简介
本文档介绍如何使用可扩展身份验证协议(EAP) — 传输层安全(TLS)来设置具有802.1x安全性的无线局域网(WLAN)。
先决条件
要求
Cisco 建议您了解以下主题:
802.1x身份验证过程
证书
使用的组件
本文档中的信息基于以下软件和硬件版本:
WLC 5508版本8.3
身份服务引擎(ISE)版本2.1
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
EAP-TLS流
EAP-TLS流中的步骤
无线客户端与接入点(AP)关联。
AP不允许客户端此时发送任何数据并发送身份验证请求。
请求方随后使用EAP响应身份进行响应。然后,WLC将用户ID信息传达给身份验证服务器。
RADIUS服务器使用EAP-TLS启动数据包响应客户端。EAP-TLS会话从此开始。
对等体将EAP-Response发送回包含“client_hello”握手消息的身份验证服务器,该握手消息为NULL设置。
身份验证服务器以包含以下内容的访问质询数据包作出响应:
TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done.
客户端以包含以下内容的EAP-Response消息进行响应:
Certificate ¬ Server can validate to verify that it is trusted.
client_key_exchange
certificate_verify ¬ Verifies the server is trusted
change_cipher_spec
TLS finished
在客户端成功进行身份验证后,RADIUS服务器会以Access-challenge响应,该Access-challenge包含“change_cipher_spec”和握手完成消息。收到此消息后,客户端将验证散列以验证RADIUS服务器。在TLS握手期间,新加密密钥会从密钥中动态派生。
此时,启用EAP-TLS的无线客户端可以访问无线网络。
配置
思科无线局域网控制器
步骤1.第一步是在Cisco WLC上配置RADIUS服务器。要添加RADIUS服务器,请导航至Security > RADIUS > Authentication。单击New,如图所示。
步骤2.在此,您需要输入IP地址和用于验证ISE上WLC的共享密钥。单击Apply以继续,如图所示。
步骤3.为RADIUS身份验证创建WLAN。
现在,您可以创建新的WLAN并将其配置为使用WPA — 企业模式,以便它可以使用RADIUS进行身份验证。
步骤4.从主菜单中选择WLAN,选择Create New,然后单击Go,如图所示。
步骤5.让我们为新的WLAN EAP命名。单击Apply以继续,如图所示。