介绍 本文档提供了在思科统一无线网络的身份验证 RADIUS 服务器和微软网络策略服务器 (NPS) 上配置受保护的可扩展身份验证协议 (PEAP), 微软质询握手身份验证协议 (MS-CHAP) 版 本 2 的范例 先决条件 要求 确保你熟悉下列这些程序, 然后再尝试此配置 : * 基本的 Win

Similar documents
untitled

手册 doc

11N 无线宽带路由器

一 登录 crm Mobile 系统 : 输入 ShijiCare 用户名和密码, 登录系统, 如图所示 : 第 2 页共 32 页

ext-web-auth-wlc.pdf


计算机网络实验说明

IP Camera

目 录 介 绍... 3 测 试 拓 扑... 3 组 件... 4 认 证 原 理... 4 配 置 过 程... 5 FortiAC 配 置... 5 FAC 配 置 配 置 远 程 LDAP 服 务 器 和 把 FAC 自 身 加 入 Windows 域 修 改

配置802.1x -与FreeRadius和WLC 8.3的PEAP

0 配置 Host MIB 设备 V ( 简体版 ) 0 Update: 2016/1/30

联想天工800R路由器用户手册 V2.0

Chapter #


Microsoft Word - DIR-615_B2_Manual_1.00_T_.doc

SAPIDO GR-1733 無線寬頻分享器

Mohamed

一、

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas

Ioncube Php Encoder 8 3 Crack 4. llamaba octobre traslado General Search colony

SMARTZONE WLAN SmartZone 3 L2oGRE QinQ vsz-d / SZ100-D WLAN NAT WLAN Ruckus 1Gbps 10Gbps SmartZone SmartZone vsz DHCP/NAT DHCP IP NAT MAC SmartZone WL

使用无线局域网控制器的外部 Web 身份验证配置示例

1 产 品 简 介 特 性 包 装 产 品 外 观 电 脑 系 统 要 求 硬 件 安 装 软 件 安 装 软 件 操 作 IP

<C8EBC3C5C6AAA3A8B5DA31D5C2A3A92E696E6464>

D-link用户手册.doc

三 安装 openssl 及 freeradius sudo apt-get install openssl sudo apt-get install freeradius 四 openssl 环境准备 1. 在 ubuntu1 和 ubuntu2 的当前用户文件夹 ( 例如 /home/jeff/

目 录(目录名)

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP #

IDS-Concepts

<4D F736F F F696E74202D20B5DAC8FDB2BFB7D620CEDECFDFBED6D3F2CDF8B5C4CAB5CFD6205BBCE6C8DDC4A3CABD5D>

产品画册 S2700系列企业交换机 2

《计算机网络》实验指导书

1 WLAN 接 入 配 置 本 文 中 的 AP 指 的 是 LA3616 无 线 网 关 1.1 WLAN 接 入 简 介 WLAN 接 入 为 用 户 提 供 接 入 网 络 的 服 务 无 线 服 务 的 骨 干 网 通 常 使 用 有 线 电 缆 作 为 线 路 连 接 安 置 在 固 定

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas

ChinaBI企业会员服务- BI企业

EPSON

引言 本文是针对 SourceAnywhere 新用户提供的一个逐步安装指导书, 帮助您正确安装 配置服 务器直至成功登陆 如果在使 SourceAnywhere 正常运行的过程中, 您遇到任何问题需要帮助, 请通过以下方式联系我们 : 电话 : 邮箱

一、选择题

中文朗科AirTrackTM T600 迷你无线路由器用户手册.doc

802.11NSMART WI-FI AP DOCSIS 3.0 Ruckus Wi-Fi FlexMaster / Ruckus 7761-CM MSO ( Mesh ) Ruckus 7761-CM (5GHz/2.4GHz) 4,000 IP 802.3af ( -40 ) IP 16 BSS


FPGAs in Next Generation Wireless Networks WPChinese

声 明 Copyright 2013 普 联 技 术 有 限 公 司 版 权 所 有, 保 留 所 有 权 利 未 经 普 联 技 术 有 限 公 司 明 确 书 面 许 可, 任 何 单 位 或 个 人 不 得 擅 自 仿 制 复 制 誊 抄 或 转 译 本 书 部 分 或 全 部 内 容 不 得

西交利物浦校园无线网络 使用手册 XJTLU Campus Wireless User Guide

ebook140-9

升 级 过 程 概 述 Cisco 集 中 无 线 网 络 架 构 中,AP 工 作 在 瘦 AP(LAP) 模 式 LAP 关 联 到 无 线 控 制 器 (WLC), 控 制 器 管 理 着 配 置 软 件 升 级 以 及 802.1X 认 证 等 控 制 处 理 ; 此 外, 控 制 器 还

EPSON

EPSON

GPRS IP MODEM快速安装说明

便携式终端无线接入项目

电脑故障诊断排除 1200 例 1 PnP/PCI Configurations PnP OS INSTALLED YES NO CMOS CMOS 2 3 Award Soft Ware, Inc System Configurations 诊断排除 : BIOS BIOS 4 5 Pentium

KillTest 质量更高 服务更好 学习资料 半年免费更新服务

清华大学无线网络使用指南

Kubenetes 系列列公开课 2 每周四晚 8 点档 1. Kubernetes 初探 2. 上 手 Kubernetes 3. Kubernetes 的资源调度 4. Kubernetes 的运 行行时 5. Kubernetes 的 网络管理理 6. Kubernetes 的存储管理理 7.



附件:技术测评需求

AL-M200 Series

TD

目录 1 H3C R4900 G2 服务器可选部件与操作系统兼容性列表 控制卡 GPU 卡 网卡 FC HBA 卡 TPM/TCM 模块 NVMe SSD PCle 加速卡 1-31 i

What is Easiteach

FortiADC SLB Virtual Server L7 方式部署介绍 版本 1.0 时间支持的版本作者状态反馈 2015 年 10 月 FortiADC v4.3.x 刘康明已审核

EPSON

排除故障VNC模块安装失败

Dell SonicWALL Network Security Appliance Dell SonicWALL Network Security Appliance (NSA) (Reassembly-Free Deep Packet Inspection, RFDPI) NSA NSA RFDP

Transcription:

思科无线控制器和微软 Windows2008 NPS 无线网络配置实例 介绍... 2 先决条件... 2 要求... 2 使用的组件... 2 PEAP 概述... 3 PEAP 第一阶段 :TLS 加密通道... 3 PEAP 第二阶段 :EAP 身份验证的通信... 3 配置... 4 网络图... 4 配置步骤... 5 配置微软 WINDOWS 2008 服务器... 5 配置微软 WINDOWS 2008 服务器作为域控制器... 5 在微软 WINDOWS 2008 服务器上安装和配置 DHCP 服务... 21 安装和配置微软 WINDOWS 2008 服务器作为 CA 服务器... 39 客户端连接到域... 48 在微软 WINDOWS 2008 服务器上安装网络策略服务器 (NPS)... 53 安装证书... 58 将网络策略服务器的服务配置为 PEAP-MS-CHAP V2 验证... 63 将用户添加到活动目录 ACTIVE DIRECTORY... 77 配置无线控制器和无线接入点... 79 配置无线控制器 RADIUS 认证... 79 配置无线客户端... 81 无线客户端配置为 PEAP-MS-CHAP V2 验证... 83 验证... 85 疑难解答... 85

介绍 本文档提供了在思科统一无线网络的身份验证 RADIUS 服务器和微软网络策略服务器 (NPS) 上配置受保护的可扩展身份验证协议 (PEAP), 微软质询握手身份验证协议 (MS-CHAP) 版 本 2 的范例 先决条件 要求 确保你熟悉下列这些程序, 然后再尝试此配置 : * 基本的 Windows 2008 安装知识 * 思科无线控制器安装知识 确保下列这些要求已得到满足, 然后再尝试此配置 : * 在测试实验室中的服务器上安装微软 Windows Server 2008 操作系统 * 更新所有服务包 * 安装无线控制器和轻型无线接入点 * 配置最新的软件更新 思科 5508 系列无线控制器的初始安装和配置信息请参阅思科 5500 系列无线控制器安装指 南 注 : 本文件的目的是给读者一个在微软服务器上配置 PEAP-MS-CHAP 认证的例子 本文档中 的微软 Windows 服务器配置已在实验室测试, 并如预期运作 如果你遇到配置问题, 可与 微软联系以获得帮助 思科技术支持中心 (TAC) 不提供微软 Windows 服务器的配置帮助 微软技术网 (Microsoft Tech Net) 上也可以找到微软 Windows 2008 的安装和配置指南 使用的组件 本文件中的信息基于下列软件和硬件版本 : * 思科 5508 无线控制器, 运行 7.4 软件版本 * 思科 Aironet 3602 无线接入点 (AP) 与轻型无线接入点协议 (LWAPP)

* 安装在 Windows 2008 企业服务器上的 NPS 证书颁发机构(CA) 动态主机控制协议(DHCP) 域名系统 (DNS) 服务 * 微软 Windows 7 客户端电脑 * 思科 Catalyst 3560 系列交换机 本文档中的资料是从一个特定实验室环境中的设备上生成的 本文档中使用的所有设备以缺 省 ( 默认 ) 配置开始配置 如果您的网络是正在使用的生产系统, 请确保您了解所有命令带 来的潜在影响 PEAP 概述 PEAP 使用传输层安全性 (TLS) 创建和验证 PEAP 客户端之间的加密通道, 如无线笔记本电脑, 以及 PEAP 身份验证器, 如微软 NPS 或任何 RADIUS 服务器 PEAP 不指定验证方法, 但其他的可扩展身份验证协议 (EAP), 如 EAP-MS-CHAP v2 可以通过 TLS 加密通道进行, 这提供了额外的安全性 PEAP 验证过程包括两个主要阶段 PEAP 第一阶段 :TLS 加密通道 无线客户端与无线接入点关联 在客户端和无线接入点之间建立安全关联之前, 他们将基于 IEEE 802.11 的开放或共享密钥认证进行关联 客户端和无线接入点之间成功建立基于 IEEE 802.11 的关联后, 客户端与无线接入点协商 TLS 会话 无线客户端和 NPS 之间成功完成身份验证后, 客户端和 NPS 之间将协商 TLS 会话 这一协商后衍生的密钥用来加密所有后续通信 PEAP 第二阶段 :EAP 身份验证的通信 EAP 通信包括 EAP 协商, 发生在 PEAP 身份验证过程中的第一阶段建立的 TLS 通道内部 NPS 对无线客户端进行 EAP-MS-CHAP v2 的身份验证 无线接入点和无线控制器只是转发无线客户端和 RADIUS 服务器之间的消息 无线控制器和无线接入点无法解密这些消息, 因为它们不是 TLS 的终结点 一个成功认证的 RADIUS 报文的序列是 ( 用户采用 PEAP-MS-CHAP v2 并提供了有效的基于密码的身份凭据 ): 1.NPS 发送身份请求消息到客户端 :EAP-Request/Identity 2. 客户端响应一个身份响应消息 :EAP-Response/Identity 3.NPS 发送一个 MS-CHAP v2 的挑战消息 :EAP-Request/EAP-Type =EAP MS-CHAP-V2(Challenge)

4. 客户端响应一个 MS-CHAP v2 的挑战和响应 :EAP-Response/EAP-Type = EAP-MS-CHAP-V2 (Response) 5.NPS 发送回 MS-CHAP v2 成功的数据包时服务器已成功验证客户身份 : EAP-Request/EAP-Type = 的 EAP-MS-CHAP-V2 (Success) 6. 客户端响应 MS-CHAP v2 成功的数据包时已成功验证服务器 :EAP-Response/EAP-Type = EAP-MS-CHAP-V2 (Success) 7.NPS 发送 EAP 类型长度值 (EAP-type-length-value - TLV) 表示成功验证 8. 客户端响应 EAP-TLV 状态的成功消息 9. 服务器完成认证, 并以纯文本形式发送 EAP 成功消息 如果 VLAN 用于客户端隔离,VLAN 的属性都包含在此消息 配置 在本节中您将看到如何配置 PEAP-MS-CHAPv2 的信息 注意 : 使用思科命令查找工具 ( 仅对注册客户有效 ) 以获得在本节中使用的命令的更多信息 网络图 此配置使用以下网络设置 :

在此设置中, 在微软 Windows 2008 服务器上执行下列这些角色 : * wireless.com 域名的域控制器 * DHCP/DNS 服务器 * CA 服务器 * NPS 服务器, 对无线用户进行身份验证 * Active Directory 活动目录, 维护用户数据库 服务器通过二层交换机连接到有线网络, 如图所示 无线控制器和注册的无线接入点也通过 该二层交换机连接到网络 无线客户端使用 Wi-Fi 保护访问 2(WPA2) - PEAP-MS-CHAP v2 身份验证连接到无线网络 配置步骤 这个例子的目的是配置微软 2008 服务器, 无线控制器, 轻量无线接入点, 无线客户端进行 PEAP-MS-CHAP v2 身份验证 在这个过程中主要有三个步骤 : 1. 配置微软 Windows 2008 服务器 2. 配置无线控制器和轻量无线接入点 3. 配置无线客户端 配置微软 Windows 2008 服务器 在这个例子中, 一个完整的微软 Windows 2008 服务器的配置包括以下步骤 : 1. 配置服务器为域控制器 2. 安装和配置 DHCP 服务 3. 安装和配置 CA 服务器 4. 客户端连接到域 5. 安装 NPS 服务 6. 安装证书 7.. 配置 NPS 进行 PEAP 验证 8. 将用户添加到活动目录 配置微软 Windows 2008 服务器作为域控制器 完成下列步骤将微软 Windows 2008 服务器配置为域控制器 :

1. 点击开始 > 服务器管理器 2. 点击角色 > 添加角色

3. 单击下一步

4. 选择 Active Directory 域服务的服务, 然后单击下一步 5. 检查 Active Directory 域服务的介绍, 并单击 下一步

6. 单击 安 开始安装过程

安装将继续进行并完成 7. 单击关闭向导并启动 Active Directory 域服务安装向导 (DCPROMO.EXE) 继续安装和配置的 Active Directory 8. 单击 下一步 运行 Active Directory 域服务安装向导

9. 查看操作系统兼容性信息并单击 下一步

10. 单击在新的森林创建一个新的域 > 下一步, 以创建一个新的域

11. 输入新域的完整 DNS 名称 ( 在这个例子中为 wireless.com) 然后单击 下一步

12. 选择为您的域目录启用森林功能级别, 并单击 下一步

13. 选择为您的域提供域功能级别, 并单击 下一步

14. 确保 DNS 服务器被选中, 并单击 下一步

15. 单击 是, 安装向导在 DNS 域中创建一个新的域 16. 选择 Active Directory 中使用文件的文件夹, 并单击 下一步

17. 输入管理员密码, 并单击 下一步

18. 检查您的选择, 然后单击下一步

安装将继续进行 19. 单击 完成 关闭向导

20. 重新启动服务器以使更改生效 在微软 Windows 2008 服务器上安装和配置 DHCP 服务 微软 2008 服务器上的 DHCP 服务可以用来提供无线客户端的 IP 地址 完成下列步骤以安装 和配置 DHCP 服务 : 1. 点击 开始 > 服务器管理器

2. 点击角色 > 添加角色

3. 单击 下一步 4. 选择 DHCP 服务, 然后单击下一步

5. 检查 DHCP 服务器简介, 并单击 下一步

6. 选择 DHCP 服务器应该监测请求的接口, 然后单击下一步 7. 配置 DHCP 服务器应该提供给客户端的默认的 DNS 设置, 并单击 下一步

8. 配置 WINS

9. 单击 添加, 使用向导来创建一个 DHCP 作用域或单击 下一步 在以后再创建一个 DHCP 作用域 单击 下一步 继续 10. 启用或禁用的 DHCPv6 服务器支持, 并单击 下一步

11. 如果在前面的步骤启用了 DHCPv6 则配置 IPv6 DNS 设置 单击 下一步 继续

12. 提供域管理员身份凭据在 Active Directory 授权 DHCP 服务器, 然后单击下一步 13. 在确认页面上查看配置, 点击安装即可完成安装

安装将继续进行 14. 单击 关 以关闭该向导

现在 DHCP 服务器已经安装 15. 单击开始 > 管理工具 > DHCP 配置 DHCP 服务

16. 展开 DHCP 服务器 ( 在这个例子中为 win-mvz9z2umms.wireless.com), 右键单击 IPv4 选择 新建作用域以创建一个 DHCP 作用域

17. 单击 下一步 通过新建作用域向导来配置新的作用域

18. 提供新的作用域名称 ( 在这个例子中为无线客户端 ), 并单击 下一步 19. 输入可用的 IP 地址范围和 DHCP 租约 单击 下一步 继续

20. 创建一个可选的排除地址列表 单击 下一步 继续 21. 配置租约的时间, 并单击 下一步

22. 单击 是, 我想现在配置这些选项, 并单击 下一步 23. 输入默认网关的 IP 地址, 单击添加 > 下一页

24. 配置客户端使用的 DNS 域名和 DNS 服务器 单击 下一步 继续 25. 输入 WINS 信息 单击 下一步 继续

26. 要激活此作用域请单击 是, 我想现在激活此作用域 > 下一步 27. 单击 完成 以完成并关闭向导

安装和配置微软 Windows 2008 服务器作为 CA 服务器 PEAP EAP-MS-CHAP v2 需要验证 RADIUS 服务器证书 此外, 服务器证书必须由一个客户端 计算机所信任的公共 CA 颁发 ( 也就是公共 CA 证书已经存在于客户端计算机上的证书存储 区域中受信任的根证书颁发机构文件夹 ) 完成下列步骤配置微软 Windows 2008 的服务器作为 CA 服务器并颁发证书给 NPS: 1. 点击 开始 > 服务器管理器 2. 点击角色 > 添加角色

3. 单击 下一步

4. 选择 Active Directory 证书服务的服务, 然后单击下一步 5. 检查 Active Directory 证书服务的介绍, 并单击 下一步

6. 选择证书颁发机构并单击 下一步

7. 选择 企业, 并单击 下一步 8. 选择根 CA, 并单击 下一步

9. 选择 创建新的私钥 然后单击 下一步

10. 单击 下一步 为 CA 配置加密 11. 单击 下一步 接受此 CA 默认的通用名称

12. 选择此 CA 证书的有效时间长度, 并单击 下一步

13. 单击 下一步 接受默认的证书数据库的位置 14. 检查配置, 然后单击 安装 启动 Active Directory 证书服务

15. 安装完成后, 单击 关闭 客户端连接到域 完成下列步骤将客户端连接到有线网络并下载新域的具体信息 : 1. 客户端采用直通以太网电缆连接到有线网络 2. 客户端开机, 使用用户名和密码登录 3. 单击 开始 > 运行, 输入 cmd, 单击 确定 4. 在命令提示符下, 输入 ipconfig, 按 Enter 确认 DHCP 正常工作, 并从 DHCP 服务器收到客户端的 IP 地址 5. 为了将客户端加入到域, 请单击 开始, 右键单击 计算机, 选择 属性, 在右下角选择 更改设置 6. 单击 更改 7. 单击域, 输入 wireless.com 并单击 确定

8. 输入管理员用户名和客户端加入到域的特定密码 这是在 Active Directory 服务器上的管理 员帐户 9. 单击 确定, 然后再次单击 确定

10. 单击 关闭 > 立即重新启动 以重新启动计算机 11. 一旦计算机重新启动, 登录信息如下 : 用户名 = 管理员 ; 密码 =< 域口令 >; 域 =wireless 12. 单击 开始, 右键单击 计算机, 选择 属性, 在右下角选择 更改设置 以确认加入到了 wireless.com 域 13. 下一步是验证客户端从服务器收到了 CA 证书 ( 信任 ) 14. 单击 开始, 输入 mmc, 然后按 Enter 键 15. 单击 文件, 单击 添加 / 删除管理单元 16. 选择证书, 并单击 添加

17. 单击计算机帐户, 然后单击下一步 18. 单击本地计算机然后单击 下一步

19. 点击 确定 20. 展开 证书 ( 本地计算机 ) 和受信任的根证书颁发机构 文件夹, 单击 证书 在列表 中找到 wireless 域的 CA 证书 CA 证书在这个例子中被称为 wireless-win-mvz9z2umnms-ca

21. 重复此步骤, 添加更多的客户端到域 在微软 Windows 2008 服务器上安装网络策略服务器 (NPS) 在此设置中,NPS 作为 RADIUS 服务器对无线客户端进行 PEAP 身份验证 完成下列步骤以便 在微软 Windows 2008 服务器安装和配置 NPS: 1. 点击 开始 > 服务器管理器 2. 点击角色 > 添加角色

3. 单击 下一步

4. 选择网络策略和访问服务, 并单击 下一步 5. 查看网络策略和访问服务的介绍, 并单击 下一步

6. 选择网络策略服务器然后单击 下一步

7. 确认, 然后点击安装 安装完成后屏幕显示如下类似信息

8. 单击 关闭 安装证书 完成下列步骤以便安装计算机证书到 NPS: 1. 单击 开始, 输入 mmc, 然后按 Enter 键 2. 单击 文件 > 添加 / 删除管理单元 3. 选择证书, 并单击 添加

4. 选择计算机帐户, 然后单击下一步 5. 选择本地计算机然后单击 完成

6. 单击 确定 返回到微软管理控制台 (MMC) 7. 展开证书 ( 本地计算机 ) 和个人文件夹, 单击 证书

8. 右键单击 CA 证书下方的空白, 选择所有任务 > 申请新证书 9. 单击 下一步

10. 选择域控制器并单击 注册 11. 一旦安装了证书, 单击 完成

NPS 证书现已安装完毕 12. 确保证书的预期目的, 读取客户端身份验证, 服务器验证 将网络策略服务器的服务配置为 PEAP-MS-CHAP v2 验证

完成下列步骤以配置 NPS 进行 PEAP-MS-CHAP v2 验证 : 1. 点击 开始 > 管理工具 > 网络策略服务器 2. 右键单击 NPS( 本地 ) 并选择在 Active Directory 中注册服务器 3. 点击 确定 4. 点击 确定

5. 添加无线控制器作为 NPS 上的 AAA 客户端 6. 展开 RADIUS 客户端和服务器 右键单击 RADIUS 客户端并选择新建 RADIUS 客户端 7. 输入一个友好的名称 ( 在本例中为 WLC), 无线控制器的管理 IP 地址 ( 在这个例子中为 192.168.162.248) 和一个共享密钥 相同的共享密钥需要在无线控制器上也配置

8. 单击 确定 返回到前一个屏幕 9. 为无线用户创建一个新的网络策略 展开 策略, 右键单击网络策略, 选择 新建

10. 输入此策略中规则的名称 ( 在这个例子中的为 Wireless PEAP), 并单击 下一步

11. 这一策略只允许 wireless 域用户, 添加三个条件并单击 下一步 : *Windows 组 - 域用户 *NAS 端口类型 - 无线 - IEEE 802.11 * 身份验证类型 - EAP

12. 单击授予与此策略相匹配的连接访问权限尝试, 并单击 下一步

13. 禁用不太安全的身份验证方法

14. 单击 添加 选择 PEAP 并单击 确定 启用 PEAP

15. 选择 微软 : 受保护的 EAP(PEAP), 然后单击 编辑 确保从签发的证书下拉列表中 选择先前创建的域控制器证书, 然后单击 确定

16. 单击 下一步

17. 单击 下一步

18. 单击 下一步

19. 单击 完成

将用户添加到活动目录 Active Directory 在这个例子中, 用户数据库被保持在 Active Directory 完成下列步骤以便将用户添加到 Active Directory 数据库 : 1. 打开 Active Directory 用户和计算机 单击开始 > 管理工具 > Active Directory 用户和计算机 2. 在 Active Directory 用户和计算机控制台树中展开域, 右键单击用户 > 新建, 选择用户 3. 新建对象用户对话框中, 输入无线用户的名称 这个例子使用的名称 Client1 在名字字段和用户登录名字段 单击 下一步

4. 新建对象用户对话框中, 在密码字段中输入您选择的密码并确认密码 取消选中 用户在 下次登录时必须更改密码 复选框, 并单击 下一步 5. 在新建对象用户对话框中, 单击完成

6. 重复步骤 2 到 4, 以创建额外的用户帐户 配置无线控制器和无线接入点 配置无线设备 ( 无线控制器和无线接入点 ) 配置无线控制器 RADIUS 认证 配置无线控制器使用 NPS 作为认证服务器 在无线控制器必须配置将用户凭据转发到外部 RADIUS 服务器 外部 RADIUS 服务器验证用户凭证, 为无线客户端提供访问 完成下列步骤添加 NPS 作为 RADIUS 服务器, 转到无线控制器安全 > RADIUS 认证页面 : 1. 从无线控制图形配置接口选择 Security > RADIUS > Authentication 单击 新建 定义 RADIUS 服务器

2. 定义 RADIUS 服务器的参数 这些参数包括 RADIUS 服务器的 IP 地址, 共享密钥, 端口号, 服务器状态 基于 RADIUS 认证的网络用户和管理复选框可以确定是否将 RADIUS 适用于管理和网络 ( 无线 ) 用户 本示例使用 NPS 作为 RADIUS 服务器,IP 地址为 192.168.162.12 点击 应用

配置无线客户端 配置 SSID 使无线客户端连接 在这个例子中, 创建名为 PEAP 的 SSID 第 2 层验证定义为 WPA2, 以使客户端执行基于 EAP 的身份验证 ( 在这个例子中为 PEAP MS-CHAP V2), 并使用先进的加密标准 (AES) 加密机制 保留所有其他值为默认值 注 : 本文将 SSID 绑定到无线局域网的管理接口 当您在您的网络中有多个 VLAN 时, 你可以 创建单独的 VLAN 并将其绑定到 SSID 对于如何在无线控制器配置 VLAN 的信息, 请参阅无 线控制器上的 VLAN 配置示例 完成下列步骤在无线控制器上配置 WLAN: 1. 点击无线控制器的 WLAN 页面 此页面列出了无线控制器上存在的 WLAN 2. 选择新建以创建新的 WLAN 输入 WLAN ID 和 SSID 并单击 应用 3. 配置 SSID 进行 802.1x 认证, 完成以下步骤 : a. 单击 常规 选项卡, 并启用 WLAN

b. 单击 Security > Layer 2 标签, 设置第 2 层安全为 WPA + WPA2, 配置 WPA + WPA2 参数 ( 例如,WPA2 AES) 并单击 802.1x 作为认证密钥管理 c. 单击 Security > AAA Servers 选项卡, 从下拉列表选择 NPS 服务器 1 的 IP 地址然后单击 应用

无线客户端配置为 PEAP-MS-CHAP v2 验证 完成下列步骤来配置无线客户端与 Windows 零配置工具, 使其连接到 PEAP WLAN 1. 在任务栏上点击 网络 图标 点击 PEAP SSID 并点击 连接

2. 客户端现在应该连接到网络

3. 如果连接失败, 请尝试重新连接到无线局域网 如果问题仍然存在, 请参阅 疑难解答 部分 验证 目前还没有验证程序可用于此配置 疑难解答 如果您的客户端没有连接到 WLAN, 本节提供的信息可以用来解决配置问题 两个工具可以用来诊断 802.1x 认证失败 : 调试客户端命令和 Windows 事件查看器 从无线控制器执行客户端调试不是资源密集型任务且不会影响网络服务 要启动调试会话, 打开无线控制器的命令行界面 (CLI), 输入 debug client mac address 命令,MAC 地址是无法连接的无线客户端的 MAC 地址 在调试运行后尝试将客户端进行连接, 无线控制器 CLI 上输出的内容类似如下内容 : 这是一个可能会发生的配置错误的例子 在这里调试显示无线控制器已经进入验证状态, 这 意味着无线控制器正在等待从 NPS 的响应 这通常是由于无线控制器或 NPS 配置了不正确

的共享秘密造成的 您也可以通过 Windows 服务器事件查看器确认 如果你没有找到任何 一个日志, 说明请求从来就没有发给 NPS 另一个例子是从无线控制器调试中发现访问拒绝 一个访问拒绝表明 NPS 拒绝了客户端凭 据 下图是一个客户端接收访问拒绝的例子 : 当你看到一个访问拒绝, 检查 Windows 服务器上的事件日志以确定为什么 NPS 响应给客户 端的是访问拒绝消息 验证成功后客户端接收到访问接受消息的调试输出, 如下所示 : 对访问拒绝和响应超时时间的故障排除需要访问 RADIUS 服务器 无线控制器作为一个认证 者, 在客户端和 RADIUS 服务器之间传递 EAP 消息 RADIUS 服务器响应访问拒绝或响应超时 的问题应由 RADIUS 服务的制造商来检查和诊断 注 : 思科 TAC 对第三方 RADIUS 服务器不提供技术支持, 但是在 RADIUS 服务器上的日志一 般解释了为什么一个客户端请求被拒绝或忽略

为了解决接入拒绝和响应超时, 检查 NPS 在服务器上的 Windows 事件查看器日志 1. 单击 开始 > 管理工具 > 事件查看器, 启动 事件查看器 并审查 NPS 的日志 2. 展开 自定义视图 > 服务器角色 > 网络策略和访问 在本节中的事件查看, 有认证通过和失败的日志 检查这些日志进行故障排除, 为什么客户 端没有通过认证 通过和失败的认证显示为信息级别 通过滚动日志找到认证失败的用户名 下面是一个 NPS 拒绝用户访问的例子 :

在 事件查看器 审查 deny 语句, 检查验证详细信息部分 在这个例子中, 你可以看到, NPS 拒绝是由于用户提供了一个不正确的用户名 : 如果无线控制器没有收到 NPS 回复的响应,NPS 事件查看器也可以协助进行故障排除 这通 常是由 NPS 和无线控制器之间不正确的共享密钥造成的 在这个例子中,NPS 丢弃了不正确共享秘密的无线控制器的请求 :

原文链接 :http://www.cisco.com/en/us/products/ps10315/products_configuration_example09186a0080bfb19a.shtml 翻译人 : 谢清 译于 2013 年 4 月

2026 © docsplayer.com 隐私 | 条款 | 反馈