本片将介绍如何通过调试和配置Radius Server作为企业无线方案的验证服务器。
在企业的方案选择中利用Windows Network Policy Server(NPS)中的Radius Server来作为无线方案的验证服务器。
首先,要确定Wireless AP已经连接到企业的网络中,并且已经配置好Radio开启。
然后,就进入调试。
1. 调试使Cisco AP和Radius连接,具体方法请见本站文章:如何使Cisco AP连接到Windows Radius http://www.901it.com/archives/2144
当Cisco AP和Windows Radius都连接好之后,需要配置策略,简单讲其包含了连接限制和网络策略,这里将一一举例说明:
2. 右键单击Connection Request Policies >> New >> 填写Policy Name, 在Conditions添加NAS Port Type[选择Common 802.1x connection tunnel types: Wireless – IEEE 802.11]
3. 右键单击Connection Request Policies >> New >> 填写Policy Name, 在Conditions添加Day and time restrictions: permitted all the time
4. 右键单击 Network Policies >> New >> 填写Policy Name,Policy enabled,Grant access >>
a) 在Conditions下添加NAS Port Type :Common 802.1x connection tunnel types: Wireless – IEEE 802.11以及Others: Wireless – Other
b) 在Conditions下添加NAS IPv4 Address:192.168.1.1(如果只有一个AP) 192.168.1..+(如果有两个或两个以上AP)
5. 调试Constraints,EAP Types:Microsoft:Secured password (EAP-MSCHAP v2)和 Microsoft:Protected EAP (PEAP),并且enable Unencrypted authentication(PAP, SPAP)
6. 调试Settings,添加以下Attributes:
a. Service-Type: Login
b. Tunnel-Medium-Type: 802 (includes all 802 media plus Ethernet canonical format)
c. 如果涉及到VLAN Management,可以填写Tunnel-Pvt-Group-ID String 指向AD中的Group,然后添加Tunnel-Type: Virtual LANs(VLAN)
7. NAP Enforcement:Allow full network access,Enable auto-remediation of client computers
8. Extended State:Blank
9. Multilink and bandwidth Allocation Protocol(BAP): Server settings determine Mutilink usage
10. Encryption选择全部Encryption
11. IP Settings:server settings determine IP address assignment.
Radius和NPS都调试后,你就可以在你的企业中实现Radius认证了,换句话来讲,所有的域用户都可以通过自己的用户名密码来登陆无线网络。
