统一无线网络先的PEAP与Microsoft互联网认证服 务（IAS）.PDFVIP

统一无线网络先的PEAP与Microsoft互联网认证服 务(IAS) 目录 简介 先决条件 要求 使用的组件 规则 PEAP 概述 配置 网络图 配置 配置 Microsoft Windows 2003 Server 配置 Microsoft Windows 2003 Server 在 Microsoft Windows 2003 Server 上安装和配置 DHCP 服务 安装并且配置Microsoft Windows 2003服务器作为Certificate Authority (CA)服务器 将客户端连接到域 在 Microsoft Windows 2003 Server 上安装 Internet 身份验证服务并请求证书 为 PEAP-MS-CHAP v2 身份验证配置 Internet 身份验证服务 将用户添加到 Active Directory 允许用户进行无线访问 配置无线局域网控制器和轻量 AP 通过 MS IAS RADIUS 服务器为 RADIUS 身份验证配置 WLC 为客户端配置 WLAN 配置无线客户端 为 PEAP-MS CHAPv2 身份验证配置无线客户端 验证与故障排除 相关信息 简介 本文档提供了一个配置示例，在使用 Microsoft Internet 身份验证服务 (IAS) 作为 RADIUS 服务器的 Cisco 统一无线网络中设置受保护的可扩展的身份验证协议 (PEAP) 与 Microsoft 质询握手身份验证 协议 (MS-CHAP) 版本 2 身份验证。 先决条件 要求 假设读者已经掌握基本的 Windows 2003 安装和 Cisco 控制器安装，因为本文档仅涵盖有助于开展 测试的特定配置。 注意： 本文档旨在为读者提供用于 PEAP 的 MS 服务器上的必要配置（MS CHAP 身份验证）示例 。本部分所示的 Microsoft 服务器配置在实验室中进行了测试，确认能按照预期工作。如果在配置 Microsoft 服务器时遇到问题，请联系 Microsoft 以获取帮助。Cisco TAC 不支持 Microsoft Windows 服务器配置。 Cisco的初始安装和配置信息4400系列控制器，是指:快速入门指南：Cisco 4400 Series Wireless LAN Controllers。 有关 Microsoft Windows 2003 安装和配置指南，请访问安装 Windows Server 2003 R2 。 开始之前，请在测试实验室中的每台服务器上安装 Microsoft Windows Server 2003 SP1 操作系统 并更新所有 Service Pack。安装控制器和轻量接入点 (LAP) 并确保配置了最新的软件更新。 使用的组件 本文档中的信息基于以下软件和硬件版本： 运行固件 4.0 版的 Cisco 4400 系列控制器 Cisco 1131 轻量接入点协议 (LWAPP) AP Windows 2003年企业服务器(SP1)有互联网认证服务(IAS)、Certificate Authority (CA)、 DHCP和安装的域名系统(DNS)服务的 有SP 2 (和更新服务包)和Cisco Aironet 802.11a/b/g无线网卡的(NIC) Windows XP Professional Aironet Desktop Utility 4.0 版 Cisco 3560 交换机 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 PEAP 概述 PEAP使用传输级安全性(TLS)创建在一个验证的PEAP客户端之间的一个已加密信道，例如一无线 笔记本电脑和一PEAP验证器，例如Microsoft互联网认证服务(IAS)或所有RADIUS服务器。PEAP 不指定身份验证方法，但为可通过由 PEAP 提供的 TLS 加密通道进行操作的其他 EAP 身份验证协 议（例如 EAP-MSCHAPv2）提供附加的安全性。PEAP 身份验证过程主要包括两个阶段： PEAP 第一阶段：TLS 加密通道 无线客户端将与 AP 相关联。在客户端与接入点 (LAP) 之间创建安全关联之前，基于 IEEE 802.11 的关联会提供开放式系统或共享密钥身份验证。在客户端与接入点之间