这篇文章将以办公环境中的典型WiFi为例,介绍WLC,Radius(NPS)和DHCP服务器上的相关中国体育彩票开奖。

1.拓扑:

1.1网络拓扑


相关文章:

1.2设备列表:

  • 思科AP 1702i
  • 开关
  • Radius服务器– Microsoft NPS
  • DHCP服务器
  • 思科WLC5508


1.3具有数字证书客户端身份验证的无线访问的拓扑

2. WiFi接入要求
这个WiFi access is primarily intended 对于 company laptops which already has client certificate installed 上 the machine through domain group policy. 这个WiFinetwork will be 上 a separate office VLAN from other office VLAN.

不允许其他已连接WiFi的设备连接到此办公室WiFi。他们将通过公司访客WiFi连接。 BYOD,Blackberry或其他PDA和智能手机等移动设备不应连接到Office WiFi。

3. NPS中国体育彩票开奖

将WPA2-Enterprise与802.1x身份验证一起使用时,可以将EAP-TLS指定为身份验证方法。当EAP-TLS是所选择的身份验证方法都在无线客户端和RADIUS服务器使用证书来验证其身份,彼此相互进行 身份验证。以下是在Windows网络策略服务器中中国体育彩票开奖策略以支持EAP-TLS的步骤。 

创建连接请求策略以支持IEEE 802.11无线连接。
  1. 打开 网络策略服务器  console.
  2. 导航 NPS(本地)>Policies>Connection Request 政策规定.
  3. 右键点击 Connection Request 政策规定 and select .
  4. On 指定连接策略名称和连接类型 enter a 政策名称: and 点击 下一页.
  5. On 指定条件 click .
  6. 选择 NAS端口类型 as a condition.
  7. 对于 NAS端口类型 check 无线– IEEE 802.11 and 无线–其他 click .
  8. 请点击 下一页.
  9. On 指定连接请求转发 保留默认值,然后单击 下一页.
  10. On 指定身份验证方法 保留默认值,然后单击 下一页.
  11. On 中国体育彩票开奖设置 click 下一页.
  12. 查看设置 关于完成连接请求策略向导 and 点击 
  13. 右键单击创建的连接策略,然后选择 提升 因此其处理顺序比其他任何策略都要早。 
创建一个网络策略以支持EAP-TLS作为IEEE 802.11无线连接的身份验证方法。
  1. 右键点击 Network 政策规定 and select 新.
  2. On 指定网络策略名称 and 连接类型 enter a 政策名称: and 点击 下一页.
  3. On 指定条件 click .
  4. 选择 NAS端口类型 as a condition.
  5. 对于 NAS端口类型 check 无线– IEEE 802.11 and 无线–其他 click OK.
  6. 请点击 下一页.
  7. On 指定访问权限 make sure 授予访问权限 选择并单击 下一页.
  8. On 中国体育彩票开奖身份验证方法 click  and 选择 Microsoft:智能卡或其他证书 对于 添加EAP and 点击 .
  9. 取消选中下面的任何框 安全性较低的身份验证方法.
  10. 选择 Microsoft:智能卡或其他证书 for EAP类型 and 点击 编辑
  11. 验证 证书颁发给: 下拉菜单显示正确的证书和颁发者,即Active Directory CA服务器。然后点击 .
  12. 请点击 下一页.
  13. On 中国体育彩票开奖约束 click 下一页.
  14. On 中国体育彩票开奖设置 choose NAP执法.
  15. 下 自动修复, un选中复选框 客户端计算机的自动修复 and 点击 下一页.
  16. 查看上的设置 完成新的网络政策 然后点击 .
  17. 右键单击创建的网络策略,然后选择 提升 因此其处理顺序比其他任何策略都要早。 

这是NPS策略的屏幕截图:

 





4. WLC中国体育彩票开奖






5. DHCP Option 43中国体育彩票开奖

在与Cisco无线LAN控制器不同的子网中安装第3层访问点时,请确保从要安装访问点的子网可以访问DHCP服务器,并且该子网具有返回到的路由。思科无线局域网控制器。另外,请确保返回到Cisco无线LAN控制器的路由已打开用于CAPWAP通信的目标UDP端口5246和5247。确保返回到主要,辅助和第三无线LAN控制器的路由允许IP数据包片段。最后,请确保如果使用地址转换,则接入点和Cisco无线LAN控制器具有到外部地址的静态1-to-1 NAT。 (不支持端口地址转换。)

您可以使用 DHCP选项43为访问点提供控制器IP地址列表,使它们能够找到并加入控制器。

接入点必须能够找到控制器的IP地址。这可以通过DHCP Option 43的中国体育彩票开奖来解决。 

选项43十六进制<hex string>
通过串联如下所示的TLV值来组装十六进制字符串:
类型+长度+值
类型始终为f1(hex)。长度是控制器管理IP地址的数量乘以4(十六进制)。值是以十六进制顺序列出的控制器的IP地址。
例如,假设有两个控制器的管理接口IP地址分别为10.126.126.2和10.127.127.2。类型为f1(hex)。长度为2 * 4 = 8 = 08(十六进制)。 IP地址转换为0a7e7e02和0a7f7f02。然后组装字符串将产生f1080a7e7e020a7f7f02。生成的Cisco IOS命令添加到DHCP作用域是选项43 hex f1080a7e7e020a7f7f0

IP地址到十六进制转换器 有一个在线转换器,可以帮助您将IP地址转换为十六进制。

参考:

通过 约翰

发表评论