MS radius 约束SSID VLAN 细化无线安全认证

Posted 2021-12-07 luis_wu

随着企业办公网安全的需求越来越复杂，以前一个radius 802.1x认证所有无线的方案已经无法对各种安全域做细颗粒度划分

我们可以根据radius的约束功能对不同的SSID认证不同的组  对不同的组约束不同的VLAN信息供AC使用

场景一：仅允许某newb安全组或者OU的人使用  ssid：newb的无线

设置网络策略如下：

约束用户组：NEWB

约束被叫站ID：.*SSID    （*为通配符，因为AC传过来的认证请求格式是用户MAC：SSID，所以*为匹配所有mac）

证书部分选择正确的证书：

拒绝策略，允许安全组的认证，拒绝其他所有次SSID的认证请求：

如果有兜底的允许策略，必须设置拒绝策略，拒绝对此SSID的其他所有认证请求，策略放在上面的通过策略后面。

（格式.*ssid|.*ssid    |为or的关系）

场景二：约束用户所在的组返回不同的VLAN，为VLAN设置细颗粒度网络acl

设置网络策略如下：

约束用户组：newA

设置返回vlanID：

tunnel参数如下：

证书仍然选择正确的加密证书：

场景三：所有SSID只要用户pwd正确即可通过802.1X认证，供所有下游业务自建SSID 802.1X认证，网络策略通过