密钥破解无线网络密码

i目录1WLAN用户安全配置1-11.
1WLAN用户安全简介·1-11.
2Pre-RSNA安全机制·1-11.
2.
1开放系统认证·1-11.
2.
2共享密钥认证·1-11.
3RSNA安全机制1-21.
3.
1身份认证·1-31.
3.
2密钥管理·1-31.
3.
3加密套件·1-81.
4保护管理帧功能·1-81.
4.
1主动SAQuery·1-81.
4.
2被动SAQuery·1-91.
5动态WEP加密安全机制·1-101.
6协议规范·1-101.
7WLAN用户安全配置任务简介1-111.
8WLAN用户安全配置·1-121.
8.
1配置身份认证与密钥管理模式1-121.
8.
2配置安全信息元素·1-121.
8.
3配置加密套件·1-131.
8.
4配置PSK密钥·1-131.
8.
5配置密钥衍生算法·1-141.
8.
6配置GTK更新功能·1-141.
8.
7配置PTK的生存时间1-141.
8.
8配置TKIP反制时间1-151.
8.
9配置WEP密钥1-151.
8.
10配置保护管理帧功能1-161.
8.
11开启动态WEP加密机制1-161.
9开启告警功能·1-171.
10WLAN用户安全显示和维护1-171.
11WLAN用户安全典型配置举例1-171.
11.
1共享密钥认证配置举例1-171.
11.
2PSK身份认证与密钥管理模式和Bypass认证配置举例·1-191.
11.
3PSK身份认证与密钥管理模式和MAC地址认证配置举例·1-21ii1.
11.
4802.
1X身份认证与密钥管理模式配置举例·1-251.
11.
5保护管理帧功能配置举例1-281.
11.
6动态WEP配置举例1-311.
11.
7Private-PSK身份认证与密钥管理模式和MAC地址认证配置举例·1-351-11WLAN用户安全配置1.
1WLAN用户安全简介最初802.
11的安全机制被称为Pre-RSNA安全机制,它的认证机制不完善,容易被攻破,存在安全隐患,且在WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,所以IEEE制订了802.
11i协议来加强无线网络的安全性.
但802.
11i仅对无线网络的数据报文进行加密保护,而不对管理帧进行保护,所以管理帧的机密性、真实性、完整性无法保证,容易受到仿冒或监听,例如:恶意攻击者通过获取设备的MAC地址并仿冒设备恶意拒绝客户端认证或恶意结束设备与客户端的关联.
802.
11w无线加密标准建立在802.
11i框架上,通过保护无线网络的管理帧来解决上述问题,进一步增强无线网络的安全性.
1.
2Pre-RSNA安全机制Pre-RSNA安全机制采用开放式系统认证(Opensystemauthentication)和共享密钥认证(Sharedkeyauthentication)两种认证方式来进行客户端认证,并且采用WEP加密方式对数据进行加密来保护数据机密性,以对抗窃听.
WEP加密使用RC4加密算法(一种流加密算法)实现数据报文的加密,WEP加密支持WEP40、WEP104和WEP128三种密钥长度.
1.
2.
1开放系统认证开放系统认证(Opensystemauthentication)是缺省使用的认证方式,也是最简单的认证算法,即不认证.
如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证.
开放系统认证包括两个步骤,如图1-1所示:(1)客户端向AP发起认证请求;(2)AP确定客户端可以通过无线链路认证,并向客户端回应认证结果为"成功".
图1-1开放系统认证过程1.
2.
2共享密钥认证共享密钥认证(Sharedkeyauthentication)需要客户端和AP配置相同的WEP密钥.
1-2共享密钥认证的认证过程如图1-2所示:(1)客户端先向AP发送认证请求;(2)AP会随机产生一个ChallengeText(即一个字符串)发送给客户端;(3)客户端使用WEP密钥将接收到的ChallengeText加密后再发送给AP;(4)AP使用WEP密钥解密接收到的消息,并对解密后的字符串和原始字符串进行比较.
如果相同,则说明客户端通过了链路层认证,否则链路层认证失败.
图1-2共享密钥认证过程1.
3RSNA安全机制802.
11i安全机制又被称为RSNA(RobustSecurityNetworkAssociation,健壮安全网络连接)安全机制,包括WPA(Wi-FiProtectedAccess,Wi-Fi保护访问)和RSN(RobustSecurityNetwork,健壮安全网络)两种安全模式,采用AKM(AuthenticationandKeyManagement,身份认证与密钥管理)对用户身份的合法性进行认证,对密钥的生成、更新进行动态管理,并且采用TKIP(TemporalKeyIntegrityProtocol,临时密钥完整性协议)和CCMP(CountermodewithCBC-MACProtocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制对报文进行加密.
AKM分为802.
1X、Private-PSK和PSK和三种模式:802.
1X:采用802.
1X认证对用户进行身份认证,并在认证过程中生成PMK(PairwiseMasterKey,成对主密钥),客户端和AP使用该PMK生成PTK(PairwiseTransientKey,成对临时密钥).
Private-PSK:采用PSK(Pre-SharedKey,预共享密钥)认证进行身份认证,使用客户端的MAC地址作为PSK密钥生成PMK,客户端和AP使用该PMK生成PTK.
PSK:采用PSK认证进行身份认证,并通过PSK密钥生成PMK,客户端和AP使用该PMK生成PTK.
当WLAN网络采用RSNA安全机制时,链路层认证将协商为开放系统认证.
1-31.
3.
1身份认证802.
11i协议规定使用两种身份认证方式,以下分别介绍:对于安全要求标准较高的企业、政府等机构,推荐使用认证服务器通过802.
1X认证方式对客户端进行身份认证.
有关802.
1X认证的详细介绍及相关配置,请参见"WLAN配置指导"中的"WLAN用户接入认证".
对于安全要求标准较低的家庭用户等,推荐使用PSK方式对客户端进行认证.
PSK认证方式需要在AP侧预先输入预共享密钥,在客户端关联过程中,手动输入该密钥,AP和客户端通过四次握手密钥协商来验证客户端的预共享密钥的合法性,若PTK协商成功,则证明该用户合法,以此来达到认证的目的.
1.
3.
2密钥管理密钥用于对数据进行加密来提高WLAN网络的安全性.
密钥管理机制定义了密钥的生成和密钥的更新等一系列的过程,以此来确保每个用户使用安全的密钥.
1.
密钥种类802.
11i协议中密钥主要包括PTK和GTK(GroupTemporalKey,群组临时密钥)两种,以下分别介绍.
(1)PTKPTK用于保护单播数据,PTK结构如图1-3所示.
图1-3PTK结构图KCK(EAPOL-KeyConfirmationKey,确认密钥):用来校验EAPOL-Key帧的完整性.
KEK(EAPOL-KeyEncryptionKey,加密密钥):用来加密EAPOL-Key帧中的KeyData字段.
TK(TemporalKey,临时密钥):用来对单播数据报文进行加密的密钥.
(2)GTKGTK用于保护组播和广播数据.
GTK的结构包含TK和其它字段,其中TK是用来对组播和广播数据进行加密的密钥.
2.
EAPOL-Key报文格式802.
11i协议规定密钥协商过程使用的报文为EAPOL-Key数据报文,报文格式如图1-4所示.
1-4图1-4EAPOL-Key报文格式EAPOL-Key报文的各字段含义如表1-1所示.
表1-1EAPOL-Key报文字段含义字段含义Descriptortype表示网络类型是WPA网络或RSN网络Keyinformation有关Keyinformation的详细介绍,请参见"表1-2Keyinformation字段含义"Keylength表示密钥的长度Keyreplaycounter此字段表示AP发送的EAPOL-Key报文的个数,即AP每发送一个EAPOL-Key报文该字段都会加1,目的是防止重放攻击.
在开始密钥协商时,AP发送的EAPOL-Key报文中该字段为0,客户端接收到EAPOL-Key报文,将此位记录到本地,当客户端再次接收到AP发送的EAPOL-Key报文时,报文内的该字段必须要大于本地所记录的,否则丢弃该报文等待重传.
当AP端接收到客户端的报文时,此字段必须和AP本地保存的相同,否则等待重传,直到接收到合法的Keyreplaycounter.
若达到最大重传次数时,AP会将客户端删除Keynonce该字段用来传递生成PTK所用的随机值EAPOLKeyIV该字段用于TKIP加密,只有加密方式为非CCMP时,该字段才被赋值KeyRSC此字段表示AP发送的组播报文或广播报文的个数,即AP每发送一个组播或广播报文该字段都会加1,与Keyreplaycounter字段的防止重放攻击作用相同Reserved保留字段KeyMIC表示EAPOL-Key报文MIC(MessageIntegrityCheck,信息完整性校验)值Keydatalength表示Keydata字段长度Keydata该字段要存放AP和客户端进行交互的数据,例如:GTK、PMKID(PairwiseMasterkeyidentifier,成对主密钥标识符,供漫游所用)等Keyinformation字段格式如图1-5所示,各字段含义如表1-2所示.
1-5图1-5Keyinformation字段格式表1-2Keyinformation字段含义字段含义KeyDescriptorVersion密钥版本位,长度为3比特,取值为1表示非CCMP密钥,取值为2表示CCMP密钥KeyType密钥类型位,长度为1比特,取值为1表示在进行单播密钥协商,取值为0表示在进行组播密钥协商Reserved保留位,长度为2比特,发送方将该位置为0,接收方忽略该值Install安装密钥标记位,长度为1比特若KeyType位为1:{安装密钥标记位为1,表示客户端进行TK密钥安装{安装密钥标记位为0,表示客户端不进行TK密钥安装若KeyType位为0:则在发送方会将安装密钥标记位置为0,接收方忽略该位KeyAck密钥确认位,长度为1比特,取值为1表示AP期待客户端回复应答报文KeyMIC信息完整性校验位,长度1比特,取值为1表示已经计算出MIC,并且将产生的MIC填充到EAPOL-Key报文的KeyMIC字段中Secure安全位,长度为1比特,取值为1表示密钥已产生Error错误位,长度为1比特,取值为1表示客户端MIC校验失败;当且仅当Request位为1时,客户端才将该位置为1Request请求位,长度为1比特,由MIC校验失败的客户端发起,用来请求AP发起四次握手或者组播握手EncryptedKeyData加密密钥数据位,长度为1比特,取值为1表示Keydata字段为加密数据Reserved保留位,长度为3比特,发送方将该位置位0,接收方忽略该值3.
WPA安全模式密钥协商过程WPA是一种比WEP加密性能更强的安全机制.
在802.
11i协议完善前,采用WPA为用户提供一个临时性的WLAN安全增强解决方案.
在WPA安全网络中,客户端和AP通过使用EAPOL-Key报文进行四次握手协商出PTK,通过使用EAPOL-Key报文进行二次组播握手协商出GTK.
协商过程如图1-6所示.
1-6图1-6WPA密钥协商过程(1)AP向客户端发送携带有随机数ANonce的第一个EAPOL-Key报文Message1;(2)客户端接收到报文Message1,使用AP端发送的随机数ANonce、客户端的随机数SNonce和身份认证产生的PMK通过密钥衍生算法生成PTK,并用PTK中的KCK产生MIC(MessageIntegrityCheck,信息完整性校验),并将MIC填充到Message2报文中,然后向AP发送携带SNonce和MIC的第二个EAPOL-Key报文Message2;(3)AP接收到报文Message2,使用SNonce、ANonce和身份认证产生的PMK通过密钥衍生算法生成PTK,并用PTK中的KCK生成MIC,然后对Message2报文做MIC校验,用AP端生成的MIC和报文中MIC进行比较,若两个MIC相同则说明MIC校验成功,否则校验失败.
MIC校验成功后,AP向客户端发送携带通知客户端安装PTK标记和MIC的第三个EAPOL-Key报文Message3;(4)客户端接收到报文Message3,首先对报文进行MIC校验,校验成功后,安装单播密钥TK,然后向AP发送携带MIC的第四个EAPOL-Key报文Message4;(5)AP接收到报文Message4,首先对报文进行MIC校验,若校验成功,则AP安装单播密钥TK,密钥安装成功后AP使用随机值GMK(GroupMasterKey,组播主密钥)和AP的MAC地址通过密钥衍生算法产生GTK,并向客户端发送携带MIC和GTK的第五个EAPOL-Key报文Groupmessage1;(6)客户端接收到Groupmessage1,首先对报文进行MIC校验,校验成功后安装组播密钥TK,并向AP发送携带MIC的第六个EAPOL-Key报文Groupmessage2;(7)AP接收到Groupmessage2,首先对报文进行MIC校验,校验成功后安装组播密钥TK.
4.
RSN安全模式密钥协商过程RSN是按照802.
11i协议为用户提供的一种WLAN安全解决方案.
在RSN网络中,客户端和AP通过使用EAPOL-Key类型报文进行四次握手协商出PTK和GTK.
协商过程如图1-7所示.
1-7图1-7RSN密钥协商过程(1)AP向客户端发送携带有随机数ANonce的第一个EAPOL-Key报文Message1;(2)客户端接收到报文Message1,使用AP端发送的随机数ANonce、客户端的随机数SNonce和身份认证产生的PMK通过密钥衍生算法生成PTK,并用PTK中的KCK产生MIC,并填充到Message2报文中,然后向AP发送携带SNonce和MIC的第二个EAPOL-Key报文Message2;(3)AP接收到报文Message2,使用SNonce、ANonce和身份认证产生的PMK通过密钥衍生算法生成PTK,并用PTK中的KCK生成MIC,然后对Message2报文做MIC校验,用AP端生成的MIC和报文中MIC进行比较,两个MIC相同则说明MIC校验成功,否则失败.
MIC校验成功后通过随机值GMK和AP的MAC地址通过密钥衍生算法产生GTK,并向客户端发送携带通知客户端安装密钥标记、MIC和GTK的第三个EAPOL-Key报文Message3;(4)客户端接收到报文Message3,首先对报文进行MIC校验,校验成功后客户端安装单播密钥TK和组播密钥TK,然后向AP发送携带MIC的第四个EAPOL-Key报文Message4;(5)AP接收到报文Message4,首先对报文进行MIC校验,校验成功后安装密钥单播密钥TK和组播密钥TK.
5.
密钥更新如果客户端长时间使用一个密钥,或携带当前网络正在使用的组播密钥离线,此时网络被破坏的可能性很大,安全性就会大大降低.
WLAN网络通过身份认证与密钥管理中的密钥更新机制来提高WLAN网络安全性.
密钥更新包括PTK更新和GTK更新.
PTK更新:PTK更新是对单播数据报文的加密密钥进行更新的一种安全手段,采用重新进行四次握手协商出新的PTK密钥的更新机制,来提高安全性.
GTK更新:GTK更新是对组播数据报文的加密密钥进行更新的一种安全手段,采用重新进行两次组播握手协商出新的GTK密钥的更新机制,来提高安全性.
Message1EAPOL-Key(Anonce)Message2EAPOL-Key(Snonce,MIC)Message3EAPOL-Key(Install,MIC,GTK)Message4EAPOL-Key(MIC)ClientAP1-81.
3.
3加密套件由于WEP加密易破解,一旦攻击者收集到足够多的有效数据帧进行统计分析,那么将会造成数据泄露,无线网络将不再安全.
802.
11i增加了TKIP和CCMP两种加密套件来保护用户数据安全,以下分别介绍.
1.
TKIPTKIP加密机制依然使用RC4算法,所以不需要升级原来无线设备的硬件,只需通过软件升级的方式就可以提高无线网络的安全性.
相比WEP加密机制,TKIP有如下改进:通过增长了算法的IV(InitializationVector,初始化向量)长度提高了加密的安全性.
相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;采用和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;支持TKIP反制功能.
当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击.
当在一段时间内连续接收到两个MIC错误的报文,AP将会启动TKIP反制功能,此时,AP将通过关闭一段时间无线服务的方式,实现对无线网络攻击的防御.
2.
CCMPCCMP加密机制使用AES(AdvancedEncryptionStandard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法,CCMP使得无线网络安全有了极大的提高.
CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性.
在加密处理过程中,CCMP也会使用48位的PN(PacketNumber)机制,保证每一个加密报文都会使用不同的PN,在一定程度上提高安全性.
1.
4保护管理帧功能保护管理帧功能通过保护无线网络中的管理帧来完善无线网络的安全性.
802.
11w保护的管理帧包括解除认证帧,解除关联帧和部分强壮Action帧.
对于单播管理帧,保护管理帧功能使用对数据帧加密的PTK对单播管理帧进行加密,保证单播管理帧的机密性、完整性以及提供重放保护.
对广播/组播管理帧,保护管理帧功能使用BIP(BroadcastIntegrityProtocol,广播完整性协议)保证广播/组播管理帧的完整性以及提供重放保护,实现防止客户端受到仿冒AP的攻击.
当AP与客户端协商结果为使用保护管理帧功能时,AP将使用SAQuery(SecurityAssociationQuery,安全关联询问)机制增强客户端的安全连接.
SAQuery包括主动SAQuery和被动SAQuery.
1.
4.
1主动SAQuery在AP收到仿冒的关联/重关联请求帧的情况下,主动SAQuery机制可以防止AP对客户端作出错误的响应.
当AP收到客户端的关联/重关联请求帧时,将发送关联/重关联响应帧,响应状态值为"关联/重关联临时被拒绝,稍后重连",并携带通过pmfassociation-comeback命令指定关联返回时间,随后AP会触发SAQuery过程.
1-9AP向客户端发送SAQuery请求帧,若AP在SAQuery超时时间内收到客户端发送的SAQuery响应帧,则AP认为该客户端在线,当关联返回时间超时后,再次收到客户端的关联/重关联请求帧时,则会再次触发SAQuery过程.
若AP在SAQuery超时时间内未收到客户端的SAQuery响应帧,将再次触发SAQuery请求帧.
若AP在SAQuery重试次数内收到SAQuery响应帧,则认为客户端在线,当关联返回时间超时后,再次收到客户端的关联/重关联请求帧时,则会再次触发SAQuery过程.
若AP在SAQuery重试次数内未收到SAQuery响应帧,则AP将认为客户端已经掉线,当再次收到该客户端的关联/重关联请求帧时,允许其重新接入.
若在关联返回时间内,SAQuery过程未完成,则当关联返回时间超时后,再次收到客户端的关联/重关联请求帧时,AP将发送关联/重关联响应帧,响应状态值为"关联/重关联临时被拒绝,稍后重连",并携带通过pmfassociation-comeback命令指定的关联返回时间,但不重新触发SAQuery过程.
图1-8主动SAQuery过程1.
4.
2被动SAQuery在客户端收到未加密的解除关联/解除认证报文(失败码为6或7)的情况下,被动SAQuery机制可以防止客户端异常下线.
当客户端收到一个未保护的解除关联帧或者解除认证帧,客户端会触发SAQuery过程.
客户端向AP发送SAQuery请求帧,AP回复SAQuery响应帧.
客户端收到SAQuery响应帧,判定AP在线,AP和客户端之间的连接处于正常状态,则客户端不对收到的解除关联/解除认证报文进行处理.
若客户端未收到AP回复的SAQuery相应帧,则客户端断开与AP的连接.
Association/ReassociationrequestAssociation/ReassociationresponseSAQueryrequestSAQueryresponseClientAP1-10图1-9被动SAQuery过程1.
5动态WEP加密安全机制当WLAN网络采用动态WEP安全机制时,链路层认证将协商为开放系统认证.
在Pre-RSNA安全机制的WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,因此802.
11提供了动态WEP加密机制.
在动态WEP加密机制中,加密单播数据帧的WEP密钥是由客户端和认证服务器通过802.
1X认证协商产生,保证了每个客户端使用不同的WEP单播密钥,从而提高了单播数据帧传输的安全性.
组播密钥是WEP密钥,若未配置WEP密钥,则AP使用随机算法产生组播密钥.
当客户端通过802.
1X认证后,AP通过发送RC4EAPOL-Key报文将组播密钥及密钥ID以及单播密钥的密钥ID(固定为4)分发给客户端.
1.
6协议规范与用户安全相关的协议规范有:IEEEStandardforInformationtechnology—Telecommunicationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements-2004WI-FIProtectedAccess–EnhancedSecurityImplementationBasedOnIEEEP802.
11iStandard-Aug2004Informationtechnology—Telecommunicationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements—802.
11,1999IEEEStandardforLocalandmetropolitanareanetworks"Port-BasedNetworkAccessControl"802.
1X-2004802.
11iIEEEStandardforInformationtechnology—Telecommunicationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements1-11802.
11wIEEEStandardforInformationtechnology—Telecommunicationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements1.
7WLAN用户安全配置任务简介1.
Pre-RSNA安全机制配置任务简介使用Pre-RSNA安全机制,需要配置WEP加密套件及对应长度的WEP密钥,客户端上线时,客户端和AP根据客户端网卡的设置,协商链路层认证.
表1-3Pre-RSNA安全机制配置任务简介配置任务说明详细配置配置加密套件必选1.
8.
3配置WEP密钥必选1.
8.
9开启告警功能可选1.
92.
RSNA安全机制配置任务简介使用RSNA安全机制,身份认证与密钥管理、安全信息元素、CCMP或TKIP加密套件必须同时配置,且客户端网卡必须设置为开放式系统认证.
当且仅当使用RSNA安全机制,且配置了CCMP加密套件和RSN安全信息元素时,配置保护管理帧功能才会生效.
表1-4RSNA安全机制配置任务简介配置任务说明详细配置配置身份认证与密钥管理模式必选1.
8.
1配置安全信息元素必选1.
8.
2配置加密套件必选1.
8.
3配置PSK密钥可选1.
8.
4配置密钥衍生算法可选1.
8.
5配置GTK更新功能可选1.
8.
6配置PTK的生存时间可选1.
8.
7配置TKIP反制时间可选1.
8.
8配置WEP密钥可选1.
8.
9配置保护管理帧功能可选1.
8.
10开启告警功能可选1.
93.
动态WEP加密机制配置任务简介在使用动态WEP安全机制时,单播密钥是由客户端和认证服务器通过802.
1X认证协商产生,因此必须配置用户接入认证模式为dot1x模式.
1-12在开启动态WEP加密机制后:若配置了WEP加密套件、加密套件对应的WEP密钥且指定了使用该WEP密钥的ID,则以配置的加密套件对单播和组播报文加密,WEP密钥作为组播密钥.
客户端和认证服务器会协商与配置的WEP加密套件相对应的单播密钥.
若未配置WEP加密套件、WEP密钥及密钥ID,则使用加密套件WEP104对单播和组播报文进行加密,AP会随机生成长度为104比特的字符串作为组播密钥,并且组播密钥ID为1.
系统会协商出WEP104密钥做为单播密钥.
表1-5动态WEP加密机制配置任务简介配置任务说明详细配置配置加密套件可选1.
8.
3配置WEP密钥可选1.
8.
9开启动态WEP加密机制必选1.
8.
11开启告警功能可选1.
91.
8WLAN用户安全配置1.
8.
1配置身份认证与密钥管理模式身份认证与密钥管理模式和WLAN用户接入认证的关系如下:当用户选择802.
1X身份认证与密钥管理时,WLAN用户接入认证模式只能配置为802.
1X模式;当用户选择Private-PSK模式时,WLAN用户接入认证模式只能配置为MAC地址认证模式;当身份认证与密钥管理为PSK模式时,WLAN用户接入认证模式只能使用Bypass认证或者MAC地址认证模式;当用户选择Wi-Fi联盟匿名802.
1X身份认证与密钥管理时,WLAN用户接入认证模式只能配置为802.
1X模式.
表1-6配置身份认证与密钥管理模式操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置身份认证与密钥管理模式akmmode{dot1x|private-psk|psk|anonymous-dot1x}缺省情况下,未配置身份认证与密钥管理模式1.
8.
2配置安全信息元素安全信息元素对应的是当前设备所支持的网络类型,OSEN、WPA或RSN.
用户如何配置取决于客户端所支持的网络类型.
1-13表1-7配置安全信息元素操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置安全信息元素security-ie{osen|rsn|wpa}缺省情况下,信标和探查响应帧不携带WPAIE、RSNIE或OSENIE1.
8.
3配置加密套件加密套件是对数据加密和解密的方法.
加密套件如下:WEP40/WEP104/WEP128CCMPTKIPWEP128加密套件和CCMP或TKIP不能同时配置.
表1-8配置加密套件操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置加密套件cipher-suite{ccmp|tkip|wep40|wep104|wep128}缺省情况下,未配置加密套件1.
8.
4配置PSK密钥当身份认证与密钥管理为PSK模式时,则必须配置PSK密钥.
当身份认证与密钥管理为802.
1X模式时,若配置PSK密钥,则无线服务模板可以使能,但此配置不会生效.
表1-9配置PSK密钥操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置PSK密钥preshared-key{pass-phrase|raw-key}{cipher|simple}key缺省情况下,未配置PSK密钥1-141.
8.
5配置密钥衍生算法当使用RSNA安全机制时,客户端和AP使用密钥衍生算法来产生PTK/GTK.
目前支持的散列算法有两种,分别是SHA1和SHA256.
SHA1使用HMAC-SHA1算法进行迭代计算产生密钥,SHA256使用HMAC-SHA256算法进行迭代计算产生密钥.
SHA256安全散列算法的安全性比SHA1安全散列算法安全性高.
表1-10配置密钥衍生算法操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templatestname-配置密钥衍生算法key-derivation{sha1|sha256|sha1-and-sha256}缺省情况下,密钥衍生算法为sha11.
8.
6配置GTK更新功能若配置了身份认证与密钥管理、安全信息元素、TKIP或CCMP加密套件,则系统将使用密钥协商来产生GTK,此时可以配置GTK更新,触发GTK更新的方式有如下三种:基于时间,在指定时间间隔后更新GTK.
基于报文数,AP发送了指定数目的广播或组播数据报文后更新GTK.
客户端离线更新GTK,当BSS中有客户端下线时,该BSS会更新GTK.
表1-11配置GTK更新功能操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-开启GTK更新功能gtk-rekeyenable缺省情况下,GTK更新功能处于开启状态配置GTK更新方法gtk-rekeymethod{packet-based[packet]|time-based[time]}缺省情况下,GTK更新采用基于时间的方法,时间间隔为86400秒如果配置GTK更新方法为基于数据包的更新方法,缺省值为10000000(可选)配置开启客户端离线GTK更新gtk-rekeyclient-offlineenable缺省情况下,客户端离线更新GTK功能关闭1.
8.
7配置PTK的生存时间若配置了身份认证与密钥管理、安全信息元素、TKIP或CCMP加密套件,则系统将使用密钥协商来产生PTK,此时可以设置PTK的生存时间,表明在指定的时间间隔后更新PTK.
1-15表1-12配置PTK的生存时间操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置PTK的生存时间ptk-lifetimetime缺省情况下,PTK的生存时间为43200秒1.
8.
8配置TKIP反制时间若配置了TKIP加密套件,TKIP可以通过配置反制时间的方式启动反制策略,来阻止黑客的攻击.
表1-13配置TKIP反制时间操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置TKIP反制时间tkip-cm-timetime缺省情况下,发起TKIP反制策略时间为0,即不启动反制策略1.
8.
9配置WEP密钥若使用RSNA安全机制,且加密套件配置了WEP40/WEP104/WEP128和相对应长度的WEP密钥,则系统不会使用通过密钥协商产生的组播密钥为组播报文加密,而是选择安全性较弱的WEP的密钥做为组播密钥.
若使用Pre-RSNA安全机制,则客户端与AP将使用WEP密钥通过WEP加密方式对数据报文进行加密.
若使用动态WEP加密机制,则不能将WEP加密使用的密钥ID配置为4.
表1-14配置WEP密钥操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置WEP密钥wepkeykey-id{wep40|wep104|wep128}{pass-phrase|raw-key}{cipher|simple}key缺省情况下,未配置WEP密钥配置WEP加密使用的密钥IDwepkey-id{1|2|3|4}缺省情况下,密钥ID为11-161.
8.
10配置保护管理帧功能配置保护管理帧功能有以下三种情况:当保护管理帧功能关闭时,支持或不支持保护管理帧功能的客户端均可上线,但不对通信过程中的管理帧进行保护.
当保护管理帧功能为optional时,支持或不支持保护管理帧功能的客户端均可上线,但仅对支持保护管理帧功能上线客户端提供保护管理帧功能.
当保护管理帧为mandatory时,支持保护管理帧功能的客户端可上线,同时对通信过程中的管理帧进行保护,不支持保护管理帧功能的客户端无法上线.
要使用保护管理帧功能,必须使用RSNA安全机制,且加密套件必须配置为CCMP加密套件,安全信息元素必须配置为RSN.
表1-15配置保护管理帧功能操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-开启保护管理帧功能pmf{optional|mandatory}缺省情况下,保护管理帧功能处于关闭状态配置AP发送SAQuery超时时间pmfsaqueryretrytimeouttimeout缺省情况下,AP发送SAQueryrequest帧的时间间隔为200毫秒配置AP发送SAQueryrequest帧的最大重传次数pmfsaqueryretrycountcount缺省情况下,AP发送SAQueryrequest帧的最大重传次数为4次配置保护管理帧的关联返回时间pmfassociation-comebacktime缺省情况下,保护管理帧的关联返回时间为1秒1.
8.
11开启动态WEP加密机制WLAN用户接入认证模式必须配置为dot1x模式,动态WEP加密功能才会生效.
表1-16开启动态WEP加密功能操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-开启动态WEP加密机制wepmodedynamic缺省情况下,动态WEP加密机制处于关闭状态1-171.
9开启告警功能开启了告警功能之后,该模块会生成告警信息,用于报告该模块的重要事件.
生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性.
(有关告警信息的详细介绍,请参见"网络管理和监控配置指导"中的"SNMP".
)表1-17开启告警功能操作命令说明进入系统视图system-view-开启用户安全的告警功能snmp-agenttrapenablewlanusersec缺省情况下,用户安全的告警功能处于关闭状态1.
10WLAN用户安全显示和维护在完成上述配置后,在无线服务模版视图下执行display命令可以显示配置后的WLAN用户安全运行情况,通过查看显示信息验证配置效果.
displaywlanservice-template、displaywlanclient命令的详细介绍,请参见"WLAN命令参考"中的"WLAN接入".
表1-18WLAN用户安全显示和维护操作命令显示无线服务模板信息displaywlanservice-template[service-template-name][verbose]显示客户端的信息displaywlanclient[apap-name[radioradio-id]|mac-addressmac-address|service-templateservice-template-name][verbose]1.
11WLAN用户安全典型配置举例1.
11.
1共享密钥认证配置举例1.
组网需求如图1-10所示,AC旁挂在Switch上,Switch同时作为DHCPserver为AP和Client分配IP地址.
通过配置客户端在链路层使用WEP密钥12345接入无线网络.
2.
组网图图1-10共享密钥认证配置组网图1-183.
配置步骤(1)创建无线服务模板#创建无线服务模板service1.
system-view[AC]wlanservice-templateservice1#配置无线服务的SSID为service.
[AC-wlan-st-service1]ssidservice(2)配置WEP并使能无线服务模板#配置使用WEP40加密套件,配置密钥索引为2,使用明文的字符串12345作为共享密钥.
[AC-wlan-st-service1]cipher-suitewep40[AC-wlan-st-service1]wepkey2wep40pass-phrasesimple12345[AC-wlan-st-service1]wepkey-id2#使能无线服务模板.
[AC-wlan-st-service1]service-templateenable[AC-wlan-st-service1]quit(3)将无线服务模板绑定到radio1上#创建手工AP,名称为ap1,并配置序列号.
[AC]wlanapap1modelWA4320H[AC-wlan-ap-ap1]serial-id219801A0YG8165E00001#进入Radio1视图.
[AC-wlan-ap-ap1]radio1#将无线服务模板绑定到Radio1上,并开启射频.
[AC-wlan-ap-ap1-radio-1]service-templateservice1[AC-wlan-ap-ap1-radio-1]radioenable[AC-wlan-ap-ap1-radio-1]return4.
验证配置#配置完成后,在AC上执行displaywlanservice-template命令,可以看到无线服务模板下安全信息的配置情况如下:displaywlanservice-templateservice1verboseServicetemplatename:service1SSID:serviceSSID-hide:DisabledUser-isolation:DisabledServicetemplatestatus:EnabledMaximumclientsperBSS:64Frameformat:Dot3Seamlessroamstatus:DisabledSeamlessroamRSSIthreshold:50SeamlessroamRSSIgap:20VLANID:1AKMmode:NotconfiguredSecurityIE:NotconfiguredCiphersuite:WEP40WEPkeyID:21-19TKIPcountermeasuretime:0PTKlifetime:43200secGTKrekey:EnabledGTKrekeymethod:Time-basedGTKrekeytime:86400secGTKrekeyclient-offline:EnabledUserauthenticationmode:BypassIntrusionprotection:DisabledIntrusionprotectionmode:Temporary-blockTemporaryblocktime:180secTemporaryservicestoptime:20secFailVLANID:Notconfigured802.
1Xhandshake:Disabled802.
1Xhandshakesecure:Disabled802.
1Xdomain:NotconfiguredMAC-authdomain:NotconfiguredMax802.
1XusersperBSS:4096MaxMAC-authusersperBSS:4096802.
1Xre-authenticate:DisabledAuthorizationfailmode:OnlineAccountingfailmode:OnlineAuthorization:PermittedKeyderivation:N/APMFstatus:DisabledHotspotpolicynumber:NotconfiguredForwardingpolicystatus:DisabledForwardingpolicyname:NotconfiguredFTstatus:DisabledQoStrust:PortQoSpriority:01.
11.
2PSK身份认证与密钥管理模式和Bypass认证配置举例1.
组网需求如图1-11所示,AC旁挂在Switch上,Switch同时作为DHCPserver为AP和Client分配IP地址.
通过配置客户端PSK密钥12345678接入无线网络.
客户端链路层认证使用开放式系统认证,用户接入认证使用Bypass认证的方式实现客户端可以不需要认证直接接入WLAN网络的目的.
通过配置客户端和AP之间的数据报文采用PSK身份认证与密钥管理模式来确保用户数据的传输安全.
1-202.
组网图图1-11PSK+Bypass认证配置组网图3.
配置步骤(1)创建无线服务模板#创建无线无线服务模板service1.
system-view[AC]wlanservice-templateservice1#配置无线服务的SSID为service.
[AC-wlan-st-service1]ssidservice(2)配置身份认证与密钥管理模式为PSK模式、加密套件为CCMP、安全信息元素为WPA并使能无线服务模板#配置AKM为PSK,配置PSK密钥,使用明文的字符串12345678作为共享密钥.
[AC-wlan-st-service1]akmmodepsk[AC-wlan-st-service1]preshared-keypass-phrasesimple12345678#配置CCMP为加密套件,配置WPA为安全信息元素.
[AC-wlan-st-service1]cipher-suiteccmp[AC-wlan-st-service1]security-iewpa#使能无线服务模板.
[AC-wlan-st-service1]service-templateenable[AC-wlan-st-service1]quit(3)进入AP视图并将无线服务模板绑定到radio1上#创建手工AP,名称为ap1,并配置序列号.
[AC]wlanapap1modelWA4320H[AC-wlan-ap-ap1]serial-id219801A0YG8165E00001#进入Radio1视图.
[AC-wlan-ap-ap1]radio1#将无线服务模板绑定到Radio1上,并开启射频.
[AC-wlan-ap-ap1-radio-1]service-templateservice1[AC-wlan-ap-ap1-radio-1]radioenable[AC-wlan-ap-ap1-radio-1]return4.
验证配置#配置完成后,在AC上执行displaywlanservice-template命令,可以看到无线服务模板的配置情况如下.
displaywlanservice-templateservice1verboseServicetemplatename:service1SSID:serviceSSID-hide:Disabled1-21User-isolation:DisabledServicetemplatestatus:EnabledMaximumclientsperBSS:64Frameformat:Dot3Seamlessroamstatus:DisabledSeamlessroamRSSIthreshold:50SeamlessroamRSSIgap:20VLANID:1AKMmode:PSKSecurityIE:WPACiphersuite:CCMPTKIPcountermeasuretime:0PTKlifetime:43200secGTKrekey:EnabledGTKrekeymethod:Time-basedGTKrekeytime:86400secGTKrekeyclient-offline:EnabledUserauthenticationmode:BypassIntrusionprotection:DisabledIntrusionprotectionmode:Temporary-blockTemporaryblocktime:180secTemporaryservicestoptime:20secFailVLANID:Notconfigured802.
1Xhandshake:Disabled802.
1Xhandshakesecure:Disabled802.
1Xdomain:NotconfiguredMAC-authdomain:NotconfiguredMax802.
1XusersperBSS:4096MaxMAC-authusersperBSS:4096802.
1Xre-authenticate:DisabledAuthorizationfailmode:OnlineAccountingfailmode:OnlineAuthorization:PermittedKeyderivation:N/APMFstatus:DisabledHotspotpolicynumber:NotconfiguredForwardingpolicystatus:DisabledForwardingpolicyname:NotconfiguredFTstatus:DisabledQoStrust:PortQoSpriority:01.
11.
3PSK身份认证与密钥管理模式和MAC地址认证配置举例1.
组网需求如图1-12所示,AC旁挂在Switch上,Switch同时作为DHCPserver为AP和Client分配IP地址.
通过配置客户端PSK密钥12345678接入无线网络.
1-22客户端链路层认证使用开放式系统认证,客户端通过RADIUS服务器进行MAC地址认证的方式,实现客户端可使用固定用户名abc和密码123接入WLAN网络的目的.
通过配置客户端和AP之间的数据报文采用PSK认证密钥管理模式来确保用户数据的传输安全.
2.
组网图图1-12PSK密钥管理模式和MAC认证配置组网图3.
配置步骤下述配置中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍,请参见"安全命令参考"中的"AAA".
确保RADIUS服务器与AC路由可达,并成功添加了用户账户,用户名为abc,密码为123.
(1)创建无线服务模板#创建无线服务模板service1.
system-view[AC]wlanservice-templateservice1#配置无线服务的SSID为service.
[AC-wlan-st-service1]ssidservice(2)配置身份认证与密钥管理为PSK模式、加密套件为CCMP、安全信息元素为WPA#配置AKM为PSK,配置PSK密钥,使用明文的字符串12345678作为共享密钥.
[AC-wlan-st-service1]akmmodepsk[AC-wlan-st-service1]preshared-keypass-phrasesimple12345678#配置CCMP为加密套件,配置WPA为安全信息元素.
[AC-wlan-st-service1]cipher-suiteccmp[AC-wlan-st-service1]security-iewpa(3)配置用户接入认证模式并使能无线服务模板#配置用户接入方式为MAC地址认证.
[AC-wlan-st-service1]client-securityauthentication-modemacRADIUSserverACVlan-int10010.
1.
1.
46/24SwitchAPClient10.
1.
1.
3/241-23#配置使能无线服务模板.
[AC-wlan-st-service1]service-templateenable[AC-wlan-st-service1]quit(4)创建RADIUS方案#创建RADIUS方案radius1并进入其视图.
[AC]radiusschemeradius1#配置主认证/计费RADIUS服务器的IP地址为10.
1.
1.
3,服务器的UDP端口号为1812和1813.
[AC-radius-radius1]primaryauthentication10.
1.
1.
31812[AC-radius-radius1]primaryaccounting10.
1.
1.
31813#配置AC与认证/计费RADIUS服务器交互报文时的共享密钥为12345678.
[AC-radius-radius1]keyauthenticationsimple12345678[AC-radius-radius1]keyaccountingsimple12345678#配置发送给RADIUS服务器的用户名不携带域名.
[AC-radius-radius1]user-name-formatwithout-domain[AC-radius-radius1]quit发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名、以及服务器端的配置有关:若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain).
(5)配置使用RADIUS方案进行认证、授权、计费#创建认证域(ISP域)dom1并进入其视图.
[AC]domaindom1#配置MAC用户使用RADIUS方案radius1进行认证、授权、计费.
[AC-isp-dom1]authenticationlan-accessradius-schemeradius1[AC-isp-dom1]authorizationlan-accessradius-schemeradius1[AC-isp-dom1]accountinglan-accessradius-schemeradius1[AC-isp-dom1]quit(6)配置MAC地址认证域及用户名和密码#配置认证域为dom1,用户名为abc,密码为明文字符串123.
[AC]mac-authenticationdomaindom1[AC]mac-authenticationuser-name-formatfixedaccountabcpasswordsimple123(7)将无线服务模板绑定到radio1上#创建手工AP,名称为ap1,并配置序列号.
[AC]wlanapap1modelWA4320H[AC-wlan-ap-ap1]serial-id219801A0YG8165E00001#进入Radio1视图.
[AC-wlan-ap-ap1]radio11-24#将无线服务模板绑定到Radio1上,并开启射频.
[AC-wlan-ap-ap1-radio-1]service-templateservice1[AC-wlan-ap-ap1-radio-1]radioenable[AC-wlan-ap-ap1-radio-1]return4.
验证配置#配置完成后,在AC上执行displaywlanservice-template命令,可以看到无线服务模板的配置情况如下.
displaywlanservice-templateservice1verboseServicetemplatename:service1SSID:serviceSSID-hide:DisabledUser-isolation:DisabledServicetemplatestatus:EnabledMaximumclientsperBSS:64Frameformat:Dot3Seamlessroamstatus:DisabledSeamlessroamRSSIthreshold:50SeamlessroamRSSIgap:20VLANID:1AKMmode:PSKSecurityIE:WPACiphersuite:CCMPTKIPcountermeasuretime:0PTKlifetime:43200secGTKrekey:EnabledGTKrekeymethod:Time-basedGTKrekeytime:86400secGTKrekeyclient-offline:EnabledUserauthenticationmode:MACIntrusionprotection:DisabledIntrusionprotectionmode:Temporary-blockTemporaryblocktime:180secTemporaryservicestoptime:20secFailVLANID:Notconfigured802.
1Xhandshake:Disabled802.
1Xhandshakesecure:Disabled802.
1Xdomain:NotconfiguredMAC-authdomain:NotconfiguredMax802.
1XusersperBSS:4096MaxMAC-authusersperBSS:4096802.
1Xre-authenticate:DisabledAuthorizationfailmode:OnlineAccountingfailmode:OnlineAuthorization:PermittedKeyderivation:N/APMFstatus:DisabledHotspotpolicynumber:Notconfigured1-25Forwardingpolicystatus:DisabledForwardingpolicyname:NotconfiguredFTstatus:DisabledQoStrust:PortQoSpriority:01.
11.
4802.
1X身份认证与密钥管理模式配置举例1.
组网需求如图1-13所示,AC旁挂在Switch上,Switch同时作为DHCPserver为AP和Client分配IP地址.
客户端链路层认证使用开放式系统认证,客户端通过802.
1X接入认证的方式实现客户端可使用用户名abcdef和密码123456接入WLAN网络的目的.
通过配置客户端和AP之间的数据报文采用802.
1X身份认证与密钥管理来确保用户数据的传输安全.
2.
组网图图1-13802.
1X认证配置组网图3.
配置步骤下述配置中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍,请参见"安全命令参考"中的"AAA".
完成802.
1X客户端的配置.
完成RADIUS服务器的配置,添加用户账户,用户名为abcedf,密码为123456.
(1)创建无线服务模板#创建无线服务模板service1.
system-view[AC]wlanservice-templateservice1#配置无线服务的SSID为service.
RADIUSserverACVlan-int10010.
1.
1.
46/24SwitchAPClient10.
1.
1.
3/241-26[AC-wlan-st-service1]ssidservice(2)配置AKM、加密套件及安全信息元素#配置AKM为802.
1X.
[AC-wlan-st-service1]akmmodedot1x#配置CCMP为加密套件,配置WPA为安全信息元素.
[AC-wlan-st-service1]cipher-suiteccmp[AC-wlan-st-service1]security-iewpa(3)配置用户接入认证模式并使能无线服务模板#配置用户接入方式为802.
1X认证.
[AC-wlan-st-service1]client-securityauthentication-modedot1x#配置使能无线服务模板.
[AC-wlan-st-service1]service-templateenable[AC-wlan-st-service1]quit(4)创建RADIUS方案#创建RADIUS方案radius1并进入其视图.
[AC]radiusschemeradius1#配置主认证/计费RADIUS服务器的IP地址为10.
1.
1.
3,配置主认证/计费RADIUS服务器的端口号为1812/1813.
[AC-radius-radius1]primaryauthentication10.
1.
1.
31812[AC-radius-radius1]primaryaccounting10.
1.
1.
31813#配置AC与认证/计费RADIUS服务器交互报文时的共享密钥为明文字符串12345.
[AC-radius-radius1]keyauthenticationsimple12345[AC-radius-radius1]keyaccountingsimple12345#配置发送给RADIUS服务器的用户名不携带域名.
[AC-radius-radius1]user-name-formatwithout-domain[AC-radius-radius1]quit发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名、以及服务器端的配置有关:若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain).
(5)创建认证域并配置RADIUS方案#创建认证域(ISP域)dom1并进入其视图.
[AC]domaindom1#配置802.
1X用户使用RADIUS方案radius1进行认证、授权、计费.
[AC-isp-dom1]authenticationlan-accessradius-schemeradius1[AC-isp-dom1]authorizationlan-accessradius-schemeradius1[AC-isp-dom1]accountinglan-accessradius-schemeradius11-27[AC-isp-dom1]quit#配置使用dom1认证域为默认域.
[AC]domaindefaultenabledom1(6)进入AP视图并将无线服务模板绑定到radio1上#创建手工AP,名称为ap1,并配置序列号.
[AC]wlanapap1modelWA4320H[AC-wlan-ap-ap1]serial-id219801A0YG8165E00001#进入Radio1视图.
[AC-wlan-ap-ap1]radio1#将无线服务模板绑定到Radio1上,并开启射频.
[AC-wlan-ap-ap1-radio-1]service-templateservice1[AC-wlan-ap-ap1-radio-1]radioenable[AC-wlan-ap-ap1-radio-1]return4.
验证配置#配置完成后,在AC上执行displaywlanservice-template命令,可以看到无线服务模板的配置情况如下.
displaywlanservice-templateservice1verboseServicetemplatename:service1SSID:serviceSSID-hide:DisabledUser-isolation:DisabledServicetemplatestatus:EnabledMaximumclientsperBSS:64Frameformat:Dot3Seamlessroamstatus:DisabledSeamlessroamRSSIthreshold:50SeamlessroamRSSIgap:20VLANID:1AKMmode:dot1xSecurityIE:WPACiphersuite:CCMPTKIPcountermeasuretime:0PTKlifetime:43200secGTKrekey:EnabledGTKrekeymethod:Time-basedGTKrekeytime:86400secGTKrekeyclient-offline:EnabledUserauthenticationmode:802.
1XIntrusionprotection:DisabledIntrusionprotectionmode:Temporary-blockTemporaryblocktime:180secTemporaryservicestoptime:20secFailVLANID:Notconfigured802.
1Xhandshake:Disabled802.
1Xhandshakesecure:Disabled802.
1Xdomain:Notconfigured1-28MAC-authdomain:NotconfiguredMax802.
1XusersperBSS:4096MaxMAC-authusersperBSS:4096802.
1Xre-authenticate:DisabledAuthorizationfailmode:OnlineAccountingfailmode:OnlineAuthorization:PermittedKeyderivation:N/APMFstatus:DisabledHotspotpolicynumber:NotconfiguredForwardingpolicystatus:DisabledForwardingpolicyname:NotconfiguredFTstatus:DisabledQoStrust:PortQoSpriority:01.
11.
5保护管理帧功能配置举例1.
组网需求如图1-14所示,AC与Switch连接,Switch同时作为DHCPserver为AP和客户端分配IP地址.
通过配置客户端PSK密钥12345678接入无线网络.
通过配置客户端和AP之间的加密套件为CCMP、安全IE为RSN和保护管理帧功能来确保无线网络的安全.
2.
组网图图1-14保护管理帧功能配置组网图3.
配置步骤(1)创建无线服务模板#创建无线服务模板service1.
system-view[AC]wlanservice-templateservice1#配置无线服务模板的SSID为service.
[AC-wlan-st-service1]ssidservice(2)配置保护管理帧功能#开启optional模式的保护管理帧功能.
[AC-wlan-st-service1]pmfoptional#配置密钥衍生类型为sha1-and-sha256.
[AC-wlan-st-service1]key-derivationsha1-and-sha2561-29(3)配置使用RSNA安全机制,并使用PSK身份认证密钥密钥管理模式、CCMP加密套件、RSN安全信息元素#配置AKM为PSK,配置PSK密钥为明文的字符串12345678.
[AC-wlan-st-service1]akmmodepsk[AC-wlan-st-service1]preshared-keypass-phrasesimple12345678#配置加密套件为CCMP,配置安全信息元素RSN.
[AC-wlan-st-service1]cipher-suiteccmp[AC-wlan-st-service1]security-iersn#使能无线服务模板.
[AC-wlan-st-service1]service-templateenable[AC-wlan-st-service1]quit(4)将无线服务模板绑定到radio1上#创建手工AP,名称为ap1,并配置序列号.
[AC]wlanapap1modelWA4320H[AC-wlan-ap-ap1]serial-id219801A0YG8165E00001#进入Radio1视图.
[AC-wlan-ap-ap1]radio1#将无线服务模板绑定到Radio1上,并开启射频.
[AC-wlan-ap-ap1-radio-1]service-templateservice1[AC-wlan-ap-ap1-radio-1]radioenable[AC-wlan-ap-ap1-radio-1]return4.
验证配置#配置完成后,在AC上执行displaywlanservice-template命令,可以看到服务模板的配置情况如下.
displaywlanservice-templateservice1verboseServicetemplatename:service1SSID:serviceSSID-hide:DisabledUser-isolation:DisabledServicetemplatestatus:EnabledMaximumclientsperBSS:64Frameformat:Dot3Seamlessroamstatus:DisabledSeamlessroamRSSIthreshold:50SeamlessroamRSSIgap:20VLANID:1AKMmode:PSKSecurityIE:RSNCiphersuite:CCMPTKIPcountermeasuretime:0PTKlifetime:43200secGTKrekey:EnabledGTKrekeymethod:Time-basedGTKrekeytime:86400secGTKrekeyclient-offline:Enabled1-30Userauthenticationmode:BypassIntrusionprotection:DisabledIntrusionprotectionmode:Temporary-blockTemporaryblocktime:180secTemporaryservicestoptime:20secFailVLANID:Notconfigured802.
1Xhandshake:Disabled802.
1Xhandshakesecure:Disabled802.
1Xdomain:NotconfiguredMAC-authdomain:NotconfiguredMax802.
1XusersperBSS:4096MaxMAC-authusersperBSS:4096802.
1Xre-authenticate:DisabledAuthorizationfailmode:OnlineAccoutiongfailmode:OnlineAuthorization:PermittedKeyderivation:SHA1-AND-SHA256PMFstatus:OptionalHotspotpolicynumber:NotconfiguredForwardingpolicystatus:DisabledForwardingpolicyname:NotconfiguredQoStrust:PortQoSpriority:0#当有802.
11w客户端上线时,在AC上执行displaywlanclientverbose命令,可以看到保护管理帧协商结果如下.
displaywlanclientverboseTotalnumberofclients:1MACaddress:5250-0012-0411IPv4address:135.
3.
2.
1IPv6address:N/AUsername:11wAID:1APID:1APname:ap1RadioID:1SSID:serviceBSSID:aabb-ccdd-eeffVLANID:1Sleepcount:147Wirelessmode:802.
11aChannelbandwidth:20MHzSMpowersave:DisabledShortGIfor20MHz:NotsupportedShortGIfor40MHz:NotsupportedSTBCRXcapability:NotsupportedSTBCTXcapability:NotsupportedLDPCRXcapability:Notsupported1-31BlockAck:TID0InSupportHT-MCSset:0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15Supportedrates:1,2,5.
5,6,9,11,12,18,24,36,48,54MbpsQoSmode:WMMListeninterval:10RSSI:46Rx/Txrate:39/65Authenticationmethod:OpensystemSecuritymode:RSNAKMmode:802.
1XCiphersuite:CCMPUserauthenticationmode:802.
1XAuthorizationACLID:N/AAuthorizationuserprofile:N/ARoamstatus:N/AKeyderivation:SHA1PMFstatus:EnabledForwardingpolicyname:N/AOnlinetime:0days0hours2minutes56secondsFTstatus:Inactive1.
11.
6动态WEP配置举例1.
组网需求如图1-15所示,AC旁挂在Switch上,Switch同时作为DHCPserver为AP和Client分配IP地址.
客户端链路层认证使用开放式系统认证,客户端通过802.
1X接入认证的方式实现客户端可使用用户名abcdef和密码123456接入WLAN网络的目的.
通过配置客户端和AP之间的数据报文采用802.
1X接入认证与动态WEP确保用户数据的传输安全.
1-322.
组网图图1-15动态WEP配置组网图3.
配置步骤下述配置中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍,请参见"安全命令参考"中的"AAA".
完成802.
1X客户端的配置.
完成RADIUS服务器的配置,添加用户账户,用户名为abcedf,密码为123456.
(1)创建无线服务模板#创建无线服务模板service1.
system-view[AC]wlanservice-templateservice1#配置无线服务的SSID为service.
[AC-wlan-st-service1]ssidservice(2)配置动态WEP方式加密#配置WEP为dynamic.
[AC-wlan-st-service1]wepmodedynamic(3)配置用户接入认证模式并使能无线服务模板#配置用户接入方式为802.
1X认证.
[AC-wlan-st-service1]client-securityauthentication-modedot1x#配置使能无线服务模板.
[AC-wlan-st-service1]service-templateenable[AC-wlan-st-service1]quit(4)创建RADIUS方案#创建RADIUS方案radius1并进入其视图.
[AC]radiusschemeradius1RADIUSserverACVlan-int10010.
1.
1.
46/24SwitchAPClient10.
1.
1.
3/241-33#配置主认证/计费RADIUS服务器的IP地址为10.
1.
1.
3,配置主认证/计费RADIUS服务器的端口号为1812/1813.
[AC-radius-radius1]primaryauthentication10.
1.
1.
31812[AC-radius-radius1]primaryaccounting10.
1.
1.
31813#配置AC与认证/计费RADIUS服务器交互报文时的共享密钥为明文字符串12345.
[AC-radius-radius1]keyauthenticationsimple12345[AC-radius-radius1]keyaccountingsimple12345#配置发送给RADIUS服务器的用户名不携带域名.
[AC-radius-radius1]user-name-formatwithout-domain[AC-radius-radius1]quit发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名以及服务器端的配置有关:若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain).
(5)配置RADIUS方案#创建认证域(ISP域)dom1并进入其视图.
[AC]domaindom1#配置802.
1X用户使用RADIUS方案radius1进行认证、授权、计费.
[AC-isp-dom1]authenticationlan-accessradius-schemeradius1[AC-isp-dom1]authorizationlan-accessradius-schemeradius1[AC-isp-dom1]accountinglan-accessradius-schemeradius1[AC-isp-dom1]quit#配置使用dom1认证域为默认域.
[AC]domaindefaultenabledom1(6)进入AP视图并将无线服务模板绑定到Radio1接口#创建手工AP,名称为ap1,并配置序列号.
[AC]wlanapap1modelWA4320H[AC-wlan-ap-ap1]serial-id219801A0YG8165E00001#进入Radio1视图.
[AC-wlan-ap-ap1]radio1#将无线服务模板绑定到Radio1上,并开启射频.
[AC-wlan-ap-ap1-radio-1]service-templateservice1[AC-wlan-ap-ap1-radio-1]radioenable[AC-wlan-ap-ap1-radio-1]return4.
验证配置#配置完成后,在AC上执行displaywlanservice-template命令,可以看到无线服务模板的配置情况如下.
1-34displaywlanservice-templateservice1verboseServicetemplatename:service1SSID:serviceSSID-hide:DisabledUser-isolation:DisabledServicetemplatestatus:EnabledMaximumclientsperBSS:64Frameformat:Dot3Seamlessroamstatus:DisabledSeamlessroamRSSIthreshold:50SeamlessroamRSSIgap:20VLANID:1AKMmode:NotconfiguredSecurityIE:NotconfiguredCiphersuite:WEP104TKIPcountermeasuretime:0PTKlifetime:43200secGTKrekey:EnabledGTKrekeymethod:Time-basedGTKrekeytime:86400secGTKrekeyclient-offline:EnabledUserauthenticationmode:802.
1XIntrusionprotection:DisabledIntrusionprotectionmode:Temporary-blockTemporaryblocktime:180secTemporaryservicestoptime:20secFailVLANID:Notconfigured802.
1Xhandshake:Disabled802.
1Xhandshakesecure:Disabled802.
1Xdomain:NotconfiguredMAC-authdomain:NotconfiguredMax802.
1XusersperBSS:4096MaxMAC-authusersperBSS:4096802.
1Xre-authenticate:DisabledAuthorizationfailmode:OnlineAccountingfailmode:OnlineAuthorization:PermittedKeyderivation:N/APMFstatus:DisabledHotspotpolicynumber:NotconfiguredForwardingpolicystatus:DisabledForwardingpolicyname:NotconfiguredFTstatus:DisabledQoStrust:PortQoSpriority:01-351.
11.
7Private-PSK身份认证与密钥管理模式和MAC地址认证配置举例1.
组网需求如图1-16所示,AC旁挂在Switch上,Switch同时作为DHCPserver为AP和Client分配IP地址.
配置客户端使用MAC地址做为PSK密钥接入无线网络.
客户端通过RADIUS服务器进行MAC地址认证,使用MAC地址作为用户名和密码接入WLAN.
使用Private-PSK身份认证与密钥管理模式来保证用户数据的传输安全.
2.
组网图图1-16Private-PSK密钥管理模式和MAC认证配置组网图3.
配置步骤下述配置中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍,请参见"安全命令参考"中的"AAA".
确保RADIUS服务器与AC路由可达,并成功添加了用户账户,用户名为00-23-12-45-67-7a,密码为00-23-12-45-67-7a.
(1)创建无线服务模板#创建无线服务模板service1.
system-view[AC]wlanservice-templateservice1#配置无线服务的SSID为service.
[AC-wlan-st-service1]ssidservice(2)配置安全信息#配置AKM为Private-PSK.
[AC-wlan-st-service1]akmmodeprivate-psk#配置CCMP为加密套件,配置WPA为安全信息元素.
[AC-wlan-st-service1]cipher-suiteccmp[AC-wlan-st-service1]security-iewpaRADIUSserverACVlan-int10010.
1.
1.
46/24SwitchAPClient10.
1.
1.
3/241-36(3)配置用户接入认证模式并使能无线服务模板#配置用户接入方式为MAC地址认证.
[AC-wlan-st-service1]client-securityauthentication-modemac#使能无线服务模板.
[AC-wlan-st-service1]service-templateenable[AC-wlan-st-service1]quit(4)创建RADIUS方案#创建RADIUS方案radius1并进入其视图.
[AC]radiusschemeradius1#配置主认证/计费RADIUS服务器的IP地址为10.
1.
1.
3,服务器的UDP端口号为1812和1813.
[AC-radius-radius1]primaryauthentication10.
1.
1.
31812[AC-radius-radius1]primaryaccounting10.
1.
1.
31813#配置AC与认证/计费RADIUS服务器交互报文时的共享密钥为12345678.
[AC-radius-radius1]keyauthenticationsimple12345678[AC-radius-radius1]keyaccountingsimple12345678#配置发送给RADIUS服务器的用户名不携带域名.
[AC-radius-radius1]user-name-formatwithout-domain[AC-radius-radius1]quit发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名、以及服务器端的配置有关:若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则设备上指定不携带用户名(without-domain);若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain).
(5)配置使用RADIUS方案进行认证、授权、计费#创建认证域(ISP域)dom1并进入其视图.
[AC]domaindom1#配置MAC地址认证用户使用RADIUS方案radius1进行认证、授权、计费.
[AC-isp-dom1]authenticationlan-accessradius-schemeradius1[AC-isp-dom1]authorizationlan-accessradius-schemeradius1[AC-isp-dom1]accountinglan-accessradius-schemeradius1[AC-isp-dom1]quit(6)配置MAC地址认证域及用户名和密码#配置认证域为dom1,使用MAC地址作为用户名和密码.
[AC]mac-authenticationdomaindom1[AC]mac-authenticationuser-name-formatmac-addresswith-hyphenlowercase(7)将无线服务模板绑定到radio1上#创建手工AP,名称为ap1,并配置序列号.
[AC]wlanapap1modelWA4320H1-37[AC-wlan-ap-ap1]serial-id219801A0YG8165E00001#进入Radio1视图.
[AC-wlan-ap-ap1]radio1#将无线服务模板绑定到Radio1上,并开启射频.
[AC-wlan-ap-ap1-radio-1]service-templateservice1[AC-wlan-ap-ap1-radio-1]radioenable[AC-wlan-ap-ap1-radio-1]return4.
验证配置#配置完成后,在AC上执行displaywlanservice-template命令,可以看到无线服务模板的配置情况如下.
displaywlanservice-templateservice1verboseServicetemplatename:service1SSID:serviceSSID-hide:DisabledUser-isolation:DisabledServicetemplatestatus:EnabledMaximumclientsperBSS:64Frameformat:Dot3VLANID:1AKMmode:Private-PSKSecurityIE:WPACiphersuite:CCMPTKIPcountermeasuretime:0PTKlifetime:43200secGTKrekey:EnabledGTKrekeymethod:Time-basedGTKrekeytime:86400secGTKrekeyclient-offline:EnabledUserauthenticationmode:MACIntrusionprotection:DisabledIntrusionprotectionmode:Temporary-blockTemporaryblocktime:180secTemporaryservicestoptime:20secFailVLANID:Notconfigured802.
1Xhandshake:Disabled802.
1Xhandshakesecure:Disabled802.
1Xdomain:NotconfiguredMAC-authdomain:NotconfiguredMax802.
1XusersperBSS:4096MaxMAC-authusersperBSS:4096802.
1Xre-authenticate:DisabledAuthorizationfailmode:OnlineAccountingfailmode:OnlineAuthorization:PermittedKeyderivation:N/APMFstatus:DisabledHotspotpolicynumber:Notconfigured1-38Forwardingpolicystatus:DisabledForwardingpolicyname:NotconfiguredFTstatus:DisabledQoStrust:PortQoSpriority:0