无线/移动 : "无线, LAN (WLAN)"

无线局域网连接使用与WEP加密和LEAP认证配置示例的一个ISR

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 30 日) | 反馈


目录


简介

本文解释如何配置一Cisco 870系列集成业务路由器(ISR)与WEP加密和LEAP认证的无线局域网连接的。

相同的配置适用于所有其他Cisco ISR无线系列型号。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 知识如何配置Cisco 870系列ISR的基本参数。

  • 使用Aironet Desktop软件(ADU),知识如何配置802.11a/b/g无线客户端适配器。

参考的Cisco Aironet 802.11a/b/g无线局域网客户端适配器(CB21AG和PI21AG)安装和配置指南,关于如何的版本2.5配置802.11a/b/g客户端适配器的信息。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行Cisco IOS�软件版本12.3(8)YI1的Cisco 871W ISR

  • 与Aironet Desktop软件版本2.5的笔记本电脑

  • 802.11运行固件版本2.5的a/b/g客户端适配器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

网络图

本文档使用此网络设置。

在此设置,无线局域网客户端与870路由器产生关联。在870路由器的内部动态主机配置协议(DHCP)服务器用于提供IP地址给无线客户端。WEP加密在870个ISR和WLAN客户端启用。LEAP认证用于验证无线用户,并且在870路由器的本地RADIUS服务器功能用于验证凭证。

/image/gif/paws/69011/wlan-870isr-1.gif

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

871W路由器配置

完成这些步骤配置871W ISR作为接入点接受从无线客户端的关联请求。

  1. 配置集成路由和桥接(IRB)并且组成网桥组。

    键入从全局配置模式的这些命令为了启用IRB。

    WirelessRouter<config>#bridge irb
    
    
    !--- Enables IRB.
    
    WirelessRouter<config>#bridge 1 protocol ieee
     
    
    !--- Defines the type of Spanning Tree Protocol as ieee.
    
    WirelessRouter<config>#bridge 1 route ip
    
    
    !--- Enables the routing of the specified protocol in a bridge group.
    
    
  2. 配置桥接虚拟接口(BVI)。

    分配IP地址到BVI。键入从全局配置模式的这些命令。

    WirelessRouter<config>#interface bvi1
    
    
    !--- Enter interface configuration mode for the BVI.
    
    WirelessRouter<config-if>#ip address 172.16.1.100 255.255.0.0
    
    
    

    参考在接入点的网桥组配置并且桥接使用VLAN的部分以Cisco Aironet无线设备关于网桥组的功能的更多信息在接入点。

  3. 配置在871W ISR的内部DHCP服务器功能。

    在路由器的内部DHCP服务器功能可以是使用的分配IP地址对联合到路由器的无线客户端。完成这些in命令全局配置模式。

    WirelessRouter<config>#ip dhcp excluded-address 172.16.1.100 172.16.1.100
    
    
    !--- Excludes IP addresses from the DHCP pool. 
    !--- This address is used on the BVI interface, so it is excluded.
    
    
    WirelessRouter<config>#ip dhcp pool 870-ISR
    
    WirelessRouter<dhcp-config>#network 172.16.1.0 255.255.0.0
    
    

    注意: 应该也配置客户端适配器接受从DHCP服务器的IP地址。

  4. 配置871W ISR作为一个本地RADIUS服务器。

    在全局配置模式,请键入这些命令配置871W ISR作为一个本地RADIUS服务器。

    WirelessRouter<config>#aaa new-model
    
    !--- Enable the authentication, authorization, and accounting 
    !--- (AAA) access control model.
    
    
    WirelessRouter<config>#radius-server local
    
    !--- Enables the 871 wireless-aware router as a local 
    !--- authentication server and enters into configuration 
    !--- mode for the authenticator.
    
    WirelessRouter<config-radsrv)#nas 172.16.1.100 key Cisco
    
    
    !--- Adds the 871 router to the list of devices that use 
    !--- the local authentication server.
    
    WirelessRouter<config-radsrv>#user ABCD password ABCD
    
    WirelessRouter<config-radsrv)#user XYZ password XYZ
    
    
    !--- Configure two users ABCD and XYZ on the local RADIUS server.
    
    WirelessRouter<config-radsrv)#exit
    WirelessRouter<config>#radius-server host 172.16.1.100 auth-port 1812 acct-port 1813 key Cisco
    
    
    !--- Specifies the RADIUS server host.
    
    

    注意: 请使用验证和核算的端口1812和1813本地RADIUS服务器的。

    WirelessRouter<config>#aaa group server radius rad_eap
    
    
    !--- Maps the RADIUS server to the group rad_eap
    
    . 
    WirelessRouter<config-sg-radius>#server 172.16.1.100 auth-port 1812 acct-port 1813
    
    
    !--- Define the server that falls in the group rad_eap.
    
    WirelessRouter<config>#aaa authentication login eap_methods group rad_eap
    
    
    !--- Enable AAA login authentication.
    
    
  5. 配置无线电接口。

    无线接口的配置介入多种无线参数的配置在路由器的包括SSID、加密模式、认证类型、速度和无线路由器的角色。此示例使用呼叫测验的SSID。

    键入这些命令配置在全局配置模式的无线接口。

    WirelessRouter<config>#interface dot11radio0
    
    !--- Enter radio interface configuration mode.
    
    WirelessRouter<config-if>#ssid Test
    
    
    !--- Configure an SSID test.
    
    irelessRouter<config-ssid>#authentication open eap eap_methods
    
    WirelessRouter<config-ssid>#authentication network-eap eap_methods
    
    
    !--- Expect that users who attach to SSID 'Test' 
    !--- are requesting authentication with the type 128 
    !--- Network Extensible Authentication Protocol (EAP) 
    !--- authentication bit set in the headers of those requests. 
    !--- Group these users into a group called 'eap_methods'.
    
    WirelessRouter<config-ssid>#exit
    
    !--- Exit interface configuration mode.
    
    WirelessRouter<config-if>#encryption mode wep mandatory
    
    !--- Enable WEP encryption.
    
    WirelessRouter<config-if>#encryption key 1 size 128 1234567890ABCDEF1234567890
    
    
    !--- Define the 128-bit WEP encryption key.
    
    WirelessRouter<config-if>#bridge-group 1
    
    WirelessRouter<config-if>#no shut
    
    !--- Enables the radio interface.
    
    

    一旦此步骤被执行, 870路由器接受从无线客户端的关联请求。

    当您配置在路由器时的EAP验证类型,推荐选择网络EAP和打开与EAP作为认证类型为了避免所有验证问题。

    WirelessRouter<config-ssid>#authentication network-eap eap_methods
    
    WirelessRouter<config-ssid>#authentication open eap eap_methods
    
    

    注意: 本文假设,网络有只有Cisco无线客户端。

    注意: 有关本文档所用命令的详细信息,请使用命令查找工具仅限注册用户)。

客户端适配器配置

完成这些步骤为了配置客户端适配器。此步骤创建呼叫在ADU的870-ISR的新配置文件,例如。此步骤也使用测验作为SSID并且启用在客户端适配器的LEAP认证。

  1. 单击创建在配置文件管理窗口的一新配置文件在ADU。输入配置文件名称和客户端适配器使用在常规选项卡下的SSID。

    在本例中,配置文件名称是870-ISR,并且SSID是测验

    注意: SSID在871W ISR必须完全地匹配该的SSID您配置。SSID 区分大小写。

    /image/gif/paws/69011/wlan-870isr-2.gif

  2. 去安全选项卡,选择802.1x并且从802.1x EAP类型菜单选择LEAP

    此操作启用在客户端适配器的LEAP认证。

    /image/gif/paws/69011/wlan-870isr-3.gif

  3. 单击配置定义LEAP设置。

    此配置选择选项自动地提示输入用户名和密码。通过选择此选项可以在进行 LEAP 身份验证时手动输入用户名和口令。

    /image/gif/paws/69011/wlan-870isr-4.gif

  4. 点击OK键退出配置文件管理窗口。

  5. 单击激活启用在客户端适配器的此配置文件。

    /image/gif/paws/69011/wlan-870isr-5.gif

验证

使用本部分可确认配置能否正常运行。

一旦客户端适配器和870路由器配置,请激活在客户端适配器的配置文件870-ISR验证配置。

当回车无线网络密码窗口显示时,请输入用户名和密码。这些应该对应于在871W ISR配置的那个。用于此示例的其中一配置文件是用户名ABCD和密码ABCD

/image/gif/paws/69011/wlan-870isr-6.gif

LEAP认证状态窗口出现。此窗口验证用户凭证本地RADIUS服务器。

wlan-870isr-7.gif

检查ADU当前状态为了验证客户端使用WEP加密和LEAP认证。

wlan-870isr-8.gif

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

  • 显示dot11关联—验证在870路由器的配置。

    WirelessRouter#show dot11 association
    
    802.11 Client Stations on Dot11Radio0:
    
    SSID [Test]:
    
    MAC Address     IP Address     Device         Name     Parent    State
    0040.96ac.dd05   172.16.1.99   CB21AG/PI21AG  LAPTOP-1  self    EAP-Associated
    
    Others:  (not related to any ssid)
  • show ip dhcp binding —验证客户端有一个IP地址通过DHCP服务器。

    WirelessRouter#show ip dhcp binding
    Bindings from all pools not associated with VRF:
    IP address        Client-ID/       Lease expiration      Type
                    Hardware address/
                    User name
    172.16.1.99     0040.96ac.dd05     Feb 6 2006 10:11 PM  Automatic

故障排除

此部分提供故障排除信息与此配置有关。

  1. 设置在SSID的方法打开为了临时地禁用验证。

    这排除无线电频率(RF)问题的可能性防止成功认证的。

    • 请勿请使用验证开放eap eap_methodsauthentication network-eap eap_methods验证开放命令从CLI。

    如果客户端顺利地联合,则RF不造成关联问题

  2. 检查在无线路由器配置的WEP密钥是否配比与在客户端配置的WEP密钥。

    如果有在WEP密钥的一不匹配,客户端不能用无线路由器通信。

  3. 验证共享加密口令同步在无线路由器和认证服务器之间。

您能也使用这些调试指令排除故障您的配置。

  • 调试全dot11 aaa的验证器激活MAC和EAP验证数据包调试。

  • debug radius authentication —显示在服务器和客户端之间的RADIUS协商。

  • debug radius local-server packets —显示被发送并且接收RADIUS信息包的内容。

  • debug radius local-server client —显示关于失败的客户端验证的错误消息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 69011