ACS5.2和无线控制器配置PEAP和EAP-FAST示例简介.....................................................................................................................2先决条件..............................................................................................................2需求............................................................................................................................2使用的组件................................................................................................................2配置.....................................................................................................................2网络图........................................................................................................................3假设条件....................................................................................................................4配置步骤..............................................................................................................4配置RADIUS服务器............................................................................................4配置网络资源............................................................................................................5配置用户....................................................................................................................8定义策略元素..........................................................................................................11应用访问策略..........................................................................................................11配置无线控制器..................................................................................................15在无线控制器上配置身份验证服务器的详细信息..............................................15配置动态接口(VLAN).........................................................................................16配置无线局域网(SSID).......................................................................................18配置无线客户端实用工具...................................................................................20PEAP-MSCHAPV2(USER1)..........................................................................................20EAP-FAST(USER2).......................................................................................................27验证....................................................................................................................34验证用户USER1(PEAP-MSCHAPV2).....................................................................34验证用户2(EAP-FAST)........................................................................................36故障排除.............................................................................................................37故障排除命令..........................................................................................................38简介本文档介绍了如何配置无线控制器配合外部RADIUS服务器(如思科访问控制服务器ACS5.2)进行可扩展身份验证协议(EAP)的范例,。先决条件需求请确保您满足下列要求,然后再尝试进行配置:*具备基本的无线控制器和轻量级无线接入点的知识*具备AAA服务器功能的知识*具备无线网络和无线网络安全问题的透彻认识使用的组件本文档中的信息基于下列软件和硬件版本:*思科5508无线控制器,软件版本7.0.220.0*思科3502系列无线接入点*微软Windows7原生请求程序与英特尔6300-N无线客户端(驱动程序版本14.3)*思科SecureACS5.2版本*思科3560系列交换机本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺省(默认)配置开始配置。如果您的网络是正在使用的生产系统,请确保您了解所有命令带来的潜在影响。配置在本节中将向您介绍如何配置本文档中描述的功能的信息。注意:使用命令查找工具(注册用户才可访问)获得本节中使用的命令的更多信息。网络图本文档使用以下网络设置:下列为图中所使用的组件的详细配置信息:*ACS(RADIUS)服务器的IP地址是192.168.150.24。*无线控制器的管理和AP-manager接口地址为192.168.75.44。*DHCP服务器的地址192.168.150.25。*VLAN253被用于整个此配置。用户连接到相同的SSID“GOA”。用户user1被配置为使用PEAP-MSCHAPv2验证协议,用户user2使用EAP-FAST验证协议。*用户将被分配到VLAN253:oVLAN253:192.168.153.x/2。网关:192.168.153.1oVLAN75:192.168.75.x/24。网关:192.168.75.1假设条件*交换机配置了所有三层的VLAN。*DHCP服务器配置了一个DHCP的IP地址范围范围。*第3层连接在网络中的所有设备之间存在。*无线接入点已经加入到无线控制器。*每个VLAN为24位掩码。*ACS5.2安装了一个自签名的证书。配置步骤配置分为三大步骤:1.配置RADIUS服务器。2.配置无线控制器。3.配置无线客户端实用工具。配置RADIUS服务器RADIUS服务器的配置分为四个步骤:1.配置网络资源。2.配置用户。3.定义策略元素。4.应用访问策略。ACS5.x是基于策略的访问控制系统。也就是说,ACS5.x使用一个以规则为基础的策略模型,而不是像4.x版本中使用基于组的模型。ACS5.x的以规则为基础的策略模式提供了更加强大和灵活的访问控制。传统的以组为基础的模型,可根据三种类型的信息基于组来定义政策,:*身份信息–该信息可以使用AD或LDAP上的成员信息,或ACS内部静态用户信息。*其他限制或条件-时间的限制,设备的限制等等。*权限-VLAN或思科IOS®权限级别。ACS5.x的策略模型是基于规则的形式:*Ifconditionthenresult(如果满足条件则导致)例如,我们使用基于组的模型所描述的信息:*Ifidentity-condition,restriction-conditionthenauthorization-profile(如果匹配身份的条件,限制条件,则授权。)因此,这给我们限制在什么条件下允许用户访问网络,以及符合特定条件时授权什么样的级别带来了灵活性。配置网络资源在本节中,我们在RADIUS服务器上配置AAA客户端。此过程说明如何在RADIUS服务器上添加无线控制器作为AAA客户端,以便使用户可以通过认证的过程。完成以下步骤:1.从ACSGUI界面,到网络资源网络设备组位置,然后单击“创建”(底部)。2.添加所需的字段,并单击“提交”。现在,您将看到这样的画面:3.单击“设备类型”“创建”。4.点击“提交”。您将看到下列画面:5.到网络资源网络设备和AAA客户端。6.单击创建,填写详细信息,如下所示:7.点击“提交”。您将看到下列画面:配置用户在本节中,我们将在ACS上创建本地用户。user1和user2两个用户被分配在名为“无线用户”的组。1.到用户和身份存储身份组创建。2.当您单击“提交”,页面如下:3.创建user1和user2的用户,并将它们分配到“无线用户”组。a.单击“用户和身份存储身份识别组”“用户”“创建”。b.同样,创建user2。屏幕会看起来像这样:定义策略元素验证允许访问已经设置。应用访问策略在本节中,我们将描述选择要使用的身份验证方法和规则是如何进行配置的。基于前面的步骤,我们将创建规则。完成以下步骤:1.到访问策略接入服务默认网络访问编辑:“默认网络访问”。2.选择无线客户端进行身份验证的EAP方法。在这个例子中,我们使用PEAP-MSCHAPv2和EAP-FAST。3.点击“提交”。4.请确认您所选择的身份组。在这个例子中,我们使用内部的用户组。5.为了验证授权配置,请访问策略接入服务默认网络访问授权。您可以自定义在什么情况下你会允许用户对网络访问和以及分配授权配置文件(属性)。这种划分仅适用于ACS5.x。在这个例子中,我们选择了基于位置、设备类型、协议、身份组和EAP验证方法。6.单击“确定”保