使用RADIUS认证服务器控制无线网络接入。

Posted 2023-04-23

可以用WIN2003做一个RADIUS认证服务器，AP方面用什么都可以，只要不是杂牌子的都行，我用DLINK和思科的试过，都可以，电脑保存密码以后就很方便，每次打开WIFI就可以直接连入无线，我们是为了减少MAC地址绑定的工作量才使用RADIUS去域控制器进行用户名和密码的验证的，下面是我自己的配置笔记，文件太多没法上传到这里啊，我做好RADIUS服务器以后在各种操作系统里建立好连接，导出以后写脚本发给所有员工，执行导入就可以了，平滑割接。

Enterprise WLAN profile deployment with .bat script 为大量用户批量安装的脚本.docx
IAS访问失败日志.txt
IAS访问成功日志.txt
import_win7.bat
netsh命令.txt
PEAP_FreeRADIUS_LDAP_DEBIAN_SARGE_CISCO_AP1200_WinXP_WPA2_AES_HOWTO_V3.pdf
win7.rar
win7_wpa.htm
win7_wpa_files
WIN7安装脚本
WinXP安装脚本
WPA2 Enterprise Win7 Client Setup.docx
使用DLINK无线路由器配置WPA2.doc
使用思科1240AG加WIN7进行WPA2连接
办公网AP共享密码.txt
安装过程.txt
无线网络安全指南：IAS RADIUS实现无线网络验证.pdf
生成证书命令.txt 参考技术A 无线跟有线是一样的~你去bbs.routerclub.com论坛去找radius manger就可以 参考技术B 配置Raduis太麻烦，推荐你看看Wiwiz Hotspot builder，很容易使用追问

Wiwiz Hotspot builder 是收费的吧？公司不会花钱买这个的，呵呵。

追答

看你具体用的功能了，一般的免费版都有的

MS radius 约束SSID VLAN 细化无线安全认证

随着企业办公网安全的需求越来越复杂，以前一个radius 802.1x认证所有无线的方案已经无法对各种安全域做细颗粒度划分

我们可以根据radius的约束功能对不同的SSID认证不同的组  对不同的组约束不同的VLAN信息供AC使用

场景一：仅允许某newb安全组或者OU的人使用  ssid：newb的无线

设置网络策略如下：

约束用户组：NEWB

约束被叫站ID：.*SSID    （*为通配符，因为AC传过来的认证请求格式是用户MAC：SSID，所以*为匹配所有mac）

证书部分选择正确的证书：

拒绝策略，允许安全组的认证，拒绝其他所有次SSID的认证请求：

如果有兜底的允许策略，必须设置拒绝策略，拒绝对此SSID的其他所有认证请求，策略放在上面的通过策略后面。

（格式.*ssid|.*ssid    |为or的关系）

场景二：约束用户所在的组返回不同的VLAN，为VLAN设置细颗粒度网络acl

设置网络策略如下：

约束用户组：newA

设置返回vlanID：

tunnel参数如下：

证书仍然选择正确的加密证书：

场景三：所有SSID只要用户pwd正确即可通过802.1X认证，供所有下游业务自建SSID 802.1X认证，网络策略通过