Cisco AP 双SSID 双Radius服务器 认证配置

### Cisco AP 双SSID 双Radius服务器 认证配置 #### 概述 在现代网络环境中，为了提高网络资源的安全性和灵活性，很多企业选择使用双SSID（服务集标识）及双Radius服务器进行无线接入点（AP）的配置。Cisco AP支持这种高级配置，通过为不同的用户群体提供独立的服务，确保网络安全的同时也提升了用户体验。本文档将详细介绍Cisco AP如何实现双SSID与双Radius服务器的认证配置，并提供实际操作步骤。 #### 一、配置基本虚拟接口IP地址 (BVI) 需要为Cisco AP配置一个基本虚拟接口（Basic Virtual Interface, BVI）的IP地址。BVI是Cisco AP的一个虚拟接口，它允许AP能够与管理网络通信。以下是如何配置BVI IP地址的步骤： 1. **登录Cisco AP**：使用SSH或Telnet登录到Cisco AP。 2. **进入全局配置模式**：输入`configure terminal`命令进入配置模式。 3. **配置BVI IP地址**：使用`interface bvi1`命令进入BVI接口配置模式，然后使用`ip address <IP_address> <subnet_mask>`命令设置IP地址和子网掩码。例如： ``` interface bvi1 ip address 192.168.1.1 255.255.255.0 ``` #### 二、添加VLAN 接下来，需要为每个SSID配置相应的VLAN。这一步骤确保了不同SSID之间的网络隔离。以下是如何添加VLAN的步骤： 1. **创建VLAN**：使用`vlan <vlan_id>`命令创建新的VLAN。例如： ``` vlan 21 name AAA ``` ``` vlan 61 name BBB ``` 2. **关联SSID与VLAN**：使用`service-template`命令创建服务模板，并将SSID与对应的VLAN关联起来。例如： ``` service-template 1 clear service-template 1 wlan ssid AAA vlan 21 service-template 2 clear service-template 2 wlan ssid BBB vlan 61 ``` #### 三、添加Radius服务器 为了实现双Radius服务器的认证机制，需要分别添加两个Radius服务器，并确保它们能够正常工作。以下是如何添加Radius服务器的步骤： 1. **添加Radius服务器AAA**： ``` radius-server host 10.68.10.44 radius-server key <shared_secret> ``` 2. **添加Radius服务器BBB**： ``` radius-server host 10.50.9.8 radius-server key <shared_secret> ``` 注意：这里 `<shared_secret>` 是预先设定好的密钥，确保两个Radius服务器使用的密钥一致。 #### 四、修改授权方法 为了确保用户能够正确地通过双Radius服务器进行认证，还需要修改授权方法。这一步骤确保即使其中一个Radius服务器出现问题时，用户仍然可以通过另一个服务器进行认证。以下是如何修改授权方法的步骤： 1. **设置优先级**：使用`radius-server ordering-list`命令来定义Radius服务器的优先级顺序。 2. **配置认证方法**：使用`aaa authentication login default group radius radius`命令来指定使用Radius服务器进行认证。 例如： ``` radius-server ordering-list default group radius radius aaa authentication login default group radius radius ``` #### 五、添加SSID 最后一步是添加SSID并配置相关的认证参数。每个SSID都应配置其对应的认证服务器和参数。以下是如何添加SSID及其认证参数的步骤： 1. **配置SSID AAA**： ``` service-template 1 clear service-template 1 wlan ssid AAA security wep open authentication-server-group radius ``` 2. **配置SSID BBB**： ``` service-template 2 clear service-template 2 wlan ssid BBB security wep open authentication-server-group radius ``` #### 六、验证配置 完成以上步骤后，需要验证配置是否正确。可以使用`show`命令检查配置状态，例如： ``` show running-config show interface bvi1 show vlan brief show radius-server ``` 此外，还可以通过实际连接测试来验证配置的有效性。 #### 总结 本文档详细介绍了如何在Cisco AP上实现双SSID和双Radius服务器的配置。通过这种方式，不仅可以增强网络的安全性，还能提高网络的可用性和灵活性。希望本文档对您有所帮助，并能在实际部署中发挥重要作用。