Case 描述:客户需求整个无线网络里增加一个WLAN,专门给VIP使用。
这个本是很简单的事情,直接增加个WLAN SSID设置好网络就好了。但是问题来了,客户需要使用MAC认证,且不可以在WLC中直接加MAC filter,因为如果将来可能加的MAC address可能会比较多,在WLC中管理起来会比较难。那自然就想到使用radius server来实现了,用CISCO ACS也是很简单的事情嘛,可是客户一听说ACS需要花银两,那就不愿意了,想想也是,大概需要4位数呢。case就这样一直搁在。

也在网上看过有人问过和这个想关的问题,用什么办法实现比较好呢。有人说是用server 2003自带的radius server实现。晚上找了好多资料,好像只是有人提到,没有人真正实施过。也没有介绍啥的东西。只能自己倒腾倒腾了,看能有什么进展。

公司现有无线网络架构如下:

 

clip_p_w_picpath001

说明下这个图为复制CISCO主页的,怕画图了,直接拿来用了。

环境介绍:加设WLC连结LAP,架构图和上面一样,只是将图中装有CISCO WCS的那台server 2003拿来做radius server使用。安装AD+IAS这个省略,不会的baidu或google。

系统实现方法介绍:使用客户机的MAC地址作为username和password在AD上建立user,再将这些user加到特定的group中,在IAS中应用policy,只有在特定group中的成员才能被认证。嘎嘎是不是很简单。

配置过程:

AD上增加user和group(TEST)如下截图:

clip_p_w_picpath002

clip_p_w_picpath003

clip_p_w_picpath004

IAS配置如下截图:

将WLC加到IAS中,密码两边都要设置一样的。

clip_p_w_picpath005

应用policy wireless,在group TEST中的授予权限。

clip_p_w_picpath006

里面的一些小设置这里就不截图了,比较烦,图太多。

WLC上的设置如下截图:

设置radius server

clip_p_w_picpath007

将radius server设置应用到那个新增的WLAN SSID中

clip_p_w_picpath008

好了完成了。

验证下没有问题,再看下server 2003的系统日记有认证成功的log如下:

事件類型:        資訊

事件來源:        IAS

事件類別目錄:        無

事件識別碼:        1

日期:                2010/8/8

時間:                下午 07:24:33

使用者:                N/A

電腦:        MR0811-3E45FF6D

描述:

授與使用者 0021******** 存取權。

完全合格的使用者名稱 = mr0811.com/Users/0021********

NAS-IP-位址 = 192.168.1.250

NAS-識別元 = ********

用戶端好記的名稱 = ********

用戶端-IP-位址 = 192.168.1.250

呼叫站台識別碼 = 00-21-**-**-**-**

NAS-連接埠類型 = Wireless - IEEE 802.11

NAS-連接埠 = 1

Proxy-原則名稱 = 對所有使用者使用 Windows 驗證

驗證提供者 = Windows

驗證伺服器 = <未定>

原則名稱 = wireless

驗證類型 = PAP

EAP-類型 = <未定>

請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。

資料:

0000: 00 00 00 00 ....

 

最后总结:客户的非常规想法看来要实现了,这个case也可以over了。明天上生产环境测试。

其实好像还可以使用别的方法的,这个免费的IAS还有好多的功能需要开发啊,以后慢慢研究。

 

 
今天上线测试,问题一大堆啊。理想环境和实际还是有很大差别的。这也验证了那些经常看别人写的东西就说,啊这个很简单,不用自己玩了。真正自己玩了并上线使用了,才能真正体会到那个别人的几句话,几个截图有多难了。
还好一个一个小问题都逐一搞定了。上线小测试了下,客户对效果很满意,估计很快就能导入了,后面就不是我的事情了,此case总算over了。

欢迎大家留言交流啊。或是直接mail我,mail:mr0811@live.cn