Switches : Cisco 871 Integrated Services Router

Tipos do autenticação wireless em um exemplo de configuração fixo ISR

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (17 Julho 2008) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece o exemplo de configuração que explica como configurar vários tipos do autenticação da camada 2 em um roteador integrado Cisco Wireless da configuração fixa para a conectividade Wireless com comandos CLI.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento de como configurar os parâmetros básicos do roteador dos Serviços integrados de Cisco (ISR)

  • Conhecimento de como configurar o adaptador de cliente Wireless 802.11a/b/g com o utilitário de Desktop de Aironet (ADU)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 877W ISR que executa o Software Release 12.3(8)YI1 do � do Cisco IOS

  • Portátil com versão 3.6 do utilitário de Desktop de Aironet

  • adaptador cliente do a/b/g do 802.11 que executa a versão de firmware 3.6

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O Roteadores da configuração fixa dos Serviços integrados de Cisco apoia uma solução LAN Wireless segura, disponível, e fácil de usar que combine a mobilidade e a flexibilidade com as características da empresa-classe exigidas por profissionais de comunicação de rede. Com um sistema de administração baseado no Cisco IOS Software, os roteadores Cisco atuam como Access point e são Wi-fi certificado, transceptores do Wireless LAN da IEEE 802.11a/b/g-compliant.

Você pode configurar e monitorar o Roteadores com o comando line interface(cli), o sistema de administração com base em navegador, ou o Simple Network Management Protocol (SNMP). Este documento descreve como configurar o ISR para a conectividade Wireless com os comandos CLI.

Configurar

Este exemplo mostra como configurar estes tipos do autenticação em um roteador integrado Cisco Wireless da configuração fixa com comandos CLI.

  • Autenticação aberta

  • (protocolo extensible authentication) autenticação 802.1x/EAP

  • Autenticação da chave pré-compartilhada do acesso protegido por wi-fi (WPA-PSK)

  • Autenticação WPA (com EAP)

Nota: Este documento não se centra sobre a autenticação compartilhada desde que é um tipo do autenticação menos fixado.

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/98499/ISR_Authentication-1.gif

Esta instalação usa o servidor Radius local no Sem fio ISR para autenticar clientes Wireless com autenticação do 802.1x.

Configurar a autenticação aberta

A autenticação aberta é um algoritmo da autenticação nula. O Access point concede todo o pedido para a autenticação. A autenticação aberta permite todo o acesso de rede do dispositivo. Se o no encryption é permitido na rede, todo o dispositivo que conhecer o SSID do Access point pode aceder à rede. Com a criptografia de WEP permitida em um Access point, a chave de WEP própria torna-se meios do controle de acesso. Se um dispositivo não tem a chave de WEP correta, mesmo que a autenticação seja bem sucedida, o dispositivo é incapaz de transmitir dados através do Access point. Nenhuns podem ele decifrar os dados enviados do Access point.

Este exemplo de configuração apenas explica uma autenticação aberta simples. A chave de WEP pode ser feita imperativa ou opcional. Este exemplo configura a chave de WEP como opcional de modo que todo o dispositivo que não usar o WEP possa igualmente autenticar e associar com este AP.

Refira a autenticação aberta para mais informação.

Este exemplo usa esta instalação da configuração para configurar a autenticação aberta no ISR.

  • Nome SSID: “abra

  • VLAN 1

  • Escala interna do servidor DHCP: 10.1.0.0/16

Nota: Para a simplicidade, este exemplo não usa nenhuma técnica da criptografia para clientes autenticados.

Termine estas ações no roteador:

  1. Configurar o Integrated Routing and Bridging (IRB) e estabelece o grupo de bridge

  2. Configurar o Bridged Virtual Interface (o BVI)

  3. Configurar o SSID para a autenticação aberta

  4. Configurar o servidor DHCP interno para os clientes Wireless deste VLAN

Configurar o Integrated Routing and Bridging (IRB) e estabelece o grupo de bridge

Termine estas ações:

  1. Permita o IRB no roteador.

    irb do router<configure>#bridge

    Nota: Se todos os tipos da Segurança devem ser configurados em um roteador único, é bastante para permitir somente uma vez globalmente o IRB no roteador. Não precisa de ser permitido para cada tipo do autenticação individual.

  2. Defina um grupo de bridge.

    Este exemplo usa o bridge-group number 1.

    router<configure>#bridge 1

  3. Escolha o Spanning Tree Protocol para o grupo de bridge.

    Aqui, o Spanning Tree Protocol de IEEE é configurado para este grupo de bridge.

    ieee do protocolo do router<configure>#bridge 1

  4. Permita um BVI de aceitar e distribuir os pacotes roteável recebidos de seu grupo de bridge correspondente.

    Este exemplo permite o BVI de aceitar e distribuir o pacote IP.

    rota IP do router<configure>#bridge 1

Configurar o Bridged Virtual Interface (o BVI)

Termine estas ações:

  1. Configurar o BVI.

    Configurar o BVI quando você atribui o número correspondente do grupo de bridge ao BVI. Cada grupo de bridge pode somente ter um BVI correspondente. Este exemplo atribui o grupo de bridge número 1 ao BVI.

    router<configure>#interface BVI <1>

  2. Atribua um endereço IP de Um ou Mais Servidores Cisco ICM NT ao BVI.

    router<config-if>#ip address 10.1.1.1 255.255.0.0

    router<config-if>#no fechado

Consulte para configurar a construção de uma ponte sobre para informações detalhadas sobre da construção de uma ponte sobre.

Configurar o SSID para a autenticação aberta

Termine estas ações:

  1. Permita a interface de rádio

    A fim permitir a interface de rádio, vá ao modo de configuração da interface de rádio do DOT11 e atribua um SSID à relação.

    router<config>#interface dot11radio0

    parada programada do router<config-if>#no

    router<config-if>#ssid aberto

    O tipo da autenticação aberta pode ser configurado em combinação com a autenticação do MAC address. Neste caso, o Access point força todos os dispositivos do cliente para executar a autenticação do endereço MAC antes que estejam permitidos se juntar à rede.

    A autenticação aberta pode igualmente ser configurada junto com a autenticação de EAP. O Access point força todos os dispositivos do cliente para executar a autenticação de EAP antes que estejam permitidos se juntar à rede. Para o nome de lista, especifique a lista do método de autenticação.

    Um Access point configurado para a autenticação de EAP força todos os dispositivos do cliente que associam para executar a autenticação de EAP. Os dispositivos do cliente que não usam o EAP não podem usar o Access point.

  2. Ligamento SSID a um VLAN.

    A fim permitir o SSID nesta relação, ligue o SSID ao VLAN no modo de configuração SSID.

    1 router<config-ssid>vlan

  3. Configurar o SSID com autenticação aberta.

    router<config-ssid>#authentication aberto

  4. Configurar a interface de rádio para a chave de WEP opcional.

    modo vlan WEP do router<config>#encryption 1 opcional

  5. Permita o VLAN na interface de rádio.

    router<config>#interface Dot11Radio 0.1

    dot1q 1 do router<config-subif>#encapsulation

    router<config-subif>#bridge-group 1

Configurar o servidor DHCP interno para os clientes Wireless deste VLAN

Datilografe estes comandos no modo de configuração global configurar o servidor DHCP interno para os clientes Wireless deste VLAN:

  • excluir-endereço 10.1.1.1 10.1.1.5 DHCP IP

  • pool DHCP IP aberto

No modo da configuração de pool DHCP, datilografe estes comandos:

  • rede 10.1.0.0 255.255.0.0

  • padrão-roteador 10.1.1.1

Configurar a autenticação 802.1x/EAP

Este tipo do autenticação fornece o mais de nível elevado da Segurança para sua rede Wireless. Com o Extensible Authentication Protocol (EAP) usado para interagir com um servidor Radius EAP-compatível, o Access point ajuda um dispositivo do cliente Wireless e o servidor Radius a executar a autenticação mútua e derivar uma chave de WEP dinâmica do unicast. O servidor Radius envia a chave de WEP ao Access point, que a usa para todos os sinais de dados do unicast que envia a ou recebe do cliente.

Refira a autenticação de EAP para mais informação.

Este exemplo usa esta configuração setup:

  • Nome SSID: pulo

  • VLAN2

  • Escala interna do servidor DHCP: 10.2.0.0/16

Este exemplo usa a autenticação de leap como o mecanismo para autenticar o cliente Wireless.

Nota: Refira o Cisco Secure ACS for Windows v3.2 com autenticação da máquina do EAP-TLS para configurar o EAP-TLS.

Nota: Refira configurar o Cisco Secure ACS for Windows v3.2 com autenticação da máquina PEAP-MS-CHAPv2 para configurar PEAP-MS-CHAPv2.

Nota: Compreenda que toda a configuração destes tipos EAP envolve principalmente as alterações de configuração no lado do cliente e no lado do Authentication Server. A configuração no roteador Wireless ou no Access point mais ou menos permanece a mesma para todos estes tipos do autenticação.

Nota: Como mencionado inicialmente, esta instalação usa o servidor Radius local no Sem fio ISR para autenticar clientes Wireless com autenticação do 802.1x.

Termine estas ações no roteador:

  1. Configurar o Integrated Routing and Bridging (IRB) e estabelece o grupo de bridge

  2. Configurar o Bridged Virtual Interface (o BVI)

  3. Configurar o servidor Radius local para a autenticação de EAP

  4. Configurar o SSID para a autenticação 802.1x/EAP

  5. Configurar o servidor DHCP interno para os clientes Wireless deste VLAN

Configurar o Integrated Routing and Bridging (IRB) e estabelece o grupo de bridge

Termine estas ações:

  1. Permita o IRB no roteador.

    irb do router<configure>#bridge

    Nota: Se todos os tipos da Segurança devem ser configurados em um roteador único, é bastante para permitir somente uma vez globalmente o IRB no roteador. Não precisa de ser permitido para cada tipo do autenticação individual.

  2. Defina um grupo de bridge.

    Este exemplo usa o bridge-group number 2.

    router<configure>#bridge 2

  3. Escolha o Spanning Tree Protocol para o grupo de bridge.

    Aqui, o Spanning Tree Protocol de IEEE é configurado para este grupo de bridge.

    ieee do protocolo do router<configure>#bridge 2

  4. Escolha o Spanning Tree Protocol para o grupo de bridge.

    Aqui, o Spanning Tree Protocol de IEEE é configurado para este grupo de bridge.

    ieee do protocolo do router<configure>#bridge 2

  5. Permita um BVI de aceitar e distribuir os pacotes roteável que são recebidos de seu grupo de bridge correspondente.

    Este exemplo permite o BVI de aceitar e distribuir pacotes IP.

    rota IP do router<configure>#bridge 2

Configurar o Bridged Virtual Interface (o BVI)

Termine estas ações:

  1. Configurar o BVI.

    Configurar o BVI quando você atribui o número correspondente do grupo de bridge ao BVI. Cada grupo de bridge pode somente ter um BVI correspondente. Este exemplo atribui o grupo de bridge número 2 ao BVI.

    router<configure>#interface BVI <2>

  2. Atribua um endereço IP de Um ou Mais Servidores Cisco ICM NT ao BVI.

    router<config-if>#ip address 10.2.1.1 255.255.0.0

    router<config-if>#no fechado

Configurar o servidor Radius local para a autenticação de EAP

Como mencionado antes, este documento usa o servidor Radius local no roteador ciente wireless para a autenticação de EAP.

  1. Permita o modelo do controle de acesso do Authentication, Authorization, and Accounting (AAA).

    novo modelo do router<configure>#aaa

  2. Crie um grupo de servidor rad-EAP para o servidor Radius.

    acct-porta 1813 da autêntico-porta 1812 de 10.2.1.1 do server do raio rad-EAP do server do grupo do router<configure>#aaa

  3. Crie eap_methods de uma lista de método que alista para fora o método de autenticação usado para autenticar o usuário de login AAA. Atribua a lista de método a este grupo de servidor.

    os eap_methods da autentificação de login do router<configure>#aaa agrupam o rad-EAP

  4. Permita o roteador como um servidor de autenticação local e participe-o no modo de configuração para o autenticador.

    local do router<configure>#radius-server

  5. No modo da configuração de servidor RADIUS, adicionar o roteador como um cliente de AAA do servidor de autenticação local.

    chave Cisco de 10.2.1.1 dos router<config-radsrv>#nas

  6. Configurar o usuário1 do usuário no servidor Radius local.

    grupo rad-EAP do usuário1 da senha do usuário1 do router<config-radsrv>#user

  7. Especifique o host do servidor Radius.

    acct-porta 1813 Cisco chave da autêntico-porta 1812 de 10.2.1.1 do host do router<config-radsrv>#radius-server

    Nota: Esta chave deve ser a mesma que essa especificada no comando nas sob o modo da configuração de servidor RADIUS.

Configurar o SSID para a autenticação 802.1x/EAP

A configuração da interface de rádio e do SSID associado para 802.1x/EAP envolve a configuração de vários parâmetros de Tecnologia Wireless no roteador, que inclui o SSID, o modo de criptografia, e o tipo do autenticação. Este exemplo usa o pulo chamado SSID.

  1. Permita a interface de rádio.

    A fim permitir a interface de rádio, vá ao modo de configuração da interface de rádio do DOT11 e atribua um SSID à relação.

    router<config>#interface dot11radio0

    parada programada do router<config-if>#no

    pulo do router<config-if>#ssid

  2. Ligamento SSID a um VLAN.

    A fim permitir o SSID nesta relação, ligue o SSID ao VLAN no modo de configuração SSID.

    2 router<config-ssid>#vlan

  3. Configurar o SSID com autenticação 802.1x/LEAP.

    eap_methods do router<config-ssid>#authentication rede-EAP

  4. Configurar a interface de rádio para o Gerenciamento de chave dinâmica.

    o modo do VLAN 2 do router<config>#encryption calcula wep40

  5. Permita o VLAN na interface de rádio.

    router<config>#interface Dot11Radio 0.2

    dot1q 2 do router<config-subif>#encapsulation

    router<config-subif>#bridge-group 2

Configurar o servidor DHCP interno para os clientes Wireless deste VLAN

Datilografe estes comandos no modo de configuração global configurar o servidor DHCP interno para os clientes Wireless deste VLAN:

  • excluir-endereço 10.2.1.1 10.2.1.5 DHCP IP

  • leapauth do pool DHCP IP

No modo da configuração de pool DHCP, datilografe estes comandos:

  • rede 10.2.0.0 255.255.0.0

  • padrão-roteador 10.2.1.1

Gerenciamento chave WPA

O acesso protegido por wi-fi é um aprimoramento de segurança com base em padrões, interoperáveis que aumente fortemente o nível da proteção de dados e do controle de acesso para sistemas atuais e futuros do Wireless LAN.

Refira o gerenciamento chave WPA para mais informação.

Apoios de gerenciamento chave WPA dois tipos mutuamente exclusivos do Gerenciamento: O WPA-PRE-Sshared fecha (WPA-PSK) e WPA (com EAP).

Configurando o WPA-PSK

O WPA-PSK é usado como um tipo do gerenciamento chave em um Wireless LAN onde a autenticação 802.1x-based não esteja disponível. Em tais redes, você deve configurar uma chave pré-compartilhada no Access point. Você pode incorporar a chave pré-compartilhada como o ASCII ou os caracteres hexadecimais. Se você incorpora a chave como caracteres ASCII, você entra entre 8 e 63 caráteres, e o Access point expande a chave com o processo descrito no padrão Senha-baseado da criptografia (RFC2898). Se você incorpora a chave como caracteres hexadecimais, você deve incorporar 64 caracteres hexadecimais.

Este exemplo usa esta configuração setup:

  • Nome SSID: WPA-compartilhado

  • VLAN3

  • Escala interna do servidor DHCP: 10.3.0.0/16

Termine estas ações no roteador:

  1. Configurar o Integrated Routing and Bridging (IRB) e estabelece o grupo de bridge

  2. Configurar o Bridged Virtual Interface (o BVI)

  3. Configurar o SSID para a autenticação WPA-PSK

  4. Configurar o servidor DHCP interno para os clientes Wireless deste VLAN

Configurar o Integrated Routing and Bridging (IRB) e estabelece o grupo de bridge

Termine estas ações:

  1. Permita o IRB no roteador.

    irb do router<configure>#bridge

    Nota: Se todos os tipos da Segurança devem ser configurados em um roteador único, é bastante para permitir somente uma vez globalmente o IRB no roteador. Não precisa de ser permitido para cada tipo do autenticação individual.

  2. Defina um grupo de bridge.

    Este exemplo usa o bridge-group number 3.

    router<configure>#bridge 3

  3. Escolha o Spanning Tree Protocol para o grupo de bridge.

    O Spanning Tree Protocol de IEEE é configurado para este grupo de bridge.

    ieee do protocolo do router<configure>#bridge 3

  4. Permita um BVI de aceitar e distribuir os pacotes roteável recebidos de seu grupo de bridge correspondente.

    Este exemplo permite o BVI de aceitar e distribuir pacotes IP.

    rota IP do router<configure>#bridge 3

Configurar o Bridged Virtual Interface (o BVI)

Termine estas ações:

  1. Configurar o BVI.

    Configurar o BVI quando você atribui o número correspondente do grupo de bridge ao BVI. Cada grupo de bridge pode somente ter um BVI correspondente. Este exemplo atribui o grupo de bridge número 3 ao BVI.

    router<configure>#interface BVI <2>

  2. Atribua um endereço IP de Um ou Mais Servidores Cisco ICM NT ao BVI.

    router<config-if>#ip address 10.3.1.1 255.255.0.0

    router<config-if>#no fechado

Configurar o SSID para a autenticação WPA-PSK

Termine estas ações:

  1. Permita a interface de rádio.

    A fim permitir a interface de rádio, vá ao modo de configuração da interface de rádio do DOT11 e atribua um SSID à relação.

    router<config>#interface dot11radio0

    parada programada do router<config-if>#no

    router<config-if>#ssid WPA-compartilhado

  2. A fim permitir o gerenciamento chave WPA, configurar primeiramente a cifra da criptografia WPA para a interface de VLAN. Este exemplo usa o tkip como a cifra da criptografia.

    Datilografe este comando especificar o tipo do gerenciamento chave WPA na interface de rádio.

    router<config>#interface dot11radio0

    cifras do modo do #encryption do roteador (config-if) tkip vlan de 3

  3. Ligamento SSID a um VLAN.

    A fim permitir o SSID nesta relação, ligue o SSID ao VLAN no modo de configuração SSID.

    3 router<config-ssid>vlan

  4. Configurar o SSID com autenticação WPA-PSK.

    Você precisa de configurar a autenticação de EAP aberta ou da rede primeiramente no modo de configuração SSID para permitir o gerenciamento chave WPA. Este exemplo configura a autenticação aberta.

    router<config>#interface dot11radio0

    router<config-if>#ssid WPA-compartilhado

    router<config-ssid>#authentication aberto

    Agora, permita o gerenciamento chave WPA no SSID. O tkip da cifra do gerenciamento chave é configurado já para este VLAN.

    wpa do gerenciamento chave do #authentication do roteador (configuração-se-SSID)

    Configurar a autenticação WPA-PSK no SSID.

    ascii #wpa-PSK 1234567890 do roteador (configuração-se-SSID)! --- 1234567890 são o valor de chave pré-compartilhada para este SSID. Assegure-se de que a mesma chave esteja especificada para este SSID no lado do cliente.

  5. Permita o VLAN na interface de rádio.

    router<config>#interface Dot11Radio 0.3

    dot1q 3 do router<config-subif>#encapsulation

    router<config-subif>#bridge-group 3

Configurar o servidor DHCP interno para os clientes Wireless deste VLAN

Datilografe estes comandos no modo de configuração global configurar o servidor DHCP interno para os clientes Wireless deste VLAN:

  • excluir-endereço 10.3.1.1 10.3.1.5 DHCP IP

  • pool WPA-PSK DHCP IP

No modo da configuração de pool DHCP, datilografe estes comandos:

  • rede 10.3.0.0 255.255.0.0

  • padrão-roteador 10.3.1.1

Configurar a autenticação WPA (com EAP)

Este é um outro tipo do gerenciamento chave WPA. Aqui, os clientes e o Authentication Server autenticam entre si com um método de autenticação de EAP, e o cliente e servidor gera por pares um chave mestre (PMK). Com WPA, o server gera o PMK dinamicamente e passa-o ao Access point, mas, com WPA-PSK, você configura uma chave pré-compartilhada no cliente e no Access point, e essa chave pré-compartilhada é usada como o PMK.

Refira o WPA com autenticação de EAP para mais informação.

Este exemplo usa esta configuração setup:

  • Nome SSID: wpa-dot1x

  • VLAN 4

  • Escala interna do servidor DHCP: 10.4.0.0/16

Termine estas ações no roteador:

  1. Configurar o Integrated Routing and Bridging (IRB) e estabelece o grupo de bridge

  2. Configurar o Bridged Virtual Interface (o BVI)

  3. Configurar o servidor Radius local para a autenticação WPA.

  4. Configurar o SSID para o WPA com autenticação de EAP

  5. Configurar o servidor DHCP interno para os clientes Wireless deste VLAN

Configurar o Integrated Routing and Bridging (IRB) e estabelece o grupo de bridge

Termine estas ações:

  1. Permita o IRB no roteador.

    irb do router<configure>#bridge

    Nota: Se todos os tipos da Segurança devem ser configurados em um roteador único, é bastante para permitir somente uma vez globalmente o IRB no roteador. Não precisa de ser permitido para cada tipo do autenticação individual.

  2. Defina um grupo de bridge.

    Este exemplo usa o bridge-group number 4.

    router<configure>#bridge 4

  3. Selecione o Spanning Tree Protocol para o grupo de bridge.

    Aqui, o Spanning Tree Protocol de IEEE é configurado para este grupo de bridge.

    ieee do protocolo do router<configure>#bridge 4

  4. Permita um BVI de aceitar e distribuir os pacotes roteável recebidos de seu grupo de bridge correspondente.

    Este exemplo permite o BVI de aceitar e distribuir pacotes IP.

    rota IP do router<configure>#bridge 4

Configurar o Bridged Virtual Interface (o BVI)

Termine estas ações:

  1. Configurar o BVI.

    Configurar o BVI quando você atribui o número correspondente do grupo de bridge ao BVI. Cada grupo de bridge pode somente ter um BVI correspondente. Este exemplo atribui o grupo de bridge número 4 ao BVI.

    router<configure>#interface BVI <4>

  2. Atribua um endereço IP de Um ou Mais Servidores Cisco ICM NT ao BVI.

    router<config-if>#ip address 10.4.1.1 255.255.0.0

    router<config-if>#no fechado

Configurar o servidor Radius local para a autenticação WPA

Refira a seção sob a autenticação 802.1x/EAP para o procedimento detalhado.

Configurar o SSID para o WPA com autenticação de EAP

Termine estas ações:

  1. Permita a interface de rádio.

    A fim permitir a interface de rádio, vá ao modo de configuração da interface de rádio do DOT11 e atribua um SSID à relação.

    router<config>#interface dot11radio0

    parada programada do router<config-if>#no

    router<config-if>#ssid wpa-dot1x

  2. A fim permitir o gerenciamento chave WPA, configurar primeiramente a cifra da criptografia WPA para a interface de VLAN. Este exemplo usa o tkip como a cifra da criptografia.

    Datilografe este comando especificar o tipo do gerenciamento chave WPA na interface de rádio.

    router<config>#interface dot11radio0

    cifras do modo do #encryption do roteador (config-if) tkip vlan de 4

  3. Ligamento SSID a um VLAN.

    A fim permitir o SSID nesta relação, ligue o SSID ao VLAN no modo de configuração SSID.

    4 vlan

  4. Configurar o SSID com a autenticação WPA-PSK.

    A fim configurar a interface de rádio para o WPA com a autenticação de EAP, configurar primeiramente o SSID associado para a rede EAP.

    router<config>#interface dot11radio0

    router<config-if>#ssid WPA-compartilhado

    eap_methods do eap da rede do router<config-ssid>#authentication

  5. Agora, permita o gerenciamento chave WPA no SSID. O tkip da cifra do gerenciamento chave é configurado já para este VLAN.

    wpa do gerenciamento chave do #authentication do roteador (configuração-se-SSID)

  6. Permita o VLAN na interface de rádio.

    router<config>#interface Dot11Radio 0.4

    dot1q 4 do router<config-subif>#encapsulation

    router<config-subif>#bridge-group 4

Configurar o servidor DHCP interno para os clientes Wireless deste VLAN

Datilografe estes comandos no modo de configuração global configurar o servidor DHCP interno para os clientes Wireless deste VLAN:

  • excluir-endereço 10.4.1.1 10.4.1.5 DHCP IP

  • pool wpa-dot1shared DHCP IP

No modo da configuração de pool DHCP, datilografe estes comandos:

  • rede 10.4.0.0 255.255.0.0

  • padrão-roteador 10.4.1.1

Configurar o cliente Wireless para a autenticação

Depois que você configura o ISR, configurar o cliente Wireless para tipos do autenticação diferentes como explicado de modo que o roteador possa autenticar estes clientes Wireless e fornecer o acesso à rede de WLAN. Este documento usa o utilitário de desktop do Cisco Aironet (ADU) para a configuração do lado do cliente.

Configurar o cliente Wireless para a autenticação aberta

Conclua estes passos:

  1. Na janela de gerenciamento do perfil no ADU, clique novo a fim criar um perfil novo.

    Indicadores de uma nova janela onde você pode ajustar a configuração para a autenticação aberta. Sob o tab geral, incorpore o nome de perfil e o SSID que o adaptador cliente usa.

    Neste exemplo, o nome de perfil e o SSID estão abertos.

    Nota: O SSID deve combinar o SSID que você configurou no ISR para a autenticação aberta.

    /image/gif/paws/98499/ISR_Authentication-2.gif

  2. Clique a ABA de segurança e deixe a opção de segurança como nenhuns para a criptografia de WEP. Desde que este exemplo usa o WEP como opcional, ajustar esta opção a nenhuns permitirá que o cliente com sucesso associe e comunique-se com a rede de WLAN.

    Clique em OK.

    /image/gif/paws/98499/ISR_Authentication-3.gif

  3. Selecione indicador avançado da aba do Gerenciamento do perfil e ajuste o modo de autenticação do 802.11 como aberto para a autenticação aberta.

    ISR_Authentication-16.gif

Use esta seção para confirmar se a sua configuração funciona corretamente.

  1. Depois que o perfil do cliente é criado, o clique ativa sob a aba do Gerenciamento do perfil para ativar o perfil.

    /image/gif/paws/98499/ISR_Authentication-4.gif

  2. Verifique o estado ADU para ver se há uma autenticação bem sucedida.

    /image/gif/paws/98499/ISR_Authentication-5.gif

Configurar o cliente Wireless para a autenticação 802.1x/EAP

Conclua estes passos:

  1. Na janela de gerenciamento do perfil no ADU, clique novo a fim criar um perfil novo.

    Indicadores de uma nova janela onde você pode ajustar a configuração para a autenticação aberta. Sob o tab geral, incorpore o nome de perfil e o SSID que o adaptador cliente usa.

    Neste exemplo, o nome de perfil e o SSID são pulo.

  2. Sob o Gerenciamento do perfil, clique a ABA de segurança, ajuste a opção de segurança como o 802.1x, e escolha o tipo apropriado EAP. Este documento usa o PULO como o tipo EAP para a autenticação. Agora, o clique configura para configurar ajustes do nome de usuário e senha do PULO.

    Nota: Nota: O SSID deve combinar o SSID que você configurou no ISR para a autenticação 802.1x/EAP.

    /image/gif/paws/98499/ISR_Authentication-6.gif

  3. Sob ajustes do nome de usuário e senha, este exemplo escolhe alertar manualmente para o nome de usuário e a senha de modo que o cliente esteja alertado incorporar o nome de usuário e a senha corretos quando o cliente tentar conectar à rede. Clique em OK.

    ISR_Authentication-7.gif

Use esta seção para confirmar se a sua configuração funciona corretamente.

  • Depois que o perfil do cliente é criado, o clique ativa sob a aba do Gerenciamento do perfil para ativar o pulo do perfil. Você é alertado para o nome e a senha de usuário LEAP. Este exemplo usa o usuário1 do nome de usuário e senha. Clique em OK.

  • Você pode olhar o cliente autenticar com sucesso e ser atribuído um endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor DHCP configurado no roteador.

    /image/gif/paws/98499/ISR_Authentication-8.gif

Configurar o cliente Wireless para a autenticação WPA-PSK

Conclua estes passos:

  1. Na janela de gerenciamento do perfil no ADU, clique novo a fim criar um perfil novo.

    Indicadores de uma nova janela onde você pode ajustar a configuração para a autenticação aberta. Sob o tab geral, incorpore o nome de perfil e o SSID que o adaptador cliente usa.

    Neste exemplo, o nome de perfil e o SSID WPA-são compartilhados.

    Nota:  O SSID deve combinar o SSID que você configurou no ISR para a autenticação WPA-PSK.

  2. Sob o Gerenciamento do perfil, clique a ABA de segurança e ajuste a opção de segurança como a frase de passagem WPA/WPA2. Agora, o clique configura para configurar a frase de passagem WPA.

    /image/gif/paws/98499/ISR_Authentication-9.gif

  3. Defina uma chave pré-compartilhada WPA. A chave deve ser 8 a 63 caracteres ASCII de comprimento. Clique em OK.

    ISR_Authentication-10.gif

Use esta seção para confirmar se a sua configuração funciona corretamente.

  • Depois que o perfil do cliente é criado, o clique ativa sob a aba do Gerenciamento do perfil para ativar o perfil WPA-compartilhado.

  • Verifique o ADU para ver se há uma autenticação bem sucedida.

    /image/gif/paws/98499/ISR_Authentication-11.gif

Configurar o cliente Wireless para a autenticação WPA (com EAP)

Conclua estes passos:

  1. Na janela de gerenciamento do perfil no ADU, clique novo a fim criar um perfil novo.

    Indicadores de uma nova janela onde você pode ajustar a configuração para a autenticação aberta. Sob o tab geral, incorpore o nome de perfil e o SSID que o adaptador cliente usa.

    Neste exemplo, o nome de perfil e o SSID são wpa-dot1x.

    Nota: O SSID deve combinar o SSID que você configurou no ISR para a autenticação WPA (com EAP).

  2. Sob o Gerenciamento do perfil, clique a ABA de segurança, ajuste a opção de segurança como WPA/WPA2/CCKM, e e escolha o tipo apropriado WPA/WPA2/CCKM EAP. Este documento usa o PULO como o tipo EAP para a autenticação. Agora, o clique configura para configurar ajustes do nome de usuário e senha do PULO.

    /image/gif/paws/98499/ISR_Authentication-14.gif

  3. Sob a área dos ajustes do nome de usuário e senha, este exemplo escolhe alertar manualmente para o nome de usuário e a senha de modo que o cliente esteja alertado incorporar o nome de usuário e a senha corretos quando o cliente tentar conectar à rede. Clique em OK.

    ISR_Authentication-15.gif

Use esta seção para confirmar se a sua configuração funciona corretamente.

  1. Depois que o perfil do cliente é criado, o clique ativa sob a aba do Gerenciamento do perfil para ativar o perfil wpa-dot1x. Você é alertado para o nome e a senha de usuário LEAP. Este exemplo usa o nome de usuário e senha como o usuário1. Clique em OK.

    ISR_Authentication-12.gif

  2. Você pode olhar o cliente autenticar com sucesso.

    /image/gif/paws/98499/ISR_Authentication-13.gif

O comando show dot11 associations do roteador CLI indica detalhes completos no estado da associação de cliente. Exemplo:

Associações do dot11 de Router#show

802.11 Client Stations on Dot11Radio0: 

SSID [leap] : 

MAC Address    IP address      Device        Name            Parent         State     
0040.96ac.e657 10.3.0.2        CB21AG/PI21AG WCS             self         EAP-Assoc

SSID [open] : 

SSID [pre-shared] : DISABLED, not associated with a configured VLAN

SSID [wpa-dot1x] : 

SSID [wpa-shared] : 


Others:  (not related to any ssid) 

Troubleshooting

Comandos para Troubleshooting

Você pode usar estes comandos debug pesquisar defeitos sua configuração.

  • debugar o autenticador todo aaa do dot11 — Ativa a eliminação de erros do MAC e dos pacotes da autenticação de EAP.

  • debugar a autenticação RADIUS — Indica as negociações de RADIUS entre o server e o cliente.

  • debugar pacotes do Servidor local do raio — Indica o índice dos pacotes de informação de RADIUS que são enviados e recebidos.

  • debugar o cliente do Servidor local do raio — Indica Mensagens de Erro sobre authenticações do cliente falhadas.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 98499