04-WLAN安全配置
本章节下载: 04-WLAN安全配置 (531.72 KB)
目 录
l 不同型号产品的特性功能支持情况略有不同,详细请参见 “特性差异化列表”部分的介绍。
l 设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
l 设备支持的射频类型取决于设备的型号,使用中请以设备实际情况为准。
l 本手册中所述的AP设备可以指代一般意义下的AP设备和无线网桥、无线Mesh设备。
802.11协议提供的无线安全性能可以很好地抵御一般性网络攻击,但是仍有少数黑客能够入侵无线网络,从而无法充分保护包含敏感数据的网络。为了更好的防止未授权用户接入网络,需要实施一种性能高于802.11的高级安全机制。
为了保证无线链路的安全,AP需要完成对客户端的认证,只有通过认证后才能进入后续的关联阶段。802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
(1) 开放系统认证(Open system authentication)
开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。开放系统认证包括两个步骤:第一步是无线客户端发起认证请求,第二步AP确定无线客户端是否通过无线链路认证,并无线客户端回应认证结果为“成功”。
图1-1 开放系统认证过程
(2) 共享密钥认证(Shared key authentication)
共享密钥认证是除开放系统认证以外的另外一种链路认证机制。共享密钥认证需要客户端和设备端配置相同的共享密钥。
共享密钥认证的认证过程为:客户端先向设备发送认证请求,无线设备端会随机产生一个Challenge包(即一个字符串)发送给客户端;客户端会将接收到Challenge加密后再发送给无线设备端;无线设备端接收到该消息后,对该消息解密,然后对解密后的字符串和原始字符串进行比较。如果相同,则说明客户端通过了Shared Key链路认证;否则Shared Key链路认证失败。
图1-2 共享密钥认证过程
相对于有线网络,WLAN存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其他所有设备的数据,这个特性直接威胁到WLAN接入数据的安全。
802.11协议也在致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护。目前支持四种安全服务。
(1) 明文数据
该种服务本质上为无安全保护的WLAN服务,所有的数据报文都没有通过加密处理。
(2) WEP加密
WEP(Wired Equivalent Privacy,有线等效加密)用来保护无线局域网中的授权用户所交换的数据的机密性,防止这些数据被随机窃听。WEP使用RC4加密算法实现数据报文的加密保护,根据WEP密钥的生成方式,WEP加密分为静态WEP加密和动态WEP加密。
l 静态WEP加密:
静态WEP加密要求手工指定WEP密钥,接入同一SSID下的所有客户端使用相同的WEP密钥。如果WEP密钥被破解或泄漏,攻击者就能获取所有密文。因此静态WEP加密存在比较大的安全隐患。并且手工定期更新WEP密钥会给网络管理员带来很大的设备管理负担。
l 动态WEP加密:
动态WEP加密的自动密钥管理机制对原有的静态WEP加密进行了较大的改善。在动态WEP加密机制中,用来加密单播数据帧的WEP密钥并不是手工指定的,而是由客户端和服务器通过802.1x协议协商产生,这样每个客户端协商出来的的WEP单播密钥都是不同的,提高了单播数据帧传输的安全性。
虽然WEP加密在一定程度上提供了安全性和保密性,增加了网络侦听,会话截获等的攻击难度,但是受到RC4加密算法、过短的初始向量等限制,WEP加密还是存在比较大的安全隐患。
(3) TKIP加密
虽然TKIP加密机制和WEP加密机制都是使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN提供更加安全的保护。
首先,TKIP通过增长了算法的IV(初始化向量)长度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;
其次,虽然TKIP采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;
另外,TKIP还支持了MIC认证(Message Integrity Check,信息完整性校验)和Countermeasure功能。当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击。当在一段时间内连续接收到两个出现MIC错误的报文,AP将会启动Countermeasure功能,此时,AP将通过静默一段时间不提供服务,实现对无线网络的攻击防御。
(4) CCMP加密
CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制是基于AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法。CCM结合CTR(Counter mode,计数器模式)进行机密性校验,同时结合CBC-MAC(区块密码锁链-信息真实性检查码)进行认证和完整性校验。CCMP中的AES块加密算法使用128位的密钥和128位的块大小。同样CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文报文都会是用不同的PN,在一定程度上提高安全性。
当无线终端成功和AP建立无线链路,可以认为无线终端成功接入到无线网络,但是为了无线网络的安全和管理,无线接入用户只有通过后面的接入认证后才可能真正访问网络资源。其中PSK(Preshared Key,预共享密钥)认证和802.1X认证伴随着无线链路的动态密钥协商和管理,所以和无线链路协商关系比较密切,而且它的认证和无线链路本身没有直接关系。
(1) PSK认证
WPA和WPA2无线接入都支持PSK认证,无线客户端接入无线网络前,需要配置和AP设备相同的预共享密钥,如果密钥相同,PSK接入认证成功;如果密钥不同,PSK接入认证失败。
(2) 802.1X认证
802.1X协议是一种基于端口的网络接入控制协议(Port Based Network Access Control Protocol)。“基于端口的网络接入控制”是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源。
(3) MAC接入认证
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。在WLAN网络应用中,MAC认证需要预先获知可以访问无线网络的终端设备MAC地址,所以一般适用于用户比较固定的、小型的无线网络,例如家庭、小型办公室等环境
l IEEE Standard for Information technology— Telecommunications and information exchange between systems— Local and metropolitan area networks— Specific requirements -2004
l WI-FI Protected Access – Enhanced Security Implementation Based On IEEE P802.11i Standard-Aug 2004
l Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements—802.11, 1999
l IEEE Standard for Local and metropolitan area networks ”Port-Based Network Access Control” 802.1X™- 2004
在服务模板上配置WLAN安全属性,将服务模板映射到WLAN射频,并在服务模板中配置SSID名、通告设置(信标发送)和加密设置。可以配置SSID支持WPA、RSN和非WPA客户端的组合。
表1-1 WLAN安全属性配置任务
配置任务 |
说明 |
详细配置 |
使能认证方式 |
必选 |
|
配置PTK生存时间 |
必选 |
|
配置GTK密钥更新方法 |
必选 |
|
配置安全信息元素 |
必选 |
|
配置加密套件 |
必选 |
|
配置端口安全 |
必选 |
开放系统方式和共享密钥方式可以单独使用,也可以同时使用。
表1-2 使能认证方式
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
必选 |
使能认证方式 |
authentication-method { open-system | shared-key } |
可选 缺省情况下,使用open-system认证方式 需要注意的是: l 只有在使用WEP加密时才可选用shared-key认证机制,此时必须配置命令authentication-method shared-key l 对于RSN和WPA,开放系统认证方式要求必须配置,共享密钥认证方式不作要求 |
PTK密钥通过四次握手方式生成,需要用到如下属性:PMK(Pairwise Master Key,成对主密钥),AP随机值(ANonce),站点随机值(SNonce),AP的MAC地址和客户端的MAC地址。
用户可以通过下面的操作来设置PTK的生存时间。
表1-3 配置PTK生存时间
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
设置PTK生存时间 |
ptk-lifetime time |
可选 缺省情况下,PTK生存时间为43200秒 |
GTK由FAT AP生成,在AP和客户端认证处理的过程中通过组密钥握手或者四次握手的方式发送到客户端。客户端使用GTK来解密组播和广播报文。RSN可以通过四次握手或者组密钥握手方式来协商GTK,而WPA只使用组密钥握手方式来协商GTK。
用户可以使能基于时间或基于数据包的GTK密钥更新方法。前者在指定时间间隔后更新GTK,后者在发送了指定数目的广播数据包后更新GTK。用户也可以配置当客户端离线时更新GTK,只有执行了gtk-rekey enable命令,此功能才有效。
表1-4 配置基于时间的更新方法
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
使能GTK更新功能 |
gtk-rekey enable |
必选 缺省情况下,启动GTK更新功能 |
配置基于时间的GTK密钥更新方法 |
gtk-rekey method time-based time |
必选 缺省情况下,密钥更新时间间隔为86400秒 |
配置当有客户端离线时更新GTK |
gtk-rekey client-offline enable |
必选 缺省情况下,当有客户端离线时,不更新GTK |
表1-5 配置基于数据包的密钥更新方法
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
使能GTK更新功能 |
gtk-rekey enable |
必选 缺省情况下,启动GTK更新功能 |
配置基于数据包的GTK更新方法 |
gtk-rekey method packet-based [ packet ] |
必选 缺省情况下,在发送了10000000个数据包后更新GTK密钥 |
配置当有客户端离线时更新GTK密钥 |
gtk-rekey client-offline enable |
可选 缺省情况下,当有客户端离线时,不更新GTK |
l 缺省情况下,GTK更新采用基于时间的更新方法,时间间隔为86400秒。
l 新配置的更新方法会覆盖前一次的配置。例如,如果先配置了基于数据包的更新然后又配置了基于时间的配置方法,则基于时间的配置将会生效。
安全信息元素的配置包括WPA和RSN的配置,这两种方式都必须启用开放系统认证。
在进行PTK(Pairwise Transient Key,成对临时密钥)和GTK(Group Temporal Key,群组临时密钥)协商时请关闭802.1X在线用户握手功能。
WPA(Wi-Fi Protected Access,Wi-Fi保护访问)是一种比WEP性能更强的无线安全方案。WPA工作在WPA-PSK模式(又称Personal模式)或者WPA-802.1X模式(又称WPA-Enterprise模式)下。PSK(Preshared Key,预共享密钥)模式下使用预共享密钥或者口令进行认证,而企业模式使用802.1X RADIUS服务器和EAP(Extensible Authentication Protocol,可扩展认证协议)进行认证。
表1-6 配置WPA信息元素
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
必选 |
使能安全信息元素 |
security-ie wpa |
必选 |
RSN是一种仅允许建立RSNA(Robust Security Network Association,健壮安全网络连接)的安全网络,提供比WEP和WPA更强的安全性。RSN通过信标帧的RSN IE(Information Element,信息元素)中的指示来标识。
表1-7 配置安全信息元素
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
必选 |
使能安全信息元素 |
security-ie rsn |
必选 |
加密套件通常用于数据封装和解封装。加密套件使用如下加密方法:
l WEP40/WEP104/WEP128
l TKIP
l CCMP
使用crypto类型的服务模板配置WEP、TKIP和CCMP。
(1) 配置静态WEP加密
WEP加密机制需要WLAN设备端以及所有接入到该WLAN网络的客户端配置相同的密钥。WEP加密机制采用RC4算法(一种流加密算法),支持WEP40、WEP104和WEP128三种密钥长度。
WEP加密方式可以分别和open-system、shared-key认证方式配合使用。
l 采用open-system:此时WEP密钥只做加密,即使密钥配的不一致,用户也是可以上线,但上线后传输的数据会因为密钥不一致被接收端丢弃。
l 采用shared-key:此时WEP密钥做认证和加密,如果密钥不一致,客户端无法上线。
表1-8 配置静态WEP加密
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
使能加密套件 |
cipher-suite { wep40 | wep104 | wep128 } |
必选 |
配置WEP缺省密钥 |
wep default-key { 1 | 2 | 3 | 4 } { wep40 | wep104 | wep128 } { pass-phrase | raw-key } [ cipher | simple ] key |
必选 缺省情况下,没有配置WEP缺省密钥 |
配置密钥索引号 |
wep key-id { 1 | 2 | 3 | 4 } |
必选 缺省情况下,密钥索引号为1 |
(2) 配置动态WEP加密
表1-9 配置动态WEP加密
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
配置动态WEP加密 |
wep mode dynamic |
必选 缺省情况下,使用静态WEP密钥方式 需要注意的是,动态WEP加密必须和802.1x认证方式一起使用 |
使能加密套件 |
cipher-suite { wep40 | wep104 | wep128 } * |
可选 配置动态WEP加密后,设备会自动使用WEP 104加密方式,用户可以通过cipher-suite命令修改WEP加密方式为其他方式 |
配置WEP缺省密钥 |
wep default-key { 1 | 2 | 3 | 4 } { wep40 | wep104 | wep128 } { pass-phrase | raw-key } key |
可选 缺省情况下,没有配置WEP缺省密钥 如果配置了WEP缺省密钥,则该WEP密钥作为组播密钥,用来加密组播数据帧,如果不配置此参数,则由设备随机生成组播密钥 |
配置密钥索引号 |
wep key-id { 1 | 2 | 3 } |
可选 缺省情况下,密钥索引号为1 配置动态WEP加密后,wep key-id不能配置为4 |
表1-10 配置TKIP
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
必选 |
使能加密套件 |
cipher-suite tkip |
必选 |
配置TKIP反制策略时间 |
tkip-cm-time time |
可选 缺省情况下,TKIP反制策略时间为0秒 |
MIC(Message Integrity Check,信息完整性校验)是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,TKIP会启动反制策略时间,来阻止黑客的攻击。
CCMP加密机制采用了更安全的对称加密算法AES。
表1-11 配置CCMP
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
必选 |
使能加密套件 |
cipher-suite ccmp |
必选 |
端口安全配置包括认证类型配置和AAA服务器的配置。认证类型可以配置的方式举例如下:
l PSK
l 802.1X
l MAC
l PSK和MAC
在配置端口安全之前,完成以下任务:
(1) 创建无线端口
(2) 全局使能端口安全
(1) PSK认证
表1-12 配置PSK认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-BSS接口视图 |
interface wlan-bss interface-number |
必选 |
使能密钥协商功能 |
port-security tx-key-type 11key |
必选 缺省情况下,没有使能11key协商功能 |
配置密钥 |
port-security preshared-key { pass-phrase | raw-key } key |
必选 缺省情况下,没有配置密钥 |
配置PSK端口安全模式 |
port-security port-mode psk |
必选 |
(2) 802.1X认证
表1-13 配置802.1X认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-BSS接口视图 |
interface wlan-bss interface-number |
必选 |
使能密钥协商功能 |
port-security tx-key-type 11key |
必选 缺省情况下,没有使能11key协商功能 |
配置802.1X端口安全模式 |
port-security port-mode userlogin-secure-ext |
必选 |
(3) MAC认证
表1-14 配置MAC认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-BSS接口 |
interface wlan-bss interface-number |
- |
配置MAC端口安全模式 |
port-security port-mode mac-authentication |
必选 |
802.11i的相关配置不支持MAC认证模式。
(4) PSK和MAC认证
表1-15 配置PSK和MAC认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-BSS接口视图 |
interface wlan-bss interface-number |
- |
使能密钥协商功能 |
port-security tx-key-type 11key |
必选 缺省情况下,没有使能11key协商功能 |
配置PSK和MAC端口安全模式 |
port-security port-mode mac-and-psk |
必选 |
配置PSK的预共享密钥 |
port-security preshared-key { pass-phrase | raw-key } key |
必选 如果密钥类型为字符串,长度应为8~63个字符;如果密钥类型为十六进制数,密钥应为64位(由数字0~9,字母a~f组成)十六进制数 |
端口安全相关命令请参见“安全命令参考”中的“端口安全”。
WAPI是一种仅允许建立RSNA(Robust Security Network Association,健壮安全网络连接)的安全网络,提供比WEP和WPA更强的安全性。WAPI可通过信标帧的WAPI IE(Information Element,信息元素)中的指示来标识。WAPI工作在WAPI-PSK模式或者WAPI-CERT模式。PSK模式使用预共享密钥或者口令进行认证,而企业模式则使用AS服务器进行认证。WAPI默认支持WPISMS4加密机制。
表1-16 配置WAPI
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number wapi |
- |
WAPI相关配置请参见“WAPI配置”。
完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN安全的运行情况,通过查看显示信息验证配置的效果。
表1-17 配置WLAN安全显示和维护
操作 |
命令 |
查看指定的服务模板的信息 |
display wlan service-template [ service-template-number ] |
显示全局或指定端口的MAC地址认证信息 |
display mac-authentication [ interface interface-list ] |
显示安全MAC地址信息 |
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] |
显示端口安全的PSK用户信息 |
display port-security preshared-key user [ interface interface-type interface-number ] |
显示端口安全的配置信息、运行情况和统计信息 |
display port-security [ interface interface-list ] |
显示802.1X的会话连接信息、相关统计信息或配置信息 |
display dot1x [ sessions | statistics ] [ interface interface-list ] |
在配置WLAN安全时可以根据具体选择的认证方式,使用相关的显示信息查看运行后的WLAN安全状态,具体命令请参见“安全命令参考”中的“端口安全”、“802.1X”和“MAC地址认证”。
l AP与交换机Switch建立连接。客户端Client的PSK密钥是12345678。AP配置的密钥与客户端相同。
l 要求使用PSK认证(接入用户必须使用设备上预先配置的静态密钥与设备进行协商,协商成功后可访问端口)方式对客户端进行身份认证。
图1-3 PSK配置组网图
(1) 配置AP
# 使能端口安全功能。
<AP> system-view
[AP] port-security enable
# 在WLAN BSS接口下配置端口安全为psk认证方式(预共享密钥为12345678),配置11key类型的密钥协商功能。
[AP] interface wlan-bss 1
[AP-WLAN-BSS1] port-security port-mode psk
[AP-WLAN-BSS1] port-security preshared-key pass-phrase simple 12345678
[AP-WLAN-BSS1] port-security tx-key-type 11key
[AP-WLAN-BSS1] quit
# 配置服务模板为crypto类型,SSID为psktest。
[AP] wlan service-template 1 crypto
[AP-wlan-st-1] ssid psktest
# 配置信标和探测响应帧携带RSN IE,同时在帧加密时使用加密套件。
[AP-wlan-st-1] security-ie rsn
[AP-wlan-st-1] cipher-suite ccmp
# 配置认证方式为开放系统认证,并使能服务模板。
[AP-wlan-st-1] authentication-method open-system
[AP-wlan-st-1] service-template enable
# 将WLAN-BSS接口与服务模板绑定。
[AP] interface wlan-radio1/0/2
[AP-WLAN-Radio1/0/2] radio-type dot11g
[AP-WLAN-Radio1/0/2] service-template 1 interface wlan-bss 1
(2) 验证结果
l 客户端Client配置相同的PSK预共享密钥。Client可以成功关联AP,并且可以访问无线网络。
l 可以使用display wlan client和display port-security preshared-key user命令查看上线的客户端。
l FAT AP和RADIUS服务器通过二层交换机L2 switch建立连接。FAT AP的IP地址为10.18.1.1,RADIUS服务器的IP地址为10.18.1.88。
l 要求使用MAC-and-PSK认证方式(接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口)对客户端进行身份认证。
图1-4 MAC-and-PSK认证配置组网图
(1) 配置FAT AP
# 使能端口安全功能。
<AP> system-view
[AP] port-security enable
# 在WLAN BSS接口下配置端口安全为mac-and-psk认证方式(预共享密钥为12345678),配置11key类型的密钥协商功能。
[AP] interface wlan-bss 1
[AP-WLAN-BSS1] port-security port-mode mac-and-psk
[AP-WLAN-BSS1] port-security preshared-key pass-phrase simple 12345678
[AP-WLAN-BSS1] port-security tx-key-type 11key
[AP-WLAN-BSS1] quit
# 配置服务模板为crypto类型,SSID为mactest。
[AP] wlan service-template 1 crypto
[AP-wlan-st-1] ssid mactest
# 配置信标和探测响应帧携带RSN IE,同时在帧加密时使用加密套件。
[AP-wlan-st-1] security-ie rsn
[AP-wlan-st-1] cipher-suite ccmp
# 配置认证方式为开放系统认证,并使能服务模板。
[AP-wlan-st-1] authentication-method open-system
[AP-wlan-st-1] service-template enable
# 配置RADIUS方案rad的主认证/计费服务器的IP地址为10.1.1.88,认证/授权/计费的共享密钥为123456748,服务器类型为extended,发送给RADIUS服务器的用户名格式为不带ISP域名。
[AP] radius scheme rad
[AP-radius-rad] primary authentication 10.1.1.88
[AP-radius-rad] primary accounting 10.1.1.88
[AP-radius-rad] key authentication 12345678
[AP-radius-rad] key accounting 12345678
[AP-radius-rad] server-type extended
[AP-radius-rad] user-name-format without-domain
[AP-radius-rad] quit
# 在添加认证域cams,并为该域指定对应的RADIUS认证/授权/计费方案为rad。
[AP] domain cams
[AP-isp-cams] authentication lan-access radius-scheme rad
[AP-isp-cams] authorization lan-access radius-scheme rad
[AP-isp-cams] accounting lan-access radius-scheme rad
[AP-isp-cams] quit
# 指定MAC认证域为cams。
[AP] mac-authentication domain cams
# 配置MAC地址认证用户名格式。使用不带连字符的MAC地址作为用户名与密码。(注意要和服务器上使用的形式保持一致)
[AP] mac-authentication user-name-format mac-address without-hyphen
# 将WLAN-BSS接口与服务模板绑定。
[AP] interface wlan-radio1/0/2
[AP-WLAN-Radio1/0/2] radio-type dot11g
[AP-WLAN-Radio1/0/2] service-template 1 interface wlan-bss 1
(2) 配置RADIUS server(CAMS)
# 增加接入设备。
登录进入CAMS管理平台,点击左侧菜单树中[系统管理]->[系统配置]的“接入设备配置”->“修改”->“增加”后,进入接入设备配置页面。
l 添加AP的IP地址10.18.1.1;
l 设置共享密钥为12345678;
l 选择协议类型为LAN接入业务;
l 设置验证及计费的端口号分别为1812和1813;
l 选择RADIUS协议类型为扩展协议;
l 选择RADIUS报文类型为标准报文。
图1-5 接入设备配置页面
# 增加服务配置。
点击左侧菜单树中[服务管理]->[服务配置],在服务配置列表中,选择“增加”,添加服务名,在计费策略中选中配置好的计费策略(计费策略配置方法,此处略),这里选择不计费。
图1-6 服务配置页面
# 增加用户配置。
点击左侧菜单树中[用户管理]->[帐号用户]的“增加”后输入用户名和密码。此处需要注意将刚才配置的服务选上。
在添加帐号用户时,用户名为用户网卡的MAC地址,采用不带“-”的形式,如图1-7所示。
(3) 配置RADIUS server (iMC)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置认证、计费共享密钥为12345678;
l 设置认证及计费的端口号分别为1812和1813;
l 选择协议类型为LAN接入业务;
l 选择接入设备类型为H3C;
l 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图1-8 增加接入设备
# 增加服务配置。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
设置服务名为mac,其他保持缺省配置。
图1-9 增加服务配置页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
l 添加用户名;
l 添加帐号名和密码为00146c8a43ff;
l 勾选刚才配置的服务mac。
图1-10 增加接入用户
(4) 验证结果
客户端通过认证后,可以成功关联AP,并且可以访问无线网络。
可以使用display wlan client、display connection和display mac-authentication命令查看上线的客户端。
l FAT AP和RADIUS服务器通过二层交换机L2 switch建立连接。FAT AP的IP地址为10.18.1.1,RADIUS服务器的IP地址为10.18.1.88。
l 要求使用802.1X认证方式对客户端进行身份认证。
图1-11 802.1X典型配置组网图
(1) 配置FAT AP
# 使能端口安全功能,并设置802.1X用户的认证方式为eap。
<AP> system-view
[AP] port-security enable
[AP] dot1x authentication-method eap
# 配置RADIUS方案rad的主认证/计费服务器的IP地址为10.18.1.88,认证/授权/计费的共享密钥为123456748,发送给RADIUS服务器的用户名格式为不带ISP域名。
[AP] radius scheme rad
[AP-radius-rad] primary authentication 10.18.1.88
[AP-radius-rad] primary accounting 10.18.1.88
[AP-radius-rad] key authentication 12345678
[AP-radius-rad] key accounting 12345678
[AP-radius-rad] user-name-format without-domain
[AP-radius-rad] quit
# 添加认证域cams,并为该域指定对应的RADIUS认证/授权/计费方案为rad。
[AP] domain cams
[AP-isp-cams] authentication lan-access radius-scheme rad
[AP-isp-cams] authorization lan-access radius-scheme rad
[AP-isp-cams] accounting lan-access radius-scheme rad
[AP-isp-cams] quit
# 设置cams为系统缺省的ISP域。
[AP] domain default enable cams
# 在WLAN BSS接口下配置端口模式为userlogin-secure-ext,配置11key类型的密钥协商功能。
[AP] interface wlan-bss 1
[AP-WLAN-BSS1] port-security port-mode userlogin-secure-ext
[AP-WLAN-BSS1] port-security tx-key-type 11key
# 关闭802.1x多播触发功能和在线用户握手功能。
[AP-WLAN-BSS1] undo dot1x multicast-trigger
[AP-WLAN-BSS1] undo dot1x handshake
[AP-WLAN-BSS1] quit
# 配置服务模板为crypto类型,SSID为dot1xtest。
[AP] wlan service-template 1 crypto
[AP-wlan-st-1] ssid dot1xtest
# 配置信标和探测响应帧携带RSN IE,同时在帧加密时使用加密套件。
[AP-wlan-st-1] security-ie rsn
[AP-wlan-st-1] cipher-suite ccmp
# 配置认证方式为开放系统认证,使能服务模板。
[AP-wlan-st-1] authentication-method open-system
[AP-wlan-st-1] service-template enable
[AP-wlan-st-1] quit
# 将WLAN-BSS接口与服务模板绑定。
[AP] interface wlan-radio1/0/2
[AP-WLAN-Radio1/0/2] radio-type dot11g
[AP-WLAN-Radio1/0/2] service-template 1 interface wlan-bss 1
(2) 配置RADIUS server(CAMS)
# 增加接入设备。
登录进入CAMS管理平台,点击左侧菜单树中[系统管理]->[系统配置]的“接入设备配置”->“修改”->“增加”后,进入接入设备配置页面。
l 添加AP的IP地址10.18.1.1;
l 设置共享密钥为12345678;
l 选择协议类型为LAN接入业务;
l 设置验证及计费的端口号分别为1812和1813;
l 选择RADIUS协议类型为扩展协议;
l 选择RADIUS报文类型为标准报文。
图1-12 接入设备配置页面
# 服务配置。
点击左侧菜单树中[服务管理]->[服务配置],在服务配置列表中,选择“增加”。添加服务名,这里选择不计费。选中“启动证书认证”,选择“EAP-PEAP认证类型”和认证子类型中“MS-CHAPV2”。
图1-13 服务配置页面
# 用户配置。
左侧菜单下,进入用户管理,帐号用户,选择“增加”输入用户名和密码。此处需要注意将刚才配置的服务选上。
图1-14 用户配置页面
(3) 配置RADIUS server (iMC)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置认证、计费共享密钥为12345678;
l 设置认证及计费的端口号分别为1812和1813;
l 选择协议类型为LAN接入业务;
l 选择接入设备类型为H3C;
l 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图1-15 增加接入设备
# 增加服务配置。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置服务名为dot1x。
l 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。
图1-16 增加服务配置页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
l 添加用户名;
l 添加帐号名为user,密码为dot1x;
l 勾选刚才配置的服务dot1x。
图1-17 增加接入用户
选择无线网卡,在验证对话框中,选择EAP类型为PEAP,点击“属性”,去掉验证服务器证书选项(此处不验证服务器证书),点击“配置”,去掉自动使用windows登录名和密码选项。然后“确定”。整个过程如下图所示。
图1-18 无线网卡配置过程
图1-19 无线网卡配置过程
图1-20 无线网卡配置过程
(5) 验证结果
客户端通过802.1X认证成功关联AP,并且可以访问无线网络。
可以使用display wlan client、display connection和display dot1x命令查看上线的客户端。
l FAT AP和RADIUS服务器通过二层交换机建立连接。FAT AP的IP地址为10.18.1.1, RADIUS服务器的IP地址为10.18.1.88。
l 要求客户端使用动态WEP加密方式接入网络。
图1-21 动态WEP加密-802.1x认证典型配置组网图
(1) 配置FAT AP
<Sysname> system-view
[Sysname] port-security enable
[Sysname] dot1x authentication-method eap
# 配置RADIUS方案。
[Sysname] radius scheme rad
[Sysname-radius-rad] primary authentication 10.18.1.88
[Sysname-radius-rad] primary accounting 10.18.1.88
[Sysname-radius-rad] key authentication 12345678
[Sysname-radius-rad] key accounting 12345678
[Sysname-radius-rad] user-name-format without-domain
[Sysname-radius-rad] quit
# 添加认证域bbb,并为该域指定对应的RADIUS认证方案为rad。
[Sysname] domain bbb
[Sysname-isp-bbb] authentication lan-access radius-scheme rad
[Sysname-isp-bbb] authorization lan-access radius-scheme rad
[Sysname-isp-bbb] accounting lan-access radius-scheme rad
[Sysname-isp-bbb] quit
[Sysname] domain default enable bbb
# 配置WLAN-BSS接口。
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] port-security port-mode userlogin-secure-ext
[Sysname-WLAN-BSS1] port-security tx-key-type 11key
[Sysname-WLAN-BSS1] quit
# 配置动态WEP服务模板。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] authentication-method open-system
[Sysname-wlan-st-1] ssid dot1x
[Sysname-wlan-st-1] wep mode dynamic
[Sysname-wlan-st-1] service-template enable
[Sysname-wlan-st-1] quit
# 将WLAN-BSS接口与服务模板绑定。
[Sysname] interface wlan-radio1/0/2
[Sysname-WLAN-Radio1/0/2] radio-type dot11g
[Sysname-WLAN-Radio1/0/2] service-template 1 interface wlan-bss 1
(2) 配置RADIUS server(CAMS)
请参考“1.3.3 3. (2)配置RADIUS server(CAMS)”部分。
(3) 配置RADIUS server(iMC)
请参考“1.3.3 3. (3)1.3.3 3. (3)”部分。
(4) 配置无线网卡
请参考“1.3.3 3. (4)配置无线网卡”部分。
(5) 验证结果
l 在客户端弹出的对话框中输入用户名user和密码dot1x。客户端可以成功关联AP,并且可以访问无线网络。
l 可以使用display wlan client、display connection和display dot1x命令查看上线的客户端。
本节包括了加密套件配置中使用到的所有组合方式。
对于RSN,无线安全支持CCMP和TKIP作为成对密钥,而WEP只用作组加密套件。下面是无线安全支持的RSN的加密套件组合方式(WEP40、WEP104和WEP128不能同时存在)。
表1-18 WLAN-WSEC支持的RSN的加密套件组合方式
单播密码 |
广播密码 |
认证方式 |
安全类型 |
CCMP |
WEP40 |
PSK |
RSN |
CCMP |
WEP104 |
PSK |
RSN |
CCMP |
WEP128 |
PSK |
RSN |
CCMP |
TKIP |
PSK |
RSN |
CCMP |
CCMP |
PSK |
RSN |
TKIP |
WEP40 |
PSK |
RSN |
TKIP |
WEP104 |
PSK |
RSN |
TKIP |
WEP128 |
PSK |
RSN |
TKIP |
TKIP |
PSK |
RSN |
CCMP |
WEP40 |
802.1X |
RSN |
CCMP |
WEP104 |
802.1X |
RSN |
CCMP |
WEP128 |
802.1X |
RSN |
CCMP |
TKIP |
802.1X |
RSN |
CCMP |
CCMP |
802.1X |
RSN |
TKIP |
WEP40 |
802.1X |
RSN |
TKIP |
WEP104 |
802.1X |
RSN |
TKIP |
WEP128 |
802.1X |
RSN |
TKIP |
TKIP |
802.1X |
RSN |
对于WPA,无线安全支持CCMP和TKIP做为成对密钥,而WEP只用作组加密套件。下面是无线安全支持的WPA的加密套件组合方式(WEP40、WEP104和WEP128不能同时存在)。
表1-19 WLAN-WSEC支持的WPA的加密套件组合方式
单播密码 |
广播密码 |
认证方式 |
安全类型 |
CCMP |
WEP40 |
PSK |
WPA |
CCMP |
WEP104 |
PSK |
WPA |
CCMP |
WEP128 |
PSK |
WPA |
CCMP |
TKIP |
PSK |
WPA |
CCMP |
CCMP |
PSK |
WPA |
TKIP |
WEP40 |
PSK |
WPA |
TKIP |
WEP104 |
PSK |
WPA |
TKIP |
WEP128 |
PSK |
WPA |
TKIP |
TKIP |
PSK |
WPA |
CCMP |
WEP40 |
802.1X |
WPA |
CCMP |
WEP104 |
802.1X |
WPA |
CCMP |
WEP128 |
802.1X |
WPA |
CCMP |
TKIP |
802.1X |
WPA |
CCMP |
CCMP |
802.1X |
WPA |
TKIP |
WEP40 |
802.1X |
WPA |
TKIP |
WEP104 |
802.1X |
WPA |
TKIP |
WEP128 |
802.1X |
WPA |
TKIP |
TKIP |
802.1X |
WPA |
对于Pre RSN无线客户端,无线安全仅支持WEP加密套件(WEP40、WEP104和WEP128不能同时存在)。
表1-20 WLAN-WSEC支持的Pre RSN的加密套件组合方式
单播密码 |
广播密码 |
认证方式 |
安全类型 |
WEP40 |
WEP40 |
Open system |
no Sec Type |
WEP104 |
WEP104 |
Open system |
no Sec Type |
WEP128 |
WEP128 |
Open system |
no Sec Type |
WEP40 |
WEP40 |
Shared key |
no Sec Type |
WEP104 |
WEP104 |
Shared key |
no Sec Type |
WEP128 |
WEP128 |
Shared key |
no Sec Type |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!