MYOEY 10 Geschrieben 17. Februar 2010 Melden Teilen Geschrieben 17. Februar 2010 Hallo zusammen, Kann mir jemand bitte ein Config Beispiel für eine SSID mit WPA2/TKIP auf einem Cisco Access Point (AP1242AG-E-K9 Version 12.4(10b)JDA) hier posten? Windows Clients sollten sich mit dem AP über WLAN (WPA2/TKIP) verbinden können. Die Authentiefizierung läuft gegen Radius Server (ACS) Besten Dank im Voraus. Grüße Zitieren Link zu diesem Kommentar
collapse 10 Geschrieben 18. Februar 2010 Melden Teilen Geschrieben 18. Februar 2010 hab eine muss sie suchen =) gruesse edit: no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname <hostname> ! enable secret <enable-secret-password> ! ip subnet-zero no ip domain lookup ! no aaa new-model dot11 syslog ! dot11 ssid <SSID-NAME> authentication open authentication key-management wpa guest-mode wpa-psk ascii <preshared-key> ! username <username-insert> password <password-insert> ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache no shut shutdown ! encryption mode ciphers aes-ccm ! ssid <SSID-NAME> ! speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 channel 2467 station-role root bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface BVI1 ip address 192.168.2.3 255.255.255.224 no ip route-cache ! ip default-gateway 192.168.2.1 no ip http server no ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 deny any bridge 1 route ip ! ! ! line con 0 line vty 0 4 session-timeout 5 access-class 1 in login local transport input ssh line vty 5 15 session-timeout 5 access-class 1 in login local transport input ssh ! Zitieren Link zu diesem Kommentar
MYOEY 10 Geschrieben 19. Februar 2010 Autor Melden Teilen Geschrieben 19. Februar 2010 Danke für deine Antwort! Da habe ich aber ein Problem, dass ich kein Pre-shared key verwenden möchte! oder gibt's einen anderen "besseren" Weg, um den psk nicht zu benutzen? Hab irgendwo gelesen, dass es mit "TKIP" funktionieren würde??? wie geht das denn bitte? Gruß Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 19. Februar 2010 Melden Teilen Geschrieben 19. Februar 2010 Schau mal in den Konfig Guide: Cisco IOS Software Configuration Guide for Cisco Aironet Access Points Cisco IOS Releases 12.4(10b)JA and 12.3(8)JEC - Chapter 11 - Configuring Authentication Types [Cisco Aironet 1200 Series] - Cisco Systems Stichwort ist in der SSID Konfig "authentication network-eap" Die Cipher Suite (TKIP / CCMP) hat nicht viel mit der Authentication zu tun. Ich stelle mir eben die Frage warum WPA2 mit TKIP. Das sind solche Spezialfälle. Hardware die in der Lage ist WPA2 zu machen, sollte genau so gut AES-CCMP machen können. Ich würde generell nur folgende Cipher Suites im echten Leben implementieren: - WPA PERSONAL / ENTERPRISE (WPA1 TKIP mit PSK oder 802.1x) - WPA2 PERSONAL / ENTERPRISE (WPA2 AES-CCMP mit PSK oder 802.1x) Ich behaupte mal auch, dass das Deployment so von der Wi-Fi vorgesehen ist. Alles andere sind eher Corner-Cases Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 19. Februar 2010 Melden Teilen Geschrieben 19. Februar 2010 Edit: Hab sogar einen Beleg für meine Theorie gefunden: ==> http://www.wi-fi.org/files/kc_11_WPA2_QandA_3-23-05.pdf Nach dem 802.11 Standard geht diese Kombination schon. Der Standard (802.11i) weiß auch gar nichts von WPA bzw. WPA2, sondern nur RSN (was WPA und WPA2 einschließt), TKIP und CCMP. Dennoch - die Geräte werden alle auf Wi-Fi Alliance Kompatibilität geprüft - und die Wi-Fi sagt: Nimm WPA2 + AES Zitieren Link zu diesem Kommentar
MYOEY 10 Geschrieben 19. Februar 2010 Autor Melden Teilen Geschrieben 19. Februar 2010 @Nightwalker_z: Danke für deine ausführlichen Antworten! Ich würde dann gerne den Accesspoint mit WPA2 mit AES-CCMP konfigurieren. Auf der Cisco Seite bin leider nicht wirklich schlau geworden, und es war auch ständig die Rede von wpa und nicht wpa2. Auf dem Windows XP Client (mit Intel wlan Controller) habe folgendes eingestellt: Netzwerkauthentifizierung: WPA2 - Unternehmen Datenverschlüsselung: AES-CCMP wie soll nun den AP1242 konfigurieren? Für ein Config Example wäre ich dir sehr dankbar! Gruß Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 20. Februar 2010 Melden Teilen Geschrieben 20. Februar 2010 Schau mal hier: WPA Configuration Overview - Cisco Systems Dieses Beispiel passt ganz gut. Die machen dort EAP mit WPA Wenn du WPA2 mit AES willst, ändert sich fast nichts. In den Dot11Radio0 Eigenschaften musst du nur statt "encryption mode ciphers tkip" das eingeben "encryption [vlan vlan-id] mode ciphers aes-ccm" In der SSID dann sowas wie: dot11 ssid <SSID> authentication network-eap eap_methods authentication key-management wpa vlan <ID> ! und dann noch den RADIUS Server anlegen aaa new-model ! aaa group server radius rad_eap server 192.168.2.100 auth-port 1645 acct-port 1646 . . aaa authentication login eap_methods group rad_eap Natürlich würde ich diese Konfig nicht so benutzen.. du kannst noch was am 802.1x tunen und bssid Support etc. anschalten. Aber ich will hier nicht alles vorkauen. Im Konfig Guide steht eigentlich alles super drinnen. "http://www.cisco.com/en/US/docs/wireless/access_point/12.4_10b_JA/configuration/guide/scg12410b.html" Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.