- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-WLAN用户安全配置
本章节下载: 03-WLAN用户安全配置 (447.64 KB)
本文中的AP指的是LA3616无线网关。
最初802.11的安全机制被称为Pre-RSNA安全机制,它的认证机制不完善,容易被攻破,存在安全隐患,且在WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,所以IEEE制订了802.11i协议来加强无线网络的安全性。
但802.11i仅对无线网络的数据报文进行加密保护,而不对管理帧进行保护,所以管理帧的机密性、真实性、完整性无法保证,容易受到仿冒或监听,例如:恶意攻击者通过获取设备的MAC地址并仿冒设备恶意拒绝客户端认证或恶意结束设备与客户端的关联。802.11w无线加密标准建立在802.11i框架上,通过保护无线网络的管理帧来解决上述问题,进一步增强无线网络的安全性。
Pre-RSNA安全机制采用开放式系统认证(Open system authentication)和共享密钥认证(Shared key authentication)两种认证方式来进行客户端认证,并且采用WEP加密方式对数据进行加密来保护数据机密性,以对抗窃听。WEP加密使用RC4加密算法(一种流加密算法)实现数据报文的加密,WEP加密支持WEP40、WEP104和WEP128三种密钥长度。
开放系统认证(Open system authentication)是缺省使用的认证方式,也是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。开放系统认证包括两个步骤,如图1-1所示:
(1) 客户端向AP发起认证请求;
(2) AP确定客户端可以通过无线链路认证,并向客户端回应认证结果为“成功”。
共享密钥认证(Shared key authentication)需要客户端和AP配置相同的WEP密钥。
(1) 客户端先向AP发送认证请求;
(2) AP会随机产生一个Challenge Text(即一个字符串)发送给客户端;
(3) 客户端使用WEP密钥将接收到的Challenge Text加密后再发送给AP;
(4) AP使用WEP密钥解密接收到的消息,并对解密后的字符串和原始字符串进行比较。如果相同,则说明客户端通过了链路层认证,否则链路层认证失败。
802.11i安全机制又被称为RSNA(Robust Security Network Association,健壮安全网络连接)安全机制,包括WPA(Wi-Fi Protected Access,Wi-Fi保护访问)和RSN(Robust Security Network,健壮安全网络)两种安全模式,采用AKM(Authentication and Key Management,身份认证与密钥管理)对用户身份的合法性进行认证,对密钥的生成、更新进行动态管理,并且采用TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)和CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制对报文进行加密。
AKM分为802.1X和PSK两种模式:
· 802.1X:采用802.1X认证对用户进行身份认证,并在认证过程中生成PMK(Pairwise Master Key,成对主密钥),客户端和AP使用该PMK生成PTK(Pairwise Transient Key,成对临时密钥)。
· PSK:采用PSK认证进行身份认证,并通过PSK密钥生成PMK,客户端和AP使用该PMK生成PTK。
当WLAN网络采用RSNA安全机制时,链路层认证将协商为开放系统认证。
802.11i协议规定使用两种身份认证方式,以下分别介绍:
· 对于安全要求标准较高的企业、政府等机构,推荐使用认证服务器通过802.1X认证方式对客户端进行身份认证。有关802.1X认证的详细介绍及相关配置,请参见“WLAN配置指导”中的“WLAN用户接入认证”。
· 对于安全要求标准较低的家庭用户等,推荐使用PSK方式对客户端进行认证。PSK认证方式需要在AP侧预先输入预共享密钥,在客户端关联过程中,手动输入该密钥,AP和客户端通过四次握手密钥协商来验证客户端的预共享密钥的合法性,若PTK协商成功,则证明该用户合法,以此来达到认证的目的。
密钥用于对数据进行加密来提高WLAN网络的安全性。密钥管理机制定义了密钥的生成和密钥的更新等一系列的过程,以此来确保每个用户使用安全的密钥。
802.11i协议中密钥主要包括PTK和GTK(Group Temporal Key,群组临时密钥)两种,以下分别介绍。
图1-3 PTK结构图
· KCK(EAPOL-Key Confirmation Key,确认密钥):用来校验EAPOL-Key帧的完整性。
· KEK(EAPOL-Key Encryption Key,加密密钥):用来加密EAPOL-Key帧中的Key Data字段。
· TK(Temporal Key,临时密钥):用来对单播数据报文进行加密的密钥。
GTK用于保护组播和广播数据。GTK的结构包含TK和其它字段,其中TK是用来对组播和广播数据进行加密的密钥。
802.11i协议规定密钥协商过程使用的报文为EAPOL-Key数据报文,报文格式如图1-4所示。
图1-4 EAPOL-Key报文格式
表1-1 EAPOL-Key报文字段含义
|
表示网络类型是WPA网络或RSN网络 |
|
|
有关Key information的详细介绍,请参见“表1-2Key information字段含义” |
|
|
此字段表示AP发送的EAPOL-Key报文的个数,即AP每发送一个EAPOL-Key报文该字段都会加1,目的是防止重放攻击。在开始密钥协商时,AP发送的EAPOL-Key报文中该字段为0,客户端接收到EAPOL-Key报文,将此位记录到本地,当客户端再次接收到AP发送的EAPOL-Key报文时,报文内的该字段必须要大于本地所记录的,否则丢弃该报文等待重传。当AP端接收到客户端的报文时,此字段必须和AP本地保存的相同,否则等待重传,直到接收到合法的Key replay counter。若达到最大重传次数时,AP会将客户端删除 |
|
|
该字段用来传递生成PTK所用的随机值 |
|
|
该字段用于TKIP加密,只有加密方式为非CCMP时,该字段才被赋值 |
|
|
此字段表示AP发送的组播报文或广播报文的个数,即AP每发送一个组播或广播报文该字段都会加1,与Key replay counter字段的防止重放攻击作用相同 |
|
|
表示EAPOL-Key报文MIC(Message Integrity Check,信息完整性校验)值 |
|
|
表示Key data字段长度 |
|
|
该字段要存放AP和客户端进行交互的数据,例如:GTK、PMKID(Pairwise Master key identifier,成对主密钥标识符,供漫游所用)等 |
Key information字段格式如图1-5所示,各字段含义如表1-2所示。
|
密钥版本位,长度为3比特,取值为1表示非CCMP密钥,取值为2表示CCMP密钥 |
|
|
密钥类型位,长度为1比特,取值为1表示在进行单播密钥协商,取值为0表示在进行组播密钥协商 |
|
|
保留位,长度为2比特,发送方将该位置为0,接收方忽略该值 |
|
|
· 若Key Type位为1: ¡ 安装密钥标记位为1,表示客户端进行TK密钥安装 ¡ 安装密钥标记位为0,表示客户端不进行TK密钥安装 · 若Key Type位为0: 则在发送方会将安装密钥标记位置为0,接收方忽略该位 |
|
|
密钥确认位,长度为1比特,取值为1表示AP期待客户端回复应答报文 |
|
|
信息完整性校验位,长度1比特,取值为1表示已经计算出MIC,并且将产生的MIC填充到EAPOL-Key报文的Key MIC字段中 |
|
|
安全位,长度为1比特,取值为1表示密钥已产生 |
|
|
错误位,长度为1比特,取值为1表示客户端MIC校验失败;当且仅当Request位为1时,客户端才将该位置为1 |
|
|
请求位,长度为1比特,由MIC校验失败的客户端发起,用来请求AP发起四次握手或者组播握手 |
|
|
加密密钥数据位,长度为1比特,取值为1表示Key data字段为加密数据 |
|
|
保留位,长度为3比特,发送方将该位置位0,接收方忽略该值 |
WPA是一种比WEP加密性能更强的安全机制。在802.11i协议完善前,采用WPA为用户提供一个临时性的WLAN安全增强解决方案。在WPA安全网络中,客户端和AP通过使用EAPOL-Key报文进行四次握手协商出PTK,通过使用EAPOL-Key报文进行二次组播握手协商出GTK。协商过程如图1-6所示。
图1-6 WPA密钥协商过程
(1) AP向客户端发送携带有随机数ANonce的第一个EAPOL-Key报文Message 1;
(2) 客户端接收到报文Message 1,使用AP端发送的随机数ANonce、客户端的随机数SNonce和身份认证产生的PMK通过密钥衍生算法生成PTK,并用PTK中的KCK产生MIC(Message Integrity Check,信息完整性校验),并将MIC填充到Message 2报文中,然后向AP发送携带SNonce和MIC的第二个EAPOL-Key报文Message 2;
(3) AP接收到报文Message 2,使用SNonce、ANonce和身份认证产生的PMK通过密钥衍生算法生成PTK,并用PTK中的KCK生成MIC,然后对Message 2报文做MIC校验,用AP端生成的MIC和报文中MIC进行比较,若两个MIC相同则说明MIC校验成功,否则校验失败。MIC校验成功后,AP向客户端发送携带通知客户端安装PTK标记和MIC的第三个EAPOL-Key报文Message 3。
(4) 客户端接收到报文Message 3,首先对报文进行MIC校验,校验成功后,安装单播密钥TK,然后向AP发送携带MIC的第四个EAPOL-Key报文Message 4。
(5) AP接收到报文Message 4,首先对报文进行MIC校验,若校验成功,则AP安装单播密钥TK,密钥安装成功后AP使用随机值GMK(Group Master Key,组播主密钥)和AP的MAC地址通过密钥衍生算法产生GTK,并向客户端发送携带MIC和GTK的第五个EAPOL-Key报文Group message 1;
(6) 客户端接收到Group message 1,首先对报文进行MIC校验,校验成功后安装组播密钥TK,并向AP发送携带MIC的第六个EAPOL-Key报文Group message 2;
(7) AP接收到Group message 2,首先对报文进行MIC校验,校验成功后安装组播密钥TK。
RSN是按照802.11i协议为用户提供的一种WLAN安全解决方案。在RSN网络中,客户端和AP通过使用EAPOL-Key类型报文进行四次握手协商出PTK和GTK。协商过程如图1-7所示。
图1-7 RSN密钥协商过程
(1) AP向客户端发送携带有随机数ANonce的第一个EAPOL-Key报文Message 1;
(2) 客户端接收到报文Message 1,使用AP端发送的随机数ANonce、客户端的随机数SNonce和身份认证产生的PMK通过密钥衍生算法生成PTK,并用PTK中的KCK产生MIC,并填充到Message 2报文中,然后向AP发送携带SNonce和MIC的第二个EAPOL-Key报文Message 2;
(3) AP接收到报文Message 2,使用SNonce、ANonce和身份认证产生的PMK通过密钥衍生算法生成PTK,并用PTK中的KCK生成MIC,然后对Message 2报文做MIC校验,用AP端生成的MIC和报文中MIC进行比较,两个MIC相同则说明MIC校验成功,否则失败。MIC校验成功后通过随机值GMK和AP的MAC地址通过密钥衍生算法产生GTK,并向客户端发送携带通知客户端安装密钥标记、MIC和GTK的第三个EAPOL-Key报文Message 3。
(4) 客户端接收到报文Message 3,首先对报文进行MIC校验,校验成功后客户端安装单播密钥TK和组播密钥TK,然后向AP发送携带MIC的第四个EAPOL-Key报文Message 4。
(5) AP接收到报文Message 4,首先对报文进行MIC校验,校验成功后安装密钥单播密钥TK和组播密钥TK。
如果客户端长时间使用一个密钥,或携带当前网络正在使用的组播密钥离线,此时网络被破坏的可能性很大,安全性就会大大降低。WLAN网络通过身份认证与密钥管理中的密钥更新机制来提高WLAN网络安全性。密钥更新包括PTK更新和GTK更新。
· PTK更新:PTK更新是对单播数据报文的加密密钥进行更新的一种安全手段,采用重新进行四次握手协商出新的PTK密钥的更新机制,来提高安全性。
· GTK更新:GTK更新是对组播数据报文的加密密钥进行更新的一种安全手段,采用重新进行两次组播握手协商出新的GTK密钥的更新机制,来提高安全性。
由于WEP加密易破解,一旦攻击者收集到足够多的有效数据帧进行统计分析,那么将会造成数据泄露,无线网络将不再安全。802.11i增加了TKIP和CCMP两种加密套件来保护用户数据安全,以下分别介绍。
TKIP加密机制依然使用RC4算法,所以不需要升级原来无线设备的硬件,只需通过软件升级的方式就可以提高无线网络的安全性。相比WEP加密机制,TKIP有如下改进:
· 通过增长了算法的IV(Initialization Vector,初始化向量)长度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;
· 采用和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;
· 支持TKIP反制功能。当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击。当在一段时间内连续接收到两个MIC错误的报文,AP将会启动TKIP反制功能,此时,AP将通过关闭一段时间无线服务的方式,实现对无线网络攻击的防御。
CCMP加密机制使用AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法,CCMP使得无线网络安全有了极大的提高。CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会使用不同的PN,在一定程度上提高安全性。
当WLAN网络采用动态WEP安全机制时,链路层认证将协商为开放系统认证。
在Pre-RSNA安全机制的WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,因此802.11提供了动态WEP加密机制。在动态WEP加密机制中,加密单播数据帧的WEP密钥是由客户端和认证服务器通过802.1X认证协商产生,保证了每个客户端使用不同的WEP单播密钥,从而提高了单播数据帧传输的安全性。组播密钥是WEP密钥,若未配置WEP密钥,则AP使用随机算法产生组播密钥。
当客户端通过802.1X认证后, AP通过发送RC4 EAPOL-Key报文将组播密钥及密钥ID以及单播密钥的密钥ID(固定为4)分发给客户端。
· WI-FI Protected Access – Enhanced Security Implementation Based On IEEE P802.11i Standard-Aug 2004
使用Pre-RSNA安全机制,需要配置WEP加密套件及对应长度的WEP密钥,客户端上线时,客户端和AP根据客户端网卡的设置,协商链路层认证。
表1-3 Pre-RSNA安全机制配置任务简介
|
配置WEP密钥 |
使用RSNA安全机制,身份认证与密钥管理、安全信息元素、CCMP或TKIP加密套件必须同时配置,且客户端网卡必须设置为开放式系统认证。
当且仅当使用RSNA安全机制,且配置了CCMP加密套件和RSN安全信息元素时,配置保护管理帧功能才会生效。
表1-4 RSNA安全机制配置任务简介
|
配置PSK密钥 |
||
|
配置GTK更新功能 |
||
|
配置PTK的生存时间 |
||
|
配置TKIP反制时间 |
||
|
配置WEP密钥 |
||
|
开启动态WEP加密机制 |
在使用动态WEP安全机制时,单播密钥是由客户端和认证服务器通过802.1X认证协商产生,因此必须配置用户接入认证模式为dot1x模式。
在开启动态WEP加密机制后:
若配置了WEP加密套件、加密套件对应的WEP密钥且指定了使用该WEP密钥的ID,则以配置的加密套件对单播和组播报文加密,WEP密钥作为组播密钥。客户端和认证服务器会协商与配置的WEP加密套件相对应的单播密钥。
· 若未配置WEP加密套件、WEP密钥及密钥ID,则使用加密套件WEP104对单播和组播报文进行加密,AP会随机生成长度为104比特的字符串作为组播密钥,并且组播密钥ID为1。系统会协商出WEP104密钥做为单播密钥。
表1-5 动态WEP加密机制配置任务简介
|
配置WEP密钥 |
||
|
开启动态WEP加密机制 |
身份认证与密钥管理模式和WLAN用户接入认证的关系如下:
· 当用户选择802.1X身份认证与密钥管理时,WLAN用户接入认证模式只能配置为802.1X模式;
· 当身份认证与密钥管理为PSK模式时,WLAN用户接入认证模式只能使用Bypass认证或者MAC地址认证模式。
安全信息元素对应的是当前设备所支持的网络类型,WPA或RSN。用户如何配置取决于客户端所支持的网络类型。
|
缺省情况下,信标和探查响应帧不携带WPA IE或RSN IE |
WEP128加密套件和CCMP或TKIP不能同时配置。
当身份认证与密钥管理为PSK模式时,则必须配置PSK密钥。当身份认证与密钥管理为802.1X模式时,若配置PSK密钥,则无线服务模板可以使能,但此配置不会生效。
|
配置PSK密钥 |
preshared-key { pass-phrase | raw-key } { cipher | simple } key |
当使用RSNA安全机制时,客户端和AP使用密钥衍生算法来产生PTK/GTK。目前支持的散列算法有两种,分别是SHA1和SHA256。SHA1使用HMAC-SHA1算法进行迭代计算产生密钥,SHA256使用HMAC-SHA256算法进行迭代计算产生密钥。SHA256安全散列算法的安全性比SHA1安全散列算法安全性高。
若配置了身份认证与密钥管理、安全信息元素、TKIP或CCMP加密套件,则系统将使用密钥协商来产生GTK,此时可以配置GTK更新,触发GTK更新的方式有如下三种:
· 基于报文数,AP发送了指定数目的广播或组播数据报文后更新GTK。
· 客户端离线更新GTK,当BSS中有客户端下线时,该BSS会更新GTK。
表1-11 配置GTK更新功能
|
开启GTK更新功能 |
缺省情况下,GTK更新功能处于开启状态 |
|
|
配置GTK更新方法 |
gtk-rekey method { packet-based [ packet ] | time-based [ time ] } |
缺省情况下,GTK更新采用基于时间的方法,时间间隔为86400秒 如果配置GTK更新方法为基于数据包的更新方法,缺省值为10000000 |
|
缺省情况下,客户端离线更新GTK功能关闭 |
若配置了身份认证与密钥管理、安全信息元素、TKIP或CCMP加密套件,则系统将使用密钥协商来产生PTK,此时可以设置PTK的生存时间,表明在指定的时间间隔后更新PTK。
表1-12 配置PTK的生存时间
|
配置PTK的生存时间 |
缺省情况下,PTK的生存时间为43200秒 |
若配置了TKIP加密套件,TKIP可以通过配置反制时间的方式启动反制策略,来阻止黑客的攻击。
表1-13 配置TKIP反制时间
|
配置TKIP反制时间 |
缺省情况下,发起TKIP反制策略时间为0,即不启动反制策略 |
若使用RSNA安全机制,且加密套件配置了WEP40/WEP104/WEP128和相对应长度的WEP密钥,则系统不会使用通过密钥协商产生的组播密钥为组播报文加密,而是选择安全性较弱的WEP的密钥做为组播密钥。
若使用Pre-RSNA安全机制,则客户端与AP将使用WEP密钥通过WEP加密方式对数据报文进行加密。
若使用动态WEP加密机制,则不能将WEP加密使用的密钥ID配置为4。
|
配置WEP密钥 |
wep key key-id { wep40 | wep104 | wep128 } { pass-phrase | raw-key } { cipher | simple } key |
|
|
配置WEP加密使用的密钥ID |
WLAN用户接入认证模式必须配置为dot1x模式,动态WEP加密功能才会生效。
表1-15 开启动态WEP加密功能
|
开启动态WEP加密机制 |
缺省情况下,动态WEP加密机制处于关闭状态 |
在完成上述配置后,在无线服务模版视图下执行display命令可以显示配置后的WLAN用户安全运行情况,通过查看显示信息验证配置效果。
display wlan service-template、display wlan client命令的详细介绍,请参见“WLAN命令参考”中的“WLAN接入”。
表1-16 WLAN用户安全显示和维护
· 如图1-8所示,Switch同时作为DHCP server为AP和Client分配IP地址。通过配置客户端在链路层使用WEP密钥12345接入无线网络。
# 创建无线服务模板service1 。
[AP] wlan service-template service1
# 配置无线服务的SSID为service。
[AP-wlan-st-service1] ssid service
(2) 配置WEP并使能无线服务模板
# 配置使用WEP40加密套件,配置密钥索引为2,使用明文的字符串12345作为共享密钥。
[AP-wlan-st-service1] cipher-suite wep40
[AP-wlan-st-service1] wep key 2 wep40 pass-phrase simple 12345
[AP-wlan-st-service1] wep key-id 2
# 使能无线服务模板。
[AP-wlan-st-service1] service-template enable
[AP-wlan-st-service1] quit
(3) 将无线服务模板绑定到WLAN-Radio 0/1接口
[AP-WLAN-Radio0/1] undo shutdown
[AP-WLAN-Radio0/1] service-template service1
[AP-WLAN-Radio0/1] quit
# 配置完成后,在AP上执行display wlan service-template命令,可以看到无线服务模板下安全信息的配置情况如下:
[AP] display wlan service-template service1
Service template name : service1
SSID : service
SSID-hide : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
VLAN ID : 1
AKM mode : Not configured
Security IE : Not configured
Cipher suite : WEP40
WEP key ID : 2
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
User authentication mode : Shared-key
WEP mode : Static
Authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users : 4096
Max MAC-auth users : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
· 如图1-9所示,Switch同时作为DHCP server为AP和Client分配IP地址。通过配置客户端PSK密钥12345678接入无线网络。
· 客户端链路层认证使用开放式系统认证,用户接入认证使用Bypass认证的方式实现客户端可以不需要接入认证直接接入WLAN网络的目的。
· 通过配置客户端和AP之间的数据报文采用PSK身份认证与密钥管理模式来确保用户数据的传输安全。
图1-9 PSK+Bypass认证配置组网图
# 创建无线服务模板service1。
[AP] wlan service-template service1
# 配置无线服务的SSID为service。
[AP-wlan-st-service1] ssid service
# 配置AKM为PSK,配置PSK密钥,使用明文的字符串12345678作为共享密钥。
[AP-wlan-st-service1] akm mode psk
[AP-wlan-st-service1] preshared-key pass-phrase simple 12345678
# 配置CCMP为加密套件,配置WPA为安全信息元素。
[AP-wlan-st-service1] cipher-suite ccmp
[AP-wlan-st-service1] security-ie wpa
# 使能无线服务模板。
[AP-wlan-st-service1] service-template enable
[AP-wlan-st-service1] quit
[AP-WLAN-Radio0/1] undo shutdown
[AP-WLAN-Radio0/1] service-template service1
[AP-WLAN-Radio0/1] quit
# 配置完成后,在AP上执行display wlan service-template命令,可以看到无线服务模板的配置情况如下。
[AP] display wlan service-template service1
Service template name : service1
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
VLAN ID : 1
AKM mode : PSK
Security IE : WPA
Cipher suite : CCMP
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
User authentication mode : Bypass
WEP mode : Static
Authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users : 4096
Max MAC-auth users : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
· 如图1-10所示,AP旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。通过配置客户端PSK密钥12345678接入无线网络。
· 客户端链路层认证使用开放式系统认证,客户端通过RADIUS服务器进行MAC地址认证的方式,实现客户端可使用固定用户名abc和密码123接入WLAN网络的目的。
· 通过配置客户端和AP之间的数据报文采用PSK认证密钥管理模式来确保用户数据的传输安全。
图1-10 PSK密钥管理模式和MAC认证配置组网图
· 下述配置中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍,请参见“安全命令参考”中的“AAA”。
· 确保RADIUS服务器与AC路由可达,并成功添加了用户账户,用户名为abc,密码为123。
# 创建无线服务模板service1。
[AP] wlan service-template service1
# 配置无线服务的SSID为service。
[AP-wlan-st-service1] ssid service
# 配置AKM为PSK,配置PSK密钥,使用明文的字符串12345678作为共享密钥。
[AP-wlan-st-service1] akm mode psk
[AP-wlan-st-service1] preshared-key pass-phrase simple 12345678
# 配置CCMP为加密套件,配置WPA为安全信息元素。
[AP-wlan-st-service1] cipher-suite ccmp
[AP-wlan-st-service1] security-ie wpa
# 配置用户接入方式为MAC地址认证。
[AP-wlan-st-service1] client-security authentication-mode mac
# 配置使能无线服务模板。
[AP-wlan-st-service1] service-template enable
[AP-wlan-st-service1] quit
# 创建RADIUS方案radius1并进入其视图。
# 配置主认证/计费RADIUS服务器的IP地址为10.1.1.3,服务器的UDP端口号为1812和1813。
[AP-radius-radius1] primary authentication 10.1.1.3 1812
[AP-radius-radius1] primary accounting 10.1.1.3 1813
# 配置AP与认证/计费RADIUS服务器交互报文时的共享密钥为12345678。
[AP-radius-radius1] key authentication simple 12345678
[AP-radius-radius1] key accounting simple 12345678
# 配置发送给RADIUS服务器的用户名不携带域名。
[AP-radius-radius1] user-name-format without-domain
[AP-radius-radius1] quit
发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名、以及服务器端的配置有关:
· 若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);
· 若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。
(4) 创建认证域并配置使用RADIUS方案进行认证、授权、计费
# 创建认证域(ISP域)dom1并进入其视图。
# 配置MAC用户使用RADIUS方案radius1进行认证、授权、计费。
[AP-isp-dom1] authentication lan-access radius-scheme radius1
[AP-isp-dom1] authorization lan-access radius-scheme radius1
[AP-isp-dom1] accounting lan-access radius-scheme radius1
[AP-isp-dom1] quit
(5) 配置MAC地址认证域及用户名和密码
# 配置认证域为dom1,用户名为abc,密码为明文字符串123。
[AP] mac-authentication domain dom1
[AP] mac-authentication user-name-format fixed account abc password simple 123
(6) 将无线服务模板绑定到WLAN-Radio 0/1接口
[AP-WLAN-Radio0/1] undo shutdown
[AP-WLAN-Radio0/1] service-template service1
[AP-WLAN-Radio0/1] quit
# 配置完成后,在AP上执行display wlan service-template命令,可以看到无线服务模板的配置情况如下。
[AP] display wlan service-template service1
Service template name : service1
SSID : service
SSID-hide : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
VLAN ID : 1
AKM mode : PSK
Security IE : WPA
Cipher suite : CCMP
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
User authentication mode : Central
WEP mode : Static
Authentication mode : MAC
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users : 4096
Max MAC-auth users : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
· 如图1-11所示,AP旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。
· 客户端链路层认证使用开放式系统认证,客户端通过802.1X接入认证的方式实现客户端可使用用户名abcdef和密码123456接入WLAN网络的目的。
· 通过配置客户端和AP之间的数据报文采用802.1X身份认证与密钥管理来确保用户数据的传输安全。
图1-11 802.1X认证配置组网图
· 下述配置中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍,请参见“安全命令参考”中的“AAA”。
· 完成802.1X客户端的配置。
· 完成RADIUS服务器的配置,添加用户账户,用户名为abcedf,密码为123456。
# 创建无线服务模板service1。
[AP] wlan service-template service1
# 配置无线服务的SSID为service。
[AP-wlan-st-service1] ssid service
# 配置AKM为802.1X。
[AP-wlan-st-service1] akm mode dot1x
# 配置CCMP为加密套件,配置WPA为安全信息元素。
[AP-wlan-st-service1] cipher-suite ccmp
[AP-wlan-st-service1] security-ie wpa
# 配置用户接入方式为802.1X认证。
[AP-wlan-st-service1] client-security authentication-mode dot1x
# 配置使能无线服务模板。
[AP-wlan-st-service1] service-template enable
[AP-wlan-st-service1] quit
# 创建RADIUS方案radius1并进入其视图。
# 配置主认证/计费RADIUS服务器的IP地址。
[AP-radius-radius1] primary authentication 10.1.1.3 1812
[AP-radius-radius1] primary accounting 10.1.1.3 1813
# 配置AP与认证/计费RADIUS服务器交互报文时的共享密钥为明文字符串12345。
[AP-radius-radius1] key authentication simple 12345
[AP-radius-radius1] key accounting simple 12345
# 配置发送给RADIUS服务器的用户名不携带域名。
[AP-radius-radius1] user-name-format without-domain
[AP-radius-radius1] quit
发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名、以及服务器端的配置有关:
· 若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);
· 若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。
(4) 创建认证域并配置RADIUS方案
# 创建认证域(ISP域)dom1并进入其视图。
# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费。
[AP-isp-dom1] authentication lan-access radius-scheme radius1
[AP-isp-dom1] authorization lan-access radius-scheme radius1
[AP-isp-dom1] accounting lan-access radius-scheme radius1
[AP-isp-dom1] quit
# 配置使用dom1认证域为默认域。
[AP] domain default enable dom1
(5) 将无线服务模板绑定到WLAN-Radio 0/1接口
[AP-WLAN-Radio0/1] undo shutdown
[AP-WLAN-Radio0/1] service-template service1
[AP-WLAN-Radio0/1] quit
# 配置完成后,在AP上执行display wlan service-template命令,可以看到无线服务模板的配置情况如下。
[AP] display wlan service-template service1
Service template name : service1
SSID : service
SSID-hide : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
VLAN ID : 1
AKM mode : PSK
Security IE : WPA
Cipher suite : CCMP
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
User authentication mode : Central
WEP mode : Static
Aauthentication mode : 802.1X
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users : 4096
Max MAC-auth users : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
· 如图1-12所示,AP旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。
· 客户端链路层认证使用开放式系统认证,客户端通过802.1X接入认证的方式实现客户端可使用用户名abcdef和密码123456接入WLAN网络的目的。
· 通过配置客户端和AP之间的数据报文采用802.1X接入认证与动态WEP来确保用户数据的传输安全。
图1-12 802.1X认证配置组网图
· 下述配置中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍,请参见“安全命令参考”中的“AAA”。
· 完成802.1X客户端的配置。
· 完成RADIUS服务器的配置,添加用户账户,用户名为abcedf,密码为123456。
#创建无线服务模板service1。
[AP] wlan service-template service1
# 配置无线服务的SSID为service。
[AP-wlan-st-service1] ssid service
(2) 配置动态WEP方式加密
#配置WEP为dynamic。
[AP-wlan-st-service1] wep mode dynamic
# 配置用户接入方式为802.1X认证。
[AP-wlan-st-service1] client-security authentication-mode dot1x
# 配置使能无线服务模板。
[AP-wlan-st-service1] service-template enable
[AP-wlan-st-service1] quit
# 创建RADIUS方案radius1并进入其视图。
# 配置主认证/计费RADIUS服务器的IP地址。
[AP-radius-radius1] primary authentication 10.1.1.3 1812
[AP-radius-radius1] primary accounting 10.1.1.3 1813
# 配置AP与认证/计费RADIUS服务器交互报文时的共享密钥为明文字符串123456。
[AP-radius-radius1] key authentication simple 123456
[AP-radius-radius1] key accounting simple 123456
# 配置发送给RADIUS服务器的用户名不携带域名。
[AP-radius-radius1] user-name-format without-domain
[AP-radius-radius1] quit
发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名、以及服务器端的配置有关:
· 若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);
· 若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。
(4) 创建认证域并配置802.1X认证方式和RADIUS方案
# 配置802.1X认证方式为EAP。
[AP] dot1x authentication-method eap
# 创建认证域(ISP域)dom1并进入其视图。
# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费。
[AP-isp-dom1] authentication lan-access radius-scheme radius1
[AP-isp-dom1] authorization lan-access radius-scheme radius1
[AP-isp-dom1] accounting lan-access radius-scheme radius1
[AP-isp-dom1] quit
#配置使用dom1认证域为默认域。
[AP] domain default enable dom1
(5) 将无线服务模板绑定到Radio接口
[AP-WLAN-Radio0/1] service-template service1
[AP-WLAN-Radio0/1] quit
# 配置完成后,在AP上执行display wlan service-template命令,可以看到无线服务模板的配置情况如下。
[AP]display wlan service-template service1
Service template name : service1
SSID : service
SSID-hide : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
VLAN ID : 1
AKM mode : Not configured
Security IE : Not configured
Cipher suite : WEP104
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
User authentication mode : 802.1X
WEP mode : Dynamic
Authentication mode : 802.1X
Intrusionprotection : Disabled
Intrusionprotection mode : Temporary-block
Temporary block time : 180 sec
Temporaryservicestop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users : 4096
Max MAC-auth users : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
