Hola, OrlandoP
Considera otras opciones, no solo Cisco. Hoy en día, casi todos los fabricantes soportan autenticación, y Cisco no es el más flexible en esto. En cuanto a tus preguntas:
- La autenticación se habilita por puerto, no por VLAN. Tendrás que localizar los servidores y configurar adecuadamente sus puertos.
- El NPS o Radius que decidas utilizar puede ir instalado en cualquier máquina del dominio, pero si lo activas en el controlador te ahorrarás unos cuantos pasos. Muy posiblemente tendrás que generar un certificado digital para el mismo
(basta con iniciar la autoridad de certificación si lo tienes instalado en el controlador). Luego ya necesitarás dicha autoridad de certificación o no en función del tipo de autenticación que desees hacer.
- Las cuentas del dominio te servirán para los usuarios o máquinas del dominio. Todo lo que esté en el directorio activo podrá ser autenticado vía NPS. Para los invitados, tendrás que poner una regla en el NPS que
distinga desde qué equipo o SSID wireles se está intentando entrar, o en base a algún otro criterio que te permita diferenciar quién es un invitado y quién no. También puedes crear una cuenta de invitado dentro del
directorio.
- Lento, no suele serlo, en unos pocos segundos se completa todo el proceso. El equipo puede tener una IP estática previamente o no tenerla, y solicitarla después por DHCP. Da igual, porque la autenticación funciona a nivel 2, y no es
necesario tener una dirección IP previa. Estrictamente, no existe ningún tipo de conectividad con la red hasta que se completa la autenticación con éxito, así que el DHCP tampoco funcionará hasta después de
autenticado. Eso sí, puede haber configuraciones que permitan una conectividad mínima antes de autenticarse, eso dependerá de las capacidades del switch o del wifi, en cada caso
Un saludo
