背景:
公司中网络按照网络角色划分了不通的访问权限,不同的用户组处在不同的网段,无线网络同样按照网段划分了不同的SSID,要求不同用户组只能接入授予权限的SSID。
大致的网络规划如下:
用户组 | 网段 | VLAN | SSID | AD组 | |
研发 | 172.22.3.0/24 | 22 | yqb-dev | wifi-dev | |
内部用户 | 172.22.10.0/24 | 33 | yqb-corp | wifi-corp | |
访客 | 172.22.22.0/24 | 44 | yqb-guest |
公司采用Window Server 2016 Active Directory来管理所有用户及用户组。
首先需要通过在服务器上安装NPS(网络策略服务器)作为RADIUS服务器以供无线网络作用用户认证使用。
打开网络策略服务器管理界面
新增连接请求策略
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image.png)
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-1-1024x827.png)
输入策略名称
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-2-1024x820.png)
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-3-1024x623.png)
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-4.png)
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-5-1024x830.png)
新增网络策略
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-6-1024x844.png)
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-7-1024x640.png)
用户组选择本Wi-Fi 所使用的用户组
被叫战ID输入无线网络名称,以$结尾(正则表达匹配,表示以yqb-corp结尾)。
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-8-1024x824.png)
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-9-1024x817.png)
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-10-1024x825.png)
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-11.png)
新建RADIUS客户端,将无线控制器所在IP加入。共享机密需要记号,无线控制器配置时候需要用到。
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-12-847x1024.png)
无线控制器设置
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-13-1024x964.png)
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-14.png)
![](https://www.xiaohui.org/wp-content/uploads/2019/09/image-15-1024x731.png)
新增无线网络,设置相应的vlan,以及安全模式选802.1X认证,域名选择刚才新建的ISP域即可。注意SSID要和NPS网络策略中的被叫站ID相匹配。