使用PEAP身份驗證配置工作組網橋
簡介
本檔案介紹如何將工作群組橋接器(WGB)設定為連線到使用受保護可擴充驗證通訊協定(PEAP)和9800無線LAN控制器(WLC)的802.1X服務組識別碼(SSID)。
必要條件
需求
思科建議您瞭解以下主題:
- C9800 WLC
- WGB
- 802.1X通訊協定
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 適用於WGB的Cisco IOS®版本15.3(3)JPN1
- 適用於WLC的Cisco IOS XE版本17.9.2
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
網路圖表
在本示例中,IW3702自主接入點(AP)配置為WGB並連線到輕量接入點網路。使用此SSID, dot1XSSID-R,用於連線WLAN,並使用PEAP進行WGB到網路的身份驗證。
配置WGB
若要設定WGB,請完成以下步驟:
- 設定主機名。
configure terminal
hostname WGB-Client - 配置時間。時間必須正確,以便證書可以安裝在WGB上。
clock set hh:mm:ss dd Month yyyy
example: clock set 15:33:00 15 February 2023 - 為證書頒發機構(CA)配置信任點:
- 註冊終端 — 允許您從驗證器複製/貼上證書。在本例中,身份服務引擎(ISE)到WGB。
- 吊銷 — 不檢查。我們通知WGB不要對伺服器證書執行任何進一步的驗證。此命令是避免思科錯誤ID CSCsl07349(僅限註冊客戶)中描述的問題所必需的。WGB經常取消關聯/重新關聯,重新連線需要很長時間。
crypto pki trustpoint isecert
enrollment terminal
revocation-check none
- 下載身份驗證器證書。
- 獲取CA證書的副本。在本示例中,我們使用ISE作為身份驗證器伺服器。導覽至管理>系統>憑證。
- 確定ISE用於EAP身份驗證的證書(「Use By」列具有EAP身份驗證)並下載該證書,如螢幕截圖所示。
- 上述步驟會導致
.pem檔案。這是要安裝在WGB中的證書,以便可以建立隧道並在其中交換憑據。
- 安裝CA證書:
- 輸入
crypto pki authenticate isecert指令。 - 開啟
.pem檔案並複製字串。格式如下:-----BEGIN CERTIFICATE-----
[ ... ]
-----END CERTIFICATE----- - 複製/貼上CA證書>按空行
Enter>輸入quit在最後一行上。 - 貼上來自的文本
.cer在上一步中下載的檔案。-----BEGIN CERTIFICATE-----
[ ... ]
-----END CERTIFICATE----
(hit enter)
quit
(hit enter)
Certificate has the following attributes:
Fingerprint: 45EC6866 A66B4D8F 2E05960F BC5C1B76
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
- 輸入
- 在WGB上定義身份驗證方法(本例中為
peap.conf terminal
eap profile peap
method peap
end - 配置WGB的憑據(本例中為)
cred.確保新增我們建立的信任點(在本例中)isecert.dot1x credentials CRED
username userWGB
password 7 13061E010803
pki-trustpoint isecert - 在WGB上配置SSID,並確保對EAP配置檔案和憑證使用正確的字串(本例中為
peap和cred,分別.
註:對於
authentication open eap <string>命令,您可以輸入任何內容。此配置與WGB上的其他命令無關。configure terminal
dot11 ssid dot1XSSID-R
authentication open eap PEAP
authentication key-management wpa
dot1x credentials cred
dot1x eap profile peap
infrastructure-ssid此時,AP配置類似於此示例。輸入
show run指令。Building configuration...
version 15.3
!
hostname WGB-Client
!
.....
!
dot11 ssid dot1XSSID-R
authentication open eap PEAP
authentication key-management wpa
dot1x credentials cred
dot1x eap profile peap
infrastructure-ssid
!
eap profile PEAP
method peap
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint isecert
enrollment terminal
revocation-check none
!
crypto pki certificate chain isecert
certificate ca 5CC74BD9508B78AF4AB5C5F84C32AC2A
...
C3B7249C F75C4525 D02A40AB 50E19196 9D1C2853 8BAEFDFC 1CE1945E 1CABC51B AFF5
quit
!
dot1x credentials PEAP
username userWGB
password 7 13061E010803
pki-trustpoint isecert
!
....
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid dot1XSSID-R
!
antenna gain 0
station-role workgroup-bridge
bridge-group 1
bridge-group 1 spanning-disabled
!
.....
驗證
使用本節內容,確認您的組態是否正常運作。
若要驗證WGB上的關聯,請顯示dot11關聯。
WLC中的WGB關聯如下所示:
9800#show wireless client summary
Number of Clients: 3
MAC Address AP Name Type ID State Protocol Method Role
-------------------------------------------------------------------------------------------------------------------------
843d.c6e8.76e0 AP687D.B45C.46E8 WLAN 3 RUN 11ac Dot1x Local
9800-rafenriq#show wireless wgb summary
Number of WGBs: 1
MAC Address AP Name WLAN State Clients
---------------------------------------------------------------------------------
843d.c6e8.76e0 AP687D.B45C.46E8 3 RUN 2
9800-rafenriq#show wireless wgb mac-address 843d.c6e8.76e0 detail
Work Group Bridge
MAC Address : 843d.c6e8.76e0
AP Name : AP687D.B45C.46E8
WLAN ID : 3
State : RUN
Number of Clients: 2
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
調試工作組橋
若要調試WGB,請輸入以下命令:
debug aaa authentication
debug dot11 supp-sm-dot1
在WLC中調試WGB
由於WGB的運作方式與另一個無線使用者端相同,因此請參閱疑難排解Catalyst 9800使用者端連線問題流程,以便收集9800 WLC上的追蹤和擷取。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
22-Feb-2023 |
已針對9800 WLC和WGB的新版本進行更新。 |
1.0 |
14-Jan-2013 |
初始版本 |
意見