《H3CWX系列AC+FitAPPSK认证方式典型配置举例.doc》由会员分享,可在线阅读,更多相关《H3CWX系列AC+FitAPPSK认证方式典型配置举例.doc(10页珍藏版)》请在三一文库上搜索。
1、H3C WX系列 AC+Fit AP PSK 认证方式典型配置举例 关键词: PSK摘 要:随着无线网络应用的广泛普及,越来越多无线用户出现,使得无线安 全问题凸显出来,本配置举例可以实现利用预共享密钥认证方式对无线用户进行 控制,对无线数据机密进行保护。缩略语:缩略语英文全名中文解释ACAccess Controller无线控制器APAccess Point无线接入点PSKPreshared Key预共享密钥ClientClient无线客户端目录1 特性简介2 应用场合3 配置举例3.1 组网需求3.2 配置思路3.3 使用版本3.4 配置步骤3.4.1 配置 AC3.5 验证结果4 相关资
2、料4.1 相关协议和标准4.2 其它相关资料1 特性简介PSK( Preshared Key,预共享密钥)用来以预共享密钥的方式对无线用户的接入进行控制, 并能够动态产生密钥保护无线局域网中的授权用户所交换的数据的机密性, 防止这些数据被 随机窃听。2 应用场合PSK对无线报文的一种预共享密钥的认证方式和产生动态密钥对无线数据报文进行加密,该协议适用于接入设备与无线客户端点到点的连接方式。通过预共享密钥的方式来进行认证, 并产生动态密钥对数据进行加密。3 配置举例3.1 组网需求本配置举例中的 AC使用的是 WX5002无线控制器, AP使用的是 WA2100无线局域 网接入点。本配置举例通过
3、在 AC的 WLAN-ESS 40端口上启用 802.1x 认证来达到对接入点 Client进行控 制的目的。图 3-1 802.1x 远程认证组网图3.2 配置思路配置 PSK认证,需要配置以下内容:创建启用 PSK认证的服务模版在 AP 模版中引用该服务模版。3.3 使用版本<AC>display versionH3C Comware Platform SoftwareComware Software, Version 5.00, 0001Copyright (c) 2004-2007 Hangzhou H3CT ech. Co., Ltd. All rights reserv
4、ed.Compiled Jul 13 2007 14:32:12, RELEASE SOFTWAREH3C WX5002-128 uptime is 0 week, 2 days, 16 hours, 48 minutesCPU type: BCM MIPS 1250 700MHz512M bytes DDR SDRAM Memory32M bytes Flash MemoryPcbLogicBasic BootROM Version:Extend BootROM Version:SLOT 1CON(Cpld)1.0SLOT 1GE1/0/1(Cpld)1.0SLOT 1GE1/0/2(Cpl
5、d)1.0SLOT 1M-E1/0/1(Cpld)1.0Version: AVersion: 1.01.131.14(Hardware)A,(Hardware)A,(Hardware)A,(Hardware)A,(Driver)1.0(Driver)1.0,(Driver)1.0,(Driver)1.0,3.4 配置步骤3.4.1 配置 AC1. 配置信息<AC>display current-configuration#version 5.00, 0001#sysname AC#domain default enable cams#port-security enable#dot
6、1x authentication-method eap#vlan 1#dhcp server ip-pool 20network 20.1.1.0 mask 255.255.255.0#wlan service-template 40 cryptossid joe_pskbind WLAN-ESS 40authentication-method open-systemauthentication-method shared-keycipher-suite tkipsecurity-ie wpaservice-template enable#wlan rrm11a mandatory-rate
7、 6 12 2411a supported-rate 9 18 36 48 5411b mandatory-rate 1 211b supported-rate 5.5 1111g mandatory-rate 1 2 5.5 1111g supported-rate 6 9 12 18 24 36 48 54#interface NULL0#interface LoopBack0#interface Vlan-interface1ip address 20.1.1.200 255.255.255.0#interface Vlan-interface2ip address 8.1.1.1 25
8、5.255.255.0 #interface GigabitEthernet1/0/1# interface GigabitEthernet1/0/2port access vlan 2# interface M-Ethernet1/0/1# interface WLAN-ESS40port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase yuhongjoe undo dot1x multicast-trigger#wlan ap ap1 model WA2
9、100serial-id h3c000fe258e820radio 1 type 11gchannel 1 max-power 3 service-template 40 radio enable#dhcp enableload xml-configurationuser-interface aux 0user-interface vty 0 4 #return2. 主要配置步骤(1) 无线服务集设置 <AC>system-view# 创建 WLAN-ESS接口 40 。ACinterface wlan-ess 40AC-WLAN-ESS40quit# 创建 crypto 类型的服
10、务模板 40 。ACwlan service-template 40 crypto# 设置当前服务模板的 SSID(服务模板的标识)为 JOE_PSK。 AC-wlan-st-40ssid JOE_PSK# 将 WLAN-ESS40接口绑定到服务模板 40 。AC-wlan-st-40bind WLAN-ESS 40# 设置无线客户端接入该无线服务( SSID)的认证方式为开放式系统认证。 AC-wlan-st-40authentication-method open-system# 设置无线客户端接入该无线服务( SSID)的认证方式为共享密钥认证。AC-wlan-st-40authenti
11、cation-method shared-key# 使能 TKIP 加密套件。AC-wlan-st-40cipher-suite tkip# 配置信标和探查帧携带 WPA IE 信息。AC-wlan-st-40security-ie wpa# 使能服务模板。AC-wlan-st-40service-template enable AC-wlan-st-40quit(2) 无线接口配置# 使能端口安全功能。ACport-security enableACinterface WLAN-ESS 40# 配置无线端口 WLAN-ESS40的端口安全模式为 psk 。 AC-WLAN-ESS40port
12、-security port-mode psk# 在接口 WLAN-ESS40下使能 11key 类型的密钥协商功能。 AC-WLAN-ESS40port-security tx-key-type 11key# 在接口 WLAN-ESS40下配置预共享密钥为 yuhongjoe 。 AC-WLAN-ESS40port-security preshared-key pass-phrase yuhongjoe# 在接口 WLAN-ESS40上关闭 802.1X 的组播触发功能。 AC-WLAN-ESS40undo dot1x multicast-trigger AC-WLAN-ESS40quit3.5 验证结果(1) 在配置错误预共享密钥的情况下, Client 不能访问 Internet 上的资源。(2) 在配置正确预共享密钥的情况下,使用 Client 访问 Internet ,Client 可 以成功关联,并且可以正常访问 Internet 上的资源