Empezamos a configurar nuestro punto de acceso Cisco Aironet 1240AG, tal como nos viene la configuración por defecto de fábrica. Y seguimos los siguientes pasos:
1. Configuramos AAA en nuestro punto de acceso para que pueda consultar nuestro servidor RADIUS (en mi caso tiene la IP 192.168.8.25) y conceda acceso a nuestros usuaris asignados.
AP(config)#aaa group server radius SRV_RADIUS
AP(config-sg-radius)#server 192.168.8.25 auth-port 1812 acct-port 1813
AP(config)#radius-server host 192.168.8.25 auth-port 1812 acct-port 1813 key 7 071B2C1E7A184B06
2. Creamos el grupo para EAP_METHODS relacionado con el grupo de servidores radius SRV_RADIUS creado anteriormente. Este último grupo se asociará al acceso por wifi de nuestro ssid, el cual permitirá a los usuarios autenticarse en nuestro RADIUS.
AP(confg)#aaa authentication login EAP_METHODS group SRV_RADIUS
3. Ahora vamos a crear nuestro SSID, en el qual le asignamos el tipo de autenticación que deseamos, en nuestro caso será WPA2.
AP(config)#dot11 ssid wifi
AP(config-ssid)#authentication open eap EAP_METHODS
AP(config-ssid)#authentication key-management wpa
AP(config-ssid)#guest-mode
4. Nos falta decirle al punto de acceso que asocie nuestro SSID creado anteriormente con nuestra interfície wireless que deseamos. Además también vamos a definir el tipo de autenticación, que en nuestro caso para seguir el estándard WPA2 (802.11i) será AES.
AP(config)# interface dot11Radio 0
AP(config-if)#encryption mode ciphers aes-ccm
AP(config-if)#ssid wifi
5. Activamos lo interfície wireless, que por defecto está descactivada.
AP(config-if)#no shutdown
Current configuration : 1562 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$1bU3$1inX5ONk2hF6gUEMZT18a1
!
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius SRV_RADIUS
server 192.168.8.25 auth-port 1812 acct-port 1813
!
aaa authentication login EAP_METHODS group SRV_RADIUS
aaa session-id common
!
dot11 ssid wifi
authentication open eap EAP_METHODS
authentication key-management wpa
guest-mode
!
!
!
username Cisco password 7 096F471A1A0A
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid wifi
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.8.100 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.8.1
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
radius-server host 192.168.8.25 auth-port 1812 acct-port 1813 key 7 071B2C1E7A184B06
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
!
end
4 comentarios:
Podrias mandarme como configuraste tu server radius?? Estoy tratando de levantar el mismo servicio con el mismo ap pero con FreeRadius.
te dejo mi email.
schrism@zoho.com
Saludos.
Hola,
en clase estamos trabajando con un AP cisco aironet 1130AG, y para ello hemos creado varios perfiles en los equipos utilizando el aironet desktop utilities. En casa no tengo dicho AP pero me gustaria poder "leer" los perfiles creados en clase, repasar los datos/opciones de cada perfil, tengo alguna forma de "leerlos"?? si solo se pueden "leer" con el aironet desktop, ¿sabes d donde puedo bajarlo??
Por cierto, ¿¿me podrias aclarar para que sirve el inyector que trae el AP??
Gracias, saludos:D
Buenas Tardes, compañero excelente tuto me ayudo mucho en el servidor freeradius que tengo implementado en mi empresa, solo que en los dispositivos cisco hay que habilitar el servicio aaa.
Seguí los pasos pero no hubo autenticacion con el servidor radius, todo comenzo cuando actualice el firmware del AP, desde ahi empezaron lo problemas, cuando hice el downgrade a la version anterior del firmware salieron otros problemas relacionados con la conectividad del AP , por ejemplo no se puede hacer ping a otros dispositivos dentro de la misma red y viceverza, entonces opte nuevamente por subirle el firmware pero no logra autenticarse, se me agotaron las ideas.
Publicar un comentario