Dit document biedt een configuratievoorbeeld voor het instellen van een Protected Extensible Verification Protocol (PEAP) met Microsoft Challenge Handshake Verification Protocol (MS-CHAP), versie 2-verificatie in een Cisco Unified Wireless-netwerk met de Microsoft Internet Verification Service (IAS) als RADIUS-server.
Er wordt verondersteld dat de lezer kennis heeft van de basisinstallatie van Windows 2003 en de installatie van Cisco-controllers, aangezien dit document alleen betrekking heeft op de specifieke configuraties om de tests te vergemakkelijken.
Opmerking: Dit document is bedoeld om de lezers een voorbeeld te geven van de configuratie die vereist is op een MS-server voor PEAP - MS CHAP-verificatie. De Microsoft-serverconfiguratie die in deze sectie wordt gepresenteerd, is getest in het lab en blijkt te werken zoals verwacht. Als u problemen ondervindt bij het configureren van de Microsoft-server, neemt u contact op met Microsoft voor ondersteuning. Cisco TAC ondersteunt Microsoft Windows-serverconfiguratie niet.
Raadpleeg voor installatie- en configuratieinformatie voor Cisco 4400 Series controllers de Quick Start Guide: Cisco 4400 Series draadloze LAN-controllers.
U vindt de installatie- en configuratiehandleidingen voor Microsoft Windows 2003 op Installing Windows Server 2003 R2 .
Voordat u begint, installeert u de Microsoft Windows Server 2003 met SP1-besturingssysteem op elk van de servers in het testlaboratorium en werkt u alle servicepakketten bij. Installeer de controllers en lichtgewicht access points en zorg ervoor dat de nieuwste software updates geconfigureerd zijn.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco 4400 Series controller voor de firmware versie 4.0
Cisco 1131 lichtgewicht access point protocol (WAP) access point
Windows 2003 Enterprise Server (SP1) met internetverificatieservice (IAS), certificeringsinstantie (CA), DHCP en geïnstalleerde DNS-services (Domain Name System)
Windows XP Professional met SP2 (en bijgewerkte servicepakketten) en Cisco Aironet 802.11a/b/g draadloze netwerkinterfacekaart (NIC)
Aironet Desktop Utility versie 4.0
Cisco 3560 Switch
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
PEAP maakt gebruik van Transport Level Security (TLS) om een versleuteld kanaal te maken tussen een verificerende PEAP-client, zoals een draadloze laptop, en een PEAP-verificator, zoals Microsoft Internet Verification Service (IAS) of een RADIUS-server. PEAP specificeert geen verificatiemethode, maar biedt aanvullende beveiliging voor andere EAP-verificatieprotocollen, zoals EAP-MSCHAPv2, die kunnen werken via het met TLS versleutelde kanaal dat door PEAP wordt geboden. Het PEAP-verificatieproces bestaat uit twee hoofdfasen:
PEAP fase één: TLS versleuteld kanaal
De draadloze client is gekoppeld aan het toegangspunt. Een op IEEE 802.11 gebaseerde associatie biedt een Open System of Shared Key-verificatie voordat een beveiligde associatie wordt gemaakt tussen de client en het access point (LAP). Nadat de op IEEE 802.11 gebaseerde verbinding tussen de client en het access point met succes is tot stand gebracht, wordt de TLS-sessie met het AP overeengekomen. Nadat de verificatie met succes is voltooid tussen de draadloze client en de IAS-server, wordt de TLS-sessie tussen de client en de IAS-server onderling overeengekomen. De sleutel die binnen deze onderhandeling wordt afgeleid wordt gebruikt om alle verdere communicatie te versleutelen.
PEAP fase twee: EAP-geverifieerde communicatie
EAP-communicatie, met inbegrip van EAP-onderhandeling, vindt plaats binnen het TLS-kanaal dat door PEAP in de eerste fase van het PEAP-verificatieproces is gecreëerd. De IAS-server verifieert de draadloze client met EAP-MS-CHAP v2. De LAP en de controller sturen alleen berichten door tussen de draadloze client en de RADIUS-server. De WLC en de LAP kunnen deze berichten niet decrypteren omdat het niet het TLS eindpunt is.
Nadat PEAP-fase één is opgetreden en het TLS-kanaal is gemaakt tussen de IAS-server en de 802.1X Wireless-client, is de RADIUS-berichtsequentie als volgt: voor een succesvolle verificatiepoging waarbij de gebruiker geldige, op een wachtwoord gebaseerde referenties heeft geleverd bij PEAP-MS-CHAP v2:
De IAS-server stuurt een identiteitsverzoekbericht naar de client: EAP-Verzoek/Identity.
De client reageert met een identiteitsresponsbericht: EAP-Response/Identity.
De IAS-server stuurt een MS-CHAP v2-provocatiebericht: EAP-request/EAP-Type=EAP MS-CHAP-V2 (Challenge).
De client reageert met een uitdaging en antwoord van MS-CHAP v2: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response).
De IAS-server stuurt een MS-CHAP v2-succespakket terug wanneer de server de client met succes heeft geverifieerd: EAP-request/EAP-Type=EAP-MS-CHAP-V2 (Success).
De client reageert met een succespakket van MS-CHAP v2 wanneer de client de server met succes heeft geverifieerd: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Success).
De IAS-server stuurt een EAP-TLV die een geslaagde verificatie aangeeft.
De client reageert met een EAP-TLV-statusbericht.
De server voltooit de verificatie en verstuurt een EAP-Success-bericht met behulp van plaintext. Als VLAN’s worden geïmplementeerd voor client-isolatie, zijn de VLAN-kenmerken in dit bericht opgenomen.
Dit document biedt een voorbeeld voor de configuratie van PEAP MS-CHAP v2.
Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
In deze installatie worden deze rollen uitgevoerd door een Microsoft Windows 2003-server:
Domeincontroller voor het domein Wireless.com
DHCP-/DNS-server
CA-server (Certificate Authority)
Active Directory - voor het onderhouden van de gebruikersdatabase
Internetverificatieservice (IAS) - voor het verifiëren van de draadloze gebruikers
Deze server verbindt met het bekabelde netwerk via een Layer 2 switch zoals getoond.
De draadloze LAN-controller (WLC) en de geregistreerde LAP maken ook verbinding met het netwerk via Layer 2 switch.
Draadloze clients C1 en C2 gebruiken Wi-Fi Protected Access 2 (WPA2) - PEAP MSCHAP v2-verificatie om verbinding te maken met het draadloze netwerk.
Het doel is om de Microsoft 2003-server, draadloze LAN-controller en Light Weight AP te configureren om de draadloze clients te verifiëren met PEAP MSCHAP v2-verificatie.
In het volgende gedeelte wordt uitgelegd hoe u de apparaten voor deze installatie kunt configureren.
In deze sectie wordt gekeken naar de configuratie die nodig is om PEAP MS-CHAP v2-verificatie in dit WLAN in te stellen:
De Microsoft Windows 2003-server configureren
Configureer de draadloze LAN-controller (WLC) en de lichtgewicht AP’s
De draadloze clients configureren
Start met de configuratie van de Microsoft Windows 2003-server.
Zoals in het gedeelte Network Setup is vermeld, gebruikt u de Microsoft Windows 2003-server in het netwerk om deze functies uit te voeren.
Domain Controller - voor het domein Wireless
DHCP-/DNS-server
CA-server (Certificate Authority)
Internetverificatieservice (IAS) - voor het verifiëren van de draadloze gebruikers
Active Directory - voor het onderhouden van de gebruikersdatabase
Configureer de Microsoft Windows 2003-server voor deze services. Begin met de configuratie van de Microsoft Windows 2003-server als een Domain Controller.
De Microsoft Windows 2003-server configureren als domeincontroller
Voltooi de volgende stappen om de Microsoft Windows 2003-server als een domeincontroller te configureren:
Klik op Start, klik op Uitvoeren, typ dcpromo.exe, en klik vervolgens op OK om de installatiewizard van Active Directory te starten.
Klik op Next om de installatiewizard van Active Directory uit te voeren.
Kies de optie Domeincontroller voor een nieuw domein om een nieuw domein te maken.
Klik op Volgende om een nieuw bos met domeinbomen te maken.
Als DNS niet op het systeem is geïnstalleerd, biedt de wizard u opties om DNS te configureren. Kies Nee, Installeer en configureer DNS op deze computer. Klik op Next (Volgende).
Typ de volledige DNS-naam voor het nieuwe domein. In dit voorbeeld wordt Wireless.com gebruikt en klikt u op Volgende.
Voer de NETBIOS-naam in voor het domein en klik op Volgende. In dit voorbeeld wordt DRAADLOOS gebruikt.
Kies de database en loglocaties voor het domein. Klik op Next (Volgende).
Kies een locatie voor de map Sysvol. Klik op Next (Volgende).
Kies de standaardrechten voor de gebruikers en groepen. Klik op Next (Volgende).
Stel het beheerderwachtwoord in en klik op Volgende.
Klik op Volgende om de eerder ingestelde Domain Options te accepteren.
Klik op Voltooien om de installatiewizard van Active Directory te sluiten.
Start de server opnieuw om de wijzigingen door te voeren.
Met deze stap hebt u de Microsoft Windows 2003-server geconfigureerd als een Domain Controller en een nieuw domein gemaakt voor Wireless.com. Configureer vervolgens DHCP-services op de server.
De DHCP-service op de Microsoft 2003-server wordt gebruikt om IP-adressen aan de draadloze clients te leveren. Voltooi de volgende stappen om de DHCP-services op deze server te installeren en te configureren:
Klik op Software in het Configuratiescherm.
Klik op Windows-onderdelen toevoegen of verwijderen.
Kies Netwerkservices en klik op Details.
Kies Dynamic Host Configuration Protocol (DHCP) en klik op OK.
Klik op Next om de DHCP-service te installeren.
Klik op Voltooien om de installatie te voltooien.
Om de DHCP-services te configureren klikt u op Start > Programma's > Systeembeheer en klikt u op de invoegtoepassing DHCP.
Kies de DHCP-server - tsweb-lapt.wireless.com (in dit voorbeeld).
Klik op Actie en klik vervolgens op Autoriseren om DHCP-service te autoriseren.
Klik in de consolestructuur met de rechtermuisknop op tsweb-lapt.wireless.com en klik vervolgens op New Scope om een IP-adresbereik voor de draadloze clients te definiëren.
Klik op de pagina Welkom bij de wizard Nieuw bereik van de wizard Nieuw bereik op Volgende.
Typ op de pagina Naam bereik de naam van de DHCP-scope. In dit voorbeeld, gebruik DHCP-Clients als de scope naam. Klik op Next (Volgende).
Voer op de pagina IP-adresbereik de begin- en eindadressen voor de scope in en klik op Volgende.
Vermeld op de pagina Uitsluitingen toevoegen het IP-adres dat u wilt reserveren/uitsluiten van het DHCP-bereik. Klik op Next (Volgende).
Vermeld de leaseduur op de pagina Leaseduur en klik op Volgende.
Kies op de pagina DHCP-opties configureren Ja, ik wil DHCP-optie nu configureren en klik op Volgende.
Als er een standaardgatewayrouter is, vermeld dan het IP-adres van de gatewayrouter op de pagina Router (Default Gateway) en klik op Next.
Typ op de pagina Domain Name en DNS servers de naam van het domein dat eerder is geconfigureerd. Gebruik in het voorbeeld Wireless.com. Voer het IP-adres van de server in. Klik op Add (Toevoegen).
Klik op Next (Volgende).
Klik op de pagina WINS Server op Volgende.
Kies Ja op de pagina Werkingsgebied activeren, ik wil het bereik nu activeren en klik op Volgende.
Klik op Voltooien om de wizard Nieuw bereik te voltooien.
Controleer in het venster DHCP Snapin of het DHCP-bereik dat is gemaakt actief is.
Nu DHCP/ DNS is ingeschakeld op de server, moet u de server configureren als een ECA-server (Enterprise Certificate Authority).
PEAP met EAP-MS-CHAPv2 valideert de RADIUS-server op basis van het certificaat dat op de server aanwezig is. Bovendien moet het servercertificaat worden afgegeven door een openbare certificeringsinstantie (CA) die wordt vertrouwd door de clientcomputer (dat wil zeggen dat het openbare CA-certificaat al bestaat in de map Trusted Root Certification Authority op het certificaatarchief van de clientcomputer). In dit voorbeeld moet u de Microsoft Windows 2003-server configureren als een certificeringsinstantie (CA) die het certificaat afgeeft aan de Internet Verification Service (IAS).
Voltooi de volgende stappen om de certificaatservices op de server te installeren en te configureren:
Klik op Software in het Configuratiescherm.
Klik op Windows-onderdelen toevoegen of verwijderen.
Klik op Certificaatservices.
Klik op Ja om het waarschuwingsbericht te waarschuwen. Na het installeren van certificaatservices kan de computer niet hernoemd worden en kan de computer niet worden toegevoegd aan of verwijderd worden uit een domein. Wilt u doorgaan?
Kies onder Certificate Authority Type de Enterprise root CA, en klik op Volgende.
Voer een naam in om de CA te identificeren. In dit voorbeeld wordt Wireless-AC gebruikt. Klik op Next (Volgende).
Er wordt een directory "Cert Log" aangemaakt voor de opslag van de certificaatdatabase. Klik op Next (Volgende).
Als IIS is ingeschakeld, moet dit worden gestopt voordat u doorgaat. Klik op OK om te waarschuwen dat IIS moet worden gestopt. Het start automatisch opnieuw nadat CA is geïnstalleerd.
Klik op Voltooien om de installatie van de CA-diensten (Certificate Authority) te voltooien.
De volgende stap is het installeren en configureren van de Internet-verificatieservice op de Microsoft Windows 2003-server.
De volgende stap is om de clients te verbinden met het bekabelde netwerk en de domeinspecifieke informatie van het nieuwe domein te downloaden. Met andere woorden, verbind de cliënten met het domein. Voltooi de volgende stappen om dit te doen:
Sluit de clients aan op het bekabelde netwerk met een rechtstreekse Ethernet-kabel.
Start de client op en log in met de gebruikersnaam/ het wachtwoord van de client.
Klik op Start; klik op Uitvoeren; type cmd; en klik op OK.
Typ ipconfig bij de opdrachtprompt en klik op Enter om te verifiëren dat DHCP correct werkt en dat de client een IP-adres van de DHCP-server heeft ontvangen.
Om zich bij de cliënt aan het domein aan te sluiten, klik Mijn Computer met de rechtermuisknop aan, en kies Eigenschappen.
Klik op het tabblad Computer Name.
Klik op Wijzigen.
Klik op Domain; typ wireless.com; en klik op OK.
Typ Gebruikersnaam Administrator en het wachtwoord dat specifiek is voor het domein waartoe de client toetreedt. (Dit is de Administrator-account in de Active Directory op de server.)
Klik op OK.
Klik op Ja om de computer opnieuw op te starten.
Log na het opstarten van de computer in met de volgende informatie: Gebruikersnaam = Beheerder; Wachtwoord = <domeinwachtwoord>; Domein = Draadloos.
Klik met de rechtermuisknop op Deze computer en klik op Eigenschappen.
Klik op het tabblad Computer Name om te controleren of u zich op het Wireless.com-domein bevindt.
De volgende stap is te verifiëren dat de client het CA-certificaat (vertrouwen) van de server heeft ontvangen.
Klik op Start; klik op Uitvoeren; typ mmc en klik op OK.
Klik op Bestand en klik op Onverwacht-in toevoegen/verwijderen.
Klik op Add (Toevoegen).
Kies Certificaat en klik op Toevoegen.
Kies Computeraccount en klik op Volgende.
Klik op Voltooien om de standaard lokale computer te aanvaarden.
Klik op Sluiten en klik op OK.
Breid Certificaten uit (Local Computer); breid Trusted Root-certificeringsinstanties uit en klik op Certificaten. Zoek draadloos in de lijst.
Herhaal deze procedure om meer clients aan het domein toe te voegen.
In deze setup wordt de Internet Authenticatieservice (IAS) gebruikt als een RADIUS-server voor het verifiëren van draadloze clients met PEAP-verificatie.
Voltooi deze stappen om IAS op de server te installeren en te configureren.
Klik op Software in het Configuratiescherm.
Klik op Windows-onderdelen toevoegen of verwijderen.
Kies Netwerkservices en klik op Details.
Kies Internet-verificatieservice; klik op OK; en klik op Volgende.
Klik op Voltooien om de IAS-installatie te voltooien.
De volgende stap is het installeren van het computercertificaat voor de Internet-verificatieservice (IAS).
Klik op Start; klik op Uitvoeren; typ mmc; en klik op OK.
Klik op Console in het menu Bestand en kies vervolgens module toevoegen/verwijderen.
Klik op Add om een invoegtoepassing toe te voegen.
Kies Certificaten uit de lijst met invoegtoepassingen en klik op Toevoegen.
Kies Computer-account en klik op Volgende.
Kies Lokale computer en klik op Voltooien.
Klik op Sluiten en klik op OK.
Breid Certificaten uit (Local Computer); klik met de rechtermuisknop op Persoonlijke map; kies Alle taken en vraag vervolgens Nieuw certificaat aan.
Klik op Volgende in de wizard Certificaataanvraag .
Kies de Domain Controller-certificaatsjabloon (als u een computercertificaat aanvraagt op een andere server dan de DC, kies een Computer certificaatsjabloon) en klik op Volgende.
Typ een naam en een beschrijving voor het certificaat.
Klik op Voltooien om de wizard voor certificeringsaanvragen te voltooien.
Nu u een certificaat voor de IAS hebt geïnstalleerd en aangevraagd, moet u de IAS configureren voor verificatie.
Voer de volgende stappen uit:
Klik op Start > Programma's > Systeembeheer en klik op Inloggen voor internetverificatie.
Klik met de rechtermuisknop op Internet Authenticatieservice (IAS) en klik vervolgens op Service registreren in Active Directory.
De internetverificatieservice registreren in actieve map wordt weergegeven. Klik op OK. Hierdoor kan IAS gebruikers in de Active Directory verifiëren.
Klik op OK in het volgende dialoogvenster.
Voeg de draadloze LAN-controller toe als AAA-client op de MS IAS-server.
Klik met de rechtermuisknop op RADIUS-clients en kies Nieuwe RADIUS-client.
Typ de naam van de client (in dit geval WLC) en voer het IP-adres van de WLC in. Klik op Next (Volgende).
Kies op de volgende pagina onder Client-Verkoper RADIUS-standaard, voer het gedeelde geheim in en klik op Voltooien.
Bericht dat WLC als AAA-client wordt toegevoegd op de IAS.
Creëer een beleid voor externe toegang voor de clients.
Om dit te doen, klik je met de rechtermuisknop op het beleid voor externe toegang en kies je het nieuwe beleid voor externe toegang.
Typ een naam voor het beleid voor externe toegang. Gebruik in dit voorbeeld de naam PEAP. Klik vervolgens op Volgende.
Kies de beleidskenmerken op basis van uw vereisten. Kies in dit voorbeeld Draadloos.
Kies op de volgende pagina Gebruiker om dit beleid voor externe toegang toe te passen op de lijst met gebruikers.
Kies onder Verificatiemethoden de optie Protected EAP (PEAP) en klik op Configureren.
Kies op de pagina Beschermde EAP-eigenschappen het juiste certificaat in het vervolgkeuzemenu Certificaat afgeven en klik op OK.
Controleer de details van het beleid voor externe toegang en klik op Voltooien.
Het beleid voor externe toegang is toegevoegd aan de lijst.
Klik met de rechtermuisknop op het beleid en klik op Eigenschappen. Kies "Toestemming voor externe toegang verlenen" onder "Als een verbindingsverzoek aan de opgegeven voorwaarden voldoet".
In deze instelling wordt de gebruikersdatabase onderhouden in de Active Directory.
Voltooi de volgende stappen om gebruikers aan de Active Directory-database toe te voegen:
In de Active Directory-console-structuur Gebruikers en Computers klikt u met de rechtermuisknop op Gebruikers, klikt u op Nieuw en klikt u vervolgens op Gebruiker.
Typ in het dialoogvenster Nieuw object - gebruiker de naam van de draadloze gebruiker. In dit voorbeeld wordt de naam Draadloze gebruiker gebruikt in het veld Voornaam en Draadloze gebruiker in het veld Gebruikersnaam. Klik op Next (Volgende).
Typ in het dialoogvenster Nieuw object - gebruiker een wachtwoord naar keuze in de velden Wachtwoord en Wachtwoord bevestigen. Wis het wachtwoord van de gebruiker bij de volgende aanmelding en klik op Volgende.
Klik in het dialoogvenster Nieuw object - gebruiker op Voltooien.
Herhaal stap 2 tot en met 4 om extra gebruikersaccounts te maken.
Voer de volgende stappen uit:
Klik in de structuur van de Active Directory-console op de gebruikersmap, klik met de rechtermuisknop op Draadloze gebruiker, klik op Eigenschappen en ga vervolgens naar het tabblad Inbellen.
Kies Toegang toestaan en klik op OK.
Configureer nu de draadloze apparaten voor deze installatie. Dit omvat de configuratie van de draadloze LAN-controllers, lichtgewicht AP’s en draadloze clients.
Configureer eerst de WLC om de MS IAS als verificatieserver te gebruiken. De WLC moet worden geconfigureerd om de gebruikersreferenties te kunnen doorsturen naar een externe RADIUS-server. De externe RADIUS-server valideert vervolgens de gebruikersreferenties en biedt toegang tot de draadloze clients. Hiertoe voegt u de MS IAS-server als een RADIUS-server toe op de pagina Security > RADIUS-verificatie.
Voer de volgende stappen uit:
Kies Beveiliging en RADIUS-verificatie in de GUI van de controller om de pagina RADIUS-verificatieservers weer te geven. Klik vervolgens op Nieuw om een RADIUS-server te definiëren.
Definieer de RADIUS-serverparameters in de RADIUS-verificatieservers > Nieuwe pagina. Deze parameters omvatten het IP-adres van de RADIUS-server, gedeeld geheim, poortnummer en serverstatus. Met de selectievakjes Netwerkgebruiker en Netwerkbeheer wordt bepaald of de op RADIUS gebaseerde verificatie van toepassing is op beheer- en netwerkgebruikers. In dit voorbeeld wordt de MS IAS gebruikt als de RADIUS-server met IP-adres 10.77.244.198.
Klik op Apply (Toepassen).
MS IAS server is toegevoegd aan de WLC als een Radius server en kan worden gebruikt om draadloze clients te verifiëren.
Configureer de SSID (WLAN) waarmee de draadloze clients verbinding maken. Maak in dit voorbeeld de SSID en noem het PEAP.
Definieer Layer 2-verificatie als WPA2, zodat de clients EAP-gebaseerde verificatie (in dit geval PEAP-MSCHAPv2) uitvoeren en AES als coderingsmechanisme gebruiken. Laat alle andere waarden op hun defaults staan.
Opmerking: dit document bindt het WLAN aan de beheerinterfaces. Wanneer u meerdere VLAN’s in uw netwerk hebt, kunt u een afzonderlijk VLAN maken en het aan de SSID binden. Raadpleeg VLAN’s op Wireless LAN Controllers Configuration Voorbeeld voor informatie over het configureren van VLAN’s op WLC’s.
Voltooi de volgende stappen om een WLAN op de WLC te configureren:
Klik op WLAN’s vanuit de GUI van de controller om de WLAN-pagina weer te geven. Deze pagina maakt een lijst van de WLAN’s die op de controller bestaan.
Kies Nieuw om een nieuw WLAN te maken. Voer de WLAN-id en de WLAN-SSID voor het WLAN in en klik op Toepassen.
Zodra u een nieuw WLAN maakt, wordt de pagina WLAN > Bewerken voor het nieuwe WLAN weergegeven. Op deze pagina kunt u verschillende parameters definiëren die specifiek zijn voor dit WLAN, zoals Algemeen beleid, RADIUS-servers, beveiligingsbeleid en 802.1x-parameters.
Controleer Admin Status onder Algemeen beleid om het WLAN in te schakelen. Als u wilt dat het toegangspunt de SSID uitzendt in zijn beacon-frames, controleer dan Broadcast SSID.
Kies onder Layer 2-beveiliging WPA1+WPA2. Dit schakelt WPA in op het WLAN. Blader naar beneden op de pagina en kies het WPA-beleid. In dit voorbeeld worden WPA2 en AES-encryptie gebruikt. Kies de juiste RADIUS-server in het keuzemenu onder RADIUS-servers. Gebruik in dit voorbeeld 10.77.244.198 (IP-adres van de MS IAS-server). De andere parameters kunnen worden aangepast op basis van de behoefte van het WLAN-netwerk.
Klik op Apply (Toepassen).
Dit voorbeeld bevat informatie over de manier waarop u de draadloze client kunt configureren met het Cisco Aironet Desktop Utility. Zorg ervoor dat de nieuwste versie van de firmware en het hulpprogramma wordt gebruikt voordat u de clientadapter configureert. Vind de nieuwste versie van de firmware en hulpprogramma’s op de pagina Draadloze downloads op Cisco.com.
Voltooi de volgende stappen om de Cisco Aironet 802.11 a/b/g draadloze clientadapter met de ADU te configureren:
Open het Aironet-desktophulpprogramma.
Klik op Profielbeheer en klik op Nieuw om een profiel te definiëren.
Voer op het tabblad Algemeen de naam van het profiel en de SSID in. Gebruik in dit voorbeeld de SSID die u op de WLC (PEAP) hebt geconfigureerd.
Kies het tabblad Beveiliging; kies WPA/WPA2/CCKM; typ onder WPA/WPA2/CCKM EAP de optie PEAP [EAP-MSCHAPv2] en klik op Configureren.
Kies Servercertificaat valideren en kies Wireless-AC onder het vervolgkeuzemenu Trusted Root Certificate Authorities.
Klik op OK en activeer het profiel.
Opmerking: wanneer u het Protected EAP-Microsoft Challenge Handshake Verificatieprotocol versie 2 (PEAP-MSCHAPv2) met Microsoft XP SP2 gebruikt en de draadloze kaart wordt beheerd door Microsoft Wireless Zero Configuration (WZC), moet u de Microsoft hotfix KB885453 toepassen. Dit voorkomt verschillende problemen met de verificatie in verband met PEAP Fast Resume.
Om te controleren of de configuratie werkt zoals verwacht, activeert u het profiel PEAP-MSCHAPv2 op de draadloze client Client1.
Nadat het profiel PEAP-MSCHAPv2 op de ADU is geactiveerd, voert de client 802.11 open verificatie uit en voert vervolgens PEAP-MSCHAPv2-verificatie uit. Hier is een voorbeeld van succesvolle PEAP-MSCHAPv2-verificatie.
Gebruik de debug commando's om de volgorde van de gebeurtenissen te begrijpen die voorkomen.
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.
Deze debug-opdrachten op de draadloze LAN-controller zijn handig.
debug dot1x gebeurtenissen inschakelen —om het debuggen van 802.1x gebeurtenissen te configureren
debug aaa gebeurtenissen enable-om het zuiveren van gebeurtenissen te vormen AAA
debug mac addr <mac address> —om MAC-debugging te configureren gebruikt u de opdracht debug mac
debug dhcp bericht inschakelen —om debug van DHCP-foutmeldingen te configureren
Dit zijn de voorbeelduitgangen van de debug dot1x gebeurtenissen toelaten bevel en zuiveren client <mac address> bevel.
debug dot1x gebeurtenissen inschakelen:
Tue Dec 18 06:58:45 2007: 00:40:96:ac:e6:57 Received EAPOL START from mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:45 2007: 00:40:96:ac:e6:57 Sending EAP-Request/Identity to mobile 00:40:96:ac:e6:57 (EAP Id 2) Tue Dec 18 06:58:45 2007: 00:40:96:ac:e6:57 Received Identity Response (count=2) from mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 3) Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 3, EAP Type 25) Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 4) Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 4, EAP Type 25) Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 5) Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 5, EAP Type 25) Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 6) Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 6, EAP Type 25) Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 7) Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 7, EAP Type 25) Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 8) Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 8, EAP Type 25) Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 9) Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 9, EAP Type 25) Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 10) Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 10, EAP Type 25) Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 11) Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 11, EAP Type 25) Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 12) Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 12, EAP Type 25) Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Accept for mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Creating a new PMK Cache Entry for station 00:40:96:ac:e6:57 (RSN 0) Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP-Success to mobile 00:40:96:ac:e6:57 (EAP Id 13) Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending default RC4 key to mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending Key-Mapping RC4 key to mobile 00:40:96:ac:e6:57 Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received Auth Success while in Authenticating state for mobile 00:40:96:ac:e6:57
debug mac addr <MAC Address>:
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Association received from mobile 00:40:96:ac:e6:57 on AP 00:0b:85:51:5a:e0 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 STA: 00:40:96:ac:e6:57 - rates (8): 12 18 24 36 48 72 96 108 0 0 0 0 0 0 0 0 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN (20) Change state to START (0) Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 START (0) Initializing policy Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 START (0) Change state to AUTHCHECK (2) Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 AUTHCHECK (2) Change state to 8021X_REQD (3) Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 00:0b:85:51:5a:e0 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Changing state for mobile 00:40:96:ac:e6:57 on AP 00:0b:85:51:5a:e0 from Associated to Associated Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Stopping deletion of Mobile Station: 00:40:96:ac:e6:57 (callerId: 48) Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Sending Assoc Response to station 00:40:96:ac:e6:57 on BSSID 00:0b:85:51:5a:e0 (status 0) Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Changing state for mobile 00:40:96:ac:e6:57 on AP 00:0b:85:51:5a:e0 from Associated to Associated Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 Removed NPU entry. Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 dot1x - moving mobile 00:40:96:ac:e6:57 into Connecting state Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Sending EAP- Request/Identity to mobile 00:40:96:ac:e6:57 (EAP Id 1) Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Received EAPOL START from mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 EAP State update from Connecting to Authenticating for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 dot1x - moving mobile 00:40:96:ac:e6:57 into Authenticating state Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Entering Backend Auth Req state (id=3) for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 3) Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 3, EAP Type 25) Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Entering Backend Auth Req state (id=4) for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 4) Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 4, EAP Type 25) Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Entering Backend Auth Req state (id=5) for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 5) Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 5, EAP Type 25) Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Entering Backend Auth Req state (id=6) for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 6) Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 9, EAP Type 25) Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Entering Backend Auth Req state (id=10) for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 10) Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 10, EAP Type 25) Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Entering Backend Auth Req state (id=11) for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 11) Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 11, EAP Type 25) Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Processing Access-Accept for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Creating a new PMK Cache Entry for station 00:40:96:ac:e6:57 (RSN 0) Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Sending EAP-Success to mobile 00:40:96:ac:e6:57 (EAP Id 12) Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Sending default RC4 key to mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Sending Key-Mapping RC4 key to mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 00:0b:85:51:5a:e0 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 L2AUTHCOMPLETE (4) Change state to RUN (20) Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN (20) Reached PLUMBFASTPATH: from line 4041 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN (20) Replacing Fast Path rule type = Airespace AP Client on AP 00:0b:85:51:5a:e0, slot 0, interface = 2 ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN (20) Card = 0 (slot 0), InHandle = 0x00000000, OutHandle = 0x00000000, npuCryptoFlag = 0x0000 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN (20) Successfully plumbed mobile rule (ACL ID 255) Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN (20) Reached RETURN: from line 4041 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Entering Backend Auth Success state (id=12) for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Received Auth Success while in Authenticating state for mobile 00:40:96:ac:e6:57 Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 dot1x - moving mobile 00:40:96:ac:e6:57 into Authenticated state
Opmerking: als u de Microsoft Supplicant gebruikt voor verificatie met een Cisco Secure ACS voor PEAP-verificatie, wordt de client mogelijk niet geverifieerd. Soms kan de eerste verbinding met succes worden geverifieerd, maar latere pogingen voor snelle verificatie maken geen verbinding met succes. Dit is een bekende kwestie. De details van dit probleem en de oplossing voor hetzelfde zijn hier beschikbaar.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
22-Feb-2008 |
Eerste vrijgave |