针对不同SSID将无线客户端分配到不同的VLAN

在一些公司的无线环境中，经常有需求将不同的无线 用户分配到不同的VLAN中。例如将本公司 员工分配到工作VLAN中，将来访客户分配到访客VLAN中。管理员可以对不同VLAN做相应的网络隔离策略。

本文将讨论通过区分SSID划分VLAN的做法：

有些AP设备支持绑定多个SSID(SSID_A, SSID_B)。

我们可以配置AP设备使用一个Windows Server 2008 R2 NPS服务器做验证。

在NPS服务器上可以针对不同的SSID，将客户端分配到不同的VLAN。

在NPS服务器上，我们可以通过配置”Called Station ID”实现SSID的识别。例如SSID为TestSSID3，我们可以在“Called Station ID”中设置值 “^.*:TestSSID3$”:   

以下是NPS上的配置步骤

===============

1. 针对SSIDA分配VLAN:

a. 创建一条Network policy "Policy_A", 在 "Conditions" 选项卡, 为第一个SSID 添加 Condition "Called-Station ID". 例如, SSIDA, 添加 "Called-Station ID" 为 “^.*:SSIDA$”.
b. 在 "Settings" 选显卡, 在 "Vendor Specific" 部分, 使用VLAN相关属性将VLAN和SSID绑定。

下文详细介绍了如何设置VLAN属性：VLAN Attributes Used in Network Policy

https://technet.microsoft.com/zh-cn/library/cc754422(WS.10).aspx

2. 针对SSIDB分配VLAN
a. 创建一条Network policy "Policy_B", 在 "Conditions" 选项卡, 为第一个SSID 添加 Condition "Called-Station ID". 例如, SSIDB, 添加 "Called-Station ID" 为 “^.*:SSIDB$”.
b. 在 "Settings" 选显卡, 在 "Vendor Specific" 部分, 使用VLAN相关属性将VLAN和SSID绑定。

至此，每个SSID都有相对应的VLAN配置。

日志分析

==========

部署完成后，我们还可以在日志文件中看到"Called-Station ID"的设置。以下例子使用“Called Station ID” 为 “^.*:TestSSID3$”后，验证成功的情况：

在NPS服务器的事件日志中, 我们可以找到SSID为“TestSSID3” 的信息.

在网络抓包文件中，我们可以看到AP设备（NAS server）在 “AttributeCalledStationID” 部分提供了SSID信息：

本博文仅供参考，微软公司对其内容不作任何责任担保或权利赋予。