H3C WA系列 WPA2-PSK典型配置举例.doc

H3C WA系列 WPA2-PSK典型配置举例关键词：WPA2，PSK摘 要：随着无线网络应用的广泛普及，越来越多无线用户出现，使得无线安全问题凸显出来，PSK认证可以实现利用共享密钥的方式对无线用户进行控制，对无线数据机密进行保护。缩略语：缩略语英文全名中文解释WPA2Wi-Fi Protected Access version 2WPA版本2PSKpresharedKey共享密钥目 录1 特性简介. 12 应用场合. 13 配置举例. 13.1 组网需求. 13.2 配置思路. 23.3 使用版本. 23.4 配置AP RSN加密. 33.5 验证结果. 54 相关资料. 64.1 相关协议和标准. 64.2 其它相关资料. 61 特性简介802.11协议提供的无线安全性能可以很好地抵御一般性网络攻击，但是仍有少数黑客能够入侵无线网络，从而无法充分保护包含敏感数据的网络。为了更好的防止未授权用户接入网络，需要实施一种性能高于802.11的高级安全机制。为了克服以上问题，将WLAN安全特性合入Comware系统来增强系统的安全性和健壮性，该特性通过检查WLAN-MAC的方式提供802.11客户端的安全接入。2 应用场合当使用明文传输数据时，由于无线的开发性，其他无线用户能够窃听到所传输的数据，这对用户的数据安全提出了挑战。通过对数据进行加密，能够有效的防止信息泄漏。目前WLAN数据加密有WEP、TKIP、CCMP等方式。TKIP、CCMP相对于WEP来说，要安全的多。WA系列AP上，无论WPA网络还是WAP2网络，都支持TKIP和CCMP两种加密方式或者混合加密。3 配置举例3.1 组网需求本配置举例中的AP使用的是WA2200无线局域网接入点。本典型举例通过在AP的WLAN-BSS 2端口上启用WPA2加密和PSK认证来达到对接入点Client1数据进行保护的目的。图3-1 AP PSK认证组网图3.2 配置思路配置WPA2加密，需要配置以下内容：l 创建启用PSK认证的无线口；l 创建启用RSN加密的服务模版；l 在射频口把服务模板和无线口绑定。3.3 使用版本APdisplay versionH3C Comware Platform SoftwareComware Software, Version 5.20, 0001Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutesCPU type: AMCC PowerPC 266MHz64M bytes SDRAM Memory8M bytes Flash MemoryPcb Version: Ver.ABasic BootROM Version: 1.04Extend BootROM Version: 1.04SLOT 1CON (Hardware)Ver.A, (Driver)1.0SLOT 1RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0SLOT 1RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0SLOT 1ETH1/0/1 (Hardware)Ver.A, (Driver)1.0SLOT 1ETH1/0/2 (Hardware)Ver.A, (Driver)1.03.4 配置AP RSN加密1. 配置文件display current-configuration#version 5.00, 0001#sysname AP#domain default enable system#port-security enable#vlan 1#radius scheme systemprimary authentication 127.0.0.1primary accounting 127.0.0.1key authentication h3ckey accounting h3caccounting-on enabledomain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#wlan service-template 2 cryptossid h3c-wpa2-pskauthentication-method open-systemcipher-suite ccmpsecurity-ie rsnservice-template enable# interface NULL0 #interface Vlan-interface1ip address 192.168.1.50 255.255.255.0#interface Ethernet1/0/1#interface Ethernet1/0/2#interface WLAN-BSS2port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678#interface WLAN-Radio1/0/1 #interface WLAN-Radio1/0/2service-template 2 interface wlan-bss 2#ip route-static 0.0.0.0 0.0.0.0 192.168.1.1#user-interface con 0user-interface vty 0 4#return2. 配置步骤在RSN接入端（AP）配置RSN(1) 启用port-securityAPport-security enable(2) 配置无线接口，认证方式为PSKAPinterface WLAN-BSS2# 配置无线端口WLAN-BSS2的端口安全模式为psk。AP-WLAN-BSS2port-security port-mode psk# 在接口WLAN-BSS2下使能11key类型的密钥协商功能。AP-WLAN-BSS2port-security tx-key-type 11key# 在接口WLAN-BSS2下配置预共享密钥为12345678。AP-WLAN-BSS2port-security preshared-key pass-phrase 12345678(3) 配置无线服务模板（下面的RSN即WPA2）# 创建一个crypto类型的服务模板2。AP-wlan-rp-rpwlan service-template 2 crypto# 设置服务模板2的SSID为h3c-wpa2-psk。AP-wlan-st-2ssid h3c-wpa2-psk# 使能开放式系统认证。AP-wlan-st-2authentication-method open-system # 使能CCMP加密套件。AP-wlan-st-2 cipher-suite ccmp# 配置信标和探查帧携带RSN IE信息。AP-wlan-st-2 security-ie rsn# 使能服务模板2。AP-wlan-st-2service-template enable (4) 在射频口WLAN-Radio 1/0/2绑定无线服务模板2和无线口WLAN-BSS 2。APinterface WLAN-Radio 1/0/2AP-WLAN-Radio1/0/2service-template 2 interface WLAN-BSS 2(5) 配置VLAN虚接口 AP1interface Vlan-interface1AP-Vlan-interface1ip address 192.168.1.50 255.255.255.0(6) 配置缺省路由 AP-Vlan-interface1ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 3.5 验证结果(1) 配置客户端采用RSN，CCMP方式可以正常连接到AP上。(2) 调用display wlan client verbose，可以看到连接的客户端确实是以RSN，CCMP方式连接上来的(Authentication Method:Open System，AKM Method: PSK，Encryption Cipher: CCMP)。display wlan client verboseTotal Number of Clients : 1Total Number of Clients Connected : 1 Client Information- MAC Address : 0017-9a00-7b47AID : 376Radio Interface : WLAN-Radio1/0/2SSID : h3c-wpa2-pskBSSID : 000f-e2c0-0103VLAN : 1State : RunningPower Save Mode : ActiveWireless Mode : 11gQoS Mode : WMMListen Interval (Beacon Interval) : 10RSSI : 41SNR : -NA-Client Type : RSNAuthentication Method : Open SystemAKM Method : PSK4-Way Handshake State : PTKINITDONEGroup Key State : IDLEEncryption Cipher : CCMPRoam Status : NormalUp Time (hh:mm:ss) : 00:01:34-4 相关资料4.1 相关协议和标准表4-1 相关协议与标准标准号标题IEEE 802.11i802.11i IEEE Standard for Inf