背景:
公司中网络按照网络角色划分了不通的访问权限,不同的用户组处在不同的网段,无线网络同样按照网段划分了不同的SSID,要求不同用户组只能接入授予权限的SSID。
大致的网络规划如下:
| 用户组 | 网段 | VLAN | SSID | AD组 | |
| 研发 | 172.22.3.0/24 | 22 | yqb-dev | wifi-dev | |
| 内部用户 | 172.22.10.0/24 | 33 | yqb-corp | wifi-corp | |
| 访客 | 172.22.22.0/24 | 44 | yqb-guest |
公司采用Window Server 2016 Active Directory来管理所有用户及用户组。
首先需要通过在服务器上安装NPS(网络策略服务器)作为RADIUS服务器以供无线网络作用用户认证使用。
打开网络策略服务器管理界面
新增连接请求策略
输入策略名称
新增网络策略
用户组选择本Wi-Fi 所使用的用户组
被叫战ID输入无线网络名称,以$结尾(正则表达匹配,表示以yqb-corp结尾)。
新建RADIUS客户端,将无线控制器所在IP加入。共享机密需要记号,无线控制器配置时候需要用到。
无线控制器设置
新增无线网络,设置相应的vlan,以及安全模式选802.1X认证,域名选择刚才新建的ISP域即可。注意SSID要和NPS网络策略中的被叫站ID相匹配。