应用场景
由于无线网络使用的是开放性媒介采用公共电磁波作为载体来传输数据信号,通信双方没有线缆连接。如果传输链路未采取适当的加密保护,数据传输的风险就会大大增加。因此在WLAN 中无线安全显得尤为重要。为了增强无线网络安全性,无线设备需要提供无线层面下的认证和加密两个安全机制:
1、认证机制:认证机制用来对用户的身份进行验证,以限定特定的用户(授权的用户)可以使用网络资源。
2、加密机制:加密机制用来对无线链路的数据进行加密,以保证无线网络数据只被所期望的用户接收和理解。
在IEEE 802.11i提出前,只有WEP(Wired Equivalent Privacy,有线等效加密)的认证加密方式,WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络,这种算法已被证明是可以破解的。为解决无线接入的安全问题,Wi-Fi 联盟制定了WPA(Wi-Fi Protected Access:Wi-Fi 网络安全访问)标准,该标准是替代WEP的过渡方案,WPA的认证有两种模式可供选择:802.1x协议认证模式和预先共享密钥PSK(Pre-Shared Key)模式。IEEE 802.11i定义了RSN(Robust Security Network:强健安全网络)的概念并发布后,Wi-Fi联盟把WPA经过修订,重新推出了具有与IEEE 802.11i标准相同功能的WPA2。
基于认证方式的不同,目前有WEP加密,PSK接入认证,802.1x接入认证,三种方式不可同时配置,实际使用中可根据实际应用场景选用对应的方式。
|
典型应用 |
场景描述 |
|
WEP加密 |
在较为小型且对安全性要求不高的WLAN中,使用静态WEP加密模式保护无线数据通信。 |
|
PSK接入认证 |
对于一些中小型的企业网络或者家庭用户,使用基于预共享密钥的接入认证方式加强无线网络安全。 |
|
802.1x接入认证 |
在对安全性要求较高或者有统一管理需求的场景,使用基于端口的网络接入控制。 |
功能简介:
WEP加密:
WEP加密模式可以分别采用open-system或者shared-key链路验证方式,两者的主要区别在于:
1、采用open-system,此时wep密钥只用于数据加密,即使密钥配的不一致,用户也是可以上线,但上线后传输的数据会因为密钥不一致被接收端丢弃;
2、采用shared-key,此时wep密钥做链路认证和数据加密,如果密钥不一致,客户端链路验证失败,无法上线。
PSK接入认证
就是使用预共享密钥认证(分别称为WPA-PSK和WPA2-PSK)。在这种情况下,WPA的使用方法同WEP相似,但是能够得到WPA和802.11i带来的更高安全性,包括更强壮的认证和更好的加密算法。
PSK认证只需为STA和接入设备配置相同的预共享密钥即可建立连接和通信,无需额外的认证服务器。
802.1x接入认证
802.1x协议是一种基于端口的网络接入控制协议。这种认证方式在WLAN 接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在接口上的用户设备如果能通过认证,就可以访问WLAN 中的资源;如果不能通过认证,则无法访问WLAN 中的资源。
802.1X认证需要终端上安装认证客户端软件。但在某些情况下,这个条件是无法满足的,比如一些无线打印机。出于网络管理和安全考虑,即便这些终端无802.1X认证客户端,网络管理员仍然需要控制这些接入设备的合法性。
一、组网需求
一般瘦AP场景,胖AP组网与瘦AP组网用法一致。
二、组网拓扑
三、配置要点
WEP加密:
1、在AC上配置WLAN。
2、在WLAN安全模式下配置WEP加密模式。
3、将WLAN下发到AP。
PSK接入认证:
1、在AC上配置WLAN。
2、在WLAN安全模式下配置PSK认证模式。
3、将WLAN下发到AP。
802.1x接入认证:
1、在AC上配置WLAN。
2、在AC上配置认证服务器。
3、在WLAN安全模式下配置802.1x认证模式。
4、将WLAN下发到AP。
四、配置步骤
1、配置静态WEP模式
Ruijie(config)#wlansec 1
Ruijie(config-wlansec)#security static-wep-key encryption 40 ascii 1 12345----->必须配置,启用静态WEP加密模式及WEP密钥
Ruijie(config-wlansec)#security static-wep-key authentication share-key----->可选配置。启用静态WEP加密模式的安全配置模式下配置。默认链路验证方式为开放系统链路验证,可使用该命令配置为共享密钥链路验证方式
Ruijie(config-wlansec)#end
Ruijie#write----->确认配置正确,保存配置
2、配置PSK认证
Ruijie(config)#wlansec 1
Ruijie(config-wlansec)#security wpa enable----->必须配置,有WPA和RSN(WPA2)两种模式,也可同时配置。
Ruijie(config-wlansec)#security wpa ciphers aes enable----->必须配置,配置WPA认证模式的数据加密方式为AES。有TKIP和AES两种模式,也可同时配置。
Ruijie(config-wlansec)#security wpa akm psk enable----->必须配置,配置WPA认证模式的接入认证方式为PSK。
Ruijie(config-wlansec)#security wpa akm psk set-key ascii 12345678----->在PSK开启的情况必须配置,配置PSK密码为12345678
Ruijie(config-wlansec)#end
Ruijie#write----->确认配置正确,保存配置
3、配置802.1x认证
Ruijie(config)#wlansec 1
Ruijie(config-wlansec)#security wpa enable----->必须配置,有WPA和RSN(WPA2)两种模式,也可同时配置。
Ruijie(config-wlansec)#security wpa ciphers aes enable----->必须配置,有TKIP和AES两种模式,也可同时配置。
Ruijie(config-wlansec)#security wpa akm 802.1x enable----->必须配置,在WLAN安全模式下配置802.1x认证模式。
Ruijie(config-wlansec)#end
Ruijie#write----->确认配置正确,保存配置
四、注意事项
1、配置静态WEP模式
1)链路验证方式必须在启用静态WEP加密模式之后才可以配置。
2)在同一个WLAN安全模式下,静态WEP加密不可与其他认证加密同时配置。
3)只有1个WLAN可配置静态WEP加密模式。
2、配置WPA/RSN认证
1)使用WPA/RSN认证时,需要配合配置数据加密方式和接入认证方式。
2)如果配置接入认证方式为PSK,需配置PSK密码。
3)在同一个WLAN安全模式下,WPA/RSN认证模式不能与WEP模式同时配置。
五、功能验证
1、配置静态WEP模式
使用show running-config| begin wlansec wlan_id命令,可以查看配置是否生效。
Ruijie#show running-config | begin wlansec 1
wlansec 1
security static-wep-key encryption 40 ascii 1 12345
security static-wep-key authentication share-key
!
(1)、ruijie无线信号
(2)、关联时弹出输入网络密钥,显示是WEP加密
(3)、输入无线密码后关联成功
(4). 如果是配置共享密钥的模式,在网络连接的属性内需要设置是共享式,才可以正常上线。。
如果是设置了密钥索引,需要在网络连接的属性内设置对应的密钥索引,才可以正常上线。
2、配置WPA-PSK认证
使用show running-config| begin wlansec wlan_id命令,可以查看配置是否生效。
Ruijie#show running-config | begin wlansec 1
wlansec 1
security wpa enable
security wpa ciphers aes enable
security wpa akm psk enable
security wpa akm psk set-key ascii 12345678
!
(1)、ruijie无线信号
(2)、关联时弹出输入网络密钥
(3)、输入无线密码后关联成功
3、配置WPA2-PSK认证
使用show running-config| begin wlansec wlan_id命令,可以查看配置是否生效。
Ruijie#show running-config | begin wlansec 1
wlansec 1
security rsn enable
security rsn ciphers aes enable
security rsn akm psk enable
security rsn akm psk set-key ascii 12345678
!
(1)、ruijie无线信号
(2)、关联时弹出输入网络密钥
(3)、输入无线密码后关联成功
4、配置 802.1x认证
使用show running-config | begin wlansec wlan_id命令,可以查看配置是否生效。
Ruijie#show running-config | begin wlansec 1
wlansec 1
security rsn enable
security rsn ciphers aes enable
security rsn akm 802.1x enable
!
802.1x的主要配置在8021x的手册里面体现,这边只说明开启802.1x的命令接口。