Config Beispiel ?

[MYOEY]

Hallo zusammen,
Kann mir jemand bitte ein Config Beispiel für eine SSID mit WPA2/TKIP auf einem Cisco Access Point (AP1242AG-E-K9 Version 12.4(10b)JDA) hier posten?


Windows Clients sollten sich mit dem AP über WLAN (WPA2/TKIP) verbinden können. Die Authentiefizierung läuft gegen Radius Server (ACS)



Besten Dank im Voraus.

Grüße

[collapse]

hab eine muss sie suchen =)

gruesse

edit:

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname <hostname>
!
enable secret <enable-secret-password>
!
ip subnet-zero
no ip domain lookup
!
no aaa new-model
dot11 syslog
!
dot11 ssid <SSID-NAME>
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii <preshared-key>
!
username <username-insert> password <password-insert>

!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
no shut shutdown
!
encryption mode ciphers aes-ccm
!
ssid <SSID-NAME>
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
channel 2467
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.2.3 255.255.255.224
no ip route-cache
!
ip default-gateway 192.168.2.1
no ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779...onfig/help/eag
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 deny any
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
session-timeout 5
access-class 1 in
login local
transport input ssh
line vty 5 15
session-timeout 5
access-class 1 in
login local
transport input ssh
!

[MYOEY]

Danke für deine Antwort!

Da habe ich aber ein Problem, dass ich kein Pre-shared key verwenden möchte!

oder gibt's einen anderen "besseren" Weg, um den psk nicht zu benutzen?

Hab irgendwo gelesen, dass es mit "TKIP" funktionieren würde???

wie geht das denn bitte?


Gruß

[Nightwalker_z]

Schau mal in den Konfig Guide:
Cisco IOS Software Configuration Guide for Cisco Aironet Access Points Cisco IOS Releases 12.4(10b)JA and 12.3(8)JEC - Chapter 11 - Configuring Authentication Types [Cisco Aironet 1200 Series] - Cisco Systems

Stichwort ist in der SSID Konfig "authentication network-eap"

Die Cipher Suite (TKIP / CCMP) hat nicht viel mit der Authentication zu tun. Ich stelle mir eben die Frage warum WPA2 mit TKIP.
Das sind solche Spezialfälle. Hardware die in der Lage ist WPA2 zu machen, sollte genau so gut AES-CCMP machen können.
Ich würde generell nur folgende Cipher Suites im echten Leben implementieren:
- WPA PERSONAL / ENTERPRISE (WPA1 TKIP mit PSK oder 802.1x)
- WPA2 PERSONAL / ENTERPRISE (WPA2 AES-CCMP mit PSK oder 802.1x)
Ich behaupte mal auch, dass das Deployment so von der Wi-Fi vorgesehen ist. Alles andere sind eher Corner-Cases

[Nightwalker_z]

Edit:
Hab sogar einen Beleg für meine Theorie gefunden:
==> http://www.wi-fi.org/files/kc_11_WPA2_QandA_3-23-05.pdf

Nach dem 802.11 Standard geht diese Kombination schon. Der Standard (802.11i) weiß auch gar nichts von WPA bzw. WPA2, sondern nur RSN (was WPA und WPA2 einschließt), TKIP und CCMP. Dennoch - die Geräte werden alle auf Wi-Fi Alliance Kompatibilität geprüft - und die Wi-Fi sagt: Nimm WPA2 + AES

[MYOEY]

@Nightwalker_z: Danke für deine ausführlichen Antworten!

Ich würde dann gerne den Accesspoint mit WPA2 mit AES-CCMP konfigurieren.

Auf der Cisco Seite bin leider nicht wirklich schlau geworden, und es war auch ständig die Rede von wpa und nicht wpa2.

Auf dem Windows XP Client (mit Intel wlan Controller) habe folgendes eingestellt:

Netzwerkauthentifizierung: WPA2 - Unternehmen
Datenverschlüsselung: AES-CCMP

wie soll nun den AP1242 konfigurieren?
Für ein Config Example wäre ich dir sehr dankbar!

Gruß

[Nightwalker_z]

Schau mal hier:
WPA Configuration Overview - Cisco Systems

Dieses Beispiel passt ganz gut. Die machen dort EAP mit WPA
Wenn du WPA2 mit AES willst, ändert sich fast nichts.
In den Dot11Radio0 Eigenschaften musst du nur statt
"encryption mode ciphers tkip" das eingeben
"encryption [vlan vlan-id] mode ciphers aes-ccm"

In der SSID dann sowas wie:

Code:

dot11 ssid <SSID>
 authentication network-eap eap_methods
 authentication key-management wpa
 vlan <ID>
!

und dann noch den RADIUS Server anlegen

Code:

aaa new-model 
!
aaa group server radius rad_eap 
 server 192.168.2.100 auth-port 1645 acct-port 1646
.
.
aaa authentication login eap_methods group rad_eap

Natürlich würde ich diese Konfig nicht so benutzen.. du kannst noch was am 802.1x tunen und bssid Support etc. anschalten. Aber ich will hier nicht alles vorkauen.
Im Konfig Guide steht eigentlich alles super drinnen.
"http://www.cisco.com/en/US/docs/wireless/access_point/12.4_10b_JA/configuration/guide/scg12410b.html"