目录
2、windows系统上无线安全类型和无线设备配置的对应关系
Ⅰ 功能介绍及应用场景
1、功能简介
WEP加密
WEP加密模式可以分别采用open-system或者shared-key链路验证方式,两者的主要区别在于:
(1)采用open-system,此时wep密钥只用于数据加密,即使密钥配的不一致,用户也是可以上线,但上线后传输的数据会因为密钥不一致被接收端丢弃;
(2)采用shared-key,此时wep密钥做链路认证和数据加密,如果密钥不一致,客户端链路验证失败,无法上线。
PSK接入认证
就是使用预共享密钥认证(分别称为WPA-PSK和WPA2-PSK)。在这种情况下,WPA的使用方法同WEP相似,但是能够得到WPA和802.11i带来的更高安全性,包括更强壮的认证和更好的加密算法。
PSK认证只需为STA和接入设备配置相同的预共享密钥即可建立连接和通信,无需额外的认证服务器。
802.1x接入认证
802.1x协议是一种基于端口的网络接入控制协议。这种认证方式在WLAN 接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在接口上的用户设备如果能通过认证,就可以访问WLAN 中的资源;如果不能通过认证,则无法访问WLAN 中的资源。
802.1X认证需要终端上安装认证客户端软件。但在某些情况下,这个条件是无法满足的,比如一些无线打印机。出于网络管理和安 全考虑,即便这些终端无802.1X认证客户端,网络管理员仍然需要控制这些接入设备的合法性。
2、应用场景
由于无线网络使用的是开放性媒介采用公共电磁波作为载体来传输数据信号,通信双方没有线缆连接。如果传输链路未采取适当的加密保护,数据传输的风险就会大大增加。因此在WLAN 中无线安全显得尤为重要。为了增强无线网络安全性,无线设备需要提供无线层面下的认证和加密两个安全机制:
(1)认证机制:认证机制用来对用户的身份进行验证,以限定特定的用户(授权的用户)可以使用网络资源。
(2)加密机制:加密机制用来对无线链路的数据进行加密,以保证无线网络数据只被所期望的用户接收和理解。
在IEEE 802.11i提出前,只有WEP(Wired Equivalent Privacy,有线等效加密)的认证加密方式,WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络,这种算法已被证明是可以破解的。为解决无线接入的安全问题,Wi-Fi 联盟制定了WPA(Wi-Fi Protected Access:Wi-Fi 网络安全访问)标准,该标准是替代WEP的过渡方案,WPA的认证有两种模式可供选择:802.1x协议认证模式和预先共享密钥PSK(Pre-Shared Key)模式。IEEE 802.11i定义了RSN(Robust Security Network:强健安全网络)的概念并发布后,Wi-Fi联盟把WPA经过修订,重新推出了具有与IEEE 802.11i标准相同功能的WPA2。
基于认证方式的不同,目前有WEP加密,PSK接入认证,802.1x接入认证,三种方式不可同时配置,实际使用中可根据实际应用场景选用对应的方式。
典型应用 | 场景描述 |
WEP加密 | 在较为小型且对安全性要求不高的WLAN中,使用静态WEP加密模式保护无线数据通信。 |
PSK接入认证 | 对于一些中小型的企业网络或者家庭用户,使用基于预共享密钥的接入认证方式加强无线网络安全。 |
802.1x接入认证 | 在对安全性要求较高或者有统一管理需求的场景,使用基于端口的网络接入控制。 |
Ⅱ 配置案例
1、组网需求
无线用户连接无线网络需要输入密码
2、组网拓扑
3、配置要点
1)开启无线加密功能
2)配置无线加密类型
3)配置无线密码
4、配置步骤
1)WPA共享密钥认证
Ruijie(config)#wlansec 1
Ruijie(config-wlansec)#security wpa enable ---->开启无线加密功能
Ruijie(config-wlansec)#security wpa ciphers aes enable ---->无线启用AES加密
Ruijie(config-wlansec)#security wpa akm psk enable ---->无线启用共享密钥认证方式
Ruijie(config-wlansec)#security wpa akm psk set-key ascii 1234567890 ---->无线密码,密码位数不能小于8位
Ruijie(config-wlansec)#exit
2)WPA2共享密钥认证【推荐配置】
Ruijie(config)#wlansec 1
Ruijie(config-wlansec)#security rsn enable ---->开启无线加密功能
Ruijie(config-wlansec)#security rsn ciphers aes enable ---->无线启用AES加密
Ruijie(config-wlansec)#security rsn akm psk enable ---->无线启用共享密钥认证方式
Ruijie(config-wlansec)#security rsn akm psk set-key ascii 1234567890 ---->无线密码,密码位数不能小于8位
Ruijie(config-wlansec)#exit
3)保存配置
Ruijie(config)#end
Ruijie#write
5、配置验证
1)ruijie无线信号
2)关联时弹出输入网络密钥
3)输入无线密码后关联成功
Ⅲ 常见问题
1、配置无线TKIP注意点
配置TKIP时必须关闭802.11n。TKIP最高速率只能到54M,所以不支持802.11N。而且TKIP占用的密钥缓存是aes的两倍,所以带机数是使用AES的1/2。
如果不关闭802.11n会出现以下的报错信息:
Ruijie(config-wlansec)#sec wpa ciphers tkip enable
Config TKIP cipher fail, check AP's radio mode(can not be HT).
注解:HT High Throughput。即采用11n引入的调制编码方式传输,提高了传输速率。默认的是ht20 可配置ht40速率提升1倍。
关闭802.11n的命令:
瘦模式:
Ruijie(config)# ap-config AP0001 ---->进入具体ap的配置中
Ruijie(config-ap)#no 11ngsupport enable radio 1 ---->关闭radio 1在2.4G下支持802.11n功能
Ruijie(config-ap)#no 11nasupport enable radio 1 ---->关闭radio 2在5.8G下支持802.11n功能
Ruijie(config-ap)#end
Ruijie#write
胖模式:
Ruijie(config)#int dot11radio 1/0 ---->进入射频卡
Ruijie(config-if-Dot11radio 1/0)#no 11nsupport enable ---->关闭radio 1的802.11n功能
Ruijie(config-if-Dot11radio 1/0)#end
Ruijie#write
2、windows系统上无线安全类型和无线设备配置的对应关系
Ruijie(config-wlansec)#security rsn akm ?
802.1x Setup RSN 802.1x AKM ---->wpa2企业
psk Setup wlan RSN PSK ---->wpa2个人
Ruijie(config-wlansec)#security wpa akm ?
802.1x Setup RSN 802.1x AKM ---->wpa企业
psk Setup wlan RSN PSK ---->wpa个人
3、无线wep支持多少位密码
Ruijie(config-wlansec)#security static-wep-key encryption key-length {ascii|hex} key-index key
在ascii模式下根据key-length参数可以使用5字节、13字节数据作为密钥,key-length参数为40、104
在hex模式下根据key-length参数可以使用10字节、26字节数据作为密钥,key-length参数为40、104
(Key-length如果是40位,则使用64位的算法;如果是104位,则使用128位的算法)
4、一个wlansec 下面能不能同时配置wpa和wpa2
可以,但是密码必须相同
5、AC/AP是否可以在两个wlan都配置WEP加密
不支持,当前AC/AP芯片有限制,在同一时间一台AC上只能有一个wlan使用WEP加密。其它加密方法无此限制。