تكوين PEAP و EAP-FAST باستخدام ACS 5.2 و WLC

المقدمة

يشرح هذا المستند كيفية تكوين وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) لمصادقة بروتوكول المصادقة المتوسع (EAP) باستخدام خادم RADIUS خارجي مثل خادم التحكم في الوصول (ACS) 5.2.

المتطلبات الأساسية

المتطلبات

تأكد من استيفاء المتطلبات التالية قبل محاولة هذا التكوين:

• يتلقى معرفة الأساسية من ال WLC وخفيف وزن منفذ نقطة (ثني)

• معرفة وظيفية بخادم AAA

• معرفة شاملة بالشبكات اللاسلكية ومشكلات الأمان اللاسلكي

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco 5508 WLC الذي يشغل البرنامج الثابت، الإصدار 7.0.220.0

• نقطة الوصول في الوضع Lightweight من السلسلة Cisco 3502 Series LAP

• البرنامج الأصلي لنظام التشغيل Microsoft Windows 7 مع برنامج التشغيل Intel 6300-N الإصدار 14.3

• مصدر المحتوى الإضافي الآمن من Cisco الذي يشغل الإصدار 5.2

• المحول Cisco 3560 Series Switch

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

التكوين

في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.

ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

هذه هي تفاصيل تكوين المكونات المستخدمة في هذا المخطط:

• عنوان IP الخاص بخادم ACS (RADIUS) هو 192.168.150.24.

• عنوان واجهة الإدارة و AP-Manager الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) هو 192.168.75.44.

• عنوان خوادم DHCP 192.168.150.25.

• يتم إستخدام شبكة VLAN 253 عبر هذا التكوين. يتصل كلا المستخدمين بنفس "goa" لمعرف SSID. ومع ذلك، يتم تكوين المستخدم1 للمصادقة باستخدام PEAP-MSCHAPv2 و user2 باستخدام EAP-FAST.

• سيتم تعيين المستخدمين في شبكة VLAN رقم 253:

  • شبكة VLAN 253: 192.168.153.x/24. البوابة: 192.168.153.1

  • شبكة VLAN 75: 192.168.75.x/24. البوابة: 192.168.75.1

إفتراضات

• شكلت مفتاح ل كل طبقة 3 VLANs.

• تم تعيين نطاق DHCP لخادم DHCP.

• يوجد اتصال الطبقة 3 بين جميع الأجهزة في الشبكة.

• نقطة الوصول (LAP) متصلة بالفعل بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC).

• تحتوي كل شبكة VLAN على /24 قناع.

• يحتوي ACS 5.2 على شهادة موقعة ذاتيا مثبتة.

خطوات التكوين

يتم تقسيم هذا التكوين إلى ثلاث خطوات عالية المستوى:

1. قم بتكوين خادم RADIUS.

2. شكلت ال WLC.

3. قم بتكوين الأداة المساعدة للعميل اللاسلكي.

تكوين خادم RADIUS

يتم تقسيم تكوين خادم RADIUS إلى أربع خطوات:

1. قم بتكوين موارد الشبكة.

2. قم بتكوين المستخدمين.

3. تعريف عناصر السياسة.

4. تطبيق سياسات الوصول.

ACS 5.x هو نظام للتحكم في الوصول قائم على السياسة. أي أن ACS 5.x يستخدم نموذج سياسة مستند إلى قواعد بدلا من النموذج المستند إلى مجموعة المستخدم في إصدارات 4.x.

ويوفر نموذج السياسات القائمة على قواعد ACS 5.x سيطرة على الوصول تتسم بمزيد من القوة والمرونة مقارنة بالنهج القديم القائم على المجموعات.

في النموذج الأقدم المستند إلى مجموعة، تحدد مجموعة النهج لأنها تحتوي على ثلاثة أنواع من المعلومات وتربط بينها:

• معلومات الهوية - يمكن أن تستند هذه المعلومات إلى العضوية في مجموعات AD أو LDAP أو تعيين ثابت لمستخدمي ACS الداخليين.

• قيود أو شروط أخرى - قيود الوقت وقيود الأجهزة وما إلى ذلك.

• الأذونات - شبكات VLAN أو مستويات امتيازات Cisco IOS^®.

يستند نموذج سياسة ACS 5.x إلى قواعد النموذج:

• إذا كانت الحالة نتيجة

على سبيل المثال، نستخدم المعلومات الموصوفة للنموذج المستند إلى مجموعة:

• في حالة وجود حالة هوية أو شرط تقييد ثم ملف تعريف التخويل.

ونتيجة لذلك، يوفر لنا هذا مرونة لتحديد الشروط التي يسمح للمستخدم بالوصول إلى الشبكة بالإضافة إلى مستوى التخويل المسموح به عند استيفاء شروط معينة.

تكوين موارد الشبكة

في هذا القسم، نقوم بتكوين عميل AAA ل WLC على خادم RADIUS.

يشرح هذا الإجراء كيفية إضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) كعميل AAA على خادم RADIUS حتى يمكن أن تمرر عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بيانات اعتماد المستخدم إلى خادم RADIUS.

أكمل الخطوات التالية:

1. من واجهة المستخدم الرسومية (ACS)، انتقل إلى موارد الشبكة>مجموعات أجهزة الشبكة>الموقع، وانقر فوق إنشاء (في الأسفل).

   

2. قم بإضافة الحقول المطلوبة، وانقر فوق إرسال.

   

   سترى الآن هذه الشاشة:

   

3. انقر فوق نوع الجهاز > إنشاء.

   

4. انقر على إرسال. سترى الآن هذه الشاشة:

   

5. انتقل إلى موارد الشبكة > أجهزة الشبكة وعملاء AAA.

6. انقر فوق إنشاء، وقم بتعبئة التفاصيل كما هو موضح هنا:

   

7. انقر على إرسال. سترى الآن هذه الشاشة:

   

تكوين المستخدمين

في هذا القسم، سننشئ مستخدمين محليين على ACS. تم تعيين كلا المستخدمين (user1 و user2) في مجموعة تسمى "المستخدمون اللاسلكيون".

1. انتقل إلى المستخدمين ومخازن الهوية > مجموعات الهوية > إنشاء.

   

2. بمجرد النقر فوق إرسال، ستبدو الصفحة كما يلي:

   

3. قم بإنشاء مستخدمين user1 وuser2، وقم بتعيينهم لمجموعة "المستخدمين اللاسلكيين".

   1. انقر فوق المستخدمين ومخازن الهوية > مجموعات الهوية>المستخدمين>Create.

      

   2. بالمثل، قم بإنشاء user2.

      

   ستبدو الشاشة كما يلي:

   

تعريف عناصر السياسة

تحقق من تعيين السماح بالوصول.

تطبيق سياسات الوصول

في هذا القسم، سنحدد طرق المصادقة المراد إستخدامها وكيفية تكوين القواعد. سننشئ قواعد تستند إلى الخطوات السابقة.

أكمل الخطوات التالية:

1. انتقل إلى سياسات الوصول>خدمات الوصول>الوصول الافتراضي إلى الشبكة>تحرير: "الوصول الافتراضي إلى الشبكة".

   

2. حدد أسلوب EAP الذي تريد مصادقة العملاء اللاسلكيين عليه. في هذا المثال، نستخدم PEAP-MSCHAPv2 وEAP-FAST.

   

   

3. انقر على إرسال.

4. تحقق من مجموعة الهوية التي حددتها. في هذا المثال، نستخدم المستخدمين الداخليين، الذي أنشأناه على ACS. قم بحفظ التغييرات.

   

5. للتحقق من ملف تعريف التخويل، انتقل إلى سياسات الوصول > خدمات الوصول>الوصول الافتراضي إلى الشبكة>التخويل.

   يمكنك التخصيص تحت أي شروط ستتيح للمستخدم الوصول إلى الشبكة وأي توصيف تخويل (سمات) ستمرره بمجرد المصادقة عليه. ولا تتوفر هذه القابلية للتعديل إلا في ACS 5.x. في هذا المثال، قمنا بتحديد الموقع، ونوع الجهاز، البروتوكول، مجموعة الهوية، وأسلوب مصادقة EAP.

   

6. انقر فوق موافق، ثم احفظ التغييرات.

7. تتمثل الخطوة التالية في إنشاء قاعدة. إذا لم يتم تعريف أية قواعد، يتم السماح للعميل بالوصول دون أية شروط.

   انقر فوق إنشاء > القاعدة-1. هذه القاعدة خاصة بالمستخدمين في مجموعة "المستخدمين اللاسلكيين".

   

8. قم بحفظ التغييرات. ستبدو الشاشة كما يلي:

   

   إذا كنت ترغب في رفض المستخدمين الذين لا يتطابقون مع الشروط، فقم بتحرير القاعدة الافتراضية للقول "رفض الوصول".

9. سنقوم الآن بتحديد قواعد إختيار الخدمة. أستخدم هذه الصفحة لتكوين نهج بسيط أو مستند إلى قواعد لتحديد الخدمة التي سيتم تطبيقها على الطلبات الواردة. في هذا المثال، يتم إستخدام سياسة مستندة إلى قواعد.

   

تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)

يتطلب هذا التكوين الخطوات التالية:

1. قم بتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام تفاصيل خادم المصادقة.

2. قم بتكوين الواجهات الديناميكية (VLANs).

3. تكوين شبكات WLAN (SSID).

قم بتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام تفاصيل خادم المصادقة

من الضروري تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) حتى يمكنه الاتصال بخادم RADIUS لمصادقة العملاء، وكذلك لأي حركات أخرى.

أكمل الخطوات التالية:

1. من واجهة المستخدم الرسومية (GUI) لوحدة التحكم، انقر فوق الأمان.

2. أدخل عنوان IP الخاص بخادم RADIUS والمفتاح السري المشترك المستخدم بين خادم RADIUS و WLC.

   يجب أن يكون هذا المفتاح السري المشترك هو نفسه الذي تم تكوينه في خادم RADIUS.

   

تكوين الواجهات الديناميكية (VLANs)

يصف هذا إجراء كيف أن يشكل قارن حركي على ال WLC.

أكمل الخطوات التالية:

1. تم تكوين الواجهة الديناميكية من واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم، في نافذة التحكم > الواجهات.

   

2. انقر فوق تطبيق.

   هذا ينقلك إلى التحرير نافذة من هذا قارن حركي (VLAN 253 هنا).

3. أدخل عنوان IP والبوابة الافتراضية لهذه الواجهة الديناميكية.

   

4. انقر فوق تطبيق.

5. ستبدو الواجهات التي تم تكوينها كما يلي:

   

تكوين شبكات WLAN (SSID)

يشرح هذا الإجراء كيفية تكوين شبكات WLAN في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

أكمل الخطوات التالية:

1. من واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم، انتقل إلى شبكات WLAN > إنشاء جديد لإنشاء شبكة WLAN جديدة. يتم عرض نافذة شبكات WLAN الجديدة.

2. أدخل معرف WLAN ومعلومات WLAN SSID.

   يمكنك إدخال أي اسم باسم WLAN SSID. يستخدم هذا المثال GOA كمعرف SSID لشبكة WLAN.

   

3. طقطقة يطبق in order to ذهبت إلى ال edit نافذة من ال WLAN goa.

   

   

   

   

تكوين أداة Wireless Client المساعدة

PEAP-MSCHAPv2 (user1)

في جهاز الاختبار العميل الذي نملكه، فإننا نستخدم وحدة التحكم الأصلية بنظام التشغيل Windows 7 مع بطاقة طراز 6300-N من Intel تشغل إصدار برنامج تشغيل 14.3. يوصى بإجراء إختبار باستخدام أحدث برامج التشغيل من الموردين.

أكمل الخطوات التالية لإنشاء ملف تعريف في Windows Zero Config (WZC):

1. انتقل إلى لوحة التحكم > الشبكة والإنترنت > إدارة الشبكات اللاسلكية.

2. انقر فوق علامة التبويب إضافة.

3. انقر على إنشاء توصيف شبكة يدويا.

   

4. أضف التفاصيل كما تم تكوينها على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

   ملاحظة: يعد SSID حساسا لحالة الأحرف.

5. انقر فوق Next (التالي).

   

6. طقطقة يغير توصيل عملية إعداد in order to دققت العملية إعداد.

   

7. تأكد من تمكين PEAP.

   

   

8. في هذا المثال، لا نقوم بالتحقق من صحة شهادة الخادم. إذا حددت هذا المربع ولم تتمكن من الاتصال، فحاول تعطيل الميزة ثم الاختبار مرة أخرى.

   

9. بدلا من ذلك، يمكنك إستخدام بيانات اعتماد Windows لتسجيل الدخول. على أي حال، في هذا المثال لن نستخدم ذلك. وانقر فوق OK.

   

10. طقطقت متقدم عملية إعداد in order to شكلت username وكلمة.

    

    

    

الأداة المساعدة للعميل جاهزة الآن للاتصال.

EAP-FAST (user2)

في جهاز الاختبار العميل الذي نملكه، فإننا نستخدم وحدة التحكم الأصلية بنظام التشغيل Windows 7 مع بطاقة طراز 6300-N من Intel تشغل إصدار برنامج تشغيل 14.3. يوصى بإجراء إختبار باستخدام أحدث برامج التشغيل من الموردين.

أكمل الخطوات التالية لإنشاء توصيف في WZC:

1. انتقل إلى لوحة التحكم > الشبكة والإنترنت > إدارة الشبكات اللاسلكية.

2. انقر فوق علامة التبويب إضافة.

3. انقر على إنشاء توصيف شبكة يدويا.

   

4. أضف التفاصيل كما تم تكوينها على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

   ملاحظة: يعد SSID حساسا لحالة الأحرف.

5. انقر فوق Next (التالي).

   

6. طقطقة يغير توصيل عملية إعداد in order to دققت العملية إعداد.

   

7. تأكد من تمكين EAP-FAST.

   ملاحظة: لا يحتوي WZC بشكل افتراضي على EAP-FAST كطريقة مصادقة. يجب تنزيل الأداة المساعدة من مورد تابع لجهة خارجية. في هذا المثال، بما أنها بطاقة Intel، فلدينا Intel PROSet مثبتة على النظام.

   

   

8. مكن السماح بإمداد PAC التلقائي وتأكد من عدم تحديد التحقق من شهادة الخادم.

   

9. انقر فوق علامة التبويب مسوغات المستخدم، وأدخل مسوغات المستخدم 2. بدلا من ذلك، يمكنك إستخدام بيانات اعتماد Windows لتسجيل الدخول. على أي حال، في هذا المثال لن نستخدم ذلك.

   

10. وانقر فوق OK.

    

الأداة المساعدة للعميل جاهزة الآن للاتصال للمستخدم 2.

ملاحظة: عند محاولة المستخدم2 المصادقة، يرسل خادم RADIUS مسوغ وصول محمي PAC. قبول مسوغات الوصول المحمي (PAC) لاستكمال المصادقة.

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .

التحقق من المستخدم 1 (PEAP-MSCHAPv2)

من واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC)، انتقل إلى الشاشة > العملاء، وحدد عنوان MAC.

حالات WLC RADIUS:

(Cisco Controller) >show radius auth statistics
Authentication Servers:
Server Index..................................... 1
Server Address................................... 192.168.150.24
Msg Round Trip Time.............................. 1 (msec)
First Requests................................... 8
Retry Requests................................... 0
Accept Responses................................. 1
Reject Responses................................. 0
Challenge Responses.............................. 7
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops...................................... 0

سجلات ACS:

1. أتمت هذا steps in order to شاهدت ال ضرب عدد:

   1. إذا قمت بفحص السجلات خلال 15 دقيقة من المصادقة، فتأكد من تحديث عدد مرات الوصول.

      

   2. لديك علامة تبويب ل عدد مرات الوصول في أسفل نفس الصفحة.

      

2. طقطقة monitore and Reporting ويظهر نافذة منبثقة جديدة. انتقل إلى المصادقات -RADIUS -اليوم. يمكنك أيضا النقر فوق Details للتحقق من قاعدة تحديد الخدمة التي تم تطبيقها.

   

التحقق من المستخدم 2 (EAP-FAST)

من واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC)، انتقل إلى الشاشة > العملاء، وحدد عنوان MAC.

سجلات ACS:

1. أتمت هذا steps in order to شاهدت ال ضرب عدد:

   1. إذا قمت بفحص السجلات خلال 15 دقيقة من المصادقة، فتأكد من تحديث عدد مرات الوصول إلى النظام.

      

   2. لديك علامة تبويب ل عدد مرات الوصول في أسفل نفس الصفحة.

      

2. طقطقة monitore and Reporting ويظهر نافذة منبثقة جديدة. انتقل إلى المصادقات -RADIUS -اليوم. يمكنك أيضا النقر فوق Details للتحقق من قاعدة تحديد الخدمة التي تم تطبيقها.

   

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

أوامر استكشاف الأخطاء وإصلاحها

تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .

ملاحظة: ارجع إلى معلومات مهمة حول أوامر التصحيح قبل إستخدام أوامر debug.

1. إن يواجه أنت أي مشكلة، أصدرت هذا أمر على ال WLC:

   • تصحيح أخطاء العميل <mac add of client>

   • debug aaa all enable

   • إظهار تفاصيل العميل <mac addr> - التحقق من حالة مدير النهج.

   • show radius auth statistics - دققت الفشل سبب.

   • debug disable-all - إيقاف تشغيل تصحيح الأخطاء.

   • مسح حالات مصادقة نصف القطر الكل - مسح إحصائيات نصف القطر على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

2. تحقق من السجلات الموجودة في ACS ولاحظ سبب الفشل.

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems