TÀI LIỆU THỰC HÀNH MÔN CN MẠNG KHÔNG DÂY
MỤC LỤC
Lab 1: Làm việc với Ad-hoc Wireless LAN ... 5
1.1. Mục tiêu ... 5
1.2. Cài đặt card mạng không dây Linksys Wireless WUSB54G ... 5
1.3. Tạo mạng ad-hoc không dây trên Windows ... 7
1.4. Kết nối vào mạng wireless ad-hoc từ Windows Client ... 10
1.5. Cấu hình Secutity cho mạng wireless ad-hoc ... 12
1.6. Chia sẻ file trên mạng wireless ad-hoc ... 13
Lab 2: Cấu hình Router và Client – Phần Cơ bản ... 17
2.1. Mục tiêu ... 17
2.2. Kết nối đến Wireless Router ... 17
2.3. Cấu hình Wireless Router cơ bản... 19
2.3.1. Thay đổi host name và time zone ... 19
2.3.2. Đổi mật khẩu admin, truy cập từ xa và disable uPnP ... 20
2.3.3. Cấu hình hệ thống log... 22
2.4. Test kết nối Internet ... 23
2.5. Cấu hình wireless security cơ bản ... 24
Lab 3: Cấu hình Wireless cơ bản ... 26
3.1. Mục tiêu ... 26
3.2. Site survey ... 26
3.3. Cấu hình wireless channel ... 27
3.4. Cấu hình Service Set Identifier (SSID) ... 28
3.5. Disable SSID broadcast ... 29
Lab 4: Cấu hình IAT, Firewall và Lọc địa chỉ MAC ... 31
4.1. Mục tiêu ... 31
4.2. Cấu hình inbound address translation cho web/email server ... 31
4.3. Giới hạn truy cập Internet bằng firewall của router ... 32
4.4. Lọc địa chỉ MAC (MAC filtering) ... 35
Lab 5: WPA & WPA2 PSK Authentication ... 38
5.1. Mục tiêu ... 38
5.2. Cấu hình WPA Pre-shared Key Authentication ... 38
5.3. Cấu hình và thử nghiệm WPA trên client ... 39
5.4. Cấu hình WPA2-PSK trên router ... 41
5.5. Cấu hình và thử nghiệm WPA2 trên client ... 41
Lab 6: RADIUS (802.1x Authentication) ... 43
6.1. Mục tiêu ... 43
6.2. Sơ đồ mạng ... 43
6.3. Cài đặt RADIUS server trên Windows Server 2003 ... 43
6.3.1. Cài đặt DNS và IAS ... 44
6.3.2. Cài đặt Windows Active Directory... 44
6.3.3. Cài đặt Certificate Services ... 44
6.4. Cấu hình Windows Internet Authentication Service (IAS) ... 46
6.4.1. Đăng ký IAS server với AD ... 46
6.4.2. Thêm mới IAS RADIUS client ... 47
6.4.3. Thiết lập IAS policy ... 48
6.4.4. Tạo Domain user ... 50
6.4.5. Cài DHCP Server ... 52
6.5. Kết hợp RADIUS với WPA2... 52
6.6. Kiểm tra kết quả trên client ... 53
6.6.1. Cấu hình connection từ client đến access point ... 53
6.6.2. Kết nối vào access point từ client ... 56
Lab 1: Làm việc với Ad-hoc Wireless LAN
1.1. Mục tiêu
Cài đặt card mạng không dây
Tạo mạng ad-hoc gồm các PC dùng card mạng không dây Cấu hình bảo mật cho mạng ad-hoc
Cấu hình để các Windows client có thể chia sẻ file trên mạng ad-hoc
1.2. Cài đặt card mạng không dây Linksys Wireless WUSB54G
Cắm card mạng Linksys WUSB54G vào cổng USB Xuất hiện màn hình tự cài đặt của Windows 7
Thông báo cài đặt trình điều khiển không thành công
Vào Device Manager: Nhấn phải chuột vào My Computer chọn Properties
click vào liên kết Device Manager
Nhắp phải chuột vào Wireless-G USB Network Adapter, chọn Update Driver Software…
Click mục Browse my computer for driver software.
Click nút Browse và trỏ đến thư mục WUSB54G-Win7-32bit.
Ấn OK và ấn Next.
Click vào mục Install this driver software anyway để tiếp tục cài đặt.
Xuất hiện thông báo cài đặt hoàn tất. Click nút Close để kết thúc.
1.3. Tạo mạng ad-hoc không dây trên Windows
Thực hiện các công việc sau trên 1 máy tính – gọi là MAY1.
Click vào biểu tượng mạng Wireless trên khay hệ thống. xuất hiện danh sách kết nối mạng
Click mục Open Network and Sharing Center
Xuất hiện cửa sổ Network and Sharing Center. Click vào Setup a new connection or network.
Trong hộp thoại Set Up a Connection or Network, click vào lựa chọn Setup a wireless ad-hoc (computer-to-computer) network. Click Next.
Ấn Next trên cửa sổ Setup a wireless ad-hoc network.
Đặt Network name là CSE-Ad-hoc, Security type là No authentication (Open). Check vào mục Save this network. Click Next.
Xuất hiện thông báo khởi tạo mạng thành công. Click nút Close.
Biểu tượng của kết nối Adhoc sẽ xuất hiện trên Network list.
1.4. Kết nối vào mạng wireless ad-hoc từ Windows Client
Trên một máy tính khác với máy vừa tạo mạng adhoc – gọi là MAY2, làm những việc sau:
Click vào biểu tượng kết nối trên khay hệ thống, xuất hiện danh sách các kết nối mạng sẵn có.
Click vào mạng CSE-Ad-hoc, click vào nút Connect.
Sau khi kết nối vào CSE-Ad-hoc, MAY2 sẽ có 1 địa chỉ IP tự động, gọi là automatic private IP address (APIPA). Địa chỉ này nằm trong range 169.254.x.x. Để xem địa chỉ này, nhấn phải chuột vào kết nối CSE-Ad-hoc trên danh sách Network list, chọn mục Status.
Click vào nút Details trên cửa sổ hiện ra. Kết quả tương tự như sau:
Trên MAY1, card mạng không dây ứng với kết nối ad-hoc vừa tạo cũng được gán 1 địa chỉ IP trong range 169.254.x.x.
Thực hiện disable Windows Firewall.
Sau khi disable Windows Firewall, thực hiện test kết nối như dưới đây:
o Trên MAY2, thực hiện ping đến địa chỉ IP của MAY1.
o Trên MAY1, thực hiện ping đến địa chỉ IP của MAY2.
1.5. Cấu hình Secutity cho mạng wireless ad-hoc
Trên MAY1, thực hiện chỉnh sửa cấu hình Security từ Open-None thành Open-WEP. Nhấn phải chuột vào biểu tượng Connection CSE-Ad-hoc trên Network list, chọn Properties.
Xuất hiện hộp thoại Wireless Network Properties.
Chỉnh Encryption type thành WEP, nhập vào Network key là 1234567890.
Ấn OK.
MAY1 bị ngắt kết nối khỏi mạng CSE-Ad-hoc. Các máy khác kết nối vào mạng này cũng bị ngắt kết nối khỏi mạng.
Thực hiện kết nối MAY1 vào mạng CSE-Ad-hoc.
Trở lại MAY2, kết nối MAY2 vào mạng CSE-Ad-hoc. Người dùng MAY2 sẽ phải nhập Security key. Nhập vào chuỗi 1234567890. Ấn OK.
Thực hiện ping từ MAY2 sang MAY1 để kiểm tra kết quả.
1.6. Chia sẻ file trên mạng wireless ad-hoc
Cho phép File Sharing.
o Trên MAY2, vào Network and Sharing Center. Lưu ý là kết nối ad-hoc đang được liệt vào nhóm Public network.
o Click vào mục Change advanced sharing settings.
o Trong mục File and printer sharing, click lựa chọn Turn on file and printer sharing.
o Trong mục Password protected sharing, click lựa chọn Turn off password protected sharing.
Enable user Guest để cho phép truy cập từ máy khác.
o Ấn phải chuột vào My Computer, chọn Manage.
o Trong mục Local Users and Groups – Users, nhấn phải vào Guest và chọn Properties.
o Trong cửa sổ hiện ra, un-check mục Account is disabled. Nhấn OK.
Tạo folder Lab1-MAY2 trên MAY2. Tạo 1 tập tin bất kỳ trong folder này.
Nhấn phải chuột vào folder này, chọn Properties.
Trong cửa sổ hiện ra, chọn tab Sharing.
Click nút Advanced Sharing và check vào mục Share this folder trong cửa sổ hiện ra.
Đặt Share name và nhấn OK.
Vào tab Security, click nút Edit.
Click nút Add trên cửa sổ này và thêm vào nhóm Everyone. Cho nhóm này quyền Read.
Từ MAY1, kết nối vào MAY2 và kiểm tra việc chia sẻ file có thành công hay không.
Lab 2: Cấu hình Router và Client – Phần Cơ bản
2.1. Mục tiêu
Kết nối đến Wireless Router
Cấu hình các tính năng quản trị cơ bản và tùy biến cấu hình Kiểm tra kết nối từ client lên Internet
Cấu hình wireless security cơ bản
2.2. Kết nối đến Wireless Router
Trên MAY1, thực hiện kết nối đến access point. Thông thường, access point được hiển thị dưới SSID mặc nhiên, chẳng hạn linksys.
MAY1 sẽ được gán 1 địa chỉ IP mặc nhiên, chẳng hạn 192.168.1.108:
Để thực hiện cấu hình router, trỏ trình duyệt web đến địa chỉ http://192.168.1.1 , như dưới đây:
Nhập vào username là admin, password là admin. Nhấn OK.
Đây là giao diện ban đầu của trang web quản lý router:
2.3. Cấu hình Wireless Router cơ bản
Ngay từ màn hình đầu tiên chúng ta có thể thực hiện nhiều thay đổi căn bản và quan trọng với wireless router, chẳng hạn như:
o DHCP service
o Địa chỉ IP của router trên mạng LAN o Host name và time zone.
o Password, phương thức truy cập từ xa (remote access method) và disable uPnP.
o Bật/tắt chức năng log.
2.3.1. Thay đổi host name và time zone
Để đổi host name và time zone, thực hiện ngay trên màn hình setup chính.
Hãy đổi host name thành CSE1, time zone thành GMT+7:00 Thailand, Russia như hình dưới đây:
Click nút Save Settings để lưu lại thay đổi vừa thực hiện.
2.3.2. Đổi mật khẩu admin, truy cập từ xa và disable uPnP
Để thay đổi mật khẩu administrator, remote access method và disable uPnP, hãy chuyển sang tab Administration. Wireless router có thể sẽ yêu cầu nhập lại mật khẩu admin mặc định và chuyển đến trang mặc nhiên của tab này là Management.
Đổi mật khẩu của tài khoản admin thành 1cse1.
Cài đặt để trang web quản trị chỉ có thể được truy cập thông qua giao thức HTTPS bằng cách check vào mục HTTPS và un-check mục HTTP.
Vô hiệu hóa tính năng universal plug and play bằng cách chọn thiết lập Disable bên cạnh nhãn UpnP.
Kết quả tương tự như sau:
Click nút Save Settings để lưu lại thay đổi vừa thực hiện.
Người quản trị sẽ được yêu cầu cung cấp lại username và password của tài khoản admin cho quá trình xác thực của router.
Router sẽ yêu cầu bạn chấp nhận thẻ chứng thực (certificate) của Linksys.
Nếu không có yêu cầu này, có thể firmware của router chưa được cập nhật (các phiên bản firmware < 4.0 gặp trục trặc với HTTPS). Dưới đây là cửa sổ yêu cầu này:
Người dùng sẽ được trả về giao diện quản lý. Lưu ý giao thức làm việc lúc này đã là HTTPS:
2.3.3. Cấu hình hệ thống log
Trên trang Management, click vào sub tab Log, click vào option button Enable và cuối cùng click nút Save Settings.
Dưới đây là một bản log demo:
2.4. Test kết nối Internet
Vào tab Status và click sub tab Router.
Trong hình ví dụ dưới đây, router đã được cập 1 địa chi IP trên mạng Internet. Chúng ta có thể nhận thấy điều này là vì địa chỉ 67.x.x.x (không nằm trong private RFC1918 cũng như không nằm trong APIPA range) và router cũng đang sử dụng DHCP.
Các thông số quan trọng khác cho thấy điều này là subnet mask, default gateway và các địa chỉ DNS server.
2.5. Cấu hình wireless security cơ bản
Để cấu hình WEP, click vào tab Wireless và click vào mục Wireless Security.
Chọn dạng mã hóa 64-bit WEP encryption với key có giá trị là 1234567890.
Kết nối đến wireless router sẽ bị ngắt. Thực hiện kết nối lại. Lúc này, phía client sẽ phải nhập key để có thể đăng nhập vào router.
Kiểm tra lại trên network list:
Lab 3: Cấu hình Wireless cơ bản
3.1. Mục tiêu
Thực hiện site survey
Cấu hình kênh không dây (wireless channel) Cấu hình SSID
Disable SSID broadcast
3.2. Site survey
Một RF Site Survey là một bản đồ (sóng vô tuyến) để cài đặt thành công mạng không dây.
Nếu không thực hiện một Site Survey nghiêm túc thì mạng WLAN được cài đặt dựa trên kết quả của Site Survey sẽ hoạt động không tối ưu (đôi khi có thể gây ra lỗi). Lúc đó, bạn (hay khách hàng của bạn) có thể đã phải tốn nhiều tiền vào các phần cứng mà nó không hoạt động đúng như mong muốn. Vì thế, Site Survey được xem như là bước quan trọng nhất trong việc cài đặt bất cứ một mạng không dây nào.
Site Survey là một quá trình làm theo từng bước, trong đó người khảo sát sẽ tìm hiểu các đặc điểm của sóng vô tuyến, mức độ phủ sóng, các nguồn nhiễu, và xác định địa điểm đặt thiết bị tối ưu trong công ty (facility). Mục đích chính của Site Survey là đảm bảo cho những công nhân di động (chính là những WLAN Client) luôn có được tín hiệu mạnh và liên tục khi họ di chuyển xung quanh facility của họ, đồng thời cũng đảm bảo cho client vẫn duy trì kết nối với mạng và các ứng dụng chạy một cách thông suốt.
Trong bài lab này, thực hiện Site Survey theo các bước dưới đây:
Cài đặt và khởi động chương trình Ekahau HeatMapper
Mang laptop có card mạng không dây đi 1 vòng xung quanh facility.
Click trái chuột thường xuyên trên đường đi Khi kết thúc di chuyển, nhấn phải chuột.
Sau khi nhấn phải chuột, chúng ta sẽ thấy một bản đồ kết hợp vùng phủ sóng của các access point có trong facility.
Trỏ chuột lên trên một access point để xem vùng phủ sóng của riêng access point đó.
Ẩn hoặc cho hiển thị danh sách access point bằng cách nhấn vào nút có hình mũi tên.
Dưới đây là một kết quả khảo sát:
Trong kết quả ở trên, chúng ta có 3 access point trong vùng khảo sát. Hai acccess point Linksys hỗ trợ chuẩn 802.11n và chạy ở channel (kênh) 1. Access point CNet (CWR- 854) hỗ trợ chuẩn 802.11g và chạy ở channel 9.
3.3. Cấu hình wireless channel
Trong thực tế, các wireless access point cần hoạt động khác kênh (channel) để tránh đụng độ. Hai access point Linksys ở sơ đồ trên đang bị đụng độ.
Thực hiện cấu hình wireless channel như sau:
Trên trang quản trị wireless router, vào tab Wireless.
Trên sub tab Basic Wireless Settings, chọn dạng Wireless Configuration là Manual.
Chọn Standard Channel muốn thiết lập, chẳng hạn channel 11.
Click nút Save Settings.
Thực hiện tương tự để các access point trên mạng có channel lần lượt là 1, 6 và 11.
3.4. Cấu hình Service Set Identifier (SSID)
Cấu hình chúng ta có ở hình trên vẫn có đụng độ về SSID giữa 2 access point Linksys: cả 2 đều dùng SSID mặc nhiên, linksys.
Để đổi SSID, thực hiện các bước sau:
Trên trang quản trị của access point, vào tab Wireless.
Trên sub tab Basic Wireless Settings, chọn dạng Wireless Configuration là Manual.
Nhập vào SSID muốn thiết lập, chẳng hạn CSE1.
Click nút Save Settings.
Thực hiện tương tự cho access point Linksys còn lại.
Kết quả như sau:
3.5. Disable SSID broadcast
Mặc nhiên SSID của các access point sẽ được gửi quảng bá. Bên cạnh tác dụng hỗ trợ việc phát hiện vùng dịch vụ (service zone) của access point và việc đăng nhập của client, đây cũng là một lỗ hổng an ninh giúp đối tượng tấn công dễ dàng xác định các thông số cũng như vị trí của access point.
Một giải pháp cho vấn đề này là tắt quảng bá SSID. Thực hiện các bước sau:
Trên trang quản trị của access point, vào tab Wireless.
Trên sub tab Basic Wireless Settings, chọn dạng Wireless Configuration là Manual.
Trong mục SSID Broadcast, click lựa chọn Disabled Click nút Save Settings.
Lab 4: Cấu hình IAT, Firewall và Lọc địa chỉ MAC
4.1. Mục tiêu
Cấu hình chức năng dịch địa chỉ nội bộ (inbound address translation) cho web & email server.
Hạn chế truy cập Internet bằng cách sử dụng firewall.
Lọc danh sách máy trạm được truy cập mạng không dây bằng chức năng MAC Filtering.
4.2. Cấu hình inbound address translation cho web/email server
Mở giao diện quản trị router trên trình duyệt bằng cách trỏ đến địa chỉ https://192.168.1.1 và đăng nhập bằng tài khoản admin.
Mở tab Applications & Gaming. Chuyển đến phần Port Range Forwarding.
Để forward inbound web traffic đến web server sẵn có trong hệ thống, cấu hình theo bảng sau:
Kết quả như sau:
Click nút Save Settings.
Bằng cách thêm vào các ứng dụng này, router sẽ forward các inbound Internet request đến web server được chỉ định. Web server này được cấu hình để gửi yêu cầu ra mạng Internet và nó có thể các phản hồi cho các yêu cầu từ phía trong mạng WLAN.
Để kiểm tra các thiết lập vừa cấu hình, thực hiện những việc sau:
Enable máy chủ web (chẳng hạn IIS hoặc WAMP) trên 1 máy trong mạng, gọi là Server1.
Trên Server1, mở trình duyệt và vào trang http://localhost để kiểm tra xem web server có hoạt động chưa.
Trên một máy con, giả sử MAY1, mở trình duyệt và trỏ đến địa chỉ internal IP của Server1. Kiểm tra xem trình duyệt có mở đến trang nhà của web server không.
Cũng trên MAY1, mở trình duyệt và trỏ đến địa chỉ external IP (lấy từ trang Status của router). Kiểm tra xem trình duyệt có mở đến trang nhà của web server không.
4.3. Giới hạn truy cập Internet bằng firewall của router
Thực hiện cấu hình giới hạn truy cập Internet theo những quy định dưới đây:
Các client trong DHCP range chỉ được phép truy cập Internet qua giao thức HTTP (port 80) và sử dụng dịch vụ tên miền DNS (port 53).
Chỉ được phép truy cập từ thứ 2 đến hết ngày thứ 6 trong tuần.
Không được phép có truy cập nào vào thứ 7 và Chủ nhật.
Các bước thực hiện như sau:
Mở trang quản trị của router, vào tab Access Restrictions. Theo mặc nhiên chúng ta sẽ đứng ở sub tab Internet Access Policy.
Giao diện trang web cấu hình như sau:
Ở bước tiếp theo, chúng ta tạo Policy quy định việc giới hạn truy cập. Trong mục Enter Policy Name:, nhập vào tên của Policy cần tạo, chẳng hạn blockallbut53and80
Mục Status, chọn option Enabled.
Trong mục Applied PCs, click nút Edit List và quy định vùng địa chỉ được áp dụng Policy là DHCP client range của wireless router.
Click nút Save Settings.
Trong mục Blocked Applications, tạo 3 nhóm blocked services theo yêu cầu trong bảng dưới đây:
STT Tên Application Loại service Port Range
From To
1 upto52 Both (TCP & UDP) 1 52
2 54to79 Both (TCP & UDP) 54 79
3 above80 Both (TCP & UDP) 81 65535
Xem demo ở hình dưới đây:
Kết quả như sau:
Chuyển 3 nhóm application vừa tạo sang danh sách Blocked List
Thực hiện test policy vừa tạo trên các máy client.
4.4. Lọc địa chỉ MAC (MAC filtering)
Để giới hạn truy cập theo địa chỉ MAC, chúng ta phải biết địa chỉ MAC của các node tham gia vào mạng.
Địa chỉ MAC được thể hiện trong thông số Physical Address của Connection Properties, như hình dưới đây:
Giả sử chúng ta có 2 Client, Client1 và Client2, với địa chỉ MAC như sau:
Client1: 00-0f-66-e7-50-d1 Client2: 00-12-17-88-18-71
Thực hiện cấu hình chức năng MAC Filtering như sau:
Mở trang web quản trị wireless router.
Vào tab Wireless. Click vào sub tab Wireless MAC Filter.
Click vào option button Enabled.
Click chọn mục Permit Only PC’s listed to access the wireless network.
Thực hiện chỉnh sửa danh sách địa chỉ MAC được phép truy cập mạng wireless bằng 1 trong 2 cách sau:
o Nhập trực tiếp vào danh sách địa chỉ MAC trên trang web
o Click nút Wireless Client List để xuất hiện cửa sổ hiển thị các client đang kết nối vào router:
Kết quả tương tự như sau:
Click nút Save Settings để lưu lại các thay đổi đã thực hiện.
Test kết quả trên các máy client.
Lab 5: WPA & WPA2 PSK Authentication
5.1. Mục tiêu
Cấu hình WPA Pre-shared Key Authentication.
Test WPA PSK.
Cấu hình WPA2 Pre-shared Key Authentication (802.11i personal mode).
Test WPA2 PSK.
5.2. Cấu hình WPA Pre-shared Key Authentication
Đăng nhập vào trang web cấu hình access point.
Mở tab Wireless – Wireless Security.
Chọn cấu hình bảo mật là WPA Personal Nhập share key là mycsesite
Click Save Settings.
5.3. Cấu hình và thử nghiệm WPA trên client
Trên máy client, vào Network List và kết nối vào access point. Giả sử ở hình dưới đây, access point có SSIA là Nhom 2.
Nhập vào khóa chia sẻ và nhấn OK.
Thực hiện cấu hình WPA cho access point ở trên theo cách sau:
o Nhấn phải chuột vào AP trên network list, chọn Properties.
Xuất hiện cửa sổ cấu hình:
Chọn tab Security
o Mục Security type, chọn WPA-Personal o Mục Encryption type, chọn TKIP
o Nhập vào Network security key là mycsesite o Click OK
Thử nghiệm kết nối mạng bằng cách chia sẻ file với máy khác trên cùng access point.
5.4. Cấu hình WPA2-PSK trên router
Trên trang web cấu hình của AP, vào tab Wireless, chọn mục Wireless Security.
Chọn cấu hình bảo mật là WPA2 Personal Chọn Encryption type là AES.
Nhập share key là mycsesite Click Save Settings.
5.5. Cấu hình và thử nghiệm WPA2 trên client
Thực hiện cấu hình lại về security cho kết nối đến access point, theo hình dưới đây:
Kết nối từ client vào access point hỗ trợ WPA2
Kiểm tra kết nối bằng cách thực hiện chia sẻ file trên các máy tính cùng mạng.
Lab 6: RADIUS (802.1x Authentication)
6.1. Mục tiêu
Cài đặt RADIUS server.
Cấu hình Windows Internet Authentication Service (IAS).
Cài DHCP Server.
Sử dụng RADIUS (802.1x) kết hợp với WPA2.
Cấu hình và kiểm tra trên client.
6.2. Sơ đồ mạng
6.3. Cài đặt RADIUS server trên Windows Server 2003
Trước khi cài đặt RADIUS server (bằng cách sử dụng Microsoft Internet Authentication Service), thực hiện những việc sau:
Cài DNS.
Cài Internet Authentication Service (IAS).
Chuyển server thành Windows Active Directory domain controller (DC).
Cài Certificate Services.
6.3.1. Cài đặt DNS và IAS
6.3.2. Cài đặt Windows Active Directory Vào Start – Run và chạy lệnh dcpromo.
Đặt domain là cse.net.
Giữ nguyên NetBIOS name do wizard cài đặt đề nghị.
Nhập Restore Mode Password là cse123456.
Khởi động lại máy ảo Windows Server 2003 khi quá trình cài đặt kết thúc.
6.3.3. Cài đặt Certificate Services
Vào Control Panel – Add/Remove Programs. Mở Windows Components Wizard.
Chọn mục Certificate Services.
Chọn mục Enterprise Root CA và click Next.
Đặt Common Name cho CA là CSE. Giữ nguyên giá trị mặc nhiên cho các lựa chọn khác.
Giữ nguyên địa chỉ log database, C:\WINDOWS\system32\CertLog.
Quá trình cài đặt có thể cần đĩa CDROM Windows 2003 Enterprise Server.
6.4. Cấu hình Windows Internet Authentication Service (IAS)
6.4.1. Đăng ký IAS server với AD
Mở công cụ quản trị IAS bằng cách vào Start – Programs - Administrative Tools - Internet Authentication Service.
Trên IAS management console, right click vào server và click Register Server in Active Directory.
6.4.2. Thêm mới IAS RADIUS client
Nhấn phải vào tùy chọn RADIUS clients và chọn New RADIUS Client.
Nhập vào thông số của router:
Nhập giá trị 123456 cho 2 mục Shared Secret và Confirm Shared Secret:
6.4.3. Thiết lập IAS policy
Trên cửa sổ Internet Authentication Service, vào mục Remote Access Policies.
Xóa tất cả default policy (nếu có).
Tạo mới 1 policy, như hình sau:
Đặt tên policy là wireless.
Trong mục Access Method, chọn Wireless.
Chúng ta sẽ sử dụng User permission để kiểm soát việc ai được truy cập vào mạng bằng cách chọn mục User trong cửa sổ tiếp theo:
Chọn phương thức xác thực là Protected EAP (PEAP).
Nhấn Finish để kết thúc.
6.4.4. Tạo Domain user
SV tạo một Windows domain user để kiểm tra các cấu hình đã cài đặt.
Vào Start Menu - Administrative Tools - Active Directory Users and Computers. Right click mục Users và chọn New - User.
Cấu hình như dưới đây:
Nhập mật khẩu cho user test là Abc@123.
Vào cửa sổ Properties của user test, vào tab Dial in và chọn mục Allow Access.
6.4.5. Cài DHCP Server
Thực hiện cài DHCP Server trên máy chủ Win2k3.
Đặt Scope mới trên DHCP Server có tên là CSENET IP Range: 192.168.1.151-192.168.1.254
6.5. Kết hợp RADIUS với WPA2
Chỉ 1 sinh viên thực hiện các bước sau, các sinh viên khác xem để biết:
Vào giao diện quản trị access point Tắt DHCP Service của Access point.
Vào tab Wireless và chọn sub-tab Wireless Security.
o Trong mục Security mode, chọn WPA2 Enterprise.
o Chọn Encryption là AES.
o Nhập vào địa chỉ IP của RADIUS Server o Nhập shared secret là 123456
o Kết quả tương tự như dưới đây:
Click Save Settings.
6.6. Kiểm tra kết quả trên client
6.6.1. Cấu hình connection từ client đến access point Vào Network and Sharing Center
Manage wireless networks
Click nút Add để tạo mới network
Chọn Manually create a network profile
Cấu hình tương tự như dưới đây (Lưu ý Network name là SSID của access point). Ấn Next.
Click chọn mục Change connection settings. xuất hiện cửa sổ sau:
Trong mục Security type, chọn WPA2-Enterprise Mục Encryprion type, chọn AES
Mục Authentication method, chọn Protected EAP (PEAP).
Click vào nút Settings cạnh mục Authentication method. Xuất hiện cửa sổ sau:
Uncheck mục Validate server certificate.
Mục Select Authentication Method, chọn lựa chọn Secured password (EAP- MSCHAP v2).
Click nút Configure. Uncheck mục Automatically use my Windows logon name …
Nhấn OK.
Trở lại hộp thoại Wireless Network Properties, click nút Advanced Settings.
Trong hộp thoại xuất hiện, chọn tab 802.1x settings Chọn mục Specify authentication mode
Chọn lựa chọn User or computer authentication. Nhấn OK.
6.6.2. Kết nối vào access point từ client
Thực hiện kết nối đến access point từ Network list.
Cung cấp username và password của Domain user đã tạo ở bước trên.
Khi kết nối xong
o Kiểm tra các thông số IP của kết nối hiện thời bằng lệnh ipconfig o Ping đến các máy khác trong mạng để kiểm tra.