使用带 WEP 加密和 LEAP 认证的 ISR 连接无线局域网配置示例

简介

本文档介绍如何配置Cisco 870系列集成多业务路由器(ISR)，以便通过WEP加密和LEAP身份验证实现无线LAN连接。

同样的配置适用于任何其他Cisco ISR无线系列型号。

先决条件

要求

尝试进行此配置之前，请确保满足以下要求：

• 了解如何配置Cisco 870系列ISR的基本参数。

• 了解如何使用Aironet桌面实用程序(ADU)配置802.11a/b/g无线客户端适配器。

有关如何配置802.11a/b/g客户端适配器的信息，请参阅Cisco Aironet 802.11a/b/g无线LAN客户端适配器（CB21AG和PI21AG）安装和配置指南，版本2.5。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 运行Cisco IOS®软件版本12.3(8)YI1的Cisco 871W ISR

• 带Aironet桌面实用程序2.5版的笔记本电脑

• 运行固件版本2.5的802.11 a/b/g客户端适配器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

网络图

本文档使用此网络设置。

在此设置中，无线LAN客户端与870路由器关联。870路由器上的内部动态主机配置协议(DHCP)服务器用于为无线客户端提供IP地址。在870 ISR和WLAN客户端上启用WEP加密。LEAP身份验证用于验证无线用户，870路由器上的本地RADIUS服务器功能用于验证凭证。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

871W路由器配置

完成以下步骤，将871W ISR配置为接入点，以接受来自无线客户端的关联请求。

1. 配置集成路由和桥接(IRB)并设置网桥组。

   在全局配置模式下键入这些命令以启用IRB。

   WirelessRouter<config>#bridge irb
   
   
   !--- Enables IRB.
   
   WirelessRouter<config>#bridge 1 protocol ieee
    
    !--- Defines the type of Spanning Tree Protocol as ieee.
   
   WirelessRouter<config>#bridge 1 route ip
   
   
   !--- Enables the routing of the specified protocol in a bridge group.
   
   

2. 配置桥接虚拟接口(BVI)。

   为BVI分配IP地址。在全局配置模式下键入这些命令。

   WirelessRouter<config>#interface bvi1
   
    !--- Enter interface configuration mode for the BVI.
   
   WirelessRouter<config-if>#ip address 172.16.1.100 255.255.0.0
   
   
   

   有关接入点中网桥组功能的详细信息，请参阅将VLAN与Cisco Aironet无线设备配合使用的接入点和网桥上的网桥组配置部分。

3. 在871W ISR上配置内部DHCP服务器功能。

   路由器上的内部DHCP服务器功能可用于为与路由器关联的无线客户端分配IP地址。在全局配置模式下完成这些命令。

   WirelessRouter<config>#ip dhcp excluded-address 172.16.1.100 172.16.1.100
   
   
   !--- Excludes IP addresses from the DHCP pool. !--- This address is used on the BVI interface, so it is excluded.
   
   
   WirelessRouter<config>#ip dhcp pool 870-ISR
   
   WirelessRouter<dhcp-config>#network 172.16.1.0 255.255.0.0
   
   

   注意：还应将客户端适配器配置为接受来自DHCP服务器的IP地址。

4. 将871W ISR配置为本地RADIUS服务器。

   在全局配置模式下，键入以下命令将871W ISR配置为本地RADIUS服务器。

   WirelessRouter<config>#aaa new-model
   
   !--- Enable the authentication, authorization, and accounting !--- (AAA) access control model.
   
   
   WirelessRouter<config>#radius-server local
   
   !--- Enables the 871 wireless-aware router as a local !--- authentication server and enters into configuration !--- mode for the authenticator.
   
   WirelessRouter<config-radsrv)#nas 172.16.1.100 key Cisco
   
   
   !--- Adds the 871 router to the list of devices that use !--- the local authentication server.
   
   WirelessRouter<config-radsrv>#user ABCD password ABCD
   
   WirelessRouter<config-radsrv)#user XYZ password XYZ
   
   
   !--- Configure two users ABCD and XYZ on the local RADIUS server.
   
   WirelessRouter<config-radsrv)#exit
   WirelessRouter<config>#radius-server host 172.16.1.100 auth-port 1812 acct-port 1813 key Cisco
   
   
   !--- Specifies the RADIUS server host.
   
   

   注意：使用端口1812和1813对本地RADIUS服务器进行身份验证和记帐。

   WirelessRouter<config>#aaa group server radius rad_eap
   
   
   !--- Maps the RADIUS server to the group rad_eap 
   . 
   WirelessRouter<config-sg-radius>#server 172.16.1.100 auth-port 1812 acct-port 1813
   
   
   !--- Define the server that falls in the group rad_eap.
   
   WirelessRouter<config>#aaa authentication login eap_methods group rad_eap
   
   
   !--- Enable AAA login authentication.
   
   

5. 配置无线电接口。

   无线接口的配置涉及在路由器上配置各种无线参数，包括SSID、加密模式、身份验证类型、速度和无线路由器的角色。本示例使用名为Test的SSID。

   键入以下命令以在全局配置模式下配置无线电接口。

   WirelessRouter<config>#interface dot11radio0
   
   !--- Enter radio interface configuration mode.
   
   WirelessRouter<config-if>#ssid Test
   
   
   !--- Configure an SSID test.
   
   irelessRouter<config-ssid>#authentication open eap eap_methods
   
   WirelessRouter<config-ssid>#authentication network-eap eap_methods
   
   
   !--- Expect that users who attach to SSID 'Test' !--- are requesting authentication with the type 128 !--- Network Extensible Authentication Protocol (EAP) !--- authentication bit set in the headers of those requests. !--- Group these users into a group called 'eap_methods'.
   
   WirelessRouter<config-ssid>#exit
   
   !--- Exit interface configuration mode.
   
   WirelessRouter<config-if>#encryption mode wep mandatory
   
   !--- Enable WEP encryption.
   
   WirelessRouter<config-if>#encryption key 1 size 128 1234567890ABCDEF1234567890
   
   
   !--- Define the 128-bit WEP encryption key.
   
   WirelessRouter<config-if>#bridge-group 1
   
   WirelessRouter<config-if>#no shut
   
   !--- Enables the radio interface.
   
   

   完成此过程后，870路由器会接受来自无线客户端的关联请求。

   在路由器上配置EAP身份验证类型时，建议同时选择Network-EAP和Open with EAP作为身份验证类型，以避免任何身份验证问题。

   WirelessRouter<config-ssid>#authentication network-eap eap_methods
   
   WirelessRouter<config-ssid>#authentication open eap eap_methods
   
   

   注意：本文档假设网络只有思科无线客户端。

   注意：使用命令查找工具(仅限注册客户)可查找有关本文档中使用的命令的详细信息。

客户端适配器配置

完成以下步骤以配置客户端适配器。此过程在ADU上创建名为870-ISR的新配置文件，作为示例。此过程还使用测试作为SSID，并在客户端适配器上启用LEAP身份验证。

1. 单击New在ADU的Profile Management窗口中创建新配置文件。在General选项卡下输入客户端适配器使用的Profile Name和SSID。

   在本例中，配置文件名为870-ISR,SSID为Test。

   注意：SSID必须与您在871W ISR上配置的SSID完全匹配。SSID 区分大小写。

   

2. 转到Security选项卡，选择802.1x，然后从802.1x EAP Type菜单中选择LEAP。

   此操作在客户端适配器上启用LEAP身份验证。

   

3. 单击Configure以定义LEAP设置。

   此配置选择“自动提示用户名和密码”选项。通过选择此选项可以在进行 LEAP 身份验证时手动输入用户名和口令。

   

4. 单击OK退出“Profile Management”窗口。

5. 单击Activate在客户端适配器上启用此配置文件。

   

验证

使用本部分可确认配置能否正常运行。

配置客户端适配器和870路由器后，激活客户端适配器上的配置文件870-ISR以验证配置。

在显示“输入无线网络密码”窗口时输入用户名和密码。这些应与871W ISR中配置的相对应。本示例中使用的一个配置文件是用户名ABCD和密码ABCD。

系统将显示LEAP Authentication Status窗口。此窗口根据本地RADIUS服务器验证用户凭证。

检查ADU Current Status（ADU当前状态）以验证客户端是否使用WEP加密和LEAP身份验证。

命令输出解释程序（仅限注册用户）(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

• show dot11 association — 验证870路由器上的配置。

  WirelessRouter#show dot11 association
  
  802.11 Client Stations on Dot11Radio0:
  
  SSID [Test]:
  
  MAC Address     IP Address     Device         Name     Parent    State
  0040.96ac.dd05   172.16.1.99   CB21AG/PI21AG  LAPTOP-1  self    EAP-Associated
  
  Others:  (not related to any ssid)

• show ip dhcp binding — 通过DHCP服务器验证客户端是否具有IP地址。

  WirelessRouter#show ip dhcp binding
  Bindings from all pools not associated with VRF:
  IP address        Client-ID/       Lease expiration      Type
                  Hardware address/
                  User name
  172.16.1.99     0040.96ac.dd05     Feb 6 2006 10:11 PM  Automatic

故障排除

此部分提供故障排除信息与此配置有关。

1. 将SSID上的方法设置为Open，以临时禁用身份验证。

   这消除了射频(RF)问题阻碍身份验证成功的可能性。

   • 从CLI使用no authentication open eap_methods、no authentication network-eap_methods 和authentication open 命令。

   如果客户端成功关联，则RF不会导致关联问题

2. 检查无线路由器上配置的WEP密钥是否与客户端上配置的WEP密钥匹配。

   如果WEP密钥不匹配，客户端将无法与无线路由器通信。

3. 验证在无线路由器和身份验证服务器之间是否同步了共享密钥密码。

您还可以使用这些debug命令排除配置故障。

• debug dot11 aaa authenticator all — 激活MAC和EAP身份验证数据包的调试。

• debug radius authentication — 显示服务器和客户端之间的RADIUS协商。

• debug radius local-server packets — 显示发送和接收的RADIUS数据包的内容。

• debug radius local-server client — 显示有关失败的客户端身份验证的错误消息。

相关信息

• 加密算法和身份验证类型
• 通过 SDM 的固定 ISR 上的无线认证类型配置示例
• 固定 ISR 上的无线认证类型配置示例
• 思科接入路由器无线配置指南
• 带内部DHCP和开放式认证的1800 ISR无线路由器配置示例
• 无线支持页
• 技术支持和文档 - Cisco Systems