Configurar tipos de autenticação sem fio em um ISR fixo

Introduction

Este documento fornece um exemplo de configuração que explica como configurar vários tipos de autenticação de Camada 2 em um roteador de configuração fixo integrado sem fio da Cisco para conectividade sem fio com comandos CLI.

Prerequisites

Requirements

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

• Conhecimento de como configurar os parâmetros básicos do Cisco Integrated Services Router (ISR)

• Conhecimento de como configurar o Adaptador Cliente Sem Fio 802.11a/b/g com o Aironet Desktop Utility (ADU)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco 877W ISR que executa o Cisco IOS^® Software Release 12.3(8)YI1

• Laptop com Aironet Desktop Utility versão 3.6

• Adaptador cliente 802.11 a/b/g que executa a versão de firmware 3.6

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Os roteadores de configuração fixa de serviços integrados da Cisco suportam uma solução de LAN sem fio segura, acessível e fácil de usar que combina mobilidade e flexibilidade com os recursos de nível empresarial exigidos por profissionais de rede. Com um sistema de gerenciamento baseado no software Cisco IOS, os roteadores Cisco atuam como pontos de acesso e são certificados para Wi-Fi, transceptores de LAN sem fio compatíveis com IEEE 802.11a/b/g.

Você pode configurar e monitorar os roteadores com a interface de linha de comando (CLI), o sistema de gerenciamento baseado em navegador ou o Protocolo de Gerenciamento de Rede Simples (SNMP - Simple Network Management Protocol). Este documento descreve como configurar o ISR para conectividade sem fio com os comandos CLI.

Configurar

Este exemplo mostra como configurar esses tipos de autenticação em um roteador de configuração fixa Cisco Wireless Integrated com comandos CLI.

• Autenticação aberta

• Autenticação 802.1x/EAP (Extensible Authentication Protocol)

• Autenticação de chave pré-compartilhada (WPA-PSK) de acesso protegido Wi-Fi

• Autenticação WPA (com EAP)

Observação: este documento não se concentra na autenticação compartilhada, pois é um tipo de autenticação menos seguro.

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Esta configuração usa o servidor RADIUS local no ISR sem fio para autenticar clientes sem fio com autenticação 802.1x.

Configurar autenticação aberta

A autenticação aberta é um algoritmo de autenticação nulo. O ponto de acesso concede qualquer solicitação de autenticação. A autenticação aberta permite o acesso à rede de qualquer dispositivo. Se nenhuma criptografia estiver habilitada na rede, qualquer dispositivo que conheça o SSID do ponto de acesso poderá obter acesso à rede. Com a criptografia WEP habilitada em um ponto de acesso, a própria chave WEP se torna um meio de controle de acesso. Se um dispositivo não tiver a chave WEP correta, mesmo que a autenticação seja bem-sucedida, o dispositivo não poderá transmitir dados através do ponto de acesso. Também não é possível descriptografar os dados enviados do ponto de acesso.

Este exemplo de configuração explica apenas uma autenticação aberta simples. A chave WEP pode ser tornada obrigatória ou opcional. Este exemplo configura a chave WEP como opcional para que qualquer dispositivo que não use WEP também possa autenticar e associar a esse AP.

Consulte Autenticação Aberta para obter mais informações.

Este exemplo usa essa configuração para configurar a autenticação aberta no ISR.

• Nome SSID: "abrir"

• VLAN 1

• Intervalo de servidores DHCP internos: 10.1.0.0/16

Observação: por uma questão de simplicidade, este exemplo não usa nenhuma técnica de criptografia para clientes autenticados.

Conclua estas ações no roteador:

1. Configurar o Integrated Routing and Bridging (IRB) e o grupo de bridge

2. Configurar a interface virtual com bridge (BVI)

3. Configurar o SSID para autenticação aberta

4. Configurar o servidor DHCP interno para os clientes sem fio desta VLAN

Configurar o Integrated Routing and Bridging (IRB) e o grupo de bridge

Conclua estas ações:

1. Ative o IRB no roteador.

   router<configure>#bridge irb

   Observação: se todos os tipos de segurança forem configurados em um único roteador, basta ativar o IRB apenas uma vez globalmente no roteador. Ele não precisa ser ativado para cada tipo de autenticação individual.

2. Defina um grupo de bridge.

   Este exemplo usa o número de grupo de ponte 1.

   router<configure>#bridge 1

3. Escolha o protocolo spanning tree para o grupo de bridge.

   Aqui, o protocolo de spanning tree IEEE está configurado para esse grupo de bridge.

   router<configure>#bridge 1 protocol ieee

4. Habilite um BVI para aceitar e rotear pacotes roteáveis recebidos de seu grupo de bridge correspondente.

   Este exemplo permite que o BVI aceite e roteie o pacote IP.

   router<configure>#bridge 1 route ip

Configurar a interface virtual com bridge (BVI)

Conclua estas ações:

1. Configure o BVI.

   Configure o BVI quando você atribuir o número correspondente do grupo de bridge ao BVI. Cada grupo de bridge pode ter apenas um BVI correspondente. Este exemplo atribui o grupo de bridge número 1 ao BVI.

   router<configure>#interface BVI <1>

2. Atribua um endereço IP à BVI.

   router<config-if>#endereço ip 10.1.1.1 255.255.0.0

   router<config-if>#no shut

Consulte Configurar Bridging para obter informações detalhadas sobre Bridging.

Configurar o SSID para autenticação aberta

Conclua estas ações:

1. Ative a interface de rádio

   Para habilitar a interface de rádio, vá para o modo de configuração da interface de rádio DOT11 e atribua um SSID à interface.

   router<config>#interface dot11radio0

   router<config-if>#no shutdown

   <config-if>#ssid aberta

   O tipo de autenticação aberta pode ser configurado em combinação com a autenticação de endereço MAC. Nesse caso, o ponto de acesso força todos os dispositivos clientes a executar a autenticação de endereço MAC antes que eles tenham permissão para ingressar na rede.

   A autenticação aberta também pode ser configurada junto com a autenticação EAP. O ponto de acesso força todos os dispositivos clientes a executar a autenticação EAP antes que eles tenham permissão para se juntar à rede. Para o nome da lista, especifique a lista do método de autenticação.

   Um ponto de acesso configurado para autenticação EAP força todos os dispositivos de cliente que se associam a executar a autenticação EAP. Os dispositivos clientes que não usam EAP não podem usar o ponto de acesso.

2. Vincule o SSID a uma VLAN.

   Para habilitar o SSID nessa interface, vincule o SSID à VLAN no modo de configuração de SSID.

   router<config-ssid>vlan 1

3. Configure o SSID com autenticação aberta.

   router<config-ssid>#authentication open

4. Configure a interface de rádio para a chave WEP opcional.

   router<config>#encryption vlan 1 mode WEP opcional

5. Ative a VLAN na interface de rádio.

   router<config>#interface Dot11Radio 0.1

   router<config-subif>#encapsulation dot1Q 1

   router<config-subif>#bridge-group 1

Configurar o servidor DHCP interno para os clientes sem fio desta VLAN

Digite estes comandos no modo de configuração global para configurar o servidor DHCP interno para os clientes sem fio desta VLAN:

• ip dhcp excluded-address 10.1.1.1 10.1.1.5

• ip dhcp pool open

No modo de configuração do pool DHCP, digite estes comandos:

• network 10.1.0.0 255.255.0.0

• default-router 10.1.1.1

Configurar a autenticação 802.1x/EAP

Esse tipo de autenticação fornece o mais alto nível de segurança para sua rede sem fio. Com o Extensible Authentication Protocol (EAP) usado para interagir com um servidor RADIUS compatível com EAP, o ponto de acesso ajuda um dispositivo cliente sem fio e o servidor RADIUS a executar a autenticação mútua e derivar uma chave WEP unicast dinâmica. O servidor RADIUS envia a chave WEP ao ponto de acesso, que a usa para todos os sinais de dados unicast que envia ou recebe do cliente.

Consulte Autenticação EAP para obter mais informações.

Este exemplo usa esta configuração:

• Nome SSID: salto

• VLAN 2

• Intervalo de servidores DHCP internos: 10.2.0.0/16

Este exemplo usa a autenticação LEAP como o mecanismo para autenticar o cliente sem fio.

Observação: consulte Cisco Secure ACS para Windows v3.2 com autenticação de máquina EAP-TLS para configurar EAP-TLS.

Observação: consulte Configurando o Cisco Secure ACS para Windows v3.2 com autenticação de máquina PEAP-MS-CHAPv2 para configurar PEAP-MS-CHAPv2.

Observação: entenda que toda a configuração desses tipos de EAP envolve principalmente as alterações de configuração no lado do cliente e no lado do servidor de autenticação. A configuração no roteador sem fio ou no ponto de acesso mais ou menos permanece a mesma para todos esses tipos de autenticação.

Observação: como mencionado inicialmente, essa configuração usa o servidor RADIUS local no ISR sem fio para autenticar clientes sem fio com autenticação 802.1x.

Conclua estas ações no roteador:

1. Configurar o Integrated Routing and Bridging (IRB) e o grupo de bridge

2. Configurar a interface virtual com bridge (BVI)

3. Configurar o servidor RADIUS local para autenticação EAP

4. Configurar o SSID para a autenticação 802.1x/EAP

5. Configurar o servidor DHCP interno para os clientes sem fio desta VLAN

Configurar o Integrated Routing and Bridging (IRB) e o grupo de bridge

Conclua estas ações:

1. Ative o IRB no roteador.

   router<configure>#bridge irb

   Observação: se todos os tipos de segurança forem configurados em um único roteador, basta ativar o IRB apenas uma vez globalmente no roteador. Ele não precisa ser ativado para cada tipo de autenticação individual.

2. Defina um grupo de bridge.

   Este exemplo usa o bridge-group number 2.

   router<configure>#bridge 2

3. Escolha o protocolo spanning tree para o grupo de bridge.

   Aqui, o protocolo de spanning tree IEEE está configurado para esse grupo de bridge.

   router<configure>#bridge 2 protocol ieee

4. Escolha o protocolo spanning tree para o grupo de bridge.

   Aqui, o protocolo de spanning tree IEEE está configurado para esse grupo de bridge.

   router<configure>#bridge 2 protocol ieee

5. Habilite um BVI para aceitar e rotear pacotes roteáveis recebidos de seu grupo de bridge correspondente.

   Este exemplo permite que o BVI aceite e roteie pacotes IP.

   router<configure>#bridge 2 route ip

Configurar a interface virtual com bridge (BVI)

Conclua estas ações:

1. Configure o BVI.

   Configure o BVI quando você atribuir o número correspondente do grupo de bridge ao BVI. Cada grupo de bridge pode ter apenas um BVI correspondente. Este exemplo atribui o grupo de bridge número 2 ao BVI.

   router<configure>#interface BVI <2>

2. Atribua um endereço IP à BVI.

   router<config-if>#endereço ip 10.2.1.1 255.255.0.0

   router<config-if>#no shut

Configurar o servidor RADIUS local para autenticação EAP

Como mencionado anteriormente, este documento usa o servidor RADIUS local no roteador com reconhecimento de conexões sem fio para autenticação EAP.

1. Ative o modelo de controle de acesso de autenticação, autorização e contabilização (AAA).

   router<configure>#aaa new-model

2. Crie um mapa de leitura do grupo de servidores para o servidor RADIUS.

   router<configure>#aaa group server radius rad-eap server 10.2.1.1 auth-port 1812 acct-port 1813

3. Crie uma lista de métodos eap_methods que liste o método de autenticação usado para autenticar o usuário de login AAA. Atribua a lista de métodos a este grupo de servidores.

   <configure>#aaa authentication login eap_methods group rad-eap

4. Ative o roteador como um servidor de autenticação local e entre no modo de configuração para o autenticador.

   router<configure>#radius-server local

5. No modo de configuração do servidor Radius, adicione o roteador como um cliente AAA do servidor de autenticação local.

   router<config-radsrv>#nas 10.2.1.1 chave Cisco

6. Configure user user1 no servidor Radius local.

   router<config-radsrv>#user user1 password user1 group rad-eap

7. Especifique o host do servidor RADIUS.

   router<config-radsrv>#radius-server host 10.2.1.1 auth-port 1812 acct-port 1813 key cisco

   Observação: essa chave deve ser a mesma especificada no comando nas no modo de configuração do servidor radius.

Configurar o SSID para a autenticação 802.1x/EAP

A configuração da interface de rádio e do SSID associado para 802.1x/EAP envolve a configuração de vários parâmetros sem fio no roteador, que inclui o SSID, o modo de criptografia e o tipo de autenticação. Este exemplo usa o SSID chamado leap.

1. Ative a interface de rádio.

   Para habilitar a interface de rádio, vá para o modo de configuração da interface de rádio DOT11 e atribua um SSID à interface.

   router<config>#interface dot11radio0

   router<config-if>#no shutdown

   router<config-if>#ssid leap

2. Vincule o SSID a uma VLAN.

   Para habilitar o SSID nessa interface, vincule o SSID à VLAN no modo de configuração de SSID.

   router<config-ssid>#vlan 2

3. Configure o SSID com autenticação 802.1x/LEAP.

   router<config-ssid>#authentication network-eap eap_methods

4. Configure a interface de rádio para o gerenciamento de chave dinâmica.

   router<config>#encryption vlan 2 mode ciphers wep40

5. Ative a VLAN na interface de rádio.

   router<config>#interface Dot11Radio 0.2

   router<config-subif>#encapsulation dot1Q 2

   router<config-subif>#bridge-group 2

Configurar o servidor DHCP interno para os clientes sem fio desta VLAN

Digite estes comandos no modo de configuração global para configurar o servidor DHCP interno para os clientes sem fio desta VLAN:

• ip dhcp excluded-address 10.2.1.1 10.2.1.5

• ip dhcp pool leapauth

No modo de configuração do pool DHCP, digite estes comandos:

• network 10.2.0.0 255.255.0.0

• default-router 10.2.1.1

Gerenciamento de chaves WPA

O Wi-Fi Protected Access é uma melhoria de segurança interoperável baseada em padrões que aumenta significativamente o nível de proteção de dados e controle de acesso para sistemas de LAN sem fio atuais e futuros.

Consulte Gerenciamento de chaves WPA para obter mais informações.

O gerenciamento de chaves WPA suporta dois tipos de gerenciamento mutuamente exclusivos: Chave pré-compartilhada WPA (WPA-PSK) e WPA (com EAP).

Configurando WPA-PSK

A WPA-PSK é usada como um tipo de gerenciamento de chave em uma LAN sem fio onde a autenticação baseada em 802.1x não está disponível. Nessas redes, você deve configurar uma chave pré-compartilhada no ponto de acesso. Você pode inserir a chave pré-compartilhada como caracteres ASCII ou hexadecimais. Se você digitar a chave como caracteres ASCII, insira entre 8 e 63 caracteres e o ponto de acesso expande a chave com o processo descrito no Padrão de criptografia baseado em senha (RFC2898). Se você digitar a chave como caracteres hexadecimais, deverá digitar 64 caracteres hexadecimais.

Este exemplo usa esta configuração:

• Nome SSID: wpa compartilhado

• VLAN 3

• Intervalo de servidores DHCP internos: 10.3.0.0/16

Conclua estas ações no roteador:

1. Configurar o Integrated Routing and Bridging (IRB) e o grupo de bridge

2. Configurar a interface virtual com bridge (BVI)

3. Configurar o SSID para a autenticação WPA-PSK

4. Configurar o servidor DHCP interno para os clientes sem fio desta VLAN

Configurar o Integrated Routing and Bridging (IRB) e o grupo de bridge

Conclua estas ações:

1. Ative o IRB no roteador.

   router<configure>#bridge irb

   Observação: se todos os tipos de segurança forem configurados em um único roteador, basta ativar o IRB apenas uma vez globalmente no roteador. Ele não precisa ser ativado para cada tipo de autenticação individual.

2. Defina um grupo de bridge.

   Este exemplo usa o número de grupo de bridge 3.

   router<configure>#bridge 3

3. Escolha o protocolo spanning tree para o grupo de bridge.

   O protocolo de spanning tree IEEE está configurado para esse grupo de bridge.

   router<configure>#bridge 3 protocol ieee

4. Habilite um BVI para aceitar e rotear pacotes roteáveis recebidos de seu grupo de bridge correspondente.

   Este exemplo permite que o BVI aceite e roteie pacotes IP.

   router<configure>#bridge 3 route ip

Configurar a interface virtual com bridge (BVI)

Conclua estas ações:

1. Configure o BVI.

   Configure o BVI quando você atribuir o número correspondente do grupo de bridge ao BVI. Cada grupo de bridge pode ter apenas um BVI correspondente. Este exemplo atribui o grupo de bridge número 3 ao BVI.

   router<configure>#interface BVI <2>

2. Atribua um endereço IP à BVI.

   router<config-if>#endereço ip 10.3.1.1 255.255.0.0

   router<config-if>#no shut

Configurar o SSID para a autenticação WPA-PSK

Conclua estas ações:

1. Ative a interface de rádio.

   Para habilitar a interface de rádio, vá para o modo de configuração da interface de rádio DOT11 e atribua um SSID à interface.

   router<config>#interface dot11radio0

   router<config-if>#no shutdown

   router<config-if>#ssid wpa-shared

2. Para habilitar o gerenciamento de chaves WPA, primeiro configure a cifra de criptografia WPA para a interface VLAN. Este exemplo usa tkip como cifra de criptografia..

   Digite este comando para especificar o tipo de gerenciamento da chave WPA na interface de rádio.

   router<config>#interface dot11radio0

   router(config-if)#encryption vlan 3 mode ciphers tkip

3. Vincule o SSID a uma VLAN.

   Para habilitar o SSID nessa interface, vincule o SSID à VLAN no modo de configuração de SSID.

   router<config-ssid>vlan 3

4. Configure o SSID com a autenticação WPA-PSK.

   Você precisa configurar a autenticação EAP aberta ou de rede primeiro no modo de configuração de SSID para ativar o gerenciamento de chaves WPA. Este exemplo configura a autenticação aberta.

   router<config>#interface dot11radio0

   router<config-if>#ssid wpa-shared

   router<config-ssid>#authentication open

   Agora, ative o gerenciamento de chaves WPA no SSID. O comando key management cipher tkip já está configurado para esta VLAN.

   router(config-if-ssid)#authentication key-management wpa

   Configure a autenticação WPA-PSK no SSID.

   router(config-if-ssid)#wpa-psk ascii 1234567890 !— 1234567890 é o valor da chave pré-compartilhada para este SSID. Certifique-se de que a mesma chave está especificada para este SSID no lado do cliente.

5. Ative a VLAN na interface de rádio.

   router<config>#interface Dot11Radio 0.3

   router<config-subif>#encapsulation dot1Q 3

   router<config-subif>#bridge-group 3

Configurar o servidor DHCP interno para os clientes sem fio desta VLAN

Digite estes comandos no modo de configuração global para configurar o servidor DHCP interno para os clientes sem fio desta VLAN:

• ip dhcp excluded-address 10.3.1.1 10.3.1.5

• ip dhcp pool wpa-psk

No modo de configuração do pool DHCP, digite estes comandos:

• network 10.3.0.0 255.255.0.0

• default-router 10.3.1.1

Configurar a autenticação WPA (com EAP)

Este é outro tipo de gerenciamento de chave WPA. Aqui, os clientes e o servidor de autenticação autenticam-se entre si com um método de autenticação EAP, e o cliente e o servidor geram uma chave mestra emparelhada (PMK). Com a WPA, o servidor gera o PMK dinamicamente e o passa para o ponto de acesso, mas, com a WPA-PSK, você configura uma chave pré-compartilhada no cliente e no ponto de acesso, e essa chave pré-compartilhada é usada como PMK.

Consulte WPA com autenticação EAP para obter mais informações.

Este exemplo usa esta configuração:

• Nome SSID: wpa-dot1x

• VLAN 4

• Intervalo de servidores DHCP internos: 10.4.0.0/16

Conclua estas ações no roteador:

1. Configurar o Integrated Routing and Bridging (IRB) e o grupo de bridge

2. Configurar a interface virtual com bridge (BVI)

3. Configure o servidor RADIUS local para autenticação WPA.

4. Configurar o SSID para WPA com autenticação EAP

5. Configurar o servidor DHCP interno para os clientes sem fio desta VLAN

Configurar o Integrated Routing and Bridging (IRB) e o grupo de bridge

Conclua estas ações:

1. Ative o IRB no roteador.

   router<configure>#bridge irb

   Observação: se todos os tipos de segurança forem configurados em um único roteador, basta ativar o IRB apenas uma vez globalmente no roteador. Ele não precisa ser ativado para cada tipo de autenticação individual.

2. Defina um grupo de Bridge.

   Este exemplo usa o número de grupo de ponte 4.

   router<configure>#bridge 4

3. Selecione o protocolo spanning tree para o grupo de bridge.

   Aqui, o protocolo de spanning tree IEEE está configurado para esse grupo de bridge.

   router<configure>#bridge 4 protocol ieee

4. Habilite um BVI para aceitar e rotear os pacotes roteáveis recebidos de seu grupo de bridge correspondente.

   Este exemplo permite que o BVI aceite e roteie pacotes IP.

   router<configure>#bridge 4 route ip

Configurar a interface virtual com bridge (BVI)

Conclua estas ações:

1. Configure o BVI.

   Configure o BVI quando você atribuir o número correspondente do grupo de bridge ao BVI. Cada grupo de bridge pode ter apenas um BVI correspondente. Este exemplo atribui o grupo de bridge número 4 ao BVI.

   router<configure>#interface BVI <4>

2. Atribua um endereço IP à BVI.

   router<config-if>#endereço ip 10.4.1.1 255.255.0.0

   router<config-if>#no shut

Configurar o servidor RADIUS local para autenticação WPA

Consulte a seção Autenticação 802.1x/EAP para obter o procedimento detalhado.

Configurar o SSID para WPA com autenticação EAP

Conclua estas ações:

1. Ative a interface do rádio.

   Para habilitar a interface de rádio, vá para o modo de configuração da interface de rádio DOT11 e atribua um SSID à interface.

   router<config>#interface dot11radio0

   router<config-if>#no shutdown

   router<config-if>#ssid wpa-dot1x

2. Para habilitar o gerenciamento de chaves WPA, primeiro configure a cifra de criptografia WPA para a interface VLAN. Este exemplo usa tkip como cifra de criptografia..

   Digite este comando para especificar o tipo de gerenciamento da chave WPA na interface de rádio.

   router<config>#interface dot11radio0

   router(config-if)#encryption vlan 4 mode ciphers tkip

3. Vincule o SSID a uma VLAN.

   Para habilitar o SSID nessa interface, vincule o SSID à VLAN no modo de configuração do SSID.

   vlan 4

4. Configure o SSID com a autenticação WPA-PSK.

   Para configurar a interface de rádio para WPA com autenticação EAP, primeiro configure o SSID associado para EAP de rede.

   router<config>#interface dot11radio0

   router<config-if>#ssid wpa-shared

   router<config-ssid>#authentication network eap eap_methods

5. Agora, ative o gerenciamento de chaves WPA no SSID. O comando key management cipher tkip já está configurado para esta VLAN.

   router(config-if-ssid)#authentication key-management wpa

6. Ative a VLAN na interface de rádio.

   router<config>#interface Dot11Radio 0.4

   router<config-subif>#encapsulation dot1Q 4

   router<config-subif>#bridge-group 4

Configurar o servidor DHCP interno para os clientes sem fio desta VLAN

Digite estes comandos no modo de configuração global para configurar o servidor DHCP interno para os clientes sem fio desta VLAN:

• ip dhcp excluded-address 10.4.1.1 10.4.1.5

• ip dhcp pool wpa-dot1shared

No modo de configuração do pool DHCP, digite estes comandos:

• network 10.4.0.0 255.255.0.0

• default-router 10.4.1.1

Configurar cliente sem fio para autenticação

Depois de configurar o ISR, configure o cliente sem fio para diferentes tipos de autenticação, conforme explicado, de modo que o roteador possa autenticar esses clientes sem fio e fornecer acesso à rede WLAN. Este documento usa o Cisco Aironet Desktop Utility (ADU) para configuração do lado do cliente.

Configurar o cliente sem fio para autenticação aberta

Conclua estes passos:

1. Na janela Gerenciamento de perfil na ADU, clique em Novo para criar um novo perfil.

   Uma nova janela é exibida onde você pode definir a configuração para autenticação aberta. Na guia Geral, insira o Nome do perfil e o SSID que o adaptador cliente usa.

   Neste exemplo, o nome do perfil e o SSID estão abertos.

   Observação: o SSID deve corresponder ao SSID configurado no ISR para autenticação aberta.

   

2. Clique na guia Segurança e deixe a opção de segurança como Nenhum para criptografia WEP. Como este exemplo usa WEP como opcional, definir esta opção como Nenhum permitirá que o cliente se associe e se comunique com êxito com a rede WLAN.

   Clique em OK.

   

3. Selecione a janela Avançado na guia Gerenciamento de perfis e defina o Modo de autenticação 802.11 como Aberto para autenticação aberta.

   

Use esta seção para confirmar se a sua configuração funciona corretamente.

1. Depois que o perfil do cliente for criado, clique em Ativar na guia Gerenciamento de perfis para ativar o perfil.

   

2. Verifique o status do ADU para obter uma autenticação bem-sucedida.

   

Configurar o cliente sem fio para autenticação 802.1x/EAP

Conclua estes passos:

1. Na janela Gerenciamento de perfil na ADU, clique em Novo para criar um novo perfil.

   Uma nova janela é exibida onde você pode definir a configuração para autenticação aberta. Na guia Geral, insira o Nome do perfil e o SSID que o adaptador cliente usa.

   Neste exemplo, o nome do perfil e o SSID são saltos.

2. Em Gerenciamento de perfis, clique na guia Segurança, defina a opção de segurança como 802.1x e escolha o tipo de EAP apropriado. Este documento usa LEAP como o tipo de EAP para autenticação. Agora, clique em Configurar para definir as configurações de nome de usuário e senha LEAP.

   Observação:  Observação: O SSID deve corresponder ao SSID configurado no ISR para autenticação 802.1x/EAP.

   

3. Nas configurações de nome de usuário e senha, este exemplo escolhe Solicitar manualmente o nome de usuário e a senha para que o cliente seja solicitado a inserir o nome de usuário e a senha corretos enquanto o cliente tenta se conectar à rede. Click OK.

   

Use esta seção para confirmar se a sua configuração funciona corretamente.

• Depois que o perfil do cliente for criado, clique em Ativar na guia Gerenciamento de perfil para ativar o salto do perfil. Você será solicitado a fornecer o nome de usuário e a senha do salto. Este exemplo usa o nome de usuário e a senha user1. Click OK.

• Você pode observar o cliente se autenticar com êxito e receber um endereço IP do servidor DHCP configurado no roteador.

  

Configurar o cliente sem fio para autenticação WPA-PSK

Conclua estes passos:

1. Na janela Gerenciamento de perfil na ADU, clique em Novo para criar um novo perfil.

   Uma nova janela é exibida onde você pode definir a configuração para autenticação aberta. Na guia Geral, insira o Nome do perfil e o SSID que o adaptador cliente usa.

   Neste exemplo, o nome do perfil e o SSID são compartilhados por wpa.

   Observação: o SSID deve corresponder ao SSID configurado no ISR para autenticação WPA-PSK.

2. Em Gerenciamento de perfis, clique na guia Segurança e defina a opção de segurança como WPA/WPA2 Passphrase. Agora, clique em Configurar para configurar a senha WPA.

   

3. Defina uma chave pré-compartilhada WPA. A chave deve ter de 8 a 63 caracteres ASCII. Click OK.

   

Use esta seção para confirmar se a sua configuração funciona corretamente.

• Depois que o perfil do cliente for criado, clique em Ativar na guia Gerenciamento de perfil para ativar o perfil wpa-compartilhado.

• Verifique se a autenticação do ADU foi bem-sucedida.

  

Configurar o cliente sem fio para autenticação WPA (com EAP)

Conclua estes passos:

1. Na janela Gerenciamento de perfil na ADU, clique em Novo para criar um novo perfil.

   Uma nova janela é exibida onde você pode definir a configuração para autenticação aberta. Na guia Geral, insira o Nome do perfil e o SSID que o adaptador cliente usa.

   Neste exemplo, o nome do perfil e o SSID são wpa-dot1x.

   Observação: o SSID deve corresponder ao SSID configurado no ISR para autenticação WPA (com EAP).

2. Em Gerenciamento de perfis, clique na guia Segurança, defina a opção de segurança como WPA/WPA2/CCKM e escolha o tipo WPA/WPA2/CCKM EAP apropriado. Este documento usa LEAP como o tipo de EAP para autenticação. Agora, clique em Configurar para definir as configurações de nome de usuário e senha LEAP.

   

3. Na área Configurações de nome de usuário e senha, este exemplo escolhe Solicitar manualmente nome de usuário e senha para que o cliente seja solicitado a inserir o nome de usuário e a senha corretos enquanto o cliente tenta se conectar à rede. Click OK.

   

Use esta seção para confirmar se a sua configuração funciona corretamente.

1. Depois que o perfil do cliente for criado, clique em Ativar na guia Gerenciamento de perfis para ativar o perfil wpa-dot1x. Você será solicitado a fornecer o nome de usuário e a senha LEAP. Este exemplo usa nome de usuário e senha como user1. Click OK.

   

2. Você pode assistir à autenticação do cliente com êxito.

   

O comando show dot11 associations da CLI do roteador exibe detalhes completos sobre o status da associação do cliente. Exemplo:

Roteador#mostrar associações dot11

802.11 Client Stations on Dot11Radio0: 

SSID [leap] : 

MAC Address    IP address      Device        Name            Parent         State     
0040.96ac.e657 10.3.0.2        CB21AG/PI21AG WCS             self         EAP-Assoc

SSID [open] : 

SSID [pre-shared] : DISABLED, not associated with a configured VLAN

SSID [wpa-dot1x] : 

SSID [wpa-shared] : 


Others:  (not related to any ssid) 

Troubleshoot

Comandos para Troubleshooting

Você pode usar esses comandos debug para solucionar problemas de sua configuração.

• debug dot11 aaa authenticator all —Ativa a depuração de pacotes de autenticação MAC e EAP.

• debug radius authentication — Exibe as negociações RADIUS entre o servidor e o cliente.

• debug radius local-server packets — Exibe o conteúdo dos pacotes RADIUS enviados e recebidos.

• debug radius local-server client — Exibe mensagens de erro sobre falhas de autenticação de cliente.

Informações Relacionadas

• Exemplos de configuração de autenticação em controladores de LAN sem fio
• Configuração de VLANs em access points
• Exemplo de configuração do roteador sem fio 1800 ISR com DHCP interno e autenticação aberta
• Guia de configuração do Cisco Wireless ISR e do ponto de acesso HWIC
• Conectividade LAN sem fio usando um ISR com criptografia WEP e exemplo de configuração de autenticação LEAP
• Suporte Técnico e Documentação - Cisco Systems
• Configurando tipos de autenticação
• Conectividade LAN sem fio usando um ISR com criptografia WEP e exemplo de configuração de autenticação LEAP

Histórico de revisões