网络工程 - 使用 RADIUS 和多个 VLAN 配置 Cisco Aironet 1600 AP - 吾爱随笔录

在小型办公环境下实现AP方案有点小问题。起初我没有任何配置 Cisco 接入点的技能；)

我有以下环境：一个大约 15 人的小型办公室和一个分为 2 个 VLAN 的网络（VLAN100 用于客户端和 RADIUS 服务器，VLAN200 用于访问非常受限的访客。AP 连接在 L3 交换机端口上，两者都可以访问VLAN。

现在，如果有人使用 AP，则需要通过 VLAN100 中的 RADIUS 服务器进行身份验证。在 RADIUS 服务器上，我使用 2 个网络策略（每个 VLAN 一个策略）配置了 NPS 服务器角色 (Windows Server 2008R2)，以通过成功的身份验证授予访问权限。

最后，如果有人使用访客帐户对自己进行身份验证，我会遇到问题，他没有网络连接，因为他不知道 VLAN。- 是否有针对具有 RADIUS 和 VLAN 或类似内容的 CISCO AP 的最佳实践教程，也许有人有更好的想法来实现身份验证/VLAN 标记程序？

好的，这是配置，也许我犯了一个错误：

当前配置：4225 字节
！
！最后一次配置更改时间为 1993 年 3 月 1 日星期一 01:17:55 +0100
版本 15.2
没有服务台
服务时间戳调试日期时间毫秒
服务时间戳记录日期时间毫秒
服务密码加密
！
主机名 AP01
！
！
记录速率限制控制台 9
！
aaa 新模式
！
！
aaa 组服务器半径 rad_eap
 服务器 172.0.0.30
！
aaa 认证登录 eap_methods 组 rad_eap
aaa 授权 exec 默认本地
！
！
！
！
！
aaa 会话 ID 通用
时钟时区 +0100 1 0
没有ip路由
没有ip cef
ip 域名 domain.local
ip 名称服务器 172.0.0.31
ip 名称服务器 172.0.0.30
ip 名称服务器 172.0.0.28
！
！
！
没有 dot11 系统日志
！
dot11 ssid WLAN-SSID
   VLAN 100
   身份验证 open eap eap_methods
   身份验证密钥管理 wpa 版本 2
   mbssid 访客模式
！
！
电源内联协商预标准源
加密 pki 令牌默认删除超时 0
！
！
桥 irb
！
！
！
接口 Dot11Radio0
 没有IP地址
 没有 ip 路由缓存
 ！
 加密 vlan 100 模式密码 aes-ccm
 ！
 加密模式密码 aes-ccm
 ！
 加密 vlan 200 模式密码 aes-ccm
 ！
 ssid WLAN-SSID
 ！
 天线增益 0
 stbc
 波束成形
 mbssid
 站角色根
 桥组 1
 桥接组 1 用户环路控制
 桥接组 1 跨越禁用
 桥组 1 块未知源
 无桥接组 1 源学习
 无网桥组 1 单播泛洪
！
接口 Dot11Radio0.100
 封装dot1Q 100
 没有 ip 路由缓存
 桥组 100
 桥接组 100 用户环路控制
 桥接组 100 跨越禁用
 桥接组 100 块未知源
 无桥接组 100 源学习
 无网桥组 100 单播泛洪
！
接口 Dot11Radio0.200
 封装dot1Q 200
 没有 ip 路由缓存
 桥组 200
 桥接组 200 用户环路控制
 桥接组 200 跨越禁用
 桥接组 200 块未知源
 no bridge-group 200 源码学习
 无网桥组 200 单播泛洪
！
接口 Dot11Radio1
 没有IP地址
 没有 ip 路由缓存
 ！
 加密 vlan 100 模式密码 aes-ccm
 ！
 加密模式密码 aes-ccm
 ！
 加密 vlan 200 模式密码 aes-ccm
 ！
 ssid WLAN-SSID
 ！
 天线增益 -128
 没有 dfs 带块
 stbc
 波束成形
 mbssid
 通道 dfs
 站角色根
 桥组 1
 桥接组 1 用户环路控制
 桥接组 1 跨越禁用
 桥组 1 块未知源
 无桥接组 1 源学习
 无网桥组 1 单播泛洪
！
接口 Dot11Radio1.100
 封装dot1Q 100
 没有 ip 路由缓存
 桥组 100
 桥接组 100 用户环路控制
 桥接组 100 跨越禁用
 桥接组 100 块未知源
 无桥接组 100 源学习
 无网桥组 100 单播泛洪
！
接口 Dot11Radio1.200
 封装dot1Q 200
 没有 ip 路由缓存
 桥组 200
 桥接组 200 用户环路控制
 桥接组 200 跨越禁用
 桥接组 200 块未知源
 no bridge-group 200 源码学习
 无网桥组 200 单播泛洪
！
接口千兆以太网0
 没有IP地址
 没有 ip 路由缓存
 双工自动
 速度自动
 桥组 1
 桥接组 1 跨越禁用
 无桥接组 1 源学习
！
接口千兆以太网0.100
 封装dot1Q 100
 没有 ip 路由缓存
 桥组 100
 桥接组 100 跨越禁用
 无桥接组 100 源学习
！
接口千兆以太网0.200
 封装dot1Q 200
 没有 ip 路由缓存
 桥组 200
 桥接组 200 跨越禁用
 no bridge-group 200 源码学习
！
接口 BVI1
 IP 地址 172.0.10.5 255.255.255.0
 没有 ip 路由缓存
！
接口 BVI100
 ip地址dhcp
 没有 ip 路由缓存
！
接口 BVI200
 ip地址dhcp
 没有 ip 路由缓存
！
ip 默认网关 172.0.10.250
ip 转发协议 nd
ip http服务器
ip http 认证 aaa
没有 ip http 安全服务器
ip http 帮助路径 http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip 半径源接口 BVI1
！
半径服务器主机 172.0.0.30 密钥 *******
！
网桥 1 路由 ip
！
！
！
线路连接 0
线 vty 0 4
 运输输入全部
！
sntp 广播客户端
结尾