Беспроводные сети / Мобильные решения : Системы фиксированного беспроводного доступа

Настройка облегченной точку доступа как запрашивающего устройства 802.1x

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (16 сентября 2008) | Отзыв


Содержание


Введение

Этот документ описывает, как настроить облегченную точку доступа как 802.1x соискатель для аутентификации против сервера RADIUS.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Cisco Aironet 1130, 1240, или точка Доступа через series 1250 года

  • WLC, который выполняет IOS® Version 5.1

  • Cisco Catalyst 3560 Series Switches с Cisco IOS Release 12.2 (35) SE5

  • Cisco Catalyst 3750 Series Switches с Cisco IOS Release 12.2 (40) SE

  • Cisco Catalyst 4500 Series Switches с Cisco IOS Release 12.2 (40) SG

  • Cisco Catalyst 6500 Series Switches с Supervisor Engine 32, который выполняет Cisco IOS Release 12.2 (33) SXH

Используемые компоненты

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условное обозначение технических терминов Cisco".

Общие сведения

LAP имеют установленные сертификаты X.509 фабрики, подписанные секретным ключом, которые врезаются в устройство во время изготовления. LAP используют этот сертификат для аутентификации с WLC при процессе соединения. Для получения дополнительной информации обратитесь к Обеспечению Плоскости Управления LWAPP Развертывания документа контроллеры беспроводных LAN Серии Cisco 440X. Этот метод описывает другой способ подтвердить подлинность LAP. С Версией 5.1 WLC можно настроить 802.1x аутентификация между точкой доступа Cisco Aironet и коммутатором Cisco. Точка доступа действует как 802.1x соискатель и заверена коммутатором против сервера RADIUS (ACS), который использует EAP-FAST с анонимной инициализацией PAC. Как только это настроено для 802.1x аутентификация, коммутатор не позволяет любому трафику кроме 802.1x трафик проходить через порт, пока устройство, связанное с портом, не подтверждает подлинность успешно. Точка доступа может быть заверена или прежде, чем она присоединится к WLC или после того, как она присоединилась к WLC, когда вы настраиваете 802.1x на коммутаторе после того, как LAP присоединяется к WLC.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в данном документе.

 Примечание.Для поиска дополнительной информации о командах, упоминаемых в данном документе, используйте средство Command Lookup Tool (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети.

/image/gif/paws/107946/LAP_802.1x-1.gif

Конфигурации

Этот документ использует эти IP-адреса:

  • IP-адрес коммутатора 10.77.244.210

  • IP-адрес сервера ACS 10.77.244.196

  • IP-адрес WLC 10.77.244.204

Настройте LAP

В этом разделе вам предоставляют информацию по настройке LAP как 802.1x соискатель.

Выполните следующие действия:

  1. Удостоверьтесь, что точка доступа загружена Легковесным Образом для восстановления.

  2. Подключите LAP с коммутатором.

  3. LAP проходит через процесс соединения и регистрируется в WLC. Это может быть проверено из меню Wireless WLC как показано на рисунке 1.

    Рис. 1

    LAP_802.1x-2.gif

  4. Нажмите точку доступа, и нажмите вкладку Credentials.

  5. Под 802.1x заголовок Учетных данных Соискателя, установите Глобальный учетный флажок Замены для установки 802.1x имя пользователя и пароль для этой точки доступа. Можно также установить имя пользователя и пароль вместе во все точки доступа, которые присоединяются к WLC с меню Global Configuration. Рисунок 2 показывает, как установить 802.1x учетные данные для точки доступа.

    Рис. 2

    LAP_802.1x-3.gif

    Примечание. Можно также установить 802.1x, имя пользователя и пароль для точки доступа с config ap dot1xuser команды WLC CLI добавляет <password> пароля <user> имени пользователя Cisco_AP (Название AP).

  6. Нажмите Применяются для совершения замен.

  7. Нажмите Сохраняют конфигурацию для сохранения учетных данных.

    Примечание. После того, как сохраненный, эти учетные данные сохранены через перезагрузки AP и WLC. Они изменяются только, когда LAP присоединяется к новому WLC. LAP принимает имя пользователя и пароль, которые были настроены на новом WLC.

  8. Если точка доступа еще не присоединилась к WLC, вы должны консоль в LAP, чтобы установить учетные данные и использовать эту команду CLI в режиме включения:

    LAP#lwapp ap dot1x username <username> password <password> 

    Примечание. Эта команда доступна только для точек доступа, которые выполняют 5.1 образов для восстановления.

Настройте коммутатор

Коммутатор действует как средство проверки подлинности для LAP и подтверждает подлинность LAP против сервера RADIUS. Если коммутатор не имеет совместимого программного обеспечения, обновите коммутатор. На CLI коммутатора введите эти команды для включения 802.1x аутентификация на порту коммутатора:

switch#configure terminal
                   switch(config)dot1x system-auth-control
                   switch(config)aaa new-model
                   switch(config)aaa authentication dot1x default group radius
                   switch(config)radius server host 10.77.244.196 key cisco


!--- configures the radius server with shared secret


                   switch(config)interface gigabitEthernet 1/0/43


!--- 43 is the port number on which the access point is connected.


                   switch(config-if)switchport mode access
                   switch(config-if)dot1x pae authenticator


!--- configures dot1x authentication


                   switch(config-if)dot1x port-control auto



!--- With this command switch initiates the 802.1x authentication. 

Настройка RADIUS-сервера

LAP заверен с EAP-FAST. Удостоверьтесь, что сервер RADIUS, который вы используете, поддерживает этот метод EAP. В данном примере сервер ACS используется для аутентификации. Выполните эти шаги на сервере ACS:

  1. Запустите экран admin ACS.

  2. Настройте имя пользователя и пароль LAP в базе данных ACS. Чтобы добавить учетную запись пользователя в ACS, обратитесь к разделу Управления пользователями документа Руководство пользователя для Cisco Secure Access Control Server 4.2.

  3. Настройте Коммутатор как клиента AAA к серверу ACS. На экране admin ACS нажмите меню Network Configuration.

  4. Под разделом клиента AAA нажмите Add Новую Запись. Введите эти параметры:

    1. Введите IP-адрес коммутатора в поле IP-адреса Клиента AAA.

    2. Введите общий секретный ключ коммутатора. Это должно быть точно тем же на коммутаторе и сервере ACS.

    3. Выберите RADIUS Protocol в поле Используемой аутентификации. По умолчанию это - TACACS +.

      Примечание. Проверьте сервер ACS для описания Протоколов RADIUS.

      См. рис. 3.

      Рис. 3

      LAP_802.1x-4.gif

  5. Нажмите Подвергаются +, Применяются для сохранения клиента AAA.

  6. EAP-FAST должен быть включен на сервере RADIUS. Нажмите меню System Configuration в левой стороне. Нажмите Опцию настройки глобальной аутентификации.

    Рис. 4

    LAP_802.1x-5.gif

  7. Нажмите EAP - БЫСТРАЯ Конфигурация как показано на рисунке 4.

  8. На странице EAP-FAST Settings установите Позволять флажок EAP-FAST. LAP использует EAP-FAST с анонимной инициализацией PAC. Проверьте Позволение Анонимной внутриполосной коробки инициализации PAC. Для получения дополнительной информации сошлитесь на Аутентификацию EAP-FAST документа с Примером конфигурации Внешнего сервера RADIUS и контроллерами беспроводных LAN.

    Рис. 5

    LAP_802.1x-6.gif

  9. Удостоверьтесь, что EAP-GTC и EAP-MSCHAPv2 проверены под, Позволяют внутренние методы. Рисунок 5 показывает пример конфигурации шагов 8 и 9.

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Интерпретатор выходных данных – OIT (только для зарегистрированных пользователей) поддерживает ряд команд show. Посредством OIT можно анализировать выходные данные команд show.

Один раз 802.1x включен на порту коммутатора, всем трафике кроме 802.1x, трафик заблокирован через порт. LAP, который уже зарегистрирован к WLC, разъединен. Только после успешного 802.1x аутентификация является другим трафиком, позволенным проходить. Успешная регистрация LAP к WLC после 802.1x включена на коммутаторе, указывает, что аутентификация LAP успешна.

Можно также проверить это от ACS. От основного экрана ACS нажмите меню Reports и Authentication. Нажмите опцию Failed Attempts. Если аутентификация успешна, вы находите, что Опознавательное сообщение об ошибках с пользователем EAP-FAST кода было обеспечено с новым PAC с IP-адресом коммутатора в поле IP-АДРЕСА NAS как показано на рисунке 6. Можно также подтвердить с Датой и времей аутентификации.

Рис. 6

/image/gif/paws/107946/LAP_802.1x-7.gif

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

  1. Используйте команду ping и проверку, если сервер ACS достижим от коммутатора.

  2. Удостоверьтесь, что коммутатор настроен как клиент AAA на сервере ACS.

  3. Гарантируйте, что общий секретный ключ является тем же между коммутатором и сервером ACS.

  4. Проверьте, включен ли EAP-FAST на сервере ACS.

  5. Проверьте для соответствия программного обеспечения на устройствах.

  6. Проверьте, настроены ли 802.1x учетные данные для LAP и являются тем же на сервере ACS.

    Примечание. Имя пользователя и пароль учитывает регистр.

Команды для устранения неполадок

Нет в настоящее время никаких команд отладки, доступных для этой функции.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 107946