Sem fio/Mobilidade : LAN Wireless (WLAN)

Exemplo de Configuração de Conectividade de LAN Sem Fio Utilizando ISR com Criptografia WEP e Autenticação LEAP

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (7 Abril 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Diagrama de Rede
      Convenções
Configuração do Roteador 871W
Configuração do Adaptador Cliente
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento explica como configurar um Cisco 870 Series Integrated Services Router (ISR) para conectividade de LAN sem fio com criptografia WEP e autenticação LEAP.

A mesma configuração se aplica a quaisquer outros modelos Cisco ISR Wireless Series.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento de como configurar os parâmetros básicos do Cisco 870 Series ISR.

  • Conhecimento de como configurar o 802.11a/b/g Wireless Client Adapter com o ADU (Aironet Desktop Utility).

Consulte o Guia de Instalação e Configuração dos Adaptadores Clientes de Rede Sem Fio Cisco Aironet 802.11a/b/g (CB21AG e PI21AG), Versão 2.5 para obter informações sobre como configurar o adaptador cliente 802.11a/b/g.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 871W ISR com Cisco IOS® Software Release 12.3(8)YI1

  • Laptop com o Aironet Desktop Utility Versão 2.5

  • 802.11 a/b/g Client Adapter com firmware versão 2.5

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Diagrama de Rede

Este documento utiliza esta configuração de rede.

Nesta configuração, o cliente de LAN se fio se associa ao roteador 870. O servidor internal Dynamic Host Configuration Protocol (DHCP) no roteador 870 é usado para fornecer um endereço IP para os clientes sem fio. A criptografia WEP é habilitada no ISR 870 e no cliente WLAN. A autenticação LEAP é usada para autenticar os usuários sem fio e o recurso do servidor RADIUS local no roteador 870 é usado para validar as credenciais.

wlan-870isr-1.gif

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração do Roteador 871W

Execute estes passos para configurar o ISR 871W como um ponto de acesso que aceite solicitações de associação dos clientes da rede sem fio.

  1. Configuração do Integrated Routing and Bridging (IRB) e definição do grupo de bridges

    Digite estes comandos no modo de configuração global para habilitar o IRB.

    WirelessRouter<config>#bridge irb
    
    
    !--- Habilita o IRB.
    
    WirelessRouter<config>#bridge 1 protocol ieee
     
    
    !--- Define o tipo do Spanning Tree Protocol como ieee.
    
    WirelessRouter<config>#bridge 1 route ip
    
    
    !--- Habilita o roteamento do protocolo especificado em um grupo de bridges.
    
    
  2. Configuração da Bridged Virtual Interface (BVI).

    Atribua um endereço IP à BVI. Digite estes comandos no modo de configuração global.

    WirelessRouter<config>#interface bvi1
    
    
    !--- Entra no modo de configuração de interface para a BVI.
    
    WirelessRouter<config-if>#ip address 172.16.1.100 255.255.0.0
    
    
    

    Consulte a seção Configuração de Grupos de Bridges em Pontos de Acesso e Bridges de Utilizando VLANs com Equipamentos Cisco Aironet Wireless para obter mais informações sobre a funcionalidade dos grupos de bridges nos pontos de acesso.

  3. Configuração do recurso de servidor DHCP interno no ISR 871W.

    O recurso do servidor DHCP interno do roteador pode ser utilizado para atribuir endereços IP a clientes da rede sem fio que se associam ao roteador. Digite estes comandos no modo de configuração global.

    WirelessRouter<config>#ip dhcp excluded-address 172.16.1.100 172.16.1.100
    
    
    !--- Exclui endereços IP do pool de DHCP.
    !--- Este endereço é usado na interface BVI. Por isso, é excluído.
    
    
    WirelessRouter<config>#ip dhcp pool 870-ISR
    
    WirelessRouter<dhcp-config>#network 172.16.1.0 255.255.0.0
    
    

    Nota: O adaptador cliente também deve ser configurado para aceitar endereços IP de um servidor DHCP.

  4. Configuração do ISR 871W como servidor RADIUS local.

    No modo de configuração global, digite estes comandos para configurar o ISR 871W como um servidor RADIUS local.

    WirelessRouter<config>#aaa new-model
    
    !--- Habilita o modelo de controle de acesso
    !--- Autorização, Autenticação e Contabilidade (AAA).
    
    
    WirelessRouter<config>#radius-server local
    
    !--- Habilita o roteador sem fio 871 como um servidor
    !--- de autenticação local e entra no modo de
    !--- configuração do autenticador.
    
    WirelessRouter<config-radsrv)#nas 172.16.1.100 key Cisco
    
    
    !--- Adiciona o roteador 871 à lista de dispositivos que usam
    !--- o servidor de autenticação local.
    
    WirelessRouter<config-radsrv>#user ABCD password ABCD
    
    WirelessRouter<config-radsrv)#user XYZ password XYZ
    
    
    !--- Configura dois usuários ABCD e XYZ no servidor RADIUS local.
    
    WirelessRouter<config-radsrv)#exit
    WirelessRouter<config>#radius-server host 172.16.1.100 auth-port 1812 acct-port 1813 key Cisco
    
    
    !--- Especifica o host do servidor RADIUS.
    
    

    Nota: Use as portas 1812 e 1813 para a autenticação e contabilidade do servidor RADIUS local.

    WirelessRouter<config>#aaa group server radius rad_eap
    
    
    !--- Mapeia o servidor RADIUS ao grupo rad_eap
    
    .
    WirelessRouter<config-sg-radius>#server 172.16.1.100 auth-port 1812 acct-port 1813
    
    
    !--- Define o servidor que pertence ao grupo rad_eap.
    
    WirelessRouter<config>#aaa authentication login eap_methods group rad_eap
    
    
    !--- Habilita a autenticação de login AAA.
    
    
  5. Configuração da interface de rádio.

    A configuração da interface de rádio envolve a configuração de vários parâmetros das rede sem fio no roteador, incluindo o SSID, o modo de criptografia, o tipo de autenticação, a velocidade e a função do roteador da rede sem fio. Este exemplo usa o SSID Test.

    Digite estes comandos para configurar a interface de rádio no modo de configuração global.

    WirelessRouter<config>#interface dot11radio0
    
    !--- Entra no modo de configuração da interface de rádio.
    
    WirelessRouter<config-if>#ssid Test
    
    
    !--- Configura um teste de SSID.
    
    irelessRouter<config-ssid>#authentication open eap eap_methods
    
    WirelessRouter<config-ssid>#authentication network-eap eap_methods
    
    
    !--- Espera que os usuários que se conectarem ao SSID 'Test'
    !--- solicitem autenticação com o bit de autenticação
    !--- do Network Extensible Authentication Protocol (EAP) tipo 128
    !--- definido no cabeçalho dessas solicitações.
    !--- Agrupa esses usuários em um grupo chamado 'eap_methods'.
    
    WirelessRouter<config-ssid>#exit
    
    !--- Sai do modo de configuração da interface.
    
    WirelessRouter<config-if>#encryption mode wep mandatory
    
    !--- Habilita a criptografia WEP.
    
    WirelessRouter<config-if>#encryption key 1 size 128 1234567890ABCDEF1234567890
    
    
    !--- Define a chave de criptografia WEP de 128 bits.
    
    WirelessRouter<config-if>#bridge-group 1
    
    WirelessRouter<config-if>#no shut
    
    !--- Habilita a interface de rádio.
    
    

    O roteador 870 aceita solicitações de associação dos clientes da rede sem fio assim que este procedimento é concluido.

    Quando você configura o tipo de autenticação EAP no roteador, recomenda-se escolher Network-EAP e Open with EAP como tipos de autenticação para evitar quaisquer problemas de autenticação.

    WirelessRouter<config-ssid>#authentication network-eap eap_methods
    
    WirelessRouter<config-ssid>#authentication open eap eap_methods
    
    

    Nota: Este documento pressupõe que a rede contenha apenas clientes sem fio da Cisco.

    Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados neste documento.

Configuração do Adaptador Cliente

Execute estes passos para configurar o adaptador cliente. Este procedimento cria um novo perfil chamado 870-ISR no ADU, como exemplo. Ele também utiliza Test como o SSID e habilita a autenticação LEAP no adaptador cliente.

  1. Clique em New para criar um novo perfil na janela Profile Management do ADU. Digite o nome do perfil e o SSID utilizado pelo adaptador cliente na guia General.

    Neste exemplo, o nome do perfil é 870-ISR e o SSID é Test.

    Nota: O SSID deve corresponder exatamente ao SSID que você configurou no ISR 871W. O SSID diferencia maiúsculas de minúsculas.

    wlan-870isr-2.gif

  2. Na guia Security, selecione 802.1x e escolha LEAP no menu 802.1x EAP Type.

    Isso ativará a autenticação LEAP no adaptador cliente.

    wlan-870isr-3.gif

  3. Clique em Configure para definir as configurações do LEAP.

    Esta configuração escolhe a opção Automatically Prompt for Username and Password. Esta opção permite que você insira manualmente o nome de usuário e senha quando ocorrer autenticação LEAP.

    wlan-870isr-4.gif

  4. Clique em OK para sair da janela Profile Management.

  5. Clique em Activate para ativar esse perfil no adaptador cliente.

    wlan-870isr-5.gif

Verificação

Use esta seção para verificar se a sua configuração funciona corretamente.

Uma vez que o adaptador cliente e o roteador 870 estejam configurados, ative o perfil 870-ISR no adaptador cliente para verificar a configuração.

Quando a janela Enter Wireless Network Password for exibida, digite o nome do usuário e a senha. Eles devem corresponder aos configurados no ISR 871W. Um dos perfis utilizados neste exemplo é o de nome de usuário ABCD e senha ABCD.

wlan-870isr-6.gif

A janela LEAP Authentication Status é exibida. Essa janela verifica as credenciais do usuário em relação ao servidor RADIUS local.

wlan-870isr-7.gif

Verifique o ADU Current Status para saber se o cliente usa criptografia WEP e autenticação LEAP.

wlan-870isr-8.gif

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show dot11 association — Verifica a configuração no roteador 870.

    WirelessRouter#show dot11 association
    
    802.11 Client Stations on Dot11Radio0:
    
    SSID [Test]:
    
    MAC Address     IP Address     Device         Name     Parent    State
    0040.96ac.dd05   172.16.1.99   CB21AG/PI21AG  LAPTOP-1  self    EAP-Associated
    
    Others:  (not related to any ssid)
  • show ip dhcp binding — Verifica se o cliente possui um endereço IP fornecido pelo servidor DHCP.

    WirelessRouter#show ip dhcp binding
    Bindings from all pools not associated with VRF:
    IP address        Client-ID/       Lease expiration      Type
                    Hardware address/
                    User name
    172.16.1.99     0040.96ac.dd05     Feb 6 2006 10:11 PM  Automatic

Troubleshooting

Esta seção fornece informações relevantes de troubleshooting para essa configuração.

  1. Defina o método no SSID como Open para desativar temporariamente a autenticação.

    Isso elimina a possibilidade de que problemas de radiofrequência (RF) impeçam uma autenticação bem-sucedida.

    • Use os comandos no authentication open eap eap_methods, no authentication network-eap eap_methods e authentication open da CLI.

    Se o cliente se associar com êxito, a RF não está contribuindo para o problema de associação

  2. Verifique se as chaves WEP configuradas no roteador de rede sem fio correspondem às chaves WEP configuradas nos clientes.

    Se houver uma inconsistência nas chaves WEP, os clientes não serão capazes de se comunicar com o roteador de rede sem fio.

  3. Verifique se as senhas secretas compartilhadas estão sincronizadas entre o roteador de rede sem fio e o servidor de autenticação.

Você também pode usar os comandos a seguir para fazer o troubleshooting da sua configuração.

  • debug dot11 aaa authenticator all — Ativa a depuração dos pacotes de autenticação MAC e EAP.

  • debug radius authentication — Exibe as negociações RADIUS entre o servidor e o cliente.

  • debug radius local-server packets — Exibe o conteúdo dos pacotes RADIUS enviados e recebidos.

  • debug radius local-server client — Exibe mensagens de erro sobre as autenticações de cliente que falharam.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 69011