Roteadores : Roteadores Cisco 800 Series

Exemplo de Configuração de Tipos de Autenticação Wireless em um ISR Fixo Através do SDM

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (7 Abril 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Informações de Apoio
Configuração
      Diagrama de Rede
      Configuração do Roteador para Acesso via SDM
      Inicialização do Aplicativo Wireless SDM no Roteador
      Configuração da Autenticação Aberta com a Criptografia WEP
      Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN
      Configuração da Autenticação Aberta com MAC
      Configuração da Autenticação 802.1x/EAP
      Configuração da Autenticação Compartilhada
      Configuração da Autenticação WPA
      Configuração da Autenticação WPA-PSK
Configuração do Cliente Wireless
      Configuração do Cliente Wireless para Autenticação Aberta com a Criptografia WEP
      Configuração do Cliente Wireless para Autenticação Aberta com MAC
      Configuração do Cliente Wireless para Autenticação 802.1x/EAP
      Configuração do Cliente Wireless para Autenticação Compartilhada
      Configuração do Cliente Wireless para Autenticação WPA
      Configuração do Cliente Wireless para Autenticação WPA-PSK
Troubleshooting
      Comandos de Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento fornece exemplos de configuração que explicam como configurar vários tipos de autenticação da Camada 2 em um Cisco ISR fixo Wireless para conectividade wireless com o SDM (Security Device Manager).

Pré-requisitos

Requisitos

Verifique se você atende a estes requisitos antes de tentar esta configuração:

  • Conhecimento de como configurar os parâmetros básicos do Cisco ISR (Integrated Services Router) com o SDM

  • Conhecimento de como configurar o 802.11a/b/g Wireless Client Adapter com o ADU (Aironet Desktop Utility)

Componentes Utilizados

As informações deste documento baseiam-se nestas versões de software e hardware:

  • Cisco 877W ISR que executa o Cisco IOS® Software Release 12.3(8)YI1

  • Cisco SDM Versão 2.4.1 instalado no ISR

  • Laptop com o Aironet Desktop Utility Versão 3.6

  • 802.11 a/b/g Client Adapter que executa o Firmware Versão 3.6

As informações deste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Informações de Apoio

O Cisco SDM é uma ferramenta de gerenciamento de dispositivos intuitiva e baseada na Web para roteadores baseados no Cisco IOS Software. O Cisco SDM simplifica a configuração do roteador e da segurança por meio de assistentes inteligentes, que ajudam os clientes a implementar, configurar e monitorar de maneira fácil e rápida roteadores da Cisco Systems® sem a necessidade de conhecer a CLI (interface de linha de comando) do Cisco IOS Software.

Você pode baixar o SDM gratuitamente na Central de Software em Cisco.com.

O SDM pode ser instalado de forma independente, como uma cópia separada em cada roteador, ou também pode ser instalado em um PC. Quando instalado em um PC, o Cisco SDM pode ser utilizado para gerenciar outros roteadores que executam imagens corretas do IOS na rede. Entretanto, o SDM em um PC não oferece suporte à redefinição da configuração do roteador para o padrão de fábrica.

Este documento utiliza o SDM instalado no roteador wireless a fim de configurar o roteador para autenticação wireless.

O Cisco SDM se comunica com roteadores com dois objetivos:

  • Acessar os arquivos do aplicativo Cisco SDM para download no PC

  • Ler e gravar o status e a configuração do roteador

O Cisco SDM utiliza o HTTP(s) para baixar os arquivos do aplicativo (sdm.tar, home.tar) no PC. Uma combinação de HTTP(s) e Telnet/SSH é utilizada para ler e gravar a configuração do roteador.

Consulte Perguntas e Respostas sobre Cisco Routers e o Security Device Manager para obter as informações mais recentes sobre os roteadores e as releases do IOS Software que oferecem suporte ao SDM.

Consulte Configurar o Roteador para Oferecer Suporte ao SDM para obter mais informações sobre como utilizar o Cisco SDM em um roteador.

Consulte Instalar os Arquivos do SDM para obter instruções sobre como instalar e baixar os arquivos do SDM no roteador ou no PC.

Configuração

O documento explica como configurar estes tipos de autenticação através do SDM:

  • Autenticação Aberta com Criptografia WEP

  • Autenticação Aberta com MAC

  • Autenticação Compartilhada

  • Autenticação 802.1x/EAP (Extensible Authentication Protocol)

  • Autenticação WPA (Wi-Fi Protected Access)-PSK (Pre Shared Key)

  • Autenticação WPA

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

isr-sdm-config1.gif

Esta configuração utiliza o servidor RADIUS local no ISR Wireless para autenticar os clientes wireless por meio da autenticação 802.1x.

Configuração do Roteador para Acesso via SDM

Siga estes passos para permitir que o roteador seja acessado através do SDM:

  1. Configure o roteador para acesso http/https seguindo o procedimento explicado em Configurar o Roteador para Oferecer Suporte ao SDM.

  2. Atribua um endereço IP ao roteador seguindo estes passos:

    Router#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    Router(config)#interface fastEthernet 0
    Router(config-if)#ip address10.77.244.197 255.255.255.224
    
    
            % IP addresses cannot be configured on L2 links.
    

    No roteador 871W, é possível que você encontre uma mensagem de erro como esta. Esta mensagem indica que a fast ethernet 0 é um link da Camada 2 no qual não é possível configurar endereços IP.

  3. Para solucionar esse problema, crie uma interface (VLAN) da Camada 3 e atribua um endereço IP a ela com estes passos:

    Router(config)#interface Vlan1
    Router(config-if)#ip address 10.77.244.197 255.255.255.224
    
    
  4. Siga estes passos para ativar esta VLAN na interface fast ethernet 0 da Camada 2. Este documento configura a interface fast ethernet como uma interface de tronco para ativar a VLAN1. Você também pode configurá-la como uma interface de acesso e ativar a VLAN1 na interface de acordo com a sua configuração de rede.

    Router(config)#interface fastEthernet 0
    
    Router(config-if)#switchport trunk encapsulation dot1q
    Router(config-if)#switchport trunk allowed vlan add vlan1
    
    !--- Este comando permite a VLAN1 através da interface fast ethernet.
    !--- Para permitir todas as VLANs por meio desta interface, execute o
    !--- comando switchport trunk allowed vlan add all na interface.
    
    

    Nota: Este exemplo pressupõe que as configurações básicas do roteador e do aplicativo wireless já foram feitas no roteador. Portanto, o próximo passo será iniciar imediatamente o aplicativo wireless no roteador para configurar os parâmetros de autenticação.

Inicialização do Aplicativo Wireless SDM no Roteador

Siga estes passos para iniciar o aplicativo wireless:

  1. Inicie o SDM abrindo um navegador e inserindo o endereço IP do seu roteador.

    Você será solicitado a aceitar ou recusar uma janela de Alerta de Segurança do Navegador da Web de aparência semelhante a esta:

    isr-sdm-config2.gif

  2. Clique em Yes para continuar.

  3. Na janela exibida, insira o nome de usuário e a senha com privilégio level_15 para acessar o roteador.

    Este exemplo utiliza admin como o nome de usuário e a senha:

    isr-sdm-config3.gif

  4. Clique em OK para continuar. Insira as mesmas informações onde for necessário.

  5. Clique em Yes e OK, conforme adequado, nas páginas resultantes para iniciar o aplicativo SDM.

    Quando o aplicativo SDM for aberto, uma janela de alerta de segurança solicitará que você aceite um certificado de segurança assinado.

  6. Clique em Yes para aceitar o certificado assinado.

    isr-sdm-config4.gif

    A página principal resultante do Cisco Router e do SDM será semelhante a esta:

    isr-sdm-config5.gif

  7. Na parte superior dessa página, clique em Configure para iniciar a janela de modo de configuração do roteador.

  8. Na janela de modo de configuração, selecione Interfaces and Connections na coluna Tasks exibida no lado esquerdo da página.

  9. Na janela Interfaces and Connections, clique na guia Create Connection.

    Será exibida uma lista com todas as interfaces disponíveis para configuração no roteador.

  10. Para iniciar o aplicativo wireless, escolha Wireless na lista de interfaces. Em seguida, clique em Launch Wireless Application.

    Esta captura de tela explica os passos 8, 9 e 10:

    isr-sdm-config6.gif

    Isso iniciará o Aplicativo Wireless SDM em uma janela separada, na qual vários tipos de autenticação podem ser configurados.

    A home page do aplicativo é semelhante a esta:

    isr-sdm-config7.gif

    Observe que o Status do Software é Disabled e o Status do Hardware da interface de rádio (wireless) é Down porque nenhum SSID está configurado na interface. Em seguida, configure os SSIDs e os tipos de autenticação nessa interface de rádio para que os clientes wireless possam se comunicar através dessa interface.

Configuração da Autenticação Aberta com a Criptografia WEP

A autenticação aberta é um algoritmo de autenticação nula. O ponto de acesso (AP) atenderá a qualquer solicitação de autenticação. A autenticação aberta permite que qualquer dispositivo acesse a rede. Se nenhuma criptografia estiver ativada na rede, qualquer dispositivo que conheça o SSID do AP poderá obter acesso à rede. Com a criptografia WEP ativada em um AP, a própria chave WEP se tornará um mecanismo de controle de acesso. Se não tiver a chave WEP correta, um dispositivo não será capaz de transmitir dados através do AP, mesmo que a autenticação seja bem-sucedida. Além disso, ele não poderá descriptografar os dados enviados do AP.

Consulte Autenticação Aberta no Ponto de Acesso para obter mais informações.

Este exemplo utiliza os seguintes parâmetros de configuração para a autenticação aberta com a criptografia WEP:

  • SSID name: openwep

  • VLAN id: 1

  • VLAN IP address: 10.1.1.1/16

  • DHCP address range for the wireless clients of this VLAN/SSID: 10.1.1.5/16 - 10.1.1.10/16

Siga estes passos para configurar a autenticação aberta com WEP:

  1. Na home page do Aplicativo Wireless, clique em Wireless Services > VLAN para configurar uma VLAN.

    isr-sdm-config8.gif

  2. Selecione Routing na página Services: VLAN.

    isr-sdm-config9.gif

  3. Na página Services: VLAN Routing, crie a VLAN e atribua-a à interface de rádio.

    Esta é a janela de configuração da VLAN1 na interface de rádio. A VLAN1 é a VLAN nativa aqui:

    isr-sdm-config10.gif

  4. Na home page do Aplicativo Wireless, selecione Wireless Security > SSID Manager para configurar o SSID e o tipo de autenticação.

  5. Na página Security: SSID Manager, configure o SSID e atribua-o à VLAN criada no passo 1 para ativá-lo na interface de rádio.

  6. Na seção Authentication Settings dessa página, escolha Open Authentication.

    Esta é a janela de configuração que explica estes passos:

    isr-sdm-config11.gif

  7. Clique em Apply.

    Nota: A caixa suspensa correspondente à caixa de seleção Open Authentication indica que é possível configurar a autenticação aberta, além de vários outros tipos de autenticação, como EAP ou MAC. Esta seção aborda somente a autenticação aberta sem qualquer outro tipo de autenticação.

  8. Configure a criptografia WEP para este SSID/VLAN. Na home page do Aplicativo Wireless, selecione Wireless Security > Encryption Manager para configurar as definições de criptografia.

    1. Na página Security: Encryption Manager, defina Encryption Mode and Keys para a VLAN1.

    2. Escolha WEP Encryption: Mandatory como o Modo de Criptografia.

    3. Defina a Chave de Criptografia desta VLAN.

      Esta seção utiliza as seguintes definições de chave de criptografia:

      • Encryption key slot 1: utilizado como a Chave de Transmissão

      • Encryption key size: 40 bit

      • Encryption key in hexadecimal value: 1234567890

      Nota: O mesmo slot da chave de criptografia (1, neste caso) deve ser utilizado como a chave de transmissão no cliente wireless. Além disso, o cliente wireless deve ser configurado com o mesmo valor de chave (1234567890, neste caso) para que possa se comunicar com esta rede WLAN.

      Esta janela de configuração explica estes passos:

      isr-sdm-config12.gif

    Esta página Wireless Security representa a configuração inteira:

    isr-sdm-config13.gif

Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN

Siga estes passos para configurar um servidor DHCP interno no roteador. Este é um método opcional, embora recomendado, para atribuir um endereço IP aos clientes wireless.

  1. Na janela de modo de configuração do SDM, selecione Additional Tasks na coluna Tasks exibida à esquerda.

    isr-sdm-config14.gif

  2. Na página Additional Tasks, expanda a árvore DHCP e escolha DHCP Pools conforme mostrado neste exemplo. Na coluna DHCP Pools mostrada do lado direito dessa página, clique em Add para criar um novo pool DHCP.

    isr-sdm-config15.gif

  3. Na página Add DHCP Pool, especifique o nome do pool DHCP, a rede do pool DHCP, a máscara de sub-rede, o endereço IP inicial, o endereço IP final e os parâmetros padrão do roteador, conforme mostrado neste exemplo:

    isr-sdm-config16.gif

  4. Clique em OK.

    O servidor DHCP interno é configurado no roteador.

Configuração da Autenticação Aberta com MAC

Neste tipo de autenticação, o cliente wireless terá permissão de acessar a rede WLAN somente se o seu endereço MAC estiver na lista de endereços MAC permitidos no servidor de autenticação. O AP transmite o endereço MAC do dispositivo cliente wireless para um servidor de autenticação RADIUS na rede, e o servidor verifica se esse endereço existe em uma lista de endereços MAC permitidos. A autenticação baseada em MAC oferece um método de autenticação alternativo para os dispositivos clientes que não possuem o recurso EAP.

Consulte Autenticação de Endereços MAC na Rede para obter mais informações.

Nota: O documento inteiro utiliza o servidor RADIUS local para a autenticação MAC, 802.1x/EAP, bem como para autenticação WPA.

Este exemplo utiliza os seguintes parâmetros de configuração para autenticação aberta com MAC:

  • SSID name: openmac

  • VLAN id: 2

  • VLAN IP address: 10.2.1.1/16

  • DHCP address range for the wireless clients of this VLAN/SSID: 10.2.1.5/16 - 10.2.1.10/16

Siga estes passos para configurar a autenticação aberta com MAC:

  1. Na home page do Aplicativo Wireless, clique em Wireless Services > VLAN para configurar uma VLAN.

  2. Selecione Routing na página Services: VLAN. Na página Services: VLAN Routing, crie a VLAN e atribua-a à interface de rádio.

    Esta é a janela de configuração da VLAN 2 na interface de rádio:

    isr-sdm-config17.gif

  3. Configure o servidor RADIUS local para autenticação MAC. Esse servidor armazenará o endereço MAC do cliente wireless em seu banco de dados e permitirá ou negará o acesso do cliente à rede WLAN de acordo com o resultado da autenticação.

    1. Na home page do Aplicativo Wireless, selecione Wireless Security > Server Manager para configurar o servidor RADIUS local.

      isr-sdm-config18.gif

    2. Na página Server Manager, configure o endereço IP, o segredo compartilhado e as portas de autenticação e contabilização do servidor RADIUS.

      Como esse é um servidor RADIUS local, o endereço IP especificado é o desta interface wireless. A chave de segredo compartilhado utilizada deve ser a mesma da configuração do cliente AAA.

      Neste exemplo, o segredo compartilhado é cisco.

      isr-sdm-config19.gif

    3. Clique em Apply.

    4. Role a página para baixo até encontrar a seção Default Server Priorities. Nessa seção, escolha este servidor RADIUS (10.2.1.1) como o servidor de prioridade padrão para Autenticação MAC, conforme mostrado neste exemplo:

      isr-sdm-config20.gif

    5. Para configurar o cliente AAA e as credenciais do usuário, selecione Wireless Security > Local RADIUS Server na home page do Aplicativo Wireless.

    6. Na página Local RADIUS Server, clique em GENERAL SET-UP.

      isr-sdm-config21.gif

    7. Na página GENERAL SET-UP, configure o cliente AAA e a chave de segredo compartilhado conforme mostrado.

      Com uma configuração de servidor RADIUS local, o endereço IP do servidor e do cliente AAA será o mesmo.

      isr-sdm-config22.gif

    8. Role a página GENERAL SET-UP para baixo até encontrar a seção de configuração Individual Users. Nessa seção, configure o endereço MAC do cliente wireless como o nome de usuário e a senha.

    9. Marque a caixa de seleção MAC Authentication Only e clique em Apply.

      isr-sdm-config23.gif

      Para evitar que a autenticação do cliente falhe às vezes, especifique o endereço MAC do cliente em um formato contínuo, sem qualquer separação, conforme mostrado neste exemplo.

  4. Na home page do Aplicativo Wireless, selecione Wireless Security > SSID Manager para configurar o SSID e o tipo de autenticação.

    1. Na página Security: SSID Manager, configure o SSID e atribua-o à VLAN criada no passo 1 para ativá-lo na interface de rádio.

    2. Na seção Authentication Settings dessa página, escolha Open Authentication e, na caixa suspensa correspondente, escolha with MAC Authentication.

    3. Para configurar as Prioridades do Servidor, escolha Customize em MAC Authenticate Servers e, em seguida, escolha o endereço IP do servidor RADIUS local 10.2.1.1.

      O exemplo a seguir explica este passo:

      isr-sdm-config24.gif

  5. Para configurar o servidor DHCP interno para os clientes wireless desta VLAN, siga os mesmos passos explicados na seção Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN deste documento com os seguintes parâmetros de configuração:

    • DHCP Pool Name: VLAN 2

    • DHCP Pool Network: 10.2.0.0

    • Subnet Mask: 255.255.0.0

    • Starting IP: 10.2.1.5

    • Ending IP: 10.2.1.10

    • Default Router: 10.2.1.1

Configuração da Autenticação 802.1x/EAP

Este tipo de autenticação oferece o nível máximo de segurança da rede wireless. Utilizando o EAP para interagir com um servidor RADIUS compatível com EAP, o AP ajuda um dispositivo cliente wireless e o servidor RADIUS a executar a autenticação mútua e obter uma chave WEP unicast dinâmica. O servidor RADIUS envia essa chave para o AP, o qual a utiliza para todos os sinais de dados unicast enviados para o cliente ou recebidos dele.

Consulte Autenticação EAP na Rede para obter mais informações.

Nota: Há vários métodos de autenticação EAP disponíveis. Este documento explica como configurar o LEAP (Lightweight Extensible Authentication Protocol) como a autenticação EAP. O LEAP utiliza o nome do usuário e a senha como as credenciais do usuário para autenticação.

Nota: Para configurar o EAP-FAST (EAP-Flexible Authentication via Secure Tunneling) como o tipo de autenticação EAP, consulte o procedimento no Guia de Configuração do EAP-FAST Versão 1.02.

Este exemplo utiliza os seguintes parâmetros de configuração para autenticação EAP:

  • SSID name: leap

  • VLAN id: 3

  • VLAN IP address: 10.3.1.1/16

  • DHCP address range for the wireless clients of this VLAN/SSID: 10.3.1.5/16 - 10.3.1.10/16

Siga estes passos para configurar a autenticação EAP:

  1. Repita os passos 1 e 2 de Configuração da Autenticação Aberta com MAC para criar e configurar a VLAN com os seguintes parâmetros de configuração:

    • VLAN id: 3

    • Radio interface IP address: 10.3.1.1

    • subnet mask: 255.255.0.0

  2. Em seguida, configure o servidor RADIUS local para autenticação de cliente. Para fazer isso, repita os passos 3a a 3c de Configuração da Autenticação Aberta com MAC com os seguintes parâmetros de configuração:

    • IP address of RADIUS server: 10.3.1.1

    • Shared Secret: cisco

    Esta é a tela de configuração que explica o passo 2 da autenticação EAP:

    isr-sdm-config25.gif

  3. Role a página para baixo até encontrar a seção Default Server Priorities. Nessa seção, escolha este servidor RADIUS (10.3.1.1) como o servidor de prioridade padrão para Autenticação EAP, conforme mostrado neste exemplo.

    isr-sdm-config26.gif

  4. Repita os passos 3e e 3f de Configuração da Autenticação Aberta com MAC.

  5. Repita os passos 3g e 3h de Configuração da Autenticação Aberta com MAC com os seguintes parâmetros de configuração para autenticação EAP:

    • AAA client IP address: 10.3.1.1

    • Shared Secret: cisco

    • Na seção Individual Users, configure o nome de usuário e a senha como user1.

  6. Na home page do Aplicativo Wireless, selecione Wireless Security > SSID Manager para configurar o SSID e o tipo de autenticação.

    1. Na página Security: SSID Manager, configure o SSID e atribua-o à VLAN criada no passo 1 para ativá-lo na interface de rádio.

    2. Na seção Authentication Settings dessa página, escolha Open Authentication e, na caixa suspensa correspondente, escolha EAP Authentication. Além disso, selecione o tipo de autenticação Network EAP.

    3. Para configurar as Prioridades do Servidor, escolha Customize em EAP Authenticate Servers e, em seguida, escolha o endereço IP do servidor RADIUS local 10.3.1.1.

    O exemplo a seguir explica estes passos:

    isr-sdm-config27.gif

  7. Para configurar o servidor DHCP interno para os clientes wireless desta VLAN, siga os mesmos passos explicados na seção Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN deste documento com os seguintes parâmetros de configuração:

    • DHCP Pool name: VLAN 3

    • DHCP Pool Network: 10.3.0.0

    • Subnet Mask: 255.255.0.0

    • Starting IP: 10.3.1.5

    • Ending IP: 10.3.1.10

    • Default Router: 10.3.1.1

  8. Configure a Cifra que será utilizada para o gerenciamento de chaves dinâmicas após a autenticação bem-sucedida do cliente wireless.

    1. Na home page do Aplicativo Wireless, selecione Wireless Security > Encryption Manager para configurar as definições de criptografia.

    2. Na tela Wireless Security > Encryption Manager da página Security: Encryption Manager, insira 3 para Set Encryption Mode and Keys for VLAN.

    3. Escolha Cipher como o Modo de Criptografia e, em seguida, escolha um algoritmo de criptografia de cifra na caixa suspensa.

      Este exemplo utiliza TKIP como o algoritmo de cifra:

      isr-sdm-config28.gif

      Nota: Ao configurar vários tipos de autenticação em um roteador wireless através do SDM, algumas vezes não será possível configurar dois tipos diferentes de autenticação que utilizem o modo de criptografia de cifra no mesmo roteador. Nesses casos, a definição de criptografia configurada através do SDM poderá não ser aplicada ao roteador. Para resolver esse problema, configure esses tipos de autenticação através da CLI.

Configuração da Autenticação Compartilhada

A Cisco fornece a autenticação de chave compartilhada em conformidade com o padrão IEEE 802.11b.

Durante esse tipo de autenticação, o AP envia uma seqüência de texto de desafio não criptografada para qualquer dispositivo que tentar se comunicar com ele. O dispositivo que solicita a autenticação criptografa o texto de desafio e envia-o novamente para o AP. Se esse texto estiver criptografado corretamente, o AP permitirá que o dispositivo seja autenticado. Tanto o desafio não criptografado como o criptografado podem ser monitorados. Entretanto, isso expõe o AP ao ataque de um invasor que calcula a chave WEP comparando as seqüências de texto não criptografadas e criptografadas.

Consulte Autenticação de Chave Compartilhada no Ponto de Acesso para obter mais informações.

Este exemplo utiliza os seguintes parâmetros de configuração para autenticação compartilhada:

  • SSID name: shared

  • VLAN id: 4

  • VLAN IP address: 10.4.1.1/16

  • DHCP address range for the Wireless clients of this VLAN/SSID: 10.4.1.5/16 - 10.4.1.10/16

Siga estes passos para configurar a autenticação compartilhada:

  1. Repita os passos 1 e 2 de Configuração da Autenticação Aberta com MAC para criar e configurar a VLAN com os seguintes parâmetros de configuração:

    • VLAN id: 4

    • Radio interface IP address: 10.4.1.1

    • subnet mask: 255.255.0.0

  2. Na home page do Aplicativo Wireless, selecione Wireless Security > SSID Manager para configurar o SSID e o tipo de autenticação.

    1. Na página Security: SSID Manager, configure o SSID e atribua-o à VLAN criada no passo 1 para ativá-lo na interface de rádio.

    2. Na seção Authentication Settings dessa página, escolha Shared Authentication.

      Esta é a tela de configuração que explica estes passos:

      isr-sdm-config29.gif

    3. Clique em Apply.

  3. Configure a criptografia WEP para este SSID/VLAN. Como essa é a autenticação de chave compartilhada, a mesma chave também será utilizada para autenticação. Na home page do Aplicativo Wireless, selecione Wireless Security > Encryption Manager para configurar as definições de criptografia.

    1. Na página Security: Encryption Manager, insira 4 para Set Encryption Mode and Keys for VLAN.

    2. Escolha WEP Encryption: Mandatory como o Modo de Criptografia.

    3. Defina a Chave de Criptografia desta VLAN.

      Esta seção utiliza as seguintes definições de chave de criptografia:

      • Encryption Key slot 1: utilizado como a Chave de Transmissão

      • Encryption Key size: 40 bit

      • Encryption key in hexadecimal value: 1234567890

      Nota: O mesmo slot da chave de criptografia (1, neste caso) deve ser utilizado como a chave de transmissão no cliente wireless. Além disso, o cliente wireless deve ser configurado com o mesmo valor de chave (1234567890, neste caso) para que possa se comunicar com esta rede WLAN.

    Esta tela de configuração explica estes passos:

    isr-sdm-config30.gif

  4. Para configurar o servidor DHCP interno para os clientes wireless desta VLAN, siga os mesmos passos explicados na seção Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN deste documento com os seguintes parâmetros de configuração:

    • DHCP Pool name: VLAN 4

    • DHCP Pool Network: 10.4.0.0

    • Subnet Mask: 255.255.0.0

    • Starting IP: 10.4.1.5

    • Ending IP: 10.4.1.10

    • Default Router: 10.4.1.1

Configuração da Autenticação WPA

A WPA é uma melhoria de segurança interoperável e baseada em padrões que aumenta significativamente o nível de proteção de dados e o controle de acesso nos sistemas LAN wireless existentes e futuros. O gerenciamento de chaves WPA oferece suporte a dois tipos de gerenciamento mutuamente exclusivos: WPA e WPA-PSK.

Consulte Utilizando o Gerenciamento de Chaves WPA para obter mais informações.

Com o gerenciamento de chaves WPA, os clientes e o servidor de autenticação autenticam-se mutuamente utilizando um método de autenticação EAP, e ambos geram uma PMK (Pairwise Master Key). Com a WPA, o servidor gera a PMK dinamicamente e encaminha-a ao AP.

Este exemplo utiliza os seguintes parâmetros de configuração para autenticação WPA:

  • SSID name: wpa

  • VLAN id: 5

  • VLAN IP address: 10.5.1.1/16

  • DHCP address range for the wireless clients of this VLAN/SSID: 10.5.1.5/16 - 10.5.1.10/16

Siga estes passos para configurar a autenticação WPA:

  1. Repita os passos 1 e 2 de Configuração da Autenticação Aberta com MAC para criar e configurar a VLAN com os seguintes parâmetros de configuração:

    • VLAN id: 5

    • Radio interface IP address: 10.5.1.1

    • subnet mask: 255.255.0.0

  2. Como a WPA é um padrão de gerenciamento de chaves, configure a cifra que será utilizada para o gerenciamento de chaves WPA.

    1. Na home page do Aplicativo Wireless, selecione Wireless Security > Encryption Manager para configurar as definições de criptografia.

    2. Na tela Wireless Security > Encryption Manager da página Security: Encryption Manager, insira 5 para Set Encryption Mode and Keys for VLAN.

    3. Escolha Cipher como o Modo de Criptografia e, em seguida, escolha um algoritmo de criptografia de cifra na caixa suspensa.

      Este exemplo utiliza TKIP como o algoritmo de cifra:

      isr-sdm-config31.gif

      Nota: Ao configurar vários tipos de autenticação em um roteador wireless através do SDM, algumas vezes não será possível configurar dois tipos diferentes de autenticação que utilizem o modo de criptografia de cifra no mesmo roteador. Nesses casos, a definição de criptografia configurada através do SDM poderá não ser aplicada ao roteador. Para resolver esse problema, configure esses tipos de autenticação através da CLI.

  3. O próximo passo será configurar o servidor RADIUS local para autenticação de cliente. Para fazer isso, repita os passos 3a a 3c de Configuração da Autenticação Aberta com MAC com os seguintes parâmetros de configuração:

    • IP address of RADIUS server: 10.5.1.1

    • Shared Secret: cisco

    1. Role a página Server Manager para baixo até encontrar a seção Default Server Priorities. Nessa seção, escolha este servidor RADIUS (10.5.1.1) como o servidor de prioridade padrão para Autenticação EAP, conforme mostrado neste exemplo:

      isr-sdm-config32.gif

    2. Repita os passos 3e e 3f de Configuração da Autenticação Aberta com MAC.

    3. Repita os passos 3g e 3h de Configuração da Autenticação Aberta com MAC com os seguintes parâmetros de configuração para autenticação EAP:

      • AAA client IP address: 10.5.1.1

      • Shared Secret: cisco

    4. Na seção Individual Users, configure o nome de usuário e a senha como user2.

  4. Para ativar a WPA para um SSID, é necessário ativar a Autenticação Aberta com EAP ou EAP de Rede no SSID. Para ativar o EAP de Rede, na home page do Aplicativo Wireless, selecione Wireless Security > SSID Manager para configurar o SSID e o tipo de autenticação.

    1. Na página Security: SSID Manager, configure o SSID e atribua-o à VLAN criada no passo 1 para ativá-lo na interface de rádio.

    2. Na seção Authentication Settings dessa página, escolha Open Authentication e, na caixa suspensa correspondente, escolha EAP Authentication. Além disso, selecione o tipo de autenticação Network EAP.

    3. Para configurar as Prioridades do Servidor, escolha Customize em EAP Authenticate Servers e, em seguida, escolha o endereço IP do servidor RADIUS local 10.5.1.1.

    O exemplo a seguir explica estes passos:

    isr-sdm-config33.gif

  5. Role a página SSID Manager para baixo até encontrar a seção Authenticated Key Management.

  6. Nessa seção, escolha Mandatory na caixa suspensa Key Management e ative a caixa de seleção WPA.

    Esta é a janela de configuração que explica estes passos:

    isr-sdm-config34.gif

  7. Clique em Apply.

  8. Para configurar o servidor DHCP interno para os clientes wireless desta VLAN, siga os mesmos passos explicados na seção Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN deste documento com os seguintes parâmetros de configuração:

    • DHCP Pool Name: VLAN 5

    • DHCP Pool Network: 10.5.0.0

    • Subnet Mask: 255.255.0.0

    • Starting IP: 10.5.1.5

    • Ending IP: 10.5.1.10

    • Default Router: 10.5.1.1

Configuração da Autenticação WPA-PSK

O outro tipo de gerenciamento de chaves WPA é chamado WPA-PSK. A WPA-PSK é utilizada para oferecer suporte ao WPA em uma LAN wireless onde a autenticação baseada no padrão 802.1x não está disponível. Com esse tipo, é necessário configurar uma chave pré-compartilhada no AP. Você pode inserir a chave pré-compartilhada como caracteres ASCII ou hexadecimais. Se você inserir a chave como caracteres ASCII, insira entre 8 e 63 caracteres, e o AP expandirá a chave utilizando o processo descrito na RFC2898 (Padrão de Criptografia Baseado em Senhas). Se você inserir a chave como caracteres hexadecimais, será necessário inserir 65 caracteres hexadecimais.

Este exemplo utiliza os seguintes parâmetros de configuração para autenticação WPA-PSK:

  • SSID name: wpa-psk

  • VLAN id: 6

  • VLAN IP address: 10.6.1.1/16

  • HCP address range for the wireless clients of this VLAN/SSID: 10.6.1.5/16 - 10.6.1.10/16

Siga estes passos para configurar a autenticação WPA-PSK:

  1. Repita os passos 1 e 2 de Configuração da Autenticação Aberta com MAC para criar e configurar a VLAN com os seguintes parâmetros de configuração:

    • VLAN id: 6

    • Radio interface IP address: 10.6.1.1

    • subnet mask: 255.255.0.0

  2. Como a WPA-PSK é um padrão de gerenciamento de chaves, configure a cifra que será utilizada para o gerenciamento de chaves WPA.

    1. Na home page do Aplicativo Wireless, selecione Wireless Security > Encryption Manager para configurar as definições de criptografia.

    2. Na janela Wireless Security > Encryption Manager da página Security: Encryption Manager, insira 6 para Set Encryption Mode and Keys for VLAN.

    3. Escolha Cipher como o Modo de Criptografia e, em seguida, escolha um algoritmo de criptografia de cifra na caixa suspensa.

      Este exemplo utiliza TKIP+WEP 128bit como o algoritmo de cifra.

      isr-sdm-config35.gif

      Nota: Ao configurar vários tipos de autenticação em um roteador wireless através do SDM, algumas vezes não será possível configurar dois tipos diferentes de autenticação que utilizem o modo de criptografia de cifra no mesmo roteador. Nesses casos, a definição de criptografia configurada através do SDM poderá não ser aplicada ao roteador. Para resolver esse problema, configure esses tipos de autenticação através da CLI.

  3. Para ativar a WPA-PSK para um SSID, é necessário ativar a autenticação aberta no SSID. Para ativar a autenticação aberta, repita o passo 6 de Configuração da Autenticação Aberta com a Criptografia WEP.

    Esta é a janela de configuração da WPA-PSK:

    isr-sdm-config36.gif

  4. Role a página SSID Manager para baixo até encontrar a seção Authenticated Key Management.

  5. Nessa seção, escolha Mandatory na caixa suspensa Key Management, ative a caixa de seleção WPA e insira a chave pré-compartilhada WPA no formato ASCII ou Hexadecimal.

    Este exemplo utiliza o formato ASCII. O mesmo formato deve ser utilizado na configuração do cliente. Esta é a janela de configuração que explica o passo 5:

    isr-sdm-config37.gif

    A Chave Pré-compartilhada WPA utilizada nesta configuração é 1234567890.

  6. Clique em Apply.

  7. Para configurar o servidor DHCP interno para os clientes wireless desta VLAN, siga os mesmos passos explicados na seção Configuração do Servidor DHCP Interno para os Clientes Wireless desta VLAN deste documento com os seguintes parâmetros de configuração:

    • DHCP Pool Name: VLAN 6

    • DHCP Pool Network: 10.6.0.0

    • Subnet Mask: 255.255.0.0

    • Starting IP: 10.6.1.5

    • Ending IP: 10.6.1.10

    • Default Router: 10.6.1.1

Configuração do Cliente Wireless

Após configurar o ISR através do SDM, você precisará configurar o cliente wireless para os diferentes tipos de autenticação, de modo que o roteador possa autenticar esses clientes e conceder acesso à rede WLAN. Este documento utiliza o ADU para a configuração do cliente.

Configuração do Cliente Wireless para Autenticação Aberta com a Criptografia WEP

Execute estes passos:

  1. Na janela Profile Management do ADU, clique em New para criar um novo perfil.

    Será exibida uma nova janela onde você poderá definir a configuração da autenticação aberta.

  2. Na guia General, insira o Nome do Perfil e o SSID que o adaptador cliente utilizará.

    Neste exemplo, o Nome do Perfil e o SSID são openwep.

    Nota: O SSID deve corresponder ao configurado no ISR para autenticação aberta.

    isr-sdm-config38.gif

  3. Clique na guia Security e deixe a opção de segurança como Pre-Shared Key (Static WEP) para criptografia WEP.

  4. Clique em Configure e defina a chave pré-compartilhada conforme mostrado neste exemplo:

    isr-sdm-config39.gif

  5. Clique na guia Advanced na página Profile Management e defina o Modo de Autenticação 802.11 como Open para autenticação aberta.

    isr-sdm-config40.gif

  6. Para verificar a autenticação aberta com WEP, ative o SSID openwep configurado.

    isr-sdm-config41.gif

  7. Verifique se o cliente wireless foi associado com êxito ao roteador. Isso pode ser verificado em detalhes no roteador wireless com o comando show dot11 associations.

    Aqui está um exemplo:

    Router#show dot11 associations
    802.11 Client Stations on Dot11Radio0:
    
    SSID [openwep] :
    
    MAC Address    IP address      Device        Name            Parent         State
    0040.96ac.e657 10.1.1.5        CB21AG/PI21AG client          self           Assoc
    
    
    Others:  (not related to any ssid)
    

Configuração do Cliente Wireless para Autenticação Aberta com MAC

Execute estes passos:

  1. Na janela Profile Management do ADU, clique em New para criar um novo perfil.

    Será exibida uma nova janela onde você poderá definir a configuração da autenticação aberta.

  2. Na guia General, insira o Nome do Perfil e o SSID que o adaptador cliente utilizará.

    Neste exemplo, o Nome do Perfil e o SSID são openmac.

    Nota: O SSID deve corresponder ao configurado no ISR para autenticação aberta.

    isr-sdm-config42.gif

  3. Clique na guia Security e deixe a opção de segurança como None para autenticação aberta com MAC. Em seguida, clique em OK.

    isr-sdm-config43.gif

  4. Para verificar a autenticação aberta com MAC, ative o SSID openmac configurado.

    isr-sdm-config44.gif

  5. Verifique se o cliente wireless foi associado com êxito ao roteador. Isso pode ser verificado em detalhes no roteador wireless com o comando show dot11 associations.

    Aqui está um exemplo:

    Router#show dot11 associations
    802.11 Client Stations on Dot11Radio0:
    
    SSID [openmac] :
    
    MAC Address    IP address      Device        Name            Parent         State
    0040.96ac.e657 10.2.1.5        CB21AG/PI21AG client1         self           MAC-Assoc
    
    SSID [openwep] :
    
    
    Others:  (not related to any ssid)
    

Configuração do Cliente Wireless para Autenticação 802.1x/EAP

Execute estes passos:

  1. Na janela Profile Management do ADU, clique em New para criar um novo perfil.

    Será exibida uma nova janela onde você poderá definir a configuração da autenticação aberta.

  2. Na guia General, insira o Nome do Perfil e o SSID que o adaptador cliente utilizará.

    Neste exemplo, o Nome do Perfil e o SSID são leap.

    Nota: O SSID deve corresponder ao configurado no ISR para autenticação 802.1x/EAP.

  3. Em Profile Management, clique na guia Security, defina a opção de segurança como 802.1x e escolha o tipo de EAP adequado.

    Este documento utiliza o LEAP como o tipo de EAP para autenticação.

  4. Clique em Configure para configurar as definições de nome de usuário e senha LEAP.

    isr-sdm-config45.gif

    Nas definições de nome de usuário e senha, este exemplo utiliza a opção Manually Prompt for User Name and Password de modo que o cliente será solicitado a inserir o nome de usuário e a senha corretos ao tentar se conectar à rede.

  5. Clique em OK.

    isr-sdm-config46.gif

  6. Para verificar a autenticação EAP, ative o SSID leap configurado. Você será solicitado a inserir um nome de usuário e uma senha LEAP. Insira as duas credenciais como user1 e clique em OK.

    isr-sdm-config47.gif

  7. Verifique se o cliente wireless é autenticado com êxito e se um endereço IP é atribuído a ele. Isso poderá ser facilmente verificado na janela de status do ADU.

    isr-sdm-config48.gif

    Esta é a saída equivalente da CLI do roteador:

    Router#show dot11 associations
    802.11 Client Stations on Dot11Radio0:
    
    SSID [leap] :
    
    MAC Address    IP address      Device        Name            Parent         State
    0040.96ac.e657 10.3.1.5        CB21AG/PI21AG client2         self           EAP-Assoc
    
    SSID [openmac] :
    
    SSID [openwep] :
    
    
    Others:  (not related to any ssid)
    

Configuração do Cliente Wireless para Autenticação Compartilhada

Execute estes passos:

  1. Na janela Profile Management do ADU, clique em New para criar um novo perfil.

    Será exibida uma nova janela onde você poderá definir a configuração da autenticação aberta.

  2. Na guia General, insira o Nome do Perfil e o SSID que o adaptador cliente utilizará.

    Neste exemplo, o Nome do Perfil e o SSID são shared.

    Nota: O SSID deve corresponder ao configurado no ISR para autenticação aberta.

  3. Clique na guia Security e deixe a opção de segurança como Pre-Shared Key (Static WEP) para criptografia WEP. Em seguida, clique em Configure.

    isr-sdm-config49.gif

  4. Defina a chave pré-compartilhada conforme mostrado neste exemplo:

    isr-sdm-config50.gif

  5. Clique em OK.

  6. Em Profile Management, clique na guia Advanced e defina o Modo de Autenticação 802.11 como Shared para a autenticação compartilhada.

  7. Para verificar a autenticação compartilhada, ative o SSID shared configurado.

  8. Verifique se o cliente wireless foi associado com êxito ao roteador. Isso pode ser verificado em detalhes no roteador wireless com o comando show dot11 associations.

    Aqui está um exemplo:

    Router#show dot11 associations
    802.11 Client Stations on Dot11Radio0:
    
    
    
    SSID [shared] :
    
    MAC Address    IP address      Device        Name            Parent         State
    0040.96ac.e657 10.4.1.5        CB21AG/PI21AG WCS             self           Assoc
    

Configuração do Cliente Wireless para Autenticação WPA

Execute estes passos:

  1. Na janela Profile Management do ADU, clique em New para criar um novo perfil.

    Será exibida uma nova janela onde você poderá definir a configuração da autenticação aberta.

  2. Na guia General, insira o Nome do Perfil e o SSID que o adaptador cliente utilizará.

    Neste exemplo, o Nome do Perfil e o SSID são wpa.

    Nota: O SSID deve corresponder ao configurado no ISR para autenticação WPA (com EAP).

  3. Em Profile Management, clique na guia Security, defina a opção de segurança como WPA/WPA2/CCKM e escolha o tipo de WPA/WPA2/CCKM EAP adequado.

    Este documento utiliza o LEAP como o tipo de EAP para autenticação.

  4. Clique em Configure para configurar as definições de nome de usuário e senha LEAP.

    isr-sdm-config51.gif

    Nas definições de nome de usuário e senha, este exemplo utiliza a opção Manually Prompt for User Name and Password de modo que o cliente será solicitado a inserir o nome de usuário e a senha corretos ao tentar se conectar à rede.

  5. Clique em OK.

  6. Para verificar a autenticação EAP, ative o SSID leap configurado. Você será solicitado a inserir um nome de usuário e uma senha LEAP. Insira as duas credenciais como user2 e clique em OK.

  7. Verifique se o cliente wireless é autenticado com êxito e se um endereço IP é atribuído a ele. Isso poderá ser facilmente verificado na janela de status do ADU.

    isr-sdm-config52.gif

Configuração do Cliente Wireless para Autenticação WPA-PSK

Execute estes passos:

  1. Na janela Profile Management do ADU, clique em New para criar um novo perfil.

    Será exibida uma nova janela onde você poderá definir a configuração da autenticação aberta.

  2. Na guia General, insira o Nome do Perfil e o SSID que o adaptador cliente utilizará.

    Neste exemplo, o Nome do Perfil e o SSID são wpa-psk.

    Nota: O SSID deve corresponder ao configurado no ISR para autenticação WPA-PSK.

  3. Em Profile Management, clique na guia Security e defina a opção de segurança como WPA/WPA2 Passphrase. Em seguida, clique em Configure para configurar a frase secreta WPA.

    isr-sdm-config53.gif

  4. Defina uma Chave Pré-compartilhada WPA. A chave deve conter de 8 a 63 caracteres ASCII. Em seguida, clique em OK.

    isr-sdm-config54.gif

  5. Para verificar a autenticação WPA-PSK, ative o SSID wpa-psk configurado.

  6. Verifique se o cliente wireless foi associado com êxito ao roteador. Isso pode ser verificado em detalhes no roteador wireless com o comando show dot11 associations.

Troubleshooting

No momento não há informações de troubleshooting disponíveis para esta configuração.

Comandos para Troubleshooting

Você pode utilizar estes comandos debug para fazer o troubleshooting de sua configuração.

  • debug dot11 aaa authenticator all — Ativa a depuração dos pacotes de autenticação MAC e EAP.

  • debug radius authentication — Exibe as negociações RADIUS entre o servidor e o cliente.

  • debug radius local-server packets — Exibe o conteúdo dos pacotes RADIUS enviados e recebidos.

  • debug radius local-server client — Exibe mensagens de erro sobre as autenticações de cliente que falharam.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 98584