Cisco無(wú)線(xiàn)AP在復(fù)雜企業(yè)環(huán)境下配置

2019-11-04 23:17:01

字體：大中小

供稿：網(wǎng)友

　　需求概述：
　　利用Cisco的AP，搭建一個(gè)企業(yè)無(wú)線(xiàn)局域網(wǎng)；用戶(hù)的筆記本不用加入AD域，即可登錄到無(wú)線(xiàn)網(wǎng)絡(luò)，登錄時(shí)使用域的用戶(hù)名和密碼；SSIDS隱藏，因此用戶(hù)無(wú)法自行選擇SSID，必須由治理員為其筆記本配置無(wú)線(xiàn)網(wǎng)絡(luò)；治理員將為不同的用戶(hù)選擇配置不同的SSID，讓其登錄進(jìn)不同的VLAN，從而實(shí)現(xiàn)網(wǎng)絡(luò)權(quán)限的劃分。

　　配置需求：

　　VLAN：一臺(tái)AP多個(gè)VLAN，功能與交換機(jī)類(lèi)似。

　　SSID隱藏：是

　　加密協(xié)議：WPA2

　　認(rèn)證協(xié)議：801x下的PEAP

　　RADIUS服務(wù)器：Windows 2003所帶的Internet Authentication Service（IAS）

　　用戶(hù)目錄：與企業(yè)的Microsoft Active Directory目錄整合

　　環(huán)境搭建：
　　AP：Cisco AIR-AP1231G-A-K9，IOS版本：13（2）JA

　　認(rèn)證服務(wù)器：Windows 2003 EnterPRise Server with SP1，安裝了IAS服務(wù)。

　　客戶(hù)端：Windows xp with SP2，無(wú)線(xiàn)網(wǎng)卡為Intel PRO Wireless LAN 2100 3B Mini PCI Adapter.

　　無(wú)線(xiàn)AP的配置：

　　ip的配置：

　　找到IP：思科AP默認(rèn)通過(guò)DHCP獲取IP，因此假如你的網(wǎng)絡(luò)中有DHCP服務(wù)器，請(qǐng)先查詢(xún)AP的MAC地址，再到你的DHCP服務(wù)器的已分發(fā)地址池找到AP已獲得的地址；假如你的網(wǎng)絡(luò)中沒(méi)有DHCP服務(wù)器，請(qǐng)通過(guò)Console連進(jìn)AP.

　　配置IP：假如通過(guò)Console連進(jìn)AP，請(qǐng)到interface BVI1下為AP配置IP.假如是通過(guò)網(wǎng)頁(yè)界面配置IP，請(qǐng)到Express SetUp中為AP配置IP.默認(rèn)的用戶(hù)名和密碼都是Cisco，記住區(qū)分大小寫(xiě)。

　　配置VLAN：

　　進(jìn)入Service - VLAN，填入VLAN和VLAN名稱(chēng)，點(diǎn)擊Apply新建VLAN.

　　重復(fù)上述動(dòng)作，直到將多個(gè)VLAN全部建好。

　　確認(rèn)與AP相連的交換機(jī)端口配置為T(mén)runk Mode.

　　配置加密協(xié)議：

　　選擇要配置的VLAN.

　　進(jìn)入Security - Encryption Manager，在Encryption Modes中，選擇Cipher - TKIP，其余默認(rèn)。

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222251577801.jpg"

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222251577801.jpg"

　　配置認(rèn)證服務(wù)器：

　　進(jìn)入Security - Server Manager，在Corporate Servers中，選擇，然后填入IAS服務(wù)器的IP地址或者FQDN，輸入Secret，然后端口號(hào)請(qǐng)選擇1645，完成后點(diǎn)擊Apply確認(rèn)。

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222257877802.jpg"

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222257877802.jpg"

　　建好一個(gè)認(rèn)證服務(wù)器后，還是在Security - Server Manager，在Default Server Priorities中，將我們剛剛建好的認(rèn)證服務(wù)器設(shè)為默認(rèn)的EAP Authentication server.

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222262577803.jpg"

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222262577803.jpg"

　　配置SSIDs：

　　進(jìn)入Security - SSID Manager，在SSID Properties中，選擇New，然后輸入SSID的名稱(chēng)，所屬的VLAN號(hào)，在無(wú)線(xiàn)端口前面打勾，確認(rèn)使用的是該無(wú)線(xiàn)端口；Network ID可以不寫(xiě)的。

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222267177804.jpg"

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222267177804.jpg"

　　在Client Authentication Settings中，選擇Open Authentication with EAP.

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222270377805.jpg"

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222270377805.jpg"

　　在Client Authentication Key Management中，選擇WPA的Mandatory.

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222275077806.jpg"

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222275077806.jpg"

　　在Multiple BSSID Beacon Settings中，確認(rèn)“Set SSID as Guest Mode”沒(méi)有被勾選上。

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222281277807.jpg"

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222281277807.jpg"

　　檢查配置：

　　到Security中檢查無(wú)線(xiàn)配置，最后的配置圖應(yīng)該類(lèi)似于下圖：

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222285977808.jpg"

　　認(rèn)證服務(wù)器的配置：

　　為服務(wù)器安裝IAS服務(wù)。

　　將IAS服務(wù)器嵌入Active Directory中。只有做過(guò)這個(gè)配置，IAS才能到AD目錄中去驗(yàn)證用戶(hù)的真?zhèn)巍?

　　在IAS的Action菜單中，選擇Register Server in Active Directory，即完成了注冊(cè)。

　　為IAS服務(wù)器配置證書(shū)（這一步非常要害）：

　　首先在AD域中配置證書(shū)服務(wù)器

　　然后為IAS服務(wù)器申請(qǐng)證書(shū)，證書(shū)類(lèi)型為Computer或Server，不能是User或DC等。

　　證書(shū)申請(qǐng)完成后，將申請(qǐng)下來(lái)的證書(shū)導(dǎo)入IAS服務(wù)器，重啟一次。

　　新建RADIUS客戶(hù)端

　　在RADIUS Clients中，選擇新建客戶(hù)端。

　　為該客戶(hù)端起一個(gè)好記的名字，通常就是AP的Hostname.然后填入AP的IP地址或者FQDN.

　　Client-Vendor選擇Cisco，或者RADIUS Standard，都可以的。

　　填入Shared secret，必須和在AP中填入的一致。

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222289077809.jpg"

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/20081615222289077809.jpg"

點(diǎn)擊確定即可完成客戶(hù)端的新建。

　　新建策略

　　在Remote access Policies中，選擇新建。

　　為策略起一個(gè)好記的名字，這里我們用Temp.

　　在Access Method中，選擇Wireless.

　　在用戶(hù)或組的選擇中，選擇用戶(hù)或組。

　　假如選擇用戶(hù)，那么請(qǐng)到AD的用戶(hù)治理中，為該用戶(hù)開(kāi)通遠(yuǎn)程撥入權(quán)限。

　　假如選擇組，那么請(qǐng)事先建好一個(gè)用戶(hù)組，將所有要使用無(wú)線(xiàn)登錄的用戶(hù)帳號(hào)加入該組。

　　推薦使用組模式。

　　Authentication Methods中，選擇PEAP，并點(diǎn)擊配置以檢查IAS服務(wù)器的證書(shū)是否安裝完成。假如沒(méi)有安裝證書(shū)，這里是無(wú)法配置的。

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/200816152222968778010.jpg"

請(qǐng)?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071233/200816152222968778010.jpg"

　　建完策略后，需對(duì)該策略進(jìn)行進(jìn)一步配置。進(jìn)入該策略的屬性，選擇Edit Profile，在認(rèn)證頁(yè)中，勾選上MS-CHAP v2，即可。

　　假如該策略只是對(duì)一個(gè)用戶(hù)開(kāi)設(shè)，那么還可以添加上對(duì)用戶(hù)無(wú)線(xiàn)網(wǎng)卡的MAC地址的綁定。在策略條件中，加入一個(gè)形如“12356790AB”的Calling-Station-id即可。

　　完成配置

　　用戶(hù)端的配置：

　　在用戶(hù)無(wú)線(xiàn)網(wǎng)卡上，新建一個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)。

　　輸入SSID名，網(wǎng)絡(luò)認(rèn)證選擇WPA，數(shù)據(jù)加密選擇TKIP，密鑰為自動(dòng)獲取。

　　認(rèn)證頁(yè)中，勾選801x，選擇PEAP，并點(diǎn)擊其屬性。

　　在PEAP的屬性中，不勾選“驗(yàn)證服務(wù)器證書(shū)”，認(rèn)證方法選擇MS-CHAP v2，并點(diǎn)擊配置，將“自動(dòng)使用Windows登錄名和密碼驗(yàn)證前面的勾去掉”（重要）。

　　答應(yīng)快速重連。

　　其他默認(rèn)即可。

上一篇：Cisco 3640 VoIP配置實(shí)例

下一篇：用思科IOS防止遭受IP地址欺騙攻擊