H3C ICG 系列信息通信网关 WLAN 配置指导 杭州华三通信技术有限公司 资料版本 :6PW 产品版本 :ICG-CMW520-R2207

Transcription

1 H3C ICG 系列信息通信网关 WLAN 配置指导 杭州华三通信技术有限公司 资料版本 :6PW 产品版本 :ICG-CMW520-R2207

2 Copyright 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 H3C Aolynk H 3 Care TOP G IRF NetPilot Neocean NeoVTL SecPro SecPoint SecEngine SecPath Comware Secware Storware NQA VVG V 2 G V n G PSPT XGbus N-Bus TiGem InnoVision HUASAN 华三均为杭州华三通信技术有限公司的商标 对于本手册中出现的其它公司的商标 产品标识及商品名称, 由各自权利人拥有 由于产品版本升级或其他原因, 本手册内容有可能变更 H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利 本手册仅作为使用指导,H3C 尽全力在本手册中提供准确的信息, 但是 H3C 并不确保手册内容完全没有错误, 本手册中的所有陈述 信息和建议也不构成任何明示或暗示的担保

3 前言 H3C ICG 系列信息通信网关配置指导共分为十七本手册, 介绍了 ICG 系列信息通信网关各软件特性的原理及其配置方法, 包含原理简介 配置任务描述和配置举例 WLAN 配置指导 主要介绍 WLAN 指导相关的配置, 包括 WLAN 接口 WLAN RRM WLAN 安全 WLAN IDF WLAN QoS 和 WAPI 等 前言部分包含如下内容 : 读者对象 本书约定 产品配套资料 资料获取方式 技术支持 资料意见反馈 读者对象 本手册主要适用于如下工程师 : 网络规划人员 现场技术支持与维护人员 负责网络配置和维护的网络管理员 本书约定 1. 命令行格式约定 格式意义 粗体 斜体 命令行关键字 ( 命令中保持不变 必须照输的部分 ) 采用加粗字体表示 命令行参数 ( 命令中必须由实际值进行替代的部分 ) 采用斜体表示 [ ] 表示用 [ ] 括起来的部分在命令配置时是可选的 { x y... } 表示从多个选项中仅选取一个 [ x y... ] 表示从多个选项中选取一个或者不选 { x y... } * 表示从多个选项中至少选取一个 [ x y... ] * 表示从多个选项中选取一个 多个或者不选 &<1-n> 表示符号 & 前面的参数可以重复输入 1~n 次 # 由 # 号开始的行表示为注释行

4 2. 图形界面格式约定 格 式 意 义 < > 带尖括号 < > 表示按钮名, 如 单击 < 确定 > 按钮 [ ] 带方括号 [ ] 表示窗口名 菜单名和数据表, 如 弹出 [ 新建用户 ] 窗口 / 多级菜单用 / 隔开 如 [ 文件 / 新建 / 文件夹 ] 多级菜单表示 [ 文件 ] 菜单下的 [ 新建 ] 子菜单下的 [ 文件夹 ] 菜单项 3. 各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方, 这些标志的意义如下 : 该标志后的注释需给予格外关注, 不当的操作可能会对人身造成伤害 提醒操作中应注意的事项, 不当的操作可能会导致数据丢失或者设备损坏 为确保设备配置成功或者正常工作而需要特别关注的操作或信息 对操作内容的描述进行必要的补充和说明 配置 操作 或使用设备的技巧 小窍门 4. 图标约定 本书使用的图标及其含义如下 : 该图标及其相关描述文字代表一般网络设备, 如路由器 交换机 防火墙等 该图标及其相关描述文字代表一般意义下的路由器, 以及其他运行了路由协议的设备 该图标及其相关描述文字代表二 三层以太网交换机, 以及运行了二层协议的设备 5. 端口编号示例约定本手册中出现的端口编号仅作示例, 并不代表设备上实际具有此编号的端口, 实际使用中请以设备上存在的端口编号为准 产品配套资料 H3C ICG 系列信息通信网关的配套资料包括如下部分 : 大类资料名称内容介绍 产品知识介绍 ICG 2000 信息通信网关产品彩页 ICG 2000B 信息通信网关产品彩页 帮助您了解产品的主要规格参数及亮点

5 大类 资料名称 内容介绍 ICG 2200 信息通信网关产品彩页 ICG 3000 信息通信网关产品彩页 ICG 5000 信息通信网关产品彩页 硬件描述与安装 业务配置 运行维护 ICG 系列信息通信网关安装指导 ICG 系列信息通信网关接口模块手册 ICG 系列信息通信网关配置指导 ICG 系列信息通信网关命令参考 ICG 系列信息通信网关 Web 配置指导 ICG 2000 信息通信网关版本说明书 ICG 2000B 信息通信网关版本说明书 ICG 2200 信息通信网关版本说明书 ICG 3000 信息通信网关版本说明书 ICG 5000 信息通信网关版本说明书 帮助您详细了解设备硬件规格和安装方法, 指导您对设备进行安装 帮助您详细了解单板的硬件规格 帮助您掌握设备软件功能的配置方法及配置步骤 详细介绍设备的命令, 相当于命令字典, 方便您查阅各个命令的功能 帮助您掌握通过 Web 界面配置设备的方法及配置步骤 帮助您了解产品版本的相关信息 ( 包括 : 版本配套说明 兼容性说明 特性变更说明 技术支持信息 ) 及软件升级方法 资料获取方式 您可以通过 H3C 网站 ( 获取最新的产品资料 : H3C 网站与产品资料相关的主要栏目介绍如下 : [ 服务支持 / 文档中心 ]: 可以获取硬件安装类 软件升级类 配置类或维护类等产品资料 [ 产品技术 ]: 可以获取产品介绍和技术介绍的文档, 包括产品相关介绍 技术介绍 技术白皮书等 [ 解决方案 ]: 可以获取解决方案类资料 [ 服务支持 / 软件下载 ]: 可以获取与软件版本配套的资料 技术支持 用户支持邮箱 :customer_service@h3c.com 技术支持热线电话 : ( 手机 固话均可拨打 ) 网址 : 资料意见反馈 如果您在使用过程中发现产品资料的任何问题, 可以通过以下方式反馈 :

6 感谢您的反馈, 让我们做得更好!

7 目录 1 WLAN 接口配置 WLAN 接口简介 WLAN-Radio 接口 WLAN-Radio 接口介绍 WLAN-Radio 接口配置 WLAN-BSS 接口 WLAN-BSS 接口介绍 WLAN-BSS 接口配置 WLAN-Ethernet 接口 WLAN-Ethernet 接口介绍 进入 WLAN-Ethernet 接口视图 配置 WLAN-Ethernet 接口 WLAN 接口显示和维护 1-8 i

8 1 WLAN 接口配置 本文所指的 AP 和 FAT AP 代表了 ICG 2000 和 ICG 2000B 信息通信网关 1.1 WLAN 接口简介 无线路由器支持一种实际的物理接口 WLAN-Radio 接口, 此接口提供无线接入服务 无线路由器支持 WLAN-BSS 与 WLAN-Ethernet 类型虚拟接口 WLAN-Radio 接口被视为普通物理接入口, 它可以和 WLAN-BSS 接口 WLAN-Ethernet 接口绑定 1.2 WLAN-Radio 接口 WLAN-Radio 接口介绍 WLAN-Radio 是设备上的一种物理接口, 提供无线接入服务 用户可以配置该接口的参数, 但不可手工删除它 WLAN-Radio 接口配置表 1-1 WLAN-Radio 接口配置 配置步骤命令说明进入系统视图 system-view - 进入 WLAN-Radio 接口视图 设置接口描述信息 interface wlan-radio interface-number description text 必选 可选缺省情况下, 接口的描述信息为 接口名 Interface 恢复 WLAN-Radio 接口的缺省配置 default 可选 关闭 WLAN-Radio 接口 shutdown 可选缺省情况下, 接口处于开启状态 1.3 WLAN-BSS 接口 WLAN-BSS 接口介绍 WLAN-BSS 接口是一种虚拟的二层接口, 类似于 Access 类型的二层以太网接口, 具有二层属性, 并可配置多种二层协议 在无线路由器上,WLAN-Radio 物理接口与此接口绑定后,WLAN-Radio 接口将工作在二层模式 1-1

9 1.3.2 WLAN-BSS 接口配置 表 1-2 WLAN-BSS 接口配置 配置步骤命令说明 进入系统视图 system-view - 进入 WLAN-BSS 接口视图 设置接口描述信息 把当前 WLAN-BSS 接口加入指定 VLAN 指定 MAC 地址认证用户使用的认证域 配置端口同时可容纳接入的 MAC 地址认证用户数量的最大值 恢复 WLAN-BSS 接口的缺省配置 禁用 WLAN-BSS 接口 interface wlan-bss interface-number description text port access vlan vlan-id mac-authentication domain domain-name mac-authentication max-user user-number default shutdown 必选如果指定的 WLAN-BSS 接口不存在, 则该命令先完成 WLAN-BSS 接口的创建, 然后再进入该接口的视图 可选缺省情况下, 接口的描述信息为 接口名 Interface 可选缺省情况下, 当前接口属于 VLAN1, 缺省 VLAN 是 VLAN1 可选缺省情况下, 未指定 MAC 地址认证用户使用的认证域, 使用系统缺省的认证域 可选缺省情况下, 端口可容纳接入用户数量的最大值为 256 可选 可选缺省情况下, 接口处于启用状态 执行 port access vlan 命令前, 请确保 vlan-id 参数标识的 VLAN 已经存在 ( 可以使用 vlan 命令来创建指定的 VLAN) port access vlan 命令的详细介绍请参见 二层技术 - 以太网交换命令参考 中的 VLAN mac-authentication domain 和 mac-authentication max-user 命令的详细介绍请参见 安全配置指导 中的 MAC 地址认证 1.4 WLAN-Ethernet 接口 WLAN-Ethernet 接口介绍 WLAN-Ethernet 接口是一种虚拟的三层接口, 类似于三层以太网接口, 具有三层属性, 能够配置 IP 地址 在无线路由器上 WLAN-Radio 物理接口与此接口绑定后,WLAN-Radio 接口将工作在三层模式 1-2

10 1.4.2 进入 WLAN-Ethernet 接口视图表 1-3 进入 WLAN-Ethernet 接口视图 配置步骤命令说明进入系统视图 system-view - 进入 WLAN-Ethernet 接口视图 恢复 WLAN-Ethernet 接口的缺省配置 interface wlan-ethernet interface-number default 必选如果指定的 WLAN-Ethernet 接口不存在, 则该命令先完成 WLAN-Ethernet 接口的创建, 然后再进入该接口的视图 可选 配置 WLAN-Ethernet 接口 WLAN-Ethernet 接口可以配置 MTU 等基本参数, 还可以配置 ARP DHCP 路由等特性 本节只罗列了 WLAN-Ethernet 接口支持的特性, 关于各特性 命令的详细描述及配置, 请参见平台手册的相应章节 表 1-4 配置 WLAN-Ethernet 接口 操作 命令 qos max-bandwidth 接口配置 ARP 配置 BOOTP 客户端配置 DHCP 服务器配置 shutdown mtu description enable snmp trap updown arp max-learning-num arp proxy enable proxy-arp enable ip address bootp-alloc dhcp select server global-pool DHCP 配置 DHCP 中继配置 DHCP 客户端配置 dhcp relay address-check dhcp relay information enable dhcp relay information format dhcp relay information strategy dhcp relay release dhcp relay server-select dhcp select relay ip address dhcp-alloc IP Accounting 配置 ip count firewall-denied ip count inbound-packets ip count outbound-packets 1-3

11 操作 命令 IP 地址配置 IP 性能配置 IP 单播策略路由配置 UDP HELPER 配置 URPF 配置快速转发配置 IPv6 基础配置 NAT-PT 配置 IS-IS 配置 ip address ip forward-broadcast tcp mss ip policy-based-route udp-helper server ip urpf ip fast-forwarding ipv6 address ipv6 address auto link-local ipv6 mtu ipv6 nd autoconfig managed-address-flag ipv6 nd autoconfig other-flag ipv6 nd dad attempts ipv6 nd ns retrans-timer ipv6 nd nud reachable-time ipv6 nd ra halt ipv6 nd ra interval ipv6 nd ra prefix ipv6 nd ra router-lifetime ipv6 neighbors max-learning-num ipv6 policy-based-route natpt enable isis authentication-mode isis circuit-level isis circuit-type p2p isis cost isis dis-name isis dis-priority isis enable isis mesh-group isis small-hello isis timer csnp isis timer hello isis timer holding-multiplier isis timer lsp isis timer retransmit isis silent 1-4

12 操作 命令 OSPF 配置 RIP 配置 IPv6-IS-IS 配置 IPv6-OSPFv3 配置 IPv6-RIPng 配置 MPLS 基本配置 ospf authentication-mode simple ospf authentication-mode ospf cost ospf dr-priority ospf mtu-enable ospf network-type ospf timer dead ospf timer hello ospf timer poll ospf timer retransmit ospf trans-delay rip authentication-mode rip input rip output rip metricin rip metricout rip poison-reverse rip split-horizon rip summary-address rip version isis ipv6 enable ospfv3 cost ospfv3 mtu-ignore ospfv3 timer dead ospfv3 timer hello ospfv3 timer retransmit ospfv3 area ospfv3 dr-priority ospfv3 trans-delay ripng default-route ripng enable ripng metricin ripng metricout ripng poison-reverse ripng split-horizon ripng summary-address mpls mpls ldp mpls ldp timer hello-hold mpls ldp timer keepalive-hold mpls ldp transport-address 1-5

13 操作 命令 BGP/MPLS VPN 配置 PPPoE 配置 网桥配置 组播路由与转发配置 IPv6 组播路由与转发配置 ip binding vpn-instance pppoe-server bind virtual-template pppoe-client dial-bundle-number bridge-set multicast minimum-ttl multicast ipv6 minimum-hoplimit multicast boundary multicast ipv6 boundary multicast ipv6 minimum-hoplimit multicast ipv6 boundary 组播配置 IGMP 配置 MLD 配置 igmp enable igmp fast-leave igmp group-policy igmp last-member-query-interval igmp max-response-time igmp require-router-alert igmp robust-count igmp send-router-alert igmp static-group igmp timer other-querier-present igmp timer query igmp version mld enable mld last-listener-query-interval mld max-response-time mld require-router-alert mld send-router-alert mld robust-count mld timer other-querier-present mld timer query mld version mld static-group mld group-policy mld fast-leave 1-6

14 操作 命令 QOS 防火墙配置 NAT 配置 Portal 配置 IPSec 配置 PIM 配置 IPv6 PIM 配置 流量监管 / 流量整形 / 物理接口限速配置 QoS 策略配置 拥塞管理配置 pim bsr-boundary pim hello-option pim holdtime pim require-genid pim sm pim dm pim state-refresh-capable pim timer graft-retry pim timer hello pim timer join-prune pim triggered-hello-delay pim ipv6 bsr-boundary pim ipv6 hello-option pim ipv6 holdtime pim ipv6 require-genid pim ipv6 sm pim ipv6 dm pim ipv6 state-refresh-capable pim ipv6 timer graft-retry pim ipv6 timer hello pim ipv6 timer join-prune pim ipv6 triggered-hello-delay qos car qos gts any cir qos gts acl qos apply policy qos max-bandwidth firewall ethernet-frame-filter firewall packet-filter firewall packet-filter ipv6 firewall aspf nat outbound nat outbound static nat server portal auth-network portal server ipsec policy 1-7

15 操作 命令 standby interface 备份中心配置 NetStream 配置 standby threshold standby timer delay standby timer flow-check standby bandwidth ip netstream ntp-service broadcast-client NTP 配置 IPX 配置 ntp-service broadcast-server ntp-service multicast-client ntp-service multicast-server ntp-service in-interface disable ipx encapsulation port-security authorization ignore port-security max-mac-count 端口安全 port-security port-mode { mac-and-psk mac-authentication mac-else-userlogin-secure mac-else-userlogin-secure-ext psk userlogin-secure userlogin-secure-ext userlogin-secure-ext-or-psk userlogin-secure-or-mac userlogin-secure-or-mac-ext } port-security preshared-key { pass-phrase raw-key } port-security tx-key-type 11key 1.5 WLAN 接口显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 WLAN 接口的运行情况, 通过查看显示信息验证配置的效果 表 1-5 WLAN 接口显示和维护 操作显示 WLAN-Radio 接口的信息显示 WLAN-BSS 接口的信息显示 WLAN-Ethernet 接口的信息 命令 display interface [ wlan-radio ] [ brief [ down ] ] [ { begin exclude include } regular-expression ] display interface wlan-radio interface-number [ brief ] [ { begin exclude include } regular-expression ] display interface [ wlan-bss] [ brief [ down ] ] [ { begin exclude include } regular-expression ] display interface wlan-bss interface-number [ brief ] [ { begin exclude include } regular-expression ] display interface [ wlan-ethernet ] [ brief [ down ] ] [ { begin exclude include } regular-expression ] display interface wlan-ethernet interface-number [ brief ] [ { begin exclude include } regular-expression ] 1-8

16 目录 1 WLAN 服务配置 WLAN 服务简介 常用术语 无线用户接入过程 WLAN 拓扑 协议和标准 配置 WLAN 服务 WLAN 服务配置任务简介 配置全局 WLAN 参数 配置国家码 配置服务模板 配置 AP 射频参数 配置射频接口 WLAN 服务的显示和维护 配置无线用户隔离 无线用户隔离简介 开启无线用户隔离功能 配置基于 SSID 的用户接入控制 配置允许接入的 SSID WLAN 服务典型配置举例 1-10 i

17 1 WLAN 服务配置 本文所指的 AP 和 FAT AP 代表了 ICG 2000 和 ICG 2000B 信息通信网关 1.1 WLAN 服务简介 WLAN(Wireless Local Area Network, 无线局域网 ) 技术是当今通信领域的热点之一, 和有线相比, 无线局域网的启动和实施相对简单, 维护的成本低廉, 一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络 然而,WLAN 系统不是完全的无线系统, 它的服务器和骨干网仍然安置在固定网络, 只是用户可以通过无线方式接入网络 使用 WLAN 解决方案, 网络运营商和企业能够为用户提供无线局域网服务, 服务内容包括 : 应用具有无线局域网功能的设备建立无线网络, 通过该网络, 用户可以连接到固定网络或因特网 无线用户可以访问传统 局域网 使用不同认证和加密方式, 安全地访问 WLAN 为无线用户提供安全的网络接入和移动区域内的无缝漫游 常用术语 (1) 客户端带有无线网卡的 PC 或便携式笔记本电脑等终端 (2) AP(Access Point, 接入点 ) AP 提供无线客户端到局域网的桥接功能, 在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换 (3) FAT AP 一种控制和管理无线客户端的无线设备 数据帧在客户端和 LAN 之间传输需要经过无线到有线以及有线到无线的转换, 而 FAT AP 在这个过程中起到了桥梁的作用 (4) SSID SSID(Service Set Identifier, 服务集识别码 ), 客户端可以先扫描所有网络, 然后选择特定的 SSID 接入某个指定无线网络 (5) 无线介质无线介质是用于在无线用户间传输帧的介质 WLAN 系统使用无线射频作为传输介质 无线用户接入过程无线用户首先需要通过主动 / 被动扫描方式发现周围的无线服务, 再通过认证和关联两个过程后, 才能和 AP 建立连接, 最终接入无线局域网 整个过程如图 1-1 所示 1-1

18 图 1-1 建立无线连接过程 Client AP 主动扫描 / 被动扫描 Authentication Request Authentication Response Association Request Association Response 1. 无线扫描无线客户端有两种方式可以获取到周围的无线网络信息 : 一种是被动扫描, 无线客户端只是通过监听周围 AP 发送的 Beacon( 信标帧 ) 获取无线网络信息 ; 另外一种为主动扫描, 无线客户端在扫描的时候, 同时主动发送一个探测请求帧 (Probe Request 帧 ), 通过收到探查响应帧 (Probe Response) 获取网络信号 无线客户端在实际工作过程中, 通常同时使用被动扫描和主动扫描获取周围的无线网络信息 (1) 主动扫描无线客户端工作过程中, 会定期地搜索周围的无线网络, 也就是主动扫描周围的无线网络 根据 Probe Request 帧 ( 探测请求帧 ) 是否携带 SSID, 可以将主动扫描分为两种 : 客户端发送 Probe Request 帧 (SSID 为空, 也就是 SSID IE 的长度为 0): 客户端会定期地在其支持的信道列表中, 发送探查请求帧 (Probe Request) 扫描无线网络 当 AP 收到探查请求帧后, 会回应探查响应帧 (Probe Response) 通告可以提供的无线网络信息 无线客户端通过主动扫描, 可以主动获知可使用的无线服务, 之后无线客户端可以根据需要选择适当的无线网络接入 无线客户端主动扫描方式的过程如图 1-2 所示 图 1-2 主动扫描过程 (Probe Request 中 SSID 为空, 也就是不携带任何 SSID 信息 ) Client Probe Request SSID Probe Response AP 1 ProbeRequest( 不携带 SSID) Probe Response AP 2 客户端发送 Probe Request(Probe Request 携带指定的 SSID): 当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下, 客户端也会定期发送探查请求帧 (Probe Request)( 该报文携带已经配置或者已经连接的无线网络的 SSID), 当能够提供指定 SSID 无线服务的 AP 接收到探测请求后回复探查响应 通过这种方法, 无线客户端可以主动扫描指定的无线网络 这种无线客户端主动扫描方式的过程如图 1-3 所示 1-2

19 图 1-3 主动扫描过程 (Probe Request 携带指定的 SSID 为 AP 1 ) (2) 被动扫描被动扫描是指客户端通过侦听 AP 定期发送的 Beacon 帧发现周围的无线网络 提供无线网络服务的 AP 设备都会周期性发送 Beacon 帧, 所以无线客户端可以定期在支持的信道列表监听信标帧获取周围的无线网络信息 当用户需要节省电量时, 可以使用被动扫描 一般 VoIP 语音终端通常使用被动扫描方式 被动扫描的过程如图 1-4 所示 图 1-4 被动扫描过程 2. 认证过程为了保证无线链路的安全, 接入过程中 AP 需要完成对客户端的认证, 只有通过认证后才能进入后续的关联阶段 链路定义了两种认证机制 : 开放系统认证和共享密钥认证 开放系统认证 共享密钥认证关于两种认证的详细介绍请参见 WLAN 配置指导 中的 WLAN 安全 3. 关联过程如果用户想接入无线网络, 必须同特定的 AP 关联 当用户通过指定 SSID 选择无线网络, 并通过 AP 链路认证后, 就会立即向 AP 发送关联请求 AP 会对关联请求帧携带的能力信息进行检测, 最终确定该无线终端支持的能力, 并回复关联响应通知链路是否关联成功 通常, 无线终端同时只可以和一个 AP 建立链路, 而且关联总是由无线终端发起 4. 其他相关过程 (1) 解除认证解除认证用于中断已经建立的链路或者认证, 无论 AP 还是无线终端都可以发送解除认证帧断开当前的链接过程 无线系统中, 有多种原因可以导致解除认证, 如 : 接收到非认证用户的关联或解除关联帧 接收到非认证用户的数据帧 接收到非认证用户的 PS-Poll 帧 (2) 解除关联无论 AP 还是无线终端都可以通过发送解除关联帧以断开当前的无线链路 无线系统中, 有多种原因可以导致解除关联, 如 : 1-3

20 接收到已认证但未关联用户的数据帧 接收到已认证但未关联用户的 PS-Poll 帧 1.2 WLAN 拓扑 FAT AP 组网有以下几种拓扑 : 单一 BSS 多 ESS 单一 ESS 多 BSS 1. 单一 BSS 一个 AP 所覆盖的范围被称为 BSS(Basic Service Set, 基本服务集 ) 每一个 BSS 由 BSSID 来标识 最简单的 WLAN 可以由一个 BSS 建立, 所有的无线客户端都在同一个 BSS 内 如果这些客户端都得到了同样的授权, 那么他们就可以互相通信 图 1-5 为单一 BSS 网络组网示意图 图 1-5 单一 BSS 网络 这些客户端可以互相访问, 也可以访问网络中的主机 属于同一 BSS 的客户端之间的通信由 FAT AP 实现 2. 多 ESS 多 ESS 拓扑结构用于网络中存在多个逻辑管理域 ( 即 ESS) 的情况 当一个移动用户加入到某个 FAT AP, 它可以加入一个可用的 ESS 图 1-6 为多 ESS 网络组网示意图 1-4

21 图 1-6 多 ESS 网络 通常,Fat AP 可以同时提供多个逻辑 ESS Fat AP 中的 ESS 的配置主要通过发送信标或探查响应帧, 在网络中广播这些 ESS 的当前信息, 客户端可以根据情况选择加入的 ESS 在 Fat AP 上, 可以配置不同的 ESS 域, 并可以配置当这些域中的用户通过身份认证后, 允许 Fat AP 通告并接受这些用户 3. 单一 ESS 多 BSS( 多重射频情况 ) 图 1-7 所示组网描述了 FAT AP 在单一逻辑管理时有超过一个频段的应用 所有的频段支持相同的服务集 ( 在同一个 ESS 内 ), 但由于属于不同的 BSS 所以逻辑上的覆盖范围是不同的 图 1-7 单一 ESS 多 BSS 组网 这种组网也应用于需要共同支持 a 和 b/g 的情形 图 1-7 所示为两个客户端连接到不同的频段, 但属于相同 ESS 和不同 BSS 的情形 1.3 协议和标准 ANSI/IEEE Std , 1999 Edition IEEE Std a IEEE Std b IEEE Std g 1-5

22 IEEE Std i IEEE Std 配置 WLAN 服务 WLAN 服务配置任务简介表 1-1 WLAN 服务配置任务简介 配置任务 说明 详细配置 配置全局 WLAN 参数 可选 配置国家码 必选 配置服务模板 必选 配置射频参数 必选 配置射频策略 / 接口 必选 配置全局 WLAN 参数表 1-2 配置全局 WLAN 参数 操作命令说明进入系统视图 system-view - 配置无线客户端的空闲超时时间间隔 配置无线客户端的保活时时间间隔 配置 AP 回复无线客户端发送的 SSID 为空的探测请求 wlan client idle-timeout interval wlan client keep-alive interval wlan broadcast-probe reply 可选缺省情况下, 无线客户端的空闲超时时间间隔是 3600 秒 可选缺省情况下, 无线客户端的保活功能处于关闭状态 可选缺省情况下,AP 会回复无线客户端发送的 SSID 为空的探测请求 配置国家码 不同国家或地区对射频使用有不同的管制要求, 国家码决定了可以使用的工作频段 信道, 以及合 法的发射功率级别等 在配置 WLAN 设备时, 必须正确地设置国家或地区码, 以确保不违反当地的 管制规定 表 1-3 配置国家码 操作 命令 说明 进入系统视图 system-view - 必选 配置国家码 wlan country-code code 缺省情况下, 北美款型设备的国家代码为 US, 非北美款型设备的国家码为 CN 1-6

23 对于北美款型设备的国家代码固定为 US, 用户不可以更改 对于非北美款型设备的国家代码, 用户可以根据设备所在的国家, 使用此命令进行配置 关于国家码和国家的对应关系表请参见 WLAN 命令参考 中的 WLAN 服务命令 配置服务模板 WLAN 服务模板包括一些属性, 如 SSID 和认证算法 ( 开放系统认证或共享密钥认证 ) 服务模板有两种类型 : 明文模板 (clear) 和密文模板 (crypto) 明文类型的服务模板不可以改为密文类型, 如果想将明文类型的模板改为密文类型, 必须首先删除原有的服务模板, 然后重新配置一个密文类型的服务模板 反之亦然 表 1-4 配置服务模板 操作命令说明进入系统视图 system-view - 配置 WLAN 服务模板 wlan service-template service-template-number { clear crypto } - 配置 SSID ssid ssid-name 必选 配置在信标帧中隐藏 SSID 选择认证方式 指定在同一个射频下, 某个 SSID 下的关联无线客户端的最大个数 开启服务模板 beacon ssid-hide authentication-method { open-system shared-key } client max-count max-number service-template enable 可选缺省情况下, 信标帧中不隐藏 SSID 必选共享密钥认证模式请参见 WLAN 配置指导 中的 WLAN 安全 可选缺省情况下, 最多可以关联 32 个客户端 必选缺省情况下, 服务模板处于关闭状态 配置 AP 射频参数 该配置任务用来配置 AP 射频, 包括配置射频类型 信道和最大功率 表 1-5 配置 AP 射频操作命令说明进入系统视图 system-view - 进入射频接口视图 interface interface-number wlan-radio - 配置射频类型 radio-type [ type { dot11b dot11g dot11gn } ] 必选 1-7

24 操作命令说明 配置当前射频的服务模板和使用的接口 配置射频的工作信道 配置射频的最大传输功率 service-template service-template-number interface wlan-bss interface-number channel { channel-number auto } max-power radio-power 必选 可选缺省情况下, 使用自动选择信道模式射频的工作信道由国家码和射频模式决定 信道列表与设备的型号有关, 请以设备的实际情况为准 可选射频的最大功率和国家码 信道 AP 型号 射频模式和天线类型相关 配置前导码类型 preamble { long short } 可选缺省情况下, 支持短前导码 配置射频接口在射频接口下可以配置一系列的射频参数 如果将某个射频接口映射到某个射频 ( 比如 b/g), 则该射频就继承在射频接口里配置的所有参数 表 1-6 配置射频接口 操作命令说明进入系统视图 system-view - 进入 WLAN 射频接口视图 interface interface-number wlan-radio - 必选 设置发送信标帧的时间间隔 设置信标帧的 DTIM 计数器 设置帧的分片门限值 设置 RTS(Request to Send, 发送请求 ) 的门限值 设置帧长超过 RTS 门限值的帧的最大重传次数 设置帧长不大于 RTS 门限值的帧的最大重传次数 设置 AP 接收的帧可以在缓存中保存的最长时间 beacon-interval interval dtim counter fragment-threshold size rts-threshold size long-retry threshold count short-retry threshold count max-rx-duration interval 可选缺省情况下, 发送信标帧的时间间隔为 100TU(Time Unit, 时间单位 ) 可选缺省情况下, 计数器为 1 可选缺省情况下, 帧的分片门限值为 2346 字节帧的分片门限值只能设置为偶数字节 可选缺省情况下,RTS 门限值为 2346 字节 可选缺省情况下, 帧长超过 RTS 门限值的帧的最大重传次数为 4 可选缺省情况下, 帧长不大于 RTS 门限值的帧的最大重传次数为 7 可选缺省情况下,AP 接收的帧可以在缓存中保存的最长时间为 2000 毫秒 1-8

25 1.4.7 WLAN 服务的显示和维护完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 WLAN 服务的运行情况, 通过查看显示信息验证配置的效果 在用户视图下执行 reset 命令清除 WLAN 服务的相关信息 表 1-7 WLAN 服务的显示和维护 操作显示无线客户端的信息显示指定的服务模板的信息显示指定无线客户端的统计信息 命令 display wlan client { interface wlan-radio [ radio-number ] mac-address mac-address service-template service-template-number } [ verbose ] [ { begin exclude include } regular-expression ] display wlan service-template [ service-template-number ] [ { begin exclude include } regular-expression ] display wlan statistics client { all mac-address mac-address } [ { begin exclude include } regular-expression ] 切断无线客户端的连接 reset wlan client { all mac-address mac-address } 清除无线客户端的统计信息 reset wlan statistics client { all mac-address mac-address } 1.5 配置无线用户隔离 无线用户隔离简介用户隔离功能是指关联到同一个 AP 上的所有无线用户之间的二层报文 ( 单播 / 广播 ) 相互不能转发, 从而使无线用户之间不能直接进行通讯 图 1-8 用户隔离组网图 在图 1-8 中, 在 AP 上开启用户隔离功能后,Cleint 1~Client 4 之间不能互通, 也无法学习到对方的 MAC 地址和 IP 地址 1-9

26 1.5.2 开启无线用户隔离功能表 1-8 开启无线用户隔离功能 操作命令说明进入系统视图 system-view - 开启无线用户隔离功能 wlan-client-isolation enable 可选缺省情况下, 无线用户隔离功能处于关闭状态 1.6 配置基于 SSID 的用户接入控制 在有用户临时需要接入网络时, 需要临时为用户建立一个来宾账户, 通过基于 SSID 的接入控制可 以达到访问限制的目的, 即限制来宾用户只能在指定的 SSID 登录 SSID 的接入控制可以通过在 User Profile 下配置允许接入的 SSID 来实现 配置允许接入的 SSID 在 User Profile 下配置允许接入的 SSID 配置完毕的 User Profile 必须激活后才能生效 表 1-9 配置允许接入的 SSID 操作 命令 说明 进入系统视图 system-view - 必选 进入 User-Profile 视图 配置允许接入的 SSID user-profile profile-name wlan permit-ssid ssid-name 如果指定的 User Profile 不存在, 则先创建指定的 User Profile, 再进入 User Profile 视图 必选缺省情况下, 没有配置允许接入的 SSID, 表示用户接入时不限制接入的 SSID, 可用任意 SSID 接入无线网络 退回系统视图 quit - 激活已配置的 User Profile user-profile profile-name enable 必选缺省情况下, 创建的用户配置文件处于未激活状态 控制无线用户的临时接入的配置举例请参见 安全配置指导 中的 AAA 关于 User Profile 的介绍请参见 安全配置指导 中的 User Profile 1.7 WLAN 服务典型配置举例 1. 组网需求某部门为了保证工作人员可以随时随地访问部门内部的网络资源, 需要通过部署 AP 实现移动办公 具体要求如下 : 1-10

27 AP 提供 SSID 为 service 的明文方式的无线接入服务 采用目前较为常用的 g 射频模式 2. 组网图图 1-9 WLAN 服务组网图 3. 配置步骤 (1) 配置 FAT AP # 创建 WLAN BSS 接口 <AP> system-view [AP] interface wlan-bss 1 [AP-WLAN-BSS1] quit # 配置 WLAN 服务模板为 clear 模式, 不配置认证方式 [AP] wlan service-template 1 clear [AP-wlan-st-1] ssid service [AP-wlan-st-1] authentication-method open-system [AP-wlan-st-1] service-template enable [AP-wlan-st-1] quit # 在 WLAN-Radio 2/0 上绑定无线服务模板 1 和 WLAN-BSS 1 [AP] interface wlan-radio 2/0 [AP-WLAN-Radio2/0] radio-type dot11g [AP-WLAN-Radio2/0] channel 1 [AP-WLAN-Radio2/0] service-template 1 interface wlan-bss 1 (2) 验证结果 无线客户端可以成功关联 AP, 上线后可以访问网络 可以使用 display wlan client 命令查看上线的无线客户端 1-11

28 目录 1 WLAN RRM 配置 WLAN RRM 简介 WLAN RRM 配置任务简介 配置射频速率 配置 b/802.11g 射频速率 配置扫描非 dot11h 信道 开启 g 保护 WLAN RRM 显示和维护 1-3 i

29 1 WLAN RRM 配置 本文所指的 AP 和 FAT AP 代表了 ICG 2000 和 ICG 2000B 信息通信网关 1.1 WLAN RRM 简介 无线信号的传播受周围环境影响, 多径等问题会导致无线信号在不同方向上存在非常复杂的衰减现象, 所以 WLAN 网络的实施往往需要周密的网络规划 即使在成功部署无线网络后, 应用阶段的参数调整仍然必不可少, 这是因为无线环境是在不断变化的, 移动的障碍物 正在工作的微波炉等带来的干扰等都可能对无线信号的传播造成影响, 所以信道 发射功率等射频资源必须能够动态地调整以适应用户环境的变化 这样的调整过程是复杂的, 需要丰富的技术经验和定期的人工检测, 无疑造成非常高的管理成本 无线资源管理 (WLAN RRM,WLAN Radio Resource Management) 是一种可升级的射频管理解决方案, 通过提供一套系统化的实时智能射频管理方案, 使无线网络能够快速适应无线环境变化, 保持最优的射频资源状态 1.2 WLAN RRM 配置任务简介 表 1-1 WLAN RRM 配置任务简介配置任务 说明 详细配置 配置射频速率 可选 1.3 配置扫描非 dot11h 信道 可选 1.4 开启 dot11g 保护 可选 配置射频速率 配置 b/802.11g 射频速率表 1-2 配置 b/802.11g 射频速率 操作 命令 说明 进入系统视图 system-view - 进入 RRM 视图 wlan rrm - 可选 设置 b 模式下的射频速率 dot11b { disabled-rate mandatory-rate supported-rate } rate-value 缺省情况下, 强制速率 :1,2; 支持速率 :5.5,11; 禁用速率 : 无 1-1

30 操作命令说明 可选缺省情况下, 设置 g 模式下的射频速率 dot11g { disabled-rate mandatory-rate supported-rate } rate-value 强制速率 :1,2,5.5, 11; 支持速率 :6,9,12, 18,24,36,48,54; 禁用速率 : 无 1.4 配置扫描非 dot11h 信道 表 1-3 配置扫描非 dot11h 信道操作 命令 说明 进入系统视图 system-view - 进入 RRM 视图 wlan rrm - 配置扫描非 h 信道 autochannel-set avoid-dot11h 可选缺省情况下, 扫描国家码支持的所有信道 1.5 开启 g 保护 当网络中同时接入了 b 和 g 的用户, 由于调制方式不同, 这两种用户很容易产生冲突, 导致网络速率严重下降 为了保证 b 用户和 g 用户能够同时正常工作, 可启动 g 保护机制, 使运行 g 的设备发送 RTS/CTS 或 CTS-to-self 来避免和 b 设备发生冲突, 确保 b 和 g 用户可以同时工作 以下两种情况会使运行 g 的 AP 执行 g 保护功能 b 的无线客户端和运行 g 的 AP 相关联 ; 运行 g 的 AP 探测到周边同一信道内的运行 b 的 AP 或无线客户端 在第一种情况下, 无论是否使用命令行开启 g 保护功能,802.11g 保护功能都是运行的 ; 在第二种情况下, 只有通过命令 dot11g protection enable 开启了 g 保护功能后,802.11g 保护功能才会生效 表 1-4 开启 g 保护操作命令说明进入系统视图 system-view - 进入 RRM 视图 wlan rrm - 开启 g 保护功能 dot11g protection enable 可选缺省情况下,802.11g 保护功能处于关闭状态 1-2

31 开启 g 保护功能会降低网络性能 1.6 WLAN RRM 显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 RRM 的运行情况, 通过查看 显示信息验证配置的效果 表 1-5 WLAN RRM 显示与维护 操作 命令 查看 WLAN RRM 配置 display wlan rrm [ { begin exclude include } regular-expression ] 1-3

32 目录 1 WLAN 安全配置 WLAN 安全概述 链路认证方式 WLAN 服务的数据安全 用户接入认证 协议和标准 配置 WLAN 安全特性 使能认证方式 配置 PTK 生存时间 配置 GTK 密钥更新方法 配置安全信息元素 配置加密套件 配置端口安全 配置 WAPI WLAN 安全显示和维护 WLAN 安全典型配置举例 PSK 认证典型配置举例 MAC-and-PSK 认证典型配置举例 x 认证典型配置举例 密码组合方式 1-23 i

33 1 WLAN 安全配置 本文所指的 AP 和 FAT AP 代表了 ICG 2000 和 ICG 2000B 信息通信网关 1.1 WLAN 安全概述 协议提供的无线安全性能可以很好地抵御一般性网络攻击, 但是仍有少数黑客能够入侵无线网络, 从而无法充分保护包含敏感数据的网络 为了更好的防止未授权用户接入网络, 需要实施一种性能高于 的高级安全机制 链路认证方式为了保证无线链路的安全, 无线设备需要完成对无线客户端的认证, 只有通过认证后才能进入后续的关联阶段 链路定义了两种认证机制 : 开放系统认证和共享密钥认证 1. 开放系统认证 (Open system authentication) 开放系统认证是缺省使用的认证机制, 也是最简单的认证算法, 即不认证 如果认证类型设置为开放系统认证, 则所有请求认证的无线客户端都会通过认证 开放系统认证包括两个步骤 : 第一步是无线客户端发起认证请求, 第二步 AP 确定无线客户端可以通过无线链路认证, 并向无线客户端回应认证结果为 成功 图 1-1 开放系统认证过程 2. 共享密钥认证 (Shared key authentication) 共享密钥认证是除开放系统认证以外的另外一种链路认证机制 共享密钥认证需要无线客户端和 AP 配置相同的共享密钥 共享密钥认证的认证过程为 : (1) 客户端先向设备发送认证请求 ; (2) AP 会随机产生一个 Challenge 包 ( 即一个字符串 ) 发送给无线客户端 ; (3) 无线客户端会将接收到的 Challenge 加密后再发送给 AP; (4) 无线设备端接收到该消息后, 对该消息解密, 然后对解密后的字符串和原始字符串进行比较 如果相同, 则说明无线客户端通过了 Shared Key 链路认证 ; 否则 Shared Key 链路认证失败 1-1

34 图 1-2 共享密钥认证过程 Client AP Authentication Request Authentication Response(Challenge) Authentication(Encrypted Challenge) Authentication Response(Success) WLAN 服务的数据安全 相对于有线网络,WLAN 存在着与生俱来的数据安全问题 在一个区域内的所有的 WLAN 设备共享一个传输媒介, 任何一台设备可以接收到其它所有设备的数据, 这个特性直接威胁到 WLAN 接入数据的安全 协议也在致力于解决 WLAN 的安全问题, 主要的方法为对数据报文进行加密, 保证只有特定的设备可以对接收到的报文成功解密 其它的设备虽然可以接收到数据报文, 但是由于没有对应的密钥, 无法对数据报文解密, 从而实现了 WLAN 数据的安全性保护 目前支持四种安全服务 (1) 明文数据该种服务本质上为无安全保护的 WLAN 服务, 所有的数据报文都没有通过加密处理 (2) WEP 加密 WEP(Wired Equivalent Privacy, 有线等效加密 ) 用来保护无线局域网中的授权用户所交换的数据的机密性, 防止这些数据被随机窃听 WEP 使用 RC4 加密算法 ( 一种流加密算法 ) 实现数据报文的加密保护, 在一定程度上提供了安全性和保密性, 增加了网络侦听, 会话截获等的攻击难度 根据使用的密钥长度,WEP 包括 WEP40 WEP104 和 WEP128 密钥长度的增加在一定程度上提高了 WEP 加密的安全性, 但是受到 RC4 加密算法 过短的初始向量等限制,WEP 加密还是存在比较大的安全隐患 (3) TKIP 加密虽然 TKIP 加密机制和 WEP 加密机制都是使用 RC4 算法, 但是相比 WEP 加密机制,TKIP 加密机制可以为 WLAN 提供更加安全的保护 首先,TKIP 通过增长了算法的 IV( 初始化向量 ) 长度提高了加密的安全性 相比 WEP 算法,TKIP 直接使用 128 位密钥的 RC4 加密算法, 而且将初始化向量的长度由 24 位加长到 48 位 ; 其次, 虽然 TKIP 采用的还是和 WEP 一样的 RC4 加密算法, 但其动态密钥的特性很难被攻破, 并且 TKIP 支持密钥更新机制, 能够及时提供新的加密密钥, 防止由于密钥重用带来的安全隐患 ; 另外,TKIP 还支持了 MIC 认证 (Message Integrity Check, 信息完整性校验 ) 和 Countermeasure 功能 当 TKIP 报文发生 MIC 错误时, 数据可能已经被篡改, 也就是无线网络很可能正在受到攻击 当在一段时间内连续接收到两个 MIC 错误的报文,AP 将会启动 Countermeasure 功能, 此时,AP 将通过静默一段时间不提供服务, 实现对无线网络的攻击防御 (4) CCMP 加密 CCMP(Counter mode with CBC-MAC Protocol,[ 计数器模式 ] 搭配 [ 区块密码锁链 - 信息真实性检查码 ] 协议 ) 加密机制是基于 AES(Advanced Encryption Standard, 高级加密标准 ) 加密算法的 CCM(Counter-Mode/CBC-MAC, 区块密码锁链 - 信息真实性检查码 ) 方法 CCM 结合 CTR (Counter mode, 计数器模式 ) 进行机密性校验, 同时结合 CBC-MAC( 区块密码锁链 - 信息真实 1-2

35 性检查码 ) 进行认证和完整性校验 CCMP 中的 AES 块加密算法使用 128 位的密钥和 128 位的块大小 同样 CCMP 包含了一套动态密钥协商和管理方法, 每一个无线用户都会动态的协商一套密钥, 而且密钥可以定时进行更新, 进一步提供了 CCMP 加密机制的安全性 在加密处理过程中,CCMP 也会使用 48 位的 PN(Packet Number) 机制, 保证每一个加密报文都会是用不同的 PN, 在一定程度上提高安全性 用户接入认证 (1) PSK 认证 PSK(Preshared Key, 预共享密钥 ) 认证需要实现在无线客户端和设备端配置相同的预共享密钥, 如果密钥相同, PSK 接入认证成功 ; 如果密钥不同,PSK 接入认证失败 (2) 802.1X 认证 802.1X 协议是一种基于端口的网络接入控制协议 (port based network access control protocol) 基于端口的网络接入控制 是指在 WLAN 接入设备的端口这一级对所接入的用户设备进行认证和控制 连接在端口上的用户设备如果能通过认证, 就可以访问 WLAN 中的资源 ; 如果不能通过认证, 则无法访问 WLAN 中的资源 (3) MAC 地址认证 MAC 地址认证是一种基于端口和 MAC 地址对用户的网络访问权限进行控制的认证方法, 它不需要用户安装任何客户端软件 设备在首次检测到用户的 MAC 地址以后, 即启动对该用户的认证操作 认证过程中, 也不需要用户手动输入用户名或者密码 在 WLAN 网络应用中,MAC 认证需要预先获知可以访问无线网络的终端设备 MAC 地址, 所以一般适用于用户比较固定的 小型的无线网络, 例如家庭 小型办公室等环境 MAC 地址认证分为以下两种方式 : 本地 MAC 地址认证 当选用本地认证方式进行 MAC 地址认证时, 直接在设备上完成对用户的认证, 此时需要在设备上配置本地用户名和密码 通常情况下, 可以采用 MAC 地址作为用户名, 需要事先获知无线接入用户的 MAC 地址并配置为本地用户名 无线用户接入网络时, 只有 MAC 地址存在的用户可以通过认证, 其他用户将被拒绝接入 通过 RADIUS 服务器进行 MAC 地址认证 当选用 RADIUS 服务器认证方式进行 MAC 地址认证时, 设备作为 RADIUS 客户端, 与 RADIUS 服务器配合完成 MAC 地址认证操作 在 RADIUS 服务器完成对该用户的认证后, 认证通过的用户可以访问无线网络以及获得相应的授权信息 采用 RADIUS 服务器进行 MAC 地址认证时, 可以通过在各无线服务下分别指定各自的 domain 域, 将不同 SSID 的 MAC 地址认证用户信息发送到不同的远端 RADIUS 服务器 接入认证的相关内容请参加 安全配置指导 中的 802.1X 和 MAC 地址认证 协议和标准 IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements WI-FI Protected Access Enhanced Security Implementation Based On IEEE P802.11i Standard-Aug 2004 Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements , 1999 IEEE Standard for Local and metropolitan area networks Port-Based Network Access Control 802.1X

36 802.11i IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements 1.2 配置 WLAN 安全特性 在服务模板上配置 WLAN 安全属性, 将服务模板映射到 WLAN 射频, 并在服务模板中配置 SSID 名 通告设置 ( 信标发送 ) 及加密设置 表 1-1 WLAN 安全属性配置任务 配置任务 说明 详细配置 使能认证方式 必选 配置 PTK 生存时间 必选 配置 GTK 密钥更新方法 必选 配置安全信息元素 必选 配置加密套件 必选 配置端口安全 必选 使能认证方式开放系统方式和共享密钥方式可以单独使用, 也可以同时使用 表 1-2 使能认证方式 配置命令说明进入系统视图 system-view - 进入 WLAN 服务模板视图 使能认证方式 wlan service-template service-template-number crypto authentication-method { open-system shared-key } - 可选缺省情况下, 使用 open-system 认证方式需要注意的是 : 只有在使用 WEP 加密时才可选用 shared-key 认证机制, 此时必须配置命令 authentication-method shared-key 对于 RSN 和 WPA, 必须使用 open-system 方式 配置 PTK 生存时间 PTK 密钥通过四次握手方式生成, 需要用到如下属性 :PMK(Pairwise Master Key, 成对主密钥 ), AP 随机值 (ANonce), 站点随机值 (SNonce),AP 的 MAC 地址和客户端的 MAC 地址 用户可以通过下面的操作来设置 PTK 的生存时间 1-4

37 表 1-3 配置 PTK 生存时间 配置命令说明 进入系统视图 system-view - 进入 WLAN 服务模板视图 设置 PTK 生存时间 wlan service-template service-template-number crypto ptk-lifetime time - 可选缺省情况下,PTK 生存时间为 秒 配置 GTK 密钥更新方法 GTK(Group Temporal Key, 群组临时密钥 ) 由 FAT AP 生成, 在 AP 和无线客户端认证处理的过程中通过组密钥握手或者四次握手的方式发送到无线客户端 无线客户端使用 GTK 来解密组播和广播报文 RSN(Robust Security Network, 健壮安全网络 ) 可以通过四次握手或者组密钥握手方式来协商 GTK, 而 WPA(Wi-Fi Protected Access,Wi-Fi 保护访问 ) 只使用组密钥握手方式来协商 GTK 用户可以使能基于时间或基于数据包的 GTK 密钥更新方法 前者在指定时间间隔后更新 GTK, 后者在发送了指定数目的广播数据包后更新 GTK 用户也可以配置当无线客户端离线时更新 GTK 1. 配置基于时间的密钥更新方法表 1-4 配置基于时间的更新方法配置命令说明进入系统视图 system-view - 进入 WLAN 服务模板视图 开启 GTK 更新功能 配置基于时间的 GTK 密钥更新方法 配置当有无线客户端离线时更新 GTK wlan service-template service-template-number crypto gtk-rekey enable gtk-rekey method time-based time gtk-rekey client-offline enable - 必选缺省情况下,GTK 更新功能处于开启状态 必选缺省情况下, 密钥更新时间间隔为 秒 可选缺省情况下, 当有无线客户端离线时, 不更新 GTK 只有执行了 gtk-rekey enable 命令, 此功能才有效 2. 配置基于数据包的密钥更新方法表 1-5 配置基于数据包的密钥更新方法配置 命令 说明 进入系统视图 system-view - 进入 WLAN 服务模板视图 wlan service-template service-template-number crypto - 1-5

38 配置命令说明 开启 GTK 更新功能 配置基于数据包的 GTK 更新方法 配置当有无线客户端离线时更新 GTK 密钥 gtk-rekey enable gtk-rekey method packet-based [ packet ] gtk-rekey client-offline enable 必选缺省情况下, 启动 GTK 更新功能 必选缺省情况下, 在发送了 个数据包后更新 GTK 密钥 可选缺省情况下, 当有无线客户端离线时, 不更新 GTK 只有执行了 gtk-rekey enable 命令, 此功能才有效 缺省情况下,GTK 更新采用基于时间的更新方法, 时间间隔为 秒 配置 GTK 密钥更新方法时, 新配置的方法会覆盖前一次的配置 例如, 如果先配置了基于数据包的方法, 然后又配置了基于时间的方法, 则最后生效的是基于时间的方法 配置安全信息元素安全信息元素的配置包括 WPA 和 RSN 的配置, 以上两种方式都必须启用开放系统认证 1. 配置 WPA WPA 是一种比 WEP 性能更强的无线安全方案 WPA 工作在 WPA-PSK 模式 ( 又称 Personal 模式 ) 或者 WPA-802.1X 模式 ( 又称 WPA-Enterprise 模式 ) 下 PSK 模式下使用预共享密钥或者口令进行认证, 而企业模式使用 802.1X RADIUS 服务器和 EAP(Extensible Authentication Protocol, 可扩展认证协议 ) 进行认证 表 1-6 配置 WPA 信息元素 操作命令说明进入系统视图 system-view - 进入 WLAN 服务模板视图 配置信标和探测帧携带 WPA IE 信息 wlan service-template service-template-number crypto security-ie wpa - 必选缺省情况下, 信标和探测响应帧不携带 WPA IE 2. 配置 RSN RSN 是一种仅允许建立 RSNA(Robust Security Network Association, 健壮安全网络连接 ) 的安全网络, 提供比 WEP 和 WPA 更强的安全性 RSN 通过信标帧的 RSN IE(Information Element, 信息元素 ) 中的指示来标识 表 1-7 配置 RSN 信息元素操作命令说明进入系统视图 system-view - 1-6

39 操作命令说明 进入 WLAN 服务模板视图 配置信标和探测帧携带 RSN IE 信息 wlan service-template service-template-number crypto security-ie rsn - 必选缺省情况下, 信标和探测响应帧不携带 RSN IE 配置加密套件 加密套件通常用于数据封装和解封装 加密套件使用如下加密方法 : WEP40/WEP104/WEP128 TKIP CCMP 1. 配置 WEP WEP 加密机制需要 WLAN 设备端以及所有接入到该 WLAN 网络的客户端配置相同的密钥 WEP 加密机制采用 RC4 算法 ( 一种流加密算法 ), 支持 WEP40 WEP104 和 WEP128 三种密钥长度 WEP 加密方式可以分别和 open-system shared-key 认证方式配合使用 采用 open-system: 此时 WEP 密钥只做加密, 即使密钥配的不一致, 用户也是可以上线, 但上线后传输的数据会因为密钥不一致被接收端丢弃 采用 shared-key: 此时 WEP 密钥做认证和加密, 如果密钥不一致, 客户端无法上线 表 1-8 配置 WEP 加密操作命令说明进入系统视图 system-view - 进入 WLAN 服务模板视图 使能加密套件 配置 WEP 缺省密钥 wlan service-template service-template-number crypto cipher-suite { wep40 wep104 wep128 } wep default-key { } { wep40 wep104 wep128 } { pass-phrase raw-key } [ cipher simple ] key - 必选 必选缺省情况下,WEP 缺省密钥索引值为 1 配置密钥索引号 wep key-id { } 可选缺省情况下, 密钥索引号为 1 2. 配置 TKIP 表 1-9 配置 TKIP 操作 命令 说明 进入系统视图 system-view - 进入 WLAN 服务模板视图 使能 TKIP 加密套件 wlan service-template service-template-number crypto cipher-suite tkip - 必选缺省情况下, 没有使能任何加密套件 1-7

40 操作命令说明 配置 TKIP 反制策略实施的时间 tkip-cm-time time 可选缺省情况下,TKIP 反制策略实施的时间为 0 秒, 即不启动反制策略 MIC(Message Integrity Check, 信息完整性校验 ) 是为了防止黑客的篡改而定制的, 它采用 Michael 算法, 具有很高的安全特性 当 MIC 发生错误的时候, 数据很可能已经被篡改, 系统很可能正在受到攻击 此时,TKIP 可以通过启动反制策略, 来阻止黑客的攻击 3. 配置 CCMP CCMP 加密机制采用了更安全的对称加密算法 AES 表 1-10 配置 CCMP 操作命令说明进入系统视图 system-view - 进入 WLAN 服务模板视图 使能 CCMP 加密套件 wlan service-template service-template-number crypto cipher-suite ccmp - 必选缺省情况下, 没有使能任何加密套件 配置端口安全 认证类型可以配置的方式举例如下几种 : PSK 802.1x MAC PSK 和 MAC 端口安全定义了各种端口安全模式, 本手册只列出几种比较常见的端口安全模式, 其它 802.1X 和 MAC 地址认证的扩展和组合应用请参见 安全配置指导 中的 端口安全 1. 配置准备在配置端口安全之前, 完成以下任务 : (1) 创建无线端口 (2) 使能端口安全 2. 配置端口安全 (1) PSK 认证 1-8

41 表 1-11 配置 PSK 认证操作 命令 说明 进入系统视图 system-view - 进入 WLAN-BSS 接口视图 interface wlan-bss interface-number 必选 使能密钥协商功能 配置预共享密钥 port-security tx-key-type 11key port-security preshared-key { pass-phrase raw-key } [ cipher simple ] key 必选缺省情况下, 没有使能 11key 协商功能 必选缺省情况下, 没有配置预共享密钥 配置 PSK 端口安全模式 port-security port-mode psk 必选 (2) 802.1X 认证 表 1-12 配置 802.1X 认证操作 命令 说明 进入系统视图 system-view - 进入 WLAN-BSS 接口视图 interface wlan-bss interface-number 必选 使能密钥协商功能 port-security tx-key-type 11key 必选缺省情况下, 没有使能 11key 协商功能 配置 802.1X 端口安全模式 port-security userlogin-secure-ext port-security userlogin-secure port-mode port-mode 必选 (3) MAC 认证 表 1-13 配置 MAC 认证 操作命令说明 进入系统视图 system-view - 进入 WLAN-BSS 接口视图 interface wlan-bss interface-number 必选 配置 MAC 端口安全模式 port-security mac-authentication port-mode 必选 i 的相关配置不支持 MAC 认证模式 (4) PSK 和 MAC 认证 表 1-14 配置 PSK 和 MAC 认证 操作 命令 说明 进入系统视图 system-view - 1-9

42 操作命令说明 进入 WLAN-BSS 接口视图 interface wlan-bss interface-number 必选 使能密钥协商功能 port-security tx-key-type 11key 必选缺省情况下, 没有使能 11key 协商功能 配置 PSK 和 MAC 端口安全模式 port-security mac-and-psk port-mode 必选 配置 PSK 的预共享密钥 port-security preshared-key { pass-phrase raw-key } key 必选如果密钥类型为字符串, 长度应为 8~63 个字符 ; 如果密钥类型为十六进制数, 密钥应为 64 位 ( 由数字 0~9, 字母 a~f 组成 ) 十六进制数 端口安全相关命令请参见 安全命令参考 中的 端口安全 配置 WAPI WAPI 是一种仅允许建立 RSNA(Robust Security Network Association, 健壮安全网络连接 ) 的安全网络, 提供比 WEP 和 WPA 更强的安全性 WAPI 可通过信标帧的 WAPI IE(Information Element, 信息元素 ) 中的指示来标识 WAPI 工作在 WAPI-PSK 模式或者 WAPI-CERT 模式 PSK 模式使用预共享密钥或者口令进行认证, 而企业模式则使用 AS 服务器进行认证 WAPI 默认支持 WPISMS4 加密机制 表 1-1 配置 WAPI 配置命令说明进入系统视图 system-view - 进入 WLAN 服务模板视图 wlan service-template service-template-number wapi - WAPI 相关配置请参见 WLAN 配置指导 中的 WAPI WLAN 安全显示和维护完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 WLAN 安全的运行情况, 通过查看显示信息验证配置的效果 表 1-15 配置 WLAN 安全显示和维护 操作 查看指定的服务模板的信息 命令 display wlan service-template [ service-template-number ] 1-10

43 操作 命令 显示全局或指定端口的 MAC 地址认证信息 display mac-authentication [ interface interface-list ] 显示安全 MAC 地址信息 显示端口安全的 PSK 用户信息 display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] display port-security preshared-key user [ interface interface-type interface-number ] 显示端口安全的配置信息 运行情况和统计信息 display port-security [ interface interface-list ] 显示 802.1X 的会话连接信息 相关统计信息或配置信息 display dot1x [ sessions statistics ] [ interface interface-list ] 在配置 WLAN 安全时可以根据具体选择的认证方式, 使用相关的显示信息查看运行后的 WLAN 安全状态, 具体命令请参见 安全命令参考 中的 端口安全 802.1X 和 MAC 地址认证 1.3 WLAN 安全典型配置举例 PSK 认证典型配置举例 1. 组网需求 FAT AP 与二层交换机建立连接 客户端的 PSK 密钥是 FAT AP 配置的密钥与客户端相同 2. 组网图图 1-3 PSK 配置组网图 3. 配置步骤 (1) 配置 FAT AP # 使能端口安全功能 <Sysname> system-view [Sysname] port-security enable # 在 WLAN BSS 接口下配置端口安全为 psk 认证方式 ( 预共享密钥为 ), 配置 11key 类型的密钥协商功能 [Sysname] interface wlan-bss 1 [Sysname-WLAN-BSS1] port-security port-mode psk [Sysname-WLAN-BSS1] port-security preshared-key pass-phrase [Sysname-WLAN-BSS1] port-security tx-key-type 11key [Sysname-WLAN-BSS1] quit # 配置服务模板为 crypto 类型,SSID 为 psktest, 配置认证方式为开放系统认证, 并使能服务模板 [Sysname] wlan service-template 1 crypto 1-11

44 [Sysname-wlan-st-1] ssid psktest [Sysname-wlan-st-1] security-ie rsn [Sysname-wlan-st-1] cipher-suite ccmp [Sysname-wlan-st-1] authentication-method open-system [Sysname-wlan-st-1] service-template enable [Sysname-wlan-st-1] quit # 将 WLAN-BSS 接口与服务模板绑定 [Sysname] interface wlan-radio 2/0 [Sysname-WLAN-Radio2/0] radio-type dot11g [Sysname-WLAN-Radio2/0] service-template 1 interface wlan-bss 1 (2) 验证结果客户端配置相同的 PSK 预共享密钥 客户端可以成功关联 AP, 并且可以访问无线网络 可以使用 display wlan client 和 display port-security preshared-key user 命令查看上线的客户端 MAC-and-PSK 认证典型配置举例 1. 组网需求 FAT AP 和 RADIUS 服务器通过二层交换机建立连接 FAT AP 的 IP 地址为 , RADIUS 服务器的 IP 地址为 要求客户端使用 MAC-and-PSK 认证方式接入网络 2. 组网图 图 1-4 MAC-and-PSK 认证配置组网图 RADIUS server /24 IP network L2 switch FAT AP /24 Client 3. 配置步骤 (1) 配置 FAT AP # 使能端口安全功能 <Sysname> system-view [Sysname] port-security enable # 在 WLAN BSS 接口下配置端口安全为 mac-and-psk 认证方式 ( 预共享密钥为 ), 配置 11key 类型的密钥协商功能 [Sysname] interface wlan-bss 1 [Sysname-WLAN-BSS1] port-security port-mode mac-and-psk [Sysname-WLAN-BSS1] port-security preshared-key pass-phrase [Sysname-WLAN-BSS1] port-security tx-key-type 11key [Sysname-WLAN-BSS1] quit # 配置服务模板为 crypto 类型,SSID 为 mactest [Sysname] wlan service-template 1 crypto [Sysname-wlan-st-1] ssid mactest 1-12

45 # 配置信标和探测响应帧携带 RSN IE, 同时在帧加密时使用加密套件 [Sysname-wlan-st-1] security-ie rsn [Sysname-wlan-st-1] cipher-suite ccmp # 配置认证方式为开放系统认证, 并使能服务模板 [Sysname-wlan-st-1] authentication-method open-system [Sysname-wlan-st-1] service-template enable [Sysname-wlan-st-1] quit # 配置 RADIUS 方案 rad 的主认证 / 计费服务器的 IP 地址为 , 认证 / 授权 / 计费的共享密钥为 , 服务器类型为 extended, 发送给 RADIUS 服务器的用户名格式为不带 ISP 域名 [Sysname] radius scheme rad [Sysname-radius-rad] primary authentication [Sysname-radius-rad] primary accounting # 配置系统与认证 RADIUS 服务器交互报文时的共享密钥为 , 系统与计费 RADIUS 服务器交互报文时的共享密钥为 [Sysname-radius-rad] key authentication [Sysname-radius-rad] key accounting [Sysname-radius-rad] server-type extended [Sysname-radius-rad] user-name-format without-domain [Sysname-radius-rad] quit # 添加认证域 cams, 并为该域指定对应的 RADIUS 认证方案为 rad [Sysname] domain cams [Sysname-isp-cams] authentication lan-access radius-scheme rad [Sysname-isp-cams] authorization lan-access radius-scheme rad [Sysname-isp-cams] accounting lan-access radius-scheme rad [Sysname-isp-cams] quit # 指定 MAC 认证域为 cams [Sysname] mac-authentication domain cams # 配置 MAC 地址认证用户名格式 使用不带连字符的 MAC 地址作为用户名与密码 ( 注意要和服务器上使用的形式保持一致 ) [Sysname] mac-authentication user-name-format mac-address without-hyphen # 将 WLAN-BSS 接口与服务模板绑定 [Sysname] interface wlan-radio2/0 [Sysname-WLAN-Radio2/0] radio-type dot11g [Sysname-WLAN-Radio2/0] service-template 1 interface wlan-bss 1 (2) 配置 RADIUS server(cams) # 增加接入设备 登录进入 CAMS 管理平台, 点击左侧菜单树中 [ 系统管理 ]->[ 系统配置 ] 的 接入设备配置 -> 修改 -> 增加 后, 进入接入设备配置页面 添加 AC 的 IP 地址 ; 设置共享密钥为 ; 选择协议类型为 LAN 接入业务 ; 设置验证及计费的端口号分别为 1812 和 1813; 选择 RADIUS 协议类型为扩展协议 ; 选择 RADIUS 报文类型为标准报文 1-13

46 图 1-5 接入设备配置页面 # 增加服务配置 点击左侧菜单树中 [ 服务管理 ]->[ 服务配置 ], 在服务配置列表中, 选择 增加, 添加服务名, 在计费策略中选中配置好的计费策略 ( 计费策略配置方法, 此处略 ), 这里选择不计费 图 1-6 服务配置页面 # 增加用户配置 点击左侧菜单树中 [ 用户管理 ]->[ 帐号用户 ] 的 增加 后输入用户名和密码 此处需要注意将刚才配置的服务选上 1-14

47 图 1-7 用户配置页面 (3) 配置 RADIUS server(imc V3) 下面以 imc 为例 ( 使用 imc 版本为 :imc PLAT 3.20-R2602 imc UAM 3.60-E6102), 说明 RADIUS server 的基本配置 # 增加接入设备 登录进入 imc 管理平台, 选择 业务 页签, 单击导航树中的 [ 接入业务 / 接入设备配置 ] 菜单项, 进入接入设备配置页面, 在该页面中单击 增加 按钮, 进入增加接入设备页面 设置认证 计费共享密钥为 ; 设置认证及计费的端口号分别为 1812 和 1813; 选择协议类型为 LAN 接入业务 ; 选择接入设备类型为 H3C; 选择或手工增加接入设备, 添加 IP 地址为 的接入设备 1-15

48 图 1-8 增加接入设备 # 增加服务配置 选择 业务 页签, 单击导航树中的 [ 接入业务 / 服务配置管理 ] 菜单项, 进入增加服务配置页面, 在该页面中单击 增加 按钮, 进入增加接入设备页面 设置服务名为 mac, 其他保持缺省配置 图 1-9 增加服务配置页面 # 增加接入用户 选择 用户 页签, 单击导航树中的 [ 接入用户视图 / 所有接入用户 ] 菜单项, 进入用户页面, 在该页面中单击 < 增加 > 按钮, 进入增加接入用户页面 添加用户名 ; 添加帐号名和密码为 00146c8a43ff; 勾选刚才配置的服务 mac 1-16

49 图 1-10 增加接入用户 (4) 配置 RADIUS server(imc V5) 下面以 imc 为例 ( 使用 imc 版本为 :imc PLAT 5.0 imc UAM 5.0), 说明 RADIUS server 的基本配置 # 增加接入设备 登录进入 imc 管理平台, 选择 业务 页签, 单击导航树中的 [ 接入业务 / 接入设备配置 ] 菜单项, 进入接入设备配置页面, 在该页面中单击 增加 按钮, 进入增加接入设备页面 设置认证 计费共享密钥为 , 其它保持缺省配置 ; 选择或手工增加接入设备, 添加 IP 地址为 的接入设备 图 1-11 增加接入设备 # 增加服务配置 1-17

50 选择 业务 页签, 单击导航树中的 [ 接入业务 / 服务配置管理 ] 菜单项, 进入增加服务配置页面, 在该页面中单击 < 增加 > 按钮, 进入增加接入设备页面 设置服务名为 mac, 其它保持缺省配置 图 1-12 增加服务配置页面 # 增加接入用户 选择 用户 页签, 单击导航树中的 [ 接入用户视图 / 所有接入用户 ] 菜单项, 进入用户页面, 在该页面中单击 < 增加 > 按钮, 进入增加接入用户页面 添加用户 00146c8a43ff; 添加帐号名和密码为 00146c8a43ff; 勾选刚才配置的服务 mac 图 1-13 增加接入用户 (5) 验证结果客户端可以通过认证, 并且可以访问无线网络 1-18

51 可以使用 display wlan client display connection 和 display mac-authentication 命令查看上 线的客户端 x 认证典型配置举例 1. 组网需求 FAT AP 和 RADIUS 服务器通过二层交换机建立连接 FAT AP 的 IP 地址为 , RADIUS 服务器的 IP 地址为 要求使用 802.1x 认证方式对客户端进行身份认证 2. 组网图 图 x 典型配置组网图 RADIUS server /24 IP network L2 switch FAT AP /24 Client 3. 配置步骤 (1) 配置 FAT AP # 使能端口安全功能, 并设置 802.1X 用户的认证方式为 eap <Sysname> system-view [Sysname] port-security enable [Sysname] dot1x authentication-method eap # 配置 RADIUS 方案 rad 的主认证 / 计费服务器的 IP 地址为 , 认证 / 授权 / 计费的共享密钥为 , 发送给 RADIUS 服务器的用户名格式为不带 ISP 域名 [Sysname] radius scheme rad [Sysname-radius-rad] primary authentication [Sysname-radius-rad] primary accounting # 配置系统与认证 RADIUS 服务器交互报文时的共享密钥为 , 系统与计费 RADIUS 服务器交互报文时的共享密钥为 [Sysname-radius-rad] key authentication [Sysname-radius-rad] key accounting [Sysname-radius-rad] user-name-format without-domain [Sysname-radius-rad] quit # 添加认证域 cams, 并为该域指定对应的 RADIUS 认证方案为 rad [Sysname] domain cams [Sysname-isp-cams] authentication lan-access radius-scheme rad [Sysname-isp-cams] authorization lan-access radius-scheme rad [Sysname-isp-cams] accounting lan-access radius-scheme rad [Sysname-isp-cams] quit # 设置 cams 为系统缺省的 ISP 域 [Sysname] domain default enable cams # 在 WLAN-BSS 接口下配置端口模式为 userlogin-secure-ext, 配置 11key 类型的密钥协商功能 [Sysname] interface wlan-bss

52 [Sysname-WLAN-BSS1] port-security port-mode userlogin-secure-ext [Sysname-WLAN-BSS1] port-security tx-key-type 11key # 关闭 802.1x 多播触发功能和在线用户握手功能 [Sysname-WLAN-BSS1] undo dot1x multicast-trigger [Sysname-WLAN-BSS1] undo dot1x handshake [Sysname-WLAN-BSS1] quit # 创建服务模板 1( 加密类型服务模板 ), 配置 SSID 为 dot1x [Sysname] wlan service-template 1 crypto [Sysname-wlan-st-1] ssid dot1x # 配置认证方式为开放系统认证, 配置信标和探测响应帧携带 RSN IE, 同时在帧加密时使用加密套件 [Sysname-wlan-st-1] authentication-method open-system [Sysname-wlan-st-1] cipher-suite ccmp [Sysname-wlan-st-1] security-ie rsn [Sysname-wlan-st-1] service-template enable [Sysname-wlan-st-1] quit # 将 WLAN-BSS 接口与服务模板绑定 [Sysname] interface wlan-radio2/0 [Sysname-WLAN-Radio2/0] radio-type dot11g [Sysname-WLAN-Radio2/0] service-template 1 interface wlan-bss 1 (2) 配置 RADIUS server(cams) 请参考 (2) 配置 RADIUS server(cams) 部分 (3) 配置 RADIUS server(imc V3) 请参考 (3) 配置 RADIUS server(imc) 部分 (4) 配置 RADIUS server(imc V5) 请参考 (4) 配置 RADIUS server(imc V5) 部分 (5) 配置无线网卡选择无线网卡, 在验证对话框中, 选择 EAP 类型为 PEAP, 点击 属性, 去掉验证服务器证书选项 ( 此处不验证服务器证书 ), 点击 配置, 去掉自动使用 windows 登录名和密码选项 然后 确定 整个过程如下图所示 1-20

53 图 1-15 无线网卡配置过程 图 1-16 无线网卡配置过程 1-21

54 图 1-17 无线网卡配置过程 (6) 验证结果客户端通过 802.1x 认证, 并且可以访问无线网络 可以使用 display wlan client display connection 和 display dot1x 命令查看上线的客户端 1-22

55 1.4 密码组合方式 本节内容包括了加密套件配置中使用到的所有组合方式 1. RSN 对于 RSN, 无线安全支持 CCMP 和 TKIP 作为成对密钥, 而 WEP 只用作组加密套件 下面是无线 安全支持的 RSN 的加密套件组合方式 (WEP40 WEP104 和 WEP128 不能同时存在 ) 表 1-16 RSN 的加密套件组合方式 单播密钥 广播密钥 认证方式 安全类型 CCMP WEP40 PSK RSN CCMP WEP104 PSK RSN CCMP WEP128 PSK RSN CCMP TKIP PSK RSN CCMP CCMP PSK RSN TKIP WEP40 PSK RSN TKIP WEP104 PSK RSN TKIP WEP128 PSK RSN TKIP TKIP PSK RSN CCMP WEP x RSN CCMP WEP x RSN CCMP WEP x RSN CCMP TKIP 802.1x RSN CCMP CCMP 802.1x RSN TKIP WEP x RSN TKIP WEP x RSN TKIP WEP x RSN TKIP TKIP 802.1x RSN 2. WPA 对于 WPA, 无线安全支持 CCMP 和 TKIP 作为成对密钥, 而 WEP 只用作组加密套件 下面是无线 安全支持的 WPA 的加密套件组合方式 (WEP40 WEP104 和 WEP128 不能同时存在 ) 表 1-17 WPA 的加密套件组合方式 单播密钥 广播密钥 认证方式 安全类型 CCMP WEP40 PSK WPA CCMP WEP104 PSK WPA CCMP WEP128 PSK WPA CCMP TKIP PSK WPA CCMP CCMP PSK WPA TKIP WEP40 PSK WPA TKIP WEP104 PSK WPA TKIP WEP128 PSK WPA 1-23

56 单播密钥 广播密钥 认证方式 安全类型 TKIP TKIP PSK WPA CCMP WEP x WPA CCMP WEP x WPA CCMP WEP x WPA CCMP TKIP 802.1x WPA CCMP CCMP 802.1x WPA TKIP WEP x WPA TKIP WEP x WPA TKIP WEP x WPA TKIP TKIP 802.1x WPA 3. Pre RSN 对于 Pre RSN 无线客户端, 无线安全仅支持 WEP 加密套件 (WEP40 WEP104 和 WEP128 不能 同时存在 ) 表 1-18 Pre RSN 的加密套件组合方式 单播密钥 广播密钥 认证方式 安全类型 WEP40 WEP40 Open system no Sec Type WEP104 WEP104 Open system no Sec Type WEP128 WEP128 Open system no Sec Type WEP40 WEP40 Shared key no Sec Type WEP104 WEP104 Shared key no Sec Type WEP128 WEP128 Shared key no Sec Type 1-24

57 目录 1 WLAN IDS 配置 WLAN IDS 功能简介 常用术语 检测 IDS 攻击 WLAN IDS 配置任务简介 配置检测 IDS 攻击 配置检测 IDS 攻击 IDS 攻击检测显示和维护 WIDS-Frame Filtering WIDS-Frame Filtering 简介 黑白名单列表 黑白名单的处理过程 配置 WIDS-Frame Filtering 配置静态列表 配置动态黑名单 WIDS-Frame Filtering 显示和维护 WIDS Frame Filtering 配置举例 2-3 i

58 1 WLAN IDS 配置 本文所指的 AP 和 FAT AP 代表了 ICG 2000 和 ICG 2000B 信息通信网关 1.1 WLAN IDS 功能简介 网络很容易受到各种网络威胁的影响, 如未经授权的 AP 用户 Ad-hoc 网络 拒绝服务型攻击等 Rogue 设备对于企业网络安全来说是一个很严重的威胁 WIDS(Wireless Intrusion Detection System) 用于对有恶意的用户攻击和入侵无线网络进行早期检测 WIPS(Wireless Intrusion Prevention System) 可以保护企业网络和用户不被无线网络上未经授权的设备访问 Rogue 设备检测功能是 WIDS/WIPS 功能的一部分, 它用于检测 WLAN 网络中的 Rogue 设备, 并对它们采取反制措施, 以阻止其工作 常用术语 Wireless Intrusion Detection System (WIDS):WIDS 用于放置到已有的无线网络中, 它可以对网络外恶意的攻击和入侵无线网络进行检测 Rogue AP: 网络中未经授权或者有恶意的 AP, 它可以是私自接入到网络中的 AP 未配置的 AP 邻居 AP 或者攻击者操作的 AP 如果在这些 AP 上存在漏洞的话, 黑客就有机会危害你的网络安全 Rogue Client: 非法客户端, 网络中未经授权或者有恶意的客户端, 类似于 rogue AP Rogue Wireless Bridge: 非法无线网桥, 网络中未经授权或者有恶意的网桥 Monitor AP: 网络中用于扫描或监听无线介质, 并试图检测无线网络中的攻击 Ad-hoc mode: 把无线客户端的工作模式设置为 Ad-hoc 模式,Ad-hoc 终端可以不需要任何设备支持而直接进行通讯 Passive Scanning: 在被动扫描模式下,monitor AP 监听该信道下空气介质中所有的 帧 Active Scanning: 在监听 帧的同时,monitor AP 发送广播探查请求并在该信道上等待所有的探查响应消息 每一个在 monitor AP 附近的 AP 都将回应探查请求, 这样就可以通过处理探查响应帧来分辨 friend AP 和 rogue AP 在发送探查请求时,Monitor AP 是伪装成客户端的 检测 IDS 攻击为了及时发现 WLAN 网络的恶意或者无意的攻击, 通过记录信息或者发送日志信息的方式通知网络管理者 目前设备支持的入侵检测主要包括泛洪攻击检测 Spoof 检测以及 Weak IV 检测 1. 泛洪攻击检测泛洪攻击 (Flooding 攻击 ) 是指 WLAN 设备会在短时间内接收了大量的同种类型的报文 此时 WLAN 设备会被泛洪的攻击报文淹没而无法处理合法无线客户端的报文 攻击检测通过持续地监控每台无线客户端的流量大小来预防这种泛洪攻击 当流量超出可容忍的上限时, 该无线客户端将被认定在实施泛洪攻击 如果在 WLAN 设备上开启动态黑名单功能, 此时被检测到的攻击设备将被加入黑名单, 在后续一段时间内将被禁止接入 WLAN 网络 1-1

59 入侵检测支持对下列报文的泛洪攻击检测 : 认证请求 / 解除认证请求 (Authentication / De-authentication); 关联请求 / 解除关联请求 / 重新关联请求 (Association / Disassociation / Reassociation); 探查请求 (Probe Request); Null 数据帧 ; Action 帧 ; 2. Spoofing 攻击检测 Spoofing 攻击是指潜在的攻击者会仿冒其他设备的名义发送攻击报文, 以达到破坏无线网络正常工作的目的 例如 : 无线网络中的客户端已经和 AP 关联, 并处于正常工作状态, 此时如果有攻击者仿冒 AP 的名义给客户端发送解除认证报文就可能导致客户端下线, 同样如果攻击者仿冒客户端的名义给 AP 发送解除认证报文也会影响无线网络的正常工作 目前,Spoofing 攻击检测支持对仿冒 AP 名义发送的广播解除认证和广播解除关联报文进行检测 当接收到这两种报文时, 设备会将其定义为 Spoofing 攻击并被记录到日志中 3. Weak IV 攻击检测使用 WEP 加密的时候,WLAN 设备对于每一个报文都会使用初始化向量 (IV,Initialization Vector), IV 和 Key 一起作为输入来生成 Key Stream, 使相同密钥产生不同加密效果 当一个 WEP 报文被发送时, 用于加密报文的 IV 也作为报文头的一部分被发送 如果 WLAN 设备使用不安全的方法生成 IV, 例如始终使用固定的 IV, 就可能会暴露共享的密钥, 如果潜在的攻击者获得了共享的密钥, 攻击者将能够控制网络资源 检测 IDS 攻击可以通过识别每个 WEP 报文的 IV 来预防这种攻击, 当一个有 Weak IV 的报文被检测到时, 这个检测将立刻被记录到日志中 1.2 WLAN IDS 配置任务简介 表 1-1 WLAN IDS 配置任务简介 配置任务说明详细配置 配置 IDS 攻击检测 配置 IDS 攻击检测 IDS 攻击检测显示和维护 可选 配置检测 IDS 攻击 配置检测 IDS 攻击 表 1-2 配置 IDS 攻击检测 配置命令说明 进入系统视图 system-view - 进入 IDS 视图 wlan ids - 配置 IDS 攻击检测 attack-detection enable { all flood weak-iv spoof } 必选 缺省情况下, 攻击检测功能处于关闭状态 1-2

60 1.3.2 IDS 攻击检测显示和维护在完成上述配置后, 在任意视图下执行 display 命令可以显示 IDS 攻击检测配置后的运行情况, 通过查看显示信息验证配置的效果 在用户视图下执行 reset 命令可以清除 IDS 攻击检测统计信息 表 1-3 IDS 攻击检测显示和维护 配置显示 WLAN 系统的攻击检测历史信息显示检测到的攻击数清除 WLAN 系统攻击检测的历史信息清除 WLAN 系统攻击检测的统计信息 命令 display wlan ids history [ { begin exclude include } regular-expression ] display wlan ids statistics [ { begin exclude include } regular-expression ] reset wlan ids history reset wlan ids statistics 1-3

61 2 WIDS-Frame Filtering 本文所指的 AP 和 FAT AP 代表了 ICG 2000 和 ICG 3000B 信息通信网关无线款型 2.1 WIDS-Frame Filtering 简介 帧过滤是 MAC 和 WIDS(Wireless Intrusion Detection System, 无线入侵检测系统 ) 子特性的一个小特性 无线控制器包括白名单列表 ( 列表中的当前表项是被许可, 并可以通过命令行配置的 ), 静态黑名单列表 ( 列表中的当前表项是不被许可, 但可以通过命令行配置的 ) 和动态黑名单列表 ( 列表中的当前表项是不被许可, 并只有在无线入侵检测系统检测到泛洪攻击时才被添加 ) 过滤行为实体维持了 AP 上的 MAC 地址, 并且过滤行为只有在输入的 MAC 地址匹配的情况下才执行 黑白名单列表在 WLAN 网络环境中, 可以通过黑白名单功能设定一定的规则过虑无线客户端, 实现对无线客户端的接入控制 黑白名单维护三种类型的列表 白名单列表 : 该列表包含允许接入的无线客户端的 MAC 地址 如果使用了白名单, 则只有白名单中指定的无线客户端可以接入到 WLAN 网络中, 其他的无线客户端将被拒绝接入 静态黑名单列表 : 该列表包含拒绝接入的无线客户端的 MAC 地址 动态黑名单列表 : 当 WLAN 设备检测到来自某一设备的非法攻击时, 可以选择将该设备动态加入到黑名单中, 拒绝接收任何来自于该设备的报文, 直至该动态黑名单表项老化为止, 从而实现对 WLAN 网络的安全保护 动态黑名单支持与 ARP Detection 功能联动, 即当 ARP Detection 检测到攻击时, 发送非法报文的用户 (MAC 地址 ) 也会被加入到动态黑名单中 关于 ARP Detection 功能 的功能介绍请参见 安全配置指导 中的 ARP 攻击防御 黑白名单的处理过程黑白名单按照以下步骤对接收到的 报文进行过滤, 只有满足条件的报文允许通过, 其他的所有的报文都会被丢弃 (1) 当 AP 接收到一个 帧时, 将针对该 帧的源 MAC 进行过滤 ; (2) 如果设置了白名单列表, 但接收帧的源 MAC 不在白名单列表内, 该帧将被丢弃 ; (3) 如果源 MAC 在白名单内, 该帧将被作为合法帧进一步处理 ; (4) 如果没有设置白名单列表, 则继续搜索静态和动态的黑名单列表 如果源 MAC 在静态或动态黑名单列表内, 该帧将被丢弃 ; (5) 如果源 MAC 没有在静态或动态黑名单列表内, 或者黑名单列表为空, 则该帧将被作为合法帧进一步处理 2-1

62 图 2-1 无线用户接入控制组网图 在 FAT AP 组网图中, 假设 Client 1 的 MAC 地址存在于黑名单列表中, 则 Client 1 不能与 FAT AP 发生关联 当 Client 1 的 MAC 地址存在于白名单列表中时, 它可以接入无线网络 2.2 配置 WIDS-Frame Filtering WIDS-Frame Filtering 配置包括白名单列表 静态黑名单列表和动态黑名单列表 各种名单列表的特性如下 : 切换到 IDS 视图下可以配置静态黑名单列表 白名单列表 使能动态黑名单列表功能以及动态黑名单中的对应列表的生存时间 只有当表项存在于白名单列表中时, 对应的客户端才能通过帧过滤 用户可以通过命令行添加或删除表项 当输入表项存在于黑名单列表中时将被拒绝通过, 当 WIDS 检测到泛洪攻击时, 该表项将被动态添加到动态黑名单列表中 对于存在于动态黑名单中的表项, 用户可以通过命令行设置生存时间 在该时间超时后, 该设备接口将被从动态列表中删除 配置静态列表表 2-1 配置静态列表操作命令说明进入系统视图 system-view - 进入 ids 视图 wlan ids - 配置白名单列表 whitelist mac-address mac-address 可选 配置静态黑名单列表 static-blacklist mac-address mac-address 可选 配置动态黑名单 表 2-2 配置动态黑名单 操作命令说明 进入系统视图 system-view - 2-2

63 操作命令说明 进入 ids 视图 wlan ids - 开启动态黑名单列表功能 设置动态黑名单中的对应列表的生存时间 dynamic-blacklist enable dynamic-blacklist lifetime lifetime 可选缺省情况下, 不开启态黑名单列表功能 可选缺省情况下, 生存时间为 300 秒 2.3 WIDS-Frame Filtering 显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 WIDS-Frame Filtering 的运行情况, 通过查看显示信息验证配置的效果 在用户视图下执行 reset 命令清除 WIDS-Frame Filtering 的相关信息 表 2-3 WIDS-Frame Filtering 显示和维护 操作 显示黑名单列表 命令 display wlan blacklist { static dynamic } [ { begin exclude include } regular-expression ] 显示白名单列表 display wlan whitelist [ { begin exclude include } regular-expression ] 清除动态黑名单列表选项 reset wlan dynamic-blacklist { mac-address mac-address all } WIDS Frame Filtering 配置举例 1. 组网需求客户端通过 FAT AP 接入无线网络 其中 Client 1( f-1211) 为已知非法客户端, 为了保证无线网络的安全性, 网络管理员需要将其的 MAC 地址加入到设备的黑名单列表中, 使其无法接入网络 2. 组网图图 2-2 帧过虑配置组网图 3. 配置步骤 # 将 Client 1 的 MAC 地址 f-1211 添加到静态黑名单列表 <Sysname> system-view [Sysname] wlan ids [Sysname-wlan-ids] static-blacklist mac-address f-1211 完成配置后, 非法客户端 Client 1( f-1211) 无法接入 AP, 其它客户端正常接入网络 2-3

64 目录 1 WLAN QoS 配置 WLAN QoS 简介 术语 WMM 协议概述 协议和标准 配置 WMM 服务 WMM 服务显示和维护 WMM 服务典型配置举例 WMM 基本服务配置举例 CAC 服务典型配置举例 SVP 服务典型配置举例 常见配置错误举例 EDCA 参数配置失败 配置 SVP 或 CAC 功能无效 1-8 i

65 1 WLAN QoS 配置 本文所指的 AP 和 FAT AP 代表了 ICG 2000 和 ICG 2000B 信息通信网关 1.1 WLAN QoS 简介 网络提供了基于竞争的无线接入服务, 但是不同的应用需求对于网络的要求是不同的, 而原始的网络不能为不同的应用提供不同质量的接入服务, 所以已经不能满足实际应用的需要 IEEE e 为基于 协议的 WLAN 体系添加了 QoS 特性, 这个协议的标准化时间很长, 在这个过程中,Wi-Fi 组织为了保证不同 WLAN 厂商提供 QoS 的设备之间可以互通, 定义了 WMM (Wi-Fi Multimedia,Wi-Fi 多媒体 ) 标准 WMM 标准使 WLAN 网络具备了提供 QoS 服务的能力 术语 (1) WMM WMM 是一种无线 QoS 协议, 用于保证高优先级的报文有优先的发送权利, 从而保证语音 视频等应用在无线网络中有更好的质量 (2) EDCA EDCA(Enhanced Distributed Channel Access, 增强的分布式信道访问 ) 是 WMM 定义的一套信道竞争机制, 有利于高优先级的报文享有优先发送的权利和更多的带宽 (3) AC AC(Access Category, 接入类 ),WMM 按照优先级从高到低的顺序分为 AC-VO( 语音流 ) AC-VI ( 视频流 ) AC-BE( 尽力而为流 ) AC-BK( 背景流 ) 四个优先级队列, 保证越高优先级队列中的报文, 抢占信道的能力越高 (4) CAC CAC(Connect Admission Control, 连接准入控制 ), 限制能使用高优先级队列 (AC-VO 和 AC-VI 队列 ) 的客户端个数, 从而保证已经使用高优先级队列的客户端能够有足够的带宽保证 (5) U-APSD U-APSD(Unscheduled automatic power-save delivery, 非调度自动节能发送 ), 是 WMM 定义的一种新的节能处理方式, 可以进一步提升客户端的节能能力 (6) SVP SVP(SpectraLink Voice Priority,Spectralink 语音优先级 ) 是 Spectralink 公司为向语音通话提供 QoS 保障而设计的语音优先协议 WMM 协议概述 在 协议中 DCF(Distributed Coordination Function, 分布式协调功能 ) 规定了 AP 和客户端使用 CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance, 载波监听 / 冲突避免 ) 的接入方式 在占用信道发送数据前,AP 或客户端会监听信道 当信道空闲时间大于或等于规定的空闲等待时间,AP 或客户端在竞争窗口范围内随机选择退避时间进行退避 最先结束退避的设备竞争到信道 在 协议中, 由于所有设备的空闲等待时间 竞争窗口都相同, 所以整个网络设备的信道竞争机会相同 1-1