ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

ISR と WEP 暗号化および LEAP 認証を使用する無線 LAN 接続の設定例

2006 年 2 月 22 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 4 月 7 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      ネットワーク ダイアグラム
      表記法
871W ルータの設定
クライアント アダプタの設定
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、WEP 暗号化と LEAP 認証を使用する無線 LAN の接続用に Cisco 870 シリーズ Integrated Services Router(ISR; サービス統合型ルータ)を設定する方法について説明します。

Cisco ISR 無線シリーズの他のモデルにも、同じ設定が適用されます。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • Cisco 870 シリーズ ISR の基本パラメータを設定する方法についての知識。

  • Aironet Desktop Utility(ADU)を使用して 802.11a/b/g 無線クライアント アダプタを設定する方法についての知識。

802.11a/b/g クライアント アダプタを設定する方法については、『Cisco Aironet 802.11a/b/g ワイヤレス LAN クライアント アダプタ(CB21AG および PI21AG)インストレーション コンフィギュレーション ガイド、リリース 2.5』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS(R) ソフトウェア リリース 12.3(8)YI1 が稼働する Cisco 871W ISR

  • Aironet Desktop Utility バージョン 2.5 がインストールされているラップトップ PC

  • ファームウェア バージョン 2.5 が稼働する 802.11 a/b/g クライアント アダプタ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されています。このドキュメント内で使用されているデバイスはすべて、クリアな設定(デフォルト)から作業を始めています。対象のネットワークが実稼動中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク設定を使用します。

このセットアップでは、ワイヤレス LAN クライアントは、870 ルータに関連付けられます。 870 ルータの内部 Dynamic Host Configuration Protocol(DHCP)サーバを使用して、ワイヤレス クライアントに IP アドレスが提供されます。 870 ISR と WLAN クライアントでは、WEP 暗号化が有効になっています。 LEAP 認証を使用してワイヤレス ユーザが認証され、870 ルータ上のローカル RADIUS サーバ機能を使用してクレデンシャルが検証されます。

wlan-870isr-1.gif

表記法

ドキュメントの表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

871W ルータの設定

アクセス ポイントとしてワイヤレス クライアントからの関連付け要求を受け付けるように 871W ISR を設定するには、次のステップを実行します。

  1. Integrated Routing and Bridging(IRB)を設定し、ブリッジ グループを設定します。

    IRB を有効にするには、グローバル コンフィギュレーション モードから次のコマンドを入力します。

     WirelessRouter<config>#bridge irb
     
     !--- IRB を有効にする。
     
     WirelessRouter<config>#bridge 1 protocol ieee 
     
     !--- スパニング ツリー プロトコルの種類を ieee と定義する。
     
     WirelessRouter<config>#bridge 1 route ip
     
     !--- ブリッジ グループで指定したプロトコルのルーティングを有効にする。
     
     
  2. Bridged Virtual Interface(BVI)を設定します。

    BVI に IP アドレスを割り当てます。 グローバル コンフィギュレーション モードから次のコマンドを入力します。

     WirelessRouter<config>#interface bvi1
     
     
     !--- BVI に対するインターフェイス設定モードに入る。
     
     WirelessRouter<config-if>#ip address 172.16.1.100 255.255.0.0
     
  3. 871W ISR に内部 DHCP サーバ機能を設定します。

    ルータの内部 DHCP サーバ機能を使用して、ルータに関連付けされるワイヤレス クライアントに IP アドレスを割り当てることができます。 グローバル コンフィギュレーション モードで次のコマンドを実行します。

     WirelessRouter<config>#ip dhcp excluded-address 172.16.1.100 172.16.1.100
     
     !--- DHCP プールから IP アドレスを除外する。 
     !--- このアドレスは BVI インターフェイスで使用するため除外します。
     
     
     WirelessRouter<config>#ip dhcp pool 870-ISR
     WirelessRouter<dhcp-config>#network 172.16.1.0 255.255.0.0
     

    注:クライアント アダプタでも、DHCP サーバから IP アドレスを受け取るように設定する必要があります。

  4. 871W ISR をローカル RADIUS サーバとして設定します。

    グローバル コンフィギュレーション モードで次のコマンドを入力して、871W ISR をローカル RADIUS サーバとして設定します。

     WirelessRouter<config>#aaa new-model
     
     !--- 認証、認可、アカウンティング(AAA)アクセス コントロール モデルを
     !--- 有効にする。
     
     
     WirelessRouter<config>#radius-server local
     
     !--- 871 ワイヤレス対応ルータをローカル認証サーバとして
     !--- 有効にし、オーセンティケータに対する
     !--- 設定モードに入る。
     
     WirelessRouter<config-radsrv)#nas 172.16.1.100 key Cisco
     
     !--- ローカル認証サーバを使用するデバイスのリストに、
     !--- 871 ルータを追加する。
     
     WirelessRouter<config-radsrv>#user ABCD password ABCD
     WirelessRouter<config-radsrv)#user XYZ password XYZ
     
     !--- ローカル RADIUS サーバに 2 件のユーザ ABCD と XYZ を設定する。
     
     WirelessRouter<config-radsrv)#exit
     WirelessRouter<config>#radius-server host 172.16.1.100 auth-port 1812 acct-port 1813 key Cisco
     
     !--- RADIUS サーバ ホストを指定する。
     
     

    注:ローカル RADIUS サーバに対する認証とアカウンティングには、ポート 1812 と 1813 を使用します。

     WirelessRouter<config>#aaa group server radius rad_eap
     
     !--- RADIUS サーバをグループ rad_eap にマッピングする。
     . 
     WirelessRouter<config-sg-radius>#server 172.16.1.100 auth-port 1812 acct-port 1813
     
     
     !--- グループ group rad_eap に属するサーバを定義する。
     
     WirelessRouter<config>#aaa authentication login eap_methods group rad_eap
     
     !--- AAA ログイン認証を有効にする。
     
     
  5. 無線インターフェイスを設定します。

    無線インターフェイスの設定には、SSID、暗号化モード、認証タイプ、速度、無線ルータの役割など、ルータのさまざまな無線パラメータの設定が含まれます。 この例では、Test という名前の SSID を使用します。

    無線インターフェイスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

     WirelessRouter<config>#interface dot11radio0
     
     !--- 無線インターフェイス設定モードに入る。
     
     WirelessRouter<config-if>#ssid Test
     
     !--- SSID Test を設定する。
     
     WirelessRouter<config-ssid>#authentication network-eap eap_methods
     
     !--- SSID「Test」に属するユーザが、
     !--- 要求のヘッダーで、タイプ 128 ネットワーク Extensible Authentication Protocol(EAP)
     !--- 認証ビットを設定した認証を
     !--- 要求しているものとする。 
     !--- これらのユーザを、"eap_methods" という名前のグループにグループ化する。
     
     WirelessRouter<config-ssid>#exit
     
     !--- インターフェイス設定モードを終了する。
     
     WirelessRouter<config-if>#encryption mode wep mandatory
     
     !--- WEP 暗号化を有効にする。
     
     WirelessRouter<config-if>#encryption key 1 size 128 1234567890ABCDEF1234567890
     
     !--- 128 ビット WEP 暗号キーを定義する。
     
     WirelessRouter<config-if>#bridge-group 1
     WirelessRouter<config-if>#no shut
     
     !--- 無線インターフェイスを有効にする。
     
     

    この手順が終了すると、870 ルータは無線クライアントからの関連付け要求を受け付けます。

    注:無線インターフェイスに認証タイプを設定するときは、次のガイドラインに従ってください。 ネットワーク内のクライアントの種類によって、次のように設定します。

    1. シスコのクライアント — ネットワーク EAP を使用します。

       WirelessRouter<config-ssid>#authentication network-eap eap_methods
       
    2. サードパーティのクライアント(CCX 準拠製品を含む)— EAP で Open を使用します。

       WirelessRouter<config-ssid>#authentication open eap eap_methods
       
    3. シスコとサードパーティのクライアントの組み合わせ — ネットワーク EAP と EAP での Open の両方を選択します。

       WirelessRouter<config-ssid>#authentication network-eap eap_methods
       WirelessRouter<config-ssid>#authentication open eap eap_methods
       

    注:このドキュメントでは、ネットワークにはシスコの無線クライアントしか存在しないものとします。

    注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

    一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

クライアント アダプタの設定

クライアント アダプタを設定するには、次のステップを実行します。 この手順では、例として、ADU 上に 870-ISR という名前の新しいプロファイルを作成します。 またこの手順では、SSID として Test を使用し、クライアント アダプタで LEAP 認証を有効にします。

  1. ADU の Profile Management ウィンドウで、New をクリックして新しいプロファイルを作成します。 General タブで、クライアント アダプタが使用するプロファイル名と SSID を入力します。

    この例では、プロファイル名には 870-ISR、SSID には Test を使用します。

    注:SSID は、871W ISR で設定した SSID と正確に一致している必要があります。 SSID では大文字と小文字が区別されます。

    wlan-870isr-2.gif

  2. Security タブに移動して、802.1x を選択し、802.1x EAP Type メニューから LEAP を選択します。

    これにより、クライアント アダプタで LEAP 認証が有効になります。

    wlan-870isr-3.gif

  3. Configure をクリックして LEAP の設定を定義します。

    この設定では、Automatically Prompt for Username and Password オプションを選択します。 このオプションにより、LEAP 認証が行われるときにユーザ名とパスワードを手動で入力できるようになります。

    wlan-870isr-4.gif

  4. OK をクリックして Profile Management ウィンドウを終了します。

  5. Activate をクリックして、このプロファイルをクライアント アダプタで有効にします。

    wlan-870isr-5.gif

確認

このセクションを使用して、設定が正しく動作していることを確認します。

クライアント アダプタと 870 ルータの設定が終了したら、クライアント アダプタ上のプロファイル 870-ISR を有効にして、設定を確認します。

Enter Wireless Network Password ウィンドウが表示されたら、ユーザ名とパスワードを入力します。 ユーザ名とパスワードは、871W ISR で設定したものに対応している必要があります。 この例で使用しているプロファイルの 1 つは、ユーザ名が ABCD でパスワードが ABCD です。

wlan-870isr-6.gif

LEAP Authentication Status ウィンドウが表示されます。 このウィンドウでは、ローカル RADIUS サーバに対するユーザのクレデンシャルが検証されます。

wlan-870isr-7.gif

クライアントが WEP 暗号化と LEAP 認証を使用していることを確認するには、ADU の Current Status をチェックします。

wlan-870isr-8.gif

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show dot11 association — 870 ルータの設定を確認します。

     WirelessRouter#show dot11 association
     
     802.11 Client Stations on Dot11Radio0:
     
     SSID [Test]:
     
     MAC Address     IP Address     Device         Name     Parent    State
     0040.96ac.dd05   172.16.1.99   CB21AG/PI21AG  LAPTOP-1  self    EAP-Associated
     
     Others:  (not related to any ssid)
     
  • show ip dhcp binding — クライアントが DHCP サーバを通して IP アドレスを入手していることを確認します。

     WirelessRouter#show ip dhcp binding
     Bindings from all pools not associated with VRF:
     IP address        Client-ID/       Lease expiration      Type
                     Hardware address/
                     User name
     172.16.1.99     0040.96ac.dd05     Feb 6 2006 10:11 PM  Automatic
     

トラブルシューティング

このセクションでは、この設定に関連するトラブルシューティング情報を提供します。

  1. 認証を一時的に無効にするには、SSID の方式を Open に設定します。

    これにより、認証の成功を妨げる Radio Frequency(RF; 無線周波数)の問題が発生する可能性が解消されます。

    • CLI から no authentication open eap eap_methodsno authentication network-eap eap_methodsauthentication open の各コマンドを使用します。

    クライアントが関連付けに成功する場合には、RF はアソシエーションの問題に関係しません。

  2. ワイヤレス ルータで設定されている WEP キーが、クライアントで設定されている WEP キーと一致することをチェックします。

    WEP キーが一致しない場合、クライアントはワイヤレス ルータと通信できません。

  3. ワイヤレス ルータと認証サーバ間で共有秘密パスワードが同期していることを確認します。

次のデバッグ コマンドを使用して、設定のトラブルシューティングを行うこともできます。

  • debug dot11 aaa authenticator all — MAC および EAP 認証パケットのデバッグを有効にします。

  • debug radius authentication — サーバとクライアントの RADIUS ネゴシエーションを表示します。

  • debug radius local-server packets — 送受信される RADIUS パケットの内容を表示します。

  • debug radius local-server client — 失敗したクライアント認証についてのエラー メッセージを表示します。

注:debug コマンドを使用する前に、『デバッグ コマンドの重要な情報』を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報