Ejemplo de Configuración de Tipos de Autenticación Inalámbrica en un ISR Fijo a través de SDM Contenido Introducción Prerrequisitos Requisitos Componentes Utilizados Convenciones Antecedentes Configuración Diagrama de Red Configuración del Router para el Acceso a través de SDM Inicio de SDM Wireless Application en el Router Configuración de Autenticación Abierta con Encripción WEP Configuración del Servidor DHCP Interno para Clientes Inalámbricos de esta VLAN Configuración en Modo Abierto con Autenticación MAC Configuración de Autenticación 802.1x/EAP Configuración de Autenticación Compartida Configuración de Autenticación WPA Configuración de Autenticación WPA-PSK Configuración del Cliente Inalámbrico Configuración del Cliente Inalámbrico para Autenticación Abierta con Encripción WEP Configuración del Cliente Inalámbrico para Modo Abierto con Autenticación MAC Configuración del Cliente Inalámbrico para Autenticación 802.1x/EAP Configuración del Cliente Inalámbrico para Autenticación Compartida Configuración del Cliente Inalámbrico para Autenticación WPA Configuración del Cliente Inalámbrico para Autenticación WPA-PSK Troubleshooting Comandos para Troubleshooting Introducción En este documento, se proporcionan ejemplos de configuración que explican cómo configurar diversos tipos de autenticación de capa 2 en un router inalámbrico integrado de configuración fija de Cisco para conectividad inalámbrica con Security Device Manager (SDM). Prerrequisitos Requisitos Asegúrese de cumplir los siguientes requisitos antes de utilizar esta configuración: Conocer cómo se configuran los parámetros básicos de Cisco Integrated Services Router (ISR) con SDM Conocer cómo se configura el Wireless Client Adapter 802.11a/b/g con Aironet Desktop Utility (ADU) Componentes Utilizados La información de este documento se basa en las siguientes versiones de software y hardware: Cisco 877W ISR que ejecuta Cisco IOS Software Release 12.3(8)YI1 Cisco SDM versión 2.4.1 instalado en el ISR Notebook con Aironet Desktop Utility versión 3.6
Adaptador de cliente 802.11 a/b/g que ejecuta firmware versión 3.6 La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender el posible efecto de los comandos. Convenciones Consulte Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento. Antecedentes Cisco SDM es una herramienta intuitiva de administración de dispositivos basada en la web para routers basados en Cisco IOS Software. Cisco SDM simplifica la configuración de seguridad y de los routers mediante asistentes inteligentes que ayudan a los clientes a implementar, configurar y supervisar fácil y rápidamente los routers de Cisco Systems, sin necesidad de conocer la Interfaz de la Línea de Comandos (CLI) de Cisco IOS Software. SDM se puede descargar de forma gratuita del Centro de Software de Cisco.com. SDM se puede instalar de manera independiente como una copia separada en cada router individual, o también se puede instalar en una PC. Instalado en una PC, Cisco SDM se puede utilizar para administrar otros routers que ejecuten las imágenes IOS correspondientes en la red. Sin embargo, en una PC, SDM no permite restablecer la configuración de un router a los valores predeterminados de fábrica. En este documento, se utiliza SDM instalado en el router inalámbrico a fin de configurar el router para autenticación inalámbrica. Cisco SDM se comunica con los routers con dos objetivos: Acceder a los archivos de la aplicación Cisco SDM para descargarlos a la PC. Leer y escribir la configuración y el estado del router. Cisco SDM utiliza HTTP(s) para descargar los archivos de la aplicación (sdm.tar, home.tar) a la PC. Para leer y escribir la configuración del router, se utiliza una combinación de HTTP(s) y Telnet/SSH. Consulte Preguntas y Respuestas sobre Cisco Router and Security Device Manager para obtener la información más reciente sobre los routers y las versiones de IOS Software que permiten utilizar SDM. Consulte Configuración del Router para Permitir Utilizar SDM para obtener más información sobre cómo utilizar Cisco SDM en un router. Consulte Instalación de Archivos de SDM para obtener instrucciones sobre cómo instalar y descargar los archivos de SDM en el router o en la PC. Configuración En este documento, se explica cómo configurar los siguientes tipos de autenticación a través de SDM: Autenticación Abierta con Encripción WEP Modo Abierto con Autenticación MAC Autenticación Compartida Autenticación 802.1x/Extensible Authentication Protocol (EAP) Autenticación de Clave Previamente Compartida (PSK) de Acceso Protegido Wi-Fi (WPA) Autenticación WPA En esta sección, encontrará la información para configurar las funciones descritas en este documento. Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección. Diagrama de Red En este documento, se utiliza la siguiente configuración de red:
Esta configuración utiliza el servidor RADIUS local en el ISR inalámbrico para autenticar clientes inalámbricos con autenticación 802.1x. Configuración del Router para el Acceso a través de SDM Complete los siguientes pasos para permitir que se pueda acceder al router a través de SDM: 1. 2. Configure el router para el acceso http/https según el procedimiento que se explica en Configuración del Router para Permitir Utilizar SDM. Asigne una dirección IP al router mediante los siguientes pasos: Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface fastethernet 0 Router(config-if)#ip address10.77.244.197 255.255.255.224 % IP addresses cannot be configured on L2 links. En el router 871W, es posible que encuentre el mensaje de error anterior. Este mensaje de error muestra que Fast Ethernet 0 es un link de capa 2 en el que no se puede configurar ninguna dirección IP. 3. Para resolver este problema, cree una interfaz (VLAN) de capa 3 y asígnele una IP addres mediante los siguientes pasos: Router(config)#interface Vlan1 Router(config-if)#ip address 10.77.244.197 255.255.255.224 4. Permita esta VLAN en la interfaz 0 de Fast Ethernet de capa 2 mediante los siguientes pasos. En este documento, se configura la interfaz de Fast Ethernet como una interfaz troncal para permitir la VLAN1. También se la puede configurar como interfaz de acceso y permitir la VLAN1 en la interfaz por su configuración de red. Router(config)#interface fastethernet 0 Router(config-if)#switchport trunk encapsulation dot1q Router(config-if)#switchport trunk allowed vlan add vlan1!--- Este comando permite la VLAN1 a través de la interfaz de Fast Ethernet.!--- Para permitir todas las VLAN a través de esta interfaz, emita el comando!--- switchport trunk allowed vlan add all en esta interfaz. Nota: En este ejemplo, se asume que las configuraciones básicas inalámbricas y del router ya se realizaron en el router. Por lo tanto, el siguiente paso es iniciar directamente la aplicación inalámbrica en el router para configurar los parámetros de autenticación. Inicio de SDM Wireless Application en el Router
Complete los siguientes pasos para iniciar la aplicación inalámbrica: 1. Inicie SDM abriendo un explorador y ingresando la dirección IP de su router. Se le solicita que acepte o rechace una ventana Web Browser Security Alert similar a la siguiente: 2. 3. Haga clic en Yes para continuar. En la ventana que aparece, ingrese el nombre de usuario y la contraseña de privilege level_15 para acceder al router. En este ejemplo, se utiliza admin como nombre de usuario y contraseña: 4. 5. Haga clic en OK para continuar. Ingrese la misma información donde se requiera. Haga clic en Yes y en OK según corresponda en las páginas resultantes para iniciar la aplicación SDM. Cuando se abre la aplicación SDM, en una ventana Security Alert se le solicita que acepte un certificado de seguridad firmado. 6. Haga clic en Yes para aceptar el certificado firmado.
La página principal de Cisco Router and SDM que aparece es similar a la siguiente: 7. 8. 9. En la parte superior de esta página, haga clic en Configure para iniciar la ventana del modo de configuración del router. En la ventana del modo de configuración, seleccione Interfaces and Connections de la columna Tasks que aparece a la izquierda de esta página. En la ventana Interfaces and Connections, haga clic en la ficha Create Connection. Se enumeran todas las interfaces disponibles para configurar en el router. 10. Para iniciar la aplicación inalámbrica, elija Wireless de la lista de interfaces. Luego, haga clic en Launch Wireless Application. En la siguiente screenshot, se explican los pasos 8, 9 y 10:
Se inicia SDM Wireless Application en una ventana separada, donde se pueden configurar diversos tipos de autenticación. La página de inicio de SDM Wireless Application es similar a la siguiente: Observe que Software Status aparece como Disabled y Hardware Status para la interfaz (inalámbrica) de radio aparece como Down, ya que no hay un SSID configurado en la interfaz. A continuación, configure los SSID y los tipos de autenticación en esta interfaz de radio para que los clientes inalámbricos puedan comunicarse a través de esta interfaz. Configuración de Autenticación Abierta con Encripción WEP La autenticación abierta es un algoritmo de autenticación nula. El punto de acceso (AP) otorgará las peticiones de autenticación. La autenticación abierta permite que cualquier dispositivo acceda a la red. Si la encripción no está habilitada en la red, cualquier dispositivo que conozca el SSID del AP puede acceder a la red. Si la encripción WEP está habilitada en un AP, la clave WEP se convierte en un medio de control de acceso por sí misma. Si un dispositivo no posee la clave WEP correcta, no podrá transmitir datos a través del AP aunque la autenticación sea correcta. Tampoco podrá desencriptar datos enviados desde el AP. Para obtener más información, consulte Autenticación Abierta al Punto de Acceso.
En este ejemplo, se utilizan los siguientes parámetros de configuración para autenticación abierta con encripción WEP: Nombre del SSID: openwep Id. de VLAN: 1 Dirección IP de VLAN: 10.1.1.1/16 Intervalo de direcciones DHCP para los clientes inalámbricos de esta VLAN o este SSID: 10.1.1.5/16-10.1.1.10/16 Complete los siguientes pasos para configurar la autenticación abierta con WEP: 1. En la página de inicio de Wireless Application, haga clic en Wireless Services > VLAN para configurar una VLAN. 2. Seleccione Routing de la página Services: VLAN. 3. En la página Services: VLAN Routing, cree la VLAN y asígnela a la interfaz de radio.
Ésta es la ventana de configuración de VLAN1 en la interfaz de radio. En este caso, VLAN1 es la VLAN nativa: 4. 5. 6. En la página de inicio de Wireless Application, seleccione Wireless Security > SSID Manager para configurar el SSID y el tipo de autenticación. En la página Security: SSID Manager, configure el SSID y asígnelo a la VLAN creada en el paso 1 para activar el SSID en la interfaz de radio. En la sección Authentication Settings de esta página, elija Open Authentication. En la siguiente ventana de configuración, se explican estos pasos: 7. Haga clic en Apply. Nota: El cuadro desplegable que corresponde a la casilla de verificación Open Authentication implica que la autenticación abierta se debe configurar junto con otros tipos de autenticación adicionales, por ejemplo, autenticación EAP o MAC. En esta sección, se analiza sólo la autenticación abierta SIN ADICIÓN (sin otro tipo de autenticación). 8. Configure la encripción WEP para este SSID o esta VLAN. En la página de inicio de Wireless, seleccione Wireless Security >
Encryption Manager para realizar la configuración de encripción. a. b. c. En la página Security: Encryption Manager, configure Encryption Mode y Keys para VLAN1. Elija WEP Encryption: Mandatory como modo de encripción. Configure la clave de encripción para esta VLAN. En esta sección, se utilizan las siguientes configuraciones de claves de encripción: Slot de clave de encripción 1: utilizada como Transmit Key Tamaño de clave de encripción: 40 bits Clave de encripción en valor hexadecimal: 1234567890 Nota: Se debe utilizar el mismo slot de clave de encripción (en este caso, 1) como clave de transmisión en el cliente inalámbrico. Además, se debe configurar el cliente inalámbrico con el mismo valor de clave (en este caso, 1234567890) para que el cliente inalámbrico se comunique con esta red WLAN. En la siguiente ventana de configuración, se explican estos pasos: En la siguiente página Wireless Security, se representa toda la configuración:
Configuración del Servidor DHCP Interno para Clientes Inalámbricos de esta VLAN Complete los siguientes pasos para configurar un servidor DHCP interno en el router. Éste es un método opcional, aunque recomendado, para asignar una dirección IP a los clientes inalámbricos. 1. En la ventana de modo de configuración de SDM, seleccione Additional Tasks en la columna Tasks que se encuentra a la izquierda de la ventana. 2. En la página Additional Tasks, expanda el árbol DHCP y elija DHCP Pools como se muestra en este ejemplo. En la columna DHCP Pools que se encuentra a la derecha de esta página, haga clic en Add para crear una agrupación DHCP nueva.
3. En la página Add DHCP Pool, especifique el nombre de la agrupación DHCP, la red de la agrupación DHCP, la máscara de subred, la dirección IP de inicio, la dirección IP de finalización y los parámetros predeterminados del router, como se muestra en este ejemplo: 4. Haga clic en OK. El servidor DHCP interno queda configurado en el router. Configuración en Modo Abierto con Autenticación MAC En este tipo de autenticación, se permitirá acceder al cliente inalámbrico a la red WLAN sólo si la dirección MAC del cliente está incluida en la lista de direcciones MAC permitidas del servidor de autenticación. El AP retransmite la dirección MAC del dispositivo del cliente inalámbrico a un servidor de autenticación RADIUS de su red, y el servidor busca la dirección en una lista de direcciones MAC permitidas. La autenticación basada en MAC proporciona un método de autenticación alternativo para los dispositivos de clientes que no tienen capacidad EAP.
Para obtener más información, consulte Autenticación de Dirección MAC a la Red. Nota: En todo el documento, se utiliza el servidor RADIUS local para autenticación MAC, 802.1x/EAP y autenticación WPA. En este ejemplo, se utilizan los siguientes parámetros de configuración para modo abierto con autenticación MAC: Nombre del SSID: openmac Id. de VLAN: 2 Dirección IP de VLAN: 10.2.1.1/16 Intervalo de direcciones DHCP para los clientes inalámbricos de esta VLAN o este SSID: 10.2.1.5/16-10.2.1.10/16 Complete los siguientes pasos para configurar en modo abierto con autenticación MAC: 1. 2. En la página de inicio de Wireless Application, haga clic en Wireless Services > VLAN para configurar una VLAN. Seleccione Routing de la página Services: VLAN. En la página Services: VLAN Routing, cree la VLAN y asígnela a la interfaz de radio. La siguiente es la ventana de configuración de VLAN 2 en la interfaz de radio: 3. Configure el servidor RADIUS local para autenticación MAC. Este servidor RADIUS local contendrá la dirección MAC del cliente inalámbrico en su base de datos y permitirá o denegará el acceso del cliente a la red WLAN según el resultado de la autenticación. a. En la página de inicio de Wireless, seleccione Wireless Security > Server Manager para configurar el servidor RADIUS local.
b. En la página Server Manager, configure la dirección IP, el secreto compartido y los puertos de autenticación y contabilidad del servidor RADIUS. Debido a que el servidor RADIUS es local, la dirección IP especificada es la dirección de esta interfaz inalámbrica. La clave de secreto compartido utilizada debe ser la misma que la de la configuración del cliente AAA. En este ejemplo, el secreto compartido es cisco. c. Haga clic en Apply. d. Desplácese hacia abajo de la página para buscar la sección Default Server Priorities. En esta sección, elija este servidor RADIUS ( 10.2.1.1) como servidor prioritario predeterminado para autenticación MAC, como se muestra en el siguiente ejemplo:
e. Para configurar el cliente AAA y las credenciales de usuario, seleccione Wireless Security > Local RADIUS Server en la página de inicio de Wireless. f. En la página Local RADIUS Server, haga clic en GENERAL SET-UP. g. En la página GENERAL SET-UP, configure el cliente AAA y la clave secreta compartida como se muestra a continuación. Con una configuración de servidor RADIUS local, la dirección IP del servidor y del cliente AAA será la misma.
h. i. Desplácese hacia abajo en la página GENERAL SET-UP para buscar la sección de configuración Individual Users. En la sección Individual Users, configure la dirección MAC del cliente inalámbrico como nombre de usuario y contraseña. Active la casilla de verificación MAC Authentication Only y haga clic en Apply. Para evitar ocasionales fallas de autenticación del cliente, especifique la dirección MAC del cliente en un formato continuo, sin ninguna separación, como se muestra en este ejemplo. 4. En la página de inicio de Wireless Application, seleccione Wireless Security > SSID Manager para configurar el SSID y el tipo de autenticación. a. En la página Security: SSID Manager, configure el SSID y asígnelo a la VLAN creada en el paso 1 para activar el SSID en la interfaz de radio. b. En la sección Authentication Settings de esta página, elija Open Authentication y del cuadro desplegable correspondiente, elija with MAC Authentication. c. Para configurar Server Priorities, elija Customize en MAC Authenticate Servers y elija la dirección IP del servidor RADIUS local 10.2.1.1.
En el siguiente ejemplo, se explica este paso: 5. Para configurar el servidor DHCP interno para los clientes inalámbricos de esta VLAN, complete los mismos pasos explicados en la sección Configuración del Servidor DHCP Interno para Clientes Inalámbricos de esta VLAN de este documento con los siguientes parámetros de configuración: Nombre de agrupación DHCP: VLAN 2 Red de agrupación DHCP: 10.2.0.0 Máscara de subred: 255.255.0.0 IP de inicio: 10.2.1.5 IP de finalización: 10.2.1.10 Router predeterminado: 10.2.1.1 Configuración de Autenticación 802.1x/EAP Este tipo de autenticación proporciona el nivel de seguridad más alto para su red inalámbrica. Al utilizar el EAP para interactuar con un servidor RADIUS compatible con EAP, el AP ayuda a un dispositivo de un cliente inalámbrico y al servidor RADIUS a realizar una autenticación mutua y a derivar una clave WEP dinámica de unicast. El servidor RADIUS envía la clave WEP al AP, que lo utiliza para todas las señales de datos de unicast que envía al cliente o recibe de él. Para obtener más información, consulte Autenticación EAP a la Red. Nota: Existen varios métodos de autenticación EAP disponibles. En este documento, se explica cómo configurar el Lightweight Extensible Authentication Protocol (LEAP) como la autenticación EAP. El LEAP utiliza el nombre de usuario y la contraseña como credenciales de usuario para la autenticación. Nota: Para configurar EAP-Flexible Authentication via Secure Tunneling (EAP-FAST) como el tipo de autenticación EAP, consulte Guía de Configuración de EAP-FAST Versión 1.02 para conocer el procedimiento. En este ejemplo, se utilizan los siguientes parámetros de configuración para autenticación EAP: Nombre SSID: leap Id. de VLAN: 3 Dirección IP de VLAN: 10.3.1.1/16 Intervalo de direcciones DHCP para los clientes inalámbricos de esta VLAN o este SSID: 10.3.1.5/16-10.3.1.10/16
Complete los siguientes pasos para configurar la autenticación EAP: 1. Repita los pasos 1 y 2 de Configuración en Modo Abierto con Autenticación MAC para crear y configurar la VLAN con los siguientes parámetros de configuración: Id. de VLAN: 3 Dirección IP de interfaz de radio: 10.3.1.1 Máscara de subred: 255.255.0.0 2. Luego, configure el servidor RADIUS local para la autenticación de clientes. Para ello, repita los pasos 3a a 3c de Configuración en Modo Abierto con Autenticación MAC con los siguientes parámetros de configuración: Dirección IP del servidor RADIUS: 10.3.1.1 Secreto compartido: cisco En la siguiente pantalla de configuración, se explica el paso 2 de la autenticación EAP: 3. Desplácese hacia abajo de la página para buscar la sección Default Server Priorities. En esta sección, elija el servidor RADIUS (10.3.1.1) como servidor prioritario predeterminado para autenticación EAP como se muestra en este ejemplo.
4. 5. Repita los pasos 3e y 3f de Configuración en Modo Abierto con Autenticación MAC. Repita los pasos 3g y 3h de Configuración en Modo Abierto con Autenticación MAC con los siguientes parámetros para autenticación EAP: Dirección IP del cliente AAA: 10.3.1.1 Secreto compartido: cisco En la sección Individual Users, configure el nombre de usuario y la contraseña como user1. 6. En la página de inicio de Wireless Application, seleccione Wireless Security > SSID Manager para configurar el SSID y el tipo de autenticación. a. En la página Security: SSID Manager, configure el SSID y asígnelo a la VLAN creada en el paso 1 para activar el SSID en la interfaz de radio. b. En la sección Authentication Settings de esta página, elija Open Authentication y del cuadro desplegable correspondiente, elija EAP Authentication. También seleccione el tipo de autenticación Network EAP. c. Para configurar las prioridades del servidor, elija Customize en EAP Authenticate Servers y elija la Dirección IP del servidor RADIUS local 10.3.1.1. En el siguiente ejemplo, se explican estos pasos:
7. Para configurar el servidor DHCP interno para los clientes inalámbricos de esta VLAN, complete los mismos pasos explicados en la sección Configuración del Servidor DHCP Interno para Clientes Inalámbricos de esta VLAN de este documento con los siguientes parámetros de configuración: Nombre de agrupación DHCP: VLAN 3 Red de agrupación DHCP: 10.3.0.0 Máscara de subred: 255.255.0.0 IP de inicio: 10.3.1.5 IP de finalización: 10.3.1.10 Router predeterminado: 10.3.1.1 8. Configure la cifra que se utilizará para la administración de claves dinámicas luego de la autenticación correcta del cliente inalámbrico. a. En la página de inicio de Wireless, seleccione Wireless Security > Encryption Manager para realizar la configuración de encripción. b. c. En la pantalla Wireless Security > Encryption Manager de la página Security: Encryption Manager, ingrese 3 para Set Encryption Mode and Keys for VLAN. Para Encryption Mode, elija Cipher, y elija un algoritmo de encripción Cipher del cuadro desplegable. En este ejemplo, se utiliza TKIP como algoritmo Cipher:
Nota: Al configurar varios tipos de autenticación en un router inalámbrico a través de SDM, es posible que a veces no se puedan configurar dos tipos de autenticación diferentes que utilicen el modo de encripción Cipher en el mismo router. En tales casos, es posible que la configuración de encripción establecida a través de SDM no se aplique al router. Para resolver este problema, configure esos tipos de autenticación a través de la CLI. Configuración de Autenticación Compartida Cisco proporciona la autenticación de clave compartida para cumplir con el estándar IEEE 802.11b. Durante la autenticación de clave compartida, el AP envía una cadena de texto de desafío no encriptada a cualquier dispositivo que intenta comunicarse con el AP. El dispositivo que requiere la autenticación encripta el texto del desafío y lo envía nuevamente al AP. Si el texto del desafío está encriptado correctamente, el AP permite la autenticación del dispositivo que la requirió. Se pueden supervisar tanto el desafío sin encriptar como el desafío encriptado. Sin embargo, esto deja al AP vulnerable al ataque de un intruso que calcule la clave WEP comparando las cadenas de texto encriptado y sin encriptar. Para obtener más información, consulte Autenticación de Clave Compartida al Punto de Acceso. En este ejemplo, se utilizan los siguientes parámetros de configuración para autenticación compartida: Nombre del SSID: shared Id. de VLAN: 4 Dirección IP de VLAN: 10.4.1.1/16 Intervalo de direcciones DHCP para los clientes inalámbricos de esta VLAN o este SSID: 10.4.1.5/16-10.4.1.10/16 Complete los siguientes pasos para configurar la autenticación compartida: 1. Repita los pasos 1 y 2 de Configuración en Modo Abierto con Autenticación MAC para crear y configurar la VLAN con los siguientes parámetros de configuración: Id. de VLAN: 4 Dirección IP de interfaz de radio: 10.4.1.1 Máscara de subred: 255.255.0.0 2. En la página de inicio de Wireless Application, seleccione Wireless Security > SSID Manager para configurar el SSID y el tipo de autenticación. a. En la página Security: SSID Manager, configure el SSID y asígnelo a la VLAN creada en el paso 1 para activar el SSID en la interfaz de radio.
b. En la sección Authentication Settings de esta página, elija Shared Authentication. En la siguiente pantalla de configuración, se explican estos pasos: c. Haga clic en Apply. 3. Configure la encripción WEP para este SSID o esta VLAN. Debido a que se trata de la autenticación de clave compartida, la misma clave también se utiliza para la autenticación. En la página de inicio de Wireless, seleccione Wireless Security > Encryption Manager para realizar la configuración de encripción. a. b. c. En la página Security: Encryption Manager, ingrese 4 para Set Encryption Mode and Keys for VLAN. Elija WEP Encryption: Mandatory como modo de encripción. Configure la clave de encripción para esta VLAN. En esta sección, se utilizan las siguientes configuraciones de claves de encripción: Slot de clave de encripción 1: utilizada como clave de transmisión Tamaño de clave de encripción: 40 bits Clave de encripción en valor hexadecimal: 1234567890 Nota: Se debe utilizar el mismo slot de clave de encripción (en este caso, 1) como clave de transmisión en el cliente inalámbrico. Además, se debe configurar el cliente inalámbrico con el mismo valor de clave (en este caso, 1234567890) para que el cliente inalámbrico se comunique con esta red WLAN. En la siguiente pantalla de configuración, se explican estos pasos:
4. Para configurar el servidor DHCP interno para los clientes inalámbricos de esta VLAN, complete los mismos pasos explicados en la sección Configuración del Servidor DHCP Interno para los Clientes Inalámbricos de esta VLAN de este documento con los siguientes parámetros de configuración: Nombre de agrupación DHCP: VLAN 4 Red de agrupación DHCP: 10.4.0.0 Máscara de subred: 255.255.0.0 IP de inicio: 10.4.1.5 IP de finalización: 10.4.1.10 Router predeterminado: 10.4.1.1 Configuración de Autenticación WPA WPA es una mejora de seguridad interoperable basada en estándares que mejora en gran medida el nivel de protección de datos y el control de acceso para sistemas LAN inalámbricos actuales y futuros. La administración de claves WPA permite utilizar dos tipos de administración mutuamente excluyentes: WPA y WPA-PSK. Para obtener más información, consulte Uso de la Administración de Claves WPA. Al utilizar la administración de claves WPA, los clientes y el servidor de autenticación se autentican mutuamente con un método de autenticación EAP. El cliente y el servidor generan una clave maestra pairwise (PMK). Al utilizar WPA, el servidor genera la PMK dinámicamente y la pasa al AP. En este ejemplo, se utilizan los siguientes parámetros de configuración para autenticación WPA: Nombre del SSID: wpa Id. de VLAN: 5 Dirección IP de VLAN: 10.5.1.1/16 Intervalo de direcciones DHCP para los clientes inalámbricos de esta VLAN o este SSID: 10.5.1.5/16-10.5.1.10/16 Complete los siguientes pasos para configurar la autenticación WPA: 1. Repita los pasos 1 y 2 de Configuración en Modo Abierto con Autenticación MAC para crear y configurar la VLAN con los siguientes parámetros de configuración:
Id. de VLAN: 5 Dirección IP de interfaz de radio: 10.5.1.1 Máscara de subred: 255.255.0.0 2. Debido a que WPA es un estándar de administración de claves, configure la cifra que se utilizará para la administración de claves WPA. a. En la página de inicio de Wireless, seleccione Wireless Security > Encryption Manager para realizar la configuración de encripción. b. c. En la pantalla Wireless Security > Encryption Manager de la página Security: Encryption Manager, ingrese 5 para Set Encryption Mode and Keys for VLAN. Para Encryption Mode, elija Cipher, y elija un algoritmo de encripción Cipher del cuadro desplegable. En este ejemplo, se utiliza TKIP como algoritmo Cipher: Nota: Al configurar varios tipos de autenticación en un router inalámbrico a través de SDM, es posible que a veces no se puedan configurar dos tipos de autenticación diferentes que utilicen el modo de encripción Cipher en el mismo router. En tales casos, es posible que la configuración de encripción establecida a través de SDM no se aplique al router. Para resolver este problema, configure esos tipos de autenticación a través de la CLI. 3. El siguiente paso es configurar el servidor RADIUS local para la autenticación de clientes. Para ello, repita los pasos 3a a 3c de Configuración en Modo Abierto con Autenticación MAC con los siguientes parámetros de configuración: a. Dirección IP del servidor RADIUS: 10.5.1.1 Secreto compartido: cisco Desplácese hacia abajo de la página Server Manager para buscar la sección Default Server Priorities. En esta sección, elija el servidor RADIUS (10.5.1.1) como servidor prioritario predeterminado para autenticación EAP como se muestra en este ejemplo:
b. Repita los pasos 3e y 3f de Configuración en Modo Abierto con Autenticación MAC. c. Repita los pasos 3g y 3h de Configuración en Modo Abierto con Autenticación MAC con los siguientes parámetros para autenticación EAP: Dirección IP del Cliente AAA: 10.5.1.1 Secreto compartido: cisco d. En la sección Individual Users, configure el nombre de usuario y la contraseña como user2. 4. A fin de activar WPA para un SSID, debe activar el modo Abierto con EAP o EAP de Red en el SSID. Para activar EAP de Red, en la página de inicio de Wireless Application, seleccione Wireless Security > SSID Manager para configurar el SSID y el tipo de autenticación. a. En la página Security: SSID Manager, configure el SSID y asígnelo a la VLAN creada en el paso 1 para activar el SSID en la interfaz de radio. b. En la sección Authentication Settings de esta página, elija Open Authentication y del cuadro desplegable correspondiente, elija EAP Authentication. También seleccione el tipo de autenticación Network EAP. c. Para configurar Server Priorities, elija Customize en EAP Authenticate Servers y elija la dirección IP del servidor RADIUS local 10.5.1.1. En el siguiente ejemplo, se explican estos pasos:
5. 6. Desplácese hacia abajo en la página SSID Manager para buscar la sección Authenticated Key Management. En esta sección, elija Mandatory del cuadro desplegable Key Management y active la casilla de verificación WPA. En la siguiente ventana de configuración, se explican estos pasos: 7. 8. Haga clic en Apply. Para configurar el servidor DHCP interno para los clientes inalámbricos de esta VLAN, complete los mismos pasos explicados en la sección Configuración del Servidor DHCP Interno para los Clientes Inalámbricos de esta VLAN de este documento con los siguientes parámetros de configuración: Nombre de agrupación DHCP: VLAN 5 Red de agrupación DHCP: 10.5.0.0 Máscara de subred: 255.255.0.0 IP de inicio: 10.5.1.5 IP de finalización: 10.5.1.10
Router predeterminado: 10.5.1.1 Configuración de Autenticación WPA-PSK El otro tipo de administración de claves WPA se denomina WPA-PSK. WPA-PSK se utiliza para permitir el uso de WPA en una LAN inalámbrica en la que la autenticación basada en 802.1x no está disponible. Con este tipo, debe configurar una clave previamente compartida en el AP. Puede ingresar la clave previamente compartida como caracteres ASCII o hexadecimales. Si ingresa la clave como caracteres ASCII, ingresa entre 8 y 63 caracteres y el AP amplía la clave según el proceso descrito en el Estándar de Encripción Basado en Contraseñas (RFC2898). Si ingresa la clave como caracteres hexadecimales, debe ingresar 64 caracteres hexadecimales. En este ejemplo, se utilizan los siguientes parámetros de configuración para autenticación WPA-PSK: Nombre del SSID: wpa-psk Id. de VLAN: 6 Dirección IP de VLAN: 10.6.1.1/16 Intervalo de direcciones DHCP para los clientes inalámbricos de esta VLAN o este SSID: 10.6.1.5/16-10.6.1.10/16 Complete los siguientes pasos para configurar WPA-PSK: 1. Repita los pasos 1 y 2 de Configuración en Modo Abierto con Autenticación MAC para crear y configurar la VLAN con los siguientes parámetros de configuración: Id. de VLAN: 6 Dirección IP de interfaz de radio: 10.6.1.1 Máscara de subred: 255.255.0.0 2. Debido a que WPA-PSK es un estándar de administración de claves, configure la cifra que se utilizará para la administración de claves WPA. a. En la página de inicio de Wireless, seleccione Wireless Security > Encryption Manager para realizar la configuración de la encripción. b. c. En la ventana Wireless Security > Encryption Manager de la página Security: Encryption Manager, ingrese 6 para Set Encryption Mode and Keys for VLAN. Para Encryption Mode, elija Cipher, y elija un algoritmo de encripción Cipher del cuadro desplegable. En este ejemplo, se utiliza TKIP+WEP 128bit como algoritmo Cipher.
Nota: Al configurar varios tipos de autenticación en un router inalámbrico a través de SDM, es posible que a veces no se puedan configurar dos tipos de autenticación diferentes que utilicen el modo de encripción Cipher en el mismo router. En tales casos, es posible que la configuración de encripción establecida a través de SDM no se aplique al router. Para resolver este problema, configure esos tipos de autenticación a través de la CLI. 3. Para activar WPA-PSK para un SSID, debe activar la autenticación abierta en el SSID. Para activar la autenticación abierta, repita el paso 6 de Configuración de Autenticación Abierta con Encripción WEP. La siguiente es la ventana de configuración de WPA-PSK: 4. 5. Desplácese hacia abajo en la página SSID Manager para buscar la sección Authenticated Key Management. En esta sección, elija Mandatory del cuadro desplegable Key Management, active la casilla de verificación WPA e ingrese la clave WPA previamente compartida en formato ASCII o hexadecimal. En este ejemplo, se utiliza el formato ASCII. Se debe utilizar el mismo formato en la configuración del lado del cliente. En la siguiente ventana de configuración, se explica el paso 5:
La clave WPA previamente compartida que se utiliza en esta configuración es 1234567890. 6. 7. Haga clic en Apply. Para configurar el servidor DHCP interno para los clientes inalámbricos de esta VLAN, complete los mismos pasos explicados en la sección Configuración del Servidor DHCP Interno para los Clientes Inalámbricos de esta VLAN de este documento con los siguientes parámetros de configuración: Nombre de agrupación DHCP: VLAN 6 Red de agrupación DHCP: 10.6.0.0 Máscara de subred: 255.255.0.0 IP de inicio: 10.6.1.5 IP de finalización: 10.6.1.10 Router predeterminado: 10.6.1.1 Configuración del Cliente Inalámbrico Después de configurar el ISR a través de SDM, debe configurar el cliente inalámbrico para los diferentes tipos de autenticación, de modo que el router pueda autenticar estos clientes inalámbricos y proporcionar acceso a la red WLAN. En este documento, se utiliza ADU para la configuración del lado del cliente. Configuración del Cliente Inalámbrico para Autenticación Abierta con Encripción WEP Complete los siguientes pasos: 1. En la ventana Profile Management de la ADU, haga clic en New para crear un perfil nuevo. Aparecerá una ventana nueva donde podrá establecer la configuración para autenticación abierta. 2. En la ficha General, ingrese el nombre del perfil y el SSID que utilizará el adaptador del cliente. En este ejemplo, el nombre del perfil y el SSID son openwep. Nota: El SSID debe coincidir con el SSID que configuró en el ISR para autenticación abierta. 3. 4. Haga clic en la ficha Security y deje la opción de seguridad como clave previamente compartida (WEP estática) para encripción WEP. Haga clic en Configure y defina la clave previamente compartida como se muestra en este ejemplo:
5. Haga clic en la ficha Advanced de la página Profile Management y configure el 802.11 Authentication Mode (Modo de Autenticación 802.11) como Open para autenticación abierta. 6. Para verificar el modo abierto con autenticación WEP, active el SSID openwep configurado.
7. Verifique que el cliente inalámbrico esté asociado correctamente con el router. Esto se puede verificar en detalle desde el router inalámbrico con el comando show dot11 associations. A continuación se presenta un ejemplo: Router#show dot11 associations 802.11 Client Stations on Dot11Radio0: SSID [openwep] : MAC Address IP address Device Name Parent State 0040.96ac.e657 10.1.1.5 CB21AG/PI21AG client self Assoc Others: (not related to any ssid) Configuración del Cliente Inalámbrico para Modo Abierto con Autenticación MAC Complete los siguientes pasos: 1. En la ventana Profile Management de la ADU, haga clic en New para crear un perfil nuevo. Aparecerá una ventana nueva donde podrá establecer la configuración para autenticación abierta. 2. En la ficha General, ingrese el nombre del perfil y el SSID que utilizará el adaptador del cliente. En este ejemplo, el nombre del perfil y el SSID son openmac. Nota: El SSID debe coincidir con el SSID que configuró en el ISR para autenticación abierta.
3. Haga clic en la ficha Security y deje la opción de seguridad como None para el modo abierto con autenticación MAC. Luego, haga clic en OK. 4. Para verificar el modo abierto con autenticación MAC, active el SSID openmac configurado.
5. Verifique que el cliente inalámbrico esté asociado correctamente con el router. Esto se puede verificar en detalle desde el router inalámbrico con el comando show dot11 associations. A continuación se presenta un ejemplo: Router#show dot11 associations 802.11 Client Stations on Dot11Radio0: SSID [openmac] : MAC Address IP address Device Name Parent State 0040.96ac.e657 10.2.1.5 CB21AG/PI21AG client1 self MAC-Assoc SSID [openwep] : Others: (not related to any ssid) Configuración del Cliente Inalámbrico para Autenticación 802.1x/EAP Complete los siguientes pasos: 1. En la ventana Profile Management de la ADU, haga clic en New para crear un perfil nuevo. Aparecerá una ventana nueva donde podrá establecer la configuración para autenticación abierta. 2. En la ficha General, ingrese el nombre del perfil y el SSID que utilizará el adaptador del cliente. En este ejemplo, el nombre del perfil y el SSID son leap. Nota: El SSID debe coincidir con el SSID que configuró en el ISR para autenticación 802.1x/EAP. 3. En Profile Management, haga clic en la ficha Security, configure la opción de seguridad como 802.1x y elija el tipo de EAP adecuado. En este documento, se utiliza LEAP como tipo de EAP para autenticación. 4. Haga clic en Configure para configurar el nombre de usuario y la contraseña del LEAP.
En este ejemplo, se elige Manually Prompt for User Name and Password en las configuraciones de nombre de usuario y contraseña para que se le solicite al cliente que ingrese el nombre de usuario y la contraseña correctos cuando intenta conectarse a la red. 5. Haga clic en OK. 6. Para verificar la autenticación EAP, active el SSID leap configurado. Se le solicita que ingrese un nombre de usuario y una contraseña de LEAP. Ingrese ambas credenciales como user1 y haga clic en OK.
7. Verifique que se autentique correctamente el cliente inalámbrico y que se le asigne una dirección IP. Esto se puede verificar claramente en la ventana de estado de ADU. El resultado equivalente de la CLI del router es el siguiente: Router#show dot11 associations 802.11 Client Stations on Dot11Radio0: SSID [leap] : MAC Address IP address Device Name Parent State 0040.96ac.e657 10.3.1.5 CB21AG/PI21AG client2 self EAP-Assoc SSID [openmac] : SSID [openwep] : Others: (not related to any ssid) Configuración del Cliente Inalámbrico para Autenticación Compartida Complete los siguientes pasos: 1. En la ventana Profile Management de la ADU, haga clic en New para crear un perfil nuevo. Aparecerá una ventana nueva donde podrá establecer la configuración para autenticación abierta. 2. En la ficha General, ingrese el nombre del perfil y el SSID que utilizará el adaptador del cliente. En este ejemplo, el nombre del perfil y el SSID son shared.
Nota: El SSID debe coincidir con el SSID que configuró en el ISR para autenticación abierta. 3. Haga clic en la ficha Security y deje la opción de seguridad como clave previamente compartida (WEP estática) para encripción WEP. Luego, haga clic en Configure. 4. Defina la clave previamente compartida como se muestra en el siguiente ejemplo: 5. 6. 7. 8. Haga clic en OK. En Profile Management, haga clic en la ficha Advanced y configure el 802.11 Authentication Mode (Modo de Autenticación 802.11) como Shared para autenticación compartida. Para verificar la autenticación compartida, active el SSID shared configurado. Verifique que el cliente inalámbrico esté asociado correctamente con el router. Esto se puede verificar en detalle desde el router inalámbrico con el comando show dot11 associations. A continuación se presenta un ejemplo: Router#show dot11 associations 802.11 Client Stations on Dot11Radio0:
SSID [shared] : MAC Address IP address Device Name Parent State 0040.96ac.e657 10.4.1.5 CB21AG/PI21AG WCS self Assoc Configuración del Cliente Inalámbrico para Autenticación WPA Complete los siguientes pasos: 1. En la ventana Profile Management de la ADU, haga clic en New para crear un perfil nuevo. Aparecerá una ventana nueva donde podrá establecer la configuración para autenticación abierta. 2. En la ficha General, ingrese el nombre del perfil y el SSID que utilizará el adaptador del cliente. En este ejemplo, el nombre del perfil y el SSID son wpa. Nota: El SSID debe coincidir con el SSID que configuró en el ISR para autenticación WPA (con EAP). 3. En Profile Management, haga clic en la ficha Security, configure la opción de seguridad como WPA/WPA2/CCKM y elija el tipo de EAP WPA/WPA2/CCKM adecuado. En este documento, se utiliza LEAP como tipo de EAP para autenticación. 4. Haga clic en Configure para configurar el nombre de usuario y la contraseña del LEAP. En este ejemplo, se elige Manually Prompt for User Name and Password en las configuraciones de nombre de usuario y contraseña para que se le solicite al cliente que ingrese el nombre de usuario y la contraseña correctos cuando intenta conectarse a la red. 5. 6. Haga clic en OK. Para verificar la autenticación EAP, active el SSID leap configurado. Se le solicita que ingrese un nombre de usuario y una contraseña de LEAP. Ingrese ambas credenciales como user2 y haga clic en OK. 7. Verifique que se autentique correctamente el cliente inalámbrico y que se le asigne una dirección IP. Esto se puede verificar claramente en la ventana de estado de ADU.
Configuración del Cliente Inalámbrico para Autenticación WPA-PSK Complete los siguientes pasos: 1. En la ventana Profile Management de la ADU, haga clic en New para crear un perfil nuevo. Aparecerá una ventana nueva donde podrá establecer la configuración para autenticación abierta. 2. En la ficha General, ingrese el nombre del perfil y el SSID que utilizará el adaptador del cliente. En este ejemplo, el nombre del perfil y el SSID son wpa-psk. Nota: El SSID debe coincidir con el SSID que configuró en el ISR para autenticación WPA-PSK. 3. En Profile Management, haga clic en la ficha Security y configure la opción de seguridad como WPA/WPA2 Passphrase. Luego, haga clic en Configure para configurar la WPA Passphrase (Palabra Clave WPA). 4. Defina una clave WPA previamente compartida. La clave debe tener entre 8 y 63 caracteres ASCII. Luego, haga clic en OK.
5. 6. Para verificar la autenticación WPA-PSK, active el SSID wpa-psk configurado. Verifique que el cliente inalámbrico esté asociado correctamente con el router. Esto se puede verificar en detalle desde el router inalámbrico con el comando show dot11 associations. Troubleshooting Actualmente, no hay información específica disponible sobre troubleshooting para esta configuración. Comandos para Troubleshooting Puede utilizar los siguientes comandos debug para resolver problemas de configuración. debug dot11 aaa authenticator all: Activa la debugging de los paquetes de autenticación MAC y EAP. debug radius authentication: Muestra las negociaciones RADIUS entre el servidor y el cliente. debug radius local-server packets: Muestra el contenido de los paquetes RADIUS que se envían y se reciben. debug radius local-server client: Muestra los mensajes de error de las autenticaciones fallidas del cliente. 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 25 Agosto 2008 http://www.cisco.com/cisco/web/support/la/10/106/106104_isr-sdm-config.html