Sem fio/Mobilidade : LAN Wireless (WLAN)

Conectividade do Wireless LAN usando um ISR com exemplo de configuração da criptografia de WEP e da autenticação de leap

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento explica como configurar um Cisco 870 Series Integrated Services Router (ISR) para a conectividade com LAN Wireless com criptografia e autenticação de LEAP.

A mesma configuração aplica-se a todos os outros modelos wireless da série de Cisco ISR.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento de como configurar os parâmetros básicos do Cisco 870 Series ISR.

  • Conhecimento de como configurar o adaptador de cliente Wireless 802.11a/b/g usando o utilitário de Desktop de Aironet (ADU).

Refira o Guia de Instalação e Configuração dos adaptadores cliente do Wireless LAN do Cisco Aironet 802.11a/b/g (CB21AG e PI21AG), libere 2.5 para obter informações sobre de como configurar o adaptador cliente 802.11a/b/g.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 871W ISR que executa o Software Release 12.3(8)YI1 do ½ do ¿  de Cisco IOSïÂ

  • Portátil com versão 2.5 do utilitário de Desktop de Aironet

  • adaptador cliente do a/b/g do 802.11 que executa a versão de firmware 2.5

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede.

Nesta instalação, o cliente do Wireless LAN associa com o 870 Router. O server interno do protocolo de configuração dinâmica host (DHCP) no 870 Router é usado para fornecer um endereço IP de Um ou Mais Servidores Cisco ICM NT aos clientes Wireless. A criptografia de WEP é permitida nos 870 ISR e cliente de WLAN. A autenticação de leap é usada para autenticar os usuários Wireless e a característica local do servidor Radius no 870 Router é usada para validar as credenciais.

/image/gif/paws/69011/wlan-870isr-1.gif

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração do 871W Router

Termine estas etapas para configurar o 871W ISR como um Access point para aceitar pedidos da associação dos clientes Wireless.

  1. Configurar o Integrated Routing and Bridging (IRB) e setup o grupo de bridge.

    Datilografe estes comandos do modo de configuração global a fim permitir o IRB.

    WirelessRouter<config>#bridge irb
    
    
    !--- Enables IRB.
    
    WirelessRouter<config>#bridge 1 protocol ieee
     
    
    !--- Defines the type of Spanning Tree Protocol as ieee.
    
    WirelessRouter<config>#bridge 1 route ip
    
    
    !--- Enables the routing of the specified protocol in a bridge group.
    
    
  2. Configurar o Bridged Virtual Interface (BVI).

    Atribua um endereço IP de Um ou Mais Servidores Cisco ICM NT ao BVI. Datilografe estes comandos do modo de configuração global.

    WirelessRouter<config>#interface bvi1
    
    
    !--- Enter interface configuration mode for the BVI.
    
    WirelessRouter<config-if>#ip address 172.16.1.100 255.255.0.0
    
    
    

    Refira a configuração do grupo de bridge na seção dos Access point e das pontes de usar VLAN com equipamento Wireless do Cisco Aironet para obter mais informações sobre da funcionalidade dos grupos de bridge nos Access point.

  3. Configurar a característica interna do servidor DHCP no 871W ISR.

    A característica interna do servidor DHCP no roteador pode ser usada para atribuir endereços IP de Um ou Mais Servidores Cisco ICM NT aos clientes Wireless que associam ao roteador. Termine estes comandos no modo de configuração global.

    WirelessRouter<config>#ip dhcp excluded-address 172.16.1.100 172.16.1.100
    
    
    !--- Excludes IP addresses from the DHCP pool. 
    !--- This address is used on the BVI interface, so it is excluded.
    
    
    WirelessRouter<config>#ip dhcp pool 870-ISR
    
    WirelessRouter<dhcp-config>#network 172.16.1.0 255.255.0.0
    
    

    Nota: O adaptador cliente deve igualmente ser configurado para aceitar endereços IP de Um ou Mais Servidores Cisco ICM NT de um servidor DHCP.

  4. Configurar o 871W ISR como um servidor Radius local.

    No modo de configuração global, datilografe estes comandos configurar o 871W ISR como um servidor Radius local.

    WirelessRouter<config>#aaa new-model
    
    !--- Enable the authentication, authorization, and accounting 
    !--- (AAA) access control model.
    
    
    WirelessRouter<config>#radius-server local
    
    !--- Enables the 871 wireless-aware router as a local 
    !--- authentication server and enters into configuration 
    !--- mode for the authenticator.
    
    WirelessRouter<config-radsrv)#nas 172.16.1.100 key Cisco
    
    
    !--- Adds the 871 router to the list of devices that use 
    !--- the local authentication server.
    
    WirelessRouter<config-radsrv>#user ABCD password ABCD
    
    WirelessRouter<config-radsrv)#user XYZ password XYZ
    
    
    !--- Configure two users ABCD and XYZ on the local RADIUS server.
    
    WirelessRouter<config-radsrv)#exit
    WirelessRouter<config>#radius-server host 172.16.1.100 auth-port 1812 acct-port 1813 key Cisco
    
    
    !--- Specifies the RADIUS server host.
    
    

    Nota: Use as portas 1812 e 1813 para a autenticação e esclarecer o servidor Radius local.

    WirelessRouter<config>#aaa group server radius rad_eap
    
    
    !--- Maps the RADIUS server to the group rad_eap
    
    . 
    WirelessRouter<config-sg-radius>#server 172.16.1.100 auth-port 1812 acct-port 1813
    
    
    !--- Define the server that falls in the group rad_eap.
    
    WirelessRouter<config>#aaa authentication login eap_methods group rad_eap
    
    
    !--- Enable AAA login authentication.
    
    
  5. Configurar a interface de rádio.

    A configuração da interface de rádio envolve a configuração de vários parâmetros de Tecnologia Wireless no roteador que inclui o SSID, o modo de criptografia, o tipo do autenticação, a velocidade, e o papel do roteador Wireless. Este exemplo usa o Teste chamado SSID.

    Datilografe estes comandos configurar a interface de rádio no modo de configuração global.

    WirelessRouter<config>#interface dot11radio0
    
    !--- Enter radio interface configuration mode.
    
    WirelessRouter<config-if>#ssid Test
    
    
    !--- Configure an SSID test.
    
    irelessRouter<config-ssid>#authentication open eap eap_methods
    
    WirelessRouter<config-ssid>#authentication network-eap eap_methods
    
    
    !--- Expect that users who attach to SSID 'Test' 
    !--- are requesting authentication with the type 128 
    !--- Network Extensible Authentication Protocol (EAP) 
    !--- authentication bit set in the headers of those requests. 
    !--- Group these users into a group called 'eap_methods'.
    
    WirelessRouter<config-ssid>#exit
    
    !--- Exit interface configuration mode.
    
    WirelessRouter<config-if>#encryption mode wep mandatory
    
    !--- Enable WEP encryption.
    
    WirelessRouter<config-if>#encryption key 1 size 128 1234567890ABCDEF1234567890
    
    
    !--- Define the 128-bit WEP encryption key.
    
    WirelessRouter<config-if>#bridge-group 1
    
    WirelessRouter<config-if>#no shut
    
    !--- Enables the radio interface.
    
    

    O 870 Router aceita pedidos da associação dos clientes Wireless uma vez que este procedimento é feito.

    Quando você configura o tipo da autenticação de EAP no roteador, recomenda-se escolher a Rede EAP e abri-la com o EAP como tipos do autenticação a fim evitar todas as edições da autenticação.

    WirelessRouter<config-ssid>#authentication network-eap eap_methods
    
    WirelessRouter<config-ssid>#authentication open eap eap_methods
    
    

    Nota: Este documento supõe que a rede tem somente clientes do Cisco Wireless.

    Nota: Use a ferramenta Command Lookup Tool (apenas para clientes registrados) para obter mais informações sobre os comandos usados neste documento.

Configuração do adaptador cliente

Termine estas etapas a fim configurar o adaptador cliente. Este procedimento cria um perfil novo chamado 870-ISR no ADU, como um exemplo. Este procedimento igualmente usa o teste como o SSID e permite a autenticação de leap no adaptador cliente.

  1. Clique novo para criar um perfil novo na janela de gerenciamento do perfil no ADU. Incorpore o nome de perfil e o SSID que o adaptador cliente usa sob o tab geral.

    Neste exemplo, o nome de perfil é 870-ISR e o SSID é teste.

    Nota: O SSID deve exatamente combinar o SSID que você configurou no 871W ISR. O SSID é diferenciando maiúsculas e minúsculas.

    /image/gif/paws/69011/wlan-870isr-2.gif

  2. Vá à ABA de segurança, selecione o 802.1x e escolha o PULO do tipo menu do 802.1x EAP.

    Esta ação permite a autenticação de leap no adaptador cliente.

    /image/gif/paws/69011/wlan-870isr-3.gif

  3. O clique configura para definir ajustes do PULO.

    Esta configuração escolhe a opção alerta automaticamente para o nome de usuário e senha. Esta opção permite-o de incorporar manualmente o nome de usuário e a senha quando a autenticação de leap ocorre.

    /image/gif/paws/69011/wlan-870isr-4.gif

  4. APROVAÇÃO do clique para retirar a janela de gerenciamento do perfil.

  5. O clique ativa para permitir este perfil no adaptador cliente.

    /image/gif/paws/69011/wlan-870isr-5.gif

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Uma vez o adaptador cliente e o 870 Router são configurados, ativam o 870-ISR do perfil no adaptador cliente para verificar a configuração.

Incorpore o nome de usuário e a senha quando os indicadores da janela de senha da rede Wireless da entrada. Estes devem corresponder a esses configurados no 871W ISR. Um dos perfis usados neste exemplo é o nome de usuário ABCD e a senha ABCD.

/image/gif/paws/69011/wlan-870isr-6.gif

A janela de status da autenticação de leap aparece. Este indicador verifica as credenciais do usuário contra o servidor Radius local.

wlan-870isr-7.gif

Verifique o status atual ADU a fim verificar que o cliente usa a criptografia de WEP e a autenticação de leap.

wlan-870isr-8.gif

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • mostre a associação do dot11 — Verifica a configuração no 870 Router.

    WirelessRouter#show dot11 association
    
    802.11 Client Stations on Dot11Radio0:
    
    SSID [Test]:
    
    MAC Address     IP Address     Device         Name     Parent    State
    0040.96ac.dd05   172.16.1.99   CB21AG/PI21AG  LAPTOP-1  self    EAP-Associated
    
    Others:  (not related to any ssid)
  • mostre o emperramento DHCP IP — Verifica que o cliente tem um endereço IP de Um ou Mais Servidores Cisco ICM NT através do servidor DHCP.

    WirelessRouter#show ip dhcp binding
    Bindings from all pools not associated with VRF:
    IP address        Client-ID/       Lease expiration      Type
                    Hardware address/
                    User name
    172.16.1.99     0040.96ac.dd05     Feb 6 2006 10:11 PM  Automatic

Troubleshooting

Esta seção fornece a informação de Troubleshooting relevante a esta configuração.

  1. Ajuste o método no SSID para abrir a fim desabilitar temporariamente a autenticação.

    Isto elimina a possibilidade de edições do Radio Frequency (RF) que impedem a autenticação bem sucedida.

    • Use os comandos no authentication open eap eap_methods, no authentication network-eap eap_methods e authentication open do CLI.

    Se o cliente associa com sucesso, a seguir o RF não contribui ao problema de associação

  2. Verifique se o as chaves de WEP configuradas no roteador Wireless combinam com as chaves de WEP configuradas nos clientes.

    Se há uma má combinação nas chaves de WEP, os clientes não podem comunicar-se com o roteador Wireless.

  3. Verifique que as senhas secundárias compartilhadas estão sincronizadas entre o roteador Wireless e o Authentication Server.

Você pode igualmente usar estes comandos debug pesquisar defeitos sua configuração.

  • debugar o autenticador todo aaa do dot11 — Ativa a eliminação de erros do MAC e dos pacotes da autenticação de EAP.

  • debugar a autenticação RADIUS — Indica as negociações de RADIUS entre o server e o cliente.

  • debugar pacotes do Servidor local do raio — Indica o índice dos pacotes de informação de RADIUS que são enviados e recebidos.

  • debugar o cliente do Servidor local do raio — Indica Mensagens de Erro sobre authenticações do cliente falhadas.


Informações Relacionadas


Document ID: 69011