将思科轻型无线接入点配置为802.1x请求者角色.PDFVIP

将思科轻型无线接入点配置为802.1x 请求者角色 目录 简介2 先决条件2 需求2 使用的组件2 背景资料2 配置3 网络拓扑图3 配置3 配置轻型无线接入点4 配置交换机5 配置RADIUS 服务器6 验证8 故障排查9 故障排除命令10 简介 本文档将介绍如何配置轻型无线接入点作为802.1x 请求者到RADIUS 服务器进行身份验证的 过程。 先决条件 需求 您在尝试配置之前，请确保您满足下列这些要求： •思科Aironet 1130 ，1240 或1250 系列无线接入点 •无线控制器运行的软件版本为5.1 或更高 •思科Catalyst 3560 系列交换机运行Cisco IOS 版本12.2(35)SE5 •思科Catalyst 3750 系列交换机运行Cisco IOS 版本12.2(40)SE •思科Catalyst 4500 系列交换机运行Cisco IOS 版本12.2(40)SG •思科Catalyst 6500 系列交换机Supervisor Engine 32 运行Cisco IOS 版本12.2(33)SXH 使用的组件 本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺 省（默认）配置开始配置。如果您的网络是正在使用的生产系统，请确保您了解所有命令带 来的潜在影响。 背景资料 思科的轻型无线接入点在工厂进行设备制造时就安装了通过私钥签名的X.509 证书。在加入 无线控制器过程中，轻型无线接入点使用此证书与无线控制器进行验证。欲了解更多信息， 请参阅Cisco 440X 系列无线局域网控制器部署文档。本文介绍另一种方法来验证轻型无线接 入点。随着无线控制器5.1 版本软件的推出，您可以配置思科 Aironet 无线接入点和思科交 换机之间采用802.1x 认证。无线接入点作为802.1x 请求者被交换机到RADIUS 服务器（ACS ） 进行匿名 PAC 配置的 EAP-FAST 认证。一旦交换机端口配置为 802.1x 认证，交换机不允许 802.1x 流量以外的任何数据流量通过端口传递，直到端口连接的设备验证成功为止。无线接 入点可以在加入无线控制器之前或之后被验证，后一种情况下，我们在无线接入点加入无线 控制器后在交换机上配置802.1x 。 配置 在本节中提供相关的信息来配置本文档中描述的功能。 注：可以使用命令查找工具 （Command Lookup Tool ）（只有CCO 注册客户才可使用）查找本 文档中使用命令的更多信息。 网络拓扑图 本文使用的网络拓扑设置： 配置 本文档使用了下列这些IP 地址： •交换机的IP 地址是10 •ACS 服务器的IP 地址是96 •无线控制器的IP 地址是04 配置轻型无线接入点 在本节中，您将获得配置无线接入点作为802.1x 请求者的信息。 完成以下步骤： 1.确保无线接入点加载了轻量级无线接入点的恢复映像。 2.将无线接入点连接到交换机上。 3.无线接入点加入并注册到无线控制器。这可以从无线控制器的无线（Wireless ）菜单检查， 如图1 所示。 图1 4.点击无线接入点 （access point ），然后单击“用户凭据 （Credentials ）”选项卡。 5.在802.1x 请求者用户凭据的界面，选择覆盖全局用户凭据 （Over- ride Global credentials） 来设置这个无线接入点的802.1x 用户名和密码。您还可以在无线控制器的全局设置页面下 设置所有的无线接入点采用共同的用户名和密码。图 2 显示了如何设置一个无线接入点 802.1x 认证的用户凭据。 图2 注：您还可以通过CLI 命令 （config ap dot1xuser add username user password password Cisco_AP (AP Name) ）配置无线接入点的802.1x 用户名和密码。 6.点击 Apply 提交更改。 7.单击“保存配置”保存用户凭据。 注：一旦保存后，这些用户凭据将保留，即使无线控制器和无线接入点重启。只有当无线接 入点加入了一个新的无线控制器时他们才会改变。无线接入点将采用新的无线控制器配置的 用户名和密码。 8.如果无线接入点还没有加入到无线控制器，你必须使用控制台端口连接到无线接入点使