需要ACS加根证书做信任ACS+WLCDOT1X.docx

需要ACS加根证书做信任ACS+WLCDOT1X.docx

《需要ACS加根证书做信任ACS+WLCDOT1X.docx》由会员分享，可在线阅读，更多相关《需要ACS加根证书做信任ACS+WLCDOT1X.docx（13页珍藏版）》请在冰豆网上搜索。

需要ACS加根证书做信任ACS+WLCDOT1X

ACS4.1和WLC4404联动做MAC_FILTERING

硬件环境：

Cisco4404wlcthatrunsoftwareversion4.1.185

Ciscosecureacse1113thatrunsoftwareversion4.1

Cisco1131AGseriesLAPs

802.11a/b/gwirelessclient

ACSE1113需要打2个path才可以

applACS-4.1-set-ip-CSCsm73656-Patch.zip

applAcs-4.1.1.23.5.zip

SETP1AddtripleAclient，authentypeusingradiusciscoaironetorairospace

Setp2,configuretripleaserver

Step3安装一个证书，如果你要做EAP类型的认证，那么acsinstallcertificate是必须的

EAP类型的认证，只需要server端才需要安装cerificate，client是不需要安装的，哪什么认证才需要双向cerificate呢，在cisco只有EAP-TLS/TTLS是需要server、client都需要证书验证的，在这里我们就不做证书了，因为普通的mswirelessclient是不可以通过cerificate认证的，需要购买client，所以这里只做wpa_TKIPMACFILTERING。

1、产生一个自签证书，点击acscertificatesetup–Generateself-signedcertificate

里面的设置参照右侧的help进行配置就可以了。

2、acscertificateauthoritysetup

这步是把该self-signedcertificate存储在local，这样在下一步的trustlist中才会出现该cer

4,editcertificatetrustlist

Setp4、gloabauthenticationsetup

这里就是用什么就选什么

Setp5\adduser

在这里需要建立clientmacdatabase，建立的user的时候需要主意，我使用的是nodelimiter,cisco官方是用colon的，但是我用colon返回的错误是passwordinvalid。

WLCSETUPCONFIGURE

Setp1在security选项中建立externalradiusserver

指定externalradiusserveripaddress,sharedsecret

Setp2进入WLAN选项的子项中，点new建立一个ssid

Apply后进入edit界面

以上的步骤就是wlc的基本配置了，主要的是在layer2security中选上wpa和macfiltering

指定authenticationserver。

在MACFILTERING选项中编辑

这步就不要用什么连接符了。

如果使用macfilteringonlocalwlc，就选择new，把clientmacdatabase建立在wlc上，它和用radiusmacfiltering唯一不同的是macdatabase存在的地方不同，根据实际需要来确定使用哪种方式，macfilteringonradiusserver适用于较大的环境，集中管理比较方便。

Clientconfigure

配置mswirelessclient，选择WPATKIP，

选择EAP类型

因为前面说了，除了EAP-TLS，其他的EAP验证，client是不要cerificate的，所以把验证服务器证书给勾掉，再选择验证方法那，点配置，把复选框勾掉，这是在和MS-AD结合的时候自动登录的。

在这里不需要。

点击无线连接，会出现一个提示，点击它出现输入凭据对话框，输入user/password

这样就可以登录到网络中来了，可以检验下获得的ip是否正确，用ping进行测试。

检查：

在wlc上可以使用showmacfiltersummaryshowmacfilterdetail00-1c-bf-76-05-8f

Debugaaaallenabledebugmacfilter00-1c-bf-76-05-8f

来验证。

注：

我们在做验证的时候，选择的是WPA+TKIP，MACFILTERING，通过测试，macfiltering是第一个需要匹配的，如果在acsdatabase中，把macdorp掉，client是不允许被接入到网络中的，如果我更改client的认证方式，在连接网络的同时，client的配置会自动被更改为在wlc上设置的wpa+tkip的方式，不知道为什么。

同时注意cache会记录你登陆的验证信息的。