Беспроводные сети / Мобильные решения : "Беспроводные сети, LAN (WLAN)"

Примеры настройки аутентификации на контроллерах беспроводной LAN

11 августа 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (9 июля 2010) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Условные обозначения
Аутентификация на WLC
     Решения уровня 1
     Решения уровня 2
     Решения уровня 3
Примеры конфигураций
     Решения безопасности уровня 1
     Решения безопасности уровня 2
     Решения безопасности уровня 3
Поиск и устранение неполадок
     Команды отладки
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе приведены примеры конфигураций различных типов аутентификационных методов уровня 1, уровня 2 и уровня 3 на контроллерах беспроводной LAN (WLC; Wireless LAN Controller).

Предварительные условия

Требования

Прежде чем использовать эту конфигурацию, убедитесь, что выполняются следующие требования:

  • Основные сведения о конфигурации "облегченных" точек доступа и WLC Cisco

  • Основные сведения о стандартах безопасности 802.11i

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco 2006 WLC, использующий микропрограммное обеспечение версии 4.0

  • LAP Cisco серии 1000

  • Адаптер беспроводного клиента (WCA) 802.11a/b/g Cisco с микропрограммой версии 2.6.

  • Сервер Cisco Secure ACS версии 3.2

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены в исходной (заданной по умолчанию) конфигурации. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.

Условные обозначения

Более подробные сведения о применяемых в документе обозначениях см. в статье Условные обозначения, используемые в технической документации Cisco.

Аутентификация на WLC

Решение по безопасности Единой беспроводной сети Cisco (UWN) объединяет потенциально сложные компоненты безопасности точек доступа уровней 1, 2 и 3 в простой менеджер политик, который регулирует общесистемные политики безопасности на основе беспроводной локальной сети (WLAN). Решение по безопасности Cisco (UWN) предоставляет простой, единый и систематизированный набор приложений по управлению безопасностью.

Эти механизмы безопасности могут быть применены на контроллерах WLC.

Решения уровня 1

Ограниченный доступ для клиентов, основанный на количестве последовательных неудачных попыток доступа.

Решения уровня 2

None Authentication (отключение аутентификации) — выбор данного параметра в меню Layer 2 Security (безопасность уровня 2) отменяет выполнение аутентификации уровня 2 во WLAN. Это соответствует открытой аутентификации стандарта 802.11.

Static WEP (статический протокол защиты данных) — при статическом протоколе защиты данных (WEP) все AP и клиентские беспроводные сетевые карты в одной WLAN должны использовать единый шифровальный ключ. Каждая станция-отправитель зашифровывает содержимое каждого кадра с помощью WEP-ключа перед отправкой, и станция-получатель расшифровывает его с помощью идентичного ключа при приеме.

802.1x — настраивает сеть WLAN на использование аутентификации стандарта 802.1x. Использование IEEE 802.1X предоставляет эффективную среду для аутентификации и контроля трафика пользователей в защищаемой сети, а также для динамического изменения ключей шифрования. 802.1X осуществляет привязку Расширяемого протокола аутентификации (EAP) к проводным и беспроводным носителям и поддерживает различные способы аутентификации.

Static WEP + 802.1x — данный параметр безопасности уровня 2 включает как 802.1x, так и статический WEP. Для входа в сеть клиенты могут использовать аутентификацию как Static WEP, так и 802.1x.

Wi-Fi Protected Access (WPA) (защищенный доступ Wi-Fi) — WPA или WPA1 и WPA2 являются основанными на стандартах решениями безопасности от объединения производителей Wi-Fi Alliance, предоставляющего системы защиты данных и контроля доступа для систем WLAN. WPA1 совместим со стандартом IEEE 802.11i, но был внедрен до утверждения стандартов. WPA2 – это реализация Wi-Fi Alliance утвержденного стандарта IEEE 802.11i.

По умолчанию, для защиты данных WPA1 использует протокол шифрования с использованием временных ключей (TKIP) и контроль целостности сообщений (MIC). WPA2 использует более безопасный улучшенный стандарт шифрования, использующий режим счетчика с протоколом (AES-CCMP). По умолчанию WPA1 и WPA2 используют стандарт 802.1X для управления ключами аутентификации. Также доступны следующие варианты: PSK, CCKM, и CCKM+802.1x. При выборе CCKM, Cisco предоставляет доступ только для клиентов с поддержкой CCKM. При выборе CCKM+802.1x, Cisco предоставляет доступ и клиентам без поддержки CCKM.

CKIP — протокол проверки целостности ключа Cisсo (CKIP) – это разработанный компанией Cisсo протокол для шифрования носителей 802.11. CKIP увеличивает уровень безопасности 802.11 в режиме инфраструктуры, используя перестановку ключей, MIC и последовательный номер сообщения. Программное обеспечение версии 4.0 поддерживает протокол CKIP со статическим ключом. Для правильной работы данной функции необходимо активировать информационные элементы Aironet (IE) для WLAN. Параметры протокола CKIP, установленные во WLAN, являются обязательными для всех клиентов, осуществляющих попытки связи. Если WLAN настроена и на перестановку ключей протокола CKIP, и на MMH MIC, клиент должен поддерживать обе функции. Если WLAN настроена только на одну из этих функций, клиент должен поддерживать только функцию CKIP. WLC поддерживают только статический CKIP (схожий со статическим WEP). WLC не поддерживают CKIP с 802.1x (динамический CKIP).

Решения уровня 3

None — при выборе данной опции в Layer 3 security menu (Меню безопасности уровня 3) аутентификация уровня 3 не будет применяться во WLAN.

Примечание. Примеры конфигурации для отключения аутентификации уровней 3 и 2 описаны в разделе Отключение аутентификации.

Веб-политика (Веб-аутентификация и Web pass-through (сквозное соединение)) — веб-аутентификация обычно используется пользователями, которым необходимо организовать сеть с гостевым доступом. В сети с гостевым доступом поддерживается исходная аутентификация на основе имени пользователя и пароля, но защита последующего трафика не требуется. Типичные развертывания могут включать установку "hot spot" (точек общего доступа), таких как T-Mobile или Starbucks.

Для контроллеров Cisco WLC веб-аутентификация выполняется локально. Создается интерфейс, а затем с ним связывается WLAN или идентификатор набора служб (SSID).

Веб-аутентификация обеспечивает простую аутентификацию без запрашивающей стороны или клиента. Помните, что веб-аутентификация не обеспечивает шифрование данных. Веб-аутентификация обычно используется в качестве простого гостевого доступа для так называемых "hot spot" (точек общего доступа) или кампусов, где важна просто возможность подключения.

Технология "pass-through" — это решение, с помощью которого беспроводные пользователи перенаправляются к приемлемой странице политики использования без аутентификации при подключении к Интернету. Данное перенаправление выполняется самим WLC. Требуется лишь настроить контроллер WLC на использование функции "passthrough" для веба, которая в основном представляет собой веб-аутентификацию без необходимости ввода учетных данных.

VPN Passthrough – это функция, позволяющая клиенту установить туннель только с определенным VPN-сервером. Следовательно, если вам необходим безопасный доступ к заданному или другому VPN-серверу, а также к Интернет, функция VPN-Passthrough на котроллере должна быть отключена.

В следующих разделах приведены примеры конфигураций для каждого механизма аутентификации.

Примеры конфигураций

Перед настройкой WLAN и типов аутентификации, необходимо провести основную настройку WLC и зарегистрировать "облегченные" точки доступа на WLC. Данный документ предполагает, что основная настройка WLC проведена и "облегченные" точки доступа зарегистрированы на WLC. Новому пользователю, который пытается настроить WLC на выполнение основных операций с LAP, следует обратиться к разделу Регистрация упрощенных точек доступа (LAP) в контроллере беспроводной сети (WLC).

Решения безопасности уровня 1

Клиенты беспроводной сети могут быть ограничены в доступе, исходя из количества последовательных неудачных попыток входа в сеть. По умолчанию исключение клиента происходит при следующих условиях. Данные значения не могут быть изменены.

  • Последовательный отказ в аутентификации 802.11 (5 последовательных попыток, 6 попытка исключается)

  • Последовательный отказ в связи 802.11 (5 последовательных попыток, 6 попытка исключается)

  • Последовательный отказ в аутентификации 802.1x (3 последовательных попытки, 4 попытка исключается)

  • Отказ внешнего сервера политики

  • Попытка использования присвоенного другому устройству IP-адреса (кража IP-адреса или его повторное использование)

  • Последовательная веб-аутентификация (3 последовательных попытки, 4-ая попытка исключается)

В данном окне показаны Политики исключения клиентов. Для открытия данного окна нажмите Security в верхнем меню и выберите Client Exclusion Policies в меню слева, расположенном под разделом Wireless Protection Policies.

wlc-authenticate1.gif

Может быть выполнена настройка таймера исключения. Параметры исключения могут быть включены или отключены на каждом контроллере в отдельности. Таймер исключения может быть включен или отключен для WLAN.

wlc-authenticate2.gif

Значение максимального количества одновременных входов для одного пользователя, установленное по умолчанию, равно 0. Можно ввести любое значение от 0 до 8. Этот параметр может быть установлен в SECURITY > AAA > User Login Policies и позволяет определить максимальное количество одновременных входов для одного клиента от 1 до 8 или 0 – не ограничено. Ниже приведен пример:

wlc-authenticate2a.gif

Решения безопасности уровня 2

Отсутствие аутентификации

В данном примере рассмотрена WLAN, настроенная на отключение аутентификации.

Примечание. Данный пример также применим для отключения аутентификации уровня 3.

wlc-authenticate3a.gif

Настройка WLC с отключением аутентификации

Для настройки контроллера данным образом выполните следующие действия:

  1. Нажмите WLANs в графическом интерфейсе контроллера для создания WLAN.

    Откроется окно WLANs. В данном окне находится список WLAN, настроенных на контроллере.

  2. Нажмите New для настройки новой WLAN.

  3. Введите WLAN ID и SSID.

    В данном примере имя сети – NullAuthentication и WLAN ID – 1.

    wlc-authenticate4.gif

  4. Нажмите кнопку Apply.

  5. В окне WLAN > Edit укажите параметры WLAN.

  6. В раскрывающемся меню Layer 2 and Layer 3 Security выберите None.

    В результате выполнения данного действия отключается аутентификация для WLAN. Выберите другие параметры согласно схеме сети. В данном примере использованы параметры по умолчанию.

    wlc-authenticate5.gif

  7. Нажмите кнопку Apply.

Настройка клиента беспроводной сети с отключением аутентификации

Для настройки клиента беспроводной сети данным образом выполните следующие действия:

Примечание. В данном документе используется клиентский адаптер Aironet 802.11a/b/g, использующий микропрограммное обеспечение версии 3.5. При настройке клиентского адаптера подразумевается использование ADU версии 3.5.

  1. Чтобы создать новый профиль, нажмите вкладку Profile Management в ADU.

  2. Нажмите New.

  3. После открытия окна Profile Management (General) для определения Profile Name, Client Name и SSID выполните следующие действия:

    1. В поле Profile Name введите название профиля.

      В данном примере в качестве названия профиля используется NoAuthentication.

    2. В поле Client Name введите имя клиента.

      Имя клиента используется для идентификации беспроводного клиента во WLAN. В данной конфигурации в качестве имени клиента используется Client 1.

    3. В Network Names укажите SSID, который будет использоваться в этом профиле.

      Здесь указывается тот же SSID, что был настроен для WLC. В данном примере, SSID является NullAuthentication.

      wlc-authenticate6.gif

  4. Перейдите на вкладку Security.

  5. Выберите None в области Set Security Options. Нажмите Apply.

    wlc-authenticate7.gif

    При активированном SSID, беспроводной клиент подключается ко WLAN без аутентификации, как показано на рисунке.

    wlc-authenticate8.gif

Статический WEP

В данном примере показана WLAN, настроенная с использованием статического WEP:

wlc-authenticate9a.gif

Настройка WLC на использование статического WEP.

Для настройки контроллера данным образом выполните следующие действия:

  1. Нажмите WLANs в графическом интерфейсе контроллера для создания WLAN.

    Откроется окно WLANs. В данном окне находится список WLAN, настроенных на контроллере.

  2. Нажмите New для настройки новой WLAN.

  3. Введите WLAN ID и SSID.

    В данном примере имя WLAN – StaticWep, и WLAN ID – 2.

    wlc-authenticate10.gif

  4. Нажмите кнопку Apply.

  5. В окне WLAN > Edit укажите параметры WLAN.

    1. В раскрывающемся меню Layer 2 выберите Static WEP.

      Это действие активирует статический WEP для WLAN.

    2. В области параметров Static WEP выберите WEP key size и введите статический ключ WEP-шифрования.

      Размер ключа может быть 40, 104 или 128 битов. Индекс ключа изменяется от 1 до 4. Для каждой WLAN может быть использован один уникальный индекс ключа WEP. Т. к. возможно наличие только четырех индексов WEP-ключа, для статического шифрования WEP уровня 2 могут быть настроены только четыре WLAN.

      wlc-authenticate11.gif

      В данном примере используется ключ 1234567890abcdef размером 104 бита.

      wlc-authenticate12.gif

  6. Выберите другие параметры согласно схеме сети.

    В данном примере использованы параметры по умолчанию.

  7. Нажмите кнопку Apply.

    Примечание. WEP всегда представлен в шестнадцатеричной форме. При вводе ключа WEP в виде символов ASCII строка ключа конвертируется в шестнадцатеричный формат, использующийся для шифрования пакета. Разработчики не применяют какого-либо стандартного способа конвертирования шестнадцатеричной системы в систему символов ASCII. Некоторые применяют метод заполнения. Для максимальной совместимости между продуктами различных разработчиков используйте шестнадцатеричный формат ключей WEP.

    Примечание. При необходимости включить аутентификацию по общему ключу для WLAN, установите флажок Allow Shared-Key Authentication в области Static WEP Parameters. Таким образом, если клиент уже настроен на аутентификацию по общему ключу, данный тип аутентификации с последующим WEP-шифрованием пакетов будет задействован для WLAN.

Настройка клиента беспроводной сети на использование статического WEP

Для настройки клиента беспроводной сети данным образом выполните следующие действия:

  1. Чтобы создать новый профиль, нажмите вкладку Profile Management в ADU.

  2. Нажмите New.

  3. После открытия окна Profile Management (General) для определения Profile Name, Client Name и SSID выполните следующие действия:

    1. В поле Profile Name введите название профиля.

      В данном примере в качестве названия профиля используется StaticWEP.

    2. В поле Client Name введите имя клиента.

      Имя клиента используется для идентификации беспроводного клиента во WLAN. В данной конфигурации в качестве имени клиента используется Client 2.

    3. В Network Names укажите SSID, который будет использоваться в этом профиле.

      Здесь указывается тот же SSID, что был настроен для WLC. В данном примере, SSID является StaticWEP.

      wlc-authenticate13.gif

  4. Перейдите на вкладку Security.

  5. Выберите Pre-Shared Key (Static WEP) в области Set Security Options.

  6. Нажмите Configure и определите ключ WEP и его размер.

    Данные настройки должны совпадать с настройками ключа WEP-шифрования WLC для данной WLAN.

  7. Нажмите кнопку Apply.

    wlc-authenticate14.gif

    wlc-authenticate15.gif

    При активированном SSID, клиент подключается ко WLAN и пакеты зашифровываются с использованием ключа WEP.

    wlc-authenticate16.gif

Аутентификация 802.1x

В данном примере показана WLAN, настроенная с аутентификацией стандарта 802.1x.

wlc-authenticate17a.gif

Настройка сети для аутентификации стандарта 802.1x

Для настройки контроллера данным образом выполните следующие действия:

  1. Нажмите WLANs в графическом интерфейсе контроллера для создания WLAN.

    Откроется окно WLANs. В данном окне находится список WLAN, настроенных на контроллере.

  2. Нажмите New для настройки новой WLAN.

    В данном примере имя сети – 802.1x, и WLAN ID – 3.

    wlc-authenticate18.gif

  3. Нажмите кнопку Apply.

  4. В окне WLAN > Edit укажите параметры WLAN.

    1. В раскрывающемся меню Layer 2 выберите 802.1x.

      Это действие включает аутентификацию стандарта 802.1x для WLAN.

    2. В области RADIUS server parameters, выберите RADIUS-сервер, который будет использоваться для аутентификации учетных записей клиента.

    3. Выберите другие параметры согласно схеме сети.

      В данном примере использованы параметры по умолчанию.

  5. Нажмите кнопку Apply.

    wlc-authenticate19.gif

    Примечание. При выборе 802.1x в области Layer 2 security, CCKM не может быть использован. При выборе WPA 1 или WPA 2 в качестве метода безопасности уровня 2 в области Auth Key Management могут быть настроены следующие параметры:

    • 802.1x+CCKM

    • 802.1x

    • CCKM

    • PSK

    Примечание. При выборе 802.1x поддерживаются только клиенты с 802.1x. При выборе CCKM поддерживаются только клиенты с CCKM, которые перенаправляются для аутентификации на внешний сервер. При выборе 802.1x+CCKM поддерживаются клиенты как с CCKM, так и без CCKM (CCKM дополнительно). При выборе PSK общий ключ используется для WLC и клиента. Все стандарты настроены на преимущественное использование по сравнению с предварительными стандартами. Например WPA/WPA2 имеет преимущество перед CCKM при одновременном использовании.

    Тип EAP-аутентификации, используемый для проверки клиентов, зависит от типа EAP, установленного в настройках RADIUS-сервера и беспроводных клиентов. При включении 802.1x на WLC, WLC допускает обмен всеми типами пакетов EAP между "облегченными" точками доступа (LAP), беспроводными клиентами и RADIUS-сервером.

    В данных документах представлены примеры конфигураций при некоторых типах EAP-аутентификации.

Настройка клиента беспроводной сети для аутентификации стандарта 802.1x

Для настройки клиента беспроводной сети данным образом выполните следующие действия:

  1. Чтобы создать новый профиль, нажмите вкладку Profile Management в ADU.

  2. Нажмите New.

  3. После открытия окна Profile Management (General) для определения Profile Name, Client Name и SSID выполните следующие действия:

    1. В поле Profile Name введите название профиля.

      В данном примере в качестве названия профиля используется EAPAuth.

    2. В поле Client Name введите имя клиента.

      Имя клиента используется для идентификации беспроводного клиента во WLAN. В данной конфигурации в качестве имени клиента используется Client 3.

    3. В Network Names укажите SSID, который будет использоваться в этом профиле.

      Здесь указывается тот же SSID, что был настроен для WLC. В данном примере, SSID является 802.1x.

      wlc-authenticate20.gif

  4. Перейдите на вкладку Security.

  5. Выберите 802.1x в области Set Security Options.

  6. В раскрывающемся меню the 802.1x EAP Type (Тип EAP для 802.1x) выберите используемый тип EAP.

  7. Нажмите Configure, чтобы настроить параметры, свойственные для данного типа EAP.

    wlc-authenticate21.gif

    wlc-authenticate22.gif

  8. Нажмите кнопку Apply.

    При активированном SSID, беспроводной клиент подключается ко WLAN с использованием аутентификации 802.1x. Для сессий будут использованы динамические ключи WEP.

    wlc-authenticate22a.gif

Статический WEP + Аутентификация стандарта 802.1x

В данном примере показана WLAN, настроенная с аутентификацией 802.1x. и статическим WEP.

wlc-authenticate23a.gif

Для настройки контроллера данным образом выполните следующие действия:

  1. Нажмите WLANs в графическом интерфейсе контроллера для создания WLAN.

    Откроется окно WLANs. В данном окне находится список WLAN, настроенных на контроллере.

  2. Нажмите New для настройки новой WLAN.

  3. Введите WLAN ID и SSID.

    В данном примере имя WLAN – WEP+802.1x, и WLAN ID – 4.

    wlc-authenticate24.gif

  4. Нажмите кнопку Apply.

  5. В окне WLAN > Edit укажите параметры WLAN.

    1. В раскрывающемся меню Layer 2 выберите Static-WEP+802.1x.

      Это действие активирует аутентификацию стандарта 802.1x и статический WEP-протокол для WLAN.

    2. В области RADIUS server parameters, выберите RADIUS-сервер, который будет использоваться для аутентификации учетных записей клиента с использованием 802.1x.

    3. В области Static WEP parameters, выберите размер ключа WEP и введите статический ключ WEP-шифрования.

    4. Выберите другие параметры согласно схеме сети.

      В данном примере использованы параметры по умолчанию.

      wlc-authenticate25.gif

Настройка клиента беспроводной сети на использование статического WEP и стандарта 802.1x

Информацию по настройке клиента беспроводной сети см. в разделах Настройка клиента беспроводной сети для аутентификации стандарта 802.1x и Настройка клиента беспроводной сети на использование статического WEP.

После создания профилей клиентов, клиенты, настроенные на использование статического WEP, связываются с "облегченными" точками доступа. Используйте SSID WEP+802.1x для подключения к сети.

Аналогичным образом клиенты, настроенные на использование аутентификации 802.1x, аутентифицируются с помощью EAP и входят в сеть с тем же SSID WEP+802.1x.

Защищенный доступ Wi-Fi

В данном примере показана WLAN, настроенная на использование WPA (Wi-Fi Protected Access; защищенный доступ Wi-Fi) с 802.1x.

wlc-authenticate26a.gif

Настройка WLC для WPA

Для настройки контроллера данным образом выполните следующие действия:

  1. Нажмите WLANs в графическом интерфейсе контроллера для создания WLAN.

    Откроется окно WLANs. В данном окне находится список WLAN, настроенных на контроллере.

  2. Нажмите New для настройки новой WLAN.

    В данном примере имя сети – WPA и WLAN ID – 5.

    wlc-authenticate27.gif

  3. Нажмите кнопку Apply.

  4. В окне WLAN > Edit укажите параметры WLAN.

    1. В области Security Policies выберите WPA1+WPA2 в раскрывающемся списке Layer 2 Security.

    2. В области WPA1+WPA2 Parameters, установите флажок WPA1 Policy для включения WPA1, флажок WPA2 Policy для включения WPA2, или оба флажка для включения WPA1 и WPA2.

      По умолчанию WPA1 и WPA2 отключены. Если WPA1 и WPA2 отключены, точки доступа передают, в своих параметрах и ответах на запросы, информационные элементы только для выбранного вами способа управления ключами аутентификации.

    3. Установите флажок AES для включения AES-шифрования данных или флажок TKIP для включения TKIP-шифрования данных для WPA1, WPA2 или для обоих алгоритмов.

      По умолчанию установлены следующие значения: TKIP для WPA1 и AES для WPA2.

    4. В раскрывающемся списке Auth Key Mgmt выберите один из способов управления:

      • 802.1X

      • CCKM

      • PSK

      • 802.1X+CCKM

      При выборе 802.1x поддерживаются только клиенты с 802.1x. При выборе CCKM поддерживаются только клиенты с CCKM, которые перенаправляются для аутентификации на внешний сервер. При выборе 802.1x+CCKM поддерживаются клиенты как с CCKM, так и без CCKM (CCKM дополнительно). При выборе PSK общий ключ используется для WLC и клиента. Все стандарты настроены на преимущественное использование по сравнению с предварительными стандартами. Например WPA/WPA2 имеет преимущество перед CCKM при одновременном использовании.

      В этом примере используется 802.1x.

      wlc-authenticate28.gif

      wlc-authenticate29.gif

      Примечание. При выборе PSK, в раскрывающемся списке PSK Format (Формат PSK) выберите ascii или hex и введите общий ключ в пустую ячейку. Общие ключи WPA должны содержать от 8 до 63 текстовых символов ASCII или 64 шестнадцатеричных символа.

  5. Нажмите кнопку Apply, чтобы сохранить изменения.

Настройка клиента беспроводной сети для WPA

Для настройки клиента беспроводной сети данным образом выполните следующие действия:

  1. В окне Profile Management на ADU необходимо нажать New, чтобы создать новый профиль.

    Отобразится новое окно для создания конфигурации WPA.

  2. На вкладке General введите название профиля и SSID клиентского адаптера.

    В этом примере названием профиля и SSID является WPA. SSID должен соответствовать SSID, настроенному на WLC для WPA.

    wlc-authenticate30.gif

  3. Перейдите на вкладку Security, выберите WPA/WPA2/CCKM и выберите нужный тип EAP в меню WPA/WPA2/CCKM типа EAP.

    Это действие активизирует WPA.

    wlc-authenticate31.gif

  4. Нажмите Configure для настройки параметров EAP, специфичных для выбранного типа EAP.

    wlc-authenticate32.gif

  5. Нажмите кнопку Apply.

    При активации профиля, клиент проходит аутентификацию с помощью 802.1x и при удачном ее завершении происходит соединение с WLAN. Проверьте информацию в окне ADU Current Status для того, чтобы убедиться, что клиент использует TKIP-шифрование (шифрование по умолчанию, используемое WPA1) и EAP-аутентификацию.

    wlc-authenticate33.gif

CKIP

В данном примере показана WLAN, настроенная с протоколом CKIP.

wlc-authenticate34.gif

Настройка WLC для использования Протокола проверки целостности ключа Cisco (CKIP)

Для настройки контроллера данным образом выполните следующие действия:

  1. Нажмите WLANs в графическом интерфейсе контроллера для создания WLAN.

    Откроется окно WLANs. В данном окне находится список WLAN, настроенных на контроллере.

  2. Нажмите New для настройки новой WLAN.

    В данном примере имя сети – CKIP и WLAN ID – 6.

    wlc-authenticate35.gif

  3. В окне WLAN > Edit укажите параметры WLAN.

    wlc-authenticate35a.gif

    1. В раскрывающемся меню Layer 2 выберите CKIP.

      Это действие активизирует протокол CKIP для WLAN.

    2. В области CKIP parameters выберите размер и индекс ключа и введите статический ключ шифрования.

      Размер ключа может быть 40, 104 или 128 битов. Индекс ключа изменяется от 1 до 4. Для каждой WLAN может быть использован один уникальный индекс ключа WEP. Т. к. возможно наличие только четырех индексов WEP-ключа, для статического WEP уровня 2 шифрования могут быть настроены только четыре WLAN.

    3. Выберите вариант MMH Mode и/или Key Permutation для CKIP.

      Для корректной работы CKIP должны быть выбраны оба или один из этих параметров. Если данные параметры не выбраны, WLAN останется в деактивированном состоянии.

    В данном примере используется ключ 1234567890abcdef размером 104 бита.

    wlc-authenticate36.gif

  4. Выберите другие параметры согласно схеме сети.

    В данном примере использованы параметры по умолчанию.

    wlc-authenticate37.gif

  5. Нажмите кнопку Apply.

    Примечание. CKIP функционирует на точках доступа 1100, 1130, и 1200 , но не на 1000. Для работы данной функции должен быть активирован Aironet IE. CKIP увеличивает ключи шифрования до 16 байт.

Настройка клиента беспроводной сети для CKIP.

Для настройки клиента беспроводной сети данным образом выполните следующие действия:

  1. Для создания нового профиля перейдите на вкладку Profile Management в ADU и нажмите New.

  2. После открытия окна Profile Management (General) для определения Profile Name, Client Name и SSID выполните следующие действия:

    1. В поле Profile Name введите название профиля.

      В данном примере в качестве названия профиля используется CKIP.

    2. В поле Client Name введите имя клиента.

      Имя клиента используется для идентификации беспроводного клиента во WLAN. В данной конфигурации в качестве имени клиента используется Client 6.

    3. В Network Names укажите SSID, который будет использоваться в этом профиле.

      Здесь указывается тот же SSID, что был настроен для WLC. В данном примере идентификатором SSID является CKIP.

      wlc-authenticate38.gif

  3. Перейдите на вкладку Security.

    wlc-authenticate39.gif

  4. Выберите Pre-Shared Key (Static WEP) в области Set Security Options. Нажмите Configure и определите ключ WEP и его размер.

    Данные настройки должны совпадать с настройками ключа WEP-шифрования WLC для данной WLAN.

    wlc-authenticate40.gif

  5. Нажмите кнопку Apply.

    При активированном SSID, клиент обменивается информацией с LAP и WLC для использования CKIP при шифровании пакетов.

    wlc-authenticate41.gif

Решения безопасности уровня 3

Веб-политика (Веб-аутентификация и Web Passthrough)

Дополнительную информацию об активации веб-аутентификации в сети WLAN см. в разделе Пример конфигурации контроллера беспроводной LAN с веб-аутентификацией.

Дополнительную информацию о настройке внешней веб-аутентификации и аутентификации Web passthrough во WLAN см. в разделе Пример конфигурации контроллера беспроводной LAN с внешней веб-аутентификацией.

VPN Passthrough

Дополнительную информацию о настройке VPN passthrough во WLAN см. в разделе Пример конфигурации VPN (виртуальная частная сеть) клиента для работы через беспроводную LAN с помощью WLC.

Поиск и устранение неполадок

Команды устранения неполадок

Вы можете использовать эти команды debug для устранения неполадок конфигурации.

Отладка веб-аутентификации:

  • debug mac addr <MAC-адрес клиента xx:xx:xx:xx:xx:xx> - настраивает отладку MAC-адреса для клиента.

  • debug aaa all enable - настраивает отладку всех сообщений AAA.

  • debug pem state enable - настраивает отладку конечного автомата менеджера политик

  • debug pem events enable - настраивает отладку событий менеджера политик.

  • debug dhcp message enable - используйте эту команду для отображения отладочной информации о работе клиентов протокола динамической конфигурации хоста (DHCP) и наблюдения за состоянием пакетов DHCP.

  • debug dhcp packet enable - используйте эту команду для отображения информации пакетного уровня DHCP.

  • debug pm ssh-appgw enable - настраивает отладку шлюзов приложений.

  • debug pm ssh-tcp enable - настраивает отладку обработки пакетов TCP менеджера политик.

Отладка WEP: Для WEP нет команды отладки, т.к. она производится на точке доступа, включите debug dot11 all enable.

Отладка кэширования 802.1X/WPA/RSN/PMK:

  • debug mac addr <MAC-адрес клиента xx:xx:xx:xx:xx:xx> - настраивает отладку MAC-адреса для клиента.

  • debug dot1x all enable - используйте эту команду для отображения отладочной информации 802.1x.

  • debug dot11 all enable - используйте эту команду для запуска отладки функций радиоблока.

  • debug pem events enable - настраивает отладку событий менеджера политик.

  • debug pem state enable - настраивает отладку конечного автомата менеджера политик

  • debug dhcp message enable - используйте эту команду для отображения отладочной информации о работе клиентов протокола динамической конфигурации хоста (DHCP) и наблюдения за состоянием пакетов DHCP.

  • debug dhcp packet enable - используйте эту команду для отображения информации пакетного уровня DHCP.

  • debug mobility handoff enable (для роуминга в пределах коммутатора) - настраивает отладку пакетов мобильности.

  • show client detail <МАС-адрес> - отображает подробную информацию о клиенте по MAC-адресу. Проверьте настройки тайм-аутов сеансов WLAN и RADIUS.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 82135