当前位置:2019年全年资料免费公开i > 缺省共享 >

WLAN安全配置

  为了更好的防止未授权用户接入网络,需要实施性能高于802.11认证的高级安全机制。安全性高于802.11认证的WLAN安全机制有以下几种:链路认证方式、WLAN服务的数据安全和用户接入认证。

  开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。开放系统认证包括两个步骤:

  共享密钥认证是除开放系统认证以外的另外一种认证机制。共享密钥认证需要无线客户端和无线设备端配置相同的共享密钥。

  无线客户端先向无线设备端发送认证请求,无线设备端会随机产生一个Challenge包(即一个字符串)发送给客户端。

  无线客户端会将接收到的字符串拷贝到新的消息中,用密钥加密后再发送给无线设备端。

  无线设备端接收到该消息后,用密钥将该消息解密,然后对解密后的字符串和最初给客户端的字符串进行比较。

  如果相同,则说明客户端拥有无线设备端相同的共享密钥,即通过了Shared Key认证,否则Shared Key认证失败。

  相对于有线网络,WLAN网络存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介,如果传输媒介和传输链路没有采取适当的加密保护,使用上的风险就会大幅增加,并直接威胁到WLAN接入数据的安全。

  802.11协议也在致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护。

  PSK认证需要在无线客户端和设备端配置相同的预共享密钥,如果密钥相同,PSK接入认证成功;如果密钥不同,PSK接入认证失败。

  802.1x协议是一种基于端口的网络接入控制协议。“基于端口的网络接入控制”是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源。

  MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。

  SPU支持的WLAN安全特性包括接入安全策略管理、STA(Station )黑白名单管理及用户隔离管理。

  用户隔离功能是指关联到同一个AP上的所有无线用户之间的二层报文相互不能转发,从而使无线用户之间不能直接进行通讯。

  SPU支持通过在服务集下配置用户隔离、及在WLAN-ESS口下配置端口隔离两种方式,实现关联到同一AP上的无线用户的二层隔离功能。

  无线局域网由于信道开放的特点,使得攻击者能够很容易的进行窃听,用户信息被恶意的修改并转发。为了更好的防止未授权用户接入网络,WLAN提供了一些安全策略。根据安全级别的不同,可以选择不同的安全策略。

  WEP的密钥可以配置4个,在认证或者加密时只使用一个,使用此命令来指定使用哪一个密钥。

  如果接入安全策略采用WPA/WPA2 Dot1x认证,必须在WLAN-ESS接口将端口安全认证方式配置为802.1X方式。

  配置WAPI使用的认证方式,WAPI的认证方式支持基于证书和基于预共享密钥两种,当用户选择基于预共享密钥时,需要输入共享密钥。

  缺省情况下,MSK更新间隔为86400s,MSK更新报文数为10000,MSK密钥协商报文重传次数为3次。

  缺省情况下,USK更新间隔为86400s,USK更新报文数为10000,USK密钥协商报文重传次数为3次。

  通过配置STA黑白名单功能,实现更简单、更灵活的控制某个AP下的STA接入WLAN网络。

  用户如果想让某些STA不能访问WLAN网络,可以将其加入STA黑名单列表中;如果仅想让某些STA访问WLAN网络,可以将其加入STA白名单列表中。

  用户隔离功能是指关联到同一个AP上的所有无线用户之间的二层报文相互不能转发,从而使无线用户之间不能直接进行通讯,使得用户流量集中至网关转发,便于对该用户进行计费等管理。

  在各类公共场合以及网络运营商、大中型企业、金融机构等环境中,有些用户需要在热点公共地区(如机场、咖啡店等)通过无线接入Internet,因此用户认证问题就显得至关重要。如果不能准确可靠地进行用户认证,非法用户就可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服务质量,并给无线接入服务提供商带来不可接受的损失。无线用户二层隔离功能结合IEEE802.11i、RADIUS的用户认证以及计费方式可以给用户提供专业级的安全保障。

  如图3-3所示,配置用户隔离后,Client 1~Client 4之间不能直接互通。

  如果AP与AC之间采用数据直接转发方式,则仅需要在服务集下配置用户隔离。

  如果AP与AC之间采用数据隧道转发方式,则需要同时在服务集和WLAN-ESS接口下配置用户隔离。

  如图3-4所示,AP1和AP2为接入用户提供WLAN服务,用户可以搜索到5个无线网络,分别提供不同的用户接入安全策略,要求:

  SSID为huawei-1的无线网络的WLAN服务采用开放式系统认证+不加密。

  SSID为huawei-2的无线网络的WLAN服务采用共享密钥认证+WEP-40加密。

  配置前请确保AC与ASU Server和RADIUS Server间路由可达。

  配置安全模板security-5的安全策略时,请确保AC认证证书huawei-ac.cer,ASU认证证书huawei-asu.cer,Issuer认证证书huawei-asu.cer,AC的私钥证书huawei-ac.cer均已保存至AC。

  创建接入安全模板,并配置各种接入安全策略,实现各SSID网络下接入的STA采用不同的安全策略。

  创建服务集,并在服务集下绑定接入安全模板和SSID,实现服务集和接入安全策略、SSID的关联。

  创建VAP并下发,实现各SSID网络下接入的STA,根据采用的不同安全策略均可正常访问WLAN网络。

  操作步骤中的前三步与WLAN基本业务的配置示例相同,不再赘述,具体请参见1.9.1 配置WLAN基本业务示例。

  配置安全模板security-3的安全策略时,需配置WPA使用dot1x认证方式和相应的加密方式。

  配置安全模板security-4的安全策略时,需配置WPA2使用dot1x认证方式和相应的加密方式。

  #安全模板采用WEP共享密钥认证,WEP-40方式,密钥短语为12345。

  如图3-5所示,现有网络中AC连接上层网络,并通过接入交换机连接管理AP。

  由于无线网络开放性的特点,若无线网络不采取适当的安全策略,用户数据就存在安全风险。用户希望通过配置WEP认证,初步保护无线网络中的数据安全。

  配置AC的基本功能,包括配置AC运营商标识和ID、AC与AP之间通信的源接口,实现AC作为DHCP Server功能。

  配置WLAN-ESS接口,并在服务集下绑定该接口,实现无线侧报文到达AC后能够送至WLAN业务处理模块功能。

  配置AP对应的射频模板,并在射频下绑定该模板,实现STA与AP之间的无线通信参数配置。

  配置AP对应的服务集,并在服务集下配置数据直接转发模式,绑定安全模板、流量模板,实现STA接入网络安全策略及QoS控制。

  # 使接入交换机透传所有的业务VLAN,由交换机给AP管理报文打tag

  需要将所有二层交换机在AP管理VLAN和业务VLAN内的下行口上配置端口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。

  端口隔离功能未开启时,建议从接入交换机到AC之间的所有网络设备的接口都配置undo port trunk allow-pass vlan 1,防止引起报文冲突,占用端口资源。

  # 配置汇聚交换机连接接入交换机的以太网端口GE2/0/1所有业务和管理VLAN

  根据实际组网情况在汇聚交换机上行口配置业务VLAN透传,和上行网络设备互通。

  # 配置汇聚交换机上连接AC的XGE1/0/0接口透传所有业务和管理VLAN

  如图3-9所示,现有网络中AC连接上层网络中的Radius服务器,并通过接入交换机连接管理AP。

  若在无线网络中采取简单的安全策略,并不能完全保证无线网络的安全,无线网络中的加密数据还是存在被破解的风险。企业希望利用Radius服务器在无线X认证,完全保证无线网络安全。

  创建802.1X认证时使用的域,并在域中引用RADIUS方案作为AAA的认证方案。

  配置AC的基本功能,包括配置AC运营商标识和ID、AC与AP之间通信的源接口,实现AC作为DHCP Server功能。

  配置WLAN-ESS接口,并在服务集下绑定该接口,实现无线侧报文到达AC后能够送至WLAN业务处理模块功能。

  配置AP对应的射频模板,并在射频下绑定该模板,实现STA与AP之间的无线通信参数配置。

  配置AP对应的安全模板,配置安全策略为WPA+802.1X+PEAP+CCMP。

  配置AP对应的服务集,并在服务集下配置数据直接转发模式,绑定安全模板、流量模板,实现STA接入网络安全策略及QoS控制。

  请确保RADIUS服务器地址、端口号、共享密钥配置正确,并且和RADIUS服务器保持一致。

  建议采用CCMP加密方式,TKIP和WEP加密机制都是使用RC4算法,安全性较低。

  端口隔离功能未开启时,建议从接入交换机到AC之间的所有网络设备的接口都配置undo port trunk allow-pass vlan 1,防止引起报文冲突,占用端口资源。

  # 配置汇聚交换机连接接入交换机的以太网端口GE2/0/1所有业务和管理VLAN

  根据实际组网情况在汇聚交换机上行口配置业务VLAN透传,和上行网络设备互通。

  # 配置汇聚交换机上连接AC的XGE1/0/0接口透传所有业务和管理VLAN

  如图3-14所示,现有网络中AC连接Portal服务器和RADIUS服务器,并通过接入交换机连接管理AP。

  端口隔离功能未开启时,建议从接入交换机到AC之间的所有网络设备的接口都配置undo port trunk allow-pass vlan 1,防止引起报文冲突,占用端口资源。

  # 包括配置RADIUS计费和认证服务器的IP地址和端口号,以及AC与RADIUS服务器交互报文时的共享密钥。

  # 测试用户是否能够通过RADIUS模板的认证。(已在RADIUS服务器上配置了测试用户,用户密码123456)

  # 包括配置Portal服务器的IP地址192.168.40.3,Portal认证服务器用来接收AC发送的通知报文的端口号50100,AC与Portal服务器交互报文时的共享密钥以及HTTP重定向对应的URL为。

  如图3-15所示,现有网络中AC连接RADIUS服务器,并通过接入交换机连接管理AP。

  本配置通过在AC的WLAN-ESS接口上启用MAC认证来实现对STA进行控制的目的。

  端口隔离功能未开启时,建议从接入交换机到AC之间的所有网络设备的接口都配置undo port trunk allow-pass vlan 1,防止引起报文冲突,占用端口资源。

  # 配置汇聚交换机连接接入交换机的以太网端口GE2/0/1所有业务和管理VLAN

  根据实际组网情况在汇聚交换机上行口配置业务VLAN透传,和上行网络设备互通。

  # 配置汇聚交换机上连接AC的XGE1/0/0接口透传所有业务和管理VLAN

  包括配置RADIUS主用认证服务器的IP地址和端口,配置系统与RADIUS认证服务器交互报文时的共享密钥huawei,配置发送给RADIUS服务器的用户名不得携带域名。

http://bylaurene.com/queshenggongxiang/129.html
点击次数:??更新时间2019-06-03??【打印此页】??【关闭
  • Copyright © 2002-2017 DEDECMS. 织梦科技 版权所有  
  • 点击这里给我发消息
在线交流 
客服咨询
【我们的专业】
【效果的保证】
【百度百科】
【因为有我】
【所以精彩】