WX系列AC动态WEP功能的配置
一、 组网需求:
WX系列AC、FIT AP、交换机、便携机(安装有无线网卡)、Radius Server
二、 组网图:
本配置举例中的AC使用的是WX5004无线控制器,AP从热点接入交换机Switch B,并通过DHCP方式获取IP地址。
Radius server的IP地址为8.100.0.4/8,AC的VLAN1接口IP地址为100.1.1.54/16,VLAN10接口的IP地址为100.10.1.54/16,AC和Radius Server之间路由可达。无线客户端关联后属于VLAN 10。
无线客户端接入网络后进行动态WEP认证。
三、 特性介绍:
WEP(Wired Equivalent Privacy,有线等效加密)用来保护WLAN中的授权用户所交换的数据的机密性,防止这些数据被随机窃听。WEP使用RC4加密算法(一种流加密算法)实现数据报文的加密保护。根据WEP密钥的生成方式,WEP加密分为静态WEP加密和动态WEP加密。
静态WEP加密要求手工指定WEP密钥,接入同一SSID下的所有无线客户端使用相同的WEP密钥。如果WEP密钥被破解或泄漏,攻击者就能获取所有密文。因此静态WEP加密存在比较大的安全隐患。并且手工定期更新WEP密钥会给网络管理员带来很大的设备管理负担。
动态WEP加密的自动密钥管理机制对原有的静态WEP加密进行了较大的改善。在动态WEP加密机制中,用来加密单播数据帧的WEP密钥并不是手工指定的,而是由无线客户端和服务器通过802.1X协议协商产生,这样每个无线客户端协商出来的WEP单播密钥都是不同的,提高了单播数据帧传输的安全性。动态WEP加密配合802.1X使用,在提供了用户身份认证的同时,也实现了对传输数据的安全保护。
动态WEP加密功能的特性优点显著,该功能的WEP密钥是由客户端和服务器通过802.1X协议协商产生,每个客户端协商出来的的WEP单播密钥都是不同的,提高了单播数据帧传输的安全性。
四、 主要配置步骤:
AC配置:
# 配置VLAN接口及其IP地址。
[AC] vlan 10
[AC-vlan10] quit
[AC] interface Vlan-interface 10
[AC-Vlan-interface10] ip address 100.10.1.54 255.255.0.0
[AC-Vlan-interface10] quit
[AC] interface Vlan-interface 1
[AC-Vlan-interface1] ip address 100.1.1.54 255.255.0.0
[AC-Vlan-interface1] quit
# 配置GE1/0/1和GE1/0/2加入VLAN。
[AC] interface GigabitEthernet 1/0/1
[AC-GigabitEthernet1/0/1] port hybrid vlan 1 to 10 tagged
[AC-GigabitEthernet1/0/1] quit
[AC] interface GigabitEthernet 1/0/2
[AC-GigabitEthernet1/0/2] port hybrid vlan 1 to 10 tagged
[AC-GigabitEthernet1/0/2] quit
# 配置到Radius服务器的静态路由。
[AC] ip route-static 0.0.0.0 0 100.1.1.254
# 配置认证域
[AC] radius scheme acs
[AC-radius-acs] primary authentication 8.100.0.4 key cipher testkey
[AC-radius-acs] quit
[AC] domain acs
[AC-isp-acs] authentication lan-access radius-scheme acs
[AC-isp-acs] authorization lan-access none
[AC-isp-acs] accounting lan-access none
[AC-isp-acs] quit
# 开启端口安全,配置EAP认证方式。
[AC] port-security enable
[AC] dot1x authentication-method eap
# 配置WLAN-ESS接口。
[AC] interface WLAN-ESS10
[AC-WLAN-ESS10] port link-type hybrid
[AC-WLAN-ESS10] port hybrid pvid vlan 10
[AC-WLAN-ESS10] mac-vlan enable
# 配置端口安全为802.1X方式
[AC-WLAN-ESS10] port-security port-mode userlogin-secure-ext
[AC-WLAN-ESS10] undo dot1x handshake
[AC-WLAN-ESS10] undo dot1x multicast-trigger
[AC-WLAN-ESS10] dot1x mandatory-domain acs
[AC-WLAN-ESS10] quit
# 在AC上配置动态WEP方式加密的无线服务
[AC] wlan service-template 11 crypto
[AC-wlan-st-11] ssid dweptest
[AC-wlan-st-11] bind WLAN-ESS 10
[AC-wlan-st-11] cipher-suite wep104
[AC-wlan-st-11] wep mode dynamic
[AC-wlan-st-11] service-template enable
[AC-wlan-st-11] quit
# 在AC的AP视图下配置AP名称为wa2210,型号名称这里选择WA2210-AG。请根据AP的实际型号和序列号进行配置。
[AC] wlan ap wa2210 model WA2210-AG
[AC-wlan-ap-wa2210] serial-id 210235A22W0079000278
# 进入AP的radio1射频视图,配置服务模板与射频1进行关联,使能AP的radio 1射频。
[AC-wlan-ap-wa2210] radio 1
[AC-wlan-ap-wa2210-radio-1] service-template 11 vlan-id 10
[AC-wlan-ap-wa2210-radio-1] radio enable
[AC-wlan-ap-wa2210-radio-1] quit
[AC-wlan-ap-wa2210] quit
客户端配置:
(1)配置网络SSID属性
选中网卡图标,右键选择“属性”,选择“无线网络配置”选项卡,添加一个无线网络,配置如下图所示。
(2)配置802.1X验证类型
在上图中选择“验证”选项卡,按照下图配置:
在上图中点击<属性>按钮,配置如下图所示:
在上图中点击<配置.>按钮,按照如下图所示配置后,单击<确定>按钮完成客户端的配置。
注:服务器端配置和EAP-PEAP认证配置方法相同,不再赘述。
五、 结果验证:
(1)无线客户端选择动态WEP加密,并进行802.1X认证,在AC上通过命令行display connection查看用户是否认证成功。
[AC] display connection
Index=2848,Username=test@acs
MAC=00-1E-C1-44-47-2E
IP=100.10.47.90
IPv6=N/A
Total 1 connection(s) matched.
(2)通过display connection ucibindex命令查看用户详细信息。
[AC] display connection ucibindex 2848
Index=2848, Username=test@acs
MAC=00-1E-C1-44-47-2E
IP=100.10.47.90
IPv6=N/A
Access=8021X ,AuthMethod=EAP
Port Type=Wireless-802.11,Port Name=WLAN-DBSS10:2046
Initial VLAN=1, Authorization VLAN=10
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2011-05-03 10:55:28 ,Current=2011-05-03 11:05:54 ,Online=00h10m25s
Total 1 connection matched.
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作