全网行为管理802.1X（动态VLAN）MAB portal配置说明

客户需求：

客户想要实现有线以及无线（华为和思科交换机）针对客户入网前身份校验和资产识别 入网中终端合规性检测 访问权限控制 入网后行为审计等

1.内部员工通过AD域空账号登录认证 实现动态VLAN的业务切换（802.1X）

2.哑终端（打印机 摄像头）通过MAB认证 实现业务动态VLAN切换(（802.1X+MAB)

3.针对访客实现portal认证对接 记录访问网站 方便溯源分析。

4.并且针对所有用户（访客 员工）的上网权限做管控和审计,以及行为的审计和日志的溯源分析。

5.对客户端进行安全性检测 要求安装杀软或者是进程，不合规断网处理。

客户要求在同一台交换机的同一个接口下实现MAB 802.1X portal认证 这个是支持的

测试环境准备

华为交换机一台 思科交换机一台 华为无线控制器一台 华为AP一台 某公司全网行为设备一台  测试终端笔记本一台 AD域空服务器一台 http服务器一台 一台笔记本模拟外网业务，实现访问http可以进行网页重定向（都是自己搭建的 客户不给提供环境）

部署模式 网关模式部署 部署模式的话关系不大，各个部署模式都是支持802.1X认证的 但是旁路模式部署对UDP流量管控效果不行。

搭建测试环境拓扑

AC网关模式部署部署：LAN口接思科核心交换机  地址是192.168.10.30

                    WAN口http 服务器  地址是192.200.244.254 模拟外网

                     DMZ口接部署完成的AD域空服务器 地址10.28.139.212

                     AC版本本次测试是13.0.7 授权全部开通

思科模拟客户核心交换机 :

起DHCP功能 和AC互联地址是192.168.10.1/24

                       接口配置MAB 802.1X portal认证

                       配置认证服务器策略 SNMP等

                       配置DHCP地址池 和guest VLAN和业务VLAN

华为交换机模拟客户接入交换机:

                       接口配置MAB 802.1X portal认证

                       配置认证服务器策略 SNMP等

华为无线控制器模拟客户现网无线控制器:

                       无线控制器的地址是192.168.10.192

                       配置MAB 802.1X portal认证

                       配置认证服务器策略 SNMP等

配置策略模板 释放SSID信号等

HTTP服务器地址是192.200.244.37 起HTTP服务 模拟外网HTTP应用服务

AD域控配置域账号和密码和AC进行对接 实现域账号登录测试

台式机模拟客户内网的认证终端 安装802.1X客户端

具体配置参考附件

感谢楼主的分享，楼主针对全网行为管理802.1X（动态VLAN）MAB portal配置做了个比较详细的介绍，从客户需求以及环境准备以及交换机上怎么配置都详细的进行了说明，AC上怎么配置的也附上的配置文档，期待楼主后续带来更多有价值的分享

感谢分享

回帖是美德

学习了，感谢分享

感谢分享

值得学习

值得学习