Cisco Aironet 1200 Series — настройка WPA или WPA2-PSK

В предыдущей заметке я описал как сбросить в default точку доступа Cisco Aironet 1200 Series и обновить прошивку.
Следующий логичный шаг — настроить точку доступа для доступа к сети клиентов через WI-FI. Нужно ли говорить, что данная точка доступа может быть сконфигурирована тысячей различных способов, каждый из которых подойдет только определенной сети с определенной топологией или обладать параноидальными «фишками» для обеспечения максимально допустимой security.
Я же в Cisco человек новый, да и не особо парюсь по поводу security — поэтому начал с простого. В данном случае хочу показать простейшую конфигурацию в которой точка доступа выступает в роли bridge-устройства между WI-FI клиентами и ethernet сетью. Авторизация внутренняя, шифрование wpa-psk, управление ключами tkip.

Building configuration...

Current configuration : 1653 bytes
!
! Last configuration change at 16:05:16 +0200 Tue Nov 12 2013 by black
! NVRAM config last updated at 16:33:18 +0200 Tue Nov 12 2013 by black
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap2
!
enable secret 5 $1$veSK$K98KSO4BXXN6zrAm0cwiM0
!
clock timezone +0200 2
ip subnet-zero
ip domain name my.local
!
!
ip ssh version 2
no aaa new-model
dot11 syslog
!
dot11 ssid my.local
   authentication open
   authentication key-management wpa
   guest-mode
   wpa-psk ascii 7 03335407220A2C435C1D
!
!
!
username Cisco password 7 032752180500
username my_login my_password 7 34140401040E29252968706326
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers tkip
 !
 ssid my.local
 !
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 channel 2412
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address dhcp client-id FastEthernet0
 no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 login local
line vty 5 15
 login local
!
sntp server 192.168.100.1
sntp broadcast client
end

Для того чтобы получить такой конфиг нужно на «чистой» отресеченой точке сделать определенные действия. Я настаиваю, если вы такой же новичок как я и видите оборудование Cisco впервые — настройки лучше сбросить в default. Если текущий конфиг для вас важен, сохраните его:
1. либо просто через буфер обмена в какойто файл, для этого в консоли точки наберите команду

ap2# show run

Проклецайте пробелом до конца конфига и будете иметь возможность выделить/скопировать/сохранить в файл на локальной машине.
2. Можно сохранить текущий конфиг на самой точке

ap2# copy running-config flash:/old_config

После того как сохранили конфиг, желательно прошить точку последней доступной прошивкой и сбросить все настройки в «default», я уже писал о том как это делается.
Итак, с этого момента считаем что точка у вас девственно чистая и готова к настройке через CLI с нуля.
Для начала выбираем удобный нам способ попасть в консоль точки, по умолчанию в default-конфигурации точка доступна по сети через WEB и через telnet. Адрес берет по DHCP. Ну и конечно консольный порт + консольный шнурок тоже отличный вариант. Меня устраивал вариант коннекта через telnet. Правда первым желанием было настроить SSH доступ. Итак, идем на точку и настраиваем SSH доступ, помним что дефолтные login/pass у точки Cisco/Cisco. Итак, после логина, вперед настраивать ssh:

ap> enable
ap# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ap(config)#line vty 0 4
ap(config-line)#login local
ap(config-line)#transport input telnet ssh
ap(config-line)#exit
ap(config)#hostname ap2
ap2(config)#username my_login password my_password
ap2(config)#ip domain-name my.local
ap2(config)#crypto key generate rsa
The name for the keys will be: ap2.my.local
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
 
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
 
ap2(config)#exit

Ну вот, теперь у нас есть доступ к точке по SSH.

Можете убедиться попробовав законектиться с помощью ssh клиента в Linux либо Putty с винды.
Теперь покажу что надо сделать чтобы получить простейшую конфигурацию точки с такими параметрами:
— Защита соединения WPA
— SSID my.local
— Пароль доступа your_wifi_key
Все очень просто, конектимся в CLI и набираем следующие команды:

ap2> enable
ap2# configure terminal
ap2 (config)# interface dot11radio 0
ap2 (config-if)# encryption mode ciphers tkip
ap2 (config-if)# ssid my.local
ap2 (config-if-ssid)# authentication open
ap2 (config-if-ssid)# authentication key-management wpa
ap2 (config-if-ssid)# wpa-psk ascii your_wifi_key
ap2 (config-if-ssid)# end

Можете настроить любой клиент и попробовать — должно работать на ура.
И второй вариант, если хотим WPA2-PSK:

ap2> enable
ap2# configure terminal
ap2 (config)# interface dot11radio 0
ap2 (config-if)# encryption mode ciphers aes-ccm
ap2 (config-if)# ssid my.local
ap2 (config-if-ssid)# authentication open
ap2 (config-if-ssid)# authentication key-management wpa
ap2 (config-if-ssid)# wpa-psk ascii your_wifi_key
ap2 (config-if-ssid)# end

Как видите все тоже самое — разница только в encryption mode ciphers aes-ccm
После настройки не забудьте сохранить конфиг как startup-config, ато точка в следующий раз после ребута «забудет» все изменения 🙂

ap2# copy running-config startup-config

Enjoy!

  1. Комментов пока нет

  1. Трэкбэков пока нет.

Why ask?