소개
이 문서에서는 9800 WLC(Wireless LAN Controller)와 함께 PEAP(Protected Extensible Authentication Protocol)를 사용하는 802.1X SSID(Service Set Identifier)에 연결하도록 WGB(Work Group Bridge)를 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- C9800 WLC
- WGB
- 802.1X 프로토콜
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- WGB용 Cisco IOS® 릴리스 15.3(3)JPN1
- Cisco IOS XE 릴리스 17.9.2 for WLC
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
네트워크 다이어그램
이 예에서는 IW3702 AP(Autonomous Access Point)가 WGB로 구성되어 AP 네트워크에 연결됩니다. 이 SSID를 사용하여 dot1XSSID-R
WLAN에 연결하고 WGB를 네트워크에 인증하는 데 PEAP를 사용합니다.
WGB 구성
WGB를 구성하려면 다음 단계를 완료하십시오.
- 호스트 이름을 설정합니다.
configure terminal
hostname WGB-Client
- 시간을 구성합니다. WGB에 인증서를 설치할 수 있으려면 시간이 정확해야 합니다.
clock set hh:mm:ss dd Month yyyy
example: clock set 15:33:00 15 February 2023
- CA(Certificate Authority)의 신뢰 지점을 구성합니다.
- 인증자 인증서를 다운로드합니다.
- CA 인증서의 복사본을 가져옵니다. 이 예에서는 ISE를 인증자 서버로 사용했습니다. Administration(관리) > System(시스템) > Certificates(인증서)로 이동합니다.
- ISE가 EAP 인증에 사용하는 인증서를 식별하고(Use By(사용 대상) 열에 EAP 인증이 있음), 스크린샷에 표시된 대로 다운로드합니다.
- 이전 단계를 수행하면
.pem
파일을 클릭합니다. 터널을 설정하고 그 안에서 자격 증명을 교환할 수 있도록 WGB에 설치할 인증서입니다.
- CA 인증서를 설치합니다.
- 다음을 입력합니다.
crypto pki authenticate isecert
명령을 실행합니다.
- 열기
.pem
파일을 텍스트 편집기에 저장하고 문자열을 복사합니다. 형식은 다음과 같습니다. -----BEGIN CERTIFICATE-----
[ ... ]
-----END CERTIFICATE-----
- CA 인증서 복사/붙여넣기 > 빈 줄 누르기
Enter
> 입력 quit
마지막 회선에 있습니다.
- 에서 텍스트 붙여넣기
.cer
이전 단계에서 다운로드한 파일입니다. -----BEGIN CERTIFICATE-----
[ ... ]
-----END CERTIFICATE----
(hit enter)
quit
(hit enter)
Certificate has the following attributes:
Fingerprint: 45EC6866 A66B4D8F 2E05960F BC5C1B76
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
- WGB에 대한 인증 방법을 정의합니다(이 경우)
peap
. conf terminal
eap profile peap
method peap
end
- WGB에 대한 자격 증명을 구성합니다(이 경우).
cred
. 이 경우 생성한 신뢰 지점을 추가해야 합니다. isecert
. dot1x credentials CRED
username userWGB
password 7 13061E010803
pki-trustpoint isecert
- WGB에서 SSID를 구성하고 EAP 프로필 및 자격 증명에 올바른 문자열을 사용하는지 확인합니다(이 경우)
peap
및 cred
을 참조하십시오.
참고: authentication open eap <string>
명령을 사용하면 아무 것도 입력할 수 있습니다. 이 컨피그레이션은 WGB의 다른 명령과 관련이 없습니다.
configure terminal
dot11 ssid dot1XSSID-R
authentication open eap PEAP
authentication key-management wpa
dot1x credentials cred
dot1x eap profile peap
infrastructure-ssid
이때 AP 컨피그레이션은 이 예와 같습니다. 다음을 입력합니다. show run
명령을 실행합니다.
Building configuration...
version 15.3
!
hostname WGB-Client
!
.....
!
dot11 ssid dot1XSSID-R
authentication open eap PEAP
authentication key-management wpa
dot1x credentials cred
dot1x eap profile peap
infrastructure-ssid
!
eap profile PEAP
method peap
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint isecert
enrollment terminal
revocation-check none
!
crypto pki certificate chain isecert
certificate ca 5CC74BD9508B78AF4AB5C5F84C32AC2A
...
C3B7249C F75C4525 D02A40AB 50E19196 9D1C2853 8BAEFDFC 1CE1945E 1CABC51B AFF5
quit
!
dot1x credentials PEAP
username userWGB
password 7 13061E010803
pki-trustpoint isecert
!
....
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid dot1XSSID-R
!
antenna gain 0
station-role workgroup-bridge
bridge-group 1
bridge-group 1 spanning-disabled
!
.....
다음을 확인합니다.
설정이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.
WGB에서 연결을 확인하려면 dot11 연결을 표시합니다.
WLC의 WGB 연결은 다음 예와 같습니다.
9800#show wireless client summary
Number of Clients: 3
MAC Address AP Name Type ID State Protocol Method Role
-------------------------------------------------------------------------------------------------------------------------
843d.c6e8.76e0 AP687D.B45C.46E8 WLAN 3 RUN 11ac Dot1x Local
9800-rafenriq#show wireless wgb summary
Number of WGBs: 1
MAC Address AP Name WLAN State Clients
---------------------------------------------------------------------------------
843d.c6e8.76e0 AP687D.B45C.46E8 3 RUN 2
9800-rafenriq#show wireless wgb mac-address 843d.c6e8.76e0 detail
Work Group Bridge
MAC Address : 843d.c6e8.76e0
AP Name : AP687D.B45C.46E8
WLAN ID : 3
State : RUN
Number of Clients: 2
문제 해결
이 섹션에서는 설정 문제 해결에 사용할 수 있는 정보를 제공합니다.
작업 그룹 브리지 디버그
WGB를 디버깅하려면 다음 명령을 입력합니다.
debug aaa authentication
debug dot11 supp-sm-dot1
WLC에서 WGB 디버그
WGB가 다른 무선 클라이언트로 작동하므로, 9800 WLC에서 추적 및 캡처를 수집하려면 Catalyst 9800 Client Connectivity Issues Flow 문제 해결을 참조하십시오.