客户要求:华为的AR1220路由器(带AC功能)+ AP3030DN做的Wifi覆盖,需要使用Windows Server 2019配置Radius服务器作为认证方式。
本文是基于ad域,搭建ad域过程略,需要的朋友可以参考笔者以前的文章。
1、安装ad cs证书
点击添加角色和功能
点击下一步
勾选Active Directory证书服务
点击添加功能
点击下一步
如下图勾选,点击下一步
默认选择,点击下一步
如下图打钩,点击安装
等待安装完成,点击关闭。
如图点击小旗帜
点击配置证书
如图勾选,点击下一步。
选择企业根,点击下一步
选择创建新的私钥
默认设置
点击下一步
默认设置5年
最后点击配置
2、安装nps
选择服务器角色->网络策略和访问服务->然后下一步
安装完点击关闭
3、为nps服务器申请ad计算机证书
Win+r,然后输出
点击证书颁发机构->证书模板->管理
选择计算机证书,右键安全属性然后如下图显示,注册打钩
点击确定后,退出。然后win+r输入mmc
点击文件->添加\删除管理单元
选择证书->点击添加->选择计算机用户->点击下一步
点击完成。
退回证书控制台主界面,点击证书->个人->右键所有任务->申请新证书
点击下一步,然后只勾选计算机,点击注册
4、基于向导创建NPS初始化配置
如图选择网络策略服务器
选择802.1x无线或有线链接的RADIUS认证
添加Radius客户端
选择受保护的eap,点击下一步。
点击添加
点击下一步
点击完成
右键NPS->在Active directory中注册服务器,设置完毕。
5、华为ac设置
点击ip业务,点击dhcp,新建一个wlanif888,用作之后无线热点的网段,注意dns指定为服务器(winsever2019的地址)的ip地址:192.168.10.12。
点击主界面安全->AAA->RADIUS设置。新建RADIUS服务器模板,设定模板名字chen,密码与winsever2019 radius共享密码一样,选择包含域名,主备模式。点击确定;
然后新建授权服务器,模板选择刚才新建的chen,ip填写winsever2019的ip地址,密码与服务器密码一致,最后点击确定。
然后点击右边的域设置,如下图设置:
进入路由器主界面,点击右边wlan ac选项
点击无线管理->无线业务配置
如下图所示:SSID名称输入自己设置的无线网络名称;业务wlan设置之前的wlanif888网段,例如ip地址:192.168.18.1;子网掩码设置255.255.255.0;安全策略选择wpa-wpa2;输入设置的密码和确认设置的密码;选择生成的ap选择加入的ap,最后点击添加。
退回ac web主页,点击ap管理
然后点击模板管理,如图点击无线业务->VAP模板->点击刚才设置的无线网,然后将设置界面右边的转发模式改成隧道转发。此时先连接下无线网,测试一下无线网连接后是否可以上网,正常是可以上网的。
此步骤后,接下来点击安全模板,如下图设置认证方式改成Dot1x。
然后点击认证模板,认证模板选择之前aaa界面 radius设置的模板。分别选定802.1x模板和域模板。分别点击应用
最后退回路由器主界面,如下图点击ip业务->DNS,新建DNS服务器配置列表,添加winsever服务器的dns地址。*利用xshell进路由器ping一下此dns地址,如果不通或者解析为外网,则重启路由器。