PEAP認証を使用したワークグループブリッジの設定
概要
このドキュメントでは、9800ワイヤレスLANコントローラ(WLC)でProtected Extensible Authentication Protocol(PEAP)を使用する802.1X Service Set Identifier(SSID)に接続するようにWork Group Bridge(WGB)を設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- C9800 WLC
- WGB
- 802.1Xプロトコル
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- WGB向けCisco IOS®リリース15.3(3)JPN1
- WLC用Cisco IOS XEリリース17.9.2
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
ネットワーク図
この例では、IW3702 Autonomousアクセスポイント(AP)がWGBとして設定され、Lightweightアクセスポイントネットワークに接続します。このSSIDを使用します dot1XSSID-RWLANへの接続に使用し、ネットワークへのWGBの認証にPEAPを使用します。
WGBの設定
WGBを設定するには、次の手順を実行します。
- ホスト名を設定します。
configure terminal
hostname WGB-Client - 時刻を設定します。証明書をWGBにインストールするには、時刻が正しい必要があります。
clock set hh:mm:ss dd Month yyyy
example: clock set 15:33:00 15 February 2023 - 認証局(CA)のトラストポイントを設定します。
- enrollment terminal:オーセンティケータから証明書をコピー/貼り付けることができます。この場合、Identity Services Engine(ISE)からWGBに変更します。
- [revocation]:チェックマークを[none]にします。WGBに対して、サーバ証明書に対してこれ以上の検証を行わないよう指示します。このコマンドは、Cisco Bug ID CSCsl07349(登録ユーザ専用)で説明されている問題を回避するために必要です。WGB は、頻繁に関連付けの解除/再関連付けを行い、再接続するのに長い時間がかかります。
crypto pki trustpoint isecert
enrollment terminal
revocation-check none
- オーセンティケータ証明書をダウンロードします。
- CA証明書のコピーを取得します。この例では、オーセンティケータサーバとしてISEを使用しました。[Administration] > [System] > [Certificates] に移動します。
- スクリーンショットに示すように、ISEがEAP認証に使用する証明書を特定し([Use By]列に[EAP Authentication]が表示されます)、ダウンロードします。
- 前の手順の結果、
.pem出力を提供してください。これはWGBにインストールされる証明書で、トンネルを確立し、そのクレデンシャル内で交換できます。
- CA証明書をインストールします。
- 次を入力します。
crypto pki authenticate isecertコマンドが表示されない場合もあります。 - を開きます。
.pemファイルをテキストエディタにコピーし、文字列をコピーします。形式は次のとおりです。-----BEGIN CERTIFICATE-----
[ ... ]
-----END CERTIFICATE----- - CA証明書をコピーして貼り付け>空白行を押します。
Enter> Enterquit最後の行にだけあります。 - テキストを貼り付ける
.cer前の手順でダウンロードしたファイル。-----BEGIN CERTIFICATE-----
[ ... ]
-----END CERTIFICATE----
(hit enter)
quit
(hit enter)
Certificate has the following attributes:
Fingerprint: 45EC6866 A66B4D8F 2E05960F BC5C1B76
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
- 次を入力します。
- WGBで認証方式を定義します。この場合は、
peap.conf terminal
eap profile peap
method peap
end - WGBのクレデンシャルを設定します(この場合)。
cred.作成したトラストポイントを必ず追加してください。この例では、isecert.dot1x credentials CRED
username userWGB
password 7 13061E010803
pki-trustpoint isecert - WGBでSSIDを設定し、EAPプロファイルとクレデンシャルに正しい文字列を使用していることを確認します(この場合)
peapとcred,それぞれに対応.
注:
authentication open eap <string>コマンドを使用して、任意の値を入力できます。この設定は、WGBの他のコマンドとは無関係です。configure terminal
dot11 ssid dot1XSSID-R
authentication open eap PEAP
authentication key-management wpa
dot1x credentials cred
dot1x eap profile peap
infrastructure-ssidこの時点で、APの設定は次の例のようになります。次を入力します。
show runコマンドが表示されない場合もあります。Building configuration...
version 15.3
!
hostname WGB-Client
!
.....
!
dot11 ssid dot1XSSID-R
authentication open eap PEAP
authentication key-management wpa
dot1x credentials cred
dot1x eap profile peap
infrastructure-ssid
!
eap profile PEAP
method peap
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint isecert
enrollment terminal
revocation-check none
!
crypto pki certificate chain isecert
certificate ca 5CC74BD9508B78AF4AB5C5F84C32AC2A
...
C3B7249C F75C4525 D02A40AB 50E19196 9D1C2853 8BAEFDFC 1CE1945E 1CABC51B AFF5
quit
!
dot1x credentials PEAP
username userWGB
password 7 13061E010803
pki-trustpoint isecert
!
....
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid dot1XSSID-R
!
antenna gain 0
station-role workgroup-bridge
bridge-group 1
bridge-group 1 spanning-disabled
!
.....
確認
ここでは、設定が正常に機能しているかどうかを確認します。
WGBのアソシエーションを確認するには、dot11アソシエーションを表示します。
WLCからのWGBの関連付けは、次の例のようになります。
9800#show wireless client summary
Number of Clients: 3
MAC Address AP Name Type ID State Protocol Method Role
-------------------------------------------------------------------------------------------------------------------------
843d.c6e8.76e0 AP687D.B45C.46E8 WLAN 3 RUN 11ac Dot1x Local
9800-rafenriq#show wireless wgb summary
Number of WGBs: 1
MAC Address AP Name WLAN State Clients
---------------------------------------------------------------------------------
843d.c6e8.76e0 AP687D.B45C.46E8 3 RUN 2
9800-rafenriq#show wireless wgb mac-address 843d.c6e8.76e0 detail
Work Group Bridge
MAC Address : 843d.c6e8.76e0
AP Name : AP687D.B45C.46E8
WLAN ID : 3
State : RUN
Number of Clients: 2
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
ワークグループブリッジのデバッグ
WGBをデバッグするには、次のコマンドを入力します。
debug aaa authentication
debug dot11 supp-sm-dot1
WLCでのWGBのデバッグ
WGBは別のワイヤレスクライアントとして動作するため、9800 WLCでトレースとキャプチャを収集するには、「Catalyst 9800クライアントの接続に関する問題のトラブルシューティングのフロー」を参照してください。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
22-Feb-2023 |
9800 WLC用に更新され、WGB用の新しいリリースが追加されました。 |
1.0 |
14-Jan-2013 |
初版 |
フィードバック