تكوين جسور مجموعة العمل بمصادقة PEAP
المقدمة
يوضح هذا المستند كيفية تكوين جسر مجموعة عمل (WGB) للاتصال بمعرف مجموعة خدمة (SSID) 802.1X يستخدم بروتوكول المصادقة المتوسع المحمي (PEAP) باستخدام وحدة تحكم شبكة محلية لاسلكية (WLC) طراز 9800.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- C9800 WLC
- WGB
- بروتوكول 802.1X
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco IOS® الإصدار 15.3(3)JPN1 ل WGB
- Cisco IOS XE الإصدار 17.9.2 ل WLC
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
الرسم التخطيطي للشبكة
في هذا المثال، يتم تكوين نقطة الوصول (AP) الذاتية IW3702 على أنها WGB وتتصل بشبكة نقطة الوصول في الوضع Lightweight. أستخدم SSID هذا، dot1XSSID-R، للاتصال بالشبكة المحلية اللاسلكية واستخدام PEAP لمصادقة الشبكة المحلية اللاسلكية (WGB).
تكوين WGB
أتمت in order to شكلت ال WGB، هذا steps:
- قم بتعيين اسم المضيف.
configure terminal
hostname WGB-Client - قم بتكوين الوقت. يجب أن يكون الوقت صحيحا حتى يمكن تثبيت الشهادة على WGB.
clock set hh:mm:ss dd Month yyyy
example: clock set 15:33:00 15 February 2023 - تكوين نقطة الثقة للمرجع المصدق (CA):
- الوحدة الطرفية للتسجيل - تتيح لك نسخ/لصق الشهادة من المصدق. في هذه الحالة، يتم إرسال محرك خدمات الهوية (ISE) إلى WGB.
- الإبطال - التحقق من بلا. نخبر WGB بعدم إجراء أي تحقق إضافي على شهادة الخادم. هذا أمر ضروري أن يتجنب المشكلة يصف في cisco بق id CSCsl07349 (يسجل زبون فقط). يعمل WGB على فصل/إعادة تعيين غالبا ويستغرق وقتا طويلا لإعادة الاتصال.
crypto pki trustpoint isecert
enrollment terminal
revocation-check none
- قم بتنزيل شهادة المصدق.
- الحصول على نسخة من شهادة المرجع المصدق. على سبيل المثال، إستخدمنا ISE كخادم مصادق. انتقل إلى إدارة > نظام > شهادات.
- حدد الشهادة التي يستخدمها ISE لمصادقة EAP (يشتمل الاستخدام حسب العمود على مصادقة EAP) وقم بتنزيله كما هو موضح في لقطات الشاشة.
- ينتج عن الخطوات السابقة
.pemملف. هذه هي الشهادة التي سيتم تثبيتها في WGB حتى يمكن إنشاء النفق وتبديل بيانات الاعتماد داخله.
- تثبيت شهادة المرجع المصدق:
- أدخل
crypto pki authenticate isecerterasecat4000_flash:. - فتح
.pemملف في محرر نصي وانسخ السلسلة. التنسيق هو كما يلي:-----BEGIN CERTIFICATE-----
[ ... ]
-----END CERTIFICATE----- - نسخ/لصق شهادة المرجع المصدق > ضغط خط فارغ
Enter> إدخالquitفي السطر الأخير لوحده. - لصق النص من
.cerتم تنزيل الملف في الخطوة السابقة.-----BEGIN CERTIFICATE-----
[ ... ]
-----END CERTIFICATE----
(hit enter)
quit
(hit enter)
Certificate has the following attributes:
Fingerprint: 45EC6866 A66B4D8F 2E05960F BC5C1B76
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
- أدخل
- تعريف أسلوب المصادقة على WGB، في هذه الحالة
peap.conf terminal
eap profile peap
method peap
end - تكوين بيانات الاعتماد ل WGB، في هذه الحالة
cred. تأكد من إضافة TrustPoint التي أنشأناها، في هذه الحالةisecert.dot1x credentials CRED
username userWGB
password 7 13061E010803
pki-trustpoint isecert - قم بتكوين SSID على WGB وتأكد من إستخدام السلسلة الصحيحة لتوصيف EAP وبيانات الاعتماد، في هذه الحالة
peapوcred، على التوالي.
ملاحظة: من أجل
authentication open eap <string>erasecat4000_flash:، يمكنك إدخال أي شيء. لا يرتبط هذا التكوين بأوامر أخرى على WGB.configure terminal
dot11 ssid dot1XSSID-R
authentication open eap PEAP
authentication key-management wpa
dot1x credentials cred
dot1x eap profile peap
infrastructure-ssidعند هذه النقطة، يبدو تكوين نقطة الوصول بهذا المثال. أدخل
show runerasecat4000_flash:.Building configuration...
version 15.3
!
hostname WGB-Client
!
.....
!
dot11 ssid dot1XSSID-R
authentication open eap PEAP
authentication key-management wpa
dot1x credentials cred
dot1x eap profile peap
infrastructure-ssid
!
eap profile PEAP
method peap
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint isecert
enrollment terminal
revocation-check none
!
crypto pki certificate chain isecert
certificate ca 5CC74BD9508B78AF4AB5C5F84C32AC2A
...
C3B7249C F75C4525 D02A40AB 50E19196 9D1C2853 8BAEFDFC 1CE1945E 1CABC51B AFF5
quit
!
dot1x credentials PEAP
username userWGB
password 7 13061E010803
pki-trustpoint isecert
!
....
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid dot1XSSID-R
!
antenna gain 0
station-role workgroup-bridge
bridge-group 1
bridge-group 1 spanning-disabled
!
.....
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
للتحقق من الاقتران على WGB، قم بإظهار اقترانات dot11.
تبدو رابطة WGB من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) مثل هذا المثال:
9800#show wireless client summary
Number of Clients: 3
MAC Address AP Name Type ID State Protocol Method Role
-------------------------------------------------------------------------------------------------------------------------
843d.c6e8.76e0 AP687D.B45C.46E8 WLAN 3 RUN 11ac Dot1x Local
9800-rafenriq#show wireless wgb summary
Number of WGBs: 1
MAC Address AP Name WLAN State Clients
---------------------------------------------------------------------------------
843d.c6e8.76e0 AP687D.B45C.46E8 3 RUN 2
9800-rafenriq#show wireless wgb mac-address 843d.c6e8.76e0 detail
Work Group Bridge
MAC Address : 843d.c6e8.76e0
AP Name : AP687D.B45C.46E8
WLAN ID : 3
State : RUN
Number of Clients: 2
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.
تصحيح أخطاء جسر مجموعة العمل
دخلت in order to صححت ال WGB، هذا أمر:
debug aaa authentication
debug dot11 supp-sm-dot1
debug wgb في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)
بما أن WGB يتصرف كعميل لاسلكي آخر، راجع أستكشاف أخطاء اتصال العميل Catalyst 9800 وإصلاحها في التدفق لتجميع المسارات والتقاط على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
22-Feb-2023 |
تم التحديث ل 9800 WLC والإصدارات الجديدة ل WGB. |
1.0 |
14-Jan-2013 |
الإصدار الأولي |
التعليقات