ARUBARadiusNPS_第1页
ARUBARadiusNPS_第2页
ARUBARadiusNPS_第3页
ARUBARadiusNPS_第4页
ARUBARadiusNPS_第5页
已阅读5页,还剩10页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、Aruba Controller基于Windows 2008 NPS实现802.1 X认证 一:测试目的及测试内容:测试目的:        某企业内部使用Windows的域环境进行统一管理,随着企业移动设备的增多,企业内部需要使用无线网络来满足日益增加的移动性设备的连网需求,要求用户连接无线网络时,使用Windows AD database做认证。并且不同的group有不同的接入权限。        所有无线用户使用802.1x方式进行认证,认证的用户帐

2、号使windows AD中的数据库,并且根据AD中用户所处的group进行vlan和访问策略的授权。(不同的group做不同的权限处理)例如:10vlan组:为企业内网员工,可以访问所有         20vlan组:为企业访客,只能访问公网,不能访问企业内网。       ”技术部”组,可以访问所有。 测试内容:1:释放一个SSID,叫wifi-NPS,使用802.1X基于Radius服务器(window 2008)进行统一认证管理,为了保证

3、安全性,要求使用WPA2-AES加密无线数据。要求10vlan用户组登陆, 获取vlan10地址,具有vlan 10用户的权限;要求20vlan用户组登陆, 获取vlan20地址,具有vlan 20用户的权限;要求”技术部”用户组登陆, 获取vlan30地址,具有vlan 30用户的权限; 二:测试设备:1:IMB T420笔记本2台,一台安装AD+IAS(windows 2003),另一台做测试客户端(windows XP);2:1台Aruba 3200 controller做NAS;3:1颗AP 105。  三:测试拓扑:   &

4、#160;                       典型无线环境网络整体架构                         

5、                    实验环境测试拓扑 四:测试过程:1:Windows 2008 NPS服务器的配置;2:AC上802.1X认证的配置;3:客户端结果测试。  1:Windows 2008 NPS服务器的配置   1.1:AD Server的安装与配置:1:配置Windows AD 2008 Server ,安装AD。

6、 (域名为)2:在AD上添加一个新的OU,名称为gome。添加用户组10vlan,添加用户10vlanuser1,密码,将这个用户隶属于” 10vlan”组。添加用户组20vlan,添加用户20vlanuser1,密码,将这个用户隶属于” 20vlan”组。添加用户组”技术部”,添加用户jishu1,密码,将这个用户隶属于”技术部”    1.2:NPS的安装与配置:          添加角色中添加网络策略和访问服务。    

7、;      设置好AD做为主域控服务器          在运行中点击nps.msc          在 Radius客户端中,右键单击 新建RADIUS 客户端,Windows 显示以下对话框。          设置个名字,并填写Aruba控制器的IP地址。 (在Arub

8、a控制器上同样设置NPS服务器的地址。)          使用标准Radius,共享密钥和AC上设置一致(此处为:123456789)          在策略中选择网络策略,通过向导模式完成。           定义一个便于记忆的策略名称。      &

9、#160;          添加AD内的组与与访问策略做捆绑。          以后此AD组的用户都将属于此访问策略。          不改变缺省身份验证的类型PAP(PEAP),单击下一步。          右键点刚才建好的策略,

10、单击“属性”,选择“编辑配置文件”再选择“高级”里的“编辑配置文件”点击“添加”             在出现的列表中选择“vendor specific”,点击添加。          点击添加。             选择输入供应商代码,输入14823。

11、0;         选择符合。          点击配置属性。          配置Aruba指派属性号为1。          属性格式字符串。(属性值即为最终NPS会传给Aruba控制器的用户角色字段。)   

12、        注意:在AD上建立的用户,保持缺省的使用NPS网络策略访问即可。   2: AC上802.1X认证的配置 (Aruba3200) (config) #aaa authentication-server radius ht-radius(Aruba3200) (RADIUS Server "ht-radius") #host 192.168.10.111(Aruba3200) (RADIUS Server "ht-radius")

13、#key 123456789(Aruba3200) (RADIUS Server "ht-radius") #enable (Aruba3200) (RADIUS Server "ht-radius") #exit (Aruba3200) #aaa test-server mschapv2 ht-radius 10vlanuser1 Authentication Successful (Aruba3200) (config) #aaa server-group ht-dot1x-server-group(Aruba3200) (Ser

14、ver Group "ht-dot1x-server-group") #auth-server ht-radius(Aruba3200) (Server Group "ht-dot1x-server-group") #set role condition role value-of (Aruba3200) (Server Group "ht-dot1x-server-group") #exit (Aruba3200) (config) #aaa authentication dot1x ht-dot1x-aaa-auth-p

15、rofile(Aruba3200) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #termination enable(Aruba3200) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #termination eap-type eap-peap(Aruba3200) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile")

16、 #termination inner-eap-type eap-mschapv2 (Aruba3200) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #exit (Aruba3200) (config) #aaa profile ht-dot1x-aaa-profile(Aruba3200) (AAA Profile "ht-dot1x-aaa-profile") #dot1x-server-group ht-dot1x-server-group(Aruba3200)

17、 (AAA Profile "ht-dot1x-aaa-profile") #authentication-dot1x ht-dot1x-aaa-auth-profile(Aruba3200) (AAA Profile "ht-dot1x-aaa-profile") #exit (Aruba3200) (config) #wlan ssid-profile ht-dot1x-ssid-profile(Aruba3200) (SSID Profile "ht-dot1x-ssid-profile") #essid wifi-N

18、PS(Aruba3200) (SSID Profile "ht-dot1x-ssid-profile") #opmode wpa-tkip (Aruba3200) (SSID Profile "ht-dot1x-ssid-profile") #exit (Aruba3200) (config) #wlan virtual-ap ht-dot1x-vap-profile(Aruba3200) (Virtual AP profile "ht-dot1x-vap-profile") #aaa-profile ht-dot

19、1x-aaa-profile(Aruba3200) (Virtual AP profile "ht-dot1x-vap-profile") #ssid-profile ht-dot1x-ssid-profile(Aruba3200) (Virtual AP profile "ht-dot1x-vap-profile") #vlan 10,20                  

20、  (Aruba3200) (Virtual AP profile "ht-dot1x-vap-profile") #exit (Aruba3200) (config) #ap-group default(Aruba3200) (AP group "default") #virtual-ap ht-dot1x-vap-profile(Aruba3200) (AP group "default") #exit  用户角色的定义(Aruba3200) (config) #ip access-list

21、 session vlan10(Aruba3200) (config-sess-vlan10)#network 192.168.10.0 255.255.255.0 network 10.0.0.0 255.0.0.0 any deny (Aruba3200) (config-sess-vlan10)#network 192.168.10.0 255.255.255.0 any any permit(Aruba3200) (config-sess-vlan10)#any network 192.168.10.0 255.255.255.0 any permit (Aruba3200) (con

22、fig-sess-vlan10)#exit (Aruba3200) (config) #ip access-list session vlan20(Aruba3200) (config-sess-vlan10)#network 192.168.20.0 255.255.255.0 any any permit (Aruba3200) (config-sess-vlan20)#any network 192.168.20.0 255.255.255.0 any permit (Aruba3200) (config-sess-vlan10)#exit (Aruba3200) (

23、config) #user-role holtzhangvlan10    /此角色名需要与AD中传回来的角色属性名称相同(Aruba3200) (config-role) #vlan 10     (Aruba3200) (config-role) #access-list session vlan10(Aruba3200) (config-role) #exit(Aruba3200) (config) #user-role holtzhangvlan20(Aruba3200) (config-role) #vlan 20(

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论