تكوين أنواع المصادقة اللاسلكية على ISR ثابت

المقدمة

يزود هذا وثيقة مثال تشكيل أن يفسر كيف أن يشكل مختلف طبقة 2 صحة هوية نوع على cisco لاسلكي integrated-configuration مسحاج تخديد ل لاسلكي مع CLI أمر.

المتطلبات الأساسية

المتطلبات

تأكد من استيفاء المتطلبات التالية قبل أن تحاول إجراء هذا التكوين:

• معرفة كيفية تكوين المعلمات الأساسية لموجه الخدمات المتكاملة (ISR) من Cisco

• معرفة كيفية تكوين مهايئ العميل اللاسلكي 802.11a/b/g باستخدام أداة Aironet Desktop Utility (ADU)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• cisco 877W ISR أن يركض cisco ios ^® برمجية إطلاق 12.3(8)YI1

• الكمبيوتر المحمول مع أداة Aironet Desktop Utility، الإصدار 3.6

• مهايئ عميل 802.11 a/b/g الذي يشغل البرنامج الثابت، الإصدار 3.6

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

معلومات أساسية

تدعم موجهات الخدمات المدمجة ذات التكوين الثابت من Cisco حل الشبكة المحلية (LAN) اللاسلكية الذي يتميز بالأمان وانخفاض التكلفة وسهولة الاستخدام والذي يجمع بين قابلية التنقل والمرونة مع الميزات من فئة المؤسسات التي يتطلبها محترفو الشبكات. باستخدام نظام إدارة قائم على برنامج Cisco IOS، تعمل موجهات Cisco كنقاط وصول وتكون معتمدة من قبل Wi-Fi، أجهزة إرسال/إستقبال LAN لاسلكية متوافقة مع IEEE 802.11a/b/g.

يمكنك تكوين الموجهات ومراقبتها باستخدام واجهة سطر الأوامر (CLI) أو نظام الإدارة القائم على المستعرض أو بروتوكول إدارة الشبكة البسيط (SNMP). يوضح هذا المستند كيفية تكوين ISR للاتصال اللاسلكي باستخدام أوامر CLI.

التكوين

يوضح هذا المثال كيفية تكوين أنواع المصادقة هذه على موجه تكوين ثابت مدمج لاسلكي من Cisco باستخدام أوامر CLI.

• فتح المصادقة

• مصادقة 802. 1x/EAP (بروتوكول المصادقة المتوسع)

• مصادقة مفتاح الوصول المحمي مسبقا (WPA-PSK) ل Wi-Fi

• مصادقة WPA (باستخدام EAP)

ملاحظة: لا يركز هذا المستند على المصادقة المشتركة لأنه نوع مصادقة أقل أمانا.

في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.

ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

يستخدم هذا الإعداد خادم RADIUS المحلي الموجود على ISR اللاسلكي لمصادقة عملاء اللاسلكي بمصادقة 802.1x.

تكوين المصادقة المفتوحة

المصادقة المفتوحة عبارة عن خوارزمية مصادقة فارغة. تمنح نقطة الوصول أي طلب للمصادقة. تسمح المصادقة المفتوحة لأي جهاز بالوصول إلى الشبكة. في حالة عدم تمكين أي تشفير على الشبكة يستطيع أي جهاز الوصول إلى الشبكة إذا كان على علم بمعرف SSID لنقطة الوصول. ومع تمكين تشفير WEP على نقطة وصول ما، يصبح مفتاح WEP نفسه وسيلة للتحكم في الوصول. إذا لم يكن لدى الجهاز مفتاح WEP الصحيح، حتى وإن نجحت المصادقة، يتعذر على الجهاز إرسال البيانات من خلال نقطة الوصول. كما لا يمكنها فك تشفير البيانات المرسلة من نقطة الوصول.

يوضح مثال التكوين التالي مجرد مصادقة مفتوحة بسيطة. يمكن جعل مفتاح WEP إلزاميا أو إختياريا. يقوم هذا المثال بتكوين مفتاح WEP كمفتاح إختياري حتى يمكن لأي جهاز لا يستخدم WEP أيضا المصادقة والاقتران بنقطة الوصول هذه.

راجع المصادقة المفتوحة للحصول على مزيد من المعلومات.

يستخدم هذا المثال إعداد التكوين هذا لتكوين المصادقة المفتوحة على ISR.

• اسم SSID: فتح"

• VLAN 1

• نطاق خادم DHCP الداخلي: 10.1.0.0/16

ملاحظة: من أجل البساطة، لا يستخدم هذا المثال أي تقنية تشفير للعملاء المصادق عليهم.

أتمت هذا إجراء على المسحاج تخديد:

1. تكوين التوجيه والربط المدمج (IRB) وإعداد مجموعة الجسر

2. تكوين الواجهة الظاهرية التي تم ربطها (BVI)

3. تكوين SSID للمصادقة المفتوحة

4. شكلت الداخلي DHCP نادل ل ال لاسلكي زبون من هذا VLAN

تكوين التوجيه والربط المدمج (IRB) وإعداد مجموعة الجسر

أتمت هذا إجراء:

1. قم بتمكين IRB في الموجه.

   موجه<configure>#bridge irb

   ملاحظة: إذا تم تكوين جميع أنواع الأمان على موجه واحد، فهذا يكفي لتمكين IRB مرة واحدة فقط بشكل عام على الموجه. ولا يلزم تمكينها لكل نوع مصادقة فردي.

2. تعريف مجموعة جسر.

   يستخدم هذا المثال رقم مجموعة الجسر 1.

   موجه<configure>#bridge 1

3. أختر بروتوكول الشجرة المتفرعة لمجموعة الجسر.

   هنا، يتم تكوين بروتوكول الشجرة المتفرعة IEEE لمجموعة الجسر هذه.

   موجه<configure>#bridge 1 protocol ieee

4. تمكين BVI لقبول الحزم القابلة للتوجيه المستلمة من مجموعة الجسر المراسل الخاصة به وتوجيه هذه الحزم.

   يتيح هذا المثال ل BVI قبول حزمة IP وتوجيهها.

   الموجه<configure>#bridge 1 route ip

تكوين الواجهة الظاهرية التي تم ربطها (BVI)

أتمت هذا إجراء:

1. قم بتكوين BVI.

   شكلت ال BVI عندما يعين أنت المراسل رقم من الجسر مجموعة إلى ال BVI. كل مجموعة جسر يمكن أن يكون لها BVI واحد فقط. يقوم هذا المثال بتعيين رقم مجموعة الجسر 1 إلى BVI.

   موجه<configure>#interface BVI <1>

2. قم بتخصيص عنوان IP إلى BVI.

   الموجه<config-if>#ip address 10.1.1.1 255.255.0.0

   الموجه<config-if>#no shutdown

راجع تكوين التوصيل للحصول على معلومات تفصيلية حول التوصيل.

تكوين SSID للمصادقة المفتوحة

أتمت هذا إجراء:

1. تمكين واجهة الراديو

   لتمكين واجهة الراديو، انتقل إلى وضع تكوين واجهة الراديو DOT11 وعين معرف SSID للواجهة.

   router<config>#interface dot11radio0

   الموجه<config-if>#no إيقاف عمل

   الموجه<config-if>#ssid open

   يمكن تكوين نوع المصادقة المفتوحة بالاشتراك مع مصادقة عنوان MAC. وفي هذه الحالة، تجبر نقطة الوصول جميع أجهزة العميل على إجراء مصادقة عنوان MAC قبل السماح لها بالانضمام إلى الشبكة.

   كما يمكن تكوين المصادقة المفتوحة مع مصادقة EAP. تجبر نقطة الوصول جميع أجهزة العميل على إجراء مصادقة EAP قبل السماح لها بالانضمام إلى الشبكة. بالنسبة لاسم القائمة، حدد قائمة طرق المصادقة.

   تفرض نقطة الوصول التي يتم تكوينها لمصادقة EAP على جميع أجهزة العميل التي تقرن بتنفيذ مصادقة EAP. يتعذر على أجهزة العميل التي لا تستخدم EAP إستخدام نقطة الوصول.

2. ربط SSID بشبكة VLAN.

   لتمكين SSID على هذه الواجهة، قم بربط SSID بشبكة VLAN في وضع تكوين SSID.

   الموجه<config-ssid>vlan 1

3. قم بتكوين SSID بمصادقة مفتوحة.

   فتح الموجه<config-ssid>#authentication

4. قم بتكوين واجهة الراديو لمفتاح WEP الاختياري.

   الموجه<config>#encryption vlan 1 mode WEP إختياري

5. مكنت VLAN على الإذاعة قارن.

   الموجه<config>#interface dot11radio 0.1

   الموجه<config-subif>#encapsulation dot1q 1

   موجه<config-subif>#bridge-group 1

شكلت الداخلي DHCP نادل ل ال لاسلكي زبون من هذا VLAN

اكتب هذه الأوامر في وضع التكوين العام لتكوين خادم DHCP الداخلي للعملاء اللاسلكي لشبكة VLAN هذه:

• ip dhcp مستبعد-address 10.1.1.1 10.1.1.5

• فتح تجمع IP DHCP

في وضع تكوين تجمع DHCP، اكتب الأوامر التالية:

• الشبكة 10.1.0.0 255.255.0.0

• الموجه الافتراضي 10.1.1.1

تكوين مصادقة 802.1x/EAP

يوفر نوع المصادقة هذا أعلى مستوى من التأمين لشبكتك اللاسلكية. باستخدام بروتوكول المصادقة المتوسع (EAP) المستخدم للتفاعل مع خادم RADIUS متوافق مع EAP، تساعد نقطة الوصول جهاز عميل لاسلكي وخادم RADIUS على إجراء المصادقة المتبادلة واستخلاص مفتاح WEP ديناميكي أحادي البث. يرسل خادم RADIUS مفتاح WEP إلى نقطة الوصول، والتي تستخدمها لجميع إشارات بيانات البث الأحادي التي يرسلها إلى العميل أو يستلمها منه.

راجع مصادقة EAP للحصول على مزيد من المعلومات.

يستخدم هذا المثال إعداد التكوين التالي:

• اسم SSID: LEAP

• VLAN 2

• نطاق خادم DHCP الداخلي: 10.2.0.0/16

يستخدم هذا المثال مصادقة LEAP كآلية لمصادقة العميل اللاسلكي.

ملاحظة: راجع مصدر المحتوى الإضافي الآمن من Cisco لنظام التشغيل Windows v3.2 باستخدام مصادقة جهاز EAP-TLS لتكوين EAP-TLS.

ملاحظة: ارجع إلى تكوين مصدر المحتوى الإضافي الآمن من Cisco لنظام التشغيل Windows v3.2 باستخدام مصادقة جهاز PEAP-MS-CHAPv2 لتكوين PEAP-MS-CHAPv2.

ملاحظة: تفهم أن جميع تكوين أنواع EAP هذه يتضمن أساسا تغييرات التكوين في جانب العميل وعلى جانب خادم المصادقة. يبقى التكوين الموجود على الموجه اللاسلكي أو نقطة الوصول نفسه بشكل أو بآخر لجميع أنواع المصادقة هذه.

ملاحظة: كما هو مذكور في البداية، يستخدم هذا الإعداد خادم RADIUS المحلي الموجود على ISR اللاسلكي لمصادقة عملاء اللاسلكي مع مصادقة 802.1x.

أتمت هذا إجراء على المسحاج تخديد:

1. تكوين التوجيه والربط المدمج (IRB) وإعداد مجموعة الجسر

2. تكوين الواجهة الظاهرية التي تم ربطها (BVI)

3. تكوين خادم RADIUS المحلي لمصادقة EAP

4. تكوين SSID لمصادقة 802.1x/EAP

5. شكلت الداخلي DHCP نادل ل ال لاسلكي زبون من هذا VLAN

تكوين التوجيه والربط المدمج (IRB) وإعداد مجموعة الجسر

أتمت هذا إجراء:

1. قم بتمكين IRB في الموجه.

   موجه<configure>#bridge irb

   ملاحظة: إذا تم تكوين جميع أنواع الأمان على موجه واحد، فهذا يكفي لتمكين IRB مرة واحدة فقط بشكل عام على الموجه. ولا يلزم تمكينها لكل نوع مصادقة فردي.

2. تعريف مجموعة جسر.

   يستخدم هذا المثال رقم مجموعة الجسر 2.

   موجه<configure>#bridge 2

3. أختر بروتوكول الشجرة المتفرعة لمجموعة الجسر.

   هنا، ال IEEE يجسر - شجرة شكلت بروتوكول ل هذا جسر مجموعة.

   موجه<configure>#bridge 2 protocol ieee

4. أختر بروتوكول الشجرة المتفرعة لمجموعة الجسر.

   هنا، ال IEEE يجسر - شجرة شكلت بروتوكول ل هذا جسر مجموعة.

   موجه<configure>#bridge 2 protocol ieee

5. مكنت BVI أن يقبل ويوجه مسحاج تخديد ربط أن يكون إستلمت من يماثل جسر مجموعة.

   يتيح هذا المثال لمعرف فئة المورد (BVI) قبول حزم IP وتوجيهها.

   الموجه<configure>#bridge 2 route ip

تكوين الواجهة الظاهرية التي تم ربطها (BVI)

أتمت هذا إجراء:

1. قم بتكوين BVI.

   شكلت ال BVI عندما يعين أنت المراسل رقم من الجسر مجموعة إلى ال BVI. يمكن أن يكون لكل مجموعة جسور BVI واحد فقط. يعين هذا مثال جسر مجموعة رقم 2 إلى ال BVI.

   موجه<configure>#interface BVI <2>

2. قم بتخصيص عنوان IP إلى BVI.

   الموجه<config-if>#ip address 10.2.1.1 255.255.0.0

   الموجه<config-if>#no shutdown

تكوين خادم RADIUS المحلي لمصادقة EAP

كما ذكر من قبل، يستخدم هذا المستند خادم RADIUS المحلي على موجه الوعي اللاسلكي لمصادقة EAP.

1. تمكين نموذج التحكم في الوصول إلى المصادقة والتفويض والمحاسبة (AAA).

   الموجه<configure>#aaa جديد-model

2. قم بإنشاء نص-eap لمجموعة خوادم لخادم RADIUS.

   موجه<configure>#aaa مجموعة خادم radius rad-eap server 10.2.1.1 auth-port 1812 acct-port1813

3. قم بإنشاء قائمة طرق eap_methods تسرد طريقة المصادقة المستخدمة لمصادقة مستخدم تسجيل دخول AAA. قم بتعيين قائمة الطرق إلى مجموعة الخوادم هذه.

   مسحاج تخديد<configure>#aaa تسجيل دخول مصادقة EAP_Methods group rad-eap

4. قم بتمكين الموجه كخادم مصادقة محلي وأدخل في وضع التكوين للمصادقة.

   الموجه<configure>#radius-server محلي

5. في وضع تكوين خادم Radius، أضف الموجه كعميل AAA لخادم المصادقة المحلي.

   الموجه<config-radsrv>#nas 10.2.1.1 key Cisco

6. قم بتكوين user1 للمستخدم على خادم Radius المحلي.

   مسحاج تخديد<config-radsrv>#user user1 كلمة user1 مجموعة rad-eap

7. حدد مضيف خادم RADIUS.

   الموجه<config-radsrv>#radius-server مضيف 10.2.1.1 auth-port 1812 acct-port 1813 key Cisco

   ملاحظة: يجب أن يكون هذا المفتاح هو نفسه المفتاح المحدد في الأمر nas ضمن وضع تكوين خادم radius.

تكوين SSID لمصادقة 802.1x/EAP

يتضمن تكوين واجهة الراديو ومعرف SSID المقترن ل 802.1x/EAP تكوين معلمات لاسلكية مختلفة على الموجه، تتضمن SSID ووضع التشفير ونوع المصادقة. يستخدم هذا المثال SSID ويسمى LEAP.

1. قم بتمكين واجهة الراديو.

   لتمكين واجهة الراديو، انتقل إلى وضع تكوين واجهة الراديو DOT11 وعين SSID للواجهة.

   router<config>#interface dot11radio0

   الموجه<config-if>#no إيقاف عمل

   موجه<config-if>#ssid leap

2. ربط SSID بشبكة VLAN.

   لتمكين SSID على هذه الواجهة، قم بربط SSID بشبكة VLAN في وضع تكوين SSID.

   الموجه<config-ssid>#vlan 2

3. قم بتكوين SSID بمصادقة 802. 1x/LEAP.

   الموجه<config-ssid>#authentication network-eap eap_methods

4. قم بتكوين واجهة الراديو لإدارة المفاتيح الديناميكية.

   مسحاج تخديد<config>#encryption vlan 2 mode ciphers wep40

5. مكنت VLAN على الإذاعة قارن.

   الموجه<config>#interface dot11radio 0.2

   الموجه<config-subif>#encapsulation dot1q 2

   موجه<config-subif>#bridge-group 2

شكلت الداخلي DHCP نادل ل ال لاسلكي زبون من هذا VLAN

اكتب هذه الأوامر في وضع التكوين العام لتكوين خادم DHCP الداخلي للعملاء اللاسلكي لشبكة VLAN هذه:

• ip dhcp مستبعد-address 10.2.1.1 10.2.1.5

• ip dhcp بركة قفز

في وضع تكوين تجمع DHCP، اكتب الأوامر التالية:

• الشبكة 10.2.0.0 255.255.0.0

• الموجه الافتراضي 10.2.1.1

إدارة مفتاح WPA

يعد Wi-Fi Protected Access بمثابة تحسين تأمين قائم على المعايير وقابل للتشغيل البيني يعمل على زيادة مستوى حماية البيانات والتحكم في الوصول لأنظمة الشبكة المحلية اللاسلكية الحالية والمستقبلية زيادة كبيرة.

راجع إدارة مفتاح WPA للحصول على مزيد من المعلومات.

تدعم إدارة مفتاح WPA نوعين من الإدارة الحصرية للمتبادل: مفتاح WPA-مشترك مسبقا (WPA-PSK) و WPA (مع EAP).

تكوين WPA-PSK

يتم إستخدام WPA-PSK كنوع إدارة مفتاح على شبكة محلية لاسلكية حيث لا تتوفر المصادقة المستندة إلى 802.1x. في هذه الشبكات، يجب عليك تكوين مفتاح مشترك مسبقا على نقطة الوصول. يمكنك إدخال المفتاح المشترك مسبقا كحروف ASCII أو سداسية عشرية. إذا أدخلت المفتاح كأحرف ASCII، فتقوم بإدخال ما بين 8 و 63 حرفا، وتوسع نقطة الوصول المفتاح باستخدام العملية الموضحة في معيار التشفير المستند إلى كلمة المرور (RFC2898). إذا قمت بإدخال المفتاح كحروف سداسية عشرية، فيجب عليك إدخال 64 حرف سداسي عشر.

يستخدم هذا المثال إعداد التكوين التالي:

• اسم SSID: WPA مشترك

• VLAN 3

• نطاق خادم DHCP الداخلي: 10.3.0.0/16

أتمت هذا إجراء على المسحاج تخديد:

1. تكوين التوجيه والربط المدمج (IRB) وإعداد مجموعة الجسر

2. تكوين الواجهة الظاهرية التي تم ربطها (BVI)

3. تكوين SSID لمصادقة WPA-PSK

4. شكلت الداخلي DHCP نادل ل ال لاسلكي زبون من هذا VLAN

تكوين التوجيه والربط المدمج (IRB) وإعداد مجموعة الجسر

أتمت هذا إجراء:

1. قم بتمكين IRB في الموجه.

   موجه<configure>#bridge irb

   ملاحظة: إذا تم تكوين جميع أنواع الأمان على موجه واحد، فهذا يكفي لتمكين IRB مرة واحدة فقط بشكل عام على الموجه. ولا يلزم تمكينها لكل نوع مصادقة فردي.

2. تعريف مجموعة جسر.

   يستخدم هذا المثال رقم مجموعة الجسر 3.

   موجه<configure>#bridge 3

3. أختر بروتوكول الشجرة المتفرعة لمجموعة الجسر.

   يتم تكوين بروتوكول الشجرة المتفرعة IEEE لمجموعة الجسر هذه.

   موجه<configure>#bridge 3 protocol ieee

4. تمكين BVI لقبول الحزم القابلة للتوجيه المستلمة من مجموعة الجسر المراسل الخاصة به وتوجيه هذه الحزم.

   يتيح هذا المثال لمعرف فئة المورد (BVI) قبول حزم IP وتوجيهها.

   الموجه<configure>#bridge 3 route ip

تكوين الواجهة الظاهرية التي تم ربطها (BVI)

أتمت هذا إجراء:

1. قم بتكوين BVI.

   شكلت ال BVI عندما يعين أنت المراسل رقم من الجسر مجموعة إلى ال BVI. يمكن أن يكون لكل مجموعة جسور BVI واحد فقط. هذا المثال يعين جسر رقم 3 إلى ال BVI.

   موجه<configure>#interface BVI <2>

2. قم بتخصيص عنوان IP إلى BVI.

   الموجه<config-if>#ip address 10.3.1.1 255.255.0.0

   الموجه<config-if>#no shutdown

تكوين SSID لمصادقة WPA-PSK

أتمت هذا إجراء:

1. قم بتمكين واجهة الراديو.

   لتمكين واجهة الراديو، انتقل إلى وضع تكوين واجهة الراديو DOT11 وعين معرف SSID للواجهة.

   router<config>#interface dot11radio0

   الموجه<config-if>#no إيقاف عمل

   الموجه<config-if>#ssid wpa-shared

2. لتمكين إدارة مفتاح WPA، قم أولا بتكوين تشفير WPA لواجهة شبكة VLAN. يستخدم هذا المثال tkip كتشفير للتشفير..

   اكتب هذا الأمر لتحديد نوع إدارة مفتاح WPA على واجهة الراديو.

   router<config>#interface dot11radio0

   router(config-if)#encryption vlan 3 mode ciphers tkip

3. ربط SSID بشبكة VLAN.

   لتمكين SSID على هذه الواجهة، قم بربط SSID بشبكة VLAN في وضع تكوين SSID.

   الموجه<config-ssid>vlan 3

4. تشكيل SSID بمصادقة WPA-PSK.

   تحتاج إلى تكوين مصادقة EAP المفتوحة أو الشبكية أولا في وضع تكوين SSID لتمكين إدارة مفاتيح WPA. يقوم هذا المثال بتكوين المصادقة المفتوحة.

   router<config>#interface dot11radio0

   الموجه<config-if>#ssid wpa-shared

   فتح الموجه<config-ssid>#authentication

   الآن، قم بتمكين إدارة مفتاح WPA على SSID. شكلت المفتاح إدارة شفرة tkip بالفعل ل هذا VLAN.

   router(config-if-ssid)#authentication key-management WPA

   قم بتكوين مصادقة WPA-PSK على SSID.

   الموجه(config-if-ssid)#wpa-psk ascii 1234567890 !— 1234567890 هي قيمة المفتاح المشترك مسبقا ل SSID هذا. تأكد من تحديد نفس المفتاح لمعرف SSID هذا على جانب العميل.

5. مكنت VLAN على الإذاعة قارن.

   الموجه<config>#interface dot11radio 0.3

   الموجه<config-subif>#encapsulation dot1q 3

   موجه<config-subif>#bridge-group 3

شكلت الداخلي DHCP نادل ل ال لاسلكي زبون من هذا VLAN

اكتب هذه الأوامر في وضع التكوين العام لتكوين خادم DHCP الداخلي للعملاء اللاسلكي لشبكة VLAN هذه:

• ip dhcp مستبعد-address 10.3.1.1 10.3.1.5

• ip dhcp بركة wpa-psk

في وضع تكوين تجمع DHCP، اكتب الأوامر التالية:

• الشبكة 10.3.0.0 255.255.0.0

• الموجه الافتراضي 10.3.1.1

تكوين مصادقة WPA (باستخدام EAP)

هذا نوع آخر لإدارة مفتاح WPA. في هذه الحالة، يقوم العملاء وخادم المصادقة بمصادقة بعضهم البعض باستخدام أسلوب مصادقة EAP، ويقوم العميل والخادم بإنشاء مفتاح رئيسي (PMK) بشكل غير متناسب. باستخدام WPA، يقوم الخادم بإنشاء PMK بشكل ديناميكي ويمرره إلى نقطة الوصول، لكن، باستخدام WPA-PSK، تقوم بتكوين مفتاح مشترك مسبقا على كل من العميل ونقطة الوصول، ويستخدم ذلك المفتاح المشترك مسبقا كPMK.

راجع WPA بمصادقة EAP للحصول على مزيد من المعلومات.

يستخدم هذا المثال إعداد التكوين التالي:

• اسم SSID: wpa-dot1x

• VLAN 4

• نطاق خادم DHCP الداخلي: 10.4.0.0/16

أتمت هذا إجراء على المسحاج تخديد:

1. تكوين التوجيه والربط المدمج (IRB) وإعداد مجموعة الجسر

2. تكوين الواجهة الظاهرية التي تم ربطها (BVI)

3. قم بتكوين خادم RADIUS المحلي لمصادقة WPA.

4. تشكيل SSID ل WPA بمصادقة EAP

5. شكلت الداخلي DHCP نادل ل ال لاسلكي زبون من هذا VLAN

تكوين التوجيه والربط المدمج (IRB) وإعداد مجموعة الجسر

أتمت هذا إجراء:

1. قم بتمكين IRB في الموجه.

   موجه<configure>#bridge irb

   ملاحظة: إذا تم تكوين جميع أنواع الأمان على موجه واحد، فهذا يكفي لتمكين IRB مرة واحدة فقط بشكل عام على الموجه. ولا يلزم تمكينها لكل نوع مصادقة فردي.

2. تعريف مجموعة جسر.

   يستخدم هذا المثال الرقم 4 لمجموعة الجسر.

   موجه<configure>#bridge 4

3. حدد بروتوكول الشجرة المتفرعة لمجموعة الجسر.

   هنا، ال IEEE يجسر - شجرة شكلت بروتوكول ل هذا جسر مجموعة.

   مسحاج تخديد<configure>#bridge 4 بروتوكول ieee

4. قم بتمكين BVI لقبول الحزم القابلة للتوجيه المستلمة من مجموعة الجسر المراسل الخاصة به وتوجيه هذه الحزم.

   يتيح هذا المثال لمعرف فئة المورد (BVI) قبول حزم IP وتوجيهها.

   الموجه<configure>#bridge 4 route ip

تكوين الواجهة الظاهرية التي تم ربطها (BVI)

أتمت هذا إجراء:

1. قم بتكوين BVI.

   شكلت ال BVI عندما يعين أنت المراسل رقم من الجسر مجموعة إلى ال BVI. كل مجموعة جسر يمكن أن يكون لها BVI واحد فقط. يقوم هذا المثال بتعيين رقم مجموعة الجسر 4 إلى BVI.

   موجه<configure>#interface BVI <4>

2. قم بتخصيص عنوان IP إلى BVI.

   الموجه<config-if>#ip address 10.4.1.1 255.255.0.0

   الموجه<config-if>#no shutdown

تكوين خادم RADIUS المحلي لمصادقة WPA

ارجع إلى القسم ضمن مصادقة 802.1x/EAP للحصول على الإجراء التفصيلي.

تشكيل SSID ل WPA بمصادقة EAP

أتمت هذا إجراء:

1. قم بتمكين واجهة الراديو.

   لتمكين واجهة الراديو، انتقل إلى وضع تكوين واجهة الراديو DOT11 وعين SSID للواجهة.

   router<config>#interface dot11radio0

   الموجه<config-if>#no إيقاف عمل

   موجه<config-if>#ssid wpa-dot1x

2. لتمكين إدارة مفتاح WPA، قم أولا بتكوين تشفير WPA لواجهة شبكة VLAN. يستخدم هذا المثال tkip كتشفير للتشفير..

   اكتب هذا الأمر لتحديد نوع إدارة مفتاح WPA على واجهة الراديو.

   router<config>#interface dot11radio0

   router(config-if)#encryption vlan 4 mode ciphers tkip

3. ربط SSID بشبكة VLAN.

   لتمكين SSID على هذه الواجهة، قم بربط SSID بشبكة VLAN في وضع تكوين SSID.

   VLAN 4

4. قم بتكوين SSID بمصادقة WPA-PSK.

   لتكوين واجهة الراديو ل WPA بمصادقة EAP، قم أولا بتكوين SSID المقترن ل EAP للشبكة.

   router<config>#interface dot11radio0

   الموجه<config-if>#ssid wpa-shared

   الموجه<config-ssid>#authentication network eap eap_methods

5. الآن، قم بتمكين إدارة مفتاح WPA على SSID. شكلت المفتاح إدارة شفرة tkip بالفعل ل هذا VLAN.

   router(config-if-ssid)#authentication key-management WPA

6. مكنت VLAN على الإذاعة قارن.

   الموجه<config>#interface dot11radio 0.4

   الموجه<config-subif>#encapsulation dot1q 4

   موجه<config-subif>#bridge-group 4

شكلت الداخلي DHCP نادل ل ال لاسلكي زبون من هذا VLAN

اكتب هذه الأوامر في وضع التكوين العام لتكوين خادم DHCP الداخلي للعملاء اللاسلكي لشبكة VLAN هذه:

• ip dhcp مستبعد-address 10.4.1.1 10.4.1.5

• ip dhcp بركة wpa-dot1shared

في وضع تكوين تجمع DHCP، اكتب الأوامر التالية:

• الشبكة 10.4.0.0 255.255.0.0

• الموجه الافتراضي 10.4.1.1

تكوين عميل لاسلكي للمصادقة

بعد تكوين ISR، قم بتكوين العميل اللاسلكي لأنواع مصادقة مختلفة كما هو موضح بحيث يمكن للموجه مصادقة هذه العملاء اللاسلكي وتوفير الوصول إلى شبكة WLAN. يستخدم هذا المستند أداة Cisco Aironet Desktop Utility (ADU) للتكوين من جانب العميل.

تكوين العميل اللاسلكي للمصادقة المفتوحة

أكمل الخطوات التالية:

1. في إطار إدارة التوصيفات الموجود على وحدة التحكم في الوصول، انقر على جديد لإنشاء توصيف جديد.

   تظهر نافذة جديدة حيث يمكنك تعيين التكوين للمصادقة المفتوحة. تحت علامة التبويب عام أدخل اسم التوصيف واسم SSID الذي يستخدمه محول العميل.

   في هذا المثال يكون اسم التوصيف واسم SSID مفتوحين.

   ملاحظة: يجب أن يتطابق SSID مع SSID الذي قمت بتكوينه على ISR للمصادقة المفتوحة.

   

2. انقر على علامة التبويب تأمين واترك خيار التأمين بلا لتشفير WEP. بما أن هذا المثال يستخدم WEP كخيار إختياري، فإن إعداد هذا الخيار على لا شيء سيسمح للعميل بالاقتران بنجاح والتواصل مع شبكة WLAN.

   ثم انقر فوق موافق

   

3. حدد نافذة متقدمة من علامة تبويب إدارة التوصيفات واضبط وضع مصادقة 802.11 على أنه مفتوح للمصادقة المفتوحة.

   

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

1. بعد إنشاء ملف تعريف العميل، انقر على تنشيط تحت علامة تبويب إدارة ملف التعريف لتنشيط ملف التعريف.

   

2. تحقق من حالة ADU للحصول على مصادقة ناجحة.

   

تكوين العميل اللاسلكي لمصادقة 802.1x/EAP

أكمل الخطوات التالية:

1. في إطار إدارة التوصيفات الموجود على وحدة التحكم في الوصول، انقر على جديد لإنشاء توصيف جديد.

   تظهر نافذة جديدة حيث يمكنك تعيين التكوين للمصادقة المفتوحة. تحت علامة التبويب عام أدخل اسم التوصيف واسم SSID الذي يستخدمه محول العميل.

   في هذا المثال يكون اسم التوصيف و SSID كبيسين.

2. تحت إدارة التوصيفات، انقر على علامة تبويب التأمين، واضبط خيار التأمين على 802.1x، واختر نوع EAP المناسب. يستخدم هذا المستند LEAP كنوع EAP للمصادقة. الآن، انقر على تكوين لتكوين إعدادات اسم مستخدم وكلمة مرور LEAP.

   ملاحظة: يجب أن يتطابق SSID مع SSID الذي قمت بتكوينه على ISR لمصادقة 802. 1x/EAP.

   

3. تحت إعدادات اسم المستخدم وكلمة المرور، يختار هذا المثال المطالبة يدويا باسم المستخدم وكلمة المرور حتى تتم مطالبة العميل بإدخال اسم المستخدم وكلمة المرور الصحيحة بينما يحاول العميل الاتصال بالشبكة. وانقر فوق OK.

   

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

• بعد إنشاء ملف تعريف العميل، انقر على تنشيط تحت علامة التبويب إدارة ملف التعريف لتنشيط LEAP ملف التعريف. أنت حضضت ل LEAP مستعمل إسم وكلمة. يستعمل هذا مثال ال username وكلمة مستعمل 1. وانقر فوق OK.

• يمكنك مراقبة مصادقة العميل بنجاح وتعيين عنوان IP من خادم DHCP الذي تم تكوينه على الموجه.

  

تكوين العميل اللاسلكي لمصادقة WPA-PSK

أكمل الخطوات التالية:

1. في إطار إدارة التوصيفات الموجود على وحدة التحكم في الوصول، انقر على جديد لإنشاء توصيف جديد.

   تظهر نافذة جديدة حيث يمكنك تعيين التكوين للمصادقة المفتوحة. تحت علامة التبويب عام، أدخل اسم التوصيف وSSID الذي يستخدمه محول العميل.

   في هذا المثال، يكون اسم التوصيف واسم SSID مشتركين مع WPA.

   ملاحظة يجب أن يتطابق SSID مع SSID الذي قمت بتكوينه على ISR لمصادقة WPA-PSK.

2. تحت إدارة التوصيفات، انقر على علامة التبويب تأمين واضبط خيار التأمين على هيئة عبارة مرور WPA/WPA2. انقر الآن على تكوين عبارة مرور WPA.

   

3. حدد مفتاح WPA مشترك مسبقا. يجب أن يكون طول المفتاح من 8 إلى 63 حرف ASCII. وانقر فوق OK.

   

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

• بعد إنشاء ملف تعريف العميل، انقر على تنشيط تحت علامة التبويب إدارة ملف التعريف لتنشيط ملف التعريف wpa-shared.

• تحقق من ADU بحثا عن مصادقة ناجحة.

  

تشكيل العميل اللاسلكي لمصادقة WPA (مع EAP)

أكمل الخطوات التالية:

1. في إطار إدارة التوصيفات الموجود على وحدة التحكم في الوصول، انقر على جديد لإنشاء توصيف جديد.

   تظهر نافذة جديدة حيث يمكنك تعيين التكوين للمصادقة المفتوحة. تحت علامة التبويب عام، أدخل اسم التوصيف ومعرف SSID الذي يستخدمه محول العميل.

   في هذا المثال، يكون اسم التوصيف و SSID wpa-dot1x.

   ملاحظة: يجب أن يتطابق SSID مع SSID الذي قمت بتكوينه على ISR لمصادقة WPA (مع EAP).

2. تحت إدارة التوصيفات، انقر على علامة التبويب تأمين، واضبط خيار التأمين على أنه WPA/WPA2/CCKM، واختر نوع WPA/WPA2/CCKM EAP المناسب. يستخدم هذا المستند LEAP كنوع EAP للمصادقة. الآن، انقر على تكوين لتكوين إعدادات اسم مستخدم وكلمة مرور LEAP.

   

3. تحت منطقة إعدادات اسم المستخدم وكلمة المرور، يختار هذا المثال المطالبة يدويا باسم المستخدم وكلمة المرور حتى تتم مطالبة العميل بإدخال اسم المستخدم وكلمة المرور الصحيحة بينما يحاول العميل الاتصال بالشبكة. وانقر فوق OK.

   

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

1. بعد إنشاء ملف تعريف العميل، انقر على تنشيط تحت علامة التبويب إدارة ملف التعريف لتنشيط ملف التعريف wpa-dot1x. أنت حضضت على ال LEAP مستعمل إسم وكلمة. يستخدم هذا المثال اسم المستخدم وكلمة المرور كمستخدم 1. وانقر فوق OK.

   

2. يمكنك مشاهدة مصادقة العميل بنجاح.

   

يعرض الأمر show dot11 اقترانات من واجهة سطر الأوامر (CLI) للموجه التفاصيل الكاملة حول حالة اقتران العميل. فيما يلي مثال.

اقترانات Router#show dot11

802.11 Client Stations on Dot11Radio0: 

SSID [leap] : 

MAC Address    IP address      Device        Name            Parent         State     
0040.96ac.e657 10.3.0.2        CB21AG/PI21AG WCS             self         EAP-Assoc

SSID [open] : 

SSID [pre-shared] : DISABLED, not associated with a configured VLAN

SSID [wpa-dot1x] : 

SSID [wpa-shared] : 


Others:  (not related to any ssid) 

استكشاف الأخطاء وإصلاحها

أوامر استكشاف الأخطاء وإصلاحها

يمكنك إستخدام أوامر تصحيح الأخطاء هذه لاستكشاف أخطاء التكوين وإصلاحها.

• debug dot11 aaa authenticator all — ينشط تصحيح أخطاء حزم مصادقة MAC و EAP.

• debug radius authentication—يعرض مفاوضات RADIUS بين الخادم والعميل.

• debug radius local-server packet—يعرض محتوى حزم RADIUS التي يتم إرسالها واستقبالها.

• debug radius local-server client—يعرض رسائل الخطأ حول مصادقة العميل الفاشلة.

معلومات ذات صلة

• المصادقة على أمثلة تكوين وحدات تحكم الشبكة المحلية (LAN) اللاسلكية
• تكوين شبكات VLAN على نقاط الوصول
• 1800 ISR Wireless Router مع DHCP داخلي ومصادقة مفتوحة تشكيل مثال
• دليل تكوين نقطة الوصول Cisco Wireless ISR و HWIC
• الاتصال بشبكة LAN اللاسلكية باستخدام ISR بتشفير WEP ومثال تكوين مصادقة LEAP
• الدعم التقني والمستندات - Cisco Systems
• تكوين أنواع المصادقة
• الاتصال بشبكة LAN اللاسلكية باستخدام ISR بتشفير WEP ومثال تكوين مصادقة LEAP