Configuración de PEAP y EAP-FAST con ACS 5.2 y WLC

Introducción

Este documento explica cómo configurar el controlador de LAN inalámbrico (WLC) para la autenticación EAP (Extensible Authentication Protocol) con el uso de un servidor RADIUS externo como Access Control Server (ACS) 5.2.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de realizar esta configuración:

• Tener un conocimiento básico del WLC y los Lightweight Access Points (LAP)

• Tener un conocimiento funcional del servidor AAA

• Conozca a fondo las redes inalámbricas y los problemas de seguridad inalámbrica

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco 5508 WLC que ejecuta la versión de firmware 7.0.220.0

• LAP de la serie 3502 de Cisco

• Microsoft Windows 7 Native Supplicant con controlador Intel 6300-N versión 14.3

• Cisco Secure ACS que ejecuta la versión 5.2

• Switch Cisco serie 3560

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Estos son los detalles de configuración de los componentes utilizados en este diagrama:

• La dirección IP del servidor ACS (RADIUS) es 192.168.150.24.

• La dirección de la interfaz de administración y administrador de AP del WLC es 192.168.75.44.

• Los servidores DHCP dirigen 192.168.150.25.

• La VLAN 253 se utiliza a lo largo de esta configuración. Ambos usuarios se conectan al mismo SSID "goa". Sin embargo, user1 está configurado para autenticarse usando PEAP-MSCHAPv2 y user2 usando EAP-FAST.

• Los usuarios se asignarán en VLAN 253:

  • VLAN 253: 192.168.153.x/24. Gateway: 192.168.153.1

  • VLAN 75: 192.168.75.x/24. Gateway: 192.168.75.1

Suposición

• Los switches se configuran para todas las VLAN de Capa 3.

• Al servidor DHCP se le asigna un alcance DHCP.

• Existe conectividad de capa 3 entre todos los dispositivos de la red.

• El LAP ya está unido al WLC.

• Cada VLAN tiene una máscara /24.

• ACS 5.2 tiene instalado un certificado firmado automáticamente.

Configuration Steps

Esta configuración se divide en tres pasos de alto nivel:

1. Configure el servidor RADIUS.

2. Configure el WLC.

3. Configure la utilidad de cliente inalámbrico.

Configuración del servidor RADIUS

La configuración del servidor RADIUS se divide en cuatro pasos:

1. Configure los recursos de red.

2. Configurar usuarios.

3. Definir los elementos de política.

4. Aplique políticas de acceso.

ACS 5.x es un sistema de control de acceso basado en políticas. Es decir, ACS 5.x utiliza un modelo de políticas basado en reglas en lugar del modelo basado en grupos utilizado en las versiones 4.x.

El modelo de políticas basado en reglas ACS 5.x proporciona un control de acceso más potente y flexible en comparación con el enfoque basado en grupos más antiguo.

En el modelo anterior basado en grupos, un grupo define la política porque contiene y une tres tipos de información:

• Información de identidad - Esta información puede basarse en la pertenencia a grupos AD o LDAP o en una asignación estática para usuarios internos de ACS.

• Otras restricciones o condiciones: restricciones de tiempo, restricciones de dispositivos, etc.

• Permisos: niveles de privilegio de VLAN o Cisco IOS^®.

El modelo de política ACS 5.x se basa en las reglas del formulario:

• Si la condición es resultado

Por ejemplo, utilizamos la información descrita para el modelo basado en grupos:

• Si la condición de identidad, la condición de restricción y el perfil de autorización.

Como resultado, esto nos da la flexibilidad de limitar en qué condiciones se permite al usuario acceder a la red, así como qué nivel de autorización se permite cuando se cumplen condiciones específicas.

Configurar recursos de red

En esta sección, configuramos el cliente AAA para el WLC en el servidor RADIUS.

Este procedimiento explica cómo agregar el WLC como un cliente AAA en el servidor RADIUS para que el WLC pueda pasar las credenciales del usuario al servidor RADIUS.

Complete estos pasos:

1. Desde la GUI de ACS, vaya a Recursos de Red > Grupos de Dispositivos de Red > Ubicación y haga clic en Crear (en la parte inferior ).

   

2. Agregue los campos obligatorios y haga clic en Enviar.

   

   Ahora verá esta pantalla:

   

3. Haga clic en Tipo de dispositivo > Crear.

   

4. Haga clic en Submit (Enviar). Ahora verá esta pantalla:

   

5. Vaya a Recursos de Red > Dispositivos de Red y Clientes AAA.

6. Haga clic en Crear y rellene los detalles como se muestra aquí:

   

7. Haga clic en Submit (Enviar). Ahora verá esta pantalla:

   

Configurar usuarios

En esta sección, crearemos usuarios locales en ACS. Ambos usuarios (user1 y user2) se asignan en el grupo denominado "Usuarios inalámbricos".

1. Vaya a Usuarios y Almacenes de Identidad > Grupos de Identidad > Crear.

   

2. Una vez que haga clic en Enviar, la página tendrá el siguiente aspecto:

   

3. Cree usuarios user1 y user2, y asígnelos al grupo "Usuarios inalámbricos".

   1. Haga clic en Usuarios y Almacenes de Identidad > Grupos de Identidad > Usuarios > Crear.

      

   2. Del mismo modo, cree user2.

      

   La pantalla tendrá el siguiente aspecto:

   

Definir elementos de política

Verifique que Permit Access esté configurado.

Aplicación de políticas de acceso

En esta sección, seleccionaremos qué métodos de autenticación se utilizarán y cómo se configurarán las reglas. Crearemos reglas basadas en los pasos anteriores.

Complete estos pasos:

1. Vaya a Políticas de Acceso > Servicios de Acceso > Acceso a Red Predeterminado > Editar: "Acceso de red predeterminado".

   

2. Seleccione el método EAP que desea que autentiquen los clientes inalámbricos. En este ejemplo, utilizamos PEAP-MSCHAPv2 y EAP-FAST.

   

   

3. Haga clic en Submit (Enviar).

4. Verifique el grupo de identidad que ha seleccionado. En este ejemplo, utilizamos Usuarios Internos, que creamos en ACS. Guarde los cambios.

   

5. Para verificar el perfil de autorización, vaya a Políticas de acceso > Servicios de acceso > Acceso de red predeterminado > Autorización.

   Puede personalizar en qué condiciones permitirá el acceso del usuario a la red y qué perfil de autorización (atributos) pasará una vez autenticado. Esta granularidad sólo está disponible en ACS 5.x. En este ejemplo, seleccionamos Location, Device Type, Protocol, Identity Group y EAP Authentication Method.

   

6. Haga clic en Aceptar y Guardar cambios.

7. El siguiente paso es crear una regla. Si no se define ninguna regla, se permite el acceso al cliente sin ninguna condición.

   Haga clic en Crear > Regla-1. Esta regla se aplica a los usuarios del grupo "Usuarios inalámbricos".

   

8. Guarde los cambios. La pantalla tendrá el siguiente aspecto:

   

   Si desea que los usuarios que no coincidan con las condiciones se nieguen, edite la regla predeterminada para decir "denegar acceso".

9. Ahora definiremos las Reglas de selección de servicio. Utilice esta página para configurar una política simple o basada en reglas para determinar qué servicio aplicar a las solicitudes entrantes. En este ejemplo, se utiliza una política basada en reglas.

   

Configurar la WLC

La configuración requiere estos pasos:

1. Configure el WLC con los detalles del servidor de autenticación.

2. Configure las interfaces dinámicas (VLAN).

3. Configure las WLAN (SSID).

Configure el WLC con los detalles del servidor de autenticación

Es necesario configurar el WLC para que se pueda comunicar con el servidor RADIUS para autenticar a los clientes, y también para cualquier otra transacción.

Complete estos pasos:

1. Desde la GUI del controlador, haga clic en Seguridad.

2. Introduzca la dirección IP del servidor RADIUS y la clave secreta compartida utilizada entre el servidor RADIUS y el WLC.

   Esta clave secreta compartida debe ser la misma que la configurada en el servidor RADIUS.

   

Configuración de las interfaces dinámicas (VLAN)

Este procedimiento describe cómo configurar las interfaces dinámicas en el WLC.

Complete estos pasos:

1. La interfaz dinámica se configura desde la GUI del controlador, en la ventana Controller > Interfaces.

   

2. Haga clic en Apply (Aplicar).

   Esto lo lleva a la ventana de edición de esta interfaz dinámica (VLAN 253 aquí).

3. Introduzca la dirección IP y la puerta de enlace predeterminada de esta interfaz dinámica.

   

4. Haga clic en Apply (Aplicar).

5. Las interfaces configuradas tendrán el siguiente aspecto:

   

Configuración de WLAN (SSID)

Este procedimiento explica cómo configurar las WLAN en el WLC.

Complete estos pasos:

1. Desde la GUI del controlador, vaya a WLANs > Create New para crear una nueva WLAN. Se muestra la ventana Nuevas WLAN.

2. Introduzca la información de WLAN ID y WLAN SSID.

   Puede introducir cualquier nombre como el WLAN SSID. Este ejemplo utiliza goa como el SSID WLAN.

   

3. Haga clic en Aplicar para ir a la ventana Editar del objetivo WLAN.

   

   

   

   

Configuración de la utilidad del cliente inalámbrico

PEAP-MSCHAPv2 (usuario1)

En nuestro cliente de prueba, utilizamos suplicante nativo de Windows 7 con una tarjeta Intel 6300-N que ejecuta la versión de controlador 14.3. Se recomienda probar utilizando los controladores más recientes de los proveedores.

Complete estos pasos para crear un perfil en Windows Zero Config (WZC):

1. Vaya a Panel de control > Red e Internet > Administrar redes inalámbricas.

2. Haga clic en la pestaña Agregar.

3. Haga clic en Crear manualmente un perfil de red.

   

4. Añada los detalles tal como se configuraron en el WLC.

   Nota: El SSID distingue entre mayúsculas y minúsculas.

5. Haga clic en Next (Siguiente).

   

6. Haga clic en Cambiar configuración de conexión para verificar dos veces la configuración.

   

7. Asegúrese de tener PEAP habilitado.

   

   

8. En este ejemplo, no estamos validando el certificado del servidor. Si marca esta casilla y no puede conectarse, intente desactivar la función y vuelva a realizar la prueba.

   

9. También puede utilizar sus credenciales de Windows para iniciar sesión. Sin embargo, en este ejemplo no vamos a usar eso. Click OK.

   

10. Haga clic en Advanced settings para configurar Username y Password.

    

    

    

La utilidad Cliente ya está lista para conectarse.

EAP-FAST (usuario2)

En nuestro cliente de prueba, utilizamos suplicante nativo de Windows 7 con una tarjeta Intel 6300-N que ejecuta la versión de controlador 14.3. Se recomienda probar utilizando los controladores más recientes de los proveedores.

Complete estos pasos para crear un perfil en WZC:

1. Vaya a Panel de control > Red e Internet > Administrar redes inalámbricas.

2. Haga clic en la pestaña Agregar.

3. Haga clic en Crear manualmente un perfil de red.

   

4. Añada los detalles tal como se configuraron en el WLC.

   Nota: El SSID distingue entre mayúsculas y minúsculas.

5. Haga clic en Next (Siguiente).

   

6. Haga clic en Cambiar configuración de conexión para verificar dos veces la configuración.

   

7. Asegúrese de que EAP-FAST está habilitado.

   Nota: De forma predeterminada, WZC no tiene EAP-FAST como método de autenticación. Debe descargar la utilidad de un proveedor externo. En este ejemplo, como se trata de una tarjeta Intel, tenemos Intel PROSet instalado en el sistema.

   

   

8. Habilite Permitir aprovisionamiento PAC automático y asegúrese de que Validar certificado de servidor no esté activado.

   

9. Haga clic en la ficha Credenciales de usuario e ingrese las credenciales del usuario2. También puede utilizar sus credenciales de Windows para iniciar sesión. Sin embargo, en este ejemplo no vamos a usar eso.

   

10. Click OK.

    

La utilidad Cliente ya está lista para conectarse para el usuario 2.

Nota: Cuando el usuario 2 intenta autenticarse, el servidor RADIUS enviará una PAC. Acepte el PAC para completar la autenticación.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Verificar usuario1 (PEAP-MSCHAPv2)

Desde la GUI del WLC, vaya a Monitor > Clients, y seleccione la dirección MAC.

Estadísticas RADIUS del WLC:

(Cisco Controller) >show radius auth statistics
Authentication Servers:
Server Index..................................... 1
Server Address................................... 192.168.150.24
Msg Round Trip Time.............................. 1 (msec)
First Requests................................... 8
Retry Requests................................... 0
Accept Responses................................. 1
Reject Responses................................. 0
Challenge Responses.............................. 7
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops...................................... 0

Registros ACS:

1. Complete estos pasos para ver los recuentos de aciertos:

   1. Si verifica los registros dentro de los 15 minutos de la autenticación, asegúrese de actualizar el recuento de aciertos.

      

   2. Tiene una pestaña para Hit Count en la parte inferior de la misma página.

      

2. Haga clic en Supervisión e informes y aparecerá una ventana emergente Nueva. Vaya a Authentications -Radius -Today. También puede hacer clic en Detalles para verificar qué regla de selección de servicio se aplicó.

   

Verificar usuario2 (EAP-FAST)

Desde la GUI del WLC, vaya a Monitor > Clients, y seleccione la dirección MAC.

Registros ACS:

1. Complete estos pasos para ver los recuentos de aciertos:

   1. Si verifica los registros dentro de los 15 minutos de la autenticación, asegúrese de actualizar el recuento de HIT.

      

   2. Tiene una pestaña para Hit Count en la parte inferior de la misma página.

      

2. Haga clic en Supervisión e informes y aparecerá una ventana emergente Nueva. Vaya a Authentications -Radius -Today. También puede hacer clic en Detalles para verificar qué regla de selección de servicio se aplicó.

   

Troubleshoot

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

1. Si experimenta algún problema, ejecute estos comandos en el WLC:

   • debug client <mac add of the client>

   • debug aaa all enable

   • show client detail <mac addr> - Verifique el estado del administrador de políticas.

   • show radius auth statistics - Verifique la razón de la falla.

   • debug disable-all - Desactive las depuraciones.

   • clear stats radius auth all - Clear radius statistics en el WLC.

2. Verifique los registros en el ACS y observe la razón de la falla.

Información Relacionada

• Soporte Técnico y Documentación - Cisco Systems

Historial de revisiones