无线网络支持不通用户组使用不同SSID

背景:

公司中网络按照网络角色划分了不通的访问权限,不同的用户组处在不同的网段,无线网络同样按照网段划分了不同的SSID,要求不同用户组只能接入授予权限的SSID。

大致的网络规划如下:

用户组网段VLANSSIDAD组
研发172.22.3.0/2422yqb-devwifi-dev
内部用户172.22.10.0/2433yqb-corpwifi-corp
访客172.22.22.0/2444yqb-guest

公司采用Window Server 2016 Active Directory来管理所有用户及用户组。

首先需要通过在服务器上安装NPS(网络策略服务器)作为RADIUS服务器以供无线网络作用用户认证使用。

打开网络策略服务器管理界面

新增连接请求策略



输入策略名称
点击添加按钮
选择NAS端口类型
选择无线-IEEE802.11
一路下一步直接完成即可

新增网络策略

输入策略名称
条件中参考上图。
用户组选择本Wi-Fi 所使用的用户组
被叫战ID输入无线网络名称,以$结尾(正则表达匹配,表示以yqb-corp结尾)。
授予网络访问权限
EAP类型添加PEAP
RADIUS标准属性中删除原有的两项
然后添加两项,如图所示。

新建RADIUS客户端,将无线控制器所在IP加入。共享机密需要记号,无线控制器配置时候需要用到。

无线控制器设置

新建RAdius服务器
新建ISP认证域,记住域名,后续无线网络配置中需要用。

新增无线网络,设置相应的vlan,以及安全模式选802.1X认证,域名选择刚才新建的ISP域即可。注意SSID要和NPS网络策略中的被叫站ID相匹配。