协作 : Cisco 871 集成多业务路由器

固定 ISR 上的无线认证类型配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 29 日) | 反馈


目录


简介

本文提供解释如何配置不同的层在Cisco无线集成的固定配置路由器的2认证类型无线连接的用CLI命令的配置示例。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 知识如何配置思科集成业务路由器(ISR)的基本参数

  • 知识如何配置有Aironet Desktop软件的(ADU) 802.11a/b/g无线客户端适配器

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行Cisco IOS 软件版本12.3(8)YI1的Cisco 877W ISR

  • 与Aironet Desktop软件版本3.6的笔记本电脑

  • 802.11运行固件版本3.6的a/b/g客户端适配器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

思科集成服务固定配置路由器支持与网络专业人员要求的企业类功能结合移动性和灵活性的安全,价格合理和易用无线LAN解决方案。使用根据Cisco IOS软件的管理系统, Cisco路由器作为接入点并且Wi-Fi认证的, IEEE 802.11a/b/g兼容无线局域网收发器。

您能配置和监控有命令行界面(CLI)、基于浏览器的管理系统或者简单网络管理协议(SNMP)的路由器。本文描述如何配置无线连接的ISR用CLI命令。

配置

此示例显示如何配置在Cisco无线集成的固定配置路由器的这些认证类型用CLI命令。

  • 开放式身份验证

  • 802.1x/EAP (可扩展的认证协议)验证

  • 受保护的访问wi-fi预先共享密钥(WPA-PSK)验证

  • WPA (与EAP)验证

注意: 因为它是一被巩固的认证类型,本文不着重共享验证。

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

/image/gif/paws/98499/ISR_Authentication-1.gif

此设置使用在无线ISR的本地RADIUS服务器验证有802.1x验证的无线客户端。

配置开放式验证

开放式验证是空验证算法。接入点同意验证的所有请求。开放式验证允许所有设备网络访问。如果不加密在网络启用,认识接入点的SSID的所有设备能获得访问到网络。当WEP加密启用在接入点, WEP密钥变为访问控制方法。如果设备没有正确WEP密钥,即使验证是成功的,设备无法通过接入点传送数据。都不能它解密从接入点发送的数据。

此配置示例解释一简单开放式验证。WEP密钥可以使必须或可选择。此示例配置WEP密钥如可选,以便不使用WEP的所有设备能与此AP也验证和产生关联。

参考的开放式验证欲知更多信息。

此示例使用此配置设置配置在ISR的开放式验证。

  • SSID名称:“请打开

  • VLAN1

  • 内部DHCP服务器范围:10.1.0.0/16

注意: 简单说来,此示例不使用已验证客户端的任何加密技术。

完成在路由器的这些操作:

  1. 配置集成路由和桥接(IRB)并且组成网桥组

  2. 配置桥接虚拟接口(BVI)

  3. 配置开放式验证的SSID

  4. 配置此VLAN的无线客户端的内部DHCP服务器

配置集成路由和桥接(IRB)并且组成网桥组

完成这些操作:

  1. 启用在路由器的IRB。

    router<configure>-bridge irb

    注意: 如果所有安全类型将配置在单个路由器,它是启用IRB的足够只一次全局在路由器。它不需要为每单个认证类型启用。

  2. 定义网桥组。

    本示例使用网桥组编号 1。

    router<configure>-bridge 1

  3. 选择网桥组的生成树协议。

    这里, IEEE生成树协议为此网桥组配置。

    router<configure>-bridge 1协议ieee

  4. 使 BVI 从其对应的网桥组接受和路由可路由的数据包。

    此示例使BVI接受和路由IP数据包。

    router<configure>-bridge 1路由ip

配置桥接虚拟接口(BVI)

完成这些操作:

  1. 配置BVI。

    当您分配网桥组的相应的数字到BVI时,请配置BVI。每个网桥组能只有一相应的BVI。在本例中,将网桥组编号 1 分配给 BVI。

    router<configure>-interface BVI <1>

  2. 分配IP地址到BVI。

    router<config-if>#ip address 10.1.1.1 255.255.0.0

    关闭的router<config-if>-no

参考请配置桥接关于桥接的详细信息。

配置开放式验证的SSID

完成这些操作:

  1. 启用无线接口

    为了启用无线接口,请去DOT11无线接口配置模式并且分配SSID到接口。

    router<config>-interface dot11radio0

    router<config-if>-no关闭

    开放的router<config-if>-ssid

    开放式验证类型可以配置与MAC地址验证的组合。在这种情况下,在他们允许加入网络前,接入点强制所有客户端设备执行MAC地址验证。

    开放式验证可能与EAP验证一起也配置。在他们允许加入网络前,接入点强制所有客户端设备进行EAP验证。对于列表名称,请指定验证方法列表。

    为EAP验证配置的接入点强制联合进行EAP验证的所有客户端设备。不使用EAP的客户端设备不能使用接入点。

  2. 对VLAN的捆绑SSID。

    为了启用在此接口的SSID,请绑定SSID对在SSID配置模式的VLAN。

    router<config-ssid>vlan 1

  3. 配置与开放式验证的SSID。

    开放的router<config-ssid>-authentication

  4. 配置可选的WEP密钥的无线接口。

    router<config>-encryption VLAN 1可选模式的WEP

  5. 在无线接口的Enable (event) VLAN。

    router<config>-interface Dot11Radio 0.1

    router<config-subif>-encapsulation dot1Q 1

    router<config-subif>-bridge-group 1

配置此VLAN的无线客户端的内部DHCP服务器

键入这些in命令全局配置模式配置此VLAN的无线客户端的内部DHCP服务器:

  • IP DHCP排除地址10.1.1.1 10.1.1.5

  • 开放的ip dhcp pool

在DHCP池配置模式,请键入这些命令:

  • 网络10.1.0.0 255.255.0.0

  • 默认路由器10.1.1.1

配置802.1x/EAP验证

此认证类型为您的无线网络提供最高水平安全。当可扩展的认证协议(EAP)用于与EAP兼容的RADIUS服务器呼应,接入点帮助一个无线客户端设备和RADIUS服务器进行相互验证和派生一把动态单播WEP密钥。RADIUS服务器发送WEP密钥到接入点,使用它所有单播数据信号发送对或从客户端收到。

参考的EAP验证欲知更多信息。

此示例使用此配置设置:

  • SSID名称:闰年

  • VLAN 2

  • 内部DHCP服务器范围:10.2.0.0/16

此示例使用LEAP认证作为机制验证无线客户端。

注意: 与EAP-TLS配置EAP-TLS的计算机验证的参考的Cisco Secure ACS for Windows v3.2

注意: 参考配置与PEAP-MS-CHAPv2计算机验证的Cisco Secure ACS for Windows v3.2配置PEAP-MS-CHAPv2。

注意: 了解这些EAP类型的所有配置主要介入配置更改在客户端和在验证服务器端。在无线路由器或接入点的配置或多或少为所有这些认证类型依然是同样。

注意: 如被提及最初,此设置使用在无线ISR的本地RADIUS服务器验证有802.1x验证的无线客户端。

完成在路由器的这些操作:

  1. 配置集成路由和桥接(IRB)并且组成网桥组

  2. 配置桥接虚拟接口(BVI)

  3. 配置EAP验证的本地RADIUS服务器

  4. 配置802.1x/EAP验证的SSID

  5. 配置此VLAN的无线客户端的内部DHCP服务器

配置集成路由和桥接(IRB)并且组成网桥组

完成这些操作:

  1. 启用在路由器的IRB。

    router<configure>-bridge irb

    注意: 如果所有安全类型将配置在单个路由器,它是启用IRB的足够只一次全局在路由器。它不需要为每单个认证类型启用。

  2. 定义网桥组。

    此示例使用网桥组号码2。

    router<configure>-bridge 2

  3. 选择网桥组的生成树协议。

    这里, IEEE生成树协议为此网桥组配置。

    router<configure>-bridge 2协议ieee

  4. 选择网桥组的生成树协议。

    这里, IEEE生成树协议为此网桥组配置。

    router<configure>-bridge 2协议ieee

  5. 使BVI接受和路由从其对应的网桥组接收的可路由的数据包。

    此示例使BVI接受和路由IP信息包。

    router<configure>-bridge 2路由ip

配置桥接虚拟接口(BVI)

完成这些操作:

  1. 配置BVI。

    当您分配网桥组的相应的数字到BVI时,请配置BVI。每个网桥组能只有一位通讯员BVI。此示例分配网桥组组编号2到BVI。

    router<configure>-interface BVI <2>

  2. 分配IP地址到BVI。

    router<config-if>#ip address 10.2.1.1 255.255.0.0

    关闭的router<config-if>-no

配置EAP验证的本地RADIUS服务器

如上所述,本文使用在无线意识路由器的本地RADIUS服务器EAP验证。

  1. 启用验证、授权和统计(AAA)访问控制型号。

    router<configure>-aaa new-model

  2. 创建RADIUS服务器的一服务器组rad-eap

    router<configure>-aaa组服务器radius rad-eap服务器10.2.1.1 auth端口1812 acct-port 1813

  3. 创建列出用于的认证方法验证AAA登录用户的方法列表eap_methods。分配方法列表到此服务器组。

    router<configure>-aaa认证登录eap_methods分组rad-eap

  4. 启用路由器作为本地验证服务器并且加入到验证器的配置模式。

    router<configure>-radius-server本地

  5. 在RADIUS服务器配置模式,请添加路由器作为本地验证服务器的AAA客户端。

    router<config-radsrv>-nas 10.2.1.1关键思科

  6. 配置在本地RADIUS服务器的用户user1

    router<config-radsrv>-user user1密码user1rad-eap

  7. 指定RADIUS服务器主机。

    router<config-radsrv>-radius-server主机10.2.1.1 auth端口1812 acct-port 1813关键思科

    注意: 此密钥应该是作为在nas指定的那个发出命令在RADIUS服务器配置模式下的相同的。

配置802.1x/EAP验证的SSID

无线接口和相关的SSID的配置802.1x/EAP的介入多种无线参数的配置在路由器,包括SSID、加密模式和认证类型。此示例使用呼叫闰年的SSID。

  1. 启用无线接口。

    为了启用无线接口,请去DOT11无线接口配置模式并且分配SSID到接口。

    router<config>-interface dot11radio0

    router<config-if>-no关闭

    router<config-if>-ssid闰年

  2. 对VLAN的捆绑SSID。

    为了启用在此接口的SSID,请绑定SSID对在SSID配置模式的VLAN。

    router<config-ssid>-vlan 2

  3. 配置与802.1x/LEAP验证的SSID。

    router<config-ssid>-authentication网络EAP eap_methods

  4. 配置动态密钥管理的无线接口。

    router<config>-encryption VLAN 2模式加密wep40

  5. 在无线接口的Enable (event) VLAN。

    router<config>-interface Dot11Radio 0.2

    router<config-subif>-encapsulation dot1Q 2

    router<config-subif>-bridge-group 2

配置此VLAN的无线客户端的内部DHCP服务器

键入这些in命令全局配置模式配置此VLAN的无线客户端的内部DHCP服务器:

  • IP DHCP排除地址10.2.1.1 10.2.1.5

  • ip dhcp pool leapauth

在DHCP池配置模式,请键入这些命令:

  • 网络10.2.0.0 255.255.0.0

  • 默认路由器10.2.1.1

WPA密钥管理

wi-fi受保护的访问基于标准的,严格增加现在和未来无线局域网系统的级别数据保护和访问控制的可互操作的安全增强。

参考的WPA密钥管理欲知更多信息。

WPA密钥管理支持两个互相排斥的管理类型:WPA-Pre-Sshared密钥(WPA-PSK)和WPA (与EAP)。

配置WPA-PSK

WPA-PSK使用作为在基于802.1X的验证不是可用的无线局域网的一个密钥管理类型。在这样网络中,您必须配置在接入点的一预先共享密钥。您能输入预先共享密钥作为ASCII或十六进制字符。如果输入密钥作为ASCII字符,您输入在8个和63个字符之间,并且接入点扩展与在基于密码的加密算法标准描述的进程的密钥(RFC2898)。如果输入密钥作为十六进制字符,您必须输入64十六进制字符。

此示例使用此配置设置:

  • SSID名称:wpa共享的

  • VLAN 3

  • 内部DHCP服务器范围:10.3.0.0/16

完成在路由器的这些操作:

  1. 配置集成路由和桥接(IRB)并且组成网桥组

  2. 配置桥接虚拟接口(BVI)

  3. 配置WPA-PSK验证的SSID

  4. 配置此VLAN的无线客户端的内部DHCP服务器

配置集成路由和桥接(IRB)并且组成网桥组

完成这些操作:

  1. 启用在路由器的IRB。

    router<configure>-bridge irb

    注意: 如果所有安全类型将配置在单个路由器,它是启用IRB的足够只一次全局在路由器。它不需要为每单个认证类型启用。

  2. 定义网桥组。

    此示例使用网桥组号码3。

    router<configure>-bridge 3

  3. 选择网桥组的生成树协议。

    IEEE生成树协议为此网桥组配置。

    router<configure>-bridge 3协议ieee

  4. 使 BVI 从其对应的网桥组接受和路由可路由的数据包。

    此示例使BVI接受和路由IP信息包。

    router<configure>-bridge 3路由ip

配置桥接虚拟接口(BVI)

完成这些操作:

  1. 配置BVI。

    当您分配网桥组的相应的数字到BVI时,请配置BVI。每个网桥组能只有一位通讯员BVI。此示例分配网桥组组编号3到BVI。

    router<configure>-interface BVI <2>

  2. 分配IP地址到BVI。

    router<config-if>#ip address 10.3.1.1 255.255.0.0

    关闭的router<config-if>-no

配置WPA-PSK验证的SSID

完成这些操作:

  1. 启用无线接口。

    为了启用无线接口,请去DOT11无线接口配置模式并且分配SSID到接口。

    router<config>-interface dot11radio0

    router<config-if>-no关闭

    router<config-if>-ssid wpa-shared

  2. 为了启用WPA密钥管理,首先请配置VLAN接口的WPA加密密码器。此示例使用tkip作为加密密码器

    键入此命令指定在无线接口的WPA密钥管理类型。

    router<config>-interface dot11radio0

    路由器(config-if) #encryption VLAN3模式加密tkip

  3. 对VLAN的捆绑SSID。

    为了启用在此接口的SSID,请绑定SSID对在SSID配置模式的VLAN。

    router<config-ssid>vlan 3

  4. 配置与WPA-PSK验证的SSID。

    您需要配置开放或网络EAP验证首先在启用WPA密钥管理的SSID配置模式。此示例配置开放式验证。

    router<config>-interface dot11radio0

    router<config-if>-ssid wpa-shared

    开放的router<config-ssid>-authentication

    现在, enable (event)在SSID的WPA密钥管理。密钥管理密码器tkip为此VLAN已经配置。

    路由器(config-if-ssid) #authentication密钥管理WPA

    配置在SSID的WPA-PSK验证。

    路由器(config-if-ssid) #wpa PSK ascii 1234567890! ---1234567890此SSID的是Pre-Shared Key值。保证同一密钥为在客户端的此SSID指定。

  5. 启用在无线接口的VLAN。

    router<config>-interface Dot11Radio 0.3

    router<config-subif>-encapsulation dot1Q 3

    router<config-subif>-bridge-group 3

配置此VLAN的无线客户端的内部DHCP服务器

键入这些in命令全局配置模式配置此VLAN的无线客户端的内部DHCP服务器:

  • IP DHCP排除地址10.3.1.1 10.3.1.5

  • ip dhcp pool WPA-PSK

在DHCP池配置模式,请键入这些命令:

  • 网络10.3.0.0 255.255.0.0

  • 默认路由器10.3.1.1

配置WPA (与EAP)验证

这是另一个WPA密钥管理类型。这里,客户端和认证服务器彼此验证与EAP验证方法,并且客户端和服务器成对地生成一主密钥(PMK)。使用WPA,服务器动态地生成PMK并且通过它到接入点,但是,与WPA-PSK,您配置在客户端和接入点的一预先共享密钥,并且该预先共享密钥使用作为PMK。

与EAP验证的参考的WPA欲知更多信息。

此示例使用此配置设置:

  • SSID名称:wpa-dot1x

  • VLAN 4

  • 内部DHCP服务器范围:10.4.0.0/16

完成在路由器的这些操作:

  1. 配置集成路由和桥接(IRB)并且组成网桥组

  2. 配置桥接虚拟接口(BVI)

  3. 配置WPA验证的本地RADIUS服务器。

  4. 配置WPA的SSID与EAP验证

  5. 配置此VLAN的无线客户端的内部DHCP服务器

配置集成路由和桥接(IRB)并且组成网桥组

完成这些操作:

  1. 启用在路由器的IRB。

    router<configure>-bridge irb

    注意: 如果所有安全类型将配置在单个路由器,它是启用IRB的足够只一次全局在路由器。它不需要为每单个认证类型启用。

  2. 定义网桥组。

    此示例使用网桥组号码4。

    router<configure>-bridge 4

  3. 选择网桥组的生成树协议。

    这里, IEEE生成树协议为此网桥组配置。

    router<configure>-bridge 4协议ieee

  4. 使BVI从其对应的网桥组接受和路由接收的可路由的数据包。

    此示例使BVI接受和路由IP信息包。

    router<configure>-bridge 4路由ip

配置桥接虚拟接口(BVI)

完成这些操作:

  1. 配置BVI。

    当您分配网桥组的相应的数字到BVI时,请配置BVI。每个网桥组能只有一相应的BVI。此示例分配网桥组组编号4到BVI。

    router<configure>-interface BVI <4>

  2. 分配IP地址到BVI。

    router<config-if>#ip address 10.4.1.1 255.255.0.0

    关闭的router<config-if>-no

配置WPA验证的本地RADIUS服务器

参考部分在802.1x/EAP详细的过程的验证下

配置WPA的SSID与EAP验证

完成这些操作:

  1. 启用无线接口。

    为了启用无线接口,请去DOT11无线接口配置模式并且分配SSID到接口。

    router<config>-interface dot11radio0

    router<config-if>-no关闭

    router<config-if>-ssid wpa-dot1x

  2. 为了启用WPA密钥管理,首先请配置VLAN接口的WPA加密密码器。此示例使用tkip作为加密密码器

    键入此命令指定在无线接口的WPA密钥管理类型。

    router<config>-interface dot11radio0

    路由器(config-if) #encryption VLAN 4模式密码器tkip

  3. 对VLAN的捆绑SSID。

    为了启用在此接口的SSID,请绑定SSID对在SSID配置模式的VLAN。

    VLAN 4

  4. 配置与WPA-PSK验证的SSID。

    为了配置WPA的无线接口与EAP验证,首先请配置网络EAP的相关的SSID。

    router<config>-interface dot11radio0

    router<config-if>-ssid wpa-shared

    router<config-ssid>-authentication网络eap eap_methods

  5. 现在,请启用在SSID的WPA密钥管理。密钥管理密码器tkip为此VLAN已经配置。

    路由器(config-if-ssid) #authentication密钥管理WPA

  6. 在无线接口的Enable (event) VLAN。

    router<config>-interface Dot11Radio 0.4

    router<config-subif>-encapsulation dot1Q 4

    router<config-subif>-bridge-group 4

配置此VLAN的无线客户端的内部DHCP服务器

键入这些in命令全局配置模式配置此VLAN的无线客户端的内部DHCP服务器:

  • IP DHCP排除地址10.4.1.1 10.4.1.5

  • ip dhcp pool wpa-dot1shared

在DHCP池配置模式,请键入这些命令:

  • 网络10.4.0.0 255.255.0.0

  • 默认路由器10.4.1.1

配置验证的无线客户端

在您配置ISR后,请配置不同的认证类型的无线客户端如解释,以便路由器能验证这些无线客户端和提供存取对于WLAN网络。本文使用Cisco Aironet Desktop软件(ADU)客户端配置。

配置开放式验证的无线客户端

完成这些步骤:

  1. 在 ADU 上的“Profile Management”窗口中,单击 New 以创建一个新配置文件。

    新窗口显示您能设置开放式验证的地方配置。在常规选项卡下,请输入配置文件名称和客户端适配器使用的SSID。

    在本例中,配置文件名称和SSID是开放的

    注意: SSID在开放式验证的ISR必须匹配该的SSID您配置。

    /image/gif/paws/98499/ISR_Authentication-2.gif

  2. 点击安全选项卡并且留下安全选项作为WEP加密的。因为此示例使用WEP如可选,设置对无的此选项将允许客户端与WLAN网络成功产生关联和通信。

    单击 OK

    /image/gif/paws/98499/ISR_Authentication-3.gif

  3. 选择Advanced窗口配置文件管理选项卡和集合802.11认证模式如开放为开放式验证。

    ISR_Authentication-16.gif

使用本部分可确认配置能否正常运行。

  1. 在客户端配置文件创建后,请单击激活在配置文件管理选项卡下激活配置文件。

    /image/gif/paws/98499/ISR_Authentication-4.gif

  2. 检查ADU状态成功认证。

    /image/gif/paws/98499/ISR_Authentication-5.gif

配置802.1x/EAP验证的无线客户端

完成这些步骤:

  1. 在 ADU 上的“Profile Management”窗口中,单击 New 以创建一个新配置文件。

    新窗口显示您能设置开放式验证的地方配置。在常规选项卡下,请输入配置文件名称和客户端适配器使用的SSID。

    在本例中,配置文件名称和SSID是闰年

  2. 配置文件管理下,请点击安全选项卡,设置安全选项作为802.1x,并且选择适当的EAP类型。本文使用LEAP作为EAP类型验证。现在,请单击配置配置LEAP用户名和密码设置。

    注意: 注意:SSID在802.1x/EAP验证的ISR必须匹配该的SSID您配置。

    /image/gif/paws/98499/ISR_Authentication-6.gif

  3. 在用户名和密码设置下,此示例选择手工提示输入用户名和密码,以便提示客户端输入正确用户名和密码,当客户端设法连接到网络时。单击 Ok

    ISR_Authentication-7.gif

使用本部分可确认配置能否正常运行。

  • 在客户端配置文件创建后,请单击激活配置文件管理选项卡下激活配置文件闰年。提示对于LEAP用户用户名和密码。此示例使用用户名和密码user1。单击 Ok

  • 您可能观看客户端成功验证和分配从在路由器配置的DHCP服务器的一个IP地址。

    /image/gif/paws/98499/ISR_Authentication-8.gif

配置WPA-PSK验证的无线客户端

完成这些步骤:

  1. 在 ADU 上的“Profile Management”窗口中,单击 New 以创建一个新配置文件。

    新窗口显示您能设置开放式验证的地方配置。在常规选项卡下,请输入客户端适配器使用的配置文件名称SSID

    在本例中,配置文件名称和SSID wpa共享的

    注意: SSID在WPA-PSK验证的ISR必须匹配该的SSID您配置。

  2. 配置文件管理下,请点击安全选项卡并且设置安全选项作为WPA/WPA2 Passphrase。现在,请单击配置配置WPA Passphrase。

    /image/gif/paws/98499/ISR_Authentication-9.gif

  3. 定义WPA预先共享密钥。密钥必须是长度8个到63个ASCII字符。单击 Ok

    ISR_Authentication-10.gif

使用本部分可确认配置能否正常运行。

  • 在客户端配置文件创建后,请单击激活配置文件管理选项卡下激活wpa共享的配置文件。

  • 检查ADU成功认证。

    /image/gif/paws/98499/ISR_Authentication-11.gif

配置WPA (与EAP)验证的无线客户端

完成这些步骤:

  1. 在 ADU 上的“Profile Management”窗口中,单击 New 以创建一个新配置文件。

    新窗口显示您能设置开放式验证的地方配置。在常规选项卡下,请输入客户端适配器使用的配置文件名称和SSID。

    在本例中,配置文件名称和SSID是wpa-dot1x

    注意: SSID在WPA (与EAP)验证的ISR必须匹配该的SSID您配置。

  2. 配置文件管理下,请点击安全选项卡,设置安全选项作为WPA/WPA2/CCKM,和并且选择适当的WPA/WPA2/CCKM EAP类型。本文使用LEAP作为EAP类型验证。现在,请单击配置配置LEAP用户名和密码设置。

    /image/gif/paws/98499/ISR_Authentication-14.gif

  3. 在用户名和密码设置地区下,此示例选择手工提示输入用户名和密码,以便提示客户端输入正确用户名和密码,当客户端设法连接到网络时。单击 Ok

    ISR_Authentication-15.gif

使用本部分可确认配置能否正常运行。

  1. 在客户端配置文件创建后,请单击激活在配置文件管理选项卡下激活配置文件wpa-dot1x。提示对于LEAP用户用户名和密码。此示例使用用户名和密码作为user1。单击 Ok

    ISR_Authentication-12.gif

  2. 您能观看客户端成功验证。

    /image/gif/paws/98499/ISR_Authentication-13.gif

从路由器CLI的show dot11 associations命令显示在客户端关联状态的全面的详细信息。下面是一个示例。

Router-show dot11关联

802.11 Client Stations on Dot11Radio0: 

SSID [leap] : 

MAC Address    IP address      Device        Name            Parent         State     
0040.96ac.e657 10.3.0.2        CB21AG/PI21AG WCS             self         EAP-Assoc

SSID [open] : 

SSID [pre-shared] : DISABLED, not associated with a configured VLAN

SSID [wpa-dot1x] : 

SSID [wpa-shared] : 


Others:  (not related to any ssid) 

故障排除

故障排除命令

您可以使用以下 debug 命令排除配置故障。

  • 调试全dot11 aaa的验证器激活MAC和EAP验证数据包调试。

  • debug radius authentication —显示在服务器和客户端之间的RADIUS协商。

  • debug radius local-server packets —显示被发送并且接收RADIUS信息包的内容。

  • debug radius local-server client —显示关于失败的客户端验证的错误消息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 98499