Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Xác thực Wireless bằng chuẩn 802.1x trên Cisco WLC

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Xác thực Wireless bằng chuẩn 802.1x trên Cisco WLC


    Mô hình thực hiện.

    Cấu hình trên WLC:

    Đầu tiên ta, AP phải join được vào WLC:

    AP joined WLC

    - Cấu hình tạo thông tin xác thực tài khoản trên WLC: Tại tab Security -> Local Net Users - > New để tạo tài khoản



    - Tiến hành tạo Username và Password tương ứng -> chọn Apply để lưu lại cấu hình:



    - Tiếp tục qua mục Local EAP tạo Profiles EAP: Profile -> New



    - Ta đặt tên cho Profile này -> chọn Apply để lưu cấu hình



    - Check vào PEAP để xác thực -> Apply để lưu lại cấu hình



    - Cấu hình SSID



    - Tiếp theo, ta điền thông tin Profile Name và tên của SSID -> chọn Apply để lưu cấu hình



    - Check vào Enabled Status để cho phép SSID này hoạt động



    - Tiếp theo, ta sẽ cấu hình phương thức xác thực 802.1x cho SSID này như sau: qua tab Security, tại Layer 2 Security chọn WPA + WPA2, tiếp tục tại mục WPA + WPA Parameters check vào WPA2 Policy, tại mục Authentication Key Management check vào 802.1x



    - Qua tab AAA server, tại mục Local EAP Authentication check vào Enable để kích hoạt Profile EAP -> chọn Apply để lưu cấu hình



    - Tiến hành kiểm tra: chọn connect vào SSID vừa tạo, cửa sổ yêu cầu đăng nhập thông tin hiển thị ra, ta điền thông tin username và Password đã tạo để đăng nhập vào SSID này.
    Tags: None
    • Likes 1
  • #2
    Xác Thực 802.1X Cho Hệ Thống Mạng Không Dây Chuyên Nghiệp

    1. Giới Thiệu Về 802.1X


    802.1X (hay còn gọi là dot1x) là giao thức xác thực hai chiều, đảm bảo rằng cả thiết bị đầu cuối (Access Point - AP) và máy chủ xác thực (RADIUS Server) phải xác thực và tin tưởng lẫn nhau. AP sẽ sử dụng thông tin đăng nhập (username/password) hoặc chứng chỉ số để thực hiện quá trình xác thực này.
    2. Cấu Hình Access Point (AP) Cho Xác Thực 802.1X
    • Trường hợp AP đã gia nhập WLC:
      • Truy cập giao diện Web của WLC.
      • Vào tab Wireless > Global Configuration để cấu hình thông tin xác thực chung cho tất cả AP (Hình 2-15).
      • Nếu cần, cấu hình thông tin xác thực riêng cho từng AP tại tab Credentials trong cấu hình AP cụ thể (Hình 2-16).
    • Trường hợp switchport đã bật dot1x:
      • AP mới cần được cấu hình thủ công thông tin xác thực trước khi có thể lấy IP và gia nhập WLC:
        bash

        Copy


        Edit


        LAP# capwap ap dot1x username <tên người dùng> password <mật khẩu>
      • Với AP chạy IOS (Wave 1 trở về trước), cần bật CLI debug:
        bash

        Copy


        Edit


        debug capwap console cli
    3. Cấu Hình Switch Cho 802.1X
    • Cấu hình toàn cục:
      bash

      Copy


      Edit


      Switch(config)# dot1x system-auth-control Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x default group radius Switch(config)# radius server ISE Switch(config-radius)# address ipv4 <IP ISE> auth-port 1645 acct-port 1646 Switch(config-radius)# key 0 <shared-secret>
    • Cấu hình trên cổng kết nối AP:
      bash

      Copy


      Edit


      Switch(config)# interface Gig0/1 Switch(config-if)# dot1x pae authenticator Switch(config-if)# authentication order dot1x Switch(config-if)# authentication port-control auto
    Lưu ý: Khi thực hiện xác thực dot1x, AP sẽ sử dụng phương thức EAP-FAST.
    4. Cấu Hình Trên ISE
    • Thiết lập thiết bị mạng (Switch) trên ISE (Hình 2-17).
    • Chính sách xác thực: Cho phép dot1x và EAP-FAST (Hình 2-18 & 2-19).
    • Chính sách ủy quyền: Cấp quyền truy cập cho nhóm AP (Hình 2-20).
    • Tạo user cho AP trong Identity Store (Hình 2-21).
    • Kiểm tra xác thực thành công qua Live Logs (Hình 2-22).
    5. Lệnh Gỡ Rối Trên Switch


    show authentication session [interface] Xem trạng thái phiên xác thực.
    show access-session [interface] Tương tự lệnh trên, tùy nền tảng.
    show dot1x interface [interface] details Xem chi tiết trạng thái dot1x trên giao diện.
    debug dot1x all Bắt đầu debug quá trình dot1x.
    debug mab Debug quá trình MAB.
    debug authentication all Debug toàn bộ quá trình xác thực.


    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

    Comment

    Previous template Next
    Working...
    X