ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

ISR と WEP 暗号化および LEAP 認証を使用する無線 LAN 接続の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2006 年 2 月 22 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、WEP 暗号化と LEAP 認証を使用する無線 LAN の接続用に Cisco 870 シリーズ Integrated Services Router(ISR; サービス統合型ルータ)を設定する方法について説明します。

Cisco ISR 無線シリーズの他のモデルにも、同じ設定が適用されます。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • Cisco 870 シリーズ ISR の基本パラメータを設定する方法についての知識。

  • Aironet Desktop Utility(ADU)を使用して 802.11a/b/g 無線クライアント アダプタを設定する方法についての知識。

802.11a/b/g クライアント アダプタを設定する方法については、『Cisco Aironet 802.11a/b/g ワイヤレス LAN クライアント アダプタ(CB21AG および PI21AG)インストレーション コンフィギュレーション ガイド、リリース 2.5』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS を実行する Cisco 871W ISR か。 ソフトウェア リリース 12.3(8)YI1

  • Aironet Desktop Utility バージョン 2.5 がインストールされているラップトップ PC

  • ファームウェア バージョン 2.5 が稼働する 802.11 a/b/g クライアント アダプタ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

このセットアップでは、ワイヤレス LAN クライアントは、870 ルータに関連付けられます。 870 ルータの内部 Dynamic Host Configuration Protocol(DHCP)サーバを使用して、ワイヤレス クライアントに IP アドレスが提供されます。 870 ISR と WLAN クライアントでは、WEP 暗号化が有効になっています。 LEAP 認証を使用してワイヤレス ユーザが認証され、870 ルータ上のローカル RADIUS サーバ機能を使用してクレデンシャルが検証されます。

/image/gif/paws/69011/wlan-870isr-1.gif

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

871W ルータの設定

アクセス ポイントとしてワイヤレス クライアントからの関連付け要求を受け付けるように 871W ISR を設定するには、次のステップを実行します。

  1. Integrated Routing and Bridging(IRB)を設定し、ブリッジ グループを設定します。

    IRB を有効にするには、グローバル コンフィギュレーション モードから次のコマンドを入力します。

    WirelessRouter<config>#bridge irb
    
    
    !--- Enables IRB.
    
    WirelessRouter<config>#bridge 1 protocol ieee
     
    
    !--- Defines the type of Spanning Tree Protocol as ieee.
    
    WirelessRouter<config>#bridge 1 route ip
    
    
    !--- Enables the routing of the specified protocol in a bridge group.
    
    
  2. Bridged Virtual Interface(BVI)を設定します。

    BVI に IP アドレスを割り当てます。 グローバル コンフィギュレーション モードから次のコマンドを入力します。

    WirelessRouter<config>#interface bvi1
    
    
    !--- Enter interface configuration mode for the BVI.
    
    WirelessRouter<config-if>#ip address 172.16.1.100 255.255.0.0
    
    
    

    アクセス ポイントのブリッジグループの機能性に関する詳細についてはシスコ - Cisco Aironet ワイヤレス装置との VLAN の併用アクセス ポイントおよびブリッジ セクションのブリッジグループ 設定を参照して下さい。

  3. 871W ISR に内部 DHCP サーバ機能を設定します。

    ルータの内部 DHCP サーバ機能を使用して、ルータに関連付けされるワイヤレス クライアントに IP アドレスを割り当てることができます。 グローバル コンフィギュレーション モードで次のコマンドを実行します。

    WirelessRouter<config>#ip dhcp excluded-address 172.16.1.100 172.16.1.100
    
    
    !--- Excludes IP addresses from the DHCP pool. 
    !--- This address is used on the BVI interface, so it is excluded.
    
    
    WirelessRouter<config>#ip dhcp pool 870-ISR
    
    WirelessRouter<dhcp-config>#network 172.16.1.0 255.255.0.0
    
    

    注: クライアント アダプタでも、DHCP サーバから IP アドレスを受け取るように設定する必要があります。

  4. 871W ISR をローカル RADIUS サーバとして設定します。

    グローバル コンフィギュレーション モードで次のコマンドを入力して、871W ISR をローカル RADIUS サーバとして設定します。

    WirelessRouter<config>#aaa new-model
    
    !--- Enable the authentication, authorization, and accounting 
    !--- (AAA) access control model.
    
    
    WirelessRouter<config>#radius-server local
    
    !--- Enables the 871 wireless-aware router as a local 
    !--- authentication server and enters into configuration 
    !--- mode for the authenticator.
    
    WirelessRouter<config-radsrv)#nas 172.16.1.100 key Cisco
    
    
    !--- Adds the 871 router to the list of devices that use 
    !--- the local authentication server.
    
    WirelessRouter<config-radsrv>#user ABCD password ABCD
    
    WirelessRouter<config-radsrv)#user XYZ password XYZ
    
    
    !--- Configure two users ABCD and XYZ on the local RADIUS server.
    
    WirelessRouter<config-radsrv)#exit
    WirelessRouter<config>#radius-server host 172.16.1.100 auth-port 1812 acct-port 1813 key Cisco
    
    
    !--- Specifies the RADIUS server host.
    
    

    注: 注:ローカル RADIUS サーバに対する認証とアカウンティングには、ポート 1812 と 1813 を使用します。

    WirelessRouter<config>#aaa group server radius rad_eap
    
    
    !--- Maps the RADIUS server to the group rad_eap
    
    . 
    WirelessRouter<config-sg-radius>#server 172.16.1.100 auth-port 1812 acct-port 1813
    
    
    !--- Define the server that falls in the group rad_eap.
    
    WirelessRouter<config>#aaa authentication login eap_methods group rad_eap
    
    
    !--- Enable AAA login authentication.
    
    
  5. 無線インターフェイスを設定します。

    無線インターフェイスの設定には、SSID、暗号化モード、認証タイプ、速度、無線ルータの役割など、ルータのさまざまな無線パラメータの設定が含まれます。 この例では、Test という名前の SSID を使用します。

    無線インターフェイスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

    WirelessRouter<config>#interface dot11radio0
    
    !--- Enter radio interface configuration mode.
    
    WirelessRouter<config-if>#ssid Test
    
    
    !--- Configure an SSID test.
    
    irelessRouter<config-ssid>#authentication open eap eap_methods
    
    WirelessRouter<config-ssid>#authentication network-eap eap_methods
    
    
    !--- Expect that users who attach to SSID 'Test' 
    !--- are requesting authentication with the type 128 
    !--- Network Extensible Authentication Protocol (EAP) 
    !--- authentication bit set in the headers of those requests. 
    !--- Group these users into a group called 'eap_methods'.
    
    WirelessRouter<config-ssid>#exit
    
    !--- Exit interface configuration mode.
    
    WirelessRouter<config-if>#encryption mode wep mandatory
    
    !--- Enable WEP encryption.
    
    WirelessRouter<config-if>#encryption key 1 size 128 1234567890ABCDEF1234567890
    
    
    !--- Define the 128-bit WEP encryption key.
    
    WirelessRouter<config-if>#bridge-group 1
    
    WirelessRouter<config-if>#no shut
    
    !--- Enables the radio interface.
    
    

    この手順が終了すると、870 ルータは無線クライアントからの関連付け要求を受け付けます。

    ルータの EAP 認証型を設定するとき、ネットワーク EAP を選択し認証問題を避けるために認証種別として EAP と開くことを推奨します。

    WirelessRouter<config-ssid>#authentication network-eap eap_methods
    
    WirelessRouter<config-ssid>#authentication open eap eap_methods
    
    

    注: このドキュメントでは、ネットワークにはシスコの無線クライアントしか存在しないものとします。

    注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

クライアント アダプタの設定

クライアント アダプタを設定するには、次のステップを実行します。 この手順では、例として、ADU 上に 870-ISR という名前の新しいプロファイルを作成します。 またこの手順では、SSID として Test を使用し、クライアント アダプタで LEAP 認証を有効にします。

  1. ADU の Profile Management ウィンドウで、New をクリックして新しいプロファイルを作成します。 General タブで、クライアント アダプタが使用するプロファイル名と SSID を入力します。

    この例では、プロファイル名には 870-ISR、SSID には Test を使用します。

    注: SSID は、871W ISR で設定した SSID と正確に一致している必要があります。 SSID では大文字と小文字が区別されます。

    /image/gif/paws/69011/wlan-870isr-2.gif

  2. Security タブに移動して、802.1x を選択し、802.1x EAP Type メニューから LEAP を選択します。

    これにより、クライアント アダプタで LEAP 認証が有効になります。

    /image/gif/paws/69011/wlan-870isr-3.gif

  3. Configure をクリックして、LEAP 設定を定義します。

    この設定では、Automatically Prompt for Username and Password オプションを選択しています。 このオプションにより、LEAP 認証が実行されたときに、ユーザ名およびパスワードを手動入力できるようになります。

    /image/gif/paws/69011/wlan-870isr-4.gif

  4. OK をクリックして Profile Management ウィンドウを終了します。

  5. Activate をクリックして、このプロファイルをクライアント アダプタで有効にします。

    /image/gif/paws/69011/wlan-870isr-5.gif

確認

ここでは、設定が正常に動作していることを確認します。

クライアント アダプタと 870 ルータの設定が終了したら、クライアント アダプタ上のプロファイル 870-ISR を有効にして、設定を確認します。

Enter Wireless Network Password ウィンドウが表示されたら、ユーザ名とパスワードを入力します。 ユーザ名とパスワードは、871W ISR で設定したものに対応している必要があります。 この例で使用しているプロファイルの 1 つは、ユーザ名が ABCD でパスワードが ABCD です。

/image/gif/paws/69011/wlan-870isr-6.gif

LEAP Authentication Status ウィンドウが表示されます。 このウィンドウでは、ローカル RADIUS サーバに対するユーザのクレデンシャルが検証されます。

wlan-870isr-7.gif

クライアントが WEP 暗号化と LEAP 認証を使用していることを確認するには、ADU の Current Status をチェックします。

wlan-870isr-8.gif

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • 示して下さい dot11 アソシエーション— 870 ルータの設定を確認します。

    WirelessRouter#show dot11 association
    
    802.11 Client Stations on Dot11Radio0:
    
    SSID [Test]:
    
    MAC Address     IP Address     Device         Name     Parent    State
    0040.96ac.dd05   172.16.1.99   CB21AG/PI21AG  LAPTOP-1  self    EAP-Associated
    
    Others:  (not related to any ssid)
  • クライアントは DHCPサーバによって IP アドレスがあることを show ip dhcp binding —確認します。

    WirelessRouter#show ip dhcp binding
    Bindings from all pools not associated with VRF:
    IP address        Client-ID/       Lease expiration      Type
                    Hardware address/
                    User name
    172.16.1.99     0040.96ac.dd05     Feb 6 2006 10:11 PM  Automatic

トラブルシューティング

このセクションでは、この設定に関連するトラブルシューティング情報を提供します。

  1. 認証を一時的に無効にするには、SSID の方式を Open に設定します。

    これにより、認証の成功を妨げる Radio Frequency(RF; 無線周波数)の問題が発生する可能性が解消されます。

    • CLI から no authentication open eap eap_methods、no authentication network-eap eap_methods、authentication open の各コマンドを使用します。

    クライアントが関連付けに成功する場合には、RF はアソシエーションの問題に関係しません。

  2. ワイヤレス ルータで設定されている WEP キーが、クライアントで設定されている WEP キーと一致することをチェックします。

    WEP キーが一致しない場合、クライアントはワイヤレス ルータと通信できません。

  3. ワイヤレス ルータと認証サーバ間で共有秘密パスワードが同期していることを確認します。

次のデバッグ コマンドを使用して、設定のトラブルシューティングを行うこともできます。

  • 全 dot11 AAA オーセンティケータをアクティブにします MAC および EAP 認証パケットのデバッグをデバッグして下さい

  • debug radius authentication:サーバとクライアント間の RADIUS ネゴシエーションを表示します。

  • debug radius local-server packets:送受信される RADIUS パケットの内容を表示します。

  • debug radius local-server client:失敗したクライアント認証に関するエラー メッセージを表示します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 69011