好帮手电子科技有限公司无线覆盖和认证故障排除 NETGEAR中国 ....docVIP

好帮手电子科技有限公司无线覆盖和认证故障排除 NETGEAR中国客户服务部 技术支持工程师 黄蒸 目 录 一．方案介绍 3 二．络拓扑结构图 3 三．802.1x认证工作原理和配置方法 4 1.802.1x认证工作原理 4 2.WG302v2配置信息 4 3.Radius服务器配置信息 5 四．故障现象 6 五．故障排除 7 六．结论 10  方案介绍 三水好帮手电子科技有限公司需要在一栋八层的办公楼实现无线覆盖，以便外来人员通过验证后能无线连接到因特网，但不能访问内部局域网。根据办公楼实际的面积和WG302v2的性能，在每层楼放置3个AP，八层楼一共是24个AP，并在核心交换机划分出无线VLAN（192.168.101.0/24）专门用于连接这24个AP实现无线上网。 为了实现无线覆盖和认证，需要在无线AP上启用IEEE802.1x协议来对无线局域网基于逻辑端口的接入提供认证。如果无线用户通过认证，则相当于通过逻辑端口接入到无线局域网；不能通过认证，则断开逻辑端口的连接。Netgear企业级的无线AP都能支持802.1x认证来对无线用户的接入进行控制。整个方案的硬件和软件的需求如下： 硬件平台 Netgear WG302v2 固件版本 Version 5.2.3 Radius认证服务器 WinRadius V2.25 无线认证客户端 安腾802.1x客户端 网络拓扑结构图 802.1x认证工作原理和配置方法 1.802.1x认证工作原理 客户使用WinRadius作为radius认证服务器和安腾802.1x无线认证客户端。 1.）当一个无线用户进入到无线AP覆盖的范围，在收到无线AP的问询后，无线用户做出响应。 2.）无线用户通过在802.1x客户端输入的认证信息（账户名和密码）发送到无线AP上。 3.）无线AP将收到的认证信息转发到radius服务器。 4.）Radius服务器对认证信息进行校验，并将正确性告知AP。 5.）如果正确，AP将允许无线用户的连接请求；否则将会拒绝无线用户连接到AP。 2.WG302v2配置信息 1.）登陆到WG302v2的管理界面，进入basic setting页面并根据每个AP放置的位置配置相应的IP信息、国家/地区和时区。 2.）进入Radius Server Settings页面设置认证服务器的IP地址、认证端口和共享密钥。 3.）进入Security Profile页面，编辑Profile 1并设置无线网络标识SSID、网络认证和数据加密。 3.Radius服务器配置信息 1.）设置WinRadius认证服务器的NAS密码和认证端口，并确保这两项与在WG302v2上设置的Shared Secret和Port Number一致。 2.）添加用户名和密码。 故障现象 无线客户端无法通过验证 验证通过之后，无线客户端一直显示“正在获取IP地址” 无线客户端连接成功之后，丢包率较高，并且会自动断开连接 故障排除 1. 无线客户端无法通过验证 1.）由于802.1x认证的认证过程是无线用户将认证信息发送给无线AP，然后无线AP再转发认证信息给radius服务器进行认证，所以必须确保无线用户已经响应了无线AP的问询之后再发送认证信息。因此，用户必须按正确的步骤进行连接，而不是一开始就直接用802.1x客户端软件来连接，这样会导致无线客户端一直在“查找认证服务器，但找不到认证服务器”。 说明：下图是无法查找到认证服务器 说明：下图是无线用户已经响应无线AP的问询后再发送认证信息 2.）尝试与不同的AP进行连接，以确定是AP还是无线客户端的问题。 3.）如果问题在于无线客户端，则首先需注意认证的信息是否正确。其次要看所连接到的无线网络信息是否正确，通常有时无线网卡会标识一些未设置安全机制的网络为启用了WEP加密，此时需要多刷新无线网络列表信息。 说明：下图是错误的网络信息，显示“启用安全的无线网络”。 4.）如果问题在于AP，则首先，需要确认AP和radius认证服务器之间的连接是否正常。如果从AP无法路由到radius认证服务器，那么AP也无法将认证信息转发给认证服务器。其次，检查WG302v2上的配置信息。确认设置的认证服务器的IP地址、端口和共享密码都与认证服务器上配置的相一致。 2. 验证通过之后，无线客户端一直显示“正在获取IP地址” 1.）取消802.1x认证，然后无线客户端在没有设置安全机制的情况下与AP关联，看是否能正常获取到IP地址。 2.）尝试移动无线客户端的位置到能搜索到该信号较强的位置，再重新进行连接。测试中发现：用WG111v2的网卡进行连接时，当信号的强度低于50％，无线客户端可能需要一段较长的时间来进行信息验证和获取IP地址；而与较强信号的