Вы находитесь на странице: 1из 17

Laboratorio 8.6.

3 Connectividad inalmbrica usando encripcin WEP y autenticacin LEAP (RADIUS SERVER)

Objetivo Configurar autenticacin LEAP en el AP Aironet 1310m utilizando ADU como cliente. Equipo

Tarjeta de Red Airones a/b/g

Tarjeta de Red Airones a/b/g

Access Point/Bridge 1310

Prerrequisitos
Conocimiento de cmo configurar el adaptador cliente inalmbrico 802.11a/b/g utilizando el Aironet Desktop Utility. Refierase a la gua de instalacin y configuracin del adaptador cliente 802.11a/b/g (CB21AG & PI21AG).
Pgina 1 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

Escenario
Habr una o mas PCs con la tarjeta de red Airones instalada (CISCO AIRONET 802.11A/B/G WIRELESS PCI ADAPTER), con los drivers, el ADU y el Site Survey listo para usarse. Ud contar con un CISCO AIRONET 1310 OUTDOOR ACCESS POINT/BRIDGE, el cual estar conectado a la red del laboratorio, para que por medio de la red almbrica Ud lo pueda configurar via WEB, as poder conectar una PC a la interfase radio del Bridge utilizando encriptacin WEP y autenticacin LEAP.

Paso 1
Instale los equipos como se muestra en el diagrama. Antes de comenzar con el laboratorio, deber ser borradas las configuraciones anteriores de los routers. Nota previa Para borrar la configuracin del AP/BRIDGE, Ud deber de utilizar los siguientes comandos:
AP# erase Startup-config [confirm] AP# reload [confirm]

Observacin

Si la PC en lugar de tener instalado el ADU, tiene el ACU, Ud deber instalar el software para poder utilizar LEAP. http://tools.cisco.com/support/downloads/pub/MDFTree.x? butype=wireless

Paso 2
Configure el AP/Bridge 1310 como un RADIUS Server local. En modo de configuracin global, escriba estos comandos para configurar el AP/Bridge 1310 como un RADIUS Server local.

AP<config>#aaa newmodel ! Habilita la authenticacin, autorizacin y tarificacin ! (AAA) modelo de control de acceso. AP<config>#radiusserver local ! Habilita el AP/Bridge 1310 como un servidor RADIUS ! de autenticacin local y le ingresa al modo para el ! autenticador. AP<configradsrv)#nas 172.16.1.100 key Cisco ! Aada al AP/Bridge la lista de dispositivos (RADIUS) ! que usa el servidor de autenticacin local. AP<configradsrv>#user aaauser password aaapass AP<configradsrv>#user ABCD password ABCD AP<configradsrv)#user XYZ password XYZ

Pgina 2 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

! Configure tres usuarios en el servidor RADIUS local. AP<configradsrv)#exit AP<config>#radiusserver host 172.16.1.100 authport 1812 acctport 1813 ! Especifica el servidor host RADIUS. AP<config>#aaa group server radius rad_eap !--- Relaciona el RADIUS server con el grupo rad_eap APr<config-sg-radius>#server 172.16.1.100 auth-port 1812 acct-port 1813 !--- Define el server en el grupo rad_eap. AP<config>#aaa authentication login eap_methods group rad_eap !--- Habilita autenticacin para el login AAA

Ahora es necesario crear el SSID asociado a la interfse Dot11Radio, para esto es necesario primero crear el SSID y a continuacin asociarlo a la interfase.
AP<config>#dot11 ssid APBR1310 !--- Crea el SSID APBR1013 AP<config-ssid>#authentication network-eap eap_methods AP<config-ssid>#guest-mode !--!--!--!--!--Se espera que los usuarios que se conecten al SSID 'APBR1310' se les pida autenticacin de 128 bits el bit de autenticacion en el header de estas requisiciones sern Network Extensible Authentication Protocol (EAP) estos sern usuarios gupo llamado 'eap_methods'.

AP<config-ssid>#exit !--- Salir del modo de configuracin de SSID AP<config>#interface dot11radio 0 !--- Ingresar al modo de configuracin de interfase AP<config-if>#ssid APBR1310 !--- Asociar el SSID a la interfase AP<config-if># encryption mode wep mandatory AP<config-if>#encryption key 1 size 128 12345678909876543210123456 !--- Habilita encriptacion WEP y una llave de 128 AP<config-if>#bridge-group 1 AP<config-if>#no shut

Pgina 3 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

!--- Habilitar la interfase

El bridge acepta las peticiones de asociacin de los clientes inalmbricos una vez que este proceso est hecho. Nota: siga esta guia cuando ud configure el tipo de autenticacin en la interfase radio. S su red tiene clientes que son: a. Clientes Cisco: use Network-EAP
AP<configssid>#authentication networkeap eap_methods

b. Clientes de terceros (incluye productos compatibles CCX): use Open con EAP
AP<configssid>#authentication open eap eap_methods

c. Una combinacin de ambos: use ambos Network-EAP y Open con EAP


AP<configssid>#authentication networkeap eap_methods AP<configssid>#authentication open eap eap_methods

Nota: Este laboratorio asume que en la red existen unicamente clientes inalambricos Cisco

Pgina 4 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

NO OLVIDAR
Es necesario entrar a la configuracin web del AP/BR1310 para configurar la direccin IP, la cual debe de estar en la misma red del RADIUS Server, o si no, se deber configurar una ruta por defecto a travs de un router, para permitir la transmisin de paquetes al RADIUS Server.
AP<config>#interface BVI 1 !--- Ingresar al modo de configuracin de interfase AP<config-if>#ip address DHCP AP<config-if>#no shut !--- Asignar una direccin IP a la interfase

Abrir la pagina web del AP/BR1310, con el password Cisco.

Pgina 5 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

Paso 3 Configuracin del adaptador cliente


Complete estos pasos para configurar el adaptador cliente. Este procedimiento crea un nuevo perfil llamado APBR1310 en el ADU, como un ejemplo. Este procedimiento tambien usa Test como el SSID y habilita autenticacin LEAP en el adaptador cliente. a. Clic en NEW, para crear un nuevo perfil en la ventana Prodile Management en el ADU. Ingrese el nombre del perfil y el SSID que el adaptador cliente usa bajo la pestaa General. En este ejemplo el nombre del perfil es APBR1310 y el SSID es Test Nota: el SSID es case sensitive.

Pgina 6 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

b. En la pestaa Security, seleccione 802.1x y elija LEAP del men tipo 802.1x EAP.

Pgina 7 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

c. Click en Configure para definir opciones LEAP. Esta configuracin escoje la opcion Automatically Prompt for Username and Password. Esta opcin habilita la posibilidad de ingresar manualmente el usuario y el password cuando se ejecuta la autenticacin LEAP.

Pgina 8 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

d. Clic OK para salir de la ventana Management


e. Clic Activate para habilitar este perfil en el adaptador cliente

Pgina 9 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

Paso 4 Verificando
Use esta seccin para confirmar que su configuracin funciona correctamente. Una vez el cliente ha sido configurado, active el perfil APBR1310 en el adaptador cliente para verificar la configuracin. Ingrese el usuario y el password cuando aparezca la ventana Enter Wireless Network Password. Estos deben de corresponder a los configurados en el AP/Bridge 1310. Uno de los perfiles usados en este ejemplo es usuario: aaauser y password: aaapass.

Pgina 10 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

Aparecer la ventana LEAP Authentication. En esta ventana se verificaran las credenciales contra el RADIUS server.

Verifique el estado actual del ADU a fin de verificar si los clientes estan usando encripcin WEP y autenticacin LEAP.

Pgina 11 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

Pgina 12 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

Paso 5 Configuracin del servidor RADIUS


Crear a los usuarios

Configurar los dispositivos cliente y el servidor

Pgina 13 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

Paso 6 Confirmando la asociacin


En el AP/BR1310 utilice los siguientes comandos para verificar las asociaciones de los clientes Aironet.
AP<config>#show dot11 associations 802.11 Client Stations on Dot11Radio0: SSID [Test]: MAC Address 0040.96ac.dd05 IP Address 172.16.1.99 Device Name CB21AG/PI21AG LAPTOP-1 Parent State self EAP-Associated

Others: (not related to any ssid)

Configuracin final Configuracin del AP/BRIDGE 1310 ap#sh run Building configuration...
Pgina 14 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

Current configuration : 2900 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname ap ! enable secret 5 $1$9cQw$V8Cx7WRmAhSDSAIbxgUmd1 ! ip subnet-zero ip domain name fwl.com ! ! aaa new-model ! ! aaa group server radius rad_eap server 192.168.9.65 auth-port 1812 acct-port 1813 ! --More-aaa group server radius rad_mac ! aaa group server radius rad_acct ! aaa group server radius rad_admin cache expiry 1 cache authorization profile admin_cache cache authentication profile admin_cache ! aaa group server tacacs+ tac_admin cache expiry 1 cache authorization profile admin_cache cache authentication profile admin_cache ! aaa group server radius rad_pmip ! aaa group server radius dummy ! aaa authentication login eap_metods group rad_eap aaa authentication login eap_methods group rad_eap aaa authentication login mac_methods local aaa authorization exec default local aaa accounting network acct_methods start-stop group rad_acct --More-aaa cache profile admin_cache all ! aaa session-id common ! dot11 ssid Test authentication network-eap eap_methods guest-mode

Pgina 15 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

! ! ! username Cisco password 7 072C285F4D06 ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache ! encryption key 1 size 128bit 7 7C3A6F2CBFBC6C1897485E061D68 transmit-key encryption mode wep mandatory ! --More-ssid Test ! speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 station-role root access-point cca 75 concatenation infrastructure-client bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface BVI1 --More-ip address dhcp no ip route-cache ! ip http server no ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag ip radius source-interface BVI1 ! radius-server local nas 192.168.9.65 key 7 105D0C1A17120600091D user ABCD nthash 7 106D5C4F26344B5255220C72017A646C7A4B23435153007A7E0A035A26 4D4F097C user XYZ nthash 7

Pgina 16 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0

0321022A5359791D1A51415035345D5B54727D777E17170346554327590 60C0176 user aaauser nthash 7 040A2D505C786F195C49504546295E500B7F06701564044456335153047 F0A7102 ! radius-server attribute 32 include-in-access-req format %h radius-server host 192.168.9.65 auth-port 1812 acct-port 1813 key 7 071C244F5C0C0D0E120B radius-server vsa send accounting ! control-plane --More-! bridge 1 protocol ieee bridge 1 route ip ! ! ! line con 0 transport preferred all transport output all line vty 0 4 transport preferred all transport input all transport output all line vty 5 15 transport preferred all transport input all transport output all ! end ap#

Pgina 17 of 17 CNAP Guatemala, C.A. (cisco@galileo.edu) Wireless Fundamentals V 1.2 Lab 8.3.4b CCNP 3: Multilayer Switching v 4.0