无线网络支持不通用户组使用不同SSID
背景:
公司中网络按照网络角色划分了不通的访问权限,不同的用户组处在不同的网段,无线网络同样按照网段划分了不同的SSID,要求不同用户组只能接入授予权限的SSID。
大致的网络规划如下:
用户组 | 网段 | VLAN | SSID | AD组 |
---|---|---|---|---|
研发 | 172.22.3.0/24 | 22 | yqb-dev | wifi-dev |
内部用户 | 172.22.10.0/24 | 33 | yqb-corp | wifi-corp |
访客 | 172.22.22.0/24 | 44 | yqb-guest | yqb-guest |
公司采用Window Server 2016 Active Directory来管理所有用户及用户组。
首先需要通过在服务器上安装NPS(网络策略服务器)作为RADIUS服务器以供无线网络作用用户认证使用。
打开网络策略服务器管理界面
新增连接请求策略
输入策略名称
点击添加按钮
选择NAS端口类型
选择无线-IEEE802.11
一路下一步直接完成即可
新增网络策略
输入策略名称
条件中参考上图。
用户组选择本Wi-Fi 所使用的用户组
被叫战ID输入无线网络名称,以$结尾(正则表达匹配,表示以yqb-corp结尾)。
授予网络访问权限
EAP类型添加PEAP
RADIUS标准属性中删除原有的两项
然后添加两项,如图所示。
新建RADIUS客户端,将无线控制器所在IP加入。共享机密需要记号,无线控制器配置时候需要用到。
无线控制器设置
新建RAdius服务器
新建ISP认证域,记住域名,后续无线网络配置中需要用。
新增无线网络,设置相应的vlan,以及安全模式选802.1X认证,域名选择刚才新建的ISP域即可。注意SSID要和NPS网络策略中的被叫站ID相匹配。
本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。