Exemplos de configuração de autenticação em controladores de LAN sem fio

Introduction

Este documento fornece exemplos de configuração que explicam como configurar diferentes tipos de métodos de autenticação de Camada 1, Camada 2 e Camada 3 em Wireless LAN Controllers (WLCs).

Prerequisites

Requirements

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

• Conhecimento da configuração de access points Lightweight (LAPs) e WLCs da Cisco

• Conhecimento dos padrões de segurança 802.11i

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• WLC Cisco 4400 com firmware versão 6.0.182.0

• Cisco 1000 Series LAPs

• Adaptador de cliente wireless da Cisco 802.11a/b/g que executa firmware com release 2.6

• Cisco Secure ACS Server versão 3.2

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Autenticação em WLCs

A solução de segurança Cisco Unified Wireless Network (UWN) agrupa componentes de segurança 802.11 Access Point (AP) de Camada 1, Camada 2 e Camada 3 potencialmente complicados em um gerenciador de políticas simples que personaliza as políticas de segurança em todo o sistema com base em LAN (WLAN) por conexão sem fio. A solução de segurança Cisco UWN oferece ferramentas de gerenciamento de segurança simples, unificadas e sistemáticas.

Esses mecanismos de segurança podem ser implementados em WLCs.

Soluções da camada 1

Restrinja o acesso do cliente com base no número de tentativas consecutivas com falha.

Soluções da camada 2

Nenhuma autenticação —Quando esta opção é selecionada na lista suspensa Segurança de Camada 2, nenhuma autenticação de Camada 2 é executada na WLAN. Isso é o mesmo que a autenticação aberta do padrão 802.11.

WEP Estática — Com a Wired Equivalent Privacy (WEP) estática, todos os APs e as NICs de rádio clientes em uma WLAN devem usar a mesma chave de criptografia. Cada estação emissora criptografa o corpo de cada quadro com uma chave WEP antes da transmissão, e a estação receptora descriptografa-a usando uma chave idêntica na recepção.

802.1x — Configura a WLAN para usar a autenticação 802.1x. O uso do IEEE 802.1X oferece uma estrutura eficaz para autenticar e controlar o tráfego do usuário em uma rede protegida, bem como variáveis dinâmicas de chaves de criptografia. O 802.1X amarra um protocolo chamado EAP (Extensible Authentication Protocol) à mídia com fio e à WLAN e suporta vários métodos de autenticação.

WEP Estática + 802.1x — Esta opção de segurança da camada 2 habilita a 802.1x e a WEP estática. Os clientes podem usar a autenticação WEP estática ou 802.1x para se conectarem à rede.

Wi-Fi Protected Access (WPA) — O WPA, ou WPA1, e o WPA2 são soluções de segurança baseadas em padrões da Wi-Fi Alliance que fornecem proteção de dados e controle de acesso para sistemas de WLAN. O WPA1 é compatível com o padrão IEEE 802.11i, mas foi implementado antes da ratificação do padrão. O WPA 2 é a implementação da Wi-Fi Alliance do padrão IEEE 802.11i ratificado.

Por padrão, o WPA1 usa o TKIP (Temporal Key Integrity Protocol) e o MIC (Message Integrity Check) para proteção de dados. A WPA2 usa o algoritmo de criptografia Padrão de Criptografia Avançada mais forte usando o Modo de Contador com Protocolo AES-CCMP (Cipher Block Chaining Message Authentication Code Protocol). WPA1 e WPA2 usam 802.1X para gerenciamento de chave autenticado por padrão. No entanto, essas opções também estão disponíveis: PSK, CCKM e CCKM+802.1x. Se você selecionar CCKM, a Cisco só permitirá clientes que suportem CCKM. Se você selecionar CCKM+802.1x, a Cisco também permitirá clientes que não sejam CCKM.

CKIP — O Cisco Key Integrity Protocol (CKIP) é um protocolo de segurança pertencente à Cisco para a criptografia de mídias 802.11. O CKIP melhora a segurança 802.11 no modo de infraestrutura usando a permutação chave, o MIC e o número de sequência de mensagens. O software versão 4.0 suporta CKIP com chave estática. Para que esse recurso funcione corretamente, você deve habilitar os elementos de informação Aironet (IEs) para a WLAN. As configurações CKIP especificadas em uma WLAN são obrigatórias para qualquer cliente que tente se associar. Se a WLAN estiver configurada para permuta de chave CKIP e MMH MIC, o cliente deverá suportar ambos. Se a WLAN estiver configurada para apenas um desses recursos, o cliente deverá suportar apenas esse recurso CKIP. As WLCs suportam apenas CKIP estático (como WEP estático). As WLCs não suportam CKIP com 802.1x (CKIP dinâmico).

Soluções da camada 3

Nenhum —Quando esta opção é selecionada na lista suspensa de segurança da Camada 3, nenhuma autenticação da Camada 3 é executada na WLAN.

Nota:O exemplo de configuração de nenhuma autenticação da camada 3 e nenhuma autenticação da camada 2 é explicado na seção Nenhuma Autenticação.

Política da Web (Autenticação da Web e Web Passthrough) — A autenticação da Web é normalmente usada por clientes que desejam implementar uma rede com acesso de convidados. Em uma rede de acesso de convidado, há autenticação inicial de nome de usuário e senha, mas a segurança não é necessária para o tráfego subsequente. As implantações típicas podem incluir locais de "hot spot", como T-Mobile ou Starbucks.

A autenticação da Web para o Cisco WLC é feita localmente. Você cria uma interface e, em seguida, associa um identificador de conjunto de serviços/WLAN (SSID) a essa interface.

A autenticação da Web fornece autenticação simples sem um requerente ou cliente. Tenha em mente que a autenticação da Web não proporciona a criptografia de dados. A autenticação da Web é usada tipicamente como um acesso simples de convidado a um "hot spot" ou à atmosfera de campus, onde o único interesse é a conectividade.

A passagem da Web é uma solução através da qual os usuários sem fio são redirecionados para uma página de política de uso aceitável sem precisar se autenticar quando se conectam à Internet. Esse redirecionamento é feito pela própria WLC. O único requisito é configurar a WLC para a passagem da Web, que é basicamente a autenticação da Web sem precisar inserir nenhuma credencial.

VPN Passthrough — O VPN Passthrough é um recurso que permite que um cliente estabeleça um túnel somente com um servidor VPN específico. Portanto, se você precisar acessar com segurança o servidor VPN configurado, bem como outro servidor VPN ou a Internet, isso não é possível com a passagem de VPN habilitada no controlador.

Nas próximas seções, exemplos de configuração são fornecidos para cada um dos mecanismos de autenticação.

Exemplos de configuração

Antes de configurar as WLANs e os tipos de autenticação, você deve configurar a WLC para a operação básica e registrar os LAPs na WLC. Este documento pressupõe que o WLC foi configurado para operação básica e que os LAPs foram registrados no WLC. Se você for um novo usuário tentando configurar a WLC para a operação básica com LAPs, consulte Lightweight AP (LAP) Registration to a Wireless LAN Controller (WLC).

Soluções de segurança da camada 1

Os clientes sem fio podem ter acesso restrito com base no número de tentativas consecutivas de falha para acessar a rede WLAN. A exclusão do cliente ocorre nessas condições por padrão. Esses valores não podem ser alterados.

• Falha de autenticação consecutiva 802.11 (5 vezes consecutivas, 6.ª tentativa é excluída)

• Falhas Consecutivas de Associação 802.11 (5 vezes consecutivas, 6.ª tentativa é excluída)

• Falhas de Autenticação Consecutivas do 802.1x (3 vezes consecutivas, a quarta tentativa é excluída)

• Falha do servidor de política externa

• Tentativa de usar o endereço IP já atribuído a outro dispositivo (roubo de IP ou reutilização de IP)

• Autenticação da Web Consecutiva (3 vezes consecutivas, a quarta tentativa é excluída)

Para localizar as Políticas de exclusão de cliente, clique em Segurança no menu superior e escolha Políticas de proteção sem fio > Políticas de exclusão de cliente a navegação no lado esquerdo da página.

O temporizador de exclusão pode ser configurado. As opções de exclusão podem ser ativadas ou desativadas por controlador. O temporizador de exclusão pode ser ativado ou desativado por WLAN.

O número máximo de logins simultâneos para um único nome de usuário por padrão é 0. Você pode digitar qualquer valor entre 0 e 8. Esse parâmetro pode ser definido em SECURITY > AAA > User Login Policies e permite especificar o número máximo de logins simultâneos para um único nome de cliente, entre um e oito, ou 0 = ilimitado. Aqui está um exemplo:

Soluções de segurança da camada 2

Nenhuma Autenticação

Este exemplo mostra uma WLAN configurada sem autenticação.

Nota:Este exemplo também funciona para nenhuma autenticação na camada 3.

Configurar o WLC para sem autenticação

Conclua estes passos para configurar a WLC para esta configuração:

1. Clique em WLANs na GUI do controlador para criar uma WLAN.

   A janela WLANs será exibida. Essa janela lista as WLANs configuradas no controlador.

2. Clique em Ir para configurar uma nova WLAN.

3. Insira os parâmetros da WLAN. Este exemplo mostra a configuração para esta WLAN.

   

4. Clique em Apply.

5. Na janela WLAN > Editar, defina os parâmetros específicos para a WLAN.

6. Clique na guia Segurança e escolha Nenhum para segurança das camadas 2 e 3.

   

   Observação: para uma WLAN se tornar ativa, o status deve ser ativado. Para ativá-lo, marque a caixa de seleção Status na guia Geral.

   Isso ativa Sem autenticação para esta WLAN.

7. Escolha outros parâmetros com base nos requisitos do projeto. Este exemplo usa os valores padrão.

8. Clique em Apply.

Configurar cliente sem fio para sem autenticação

Conclua estes passos para configurar o cliente de LAN sem fio para esta configuração:

Nota: Este documento usa um adaptador cliente Aironet 802.11a/b/g que executa o firmware 3.5 e explica a configuração do adaptador cliente com a versão 3.5 do ADU.

1. Para criar um novo perfil, clique na guia Gerenciamento de perfil no ADU.

2. Clique em New.

3. Quando a janela Gerenciamento de perfis (Geral) for exibida, faça o seguinte para definir o nome do perfil, o nome do cliente e o SSID:

   1. Insira o nome do perfil no campo Nome do perfil.

      Este exemplo usa NoAuthentication como o nome do perfil.

   2. Insira o nome do cliente no campo Nome do cliente.

      O nome do cliente é usado para identificar o cliente sem fio na rede WLAN. Esta configuração usa o Cliente 1 para o nome do cliente.

   3. Em Network Names (Nomes de rede), digite o SSID a ser usado para esse perfil.

      O SSID é igual ao SSID que você configurou na WLC. O SSID neste exemplo é NullAuthentication.

      

4. Clique na guia Security.

   

5. Clique no botão de opção Nenhum em Definir opções de segurança e clique em OK.

   Quando o SSID é ativado, o cliente sem fio se conecta à WLAN sem autenticação.

   

WEP estático

Este exemplo mostra uma WLAN configurada com WEP estática.

Configurar WLC para WEP estático

Conclua estes passos para configurar a WLC para esta configuração:

1. Clique em WLANs na GUI do controlador para criar uma WLAN.

   A janela WLANs será exibida. Essa janela lista as WLANs configuradas no controlador.

2. Clique em Novo para configurar uma nova WLAN.

3. Digite o ID da WLAN e o SSID da WLAN.

   Neste exemplo, a WLAN é denominada StaticWEP e a ID da WLAN é 2.

   

4. Clique em Apply.

5. Na janela WLAN > Editar, defina os parâmetros específicos para a WLAN.

   1. Na lista suspensa Camada 2, escolha WEP estático.

      Isso habilita a WEP estática para esta WLAN.

   2. Em Parâmetros WEP estáticos, escolha o tamanho da chave WEP e o índice da chave e insira a chave de criptografia WEP estática.

      O tamanho da chave pode ser 40 bits ou 104 bits. O índice da chave pode estar entre 1 e 4. Um Índice de chave WEP exclusivo pode ser aplicado a cada WLAN. Como há apenas quatro índices de chave WEP, apenas quatro WLANs podem ser configuradas para a criptografia estática da camada 2 da WEP. Neste exemplo, a WEP de 104 bits é usada e a chave WEP é 1234567890abcdef.

      

   3. Verifique se o servidor Radius está configurado para autenticação. O servidor Radius pode ser configurado na guia Security localizada em AAA > Radius > Authentication. Depois de configurado, o servidor Radius deve ser atribuído à WLAN para autenticação. Vá para WLANs > Security > AAA Servers para atribuir o servidor Radius à WLAN para autenticação.

      Neste exemplo, 10.77.244.196 é o servidor Radius.

      

6. Escolha outros parâmetros com base nos requisitos do projeto.

   Este exemplo usa os valores padrão.

7. Clique em Apply.

   Observação: a WEP é sempre representada em hexadecimal (hex). Quando você digita a chave WEP em ASCII, a string WEP ASCII é convertida em hexadecimal, que é usada para criptografar o pacote. Não há um método padrão que os fornecedores executem para converter hexadecimal em ASCII, pois alguns executarão o preenchimento enquanto outros não. Portanto, para obter o máximo de compatibilidade entre fornecedores, use hexadecimal para suas chaves WEP.

   Nota:Para habilitar a autenticação de chave compartilhada para a WLAN, marque a caixa de seleção Allow Shared-Key Authentication em Static WEP Parameters. Dessa forma, se o cliente também estiver configurado para Autenticação de chave compartilhada, a Autenticação de chave compartilhada seguida pela criptografia WEP de pacotes ocorrerá na WLAN.

Configurar cliente sem fio para WEP estático

Conclua estes passos para configurar o Wireless LAN Client para esta configuração:

1. Para criar um novo perfil, clique na guia Gerenciamento de perfil no ADU.

2. Clique em New.

3. Quando a janela Gerenciamento de perfis (Geral) for exibida, faça o seguinte para definir o nome do perfil, o nome do cliente e o SSID:

   1. Insira o nome do perfil no campo Nome do perfil.

      Este exemplo usa StaticWEP como o nome do perfil.

   2. Insira o nome do cliente no campo Nome do cliente.

      O nome do cliente é usado para identificar o cliente sem fio na rede WLAN. Esta configuração usa o Cliente 2 para o nome do cliente.

   3. Em Network Names (Nomes de rede), digite o SSID a ser usado para esse perfil.

      O SSID é igual ao SSID que você configurou na WLC. O SSID neste exemplo é StaticWEP.

      

4. Clique na guia Security.

   

5. Escolha Pre-Shared Key (Static WEP) em Set Security Options (Definir opções de segurança).

6. Clique em Configurar e defina o tamanho da chave WEP e a chave WEP.

   Isso deve corresponder à chave WEP configurada na WLC para esta WLAN.

7. Clique em Apply.

   

   Quando o SSID é ativado, o cliente sem fio se conecta à WLAN e os pacotes são criptografados usando a chave WEP estática.

   

Autenticação 802.1x

Este exemplo mostra uma WLAN configurada com autenticação 802.1x.

Configurar o WLC para a autenticação 802.1x

Conclua estes passos para configurar a WLC para esta configuração:

1. Clique em WLANs na GUI do controlador para criar uma WLAN.

   A janela WLANs será exibida. Essa janela lista as WLANs configuradas no controlador.

2. Clique em Novo para configurar uma nova WLAN.

   Neste exemplo, a WLAN é chamada de 802.1x, e o ID da WLAN é 3. Um nome de perfil também deve ser adicionado.

   

3. Clique em Apply.

4. Na janela WLAN > Editar, defina os parâmetros específicos para a WLAN.

   1. Na lista suspensa Camada 2, escolha 802.1x.

      Observação: somente a criptografia WEP está disponível com 802.1x. Escolha 40 bits ou 104 bits para criptografia e verifique se a segurança da camada 3 está definida como Nenhum.

      Isso habilita a autenticação 802.1x para esta WLAN.

   2. Em parâmetros de servidor RADIUS, selecione o servidor RADIUS que será usado para autenticar as credenciais do cliente.

   3. Escolha outros parâmetros com base nos requisitos do projeto.

      Este exemplo usa os valores padrão.

5. Clique em Apply.

   

   Notas:

   • Se você escolher 802.1x para a segurança da camada 2, o CCKM não poderá ser usado.

   • Se você escolher WPA 1 ou WPA 2 para a segurança da camada 2, estas opções serão exibidas em Gerenciamento de chaves de autenticação:

     • 802.1x+CCKM — Se você escolher essa opção, os clientes CCKM ou não-CCKM são suportados (CCKM opcional).

     • 802.1x — Se você escolher esta opção, somente clientes 802.1x são suportados.

     • CCKM —Se você escolher esta opção, somente os clientes CCKM são suportados, onde os clientes são direcionados para um servidor externo para autenticação.

     • PSK — Se você escolher essa opção, uma chave pré-compartilhada será usada para a WLC e o cliente. Além disso, todos os padrões são definidos para serem usados antes dos pré-padrões; por exemplo, WPA/WPA2 tem precedência sobre o CCKM quando usado simultaneamente.

   O tipo de autenticação EAP usado para validar os clientes depende do tipo de EAP configurado no servidor RADIUS e nos clientes sem fio. Quando o 802.1x é ativado no WLC, o WLC permite que todos os tipos de pacotes EAP fluam entre o LAP, o cliente sem fio e o servidor RADIUS.

   Estes documentos fornecem exemplos de configuração em alguns dos tipos de autenticação EAP:

   • PEAP em Unified Wireless Networks com ACS 4.0 e Windows 2003

   • EAP-TLS em Redes Wireless Unificadas com o ACS 4.0 e o Windows 2003

   • Exemplo de Configuração de Autenticação EAP com Controladores WLAN (WLC)

Configurar cliente sem fio para autenticação 802.1x

Conclua estes passos para configurar o Wireless LAN Client para esta configuração:

1. Para criar um novo perfil, clique na guia Gerenciamento de perfil no ADU.

2. Clique em New.

3. Quando a janela Gerenciamento de perfis (Geral) for exibida, faça o seguinte para definir o nome do perfil, o nome do cliente e o SSID:

   1. Insira o nome do perfil no campo Nome do perfil.

      Este exemplo usa EAPAuth como o nome do perfil.

   2. Insira o nome do cliente no campo Nome do cliente.

      O nome do cliente é usado para identificar o cliente sem fio na rede WLAN. Esta configuração usa o Cliente 3 para o nome do cliente.

   3. Em Network Names (Nomes de rede), digite o SSID a ser usado para esse perfil.

      O SSID é igual ao SSID que você configurou na WLC. O SSID neste exemplo é 802.1x.

      

4. Clique na guia Security.

   

5. Clique no botão de opção 802.1x.

6. Na lista suspensa Tipo de EAP 802.1x, escolha o tipo de EAP usado.

7. Clique em Configurar para configurar parâmetros específicos para o tipo de EAP selecionado.

   

8. Clique em Apply.

   Quando o SSID é ativado, o cliente sem fio se conecta à WLAN usando a autenticação 802.1x. As chaves WEP dinâmicas são usadas para as sessões.

   

WEP estático + autenticação 802.1x

Este exemplo mostra uma WLAN configurada com autenticação estática WEP + 802.1x.

Conclua estes passos para configurar a WLC para esta configuração:

1. Clique em WLANs na GUI do controlador para criar uma WLAN.

   A janela WLANs será exibida. Essa janela lista as WLANs configuradas no controlador.

2. Clique em Novo para configurar uma nova WLAN.

3. Digite o ID da WLAN e o SSID da WLAN.

   Neste exemplo, a WLAN é chamada WEP+802.1x, e o ID da WLAN é 4.

   

4. Clique em Apply.

5. Na janela WLAN > Editar, defina os parâmetros específicos para a WLAN.

   1. Na lista suspensa Camada 2, escolha Static-WEP+802.1x.

      Isso habilita a autenticação WEP estática e 802.1x para esta WLAN.

   2. Em parâmetros de servidor RADIUS, selecione o servidor RADIUS que será usado para autenticar as credenciais do cliente usando 802.1x e configure o servidor RADIUS como mostrado no exemplo anterior.

   3. Em Parâmetros WEP estáticos, selecione o tamanho da chave WEP e o índice da chave e insira a chave de criptografia WEP estática como mostrado na imagem anterior.

   4. Escolha outros parâmetros com base nos requisitos do projeto.

      Este exemplo usa os valores padrão.

Configurar o cliente sem fio para WEP estático e 802.1x

Consulte as seções Configure Wireless Client for 802.1x Authentication and Configure Wireless Client for Static WEP para obter informações sobre como configurar o cliente sem fio.

Depois que os perfis do cliente são criados, os clientes configurados para WEP estático se associam ao LAP. Use o SSID WEP+802.1x para se conectar à rede.

Da mesma forma, os clientes sem fio configurados para usar a autenticação 802.1x são autenticados usando EAP e acessam a rede com o mesmo SSID WEP+802.1x.

Acesso Protegido Wi-Fi

Este exemplo mostra uma WLAN configurada com WPA com 802.1x.

Configurar a WLC para WPA

Conclua estes passos para configurar a WLC para esta configuração:

1. Clique em WLANs na GUI do controlador para criar uma WLAN.

   A janela WLANs será exibida. Essa janela lista as WLANs configuradas no controlador.

2. Clique em Ir para configurar uma nova WLAN.

   Escolha o tipo e o nome do perfil. Neste exemplo, a WLAN é chamada de WPA, e o ID da WLAN é 5.

   

3. Clique em Apply.

4. Na janela WLAN > Editar, defina os parâmetros específicos para a WLAN.

   

   1. Clique na guia Security, clique na guia Layer 2 e escolha WPA1+WPA2 na lista suspensa Layer 2 Security.

   2. Em Parâmetros WPA1+WPA2, marque a caixa de seleção Política WPA1 para habilitar WPA1, marque a caixa de seleção Política WPA2 para habilitar WPA2 ou marque ambas as caixas de seleção para habilitar WPA1 e WPA2.

      O valor padrão é desativado para WPA1 e WPA2. Se você deixar WPA1 e WPA2 desativados, os pontos de acesso anunciarão em seus beacons e elementos de informação de resposta de sondagem somente para o método de gerenciamento de chave de autenticação escolhido.

   3. Marque a caixa de seleção AES para habilitar a criptografia de dados AES ou a caixa de seleção TKIP para habilitar a criptografia de dados TKIP para WPA1, WPA2 ou ambos.

      Os valores padrão são TKIP para WPA1 e AES para WPA2.

   4. Escolha um destes principais métodos de gerenciamento na lista suspensa Gerenciamento de chaves de autenticação:

      • 802.1X —Se você escolher esta opção, somente clientes 802.1x são suportados.

      • CCKM —Se você escolher esta opção, somente os clientes CCKM são suportados, onde os clientes são direcionados para um servidor externo para autenticação.

      • PSK — Se você escolher essa opção, uma chave pré-compartilhada será usada para a WLC e o cliente. Além disso, todos os padrões são definidos para serem usados antes dos pré-padrões; por exemplo, WPA/WPA2 tem precedência sobre o CCKM quando usado simultaneamente.

      • 802.1X+CCKM — Se você escolher essa opção, os clientes CCKM ou não-CCKM são suportados (CCKM opcional).

      Este exemplo usa 802.1x.

      

      Observação: se você escolher PSK, escolha ascii ou hex na lista suspensa PSK Format e insira uma chave pré-compartilhada no campo em branco. As chaves pré-compartilhadas WPA devem conter de 8 a 63 caracteres de texto ASCII ou 64 caracteres hexadecimais.

5. Clique em Apply para aplicar as alterações.

Configurar o cliente sem fio para WPA

Conclua estes passos para configurar o cliente de LAN sem fio para esta configuração:

1. Na janela Gerenciamento de perfis no ADU, clique em Novo para criar um novo perfil.

2. Clique na guia Geral e insira o nome do perfil e o SSID que o adaptador cliente usará.

   Neste exemplo, o nome do perfil e o SSID são WPA. O SSID deve corresponder ao SSID configurado na WLC para WPA.

   

3. Na guia Segurança, clique no botão de opção WPA/WPA2/CCKM e escolha o tipo de EAP apropriado na lista suspensa WPA/WPA2/CCKM EAP Type. Esta etapa ativa a WPA.

   

4. Clique em Configurar para definir as configurações EAP específicas ao tipo de EAP selecionado.

   

5. Click OK.

   Observação: quando esse perfil é ativado, o cliente é autenticado usando 802.1x e quando a autenticação é bem-sucedida, o cliente se conecta à WLAN. Verifique o status atual do ADU para verificar se o cliente usa criptografia TKIP (criptografia padrão usada por WPA1) e autenticação EAP.

   

CKIP

Este exemplo mostra uma WLAN configurada com CKIP.

Configurar a WLC para CKIP

Conclua estes passos para configurar a WLC para esta configuração:

1. Clique em WLANs na GUI do controlador para criar uma WLAN.

   A janela WLANs será exibida. Essa janela lista as WLANs configuradas no controlador.

2. Clique em Novo para configurar uma nova WLAN.

   Escolha o tipo e o nome do perfil. Neste exemplo, a WLAN é chamada de CKIP e o ID da WLAN é 6.

   

3. Na janela WLAN > Editar, defina os parâmetros específicos para a WLAN.

   1. Na lista suspensa Camada 2, escolha CKIP.

      Esta etapa ativa o CKIP para esta WLAN.

   2. Nos parâmetros CKIP, selecione o tamanho da chave e o índice da chave e insira a chave de criptografia estática.

      O tamanho da chave pode ser 40 bits, 104 bits ou 128 bits. O índice da chave pode estar entre 1 e 4. Um índice de chave WEP exclusivo pode ser aplicado a cada WLAN. Como há apenas quatro índices de chave WEP, apenas quatro WLANs podem ser configuradas para a criptografia estática da camada 2 da WEP.

   3. Para CKIP, escolha a opção MMH Mode ou a opção Key Permutation ou ambas.

      Observação: um desses parâmetros ou ambos devem ser selecionados para que o CKIP funcione como esperado. Se esses parâmetros não forem selecionados, a WLAN permanecerá no estado desabilitado.

      Neste exemplo, a chave de 104 bits é usada e a chave é 1234567890abc.

      

4. Escolha outros parâmetros com base nos requisitos do projeto.

   Este exemplo usa os valores padrão.

   

5. Clique em Apply.

   Observação: o CKIP está funcionando nos APs 1100, 1130 e 1200, mas não no AP 1000. O Aironet IE precisa ser ativado para que esse recurso funcione. O CKIP expande as chaves de criptografia para 16 bytes.

Configurar o cliente sem fio para CKIP

Conclua estes passos para configurar o Wireless LAN Client para esta configuração:

1. Para criar um novo perfil, clique na guia Gerenciamento de perfis no ADU e clique em Novo.

2. Quando a janela Gerenciamento de perfis (Geral) for exibida, faça o seguinte para definir o nome do perfil, o nome do cliente e o SSID:

   1. Insira o nome do perfil no campo Nome do perfil.

      Este exemplo usa CKIP como o nome do perfil.

   2. Insira o nome do cliente no campo Nome do cliente.

      O nome do cliente é usado para identificar o cliente sem fio na rede WLAN. Esta configuração usa Client6 para o nome do cliente.

   3. Em nomes de rede, insira o SSID que deve ser usado para este perfil.

      O SSID é igual ao SSID que você configurou na WLC. O SSID neste exemplo é CKIP.

      

3. Clique na guia Security.

4. Escolha Pre-Shared Key (Static WEP) em Set Security Options (Definir opções de segurança), clique em Configure e defina o tamanho da chave WEP e a chave WEP.

   Esses valores devem corresponder à chave WEP configurada na WLC para esta WLAN.

   

   

5. Click OK.

   Quando o SSID é ativado, o cliente sem fio negocia com o LAP e a WLC para usar o CKIP para criptografar os pacotes.

   

Soluções de segurança da camada 3

Política da Web (Autenticação da Web e Web Passthrough)

Consulte Exemplo de Configuração da Autenticação da Web do Controlador Wireless LAN para obter informações sobre como ativar a autenticação da Web em uma rede WLAN.

Consulte Exemplo de Configuração da Autenticação da Web Externa com Controladores Wireless LAN para obter informações sobre como configurar a autenticação da Web externa e a autenticação de passagem da Web em uma WLAN.

Consulte Exemplo de Configuração de Passagem da Web de Controladoras Wireless LAN para obter mais informações sobre como habilitar a passagem da Web em uma rede WLAN.

O mecanismo da página inicial é um mecanismo de segurança de Camada 3 introduzido na versão 5.0 da WLC usado para a autenticação do cliente. Consulte Exemplo de Configuração de Redirecionamento de Página da Controladora Wireless LAN para obter mais informações.

Passagem de VPN

Consulte Exemplo de Configuração de VPN Cliente via LAN Wireless com WLC para obter informações de como configurar o VPN em uma WLAN.

Troubleshoot

Comandos para Troubleshooting

Você pode usar esses comandos debug para solucionar problemas de sua configuração.

Depurações para autenticação da Web:

• debug mac addr <client-MAC-address xx:xx:xx:xx:xx:xx> — Configura a depuração de endereços MAC para o cliente.

• debug aaa all enable — Configura a depuração de todas as mensagens AAA.

• debug pem state enable — Configura a depuração da Máquina de estado do gerenciador de políticas

• debug pem events enable — Configura a depuração de eventos do gerenciador de políticas.

• debug dhcp message enable —Use este comando para exibir informações de depuração sobre as atividades do cliente do Dynamic Host Configuration Protocol (DHCP) e para monitorar o status dos pacotes DHCP.

• debug dhcp packet enable —Use este comando para exibir informações de nível de pacote DHCP.

• debug pm ssh-appgw enable — Configura a depuração de gateways de aplicativos.

• debug pm ssh-tcp enable —Configura a depuração do gerenciamento tcp do policy manager

Depurações para WEP: Nenhuma depuração para WEP porque ela é executada no AP, ative debug dot11 all enable.

Depurações para cache 802.1X/WPA/RSN/PMK:

• debug mac addr <client-MAC-address xx:xx:xx:xx:xx:xx> — Configura a depuração de endereços MAC para o cliente.

• debug dot1x all enable — Use este comando para exibir informações de depuração do 802.1X.

• debug dot11 all enable — Use este comando para ativar a depuração de funções de rádio.

• debug pem events enable — Configura a depuração de eventos do gerenciador de políticas.

• debug pem state enable — Configura a depuração da Máquina de Estado do gerenciador de políticas.

• debug dhcp message enable —Use este comando para exibir informações de depuração sobre as atividades do cliente do Dynamic Host Configuration Protocol (DHCP) e para monitorar o status dos pacotes DHCP.

• debug dhcp packet enable —Use este comando para exibir informações de nível de pacote DHCP.

• debug mobility handoff enable (para roaming entre switches) — Configura a depuração de pacotes de mobilidade.

• show client detail <mac> — Exibe informações detalhadas para um cliente por endereço MAC. Verifique a configuração de tempo limite da sessão de WLAN e RADIUS.

Informações Relacionadas

• Restringir o acesso à WLAN com base no SSID com WLC e o exemplo de configuração do Cisco Secure ACS
• Exemplo de configuração de ACLs em Wireless LAN Controller
• Guia de Configuração da Cisco Wireless LAN Controller Release 4.0
• Página de Suporte Wireless
• Suporte Técnico e Documentação - Cisco Systems