Nick's Blog

将Radius配置成企业无线方案验证服务器

本片将介绍如何通过调试和配置Radius Server作为企业无线方案的验证服务器。

在企业的方案选择中利用Windows Network Policy Server(NPS)中的Radius Server来作为无线方案的验证服务器。

首先,要确定Wireless AP已经连接到企业的网络中,并且已经配置好Radio开启。

然后,就进入调试。

1. 调试使Cisco AP和Radius连接,具体方法请见本站文章:如何使Cisco AP连接到Windows Radius http://www.901it.com/archives/2144

当Cisco AP和Windows Radius都连接好之后,需要配置策略,简单讲其包含了连接限制和网络策略,这里将一一举例说明:

2. 右键单击Connection Request Policies >> New >> 填写Policy Name, 在Conditions添加NAS Port Type[选择Common 802.1x connection tunnel types: Wireless – IEEE 802.11]

3. 右键单击Connection Request Policies >> New >> 填写Policy Name, 在Conditions添加Day and time restrictions: permitted all the time

4. 右键单击 Network Policies >> New >> 填写Policy Name,Policy enabled,Grant access >>

a) 在Conditions下添加NAS Port Type :Common 802.1x connection tunnel types: Wireless – IEEE 802.11以及Others: Wireless – Other

b) 在Conditions下添加NAS IPv4 Address:192.168.1.1(如果只有一个AP) 192.168.1..+(如果有两个或两个以上AP)

5. 调试Constraints,EAP Types:Microsoft:Secured password (EAP-MSCHAP v2)和 Microsoft:Protected EAP (PEAP),并且enable Unencrypted authentication(PAP, SPAP)

6. 调试Settings,添加以下Attributes:

a. Service-Type: Login

b. Tunnel-Medium-Type: 802 (includes all 802 media plus Ethernet canonical format)

c. 如果涉及到VLAN Management,可以填写Tunnel-Pvt-Group-ID String 指向AD中的Group,然后添加Tunnel-Type: Virtual LANs(VLAN)

7. NAP Enforcement:Allow full network access,Enable auto-remediation of client computers

8. Extended State:Blank

9. Multilink and bandwidth Allocation Protocol(BAP): Server settings determine Mutilink usage

10. Encryption选择全部Encryption

11. IP Settings:server settings determine IP address assignment.

Radius和NPS都调试后,你就可以在你的企业中实现Radius认证了,换句话来讲,所有的域用户都可以通过自己的用户名密码来登陆无线网络。