In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie Sie die Layer-2-Sicherheit des Wi-Fi 6E-WLAN konfigurieren und was Sie von verschiedenen Clients erwarten können.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Das Wichtigste ist, dass Wi-Fi 6E kein völlig neuer Standard ist, sondern eine Erweiterung. An seiner Basis ist Wi-Fi 6E eine Erweiterung des Wireless-Standards Wi-Fi 6 (802.11ax) in das 6-GHz-Frequenzband.
Wi-Fi 6E basiert auf Wi-Fi 6, der neuesten Generation des Wi-Fi-Standards, aber nur Wi-Fi 6E-Geräte und -Anwendungen können im 6-GHz-Band betrieben werden.
Wi-Fi 6E erhöht die Sicherheit mit Wi-Fi Protected Access 3 (WPA3) und Opportunistic Wireless Encryption (OWE), und es gibt keine Abwärtskompatibilität mit Open- und WPA2-Sicherheit.
WPA3 und Enhanced Open Security sind jetzt für die Wi-Fi 6E-Zertifizierung obligatorisch, und für Wi-Fi 6E ist auch Protected Management Frame (PMF) sowohl auf dem Access Point als auch auf den Clients erforderlich.
Bei der Konfiguration einer 6-GHz-SSID müssen bestimmte Sicherheitsanforderungen erfüllt werden:
WPA3 wurde entwickelt, um die Wi-Fi-Sicherheit zu verbessern, indem eine bessere Authentifizierung über WPA2 ermöglicht wird, wodurch die kryptografische Stärke erweitert und die Ausfallsicherheit kritischer Netzwerke erhöht wird.
WPA3 zeichnet sich durch folgende Hauptfunktionen aus:
Bei WPA3 geht es um kontinuierliche Sicherheitsentwicklung, Konformität und Interoperabilität.
Es gibt kein Informationselement, das WPA3 (identisch mit WPA2) bezeichnet. WPA3 wird durch AKM/Cipher Suite/PMF-Kombinationen definiert.
Für die WLAN-Konfiguration des 9800 stehen vier verschiedene WPA3-Verschlüsselungsalgorithmen zur Verfügung.
Sie basieren auf Galois/Counter Mode Protocol (GCMP) und Counter Mode with Cipher Block Chaining Message Authentication Code Protocol (CCMP): AES (CCMP128), CCMP256, GCMP128 und GCMP256:
PMF
PMF wird in einem WLAN aktiviert, wenn Sie PMF aktivieren.
Standardmäßig sind 802.11-Management-Frames nicht authentifiziert und daher nicht vor Spoofing geschützt. Infrastructure Management Protection Frame (MFP) und 802.11w Protected Management Frames (PMF) bieten Schutz vor solchen Angriffen.
Verwaltung von Authentifizierungsschlüsseln
Folgende AKM-Optionen sind in der Version 17.9.x verfügbar:
Beachten Sie, dass in der GUI kein Wert für "FT + 802.1x-SHA256" angegeben ist. Der Grund dafür ist:
Wenn Sie nur einen FT-Client unterstützen möchten, können Sie eine WPA3-SSID mit nur "FT+802.1x" verwenden. Wenn Sie sowohl FT- als auch Nicht-FT-Clients unterstützen möchten, können Sie eine WPA3 SSID mit FT+802.1x und 802.1x-SHA256 verwenden.
Zusammenfassend lässt sich sagen, dass es für FT auf 802.1x für WPA3 keinen anderen AKM gibt, da der vorhandene AKM bereits WPA3-kompatibel war.
Die nachfolgende Tabelle zeigt die verschiedenen AKM-Werte, die im Dokument IEEE-Standard 802.11™-2020 definiert sind.
Bitte beachten Sie, dass AKM 8 und 9 mit SAE verwendet werden, AKM 1,3,5,11 nur für den WPA3-Enterprise- oder WPA3-Enterprise-Übergang, AKM 12,13 für WPA3-Enterprise mit 192-Bit und AKM 18 für Enhanced Open (OWE).
OUI |
Suite-Typ |
Authentifizierungstyp |
Beschreibung |
00 - 0 °C |
0 |
Reserviert |
Reserviert |
00 - 0 °C |
1 |
Standard 802.1x - SHA1 |
Authentifizierung gemäß IEEE-Standard 802.1X mit Unterstützung von SHA1 |
00 - 0 °C |
2 |
PSK - SHA-1 |
Pre-Shared Key mit Unterstützung von SHA1 |
00 - 0 °C |
3 |
FT über 802.1x - SHA256 |
Fast Transition-Authentifizierung, ausgehandelt über IEEE-Standard 802.1X mit Unterstützung von SHA256 |
00 - 0 °C |
4 |
FT über PSK - SHA256 |
Fast Transition-Authentifizierung mit PSK-Unterstützung für SHA-256 |
00 - 0 °C |
5 |
Standard 802.1x - SHA256 |
Authentifizierung gemäß IEEE-Standard 802.1X |
00 - 0 °C |
6 |
PSK - SHA256 |
Pre-Shared Key, der SHA256 unterstützt |
00 - 0 °C |
7 |
TDLS |
TPK Handshake zur Unterstützung von SHA256 |
00 - 0 °C |
8 |
SAE SHA256 |
Gleichzeitige Authentifizierung von Equals mit SHA256 |
00 - 0 °C |
9 |
FT über SAE - SHA256 |
Schneller Übergang über die gleichzeitige Authentifizierung von Equals mithilfe von SHA256 |
00 - 0 °C |
10 |
APPeerKey-Authentifizierung - SHA256 |
APPeerKey-Authentifizierung mit SHA-256 |
00 - 0 °C |
11 |
Standard 802.1x Suite B - SHA256 |
Authentifizierung gemäß IEEE-Standard 802.1X mithilfe einer Suite B-konformen EAP-Methode, die SHA-256 unterstützt |
00 - 0 °C |
12 |
Standard 802.1x Suite B - SHA384 |
Authentifizierung gemäß IEEE-Standard 802.1X mithilfe einer CNSA Suite-konformen EAP-Methode, die SHA384 unterstützt |
00 - 0 °C |
13 |
FT über 802.1x - SHA384 |
Fast Transition-Authentifizierung, ausgehandelt über IEEE-Standard 802.1X mit Unterstützung von SHA384 |
00 - 0 °C |
14 |
FILS mit SHA256 und AES-SIV-256 |
Schlüsselverwaltung über FILS mit SHA-256 und AES-SIV-256 oder Authentifizierung über IEEE-Standard 802.1X |
00 - 0 °C |
15 |
FILS mit SHA384 und AES-SIV-512 |
Schlüsselverwaltung über FILS mit SHA-384 und AES-SIV-512 oder Authentifizierung über IEEE-Standard 802.1X |
00 - 0 °C |
16 |
FT über FILS (SHA256) |
Fast Transition-Authentifizierung über FILS mit SHA-256 und AES-SIV-256 oder Authentifizierung über IEEE-Standard 802.1X |
00 - 0 °C |
17 |
FT über FILS (SHA384) |
Fast Transition-Authentifizierung über FILS mit SHA-384 und AES-SIV-512 oder Authentifizierung über IEEE-Standard 802.1X |
00 - 0 °C |
18 |
Reserviert |
Für OWE von WiFi Alliance verwendet |
00 - 0 °C |
19 |
FT über PSK - SHA384 |
Schnelle Übergangsauthentifizierung mit PSK mit SHA384 |
00 - 0 °C |
20 |
PSK-SHA384 |
Pre-Shared Key mit Unterstützung für SHA384 |
00 - 0 °C |
21-255 |
Reserviert |
Reserviert |
00 - 0 °C |
Beliebig |
Herstellerspezifisch |
Herstellerspezifisch |
Beachten Sie, dass einige AKM "SuiteB", die eine Reihe von kryptographischen Algorithmen (um 128 Bit und 192 Bit Sicherheitsstärke) definiert durch NSA (National Security Agency) im Jahr 2005. Im Jahr 2018 ersetzte die NSA Suite B durch CNSA (Commercial National Security Algorithm Suite), um eine Mindestsicherheit von 192 Bit zu gewährleisten. Der WPA3-Enterprise-192-Bit-Modus verwendet die AES-256-GCMP-Verschlüsselung und verwendet die unten aufgeführten, von CNSA genehmigten Verschlüsselungsreihen:
SCHULD
Opportunistic Wireless Encryption (OWE) ist eine Erweiterung von IEEE 802.11 für die Verschlüsselung des Wireless-Mediums (IETF RFC 8110). Der Zweck der OWE-basierten Authentifizierung besteht in der Vermeidung offener, ungesicherter Wireless-Verbindungen zwischen den APs und Clients. Der OWE verwendet die auf dem Diffie-Hellman-Algorithmus basierende Verschlüsselung, um die Wireless-Verschlüsselung einzurichten. Mit OWE führen der Client und AP während des Zugriffsvorgangs einen Diffie-Hellman-Schlüsselaustausch durch und verwenden den resultierenden paarweisen Master Key (PMK)-Schlüssel mit dem 4-Wege-Handshake. Die Verwendung von OWE erhöht die Sicherheit von Wireless-Netzwerken in Bereitstellungen, in denen offene oder gemeinsam genutzte PSK-basierte Netzwerke bereitgestellt werden.
SAE
WPA3 verwendet einen neuen Authentifizierungs- und Schlüsselverwaltungsmechanismus, der als Simultane Authentifizierung von Equals bezeichnet wird. Dieser Mechanismus wird durch den Einsatz von SAE Hash-to-Element (H2E) weiter verbessert.
SAE mit H2E ist für WPA3 und Wi-Fi 6E obligatorisch.
SAE verwendet eine diskrete Logarithmuskryptographie, um einen effizienten Austausch auf eine Weise durchzuführen, die eine gegenseitige Authentifizierung mit einem Passwort ermöglicht, das wahrscheinlich gegen einen Offline-Wörterbuchangriff resistent ist.
Bei einem Angriff auf ein Offline-Wörterbuch versucht ein Angreifer, ein Netzwerkkennwort zu ermitteln, indem er mögliche Kennwörter ohne weitere Netzwerkinteraktion ausprobiert.
Wenn der Client eine Verbindung mit dem Access Point herstellt, führt er einen SAE-Austausch durch. Bei Erfolg erstellen sie jeweils einen kryptographisch starken Schlüssel, von dem der Sitzungsschlüssel abgeleitet wird. Grundsätzlich geht ein Client und Access Point in Phasen des Commit und dann bestätigen.
Sobald eine Vereinbarung besteht, können der Client und der Access Point bei jeder Generierung eines Sitzungsschlüssels in den Bestätigungsstatus wechseln. Die Methode verwendet die Weiterleitungsgeheimnis, bei der ein Eindringling einen einzelnen Schlüssel knacken könnte, aber nicht alle anderen Schlüssel.
Hash-to-Element (H2E)
Hash-to-Element (H2E) ist eine neue PWE-Methode (SAE Password Element). Bei diesem Verfahren wird die im SAE-Protokoll verwendete geheime PWE aus einem Passwort generiert.
Wenn eine Station (STA), die H2E unterstützt, SAE mit einem AP initiiert, prüft sie, ob AP H2E unterstützt. Wenn ja, leitet der AP die PWE über H2E mithilfe eines neu definierten Statuscodewerts in der SAE-Commit-Nachricht ab.
Wenn STA Hunting-and-Pecking (HnP) verwendet, bleibt der gesamte SAE-Austausch unverändert.
Bei Verwendung von H2E wird die PWE-Ableitung in folgende Komponenten unterteilt:
Ableitung eines Secret Intermediary Elements (PT) aus dem Passwort. Dies kann offline durchgeführt werden, wenn das Kennwort für jede unterstützte Gruppe auf dem Gerät konfiguriert wurde.
Ableitung des PWE aus dem gespeicherten PT. Dies hängt von der ausgehandelten Gruppe und den MAC-Adressen der Peers ab. Dies erfolgt in Echtzeit während des SAE-Austauschs.
Anmerkung: 6 GHz unterstützt nur die Hash-to-Element-SAE-PWE-Methode.
WPA-Enterprise (802.1x)
WPA3-Enterprise ist die sicherste Version von WPA3 und verwendet eine Kombination aus Benutzername und Kennwort mit 802.1X für die Benutzerauthentifizierung mit einem RADIUS-Server. Standardmäßig verwendet WPA3 eine 128-Bit-Verschlüsselung, führt jedoch auch eine optional konfigurierbare Verschlüsselungsstärke-Verschlüsselung mit 192 Bit ein, die ein Netzwerk, das sensible Daten überträgt, zusätzlich schützt.
Die WPA3-192-Bit-Sicherheit gilt ausschließlich für EAP-TLS, für das Zertifikate sowohl auf dem Supplicant als auch auf dem RADIUS-Server erforderlich sind.
Um WPA3 192-Bit Enterprise verwenden zu können, müssen die RADIUS-Server eine der zulässigen EAP-Verschlüsselungen verwenden:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
Weitere Informationen zur WPA3-Implementierung in Cisco WLANs, einschließlich der Kompatibilitätsmatrix für die Client-Sicherheit, finden Sie im WPA3-Bereitstellungsleitfaden.
Welche Produkte WPA3-Enterprise unterstützen, erfahren Sie auf der WiFi Alliance-Webseite. Produktsucher.
Auf Windows-Geräten können Sie mithilfe des Befehls "netsh wlan show drivers" überprüfen, welche Sicherheitseinstellungen vom Adapter unterstützt werden.
Hier sehen Sie die Ausgabe der Intel AX211:
Netgear A8000:
Android-Pixel 6a:
Samsung S23:
Auf der Grundlage der vorherigen Ergebnisse können wir folgende Tabelle abschließen:
In diesem Abschnitt wird die grundlegende WLAN-Konfiguration beschrieben. Das verwendete Richtlinienprofil ist bei Verwendung von Central Association/Authentication/DHCP/Switching immer gleich.
Im weiteren Verlauf des Dokuments wird erläutert, wie jede Wi-Fi 6E Layer 2-Sicherheitskombination konfiguriert wird und wie die Konfiguration und das erwartete Verhalten überprüft werden.
Beachten Sie, dass für Wi-Fi 6E WPA3 erforderlich ist. Dies sind die Einschränkungen für die WLAN-Funkrichtlinie:
WLAN wird nur dann per Push an alle Funkmodule übertragen, wenn eine der folgenden Konfigurationskombinationen verwendet wird:
WPA3- + AES-Verschlüsselung + 802.1x-SHA256 (FT) AKM
WPA3 + AES-Verschlüsselung + OWE AKM
WPA3 + AES-Verschlüsselung + SAE (FT) AKM
WPA3 + CCMP256-Chiffre + SUITEB192-1X AKM
WPA3 + GCMP128-Chiffre + SUITEB-1X AKM
WPA3 + GCMP256-Chiffre + SUITEB192-1X AKM
Das WLAN wurde mit der Ermittlungsmethode "Nur Funkrichtlinie 6 GHz" und "UPR (Broadcast Probe Response)" konfiguriert:
In diesem Abschnitt wird die Phase der Sicherheitskonfiguration und der Client-Zuordnung mithilfe der folgenden WPA3-Protokollkombinationen erläutert:
Anmerkung: Obwohl es keine Clients gibt, die GCMP128 cipher + SUITEB-1X unterstützen, als sie dieses Dokument geschrieben haben, wurde es getestet, um zu beobachten, dass es ausgestrahlt wird, und die RSN-Informationen in den Beacons zu überprüfen.
Dies ist die WLAN-Sicherheitskonfiguration:
Auf der WLC-GUI der WLAN-Sicherheitseinstellungen anzeigen:
Hier können wir den Verbindungsvorgang der Wi-Fi 6E Clients beobachten:
Intel AX211
Hier zeigen wir den vollständigen Verbindungsvorgang des Intel AX211-Client.
OWE-Analyse
Hier sehen Sie die Beacons OTA. Der Access Point kündigt die Unterstützung für OWE unter Verwendung des Selektors der AKM-Suite für OWE unter dem RSN-Informationselement an.
Sie können den Wert 18 (00-0F-AC:18), die auf den OWE-Support hinweist.
Wenn Sie sich das Feld "RSN-Funktionen" ansehen, sehen Sie, dass der Access Point sowohl MFP-Funktionen (Management Frame Protection) als auch das erforderliche MFP-Bit (1) ankündigt.
OWE-Verband
Sie können den UPR im Broadcast-Modus und dann die Zuordnung selbst sehen.
Das OWE beginnt mit der OPEN-Authentifizierungsanfrage und -antwort:
Anschließend muss ein Client, der OWE durchführen möchte, OWE AKM im RSN IE des Association Request-Frames angeben und das Diffie Helman (DH)-Parameterelement einschließen:
Nach der Zuordnungsantwort wird der 4-Wege-Handshake angezeigt, und der Client wechselt in den verbundenen Zustand.
Hier sehen Sie die Client-Details auf der WLC-GUI:
NetGear A8000
Verbindung OTA mit Fokus auf RSN-Informationen vom Client:
Client-Details in WLC:
Pixel 6a
Verbindung OTA mit Fokus auf RSN-Informationen vom Client:
Client-Details in WLC:
Samsung S23
Verbindung OTA mit Fokus auf RSN-Informationen vom Client:
Client-Details in WLC:
Ausführliche Informationen zur Konfiguration und Fehlerbehebung des OWE-Übergangsmodus finden Sie in diesem Dokument: Konfigurieren der erweiterten offenen SSID mit dem Übergangsmodus - OWE.
WLAN-Sicherheitskonfiguration:
Anmerkung: Beachten Sie, dass Hunting und Pecking gemäß der 6-GHz-Funkrichtlinie nicht zulässig sind. Wenn Sie ein reines 6-GHz-WLAN konfigurieren, müssen Sie H2E SAE Password Element auswählen.
Auf der WLC-GUI der WLAN-Sicherheitseinstellungen anzeigen:
Verifizierung von Beacons OTA:
Hier können wir beobachten, wie Wi-Fi 6E-Clients sich verbinden:
Intel AX211
Verbindung OTA mit Fokus auf RSN-Informationen vom Client:
Client-Details in WLC:
NetGear A8000
Verbindung OTA mit Fokus auf RSN-Informationen vom Client:
Client-Details in WLC:
Pixel 6a
Verbindung OTA mit Fokus auf RSN-Informationen vom Client:
Client-Details in WLC:
Samsung S23
Verbindung OTA mit Fokus auf RSN-Informationen vom Client:
Client-Details in WLC:
WLAN-Sicherheitskonfiguration:
Vorsicht: In der Verwaltung des Authentifizierungsschlüssels ermöglicht der WLC die Auswahl von FT+SAE ohne aktivierte SAE. Es wurde jedoch beobachtet, dass die Clients keine Verbindung herstellen konnten. Aktivieren Sie immer beide Kontrollkästchen SAE und FT+SAE, wenn Sie SAE mit Fast Transition verwenden möchten.
Auf der WLC-GUI der WLAN-Sicherheitseinstellungen anzeigen:
Verifizierung von Beacons OTA:
Hier können wir beobachten, wie Wi-Fi 6E-Clients sich verbinden:
Intel AX211
Verbindung OTA mit Fokus auf RSN-Informationen vom Client:
Roaming-Veranstaltung, bei der die PMKID angezeigt wird:
Client-Details in WLC:
NetGear A8000
Verbindung OTA mit Fokus auf die RSN-Informationen vom Client. Erstverbindung:
Client-Details in WLC:
Pixel 6a
Das Gerät konnte kein Roaming durchführen, wenn FT aktiviert ist.
Samsung S23
Das Gerät konnte kein Roaming durchführen, wenn FT aktiviert ist.
WLAN-Sicherheitskonfiguration:
Auf der WLC-GUI der WLAN-Sicherheitseinstellungen anzeigen:
Hier sehen Sie die ISE-Live-Protokolle mit den Authentifizierungen der einzelnen Geräte:
Beacons und OTAs sehen wie folgt aus:
Hier können wir beobachten, wie Wi-Fi 6E-Clients sich verbinden:
Intel AX211
OTA-Verbindung mit Schwerpunkt auf RSN-Informationen des Clients zu einem Roaming-Ereignis:
Ein interessantes Verhalten tritt auf, wenn Sie den Client manuell aus dem WLAN löschen (z.B. aus der WLC GUI). Der Client empfängt einen Trennungs-Frame, versucht jedoch, erneut eine Verbindung mit demselben Access Point herzustellen, und verwendet einen Trennungs-Frame, gefolgt von einem vollständigen EAP-Austausch, da die Client-Details vom Access Point/WLC gelöscht wurden.
Das ist im Grunde der gleiche Rahmenaustausch wie in einem neuen Assoziationsprozess. Hier sehen Sie den Frame-Austausch:
Client-Details in WLC:
Dieser Client wurde auch mit FT über den DS getestet und konnte mithilfe von 802.11r Roaming durchführen:
Außerdem werden die Roaming-Ereignisse der FT angezeigt:
Client-RA-Trace von wlc:
NetGear A8000
WPA3-Enterprise wird auf diesem Client nicht unterstützt.
Pixel 6a
Verbindung OTA mit Fokus auf RSN-Informationen vom Client:
Client-Details in WLC:
Konzentrieren Sie sich auf den Roamingtyp Over the Air (Über das Flugzeug), wo Sie den Roamingtyp 802.11R sehen können:
Samsung S23
Verbindung OTA mit Fokus auf RSN-Informationen vom Client:
Client-Details in WLC:
Konzentrieren Sie sich auf den Roamingtyp Over the Air (Über das Flugzeug), wo Sie den Roamingtyp 802.11R sehen können:
Dieser Client wurde auch mit FT über den DS getestet und konnte mithilfe von 802.11r Roaming durchführen:
WLAN-Sicherheitskonfiguration:
Anmerkung: FT wird in SUITEB-1X nicht unterstützt
Auf der WLC-GUI der WLAN-Sicherheitseinstellungen anzeigen:
Verifizierung von Beacons OTA:
Keiner der getesteten Clients konnte sich mit SuiteB-1X mit dem WLAN verbinden. Dies bestätigt, dass keiner dieser Clients diese Sicherheitsmethode unterstützt.
WLAN-Sicherheitskonfiguration:
Anmerkung: FT wird von GCMP256+SUITEB192-1X nicht unterstützt.
Liste der WLANs auf der WLC-GUI:
Verifizierung von Beacons OTA:
Hier können wir beobachten, wie Wi-Fi 6E-Clients sich verbinden:
Intel AX211
Verbindung OTA mit Fokus auf RSN-Informationen vom Client:
Und der EAP-TLS-Austausch:
Client-Details in WLC:
NetGear A8000
WPA3-Enterprise wird auf diesem Client nicht unterstützt.
Pixel 6a
Zum Zeitpunkt der Erstellung dieses Dokuments war dieser Client nicht in der Lage, mithilfe von EAP-TLS eine Verbindung zu WPA3 Enterprise herzustellen.
Dies war ein kundenseitiges Problem, das derzeit bearbeitet wird, und sobald es gelöst ist, wird dieses Dokument aktualisiert werden.
Samsung S23
Zum Zeitpunkt der Erstellung dieses Dokuments war dieser Client nicht in der Lage, mithilfe von EAP-TLS eine Verbindung zu WPA3 Enterprise herzustellen.
Dies war ein kundenseitiges Problem, das derzeit bearbeitet wird, und sobald es gelöst ist, wird dieses Dokument aktualisiert werden.
Nach allen vorherigen Tests sind folgende Schlussfolgerungen zu ziehen:
Protokolle |
Verschlüsselung |
AKM |
AKM-Verschlüsselung |
EAP-Methode |
FT-OverTA |
FT-OVER-DS |
Intel AX211 |
Samsung/Google Android |
NetGear A8000 |
SCHULD |
AES-CCMP128 |
SCHULD |
N. |
N. |
NA |
NA |
Unterstützt |
Unterstützt |
Unterstützt |
SAE |
AES-CCMP128 |
SAE (nur H2E) |
SHA 256 |
N. |
Unterstützt |
Unterstützt |
Unterstützt: Nur H2E und FT-oTA |
Unterstützt: Nur H2E. |
Unterstützt: |
Unternehmen |
AES-CCMP128 |
802.1x-SHA256 |
SHA 256 |
PEAP/FAST/TLS |
Unterstützt |
Unterstützt |
Unterstützt: SHA256 und FT-oTA/oDS |
Unterstützt: SHA256 und FT-oTA, FT-oDS (S23) |
Unterstützt: SHA256 und FT-oTA |
Unternehmen |
GMP 128 |
Suite B-1x |
SHA256-Suite B |
PEAP/FAST/TLS |
Nicht unterstützt |
Nicht unterstützt |
Nicht unterstützt |
Nicht unterstützt |
Nicht unterstützt |
Unternehmen |
GMP 256 |
Suite B-192 |
SHA384-Suite B |
TLS |
Nicht unterstützt |
Nicht unterstützt |
k. A. |
k. A. |
Nicht unterstützt |
Die in diesem Dokument verwendete Fehlerbehebung basiert auf dem Online-Dokument:
Die allgemeine Richtlinie für die Fehlerbehebung besteht darin, die RA-Ablaufverfolgung im Debugmodus vom WLC mithilfe der Client-MAC-Adresse zu erfassen. Dabei wird sichergestellt, dass der Client die Verbindung über die Geräte-MAC herstellt und keine randomisierte MAC-Adresse.
Für die Fehlerbehebung per Funk wird empfohlen, AP im Sniffer-Modus zu verwenden, um den Datenverkehr auf dem Kanal des Client-AP zu erfassen.
Anmerkung: Lesen Sie Wichtige Informationen zu Debug-Befehlen, bevor Sie debug-Befehle verwenden.
Was ist Wi-Fi 6 im Vergleich zu Wi-Fi 6E?
Wi-Fi 6E - Informationen auf einen Blick
Wi-Fi 6E: Whitepaper - Das nächste große Kapitel im Wi-Fi-Bereich
Software-Konfigurationsleitfaden für Cisco Catalyst Wireless Controller der Serie 9800 17.9.x
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
08-Aug-2023 |
Erstveröffentlichung |