无线控制器使用RADIUS服务器进行外部Web认证.pdf

无线控制器使用RADIUS 服务器进行外部Web 认证 简介 2 先决条件 2 要求2 组件使用2 网络拓扑图2 外部WEB 认证 3 配置无线控制器 4 配置无线控制器使用思科SECURE ACS 4 配置无线控制器上的WLAN 采用WEB 认证5 在无线控制器上配置WEB 服务器信息7 配置思科SECURE ACS 8 配置思科SECURE ACS 的用户信息9 在思科SECURE ACS 上配置无线控制器的信息10 客户端身份验证过程11 客户端配置11 客户端登录过程13 验证14 验证ACS 14 验证无线控制器16 故障排查17 故障排除命令17 简介 本文件说明如何使用外部RADIUS 服务器执行外部Web 认证。 先决条件 要求 确保你满足下列要求，然后再尝试配置： * 轻量级无线接入点和思科无线控制器的配置知识。 * 关于如何设置和配置外部 Web 服务器的知识 * 关于如何设置和配置思科Secure ACS 服务器的知识 组件使用 本文档中的信息是基于这些软件和硬件版本： * 运行 版本的思科无线控制器 * 思科Aironet 1232 系列轻量接入点 * 思科Aironet 802.11a/b/g CardBus 无线适配器，运行1 版软件 * 外部Web 服务器上承载的Web 认证登录页面 * 思科Secure ACS，版本4 本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺 省（默认）配置开始配置。如果您的网络是正在使用的生产系统，请确保您了解所有命令带 来的潜在影响。 网络拓扑图 本文使用的网络设置： 本文档中使用的IP 地址： * 无线控制器的IP 地址是06。 * 无线接入点的IP 地址是99。 * Web 服务器的IP 地址是10。 * 思科ACS 服务器的IP 地址是96。 * 无线客户端连接的WLAN 映射到管理接口，获得08 IP 地址 外部Web 认证 Web 认证是一个 3 层的安全功能，使无线控制器不允许转发一个特定的客户端的 IP 流量 （DHCP 和 DNS 相关的数据包除外），直到该客户端已正确地提供了一个有效的用户名和密 码。这是一个简单的验证方法，对于客户端无需安装请求或实用工具。了解完整的外部Web 身份验证过程的信息，请阅读无线控制器配置举例中的外部Web 认证过程章节。 在本文档中，我们将看到一个使用外部RADIUS 服务器进行外部Web 认证的配置范例。 配置无线控制器 配置示例使用如下设置。无线接入点注册到无线控制器。你需要配置访客WLAN 并启用用户 的Web 身份验证。要查看已注册到无线控制器的LAP，导航到Wireless All APs 。 你还需要配置无线控制器使用外部Web 服务器进行的身份验证。在我们的例子中，使用的 RADIUS 服务器为思科 Secure ACS 4 版本。首先，我们将配置无线控制器使用这个 RADIUS 服务器，然后我们将看看如何在思科Secure ACS 上按照要求配置此设置。 配置无线控制器使用思科Secure ACS 执行下列步骤在无线控制器上添加RADIUS 服务器： 1. 从无线控制器图形用户界面，点击“安全”菜单。 2. 在AAA 菜单，导航到Radius Authentication。 3. 单击“新建”输入RADIUS 服务器的IP 地址。在这个例子中是96。 4. 输入无线控制器共享密钥。它应与无线控制器在ACS 上的配置相同。 5. 选择共享密钥的格式，ASCII 或十六进制。 6. 1812 是用于RADIUS 身份验证的端口号。 7. 确保“服务器状态”选项设置为Enabled。 8. 选择网络用户启用以验证网络用户。 9. 点击Apply 按钮。 配置无线控制器上的WLAN 采用Web 认证 下一步是配置无线控制器上的WLAN 采用Web 认证。执行下列步骤以便在无线控制器上配 置WLAN ： 1. 从无线控制器的图形用户界面点击WLAN 菜单，并选择“新建”。 2. 选择无线局域网的类型。 3. 输入配置文件名称和您所选择的无线局域网的SSID，并单击应用。注：WLAN 的SSID 是 区分大小写的。 4. 在 “常规”选项卡上，确保已为启用状态及广播SSID 。 5. 选择一个WLAN 接口。通常情况下，将配置了VLAN 的接口映射到WLAN，使客户端收到 该VLAN 的