Configuración de WDS en AP autónomos con servidor RADIUS local

Opciones de descarga

  • PDF     (857.3 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (731.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (428.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:18 de octubre de 2013
ID del documento:116597

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar Wireless Domain Services (WDS) en una configuración de punto de acceso (AP) autónomo con un servidor RADIUS local. El documento se centra en las configuraciones a través de la nueva GUI, pero también proporciona configuraciones de interfaz de línea de comandos (CLI).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento de la configuración básica de GUI y CLI en los AP autónomos.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco 3602e Series Access Point en Autonomous AP IOS® Software, Release 15.2(4)JA1; este dispositivo actuará como WDS AP y servidor RADIUS local.
  • Cisco 2602i Series Access Point en Autonomous AP IOS Software, Release 15.2(4)JA1; este dispositivo actuará como un WDS Client AP.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Configurar

Nota: Use el Command Lookup Tool (únicamente clientes registrados) para obtener más información sobre los comandos que se utilizan en esta sección.

Configuraciones de GUI

Cree el SSID

Este procedimiento describe cómo crear un nuevo identificador de conjunto de servicios (SSID).

  1. Navegue hasta Seguridad > Administrador SSID, y haga clic en NUEVO para crear un nuevo SSID.

    116597-config-wds-radius-01.png

  2. Configure el SSID para la autenticación mediante el protocolo de autenticación ampliable (EAP).

    116597-config-wds-radius-02.png

  3. Defina el nivel de encriptación deseado. En este ejemplo, utilice el acceso Wi-Fi protegido 2 (WPA2).

    116597-config-wds-radius-03.png

  4. Haga clic en Aplicar para guardar las configuraciones.

  5. Navegue hasta Seguridad > Administrador de cifrado, y elija el método de cifrado de cifrado requerido.

    116597-config-wds-radius-04.png

Configuración del servidor RADIUS local en WDS AP

Este procedimiento describe cómo configurar el servidor RADIUS local en el WDS AP:

  1. Navegue hasta Security > Server Manager, agregue la IP de la interfaz virtual del puente de WDS AP (BVI) como el RADIUS local y agregue un secreto compartido.

    116597-config-wds-radius-05.png

  2. Vaya a Seguridad > Servidor RADIUS local > ficha Configuración general. Defina los protocolos EAP que desea utilizar. En este ejemplo, habilite la autenticación mediante el protocolo de autenticación ampliable ligero (LEAP).

    116597-config-wds-radius-06.png

  3. También puede agregar direcciones IP del servidor de acceso a la red (NAS) y credenciales de nombre de usuario/contraseña de cliente en la misma página. La configuración de un RADIUS local en un WDS AP ha finalizado.

    116597-config-wds-radius-07.png

Configuración del servidor RADIUS local en el AP del cliente WDS

Esta figura muestra cómo configurar la dirección IP del AP WDS como el servidor RADIUS:

116597-config-wds-radius-08.png

Ambos AP se configuran ahora con SSID para la autenticación LEAP, y el servidor WDS actúa como el RADIUS local. Siga los mismos pasos para un RADIUS externo; sólo cambiará la IP del servidor RADIUS.

Activar WDS en WDS AP

Este procedimiento describe cómo habilitar WDS en el WDS AP:

  1. Navegue hasta Wireless > WDS > General Set-Up y habilite la casilla de verificación Use this AP as Wireless Domain Services. Esto habilita el servicio WDS en el AP.

  2. En una red con múltiples WDS AP, utilice la opción Wireless Domain Services Priority para definir el WDS primario y el WDS de respaldo. El valor oscila entre 1 y 255, donde 255 es la prioridad más alta.

    116597-config-wds-radius-09.png

  3. Vaya a la pestaña Grupos de servidores en la misma página. Cree una lista de grupos de servidores de infraestructura, a la que se autenticarán todos los AP de cliente WDS. Puede utilizar el servidor RADIUS local en el AP WDS para este propósito. Como ya se ha agregado, aparece en la lista desplegable.

    116597-config-wds-radius-10.png

  4. Habilite el botón de opción Use Group For: Infrastructure Authentication, y haga clic en Apply para guardar la configuración.

  5. El nombre de usuario y las contraseñas de WDS AP se pueden agregar a la lista de servidores RADIUS locales.

Habilite WDS en el AP del cliente WDS

Este procedimiento describe cómo habilitar WDS en el AP del cliente WDS:

  1. Navegue hasta Wireless > AP, y habilite la casilla de verificación para Participar en la infraestructura SWAN. SWAN significa red inalámbrica estructurada.

    116597-config-wds-radius-11.png

  2. Los AP del cliente WDS pueden detectar automáticamente los AP WDS. O bien, puede ingresar manualmente la dirección IP del AP WDS para el registro del cliente en el cuadro de texto Detección especificada.

    También puede agregar el nombre de usuario y la contraseña del cliente WDS para la autenticación en el servidor RADIUS local configurado en el AP WDS.

Configuraciones CLI

WDS AP

Esta es una configuración de ejemplo para el WDS AP:

Current configuration : 2832 bytes
!
! Last configuration change at 05:54:08 UTC Fri Apr 26 2013
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname MAIB-WDS-AP
!
!
logging rate-limit console 9
enable secret 5 $1$EdDD$dG47yIKn86GCqmKjFf1Sy0
!
aaa new-model
!
!
aaa group server radius rad_eap
server name Local-Radius
!
aaa group server radius Infrastructure
server name Local-Radius
!
aaa authentication login eap_methods group rad_eap
aaa authentication login method_Infrastructure group Infrastructure
aaa authorization exec default local 
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
!
!
!
!
dot11 syslog
!
dot11 ssid WDS-EAP
authentication open eap eap_methods 
authentication network-eap eap_methods 
authentication key-management wpa version 2
guest-mode
!
!
dot11 guest
!
!
!
username Cisco password 7 13261E010803
username My3602 privilege 15 password 7 10430810111F00025D56797F65
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm 
!
ssid WDS-EAP
!
antenna gain 0
stbc
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm 
!
ssid WDS-EAP
!
antenna gain 0
peakdetect
dfs band 3 block
stbc
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address 10.106.54.146 255.255.255.192
no ip route-cache
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1 
!
!
radius-server local
no authentication eapfast
no authentication mac
nas 10.106.54.146 key 7 045802150C2E1D1C5A
user WDSClient1 nthash 7 
   072E776E682F4D5D35345B5A227E78050D6413004A57452024017B0803712B224A
!
radius-server attribute 32 include-in-access-req format %h
radius-server vsa send accounting
!
radius server Local-Radius
address ipv4 10.106.54.146 auth-port 1812 acct-port 1813
key 7 060506324F41584B56
!
bridge 1 route ip
!
!
wlccp authentication-server infrastructure method_Infrastructure
wlccp wds priority 254 interface BVI1
!
line con 0
line vty 0 4
transport input all
!
end

AP del cliente WDS

Ésta es una configuración de ejemplo para el AP del cliente WDS:

Current configuration : 2512 bytes
!
! Last configuration change at 00:33:17 UTC Wed May 22 2013
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname MAIB-WDS-Client
!
!
logging rate-limit console 9
enable secret 5 $1$vx/M$qP6DY30TGiXmjvUDvKKjk/
!
aaa new-model
!
!
aaa group server radius rad_eap
server name WDS-Radius
!
aaa authentication login eap_methods group rad_eap
aaa authorization exec default local 
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
!
!
!
!
dot11 syslog
!
dot11 ssid WDS-EAP
authentication open eap eap_methods 
authentication network-eap eap_methods 
authentication key-management wpa version 2
guest-mode
!
!
dot11 guest
!
eap profile WDS-AP
method leap
!
!
!
username Cisco password 7 062506324F41
username My2602 privilege 15 password 7 09414F000D0D051B5A5E577E6A
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm 
!
ssid WDS-EAP
!
antenna gain 0
stbc
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm 
!
ssid WDS-EAP
!
antenna gain 0
peakdetect
dfs band 3 block
stbc
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address 10.106.54.136 255.255.255.192
no ip route-cache
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1 
!
!
radius-server attribute 32 include-in-access-req format %h
radius-server vsa send accounting
!
radius server WDS-Radius
address ipv4 10.106.54.146 auth-port 1812 acct-port 1813
key 7 110A1016141D5A5E57
!
bridge 1 route ip
!
!
wlccp ap username WDSClient1 password 7 070C285F4D06485744
wlccp ap wds ip address 10.106.54.146
!
line con 0
line vty 0 4
transport input all
!
end

Verificación

Use esta sección para confirmar que su configuración funciona correctamente. Una vez que se complete la configuración, el AP del cliente WDS debe poder registrarse en el AP WDS.

En el AP WDS, el estado WDS se muestra como Registrado.

116597-config-wds-radius-12.png

En el WDS Client AP, el estado de WDS es Infrastructure .

116597-config-wds-radius-13.png

Nota: la herramienta Output Interpreter Tool (sólo clientes registrados) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.

Salida de verificación de CLI en WDS AP

Este procedimiento muestra cómo verificar la configuración de WDS AP:

MAIB-WDS-AP#sh wlccp wds ap

HOSTNAME MAC-ADDR IP-ADDR IPV6-ADDR STATE
MAIB-WDS-Client f872.ea24.40e6 10.106.54.136 :: REGISTERED

MAIB-WDS-AP#sh wlccp wds statistics

WDS Statistics for last 10:34:13:
Current AP count: 1
Current MN count: 0
AAA Auth Attempt count: 2
AAA Auth Success count: 2
AAA Auth Failure count: 0
MAC Spoofing Block count: 0
Roaming without AAA Auth count: 0
Roaming with full AAA Auth count:0
Fast Secured Roaming count: 0
MSC Failure count: 0
KSC Failure count: 0
MIC Failure count: 0
RN Mismatch count: 0

Salida de verificación de CLI en el AP del cliente WDS

Este procedimiento muestra cómo verificar la configuración del AP del cliente WDS:

MAIB-WDS-Client#sh wlccp ap

WDS = bc16.6516.62c4, IP: 10.106.54.146 , IPV6: ::
state = wlccp_ap_st_registered
IN Authenticator = IP: 10.106.54.146 IPV6: :: 
MN Authenticator = IP: 10.106.54.146 IPv6::

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
18-Oct-2013
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Maithri B and Surendra BG
    Cisco TAC Engineers.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos