需要ACS加根证书做信任ACS+WLCDOT1X.docx
《需要ACS加根证书做信任ACS+WLCDOT1X.docx》由会员分享,可在线阅读,更多相关《需要ACS加根证书做信任ACS+WLCDOT1X.docx(13页珍藏版)》请在冰豆网上搜索。
需要ACS加根证书做信任ACS+WLCDOT1X
ACS4.1和WLC4404联动做MAC_FILTERING
硬件环境:
Cisco4404wlcthatrunsoftwareversion4.1.185
Ciscosecureacse1113thatrunsoftwareversion4.1
Cisco1131AGseriesLAPs
802.11a/b/gwirelessclient
ACSE1113需要打2个path才可以
applACS-4.1-set-ip-CSCsm73656-Patch.zip
applAcs-4.1.1.23.5.zip
SETP1AddtripleAclient,authentypeusingradiusciscoaironetorairospace
Setp2,configuretripleaserver
Step3安装一个证书,如果你要做EAP类型的认证,那么acsinstallcertificate是必须的
EAP类型的认证,只需要server端才需要安装cerificate,client是不需要安装的,哪什么认证才需要双向cerificate呢,在cisco只有EAP-TLS/TTLS是需要server、client都需要证书验证的,在这里我们就不做证书了,因为普通的mswirelessclient是不可以通过cerificate认证的,需要购买client,所以这里只做wpa_TKIPMACFILTERING。
1、产生一个自签证书,点击acscertificatesetup–Generateself-signedcertificate
里面的设置参照右侧的help进行配置就可以了。
2、acscertificateauthoritysetup
这步是把该self-signedcertificate存储在local,这样在下一步的trustlist中才会出现该cer
4,editcertificatetrustlist
Setp4、gloabauthenticationsetup
这里就是用什么就选什么
Setp5\adduser
在这里需要建立clientmacdatabase,建立的user的时候需要主意,我使用的是nodelimiter,cisco官方是用colon的,但是我用colon返回的错误是passwordinvalid。
WLCSETUPCONFIGURE
Setp1在security选项中建立externalradiusserver
指定externalradiusserveripaddress,sharedsecret
Setp2进入WLAN选项的子项中,点new建立一个ssid
Apply后进入edit界面
以上的步骤就是wlc的基本配置了,主要的是在layer2security中选上wpa和macfiltering
指定authenticationserver。
在MACFILTERING选项中编辑
这步就不要用什么连接符了。
如果使用macfilteringonlocalwlc,就选择new,把clientmacdatabase建立在wlc上,它和用radiusmacfiltering唯一不同的是macdatabase存在的地方不同,根据实际需要来确定使用哪种方式,macfilteringonradiusserver适用于较大的环境,集中管理比较方便。
Clientconfigure
配置mswirelessclient,选择WPATKIP,
选择EAP类型
因为前面说了,除了EAP-TLS,其他的EAP验证,client是不要cerificate的,所以把验证服务器证书给勾掉,再选择验证方法那,点配置,把复选框勾掉,这是在和MS-AD结合的时候自动登录的。
在这里不需要。
点击无线连接,会出现一个提示,点击它出现输入凭据对话框,输入user/password
这样就可以登录到网络中来了,可以检验下获得的ip是否正确,用ping进行测试。
检查:
在wlc上可以使用showmacfiltersummaryshowmacfilterdetail00-1c-bf-76-05-8f
Debugaaaallenabledebugmacfilter00-1c-bf-76-05-8f
来验证。
注:
我们在做验证的时候,选择的是WPA+TKIP,MACFILTERING,通过测试,macfiltering是第一个需要匹配的,如果在acsdatabase中,把macdorp掉,client是不允许被接入到网络中的,如果我更改client的认证方式,在连接网络的同时,client的配置会自动被更改为在wlc上设置的wpa+tkip的方式,不知道为什么。
同时注意cache会记录你登陆的验证信息的。