NPS、无线局域网控制器和无线网络配置示例

简介

本文档提供在Cisco统一无线网络中，以Microsoft网络策略服务器(NPS)作为RADIUS服务器，使用Microsoft质询握手身份验证协议(MS-CHAP)第2版身份验证的受保护可扩展身份验证协议(PEAP)的示例配置。

先决条件

要求

在尝试此配置之前，请确保您熟悉以下步骤：

• 了解Windows 2008基本安装
• 了解思科控制器安装

在尝试此配置之前，请确保满足以下要求：

• 在测试实验的每台服务器上安装Microsoft Windows Server 2008操作系统。
• 更新所有服务包。
• 安装控制器和轻量接入点(LAP)。
• 配置最新的软件更新。

有关Cisco 5508系列无线控制器的初始安装和配置信息，请参阅Cisco 5500系列无线控制器安装指南。

注意：本文档旨在向读者提供Microsoft服务器上PEAP-MS-CHAP身份验证所需配置的示例。本文档中介绍的Microsoft Windows服务器配置已在实验室中测试，并发现可以按预期工作。如果配置有问题，请联系Microsoft获取帮助。思科技术支持中心(TAC)不支持Microsoft Windows服务器配置。

Microsoft Windows 2008安装和配置指南可在Microsoft技术网上找到。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 运行固件版本7.4的Cisco 5508无线控制器
• 带轻量接入点协议(LWAPP)的Cisco Aironet 3602接入点(AP) 
• 安装了NPS、证书颁发机构(CA)、动态主机控制协议(DHCP)和域名系统(DNS)服务的Windows 2008 Enterprise Server
• Microsoft Windows 7客户端PC
• Cisco Catalyst 3560 系列交换机

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

PEAP 概述

PEAP使用传输级安全(TLS)在身份验证PEAP客户端（如无线笔记本电脑）和PEAP身份验证器（如Microsoft NPS或任何RADIUS服务器）之间创建加密通道。PEAP不指定身份验证方法，但为其他可扩展身份验证协议(EAP)（如EAP-MS-CHAP v2）提供额外的安全性，这些协议可通过PEAP提供的TLS加密通道运行。PEAP身份验证过程包括两个主要阶段。

PEAP 第一阶段：TLS加密通道

无线客户端将与 AP 相关联。基于IEEE 802.11的关联在客户端和接入点之间创建安全关联之前提供开放系统或共享密钥身份验证。在客户端与接入点之间成功建立基于 IEEE 802.11 的关联之后，TLS 会话就会与 AP 进行协商。在无线客户端和NPS之间成功完成身份验证后，客户端和NPS之间将协商TLS会话。在此协商中派生的密钥将用来加密随后的所有通信。

PEAP 第二阶段：采用 EAP 身份验证的通信

EAP 通信（包括 EAP 协商）发生在由 PEAP 在 PEAP 认证过程的第一阶段中创建的 TLS 通道内。NPS使用EAP-MS-CHAP v2对无线客户端进行身份验证。LAP和控制器仅在无线客户端和RADIUS服务器之间转发消息。无线LAN控制器(WLC)和LAP无法解密这些消息，因为它不是TLS端点。

成功身份验证尝试的RADIUS消息序列（其中用户已为PEAP-MS-CHAP v2提供基于密码的有效凭证）为：

1. NPS向客户端发送身份请求消息：EAP 请求/身份。
2. 客户端回复一个身份响应消息：EAP 响应/身份。
3. NPS发送MS-CHAP v2质询消息：EAP 请求/EAP 类型=EAP MS-CHAP-V2（质询）。
4. 客户端回复一个 MS-CHAP v2 质询和响应：EAP 响应/EAP 类型=EAP-MS-CHAP-V2（响应）。
5. 当服务器成功对客户端进行身份验证时，NPS会发回MS-CHAP v2成功数据包：EAP 请求/EAP 类型=EAP-MS-CHAP-V2（成功）。
6. 当客户端对服务器的身份验证成功时，该客户端回复一个 MS-CHAP v2 成功数据包：EAP 响应/EAP 类型=EAP-MS-CHAP-V2（成功）。
7. NPS发送EAP类型长度值(TLV)，表示身份验证成功。
8. 客户端回复一个 EAP-TLV 状态成功消息。
9. 服务器完成身份验证并以纯文本形式发送EAP-Success消息。如果部署了 VLAN 用于客户端隔离，则此消息中还包含 VLAN 属性。

配置

在本节中，您将获得配置PEAP-MS-CHAP v2的信息。

注意：使用命令查找工具(仅限注册客户)可获取有关本节中使用的命令的详细信息。

网络图

此配置使用以下网络设置：

在此设置中，Microsoft Windows 2008 Server 担当以下角色：

• 域wireless.com的域控制器
• DHCP/DNS 服务器
• CA 服务器
• NPS?验证无线用户
• Active Directory?维护用户数据库

服务器通过第2层交换机连接到有线网络，WLC和注册的LAP也通过第2层交换机连接到网络。

无线客户端使用Wi-Fi保护访问2(WPA2)- PEAP-MS-CHAP v2身份验证连接到无线网络。

配置

本示例的目标是配置Microsoft 2008服务器、无线LAN控制器和轻量AP，以使用PEAP-MS-CHAP v2身份验证对无线客户端进行身份验证。此过程有三个主要步骤：

1. 配置 Microsoft Windows 2008 Server.
2. 配置WLC和轻量AP。
3. 配置无线客户端.

配置 Microsoft Windows 2008 Server

在本示例中，Microsoft Windows 2008服务器的完整配置包括以下步骤：

1. 将服务器配置为域控制器。
2. 安装和配置DHCP服务。
3. 将服务器安装并配置为CA服务器。
4. 将客户端连接到域.
5. 安装NPS。
6. 安装证书。
7. 配置NPS以进行PEAP身份验证。
8. 将用户添加到 Active Directory.

将 Microsoft Windows 2008 Server 配置为域控制器

要将Microsoft Windows 2008服务器配置为域控制器，请完成以下步骤：

1. 单击“开始”>“服务器管理器”。
   
   
   
   
2. 单击“角色”>“添加角色”。
   
   
   
   
3. 单击 Next。
   
   
   
   
4. 选择服务Active Directory域服务，然后单击Next。
   
   
   
   
5. 查看Active Directory域服务简介，然后单击下一步。
   
   
   
   
6. 单击Install开始安装过程。
   
   
   
   安装将继续并完成。
   
   
7. 单击关闭此向导并启动Active Directory域服务安装向导(dcpromo.exe)以继续安装和配置Active Directory。
   
   
   
   
8. 单击Next以运行Active Directory域服务安装向导。
   
   
   
   
9. 查看有关操作系统兼容性的信息，然后单击下一步。
   
   
   
   
10. 单击Create a new domain in a new forest > Next以创建新域。
    
    
    
    
11. 输入新域的完整DNS名称(本例中为wireless.com)，然后单击“下一步”。
    
    
    
    
12. 选择域的林功能级别，然后单击Next。
    
    
    
    
13. 选择域的域功能级别，然后单击Next。
    
    
    
    
14. 确保已选择DNS服务器，然后单击“下一步”。
    
    
    
    
15. 单击是（对于安装向导），在DNS中为域创建新区域。
    
    
    
    
16. 选择Active Directory应用于其文件的文件夹，然后单击“下一步”。
    
    
    
    
17. 输入管理员密码，然后单击下一步。
    
    
    
    
18. 查看您的选择，然后单击“下一步”。
    
    
    
    安装将继续。
    
    
19. 单击Finish(完成)关闭向导。
    
    
    
    
20. 重新启动服务器，使更改生效。
    
    

在 Microsoft Windows 2008 Server 上安装和配置 DHCP 服务

Microsoft 2008 Server 上的 DHCP 服务用于向无线客户端提供 IP 地址。要安装和配置DHCP服务，请完成以下步骤：

1. 单击“开始”>“服务器管理器”。
   
   
   
   
2. 单击“角色”>“添加角色”。
   
   
   
   
3. 单击 Next。
   
   
   
   
4. 选择服务DHCP服务器，然后单击Next。
   
   
   
   
5. 查看DHCP服务器简介，然后单击下一步。
   
   
   
   
6. 选择DHCP服务器应监控的接口以查找请求，然后单击Next。
   
   
   
   
7. 配置DHCP服务器应为客户端提供的默认DNS设置，然后单击Next。
   
   
   
   
8. 如果网络支持WINS，请配置WINS。
   
   
   
   
9. 单击Add以使用向导创建DHCP作用域，或单击Next以稍后创建DHCP作用域。单击“下一步”继续。
   
   
   
   
10. 在服务器上启用或禁用DHCPv6支持，然后单击Next。
    
    
    
    
11. 如果在上一步中启用了DHCPv6，则配置IPv6 DNS设置。单击“下一步”继续。
    
    
    
    
12. 提供域管理员凭据以授权Active Directory中的DHCP服务器，然后单击Next。
    
    
    
    
13. 在确认页面上查看配置，然后单击安装完成安装。
    
    
    
    安装将继续。
    
    
14. 单击关闭以关闭向导。
    
    
    
    DHCP服务器现已安装。
    
    
15. 单击Start > Administrative Tools> DHCP以配置DHCP服务。
    
    
    
    
16. 展开DHCP服务器（本例中为win-mvz9z2umms.wireless.com），右键单击IPv4，然后选择“新建范围”。创建DHCP范围。
    
    
    
    
17. 单击Next，通过“New Scope Wizard”（新建作用域向导）配置新作用域。
    
    
    
    
18. 为新范围（本例中为无线客户端）提供名称，然后单击Next。
    
    
    
    
19. 输入可用于DHCP租用的IP地址范围。单击“下一步”继续。
    
    
    
    
20. 创建排除地址的可选列表。单击“下一步”继续。
    
    
    
    
21. 配置租用时间，然后单击Next。
    
    
    
    
22. 单击“是，我要立即配置这些选项”，然后单击“下一步”。
    
    
    
    
23. 输入此范围的默认网关的IP地址，单击Add > Next。
    
    
    
    
24. 配置DNS域名和DNS服务器，供客户端使用。单击“下一步”继续。
    
    
    
    
25. 如果网络支持WINS，请输入此范围的WINS信息。单击“下一步”继续。
    
    
    
    
26. 要激活此范围，请单击“是，我想立即激活此范围”>“下一步”。
    
    
    
    
27. 单击Finish完成并关闭向导。
    
    

将Microsoft Windows 2008 Server安装并配置为CA服务器

使用EAP-MS-CHAP v2的PEAP根据服务器上存在的证书验证RADIUS服务器。此外，服务器证书必须由客户端计算机信任的公有CA颁发（即，客户端计算机证书存储区的受信任根证书颁发机构文件夹中已存在公有CA证书）。 

要将Microsoft Windows 2008服务器配置为向NPS颁发证书的CA服务器，请完成以下步骤：

1. 单击“开始”>“服务器管理器”。
   
   
   
   
2. 单击“角色”>“添加角色”。
   
   
   
   
3. 单击 Next。
   
   
   
   
4. 选择服务Active Directory证书服务，然后单击Next。
   
   
   
   
5. 查看Active Directory证书服务简介，然后单击下一步。
   
   
   
   
6. 选择证书颁发机构，然后单击下一步。
   
   
   
   
7. 选择“企业”，然后单击“下一步”。
   
   
   
   
8. 选择Root CA（根CA），然后单击Next(下一步)。
   
   
   
   
9. 选择创建新私钥，然后单击下一步。
   
   
   
   
10. 单击Next 在Configuring Cryptography for CA（为CA配置加密）中。
    
    
    
    
11. 单击Next接受此CA的默认公用名。
    
    
    
    
12. 选择此CA证书有效的时间长度，然后单击Next。
    
    
    
    
13. 单击Next以接受默认的Certificate数据库位置。
    
    
    
    
14. 查看配置，然后单击Install以启动Active Directory证书服务。 
    
    
    
    
    
15. 安装完成后，单击Close。

将客户端连接到域

要将客户端连接到有线网络并从新域下载域特定信息，请完成以下步骤：

1. 使用直通以太网电缆将客户端连接到有线网络。
2. 启动客户端，并使用客户端用户名和密码登录。
3. 单击开始> 运行，输入cmd，然后单击确定。
4. 在命令提示符下，输入ipconfig，然后单击Enter以验证DHCP是否工作正常，以及客户端是否从DHCP服务器收到IP地址。
5. 要将客户端加入域，请单击开始,右键单击计算机，选择属性，然后选择右下角的“更改设置”。
6. 单击 Change。
7. 单击域,输入wireless.com，然后单击确定。
   
   
   
   
8. 输入用户名administrator和特定于客户端加入的域的密码。这是服务器Active Directory中的管理员帐户。
   
   
   
   
9. 单击OK，然后再次单击OK。
   
   
   
   
10. 单击Close > Restart Now以重新启动计算机。
11. 计算机重新启动后，使用以下信息登录：用户名 = Administrator；密码 = <域密码>；域 = Wireless。
12. 单击开始，右键单击计算机，选择属性，然后选择右下角的更改设置，以验证您是否在wireless.com域中。
13. 下一步是验证客户端从服务器收到了 CA 证书（信任）。
    
    
    
    
14. 单击开始，输入mmc，然后按Enter。
15. 单击文件，然后单击“添加/删除”管理单元。
16. 选择“证书”，并单击“添加”。
    
    
    
    
17. 单击“Computer account(计算机帐户)” ，然后单击“Next(下一步)”。
    
    
    
    
18. 单击“Local computer(本地计算机)” ，然后单击“Next(下一步)”。
    
    
    
    
19. Click OK.
20. 展开“证书(本地计算机)”和“受信任根证书颁发机构”文件夹，然后单击“证书”。在列表中查找无线域CA证书。在本示例中，CA证书称为wireless-WIN-MVZ9Z2UMNMS-CA。 
    
    
    
    
21. 重复此过程，以便将更多客户端添加到域中。

在Microsoft Windows 2008服务器上安装网络策略服务器

在此设置中，NPS用作RADIUS服务器，通过PEAP身份验证对无线客户端进行身份验证。请完成以下步骤以在Microsoft WIndows 2008服务器上安装和配置NPS:

1. 单击“开始”>“服务器管理器”。
   
   
   
   
2. 单击“角色”>“添加角色”。
   
   
   
   
3. 单击 Next。
   
   
   
   
4. 选择服务“网络策略和访问服务”，然后单击“下一步”。
   
   
   
   
5. 查看网络策略和访问服务简介，然后单击下一步。
   
   
   
   
6. 选择Network Policy Server，然后单击Next。
   
   
   
   
7. 查看确认，然后单击“Install”。
   
   
   
   安装完成后，将显示与此屏幕类似的屏幕。
   
   
   
   
8. 单击 Close。

安装证书

要安装NPS的计算机证书，请完成以下步骤：

1. 单击Start,输入mmc，然后按Enter键。
2. 单击“文件”>“添加/删除管理单元”。
3. 选择“证书”，并单击“添加”。
   
   
   
   
4. 选择计算机帐户，然后单击“下一步”。
   
   
   
   
5. 选择“Local Computer(本地计算机)”，然后单击“Finish(完成)”。
   
   
   
   
6. 单击确定返回Microsoft管理控制台(MMC)。
   
   
   
   
7. 展开“Certificates(Local Computer)”和“Personal”文件夹，然后单击“Certificates”。
   
   
   
   
8. 右键单击CA证书下方的空白处，然后选择“所有任务”>“请求新证书”。
   
   
   
   
9. 单击 Next。
   
   
   
   
10. 选择域控制器，然后单击注册。
    
    
    
    
11. 安装证书后，单击完成。
    
    
    
    NPS证书现已安装。 
    
    
12. 确保证书的Intended Purpose（目标用途）读取Client Authentication（客户端身份验证）、Server Authentication（服务器身份验证）。
    
    

为PEAP-MS-CHAP v2身份验证配置网络策略服务器服务

要配置NPS进行身份验证，请完成以下步骤：

1. 单击“开始”>“管理工具”>“网络策略服务器”。
2. 右键单击NPS（本地），然后选择Active Directory中的注册服务器。
   
   
   
   
3. Click OK.
   
   
   
   
4. Click OK.
   
   
   
   
5. 在NPS上添加无线LAN控制器作为身份验证、授权和记帐(AAA)客户端。
6. 展开RADIUS客户端和服务器。右键单击 RADIUS 客户端，然后选择“新建 RADIUS 客户端”。
   
   
   
   
7. 输入友好名称（本例中为WLC）、WLC的管理IP地址（本例中为192.168.162.248）和共享密钥。配置WLC时使用相同的共享密钥。 
   
   
   
   
8. 单击OK 返回上一屏幕。
   
   
   
   
9. 为无线用户创建新的网络策略。展开Policies，右键单击Network Policies，然后选择New。
   
   
   
   
10. 输入此规则的策略名称（本例中为Wireless PEAP），然后单击Next。
    
    
    
    
11. 要使此策略仅允许无线域用户，请添加以下三个条件，然后单击Next:
    
    
• Windows组 — 域用户
• NAS端口类型 — 无线 — IEEE 802.11
• 身份验证类型 — EAP 
  
  
  
  
12. 单击Access granted 以授予与此策略匹配的连接尝试，然后单击Next。
    
    
    
    
13. 在Less secure authentication methods下禁用所有身份验证方法。
    
    
    
    
14. 单击Add，选择PEAP，然后单击OK以启用PEAP。
    
    
    
    
15. 选择Microsoft:受保护的EAP(PEAP)，然后单击“编辑”。确保在Certificate issued下拉列表中选择之前创建的域控制器证书，然后单击Ok。
    
    
    
    
16. 单击 Next。
    
    
    
    
17. 单击 Next。
    
    
    
    
18. 单击 Next。
    
    
    
    
19. 单击 完成。
    
    

将用户添加到 Active Directory

在本示例中，用户数据库在Active Directory上维护。请完成以下步骤，以便将用户添加到Active Directory数据库：

1. 打开 Active Directory 用户和计算机。单击开始 > 管理工具 > Active Directory用户和计算机。
2. 在Active Directory用户和计算机控制台树中，展开域，右键单击用户> 新建，然后选择用户。
3. 在新对象中？User对话框，输入无线用户的名称。本示例在“名字”字段中使用名称Client1，在“用户登录名”字段中使用名称Client1。单击 Next。
   
   
   
   
4. 在新对象中？在“用户”对话框的“密码”和“确认密码”字段中输入您选择的密码。取消选中“User must change password at next logon(用户必须在下次登录时更改密码)”复选框，然后单击“Next(下一步)”。
   
   
   
   
5. 在新对象中？“用户”对话框，单击“完成”。
   
   
   
   
6. 重复步骤 2 到步骤 4，以便创建更多用户帐户。

配置无线局域网控制器和LAP

为此设置配置无线设备（无线LAN控制器和LAP）。

为RADIUS身份验证配置WLC

将WLC配置为将NPS用作身份验证服务器。必须配置WLC才能将用户凭证转发到外部RADIUS服务器。然后，外部 RADIUS 服务器验证用户凭证，并向无线客户端提供访问权限。

要在“安全”>“RADIUS身份验证”页中将NPS添加为RADIUS服务器，请完成以下步骤：

1. 从控制器接口选择Security > RADIUS > Authentication 以显示“RADIUS身份验证服务器”页。单击New以定义RADIUS服务器。
   
   
   
   
2. 定义RADIUS服务器参数。这些参数包括 RADIUS 服务器的 IP 地址、共享密钥、端口号和服务器状态。网络用户和管理复选框确定基于RADIUS的身份验证是否适用于管理和网络（无线）用户。本示例使用NPS作为IP地址为192.168.162.12的RADIUS服务器。单击“应用”。
   
   

为客户端配置 WLAN

配置无线客户端连接的服务集标识符(SSID)(WLAN)。本示例中将创建 SSID，并将其命名为 PEAP。

将第2层身份验证定义为WPA2，以便客户端执行基于EAP的身份验证（本例中为PEAP-MS-CHAP v2）并使用高级加密标准(AES)作为加密机制。将其他所有值均保留默认值。

注意：本文档将WLAN与管理接口绑定。当您的网络中有多个 VLAN 时，可以创建一个单独的 VLAN 并将其绑定到 SSID。有关如何在 WLC 上配置 VLAN 的信息，请参阅无线局域网控制器上的 VLAN 配置示例。

要在WLC上配置WLAN，请完成以下步骤：

1. 单击控制器接口中的WLAN以显示WLAN页。此页列出了控制器上现有的 WLAN。
2. 选择新建创建新的 WLAN。输入 WLAN 的 WLAN ID 和 WLAN SSID，然后单击应用。
   
   
   
   
3. 要配置802.1x的SSID，请完成以下步骤：
   1. 单击General选项卡并启用WLAN。
      
      
      
      
   2. 单击Security > Layer 2选项卡，将Layer 2 security设置为WPA + WPA2，根据需要选中WPA+WPA2 Parameters（例如，WPA2 AES）复选框，然后单击802.1x作为“身份验证密钥管理”。
      
      
      
      
   3. 单击Security > AAA Servers选项卡，从Server 1下拉列表中选择NPS的IP地址，然后单击Apply。
      
      

为PEAP-MS-CHAP v2身份验证配置无线客户端

完成以下步骤，使用Windows零配置工具配置无线客户端以连接到PEAP WLAN。

1. 单击任务栏中的网络图标。单击PEAP SSID，然后单击“Connect”。
   
   
   
   
2. 客户端现在应该已连接到网络。 
   
   
   
   
3. 如果连接失败，请尝试重新连接到WLAN。如果问题仍然存在，请参阅“故障排除”部分。

验证

当前没有可用于此配置的验证过程。

故障排除

如果您的客户端未连接到WLAN，本部分提供可用于排除配置故障的信息。

有两种工具可用于诊断802.1x身份验证故障：debug client命令和Windows中的事件查看器。

从WLC执行客户端调试不占用资源，也不影响服务。要启动调试会话，请打开WLC的命令行界面(CLI)，然后输入debug client mac address，其中mac地址是无法连接的无线客户端的无线mac地址。运行此调试时，尝试连接客户端；WLC的CLI上应有类似本例的输出：

 

这是配置错误时可能出现的问题的示例。此处，WLC调试显示WLC已进入身份验证状态，这意味着WLC正在等待NPS的响应。这通常是由于WLC或NPS上的共享密钥不正确所致。您可以通过Windows Server事件查看器确认这一点。如果找不到日志，请求从未到达NPS。

从WLC调试中找到的另一个示例是access-reject。访问拒绝显示NPS已接收并拒绝客户端凭证。以下是客户端接收access-reject的示例：

当您看到访问拒绝时，请检查Windows Server事件日志中的日志，以确定NPS为什么用访问拒绝响应客户端。

成功的身份验证在客户端调试中具有access-accept，如以下示例所示：

排除访问拒绝和响应超时故障需要访问RADIUS服务器。WLC充当在客户端和RADIUS服务器之间传递EAP消息的验证器。RADIUS服务的制造商应检查并诊断以访问拒绝或响应超时响应的RADIUS服务器。

注意：TAC不为第三方RADIUS服务器提供技术支持；但是，RADIUS服务器上的日志通常解释客户端请求被拒绝或被忽略的原因。

要排除NPS的访问拒绝和响应超时故障，请检查服务器上Windows事件查看器中的NPS日志。 

1. 单击“开始”>“管理员工具”>“事件查看器”以启动事件查看器并查看NPS日志。
2. 展开自定义视图>服务器角色>网络策略和访问。
   
   

在“事件视图”的此部分，有已通过和失败的身份验证的日志。检查这些日志以排除客户端未通过身份验证的故障。通过的身份验证和失败的身份验证都显示为“信息”。滚动日志以查找身份验证失败并根据WLC调试收到访问拒绝的用户名。

以下是NPS拒绝用户访问的示例：

在事件查看器中查看deny语句时，请检查Authentication Details部分。在本例中，您可以看到NPS由于用户名不正确而拒绝了用户访问：

如果WLC未收到来自NPS的响应，NPS上的事件视图也有助于进行故障排除。  这通常是由NPS和WLC之间的共享密钥不正确引起的。

在本例中，NPS由于共享密钥不正确而丢弃来自WLC的请求：

相关信息

• 技术支持和文档 - Cisco Systems

修订历史记录