Configurer les types d’authentification sans fil sur un ISR fixe

Introduction

Ce document donne un exemple de configuration qui explique comment configurer différents types d’authentification de couche 2 sur un routeur à configuration fixe intégré Cisco Wireless pour la connectivité sans fil avec les commandes CLI.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

• Connaissance des paramètres de base du routeur à services intégrés Cisco (ISR)

• Connaissance de la configuration de l'adaptateur client sans fil 802.11a/b/g avec l'utilitaire de bureau Aironet (ADU)

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Cisco 877W ISR qui exécute le logiciel Cisco IOS^® Version 12.3(8)YI1

• Ordinateur portable avec Aironet Desktop Utility version 3.6

• Adaptateur client 802.11 a/b/g qui exécute la version 3.6 du microprogramme

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Les routeurs à configuration fixe des services intégrés Cisco prennent en charge une solution LAN sans fil sécurisée, abordable et facile à utiliser qui associe mobilité et flexibilité aux fonctionnalités professionnelles requises par les professionnels des réseaux. Avec un système de gestion basé sur la plate-forme logicielle Cisco IOS, les routeurs Cisco agissent comme des points d'accès et sont des émetteurs-récepteurs LAN sans fil conformes à la norme IEEE 802.11a/b/g.

Vous pouvez configurer et surveiller les routeurs à l'aide de l'interface de ligne de commande (CLI), du système de gestion basé sur navigateur ou du protocole SNMP (Simple Network Management Protocol). Ce document décrit comment configurer le routeur de service intégré pour la connectivité sans fil avec les commandes CLI.

Configuration

Cet exemple montre comment configurer ces types d'authentification sur un routeur de configuration fixe intégré sans fil Cisco avec des commandes CLI.

• Authentification ouverte

• Authentification 802.1x/EAP (Extensible Authentication Protocol)

• Authentification WPA-PSK (Wi-Fi Protected Access Pre-Shared Key)

• Authentification WPA (avec EAP)

Remarque : ce document ne se concentre pas sur l'authentification partagée car il s'agit d'un type d'authentification moins sécurisé.

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Cette configuration utilise le serveur RADIUS local sur le routeur de service intégré sans fil pour authentifier les clients sans fil avec l'authentification 802.1x.

Configurer l'authentification ouverte

L'authentification ouverte est un algorithme d'authentification Null. Le point d'accès autorise toute demande d'authentification. L'authentification ouverte permet l'accès au réseau de n'importe quel périphérique. Si aucun chiffrement n'est activé sur le réseau, tout périphérique qui connaît le SSID du point d'accès peut accéder au réseau. Lorsque le cryptage WEP est activé sur un point d'accès, la clé WEP elle-même devient un moyen de contrôle d'accès. Si un périphérique ne dispose pas de la clé WEP correcte, même si l'authentification réussit, le périphérique ne peut pas transmettre de données via le point d'accès. Il ne peut pas non plus décrypter les données envoyées depuis le point d'accès.

Cet exemple de configuration explique simplement une authentification ouverte simple. La clé WEP peut être rendue obligatoire ou facultative. Cet exemple configure la clé WEP comme facultative de sorte que tout périphérique qui n'utilise pas WEP puisse également s'authentifier et s'associer à ce point d'accès.

Référez-vous à Authentification ouverte pour plus d'informations.

Cet exemple utilise cette configuration pour configurer l'authentification ouverte sur le routeur de service intégré.

• Nom SSID : "ouvert"

• VLAN 1

• Plage de serveurs DHCP internes : 10.1.0.0/16

Remarque : Par souci de simplicité, cet exemple n'utilise aucune technique de chiffrement pour les clients authentifiés.

Exécutez les actions suivantes sur le routeur :

1. Configurez le Routage et pontage intégrés (IRB) et installez le groupe de pont

2. Configuration de l'interface virtuelle pontée (BVI)

3. Configurer le SSID pour l'authentification ouverte

4. Configurer le serveur DHCP interne pour les clients sans fil de ce VLAN

Configurez le Routage et pontage intégrés (IRB) et installez le groupe de pont

Effectuez ces actions :

1. Activez IRB dans le routeur.

   router<configure>#bridge irb

   Remarque : si tous les types de sécurité doivent être configurés sur un seul routeur, il suffit d'activer IRB une seule fois globalement sur le routeur. Il n'est pas nécessaire de l'activer pour chaque type d'authentification individuel.

2. Définissez un groupe de ponts.

   Cet exemple utilise le groupe de pontage numéro 1.

   router<configure>#bridge 1

3. Sélectionnez le protocole Spanning Tree pour le groupe de ponts.

   Ici, le protocole Spanning Tree IEEE est configuré pour ce groupe de ponts.

   router<configure>#bridge 1 protocol ieee

4. Permettez à une BVI d'accepter et d'acheminer les paquets routables reçus de son groupe de pontage correspondant.

   Cet exemple permet à l'interface BVI d'accepter et de router le paquet IP.

   router<configure>#bridge 1 route ip

Configuration de l'interface virtuelle pontée (BVI)

Effectuez ces actions :

1. Configurez l'interface BVI.

   Configurez l'interface BVI lorsque vous affectez le numéro correspondant du groupe de ponts à l'interface BVI. Chaque groupe de ponts ne peut avoir qu'une BVI correspondante. Cet exemple attribue le groupe de pontage numéro 1 à la BVI.

   router<configure>#interface BVI <1>

2. Attribuez une adresse IP à l'interface BVI.

   router<config-if>#ip address 10.1.1.1 255.255.0.0

   router<config-if>#no shut

Référez-vous à Configurer le pontage pour des informations détaillées sur le pontage.

Configurer le SSID pour l'authentification ouverte

Effectuez ces actions :

1. Activer l'interface radio

   Afin d'activer l'interface radio, passez en mode de configuration d'interface radio DOT11 et affectez un SSID à l'interface.

   router<config>#interface dot11radio0

   router<config-if>#no shutdown

   router<config-if>#ssid open

   Le type d'authentification ouverte peut être configuré en combinaison avec l'authentification d'adresse MAC. Dans ce cas, le point d'accès force tous les périphériques clients à effectuer l'authentification des adresses MAC avant qu'ils ne soient autorisés à rejoindre le réseau.

   L'authentification ouverte peut également être configurée avec l'authentification EAP. Le point d'accès force tous les périphériques clients à effectuer l'authentification EAP avant d'être autorisés à se connecter au réseau. Pour le nom-liste, spécifiez la liste de méthodes d'authentification.

   Un point d'accès configuré pour l'authentification EAP force tous les périphériques clients associés à effectuer l'authentification EAP. Les périphériques clients qui n'utilisent pas EAP ne peuvent pas utiliser le point d'accès.

2. Lier le SSID à un VLAN.

   Afin d'activer le SSID sur cette interface, liez le SSID au VLAN en mode de configuration SSID.

   router<config-ssid>vlan 1

3. Configurez le SSID avec une authentification ouverte.

   router<config-ssid>#authentication open

4. Configurez l'interface radio pour la clé WEP facultative.

   router<config>#encryption vlan 1 mode WEP facultatif

5. Activez le VLAN sur l'interface radio.

   router<config>#interface Dot11Radio 0.1

   router<config-subif>#encapsulation dot1Q 1

   router<config-subif>#bridge-group 1

Configurer le serveur DHCP interne pour les clients sans fil de ce VLAN

Tapez ces commandes en mode de configuration globale pour configurer le serveur DHCP interne pour les clients sans fil de ce VLAN :

• ip dhcp excluded-address 10.1.1.1 10.1.1.5

• ip dhcp pool open

En mode de configuration du pool DHCP, tapez les commandes suivantes :

• réseau 10.1.0.0 255.255.0.0

• default-router 10.1.1.1

Configurer l'authentification 802.1x/EAP

Ce type d'authentification fournit le niveau de sécurité le plus élevé pour votre réseau sans fil. Avec le protocole EAP (Extensible Authentication Protocol) utilisé pour interagir avec un serveur RADIUS compatible EAP, le point d'accès aide un périphérique client sans fil et le serveur RADIUS à effectuer une authentification mutuelle et à dériver une clé WEP de monodiffusion dynamique. Le serveur RADIUS envoie la clé WEP au point d'accès, qui l'utilise pour tous les signaux de données de monodiffusion qu'il envoie ou reçoit du client.

Référez-vous à Authentification EAP pour plus d'informations.

Cet exemple utilise cette configuration :

• Nom SSID : sauter

• VLAN 2

• Plage de serveurs DHCP internes : 10.2.0.0/16

Cet exemple utilise l'authentification LEAP comme mécanisme d'authentification du client sans fil.

Remarque : référez-vous à Cisco Secure ACS pour Windows v3.2 avec authentification d'ordinateur EAP-TLS pour configurer EAP-TLS.

Remarque : reportez-vous à Configuration de Cisco Secure ACS pour Windows v3.2 avec l'authentification de machine PEAP-MS-CHAPv2 pour configurer PEAP-MS-CHAPv2.

Remarque : Comprenez que toutes les configurations de ces types EAP impliquent principalement les modifications de configuration côté client et côté serveur d'authentification. La configuration au niveau du routeur sans fil ou du point d’accès reste plus ou moins la même pour tous ces types d’authentification.

Remarque : Comme mentionné initialement, cette configuration utilise le serveur RADIUS local sur le routeur de service intégré sans fil pour authentifier les clients sans fil avec l'authentification 802.1x.

Exécutez les actions suivantes sur le routeur :

1. Configurez le Routage et pontage intégrés (IRB) et installez le groupe de pont

2. Configuration de l'interface virtuelle pontée (BVI)

3. Configurer le serveur RADIUS local pour l'authentification EAP

4. Configurer le SSID pour l'authentification 802.1x/EAP

5. Configurer le serveur DHCP interne pour les clients sans fil de ce VLAN

Configurez le Routage et pontage intégrés (IRB) et installez le groupe de pont

Effectuez ces actions :

1. Activez IRB dans le routeur.

   router<configure>#bridge irb

   Remarque : si tous les types de sécurité doivent être configurés sur un seul routeur, il suffit d'activer IRB une seule fois globalement sur le routeur. Il n'est pas nécessaire de l'activer pour chaque type d'authentification individuel.

2. Définissez un groupe de ponts.

   Cet exemple utilise le groupe de pontage numéro 2.

   router<configure>#bridge 2

3. Sélectionnez le protocole Spanning Tree pour le groupe de ponts.

   Ici, le protocole Spanning Tree IEEE est configuré pour ce groupe de ponts.

   router<configure>#bridge 2 protocol ieee

4. Sélectionnez le protocole Spanning Tree pour le groupe de ponts.

   Ici, le protocole Spanning Tree IEEE est configuré pour ce groupe de ponts.

   router<configure>#bridge 2 protocol ieee

5. Activez une BVI pour accepter et router les paquets routables reçus de son groupe de ponts correspondant.

   Cet exemple permet à l'interface BVI d'accepter et de router des paquets IP.

   router<configure>#bridge 2 route ip

Configuration de l'interface virtuelle pontée (BVI)

Effectuez ces actions :

1. Configurez l'interface BVI.

   Configurez l'interface BVI lorsque vous affectez le numéro correspondant du groupe de ponts à l'interface BVI. Chaque groupe de ponts ne peut avoir qu'une BVI correspondante. Cet exemple attribue le groupe de pontage numéro 2 à la BVI.

   router<configure>#interface BVI <2>

2. Attribuez une adresse IP à l'interface BVI.

   router<config-if>#ip address 10.2.1.1 255.255.0.0

   router<config-if>#no shut

Configurer le serveur RADIUS local pour l'authentification EAP

Comme indiqué précédemment, ce document utilise un serveur RADIUS local sur le routeur sans fil pour l'authentification EAP.

1. Activez le modèle de contrôle d'accès AAA (Authentication, Authorization and Accounting).

   router<configure>#aaa new-model

2. Créez un groupe de serveurs rad-eap pour le serveur RADIUS.

   router<configure>#aaa group server radius rad-eap server 10.2.1.1 auth-port 1812 acct-port 1813

3. Créez une liste de méthodes eap_method qui répertorie la méthode d'authentification utilisée pour authentifier l'utilisateur de connexion AAA. Attribuez la liste des méthodes à ce groupe de serveurs.

   router<configure>#aaa authentication login eap_méthodes group rad-eap

4. Activez le routeur en tant que serveur d’authentification local et passez en mode de configuration pour l’authentificateur.

   router<configure>#radius-server local

5. En mode de configuration du serveur Radius, ajoutez le routeur en tant que client AAA du serveur d'authentification local.

   router<config-radsrv>#nas 10.2.1.1 clé Cisco

6. Configurez user user1 sur le serveur Radius local.

   router<config-radsrv>#user user1 password user1 group rad-eap

7. Spécifiez l'hôte du serveur RADIUS.

   router<config-radsrv>#radius-server host 10.2.1.1 auth-port 1812 acct-port 1813 key cisco

   Remarque : Cette clé doit être identique à celle spécifiée dans la commande nas en mode de configuration radius-server.

Configurer le SSID pour l'authentification 802.1x/EAP

La configuration de l'interface radio et du SSID associé pour 802.1x/EAP implique la configuration de différents paramètres sans fil sur le routeur, qui incluent le SSID, le mode de chiffrement et le type d'authentification. Cet exemple utilise le SSID appelé saut.

1. Activez l'interface radio.

   Afin d'activer l'interface radio, passez en mode de configuration d'interface radio DOT11 et affectez un SSID à l'interface.

   router<config>#interface dot11radio0

   router<config-if>#no shutdown

   router<config-if>#ssid leap

2. Lier le SSID à un VLAN.

   Afin d'activer le SSID sur cette interface, liez le SSID au VLAN en mode de configuration SSID.

   router<config-ssid>#vlan 2

3. Configurez le SSID avec l'authentification 802.1x/LEAP.

   router<config-ssid>#authentication network-eap eap_méthodes

4. Configurez l'interface radio pour la gestion dynamique des clés.

   router<config>#encryption vlan 2 mode ciphers wep40

5. Activez le VLAN sur l'interface radio.

   router<config>#interface Dot11Radio 0.2

   router<config-subif>#encapsulation dot1Q 2

   router<config-subif>#bridge-group 2

Configurer le serveur DHCP interne pour les clients sans fil de ce VLAN

Tapez ces commandes en mode de configuration globale pour configurer le serveur DHCP interne pour les clients sans fil de ce VLAN :

• ip dhcp excluded-address 10.2.1.1 10.2.1.5

• ip dhcp pool leapauth

En mode de configuration du pool DHCP, tapez les commandes suivantes :

• réseau 10.2.0.0 255.255.0.0

• default-router 10.2.1.1

Gestion des clés WPA

Wi-Fi Protected Access est une amélioration de sécurité normalisée et interopérable qui augmente fortement le niveau de protection des données et de contrôle d'accès pour les systèmes LAN sans fil actuels et futurs.

Référez-vous à Gestion des clés WPA pour plus d'informations.

La gestion des clés WPA prend en charge deux types de gestion mutuellement exclusifs : WPA-Pre-Sshared key (WPA-PSK) et WPA (avec EAP).

Configuration de WPA-PSK

WPA-PSK est utilisé comme type de gestion de clé sur un LAN sans fil où l'authentification basée sur 802.1x n'est pas disponible. Dans ces réseaux, vous devez configurer une clé pré-partagée sur le point d'accès. Vous pouvez entrer la clé prépartagée en caractères ASCII ou hexadécimaux. Si vous entrez la clé en tant que caractères ASCII, vous entrez entre 8 et 63 caractères, et le point d'accès étend la clé avec le processus décrit dans la norme de cryptographie basée sur le mot de passe (RFC2898). Si vous entrez la clé en tant que caractères hexadécimaux, vous devez entrer 64 caractères hexadécimaux.

Cet exemple utilise cette configuration :

• Nom SSID : wpa partagé

• VLAN 3

• Plage de serveurs DHCP internes : 10.3.0.0/16

Exécutez les actions suivantes sur le routeur :

1. Configurez le Routage et pontage intégrés (IRB) et installez le groupe de pont

2. Configuration de l'interface virtuelle pontée (BVI)

3. Configurer le SSID pour l'authentification WPA-PSK

4. Configurer le serveur DHCP interne pour les clients sans fil de ce VLAN

Configurez le Routage et pontage intégrés (IRB) et installez le groupe de pont

Effectuez ces actions :

1. Activez IRB dans le routeur.

   router<configure>#bridge irb

   Remarque : si tous les types de sécurité doivent être configurés sur un seul routeur, il suffit d'activer IRB une seule fois globalement sur le routeur. Il n'est pas nécessaire de l'activer pour chaque type d'authentification individuel.

2. Définissez un groupe de ponts.

   Cet exemple utilise le groupe de pontage numéro 3.

   router<configure>#bridge 3

3. Sélectionnez le protocole Spanning Tree pour le groupe de ponts.

   Le protocole Spanning Tree IEEE est configuré pour ce groupe de ponts.

   router<configure>#bridge 3 protocol ieee

4. Permettez à une BVI d'accepter et d'acheminer les paquets routables reçus de son groupe de pontage correspondant.

   Cet exemple permet à l'interface BVI d'accepter et de router des paquets IP.

   router<configure>#bridge 3 route ip

Configuration de l'interface virtuelle pontée (BVI)

Effectuez ces actions :

1. Configurez l'interface BVI.

   Configurez l'interface BVI lorsque vous affectez le numéro correspondant du groupe de ponts à l'interface BVI. Chaque groupe de ponts ne peut avoir qu'une BVI correspondante. Cet exemple attribue le groupe de ponts numéro 3 à l'interface BVI.

   router<configure>#interface BVI <2>

2. Attribuez une adresse IP à l'interface BVI.

   router<config-if>#ip address 10.3.1.1 255.255.0.0

   router<config-if>#no shut

Configurer le SSID pour l'authentification WPA-PSK

Effectuez ces actions :

1. Activez l'interface radio.

   Afin d'activer l'interface radio, passez en mode de configuration d'interface radio DOT11 et affectez un SSID à l'interface.

   router<config>#interface dot11radio0

   router<config-if>#no shutdown

   router<config-if>#ssid wpa-shared

2. Afin d'activer la gestion des clés WPA, commencez par configurer le chiffrement WPA pour l'interface VLAN. Cet exemple utilise tkip comme chiffrement..

   Tapez cette commande pour spécifier le type de gestion de clé WPA sur l'interface radio.

   router<config>#interface dot11radio0

   router(config-if)#encryption vlan 3 mode ciphers tkip

3. Lier le SSID à un VLAN.

   Afin d'activer le SSID sur cette interface, liez le SSID au VLAN en mode de configuration SSID.

   router<config-ssid>vlan 3

4. Configurez le SSID avec l'authentification WPA-PSK.

   Vous devez d'abord configurer l'authentification EAP ouverte ou réseau en mode de configuration SSID pour activer la gestion des clés WPA. Cet exemple configure l'authentification ouverte.

   router<config>#interface dot11radio0

   router<config-if>#ssid wpa-shared

   router<config-ssid>#authentication open

   Maintenant, activez la gestion des clés WPA sur le SSID. Le chiffrement de gestion des clés tkip est déjà configuré pour ce VLAN.

   router(config-if-ssid)#authentication key-management wpa

   Configurez l'authentification WPA-PSK sur le SSID.

   router(config-if-ssid)#wpa-psk ascii 1234567890 !— 1234567890 est la valeur de clé prépartagée pour ce SSID. Assurez-vous que la même clé est spécifiée pour ce SSID côté client.

5. Activez le VLAN sur l'interface radio.

   router<config>#interface Dot11Radio 0.3

   router<config-subif>#encapsulation dot1Q 3

   router<config-subif>#bridge-group 3

Configurer le serveur DHCP interne pour les clients sans fil de ce VLAN

Tapez ces commandes en mode de configuration globale pour configurer le serveur DHCP interne pour les clients sans fil de ce VLAN :

• ip dhcp excluded-address 10.3.1.1 10.3.1.5

• ip dhcp pool wpa-psk

En mode de configuration du pool DHCP, tapez les commandes suivantes :

• réseau 10.3.0.0 255.255.0.0

• default-router 10.3.1.1

Configurer l'authentification WPA (avec EAP)

Il s'agit d'un autre type de gestion de clé WPA. Ici, les clients et le serveur d'authentification s'authentifient mutuellement avec une méthode d'authentification EAP, et le client et le serveur génèrent une clé maître par paire (PMK). Avec WPA, le serveur génère le PMK dynamiquement et le transmet au point d'accès, mais avec WPA-PSK, vous configurez une clé pré-partagée sur le client et le point d'accès, et cette clé pré-partagée est utilisée comme PMK.

Référez-vous à WPA avec authentification EAP pour plus d'informations.

Cet exemple utilise cette configuration :

• Nom SSID : wpa-dot1x

• VLAN 4

• Plage de serveurs DHCP internes : 10.4.0.0/16

Exécutez les actions suivantes sur le routeur :

1. Configurez le Routage et pontage intégrés (IRB) et installez le groupe de pont

2. Configuration de l'interface virtuelle pontée (BVI)

3. Configurez le serveur RADIUS local pour l'authentification WPA.

4. Configurer le SSID pour WPA avec authentification EAP

5. Configurer le serveur DHCP interne pour les clients sans fil de ce VLAN

Configurez le Routage et pontage intégrés (IRB) et installez le groupe de pont

Effectuez ces actions :

1. Activez IRB dans le routeur.

   router<configure>#bridge irb

   Remarque : si tous les types de sécurité doivent être configurés sur un seul routeur, il suffit d'activer IRB une seule fois globalement sur le routeur. Il n'est pas nécessaire de l'activer pour chaque type d'authentification individuel.

2. Définissez un groupe Bridge.

   Cet exemple utilise le groupe de ponts numéro 4.

   router<configure>#bridge 4

3. Sélectionnez le protocole Spanning Tree pour le groupe de ponts.

   Ici, le protocole Spanning Tree IEEE est configuré pour ce groupe de ponts.

   router<configure>#bridge 4 protocol ieee

4. Activez une BVI pour accepter et acheminer les paquets routables reçus de son groupe de ponts correspondant.

   Cet exemple permet à l'interface BVI d'accepter et de router des paquets IP.

   router<configure>#bridge 4 route ip

Configuration de l'interface virtuelle pontée (BVI)

Effectuez ces actions :

1. Configurez l'interface BVI.

   Configurez l'interface BVI lorsque vous affectez le numéro correspondant du groupe de ponts à l'interface BVI. Chaque groupe de ponts ne peut avoir qu'une BVI correspondante. Cet exemple attribue le groupe de pontage numéro 4 à la BVI.

   router<configure>#interface BVI <4>

2. Attribuez une adresse IP à l'interface BVI.

   router<config-if>#ip address 10.4.1.1 255.255.0.0

   router<config-if>#no shut

Configurer le serveur RADIUS local pour l'authentification WPA

Reportez-vous à la section Authentification 802.1x/EAP pour obtenir la procédure détaillée.

Configurer le SSID pour WPA avec authentification EAP

Effectuez ces actions :

1. Activez l'interface radio.

   Afin d'activer l'interface radio, passez en mode de configuration d'interface radio DOT11 et affectez un SSID à l'interface.

   router<config>#interface dot11radio0

   router<config-if>#no shutdown

   router<config-if>#ssid wpa-dot1x

2. Afin d'activer la gestion des clés WPA, commencez par configurer le chiffrement WPA pour l'interface VLAN. Cet exemple utilise tkip comme chiffrement..

   Tapez cette commande pour spécifier le type de gestion de clé WPA sur l'interface radio.

   router<config>#interface dot11radio0

   router(config-if)#encryption vlan 4 mode ciphers tkip

3. Lier le SSID à un VLAN.

   Afin d'activer le SSID sur cette interface, liez le SSID au VLAN en mode de configuration SSID.

   vlan 4

4. Configurez le SSID avec l'authentification WPA-PSK.

   Afin de configurer l'interface radio pour WPA avec l'authentification EAP, commencez par configurer le SSID associé pour le réseau EAP.

   router<config>#interface dot11radio0

   router<config-if>#ssid wpa-shared

   router<config-ssid>#authentication network eap eap_méthodes

5. Maintenant, activez la gestion des clés WPA sur le SSID. Le chiffrement de gestion des clés tkip est déjà configuré pour ce VLAN.

   router(config-if-ssid)#authentication key-management wpa

6. Activez le VLAN sur l'interface radio.

   router<config>#interface Dot11Radio 0.4

   router<config-subif>#encapsulation dot1Q 4

   router<config-subif>#bridge-group 4

Configurer le serveur DHCP interne pour les clients sans fil de ce VLAN

Tapez ces commandes en mode de configuration globale pour configurer le serveur DHCP interne pour les clients sans fil de ce VLAN :

• ip dhcp excluded-address 10.4.1.1 10.4.1.5

• ip dhcp pool wpa-dot1shared

En mode de configuration du pool DHCP, tapez les commandes suivantes :

• réseau 10.4.0.0 255.255.0.0

• default-router 10.4.1.1

Configurer le client sans fil pour l'authentification

Après avoir configuré le routeur de service intégré, configurez le client sans fil pour différents types d'authentification, comme expliqué, afin que le routeur puisse authentifier ces clients sans fil et fournir l'accès au réseau WLAN. Ce document utilise Cisco Aironet Desktop Utility (ADU) pour la configuration côté client.

Configurer le client sans fil pour l'authentification ouverte

Procédez comme suit :

1. Dans la fenêtre Profile Management sur l'ADU, cliquez sur New afin de créer un nouveau profil.

   Une nouvelle fenêtre s'affiche, dans laquelle vous pouvez définir la configuration de l'authentification ouverte. Sous l'onglet Général, saisissez le nom du profil et le SSID que l'adaptateur client utilise.

   Dans cet exemple, le nom du profil et le SSID sont ouverts.

   Remarque : le SSID doit correspondre au SSID que vous avez configuré sur l'ISR pour l'authentification ouverte.

   

2. Cliquez sur l'onglet Sécurité et laissez l'option de sécurité comme Aucune pour le cryptage WEP. Puisque cet exemple utilise le WEP comme option facultative, la définition de cette option sur Aucun permettra au client de s'associer et de communiquer avec le réseau WLAN.

   Click OK

   

3. Sélectionnez la fenêtre Avancé dans l'onglet Gestion des profils et définissez le mode d'authentification 802.11 sur Ouvrir pour l'authentification ouverte.

   

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

1. Une fois le profil client créé, cliquez sur Activer sous l'onglet Gestion des profils pour activer le profil.

   

2. Vérifiez l'état ADU pour une authentification réussie.

   

Configurer le client sans fil pour l'authentification 802.1x/EAP

Procédez comme suit :

1. Dans la fenêtre Profile Management sur l'ADU, cliquez sur New afin de créer un nouveau profil.

   Une nouvelle fenêtre s'affiche, dans laquelle vous pouvez définir la configuration de l'authentification ouverte. Sous l'onglet Général, saisissez le nom du profil et le SSID que l'adaptateur client utilise.

   Dans cet exemple, le nom du profil et le SSID sont sauts.

2. Sous Gestion des profils, cliquez sur l'onglet Sécurité, définissez l'option de sécurité sur 802.1x et choisissez le type EAP approprié. Ce document utilise LEAP comme type EAP pour l'authentification. Cliquez maintenant sur Configurer pour configurer les paramètres de nom d'utilisateur et de mot de passe LEAP.

   Remarque : Remarque : Le SSID doit correspondre au SSID que vous avez configuré sur l'ISR pour l'authentification 802.1x/EAP.

   

3. Sous les paramètres de nom d'utilisateur et de mot de passe, cet exemple choisit d'inviter manuellement le nom d'utilisateur et le mot de passe afin que le client soit invité à entrer le nom d'utilisateur et le mot de passe corrects pendant que le client tente de se connecter au réseau. Click OK.

   

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

• Une fois le profil client créé, cliquez sur Activate sous l'onglet Profile Management pour activer le saut de profil. Vous êtes invité à saisir le nom d'utilisateur et le mot de passe du saut. Cet exemple utilise le nom d'utilisateur et le mot de passe user1. Click OK.

• Vous pouvez voir le client s'authentifier correctement et se voir attribuer une adresse IP à partir du serveur DHCP configuré sur le routeur.

  

Configurer le client sans fil pour l'authentification WPA-PSK

Procédez comme suit :

1. Dans la fenêtre Profile Management sur l'ADU, cliquez sur New afin de créer un nouveau profil.

   Une nouvelle fenêtre s'affiche, dans laquelle vous pouvez définir la configuration de l'authentification ouverte. Sous l'onglet Général, saisissez le nom de profil et SSID que l'adaptateur client utilise.

   Dans cet exemple, le nom du profil et le SSID sont partagés par wpa.

   Remarque : le SSID doit correspondre au SSID que vous avez configuré sur l'ISR pour l'authentification WPA-PSK.

2. Sous Gestion des profils, cliquez sur l'onglet Sécurité et définissez l'option de sécurité sur Phrase de passe WPA/WPA2. Cliquez maintenant sur Configurer pour configurer la phrase de passe WPA.

   

3. Définissez une clé prépartagée WPA. La clé doit comporter entre 8 et 63 caractères ASCII. Click OK.

   

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

• Une fois le profil client créé, cliquez sur Activate sous l'onglet Profile Management pour activer le profil wpa-shared.

• Vérifiez l'ADU pour une authentification réussie.

  

Configurer le client sans fil pour l'authentification WPA (avec EAP)

Procédez comme suit :

1. Dans la fenêtre Profile Management sur l'ADU, cliquez sur New afin de créer un nouveau profil.

   Une nouvelle fenêtre s'affiche, dans laquelle vous pouvez définir la configuration de l'authentification ouverte. Sous l'onglet Général, saisissez le nom de profil et le SSID utilisés par l'adaptateur client.

   Dans cet exemple, le nom du profil et le SSID sont wpa-dot1x.

   Remarque : Le SSID doit correspondre au SSID que vous avez configuré sur l'ISR pour l'authentification WPA (avec EAP).

2. Sous Profile Management, cliquez sur l'onglet Security, définissez l'option de sécurité sur WPA/WPA2/CCKM, puis choisissez le type EAP WPA/WPA2/CCKM approprié. Ce document utilise LEAP comme type EAP pour l'authentification. Cliquez maintenant sur Configurer pour configurer les paramètres de nom d'utilisateur et de mot de passe LEAP.

   

3. Dans la zone Username and Password Settings (Nom d'utilisateur et mot de passe), cet exemple montre comment choisir d'inviter manuellement le nom d'utilisateur et le mot de passe afin que le client soit invité à saisir le nom d'utilisateur et le mot de passe appropriés pendant que le client tente de se connecter au réseau. Click OK.

   

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

1. Une fois le profil client créé, cliquez sur Activate sous l'onglet Profile Management pour activer le profil wpa-dot1x. Vous êtes invité à saisir le nom d'utilisateur et le mot de passe LEAP. Cet exemple utilise le nom d'utilisateur et le mot de passe user1. Click OK.

   

2. Vous pouvez voir le client s'authentifier correctement.

   

La commande show dot11 associations de l'interface de ligne de commande du routeur affiche des détails complets sur l'état de l'association de client. Voici un exemple.

Router#show dot11 associations

802.11 Client Stations on Dot11Radio0: 

SSID [leap] : 

MAC Address    IP address      Device        Name            Parent         State     
0040.96ac.e657 10.3.0.2        CB21AG/PI21AG WCS             self         EAP-Assoc

SSID [open] : 

SSID [pre-shared] : DISABLED, not associated with a configured VLAN

SSID [wpa-dot1x] : 

SSID [wpa-shared] : 


Others:  (not related to any ssid) 

Dépannage

Dépannage des commandes

Vous pouvez utiliser ces commandes debug pour dépanner votre configuration.

• debug dot11 aaa authenticator all : active le débogage des paquets d'authentification MAC et EAP.

• debug radius authentication : affiche les négociations RADIUS entre le serveur et le client.

• debug radius local-server packets : affiche le contenu des paquets RADIUS qui sont envoyés et reçus.

• debug radius local-server client - Affiche les messages d'erreur sur les authentifications de client ayant échoué.

Informations connexes

• Exemples de configuration de l'authentification sur des contrôleurs de réseau local sans fil
• Configuration de VLAN sur des points d’accès
• Exemple de configuration d'un routeur sans fil ISR 1800 avec DHCP interne et authentification ouverte
• Guide de configuration des points d'accès ISR et HWIC sans fil Cisco
• Exemple de configuration de la connectivité LAN sans fil à l'aide d'un ISR avec chiffrement WEP et authentification LEAP
• Support et documentation techniques - Cisco Systems
• Configuration des types d'authentification
• Exemple de configuration de la connectivité LAN sans fil à l'aide d'un ISR avec chiffrement WEP et authentification LEAP

Historique de révision