PC PEAP配置

无线网接入认证(非GELC AD内PC)-客户端实施步骤无线网接入认证客户端的设置主要是设置工作站无线网卡属性，使其支持802.1x认证,具体实施步骤如下:实施前的准备:1、检查客户机上的Wireless zero configuration服务启动类型是否是自动，启动状态是否是启动。

如果不是，将启动类型设置为自动，并启动这个服务。

具体实施步骤：1、点击开始-设置-网络连接，进入网络设置界面，界面如下：2、选中Wireless Network Connection，点击鼠标右键，选Properties。

界面如下:3、在点击Wireless Networks，出现如下界面:4、在上面界面中,选择增加,在下面的界面中,在Network Name(SSID)输入框里面输入无线网络的SSID(对于重庆总部，SSID为GELC_HQ，对于杨家坪，SSID为jlp-itd-adi，（需要注意的是，对于总部的无线网络，所有GELC的HEADQUARTER 用户可以使用，而对于杨家坪的无线网络，只有IT部的用户可以使用)，在Network Authentication中选择WPA，在Data encryption中选择TKIP（需要注意的是，要先选择Network Authentication，然后在选择Data encryption），然后点击界面中的Authentication。

5、在点击Authentication，出现如下界面，选中Enable IEEE 802.1x Authenticationfor this network（注意：不选择Authenticate as computer when computer information is available和Authenticate as guest when user or computer isunavailable）然后在EAP type下拉框里面选择Protected EPA（PEAP）.然后点击Properties按钮。

说明：这个手册主要是介绍如何采用无线控制器、WINDOWS SERVER 2003、ACS及P EAP协议来实现安全的无线网络接入。

网络拓补结构图如下：在DC_CA上安装Windows Enterprise 2003 IIS,证书服务,DNS,DH CP在DC_DA上按照以下步骤来成服务器的配置：1.执行基本的安装及配置2.把服务器配置成域控制器3.提升域功能级别4.安装配置DHCP服务5.安装证书服务6.给Administrator分配证书管理权限7.将计算机添加到域8.允许无线接入计算机9.添加域用户10.允许用户无线接入11.将用户组加入域12.将用户添加到WirelessUsers组13.将客户计算机添加到WirelessUsers组Step 1: 执行基本的安装及配置1.安装一台独立的Windows Server 2003企业版，并安装最新的Service Pack.2.配置TCP/IP协议，IP地址为172.16.100.26，子网掩码为255.255.255.0 Step 2: 把服务器配置成域控制器1.为了启动活动目录（AD）的安装向导，选择开始>运行，然后输入：dcpromo.ex e.2.在AD安装向导欢迎界面，点击下一步3.在操作系统兼容界面，点击下一步4.在域控制器类型界面，选择Domain Controller for a new Domain，然后点击下一步5.在创建新域界面，选择Domain in a new forest，然后点击下一步6.在安装或配置DNS界面，选择No,just install and confiaure DNS on this computer，然后点击下一步7.在新域名界面，输入wirelessdemo.local，然后点击下一步8.在NetBIOS域名界面，输入wirelessdemo，然后点击下一步9.在数据库及日志文件夹界面，接受默认的数据及日志文件夹目录，然后点击下一步10.在共享系统卷界面，确认默认的文件夹位置是正确的。

无线网络安全指南：Windows Wireless Client手动部署PEAP对于系统管理员和企业CIO来说，企业无线局域网的安全问题一直是他们关注的重心。

在4月份中，我们会连续关注企业无线局域网安全，今天我们将向大家介绍如何使用Windows自带的无线网络客户端工具Windows Wireless Client。

Windows Wireless Client以前也被称作Wireless Zero Configuration (WZC)服务，它是Windows内置的一款无线网络客户端程序。

如果你的系统是Windows Server 2003SP1 或Windows Server 2003 R2，那么可以通过活动目录的组策略自动配置这个客户端。

本文所采用的是Windows XP Service Pack 1 和 2 的环境（如图W所示），而SP1之前的版本由于无线安全性极差，以及不支持PEAP验证，因此不建议用户使用。

图W网络连接在XP SP1和SP2中，用户可以通过右键点击“网络连接”文件夹中的无线以太网设备，然后选择“属性”，对无线客户端进行配置。

配置窗口如图X所示。

图X 连接到无线网络在SP2中，有一个如图Y所示的升级界面，用户可以通过右键点击系统托盘区的无线网络图标，选择“View Available Networks”的方式开启该界面。

选择“Change advanced settings”将出现如图X所示的窗口。

图Y选择无线网络在XP SP2下，用户可以点击“Add”按钮在"Preferred networks"区域建立一个网络配置。

如图Z所示，在新窗口中，用户只需要输入用来登录无线接入点的SSID即可。

图Z 添加一个无线连接在 "Network Authentication"项中选择 "WPA"WPA验证模式需要系统为XP SP2 或 Vista。

返回TP-LINK首页无线网卡模拟AP功能设置指南本文索引：1. 配置模拟AP步骤一安装无线网卡驱动和客户端软件。

步骤二启用模拟AP功能。

步骤三无线连接到模拟AP。

特殊情况：模拟AP共享宽带/3G连接2. FAQ1. Windows XP系统模拟AP的配置本文适用于无线网卡：TL-WN727N 3.0、TL-WN721N 3.0、TL-WDN3321 1.0、TL-WN725 1.0、TL-WN723N 2.0无线AP可以为传统的有线局域网提供无线扩展接入，而一般的无线网卡只能作为客户端连接到无线AP。

我司部分无线网卡具有模拟AP功能，不单可以作为无线客户端连接上无线网络，也可以切换为模拟AP，供其他无线客户端连接。

其典型应用场景如下：在没有无线路由器的情况下，电脑通过有线连接到宽带线路已经可以上网。

电脑上安装具有模拟AP 功能的无线网卡，并设置共享可以访问互联网的网络连接，模拟AP与可以访问互联网的网络连接就虚拟出一个“无线路由器”。

其他的无线设备如笔记本、手机、PAD等就可以无线连接上模拟AP共享上网了。

下面以TL-WDN3321为例介绍模拟AP功能以及虚拟无线路由器的设置方法，如下图所示。

步骤一安装无线网卡驱动和客户端软件，安装完成之后，如下图所示。

步骤二启用模拟AP功能。

1. 选择客户端软件中的“高级”选项。

2. SoftAP模式，选择“开”，提示“确认打开SoftAP模式”，点击“确认”。

会显示“正在设置SoftAP模式，请稍后”，然后会提示“正在设置SoftAP模式成功”。

3. 配置模拟AP参数，如下图所示，配置完成之后点击“应用”。

Internet连接共享：当电脑上存在多个网络连接时，选择用于连接到互联网的网络连接，本例中以“本地连接”为例，选择本地连接对应的网卡作为“虚拟无线路由器”的WAN接口。

网络名称：网卡工作在SoftAP模式时发出来的无线网络名称（SSID），即无线设备搜索到模拟AP 的无线网络名称。

无线802.1x认证标准无线802.1x协议交互逻辑无线PEAP认证分为几个阶段，802.11无线关联阶段、PEAP认证阶段、无线Key 配置阶段、客户端IP地址获取阶段、正常网络访问阶段以及最后的下线阶段，接下来我们就依照下图对认证过程中的各个阶段进行详细描述。

一、802.11无线关联阶段STA(WorkStation，通常指个人PC)上的认证客户端（Supplicant）通过无线开放模式和无线设备之间建立连接。

1）第一对交互过程用于客户端请求希望关联的SSID，无线设备进行请求应答。

2）接下来的一对交互过程使用开放模式进行认证，真正的身份校验放到了PEAP阶段完成。

3）最后一对交互过程是在进行无线关联，通过该对话可以协商出双方所支持的通讯速率、无线数据传输时的密钥传递、管理和加密方式。

客户端和无线设备完成上述交互过程后，无线关联过程也就完成了。

二、PEAP认证阶段A、802.1X认证起始阶段1）客户端向无线设备发送一个EAPoL-Start报文，开始802.1X认证；2）无线设备向客户端发送EAP-Request/ID报文，要求客户端将用户信息送上来；3）客户端回应EAP-Response/ID给无线设备，该报文中包含用户标识，通常为认证用户ID（由于PEAP的TLS安全通道内依然使用EAP协议进行认证，而EAP 认证过程中会再请求一次用户ID，那么方案设计者可以通过本次的Response/ID 来隐藏真实的用户ID，而在TLS安全通道内的EAP交互中携带真实的用户ID，这样可以增强用户认证凭证的保密性）；4）无线设备以EAP Over Radius的形式将EAP-Response/ID传送给Radius服务器。

B、协商PEAP认证并建立TLS安全通道5）Radius服务器收到EAP-Response/ID后根据配置确定使用PEAP认证，并向无线设备发送Radius Access-Challenge报文，报文中包含Radius服务器发送给客户端的PEAP-Start报文，表示希望使用PEAP方法进行接下来的认证；6）无线设备将EAP-Request/PEAP-Start发送给认证客户端；7）客户端收到EAP-Request/PEAP-Start报文后，生成客户端随机数、客户端支持的加密算法列表、TLS协议版本、会话ID等信息，并将这些信息封装到PEAP-Client Hello报文中发送给无线设备；8）无线设备以EAP Over Radius的形式将PEAP-Client Hello发送给Radius服务器；9）Radius服务器收到客户端发来的PEAP-Client Hello报文后，会从PEAP-Client Hello报文的加密算法列表中选择自己支持的一组加密算法并同Radius服务器产生的随机数、Radius服务器证书、证书请求信息、Server_Hello_Done属性形成一个Server Hello报文封装在Access-Challenge报文中，发送给客户端；10）无线设备提取Radius报文中的EAP属性，将其封装成EAP-Request报文并最终发送给客户端；11) 客户端收到来自服务器的EAP-Request报文后，验证Radius服务器的证书是否合法。

PEAP认证PC终端设置方法Windows XP系统设置方法：1，打开无线网络连接属性，添加PEAP认证的无线网络2，网络SSID设置为CMCC-AUTO，可以根据现场的认证SSID设置，网络身份验证选择WPA2，数据加密选择AES，根据AC上的配置选择3，在验证页面选择EAP类型为：受保护的EAP（PEAP），去掉“当计算机信息可用时验证为计算机”4，修改EAP类型属性，去掉“验证服务器证书”选项，身份验证方法选择EAP-MSCHAP V2，去掉“启用快速重新连接”，点击EAP-MSCHAP V2的配置，去掉“自动使用windows登录名和密码”（注意：必须去掉前面的勾，否则连接认证SSID时，右下角无线网络处不会弹出让你输入用户名和密码）5，当右下角弹出菜单时，点击即可弹出输入用户名和密码的对话框Win7系统设置方法：1.打开‘网络’2.点击‘管理无线网络’3.点击‘添加’-‘手动创建网络配置文件’4.手动输入网络名：CMCC-AUTO，要求全大写安全类型：WPA2-企业加密类型：AES去掉‘自动启动此链接’的对勾然后点击‘下一步’5.选择6.点击‘更改链接设置’后，进入‘属性’安全类型：WPA2-企业加密类型：AES选择网络身份验证方法：microsoft：受保护的eap（peap）7.连环设置1）‘设置’2）取消‘验证服务器证书’前面对勾3）选择身份验证方法：选择‘安全密码（eap-mscwap v2）4）取消‘启用快速重新连接’5）点击‘配置’，弹出对话框6）取消‘自动使用xxxx’前面的对勾8.高级设置1）点选‘高级设置’，弹出对话框2）照图片设置9.设置完成，关联CMCC-AUTO后，弹出对话框让填写用户名及密码。

PEAP测试步骤：
（1）AC升级改造后在AC上配置无感知认证业务CMCC-AUTO对应的Radius地址：221.176.1.138，认证端口2645，计费端口2646，通讯密钥88----89 （2）选取待测试的一两个AP，新增CMCC-AUTO这个SSID广播（CMCC已存在）
（3）选择不同的手机终端连接CMCC后，在浏览器中可以输入如下URL：
http://221.176.1.140:8080/wlan/index.php?wlanacname=xxxx.x
xxx.531.00&wlanuserip=xxx.xx.xx.xx
注意第一个xxxx.xxxx.531.00是各地市BRAS所配置的局数据acname
（详见下表，2对BRAS的地市需注意在那对BRAS覆盖下）;
第二个xxx.xx. xx.xx是手机终端在关联CMCC时获取的IP地址；
登录成功后可见“试用自动认证功能”
点击“试用自动认证功能”后弹出开通界面，如下图：
选择所用的手机型号
点击“申请开通”后，弹出确认对话框：
点击确认后会弹出开通成功提示，收到密码短信。

配置 Ω∏A-802.1ξ ∏EA∏ ΩΛAN向导怎样配置WPA 802.1x PEAP 使用Microsoft Windows XP及Windows Server 2003目标：此安装向导使用WS5100无线交换机、Microsoft Windows XP 客户机操作系统及Microsoft Windows Server 2003服务器（安装了Internet Authentication Service 及Active Directory），以下显示配置WPA-802.1x PEAP 无线网络的步骤。

安装概要：1.安装前准备2.物理网络配置3.配置Ω∑ 51004.配置 Ωινδοωσ 2003 ∑ερϖερα.安装配置Aχτιϖε ∆ιρεχτορψ (A∆)β.安装Xερτιφιχατιον Aυτηοριτψ (XA)χ.安装配置Iντερνετ Aυτηεντιχατιον ∑ερϖιχε (IA∑)5.配置Mιχροσοφτ Ωινδοωσ Ξ∏步骤#1安装前的准备：1. Symbol WS 5100无线交换机版本1.4.1.0-014R（或更新）。

2.Symbol AP 300 Access Port。

3.POE（以太网供电器）。

4.以太网交换机（如果使用带供电以太网交换机，可以省略第3项POE）。

5.Microsoft Windows XP computer with SP1 (或更新) ，支持WPA。

6.Microsoft Windows 2003 Server。

7.Microsoft Windows操作系统和Symbol WS 5100 操作经验。

注意：您可以以其他步骤配置WPA 802.1x PEAP，然而以下提供的每一个配置步骤是不可缺少的。

该向导将来可能会对以下项目做一些修正：- Windows Server 2003 IAS- Certificate authentication-Troubleshooting and debugging步骤#2网络物理配置，参考下图：步骤#3 配置WS5100请先确认：事先用超级终端为WS5100的Ethernet 1/2设置好任意一个IP地址；连接WS5100（建议通过有线进行配置）；为执行配置的电脑安装JRE（Java 2 Runtime Environment）；配置：通过IE输入https://<Ethernet 1/2>，范例：https://10.0.0.1；建立（或修改原有的）Security Policy，配置成TKIP→ ；完成后将该Security Policy加入某个WLAN。

不同的band 连接上去可以ping 通。

802.11b and 802.11g, or 802.11a only, channel width 变成灰色，并且show 出来是20MHz 。

认证方式为open system ，shared key 设置密码的时候，设置加密方式为 TKIP in PSK or EAP ，802.11n 要被移掉。

设置 wireless mode to 802.11b and 802.11g, or 802.11a only, short GI 要变成灰色并且disabled ； Channel ：信道，以无线信号作为传输媒体的数据信号传送通道。

当使用环境中有两个以上的AP 或者与邻居的AP 覆盖范围重叠时，需要为每个AP 设定不同的频段，以免冲突。

enable 就是自动选择channel ，disable ，然后在下面就可以选择它工作的channel ，以及channel 的宽度。

对不同频率段RF 的划分，一个channel 占用22MHZ 的连续频宽，每个channel 中心频率的间隔为5MbpsSSID:服务集标识符（SSID ）是无线接入的身份标识符，用户用它来建立与接入点之间的连接。

无线客户端要加入此无线网络时必须拥有相同的SSID 号，否则就会被“拒之门外”。

最大支持32个字符可以是特殊字符。

首字符不能为空格，ssid 不能设置为空。

Disable ssid 广播以后，在station 扫出来的ssid 为空的，可以连接上去。

Beacon 包也有，只是ssid 栏为空。

Band传输速率 主要技术 802.11a 5.15-5.25GHz 5.25-5.35GHz 6-54Mbps OFDM 802.11b 2.4-2.4835 GHz 11，5.5,2,1 Mbps DSSS 802.11g 2.4-2.4835 GHz 54 MbpsOFDM 802.11n2.4,5 GHz54,108,300,600 MbpsAccess Point：一种网桥，当作有线局域网与无线局域网或者无线局域网间的桥梁，装有无线网卡的PC可透过AP去存取有线局域网和广域网上的资源。

保时捷PEAP项目实效分析作者：杨辉来源：《教育教学论坛》2019年第27期摘要：党的十九大报告提出要完善职业教育和培训体系，深化产教融合、校企合作。

本文对校企合作保时捷PEAP项目做了简要介绍，同时以烟台汽车工程职业学院为例详细介绍了项目的实施细则和成效分析。

关键词：PEAP项目；实施细则；成效分析中图分类号：G710 文献标志码：A 文章编号：1674-9324（2019）27-0256-02PEAP是Porsche Elite Apprentice Programme四个英文的首字母，即保时捷品质实习生项目。

它是保时捷（中国）培训学院与职业院校合作建立的校企合作项目。

PEAP项目的目标是用两年的时间，通过在授权院校校园、培训学院和保时捷中心（Porsche Center，以下简称PC）分阶段开展的校园特训、基地集训、导入培训和顶岗实习，最终为PC输送具备保时捷产品基础服务技能的青年员工。

2013年3月，我院凭借良好的社会声誉和优良的师资队伍，通过了保时捷（中国）培训学院PEAP项目组的考察，正式签订合约，成为PEAP合作院校。

一、PEAP项目实施细则PEAP项目自开始出现到目前为止，每一年项目组都会根据上一年项目实施效果及遇到的问题，做出相应的优化调整。

总体来说，每一届PEAP学员需要经过以下几个阶段：PEAP学员初选、校园特训、PEAP学员筛选、PC遴选、基地集训、Porsche导入培训、PC顶岗实习、APA认证考核。

1.PEAP学员初选。

保时捷（中国）培训学院PEAP项目组对于各合作院校PEAP学员初选并没有统一的要求，给予学院很大的自由度去组织。

我院PEAP学员从汽车相关专业一年级在校生中择优选拔。

首先，在第一学年将要结束的时候举行Porsche品质实习生项目校园宣讲会，主要从PEAP项目产生的背景、运行模式、企业、学员收益等方面进行讲解，并进行现场答疑，使广大同学对项目有一定的了解；然后，通過自由报名、理论考核、实操考核、面试等环节，最终确定PEAP学员，在二年级组建“保时捷班”并提交名单给PEAP项目组，PEAP项目组为学员开通个人PEAP账号。

492020 0012实际的无线网络中，会使用到大量的AP。

客户端必须先连接到AP ，才可以接入无线网络。

可以说，AP 是非常重要的无线设备，是用户和无线网络对接的桥梁。

因此，对AP进行安全配置，才可以有效提高网络的安全性，保证合法的用户连接无线网络，将不法用户拒之门外。

对AP参数进行安全配置对于思科的AP来说，其默认的账号为小写的cisco，密码（包括enable密码）为大写的CISCO，当然这种默认设置的安全性是比较差的，为此可以全局地设置用户名、密码和enable密码，特定AP设置的拥有高优先级。

例如登录到思科某款无线款控制器管理界面，点击工具栏上的“Configuration”按钮，在左侧点击“Wireless”-“Access Points”-“Radios”-“Global AP Configuration”项，在右侧的“Login Credentials”栏中可以分别设置用户名、密码以及enable密码，点击“Apply”按钮执行应用。

这些设置信息会自动推送给关联到该控制器的所有AP ，即所有相关AP都会拥有该密码。

当AP加入无线控制器后，AP就激活了console口安全，当用户访问AP console口时，会提示输入账户名和密码。

当登录完成后，会进入非特权模式，您必须输入enable密码来进入特权模式。

全局配置信息在无线控制器和AP重启后不会丢失，只有当AP加入新的无线控制器，而且该无线控制器配置了全局用户名和密码后，这些信息才会被覆盖掉。

如果新的无线控制器没有配置全局身份信息，AP将保持之前的全局用户和密码。

注意，您必须关注AP身份信息的变动情况，否则将无法登录AP。

当然，想恢复默认的AP身份信息的话，最直接的办法是同时将无线控制器和AP 的设置恢复到出厂状态。

此外，还可以在AP 上执行“clear capwap private-config”命令，来清除该AP的配置信息，之后执行Reload命令重载即可。

配置AP与Windows IAS实现MD5-质询、受保护的EAP(PEAP)、智能卡或其它证书的三种身份验证目录一、网络拓扑： (2)二、配置AP (2)1、配置Radius Server (2)2、配置身份认证方式 (2)三、配置Windows IAS服务器： (3)1、环境： (3)2、配置过程： (3)四、工作站： (9)1、工作环境： (10)2、配置过程： (10)一、网络拓扑：Windows IAS (Radius)：192.168.1.253/24支持802.1x身份认证的AP：192.168.1.254/24二、配置AP以NETGEAR WG302v2为示例1、配置Radius Server2、配置身份认证方式三、配置Windows IAS服务器：1、环境：1.1、Microsoft Windows Server 2003 Enterprise Edition（Service Pack 2）1.2、AD、IIS6.0、证书颁发机构、IAS2、配置过程：2.1、新建Radius客户端。

如下图：IEEE802.1x的网络设备的IP地址，例如192.168.1.254。

如下图：2.3、输入共享的机密。

如下图：2.4、修改原有的远程访问策略。

选择远程访问策略—〉到其它访问服务器的连接—〉属性—〉编辑配置文件—〉身份验证—〉EAP方法—〉添加EAP—〉MD5-质询/受保护的EAP(PEAP)/智能卡或其它证书。

2.4.1远程访问策略—〉到其它访问服务器的连接—〉属性。

如下图：2.4.2、点击“编辑配置文件”按钮。

如下图：2.4.3、选择“身份验证”及“EAP方法”。

如下图：2.4.4、选择“添加EAP”。

如下图：2.4.5、选择身份验证方法。

如下图：2.5、在Active Dirctory中注册服务器。

如下图：2.6、修改用户的属性。

如下图：2.7、选择拨入—〉允许访问。

如下图：四、工作站：1、工作环境：Microsoft Windows XP Professional（Service Pack 2）2、配置过程：2.1、MD5-质询2.2、受保护的EAP(PEAP)2.3、智能卡或其它证书。

Netshare VPN PPTP系列快速配置说明瑞科（西安）电子科技有限公司NS-V1000+、NS-6020系列VPN路由器工作模式NS-V000+或NS-6020为VPN服务器，PC电脑做为VPN客户端NS-V1000+、NS-6020快速配置（VPN）说明VPN路由器服务端设置◆连接PC和路由器，PC接到路由器的LAN口，ADSL接到路由器的WAN口◆设置本机IP为192.168. 0.X(X的值为2-254)，子网掩码设置为255.255.255.0,网关为192.168. 0.1，DNS设置为当地运营商。

打开Inetrnet explorer 输入地址192.168. 0.1,输入用户名:admin,密码:admin进入路由器配置页面.这样我们就可以进入路由器WEB管理系统进行设置了。

第一步：先设置设备ADSL帐号和密码先让设备能够上网保存好记得要重起设备第二步VPN的设置：Netshare系列VPN防火墙内带有自己Netshare动态域名！如下图：动态域名功能：实现固定域名到动态IP地址之间的解析。

用户每次得到新的IP地址之后，安装在用户计算机里的动态域名软件就会把这个IP地址发送到动态域名解析服务器，更新域名解析数据库。

Internet上的其他人要访问这个域名的时候，动态域名解析服务器会返回正确的IP地址给他。

VPN用户名和密码的设置（如图）客户IP分配范围：即VPN服务端给客户端分配的IP地址，用于远程访问共享。

※提示：客户IP范围最好不要与本地或远端本地地址相同。

建议在指定IP的时候最好指定在200以上，避免跟内网有冲突。

系统工具：在本配置页面中，您可以修改WEB管理系统的管理密码※提示：(1)在本配置页面中，配置修改并保存后立即生效。

(2)凡带有“*”标识的项是必须填写的。

密码修改：在本配置页面中，您可以修改WEB管理系统的管理密码。

老密码：老的登陆密码。

新密码：新的登陆密码。