Conectividad inalámbrica LAN usando un ISR con el ejemplo de la configuración de la encripción WEP y de la autenticación LEAP

Introducción

Este documento explica cómo configurar un Cisco 870 Series Integrated Services Router (ISR) para conectividad de LAN Inalámbrica con cifrado WEP y autenticación LEAP.

La misma configuración se aplica a cualquier otro modelo de la serie de la Tecnología inalámbrica de Cisco ISR.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

• Conocimiento de cómo configurar los parámetros básicos de las Cisco 870 Series ISR.

• Conocimiento de cómo configurar el adaptador de red inalámbrica de cliente 802.11a/b/g usando utilidad Aironet Desktop (ADU).

Refiera a la guía de instalación y configuración inalámbrica de los adaptadores del cliente LAN de Cisco Aironet 802.11a/b/g (CB21AG y PI21AG), publique 2.5 para la información sobre cómo configurar el adaptador del cliente 802.11a/b/g.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco 871W ISR que funciona con el Software Release 12.3(8)YI1 de Cisco IOS®

• Computadora portátil con utilidad Aironet Desktop la versión 2.5

• adaptador del cliente del 802.11 a/b/g que funciona con la versión de firmware 2.5

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Diagrama de la red

Este documento utiliza esta configuración de la red.

En esta disposición, el cliente LAN inalámbrico se asocia al 870 Router. El servidor interno del Protocolo de configuración dinámica de host (DHCP) en el 870 Router se utiliza para proporcionar a una dirección IP a los clientes de red inalámbrica. La encripción WEP se activa en los 870 ISR y el cliente de la red inalámbrica (WLAN). La autenticación LEAP se utiliza para autenticar a los usuarios de red inalámbrica y la característica local del servidor de RADIUS en el 870 Router se utiliza para validar las credenciales.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configuración del 871W Router

Complete estos pasos para configurar el 871W ISR como Punto de acceso para validar las peticiones de la asociación de los clientes de red inalámbrica.

1. Configure el Integrated Routing and Bridging (IRB) y ponga el grupo del puente.

   Pulse estos comandos del modo de configuración global para activar IRB.

   WirelessRouter<config>#bridge irb
   
   
   !--- Enables IRB.
   
   WirelessRouter<config>#bridge 1 protocol ieee
    
    !--- Defines the type of Spanning Tree Protocol as ieee.
   
   WirelessRouter<config>#bridge 1 route ip
   
   
   !--- Enables the routing of the specified protocol in a bridge group.
   
   

2. Configure la interfaz virtual puenteada (BVI).

   Asigne una dirección IP al BVI. Pulse estos comandos del modo de configuración global.

   WirelessRouter<config>#interface bvi1
   
    !--- Enter interface configuration mode for the BVI.
   
   WirelessRouter<config-if>#ip address 172.16.1.100 255.255.0.0
   
   
   

   Refiera a la configuración de grupo del puente en la sección de los Puntos de acceso y de los puentes de usar los VLA N con el equipo del Aironet de red inalámbrica de Cisco para más información sobre las funciones de los grupos del puente en los Puntos de acceso.

3. Configure la característica interna del servidor del DHCP en el 871W ISR.

   La característica interna del servidor del DHCP en el router se puede utilizar para asignar los IP Addresses a los clientes de red inalámbrica que se asocian al router. Complete estos comandos en el modo de configuración global.

   WirelessRouter<config>#ip dhcp excluded-address 172.16.1.100 172.16.1.100
   
   
   !--- Excludes IP addresses from the DHCP pool. !--- This address is used on the BVI interface, so it is excluded.
   
   
   WirelessRouter<config>#ip dhcp pool 870-ISR
   
   WirelessRouter<dhcp-config>#network 172.16.1.0 255.255.0.0
   
   

   Nota: El adaptador del cliente se debe también configurar para validar los IP Addresses de un servidor del DHCP.

4. Configure el 871W ISR como servidor de RADIUS local.

   En el modo de configuración global, pulse estos comandos de configurar el 871W ISR como servidor de RADIUS local.

   WirelessRouter<config>#aaa new-model
   
   !--- Enable the authentication, authorization, and accounting !--- (AAA) access control model.
   
   
   WirelessRouter<config>#radius-server local
   
   !--- Enables the 871 wireless-aware router as a local !--- authentication server and enters into configuration !--- mode for the authenticator.
   
   WirelessRouter<config-radsrv)#nas 172.16.1.100 key Cisco
   
   
   !--- Adds the 871 router to the list of devices that use !--- the local authentication server.
   
   WirelessRouter<config-radsrv>#user ABCD password ABCD
   
   WirelessRouter<config-radsrv)#user XYZ password XYZ
   
   
   !--- Configure two users ABCD and XYZ on the local RADIUS server.
   
   WirelessRouter<config-radsrv)#exit
   WirelessRouter<config>#radius-server host 172.16.1.100 auth-port 1812 acct-port 1813 key Cisco
   
   
   !--- Specifies the RADIUS server host.
   
   

   Nota: Utilice los puertos 1812 y 1813 para la autenticación y explicar al servidor de RADIUS local.

   WirelessRouter<config>#aaa group server radius rad_eap
   
   
   !--- Maps the RADIUS server to the group rad_eap 
   . 
   WirelessRouter<config-sg-radius>#server 172.16.1.100 auth-port 1812 acct-port 1813
   
   
   !--- Define the server that falls in the group rad_eap.
   
   WirelessRouter<config>#aaa authentication login eap_methods group rad_eap
   
   
   !--- Enable AAA login authentication.
   
   

5. Configure la interfaz radio.

   La configuración de la interfaz radio implica la configuración de los diversos parámetros inalámbricos en el router incluyendo el SSID, el modo de encripción, el tipo de la autenticación, la velocidad, y el papel del router inalámbrico. Este ejemplo utiliza a la Test llamada SSID.

   Pulse estos comandos de configurar la interfaz radio en el modo de configuración global.

   WirelessRouter<config>#interface dot11radio0
   
   !--- Enter radio interface configuration mode.
   
   WirelessRouter<config-if>#ssid Test
   
   
   !--- Configure an SSID test.
   
   irelessRouter<config-ssid>#authentication open eap eap_methods
   
   WirelessRouter<config-ssid>#authentication network-eap eap_methods
   
   
   !--- Expect that users who attach to SSID 'Test' !--- are requesting authentication with the type 128 !--- Network Extensible Authentication Protocol (EAP) !--- authentication bit set in the headers of those requests. !--- Group these users into a group called 'eap_methods'.
   
   WirelessRouter<config-ssid>#exit
   
   !--- Exit interface configuration mode.
   
   WirelessRouter<config-if>#encryption mode wep mandatory
   
   !--- Enable WEP encryption.
   
   WirelessRouter<config-if>#encryption key 1 size 128 1234567890ABCDEF1234567890
   
   
   !--- Define the 128-bit WEP encryption key.
   
   WirelessRouter<config-if>#bridge-group 1
   
   WirelessRouter<config-if>#no shut
   
   !--- Enables the radio interface.
   
   

   El 870 Router valida las peticiones de la asociación de los clientes de red inalámbrica una vez que se hace este procedimiento.

   Cuando usted configura el tipo de la autenticación EAP en el router, se recomienda para elegir la red-EAP y para abrirse con EAP como tipos de la autenticación para evitar cualquier problema de la autenticación.

   WirelessRouter<config-ssid>#authentication network-eap eap_methods
   
   WirelessRouter<config-ssid>#authentication open eap eap_methods
   
   

   Nota: Este documento asume que la red tiene solamente los clientes de red inalámbrica de Cisco.

   Nota: Use la herramienta Command Lookup Tool (clientes registrados solamente) para encontrar más información sobre los comandos usados en este documento.

Configuración del adaptador del cliente

Complete estos pasos para configurar el adaptador del cliente. Este procedimiento crea un nuevo perfil llamado 870-ISR en el ADU, como un ejemplo. Este procedimiento también utiliza la prueba como el SSID y activa la autenticación LEAP en el adaptador del cliente.

1. Haga clic nuevo para crear un nuevo perfil en la ventana de administración del perfil en el ADU. Ingrese el nombre del perfil y el SSID que el adaptador del cliente utiliza conforme a la ficha general.

   En este ejemplo, el nombre del perfil es 870-ISR y el SSID es prueba.

   Nota: El SSID debe hacer juego exactamente el SSID que usted configuró en el 871W ISR. El SSID es con diferenciación entre mayúsculas y minúsculas.

   

2. Vaya a la ficha de seguridad, seleccione el 802.1x y elija el SALTO del tipo menú del 802.1x EAP.

   Esta acción activa la autenticación LEAP en el adaptador del cliente.

   

3. El tecleo configura para definir las configuraciones del SALTO.

   Esta configuración elige la opción incita automáticamente para el nombre de usuario y contraseña. Esta opción le permite ingresar manualmente el Nombre de usuario y la contraseña cuando ocurre la autenticación LEAP.

   

4. AUTORIZACIÓN del tecleo para salir la ventana de administración del perfil.

5. El tecleo activa para activar este perfil en el adaptador del cliente.

   

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Una vez configuran, activan el adaptador del cliente y al 870 Router el 870-ISR del perfil en el adaptador del cliente para verificar la configuración.

Ingrese el Nombre de usuario y la contraseña cuando las visualizaciones de la ventana de contraseña de la red inalámbrica del ingresar. Éstos deben corresponder a los que está configurados en el 871W ISR. Uno de los perfiles usados en este ejemplo es el Nombre de usuario ABCD y la contraseña ABCD.

La ventana de estado de la autenticación LEAP aparece. Esta ventana verifica los credenciales de usuario contra el servidor de RADIUS local.

Controle el estado actual ADU para verificar que el cliente utiliza la encripción WEP y la autenticación LEAP.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice el OIT para ver un análisis de la salida del comando show.

• muestre la asociación dot11 — Verifica la configuración en el 870 Router.

  WirelessRouter#show dot11 association
  
  802.11 Client Stations on Dot11Radio0:
  
  SSID [Test]:
  
  MAC Address     IP Address     Device         Name     Parent    State
  0040.96ac.dd05   172.16.1.99   CB21AG/PI21AG  LAPTOP-1  self    EAP-Associated
  
  Others:  (not related to any ssid)

• muestre el atascamiento DHCP IP — Verifica que el cliente tenga una dirección IP a través del servidor del DHCP.

  WirelessRouter#show ip dhcp binding
  Bindings from all pools not associated with VRF:
  IP address        Client-ID/       Lease expiration      Type
                  Hardware address/
                  User name
  172.16.1.99     0040.96ac.dd05     Feb 6 2006 10:11 PM  Automatic

Troubleshooting

Esta sección proporciona a la información de troubleshooting relevante a esta configuración.

1. Fije el método en el SSID para abrirse para inhabilitar temporalmente la autenticación.

   Esto elimina la posibilidad de los problemas del Radiofrecuencia (RF) que previenen la autenticación satisfactoria.

   • Utilice los comandos no authentication open eap eap_methods, no authentication network-eap eap_methods y authentication open del CLI.

   Si el cliente se asocia con éxito, después el RF no contribuye al problema de asociación

2. Controle si el claves WEP configuradas en el router inalámbrico hacen juego con las claves WEP configuradas en los clientes.

   Si hay una discordancía en las claves WEP, los clientes no pueden comunicar con el router inalámbrico.

3. Verifique que las contraseñas del secreto compartido estén sincronizadas entre el router inalámbrico y el servidor de la autenticación.

Usted puede también utilizar estos comandos debug de resolver problemas su configuración.

• authenticator todo de la depuración dot11 aaa — Activa el depuración los paquetes de la autenticación MAC y EAP.

• autenticación de RADIUS de la depuración — Visualiza las negociaciones RADIUS entre el servidor y el cliente.

• paquetes del servidor local del radio de la depuración — Visualiza el contenido de los paquetes RADIUS se envían y se reciben que.

• cliente del servidor local del radio de la depuración — Visualiza los mensajes de error sobre las autenticaciones de cliente falladas.

Información Relacionada

• Algoritmos de encripción y tipos de la autenticación
• Tipos inalámbricos de la autenticación en ISR fijo con el ejemplo de la configuración de SDM
• Tipos inalámbricos de la autenticación en un ejemplo fijo de la configuración ISR
• Guía de configuración de red inalámbrica del router de acceso de Cisco
• Router inalámbrico 1800 ISR con el DHCP y el ejemplo internos de la configuración de la autenticación abierta
• Página de Soporte de Red Inalámbrica
• Soporte Técnico y Documentación - Cisco Systems