H3C WA系列 WPA2-PSK典型配置举例.doc

1、H3C WA 系列 WPA2-PSK 典型配置举例关键词：WPA2，PSK摘 要 ： 随 着 无 线 网 络 应 用 的 广 泛 普 及 ， 越 来 越 多 无 线 用 户 出 现 ， 使 得 无 线安 全 问 题 凸 显 出 来 ， PSK 认 证可以实现利用共享密钥的方式对无线用户进行控制，对无线数据机密进行保护。缩略语：缩略语 英文全名 中文解释WPA2 Wi-Fi Protected Access version 2 WPA 版本 2PSK presharedKey 共享密钥目 录1 特性简介2 应用场合3 配置举例3.1 组网需求3.2 配置思路3.3 使用版本3.4 配置 AP R

2、SN 加密3.5 验证结果4 相关资料4.1 相关协议和标准4.2 其它相关资料1 特性简介802.11 协议提供的无线安全性能可以很好地抵御一般性网络攻击，但是仍有少数黑客能够入侵无线网络，从而无法充分保护包含敏感数据的网络。为了更好的防止未授权用户接入网络，需要实施一种性能高于 802.11 的高级安全机制。为了克服以上问题，将 WLAN 安全特性合入 Comware 系统来增强系统的安全性和健壮性，该特性通过检查 WLAN-MAC 的方式提供 802.11 客户端的安全接入。2 应用场合当使用明文传输数据时，由于无线的开发性，其他无线用户能够窃听到所传输的数据，这对用户的数据安全提出了挑

3、战。通过对数据进行加密，能够有效的防止信息泄漏。目前 WLAN 数据加密有 WEP、TKIP、CCMP 等方式。TKIP、CCMP相对于 WEP 来说，要安全的多。WA 系列 AP 上，无论 WPA 网络还是 WAP2 网络，都支持 TKIP 和 CCMP 两种加密方式或者混合加密。3 配置举例3.1 组网需求本配置举例中的 AP使用的是 WA2200无线局域网接入点。本典型举例通过在 AP 的 WLAN-BSS 2 端口上启用 WPA2 加密和 PSK 认证来达到对接入点 Client1 数据进行保护的目的。图 3-1 AP PSK 认证组网图3.2 配置思路配置 WPA2 加密，需要配置以

4、下内容： 创建启用 PSK 认证的无线口； 创建启用 RSN 加密的服务模版； 在射频口把服务模板和无线口绑定。3.3 使用版本APdisplay versionH3C Comware Platform SoftwareComware Software, Version 5.20, 0001Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutesCPU type: AMCC PowerPC 266MHz

5、64M bytes SDRAM Memory8M bytes Flash MemoryPcb Version: Ver.ABasic BootROM Version: 1.04Extend BootROM Version: 1.04SLOT 1CON (Hardware)Ver.A, (Driver)1.0SLOT 1RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0SLOT 1RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0SLOT 1ETH1/0/1 (Hardware)Ver.A, (Driver)1.0SLOT 1ETH1/0/

6、2 (Hardware)Ver.A, (Driver)1.03.4 配置 AP RSN 加密1. 配置文件display current-configuration#version 5.00, 0001#sysname AP#domain default enable system#port-security enable#vlan 1#radius scheme systemprimary authentication 127.0.0.1primary accounting 127.0.0.1key authentication h3ckey accounting h3caccounting

7、-on enabledomain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#wlan service-template 2 cryptossid h3c-wpa2-pskauthentication-method open-systemcipher-suite ccmpsecurity-ie rsnservice-template enable# interface NULL0 #interface Vlan-interface1ip address 192.168.1.50 2

8、55.255.255.0#interface Ethernet1/0/1#interface Ethernet1/0/2#interface WLAN-BSS2port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678#interface WLAN-Radio1/0/1 #interface WLAN-Radio1/0/2service-template 2 interface wlan-bss 2#ip route-static 0.0.0

9、.0 0.0.0.0 192.168.1.1#user-interface con 0user-interface vty 0 4#return2. 配置步骤在 RSN 接入端（AP）配置 RSN(1) 启用 port-securityAPport-security enable(2) 配置无线接口，认证方式为 PSKAPinterface WLAN-BSS2# 配置无线端口 WLAN-BSS2 的端口安全模式为 psk。AP-WLAN-BSS2port-security port-mode psk# 在接口 WLAN-BSS2 下使能 11key 类型的密钥协商功能。AP-WLAN-BSS2

10、port-security tx-key-type 11key# 在接口 WLAN-BSS2 下配置预共享密钥为 12345678。AP-WLAN-BSS2port-security preshared-key pass-phrase 12345678(3) 配置无线服务模板（下面的 RSN 即 WPA2）# 创建一个 crypto 类型的服务模板 2。AP-wlan-rp-rpwlan service-template 2 crypto# 设置服务模板 2 的 SSID 为 h3c-wpa2-psk。AP-wlan-st-2ssid h3c-wpa2-psk# 使能开放式系统认证。AP-wl

11、an-st-2authentication-method open-system # 使能 CCMP 加密套件。AP-wlan-st-2 cipher-suite ccmp# 配置信标和探查帧携带 RSN IE 信息。AP-wlan-st-2 security-ie rsn# 使能服务模板 2。AP-wlan-st-2service-template enable (4) 在射频口 WLAN-Radio 1/0/2 绑定无线服务模板 2 和无线口 WLAN-BSS 2。APinterface WLAN-Radio 1/0/2AP-WLAN-Radio1/0/2service-template

12、2 interface WLAN-BSS 2(5) 配置 VLAN 虚接口 AP1interface Vlan-interface1AP-Vlan-interface1ip address 192.168.1.50 255.255.255.0(6) 配置缺省路由 AP-Vlan-interface1ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 3.5 验证结果(1) 配置客户端采用 RSN，CCMP 方式可以正常连接到 AP 上。(2) 调用 display wlan client verbose，可以看到连接的客户端确实是以RSN，CCMP 方式连接

13、上来的(Authentication Method:Open System，AKM Method: PSK，Encryption Cipher: CCMP)。display wlan client verboseTotal Number of Clients : 1Total Number of Clients Connected : 1Client Information- MAC Address : 0017-9a00-7b47AID : 376Radio Interface : WLAN-Radio1/0/2SSID : h3c-wpa2-pskBSSID : 000f-e2c0-010

14、3VLAN : 1State : RunningPower Save Mode : ActiveWireless Mode : 11gQoS Mode : WMMListen Interval (Beacon Interval) : 10RSSI : 41SNR : -NA-Client Type : RSNAuthentication Method : Open SystemAKM Method : PSK4-Way Handshake State : PTKINITDONEGroup Key State : IDLEEncryption Cipher : CCMPRoam Status :

15、 NormalUp Time (hh:mm:ss) : 00:01:34-4 相关资料4.1 相关协议和标准表 4-1 相关协议与标准标准号 标题标准号 标题IEEE 802.11i802.11i IEEE Standard for Information technologyTelecommunications and information exchange between systemsLocal and metropolitan area networksSpecific requirements4.2 其它相关资料 H3C WA 系列无线接入点设备 用户手册“WLAN 分册”中的“WLAN”。 H3C WA 系列无线接入点设备 用户手册“安全分册”中的“端口安全”。