客户要求：华为的AR1220路由器（带AC功能）+ AP3030DN做的Wifi覆盖，需要使用windows Server 2019配置Radius服务器作为认证方式。

本文是基于ad域，搭建ad域过程略，需要的朋友可以参考笔者以前的文章。

1、安装ad cs证书

点击添加角色和功能

 

 

点击下一步

 

 

 

勾选Active Directory证书服务

 

 

点击添加功能

 

 

点击下一步

 

 

如下图勾选，点击下一步

 

 

 

默认选择，点击下一步

 

 

如下图打钩，点击安装

 

 

等待安装完成，点击关闭。

 

 

如图点击小旗帜

 

 

点击配置证书

 

 

 

如图勾选，点击下一步。

 

 

选择企业根，点击下一步

 

 

 

选择创建新的私钥

 

 

默认设置

 

 

点击下一步

 

 

默认设置5年

 

 

 

最后点击配置

 

2、安装nps

选择服务器角色->网络策略和访问服务->然后下一步

 

 

 

 

 

安装完点击关闭

 

 

3、为nps服务器申请ad计算机证书

Win+r，然后输出

 

 

 

点击证书颁发机构->证书模板->管理

 

 

 

选择计算机证书，右键安全属性然后如下图显示，注册打钩

 

 

 

点击确定后，退出。然后win+r输入mmc

 

 

 

点击文件->添加删除管理单元

 

 

 

选择证书->点击添加->选择计算机用户->点击下一步

 

 

点击完成。

 

 

 

退回证书控制台主界面，点击证书->个人->右键所有任务->申请新证书

 

 

 

点击下一步，然后只勾选计算机，点击注册

 

 

 

4、基于向导创建NPS初始化配置

如图选择网络策略服务器

 

 

 

选择802.1x无线或有线链接的RADIUS认证

 

 

 

添加Radius客户端

 

 

 

选择受保护的eap，点击下一步。

 

 

点击添加

 

 

点击下一步

 

 

点击完成

 

 

 

右键NPS->在Active directory中注册服务器，设置完毕。

 

 

5、华为ac设置

点击ip业务，点击dhcp，新建一个wlanif888，用作之后无线热点的网段，注意DNS指定为服务器（winsever2019的地址）的ip地址：192.168.10.12。

 

 

 

点击主界面安全->AAA->RADIUS设置。新建RADIUS服务器模板，设定模板名字chen，密码与winsever2019 radius共享密码一样，选择包含域名，主备模式。点击确定；

 

 

 

然后新建授权服务器，模板选择刚才新建的chen，ip填写winsever2019的ip地址，密码与服务器密码一致，最后点击确定。

 

 

 

然后点击右边的域设置，如下图设置：

 

 

 

进入路由器主界面，点击右边wlan ac选项

 

 

 

点击无线管理->无线业务配置

 

 

 

如下图所示：SSID名称输入自己设置的无线网络名称；业务wlan设置之前的wlanif888网段，例如ip地址：192.168.18.1；子网掩码设置255.255.255.0；安全策略选择wpa-wpa2；输入设置的密码和确认设置的密码；选择生成的ap选择加入的ap，最后点击添加。

 

 

 

退回ac web主页，点击ap管理

 

 

 

然后点击模板管理，如图点击无线业务->VAP模板->点击刚才设置的无线网，然后将设置界面右边的转发模式改成隧道转发。此时先连接下无线网，测试一下无线网连接后是否可以上网，正常是可以上网的。

 

 

 

此步骤后，接下来点击安全模板，如下图设置认证方式改成Dot1x。

 

 

 

然后点击认证模板，认证模板选择之前aaa界面 radius设置的模板。分别选定802.1x模板和域模板。分别点击应用

 

 

 

最后退回路由器主界面，如下图点击ip业务->DNS，新建DNS服务器配置列表，添加winsever服务器的dns地址。*利用xshell进路由器ping一下此dns地址，如果不通或者解析为外网，则重启路由器。

 

 

 

——笔者为网络工程师，擅长计算机网络领域，创业多年，希望把自己的经验分享给大家，觉得有用的，可以关注、点赞、转发，如有相同或者不同观点，欢迎评论。