使用PEAP身份验证配置工作组网桥
简介
本文档介绍如何配置工作组网桥(WGB)以连接到802.1X服务集标识符(SSID),该SSID使用带有9800无线局域网控制器(WLC)的受保护可扩展身份验证协议(PEAP)。
先决条件
要求
Cisco 建议您了解以下主题:
- C9800 WLC
- WGB
- 802.1X协议
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 适用于WGB的思科IOS®版本15.3(3)JPN1
- 适用于WLC的思科IOS XE版本17.9.2
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
网络图
在本示例中,IW3702自主接入点(AP)配置为WGB并连接到轻量接入点网络。使用此SSID, dot1XSSID-R,用于连接到WLAN,并使用PEAP进行WGB到网络的身份验证。
配置WGB
要配置WGB,请完成以下步骤:
- 设置主机名。
configure terminal
hostname WGB-Client - 配置时间。时间必须正确,这样证书才能安装在WGB上。
clock set hh:mm:ss dd Month yyyy
example: clock set 15:33:00 15 February 2023 - 配置证书颁发机构(CA)的信任点:
- enrollment terminal — 允许从身份验证器复制/粘贴证书。在本例中,身份服务引擎(ISE)到WGB。
- 吊销 — 检查无。我们告知WGB不要对服务器证书执行任何进一步的验证。此命令对于避免Cisco Bug ID CSCsl07349(仅限注册客户)中描述的问题必不可少。WGB经常取消关联/重新关联,重新连接需要很长时间。
crypto pki trustpoint isecert
enrollment terminal
revocation-check none
- 下载身份验证器证书。
- 获取CA证书的副本。在本示例中,我们使用ISE作为身份验证器服务器。导航到Administration > System > Certificates。
- 确定ISE用于EAP身份验证的证书(Use By列具有EAP身份验证)并下载该证书,如屏幕截图所示。
- 上述步骤会导致
.pem文件.这是要安装在WGB中的证书,以便可以建立隧道并在其中交换凭证。
- 安装CA证书:
- 输入
crypto pki authenticate isecert命令。 - 打开
.pem文件并复制字符串。格式如下:-----BEGIN CERTIFICATE-----
[ ... ]
-----END CERTIFICATE----- - 复制/粘贴CA证书>空白行按
Enter> Enterquit在最后一行上。 - 粘贴来自的文本
.cer在上一步中下载的文件。-----BEGIN CERTIFICATE-----
[ ... ]
-----END CERTIFICATE----
(hit enter)
quit
(hit enter)
Certificate has the following attributes:
Fingerprint: 45EC6866 A66B4D8F 2E05960F BC5C1B76
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
- 输入
- 在WGB上定义身份验证方法,在本例中
peap.conf terminal
eap profile peap
method peap
end - 配置WGB的凭证,在本例中
cred.在这种情况下,请确保添加我们创建的信任点isecert.dot1x credentials CRED
username userWGB
password 7 13061E010803
pki-trustpoint isecert - 在WGB上配置SSID,并确保对EAP配置文件和凭证使用正确的字符串(在本例中)
peap和cred,分别为。
注:对于
authentication open eap <string>命令,您可以输入任何内容。此配置与WGB上的其他命令无关。configure terminal
dot11 ssid dot1XSSID-R
authentication open eap PEAP
authentication key-management wpa
dot1x credentials cred
dot1x eap profile peap
infrastructure-ssid此时,AP配置类似于此示例。输入
show run命令。Building configuration...
version 15.3
!
hostname WGB-Client
!
.....
!
dot11 ssid dot1XSSID-R
authentication open eap PEAP
authentication key-management wpa
dot1x credentials cred
dot1x eap profile peap
infrastructure-ssid
!
eap profile PEAP
method peap
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint isecert
enrollment terminal
revocation-check none
!
crypto pki certificate chain isecert
certificate ca 5CC74BD9508B78AF4AB5C5F84C32AC2A
...
C3B7249C F75C4525 D02A40AB 50E19196 9D1C2853 8BAEFDFC 1CE1945E 1CABC51B AFF5
quit
!
dot1x credentials PEAP
username userWGB
password 7 13061E010803
pki-trustpoint isecert
!
....
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid dot1XSSID-R
!
antenna gain 0
station-role workgroup-bridge
bridge-group 1
bridge-group 1 spanning-disabled
!
.....
验证
使用本部分可确认配置能否正常运行。
要验证WGB上的关联,请显示dot11关联。
来自WLC的WGB关联如下所示:
9800#show wireless client summary
Number of Clients: 3
MAC Address AP Name Type ID State Protocol Method Role
-------------------------------------------------------------------------------------------------------------------------
843d.c6e8.76e0 AP687D.B45C.46E8 WLAN 3 RUN 11ac Dot1x Local
9800-rafenriq#show wireless wgb summary
Number of WGBs: 1
MAC Address AP Name WLAN State Clients
---------------------------------------------------------------------------------
843d.c6e8.76e0 AP687D.B45C.46E8 3 RUN 2
9800-rafenriq#show wireless wgb mac-address 843d.c6e8.76e0 detail
Work Group Bridge
MAC Address : 843d.c6e8.76e0
AP Name : AP687D.B45C.46E8
WLAN ID : 3
State : RUN
Number of Clients: 2
故障排除
本部分提供的信息可用于对配置进行故障排除。
调试工作组网桥
要调试WGB,请输入以下命令:
debug aaa authentication
debug dot11 supp-sm-dot1
在WLC中调试WGB
由于WGB充当另一个无线客户端,请参阅Catalyst 9800客户端连接问题故障排除流程,以便在9800 WLC上收集跟踪和捕获。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
22-Feb-2023 |
已更新9800 WLC和WGB的新版本。 |
1.0 |
14-Jan-2013 |
初始版本 |
反馈