Монтаж локальный сетей: Пример настройки Cisco Aironet 1252


	Ставим Сети! Строительство и комплексное обслуживание локальных сетей (495) 646-1291

Пример настройки точки доступа Cisco Aironet 1252

Перед прочтением данной заметки хочется обратить внимание на несколько моментов, которые необходимо учитывать при планировании беспроводной компьютерной сети.

Скорости, прописанные в стандартах Wi-Fi не являются гарантированными скоростями передачи данных, в отличае от проводного соединения.
Обеспечение безопасности беспроводной сети требует специфических знаний и дополнительных усилий.

Данная заметка не претендует на полноту изложения. Вся приведенная в заметке информация взята из личного опыта настройки оборудования. Любые замечания, предложения и вопросы принимаются на адрес net@net-services.ru

О настройке открытой сети
О настройке закрытой беспроводной сети (WPA ver2 Preshared key)
О настройке закрытой беспроводной сети с аутентификацией клиентов на внешнем RADIUS сервере (ПО Freeradius)
О реализации предоставления Wi-Fi клиенту определенного VLANа, согласно правилам, прописанным в настройках RADIUS сервера
Об аутентификации и авторизации администраторов через TACACS+ сервер
и о некоторых диагностических командах

IP адрес точке доступа присвоен
точка доступа подключена к коммутатору
в сети установлен и настроен RADIUS сервер для аутентификации клиентов
конфигурирование ведем через CLI(Command Line Interface)

Настройка открытой сети не несет никаких сложностей, единственное о чем нужно помнить – открытой сетью могут пользоваться все, у кого есть беспроводная сетевая карта...

(config)#dot11 ssid test-net	Создаем беспроводную сеть
(config-ssid)#authentication open	Объявляем открытую аутентификацию
(config-ssid)#guest-mode	разрешаем анонсирование ssid (сеть видна при поиске)

(config)#interface Dot11Radio0	Заходим в радио интерфейс
(config-if)#ssid test-net	Привязываем ssid к интерфейсу

Собственно, открытая беспроводная сеть настроена.

Технология WPA2 (Wi-Fi Protected access версия 2)на данный момент является наибелее стойкой а различным атакам. Если вы используете точку доступа для организации доступа в сеть небольшого количества пользователей, то WPA2-PSK подойдет вам лучше всего.

(config)#dot11 ssid test-net	Название сети
(config-ssid)#authentication open	Открытая аутентификация
(config-ssid)#authentication key-management wpa version 2	Объявляем wpa2 аутентификацию
(config-ssid)#wpa-psk ascii netKeyWpa	Вводим контрольную фразу (ключ сети), длина ключа сети не меньше 8 символов
(config-ssid)#guest-mode	Анонсирование ssid (сеть видна при поиске)

(config)#interface Dot11Radio0	Радио интерфейс
(config-if)#ssid test-net	Привязываем ssid к интерфейсу
(config-if)#encryption mode ciphers aes-ccm tkip	Объявляем о шифровании на физическом интерфейсе

После настройки WPA2-PSK при подключении к беспроводной сети, которая будет иметь ssid test-net потребуется ввести контрольную фразу (в данном случае netKeyWpa).

В случае необходимости раздельного администрирования беспроводных клиентов потребуется внешний RADIUS сервер.

(config)#radius-server host 172.16.222.90 auth-port 1812 acct-port 1813 key RaDiUsKeY	Прежде всего говорим точке доступа где у нас живет RADIUS сервер, на каких портах, и с каким паролем к нему идти

(config)#aaa group server radius rad_eap	Создаем группу eap аутентификации
(config-sg-radius)#server 172.16.222.90 auth-port 1812 acct-port 1813	и привязываем к этой группе сервер (можно несколько)
(config)#aaa group server radius rad_acct	Создаем группу статистики
(config-sg-radius)#server 172.16.222.90 auth-port 1812 acct-port 1813	и привязываем к этой группе сервер (так же можно несколько)

(config)#aaa authentication login eap_methods group rad_eap	Включаем eap аутентификацию с привязкой к листу eap_methods
(config)#aaa accounting network acct_methods start-stop group rad_acct	Тоже самое с методом сбора статистики

(config)#dot11 ssid test-net	Название сети
(config-ssid)#authentication open eap eap_methods	Прописываем ЕАР аутентификацию
(config-ssid)#authentication network-eap eap_methods	Прописываем ЕАР аутентификацию
(config-ssid)#authentication key-management wpa version 2	Объявляем wpa2 аутентификацию
(config-ssid)#wpa-psk ascii netKeyWpa	Вводим контрольную фразу (ключ сети), длина ключа сети не меньше 8 символов
(config-ssid)#guest-mode	Анонсирование ssid (сеть видна при поиске)

(config)#interface Dot11Radio0	Радио интерфейс
(config-if)#ssid test-net	Привязываем ssid к интерфейсу
(config-if)#encryption mode ciphers aes-ccm tkip	Объявляем о шифровании на физическом интерфейсе

user Cleartext-Password := "123"	Запись в файле users RADIUS сервера или в его базе данных

Учетных записей может быть достаточно много, каждая из них может быть привязана к конкретному человеку. Данная реализация аутентификации дает более гибкий механизм работы с учетными записями пользователей. Так же хочу отметить, что Cisco 1252, о которой идет речь в данной заметке, на борту имеет свой собственный встроенный RADIUS сервер.

В случае необходимости разбиения беспроводной сети на сегменты и привязки беспроводных клиентов к конкретному VLANу нам опять потребуется внешний RADIUS сервер.

(config)#radius-server host 172.16.222.90 auth-port 1812 acct-port 1813 key RaDiUsKeY	Прежде всего говорим точке доступа где у нас живет RADIUS сервер, на каких портах, и с каким паролем к нему идти

(config)#aaa group server radius rad_eap	Создаем группу eap аутентификации
(config-sg-radius)#server 172.16.222.90 auth-port 1812 acct-port 1813	и привязываем к этой группе сервер (можно несколько)
(config)#aaa group server radius rad_acct	Создаем группу статистики
(config-sg-radius)#server 172.16.222.90 auth-port 1812 acct-port 1813	и привязываем к этой группе сервер (так же можно несколько)

(config)#aaa authentication login eap_methods group rad_eap	Включаем eap аутентификацию с привязкой к листу eap_methods
(config)#aaa accounting network acct_methods start-stop group rad_acct	Тоже самое с методом сбора статистики

(config)#dot11 ssid test-net	Название сети
(config-ssid)#VLAN 102	Привязка VLANа к ssid
(config-ssid)#authentication open eap eap_methods	Прописываем ЕАР аутентификацию
(config-ssid)#authentication network-eap eap_methods	Прописываем ЕАР аутентификацию
(config-ssid)#authentication key-management wpa version 2	Объявляем wpa2 аутентификацию
(config-ssid)#wpa-psk ascii netKeyWpa	Вводим контрольную фразу (ключ сети), длина ключа сети не меньше 8 символов
(config-ssid)#guest-mode	Анонсирование ssid (сеть видна при поиске)

(config)#interface Dot11Radio0	Радио интерфейс
(config-if)#ssid test-net	Привязываем ssid к интерфейсу
(config-if)#encryption vlan 101 mode ciphers aes-ccm tkip	Объявляем о шифровании для каждого VLAN
(config-if)#encryption vlan 102 mode ciphers aes-ccm tkip	Объявляем о шифровании для каждого VLAN

(config)#interface Dot11Radio0.101	Создаем радио сабинтерфейс
(config-if)#encapsulation dot1Q 101	Указываем на нем энкапсуляцию с указанием номера VLAN
(config-if)#bridge-group 101	Указываем принадлежность к bridge группе
(config)#interface Dot11Radio0.102	Тоже самое для каждого из VLANов, необходимых на точке доступа
(config-if)#encapsulation dot1Q 102
(config-if)#bridge-group 102
(config)#interface GigabitEthernet0.101	Так же для Ethernet интерфейса 1 VLAN = 1 сабинтерфейс
(config-if)#encapsulation dot1Q 101
(config-if)#bridge-group 101
(config)#interface GigabitEthernet0.101
(config-if)#encapsulation dot1Q 101
(config-if)#bridge-group 101

user Cleartext-Password := "123"	Пользовательская учетная запись в RADIUS
Tunnel-Type = 13,	Указываем тип (VLAN)
Tunnel-Medium-Type	Объявляем транспорт Ethernet
Tunnel-Private-Group-Id = 102	Указываем номер VLAN для данного клиента

Преимущества раздельной аутентификации и авторизации беспроводных пользователей и администраторов очевидна:

Возможность хранения учетных записей администраторов отдельно от учеток пользователей, а следовательно раздельное администрирование двух независимых сервисов.
При реализации TACACS и RADIUS сервиса на разных физических устройствах - дополнительная защита от компрометации сервисов.

Далее мы рассмотрим настройки, отвечающте за аутентиикацию и авторизацию администраторов сети на выделенном TACACS+ сервере (это так же может быть выделенный RADIUS сервер)

(config)#tacacs-server host 172.16.222.11 key TacKey123	Прежде всего говорим точке доступа где у нас живет TACACS+ сервер и с каким паролем к нему идти

(config)#aaa group server tacacs+ tac_admin	Создаем группу для аутентификации админов
(config-sg-radius)#server 172.16.222.11	и привязываем к этой группе сервер (можно несколько)

(config)#aaa authentication login default group tac_admin	Прописываем аутентификацию по умолчанию

(config)#aaa authentication login eap_methods group rad_eap	Включаем eap аутентификацию с привязкой к листу eap_methods

user = vasya { default service = permit login = des XXXXXXXX service = exec { default attribute = permit priv-lvl = 15 } member = admin }	Пример учетной записи TACACS+

Прежде всего при начале диагностики стоит убедиться поднялись ли нужные интерфейсы

ap-1252#show ip interface brief
Interface	IP-Address	OK? Method	Status	Protocol
BVI1	XXX.XXX.XXX.XXX	YES NVRAM	up	up
Dot11Radio0	unassigned	YES NVRAM	up	up
Dot11Radio0.101	unassigned	YES unset	up	up
Dot11Radio0.102	unassigned	YES unset	up	up
GigabitEthernet0	unassigned	YES NVRAM	up	up
GigabitEthernet0.101	unassigned	YES NVRAM	up	up
GigabitEthernet0.102	unassigned	YES NVRAM	up	up

Если статус радио интерфейса отличается от "up" - стоит поискать причину его незапуска

Следующая команда покажет подключенных клиентов

ap-1250#sh dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [test-net] :
MAC Address	IP address	Device	Name	Parent	State	0090.966f.7567	172.16.200.210	ccx-client	Net-Book	self	EAP-Assoc

Статистика по каждому из клиентов
sh dot11 statistics client-traffic

E-mail: net@net-services.ru Тел.: (495) 646-12-91	Copyright © 2008 - 2012 \| net-services.ru