Configurazione dei bridge per gruppi di lavoro con autenticazione PEAP

Aggiornato:22 febbraio 2023
ID documento:115736

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare un Work Group Bridge (WGB) per la connessione a un SSID (Service Set Identifier) 802.1X che utilizza il protocollo PEAP (Protected Extensible Authentication Protocol) con un controller WLC (Wireless LAN Controller) 9800.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • C9800 WLC
    • WGB
    • protocollo 802.1X

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco IOS® versione 15.3(3)JPN1 per WGB
    • Cisco IOS XE release 17.9.2 per WLC

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Esempio di rete

    Network diagram-the IW3702 autonomous AP is configured as a WGB

    Nell'esempio, il punto di accesso autonomo (AP) IW3702 è configurato come WGB e si connette alla rete di punti di accesso lightweight. Utilizza questo SSID, dot1XSSID-R, per la connessione alla WLAN e utilizzare il PEAP per l'autenticazione del WGB alla rete.

    Configura WGB

    Per configurare il WGB, attenersi alla seguente procedura:

    1. Impostare il nome host. 
      configure terminal 
      hostname WGB-Client
    2. Configurare l'ora. L'ora deve essere corretta in modo che il certificato possa essere installato sul WGB. 
      clock set hh:mm:ss dd Month yyyy
      example: clock set 15:33:00 15 February 2023
    3. Configurare il trust point per l'Autorità di certificazione (CA):
      • terminale di registrazione: consente di copiare/incollare il certificato dall'autenticatore. In questo caso, Identity Services Engine (ISE) su WGB.
      • revoca: selezionare nessuna. Al WGB viene richiesto di non eseguire ulteriori verifiche sul certificato del server. Questo comando è necessario per evitare il problema descritto nell'ID bug Cisco CSCsl07349 (solo utenti registrati). WGB disassocia/riassocia spesso e richiede molto tempo per riconnettersi. 
        crypto pki trustpoint isecert
        enrollment terminal
        revocation-check none
    4. Scaricare il certificato di autenticazione.
      1. Ottenere una copia del certificato CA. Nell'esempio, è stato usato ISE come server Authenticator. Selezionare Amministrazione > Sistema > Certificati.
      2. Identificare il certificato utilizzato da ISE per l'autenticazione EAP (la colonna Usa per contiene l'autenticazione EAP) e scaricarlo, come mostrato nelle schermate.
      3. I passaggi precedenti determinano un .pem file. Si tratta del certificato da installare nel WGB in modo da poter stabilire il tunnel e scambiare le credenziali al suo interno.

        Export the self-signed server certificate

        Export the certificate only

    5. Installare il certificato CA:
      1. Immettere il crypto pki authenticate isecert
      2. Aprire il .pem in un editor di testo e copiare la stringa. Il formato è il seguente: 
           -----BEGIN CERTIFICATE-----
            [ ... ]
            -----END CERTIFICATE-----
      3. Copia/incolla il certificato CA > premere riga vuota Enter > Invio quit sull'ultima riga da sola.
      4. Incollare il testo dalla .cer file scaricato nel passaggio precedente. 
           -----BEGIN CERTIFICATE-----
            [ ... ]
            -----END CERTIFICATE----
            (hit enter)
            quit
            (hit enter) 
            Certificate has the following attributes:
            Fingerprint: 45EC6866 A66B4D8F 2E05960F BC5C1B76
            % Do you accept this certificate? [yes/no]: yes
            Trustpoint CA certificate accepted.
            % Certificate successfully imported
    6. Definire il metodo di autenticazione su WGB, in questo caso peap. 
      conf terminal
      eap profile peap
      method peap
      end
    7. Configurare le credenziali per WGB, in questo caso cred. Assicurarsi di aggiungere il trust point creato, in questo caso isecert. 
      dot1x credentials CRED
      username userWGB
      password 7 13061E010803
      pki-trustpoint isecert
    8. Configurare SSID su WGB e assicurarsi di utilizzare la stringa corretta per il profilo EAP e le credenziali, in questo caso peap e cred, rispettivamente.
      note-icon

      Nota: per authentication open eap <string> è possibile immettere qualsiasi valore. Questa configurazione non è correlata ad altri comandi in WGB.

      configure terminal
      dot11 ssid dot1XSSID-R
      authentication open eap PEAP 
      authentication key-management wpa
      dot1x credentials cred
      dot1x eap profile peap
      infrastructure-ssid

      A questo punto, la configurazione dell'access point è simile a quella dell'esempio seguente. Immettere il show run 

      Building configuration...
      version 15.3
      !
      hostname WGB-Client
      !
      .....
      !
      dot11 ssid dot1XSSID-R
         authentication open eap PEAP  
         authentication key-management wpa
         dot1x credentials cred
         dot1x eap profile peap
         infrastructure-ssid
      !
      eap profile PEAP
       method peap
      !
      crypto pki token default removal timeout 0
      !
      crypto pki trustpoint isecert
       enrollment terminal
       revocation-check none
      !
      crypto pki certificate chain isecert
       certificate ca 5CC74BD9508B78AF4AB5C5F84C32AC2A
        ...
        C3B7249C F75C4525 D02A40AB 50E19196 9D1C2853 8BAEFDFC 1CE1945E 1CABC51B AFF5
            quit
      !
      dot1x credentials PEAP
       username userWGB
       password 7 13061E010803
       pki-trustpoint isecert
      !
      ....
      !
      interface Dot11Radio1
       no ip address
       no ip route-cache
       !
       encryption mode ciphers aes-ccm 
       !
       ssid dot1XSSID-R
       !
       antenna gain 0
        station-role workgroup-bridge
       bridge-group 1
       bridge-group 1 spanning-disabled
      !
      .....

    Verifica

    Per verificare che la configurazione funzioni correttamente, consultare questa sezione.

    Per verificare l'associazione su WGB, visualizzare le associazioni dot11.

    L'associazione WGB dal WLC ha il seguente aspetto:

    9800#show wireless client summary 

    Number of Clients: 3
    MAC Address    AP Name                                        Type ID   State             Protocol Method     Role
    -------------------------------------------------------------------------------------------------------------------------
    843d.c6e8.76e0 AP687D.B45C.46E8                               WLAN 3     RUN              11ac     Dot1x      Local
    9800-rafenriq#show wireless wgb summary 

    Number of WGBs: 1
    MAC Address    AP Name                          WLAN State              Clients

    ---------------------------------------------------------------------------------
    843d.c6e8.76e0 AP687D.B45C.46E8                 3    RUN                   2 
    9800-rafenriq#show wireless wgb mac-address 843d.c6e8.76e0 detail 

    Work Group Bridge
    MAC Address        : 843d.c6e8.76e0
    AP Name            : AP687D.B45C.46E8
    WLAN ID            : 3
    State              : RUN

    Number of Clients: 2

    Risoluzione dei problemi

    Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

    Debug di Workgroup Bridge

    Per eseguire il debug del WGB, immettere i seguenti comandi:

    debug aaa authentication
    debug dot11 supp-sm-dot1

    Debug di WGB nel WLC

    Poiché WGB si comporta come un altro client wireless, vedere Risoluzione dei problemi di connettività del client Catalyst 9800 per raccogliere tracce e clip sul WLC 9800.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    22-Feb-2023
    Aggiornato per 9800 WLC e nuove versioni per WGB.
    1.0
    14-Jan-2013
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Surendra BG
      Cisco TAC Engineer
    • Carlos Leiton
      Cisco TAC Engineer
    • Rafael Enriquez Olguin
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti