《H3C WA系列 WPA2-PSK典型配置举例》由会员分享,可在线阅读,更多相关《H3C WA系列 WPA2-PSK典型配置举例(11页珍藏版)》请在金锄头文库上搜索。
1、H3C WA 系列 WPA2-PSK 典型配置举例关键词:WPA2,PSK摘 要:随着无线网络应用的广泛普及,越来越多无线用户出现,使得无线 安全问题凸显出来, PSK 认证可以实现利用共享密钥的方式对无线用 户进行控制,对无线数据机密进行保护。缩略语:缩略语英文全名中文解释WPA2Wi-Fi Protected Access version 2WPA 版本 2PSKpresharedKey共享密钥目 录1 特性简介2 应用场合3 配置举例3.1 组网需求3.2 配置思路3.3 使用版本3.4 配置 AP RSN 加密3.5 验证结果4 相关资料4.1 相关协议和标准4.2 其它相关资料1 特
2、性简介特性简介802.11 协议提供的无线安全性能可以很好地抵御一般性网络攻击,但是仍有少 数黑客能够入侵无线网络,从而无法充分保护包含敏感数据的网络。为了更好 的防止未授权用户接入网络,需要实施一种性能高于 802.11 的高级安全机制。 为了克服以上问题,将 WLAN 安全特性合入 Comware 系统来增强系统的安全性和 健壮性,该特性通过检查 WLAN-MAC 的方式提供 802.11 客户端的安全接入。 2 应用场合应用场合当使用明文传输数据时,由于无线的开发性,其他无线用户能够窃听到所传输 的数据,这对用户的数据安全提出了挑战。通过对数据进行加密,能够有效的 防止信息泄漏。目前 W
3、LAN 数据加密有 WEP、TKIP、CCMP 等方式。TKIP、CCMP 相对于 WEP 来说,要安全的多。WA 系列 AP 上,无论 WPA 网络还是 WAP2 网络, 都支持 TKIP 和 CCMP 两种加密方式或者混合加密。 3 配置举例配置举例3.13.1 组网需求组网需求本配置举例中的 AP 使用的是 WA2200 无线局域网接入点。本典型举例通过在 AP 的 WLAN-BSS 2 端口上启用 WPA2 加密和 PSK 认证来达到对 接入点 Client1 数据进行保护的目的。图 3-1 AP PSK 认证组网图3.23.2 配置思路配置思路配置 WPA2 加密,需要配置以下内容:
4、 创建启用 PSK 认证的无线口; 创建启用 RSN 加密的服务模版; 在射频口把服务模板和无线口绑定。3.33.3 使用版本使用版本APdisplay versionH3C Comware Platform SoftwareComware Software, Version 5.20, 0001Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutesCPU type: AMCC PowerPC 266
5、MHz64M bytes SDRAM Memory8M bytes Flash MemoryPcb Version: Ver.ABasic BootROM Version: 1.04Extend BootROM Version: 1.04SLOT 1CON (Hardware)Ver.A, (Driver)1.0SLOT 1RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0SLOT 1RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0SLOT 1ETH1/0/1 (Hardware)Ver.A, (Driver)1.0SLOT 1ETH1
6、/0/2 (Hardware)Ver.A, (Driver)1.03.43.4 配置配置 APAP RSNRSN 加密加密1.1. 配置文件配置文件display current-configuration#version 5.00, 0001#sysname AP#domain default enable system#port-security enable#vlan 1#radius scheme systemprimary authentication 127.0.0.1primary accounting 127.0.0.1key authentication h3ckey acc
7、ounting h3caccounting-on enabledomain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#wlan service-template 2 cryptossid h3c-wpa2-pskauthentication-method open-systemcipher-suite ccmpsecurity-ie rsnservice-template enable# interface NULL0 #interface Vlan-interface1ip a
8、ddress 192.168.1.50 255.255.255.0#interface Ethernet1/0/1#interface Ethernet1/0/2#interface WLAN-BSS2port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678#interface WLAN-Radio1/0/1 #interface WLAN-Radio1/0/2service-template 2 interface wlan-bss 2#
9、ip route-static 0.0.0.0 0.0.0.0 192.168.1.1#user-interface con 0user-interface vty 0 4#return2.2. 配置步骤配置步骤在 RSN 接入端(AP)配置 RSN(1) 启用 port-securityAPport-security enable(2) 配置无线接口,认证方式为 PSKAPinterface WLAN-BSS2# 配置无线端口 WLAN-BSS2 的端口安全模式为 psk。AP-WLAN-BSS2port-security port-mode psk# 在接口 WLAN-BSS2 下使能 1
10、1key 类型的密钥协商功能。AP-WLAN-BSS2port-security tx-key-type 11key# 在接口 WLAN-BSS2 下配置预共享密钥为 12345678。AP-WLAN-BSS2port-security preshared-key pass-phrase 12345678(3) 配置无线服务模板(下面的 RSN 即 WPA2)# 创建一个 crypto 类型的服务模板 2。AP-wlan-rp-rpwlan service-template 2 crypto# 设置服务模板 2 的 SSID 为 h3c-wpa2-psk。AP-wlan-st-2ssid h3
11、c-wpa2-psk# 使能开放式系统认证。AP-wlan-st-2authentication-method open-system # 使能 CCMP 加密套件。AP-wlan-st-2 cipher-suite ccmp# 配置信标和探查帧携带 RSN IE 信息。AP-wlan-st-2 security-ie rsn# 使能服务模板 2。AP-wlan-st-2service-template enable (4) 在射频口 WLAN-Radio 1/0/2 绑定无线服务模板 2 和无线口 WLAN-BSS 2。APinterface WLAN-Radio 1/0/2AP-WLAN-
12、Radio1/0/2service-template 2 interface WLAN-BSS 2(5) 配置 VLAN 虚接口 AP1interface Vlan-interface1AP-Vlan-interface1ip address 192.168.1.50 255.255.255.0(6) 配置缺省路由 AP-Vlan-interface1ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 3.53.5 验证结果验证结果(1) 配置客户端采用 RSN,CCMP 方式可以正常连接到 AP 上。(2) 调用 displaydisplay wlanwl
13、an clientclient verboseverbose,可以看到连接的客户端确实是以 RSN,CCMP 方式连接上来的(Authentication Method:Open System,AKM Method: PSK,Encryption Cipher: CCMP)。display wlan client verboseTotal Number of Clients : 1Total Number of Clients Connected : 1Client Information- - MAC Address : 0017-9a00-7b47AID : 376Radio Interf
14、ace : WLAN-Radio1/0/2SSID : h3c-wpa2-pskBSSID : 000f-e2c0-0103VLAN : 1State : RunningPower Save Mode : ActiveWireless Mode : 11gQoS Mode : WMMListen Interval (Beacon Interval) : 10RSSI : 41SNR : -NA-Client Type : RSNAuthentication Method : Open SystemAKM Method : PSK4-Way Handshake State : PTKINITDONEGroup Key State : IDLEEncryption Cipher : CCMPRoam Status : NormalU
