测试目的:
某企业内部使用Windows的域环境进行统一管理,随着企业移动设备的增多,企业内部需要使用无线网络来满足日益增加的移动性设备的连网需求,要求用户连接无线网络时,使用Windows AD database做认证。并且不同的group有不同的接入权限。
所有无线用户使用802.1x方式进行认证,认证的用户帐号使windows AD中的数据库,并且根据AD中用户所处的group进行vlan和访问策略的授权。(不同的group做不同的权限处理)
例如:10vlan组:为企业内网员工,可以访问所有
20vlan组:为企业访客,只能访问公网,不能访问企业内网。
”技术部”组,可以访问所有。
测试内容:
1:释放一个SSID,叫wifi-NPS,使用802.1X基于Radius服务器(window 2008)进行统一认证管理,为了保证安全性,要求使用WPA2-AES加密无线数据。
要求10vlan用户组登陆, 获取vlan10地址,具有vlan 10用户的权限;
要求20vlan用户组登陆, 获取vlan20地址,具有vlan 20用户的权限;
要求”技术部”用户组登陆, 获取vlan30地址,具有vlan 30用户的权限;
1:IMB T420笔记本2台,一台安装AD+IAS(windows 2003),另一台做测试客户端(windows XP);
2:1台Aruba 3200 controller做NAS;
3:1颗AP 105。
典型无线环境网络整体架构
实验环境测试拓扑
1:Windows 2008 NPS服务器的配置;
2:AC上802.1X认证的配置;
3:客户端结果测试。
1:Windows 2008 NPS服务器的配置
|
1.1:AD Server的安装与配置:
1:配置Windows AD 2008 Server ,安装AD。 (域名为test.my3377.com)
2:在AD上添加一个新的OU,名称为gome。
添加用户组10vlan,添加用户10vlanuser1,密码123.com,将这个用户隶属于” 10vlan”组。
添加用户组20vlan,添加用户20vlanuser1,密码123.com,将这个用户隶属于” 20vlan”组。
添加用户组”技术部”,添加用户jishu1,密码123.com,将这个用户隶属于”技术部”
|
|
|
|
1.2:NPS的安装与配置:
• 添加角色中添加网络策略和访问服务。
• 设置好AD做为主域控服务器
• 在运行中点击nps.msc
• 在 Radius客户端中,右键单击 新建RADIUS 客户端,Windows 显示以下对话框。
• 设置个名字,并填写Aruba控制器的IP地址。 (在Aruba控制器上同样设置NPS服务器的地址。)
• 使用标准Radius,共享**和AC上设置一致(此处为:123456789)
|
• 在策略中选择网络策略,通过向导模式完成。
|
• 定义一个便于记忆的策略名称。
|
|
• 添加AD内的组与与访问策略做捆绑。
• 以后此AD组的用户都将属于此访问策略。
• 不改变缺省身份验证的类型PAP(PEAP),单击下一步。
|
|
• 右键点刚才建好的策略,单击“属性”,选择“编辑配置文件”再选择“高级”里的“编辑配置文件”点击“添加”
|
|
• 在出现的列表中选择“vendor specific”,点击添加。
• 点击添加。
• 选择输入供应商代码,输入14823。
• 选择符合。
• 点击配置属性。
• 配置Aruba指派属性号为1。
• 属性格式字符串。(属性值即为最终NPS会传给Aruba控制器的用户角色字段。)
|
|
• 注意:在AD上建立的用户,保持缺省的使用NPS网络策略访问即可。
|
2: AC上802.1X认证的配置
|
(Aruba3200) (config) #aaa authentication-server radius ht-radius
(Aruba3200) (RADIUS Server "ht-radius") #host 192.168.10.111
(Aruba3200) (RADIUS Server "ht-radius") #key 123456789
(Aruba3200) (RADIUS Server "ht-radius") #enable
(Aruba3200) (RADIUS Server "ht-radius") #exit
(Aruba3200) #aaa test-server mschapv2 ht-radius 10vlanuser1 123.com
Authentication Successful
(Aruba3200) (config) #aaa server-group ht-dot1x-server-group
(Aruba3200) (Server Group "ht-dot1x-server-group") #auth-server ht-radius
(Aruba3200) (Server Group "ht-dot1x-server-group") #set role condition role value-of
(Aruba3200) (Server Group "ht-dot1x-server-group") #exit
(Aruba3200) (config) #aaa authentication dot1x ht-dot1x-aaa-auth-profile
(Aruba3200) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #termination enable
(Aruba3200) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #termination eap-type eap-peap
(Aruba3200) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #termination inner-eap-type eap-mschapv2
(Aruba3200) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #exit
(Aruba3200) (config) #aaa profile ht-dot1x-aaa-profile
(Aruba3200) (AAA Profile "ht-dot1x-aaa-profile") #dot1x-server-group ht-dot1x-server-group
(Aruba3200) (AAA Profile "ht-dot1x-aaa-profile") #authentication-dot1x ht-dot1x-aaa-auth-profile
(Aruba3200) (AAA Profile "ht-dot1x-aaa-profile") #exit
(Aruba3200) (config) #wlan ssid-profile ht-dot1x-ssid-profile
(Aruba3200) (SSID Profile "ht-dot1x-ssid-profile") #essid wifi-NPS
(Aruba3200) (SSID Profile "ht-dot1x-ssid-profile") #opmode wpa-tkip
(Aruba3200) (SSID Profile "ht-dot1x-ssid-profile") #exit
(Aruba3200) (config) #wlan virtual-ap ht-dot1x-vap-profile
(Aruba3200) (Virtual AP profile "ht-dot1x-vap-profile") #aaa-profile ht-dot1x-aaa-profile
(Aruba3200) (Virtual AP profile "ht-dot1x-vap-profile") #ssid-profile ht-dot1x-ssid-profile
(Aruba3200) (Virtual AP profile "ht-dot1x-vap-profile") #vlan 10,20
(Aruba3200) (Virtual AP profile "ht-dot1x-vap-profile") #exit
(Aruba3200) (config) #ap-group default
(Aruba3200) (AP group "default") #virtual-ap ht-dot1x-vap-profile
(Aruba3200) (AP group "default") #exit
|
|
用户角色的定义
(Aruba3200) (config) #ip access-list session vlan10
(Aruba3200) (config-sess-vlan10)#network 192.168.10.0 255.255.255.0 network 10.0.0.0 255.0.0.0 any deny
(Aruba3200) (config-sess-vlan10)#network 192.168.10.0 255.255.255.0 any any permit
(Aruba3200) (config-sess-vlan10)#any network 192.168.10.0 255.255.255.0 any permit
(Aruba3200) (config-sess-vlan10)#exit
(Aruba3200) (config) #ip access-list session vlan20
(Aruba3200) (config-sess-vlan10)#network 192.168.20.0 255.255.255.0 any any permit
(Aruba3200) (config-sess-vlan20)#any network 192.168.20.0 255.255.255.0 any permit
(Aruba3200) (config-sess-vlan10)#exit
(Aruba3200) (config) #user-role holtzhangvlan10 //此角色名需要与AD中传回来的角色属性名称相同
(Aruba3200) (config-role) #vlan 10
(Aruba3200) (config-role) #access-list session vlan10
(Aruba3200) (config-role) #exit
(Aruba3200) (config) #user-role holtzhangvlan20
(Aruba3200) (config-role) #vlan 20
(Aruba3200) (config-role) #access-list session vlan20
(Aruba3200) (config-role) #exit
(Aruba3200) (config) # ip access-list session jishu
(Aruba3200) (config-sess-vlan10)# any any any permit
(Aruba3200) (config-sess-vlan10)#exit
(Aruba3200) (config) # user-role jishu
(Aruba3200) (config-role) #vlan 30
(Aruba3200) (config-role) # access-list session jishu
(Aruba3200) (config-role) #exit
|
3:客户端测试
配置客户端网卡的wifi-NPS属性,身份验证使用WPA2,加密使用AES;
验证的EAP类型选择使用eap-peap,点击属性,认证方式选择mschapV2;
使用windows登陆用户名和密码进行认证。
测试结果
1:基础架构测试:
用户连接到wifi-NPS热点:
使用10vlanuser1用户组登陆, 可以获取vlan10地址,具有vlan 10用户role “holtzhangvlan10”;
使用20vlanuser1用户组登陆, 可以获取vlan20地址,具有vlan 20用户role “holtzhangvlan20”;
使用”技术部”用户组登陆, 可以获取vlan30地址,具有vlan 30用户role “jishu”;
在实际企业环境中不同类型的用户连接到企业内部的同一SSID可以根据预先设定的策略授权到相应的vlan,并且下发相应的策略。
上篇我们使用LDAP做认证对接,其中对中文OU和Group的支持不好,但2003中的IAS和2008中的NPS对中文OU和Group支持的很好。
而且,使用LDAP不能做到OU中的某些用户组中的用户可以作为认证用户,某些组中的用户不能作为认证用户,而IAS和NPS可以很好的控制那些。(在IAS或NPS中需要将认证拨入的组加入到IAS或NPS,不需要的组不加入IAS或NPS即可实现)
转载于:https://blog.51cto.com/holtzhang/836168