تشكيل WPA/WPA2 مع مفتاح مشترك مسبقا: IOS 15.2JB وفيما بعد
المحتويات
المقدمة
يصف هذا المستند نموذجا لتكوين الوصول اللاسلكي المحمي (WPA) و WPA2 باستخدام مفتاح مشترك مسبقا (PSK).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- التشابه مع ال gui أو ال ligne قارن (CLI) ل ال cisco ios ® برمجية
- التعرف على مفاهيم PSK و WPA و WPA2
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى نقطة الوصول (AP) Cisco Aironet 1260 التي تعمل ببرنامج Cisco IOS Software، الإصدار 15.2JB.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
التكوين باستخدام واجهة المستخدم الرسومية (GUI)
يصف هذا الإجراء كيفية تكوين WPA و WPA2 مع PSK في واجهة المستخدم الرسومية (GUI) لبرنامج Cisco IOS:
- قم بإعداد مدير التشفير لشبكة VLAN المعرفة لمعرف مجموعة الخدمة (SSID). انتقل إلى الأمان > إدارة التشفير، وتأكد من تمكين التشفير، وحدد AES CCMP + TKIP كتشفير يستخدم لكل من SSID.
- قم بتمكين شبكة VLAN الصحيحة باستخدام معلمات التشفير المحددة في الخطوة 1. انتقل إلى التأمين > إدارة SSID، وحدد SSID من قائمة SSID الحالية. هذه الخطوة مشتركة لكل من تكوين WPA و WPA2.
- في صفحة SSID، قم بتعيين إدارة المفاتيح إلى إلزامي، وحدد خانة الاختيار تمكين WPA. حدد WPA من القائمة المنسدلة لتمكين WPA. أدخل مفتاح WPA المشترك مسبقا.
- حدد WPA2 من القائمة المنسدلة لتمكين WPA2.
التكوين باستخدام CLI
هذا هو التكوين نفسه الذي تم إجراؤه داخل واجهة سطر الأوامر:
sh run
Building configuration...Current configuration : 5284 bytes
!
! Last configuration change at 04:40:45 UTC Thu Mar 11 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ish_1262_1_st
!
!
logging rate-limit console 9
enable secret 5 $1$Iykv$1tUkNYeB6omK41S18lTbQ1
!
no aaa new-model
ip cef
ip domain name cisco.com
!
!
!
dot11 syslog
!
dot11 ssid wpa
vlan 6
authentication open
authentication key-management wpa
mbssid guest-mode
wpa-psk ascii 7 060506324F41584B56
!
dot11 ssid wpa2
vlan 7
authentication open
authentication key-management wpa version 2
wpa-psk ascii 7 110A1016141D5A5E57
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 6 mode ciphers aes-ccm tkip
!
encryption vlan 7 mode ciphers aes-ccm tkip
!
ssid wpa
!
ssid wpa2
!
antenna gain 0
mbssid
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.6
encapsulation dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 subscriber-loop-control
bridge-group 6 spanning-disabled
bridge-group 6 block-unknown-source
no bridge-group 6 source-learning
no bridge-group 6 unicast-flooding
!
interface Dot11Radio0.7
encapsulation dot1Q 7
no ip route-cache
bridge-group 7
bridge-group 7 subscriber-loop-control
bridge-group 7 spanning-disabled
bridge-group 7 block-unknown-source
no bridge-group 7 source-learning
no bridge-group 7 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption vlan 6 mode ciphers aes-ccm tkip
!
encryption vlan 7 mode ciphers aes-ccm tkip
!
ssid wpa
!
ssid wpa2
!
antenna gain 0
no dfs band block
mbssid
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.6
encapsulation dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 subscriber-loop-control
bridge-group 6 spanning-disabled
bridge-group 6 block-unknown-source
no bridge-group 6 source-learning
no bridge-group 6 unicast-flooding
!
interface Dot11Radio1.7
encapsulation dot1Q 7
no ip route-cache
bridge-group 7
bridge-group 7 subscriber-loop-control
bridge-group 7 spanning-disabled
bridge-group 7 block-unknown-source
no bridge-group 7 source-learning
no bridge-group 7 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no keepalive
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface GigabitEthernet0.6
encapsulation dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 spanning-disabled
no bridge-group 6 source-learning
!
interface GigabitEthernet0.7
encapsulation dot1Q 7
no ip route-cache
bridge-group 7
bridge-group 7 spanning-disabled
no bridge-group 7 source-learning
!
interface BVI1
ip address 10.105.132.172 255.255.255.128
no ip route-cache
!
ip forward-protocol nd
ip http server
ip http secure-server
التحقق من الصحة
للتأكد من أن التكوين يعمل بشكل صحيح، انتقل إلى الاقتران، وتحقق من اتصال العميل:
أنت يستطيع أيضا دققت الزبون اقتران في ال CLI مع هذا syslog رسالة:
*Mar 11 05:39:11.962: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
ish_1262_1_st 2477.0334.0c40 Associated KEY_MGMT[WPAv2 PSK]
استكشاف الأخطاء وإصلاحها
أستخدم أوامر تصحيح الأخطاء هذه لاستكشاف أخطاء الاتصال وإصلاحها:
- debug dot11 aaa manager keys - يعرض هذا تصحيح الأخطاء المصافحة التي تحدث بين نقطة الوصول والعميل كتفاوض المفتاح المؤقت (PTK) والمجموعة المؤقتة للمفاتيح (GTK).
- جهاز الحالة المصدق Debug dot11 aaa - يعرض تصحيح الأخطاء هذا حالات المفاوضات المختلفة التي يمر بها العميل كشريك ومصادقة. تشير أسماء الولايات إلى هذه الحالات.
- عملية المصدق debug dot11 aaa - يساعدك تصحيح الأخطاء هذا على تشخيص المشاكل المتعلقة بالاتصالات التي تم التفاوض عليها. وتبين المعلومات التفصيلية ما يرسله كل مشترك في التفاوض وتبين رد المشارك الآخر. يمكنك أيضا إستخدام تصحيح الأخطاء هذا بالاقتران مع أمر مصادقة radius debug.
- فشل اتصال محطة Debug dot11 - يساعدك هذا التصحيح على تحديد ما إذا كان العملاء يفشلون في الاتصال ويساعدك على تحديد سبب الأعطال.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
23-Oct-2013 |
الإصدار الأولي |
التعليقات