H3C WX系列AC+Fit AP PSK认证方式典型配置举例.doc

H3C WX系列AC+Fit AP PSK认证方式典型配置举例关键词：PSK摘 要：随着无线网络应用的广泛普及，越来越多无线用户出现，使得无线安全问题凸显出来，本配置举例可以实现利用预共享密钥认证方式对无线用户进行控制，对无线数据机密进行保护。缩略语：缩略语英文全名中文解释ACAccess Controller无线控制器APAccess Point无线接入点PSK Preshared Key预共享密钥ClientClient无线客户端目 录1 特性简介. 12 应用场合. 13 配置举例. 13.1 组网需求. 13.2 配置思路. 13.3 使用版本. 13.4 配置步骤. 23.4.1 配置AC. 23.5 验证结果. 54 相关资料. 54.1 相关协议和标准. 54.2 其它相关资料. 51 特性简介PSK（Preshared Key，预共享密钥）用来以预共享密钥的方式对无线用户的接入进行控制，并能够动态产生密钥保护无线局域网中的授权用户所交换的数据的机密性，防止这些数据被随机窃听。2 应用场合PSK对无线报文的一种预共享密钥的认证方式和产生动态密钥对无线数据报文进行加密，该协议适用于接入设备与无线客户端点到点的连接方式。通过预共享密钥的方式来进行认证，并产生动态密钥对数据进行加密。3 配置举例3.1 组网需求本配置举例中的AC使用的是WX5002无线控制器，AP使用的是WA2100无线局域网接入点。本配置举例通过在AC的WLAN-ESS 40端口上启用802.1x认证来达到对接入点Client进行控制的目的。图3-1 802.1x远程认证组网图3.2 配置思路配置PSK认证，需要配置以下内容：l 创建启用PSK认证的服务模版。l 在AP模版中引用该服务模版。3.3 使用版本display versionH3C Comware Platform SoftwareComware Software, Version 5.00, 0001Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.Compiled Jul 13 2007 14:32:12, RELEASE SOFTWAREH3C WX5002-128 uptime is 0 week, 2 days, 16 hours, 48 minutesCPU type: BCM MIPS 1250 700MHz512M bytes DDR SDRAM Memory32M bytes Flash MemoryPcb Version: ALogic Version: 1.0Basic BootROM Version: 1.13Extend BootROM Version: 1.14SLOT 1CON (Hardware)A, (Driver)1.0, (Cpld)1.0SLOT 1GE1/0/1 (Hardware)A, (Driver)1.0, (Cpld)1.0SLOT 1GE1/0/2 (Hardware)A, (Driver)1.0, (Cpld)1.0SLOT 1M-E1/0/1 (Hardware)A, (Driver)1.0, (Cpld)1.03.4 配置步骤3.4.1 配置AC1. 配置信息display current-configuration#version 5.00, 0001#sysname AC#domain default enable cams#port-security enable#dot1x authentication-method eap#vlan 1#dhcp server ip-pool 20network mask #wlan service-template 40 cryptossid joe_pskbind WLAN-ESS 40authentication-method open-systemauthentication-method shared-keycipher-suite tkipsecurity-ie wpaservice-template enable#wlan rrm11a mandatory-rate 6 12 2411a supported-rate 9 18 36 48 5411b mandatory-rate 1 211b supported-rate 5.5 1111g mandatory-rate 1 2 5.5 1111g supported-rate 6 9 12 18 24 36 48 54#interface NULL0#interface LoopBack0#interface Vlan-interface1ip address 00 #interface Vlan-interface2ip address #interface GigabitEthernet1/0/1#interface GigabitEthernet1/0/2port access vlan 2#interface M-Ethernet1/0/1#interface WLAN-ESS40port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase yuhongjoeundo dot1x multicast-trigger#wlan ap ap1 model WA2100serial-id h3c000fe258e820radio 1 type 11g channel 1 max-power 3 service-template 40 radio enable#dhcp enable#load xml-configuration#user-interface aux 0user-interface vty 0 4#return2. 主要配置步骤(1) 无线服务集设置system-view# 创建WLAN-ESS接口40。ACinterface wlan-ess 40AC-WLAN-ESS40quit# 创建crypto类型的服务模板40。ACwlan service-template 40 crypto# 设置当前服务模板的SSID（服务模板的标识）为JOE_PSK。AC-wlan-st-40ssid JOE_PSK# 将WLAN-ESS40接口绑定到服务模板40。AC-wlan-st-40bind WLAN-ESS 40# 设置无线客户端接入该无线服务（SSID）的认证方式为开放式系统认证。AC-wlan-st-40authentication-method open-system# 设置无线客户端接入该无线服务（SSID）的认证方式为共享密钥认证。AC-wlan-st-40authentication-method shared-key# 使能TKIP加密套件。AC-wlan-st-40cipher-suite tkip# 配置信标和探查帧携带WPA IE信息。AC-wlan-st-40security-ie wpa# 使能服务模板。AC-wlan-st-40service-template enableAC-wlan-st-40quit(2) 无线接口配置# 使能端口安全功能。ACport-security enableACinterface WLAN-ESS 40# 配置无线端口WLAN-ESS40的端口安全模式为psk。AC-WLAN-ESS40port-security port-mode psk# 在接口WLAN-ESS40下使能11key类型的密钥协商功能。AC-WLAN-ESS40port-security tx-key-type 11key# 在接口WLAN-ESS40下配置预共享密钥为yuhongjoe。AC-WLAN-ESS40port-security preshared-key pass-phrase yuhongjoe# 在接口WLAN-ESS40上关闭802.1X的组播触发