Dit document legt uit hoe u een Cisco 870 Series geïntegreerde services router (ISR) kunt configureren voor draadloze LAN-connectiviteit met EFN-encryptie en LEAP-verificatie.
De zelfde configuratie is van toepassing op om het even welke andere modellen van de Draadloze Reeks van Cisco ISR.
Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:
Kennis van de manier waarop u de basisparameters van Cisco 870 Series ISR kunt configureren.
Kennis van de manier waarop u de 802.11a/b/g draadloze clientadapter kunt configureren met behulp van het Aironet-desktophulpprogramma (ADU).
Raadpleeg de installatie- en configuratiegids van Cisco Aironet 802.11a/b/g voor draadloze LAN-clientadapters (CB21AG en PI21AG), release 2.5 voor informatie over het configureren van de 802.11a/b/g-clientadapter.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco 871W ISR-software met Cisco IOS®-softwarerelease 12.3(8)YI1
Laptop met Aironet desktophulpprogramma versie 2.5
802.11a/b/g clientadapter voor firmware versie 2.5
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Dit document maakt gebruik van deze netwerkinstellingen.
In deze opstelling, verenigt de draadloze LAN client met de 870 router. De interne Dynamic Host Configuration Protocol (DHCP) server op de 870-router wordt gebruikt om een IP-adres voor de draadloze clients te leveren. De encryptie van het draadloos WAN wordt op de 870 ISR en de WLAN-client ingeschakeld. LEAP-verificatie wordt gebruikt om de draadloze gebruikers te authenticeren en de lokale RADIUS-serverfunctie op de 870-router wordt gebruikt om de aanmeldingsgegevens te valideren.
Voltooi deze stappen om de 871W ISR als een access point te configureren om associatieverzoeken van de draadloze klanten te aanvaarden.
Configureer de geïntegreerde routing en bridging (IRB) en stel de bridge groep in.
Typ deze opdrachten in de wereldwijde configuratie-modus om IRB in te schakelen.
WirelessRouter<config>#bridge irb !--- Enables IRB. WirelessRouter<config>#bridge 1 protocol ieee !--- Defines the type of Spanning Tree Protocol as ieee. WirelessRouter<config>#bridge 1 route ip !--- Enables the routing of the specified protocol in a bridge group.
Configuratie van de overbrugde virtuele interface (BVI).
Geef een IP-adres aan de BVI toe. Typ deze opdrachten in de wereldwijde configuratie-modus.
WirelessRouter<config>#interface bvi1
!--- Enter interface configuration mode for the BVI.
WirelessRouter<config-if>#ip address 172.16.1.100 255.255.0.0
Raadpleeg het gedeelte Bridge Group Configuration op Access Point en Bridges van VLAN's gebruiken met Cisco Aironet draadloze apparatuur voor meer informatie over de functionaliteit van Bridge Group in access points.
Configureer de interne DHCP-serverfunctie op de 871W ISR.
De interne DHCP-serverfunctie op de router kan worden gebruikt om IP-adressen toe te wijzen aan draadloze clients die aan de router gekoppeld zijn. Voltooi deze opdrachten in de wereldwijde configuratie-modus.
WirelessRouter<config>#ip dhcp excluded-address 172.16.1.100 172.16.1.100 !--- Excludes IP addresses from the DHCP pool. !--- This address is used on the BVI interface, so it is excluded. WirelessRouter<config>#ip dhcp pool 870-ISR WirelessRouter<dhcp-config>#network 172.16.1.0 255.255.0.0
Opmerking: de clientadapter moet ook worden ingesteld om IP-adressen van een DHCP-server te aanvaarden.
Configureer de 871W ISR als een lokale RADIUS-server.
In de mondiale configuratiemodus typt u deze opdrachten om de 871W ISR-server als een lokale RADIUS-server te configureren.
WirelessRouter<config>#aaa new-model !--- Enable the authentication, authorization, and accounting !--- (AAA) access control model. WirelessRouter<config>#radius-server local !--- Enables the 871 wireless-aware router as a local !--- authentication server and enters into configuration !--- mode for the authenticator. WirelessRouter<config-radsrv)#nas 172.16.1.100 key Cisco !--- Adds the 871 router to the list of devices that use !--- the local authentication server. WirelessRouter<config-radsrv>#user ABCD password ABCD WirelessRouter<config-radsrv)#user XYZ password XYZ !--- Configure two users ABCD and XYZ on the local RADIUS server. WirelessRouter<config-radsrv)#exit WirelessRouter<config>#radius-server host 172.16.1.100 auth-port 1812 acct-port 1813 key Cisco !--- Specifies the RADIUS server host.
Opmerking: Gebruik poorten 1812 en 1813 voor verificatie en accounting voor de lokale RADIUS-server.
WirelessRouter<config>#aaa group server radius rad_eap !--- Maps the RADIUS server to the group rad_eap . WirelessRouter<config-sg-radius>#server 172.16.1.100 auth-port 1812 acct-port 1813 !--- Define the server that falls in the group rad_eap. WirelessRouter<config>#aaa authentication login eap_methods group rad_eap !--- Enable AAA login authentication.
Configureer de radio-interface.
De configuratie van de radio-interface omvat de configuratie van verschillende draadloze parameters op de router, inclusief de SSID, de encryptiemodus, het authenticatietype, snelheid en de rol van de draadloze router. Dit voorbeeld gebruikt SSID genaamd Test.
Typ deze opdrachten om de radio-interface in de wereldwijde configuratie-modus te configureren.
WirelessRouter<config>#interface dot11radio0 !--- Enter radio interface configuration mode. WirelessRouter<config-if>#ssid Test !--- Configure an SSID test. irelessRouter<config-ssid>#authentication open eap eap_methods WirelessRouter<config-ssid>#authentication network-eap eap_methods !--- Expect that users who attach to SSID 'Test' !--- are requesting authentication with the type 128 !--- Network Extensible Authentication Protocol (EAP) !--- authentication bit set in the headers of those requests. !--- Group these users into a group called 'eap_methods'. WirelessRouter<config-ssid>#exit !--- Exit interface configuration mode. WirelessRouter<config-if>#encryption mode wep mandatory !--- Enable WEP encryption. WirelessRouter<config-if>#encryption key 1 size 128 1234567890ABCDEF1234567890 !--- Define the 128-bit WEP encryption key. WirelessRouter<config-if>#bridge-group 1 WirelessRouter<config-if>#no shut !--- Enables the radio interface.
De 870 router accepteert associatieverzoeken van de draadloze klanten zodra deze procedure is uitgevoerd.
Wanneer u MAP-authenticatietype op de router aanpast, wordt aanbevolen om zowel netwerk-EAP als open met EAP als authenticatietypen te kiezen om eventuele authenticatievraagstukken te voorkomen.
WirelessRouter<config-ssid>#authentication network-eap eap_methods WirelessRouter<config-ssid>#authentication open eap eap_methods
N.B.: Dit document gaat ervan uit dat het netwerk alleen draadloze klanten van Cisco heeft.
N.B.: Gebruik het Opdrachtupgereedschap (alleen geregistreerde klanten) om meer informatie te vinden over de opdrachten die in dit document worden gebruikt.
Voltooi deze stappen om de clientadapter te configureren. Deze procedure creëert een nieuw profiel dat 870-ISR op de ADU heet, als voorbeeld. Deze procedure gebruikt ook Test als SSID en maakt LEAP-verificatie op de clientadapter mogelijk.
Klik op New om een nieuw profiel te maken in het venster Profile Management in de ADU. Voer de profielnaam in en de SSID die de clientadapter gebruikt onder het tabblad Algemeen.
In dit voorbeeld is de profielnaam 870-ISR en is SSID Test.
Opmerking: de SSID moet exact overeenkomen met de SSID die u op de 871W ISR hebt ingesteld. SSID is hoofdlettergevoelig.
Ga naar het tabblad Beveiliging, selecteer 802.1x en kies LEAP in het menu MAP 802.1x
Met deze actie kan LEAP-verificatie op de clientadapter worden uitgevoerd.
Klik op Configureren om LEAP-instellingen te definiëren.
Deze configuratie kiest de optie Automatisch oproepen voor gebruikersnaam en wachtwoord. Met deze optie kunt u de gebruikersnaam en het wachtwoord handmatig invoeren wanneer er LEAP-verificatie plaatsvindt.
Klik op OK om het venster Profile Management te sluiten.
Klik op Activeren om dit profiel in te schakelen op de clientadapter.
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Wanneer de clientadapter en de 870-router zijn geconfigureerd, activeert u het profiel 870-ISR op de clientadapter om de configuratie te controleren.
Voer de gebruikersnaam en het wachtwoord in wanneer het venster Wachtwoord voor draadloos netwerk invoeren wordt weergegeven. Deze moeten overeenkomen met die welke in de 871W ISR zijn geconfigureerd. Een van de profielen die in dit voorbeeld worden gebruikt is de naam ABCD en wachtwoord ABCD.
Het venster LEAP-verificatiestatus verschijnt. Dit venster verifieert de gebruikersreferenties aan de lokale RADIUS-server.
Controleer de huidige status van de ADU om te controleren of de client gebruik maakt van een EFG-encryptie en een LEAP-verificatie.
Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
toon punt11 associatie—verifieert de configuratie op de 870 router.
WirelessRouter#show dot11 association 802.11 Client Stations on Dot11Radio0: SSID [Test]: MAC Address IP Address Device Name Parent State 0040.96ac.dd05 172.16.1.99 CB21AG/PI21AG LAPTOP-1 self EAP-Associated Others: (not related to any ssid)
Toon IP dhcp binding-Verifieert dat de client een IP adres heeft via de DHCP-server.
WirelessRouter#show ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type Hardware address/ User name 172.16.1.99 0040.96ac.dd05 Feb 6 2006 10:11 PM Automatic
Deze sectie verschaft informatie over probleemoplossing die relevant is voor deze configuratie.
Stel de methode op SSID in om te openen om verificatie tijdelijk uit te schakelen.
Dit elimineert de mogelijkheid van RF-kwesties die succesvolle authenticatie verhinderen.
Gebruik de geen authenticatie open eap_methods, geen authenticatie netwerk-eap_methods en authenticatie open opdrachten van de CLI.
Als de cliënt succesvol geassocieerd is dan draagt RF niet bij aan het associatieprobleem
Controleer of de sleutels van de EVN die op de draadloze router worden gevormd overeenkomen met de sleutels van de EVN die op de cliënten worden gevormd.
Als er een mismatch is in de sleutels van de EVN, kunnen de cliënten niet met de draadloze router communiceren.
Controleer dat de gedeelde geheime wachtwoorden tussen de draadloze router en de authenticatieserver gesynchroniseerd zijn.
U kunt deze debug opdrachten ook gebruiken om problemen met uw configuratie op te lossen.
debug dot11 a authenticator all-Activeert het debuggen van MAC en EAP verificatiepakketten.
detectie straal-displays de RADIUS-onderhandelingen tussen de server en client.
bug van lokale serverpakketten-Hiermee geeft u de inhoud van de RADIUS-pakketten weer die worden verzonden en ontvangen.
bug van Straal client-server client-Hier worden foutmeldingen over mislukte client-authenticaties weergegeven.