Announcement

**thanhsang_truong** · 05-02-2007, 04:39 PM

• Tạo User và password :
Giao diện chính của ACS:

Click vào nút User Setup để tạo user

Đặt tên user tuỳ chọn cho client sử dụng để truy cập. Nhấn vào nút Add/Edit để thêm vào cấu hình. Ta có thể add nhiều user tuỳ theo nhu cầu.

Đặt Password cho user vừa tạo. xong nhấn nút Submit để hoàn tất .
• Ngoài ra ta có thể thay đổi cấu hình mạng ban đầu đã thiết lập trong quá trình cài đặt hoặc thêm cấu hình tùy chọn. bằng cách nhấn vào nút Network Configuration.

Ta có thể tạo cấu hình tùy mục đích sử dụng ở đây. Sau khi tạo xong nhấn Submit+Restart để hoàn tất cài đặt.
Lưu ý : Phần mềm ACS đòi hỏi phải chạy trên môi trường Java. Do đó trước khi cài đặt yêu cầu phải cài Java Runtime Environmen.

**thanhsang_truong** · 05-02-2007, 04:45 PM

Sau khi setup ACS xong thì khi mở trình duyệt ACS vẫn chưa chạy. Khi đó ta chọn Tool > Internet Option > Security , chọn levlels Low để cho phép java start

2. Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet:

Thực hiện trên webpage:

• Đặt địa chỉ IP của PC trùng với địa chỉ của AP. Trường hợp này địa chỉ của AP là 192.168.1.254, ta đặt cho PC là 192.168.1.2
• Kết nối giữa PC với AP thông qua cáp thẳng
• Mở trình duyệt web lên, điền địa chỉ của AP là 192.168.1.254 vào thanh địa chỉ, màn hiện đăng nhập hiện ra yêu cầu nhập user name và password. mặc định user name là Cisco, Password là Cisco. Nhập xong nhấn OK

• Giao diện chính của AP

Chọn mục EXPRESS SECURITY để vào tạo cấu hình mới và bảo mật RADIUS

Chọn SSID là vnpro
Chon mục Broadcast SSID in Beacon để quản bá SSID của mình
Chọn mục EAP Authentication để bật tính năng xác thực RADIUS
Đặt IP của server là 192.168.1.1
Đặt Secrect key trùng với key của server pc
nhấn apply => hoàn tất cài đặt.

**thanhsang_truong** · 05-02-2007, 04:50 PM

Cấu hình bằng CLI:

• Vào mode config bật tính năng AAA
ap(config)# aaa new-model
• Định nghĩa AAA Server Groups
ap(config)#aaa group server radius rad_eap
ap(config-sg-radius)#server 192.168.1.1 auth-port 1645 acct-port 1646
• Cho phép xác thực trên RADIUS
ap(config)#aaa authentication login eap_methods group rad_eap
• Tạo SSID và cho phép SSID đó tham gia xác thực RADIUS, đồng thời quảng bá SSID đó qua ngoài
ap(config)#dot11 ssid ap1
ap(config-ssid)#authentication open eap eap_methods
ap(config-ssid)#authentication network-eap eap_methods
ap(config-ssid)#guest-mode
• Chỉ ra địa chỉ IP của server, port dùng để Authentication Request, port dùng để accounting request và key :
ap(config)# radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 123456
• Vào mode interface bât tính năng xác thực trên interface và cho phép quảng bá ssid ra interface này
ap(config)#interface dot11radio 0
ap(config-if)#encryption mode wep mandatory
ap(config-if)#ssid ap1
ap(config-if)#no shut
ap(config-if)#end
ap#wr

Cấu hình tham khảo:

ap#sh running-config
Building configuration...

Current configuration : 2430 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$EdQk$vBu/6AkF37mOFlG07co6i1
!
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.1.1 auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
aaa session-id common
!
dot11 ssid ap2
authentication open eap eap_methods
authentication network-eap eap_methods
guest-mode
!
power inline negotiation prestandard source
--More-- !
!
username Cisco password 7 047802150C2E
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode wep mandatory
!
ssid ap2
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
--More-- bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
--More-- duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.1.254 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779...onfig/help/eag
ip radius source-interface BVI1
!
radius-server host 10.0.0.2 auth-port 1645 acct-port 1646 key 7 1446405858517C
!
control-plane
!
bridge 1 route ip
--More-- !
!
!
line con 0
line vty 0 4
!
end

**thanhsang_truong** · 05-02-2007, 04:53 PM

3. kiểm tra kết nối :

- Trước khi cho PC tham gia vào mạng, bật tín năng xác thực trên trên card wireless

- Trên PC tạo kết nối với mạng có SSID là ap1 vừa được thiết lập.

- Click vào nút Add

Đặt tên SSID của mạng mà mình muốn kết nối, chọn kiểu xác thực là LEAP và đánh dấu chọn vào mục Prompt for user name and password . Nhấn OK

**thanhsang_truong** · 05-02-2007, 04:57 PM

1 kết nối được tạo ra với mạng có SSID là ap1. Để kết nối với mạng trên, ta click chuột phải và chọn conect. Khi đó server sẽ tiến hành xác thực và yêu cầu mình nhập user name và password.

Nếu client nhập sai user name và password thì sẽ không kết nối tới mạng được. khi đó trên màn hình CLI của AP sẽ báo Authentication Failed. Và bắt buộc client phải đăng nhập lại. sau khi nhập đúng user name và password thì sẽ kết nối được
Để kiểm tra kết nối ta sẽ tiến hành Ping tới server, đặt địa chỉ IP của client trùng lớp mạng với server.

=>ping thành công, kết nối hoàn tất.

**tranchungdt5** · 22-04-2007, 01:01 PM

Bác Sang ơi.
Bác đã thử Dynamic vlan chưa.
Nếu bác đã làm được rồi thì post hướng dẫn help em 1 phát.
Thanks

**Alpha5** · 29-04-2007, 03:43 PM

Sao tôi làm theo như vậy rồi mà vẫn không được nhỉ? ACS tự tạo user mà khi connect lại báo authen failed.
Đây là running-config của con Aironet 1240AG, bác nào xem hộ xem sai ở đâu?

!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname AP1.1
!
enable secret 5 $1$IPRa$/ww8rCOW3daaKFnuKWtc51
!
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.10.12 auth-port 1645 acct-port 1646
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
aaa session-id common
!
dot11 ssid ap1
authentication open eap eap_methods
authentication network-eap eap_methods
guest-mode
!
power inline negotiation injector 0015.63a9.06c1
!
!
username Cisco password 7 106D000A0618
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode wep mandatory
!
ssid ap1
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
channel 2412
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
!
encryption key 1 size 40bit 7 92BFC72E79AE transmit-key
encryption mode wep mandatory
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
speed auto
full-duplex
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.11.1
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779...onfig/help/eag
ip radius source-interface BVI1
!
snmp-server community communitydefault RW
radius-server attribute 32 include-in-access-req format %h
radius-server host 192.168.10.12 auth-port 1645 acct-port 1646 key 7 08701E1D5D4C53404A52
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
!
end

**titanevn** · 01-05-2007, 11:18 AM

Bài viết này hay đấy,

các bạn có thể mở rộng ra cho các AP khác và các kiểu chứng thực khác được không nhỉ? :)

**thanhtt** · 11-06-2007, 07:50 PM

Cho em link down Cisco Secure ACS 3.2 với

**thanhtt** · 11-06-2007, 07:56 PM

Cho em link down Cisco Secure ACS 3.2 với

**camaptrang** · 13-06-2007, 12:22 PM

Originally posted by titanevn View Post

Bài viết này hay đấy,

các bạn có thể mở rộng ra cho các AP khác và các kiểu chứng thực khác được không nhỉ? :)

Đúng đấy , bởi đồ cisco là hàng hiếm với anh em quá. còn hiện Cisco Secure ACS 3.2 (v40 thì to quá) tớ sẽ up vô itexpert.org ... nhưng mà chưa làm đủ 9 bài nên chưa up vô được .... hè hè hè (chắc đành gửi email cho bác Tuấn thôi)
Bạn Thanhtt có thể down ACS 3.2 từ link này :

http://www.live-share.com/files/2268...erver.zip.html

**thanhtt** · 20-06-2007, 12:24 AM

Cảm ơn bác cá mập nhiều.
Em down được rồi.

**quyvo_bro** · 30-06-2007, 04:37 PM

phần mềm Cisco Secure ACS có phải mua bản quyền ko?

nếu ko dùng ACS mà tự dụng Radius Server trên Win 2003 thì có được ko vậy? Nếu đã có sẵn user trên AD (Active Directory) thì làm sao sử dụng các user này để đăng nhập vào mạng wireless thông qua sát thực của Radius server. cần fải cấu hình những gì trên Radius Server. Bác nào biết chỉ dùm?

thx!!!

**hoannx** · 14-09-2007, 03:47 PM

Acs

Hi all
Mình thấy chủ đề này rất hay đó. Lúc trước triển khai mình có đọc tài liệu của ACS nhưng mà thời gian gấp quá nên không làm được nhiều còn nhiều chức năng vẫn chưa thử được.
Nếu minh dùng cơ sở dữ liệu của AD thì phải cấu hình như thế nào nhỉ, và nếu mình tạo profile cho mỗi User khác nhau thì khác nhau thì mình cấu hình như thế nào?
Thanks

Announcement

Cấu hình xác thực bằng RADIUS server :

Cấu hình xác thực bằng RADIUS server :

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment