客户要求:华为的AR1220路由器(带AC功能)+ AP3030DN做的Wifi覆盖,需要使用Windows Server 2019配置Radius服务器作为认证方式。

本文是基于ad域,搭建ad域过程略,需要的朋友可以参考笔者以前的文章。

1、安装ad cs证书

点击添加角色和功能

RADIUS认证服务器(radius服务器认证端口)(1)

点击下一步

RADIUS认证服务器(radius服务器认证端口)(2)

RADIUS认证服务器(radius服务器认证端口)(3)

勾选Active Directory证书服务

RADIUS认证服务器(radius服务器认证端口)(4)

点击添加功能

RADIUS认证服务器(radius服务器认证端口)(5)

点击下一步

RADIUS认证服务器(radius服务器认证端口)(6)

如下图勾选,点击下一步

RADIUS认证服务器(radius服务器认证端口)(7)

RADIUS认证服务器(radius服务器认证端口)(8)

默认选择,点击下一步

RADIUS认证服务器(radius服务器认证端口)(9)

如下图打钩,点击安装

RADIUS认证服务器(radius服务器认证端口)(10)

等待安装完成,点击关闭。

RADIUS认证服务器(radius服务器认证端口)(11)

如图点击小旗帜

RADIUS认证服务器(radius服务器认证端口)(12)

点击配置证书

RADIUS认证服务器(radius服务器认证端口)(13)

RADIUS认证服务器(radius服务器认证端口)(14)

如图勾选,点击下一步。

RADIUS认证服务器(radius服务器认证端口)(15)

选择企业根,点击下一步

RADIUS认证服务器(radius服务器认证端口)(16)

RADIUS认证服务器(radius服务器认证端口)(17)

选择创建新的私钥

RADIUS认证服务器(radius服务器认证端口)(18)

默认设置

RADIUS认证服务器(radius服务器认证端口)(19)

点击下一步

RADIUS认证服务器(radius服务器认证端口)(20)

默认设置5年

RADIUS认证服务器(radius服务器认证端口)(21)

RADIUS认证服务器(radius服务器认证端口)(22)

最后点击配置

2、安装nps

选择服务器角色->网络策略和访问服务->然后下一步

RADIUS认证服务器(radius服务器认证端口)(23)

RADIUS认证服务器(radius服务器认证端口)(24)

RADIUS认证服务器(radius服务器认证端口)(25)

RADIUS认证服务器(radius服务器认证端口)(26)

安装完点击关闭

RADIUS认证服务器(radius服务器认证端口)(27)

3、为nps服务器申请ad计算机证书

Win+r,然后输出

RADIUS认证服务器(radius服务器认证端口)(28)

点击证书颁发机构->证书模板->管理

RADIUS认证服务器(radius服务器认证端口)(29)

选择计算机证书,右键安全属性然后如下图显示,注册打钩

RADIUS认证服务器(radius服务器认证端口)(30)

点击确定后,退出。然后win+r输入mmc

RADIUS认证服务器(radius服务器认证端口)(31)

点击文件->添加\删除管理单元

RADIUS认证服务器(radius服务器认证端口)(32)

选择证书->点击添加->选择计算机用户->点击下一步

RADIUS认证服务器(radius服务器认证端口)(33)

点击完成。

RADIUS认证服务器(radius服务器认证端口)(34)

退回证书控制台主界面,点击证书->个人->右键所有任务->申请新证书

RADIUS认证服务器(radius服务器认证端口)(35)

点击下一步,然后只勾选计算机,点击注册

RADIUS认证服务器(radius服务器认证端口)(36)

RADIUS认证服务器(radius服务器认证端口)(37)

4、基于向导创建NPS初始化配置

如图选择网络策略服务器

RADIUS认证服务器(radius服务器认证端口)(38)

选择802.1x无线或有线链接的RADIUS认证

RADIUS认证服务器(radius服务器认证端口)(39)

RADIUS认证服务器(radius服务器认证端口)(40)

添加Radius客户端

RADIUS认证服务器(radius服务器认证端口)(41)

RADIUS认证服务器(radius服务器认证端口)(42)

选择受保护的eap,点击下一步。

RADIUS认证服务器(radius服务器认证端口)(43)

点击添加

RADIUS认证服务器(radius服务器认证端口)(44)

点击下一步

RADIUS认证服务器(radius服务器认证端口)(45)

点击完成

RADIUS认证服务器(radius服务器认证端口)(46)

右键NPS->在Active directory中注册服务器,设置完毕。

RADIUS认证服务器(radius服务器认证端口)(47)

5、华为ac设置

点击ip业务,点击dhcp,新建一个wlanif888,用作之后无线热点的网段,注意dns指定为服务器(winsever2019的地址)的ip地址:192.168.10.12。

RADIUS认证服务器(radius服务器认证端口)(48)

点击主界面安全->AAA->RADIUS设置。新建RADIUS服务器模板,设定模板名字chen,密码与winsever2019 radius共享密码一样,选择包含域名,主备模式。点击确定;

RADIUS认证服务器(radius服务器认证端口)(49)

RADIUS认证服务器(radius服务器认证端口)(50)

然后新建授权服务器,模板选择刚才新建的chen,ip填写winsever2019的ip地址,密码与服务器密码一致,最后点击确定。

RADIUS认证服务器(radius服务器认证端口)(51)

然后点击右边的域设置,如下图设置:

RADIUS认证服务器(radius服务器认证端口)(52)

进入路由器主界面,点击右边wlan ac选项

RADIUS认证服务器(radius服务器认证端口)(53)

点击无线管理->无线业务配置

RADIUS认证服务器(radius服务器认证端口)(54)

如下图所示:SSID名称输入自己设置的无线网络名称;业务wlan设置之前的wlanif888网段,例如ip地址:192.168.18.1;子网掩码设置255.255.255.0;安全策略选择wpa-wpa2;输入设置的密码和确认设置的密码;选择生成的ap选择加入的ap,最后点击添加。

RADIUS认证服务器(radius服务器认证端口)(55)

退回ac web主页,点击ap管理

RADIUS认证服务器(radius服务器认证端口)(56)

然后点击模板管理,如图点击无线业务->VAP模板->点击刚才设置的无线网,然后将设置界面右边的转发模式改成隧道转发。此时先连接下无线网,测试一下无线网连接后是否可以上网,正常是可以上网的。

RADIUS认证服务器(radius服务器认证端口)(57)

此步骤后,接下来点击安全模板,如下图设置认证方式改成Dot1x。

RADIUS认证服务器(radius服务器认证端口)(58)

然后点击认证模板,认证模板选择之前aaa界面 radius设置的模板。分别选定802.1x模板和域模板。分别点击应用

RADIUS认证服务器(radius服务器认证端口)(59)

最后退回路由器主界面,如下图点击ip业务->DNS,新建DNS服务器配置列表,添加winsever服务器的dns地址。*利用xshell进路由器ping一下此dns地址,如果不通或者解析为外网,则重启路由器。

RADIUS认证服务器(radius服务器认证端口)(60)