Беспроводные сети / Мобильные решения : "Беспроводные сети, LAN (WLAN)"

Пример конфигурации беспроводного подключения к сети с использованием маршрутизатора ISR с WEP-шифрованием и LEAP-аутентификацией

19 августа 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (7 апреля 2008) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Схема сети
     Условные обозначения
Конфигурация маршрутизатора 871W
Конфигурация клиентского адаптера
Проверка
Устранение неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе описывается конфигурация маршрутизатора Integrated Services Router (ISR) Cisco серии 870 для подключения к беспроводной сети с WEP-шифрованием и LEAP-аутентификацией.

Данная конфигурация применима ко всем маршрутизаторам Cisco ISR Wireless Series.

Предварительные условия

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем использовать эту конфигурацию:

  • Общие сведения по настройке основных параметров маршрутизатора ISR Cisco серии 870.

  • Общие сведения по настройке клиентского адаптера 802.11a/b/g Wireless Client Adapter с использованием программного обеспечения Aironet Desktop Utility (ADU).

Дополнительные сведения по настройке 802.11a/b/g Client Adapter см. в документе Руководство по установке и настройке беспроводных сетевых карт Cisco Aironet 802.11a/b/g (CB21AG и PI21AG), Версия 2.5.

Используемые компоненты

Сведения, содержащиеся в данном документе, относятся к программному и аппаратному обеспечению следующих версий.

  • Маршрутизатор Cisco 871W ISR, использующий программное обеспечение Cisco IOS® Software версии 12.3(8)YI1.

  • Ноутбук с программным обеспечением Aironet Desktop Utility версии 2.5

  • Клиентский адаптер 802.11 a/b/g с микропрограммным обеспечением версии 2.5

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены с чистой (заданной по умолчанию) конфигурацией. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.

Схема сети

В данном документе использованы параметры данной сети.

В данной настройке беспроводной клиент локальной сети ассоциируется с маршрутизатором 870. Внутренний сервер протокола динамической конфигурации хоста (DHCP) маршрутизатора 870 используется для предоставления IP-адресов беспроводным клиентам. WEP-шифрование включено на маршрутизаторе 870 ISR и клиенте беспроводной сети. LEAP-аутентификация используется для проверки подлинности клиентов беспроводной сети и локальный RADIUS сервер маршрутизатора 870 используется для проверки учетных записей.

wlan-870isr-1.gif

Условные обозначения

Дополнительную информацию о применяемых в документе обозначениях см. в документе Условные обозначения, используемые в технической документации Cisco.

Конфигурация маршрутизатора 871W

Для конфигурации маршрутизатора 871W ISR в качестве точки доступа для принятия запросов ассоциации беспроводных клиентов выполните следующие действия.

  1. Настройте встроенную систему маршрутизации и режима моста (IRB) и группу соединений моста.

    Для включения IRB введите в режиме глобальной конфигурации данные команды.

    WirelessRouter<config>#bridge irb
    
    !--- Включает IRB.
    
    WirelessRouter<config>#bridge 1 protocol ieee
     
    !--- Определяет тип протокола связывающего дерева как ieee.
    
    WirelessRouter<config>#bridge 1 route ip
    
    !--- Включает маршрутизацию указанного протокола в группе соединений моста.
    
    
  2. Настройте виртуальный интерфейс моста (BVI).

    Присвойте IP-адрес BVI. Введите в глобальном режиме конфигурации данные команды.

    WirelessRouter<config>#interface bvi1
    
    !--- Введите режим конфигурации интерфейса для BVI.
    
    WirelessRouter<config-if>#ip address 172.16.1.100 255.255.0.0
    
    
    

    Дополнительные сведения по функционированию групп соединений моста в точках доступа см. в разделе Конфигурация групп моста на точках доступа и мостах документа Использование VLAN с беспроводным оборудованием Cisco Aironet Wireless.

  3. Настройте внутренний DHCP-сервер маршрутизатора 871W ISR.

    Внутренний DHCP-сервер маршрутизатора может быть использован для присвоения IP-адресов беспроводным клиентам, ассоциированным с маршрутизатором. Выполните в глобальном режиме конфигурации данные команды.

    WirelessRouter<config>#ip dhcp excluded-address 172.16.1.100 172.16.1.100
    
    !--- Исключает IP-адреса из пула DHCP. 
    !--- Данный адрес используется в интерфейсе BVI, т.е. исключается.
    
    
    WirelessRouter<config>#ip dhcp pool 870-ISR
    
    WirelessRouter<dhcp-config>#network 172.16.1.0 255.255.0.0
    
    

    Примечание. Адаптер клиента должен быть настроен на получение IP-адресов с DHCP-сервера.

  4. Настройте маршрутизатор 871W ISR в качестве локального RADIUS сервера.

    Для настройки маршрутизатора 871W ISR в качестве локального RADIUS сервера введите данные команды в глобальном режиме конфигурации.

    WirelessRouter<config>#aaa new-model
    !--- Включает аутентификацию, авторизацию и учет 
    !--- (AAA) модуль контроля доступа.
    
    
    WirelessRouter<config>#radius-server local
    !--- Включает "радио-осведомленный" маршрутизатор 871 в качестве локального 
    !--- сервера аутентификации и входит в режим конфигурации 
    !--- аутентификатора.
    
    WirelessRouter<config-radsrv)#nas 172.16.1.100 key Cisco
    
    !--- Добавляет маршрутизатор 871 в список устройств, использующих 
    !--- локальный сервер аутентификации.
    
    WirelessRouter<config-radsrv>#user ABCD password ABCD
    
    WirelessRouter<config-radsrv)#user XYZ password XYZ
    
    !--- Осуществляет конфигурацию двух пользователей, ABCD и XYZ на локальном сервере RADIUS.
    
    WirelessRouter<config-radsrv)#exit
    WirelessRouter<config>#radius-server host 172.16.1.100 auth-port 1812 acct-port 1813 key Cisco
    
    !--- Определяет хост сервера RADIUS.
    
    

    Примечание. Используйте порты 1812 и 1813 для аутентификации и учета для локального сервера RADIUS.

    WirelessRouter<config>#aaa group server radius rad_eap
    
    !--- Включает сервер RADIUS в группу rad_eap
    
    . 
    WirelessRouter<config-sg-radius>#server 172.16.1.100 auth-port 1812 acct-port 1813
    
    !--- Определяет сервер принадлежащий группе rad_eap.
    
    WirelessRouter<config>#aaa authentication login eap_methods group rad_eap
    
    !--- Включает аутентификацию AAA имени пользователя.
    
    
  5. Настройте радиоинтерфейс.

    Конфигурация радиоинтерфейса включает в себя настройку различных параметров беспроводной связи маршрутизатора, включая SSID, режим шифрования, тип аутентификации, скорость и роль беспроводного маршрутизатора. В данном примере используется SSID под именем Test.

    Введите данные команды для настройки радиоинтерфейса в глобальном режиме конфигурации.

    WirelessRouter<config>#interface dot11radio0
    !--- Осуществляет вход в режим конфигурации радиоинтерфейса.
    
    WirelessRouter<config-if>#ssid Test
    
    !--- Настраивает тест SSID.
    
    irelessRouter<config-ssid>#authentication open eap eap_methods
    
    WirelessRouter<config-ssid>#authentication network-eap eap_methods
    
    !--- Ожидает от привязанных к SSID 'Test' пользователей 
    !--- запроса аутентификации типа 128.
    !--- Расширяемый сетевой протокол аутентификации (EAP) 
    !--- набор битов аутентификации в заголовках данных запросов. 
    !--- Объединяет этих пользователей в группе 'eap_methods'.
    
    WirelessRouter<config-ssid>#exit
    !--- Выход из режима настройки интерфейса.
    
    WirelessRouter<config-if>#encryption mode wep mandatory
    !--- Включает WEP-шифрование.
    
    WirelessRouter<config-if>#encryption key 1 size 128 1234567890ABCDEF1234567890
    
    !--- Определяет 128-битный ключ WEP-шифрования.
    
    WirelessRouter<config-if>#bridge-group 1
    
    WirelessRouter<config-if>#no shut
    !--- Включает радиоинтерфейс.
    
    

    По завершении данной операции маршрутизатор 870 принимает запросы ассоциации от беспроводных клиентов.

    При настройке типа EAP-аутентификации на маршрутизаторе рекомендуется выбирать оба типа Network-EAP и Open with EAP во избежание каких-либо аутентификационных проблем.

    WirelessRouter<config-ssid>#authentication network-eap eap_methods
    
    WirelessRouter<config-ssid>#authentication open eap eap_methods
    
    

    Примечание. В данном документе предполагается использование только клиентов Cisco Wireless.

    Примечание. Чтобы получить дополнительную информацию о применяемых в данном документе командах, используйте Средство поиска команд (только для зарегистрированных пользователей).

Конфигурация клиентского адаптера

Для настройки клиентского адаптера выполните данные действия. Данное действие создает новый профиль 870-ISR в ADU в качестве примера. Данное действие также использует Test в качестве сетевого имени и включает LEAP-аутентификацию на клиентском адаптере.

  1. Нажмите New для создания нового профиля в окне Profile Management в ADU. Введите название профиля и сетевое имя, используемое клиентским адаптером и указанное во вкладке General.

    В данном примере названием профиля является 870-ISR, а сетевым именем (SSID) является Test.

    Примечание. Сетевое имя (SSID) должно в точности совпадать с именем, указанным в настройка маршрутизатора 871W ISR. При сравнении сетевых имен учитывается регистр символов.

    wlan-870isr-2.gif

  2. Перейдите на вкладку Security, выберите 802.1x и LEAP в меню 802.1x EAP Type.

    Данное действие включает LEAP-аутентификацию на клиентском адаптере.

    wlan-870isr-3.gif

  3. Нажмите Configure для настройки LEAP-аутентификации.

    В данной конфигурации выбран параметр Automatically Prompt for Username and Password. Данный параметр позволяет вводить имя и пароль вручную при прохождении LEAP-аутентификации.

    wlan-870isr-4.gif

  4. Нажмите OK для закрытия окна Profile Management.

  5. Нажмите Activate для применения данного профиля на клиентском адаптере.

    wlan-870isr-5.gif

Проверка

Используйте этот раздел для того, чтобы подтвердить, что ваша конфигурация работает правильно.

По завершении настройки клиентского адаптера и маршрутизатора 870 активируйте профиль 870-ISR на клиентском адаптере для проверки конфигурации.

Введите имя пользователя и пароль в окне Enter Wireless Network Password. Имя пользователя и пароль должны соответствовать указанным в настройках маршрутизатора 871W-ISR. Один из профилей, используемых в данном примере, имеет имя пользователя ABCD и пароль ABCD.

wlan-870isr-6.gif

Откроется окно LEAP Authentication Status. В данном окне сверяются учетные записи пользователей с локальным RADIUS сервером.

wlan-870isr-7.gif

На вкладке Current Status приложения ADU удостоверьтесь, что клиент использует WEP-шифрование и LEAP-аутентификацию.

wlan-870isr-8.gif

Приложение Интерпретатор выходных данных (только для зарегистрированных пользователей) (OIT) поддерживает некоторые команды show. Используйте приложение OIT для просмотра анализа выходных данных команды show.

  • show dot11 association — проверяет конфигурацию маршрутизатора 870.

    WirelessRouter#show dot11 association
    
    802.11 Client Stations on Dot11Radio0:
    
    SSID [Test]:
    
    MAC Address     IP Address     Device         Name     Parent    State
    0040.96ac.dd05   172.16.1.99   CB21AG/PI21AG  LAPTOP-1  self    EAP-Associated
    
    Others:  (not related to any ssid)
  • show ip dhcp binding — проверяет, что IP-адрес клиента присвоен DHCP-сервером.

    WirelessRouter#show ip dhcp binding
    Bindings from all pools not associated with VRF:
    IP address        Client-ID/       Lease expiration      Type
                    Hardware address/
                    User name
    172.16.1.99     0040.96ac.dd05     Feb 6 2006 10:11 PM  Automatic

Устранение неполадок

В данном разделе представлена информация по устранению неполадок, касающихся данной конфигурации.

  1. Установите способ Open в настройках SSID для временного отключения аутентификации.

    Это исключает возможность влияния проблем с радиосвязью на успешное прохождение аутентификации.

    • Введите команды no authentication open eap eap_methods, no authentication network-eap eap_methods и authentication open в интерфейсе командной строки (CLI).

    Если клиент успешно ассоциируется, проблема аутентификации заключается не в радиосвязи

  2. Убедитесь, что WEP-ключи, указанные в настройках маршрутизатора, совпадают с WEP-ключами клиентов.

    Если несовпадение присутствует, связь с маршрутизатором для клиентов будет недоступна.

  3. Убедитесь, что общие секретные пароли синхронизированы между маршрутизатором и сервером аутентификации.

Для устранения неполадок в вашей конфигурации вы также можете использовать данные команды отладки.

  • debug dot11 aaa authenticator all — включает процесс отладки аутентификационных пакетов MAC и EAP.

  • debug radius authentication — отображает связь RADIUS между сервером и клиентом.

  • debug radius local-server packets — отображает содержание полученных и отправленных пакетов RADIUS.

  • debug radius local-server client — отображает сообщения об ошибках при неудачных аутентификациях клиентов.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 69011