Chứng thực 802.1x trên AP 1220 của cisco có radius server
VẤN ĐỀ BẢO MẬT VÀ CHUẨN 802.1X
Đề cập vấn đề:
Hiện nay mạng không dây ở nước ta đang dần phát triển, tuy nhiên các biện pháp bảo mật
cho nó thì chưa được đầu tư nghiên cứu một cách thích đáng, hầu hết các thiết bị vẫn để ở
chế độ public, hoặc cùng lắm thì sử dụng các cơ chế bảo mật sẵn có.
Chúng ta mới chỉ dừng lại ở việc áp dụng cơ chế bảo mật trên từng AP, chủ yếu là dùng
bảo mật WEP, lọc MAC, mà chưa áp dụng các biện pháp bảo mật tổng thể trên toàn hệ
thống.
Trong phần này chúng ta xẽ xem qua những nhược điểm tồn tại trong các chuẩn bảo mật
trên và đi vào nghiên cứu chi tiết chuẩn bảo mật tiên tiến 802.1x với sự hỗ trợ của EAP
và LEAP.
I/ Các mối đe dọa cho vấn đề bảo mật trên WLAN
Môi trường không dây là một môi trường sóng vì vậy vấn đề bảo mật lớp vật lí là một
vấn đề làm đau đầu bao nhà quản lí. Bất kỳ một mạng không dây nào đều có thể gặp phải
các mối đe dọa sau, nhất là ở Việt Nam, khi mà vấn đề bảo mật mạng không dây còn
chưa chú trọng thì nhiều khi chỉ một hành động đơn giản cũng đem lại thiệt hại to lớn
Một sự tấn công cố ý có thể gây vô hiệu hóa hoặc có thể tìm cách truy nhập WLAN trái
phép theo một vài cách.
- Tấn công bị động (Nghe trộm) Passive attacks
- Tấn công chủ động (kết nối, dò và cấu hình mạng) Active attacks
- Tấn công kiểu chèn ép, Jamming attacks
- Tấn công theo kiểu thu hút, Man-in-the-middle attacks
- Tấn công từ chối dịch vụ, DOS
1. Tấn công bị động
Nghe trộm có lẽ là phương pháp đơn giản nhất, tuy nhiên nó vẫn có hiệu quả đối với
WLAN. Tấn công bị động như một cuộc nghe trộm, mà không phát hiện được sự có mặt
của người nghe trộm (hacker) trên hoặc gần mạng khi hacker không thực sự kết nối tới
AP để lắng nghe các gói tin truyền qua phân đoạn mạng không dây. Những thiết bị phân
tích mạng hoặc những ứng dụng khác được sử dụng để lấy thông tin của WLAN từ một
khoảng cách với một anten hướng tính

Tấn công bị động
Phương pháp này cho phép hacker giữ khoảng cách thuận lợi không để bị phát hiện, nghe
và thu nhặt thông tin quý giá.
Quá trình lấy chìa khóa WEP
Có những ứng dụng có khả năng lấy pass từ các Site HTTP, email, các instant messenger,
các phiên FTP, các phiên telnet mà được gửi dưới dạng text không được mã hóa. Có
những ứng dụng khác có thể lấy pass trên những phân đoạn mạng không dây giữa Client
và Server cho mục đích truy nhập mạng.
2. Tấn công chủ động
Bằng các tools, cũng như việc nghe lén thông tin truyền giữa Client và AP, các thiết bị
phân tích có thể lấy được một số thông tin như địa chỉ MAC, WEP key, v.v. do những
thông tin này thường được trao đổi dưới dạng Clear text, khi đó chúng có thể đóng vai trò
như một thành viên hợp pháp, thâm nhập vào mạng, thay đổi các thông số, lấy các thông
tin cá nhân cũng như của các tổ chức, v.v. hoặc đơn giản chỉ là gử một vài spam chứa
virus.
Tấn công chủ động
3. Tấn công theo kiểu chèn ép
Trong khi một hacker sử dụng phương pháp tấn công bị động, chủ động để lấy thông tin
từ việc truy cập tới mạng của bạn, tấn công theo kiểu chèn ép, Jamming, là một kỹ thuật
sử dụng đơn giản để “đóng” mạng của bạn.
Mạng không dây sử dụng tín hiệu sóng truyền trên không khí, nên chỉ cần một thiết bị
phát tín hiệu cùng tần số và có công suất phát lớn, là đã có thể làm nhiễu, thậm chí làm
sập hoàn toàn mạng không dây của bạn. Đôi khi vấn đề này xảy ra hoàn toàn vô tình do
vấn đề quản lí tần số không tốt.
Tấn công theo kiểu chèn ép
4. Tấn công bằng cách thu hút
Kiểu tấn công này, Man-in-the-middle Attacks, được thực hiện đơn giản với một thiết bị
không dây nằm trong suốt ở giữa Client và AP.
Man-in-the-middle attacks
Để các client liên kết với AP trái phép thì công suất của AP đó phải cao hơn nhiều của

các AP khác trong khu vực và đôi khi phải là nguyên nhân tích cực cho các user truy
nhập tới. Việc mất kết nối với AP hợp pháp có thể như là một việc tình cờ trong quá trình
vào mạng, và một vài client sẽ kết nối tới AP trái phép một cách ngẫu nhiên.
Người thực hiện man-in-the-middle attack trước tiên phải biết SSID mà client sử dụng,
và phải biết WEP key của mạng, nếu nó đang được sử dụng.
Kết nối ngược (hướng về phía mạng lõi) từ AP trái phép được điều khiển thông qua một
thiết bị client như là PC card, hoặc workgroup bridge. Nhiều khi man-in-the-middle
attack được sắp đặt sử dụng một laptop với hai PCMCIA card. Phần mềm AP chạy trên
một laptop mà ở đó một PC card được sử dụng như là một AP và PC card thứ hai được
dùng để kết nối laptop tới AP hợp pháp. Kiểu cấu hình này làm laptop thành một “man-
in-the-middle attack” vận hành giữa client và AP hợp pháp. Một hacker theo kiểu man-
in-the-middle attack có thể lấy được các thông tin có giá trị bằng cách chạy một chương
trình phân tích mạng trên laptop trong trường hợp này.
Trước cuộc tấn công Và sau cuộc tấn công
II/ Các biện pháp bảo mật thông dụng, ưu và nhược:
1. Chứng thực qua hệ thống mở (Open Authentication)
Đây là hình thức chứng thực qua việc xác định chính xác SSIDs (Service Set Identifiers).
Là một biện pháp đơn giản nhất và đương nhiên cũng dễ bị phá nhất.
2. Chứng thực qua khoá chia sẻ (Shared-key Authentication)
Là kiểu chứng thực cho phép kiểm tra xem một khách hàng không dây đang được chứng
thực có biết về bí mật chung không. Điều này tương tự với khoá chứng thực đã được chia
sẻ trước trong Bảo mật IP ( IPSec ). Chuẩn 802.11 hiện nay giả thiết rằng Khoá dùng
chung được phân phối đến các tất cả các khách hàng đầu cuối thông qua một kênh bảo
mật riêng, độc lập với tất cả các kênh khác của IEEE 802.11. Tuy nhiên, hình thức chứng
thực qua Khoá chia sẻ nói chung là không an toàn và không được khuyến nghị sử dụng.
3. Bảo mật dữ liệu thông qua WEP (Wired Equivalent Privacy) Với thuộc tính cố hữu của
mạng không dây, truy nhập an toàn tại lớp vật lý đến mạng không dây là một vấn đề
tương đối khó khăn. Bởi vì không cần đến một cổng vật lý riêng, bất cứ người nào trong
phạm vi của một điểm truy nhập dịch vụ không dây cũng có thể gửi và nhận khung cũng
như theo dõi các khung đang được gửi khác. Chính vì thế WEP (được định nghĩa bởi

chuẩn IEEE 802.11) được xây dựng với mục đích cung cấp mức bảo mật dữ liệu tương
đương với các mạng có dây. WEP key là một khóa tĩnh. Nếu không có WEP, việc nghe
trộm và phát hiện gói từ xa sẽ trở nên rất dễ dàng. WEP cung cấp các dịch vụ bảo mật dữ
liệu bằng cách mã hoá dữ liệu được gửi giữa các node không dây. Mã hoá WEP dùng
luồng mật mã đối xứng RC4 với từ khoá dài 40 bit hoặc104 bit. WEP cung cấp độ toàn
vẹn của dữ liệu từ các lỗi ngẫu nhiên bằng cách gộp một giá trị kiểm tra độ toàn vẹn (ICV
- Integrity Check Value) vào phần được mã hoá của khung truyền không dây. Việc xác
định và phân phối các chìa khoá WEP không được định nghĩa và phải được phân phối
thông qua một kênh an toàn và độc lập với 802.11.
III/ Chuẩn bảo mật 802.1x &EAP
Nhằm khắc phục các nhược điểm trên, như chìa khóa là tĩnh, mật khẩu được gửi dưới
dạng Clear text trên môi trường truyền, quản lí chìa khóa không tập trung, tấn công giả
mạo, v.v. chuẩn 802.1x với khả năng mở rộng của EAP và tính tối ưu của LEAP đã được
nghiên cứu và đưa ra sử dụng.
Nếu như các chuẩn khác không có sự phân biệt các giao thức truy cập, thì chuẩn 802.1x
cung cấp những chi tiết kỹ thuật cho phép điều khiển truy nhập cổng. Sự điều khiển truy
nhập thông qua những cổng cơ bản được khởi đầu, và vẫn đang được sử dụng với chuyển
mạch Ethernet. Khi người dùng thử nối tới port mong muốn, cổng đó sẽ tạm thời ở trạng
thái khóa và chờ đợi sự xác nhận người sử dụng của hệ thống chứng thực.
Giao thức 802.1x đã được kết hợp vào trong hệ thống WLAN và gần như trở thành một
chuẩn giữa những nhà cung cấp. Khi được kết hợp giao thức chứng thực mở (EAP),
802.1x có thể cung cấp một sơ đồ chứng thực trên một môi trường an toàn và linh hoạt.
Giao thức 802.1x đảm bảo các tính chất sau:
1. Đảm bảo tính tin cậy
Hầu hết thông tin trao đổi trong mạng đều được mã hóa, kể cả các thông tin về mật khẩu
ban đầu, ngoài ra giao thức này còn tránh việc giả mạo thông qua cơ chế chứng thực lẫn
nhau giữa Client và Server. v.v. (sẽ được làm rõ hơn trong phần AAA). Các phương pháp
mã hóa được áp dụng như là SSH (Secure Shell), SSL (Secure Sockets Layer) hoặc IPSec
2. Đảm bảo tính toàn vẹn:
Giao thức sử dụng các phương thức kiểm tra như Checksum, hoặc Cyclic Redundancy

Checks (CRCs) để kiểm tra tính toàn vẹn dữ liệu, bên cạnh đó nó cũng sử dụng các thuật
toán hóa MD5 và RC4 để đảm bảo sự toàn vẹn này.
3. Đảm bảo tính sẵn sàng:
Chuẩn này luôn luôn cập nhật với sự phát triển của thiết bị cung như luôn cập nhật các
vấn đề phát sinh mới nhất để luôn đảm bảo sẵn sàng mà không gặp phải trở ngại nào
cũng như luôn tương thích với các thiết bị hiện có.
4. Cơ chế xác thực:
Với sự kết hợp giữa cơ chế chứng thực động và quản lí chìa khóa tập trung, 802.1x đã
khắc phục được hầu hết các vấn đề còn tồn tại của các giao thức khác.
EAP, được định nghĩa trước tiên cho giao thức point-to-point (PPP), là một giao thức để
chuyển đổi một phương pháp chứng thực. EAP được định nghĩa trong RFC 2284 và định
nghĩa những đặc trưng của phương pháp chứng thực, bao gồm những vấn đề người sử
dụng được yêu cầu (password, certificate, v.v), giao thức được sử dụng (MD5, TLS,
GMS, OTP, v.v), hỗ trợ sinh chìa khóa tự động và hỗ trợ sự chứng thực lẫn nhau.
Nếu WEP tồn tại điểm yếu là xác thực một bước và xác thực khóa chia sẻ
Một quá trình chứng thực khóa chia sẻ xảy ra theo các bước sau:
1. Một clien gửi yêu cầu liên kết tới AP.
2. AP gửi một đoạn văn bản ngẫu nhiên tới Client, văn bản này chưa được mã hóa, dài
128 octets, và yêu cầu Client dùng chìa khóa WEP của nó để mã hóa.
3. Clien mã hóa văn bản với chìa khóa WEP của nó và gửi văn bản đã được mã hóa đó
đến AP.
4. AP sẽ thử giải mã văn bản đó, để xác định xem chìa khóa WEP của Client có hợp lệ
không, nếu có thì nó gửi một trả lời cho phép, còn nếu không, thì nó trả lời bằng một
thông báo không cho phép Client đó liên kết.
Trong phương pháp này tồn tại một số vấn đề: chìa khóa Wep được dùng cho hai mục
đích, để chứng thực và để mã hóa dữ liệu, đây chính là kẽ hở để hacker có cơ hội thâm
nhập mạng. Hacker sẽ thu cả hai tín hiệu, văn bản chưa mã hóa do AP gửi và văn bản đã
mã hóa, do Client gửi, và từ hai thông tin đó hacker có thể giải mã ra được chìa khóa
WEP.
Hơn thế chìa khóa WEP là cố định, không thay đổi trong tất cả các lần liên kết, lại không

có cơ chế xác thực lẫn nhau, do đó dễ bị lộ key và dễ bị tấn công theo kiểu man-in-the-
middle.
Thì chuẩn 802.1x đã khắc phục bằng mô hình chứng thực tập trung và chứng thực lẫn
nhau thông qua việc sử dụng
• RADIUS (Remote Access Dial-In User Service).
• Bảo vệ khóa key bằng cách sử dụng cơ chế bắt tay một bước (one-way hashes).
• Chính sách xác thực nhắc lại một cách thường xuyên, tạo các chìa khóa mới cho các
phiên xác thực mới
• Thay đổi vector khởi tạo (IV) trong mã hóa WEP
Mô hình chứng thực 802.1x-EAP thành công thực hiện như sau:
Quá trình chứng thực 802.1x-EAP
Wireless client muốn liên kết với một AP trong mạng.
1. AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng, khi đó
Client yêu cầu liên kết tới AP
2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP
3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP
4. Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng
thực
5. Server chứng thực gửi một yêu cầu cho phép tới AP
6. AP chuyển yêu cầu cho phép tới client
7. Client gửi trả lời sự cấp phép EAP tới AP
8. AP chuyển sự trả lời đó tới Server chứng thực
9. Server chứng thực gửi một thông báo thành công EAP tới AP
10. AP chuyển thông báo thành công tới client và đặt cổng của client trong chế độ
forward.
Khi hỗ trợ khản năng chứng thực lẫn nhau, thì quá trình trên tiếp tục xảy ra nhưng với
chiều ngược lại.
Trong quá trình xác thực trên có một số vấn đề cần xem xét: tạo chìa khóa theo phiên và
quản lí chìa khóa tập trung.
Sinh chìa khóa động

Để tránh việc giả mạo, mỗi một phiên kết nối với một client sẽ được RADIUS server cấp
cho một key riêng, session key. Khi truyền key này cho Client, để tránh việc nghe trộm
do gửi thông tin clear text, AP sẽ mã hóa session key này, và client sẽ dùng key của mình
để giải mã, lấy session key cho mình.
Tất cả các session key này đều được sinh bởi RADIUS server thông qua một thuật toán
nào đó. Có khi mỗi phiên liên kết chỉ có một Key, nhưng bạn cũng có thể thiết lập trên
RADIUS server để tạo các chu kỳ xác thực theo yêu cầu của bạn. Theo cơ chế này,
RADIUS sẽ định kỳ xác thực client, do đó tránh được truy cập mạng do vô tình.
Quản lí chìa khóa tập trung
Ngoài ra với những mạng WLAN quy mô lớn sử dụng WEP như một phương pháp bảo
mật căn bản, server quản lý chìa khóa mã hóa tập trung nên được sử dụng vì những lí do
sau:
- Quản lí sinh chìa khóa tập trung
- Quản lí việc phân bố chìa khóa một cách tập trung
- Thay đổi chìa khóa luân phiên
- Giảm bớt công việc cho nhà quản lý
Bình thường, khi sử dụng WEP, những chìa khóa (được tạo bởi người quản trị) thường
được nhập bằng tay vào trong các trạm và các AP. Khi sử dụng server quản lý chìa khóa
mã hóa tập trung, một quá trình tự động giữa các trạm, AP và server quản lý sẽ thực hiện
việc trao các chìa khóa WEP. Hình sau mô tả cách thiết lập một hệ thống như vậy
Topo mạng quản lý chìa khóa mã hóa tập trung
Server quản lý chìa khóa mã hóa tập trung cho phép sinh chìa khóa trên mỗi gói, mỗi
phiên, hoặc các phương pháp khác, phụ thuộc vào sự thực hiện của các nhà sản xuất.
Phân phối chìa khóa WEP trên mỗi gói, mỗi chìa khóa mới sẽ được gán vào phần cuối
của các kết nối cho mỗi gói được gửi, trong khi đó, phân phối chìa khóa WEP trên mỗi
phiên sử dụng một chìa khóa mới cho mỗi một phiên mới giữa các node.
Với những cải tiến của chuẩn 802.1x, các client được xác định thông qua usernames, thay
vì địa chỉ MAC như các chuẩn trước đó. Nó không những tăng cường khả năng bảo mật
mà còn làm cho quá trình AAA (Authentication, Authorization, and Accountting) hiệu
quả hơn. Điều này sẽ được nhắc lại trong phần sau: về Authorization.

Như bên trên đã đề cập, nếu không có sự xác thực lẫn nhau thì việc một client lầm tưởng
một AP giả mạo là AP hợp pháp là điều hoàn toàn có thể xảy ra, Man-inthe-middle
Attacks
Mô hình mạng sử dụng RADIUS server như trên đã khắc phục được điều đó thông qua
việc xác thực ngược giữa Client và AP.
Thực tế quá trình xác thực xảy ra theo 3 pha, pha khởi đầu, pha chứng thực và pha kết
thúc.
Trong đó pha chứng thực với sự tham gia của RADIUS server cho phép hệ thống phân
quyền người sử dụng thông qua các chính sách cài đặt trên server dựa trên tài khoản của
người dùng. Nếu việc xác thực thông qua địa chỉ vật lý, MAC, chỉ là xác thực về mặt
thiết bị, tức là không có sự phân quyền cho người dùng, thì xác thực dựa trên tên và mật
khẩu cho phép chúng ta phân quyền người dùng. Vấn đề cấp quyền, Authorization, tùy
thuộc chính sách của người quản trị, có thể phân quyền theo giao thức, thông qua cổng,
theo phạm vi dữ liệu, hoặc theo sự phân cấp về người dùng, admin, mod, member, v.v.
Thông qua việc quản lí và cấp quyền nói trên, người quản trị hoàn toàn có thể ghi lại
được vết của người sử dụng, theo dõi các trang, thư mục cũng như ghi lại được tất cả quá
trình truy cập của người dùng.
5. Một số phương pháp bảo mật khác do 802.1x đem lại
Do chuẩn 802.1x dựa trên cơ sở điều khiển truy cập trên các port, nên ngoài các phương
pháp bảo mật chung, 802.1x còn đem lại một số phương pháp tiên tiến, như cơ chế lọc
(Filtering).
Ngoài việc thực hiện lọc SSID và MAC như các chuẩn bảo mật khác, 802.1x còn hỗ trợ
khả năng lọc giao thức. Mạng Lan không dây có thể lọc các gói đi qua mạng dựa trên các
giao thức lớp 2-7. Trong nhiều trường hợp, các nhà sản xuất làm các bộ lọc giao thức có
thể định hình độc lập cho cả những đoạn mạng hữu tuyến và vô tuyến của AP.
Lọc giao thức
IV/ Một số chính sách bảo mật:
Mặc dù theo nghiên cứu trên thì 802.1x là một chuẩn bảo mật khá an toàn, tuy nhiên nó
vẫn tồn tại những nhược điểm của nó, nó vẫn chưa thể chống lại sự tấn công DOS, một số
đặc tính lại yêu cầu đặc biệt về thiết bị phần cứng, do đó việc tất yếu là phải kết hợp các

phương pháp bảo mật với nhau, đồng thời với việc đưa ra các chính sách bảo mật hợp lí.
Theo các vần đề trên thì một số chính sách mà bản thân 802.1x đã đưa ra nhằm khắc phục
những nhược điểm của mình là: bảo mật về mặt thiết bị vật lí, phân cấp quyền hợp lí,
luôn bật tính năng tối ưu nhất, do mọi tính năng hầu như đều có thể enable hoặc disable.
Sử dụng các thiểt bị quét phổ để xác định các thiết bị nghe trộm, cung như xác định công
suất phát hợp lí để tránh tín hiệu sóng bị rò rỉ ra ngoài phạm vi cần thiết.
Bên cạnh đó cũng có thể tích hợp công nghệ VPN để bảo mật cho kết nối WLAN. Khi
VPN server được tích hợp vào AP, các client sử dụng phần mềm VPN client, sử dụng các
giao thức như PPTP hoặc Ipsec để hình thành một đường hầm trực tiếp tới AP.
Trước tiên client liên kết tới điểm truy nhập, sau đó quay số kết nối VPN, được yêu cầu
thực hiện để client đi qua được AP. Tất cả lưu lượng được qua thông qua đường hầm, và
có thể được mã hóa để thêm một lớp an toàn.
Wireless VPN
Sự sử dụng Ipsec với những bí mật dùng chung hoặc những sự cho phép là giải pháp
chung của sự lựa chọn giữa những kỹ năng bảo mật trong phạm vi hoạt động này. Khi
VPN server được tích hợp vào trong một Gateway, quá trình xảy ra tương tự, chỉ có điều
sau khi client liên kết với AP, đường hầm VPN được thiết lập với thiết bị gateway thay vì
với bản thân AP.
Thực hiện cấu hình 802.1x trên AP 1220 với phần mềm ACS cài trên Window 2000
server làm RADIUS server
Các bước tiến hành:
Chuẩn bị về thiết bị: 01 PC cài Window 2000 Server, 01 AP, trong phần này tôi làm với
AP 1220 của Cisco, 01 PC làm có card Wireless (hoặc Laptop có hỗ trợ Wireless).
Phần mềm: Đĩa cài Window 2000 Server, Đĩa cài ACS V3, nếu là dùng PC có card
wireless, thì cần thêm phần mềm ACU cho card này để hỗ trợ cấu hình Client.
Tiến hành cài đặt:
1/ CÀI ĐẶT WIN2000 SERVER VÀ ACS:
Trên PC định làm Radius server, cài Window 2000 server, các dịch vụ để mặc định, sau
đó cài phần mềm ACS lên, trong phần này tôi dùng ACS321.
2/ CẤU HÌNH AP1220:

Cấu hình ban đầu cho AP 1220, thông qua cổng console
Địa chỉ mặc định của AP là 10.0.0.1, User mặc định: cisco, pass: Cisco
B1:
Đặt lại địa chỉ cho AP để có thể cấu hình bằng WEB:
Bạn có thể để địa chỉ mặc định, tuy nhiên để có thể cấu hình bằng WEB trên máy của bạn
thì cần cấu hình hai thiết bị, PC và AP có cùng Subnet:
Đặt mật khẩu enable, console, telnet,
B2: Cấu hình xác thực 802.1x:
Xác định RADIUS Server và Cấu hình thông tin giữa AP và RADIUS server:
• Hostname hoặc địa chỉ của RADIUS Server
• Cấu hình cổng Authen đích
• Cấu hình cổng Accou đích
• Cấu hình Shared Key
AP(config)# aaa new-model
AP(config)# radius-server host radius_address auth-port 1645 acct-port 1646
AP(config)# radius-server key shared_key
Defining AAA Server Groups
AP(config)# aaa group server radius group_name
AP(config-sg-radius)# server radius_address auth-port 1645 acct-port 1646
AP(config-sg-radius)# exit
AP# Copy run start
Sau đây là cấu hình chi tiết của một AP đã thực hiện thành công
AP# Show run
aaa new-model phải enable◊ Chế độ AAA mặc định là disable ⇓
!
aaa group server radius rad_eap ◊ định nghĩa group
server radius_address auth-port 1645 acct-port 1646
!
aaa group server radius rad_mac
!

aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local
aaa authorization ipmobile default group rad_pmip
aaa accounting network acct_methods start-stop group rad_acct
aaa session-id common
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode wep mandatory
!
ssid ssid
authentication open eap eap_methods
authentication network-eap eap_methods
!
!
interface Dot11Radio1
no ip address

no ip route-cache
!
encryption mode wep mandatory
!
ssid ssid
authentication open eap eap_methods
authentication network-eap eap_methods
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address Bvi1_address
no ip route-cache
!
ip http server
ip http help-path 122-15.JA/1100
ip radius source-interface BVI1
radius-server attribute 32 include-in-access-req format %h
radius-server host server_address auth-port 1645 acct-port 1646
radius-server key shared key trùng mật khẩu đã cấu hình trên Radius server⇓
radius-server authorization permit missing Service-Type
radius-server vsa send accounting
bridge 1 route ip

!
!
!
line con 0
line vty 5 15
end
3/ TẠO DATABASE TRÊN RADIUS SERVER
Sau khi đã cài ACS trên Win2000 server để làm RADIUS server, cần truy nhập vào ACS
để xây dựng database:
Giao diện của ACS như sau
Thêm một người dùng vào danh sáchUser:
Đặt mật khẩu cho Client
Vào phần Network Configuration để add Radius Client, và shared key:
Tên, địa chỉ và shared key:
Sau khi đã cấu hình xong AP và RADIUS server
Bật Wireless trên Client, đặt địa chỉ IP cùng mạng với AP, cấu hình SSID, bật tính năng
chứng thực 802.1x, đợi một vài giây AP sẽ yêu cầu chứng thực, nhập Username và
password đã cấu hình trên RADIUS server, nếu báo chứng thực thành công, thì thử ping
đến RADIUS server, nếu thành công thì coi như quá trình cấu hình đã hoàn tất
chứng thực 802.1x trong Switch 2950
show run
Building configuration
Current configuration : 1356 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!

hostname Switch
!
aaa new-model
aaa authentication dot1x default group radius local
!
ip subnet-zero
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
dot1x system-auth-control
!
!
More !
!
interface FastEthernet0/1
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6

!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
More interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21

More !
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface Vlan1
ip address 10.0.0.4 255.255.255.0
no ip route-cache
!
ip http server
radius-server host 10.0.0.9 auth-port 1812 acct-port 1813
radius-server retransmit 3
radius-server key 12345
!
line con 0
line vty 5 15
!
!
end