03-WLAN安全配置
本章节下载: 03-WLAN安全配置 (512.71 KB)
目 录
802.11协议提供的无线安全可以很好地抵御一般性网络攻击,但是仍有少数黑客能够入侵无线网络,从而无法充分保护包含敏感数据的网络。为了更好的防止未授权用户接入网络,需要实施一种性能高于802.11的高级安全机制。
为了保证无线链路的安全,AP需要完成对无线客户端的认证,只有通过认证后才能进入后续的关联阶段。802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的无线客户端都会通过认证。开放系统认证包括两个步骤:第一步是无线客户端发起认证请求,第二步AP确定无线客户端可以通过无线链路认证,并向无线客户端回应认证结果为“成功”。
图1-1 开放系统认证过程
共享密钥认证是除开放系统认证以外的另外一种链路认证机制。共享密钥认证需要无线客户端和AP配置相同的共享密钥。
共享密钥认证的认证过程为:
(1) 无线客户端先向AP发送认证请求
(2) AP会随机产生一个Challenge包(即一个字符串)发送给无线客户端;
(3) 无线客户端使用共享密钥将接收到的Challenge包加密后再发送给AP;
(4) AP使用共享密钥解密接收到的消息,然后对解密后的字符串和原始字符串进行比较。如果相同,则说明无线客户端通过了链路认证;否则链路认证失败。
图1-2 共享密钥认证过程
相对于有线网络,WLAN存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介,任何一台设备可以接收到其他所有设备的数据,这个特性直接威胁到WLAN接入数据的安全。
802.11协议也在致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其它的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护。目前支持四种安全服务。
(1) 明文数据
该种服务本质上为无安全保护的WLAN服务,所有的数据报文都没有通过加密处理。
(2) WEP加密
WEP(Wired Equivalent Privacy,有线等效加密)用来保护WLAN中的授权用户所交换的数据的机密性,防止这些数据被随机窃听。WEP使用RC4加密算法(一种流加密算法)实现数据报文的加密保护。根据WEP密钥的生成方式,WEP加密分为静态WEP加密和动态WEP加密。
· 静态WEP加密
静态WEP加密要求手工指定WEP密钥,接入同一SSID下的所有无线客户端使用相同的WEP密钥。如果WEP密钥被破解或泄漏,攻击者就能获取所有密文。因此静态WEP加密存在比较大的安全隐患。并且手工定期更新WEP密钥会给网络管理员带来很大的设备管理负担。
· 动态WEP加密
动态WEP加密的自动密钥管理机制对原有的静态WEP加密进行了较大的改善。在动态WEP加密机制中,用来加密单播数据帧的WEP密钥并不是手工指定的,而是由无线客户端和服务器通过802.1X协议协商产生,这样每个无线客户端协商出来的WEP单播密钥都是不同的,提高了单播数据帧传输的安全性。
虽然WEP加密在一定程度上提供了安全性和保密性,增加了网络侦听、会话截获等的攻击难度,但是受到RC4加密算法、过短的初始向量等限制,WEP加密还是存在比较大的安全隐患。
(3) TKIP加密
虽然TKIP加密机制和WEP加密机制都是使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN提供更加安全的保护。
· 首先,TKIP通过增长了算法的IV(初始化向量)长度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;
· 其次,虽然TKIP采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;
· 另外,TKIP还支持了MIC认证(Message Integrity Check,信息完整性校验)和Countermeasure功能。当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击。当在一段时间内连续接收到两个MIC错误的报文,AP将会启动Countermeasure功能,此时,AP将通过静默一段时间不提供服务,实现对无线网络的攻击防御。
(4) AES-CCMP加密
CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制是基于AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法。CCM结合CTR(Counter mode,计数器模式)进行机密性校验,同时结合CBC-MAC(区块密码锁链-信息真实性检查码)进行认证和完整性校验。CCMP中的AES块加密算法使用128位的密钥和128位的块大小。同样CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会是用不同的PN,在一定程度上提高安全性。
(1) PSK认证
PSK(Pre-Shared Key,预共享密钥)认证需要实现在无线客户端和设备端配置相同的预共享密钥,如果密钥相同,PSK接入认证成功;如果密钥不同,PSK接入认证失败。
(2) 802.1X认证
802.1X协议是一种基于端口的网络接入控制协议(port based network access control protocol)。“基于端口的网络接入控制”是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源。
(3) MAC地址认证
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。在WLAN网络应用中,MAC认证需要预先获知可以访问无线网络的终端设备MAC地址,所以一般适用于用户比较固定的、小型的无线网络,例如家庭、小型办公室等环境。MAC地址认证分为以下两种方式:
· 本地MAC地址认证。当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证,此时需要在设备上配置本地用户名和密码。通常情况下,可以采用MAC地址作为用户名,需要事先获知无线接入用户的MAC地址并配置为本地用户名。无线用户接入网络时,只有MAC地址存在的用户可以通过认证,其他用户将被拒绝接入。
· 通过RADIUS服务器进行MAC地址认证。当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作。在RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问无线网络以及获得相应的授权信息。采用RADIUS服务器进行MAC地址认证时,可以通过在各无线服务下分别指定各自的domain域,将不同SSID的MAC地址认证用户信息发送到不同的远端RADIUS服务器。
接入认证的相关内容请参见“安全配置指导”中的“802.1X”和“MAC地址认证”。
· IEEE Standard for Information technology— Telecommunications and information exchange between systems— Local and metropolitan area networks— Specific requirements -2004
· WI-FI Protected Access – Enhanced Security Implementation Based On IEEE P802.11i Standard-Aug 2004
· Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements—802.11, 1999
· IEEE Standard for Local and metropolitan area networks ”Port-Based Network Access Control” 802.1X™- 2004
· 802.11i IEEE Standard for Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements
在服务模板上配置WLAN安全属性,将服务模板映射到WLAN射频,并在服务模板中配置SSID名、通告设置(信标发送)及加密设置。
表1-1 WLAN安全属性配置任务
配置任务 |
说明 |
详细配置 |
使能认证方式 |
必选 |
|
配置PTK生存时间 |
可选 |
|
配置GTK密钥更新方法 |
可选 |
1.2.3 |
配置安全信息元素 |
必选 |
|
配置加密套件 |
必选 |
|
配置端口安全 |
必选 |
|
配置密钥衍生类型 |
可选 |
|
配置保护管理帧功能 |
可选 |
开放系统方式和共享密钥方式可以单独使用,也可以同时使用。
表1-2 使能认证方式
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
使能认证方式 |
authentication-method { open-system | shared-key } |
可选 缺省情况下,使用open-system认证方式 · 只有在使用WEP加密时才可选用shared-key认证机制,此时必须配置命令authentication-method shared-key · 对于RSN和WPA,必须使用open-system方式 |
PTK密钥通过四次握手方式生成,需要用到如下属性:PMK(Pairwise Master Key,成对主密钥)、AP随机值(ANonce)、站点随机值(SNonce)、AP的MAC地址和无线客户端的MAC地址。
用户可以通过下面的操作来设置PTK的生存时间。
表1-3 配置PTK生存时间
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
设置PTK生存时间 |
ptk-lifetime time |
可选 缺省情况下,PTK生存时间为43200秒 |
GTK(Group Temporal Key,群组临时密钥)由FAT AP生成,在AP和无线客户端认证处理的过程中通过组密钥握手或者四次握手的方式发送到无线客户端。无线客户端使用GTK来解密组播和广播报文。RSN(Robust Security Network,健壮安全网络)可以通过四次握手或者组密钥握手方式来协商GTK,而WPA(Wi-Fi Protected Access,Wi-Fi保护访问)只使用组密钥握手方式来协商GTK。
用户可以使能基于时间或基于数据包的GTK密钥更新方法。前者在指定时间间隔后更新GTK,后者在发送了指定数目的广播或组播数据包后更新GTK。用户也可以配置当无线客户端离线时更新GTK。
表1-4 配置基于时间的更新方法
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
开启GTK更新功能 |
gtk-rekey enable |
必选 缺省情况下,GTK更新功能处于开启状态 |
配置基于时间的GTK密钥更新方法 |
gtk-rekey method time-based time |
必选 缺省情况下,密钥更新时间间隔为86400秒 |
配置当有无线客户端离线时更新GTK |
gtk-rekey client-offline enable |
可选 缺省情况下,当有无线客户端离线时,不更新GTK 只有执行了gtk-rekey enable命令,此功能才有效 |
表1-5 配置基于数据包的密钥更新方法
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
开启GTK更新功能 |
gtk-rekey enable |
必选 缺省情况下,GTK更新功能处于开启状态 |
配置基于数据包的GTK更新方法 |
gtk-rekey method packet-based [ packet ] |
必选 缺省情况下,在发送了10000000个数据包后更新GTK密钥 |
配置当有无线客户端离线时更新GTK密钥 |
gtk-rekey client-offline enable |
可选 缺省情况下,当有无线客户端离线时,不更新GTK 只有执行了gtk-rekey enable命令,此功能才有效 |
· 缺省情况下,GTK更新采用基于时间的更新方法,时间间隔为86400秒。
· 配置GTK密钥更新方法时,新配置的方法会覆盖前一次的配置。例如,如果先配置了基于数据包的方法,然后又配置了基于时间的方法,则最后生效的是基于时间的方法。
WPA是一种比WEP性能更强的无线安全方案。WPA工作在WPA-PSK模式(又称Personal模式)或者WPA-802.1X模式(又称WPA-Enterprise模式)下。PSK模式下使用预共享密钥或者口令进行认证,而企业模式使用802.1X RADIUS服务器和EAP(Extensible Authentication Protocol,可扩展认证协议)进行认证。
表1-6 配置WPA信息元素
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
配置信标和探查帧携带WPA IE信息 |
security-ie wpa |
必选 缺省情况下,信标和探查响应帧不携带WPA IE |
RSN是一种仅允许建立RSNA(Robust Security Network Association,健壮安全网络连接)的安全网络,提供比WEP和WPA更强的安全性。RSN通过信标帧的RSN IE(Information Element,信息元素)中的指示来标识。
表1-7 配置RSN信息元素
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
配置信标和探查帧携带RSN IE信息 |
security-ie rsn |
必选 缺省情况下,信标和探查响应帧不携带RSN IE |
加密套件用于数据封装和解封装。加密套件使用如下加密方法:
· WEP40/WEP104/WEP128
· TKIP
· AES-CCMP
(1) 配置静态WEP加密
WEP加密机制需要无线设备端以及所有接入到该WLAN网络的无线客户端配置相同的密钥。WEP加密机制采用RC4算法,支持WEP40、WEP104和WEP128三种密钥长度。
WEP加密方式可以分别和Open system、Shared key认证方式配合使用。
· 采用Open system认证方式:此时WEP密钥只做加密,即使密钥配的不一致,无线客户端也可以成功接入无线网络。但如果接收端和发送端的密钥不一致,则接收端会丢弃发送端传输的数据。
· 采用Shared key认证方式:此时WEP密钥同时作为认证密钥和加密密钥,如果密钥不一致,无线客户端就不能通过链路认证,也就无法接入无线网络。
表1-8 配置静态WEP加密
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
使能加密套件 |
cipher-suite { wep40 | wep104 | wep128 } * |
必选 缺省情况下,没有使能任何加密套件 |
配置WEP缺省密钥 |
wep default-key { 1 | 2 | 3 | 4 } { wep40 | wep104 | wep128 } { pass-phrase | raw-key } [ cipher | simple ] key |
必选 缺省情况下,WEP缺省密钥索引值为1 |
配置密钥索引号 |
wep key-id { 1 | 2 | 3 | 4 } |
可选 缺省情况下,密钥索引号为1 |
(2) 配置动态WEP加密
表1-9 配置动态WEP加密
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
配置动态WEP加密 |
wep mode dynamic |
必选 缺省情况下,使用静态WEP密钥方式 需要注意的是,动态WEP加密必须和802.1X认证方式一起使用 |
使能加密套件 |
cipher-suite { wep40 | wep104 | wep128 } * |
可选 配置动态WEP加密后,设备会自动使用WEP 104加密方式,用户可以通过cipher-suite命令修改WEP加密方式为其它方式 |
配置WEP缺省密钥 |
wep default-key { 1 | 2 | 3 | 4 } { wep40 | wep104 | wep128 } { pass-phrase | raw-key } [ cipher | simple ] key |
可选 缺省情况下,没有配置WEP缺省密钥 如果配置了WEP缺省密钥,则该WEP密钥作为组播密钥,用来加密组播数据帧,如果不配置WEP缺省密钥,则由设备随机生成组播密钥 |
配置密钥索引号 |
wep key-id { 1 | 2 | 3 } |
可选 缺省情况下,密钥索引号为1 配置动态WEP加密后,wep key-id不能配置为4 |
表1-10 配置TKIP
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
使能TKIP加密套件 |
cipher-suite tkip |
必选 缺省情况下,没有使能任何加密套件 |
配置TKIP反制策略实施的时间 |
tkip-cm-time time |
可选 缺省情况下,TKIP反制策略实施的时间为0秒,即不启动反制策略 |
MIC(Message Integrity Check,信息完整性校验)是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,TKIP可以通过启动反制策略,来阻止黑客的攻击。
表1-11 配置AES-CCMP
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN服务模板视图 |
wlan service-template service-template-number crypto |
- |
使能CCMP加密套件 |
cipher-suite ccmp |
必选 缺省情况下,没有使能任何加密套件 |
认证类型可以配置的方式包括如下几种:
· PSK
· 802.1X
· MAC
· PSK和MAC
端口安全定义了各种端口安全模式,本手册只列出几种比较常见的端口安全模式,其它802.1X和MAC地址认证的扩展和组合应用请参见“安全配置指导”中的“端口安全”。
在配置端口安全之前,完成以下任务:
(1) 创建无线端口
(2) 使能端口安全
(1) PSK认证
表1-12 配置PSK认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-BSS接口视图 |
interface wlan-bss interface-number |
- |
使能密钥协商功能 |
port-security tx-key-type 11key |
必选 缺省情况下,没有使能11key协商功能 |
配置预共享密钥 |
port-security preshared-key { pass-phrase | raw-key } [ cipher | simple ] key |
必选 缺省情况下,没有配置预共享密钥 |
配置PSK端口安全模式 |
port-security port-mode psk |
必选 |
(2) 802.1X认证
表1-13 配置802.1X认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-BSS接口视图 |
interface wlan-bss interface-number |
- |
配置802.1X端口安全模式 |
port-security port-mode { userlogin-secure | userlogin-secure-ext } |
必选 |
(3) MAC认证
表1-14 配置MAC认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-BSS接口视图 |
interface wlan-bss interface-number |
- |
配置MAC端口安全模式 |
port-security port-mode mac-authentication |
必选 |
802.11i的相关配置不支持MAC认证模式。
(4) PSK和MAC认证
表1-15 配置PSK和MAC认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-BSS接口视图 |
interface wlan-bss interface-number |
- |
使能密钥协商功能 |
port-security tx-key-type 11key |
必选 缺省情况下,没有使能11key协商功能 |
配置PSK和MAC端口安全模式 |
port-security port-mode mac-and-psk |
必选 |
配置PSK的预共享密钥 |
port-security preshared-key { pass-phrase | raw-key } key |
必选 如果密钥类型为字符串,长度应为8~63个字符;如果密钥类型为十六进制数,密钥应为64位(由数字0~9,字母a~f组成)十六进制数 |
端口安全相关命令请参见“安全命令参考”中的“端口安全”。
使用本节的命令可以指定由PMK产生PTK/GTK所使用的散列算法。目前使用的散列算法有两种,分别是SHA1和SHA256。SHA1使用HMAC-SHA1散列算法进行迭代计算产生密钥,SHA256使用HMAC-SHA256散列算法进行迭代计算产生密钥。
当认证类型为PSK或802.1X时,使用该命令配置密钥衍生类型才能生效。
表1-16 配置密钥衍生类型
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置WLAN服务模板 |
wlan service-template service-template-number crypto |
不能修改已创建的服务模板的类型 |
配置密钥衍生类型 |
key-derivation { sha1 | sha1-and-sha256 | sha256 } |
可选 缺省情况下,密钥衍生类型是sha1 |
保护管理帧功能通过保护无线网络中的管理帧来完善无线网络的安全性。保护管理帧的标准是建立在802.11i的框架上的。802.11w保护的管理帧包括解除认证帧,解除关联帧和部分强壮Action帧。
对于单播管理帧,保护管理帧功能仍旧使用数据帧的成对临时密钥对单播管理帧进行加密,保证单播管理帧的机密性、完整性以及重放保护。
对广播/组播管理帧,保护管理帧功能使用BIP(Broadcast Integrity Protocol,广播完整性协议)保证广播/组播管理帧的完整性以及重放保护,实现防止客户端受到仿冒AP的攻击。但保护管理帧功能不能为广播/组播管理帧的传输提供机密性。BIP通过在广播/组播管理帧的帧主体后增加MME(Management MIC IE,管理MIC IE)字段来实现保护广播/组播管理帧。
· 完整性:AP和客户端通过四次握手或者组播握手产生IGTK(Integrity Group Temporal Key,完整性组临时密钥),IGTK与广播/组播管理帧的帧主体进行运算生成MIC(Message Integrity Check,消息完整性校验),将生成的MIC放入MME字段中。客户端通过四次握手消息3或组播握手消息1收到的IGTK,也产生MIC,客户端将此MIC与从AP接收到的MIC进行比较,相同即表示广播/组播管理帧是完整的。
· 重放保护:AP为每个IGTK维护一个IPN(IGTK Packet Number,IGTK报文序列号),通过四次握手消息3或者组播握手消息1将IPN初始值发送给客户端。AP后续发送保护的广播/组播帧时,将IPN存放于MME中发送给客户端,客户端会将收到的IPN与本地保存的IPN进行比较,如果收到的IPN比本地保存的IPN增加1,则表示客户端没有受到重放攻击。
在客户端上线过程中,AP和客户端会进行能力协商,确定保护管理帧功能是否生效。保护管理帧的协商结果有以下三种情况:
· 当保护管理帧功能为关闭时,支持或不支持保护管理帧功能的客户端均可上线,但不对通信过程中的的管理帧进行保护。
· 当保护管理帧功能为可选时,支持或不支持保护管理帧功能的客户端均可上线,但仅对支持保护管理帧功能的上线客户端提供保护管理帧功能,对通信过程中的的管理帧进行保护。
· 当保护管理帧为强制时,支持保护管理帧功能的客户端可上线,同时对通信过程中的管理帧进行保护,不支持保护管理帧功能的客户端无法上线。
使用认证类型为PSK或802.1X,并且加密套件和安全IE为cipher-suite ccmp、security-ie rsn的服务模板上才能配置保护管理帧功能。
表1-17 配置保护管理帧功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置WLAN服务模板 |
wlan service-template service-template-number crypto |
不能修改已创建的服务模板的类型 |
配置保护管理帧功能 |
pmf { mandatory | optional } |
必选 缺省情况下,保护管理帧功能处于关闭状态 配置保护管理帧功能时,如果选择mandatory参数,建议指定密钥衍生类型为sha256 |
·
AP与客户端协商结果为使用保护管理帧功能后,无线设备将使用SA Query机制增强客户端的安全连接。SA Query包括主动 SA Query和被动SA Query。
(1) 主动SA Query
在AP收到仿冒的关联/重关联报文的情况下,主动SA Query机制可以防止AP对客户端作出错误的响应。
当AP收到客户端的关联/重关联请求,AP将发送关联/重关联响应帧,响应状态值为“关联/重关联临时被拒绝,稍后重连”,并携带通过pmf association-comeback命令指定的关联返回时间,随后AP会触发SA Query过程。
AP向客户端发送SA Query请求帧,若AP在SA Query超时时间内收到客户端发送的SA Query响应帧,则AP认为该客户端在线。若AP在SA Query超时时间内未收到客户端的SA Query响应帧,AP将再次发送SA Query请求帧。若AP在SA Query重试次数内收到SA Query响应帧,则认为客户端在线,并且在关联返回时间内,AP将不再响应关联/重关联请求。若AP在SA Query重试次数内未收到SA Query响应帧,AP将认为客户端已经掉线,允许其重新接入。
图1-3 主动SA Query过程
(2) 被动SA Query
在客户端收到未加密的解除关联/解除认证报文(失败码为6或7)的情况下,被动SA Query机制可以防止客户端异常下线。
当客户端收到一个未保护的解除关联帧或者解除认证帧,客户端会触发SA Query过程。客户端向AP发送SA Query请求帧,AP回复SA Query响应帧。客户端收到SA Query响应帧,判定AP在线,AP和客户端之间的连接处于正常状态,客户端不会下线。
图1-4 被动SA Query过程
表1-18 配置主动SA query
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置WLAN服务模板 |
wlan service-template service-template-number crypto |
不能修改已创建的服务模板的类型 |
配置SA Query超时时间 |
pmf saquery timeout value |
可选 缺省情况下,SA Query超时时间为200毫秒 |
配置AP发送SA Query请求帧的重传次数 |
pmf saquery retry value |
可选 缺省情况下,AP发送SA Query请求帧的重传次数为4次 |
配置关联返回时间 |
pmf association-comeback value |
可选 缺省情况下,关联返回时间为1秒 |
完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN安全的运行情况,通过查看显示信息验证配置的效果。
操作 |
命令 |
查看指定的服务模板的信息 |
display wlan service-template [ service-template-number ] [ | { begin | exclude | include } regular-expression ] |
显示客户端信息 |
display wlan client { interface wlan-radio [ radio-number ] | mac-address mac-address | service-template service-template-number } [ verbose ] [ | { begin | exclude | include } regular-expression ] |
显示全局或指定端口的MAC地址认证信息 |
display mac-authentication [ interface interface-list ] [ | { begin | exclude | include } regular-expression ] |
显示安全MAC地址信息 |
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ] |
显示端口安全的PSK用户信息 |
display port-security preshared-key user [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ] |
显示端口安全的配置信息、运行情况和统计信息 |
display port-security [ interface interface-list ] [ | { begin | exclude | include } regular-expression ] |
显示802.1X的会话连接信息、相关统计信息或配置信息 |
display dot1x [ sessions | statistics ] [ interface interface-list ] [ | { begin | exclude | include } regular-expression ] |
在配置WLAN安全时可以根据具体选择的认证方式,使用相关的显示信息查看运行后的WLAN安全状态,具体命令请参见“安全命令参考”中的“端口安全”、“802.1X”和“MAC地址认证”。
FAT AP与二层交换机建立连接。无线客户端的PSK密钥是12345678。FAT AP配置的密钥与无线客户端相同。要求使用PSK认证(接入用户必须使用设备上预先配置的静态密钥与设备进行协商,协商成功后可访问端口)方式对客户端进行身份认证。
图1-5 PSK配置组网图
(1) 配置FAT AP
# 使能端口安全功能。
<Sysname> system-view
[Sysname] port-security enable
# 在WLAN BSS接口下配置端口安全为psk认证方式,预共享密钥为12345678,配置11key类型的密钥协商功能。
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] port-security port-mode psk
[Sysname-WLAN-BSS1] port-security preshared-key pass-phrase simple 12345678
[Sysname-WLAN-BSS1] port-security tx-key-type 11key
[Sysname-WLAN-BSS1] quit
# 创建服务模板1(加密类型服务模板),配置SSID为psktest,配置认证方式为开放系统认证,并使能服务模板。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] ssid psktest
[Sysname-wlan-st-1] security-ie rsn
[Sysname-wlan-st-1] cipher-suite ccmp
[Sysname-wlan-st-1] authentication-method open-system
[Sysname-wlan-st-1] service-template enable
# 将WLAN-BSS接口与服务模板绑定。
[Sysname] interface wlan-radio1/0/1
[Sysname-WLAN-Radio1/0/1] radio-type dot11ac
[Sysname-WLAN-Radio1/0/1] service-template 1 interface wlan-bss 1
(2) 验证结果
无线客户端配置相同的PSK预共享密钥。无线客户端可以成功关联AP,并且可以访问无线网络。
可以使用display wlan client verbose和display port-security preshared-key user命令查看上线的无线客户端。
· FAT AP和RADIUS服务器通过二层交换机建立连接。FAT AP的IP地址为10.18.1.1, RADIUS服务器的IP地址为10.18.1.88。
· 要求无线客户端使用MAC-and-PSK认证方式接入网络。
图1-6 MAC-and-PSK认证配置组网图
(1) 配置FAT AP
# 使能端口安全功能。
<Sysname> system-view
[Sysname] port-security enable
# 在WLAN BSS接口下配置无线端口安全为MAC-and-PSK认证(预共享密钥为12345678),配置11key类型的密钥协商功能。
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] port-security port-mode mac-and-psk
[Sysname-WLAN-BSS1] port-security preshared-key pass-phrase simple 12345678
[Sysname-WLAN-BSS1] port-security tx-key-type 11key
[Sysname-WLAN-BSS1] quit
# 创建服务模板1(加密类型服务模板),配置SSID为mactest。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] ssid mactest
# 配置信标和探测响应帧携带RSN IE,同时在帧加密时使用加密套件。
[Sysname-wlan-st-1] security-ie rsn
[Sysname-wlan-st-1] cipher-suite ccmp
# 配置认证方式为开放系统认证,并使能服务模板。
[Sysname-wlan-st-1] authentication-method open-system
[Sysname-wlan-st-1] service-template enable
# 创建RADIUS方案rad,指定extended类型的RADIUS服务器,表示支持与服务器交互扩展报文。
[Sysname] radius scheme rad
[Sysname-radius-rad] server-type extended
# 配置主认证RADIUS服务器的IP地址10.18.1.88,主计费RADIUS服务器的IP地址10.18.1.88。
[Sysname-radius-rad] primary authentication 10.18.1.88
[Sysname-radius-rad] primary accounting 10.18.1.88
# 配置系统与认证RADIUS服务器交互报文时的共享密钥为12345678,系统与计费RADIUS服务器交互报文时的共享密钥为12345678。
[Sysname-radius-rad] key authentication 12345678
[Sysname-radius-rad] key accounting 12345678
[Sysname-radius-rad] user-name-format without-domain
[Sysname-radius-rad] quit
# 添加认证域cams,并为该域指定对应的RADIUS认证/授权/计费方案为rad。
[Sysname] domain cams
[Sysname-isp-cams] authentication lan-access radius-scheme rad
[Sysname-isp-cams] authorization lan-access radius-scheme rad
[Sysname-isp-cams] accounting lan-access radius-scheme rad
[Sysname-isp-cams] quit
# 指定mac认证域为cams。
[Sysname] mac-authentication domain cams
# 配置MAC地址认证用户名格式。使用不带连字符的MAC地址作为用户名与密码。(注意要和服务器上使用的形式保持一致)
[Sysname] mac-authentication user-name-format mac-address without-hyphen
# 将WLAN-BSS接口与服务模板绑定。
[Sysname] interface wlan-radio1/0/1
[Sysname-WLAN-Radio1/0/1] radio-type dot11ac
[Sysname-WLAN-Radio1/0/1] service-template 1 interface wlan-bss 1
(2) 配置RADIUS server(iMC V5)
· 下面以iMC为例(使用iMC版本为:iMC PLAT 5.0、iMC UAM 5.0),说明RADIUS server的基本配置。
· 在服务器上已经完成证书安装。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置认证、计费共享密钥为12345678,其它保持缺省配置;
· 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图1-7 增加接入设备
# 增加服务配置。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
设置服务名为mac,其它保持缺省配置。
图1-8 增加服务配置页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
· 添加用户00146c8a43ff;
· 添加帐号名和密码为00146c8a43ff;
· 勾选刚才配置的服务mac。
图1-9 增加接入用户
(3) 验证结果
无线客户端可以通过认证,并且可以访问无线网络。
可以使用display wlan client verbose、display connection和display mac-authentication命令查看上线的无线客户端。
· FAT AP和RADIUS服务器通过二层交换机建立连接。FAT AP的IP地址为10.18.1.1, RADIUS服务器的IP地址为10.18.1.88。
· 要求使用802.1X认证方式对无线客户端进行身份认证。
图1-10 802.1X典型配置组网图
(1) 配置FAT AP
# 使能端口安全功能。
<Sysname> system-view
[Sysname] port-security enable
# 配置802.1X用户的认证方式为EAP。
[Sysname] dot1x authentication-method eap
# 创建RADIUS方案rad,指定extended类型的RADIUS服务器,表示支持与服务器交互扩展报文。
[Sysname] radius scheme rad
[Sysname-radius-rad] server-type extended
# 配置主认证RADIUS服务器的IP地址10.18.1.88,主计费RADIUS服务器的IP地址10.18.1.88。
[Sysname-radius-rad] primary authentication 10.18.1.88
[Sysname-radius-rad] primary accounting 10.18.1.88
# 配置系统与认证RADIUS服务器交互报文时的共享密钥为12345678,系统与计费RADIUS服务器交互报文时的共享密钥为12345678。
[Sysname-radius-rad] key authentication 12345678
[Sysname-radius-rad] key accounting 12345678
[Sysname-radius-rad] user-name-format without-domain
[Sysname-radius-rad] quit
# 添加认证域cams,并为该域指定对应的RADIUS认证/授权/计费方案为rad。
[Sysname] domain cams
[Sysname-isp-cams] authentication lan-access radius-scheme rad
[Sysname-isp-cams] authorization lan-access radius-scheme rad
[Sysname-isp-cams] accounting lan-access radius-scheme rad
[Sysname-isp-cams] quit
# 设置cams为系统缺省的ISP域。
[Sysname] domain default enable cams
# 配置WLAN-BSS接口,认证方式为userlogin-secure-ext,并使能端口11key类型的密钥协商功能。
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] port-security port-mode userlogin-secure-ext
[Sysname-WLAN-BSS1] port-security tx-key-type 11key
# 关闭802.1X多播触发功能和在线用户握手功能。
[Sysname-WLAN-BSS1] undo dot1x multicast-trigger
[Sysname-WLAN-BSS1] undo dot1x handshake
[Sysname-WLAN-BSS1] quit
# 创建服务模板1(加密类型服务模板),配置SSID为dot1x。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] ssid dot1x
# 配置认证方式为开放系统认证,配置信标和探测响应帧携带RSN IE,同时在帧加密时使用加密套件。
[Sysname-wlan-st-1] authentication-method open-system
[Sysname-wlan-st-1] cipher-suite ccmp
[Sysname-wlan-st-1] security-ie rsn
[Sysname-wlan-st-1] service-template enable
[Sysname-wlan-st-1] quit
# 将WLAN-BSS接口与服务模板绑定。
[Sysname] interface wlan-radio1/0/1
[Sysname-WLAN-Radio1/0/1] radio-type dot11ac
[Sysname-WLAN-Radio1/0/1] service-template 1 interface wlan-bss 1
(2) 配置RADIUS server(iMC V3)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置认证、计费共享密钥为12345678;
· 设置认证及计费的端口号分别为1812和1813;
· 选择协议类型为LAN接入业务;
· 选择接入设备类型为H3C;
· 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图1-11 增加接入设备
# 增加服务配置。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置服务名为dot1x;
· 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。
图1-12 增加服务配置页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
· 添加用户名user;
· 添加帐号名为user,密码为dot1x;
· 选中刚才配置的服务dot1x。
图1-13 增加接入用户
(3) 配置RADIUS server(iMC V5)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0、iMC UAM 5.0),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置认证、计费共享密钥为12345678,其它保持缺省配置;
· 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图1-14 增加接入设备
# 增加服务配置。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置服务名为dot1x;
图1-15 增加服务配置页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
· 添加用户user;
· 添加帐号名为user,密码为dot1x;
· 选中刚才配置的服务dot1x。
图1-16 增加接入用户
(4) 验证结果
无线客户端通过802.1X认证成功关联AP,并且可以访问无线网络。
可以使用display wlan client verbose、display connection和display dot1x命令查看上线的无线客户端。
· FAT AP和RADIUS服务器通过二层交换机建立连接。FAT AP的IP地址为10.18.1.1, RADIUS服务器的IP地址为10.18.1.88。
· 要求无线客户端使用动态WEP加密方式接入网络。
图1-17 动态WEP加密-802.1X认证典型配置组网图
(1) 配置FAT AP
# 使能端口安全。
<Sysname> system-view
[Sysname] port-security enable
# 配置802.1X用户的认证方式为EAP。
[Sysname] dot1x authentication-method eap
# 创建RADIUS方案rad,指定extended类型的RADIUS服务器,表示支持与服务器交互扩展报文。
[Sysname] radius scheme rad
[Sysname-radius-rad] server-type extended
# 配置主认证RADIUS服务器的IP地址10.18.1.88,主计费RADIUS服务器的IP地址10.18.1.88。
[Sysname-radius-rad] primary authentication 10.18.1.88
[Sysname-radius-rad] primary accounting 10.18.1.88
# 配置系统与认证RADIUS服务器交互报文时的共享密钥为12345678,系统与计费RADIUS服务器交互报文时的共享密钥为12345678。
[Sysname-radius-rad] key authentication 12345678
[Sysname-radius-rad] key accounting 12345678
[Sysname-radius-rad] user-name-format without-domain
[Sysname-radius-rad] quit
# 添加认证域bbb,并为该域指定对应的RADIUS认证方案为rad。
[Sysname] domain bbb
[Sysname-isp-bbb] authentication lan-access radius-scheme rad
[Sysname-isp-bbb] authorization lan-access radius-scheme rad
[Sysname-isp-bbb] accounting lan-access radius-scheme rad
[Sysname-isp-bbb] quit
[Sysname] domain default enable bbb
# 配置WLAN-BSS接口,认证方式为userlogin-secure-ext。
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] port-security port-mode userlogin-secure-ext
# 关闭802.1X多播触发功能和在线用户握手功能。
[Sysname-WLAN-BSS1] undo dot1x multicast-trigger
[Sysname-WLAN-BSS1] undo dot1x handshake
[Sysname-WLAN-BSS1] quit
# 创建服务模板1(加密类型服务模板),配置SSID为dot1x,并开启动态WEP加密。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] authentication-method open-system
[Sysname-wlan-st-1] ssid dot1x
[Sysname-wlan-st-1] wep mode dynamic
[Sysname-wlan-st-1] service-template enable
[Sysname-wlan-st-1] quit
# 将WLAN-BSS接口与服务模板绑定。
[Sysname] interface wlan-radio1/0/1
[Sysname-WLAN-Radio1/0/1] radio-type dot11ac
[Sysname-WLAN-Radio1/0/1] service-template 1 interface wlan-bss 1
(2) 配置RADIUS server(iMC V3)
请参考“1.3.3 3. (2)配置RADIUS server(iMC V3)”部分。
(3) 配置RADIUS server(iMC V5)
请参考“1.3.3 3. (3)配置RADIUS server(iMC V5)”部分。
(4) 配置无线网卡
双击桌面的右下角图标,在弹出“无线网络连接状态”窗口上点击“属性”,在弹出的属性页面中单击<添加>按钮,选择关联页签,添加名为“dot1x”的SSID,并确保选择了“自动为我提供此密钥(H)”。
图1-18 无线网卡配置过程(关联对话框)
(5) 验证结果
· 在无线客户端弹出的对话框中输入用户名user和密码dot1x。无线客户端可以成功关联AP,并且可以访问无线网络。
· 可以使用display wlan client verbose、display connection和display dot1x命令查看上线的无线客户端。
本节内容包括了加密套件配置中使用到的所有组合方式。
对于RSN,无线安全支持CCMP和TKIP作为成对密钥,而WEP只用作组加密套件。下面是无线安全支持的RSN的加密套件组合方式(WEP40、WEP104和WEP128不能同时存在)。
表1-20 RSN的加密套件组合方式
单播密钥 |
广播密钥 |
认证方式 |
安全类型 |
CCMP |
WEP40 |
PSK |
RSN |
CCMP |
WEP104 |
PSK |
RSN |
CCMP |
WEP128 |
PSK |
RSN |
CCMP |
TKIP |
PSK |
RSN |
CCMP |
CCMP |
PSK |
RSN |
TKIP |
WEP40 |
PSK |
RSN |
TKIP |
WEP104 |
PSK |
RSN |
TKIP |
WEP128 |
PSK |
RSN |
TKIP |
TKIP |
PSK |
RSN |
CCMP |
WEP40 |
802.1X |
RSN |
CCMP |
WEP104 |
802.1X |
RSN |
CCMP |
WEP128 |
802.1X |
RSN |
CCMP |
TKIP |
802.1X |
RSN |
CCMP |
CCMP |
802.1X |
RSN |
TKIP |
WEP40 |
802.1X |
RSN |
TKIP |
WEP104 |
802.1X |
RSN |
TKIP |
WEP128 |
802.1X |
RSN |
TKIP |
TKIP |
802.1X |
RSN |
对于WPA,无线安全支持CCMP和TKIP作为成对密钥,而WEP只用作组加密套件。下面是无线安全支持的WPA的加密套件组合方式(WEP40、WEP104和WEP128不能同时存在)。
表1-21 WPA的加密套件组合方式
单播密钥 |
广播密钥 |
认证方式 |
安全类型 |
CCMP |
WEP40 |
PSK |
WPA |
CCMP |
WEP104 |
PSK |
WPA |
CCMP |
WEP128 |
PSK |
WPA |
CCMP |
TKIP |
PSK |
WPA |
CCMP |
CCMP |
PSK |
WPA |
TKIP |
WEP40 |
PSK |
WPA |
TKIP |
WEP104 |
PSK |
WPA |
TKIP |
WEP128 |
PSK |
WPA |
TKIP |
TKIP |
PSK |
WPA |
CCMP |
WEP40 |
802.1X |
WPA |
CCMP |
WEP104 |
802.1X |
WPA |
CCMP |
WEP128 |
802.1X |
WPA |
CCMP |
TKIP |
802.1X |
WPA |
CCMP |
CCMP |
802.1X |
WPA |
TKIP |
WEP40 |
802.1X |
WPA |
TKIP |
WEP104 |
802.1X |
WPA |
TKIP |
WEP128 |
802.1X |
WPA |
TKIP |
TKIP |
802.1X |
WPA |
对于Pre RSN无线客户端,无线安全仅支持WEP加密套件(WEP40、WEP104和WEP128不能同时存在)。
表1-22 Pre RSN的加密套件组合方式
广播密钥 |
认证方式 |
安全类型 |
|
WEP40 |
WEP40 |
Open system |
no Sec Type |
WEP104 |
WEP104 |
Open system |
no Sec Type |
WEP128 |
WEP128 |
Open system |
no Sec Type |
WEP40 |
WEP40 |
Shared key |
no Sec Type |
WEP104 |
WEP104 |
Shared key |
no Sec Type |
WEP128 |
WEP128 |
Shared key |
no Sec Type |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!