一個SSID下實現動態VLAN劃分

引言：基于無線控制器與“瘦”AP架構實現的無線網絡，往往其一個SSID只能關聯和對應唯一的一個VLAN或IP段，要實現傳統局域網的多VLAN多網段功能，需要廣播多個SSID。無論是在使用和管理上都會造成很大的混亂和不便。本文通過無線控制器與訪問控制服務器配合的方式，實現了在一個SSID下對于不同的接入設備進行認證并動態劃分VLAN及對應IP地址，為以后的無線網絡建設工程提供了比較有價值的參考方案。

本文的配置目標是實現不同設備使用密碼連接到同一個SSID時，通過訪問控制服務器的認證，無線控制器將不同設備分入不同VLAN。

無線控制器的相關設置（以CISCO的WLC5508設備配置方法為例）

1.在WLC中添加訪問控制服務器。打開WLC控 制 臺，進入SECURITY選項(如 圖1)，選 擇AAARADIUS-Authentication，點擊NEW新建一個RADIUS Authentication Servers，輸入ACS的相關信息，如果有多個ACS可以按照認證的先后順序設定優先級。分別輸入ACS的IP地址，共享秘鑰（此秘鑰需注意應與ACS中的Shared Secret完全一致），設定端口號（應與ACS的端口號設定一致）Server Status選擇Enabled,其它選項可保持默認或根據需求調整，例如網絡過于繁忙延遲較大的情況可以適當調高Timeout值。

圖1 WLC-security 界面

圖2 WLAN配置界面

2.建立WLAN。打開WLC控制臺，進入WLANs選項，選擇Create New,建立一個新的WLAN。

3.配 置WLAN。點擊剛剛建立好的WLAN ID，進入WLAN配置界面（如圖 2），在General窗口中，我們需要注意的是Interface選項，因為我們將采用訪問控制服務器進行VLAN劃分，因此此處不用做修改。如果要配置成固定VLAN，此處應該選擇對應的VLAN ID。

在Security界面中，Layer2進行加密方法和密碼的設置。

在AAA界面中進行與訪問控制服務……