資源描述:
《cisco無線ap在復(fù)雜企業(yè)環(huán)境配置指南》由會員上傳分享���,免費在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1、Cisco無線AP在復(fù)雜企業(yè)環(huán)境配置指南 需求概述:利用Cisco的AP����,搭建一個企業(yè)無線局域網(wǎng);用戶的筆記本不用加入AD域��,即可登錄到無線網(wǎng)絡(luò)�����,登錄時使用域的用戶名和密碼;SSIDS隱藏���,因此用戶無法自行選擇SSID�����,必須由管理員為其筆記本配置無線網(wǎng)絡(luò)����;管理員將為不同的用戶選擇配置不同的SSID���,讓其登錄進(jìn)不同的VLAN�,從而實現(xiàn)網(wǎng)絡(luò)權(quán)限的劃分�。 配置需求:??? VLAN:一臺AP多個VLAN�,功能與交換機(jī)類似。??? SSID隱藏:是??? 加密協(xié)議:WPA2??? 認(rèn)證協(xié)議:801
2�����、x下的PEAP??? RADIUS服務(wù)器:Windows2003所帶的InternetAuthenticationService(IAS)??? 用戶目錄:與企業(yè)的MicrosoftActiveDirectory目錄整合 環(huán)境搭建:??? AP:CiscoAIR-AP1231G-A-K9�����,IOS版本:13(2)JA??? 認(rèn)證服務(wù)器:Windows2003EnterpriseServerwithSP1����,安裝了IAS服務(wù)。??? 客戶端:WindowsXPwithSP2�,無線網(wǎng)卡為Intel
3、PROWirelessLAN21003BMiniPCIAdapter. 無線AP的配置: IP的配置:??? 找到IP:思科AP默認(rèn)通過DHCP獲取IP����,因此如果你的網(wǎng)絡(luò)中有DHCP服務(wù)器,請先查詢AP的MAC地址�,再到你的DHCP服務(wù)器的已分發(fā)地址池找到AP已獲得的地址;如果你的網(wǎng)絡(luò)中沒有DHCP服務(wù)器�����,請通過Console連進(jìn)AP.??? 配置IP:如果通過Console連進(jìn)AP�,請到interfaceBVI1下為AP配置IP.如果是通過網(wǎng)頁界面配置IP,請到ExpressSetUp中為A
4����、P配置IP.默認(rèn)的用戶名和密碼都是Cisco,記住區(qū)分大小寫����?��! ∨渲肰LAN:??? 進(jìn)入Service-VLAN,填入VLAN和VLAN名稱�����,點擊Apply新建VLAN.??? 重復(fù)上述動作�,直到將多個VLAN全部建好。??? 確認(rèn)與AP相連的交換機(jī)端口配置為TrunkMode. 配置加密協(xié)議:??? 選擇要配置的VLAN.??? 進(jìn)入Security-EncryptionManager�,在EncryptionModes中,選擇Cipher-TKIP����,其余默認(rèn)。配置認(rèn)證服務(wù)器:???
5��、 進(jìn)入Security-ServerManager��,在CorporateServers中���,選擇�,然后填入IAS服務(wù)器的IP地址或者FQDN,輸入Secret����,然后端口號請選擇1645,完成后點擊Apply確認(rèn)����。??? 建好一個認(rèn)證服務(wù)器后�����,還是在Security-ServerManager���,在DefaultServerPriorities中�,將我們剛剛建好的認(rèn)證服務(wù)器設(shè)為默認(rèn)的EAPAuthenticationserver. 配置SSIDs:??? 進(jìn)入Security-SSIDMan
6�����、ager�,在SSIDProperties中,選擇New�����,然后輸入SSID的名稱,所屬的VLAN號�����,在無線端口前面打勾���,確認(rèn)使用的是該無線端口��;NetworkID可以不寫的��。??? 在ClientAuthenticationSettings中���,選擇OpenAuthenticationwithEAP.??? 在ClientAuthenticationKeyManagement中,選擇WPA的Mandatory.??? 在MultipleBSSIDBeaconSettings中����,確認(rèn)“SetSSIDa
7、sGuestMode”沒有被勾選上�。 檢查配置:??? 到Security中檢查無線配置����,最后的配置圖應(yīng)該類似于下圖:認(rèn)證服務(wù)器的配置:??? 為服務(wù)器安裝IAS服務(wù)。??? 將IAS服務(wù)器嵌入ActiveDirectory中��。只有做過這個配置,IAS才能到AD目錄中去驗證用戶的真?zhèn)巍??? 在IAS的Action菜單中�����,選擇RegisterServerinActiveDirectory�,即完成了注冊?���! 镮AS服務(wù)器配置證書(這一步非常關(guān)鍵):??? 首先在AD域中配置證書服務(wù)器???
8、 然后為IAS服務(wù)器申請證書���,證書類型為Computer或Server,不能是User或DC等�����。??? 證書申請完成后�����,將申請下來的證書導(dǎo)入IAS服務(wù)器��,重啟一次�。 新建RADIUS客戶端??? 在RADIUSClients中,選擇新建客戶端�����。??? 為該客戶端起一個好記的名字�����,通常就是AP的Hostname.然后填入AP的IP地址或者FQDN.??? Client-Vendor選擇Cisco�,或者RADIUSStandard,都可以的�。??
