1 WLAN 用 户 安 全 配 置 本 文 中 的 AP 指 的 是 LA3616 无 线 网 关 1.1 WLAN 用 户 安 全 简 介 最 初 802.11 的 安 全 机 制 被 称 为 Pre-RSNA 安 全 机 制, 它 的 认 证 机 制 不 完 善, 容 易 被 攻 破, 存 在

目 录 1 WLAN 用 户 安 全 配 置 1-1 1.1 WLAN 用 户 安 全 简 介 1-1 1.2 Pre-RSNA 安 全 机 制 1-1 1.2.1 开 放 系 统 认 证 1-1 1.2.2 共 享 密 钥 认 证 1-2 1.3 RSNA 安 全 机 制 1-2 1.3.1 身 份 认 证 1-3 1.3.2 密 钥 管 理 1-3 1.3.3 加 密 套 件 1-8 1.4 动 态 WEP 加 密 安 全 机 制 1-8 1.5 协 议 规 范 1-9 1.6 WLAN 用 户 安 全 配 置 任 务 简 介 1-9 1.7 WLAN 用 户 安 全 配 置 1-10 1.7.1 配 置 身 份 认 证 与 密 钥 管 理 模 式 1-10 1.7.2 配 置 安 全 信 息 元 素 1-11 1.7.3 配 置 加 密 套 件 1-11 1.7.4 配 置 PSK 密 钥 1-11 1.7.5 配 置 密 钥 衍 生 算 法 1-12 1.7.6 配 置 GTK 更 新 功 能 1-12 1.7.7 配 置 PTK 的 生 存 时 间 1-13 1.7.8 配 置 TKIP 反 制 时 间 1-13 1.7.9 配 置 WEP 密 钥 1-13 1.7.10 开 启 动 态 WEP 加 密 机 制 1-14 1.8 WLAN 用 户 安 全 显 示 和 维 护 1-14 1.9 WLAN 用 户 安 全 典 型 配 置 举 例 1-15 1.9.1 共 享 密 钥 认 证 配 置 举 例 1-15 1.9.2 PSK 身 份 认 证 与 密 钥 管 理 模 式 和 Bypass 认 证 配 置 举 例 1-16 1.9.3 PSK 身 份 认 证 与 密 钥 管 理 模 式 和 MAC 地 址 认 证 配 置 举 例 1-18 1.9.4 802.1X 身 份 认 证 与 密 钥 管 理 模 式 配 置 举 例 1-21 1.9.5 动 态 WEP 配 置 举 例 1-24 i

1 WLAN 用 户 安 全 配 置 本 文 中 的 AP 指 的 是 LA3616 无 线 网 关 1.1 WLAN 用 户 安 全 简 介 最 初 802.11 的 安 全 机 制 被 称 为 Pre-RSNA 安 全 机 制, 它 的 认 证 机 制 不 完 善, 容 易 被 攻 破, 存 在 安 全 隐 患, 且 在 WEP 加 密 机 制 中, 由 于 连 接 同 一 BSS 下 的 所 有 客 户 端 都 使 用 同 一 加 密 密 钥 和 AP 进 行 通 信, 一 旦 某 个 用 户 的 密 钥 泄 露, 那 么 所 有 用 户 的 数 据 都 可 能 被 窃 听 或 篡 改, 所 以 IEEE 制 订 了 802.11i 协 议 来 加 强 无 线 网 络 的 安 全 性 但 802.11i 仅 对 无 线 网 络 的 数 据 报 文 进 行 加 密 保 护, 而 不 对 管 理 帧 进 行 保 护, 所 以 管 理 帧 的 机 密 性 真 实 性 完 整 性 无 法 保 证, 容 易 受 到 仿 冒 或 监 听, 例 如 : 恶 意 攻 击 者 通 过 获 取 设 备 的 MAC 地 址 并 仿 冒 设 备 恶 意 拒 绝 客 户 端 认 证 或 恶 意 结 束 设 备 与 客 户 端 的 关 联 802.11w 无 线 加 密 标 准 建 立 在 802.11i 框 架 上, 通 过 保 护 无 线 网 络 的 管 理 帧 来 解 决 上 述 问 题, 进 一 步 增 强 无 线 网 络 的 安 全 性 1.2 Pre-RSNA 安 全 机 制 Pre-RSNA 安 全 机 制 采 用 开 放 式 系 统 认 证 (Open system authentication) 和 共 享 密 钥 认 证 (Shared key authentication) 两 种 认 证 方 式 来 进 行 客 户 端 认 证, 并 且 采 用 WEP 加 密 方 式 对 数 据 进 行 加 密 来 保 护 数 据 机 密 性, 以 对 抗 窃 听 WEP 加 密 使 用 RC4 加 密 算 法 ( 一 种 流 加 密 算 法 ) 实 现 数 据 报 文 的 加 密,WEP 加 密 支 持 WEP40 WEP104 和 WEP128 三 种 密 钥 长 度 1.2.1 开 放 系 统 认 证 开 放 系 统 认 证 (Open system authentication) 是 缺 省 使 用 的 认 证 方 式, 也 是 最 简 单 的 认 证 算 法, 即 不 认 证 如 果 认 证 类 型 设 置 为 开 放 系 统 认 证, 则 所 有 请 求 认 证 的 客 户 端 都 会 通 过 认 证 开 放 系 统 认 证 包 括 两 个 步 骤, 如 图 1-1 所 示 : (1) 客 户 端 向 AP 发 起 认 证 请 求 ; (2) AP 确 定 客 户 端 可 以 通 过 无 线 链 路 认 证, 并 向 客 户 端 回 应 认 证 结 果 为 成 功 1-1

图 1-1 开 放 系 统 认 证 过 程 1.2.2 共 享 密 钥 认 证 共 享 密 钥 认 证 (Shared key authentication) 需 要 客 户 端 和 AP 配 置 相 同 的 WEP 密 钥 共 享 密 钥 认 证 的 认 证 过 程 如 图 1-2 所 示 : (1) 客 户 端 先 向 AP 发 送 认 证 请 求 ; (2) AP 会 随 机 产 生 一 个 Challenge Text( 即 一 个 字 符 串 ) 发 送 给 客 户 端 ; (3) 客 户 端 使 用 WEP 密 钥 将 接 收 到 的 Challenge Text 加 密 后 再 发 送 给 AP; (4) AP 使 用 WEP 密 钥 解 密 接 收 到 的 消 息, 并 对 解 密 后 的 字 符 串 和 原 始 字 符 串 进 行 比 较 如 果 相 同, 则 说 明 客 户 端 通 过 了 链 路 层 认 证, 否 则 链 路 层 认 证 失 败 图 1-2 共 享 密 钥 认 证 过 程 1.3 RSNA 安 全 机 制 802.11i 安 全 机 制 又 被 称 为 RSNA(Robust Security Network Association, 健 壮 安 全 网 络 连 接 ) 安 全 机 制, 包 括 WPA(Wi-Fi Protected Access,Wi-Fi 保 护 访 问 ) 和 RSN(Robust Security Network, 健 壮 安 全 网 络 ) 两 种 安 全 模 式, 采 用 AKM(Authentication and Key Management, 身 份 认 证 与 密 钥 管 理 ) 对 用 户 身 份 的 合 法 性 进 行 认 证, 对 密 钥 的 生 成 更 新 进 行 动 态 管 理, 并 且 采 用 TKIP (Temporal Key Integrity Protocol, 临 时 密 钥 完 整 性 协 议 ) 和 CCMP(Counter mode with CBC-MAC Protocol,[ 计 数 器 模 式 ] 搭 配 [ 区 块 密 码 锁 链 - 信 息 真 实 性 检 查 码 ] 协 议 ) 加 密 机 制 对 报 文 进 行 加 密 1-2

AKM 分 为 802.1X 和 PSK 两 种 模 式 : 802.1X: 采 用 802.1X 认 证 对 用 户 进 行 身 份 认 证, 并 在 认 证 过 程 中 生 成 PMK(Pairwise Master Key, 成 对 主 密 钥 ), 客 户 端 和 AP 使 用 该 PMK 生 成 PTK(Pairwise Transient Key, 成 对 临 时 密 钥 ) PSK: 采 用 PSK 认 证 进 行 身 份 认 证, 并 通 过 PSK 密 钥 生 成 PMK, 客 户 端 和 AP 使 用 该 PMK 生 成 PTK 当 WLAN 网 络 采 用 RSNA 安 全 机 制 时, 链 路 层 认 证 将 协 商 为 开 放 系 统 认 证 1.3.1 身 份 认 证 802.11i 协 议 规 定 使 用 两 种 身 份 认 证 方 式, 以 下 分 别 介 绍 : 对 于 安 全 要 求 标 准 较 高 的 企 业 政 府 等 机 构, 推 荐 使 用 认 证 服 务 器 通 过 802.1X 认 证 方 式 对 客 户 端 进 行 身 份 认 证 有 关 802.1X 认 证 的 详 细 介 绍 及 相 关 配 置, 请 参 见 WLAN 配 置 指 导 中 的 WLAN 用 户 接 入 认 证 对 于 安 全 要 求 标 准 较 低 的 家 庭 用 户 等, 推 荐 使 用 PSK 方 式 对 客 户 端 进 行 认 证 PSK 认 证 方 式 需 要 在 AP 侧 预 先 输 入 预 共 享 密 钥, 在 客 户 端 关 联 过 程 中, 手 动 输 入 该 密 钥,AP 和 客 户 端 通 过 四 次 握 手 密 钥 协 商 来 验 证 客 户 端 的 预 共 享 密 钥 的 合 法 性, 若 PTK 协 商 成 功, 则 证 明 该 用 户 合 法, 以 此 来 达 到 认 证 的 目 的 1.3.2 密 钥 管 理 密 钥 用 于 对 数 据 进 行 加 密 来 提 高 WLAN 网 络 的 安 全 性 密 钥 管 理 机 制 定 义 了 密 钥 的 生 成 和 密 钥 的 更 新 等 一 系 列 的 过 程, 以 此 来 确 保 每 个 用 户 使 用 安 全 的 密 钥 1. 密 钥 种 类 802.11i 协 议 中 密 钥 主 要 包 括 PTK 和 GTK(Group Temporal Key, 群 组 临 时 密 钥 ) 两 种, 以 下 分 别 介 绍 (1) PTK PTK 用 于 保 护 单 播 数 据,PTK 结 构 如 图 1-3 所 示 图 1-3 PTK 结 构 图 KCK(EAPOL-Key Confirmation Key, 确 认 密 钥 ): 用 来 校 验 EAPOL-Key 帧 的 完 整 性 KEK(EAPOL-Key Encryption Key, 加 密 密 钥 ): 用 来 加 密 EAPOL-Key 帧 中 的 Key Data 字 段 TK(Temporal Key, 临 时 密 钥 ): 用 来 对 单 播 数 据 报 文 进 行 加 密 的 密 钥 (2) GTK 1-3

GTK 用 于 保 护 组 播 和 广 播 数 据 GTK 的 结 构 包 含 TK 和 其 它 字 段, 其 中 TK 是 用 来 对 组 播 和 广 播 数 据 进 行 加 密 的 密 钥 2. EAPOL-Key 报 文 格 式 802.11i 协 议 规 定 密 钥 协 商 过 程 使 用 的 报 文 为 EAPOL-Key 数 据 报 文, 报 文 格 式 如 图 1-4 所 示 图 1-4 EAPOL-Key 报 文 格 式 EAPOL-Key 报 文 的 各 字 段 含 义 如 表 1-1 所 示 表 1-1 EAPOL-Key 报 文 字 段 含 义 Descriptor type 字 段 含 义 表 示 网 络 类 型 是 WPA 网 络 或 RSN 网 络 Key information 有 关 Key information 的 详 细 介 绍, 请 参 见 表 1-2Key information 字 段 含 义 Key length Key replay counter Key nonce EAPOL Key IV Key RSC Reserved Key MIC Key data length 表 示 密 钥 的 长 度 此 字 段 表 示 AP 发 送 的 EAPOL-Key 报 文 的 个 数, 即 AP 每 发 送 一 个 EAPOL-Key 报 文 该 字 段 都 会 加 1, 目 的 是 防 止 重 放 攻 击 在 开 始 密 钥 协 商 时,AP 发 送 的 EAPOL-Key 报 文 中 该 字 段 为 0, 客 户 端 接 收 到 EAPOL-Key 报 文, 将 此 位 记 录 到 本 地, 当 客 户 端 再 次 接 收 到 AP 发 送 的 EAPOL-Key 报 文 时, 报 文 内 的 该 字 段 必 须 要 大 于 本 地 所 记 录 的, 否 则 丢 弃 该 报 文 等 待 重 传 当 AP 端 接 收 到 客 户 端 的 报 文 时, 此 字 段 必 须 和 AP 本 地 保 存 的 相 同, 否 则 等 待 重 传, 直 到 接 收 到 合 法 的 Key replay counter 若 达 到 最 大 重 传 次 数 时,AP 会 将 客 户 端 删 除 该 字 段 用 来 传 递 生 成 PTK 所 用 的 随 机 值 该 字 段 用 于 TKIP 加 密, 只 有 加 密 方 式 为 非 CCMP 时, 该 字 段 才 被 赋 值 此 字 段 表 示 AP 发 送 的 组 播 报 文 或 广 播 报 文 的 个 数, 即 AP 每 发 送 一 个 组 播 或 广 播 报 文 该 字 段 都 会 加 1, 与 Key replay counter 字 段 的 防 止 重 放 攻 击 作 用 相 同 保 留 字 段 表 示 EAPOL-Key 报 文 MIC(Message Integrity Check, 信 息 完 整 性 校 验 ) 值 表 示 Key data 字 段 长 度 1-4

字 段 含 义 Key data 该 字 段 要 存 放 AP 和 客 户 端 进 行 交 互 的 数 据, 例 如 :GTK PMKID(Pairwise Master key identifier, 成 对 主 密 钥 标 识 符, 供 漫 游 所 用 ) 等 Key information 字 段 格 式 如 图 1-5 所 示, 各 字 段 含 义 如 表 1-2 所 示 图 1-5 Key information 字 段 格 式 表 1-2 Key information 字 段 含 义 字 段 Key Descriptor Version Key Type Reserved 含 义 密 钥 版 本 位, 长 度 为 3 比 特, 取 值 为 1 表 示 非 CCMP 密 钥, 取 值 为 2 表 示 CCMP 密 钥 密 钥 类 型 位, 长 度 为 1 比 特, 取 值 为 1 表 示 在 进 行 单 播 密 钥 协 商, 取 值 为 0 表 示 在 进 行 组 播 密 钥 协 商 保 留 位, 长 度 为 2 比 特, 发 送 方 将 该 位 置 为 0, 接 收 方 忽 略 该 值 安 装 密 钥 标 记 位, 长 度 为 1 比 特 Install 若 Key Type 位 为 1: 安 装 密 钥 标 记 位 为 1, 表 示 客 户 端 进 行 TK 密 钥 安 装 安 装 密 钥 标 记 位 为 0, 表 示 客 户 端 不 进 行 TK 密 钥 安 装 若 Key Type 位 为 0: 则 在 发 送 方 会 将 安 装 密 钥 标 记 位 置 为 0, 接 收 方 忽 略 该 位 Key Ack Key MIC Secure Error Request Encrypted Key Data Reserved 密 钥 确 认 位, 长 度 为 1 比 特, 取 值 为 1 表 示 AP 期 待 客 户 端 回 复 应 答 报 文 信 息 完 整 性 校 验 位, 长 度 1 比 特, 取 值 为 1 表 示 已 经 计 算 出 MIC, 并 且 将 产 生 的 MIC 填 充 到 EAPOL-Key 报 文 的 Key MIC 字 段 中 安 全 位, 长 度 为 1 比 特, 取 值 为 1 表 示 密 钥 已 产 生 错 误 位, 长 度 为 1 比 特, 取 值 为 1 表 示 客 户 端 MIC 校 验 失 败 ; 当 且 仅 当 Request 位 为 1 时, 客 户 端 才 将 该 位 置 为 1 请 求 位, 长 度 为 1 比 特, 由 MIC 校 验 失 败 的 客 户 端 发 起, 用 来 请 求 AP 发 起 四 次 握 手 或 者 组 播 握 手 加 密 密 钥 数 据 位, 长 度 为 1 比 特, 取 值 为 1 表 示 Key data 字 段 为 加 密 数 据 保 留 位, 长 度 为 3 比 特, 发 送 方 将 该 位 置 位 0, 接 收 方 忽 略 该 值 3. WPA 安 全 模 式 密 钥 协 商 过 程 WPA 是 一 种 比 WEP 加 密 性 能 更 强 的 安 全 机 制 在 802.11i 协 议 完 善 前, 采 用 WPA 为 用 户 提 供 一 个 临 时 性 的 WLAN 安 全 增 强 解 决 方 案 在 WPA 安 全 网 络 中, 客 户 端 和 AP 通 过 使 用 EAPOL-Key 报 文 进 行 四 次 握 手 协 商 出 PTK, 通 过 使 用 EAPOL-Key 报 文 进 行 二 次 组 播 握 手 协 商 出 GTK 协 商 过 程 如 图 1-6 所 示 1-5

图 1-6 WPA 密 钥 协 商 过 程 (1) AP 向 客 户 端 发 送 携 带 有 随 机 数 ANonce 的 第 一 个 EAPOL-Key 报 文 Message 1; (2) 客 户 端 接 收 到 报 文 Message 1, 使 用 AP 端 发 送 的 随 机 数 ANonce 客 户 端 的 随 机 数 SNonce 和 身 份 认 证 产 生 的 PMK 通 过 密 钥 衍 生 算 法 生 成 PTK, 并 用 PTK 中 的 KCK 产 生 MIC(Message Integrity Check, 信 息 完 整 性 校 验 ), 并 将 MIC 填 充 到 Message 2 报 文 中, 然 后 向 AP 发 送 携 带 SNonce 和 MIC 的 第 二 个 EAPOL-Key 报 文 Message 2; (3) AP 接 收 到 报 文 Message 2, 使 用 SNonce ANonce 和 身 份 认 证 产 生 的 PMK 通 过 密 钥 衍 生 算 法 生 成 PTK, 并 用 PTK 中 的 KCK 生 成 MIC, 然 后 对 Message 2 报 文 做 MIC 校 验, 用 AP 端 生 成 的 MIC 和 报 文 中 MIC 进 行 比 较, 若 两 个 MIC 相 同 则 说 明 MIC 校 验 成 功, 否 则 校 验 失 败 MIC 校 验 成 功 后,AP 向 客 户 端 发 送 携 带 通 知 客 户 端 安 装 PTK 标 记 和 MIC 的 第 三 个 EAPOL-Key 报 文 Message 3 (4) 客 户 端 接 收 到 报 文 Message 3, 首 先 对 报 文 进 行 MIC 校 验, 校 验 成 功 后, 安 装 单 播 密 钥 TK, 然 后 向 AP 发 送 携 带 MIC 的 第 四 个 EAPOL-Key 报 文 Message 4 (5) AP 接 收 到 报 文 Message 4, 首 先 对 报 文 进 行 MIC 校 验, 若 校 验 成 功, 则 AP 安 装 单 播 密 钥 TK, 密 钥 安 装 成 功 后 AP 使 用 随 机 值 GMK(Group Master Key, 组 播 主 密 钥 ) 和 AP 的 MAC 地 址 通 过 密 钥 衍 生 算 法 产 生 GTK, 并 向 客 户 端 发 送 携 带 MIC 和 GTK 的 第 五 个 EAPOL-Key 报 文 Group message 1; (6) 客 户 端 接 收 到 Group message 1, 首 先 对 报 文 进 行 MIC 校 验, 校 验 成 功 后 安 装 组 播 密 钥 TK, 并 向 AP 发 送 携 带 MIC 的 第 六 个 EAPOL-Key 报 文 Group message 2; (7) AP 接 收 到 Group message 2, 首 先 对 报 文 进 行 MIC 校 验, 校 验 成 功 后 安 装 组 播 密 钥 TK 4. RSN 安 全 模 式 密 钥 协 商 过 程 RSN 是 按 照 802.11i 协 议 为 用 户 提 供 的 一 种 WLAN 安 全 解 决 方 案 在 RSN 网 络 中, 客 户 端 和 AP 通 过 使 用 EAPOL-Key 类 型 报 文 进 行 四 次 握 手 协 商 出 PTK 和 GTK 协 商 过 程 如 图 1-7 所 示 1-6

图 1-7 RSN 密 钥 协 商 过 程 Client AP Message 1 EAPOL-Key(Anonce) Message 2 EAPOL-Key(Snonce, MIC) Message 3 EAPOL-Key(Install, MIC, GTK) Message 4 EAPOL-Key(MIC) (1) AP 向 客 户 端 发 送 携 带 有 随 机 数 ANonce 的 第 一 个 EAPOL-Key 报 文 Message 1; (2) 客 户 端 接 收 到 报 文 Message 1, 使 用 AP 端 发 送 的 随 机 数 ANonce 客 户 端 的 随 机 数 SNonce 和 身 份 认 证 产 生 的 PMK 通 过 密 钥 衍 生 算 法 生 成 PTK, 并 用 PTK 中 的 KCK 产 生 MIC, 并 填 充 到 Message 2 报 文 中, 然 后 向 AP 发 送 携 带 SNonce 和 MIC 的 第 二 个 EAPOL-Key 报 文 Message 2; (3) AP 接 收 到 报 文 Message 2, 使 用 SNonce ANonce 和 身 份 认 证 产 生 的 PMK 通 过 密 钥 衍 生 算 法 生 成 PTK, 并 用 PTK 中 的 KCK 生 成 MIC, 然 后 对 Message 2 报 文 做 MIC 校 验, 用 AP 端 生 成 的 MIC 和 报 文 中 MIC 进 行 比 较, 两 个 MIC 相 同 则 说 明 MIC 校 验 成 功, 否 则 失 败 MIC 校 验 成 功 后 通 过 随 机 值 GMK 和 AP 的 MAC 地 址 通 过 密 钥 衍 生 算 法 产 生 GTK, 并 向 客 户 端 发 送 携 带 通 知 客 户 端 安 装 密 钥 标 记 MIC 和 GTK 的 第 三 个 EAPOL-Key 报 文 Message 3 (4) 客 户 端 接 收 到 报 文 Message 3, 首 先 对 报 文 进 行 MIC 校 验, 校 验 成 功 后 客 户 端 安 装 单 播 密 钥 TK 和 组 播 密 钥 TK, 然 后 向 AP 发 送 携 带 MIC 的 第 四 个 EAPOL-Key 报 文 Message 4 (5) AP 接 收 到 报 文 Message 4, 首 先 对 报 文 进 行 MIC 校 验, 校 验 成 功 后 安 装 密 钥 单 播 密 钥 TK 和 组 播 密 钥 TK 5. 密 钥 更 新 如 果 客 户 端 长 时 间 使 用 一 个 密 钥, 或 携 带 当 前 网 络 正 在 使 用 的 组 播 密 钥 离 线, 此 时 网 络 被 破 坏 的 可 能 性 很 大, 安 全 性 就 会 大 大 降 低 WLAN 网 络 通 过 身 份 认 证 与 密 钥 管 理 中 的 密 钥 更 新 机 制 来 提 高 WLAN 网 络 安 全 性 密 钥 更 新 包 括 PTK 更 新 和 GTK 更 新 PTK 更 新 :PTK 更 新 是 对 单 播 数 据 报 文 的 加 密 密 钥 进 行 更 新 的 一 种 安 全 手 段, 采 用 重 新 进 行 四 次 握 手 协 商 出 新 的 PTK 密 钥 的 更 新 机 制, 来 提 高 安 全 性 GTK 更 新 :GTK 更 新 是 对 组 播 数 据 报 文 的 加 密 密 钥 进 行 更 新 的 一 种 安 全 手 段, 采 用 重 新 进 行 两 次 组 播 握 手 协 商 出 新 的 GTK 密 钥 的 更 新 机 制, 来 提 高 安 全 性 1-7

1.3.3 加 密 套 件 由 于 WEP 加 密 易 破 解, 一 旦 攻 击 者 收 集 到 足 够 多 的 有 效 数 据 帧 进 行 统 计 分 析, 那 么 将 会 造 成 数 据 泄 露, 无 线 网 络 将 不 再 安 全 802.11i 增 加 了 TKIP 和 CCMP 两 种 加 密 套 件 来 保 护 用 户 数 据 安 全, 以 下 分 别 介 绍 1. TKIP TKIP 加 密 机 制 依 然 使 用 RC4 算 法, 所 以 不 需 要 升 级 原 来 无 线 设 备 的 硬 件, 只 需 通 过 软 件 升 级 的 方 式 就 可 以 提 高 无 线 网 络 的 安 全 性 相 比 WEP 加 密 机 制,TKIP 有 如 下 改 进 : 通 过 增 长 了 算 法 的 IV(Initialization Vector, 初 始 化 向 量 ) 长 度 提 高 了 加 密 的 安 全 性 相 比 WEP 算 法,TKIP 直 接 使 用 128 位 密 钥 的 RC4 加 密 算 法, 而 且 将 初 始 化 向 量 的 长 度 由 24 位 加 长 到 48 位 ; 采 用 和 WEP 一 样 的 RC4 加 密 算 法, 但 其 动 态 密 钥 的 特 性 很 难 被 攻 破, 并 且 TKIP 支 持 密 钥 更 新 机 制, 能 够 及 时 提 供 新 的 加 密 密 钥, 防 止 由 于 密 钥 重 用 带 来 的 安 全 隐 患 ; 支 持 TKIP 反 制 功 能 当 TKIP 报 文 发 生 MIC 错 误 时, 数 据 可 能 已 经 被 篡 改, 也 就 是 无 线 网 络 很 可 能 正 在 受 到 攻 击 当 在 一 段 时 间 内 连 续 接 收 到 两 个 MIC 错 误 的 报 文,AP 将 会 启 动 TKIP 反 制 功 能, 此 时,AP 将 通 过 关 闭 一 段 时 间 无 线 服 务 的 方 式, 实 现 对 无 线 网 络 攻 击 的 防 御 2. CCMP CCMP 加 密 机 制 使 用 AES(Advanced Encryption Standard, 高 级 加 密 标 准 ) 加 密 算 法 的 CCM (Counter-Mode/CBC-MAC, 区 块 密 码 锁 链 - 信 息 真 实 性 检 查 码 ) 方 法,CCMP 使 得 无 线 网 络 安 全 有 了 极 大 的 提 高 CCMP 包 含 了 一 套 动 态 密 钥 协 商 和 管 理 方 法, 每 一 个 无 线 用 户 都 会 动 态 的 协 商 一 套 密 钥, 而 且 密 钥 可 以 定 时 进 行 更 新, 进 一 步 提 供 了 CCMP 加 密 机 制 的 安 全 性 在 加 密 处 理 过 程 中,CCMP 也 会 使 用 48 位 的 PN(Packet Number) 机 制, 保 证 每 一 个 加 密 报 文 都 会 使 用 不 同 的 PN, 在 一 定 程 度 上 提 高 安 全 性 1.4 动 态 WEP 加 密 安 全 机 制 当 WLAN 网 络 采 用 动 态 WEP 安 全 机 制 时, 链 路 层 认 证 将 协 商 为 开 放 系 统 认 证 在 Pre-RSNA 安 全 机 制 的 WEP 加 密 机 制 中, 由 于 连 接 同 一 BSS 下 的 所 有 客 户 端 都 使 用 同 一 加 密 密 钥 和 AP 进 行 通 信, 一 旦 某 个 用 户 的 密 钥 泄 露, 那 么 所 有 用 户 的 数 据 都 可 能 被 窃 听 或 篡 改, 因 此 802.11 提 供 了 动 态 WEP 加 密 机 制 在 动 态 WEP 加 密 机 制 中, 加 密 单 播 数 据 帧 的 WEP 密 钥 是 由 客 户 端 和 认 证 服 务 器 通 过 802.1X 认 证 协 商 产 生, 保 证 了 每 个 客 户 端 使 用 不 同 的 WEP 单 播 密 钥, 从 而 提 高 了 单 播 数 据 帧 传 输 的 安 全 性 组 播 密 钥 是 WEP 密 钥, 若 未 配 置 WEP 密 钥, 则 AP 使 用 随 机 算 法 产 生 组 播 密 钥 当 客 户 端 通 过 802.1X 认 证 后, AP 通 过 发 送 RC4 EAPOL-Key 报 文 将 组 播 密 钥 及 密 钥 ID 以 及 单 播 密 钥 的 密 钥 ID( 固 定 为 4) 分 发 给 客 户 端 1-8

1.5 协 议 规 范 与 用 户 安 全 相 关 的 协 议 规 范 有 : IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements-2004 WI-FI Protected Access Enhanced Security Implementation Based On IEEE P802.11i Standard-Aug 2004 Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements 802.11, 1999 IEEE Standard for Local and metropolitan area networks Port-Based Network Access Control 802.1X -2004 802.11i IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements 802.11w IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements 1.6 WLAN 用 户 安 全 配 置 任 务 简 介 1. Pre-RSNA 安 全 机 制 配 置 任 务 简 介 使 用 Pre-RSNA 安 全 机 制, 需 要 配 置 WEP 加 密 套 件 及 对 应 长 度 的 WEP 密 钥, 客 户 端 上 线 时, 客 户 端 和 AP 根 据 客 户 端 网 卡 的 设 置, 协 商 链 路 层 认 证 表 1-3 Pre-RSNA 安 全 机 制 配 置 任 务 简 介 配 置 任 务 说 明 详 细 配 置 配 置 加 密 套 件 必 选 1.7.3 配 置 WEP 密 钥 必 选 1.7.9 2. RSNA 安 全 机 制 配 置 任 务 简 介 使 用 RSNA 安 全 机 制, 身 份 认 证 与 密 钥 管 理 安 全 信 息 元 素 CCMP 或 TKIP 加 密 套 件 必 须 同 时 配 置, 且 客 户 端 网 卡 必 须 设 置 为 开 放 式 系 统 认 证 当 且 仅 当 使 用 RSNA 安 全 机 制, 且 配 置 了 CCMP 加 密 套 件 和 RSN 安 全 信 息 元 素 时, 配 置 保 护 管 理 帧 功 能 才 会 生 效 表 1-4 RSNA 安 全 机 制 配 置 任 务 简 介 配 置 任 务 说 明 详 细 配 置 配 置 身 份 认 证 与 密 钥 管 理 模 式 必 选 1.7.1 配 置 安 全 信 息 元 素 必 选 1.7.2 配 置 加 密 套 件 必 选 1.7.3 配 置 PSK 密 钥 可 选 1.7.4 配 置 密 钥 衍 生 算 法 可 选 1.7.5 1-9

配 置 任 务 说 明 详 细 配 置 配 置 GTK 更 新 功 能 可 选 1.7.6 配 置 PTK 的 生 存 时 间 可 选 1.7.7 配 置 TKIP 反 制 时 间 可 选 1.7.8 配 置 WEP 密 钥 可 选 1.7.9 开 启 动 态 WEP 加 密 机 制 可 选 1.7.10 3. 动 态 WEP 加 密 机 制 配 置 任 务 简 介 在 使 用 动 态 WEP 安 全 机 制 时, 单 播 密 钥 是 由 客 户 端 和 认 证 服 务 器 通 过 802.1X 认 证 协 商 产 生, 因 此 必 须 配 置 用 户 接 入 认 证 模 式 为 dot1x 模 式 在 开 启 动 态 WEP 加 密 机 制 后 : 若 配 置 了 WEP 加 密 套 件 加 密 套 件 对 应 的 WEP 密 钥 且 指 定 了 使 用 该 WEP 密 钥 的 ID, 则 以 配 置 的 加 密 套 件 对 单 播 和 组 播 报 文 加 密,WEP 密 钥 作 为 组 播 密 钥 客 户 端 和 认 证 服 务 器 会 协 商 与 配 置 的 WEP 加 密 套 件 相 对 应 的 单 播 密 钥 若 未 配 置 WEP 加 密 套 件 WEP 密 钥 及 密 钥 ID, 则 使 用 加 密 套 件 WEP104 对 单 播 和 组 播 报 文 进 行 加 密,AP 会 随 机 生 成 长 度 为 104 比 特 的 字 符 串 作 为 组 播 密 钥, 并 且 组 播 密 钥 ID 为 1 系 统 会 协 商 出 WEP104 密 钥 做 为 单 播 密 钥 表 1-5 动 态 WEP 加 密 机 制 配 置 任 务 简 介 配 置 任 务 说 明 详 细 配 置 配 置 加 密 套 件 可 选 1.7.3 配 置 WEP 密 钥 可 选 1.7.9 开 启 动 态 WEP 加 密 机 制 必 选 1.7.10 1.7 WLAN 用 户 安 全 配 置 1.7.1 配 置 身 份 认 证 与 密 钥 管 理 模 式 身 份 认 证 与 密 钥 管 理 模 式 和 WLAN 用 户 接 入 认 证 的 关 系 如 下 : 当 用 户 选 择 802.1X 身 份 认 证 与 密 钥 管 理 时,WLAN 用 户 接 入 认 证 模 式 只 能 配 置 为 802.1X 模 式 ; 当 身 份 认 证 与 密 钥 管 理 为 PSK 模 式 时,WLAN 用 户 接 入 认 证 模 式 只 能 使 用 Bypass 认 证 或 者 MAC 地 址 认 证 模 式 表 1-6 配 置 身 份 认 证 与 密 钥 管 理 操 作 命 令 说 明 进 入 系 统 视 图 system-view - 进 入 无 线 服 务 模 板 视 图 wlan service-template service-template-name - 1-10

操 作 命 令 说 明 配 置 身 份 认 证 与 密 钥 管 理 akm mode { dot1x psk } 缺 省 情 况 下, 未 配 置 身 份 认 证 与 密 钥 管 理 1.7.2 配 置 安 全 信 息 元 素 安 全 信 息 元 素 对 应 的 是 当 前 设 备 所 支 持 的 网 络 类 型,WPA 或 RSN 用 户 如 何 配 置 取 决 于 客 户 端 所 支 持 的 网 络 类 型 表 1-7 配 置 安 全 信 息 元 素 操 作 命 令 说 明 进 入 系 统 视 图 system-view - 进 入 无 线 服 务 模 板 视 图 wlan service-template service-template-name - 配 置 安 全 信 息 元 素 security-ie { rsn wpa } 缺 省 情 况 下, 信 标 和 探 查 响 应 帧 不 携 带 WPA IE 或 RSN IE 1.7.3 配 置 加 密 套 件 加 密 套 件 是 对 数 据 加 密 和 解 密 的 方 法 加 密 套 件 如 下 : WEP40/WEP104/WEP128 CCMP TKIP WEP128 加 密 套 件 和 CCMP 或 TKIP 不 能 同 时 配 置 表 1-8 配 置 加 密 套 件 操 作 命 令 说 明 进 入 系 统 视 图 system-view - 进 入 无 线 服 务 模 板 视 图 wlan service-template service-template-name - 配 置 加 密 套 件 cipher-suite { ccmp tkip wep40 wep104 wep128 } 缺 省 情 况 下, 未 配 置 加 密 套 件 1.7.4 配 置 PSK 密 钥 当 身 份 认 证 与 密 钥 管 理 为 PSK 模 式 时, 则 必 须 配 置 PSK 密 钥 当 身 份 认 证 与 密 钥 管 理 为 802.1X 模 式 时, 若 配 置 PSK 密 钥, 则 无 线 服 务 模 板 可 以 使 能, 但 此 配 置 不 会 生 效 1-11

表 1-9 配 置 PSK 密 钥 操 作 命 令 说 明 进 入 系 统 视 图 system-view - 进 入 无 线 服 务 模 板 视 图 wlan service-template service-template-name - 配 置 PSK 密 钥 preshared-key { pass-phrase raw-key } { cipher simple } key 缺 省 情 况 下, 未 配 置 PSK 密 钥 1.7.5 配 置 密 钥 衍 生 算 法 当 使 用 RSNA 安 全 机 制 时, 客 户 端 和 AP 使 用 密 钥 衍 生 算 法 来 产 生 PTK/GTK 目 前 支 持 的 散 列 算 法 有 两 种, 分 别 是 SHA1 和 SHA256 SHA1 使 用 HMAC-SHA1 算 法 进 行 迭 代 计 算 产 生 密 钥,SHA256 使 用 HMAC-SHA256 算 法 进 行 迭 代 计 算 产 生 密 钥 SHA256 安 全 散 列 算 法 的 安 全 性 比 SHA1 安 全 散 列 算 法 安 全 性 高 表 1-10 配 置 密 钥 衍 生 算 法 操 作 命 令 说 明 进 入 系 统 视 图 system-view - 进 入 无 线 服 务 模 板 视 图 wlan service-template stname - 配 置 密 钥 衍 生 算 法 key-derivation { sha1 sha256 sha1-and-sha256 } 缺 省 情 况 下, 密 钥 衍 生 算 法 为 sha1 1.7.6 配 置 GTK 更 新 功 能 若 配 置 了 身 份 认 证 与 密 钥 管 理 安 全 信 息 元 素 TKIP 或 CCMP 加 密 套 件, 则 系 统 将 使 用 密 钥 协 商 来 产 生 GTK, 此 时 可 以 配 置 GTK 更 新, 触 发 GTK 更 新 的 方 式 有 如 下 三 种 : 基 于 时 间, 在 指 定 时 间 间 隔 后 更 新 GTK 基 于 报 文 数,AP 发 送 了 指 定 数 目 的 广 播 或 组 播 数 据 报 文 后 更 新 GTK 客 户 端 离 线 更 新 GTK, 当 BSS 中 有 客 户 端 下 线 时, 该 BSS 会 更 新 GTK 表 1-11 配 置 GTK 更 新 功 能 操 作 命 令 说 明 进 入 系 统 视 图 system-view - 进 入 无 线 服 务 模 板 视 图 wlan service-template service-template-name - 开 启 GTK 更 新 功 能 gtk-rekey enable 缺 省 情 况 下,GTK 更 新 功 能 处 于 开 启 状 态 1-12

操 作 命 令 说 明 配 置 GTK 更 新 方 法 ( 可 选 ) 配 置 开 启 客 户 端 离 线 GTK 更 新 gtk-rekey method { packet-based [ packet ] time-based [ time ] } gtk-rekey client-offline enable 缺 省 情 况 下,GTK 更 新 采 用 基 于 时 间 的 方 法, 时 间 间 隔 为 86400 秒 如 果 配 置 GTK 更 新 方 法 为 基 于 数 据 包 的 更 新 方 法, 缺 省 值 为 10000000 缺 省 情 况 下, 客 户 端 离 线 更 新 GTK 功 能 关 闭 1.7.7 配 置 PTK 的 生 存 时 间 若 配 置 了 身 份 认 证 与 密 钥 管 理 安 全 信 息 元 素 TKIP 或 CCMP 加 密 套 件, 则 系 统 将 使 用 密 钥 协 商 来 产 生 PTK, 此 时 可 以 设 置 PTK 的 生 存 时 间, 表 明 在 指 定 的 时 间 间 隔 后 更 新 PTK 表 1-12 配 置 PTK 的 生 存 时 间 操 作 命 令 说 明 进 入 系 统 视 图 system-view - 进 入 无 线 服 务 模 板 视 图 wlan service-template service-template-name - 配 置 PTK 的 生 存 时 间 ptk-lifetime time 缺 省 情 况 下,PTK 的 生 存 时 间 为 43200 秒 1.7.8 配 置 TKIP 反 制 时 间 若 配 置 了 TKIP 加 密 套 件,TKIP 可 以 通 过 配 置 反 制 时 间 的 方 式 启 动 反 制 策 略, 来 阻 止 黑 客 的 攻 击 表 1-13 配 置 TKIP 反 制 时 间 操 作 命 令 说 明 进 入 系 统 视 图 system-view - 进 入 无 线 服 务 模 板 视 图 wlan service-template service-template-name - 配 置 TKIP 反 制 时 间 tkip-cm-time time 缺 省 情 况 下, 发 起 TKIP 反 制 策 略 时 间 为 0, 即 不 启 动 反 制 策 略 1.7.9 配 置 WEP 密 钥 若 使 用 RSNA 安 全 机 制, 且 加 密 套 件 配 置 了 WEP40/WEP104/WEP128 和 相 对 应 长 度 的 WEP 密 钥, 则 系 统 不 会 使 用 通 过 密 钥 协 商 产 生 的 组 播 密 钥 为 组 播 报 文 加 密, 而 是 选 择 安 全 性 较 弱 的 WEP 的 密 钥 做 为 组 播 密 钥 1-13

若 使 用 Pre-RSNA 安 全 机 制, 则 客 户 端 与 AP 将 使 用 WEP 密 钥 通 过 WEP 加 密 方 式 对 数 据 报 文 进 行 加 密 若 使 用 动 态 WEP 加 密 机 制, 则 不 能 将 WEP 加 密 使 用 的 密 钥 ID 配 置 为 4 表 1-14 配 置 WEP 密 钥 操 作 命 令 说 明 进 入 系 统 视 图 system-view - 进 入 无 线 服 务 模 板 视 图 wlan service-template service-template-name - 配 置 WEP 密 钥 wep key key-id { wep40 wep104 wep128 } { pass-phrase raw-key } { cipher simple } key 缺 省 情 况 下, 未 配 置 WEP 密 钥 配 置 WEP 加 密 使 用 的 密 钥 ID wep key-id { 1 2 3 4 } 缺 省 情 况 下, 密 钥 ID 为 1 1.7.10 开 启 动 态 WEP 加 密 机 制 WLAN 用 户 接 入 认 证 模 式 必 须 配 置 为 dot1x 模 式, 动 态 WEP 加 密 功 能 才 会 生 效 表 1-15 开 启 动 态 WEP 加 密 功 能 操 作 命 令 说 明 进 入 系 统 视 图 system-view - 进 入 无 线 服 务 模 板 视 图 wlan service-template service-template-name - 开 启 动 态 WEP 加 密 机 制 wep mode dynamic 缺 省 情 况 下, 动 态 WEP 加 密 机 制 处 于 关 闭 状 态 1.8 WLAN 用 户 安 全 显 示 和 维 护 在 完 成 上 述 配 置 后, 在 无 线 服 务 模 版 视 图 下 执 行 display 命 令 可 以 显 示 配 置 后 的 WLAN 用 户 安 全 运 行 情 况, 通 过 查 看 显 示 信 息 验 证 配 置 效 果 display wlan service-template display wlan client 命 令 的 详 细 介 绍, 请 参 见 WLAN 命 令 参 考 中 的 WLAN 接 入 表 1-16 WLAN 用 户 安 全 显 示 和 维 护 操 作 命 令 显 示 无 线 服 务 模 板 信 息 display wlan service-template [ service-template-name ] 显 示 客 户 端 的 信 息 display wlan client [ interface interface-type interface-number mac-address mac-address service-template service-template-name ] [ verbose ] 1-14

1.9 WLAN 用 户 安 全 典 型 配 置 举 例 1.9.1 共 享 密 钥 认 证 配 置 举 例 1. 组 网 需 求 如 图 1-8 所 示,Switch 同 时 作 为 DHCP server 为 AP 和 Client 分 配 IP 地 址 通 过 配 置 客 户 端 在 链 路 层 使 用 WEP 密 钥 12345 接 入 无 线 网 络 2. 组 网 图 图 1-8 共 享 密 钥 认 证 配 置 组 网 图 3. 配 置 步 骤 (1) 创 建 无 线 服 务 模 板 # 创 建 无 线 服 务 模 板 service1 <AP> system-view [AP] wlan service-template service1 # 配 置 无 线 服 务 的 SSID 为 service [AP-wlan-st-service1] ssid service (2) 配 置 WEP 并 使 能 无 线 服 务 模 板 # 配 置 使 用 WEP40 加 密 套 件, 配 置 密 钥 索 引 为 2, 使 用 明 文 的 字 符 串 12345 作 为 共 享 密 钥 [AP-wlan-st-service1] cipher-suite wep40 [AP-wlan-st-service1] wep key 2 wep40 pass-phrase simple 12345 [AP-wlan-st-service1] wep key-id 2 # 使 能 无 线 服 务 模 板 [AP-wlan-st-service1] service-template enable [AP-wlan-st-service1] quit (3) 将 无 线 服 务 模 板 绑 定 到 WLAN-Radio 0/1 接 口 [AP] interface WLAN-Radio 0/1 [AP-WLAN-Radio0/1] undo shutdown [AP-WLAN-Radio0/1] service-template service1 [AP-WLAN-Radio0/1] quit 4. 验 证 配 置 # 配 置 完 成 后, 在 AP 上 执 行 display wlan service-template 命 令, 可 以 看 到 无 线 服 务 模 板 下 安 全 信 息 的 配 置 情 况 如 下 : [AP] display wlan service-template service1 Service template name : service1 SSID : service SSID-hide Service template status : Enabled 1-15

Maximum clients per BSS : 64 VLAN ID : 1 AKM mode : Not configured Security IE : Not configured Cipher suite : WEP40 WEP key ID : 2 TKIP countermeasure time : 0 PTK lifetime : 43200 sec GTK rekey : Enabled GTK rekey method : Time-based GTK rekey time : 86400 sec GTK rekey client-offline : Enabled User authentication mode : Shared-key WEP mode : Static Authentication mode : Bypass Intrusion protection Intrusion protection mode : Temporary-block Temporary block time : 180 sec Temporary service stop time : 20 sec Fail VLAN ID : Not configured 802.1X handshake 802.1X handshake secure 802.1X domain : Not configured MAC-auth domain : Not configured Max 802.1X users : 4096 Max MAC-auth users : 4096 802.1X re-authenticate Authorization fail mode : Online Accounting fail mode : Online Authorization : Permitted Key derivation : N/A PMF status 1.9.2 PSK 身 份 认 证 与 密 钥 管 理 模 式 和 Bypass 认 证 配 置 举 例 1. 组 网 需 求 如 图 1-9 所 示,Switch 同 时 作 为 DHCP server 为 AP 和 Client 分 配 IP 地 址 通 过 配 置 客 户 端 PSK 密 钥 12345678 接 入 无 线 网 络 客 户 端 链 路 层 认 证 使 用 开 放 式 系 统 认 证, 用 户 接 入 认 证 使 用 Bypass 认 证 的 方 式 实 现 客 户 端 可 以 不 需 要 接 入 认 证 直 接 接 入 WLAN 网 络 的 目 的 通 过 配 置 客 户 端 和 AP 之 间 的 数 据 报 文 采 用 PSK 身 份 认 证 与 密 钥 管 理 模 式 来 确 保 用 户 数 据 的 传 输 安 全 1-16

2. 组 网 图 图 1-9 PSK+Bypass 认 证 配 置 组 网 图 3. 配 置 步 骤 (1) 创 建 无 线 服 务 模 板 # 创 建 无 线 服 务 模 板 service1 <AP> system-view [AP] wlan service-template service1 # 配 置 无 线 服 务 的 SSID 为 service [AP-wlan-st-service1] ssid service (2) 配 置 安 全 信 息 # 配 置 AKM 为 PSK, 配 置 PSK 密 钥, 使 用 明 文 的 字 符 串 12345678 作 为 共 享 密 钥 [AP-wlan-st-service1] akm mode psk [AP-wlan-st-service1] preshared-key pass-phrase simple 12345678 # 配 置 CCMP 为 加 密 套 件, 配 置 WPA 为 安 全 信 息 元 素 [AP-wlan-st-service1] cipher-suite ccmp [AP-wlan-st-service1] security-ie wpa # 使 能 无 线 服 务 模 板 [AP-wlan-st-service1] service-template enable [AP-wlan-st-service1] quit (3) 将 无 线 服 务 模 板 绑 定 WLAN-Radio 0/1 接 口 [AP] interface WLAN-Radio 0/1 [AP-WLAN-Radio0/1] undo shutdown [AP-WLAN-Radio0/1] service-template service1 [AP-WLAN-Radio0/1] quit 4. 验 证 配 置 # 配 置 完 成 后, 在 AP 上 执 行 display wlan service-template 命 令, 可 以 看 到 无 线 服 务 模 板 的 配 置 情 况 如 下 [AP] display wlan service-template service1 Service template name : service1 SSID : service SSID-hide User-isolation Service template status : Enabled Maximum clients per BSS : 64 VLAN ID : 1 AKM mode : PSK Security IE : WPA Cipher suite : CCMP 1-17

TKIP countermeasure time : 0 PTK lifetime : 43200 sec GTK rekey : Enabled GTK rekey method : Time-based GTK rekey time : 86400 sec GTK rekey client-offline : Enabled User authentication mode : Bypass WEP mode : Static Authentication mode : Bypass Intrusion protection Intrusion protection mode : Temporary-block Temporary block time : 180 sec Temporary service stop time : 20 sec Fail VLAN ID : Not configured 802.1X handshake 802.1X handshake secure 802.1X domain : Not configured MAC-auth domain : Not configured Max 802.1X users : 4096 Max MAC-auth users : 4096 802.1X re-authenticate Authorization fail mode : Online Accounting fail mode : Online Authorization : Permitted Key derivation : N/A PMF status 1.9.3 PSK 身 份 认 证 与 密 钥 管 理 模 式 和 MAC 地 址 认 证 配 置 举 例 1. 组 网 需 求 如 图 1-10 所 示,AP 旁 挂 在 Switch 上,Switch 同 时 作 为 DHCP server 为 AP 和 Client 分 配 IP 地 址 通 过 配 置 客 户 端 PSK 密 钥 12345678 接 入 无 线 网 络 客 户 端 链 路 层 认 证 使 用 开 放 式 系 统 认 证, 客 户 端 通 过 RADIUS 服 务 器 进 行 MAC 地 址 认 证 的 方 式, 实 现 客 户 端 可 使 用 固 定 用 户 名 abc 和 密 码 123 接 入 WLAN 网 络 的 目 的 通 过 配 置 客 户 端 和 AP 之 间 的 数 据 报 文 采 用 PSK 认 证 密 钥 管 理 模 式 来 确 保 用 户 数 据 的 传 输 安 全 1-18

2. 组 网 图 图 1-10 PSK 密 钥 管 理 模 式 和 MAC 认 证 配 置 组 网 图 3. 配 置 步 骤 下 述 配 置 中 包 含 了 若 干 AAA/RADIUS 协 议 的 配 置 命 令, 关 于 这 些 命 令 的 详 细 介 绍, 请 参 见 安 全 命 令 参 考 中 的 AAA 确 保 RADIUS 服 务 器 与 AC 路 由 可 达, 并 成 功 添 加 了 用 户 账 户, 用 户 名 为 abc, 密 码 为 123 (1) 创 建 无 线 服 务 模 板 # 创 建 无 线 服 务 模 板 service1 <AP> system-view [AP] wlan service-template service1 # 配 置 无 线 服 务 的 SSID 为 service [AP-wlan-st-service1] ssid service (2) 配 置 安 全 信 息 # 配 置 AKM 为 PSK, 配 置 PSK 密 钥, 使 用 明 文 的 字 符 串 12345678 作 为 共 享 密 钥 [AP-wlan-st-service1] akm mode psk [AP-wlan-st-service1] preshared-key pass-phrase simple 12345678 # 配 置 CCMP 为 加 密 套 件, 配 置 WPA 为 安 全 信 息 元 素 [AP-wlan-st-service1] cipher-suite ccmp [AP-wlan-st-service1] security-ie wpa # 配 置 用 户 接 入 方 式 为 MAC 地 址 认 证 [AP-wlan-st-service1] client-security authentication-mode mac # 配 置 使 能 无 线 服 务 模 板 [AP-wlan-st-service1] service-template enable [AP-wlan-st-service1] quit (3) 创 建 RADIUS 方 案 # 创 建 RADIUS 方 案 radius1 并 进 入 其 视 图 [AP] radius scheme radius1 1-19

# 配 置 主 认 证 / 计 费 RADIUS 服 务 器 的 IP 地 址 为 10.1.1.3, 服 务 器 的 UDP 端 口 号 为 1812 和 1813 [AP-radius-radius1] primary authentication 10.1.1.3 1812 [AP-radius-radius1] primary accounting 10.1.1.3 1813 # 配 置 AP 与 认 证 / 计 费 RADIUS 服 务 器 交 互 报 文 时 的 共 享 密 钥 为 12345678 [AP-radius-radius1] key authentication simple 12345678 [AP-radius-radius1] key accounting simple 12345678 # 配 置 发 送 给 RADIUS 服 务 器 的 用 户 名 不 携 带 域 名 [AP-radius-radius1] user-name-format without-domain [AP-radius-radius1] quit 发 送 给 服 务 器 的 用 户 名 是 否 携 带 域 名 与 服 务 器 端 是 否 接 受 携 带 域 名 的 用 户 名 以 及 服 务 器 端 的 配 置 有 关 : 若 服 务 器 端 不 接 受 携 带 域 名 的 用 户 名, 或 者 服 务 器 上 配 置 的 用 户 认 证 所 使 用 的 服 务 不 携 带 域 名 后 缀, 则 Device 上 指 定 不 携 带 用 户 名 (without-domain); 若 服 务 器 端 可 接 受 携 带 域 名 的 用 户 名, 且 服 务 器 上 配 置 的 用 户 认 证 所 使 用 的 服 务 携 带 域 名 后 缀, 则 Device 上 指 定 携 带 用 户 名 (with-domain) (4) 创 建 认 证 域 并 配 置 使 用 RADIUS 方 案 进 行 认 证 授 权 计 费 # 创 建 认 证 域 (ISP 域 )dom1 并 进 入 其 视 图 [AP] domain dom1 # 配 置 MAC 用 户 使 用 RADIUS 方 案 radius1 进 行 认 证 授 权 计 费 [AP-isp-dom1] authentication lan-access radius-scheme radius1 [AP-isp-dom1] authorization lan-access radius-scheme radius1 [AP-isp-dom1] accounting lan-access radius-scheme radius1 [AP-isp-dom1] quit (5) 配 置 MAC 地 址 认 证 域 及 用 户 名 和 密 码 # 配 置 认 证 域 为 dom1, 用 户 名 为 abc, 密 码 为 明 文 字 符 串 123 [AP] mac-authentication domain dom1 [AP] mac-authentication user-name-format fixed account abc password simple 123 (6) 将 无 线 服 务 模 板 绑 定 到 WLAN-Radio 0/1 接 口 [AP] interface WLAN-Radio 0/1 [AP-WLAN-Radio0/1] undo shutdown [AP-WLAN-Radio0/1] service-template service1 [AP-WLAN-Radio0/1] quit 4. 验 证 配 置 # 配 置 完 成 后, 在 AP 上 执 行 display wlan service-template 命 令, 可 以 看 到 无 线 服 务 模 板 的 配 置 情 况 如 下 [AP] display wlan service-template service1 Service template name : service1 SSID : service SSID-hide Service template status : Enabled 1-20

Maximum clients per BSS : 64 VLAN ID : 1 AKM mode : PSK Security IE : WPA Cipher suite : CCMP TKIP countermeasure time : 0 PTK lifetime : 43200 sec GTK rekey : Enabled GTK rekey method : Time-based GTK rekey time : 86400 sec GTK rekey client-offline : Enabled User authentication mode : Central WEP mode : Static Authentication mode : MAC Intrusion protection Intrusion protection mode : Temporary-block Temporary block time : 180 sec Temporary service stop time : 20 sec Fail VLAN ID : Not configured 802.1X handshake 802.1X handshake secure 802.1X domain : Not configured MAC-auth domain : Not configured Max 802.1X users : 4096 Max MAC-auth users : 4096 802.1X re-authenticate Authorization fail mode : Online Accounting fail mode : Online Authorization : Permitted Key derivation : N/A PMF status 1.9.4 802.1X 身 份 认 证 与 密 钥 管 理 模 式 配 置 举 例 1. 组 网 需 求 如 图 1-11 所 示,AP 旁 挂 在 Switch 上,Switch 同 时 作 为 DHCP server 为 AP 和 Client 分 配 IP 地 址 客 户 端 链 路 层 认 证 使 用 开 放 式 系 统 认 证, 客 户 端 通 过 802.1X 接 入 认 证 的 方 式 实 现 客 户 端 可 使 用 用 户 名 abcdef 和 密 码 123456 接 入 WLAN 网 络 的 目 的 通 过 配 置 客 户 端 和 AP 之 间 的 数 据 报 文 采 用 802.1X 身 份 认 证 与 密 钥 管 理 来 确 保 用 户 数 据 的 传 输 安 全 1-21

2. 组 网 图 图 1-11 802.1X 认 证 配 置 组 网 图 3. 配 置 步 骤 下 述 配 置 中 包 含 了 若 干 AAA/RADIUS 协 议 的 配 置 命 令, 关 于 这 些 命 令 的 详 细 介 绍, 请 参 见 安 全 命 令 参 考 中 的 AAA 完 成 802.1X 客 户 端 的 配 置 完 成 RADIUS 服 务 器 的 配 置, 添 加 用 户 账 户, 用 户 名 为 abcedf, 密 码 为 123456 (1) 创 建 无 线 服 务 模 板 # 创 建 无 线 服 务 模 板 service1 <AP> system-view [AP] wlan service-template service1 # 配 置 无 线 服 务 的 SSID 为 service [AP-wlan-st-service1] ssid service (2) 配 置 安 全 信 息 # 配 置 AKM 为 802.1X [AP-wlan-st-service1] akm mode dot1x # 配 置 CCMP 为 加 密 套 件, 配 置 WPA 为 安 全 信 息 元 素 [AP-wlan-st-service1] cipher-suite ccmp [AP-wlan-st-service1] security-ie wpa # 配 置 用 户 接 入 方 式 为 802.1X 认 证 [AP-wlan-st-service1] client-security authentication-mode dot1x # 配 置 使 能 无 线 服 务 模 板 [AP-wlan-st-service1] service-template enable [AP-wlan-st-service1] quit (3) 创 建 RADIUS 方 案 # 创 建 RADIUS 方 案 radius1 并 进 入 其 视 图 [AP] radius scheme radius1 1-22

# 配 置 主 认 证 / 计 费 RADIUS 服 务 器 的 IP 地 址 [AP-radius-radius1] primary authentication 10.1.1.3 1812 [AP-radius-radius1] primary accounting 10.1.1.3 1813 # 配 置 AP 与 认 证 / 计 费 RADIUS 服 务 器 交 互 报 文 时 的 共 享 密 钥 为 明 文 字 符 串 12345 [AP-radius-radius1] key authentication simple 12345 [AP-radius-radius1] key accounting simple 12345 # 配 置 发 送 给 RADIUS 服 务 器 的 用 户 名 不 携 带 域 名 [AP-radius-radius1] user-name-format without-domain [AP-radius-radius1] quit 发 送 给 服 务 器 的 用 户 名 是 否 携 带 域 名 与 服 务 器 端 是 否 接 受 携 带 域 名 的 用 户 名 以 及 服 务 器 端 的 配 置 有 关 : 若 服 务 器 端 不 接 受 携 带 域 名 的 用 户 名, 或 者 服 务 器 上 配 置 的 用 户 认 证 所 使 用 的 服 务 不 携 带 域 名 后 缀, 则 Device 上 指 定 不 携 带 用 户 名 (without-domain); 若 服 务 器 端 可 接 受 携 带 域 名 的 用 户 名, 且 服 务 器 上 配 置 的 用 户 认 证 所 使 用 的 服 务 携 带 域 名 后 缀, 则 Device 上 指 定 携 带 用 户 名 (with-domain) (4) 创 建 认 证 域 并 配 置 RADIUS 方 案 # 创 建 认 证 域 (ISP 域 )dom1 并 进 入 其 视 图 [AP] domain dom1 # 配 置 802.1X 用 户 使 用 RADIUS 方 案 radius1 进 行 认 证 授 权 计 费 [AP-isp-dom1] authentication lan-access radius-scheme radius1 [AP-isp-dom1] authorization lan-access radius-scheme radius1 [AP-isp-dom1] accounting lan-access radius-scheme radius1 [AP-isp-dom1] quit # 配 置 使 用 dom1 认 证 域 为 默 认 域 [AP] domain default enable dom1 (5) 将 无 线 服 务 模 板 绑 定 到 WLAN-Radio 0/1 接 口 [AP] interface WLAN-Radio 0/1 [AP-WLAN-Radio0/1] undo shutdown [AP-WLAN-Radio0/1] service-template service1 [AP-WLAN-Radio0/1] quit 4. 验 证 配 置 # 配 置 完 成 后, 在 AP 上 执 行 display wlan service-template 命 令, 可 以 看 到 无 线 服 务 模 板 的 配 置 情 况 如 下 [AP] display wlan service-template service1 Service template name : service1 SSID : service SSID-hide Service template status : Enabled Maximum clients per BSS : 64 VLAN ID : 1 1-23

AKM mode : PSK Security IE : WPA Cipher suite : CCMP TKIP countermeasure time : 0 PTK lifetime : 43200 sec GTK rekey : Enabled GTK rekey method : Time-based GTK rekey time : 86400 sec GTK rekey client-offline : Enabled User authentication mode : Central WEP mode : Static Aauthentication mode : 802.1X Intrusion protection Intrusion protection mode : Temporary-block Temporary block time : 180 sec Temporary service stop time : 20 sec Fail VLAN ID : Not configured 802.1X handshake 802.1X handshake secure 802.1X domain : Not configured MAC-auth domain : Not configured Max 802.1X users : 4096 Max MAC-auth users : 4096 802.1X re-authenticate Authorization fail mode : Online Accounting fail mode : Online Authorization : Permitted Key derivation : N/A PMF status 1.9.5 动 态 WEP 配 置 举 例 1. 组 网 需 求 如 图 1-12 所 示,AP 旁 挂 在 Switch 上,Switch 同 时 作 为 DHCP server 为 AP 和 Client 分 配 IP 地 址 客 户 端 链 路 层 认 证 使 用 开 放 式 系 统 认 证, 客 户 端 通 过 802.1X 接 入 认 证 的 方 式 实 现 客 户 端 可 使 用 用 户 名 abcdef 和 密 码 123456 接 入 WLAN 网 络 的 目 的 通 过 配 置 客 户 端 和 AP 之 间 的 数 据 报 文 采 用 802.1X 接 入 认 证 与 动 态 WEP 来 确 保 用 户 数 据 的 传 输 安 全 1-24

2. 组 网 图 图 1-12 802.1X 认 证 配 置 组 网 图 3. 配 置 步 骤 下 述 配 置 中 包 含 了 若 干 AAA/RADIUS 协 议 的 配 置 命 令, 关 于 这 些 命 令 的 详 细 介 绍, 请 参 见 安 全 命 令 参 考 中 的 AAA 完 成 802.1X 客 户 端 的 配 置 完 成 RADIUS 服 务 器 的 配 置, 添 加 用 户 账 户, 用 户 名 为 abcedf, 密 码 为 123456 (1) 创 建 无 线 服 务 模 板 # 创 建 无 线 服 务 模 板 service1 <AP> system-view [AP] wlan service-template service1 # 配 置 无 线 服 务 的 SSID 为 service [AP-wlan-st-service1] ssid service (2) 配 置 动 态 WEP 方 式 加 密 # 配 置 WEP 为 dynamic [AP-wlan-st-service1] wep mode dynamic # 配 置 用 户 接 入 方 式 为 802.1X 认 证 [AP-wlan-st-service1] client-security authentication-mode dot1x # 配 置 使 能 无 线 服 务 模 板 [AP-wlan-st-service1] service-template enable [AP-wlan-st-service1] quit (3) 创 建 RADIUS 方 案 # 创 建 RADIUS 方 案 radius1 并 进 入 其 视 图 [AP] radius scheme radius1 # 配 置 主 认 证 / 计 费 RADIUS 服 务 器 的 IP 地 址 [AP-radius-radius1] primary authentication 10.1.1.3 1812 [AP-radius-radius1] primary accounting 10.1.1.3 1813 1-25

# 配 置 AP 与 认 证 / 计 费 RADIUS 服 务 器 交 互 报 文 时 的 共 享 密 钥 为 明 文 字 符 串 123456 [AP-radius-radius1] key authentication simple 123456 [AP-radius-radius1] key accounting simple 123456 # 配 置 发 送 给 RADIUS 服 务 器 的 用 户 名 不 携 带 域 名 [AP-radius-radius1] user-name-format without-domain [AP-radius-radius1] quit 发 送 给 服 务 器 的 用 户 名 是 否 携 带 域 名 与 服 务 器 端 是 否 接 受 携 带 域 名 的 用 户 名 以 及 服 务 器 端 的 配 置 有 关 : 若 服 务 器 端 不 接 受 携 带 域 名 的 用 户 名, 或 者 服 务 器 上 配 置 的 用 户 认 证 所 使 用 的 服 务 不 携 带 域 名 后 缀, 则 Device 上 指 定 不 携 带 用 户 名 (without-domain); 若 服 务 器 端 可 接 受 携 带 域 名 的 用 户 名, 且 服 务 器 上 配 置 的 用 户 认 证 所 使 用 的 服 务 携 带 域 名 后 缀, 则 Device 上 指 定 携 带 用 户 名 (with-domain) (4) 创 建 认 证 域 并 配 置 802.1X 认 证 方 式 和 RADIUS 方 案 # 配 置 802.1X 认 证 方 式 为 EAP [AP] dot1x authentication-method eap # 创 建 认 证 域 (ISP 域 )dom1 并 进 入 其 视 图 [AP] domain dom1 # 配 置 802.1X 用 户 使 用 RADIUS 方 案 radius1 进 行 认 证 授 权 计 费 [AP-isp-dom1] authentication lan-access radius-scheme radius1 [AP-isp-dom1] authorization lan-access radius-scheme radius1 [AP-isp-dom1] accounting lan-access radius-scheme radius1 [AP-isp-dom1] quit # 配 置 使 用 dom1 认 证 域 为 默 认 域 [AP] domain default enable dom1 (5) 将 无 线 服 务 模 板 绑 定 到 Radio 接 口 [AP] interface WLAN-Radio 0/1 [AP-WLAN-Radio0/1] service-template service1 [AP-WLAN-Radio0/1] quit 4. 验 证 配 置 # 配 置 完 成 后, 在 AP 上 执 行 display wlan service-template 命 令, 可 以 看 到 无 线 服 务 模 板 的 配 置 情 况 如 下 [AP]display wlan service-template service1 Service template name : service1 SSID : service SSID-hide Service template status : Enabled Maximum clients per BSS : 64 VLAN ID : 1 AKM mode : Not configured Security IE : Not configured 1-26

Cipher suite : WEP104 TKIP countermeasure time : 0 PTK lifetime : 43200 sec GTK rekey : Enabled GTK rekey method : Time-based GTK rekey time : 86400 sec GTK rekey client-offline : Enabled User authentication mode : 802.1X WEP mode : Dynamic Authentication mode : 802.1X Intrusionprotection Intrusionprotection mode : Temporary-block Temporary block time : 180 sec Temporaryservicestop time : 20 sec Fail VLAN ID : Not configured 802.1X handshake 802.1X handshake secure 802.1X domain : Not configured MAC-auth domain : Not configured Max 802.1X users : 4096 Max MAC-auth users : 4096 802.1X re-authenticate Authorization fail mode : Online Accounting fail mode : Online Authorization : Permitted Key derivation : N/A PMF status 1-27