wpa有线网和无线网认证高级命令_eap (peap)有线如何进行账号认证登录-CSDN博客

本文链接：https://blog.csdn.net/weixin_44173991/article/details/139321325

1. 基本概念

EAPOL 的全称为 Extensible Authentication Protocol Over LAN，即 EAP Over Lan，也即基于局域网的扩展认证协议。EAP是一个普遍使用的认证机制，它常被用于无线网络或点到点的连接中。EAP不仅可以用于无线局域网，而且可以用于有线局域网。EAP是一个认证框架，不是一个特殊的认证机制。EAP提供一些公共的功能，并且允许协商所希望的认证机制。

本文介绍有线网和无线网通过wpa进行认证连接的重要命令，注意保证无线驱动程序和wpa_supplicant程序的启用。
用以下方式启用wpa_supplicant:
开启wpa_supplicant服务，wpa_supplicant -g /var/run/wpa_supplicant-global -B

网络认证同时需要freeradius服务器的搭建配置，支持802.1X和EAP的交换机，无线控制器，这些请参考下文
ubuntu搭建freeradius服务器，有线网和无线网进行802.1X认证

2. 有线网802.1X认证重要的命令

(1) 添加有线接口
wpa_cli -g /var/run/wpa_supplicant-global interface_add eth0 “” wired /var/run/wpa_supplicant
(2) 设置eap的版本：
wpa_cli -i eth0 -p /var/run/wpa_supplicant set eapol_version 2
(3) 设置ap扫描：
wpa_cli -i eth0 -p /var/run/wpa_supplicant set ap_scan 0
(4) 添加网络： wpa_cli -i eth0 -p /var/run/wpa_supplicant add_network
(5) 设置网络eap标志：wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 eapol_flags 0
(6) 设置密钥管理： wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 key_mgmt IEEE8021X

以下是PEAP方式的情况下有线认证连接
(7) 设置EAP方式为peap: wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 eap PEAP
(8) 设置EAP阶段2的方式为MSCHAPV2：wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 phase2 ‘“auth=MSCHAPV2”’
(9) 设置CA证书：wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 ca_cert ‘" /var/lib/shared/stream/ssl/certs/ca.pem"’ (注：/var/lib/shared/stream/ssl/certs/ca.pem是本地证书的全路径)
(10) 设置用户名：wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 identity ‘“steve”’
(11) 设置密码：wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 password ‘“testing”’
(12) 设置匿名ID：wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 anonymous_identity ‘“test”’

以下是TLS方式的情况下有线认证连接
(13) 设置EAP方式为tls: wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 eap TLS
(14) 设置TLS身份ID：wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 identity ‘“test”’
(15) 设置CA证书：wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 ca_cert ‘" /var/lib/shared/stream/ssl/certs/ca.pem"’ (注：/var/lib/shared/stream/ssl/certs/ca.pem是本地证书的全路径)
(16) 设置客户端证书：wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 client_cert ‘" /var/lib/shared/stream/ssl/certs/client.pem"’ (注：/var/lib/shared/stream/ssl/certs/client.pem是本地客户端证书的全路径)
(17) 设置私钥：wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 private_key ‘“/var/lib/shared/stream/ssl/private/client.key”’ (注：/var/lib/shared/stream/ssl/private/client.key是本地私钥的全路径)
(18) 设置私钥密码：wpa_cli -i eth0 -p /var/run/wpa_supplicant set_network 0 private_key_passwd ‘“whatever”’

启用有线网网络
(19) 启用网络：wpa_cli -i eth0 -p /var/run/wpa_supplicant enable_network 0
(20) 登录eap：wpa_cli -i eth0 -p /var/run/wpa_supplicant logon

3.无线网网络认证重要命令

（1）添加无线接口：wpa_cli -g /var/run/wpa_supplicant-global interface_add wlan0 “” nl80211 /var/run/wpa_supplicant
（2）启用filter_ssids：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set filter_ssids 1
(注：启用此功能时扫描只显示配置的SSID，不显示所有的SSID)
（3）启用okc：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set okc 1
（注：设置 okc（Opportunistic Key Caching，机会主义密钥缓存）的值为 1，启用 OKC 功能。OKC 是一种用于加速在同一网络内多个接入点之间漫游的无线客户端的认证过程的技术。当启用 OKC 时，一旦客户端在一个接入点上成功认证，其密钥信息可以被缓存并用于其他接入点，从而减少了重新认证的需要和时间。这对于需要频繁漫游的环境（如大型办公室或校园）非常有用）
（4）启用被动扫描：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set passive_scan 1
（注：被动扫描（passive scanning）是一种无线扫描模式，其中无线客户端（在这个例子中是 wlan0 接口）会监听无线网络中的信标帧（beacon frames）来发现可用的无线网络。与主动扫描（active scanning）不同，被动扫描不会发送探测请求（probe requests）来查找网络。因此，它对于隐藏网络（也称为不广播SSID的网络）是不可见的，因为隐藏网络不会主动发送信标帧。将 passive_scan 设置为 1（启用）通常意味着：无线客户端将只监听信标帧来发现网络；客户端不会发送任何探测请求，这可以减少对其他网络设备的干扰。由于不发送探测请求，隐藏网络（不广播SSID的网络）将不会被发现。
在某些情况下，启用被动扫描可能是有益的，特别是当你不想干扰其他无线网络或想减少对其他网络设备的潜在干扰时。然而，这也意味着你可能无法发现隐藏网络。）

（5）添加网络：wpa_cli -i wlan0 -p /var/run/wpa_supplicant add_network
(注：假设现在返回的网络id是1)
（6）添加SSID： wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 ssid ‘“HUAWEI-TEST”’
（7）设置SSID扫描开启：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 scan_ssid 1
（8）设置背景扫描开启：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 bgscan ‘“simple:30:-70:8”’
（注：在这个例子中，simple 是背景扫描的模块名，后面跟着的参数定义了扫描的行为：30 是扫描间隔（秒）。-70 是信号强度阈值（dBm）。只有当信号强度低于这个阈值时，才会进行扫描。8 是扫描结果无效的持续时间（秒）。如果在这个时间段内没有接收到比当前连接更好的网络，那么当前的连接将不会被断开。）
（9）设置频率列表：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set freq_list 2412 2437 2462 （注：频率列表指定了 wpa_supplicant 在扫描无线网络时应考虑的频率）
（10）设置网络扫描频率：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 scan_freq 2412 2437 2462
（11）设置当前网络的频率列表：
wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 freq_list 2412 2437 2462

无线认证个人方式 WPA-个人或WPA2-个人，这种方式下使用账号密码进行认证
（12）设置密钥管理： wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 key_mgmt WPA-PSK
（注：key_mgmt 后面的参数可以是WPA-PSK，或FT-PSK WPA-PSK,
FT-PSK 指的是使用Fast Transition (IEEE 802.11r) 的预共享密钥 (PSK) 模式的密钥管理方式, FT指的是802.11r的快速转换）
（13）设置密钥：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 psk ‘“mypassword”’

无线认证企业方式 WPA-企业或WPA2-企业，这种方式下使用EAP方式进行认证
（14）设置密钥管理： wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 key_mgmt WPA-EAP
（注：key_mgmt 后面的参数可以是WPA- EAP，或FT-EAP WPA-EAP；
FT-EAP：通常用于802.11r（快速BSS转换）中，允许设备在Wi-Fi网络之间快速、安全地切换，同时保持加密的会话。
WPA-EAP：是一种基于802.1X的认证方法，通常与RADIUS服务器结合使用，以提供更强的网络安全性和认证灵活性。）
（15）设置用户名：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 identity ‘“steve”’
（16）设置密码：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 password ‘“testing”’
（17）可以选择4种方式来设置EAP的认证：
a. PEAP方式
设置EAP方式为peap: wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 eap PEAP
设置EAP阶段2的方式为MSCHAPV2：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 phase2 ‘“auth=MSCHAPV2”’
b. EAP-TLS方式
设置EAP方式为tls: wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 eap TLS
c. EAP-TTLS方式
设置EAP方式为ttls: wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 eap TTLS
d. PEAP-GTC方式
设置EAP方式为peap: wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 eap PEAP
设置EAP阶段2的方式为GTC：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 phase2 ‘“auth=GTC”’

无线网证书认证
（18）设置CA证书：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 ca_cert ‘" /var/lib/shared/stream/ssl/certs/ca.pem"’ (注：/var/lib/shared/stream/ssl/certs/ca.pem是本地证书的全路径)
（19）设置客户端证书：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 client_cert ‘" /var/lib/shared/stream/ssl/certs/client.pem"’ (注：/var/lib/shared/stream/ssl/certs/client.pem是本地客户端证书的全路径)
（20）设置私钥：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 private_key ‘“/var/lib/shared/stream/ssl/private/client.key”’ (注：/var/lib/shared/stream/ssl/private/client.key是本地私钥的全路径)
（21）设置私钥密码：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 private_key_passwd ‘“whatever”’
（22）启用快速重认证：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set fast_reauth 1
加密方式设置
（23）设置认证协议：wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 proto WPA2
（注：WPA和WPA2在安全性、加密算法和密钥管理机制方面存在显著差异。WPA2作为WPA的升级版，在安全性方面进行了增强，提供了更高级别的加密和安全性保障。因此，在部署无线网络时，建议优先考虑使用WPA2加密方式。）
（24）设置加密方式：
wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 pairwise TKIP
wpa_cli -i wlan0 -p /var/run/wpa_supplicant set_network 1 group TKIP
（注：TKIP（Temporal Key Integrity Protocol，临时密钥完整性协议）和CCMP（Counter Mode with Cipher Block Chaining Message Authentication Code Protocol，带有密码块链接消息认证码协议的计数器模式）是WPA（Wi-Fi Protected Access）和WPA2（Wi-Fi Protected Access II）无线网络标准中使用的两种加密协议。它们各自在安全性、加密强度以及与其他网络设备和标准的兼容性方面有所不同）

启用无线网络
(21) 启用网络：wpa_cli -i wlan0 -p /var/run/wpa_supplicant enable_network 1