如何使用AP控制器做802.1X MAC動態認證

Zyxel小編 Koda

需求:

連上WIFI要RADIUSMAC認證，並做到動態VLAN分配

架構圖

防火牆同時是AP控制器

網段:
設備管理網段 Vlan1:192.168.1.0/24
內部人員網段 Vlan10:192.168.10.0/24
訪客網段 Vlan20:192.168.20.0/24

RADIU SERVER設定

設定>物件>AAA伺服器>RADIUS輸入SERVER IP位址，認證PORT，認證金鑰

設定>物件>認證方式>新增自訂名稱，選擇RADIUS組合認證方式

SSID設定

設定>物件>AP設定組合>SSID>安全清單>新增安全模式選擇OPEN，請勾選下方MAC認證，認證模式選剛剛建立的RADIUS認證，根據到時候要建立MAC帳密格式，選擇符號與大小寫，範例為沒分隔符號及小寫文字。

設定>物件>AP設定組合>SSID>SSID清單>新增建立新SSID，建議設定組合名稱與SSID名稱相同，再套用AP時是較容易分辨，安全性組合請選擇剛剛設定的安全清單，下方設定預設就好。

設定>無線>AP管理>AP群組>選擇要設定的群組>套用在RADIO 1&2 上
將設定好的SSID套用到AP群組，讓AP發送SSID廣播

Windows Server設定

由於Windows Server預設會有帳密的安全性原則，所以無法直接用MAC設定帳密，請先到群組原則管理，更改停用AD網域的密碼複雜性。

請先新增AD使用者，並將帳密輸入MAC，分類到VLAN群組(依照不同VLAN使用者創立不同群組)注意:MAC格式請依照控制器設定格式

架設RADIUS Server(示範:Server 2019)

使用新增腳色及功能精靈

選擇網路原則與存取服務，按下一步完成安裝

一旦完成安裝後，由「伺服器管理員」工具的「管理」選單上選取並啟動
「網路原則伺服器」

對NPS本機右鍵將現有AD目錄加入伺服器(圖片為已加入過所以顯示灰色)

選擇802.1X 無線或有線連線的RADIUS伺服器

選擇連線類型

選擇新增RADIUS用戶端，請輸入防火牆IP ，並設定共用密碼

選取PEAP驗證類型

選取使用者群組，這邊匯入AD成功的話，可以成功選取AD目錄的網域使用者群組(AD目錄需要事先架設好使用群組與使用者)，匯入VLAN的使用人群組。

選擇群組成功後會出現在圖示中，失敗會出現像下圖情況(請重新嘗試或修改群組名稱)

如果不用設定流量，將剩餘步驟按下一步即可完成

修改參數原則>網路原則>選取創立的原則>設定>RADIUS屬性，
改成以下參數Tunnel-Pv4-Group-ID 改成你所要認證通過的VLAN ID。

一個網路原則群組，只能一組VLAN，所以要認證後多組VLAN，必須先在AD目錄設定好並新增在網路原則中。例如示範:新增VLAN20網路原則，套入VLAN20群組及參數。

注意事項:

SWITCH Uplink&AP連接Port，須為TRUNK或帶TAG，讓AP Client可以成功取得IP

範例防火牆發放VLAN10/20 DHCP IP那SWITCH必須讓VLAN10/20帶到AP上