Sem fio/Mobilidade : LAN Wireless (WLAN)

Exemplos de Configuração de Autenticação em Wireless LAN Controllers

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (9 Julho 2010) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Autenticação em WLCs
      Soluções da Camada 1
      Soluções da Camada 2
      Soluções da Camada 3
Exemplos de Configurações
      Soluções de Segurança da Camada 1
      Soluções de Segurança da Camada 2
      Soluções de Segurança da Camada 3
Troubleshooting
      Comandos de Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento apresenta exemplos de configuração que explicam como configurar diferentes métodos de autenticação das camadas 1, 2 e 3 em Wireless LAN Controllers (WLCs).

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento básico da configuração de pontos de acesso lightweight (LAPs) e Cisco WLCs

  • Conhecimento dos padrões de segurança 802.11i

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 2006 WLC com firmware versão 4.0

  • Cisco 1000 Series LAPs

  • Cisco 802.11a/b/g Wireless Client Adapter com firmware versão 2.6

  • Cisco Secure ACS Server versão 3.2

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Autenticação em WLCs

A solução de segurança Cisco Unified Wireless Network (UWN) une componentes de segurança de ponto de acesso (AP) 802.11 potencialmente complicados das camadas 1, 2 e 3 em um gerenciador de políticas simples que personaliza as políticas de segurança do sistema inteiro com base em LAN wireless (WLAN). A solução de segurança Cisco UWN fornece ferramentas de gerenciamento de segurança simples, unificadas e sistemáticas.

Estes mecanismos de segurança podem ser implementados em WLCs.

Soluções da Camada 1

Restringir o acesso de clientes com base no número de tentativas com falhas consecutivas.

Soluções da Camada 2

Nenhuma Autenticação — Quando a opção None Authentication é selecionada no menu Layer 2 Security, nenhuma autenticação da camada 2 é executada na WLAN. Isso é o mesmo que a autenticação aberta do padrão 802.11.

WEP Estática — Com a Wired Equivalent Privacy (WEP) estática, todos os APs e as NICs de rádio clientes em uma WLAN devem usar a mesma chave de criptografia. Cada estação transmissora criptografa o corpo de cada quadro com uma chave WEP antes da transmissão, enquanto que a estação de destino o descriptografa usando uma chave idêntica no recebimento.

802.1x — Configura a WLAN para usar a autenticação 802.1x. O uso do IEEE 802.1X oferece uma estrutura eficiente para autenticar e controlar o tráfego de usuário para uma rede protegida e altera dinamicamente as chaves de criptografia. O 802.1X vincula um protocolo chamado Extensible Authentication Protocol (EAP) a ambas as mídias com fio e de WLAN e oferece suporte a vários métodos de autenticação.

WEP Estática + 802.1x — Esta opção de segurança da camada 2 habilita a 802.1x e a WEP estática. Os clientes podem usar a autenticação WEP estática ou 802.1x para se conectarem à rede.

Wi-Fi Protected Access (WPA) — O WPA, ou WPA1, e o WPA2 são soluções de segurança baseadas em padrões da Wi-Fi Alliance que fornecem proteção de dados e controle de acesso para sistemas de WLAN. O WPA1 é compatível com o padrão IEEE 802.11i, mas foi implementado antes da ratificação do padrão. O WPA 2 é a implementação da Wi-Fi Alliance do padrão IEEE 802.11i ratificado.

Por padrão, o WPA1 usa o Temporal Key Integrity Protocol (TKIP) e a verificação de integridade de mensagens (MIC) para a proteção de dados. O WPA2 usa o algoritmo de criptografia mais avançado Advanced Encryption Standard com Counter Mode e Cipher Block Chaining Message Authentication Code Protocol (AES-CCMP). Tanto o WPA1 quanto o WPA2 usam o 802.1x para o gerenciamento autenticado de chaves por padrão. No entanto, estas opções também estão disponíveis: PSK, CCKM e CCKM+802.1x. Quando a opção CCKM é selecionada, a Cisco permite somente clientes com suporte ao CCKM. Quando a opção CCKM+802.1x é selecionada, a Cisco também permite clientes não-CCKM.

CKIP — O Cisco Key Integrity Protocol (CKIP) é um protocolo de segurança pertencente à Cisco para a criptografia de mídias 802.11. O CKIP aprimora a segurança do 802.11 no modo de infra-estrutura com o uso de permutação de chaves, MIC e números de seqüência de mensagens. O software versão 4.0 oferece suporte ao CKIP com chave estática. Para que este recurso funcione corretamente, é necessário habilitar os elementos de informação (IEs) Aironet para a WLAN. As configurações de CKIP especificadas em uma WLAN são obrigatórias para qualquer cliente que tenta se associar. Se a WLAN tiver sido configurada com permutação de chaves do CKIP e MIC do MMH MIC, o cliente deverá oferece suporte a ambas. Se a WLAN estiver configurada para somente um desses recursos, o cliente deverá oferecer suporte somente a este recurso de CKIP. Os WLCs aceitam somente o CKIP estático (como a WEP estática) Os WLCs não aceitam o CKIP com 802.1x (CKIP dinâmico).

Soluções da Camada 3

None — Quando esta opção é selecionada no menu Layer 3 Security, nenhuma autenticação da camada 3 é executada na WLAN.

Nota: O exemplo de configuração de nenhuma autenticação da camada 2 e nenhuma autenticação da camada 3 é explicado na seção Nenhuma Autenticação.

Política da Web (Autenticação da Web e Web Passthrough) — A autenticação da Web é normalmente usada por clientes que desejam implementar uma rede com acesso de convidados. Em uma rede com acesso de convidados, há uma autenticação inicial de nome de usuário e senha, mas a segurança não é exigida para o tráfego subseqüente. Implementações típicas podem incluir hot spots, como T-Mobile ou Starbucks.

A autenticação da Web para o Cisco WLC é feita localmente. Você cria uma interface e então associa uma WLAN ou um identificador de conjunto de serviços (SSID) a essa interface.

A autenticação da Web proporciona uma autenticação simples sem suplicantes ou clientes. Tenha em mente que a autenticação da Web não oferece criptografia de dados. A autenticação da Web é normalmente usada como um acesso simples para convidados em um hot spot ou em uma atmosfera de campus em que a única preocupação é a conectividade.

O Web Passthrough é uma solução na qual os usuários wireless são redirecionados para uma página de política de uso que pode ser aceita sem que seja necessária a autenticação quando eles tentam se conectar à Internet. Esse redirecionamento é feito pelo próprio WLC. O único requisito é configurar o WLC para o Web Passthrough, o que é basicamente uma autenticação da Web que dispensa a inserção de credenciais.

VPN Passthrough — O VPN Passthrough é um recurso que permite que um cliente estabeleça um túnel somente com um servidor VPN específico. No entanto, se você precisar acessar com segurança o servidor VPN configurado, bem como outro servidor VPN na Internet, isso não será possível com o VPN Passthrough habilitado no controlador.

Nas próximas seções, exemplos de configuração são fornecidos para cada um dos mecanismos de autenticação.

Exemplos de Configurações

Antes de configurar as WLANs e os tipos de autenticação, você deve configurar o WLC para operação básica e registrar os LAPs no WLC. Este documento pressupõe que o WLC esteja configurado para operação básica e que os LAPs estejam registrados no WLC. Se você for um novo usuário que está tentando configurar o WLC para operação básica com LAPs, consulte Registro do LAP (Lightweight AP) em um WLC (Wireless LAN Controller).

Soluções de Segurança da Camada 1

Os clientes wireless podem ter o acesso restringido com base no número de tentativas com falha consecutivas de acesso à rede WLAN. A exclusão de clientes ocorre, por padrão, em função das condições a seguir. Esses valores não podem ser alterados.

  • Falhas de autenticação 802.11 consecutivas (5 vezes consecutivas, a 6ª tentativa é excluída)

  • Falhas de associação 802.11 consecutivas (5 vezes consecutivas, a 6ª tentativa é excluída)

  • Falhas de autenticação 802.1x consecutivas (3 vezes consecutivas, a 4ª tentativa é excluída)

  • Falha do servidor de políticas externo

  • Tentativa de usar um endereço IP já atribuído a outro dispositivo (roubo ou reutilização de IP)

  • Autenticações da Web consecutivas (3 vezes consecutivas, a 4ª tentativa é excluída)

Esta janela mostra as políticas de exclusão de clientes. Para chegar até ela, clique em Security no menu superior e selecione Client Exclusion Policies no menu à esquerda na seção Wireless Protection Policies.

wlc-authenticate1.gif

O temporizador de exclusão pode ser configurado. As opções de exclusão podem ser habilitadas ou desabilitadas por controlador. O temporizador de exclusão pode ser habilitado ou desabilitado por WLAN.

wlc-authenticate2.gif

O Maximum Number of Concurrent Logins, para um único nome de usuário é 0, por padrão. Você pode inserir qualquer valor entre 0 e 8. Este parâmetro pode ser definido em SECURITY > AAA > User Login Policies e permite especificar o número máximo de logins simultâneos para um único nome de cliente entre um e oito ou 0 = ilimitado. Aqui está um exemplo:

wlc-authenticate2a.gif

Soluções de Segurança da Camada 2

Nenhuma Autenticação

Este exemplo mostra uma WLAN configurada sem autenticação.

Nota: Este exemplo também funciona para nenhuma autenticação na camada 3.

wlc-authenticate3a.gif

Configuração do WLC para Nenhuma Autenticação

Conclua estes passos para configurar o WLC para esse cenário:

  1. Clique em WLANs na interface gráfica do usuário (GUI) do controlador para criar uma WLAN.

    A janela WLANs será exibida. Essa janela lista as WLANs configuradas no controlador.

  2. Clique em New para configurar uma nova WLAN.

  3. Insira o WLAN ID e o WLAN SSID.

    Neste exemplo, a WLAN é chamada NullAuthentication e o WLAN ID é 1.

    wlc-authenticate4.gif

  4. Clique em Apply.

  5. Na janela WLAN > Edit, defina os parâmetros específicos da WLAN.

  6. No menu suspenso Layer 2 and Layer 3 Security, selecione None.

    Isso habilita esta WLAN para trabalhar sem autenticação. Selecione os outros parâmetros, os quais dependem dos requisitos de design. Este exemplo usa os valores padrão.

    wlc-authenticate5.gif

  7. Clique em Apply.

Configuração do Cliente Wireless para Nenhuma Autenticação

Conclua estes passos para configurar o cliente da LAN wireless para esse cenário:

Nota: Este documento usa um adaptador cliente Aironet 802.11a/b/g com firmware 3.5 e explica a configuração do adaptador cliente com ADU versão 3.5.

  1. Para criar um novo perfil, clique na guia Profile Management no ADU.

  2. Clique em New.

  3. Quando a janela Profile Management (General) for exibida, siga estes passos para definir o nome do perfil, o nome do cliente e o SSID:

    1. Insira o nome do perfil no campo Profile Name.

      Este exemplo usa NoAuthentication como o nome do perfil.

    2. Insira o nome do cliente no campo Client Name.

      O nome do cliente é usado para identificar o cliente wireless na rede WLAN. Esta configuração usa o nome Client 1 para o cliente.

    3. Em Network Names, insira o SSID que será usado para este perfil.

      O SSID é o mesmo SSID que foi configurado no WLC. O SSID neste exemplo é NullAuthentication.

      wlc-authenticate6.gif

  4. Clique na guia Security.

  5. Selecione None em Set Security Options. Em seguida, clique em Apply.

    wlc-authenticate7.gif

    Quando o SSID é ativado, o cliente wireless se conecta à WLAN sem nenhuma autenticação, conforme mostrado.

    wlc-authenticate8.gif

WEP Estática

Este exemplo mostra uma WLAN configurada com WEP estática.

wlc-authenticate9a.gif

Configuração do WLC para a WEP Estática

Conclua estes passos para configurar o WLC para esse cenário:

  1. Clique em WLANs na interface gráfica do usuário do controlador para criar uma WLAN.

    A janela WLANs será exibida. Essa janela lista as WLANs configuradas no controlador.

  2. Clique em New para configurar uma nova WLAN.

  3. Insira o WLAN ID e o WLAN SSID.

    Neste exemplo, a WLAN é chamada StaticWEP e o WLAN ID é 2.

    wlc-authenticate10.gif

  4. Clique em Apply.

  5. Na janela WLAN > Edit, defina os parâmetros específicos da WLAN.

    1. No menu suspenso Layer 2, selecione Static WEP.

      Isso habilita a WEP estática para esta WLAN.

    2. Nos parâmetros da WEP estática, escolha o tamanho da chave WEP, o índice da chave e forneça a chave de criptografia da WEP estática.

      O tamanho da chave pode ser 40, 104 ou 128 bits. O índice da chave pode variar entre 1 e 4. Um índice de chave WEP exclusivo pode ser aplicado a cada WLAN. Como há apenas quatro índices de chave WEP, somente quatro WLANs podem ser configuradas para a criptografia da camada 2 WEP estática.

      wlc-authenticate11.gif

      Neste exemplo, a WEP de 104 bits é usada e a chave WEP é 1234567890abcdef.

      wlc-authenticate12.gif

  6. Selecione os outros parâmetros, os quais dependem dos requisitos de design.

    Este exemplo usa os valores padrão.

  7. Clique em Apply.

    Nota: A WEP é sempre representada em hexadecimal. Quando uma chave WEP é inserida em ASCII, a string WEP em ASCII é convertida para hexadecimal e usada para criptografar o pacote. Os fornecedores não possuem um método padrão para converter hexadecimal em ASCII. Alguns farão preenchimento e outros não. Assim, para obter a maior compatibilidade possível entre fornecedores diferentes, use hexadecimal em suas chaves WEP.

    Nota: Para habilitar a autenticação de chave compartilhada para a WLAN, marque a caixa de seleção Allow Shared-Key Authentication em Static WEP Parameters. Dessa forma, se o cliente também estiver configurado com a autenticação de chaves compartilhadas, a autenticação de chaves compartilhadas seguida pela criptografia WEP dos pacotes ocorrerá na WLAN.

Configuração do Cliente Wireless para a WEP Estática

Conclua estes passos para configurar o cliente da LAN wireless para esse cenário:

  1. Para criar um novo perfil, clique na guia Profile Management no ADU.

  2. Clique em New.

  3. Quando a janela Profile Management (General) for exibida, siga estes passos para definir o nome do perfil, o nome do cliente e o SSID:

    1. Insira o nome do perfil no campo Profile Name.

      Este exemplo usa StaticWEP como o nome do perfil.

    2. Insira o nome do cliente no campo Client Name.

      O nome do cliente é usado para identificar o cliente wireless na rede WLAN. Esta configuração usa o nome Client 2 para o cliente.

    3. Em Network Names, insira o SSID que será usado para este perfil.

      O SSID é o mesmo SSID que foi configurado no WLC. O SSID neste exemplo é StaticWEP.

      wlc-authenticate13.gif

  4. Clique na guia Security.

  5. Selecione Pre-Shared Key (Static WEP) em Set Security Options.

  6. Clique em Configure e defina o tamanho da chave WEP e a chave WEP em si.

    O valor deverá corresponder à chave WEP configurada no WLC desta WLAN.

  7. Clique em Apply.

    wlc-authenticate14.gif

    wlc-authenticate15.gif

    Quando o SSID é ativado, o cliente wireless se conecta à WLAN e os pacotes são criptografados com a chave WEP estática.

    wlc-authenticate16.gif

Autenticação 802.1x

Este exemplo mostra uma WLAN configurada com a autenticação 802.1x:

wlc-authenticate17a.gif

Configuração do WLC para a Autenticação 802.1x

Conclua estes passos para configurar o WLC para esse cenário:

  1. Clique em WLANs na interface gráfica do usuário do controlador para criar uma WLAN.

    A janela WLANs será exibida. Essa janela lista as WLANs configuradas no controlador.

  2. Clique em New para configurar uma nova WLAN.

    Neste exemplo, a WLAN é chamada 802.1x e o WLAN ID é 3.

    wlc-authenticate18.gif

  3. Clique em Apply.

  4. Na janela WLAN > Edit, defina os parâmetros específicos da WLAN.

    1. No menu suspenso Layer 2, selecione 802.1x.

      Isso habilita a autenticação 802.1x para esta WLAN.

    2. Nos parâmetros do servidor RADIUS, selecione o servidor RADIUS que será usado para autenticar as credenciais dos clientes.

    3. Selecione os outros parâmetros, os quais dependem dos requisitos de design.

      Este exemplo usa os valores padrão.

  5. Clique em Apply.

    wlc-authenticate19.gif

    Nota: Quando a opção 802.1x é escolhida na segurança da camada 2, o CCKM não pode ser usado. Quando WPA 1 or WPA 2 é escolhido como o método de segurança da camada 2, as seguintes opções são disponibilizadas em Auth Key Management:

    • 802.1x+CCKM

    • 802.1x

    • CCKM

    • PSK

    Nota: Se 802.1x for selecionado, somente os clientes 802.1x serão aceitos. Se CCKM for selecionado, somente os clientes CCKM serão aceitos, onde os clientes são direcionados para autenticação em um servidor externo. Se 802.1x+CCKM for selecionado, ambos os clientes CCKM e não CCKM são aceitos (CCKM opcional). Se PSK for selecionado, uma chave pré-compartilhada será usada para o WLC e o cliente. Além disso, todos os padrões são definidos para serem usados antes dos pré-padrões, por exemplo, o WPA/WPA2 terá precedência sobre o CCKM quando ambos forem usados ao mesmo tempo.

    O tipo de autenticação EAP usado para validar os clientes é dependente do tipo de EAP configurado no servidor RADIUS e nos clientes wireless. Uma vez que o 802.1x é habilitado no WLC, o WLC permite que todos os tipos de pacotes EAP fluam entre o LAP, o cliente wireless e o servidor RADIUS.

    Estes documentos fornecem exemplos de configuração de alguns dos tipos de autenticação EAP:

Configuração do Cliente Wireless para a Autenticação 802.1x

Conclua estes passos para configurar o cliente da LAN wireless para esse cenário:

  1. Para criar um novo perfil, clique na guia Profile Management no ADU.

  2. Clique em New.

  3. Quando a janela Profile Management (General) for exibida, siga estes passos para definir o nome do perfil, o nome do cliente e o SSID:

    1. Insira o nome do perfil no campo Profile Name.

      Este exemplo usa EAPAuth como o nome do perfil.

    2. Insira o nome do cliente no campo Client Name.

      O nome do cliente é usado para identificar o cliente wireless na rede WLAN. Esta configuração usa o nome Client 3 para o cliente.

    3. Em Network Names, insira o SSID que será usado para este perfil.

      O SSID é o mesmo SSID que foi configurado no WLC. O SSID neste exemplo é 802.1x.

      wlc-authenticate20.gif

  4. Clique na guia Security.

  5. Selecione 802.1x em Set Security Options.

  6. No menu suspenso 802.1x EAP Type, selecione o tipo de EAP usado.

  7. Clique em Configure para configurar os parâmetros específicos do tipo de EAP selecionado.

    wlc-authenticate21.gif

    wlc-authenticate22.gif

  8. Clique em Apply.

    Quando o SSID é ativado, o cliente wireless se conecta à WLAN usando a autenticação 802.1x. Chaves WEP dinâmicas serão usadas para as sessões.

    wlc-authenticate22a.gif

Autenticação WEP Estática + 802.1x

Este exemplo mostra uma WLAN configurada com a autenticação WEP estática + 802.1x.

wlc-authenticate23a.gif

Conclua estes passos para configurar o WLC para esse cenário:

  1. Clique em WLANs na interface gráfica do usuário do controlador para criar uma WLAN.

    A janela WLANs será exibida. Essa janela lista as WLANs configuradas no controlador.

  2. Clique em New para configurar uma nova WLAN.

  3. Insira o WLAN ID e o WLAN SSID.

    Neste exemplo, a WLAN é chamada WEP+802.1x e o WLAN ID é 4.

    wlc-authenticate24.gif

  4. Clique em Apply.

  5. Na janela WLAN > Edit, defina os parâmetros específicos da WLAN.

    1. No menu suspenso Layer 2, selecione Static-WEP+802.1x.

      Isso habilita a autenticação WEP estática e 802.1x para esta WLAN.

    2. Nos parâmetros do servidor RADIUS, selecione o servidor RADIUS que será usado para autenticar as credenciais dos clientes usando 802.1x.

    3. Nos parâmetros da WEP estática, selecione o tamanho da chave WEP, o índice da chave e forneça a chave de criptografia da WEP estática.

    4. Selecione os outros parâmetros, os quais dependem dos requisitos de design.

      Este exemplo usa os valores padrão.

      wlc-authenticate25.gif

Configuração do Cliente Wireless para WEP Estática e 802.1x

Consulte as seções Configuração do Cliente Wireless para a Autenticação 802.1x e Configuração do Cliente Wireless para a WEP Estática para obter informações de como configurar o cliente wireless.

Após a criação dos perfis de clientes, os clientes configurados para WEP estática se associam ao LAP. Use o SSID WEP+802.1x para se conectar à rede.

De forma semelhante, os clientes wireless configurados para usar a autenticação 802.1x são autenticados via EAP e acessam a rede com o mesmo SSID WEP+802.1x.

Wi-Fi Protected Access

Este exemplo mostra uma WLAN configurada com a autenticação WPA com 802.1x.

wlc-authenticate26a.gif

Configuração do WLC para o WPA

Conclua estes passos para configurar o WLC para esse cenário:

  1. Clique em WLANs na interface gráfica do usuário do controlador para criar uma WLAN.

    A janela WLANs será exibida. Essa janela lista as WLANs configuradas no controlador.

  2. Clique em New para configurar uma nova WLAN.

    Neste exemplo, a WLAN é chamada WPA e o WLAN ID é 5.

    wlc-authenticate27.gif

  3. Clique em Apply.

  4. Na janela WLAN > Edit, defina os parâmetros específicos da WLAN.

    1. Em Security Policies, escolha WPA1+WPA2 no menu suspenso Layer 2 Security.

    2. Em WPA1+WPA2 Parameters, marque a caixa de seleção WPA1 Policy para habilitar o WPA1, marque a caixa WPA2 Policy para habilitar o WPA2 ou marque ambas para habilitar o WPA1 e o WPA2.

      O valor padrão é desabilitado para WPA1 e WPA2. Se você mantiver o WPA1 e o WPA2 desabilitados, os pontos de acesso anunciarão seus sinalizadores e sondarão elementos de informações de respostas somente para o método de gerenciamento de chaves de autenticação escolhidos.

    3. Marque a caixa de seleção AES para habilitar a criptografia de dados AES ou a caixa TKIP para habilitar a criptografia de dados TKIP para o WPA1, WPA2 ou ambos.

      Os valores padrão são TKIP para WPA1 e AES para WPA2.

    4. Escolha um destes métodos de gerenciamento de chaves na caixa suspensa Auth Key Mgmt:

      • 802.1X

      • CCKM

      • PSK

      • 802.1X+CCKM

      Se 802.1x for selecionado, somente os clientes 802.1x serão aceitos. Se CCKM for selecionado, somente os clientes CCKM serão aceitos, onde os clientes são direcionados para autenticação em um servidor externo. Se 802.1x+CCKM for selecionado, ambos os clientes CCKM e não CCKM são aceitos (CCKM opcional). Se PSK for selecionada, uma chave pré-compartilhada será usada para o WLC e o cliente. Além disso, todos os padrões são definidos para serem usados antes dos pré-padrões, por exemplo, o WPA/WPA2 terá precedência sobre o CCKM quando ambos forem usados ao mesmo tempo.

      Este exemplo usa o 802.1x.

      wlc-authenticate28.gif

      wlc-authenticate29.gif

      Nota: Se você escolher PSK, selecione ascii ou hex na caixa suspensa PSK Format e insira uma chave pré-compartilhada no campo vazio. As chaves pré-compartilhadas WPA devem conter entre 8 a 63 caracteres de texto ASCII ou 64 caracteres hexadecimais.

  5. Clique em Apply para confirmar suas alterações.

Configuração do Cliente Wireless para o WPA

Conclua estes passos para configurar o cliente da LAN wireless para esse cenário:

  1. Na janela Profile Management do ADU, clique em New para criar um novo perfil.

    Uma nova janela em que você poderá definir a configuração para o WPA será exibida.

  2. Na guia General, insira o nome do perfil e o SSID que serão usados pelo adaptador cliente.

    Neste exemplo, o nome de perfil e o SSID são WPA. O SSID deve corresponder ao SSID configurado no WLC para o WPA.

    wlc-authenticate30.gif

  3. Clique na guia Security e, em seguida, selecione WPA/WPA2/CCKM e escolha o tipo de EAP apropriado no menu WPA/WPA2/CCKM EAP Type.

    Esta ação habilita o WPA.

    wlc-authenticate31.gif

  4. Clique em Configure para definir as configurações de EAP específicas do tipo de EAP selecionado.

    wlc-authenticate32.gif

  5. Clique em Apply.

    Quando este perfil é ativado, o cliente é autenticado via 802.1x e, quando a autenticação é bem-sucedida, o cliente se conecta à WLAN. Consulte o status atual do ADU para verificar se o cliente usa a criptografia TKIP (criptografia padrão usada pelo WPA1) e a autenticação EAP.

    wlc-authenticate33.gif

CKIP

Este exemplo mostra uma WLAN configurada com o CKIP.

wlc-authenticate34.gif

Configuração do WLC para o CKIP

Conclua estes passos para configurar o WLC para esse cenário:

  1. Clique em WLANs na interface gráfica do usuário do controlador para criar uma WLAN.

    A janela WLANs será exibida. Essa janela lista as WLANs configuradas no controlador.

  2. Clique em New para configurar uma nova WLAN.

    Neste exemplo, a WLAN é chamada CKIP e o WLAN ID é 6.

    wlc-authenticate35.gif

  3. Na janela WLAN > Edit, defina os parâmetros específicos da WLAN.

    wlc-authenticate35a.gif

    1. No menu suspenso Layer 2, selecione CKIP.

      Isso habilita o CKIP para esta WLAN.

    2. Nos parâmetros do CKIP, selecione o tamanho da chave, o índice da chave e forneça a chave de criptografia estática.

      O tamanho da chave pode ser 40, 104 ou 128 bits. O índice da chave pode variar entre 1 e 4. Um índice de chave WEP exclusivo pode ser aplicado a cada WLAN. Como há apenas quatro índices de chave WEP, somente quatro WLANs podem ser configuradas para a criptografia da camada 2 WEP estática.

    3. Selecione o MMH Mode e/ou a opção Key Permutation para o CKIP.

      Qualquer um desses parâmetros ou ambos devem ser selecionados para que o CKIP funcione de acordo com o esperado. Se esses parâmetros não forem selecionados, a WLAN permanecerá no estado desabilitado.

    Neste exemplo, a chave de 104 bits é usada e seu valor é 234567890abc.

    wlc-authenticate36.gif

  4. Selecione os outros parâmetros, os quais dependem dos requisitos de design.

    Este exemplo usa os valores padrão.

    wlc-authenticate37.gif

  5. Clique em Apply.

    Nota: O CKIP funciona nos APs 1100, 1130 e 1200 APs, mas não no AP 1000. Os elementos de informação Aironet devem estar habilitados para que esse recurso funcione. O CKIP expande as chaves de criptografia para 16 bytes.

Configuração do Cliente Wireless para o CKIP

Conclua estes passos para configurar o cliente da LAN wireless para esse cenário:

  1. Para criar um novo perfil, clique na guia Profile Management no ADU. Em seguida, clique em New.

  2. Quando a janela Profile Management (General) for exibida, siga estes passos para definir o nome do perfil, o nome do cliente e o SSID:

    1. Insira o nome do perfil no campo Profile Name.

      Este exemplo usa CKIP como o nome do perfil.

    2. Insira o nome do cliente no campo Client Name.

      O nome do cliente é usado para identificar o cliente wireless na rede WLAN. Esta configuração usa o nome Client 6 para o cliente.

    3. Em Network Names, insira o SSID que será usado para este perfil.

      O SSID é o mesmo SSID que foi configurado no WLC. O SSID neste exemplo é CKIP.

      wlc-authenticate38.gif

  3. Clique na guia Security.

    wlc-authenticate39.gif

  4. Selecione Pre-Shared Key (Static WEP) em Set Security Options. Em seguida, clique em Configure e defina o tamanho da chave WEP e a chave WEP em si.

    O valor deverá corresponder à chave WEP configurada no WLC desta WLAN.

    wlc-authenticate40.gif

  5. Clique em Apply.

    Quando o SSID é ativado, o cliente wireless negocia com o LAP e o WLC para usar o CKIP para a criptografia dos pacotes.

    wlc-authenticate41.gif

Soluções de Segurança da Camada 3

Política da Web (Autenticação da Web e Web Passthrough)

Consulte Exemplo de Configuração de Autenticação da Web em um Wireless LAN Controller para obter informações de como habilitar a autenticação da Web em uma rede WLAN.

Consulte Exemplo de Configuração de Autenticação da Web Externa com Wireless LAN Controllers para obter informações de como configurar a autenticação da Web externa e a autenticação Web Passthrough em uma WLAN.

VPN Passthrough

Consulte Exemplo de Configuração de VPN Cliente via LAN Wireless com WLC para obter informações de como configurar o VPN em uma WLAN.

Troubleshooting

Comandos de Troubleshooting

Você pode utilizar estes comandos debug para fazer o troubleshooting de sua configuração.

Depuração da Autenticação da Web:

  • debug mac addr <client-MAC-address xx:xx:xx:xx:xx:xx> — Configura a depuração de endereços MAC para o cliente.

  • debug aaa all enable — Configura a depuração de todas as mensagens de AAA.

  • debug pem state enable — Configura a depuração da máquina de estados do gerenciador de políticas.

  • debug pem events enable — Configura a depuração de eventos do gerenciador de políticas.

  • debug dhcp message enable — Use este comando para exibir informações de depuração das atividades dos clientes Dynamic Host Configuration Protocol (DHCP) e monitorar o status dos pacotes de DHCP.

  • debug dhcp packet enable — Use este comando para exibir as informações de nível de pacotes do DHCP.

  • debug pm ssh-appgw enable — Configura a depuração de gateways de aplicativos.

  • debug pm ssh-tcp enable — Configura a depuração do gerenciamento de TCP do gerenciador de políticas.

Debugs for WEP: Nenhuma depuração para WEP porque ela é executada no AP. Ative debug dot11 all enable.

Depuração do Cache de 802.1X/WPA/RSN/PMK:

  • debug mac addr <client-MAC-address xx:xx:xx:xx:xx:xx> — Configura a depuração de endereços MAC para o cliente.

  • debug dot1x all enable — Use este comando para exibir as informações de depuração do 802.1X.

  • debug dot11x all enable — Use este comando para habilitar a depuração de funções de rádio.

  • debug pem events enable — Configura a depuração de eventos do gerenciador de políticas.

  • debug pem state enable — Configura a depuração da máquina de estados do gerenciador de políticas.

  • debug dhcp message enable — Use este comando para exibir informações de depuração das atividades dos clientes Dynamic Host Configuration Protocol (DHCP) e monitorar o status dos pacotes de DHCP.

  • debug dhcp packet enable — Use este comando para exibir as informações de nível de pacotes do DHCP.

  • debug mobility handoff enable (for intra-switch roaming) — Configura a depuração de pacotes de mobilidade.

  • show client detail <mac> — Exibe informações detalhadas para um cliente por endereço MAC. Verifique a configuração de timeout da sessão de WLAN e RADIUS.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 82135