我们可以假设一个情景。一位财务部的无线用户可能要安全地连接至财务VLAN，使用的是一种安全链接加密方法，如Wi-Fi受保护访问。然而，当该VLAN中的用户漫游至其他接入点时，他们可能会无法再访问财务VLAN，因而也就无法获取需要的网络资源。如果要对网络进行重新配置，并使用户在整个公司里的每个接入点都能访问VLAN的话，整个重新配置的过程将变得非常繁杂，当然也不可能成为有竞争力的解决方案。
　　然而，802.1x基于端口的验证方法则可以提供一个有效的框架，为以太网和无线网络上的用户提供基站访问授权。802.1x使用可扩展验证协议（EAP)来中继局域网基站（请求者）、以太网交换机或无线接入点（验证者）与RADIUS服务器（验证服务器）之间的端口访问请求。
　　用于保护Wi-Fi网络用户的核心机制是基于数据加密和用户验证的方法，而非通常使用的基于角色的验证方法。基于角色的802.1x VLAN关联具有很大的吸引力，因为它可以提供合理的工作组流量分割，并且更容易与有线网络上配置的安全和流量工程策略集成在一起。
　　网络管理员通常都希望为所有用户保留原有的扩展服务集ID（ESSID）和加密档案。这样，当用户进入无线局域网时，系统可根据验证服务器上已经配置好的属性，将用户分配至不同VLAN内的不同工作组中。如果不使用基于角色的VLAN，这种方法基本上是不可能实现的，除非对无线局域网的许许多多配置逐个调整，为每个用户组引入新的ESSID。这种做法无疑需要巨大的资金投入和高昂的运营费用。
　　无线局域网交换机可以支持各种类型的用户角色，以及不同的访问权限和VLAN关联。它还可以支持多种类型的服务器规则，并从中引申出用户角色，如RADIUS服务器发出的访问接受信息中的RADIUS属性。例如，某一条服务器规则用于提取某个特定RADIUS属性中的数值，并使用该数值作为角色。在802.1x验证中，客户机通过一个无线局域网交换机验证至RADIUS服务器。然后，无线局域网根据执行服务器规则后产生的角色，在VLAN与客户机之间建立关联。
　　一旦与接入点之间的关联建立完成，无线局域网交换机将客户机置于未授权状态下。在这种状态下，只有客户机生成的802.1x EAP包才能通过无线局域网转发。无线局域网交换机发送一条EAP Request-ID，即用户身份请求信息给客户机。客户机则回应一条EAP Response-ID信息。此后，无线局域网交换机将EAP Response-ID封包为一条RADIUS访问请求信息，并将其转发给RADIUS服务器。
　　如果验证成功，RADIUS服务器将访问接受信息发送给无线局域网交换机。这条信息可以识别不同的用户属性，如角色和访问权限。然后，无线局域网交换机会对这条回应信息进行解析，并确定客户机应当被分配至哪一个VLAN。
　　使用该信息，无线局域网交换机便将客户机分置于授权状态下，并发送一条EAP Success信息。此后，交换机才将来自客户机的所有数据流量转发给合适的VLAN。在收到EAP Success信息后，客户机将启动动态主机配置协议，并从基于角色的VLAN上获得一个IP地址
　　

文章转载地址：http://cisco.chinaitlab.com/VLan/16912.html