）配置---- 在Catalyst 5000系列交换机上配置VMPS首先要创建一个VMPS 数据库。

在创建VMPS数据库时需要注意以下几个问题：（1）文件以“VMPS”开始，这样可以避免交换机错误地读入其他文件；（2）定义VMPS域，使其和VTP的域一致；（3）定义安全模式，可以是Open或者Secure; （4）（可选）定义缺省VLAN;（5）定义MAC地址-VLAN映射关系；（6）定义VLAN 分配的策略。

---- 在Catalyst 5000系列交换机中，配置VMPS的步骤如下。

实验四VLAN配置实验一、实验目的1.了解华为交换机的基本功能。

2. 掌握虚拟局域网VLAN的相关知识，配置交换机VLAN功能。

3. 掌握VLAN的创建、Access和Trunk接口的配置方法。

4. 掌握用于VLAN间路由的Trunk接口配置、单个物理接口上配置多个子接口、以及在VLAN间实现ARP的配置。

5. 掌握通过三层交换机实现VLAN间通信的配置过程。

二、实验环境配置网卡的电脑。

华为ensp模拟软件。

交换机与路由器。

三、实验内容1.配置VLAN。

2.配置单臂路由实现VLAN间路由。

3.配置三层交换机实现VLAN间路由。

四、相关知识VLAN简介VLAN又称虚拟局域网，是一种通过将局域网内的设备逻辑而不是物理地划分成一个个网段从而实现虚拟工作组的技术。

VLAN技术允许将一个物理LAN逻辑划分成不同的广播域，每个主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。

同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息相互隔离。

每一个VLAN都包含一组有着相同需求的电脑，但这些工作站不一定属于同一个物理LAN网段。

VLAN内部的广播不会转发到其他VLAN中，从而控制流量、简化网络管理、提高网络的安全性。

交换机基于端口，MAC地址，网络层地址及IP组播进行VLAN划分。

将端口分配给VLAN的方式有两种，分别是静态的和动态的。

形成静态VLAN的过程是将端口强制性地分配给VLAN的过程。

即先建立VLAN，然后将每个端口分配给相应的VLAN的过程。

这是创建VLAN最常用的方法。

五、实验范例范例一配置单臂路由实现VLAN间路由1．实验场景企业内部网络通常会通过划分不同的VLAN来隔离不同部门之间的二层通信，并保证各部门间的信息安全。

但是由于业务需要，部分部门之间需要实现跨VLAN通信，本实验中借助路由器，通过配置单臂路由实现跨VLAN通信的需求。

2．实验网络拓扑图实验拓扑中，两台PC机通过交换机S1相连，S1与路由器R1相连。

H3C S5130-EI 跨网段动态分配IP 地址典型配置举例目录1 简介 (1)2 配置前提 (1)3 跨网段动态分配IP地址配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (2)3.3 使用版本 (2)3.4 配置步骤 (2)3.5 验证配置 (5)3.6 配置文件 (5)4 相关资料 (7)1 简介本文档介绍了通过 DHCP 服务器和 DHCP 中继为用户动态分配 IP 地址的配置举例。

2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解 DHCP 相关特性。

3 跨网段动态分配IP 地址配置举例3.1 组网需求如 图 1 所示，公司总部和分支机构处于不同的网段，网关DeviceA 充当DHCP 服务器，要求：• 为总部分配 10.1.1.2～10.1.1.100 之间的 IP 地址；• 为分支机构分配 10.1.3.2～10.1.3.100 之间的 IP 地址，其中 10.1.3.2～10.1.3.48 之间的 IP地址分配给分支机构 1，10.1.3.49～10.1.3.100 之间的 IP 地址分配给分支机构 2；• 指定 DNS 服务器的固定 IP 地址为 10.1.1.3/24，TFTP 服务器的固定 IP 地址为 10.1.1.4/24； •分配 DNS 服务器、TFTP 服务器和网关等配置信息。

网关 DeviceB 充当 DHCP 中继，要求：• 通过配置 DHCP 中继功能，使得 DHCP 服务器能够为分支机构分配 IP 地址、DNS 服务器、TFTP 服务器和网关等配置信息；• 防止分支机构中存在非法主机配置静态 IP 地址访问网络； •为每个区域分配特定范围内的 IP 地址。

图1 跨网段动态分配 IP 地址配置组网图设备接口 IP 地址 设备 接口 IP 地址DNS TFTP serverserver10.1.1.3/24 10.1.1.4/24branch1Vlan-int3 GE1/0/1Vlan-int2 GE1/0/2Vlan-int2 GE1/0/2Vlan-int3 GE1/0/1 Device A DHCP server Device B DHCP relayVlan-int3 GE1/0/3headquartersbranch23.2 配置思路•DHCP Server 分配IP 地址时，不能将DNS Server 和TFTP Server 的IP 地址分配出去，所以需要将这两台服务器的IP 地址配置为不参与自动分配的IP 地址。

CISCO动态VLAN配置一.基于VMPS的动态VLAN配置实例网络中VLAN实现分为静态VLAN和动态VLAN。

静态VLAN又被称为是基于端口的VLAN。

顾名思义，就是明确指定各端口属于哪个VLAN的设定方法，交换机中某个端口属于哪个VLAN是相对固定的。

动态VLAN则是根据每个端口所连的计算机，随时改变端口所属VLAN。

静态VLAN在这里我们就不讲了，由于网络中的计算机需要变更所连端口时，就必须同时更改所连端口所属VLAN的设定-----这是不适合那些需要频繁改变拓扑结构的客户需求的。

而动态VLAN则不同，由于它可以根据每个端口所属的计算机，随时改变端口所属的VLAN，所以当网络中计算机变更所连端口或交换机时，VLAN不用重新配置。

而它基于MAC地址或用户的认证方式，也可以杜绝非法接入网络的问题。

动态VLAN实现技术主要有两种：一是基于用户的动态VLAN，二是基于MAC地址的动态VLAN。

基于用户的动态VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。

这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是域中使用的用户名。

也就是说用户只要通过自己在域中的用户名，不管在那台电脑上都能够接入到自己所属的VLAN当中。

基于MAC地址的动态VLAN，就是通过查询并记录端口所连计算机上的MAC地址来决定端口所属VLAN。

当分配给动态VLAN的交换机端口被激活后，交换机就缓存初始帧的源MAC地址。

随后，交换机便向一个称为VMPS(VLAN管理策略服务器)的外部服务器发出请求，VMPS中包含一个文本文件，文件中存有进行VLAN映射的MAC地址。

交换机对这个文件进行下载，然后对文件中的MAC地址进行校验。

如果在文件列表中找到MAC地址，交换机就将端口分配给列表中该MAC所对应的VLAN。

所有列表中没有的话，交换机就会将该端口分配给默认VLAN(假设已经定义了默认VLAN)。

IEEE 802.1x 名为基于端口的访问控制协议（ Port based network access control protocol），它源于IEEE 802.11 无线以太网（EAPOW）。

该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现认证与业务的分离，保证了网络传输的效率。

用户通过认证后，业务流和认证流分开，对后续的数据包处理没有特殊要求。

本节讲述如何在Catalyst 系列交换机上使用802.1x 实现动态VLAN 技术，拓扑图如下：第一步，在交换机上启动AAA，配置认证和授权。

第二步，配置AAA 服务器参数。

第三步，启动802.1x。

第四步，配置Radius 服务器。

1、在ACS 导航条中点击“Network Configuration”将交换机添加为AAA client，认证协议使用“Radius（IETF）”，如下图所示：2、在ACS 导航条中点击“Interface Configuration”，点击“Radius（IETF）”进入以下界面：选中“ [064] Tunnel-Type ”、“ [065] Tunnel-Medium-Type ”、“ [081]Tunnel-Private-Group-ID”复选框，点击“submit”。

3、在ACS 导航条中点击“User Setup”添加用户并且分配到相应的组中。

4、在ACS 导航条中点击“Group Setup”编辑组设置，将“[064] Tunnel-Type”标签1 的值设置为“VLAN”，将“[065] Tunnel-Medium-Type”标签1 的值设置为“802”，将“[081] Tunnel-Private-Group-ID”标签1 的值设置为该组用户所对应的VLAN ID。

如下图所示：5、在ACS 导航条中点击“System configuration”，将“Allow LEAP (For Aironet only)”签名的勾去掉，如下图所示：第五步，测试。

【标题】 WLC上基于ACS与AD组映射的动态VLAN分配的配置方法【译者姓名】 张啸天【校对人】 吴小刚【翻译完成时间】 2008‐11‐28【原文英文标题】 Dynamic VLAN Assignment with WLCs based on ACS to Active Directory Group Mapping Configuration Example【原文链接】：/en/US/products/ps6366/products_configuration_example09186a00808c 9bd1.shtml【翻译内容】 见下文WLC上基于ACS与AD组映射的动态VLAN分配的配置方法文档编号: 99121介绍前提要求使用的设备惯例背景知识ACS上使用Windows用户数据库做组映射的限制配置网络示意图配置方案配置AD以及Windows用户数据库将网络中的服务器配置成域控制器在域中创建AD用户及用户组将ACS服务器作为成员添加入域配置思科ACS在ACS上配置Windows用户数据库认证和组映射配置ACS上动态VLAN分配配置无线局域网控制器在WLC上配置认证服务器在WLC上配置动态接口（VLAN）配置WLANs (SSID)配置无线客户端验证排障排障命令相关信息介绍本文解释了如何使用微软® Windows AD 数据库去认证无线客户端，如何配置思科ACS 用户组及AD用户组的映射关系，以及如何通过ACS组映射来动态的给通过认证的无线客户端动态分配VLAN。

本文主要讨论在ACS软件上的AD组映射，并不适用于ACS-SE 引擎。

前提要求在你配置之前确认满足以下条件：y拥有无线局域网控制器（WLCs）和轻量级接入点(LAP)的基本知识y对于思科的ACS有功能性的了解y对无线网络及无线网络安全问题有完整的了解y了解动态VLAN的功能，知道如何配置动态VLAN对于更多信息，请参阅动态VLAN的分配相关的知识。

XX公司无线工程实施手册第一章：工程概述 (3)1 工程介绍 (3)2 设计方案及实现目标 (3)第二章：无线工程项目实施 (4)2.1步骤一：项目实施准备工作 (5)2.2步骤二: 现场勘查 (5)2.3步骤三: 工程实施协调会 (5)2.4步骤四：设备连接 (5)第三章：配置文档 (7)3. 1 控制器C4402配置 (7)3.1.1注册AP到控制器 (7)3.1.2配置AP (9)3.1.3配置RADUI&艮务器 (11)3.1.4增加WLAN (12)3. 2 ACS配置 (15)3.2.1初次使用ACS (15)3.2.2创建一个用户 (15)3.2.3定义AAA客户端 (17)3.2.4安装证书，选择认证类型 (18)3.3实现一个SSID接入多个动态VLAN网段 (20)3.4客户端配置 (30)第一章：工程概述1工程介绍XX公司（以下简称XX电子公司）是世界上最大的显示器生产企业地处福清市，新厂区办公楼为5层。

XX电子公司无线网络需求是在整座办公楼内做无线信号覆盖，办公楼层和会议室楼层，外来客户可以实现无线移动办公。

XX电子公司无线局域网本期工程无线网络信号需要覆盖区域总共五楼。

无线用户需要在上述区域的任何地方上网且用户可以在新厂区办公楼内无缝漫游。

2设计方案及实现目标根据XX电子公司大楼的信息点部署，物理分布和实际网络结构特点，此次工程实施选用集中无线网络解决方案，整体划一，系统管理，准确定位，高效运营，全面满足XX电子公司无线网络的业务需求。

网络拓扑图如下电子公司大楼无线网络拓朴图在中心机房放置思科无线综合控制器AIR-WLC4402-50-K9通过光口与核心交换机6506相连。

AP布置在各楼层，通过楼层交换机连接到核心交换机上。

由于工程使用“瘦” AP1020因此在核心交换机上设置DHCP以将AP注册到控制器C4402上。

将ACS 和WCS连入服务器网段。

第二章：无线工程项目实施2.1步骤一：项目实施准备工作准备好设备所需的电源及空间，无线控制器C4402有两路电源到机柜，机柜应配备足够的接线排。