PEAP 인증을 사용하여 작업 그룹 브리지 구성

업데이트:2023년 2월 22일

문서 ID:115736

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 9800 WLC(Wireless LAN Controller)와 함께 PEAP(Protected Extensible Authentication Protocol)를 사용하는 802.1X SSID(Service Set Identifier)에 연결하도록 WGB(Work Group Bridge)를 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

C9800 WLC
WGB
802.1X 프로토콜

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

WGB용 Cisco IOS^® 릴리스 15.3(3)JPN1
Cisco IOS XE 릴리스 17.9.2 for WLC

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

네트워크 다이어그램

Network diagram-the IW3702 autonomous AP is configured as a WGB

이 예에서는 IW3702 AP(Autonomous Access Point)가 WGB로 구성되어 AP 네트워크에 연결됩니다. 이 SSID를 사용하여 dot1XSSID-RWLAN에 연결하고 WGB를 네트워크에 인증하는 데 PEAP를 사용합니다.

WGB 구성

WGB를 구성하려면 다음 단계를 완료하십시오.

호스트 이름을 설정합니다.
```
configure terminal 
hostname WGB-Client
```
시간을 구성합니다. WGB에 인증서를 설치할 수 있으려면 시간이 정확해야 합니다.
```
clock set hh:mm:ss dd Month yyyy
example: clock set 15:33:00 15 February 2023
```
CA(Certificate Authority)의 신뢰 지점을 구성합니다.
- enrollment terminal(등록 터미널) - 인증자에서 인증서를 복사/붙여넣을 수 있습니다. 이 경우 ISE(Identity Services Engine)에서 WGB로 이동합니다.
- revocation - 선택 안 함 WGB에 서버 인증서에 대한 추가 확인을 수행하지 않도록 지시합니다. 이 명령은 Cisco 버그 ID CSCsl07349(등록된 고객만)에 설명된 문제를 방지하기 위해 필요합니다. WGB는 자주 연결 해제/재연결하며 다시 연결하는 데 시간이 오래 걸립니다.
```
crypto pki trustpoint isecert
enrollment terminal
revocation-check none
```
인증자 인증서를 다운로드합니다.
1. CA 인증서의 복사본을 가져옵니다. 이 예에서는 ISE를 인증자 서버로 사용했습니다. Administration(관리) > System(시스템) > Certificates(인증서)로 이동합니다.
2. ISE가 EAP 인증에 사용하는 인증서를 식별하고(Use By(사용 대상) 열에 EAP 인증이 있음), 스크린샷에 표시된 대로 다운로드합니다.
3. 이전 단계를 수행하면 .pem 파일을 클릭합니다. 터널을 설정하고 그 안에서 자격 증명을 교환할 수 있도록 WGB에 설치할 인증서입니다.

CA 인증서를 설치합니다.

다음을 입력합니다. crypto pki authenticate isecert 명령을 실행합니다.
열기 .pem 파일을 텍스트 편집기에 저장하고 문자열을 복사합니다. 형식은 다음과 같습니다.
```
   -----BEGIN CERTIFICATE-----
    [ ... ]
    -----END CERTIFICATE-----
```
CA 인증서 복사/붙여넣기 > 빈 줄 누르기 Enter > 입력 quit 마지막 회선에 있습니다.

에서 텍스트 붙여넣기 .cer 이전 단계에서 다운로드한 파일입니다.

   -----BEGIN CERTIFICATE-----
    [ ... ]
    -----END CERTIFICATE----
    (hit enter)
    quit
    (hit enter) 
    Certificate has the following attributes:
    Fingerprint: 45EC6866 A66B4D8F 2E05960F BC5C1B76
    % Do you accept this certificate? [yes/no]: yes
    Trustpoint CA certificate accepted.
    % Certificate successfully imported

WGB에 대한 인증 방법을 정의합니다(이 경우) peap.
```
conf terminal
eap profile peap
method peap
end
```
WGB에 대한 자격 증명을 구성합니다(이 경우). cred. 이 경우 생성한 신뢰 지점을 추가해야 합니다. isecert.
```
dot1x credentials CRED
username userWGB
password 7 13061E010803
pki-trustpoint isecert
```

WGB에서 SSID를 구성하고 EAP 프로필 및 자격 증명에 올바른 문자열을 사용하는지 확인합니다(이 경우) peap 및 cred을 참조하십시오.

참고: authentication open eap <string> 명령을 사용하면 아무 것도 입력할 수 있습니다. 이 컨피그레이션은 WGB의 다른 명령과 관련이 없습니다.

configure terminal
dot11 ssid dot1XSSID-R
authentication open eap PEAP 
authentication key-management wpa
dot1x credentials cred
dot1x eap profile peap
infrastructure-ssid

이때 AP 컨피그레이션은 이 예와 같습니다. 다음을 입력합니다. show run 명령을 실행합니다.

Building configuration...
version 15.3
!
hostname WGB-Client
!
.....
!
dot11 ssid dot1XSSID-R
   authentication open eap PEAP  
   authentication key-management wpa
   dot1x credentials cred
   dot1x eap profile peap
   infrastructure-ssid
!
eap profile PEAP
 method peap
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint isecert
 enrollment terminal
 revocation-check none
!
crypto pki certificate chain isecert
 certificate ca 5CC74BD9508B78AF4AB5C5F84C32AC2A
  ...
  C3B7249C F75C4525 D02A40AB 50E19196 9D1C2853 8BAEFDFC 1CE1945E 1CABC51B AFF5
      quit
!
dot1x credentials PEAP
 username userWGB
 password 7 13061E010803
 pki-trustpoint isecert
!
....
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm 
 !
 ssid dot1XSSID-R
 !
 antenna gain 0
  station-role workgroup-bridge
 bridge-group 1
 bridge-group 1 spanning-disabled
!
.....

다음을 확인합니다.

설정이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

WGB에서 연결을 확인하려면 dot11 연결을 표시합니다.

WLC의 WGB 연결은 다음 예와 같습니다.

9800#show wireless client summary 

Number of Clients: 3
MAC Address    AP Name                                        Type ID   State             Protocol Method     Role
-------------------------------------------------------------------------------------------------------------------------
843d.c6e8.76e0 AP687D.B45C.46E8                               WLAN 3     RUN              11ac     Dot1x      Local

9800-rafenriq#show wireless wgb summary 

Number of WGBs: 1
MAC Address    AP Name                          WLAN State              Clients

---------------------------------------------------------------------------------
843d.c6e8.76e0 AP687D.B45C.46E8                 3    RUN                   2

9800-rafenriq#show wireless wgb mac-address 843d.c6e8.76e0 detail 

Work Group Bridge
MAC Address        : 843d.c6e8.76e0
AP Name            : AP687D.B45C.46E8
WLAN ID            : 3
State              : RUN

Number of Clients: 2

문제 해결

이 섹션에서는 설정 문제 해결에 사용할 수 있는 정보를 제공합니다.

작업 그룹 브리지 디버그

WGB를 디버깅하려면 다음 명령을 입력합니다.

debug aaa authentication
debug dot11 supp-sm-dot1

WLC에서 WGB 디버그

WGB가 다른 무선 클라이언트로 작동하므로, 9800 WLC에서 추적 및 캡처를 수집하려면 Catalyst 9800 Client Connectivity Issues Flow 문제 해결을 참조하십시오.

개정 이력

개정	게시 날짜	의견
2.0	22-Feb-2023	9800 WLC 및 WGB용 새 릴리스에 대해 업데이트되었습니다.
1.0	14-Jan-2013	최초 릴리스

Cisco 엔지니어가 작성

Surendra BG
Cisco TAC 엔지니어
Carlos Leiton
Cisco TAC 엔지니어
Rafael Enriquez Olguin
Cisco TAC 엔지니어