Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cấu hình Wireless Cisco- Lab 2 (XÁC THỰC DOT1X DÙNG KIỂU LEAP)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Cấu hình Wireless Cisco- Lab 2 (XÁC THỰC DOT1X DÙNG KIỂU LEAP)

    LAB 2 – XÁC THỰC DOT1X DÙNG KIỂU LEAP

    Yêu cầu:
    Bài lab này mô tả cách xác thực dot1x dùng cơ chế LEAP, các thiết bị dùng trong bài bao gồm ACS của Cisco, wireless client adapter của Cisco, WLAN Controller và Lightweight Access Point.

    Sơ đồ


    IP của int wlan-controller là 192.168.99.254


    Thực hiện
    Cấu hình cơ bản trên router:
    C2811#sh run
    Building configuration...

    version 12.4
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname abc
    !
    boot-start-marker
    boot-end-marker
    !
    security authentication failure rate 5 log
    enable secret 5 $1$QgGG$mjteEFA5x1onr2X3kuDp50
    !
    aaa session-id common
    !
    !
    ip cef
    no ip dhcp use vrf connected
    ip dhcp excluded-address 192.168.100.1
    ip dhcp excluded-address 10.10.10.1 10.10.10.100
    ip dhcp excluded-address 192.168.2.1
    ip dhcp excluded-address 192.168.2.254
    !
    ip dhcp pool 192.168.100.0
    network 192.168.100.0 255.255.255.0
    default-router 192.168.100.1
    option 43 ip 192.168.99.24
    !
    ip dhcp pool 10
    network 10.10.10.0 255.255.255.0
    default-router 10.10.10.1
    !
    ip dhcp pool vlan2
    network 192.168.2.0 255.255.255.0
    default-router 192.168.2.254
    !
    multilink bundle-name authenticated
    !
    username admin password 0 admin
    !
    interface FastEthernet0/0
    ip address 10.10.10.1 255.255.255.0
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address 192.168.100.1 255.255.255.0
    ip virtual-reassembly
    duplex auto
    speed auto
    !
    interface Serial0/0/0
    no ip address
    shutdown
    clock rate 2000000
    !
    interface Serial0/0/1
    no ip address
    shutdown
    clock rate 2000000
    !
    interface wlan-controller1/0
    no ip addresss
    shutdown
    !
    !
    control-plane
    !
    line con 0
    exec-timeout 0 0
    logging synchronous
    line aux 0
    line vty 4
    !
    !
    scheduler allocate 20000 1000
    !
    End

    Trước khi thực hiện bài lab này yêu cầu cài đặt thành công phần mềm ACS trên server làm vai trò máy chủ xác thực


    Bước 1: cấu hình cơ bản router 2811 và WLC module

    Cấu hình địa chỉ IP trên interface W1/0 của Router 2811

    c2811#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    c2811(config)#
    c2811(config)#interface wlan-controller 1/0
    c2811(config-if)#ip address 192.168.99.254 255.255.255.0
    c2811(config-if)#no shut
    c2811(config-if)#end

    Truy cập vào WLC module từ Router 2811

    c2811#service-module wlan-controller 1/0 session
    Trying 192.168.99.254, 2066 ... Open


    Cấu hình WLC từ chế độ SETUP MODE như sau


    #################Cisco Controller


    Welcome to the Cisco Wizard Configuration ToolUse the '-' character to backupSystem Name [Cisco_ff:f6:a0]: NMWLCEnter Administrative User Name (24 characters max): ciscoEnter Administrative Password (24 characters max): cisco Management Interface IP Address: 192.168.99.24Management Interface Netmask: 255.255.255.0Management Interface Default Router: 192.168.99.254 Management Interface VLAN Identifier (0 = untagged): 0Management Interface Port Num [1]: 1Management Interface DHCP Server IP Address: 192.168.99.24 AP Manager Interface IP Address: 192.168.99.25 AP-Manager is on Management subnet, using same valuesAP Manager Interface DHCP Server (192.168.99.24): 192.168.99.24 Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: mg1 Network Name (SSID): wl15Allow Static IP Addresses [YES][no]: no Configure a RADIUS Server now? [YES][no]: noWarning! The default WLAN security policy requires a RADIUS server.Please see documentation for more details. Enter Country Code (enter 'help' for a list of countries) [US]: US Enable 802.11b Network [YES][no]: YESEnable 802.11a Network [YES][no]: YESEnable 802.11g Network [YES][no]: YESEnable Auto-RF [YES][no]: noConfiguration saved!Resetting system with new configuration...
    Sau khi khởi động lại WLC

    a. Sau khi WLC khởi động xong, truy cập vào WLC từ Router 2811, nhập username cisco và password cisco để vào WLC
    b. Để quay trở lại router 2811, nhấn tổ hợp phím ctrl+shift+6 thả ra và nhấn tiếp phím x
    c. Kiểm tra đảm bảo Router có thể ping thấy WLC module

    c2811#ping 192.168.99.24
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.99.24, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
    c2811#service-module wlan-controller 1/0 session
    Trying 192.168.99.254, 2066 ... Open


    d. Test PC1 ping WLC module. Tai PC ping 192.168.99.24 (xem file cau hinh Router2k8)

    Ghi chú: cần đồng bộ thời gian giữa WLC module và router 2811, trong trường hợp này router 2811 sẽ được cấu hình trở thành bộ đồng bộ thời gian chính (source clock)

    C2811#conf t
    C2811(config)#ntp master 2

    Bước 2: Dùng PC cấu hình WLC bằng https

    Truy cập vào WLC bằng web, dùng firefox hoặc IE nhập vào https://192.168.99.24

    Chọn Login, nhập username: cisco, password: cisco ( username và password cấu hình trong bước 1)


    Cấu hình đồng bộ thời gian cho WLC với R2811



    Chọn New để khai báo server thời gian mới, cần cấu hình trên router 2811 là thiết bị cấp thời gian clock chủ đạo dùng câu lệnh: R2811(config)#ntp master 2





    Chọn Apply



    Khi LWAP bật lên sẽ được nhận địa chỉ IP từ Router 2811 cùng với option 43 chỉ sự tồn tại của WLAN Controller, quá trình đăng ký sẽ tự động thực hiện.

    Khi quá trình đăng ký thành công thì trên WLC sẽ có kết quả như sau, chú ý cột Operational Status có trạng thái REG chính là registered.



    Cấu hình các thông số cho Wireless Client

    - Chọn Controller > Interfaces > New


    Nhập tên Interface và VLAN (trong trường hợp này giả định wireless client dùng vlan2 có địa chỉ mạng 192.168.2.0/24) sau đó click Apply

    Cửa sổ này sẽ xuất hiện sau khi đã nhập vào tên Interface và VLAN
    Nhập địa chỉ IP (địa chỉ này đại diện một giao tiếp trên thiết bị WLC), Netmask, Gateway và địa chỉ IP của DHCP Server, click Apply



    Kiểm tra lại cấu hình
    Kết quả thu được




    - Click WLANs tab trên thanh menu ở góc trên cửa sổ, và click New…
    - Nhập vào service set identifier (SSID) và click Apply.
    Trong ví dụ này, ta nhập vào SSID tên là vlan2
    - Chọn vlan2 từ thanh thực đơn Interface Name ở cuối cửa sổ, và click Apply.
    - Trong trường hợp này, SSID vlan2 được kết hợp với Interface Name vlan2










    Trên router 2811, cấu hình thêm cổng phục vụ cho lớp mạng 192.168.2.0/24 qua vlan 2 đồng thời cấu hình dhcp server cho lớp mạng này

    R1(config)# interface wlan-controller1/0.2
    R1(config-subif)# encapsulation dot1Q 2
    R1(config-subif)# ip address 192.168.2.254 255.255.255.0

    Cấu hình dhcp server trên router cấp địa chỉ động cho lớp mạng 192.168.2.0/24
    C2811#conf t
    C2811(config)#ip dhcp pool vlan2
    C2811(config-dhcp)# network 192.168.2.0 255.255.255.0
    C2811(config-dhcp)# default-router 192.168.2.254
    Bước 3: Cấu hình các tham số xác thực dot1x trên WLC

    Chọn Security à New




    Khai bao sự tồn tại của ACS server (đóng vai trò máy chủ xác thực Radius)





    Chọn Apply,



    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

  • #2
    Cấu hình xác thực LEAP
    Vào WLAN để chọn kiểu xác thực, dùng edit để chỉnh sửa thông tin của SSID vlan2



    Chọn 802.1X trong phần Layer 2 security




    Trong phần server chọn 10.10.10.3




    Nhấn Apply, nếu có câu hiển thị thông báo các client đang kết nối sẽ bị đứt kết nối chọn OK.
    Quan sát kết quả

    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment


    • #3

      Cấu hình trên ACS hỗ trợ xác thực bằng LEAP

      Truy nhập vào đường liên kết cấu hình ACS





      Tạo thêm tài khoản người dùng mới



      Username cisco



      Password: cisco123 à chọn submit







      Khai báo sự tồn tại của WLC trên ACS




      Chọn Submit + Apply và xem kết quả




      Khai báo kiểu xác thực LEAP trên ACS

      Chọn system configuration à Global authentication setup

      Chọn check box LEAP để kích hoạt LEAP



      Cấu hình client quy định xác thực kiểu LEAP
      Khởi tạo chương trình Cisco Aironet Desktop Utility





      Chọn Scan để tìm SSID vlan2




      Chọn vlan 2à activate




      Điền thông tin để tạo profile mới




      Vào tab security




      Chon 802.1x type LEAP, chọn configure



      Điền thông tin




      Điền thông tin username và password, nhấn ok, OK




      Kết quả



      Kết nối thành công



      Kiểm tra kết quả





      Ping kiểm tra kết quả

      Phạm Minh Tuấn

      Email : phamminhtuan@vnpro.org
      Yahoo : phamminhtuan_vnpro
      -----------------------------------------------------------------------------------------------
      Trung Tâm Tin Học VnPro
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel : (08) 35124257 (5 lines)
      Fax: (08) 35124314

      Home page: http://www.vnpro.vn
      Support Forum: http://www.vnpro.org
      - Chuyên đào tạo quản trị mạng và hạ tầng Internet
      - Phát hành sách chuyên môn
      - Tư vấn và tuyển dụng nhân sự IT
      - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

      Network channel: http://www.dancisco.com
      Blog: http://www.vnpro.org/blog

      Comment

      Working...
      X