AD+IAS实现无线radius server MAC认证配置实例 推荐

Case 描述：客户需求整个无线网络里增加一个WLAN，专门给VIP使用。

这个本是很简单的事情，直接增加个WLAN SSID设置好网络就好了。但是问题来了，客户需要使用MAC认证，且不可以在WLC中直接加MAC filter，因为如果将来可能加的MAC address可能会比较多，在WLC中管理起来会比较难。那自然就想到使用radius server来实现了，用CISCO ACS也是很简单的事情嘛，可是客户一听说ACS需要花银两，那就不愿意了，想想也是，大概需要4位数呢。case就这样一直搁在。

也在网上看过有人问过和这个想关的问题，用什么办法实现比较好呢。有人说是用server 2003自带的radius server实现。晚上找了好多资料，好像只是有人提到，没有人真正实施过。也没有介绍啥的东西。只能自己倒腾倒腾了，看能有什么进展。

公司现有无线网络架构如下：





说明下这个图为复制CISCO主页的，怕画图了，直接拿来用了。

环境介绍：加设WLC连结LAP，架构图和上面一样，只是将图中装有CISCO WCS的那台server 2003拿来做radius server使用。安装AD+IAS这个省略，不会的baidu或google。

系统实现方法介绍：使用客户机的MAC地址作为username和password在AD上建立user，再将这些user加到特定的group中，在IAS中应用policy，只有在特定group中的成员才能被认证。嘎嘎是不是很简单。

配置过程：

AD上增加user和group（TEST）如下截图：













IAS配置如下截图：

将WLC加到IAS中，密码两边都要设置一样的。





应用policy wireless，在group TEST中的授予权限。





里面的一些小设置这里就不截图了，比较烦，图太多。

WLC上的设置如下截图：

设置radius server





将radius server设置应用到那个新增的WLAN SSID中





好了完成了。

验证下没有问题，再看下server 2003的系统日记有认证成功的log如下：

事件類型: 資訊

事件來源: IAS

事件類別目錄: 無

事件識別碼: 1

日期: 2010/8/8

時間: 下午 07:24:33

使用者: N/A

電腦: MR0811-3E45FF6D

描述:

授與使用者 0021******** 存取權。

完全合格的使用者名稱 = mr0811.com/Users/0021********

NAS-IP-位址 = 192.168.1.250

NAS-識別元 = ********

用戶端好記的名稱 = ********

用戶端-IP-位址 = 192.168.1.250

呼叫站台識別碼 = 00-21-**-**-**-**

NAS-連接埠類型 = Wireless - IEEE 802.11

NAS-連接埠 = 1

Proxy-原則名稱 = 對所有使用者使用 Windows 驗證

驗證提供者 = Windows

驗證伺服器 = <未定>

原則名稱 = wireless

驗證類型 = PAP

EAP-類型 = <未定>

請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心，以取得其他資訊。

資料:

0000: 00 00 00 00 ....

最后总结：客户的非常规想法看来要实现了，这个case也可以over了。明天上生产环境测试。

其实好像还可以使用别的方法的，这个免费的IAS还有好多的功能需要开发啊，以后慢慢研究。

今天上线测试，问题一大堆啊。理想环境和实际还是有很大差别的。这也验证了那些经常看别人写的东西就说，啊这个很简单，不用自己玩了。真正自己玩了并上线使用了，才能真正体会到那个别人的几句话，几个截图有多难了。

还好一个一个小问题都逐一搞定了。上线小测试了下，客户对效果很满意，估计很快就能导入了，后面就不是我的事情了，此case总算over了。

欢迎大家留言交流啊。或是直接mail我，mail：mr0811@live.cn