Verificatie configureren op draadloze LAN-controllers

Inleiding

Dit document biedt configuratievoorbeelden die verklaren hoe u verschillende soorten Layer 1, Layer 2 en Layer 3 verificatiemethoden op draadloze LAN-controllers (WLC’s) moet configureren.

Voorwaarden

Vereisten

Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:

• Kennis van de configuratie van Lichtgewicht Access Point (LAP’s) en Cisco WLC’s

• Kennis van 802.11i-beveiligingsnormen

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco 4400 WLC-software met firmware release 6.0.18.2.0

• Cisco 1000 Series LAP’s

• Cisco 802.11a/b/g draadloze clientadapter voor firmware release 2.6

• Cisco Secure ACS Server versie 3.2

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Verificatie op WLC’s

De Cisco Unified Wireless Network (UWN)-beveiligingsoplossing bundelt potentieel gecompliceerde Layer 1, Layer 2 en Layer 3 802.11 access point (AP) security componenten in een eenvoudige beleidsbeheerder die systeembreed beveiligingsbeleid op een per-Wireless LAN (WLAN) basis aanpast. De veiligheidsoplossing van Cisco van het IDS verstrekt eenvoudige, verenigde en systematische veiligheidsbeheersinstrumenten.

Deze beveiligingsmechanismen kunnen worden toegepast op WLC's.

Layer 1-oplossingen

Beperk de clienttoegang op basis van het aantal opeenvolgende mislukte pogingen.

Layer 2-oplossingen

Geen verificatie - Wanneer deze optie uit de vervolgkeuzelijst Layer 2 Security is geselecteerd, wordt geen Layer 2-verificatie uitgevoerd op de WLAN. Dit is hetzelfde als de open authenticatie van de 802.11 standaard.

Statische WLAN-met statische bekabelde equivalente Privacy (WLAN) moeten alle AP’s en client-radio-NIC’s op een bepaalde WLAN dezelfde encryptiesleutel gebruiken. Elk verzendend station versleutelt het lichaam van elk kader met een de sleutel van de EVN voor de transmissie, en het ontvangende station decrypteert het met een identieke sleutel na ontvangst.

802.1x-configureren de WLAN’s om de 802.1x-gebaseerde verificatie te gebruiken. Het gebruik van IEEE 802.1X biedt een effectief raamwerk om gebruikersverkeer naar een beveiligd netwerk voor authentiek te verklaren en te controleren, evenals dynamisch encryptiesleutels. 802.1X koppelt een protocol dat Extensible Authentication Protocol (EAP) wordt genoemd aan zowel de bekabelde als WLAN-media en ondersteunt meerdere authenticatiemethoden.

Statische Wi + 802.1x-Deze Layer 2 security instelling maakt zowel 802.1x als Statische Wi-Fi mogelijk. Clients kunnen gebruik maken van Statische Wi-Fi- of 802.1x-verificatie om verbinding te maken met het netwerk.

Wi-Fi Beschermde Toegang (WAP) —WAP of WAP1 en WAP2 zijn op norm gebaseerde beveiligingsoplossingen van de Wi-Fi Alliance die gegevensbescherming en toegangscontrole voor WLAN-systemen bieden. WAP1 is compatibel met de IEEE 802.11i-standaard maar is geïmplementeerd voordat de standaard is geratificeerd. WAP2 is de implementatie van de Wi-Fi Alliantie van de geratificeerde standaard IEEE 802.11i.

WAP1 gebruikt standaard TKIP (Temporal Key Integrity Protocol) en MIC (berichtintegriteitcontrole) voor gegevensbeveiliging. WAP2 gebruikt het sterkere Advanced Encryption Standard encryptie-algoritme met behulp van Counter Mode met Cipher Block Chaining Message Authentication Protocol (AES-CCMP). Zowel WAP1 als WAP2 gebruiken 802.1X voor echt gemaakt sleutelbeheer standaard. Deze opties zijn echter ook beschikbaar: PSK, CCKM en CCKM+802.1x. Als u CCKM selecteert, staat Cisco alleen klanten toe die CCKM ondersteunen. Als u CKM+802.1x selecteert, staat Cisco ook niet-CCKM-clients toe.

CKIP-Cisco Key Integrity Protocol (CKIP) is een Cisco-eigen beveiligingsprotocol voor het versleutelen van 802.11 media. CKIP verbetert 802.11 veiligheid in infrastructurele modus met behulp van key permutation, MIC, en bericht sequentienummer. Software release 4.0 ondersteunt CKIP met statische sleutel. Om deze functie correct te laten functioneren, moet u Aironet informatie elementen (IE’s) voor WLAN inschakelen. De CKIP-instellingen die in een WLAN zijn gespecificeerd, zijn verplicht voor elke client die probeert deze te associëren. Als het WLAN is geconfigureerd voor zowel CKIP-sleutelexpressie als MIC met MMH, moet de client beide ondersteuning bieden. Als de WLAN-functie slechts voor één van deze functies is geconfigureerd, moet de client alleen deze CKIP-functie ondersteunen. WLC's ondersteunen alleen statische CKIP (zoals statische EFG). WLC’s ondersteunen CKIP niet met 802.1x (dynamische CKIP).

Layer 3 oplossingen

Geen-Wanneer deze optie uit de vervolgkeuzelijst Layer 3-beveiliging is geselecteerd, wordt geen Layer 3-verificatie uitgevoerd op het WLAN.

Opmerking: Het configuratievoorbeeld voor No Layer 3-verificatie en No Layer 2-verificatie wordt in de sectie Geen verificatie uitgelegd.

Web Policy (Web Authentication and Web Passthrough)—de Web verificatie wordt doorgaans gebruikt door klanten die een gastentoegangsnetwerk willen opzetten. In een netwerk van gasttoegang, is er de eerste gebruikers- en wachtwoordauthenticatie, maar veiligheid is niet vereist voor het daaropvolgende verkeer. Typische implementaties kunnen 'hot spot'-locaties omvatten, zoals T-Mobile of Starbucks.

Webverificatie voor de Cisco WLC wordt lokaal uitgevoerd. U maakt een interface en associeert vervolgens een WLAN/service set-id (SSID) met die interface.

Web authenticatie biedt eenvoudige authenticatie zonder smeekbede of cliënt. Houd in gedachten dat web authenticatie geen data encryptie biedt. Web authenticatie wordt normaal gebruikt als eenvoudige gasttoegang voor of een "hot spot" of campus atmosfeer waar de enige zorg de connectiviteit is.

Web passthrough is een oplossing waardoor draadloze gebruikers worden omgeleid naar een aanvaardbare pagina van het gebruiksbeleid zonder te hoeven authenticeren wanneer zij verbinding maken met internet. Deze omleiding wordt verzorgd door de WLC zelf. De enige vereiste is om de WLC voor web passthrough te configureren, wat in wezen web authenticatie is zonder aanmeldingsgegevens in te voeren.

Wachtwoord van VPN - VPN is een eigenschap die een client toestaat om een tunnel slechts met een specifieke VPN-server op te zetten. Daarom, als u veilig toegang moet hebben tot de geconfigureerde VPN-server evenals een andere VPN-server of het internet, is dit niet mogelijk met een VPN-passthrough die op de controller is ingeschakeld.

In de volgende secties worden configuratievoorbeelden gegeven voor elk van de authenticatiemechanismen.

Configuratievoorbeelden

Voordat u de WLAN’s en de verificatietypen configureren, moet u de WLC configureren voor een basisbediening en de LAP’s registreren bij de WLC. Dit document gaat ervan uit dat de WLC is ingesteld voor een eenvoudige bediening en dat de LAP's zijn geregistreerd op de WLC. Als u een nieuwe gebruiker bent die probeert om de WLC in te stellen voor basisbediening met LAN’s, raadpleegt u Lichtgewicht AP (LAP)-registratie naar een draadloze LAN-controller (WLC).

Layer 1 security oplossingen

Draadloze klanten kunnen beperkte toegang zijn gebaseerd op het aantal opeenvolgende mislukte pogingen om toegang tot het WLAN-netwerk te krijgen. Uitsluiting van client gebeurt in deze omstandigheden standaard. Deze waarden kunnen niet worden gewijzigd.

• opeenvolgende 802.11 verificatiefout (5 opeenvolgende keer, 6 keer wordt de test uitgesloten)

• Volgzame 802.11 Associatiefouten (5 opeenvolgende keren, 6-ste poging is uitgesloten)

• opeenvolgende 802.1x-verificatiemislukkingen (3 opeenvolgende keer, 4e poging is uitgesloten)

• Fout bij externe beleidsserver

• Probeer IP-adres te gebruiken dat al aan een ander apparaat is toegewezen (IP-diefstal of IP-hergebruik)

• Opeenvolgende webverificatie (3 opeenvolgende malen, 4th try is uitgesloten)

Als u het beleid voor uitsluiting van client wilt lokaliseren, klikt u op Beveiliging in het bovenste menu en vervolgens kiest u Draadloos beschermingsbeleid > beleid voor uitsluiting van client bij de navigatie aan de linkerkant van de pagina.

De uitsluitingstimer kan worden ingesteld. Uitsluitingsopties kunnen per controller worden ingeschakeld of uitgeschakeld. De uitsluitingstimer kan worden geactiveerd of uitgeschakeld per WLAN.

Het maximum aantal gelijktijdige Logins voor één enkele gebruikersnaam is 0. U kunt elke waarde tussen 0 en 8 invoeren. Deze parameter kan worden ingesteld op BEVEILIGING > AAA > Aanmeldingsbeleid van de Gebruiker en staat u toe om het maximum aantal gelijktijdige logins voor één client naam, tussen één en acht, of 0 = onbeperkt te specificeren. Hierna volgt een voorbeeld:

Layer 2 security oplossingen

Geen verificatie

Dit voorbeeld toont een WLAN dat zonder verificatie is geconfigureerd.

Opmerking: Dit voorbeeld werkt ook voor No Layer 3 verificatie.

WLC configureren voor geen verificatie

Volg deze stappen om de WLC te configureren voor deze instelling:

1. Klik op WLAN’s van de controller GUI om een WLAN-functie te maken.

   Het WLAN-venster verschijnt. Dit venster toont de WLAN’s die op de controller zijn geconfigureerd.

2. Klik op Go om een nieuwe WLAN te configureren.

3. Voer de parameters voor WLAN in. Dit voorbeeld toont configuratie voor dit WLAN.

   

4. Klik op Apply (Toepassen).

5. In het venster WLAN > Bewerken definieert u de parameters die specifiek zijn voor WLAN.

6. Klik op het tabblad Beveiliging en kies Geen voor Layer 2 en Layer 3-beveiliging.

   

   OPMERKING:  Om een WLAN-functie te kunnen activeren, dient de status ingeschakeld te zijn. Schakel deze optie in door het aanvinkvakje Status onder het tabblad General te controleren.

   Dit maakt geen verificatie voor dit WLAN mogelijk.

7. Kies andere parameters op basis van uw ontwerpvereisten. Dit voorbeeld gebruikt de standaardwaarden.

8. Klik op Apply (Toepassen).

Draadloze client voor geen verificatie configureren

Volg deze stappen om de draadloze LAN-client voor deze instelling te configureren:

Opmerking: Dit document gebruikt Aironet 802.11a/b/g clientadapter voor firmware 3.5 en legt de configuratie van de clientadapter uit met ADU versie 3.5.

1. Klik om een nieuw profiel te maken op het tabblad Profile Management in de ADU.

2. Klik op New (Nieuw).

3. Wanneer het venster Profile Management (General) wordt weergegeven, voltooit u deze stappen om de profielnaam, de clientnaam en SSID te instellen:

   1. Voer de naam van het profiel in het veld Profielnaam in.

      Dit voorbeeld gebruikt NoVerificatie als de profielnaam.

   2. Voer de naam van de client in het veld Naam client in.

      De clientnaam wordt gebruikt om de draadloze client in het WLAN-netwerk te identificeren. Deze configuratie gebruikt client 1 voor de naam van de client.

   3. Voer onder Netwerknamen de SSID in dat voor dit profiel moet worden gebruikt.

      SSID is hetzelfde als SSID dat u op de WLC hebt ingesteld. SSID in dit voorbeeld is NullVerificatie.

      

4. Klik op het tabblad Beveiliging.

   

5. Klik op de radioknop Geen onder Beveiligingsopties instellen en vervolgens op OK klikken.

   Wanneer SSID wordt geactiveerd, sluit de draadloze client zich aan op WLAN zonder enige verificatie.

   

Statische Wi

Dit voorbeeld toont een WLAN dat met statische EFN wordt gevormd.

WLC configureren voor Statische Wi-Fi

Volg deze stappen om de WLC te configureren voor deze instelling:

1. Klik op WLAN’s van de controller GUI om een WLAN-functie te maken.

   Het WLAN-venster verschijnt. Dit venster toont de WLAN’s die op de controller zijn geconfigureerd.

2. Klik op New om een nieuwe WLAN te configureren.

3. Voer de WLAN-id en WLAN-sid in.

   In dit voorbeeld, wordt WLAN genoemd Staticen WLAN ID is 2.

   

4. Klik op Apply (Toepassen).

5. In het venster WLAN > Bewerken definieert u de parameters die specifiek zijn voor WLAN.

   1. Kies in de vervolgkeuzelijst Layer 2 de optie Statische EFN.

      Dit maakt Statische WLAN’s mogelijk.

   2. Kies onder de parameters Static HTML (Statisch) de grootte en de sleutelindex van de EVN en voer de statische sleutel van de encryptie van de EVN in.

      De sleutelgrootte kan 40 bits of 104 bits zijn. De sleutelindex kan tussen 1 en 4 liggen. Eén unieke EFN-sleutelindex kan op elk WLAN worden toegepast. Omdat er slechts vier de Sleutelindexen van EFN zijn, kunnen slechts vier WLANs voor Statische de Codering van EVN Layer 2 worden gevormd. In dit voorbeeld wordt de 104-bits-AKL gebruikt en de gebruikte EFN-toets is 1234567890abcdef.

      

   3. Controleer of de RADIUS-server is geconfigureerd voor verificatie. De RADIUS-server kan worden ingesteld op het tabblad Beveiliging, dat zich bevindt op AAA > Straal > Verificatie. Zodra deze ingesteld is, dient de RADIUS-server aan de WLAN te worden toegewezen voor verificatie. Ga naar WLAN’s > Security > AAA-servers om de RADIUS-server aan de WLAN’s te toewijzen voor verificatie.

      In dit voorbeeld is 10.77.244.196 de Radius server.

      

6. Kies andere parameters op basis van uw ontwerpvereisten.

   Dit voorbeeld gebruikt de standaardwaarden.

7. Klik op Apply (Toepassen).

   Opmerking: medegebruik van medeweten wordt altijd weergegeven in hexadecimaal (hex). Wanneer u de de sleutel van de EVN in ASCII ingaat, wordt de string van ASCII geconverteerd naar hex, die wordt gebruikt om het pakket te versleutelen. Er is geen standaardmethode die verkopers uitvoeren om hex om te zetten naar ASCII, omdat sommige anderen dingen doen terwijl anderen dat niet doen. Daarom, voor maximum inter-verkoper compatabiliteit, gebruik hex voor uw sleutels van de EVN.

   Opmerking: Als u Shared Key Verificatie voor WLAN wilt inschakelen, controleert u het selectieteken toestaan met gedeelde sleutel onder Statische EFN-parameters. Op deze manier, als de client ook is geconfigureerd voor Shared Key Verificatie, wordt Shared Key Verificatie gevolgd door EFN-encryptie van pakketten in WLAN uitgevoerd.

Draadloze client voor Statische Wi-Fi configureren

Volg deze stappen om de draadloze LAN-client voor deze instelling te configureren:

1. Klik om een nieuw profiel te maken op het tabblad Profile Management in de ADU.

2. Klik op New (Nieuw).

3. Wanneer het venster Profile Management (General) wordt weergegeven, voltooit u deze stappen om de profielnaam, de clientnaam en SSID te instellen:

   1. Voer de naam van het profiel in het veld Profielnaam in.

      Dit voorbeeld gebruikt StaticEFL als de profielnaam.

   2. Voer de naam van de client in het veld Naam client in.

      De clientnaam wordt gebruikt om de draadloze client in het WLAN-netwerk te identificeren. Deze configuratie gebruikt client 2 voor de naam van de client.

   3. Voer onder Netwerknamen de SSID in dat voor dit profiel moet worden gebruikt.

      SSID is hetzelfde als SSID dat u op de WLC hebt ingesteld. SSID in dit voorbeeld is StaticEFN.

      

4. Klik op het tabblad Beveiliging.

   

5. Kies Vooraf gedeelde sleutel (Statische WLAN) onder Instellen beveiligingsopties.

6. Klik op Configureren en definieer de grootte van de EFN-toets en de sleutel van EFN.

   Dit moet overeenkomen met de EFN-toets die op de WLC is ingesteld voor deze WLAN.

7. Klik op Apply (Toepassen).

   

   Wanneer SSID wordt geactiveerd, sluit de draadloze client zich aan op WLAN en worden de pakketten versleuteld met behulp van de statische EFN-toets.

   

802.1x-verificatie

Dit voorbeeld toont een WLAN dat is geconfigureerd met 802.1x-verificatie.

WLC configureren voor 802.1x verificatie

Volg deze stappen om de WLC te configureren voor deze instelling:

1. Klik op WLAN’s van de controller GUI om een WLAN-functie te maken.

   Het WLAN-venster verschijnt. Dit venster toont de WLAN’s die op de controller zijn geconfigureerd.

2. Klik op New om een nieuwe WLAN te configureren.

   In dit voorbeeld, wordt WLAN genoemd 802.1x, en de WLAN-id is 3. Er moet ook een profielnaam worden toegevoegd.

   

3. Klik op Apply (Toepassen).

4. In het venster WLAN > Bewerken definieert u de parameters die specifiek zijn voor WLAN.

   1. Kies in de vervolgkeuzelijst Layer 2 802.1x.

      Opmerking: Alleen de encryptie van het draadloos netwerk is beschikbaar bij 802.1x. Kies of 40 bits of 104 bits voor codering, en zorg ervoor dat Layer 3 security ingesteld is op Geen.

      Dit maakt 802.1x-verificatie mogelijk voor deze WLAN.

   2. Selecteer onder RADIUS-serverparameters de RADIUS-server die gebruikt zal worden om de clientaanmeldingsgegevens voor het gerecht te brengen.

   3. Kies andere parameters op basis van uw ontwerpvereisten.

      Dit voorbeeld gebruikt de standaardwaarden.

5. Klik op Apply (Toepassen).

   

   Opmerkingen:

   • Als u 802.1x kiest voor Layer 2 security, kan CCKM niet worden gebruikt.

   • Als u voor Layer 2-beveiliging kiezen voor of voor WAP 2, verschijnen deze opties onder Auth Key Management:

     • 802.1x+CCKM-Als u deze optie kiest, worden zowel CCKM- als niet-CCKM-clients ondersteund (optioneel CCKM).

     • 802.1x-Als u deze optie kiest, worden alleen 802.1x-clients ondersteund.

     • CCKM-Als u deze optie kiest, worden alleen CCKM klanten ondersteund, waar klanten naar een externe server worden gestuurd voor authenticatie.

     • PSK - Als u deze optie kiest, wordt een vooraf gedeelde sleutel gebruikt voor de WLC en de client. Bovendien zijn alle normen vastgesteld om te worden gebruikt vóór de normen; Bijvoorbeeld, WAP/WAP2 neemt precedent over CCKM wanneer gebruikt gelijktijdig.

   Het type MAP-verificatie dat wordt gebruikt om de cliënten te valideren, is afhankelijk van het MAP-type dat op de RADIUS-server en de draadloze klanten is ingesteld. Nadat 802.1x op het WLC is geactiveerd, kan via het WLC alle typen EAP-pakketten tussen de LAP, de draadloze client en de RADIUS-server lopen.

   Deze documenten bieden voorbeelden van de configuratie van een aantal MAP-authenticatietypen:

   • PEAP onder Unified Wireless Networks met ACS 4.0 en Windows 2003

   • EAP-TLS onder Unified Wireless Network met ACS 4.0 en Windows 2003

   • PPP-verificatie met WLAN-controllers (WLC) - configuratievoorbeeld

Draadloze client configureren voor 802.1x verificatie

Volg deze stappen om de draadloze LAN-client voor deze instelling te configureren:

1. Klik om een nieuw profiel te maken op het tabblad Profile Management in de ADU.

2. Klik op New (Nieuw).

3. Wanneer het venster Profile Management (General) wordt weergegeven, voltooit u deze stappen om de profielnaam, de clientnaam en SSID te instellen:

   1. Voer de naam van het profiel in het veld Profielnaam in.

      Dit voorbeeld gebruikt EAPAuth als de profielnaam.

   2. Voer de naam van de client in het veld Naam client in.

      De clientnaam wordt gebruikt om de draadloze client in het WLAN-netwerk te identificeren. Deze configuratie gebruikt client 3 voor de naam van de client.

   3. Voer onder Netwerknamen de SSID in dat voor dit profiel moet worden gebruikt.

      SSID is hetzelfde als SSID dat u op de WLC hebt ingesteld. SSID in dit voorbeeld is 802.1x.

      

4. Klik op het tabblad Beveiliging.

   

5. Klik op de radioknop 802.1x.

6. Kies het MAP-type dat in de vervolgkeuzelijst 802.1x EAP-type wordt gebruikt.

7. Klik op Configureren om parameters te configureren die specifiek zijn voor het geselecteerde MAP-type.

   

8. Klik op Apply (Toepassen).

   Wanneer SSID wordt geactiveerd, sluit de draadloze client zich aan op WLAN met behulp van 802.1x-verificatie. Dynamische de sleutels van het gebruik van een van de sleutels voor de sessies.

   

Statische Wi-Fi + 802.1x-verificatie

Dit voorbeeld toont een WLAN dat met statische EFN + 802.1x authenticatie wordt geconfigureerd.

Volg deze stappen om de WLC te configureren voor deze instelling:

1. Klik op WLAN’s van de controller GUI om een WLAN-functie te maken.

   Het WLAN-venster verschijnt. Dit venster toont de WLAN’s die op de controller zijn geconfigureerd.

2. Klik op New om een nieuwe WLAN te configureren.

3. Voer de WLAN-id en WLAN-sid in.

   In dit voorbeeld, wordt WLAN genoemd en wordt voorkomen met behulp van EFG+802.1x, en is de WLAN-id 4.

   

4. Klik op Apply (Toepassen).

5. In het venster WLAN > Bewerken definieert u de parameters die specifiek zijn voor WLAN.

   1. Kies in de vervolgkeuzelijst Layer 2 de optie Static-Wireless+802.1x.

      Dit maakt zowel Statische Wi als 802.1x-verificatie voor deze WLAN mogelijk.

   2. Selecteer onder RADIUS-serverparameters de RADIUS-server die gebruikt zal worden om de clientreferenties te authentiseren met 802.1x en stel de RADIUS-server in zoals in het vorige voorbeeld.

   3. Selecteer onder de parameters van Statisch EFN de de zeer belangrijke grootte en de zeer belangrijke index van EFN, en voer de statische sleutel van de encryptie van EFG in zoals in het vorige beeld wordt getoond.

   4. Kies andere parameters op basis van uw ontwerpvereisten.

      Dit voorbeeld gebruikt de standaardwaarden.

Configureer de draadloze client voor Statische Wi-Fi en 802.1x

Zie de Draadloze client configureren voor 802.1x-verificatie en draadloze client configureren voor secties Static waarop u de draadloze client kunt configureren.

Zodra de clientprofielen zijn gemaakt, worden klanten die zijn ingesteld voor statische EFG-associaties met de LAP. Gebruik SSID+802.1x om verbinding te maken met het netwerk.

Op dezelfde manier worden draadloze klanten die zijn geconfigureerd voor het gebruik van 802.1x-authenticatie geauthentiseerd met EAP en hebben zij toegang tot het netwerk met dezelfde SSID+802.1x.

Wi-Fi beschermde toegang

Dit voorbeeld toont een WLAN dat met WAP met 802.1x wordt geconfigureerd.

De WLC configureren voor WAP

Volg deze stappen om de WLC te configureren voor deze instelling:

1. Klik op WLAN’s van de controller GUI om een WLAN-functie te maken.

   Het WLAN-venster verschijnt. Dit venster toont de WLAN’s die op de controller zijn geconfigureerd.

2. Klik op Go om een nieuwe WLAN te configureren.

   Kies het type en de profielnaam. In dit voorbeeld, wordt WLAN genoemd WAP, en de WLAN-id is 5.

   

3. Klik op Apply (Toepassen).

4. In het venster WLAN > Bewerken definieert u de parameters die specifiek zijn voor WLAN.

   

   1. Klik op het tabblad Beveiliging, klik op het tabblad Layer 2 en kies WAP1+WAP2 in de vervolgkeuzelijst Layer 2 Security.

   2. Schakel onder de optie WAP1+WAP2-parameters in het dialoogvenster WAP1-beleid om WAP1 in te schakelen, de optie WAP2-beleid in om WAP2 in te schakelen, of controleer beide vinkjes om zowel WAP1 als WAP2 in te schakelen.

      De standaardwaarde is uitgeschakeld voor zowel WAP1 als WAP2. Als u zowel WAP1 als WAP2 uitgeschakeld laat, maken de access points advertenties in hun bakens en zullen de responsinformatie alleen voor de door u gekozen methode voor verificatiesleutomanagement beschikbaar zijn.

   3. Controleer het aankruisvakje AES om AES-gegevenscodering of het aankruisvakje TKIP in te schakelen om TKIP-gegevensencryptie voor WAP1, WAP2 of beide in te schakelen.

      De standaardwaarden zijn TKIP voor WAP1 en AES voor WAP2.

   4. Kies een van deze belangrijke beheermethoden uit de vervolgkeuzelijst Auth Key Mgmt:

      • 802.1X-Als u deze optie kiest, worden alleen 802.1x-clients ondersteund.

      • CCKM-Als u deze optie kiest, worden alleen CCKM klanten ondersteund, waar klanten naar een externe server worden gestuurd voor authenticatie.

      • PSK - Als u deze optie kiest, wordt een vooraf gedeelde sleutel gebruikt voor de WLC en de client. Bovendien zijn alle normen vastgesteld om te worden gebruikt vóór de normen; Bijvoorbeeld, WAP/WAP2 neemt precedent over CCKM wanneer gebruikt gelijktijdig.

      • 802.1X+CCKM-Als u deze optie kiest, worden zowel CCKM- als niet-CCKM-clients ondersteund (optioneel CCKM).

      Dit voorbeeld gebruikt 802.1x.

      

      Opmerking: Als u PSK kiest, kiest u ascii of hex in de vervolgkeuzelijst PSK Format en zet u vervolgens een vooraf gedeelde sleutel in het blancoveld in. De pre-gedeelde toetsen van WAP moeten 8 tot 63 ASCII teksttekens of 64 hex tekens bevatten.

5. Klik op Toepassen om de wijzigingen toe te passen.

De draadloze client voor WAP configureren

Volg deze stappen om de draadloze LAN-client voor deze instelling te configureren:

1. Klik in het venster Profile Management op de ADU op New om een nieuw profiel te maken.

2. Klik op het tabblad Algemeen en voer de profielnaam en de SSID in die de clientadapter zal gebruiken.

   In dit voorbeeld zijn de profielnaam en de SSID WAP. SSID moet overeenkomen met SSID dat u op WLC voor WAP hebt ingesteld.

   

3. Klik in het tabblad Beveiliging op de knop WAP/WAP/CCKM en kies het juiste MAP-type in de vervolgkeuzelijst WAP/WAP/CCKM EAP. Deze stap maakt WAP mogelijk.

   

4. Klik op Configureren om de MAP-instellingen te definiëren die specifiek zijn voor het geselecteerde type MAP.

   

5. Klik op OK.

   Opmerking: Wanneer dit profiel is geactiveerd, is de client geauthentiseerd met 802.1x en wanneer verificatie succesvol is, sluit de client zich aan op WLAN. Controleer de huidige status van de ADU om te controleren of de client TKIP-encryptie (standaardencryptie gebruikt door WAP1) en EAP-verificatie gebruikt.

   

CKIP

Dit voorbeeld toont een WLAN dat met CKIP is geconfigureerd.

Configureer de WLC voor CKIP

Volg deze stappen om de WLC te configureren voor deze instelling:

1. Klik op WLAN’s van de controller GUI om een WLAN-functie te maken.

   Het WLAN-venster verschijnt. Dit venster toont de WLAN’s die op de controller zijn geconfigureerd.

2. Klik op New om een nieuwe WLAN te configureren.

   Kies het type en de profielnaam. In dit voorbeeld, wordt WLAN genoemd CKIP en de WLAN-id is 6.

   

3. In het venster WLAN > Bewerken definieert u de parameters die specifiek zijn voor WLAN.

   1. Kies in de vervolgkeuzelijst Layer 2 de optie CKIP.

      Deze stap stelt CKIP in voor dit WLAN.

   2. Selecteer onder de CKIP-parameters de sleutelgrootte en de sleutelindex en voer de statische coderingstoets in.

      De sleutelgrootte kan 40 bits, 104 bits of 128 bits zijn. De sleutelindex kan tussen 1 en 4 liggen. Eén unieke EFN-sleutelindex kan op elk WLAN worden toegepast. Omdat er slechts vier de zeer belangrijke indexen van de EVN zijn, kunnen slechts vier WLANs voor statische de encryptie van de Laag 2 worden gevormd.

   3. Kies voor CKIP de optie MMH-modus of de optie Key Permutation, of beide.

      Opmerking: Ofwel een van deze parameters of beide moet voor CKIP geselecteerd zijn om te werken zoals verwacht. Als deze parameters niet geselecteerd zijn, blijft WLAN in de uitgeschakeld toestand.

      In dit voorbeeld wordt een 104-bits toets gebruikt en de toets is 1234567890abc.

      

4. Kies andere parameters op basis van uw ontwerpvereisten.

   Dit voorbeeld gebruikt de standaardwaarden.

   

5. Klik op Apply (Toepassen).

   Opmerking: CKIP is functioneel op de 1100, 1130 en 1200 APs, maar niet op AP 1000. Aironet IE moet ingeschakeld zijn voor deze functie. CKIP breidt de encryptiesleutels uit tot 16 bytes.

De draadloze client voor CKIP configureren

Volg deze stappen om de draadloze LAN-client voor deze instelling te configureren:

1. Klik om een nieuw profiel te maken op het tabblad Profielbeheer in de automatische documentinvoer en klik vervolgens op Nieuw.

2. Wanneer het venster Profile Management (General) wordt weergegeven, voltooit u deze stappen om de profielnaam, de clientnaam en SSID te instellen:

   1. Voer de naam van het profiel in het veld Profielnaam in.

      Dit voorbeeld gebruikt CKIP als de profielnaam.

   2. Voer de naam van de client in het veld Naam client in.

      De clientnaam wordt gebruikt om de draadloze client in het WLAN-netwerk te identificeren. Deze configuratie gebruikt Client6 voor de naam van de client.

   3. Voer onder Netwerknamen de SSID in dat voor dit profiel moet worden gebruikt.

      SSID is hetzelfde als SSID dat u op de WLC hebt ingesteld. SSID in dit voorbeeld is CKIP.

      

3. Klik op het tabblad Beveiliging.

4. Kies Vooraf gedeelde sleutel (Statische Wi) onder Instellen Veiligheidsopties, klik Configureren, en definieer de de de sleutel van de EVN en de sleutel van de EVN.

   Deze waarden moeten overeenkomen met de EFN-toets die op de WLC is ingesteld voor deze WLAN.

   

   

5. Klik op OK.

   Wanneer SSID wordt geactiveerd, onderhandelt de draadloze client met LAP en WLC om CKIP te gebruiken voor encryptie van de pakketten.

   

Layer 3 beveiligingsoplossingen

Web Policy (webverificatie en -doorgifte)

Raadpleeg het Configuratievoorbeeld van draadloze LAN-controllers voor informatie over het inschakelen van webverificatie in een WLAN-netwerk.

Raadpleeg Externe webverificatie met draadloze LAN-controllers Configuratievoorbeeld voor informatie over de configuratie van externe web-verificatie en webpassthrough-verificatie in een WLAN.

Raadpleeg het gedeelte Draadloze LAN-controller op Web Pass Configuration voor meer informatie over het inschakelen van webdoorvoer in een WLAN-netwerk.

Het Splash Page Mechanisme is een Layer 3 veiligheidsmechanisme dat in WLC versie 5.0 wordt geïntroduceerd en gebruikt wordt voor de verificatie van klanten. Raadpleeg het voorbeeld voor configuratie van draadloze LAN-controllers. Pagina-omleiding voor meer informatie.

VPN-doorgifte

Raadpleeg Client VPN via Wireless LAN met WLC Configuration Voorbeeld voor informatie over de manier waarop u VPN-doorvoer in een WLAN kunt configureren.

Problemen oplossen

Opdrachten voor troubleshooting

U kunt deze debug opdrachten gebruiken om problemen met uw configuratie op te lossen.

Debugs voor webverificatie:

• debug mac addr <client-MAC-adres xx:xx:xx:xx:xx:xx>—hiermee wordt het MAC-adres voor de client beveiligd.

• debug a allen toelaat—Configureer het zuiveren van alle AAA berichten.

• debug van pem state wellicht— configuratie debug van beleidsbeheerder State Machine

• debug van pem gebeurtenissen: configuratie debug van beleidsbeheergebeurtenissen.

• debug dhcp-bericht stelt u in staat—gebruik deze opdracht om debuginformatie te tonen over de client van het Dynamic Host Configuration Protocol (DHCP) en de status van DHCP-pakketten te controleren.

• debug DHCP-pakketsnelheid; gebruik deze opdracht om informatie op DHCP-pakketniveau weer te geven.

• debug pm ssh-appgw laat toe-Configureert debug van toepassingsgateways.

• debug pm ssh-tcp activeren —hiermee wordt het debug van tcp-verwerking van beleidsmanager ingesteld

Debugs voor NUL: Geen debug voor medegebruik omdat deze wordt uitgevoerd op AP, zet debug punt11 aan allen.

Debugs voor 802.1X/WAP/RSN/PMK-caching:

• debug mac addr <client-MAC-adres xx:xx:xx:xx:xx:xx>—hiermee wordt het MAC-adres voor de client ingesteld.

• debug dot1x allen activeren-gebruik deze opdracht om de zuiveringsinformatie van 802.1X weer te geven.

• debug dot11 allen activeren-gebruik deze opdracht om het fouilleren van radiofuncties mogelijk te maken.

• debug van pem gebeurtenissen: configuratie debug van beleidsbeheergebeurtenissen.

• debug van pem-toestand, configuratie debug van de staatsmachine van beleidsbeheerder.

• debug dhcp-bericht stelt u in staat—gebruik deze opdracht om debuginformatie te tonen over de client van het Dynamic Host Configuration Protocol (DHCP) en de status van DHCP-pakketten te controleren.

• debug DHCP-pakketsnelheid; gebruik deze opdracht om informatie op DHCP-pakketniveau weer te geven.

• debug van mobiliteit handoff (voor roaming binnen de switch) — Hiermee debug van pakketten Mobility.

• Geef clientdetails <mac>—Hier wordt gedetailleerde informatie weergegeven voor een client per mac-adres. Controleer de WLAN- en RADIUS-configuratie van de sessie.

Gerelateerde informatie

• WLAN-toegang beperken op basis van SSID met WLC en Cisco Secure ACS-configuratievoorbeeld
• Configuratievoorbeeld van ACL’s op draadloze LAN-controllers
• Configuratie-gids voor Cisco draadloze LAN-controllers, release 4.0
• Draadloze ondersteuningspagina
• Technische ondersteuning en documentatie – Cisco Systems

Revisiegeschiedenis