Wi-Fi beschermde toegang (WAP) in een Cisco Unified Wireless Network Configurationvoorbeeld

(1)

Wi-Fi beschermde toegang (WAP) in een Cisco Unified Wireless Network Configuration-

voorbeeld

Inhoud

Inleiding Voorwaarden Vereisten

Gebruikte componenten Conventies

Ondersteuning van WAP en WAP2 Netwerkinstelling

Apparaten voor WAP2 Enterprise Mode configureren

Configureer de WLC voor RADIUS-verificatie met een externe RADIUS-server Configureer de WLAN voor de bedrijfsmodus van WAP2

Het configureren van de RADIUS-server voor WAP2 Enterprise Mode verificatie (EAP-FAST) Configureer de draadloze client voor WAP2 ondernemingsmodus

Apparaten voor de Persoonlijke modus voor WAP2 configureren Problemen oplossen

Gerelateerde informatie

Inleiding

Dit document beschrijft hoe u Wi-Fi beschermde access (WAP) kunt configureren in een Cisco Unified Wireless Network.

Voorwaarden

Vereisten

Zorg ervoor dat u basiskennis van deze onderwerpen hebt voordat u deze configuratie probeert:

medearbeidster

●

Draadloze LAN (WLAN) beveiligingsoplossingenOpmerking: Raadpleeg het Cisco Wireless LAN Security Overzicht voor informatie over Cisco WLAN-beveiligingsoplossingen.

●

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

(2)

Cisco 1000 Series lichtgewicht access point (LAP)

●

Cisco 4404 draadloze LAN-controller (WLC) met firmware 4.2.61.0

●

Cisco 802.11a/b/g clientadapter voor firmware 4.1

●

Aironet Desktop Utility (ADU) dat firmware 4.1 uitvoert

●

Cisco Secure ACS Server versie 4.1

●

De informatie in dit document is gebaseerd op de apparaten in een specifieke

laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Ondersteuning van WAP en WAP2

Het Cisco Unified Wireless Network biedt ondersteuning voor de Wi-Fi Alliance-certifications WAP en WAP2. WAP is in 2003 geïntroduceerd door de Wi-Fi Alliance. WAP2 werd in 2004

geïntroduceerd door de Wi-Fi Alliance. Alle producten Wi-Fi gecertificeerd voor WAP2 moet interoperabel zijn met producten die Wi-Fi gecertificeerd zijn voor WAP.

WAP en WAP2 bieden eindgebruikers en netwerkbeheerders een hoog niveau van zekerheid dat hun gegevens privé zullen blijven en dat de toegang tot hun netwerken beperkt zal zijn tot

geautoriseerde gebruikers. Beiden hebben persoonlijke en bedrijfsmodi die aan de verschillende behoeften van de twee marktsegmenten beantwoorden. De ondernemingsmodus van elk gebruikt IEEE 802.1X en EAP voor authenticatie. De persoonlijke modus van elk gebruik Pre-Shared Key (PSK) voor authenticatie. Cisco raadt geen persoonlijke modus aan voor bedrijfs- of

overheidsimplementaties omdat deze een PSK voor gebruikersverificatie gebruiken. PSK is niet veilig voor ondernemingsomgevingen.

WAP richt zich op alle bekende kwetsbaarheden van WLAN in de originele de

veiligheidsimplementatie van IEEE 802.11 die een onmiddellijke veiligheidsoplossing aan WLANs in zowel onderneming als kleine kantoor/huiskamer (SOHO) omgevingen brengt. WAP gebruikt TKIP voor encryptie.

WAP2 is de volgende generatie Wi-Fi-beveiliging. Het is de interoperabele implementatie van de geratificeerde IEEE 802.11i-standaard. Het implementeert het door het National Institute of Standards and Technology (NIST) aanbevolen AES-encryptie-algoritme met behulp van de Counter Mode met Cipher Block Chaining Message Authentication Protocol (CCMP). WAP2 vergemakkelijkt de naleving van FIPS 140-2.

Vergelijking van typen WAP- en WAP2-modus

medearbeidste

r WAP2

Enterprise Mode (zakelijk, overheid, onderwijs)

Verificatie:

IEEE 802.1X/EA P

●

Encryptie:

TKIP/MIC

●

Verificatie:

IEEE 802.1X/E AP

●

Encryptie:

AES-

●

(3)

CCMP Persoonlijke modus

(SOHO,

startpunt/persoonlijk)

Verificatie:

PSK

●

Encryptie:

TKIP/MIC

●

Verificatie:

PSK

●

Encryptie:

AES- CCMP

●

In bedrijfsmodus zowel WAP als WAP2 gebruiken we 802.1X/EAP voor verificatie. 802.1X biedt WLAN’s met sterke wederzijdse verificatie tussen een client en een verificatieserver. Bovendien biedt 802.1X dynamische encryptiesleutels per gebruiker, per sessie, een einde aan de

administratieve last en veiligheidskwesties rond statische encryptiesleutels.

Met 802.1X worden de aanmeldingsgegevens die voor de verificatie worden gebruikt, zoals wachtwoorden voor het aanmelden, nooit in het heldere communicatiemiddel of zonder encryptie op het draadloze medium verzonden. Terwijl 802.1X authenticatietypen sterke authenticatie bieden voor draadloze LAN's, zijn TKIP of AES nodig voor encryptie naast 802.1X aangezien de standaard 802.11 de encryptie van het gebruik van een netwerk, kwetsbaar voor

netwerkaanvallen.

Er bestaan verschillende 802.1X-authenticatietypen, die elk een andere benadering van authenticatie bieden, waarbij wordt vertrouwd op hetzelfde kader en MAP voor communicatie tussen een cliënt en een toegangspunt. Cisco Aironet-producten ondersteunen meer 802.1X MAP-verificatietypen dan alle andere WLAN-producten. Ondersteunde typen zijn:

Cisco LEAP

●

EAP-flexibele verificatie via Secure Tunneling (EAP-FAST)

●

EAP-TLS-beveiliging (Transport Layer Security)

●

Protected Extensible Authentication Protocol (PEAP)

●

EAP-Tunneled TLS (EAP-TTLS)

●

EAP-Subscriber Identity Module (EAP-SIM)

●

Een ander voordeel van 802.1X authenticatie is gecentraliseerd beheer voor WLAN-

gebruikersgroepen, inclusief op beleid gebaseerde sleutelrotatie, dynamische sleuteltoewijzing, dynamische VLAN-toewijzing en SSID-beperking. Deze functies roteren de encryptiesleutels.

In de Persoonlijke werkingsmodus wordt een vooraf gedeelde sleutel (wachtwoord) gebruikt voor authenticatie. De persoonlijke modus vereist alleen een toegangs- en clientapparaat, terwijl de ondernemingsmodus doorgaans een RADIUS- of andere verificatieserver op het netwerk vereist.

Dit document bevat voorbeelden voor het configureren van WAP2 (Enterprise Mode) en WAP2- PSK (Persoonlijke modus) in een Cisco Unified Wireless-netwerk.

Netwerkinstelling

In deze installatie worden een Cisco 4404 WLC en een Cisco 1000 Series LAP aangesloten via een Layer 2-switch. Een externe RADIUS-server (Cisco Secure ACS) is ook aangesloten op dezelfde switch. Alle apparaten zijn in hetzelfde net. Het toegangspunt (LAP) is oorspronkelijk geregistreerd bij de controller. Er moeten twee draadloze LAN’s worden gemaakt, één voor WAP2 Enterprise-modus en één voor WAP2 Persoonlijke modus.

WAP2-Enterprise Mode WLAN (SSID): WAP2-Enterprise) zal EAP-FAST gebruiken voor het

(4)

authenticeren van de draadloze klanten en AES voor encryptie. Cisco Secure ACS-server wordt gebruikt als de externe RADIUS-server voor het authenticeren van de draadloze clients.

WAP2-Mobile mode WLAN (SSID): WAP2-PSK) gebruikt WAP2-PSK voor verificatie met de vooraf gedeelde toets "abcdefghijk".

U dient de instellingen voor deze instelling te configureren:

Apparaten voor WAP2 Enterprise Mode configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Voer deze stappen uit om de apparatuur voor de werking van WAP2 Enterprise te configureren:

Configureer de WLC voor RADIUS-verificatie met een externe RADIUS-server 1.

WLAN’s configureren voor WAP2-ondernemingsmodus (EAP-FAST) 2.

De draadloze client voor WAP2 Enterprise Mode configureren 3.

Configureer de WLC voor RADIUS-verificatie met een externe RADIUS-server

De WLC moet worden geconfigureerd om de gebruikersreferenties naar een externe RADIUS- server te kunnen doorsturen. De externe RADIUS-server bevestigt vervolgens de

gebruikersreferenties met EAP-FAST en geeft toegang tot de draadloze klanten.

(5)

Voltooi deze stappen om de WLC te configureren voor een externe RADIUS-server:

Kies Security en RADIUS-verificatie van de controller GUI om de pagina RADIUS- verificatieservers weer te geven. Klik vervolgens op New om een RADIUS-server te definiëren.

1.

Defineert de parameters van de RADIUS-server op de RADIUS-verificatieservers > Nieuwe pagina. Deze parameters omvatten:IP-adres voor RADIUS-serversGedeeld

geheimPoortnummerServerstatusDit document gebruikt de ACS-server met een IP-adres van

10.7.24.196.

2.

Klik op Toepassen.

3.

Configureer de WLAN voor de bedrijfsmodus van WAP2

Daarna moet u het WLAN configureren dat de client gebruikt om verbinding te maken met het draadloze netwerk. De WLAN SSID voor de bedrijfsmodus WAP2 is WAP2-Enterprise. Dit voorbeeld wijst dit WLAN aan de beheerinterface toe.

Voltooi deze stappen om de WLAN’s en de bijbehorende parameters te configureren:

Klik op WLAN’s vanuit de GUI van de controller om de WLAN’s pagina weer te geven.Deze pagina toont de WLAN’s die op de controller bestaan.

1.

Klik op Nieuw om een nieuw WLAN te maken.

2.

Voer de WLAN-naam en de naam van het profiel in op de WLAN’s > Nieuwe pagina. Klik vervolgens op Toepassen.Dit voorbeeld gebruikt WAP2-Enterprise als

SSID.

3.

(6)

Zodra u een nieuw WLAN hebt gemaakt, wordt de WLAN > pagina bewerken voor de nieuwe WLAN weergegeven. Op deze pagina kunt u verschillende parameters definiëren die

specifiek zijn voor dit WLAN. Dit omvat algemeen beleid, veiligheidsbeleid, QOS - beleid en geavanceerde parameters.

4.

Onder Algemeen beleid, controleer de optie Status om het WLAN in te schakelen.

5.

Als u wilt dat AP de SSID in zijn beacon kaders uitzendt, controleer het aanvinkvakje Broadcast SSID.

6.

Klik op het tabblad Beveiliging. Selecteer onder Layer 2 Security de optie WAP+WAP2.Dit maakt WAP-verificatie voor WLAN

mogelijk.

7.

(7)

Scrolt door de pagina om de parameters van WAP+WAP2 aan te passen.In dit voorbeeld worden het WAP2-beleid en de AES-encryptie

geselecteerd.

8.

Kies onder Auth Key Mgmt 802.1x.Hierdoor kan WAP2 worden gebruikt voor 802.1x/EAP- verificatie en AES-encryptie voor WLAN.

9.

Klik op het tabblad AAA-servers. Kies onder Verificatieservers het juiste IP-adres van de server.In dit voorbeeld wordt 10.77.244.196 gebruikt als RADIUS-

10.

(8)

server.

Klik op Toepassen.Toelichting: Dit is de enige MAP-instelling die op de controller moet worden ingesteld voor MAP-verificatie. Alle andere configuraties die specifiek zijn voor EAP-FAST moeten worden uitgevoerd op de RADIUS-server en de klanten die

geauthentiseerd moeten worden.

11.

Het configureren van de RADIUS-server voor WAP2 Enterprise Mode verificatie (EAP-FAST)

In dit voorbeeld wordt Cisco Secure ACS gebruikt als de externe RADIUS-server. Voer deze stappen uit om de RADIUS-server voor EAP-FAST-verificatie te configureren:

Een gebruikersdatabase maken om clients voor verificatie te maken 1.

Voeg WLC als AAA-client toe aan de RADIUS-server 2.

EAP-FAST-verificatie op de RADIUS-server configureren met anonieme Inband-PAC- provisioningOpmerking: EAP-FAST kan worden geconfigureerd met Anoniem in-band PAC Provisioning of geauthentiseerd in-band PAC Provisioning. Dit voorbeeld gebruikt

Anonymous In-band PAC Provisioning. Raadpleeg voor gedetailleerde informatie en

voorbeelden bij het configureren van EAP FAST met anonieme In-band PAC Provisioning en geverificeerde In-band Provisioning EAP-FAST verificatie met draadloze LAN-controllers en het Configuratievoorbeeld van externe RADIUS-servers.

3.

Een gebruikersdatabase maken om EAP-FAST-clients te certificeren

Voltooi deze stappen om een gebruikersdatabank te maken voor EAP-FAST-klanten op de ACS.

In dit voorbeeld worden de gebruikersnaam en het wachtwoord van de EAP-FAST-client respectievelijk ingesteld op Gebruiker1 en Gebruiker1.

(9)

Selecteer in de navigatiebalk de optie Gebruikersinstelling in de ACS-GUI. Maak een nieuw gebruikersdraadloos, en klik vervolgens op Toevoegen/Bewerken om naar de pagina

Bewerken van deze gebruiker te gaan.

1.

Klik vanuit de pagina met gebruikersinstellingen Bewerken op Real Name en Description en op de wachtwoordinstellingen zoals in dit voorbeeld.Dit document maakt gebruik van ACS Interne Database voor

Wachtwoordverificatie.

2.

(10)

Kies ACS Interne database uit het uitrolvak Wachtwoordverificatie.

3.

Configureer alle andere vereiste parameters en klik op Indienen.

4.

Voeg WLC als AAA-client toe aan de RADIUS-server

Voltooi deze stappen om de controller te definiëren als een AAA-client op de ACS-server:

Klik op Netwerkconfiguratie vanuit de ACS-GUI. Klik onder het gedeelte AAA-client aan de pagina Network Configuration op Add Entry om de WLC als AAA-client aan de RADIUS- server toe te voegen.

1.

Specificeer vanuit de AAA-clientpagina de naam van de WLC, IP-adres, gedeeld geheim en verificatiemethode (RADIUS/Cisco ABBYY). Raadpleeg de documentatie van de fabrikant voor andere niet-ACS-

verificatieservers.

2.

(11)

Opmerking: de gedeelde geheime sleutel die u op de WLC en de ACS server vormt moet overeenkomen. Het gedeelde geheim is hoofdlettergevoelig.

Klik op Inzenden+Toepassen.

3.

EAP-FAST-verificatie op de RADIUS-server configureren met anonieme Inband-PAC-provisioning

Anonieme inband-provisioning

Dit is één van de twee in-band-provisioningmethoden waarin de ACS een beveiligde verbinding met de eindgebruiker-cliënt tot stand brengt met het doel de klant een nieuwe PAC te verstrekken.

Deze optie staat een anonieme TLS handdruk tussen de eindgebruiker client en ACS toe.

Deze methode werkt binnen een Authenticated Diffie-Hellman Key Agreement Protocol (ADHP)- tunnel voordat de peer de ACS-server authentiek verklaart.

Vervolgens vereist het ACS de MAP-MS-CHAPv2 authenticatie van de gebruiker. Bij succesvolle gebruikersverificatie stelt de ACS een Diffie-Hellman tunnel in met de eindgebruiker client. ACS genereert een PAC voor de gebruiker en stuurt het naar de eindgebruiker client in deze tunnel, samen met informatie over dit ACS. Bij deze voorzieningsmethode wordt EAP-MSCHAPv2 gebruikt als de authenticatiemethode in fase nul en EAP-GTC in fase twee.

Omdat een niet-geauthentiseerde server voorzien is, is het niet mogelijk om een eenvoudig

tekstwachtwoord te gebruiken. Daarom kunnen alleen MS-CHAP geloofsbrieven binnen de tunnel worden gebruikt. MS-CHAPv2 wordt gebruikt om de identiteit van de peer te bewijzen en krijgt een PAC voor verdere authenticatiesessies (EAP-MS-CHAP zal alleen als binnenmethode worden gebruikt).

(12)

Voltooi deze stappen om EAP-FAST-verificatie in de RADIUS-server te configureren voor anonieme in-band provisioning:

Klik op System Configuration van de RADIUS-serverGUI. Selecteer in de pagina Systeemconfiguratie de optie Global Verification-

instelling.

1.

Klik vanuit de setup-pagina van Global Verificatie op EAP-FAST Configuration om naar de pagina met EAP-FAST-instellingen te

gaan.

2.

(13)

Kijk in het aanvinkvakje EAP-FAST op de pagina EAP-FAST-instellingen om EAP-FAST in de RADIUS-server mogelijk te

maken.

3.

(14)

Configureer de hoofdtoets TTL (Time-to-Live) van de actieve/afgedankte toets naar wens of stel deze in op de standaardwaarde zoals in dit voorbeeld.Raadpleeg Master Keys voor informatie over Actieve en Gepensioneerde hoofdtoetsen. Raadpleeg ook Master Keys en PAC TLs voor meer informatie.Het veld Infraroodnaam van de Autoriteit vertegenwoordigt de tekstidentiteit van deze ACS-server, die een eindgebruiker kan gebruiken om te bepalen tegen welke ACS-server gewaarmerkt moet worden. Dit veld invullen is verplicht.In het veld eerste display van de client wordt een bericht verzonden naar gebruikers die een MAP- FAST-client als authentiek beschouwen. Maximale lengte is 40 tekens. Een gebruiker ziet het eerste bericht alleen als de eindgebruiker de weergave ondersteunt.

4.

Als u wilt dat ACS anonieme in-band PAC provisioning uitvoert, controleer dan het vakje Toestanonieme in-band PAC provisioning.

5.

Toegestaan innerlijke methoden—Deze optie bepaalt welke innerlijke MAP-methoden binnen de MAP-FAST TLS-tunnel kunnen worden gebruikt. Voor anonieme in-band provisioning moet u EAP-GTC en EAP-MS-CHAP inschakelen voor compatibiliteit met de achterzijde. Als u de optie anoniem in-band PAC-provisioning toestaan, moet u EAP-MS-CHAP (fase nul) en EAP-GTC (fase twee) selecteren.

6.

Configureer de draadloze client voor WAP2 ondernemingsmodus

De volgende stap is de draadloze client te configureren voor de WAP2 Enterprise-modus.

Voltooi deze stappen om de draadloze client voor de WAP2 Enterprise-modus te configureren.

Klik vanuit het venster Aironet Desktop Utility op Profile Management > New om een profiel te maken voor de WAP2-Enterprise WLAN-gebruiker.Zoals eerder vermeld, gebruikt dit 1.

(15)

document de WLAN/SSID naam als WAP2-Enterprise voor de draadloze client.

Klik vanuit het venster Profile Management op het tabblad General en stel de Profile Name, Client Name en SSID in zoals in dit voorbeeld wordt getoond. Klik vervolgens op

OK 2.

Klik op het tabblad Beveiliging en kies WAP/WAP2/CCKM om de werking van WAP2 in te schakelen. Kies onder het type WAP/WAP2/CCKM EAP FAST. Klik op Configureren om de instelling EAP-FAST te

configureren.

3.

(16)

Controleer in het venster EAP-FAST toestaan het aanvinkvakje Automatic PAC Provisioning.

Als u anonieme PAC-provisioning wilt configureren wordt EAP-MS-CHAP gebruikt als de enige innerlijke methode in fase

nul.

4.

(17)

Selecteer MSCHAPv2 Gebruikersnaam en Wachtwoord als de authenticatiemethode in het vervolgkeuzevenster van de EAP-FAST Verificatiemethode. Klik op Configureren.

5.

Kies in het venster Gebruikersnaam en wachtwoord configureren MSCHAPv2 de juiste gebruikersnaam en wachtwoordinstellingen.Dit voorbeeld kiest Automatisch oproepen voor Gebruikersnaam en

Wachtwoord.

6.

(18)

D ezelfde gebruikersnaam en -wachtwoord moeten bij de ACS worden geregistreerd. Zoals eerder vermeld, gebruikt dit voorbeeld respectievelijk User1 en User1 als de gebruikersnaam en het wachtwoord. Let er ook op dat dit een anonieme, in-band provisioning is. Daarom kan de client het servercertificaat niet valideren. U moet ervoor zorgen dat het aanvinkvakje Identity voor server valideren niet is ingeschakeld.

Klik op OK.

7.

Controleer de WAP2 Enterprise-modus

Voltooi deze stappen om te controleren of de configuratie van de WAP2-ondernemingsmodus goed werkt:

Selecteer WAP2-Enterprise in het venster Aironet Desktop Utility en klik op Activeren om het draadloze clientprofiel te activeren.

1.

Als u MS-CHAP ver2 als uw authenticatie hebt ingeschakeld, zal de client om de 2.

(19)

gebruikersnaam en het wachtwoord

vragen.

Tijdens de MAP-FAST verwerking van de gebruiker wordt u door de client gevraagd om PAC-gegevens op de RADIUS-server aan te vragen. Wanneer u op Ja klikt, wordt de PAC- voorziening

gestart.

3.

Na succesvolle PAC-bevoorrading in fase nul volgen fase één en fase twee en vindt een succesvolle authenticatieprocedure plaats.Bij succesvolle verificatie wordt de draadloze client gekoppeld aan WLAN WAP2-Enterprise. Dit is de

screenshot:

4.

(20)

U kunt ook controleren of de RADIUS-server de verificatieaanvraag van de draadloze client ontvangt en geldig maakt. Controleer de Geautomatiseerde verificaties en mislukte

meldingen op de ACS-server om dit te bereiken. Deze verslagen zijn beschikbaar onder Rapporten en Activiteiten op de ACS-server.

Apparaten voor de Persoonlijke modus voor WAP2 configureren

Voer deze stappen uit om de apparaten voor de werking van WAP2 te configureren:

Configuratie van WLAN voor WAP2 persoonlijke mode-verificatie 1.

De draadloze client voor WAP2 persoonlijke modus configureren 2.

WLAN’s configureren voor WAP2 persoonlijke modus

U dient het WLAN-netwerk te configureren dat de clients gebruiken om verbinding te maken met het draadloze netwerk. De WLAN SSID voor WAP2 Persoonlijke modus is WAP2-persoonlijk. Dit voorbeeld wijst dit WLAN aan de beheerinterface toe.

Voltooi deze stappen om de WLAN’s en de bijbehorende parameters te configureren:

Klik op WLAN’s vanuit de GUI van de controller om de WLAN’s pagina weer te geven.Deze pagina toont de WLAN’s die op de controller bestaan.

1.

Klik op Nieuw om een nieuw WLAN te maken.

2.

Voer de WLAN-naam, de naam van het profiel en de WLAN-id in op de WLAN’s > Nieuwe pagina. Klik vervolgens op Toepassen.Dit voorbeeld gebruikt WAP2-persoonlijk als

SSID.

3.

(21)

Zodra u een nieuw WLAN hebt gemaakt, wordt de WLAN > pagina bewerken voor de nieuwe WLAN weergegeven. Op deze pagina kunt u verschillende parameters definiëren die

specifiek zijn voor dit WLAN. Dit omvat algemeen beleid, veiligheidsbeleid, QOS - beleid en geavanceerde parameters.

4.

Onder Algemeen beleid, controleer de optie Status om het WLAN in te schakelen.

5.

Als u wilt dat AP de SSID in zijn beacon kaders uitzendt, controleer het aanvinkvakje Broadcast SSID.

6.

Klik op het tabblad Beveiliging. Selecteer onder Layer Security de optie WAP+WAP2.Dit maakt WAP-verificatie voor WLAN

mogelijk.

7.

Scrolt door de pagina om de parameters van WAP+WAP2 aan te passen.In dit voorbeeld worden het WAP2-beleid en de AES-encryptie geselecteerd.

8.

Kies onder Auth Key Mgmt PSK om WAP2-PSK in te schakelen.

9.

Voer de vooraf gedeelde toets in het juiste veld in zoals wordt weergegeven.

10.

(22)

Opmerking: Vooraf gedeelde sleutel die op de WLC wordt gebruikt, moet overeenkomen met die welke op de draadloze clients is ingesteld.

Klik op Toepassen.

11.

De draadloze client voor WAP2 persoonlijke modus configureren

De volgende stap is de draadloze client te configureren voor WAP2-Mobile modus van de bewerking.

Voltooi deze stappen om de draadloze client voor WAP2-Mobile te configureren:

Klik vanuit het venster Aironet Desktop Utility op Profile Management > New om een profiel te maken voor WAP2-PSK WLAN-gebruiker.

1.

Klik vanuit het venster Profile Management op het tabblad General en stel de Profile Name, Client Name en SSID in zoals in dit voorbeeld wordt getoond. Klik vervolgens op

OK.

2.

(23)

Klik op het tabblad Beveiliging en kies WIS/WP2-wachtwoord om de werking van WAP2-PSK in te schakelen. Klik op Configureren om de voorgedeelde toets WAP-PSK te

configureren.

3.

(24)

Typ de vooraf gedeelde toets en klik op OK.

4.

Controleer de werking van WAP2-persoonlijk

Voltooi deze stappen om te controleren of de configuratie van de WAP2-ondernemingsmodus goed werkt:

Selecteer WAP2-persoonlijk profiel in het venster Aironet Desktop Utility en klik op Activeren om het draadloze clientprofiel te activeren.

1.

Zodra het profiel is geactiveerd, associeert de draadloze client met de WLAN bij succesvolle verificatie.Dit is de

screenshot:

2.

(25)

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Deze debug-opdrachten zijn handig om de configuratie te verbeteren:

Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug- opdrachten gebruikt.

debug van dot1x gebeurtenissen schakelt het debug van alle punt1x gebeurtenissen in. Hier is een voorbeeld debug uitvoer gebaseerd op succesvolle authenticatie:N.B.: Sommige lijnen uit deze uitvoer zijn naar tweede lijnen verplaatst vanwege ruimtebeperkingen.

(Cisco Controller)>debug dot1x events enable

Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Sending EAP -Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)

Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:40:96:af:3e:93

Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 2)

Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Received EAP Response packet with mismatching id (currentid=2, eapid=1) from mobile 00:40:96:af:3e:93

Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Received Identity Response (count=2) from mobile 00:40:96:af:3e:93

Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93

...

Wed Feb 20 14:20:00 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 19, EAP Type 43)

●

(26)

Wed Feb 20 14:20:00 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 20)

Wed Feb 20 14:20:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -0 Wed Feb 20 14:20:29 2007: Resetting the group key timer for 3689 seconds on AP 00:0b:85:91:c3:c0

Wed Feb 20 14:20:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -1 Wed Feb 20 14:20:29 2007: Resetting the group key timer for 3696 seconds on AP 00:0b:85:91:c3:c0

Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:40:96:af:3e:93

Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 22)

Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Received Identity Response (count=3) from mobile 00:40:96:af:3e:93

Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93

Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ===>

19 for STA 00:40:96:af:3e:93

Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 19)

Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 19, EAP Type 3)

(27)

Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile00:40:96:af:3e:93

Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:4096:af:3e:93 (EAP Id 27)

Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds for mobile 00:40:96:af:3e:93

Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:40:96:af:3e:93

Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received Identity Response (count=2) from mobile 00:40:96:af:3e:93

20 for STA 00:40:96:af:3e:93

24 for STA 00:40:96:af:3e:93

Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 25)

Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Processing Access-Accept for mobile 00:40:96:af:3e:93

Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Creating a new PMK Cache Entry for tation 00:40:96:af:3e:93 (RSN 0)

(28)

Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP-Success to mobile 00:40:96:af:3e:93 (EAP Id 25)

Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending default RC4 key to mobile 00:40:96:af:3e:93

Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending Key-Mapping RC4 key to mobile 00:40:96:af:3e:93

Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received Auth Success while in Authenticating state for mobile 00:40:96:af:3e:93

debug van dot1x-pakket schakelt de debug van 802.1x-pakketberichten in.

●

debug a gebeurtenissen toelaten—hiermee wordt de debug uitvoer van alle a gebeurtenissen mogelijk.

●

Gerelateerde informatie

WAP2 - Wi-Fi beschermde toegang 2

●

EAP-FAST-verificatie met draadloze LAN-controllers en configuratievoorbeeld voor externe RADIUS-servers

●

PPP-verificatie met WLAN-controllers (WLC) - configuratievoorbeeld

●

Overzicht van WAP-configuratie

●

Ondersteuning voor wireless producten

●

Technische ondersteuning en documentatie – Cisco Systems

●