wlan配置流程图
创建安全模板
WLAN技术使用无线射频信号作为业务数据的传输介质,这种开放式的信道使攻击者很容易对无线信道中传输的业务数据进行窃听或篡改。因此,安全性是WLAN最为重要的因素。通过安全模板,您可以选择一种安全策略,更好的保护用户敏感数据的安全和用户的隐私。安全模板提供了WEP、WPA/WPA2、WAPI四种安全策略机制。每种安全策略实现了一整套安全机制,包括无线链路建立时的链路认证方式,无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。创建安全模板时,如果不配置任何安全策略,则模板内默认指定了安全策略为open-system,即用户在搜索到无线网络时,不需要认证,可以直接访问网络。使用默认的安全策略存在较大的安全隐患,建议用户根据实际的情况配置合适的安全策略。如果需要配置其他的安全策略,请参见WLAN安全配置。
执行命令system-view,进入系统视图。
执行命令wlan,进入WLAN视图。
执行命令security-profile { id profile-id | name profile-name } *,创建安全模板,并进入安全模板视图。缺省情况下,没有创建用户的接入安全模板。
说明:
安全模板创建后,模板内的参数均自动配置为默认值。创建模板时,必须输入模板名称。此安全模版是无线信号的接入安全,和无线认证是2回事。
一、加密安全类型 WEP
1、配置安全策略
security-policy wep
(1)配置开放系统认证+不加密
wep authentication-method open-system [ data-encrypt ]
配置使用WEP开放系统认证。data-encrypt表示开放系统认证+WEP加密的场景,此时需要使用命令wep key和wep default-key,配置WEP的共享密钥,用于生成加密密钥对WLAN数据报文加密。
(2)配置共享密钥认证+WEP加密。
wep authentication-method share-key
配置使用WEP共享密钥认证。
wep key { wep-40 | wep-104 | wep-128 } { pass-phrase | hex } key-id cipher cipher-key-value
配置WEP的共享密钥和密钥索引。缺省情况下,未配置共享密钥。
wep default-key key-id
配置WEP使用的共享密钥的密钥索引。缺省情况下,使用密钥索引0对应的共享密钥。WEP的密钥可以配置4个,但同一时间只有1个密钥生效。
二、加密安全类型 WPA/WPA2
WPA/WPA2都可以使用802.1X的接入认证,TKIP或CCMP的加密算法,它们之间的不同主要表现在协议报文格式上,在安全性上几乎没有差别。
WPA/WPA2安全策略有以下常见使用场景:
a、PSK+TKIP、PSK+CCMP:用于个人、家庭与小型SOHO网络,对网络安全要求相对较低,不需要认证服务器。如果用户的设备只支持WEP加密,则升级为PSK+TKIP无需升级硬件,而升级为PSK+CCMP可能需要升级硬件。
b、802.1X+TKIP、802.1X+CCMP:用于企业网络等安全要求较高的网络,需要独立的认证服务器。如果用户的设备只支持WEP加密,则升级为802.1X+TKIP无需升级硬件,而升级为802.1X+CCMP可能需要升级硬件。
c、WPA-WPA2混合策略、TKIP-CCMP混合加密:用户的终端设备多种多样,支持的认证和加密方式也有所差异,为了便于多种类型的终端接入,方便网络管理员的管理,可以使用混合方式配置WPA和WPA2。配置安全策略为WPA-WPA2,则支持WPA或WPA2的终端都可以接入设备进行认证;配置加密方式为TKIP-CCMP,则支持TKIP加密或CCMP加密的终端都可以对业务报文进行加密。
d、关于802.1X认证的配置属于NAC配置中的一部分,在WLAN-ESS接口上配置的802.1X的认证方式应该为EAP中继方式。
1、选择安全策略
security-policy { wpa | wpa2 | wpa-wpa2 }
对于WPA,缺省情况下使用802.1X认证方式+TKIP数据加密方式。
对于WPA2,缺省情况下使用802.1X认证方式+CCMP数据加密方式。
对于WPA-WPA2,缺省情况下使用802.1X认证方式+TKIP-CCMP混合加密方式。
指定安全策略后,可以使用该策略的缺省认证方式和加密方式;也可以根据需要,在5配置该策略的认证方式和加密方式。
2、配置认证方式和加密方式
(1)配置802.1X+TKIP/CCMP/混合加密。
{ wpa | wpa2 | wpa-wpa2 } authentication-method dot1x encryption-method { tkip | ccmp | tkip-ccmp }
配置WPA/WPA2使用的802.1X认证协议和使用的数据加密算法。
(2)配置PSK+TKIP/CCMP/混合加密。
{ wpa | wpa2 | wpa-wpa2 } authentication-method psk { pass-phrase | hex } cipher cipher-key encryption-method { tkip | ccmp | tkip-ccmp }
配置WPA/WPA2的预共享密钥和使用的数据加密算法。
3、(可选)执行命令
{ wpa | wpa2 | wpa-wpa2 } ptk-rekey enable
{ wpa | wpa2 | wpa-wpa2 } ptk-rekey interval ptk-rekey-interval
使能PTK的定时更新功能,配置PTK的定时更新周期。缺省情况下,PTK的定时更新周期是43200秒。
三、加密安全类型WAPI
API是一种仅允许建立健壮安全网络连接RSNA(Robust Security Network Association)的安全网络,提供比WEP或WPA/WPA2更强的安全性。
WAPI安全策略有以下常见使用场景:
WAPI-CERT认证+WPI加密:用于大型企业网络或运营商网络,这种认证方式需要部署和维护昂贵的证书系统。
说明:
WAPI证书采用X.509 V3证书,X.509 V3证书以Base64 binary为编码类型,以PEM格式进行存储,文件名的后缀为.cer。在为WAPI导入证书前,请确保证书文件存放在存储器的根目录。
WAPI-PSK认证+WPI加密:用于家庭用户或小型企业网络,不需要额外的证书系统。
WAPI定义了密钥的动态协商,但是如果STA长时间使用相同的加密密钥,仍然存在安全隐患。WAPI提供基于时间和基于报文数的密钥更新机制,单播会话密钥USK(Unicast Session Key)和组播会话密钥MSK(Multicast Session Key)都具有生命周期,当其生命周期结束时需要更新密钥。
触发密钥更新的方式:
基于时间:在指定时间间隔后进行密钥更新。
基于流量:当使用某密钥加密的报文数量达到指定数目后进行密钥更新。
1、配置安全认证方式
security-policy wapi
配置安全模板使用的安全策略。对于WAPI,缺省情况下使用WAPI-CERT认证+WPI数据加密方式。
(1) 配置WAPI使用的认证方式为WAPI-PSK,即预共享密钥认证
wapi authentication-method psk { pass-phrase | hex } cipher cipher-key
配置WAPI使用预共享密钥认证方式并配置共享密钥
(2)配置WAPI使用的认证方式为WAPI-CERT,即证书认证
a、wapi authentication-method certificate
配置WAPI使用证书认证方式。
b、wapi import certificate { ac | asu | issuer } file-name file-name [ password cipher password ]
导入AC、AC证书颁布者以及ASU的证书文件。
c、wapi import private-key file-name file-name [ password cipher cipher-password ]
导入AC的私钥文件。
d、wapi asu ip ip-address
配置ASU服务器的IP地址,AC会将证书发送到ASU服务器。
e、(可选)wapi cert-retrans-count cert-count
配置证书认证鉴别报文的重传次数。缺省情况下,证书认证鉴别报文的重传次数为3次。
2、(可选)
wapi { bk-threshold bk-threshold | bk-update-interval bk-update-interval }
配置基密钥BK(Base Key)更新间隔和生存期百分比。缺省情况下,BK更新间隔时间为43200秒,BK生存期百分比为70%。
3、(可选)
wapi sa-timeout sa-time
配置建立安全关联的超时时间。缺省情况下,建立安全关联的超时时间为60秒。如果在超时时间内未完成认证过程,则安全关联失败,用户无法上线。
4、(可选)
wapi { usk | msk } key-update { disable | time-based | packet-based | timepacket-based }
配置WAPI的USK和MSK的更新方式。缺省情况下,USK和MSK都是基于时间更新。
5、(可选)
wapi { usk-update-interval usk-interval | usk-update-packet usk-packet | usk-retrans-count usk-count }
配置USK的更新间隔、更新报文数和密钥协商报文重传次数。缺省情况下,USK更新间隔为86400s,USK更新报文数为10,USK密钥协商报文重传次数为3次。
6、(可选)
wapi { msk-update-interval msk-interval | msk-update-packet msk-packet | msk-retrans-count msk-count }
配置MSK的更新间隔、更新报文数和密钥协商报文重传次数。缺省情况下,MSK更新间隔为86400s,MSK更新报文数为10,MSK密钥协商报文重传次数为3次。
检查配置
display security-profile { all | { id profile-id | name profile-name } [ detail ] }
查看WLAN安全策略的配置信息。
display wapi certificate file-name file-name
查看导入的证书内容。