无线/移动 : "无线, LAN (WLAN)"

在Cisco自治接入点版本15.2(4)JA的WDS与本地RADIUS服务器配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述如何配置在自治接入点(AP)的无线域服务配置(WDS)设置一个本地RADIUS服务器。本文着重配置通过新的GUI,而且提供命令行界面(CLI)配置。

贡献用Maithri B和Surendra BG, Cisco TAC工程师。

先决条件

要求

思科建议您有基本GUI和CLI配置知识在自治AP的。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科3602e在自治AP IOS®软件的系列访问访问接入点,版本15.2(4)JA1;此设备作为WDS AP和本地RADIUS服务器。
  • 思科2602i在自治AP IOS软件的系列访问访问接入点,版本15.2(4)JA1;此设备作为WDS客户端AP。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

GUI配置

创建SSID

此步骤描述如何创建一新的服务集标识(SSID)。

  1. 导航给安全> SSID管理器,并且单击为了创建一新的SSID。

    116597-config-wds-radius-01.png

  2. 配置可扩展的认证协议(EAP)验证的SSID。

    116597-config-wds-radius-02.png

  3. 设置希望的加密级别。在本例中,请使用wi-fi受保护的访问2 (WPA2)。

    116597-config-wds-radius-03.png

  4. 单击 Apply 以保存设置。

  5. 导航给安全>加密管理器,并且选择需要的加密密码器方法。

    116597-config-wds-radius-04.png

在WDS AP的本地RADIUS服务器配置

此步骤描述如何配置在WDS AP的本地RADIUS服务器:

  1. 导航给安全>Server管理器,添加WDS AP网桥虚拟接口(BVI) IP作为本地RADIUS,并且添加一共享机密。

    116597-config-wds-radius-05.png

  2. 导航对安全>本地RADIUS服务器>General设置选项卡。定义您希望使用的EAP协议。在本例中,请启用小型可扩展认证协议(LEAP)验证。

    116597-config-wds-radius-06.png

  3. 您能也添加网络接入服务器(NAS) IP和在同一个页的客户端用户名/密码证明。本地RADIUS的配置在WDS AP的完成。

    116597-config-wds-radius-07.png

在WDS客户端AP的本地RADIUS服务器配置

此图显示如何配置WDS AP的IP地址作为RADIUS服务器:

116597-config-wds-radius-08.png

两AP当前配置与LEAP认证的Ssid,并且WDS服务器作为本地RADIUS。请使用同样步骤外部RADIUS;仅RADIUS服务器IP将更改。

在WDS AP的Enable (event) WDS

此步骤描述如何启用在WDS AP的WDS :

  1. 导航对无线> WDS >General设置选项卡,并且启用复选框使用此AP作为无线域服务。这启用在AP的WDS服务。

  2. 在与多个WDS AP的网络中,请使用无线域服务优先级选项为了定义主要的WDS和备份WDS。值范围自1-255,其中255是最高优先级的。

    116597-config-wds-radius-09.png

  3. 导航对在同一个页的Server Groups选项。建立基础设施服务器组列表,所有WDS客户端AP将验证。您能为此使用在WDS AP的本地RADIUS服务器。因为已经被添加了,在下拉列表看起来。

    116597-config-wds-radius-10.png

  4. 启用单选按钮使用组为:基础设施验证,和单击应用为了保存设置。

  5. WDS AP用户名和密码可以被添加到本地RADIUS服务器列表。

在WDS客户端AP的Enable (event) WDS

此步骤描述如何启用在WDS客户端AP的WDS :

  1. 无线> AP的Navigatge,和启用Participate的复选框SWAN基础设施。SWAN代表结构无线感知网络。

    116597-config-wds-radius-11.png

  2. WDS客户端AP能自动发现WDS AP。或者,您能手工输入WDS AP的IP地址客户端注册的在指定的发现号文本框。

    您能也添加验证的WDS客户端用户名和密码在WDS AP配置的本地RADIUS服务器。

CLI配置

WDS AP

这是WDS AP的一配置示例:

Current configuration : 2832 bytes
!
! Last configuration change at 05:54:08 UTC Fri Apr 26 2013
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname MAIB-WDS-AP
!
!
logging rate-limit console 9
enable secret 5 $1$EdDD$dG47yIKn86GCqmKjFf1Sy0
!
aaa new-model
!
!
aaa group server radius rad_eap
server name Local-Radius
!
aaa group server radius Infrastructure
server name Local-Radius
!
aaa authentication login eap_methods group rad_eap
aaa authentication login method_Infrastructure group Infrastructure
aaa authorization exec default local
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
!
!
!
!
dot11 syslog
!
dot11 ssid WDS-EAP
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa version 2
guest-mode
!
!
dot11 guest
!
!
!
username Cisco password 7 13261E010803
username My3602 privilege 15 password 7 10430810111F00025D56797F65
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid WDS-EAP
!
antenna gain 0
stbc
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid WDS-EAP
!
antenna gain 0
peakdetect
dfs band 3 block
stbc
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address 10.106.54.146 255.255.255.192
no ip route-cache
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
!
radius-server local
no authentication eapfast
no authentication mac
nas 10.106.54.146 key 7 045802150C2E1D1C5A
user WDSClient1 nthash 7
072E776E682F4D5D35345B5A227E78050D6413004A57452024017B0803712B224A
!
radius-server attribute 32 include-in-access-req format %h
radius-server vsa send accounting
!
radius server Local-Radius
address ipv4 10.106.54.146 auth-port 1812 acct-port 1813
key 7 060506324F41584B56
!
bridge 1 route ip
!
!
wlccp authentication-server infrastructure method_Infrastructure
wlccp wds priority 254 interface BVI1
!
line con 0
line vty 0 4
transport input all
!
end

WDS客户端AP

这是WDS客户端AP的一配置示例:

Current configuration : 2512 bytes
!
! Last configuration change at 00:33:17 UTC Wed May 22 2013
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname MAIB-WDS-Client
!
!
logging rate-limit console 9
enable secret 5 $1$vx/M$qP6DY30TGiXmjvUDvKKjk/
!
aaa new-model
!
!
aaa group server radius rad_eap
server name WDS-Radius
!
aaa authentication login eap_methods group rad_eap
aaa authorization exec default local
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
!
!
!
!
dot11 syslog
!
dot11 ssid WDS-EAP
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa version 2
guest-mode
!
!
dot11 guest
!
eap profile WDS-AP
method leap
!
!
!
username Cisco password 7 062506324F41
username My2602 privilege 15 password 7 09414F000D0D051B5A5E577E6A
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid WDS-EAP
!
antenna gain 0
stbc
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid WDS-EAP
!
antenna gain 0
peakdetect
dfs band 3 block
stbc
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address 10.106.54.136 255.255.255.192
no ip route-cache
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
!
radius-server attribute 32 include-in-access-req format %h
radius-server vsa send accounting
!
radius server WDS-Radius
address ipv4 10.106.54.146 auth-port 1812 acct-port 1813
key 7 110A1016141D5A5E57
!
bridge 1 route ip
!
!
wlccp ap username WDSClient1 password 7 070C285F4D06485744
wlccp ap wds ip address 10.106.54.146
!
line con 0
line vty 0 4
transport input all
!
end

验证

使用本部分可确认配置能否正常运行。一旦设置完成, WDS客户端AP应该能注册到WDS AP。

在WDS AP, WDS状态显示如注册。

116597-config-wds-radius-12.png

在WDS客户端AP, WDS状态是基础设施。

116597-config-wds-radius-13.png

注意命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

在WDS AP输出的CLI验证

此步骤显示如何验证WDS AP配置:

MAIB-WDS-AP#sh wlccp wds ap

HOSTNAME MAC-ADDR IP-ADDR IPV6-ADDR STATE
MAIB-WDS-Client f872.ea24.40e6 10.106.54.136 :: REGISTERED

MAIB-WDS-AP#sh wlccp wds statistics

WDS Statistics for last 10:34:13:
Current AP count: 1
Current MN count: 0
AAA Auth Attempt count: 2
AAA Auth Success count: 2
AAA Auth Failure count: 0
MAC Spoofing Block count: 0
Roaming without AAA Auth count: 0
Roaming with full AAA Auth count:0
Fast Secured Roaming count: 0
MSC Failure count: 0
KSC Failure count: 0
MIC Failure count: 0
RN Mismatch count: 0

在WDS客户端AP输出的CLI验证

此步骤显示如何验证WDS客户端AP配置:

MAIB-WDS-Client#sh wlccp ap

WDS = bc16.6516.62c4, IP: 10.106.54.146 , IPV6: ::
state = wlccp_ap_st_registered
IN Authenticator = IP: 10.106.54.146 IPV6: ::
MN Authenticator = IP: 10.106.54.146 IPv6::

故障排除

目前没有针对此配置的故障排除信息。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116597