应用场景    

由于无线网络是开放性空气中传播数据,通信双方没有线缆连接。如果传输链路未采取适当的加密保护,数据传输的风险就会大大增加。因此在WLAN 中无线安全显得尤为重要。为了增强无线网络安全性,无线设备需要提供无线层面下的认证和加密两个安全机制:    

1、认证机制:用户认证后才能进行上网等传输数据。    

2、加密机制:将传输的数据进行加密。    

   

基于认证方式的不同,目前有WEP加密,PSK接入认证,802.1x接入认证,三种方式不可同时配置,实际使用中可根据实际应用场景选用对应的方式。    

典型应用        

场景描述        

WEP加密        

在较为小型且对安全性要求不高的WLAN中,使用静态WEP加密模式保护无线数据通信。        

PSK接入认证        

对于一些中小型的企业网络或者家庭用户,使用基于预共享密钥的接入认证方式加强无线网络安全。        

802.1x接入认证        

在对安全性要求较高或者有统一管理需求的场景,使用基于端口的网络接入控制。        

   

功能简介:    

WEP加密:    

WEP加密模式可以分别采用open-system或者shared-key链路验证方式,两者的主要区别在于:    

1、采用open-system,此时wep密钥只用于数据加密,即使密钥配的不一致,用户也是可以上线,但上线后传输的数据会因为密钥不一致被接收端丢弃;    

2、采用shared-key,此时wep密钥做链路认证和数据加密,如果密钥不一致,客户端链路验证失败,无法上线。    

PSK接入认证    

就是使用预共享密钥认证(分别称为WPA-PSK和WPA2-PSK)。在这种情况下,WPA的使用方法同WEP相似,但是能够得到WPA和802.11i带来的更高安全性,包括更强壮的认证和更好的加密算法。    

PSK认证只需为STA和接入设备配置相同的预共享密钥即可建立连接和通信,无需额外的认证服务器。    

802.1x接入认证    

802.1x协议是一种基于端口的网络接入控制协议。这种认证方式在WLAN 接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在接口上的用户设备如果能通过认证,就可以访问WLAN 中的资源;如果不能通过认证,则无法访问WLAN 中的资源。    

802.1X认证需要终端上安装认证客户端软件。但在某些情况下,这个条件是无法满足的,比如一些无线打印机。出于网络管理和安全考虑,即便这些终端无802.1X认证客户端,网络管理员仍然需要控制这些接入设备的合法性。    

一、组网需求    

一般瘦AP场景,胖AP组网与瘦AP组网用法一致。    

二、组网拓扑    

图1 WEP加密    

    

图2 PSK接入认证    

    

图3 802.1x接入认证    

    

三、配置要点    

WEP加密:只支持命令行配置,参见命令行配置指导——功能配置指导——常用功能配置——wlan安全配置    

1、在AC上配置WLAN。    

2、在WLAN安全模式下配置WEP加密模式。    

3、将WLAN下发到AP。    

PSK接入认证:    

1、在AC上配置WLAN。    

2、在WLAN安全模式下配置PSK认证模式。    

3、将WLAN下发到AP。    

802.1x接入认证:    

1、在AC上配置WLAN。    

2、在AC上配置认证服务器。    

3、在WLAN安全模式下配置802.1x认证模式。    

4、将WLAN下发到AP。    

四、配置步骤    

1、PSK及802.1x接入认证模式可以参见下图配置    

                 

    注:WPA/WPA2-PSK(通用版):基于共享密钥的 WPA 模式,安全性很高,设置比较简单,适合普通家庭用户和小型企业使用。    

      WPA/WPA2-802.1x(专业版):采用 Radius 服务器进行身份认证并得到密钥的 WPA 或 WPA2 安全模式。由于要架设一台专用的认证服务器,代价比较昂贵且维护也很复杂,所以不推荐普通用户使用此安全类型    

   

 CLI配置命令:    

     1)、配置静态WEP模式    

Ruijie(config)#wlansec 1    

Ruijie(config-wlansec)#security static-wep-key encryption 40 ascii 1 12345----->必须配置,启用静态WEP加密模式及WEP密钥    

Ruijie(config-wlansec)#security static-wep-key authentication share-key----->可选配置。启用静态WEP加密模式的安全配置模式下配置。默认链路验证方式为开放系统链路验证,可使用该命令配置为共享密钥链路验证方式    

Ruijie(config-wlansec)#end    

Ruijie#write----->确认配置正确,保存配置    

2)、配置PSK认证    

Ruijie(config)#wlansec 1    

Ruijie(config-wlansec)#security wpa enable----->必须配置,有WPA模式。    

Ruijie(config-wlansec)#security wpa ciphers aes enable----->必须配置,配置WPA认证模式的数据加密方式为AES。有TKIP和AES两种模式,也可同时配置。    

Ruijie(config-wlansec)#security wpa akm psk enable----->必须配置,配置WPA认证模式的接入认证方式为PSK。    

Ruijie(config-wlansec)#security wpa akm psk set-key ascii 12345678----->在PSK开启的情况必须配置,配置PSK密码为12345678    

Ruijie(config-wlansec)#end    

Ruijie#write----->确认配置正确,保存配置    

或者使用WPA2方式    

Ruijie(config)#wlansec 1    

Ruijie(config-wlansec)#security rsn enable----->必须配置,RSN(WPA2)模式。    

Ruijie(config-wlansec)#security rsn ciphers aes enable----->必须配置,配置RSN认证模式的数据加密方式为AES。有TKIP和AES两种模式,也可同时配置。    

Ruijie(config-wlansec)#security rsn akm psk enable----->必须配置,配置RSN认证模式的接入认证方式为PSK。    

Ruijie(config-wlansec)#security rsn akm psk set-key ascii 12345678----->在PSK开启的情况必须配置,配置PSK密码为12345678    

Ruijie(config-wlansec)#end    

Ruijie#write----->确认配置正确,保存配置    

   

3)、配置802.1X认证    

Ruijie(config)#wlansec 1    

Ruijie(config-wlansec)#security wpa enable----->必须配置,有WPA和RSN(WPA2)两种模式,也可同时配置。    

Ruijie(config-wlansec)#security wpa ciphers aes enable----->必须配置,有TKIP和AES两种模式,也可同时配置。    

Ruijie(config-wlansec)#security wpa akm 802.1x enable----->必须配置,在WLAN安全模式下配置802.1x认证模式。    

Ruijie(config-wlansec)#end    

Ruijie#write----->确认配置正确,保存配置    

四、注意事项    

1、配置静态WEP模式    

1)链路验证方式必须在启用静态WEP加密模式之后才可以配置。    

2)在同一个WLAN安全模式下,静态WEP加密不可与其他认证加密同时配置。    

3)只有1个WLAN可配置静态WEP加密模式。    

   

2、配置WPA/RSN认证    

1)使用WPA/RSN认证时,需要配合配置数据加密方式和接入认证方式。    

2)如果配置接入认证方式为PSK,需配置PSK密码。    

3)在同一个WLAN安全模式下,WPA/RSN认证模式不能与WEP模式同时配置。    

   

五、功能验证    

1、配置静态WEP模式    

使用show running-config| begin wlansec wlan_id命令,可以查看配置是否生效。    

Ruijie#show running-config | begin wlansec 1    

wlansec 1    

 security static-wep-key encryption 40 ascii 1 12345    

 security static-wep-key authentication share-key    

!    

(1)、ruijie无线信号    

    

(2)、关联时弹出输入网络密钥,显示是WEP加密    

    

(3)、输入无线密码后关联成功    

    

(4). 如果是配置共享密钥的模式,在网络连接的属性内需要设置是共享式,才可以正常上线。。    

如果是设置了密钥索引,需要在网络连接的属性内设置对应的密钥索引,才可以正常上线。    

    

   

2、配置WPA-PSK认证    

使用show running-config| begin wlansec wlan_id命令,可以查看配置是否生效。    

Ruijie#show running-config | begin wlansec 1    

wlansec 1    

 security wpa enable    

 security wpa ciphers aes enable    

 security wpa akm psk enable    

 security wpa akm psk set-key ascii 12345678    

!    

(1)、ruijie无线信号    

    

(2)、关联时弹出输入网络密钥    

    

(3)、输入无线密码后关联成功    

    

   

3、配置WPA2-PSK认证    

使用show running-config| begin wlansec wlan_id命令,可以查看配置是否生效。    

Ruijie#show running-config | begin wlansec 1    

wlansec 1    

 security rsn enable    

 security rsn ciphers aes enable    

 security rsn akm psk enable    

 security rsn akm psk set-key ascii 12345678    

!    

(1)、ruijie无线信号    

    

(2)、关联时弹出输入网络密钥    

    

(3)、输入无线密码后关联成功    

    

   

4、配置 802.1x认证    

使用show running-config | begin wlansec wlan_id命令,可以查看配置是否生效。    

Ruijie#show running-config | begin wlansec 1    

wlansec 1    

 security rsn enable    

 security rsn ciphers aes enable    

 security rsn akm 802.1x enable    

!    

802.1x的主要配置在8021x的手册里面体现,这边只说明开启802.1x的命令接口。