使用帶WEP加密的ISR和LEAP身份驗證的無線區域網連線配置示例

簡介

本文檔介紹如何使用WEP加密和LEAP身份驗證為無線LAN連線配置Cisco 870系列整合服務路由器(ISR)。

相同的配置適用於任何其他思科ISR無線系列型號。

必要條件

需求

嘗試此組態之前，請確保符合以下要求：

• 瞭解如何配置Cisco 870系列ISR的基本引數。

• 瞭解如何使用Aironet案頭實用程式(ADU)配置802.11a/b/g無線客戶端介面卡。

有關如何配置802.11a/b/g客戶端介面卡的資訊，請參閱Cisco Aironet 802.11a/b/g無線LAN客戶端介面卡（CB21AG和PI21AG）安裝及設定指南2.5版。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 運行Cisco IOS®軟體版本12.3(8)YI1的Cisco 871W ISR

• 採用Aironet台式機實用程式2.5版的筆記型電腦

• 運行韌體版本2.5的802.11 a/b/g客戶端介面卡

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

網路圖表

本檔案會使用此網路設定。

在此設定中，無線LAN客戶端與870路由器關聯。870路由器上的內部動態主機配置協定(DHCP)伺服器用於向無線客戶端提供IP地址。在870 ISR和WLAN客戶端上啟用WEP加密。LEAP身份驗證用於驗證無線使用者，而870路由器上的本地RADIUS伺服器功能用於驗證憑證。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

871W路由器配置

完成以下步驟，將871W ISR配置為接入點，以接受來自無線客戶端的關聯請求。

1. 配置整合路由和橋接(IRB)並設定網橋組。

   在全域性配置模式下鍵入這些命令以啟用IRB。

   WirelessRouter<config>#bridge irb
   
   
   !--- Enables IRB.
   
   WirelessRouter<config>#bridge 1 protocol ieee
    
    !--- Defines the type of Spanning Tree Protocol as ieee.
   
   WirelessRouter<config>#bridge 1 route ip
   
   
   !--- Enables the routing of the specified protocol in a bridge group.
   
   

2. 設定橋接虛擬介面(BVI)。

   為BVI分配IP地址。在全域性配置模式下鍵入這些命令。

   WirelessRouter<config>#interface bvi1
   
    !--- Enter interface configuration mode for the BVI.
   
   WirelessRouter<config-if>#ip address 172.16.1.100 255.255.0.0
   
   
   

   如需存取點中橋接群組功能的詳細資訊，請參閱將VLAN與Cisco Aironet無線裝置搭配使用的存取點和橋接器上的橋接群組組態一節。

3. 在871W ISR上配置內部DHCP伺服器功能。

   路由器上的內部DHCP伺服器功能可用於將IP地址分配給與路由器關聯的無線客戶端。在全域性配置模式下完成這些命令。

   WirelessRouter<config>#ip dhcp excluded-address 172.16.1.100 172.16.1.100
   
   
   !--- Excludes IP addresses from the DHCP pool. !--- This address is used on the BVI interface, so it is excluded.
   
   
   WirelessRouter<config>#ip dhcp pool 870-ISR
   
   WirelessRouter<dhcp-config>#network 172.16.1.0 255.255.0.0
   
   

   注意：還應將客戶端介面卡配置為接受DHCP伺服器的IP地址。

4. 將871W ISR配置為本地RADIUS伺服器。

   在全域性配置模式下，鍵入這些命令將871W ISR配置為本地RADIUS伺服器。

   WirelessRouter<config>#aaa new-model
   
   !--- Enable the authentication, authorization, and accounting !--- (AAA) access control model.
   
   
   WirelessRouter<config>#radius-server local
   
   !--- Enables the 871 wireless-aware router as a local !--- authentication server and enters into configuration !--- mode for the authenticator.
   
   WirelessRouter<config-radsrv)#nas 172.16.1.100 key Cisco
   
   
   !--- Adds the 871 router to the list of devices that use !--- the local authentication server.
   
   WirelessRouter<config-radsrv>#user ABCD password ABCD
   
   WirelessRouter<config-radsrv)#user XYZ password XYZ
   
   
   !--- Configure two users ABCD and XYZ on the local RADIUS server.
   
   WirelessRouter<config-radsrv)#exit
   WirelessRouter<config>#radius-server host 172.16.1.100 auth-port 1812 acct-port 1813 key Cisco
   
   
   !--- Specifies the RADIUS server host.
   
   

   注意：使用埠1812和1813進行本地RADIUS伺服器的身份驗證和記帳。

   WirelessRouter<config>#aaa group server radius rad_eap
   
   
   !--- Maps the RADIUS server to the group rad_eap 
   . 
   WirelessRouter<config-sg-radius>#server 172.16.1.100 auth-port 1812 acct-port 1813
   
   
   !--- Define the server that falls in the group rad_eap.
   
   WirelessRouter<config>#aaa authentication login eap_methods group rad_eap
   
   
   !--- Enable AAA login authentication.
   
   

5. 配置無線電介面。

   無線電介面的配置涉及路由器上各種無線引數的配置，包括SSID、加密模式、身份驗證型別、速度和無線路由器的角色。此示例使用名為Test的SSID。

   鍵入這些命令以在全域性配置模式下配置無線電介面。

   WirelessRouter<config>#interface dot11radio0
   
   !--- Enter radio interface configuration mode.
   
   WirelessRouter<config-if>#ssid Test
   
   
   !--- Configure an SSID test.
   
   irelessRouter<config-ssid>#authentication open eap eap_methods
   
   WirelessRouter<config-ssid>#authentication network-eap eap_methods
   
   
   !--- Expect that users who attach to SSID 'Test' !--- are requesting authentication with the type 128 !--- Network Extensible Authentication Protocol (EAP) !--- authentication bit set in the headers of those requests. !--- Group these users into a group called 'eap_methods'.
   
   WirelessRouter<config-ssid>#exit
   
   !--- Exit interface configuration mode.
   
   WirelessRouter<config-if>#encryption mode wep mandatory
   
   !--- Enable WEP encryption.
   
   WirelessRouter<config-if>#encryption key 1 size 128 1234567890ABCDEF1234567890
   
   
   !--- Define the 128-bit WEP encryption key.
   
   WirelessRouter<config-if>#bridge-group 1
   
   WirelessRouter<config-if>#no shut
   
   !--- Enables the radio interface.
   
   

   完成此程式後，870路由器接受來自無線客戶端的關聯請求。

   在路由器上配置EAP身份驗證型別時，建議同時選擇Network-EAP和Open with EAP作為身份驗證型別，以避免出現任何身份驗證問題。

   WirelessRouter<config-ssid>#authentication network-eap eap_methods
   
   WirelessRouter<config-ssid>#authentication open eap eap_methods
   
   

   注意：本檔案假定網路僅具有思科無線使用者端。

   註：使用Command Lookup Tool(僅限註冊客戶)查詢有關本文檔中使用的命令的更多資訊。

客戶端介面卡配置

完成以下步驟以配置客戶端介面卡。例如，此過程在ADU上建立名為870-ISR的新配置檔案。此過程還將測試用作SSID，並在客戶端介面卡上啟用LEAP身份驗證。

1. 按一下New，在ADU的Profile Management視窗中建立新配置檔案。在General頁籤下輸入客戶端介面卡使用的配置檔名稱和SSID。

   在本示例中，配置檔名稱為870-ISR,SSID為Test。

   註：SSID必須與您在871W ISR上配置的SSID完全匹配。SSID區分大小寫。

   

2. 轉到「安全」頁籤，選擇802.1x，然後從802.1x EAP型別選單中選擇LEAP。

   此操作將在客戶端介面卡上啟用LEAP身份驗證。

   

3. 按一下Configure以定義LEAP設定。

   此組態會選擇Automatically Prompt for Username and Password選項。此選項可讓您在LEAP身份驗證發生時手動輸入使用者名稱和密碼。

   

4. 按一下OK退出「Profile Management」視窗。

5. 按一下Activate以在客戶端介面卡上啟用此配置檔案。

   

驗證

使用本節內容，確認您的組態是否正常運作。

配置客戶端介面卡和870路由器後，啟用客戶端介面卡上的配置檔案870-ISR以驗證配置。

在顯示輸入無線網路密碼視窗時輸入使用者名稱和密碼。這些應對應於871W ISR中配置的配置。在此示例中使用的配置檔案之一為使用者名稱ping yi和密碼ping yi。

出現LEAP身份驗證狀態視窗。此視窗驗證本地RADIUS伺服器的使用者憑證。

檢查ADU當前狀態以驗證客戶端是否使用WEP加密和LEAP身份驗證。

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

• show dot11 association — 驗證870路由器上的配置。

  WirelessRouter#show dot11 association
  
  802.11 Client Stations on Dot11Radio0:
  
  SSID [Test]:
  
  MAC Address     IP Address     Device         Name     Parent    State
  0040.96ac.dd05   172.16.1.99   CB21AG/PI21AG  LAPTOP-1  self    EAP-Associated
  
  Others:  (not related to any ssid)

• show ip dhcp binding — 驗證客戶端是否通過DHCP伺服器具有IP地址。

  WirelessRouter#show ip dhcp binding
  Bindings from all pools not associated with VRF:
  IP address        Client-ID/       Lease expiration      Type
                  Hardware address/
                  User name
  172.16.1.99     0040.96ac.dd05     Feb 6 2006 10:11 PM  Automatic

疑難排解

本節提供與此組態相關的疑難排解資訊。

1. 將SSID上的方法設定為Open，以暫時禁用身份驗證。

   如此一來，便消除了射頻(RF)問題導致驗證無法成功的可能性。

   • 在CLI中使用no authentication open eap eap_methods、no authentication network-eap eap_methods和authentication open命令。

   如果客戶端成功關聯，則RF不會導致關聯問題

2. 檢查無線路由器上配置的WEP金鑰與客戶端上配置的WEP金鑰是否匹配。

   如果WEP金鑰不匹配，則客戶端無法與無線路由器通訊。

3. 驗證無線路由器和身份驗證伺服器之間是否同步了共用金鑰密碼。

您也可以使用這些debug指令對組態進行疑難排解。

• debug dot11 aaa authenticator all — 啟用MAC和EAP身份驗證資料包的調試。

• debug radius authentication — 顯示伺服器和客戶端之間的RADIUS協商。

• debug radius local-server packets — 顯示傳送和接收的RADIUS資料包的內容。

• debug radius local-server client — 顯示有關客戶端身份驗證失敗的錯誤消息。

相關資訊

• 加密演算法和身份驗證型別
• 通過SDM配置固定ISR上的無線身份驗證型別示例
• 固定ISR上的無線身份驗證型別配置示例
• 思科接入路由器無線配置指南
• 具有內部DHCP和開放式身份驗證的1800 ISR無線路由器配置示例
• 無線支援頁面
• 技術支援與文件 - Cisco Systems