無線認證伺服器的搭建

① Radius 伺服器搭建教程

Radius伺服器搭建教程：

一、AD域伺服器搭建 添加角色與功能：在Windows Server 2016中，選擇添加角色與功能，並選中AD認證服務，基本配置保持默認。 加密選項：根據實際需求調整加密選項，一般情況下默認設置即可滿足需求。 證書管理：通過運行欄輸入「mmc」啟動管理控制台，添加證書管理單元，選擇計算機賬戶並領取證書。

二、CA伺服器搭建 添加角色與功能：在伺服器中添加網路策略與訪問服務角色。 配置NPS：選擇本地NPS與無線撥號服務，並完成802.1X連接配置。 設置Radius客戶端：配置Radius客戶端的友好名稱、AC控制器地址以及共享密鑰，確保與AC保持一致。 啟用EAP：啟用身份驗證設施EAP。 注冊設置：確保伺服器在AD中注冊，如未自動加入ras組，需手動添加。

三、安裝與配置NPS服務 添加NPS服務：通過添加角色與功能選擇NPS服務，並確保網路策略與訪問服務正常運行。 配置NPS：選擇網路策略伺服器，配置本地NPS與無線撥號，並完成802.1X連接配置。 Radius客戶端設置：設置Radius客戶端的友好名稱、AC控制器地址、共享密鑰等信息。 啟用EAP：啟用EAP身份驗證設施，並選擇域用戶組作為認證對象。 注冊設置：確保伺服器在AD中成功注冊。

四、Radius與Cisco AC聯動 配置通訊參數：在Cisco AC控制器上配置與Radius伺服器之間的通訊參數，包括伺服器地址、共享密鑰等。 測試聯動：確保Cisco AC控制器能夠正確接收並處理Radius請求，實現無線接入點的集中管理與策略控制。

通過以上步驟，您可以在Windows Server 2016環境下成功搭建Radius伺服器，並與Cisco AC控制器實現聯動，從而構建一個高效、安全的無線網路管理架構。

② 如何搭建校園無線網路Radius認證伺服器的搭建

RADIUS（遠程用戶撥號認證服務）伺服器提供認證（Authentication）、授權（Authorization）和審計（Accounting）功能，即所謂的3A功能。審計也稱為「記賬」或「計費」。RADIUS協議基於客戶機/伺服器（C/S）模式運行。網路接入伺服器（NAS）作為RADIUS客戶端，負責將用戶的驗證信息傳輸給指定的RADIUS伺服器，並處理返回的響應。

搭建RADIUS伺服器的過程涉及多個步驟。當用戶接入NAS時，NAS會使用Access-Require數據包向RADIUS伺服器提交用戶信息，包括用戶名和密碼。用戶密碼通常採用MD5加密方式處理，雙方通過共享密鑰進行通信，該密鑰不通過網路傳輸。RADIUS伺服器驗證用戶提供的信息，必要時可發出Challenge要求進一步認證，也可對NAS進行認證。如果信息合法，RADIUS伺服器將返回Access-Accept數據包，允許用戶繼續進行下一步操作；若信息不合法，則返回Access-Reject數據包，拒絕用戶訪問。允許訪問後，NAS會向RADIUS伺服器發送Account-Require請求以啟動計費，RADIUS伺服器隨後返回Account-Accept數據包，使計費過程得以開始。

RADIUS協議還支持代理和漫遊功能。代理是指一台伺服器可以作為其他RADIUS伺服器的代理，負責轉發認證和計費數據包。漫遊功能是代理功能的具體應用，允許用戶通過非歸屬運營商的RADIUS伺服器進行認證，實現虛擬運營。RADIUS伺服器與NAS伺服器通過UDP協議進行通信，RADIUS伺服器的1812埠用於認證，1813埠用於計費。選擇UDP協議是因為NAS和RADIUS伺服器通常位於同一區域網內，使用UDP更加快捷方便，且UDP無連接特性減輕了RADIUS伺服器的壓力，提高了安全性。

RADIUS協議還規定了重傳機制。當NAS向某個RADIUS伺服器發送請求但未收到響應時，可以請求備份RADIUS伺服器重傳。由於存在多個備份RADIUS伺服器，NAS在重傳時可以採用輪詢方式。若備份RADIUS伺服器的密鑰與原RADIUS伺服器不同，則需要重新進行認證。