AD+IAS实现无线radius server MAC认证配置实例

Case 描述：客户需求整个无线网络里增加一个WLAN，专门给VIP使用。
这个本是很简单的事情，直接增加个WLAN SSID设置好网络就好了。但是问题来了，客户需要使用MAC认证，且不可以在WLC中直接加MAC filter，因为如果将来可能加的MAC address可能会比较多，在WLC中管理起来会比较难。那自然就想到使用radius server来实现了，用CISCO ACS也是很简单的事情嘛，可是客户一听说ACS需要花银两，那就不愿意了，想想也是，大概需要4位数呢。case就这样一直搁在。

也在网上看过有人问过和这个想关的问题，用什么办法实现比较好呢。有人说是用server 2003自带的radius server实现。晚上找了好多资料，好像只是有人提到，没有人真正实施过。也没有介绍啥的东西。只能自己倒腾倒腾了，看能有什么进展。

公司现有无线网络架构如下：

 

说明下这个图为复制CISCO主页的，怕画图了，直接拿来用了。

环境介绍：加设WLC连结LAP，架构图和上面一样，只是将图中装有CISCO WCS的那台server 2003拿来做radius server使用。安装AD+IAS这个省略，不会的baidu或google。

系统实现方法介绍：使用客户机的MAC地址作为username和password在AD上建立user，再将这些user加到特定的group中，在IAS中应用policy，只有在特定group中的成员才能被认证。嘎嘎是不是很简单。

配置过程：

AD上增加user和group（TEST）如下截图：

IAS配置如下截图：

将WLC加到IAS中，密码两边都要设置一样的。

应用policy wireless，在group TEST中的授予权限。

里面的一些小设置这里就不截图了，比较烦，图太多。

WLC上的设置如下截图：

设置radius server

将radius server设置应用到那个新增的WLAN SSID中

好了完成了。

验证下没有问题，再看下server 2003的系统日记有认证成功的log如下：

事件�型:        �Y�

事件�碓�:        IAS

事件��e目�:        �o

事件�R�e�a:        1

日期:                2010/8/8

�r�g:                下午 07:24:33

使用者:                N/A

��X:        MR0811-3E45FF6D

描述:

授�c使用者 0021******** 存取�唷�

完全合格的使用者名�Q = mr0811.com/Users/0021********

NAS-IP-位址 = 192.168.1.250

NAS-�R�e元 = ********

用�舳撕糜�的名�Q = ********

用�舳�-IP-位址 = 192.168.1.250

呼叫站台�R�e�a = 00-21-**-**-**-**

NAS-�B接埠�型 = Wireless - IEEE 802.11

NAS-�B接埠 = 1

Proxy-原�t名�Q = �λ�有使用者使用 Windows ��C

��C提供者 = Windows

��C伺服器 = <未定>

原�t名�Q = wireless

��C�型 = PAP

EAP-�型 = <未定>

�在 http://go.microsoft.com/fwlink/events.asp 查看�f明及支援中心，以取得其他�Y�。

�Y料:

0000: 00 00 00 00 ....

 

最后总结：客户的非常规想法看来要实现了，这个case也可以over了。明天上生产环境测试。

其实好像还可以使用别的方法的，这个免费的IAS还有好多的功能需要开发啊，以后慢慢研究。

 

 
今天上线测试，问题一大堆啊。理想环境和实际还是有很大差别的。这也验证了那些经常看别人写的东西就说，啊这个很简单，不用自己玩了。真正自己玩了并上线使用了，才能真正体会到那个别人的几句话，几个截图有多难了。
还好一个一个小问题都逐一搞定了。上线小测试了下，客户对效果很满意，估计很快就能导入了，后面就不是我的事情了，此case总算over了。

欢迎大家留言交流啊。或是直接mail我，mail：[email protected]

 

本文出自 “mr0811” 博客，转载请与作者联系！