[互联网]ACS 52和无线控制器配置PEAP和EAP-FAST示例.pdf

ACS 5.2 和无线控制器 配置PEAP 和EAP-FAST 示例 简介 2 先决条件 2 需求2 使用的组件2 配置 2 网络图3 假设条件4 配置步骤 4 配置 RADIUS 服务器 4 配置网络资源5 配置用户8 定义策略元素11 应用访问策略11 配置无线控制器15 在无线控制器上配置身份验证服务器的详细信息15 配置动态接口 （VLAN ）16 配置无线局域网（SSID ）18 配置无线客户端实用工具20 PEAP-MSCHAPV2 (USER1) 20 EAP-FAST (USER2) 27 验证34 验证用户USER1 （PEAP-MSCHAPV2 ）34 验证用户2 （EAP-FAST）36 故障排除37 故障排除命令38 简介 本文档介绍了如何配置无线控制器配合外部RADIUS 服务器(如思科访问控制服务器ACS 5.2) 进行可扩展身份验证协议（EAP）的范例，。 先决条件 需求 请确保您满足下列要求，然后再尝试进行配置： * 具备基本的无线控制器和轻量级无线接入点的知识 * 具备AAA 服务器功能的知识 * 具备无线网络和无线网络安全问题的透彻认识 使用的组件 本文档中的信息基于下列软件和硬件版本： * 思科5508 无线控制器，软件版本 * 思科3502 系列无线接入点 * 微软Windows 7 原生请求程序与英特尔6300-N 无线客户端（驱动程序版本14.3） * 思科Secure ACS 5.2 版本 * 思科3560 系列交换机 本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺 省（默认）配置开始配置。如果您的网络是正在使用的生产系统，请确保您了解所有命令带 来的潜在影响。 配置 在本节中将向您介绍如何配置本文档中描述的功能的信息。 注意：使用命令查找工具（注册用户才可访问）获得本节中使用的命令的更多信息。 网络图 本文档使用以下网络设置： 下列为图中所使用的组件的详细配置信息： * ACS （RADIUS）服务器的IP 地址是4。 * 无线控制器的管理和AP-manager 接口地址为4。 * DHCP 服务器的地址5。 * VLAN 253 被用于整个此配置。用户连接到相同的SSID “GOA ”。用户user1 被配置为使用 PEAP-MSCHAPv2 验证协议，用户user2 使用EAP-FAST 验证协议。 * 用户将被分配到VLAN 253 ： o VLAN 253: 192.168.153.x/2 。网关： o VLAN 75: 192.168.75.x/24 。网关： 假设条件 * 交换机配置了所有三层的VLAN 。 * DHCP 服务器配置了一个DHCP 的IP 地址范围范围。 * 第3 层连接在网络中的所有设备之间存在。 * 无线接入点已经加入到无线控制器。 * 每个VLAN 为24 位掩码。 * ACS 5.2 安装了一个自签名的证书。 配置步骤 配置分为三大步骤： 1. 配置RADIUS 服务器。 2. 配置无线控制器。 3. 配置无线客户端实用工具。 配置 RADIUS 服务器 RADIUS 服务器的配置分为四个步骤： 1. 配置网络资源。 2. 配置用户。 3. 定义策略元素。 4. 应用访问策略。 ACS 5.x 是基于策略的访问控制系统。也就是说，ACS 5.x 使用一个以规则为基础的策略模型， 而不是像4.x 版本中使用基于组的模型。ACS 5.x 的以规则为基础的策略模式提供了更加强大 和灵活的访问控制。 传统的以组为基础的模型，可根据三种类型的信息基于组来定义政策，： * 身份信息 – 该信息可以使用AD 或LDAP 上的成员信息，或ACS 内部静态用户信息。 * 其他限制或条件 - 时间的限制，设备的限制等等。 * 权限- VLAN 或思科IOS®权限级别。 ACS 5.x 的策略模型是基于规则的形式： * If condition then result （如果满足条件则导致） 例如，我们使用基于组的模型所描述的信息： * If identity-condition, restriction-condition th