Cisco无线AP在复杂企业环境配置指南.docVIP

Cisco无线AP在复杂企业环境配置指南 　　需求概述：利用Cisco的AP，搭建一个企业无线局域网；用户的笔记本不用加入AD域，即可登录到无线网络，登录时使用域的用户名和密码；SSIDS隐藏，因此用户无法自行选择SSID，必须由管理员为其笔记本配置无线网络；管理员将为不同的用户选择配置不同的SSID，让其登录进不同的VLAN，从而实现网络权限的划分。 　　配置需求： ??? 　　VLAN：一台AP多个VLAN，功能与交换机类似。 ??? 　　SSID隐藏：是 ??? 　　加密协议：WPA2 ??? 　　认证协议：801x下的PEAP ??? 　　RADIUS服务器：Windows 2003所带的Internet Authentication Service（IAS） ??? 　　用户目录：与企业的Microsoft Active Directory目录整合 　　环境搭建： ??? 　　AP：Cisco AIR-AP1231G-A-K9，IOS版本：13（2）JA ??? 　　认证服务器：Windows 2003 Enterprise Server with SP1，安装了IAS服务。 ??? 　　客户端：Windows XP with SP2，无线网卡为Intel PRO Wireless LAN 2100 3B Mini PCI Adapter. 　　无线AP的配置： 　　IP的配置： ??? 　　找到IP：思科AP默认通过DHCP获取IP，因此如果你的网络中有DHCP服务器，请先查询AP的MAC地址，再到你的DHCP服务器的已分发地址池找到AP已获得的地址；如果你的网络中没有DHCP服务器，请通过Console连进AP. ??? 　　配置IP：如果通过Console连进AP，请到interface BVI1下为AP配置IP.如果是通过网页界面配置IP，请到Express SetUp中为AP配置IP.默认的用户名和密码都是Cisco，记住区分大小写。 　　配置VLAN： ??? 　　进入Service - VLAN，填入VLAN和VLAN名称，点击Apply新建VLAN. ??? 　　重复上述动作，直到将多个VLAN全部建好。 ??? 　　确认与AP相连的交换机端口配置为Trunk Mode. 　　配置加密协议： ??? 　　选择要配置的VLAN. ??? 　　进入Security - Encryption Manager，在Encryption Modes中，选择Cipher - TKIP，其余默认。 配置认证服务器： ??? 　　进入Security - Server Manager，在Corporate Servers中，选择NEW，然后填入IAS服务器的IP地址或者FQDN，输入Secret，然后端口号请选择1645，完成后点击Apply确认。  ??? 　　建好一个认证服务器后，还是在Security - Server Manager，在Default Server Priorities中，将我们刚刚建好的认证服务器设为默认的EAP Authentication server. 　　配置SSIDs： ??? 　　进入Security - SSID Manager，在SSID Properties中，选择New，然后输入SSID的名称，所属的VLAN号，在无线端口前面打勾，确认使用的是该无线端口；Network ID可以不写的。 ??? 　　在Client Authentication Settings中，选择Open Authentication with EAP. ??? 　　在Client Authentication Key Management中，选择WPA的Mandatory. ??? 　　在Multiple BSSID Beacon Settings中，确认“Set SSID as Guest Mode”没有被勾选上。 　　检查配置： ??? 　　到Security中检查无线配置，最后的配置图应该类似于下图： 认证服务器的配置： ??? 　　为服务器安装IAS服务。 ??? 　　将IAS服务器嵌入Active Directory中。只有做过这个配置，IAS才能到AD目录中去验证用户的真伪。 ??? 　　在IAS的Action菜单中，选择Register Server in Active Directory，即完成了注册。 　　为IAS服务器配置证书（这一步非常关键）： ??? 　　首先在AD域中配置证书服务器 ??? 　　然后为IAS服务器申请证书，证书类型为Computer或Server，不能是User或DC等。 ??? 　　证书申请完成后，将申请下来的证书导入IAS服务器，重启一次。 　　新建R