1 知识点
1 . 1 身份认证与密钥管理模式
AKM 802.11i 协议采用 AKM(Authentication and Key Management ,身份认证与密钥管理) 对用户身份的合法性进行认证,对密钥的生成、更新进行动态管理。
AKM 分为 802.1X、Private-PSK 和 PSK 三种模式:
• 802.1X:采用802.1X认证对用户进行身份认证,并在认证过程中生成PMK(Pairwise Master Key,成对主密钥),客户端和 AP 使用该 PMK 生成 PTK(Pairwise Transient Key,成对临 时密钥)。 (1) Authentication request (2) Authentication response(Challenge text) (3) Authentication(Encrypted challenge text) (4) Authentication response(Success) Client AP 1-3
• Private-PSK:采用 PSK(Pre-Shared Key,预共享密钥)认证进行身份认证,使用客户端的 MAC 地址作为 PSK 密钥生成 PMK,客户端和 AP 使用该 PMK 生成 PTK。
• PSK:采用 PSK 认证进行身份认证,并通过 PSK 密钥生成 PMK,客户端和 AP 使用该 PMK 生成 PTK
1. 2 加密套件
802.11i采用 TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议) 和 CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议) 两种加密机制来保护用户数据安全。
1. TKIP
TKIP 加密机制依然使用 RC4 算法,所以不需要升级原来无线设备的硬件,只需通过软件升级的方 式就可以提高无线网络的安全性。
相比 WEP 加密机制,TKIP 有如下改进:
• 通过增长了算法的 IV(Initialization Vector,初始化向量)长度提高了加密的安全性。相比 WEP 算法,TKIP 直接使用 128 位密钥的 RC4 加密算法,而且将初始化向量的长度由 24 位 加长到 48 位;
• 采用和 WEP 一样的 RC4 加密算法,但其动态密钥的特性很难被攻破,并且 TKIP 支持密钥更 新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;
• 支持 TKIP 反制功能。当 TKIP 报文发生 MIC 错误时,数据可能已经被篡改,也就是无线网络 很可能正在受到攻击。当在一段时间内连续接收到两个 MIC 错误的报文,AP 将会启动 TKIP 反制功能,此时,AP 将通过关闭一段时间无线服务的方式,实现对无线网络攻击的防御。
2. CCMP
CCMP 加密机制使用 AES(Advanced Encryption Standard,高级加密标准)加密算法的 CCM (Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法,CCMP 使得无线网络安 全有了极大的提高。CCMP 包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商 一套密钥,而且密钥可以定时进行更新,进一步提供了 CCMP 加密机制的安全性。在加密处理过程 中,CCMP 也会使用 48 位的 PN(Packet Number)机制,保证每一个加密报文都会使用不同的 PN,在一定程度上提高安全性。
2 组网需求
如 图 1 所示,无线客户端通过 FAT AP 接入网络, IP Network 内部服务器作为 DHCP 服务器为 FAT AP 分配地址, FAT AP 作为 DHCP server 为无线客户端分配地址。现要求:
在 FAT AP 上配置 WPA2-PSK 加密方式,使客户端通过该加密方式接入无线网络。
客户端链路层认证使用开放式系统认证,用户接入认证使用 Bypass 认证的方式实现客户端接入 WLAN 网络的目的。
通过配置客户端和 AP 之间的数据报文采用 PSK 身份认证与密钥管理模式来确保用户数据的传输安全。
加密套件采用 CCMP ,安全信息元素采用 RSN 。
图 1 WPA2-PSK 加密配置组网图
(1) 配置接口 。
# 创建 VLAN 100 及其对应的 VLAN 接口,并为该接口配置 IP 地址, Client 使用该 VLAN 接入无线网络。
< H3C > system-view
[ H3C ] vlan 100
[ H3C -vlan100] quit
[ H3C ] interface vlan-interface 100
[ H3C -Vlan-interface100] ip address 192.1.1.1 24 / 注意:如果需要在实验室上网,这个 IP 要设置了实验室的 IP : 1 0.3.102.X
[ H3C -Vlan-interface100] quit
# 配置上行接口 Vlan-interface 1 自动获得地址。
[ H3C ] interface vlan-interface 1
[ H3C -Vlan-interface1] undo ip address
[ H3C -Vlan-interface1] ip address dhcp-alloc
[ H3C -Vlan-interface1] quit
(2) 配置无线服务模板。
# 创建服务模板 service ,并进入无线服务模板视图。
[ H3C ] wlan service-template service
# 配置 SSID 为 service 。
[ H3C -wlan-st-service] ssid service
# 配置无线服务模板 VLAN 为 100 。
[ H3C -wlan-st-service] vlan 100
# 配置身份认证与密钥管理模式为 PSK 模式,配置 PSK 密钥为明文字符串 12345678 。
[ H3C -wlan-st-service] akm mode psk
[ H3C -wlan-st-service] preshared-key pass-phrase simple 12345678
# 配置加密套件为 CCMP ,安全信息元素为 RSN 。
[ H3C -wlan-st-service] cipher-suite ccmp
[ H3C -wlan-st- service ] security-ie rsn
# 开启无线服务模板。
[ H3C -wlan-st-service] service-template enable
[ H3C -wlan-st-service] quit
(3) 进入 WLAN-Radio 1/0/1 接口,并将无线服务模板 service 绑定到 WLAN-Radio 1/0/1 接口。
[ H3C ] interface wlan-radio 1/0/1
[ H3C -WLAN-Radio1/0/1] service-template service
[ H3C -WLAN-Radio1/0/1] quit
(4) 配置 DHCP 服务。
# 开启 DHCP 功能。
[ H3C ] dhcp enable
# 创建名为 vlan100 的 DHCP 地址池,为 Client 分配 IP 地址,配置地址池动态分配的网段为 192.1.1.0/24 ,网关地址为 192.1.1.1 。
[ H3C ] dhcp server ip-pool vlan100 / 要在实验室上网,以下地址池 同样要 使用实验室 IP 10.3.102.X ,网关要设置为实验室网关 1 0.3.102.1
[ H3C -dhcp-pool-vlan100] network 192.1.1.0 mask 255.255.255.0
[ H3C -dhcp-pool-vlan100] gateway-list 192.1.1.1
[ H3C -dhcp-pool-vlan100] quit
# 在 AP 上使用 display wlan client verbose 命令可以看到 Client 通过 PSK 加密方式接入无线网络。
[ H3C ] display wlan client verbose
Total number of clients: 1
MAC address : 3829-5a40-9589
IPv4 address : 192.1.1.2
IPv6 address : N/A
Username : N/A
AID : 1024
Radio ID : 1
SSID : service
BSSID : d461-fe59-4d20
VLAN ID : 1
Sleep count : 3
Wireless mode : 802.11an
Channel bandwidth : 40MHz
20/40 BSS Coexistence Management : Supported
SM power save : Enabled
SM power save mode : Static
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
STBC RX capability : Supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Block Ack : TID 0 In
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 2
RSSI : 48
Rx/Tx rate : 135/6
Authentication method : Open system
Security mode : RSN
AKM mode : PSK
Cipher suite : CCMP
User authentication mode : Bypass
Authorization ACL ID : N/A
Authorization user profile : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : N/A
Forwarding policy name : N/A
Online time : 0days 0hours 0minutes 8seconds
FT status : Inactive
[ H3C ]display current-configuration
#
version 7.1.064, ESS 2326
#
sysname H3C
#
telnet server enable
#
port-security enable
#
dhcp enable
#
password-recovery enable
#
vlan 1
#
vlan 100
#
dhcp server ip-pool vlan100
gateway-list 192.1.1.1
network 192.1.1.0 mask 255.255.255.0
#
wlan service-template service
ssid service
vlan 100
akm mode psk
preshared-key pass-phrase cipher $c$3$7hZ2DNiI+h/ajPE7DhZbD6Y7py9vqf4721sp
cipher-suite ccmp
security-ie rsn
service-template enable
#
interface NULL0
#
interface Vlan-interface1
ip address dhcp-alloc
#
interface Vlan-interface100
ip address 192.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
#
interface GigabitEthernet1/0/2
#
interface WLAN-Radio1/0/1
service-template service
#
interface WLAN-Radio1/0/2
service-template 1
#
interface WLAN-Radio1/0/3
service-template 1
#
return
《 H3C 无线接入点 命令参考》中的“ WLAN 用户安全命令参考”。
《 H3C 无线接入点 配置指导》中的“ WLAN 用户安全配置指导”。
《 H3C 无线接入点 命令参考》中的“ WLAN 接入命令参考”。
《 H3C 无线接入点 配置指导》中的“ WLAN 接入配置指导”。
7 部分 命令解释
security-ie { osen | rsn | wpa } *
undo security-ie { osen | rsn | wpa } *
【缺省情况】
信标和探查响应帧不携带 WPA IE 、 RSN IE 或 OSEN IE 。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
osen : 二层认证加密 , 设置在 AP 发送信标和探查响应帧时携带 OSEN IE 。 OSEN IE 通告了 AP 的 OSEN 能力。
rsn :设置在 AP 发送信标和探查响应帧时携带 RSN IE 。 RSN IE 通告了 AP 的 RSN 能力。
wpa :设置在 AP 发送信标和探查响应帧时携带 WPA IE 。 WPA IE 通告了 AP 的 WPA 能力。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置,并且必须要配置 CCMP 或 TKIP 加密套件。
当 WLAN 网络采用 RSNA 安全机制时,必须配置安全 IE 。
若配置了安全 IE 为 OSEN IE ,则只能配置认证密钥管理模式为 Wi-Fi 联盟匿名 802.1X 模式。
【举例】
# 配置信标帧和探查响应帧携带 RSN 信息元素。
<Sysname > system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] security-ie rsn
dis play wlan device role 查看 AP 当前工作模式(云、廋、 an chor )