Беспроводные сети / Мобильные решения : "Беспроводные сети, LAN (WLAN)"

Конфигурация WPA/WPA2 с Предварительным общим ключом: IOS 15.2JB и Позже

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает пример конфигурации для Беспроводного защищенного доступа (WPA) и WPA2 с предварительным общим ключом (PSK).

Внесенный Ishaan Sanji, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Знакомство с GUI или интерфейсом командной строки (CLI) для программного обеспечения Cisco IOS
  • Знакомство с понятиями PSK, WPA и WPA2

Используемые компоненты

Сведения в этом документе основываются на Точке доступа (AP) Cisco Aironet 1260 года, которая выполняет Cisco IOS Software Release 15.2JB.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Конфигурация с GUI

Эта процедура описывает, как настроить WPA и WPA2 с PSK в GUI программного обеспечения Cisco IOS:

  1. Установите Диспетчера шифрования для VLAN, определенной для идентификаторов наборов сервисов (SSID). Перейдите к Безопасности> Диспетчер шифрования, гарантируйте, что Шифр включен, и выберите AES CCMP + TKIP как шифр, который будет использоваться для обоих SSIDs.

    116599-config-wpa-psk-01.png

  2. Включите корректную VLAN с параметрами шифрования, определенными в Шаге 1. Перейдите к Безопасности> Диспетчер SSID и выберите SSID из Текущего Списка SSID. Этот шаг характерен и для WPA и для конфигурации WPA2.

    116599-config-wpa-psk-02.png

  3. На странице SSID, Управлении ключами набора к Обязательному, и проверка флажок Enable WPA. Выберите WPA от выпадающего списка для включения WPA. Введите Предварительный общий ключ WPA.

    116599-config-wpa-psk-03.png

  4. Выберите WPA2 от выпадающего списка для включения WPA2.

    116599-config-wpa-psk-04.png

Конфигурация с CLI

Примечания:

Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Это - одинаковая конфигурация, сделанная в CLI:

sh run
Building configuration...Current configuration : 5284 bytes
!
! Last configuration change at 04:40:45 UTC Thu Mar 11 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ish_1262_1_st
!
!
logging rate-limit console 9
enable secret 5 $1$Iykv$1tUkNYeB6omK41S18lTbQ1
!
no aaa new-model
ip cef
ip domain name cisco.com
!
!
!
dot11 syslog
!
dot11 ssid wpa
vlan 6
authentication open
authentication key-management wpa
mbssid guest-mode
wpa-psk ascii 7 060506324F41584B56
!
dot11 ssid wpa2
vlan 7
authentication open
authentication key-management wpa version 2
wpa-psk ascii 7 110A1016141D5A5E57
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 6 mode ciphers aes-ccm tkip
!
encryption vlan 7 mode ciphers aes-ccm tkip
!
ssid wpa
!
ssid wpa2
!
antenna gain 0
mbssid
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.6
encapsulation dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 subscriber-loop-control
bridge-group 6 spanning-disabled
bridge-group 6 block-unknown-source
no bridge-group 6 source-learning
no bridge-group 6 unicast-flooding
!
interface Dot11Radio0.7
encapsulation dot1Q 7
no ip route-cache
bridge-group 7
bridge-group 7 subscriber-loop-control
bridge-group 7 spanning-disabled
bridge-group 7 block-unknown-source
no bridge-group 7 source-learning
no bridge-group 7 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption vlan 6 mode ciphers aes-ccm tkip
!
encryption vlan 7 mode ciphers aes-ccm tkip
!
ssid wpa
!
ssid wpa2
!
antenna gain 0
no dfs band block
mbssid
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.6
encapsulation dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 subscriber-loop-control
bridge-group 6 spanning-disabled
bridge-group 6 block-unknown-source
no bridge-group 6 source-learning
no bridge-group 6 unicast-flooding
!
interface Dot11Radio1.7
encapsulation dot1Q 7
no ip route-cache
bridge-group 7
bridge-group 7 subscriber-loop-control
bridge-group 7 spanning-disabled
bridge-group 7 block-unknown-source
no bridge-group 7 source-learning
no bridge-group 7 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no keepalive
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface GigabitEthernet0.6
encapsulation dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 spanning-disabled
no bridge-group 6 source-learning
!
interface GigabitEthernet0.7
encapsulation dot1Q 7
no ip route-cache
bridge-group 7
bridge-group 7 spanning-disabled
no bridge-group 7 source-learning
!
interface BVI1
ip address 10.105.132.172 255.255.255.128
no ip route-cache
!
ip forward-protocol nd
ip http server
ip http secure-server

Проверка

Чтобы подтвердить, что конфигурация работает должным образом, перейдите к Ассоциации и проверьте, что связан клиент:

116599-config-wpa-psk-05.png

Можно также проверить связывание клиента в CLI с этим сообщением системного журнала:

*Mar 11 05:39:11.962: %DOT11-6-ASSOC: Interface Dot11Radio0, Station 
ish_1262_1_st 2477.0334.0c40 Associated KEY_MGMT[WPAv2 PSK]

Устранение неполадок

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

Используйте эти команды отладки для устранения проблем проблем с подключением:

  • менеджер debug dot11 aaa вводит - Эта отладка показывает квитирование, которое происходит между AP и клиентом, поскольку попарный переходный ключ (PTK) и переходный ключ группы (GTK) выполняют согласование.
  • конечный автомат средства проверки подлинности debug dot11 aaa - Эта отладка показывает различные состояния согласований, что клиент проходит, поскольку клиент связывается и аутентифицируется. Названия состояний отображают эти состояния.
  • процесс средства проверки подлинности debug dot11 aaa - Эта отладка помогает вам диагностировать проблемы с согласованной связью. Эти подробные сведения показывают, что отправляет каждый участник согласования и каков ответ другого участника. Эту команду отладки можно также использовать вместе с командой debug radius authentication .
  • ошибка подключения станции debug dot11 - Эта отладка помогает вам определять, отказывают ли клиенты соединение, и помогает вам определять причину для сбоев.


Document ID: 116599