SophosAP配置管理网段和LAN网络和结合AD域认证操作步骤

为了规范公司网络，让公司网络更加安全，需要对AP的无线访问点做账号密码登录限制，外来人员连接的时候不能直接访问公司内部服务器和电脑直接上互联网。单独为外来人员做guest访问点，只有上网的权限，无法访问公司内部电脑和服务器，做到网络隔离实现安全。

首先第一步需要配置防火墙

1.登录Sophos防火墙后，打开左侧的身份验证选项，第一项服务器，点击添加，这里我已经添加了两个域控制器的信息，域控制器的配置可以参考怎么搭建域控制器。

2.添加域控所需要的信息。

测试连接，连接成功。

3.选择服务这个选项，勾选刚刚添加的ad服务器，和防火墙关联认证，点击应用。

4.Web身份验证，配置，默认配置。
打开网页-在新的浏览器窗口中，意思是当用户连接到WiFi后会自动弹出认证界面，在浏览器的新窗口弹出。
注销用户-用户处于非互动状态时-考虑用户活动状态所需的数据流-100字节，3分钟后没有活动会需要重新认证。

或者自定义门户网站的外观。

5.接下来配置lan用户的访问权限，放行LAN口的AD SSO
和强制门户还有User portal权限。

6.配置访问规则和策略，勾选匹配已知用户和对未知用户使用web身份验证，还有配置需要认证的源网络网段，当这个网段访问目的地的时候，就会弹出强制门户让用户名和密码认证。


7.需要单独写一条策略放行DNS服务，因为连上后没有认证之前没有访问网络的权限也无法解析域服务器，首先放行一下dns服务。

8.最后写一条SNAT放行指定的网络访问互联网。

9.配置一下AP访问点，AP设备使用vlan22，用户连接访问点使用23-24vlan，在交换机一侧配置dhcp，ap设备获取vlan22网段的地址，用户连上接入点后获取23-24vlan网段的地址。打上vlan标签，对侧交换机连接ap的接口配置trunk允许vlan通过或者全部放行。

10.公司内部员工使用的vlanid

外来访客使用的vlanid

11.接下来就配置完毕，当连接WiFi的时候就会自动弹出认证的界面输入账号密码后就能直接上网了。

如果电脑已经加入了域之后，当连接上WiFi后会自动关联域账号密码，不需要再次输入。就能直接上网了。~