ACS 5.2和无线控制器配置PEAP和EAP-FAST示例

ACS 5.2做为Radius服务器和无线控制器为无线客户端动态分配VLAN 的配置上次讲了如何配置ACS 5.2来认证无线客户端。

下面通过图示看看如何配置ACS 5.2做为Radius服务器和无线控制器为无线客户端动态分配VLAN。

关于无线控制器的配置不做介绍请见下面文档：/web/CN/products/products_netsol/wireless/pdf/wlc_cg_4.pdf 关于无线客户端的配置请见之前的文章，这里也不描述了。

下面来看看如何配置ACS 5.2，主要配置步骤如下：- 生成证书；- 添加NAS client；- 配置用户和组；- 配置授权策略- 定义访问策略生成证书；请参考之前的文章，这里不做描述。

添加NAS client；请参考之前的文章，这里不做描述。

配置用户和组；这里我们要定义两个用户并将其归纳到不同的组中。

首先创建组，点击Users and Identity Stores -> Internal Identity Stores -> Identity Groups，点击Create，输入组名称，点击submit。

同样操作过程，再创建一个组然后创建用户，点击Users and Identity Stores -> Internal Identity Stores -> Users，点击Create，输入用户名/密码信息并将该用户对应到组，然后submit同样操作过程，再创建一个用户配置授权策略点击Policy Elements -> Authorization and Permissions -> Network Access -> Authorization Profiles，在General页面输入策略名称，在Common Tasks页面，VLAN处配置VLAN ID，此时如果没有其它需要设置项就可以submit 了。

查看无线局域网控制器(WLC)错误和系统消息常见问题目录简介规则错误消息常见问题解答相关信息简介本文档介绍有关思科无线局域网(WLAN)控制器(WLC)的错误消息和系统消息的常见问题(FAQ)。

规则有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

错误消息常见问题解答问：开始使用Cisco 4404 WLC将200多个接入点(AP)从Cisco IOS®软件转换为轻量AP协议(LWAPP)。

48个AP的转换已完成，WLC上收到的消息显示： [] spam_lrad.c 42121APAP。

为什么会出现此错误？A.您必须创建其他AP管理器接口才能支持超过48个AP。

否则，您将收到如下错误消息：Wed Sep 28 12:26:41 2005 [ERROR] spam_lrad.c 4212: AP cannot join becausethe maximum number of APs on interface 1 is reached.配置多个 AP 管理器接口，并配置其他 AP 管理器接口未使用的主/备份端口。

您必须创建另一个AP管理器接口以启动其他AP。

但是，请确保每个管理器的主端口和备份端口配置不会重叠。

换句话说，如果 AP 管理器 1 使用端口 1 作为主端口，端口 2 作为备份端口，则 AP 管理器 2 必须使用端口 3 作为主端口，端口 4 作为备份端口。

问：我有一台无线局域网控制器(WLC)4402，我使用1240个轻量接入点(LAP)。

我在WLC上启用了128位加密。

当我在WLC上选择128位WEP加密时，我收到一个错误消息，指出1240s不支持128位：[ERROR] spam_lrad.c 12839WEP128CISCO AP xx:xx:xx:xx:xx:xx:xx:xx:xx:xxSSID型。

为什么我会收到此错误消息？A.WLC上显示的密钥长度实际上是共享密钥中的位数，不包括初始化向量(IV)的24位。

无线路由器的AP、Client、WDS、WISP使用功能图解（原创）先从有线路由器说起。

现在的家用有线路由器，一般都有一个WAN口和几个LAN口，可以等效看成是三个部分组成：一个有一个WAN口和一个LAN口的路由器，一个有几个LAN口的网络交换机，一个接在LAN口的DHCP服务器。

无线路由器的无线功能关闭后，就是这样的一个有线路由器。

使用时，Internet网线插接在路由器的WAN口，电脑通过带水晶头的网线插接在交换机的LAN口。

$ S3 g L; z+ ?& M8 \0 p3 T) s B' D" v( M无线路由器的无线功能开启后，设想在路由器的LAN口上，接了一个无线交换机。

这个无线交换机的无线插接口，就是这个无线路由器的无线AP，这种工作模式就是无线路由器的AP 模式（无线接入点模式）。

一个电脑上用的无线网卡，可以看成是一个无线插接头。

无线路由器的无线AP可以看成是无线交换机的无线插接口。

一个无线网卡无线连接到无线AP，就相当于一根网线的网线头插接在一个有线交换机的LAN口上了。

8 r( e4 a) r D$ h. x( X |* D一根网线的一个网线头只能插接在一个有线交换机上，一个有线交换机上可以插接几根网线。

和有线交换机类似，一个无线网卡只能无线连接到一个无线AP，一个无线AP上可以有几个无线连接的无线网卡。

本帖的所有使用功能图解中，实线标示有线连接，虚线标示无线连接。

1 w: Z8 W0 V! B. I" c$ e8 V现在设想在路由器的LAN口上，接了一个电脑上用的普通无线网卡，可以无线连接到另一个无线路由器的无线AP，这种工作模式就是无线路由器的Client模式（无线客户端模式）。

如果AP模式和Client模式同时工作运行，就是无线路由器的AP+Client模式。

! ]# b+ G: U* e% o再设想在路由器的LAN口上，接了一个专用的无线网卡。

802.1x –ACS 5.2结合Active Directory进行Machine&User认证配置目录一、测试环境 (1)1. 拓扑 (1)2. 准备 (1)二、配置ACS 5.2 (2)1. 配置ACS与Active Directory结合 (2)2. 创建ACS Group (4)3. 创建用于802.1x认证的Authorization Profiles (4)4. 创建Access Service (5)三、Windows客户端配置PEAP (10)1. Windows 2000 & Windows XP (SP1,SP2) (10)2. Windows Vista & Windows XP (SP3) (11)3. Windows 7 (13)一、测试环境1. 拓扑2. 准备a. ACS的name-server设置为域控制器的IP。

b. ACS的timezone设置为Asia/Chongqing。

c. ACS的NTP设置为域控制器的IP。

二、配置ACS 5.21. 配置ACS与Active Directory结合a.登录ACS Web GUI，“Users and Identity Stores”->“External Identity Stores”->“Active Directory”，在“General”分栏中，“Active Directory Domain Name:”填写AD域名（e.g. ），“Username:”与“Password:”填写AD域管理员账号和密码，点击“Test Connection”测试连接是否成功。

勾选“Enable password change”、“Enable machine authentication”、“Enable Machine Access Restrictions”，最后点击“Save Changes”。

无线EAP安全认证为了公司IT无线上网侧更加安全，现在我们需要对无线客户端进行认证，目前采用两种方式对移动终端进行认证，一种是802.1X中的PEAP+AD域认证，第二种是EAP+TLS认证。

相对而言EAP+TLS认证更加安全，但是部署相对复杂.拓扑图如下：一、ACS5.6上的配置1、添加AAA客户端，本次用的是华为的AC6605：2、添加AD域3、添加域中的认证组4、在Policy Elements > Authorization and Permissions > Network Access > AuthorizationProfiles > Edit: "dot1x-profile"中创建profile：下一步创建profile里面的属性5、在Access Policies > Access Services >中添加service点击Allowed Protocols,选择我们需要用的几个协议EAP-TLS ,PEAP6、在Access Policies > ... > Access Services > Service Selection Rules中创建RADIUS的认证，所有匹配radius的服务全部转到dot1x-service中去处理，注意默认的default 策略需要改成deny7、在Access Policies > Access Services > dot1x-service > Identity中创建规则，这个规则表明当匹配到EAP-TLS认证是，转到CN Username中去处理，如果不匹配的话，就转到AD1中去处理，这个是做PEAP认证。

8、创建授权信息，主要创建2个规则一个是对EAP-TLS的，一个是对PEAP用的。

默认的的规则里是没有EAP的方式的，需要自定义规则的匹配项：在这里选择了EAP上图是给EAP-TLS认证用的上图是给PEAP使用的9、由于EAP认证需要用到证书，这个证书是服务器发给客户端的，让客户端对服务器进行验证，因此需要客户端加入域，而且也必需给ACS颁发域证书，这样客户端才能信任服务器的证书，完成EAP-TLS的TLS隧道的建立，具体做法附件文档中;WIN7 PEAPrejected the ACS Loc10、到第九步来说，PEAP认证的配置过程就做完了，EAP还需要2步，我们需要再ACS 上导入域的根证书：先申请根证书：下载证书：在Users and Identity Stores > Certificate Authorities > Create中导入证书最后在Users and Identity Stores >Certificate Authentication Profile >中创建新的CN Username二、客户端上的配置默认的来说，客户端上需要加入域，而且无线侧需要开启WLAN AutoConfig在无线网卡中需要做如下的配置：EAP-TLS的在这里需要注意的书，我们需要将我们的域中的CA服务器选上，不然认证会失败PEAP认证的设置如下：在这里需要注意的书，我们需要将我们的域中的CA服务器选上，不然认证会失败三、AC控制器上的配置：由于HUAWEI无线控制的版本不同，导致AC的命令也是不同的，现在我们的版本是AC6605 V200R006C10SPC200。

声明Copyright © 2021 普联技术有限公司版权所有，保留所有权利未经普联技术有限公司明确书面许可，任何单位或个人不得擅自仿制、复制、誊抄或转译本手册部分或全部内容，且不得以营利为目的进行任何方式（电子、影印、录制等）的传播。

为普联技术有限公司注册商标。

本手册提及的所有商标，由各自所有人拥有。

本手册所提到的产品规格和资讯仅供参考，如有内容更新，恕不另行通知。

除非有特殊约定，本手册仅作为使用指导，所作陈述均不构成任何形式的担保。

目录第1章前言 (1)目标读者 (1)本书约定 (1)第2章设备管理 (2)FAT模式下如何登录管理页面 (2)2.1.1应用介绍 (2)2.1.2需求介绍 (2)2.1.3设置方法 (2)2.1.4配置注意事项 (6)第3章基础联网设置 (7)如何配置连接互联网 (7)3.1.1应用介绍 (7)3.1.2需求介绍 (8)3.1.3设置方法 (8)第4章易展管理 (13)易展AP的FAT模式（AP模式）如何使用？ (13)4.1.1应用介绍 (13)4.1.2需求介绍 (13)4.1.3设置方法 (14)易展AP的FAT模式（Router模式）如何使用？ (18)4.2.1应用介绍 (18)4.2.2需求介绍 (18)4.2.3设置方法 (19)4.2.4配置注意事项 (23)第5章安全管理 (24)FAT模式下MAC地址过滤配置指南 (24)5.1.1应用介绍 (24)5.1.2需求介绍 (24)5.1.3设置方法 (24)第6章工业级AP特性 (26)【工业级AP】AP模式使用指南 (26)6.1.1产品介绍 (26)6.1.2需求介绍 (26)6.1.3设置方法 (27)【工业级AP】Client模式使用指南 (31)6.2.1产品介绍 (31)6.2.2需求介绍 (31)6.2.3设置方法 (32)第7章其他功能 (36)FAT模式下弱信号限制和弱信号剔除配置指南 (36)7.1.1应用介绍 (36)7.1.2需求介绍 (36)7.1.3设置方法 (36)FAT模式下多个SSID配置指南 (37)7.2.1应用介绍 (37)7.2.2需求介绍 (37)7.2.3设置方法 (38)FAT模式下的无线桥接（WDS）配置指南 (40)7.3.1应用介绍 (40)7.3.2需求介绍 (40)7.3.3设置方法 (40)7.3.4配置注意事项 (45)FAT模式下连云配置指南 (46)7.4.1应用介绍 (46)7.4.2需求介绍 (47)7.4.3设置方法 (47)FAT模式下Ping看门狗配置指南 (55)7.5.1应用介绍 (55)7.5.2需求介绍 (55)7.5.3设置方法 (55)7.5.4配置注意事项 (58)第1章前言本手册旨在帮助您正确使用ER 2/3/5/6/7/8系列企业级路由器。

保护您的无线网络在家庭无线网络中，您可以使用不同的简单安全性措施来保护您的网络和连接。

您可以：•启用Wi-Fi保护性接入（WPA）。

•更改您的密码。

•更改网络名称（SSID）。

Wi-Fi保护性接入（WPA）提供加密以帮助保护您在网络上数据。

WPA使用一种加密密钥（称为预配置共享密钥）在数据传输之前对其加密。

您需要在您的家庭或小商业网络上的所有计算机和接入点（AP）上输入相同的密码。

只有使用相同加密密钥的设备才能访问该网络或解密其他计算机传输的加密数据。

该密钥自动初始化用于数据加密过程的“时间性密钥完整性协议”仃KIP）。

预配置共享密钥WEP加密提供两种级别的安全性：•64位密钥（有时称之为40位）•128位密钥（也称为104位）为提高安全性，使用128位密钥。

如果使用加密，无线网络上的所有无线设备必须使用相同的密钥。

您可以自己创建密钥，并指定密钥的长度（64位或128位）和密钥索引（存储某个特定密钥的位置）。

密钥长度越长，该密钥就越安全。

密钥长度：64位•口令短语（64位）：输入5个字母数字字符：0-9、a-z或A-Z。

•十六进制（64位）：输入10个十六进制字符：0-9、A-F。

密钥长度：128位•口令短语（128位）：输入13个字母数字字符：0-9、a-z或A-Z。

•十六进制（128位）：输入26个十六进制字符：0-9、A-F。

在WEP数据加密中，一个无线站最多可配置四个密钥（密钥索引值1、2、3和4）。

当一个接入点（AP）或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时，被传输的消息指明用来加密消息正文的密钥索引。

接收的AP或无线站就可检索储存在该密钥索引中的密钥，并用它来解码加密的消息正文。

开放和共享网络验证IEEE802.11支持两类网络验证方法：“开放系统”和“共享密钥”。

•当使用开放验证时，任何无线站都可请求验证。

需要由另一个无线站验证的无线站发出一个验证管理请求，其中包含发送站的身份。

案H3C WX系列AC下两个FIT AP桥接配置指导关键词:作者：杰2012年6月1日发布•2推荐，601浏览•10收藏，我的收藏功能需求H3C WX系列AC下两个FIT AP桥接配置一、组网需求无线控制器（AC）、无线接入点（FIT AP）、无线笔记本二、组网图本次配置举例中使用AC为WX3010，FIT AP为WA2210-AG/WA2220-AG，AC作为DHCP 服务器，AP在AC上自动获取IP地址（192.168.1.0），并在AC上注册成功；笔记终端通过5GHz接入无线服务，在AC上获取IP地址（192.168.2.0），并通过AC转发外网数据。

三、特性介绍无线网桥是无线射频技术和传统的有线网桥技术相结合的产物，无线网桥可以无缝地将相隔较远距离的局域网络连接在一起，创建统一的企业或小型城域网络系统，在最简单的网络构架中，网桥的以太网端口连接到局域网中的某个接入层的交换机上，信号发射端口则通过电缆和天线相连接；通过这样的方式实现现有网络系统的扩展。

其优势和特点就是省去了有线的架设难度，可以简单的将有线网络或者无线网络孤岛连接到一个现有的网络中，或者将几个有线或者无线网络的孤岛一个局域网络。

并且在两点之间提供数据传输，具备基本功能：链路的建立：通过在对等体之间交换消息来建立连接链路的安全：提供PSK＋CCMP的无线安全连接AC + FIT AP建立桥接组网中，近端AP 2通过有线与AC 通信，远端AP 1是通过默认的桥接与AP 2建立桥接连接（该桥接可以维持2分钟，2分钟之后将断开连接），AP 1通过默认的桥接链路到AC注册，并下载新的桥接配置，然后使用新的桥接配置建立桥接关系。

AP 1上通过无线接入的终端数据报文，使用桥接链路将数据报文上传到AC，由AC统一转发；如果数据报文从AP的以太网口传送过来，那数据报文通过桥接链路传送到AP 2之后，AP 2二层转发数据。

四、主要配置步骤1.开启端口安全[AC]port-security enable2.使能MKD服务绑定，为Mesh Profile使能MKD服务[AC]mkd-service enable mesh-profile13.配置桥接接口[AC]int wlan-mesh 1[AC-WLAN-MESH1] port link-type trunk[AC-WLAN-MESH1] port trunk permit vlan all[AC-WLAN-MESH1]port-security port-mode psk[AC-WLAN-MESH1] port-security tx-key-type 11key[AC-WLAN-MESH1]port-security preshared-keypass-phrase mesh12344.配置桥接mesh-profile[AC]wlan mesh-profile1[AC-wlan-mshp-1]mesh-id mesh1[AC-wlan-mshp-1]bind WLAN-MESH 1[AC-wlan-mshp-1]mesh-profile enable5.配置无线服务[AC]wlan ser 1 clear[AC-wlan-st-1]wlan service-template 1 clear[AC-wlan-st-1]ssid H3C-WLAN[AC-wlan-st-1]bind WLAN-ESS 0[AC-wlan-st-1]service-template enable6.配置AP模板[AC]wlan ap 1 model WA2220-AG id 1[AC-wlan-ap-1]serial-id 000F-E2F2-0340[AC-wlan-ap-1]radio 1[AC-wlan-ap-1-radio-1]service-template 1[AC-wlan-ap-1-radio-1] radio enable[AC-wlan-ap-1-radio-1]quit[AC-wlan-ap-1]radio 2[AC-wlan-ap-1-radio-2]channel 11[AC-wlan-ap-1-radio-2]mesh-profile 1[AC-wlan-ap-1-radio-2]mesh peer-mac-address0023-892f-42a0[AC-wlan-ap-1-radio-2]radio enable[AC]wlan ap 2 model WA2210-AG id 2[AC-wlan-ap-2] serial-id 0023-892F-42A0[AC-wlan-ap-2] portal-service enable[AC-wlan-ap-2]radio 1[AC-wlan-ap-2-radio-1]channel 11[AC-wlan-ap-2-radio-1]mesh-profile 1[AC-wlan-ap-2-radio-1]mesh peer-mac-address0023-892f-42a0[AC-wlan-ap-2-radio-1]radio enableAP 1为远端AP，AP 2 为近端AP。

ACS5中文配置手册详解编辑整理：尊敬的读者朋友们：这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（ACS5中文配置手册详解）的内容能够给您的工作和学习带来便利。

同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。

本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为ACS5中文配置手册详解的全部内容。

ACS 5。

1配置步骤详解2010年3月26日Ma Min1、ACS登录方式ACS可以通过GUI和CLI两种方式登录，以下介绍均采用GUI方式通过IE浏览器键入https：//acs ip address ACS登录方式https://10.232.1.71/2、配置网络资源需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置Location和设备所属类型Device Type规划，这个在将来认证和授权时会用到.网络资源组〉网络设备组NDG下配置位置Location例子网络资源组>网络设备组NDG下配置设备类型Device Type例子配置需要实施认证的设备，包括NCM服务器本身。

网络资源组>网络设备组NDG下配置网络设备和AAA客户端Network Devices and AAAClients例子以配置设备6509为例,将此设备分配到”北京”站点和"思科”设备组，指定IP地址，选择TACACS+协议，配置TACACS+ KEY，选择single connect device 将所有的TACACS+协议交互信息在单一TCP连接中传输。

以配置北电设备为例,选择RADIUS协议。

3、配置用户和用户组配置身份组别例子，建立办公网运维管理、生产网运维管理、生产网配置监控三个组别创建用户名，密码，分配用户到某个组别中.4、配置策略元素配置授权和许可策略，其中设备管理包括shell profiles和Command Sets对于客户端接入包括网络接入（Authorization Profiles）和命名的许可对象(Downloadable ACLs）以下是定义一个下载ACL的例子配置ACL—CISCO的例子配置时间段策略元素,可以控制某个时间对设备的访问权限。

.全码科技---技术部全码科技技术部雪寒第1章章目录第1章目录1.11.1.11.1.21.1.31.1.41.1.51.1.61.1.71.1.81.1.91.1.101.1.111.1.121.1.13ACS 的配置ACS 的配置11AAA 的配置超级用户的配置定义管理策略配置使用外部 Windows 数据库接口（Interface）的配置系统备份日志的配置创建网络设备组（Network Device Group）配置冗余服务器（Backup Server）配置命令授权创建用户外数据库映射数据库的映射匿名用户策略(Unknown User Policy)2 2 4 11 12 14 15 17 21 25 31 33 35 361.1 AAA 的配置1.1.1 超级用户的配置在 Cisco ACS Engine 上首先进行管理员（administrator user）或超级用户（super user）的设置。

此用户拥有使用 ACS 所有功能的权限，因此此账户消息必须进行，它是管理所有 ACS 应用资源的关键。

请参考如下的配置步骤进行管理员用户的创建：第一步：在 Aministration Control 菜单下，点击 Add Administrator 按钮添加管理员。

插图0-1 ACS 添加管理员第二步：键入管理员的名字及密码并点击 Grant All 按钮，然后点击 Submit。

插图0-2 ACS 添加管理员（续）添加管理员（1.1.2 定义管理策略起初 Cisco ACS Engine 只能通过 Console 来进行本地访问，一旦管理策略建立好后，Cisco ACS Engine 可以通过配置的管理策略进行远程访问。

管理策略包括访问策略（Access Policy），会话策略（Session Policy），和审计策略（Audit Policy）。

首先进行访问策略的配置，使其只允许用 HTTPS 进行远程访问，并且限制访问端口围为 2000-2999 从而制定相应的防火墙策略。

设备情况：* Cisco Catalyst 2950T-24交换机，Version 12.1(22)EA1b* 一台windows 2000 Server SP1服务器做为AD Server及CA Server* 一台Windows 2000 Server SP4服务器做为ACS Server* 一台Windows XP SP2工作站做为终端接入设备* Cisco Secure ACS for Windows version 3.2.3严重说明：因为MS CA证书服务的一个缺陷，在某些客户机上使用WEB页面进行证书申请时会出现“Downloading ActiveX Control”提示信息后不能继续下一步的错误，请参阅MS QB323172下载相关补丁进行处理，并请参阅文末的tips：/default.ASPx?...kb;en-us;330389/default.aspx?...kb;en-us;323172拓扑图见下：传统802.1x认证采用MD5-Challenge认证，用户在接入网络时需输入用户名和口令，安全性也相对薄弱。

PEAP和EAP-TLS都是利用了TLS/SSL隧道，PEAP只使用了服务器端的认证，只是服务器端拥有证书并向用户提供证实，而EAP-TLS使用了双向认证，ACS服务器和客户端均拥有证书并进行相互间的身份证实。

一、配置Secure ACS1、在ACS服务器上申请证书在AD Server上做好AD安装及证书服务设置后，在ACS服务器浏览器上键入http://192.168.168.196/certsrv进入证书WEB申请页面，登录用户采用域治理用户账号。

选择“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”，接下来Certificate Template处选择“Web Server”，Name：处填入“TestACS”，Key Options:下的Key Size:填入“1024”，同时勾选“Mark keys as exportable”及“Use local machine store”两个选项，然后submit。

文件编号：ACS 5.2 VMware Appliance安装手册版本：1.0XX网络2011年2月文件说明本程序文件对Cisco厂商的ACS产品的基本安装说明，本文档的ACS软件版本是5.2，涉及的产品是ACS VMware Appliance。

公司名称：X X X X X X系统股份有限公司网址：w w w.X X X.c o m.c n 电话：8610-8821X X X传真：8610-8821X X X地址：北京市X X X X X X X X X X X X邮编：100X X X文件修订记录公司名称：X X X X X X系统股份有限公司网址：w w w.X X X.c o m.c n 电话：8610-8821X X X传真：8610-8821X X X地址：北京市X X X X X X X X X X X X邮编：100X X X目录1ACS介绍 (5)1.1产品介绍 (5)1.2产品组成 (5)1.3产品与版本对应关系 (6)1.4特性对比与产品定位 (6)2安装ACS (7)2.1安装最小需求 (7)2.2VMware ESXi 配置 (8)2.3ACS安装 (24)3ACS登录初始化 (27)3.1ACS初始化 (27)3.2ACS登录 (29)3.2.1CLI登录 (29)3.2.2WebUI登录 (30)公司名称：X X X X X X系统股份有限公司网址：w w w.X X X.c o m.c n 电话：8610-8821X X X传真：8610-8821X X X地址：北京市X X X X X X X X X X X X邮编：100X X X1ACS介绍1.1 产品介绍Cisco Secure Access Control System，即ACS，是思科TrustSec解决方案的核心组件，是能够提供RADIUS和TACACS+服务的策略管理平台，是实现企业网络访问策略与身份管理的平台。

一、无线控制器调试1、控制器初始化跳过2、接口配置配置虚拟接口用于AP用户进行接入，DHCP由内部交换机分配，AP地址由Managenent进行分配。

如果AP获取不到地址可以手动指定AP地址以及控制器地址。

3、DHCP配置4、SSID分配分配四个SSIDXCKG用于内部域用户直接登录配置如下：配置如下：XCKG-Vendor供合作伙伴使用，使用权限为4小时，同时可以访问任意网络，账户的开通同样使用手机号，配置如下：XCMOBILE用于手机PAD等无线客户端用，采用域账户名和密码进行登录，享有全部权限，配置如下：5、本地认证配置新建用户可选择实效性6、远程ACS认证配置7、访问控制设置8、WEB推送定义跳转页面二、ACS调试1、初始化定义设备地址与用户名密码等，同时注意Nameserver地址为域服务器地址。

2、设备类型定义3、设备注册，包括控制器与客户网关设备注册，区分地址。

4、ACS与AD结合捆绑测试要成功，成功后保存，测试如下5、新建策略组6、编辑策略组支持的协议7、选择策略为AD1如下：8、新建规则，匹配选择如图：9、可查看策略匹配次数10、ACS证书制作，生成本地与AD结合证书点击增加按钮点击finish完成制作的证书会有如下显示：选择导出，下载文件11、ACS证书制作，登录证书服务器制作认证证书登录CA服务器主页选择申请证书选择高级证书申请选择64编码选项复制从ACS生成的本地证书里面的内容，粘贴至图中对话框证书模版选择WEB服务器并提交选择64位编码下载证书12、ACS证书制作，导入生成的证书到ACS选择EAP 选项13、 查看设备注册状态用于排错 选择Launch选择radius认证部分选择匹配条件搜出得出如下信息三、测试经过测试，选择不同的SSID需要不同的认证信息，认证信息可以本地建库也可以通过远端域控服务器内的用户资源进行认证，采用域认证的时候可以通过三层WEB认证获取域内活动目录进行认证，也可以通过二层802.1X进行认证，通过PEAP的方式推送本地计算机名与密码或者采用域用户名和密码，首次加入域需要进行有线注册，加入后域内计算机开机就可以直接通过域验证进入系统并开启无线网络服务。

1、ACS配置ACS的配置难点在部署的时候的配置，部署完毕之后使用起来就比较容易了，只要创建好用户，定义好密码，然后放在对应的组里就可以了，具体操作步骤如下:按照如图1-1所示的方法打开用户添加界面图 1-1用户添加界面打开后如图1-2所示，里面的内容比较复杂，对我们来说最重要的部分是用户名、密码以及用户组，添加用户界面中的项目作用如图1—3：图中标“1”的部分：用户名字段，登录的时候这个就是Username图中标“2”的部分:用户组，之前我们说过ACS的策略权限等的定义都是基于用户组进行的，而细化到对用户的权限控制,就是把用户放入对应的组里图中标“3”的部分：登录密码，登录的时候这个就是password图中标“4”的部分：勾选这个之后用户第一次登录的时候登录的网络设备会提示要修改新的密码（思科的设备经测试有效）图中标“5"的部分：使能密码，也就是我们常说的enable密码，这个密码如果需要使用则需要在设备上开启enable使用AAA服务器做认证（暂未测试）图 1-2图 1-3配置完毕后点击Submit按钮,就可以直接使用这个账号登录所有以这台服务器作为AAA认证服务器并开启了vty线程AAA认证的网络设备了,使用Tacacs+服务的设备还可以根据用户组中定义的授权信息对登录上来的用户做授权。

2、网络设备的配置不同的网络设备配置命令是不一样的，具体的配置需要参考相关设备的配置手册，由于ACS本来就是Cisco的东西，所以Cisco的设备相对来说兼容性是最好的。

2。

1、Cisco设备的配置//AAA服务配置aaa new—model //定义新的AAA实例aaa authentication login MAGIgroup tacacs+ local—case //命名一个名为MAGI的登录认证规则，且如果tacacs+服务不可达,则自动使用本地数据库信息认证aaa authorization exec MAGI grouptacacs+ local //命名一个名为MAGI的特权授权规则，且如果Tacacs+服务不可达，则自动使用本地数据库信息授权tacacs-server host 192。

H3C WX系列AC+Fit AP PSK认证方式典型配置举例关键词：PSK摘要：随着无线网络应用的广泛普及，越来越多无线用户出现，使得无线安全问题凸显出来，本配置举例可以实现利用预共享密钥认证方式对无线用户进行控制，对无线数据进行保护。

缩略语：目录1 特性简介2 应用场合3 配置举例3.1 组网需求3.2 配置思路3.3 使用版本3.4 配置步骤3.4.1 配置AC3.5 验证结果4 相关资料4.1 相关协议和标准4.2 其它相关资料1 特性简介PSK（Preshared Key，预共享密钥）用来以预共享密钥的方式对无线用户的接入进行控制，并能够动态产生密钥保护无线局域网中的授权用户所交换的数据的性，防止这些数据被随机窃听。

2 应用场合PSK对无线报文的一种预共享密钥的认证方式和产生动态密钥对无线数据报文进行加密，该协议适用于接入设备与无线客户端点到点的连接方式。

通过预共享密钥的方式来进行认证，并产生动态密钥对数据进行加密。

3 配置举例3.1 组网需求本配置举例中的AC使用的是WX5002无线控制器，AP使用的是WA2100无线局域网接入点。

本配置举例通过在AC的WLAN-ESS 40端口上启用802.1x认证来达到对接入点Client进行控制的目的。

图3-1 802.1x远程认证组网图3.2 配置思路配置PSK认证，需要配置以下容：创建启用PSK认证的服务模版。

在AP模版中引用该服务模版。

3.3 使用版本<AC>display versionH3C Comware Platform SoftwareComware Software, Version 5.00, 0001Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Jul 13 2007 14:32:12, RELEASE SOFTWAREH3C WX5002-128 uptime is 0 week, 2 days, 16 hours, 48 minutesCPU type: BCM MIPS 1250 700MHz512M bytes DDR SDRAM Memory32M bytes Flash MemoryPcb Version: ALogic Version: 1.0Basic BootROM Version: 1.13Extend BootROM Version: 1.14[SLOT 1]CON (Hardware)A, (Driver)1.0, (Cpld)1.0[SLOT 1]GE1/0/1 (Hardware)A, (Driver)1.0, (Cpld)1.0[SLOT 1]GE1/0/2 (Hardware)A, (Driver)1.0, (Cpld)1.0[SLOT 1]M-E1/0/1 (Hardware)A, (Driver)1.0, (Cpld)1.03.4 配置步骤3.4.1 配置AC1. 配置信息<AC>display current-configuration #version 5.00, 0001#sysname AC#domain default enable cams#port-security enable#dot1x authentication-method eap#vlan 1#dhcp server ip-pool 20network 20.1.1.0 mask 255.255.255.0 #wlan-template 40 cryptossid joe_pskbind WLAN-ESS 40authentication-method open-system authentication-method shared-keycipher-suite tkipsecurity-ie wpaservice-template enable#wlan rrm11a mandatory-rate 6 12 2411a supported-rate 9 18 36 48 5411b mandatory-rate 1 211b supported-rate 5.5 1111g mandatory-rate 1 2 5.5 1111g supported-rate 6 9 12 18 24 36 48 54 #interface NULL0#interface LoopBack0#interface Vlan-interface1ip address 20.1.1.200 255.255.255.0#interface Vlan-interface2ip address 8.1.1.1 255.255.255.0#interface GigabitEthernet1/0/1#interface GigabitEthernet1/0/2port access vlan 2#interface M-Ethernet1/0/1#interface WLAN-ESS40port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase yuhongjoe undo dot1x multicast-trigger#wlan ap ap1 model WA2100serial-id h3c000fe258e820radio 1 type 11gchannel 1max-power 3-template 40radio enable#dhcp enable#load xml-configuration#user-interface aux 0user-interface vty 0 4#return2. 主要配置步骤(1)无线服务集设置<AC>system-view# 创建WLAN-ESS接口40。