資源描述:
《cisco無(wú)線ap在復(fù)雜企業(yè)環(huán)境配置指南》由會(huì)員上傳分享��,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1��、Cisco無(wú)線AP在復(fù)雜企業(yè)環(huán)境配置指南 需求概述:利用Cisco的AP���,搭建一個(gè)企業(yè)無(wú)線局域網(wǎng)���;用戶的筆記本不用加入AD域,即可登錄到無(wú)線網(wǎng)絡(luò)��,登錄時(shí)使用域的用戶名和密碼���;SSIDS隱藏���,因此用戶無(wú)法自行選擇SSID����,必須由管理員為其筆記本配置無(wú)線網(wǎng)絡(luò)�;管理員將為不同的用戶選擇配置不同的SSID,讓其登錄進(jìn)不同的VLAN���,從而實(shí)現(xiàn)網(wǎng)絡(luò)權(quán)限的劃分�����?�! ∨渲眯枨螅??? VLAN:一臺(tái)AP多個(gè)VLAN���,功能與交換機(jī)類(lèi)似。??? SSID隱藏:是??? 加密協(xié)議:WPA2??? 認(rèn)證協(xié)議:801x下的PEAP?
2�、?? RADIUS服務(wù)器:Windows2003所帶的InternetAuthenticationService(IAS)??? 用戶目錄:與企業(yè)的MicrosoftActiveDirectory目錄整合 環(huán)境搭建:??? AP:CiscoAIR-AP1231G-A-K9,IOS版本:13(2)JA??? 認(rèn)證服務(wù)器:Windows2003EnterpriseServerwithSP1�����,安裝了IAS服務(wù)�。??? 客戶端:WindowsXPwithSP2����,無(wú)線網(wǎng)卡為IntelPROWirelessLAN21
3�、003BMiniPCIAdapter. 無(wú)線AP的配置: IP的配置:??? 找到IP:思科AP默認(rèn)通過(guò)DHCP獲取IP,因此如果你的網(wǎng)絡(luò)中有DHCP服務(wù)器�,請(qǐng)先查詢AP的MAC地址����,再到你的DHCP服務(wù)器的已分發(fā)地址池找到AP已獲得的地址;如果你的網(wǎng)絡(luò)中沒(méi)有DHCP服務(wù)器�����,請(qǐng)通過(guò)Console連進(jìn)AP.??? 配置IP:如果通過(guò)Console連進(jìn)AP����,請(qǐng)到interfaceBVI1下為AP配置IP.如果是通過(guò)網(wǎng)頁(yè)界面配置IP,請(qǐng)到ExpressSetUp中為AP配置IP.默認(rèn)的用戶名和密碼都是Cisco��,記
4���、住區(qū)分大小寫(xiě)�����?! ∨渲肰LAN:??? 進(jìn)入Service-VLAN,填入VLAN和VLAN名稱���,點(diǎn)擊Apply新建VLAN.??? 重復(fù)上述動(dòng)作��,直到將多個(gè)VLAN全部建好��。??? 確認(rèn)與AP相連的交換機(jī)端口配置為T(mén)runkMode. 配置加密協(xié)議:??? 選擇要配置的VLAN.??? 進(jìn)入Security-EncryptionManager�,在EncryptionModes中����,選擇Cipher-TKIP,其余默認(rèn)����。配置認(rèn)證服務(wù)器:??? 進(jìn)入Security-ServerManager,在Corpo
5��、rateServers中�����,選擇�,然后填入IAS服務(wù)器的IP地址或者FQDN���,輸入Secret,然后端口號(hào)請(qǐng)選擇1645����,完成后點(diǎn)擊Apply確認(rèn)。??? 建好一個(gè)認(rèn)證服務(wù)器后����,還是在Security-ServerManager�����,在DefaultServerPriorities中�����,將我們剛剛建好的認(rèn)證服務(wù)器設(shè)為默認(rèn)的EAPAuthenticationserver. 配置SSIDs:??? 進(jìn)入Security-SSIDManager�,在SSIDProperties中,選擇New��,然后輸入SSID的名稱���,
6�、所屬的VLAN號(hào),在無(wú)線端口前面打勾�,確認(rèn)使用的是該無(wú)線端口;NetworkID可以不寫(xiě)的���。??? 在ClientAuthenticationSettings中�,選擇OpenAuthenticationwithEAP.??? 在ClientAuthenticationKeyManagement中�,選擇WPA的Mandatory.??? 在MultipleBSSIDBeaconSettings中,確認(rèn)“SetSSIDasGuestMode”沒(méi)有被勾選上��?�! z查配置:??? 到Security中檢查無(wú)線配置��,最
7�、后的配置圖應(yīng)該類(lèi)似于下圖:認(rèn)證服務(wù)器的配置:??? 為服務(wù)器安裝IAS服務(wù)。??? 將IAS服務(wù)器嵌入ActiveDirectory中����。只有做過(guò)這個(gè)配置,IAS才能到AD目錄中去驗(yàn)證用戶的真?zhèn)巍??? 在IAS的Action菜單中��,選擇RegisterServerinActiveDirectory�����,即完成了注冊(cè)?����! 镮AS服務(wù)器配置證書(shū)(這一步非常關(guān)鍵):??? 首先在AD域中配置證書(shū)服務(wù)器??? 然后為IAS服務(wù)器申請(qǐng)證書(shū)�,證書(shū)類(lèi)型為Computer或Server,不能是User或DC等����。??? 證書(shū)
8、申請(qǐng)完成后�����,將申請(qǐng)下來(lái)的證書(shū)導(dǎo)入IAS服務(wù)器���,重啟一次?����! ⌒陆≧ADIUS客戶端??? 在RADIUSClients中��,選擇新建客戶端����。??? 為該客戶端起一個(gè)好記的名字��,通常就是AP的Hostname.然后填入AP的IP地址或者FQDN.??? Client-Vendor選擇Cisco����,或者RADIUSStandard�����,都可以的���。??
