文档H3c WX(歹1」AC+Fit AP PSK认证方式典型配置举例关键词:PSK摘 要:随着无线网络应用的广泛普及,越来越多无线用户出现,使得无线安 全问题凸显出来,本配置举例可以实现利用预共享密钥认证方式对无线用户进行 控制,对无线数据机密进行保护缩略语:缩略语英文全名中文解释ACAccess Controller无线控制器APAccess Point无线接入点PSKPreshared Key预共享密钥ClientClient无线客户端目录1特性简介2应用场合3配置举例3.1 组网需求3.2 配置思路3.3 使用版本3.4 配置步骤3.4.1 配置 AC3.5 验证结果4相关资料4.1 相关协议和标准4.2 其它相关资料1特性简介PSK(Preshared Key ,预共享密钥)用来以预共享密钥的方式对无线用户的接入进行控制, 并能够动态产生密钥保护无线局域网中的授权用户所交换的数据的机密性, 防止这些数据被随机窃听2应用场合PSKM无线报文的一种预共享密钥的认证方式和产生动态密钥对无线数据报文进行加密, 该协议适用于接入设备与无线客户端点到点的连接方式通过预共享密钥的方式来进行认证, 并产生动态密钥对数据进行加密。
3配置举例3.1 组网需求哲说明本配置举例中的AC使用的是 WX500优线控制器,AP使用的是WA210光线局域 网接入点本配置举例通过在 AC的WLAN-ESS 4渊口上启用802.1x认证来达到^•接入点 Client进行 控制的目的图3-1 802.1x远程认证组网图3.2 配置思路配置PSK认证,需要配置以下内容:创建启用PSK1证的服务模版在AP模版中引用该服务模版3.3 使用版本display versionH3c Comware Platform SoftwareComware Software, Version 5.00, 0001Copyright (c) 2004-2007 Hangzhou H3CTech. Co., Ltd. All rights reserved.Compiled Jul 13 2007 14:32:12, RELEASE SOFTWAREH3C WX5002-128 uptime is 0 week, 2 days, 16 hours, 48 minutesCPU type: BCM MIPS 1250 700MHz512M bytes DDR SDRAM Memory32M bytes Flash MemoryPcbLogicBasic BootROM Version:Extend BootROM Version:[SLOT 1]CON(Cpld)1.0[SLOT 1]GE1/0/1(Cpld)1.0[SLOT 1]GE1/0/2(Cpld)1.0[SLOT 1]M-E1/0/1(Cpld)1.0Version: AVersion: 1.01.131.14(Hardware)A,(Hardware)A,(Hardware)A,(Hardware)A,(Driver)1.0(Driver)1.0,(Driver)1.0,(Driver)1.0,3.4 配置步骤3.4.1 配置 AC1 .配置信息display current-configuration#version 5.00, 0001#sysname AC#domain default enable cams#port-security enable#dot1x authentication-method eap#vlan 1#dhcp server ip-pool 20network 20.1.1.0 mask 255.255.255.0#wlan service-template 40 cryptossid joe_pskbind WLAN-ESS 40authentication-method open-systemauthentication-method shared-keycipher-suite tkipsecurity-ie wpaservice-template enable#wlan rrm11a mandatory-rate 6 12 2411a supported-rate 9 18 36 48 5411b mandatory-rate 1 211b supported-rate 5.5 1111g mandatory-rate 1 2 5.5 1111g supported-rate 6 9 12 18 24 36 48 54#interface NULL0#interface LoopBack0#interface Vlan-interface1ip address 20.1.1.200 255.255.255.0#interface Vlan-interface2ip address 8.1.1.1 255.255.255.0interface GigabitEthernet1/0/1#interface GigabitEthernet1/0/2port access vlan 2#interface M-Ethernet1/0/1#interface WLAN-ESS40port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase yuhongjoeundo dot1x multicast-trigger#wlan ap ap1 model WA2100serial-id h3c000fe258e820radio 1 type 11gchannel 1max-power 3service-template 40radio enable#dhcp enableload xml-configuration#user-interface aux 0user-interface vty 0 4#return2.主要配置步骤(1) 无线服务集设置system-view# 创建 WLAN-ES酸 口 40。
[AC]interface wlan-ess 40[AC-WLAN-ESS40]quit# 创建crypto类型的服务模板40[AC]wlan service-template 40 crypto# 设置当前服务模板的 SSID (服务模板的标识)为 JOE_PSK[AC-wlan-st-40]ssid JOE_PSK# 将WLAN-ESS4酸口绑定至ij服务模板 40[AC-wlan-st-40]bind WLAN-ESS 40# 设置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证[AC-wlan-st-40]authentication-method open-system# 设置无线客户端接入该无线服务(SSID)的认证方式为共享密钥认证[AC-wlan-st-40]authentication-method shared-key# 使能TKIP加密套件[AC-wlan-st-40]cipher-suite tkip# 配置信标和探查帧携带 WPA IE信息[AC-wlan-st-40]security-ie wpa# 使能服务模板[AC-wlan-st-40]service-template enable[AC-wlan-st-40]quit(2) 无线接口配置# 使能端口安全功能。
[AC]port-security enable[AC]interface WLAN-ESS 40# 配置无线端口 WLAN-ESS4的端口安全模式为 psk[AC-WLAN-ESS40]port-security port-mode psk# 在接口 WLAN-ESS40F使能11key类型的密钥协商功能[AC-WLAN-ESS40]port-security tx-key-type 11key# 在接口 WLAN-ESS40F配置预共享密钥为 yuhongjoe [AC-WLAN-ESS40]port-security preshared-key pass-phrase yuhongjoe# 在接口 WLAN-ESS40t关闭802.1X的组播触发功能[AC-WLAN-ESS40]undo dot1x multicast-trigger[AC-WLAN-ESS40]quit3.5 验证结果(1) 在配置错误预共享密钥的情况下,Client不能访问Internet上的资源2) 在配置正确预共享密钥的情况下,使用 Client访问Internet ,Client可以成功关联,并且可以正常访问Internet上的资源。