通过windows RADIUS 服务器管理无线AP的VLAN

合集下载

RADIUS服务器进行MAC验证

RADIUS服务器进行MAC验证

RADIUS服务器进行MAC验证,配置nat,使无线接入端连接外网一、实验目的:通过Radius服务器的mac验证和路由器上的nat配置,使得在局域网内的无线设备可以上网。

二、实验拓扑图:三、使用的设备列表:S3610交换机3台AR28路由器1台AP无线路由器1台AC无线控制器1台Radius服务器1台四、具体的配置:步骤一:在AC上设置用户和做mac地址绑定,以及设计无线网<h3c>sys[h3c]sysname AC( 注意,AC为WA2620-AGN,本AC改名字的时候不能只打sys+名字,需要的是完整才能打出来sysname+名字) [AC]int vlan 1[AC-vlan-interfacel]undo ip add[AC-vlan-interfacel]vlan 2[AC-vlan2]vlan 4[AC-vlan4]int vlan 4[AC-vlan-interface4]ip add 192.168.4.1 24[AC-vlan-interface4]quit[AC]radius scheme yu[AC-radius-yu]server-type extended[AC-radius-yu]primary authentication 192.168.5.1[AC-radius-yu]primary accounting 192.168.5.1[AC-radius-yu]key authentication h3c(radius上默认的密钥为h3c,可以重设,所以在配置上需要一致,所以这里配置h3c)[AC-radius-yu]key accounting h3c[AC-radius-yu]user-name-format without-domain(注意:这条指令的意思是,不用域名,让你在radius添加账户时可以不带域名)[AC]radius scheme yu[AC-isp-yu]authentication lan-access radius-scheme yu[AC-isp-yu]authorization lan-access radius-scheme lu[AC-isp-yu]accounting lan-access radius-scheme lu[AC]int g1/0/1[AC-GigabitEthernet1/0/1]port link-type trunk[AC-GigabitEthernet1/0/1]port trunk permit vlan 1 to 2 4 [AC]interface WLAN-ESS7[AC-WLAN-ESS7] port access vlan 2[AC-WLAN-ESS7]port-security port-mode mac-authentication [AC]wlan service-template 7 clear[AC-wlan-st-7]ssid yu[AC-wlan-st-7]bind WLAN-ESS 7[AC-wlan-st-7] service-template enable[AC]wlan ap yu model wa2620-agn[AC-wlan-ap-yu]serial-id 219801A0A89112G03396[AC-wlan-ap-yu]radio 2[AC-wlan-ap-yu-radio-2]service-template 7[AC-wlan-ap-yu-radio-2]radio enable[AC]ip route-static 0.0.0.0 0.0.0.0 192.168.4.254[AC]local –user 90c1151c77db[AC-luser-90c1151c77db]password simple 90c1151c77db(这里是接入的无线客户端的mac地址)步骤二:在AC交换模块上配置连接<ac>oap connet slot 0<acsw>sys[acsw]int vlan 1[acsw-vlan-interfacel]undo ip add[acsw-vlan-interfacel]vlan 2[acsw-vlan2]vlan 4[acsw-vlan4]quit[acsw]interface GigabitEthernet1/0/8[acsw- GigabitEthernet1/0/8]port link-type trunk[acsw- GigabitEthernet1/0/8]port trunk permit vlan 1 to 2 4 [acsw]int g1/0/9[acsw- GigabitEthernet1/0/9] port link-type trunk[acsw- GigabitEthernet1/0/9] port trunk permit vlan 1 to 2 4 步骤三:配置Dhcp中继交换机上的ip地址池[dhcp]vlan 3[dhcp]dhcp enable[dhcp]dhcp server ip-pool 1[dhcp-pool-pool1]network 192.168.1.0 24[dhcp-pool-pool1]gateway-list 192.168.1.254[dhcp-pool-pool1]option 43 hex 80070000 01C0A804 01 [dhcp-pool-pool2]network 192.168.2.0 24[dhcp-pool-pool2]gateway-list 192.168.2.254[dhcp]int vlan 3[dhcp-vlan-interface3]ip add 192.168.3.1 24[dhcp]int e1/0/24[dhcp-Ethernet1/0/24] port access vlan 3[dhcp]rip 1[dhcp-rip-1]network 192.168.3.0[dhcp]dhcp server forbidden-ip 192.168.1.254[dhcp]dhcp server forbidden-ip 192.168.2.254步骤四:作为连接所有设备的交换机,配置其中继功能[sw]vlan 2[sw-vlan2]vlan 3[sw-vlan3]vlan 4[sw-vlan4]vlan 5[sw-vlan5]vlan 6[sw-vlan6]quit[sw] dhcp relay server-group 1 ip 192.168.3.1[sw]int vlan 1[sw-vlan-interfacel]ip add 192.168.1.254 24[sw-vlan-interfacel]dhcp select relay[sw-vlan-interfacel]dhcp relay server-select 1 [sw-vlan-interface2]ip address 192.168.2.254 24 [sw-vlan-interface2]dhcp select relay[sw-vlan-interface2]dhcp relay server-select 1 [sw-vlan-interface3]ip address 192.168.3.254 24 [sw-vlan-interface4]ip address 192.168.4.254 24 [sw-vlan-interface5]ip address 192.168.5.254 24 [sw-vlan-interface6] ip address 192.168.6.254 24 [sw]int e1/0/5[sw-Ethernet1/0/5]port access vlan 5[sw]int e1/0/6[sw- Ethernet1/0/6]port access vlan 2[sw]int e1/0/8[sw-Ethernet1/0/8]port link-type trunk[sw-Ethernet1/0/8]port trunk permit vlan 1 to 2 4 [sw]int e1/0/24[sw- Ethernet1/0/24]port access vlan 3[sw]rip 1[sw-rip-1]network 192.168.1.0[sw-rip-1]network 192.168.2.0[sw-rip-1] network 192.168.3.0[sw-rip-1] network 192.168.4.0[sw-rip-1] network 192.168.5.0[sw-rip-1] network 192.168.6.0[sw]dhcp enble[sw]ip route-static 0.0.0.0 0.0.0.0 192.168.6.1(这里指向下一跳的地址,即连接外网的路由器的接口地址)步骤五:配置路由器上的路由功能[RA]acl number 2000[RA-acl-basic-2000]rule 1 permit source 192.168.2.0 0.0.0.255[RA-acl-basic-2000]rule 2 permit source 192.168.6.0 0.0.0.255 [RA]rip[RA-rip]network 192.168.2.0[RA-rip] network 192.168.6.0[RA]int e0/0[RA- Ethernet0/0]ip add 192.168.6.1 24[RA]int e0/1[RA- Ethernet0/1]ip address 10.3.102.33 24[RA- Ethernet0/1]nat outbound 2000[RA]ip route-static 0.0.0.0 0.0.0.0 10.3.102.1至此,基本配置全部完成步骤五:测试配置结果查看3层注册是否成功假如3层注册不成功,我们应该一环环进行检查,ping测试AC ping switch测试DHCP ping switch测试3层注册成功后,我们检查下DHCP获取情况建立起RADIUS服务器手机连接过程与结果手机客户端连接后的DHCP获取情况查看一下路由器上nat转换的情况接下来看看我们连接的手机是不是可以正常的上网随便上的2个不同的网,再看看上面的各种图片证明,毫无疑问实验成功。

RADIUS认证配置实列

RADIUS认证配置实列

创新联杰RADIUS认证配置实列实验图如:一案列分析1、当无线客户端在AP的覆盖区域内,就会发现以SSID标识出来的无线信号,从中可以看到SSID名称和加密类型,以便用户判断选择。

2、无线AP配置成只允许经过802.1X认证过的用户登录,当用户尝试连接时,AP会自动设置一条限制通道,只让用户和RADIUS服务器通信,RADIUS服务器只接受信任的RADIUS客户端(这里可以理解为AP或者无线控制器),用户端会尝试使用802.1X,通过那条限制通道和RADIUS服务器进行认证。

3、RADIUS收到认证请求之后,首先会在AD中检查用户密码信息,如果通过密码确认,RADIUS会收集一些信息,来确认该用户是否有权限接入到无线网络中,包括用户组信息和访问策略的定义等来决定拒绝还是允许,RADIUS把这个决定传给radius客户端(在这里可以理解为AP或者无线控制器),如果是拒绝,那客户端将无法接入到无线网,如果允许,RADIUS还会把无线客户端的KEY传给RADIUS客户端,客户端和AP会使用这个KEY加密并解密他们之间的无线流量。

4、经过认证之后,AP会放开对该客户端的限制,让客户端能够自由访问网络上的资源,包括DHCP,获取权限之后客户端会向网络上广播他的DHCP请求,DHCP服务器会分配给他一个IP地址,该客户端即可正常通信。

二安装活动目录建帐号三安装IAS、添加删除程序—》添加删除windows组件2、选择“网络服务”,点击“详细信息”3、选择“Internet验证服务”,点击“确定”4、点击“下一步”,windows会自动安装IAS。

5、安装好之后,在“管理工具”里面就会看到“Internet验证服务”,打开之后,在AD中注册服务器,使IAS能够读取AD里面的帐号。

四、为IAS安装证书由于802.1X和WPA都需要证书来用于IAS服务器认证及加密密钥的产生,所以必须要给IAS服务器安装一个证书,否则,在配置IAS的时候会出现无法找到证书的错误。

RADIUS_服务器进行MAC地址验证的无线接入实验

RADIUS_服务器进行MAC地址验证的无线接入实验

RADIUS 服务器进行MAC地址验证的无线接入实验一、实验的内容(1)、DHCP的基本配置。

(2)、DHCP中继的基本配置。

(3)、AP三层注册的基本配置。

(4)、RADIUS服务器的配置。

(5)、NAT的基本配置。

二、实验目的(1)、掌握RADIUS 服务器进行MAC地址验证无线接入的基本工作原理。

(2)、掌握RADIUS 服务器进行MAC地址验证无线接入配置过程,熟悉RADIUS 服务器进行MAC地址验证无线接入的配置。

(3)、了解和熟悉RADIUS 服务器进行MAC地址验证无线接入的配置命令。

三、实验设备实验设备数量备注H3C AR28路由器 1计算机 1 Window xp 做RADIUS服务器H3C 6310交换机 1 做DHCP服务器H3C E328交换机 1 做DHCP中继RS-232配置线 1AP 1AC 1手机STA 1 做无线接入用四、实验网络图和ip地址规划(1)、网络图(2)、Ip地址规划设备名称接口或vlan Ip地址网关DHCP Vlan 3 192.168.3.1/24Router E0/1 10.3.102.124/24E0/0 192.168.6.1/24AC Vlan 4 192.168.4.1/24RADIUS 192.168.5.1/25E328 Vlan 1 192.168.1.254/24Vlan 2 192.168.2.254/24Vlan 3 192.168.3.254/24Vlan 4 192.168.4.254/24Vlan 5 192.168.5.254/24Vlan 6 192.168.6.254/24五、实验过程(1)、中继交换机(E328)的配置<一>配置vlan并将端口划分到vlan中去。

<H3C>system[H3C]sysname E328[E328]vlan 2[E328-vlan2]vlan 3[E328-vlan3]port e1/0/24[E328-vlan3]vlan 4[E328-vlan4]vlan 5[E328-vlan5]port e1/0/5[E328-vlan5]vlan 6[E328-vlan6]port e1/0/23[E328-vlan6]interface e1/0/8[switch-Ethernet1/0/8]port link-type trunk [switch-Ethernet1/0/8]port trunk permit vlan 1 2 4 <二>给vlan配置ip地址[E328-vlan6]interface vlan 1[E3328-vlan-inerface1]ip address 192.168.1.254 24 [E3328-vlan-inerface1]interface vlan 2[E3328-vlan-inerface2]ip address 192.168.2.245 24 [E3328-vlan-inerface2]interface vlan 3[E3328-vlan-inerface3]ip address 192.168.3.254 24 [E3328-vlan-inerface3]interface vlan 4[E3328-vlan-inerface4]ip address 192.168.4,254 24 [E3328-vlan-inerface4]interface vlan 5[E3328-vlan-inerface5]ip address 192.168.5.254 24 [E3328-vlan-inerface5]interface vlan 6[E3328-vlan-inerface6]ip address 192.168.6.254 24 <三>配置中继[E328]dhcp enable[E328]dhcp-server 1 ip 192.168.3.1[E328]interface valn 1[E328-vlan-interface1]dhcp-server 1[E3328-vlan-inerface1]interface vlan 2[E3328-vlan-inerface2]dhcp-server 1<四>配置路由协议是网络导通[E3328-vlan-inerface2]rip[E328-rip-1]network 192.168.1.0[E328-rip-1]network 192.168.2.0[E328-rip-1]network 192.168.3.0[E328-rip-1]network 192.168.4.0[E328-rip-1]network 192.168.5.0[E328-rip-1]network 192.168.6.0[E328-rip-1]quit[E328]ip route-static 0.0.0.0 0 192.168.6.1 (2)、dhcp服务器的配置<一>配置vlan 3并配置ip地址<H3C>system[H3C]sysname dhcp[dhcp]vlan 3[dhcp-vlan3]interface vlan 3[dhcp-vlan-inerface3]ip address 192.168.3.1 24<二>将端口e1/0/24划分到vlan 3中。

无线AP覆盖方案

无线AP覆盖方案

无线AP覆盖方案无线AP(Access Point)是一种能够提供无线网络连接的设备,通常用于覆盖办公区域、公共场所、学校、酒店等场所。

一个有效的无线AP覆盖方案可确保无线网络的稳定性、可靠性和安全性。

下面将详细介绍一个较为综合的无线AP覆盖方案。

1.环境调研和规划在开始部署无线AP之前,需要进行一次环境调研和规划。

调研过程中应注意以下几点:-建筑物结构:了解建筑物的材质和布局,以确定信号穿透性和障碍物的位置。

-用户需求:了解用户数量、使用习惯和需求,以确定需要覆盖的区域和AP数量。

-预算限制:根据预算限制,确定可用的设备和技术方案。

-周围环境影响:了解周围环境可能存在的干扰源,如其他无线网络、电磁干扰等。

2.AP布置和定位根据环境调研结果,合理布置和定位AP是保证覆盖性能的关键。

以下是布置和定位AP的一些建议:-AP密度:根据用户数量和需要覆盖的面积,确定AP的数量和密度。

通常建议在高使用密度的区域增加AP密度。

-信号重叠:通过调整AP的覆盖范围和信道设置,避免AP之间的信号重叠。

信号重叠可能导致干扰和性能下降。

-高密度区域:在高密度区域,如会议室或大型办公区域,应根据用户密度增加AP数量或使用定向天线。

-障碍物:避免AP被墙壁或大型金属物体遮挡,以确保信号的覆盖范围和质量。

3.信道规划和管理合理的信道规划和管理可以最大程度地减少干扰并提高网络性能。

以下是信道规划和管理的一些建议:-信道划分:合理划分非重叠的信道,以最小化AP之间的干扰。

通常使用2.4GHz频段的信道1、6、11,并优先使用5GHz频段。

-自动信道选择(ACS):许多现代AP都支持自动信道选择功能,可以自动选择最佳信道。

在部署阶段或之后,可以使用ACS来优化信道设置。

-干扰监测:定期进行干扰监测,并分析可能的干扰源。

根据监测结果进行相应的调整和干扰源隔离。

4.安全性和管理无线AP的安全性和管理是一个非常重要的方面。

以下是一些安全性和管理方面的建议:- 加密:使用WPA2-PSK或WPA2-Enterprise加密方式来保护无线网络的安全。

通过RADIUS服务器和无线控制器动态分配VLAN

通过RADIUS服务器和无线控制器动态分配VLAN

通过RADIUS服务器和无线控制器动态分配VLAN介绍本文介绍如何在RADIUS认证服务器和无线控制器(WLC)上配置VLAN动态指定.配置条件必要条件在配置前,请先确定掌握以下知识点:(1) LAP的基本知识(2) AAA服务器的基本知识(3) 无线网络相关安全知识(4) LAP的协议LWAPP涉及更多LWAPP协议的相关知识,请参考以下网址/en/US/prod/collateral/wireless/ps5678/ps6306/prod_white_paper0900aecd802c18ee.html使用说明本文涉及的信息基于以下软件及硬件版本:(1) 使用固件4.0 的思科2006WLC(2) 1000系列的LAP(3) 使用固件2.6的思科802.11a/b/g的无线客户端(4) 软件版本2.6.0.1的思科无线客户软件(ADU)(5) 软件版本3.2的思科准入控制软件ACS(6) 思科2950交换机文档中描述的是在实验环境,所有设备都是初始配置,请先确定各命令的意义,再做配置。

规定请参考以下网址,获得更多信息/en/US/tech/tk801/tk36/technologies_tech_note09186a0080121a c5.shtml知识点在大多数的无线环境下,每一个无线网络都有静态的策略应用到相应的SSID上,但它具有限制性,因为每个客户端通过不同的SSID关联后,应继承相应SSID的策略.在思科的无线网络中,支持具有身份认证的特性,容许通告唯一的SSID,和具有不同认证身份的客户端拥有相应权限.通过RADIUS认证服务器对不同的客户端的验证,指定动态VLAN,RADIUS服务器可以是思科的ACS.动态VLAN指定可以用在,当一个客户端在园区内移动时,仍然保持同样的VLAN接入.因此,当一个客户端通过LAP认证到WLC时,LAP可以把相应的认证数据发送到认证服务器做检测,一旦认证成功后,认证服务器会将相应的属性(比如VLAN ID)发送给客户端,不用关心SSID的设置。

无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例

无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例

无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例首先,需要配置无线控制器。

无线控制器是一个集中管理多个无线接入点的设备,可以通过该设备统一管理和配置所有的无线终端。

1.连接无线控制器和认证服务器:将无线控制器与认证服务器连接到同一个网络中,以便它们之间可以进行通信。

2.配置认证服务器信息:在无线控制器上设置认证服务器的相关信息,包括服务器的IP地址、端口号、共享密钥等。

3.配置无线控制器的VLAN:为不同的用户组设置不同的VLAN,以实现对不同用户的访问控制和隔离。

4.配置无线接入点:将无线接入点与无线控制器进行绑定,确保无线控制器可以管理和配置这些接入点。

接下来,需要配置认证服务器。

认证服务器负责对无线终端进行认证、授权和账号管理。

1. 配置用户身份验证方式:可以使用本地数据库、RADIUS服务器或Active Directory等方式进行用户身份验证。

2.设置用户账号:创建用户账号,并为每个账号分配相应的权限和VLAN。

3. 配置认证方式:可以选择使用802.1X、预共享密钥、Web Portal等认证方式进行无线终端的认证。

最后,需要配置无线终端。

无线终端是连接无线网络的设备,通过认证服务器的授权,可以接入相应的VLAN。

1.配置无线接入方式:根据无线接入点的类型,设置无线终端的接入方式,包括无线网卡参数和接入点的SSID等。

2.配置认证方式:根据认证服务器的要求,设置无线终端的认证方式,如输入用户名和密码,或通过预共享密钥进行认证。

通过以上的配置步骤,无线控制器可以动态授权无线终端接入相应的VLAN。

当无线终端连接到无线网络时,它将向无线控制器发送认证请求,在认证服务器上进行身份验证。

如果认证成功,认证服务器将授权该无线终端接入指定的VLAN。

无线控制器会通过VLAN分发机制将无线终端隔离到相应的VLAN中,确保网络的安全和可靠性。

总结起来,无线控制器通过认证服务器动态授权无线终端接入VLAN是一种常见的网络配置。

ACS_5.2做为Radius服务器和无线控制器为无线客户端动态分配VLAN的配置

ACS_5.2做为Radius服务器和无线控制器为无线客户端动态分配VLAN的配置

ACS 5.2做为Radius服务器和无线控制器为无线客户端动态分配VLAN 的配置上次讲了如何配置ACS 5.2来认证无线客户端。

下面通过图示看看如何配置ACS 5.2做为Radius服务器和无线控制器为无线客户端动态分配VLAN。

关于无线控制器的配置不做介绍请见下面文档:/web/CN/products/products_netsol/wireless/pdf/wlc_cg_4.pdf 关于无线客户端的配置请见之前的文章,这里也不描述了。

下面来看看如何配置ACS 5.2,主要配置步骤如下:- 生成证书;- 添加NAS client;- 配置用户和组;- 配置授权策略- 定义访问策略生成证书;请参考之前的文章,这里不做描述。

添加NAS client;请参考之前的文章,这里不做描述。

配置用户和组;这里我们要定义两个用户并将其归纳到不同的组中。

首先创建组,点击Users and Identity Stores -> Internal Identity Stores -> Identity Groups,点击Create,输入组名称,点击submit。

同样操作过程,再创建一个组然后创建用户,点击Users and Identity Stores -> Internal Identity Stores -> Users,点击Create,输入用户名/密码信息并将该用户对应到组,然后submit同样操作过程,再创建一个用户配置授权策略点击Policy Elements -> Authorization and Permissions -> Network Access -> Authorization Profiles,在General页面输入策略名称,在Common Tasks页面,VLAN处配置VLAN ID,此时如果没有其它需要设置项就可以submit 了。

windows 2012Radius设置-华为设备

windows 2012Radius设置-华为设备

1:于面板中添加“网络策略服务器功能”。

此处省略
2:增加RADIUS客户端。

设置共享机密,此密码需要跟交换机上设置的密码一样。

3:新增连接请示策略
细节如下:3.1
下一步,
这里无需设置,下一步。

3.2:
勾选如图所示,下一步。

有提示是否查看帮忙点“否”
3.3:
添加RADIUS“标准”和“供应商特定”如下图:
三次确定,再下一步,完成。

4:添加新建网络策略
细节如下:
4.1:
条件设置你要登录交换的用户组,把相关的账号拉到组里面去。

4.2:
勾选如图所示,下一步。

有提示是否查看帮忙点“否”
4.4:
默认不改,下一步
4.5:
添加RADIUS属性,先删除默认的两个属性,如添加连接策略一样添加华为设备的特定属性。

4.6:添加供应商特定
请注意,这里的属性值3,是指登录到华为设置的管理级别privilege level 15 最高级别15
下一步,确定完成。

以上完成WINDOWS 2012 Radius 针对华为交换机设备的设置。

Radius认证服务器的配置与应用讲解

Radius认证服务器的配置与应用讲解

IEEE 802.1x协议IEEE 802.1x是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而实现认证与业务的分离,保证了网络传输的效率。

IEEE 802系列局域网(LAN)标准占据着目前局域网应用的主要份额,但是传统的IEEE 802体系定义的局域网不提供接入认证,只要用户能接入集线器、交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安全隐患,同时也不便于实现对局域网接入用户的管理。

IEEE 802.1x是一种基于端口的网络接入控制技术,在局域网设备的物理接入级对接入设备(主要是计算机)进行认证和控制。

连接在交换机端口上的用户设备如果能通过认证,就可以访问局域网内的资源,也可以接入外部网络(如Internet);如果不能通过认证,则无法访问局域网内部的资源,同样也无法接入Internet,相当于物理上断开了连接。

IEEE 802. 1x协议采用现有的可扩展认证协议(Extensible Authentication Protocol,EAP),它是IETF提出的PPP协议的扩展,最早是为解决基于IEEE 802.11标准的无线局域网的认证而开发的。

虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。

典型的应用方式有两种:一种是以太网交换机的一个物理端口仅连接一个计算机;另一种是基于无线局域网(WLAN)的接入方式。

其中,前者是基于物理端口的,而后者是基于逻辑端口的。

目前,几乎所有的以太网交换机都支持IEEE 802.1x协议。

RADIUS服务器RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)服务器提供了三种基本的功能:认证(Authentication)、授权(Authorization)和审计(Accounting),即提供了3A功能。

锐捷无线方案

锐捷无线方案

高性能、高稳定性的智能无线组网架构传统的自治型无线接入点(胖AP)架构中,每个无线接入点都是一个独立的管理与工作单元,无法进行任何沟通,如果需要对全网设备进行管理,需要逐台进行配置和管理,不仅费时、费力、维护成本高,而且所有的无线网络设备无法形成一个整体,也就无法具备整体协作的安全防御能力,最终导致整个网络的融合性差。

锐捷网络已经在三年前在教育行业率先推出的“智能无线交换架构”,已经经过三年的各大院校的实践应用的检验。

这种创新性的架构,通过无线交换机MX系列产品的控制,无线接入点可具备根据不同用户、不同应用类型、不同VLAN等方式来决定数据流量是否需要全部集中流经无线交换机,对于FTP、视频点播这类大量占用网络资源且安全性要求较低的应用,可以直接通过本地有线网络进行转发,而对于教务系统、考试系统、身份认证系统这类安全性要求高的应用,则可以将流量通过加密隧道送到无线交换机,防止加密数据在有线网络传输中的被非法用户窃取。

这样不仅可以保持原有的无线交换机架构解决方案的优势,更可以根据网络的实际情况将时延敏感、流量较大的数据流分离到有线网络直接处理,将管理控制报文、安全控制要求高的报文送交无线交换机处理,避免无线交换机成为数据转发的瓶颈。

同时,这种架构可以确保无线网络承载业务的高稳定性。

无线交换机产品通过支持集群和冗余能力,可以实现多台无线交换机对同一个无线接入点提供服务。

由于无线交换机之间采用了虚拟化技术,可实时的实现AP与用户的在线信息同步,如果一台无线交换机出现宕机,与其控制的无线接入点失去了解,那么将另一台或者多台无线交换机将立即接管这些无线接入点。

在这个过程当中,用户不会掉线,并且仍然保持正常通信状态。

如果是一台无线接入点发生故障,无线交换机可支持自恢复功能,通过快速查询该故障无线接入点邻近的无线接入点,调节其工作功率、信道等参数来接替该故障无线接入点的用户接入工作,迅速补充盲点,并实时向网络中心的无线交换机汇报,通知网管人员尽快更换故障无线接入点,更换之后,无线交换机将原先的配置信息下发到新的无线接入点上,邻接的无线接入点的射频参数调节恢复成原有状态,接替工作结束。

如何设置路由器VLAN

如何设置路由器VLAN

如何设置路由器VLAN在网络架构中,虚拟局域网(VLAN)是一种将网络设备划分为逻辑组的技术,可以提供更高效的网络管理和更好的安全性。

通过在路由器上设置VLAN,可以将不同的设备和用户隔离在不同的虚拟网络中,从而提高网络性能和安全性。

以下是如何设置路由器VLAN的步骤:步骤一:准备工作在开始设置路由器VLAN之前,需要准备以下内容:1. 一台支持VLAN功能的路由器。

2. 网络交换机或网桥。

3. 网络设备,如计算机、服务器和IP电话等。

步骤二:了解VLAN基本概念在设置VLAN之前,了解VLAN的一些基本概念是很重要的:1. VLAN ID:每个VLAN都有一个唯一的ID号,用于标识该VLAN。

2. VLAN成员:属于同一个VLAN的设备或用户被称为VLAN的成员。

3. 端口隔离:在同一个VLAN中的不同端口之间是隔离的,无法直接通信。

步骤三:创建VLAN1. 进入路由器的管理界面,通常通过输入路由器的IP地址进入。

2. 寻找VLAN设置或网络设置选项,并进入VLAN配置界面。

3. 创建新的VLAN,输入VLAN ID和名称。

可以根据自己的需求创建多个VLAN。

4. 将设备或端口分配给特定的VLAN。

可以通过选择对应的端口或设备,并将其与VLAN关联。

步骤四:配置端口1. 进入路由器的端口配置界面。

2. 选择要配置的端口,并将其加入到所需的VLAN中。

3. 配置端口模式,通常有以下几种模式可选:a. 访问模式(Access Mode):将端口配置为属于某个特定的VLAN,可以连接单个设备。

b. 中继模式(Trunk Mode):将端口配置为同时传输多个VLAN 的数据,通常用于连接交换机。

c. 一般模式(General Mode):允许设置该端口的VLAN标记。

步骤五:测试和调整1. 连接各个设备和交换机,并确保它们在正确的VLAN中。

2. 进行网络连接测试,确保设备可以正常通信。

3. 如果发现连接或通信问题,重新检查配置并进行调整。

H3C WLAN题库

H3C WLAN题库

H3C WLAN题库看到861.在IMS中802.11g中每个信道的占用频宽为 CA. 5.22MHzB.16.6MHzC.22MHzD.40MHz2.目前业界主要应用的几种无线技术包括ABCDEA.IrDAB.BlueToothC.802.11b/gD.802.11aE.802.11n3.关于802.11的MAC层,以下说法正确的是ABCDA.802.11的MAC层负责客户端和AP之间的通讯,主要功能包括扫描、认证、关联等B.802.11的MAC报文分为数据帧、控制帧和管理帧C.控制帧是协助发送数据帧的控制报文,例如RTS、CTS、ACK等D.管理帧负责STA和AP之间的能力级交互,认证、关联等管理工作,例如Beacon帧4.以下哪些技术为802.11n对原有802.11a/b/g技术的改进ABCDA.OFDM-MIMOB.40MHz信道捆绑C.帧聚合D.Short GI5.802.11网络的介质访问机制为在此机制中,当发送方检测到媒体空闲时,BA.CSMA/CD: 等待IFS时间长度以后,立即发送数据,如果产生冲突则启动一个定时器Back-offTimer 当定时器资料不全未完B.CSMA/CA 等待IFS时间长度以后,启动一个定时器Back-off Timer,当定时器倒计时到零时开始发送报文。

C.CSMA/CD等待IFS时间长度以后,启动一个定时器Back-off Timer,当定时器倒计时到零时开始发送报文。

D.CSMA/CA等待IFS时间长度以后,立即发送数据,如果产生冲突则启动一个定时器Back-off Timer当定时器资料不全未完6.下列关于802.11g的描述中正确的是BCA.802.11g兼容802.11aB.802.11g兼容802.11bC.802.11g Mbps的调制方式与802.11a 54 Mbps的调试方式相同D.802.11g 提供的最高速率与802.11b相同7.无线网络的使用已越来越广泛,和传统有线网络相比,无线网络的优ABC 资料不全未完A.不受线缆和端口的限制,可在自由空间链接网络,使用更加资料不全未完B.在某些特性地理环境下,可以大大降低网络建设成本,使网络资料不全未完C.无线网络满足各行各业对网络应用的移动性需求,大大得提高资料不全未完D.可以提供比有线网络更高的数据宽带,更加稳定的网络链接资料不全未完8.在某BSS系统中,如果所有STA都根据802.11e配置了高优先级,则可以提升整个网络的性能和 A 资料不全未完A.错误B.正确9.如果AP发射功率为200mW,那么对应的dBm值是DA.10dBmB.18dBmC.20dBmD.23dBm10.802.11a最大协商链接速率是CA.11MbpsB.36MbpsC.54MbpsD.150Mbps11.以下采用OFDM调制技术的802.11 PHY层协议是ACA.802.11aB.802.11eC.802.11gD.802.11b12.关于H3C无线控制器和AP间数据转发原理的描述,以下哪些是正确的? ABCA.在无线交换机和AP之间建立IPinIP隧道,无线交换机将这些隧道看做虚拟端口B.无线客户端STA的任何数据报文都将由AP通过IPinIP隧道交给无线交换机,由无线交换机统一转发C.无线交换机从IPinIP隧道接收到用户的数据后先解隧道封装,然后做数据交换,如果出接口为隧道则对数据资料不全未完D.无线交换机和AP之间建立的IPinIP隧道采用的是TCP连接13.H3C AP 与无线交换机直连或通过二层网络连接时,正确的注册步骤是D1、AP发出二层广播的发现请求报文试图联系一个无线交换机2、AP从无线交换机下载最新软件版配置3、接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限,如果材料不全未完4、AP通过DHCP servre获取IP地址5、AP开始正常工作和无线交换机交换用户数据报文A.12345B.41235C.14235D.4132514.对于无线信号有较强衰减作用,工勤时需要特别注意的障碍物是ACDA.金属B.普通玻璃C.钢筋混凝土D.釉面陶瓷墙15.Beacon帧中包含的信息有ABCDEFGA.支持的认证方式B.BSSIDC.使用的信道D.支持的速率E.Beacon帧发送间隔F.SSIDG.加密算法16.下列哪个IEEE 802.11 协议规定了无线局域网的安全?EA.802.11aB.802.11nC.802.11eD.802.11hE.802.11i17.支持802.11n的AP使用20MHz信道带宽与802.11n无线网卡可协商的最高速率是CA.54 MbpsB.108 MbpsC.150MbpsD.300 Mbps18.以下关于室外AP安装规范说法正确的是ABCDA.AP安装位置必须符合工程设计要求,如有AP的安装位置需要变更,必须证得设计单位和建设资料不全未完B.室外施工场所应易于固定器件,无阻挡;室外硬件安装所涉及的建筑墙体坚固完整C.室外设备安装必须做好防雷、防水处理。

windows2003搭建RADIUS服务器

windows2003搭建RADIUS服务器

windows2003下RADIUS服务器配置概述:802.1x 的认证的实现原理拓扑结构图如下:由拓扑图可以看到,配置会涉及到无线客户端、ap、ac、radius四种设备。

各设备网络配置如下:1、用无线网卡模拟无线客户端,ip地址由ac配置dhcp自动获取2、ap配置静态ip地址:192.168.254.6 255.255.255.03、ac vlan1配置管理地址:192.168.254.9 255.255.255.04、radius由虚拟机运行windows 2003配置,虚拟机ip设为:192.168.254.8 255.255.255.0一、配置RADIUS server:配置RADIUS server 前需要在windows 2003服务器上安装Active Directory ,IAS(internet验证服务),IIS管理器(internet信息服务管理器),和证书颁发机构;a)、安装AD(Active Directory),在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”开始进行安装。

b)、安装证书颁发机构,在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装;c)、安装IAS和IIS,在“控制面板”—〉“添加删除程序”—〉“添加/删除windows 组件”—〉“网络服务”并按提示安装。

d)、注:没有安装AD和证书服务时,要先安装AD然后再安装证书服务,如果此顺序相反,证书服务中的企业根证书服务则不能选择安装;在这四个管理部件都安装的条件下,就可以开始进行RADIUS服务器配置。

1、默认域安全、默认域控制器安全设置为了在配置客户端密码时省去一些麻烦,进行下面的配置:a)、进入“开始”—〉“管理工具”—〉“域安全策略”,进入默认域安全设置,展开“安全设置”—〉“账户策略”—〉“密码策略”,在右侧列出的策略中作如下设置:●右键点击“密码必须符合复杂性要求”选择“属性”,将这个策略设置成“已禁用”。

Windows网卡配置VLANID

Windows网卡配置VLANID

Windows⽹卡配置VLANID
修改为对应的值即可:
Windows ⽹卡配置多VLAN
⽬前测试⽀持的是Intel⽹卡
微软PROSet驱动安装:
下载地址:
根据电脑操作系统选择适合的版本进⾏安装,⽹卡属性⾥有红框项表⽰安装成功
1. 设置⽹卡
右键点击有线⽹卡,属性—》配置—》VLAN,若没有此栏请检查PROSet软件是否安装正确
点击新建VLAN,若交换机有24个⼝⼦,则新建23个VLAN,例如从100到123
2. 设置IP地址。

查看⽹络连接,会出现多个带VLAN的⽹卡,依次为每个VLAN⽹卡配置IPV4地址,地址与ONU IP同⽹段,例如从 192.168.1.100 配到192.168.1.123。

3. 配置交换机(以24⼝交换机为例)
交换机1到23号⼝依次配置为ACCESS模式,ACCESS VLAN依次从100配到123,与电脑⽹卡配置的VLAN⼀⼀对应。

交换机24号⼝配置trunk模式,允许VLAN 100到123通过。

4. 连接PC与交换机和ONU
将电脑连接到交换机第24⼝。

ONU依次接在交换机1到23⼝
5. 测试环境搭建是否OK
⽤带源地址PING ONU,源地址从192.168.1.100到192.168.1.123
例ping 192.168.1.1 -S 192.168.1.100,所有地址能PING则正常。

radius 分配vlan 实现方法

radius 分配vlan 实现方法

radius 分配vlan 实现方法下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。

文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!Radius 分配 VLAN 实现方法引言在网络管理中,为了实现更好的安全性和管理效率,常常需要将不同的用户或设备分配到不同的 VLAN(虚拟局域网)中。

windows下建立radius服务器安装步骤

windows下建立radius服务器安装步骤

RADIUS安装与配置1.安装RADIUS进入添加/删除程序中的添加/删除Windows组件,选择网络服务中的Internet验证服务2.安装IAS后,进入IAS配置界面3.右键点击RADIUS客户端,选择新建RADIUS客户端。

客户端地址为验证交换机的管理地址,点击下一步。

4.选择RADIUS Standard,共享机密为交换机中所配置的key。

点击完成。

5.右键点击远程访问策略,单击新建远程访问策略。

6.为策略取一个名字,点击下一步7.选择以太网,点击下一步8.选择用户,点击下一步1.使用MD5质询,点击下一步,并完成。

2.在右面板中右键点击所新建的策略,选择属性。

3.点击添加,选择Day-And-Time-Restrictions4.选择添加,选择允许,单击确定。

5.删除NAS-Port-Type匹配”Ethernet”,并选择授予访问权限6.单击编辑配置文件,选择高级-------添加选择添加[64]Tunnel-Type:VLAN[65]Tunnel-Medium-Type:802[81]Tunnel-Pvt-Group-ID:VLAN ID7.单击确定8.右键点击连接请求策略,选择新建连接请求策略9.选择自定义策略,并为该策略取个名字10.策略状况选择添加Day-And-Time-Restrictions,配置方法同上。

然后一直下一步并完成。

20.添加远程登录用户。

在本地用户和组中新建一个用户。

11.右键点击新建的用户,进入属性,选择隶属于,删除默认的USERS组21.点击拨入,设置为允许访问12.IAS配置完成。

13.VRV EDP Agent认证成功。

windows vlan设置

windows vlan设置

HP ProLiant 服务器 - Windows 下利用 NCU 工具配置网卡多vlan»惠普网上客户支持主页» 驱动和软件下载» 笔记本/服务器/打印机支持专区New» 使用论坛解决问题» 电子邮件技术支持» 聊天室与即时支持» 打印机/扫描仪 /绘图仪 Win7 驱动程式兼容性及下载» 论坛年底送大礼»HP ProLiant DL380G6 服务器»用户常见问题» 维修中心查询、保修政策» 注册产品» 如何购买IssueHP ProLiant 服务器Windows 下利用NCU 工具配置网卡多vlan。

Solution让网卡支持多vlan,也就是打开网卡的802.1q 的标准协议,这个可以通过HP NetworkConfiguration Utility 打开该功能。

打开NCU 工具,选择我们准备要配置多vlan 的网卡,选择属性。

在属性菜单栏里,我们选择VLAN 一项。

在这里,我们可以针对网卡,添加多个vlan 了。

点Add,弹出如下对话框,在里面添入vlan 名称和id 号。

Vlan 最多可以添加到4094。

添加完成vlan 后,如下图。

需要注意的是,至少需要有一个默认(原生)VLAN 。

点确定,回到主菜单,这时可以看到前面有个V,代表该网卡有vlan 的工具,点确定,让配置生效。

查看网卡属性,可以看到多出来的 3 个网卡,这 3 个网卡是具有vlan 的,而原来的网卡将不可用。

查看设备管理器。

当然网卡支持了多vlan,对应的这块网卡连接到交换机也需要配置802.1q 的协议才可以通信。

WINRADIUS使用手册

WINRADIUS使用手册

Winradius使用手册RADIUS概述RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务),它是一种在网络接入服务器(Network Access Server,NAS)和共享认证服务器间传输认证、授权和配置信息的标准协议,并负责传送网络接入服务器和共享计费服务器之间的计费信息。

设置WinRadius服务器的操作步骤(1)运行WinRadius。

在真实计算机上打开软件包中的"4\WinRadius"文件夹。

双击文件夹中的"WinRadius.exe"文件运行WinRadius,第1次运行会提示"未发现数据源名称并且未指定默认的驱动程序"提示信息,如图4-16所示。

图4-16 提示信息(2)配置ODBC。

单击WinRadius中的菜单"设置"→"数据库"选项,打开"ODBC设置"对话框,如图4-17所示,单击"自动配置ODBC"按钮,ODBC配置完成,单击"确定"按钮返回。

系统提示"您修改了重要配置参数,您必须重新启动WinRadius以便使这些参数生效"。

图4-17 "ODBC设置"对话框(3)配置WinRadius客户端。

关闭WinRadius,然后重新运行WinRadius。

单击WinRadius"设置"→"多重密钥"选项,打开"多重密钥"对话框,如图4-18所示。

在对于"IP(NAS)"文本框中输入ROS服务器外网接口的IP地址"10.0.248.231",在"采用密钥"文本框中输入"12345"(这里配置的密钥需要与ROS中设置的密钥相同),单击"添加"按钮。

胖AP管理VLAN与业务VLAN配置方法

胖AP管理VLAN与业务VLAN配置方法

胖AP管理VLAN和业务VLAN配置方法
一、无线连接ap的管理ssid方法
1、确保电脑的无线网卡可用
2、双击无线网络图标,点击属性,弹出如下图提示框。

依次点击无线网络配置 添加
输入网络名:management,勾选即使此网络未广播,也进行连接
网络身份验证:选择WPA-PSK
数据加密:选择TKIP
网络密钥:management
3、点击确定
4、如下图,将首选网络中的其他ssid删除,仅留下management
5、查看无线网络,确认已连接上的是management,如下图:
6、如下图,点击属性→常规→Internet协议→属性
配置ip地址为192.168.1.X网段(例如:192.168.1.22)
7、打开ie浏览器,输入ip地址http://192.168.1.1/ 用户名:admin 密码:password。

如下图:
8、确认连接到了正确的AP,如下图,比较mac地址,是否为配置的AP的mac地址。

(当附近有多台AP时,可能会连接到了其他的ap上。

)
二、配置管理VLAN和业务VLAN
1、根据需要添加vlan id
方法如下图:(以管理vlan为10,业务vlan为20为例)
2、删除原有的管理WAN 如下图:
3、添加新的管理WAN(带VLAN) 配置如下
管理WAN默认配置如下:
4、添加新的业务VLAN
a、添加新的Group(即常说的桥)
b、将无线ssid从Group Lan1中移到Group Lan2中从Lan1中删除
在Lan2中添加
c、将有线VLAN加入到桥中
三、最终结果。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

前言
可能每个网络管理员,在使用AP的时候会想,能不能把AP当成三层交换机一样来使用---可以自动分配VLAN.答案是肯定的,下面我就以HP ProCurve Wireless Access Point 420这款AP,教你如何让AP也能划VLAN。

首先在一台win2003服务器上安装RADIUS Server。

1.在控制面板中,选择添加windows组件,选择Networking Services,点击Details, 安装Internet Authentication Service 。

2.点Start- All Programs- Administrative tools- Internet Authentication Service, 打开Internet Authentication Service程序,在IAS目录树上,右键单击RADIUS Clients,选择New RADIUS Client.
3.在接下来的窗口中填上Friendly name和Client address(AP的IP地址)。

4.在Shared secret中填入AP的Secret Key。

5.切换到IAS目录树上,右键单击Remote Access Policy, 选择New Remote Access Policy, 新建一个策略,开始设置通过RADIUS 分发VLAN的策略.
6.输入新建的策略名,并添加访问账号组。

7.选择为wireless模式,并设置一种EAP认证方式。

8.建好策略后,右键选择刚建好的策略,并选择属性,来编辑它的属性,切换到Advanced Tab, Add 添加如下三个值:
Tunnel-Medium-Type: 802;
Tunnel-Pvt-Group-ID: 已有三层交换机上的VLAN ID(注意进制);
Tunnel-Type:Virtual LANs;
点OK保存就好了。

RADIUS服务器端就好了。

接下来试AP的设置,首先,按照AP自带的说明书,一步一步配好IP等其他基本的配置(说明书上写的非常清楚),我就不在这赘述了。

9.我们从开始新建一个SSID。

在Wireless Interfaces Tab 里,通过点击Add New SSID 进入新建SSID向导,在SSID Settings界面依图填入,只要VLAN Tagging选择Enable,其他就随你自己想怎样就怎么填了。

10.在Security Suite Tab中,选择一种WPA认证方式,并点击对应的RADIUS Server连接,进入RADIUS Server 设置,填入RADIUS Server IP和RADIUS Server 里设置的Secret Key,
11.在Administration- Management窗口中:
VLAN Enable: Dynamic
Management VLAN ID: (填RADIUS Server所在的VLAN ID)
Management VLAN Tagging: Tagged.
好了,现在只要把接AP对应的交换机端口换成trunk口,就可以用授权的用户访问无线,看获得的IP是不是在需要的网段。

相关文档
最新文档