Configuration des ponts de groupe de travail avec authentification PEAP

Mis à jour:22 février 2023
ID du document:115736

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer un pont de groupe de travail (WGB) pour se connecter à un SSID (Service Set Identifier) 802.1X qui utilise le protocole PEAP (Protected Extensible Authentication Protocol) avec un contrôleur LAN sans fil (WLC) 9800.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • WLC C9800
    • WGB
    • Protocole 802.1X

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco IOS® version 15.3(3)JPN1 pour WGB
    • Cisco IOS XE version 17.9.2 pour WLC

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configurer

    Diagramme du réseau

    Network diagram-the IW3702 autonomous AP is configured as a WGB

    Dans cet exemple, le point d'accès autonome (AP) IW3702 est configuré en tant que WGB et se connecte au réseau du point d'accès léger. Utilisez ce SSID, dot1XSSID-R, pour la connexion au WLAN et utilisez le PEAP pour l'authentification du WGB au réseau.

    Configurer WGB

    Afin de configurer le WGB, complétez ces étapes :

    1. Définissez le nom d'hôte. 
      configure terminal 
      hostname WGB-Client
    2. Configurez l'heure. L'heure doit être correcte pour que le certificat puisse être installé sur le WGB. 
      clock set hh:mm:ss dd Month yyyy
      example: clock set 15:33:00 15 February 2023
    3. Configurez le point de confiance pour l'autorité de certification (AC) :
      • terminal d'inscription : permet de copier/coller le certificat à partir de l'authentificateur. Dans ce cas, Identity Services Engine (ISE) vers WGB.
      • révocation - cochez aucune. Nous demandons au WGB de ne pas effectuer de vérification supplémentaire sur le certificat du serveur. Cette commande est nécessaire pour éviter le problème décrit dans l'ID de bogue Cisco CSCsl07349 (clients enregistrés seulement). WGB se dissocie/se réassocie souvent et met beaucoup de temps à se reconnecter. 
        crypto pki trustpoint isecert
        enrollment terminal
        revocation-check none
    4. Téléchargez le certificat d'authentificateur.
      1. Obtenir une copie du certificat CA. Dans cet exemple, nous avons utilisé ISE comme serveur d'authentification. Accédez à Administration > System > Certificates.
      2. Identifiez le certificat qu'ISE utilise pour l'authentification EAP (la colonne Use By contient l'authentification EAP) et téléchargez-le, comme indiqué dans les captures d'écran.
      3. Les étapes précédentes entraînent une .pem fichier. Il s'agit du certificat à installer dans le WGB afin que le tunnel puisse être établi et que les informations d'identification y soient échangées.

        Export the self-signed server certificate

        Export the certificate only

    5. Installez le certificat CA :
      1. Saisissez la commande crypto pki authenticate isecert erasecat4000_flash:.
      2. Ouvrez le .pem dans un éditeur de texte et copiez la chaîne. Le format est le suivant : 
           -----BEGIN CERTIFICATE-----
            [ ... ]
            -----END CERTIFICATE-----
      3. Copiez/collez le certificat CA > ligne vide, puis appuyez sur Enter > Entrée quit sur la dernière ligne par elle-même.
      4. Collez le texte à partir du .cer fichier téléchargé à l'étape précédente. 
           -----BEGIN CERTIFICATE-----
            [ ... ]
            -----END CERTIFICATE----
            (hit enter)
            quit
            (hit enter) 
            Certificate has the following attributes:
            Fingerprint: 45EC6866 A66B4D8F 2E05960F BC5C1B76
            % Do you accept this certificate? [yes/no]: yes
            Trustpoint CA certificate accepted.
            % Certificate successfully imported
    6. Définissez la méthode d'authentification sur WGB, dans ce cas peap. 
      conf terminal
      eap profile peap
      method peap
      end
    7. Configurez les informations d'identification pour WGB, dans ce cas cred. Dans ce cas, veillez à ajouter le point de confiance que nous avons créé isecert. 
      dot1x credentials CRED
      username userWGB
      password 7 13061E010803
      pki-trustpoint isecert
    8. Configurez le SSID sur WGB, et assurez-vous d'utiliser la chaîne correcte pour le profil EAP et les informations d'identification, dans ce cas peap et cred, respectivement.
      note-icon

      Remarque : pour le authentication open eap <string> , vous pouvez saisir n'importe quoi. Cette configuration n'est pas liée à d'autres commandes sur WGB.

      configure terminal
      dot11 ssid dot1XSSID-R
      authentication open eap PEAP 
      authentication key-management wpa
      dot1x credentials cred
      dot1x eap profile peap
      infrastructure-ssid

      À ce stade, la configuration AP ressemble à cet exemple. Saisissez la commande show run erasecat4000_flash:.

      Building configuration...
      version 15.3
      !
      hostname WGB-Client
      !
      .....
      !
      dot11 ssid dot1XSSID-R
         authentication open eap PEAP  
         authentication key-management wpa
         dot1x credentials cred
         dot1x eap profile peap
         infrastructure-ssid
      !
      eap profile PEAP
       method peap
      !
      crypto pki token default removal timeout 0
      !
      crypto pki trustpoint isecert
       enrollment terminal
       revocation-check none
      !
      crypto pki certificate chain isecert
       certificate ca 5CC74BD9508B78AF4AB5C5F84C32AC2A
        ...
        C3B7249C F75C4525 D02A40AB 50E19196 9D1C2853 8BAEFDFC 1CE1945E 1CABC51B AFF5
            quit
      !
      dot1x credentials PEAP
       username userWGB
       password 7 13061E010803
       pki-trustpoint isecert
      !
      ....
      !
      interface Dot11Radio1
       no ip address
       no ip route-cache
       !
       encryption mode ciphers aes-ccm 
       !
       ssid dot1XSSID-R
       !
       antenna gain 0
        station-role workgroup-bridge
       bridge-group 1
       bridge-group 1 spanning-disabled
      !
      .....

    Vérifier

    Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

    Afin de vérifier l'association sur WGB, affichez les associations dot11.

    L'association WGB du WLC ressemble à cet exemple :

    9800#show wireless client summary 

    Number of Clients: 3
    MAC Address    AP Name                                        Type ID   State             Protocol Method     Role
    -------------------------------------------------------------------------------------------------------------------------
    843d.c6e8.76e0 AP687D.B45C.46E8                               WLAN 3     RUN              11ac     Dot1x      Local
    9800-rafenriq#show wireless wgb summary 

    Number of WGBs: 1
    MAC Address    AP Name                          WLAN State              Clients

    ---------------------------------------------------------------------------------
    843d.c6e8.76e0 AP687D.B45C.46E8                 3    RUN                   2 
    9800-rafenriq#show wireless wgb mac-address 843d.c6e8.76e0 detail 

    Work Group Bridge
    MAC Address        : 843d.c6e8.76e0
    AP Name            : AP687D.B45C.46E8
    WLAN ID            : 3
    State              : RUN

    Number of Clients: 2

    Dépannage

    Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

    Débogage du pont de groupe de travail

    Afin de déboguer le WGB, entrez ces commandes :

    debug aaa authentication
    debug dot11 supp-sm-dot1

    Débogage de WGB dans le WLC

    Comme WGB se comporte comme un autre client sans fil, consultez Troubleshoot Catalyst 9800 Client Connectivity Issues Flow afin de collecter des traces et des captures sur le WLC 9800.

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    22-Feb-2023
    Mise à jour pour le WLC 9800 et nouvelles versions pour WGB.
    1.0
    14-Jan-2013
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Surendra BG
      Ingénieur TAC Cisco
    • Carlos Leiton
      Ingénieur TAC Cisco
    • Rafael Enriquez Olguin
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits