Маршрутизаторы : Маршрутизаторы Cisco серии 800

Пример настройки различных типов аутентификации на маршрутизаторах серии ISR

1 августа 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (13 сентября 2013) | Английский (7 апреля 2008) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Условные обозначения
Базовые сведения
Настройка
     Схема сети
Настройка открытой аутентификации
     Настройка режима Integrated Routing and Bridging (IRB) и организация многомостовых групп
     Настройка виртуального интерфейса мостов (BVI)
     Настройка идентификатора сети (SSID) для открытой аутентификации
     Настройка внутреннего DHCP-сервера для беспроводных клиентов виртуальной сети (VLAN)
Настройка 802.1x/EAP-аутентификации
     Настройка режима Integrated Routing and Bridging (IRB) и организация многомостовых групп
     Настройка виртуального интерфейса мостов (BVI)
     Настройка локального RADIUS-сервера для EAP-аутентификации
     Настройка идентификатора сети (SSID) для 802.1x/EAP-аутентификации
     Настройка внутреннего DHCP-сервера для беспроводных клиентов виртуальной сети (VLAN)
Управление ключами WPA
Настройка WPA-PSK
     Настройка режима Integrated Routing and Bridging (IRB) и организация многомостовых групп
     Настройка виртуального интерфейса мостов (BVI)
     Настройка идентификатора сети (SSID) для WPA-PSK-аутентификации
     Настройка внутреннего DHCP-сервера для беспроводных клиентов виртуальной сети (VLAN)
Настройка WPA-аутентификации (с EAP)
     Настройка режима Integrated Routing and Bridging (IRB) и организация многомостовых групп
     Настройка виртуального интерфейса мостов (BVI)
     Настройка локального RADIUS-сервера для WPA-аутентификации
     Настройка идентификатора сети (SSID) для WPA и EAP-аутентификации
     Настройка внутреннего DHCP-сервера для беспроводных клиентов виртуальной сети (VLAN)
Настройка беспроводного клиента для аутентификации
     Настройка беспроводного клиента для открытой аутентификации
     Настройка беспроводного клиента для 802.1x/EAP-аутентификации
     Настройка беспроводного клиента для WPA-PSK-аутентификации
     Настройка беспроводного клиента для WPA-аутентификации (с EAP)
Устранение неполадок
     Команды поиска и устранения неисправностей
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе представлен пример, иллюстрирующий настройку различных типов аутентификации второго уровня на беспроводном маршрутизаторе Cisco c фиксированной интегрированной конфигурацией при помощи команд интерфейса CLI.

Предварительные условия

Требования

Убедитесь в выполнении следующих требований, прежде чем попробовать реализовать эту конфигурацию.

  • Знание настроек основных параметров маршрутизаторов Cisco Integrated Services Router (ISR)

  • Знание процедуры настройки беспроводной сетевой карты 802.11a/b/g с помощью набора Aironet Desktop Utility (ADU)

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Маршрутизатор Cisco 877W ISR использующий программное обеспечение Cisco IOS® версии 12.3(8)YI1

  • Переносной компьютер с набором программ Aironet Desktop Utility версии 3.6

  • Беспроводная сетевая карта 802.11 a/b/g с прошивкой версии 3.6

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены с чистой (заданной по умолчанию) конфигурацией. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.

Условные обозначения

Дополнительную информацию о применяемых в документе обозначениях см. в документе Условные обозначения, используемые в технической документации Cisco.

Базовые сведения

Маршрутизаторы Cisco с интегрированным набором сервисных модулей (Cisco ISR) предоставляют безопасное, доступное и легкое в использовании сетевое решение, сочетающее мобильность и гибкость с технологиями корпоративного класса, необходимыми для профессиональной работы с сетями. Маршрутизаторы Cisco c системой управления, основанной на программном обеспечении Cisco IOS, сертифицированы в IEEE, как совместимый с адаптерами типа 802.11a/b/g беспроводной трансивер.

Настраивать маршрутизатор и управлять им можно через интерфейс командной строки (CLI), системы управления на основе обозревателя или протокол SNMP. В данном документе описывается настройка маршрутизатора типа ISR для беспроводной связи с помощью команд CLI.

Настройка

В данном примере показана настройка с помощью команд CLI следующих типов аутентификации на беспроводном маршрутизаторе с интегрированными сервисными модулями Cisco.

  • Открытая аутентификация

  • Аутентификация через протокол 802.1x/EAP (Extensible Authentication Protocol)

  • Аутентификация с использованием стандарта Wi-Fi Protected Access Pre-Shared Key (WPA-PSK)

  • Аутентификация с помощью WPA (с EAP)

Примечание. В данном документе не заостряется внимание на аутентификации с общим ключом, так как это менее защищенный тип аутентификации.

В этом разделе приводится информация по настройке функций, описанных в данном документе.

Примечание. См. дополнительные сведения о командах, используемых в данном документе, в Средстве поиска команд (только для зарегистрированных клиентов).

Схема сети

В данном документе используется следующая настройка сети:

ISR_Authentication-1.gif

В этой конфигурации используется локальный RADIUS-сервер с беспроводным маршрутизатором ISR для аутентификации беспроводных клиентов по стандарту 802.1x.

Настройка открытой аутентификации

Открытая аутентификация является алгоритмом пустой аутентификации. Точка доступа удовлетворяет любой запрос на аутентификацию. Открытая аутентификация предоставляет любому устройству доступ к сети. Если в сети не активировано никакого шифрования, доступ к сети может получить любое устройство, которому известен идентификатор (SSID) точки доступа. Если на точке доступа активировано WEP-шифрование, средством контроля доступа становится WEP-ключ. Если устройство не имеет подходящего WEP-ключа, оно не сможет передавать данные через точку доступа, даже при успешной аутентификации. Также оно не сможет расшифровать данные, приходящие от точки доступа.

В этом примере показана простая открытая аутентификация. WEP-ключ может быть обязательным или выбираться по желанию. В этом примере устанавливается использование WEP-ключа по желанию, так что любое устройство, не использующее WEP-ключ, также может пройти аутентификацию и соединиться с точкой доступа.

Дополнительная информация содержится в статье Открытая аутентификация.

Для установки открытой аутентификации на ISR-маршрутизаторе используются следующие параметры конфигурации.

  • Имя SSID: "open"

  • VLAN 1

  • Диапазон внутреннего DHCP-сервера: 10.1.0.0/16

Примечание. Для простоты в этом примере не используется каких-либо алгоритмов шифрования для аутентифицированных клиентов.

Выполните следующие действия на маршрутизаторе:

  1. Настройка режима Integrated Routing and Bridging (IRB) и организация многомостовых групп

  2. Настройка виртуального интерфейса мостов (BVI)

  3. Настройка идентификатора сети (SSID) для открытой аутентификации

  4. Настройка внутреннего DHCP-сервера для беспроводных клиентов виртуальной сети (VLAN)

Настройка режима Integrated Routing and Bridging (IRB) и организация многомостовых групп

Выполните следующие действия:

  1. Включите IRB на маршрутизаторе.

    router<configure>#bridge irb

    Примечание. Если все средства безопасности должны быть настроены на одном маршрутизаторе, достаточно активировать IRB один раз, для маршрутизатора в целом. Нет необходимости активировать его отдельно для каждого типа аутентификации.

  2. Задайте группу мостов.

    В этом примере номер группы мостов 1.

    router<configure>#bridge 1

  3. Выберите протокол связующего дерева для группы мостов.

    Здесь для группы мостов настроено использование протокола связующего дерева IEEE.

    router<configure>#bridge 1 protocol ieee

  4. Активируйте BVI для приема и перенаправления маршрутизируемых пакетов от соответствующей группы мостов.

    В этом примере показана активация BVI для приема и перенаправления ip-пакета.

    router<configure>#bridge 1 route ip

Настройка виртуального интерфейса мостов (BVI)

Выполните следующие действия:

  1. Настройте BVI.

    Настройка BVI производится, когда в него уже введен номер взаимодействующей с ним группы мостов. Каждой группе мостов может соответствовать только один BVI. В этом примере интерфейсу BVI назначается группа мостов номер 1.

    router<configure>#interface BVI <1>

  2. Назначьте IP-адреса BVI.

    router<config-if>#ip address 10.1.1.1 255.255.0.0

    router<config-if>#no shut

Подробную информацию см. в документе Настройка работы мостов.

Настройка идентификатора сети (SSID) для открытой аутентификации

Выполните следующие действия:

  1. Включите радио-интерфейс.

    Чтобы включить радио-интерфейс нужно перейти в режим настройки радио-интерфейса DOT11 и назначить ему SSID.

    router<config>#interface dot11radio0

    router<config-if>#no shutdown

    router<config-if>#ssid open

    Можно настроить использование открытой аутентификации совместно с аутентификацией по MAC-адресу. В этом случае точка доступа требует от всех клиентских устройств пройти аутентификацию по MAC-адресу, перед тем, как предоставить им доступ в сеть.

    Также открытая аутентификация может быть настроена совместно с EAP_аутентификацией. Тогда точка доступа требует от всех клиентских устройств пройти EAP-аутентификацию перед тем, как предоставить им доступ в сеть. Для имени списка следует настроить список методов аутентификации.

    Точка доступа, настроенная на EAP-аутентификацию требует от всех присоединенных клиентских устройств пройти EAP_аутентификацию. Клиентские устройства, не использующие EAP, не могут использовать такую точку доступа.

  2. Присвойте SSID виртуальной сети (VLAN).

    Чтобы задействовать SSID на этом интерфейсе, нужно присвоить SSID виртуальной сети в режиме настройки SSID.

    router<config-ssid>vlan 1

  3. Настройте SSID с открытой аутентификацией.

    router<config-ssid>#authentication open

  4. Настройте радио-интерфейс для использования WEP-ключа по желанию.

    router<config>#encryption vlan 1 mode WEP optional

  5. Включите виртуальную сеть (VLAN) на радио-интерфейсе.

    router<config>#interface Dot11Radio 0,1

    router<config-subif>#encapsulation dot1Q 1

    router<config-subif>#bridge-group 1

Настройка внутреннего DHCP-сервера для беспроводных клиентов виртуальной сети (VLAN)

Введите следующие команды в режиме общих настроек для настройки внутреннего DHCP-сервера для беспроводных клиентов VLAN:

  • ip dhcp excluded-address 10.1.1.1 10.1.1.5

  • ip dhcp pool open

В режиме настройки DHCP-пула введите следующие команды:

  • network 10.1.0.0 255.255.0.0

  • default-router 10.1.1.1

Настройка 802.1x/EAP-аутентификации

Этот тип аутентификации обеспечивает самый высокий уровень безопасности беспроводной сети. С помощью расширяемого протокола аутентификации (EAP), используемого для взаимодействия с EAP-совместимым RADIUS-сервером, точка доступа помогает клиентскому устройству и RADIUS-серверу осуществлять взаимную аутентификацию и генерирует индивидуальный динамический WEP-ключ. RADIUS-сервер посылает WEP-ключ на точку доступа, которая использует его для всех адресных передач данных, которые посылаются клиентам или поступают от них.

Дополнительную информацию см. в статье EAP-аутентификация.

В этом примере использована следующая конфигурация:

  • Имя SSID: leap

  • VLAN 2

  • Диапазон внутреннего DHCP-сервера: 10.2.0.0/16

В этом примере для аутентификации беспроводных клиентов используется LEAP (Облегченный расширяемый протокол аутентификации).

Примечание. Материалы по настройке EAP-TLS см. в документе Система Cisco Secure ACS для Windows v3.2 с машинной авторизацией по протоколу EAP-TLS.

Примечание. Материалы по настройке PEAP-MS-CHAPv2 см. в документе Система Cisco Secure ACS для Windows v3.2 с машинной авторизацией по протоколу PEAP-MS-CHAPv2.

Примечание. Имейте в виду, что все изменения в настройках этих типов EAP касаются, в первую очередь, изменений конфигурации клиента и сервера аутентификации. Настройки беспроводного маршрутизатора или точки доступа более или менее совпадают для всех этих типов аутентификации.

Примечание. Как отмечалось ранее, на этом этапе с беспроводным ISR-маршрутизатором используется локальный RADIUS-сервер для аутентификации беспроводных клиентов через протокол 802.1x.

Выполните следующие действия на маршрутизаторе:

  1. Настройка режима Integrated Routing and Bridging (IRB) и организация многомостовых групп

  2. Настройка виртуального интерфейса мостов (BVI)

  3. Настройка локального RADIUS-сервера для EAP-аутентификации

  4. Настройка идентификатора сети (SSID) для 802.1x/EAP-аутентификации

  5. Настройка внутреннего DHCP-сервера для беспроводных клиентов виртуальной сети (VLAN)

Настройка режима Integrated Routing and Bridging (IRB) и организация многомостовых групп

Выполните следующие действия:

  1. Включите IRB на маршрутизаторе.

    router<configure>#bridge irb

    Примечание. Если все средства безопасности должны быть настроены на одном маршрутизаторе, достаточно активировать IRB один раз, для маршрутизатора в целом. Нет необходимости активировать его отдельно для каждого типа аутентификации.

  2. Задайте группу мостов.

    В данном примере используется мостовая группа номер 2.

    router<configure>#bridge 2

  3. Выберите протокол связующего дерева для группы мостов.

    Здесь для группы мостов настроено использование протокола связующего дерева IEEE.

    router<configure>#bridge 2 protocol ieee

  4. Выберите протокол связующего дерева для группы мостов.

    Здесь для группы мостов настроено использование протокола связующего дерева IEEE.

    router<configure>#bridge 2 protocol ieee

  5. Активируйте BVI для приема и перенаправления маршрутизируемых пакетов от соответствующей группы мостов.

    В этом примере показана активация BVI для приема и перенаправления ip-пакета.

    router<configure>#bridge 2 route ip

Настройка виртуального интерфейса мостов (BVI)

Выполните следующие действия:

  1. Настройте BVI.

    Настройка BVI производится, когда в него уже введен номер взаимодействующей с ним группы мостов. Каждой группе мостов может соответствовать только один BVI. В этом примере интерфейсу BVI назначается группа мостов номер 2.

    router<configure>#interface BVI <2>

  2. Назначьте IP-адреса BVI.

    router<config-if>#ip address 10.2.1.1 255.255.0.0

    router<config-if>#no shut

Настройка локального RADIUS-сервера для EAP-аутентификации

Как отмечалось ранее, в этом документе для EAP-аутентификации используется локальный RADIUS-сервер на беспроводном интеллектуальном маршрутизаторе.

  1. Включите алгоритм контроля доступа AAA (аутентификация, авторизация, учет).

    router<configure>#aaa new-model

  2. Создайте группы серверов rad-eap для RADIUS-сервера.

    router<configure>#aaa group server radius rad-eap server 10.2.1.1 auth-port 1812 acct-port 1813

  3. Создайте список методов eap_methods, в котором указан метод, используемый для аутентификации пользователя с AAA-регистрацией. Назначьте этот список методов группе серверов.

    router<configure>#aaa authentication login eap_methods group rad-eap

  4. Включите маршрутизатор в качестве сервера аутентификации и выполните вход в режим настройки аутентификатора.

    router<configure>#radius-server local

  5. В режиме настройки RADIUS-сервера добавьте маршрутизатор в качестве AAA-клиента локального сервера аутентификации.

    router<config-radsrv>#nas 10.2.1.1 key Cisco

  6. Настройте пользователя user1 на локальном Radius-сервере.

    router<config-radsrv>#user user1 password user1 group rad-eap

  7. Укажите хост RADIUS-сервера.

    router<config-radsrv>#radius-server host 10.2.1.1 auth-port 1812 acct-port 1813 key cisco

    Примечание. Этот ключ должен быть тем же, что прописан в команде nas в режиме настроек radius-сервера.

Настройка идентификатора сети (SSID) для 802.1x/EAP-аутентификации

Конфигурация радио-интерфейса и соответствующего SSID для 802.1x/EAP, затрагивает конфигурацию различных беспроводных параметров маршрутизатора, включая SSID, режим шифрования и тип аутентификации. В этом примере используется SSID leap.

  1. Включите радио-интерфейс.

    Чтобы включить радио-интерфейс, нужно назначить ему SSID в режиме настроек радио-интерфейса DOT11.

    router<config>#interface dot11radio0

    router<config-if>#no shutdown

    router<config-if>#ssid leap

  2. Присвойте SSID виртуальной сети (VLAN).

    Чтобы задействовать SSID на этом интерфейсе, нужно присвоить SSID виртуальной сети в режиме настройки SSID.

    router<config-ssid>#vlan 2

  3. Настройте идентификатор сети (SSID) для 802.1x/LEAP-аутентификации.

    router<config-ssid>#authentication network-eap eap_methods

  4. Настройте радио-интерфейс для управления динамическим ключом.

    router<config>#encryption vlan 2 mode ciphers wep40

  5. Включите виртуальную сеть (VLAN) на радио-интерфейсе.

    router<config>#interface Dot11Radio 0,2

    router<config-subif>#encapsulation dot1Q 2

    router<config-subif>#bridge-group 2

Настройка внутреннего DHCP-сервера для беспроводных клиентов виртуальной сети (VLAN)

Введите следующие команды в режиме общих настроек для настройки внутреннего DHCP-сервера для беспроводных клиентов VLAN:

  • ip dhcp excluded-address 10.2.1.1 10.2.1.5

  • ip dhcp pool leapauth

В режиме настройки DHCP-пула введите следующие команды:

  • network 10.2.0.0 255.255.0.0

  • default-router 10.2.1.1

Управление ключом WPA

Технология Wi-Fi Protected Access (WPA) – это основанное на общих стандартах средство защиты, которое значительно повышает уровень защищенности данных и контроля доступа для существующих и будущих беспроводных сетевых решений.

Дополнительная информация содержится в статье Управление ключом WPA.

В WPA поддерживается два взаимоисключающих способа управления ключом: WPA-Pre-Sshared key (WPA-PSK) и WPA (с EAP).

Настройка WPA-PSK

WPA-PSK используется в беспроводных сетях, для которых недоступна авторизация, основанная на стандарте 802.1x. В таких сетях на точке доступа нужно настроить предустановленный общий ключ (Pre-Shared key). Предустановленный общий ключ можно ввести символами ASCII или шестнадцатеричной системы. При использовании ASCII вводится от 8 до 63-х символов, а точка доступа продолжает ключ по алгоритму, описанному в криптографическом стандарте для паролей RFC2898. Если ключ вводится шестнадцатеричными символами, нужно ввести 64 таких символа.

В этом примере использована следующая конфигурация:

  • Имя SSID: wpa-shared

  • VLAN 3

  • Диапазон внутреннего DHCP-сервера: 10.3.0.0/16

Выполните следующие действия на маршрутизаторе:

  1. Настройка режима Integrated Routing and Bridging (IRB) и организация многомостовых групп

  2. Настройка виртуального интерфейса мостов (BVI)

  3. Настройка идентификатора сети (SSID) для WPA-PSK-аутентификации

  4. Настройка внутреннего DHCP-сервера для беспроводных клиентов виртуальной сети (VLAN)

Настройка режима Integrated Routing and Bridging (IRB) и организация многомостовых групп

Выполните следующие действия:

  1. Включите IRB на маршрутизаторе.

    router<configure>#bridge irb

    Примечание. Если все средства безопасности должны быть настроены на одном маршрутизаторе, достаточно активировать IRB один раз, для маршрутизатора в целом. Нет необходимости активировать его отдельно для каждого типа аутентификации.

  2. Задайте группу мостов.

    В этом примере номер группы мостов 3.

    router<configure>#bridge 3

  3. Выберите протокол связующего дерева для группы мостов.

    Здесь для группы мостов настроено использование протокола связующего дерева IEEE.

    router<configure>#bridge 3 protocol ieee

  4. Активируйте BVI для приема и перенаправления маршрутизируемых пакетов от соответствующей группы мостов.

    В этом примере показана активация BVI для приема и перенаправления ip-пакета.

    router<configure>#bridge 3 route ip

Настройка виртуального интерфейса мостов (BVI)

Выполните следующие действия:

  1. Настройте BVI.

    Настройка BVI производится, когда в него уже введен номер взаимодействующей с ним группы мостов. Каждой группе мостов может соответствовать только один BVI. В этом примере интерфейсу BVI назначается группа мостов номер 3.

    router<configure>#interface BVI <2>

  2. Назначьте IP-адреса BVI.

    router<config-if>#ip address 10.3.1.1 255.255.0.0

    router<config-if>#no shut

Настройка идентификатора сети (SSID) для WPA-PSK-аутентификации

Выполните следующие действия:

  1. Включите радио-интерфейс.

    Чтобы включить радио-интерфейс нужно перейти в режим настройки радио-интерфейса DOT11 и назначить ему SSID.

    router<config>#interface dot11radio0

    router<config-if>#no shutdown

    router<config-if>#ssid wpa-shared

  2. Чтобы запустить управление WPA-ключом, нужно сначала настроить алгоритм шифрования WPA для интерфейса VLAN. В этом примере в качестве системы шифрования использован протокол tkip.

    Чтобы назначить тип управления ключом WPA в радио-интерфейсе, нужно ввести следующую команду.

    router<config>#interface dot11radio0

    router(config-if)#encryption vlan 3 mode ciphers tkip

  3. Присвойте SSID виртуальной сети (VLAN).

    Чтобы задействовать SSID на этом интерфейсе, нужно присвоить SSID виртуальной сети в режиме настройки SSID.

    router<config-ssid>vlan 3

  4. Настройте идентификатор сети (SSID) для WPA-PSK-аутентификации.

    Чтобы активировать управление ключами через WPA, нужно сначала настроить открытую или сетевую EAP-аутентификацию в режиме настройки SSID. В этом примере настраивается открытая аутентификация.

    router<config>#interface dot11radio0

    router<config-if>#ssid wpa-shared

    router<config-ssid>#authentication open

    Теперь для SSID активируется управление ключом через WPA. В этой VLAN протокол шифрования для управления ключами tkip уже настроен.

    router(config-if-ssid)#authentication key-management wpa

    Настройте аутентификацию через WPA-PSK для SSID.

    router(config-if-ssid)#wpa-psk ascii 1234567890 !--- 1234567890 – значение разделяемого ключа для этого SSID. Убедитесь, что со стороны клиента для этого SSID введен такой же ключ.

  5. Включите виртуальную сеть (VLAN) на радио-интерфейсе.

    router<config>#interface Dot11Radio 0,3

    router<config-subif>#encapsulation dot1Q 3

    router<config-subif>#bridge-group 3

Настройка внутреннего DHCP-сервера для беспроводных клиентов виртуальной сети (VLAN)

Введите следующие команды в режиме общих настроек для настройки внутреннего DHCP-сервера для беспроводных клиентов VLAN:

  • ip dhcp excluded-address 10.3.1.1 10.3.1.5

  • ip dhcp pool wpa-psk

В режиме настройки DHCP-пула введите следующие команды:

  • network 10.3.0.0 255.255.0.0

  • default-router 10.3.1.1

Аутентификация с помощью WPA (с EAP)

Это другой, поддерживаемый WPA тип управления ключами. Здесь сервер аутентификации и клиенты аутентифицируют друг друга по алгоритму EAP и генерируют парный мастер ключ (PMK). При использовании WPA сервер генерирует PMK динамически и посылает его на точку доступа, в случае с WPA-PSK, на клиенте и на точке доступа настраивается предустановленный общий ключ, используемый как PMK.

Дополнительная информация содержится в статье Аутентификация с помощью WPA с EAP.

В этом примере использована следующая конфигурация:

  • Имя SSID: wpa-dot1x

  • VLAN 4

  • Диапазон внутреннего DHCP-сервера: 10.4.0.0/16

Выполните следующие действия на маршрутизаторе:

  1. Настройка режима Integrated Routing and Bridging (IRB) и организация многомостовых групп

  2. Настройка виртуального интерфейса мостов (BVI)

  3. Настройка локального RADIUS-сервера для WPA-аутентификации.

  4. Настройка идентификатора сети (SSID) для аутентификации через WPA с EAP

  5. Настройка внутреннего DHCP-сервера для беспроводных клиентов виртуальной сети (VLAN)

Настройка режима Integrated Routing and Bridging (IRB) и организация многомостовых групп

Выполните следующие действия:

  1. Включите IRB на маршрутизаторе.

    router<configure>#bridge irb

    Примечание. Если все средства безопасности должны быть настроены на одном маршрутизаторе, достаточно активировать IRB один раз, для маршрутизатора в целом. Нет необходимости активировать его отдельно для каждого типа аутентификации.

  2. Задайте группы мостов.

    В этом примере номер группы мостов 4.

    router<configure>#bridge 4

  3. Выберите протокол связующего дерева для группы мостов.

    Здесь для группы мостов настроено использование протокола связующего дерева IEEE.

    router<configure>#bridge 4 protocol ieee

  4. Активируйте BVI для приема и перенаправления маршрутизируемых пакетов от соответствующей группы мостов.

    В этом примере показана активация BVI для приема и перенаправления ip-пакета.

    router<configure>#bridge 4 route ip

Настройка виртуального интерфейса мостов (BVI)

Выполните следующие действия:

  1. Настройте BVI.

    Настройка BVI производится, когда в него уже введен номер взаимодействующей с ним группы мостов. Каждой группе мостов может соответствовать только один BVI. В этом примере интерфейсу BVI назначается группа мостов номер 4.

    router<configure>#interface BVI <4>

  2. Назначьте IP-адреса BVI.

    router<config-if>#ip address 10.4.1.1 255.255.0.0

    router<config-if>#no shut

Настройка локального RADIUS-сервера для WPA-аутентификации

Подробное описание операции см. в разделе 802.1x/EAP-аутентификация.

Настройка идентификатора сети (SSID) для аутентификации через WPA с EAP

Выполните следующие действия:

  1. Включите радио-интерфейс.

    Чтобы включить радио-интерфейс, нужно назначить ему SSID в режиме настроек радио-интерфейса DOT11.

    router<config>#interface dot11radio0

    router<config-if>#no shutdown

    router<config-if>#ssid wpa-dot1x

  2. Чтобы запустить управление WPA-ключом, нужно сначала настроить алгоритм шифрования WPA для интерфейса VLAN. В этом примере в качестве системы шифрования использован протокол tkip.

    Чтобы назначить тип управления ключом WPA в радио-интерфейсе, нужно ввести следующую команду.

    router<config>#interface dot11radio0

    router(config-if)#encryption vlan 4 mode ciphers tkip

  3. Присвойте SSID виртуальной сети (VLAN).

    Чтобы задействовать SSID на этом интерфейсе, нужно присвоить SSID виртуальной сети в режиме настройки SSID.

    vlan 4

  4. Настройте идентификатор сети (SSID) для WPA-PSK-аутентификации.

    До конфигурирования радио-интерфейса под аутентификацию через WPA c EAP, нужно настроить SSID, привязанный к EAP сети.

    router<config>#interface dot11radio0

    router<config-if>#ssid wpa-shared

    router<config-ssid>#authentication network eap eap_methods

  5. Теперь для SSID активируйте управление ключом через WPA. В этой VLAN протокол шифрования для управления ключами tkip уже настроен.

    router(config-if-ssid)#authentication key-management wpa

  6. Включите виртуальную сеть (VLAN) на радио-интерфейсе.

    router<config>#interface Dot11Radio 0.4

    router<config-subif>#encapsulation dot1Q 4

    router<config-subif>#bridge-group 4

Настройка внутреннего DHCP-сервера для беспроводных клиентов виртуальной сети (VLAN)

Введите следующие команды в режиме общих настроек для настройки внутреннего DHCP-сервера для беспроводных клиентов VLAN:

  • ip dhcp excluded-address 10.4.1.1 10.4.1.5

  • ip dhcp pool wpa-dot1shared

В режиме настройки DHCP-пула введите следующие команды:

  • network 10.4.0.0 255.255.0.0

  • default-router 10.4.1.1

Настройка беспроводного клиента для аутентификации

После настройки ISR-маршрутизатора следует так, как показано, настроить для различных типов аутентификации беспроводного клиента, чтобы маршрутизатор мог аутентифицировать этих клиентов и обеспечить их доступ к беспроводной сети. В этом документе для конфигурации оборудования клиента используется набор программ Cisco Aironet Desktop Utility (ADU).

Настройка беспроводного клиента для открытой аутентификации

Выполните следующие шаги:

  1. В окне "Profile Management", интерфейса ADU, выберите New, чтобы создать новый профиль.

    Появится новое окно, в котором можно настроить параметры открытой аутентификации. На вкладке General введите имя профиля и укажите идентификатор сети (SSID), используемый сетевой картой клиента.

    В данном примере имя профиля и SSID – open.

    Примечание. Введенный SSID должен соответствовать тому, который был выставлен при настройке ISR- маршрутизатора для открытой аутентификации.

    ISR_Authentication-2.gif

  2. Выберите вкладку Security и оставьте переключатель опций безопасности в положении None для WEP-шифрования. Так как в этом примере WEP используется по желанию, выбор позиции "None" позволит клиенту успешно присоединяться и работать с беспроводной сетью.

    Нажмите OK

    ISR_Authentication-3.gif

  3. Выберите Advanced на вкладке Profile Management и установите переключатель в режим 802.11 Authentication на Open, чтобы выбрать открытую аутентификацию.

    ISR_Authentication-16.gif

Используйте этот раздел для проверки правильности работы конфигурации.

  1. После того, как профиль создан, нажмите кнопку Activate на вкладке "Profile Management", чтобы активировать его.

    ISR_Authentication-4.gif

  2. Проверьте успешность аутентификации в статусе ADU.

    ISR_Authentication-5.gif

Настройка идентификатора сети (SSID) для 802.1x/EAP-аутентификации

Выполните следующие шаги:

  1. В окне "Profile Management", интерфейса ADU, выберите New, чтобы создать новый профиль.

    Появится новое окно, в котором можно настроить параметры открытой аутентификации. На вкладке General введите имя профиля и укажите идентификатор сети (SSID), используемый сетевой картой клиента.

    В данном примере имя профиля и SSID – leap.

  2. В окне Profile Management выберите вкладку Security, установите переключатель опций безопасности на 802.1x и выберите соответствующий тип EAP. В данном документе для аутентификации используется LEAP. Нажмите Configure, чтобы настроить имя пользователя и пароль для LEAP.

    Примечание.  SSID должен соответствовать тому, который был выставлен на ISR-маршрутизаторе для 802.1x/EAP-аутентификации.

    ISR_Authentication-6.gif

  3. В меню настроек имени пользователя и пароля в этом примере выбрано Manually Prompt for User Name and Password, поэтому от клиента будет требоваться ввод правильных имени пользователя при попытке подключиться к сети. Нажмите ОK.

    ISR_Authentication-7.gif

Используйте этот раздел для проверки правильности работы конфигурации.

  • После того, как профиль создан, нажмите кнопку Activate во вкладке Profile Management, чтобы активировать профиль leap. Вас попросят ввести имя пользователя и пароль профиля leap. В этом примере используется имя пользователя и пароль user1. Нажмите ОK.

  • Можно видеть, что клиент успешно прошел аутентификацию и получил от DHCP-сервера, настроенного на маршрутизаторе, ip-адрес.

    ISR_Authentication-8.gif

Настройка беспроводного клиента для WPA-PSK-аутентификации

Выполните следующие шаги:

  1. В окне "Profile Management", интерфейса ADU, выберите New, чтобы создать новый профиль.

    Появится новое окно, в котором можно настроить параметры открытой аутентификации. На вкладке General введите имя профиля и укажите идентификатор сети (SSID), используемый сетевой картой клиента.

    В этом примере имя профиля и SSID – wpa-shared.

    Примечание.  SSID должен соответствовать тому, который был установлен на ISR-маршрутизаторе для WPA-PSK аутентификации.

  2. В окне Profile Management выберите вкладку Security и установите переключатель опций безопасности на WPA/WPA2 Passphrase. Затем нажмите кнопку Configure, чтобы настроить идентификационную фразу для WPA.

    ISR_Authentication-9.gif

  3. Задайте предустановленный общий ключ для WPA. Ключ должен состоять из 8 – 63 символов ASCII. Нажмите ОK.

    ISR_Authentication-10.gif

Используйте этот раздел для проверки правильности работы конфигурации.

  • После того, как профиль создан, нажмите кнопку Activate во вкладке Profile Management, чтобы активировать профиль wpa-shared.

  • Проверьте успешность аутентификации с помощью ADU.

    ISR_Authentication-11.gif

Настройка беспроводного клиента для WPA-аутентификации (с EAP)

Выполните следующие шаги:

  1. В окне "Profile Management", интерфейса ADU, выберите New, чтобы создать новый профиль.

    Появится новое окно, в котором можно настроить параметры открытой аутентификации. На вкладке General введите имя профиля и укажите идентификатор сети (SSID), используемый сетевой картой клиента.

    В этом примере имя профиля и SSID – wpa-dot1x.

    Примечание.  SSID должен соответствовать тому, который был установлен на ISR-маршрутизаторе для WPA-аутентификации (с EAP).

  2. В окне Profile Management выберите вкладку Security и установите переключатель опций безопасности на WPA/WPA2/CCKM, а затем выберите соответствующий тип EAP для этого режима. В данном документе для аутентификации используется LEAP. Нажмите Configure, чтобы настроить имя пользователя и пароль для LEAP.

    ISR_Authentication-14.gif

  3. В поле настроек имени пользователя и пароля здесь выбрано Manually Prompt for User Name and Password, поэтому от клиента потребуется ввести правильные пароль и имя пользователя при попытке входа в сеть. Нажмите ОK.

    ISR_Authentication-15.gif

Используйте этот раздел для проверки правильности работы конфигурации.

  1. После создания профиля нажмите Activate на вкладке управления профилем, чтобы активировать профиль wpa-dot1x. Потребуется ввести имя пользователя и пароль для LEAP. В данном примере имя пользователя и пароль – user1. Нажмите ОK.

    ISR_Authentication-12.gif

  2. Можно видеть, что клиент успешно прошел аутентификацию.

    ISR_Authentication-13.gif

С помощью команды show dot11 associations в интерфейсе командной строки (CLI) маршрутизатора можно получить подробную информацию о состоянии соединения клиента. Ниже приведен пример.

Router#show dot11 associations

802.11 Client Stations on Dot11Radio0: 

SSID [leap] : 

MAC Address    IP address      Device        Name            Parent         State     
0040.96ac.e657 10.3.0.2        CB21AG/PI21AG WCS             self         EAP-Assoc

SSID [open] : 

SSID [pre-shared] : DISABLED, not associated with a configured VLAN

SSID [wpa-dot1x] : 

SSID [wpa-shared] : 


Others:  (not related to any ssid) 

Устранение неполадок

Команды поиска и устранения неисправностей

Можно использовать команды отладки для поиска и устранения неполадок настройки.

  • debug dot11 aaa authenticator all – включает процесс отладки аутентификационных пакетов MAC и EAP.

  • debug radius authentication – отображает согласование RADIUS между сервером и клиентом.

  • debug radius local-server packets – отображает содержание полученных и отправленных пакетов RADIUS.

  • debug radius local-server client – отображает сообщения об ошибках при неудачных аутентификациях клиентов.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 98499