背景:

公司中网络按照网络角色划分了不通的访问权限,不同的用户组处在不同的网段,无线网络同样按照网段划分了不同的SSID,要求不同用户组只能接入授予权限的SSID。

大致的网络规划如下:

用户组 网段 VLAN SSID AD组
研发 172.22.3.0/24 22 yqb-dev wifi-dev
内部用户 172.22.10.0/24 33 yqb-corp wifi-corp
访客 172.22.22.0/24 44 yqb-guest yqb-guest

公司采用Window Server 2016 Active Directory来管理所有用户及用户组。

首先需要通过在服务器上安装NPS(网络策略服务器)作为RADIUS服务器以供无线网络作用用户认证使用。

打开网络策略服务器管理界面

新增连接请求策略
nps-ssid-01.png
nps-ssid-02.png
输入策略名称
nps-ssid-03.png
点击添加按钮
nps-ssid-04.png
选择NAS端口类型
nps-ssid-05.png
选择无线-IEEE802.11
nps-ssid-06.png
一路下一步直接完成即可
新增网络策略
nps-ssid-07.png
输入策略名称
nps-ssid-08.png
条件中参考上图。
用户组选择本Wi-Fi 所使用的用户组
被叫战ID输入无线网络名称,以$结尾(正则表达匹配,表示以yqb-corp结尾)。
nps-ssid-09.png
授予网络访问权限
nps-ssid-10.png
EAP类型添加PEAP
nps-ssid-11.png
RADIUS标准属性中删除原有的两项
nps-ssid-12.png
然后添加两项,如图所示。
新建RADIUS客户端,将无线控制器所在IP加入。共享机密需要记号,无线控制器配置时候需要用到。
nps-ssid-13.png
无线控制器设置
nps-ssid-14.png
新建RAdius服务器
nps-ssid-15.png
新建ISP认证域,记住域名,后续无线网络配置中需要用。
nps-ssid-16.png
新增无线网络,设置相应的vlan,以及安全模式选802.1X认证,域名选择刚才新建的ISP域即可。注意SSID要和NPS网络策略中的被叫站ID相匹配。

转自https://www.xiaohui.org/archives/18893.html