WX3540X+wa6620X+本地转发模式
- 0关注
- 0收藏,68浏览
过程分为四个阶段:初始化连接、证书认证、密钥协商与IP获取、上线完成。每个步骤均包含字段解释(以加粗标注关键字段)。
终端完全上线详细过程
初始化连接(终端关联AP)
证书认证(AC与认证服务器交互)
密钥协商与IP获取(安全建立与网络接入)
上线完成(状态确认与在线维护)
关键注意事项
1. AP预上线阶段
WA6620X通过CAPWAP发现WX3540X并建立控制+数据隧道,AC将预配置的WAPI根证书、AP设备证书、SSID(绑定WAPI证书认证+本地转发VLAN)配置批量下发给AP,AP完成自身WAPI参数初始化。
2. 802.11关联阶段
终端发送Probe Request/Association Request报文,携带WAPI IE关键字段:包含WAPI版本号、认证类型标识(0x02代表证书认证)、协商加密套件(默认SMS4);AP返回Association Response完成无线链路关联,仅将后续WAPI认证控制报文通过CAPWAP控制隧道透传给AC,数据报文默认本地终结。
3. WAPI双向证书认证阶段
① AP发送「认证激活帧」:携带自身WAPI设备证书、用AP私钥生成的签名字段,终端用预置的WAPI根证书校验AP证书合法性,完成AP侧身份校验;
② 终端返回「证书认证请求帧」:携带终端自身WAPI用户证书、终端私钥生成的签名,AP将该报文透传给AC,AC通过本地证书池/对接的AAA服务器校验终端证书合法性,返回认证通过结果给AP。
4. 密钥派生阶段
终端与AP使用对方证书公钥加密协商生成基础密钥BK,派生PMK后进一步协商出单播加密密钥USK、组播加密密钥MSK,AP本地生成终端MAC-VLAN转发表项。
5. 数据转发阶段
终端所有业务数据由AP直接在本地完成802.11转802.3封装,从对应业务VLAN接口转发,不经过AC CAPWAP隧道,终端正式上线。
你好 有数据包的交互过程嘛
你好 有数据包的交互过程嘛
核心配置逻辑
1. 基础网络与 VLAN 规划
- VLAN 100:管理 VLAN,用于 AC 和 AP 之间的 CAPWAP 通信。
- VLAN 200:业务 VLAN,用于终端接入后的数据转发。
2. AC 侧详细配置过程
这是最关键的一步,我们需要在服务模板中指定安全策略为 WAPI。
# 进入系统视图
2system-view
3
4# 创建 WLAN 服务模板,假设 ID 为 1
5wlan service-template 1
6
7 # 配置 SSID 名称
8 ssid H3C_WAPI_Test
9
10 # 配置客户端转发模式为本地转发
11 # 这一步决定了数据流量直接从 AP 出去,不经过 AC
12 client forwarding-location ap
13
14 # 配置安全策略为 WAPI
15 # 注意:H3C 设备通常通过 security-ie 命令指定安全元素
16 security-ie wapi
17
18 # 配置 WAPI 的认证模式
19 # WAPI 支持预共享密钥(PSK)和证书(CERT)两种,这里选择证书模式
20 wapi authentication-method certificate
21
22 # 配置 WAPI 的密钥协商模式
23 # 通常使用 PSK 或 CERT 进行密钥协商,证书认证下通常配合证书协商
24 wapi key-management-mode certificate
25
26 # 配置 WAPI 的证书策略
27 # 这里需要指定 AC 或 AS 的证书,实际环境中通常需要导入证书文件
28 # 假设已经导入了名为 "wapi_cert" 的证书
29 wapi certificate-policy wapi_cert
30
31 # 开启服务模板
32 service-template enableclient forwarding-location ap:这是本地转发的核心指令。它告诉 AP,终端的数据包不需要封装在 CAPWAP 隧道里发给 AC,而是直接由 AP 打上 VLAN 标签转发到有线网络。security-ie wapi:指定安全信息元素(Security Information Element)为 WAPI。这会在 Beacon 帧中宣告该网络使用 WAPI 安全机制,而非 WPA/WPA2。wapi authentication-method certificate:指定鉴别方法为证书模式。这会触发 WAPI 的三元对等鉴别流程,即 STA、AP 和 AS 三方交互。
我们需要将上述模板应用到具体的 WA6620X AP 上。
1# 创建 AP 并指定型号
2wlan ap WA6620X-Office model WA6620X
3 # 设置 AP 的序列号(通过查看 AP 底部标签获取)
4 serial-id 219801A28N819CE0002T
5
6 # 创建 AP 组(可选,但推荐用于批量管理)
7 # 将 AP 加入 AP 组
8 ap-group group1
9 ap WA6620X-Office
10
11 # 在 AP 组中绑定无线服务模板到射频接口
12 # 假设使用 Radio 2 (5GHz) 或 Radio 1 (2.4GHz)
13 ap-model WA6620X
14 radio 2
15 # 绑定服务模板 1,并指定业务 VLAN 为 200
16 # 在本地转发模式下,这里的 vlan 参数非常重要,它决定了数据包的 Tag
17 service-template 1 vlan 200
18
19 # 开启射频
20 radio enableservice-template 1 vlan 200:在本地转发模式下,这个命令不仅绑定了 SSID,还告诉 AP:“当有数据从这个 SSID 进来时,请给它打上 VLAN 200 的标签,然后从你的以太网口发出去”。
3. 交换机侧配置(配合本地转发)
1# 连接 AP 的端口配置
2interface GigabitEthernet 1/0/1
3 # 端口类型设为 Trunk
4 port link-type trunk
5 # 允许管理 VLAN 100 和业务 VLAN 200 通过
6 port trunk permit vlan 100 200
7 # 设置 PVID 为管理 VLAN(视具体组网而定,通常 AP 管理流量不带标签)
8 port trunk pvid vlan 100终端上线与认证交互流程(字段级解析)
- 信标帧(Beacon Frame)广播:
- AP 广播 SSID
H3C_WAPI_Test。 - 关键字段:
RSN IE(鲁棒安全网络信息元素)中会包含 WAPI 的标识符(OID),而不是常见的 WPA2 标识。
- AP 广播 SSID
- 关联与鉴别激活:
- STA 发送关联请求。
- AP 收到后,发送鉴别激活(Authentication Activate)帧,告知 STA 需要开始 WAPI 鉴别流程。
- 证书鉴别(三元对等):
- STA -> AP:STA 发送接入鉴别请求,携带 STA 的公钥证书。
- AP -> AS:AP 将 STA 的证书、AP 自己的证书以及 AP 的私钥签名,封装在 CAPWAP 控制报文中发送给 AC(如果 AC 充当 AS 代理)或直接发送给外部 AS 服务器。
- AS 验证:AS 服务器验证 STA 和 AP 的证书是否合法(是否由受信任的 CA 签发,是否在有效期内)。
- AS -> AP:AS 返回鉴别响应,包含验证结果(成功/失败)。
- 密钥协商(单播密钥协商):
- 鉴别通过后,STA 和 AP 进行密钥协商。
- 双方各自生成随机数,使用对方的公钥加密后交换。
- 结果:双方生成相同的会话密钥(Session Key),用于后续数据的加解密(WPI 协议)。
- 数据转发(本地模式):
- 认证完成后,终端获取 IP(通过 VLAN 200 的 DHCP)。
- 数据流:终端数据 -> AP(解密) -> 交换机(VLAN 200) -> 网关。此过程不经过 WX3540X 的数据平面,仅利用 AC 进行初始的控制管理。
你好 有数据包的交互过程嘛
你好 有数据包的交互过程嘛
找到了,WAPI标准证书认证案例 1.14.2 标准证书认证配置举例
ok 3q
ok 3q
下面按本地转发(WX3540X+WA6620X,WAPI 证书认证)给出终端从开机到完全上线的逐阶段流程 + 关键字段解释,含 802.11 链路、WAPI 证书鉴别、密钥协商、IP 获取、安全会话建立,直到业务数据通。
一、前提与角色说明(本地转发)
AC(WX3540X):负责 WAPI 认证、证书校验、密钥协商、用户管理;不转发业务数据。
AP(WA6620X):本地转发,负责无线帧收发、802.11 链路、WAPI 报文透传 / 终结、业务 VLAN 转发。
ASU(Authentication Service Unit,鉴别服务器):部署 PKI,签发 / 管理终端、AC、AP 证书;负责 WAPI 证书鉴别。
STA(无线终端):支持 WAPI 证书,内置终端证书。
关键模式:本地转发 =WAPI 控制集中(AC/ASU)、数据本地(AP)。
二、阶段 1:无线扫描与 802.11 链路建立(无加密)
1.1 扫描(被动 / 主动)
Beacon 帧(AP→STA,周期性)
SSID:WAPI 业务 SSID(如 wapi-local)
BSSID:AP 射频 MAC
WAPI IE(信息元素):WAPI Capability=1(支持 WAPI)、AKM Suite=WAPI、Pairwise Suite=SMS4、Group Suite=SMS4
Probe Request(STA→AP,主动扫描):携带 SSID,请求 WAPI 能力。
Probe Response(AP→STA):同 Beacon,确认 WAPI 支持。
1.2 802.11 链路认证(开放认证)
Authentication Request(STA→AP,Open System)
字段:Auth Algorithm=0(开放)、Seq=1
Authentication Response(AP→STA)
字段:Status Code=0(成功)、Seq=2
1.3 关联(Association)
Association Request(STA→AP)
关键字段:
SSID:目标 WAPI SSID
WAPI IE:选择 WAPI 证书认证(AKM=WAPI-Cert)
Supported Rates:速率集
AID=0(待分配)
Association Response(AP→STA)
关键字段:
Status Code=0:关联成功
AID=1~2007:AP 分配的终端标识(本地转发用)
WAPI IE:确认证书认证套件
本地转发关键:AP 此时已生成本地转发表项(MAC→VLAN→端口),但未加密、未授权,不能转发业务。
三、阶段 2:WAPI 证书鉴别(核心,AC+ASU 参与)
2.1 认证激活(AP→STA,WAI 协议)
方向:AP→STA(由 AC 触发,本地转发下 AP 透传 AC 指令)
作用:启动证书交换,下发 AC 证书与随机挑战。
关键字段:
Type=WAI Auth Activation
R1(Random1):AP/AC 生成随机数,防重放
AC Cert:AC 的 X.509 证书(含 AC 公钥、有效期、CA 签名)
ASU IP:鉴别服务器地址(终端需校验 ASU 证书)
2.2 证书鉴别请求(STA→AP→AC→ASU)
方向:STA→AP(本地转发,AP 透传至 AC)
关键字段:
Type=WAI Cert Auth Request
STA Cert:终端 X.509 证书(含终端公钥)
R2(Random2):终端随机数,双向认证用
Signature1:终端用自身私钥对(R1+R2+AC Cert)签名,防篡改
2.3 ASU 证书校验与响应(ASU→AC→AP→STA)
AC→ASU:封装 RADIUS 报文,转发 STA Cert、AC Cert、R1、R2、Signature1
ASU 校验:
验证 AC Cert 合法性(CA 签名、有效期)
验证 STA Cert 合法性
用 AC 公钥验签 Signature1,确认 R1/R2 未篡改
ASU→AC(Cert Auth Response)
关键字段:
Status=Success
BK(Base Key,基础密钥):ASU 生成,由 AC 与 STA 证书公钥加密,仅 AC/STA 可解密
Signature2:ASU 私钥对 BK/R1/R2 签名
AC→AP→STA:透传响应,STA 用 ASU 公钥验签,解密 BK。
2.4 结果
认证状态(AC/AP 显示):Authenticated
本地转发影响:AP 此时允许 WAPI 控制帧通过,但业务数据仍阻塞,需等密钥协商。
四、阶段 3:单播密钥协商(USK,STA↔AP,本地终结)
3.1 USK 协商请求(STA→AP)
基于 BK 推导PMK(Pairwise Master Key)
关键字段:
Type=USK Negotiation Request
R3:STA 随机数
PMKID:PMK 摘要,标识密钥上下文
3.2 USK 协商响应(AP→STA)
AP 用 BK 推导相同 PMK,生成R4
关键字段:
Type=USK Negotiation Response
R4:AP 随机数
USK(Unicast Session Key):由 PMK+R3+R4 通过 KDF 生成,单播数据加密密钥(SMS4)
MIC:消息完整性校验码,防篡改
3.3 密钥确认(STA→AP)
STA 生成并校验 USK,发送确认。
状态:USK Established(AC/AP 显示)
本地转发关键:AP 生成单播加密表项(AID→USK→MAC),后续单播数据用 USK 加密。
五、阶段 4:组播密钥通告(MSK,AP→STA,本地终结)
4.1 MSK 通告(AP→STA)
AP 生成MSK(Multicast Session Key),用于广播 / 组播加密。
关键字段:
Type=MSK Announcement
MSK:组播密钥(SMS4)
MIC:用 USK 加密校验,确保仅合法终端可解密
4.2 结果
状态:MSK Established(AC/AP 显示)
本地转发关键:AP 生成组播加密表项(BSSID→MSK),广播 / 组播用 MSK 加密。
六、阶段 5:IP 地址获取(DHCP,本地转发)
DHCP Discover(STA→AP→本地 VLAN→DHCP Server):源 MAC 为 STA MAC,目标广播。
DHCP Offer/Request/Ack:AP 本地转发至业务 VLAN,DHCP 服务器分配 IP、网关、DNS。
本地转发表项更新:AP 添加(STA MAC→IP→VLAN)绑定,此时终端可收发 IP 报文,但加密未完全生效。
七、阶段 6:授权与会话建立(AC 控制,本地放行)
7.1 授权请求(AC→AP)
AC 确认认证 / 密钥成功,下发授权指令给 AP。
关键字段:VLAN ID、QoS Profile、Access Control List
7.2 本地转发放行(AP 生效)
AP 将 STA 从 **“未授权 / 阻塞” 状态转为“已授权 / 转发” 状态 **。
最终状态(AC/AP 显示):
plaintext
Current state : Online
Authentication state : Authenticated
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Success
八、阶段 7:业务数据通信(本地转发,加密)
上行(STA→外网):STA 用 USK 加密→AP 解密→本地 VLAN 转发→交换机→外网。
下行(外网→STA):外网→交换机→AP→用 USK 加密→STA 解密→接收。
广播 / 组播:AP 用 MSK 加密发送,终端解密接收。
九、关键字段与状态汇总(便于排查)
常用状态(display wlan user)
表格
状态 含义
Init 初始,未关联
Auth 关联完成,WAPI 认证中
USK 单播密钥协商中
MSK 组播密钥通告中
Online 完全上线,可转发
WAPI 核心字段
BK:基础密钥,ASU 生成,证书认证核心。
PMK:由 BK 推导,密钥协商根密钥。
USK:单播会话密钥,STA-AP 加密。
MSK:组播会话密钥,广播 / 组播加密。
R1/R2/R3/R4:随机数,防重放 / 中间人攻击。
十、本地转发与集中转发的核心区别
集中转发:WAPI 认证 + 密钥协商 + 数据转发均经 AC,AP 仅无线收发。
本地转发:WAPI 认证 / 密钥协商由 AC/ASU 控制,数据转发在 AP 本地完成,AC 不转发业务,延迟更低、吞吐量更高。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明