在802.1x认证实际应用中，我们有的客户会有这种想法：使用一个或多个SSID，利用无线控制器内部的认证服务器或外部Radius服务器，希望对每个通过认证的用户，根据用户名指派到各自的VLAN中去。NETGEAR ProSafe WFS709TP是可以实现这个功能的，下面，我们就分别以内部服务器和外部服务器的例子来说明配置方法。

第一部分：使用WFS709TP内部认证服务器

一、拓扑结构图

WFS709TP上面开启VLAN 1和VLAN 2，但只提供了一个VLAN 1的SSID：guest，使用内部服务器提供802.1x认证。下面有两个客户端，用户名分别为aaa和bbb。正常情况下，这两个客户端认证通过后都是分配到VLAN 1中的。现在我们需要将aaa这个用户指派到VLAN 2中去。（假设VLAN 1和VLAN 2中都有各自的DHCP服务器。）

二、设置方法

1、首先创建一个使用内部服务器进行802.1x认证的SSID：guest，并创建两个用户aaa和bbb，如下图所示：

2、进入Configuration > Advanced > Security > AAA Servers > Internal DB中，在Server Rules中点Add。如下图：

3、设置Attribute为“User-Name”，请注意大小写和中间的横杠。Condition选equals（等于），Value填入要设置的用户名，VLAN选要指定的VLAN号。

注：

Attribute是指Radius服务器里各种参数的属性类型，有专门的名字，不能随便写，如“User-Name”就代表用户名，不能写成“UserName”或“User Name”等。

Condition是指条件，有“包含”、“以此结尾”、“等于”、“不等于”、“以此开头”、“值为”等几种。

Value就是填入Attribute属性的值了。

本例中的设置意思就是：当User-Name的值equals（等于）aaa时，将此用户指派到VLAN 2。

设置完成后点Apply应用，则回到前面的页面了。

4、此时用客户端来测试（客户端设置可参考本文最后的方法），当用户名使用bbb时，获取的IP为VLAN 1中的地址（192.168.1.0），如下图：

5、当使用aaa用户名时，获取的IP为VLAN 2中的地址（192.168.2.0），如下图：

第二部分：使用外部Radius服务器（Windows 2003 Server + IAS + Active Directory）

一、拓扑结构图

WFS709TP上开启VLAN 1和VLAN 2，分别对应两个SSID：gn1和gn2，这两个SSID均为802.1x认证，使用外部Radius服务器。VLAN 1和VLAN 2中都有各自的DHCP服务器。现有两个用户，分别使用用户名aaa和bbb。WGL102连在VLAN 1中。

要求：用户aaa不论在哪个SSID下，都是分配到VLAN 1中的；而用户bbb不论在哪个SSID下，都是分配到VLAN 2中。

二、设置方法

（一）WFS709TP的设置

1、创建VLAN 1和VLAN 2

2、设置两个SSID：gn1和gn2，分别对应VLAN 1和VLAN 2，采用802.1x认证方式，并使用外部Radius服务器认证。

（二）Radius服务器的设置

环境：

Microsoft Windows Server 2003 Enterprise Edition（Service Pack 2）
Active Directory、IAS

1、Active Directory的设置

1.1在Active Directory用户和计算机中，右键点Users，在“新建”中选“用户”，创建两个用户：aaa和bbb

（新建用户的过程比较简单，不具体描述了）

1.2修改用户的属性：双击“aaa”，进入“拨入”选项卡中，将远程访问权限设为“允许访问”。

1.3同样方法修改“bbb”的属性。

1.4新建两个组：vlan1和vlan2，为每个VLAN创建一个组，组里包含的就是各个VLAN的用户。

1.4.1右键点Users，在“新建”中选“组”

1.4.2设置“组名”，作用域选“全局”，组类型选“安全组”。

两个组建好后如下图：

1.4.3将aaa和bbb分别加入到两个组中

双击“vlan1”，选择“成员”选项卡，然后点“添加”，在出来的窗口填入“aaa”，最后点“确定”，即可将用户aaa加入vlan1组中。

1.4.4同样方法将bbb加入vlan2组。

2、Internet验证服务（IAS）的设置

2.1新建Radius客户端。

进入Internet验证服务（IAS），右键点“RADIUS客户端”，选择“新建RADIUS客户端”。

填入自定义的名称，例如server2；客户端地址是指支持Radius Standard、IEEE802.1x的网络设备的IP地址，也就是指的WFS709TP了，例如 192.168.1.250。

选择标准Radius，并设置共享密钥（须与WFS709TP的Radius Shared Key一致）。然后点完成结束。

2.2新建访问策略。

2.2.1右键点“远程访问策略”，选择“新建远程访问策略”

2.2.2在出来的向导中，选自定义访问策略

2.2.3下一步，在策略状况下点“添加”，选择“Windows-Groups”，再点添加

随后会出现添加组的窗口，也是点“添加”，然后输入“vlan1”这个组名，点确定。

2.2.4经过确定，策略添加成功，点下一步

2.2.5授予远程访问的权限

2.2.6下一步，编辑配置文件，进入“身份认证”选项卡，点击“EAP方法”

这里可以选择认证的类型，一般无线网卡通用的是PEAP方式

2.2.7再进入“高级”选项卡，点“添加”。

1）首先添加Tunnel-Medium-Type属性

添加多值属性“802”

2）再添加Tunnel-Pvt-Group-ID

添加多值属性，格式为字符串，输入的参数代表VLAN ID或VLAN Name。所以输入1表示VLAN 1。

3）最后添加Tunnel-Type属性

添加多值属性“Virtual LANs（VLAN）”

2.2.8完毕后，可以看到刚才添加的三个属性已经在配置文件中了。

2.2.9再点下一步，即完成了VLAN 1的策略。

2.3使用同样方法，完成VLAN 2的策略。

注意：

• 每个策略对应一个VLAN组，所以要为每个VLAN组都要建立一个这样的策略
• 在“远程访问策略”中，若有默认策略，需要将默认策略放到最后，使其优先级最低。

三、客户端检测（无论使用内部还是外部的服务器，若是PEAP认证的，都可以用XP自带的802.1x客户端来连接）

1、添加gn1这个SSID

2、验证选择PEAP方式

3、点“属性”，将下图中的勾去掉，然后一路点“确定”退出。

4、单击电脑右下角的提示，会出现输入用户名和密码的窗口

输入用户名和密码，若正确，则可以连接成功。

5、如下图所示，客户端连接的是gn1（VLAN 1），而拿到的IP为VLAN 2这个段的。这说明bbb用户已经动态的指派到VLAN 2中了。