### Cisco AP 双SSID 双Radius服务器 认证配置
#### 概述
在现代网络环境中,为了提高网络资源的安全性和灵活性,很多企业选择使用双SSID(服务集标识)及双Radius服务器进行无线接入点(AP)的配置。Cisco AP支持这种高级配置,通过为不同的用户群体提供独立的服务,确保网络安全的同时也提升了用户体验。本文档将详细介绍Cisco AP如何实现双SSID与双Radius服务器的认证配置,并提供实际操作步骤。
#### 一、配置基本虚拟接口IP地址 (BVI)
需要为Cisco AP配置一个基本虚拟接口(Basic Virtual Interface, BVI)的IP地址。BVI是Cisco AP的一个虚拟接口,它允许AP能够与管理网络通信。以下是如何配置BVI IP地址的步骤:
1. **登录Cisco AP**:使用SSH或Telnet登录到Cisco AP。
2. **进入全局配置模式**:输入`configure terminal`命令进入配置模式。
3. **配置BVI IP地址**:使用`interface bvi1`命令进入BVI接口配置模式,然后使用`ip address <IP_address> <subnet_mask>`命令设置IP地址和子网掩码。例如:
```
interface bvi1
ip address 192.168.1.1 255.255.255.0
```
#### 二、添加VLAN
接下来,需要为每个SSID配置相应的VLAN。这一步骤确保了不同SSID之间的网络隔离。以下是如何添加VLAN的步骤:
1. **创建VLAN**:使用`vlan <vlan_id>`命令创建新的VLAN。例如:
```
vlan 21
name AAA
```
```
vlan 61
name BBB
```
2. **关联SSID与VLAN**:使用`service-template`命令创建服务模板,并将SSID与对应的VLAN关联起来。例如:
```
service-template 1 clear
service-template 1 wlan
ssid AAA
vlan 21
service-template 2 clear
service-template 2 wlan
ssid BBB
vlan 61
```
#### 三、添加Radius服务器
为了实现双Radius服务器的认证机制,需要分别添加两个Radius服务器,并确保它们能够正常工作。以下是如何添加Radius服务器的步骤:
1. **添加Radius服务器AAA**:
```
radius-server host 10.68.10.44
radius-server key <shared_secret>
```
2. **添加Radius服务器BBB**:
```
radius-server host 10.50.9.8
radius-server key <shared_secret>
```
注意:这里 `<shared_secret>` 是预先设定好的密钥,确保两个Radius服务器使用的密钥一致。
#### 四、修改授权方法
为了确保用户能够正确地通过双Radius服务器进行认证,还需要修改授权方法。这一步骤确保即使其中一个Radius服务器出现问题时,用户仍然可以通过另一个服务器进行认证。以下是如何修改授权方法的步骤:
1. **设置优先级**:使用`radius-server ordering-list`命令来定义Radius服务器的优先级顺序。
2. **配置认证方法**:使用`aaa authentication login default group radius radius`命令来指定使用Radius服务器进行认证。
例如:
```
radius-server ordering-list default group radius radius
aaa authentication login default group radius radius
```
#### 五、添加SSID
最后一步是添加SSID并配置相关的认证参数。每个SSID都应配置其对应的认证服务器和参数。以下是如何添加SSID及其认证参数的步骤:
1. **配置SSID AAA**:
```
service-template 1 clear
service-template 1 wlan
ssid AAA
security wep open
authentication-server-group radius
```
2. **配置SSID BBB**:
```
service-template 2 clear
service-template 2 wlan
ssid BBB
security wep open
authentication-server-group radius
```
#### 六、验证配置
完成以上步骤后,需要验证配置是否正确。可以使用`show`命令检查配置状态,例如:
```
show running-config
show interface bvi1
show vlan brief
show radius-server
```
此外,还可以通过实际连接测试来验证配置的有效性。
#### 总结
本文档详细介绍了如何在Cisco AP上实现双SSID和双Radius服务器的配置。通过这种方式,不仅可以增强网络的安全性,还能提高网络的可用性和灵活性。希望本文档对您有所帮助,并能在实际部署中发挥重要作用。