الاتصال بشبكة LAN اللاسلكية باستخدام ISR بتشفير WEP ومثال تكوين مصادقة LEAP
المحتويات
المقدمة
يشرح هذا المستند كيفية تكوين موجه الخدمات المتكاملة Cisco 870 Series Integrated Services Router (ISR) لاتصال الشبكة المحلية اللاسلكية باستخدام تشفير WEP ومصادقة LEAP.
ينطبق التكوين نفسه على أي طرز أخرى من السلسلة اللاسلكية ISR من Cisco.
المتطلبات الأساسية
المتطلبات
تأكد من استيفاء المتطلبات التالية قبل أن تحاول إجراء هذا التكوين:
-
معرفة كيفية تكوين المعلمات الأساسية ل ISR السلسلة Cisco 870 Series.
-
معرفة كيفية تكوين مهايئ العميل اللاسلكي 802.11a/b/g باستخدام أداة Aironet Desktop Utility (ADU).
ارجع إلى دليل تكوين وتثبيت محولات عميل شبكة LAN اللاسلكية Cisco Aironet 802.11a/b/g (CB21AG و PI21AG)، الإصدار 2.5 للحصول على معلومات حول كيفية تكوين مهايئ عميل 802.11a/b/g.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
-
cisco 871W ISR أن يركض cisco IOS® برمجية إطلاق 12.3(8)YI1
-
الكمبيوتر المحمول مع أداة Aironet Desktop Utility، الإصدار 2.5
-
مهايئ عميل 802.11 a/b/g الذي يشغل الإصدار 2.5 من البرنامج الثابت
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الرسم التخطيطي للشبكة
يستخدم هذا المستند إعداد الشبكة التالي.
في هذا الإعداد، يرتبط عميل شبكة LAN اللاسلكية بالموجه 870. يتم إستخدام خادم بروتوكول التكوين الديناميكي للمضيف (DHCP) الداخلي على الموجه 870 لتوفير عنوان IP للعملاء اللاسلكيين. يتم تمكين تشفير WEP على ال 870 ISR وعميل WLAN. يتم إستخدام مصادقة LEAP لمصادقة المستخدمين اللاسلكيين ويتم إستخدام ميزة خادم RADIUS المحلي على موجه 870 للتحقق من المسوغات.
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
تكوين الموجه 871W
أكمل الخطوات التالية لتكوين ISR 871W كنقطة وصول لقبول طلبات الاقتران من العملاء اللاسلكيين.
-
قم بتكوين التوجيه والربط المدمج (IRB) وإعداد مجموعة الجسر.
اكتب هذه الأوامر من وضع التكوين العام لتمكين IRB.
WirelessRouter<config>#bridge irb !--- Enables IRB. WirelessRouter<config>#bridge 1 protocol ieee !--- Defines the type of Spanning Tree Protocol as ieee. WirelessRouter<config>#bridge 1 route ip !--- Enables the routing of the specified protocol in a bridge group.
-
تكوين الواجهة الظاهرية التي تم ربطها (BVI).
قم بتخصيص عنوان IP إلى BVI. اكتب هذه الأوامر من وضع التكوين العام.
WirelessRouter<config>#interface bvi1 !--- Enter interface configuration mode for the BVI. WirelessRouter<config-if>#ip address 172.16.1.100 255.255.0.0راجع قسم تكوين مجموعة الجسر على نقاط الوصول والجسور في إستخدام شبكات VLAN مع معدات Cisco Aironet اللاسلكية للحصول على مزيد من المعلومات حول وظائف مجموعات الجسر في نقاط الوصول.
-
شكلت الداخلي DHCP نادل سمة على ال 871W ISR.
يمكن إستخدام ميزة خادم DHCP الداخلية على الموجه لتعيين عناوين IP لعملاء اللاسلكي الذين يقترنون بالموجه. أتمت هذا أمر في شامل تشكيل أسلوب.
WirelessRouter<config>#ip dhcp excluded-address 172.16.1.100 172.16.1.100 !--- Excludes IP addresses from the DHCP pool. !--- This address is used on the BVI interface, so it is excluded. WirelessRouter<config>#ip dhcp pool 870-ISR WirelessRouter<dhcp-config>#network 172.16.1.0 255.255.0.0
ملاحظة: يجب تكوين محول العميل أيضا لقبول عناوين IP من خادم DHCP.
-
قم بتكوين ISR 871W كخادم RADIUS محلي.
في وضع التكوين العام، اكتب هذه الأوامر لتكوين موجه خدمات مدمجة (ISR) بقوة 871 وات كخادم RADIUS محلي.
WirelessRouter<config>#aaa new-model !--- Enable the authentication, authorization, and accounting !--- (AAA) access control model. WirelessRouter<config>#radius-server local !--- Enables the 871 wireless-aware router as a local !--- authentication server and enters into configuration !--- mode for the authenticator. WirelessRouter<config-radsrv)#nas 172.16.1.100 key Cisco !--- Adds the 871 router to the list of devices that use !--- the local authentication server. WirelessRouter<config-radsrv>#user ABCD password ABCD WirelessRouter<config-radsrv)#user XYZ password XYZ !--- Configure two users ABCD and XYZ on the local RADIUS server. WirelessRouter<config-radsrv)#exit WirelessRouter<config>#radius-server host 172.16.1.100 auth-port 1812 acct-port 1813 key Cisco !--- Specifies the RADIUS server host.
ملاحظة: إستخدام المنافذ من 1812 إلى 1813 للمصادقة والحساب لخادم RADIUS المحلي.
WirelessRouter<config>#aaa group server radius rad_eap !--- Maps the RADIUS server to the group rad_eap . WirelessRouter<config-sg-radius>#server 172.16.1.100 auth-port 1812 acct-port 1813 !--- Define the server that falls in the group rad_eap. WirelessRouter<config>#aaa authentication login eap_methods group rad_eap !--- Enable AAA login authentication.
-
قم بتكوين واجهة الراديو.
يتضمن تكوين واجهة الراديو تكوين العديد من المعاملات اللاسلكية على الموجه، بما في ذلك SSID ووضع التشفير ونوع المصادقة والسرعة ودور الموجه اللاسلكي. يستخدم هذا المثال إختبار SSID المسمى.
اكتب هذه الأوامر لتكوين واجهة الراديو في وضع التكوين العام.
WirelessRouter<config>#interface dot11radio0 !--- Enter radio interface configuration mode. WirelessRouter<config-if>#ssid Test !--- Configure an SSID test. irelessRouter<config-ssid>#authentication open eap eap_methods WirelessRouter<config-ssid>#authentication network-eap eap_methods !--- Expect that users who attach to SSID 'Test' !--- are requesting authentication with the type 128 !--- Network Extensible Authentication Protocol (EAP) !--- authentication bit set in the headers of those requests. !--- Group these users into a group called 'eap_methods'. WirelessRouter<config-ssid>#exit !--- Exit interface configuration mode. WirelessRouter<config-if>#encryption mode wep mandatory !--- Enable WEP encryption. WirelessRouter<config-if>#encryption key 1 size 128 1234567890ABCDEF1234567890 !--- Define the 128-bit WEP encryption key. WirelessRouter<config-if>#bridge-group 1 WirelessRouter<config-if>#no shut !--- Enables the radio interface.
يقبل الموجه 870 طلبات الاقتران من العملاء اللاسلكيين بمجرد تنفيذ هذا الإجراء.
عندما تقوم بتكوين نوع مصادقة EAP على الموجه، يوصى باختيار كل من Network-EAP وفتح باستخدام EAP كأنواع مصادقة لتجنب أي مشاكل في المصادقة.
WirelessRouter<config-ssid>#authentication network-eap eap_methods WirelessRouter<config-ssid>#authentication open eap eap_methods
ملاحظة: يفترض هذا المستند أن الشبكة لا تحتوي إلا على عملاء Cisco Wireless.
ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للعثور على مزيد من المعلومات حول الأوامر المستخدمة في هذا المستند.
تكوين مهايئ العميل
أكمل هذه الخطوات لتكوين محول العميل. ينشئ هذا الإجراء ملف تعريف جديد يسمى 870-ISR على ADU، على سبيل المثال. كما يستخدم هذا الإجراء أيضا Test ك SSID ويتيح مصادقة LEAP على محول العميل.
-
انقر على جديد لإنشاء توصيف جديد في إطار إدارة التوصيفات على وحدة التحكم في الوصول. أدخل اسم التوصيف واسم SSID الذي يستخدمه محول العميل تحت علامة التبويب عام.
في هذا المثال، اسم التوصيف هو 870-ISR و SSID هو Test.
ملاحظة: يجب أن يتطابق SSID تماما مع SSID الذي قمت بتكوينه في ISR 871W. SSID حساس لحالة الأحرف.
-
انتقل إلى علامة التبويب "الأمان"، وحدد 802.1x واختر LEAP من قائمة نوع EAP 802.1x.
يتيح هذا الإجراء مصادقة LEAP على مهايئ العميل.
-
انقر على تكوين لتحديد إعدادات LEAP.
يختار هذا تشكيل الخيار تلقائيا متأهب ل username وكلمة. يتيح لك هذا الخيار إدخال اسم المستخدم وكلمة المرور يدويا عند إجراء مصادقة LEAP.
-
انقر على موافق للخروج من إطار إدارة التوصيفات.
-
انقر على تنشيط لتمكين هذا التوصيف على محول العميل.
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
بمجرد تكوين مهايئ العميل والموجه 870، قم بتنشيط التوصيف 870-ISR على مهايئ العميل للتحقق من التكوين.
أدخل اسم المستخدم وكلمة المرور عند عرض إطار إدخال كلمة مرور الشبكة اللاسلكية. ويجب أن تتوافق هذه مع تلك التي تم تكوينها في موجه خدمات مدمجة (ISR) بقوة 871 وات. أحد التوصيفات المستخدمة في هذا المثال هو اسم المستخدم وكلمة المرور وكلمة المرور.
يظهر إطار حالة مصادقة LEAP. يتحقق هذا الإطار من مسوغات المستخدم مقابل خادم RADIUS المحلي.
تحقق من حالة ADU الحالية للتحقق من أن العميل يستخدم تشفير WEP ومصادقة LEAP.
تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .
-
show dot11 association—يتحقق من التكوين على الموجه 870.
WirelessRouter#show dot11 association 802.11 Client Stations on Dot11Radio0: SSID [Test]: MAC Address IP Address Device Name Parent State 0040.96ac.dd05 172.16.1.99 CB21AG/PI21AG LAPTOP-1 self EAP-Associated Others: (not related to any ssid)
-
show ip dhcp binding— يتحقق من أن العميل لديه عنوان IP من خلال خادم DHCP.
WirelessRouter#show ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type Hardware address/ User name 172.16.1.99 0040.96ac.dd05 Feb 6 2006 10:11 PM Automatic
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم معلومات أستكشاف الأخطاء وإصلاحها المتعلقة بهذا التكوين.
-
اضبط الأسلوب في SSID على فتح من أجل تعطيل المصادقة مؤقتا.
يؤدي ذلك إلى إستبعاد أحتمالية حدوث مشاكل في تردد الراديو (RF) تمنع المصادقة الناجحة.
-
أستخدم أوامر no authentication open eap_methods وno authentication network-eap_methods وauthentication open من واجهة سطر الأوامر (CLI).
إذا نجح العميل في الاقتران، فلن يساهم التردد اللاسلكي في مشكلة الاقتران
-
-
تحقق من مطابقة مفاتيح WEP التي تم تكوينها على الموجه اللاسلكي لمفاتيح WEP التي تم تكوينها على العملاء.
في حالة وجود عدم تطابق في مفاتيح WEP لا يتمكن العملاء من الاتصال بالموجه اللاسلكي.
-
تحقق من مزامنة كلمات المرور السرية المشتركة بين الموجه اللاسلكي وخادم المصادقة.
يمكنك أيضا إستخدام أوامر تصحيح الأخطاء هذه لاستكشاف أخطاء التكوين وإصلاحها.
-
debug dot11 aaa authenticator all—ينشط تصحيح أخطاء حزم مصادقة MAC و EAP.
-
debug radius authentication—يعرض مفاوضات RADIUS بين الخادم والعميل.
-
debug radius local-server packet—يعرض محتوى حزم RADIUS التي يتم إرسالها واستقبالها.
-
debug radius local-server client—يعرض رسائل الخطأ حول مصادقة العميل الفاشلة.
معلومات ذات صلة
- خوارزميات التشفير وأنواع المصادقة
- أنواع المصادقة اللاسلكية على ISR الثابت من خلال مثال تكوين SDM
- أنواع المصادقة اللاسلكية على مثال تكوين ISR الثابت
- دليل التكوين اللاسلكي لموجه الوصول Cisco Access Router
- 1800 ISR Wireless Router مع DHCP داخلي ومصادقة مفتوحة تشكيل مثال
- صفحة الدعم اللاسلكي
- الدعم التقني والمستندات - Cisco Systems
التعليقات