H3C WA系列 WPA2-PSK典型配置举例.doc

H3C WA 系列 WPA2-PSK 典型配置举例关键词：WPA2，PSK摘 要：随着无线网络应用的广泛普及，越来越多无线用户出现，使得无线 安全问题凸显出来， PSK 认证可以实现利用共享密钥的方式对无线用 户进行控制，对无线数据机密进行保护缩略语：缩略语英文全名中文解释WPA2Wi-Fi Protected Access version 2WPA 版本 2PSKpresharedKey共享密钥目 录1 特性简介2 应用场合3 配置举例3.1 组网需求3.2 配置思路3.3 使用版本3.4 配置 AP RSN 加密3.5 验证结果4 相关资料4.1 相关协议和标准4.2 其它相关资料1 特性简介特性简介802.11 协议提供的无线安全性能可以很好地抵御一般性网络攻击，但是仍有少 数黑客能够入侵无线网络，从而无法充分保护包含敏感数据的网络为了更好 的防止未授权用户接入网络，需要实施一种性能高于 802.11 的高级安全机制 为了克服以上问题，将 WLAN 安全特性合入 Comware 系统来增强系统的安全性和 健壮性，该特性通过检查 WLAN-MAC 的方式提供 802.11 客户端的安全接入。

2 应用场合应用场合当使用明文传输数据时，由于无线的开发性，其他无线用户能够窃听到所传输 的数据，这对用户的数据安全提出了挑战通过对数据进行加密，能够有效的 防止信息泄漏目前 WLAN 数据加密有 WEP、TKIP、CCMP 等方式TKIP、CCMP 相对于 WEP 来说，要安全的多WA 系列 AP 上，无论 WPA 网络还是 WAP2 网络， 都支持 TKIP 和 CCMP 两种加密方式或者混合加密 3 配置举例配置举例3.13.1 组网需求组网需求本配置举例中的 AP 使用的是 WA2200 无线局域网接入点本典型举例通过在 AP 的 WLAN-BSS 2 端口上启用 WPA2 加密和 PSK 认证来达到对 接入点 Client1 数据进行保护的目的图 3-1 AP PSK 认证组网图3.23.2 配置思路配置思路配置 WPA2 加密，需要配置以下内容： 创建启用 PSK 认证的无线口； 创建启用 RSN 加密的服务模版； 在射频口把服务模板和无线口绑定3.33.3 使用版本使用版本[AP]display versionH3C Comware Platform SoftwareComware Software, Version 5.20, 0001Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutesCPU type: AMCC PowerPC 266MHz64M bytes SDRAM Memory8M bytes Flash MemoryPcb Version: Ver.ABasic BootROM Version: 1.04Extend BootROM Version: 1.04[SLOT 1]CON (Hardware)Ver.A, (Driver)1.0[SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0[SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0[SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0[SLOT 1]ETH1/0/2 (Hardware)Ver.A, (Driver)1.03.43.4 配置配置 APAP RSNRSN 加密加密1.1. 配置文件配置文件display current-configuration#version 5.00, 0001#sysname AP#domain default enable system#port-security enable#vlan 1#radius scheme systemprimary authentication 127.0.0.1primary accounting 127.0.0.1key authentication h3ckey accounting h3caccounting-on enabledomain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#wlan service-template 2 cryptossid h3c-wpa2-pskauthentication-method open-systemcipher-suite ccmpsecurity-ie rsnservice-template enable# interface NULL0 #interface Vlan-interface1ip address 192.168.1.50 255.255.255.0#interface Ethernet1/0/1#interface Ethernet1/0/2#interface WLAN-BSS2port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678#interface WLAN-Radio1/0/1 #interface WLAN-Radio1/0/2service-template 2 interface wlan-bss 2#ip route-static 0.0.0.0 0.0.0.0 192.168.1.1#user-interface con 0user-interface vty 0 4#return2.2. 配置步骤配置步骤在 RSN 接入端（AP）配置 RSN(1) 启用 port-security[AP]port-security enable(2) 配置无线接口，认证方式为 PSK[AP]interface WLAN-BSS2# 配置无线端口 WLAN-BSS2 的端口安全模式为 psk。

[AP-WLAN-BSS2]port-security port-mode psk# 在接口 WLAN-BSS2 下使能 11key 类型的密钥协商功能[AP-WLAN-BSS2]port-security tx-key-type 11key# 在接口 WLAN-BSS2 下配置预共享密钥为 12345678[AP-WLAN-BSS2]port-security preshared-key pass-phrase 12345678(3) 配置无线服务模板（下面的 RSN 即 WPA2）# 创建一个 crypto 类型的服务模板 2[AP-wlan-rp-rp]wlan service-template 2 crypto# 设置服务模板 2 的 SSID 为 h3c-wpa2-psk[AP-wlan-st-2]ssid h3c-wpa2-psk# 使能开放式系统认证[AP-wlan-st-2]authentication-method open-system # 使能 CCMP 加密套件[AP-wlan-st-2] cipher-suite ccmp# 配置信标和探查帧携带 RSN IE 信息。

[AP-wlan-st-2] security-ie rsn# 使能服务模板 2[AP-wlan-st-2]service-template enable (4) 在射频口 WLAN-Radio 1/0/2 绑定无线服务模板 2 和无线口 WLAN-BSS 2[AP]interface WLAN-Radio 1/0/2[AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2(5) 配置 VLAN 虚接口 [AP1]interface Vlan-interface1[AP-Vlan-interface1]ip address 192.168.1.50 255.255.255.0(6) 配置缺省路由 [AP-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 3.53.5 验证结果验证结果(1) 配置客户端采用 RSN，CCMP 方式可以正常连接到 AP 上2) 调用 displaydisplay wlanwlan clientclient verboseverbose，可以看到连接的客户端确实是以 RSN，CCMP 方式连接上来的(Authentication Method:Open System，AKM Method: PSK，Encryption Cipher: CCMP)。

display wlan client verboseTotal Number of Clients : 1Total Number of Clients Connected : 1Client Information--------------------------------------------------------------------- ----- MAC Address : 0017-9a00-7b47AID : 376Radio Interface : WLAN-Radio1/0/2SSID : h3c-wpa2-pskBSSID : 000f-e2c0-0103VLAN : 1State : RunningPower Save Mode : ActiveWireless Mode : 11gQoS Mode : WMMListen Interval (Beacon Interval) : 10RSSI : 41SNR : -NA-Client Type : RSNAuthentication Method : Open SystemAKM Method : PSK4-Way Handshake State : PTKINITDONEGroup Key State : IDLEEncryption Cipher : CCMPRoam Status : NormalU。