Sau một thời gian thử tôi đã cấu hình được, chỉ đều không giống với Cisco chỉ cho lắm và cũng không cần dùng tới WLC.
Trên ACS tôi tạo 2 Network Access Profiles(NAP), mỗi NAP ứng với một SSID và truyền thông số cisco-av-pair là SSID cần kết nối trong Profile của mỗi NAP. Sau đó cho quyền của Group cần thiết vào trong mục Authorization của NAP, còn group khác thì denied là được.

cám ơn bạn trumso mình cũng đang làm cái này.

bạn cho mình hỏi cisco-av-pair khi chọn nó có 2 thông số là av-pair value và av-pair key.Vậy thông số này mình sẽ cấu hình như thế nào.Ví dụ mình có SSID là KTV-200-IT và wep:200200200A thì sẽ cấu hình thế nào

Trên ACS, bạn vào trong NAP rồi click vào tên profile bạn vừa tạo, trong đó có phần Advanced Filtering , trong phần này bạn chọn Attribute là 026/009/001, Operate là =,
Value là ssid, Av-pair-value là tên của SSID của bạn, rồi enter thêm vào.
Ví dụ của bạn thì av-pair-key là ssid, và av-pair-value là KTV-200-IT.
Lúc đó sẽ hiện ra như sau: [026/009/001]cisco-av-pair = ssid=KTV-200-IT
Thông số Key của WEP không cần gởi vào, vì bạn chứng thực dùng EAP-LEAP mà

thank you ban trumso.Nhung minh cung dang rat nhuc dau o cho.la tu client -> AP -> Switch (Core) <- ACS server (cai nay cung la pc).Nhu vay khi do minh co can cau hinh cai Switch va router ko ?.Tai vi cong ty co gan AP o duoi bo nha xuong nua.nen minh co can cau hinh AP va switch ko ? Tai vi tu 2 thiet bi nay tin hieu moi ve con Core sw roi moi xac thuc tren ACS server.Mong ban chi them.

Hi mystery83,
Nếu AP bạn có nhiều SSID ứng với mỗi SSID là 1 VLAN khác nhau thì port AP và Switch kết nối nhau phải config thành trunk để gởi nhiều VLAN, vậy thôi trên Switch không cần cấu hình gì nữa. Chú ý trên Switch core phải có routing giữa các VLAN với ACS được, để truyền data chứng thực về ACS server. Việc cấu hình EAP-LEAP hay EAP-FAST dùng cho chứng thực user đều thực hiện trên AP và ACS không cần trên Switch.

Cam on anh trumso rat nhieu.Day la con Core ma e da cau hinh


KTV-Core-SW#1#sho ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.20.222.38 to network 0.0.0.0

10.0.0.0/8 is variably subnetted, 33 subnets, 6 masks
S 10.0.0.0/8 [1/0] via 10.16.104.17, GigabitEthernet6/1
C 10.20.192.192/30 is directly connected, GigabitEthernet6/6
D 10.20.207.252/30
[90/2170112] via 10.20.192.194, 7w0d, GigabitEthernet6/6
C 10.16.104.16/30 is directly connected, GigabitEthernet6/1
D EX 10.16.104.20/30
[170/26112] via 10.20.192.74, 7w0d, GigabitEthernet6/48
[170/26112] via 10.20.192.66, 7w0d, Vlan10
C 10.20.192.72/29 is directly connected, GigabitEthernet6/48
C 10.20.192.64/29 is directly connected, Vlan10
C 10.20.220.0/24 is directly connected, Vlan220
C 10.20.221.0/24 is directly connected, Vlan221
C 10.20.214.0/24 is directly connected, Vlan214
C 10.20.215.0/24 is directly connected, Vlan215
C 10.20.212.0/24 is directly connected, Vlan212
C 10.20.213.0/24 is directly connected, Vlan213
C 10.20.210.0/24 is directly connected, Vlan210
C 10.20.211.0/24 is directly connected, Vlan211
C 10.20.208.0/24 is directly connected, Vlan208
C 10.20.209.0/24 is directly connected, Vlan209
C 10.20.206.0/24 is directly connected, Vlan206
D EX 10.20.207.0/25
[170/2170112] via 10.20.192.194, 2w4d, GigabitEthernet6/6
C 10.20.204.0/24 is directly connected, Vlan204
C 10.20.205.0/24 is directly connected, Vlan205
C 10.20.202.0/24 is directly connected, Vlan202
C 10.20.203.0/24 is directly connected, Vlan203
C 10.20.200.0/24 is directly connected, Vlan200
C 10.20.201.0/24 is directly connected, Vlan201
C 10.20.198.0/24 is directly connected, Vlan198
C 10.20.199.0/24 is directly connected, Vlan199
C 10.20.196.0/24 is directly connected, Vlan196
C 10.20.197.0/24 is directly connected, Vlan197
D EX 10.20.192.2/32 [170/130816] via 10.20.192.66, 7w0d, Vlan10
C 10.20.195.0/24 is directly connected, GigabitEthernet6/3
C 10.20.192.1/32 is directly connected, Loopback0
C 10.20.222.32/29 is directly connected, GigabitEthernet6/5
S 192.168.253.0/24 [1/0] via 10.16.104.17, GigabitEthernet6/1
195.102.119.0/26 is subnetted, 1 subnets
S 195.102.119.64 [1/0] via 10.16.104.17, GigabitEthernet6/1
120.0.0.0/16 is subnetted, 1 subnets
S 120.73.0.0 [1/0] via 10.16.104.17, GigabitEthernet6/1
S 165.141.0.0/16 [1/0] via 10.16.104.17, GigabitEthernet6/1
S* 0.0.0.0/0 [50/0] via 10.20.222.38, GigabitEthernet6/5

Nhu vay e co can cau hinh them gi nua ko ?

anh trumso oi.CHo e hoi mot cau.khi minh cau hinh tat ca cac thiet bi roi.Khi client vao mot trang web nao do.thi ho co can phai nhap username va password (o day em da nhao username va password vao wireless card ultility) ?

Tôi cũng muốn để mỗi user connect vào đúng VLAN của họ để dễ quản lý. Nhưng có cách nào để tự động chuyển VLAN hay SSID không vì tôi chỉ muốn họ nhìn thấy duy nhất 1 SSID để connect vào.

khi minh da add group vao nhung cac user no van nam NAP default.Minh muon moi user da add vao group thi no hien thi NAP nao thoi.Ban trumso biet cai nay ko ?

To mystery83, Switch core của bạn routing như vậy chắc không có vấn đề, bạn test thì ping từ AP đến ACS thấy là OK. Bạn dùng chứng thực EAP-LEAP để kết nối với AP được thì OK rồi, còn việc cho user truy cập internet hay hỏi đăng nhập khi xem Web thì lúc đó bạn phải cấu hình trên Switch (Authentication Proxy) hay trên Proxy Server, không liên quan gì đến AP.
Để user không connect tới default NAP:
- Bạn tạo NAP mới.
- Trong phần Profile Setup: trong phần Name gõ tên của NAP, check vào ô Active. Trong phần Protocol types: chọn Allow Selected Protocol types , rồi chọn Radius(Cisco Aironet) rồi click nút -> để cho hiện qua bên ô Selected. Trong phần Advenced Filtering bạn gõ cisco-av-pair như mình đã nói ở trên.
To Alpha5, chưa hiểu ý bạn. Trên 1 AP của Cisco chỉ có thể set 1 SSID ở guest-mode tức là mode để SSID hiện ra khi Card wireless dò tìm. Ngoài ra nếu bạn muốn connect tới SSID ẩn thì bạn phải gõ tên trực tiếp SSID đó trên phần mềm quản lý wireless. Bạn có thể dùng phần mềm Odyssey Client Access Manager của Juniper. Phần mềm này quản lý kết nối AP khá hay, tiếc rằng không free.

thank ban trumso nhieu.Trong AAA server,moi NAP minh tao 1 cai SSID khac nhau(vi du : SSID : KTV-200-IT thi minh cung dat ten la KTV-200-IT con protocol type minh chon radius(Cisco/pix 6.0) va Radius(cisco Aironet)).trong phan authorize minh se add Group nao su dung SSID do.Minh lam vay co dung ko ?

Day la hinh ve user setup cua minh.ban trumso xem thu

Chao ban trumso.Hom nay minh da lam xong phan AAA server roi.Nhung con mot so cai security nua nhung ma chua ap dung.Nen thoi gian toi minh se co gang test de post cho moi nguoi.