无线 : Cisco Aironet 350 系列

无线域服务AP作为AAA服务器配置示例

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 12 月 20 日) | 反馈


目录


简介

本文为配置接入点(AP)提供一配置示例对:

  • 提供无线域服务配置(WDS)。

  • 执行验证、授权和统计(AAA)服务器的角色。

您能使用这种设置,当参加WDS的您没有验证一个的外部RADIUS服务器基础设施AP和客户端设备时。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • WDS基础知识

  • 当前可扩展的认证协议(EAP)安全方法知识

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行Cisco IOSï ¿  ½软件版本12.3(7)JA1的Cisco Aironet 1200系列AP

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

WDS是Cisco Structured Wireless Aware Network (SWAN)的部分。WDS是提高无线局域网(WLAN)客户端移动性并且简化WLAN部署和管理Cisco IOS软件功能的一集。

WDS是许多功能的基础例如法塞特安全漫游,第3层移动性和无线电管理。

参考配置WDS,法塞特安全漫游,无线电管理和无线入侵检测服务关于这些功能的更多信息。

其中一个WDS主要目的是缓存用户凭证在客户端的第一验证由认证服务器。在随后的尝试, WDS根据缓存的信息验证客户端。为了完成此:

  • 必须配置一AP作为WDS AP。

  • 必须配置其他AP作为基础设施传达对WDS AP的AP。

  • WDS AP必须通过验证建立一关系用认证服务器对它与WDS用户名和密码。

当这些设备第一次时,验证此认证服务器验证基础设施AP的凭证和客户端。认证服务器可以是一个外部RADIUS服务器或本地RADIUS服务器在WDS AP。

WDS 与基础架构 AP 通过名为无线局域网上下文控制协议 (WLCCP) 的组播协议进行通信。不能对这些组播消息进行路由。所以, WDS和相关的基础设施AP必须在同样IP子网和在同一LAN段。

本文解释如何使用在WDS AP的本地RADIUS服务器功能执行凭证的验证。

配置

配置WDS AP

本部分提供有关如何配置本文档所述功能的信息。

为了配置AP担当与AAA服务器功能的WDS AP,您必须首先启用在AP的本地RADIUS服务器功能。

完成这些步骤:

  1. 登陆对AP通过GUI。

    Summary Status页出现。

    wds1.gif

  2. 选择安全从左侧菜单的>Server管理器在AP。

  3. 输入作为RADIUS服务器在公司服务器下的IP地址和AP共享机密。

    在这种情况下,因为WDS AP作为RADIUS服务器,请输入WDS AP的IP地址。示例使用IP地址10.0.0.1。因为这是一个本地RADIUS服务器您必须使用1812和1813,当验证和计费端口作为此示例显示。

  4. 单击 Apply

    wds2.gif

  5. 选择WDS AP IP地址作为Priority1在默认EAP验证的服务器优先级下。

    单击 Apply

    这允许本地RADIUS服务器是验证的基础设施AP和客户端第一选择。

    wds3.gif

  6. 选择安全>从左侧菜单的本地RADIUS服务器

    1. 点击常规设置为了配置本地RADIUS服务器参数。

    2. 选择在本地RADIUS服务器验证设置下的LEAP并且单击应用

    3. 输入WDS AP的IP地址和一共享加密口令在网络接入服务器下。此示例使用共享加密口令作为test123

    4. 单击 Apply

      wds4.gif

  7. 输入与WDS AP联络在个人用户下所有基础设施AP和客户端的用户名和密码。

    单击 Apply

    此示例包括您配置注册与WDS AP基础设施AP的用户名和密码。此示例使用用户名作为infrastructureAP1和密码作为思科。相同用户名和密码在基础设施接入点需要配置。

    wds5.gif

在您配置在AP后的本地RADIUS服务器功能,您需要启用在AP的WDS功能。

完成这些步骤:

  1. 选择从左侧菜单的无线服务> WDS在AP。

  2. 点击常规设置

    wds6.gif

  3. 检查使用此AP作为在常规设置页的无线域服务

    在无线域的输入254服务优先级字段。单击 Apply

  4. 启用基础设施验证。

    1. 点击WDS页的服务器组

    2. 在服务器组Name字段输入一名称验证基础设施AP。此示例使用服务器组组名作为基础设施

    3. 选择本地RADIUS服务器的IP地址从组服务器优先级下拉列表的。

      WDS AP使用此服务器验证基础设施AP。

    4. 选择基础设施验证在使用组下为。

    5. 单击 Apply

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-350-series/68098-wds8.gif

WDS AP当前作为AAA服务器。配置一基础设施AP注册与WDS AP。

注意: 有关本文档所用命令的详细信息,请使用命令查找工具仅限注册用户)。

配置基础设施AP

此部分说明在基础设施AP要求的配置注册与WDS AP。客户端与基础设施 AP 关联。基础设施AP请求WDS AP执行他们的验证。

完成这些步骤添加使用WDS的服务的基础设施AP :

  1. 选择从左侧菜单的无线服务> AP

  2. 选择Enable (event)下参加SWAN基础设施。

  3. 选择自动发现在WDS发现号下。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-350-series/68098-wds7.gif

  4. 在适当的域输入WDS用户名和密码。

    单击 Apply

    用户名和密码必须存在于本地RADIUS服务器。您必须定义在认证服务器的一个WDS用户名和密码是WDS的成员的所有设备的。

基础设施AP在AP信息地区出现以状态如注册,一旦配置WDS AP和基础设施AP在WDS AP, WDS Status选项。这在无线服务> WDS菜单项下。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-350-series/68098-wds9.gif

不正确验证设置在WDS AP或基础设施AP能造成AP没出现作为激活并且/或者注册。检查认证服务器统计信息所有错误或失败的认证尝试。选择安全>本地认证服务器统计信息的RADIUS服务器>统计信息

您能也使用从CLI的show wlccp wds ap命令在WDS AP验证配置。在与WDS AP的成功的注册,在一个成功的注册以后的输出与WDS AP看似类似此示例:

WDS#show wlccp wds ap
  MAC-ADDR         IP-ADDR        STATE      LIFETIME    CDP-NEIGHBOR
  000e.d7e4.a629   10.0.0.2      REGISTERED    97         10.77.241.161

配置客户端验证方法

添加一个客户端验证方法到WDS。

完成这些步骤:

  1. 选择无线服务> WDS WDS AP的>Server组

    1. 定义验证客户端的服务器组(客户端组)。

      这应该以前是与基础设施验证的配置的服务器组不同。此示例使用服务器组组名作为客户端

    2. 设置Priority1为本地RADIUS服务器。

    3. 选择验证(LEAP种类, EAP, MAC,等等)使用客户端验证。

      本例使用 LEAP 身份验证。

    4. 将设置应用于相关的 SSID。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-350-series/68098-wds10.gif

  2. 完成在基础设施AP的这些步骤:

    1. 选择安全>加密管理器并且点击WEP加密并且从下拉菜单选择必须。在加密密钥下,请输入128-bit WEP密钥。此示例使用加密密钥作为1234567890abcdef1234567890

      wds11.gif

    2. 选择安全> SSID管理器并且创建一新的SSID。

      此示例使用SSID作为Cisco123。其次,请选择认证方法。

    3. 选择在基础设施AP的网络EAP

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-350-series/68098-wds12.gif

测试客户端成功验证并且与基础设施AP产生关联。当第一次时,出现客户端通过其凭证对基础设施AP。基础设施AP然后转发同样对WDS AP,验证凭证。

注意: 本文不解释如何配置客户端适配器。关于如何的参考的Cisco Aironet无线局域网客户端适配器配置客户端适配器的信息。

验证

使用本部分可确认配置能否正常运行。

  • show wlccp wds mn -请使用从CLI的此命令在WDS AP验证成功的客户端验证和关联有WDS AP的。

WDS#show wlccp wds mn
  MAC-ADDR         IP-ADDR      Curr-AP          STATE
 0040.96a5.b5d4    10.0.0.15    000e.d7e4.a629  REGISTERED

以下调试指令也是有用。

  • debug wlccp ap {mn|发现wds|状态} -请使用此命令打开调试消息显示与客户端设备(mn)WDS发现过程和接入点验证涉及的到WDS接入点(状态)

  • debug wlccp packet -请使用此命令到/从WDS接入点打开数据包显示。

  • debug radius当地服务器-激活与对本地验证器的失败的客户端验证涉及的错误消息显示

故障排除

目前没有针对此配置的故障排除信息。


相关信息


Document ID: 68098