本文详细介绍了如何通过 Extreme 的AP7622型号AP与Windows Server2016上的RADIUS服务器集成,实现基于AD域的802.1x无线终端认证。配置步骤包括设置VX9K的AAA策略、国家码、WLAN和SSID,以及Windows Server2016的AD用户和网络策略。最终,无线用户能够成功通过802.1x认证并从路由器获取DHCP动态IP地址。
一、组网拓扑
二、组网说明
见拓扑图,由Windows server2016服务器运行Vmware的ESXI服务器,在ESXI服务器里面运行Extreme的VX9K虚拟机服务器和微软的Windows Server2016服务器,并在Windows Server2016服务器添加DNS,AD和NPS角色。由Extreme的AP7622型号AP作为RADIUS客户端,Windows Server2016 作为RADIUS服务器。Windows Server2016服务器通过在VM ESXI服务器创建的自定义名称“ VM Network“网络桥接到真实的Shuttle物理服务器GE*1物理端口。
IP地址规划表:
附:Shuttle物理服务器后面板照
三、实验目的
通过Extreme的AP7622型号AP实现基于AD域的802.1x的帐号认证,无线终端用户
能关联SSID=ap-802x,从本地的路由器上通过DHCP方式动态获取IP地址。四、配置操作
(1)配置VX9K的AC服务器
第一步:在VX9K上配置AAA策略
vx9000-01D4D1#self
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config-device-00-50-56-01-D4-D1)#aaa-policy 802x
vx9000-01D4D1(config-aaa-policy-802x)#authentication server 1 host 192.168.10.199 secret 0 apac66
vx9000-01D4D1(config-aaa-policy-802x)#commit write
[OK]
vx9000-01D4D1(config-aaa-policy-802x)#show context
aaa-policy 802x
authentication server 1 host 192.168.10.199 secret 0 apac66
vx9000-01D4D1(config-aaa-policy-802x)#
如上,指定了外部RADIUS认证服务器为192.168.10.199,认证密钥为 apac66,默认的RADIUS认证端口为1812。
第二步:配置国家码vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#rf-domain default
vx9000-01D4D1(config-rf-domain-default)#country-code cn
vx9000-01D4D1(config-rf-domain-default)#commit write
[OK]
vx9000-01D4D1(config-rf-domain-default)#show context
rf-domain default
country-code cn
vx9000-01D4D1(config-rf-domain-default)#第三步:配置WLAN和SSID关联绑定AAA策略
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#wlan ap-802x
vx9000-01D4D1(config-wlan-ap-802x)# ssid ap-802x
vx9000-01D4D1(config-wlan-ap-802x)# vlan 1
vx9000-01D4D1(config-wlan-ap-802x)# bridging-mode local
vx9000-01D4D1(config-wlan-ap-802x)# encryption-type ccmp
vx9000-01D4D1(config-wlan-ap-802x)# authentication-type eap
vx9000-01D4D1(config-wlan-ap-802x)# wireless-client reauthentication 30
vx9000-01D4D1(config-wlan-ap-802x)# use aaa-policy 802x
vx9000-01D4D1(config-wlan-ap-802x)#commit write
[OK]
vx9000-01D4D1(config-wlan-ap-802x)#show context
wlan ap-802x
ssid ap-802x
vlan 1
bridging-mode local
encryption-type ccmp
authentication-type eap
wireless-client reauthentication 30
use aaa-policy 802x
vx9000-01D4D1(config-wlan-ap-802x)#
如上,配置的SSID=ap-802x,其加密方式为CCMP,认证类型为EAP方式,SSID关联应用AAA策略的配置启用802.1x 认证。第四步:配置RADIUS认证组,绑定业务VLAN和业务SSID。
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#radius-group 802x
vx9000-01D4D1(config-radius-group-802x)# policy vlan 1
vx9000-01D4D1(config-radius-group-802x)# policy ssid ap-802x
vx9000-01D4D1(config-radius-group-802x)#commit write
[OK]
vx9000-01D4D1(config-radius-group-802x)#show context
radius-group 802x
policy vlan 1
policy ssid ap-802x
vx9000-01D4D1(config-radius-group-802x)#第五步:配置RADIUS服务器认证策略,绑定RADIUS认证组,如下所示
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#radius-server-policy 802x
vx9000-01D4D1(config-radius-server-policy-802x)# use radius-group 802x
vx9000-01D4D1(config-radius-server-policy-802x)# commit write t write
[OK]
vx9000-01D4D1(config-radius-server-policy-802x)#show context
radius-server-policy 802x
use radius-group 802x
vx9000-01D4D1(config-radius-server-policy-802x)#第六步:配置基于AP7622的Profile,在该Profile上绑定RADIO射频和绑定RADIUS服务器认证策略
a.绑定到RADIO射频模块radio1,即2.4GHz
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#profile ap7622 default-ap7622
vx9000-01D4D1(config-profile-default-ap7622)#interface radio 1
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#rf-mode 2.4GHz-wlan
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#wlan ap-802x
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#channel 11
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#commit write
[OK]
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#show context
interface radio1
channel 11
wlan ap-802x bss 2 primary
antenna-mode 2x2
vx9000-01D4D1(config-profile-default-ap7622-if-radio1)#
b.绑定RADIUS服务器认证策略
vx9000-01D4D1#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
vx9000-01D4D1(config)#profile ap7622 default-ap7622
vx9000-01D4D1(config-profile-default-ap7622)# use radius-server-policy 802x
vx9000-01D4D1(config-profile-default-ap7622)# commit write
[OK]
vx9000-01D4D1(config-profile-default-ap7622)# show context
profile ap7622 default-ap7622
autoinstall configuration
autoinstall firmware
use radius-server-policy 802x
(2)配置Windows Server2016服务器的AD活动目录,添加认证用户
a.添加AD域和NPS网络策略角色服务,如下所示
b.选择“工具"->“Active Directory用户和计算机”,如下所示
c.在AD活动目录添加域用户
如上,添加的两个域用户为user1和user2。用户属性如下所示,以user1为例:
默认的拨入网络属性,如下所示:
如上,使用默认的“通过NPS网络策略访问”或选择“允许访问”。如果选择“拒绝访问”则帐号将
拨入失败!
(3)配置RADIUS服务器,注册AP的IP地址为RADIUS客户端
对于Windows Server2016服务器而言,其使用NPS(网络策略服务器)进行配置RADIUS客户端,如下所示:
a.在AD活动目录注册服务器,注册成功后会变成灰色。如下所示:
b.选中“工具”->“网络策略服务器”,如下所示:
右键选中“RADIUS客户端”->“新建”,如下所示:
配置注册本实验中的AP7622型号的这个AP作为RADIUS客户端,如下所示:
配置AP作为RADIUS客户端成功,如下所示:
c.配置“网络策略”,默认网络策略为“拒绝访问”的。
我们需要创建一个网络策略,允许授权访问网络。右键选中“网络策略”->“新建”:如下所示:
配置网络策略名称为“kraven-toosai-ap-802.1x”,如下所示:
选择添加NAS端口类型,如下所示:
“NAS端口类型”设置为“无线-IEEE 802.11”。如下所示:
点击“下一步”,再选择默认的“已授予访问权限”。如下所示:
会弹出如下的EAP类型选择对话框,如下所示:
选择EAP类型为“Microsoft: 受保护的EAP(PEAP)方式。如下所示:
上述网络策略配置完成后如下所示:
如上,将新建的网络授予访问权限的“kraven-toosai-ap-802.1x”的网络策略顺序通过上移菜单移动到1位置。
五、业务测试
无线用户终端关联SSID=ap-802x ,输入用户名和密码。如下所示:
通过802.1x帐号认证成功后,无线用户终端成功关联上SSID=ap-802x
查看用户关联上SSID=ap-802x的获取的地址属性信息,如下所示:
同时,从Windows Server2016服务器抓取RADIUS报文交互过程,会发现有Access-Accept,表示RADIUS认证成功。如下所示:
扫一扫
2593
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
