配置WLAN 4.ppt

1、WLAN 4,FAT AP模式SSID加密类型典型配置(wep/wpa/wpa2 ),WLAN安全技术简介,IEEE 802.11标准的最初版本只包括有限的认证和脆弱的加密。(WEP) 802.11安全性增加的过渡性发展和部署是由Wi-Fi通过出台WPA和WPA2来领导。 2004年802.11i标准获批，指出802.11最初版本的缺点，为WPA和WPA2提供了基本标准。,1 有线等效加密(WEP),WEP加密缺陷,由于RC密钥调度算法的缺陷，输出的密钥流是非随机，可以通过分析大量用密钥加密过的数据包来得到密钥。 WEP使用静态共享密钥，除了重新登记密钥或密码短语到所有工作在WLAN的设备中，

2、没有更换密钥机制。 并非技术限制IEEE802.11中的加密算法的长度，而是其受美国政府出口管制。,WEP配置步骤,WEP 案例：,方法1：使用ASCII密码形式配置： Ruijie (config)#wlansec 1 Ruijie(wlansec)# security static-wep-key encryption 40 ascii 1 12345 Ruijie(wlansec)#show wlan security 1 Security Policy :static WEP / 安全策略：静态WEP WEP auth mode :open WEP index. :0 / 密码索引号为

3、0，对应key Index值为1 WEP key is HEX :false / 密码是否使用十六进制配置 WEP key length :5 WEP passphrase : 31 32 33 34 35 / 密码短语（16进制显示）：对应ASCII密码为12345,方法2：使用16进制的密码形式配置： Ruijie (config)#wlansec 1 Ruijie(wlansec)# security static-wep-key encryption 40 hex 1 3132333435 Ruijie(wlansec)#show wlan security 1 Security Po

4、licy :static WEP /安全策略：静态WEP WEP auth mode :open WEP index. :0 / 密码索引号为0，对应key Index值为1 WEP key is HEX :true / 密码是否使用十六进制配置 WEP key length :5 WEP passphrase : 31 32 33 34 35 / 密码短语（16进制显示）：对应ASCII密码为12345,2 Wi-Fi保护接入(WPA),为克服802.11初始版本安全方面的弱点，Wi-Fi联盟开发Wi-Fi保护接入(WPA)。WPA只是一种过渡方法，基于增强的安全机制的子集，802.11 T

5、Gi正在开发增强的安全机制作为802.11i标准的一部分。 WPA利用暂时密钥完整性协议(TKIP)进行密钥管理。 WPA提供两种工作模式： WPA-企业：为企业WLAN服务的IEEE 802.1x认证框架和可扩展认证协议(EAP) WPA-个人：为不需要认证服务器的家用或小型办公网络服务的预共享密钥(PSK)认证,2.1 暂时密钥完整性协议TKIP,WPA中有两个新的MAC特性解决WEP加密弱点： 用于密钥生成和管理的暂时密钥完整性协议(TKIP) 消息完整性校验MIC,WEP和WPA的密钥管理和加密比较,WPA 例：,配置WPA加密，wlan1密码为1234560987： Ruijie(c

6、onfig)#wlansec 1 /配置wlan1加密 Ruijie(config-wlansec)#security wpa enable Ruijie(config-wlansec)#security wpa ciphers tkip enable /加密方式为tkip Ruijie(config-wlansec)#security wpa akm psk enable /认证方式为psk Ruijie(config-wlansec)#security wpa akm psk set-key ascii 1234560987 /设置密码,3 IEEE 802.11i和WPA2,IEEE80

7、2.11i标准为802.11 WLAN定义安全加强，提供更强大的加密、认证和密钥管理策略，以建立健壮的安全网络(RSN)。 RSN的关键特征： 1）协商过程使设备关联期间每个选定的通信类型都有合适的加密协议 2）密钥系统可以生成和管理两个层次的密钥(单播的密钥对和多播的群密钥) 3）两个提高保密性的协议(TKIP和AES-CCMP) 11i还包含密钥缓冲和预认证机制，减少漫游站点和接入点之间关联或重关联的时间。,8.4 IEEE 802.11i和WPA2,WPA2是Wi-Fi联盟对11i标准终稿的实现，取代了WPA,WPA和WPA2的比较,WPA2加密,配置WPA2加密，密码为12345678

8、 Ruijie(config)#wlansec 1 /配置wlan1加密 Ruijie(config-wlansec)#security rsn enable Ruijie(config-wlansec)#security rsn ciphers aes enable /加密方式为aes Ruijie(config-wlansec)#security rsn akm psk enable /认证方式为psk Ruijie(config-wlansec)#security rsn akm psk set-key ascii 12345678 /设置密码 Ruijie(config-wlansec

9、)#exit 注意：bvi的端口id需要和vlan id一致。配置wpa、wpa2 密钥，密钥长度至少8个字符长度,检验配置效果,Ruijie#show wlan security 1 Security Policy :WPA PSK WPA version :WPA1 AKM type :preshare key pairwise cipher type:AES group cipher type :AES WLAN SSID :AP wpa_passhraselen :9 wpa_passphrase : 31 32 33 34 35 36 37 38 39 WEP auth mode :

10、open or share-key,FAT AP模式用户限速典型配置 方案介绍 1) 限制无线用户上行平均速率1M，突然速率2M。 2) 限制无线用户下行平均速率1M，突然速率2M。 注意要点 l 限速分别有基于AP的、基于SSID的、基于每一个用户的，限速单位是8Kbps，128 = 1M。 l 关于Average-data-rate是平均速率，Burst-data-rate是突发速率介绍： 举例来说，当用户总带宽为10M时，限制用户平均速率为1M，突发速率为2M。 l 当网络流量较低，总流量没有达到10M时，每用户可以用到2M的带宽，这就是突发速率。 l 当网络流量较大，总流量超过10M产

11、生拥塞时，每用户只能用到1M带宽，这就是平均速率。,配置步骤 基于AP控制 基于AP限制用户下行速率 WS5302(config)#ap-config all WS5302(config-ap)#ap-based per-user-limit down-streams average-data-rate 128 burst-data-rate 256 基于AP限制用户上行速率 WS5302(config)#ap-config all WS5302(config-ap)#ap-based per-user-limit up-streams average-data-rate 128 burst-data-rate 256 基于Wlan控制 基于Wlan限制用户下行速率为1M WS5302(config)#wlan-config WS5302(config-ap)#wlan-based per-user-limit down-streams average-data-rate 128 burst-data-rate 256 基于WLAN限制用户上行速率为1M WS5302(config)#ap-config all WS5302(config-ap)#wlan-based per-user-limit up-streams average-data-ra