Cisco Access Registrar 및 LEAP 구성

다운로드 옵션

  • PDF     (117.1 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (84.7 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (73.0 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2006년 1월 19일
문서 ID:28901

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

Cisco AR(Networking Services Access Registrar) 3.0은 LEAP(Light Extensible Authentication Protocol)(EAP-Cisco Wireless)를 지원합니다. 이 문서에서는 Cisco AR에 대한 LEAP 인증을 위해 무선 Aironet 클라이언트 유틸리티와 Cisco Aironet 340, 350 또는 1200 Series AP(Access Point)를 구성하는 방법을 보여줍니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • Cisco Aironet® 340, 350 또는 1200 Series 액세스 포인트

  • Cisco LEAP용 AP 펌웨어 11.21 이상

  • Cisco Aironet 340 또는 350 Series NIC(Network Interface Card)

  • Cisco LEAP용 펌웨어 버전 4.25.30 이상

  • Cisco LEAP용 NDIS(Network Driver Interface Specification) 8.2.3 이상

  • ACU(Aironet Client Utilities) 버전 5.02 이상

  • Cisco LEAP 및 MAC 인증 요청을 실행하고 인증하려면 Cisco Access Registrar 3.0 이상이 필요합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.라이브 네트워크에서 작업하는 경우, 사용하기 전에 모든 명령의 잠재적인 영향을 이해해야 합니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

EAP-Cisco 무선 구성(Cisco LEAP)

이 섹션에서는 Cisco AR 서버, AP 및 다양한 클라이언트에서 Cisco LEAP의 기본 컨피그레이션에 대해 설명합니다.

단계별 지침

다음 지침에 따라 LEAP를 구성합니다.

  1. Cisco AR 서버의 포트를 변경합니다.

    AP는 UDP(User Datagram Protocol) 포트 1812(인증) 및 1813(회계)에 RADIUS 정보를 전송합니다. Cisco AR은 기본적으로 UDP 포트 1645 및 1646에서 수신 대기하므로 UDP 포트 1812 및 1813에서 수신 대기하도록 Cisco AR을 구성해야 합니다.

    1. cd /radius/advanced/ports 명령 실행합니다.

    2. add 1812 명령을 실행하여 포트 1812를 추가합니다.

    3. 어카운팅을 수행하려는 경우 add 1813 명령을 실행하여 포트 1813을 추가합니다.

    구성을 저장한 다음 서비스를 다시 시작합니다.

  2. Cisco AR 서버에 AP를 추가하려면 다음 명령을 실행합니다.

    • cd /Radius/클라이언트

    • ap350-1 추가

    • cd ap350-1

    • ipaddress 171.69.89.1 설정

    • 공유 암호 cisco 설정

  3. WEP 키 세션 시간 초과를 구성하려면 다음 명령을 실행합니다.

    참고: 802.1x는 재인증 옵션을 지정합니다.Cisco LEAP 알고리즘은 이 옵션을 사용하여 사용자에 대한 현재 WEP 세션 키를 만료하고 새 WEP 세션 키를 발급합니다.

    • cd /Radius/Profiles

    • ap 프로필 추가

    • cd ap-profile

    • cd 특성

    • set session-timeout 600

  4. 3단계에서 추가된 프로파일을 사용하는 사용자 그룹을 생성하려면 다음 명령을 실행합니다.

    • cd /Radius/Usergroups

    • ap 그룹 추가

    • cd ap-group

    • baseprofile ap profile 설정

    이 사용자 그룹의 사용자는 프로필을 상속하며 세션 시간 제한을 받습니다.

  5. 사용자 목록에서 사용자를 생성하고 4단계에서 정의한 사용자 그룹에 사용자를 추가하려면 다음 명령을 실행합니다.

    • cd /Radius/사용자 목록

    • ap 사용자 추가

    • cd ap 사용자

    • 사용자1 추가

    • cd 사용자1

    • Cisco 비밀번호 설정

    • 그룹 ap-group 설정

  6. UserService "ap-userservice"를 사용하도록 로컬 인증 및 권한 부여 서비스를 생성하고 서비스 유형을 "eap-leap"로 설정하려면 다음 명령을 실행합니다.

    • cd /Radius/서비스

    • ap-localservice 추가

    • cd ap-localservice

    • eap-leap 설정

    • UserService ap-userservice 설정

  7. 5단계에서 정의된 사용자 목록을 사용하기 위해 사용자 서비스 "ap-userservice"를 생성하려면 다음 명령을 실행합니다.

    • cd /Radius/서비스

    • ap-userservice 추가

    • cd ap-localservice

    • 로컬 유형 설정

    • 사용자 목록 ap 사용자 설정

  8. Cisco AR에서 6단계에서 정의한 서비스에 사용하는 기본 인증 및 권한 부여 서비스를 설정하려면 다음 명령을 실행합니다.

    • cd /radius

    • 기본 설정인증서비스 ap-localservice 설정

    • 기본 설정권한 부여서비스 ap-localservice 설정

  9. 컨피그레이션을 저장하고 다시 로드하려면 다음 명령을 실행합니다.

    • 저장

    • 다시 로드

AP에서 EAP-Cisco(Cisco LEAP) 활성화

단계별 지침

AP에서 Cisco LEAP를 활성화하려면 다음 단계를 수행하십시오.

  1. AP를 찾습니다.

  2. Summary Status(요약 상태) 페이지에서 SETUP(설정)을 클릭합니다.

  3. Services(서비스) 메뉴에서 Security(보안) > Authentication Server(인증 서버)를 클릭합니다.

  4. 802.1x Protocol Version 드롭다운 메뉴에서 이 AP에서 실행할 802.1x 버전을 선택합니다.

  5. Server Name/IP(서버 이름/IP) 텍스트 상자에서 Cisco AR의 IP 주소를 구성합니다.

  6. Server Type(서버 유형) 드롭다운 메뉴가 RADIUS로 설정되어 있는지 확인합니다.

  7. Port(포트) 텍스트 상자를 1812로 변경합니다.Cisco AR에서 사용할 올바른 IP 포트 번호입니다.

  8. Cisco AR에 사용된 값으로 Shared Secret(공유 암호) 텍스트 상자를 구성합니다.

  9. EAP 인증 확인란을 선택합니다.

  10. 원하는 경우 시간 초과 텍스트 상자를 수정합니다.Cisco AR에 대한 인증 요청의 시간 초과 값입니다.

  11. OK(확인)를 클릭하여 Security Setup(보안 설정) 화면으로 돌아갑니다.

    또한 RADIUS 어카운팅을 수행하는 경우 Accounting Setup 페이지의 포트가 Cisco AR에 구성된 포트와 동의하는지 확인합니다(1813으로 설정).

  12. WEP(Radio Data Encryption)를 클릭합니다.

  13. WEP 키 1 텍스트 상자에 40비트 또는 128비트 키 값을 입력하여 브로드캐스트 WEP 키를 구성합니다.

  14. 사용할 인증 유형을 선택합니다.최소한 Network-EAP 확인란이 선택되었는지 확인합니다.

  15. Use of Data Encryption(데이터 암호화 사용) 드롭다운 메뉴가 Optional(선택) 또는 Full Encryption(전체 암호화)으로 설정되어 있는지 확인합니다.선택 사항으로 동일한 AP에서 비 WEP 및 WEP 클라이언트를 사용할 수 있습니다.이는 안전하지 않은 작동 모드입니다.가능한 경우 전체 암호화를 사용합니다.

  16. OK(확인)를 클릭하여 완료합니다.

ACU 6.00 구성

단계별 지침

ACU를 구성하려면 다음 단계를 수행합니다.

  1. ACU를 엽니다.

  2. 도구 모음에서 프로파일 관리자를 클릭합니다.

  3. Add(추가)를 클릭하여 새 프로필을 생성합니다.

  4. 텍스트 상자에 프로파일 이름을 입력한 다음 확인을 클릭합니다.

  5. SSID1 텍스트 상자에 적절한 SSID(Service Set Identifier)를 입력합니다.

  6. Network Security를 클릭합니다.

  7. Network Security Type(네트워크 보안 유형) 드롭다운 메뉴에서 LEAP를 선택합니다.

  8. 구성을 클릭합니다.

  9. 필요에 따라 비밀번호 설정을 구성합니다.

  10. 확인 클릭합니다.

  11. Network Security(네트워크 보안) 화면에서 OK(확인)를 클릭합니다.

Cisco AR에서 추적

Cisco AR에서 추적 출력을 얻으려면 trace /r 5를 실행합니다.AP 디버그가 필요한 경우 텔넷을 통해 AP에 연결하고 eap_diag1_oneap_diag2_on 명령 실행할 수 있습니다.

06/28/2004 16:31:49: P1121: Packet received from 10.48.86.230
06/28/2004 16:31:49: P1121: Checking Message-Authenticator
06/28/2004 16:31:49: P1121: Trace of Access-Request packet
06/28/2004 16:31:49: P1121: identifier = 5
06/28/2004 16:31:49: P1121: length = 146
06/28/2004 16:31:49: P1121: 
   reqauth = e5:4f:91:27:0a:91:82:6b:a4:81:c1:cc:c8:11:86:0b
06/28/2004 16:31:49: P1121: User-Name = user1
06/28/2004 16:31:49: P1121: NAS-IP-Address = 10.48.86.230
06/28/2004 16:31:49: P1121: NAS-Port = 37
06/28/2004 16:31:49: P1121: Service-Type = Login
06/28/2004 16:31:49: P1121: Framed-MTU = 1400
06/28/2004 16:31:49: P1121: Called-Station-Id = 000d29e160f2
06/28/2004 16:31:49: P1121: Calling-Station-Id = 00028adc8f2e
06/28/2004 16:31:49: P1121: NAS-Identifier = frinket
06/28/2004 16:31:49: P1121: NAS-Port-Type = Wireless - IEEE 802.11
06/28/2004 16:31:49: P1121: EAP-Message = 02:02:00:0a:01:75:73:65:72:31
06/28/2004 16:31:49: P1121: 
   Message-Authenticator = f8:44:b9:3b:0f:33:34:a6:ed:7f:46:2d:83:62:40:30
06/28/2004 16:31:49: P1121: Cisco-AVPair = ssid=blackbird
06/28/2004 16:31:49: P1121: Using Client: ap1200-1 (10.48.86.230)
06/28/2004 16:31:49: P1121: Using Client ap1200-1 (10.48.86.230) as the NAS
06/28/2004 16:31:49: P1121: Authenticating and Authorizing with 
   Service ap-localservice
06/28/2004 16:31:49: P1121: Response Type is Access-Challenge, 
   skipping Remote Session Management.
06/28/2004 16:31:49: P1121: Response Type is Access-Challenge, 
   skipping Local Session Management.
06/28/2004 16:31:49: P1121: Adding Message-Authenticator to response
06/28/2004 16:31:49: P1121: Trace of Access-Challenge packet
06/28/2004 16:31:49: P1121: identifier = 5
06/28/2004 16:31:49: P1121: length = 61
06/28/2004 16:31:49: P1121: 
   reqauth = 60:ae:19:8d:41:5e:a8:dc:4c:25:1b:8d:49:a3:47:c4
06/28/2004 16:31:49: P1121: EAP-Message = 
   01:02:00:15:11:01:00:08:66:27:c3:47:d6:be:b3:67:75:73:65:72:31
06/28/2004 16:31:49: P1121: Message-Authenticator = 
   59:d2:bc:ec:8d:85:36:0b:3a:98:b4:90:cc:af:16:2f
06/28/2004 16:31:49: P1121: Sending response to 10.48.86.230
06/28/2004 16:31:49: P1123: Packet received from 10.48.86.230
06/28/2004 16:31:49: P1123: Checking Message-Authenticator
06/28/2004 16:31:49: P1123: Trace of Access-Request packet
06/28/2004 16:31:49: P1123: identifier = 6
06/28/2004 16:31:49: P1123: length = 173
06/28/2004 16:31:49: P1123: 
   reqauth = ab:f1:0f:2d:ab:6e:b7:49:9e:9e:99:00:28:0f:08:80
06/28/2004 16:31:49: P1123: User-Name = user1
06/28/2004 16:31:49: P1123: NAS-IP-Address = 10.48.86.230
06/28/2004 16:31:49: P1123: NAS-Port = 37
06/28/2004 16:31:49: P1123: Service-Type = Login
06/28/2004 16:31:49: P1123: Framed-MTU = 1400
06/28/2004 16:31:49: P1123: Called-Station-Id = 000d29e160f2
06/28/2004 16:31:49: P1123: Calling-Station-Id = 00028adc8f2e
06/28/2004 16:31:49: P1123: NAS-Identifier = frinket
06/28/2004 16:31:49: P1123: NAS-Port-Type = Wireless - IEEE 802.11
06/28/2004 16:31:49: P1123: EAP-Message = 
   02:02:00:25:11:01:00:18:5e:26:d6:ab:3f:56:f7:db:21:96:f3:b0:fb:ec:6b:
   a7:58:6f:af:2c:60:f1:e3:3c:75:73:65:72:31
06/28/2004 16:31:49: P1123: Message-Authenticator = 
   21:da:35:89:30:1e:e1:d6:18:0a:4f:3b:96:f4:f8:eb
06/28/2004 16:31:49: P1123: Cisco-AVPair = ssid=blackbird
06/28/2004 16:31:49: P1123: Using Client: ap1200-1 (10.48.86.230)
06/28/2004 16:31:49: P1123: Using Client ap1200-1 (10.48.86.230) as the NAS
06/28/2004 16:31:49: P1123: Authenticating and Authorizing 
   with Service ap-localservice
06/28/2004 16:31:49: P1123: Calling external service ap-userservice 
   for authentication and authorization
06/28/2004 16:31:49: P1123: Getting User user1's UserRecord
   from UserList ap-users
06/28/2004 16:31:49: P1123: User user1's MS-CHAP password matches
06/28/2004 16:31:49: P1123: Processing UserGroup ap-group's check items
06/28/2004 16:31:49: P1123: User user1 is part of UserGroup ap-group
06/28/2004 16:31:49: P1123: Merging UserGroup ap-group's BaseProfiles
   into response dictionary
06/28/2004 16:31:49: P1123: Merging BaseProfile ap-profile
   into response dictionary
06/28/2004 16:31:49: P1123: Merging attributes into the Response Dictionary:
06/28/2004 16:31:49: P1123: Adding attribute Session-Timeout, value = 600
06/28/2004 16:31:49: P1123: Merging UserGroup ap-group's Attributes 
   into response Dictionary
06/28/2004 16:31:49: P1123: Merging attributes into the Response Dictionary:
06/28/2004 16:31:49: P1123: Removing all attributes except for 
   EAP-Message from response - they will be sent back in the Access-Accept
06/28/2004 16:31:49: P1123: Response Type is Access-Challenge, 
   skipping Remote Session Management.
06/28/2004 16:31:49: P1123: Response Type is Access-Challenge, 
   skipping Local Session Management.
06/28/2004 16:31:49: P1123: Adding Message-Authenticator to response
06/28/2004 16:31:49: P1123: Trace of Access-Challenge packet
06/28/2004 16:31:49: P1123: identifier = 6
06/28/2004 16:31:49: P1123: length = 44
06/28/2004 16:31:49: P1123: 
   reqauth = 28:2e:a3:27:c6:44:9e:13:8d:b3:60:01:7f:da:8b:62
06/28/2004 16:31:49: P1123: EAP-Message = 03:02:00:04
06/28/2004 16:31:49: P1123: Message-Authenticator = 
   2d:63:6a:12:fd:91:9e:7d:71:9d:8b:40:04:56:2e:90
06/28/2004 16:31:49: P1123: Sending response to 10.48.86.230
06/28/2004 16:31:49: P1125: Packet received from 10.48.86.230
06/28/2004 16:31:49: P1125: Checking Message-Authenticator
06/28/2004 16:31:49: P1125: Trace of Access-Request packet
06/28/2004 16:31:49: P1125: identifier = 7
06/28/2004 16:31:49: P1125: length = 157
06/28/2004 16:31:49: P1125: 
   reqauth = 72:94:8c:34:4c:4a:ed:27:98:ba:71:33:88:0d:8a:f4
06/28/2004 16:31:49: P1125: User-Name = user1
06/28/2004 16:31:49: P1125: NAS-IP-Address = 10.48.86.230
06/28/2004 16:31:49: P1125: NAS-Port = 37
06/28/2004 16:31:49: P1125: Service-Type = Login
06/28/2004 16:31:49: P1125: Framed-MTU = 1400
06/28/2004 16:31:49: P1125: Called-Station-Id = 000d29e160f2
06/28/2004 16:31:49: P1125: Calling-Station-Id = 00028adc8f2e
06/28/2004 16:31:49: P1125: NAS-Identifier = frinket
06/28/2004 16:31:49: P1125: NAS-Port-Type = Wireless - IEEE 802.11
06/28/2004 16:31:49: P1125: EAP-Message = 
   01:02:00:15:11:01:00:08:3e:b9:91:18:a8:dd:98:ee:75:73:65:72:31
06/28/2004 16:31:49: P1125: Message-Authenticator = 
   8e:73:2b:a6:54:c6:f5:d9:ed:6d:f0:ce:bd:4f:f1:d6
06/28/2004 16:31:49: P1125: Cisco-AVPair = ssid=blackbird
06/28/2004 16:31:49: P1125: Using Client: ap1200-1 (10.48.86.230)
06/28/2004 16:31:49: P1125: Using Client ap1200-1 (10.48.86.230) as the NAS
06/28/2004 16:31:49: P1125: Authenticating and Authorizing 
   with Service ap-localservice
06/28/2004 16:31:49: P1125: Merging attributes into the Response Dictionary:
06/28/2004 16:31:49: P1125: Adding attribute Session-Timeout, value = 600
06/28/2004 16:31:49: P1125: Restoring all attributes to response 
   that were removed in the last Access-Challenge
06/28/2004 16:31:49: P1125: No default Remote Session Service defined.
06/28/2004 16:31:49: P1125: Adding Message-Authenticator to response
06/28/2004 16:31:49: P1125: Trace of Access-Accept packet
06/28/2004 16:31:49: P1125: identifier = 7
06/28/2004 16:31:49: P1125: length = 142
06/28/2004 16:31:49: P1125: 
   reqauth = 71:f1:ef:b4:e6:e0:c2:4b:0a:d0:95:47:35:3d:a5:84
06/28/2004 16:31:49: P1125: Session-Timeout = 600
06/28/2004 16:31:49: P1125: EAP-Message = 
02:02:00:25:11:01:00:18:86:5c:78:3d:82:f7:69:c7:96:70:35:31:bb:51:a7:ba:f8:48:8c:
45:66:00:e8:3c:75:73:65:72:31
06/28/2004 16:31:49: P1125: Message-Authenticator = 7b:48:c3:17:53:67:44:f3:af:5e:17:27:3d:3d:23:5f
06/28/2004 16:31:49: P1125: Cisco-AVPair = 6c:65:61:70:3a:73:65:73:73:69:6f:6e:2d:6b:65:79:3d:04:f2:c5:2a:de:fb:4e:1e:8a:8d
:b8:1b:e9:2c:f9:9a:3e:83:55:ff:ae:54:57:4b:60:e1:03:05:fd:22:95:4c:b4:62
06/28/2004 16:31:49: P1125: Sending response to 10.48.86.230

관련 정보

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의