在使用了Mikrotik的RouterOS作为出口路由使用了相当一段时间之后,我彻底成为了ROS的粉丝,现在手里有一个x86的小机和一直RB750Gr3分别在家里和出租屋做出口路由。
虽然设备不多,管理员也就我一个,根本没有3A什么的出场的机会,只不过嘛,生命在于折腾,研究研究不是也很好嘛。
安装NAPS服务器并配置
首先,安装网络访问策略服务器(NAPS),这可以用来作为Radius服务器。通过服务器管理器添加角色与功能,一路下一步,在角色一页勾选上“网络策略与访问服务”,然后继续下一步直至安装完毕为止。我因为懒得卸掉重装,后面的就没继续截图了。
添加角色与功能 
没啥的,下一步 
直接下一步 
选择服务器 
勾选“网络策略与访问服务”
安装完NPS之后,就可以开始配置。当然,首先,是添加用户组,并将用户添加到组,顺便确认一下用户的拨入属性由NAPS控制。
MikrotikAdmin用户组 
把用户添加到组 
用户的拨入属性由NAPS指定
然后,去网络策略服务器,添加radius客户端。允许ROS使用NPS作为radius服务器。IP地址写ROS使用的源地址,机密随意只要和ROS设备上一样即可。
打开网络策略服务器 
添加Radius客户端
下一步是新建网络策略,填写策略名称之后,服务类型选择未指定。
填写用户组
然后下一步里面,指定匹配那个Mikrotik管理员组;这时候可以限定NAS标识符或者限定被叫站ID(前者默认是ROS的system identity,后者默认是radius客户端的IP地址)。
指定条件 
指定用户组 
只匹配MikrotikAdmin用户组 
限定NAS标识符 
匹配-Mikrotik- 
指定条件
选择匹配策略的授权访问。至于身份验证方法,暂时知道ROS使用的mschapv2,以后会不会改就不知道了。至于约束,默认下一步。
选择授权访问 
认证方法 
指定约束
到了配置设置的一步,把默认的两个标准删掉,手动添加Service-Type,值为Login,虽然默认的似乎也能用。
添加属性“Service-Type”,类型为Login 
只保留一个
然后就是精华所在:在“供应商特定”一项里面,手动添加一个属性,属性是Vendor-Specific,添加。添加一个属性,供应商为“14988”,符合RFC规格,然后配置属性。供应商分配的属性号为3,属性格式为字符串,属性值就是用户组的名字。系统默认最高权限的组的名字是full,我这里填的就是full。
选择Vendor-Specific 
添加指定属性
然后禁用BAP(因为感觉没什么乱用,似乎不禁用也行),下一步,完成。Windows Server这边就OK了。
引用BAP 
保存
配置ROS
首先,选好ROS的系统名称,保证能够匹配到NAPS上的那个过滤策略。
然后,在ROS上配置Radius客户端。Service选择login就行,address填NAPS的地址,Secret就是刚才在NAPS添加Radius客户端的机密,同时,建议指定一下源地址,特别是ROS有多个接口IP地址的时候。
下一步,在system-users中启用AAA登录,Default Group选择最低权限的一个,那就行了。
最后验证一下,大功告成!
