Draadloze verificatietypen configureren op een vaste ISR

Inleiding

Dit document biedt een configuratievoorbeeld dat uitlegt hoe u verschillende Layer 2-verificatietypen kunt configureren op een Cisco draadloze geïntegreerde vaste-configuratierouter voor draadloze connectiviteit met CLI-opdrachten.

Voorwaarden

Vereisten

Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:

• Kennis van hoe de basisparameters van de Cisco geïntegreerde services router (ISR) moeten worden geconfigureerd

• Kennis van de manier waarop u de 802.11a/b/g draadloze clientadapter kunt configureren met het Aironet Desktop Utility (ADU)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco 877W ISR waarin Cisco IOS^®-softwarerelease 12.3(8)YI1 wordt uitgevoerd

• Laptop met Aironet Desktop Utility versie 3.6

• 802.11 a/b/g clientadapter die firmware versie 3.6 uitvoert

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

De Cisco geïntegreerde services routers met een vaste configuratie ondersteunen een beveiligde, betaalbare en gebruiksvriendelijke draadloze LAN-oplossing die mobiliteit en flexibiliteit combineert met de functies op bedrijfsniveau die vereist zijn door netwerkprofessionals. Met een beheersysteem dat is gebaseerd op Cisco IOS-software, fungeren Cisco-routers als access points en zijn ze Wi-Fi-gecertificeerd, IEEE 802.11a/b/g-conforme draadloze LAN-transceivers.

U kunt de routers configureren en bewaken met de opdrachtregel interface (CLI), het op de browser gebaseerde beheersysteem of Simple Network Management Protocol (SNMP). Dit document beschrijft hoe u de ISR kunt configureren voor draadloze connectiviteit met de CLI-opdrachten.

Configureren

Dit voorbeeld laat zien hoe u deze verificatietypen kunt configureren op een Cisco draadloze geïntegreerde vaste configuratierouter met CLI-opdrachten.

• Verificatie openen

• 802.1x/EAP-verificatie (uitbreidbaar verificatieprotocol)

• WPA-PSK-verificatie (Wi-Fi Protected Access Pre-Shared Key)

• WPA (met EAP)-verificatie

Opmerking: dit document is niet gericht op gedeelde verificatie, aangezien het een minder beveiligd verificatietype is.

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Bij deze installatie wordt de lokale RADIUS-server op de draadloze ISR gebruikt om draadloze clients met 802.1x-verificatie te verifiëren.

Open verificatie configureren

Open verificatie is een ongeldig verificatiealgoritme. Het toegangspunt staat elk verzoek tot authenticatie toe. Open verificatie geeft elk apparaat toegang tot het netwerk. Als op het netwerk geen codering is ingeschakeld, kan elk apparaat dat de SSID van het toegangspunt kent, toegang tot het netwerk krijgen. Als WEP-codering is ingeschakeld op een toegangspunt, wordt de WEP-sleutel zelf een middel voor toegangscontrole. Als een apparaat niet over de juiste WEP-toets beschikt, kan het apparaat geen gegevens verzenden via het toegangspunt, ook al is de verificatie geslaagd. Ook kan het geen gegevens decrypteren die van het toegangspunt worden verzonden.

Deze voorbeeldconfiguratie verklaart alleen een eenvoudige open authenticatie. De WEP-toets kan verplicht of optioneel worden gemaakt. In dit voorbeeld wordt de WEP-toets als optioneel geconfigureerd, zodat elk apparaat dat geen WEP gebruikt ook kan worden geverifieerd en aan dit AP kan worden gekoppeld.

Zie Open verificatie voor meer informatie.

Dit voorbeeld gebruikt deze configuratie-instelling om open verificatie op de ISR te configureren.

• SSID-naam: "open"

• VLAN 1

• Intern DHCP-serverbereik: 10.1.0.0/16

Opmerking: voor de eenvoud wordt in dit voorbeeld geen enkele coderingstechniek voor geverifieerde clients gebruikt.

Voltooi deze acties op de router:

1. Configureer de geïntegreerde routing en bridging (IRB) en stel de Bridge Group in

2. De overbrugde virtuele interface (BVI) configureren

3. De SSID voor open verificatie configureren

4. De interne DHCP-server configureren voor de draadloze clients van dit VLAN

Configureer de geïntegreerde routing en bridging (IRB) en stel de Bridge Group in

Voltooi deze acties:

1. Schakel IRB in de router in.

   router<configureren>#bridge irb

   Opmerking: Als alle beveiligingstypen op één router moeten worden geconfigureerd, is het voldoende om IRB slechts eenmaal wereldwijd op de router in te schakelen. Het hoeft niet voor elk afzonderlijk verificatietype te worden ingeschakeld.

2. Definieer een bruggroep.

   Dit voorbeeld gebruikt het bridge-group nummer 1.

   router<configureren>#bridge 1

3. Kies het overspannen - boomprotocol voor de bruggroep.

   Hier wordt IEEE Spanning Tree Protocol geconfigureerd voor deze bruggroep.

   router<configureren>#bridge 1-protocolonderdeel

4. Schakel een BVI in om routable pakketten te accepteren en te routeren die worden ontvangen van zijn correspondent bridge-groep.

   Met dit voorbeeld kan de BVI het IP-pakket accepteren en leiden.

   router<configureren>#bridge 1 route-ip

De overbrugde virtuele interface (BVI) configureren

Voltooi deze acties:

1. Configureer de BVI.

   Configureer de BVI wanneer u het correspondentnummer van de bruggroep aan de BVI toewijst. Elke bruggroep kan slechts één corresponderende BVI hebben. Dit voorbeeld wijst bruggroep nummer 1 aan BVI toe.

   router<configureren>#interface BVI <1>

2. Wijs een IP-adres toe aan de BVI.

   router<config-if>#ip-adres 10.1.1.1 255.255.0.0

   router<configuratie-if>#no closed

Raadpleeg Overbrugging configureren voor gedetailleerde informatie over overbrugging.

De SSID voor open verificatie configureren

Voltooi deze acties:

1. De radio-interface inschakelen

   Ga om de radio-interface in te schakelen naar de DOT11-configuratiemodus voor de radio-interface en wijs een SSID toe aan de interface.

   router<configuratie>#interface dot11radio0

   router<configuratie-if>#no shutdown

   router<config-if>#ssid open

   Het open verificatietype kan worden geconfigureerd in combinatie met MAC-adresverificatie. In dit geval dwingt het toegangspunt alle clientapparaten om MAC-adresverificatie uit te voeren voordat ze zich bij het netwerk mogen aansluiten.

   Open verificatie kan ook worden geconfigureerd samen met EAP-verificatie. Het toegangspunt dwingt alle clientapparaten om EAP-verificatie uit te voeren voordat ze zich bij het netwerk mogen aansluiten. Specificeer voor de lijstnaam de lijst met verificatiemethoden.

   Een toegangspunt dat is geconfigureerd voor EAP-verificatie dwingt alle clientapparaten die zijn gekoppeld om EAP-verificatie uit te voeren. Clientapparaten die geen EAP gebruiken, kunnen het toegangspunt niet gebruiken.

2. Bind SSID aan een VLAN.

   Om SSID op deze interface toe te laten, bind SSID aan VLAN op de configuratiewijze van SSID.

   router<config-ssid>VLAN 1

3. Configureer de SSID met open verificatie.

   router<configuratie-side>#verificatie geopend

4. Configureer de radio-interface voor de WEP-toets optioneel.

   router<configuratie>#encryptie VLAN 1 mode WEP optioneel

5. Schakel VLAN in op de radio-interface.

   router<configuratie>#interface Dot11Radio 0.1

   router<config-subif>#encapsulation dot1Q 1

   router<configuratie-subif>#bridge-group 1

De interne DHCP-server configureren voor de draadloze clients van dit VLAN

Typ deze opdrachten in de globale configuratiemodus om de interne DHCP-server te configureren voor de draadloze clients van dit VLAN:

• IP DHCP uitgesloten-adres 10.1.1.1 10.1.1.5

• IP DHCP-pool geopend

Typ de volgende opdrachten in de configuratiemodus van de DHCP-pool:

• netwerk 10.1.0.0 255.255.0.0

• standaard-router 10.1.1.1

802.1x/EAP-verificatie configureren

Dit verificatietype biedt het hoogste beveiligingsniveau voor uw draadloze netwerk. Dankzij het EAP (Extensible Verification Protocol), dat wordt gebruikt voor de interactie met een EAP-compatibele RADIUS-server, helpt het toegangspunt een draadloos clientapparaat en de RADIUS-server wederzijdse verificatie uit te voeren en een dynamische WEP-sleutel voor unicast af te leiden. De RADIUS-server stuurt de WEP-toets naar het access point, dat deze gebruikt voor alle unicastgegevenssignalen die worden verzonden naar of ontvangen van de client.

Zie EAP-verificatie voor meer informatie.

In dit voorbeeld wordt de configuratie gebruikt:

• Naam SSID: sprong

• VLAN 2

• Intern DHCP-serverbereik: 10.2.0.0/16

In dit voorbeeld wordt LEAP-verificatie gebruikt als het mechanisme voor het verifiëren van de draadloze client.

N.B.: Raadpleeg Cisco Secure ACS voor Windows v3.2 Met EAP-TLS-systeemverificatie om EAP-TLS te configureren.

N.B.: Raadpleeg Cisco Secure ACS voor Windows v3.2 met PEAP-MS-CHAPv2-machineverificatie configureren om PEAP-MS-CHAPv2 te configureren.

Opmerking: Ga ervan uit dat alle configuratie van deze EAP-typen voornamelijk de configuratiewijzigingen aan de clientzijde en aan de verificatieserverzijde impliceert. De configuratie op de draadloze router of het toegangspunt blijft min of meer hetzelfde voor al deze verificatietypen.

Opmerking: zoals in eerste instantie vermeld, wordt bij deze installatie de lokale RADIUS-server op de draadloze ISR gebruikt om draadloze clients met 802.1x-verificatie te verifiëren.

Voltooi deze acties op de router:

1. Configureer de geïntegreerde routing en bridging (IRB) en stel de Bridge Group in

2. De overbrugde virtuele interface (BVI) configureren

3. De lokale RADIUS-server voor EAP-verificatie configureren

4. De SSID configureren voor 802.1x/EAP-verificatie

5. De interne DHCP-server configureren voor de draadloze clients van dit VLAN

Configureer de geïntegreerde routing en bridging (IRB) en stel de Bridge Group in

Voltooi deze acties:

1. Schakel IRB in de router in.

   router<configureren>#bridge irb

   Opmerking: Als alle beveiligingstypen op één router moeten worden geconfigureerd, is het voldoende om IRB slechts eenmaal wereldwijd op de router in te schakelen. Het hoeft niet voor elk afzonderlijk verificatietype te worden ingeschakeld.

2. Definieer een bruggroep.

   Dit voorbeeld gebruikt bridge-group nummer 2.

   router<configureren>#bridge 2

3. Kies het overspannen - boomprotocol voor de bruggroep.

   Hier, wordt het IEEE dat overspant - het boomprotocol gevormd voor deze bruggroep.

   router<configureren>#bridge 2-protocolonderdeel

4. Kies het overspannen - boomprotocol voor de bruggroep.

   Hier, wordt het IEEE dat overspant - het boomprotocol gevormd voor deze bruggroep.

   router<configureren>#bridge 2-protocolonderdeel

5. Laat een BVI toe om routable pakketten te accepteren en te leiden die van zijn overeenkomstige bruggroep worden ontvangen.

   Met dit voorbeeld kan de BVI IP-pakketten accepteren en verzenden.

   router<configureren>#bridge 2 route-ip

De overbrugde virtuele interface (BVI) configureren

Voltooi deze acties:

1. Configureer de BVI.

   Configureer de BVI wanneer u het correspondentnummer van de bruggroep aan de BVI toewijst. Elke bruggroep kan slechts één correspondent hebben. Dit voorbeeld wijst bruggroep nummer 2 aan BVI toe.

   router<configureren>#interface BVI <2>

2. Wijs een IP-adres toe aan de BVI.

   router<config-if>#ip-adres 10.2.1.1 255.255.0.0

   router<configuratie-if>#no closed

De lokale RADIUS-server voor EAP-verificatie configureren

Zoals eerder vermeld, maakt dit document gebruik van een lokale RADIUS-server op de draadloze bewuste router voor EAP-verificatie.

1. Schakel het AAA-toegangscontrolemodel (verificatie, autorisatie en accounting) in.

   router<configureren>#aaa nieuw-model

2. Maak een routebeschrijving voor de servergroep voor de RADIUS-server.

   router<configureren>#aaa group server radius rad-gap server 10.2.1.1 auth-poorts 1812 poort-poort 1813

3. Maak een methodelijst eap_methods die een lijst maakt van de verificatiemethode die gebruikt wordt om de AAA login gebruiker te authenticeren. Wijs de methodelijst aan deze servergroep toe.

   router<configureren>#aaa verificatie login eap_methods groep rad-eap

4. Schakel de router in als een lokale verificatieserver en voer de configuratiemodus voor de verificator in.

   router<configureren>#radius-server lokaal

5. Voeg in de configuratiemodus Radius Server de router toe als AAA-client van de lokale verificatieserver.

   Cisco-toets<config-radsrv>#nas 10.2.1.1

6. Configureer gebruiker user1 op de lokale Radius-server.

   router<configuratie-radsrv>#user1 wachtwoord user1 groep leeskaart

7. Specificeer de RADIUS-serverhost.

   router<config-radrv>#radius-server host 10.2.1.1 auth-port 1812 act-port 1813 key cisco

   Opmerking: deze toets moet dezelfde zijn als de toets die in nas-opdracht is gespecificeerd onder radiuserver-configuratiemodus.

De SSID configureren voor 802.1x/EAP-verificatie

De configuratie van de radio-interface en de bijbehorende SSID voor 802.1x/EAP omvat de configuratie van verschillende draadloze parameters op de router, waaronder de SSID, de coderingsmodus en het verificatietype. Dit voorbeeld gebruikt de SSID genaamd leap.

1. Schakel de radio-interface in.

   Ga om de radio-interface in te schakelen naar de DOT11-configuratiemodus voor de radio-interface en wijs een SSID toe aan de interface.

   router<configuratie>#interface dot11radio0

   router<configuratie-if>#no shutdown

   router<configuratie-if>#ssid leap

2. Bind SSID aan een VLAN.

   Om SSID op deze interface toe te laten, bind SSID aan VLAN op de configuratiewijze van SSID.

   router<configuratie-side>#vlan 2

3. Configureer de SSID met 802.1x/LEAP-verificatie.

   router<configuratie-side>#verificatie netwerk-eap eap_methods

4. Configureer de radio-interface voor dynamisch sleutelbeheer.

   router<configuratie>#encryptie VLAN 2 mode-algoritmen wep40

5. Schakel VLAN in op de radio-interface.

   router<configuratie>#interface Dot11Radio 0.2

   router<config-subif>#encapsulation dot1Q 2

   router<configuratie-subif>#bridge-group 2

De interne DHCP-server configureren voor de draadloze clients van dit VLAN

Typ deze opdrachten in de globale configuratiemodus om de interne DHCP-server te configureren voor de draadloze clients van dit VLAN:

• IP DHCP uitgesloten-adres 10.2.1.1 10.2.1.5

• ip Dhcp zwembad luipaard

Typ de volgende opdrachten in de configuratiemodus van de DHCP-pool:

• netwerk 10.2.0.0 255.255.0.0

• standaard-router 10.2.1.1

WPA-sleutelbeheer

Wi-Fi Protected Access is een op standaarden gebaseerde, interoperabele beveiligingsverbetering die het niveau van gegevensbescherming en toegangscontrole voor huidige en toekomstige draadloze LAN-systemen sterk verhoogt.

Zie WPA Key Management voor meer informatie.

Het beheer van de WPA-sleutel ondersteunt twee elkaar uitsluitende beheerstypen: WPA-Pre-Shared Key (WPA-PSK) en WPA (met EAP).

WPA-PSK configureren

WPA-PSK wordt gebruikt als een sleutelbeheertype op een draadloos LAN waar geen 802.1x-gebaseerde verificatie beschikbaar is. In dergelijke netwerken moet u een vooraf gedeelde sleutel op het toegangspunt configureren. U kunt de vooraf gedeelde sleutel invoeren als ASCII- of hexadecimale tekens. Als u de sleutel invoert als ASCII-tekens, voert u tussen de 8 en 63 tekens in en het toegangspunt breidt de sleutel uit met het proces dat wordt beschreven in de op wachtwoord gebaseerde Cryptografie-standaard (RFC2898). Als u de toets als hexadecimale tekens invoert, moet u 64 hexadecimale tekens invoeren.

In dit voorbeeld wordt de configuratie gebruikt:

• SSID-naam: wpa-shared

• VLAN 3

• Intern DHCP-serverbereik: 10.3.0.0/16

Voltooi deze acties op de router:

1. Configureer de geïntegreerde routing en bridging (IRB) en stel de Bridge Group in

2. De overbrugde virtuele interface (BVI) configureren

3. De SSID voor WPA-PSK-verificatie configureren

4. De interne DHCP-server configureren voor de draadloze clients van dit VLAN

Configureer de geïntegreerde routing en bridging (IRB) en stel de Bridge Group in

Voltooi deze acties:

1. Schakel IRB in de router in.

   router<configureren>#bridge irb

   Opmerking: Als alle beveiligingstypen op één router moeten worden geconfigureerd, is het voldoende om IRB slechts eenmaal wereldwijd op de router in te schakelen. Het hoeft niet voor elk afzonderlijk verificatietype te worden ingeschakeld.

2. Definieer een bruggroep.

   Dit voorbeeld gebruikt het bridge-group nummer 3.

   router<configureren>#bridge 3

3. Kies het overspannen - boomprotocol voor de bruggroep.

   Het IEEE Spanning Tree Protocol is geconfigureerd voor deze bruggroep.

   router<configureren>#bridge 3-protocolonderdeel

4. Schakel een BVI in om routable pakketten te accepteren en te routeren die worden ontvangen van zijn correspondent bridge-groep.

   Met dit voorbeeld kan de BVI IP-pakketten accepteren en verzenden.

   router<configureren>#bridge 3 route-ip

De overbrugde virtuele interface (BVI) configureren

Voltooi deze acties:

1. Configureer de BVI.

   Configureer de BVI wanneer u het correspondentnummer van de bruggroep aan de BVI toewijst. Elke bruggroep kan slechts één correspondent hebben. Dit voorbeeld wijst bruggroep nummer 3 toe aan de BVI.

   router<configureren>#interface BVI <2>

2. Wijs een IP-adres toe aan de BVI.

   router<config-if>#ip-adres 10.3.1.1 255.255.0.0

   router<configuratie-if>#no closed

De SSID voor WPA-PSK-verificatie configureren

Voltooi deze acties:

1. Schakel de radio-interface in.

   Ga om de radio-interface in te schakelen naar de DOT11-configuratiemodus voor de radio-interface en wijs een SSID toe aan de interface.

   router<configuratie>#interface dot11radio0

   router<configuratie-if>#no shutdown

   router<configuratie-indien>#ssid wpa-gedeeld

2. Om WPA-sleutelbeheer in te schakelen, moet u eerst het WPA-encryptie-algoritme voor de VLAN-interface configureren. Dit voorbeeld gebruikt tkip als encryptie-algoritme..

   Typ deze opdracht om het beheertype WPA-sleutel op de radio-interface te specificeren.

   router<configuratie>#interface dot11radio0

   router (config-als) tkip #encryptie VLAN 3 mode

3. Bind SSID aan een VLAN.

   Om SSID op deze interface toe te laten, bind SSID aan VLAN op de configuratiewijze van SSID.

   router<configuratie-slip>vlan 3

4. Configureer de SSID met WPA-PSK-verificatie.

   U moet EAP-verificatie voor openen of netwerk eerst configureren in de SSID-configuratiemodus om WPA-sleutelbeheer mogelijk te maken. In dit voorbeeld wordt de open verificatie geconfigureerd.

   router<configuratie>#interface dot11radio0

   router<configuratie-indien>#ssid wpa-gedeeld

   router<configuratie-side>#verificatie geopend

   Schakel nu WPA-sleutelbeheer in op de SSID. De toetsencombinatie voor beheeralgoritme is al geconfigureerd voor dit VLAN.

   router (config-if-ssid) #authenticatie sleutelbeheersplatform

   Configureer de WPA-PSK-verificatie op de SSID.

   router (config-if-ssid)#wpa-psk ascii 1234567890 !— 1234567890 is de vooraf gedeelde sleutelwaarde voor deze SSID. Zorg ervoor dat aan de clientzijde dezelfde sleutel voor deze SSID is opgegeven.

5. Schakel VLAN in op de radio-interface.

   router<configuratie>#interface Dot11Radio 0.3

   router<config-subif>#encapsulation dot1Q 3

   router<configuratie-subif>#bridge-group 3

De interne DHCP-server configureren voor de draadloze clients van dit VLAN

Typ deze opdrachten in de globale configuratiemodus om de interne DHCP-server te configureren voor de draadloze clients van dit VLAN:

• IP DHCP uitgesloten-adres 10.3.1.1 10.3.1.5

• IP DHCP-pool wpa-psk

Typ de volgende opdrachten in de configuratiemodus van de DHCP-pool:

• netwerk 10.3.0.0 255.255.0.0

• standaard-router 10.3.1.1

WPA (met EAP)-verificatie configureren

Dit is een ander beheerstype van de WPA-sleutel. Hier verifiëren clients en de verificatieserver elkaar met een EAP-verificatiemethode en genereren de client en server een paarsgewijze hoofdsleutel (PMK). Met WPA genereert de server de PMK dynamisch en geeft deze door aan het toegangspunt, maar met WPA-PSK configureert u een vooraf gedeelde sleutel op zowel de client als het toegangspunt, en die vooraf gedeelde sleutel wordt gebruikt als de PMK.

Raadpleeg WPA met EAP-verificatie voor meer informatie.

In dit voorbeeld wordt de configuratie gebruikt:

• SSID naam: wpa-dot1x

• VLAN 4

• Intern DHCP-serverbereik: 10.4.0.0/16

Voltooi deze acties op de router:

1. Configureer de geïntegreerde routing en bridging (IRB) en stel de Bridge Group in

2. De overbrugde virtuele interface (BVI) configureren

3. Configureer de lokale RADIUS-server voor WPA-verificatie.

4. De SSID voor WPA configureren met EAP-verificatie

5. De interne DHCP-server configureren voor de draadloze clients van dit VLAN

Configureer de geïntegreerde routing en bridging (IRB) en stel de Bridge Group in

Voltooi deze acties:

1. Schakel IRB in de router in.

   router<configureren>#bridge irb

   Opmerking: Als alle beveiligingstypen op één router moeten worden geconfigureerd, is het voldoende om IRB slechts eenmaal wereldwijd op de router in te schakelen. Het hoeft niet voor elk afzonderlijk verificatietype te worden ingeschakeld.

2. Definieer een Bridge-groep.

   Dit voorbeeld gebruikt bridge-group nummer 4.

   router<configureren>#bridge 4

3. Selecteer het overspannen - boomprotocol voor de bruggroep.

   Hier, wordt het IEEE dat overspant - het boomprotocol gevormd voor deze bruggroep.

   router<configureren>#bridge 4-protocolonderdeel

4. Schakel een BVI in om de routable pakketten te accepteren en te leiden die van zijn correspondent bridge-groep worden ontvangen.

   Met dit voorbeeld kan de BVI IP-pakketten accepteren en verzenden.

   router<configureren>#bridge 4 route-ip

De overbrugde virtuele interface (BVI) configureren

Voltooi deze acties:

1. Configureer de BVI.

   Configureer de BVI wanneer u het correspondentnummer van de bruggroep aan de BVI toewijst. Elke bruggroep kan slechts één corresponderende BVI hebben. Dit voorbeeld wijst bruggroep nummer 4 toe aan de BVI.

   router<configureren>#interface BVI <4>

2. Wijs een IP-adres toe aan de BVI.

   router<config-if>#ip-adres 10.4.1.1 255.255.0.0

   router<configuratie-if>#no closed

De lokale RADIUS-server voor WPA-verificatie configureren

Raadpleeg het gedeelte onder 802.1x/EAP-verificatie voor de gedetailleerde procedure.

De SSID voor WPA configureren met EAP-verificatie

Voltooi deze acties:

1. Schakel de radio-interface in.

   Ga om de radio-interface in te schakelen naar de DOT11-configuratiemodus voor de radio-interface en wijs een SSID toe aan de interface.

   router<configuratie>#interface dot11radio0

   router<configuratie-if>#no shutdown

   router<config-if>#ssid wpa-dot1x

2. Om WPA-sleutelbeheer in te schakelen, moet u eerst het WPA-encryptie-algoritme voor de VLAN-interface configureren. Dit voorbeeld gebruikt tkip als encryptie-algoritme..

   Typ deze opdracht om het beheertype WPA-sleutel op de radio-interface te specificeren.

   router<configuratie>#interface dot11radio0

   router (config-if) tikken #encryptie VLAN 4 modemalgoritmen

3. Bind SSID aan een VLAN.

   Om de SSID op deze interface in te schakelen, bind de SSID aan het VLAN in de SSID-configuratiemodus.

   VLAN 4

4. Configureer de SSID met de WPA-PSK-verificatie.

   Als u de radio-interface voor WPA met EAP-verificatie wilt configureren, moet u eerst de gekoppelde SSID voor EAP configureren.

   router<configuratie>#interface dot11radio0

   router<configuratie-indien>#ssid wpa-gedeeld

   router<configuratie-ssid>#verificatie netwerk eap_methods

5. Schakel nu het beheer van de WPA-toets in op de SSID. De toetsencombinatie voor beheeralgoritme is al geconfigureerd voor dit VLAN.

   router (config-if-ssid) #authenticatie sleutelbeheersplatform

6. Schakel VLAN in op de radio-interface.

   router<configuratie>#interface Dot11Radio 0.4

   router<config-subif>#encapsulation dot1Q 4

   router<configuratie-subif>#bridge-group 4

De interne DHCP-server configureren voor de draadloze clients van dit VLAN

Typ deze opdrachten in de globale configuratiemodus om de interne DHCP-server te configureren voor de draadloze clients van dit VLAN:

• IP DHCP uitgesloten-adres 10.4.1.1 10.4.1.5

• IP DHCP-pool wpa-dot1 gedeeld

Typ de volgende opdrachten in de configuratiemodus van de DHCP-pool:

• netwerk 10.4.0.0 255.255.0.0

• standaard-router 10.4.1.1

Draadloze client voor verificatie configureren

Nadat u de ISR hebt geconfigureerd, configureer de draadloze client voor verschillende verificatietypen zoals wordt uitgelegd, zodat de router deze draadloze clients kan verifiëren en toegang kan verlenen tot het WLAN-netwerk. Dit document gebruikt Cisco Aironet Desktop Utility (ADU) voor configuratie aan de clientzijde.

De draadloze client voor open verificatie configureren

Voer de volgende stappen uit:

1. Klik in het venster Profielbeheer op de ADU op Nieuw om een nieuw profiel te maken.

   Er verschijnt een nieuw venster waarin u de configuratie voor open verificatie kunt instellen. Voer op het tabblad Algemeen de profielnaam en de SSID in die de clientadapter gebruikt.

   In dit voorbeeld zijn de profielnaam en de SSID geopend.

   Opmerking: de SSID moet overeenkomen met de SSID die u op de ISR hebt geconfigureerd voor open verificatie.

   

2. Klik op het tabblad Beveiliging en laat de beveiligingsoptie als Geen voor WEP-versleuteling staan. Aangezien dit voorbeeld WEP als optioneel gebruikt, kan de client door deze optie op Geen in te stellen met succes geassocieerd worden met en communiceren met het WLAN-netwerk.

   Klik op OK

   

3. Selecteer het venster Geavanceerd op het tabblad Profielbeheer en stel de 802.11-verificatiemodus in als Openen voor open verificatie.

   

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

1. Klik nadat het clientprofiel is gemaakt op Activeren onder het tabblad Profielbeheer om het profiel te activeren.

   

2. Controleer de ADU-status voor een succesvolle verificatie.

   

De draadloze client configureren voor 802.1x/EAP-verificatie

Voer de volgende stappen uit:

1. Klik in het venster Profielbeheer op de ADU op Nieuw om een nieuw profiel te maken.

   Er verschijnt een nieuw venster waarin u de configuratie voor open verificatie kunt instellen. Voer op het tabblad Algemeen de profielnaam en de SSID in die de clientadapter gebruikt.

   In dit voorbeeld zijn de profielnaam en de SSID sprong.

2. Klik onder Profielbeheer op het tabblad Beveiliging, stel de beveiligingsoptie in op 802.1x en kies het juiste EAP-type. In dit document wordt LEAP gebruikt als het EAP-type voor verificatie. Klik nu op Configureren om LEAP-gebruikersnaam en wachtwoordinstellingen te configureren.

   Opmerking: Opmerking: de SSID moet overeenkomen met de SSID die u op de ISR hebt geconfigureerd voor 802.1x/EAP-verificatie.

   

3. In dit voorbeeld wordt onder Gebruikersnaam en wachtwoord instellingen handmatig gevraagd om Gebruikersnaam en Wachtwoord, zodat de client wordt gevraagd de juiste gebruikersnaam en wachtwoord in te voeren terwijl de client probeert verbinding te maken met het netwerk. Klik op OK.

   

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

• Klik nadat het clientprofiel is gemaakt op Activeren onder het tabblad Profielbeheer om de profielstap te activeren. Er wordt u gevraagd om de nieuwe gebruikersnaam en het nieuwe wachtwoord. Dit voorbeeld gebruikt de gebruikersnaam en het wachtwoord user1. Klik op OK.

• U kunt kijken naar de client met succes verifiëren en een IP-adres toegewezen krijgen van de DHCP-server die op de router is geconfigureerd.

  

De draadloze client voor WPA-PSK-verificatie configureren

Voer de volgende stappen uit:

1. Klik in het venster Profielbeheer op de ADU op Nieuw om een nieuw profiel te maken.

   Er verschijnt een nieuw venster waarin u de configuratie voor open verificatie kunt instellen. Voer op het tabblad Algemeen de profielnaam en de SSID in die de clientadapter gebruikt.

   In dit voorbeeld worden de profielnaam en de SSID wpa-gedeeld.

   Opmerking: de SSID moet overeenkomen met de SSID die u op de ISR hebt ingesteld voor WPA-PSK-verificatie.

2. Klik onder Profielbeheer op het tabblad Beveiliging en stel de beveiligingsoptie in als WPA/WPA2-wachtwoordgroep. Klik nu op Configureren om de WPA-wachtwoordgroep te configureren.

   

3. Definieer een Vooraf gedeelde sleutel met WPA. De toets moet 8 tot 63 ASCII-tekens lang zijn. Klik op OK.

   

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

• Klik nadat het clientprofiel is gemaakt op Activeren onder het tabblad Profielbeheer om het gedeelde profiel te activeren.

• Controleer de ADU op een succesvolle verificatie.

  

De draadloze client voor WPA (met EAP)-verificatie configureren

Voer de volgende stappen uit:

1. Klik in het venster Profielbeheer op de ADU op Nieuw om een nieuw profiel te maken.

   Er verschijnt een nieuw venster waarin u de configuratie voor open verificatie kunt instellen. Voer op het tabblad Algemeen de profielnaam en de SSID in die de clientadapter gebruikt.

   In dit voorbeeld zijn de profielnaam en SSID wpa-dot1x.

   Opmerking: de SSID moet overeenkomen met de SSID die u hebt geconfigureerd op de ISR voor WPA (met EAP)-verificatie.

2. Klik onder Profielbeheer op het tabblad Beveiliging, stel de beveiligingsoptie in als WPA/WPA2/CCKM en kies het gewenste WPA/WPA2/CCKM EAP-type. In dit document wordt LEAP gebruikt als het EAP-type voor verificatie. Klik nu op Configureren om LEAP-gebruikersnaam en wachtwoordinstellingen te configureren.

   

3. In het gedeelte Gebruikersnaam en wachtwoordinstellingen vraagt dit voorbeeld handmatig om gebruikersnaam en wachtwoord, zodat de client wordt gevraagd de juiste gebruikersnaam en wachtwoord in te voeren terwijl de client probeert verbinding te maken met het netwerk. Klik op OK.

   

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

1. Klik nadat het clientprofiel is gemaakt op Activeren onder het tabblad Profielbeheer om het profiel wpa-dot1x te activeren. Er wordt u gevraagd om de LEAP-gebruikersnaam en het wachtwoord. Dit voorbeeld gebruikt gebruikersnaam en wachtwoord als gebruiker1. Klik op OK.

   

2. U kunt zien hoe de client met succes wordt geverifieerd.

   

Het bevel toont dot11 verenigingen van de router CLI toont volledige details op de status van de cliëntvereniging. Hierna volgt een voorbeeld.

Associaties van router#show dot11

802.11 Client Stations on Dot11Radio0: 

SSID [leap] : 

MAC Address    IP address      Device        Name            Parent         State     
0040.96ac.e657 10.3.0.2        CB21AG/PI21AG WCS             self         EAP-Assoc

SSID [open] : 

SSID [pre-shared] : DISABLED, not associated with a configured VLAN

SSID [wpa-dot1x] : 

SSID [wpa-shared] : 


Others:  (not related to any ssid) 

Problemen oplossen

Opdrachten voor troubleshooting

U kunt deze debug commando's gebruiken om uw configuratie problemen op te lossen.

• debug dot11 aaa authenticator all —Hiermee wordt de debugging van MAC- en EAP-verificatiepakketten geactiveerd.

• debug radius verificatie-Hier worden de RADIUS-onderhandelingen tussen de server en de client weergegeven.

• debug radius local-server pakketten—Hier wordt de inhoud weergegeven van de RADIUS-pakketten die worden verzonden en ontvangen.

• debug radius local-server client—Hier worden foutmeldingen over mislukte client-verificaties weergegeven.

Gerelateerde informatie

• Configuratievoorbeelden van verificatie van draadloze LAN-controllers
• VLAN’s configureren op access points
• 1800 ISR draadloze router met interne DHCP en open verificatie-configuratievoorbeeld
• Configuratiehandleiding voor Cisco Wireless ISR en HWIC access point
• Configuratie-voorbeeld van draadloze LAN-connectiviteit met een ISR met WEP-encryptie en LEAP-verificatie
• Technische ondersteuning en documentatie – Cisco Systems
• Verificatietypen configureren
• Configuratie-voorbeeld van draadloze LAN-connectiviteit met een ISR met WEP-encryptie en LEAP-verificatie