Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lab 4 – dùng cơ chế bảo mật wpa cùng cơ chế xác thực dot1x dùng kiểu peap

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Lab 4 – dùng cơ chế bảo mật wpa cùng cơ chế xác thực dot1x dùng kiểu peap

    LAB 4 – DÙNG CƠ CHẾ BẢO MẬT WPA CÙNG CƠ CHẾ XÁC THỰC DOT1X DÙNG KIỂU PEAP

    Mô tả:
    Bài lab này mô tả cách sử dụng WPA trong bảo mật mạng wireless cùng cơ chế xác thực dot1x dùng cơ chế PEAP, các thiết bị dùng trong bài bao gồm ACS của Cisco, wireless client adapter chạy trên hệ điều hành WINXP service pack 3, WLAN Controller và Lightweight Access Point.

    Sơ đồ


    Thực hiện
    Cấu hình cơ bản trên router:
    C2811#sh run
    Building configuration...

    version 12.4
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname c2811
    !
    boot-start-marker
    boot-end-marker
    !
    security authentication failure rate 5 log
    enable secret 5 $1$QgGG$mjteEFA5x1onr2X3kuDp50
    !
    aaa session-id common
    !
    !
    ip cef
    no ip dhcp use vrf connected
    ip dhcp excluded-address 192.168.100.1
    ip dhcp excluded-address 10.10.10.1 10.10.10.100
    ip dhcp excluded-address 192.168.2.1
    ip dhcp excluded-address 192.168.2.254
    !
    ip dhcp pool 192.168.100.0
    network 192.168.100.0 255.255.255.0
    default-router 192.168.100.1
    option 43 ip 192.168.99.24
    !
    ip dhcp pool 10
    network 10.10.10.0 255.255.255.0
    default-router 10.10.10.1
    !
    ip dhcp pool vlan2
    network 192.168.2.0 255.255.255.0
    default-router 192.168.2.254
    !
    multilink bundle-name authenticated
    !
    username admin password 0 admin
    !
    interface FastEthernet0/0
    ip address 10.10.10.1 255.255.255.0
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address 192.168.100.1 255.255.255.0
    ip virtual-reassembly
    duplex auto
    speed auto
    !
    interface Serial0/0/0
    no ip address
    shutdown
    clock rate 2000000
    !
    interface Serial0/0/1
    no ip address
    shutdown
    clock rate 2000000
    !
    interface wlan-controller1/0
    no ip addresss
    shutdown
    !
    !
    control-plane
    !
    line con 0
    exec-timeout 0 0
    logging synchronous
    line aux 0
    line vty 4
    !
    !
    scheduler allocate 20000 1000
    !
    End

    Trước khi thực hiện bài lab này yêu cầu cài đặt thành công phần mềm ACS trên server làm vai trò máy chủ xác thực

    Bước 1: cấu hình cơ bản router 2811 và WLC module

    Cấu hình địa chỉ IP trên interface W1/0 của Router 2811

    c2811#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    c2811(config)#
    c2811(config)#interface wlan-controller 1/0
    c2811(config-if)#ip address 192.168.99.254 255.255.255.0
    c2811(config-if)#no shut
    c2811(config-if)#end

    Truy cập vào WLC module từ Router 2811

    c2811#service-module wlan-controller 1/0 session
    Trying 192.168.99.254, 2066 ... Open


    Cấu hình WLC từ chế độ SETUP MODE như sau

    Cisco Controller




    Welcome to the Cisco Wizard Configuration Tool
    Use the '-' character to backup
    System Name [Cisco_ff:f6:a0]: NMWLC
    Enter Administrative User Name (24 characters max): cisco
    Enter Administrative Password (24 characters max): cisco

    Management Interface IP Address: 192.168.99.24
    Management Interface Netmask: 255.255.255.0
    Management Interface Default Router: 192.168.99.254
    Management Interface VLAN Identifier (0 = untagged): 0
    Management Interface Port Num [1]: 1
    Management Interface DHCP Server IP Address: 192.168.99.24

    AP Manager Interface IP Address: 192.168.99.25

    AP-Manager is on Management subnet, using same values
    AP Manager Interface DHCP Server (192.168.99.24): 192.168.99.24

    Virtual Gateway IP Address: 1.1.1.1

    Mobility/RF Group Name: mg1

    Network Name (SSID): wl15
    Allow Static IP Addresses [YES][no]: no

    Configure a RADIUS Server now? [YES][no]: no
    Warning! The default WLAN security policy requires a RADIUS server.
    Please see documentation for more details.

    Enter Country Code (enter 'help' for a list of countries) [US]: US

    Enable 802.11b Network [YES][no]: YES
    Enable 802.11a Network [YES][no]: YES
    Enable 802.11g Network [YES][no]: YES
    Enable Auto-RF [YES][no]: no
    Configuration saved!Resetting system with new configuration...


    Sau khi khởi động lại WLC

    a. Sau khi WLC khởi động xong, truy cập vào WLC từ Router 2811, nhập username cisco và password cisco để vào WLC
    b. Để quay trở lại router 2811, nhấn tổ hợp phím ctrl+shift+6 thả ra và nhấn tiếp phím x
    c. Kiểm tra đảm bảo Router có thể ping thấy WLC module

    c2811#ping 192.168.99.24
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.99.24, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
    c2811#service-module wlan-controller 1/0 session
    Trying 192.168.99.254, 2066 ... Open


    d. Test PC1 ping WLC module. Tai PC ping 192.168.99.24 (xem file cau hinh Router2k8)

    Ghi chú: cần đồng bộ thời gian giữa WLC module và router 2811, trong trường hợp này router 2811 sẽ được cấu hình trở thành bộ đồng bộ thời gian chính (source clock)

    C2811#conf t
    C2811(config)#ntp master 2

    Bước 2: Dùng PC cấu hình WLC bằng https

    Truy cập vào WLC bằng web, dùng firefox hoặc IE nhập vào https://192.168.99.24







     Chọn Login, nhập username: cisco, password: cisco ( username và password cấu hình trong bước 1)


     Cấu hình đồng bộ thời gian cho WLC với R2811



     Chọn New để khai báo server thời gian mới, cần cấu hình trên router 2811 là thiết bị cấp thời gian clock chủ đạo dùng câu lệnh: R2811(config)#ntp master 2.





     Chọn Apply



     Khi LWAP bật lên sẽ được nhận địa chỉ IP từ Router 2811 cùng với option 43 chỉ sự tồn tại của WLAN Controller, quá trình đăng ký sẽ tự động thực hiện.

    Khi quá trình đăng ký thành công thì trên WLC sẽ có kết quả như sau, chú ý cột Operational Status có trạng thái REG chính là registered.




     Cấu hình các thông số cho Wireless Client

    - Chọn Controller > Interfaces > New


    Nhập tên Interface và VLAN (trong trường hợp này giả định wireless client dùng vlan2 có địa chỉ mạng 192.168.2.0/24) sau đó click Apply

     Cửa sổ này sẽ xuất hiện sau khi đã nhập vào tên Interface và VLAN
    Nhập địa chỉ IP (địa chỉ này đại diện một giao tiếp trên thiết bị WLC), Netmask, Gateway và địa chỉ IP của DHCP Server, click Apply













     Kiểm tra lại cấu hình
    Kết quả thu được
    Last edited by phamminhtuan; 14-06-2010, 08:52 PM.
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org    		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog
    Tags: None
  • #2
    - Click WLANs tab trên thanh menu ở góc trên cửa sổ, và click New…
    - Nhập vào service set identifier (SSID) và click Apply.
    Trong ví dụ này, ta nhập vào SSID tên là vlan2
    - Chọn vlan2 từ thanh thực đơn Interface Name ở cuối cửa sổ, và click Apply.

    Trong trường hợp này, SSID vlan2 được kết hợp với Interface Name vlan2








    Trên router 2811, cấu hình thêm cổng phục vụ cho lớp mạng 192.168.2.0/24 qua vlan 2 đồng thời cấu hình dhcp server cho lớp mạng này

    R1(config)# interface wlan-controller1/0.2
    R1(config-subif)# encapsulation dot1Q 2
    R1(config-subif)# ip address 192.168.2.254 255.255.255.0

    Cấu hình dhcp server trên router cấp địa chỉ động cho lớp mạng 192.168.2.0/24
    C2811#conf t
    C2811(config)#ip dhcp pool vlan2
    C2811(config-dhcp)# network 192.168.2.0 255.255.255.0
    C2811(config-dhcp)# default-router 192.168.2.254
    Bước 3: Cấu hình các tham số xác thực dot1x trên WLC
    Cấu hình khai báo sự tồn tại của Server Radius.
    Chọn Security à New




     Khai bao sự tồn tại của ACS server (đóng vai trò máy chủ xác thực Radius)



     Chọn Apply,



















    Cấu hình mô hình bảo mật WPA kết hợp cơ chế xác thực Dot1x dùng PEAP.

    Vào WLAN để chọn kiểu xác thực, dùng edit để chỉnh sửa thông tin tương ứng




     Chọn Layer 2 security dùng WPA, mặc định nếu không cấu hình xác thực preshare-key, cơ chế xác thực 802.1x sẽ được áp dụng. Khai báo thông tin của Radius server. Nhấn apply để hoàn tất cấu hình. Nếu có câu hiển thị thông báo các client đang kết nối sẽ bị đứt kết nối chọn OK.



     Cấu hình trên ACS hỗ trợ xác thực bằng PEAP

    Truy nhập vào đường liên kết cấu hình ACS





     Tạo thêm tài khoản người dùng mới



     Username cisco



     Password: cisco123 à chọn submit







     Khai báo sự tồn tại của WLC trên ACS




     Chọn Submit + Apply và xem kết quả

    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org    		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment

    Previous template Next
    Working...
    X