WPA-PSK（事前共有キー）の設定

Radiusサーバーなどの認証サーバーを用意できない場合、以下の認証方式の採用が考えられます。


●WPA-PSK（事前共有キー）

●Mac認証

今回はWPA-PSKの設定について記載します。
PSK（Pre-Shared Key）は事前共有鍵の意味で、アクセスポイントと無線端末の両方にあらかじめ、共有キーを設定します。この共有キーが一致する場合のみ、接続を許可します。

PSKは[TKIP]または[AES]による暗号化方式により、送信するデータ毎に暗号化鍵を生成するための情報を送信します。

WPA-PSKの場合、その端末自体資格情報を認証するわけではないので、事前共有キーが漏洩された場合などは不正アクセスされてしまいます。


『WPA-PSKの設定（アクセスポイント）』

今回以下のコンフィグを投入し、接続を確認。
※IOSのバージョンや、機器によって異なる可能性があります。
※暗号化方式にはTKIPを使用。

-----------------------------------------------------

(config)#dot11 ssid blue_sky
(config-ssid)#authentication open
(config-ssid)#authentication key-management wpa
(config-ssid)#wpa-psk ascii password

(config)#interface Dot11Radio0
(config-if)#encryption mode ciphers tkip
(config-if)#ssid blue_sky
(config-if)#no shutdown

-----------------------------------------------------

斜体の事前共有キーには[16進数]または[ASCII文字]を使用してキーを入力します。ASCII を使用する場合は、8 桁以上の文字、数字、記号を入力する必要があり、63文字まで入力可能です。


『WPA-PSKの設定（無線端末）』

�@ワイヤレスネットワーク接続のプロパティを開きます。

�A「ワイヤレスネットワーク」タブをクリックします。

�B「追加」をクリックします。


�C以下の設定を実施し、「OK」をクリックします。
・ネットワーク名（SSID）・・・APで設定したSSID
・ネットワーク認証・・・WPA-PSK
・データの暗号化・・・TKIP
・ネットワークキー・・・APで設定した事前共有キー



�D「OK」をクリックします。


以上で設定は完了です。
タスクトレイで接続完了が表示されます。



ただし、タスクトレイの表示は絶対ではないので、接続確認まで行うと完璧です。

CCNA受験時にかなり役立った黒本です。
昔は本を探しに書店を廻ったものですが、今思えばネットで購入すればよかったです。

802.1x認証時の確認コマンド

EAP-TLS認証時の切り分けでAironetで確認する際のコマンドです。

-------------------------------------------------------------
AP01#show aaa servers

RADIUS: id 2, priority 1, host 192.168.11.7, auth-port 1812, acct-port 1813
State: current UP, duration 1869s, previous duration 0s
Dead: total time 0s, count 0
Authen: request 337, timeouts 12
Response: unexpected 0, server error 0, incorrect 0, time 11ms
Transaction: success 325, failure 3
Author: request 0, timeouts 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Account: request 0, timeouts 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Elapsed time since counters last cleared: 34m

--------------------------------------------------------------

リクエスト337回に対してのトランザクションの結果をみます。
成功回数325回、失敗回数3回です。
Transaction: success 325, failure 3


失敗した場合は、APとCiscoACSの間でRadiusキーの間違いや、通信できないなどの理由で失敗した事を示します。成功はCiscoACSに対してのRadius通信に問題ないことを示します。

これで、認証に失敗する場合は、クライアントや認証サーバの設定を疑います。

EAP-TLS認証用の設定

テスト環境用のEAP-TLS認証用のコンフィグです。

使用したAPはAironet1200です。今これしかないのでご勘弁を。
型が古いので802.11bしかしゃべれません。
あと、暗号化方式もTKIPまでです。
実際はAESを採用すべきですね。

なので、本構成は、、

暗号化方式：TKIP
認証方式：EAP-TLS
通信規格：802.11b

802.11nが浸透してきた中、ちょっと残念な構成です。
<>はテスト環境での値なので、適時変更して下さい。

Radiusキーを間違えると認証に失敗しますので、要注意です。
IASに設定した値と同じ値にして下さい。

-------------------------------------------

version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname
!
enable secret
!
ip subnet-zero
no ip domain lookup
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server <192.168.11.7> auth-port 1812 acct-port 1813
!
aaa authentication login eap_methods group rad_eap
aaa session-id common
!
dot11 ssid
authentication open eap eap_methods
authentication key-management wpa
!
!
!
username password
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers
!
ssid
!
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
station-role root fallback shutdown
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address <192.168.11.10 255.255.255.0>
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host <192.168.11.7> auth-port 1812 acct-port 1813 key
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
transport preferred all
transport output all
line vty 0 4
transport preferred all
transport input all
transport output all
line vty 5 15
transport preferred all
transport input all
transport output all
!
end
-------------------------------------------
あくまで参照程度でご覧下さい。

これで、Radiusサーバー(IAS)、オーセンティケーター（AP）、サプリカント（XP標準搭載）でEAP-TLS認証が実現できます。

資格取得で利用した黒本です。
CCNP取得時も黒本は利用しました。