Posté le: Dim Jan 07, 2007 5:19 pm Sujet du message: AP1100 standalone
Bonjour,
J'ai configuré une AP1100 en standalone pour des personnes de ma boite qui se deplacent en france pour leur constituer un réseau de travail rapide et simple d'utilisation.
J'ai créé un serveur DHCP en local
J'utilise le serveur radius local avec comme protocole L'EAP-FAST pour les clients et le LEAP pour le WDS avec authentification locale.
Le mode de cryptage est AES-CCM + TKIP car les clients ont des cartes 350 series et des CB21AG.
Je rencontre un problème avec la partie cliente WDS pendant l'authentification des cartes 350 series. En effet lorsque je coche uniquement l'EAP-FAST dans les cartes CB21AG s'authentifient mais pas les 350 series. Pour ces dernières je suis obligé de cocher LEAP. Je ne comprends pas trop pourquoi.
J'ai une seconde question et je redoute la réponse. Les APs Cisco ne font pas de niveau 3 donc par de routage ni de multiples vlans en standalone.
la configuration de ma borne est la suivante:
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname AP_MASTER_TEST
!
no logging console
!
ip subnet-zero
ip domain name TEST.FR
ip name-server 36.105.100.1
ip dhcp excluded-address 36.105.100.1
ip dhcp excluded-address 36.105.100.2
!
ip dhcp pool DEVICES
network 36.105.100.0 255.255.255.0
default-router 36.105.100.1
lease infinite
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 36.105.100.1 auth-port 1812 acct-port 1813
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
server 36.105.100.1 auth-port 1812 acct-port 1813
!
aaa group server radius rad_admin
server 36.105.100.1 auth-port 1812 acct-port 1813
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa group server radius rad_eap1
server 36.105.100.1 auth-port 1812 acct-port 1813
!
aaa group server radius rad_acct1
server 36.105.100.1 auth-port 1812 acct-port 1813
!
aaa group server radius infrastructure
server 36.105.100.1 auth-port 1812 acct-port 1813
!
aaa group server radius clients
server 36.105.100.1 auth-port 1812 acct-port 1813
!
aaa authentication login default local
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication login eap_methods1 group rad_eap1
aaa authentication login method_infrastructure group infrastructure
aaa authentication login method_clients group clients
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting network acct_methods1 start-stop group rad_acct1
aaa session-id common
dot11 vlan-name DEVICES vlan 1
!
dot11 ssid TEST
vlan 1
authentication open eap eap_methods1
authentication network-eap eap_methods1
authentication key-management wpa
accounting acct_methods1
!
dot11 network-map
dot11 arp-cache optional
!
crypto pki trustpoint TP-self-signed-1507928046
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1507928046
revocation-check none
rsakeypair TP-self-signed-1507928046
!
!
username adminlocal privilege 15 password 7 047B02081B245E400C0D25
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm tkip
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
broadcast-key change 600 membership-termination capability-change
!
!
ssid TEST
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
channel 2412
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
hold-queue 80 in
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 36.105.100.1 255.255.255.0
no ip route-cache
!
ip default-gateway 36.105.100.1
no ip http server
ip http authentication aaa
ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
access-list 111 permit tcp any any neq telnet
radius-server local
no authentication mac
eapfast authority info AP_MASTER_TEST
eapfast server-key primary 7 6A477B14901B276DB85F772D222ED9E599
eapfast server-key secondary 7 6A477B14901B276DB85F772D222ED9E599
nas 36.105.100.1 key 7 021201481F
group DEVICES
!
group WDS
!
user administrateur nthash 7 123B5032455D5527097A750B66637B4557425456010E00060257203B300C0B0000 group DEVICES
user utilisateur nthash 7 11593A27414B5F545C7A7E027F6A62003555375B530E090F0A035D21404F0C0B00 group DEVICES
user infrastructure_wds nthash 7 040C5E5158761F6A513B5C42462E54520E0F020C6010013756465B530509000B71 group WDS
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 36.105.100.1 auth-port 1812 acct-port 1813 key 7 0010161510
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
!
!
wlccp ap username infrastructure_wds password 7 131213011F09173E
wlccp authentication-server infrastructure method_infrastructure
wlccp authentication-server client any method_clients
ssid TEST
wlccp wds priority 254 interface BVI1
!
line con 0
access-class 111 in
line vty 0 4
access-class 111 in
!
end
Posté le: Lun Jan 08, 2007 2:08 am Sujet du message:
Salut manu75015,
Ta config me semble bonne, pour ce qui est du LEAP certain client Wifi ne sont pas compatible à 100%, ton probleme pourrait venir de la(Probleme de timeout d'auth). Pour ta seconde question tes craintes sont confirmées.
Posté le: Ven Jan 12, 2007 12:05 am Sujet du message:
Yop,
si je fais pas erreur les carte 350series sont les cartes 802.11b qui, pour moi ne supporte pas le tkip (enfin la mienne en veut pas..)..
Je serais donc pas étonné qu'elle ne supporte pas non plus l'EAP-FAST...
Pour ta 2eme question, c'est clair que tu ne peux pas faire de multi-vlan sur une borne en stand-alone...
Du coup, une autre question me vient, quel est l'interet du WDS pour une borne en stand alone ?? Parce que là, j'avoue qu'à part charger ta conf, je vois pas...
Idem pour la création d'une interface FastEthernet0.1 avec le vlan 1 en natif.. Quel est l'intêret ?
Posté le: Ven Jan 12, 2007 2:30 pm Sujet du message:
en fait les cartes 350 avec l'ACU 606 font bien de l'EAP-FAST avec tkip mais elle n'implémentent pas l'EAP-FAST de la même manière que les CB21AG. C'est pourquoi lorsque l'on met en place un WDS il faut cocher LEAP afin que les clients avec les cartes 350 puissent être authentifiés à traves le WDS
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
AP1100 standalone
