Roteadores : Roteadores Cisco 800 Series

Exemplo de Configuração dos Tipos de Autenticação Wireless em um ISR Fixo

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (7 Abril 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Informações de Apoio
Configuração
      Diagrama de Rede
Configuração da Autenticação Aberta
      Configuração do Integrated Routing and Bridging (IRB) e Definição do Grupo de Bridges
      Configuração da Bridged Virtual Interface (BVI)
      Configuração do SSID para a Autenticação Aberta
      Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN
Configuração da Autenticação 802.1x/EAP
      Configuração do Integrated Routing and Bridging (IRB) e Definição do Grupo de Bridges
      Configuração da Bridged Virtual Interface (BVI)
      Configuração do Servidor RADIUS Local para a Autenticação EAP
      Configuração do SSID para a Autenticação 802.1x/EAP
      Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN
Gerenciamento de Chaves WPA
Configuração da WPA-PSK
      Configuração do Integrated Routing and Bridging (IRB) e Definição do Grupo de Bridges
      Configuração da Bridged Virtual Interface (BVI)
      Configuração do SSID para a Autenticação WPA-PSK
      Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN
Configuração da Autenticação WPA (com EAP)
      Configuração do Integrated Routing and Bridging (IRB) e Definição do Grupo de Bridges
      Configuração da Bridged Virtual Interface (BVI)
      Configuração do Servidor RADIUS Local para a Autenticação WPA
      Configuração do SSID para WPA com Autenticação EAP
      Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN
Configuração do Cliente Wireless para a Autenticação
      Configuração do Cliente Wireless para a Autenticação Aberta
      Configuração do Cliente Wireless para a Autenticação 802.1x/EAP
      Configuração do Cliente Wireless para a Autenticação WPA-PSK
      Configuração do Cliente Wireless para a Autenticação WPA (com EAP)
Troubleshooting
      Comandos para Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento apresenta um exemplo de configuração que explica como configurar vários tipos de autenticação da Camada 2 em um roteador Cisco ISR fixo wireless para estabelecer a conectividade wireless com comandos da CLI.

Pré-requisitos

Requisitos

Verifique se você atende a estes requisitos antes de tentar esta configuração:

  • Conhecimento de como configurar os parâmetros básicos do Cisco Integrated Services Router (ISR)

  • Conhecimento de como configurar o adaptador cliente wireless 802.11a/b/g com o Aironet Desktop Utility (ADU)

Componentes Utilizados

As informações neste documento baseiam-se nestas versões de software e hardware:

  • Cisco 877W ISR com Cisco IOS® Software Release 12.3(8)YI1

  • Laptop com o Aironet Desktop Utility versão 3.6

  • Adaptador cliente 802.11 a/b/g com Firmware versão 3.6

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Os roteadores Cisco ISR fixos oferecem suporte a uma solução de LAN wireless segura, acessível e fácil de usar que combina mobilidade e flexibilidade aos recursos de classe empresarial exigidos pelos profissionais da área de redes. Com um sistema de gerenciamento baseado no Cisco IOS Software, os roteadores Cisco atuam como pontos de acesso e são transceivers de LAN wireless certificados Wi-Fi compatíveis com o padrão IEEE 802.11a/b/g.

Você pode configurar e monitorar os roteadores com a interface de linha de comando (CLI), com o sistema de gerenciamento baseado em navegador ou com o protocolo SNMP (Simple Network Management Protocol). Este documento descreve como configurar o ISR para estabelecer conectividade wireless com comandos da CLI.

Configuração

Este exemplo mostra como configurar os tipos de autenticação a seguir em um roteador Cisco ISR fixo wireless com comandos da CLI.

  • Autenticação Aberta

  • Autenticação 802.1x/EAP (Extensible Authentication Protocol)

  • Autenticação WPA-PSK (Wi-Fi Protected Access Pre-Shared Key)

  • Autenticação WPA (com EAP)

Nota: Este documento não aborta a autenticação compartilhada por se tratar de um tipo de autenticação menos segura.

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

ISR_Authentication-1.gif

Esta configuração usa o servidor RADIUS local no IRS wireless para autenticar clientes wireless com a autenticação 802.1x.

Configuração da Autenticação Aberta

A autenticação aberta é um algoritmo de autenticação nula. O ponto de acesso autoriza qualquer solicitação de autenticação. A autenticação aberta permite que qualquer dispositivo acesse a rede. Se não houver criptografia na rede, qualquer dispositivo que conheça o SSID do ponto de acesso poderá obter acesso à rede. Com a criptografia WEP ativada em um ponto de acesso, a chave WEP em si se torna um meio de controle de acesso. Se o dispositivo não possuir a chave WEP correta, mesmo que a autenticação seja feita com êxito, ele não poderá transmitir dados pelo ponto de acesso. Ele também não poderá descriptografar os dados enviados pelo ponto de acesso.

Este exemplo de configuração explica uma autenticação aberta simples. A chave WEP pode ser tornada obrigatória ou opcional. O exemplo configura a chave WEP como opcional para que qualquer dispositivo que não use WEP possa se autenticar e associar a este ponto de acesso.

Consulte Autenticação Aberta para obter mais informações.

Este exemplo usa a configuração a seguir para definir a autenticação aberta no ISR.

  • Nome do SSID: "open"

  • VLAN 1

  • Intervalo do servidor DHCP interno: 10.1.0.0/16

Nota: Por questões de simplicidade, este exemplo não usa técnicas de criptografia para os clientes autenticados.

Execute as seguintes ações no roteador:

  1. Configuração do Integrated Routing and Bridging (IRB) e Definição do Grupo de Bridges

  2. Configuração da Bridged Virtual Interface (BVI)

  3. Configuração do SSID para a Autenticação Aberta

  4. Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN

Configuração do Integrated Routing and Bridging (IRB) e Definição do Grupo de Bridges

Execute as seguintes ações:

  1. Ative o IRB no roteador.

    router<configure>#bridge irb

    Nota: Se todos os tipos de segurança forem configurados em um único roteador, será suficiente ativar o IRB somente uma vez globalmente no roteador. Ele não precisa ser ativado para cada tipo de autenticação individual.

  2. Defina um grupo de bridges.

    Este exemplo usa o grupo de bridges número 1.

    router<configure>#bridge 1

  3. Escolha o protocolo de spanning tree para o grupo de bridges.

    Aqui o protocolo de spanning tree IEEE é configurado para este grupo de bridges.

    router<configure>#bridge 1 protocol ieee

  4. Configure um BVI para aceitar e rotear os pacotes roteáveis recebidos do seu grupo de bridges correspondente.

    Este exemplo configura a BVI para aceitar e rotear pacotes IP.

    router<configure>#bridge 1 route ip

Configuração da Bridged Virtual Interface (BVI)

Execute as seguintes ações:

  1. Configure a BVI.

    Configure a BVI ao atribuir a ela o número correspondente do grupo de bridges. Cada grupo de bridges pode possuir somente um BVI correspondente. Este exemplo atribui o grupo de bridges número 1 à BVI.

    router<configure>#interface BVI <1>

  2. Atribua um endereço IP à BVI.

    router<config-if>#ip address 10.1.1.1 255.255.0.0

    router<config-if>#no shut

Consulte Configuração de Bridging para obter informações sobre bridging.

Configuração do SSID para a Autenticação Aberta

Execute as seguintes ações:

  1. Ative a interface de rádio.

    Para ativar a interface de rádio, vá para o modo de configuração da interface de rádio DOT11 e atribua um SSID à interface.

    router<config>#interface dot11radio0

    router<config-if>#no shutdown

    router<config-if>#ssid open

    A autenticação aberta pode ser configurada em conjunto com a autenticação de endereços MAC. Nesse caso, o ponto de acesso forçará todos os dispositivos clientes a executar a autenticação de endereços MAC para poderem ingressar na rede.

    A autenticação aberta também pode ser configurada com a autenticação EAP. O ponto de acesso forçará todos os dispositivos clientes a executar a autenticação EAP para poderem ingressar na rede. Especifique a lista de métodos de autenticação como o nome da lista.

    Um ponto de acesso configurado para a autenticação EAP faz com que todos os dispositivos clientes que desejam se associar executem a autenticação EAP. Os dispositivos que não usarem EAP não poderão se conectar ao ponto de acesso.

  2. Vincule o SSID a uma VLAN.

    Para ativar o SSID nesta interface, vincule o SSID à VLAN no modo de configuração do SSID.

    router<config-ssid>vlan 1

  3. Configure o SSID para a autenticação aberta.

    router<config-ssid>#authentication open

  4. Configure a interface de rádio para usar a chave WEP opcional.

    router<config>#encryption vlan 1 mode WEP optional

  5. Ative a VLAN na interface de rádio.

    router<config>#interface Dot11Radio 0.1

    router<config-subif>#encapsulation dot1Q 1

    router<config-subif>#bridge-group 1

Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN

Digite os seguintes comandos no modo de configuração global para configurar o servidor DHCP interno para os clientes wireless desta VLAN:

  • ip dhcp excluded-address 10.1.1.1 10.1.1.5

  • ip dhcp pool open

No modo de configuração do pool do DHCP, digite os seguintes comandos:

  • network 10.1.0.0 255.255.0.0

  • default-router 10.1.1.1

Configuração da Autenticação 802.1x/EAP

Este tipo de autenticação oferece o nível mais alto de segurança à sua rede wireless. Com o Extensible Authentication Protocol (EAP) usado para interagir com um servidor RADIUS compatível com EAP, o ponto de acesso ajuda os clientes wireless e o servidor RADIUS a executarem a autenticação mútua e derivarem uma chave WEP unicast dinâmica. O servidor RADIUS envia a chave WEP para o ponto de acesso, o qual a usa em todos os sinais de dados unicast enviados para ou recebidos do cliente.

Consulte Autenticação EAP para obter mais informações.

Este exemplo usa a seguinte configuração:

  • Nome do SSID: leap

  • VLAN 2

  • Intervalo do servidor DHCP interno: 10.2.0.0/16

Este exemplo usa a autenticação LEAP como o mecanismo de autenticação do cliente wireless.

Nota: Consulte Cisco Secure ACS for Windows v3.2 com Autenticação de Computadores EAP-TLS para configurar o EAP-TLS.

Nota: Consulte Configurando o Cisco Secure ACS for Windows v3.2 com Autenticação de Computadores PEAP-MS-CHAPv2 para configurar o PEAP-MS-CHAPv2.

Nota: Observe que todas as configurações desses tipos de EAP envolvem basicamente alterações de configuração no cliente e no servidor de autenticação. A configuração no roteador ou ponto de acesso wireless permanece mais ou menos a mesma para todos os tipos de autenticação.

Nota: Conforme mencionado anteriormente, esta configuração usa o servidor RADIUS local no IRS wireless para autenticar clientes wireless com a autenticação 802.1x.

Execute as seguintes ações no roteador:

  1. Configuração do Integrated Routing and Bridging (IRB) e Definição do Grupo de Bridges

  2. Configuração da Bridged Virtual Interface (BVI)

  3. Configuração do Servidor RADIUS Local para a Autenticação EAP

  4. Configuração do SSID para a Autenticação 802.1x/EAP

  5. Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN

Configuração do Integrated Routing and Bridging (IRB) e Definição do Grupo de Bridges

Execute as seguintes ações:

  1. Ative o IRB no roteador.

    router<configure>#bridge irb

    Nota: Se todos os tipos de segurança forem configurados em um único roteador, será suficiente ativar o IRB somente uma vez globalmente no roteador. Ele não precisa ser ativado para cada tipo de autenticação individual.

  2. Defina um grupo de bridges.

    Este exemplo usa o grupo de bridges número 2.

    router<configure>#bridge 2

  3. Escolha o protocolo de spanning tree para o grupo de bridges.

    Aqui o protocolo de spanning tree IEEE é configurado para este grupo de bridges.

    router<configure>#bridge 2 protocol ieee

  4. Escolha o protocolo de spanning tree para o grupo de bridges.

    Aqui o protocolo de spanning tree IEEE é configurado para este grupo de bridges.

    router<configure>#bridge 2 protocol ieee

  5. Configure um BVI para aceitar e rotear os pacotes roteáveis recebidos do seu grupo de bridges correspondente.

    Este exemplo configura a BVI para aceitar e rotear pacotes IP.

    router<configure>#bridge 2 route ip

Configuração da Bridged Virtual Interface (BVI)

Execute as seguintes ações:

  1. Configure a BVI.

    Configure a BVI ao atribuir a ela o número correspondente do grupo de bridges. Cada grupo de bridges pode possuir somente um BVI correspondente. Este exemplo atribui o grupo de bridges número 2 à BVI.

    router<configure>#interface BVI <2>

  2. Atribua um endereço IP à BVI.

    router<config-if>#ip address 10.2.1.1 255.255.0.0

    router<config-if>#no shut

Configuração do Servidor RADIUS Local para a Autenticação EAP

Conforme mencionado anteriormente, este documento usa o servidor RADIUS local no roteador wireless para executar a autenticação EAP.

  1. Ative o modelo de controle de acesso de autenticação, autorização e contabilidade (AAA).

    router<configure>#aaa new-model

  2. Crie um grupo de servidores rad-eap para o servidor RADIUS.

    router<configure>#aaa group server radius rad-eap server 10.2.1.1 auth-port 1812 acct-port 1813

  3. Crie uma lista de métodos eap_methods que relacione o método de autenticação usado para autenticar o usuário de logon do AAA. Atribua a lista de métodos a este grupo de servidores.

    router<configure>#aaa authentication login eap_methods group rad-eap

  4. Configure o roteador como um servidor de autenticação local e entre no modo de configuração do autenticador.

    router<configure>#radius-server local

  5. No modo de configuração do servidor Radius, adicione o roteador como um cliente AAA do servidor de autenticação local.

    router<config-radsrv>#nas 10.2.1.1 key Cisco

  6. Configure o usuário user1 no servidor Radius local.

    router<config-radsrv>#user user1 password user1 group rad-eap

  7. Especifique o host do servidor RADIUS.

    router<config-radsrv>#radius-server host 10.2.1.1 auth-port 1812 acct-port 1813 key cisco

    Nota: Esta chave deve ser a mesma que foi especificada no comando nas no modo de configuração do servidor RADIUS.

Configuração do SSID para a Autenticação 802.1x/EAP

A configuração da interface de rádio e do SSID associado para o 802.1x/EAP envolve a configuração de vários parâmetros wireless no roteador, os quais incluem o SSID, o modo de criptografia e o tipo de autenticação. Este exemplo usa o SSID chamado leap.

  1. Ative a interface de rádio.

    Para ativar a interface de rádio, vá para o modo de configuração da interface de rádio DOT11 e atribua um SSID à interface.

    router<config>#interface dot11radio0

    router<config-if>#no shutdown

    router<config-if>#ssid leap

  2. Vincule o SSID a uma VLAN.

    Para ativar o SSID nesta interface, vincule o SSID à VLAN no modo de configuração do SSID.

    router<config-ssid>#vlan 2

  3. Configure o SSID para a autenticação 802.1x/LEAP.

    router<config-ssid>#authentication network-eap eap_methods

  4. Configure a interface de rádio para o gerenciamento de chaves dinâmico.

    router<config>#encryption vlan 2 mode ciphers wep40

  5. Ative a VLAN na interface de rádio.

    router<config>#interface Dot11Radio 0,2

    router<config-subif>#encapsulation dot1Q 2

    router<config-subif>#bridge-group 2

Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN

Digite os seguintes comandos no modo de configuração global para configurar o servidor DHCP interno para os clientes wireless desta VLAN:

  • ip dhcp excluded-address 10.2.1.1 10.2.1.5

  • ip dhcp pool leapauth

No modo de configuração do pool do DHCP, digite os seguintes comandos:

  • network 10.2.0.0 255.255.0.0

  • default-router 10.2.1.1

Gerenciamento de Chaves WPA

O Wi-Fi Protected Access é um aperfeiçoamento de segurança interoperável e baseado em padrões que aumenta significativamente o nível de proteção de dados e controle de acesso para os sistemas de LAN wireless existentes e a serem implementados.

Consulte Gerenciamento de Chaves WPA para obter mais informações.

O gerenciamento de chaves WPA oferece suporte a dois tipos de gerenciamento mutuamente exclusivos: WPA-Pre-Shared key (WPA-PSK) e WPA (com EAP).

Configuração da WPA-PSK

O WPA-PSK é usado como um tipo de gerenciamento de chaves em LANs wireless em que a autenticação 802.1x não está disponível. Nesse tipo de rede, é necessário configurar uma chave pré-compartilhada no ponto de acesso. Você pode inserir a chave pré-compartilhada na forma de caracteres ASCII ou hexadecimais. Se você inserir a chave como caracteres ASCII, forneça entre 8 e 63 caracteres: o ponto de acesso expandirá a chave com o processo descrito na RFC2898 (Padrão de Criptografia Baseado em Senhas). Se você inserir a chave como caracteres hexadecimais, forneça 64 caracteres hexadecimais.

Este exemplo usa a seguinte configuração:

  • Nome do SSID: wpa-shared

  • VLAN 3

  • Intervalo do servidor DHCP interno: 10.3.0.0/16

Execute as seguintes ações no roteador:

  1. Configuração do Integrated Routing and Bridging (IRB) e Definição do Grupo de Bridges

  2. Configuração da Bridged Virtual Interface (BVI)

  3. Configuração do SSID para a Autenticação WPA-PSK

  4. Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN

Configuração do Integrated Routing and Bridging (IRB) e Definição do Grupo de Bridges

Execute as seguintes ações:

  1. Ative o IRB no roteador.

    router<configure>#bridge irb

    Nota: Se todos os tipos de segurança forem configurados em um único roteador, será suficiente ativar o IRB somente uma vez globalmente no roteador. Ele não precisa ser ativado para cada tipo de autenticação individual.

  2. Defina um grupo de bridges.

    Este exemplo usa o grupo de bridges número 3.

    router<configure>#bridge 3

  3. Escolha o protocolo de spanning tree para o grupo de bridges.

    O protocolo de spanning tree IEEE é configurado para este grupo de bridges.

    router<configure>#bridge 3 protocol ieee

  4. Configure um BVI para aceitar e rotear os pacotes roteáveis recebidos do seu grupo de bridges correspondente.

    Este exemplo configura a BVI para aceitar e rotear pacotes IP.

    router<configure>#bridge 3 route ip

Configuração da Bridged Virtual Interface (BVI)

Execute as seguintes ações:

  1. Configure a BVI.

    Configure a BVI ao atribuir a ela o número correspondente do grupo de bridges. Cada grupo de bridges pode possuir somente um BVI correspondente. Este exemplo atribui o grupo de bridges número 3 à BVI.

    router<configure>#interface BVI <2>

  2. Atribua um endereço IP à BVI.

    router<config-if>#ip address 10.3.1.1 255.255.0.0

    router<config-if>#no shut

Configuração do SSID para a Autenticação WPA-PSK

Execute as seguintes ações:

  1. Ative a interface de rádio.

    Para ativar a interface de rádio, vá para o modo de configuração da interface de rádio DOT11 e atribua um SSID à interface.

    router<config>#interface dot11radio0

    router<config-if>#no shutdown

    router<config-if>#ssid wpa-shared

  2. Para ativar o gerenciamento de chaves WPA, configure primeiro a cifra da criptografia WPA para a interface da VLAN. Este exemplo usa tkip como a cifra de criptografia.

    Digite este comando para especificar o tipo de gerenciamento de chaves WPA na interface de rádio.

    router<config>#interface dot11radio0

    router(config-if)#encryption vlan 3 mode ciphers tkip

  3. Vincule o SSID a uma VLAN.

    Para ativar o SSID nesta interface, vincule o SSID à VLAN no modo de configuração do SSID.

    router<config-ssid>vlan 3

  4. Configure o SSID para a autenticação WPA-PSK.

    Você deverá configurar primeiro a autenticação aberta ou EAP de rede no modo de configuração do SSID para ativar o gerenciamento de chaves WPA. Este exemplo configura a autenticação aberta.

    router<config>#interface dot11radio0

    router<config-if>#ssid wpa-shared

    router<config-ssid>#authentication open

    Ative o gerenciamento de chaves WPA no SSID. A cifra de gerenciamento de chaves tkip já está configurada para esta VLAN.

    router(config-if-ssid)#authentication key-management wpa

    Configure a autenticação WPA-PSK no SSID.

    router(config-if-ssid)#wpa-psk ascii 1234567890 !--- 1234567890 é o valor da chave pré-compartilhada para este SSID. Certifique-se de que a mesma chave seja especificada para este SSID no cliente.

  5. Ative a VLAN na interface de rádio.

    router<config>#interface Dot11Radio 0.3

    router<config-subif>#encapsulation dot1Q 3

    router<config-subif>#bridge-group 3

Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN

Digite os seguintes comandos no modo de configuração global para configurar o servidor DHCP interno para os clientes wireless desta VLAN:

  • ip dhcp excluded-address 10.3.1.1 10.3.1.5

  • ip dhcp pool wpa-psk

No modo de configuração do pool do DHCP, digite os seguintes comandos:

  • network 10.3.0.0 255.255.0.0

  • default-router 10.3.1.1

Configuração da Autenticação WPA (com EAP)

Este é outro tipo de gerenciamento de chaves WPA. Os clientes e o servidor de autenticação autenticam uns aos outros com um método de autenticação EAP, e ambos geram uma Pairwise Master Key (PMK). Com a WPA, o servidor gera a PMK dinamicamente e a envia para o ponto de acesso. No entanto, com a WPA-PSK, você é quem configura a chave pré-compartilhada no cliente e no ponto de acesso que é usada como a PMK.

Consulte Autenticação WPA com EAP para obter mais informações.

Este exemplo usa a seguinte configuração:

  • Nome do SSID: wpa-dot1x

  • VLAN 4

  • Intervalo do servidor DHCP interno: 10.4.0.0/16

Execute as seguintes ações no roteador:

  1. Configuração do Integrated Routing and Bridging (IRB) e Definição do Grupo de Bridges

  2. Configuração da Bridged Virtual Interface (BVI)

  3. Configuração do Servidor RADIUS Local para a Autenticação WPA

  4. Configuração do SSID para a Autenticação WPA com EAP

  5. Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN

Configuração do Integrated Routing and Bridging (IRB) e Definição do Grupo de Bridges

Execute as seguintes ações:

  1. Ative o IRB no roteador.

    router<configure>#bridge irb

    Nota: Se todos os tipos de segurança forem configurados em um único roteador, será suficiente ativar o IRB somente uma vez globalmente no roteador. Ele não precisa ser ativado para cada tipo de autenticação individual.

  2. Defina um grupo de bridges.

    Este exemplo usa o grupo de bridges número 4.

    router<configure>#bridge 4

  3. Escolha o protocolo de spanning tree para o grupo de bridges.

    Aqui o protocolo de spanning tree IEEE é configurado para este grupo de bridges.

    router<configure>#bridge 4 protocol ieee

  4. Configure um BVI para aceitar e rotear os pacotes roteáveis recebidos do seu grupo de bridges correspondente.

    Este exemplo configura a BVI para aceitar e rotear pacotes IP.

    router<configure>#bridge 4 route ip

Configuração da Bridged Virtual Interface (BVI)

Execute as seguintes ações:

  1. Configure a BVI.

    Configure a BVI ao atribuir a ela o número correspondente do grupo de bridges. Cada grupo de bridges pode possuir somente um BVI correspondente. Este exemplo atribui o grupo de bridges número 4 à BVI.

    router<configure>#interface BVI <4>

  2. Atribua um endereço IP à BVI.

    router<config-if>#ip address 10.4.1.1 255.255.0.0

    router<config-if>#no shut

Configuração do Servidor RADIUS Local para a Autenticação WPA

Consulte a seção Autenticação 802.1x/EAP para obter o procedimento detalhado.

Configuração do SSID para a Autenticação WPA com EAP

Execute as seguintes ações:

  1. Ative a interface de rádio.

    Para ativar a interface de rádio, vá para o modo de configuração da interface de rádio DOT11 e atribua um SSID à interface.

    router<config>#interface dot11radio0

    router<config-if>#no shutdown

    router<config-if>#ssid wpa-dot1x

  2. Para ativar o gerenciamento de chaves WPA, configure primeiro a cifra da criptografia WPA para a interface da VLAN. Este exemplo usa tkip como a cifra de criptografia.

    Digite este comando para especificar o tipo de gerenciamento de chaves WPA na interface de rádio.

    router<config>#interface dot11radio0

    router(config-if)#encryption vlan 4 mode ciphers tkip

  3. Vincule o SSID a uma VLAN.

    Para ativar o SSID nesta interface, vincule o SSID à VLAN no modo de configuração do SSID.

    vlan 4

  4. Configure o SSID para a autenticação WPA-PSK.

    Para configurar a interface de rádio para a autenticação WPA com EAP, configure primeiro o SSID associado para o EAP de rede.

    router<config>#interface dot11radio0

    router<config-if>#ssid wpa-shared

    router<config-ssid>#authentication network eap eap_methods

  5. Ative o gerenciamento de chaves WPA no SSID. A cifra de gerenciamento de chaves tkip já está configurada para esta VLAN.

    router(config-if-ssid)#authentication key-management wpa

  6. Ative a VLAN na interface de rádio.

    router<config>#interface Dot11Radio 0,4

    router<config-subif>#encapsulation dot1Q 4

    router<config-subif>#bridge-group 4

Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN

Digite os seguintes comandos no modo de configuração global para configurar o servidor DHCP interno para os clientes wireless desta VLAN:

  • ip dhcp excluded-address 10.4.1.1 10.4.1.5

  • ip dhcp pool wpa-dot1shared

No modo de configuração do pool do DHCP, digite os seguintes comandos:

  • network 10.4.0.0 255.255.0.0

  • default-router 10.4.1.1

Configuração do Cliente Wireless para a Autenticação

Após configurar o ISR, configure o cliente wireless para os tipos de autenticação diferentes de acordo com a explicação apresentada para que o roteador possa autenticar esses clientes e fornecer acesso à rede WLAN. Este documento usa o Cisco Aironet Desktop Utility (ADU) para configurar o cliente.

Configuração do Cliente Wireless para a Autenticação Aberta

Execute estes passos:

  1. Na janela Profile Management do ADU, clique em New para criar um novo perfil.

    Uma nova janela é exibida para que você possa definir a configuração para a autenticação aberta. Na guia General, digite o Profile Name e o SSID que o adaptador cliente deverá usar.

    Neste exemplo, o nome de perfil e o SSID são open.

    Nota: O SSID deverá corresponder ao SSID configurado no ISR para a autenticação aberta.

    ISR_Authentication-2.gif

  2. Clique na guia Security e mantenha a opção de segurança como None para a criptografia WEP. Como este exemplo usa WEP opcional, definir essa opção como None permitirá que o cliente se associe e comunique com a rede WLAN com êxito.

    Clique em OK.

    ISR_Authentication-3.gif

  3. Selecione Advanced window na guia Profile Management e defina o modo de autenticação 802.11 como Open para usar a autenticação aberta.

    ISR_Authentication-16.gif

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

  1. Após a criação do perfil do cliente, clique em Activate na guia Profile Management para ativar o perfil.

    ISR_Authentication-4.gif

  2. Verifique o status do ADU para saber se a autenticação obteve êxito.

    ISR_Authentication-5.gif

Configuração do Cliente Wireless para a Autenticação 802.1x/EAP

Execute estes passos:

  1. Na janela Profile Management do ADU, clique em New para criar um novo perfil.

    Uma nova janela é exibida para que você possa definir a configuração para a autenticação aberta. Na guia General, digite o Profile Name e o SSID que o adaptador cliente deverá usar.

    Neste exemplo, o nome de perfil e o SSID são leap.

  2. Em Profile Management, clique na guia Security, defina a opção de segurança como 802.1x e escolha o tipo de EAP apropriado. Este documento usa LEAP como o tipo de EAP para autenticação. Em seguida, clique em Configure para configurar o nome de usuário e a senha da LEAP.

    Nota: O SSID deverá corresponder ao SSID configurado no ISR para a autenticação 802.1x/EAP.

    ISR_Authentication-6.gif

  3. Nas configurações de nome de usuário e senha, este exemplo usa a opção Manually Prompt for User Name and Password para que o cliente seja obrigado a inserir o nome de usuário e a senha corretos ao tentar se conectar à rede. Clique em OK.

    ISR_Authentication-7.gif

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

  • Após a criação do perfil do cliente, clique em Activate na guia Profile Management para ativar o perfil leap. O nome de usuário e a senha do leap serão solicitados. Este exemplo usa o nome de usuário e a senha user1. Clique em OK.

  • Você poderá observar o cliente autenticar com êxito e receber um endereço IP do servidor DHCP configurado no roteador.

    ISR_Authentication-8.gif

Configuração do Cliente Wireless para a Autenticação WPA-PSK

Execute estes passos:

  1. Na janela Profile Management do ADU, clique em New para criar um novo perfil.

    Uma nova janela é exibida para que você possa definir a configuração para a autenticação aberta. Na guia General, digite o Profile Name e o SSID que o adaptador cliente deverá usar.

    Neste exemplo, o nome de perfil e o SSID são wpa-shared.

    Nota: O SSID deverá corresponder ao SSID configurado no ISR para a autenticação WPA-PSK.

  2. Em Profile Management, clique na guia Security e defina a opção de segurança como WPA/WPA2 Passphrase. Em seguida, clique em Configure para configurar a frase de secreta WPA.

    ISR_Authentication-9.gif

  3. Defina uma chave pré-compartilhada WPA. A chave deverá possuir entre 8 e 63 caracteres ASCII de tamanho. Clique em OK.

    ISR_Authentication-10.gif

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

  • Após a criação do perfil do cliente, clique em Activate na guia Profile Management para ativar o perfil wpa-shared.

  • Verifique o ADU para saber se a autenticação obteve êxito.

    ISR_Authentication-11.gif

Configuração do Cliente Wireless para a Autenticação WPA (com EAP)

Execute estes passos:

  1. Na janela Profile Management do ADU, clique em New para criar um novo perfil.

    Uma nova janela é exibida para que você possa definir a configuração para a autenticação aberta. Na guia General, digite o Profile Name e o SSID que o adaptador cliente deverá usar.

    Neste exemplo, o nome de perfil e o SSID são wpa-dot1x.

    Nota: O SSID deverá corresponder ao SSID configurado no ISR para a autenticação WPA (com EAP).

  2. Em Profile Management, clique na guia Security, defina a opção de segurança como WPA/WPA2/CCKM e escolha o tipo de EAP WPA/WPA2/CCKM apropriado. Este documento usa LEAP como o tipo de EAP para autenticação. Em seguida, clique em Configure para configurar o nome de usuário e a senha da LEAP.

    ISR_Authentication-14.gif

  3. Na área de configurações de nome de usuário e senha, este exemplo usa a opção Manually Prompt for User Name and Password para que o cliente seja obrigado a inserir o nome de usuário e a senha corretos ao tentar se conectar à rede. Clique em OK.

    ISR_Authentication-15.gif

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

  1. Após a criação do perfil do cliente, clique em Activate na guia Profile Management para ativar o perfil wpa-dot1x. O nome de usuário e a senha da LEAP serão solicitados. Este exemplo usa o nome de usuário e a senha user1. Clique em OK.

    ISR_Authentication-12.gif

  2. Você poderá observar o cliente se autenticar com êxito.

    ISR_Authentication-13.gif

O comando show dot11 associations da CLI do roteador exibe os detalhes completos do status da associação do cliente. Exemplo:

Router#show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [leap] :

MAC Address    IP address      Device        Name            Parent         State
0040.96ac.e657 10.3.0.2        CB21AG/PI21AG WCS             self         EAP-Assoc

SSID [open] :

SSID [pre-shared] : DISABLED, not associated with a configured VLAN

SSID [wpa-dot1x] :

SSID [wpa-shared] :


Others:  (not related to any ssid)

Troubleshooting

Comandos para Troubleshooting

Você pode usar os comandos a seguir para fazer o troubleshooting da sua configuração:

  • debug dot11 aaa authenticator all — Ativa a depuração dos pacotes de autenticação EAP e MAC.

  • debug radius authentication — Exibe as negociações de RADIUS entre o servidor e o cliente.

  • debug radius local-server packets — Exibe o conteúdo dos pacotes RADIUS que são enviados e recebidos.

  • debug radius local-server client — Exibe mensagens de erro sobre as autenticações de clientes com falha.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 98499