07-H3C WA系列WPA2-PSK典型配置举例
本章节下载: 07-H3C WA系列WPA2-PSK典型配置举例 (139.14 KB)
H3C WA系列 WPA2-PSK典型配置举例
关键词:WPA2,PSK
摘 要:随着无线网络应用的广泛普及,越来越多无线用户出现,使得无线安全问题凸显出来,PSK认证可以实现利用共享密钥的方式对无线用户进行控制,对无线数据机密进行保护。
缩略语:
缩略语 |
英文全名 |
中文解释 |
WPA2 |
Wi-Fi Protected Access version 2 |
WPA版本2 |
PSK |
presharedKey |
共享密钥 |
802.11协议提供的无线安全性能可以很好地抵御一般性网络攻击,但是仍有少数黑客能够入侵无线网络,从而无法充分保护包含敏感数据的网络。为了更好的防止未授权用户接入网络,需要实施一种性能高于802.11的高级安全机制。为了克服以上问题,将WLAN安全特性合入Comware系统来增强系统的安全性和健壮性,该特性通过检查WLAN-MAC的方式提供802.11客户端的安全接入。
当使用明文传输数据时,由于无线的开发性,其他无线用户能够窃听到所传输的数据,这对用户的数据安全提出了挑战。通过对数据进行加密,能够有效的防止信息泄漏。目前WLAN数据加密有WEP、TKIP、CCMP等方式。TKIP、CCMP相对于WEP来说,要安全的多。WA系列AP上,无论WPA网络还是WAP2网络,都支持TKIP和CCMP两种加密方式或者混合加密。
本配置举例中的AP使用的是WA2200无线局域网接入点。
本典型举例通过在AP的WLAN-BSS 2端口上启用WPA2加密和PSK认证来达到对接入点Client1数据进行保护的目的。
图3-1 AP PSK认证组网图
配置WPA2加密,需要配置以下内容:
l 创建启用PSK认证的无线口;
l 创建启用RSN加密的服务模版;
l 在射频口把服务模板和无线口绑定。
[AP]display version
H3C Comware Platform Software
Comware Software, Version 5.20, 0001
Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes
CPU type: AMCC PowerPC 266MHz
64M bytes SDRAM Memory
8M bytes Flash Memory
Pcb Version: Ver.A
Basic BootROM Version: 1.04
Extend BootROM Version: 1.04
[SLOT 1]CON (Hardware)Ver.A, (Driver)1.0
[SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]ETH1/0/2 (Hardware)Ver.A, (Driver)1.0
<AP>display current-configuration
#
version 5.00, 0001
#
sysname AP
#
domain default enable system
#
port-security enable
#
vlan 1
#
radius scheme system
primary authentication 127.0.0.1
primary accounting 127.0.0.1
key authentication h3c
key accounting h3c
accounting-on enable
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
wlan service-template 2 crypto
ssid h3c-wpa2-psk
authentication-method open-system
cipher-suite ccmp
security-ie rsn
service-template enable
#
interface NULL0
#
interface Vlan-interface1
ip address 192.168.1.50 255.255.255.0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2
#
interface WLAN-BSS2
port-security port-mode psk
port-security tx-key-type 11key
port-security preshared-key pass-phrase 12345678
#
interface WLAN-Radio1/0/1
#
interface WLAN-Radio1/0/2
service-template 2 interface wlan-bss 2
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
#
user-interface con 0
user-interface vty 0 4
#
return
在RSN接入端(AP)配置RSN
(1) 启用port-security
[AP]port-security enable
(2) 配置无线接口,认证方式为PSK
[AP]interface WLAN-BSS2
# 配置无线端口WLAN-BSS2的端口安全模式为psk。
[AP-WLAN-BSS2]port-security port-mode psk
# 在接口WLAN-BSS2下使能11key类型的密钥协商功能。
[AP-WLAN-BSS2]port-security tx-key-type 11key
# 在接口WLAN-BSS2下配置预共享密钥为12345678。
[AP-WLAN-BSS2]port-security preshared-key pass-phrase 12345678
(3) 配置无线服务模板(下面的RSN即WPA2)
# 创建一个crypto类型的服务模板2。
[AP-wlan-rp-rp]wlan service-template 2 crypto
# 设置服务模板2的SSID为h3c-wpa2-psk。
[AP-wlan-st-2]ssid h3c-wpa2-psk
# 使能开放式系统认证。
[AP-wlan-st-2]authentication-method open-system
# 使能CCMP加密套件。
[AP-wlan-st-2] cipher-suite ccmp
# 配置信标和探查帧携带RSN IE信息。
[AP-wlan-st-2] security-ie rsn
# 使能服务模板2。
[AP-wlan-st-2]service-template enable
(4) 在射频口WLAN-Radio 1/0/2绑定无线服务模板2和无线口WLAN-BSS 2。
[AP]interface WLAN-Radio 1/0/2
[AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2
(5) 配置VLAN虚接口
[AP1]interface Vlan-interface1
[AP-Vlan-interface1]ip address 192.168.1.50 255.255.255.0
(6) 配置缺省路由
[AP-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
(1) 配置客户端采用RSN,CCMP方式可以正常连接到AP上。
(2) 调用display wlan client verbose,可以看到连接的客户端确实是以RSN,CCMP方式连接上来的(Authentication Method:Open System,AKM Method: PSK,Encryption Cipher: CCMP)。
<AP>display wlan client verbose
Total Number of Clients : 1
Total Number of Clients Connected : 1
Client Information
--------------------------------------------------------------------------
MAC Address : 0017-9a00-7b47
AID : 376
Radio Interface : WLAN-Radio1/0/2
SSID : h3c-wpa2-psk
BSSID : 000f-e2c0-0103
VLAN : 1
State : Running
Power Save Mode : Active
Wireless Mode : 11g
QoS Mode : WMM
Listen Interval (Beacon Interval) : 10
RSSI : 41
SNR : -NA-
Client Type : RSN
Authentication Method : Open System
AKM Method : PSK
4-Way Handshake State : PTKINITDONE
Group Key State : IDLE
Encryption Cipher : CCMP
Roam Status : Normal
Up Time (hh:mm:ss) : 00:01:34
--------------------------------------------------------------------------
标准号 |
标题 |
IEEE 802.11i |
802.11i IEEE Standard for Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements |
l 《H3C WA系列无线接入点设备 用户手册》“WLAN分册”中的“WLAN”。
l 《H3C WA系列无线接入点设备 用户手册》“安全分册”中的“端口安全”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!