Case 描述:客户需求整个无线网络里增加一个WLAN,专门给VIP使用。
这个本是很简单的事情,直接增加个WLAN SSID设置好网络就好了。但是问题来了,客户需要使用MAC认证,且不可以在WLC中直接加MAC filter,因为如果将来可能加的MAC address可能会比较多,在WLC中管理起来会比较难。那自然就想到使用radius server来实现了,用CISCO ACS也是很简单的事情嘛,可是客户一听说ACS需要花银两,那就不愿意了,想想也是,大概需要4位数呢。case就这样一直搁在。
也在网上看过有人问过和这个想关的问题,用什么办法实现比较好呢。有人说是用server 2003自带的radius server实现。晚上找了好多资料,好像只是有人提到,没有人真正实施过。也没有介绍啥的东西。只能自己倒腾倒腾了,看能有什么进展。
公司现有无线网络架构如下:
说明下这个图为复制CISCO主页的,怕画图了,直接拿来用了。
环境介绍:加设WLC连结LAP,架构图和上面一样,只是将图中装有CISCO WCS的那台server 2003拿来做radius server使用。安装AD+IAS这个省略,不会的baidu或google。
系统实现方法介绍:使用客户机的MAC地址作为username和password在AD上建立user,再将这些user加到特定的group中,在IAS中应用policy,只有在特定group中的成员才能被认证。嘎嘎是不是很简单。
配置过程:
AD上增加user和group(TEST)如下截图:
IAS配置如下截图:
将WLC加到IAS中,密码两边都要设置一样的。
应用policy wireless,在group TEST中的授予权限。
里面的一些小设置这里就不截图了,比较烦,图太多。
WLC上的设置如下截图:
设置radius server
将radius server设置应用到那个新增的WLAN SSID中
好了完成了。
验证下没有问题,再看下server 2003的系统日记有认证成功的log如下:
事件類型: 資訊
事件來源: IAS
事件類別目錄: 無
事件識別碼: 1
日期: 2010/8/8
時間: 下午 07:24:33
使用者: N/A
電腦: MR0811-3E45FF6D
描述:
授與使用者 0021******** 存取權。
完全合格的使用者名稱 = mr0811.com/Users/0021********
NAS-IP-位址 = 192.168.1.250
NAS-識別元 = ********
用戶端好記的名稱 = ********
用戶端-IP-位址 = 192.168.1.250
呼叫站台識別碼 = 00-21-**-**-**-**
NAS-連接埠類型 = Wireless - IEEE 802.11
NAS-連接埠 = 1
Proxy-原則名稱 = 對所有使用者使用 Windows 驗證
驗證提供者 = Windows
驗證伺服器 = <未定>
原則名稱 = wireless
驗證類型 = PAP
EAP-類型 = <未定>
請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。
資料:
0000: 00 00 00 00 ....
最后总结:客户的非常规想法看来要实现了,这个case也可以over了。明天上生产环境测试。
其实好像还可以使用别的方法的,这个免费的IAS还有好多的功能需要开发啊,以后慢慢研究。
今天上线测试,问题一大堆啊。理想环境和实际还是有很大差别的。这也验证了那些经常看别人写的东西就说,啊这个很简单,不用自己玩了。真正自己玩了并上线使用了,才能真正体会到那个别人的几句话,几个截图有多难了。
还好一个一个小问题都逐一搞定了。上线小测试了下,客户对效果很满意,估计很快就能导入了,后面就不是我的事情了,此case总算over了。
欢迎大家留言交流啊。或是直接mail我,mail:mr0811@live.cn
扫一扫
6098
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
