输入您的问题查找答案
   
 
相关文库文档
更多相关文库文档 >>
联系客服
在线技术支持
客户服务热线:

电话销售热线:

服务时间(法定节假日除外):
家庭产品:
周一至周六:9:00-18:00
商用产品:
周一至周五:9:00-18:00
商用网络动态

与 NETGEAR 监控专用交换机亲密接触

选择德才兼备的 PoE 交换机

NETGEAR 交换机助力聊城第二人民医院智能监控建设

更多动态 >>

网件文库 » WLAN 企业无线产品  »  如何在 WFS709TP MAC 地址认证中实现根据 MAC 指定 VLAN
如何在 WFS709TP MAC 地址认证中实现根据 MAC 指定 VLAN

编号:20081       来自:NetGear       更新日期:2012-02-15       访问数量:25616

1.用户需求描述

2.使用外部Radius服务器(Windows 2003 Server + IAS +AD)实现功能

2.1 拓扑结构图与实验环境说明
2.2 设置方法

2.2.1 WFS709TP的设置

2.2.1.1 创建VLAN 1和VLAN 2
2.2.1.2 设置SSID:mac对应VLAN 1,采用MAC认证,用外部Radius服务器认证

2.2.2 Radius服务器的设置

2.2.2.1 Active Directory的设置
2.2.2.2 修改用户的属性
2.2.2.3 新建组:为VLAN2创建一个组,组里包含的就是这个VLAN2的户
2.2.2.4 将用户“00234d8b4cfd“加到组VLAN2中

2.2.3 Internet验证服务(IAS)的设置

2.2.3.1 新建Radius客户端
2.2.3.2 新建访问策略

3.客户端检测

3.1 无线CLIENT关联
3.2 测试结果

 

1、用户需求描述

在MAC地址认证实际应用中,最通常用到的是设置几个SSID对应相应的VLAN,利用无线控制器内部的认证服务器或外部Radius服务器,通过添加指定的MAC地址用户,指派到各自对应的VLAN中去。但也有用户提出这样的设想:能不能只设置一个SSID,但划分几个VLAN对应不同网段,然后根据MAC地址通过这个唯一广播出来的SSID指派到不同的VLAN。NETGEAR ProSafe WFS709TP是可以通过两种方式实现这个功能的:一种是传统的使用WFS709TP内部认证服务器;另一种方式就是本文要介绍的使用外部Radius服务器(Windows 2003 Server + IAS + Active Directory)

2、使用外部Radius服务器(Windows 2003 Server + IAS +AD)实现功能

2.1 拓扑结构图与实验环境说明

  • 拓扑结构图说明:
    WFS709TP上开启VLAN 1和VLAN 2,VLAN1对应的网段是192.168.0.0/24,VLAN2对应的网段是192.168.10.0/24,只添加了一个名为mac的SSID对应的是VLAN1,使用外部Radius服务器。VLAN 1和VLAN 2中都有各自的DHCP服务器。要求:现在要求PC通过关联mac这个VLAN1的SSID指派到VLAN2中,而不是被指派到VLAN1。
  • 软件环境说明
  • WINDOWS 2003 SERVER: Windows Server 2003 R2 Enterprise Edition
  • RADIUS SERVER:Windows 2003 IAS+AD
  • WFS709TP FIRMWARE: V2.5.6.18
  • WGL102: 瘦AP1台
  • 笔记本客户端:Microsoft Windows XP Professional Servic Pack2
  • 无线网卡:Atheros 11 b/g Wireless LAN Mini PCI Express Adapter III
  • 室内各线路环境:30米室内环境

2.2 设置方法

2.2.1 WFS709TP的设置

2.2.1.1 创建VLAN 1和VLAN 2

2.2.1.2 设置SSID:mac对应VLAN 1,采用MAC认证,并使用外部Radius服务器认证。

2.2.2 Radius服务器的设置

Radius服务器软件环境:Microsoft Windows Server 2003 Enterprise Edition(Service Pack 2)Active Directory、IAS

注意:MAC地址认证是通过添加一个以无线网卡的MAC地址为用户名和密码的用户来实现认证目的的,而在2003的“Active Directory用户和计算机中”添加用户的时候默认是有密码安全策略的,所以在做进一步的操作之前,先要把“默认域安全设置→安全设置→帐户策略→密码策略”中的安全要求设置禁用掉才能成功的添加。

2.2.2.1 Active Directory的设置

在Active Directory用户和计算机中,右键点Users,在“新建”中选“用户”,创建一个用户:

然后在弹出来的窗口中分别输入PC的MAC地址:00234d8b4cfd,然后单击下一步

输入密码和确认密码都为PC的MAC地址:00234d8b4cfd,把“用户下次登陆时必须更改密码(M)前面的勾去掉。

点击下一步完成新建用户00234d8b4cfd操作

2.2.2.2 修改用户的属性:

双击“00234d8b4cfd”,进入“拨入”选项卡中,将远程访问权限设为“允许访问”。

 

2.2.2.3 新建组:为VLAN2创建一个组,组里包含的就是这个VLAN2的用户。

右键点Users,在“新建”中选“组”

设置“组名”,作用域选“全局”,组类型选“安全组”。

2.2.2.4将用户“00234d8b4cfd“加到组VLAN2中

双击“vlan2”,选择“成员”选项卡,然后点“添加”,在出来的窗口填入“00234d8b4cfd”,最后点“确定”,即可将用户00234d8b4cfd加入vlan2组中。

2.2.3 Internet验证服务(IAS)的设置

2.2.3.1 新建Radius客户端

进入Internet验证服务(IAS),右键点“RADIUS客户端”,选择“新建RADIUS客户端”。

填入自定义的名称,例如mac;客户端地址是指支持Radius Standard、IEEE802.1x的网络设备的IP地址,也就是指的WFS709TP的IP地址: 192.168.0.250

单击“验证",然后在弹出来的窗口中点"解析",然后确定,下一步

客户端-供应商选择Radius Stndard,并设置共享密钥12345678 (须与WFS709TP的Radius Shared Key一致),然后点完成结束。

2.2.3.2 新建访问策略

右键点“远程访问策略”,选择“新建远程访问策略”

在出来的向导中点下一步,选自定义访问策略,输入自定义策略名vlan2

下一步,在策略状况下点“添加”,选择“Windows-Groups”,再点添加

随后会出现添加组的窗口,也是点“添加”,然后输入“vlan2”这个组名,点确定。

经过确定,策略添加成功,点下一步

授予远程访问的权限

下一步,编辑配置文件,进入“身份认证”选项卡,点击“EAP方法”

这里可以选择认证的类型,一般无线网卡通用的是PEAP方式,但是由于这里采用的是MAC地址认证,对于客户端网卡来说是透明的认证,所以选择无线网卡默认的“智能卡或其他证书”即可。

确定后回到身份验证界面,勾选所有的选项

再进入“高级”选项卡,点“添加”。

1)首先添加Tunnel-Medium-Type属性

添加多值属性“802”

2)再添加Tunnel-Pvt-Group-ID

添加多值属性,格式为字符串,输入的参数代表VLAN ID或VLAN Name。所以输入2表示VLAN 2

3)最后添加Tunnel-Type属性

添加多值属性“Virtual LANs(VLAN)”

完毕后,可以看到刚才添加的三个属性已经在配置文件中了。

再点下一步,即完成了VLAN 2的策略。

3、客户端检测

3.1 无线CLIENT关联

搜索周围的无线网络,找到mac这个SSID并且关联这个SSID

3.2 测试结果

关联mac后无线客户端获取到的IP地址为192.168.10.254的IP,而通过前面的配置我们已经知道,mac关联的VLAN1对应的网段是192.168.0.0/24这个网段的IP,VLAN2对应的才是192.168.10.0/24的网段,所以可以看到PC尽管是关联的mac这个SSID,但是被指派到VLAN2中的,达到了测试的效果。

 

序号 no.

日期 date

作者 author

摘要 summary

1

2010-10-21

Netgear

文档创建

2

2010-10-26

NETGEAR

定义V1.2,upgrade NETGEAR logo

 

  
 
以上内容是否为您所需要的答案?
以上内容是否清晰、简明和易于理解的?
您是如何知道网件社区的?