H3C WX系列无线安全WAPI-标准证书方式的典型配置举例

1 特性简介

1.1   特性介绍

WAPI是无线局域网鉴别和保密基础结构的英文术语WLAN Authentication and Privacy  Infrastructure的首字母缩写。这是中国具有自主知识产权的802.11无线局域网络的用户身份认证和数据报文加解密的标准。

1.2  特性优点

本特性提供了标准鉴别模式：即基于WAPI标准协议的UDP模式。在该模式下，AP与AS之间的WAI协议报文将通过UDP方式进行传输，最终完成证书鉴别。该模式不支持对用户的计费功能。

2 应用场合

WAPI既可以应用到小型无线网络，也应用于大规模部署的无线网络。标准证书的认证方式，提供一种结合认证服务器实现的更高级别安全要求的认证机制。

3  注意事项

(1)         需要准备专用的无线网卡比如：西电捷通的WAPI无线网卡。

(2)         由于西电捷通的WAPI无线网卡，在通报WMM能力时存在误报现象，而导致连接上后数据不通的现象。为了避免该问题，需要把应用WAPI无线服务的AP的射频接口的WMM功能关闭。

(3)         使用IMC服务器做AS服务器，正确加载证书，完整配置相关项目。

4 配置举例

4.1  组网需求

AP 1和AP  2通过二层交换机与AC建立连接，STA  1和STA  2分别通过AP  1和AP  2接入WLAN。STA  1、STA  2、AP  1和AP  2都从DHCP服务器获取IP地址。WAPI系统采用证书鉴别方式中的标准鉴别模式，AP、CA和AS各自所使用的证书ap.cer、ca.cer和as.cer均已保存至AC；单播密钥和组播密钥的更新时间均为20000秒，关闭BK更新功能。

图4-1  本地WAPI-标准证书认证方式的组网图

4.2  配置思路

l              配置WAPI的标准证书方式。

l              正确配置客户端网卡。

l              正确配置IMC服务器

4.3  使用版本及配置文件

下载地址：http://pan.baidu.com/s/1gdOjNFl 密码：imh9

5 主要配置解释   

1.  主要配置步骤

# 创建PKI域pki1，在该域中禁止CRL检查（对导入的证书不进行有效期的检查，即默认此方式下用户证书有效），指定证书采用ECDSA签名算法，并配置外部实体as1采用手工导入证书方式。

<AC> system-view
[AC] pki domain pki1
[AC-pki-domain-pki1] crl check disable
[AC-pki-domain-pki1] signature-algorithm  ecdsa
[AC-pki-domain-pki1] peer-entity as1  import
[AC-pki-domain-pki1]  quit

# 分别导入证书文件ca.cer、as.cer和ap.cer。

[AC] pki import-certificate ca domain pki1 pem  filename ca.cer                (root.cer)
[AC] pki import-certificate peer-entity as1 domain  pki1 pem filename as.cer (root.cer)
[AC] pki import-certificate local domain pki1 pem  filename ap.cer             （ae.cer）

# 使能端口安全功能，并配置接口WLAN-ESS1的端口安全模式为WAPI模式。

[AC] port-security  enable
[AC] interface wlan-ess  1
[AC-WLAN-ESS1] port-security port-mode  wapi

# 在接口WLAN-ESS1上配置WAPI采用证书鉴别方式中的标准鉴别模式；指定AS的IP地址为10.10.1.3，并指定证书所属的PKI域为pki1、AS为as1。

[AC-WLAN-ESS1] wapi authentication method  certificate
[AC-WLAN-ESS1] wapi authentication mode standard
[AC-WLAN-ESS1] wapi authentication-server ip  10.10.1.3
[AC-WLAN-ESS1] wapi certificate domain pki1 authentication-server  as1

#  在接口WLAN-ESS1上关闭BK更新功能，并配置单播密钥和组播密钥的更新时间均为20000秒。

[AC-WLAN-ESS1] undo wapi bk rekey enable
[AC-WLAN-ESS1] wapi usk lifetime 20000
[AC-WLAN-ESS1] wapi msk-rekey method time-based  20000
[AC-WLAN-ESS1] quit

#  创建射频策略radio1。

[AC] wlan radio-policy 1
[AC-wlan-rp-radio1] undo wmm enable

#  创建类型为WAPI的服务模板1，配置其SSID为wapi1，绑定接口WLAN-ESS1，并使能该服务模板。

[AC] wlan service-template 1 wapi
[AC-wlan-st-1] ssid wapi1
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit

(1)   配置AP 1相关功能

#  创建型号为wa2200的AP管理模板ap1_002。

[AC] wlan ap ap1 model wa2210-AG
[AC-wlan-ap-ap1] serial-id 210235A29D0083000778

#  创建类型为11b的射频1，配置其与服务模板1关联，射频策略为radio1，并使能该射频。

[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio-policy 1
[AC-wlan-ap-ap1-radio-1] radio enable

6 配置IMC标准证书

参看4.3中下载的文档