Windows Server - 建设篇

第三章 Radius+深信服行为管理+无线控制器 部署无线802.1X认证

  • Windows Server - 建设篇
  • 系列文章回顾
  • 下章内容
  • 前言
    • 实现原理
    • 实现方式
    • 前置条件
  • RADIUS认证服务器搭建及配置部分
    • Radius认证源部署Radius服务(NAPS)
      • 新建RADIUS客户端
      • 新建远程RADIUS服务器组
      • Radius认证源配置Radius的连接请求策略、网络策略
        • 配置网络策略
  • 无线控制器配置部分
    • 无线控制器新增RADIUS方案,认证源指向1.1.1.1(CA证书服务器),认证共享密钥跟认证源保持一致
    • 无线控制器新增ISP域,认证、授权和计费均使用Radius,接入方式使用LAN接入
    • 无线控制器的802.1X认证方法配置为EAP,分隔符为@
    • 无线控制器新增SSID,本地转发、二层隔离、快速关联AP、链路层认证采用802.1X认证,WPA或WPA2、加密套件TKIP或CCMP
    • 无线控制器给所有AP组绑定802.1X认证的SSID到Radio射频
  • 行为管理器配置部分
    • 启用Radius服务
    • 启用Radius单点登录
    • AC行为管理查看在线用户列表,验证无线802.1X用户的实名上线

系列文章回顾

第一章 Windows Server 2016搭建企业CA证书服务
第二章 自建CA给内部网站颁发SSL证书

下章内容

第四章 部署主从Radius认证服务

前言

        为实现内网无线用户的单点登录+实名认证,计划使用无线控制器的802.1X协议和Radius协议,配合深信服行为管理器做Radius单点登录的实名认证上线无线用户。

  • ESXi底层:VMware VMvisor 6.7.0
  • Radius服务器操作系统平台:Windows Server 2016
  • 无线控制器型号版本:H3C WX2540H V7
  • 行为管理器型号版本:SangforAC 12.0.44
  • 无线用户VLAN:80
  • 无线用户网段:10.0.50.0/22

实现原理

1. 认证方式:H3C无线控制器做SSID的802.1X EAP认证
2. 认证协议:Radius协议
3. 认证源:CA证书服务器(ESXi虚拟机,IP地址:1.1.1.1),NPS策略同步至LDAP目录
4. 认证对象:公司的无线用户
5. 认证上线:AC行为管理做Radius协议单点登录

实现方式

1. Radius认证源部署Radius服务(NAPS)
2. Radius认证源配置NPS策略,添加3.3.3.3(无线控制器)作为Radius客户端;添加AC行为管理作为远程Radius服务器,认证共享密钥保持一致
3. Radius认证源配置Radius的连接请求策略、网络策略。计费数据转发给2.2.2.2的UDP1813端口(SangforAC的计费端口)
4. 无线控制器新增RADIUS方案,认证源指向1.1.1.1的UDP1812和UDP1813(Radius服务器),认证共享密钥跟认证源保持一致
5. 无线控制器新增ISP域,认证、授权和计费均使用Radius,接入方式使用LAN接入
6. 无线控制器的802.1X认证方法配置为EAP,分隔符为@
7. 无线控制器新增SSID,本地转发、二层隔离、快速关联AP、链路层认证采用802.1X认证,WPA或WPA2、加密套件TKIP或CCMP
8. 无线控制器给所有AP组绑定802.1X认证的SSID到Radio射频
9. AC行为管理启用Radius服务
10. AC行为管理启用Radius单点登录功能,监听AC本地的UDP1813端口和Radius认证源的UDP1813端口
11. AC行为管理查看在线用户列表,验证无线用户使用802.1X认证的实名上线

1.1.1.1:udp1813是Radius服务器的Radius计费端口,2.2.2.2:udp1813是SangforAC的Radius计费端口,3.3.3.3是无线控制器IP
行为管理Radius单点登录监听端口的作用:
13. 监听Radius认证源的UDP1813计费端口 即 监听无线用户认证上线的数据包;
14. 监听SangforAC本地的UDP1813计费端口 即 监听无线用户认证成功的数据包。

前置条件

  • Radius认证服务器必须加域,Radius用户将同步LDAP用户做认证
  • 内网必须有CA证书服务,独立CA或企业CA都可,建议部署企业CA
  • Radius认证服务器可选部署在CA证书服务器上或其他加域服务器上,建议部署在CA证书服务器上

RADIUS认证服务器搭建及配置部分

此案例的Radius认证服务器搭建在企业根CA证书服务器上。以1.1.1.1为Radius服务器IP,2.2.2.2为行为管理器IP,3.3.3.3为无线控制器IP

Radius认证源部署Radius服务(NAPS)

Radius认证源配置NPS策略,添加无线控制器作为Radius客户端;添加AC行为管理作为远程Radius服务器,认证共享密钥保持一致

新建RADIUS客户端

新建远程RADIUS服务器组



Radius认证源配置Radius的连接请求策略、网络策略





配置网络策略







无线控制器配置部分

无线控制器新增RADIUS方案,认证源指向1.1.1.1(CA证书服务器),认证共享密钥跟认证源保持一致



无线控制器新增ISP域,认证、授权和计费均使用Radius,接入方式使用LAN接入


无线控制器的802.1X认证方法配置为EAP,分隔符为@


无线控制器新增SSID,本地转发、二层隔离、快速关联AP、链路层认证采用802.1X认证,WPA或WPA2、加密套件TKIP或CCMP






无线控制器给所有AP组绑定802.1X认证的SSID到Radio射频


行为管理器配置部分

启用Radius服务

启用Radius单点登录

监听Radius认证源(1.1.1.1)的1813端口和AC行为管理(2.2.2.2)本地的1813端口

AC行为管理查看在线用户列表,验证无线802.1X用户的实名上线

10.0.50.0/22网段为无线用户网段,认证方式是单点登录(Radius已认证),登录名显示为实名用户,所属组显示为LDAP的组织架构

(略)

Radius+无线控制器+深信服行为管理 部署无线802.1X认证相关推荐

  1. 华三无线控制器配置802.1X认证

    数据通信 - 建设篇 - 无线 第二章 华三无线控制器配置802.1X认证 数据通信 - 建设篇 - 无线 系列文章回顾 下章内容 华三无线控制器配置802.1X认证 背景介绍 实施步骤 无线控制器新 ...

  2. H3C交换机结合深信服AC做802.1x认证

    H3C交换机结合深信服AC做802.1x认证 这里介绍H3C接入交换机结合深信服的AC设备做802.1x认证,深信服设备做认证服务器,H3C交换机做NAS客户端.深信服的AC做准入的认证方式只能支持e ...

  3. 深信服AC路由部署模式,怎么启用为PN与总部机构为PN连接

    环境: 总部:SSL 为PN V7.0 分支:深信服AC-1000-B1200 V.13.0 AC13.0.62 问题描述: 深信服AC路由部署启用为PN,怎么与总部机构为PN连接 解决方案: 总部和 ...

  4. 深信服企业云部署步骤

    深信服企业云部署博客目录 1.部署方案 1. 企业云双主机典型部署方案 2. 企业云多主机典型部署方案 2. 企业系统安装 2.1 三方服务器服务器推荐 (1)第三方服务器安装企业云推荐硬件配置 (2 ...

  5. 深信服上网管理设备基本操作

    查看深信服上网管理版本号和登陆流程 深信服上网管理设备恢复出厂设置方法 深信服上网管理设备恢复控制台密码 素材来源于网络,侵权删.

  6. 深信服上网管理设备恢复控制台密码

    常用于忘记密码,而又不想恢复出厂设置的两种方法: 交线: U盘: 查看深信服上网管理版本号和登陆流程 深信服上网管理设备恢复出厂设置方法 素材来源于网络,侵权删.

  7. 深信服上网管理设备恢复出厂设置方法

    恢复注意事项: 1:可正常登陆 2:会使设备重启 注意成功提示: 控制台: 工具: 交线: U盘: 素材来源于网络,侵权删. 深信服上网管理设备恢复控制台密码 查看深信服上网管理版本号和登陆流程

  8. 查看深信服上网管理版本号和登陆流程

    设备外观: 查看版本: 设备登陆:     深信服上网管理设备恢复控制台密码 深信服上网管理设备恢复出厂设置方法 素材来源于网络,侵权删.

  9. 无线AP配服务器,胖AP结合远程radius服务器做802.1X认证的典型配置

    (1)胖AP配置 #和三层交换机互联地址 interface Vlan-interface1 ip address 192.168.0.50 255.255.255.0 #缺省路由,下一跳指向三层交换 ...

最新文章

  1. 裸centos安装PCRE时报错解决
  2. java流类图结构_java I/O 流总结
  3. KMP算法的实现以及改进
  4. PHP定时任务:ignore_user_abort+dowhile sleep+file_get_content crontab(php执行 curl请求) Swoole\Timer::tick
  5. html switch开关实现隐藏,css3实现switch开关效果
  6. [iPhoneアプリ]iEscaper2攻略その6|龍の水晶
  7. 第13届景驰-埃森哲杯广东工业大学ACM程序设计大赛--L-用来作弊的药水
  8. 电梯tt服务器显示第二行啥意思,【大杂烩】〖其他〗奥的斯电梯服务调试器按键说明(TT)...
  9. 二分归并排序算法_第五篇排序算法|归并排序
  10. 程序员怎么看待C语言?最伟大?最落后?
  11. 如何用python的i2c教程_Micropython TPYBoard I2C的用法
  12. 关于node.js杂记
  13. Centos 7环境MySql8.0.28源码安装
  14. maya python window_安装了Anaconda之后,Maya运行报错,Python 找不到 Maya 的 Python 模块...
  15. 生成器(generator)理解
  16. 传统备份 VS 云备份?
  17. 齿坯基准面径向和端面圆跳动公差(μm)
  18. echart x轴 倾斜,Echarts x轴字体倾斜
  19. vue+netty+redis微信猜数对战小游戏
  20. 供应链安全、勒索攻击、AI赋能——2022网络安全技术呈何趋势?

热门文章

  1. GPT3.5, InstructGPT和ChatGPT的关系
  2. Nokia 920硬刷win10
  3. 10采用区块链智能合约管理智能城市房地产交易的概念框架
  4. 自动化测试碰到验证码,怎么办?
  5. Android-蓝牙开发:解决搜索不到蓝牙设备
  6. 【附源码】计算机毕业设计JAVA中小型饭馆餐饮管理系统
  7. theia学习笔记(一)
  8. Springboot-14 shiro安全管理
  9. IT4058A型号单节锂离子电池充电管理
  10. 如何切换服务器安全狗云账号,服务器安全狗v4.0 账号保护操作教程