05-WLAN用户安全配置
本章节下载: 05-WLAN用户安全配置 (823.89 KB)
目 录
1.14.2 PSK身份认证与密钥管理模式和Bypass认证配置举例
1.14.3 PSK身份认证与密钥管理模式和MAC地址认证配置举例
1.14.7 Private-PSK身份认证与密钥管理模式和MAC地址认证配置举例
WLAN用户安全协议主要包括Pre-RSNA、802.11i和802.11w。其中,Pre-RSNA机制最早出现,安全机制不太完善;802.11i协议是对Pre-RSNA的增强,但仅对无线网络的数据报文进行了加密保护;802.11w建立在802.11i框架上,对无线网络的管理帧进行保护,进一步增强了无线网络的安全性。
Pre-RSNA安全机制采用开放式系统认证(Open system authentication)和共享密钥认证(Shared key authentication)两种认证模式来进行客户端认证,并且采用WEP加密方式对数据进行加密来保护数据机密性,以对抗窃听。
WEP加密使用RC4加密算法(一种流加密算法)实现数据报文的加密,WEP加密支持WEP40、WEP104和WEP128三种密钥长度。
开放系统认证(Open system authentication)是缺省使用的认证方式,也是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。开放系统认证包括两个步骤,如图1-1所示:
(1) 客户端向AP发起认证请求;
(2) AP确定客户端可以通过无线链路认证,并向客户端回应认证结果为“成功”。
共享密钥认证(Shared key authentication)需要客户端和AP配置相同的WEP密钥。
共享密钥认证的认证过程如图1-2所示:
(1) 客户端先向AP发送认证请求;
(2) AP会随机产生一个Challenge Text(即一个字符串)发送给客户端;
(3) 客户端使用WEP密钥将接收到的Challenge Text加密后再发送给AP;
(4) AP使用WEP密钥解密接收到的消息,并对解密后的字符串和原始字符串进行比较。如果相同,则说明客户端通过了链路层认证,否则链路层认证失败。
当WLAN网络采用802.11i安全机制时,链路层认证将协商为开放系统认证。
802.11i安全机制又被称为RSNA(Robust Security Network Association,健壮安全网络连接)安全机制,包括WPA(Wi-Fi Protected Access,Wi-Fi保护访问)和RSN(Robust Security Network,健壮安全网络)两种安全模式:
· WPA是一种比WEP加密性能更强的安全机制。在802.11i协议完善前,采用WPA为用户提供一个临时性的WLAN安全增强解决方案。
· RSN是按照802.11i协议为用户提供的一种WLAN安全解决方案。
802.11i协议采用AKM(Authentication and Key Management,身份认证与密钥管理)对用户身份的合法性进行认证,对密钥的生成、更新进行动态管理。AKM分为802.1X、Private-PSK和PSK三种模式:
· 802.1X:采用802.1X认证对用户进行身份认证,并在认证过程中生成PMK(Pairwise Master Key,成对主密钥),客户端和AP使用该PMK生成PTK(Pairwise Transient Key,成对临时密钥)。
· Private-PSK:采用PSK(Pre-Shared Key,预共享密钥)认证进行身份认证,使用客户端的MAC地址作为PSK密钥生成PMK,客户端和AP使用该PMK生成PTK。
· PSK:采用PSK认证进行身份认证,并通过PSK密钥生成PMK,客户端和AP使用该PMK生成PTK。
802.11i协议使用两种身份认证方式:
· 对于安全要求标准较高的企业、政府等机构,推荐使用认证服务器通过802.1X认证方式对客户端进行身份认证。有关802.1X认证的详细介绍及相关配置,请参见“WLAN配置指导”中的“WLAN用户接入认证”。
· 对于安全要求标准较低的家庭用户等,推荐使用PSK方式对客户端进行认证。PSK认证方式需要在AP侧预先输入预共享密钥,在客户端关联过程中,手动输入该密钥,AP和客户端通过四次握手密钥协商来验证客户端的预共享密钥的合法性,若PTK协商成功,则证明该用户合法,以此来达到认证的目的。
密钥用于对数据进行加密来提高WLAN网络的安全性。密钥管理机制定义了密钥的生成和密钥的更新等一系列的过程,以此来确保每个用户使用安全的密钥。
802.11i协议中密钥主要包括PTK和GTK(Group Temporal Key,群组临时密钥)两种。
(1) PTK
PTK用于保护单播数据,PTK结构如图1-3所示。
图1-3 PTK结构图
· KCK(EAPOL-Key Confirmation Key,确认密钥):用来校验EAPOL-Key帧的完整性。
· KEK(EAPOL-Key Encryption Key,加密密钥):用来加密EAPOL-Key帧中的Key Data字段。
· TK(Temporal Key,临时密钥):用来对单播数据报文进行加密的密钥。
(2) GTK
GTK用于保护组播和广播数据。GTK的结构包含TK和其它字段,其中TK是用来对组播和广播数据进行加密的密钥。
802.11i协议规定密钥协商过程使用的报文为EAPOL-Key数据报文,报文格式如图1-4所示。
图1-4 EAPOL-Key报文格式
EAPOL-Key报文的各字段含义如表1-1所示。
表1-1 EAPOL-Key报文字段含义
字段 |
含义 |
Descriptor type |
表示网络类型是WPA网络或RSN网络 |
Key information |
有关Key information的详细介绍,请参见“表1-2Key information字段含义” |
Key length |
表示密钥的长度 |
Key replay counter |
此字段表示AP发送的EAPOL-Key报文的个数,即AP每发送一个EAPOL-Key报文该字段都会加1,目的是防止重放攻击。在开始密钥协商时,AP发送的EAPOL-Key报文中该字段为0,客户端接收到EAPOL-Key报文,将此位记录到本地,当客户端再次接收到AP发送的EAPOL-Key报文时,报文内的该字段必须要大于本地所记录的,否则丢弃该报文等待重传。当AP端接收到客户端的报文时,此字段必须和AP本地保存的相同,否则等待重传,直到接收到合法的Key replay counter。若达到最大重传次数时,AP会将客户端删除 |
Key nonce |
该字段用来传递生成PTK所用的随机值 |
EAPOL Key IV |
该字段用于TKIP加密,只有加密方式为非CCMP时,该字段才被赋值 |
Key RSC |
此字段表示AP发送的组播报文或广播报文的个数,即AP每发送一个组播或广播报文该字段都会加1,与Key replay counter字段的防止重放攻击作用相同 |
Reserved |
保留字段 |
Key MIC |
表示EAPOL-Key报文MIC(Message Integrity Check,信息完整性校验)值 |
Key data length |
表示Key data字段长度 |
Key data |
该字段要存放AP和客户端进行交互的数据,例如:GTK、PMKID(Pairwise Master key identifier,成对主密钥标识符,供漫游所用)等 |
Key information字段格式如图1-5所示,各字段含义如表1-2所示。
字段 |
含义 |
Key Descriptor Version |
密钥版本位,长度为3比特,取值为1表示非CCMP密钥,取值为2表示CCMP密钥 |
Key Type |
密钥类型位,长度为1比特,取值为1表示在进行单播密钥协商,取值为0表示在进行组播密钥协商 |
Reserved |
保留位,长度为2比特,发送方将该位置为0,接收方忽略该值 |
Install |
安装密钥标记位,长度为1比特 · 若Key Type位为1: ¡ 安装密钥标记位为1,表示客户端进行TK密钥安装 ¡ 安装密钥标记位为0,表示客户端不进行TK密钥安装 · 若Key Type位为0: 则在发送方会将安装密钥标记位置为0,接收方忽略该位 |
Key Ack |
密钥确认位,长度为1比特,取值为1表示AP期待客户端回复应答报文 |
Key MIC |
信息完整性校验位,长度1比特,取值为1表示已经计算出MIC,并且将产生的MIC填充到EAPOL-Key报文的Key MIC字段中 |
Secure |
安全位,长度为1比特,取值为1表示密钥已产生 |
Error |
错误位,长度为1比特,取值为1表示客户端MIC校验失败;当且仅当Request位为1时,客户端才将该位置为1 |
Request |
请求位,长度为1比特,由MIC校验失败的客户端发起,用来请求AP发起四次握手或者组播握手 |
Encrypted Key Data |
加密密钥数据位,长度为1比特,取值为1表示Key data字段为加密数据 |
Reserved |
保留位,长度为3比特,发送方将该位置位0,接收方忽略该值 |
WPA是一种比WEP加密性能更强的安全机制。在802.11i协议完善前,采用WPA为用户提供一个临时性的WLAN安全增强解决方案。在WPA安全网络中,客户端和AP通过使用EAPOL-Key报文进行四次握手协商出PTK,通过使用EAPOL-Key报文进行二次组播握手协商出GTK。协商过程如图1-6所示。
图1-6 WPA密钥协商过程
(1) AP向客户端发送携带有随机数ANonce的第一个EAPOL-Key报文Message 1;
(2) 客户端接收到报文Message 1,使用AP端发送的随机数ANonce、客户端的随机数SNonce和身份认证产生的PMK通过密钥衍生算法生成PTK,并用PTK中的KCK产生MIC(Message Integrity Check,信息完整性校验),并将MIC填充到Message 2报文中,然后向AP发送携带SNonce和MIC的第二个EAPOL-Key报文Message 2;
(3) AP接收到报文Message 2,使用SNonce、ANonce和身份认证产生的PMK通过密钥衍生算法生成PTK,并用PTK中的KCK生成MIC,然后对Message 2报文做MIC校验,用AP端生成的MIC和报文中MIC进行比较,若两个MIC相同则说明MIC校验成功,否则校验失败。MIC校验成功后,AP向客户端发送携带通知客户端安装PTK标记和MIC的第三个EAPOL-Key报文Message 3;
(4) 客户端接收到报文Message 3,首先对报文进行MIC校验,校验成功后,安装单播密钥TK,然后向AP发送携带MIC的第四个EAPOL-Key报文Message 4;
(5) AP接收到报文Message 4,首先对报文进行MIC校验,若校验成功,则AP安装单播密钥TK,密钥安装成功后AP使用随机值GMK(Group Master Key,组播主密钥)和AP的MAC地址通过密钥衍生算法产生GTK,并向客户端发送携带MIC和GTK的第五个EAPOL-Key报文Group message 1;
(6) 客户端接收到Group message 1,首先对报文进行MIC校验,校验成功后安装组播密钥TK,并向AP发送携带MIC的第六个EAPOL-Key报文Group message 2;
(7) AP接收到Group message 2,首先对报文进行MIC校验,校验成功后安装组播密钥TK。
RSN是按照802.11i协议为用户提供的一种WLAN安全解决方案。在RSN网络中,客户端和AP通过使用EAPOL-Key类型报文进行四次握手协商出PTK和GTK。协商过程如图1-7所示。
图1-7 RSN密钥协商过程
(1) AP向客户端发送携带有随机数ANonce的第一个EAPOL-Key报文Message 1;
(2) 客户端接收到报文Message 1,使用AP端发送的随机数ANonce、客户端的随机数SNonce和身份认证产生的PMK通过密钥衍生算法生成PTK,并用PTK中的KCK产生MIC,并填充到Message 2报文中,然后向AP发送携带SNonce和MIC的第二个EAPOL-Key报文Message 2;
(3) AP接收到报文Message 2,使用SNonce、ANonce和身份认证产生的PMK通过密钥衍生算法生成PTK,并用PTK中的KCK生成MIC,然后对Message 2报文做MIC校验,用AP端生成的MIC和报文中MIC进行比较,两个MIC相同则说明MIC校验成功,否则失败。MIC校验成功后通过随机值GMK和AP的MAC地址通过密钥衍生算法产生GTK,并向客户端发送携带通知客户端安装密钥标记、MIC和GTK的第三个EAPOL-Key报文Message 3;
(4) 客户端接收到报文Message 3,首先对报文进行MIC校验,校验成功后客户端安装单播密钥TK和组播密钥TK,然后向AP发送携带MIC的第四个EAPOL-Key报文Message 4;
(5) AP接收到报文Message 4,首先对报文进行MIC校验,校验成功后安装密钥单播密钥TK和组播密钥TK。
如果客户端长时间使用一个密钥,或携带当前网络正在使用的组播密钥离线,此时网络被破坏的可能性很大,安全性就会大大降低。WLAN网络通过身份认证与密钥管理中的密钥更新机制来提高WLAN网络安全性。密钥更新包括PTK更新和GTK更新。
· PTK更新:PTK更新是对单播数据报文的加密密钥进行更新的一种安全手段,采用重新进行四次握手协商出新的PTK密钥的更新机制,来提高安全性。
· GTK更新:GTK更新是对组播数据报文的加密密钥进行更新的一种安全手段,采用重新进行两次组播握手协商出新的GTK密钥的更新机制,来提高安全性。
802.11i采用TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)和CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)两种加密机制来保护用户数据安全。
TKIP加密机制依然使用RC4算法,所以不需要升级原来无线设备的硬件,只需通过软件升级的方式就可以提高无线网络的安全性。相比WEP加密机制,TKIP有如下改进:
· 通过增长了算法的IV(Initialization Vector,初始化向量)长度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;
· 采用和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;
· 支持TKIP反制功能。当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击。当在一段时间内连续接收到两个MIC错误的报文,AP将会启动TKIP反制功能,此时,AP将通过关闭一段时间无线服务的方式,实现对无线网络攻击的防御。
CCMP加密机制使用AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法,CCMP使得无线网络安全有了极大的提高。CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会使用不同的PN,在一定程度上提高安全性。
当WLAN网络采用动态WEP安全机制时,链路层认证将协商为开放系统认证。
在Pre-RSNA安全机制的WEP加密机制中,由于连接同一BSS下的所有客户端都使用同一加密密钥和AP进行通信,一旦某个用户的密钥泄露,那么所有用户的数据都可能被窃听或篡改,因此802.11提供了动态WEP加密机制。
· 加密单播数据帧的WEP密钥是由客户端和认证服务器通过802.1X认证协商产生,保证了每个客户端使用不同的WEP单播密钥,从而提高了单播数据帧传输的安全性。
· 组播密钥是WEP密钥,若未配置WEP密钥,则AP使用随机算法产生组播密钥。
当客户端通过802.1X认证后,AP通过发送RC4 EAPOL-Key报文将组播密钥及密钥ID以及单播密钥的密钥ID(固定为4)分发给客户端。
保护管理帧功能通过保护无线网络中的管理帧来完善无线网络的安全性。802.11w保护的管理帧包括解除认证帧,解除关联帧和部分强壮Action帧。
· 对于单播管理帧,保护管理帧功能使用PTK对单播管理帧进行加密,保证单播管理帧的机密性、完整性以及提供重放保护。
· 对广播/组播管理帧,保护管理帧功能使用BIP(Broadcast Integrity Protocol,广播完整性协议)保证广播/组播管理帧的完整性以及提供重放保护,实现防止客户端受到仿冒AP的攻击。
当AP与客户端协商结果为使用保护管理帧功能时,AP将使用SA Query(Security Association Query,安全关联询问)机制增强客户端的安全连接。SA Query包括主动SA Query和被动SA Query。
在AP收到仿冒的关联/重关联请求帧的情况下,主动SA Query机制可以防止AP对客户端作出错误的响应。
当AP收到客户端的关联/重关联请求帧时,将发送关联/重关联响应帧,响应状态值为“关联/重关联临时被拒绝,稍后重连”,并携带通过pmf association-comeback命令指定关联返回时间,随后AP会触发SA Query过程。
AP向客户端发送SA Query请求帧,若AP在SA Query超时时间内收到客户端发送的SA Query响应帧,则AP认为该客户端在线,当关联返回时间超时后,再次收到客户端的关联/重关联请求帧时,则会再次触发SA Query过程。若AP在SA Query超时时间内未收到客户端的SA Query响应帧,将再次触发SA Query请求帧。若AP在SA Query重试次数内收到SA Query响应帧,则认为客户端在线,当关联返回时间超时后,再次收到客户端的关联/重关联请求帧时,则会再次触发SA Query过程。若AP在SA Query重试次数内未收到SA Query响应帧,则AP将认为客户端已经掉线,当再次收到该客户端的关联/重关联请求帧时,允许其重新接入。若在关联返回时间内,SA Query过程未完成,则当关联返回时间超时后,再次收到客户端的关联/重关联请求帧时,AP将发送关联/重关联响应帧,响应状态值为“关联/重关联临时被拒绝,稍后重连”,并携带通过pmf association-comeback命令指定的关联返回时间,但不重新触发SA Query过程。
图1-8 主动SA Query过程
在客户端收到未加密的解除关联/解除认证报文(失败码为6或7)的情况下,被动SA Query机制可以防止客户端异常下线。
当客户端收到一个未保护的解除关联帧或者解除认证帧,客户端会触发SA Query过程。客户端向AP发送SA Query请求帧,AP回复SA Query响应帧。客户端收到SA Query响应帧,判定AP在线,AP和客户端之间的连接处于正常状态,则客户端不对收到的解除关联/解除认证报文进行处理。若客户端未收到AP回复的SA Query相应帧,则客户端断开与AP的连接。
图1-9 被动SA Query过程
增强开放系统认证(Enhanced Open system authentication)是一种在开放型无线接入网络中为支持OWE协议(Opportunistic Wireless Encryption,机会性无线加密)的无线客户端提供数据加密的增强开放认证服务。使用此服务后,支持OWE协议的客户端接入网络时无需输入密码,设备与客户端会使用OWE协议自动协商出密钥,实现数据报文的加密。
增强开放系统认证的认证过程如图1-10所示:
(1) 无线客户端向AP发起认证请求。
(2) AP确定客户端可以通过无线链路认证,并向客户端回应认证结果为“成功”。
(3) 客户端和AP完成四次握手协商出加密密钥。
与用户安全相关的协议规范有:
· IEEE Standard for Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements-2004
· WI-FI Protected Access – Enhanced Security Implementation Based On IEEE P802.11i Standard-Aug 2004
· Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements—802.11, 1999
· IEEE Standard for Local and metropolitan area networks ”Port-Based Network Access Control” 802.1X™-2004
· 802.11i IEEE Standard for Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements
· 802.11w IEEE Standard for Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements
文中的AC指的是支持无线控制器功能的路由器。具体款型支持关系请参见“WLAN分册导读”。
Pre-RSNA安全机制配置任务如下:
(1) 配置加密套件
(2) 配置WEP密钥
(3) (可选)用户安全告警功能
RSNA安全机制配置任务如下:
(1) 配置身份认证与密钥管理模式
(2) 配置安全信息元素
(3) (可选)配置WPA3安全模式
(4) 配置加密套件
(5) (可选)配置PSK密钥
(6) (可选)配置密钥衍生算法
(7) (可选)配置GTK更新功能
(8) (可选)配置PTK更新功能
(9) (可选)配置TKIP反制时间
(10) (可选)配置WEP密钥
(11) (可选)配置保护管理帧功能
(12) (可选)开启密码错误限制功能
(13) (可选)配置PPSK功能
(14) (可选)配置增强开放系统认证服务
(15) (可选)用户安全告警功能
动态WEP加密机制配置任务如下:
(1) 开启动态WEP加密机制
(2) (可选)配置加密套件
(3) (可选)配置WEP密钥
(4) (可选)用户安全告警功能
身份认证与密钥管理模式和WLAN用户接入认证的关系如下:
· 当用户选择802.1X身份认证与密钥管理时,WLAN用户接入认证模式只能配置为802.1X模式;
· 当用户选择Private-PSK模式时,WLAN用户接入认证模式只能配置为MAC地址认证模式;
· 当身份认证与密钥管理为PSK模式时,WLAN用户接入认证模式只能使用Bypass认证或者MAC地址认证模式;
· 当用户选择Wi-Fi联盟匿名802.1X身份认证与密钥管理时,WLAN用户接入认证模式只能配置为802.1X模式。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置身份认证与密钥管理的模式。
akm mode { dot1x | private-psk | psk | anonymous-dot1x }
缺省情况下,未配置身份认证与密钥管理模式。
安全信息元素对应的是当前设备所支持的网络类型,OSEN、WPA或RSN。用户如何配置取决于客户端所支持的网络类型。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置安全信息元素。
security-ie { osen | rsn | wpa }
缺省情况下,信标和探查响应帧不携带WPA IE、RSN IE或OSEN IE。
WPA3安全模式应用模式有两种:WPA3-SAE个人网络和WPA3-Enterprise企业网络。
WPA3-SAE个人网络用SAE(Simultaneous Authentication of Equals,对等实体同时验证)取代了WPA2-Personal中采用的PSK,能够提供更可靠的基于密码的身份验证,因此可以更好地保护个人用户的安全。
WPA3-Enterprise企业网络以WPA2为基础,提供一种可选模式,该模式采用192位最低加密强度的安全协议和加密工具,并在WPA网络内设定了一致的安全基准,在整个网络内确保一致地应用安全协议。
开启WPA3安全模式时:
· 对于WPA3企业级:加密套件必须配置为GCMP,安全信息元素必须配置为RSN。
· 对于WPA3个人级:加密套件必须配置为CCMP,安全信息元素必须配置为RSN。
开启WPA3安全模式后,建议同时开启保护管理帧功能。
部分无线客户端通过WPA3企业级上线后,会出现短时间内无法从WPA3个人级上线的情况。如出现该情况,请尝试再次从WPA3个人上线即可。
请不要同时开启WPA3安全模式、快速BSS切换功能或增强开放系统认证服务,否则会导致无线服务模板使能失败。关于快速BSS切换功能的详细信息请参见“WLAN配置指导”中的“WLAN漫游”。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置WPA3安全模式。
wpa3 { enterprise | personal { mandatory | optional } }
缺省情况下,WPA3安全模式处于关闭状态。
加密套件是对数据加密和解密的方法。包括如下几类:
· WEP40/WEP104/WEP128
· CCMP
· TKIP
· GCMP
同时配置WEP40\WEP104和CCMP\GCMP\TKIP加密套件时,可能会导致某些无线客户端无法上线,因此不建议同时配置。
WEP128加密套件和CCMP、GCMP或TKIP不能同时配置。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置加密套件。
cipher-suite { ccmp | gcmp | tkip | wep40 | wep104 | wep128 }
缺省情况下,未配置加密套件。
当身份认证与密钥管理为PSK模式时,则必须配置PSK密钥。当身份认证与密钥管理为802.1X模式时,若配置PSK密钥,则无线服务模板可以使能,但本配置不会生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置PSK密钥。
preshared-key { pass-phrase | raw-key } { cipher | simple } string
缺省情况下,未配置PSK密钥。
当使用RSNA安全机制时,客户端和AP使用密钥衍生算法来产生PTK/GTK。目前支持的散列算法有两种,分别是SHA1和SHA256。SHA1使用HMAC-SHA1算法进行迭代计算产生密钥,SHA256使用HMAC-SHA256算法进行迭代计算产生密钥。SHA256安全散列算法的安全性比SHA1安全散列算法安全性高。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置密钥衍生算法。
key-derivation { sha1 | sha256 | sha1-and-sha256 }
缺省情况下,密钥衍生算法为sha1。
若配置了身份认证与密钥管理、安全信息元素、TKIP或CCMP加密套件,则系统将使用密钥协商来产生GTK,此时可以配置GTK更新,触发GTK更新的方式有如下三种:
· 基于时间,在指定时间间隔后更新GTK。
· 基于报文数,AP发送了指定数目的广播或组播数据报文后更新GTK。
· 客户端离线更新GTK,当BSS中有客户端下线时,该BSS会更新GTK。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启GTK更新功能。
gtk-rekey enable
缺省情况下,GTK更新功能处于开启状态。
(4) 配置GTK更新方法。请至少选择其中一项进行配置。
¡ 配置基于时间或数据包更新GTK。
gtk-rekey method { packet-based [ packet ] | time-based [ time ] }
缺省情况下,GTK更新采用基于时间的方法,时间间隔为86400秒。
如果配置GTK更新方法为基于数据包的更新方法,缺省值为10000000。
¡ 配置客户端离线更新GTK。
gtk-rekey client-offline enable
缺省情况下,客户端离线更新GTK功能关闭。
若配置了身份认证与密钥管理、安全信息元素、TKIP或CCMP加密套件,则系统将使用密钥协商来产生PTK,此时可以设置PTK的生存时间,表明在指定的时间间隔后更新PTK。
开启本功能后,请勿配置FT功能,否则本功能将失效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启PTK更新功能。
ptk-rekey enable
缺省情况下,PTK更新功能处于开启状态。
(4) 配置PTK的生存时间。
ptk-lifetime time
缺省情况下,PTK的生存时间为43200秒。
若配置了TKIP加密套件,TKIP可以通过配置反制时间的方式启动反制策略,来阻止黑客的攻击。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置TKIP反制时间。
tkip-cm-time time
缺省情况下,发起TKIP反制策略时间为0,即不启动反制策略。
若使用RSNA安全机制,且加密套件配置了WEP40/WEP104/WEP128和相对应长度的WEP密钥,则系统不会使用通过密钥协商产生的组播密钥为组播报文加密,而是选择安全性较弱的WEP的密钥作为组播密钥。
若使用Pre-RSNA安全机制,则客户端与AP将使用WEP密钥通过WEP加密方式对数据报文进行加密。
若使用动态WEP加密机制,则不能将WEP加密使用的密钥ID配置为4。
如果使用RSNA安全机制,密钥ID不能为1,需要配置其它密钥索引值。因为RSN和WPA协商的密钥ID将为1。
只有在配置了与密钥长度相对应的WEP加密套件时,指定ID的密钥才会生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置WEP密钥。
wep key key-id { wep40 | wep104 | wep128 } { pass-phrase | raw-key } { cipher | simple } string
缺省情况下,未配置WEP密钥。
(4) 配置WEP加密使用的密钥ID。
wep key-id { 1 | 2 | 3 | 4 }
缺省情况下,密钥ID为1。
当配置了多个密钥,可以通过配置密钥ID选择要使用的加密密钥。
配置保护管理帧功能有以下三种情况:
· 当保护管理帧功能关闭时,支持或不支持保护管理帧功能的客户端均可上线,但不对通信过程中的管理帧进行保护。
· 当保护管理帧功能为optional时,支持或不支持保护管理帧功能的客户端均可上线,但仅对支持保护管理帧功能上线客户端提供保护管理帧功能。
· 当保护管理帧为mandatory时,支持保护管理帧功能的客户端可上线,同时对通信过程中的管理帧进行保护,不支持保护管理帧功能的客户端无法上线。
要使用保护管理帧功能,必须使用802.11i安全机制,且加密套件必须配置为CCMP加密套件,安全信息元素必须配置为RSN。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启保护管理帧功能。
pmf { optional | mandatory }
缺省情况下,保护管理帧功能处于关闭状态。
(4) 配置AP发送SA Query超时时间。
pmf saquery retrytimeout timeout
缺省情况下,AP发送SA Query request帧的时间间隔为200毫秒。
(5) 配置AP发送SA Query request帧的最大重传次数。
pmf saquery retrycount count
缺省情况下,AP发送SA Query request帧的最大重传次数为4次。
(6) 配置保护管理帧的关联返回时间。
pmf association-comeback time
缺省情况下,保护管理帧的关联返回时间为1秒。
在开启动态WEP加密机制后:
· 若配置了WEP加密套件、加密套件对应的WEP密钥且指定了使用该WEP密钥的ID,则以配置的加密套件对单播和组播报文加密,WEP密钥作为组播密钥。客户端和认证服务器会协商与配置的WEP加密套件相对应的单播密钥。
· 若未配置WEP加密套件、WEP密钥及密钥ID,则使用加密套件WEP104对单播和组播报文进行加密,AP会随机生成长度为104比特的字符串作为组播密钥,并且组播密钥ID为1。系统会协商出WEP104密钥作为单播密钥。
WLAN用户接入认证模式必须配置为dot1x模式,动态WEP加密功能才会生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启动态WEP加密机制。
wep mode dynamic
缺省情况下,动态WEP加密机制处于关闭状态。
开启本功能后,在指定检测周期内密码校验失败次数达到指定上限时,客户端会被立即加入到动态黑名单中。有关动态黑名单的详细介绍请参见“WLAN配置指导”中的“WLAN接入”。
只有当身份认证与密钥管理模式为PSK或者Private-PSK时,密码错误限制功能才会生效。
本功能仅对在设备上进行关联的新接入的无线客户端生效。
当STMGR进程重启(例如:设备重启导致的STAMGR进程重启)后,本功能将对密码校验失败次数重新进行计数。
(1) 进入系统视图。
system-view
(2) 开启密码错误限制功能。
wlan password-failure-limit enable [ detection-period detection-period ] [ failure-threshold failure-threshold ]
缺省情况下,密码错误限制功能处于关闭状态。
通过云平台完成PPSK认证( Private Pre-Shared Key,私有预共享密钥)功能是指用户采用PSK(Private-PSK Key,预共享密钥)认证进行身份认证,通过云平台获取到的接入密码安全接入无线网络的功能。
开启通过云平台完成PPSK认证功能后,当无线用户接入认证模式为Bypass认证时,设备不对用户进行认证,用户通过云平台获取到的接入密码接入无线网络,当无线用户接入认证模式为MAC地址认证时,设备会对用户进行MAC地址认证,用户使用通过云平台获取到的接入密码接入无线网络。
本命令只能在无线服务模板处于关闭状态时配置。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启通过云平台完成PPSK认证功能。
private-psk cloud enable
缺省情况下,通过云平台完成PPSK认证功能处于关闭状态。
无线用户通过PPSK认证功能上线后,设备端会生成该无线用户的MAC地址与密码绑定关系,开启了PPSK无线用户逃生功能后:
· 当设备与云平台断开连接后,已通过云平台完成PPSK认证功能上线的无线用户可以继续在线;
· 如果无线用户的MAC地址与密码绑定关系还未老化,则通过云平台完成PPSK认证且上线的无线用户可以再次上线;
· 如果无线用户的MAC地址与密码还未绑定过,则持用密码但从未上线过的无线用户可以上线。
· 如果无线用户MAC地址与密码绑定关系老化后,设备会强制通过PPSK认证上线的无线用户下线。
本命令只能在无线服务模板处于关闭状态时配置。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启PPSK无线用户逃生功能。
private-psk fail-permit enable
缺省情况下,PPSK逃生功能处于开启状态。
开启增强开放系统认证服务后,支持OWE协议的客户端接入网络时无需输入密码,设备与客户端会使用OWE协议自动协商出密钥,实现数据报文的加密。
开启本功能的无线服务模板下的如下功能需要保持缺省状态:WPA3安全模式、FT功能、保护管理帧功能,安全IE、加密套件和密钥衍生算法。
开启本功能后,设备会自动完成如下设置:
· 安全IE配置为RSN。
· 加密套件配置为CCMP。
· 保护管理帧功能开启。
· 密钥衍生算法为sha256或sha384。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启增强开放系统认证服务。
enhanced-open enable
缺省情况下,增强开放系统认证服务处于关闭状态。
过渡模式是一种在同时配置了增强开放系统认证服务和开放系统认证服务的情况下,根据无线客户端的支持情况,推荐客户端选择接入增强开放系统认证服务或开放系统认证服务的模式。
指定过渡模式下推荐的无线服务后,支持OWE协议的无线客户端接入开放系统认证服务时,开放系统认证服务会推荐该无线客户端到配置的增强开放系统认证服务下接入。
若不指定过渡模式下推荐的无线服务,则当客户端在非对应服务上上线时,设备会拒绝其接入。
当网络中同时存在支持OWE协议和不支持OWE协议的无线客户端时,为了让客户端根据自身能力快速接入更合适的无线服务,建议指定过渡模式下推荐的无线服务。
本功能需要在开放系统认证服务的无线服务模板和增强开放系统认证服务的无线服务模板下同时配置。
互为过渡模式无线服务的两个无线服务模板需绑定在同一Radio下。
增强开放系统认证服务的无线服务模板下指定过渡模式下推荐的无线服务,需要开启SSID隐藏功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 指定过渡模式下推荐的无线服务。
enhanced-open transition-mode service-template service-template-name
缺省情况下,未指定过渡模式下推荐的无线服务。
多次执行本命令,最后一次执行的命令生效。
开启了告警功能之后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。(有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。)
(1) 进入系统视图。
system-view
(2) 开启用户安全的告警功能。
snmp-agent trap enable wlan usersec
缺省情况下,用户安全的告警功能处于关闭状态。
在完成上述配置后,在无线服务模版视图下执行display命令可以显示配置后的WLAN用户安全运行情况,通过查看显示信息验证配置效果。
display wlan service-template、display wlan client命令的详细介绍,请参见“WLAN命令参考”中的“WLAN接入”。
表1-3 WLAN用户安全显示和维护
操作 |
命令 |
显示客户端的信息 |
display wlan client [ ap ap-name [ radio radio-id ] | mac-address mac-address | service-template service-template-name ] [ verbose ] |
显示无线服务模板信息 |
display wlan service-template [ service-template-name ] [ verbose ] |
显示PPSK密码相关信息 |
display wlan private-psk cloud-password [ password-id ] [ verbose ] |
显示PPSK密码和无线用户MAC地址绑定关系 |
display wlan private-psk cloud-password mac-binding [ password-id ] |
如图1-11所示,AC旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。通过配置客户端在链路层使用WEP密钥12345接入无线网络。
(1) 创建无线服务模板
# 创建无线服务模板service1。
<AC> system-view
[AC] wlan service-template service1
# 配置无线服务的SSID为service。
[AC-wlan-st-service1] ssid service
(2) 配置WEP并使能无线服务模板
# 配置使用WEP40加密套件,配置密钥索引为2,使用明文的字符串12345作为共享密钥。
[AC-wlan-st-service1] cipher-suite wep40
[AC-wlan-st-service1] wep key 2 wep40 pass-phrase simple 12345
[AC-wlan-st-service1] wep key-id 2
# 使能无线服务模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(3) 将无线服务模板绑定到radio1上
# 创建手工AP,名称为ap1,并配置序列号。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 进入Radio 1视图。
[AC-wlan-ap-ap1] radio 1
# 将无线服务模板绑定到Radio 1上,并开启射频。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成后,在AC上执行display wlan service-template命令,可以看到无线服务模板下安全信息的配置情况如下:
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : Not configured
Security IE : Not configured
Cipher suite : WEP40
WEP key ID : 2
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
· 如图1-12所示,AC旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。通过配置客户端PSK密钥12345678接入无线网络。
· 客户端链路层认证使用开放式系统认证,用户接入认证使用Bypass认证的方式实现客户端可以不需要认证直接接入WLAN网络的目的。
· 通过配置客户端和AP之间的数据报文采用PSK身份认证与密钥管理模式来确保用户数据的传输安全。
图1-12 PSK+Bypass认证配置组网图
(1) 创建无线服务模板
# 创建无线服务模板service1。
<AC> system-view
[AC] wlan service-template service1
# 配置无线服务的SSID为service。
[AC-wlan-st-service1] ssid service
(2) 配置身份认证与密钥管理模式为PSK模式、加密套件为CCMP、安全信息元素为WPA并使能无线服务模板
# 配置AKM为PSK,配置PSK密钥,使用明文的字符串12345678作为共享密钥。
[AC-wlan-st-service1] akm mode psk
[AC-wlan-st-service1] preshared-key pass-phrase simple 12345678
# 配置CCMP为加密套件,配置WPA为安全信息元素。
[AC-wlan-st-service1] cipher-suite ccmp
[AC-wlan-st-service1] security-ie wpa
# 使能无线服务模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(3) 进入AP视图并将无线服务模板绑定到radio1上
# 创建手工AP,名称为ap1,并配置序列号。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 进入Radio 1视图。
[AC-wlan-ap-ap1] radio 1
# 将无线服务模板绑定到Radio 1上,并开启射频。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成后,在AC上执行display wlan service-template命令,可以看到无线服务模板的配置情况如下。
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : PSK
Security IE : WPA
Cipher suite : CCMP
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
· 如图1-13所示,AC旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。通过配置客户端PSK密钥12345678接入无线网络。
· 客户端链路层认证使用开放式系统认证,客户端通过RADIUS服务器进行MAC地址认证的方式,实现客户端可使用固定用户名abc和密码123接入WLAN网络的目的。
· 通过配置客户端和AP之间的数据报文采用PSK认证密钥管理模式来确保用户数据的传输安全。
图1-13 PSK密钥管理模式和MAC认证配置组网图
· 下述配置中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍,请参见“安全命令参考”中的“AAA”。
· 确保RADIUS服务器与AC路由可达,并成功添加了用户账户,用户名为abc,密码为123。
(1) 创建无线服务模板
# 创建无线服务模板service1。
<AC> system-view
[AC] wlan service-template service1
# 配置无线服务的SSID为service。
[AC-wlan-st-service1] ssid service
(2) 配置身份认证与密钥管理为PSK模式、加密套件为CCMP、安全信息元素为WPA
# 配置AKM为PSK,配置PSK密钥,使用明文的字符串12345678作为共享密钥。
[AC-wlan-st-service1] akm mode psk
[AC-wlan-st-service1] preshared-key pass-phrase simple 12345678
# 配置CCMP为加密套件,配置WPA为安全信息元素。
[AC-wlan-st-service1] cipher-suite ccmp
[AC-wlan-st-service1] security-ie wpa
(3) 配置用户接入认证模式并使能无线服务模板
# 配置用户接入方式为MAC地址认证。
[AC-wlan-st-service1] client-security authentication-mode mac
# 配置使能无线服务模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(4) 创建RADIUS方案
# 创建RADIUS方案radius1并进入其视图。
[AC] radius scheme radius1
# 配置主认证/计费RADIUS服务器的IP地址为10.1.1.3,服务器的UDP端口号为1812和1813。
[AC-radius-radius1] primary authentication 10.1.1.3 1812
[AC-radius-radius1] primary accounting 10.1.1.3 1813
# 配置AC与认证/计费RADIUS服务器交互报文时的共享密钥为12345678。
[AC-radius-radius1] key authentication simple 12345678
[AC-radius-radius1] key accounting simple 12345678
# 配置发送给RADIUS服务器的用户名不携带域名。
[AC-radius-radius1] user-name-format without-domain
[AC-radius-radius1] quit
发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名、以及服务器端的配置有关:
· 若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);
· 若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。
(5) 配置使用RADIUS方案进行认证、授权、计费
# 创建认证域(ISP域)dom1并进入其视图。
[AC] domain dom1
# 配置MAC用户使用RADIUS方案radius1进行认证、授权、计费。
[AC-isp-dom1] authentication lan-access radius-scheme radius1
[AC-isp-dom1] authorization lan-access radius-scheme radius1
[AC-isp-dom1] accounting lan-access radius-scheme radius1
[AC-isp-dom1] quit
(6) 配置MAC地址认证域及用户名和密码
# 配置认证域为dom1,用户名为abc,密码为明文字符串123。
[AC] mac-authentication domain dom1
[AC] mac-authentication user-name-format fixed account abc password simple 123
(7) 将无线服务模板绑定到radio1上
# 创建手工AP,名称为ap1,并配置序列号。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 进入Radio 1视图。
[AC-wlan-ap-ap1] radio 1
# 将无线服务模板绑定到Radio 1上,并开启射频。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成后,在AC上执行display wlan service-template命令,可以看到无线服务模板的配置情况如下。
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : PSK
Security IE : WPA
Cipher suite : CCMP
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : MAC
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
· 如图1-14所示,AC旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。
· 客户端链路层认证使用开放式系统认证,客户端通过802.1X接入认证的方式实现客户端可使用用户名abcdef和密码123456接入WLAN网络的目的。
· 通过配置客户端和AP之间的数据报文采用802.1X身份认证与密钥管理来确保用户数据的传输安全。
图1-14 802.1X认证配置组网图
· 下述配置中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍,请参见“安全命令参考”中的“AAA”。
· 完成802.1X客户端的配置。
· 完成RADIUS服务器的配置,添加用户账户,用户名为abcdef,密码为123456。
(1) 配置802.1X
# 配置802.1X认证方法为EAP中继方式。
<AC> system-view
[AC] dot1x
[AC] dot1x authentication-method eap
(2) 创建无线服务模板
# 创建无线服务模板service1。
[AC] wlan service-template service1
# 配置无线服务的SSID为service。
[AC-wlan-st-service1] ssid service
(3) 配置AKM、加密套件及安全信息元素
# 配置AKM为802.1X。
[AC-wlan-st-service1] akm mode dot1x
# 配置CCMP为加密套件,配置WPA为安全信息元素。
[AC-wlan-st-service1] cipher-suite ccmp
[AC-wlan-st-service1] security-ie wpa
(4) 配置用户接入认证模式并使能无线服务模板
# 配置用户接入方式为802.1X认证。
[AC-wlan-st-service1] client-security authentication-mode dot1x
# 配置使能无线服务模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(5) 创建RADIUS方案
# 创建RADIUS方案radius1并进入其视图。
[AC] radius scheme radius1
# 配置主认证/计费RADIUS服务器的IP地址为10.1.1.3,配置主认证/计费RADIUS服务器的端口号为1812/1813。
[AC-radius-radius1] primary authentication 10.1.1.3 1812
[AC-radius-radius1] primary accounting 10.1.1.3 1813
# 配置AC与认证/计费RADIUS服务器交互报文时的共享密钥为明文字符串12345。
[AC-radius-radius1] key authentication simple 12345
[AC-radius-radius1] key accounting simple 12345
# 配置发送给RADIUS服务器的用户名不携带域名。
[AC-radius-radius1] user-name-format without-domain
[AC-radius-radius1] quit
发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名、以及服务器端的配置有关:
· 若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);
· 若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。
(6) 创建认证域并配置RADIUS方案
# 创建认证域(ISP域)dom1并进入其视图。
[AC] domain dom1
# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费。
[AC-isp-dom1] authentication lan-access radius-scheme radius1
[AC-isp-dom1] authorization lan-access radius-scheme radius1
[AC-isp-dom1] accounting lan-access radius-scheme radius1
[AC-isp-dom1] quit
# 配置使用dom1认证域为默认域。
[AC] domain default enable dom1
(7) 进入AP视图并将无线服务模板绑定到radio1上
# 创建手工AP,名称为ap1,并配置序列号。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 进入Radio 1视图。
[AC-wlan-ap-ap1] radio 1
# 将无线服务模板绑定到Radio 1上,并开启射频。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成后,在AC上执行display wlan service-template命令,可以看到无线服务模板的配置情况如下。
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : dot1x
Security IE : WPA
Cipher suite : CCMP
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : 802.1X
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
· 如图1-15所示,AC与Switch连接,Switch同时作为DHCP server为AP和客户端分配IP地址。通过配置客户端PSK密钥12345678接入无线网络。
· 通过配置客户端和AP之间的加密套件为CCMP、安全IE为RSN和保护管理帧功能来确保无线网络的安全。
(1) 创建无线服务模板
# 创建无线服务模板service1。
<AC> system-view
[AC] wlan service-template service1
# 配置无线服务模板的SSID为service。
[AC-wlan-st-service1] ssid service
(2) 配置保护管理帧功能
# 开启optional模式的保护管理帧功能。
[AC-wlan-st-service1] pmf optional
# 配置密钥衍生类型为sha1-and-sha256。
[AC-wlan-st-service1] key-derivation sha1-and-sha256
(3) 配置使用RSNA安全机制,并使用PSK身份认证密钥管理模式、CCMP加密套件、RSN安全信息元素
# 配置AKM为PSK,配置PSK密钥为明文的字符串12345678。
[AC-wlan-st-service1] akm mode psk
[AC-wlan-st-service1] preshared-key pass-phrase simple 12345678
# 配置加密套件为CCMP,配置安全信息元素RSN。
[AC-wlan-st-service1] cipher-suite ccmp
[AC-wlan-st-service1] security-ie rsn
# 使能无线服务模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(4) 将无线服务模板绑定到radio1上
# 创建手工AP,名称为ap1,并配置序列号。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454
# 进入Radio 1视图。
[AC-wlan-ap-ap1] radio 1
# 将无线服务模板绑定到Radio 1上,并开启射频。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成后,在AC上执行display wlan service-template命令,可以看到服务模板的配置情况如下。
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : PSK
Security IE : RSN
Cipher suite : CCMP
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accoutiong fail mode : Online
Authorization : Permitted
Key derivation : SHA1-AND-SHA256
PMF status : Optional
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
# 当有客户端上线时,在AC上执行display wlan client verbose命令,可以看到保护管理帧协商结果如下。
<AC> display wlan client verbose
Total number of clients: 1
MAC address : 5250-0012-0411
IPv4 address : 135.3.2.1
IPv6 address : N/A
Username : 11w
AID : 1
AP ID : 1
AP name : ap1
Radio ID : 1
Channel : 36
SSID : service
BSSID : aabb-ccdd-eeff
VLAN ID : 1
Sleep count : 147
Wireless mode : 802.11a
Channel bandwidth : 20MHz
SM power save : Disabled
Short GI for 20MHz : Not supported
Short GI for 40MHz : Not supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Beamformee STS capability : N/A
Number of Sounding Dimensions : N/A
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
Support HT-MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15
Supported rates : 1, 2, 5.5, 6, 9, 11,
12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 46
Rx/Tx rate : 39/65
Authentication method : Open system
Security mode : RSN
AKM mode : PSK
Cipher suite : CCMP
User authentication mode : Bypass
WPA3 status : Disabled
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : Enabled
Forwarding policy name : N/A
Online time : 0days 0hours 2minutes 56seconds
FT status : Inactive
· 如图1-16所示,AC旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。
· 客户端链路层认证使用开放式系统认证,客户端通过802.1X接入认证的方式实现客户端可使用用户名abcdef和密码123456接入WLAN网络的目的。
· 通过配置客户端和AP之间的数据报文采用802.1X接入认证与动态WEP确保用户数据的传输安全。
图1-16 动态WEP配置组网图
· 下述配置中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍,请参见“安全命令参考”中的“AAA”。
· 完成802.1X客户端的配置。
· 完成RADIUS服务器的配置,添加用户账户,用户名为abcdef,密码为123456。
(1) 创建无线服务模板
# 创建无线服务模板service1。
<AC> system-view
[AC] wlan service-template service1
# 配置无线服务的SSID为service。
[AC-wlan-st-service1] ssid service
(2) 配置动态WEP方式加密
# 配置WEP为dynamic。
[AC-wlan-st-service1] wep mode dynamic
(3) 配置用户接入认证模式并使能无线服务模板
# 配置用户接入方式为802.1X认证。
[AC-wlan-st-service1] client-security authentication-mode dot1x
# 配置使能无线服务模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(4) 创建RADIUS方案
# 创建RADIUS方案radius1并进入其视图。
[AC] radius scheme radius1
# 配置主认证/计费RADIUS服务器的IP地址为10.1.1.3,配置主认证/计费RADIUS服务器的端口号为1812/1813。
[AC-radius-radius1] primary authentication 10.1.1.3 1812
[AC-radius-radius1] primary accounting 10.1.1.3 1813
# 配置AC与认证/计费RADIUS服务器交互报文时的共享密钥为明文字符串12345。
[AC-radius-radius1] key authentication simple 12345
[AC-radius-radius1] key accounting simple 12345
# 配置发送给RADIUS服务器的用户名不携带域名。
[AC-radius-radius1] user-name-format without-domain
[AC-radius-radius1] quit
发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名以及服务器端的配置有关:
· 若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);
· 若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。
(5) 配置RADIUS方案
# 创建认证域(ISP域)dom1并进入其视图。
[AC] domain dom1
# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费。
[AC-isp-dom1] authentication lan-access radius-scheme radius1
[AC-isp-dom1] authorization lan-access radius-scheme radius1
[AC-isp-dom1] accounting lan-access radius-scheme radius1
[AC-isp-dom1] quit
# 配置使用dom1认证域为默认域。
[AC] domain default enable dom1
(6) 进入AP视图并将无线服务模板绑定到Radio1接口
# 创建手工AP,名称为ap1,并配置序列号。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 进入Radio 1视图。
[AC-wlan-ap-ap1] radio 1
# 将无线服务模板绑定到Radio 1上,并开启射频。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成后,在AC上执行display wlan service-template命令,可以看到无线服务模板的配置情况如下。
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : Not configured
Security IE : Not configured
Cipher suite : WEP104
WEP key ID : 1
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : 802.1X
Intrusionprotection : Disabled
Intrusionprotection mode : Temporary-block
Temporary block time : 180 sec
Temporaryservicestop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
· 如图1-17所示,AC旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。配置客户端使用MAC地址作为PSK密钥接入无线网络。
· 客户端通过RADIUS服务器进行MAC地址认证,使用MAC地址作为用户名和密码接入WLAN。
· 使用Private-PSK身份认证与密钥管理模式来保证用户数据的传输安全。
图1-17 Private-PSK密钥管理模式和MAC认证配置组网图
· 下述配置中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍,请参见“安全命令参考”中的“AAA”。
· 确保RADIUS服务器与AC路由可达,并成功添加了用户账户,用户名为00-23-12-45-67-7a,密码为00-23-12-45-67-7a。
(1) 创建无线服务模板
# 创建无线服务模板service1。
<AC> system-view
[AC] wlan service-template service1
# 配置无线服务的SSID为service。
[AC-wlan-st-service1] ssid service
(2) 配置安全信息
# 配置AKM为Private-PSK。
[AC-wlan-st-service1] akm mode private-psk
[AC-wlan-st-service1]
# 配置CCMP为加密套件,配置WPA为安全信息元素。
[AC-wlan-st-service1] cipher-suite ccmp
[AC-wlan-st-service1] security-ie wpa
(3) 配置用户接入认证模式并使能无线服务模板
# 配置用户接入方式为MAC地址认证。
[AC-wlan-st-service1] client-security authentication-mode mac
# 使能无线服务模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(4) 创建RADIUS方案
# 创建RADIUS方案radius1并进入其视图。
[AC] radius scheme radius1
# 配置主认证/计费RADIUS服务器的IP地址为10.1.1.3,服务器的UDP端口号为1812和1813。
[AC-radius-radius1] primary authentication 10.1.1.3 1812
[AC-radius-radius1] primary accounting 10.1.1.3 1813
# 配置AC与认证/计费RADIUS服务器交互报文时的共享密钥为12345678。
[AC-radius-radius1] key authentication simple 12345678
[AC-radius-radius1] key accounting simple 12345678
# 配置发送给RADIUS服务器的用户名不携带域名。
[AC-radius-radius1] user-name-format without-domain
[AC-radius-radius1] quit
发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名、以及服务器端的配置有关:
· 若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则设备上指定不携带用户名(without-domain);
· 若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。
(5) 配置使用RADIUS方案进行认证、授权、计费
# 创建认证域(ISP域)dom1并进入其视图。
[AC] domain dom1
# 配置MAC地址认证用户使用RADIUS方案radius1进行认证、授权、计费。
[AC-isp-dom1] authentication lan-access radius-scheme radius1
[AC-isp-dom1] authorization lan-access radius-scheme radius1
[AC-isp-dom1] accounting lan-access radius-scheme radius1
[AC-isp-dom1] quit
(6) 配置MAC地址认证域及用户名和密码
# 配置认证域为dom1,使用MAC地址作为用户名和密码。
[AC] mac-authentication domain dom1
[AC] mac-authentication user-name-format mac-address with-hyphen lowercase
(7) 将无线服务模板绑定到radio1上
# 创建手工AP,名称为ap1,并配置序列号。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 进入Radio 1视图。
[AC-wlan-ap-ap1] radio 1
# 将无线服务模板绑定到Radio 1上,并开启射频。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成后,在AC上执行display wlan service-template命令,可以看到无线服务模板的配置情况如下。
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : Private-PSK
Security IE : WPA
Cipher suite : CCMP
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : MAC
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!