Cấu hình RADIUS server để xác thực người dùng nội bộ truy cập mạng wifi

Trong bài viết này, người dùng được quản lý và xác thực thông qua Microsoft Active Directory. Tức là chỉ cần người dùng đăng nhập vào hệ thống, là có thể truy cập được các tài nguyên mà họ được cấp quyền.

Khai báo RADIUS như sau: Security ->AAA -> RADIUS -> Authentication và click New. Khai báo IP của RADIUS server và shared secret password.



Thay đổi Authe Called Station ID Type đến giá trị là IP Address cho RADIUS Authentication Servers.



Cấu hình các thông tin IP address và Shared secrete password cho Accounting Server. Các trường khác để nguyên giá trị mặc định.


Chúng ta có thể tạo các tài khoản đăng nhập hệ thống mạng wifi cho khách hàng ở thẻ Security --> AAA --> TACACS+ --> Local Net Users. Chú ý chọn interface là visitor cho WLAN Profile.

Các tài khoản được tạo ở đây tồn tại liên tục, để tạo tài khoản cho khách hàng hết hạn sau một khoảng thời gian được khai báo, tài khoản cần được tạo bởi Lobby Admin, sẽ được trình bay sau trong hướng dẫn này.

Tạo SSID cho Employees

Để tạo Employees SSID, làm theo các bước sau: WLANs --> WLANs, sau đó click Create New. Khai báo tên cho SSID. Chú ý chọn đúng Interface Group cho SSID.


Tạo SSID cho Visitors
Hầu hết giống như tạo SSID cho Employee ở trên, tuy nhiên, cần đặt biệt chú ý các điểm khác chỉ ra bên dưới.

Tạo SSID và gán visitor Interface Groups cho SSID này


Chọn None cho Layer 2 security và Web Policy/Authentication for Layer 3. Disable Authentication và Accounting servers ở AAA.




Để an toàn hơn, chúng ta ép buộc đối tượng người dùng khách hàng phải sử dụng IP được cấp phát từ WLC. Không cho phép IP tĩnh do người dùng khai báo trên thiết bị.



Đến đây, việc thiết lập hệ thống mạng wifi đã được hoàn tất.