时间太紧张 写个贴总结下今天的东西 好吧 That‘s all!(用live writer发确实快) Aruba AP 93 可谓麻雀虽小 五脏还蛮全的! 一台本本加个AP 93,跑上虚拟机,这一切的实验环境就搭建完毕了! 以下是拓扑图: 此处是Windows 2008做的DHCP和Radius服务器 此处介绍下DHCP的服务器地址池 1.在AP界面上新建一个SSID,编辑SSID,员工,语音或访客,这里就选员工,client IP则由DHCP获取到 3.安全认证方式: 指定安全级别,MAC认证方式,认证服务器地址和认证端口1812/1645皆可, 共享密钥aruba和服务端指定的是一样的。NAS IP是控制器的IP,这里不过多解释。 4.接入方式,我承认我很懒,就allow any。建议不要这么做,多配一下不会耽误一壶茶的时间 我们都是学过安全的人不能这么马虎,唉,把自己给批了一顿! 配置文件如下: virtual-controller-country CN virtual-controller-key d985790f017c101c0b2cdf91903c079876ab3c1bba96a08053 name Instant-C8:80:55 virtual-controller-ip 192.168.100.103 rf-band all allow-new-aps allowed-ap d8:c7:c8:c8:80:55 user test e53d51375ee3a4f7145f12ac96e51fff portal mgmt-user admin 36270688efb1a5f877aabae3e1788393 wlan ssid-profile Test type employee essid Test wpa-passphrase 4c32e75d1fb81bd8d623c5466bc43f465cbb8a1cc2acf62d opmode wpa2-psk-aes rf-band all captive-portal disable external-server mac-authentication enet-vlan guest wlan auth-server primary ip 192.168.100.100 port 1812 key d15e1ede4d12644436c186b5a9170e38 nas-ip 192.168.100.103 wlan access-rule Test rule any any match any any any permit wlan captive-portal background-color 39168 banner-color 16777215 banner-text "Welcome to the Guest Network." terms-of-use "Please read and accept terms and conditions and then login." use-policy "This network is not secure and use it at your own risk." authenticated wlan external-captive-portal server localhost port 80 url "/" auth-text "Authenticated"5.新建一个用户组: 5.1在创建用户之前要做的一件事是,修改密码强度,否则还会很头疼(MAC这种字符串作为密码是不 满足密码的复杂性要求的) 不得不说,有点鸡肋! 6.新建客户端使用笔记本的MAC地址做用户名和密码:(MAC这种认证很方便,是authenticator也就是控制器将请求的客户端的MAC转换成用户名和密码来和服务器端AD中用户组的用户名和密码进行比对,如果存在,就会通过认证) 7.设定用户接入的网络权限 8.修改用户接入的组 9.指定radius服务器的客户端: 10.共享密钥和控制器上是一样的aruba 11.,实话说完成后才敢截图,这些地方还是要注意的 连接请求策略,策略名,启用策略 12.连接请求策略的条件,前面在控制器上指过 13.连接请求策略的身份验证方法,不多解释 14.网络策略,同样设定名称,下面点启用和授予权限 15.设定条件: 可以配置Windows组,有好客户端,NAS IP等等信息,很丰富,所以server其实你蛮强大的,这个花总牛X。 16.约束这里也是一样的,自己选择三种方式,前面多少提到(有微软的EAP,证书智能卡啥的就要用到CA, 甚至要上传证书到控制器) 17.后面的啥标准默认想设置厂商特性值,抓抓包就能看到,这还是可以看到的,填进去也可以 18.开始连接SSID---Test 安全类型,我设置了WPA! 19.连接上后,获取到了合法的IP可以比对前面的地址池 20.在控制其中查看客户端等信息 21.服务器上看到的日志信息: 可以看到成功了 但这之前的惨败,让我很记忆尤深! 下面是我的抓包:(其实之前的实验也抓了包,只是没放上) radius协议的请求代码,用户名密码 可以很好的看到的: radius接受报文: 转载于:https://blog.51cto.com/wangzhenqi/885934