选择区域语言: EN CN HK

H3C WA系列Fat AP典型配置案例集-6W104

07-H3C WA系列WPA2-PSK典型配置举例

本章节下载  (139.14 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Configure/Typical_Configuration_Example/H3C_WA_Fat_AP-6W104/201909/1225114_30005_0.htm

07-H3C WA系列WPA2-PSK典型配置举例

H3C WA系列 WPA2-PSK典型配置举例

关键词:WPA2,PSK

 要:随着无线网络应用的广泛普及,越来越多无线用户出现,使得无线安全问题凸显出来,PSK证可以实现利用共享密钥的方式对无线用户进行控制,对无线数据机密进行保护。

缩略语:

缩略语

英文全名

中文解释

WPA2

Wi-Fi Protected Access version 2

WPA版本2

PSK

presharedKey

共享密钥

 



1 特性简介

802.11协议提供的无线安全性能可以很好地抵御一般性网络攻击,但是仍有少数黑客能够入侵无线网络,从而无法充分保护包含敏感数据的网络。为了更好的防止未授权用户接入网络,需要实施一种性能高于802.11的高级安全机制。为了克服以上问题,将WLAN安全特性合入Comware系统来增强系统的安全性和健壮性,该特性通过检查WLAN-MAC的方式提供802.11客户端的安全接入。

2 应用场合

当使用明文传输数据时,由于无线的开发性,其他无线用户能够窃听到所传输的数据,这对用户的数据安全提出了挑战。通过对数据进行加密,能够有效的防止信息泄漏。目前WLAN数据加密有WEP、TKIP、CCMP等方式。TKIP、CCMP相对于WEP来说,要安全的多。WA系列AP上,无论WPA网络还是WAP2网络,都支持TKIP和CCMP两种加密方式或者混合加密。

3 配置举例

3.1  组网需求

本配置举例中的AP使用的是WA2200无线局域网接入点。

 

本典型举例通过在AP的WLAN-BSS 2端口上启用WPA2加密和PSK认证来达到对接入点Client1数据进行保护的目的。

图3-1 AP PSK认证组网图

 

3.2  配置思路

配置WPA2加密,需要配置以下内容:

l              创建启用PSK认证的无线口;

l              创建启用RSN加密的服务模版;

l              在射频口把服务模板和无线口绑定。

3.3  使用版本

[AP]display version

H3C Comware Platform Software

Comware Software, Version 5.20, 0001

Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes

 

 CPU type: AMCC PowerPC 266MHz

 64M bytes SDRAM Memory

 8M bytes Flash Memory

 Pcb             Version:  Ver.A

 Basic  BootROM  Version:  1.04

 Extend BootROM  Version:  1.04

 [SLOT  1]CON           (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]RADIO1/0/1    (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]RADIO1/0/1    (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]ETH1/0/1      (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]ETH1/0/2      (Hardware)Ver.A, (Driver)1.0

 

3.4  配置AP RSN加密

1. 配置文件

<AP>display current-configuration

#

 version 5.00, 0001

#

 sysname AP

#

 domain default enable system

#

 port-security enable

#

vlan 1

#

radius scheme system

 primary authentication 127.0.0.1

 primary accounting 127.0.0.1

 key authentication h3c

 key accounting h3c

 accounting-on enable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

wlan service-template 2 crypto

 ssid h3c-wpa2-psk

authentication-method open-system

 cipher-suite ccmp

 security-ie rsn

 service-template enable

#

interface NULL0

#

interface Vlan-interface1

 ip address 192.168.1.50 255.255.255.0

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface WLAN-BSS2

 port-security port-mode psk

 port-security tx-key-type 11key

port-security preshared-key pass-phrase 12345678

#

interface WLAN-Radio1/0/1

#

interface WLAN-Radio1/0/2

 service-template 2 interface wlan-bss 2

#

 ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

#

user-interface con 0

user-interface vty 0 4

#

return

2. 配置步骤

在RSN接入端(AP)配置RSN

(1)        启用port-security

[AP]port-security enable

(2)        配置无线接口,认证方式为PSK

[AP]interface WLAN-BSS2

# 配置无线端口WLAN-BSS2的端口安全模式为psk

[AP-WLAN-BSS2]port-security port-mode psk

# 在接口WLAN-BSS2下使能11key类型的密钥协商功能。

[AP-WLAN-BSS2]port-security tx-key-type 11key

# 在接口WLAN-BSS2下配置预共享密钥为12345678。

[AP-WLAN-BSS2]port-security preshared-key pass-phrase 12345678

(3)        配置无线服务模板(下面的RSN即WPA2)

# 创建一个crypto类型的服务模板2。

[AP-wlan-rp-rp]wlan service-template 2 crypto

# 设置服务模板2的SSID为h3c-wpa2-psk。

[AP-wlan-st-2]ssid h3c-wpa2-psk

# 使能开放式系统认证。

[AP-wlan-st-2]authentication-method open-system 

# 使能CCMP加密套件。

[AP-wlan-st-2] cipher-suite ccmp

# 配置信标和探查帧携带RSN IE信息。

[AP-wlan-st-2] security-ie rsn

# 使能服务模板2。

[AP-wlan-st-2]service-template enable

(4)        在射频口WLAN-Radio 1/0/2绑定无线服务模板2和无线口WLAN-BSS 2。

[AP]interface WLAN-Radio 1/0/2

[AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2

(5)        配置VLAN虚接口

[AP1]interface Vlan-interface1

[AP-Vlan-interface1]ip address 192.168.1.50 255.255.255.0

(6)        配置缺省路由

[AP-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

3.5  验证结果

(1)        配置客户端采用RSN,CCMP方式可以正常连接到AP上。

(2)        调用display wlan client verbose,可以看到连接的客户端确实是以RSN,CCMP方式连接上来的(Authentication Method:Open System,AKM Method: PSK,Encryption Cipher: CCMP)。

 

<AP>display wlan client verbose

 Total Number of Clients           : 1

 Total Number of Clients Connected : 1

 

                              Client Information

--------------------------------------------------------------------------

 MAC Address                       : 0017-9a00-7b47

 AID                               : 376

 Radio Interface                   : WLAN-Radio1/0/2

 SSID                              : h3c-wpa2-psk

 BSSID                             : 000f-e2c0-0103

 VLAN                              : 1

 State                             : Running

 Power Save Mode                   : Active

 Wireless Mode                     : 11g

 QoS Mode                          : WMM

 Listen Interval (Beacon Interval) : 10

 RSSI                              : 41

 SNR                               : -NA-

 Client Type                       : RSN

 Authentication Method             : Open System

 AKM Method                        : PSK

 4-Way Handshake State             : PTKINITDONE

 Group Key State                   : IDLE

 Encryption Cipher                 : CCMP

 Roam Status                       : Normal

 Up Time (hh:mm:ss)                : 00:01:34

--------------------------------------------------------------------------

 

4 相关资料

4.1  相关协议和标准

表4-1 相关协议与标准

标准号

标题

IEEE 802.11i

802.11i IEEE Standard for Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements

 

4.2  其它相关资料

l              《H3C WA系列无线接入点设备 用户手册》“WLAN分册”中的“WLAN”。

l              《H3C WA系列无线接入点设备 用户手册》“安全分册”中的“端口安全”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!