Добавление вручную самоподписанных сертификатов к контроллеру точек доступа, преобразованных в LWAPP - Часть 1

Введение

Этот документ объясняет методы, которые можно использовать, чтобы вручную добавить подписанные сертификаты (SSCs) к LAN беспроводной связи Ciscо (WLAN) Контроллер (WLC).

SSC точки доступа (AP) должен существовать на всех WLC в сети, к которой AP имеет разрешения для регистрации. Как правило примените SSC ко всем WLC в той же мобильной группе. Когда добавление SSC к WLC не происходит через утилиту обновления, необходимо вручную добавить SSC к WLC с использованием процедуры в этом документе. Вы также требуете этой процедуры, когда AP перемещен в другую сеть или когда дополнительные WLC добавлены к существующей сети. Лучше предоставить эту работу компании занимающийся ИТ-аутсерсингом.

Когда Легковесный Протокол AP (LWAPP) - преобразованный AP не связывается к WLC, можно распознать эту проблему. При устранении неисправностей проблемы сопоставления вы видите эти выходные данные при издании этих отладок:

·         При издании команды enable pki debug pm вы видите:

·         (Cisco Controller) >debug pm pki enable
·         Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: locking ca cert table
·         Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: calling x509_alloc() for user cert
·         Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: calling x509_decode()
·         Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: <subject> L=San Jose, ST=
·         California, C=US, O=Cisco Systems, MAILTO=This email address is being protected from spambots. You need JavaScript enabled to view it., CN=C1130-00146a1b3744 
·         Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: <issuer>  L=San Jose, ST=
·         California, C=US, O=Cisco Systems, MAILTO=This email address is being protected from spambots. You need JavaScript enabled to view it., CN=C1130-00146a1b3744 
·         Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: Mac Address in subject is 
·         00:XX:XX:XX:XX
·         Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: Cert is issued by Cisco Systems.
·         Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: SSC is not allowed by config; 
·         bailing...
·         Thu Jan 26 20:22:50 2006: sshpmFreePublicKeyHandle: called with (nil)
Thu Jan 26 20:22:50 2006: sshpmFreePublicKeyHandle: NULL argument.

·         При издании команды enable событий debug lwapp вы видите:

·         (Cisco Controller) >debug lwapp errors enable
·         ....
·         Thu Jan 26 20:23:27 2006: Received LWAPP DISCOVERY REQUEST from AP 
·         00:13:5f:f8:c3:70 to ff:ff:ff:ff:ff:ff on port '1'
·         Thu Jan 26 20:23:27 2006: Successful transmission of LWAPP Discovery-Response to 
·         AP 00:13:5f:f8:c3:70 on Port 1
·         Thu Jan 26 20:23:27 2006: Received LWAPP JOIN REQUEST from AP 00:13:5f:f9:dc:b0 to 
·         06:0a:10:10:00:00 on port '1'
·         Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: locking ca cert table
·         Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: calling x509_alloc() for user cert
·         Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: calling x509_decode()
·         Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: <subject> L=San Jose, ST=
·         California, C=US, O=Cisco Systems, MAILTO=This email address is being protected from spambots. You need JavaScript enabled to view it., CN=C1130-00146a1b321a 
·         Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: <issuer>  L=San Jose, ST=
·         California, C=US, O=Cisco Systems, MAILTO=This email address is being protected from spambots. You need JavaScript enabled to view it., CN=C1130-00146a1b321a 
·         Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: Mac Address in subject is 
·         00:14:6a:1b:32:1a
·          
·         Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: Cert is issued by Cisco Systems.
·         Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: SSC is not allowed by config; 
·         bailing...
·         Thu Jan 26 20:23:27 2006: LWAPP Join-Request does not include valid certificate 
·         in CERTIFICATE_PAYLOAD from AP 00:13:5f:f9:dc:b0.
·         Thu Jan 26 20:23:27 2006: sshpmFreePublicKeyHandle: called with (nil)
·         Thu Jan 26 20:23:27 2006: sshpmFreePublicKeyHandle: NULL argument.
·         Thu Jan 26 20:23:27 2006: Unable to free public key for AP  00:13:5F:F9:DC:B0 
·         Thu Jan 26 20:23:27 2006: spamDeleteLCB: stats timer not initialized for AP 
·         00:13:5f:f9:dc:b0
·         Thu Jan 26 20:23:27 2006: spamProcessJoinRequest : spamDecodeJoinReq failed 

 

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

·         WLC не содержит SSC, который генерировала утилита обновления.

·         AP содержат SSC.

·         Telnet включен на WLC и AP.

·         Минимальный номер версии Программного кода pre-LWAPP Cisco IOS® находится на AP, который будет обновлен.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

·         2006 WLC Cisco, который выполняет микропрограммное обеспечение 3.2.116.21 без установленного SSC

·         Cisco Aironet 1230 AP Серии с SSC

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условные обозначения технических терминов Cisco".

Общие сведения

В Cisco Централизованная архитектура WLAN AP работают в облегченном режиме. AP связываются к WLC Cisco с использованием LWAPP. LWAPP является протоколом проекта инженерной группы по развитию Интернета (IETF), который определяет контроль, обменивающийся сообщениями для настройки и аутентификации пути и операций во время выполнения. Протокол LWAPP также определяет механизм туннелирования потока данных.

Легковесный AP (LAP) обнаруживает WLC с использованием механизмов обнаружения LWAPP. LAP тогда передает WLC, который запрашивает соединение LWAPP. WLC передает LAP ответ соединения LWAPP, который позволяет LAP присоединяться к WLC. Когда LAP соединен с WLC, LAP загружает программное обеспечение WLC, если не совпадают пересмотры на LAP и WLC. Впоследствии, LAP полностью находится под контролем WLC.

LWAPP защищает связь контроля между AP и WLC посредством безопасного распределения ключей. Безопасное распределение ключей уже требует обеспеченных цифровых сертификатов X.509 и на LAP и на WLC. Установленные при производстве сертификаты обозначаются термином "MIC", что представляет собой сокращение термина "Сертификат, установленный при производстве" (англ.: Manufacturing Installed Certificate). AP Aironet, которые поставили до 18 июля 2005, не имеют MIC. Таким образом, эти AP создают SSC, когда они преобразованы для работы в облегченном режиме. Контроллеры запрограммированы на принятие SSC для аутентификации определенных AP. По вопросам обслуживания компьютеров вы сможете обратиться к нам.

Это - процесс обновления:

1.     Пользователь выполняет утилиту обновления, которая принимает входной файл со списком AP и их IP-адресов, в дополнение к их учетным данным входа в систему.

2.     Утилита устанавливает сеансы Telnet с AP и передает серию Программных команд Cisco IOS во входном файле, чтобы подготовить AP к обновлению. Эти команды включают команды для создания SSCs. Кроме того, утилита устанавливает сеанс Telnet с WLC, чтобы программировать устройство для разрешения авторизации определенных AP SSC.

3.     Утилита тогда загружает Cisco IOS Software Release 12.3 (7) JX на AP так, чтобы AP мог присоединиться к WLC.

4.     После того, как AP присоединяется к WLC, AP загружает завершенную версию программного обеспечения Cisco IOS от WLC. Утилита обновления генерирует выходной файл, который включает список AP и соответствующих значений хэша - ключа SSC, которые могут быть импортированы в программное обеспечение для управления Беспроводной системы управления (WCS).

5.     WCS может тогда передать эту информацию другим WLC в сети.

После того, как AP присоединяется к WLC, вы можете reassign AP к любому WLC в вашей сети при необходимости.

Часть 2

Заказать звонок

Пожалуйста, оставьте свои контакты