时间太紧张 写个贴总结下今天的东西 好吧 That‘s all!(用live writer发确实快)

Aruba AP 93 可谓麻雀虽小 五脏还蛮全的!
一台本本加个AP 93,跑上虚拟机,这一切的实验环境就搭建完毕了!

以下是拓扑图:

clip_p_w_picpath002

此处是Windows 2008做的DHCPRadius服务器
此处介绍下DHCP的服务器地址池
clip_p_w_picpath004

1.AP界面上新建一个SSID,编辑SSID,员工,语音或访客,这里就选员工,client IP则由DHCP获取到
clip_p_w_picpath006
3.安全认证方式:
指定安全级别,MAC认证方式,认证服务器地址和认证端口1812/1645皆可,
共享密钥aruba和服务端指定的是一样的。NAS IP是控制器的IP,这里不过多解释。
clip_p_w_picpath008
4.接入方式,我承认我很懒,就allow any。建议不要这么做,多配一下不会耽误一壶茶的时间
我们都是学过安全的人不能这么马虎,唉,把自己给批了一顿!
clip_p_w_picpath010


配置文件如下:

  1. virtual-controller-country CN
  2. virtual-controller-key d985790f017c101c0b2cdf91903c079876ab3c1bba96a08053
  3. name Instant-C8:80:55
  4. virtual-controller-ip 192.168.100.103
  5. rf-band all
  6. allow-new-aps
  7.  
  8. allowed-ap d8:c7:c8:c8:80:55
  9.  
  10.  
  11. user test e53d51375ee3a4f7145f12ac96e51fff portal
  12.  
  13.  
  14. mgmt-user admin 36270688efb1a5f877aabae3e1788393
  15.  
  16. wlan ssid-profile Test
  17. type employee
  18. essid Test
  19. wpa-passphrase 4c32e75d1fb81bd8d623c5466bc43f465cbb8a1cc2acf62d
  20. opmode wpa2-psk-aes
  21. rf-band all
  22. captive-portal disable
  23. external-server
  24. mac-authentication
  25.  
  26. enet-vlan guest
  27.  
  28. wlan auth-server primary
  29. ip 192.168.100.100
  30. port 1812
  31. key d15e1ede4d12644436c186b5a9170e38
  32. nas-ip 192.168.100.103
  33.  
  34. wlan access-rule Test
  35. rule any any match any any any permit
  36.  
  37. wlan captive-portal
  38. background-color 39168
  39. banner-color 16777215
  40. banner-text "Welcome to the Guest Network."
  41. terms-of-use "Please read and accept terms and conditions and then login."
  42. use-policy "This network is not secure and use it at your own risk."
  43. authenticated
  44.  
  45. wlan external-captive-portal
  46. server localhost
  47. port 80
  48. url "/"
  49. auth-text "Authenticated"

5.新建一个用户组:
clip_p_w_picpath012

5.1在创建用户之前要做的一件事是,修改密码强度,否则还会很头疼(MAC这种字符串作为密码是不
满足密码的复杂性要求的) 不得不说,有点鸡肋
clip_p_w_picpath014

clip_p_w_picpath016

clip_p_w_picpath018



6.新建客户端使用笔记本的MAC地址做用户名和密码:(MAC这种认证很方便,是authenticator也就是控制器将请求的客户端的MAC转换成用户名和密码来和服务器端AD中用户组的用户名和密码进行比对,如果存在,就会通过认证)
clip_p_w_picpath020

7.设定用户接入的网络权限


clip_p_w_picpath022

8.修改用户接入的组
clip_p_w_picpath023


9.指定radius服务器的客户端:
clip_p_w_picpath025

10.共享密钥和控制器上是一样的aruba


11.,实话说完成后才敢截图,这些地方还是要注意的
连接请求策略,策略名,启用策略
clip_p_w_picpath027

12.连接请求策略的条件,前面在控制器上指过

clip_p_w_picpath029


13.连接请求策略的身份验证方法,不多解释
clip_p_w_picpath030

14.网络策略,同样设定名称,下面点启用和授予权限

clip_p_w_picpath032


15.设定条件:
可以配置Windows组,有好客户端,NAS IP等等信息,很丰富,所以server其实你蛮强大的,这个花总牛X
clip_p_w_picpath034

16.约束这里也是一样的,自己选择三种方式,前面多少提到(有微软的EAP,证书智能卡啥的就要用到CA
甚至要上传证书到控制器)
clip_p_w_picpath036

17.后面的啥标准默认想设置厂商特性值,抓抓包就能看到,这还是可以看到的,填进去也可以
clip_p_w_picpath038


18.开始连接SSID---Test 安全类型,我设置了WPA
clip_p_w_picpath039

19.连接上后,获取到了合法的IP可以比对前面的地址池

clip_p_w_picpath040

20.在控制其中查看客户端等信息
clip_p_w_picpath042

clip_p_w_picpath044


21.服务器上看到的日志信息:
clip_p_w_picpath046

可以看到成功了
但这之前的惨败,让我很记忆尤深!


下面是我的抓包:(其实之前的实验也抓了包,只是没放上)
clip_p_w_picpath048


radius协议的请求代码,用户名密码 可以很好的看到的:
clip_p_w_picpath050

radius接受报文:
clip_p_w_picpath052