De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Deze documenten beschrijft hoe u een Wireless Local Area Network (WLAN) kunt instellen met 802.1x-beveiliging in een Mobility Express controller. In dit document wordt ook het gebruik van Extensible Authentication Protocol (EAP) - Transport Layer Security (TLS) specifiek uitgelegd.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
TLS server_hello handshake message certificate server_key_exchange certificate request server_hello_done.
Certificate ¬ Server can validate to verify that it is trusted. client_key_exchange certificate_verify ¬ Verifies the server is trusted change_cipher_spec TLS finished
Stap 1. De eerste stap is het maken van een WLAN-functie bij Mobility Express. Om een WLAN te maken, navigeer dan naar WLAN > Voeg nieuwe WLAN toe zoals in de afbeelding.
Stap 2. Er verschijnt een nieuw pop-upvenster nadat u op Add new WLAN klikt. Als u een Profile name wilt maken, navigeer u om nieuwe WLAN > General toe te voegen zoals in de afbeelding.
Stap 3. Configureer het verificatietype als WAP Enterprise voor 802.1x en stel RADIUS-server in onder Add new WLAN > WLAN-beveiliging zoals in de afbeelding.
Stap 4. Klik op RADIUS-verificatieserver toevoegen en geef het IP-adres op van de RADIUS-server en het gedeelde geheim dat precies overeenkomt met wat op ISE is ingesteld en klik vervolgens op Toepassen zoals in de afbeelding.
Om het beleid te kunnen bouwen, moet u de toegestane protocollijst maken die in uw beleid moet worden gebruikt. Aangezien er een dot1x-beleid is geschreven, moet u het toegestane MAP-type specificeren op basis van de manier waarop het beleid wordt ingesteld.
Als u de standaardinstelling gebruikt, staat u de meeste MAP-typen toe voor authenticatie die wellicht niet de voorkeur genieten als u de toegang tot een specifiek MAP-type moet afsluiten.
Stap 1. Navigeer in op Policy > Policy Elementen > Resultaten > Verificatie > Toegestane protocollen en klik op Add zoals in de afbeelding.
Stap 2. Op deze toegestane protocollijst kunt u de naam voor de lijst invoeren. In dit geval is het vakje EAP-TLS toestaan ingeschakeld en zijn andere vakjes niet ingeschakeld zoals in de afbeelding wordt weergegeven.
Stap 1. Open ISE-console en navigeer naar Beheer > Netwerkbronnen > Netwerkapparaten > Toevoegen zoals in de afbeelding.
Stap 2. Voer de informatie in zoals in de afbeelding.
Stap 1. Navigeer naar Administratie > Systeem > Certificaten > certificaatbeheer > Vertrouwde certificaten.
Klik op Importeren om een certificaat te importeren naar ISE. Zodra u een WLC hebt toegevoegd en een gebruiker op ISE hebt gemaakt, moet u het belangrijkste onderdeel van EAP-TLS doen dat is om het certificaat op ISE te vertrouwen. Daarvoor moet je CSR genereren.
Stap 2. Navigeer naar Advisering > Certificaten > Verzoeken voor certificatie > Generate certificaatsignalering (CSR) zoals in de afbeelding getoond.
Stap 3. Om CSR te genereren, navigeer dan naar Gebruik en van het(de) Certificaat(en) wordt (worden) gebruikt voor uitrolopties, selecteer EAP-verificatie zoals in de afbeelding.
Stap 4. Het CSR dat op ISE is gegenereerd, kan worden bekeken. Klik op Weergeven zoals in de afbeelding.
Stap 5. Wanneer CSR gegenereerd is, bladert u naar een CA-server en klikt u op Een certificaat aanvragen zoals in de afbeelding:
Stap 6. Nadat u een certificaat hebt aangevraagd, krijgt u opties voor Gebruikerscertificaat en geavanceerde certificaataanvraag, klikt u op geavanceerde certificaataanvraag zoals in de afbeelding.
Stap 7. Plakt de CSR die in Base-64 gecodeerd certificaatverzoek is gegenereerd. Selecteer de optie Webserver selecteren in de vervolgkeuzelijst: klik op Webserver en klik op Inzenden zoals in de afbeelding.
Stap 8. Zodra u op Inzenden klikt, krijgt u de optie om het type certificaat te selecteren, selecteert u Base-64 gecodeerd en klikt u op Download certificaat zoals in de afbeelding.
Stap 9. Het certificaat is gedownload voor de ISE-server. U kunt het certificaat opvragen, het certificaat bevat twee certificaten, één wortelcertificaat en een ander tussenproduct. Het basiscertificaat kan worden geïmporteerd onder Beheer > Certificaten > Vertrouwde certificaten > Importeren zoals in de afbeeldingen.
Stap 10. Zodra u op Inzenden klikt, wordt het certificaat toegevoegd aan de lijst met vertrouwde certificaten. Bovendien is het intermediaire certificaat nodig om aan CSR te binden zoals in de afbeelding.
Stap 1. Zodra u op Bind certificaat klikt, kunt u het certificaatbestand kiezen dat in uw bureaublad is opgeslagen. Bladeren naar het intermediaire certificaat en klik op Inzenden zoals in de afbeelding.
Stap 12. Om het certificaat te kunnen weergeven, navigeer dan naar Administratie > Certificaten > Systeemcertificaten zoals in de afbeelding.
Stap 1. Om een draadloze gebruiker via EAP-TLS te authentiseren, moet u een client certificaat genereren. Sluit uw Windows-computer aan op het netwerk zodat u toegang hebt tot de server. Open een webbrowser en voer dit adres in: https://sever ip adr./certsrv
Stap 2. Merk op dat de CA hetzelfde moet zijn als waarmee het certificaat voor ISE is gedownload.
Hiervoor moet u voor dezelfde CA-server bladeren die u het certificaat voor server hebt gedownload. Klik op Aanvragen van een certificaat zoals eerder gedaan. U moet echter deze keer Gebruiker selecteren als de certificaatsjabloon zoals in de afbeelding weergegeven.
Stap 3. Klik vervolgens op de downloadcertificaatketen zoals eerder voor de server is gedaan.
Nadat u de certificaten heeft gekregen, volgt u deze stappen om het certificaat op Windows-laptop te importeren.
Stap 4. Om het certificaat te kunnen importeren, moet u het vanaf de Microsoft Management Console (MMC) benaderen.
Nadat het certificaat is ingevoerd, moet u uw draadloze client (Windows bureaublad in dit voorbeeld) voor EAP-TLS configureren.
Stap 1. Verander het draadloze profiel dat eerder was gemaakt voor Protected Extensible Authentication Protocol (PEAP) om in plaats daarvan EAP-TLS te gebruiken. Klik op EAP draadloos profiel.
Stap 2. Selecteer Microsoft: Smart Card of ander certificaat en klik op OK zoals in de afbeelding.
Stap 3. Klik op Instellingen en selecteer het basiscertificaat dat is verstrekt vanaf een CA-server zoals in de afbeelding.
Stap 4. Klik op Geavanceerde instellingen en selecteer Gebruiker of computerverificatie in het tabblad 802.1x Instellingen zoals in de afbeelding.
Stap 5. Probeer nu opnieuw verbinding te maken met het draadloze netwerk, selecteer het juiste profiel (EAP in dit voorbeeld) en Connect. U bent aangesloten op het draadloze netwerk zoals in de afbeelding wordt weergegeven.
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Stap 1. Het MAP-type van de cliënt moet een MAP-TLS zijn. Dit betekent dat de cliënt, met behulp van EAP-TLS, een IP-adres heeft verkregen en bereid is het verkeer door te geven zoals in de afbeeldingen wordt getoond.
Stap 2. Dit is de clientdetails van CLI van de controller (vastgemaakt):
(Cisco Controller) >show client detail 34:02:86:96:2f:b7 Client MAC Address............................... 34:02:86:96:2f:b7 Client Username ................................. Administrator AP MAC Address................................... c8:f9:f9:83:47:b0 AP Name.......................................... AP442b.03a9.7f72 AP radio slot Id................................. 1 Client State..................................... Associated Client User Group................................ Administrator Client NAC OOB State............................. Access Wireless LAN Id.................................. 6 Wireless LAN Network Name (SSID)................. ME_EAP Wireless LAN Profile Name........................ ME_EAP Hotspot (802.11u)................................ Not Supported BSSID............................................ c8:f9:f9:83:47:ba Connected For ................................... 18 secs Channel.......................................... 56 IP Address....................................... 10.127.209.55 Gateway Address.................................. 10.127.209.49 Netmask.......................................... 255.255.255.240 IPv6 Address..................................... fe80::2818:15a4:65f9:842 --More-- or (q)uit Security Policy Completed........................ Yes Policy Manager State............................. RUN Policy Type...................................... WPA2 Authentication Key Management.................... 802.1x Encryption Cipher................................ CCMP-128 (AES) Protected Management Frame ...................... No Management Frame Protection...................... No EAP Type......................................... EAP-TLS
Stap 3. Op ISE, navigeer naar ACHTERGROND > Eindpunten > Eigenschappen zoals in de afbeeldingen.
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.