认证与加密

本帮助主要介绍以下内容:

特性简介

WLAN认证与加密总共分为三个级别,分别为:

运行机制

安全机制

个人级和商业级支持开放网络和PSK的安全机制,企业级仅支持802.1X的安全机制。

身份认证

身份认证即基于用户进行接入管理,客户端通过身份认证后才可以上网。个人级不支持配置身份认证,不同安全机制支持的身份认证方式不同。

加密模式

开放网络的安全机制不支持加密模式,个人级PSK安全机制、商业级PSK安全机制和企业级支持加密模式。

适用场景

认证与加密技术适用于如下场景:需要提供WLAN接入安全性的场景。

配置指南

基础配置

基础配置的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 选择“个人级(缺省)”、“商业级”或“企业级”。

  3. 配置安全机制。不同安全级别支持的安全机制不同:

    • 个人级:开放网络,PSK。

    • 商业级:开放网络,PSK。

    • 企业级:802.1X。

  4. 选择身份认证方式。不同安全级别支持的身份认证不同:

    • 个人级:不支持。

    • 商业级:MAC认证、Portal认证、MAC认证和Portal认证、MAC认证或Portal认证、Portal MAC-Trigger无感知认证。

    • 企业级:802.1X认证(加密)、MAC认证和802.1X认证(加密)。

  5. 配置身份认证参数。不同身份认证需要配置的内容不同:

    • MAC认证:选择ISP域。

      如果需要修改MAC认证全局配置,可以点击<MAC认证全局配置>按钮,跳转至MAC认证页面进行全局配置。

    • Portal认证:全局配置、认证方式、ISP域、Portal Web服务器,选择远程认证时需配置BAS-IP和Portal认证服务器;选择本地认证时需配置本地Portal web服务器。

      当选择同时进行IPv4 Portal认证和IPv6 Portal认证时,可以开启单次认证双栈放行功能,用户只需要通过IPv4 Portal或IPv6 Portal认证其中任何一种,就可以访问IPv4和IPv6两种协议栈对应的网络资源。

      本页面提供了一系列按钮,用于直接跳转至Portal认证页面进行全局配置。包括<前往配置Portal认证全局配置>按钮,<前往配置Portal免认证规则>按钮,认证方式选择远程认证时会出现<前往配置Portal认证服务器>按钮,认证方式选择本地认证时会出现<前往配置本地Portal web服务器>按钮。

    • MAC认证和Portal认证:包含MAC认证和Portal认证的全部内容。

    • MAC认证或Portal认证:包含MAC认证和Portal认证的全部内容。

    • Portal MAC-Trigger无感知认证:全局配置、认证方式、ISP域、Portal Web服务器、MAC-Trigger,选择远程认证时需配置BAS-IP和Portal认证服务器;选择本地认证时需配置本地Portal web服务器。

    • 802.1X认证(加密):选择ISP域。

    • MAC认证和802.1X认证(加密):包含MAC认证和802.1X认证的全部内容。

高级配置

加密套件

WLAN网络用于保护用户数据安全的加密机制。

加密套件的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的高级配置栏目中,根据实际需要选择加密套件。

    • CCMP:使用AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法,包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会使用不同的PN,在一定程度上提高安全性。

    • CCMP和TKIP:同时支持CCMP和TKIP。

    • TKIP:使用RC4算法的加密机制。

    • GCMP:新一代加密套件,相比于CCMP有更快的加密速度和更少的开销。

保护管理帧

本功能将对通信过程中的管理帧进行保护。

保护管理帧的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的高级配置栏目中,开启保护管理帧功能。

  3. 根据实际需要开启仅支持保护管理帧功能的终端接入。

MAC认证

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的高级配置栏目中,配置MAC认证的最大用户数。

802.1X认证

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的高级配置栏目中,配置802.1X认证的最大用户数。

  3. 根据实际需要开启在线用户握手功能。开启本功能后,设备将周期性地向通过认证的802.1X用户单播握手报文,并根据用户是否回复报文来检测用户的在线状态,如果连续发送握手报文的次数达到了802.1X报文的最大重发次数,还未能收到用户响应,则强制用户下线。

  4. 根据实际需要开启周期性重认证功能。开启本功能后,设备将周期性地对在线802.1X用户发起重认证,用于检测用户连接状态的变化,并更新服务器下发的ACL、VLAN和User Profile属性。

逃生

开启逃生功能后,当AC与RADIUS服务器断开连接,或AC与AP断开连接时,AP会继续为无线服务下的802.1X、MAC认证以及不认证用户提供数据转发及接入服务,从而使用户逃生,继续访问网络。

需要注意的是:

逃生的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的高级配置栏目中,开启逃生功能,并根据实际需要进行如下参数配置。

    表-1 逃生相关参数

    参数

    说明

    工作形式

    可配置项及含义:

    • 使用当前无线服务逃生(缺省):用户在当前无线服务进行逃生,即断开连接后,用户依旧使用该服务访问网络

    • 使用逃生服务逃生:用户通过专用的逃生服务模板进行逃生,即断开连接后,用户服务切换至逃生模板,用户可以手动连接逃生服务的SSID继续访问网络

    逃生时在线用户状态

    可配置项及含义:

    • 全部下线(缺省):断开连接时,用户将全部下线,短暂等待后,便可以继续访问网络

    • 全部保持在线:断开连接后,用户将继续访问网络且无感知

    • 被授权了重定向URL的用户下线:若上线的MAC认证用户被授权了重定向URL后发生了逃生,则强制用户下线,否则依然保持在线。本参数仅对MAC地址认证生效

密钥管理

密钥用于对数据进行加密来提高WLAN网络的安全性。密钥管理机制定义了密钥的生成和密钥的更新等一系列的过程,以此来确保每个用户使用安全的密钥。

密钥的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的高级配置栏目中,进行密钥管理配置,配置项及含义如下:

    • PTK更新:是对单播数据报文的加密密钥进行更新的一种安全手段。采用重新进行四次握手协商出新的PTK密钥,来对PTK密钥进行更新。开启本功能后,将按照PTK生存时间周期性的更新PTK。适用于TKIP或CCMP加密套件。

    • GTK更新:与PTK更新类似,是对广播组播数据报文的加密密钥进行更新的一种安全手段。可以基于时间周期性更新,也可以基于数据包更新(AP发送指定数量的广播和组播报文时更新),还可以在终端离线时更新在线终端的PTK。适用于TKIP或CCMP加密套件。

    • 发起TKIP反制:TKIP可以通过配置反制时间的方式启动反制策略,来阻止黑客的攻击。开启本功能后,如果相邻两次MIC错误的时间间隔小于等于配置的时间,则会解除所有关联到该无线服务的终端,在反制时间后才允许终端重新建立连接。适用于TKIP加密套件。

计费

无线客户端通过802.1X认证或者MAC地址认证方式上线后,设备会根据配置的计费延时的时间和触发计费开始的无线客户端IP地址类型决定是否向计费服务器发送计费开始请求报文,当计费服务器返回计费开始响应报文后开始对客户端进行计费。

计费的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的高级配置栏目中,配置触发计费开始的终端IP类型。

  3. 配置计费延时功能,配置项及含义如下:

    • 开启计费延时功能。

    • 配置计费延时时长。

    • 开启终端未获取到IP时强制下线功能:开启本功能后,终端未获取到IP地址时将被强制下线。

  4. 配置IP地址变化立即发送计费更新报文功能:开启本功能后,当客户端IP地址发生变化时,首先设备会立即向计费服务器发送计费停止报文,然后经过配置的重新发送计费开始报文的延时时间,再重新向计费服务器发送计费开始报文,对客户端进行重新计费。

认证位置

设备在分层AC中作为Cenrtal AC时,在高级功能栏目配置认证位置;设备不支持分层AC,或在分层AC中作为Local AC时,在专家配置栏目配置认证位置。

认证位置的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的高级配置栏目中,选择认证位置。

专家配置

专家配置非必要配置,如配置不当可能会影响网络使用,如有需要请在专业技术人员指导下操作。

认证位置

设备在分层AC中作为Cenrtal AC时,在高级功能栏目配置认证位置;设备不支持分层AC,或在分层AC中作为Local AC时,在专家配置栏目配置认证位置。

认证位置的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的专家配置栏目中,选择认证位置。

密钥衍生算法

当使用RSNA安全机制时,客户端和AP使用密钥衍生算法来产生PTK/GTK。目前支持的散列算法有两种,分别是SHA1和SHA256。SHA1使用HMAC-SHA1算法进行迭代计算产生密钥,SHA256使用HMAC-SHA256算法进行迭代计算产生密钥。SHA256安全散列算法的安全性比SHA1安全散列算法安全性高。

密钥衍生算法的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的专家配置栏目中,配置密钥衍生算法的类型。

NAS-Port-Type

RADIUS标准属性NAS-Port-Type用于表示用户接入的端口类型。缺省情况下,无线服务模板上有802.1X或者MAC地址认证用户上线时,设备向RADIUS服务器发送的RADUIS请求报文中填充的为自动获取到的NAS-Port-Type属性值WLAN-IEEE 802.11。若无线服务模板配置了NAS-Port-Type,则使用本命令配置的值填充该属性。对于要使用RADIUS服务器进行802.1X或者MAC地址认证的用户,需要通过本命令将RADIUS请求报文的NAS-Port-Type类型配置为RADIUS服务器支持的类型。

NAS-Port-Type的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的专家配置栏目中,配置NAS-Port-Type的类型。

终端使用VLAN优先级

缺省情况下,终端优先使用授权VLAN上线。

NAS-Port-Type的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的专家配置栏目中,配置终端优先使用授权VLAN或优先使用漫游VLAN。

授权

授权的具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的专家配置栏目中,配置忽略授权功能。开启本功能后,设备会忽略RADIUS服务器和设备本地下发的授权信息。

    缺省情况下,当用户通过RADIUS认证或本地认证后,RADIUS服务器或设备将根据用户账号配置的相关属性进行授权,比如动态下发VLAN等。若不希望接受这类动态下发的授权属性,则可通过开启本功能来忽略。

  3. 配置授权失败后强制用户下线功能。开启本功能后,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,将强制用户下线;

    关闭本功能后,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,用户保持在线,授权ACL、User Profile不生效。

入侵检测

当设备检测到一个未通过认证的用户试图访问网络时,如果开启入侵检测功能,设备将对其所在的BSS采取相应的安全策略,具体配置步骤如下:

  1. 选择“配置 > 无线服务 > 无线服务 > 认证与加密”。

  2. 在认证与加密页面的专家配置栏目中,开启入侵检测功能。

  3. 配置入侵检测模式:

    • 临时将用户MAC加入阻塞MAC列表中(缺省):如果设备检测到未通过认证用户的关联请求报文,临时将该报文的源MAC地址加入阻塞MAC地址列表中,在一段时间内,源MAC地址为此非法MAC地址的无线客户端将不能和AP建立连接,在这段时间过后恢复正常。该MAC地址的阻塞时间由阻塞非法入侵用户时长决定。

    • 临时关闭收到非法报文的无线服务:关闭收到未通过认证用户的关联请求报文的BSS一段时间,该时间由临时关闭服务时长决定。

    • 直接关闭收到非法报文的无线服务:直接关闭收到未通过认证用户的关联请求报文的BSS所提供的服务,直到用户在Radio口上重新生成该BSS。