《Cisco无线AP在复杂企业环境配置指南》由会员分享,可在线阅读,更多相关《Cisco无线AP在复杂企业环境配置指南(6页珍藏版)》请在金锄头文库上搜索。
1、Cisco 无线 AP 在复杂企业环境配置指南需求概述:需求概述:利用 Cisco 的 AP,搭建一个企业无线局域网;用户的笔记本不用加入 AD 域,即可登录到无线网络,登录时使用域的用户名和密码;SSIDS 隐藏,因此用户无法自行选择 SSID,必须由管理员为其笔记本配置无线网络;管理员将为不同的用户选择配置不同的 SSID,让其登录进不同的 VLAN,从而实现网络权限的划分。配置需求:配置需求:VLAN:一台 AP 多个 VLAN,功能与交换机类似。SSID 隐藏:是加密协议:WPA2认证协议:801x 下的 PEAPRADIUS 服务器:Windows 2003 所带的 Internet
2、 Authentication Service(IAS)用户目录:与企业的 Microsoft Active Directory 目录整合环境搭建:环境搭建:AP:Cisco AIR-AP1231G-A-K9,IOS 版本:13(2)JA认证服务器:Windows 2003 Enterprise Server with SP1,安装了 IAS 服务。客户端:Windows XP with SP2,无线网卡为 Intel PRO Wireless LAN 2100 3B Mini PCI Adapter.无线无线 AP 的配置:的配置:IP 的配置:的配置:找到 IP:思科 AP 默认通过 DH
3、CP 获取 IP,因此如果你的网络中有 DHCP 服务器,请先查询 AP 的 MAC 地址,再到你的 DHCP 服务器的已分发地址池找到 AP 已获得的地址;如果你的网络中没有 DHCP 服务器,请通过 Console 连进 AP.配置 IP:如果通过 Console 连进 AP,请到 interface BVI1 下为 AP 配置 IP.如果是通过网页界面配置 IP,请到 Express SetUp 中为 AP 配置 IP.默认的用户名和密码都是 Cisco,记住区分大小写。配置配置 VLAN:进入 Service - VLAN,填入 VLAN 和 VLAN 名称,点击 Apply 新建 V
4、LAN.重复上述动作,直到将多个 VLAN 全部建好。确认与 AP 相连的交换机端口配置为 Trunk Mode.配置加密协议:配置加密协议:选择要配置的 VLAN.进入 Security - Encryption Manager,在 Encryption Modes 中,选择 Cipher - TKIP,其余默认。配置认证服务器:配置认证服务器:进入 Security - Server Manager,在 Corporate Servers 中,选择,然后填入 IAS 服务器的 IP 地址或者 FQDN,输入 Secret,然后端口号请选择 1645,完成后点击 Apply 确认。建好一个认
5、证服务器后,还是在 Security - Server Manager,在 Default Server Priorities 中,将我们刚刚建好的认证服务器设为默认的 EAP Authentication server.配置配置 SSIDs:进入 Security - SSID Manager,在 SSID Properties 中,选择 New,然后输入SSID 的名称,所属的 VLAN 号,在无线端口前面打勾,确认使用的是该无线端口;Network ID 可以不写的。在 Client Authentication Settings 中,选择 Open Authentication wit
6、h EAP.在 Client Authentication Key Management 中,选择 WPA 的 Mandatory.在 Multiple BSSID Beacon Settings 中,确认“Set SSID as Guest Mode”没有被勾选上。检查配置:检查配置:到 Security 中检查无线配置,最后的配置图应该类似于下图:认证服务器的配置:认证服务器的配置:为服务器安装 IAS 服务。将 IAS 服务器嵌入 Active Directory 中。只有做过这个配置,IAS 才能到 AD 目录中去验证用户的真伪。在 IAS 的 Action 菜单中,选择 Regist
7、er Server in Active Directory,即完成了注册。为 IAS 服务器配置证书(这一步非常关键):首先在 AD 域中配置证书服务器然后为 IAS 服务器申请证书,证书类型为 Computer 或 Server,不能是 User或 DC 等。证书申请完成后,将申请下来的证书导入 IAS 服务器,重启一次。新建新建 RADIUS 客户端客户端在 RADIUS Clients 中,选择新建客户端。为该客户端起一个好记的名字,通常就是 AP 的 Hostname.然后填入 AP 的 IP地址或者 FQDN.Client-Vendor 选择 Cisco,或者 RADIUS Stan
8、dard,都可以的。填入 Shared secret,必须和在 AP 中填入的一致。点击确定即可完成客户端的新建。新建策略新建策略在 Remote Access Policies 中,选择新建。为策略起一个好记的名字,这里我们用 Temp.在 Access Method 中,选择 Wireless.在用户或组的选择中,选择用户或组。如果选择用户,那么请到 AD 的用户管理中,为该用户开通远程拨入权限。如果选择组,那么请事先建好一个用户组,将所有要使用无线登录的用户帐号加入该组。推荐使用组模式。Authentication Methods 中,选择 PEAP,并点击配置以检查 IAS 服务器的证
9、书是否安装完成。如果没有安装证书,这里是无法配置的。建完策略后,需对该策略进行进一步配置。进入该策略的属性,选择 Edit Profile,在认证页中,勾选上 MS-CHAP v2,即可。如果该策略只是对一个用户开设,那么还可以添加上对用户无线网卡的 MAC地址的绑定。在策略条件中,加入一个形如“12356790AB”的 Calling-Station-id 即可。完成配置用户端的配置:用户端的配置:在用户无线网卡上,新建一个无线网络。输入 SSID 名,网络认证选择 WPA,数据加密选择 TKIP,密钥为自动获取。认证页中,勾选 801x,选择 PEAP,并点击其属性。在 PEAP 的属性中,不勾选“验证服务器证书”,认证方法选择 MS-CHAP v2,并点击配置,将“自动使用 Windows 登录名和密码验证前面的勾去掉”(重要)。允许快速重连。其他默认即可。
