Konfiguration von Wireless-Authentifizierungstypen auf einem festen ISR

Einleitung

Dieses Dokument enthält ein Konfigurationsbeispiel, in dem erläutert wird, wie auf einem in Cisco Wireless integrierten Router mit fester Konfiguration verschiedene Layer-2-Authentifizierungstypen für Wireless-Verbindungen mit CLI-Befehlen konfiguriert werden.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie diese Konfiguration ausprobieren:

• Grundkenntnisse der Konfiguration der Parameter des Cisco Integrated Services Routers (ISR)

• Kenntnisse der Konfiguration des 802.11a/b/g Wireless Client Adapter mit dem Aironet Desktop Utility (ADU)

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco 877W ISR mit Cisco IOS^® Softwareversion 12.3(8)YI1

• Laptop mit Aironet Desktop Utility Version 3.6

• 802.11 a/b/g Client-Adapter für Firmware-Version 3.6

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Die fest konfigurierten Cisco Integrated Services Router unterstützen eine sichere, erschwingliche und benutzerfreundliche WLAN-Lösung, die Mobilität und Flexibilität mit den von Netzwerkexperten benötigten Funktionen der Enterprise-Klasse kombiniert. Mit einem auf der Cisco IOS Software basierenden Managementsystem fungieren die Cisco Router als Access Points und sind Wi-Fi-zertifizierte, IEEE 802.11a/b/g-konforme Wireless LAN-Transceiver.

Sie können die Router über die Kommandozeile (CLI), das browserbasierte Managementsystem oder das Simple Network Management Protocol (SNMP) konfigurieren und überwachen. In diesem Dokument wird beschrieben, wie der ISR mithilfe der CLI-Befehle für Wireless-Verbindungen konfiguriert wird.

Konfigurieren

In diesem Beispiel wird veranschaulicht, wie diese Authentifizierungstypen auf einem fest konfigurierten Cisco Wireless Integrated-Router mit CLI-Befehlen konfiguriert werden.

• Offene Authentifizierung

• 802.1x/EAP-Authentifizierung (Extensible Authentication Protocol)

• WPA-PSK-Authentifizierung (Wi-Fi Protected Access Pre-Shared Key)

• WPA-Authentifizierung (mit EAP)

Hinweis: Dieses Dokument behandelt nicht die freigegebene Authentifizierung, da es sich um einen weniger sicheren Authentifizierungstyp handelt.

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

In dieser Konfiguration wird der lokale RADIUS-Server auf dem Wireless-ISR verwendet, um Wireless-Clients mit 802.1x-Authentifizierung zu authentifizieren.

Offene Authentifizierung konfigurieren

Die offene Authentifizierung ist ein Null-Authentifizierungsalgorithmus. Der Access Point gewährt jede Anforderung für die Authentifizierung. Die offene Authentifizierung ermöglicht den Netzwerkzugriff auf jedem Gerät. Wenn im Netzwerk keine Verschlüsselung aktiviert ist, kann jedes Gerät, das die SSID des Access Points kennt, Zugriff auf das Netzwerk erhalten. Wenn die WEP-Verschlüsselung auf einem Access Point aktiviert ist, wird der WEP-Schlüssel selbst zum Mittel der Zugriffskontrolle. Wenn ein Gerät nicht über den richtigen WEP-Schlüssel verfügt, kann es trotz erfolgreicher Authentifizierung keine Daten über den Access Point übertragen. Ebenso wenig können vom Access Point gesendete Daten entschlüsselt werden.

In dieser Beispielkonfiguration wird nur eine einfache offene Authentifizierung erläutert. Der WEP-Schlüssel kann optional oder obligatorisch sein. In diesem Beispiel wird der WEP-Schlüssel als optional konfiguriert, sodass jedes Gerät, das WEP nicht verwendet, sich ebenfalls authentifizieren und mit diesem WAP verbinden kann.

Weitere Informationen finden Sie unter Offene Authentifizierung.

In diesem Beispiel wird dieses Konfigurations-Setup verwendet, um die offene Authentifizierung auf dem ISR zu konfigurieren.

• SSID-Name: "open"

• VLAN 1

• Interner DHCP-Serverbereich: 10.1.0.0/16

Hinweis: In diesem Beispiel wird der Einfachheit halber keine Verschlüsselungstechnik für authentifizierte Clients verwendet.

Führen Sie die folgenden Aktionen auf dem Router aus:

1. Konfigurieren des Integrated Routing and Bridging (IRB) und Einrichten der Bridge-Gruppe

2. Konfigurieren der Bridged Virtual Interface (BVI)

3. Konfigurieren der SSID für die offene Authentifizierung

4. Konfigurieren des internen DHCP-Servers für die Wireless-Clients dieses VLAN

Konfigurieren des Integrated Routing and Bridging (IRB) und Einrichten der Bridge-Gruppe

Führen Sie diese Aktionen aus:

1. Aktivieren Sie IRB im Router.

   router<configure>#bridge irb

   Hinweis: Wenn alle Sicherheitstypen auf einem einzelnen Router konfiguriert werden sollen, reicht es aus, IRB nur einmal global auf dem Router zu aktivieren. Es muss nicht für jeden einzelnen Authentifizierungstyp aktiviert werden.

2. Definieren Sie eine Brückengruppe.

   In diesem Beispiel wird die Bridge-Gruppe mit der Nummer 1 verwendet.

   Router<configure>#bridge 1

3. Wählen Sie das Spanning Tree Protocol für die Bridge-Gruppe aus.

   Hier ist das IEEE Spanning Tree-Protokoll für diese Bridge-Gruppe konfiguriert.

   router<configure>#bridge 1-Protokoll-ID

4. Aktivieren Sie ein BVI, um routingfähige Pakete zu akzeptieren und weiterzuleiten, die von der entsprechenden Bridge-Gruppe empfangen wurden.

   In diesem Beispiel kann die BVI das IP-Paket akzeptieren und weiterleiten.

   router<configure>#bridge 1 route ip

Konfigurieren der Bridged Virtual Interface (BVI)

Führen Sie diese Aktionen aus:

1. Konfigurieren des BVI

   Konfigurieren Sie das BVI, wenn Sie dem BVI die entsprechende Nummer der Bridge-Gruppe zuweisen. Jede Bridge-Gruppe kann nur eine entsprechende BVI aufweisen. In diesem Beispiel wird der BVI die Bridge-Gruppe 1 zugewiesen.

   Router<configure>#interface BVI <1>

2. Weisen Sie dem BVI eine IP-Adresse zu.

   router<config-if>#ip address 10.1.1.1 255.255.0.0

   Router<config-if>#no shutdown

Ausführliche Informationen zum Bridging finden Sie unter Konfigurieren des Bridgings.

Konfigurieren der SSID für die offene Authentifizierung

Führen Sie diese Aktionen aus:

1. Aktivieren der Funkschnittstelle

   Um die Funkschnittstelle zu aktivieren, wechseln Sie in den Konfigurationsmodus für die DOT11-Funkschnittstelle, und weisen Sie der Schnittstelle eine SSID zu.

   router<config>#interface dot11radio0

   Router<config-if>#kein Herunterfahren

   router<config-if>#ssid offen

   Der offene Authentifizierungstyp kann in Kombination mit der MAC-Adressauthentifizierung konfiguriert werden. In diesem Fall zwingt der Access Point alle Client-Geräte zur Authentifizierung der MAC-Adresse, bevor sie dem Netzwerk beitreten dürfen.

   Die offene Authentifizierung kann auch zusammen mit der EAP-Authentifizierung konfiguriert werden. Der Access Point erzwingt, dass alle Client-Geräte eine EAP-Authentifizierung durchführen, bevor sie dem Netzwerk beitreten dürfen. Geben Sie als Listennamen die Authentifizierungsmethodenliste an.

   Ein für die EAP-Authentifizierung konfigurierter Access Point erfordert, dass alle Clientgeräte, die sich verbinden, eine EAP-Authentifizierung durchführen. Client-Geräte, die kein EAP verwenden, können den Access Point nicht verwenden.

2. Binden der SSID an ein VLAN

   Um die SSID auf dieser Schnittstelle zu aktivieren, binden Sie die SSID im SSID-Konfigurationsmodus an das VLAN.

   Router<config-ssid>VLAN 1

3. Konfigurieren Sie die SSID mit offener Authentifizierung.

   router<config-ssid>#authentication open

4. Konfigurieren Sie die Funkschnittstelle für den optionalen WEP-Schlüssel.

   router<config>#encryption VLAN 1-Modus WEP optional

5. Aktivieren Sie VLAN an der Funkschnittstelle.

   router<config>#interface Dot11Radio 0.1

   router<config-subif>#encapsulation dot1Q 1

   Router<config-subif>#bridge-group 1

Konfigurieren des internen DHCP-Servers für die Wireless-Clients dieses VLAN

Geben Sie diese Befehle im globalen Konfigurationsmodus ein, um den internen DHCP-Server für die Wireless-Clients dieses VLAN zu konfigurieren:

• ip dhcp excluded-address 10.1.1.1 10.1.1.5

• ip dhcp pool offen

Geben Sie im DHCP-Pool-Konfigurationsmodus die folgenden Befehle ein:

• Netzwerk 10.1.0.0 255.255.0.0

• default-router 10.1.1.1

Konfigurieren der 802.1x-/EAP-Authentifizierung

Dieser Authentifizierungstyp bietet die höchste Sicherheitsstufe für Ihr Wireless-Netzwerk. Da das Extensible Authentication Protocol (EAP) für die Interaktion mit einem EAP-kompatiblen RADIUS-Server verwendet wird, unterstützt der Access Point ein Wireless-Client-Gerät und den RADIUS-Server bei der gegenseitigen Authentifizierung und der Ableitung eines dynamischen Unicast-WEP-Schlüssels. Der RADIUS-Server sendet den WEP-Schlüssel an den Access Point, der ihn für alle Unicast-Datensignale verwendet, die er an den Client sendet oder vom Client empfängt.

Weitere Informationen finden Sie unter EAP Authentication (EAP-Authentifizierung).

In diesem Beispiel wird folgende Konfiguration verwendet:

• SSID-Name: sprung

• VLAN 2

• Interner DHCP-Serverbereich: 10.2.0.0/16

In diesem Beispiel wird die LEAP-Authentifizierung als Mechanismus zur Authentifizierung des Wireless-Clients verwendet.

Hinweis: Informationen zur Konfiguration von EAP-TLS finden Sie unter Cisco Secure ACS für Windows v3.2 mit EAP-TLS-Authentifizierung auf der Maschine.

Hinweis: Weitere Informationen zur Konfiguration von PEAP-MS-CHAPv2 finden Sie unter Configuring Cisco Secure ACS for Windows v3.2 With PEAP-MS-CHAPv2 Machine Authentication.

Hinweis: Beachten Sie, dass die Konfiguration dieser EAP-Typen hauptsächlich die Konfigurationsänderungen auf der Client-Seite und auf der Seite des Authentifizierungsservers umfasst. Die Konfiguration am Wireless-Router oder Access Point bleibt für alle Authentifizierungstypen mehr oder weniger unverändert.

Hinweis: Wie eingangs erwähnt, wird bei dieser Konfiguration der lokale RADIUS-Server auf dem Wireless ISR verwendet, um Wireless-Clients mit 802.1x-Authentifizierung zu authentifizieren.

Führen Sie die folgenden Aktionen auf dem Router aus:

1. Konfigurieren des Integrated Routing and Bridging (IRB) und Einrichten der Bridge-Gruppe

2. Konfigurieren der Bridged Virtual Interface (BVI)

3. Konfigurieren des lokalen RADIUS-Servers für die EAP-Authentifizierung

4. Konfigurieren der SSID für die 802.1x/EAP-Authentifizierung

5. Konfigurieren des internen DHCP-Servers für die Wireless-Clients dieses VLAN

Konfigurieren des Integrated Routing and Bridging (IRB) und Einrichten der Bridge-Gruppe

Führen Sie diese Aktionen aus:

1. Aktivieren Sie IRB im Router.

   router<configure>#bridge irb

   Hinweis: Wenn alle Sicherheitstypen auf einem einzelnen Router konfiguriert werden sollen, reicht es aus, IRB nur einmal global auf dem Router zu aktivieren. Es muss nicht für jeden einzelnen Authentifizierungstyp aktiviert werden.

2. Definieren Sie eine Brückengruppe.

   In diesem Beispiel wird die Bridge-Gruppe mit der Nummer 2 verwendet.

   Router<configure>#bridge 2

3. Wählen Sie das Spanning Tree Protocol für die Bridge-Gruppe aus.

   Hier wird das IEEE Spanning Tree-Protokoll für diese Bridge-Gruppe konfiguriert.

   router<configure>#bridge 2-Protokoll-ID

4. Wählen Sie das Spanning Tree Protocol für die Bridge-Gruppe aus.

   Hier wird das IEEE Spanning Tree-Protokoll für diese Bridge-Gruppe konfiguriert.

   router<configure>#bridge 2-Protokoll-ID

5. Aktivieren Sie ein BVI, um routingfähige Pakete zu akzeptieren und weiterzuleiten, die von der entsprechenden Bridge-Gruppe empfangen wurden.

   In diesem Beispiel kann die BVI IP-Pakete akzeptieren und weiterleiten.

   router<configure>#bridge 2 route ip

Konfigurieren der Bridged Virtual Interface (BVI)

Führen Sie diese Aktionen aus:

1. Konfigurieren des BVI

   Konfigurieren Sie das BVI, wenn Sie dem BVI die entsprechende Nummer der Bridge-Gruppe zuweisen. Jede Bridge-Gruppe kann nur einen entsprechenden BVI haben. In diesem Beispiel wird der BVI die Nummer 2 der Bridge-Gruppe zugewiesen.

   Router<configure>#interface BVI <2>

2. Weisen Sie dem BVI eine IP-Adresse zu.

   router<config-if>#ip address 10.2.1.1 255.255.0.0

   Router<config-if>#no shutdown

Konfigurieren des lokalen RADIUS-Servers für die EAP-Authentifizierung

Wie bereits erwähnt, verwendet dieses Dokument zur EAP-Authentifizierung einen lokalen RADIUS-Server auf dem Wireless-fähigen Router.

1. Aktivieren Sie das AAA-Zugriffskontrollmodell (Authentication, Authorization und Accounting).

   Router<configure>#aaa neues Modell

2. Erstellen Sie eine Leselösung für die Servergruppe des RADIUS-Servers.

   router<configure>#aaa group server radius rad-eap server 10.2.1.1 auth-port 1812 acct-port 1813

3. Erstellen Sie eine Methodenliste eap_methods, die die Authentifizierungsmethode für die Authentifizierung des AAA-Anmeldebenutzers auflistet. Weisen Sie dieser Servergruppe die Methodenliste zu.

   router<configure>#aaa authentication, Anmeldung eap_methods, Gruppe Read-eap

4. Aktivieren Sie den Router als lokalen Authentifizierungsserver, und wechseln Sie in den Konfigurationsmodus für die Authentifizierung.

   router<configure>#radius-server lokal

5. Fügen Sie im Radius Server-Konfigurationsmodus den Router als AAA-Client des lokalen Authentifizierungsservers hinzu.

   router<config-radsrv>#nas 10.2.1.1, Schlüssel Cisco

6. Konfigurieren Sie user user1 auf dem lokalen Radius-Server.

   router<config-radsrv>#user user1 password user1 group Read-Eap

7. Geben Sie den RADIUS-Serverhost an.

   router<config-radsrv>#radius-server host 10.2.1.1 auth-port 1812 acct-port 1813 key cisco

   Hinweis: Dieser Schlüssel muss mit dem Schlüssel übereinstimmen, der im Konfigurationsmodus für den Radius-Server im Befehl nas angegeben wurde.

Konfigurieren der SSID für die 802.1x/EAP-Authentifizierung

Die Konfiguration der Funkschnittstelle und der zugehörigen SSID für 802.1x/EAP umfasst die Konfiguration verschiedener Wireless-Parameter auf dem Router, darunter die SSID, den Verschlüsselungsmodus und den Authentifizierungstyp. In diesem Beispiel wird die SSID leap verwendet.

1. Aktivieren Sie die Funkschnittstelle.

   Um die Funkschnittstelle zu aktivieren, wechseln Sie in den Konfigurationsmodus für die DOT11-Funkschnittstelle, und weisen Sie der Schnittstelle eine SSID zu.

   router<config>#interface dot11radio0

   Router<config-if>#kein Herunterfahren

   router<config-if>#ssid sprung

2. Binden der SSID an ein VLAN

   Um die SSID auf dieser Schnittstelle zu aktivieren, binden Sie die SSID im SSID-Konfigurationsmodus an das VLAN.

   Router<config-ssid>#vlan 2

3. Konfigurieren Sie die SSID mit 802.1x/LEAP-Authentifizierung.

   router<config-ssid>#authentication network-eap eap_methods

4. Konfigurieren Sie die Funkschnittstelle für die dynamische Schlüsselverwaltung.

   router<config>#encryption VLAN 2-Modus verschlüsselt wep40

5. Aktivieren Sie VLAN an der Funkschnittstelle.

   router<config>#interface Dot11Radio 0.2

   router<config-subif>#encapsulation dot1Q 2

   Router<config-subif>#bridge-group 2

Konfigurieren des internen DHCP-Servers für die Wireless-Clients dieses VLAN

Geben Sie diese Befehle im globalen Konfigurationsmodus ein, um den internen DHCP-Server für die Wireless-Clients dieses VLAN zu konfigurieren:

• ip dhcp excluded-address 10.2.1.1 10.2.1.5

• ip dhcp pool leapauth

Geben Sie im DHCP-Pool-Konfigurationsmodus die folgenden Befehle ein:

• Netzwerk 10.2.0.0 255.255.0.0

• default-router 10.2.1.1

WPA-Schlüsselverwaltung

Wi-Fi Protected Access ist eine standardbasierte, interoperable Sicherheitserweiterung, die den Datenschutz und die Zugriffskontrolle für aktuelle und zukünftige WLAN-Systeme erheblich verbessert.

Weitere Informationen finden Sie unter WPA-Schlüsselverwaltung.

Die WPA-Schlüsselverwaltung unterstützt zwei sich gegenseitig ausschließende Verwaltungstypen: WPA-Pre-Shared Key (WPA-PSK) und WPA (mit EAP).

Konfigurieren von WPA-PSK

WPA-PSK wird als Schlüsselverwaltungstyp in einem Wireless-LAN verwendet, in dem eine auf 802.1x basierende Authentifizierung nicht verfügbar ist. In solchen Netzwerken müssen Sie einen vorinstallierten Schlüssel auf dem Access Point konfigurieren. Sie können den vorinstallierten Schlüssel als ASCII- oder Hexadezimalzeichen eingeben. Wenn Sie den Schlüssel als ASCII-Zeichen eingeben, geben Sie zwischen 8 und 63 Zeichen ein, und der Access Point erweitert den Schlüssel mit dem im kennwortbasierten Kryptografiestandard (RFC2898) beschriebenen Verfahren. Wenn Sie den Schlüssel als Hexadezimalzeichen eingeben, müssen Sie 64 Hexadezimalzeichen eingeben.

In diesem Beispiel wird folgende Konfiguration verwendet:

• SSID-Name: wpa-shared

• VLAN 3

• Interner DHCP-Serverbereich: 10.3.0.0/16

Führen Sie die folgenden Aktionen auf dem Router aus:

1. Konfigurieren des Integrated Routing and Bridging (IRB) und Einrichten der Bridge-Gruppe

2. Konfigurieren der Bridged Virtual Interface (BVI)

3. Konfigurieren der SSID für die WPA-PSK-Authentifizierung

4. Konfigurieren des internen DHCP-Servers für die Wireless-Clients dieses VLAN

Konfigurieren des Integrated Routing and Bridging (IRB) und Einrichten der Bridge-Gruppe

Führen Sie diese Aktionen aus:

1. Aktivieren Sie IRB im Router.

   router<configure>#bridge irb

   Hinweis: Wenn alle Sicherheitstypen auf einem einzelnen Router konfiguriert werden sollen, reicht es aus, IRB nur einmal global auf dem Router zu aktivieren. Es muss nicht für jeden einzelnen Authentifizierungstyp aktiviert werden.

2. Definieren Sie eine Brückengruppe.

   In diesem Beispiel wird die Bridge-Gruppe mit der Nummer 3 verwendet.

   Router<konfigurieren>#Bridge 3

3. Wählen Sie das Spanning Tree Protocol für die Bridge-Gruppe aus.

   Das IEEE Spanning Tree-Protokoll wird für diese Bridge-Gruppe konfiguriert.

   router<configure>#bridge 3-Protokoll-IE

4. Aktivieren Sie ein BVI, um routingfähige Pakete zu akzeptieren und weiterzuleiten, die von der entsprechenden Bridge-Gruppe empfangen wurden.

   In diesem Beispiel kann die BVI IP-Pakete akzeptieren und weiterleiten.

   router<configure>#bridge 3 route ip

Konfigurieren der Bridged Virtual Interface (BVI)

Führen Sie diese Aktionen aus:

1. Konfigurieren des BVI

   Konfigurieren Sie das BVI, wenn Sie dem BVI die entsprechende Nummer der Bridge-Gruppe zuweisen. Jede Bridge-Gruppe kann nur einen entsprechenden BVI haben. In diesem Beispiel wird der BVI die Bridge-Gruppe Nr. 3 zugewiesen.

   Router<configure>#interface BVI <2>

2. Weisen Sie dem BVI eine IP-Adresse zu.

   router<config-if>#ip address 10.3.1.1 255.255.0.0

   Router<config-if>#no shutdown

Konfigurieren der SSID für die WPA-PSK-Authentifizierung

Führen Sie diese Aktionen aus:

1. Aktivieren Sie die Funkschnittstelle.

   Um die Funkschnittstelle zu aktivieren, wechseln Sie in den Konfigurationsmodus für die DOT11-Funkschnittstelle, und weisen Sie der Schnittstelle eine SSID zu.

   router<config>#interface dot11radio0

   Router<config-if>#kein Herunterfahren

   router<config-if>#ssid wpa-shared

2. Um die WPA-Schlüsselverwaltung zu aktivieren, müssen Sie zunächst die WPA-Verschlüsselungscodierung für die VLAN-Schnittstelle konfigurieren. In diesem Beispiel wird tkip als Verschlüsselungsschlüssel verwendet.

   Geben Sie diesen Befehl ein, um den WPA-Schlüsselverwaltungstyp auf der Funkschnittstelle anzugeben.

   router<config>#interface dot11radio0

   router(config-if)#encryption vlan 3 mode ciphers tkip

3. Binden der SSID an ein VLAN

   Um die SSID auf dieser Schnittstelle zu aktivieren, binden Sie die SSID im SSID-Konfigurationsmodus an das VLAN.

   Router<config-ssid>VLAN 3

4. Konfigurieren Sie die SSID mit WPA-PSK-Authentifizierung.

   Sie müssen zunächst im SSID-Konfigurationsmodus die offene oder Netzwerk-EAP-Authentifizierung konfigurieren, um die WPA-Schlüsselverwaltung zu aktivieren. In diesem Beispiel wird die offene Authentifizierung konfiguriert.

   router<config>#interface dot11radio0

   router<config-if>#ssid wpa-shared

   router<config-ssid>#authentication open

   Aktivieren Sie jetzt die WPA-Schlüsselverwaltung für die SSID. Die Schlüsselverwaltungs-Chiffre "tkip" ist bereits für dieses VLAN konfiguriert.

   router(config-if-ssid)#authentication key-management wpa

   Konfigurieren Sie die WPA-PSK-Authentifizierung auf der SSID.

   router(config-if-ssid)#wpa-psk ascii 1234567890! — 1234567890 ist der Wert des vorinstallierten Schlüssels für diese SSID. Stellen Sie sicher, dass auf der Clientseite derselbe Schlüssel für diese SSID angegeben ist.

5. Aktivieren Sie VLAN an der Funkschnittstelle.

   router<config>#interface Dot11Radio 0.3

   router<config-subif>#encapsulation dot1Q 3

   router<config-subif>#bridge-group 3

Konfigurieren des internen DHCP-Servers für die Wireless-Clients dieses VLAN

Geben Sie diese Befehle im globalen Konfigurationsmodus ein, um den internen DHCP-Server für die Wireless-Clients dieses VLAN zu konfigurieren:

• ip dhcp excluded-address 10.3.1.1 10.3.1.5

• ip dhcp pool wpa-psk

Geben Sie im DHCP-Pool-Konfigurationsmodus die folgenden Befehle ein:

• Netzwerk 10.3.0.0 255.255.0.0

• default-router 10.3.1.1

Konfigurieren der WPA-Authentifizierung (mit EAP)

Dies ist ein anderer WPA-Schlüsselverwaltungstyp. Dabei authentifizieren sich Clients und der Authentifizierungsserver mittels einer EAP-Authentifizierungsmethode gegenseitig und Client und Server generieren einen paarweisen Master Key (PMK). Bei WPA generiert der Server die PMK dynamisch und leitet sie an den Access Point weiter. Bei WPA-PSK konfigurieren Sie jedoch einen Pre-Shared Key sowohl auf dem Client als auch auf dem Access Point, und dieser Pre-Shared Key wird als PMK verwendet.

Weitere Informationen finden Sie unter WPA mit EAP-Authentifizierung.

In diesem Beispiel wird folgende Konfiguration verwendet:

• SSID-Name: wpa-dot1x

• VLAN 4

• Interner DHCP-Serverbereich: 10.4.0.0/16

Führen Sie die folgenden Aktionen auf dem Router aus:

1. Konfigurieren des Integrated Routing and Bridging (IRB) und Einrichten der Bridge-Gruppe

2. Konfigurieren der Bridged Virtual Interface (BVI)

3. Konfigurieren des lokalen RADIUS-Servers für die WPA-Authentifizierung

4. Konfigurieren der SSID für WPA mit EAP-Authentifizierung

5. Konfigurieren des internen DHCP-Servers für die Wireless-Clients dieses VLAN

Konfigurieren des Integrated Routing and Bridging (IRB) und Einrichten der Bridge-Gruppe

Führen Sie diese Aktionen aus:

1. Aktivieren Sie IRB im Router.

   router<configure>#bridge irb

   Hinweis: Wenn alle Sicherheitstypen auf einem einzelnen Router konfiguriert werden sollen, reicht es aus, IRB nur einmal global auf dem Router zu aktivieren. Es muss nicht für jeden einzelnen Authentifizierungstyp aktiviert werden.

2. Definieren Sie eine Bridge-Gruppe.

   In diesem Beispiel wird die Bridge-Gruppe mit der Nummer 4 verwendet.

   Router<Konfigurieren>#Bridge 4

3. Wählen Sie das Spanning Tree Protocol für die Bridge-Gruppe aus.

   Hier wird das IEEE Spanning Tree-Protokoll für diese Bridge-Gruppe konfiguriert.

   router<configure>#bridge 4-Protokoll-IE

4. Aktivieren Sie eine BVI, um die routingfähigen Pakete zu akzeptieren und weiterzuleiten, die von der entsprechenden Bridge-Gruppe empfangen wurden.

   In diesem Beispiel kann die BVI IP-Pakete akzeptieren und weiterleiten.

   router<configure>#bridge 4 route ip

Konfigurieren der Bridged Virtual Interface (BVI)

Führen Sie diese Aktionen aus:

1. Konfigurieren des BVI

   Konfigurieren Sie das BVI, wenn Sie dem BVI die entsprechende Nummer der Bridge-Gruppe zuweisen. Jede Bridge-Gruppe kann nur eine entsprechende BVI aufweisen. In diesem Beispiel wird der BVI die Bridge-Gruppe Nr. 4 zugewiesen.

   Router<configure>#interface BVI <4>

2. Weisen Sie dem BVI eine IP-Adresse zu.

   router<config-if>#ip address 10.4.1.1 255.255.0.0

   Router<config-if>#no shutdown

Konfigurieren des lokalen RADIUS-Servers für die WPA-Authentifizierung

Ausführliche Informationen hierzu finden Sie im Abschnitt unter 802.1x/EAP-Authentifizierung.

Konfigurieren der SSID für WPA mit EAP-Authentifizierung

Führen Sie diese Aktionen aus:

1. Aktivieren Sie die Funkschnittstelle.

   Um die Funkschnittstelle zu aktivieren, wechseln Sie in den Konfigurationsmodus für die DOT11-Funkschnittstelle, und weisen Sie der Schnittstelle eine SSID zu.

   router<config>#interface dot11radio0

   Router<config-if>#kein Herunterfahren

   router<config-if>#ssid wpa-dot1x

2. Um die WPA-Schlüsselverwaltung zu aktivieren, müssen Sie zunächst die WPA-Verschlüsselungscodierung für die VLAN-Schnittstelle konfigurieren. In diesem Beispiel wird tkip als Verschlüsselungsschlüssel verwendet.

   Geben Sie diesen Befehl ein, um den WPA-Schlüsselverwaltungstyp auf der Funkschnittstelle anzugeben.

   router<config>#interface dot11radio0

   router(config-if)#encryption vlan 4 mode ciphers tkip

3. Binden der SSID an ein VLAN

   Um die SSID auf dieser Schnittstelle zu aktivieren, binden Sie die SSID im SSID-Konfigurationsmodus an das VLAN.

   VLAN 4

4. Konfigurieren Sie die SSID mit der WPA-PSK-Authentifizierung.

   Um die Funkschnittstelle für WPA mit EAP-Authentifizierung zu konfigurieren, müssen Sie zuerst die zugehörige SSID für Netzwerk-EAP konfigurieren.

   router<config>#interface dot11radio0

   router<config-if>#ssid wpa-shared

   router<config-ssid>#authentication network eap eap_methods

5. Aktivieren Sie nun die WPA-Schlüsselverwaltung auf der SSID. Die Schlüsselverwaltungs-Chiffre "tkip" ist bereits für dieses VLAN konfiguriert.

   router(config-if-ssid)#authentication key-management wpa

6. Aktivieren Sie VLAN an der Funkschnittstelle.

   router<config>#interface Dot11Radio 0.4

   router<config-subif>#encapsulation dot1Q 4

   Router<config-subif>#bridge-group 4

Konfigurieren des internen DHCP-Servers für die Wireless-Clients dieses VLAN

Geben Sie diese Befehle im globalen Konfigurationsmodus ein, um den internen DHCP-Server für die Wireless-Clients dieses VLAN zu konfigurieren:

• ip dhcp excluded-address 10.4.1.1 10.4.1.5

• ip dhcp pool wpa-dot1shared

Geben Sie im DHCP-Pool-Konfigurationsmodus die folgenden Befehle ein:

• Netzwerk 10.4.0.0 255.255.0.0

• default-router 10.4.1.1

Wireless-Client für Authentifizierung konfigurieren

Konfigurieren Sie den Wireless-Client nach der Konfiguration des ISR für verschiedene Authentifizierungstypen, wie erläutert, sodass der Router diese Wireless-Clients authentifizieren und Zugriff auf das WLAN-Netzwerk gewähren kann. In diesem Dokument wird das Cisco Aironet Desktop Utility (ADU) für die clientseitige Konfiguration verwendet.

Konfigurieren des Wireless-Clients für die offene Authentifizierung

Führen Sie diese Schritte aus:

1. Klicken Sie im Fenster "Profile Management" (Profilverwaltung) der ADU auf New (Neu), um ein neues Profil zu erstellen.

   Es wird ein neues Fenster angezeigt, in dem Sie die Konfiguration für die offene Authentifizierung festlegen können. Geben Sie auf der Registerkarte Allgemein den Profilnamen und die SSID ein, die der Client-Adapter verwendet.

   In diesem Beispiel sind der Profilname und die SSID offen.

   Hinweis: Die SSID muss mit der SSID übereinstimmen, die Sie auf dem ISR für die offene Authentifizierung konfiguriert haben.

   

2. Klicken Sie auf die Registerkarte Sicherheit, und belassen Sie die Sicherheitsoption für die WEP-Verschlüsselung auf Keine. Da in diesem Beispiel WEP als optional verwendet wird, ermöglicht die Einstellung dieser Option auf None dem Client die erfolgreiche Verbindung mit dem WLAN-Netzwerk und die Kommunikation mit diesem.

   Klicken Sie auf OK.

   

3. Wählen Sie auf der Registerkarte Profilverwaltung die Option Erweitertes Fenster aus, und legen Sie den 802.11-Authentifizierungsmodus für die offene Authentifizierung auf Öffnen fest.

   

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

1. Klicken Sie nach dem Erstellen des Client-Profils auf der Registerkarte "Profilverwaltung" auf Aktivieren, um das Profil zu aktivieren.

   

2. Überprüfen Sie den ADU-Status auf eine erfolgreiche Authentifizierung.

   

Konfigurieren des Wireless-Clients für die 802.1x/EAP-Authentifizierung

Führen Sie diese Schritte aus:

1. Klicken Sie im Fenster "Profile Management" (Profilverwaltung) der ADU auf New (Neu), um ein neues Profil zu erstellen.

   Es wird ein neues Fenster angezeigt, in dem Sie die Konfiguration für die offene Authentifizierung festlegen können. Geben Sie auf der Registerkarte Allgemein den Profilnamen und die SSID ein, die der Client-Adapter verwendet.

   In diesem Beispiel sind der Profilname und die SSID sprunghaft.

2. Klicken Sie unter Profilverwaltung auf die Registerkarte Sicherheit, legen Sie die Sicherheitsoption auf 802.1x fest, und wählen Sie den entsprechenden EAP-Typ aus. In diesem Dokument wird LEAP als EAP-Typ für die Authentifizierung verwendet. Klicken Sie nun auf Konfigurieren, um die LEAP-Benutzernamen- und Kennworteinstellungen zu konfigurieren.

   Hinweis: Hinweis: Die SSID muss mit der SSID übereinstimmen, die Sie auf dem ISR für die 802.1x/EAP-Authentifizierung konfiguriert haben.

   

3. Unter Einstellungen für Benutzername und Kennwort wird in diesem Beispiel manuell nach Benutzername und Kennwort gefragt, sodass der Client aufgefordert wird, den richtigen Benutzernamen und das richtige Kennwort einzugeben, während der Client versucht, eine Verbindung mit dem Netzwerk herzustellen. Klicken Sie auf OK.

   

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

• Klicken Sie nach dem Erstellen des Clientprofils auf der Registerkarte Profilverwaltung auf Aktivieren, um den Profilsprung zu aktivieren. Sie werden zur Eingabe des sprunghaften Benutzernamens und Kennworts aufgefordert. In diesem Beispiel werden der Benutzername und das Kennwort user1 verwendet. Klicken Sie auf OK.

• Sie können die erfolgreiche Authentifizierung des Clients beobachten und ihm vom DHCP-Server, der auf dem Router konfiguriert wurde, eine IP-Adresse zuweisen.

  

Konfigurieren des Wireless-Clients für die WPA-PSK-Authentifizierung

Führen Sie diese Schritte aus:

1. Klicken Sie im Fenster "Profile Management" (Profilverwaltung) der ADU auf New (Neu), um ein neues Profil zu erstellen.

   Es wird ein neues Fenster angezeigt, in dem Sie die Konfiguration für die offene Authentifizierung festlegen können. Geben Sie auf der Registerkarte General (Allgemein) den Profilnamen und die SSID ein, die der Client-Adapter verwendet.

   In diesem Beispiel sind der Profilname und die SSID wpa-shared.

   Hinweis: Die SSID muss mit der SSID übereinstimmen, die Sie auf dem ISR für die WPA-PSK-Authentifizierung konfiguriert haben.

2. Klicken Sie unter Profilverwaltung auf die Registerkarte Sicherheit, und legen Sie als Sicherheitsoption WPA/WPA2-Passphrase fest. Klicken Sie nun auf Konfigurieren, um die WPA-Passphrase zu konfigurieren.

   

3. Definieren eines WPA Pre-Shared Key. Der Schlüssel muss zwischen 8 und 63 ASCII-Zeichen lang sein. Klicken Sie auf OK.

   

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

• Klicken Sie nach dem Erstellen des Client-Profils auf der Registerkarte Profilverwaltung auf Aktivieren, um das Profil wpa-shared zu aktivieren.

• Überprüfen Sie die ADU auf eine erfolgreiche Authentifizierung.

  

Konfigurieren des Wireless-Clients für die WPA-Authentifizierung (mit EAP)

Führen Sie diese Schritte aus:

1. Klicken Sie im Fenster "Profile Management" (Profilverwaltung) der ADU auf New (Neu), um ein neues Profil zu erstellen.

   Es wird ein neues Fenster angezeigt, in dem Sie die Konfiguration für die offene Authentifizierung festlegen können. Geben Sie auf der Registerkarte Allgemein den Profilnamen und die SSID ein, die der Client-Adapter verwendet.

   In diesem Beispiel lauten der Profilname und die SSID wpa-dot1x.

   Hinweis: Die SSID muss mit der SSID übereinstimmen, die Sie auf dem ISR für die WPA-Authentifizierung (mit EAP) konfiguriert haben.

2. Klicken Sie unter Profilverwaltung auf die Registerkarte Sicherheit, legen Sie die Sicherheitsoption als WPA/WPA2/CCKM fest, und wählen Sie den entsprechenden WPA/WPA2/CCKM-EAP-Typ aus. In diesem Dokument wird LEAP als EAP-Typ für die Authentifizierung verwendet. Klicken Sie nun auf Konfigurieren, um die LEAP-Benutzernamen- und Kennworteinstellungen zu konfigurieren.

   

3. Im Bereich "Username and Password Settings" (Einstellungen für Benutzername und Kennwort) wird in diesem Beispiel die manuelle Aufforderung zur Eingabe von Benutzername und Kennwort ausgewählt, sodass der Client aufgefordert wird, den richtigen Benutzernamen und das richtige Kennwort einzugeben, während der Client versucht, eine Verbindung mit dem Netzwerk herzustellen. Klicken Sie auf OK.

   

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

1. Klicken Sie nach dem Erstellen des Client-Profils auf der Registerkarte "Profilverwaltung" auf Aktivieren, um das Profil wpa-dot1x zu aktivieren. Sie werden zur Eingabe des LEAP-Benutzernamens und -Kennworts aufgefordert. In diesem Beispiel werden Benutzername und Kennwort als user1 verwendet. Klicken Sie auf OK.

   

2. Sie können die erfolgreiche Authentifizierung des Clients überwachen.

   

Mit dem Befehl show dot11 associations aus der Router-CLI werden vollständige Details zum Client-Zuordnungsstatus angezeigt. Hier ein Beispiel.

Router#show dot11-Zuordnungen

802.11 Client Stations on Dot11Radio0: 

SSID [leap] : 

MAC Address    IP address      Device        Name            Parent         State     
0040.96ac.e657 10.3.0.2        CB21AG/PI21AG WCS             self         EAP-Assoc

SSID [open] : 

SSID [pre-shared] : DISABLED, not associated with a configured VLAN

SSID [wpa-dot1x] : 

SSID [wpa-shared] : 


Others:  (not related to any ssid) 

Fehlerbehebung

Befehle für die Fehlerbehebung

Sie können diese Befehle verwenden, um Fehler in der Konfiguration zu beheben.

• debug dot11 aaa Authenticator all - Aktiviert das Debugging von MAC- und EAP-Authentifizierungspaketen.

• debug radius authentication: Zeigt die RADIUS-Aushandlungen zwischen Server und Client an.

• debug radius local-server packages: Zeigt den Inhalt der RADIUS-Pakete an, die gesendet und empfangen werden.

• debug radius local-server client (Client für lokalen Server): Zeigt Fehlermeldungen zu fehlgeschlagenen Client-Authentifizierungen an.

Zugehörige Informationen

• Konfigurationsbeispiele für die Authentifizierung auf Wireless LAN-Controllern
• Konfigurieren von VLANs auf Access Points
• 1800 ISR Wireless-Router mit internem DHCP und Konfigurationsbeispiel für offene Authentifizierung
• Konfigurationsleitfaden für Cisco Wireless ISR und HWIC Access Points
• Wireless LAN-Verbindung mit einem ISR mit WEP-Verschlüsselung und LEAP-Authentifizierung - Konfigurationsbeispiel
• Technischer Support und Dokumentation für Cisco Systeme
• Authentifizierungstypen konfigurieren
• Konfigurationsbeispiel für Wireless LAN-Verbindung mit einem ISR mit WEP-Verschlüsselung und LEAP-Authentifizierung