Configurazione di Servizi di distribuzione Windows in punti di accesso autonomi con server RADIUS locale

Opzioni per il download

  • PDF     (868.9 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (584.8 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (436.0 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:18 ottobre 2013
ID documento:116597

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come configurare Servizi di dominio wireless (WDS) in una configurazione con punto di accesso autonomo con un server RADIUS locale. Il documento è incentrato sulle configurazioni tramite la nuova GUI, ma fornisce anche configurazioni dell'interfaccia della riga di comando (CLI).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza della configurazione di base della GUI e della CLI sui punti di accesso autonomi.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Cisco serie 3602e Access Point sul software AP IOS® autonomo, versione 15.2(4)JA1; il dispositivo agirà come punto di accesso Servizi di distribuzione Windows e server RADIUS locale.
  • Cisco serie 2602i Access Point su software AP IOS autonomo, versione 15.2(4)JA1; il dispositivo agirà come punto di accesso client Servizi di distribuzione Windows.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare lo strumento di ricerca dei comandi (solo utenti registrati).

Configurazioni GUI

Creare il SSID

In questa procedura viene descritto come creare un nuovo SSID (Service Set Identifier).

  1. Per creare un nuovo SSID, selezionare Security > SSID Manager, quindi fare clic su NEW (NUOVO).

    116597-config-wds-radius-01.png

  2. Configurare il SSID per l'autenticazione EAP (Extensible Authentication Protocol).

    116597-config-wds-radius-02.png

  3. Impostare il livello di crittografia desiderato. In questo esempio, utilizzare Wi-Fi Protected Access 2 (WPA2).

    116597-config-wds-radius-03.png

  4. Per salvare le impostazioni, fare clic su Apply (Applica).

  5. Passare a Sicurezza > Gestione crittografia e scegliere il metodo di crittografia richiesto.

    116597-config-wds-radius-04.png

Configurazione server RADIUS locale in WDS AP

In questa procedura viene descritto come configurare il server RADIUS locale nell'access point WDS:

  1. Passare a Security > Server Manager, aggiungere l'indirizzo IP BVI (Bridge Virtual Interface) del punto di accesso Servizi di distribuzione Windows come RADIUS locale e aggiungere un segreto condiviso.

    116597-config-wds-radius-05.png

  2. Selezionare Sicurezza > Server Radius locale > scheda Impostazione generale. Definire i protocolli EAP da utilizzare. In questo esempio, abilitare l'autenticazione Light Extensible Authentication Protocol (LEAP).

    116597-config-wds-radius-06.png

  3. Nella stessa pagina è inoltre possibile aggiungere le credenziali IP di Network Access Server (NAS) e nome utente/password client. Configurazione di un RADIUS locale in un WDS AP completata.

    116597-config-wds-radius-07.png

Configurazione server RADIUS locale nell'access point client Servizi di distribuzione Windows

Nella figura viene illustrato come configurare l'indirizzo IP del punto di accesso Servizi di distribuzione Windows come server RADIUS:

116597-config-wds-radius-08.png

Entrambi gli access point sono ora configurati con SSID per l'autenticazione LEAP e il server Servizi di distribuzione Windows funge da server RADIUS locale. Utilizzare gli stessi passaggi per un raggio esterno; verrà modificato solo l'indirizzo IP del server RADIUS.

Abilita Servizi di distribuzione Windows in WDS AP

In questa procedura viene descritto come abilitare Servizi di distribuzione Windows in WDS AP:

  1. Passare alla scheda Wireless > WDS > General Set-Up e selezionare la casella di controllo Use this AP as Wireless Domain Services (Usa questo access point come servizi di dominio wireless). In questo modo viene attivato il servizio Servizi di distribuzione Windows nell'access point.

  2. In una rete con più WDS AP, utilizzare l'opzione Priorità servizi di dominio wireless per definire il WDS primario e il WDS di backup. Il valore è compreso tra 1 e 255, dove 255 rappresenta la priorità massima.

    116597-config-wds-radius-09.png

  3. Passare alla scheda Gruppi di server nella stessa pagina. Creare un elenco di gruppi di server di infrastruttura in cui verranno autenticati tutti gli access point client di Servizi di distribuzione Windows. A tale scopo, è possibile utilizzare il server RADIUS locale nel punto di accesso di Servizi di distribuzione Windows. Poiché è già stata aggiunta, viene visualizzata nell'elenco a discesa.

    116597-config-wds-radius-10.png

  4. Abilitare il pulsante di opzione Usa gruppo per: Autenticazione infrastruttura e fare clic su Applica per salvare le impostazioni.

  5. Il nome utente e le password dell'access point WDS possono essere aggiunti all'elenco locale dei server RADIUS.

Abilita Servizi di distribuzione Windows nell'access point client Servizi di distribuzione Windows

In questa procedura viene descritto come abilitare Servizi di distribuzione Windows nell'access point client di Servizi di distribuzione Windows:

  1. Passare a Wireless > AP e selezionare la casella di controllo Partecipa all'infrastruttura SWAN. SWAN è l'acronimo di Structured Wireless-Aware Network.

    116597-config-wds-radius-11.png

  2. I punti di accesso client Servizi di distribuzione Windows possono rilevare automaticamente i punti di accesso Servizi di distribuzione Windows. In alternativa, è possibile immettere manualmente l'indirizzo IP dell'access point WDS per la registrazione del client nella casella di testo Rilevamento specificato.

    È inoltre possibile aggiungere il nome utente e la password del client Servizi di distribuzione Windows per l'autenticazione sul server RADIUS locale configurato nel punto di accesso Servizi di distribuzione Windows.

Configurazioni CLI

WDS AP

Di seguito viene riportata una configurazione di esempio per il punto di accesso Servizi di distribuzione Windows:

Current configuration : 2832 bytes
!
! Last configuration change at 05:54:08 UTC Fri Apr 26 2013
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname MAIB-WDS-AP
!
!
logging rate-limit console 9
enable secret 5 $1$EdDD$dG47yIKn86GCqmKjFf1Sy0
!
aaa new-model
!
!
aaa group server radius rad_eap
server name Local-Radius
!
aaa group server radius Infrastructure
server name Local-Radius
!
aaa authentication login eap_methods group rad_eap
aaa authentication login method_Infrastructure group Infrastructure
aaa authorization exec default local 
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
!
!
!
!
dot11 syslog
!
dot11 ssid WDS-EAP
authentication open eap eap_methods 
authentication network-eap eap_methods 
authentication key-management wpa version 2
guest-mode
!
!
dot11 guest
!
!
!
username Cisco password 7 13261E010803
username My3602 privilege 15 password 7 10430810111F00025D56797F65
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm 
!
ssid WDS-EAP
!
antenna gain 0
stbc
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm 
!
ssid WDS-EAP
!
antenna gain 0
peakdetect
dfs band 3 block
stbc
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address 10.106.54.146 255.255.255.192
no ip route-cache
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1 
!
!
radius-server local
no authentication eapfast
no authentication mac
nas 10.106.54.146 key 7 045802150C2E1D1C5A
user WDSClient1 nthash 7 
   072E776E682F4D5D35345B5A227E78050D6413004A57452024017B0803712B224A
!
radius-server attribute 32 include-in-access-req format %h
radius-server vsa send accounting
!
radius server Local-Radius
address ipv4 10.106.54.146 auth-port 1812 acct-port 1813
key 7 060506324F41584B56
!
bridge 1 route ip
!
!
wlccp authentication-server infrastructure method_Infrastructure
wlccp wds priority 254 interface BVI1
!
line con 0
line vty 0 4
transport input all
!
end

AP client Servizi di distribuzione Windows

Di seguito è riportata una configurazione di esempio per il client WDS AP:

Current configuration : 2512 bytes
!
! Last configuration change at 00:33:17 UTC Wed May 22 2013
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname MAIB-WDS-Client
!
!
logging rate-limit console 9
enable secret 5 $1$vx/M$qP6DY30TGiXmjvUDvKKjk/
!
aaa new-model
!
!
aaa group server radius rad_eap
server name WDS-Radius
!
aaa authentication login eap_methods group rad_eap
aaa authorization exec default local 
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
!
!
!
!
dot11 syslog
!
dot11 ssid WDS-EAP
authentication open eap eap_methods 
authentication network-eap eap_methods 
authentication key-management wpa version 2
guest-mode
!
!
dot11 guest
!
eap profile WDS-AP
method leap
!
!
!
username Cisco password 7 062506324F41
username My2602 privilege 15 password 7 09414F000D0D051B5A5E577E6A
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm 
!
ssid WDS-EAP
!
antenna gain 0
stbc
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm 
!
ssid WDS-EAP
!
antenna gain 0
peakdetect
dfs band 3 block
stbc
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address 10.106.54.136 255.255.255.192
no ip route-cache
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1 
!
!
radius-server attribute 32 include-in-access-req format %h
radius-server vsa send accounting
!
radius server WDS-Radius
address ipv4 10.106.54.146 auth-port 1812 acct-port 1813
key 7 110A1016141D5A5E57
!
bridge 1 route ip
!
!
wlccp ap username WDSClient1 password 7 070C285F4D06485744
wlccp ap wds ip address 10.106.54.146
!
line con 0
line vty 0 4
transport input all
!
end

Verifica

Per verificare che la configurazione funzioni correttamente, consultare questa sezione. Al termine dell'installazione, l'access point client di Servizi di distribuzione Windows deve essere in grado di eseguire la registrazione all'access point di Servizi di distribuzione Windows.

Nell'access point Servizi di distribuzione Windows lo stato di Servizi di distribuzione Windows è Registrato.

116597-config-wds-radius-12.png

Nell'access point del client Servizi di distribuzione Windows lo stato di Servizi di distribuzione Windows è Infrastruttura.

116597-config-wds-radius-13.png

Nota: Lo strumento Output Interpreter (solo utenti registrati) supporta alcuni comandi show. Usare lo strumento Output Interpreter per visualizzare un'analisi dell'output del comando show.

Output della verifica CLI su WDS AP

In questa procedura viene illustrato come verificare la configurazione di WDS AP:

MAIB-WDS-AP#sh wlccp wds ap

HOSTNAME MAC-ADDR IP-ADDR IPV6-ADDR STATE
MAIB-WDS-Client f872.ea24.40e6 10.106.54.136 :: REGISTERED

MAIB-WDS-AP#sh wlccp wds statistics

WDS Statistics for last 10:34:13:
Current AP count: 1
Current MN count: 0
AAA Auth Attempt count: 2
AAA Auth Success count: 2
AAA Auth Failure count: 0
MAC Spoofing Block count: 0
Roaming without AAA Auth count: 0
Roaming with full AAA Auth count:0
Fast Secured Roaming count: 0
MSC Failure count: 0
KSC Failure count: 0
MIC Failure count: 0
RN Mismatch count: 0

Output della verifica CLI sull'access point client Servizi di distribuzione Windows

In questa procedura viene illustrato come verificare la configurazione dell'access point client di Servizi di distribuzione Windows:

MAIB-WDS-Client#sh wlccp ap

WDS = bc16.6516.62c4, IP: 10.106.54.146 , IPV6: ::
state = wlccp_ap_st_registered
IN Authenticator = IP: 10.106.54.146 IPV6: :: 
MN Authenticator = IP: 10.106.54.146 IPv6::

Risoluzione dei problemi

Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
18-Oct-2013
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Maithri B and Surendra BG
    Cisco TAC Engineers.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti