Laboratorio 8.6.3 Connectividad inalámbrica usando encripción WEP y autenticación LEAP (RADIUS SERVER) Objetivo Configurar autenticación LEAP en el AP Aironet 1310m utilizando ADU como cliente. Equipo Tarjeta de Red Airones a/b/g Tarjeta de Red Airones a/b/g Access Point/Bridge 1310 Prerrequisitos Conocimiento de cómo configurar el adaptador cliente inalámbrico 802.11a/b/g utilizando el Aironet Desktop Utility. Página 1 of 17
Refierase a la guía de instalación y configuración del adaptador cliente 802.11a/b/g (CB21AG & PI21AG). Escenario Habrá una o mas PC s con la tarjeta de red Airones instalada (CISCO AIRONET 802.11A/B/G WIRELESS PCI ADAPTER), con los drivers, el ADU y el Site Survey listo para usarse. Ud contará con un CISCO AIRONET 1310 OUTDOOR ACCESS POINT/BRIDGE, el cual estará conectado a la red del laboratorio, para que por medio de la red alámbrica Ud lo pueda configurar via WEB, así poder conectar una PC a la interfase radio del Bridge utilizando encriptación WEP y autenticación LEAP. Paso 1 Instale los equipos como se muestra en el diagrama. Antes de comenzar con el laboratorio, deberá ser borradas las configuraciones anteriores de los routers. Nota previa Para borrar la configuración del AP/BRIDGE, Ud deberá de utilizar los siguientes comandos: AP# erase Startup-config [confirm] AP# reload [confirm] Observación Si la PC en lugar de tener instalado el ADU, tiene el ACU, Ud deberá instalar el software para poder utilizar LEAP. http://tools.cisco.com/support/downloads/pub/mdftree.x?butype =wireless Paso 2 Configure el AP/Bridge 1310 como un RADIUS Server local. En modo de configuración global, escriba estos comandos para configurar el AP/Bridge 1310 como un RADIUS Server local. AP<config>#aaa new model Habilita la authenticación, autorización y tarificación (AAA) modelo de control de acceso. AP<config>#radius server local Habilita el AP/Bridge 1310 como un servidor RADIUS de autenticación local y le ingresa al modo para el autenticador. AP<config radsrv)#nas 172.16.1.100 key Cisco Añada al AP/Bridge la lista de dispositivos (RADIUS) que usa el servidor de autenticación local. Página 2 of 17
AP<config radsrv>#user aaauser password aaapass AP<config radsrv>#user ABCD password ABCD AP<config radsrv)#user XYZ password XYZ Configure tres usuarios en el servidor RADIUS local. AP<config radsrv)#exit AP<config>#radius server host 172.16.1.100 auth port 1812 acct port 1813 Especifica el servidor host RADIUS. AP<config>#aaa group server radius rad_eap --- Relaciona el RADIUS server con el grupo rad_eap APr<config-sg-radius>#server 172.16.1.100 auth-port 1812 acct-port 1813 --- Define el server en el grupo rad_eap. AP<config>#aaa authentication login eap_methods group rad_eap --- Habilita autenticación para el login AAA Ahora es necesario crear el SSID asociado a la interfse Dot11Radio, para esto es necesario primero crear el SSID y a continuación asociarlo a la interfase. AP<config>#dot11 ssid APBR1310 --- Crea el SSID APBR1013 AP<config-ssid>#authentication network-eap eap_methods AP<config-ssid>#guest-mode --- Se espera que los usuarios que se conecten al SSID 'APBR1310' --- se les pida autenticación de 128 bits --- el bit de autenticacion en el header de estas requisiciones --- serán Network Extensible Authentication Protocol (EAP) --- estos serán usuarios gupo llamado 'eap_methods'. AP<config-ssid>#exit --- Salir del modo de configuración de SSID AP<config>#interface dot11radio 0 --- Ingresar al modo de configuración de interfase AP<config-if>#ssid APBR1310 --- Asociar el SSID a la interfase AP<config-if># encryption mode wep mandatory AP<config-if>#encryption key 1 size 128 12345678909876543210123456 --- Habilita encriptacion WEP y una llave de 128 Página 3 of 17
AP<config-if>#bridge-group 1 AP<config-if>#no shut --- Habilitar la interfase El bridge acepta las peticiones de asociación de los clientes inalámbricos una vez que este proceso está hecho. Nota: siga esta guia cuando ud configure el tipo de autenticación en la interfase radio. Sí su red tiene clientes que son: a. Clientes Cisco: use Network-EAP AP<config ssid>#authentication network eap eap_methods b. Clientes de terceros (incluye productos compatibles CCX): use Open con EAP AP<config ssid>#authentication open eap eap_methods c. Una combinación de ambos: use ambos Network-EAP y Open con EAP AP<config ssid>#authentication network eap eap_methods AP<config ssid>#authentication open eap eap_methods Nota: Este laboratorio asume que en la red existen unicamente clientes inalambricos Cisco Página 4 of 17
NO OLVIDAR Es necesario entrar a la configuración web del AP/BR1310 para configurar la dirección IP, la cual debe de estar en la misma red del RADIUS Server, o si no, se deberá configurar una ruta por defecto a través de un router, para permitir la transmisión de paquetes al RADIUS Server. AP<config>#interface BVI 1 --- Ingresar al modo de configuración de interfase AP<config-if>#ip address DHCP AP<config-if>#no shut --- Asignar una dirección IP a la interfase Abrir la pagina web del AP/BR1310, con el password Cisco. Página 5 of 17
Paso 3 Configuración del adaptador cliente Complete estos pasos para configurar el adaptador cliente. Este procedimiento crea un nuevo perfil llamado APBR1310 en el ADU, como un ejemplo. Este procedimiento tambien usa Test como el SSID y habilita autenticación LEAP en el adaptador cliente. a. Clic en NEW, para crear un nuevo perfil en la ventana Prodile Management en el ADU. Ingrese el nombre del perfil y el SSID que el adaptador cliente usa bajo la pestaña General. En este ejemplo el nombre del perfil es APBR1310 y el SSID es Test Nota: el SSID es case sensitive. Página 6 of 17
b. En la pestaña Security, seleccione 802.1x y elija LEAP del menú tipo 802.1x EAP. Página 7 of 17
c. Click en Configure para definir opciones LEAP. Esta configuración escoje la opcion Automatically Prompt for Username and Password. Esta opción habilita la posibilidad de ingresar manualmente el usuario y el password cuando se ejecuta la autenticación LEAP. Página 8 of 17
d. Clic OK para salir de la ventana Management e. Clic Activate para habilitar este perfil en el adaptador cliente Página 9 of 17
Paso 4 Verificando Use esta sección para confirmar que su configuración funciona correctamente. Una vez el cliente ha sido configurado, active el perfil APBR1310 en el adaptador cliente para verificar la configuración. Ingrese el usuario y el password cuando aparezca la ventana Enter Wireless Network Password. Estos deben de corresponder a los configurados en el AP/Bridge 1310. Uno de los perfiles usados en este ejemplo es usuario: aaauser y password: aaapass. Página 10 of 17
Aparecerá la ventana LEAP Authentication. En esta ventana se verificaran las credenciales contra el RADIUS server. Verifique el estado actual del ADU a fin de verificar si los clientes estan usando encripción WEP y autenticación LEAP. Página 11 of 17
Página 12 of 17
Paso 5 Configuración del servidor RADIUS Crear a los usuarios Configurar los dispositivos cliente y el servidor Página 13 of 17
Paso 6 Confirmando la asociación En el AP/BR1310 utilice los siguientes comandos para verificar las asociaciones de los clientes Aironet. AP<config>#show dot11 associations 802.11 Client Stations on Dot11Radio0: SSID [Test]: MAC Address IP Address Device Name Parent State 0040.96ac.dd05 172.16.1.99 CB21AG/PI21AG LAPTOP-1 self EAP-Associated Others: (not related to any ssid) Configuración final Configuración del AP/BRIDGE 1310 Página 14 of 17
ap#sh run Building configuration... Current configuration : 2900 bytes version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption hostname ap enable secret 5 $1$9cQw$V8Cx7WRmAhSDSAIbxgUmd1 ip subnet-zero ip domain name fwl.com aaa new-model aaa group server radius rad_eap server 192.168.9.65 auth-port 1812 acct-port 1813 --More-- aaa group server radius rad_mac aaa group server radius rad_acct aaa group server radius rad_admin cache expiry 1 cache authorization profile admin_cache cache authentication profile admin_cache aaa group server tacacs+ tac_admin cache expiry 1 cache authorization profile admin_cache cache authentication profile admin_cache aaa group server radius rad_pmip aaa group server radius dummy aaa authentication login eap_metods group rad_eap aaa authentication login eap_methods group rad_eap aaa authentication login mac_methods local aaa authorization exec default local aaa accounting network acct_methods start-stop group rad_acct --More-- aaa cache profile admin_cache all aaa session-id common dot11 ssid Test Página 15 of 17
authentication network-eap eap_methods guest-mode username Cisco password 7 072C285F4D06 bridge irb interface Dot11Radio0 no ip address no ip route-cache encryption key 1 size 128bit 7 7C3A6F2CBFBC6C1897485E061D68 transmit-key encryption mode wep mandatory --More-- ssid Test speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 station-role root access-point cca 75 concatenation infrastructure-client bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled interface FastEthernet0 no ip address no ip route-cache bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled interface BVI1 --More-- ip address dhcp no ip route-cache ip http server no ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag ip radius source-interface BVI1 radius-server local nas 192.168.9.65 key 7 105D0C1A17120600091D user ABCD nthash 7 106D5C4F26344B5255220C72017A646C7A4B23435153007A7E0A035A26 Página 16 of 17
4D4F097C user XYZ nthash 7 0321022A5359791D1A51415035345D5B54727D777E17170346554327590 60C0176 user aaauser nthash 7 040A2D505C786F195C49504546295E500B7F06701564044456335153047 F0A7102 radius-server attribute 32 include-in-access-req format %h radius-server host 192.168.9.65 auth-port 1812 acct-port 1813 key 7 071C244F5C0C0D0E120B radius-server vsa send accounting control-plane --More-- bridge 1 protocol ieee bridge 1 route ip line con 0 transport preferred all transport output all line vty 0 4 transport preferred all transport input all transport output all line vty 5 15 transport preferred all transport input all transport output all end ap# Página 17 of 17