PEAP e EAP-FAST com ACS 5.2 e exemplo da configuração de controle do Wireless LAN

Introdução

Este documento explica como configurar o Controller de LAN Wireless (WLC) da autenticação Extensible Authentication Protocol (EAP) com o uso de um servidor RADIUS externo, como o Access Control Server (ACS) 5,2.

Pré-requisitos

Requisitos

Certifique-se de que você cumpre estas exigências antes que você tente esta configuração:

• Tenha um conhecimento básico do WLC e do Lightweight Access Points (os regaços)

• Tenha um conhecimento funcional do servidor AAA

• Tenha um conhecimento completo das redes Wireless e das edições de segurança Wireless

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco 5508 WLC que executa a versão de firmware 7.0.220.0

• REGAÇO do Cisco 3502 Series

• Suplicante nativo de Microsoft Windows 7 com versão do driver 14.3 de Intel 6300-N

• Cisco Secure ACS que executa a versão 5.2

• Cisco 3560 Series Switch

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Estes são os detalhes de configuração dos componentes usados neste diagrama:

• O endereço IP de Um ou Mais Servidores Cisco ICM NT do server ACS (RAIO) é 192.168.150.24.

• O Gerenciamento e o endereço da relação do gerenciador AP do WLC são 192.168.75.44.

• Os servidores DHCP endereçam 192.168.150.25.

• O VLAN 253 é usado durante todo esta configuração. Ambos os usuários conectam ao mesmo SSID “goa”. Contudo, o usuário1 é configurado para autenticar usando a utilização PEAP-MSCHAPv2 e user2 EAP-FAST.

• Os usuários serão atribuídos em VLAN 253:

  • VLAN 253: 192.168.153.x/24. Gateway: 192.168.153.1

  • VLAN 75: 192.168.75.x/24. Gateway: 192.168.75.1

Hipóteses

• O Switches é configurado para toda a camada 3 VLAN.

• O servidor DHCP é atribuído um escopo de DHCP.

• A Conectividade da camada 3 existe entre todos os dispositivos na rede.

• O REGAÇO é juntado já ao WLC.

• Cada VLAN tem a máscara de /24.

• O ACS 5.2 tem um certificado auto-assinado instalado.

Passos de configuração

Esta configuração é separada em três etapas de nível elevado:

1. Configurar o servidor Radius.

2. Configurar o WLC.

3. Configurar a utilidade do cliente Wireless.

Configurar o servidor Radius

A configuração de servidor RADIUS é dividida em quatro etapas:

1. Configurar recursos de rede.

2. Configurar usuários.

3. Defina elementos da política.

4. Aplique políticas de acesso.

O ACS 5.x é um sistema de controle de acesso com base em política. Isto é, o ACS 5.x usa um modelo baseado em regras da política em vez do modelo grupo-baseado usado nas versões 4.x.

O modelo baseado em regras da política ACS 5.x fornece um controle de acesso mais poderoso e mais flexível comparado à aproximação grupo-baseada mais velha.

No modelo grupo-baseado mais velho, um grupo define a política porque contém e amarra junto três tipos de informação:

• Informação de identidade - Esta informação pode ser baseada na sociedade em grupos AD ou LDAP ou em uma atribuição estática para usuários internos ACS.

• Outras limitações ou circunstâncias - Restrições de tempo, limitações do dispositivo, e assim por diante.

• Permissões - Níveis de privilégio do ^® VLAN ou de Cisco IOS.

O modelo da política ACS 5.x é baseado em regras do formulário:

• Se a circunstância resulta então

Por exemplo, nós usamos a informação descrita para o modelo grupo-baseado:

• Se identidade-condição, autorização-perfil da limitação-condição então.

Em consequência, isto dá-nos a flexibilidade limitar sob que circunstâncias é permitido ao usuário alcançar a rede assim como que nível da autorização é permitido quando as circunstâncias específicas são estadas conformes.

Configurar recursos de rede

Nesta seção, nós configuramos o cliente de AAA para o WLC no servidor Radius.

Este procedimento explica como adicionar o WLC como um cliente de AAA no servidor RADIUS para que o WLC possa passar as credenciais do usuário ao servidor RADIUS.

Conclua estes passos:

1. Do ACS GUI, vá aos recursos de rede > aos grupos de dispositivo de rede > ao lugar, e o clique cria (na parte inferior).

   

2. Adicionar os campos requerido, e o clique submete-se.

   

   Você verá agora esta tela:

   

3. O tipo de dispositivo do clique > cria.

   

4. Clique em Submit. Você verá agora esta tela:

   

5. Vá aos recursos de rede > aos dispositivos de rede e aos clientes de AAA.

6. O clique cria, e preenche os detalhes como mostrado aqui:

   

7. Clique em Submit. Você verá agora esta tela:

   

Configurar usuários

Nesta seção, nós criaremos usuários locais no ACS. Ambos os usuários (usuário1 e user2) são atribuídos em “usuários Wireless chamados grupo”.

1. Vá aos usuários e a identidade armazena > grupos da identidade > cria.

   

2. Uma vez que você clique se submete, a página olhará como esta:

   

3. Crie o usuário1 dos usuários e o user2, e atribua-os ao grupo dos “usuários Wireless”.

   1. Clique usuários e a identidade armazena > identidade agrupa > usuários > cria.

      

   2. Similarmente, crie user2.

      

   A tela olhará como esta:

   

Defina elementos da política

Verifique que o acesso da licença está ajustado.

Aplique políticas de acesso

Nesta seção, nós selecionaremos que métodos de autenticação devem ser usada e como as regras devem ser configuradas. Nós criaremos regras baseamos as etapas precedentes.

Conclua estes passos:

1. Vai às políticas de acesso > ao acesso presta serviços de manutenção > o acesso de rede padrão > edita: De “acesso rede padrão”.

   

2. Selecione que o método de EAP você como os clientes Wireless autenticaria. Neste exemplo, nós usamos PEAP- MSCHAPv2 e EAP-FAST.

   

   

3. Clique em Submit.

4. Verifique o grupo que da identidade você selecionou. Neste exemplo, nós usamos os usuários internos, que nós criamos no ACS. Salve as alterações.

   

5. A fim verificar o perfil da autorização, vá às políticas de acesso > ao acesso presta serviços de manutenção > acesso > autorização de rede padrão.

   Você pode personalizar sob que circunstâncias você permitirá a acesso de usuário à rede e que perfil da autorização (atributos) você passará autenticado uma vez. Esta granularidade está somente disponível em ACS 5.x. Neste exemplo, nós selecionamos o lugar, o tipo de dispositivo, o protocolo, o grupo da identidade, e o método de autenticação de EAP.

   

6. APROVAÇÃO do clique, e mudanças da salvaguarda.

7. A próxima etapa é criar uma regra. Se nenhuma regra é definida, o acesso está permitido ao cliente sem nenhumas circunstâncias.

   O clique cria > Rule-1. Esta regra é para usuários no grupo “usuários Wireless”.

   

8. Salve as alterações. A tela olhará como esta:

   

   Se você quer os usuários que não combinam as circunstâncias a ser negadas então editam a regra de padrão dizer que “negue o acesso”.

9. Nós definiremos agora regras de seleção do serviço. Use esta página a fim configurar uma política simples ou baseado em regras determinar que serviço a se aplicar às requisições recebidas. Neste exemplo, uma política baseado em regras é usada.

   

Configurar o WLC

Essa configuração requer estes passos:

1. Configurar o WLC com os detalhes do Authentication Server.

2. Configurar as interfaces dinâmica (VLAN).

3. Configurar os WLAN (SSID).

Configurar o WLC com os detalhes do Servidor de Autenticação

É necessário configurar o WLC assim que pode comunicar-se com o servidor Radius a fim autenticar os clientes, e igualmente para todas as outras transações.

Conclua estes passos:

1. Na interface gráfica do usuário, clique em Security.

2. Digite o endereço IP do servidor RADIUS e a chave secreta compartilhada usados entre o servidor RADIUS e o WLC.

   Esta chave secreta compartilhada deve ser a mesma que essa configurada no servidor Radius.

   

Configurar as interfaces dinâmicas (VLANs)

Este procedimento descreve como configurar interfaces dinâmica no WLC.

Conclua estes passos:

1. A interface dinâmica é configurada do controlador GUI, no indicador do controlador > das relações.

   

2. Clique em Apply.

   Isto toma-o ao indicador da edição desta interface dinâmica (VLAN 253 aqui).

3. Digite o endereço IP e o gateway padrão desta interface dinâmica.

   

4. Clique em Apply.

5. As relações configuradas olharão como esta:

   

Configurar as WLANs (SSID)

Este procedimento explica como configurar as WLANs no WLC.

Conclua estes passos:

1. Do controlador GUI, vão aos WLAN > criam novo a fim criar um WLAN novo. A janela New WLANs é exibida.

2. Digite a ID da WLAN e a SSID da WLAN.

   Você pode dar entrada com todo o nome como o WLAN SSID. Este exemplo usa o goa como o WLAN SSID.

   

3. O clique aplica-se a fim ir ao indicador da edição do goa WLAN.

   

   

   

   

Configurar a utilidade do cliente Wireless

PEAP-MSCHAPv2 (usuário1)

Em nosso cliente de teste, nós estamos usando o suplicante nativo de Windows 7 com um cartão de Intel 6300-N que executa a versão do driver 14.3. Recomenda-se testar usando os direcionadores os mais atrasados dos vendedores.

Termine estas etapas a fim criar um perfil em Windows zero configurações (WZC):

1. Vá ao Control Panel > à rede e o Internet > controla redes Wireless.

2. Clique a aba adicionar.

3. O clique cria manualmente um perfil da rede.

   

4. Adicionar os detalhes como configurados no WLC.

   Nota: O SSID é diferenciando maiúsculas e minúsculas.

5. Clique em Next.

   

6. Configurações de conexão da mudança do clique a fim verificar novamente os ajustes.

   

7. Certifique-se de você ter o PEAP permitido.

   

   

8. Neste exemplo, nós não estamos validando o certificado de servidor. Se você verifica esta caixa e não pode conectar, tente desabilitar a característica e o teste outra vez.

   

9. Alternativamente, você pode usar suas credenciais de Windows a fim entrar. Contudo, neste exemplo nós não estamos indo usar aquele. Clique em OK.

   

10. Ajustes avançados do clique a fim configurar o nome de usuário e senha.

    

    

    

Seu utilitário de cliente está agora pronto para conectar.

EAP-FAST (user2)

Em nosso cliente de teste, nós estamos usando o suplicante nativo de Windows 7 com um cartão de Intel 6300-N que executa a versão do driver 14.3. Recomenda-se testar usando os direcionadores os mais atrasados dos vendedores.

Termine estas etapas a fim criar um perfil em WZC:

1. Vá ao Control Panel > à rede e o Internet > controla redes Wireless.

2. Clique a aba adicionar.

3. O clique cria manualmente um perfil da rede.

   

4. Adicionar os detalhes como configurados no WLC.

   Nota: O SSID é diferenciando maiúsculas e minúsculas.

5. Clique em Next.

   

6. Configurações de conexão da mudança do clique a fim verificar novamente os ajustes.

   

7. Certifique-se de você ter EAP-FAST permitido.

   Nota: À revelia, WZC não tem EAP-FAST como um método de autenticação. Você tem que transferir a utilidade de um fornecedor de terceira parte. Neste exemplo, desde que é um cartão de Intel, nós temos Intel PROSet instalados no sistema.

   

   

8. Permita permitem o abastecimento automático PAC e certificam-se que para validar o certificado de servidor está desmarcado.

   

9. Clique a aba das credenciais do usuário, e incorpore as credenciais de user2. Alternativamente, você pode usar suas credenciais de Windows a fim entrar. Contudo, neste exemplo nós não estamos indo usar aquele.

   

10. Clique em OK.

    

Seu utilitário de cliente está agora pronto para conectar para user2.

Nota: Quando user2 está tentando autenticar, o servidor Radius está indo enviar um PAC. Aceite o PAC a fim terminar a autenticação.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Verifique o usuário1 (PEAP-MSCHAPv2)

Do WLC GUI, vá ao monitor > aos clientes, e selecione o MAC address.

Stats do RAIO WLC:

(Cisco Controller) >show radius auth statistics
Authentication Servers:
Server Index..................................... 1
Server Address................................... 192.168.150.24
Msg Round Trip Time.............................. 1 (msec)
First Requests................................... 8
Retry Requests................................... 0
Accept Responses................................. 1
Reject Responses................................. 0
Challenge Responses.............................. 7
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops...................................... 0

Logs ACS:

1. Termine estas etapas a fim ver as contagens da batida:

   1. Se você verifica os logs dentro de 15 minutos da autenticação, certifique-se de você refrescar a contagem da batida.

      

   2. Você tem uma aba para a contagem da batida na parte inferior da mesma página.

      

2. A monitoração do clique e os relatórios e uma janela pop-up nova aparecem. Vá às autenticações – Raio – Hoje. Você pode igualmente clicar detalhes a fim verificar que regra de seleção do serviço era aplicada.

   

Verifique user2 (EAP-FAST)

Do WLC GUI, vá ao monitor > aos clientes, e selecione o MAC address.

O ACS registra:

1. Termine estas etapas a fim ver as contagens da batida:

   1. Se você verifica os logs dentro de 15 minutos da autenticação, certifique-se de você refrescar a contagem da BATIDA.

      

   2. Você tem uma aba para a contagem da batida na parte inferior da mesma página.

      

2. A monitoração do clique e os relatórios e uma janela pop-up nova aparecem. Vá às autenticações – Raio – Hoje. Você pode igualmente clicar detalhes a fim verificar que regra de seleção do serviço era aplicada.

   

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos para Troubleshooting

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

1. Se você experimenta quaisquer problemas, emita estes comandos no WLC:

   • debugar o cliente que o <mac adiciona do client>

   • debug aaa all enable

   • mostre o addr> do <mac do detalhe do cliente - Verifique o estado do gerente da política.

   • mostre estatísticas do AUTH do raio - Verifique a razão da falha.

   • debugar o desabilitação-todo - Gire debuga fora.

   • cancele estatísticas do raio do fim de alerta do AUTH do raio stats no WLC.

2. Verifique que entra o ACS e note a razão da falha.

Informações Relacionadas

• Suporte Técnico e Documentação - Cisco Systems