无线控制器带AAA认证的

实验环境1台2003系统的PC、1台带无线功能的PC、1台controller、一台AP、一台三层交换。拓扑图controller配置开启controller,到这里看提示按ESC键，进入选项，输入5清空controller配置，自动重启后开始配置controller。（有的时候第一次输入5按回车后没有反应，继续输入5按回车就可以了）2.重启好了后会到这个界面，按回车。按回车完进入这个界面，继续按回车进入配置用户名进入用户配置界面，配置管理员用户名cisco配置完用户名后按回车，进行配置密码cisco，按回车重新输入密码cisco。（密码显示是星号的）配置完密码按回车，进行配置带内管理的地址也就是WEB管理地址10.1.10.2，按回车进行配置子网掩码255.255.255.0，按回车配置网关10.1.10.254。按回车，进行配置管理IP接口存在于VLAN10按回车，设置controller和三层线连接的端口1口按回车，设置DHCP的地址IP10.1.10.254按回车，设置瘦AP和无线控制器关联的地址10.1.10.1按回车，会出现一段话这段话的大概意思是AP地址跟管理地址存在于相同的子网有些值要寄存下来，直接按回车按回车，设置一个虚拟网关本地不可路由的IP1.1.1.1。按回车，创建一个漫游组，只要两个AP存在于同一个漫游组，就会自动开启漫游功能。两个AP的重叠区域会自动切换到信号强的那个AP。按回车，设置一个SSIDweizl。按回车，提示你是否要允许静态配置IP，选择不开启No。按回车，选择配置一个RADIUS服务器YES。按回车配置RADIUS服务器地址10.1.30.100.按回车，提示端口是1812直接安回车。配置一个域共享密钥cisco。按回车，输入AP的场地，我们可以同时输入两个地址US,CN。按回车，提示是否自动调频输入YES。按回车，是否配置NTP服务输入NO。按回车，提示手动配置时间输入YES。按回车，进行设置月日年12/21/12。安回车，进行设置时间时分秒19:16:30。按回车，保存重启输入YES。进入三层先把基本配置打上先创建我们所需的三个VLAN，然后进入VLAN打开VLAN配置IP地址。然后配置每个VLAN的DHCPVLAN10VLAN20因为是连接AP的所以要多配置一个option43f1040a010a01f1是固定的04是只有一个AP的时候有两个就是08以此类推0a010a01是10.1.10.1换算成16进制的vlan30配置好了以后，按照上面的拓扑将端口配置好F0/1F0/23F0/24这台要实现路由的功能保存配置进入2003系统的PC先测试2003系统PC网络通了没打开IE输入，然后会跳出一个安全警报，直接点击确认，又跳出一个安全警报点击是，就会到controller的Web登录界面点击Login会跳出一个输入用户名和密码的登陆框，输入用户名cisco密码cisco。输入完回车就能开始配置controller了，不过在配置之前先要将IE的安全级别降低，工具——Internet选项——安全——自定义级别——重设置——安全级别-低——重置点击是。查看AP是否连接上了，MONITOR——Statistics——apjoin会跳出一个安全信息点击是，就能看到AP关联的情况了。下面开始做一个WPA的认证先做一个动态接口CONTROLLER——Interfaces——New，配置名称WPA，VLAN100.点击APPLY应用应用完会跳到配置界面，PortNumber是和三层连接的端口1，IPAddress只要是网段内出了网关外的任何地址都可以10.1.100.253。NETMASK子网掩码255.255.255.0。Gateway网关10.1.100.254.PrimaryDHCPServer输入10.1.100.254。然后点击右上角的APPLY应用，跳出一个界面直接点击确定。然后去WLANS——WLANS有一个原先创好的SSID直接修改就好了点击1.然后进入配置界面General——Interface改成wpaSecurity——Layer2——AuthKeyMgmt修改成PSK在下面输入域共享秘钥cisco会跳出一个界面直接点击确定WIRELESS——802.11a/n——Network——802.11aNetwrokStatus后面的Enabled打钩起来然后点击APPLY应用。WIRELESS——802.11b/g/n——Network——802.11b/gNetwrokStatus后面的Enabled打钩起来然后点击APPLY应用。最后去三层上面配置VLAN和DHCP打开笔记本的无线就可以看到weizl的无线网络了，点击链接weizl的SSID输入WEB验证先做一个动态接口CONTROLLER——Interfaces——New，配置名称101，VLAN101.点击APPLY应用应用完会跳到配置界面，PortNumber是和三层连接的端口1，IPAddress只要是网段内出了网关外的任何地址都可以10.1.101.253。NETMASK子网掩码255.255.255.0。Gateway网关10.1.101.254.PrimaryDHCPServer输入10.1.101.254.点击右上角的APPLY应用，跳出一个界面直接点击确定。然后创建一个SSIDwei,WLANS——WLANS——CreateNew点击GO。然后进入创建界面ProfileNameweb，SSIDwei点击APPLY应用。然后直接跳到配置界面，将Status对应的Enabled打钩起来，Interface修改成101.Security——Layer2——Layer2Security修改改成NoneSecurity——Layer3——WebPolicy前面的打钩起来，点击引用就好了。去三层将VLAN和DHCP配置好然后去SECURITY——AAA——LocalNetUsers——右上角的New进入创建界面后UserName用户名输入cisco123，Passwordcisco，ConfirmPassword重新输入密码cisco，WLANProfile修改成web，然后点击应用就好了然后点开无线网络那里就会看到SSID为wei的无线网络了点击连接wei，连接上了后打开IE，输入就会跳出一个网页提示网站证书有问题，直接点击继续浏览此网站，会跳出一个登陆页面，在UserName输入cisco123，Password输入cisco。点击Submit认证完了之后就可以直接上网了。现在开始做MAC过滤前面都一样要先建一个动态接口，然后在三层上配置对应的VLAN和DHCP。然后再创建一个新的SSID。然后进入配置界面，在General——Status面的Enabled打钩起来Security——将MACFiltering前面的打钩，AuthKeyMgmt修改成PSK输入域共享密钥cisco123,然后点击应用。然后再安全那边把需要的上网的MAC添加到白名单上去，这样只有MAC又在白名单里的PC才能脸上这个网络。SECURITY——AAA——MACFiltering——右上角New添加MAC到白名单。进入填写界面，在MACAddress填写MAC，将ProfileName修改成MAC，将InterfaceName修改成对应的动态端口。点击应用就好了。现在开始做AD的认证我预先在2003上面装好了域，Internet验证服务，IIS，证书服务，这几个是必须要安装的。在controller的WEB界面上重新配置一个新的活动端口和前面一样只不过是IP不同，我用了的是200的段。配置好了点击应用，然后去创建一个SSID将三AAA服务的Server1修改成IP10.1.30.100的选项，然后点击应用。再去三层上将VLAN和DHCP配置好在2003中打开Internet验证服务，右击Internet验证服务，选择在AD中注册服务器然后右击RADIUS客户端新建RADIUS客户端点击下一步之后进入设置共享密钥cisco然后再右击远程访问策略，新建远程访问策略。然后创建一个组wifi，一个用户ciscom密码Passw0rd用于无线拨入。将用户添加到wifi组去点击下一步，下一步完成。右键新建好的ad策略的属性，编辑配置文件，身份验证里面的Microsof加密身份验证版2和用户可以再密码过期后更改它前面的打钩。点击EAP方法——编辑——启动快速重连接加密——下面四个选项只把无加密打钩起来高级——Service-Type——添加——Framed-Protocol双击——属性值修改成PPP点确定——关闭点开无线网络查看SSID，会看到一个zl的无线网络，2003的话可以直接修改无线网络的验证方式，而WIN7只能手动的去设置网络和共享——设置新的连接——手动设置到无线网络点击连接zl的SSID，让后会让你输入用户名cisco密码Passw0rd