Uitgebreide open SSID met overgangsmodus configureren - OWE

Downloadopties

  • PDF     (1.6 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.3 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:26 juni 2023
Document-id:217737

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u Enhanced Open en probleemoplossing kunt configureren met de overgangsmodus op Catalyst 9800 draadloze LAN-controller (9800 WLC).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco draadloze LAN-controllers (WLC) 9800.
    • Cisco Access points (AP’s) die Wi-Fi 6E ondersteunen. 
    • IEEE-standaard 802.11ax.
    • Wireshark.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • WLC 9800-CL met IOS® XE 17.9.3
    • AP9130, C9136, CW9162, CW9164 en CW9166.
    • Wi-Fi 6 clients: 
      • iPhone SE3rd gen op IOS 16
      • MacBook op Mac OS 12.
    • Wi-Fi 6E-clients:
      • Lenovo X1 Carbon Gen11 met Intel AX211 Wi-Fi 6 en 6E adapter met driver versie 22.200.2(1).
      • Netgear A8000 Wi-Fi 6- en 6E-adapter met stuurprogramma v1(0.0.108);
      • Mobiele telefoon Pixel 6a met Android 13;
      • Mobiele telefoon Samsung S23 met Android 13.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    De Enhanced Open is een certificering die wordt geleverd door WiFi Alliance als onderdeel van de WPA3 draadloze beveiligingsstandaard. Het maakt gebruik van Opportunistische Wireless Encryption (OWE) op Open (niet-geverifieerde) netwerken om passief snuffelen te voorkomen en eenvoudige aanvallen te voorkomen in vergelijking met een openbaar PSK draadloos netwerk. 

    Met Enhanced Open voeren clients en de WLC (in het geval van Central Authentication) of de AP (in het geval van FlexConnect Local Authenticatie) tijdens het associatieproces een Diffie-Hellman-sleuteluitwisseling uit en gebruiken ze het paarsgewijze master-sleutelgeheim (PMK) met de 4-voudige handdruk. 

    VERSCHULDIGD

    Opportunistische draadloze encryptie (OWE) is een uitbreiding van IEEE 802.11 die codering van het draadloze medium biedt (IETF RFC 8110). Het doel van op OWE gebaseerde verificatie is het vermijden van open onbeveiligde draadloze connectiviteit tussen de AP’s en clients. De OWE gebruikt de Diffie-Hellman algoritmen op basis van Cryptografie om de draadloze codering in te stellen. Met OWE voeren de client en AP tijdens de toegangsprocedure een Diffie-Hellman sleuteluitwisseling uit en gebruiken de resulterende paarsgewijze hoofdsleutel (PMK) geheim met de 4-voudige handdruk. Het gebruik van OWE verbetert de draadloze netwerkbeveiliging voor implementaties waar op Open of gedeelde PSK gebaseerde netwerken worden geïmplementeerd.

    OWE frame exchangeOWE frame exchange

    Overgangsmodus

    Over het algemeen hebben ondernemingsnetwerken slechts één niet-versleutelde gast-SSID en geven er de voorkeur aan om zowel oudere clients te hebben die geen verbeterde open en nieuwere clients ondersteunen met verbeterde open to coëxistentie. De transitiemodus is specifiek geïntroduceerd om aan dit scenario te voldoen.

    Dit vereist configuratie van twee SSIDs - één verborgen SSID om OWE en een tweede SSID te steunen die open is en wordt uitgezonden.

    De OWE-overgangsmodus (Opportunistic Wireless Encryption) maakt het mogelijk dat OWE en niet-OWE STA’s tegelijkertijd verbinding maken met dezelfde SSID. Wanneer alle OWE STAs een SSID in OWE overgangswijze zien, verbinden zij met OWE.

    Zowel het open WLAN als de OWE WLAN-transmissiebakenframes. De responsframes van beacon en sonde van het OWE WLAN omvatten de leverancier-IE van Wi-Fi Alliance om de BSSID en SSID van het open WLAN in te kapselen en het open WLAN omvat op dezelfde manier ook voor OWE WLAN.

    Een OWE STA zal alleen de SSID van de open BSS van een OWE AP die in OWE Osition Mode werkt, aan de gebruiker in de lijst van beschikbare netwerken weergeven en zal de weergave van de OWE BSS SSID van dat OWE AP onderdrukken.

    Richtsnoeren en beperkingen:

    • Voor Enhanced Open is alleen WPA3-beleid vereist. WPA3 wordt niet ondersteund in Cisco Wave 1 (Cisco IOS®-gebaseerde) AP’s.
    • Protected Management Frame (PMF) moet worden ingesteld op Vereist. Dit wordt standaard ingesteld met WPA3 only Layer 2 Security.
    • Enhanced Open werkt alleen op end clients die de nieuwere versies draaien die Enhanced Open ondersteunen.

    Configureren

    Typische gebruikscase waar de beheerder Enhanced Open wil configureren maar nog steeds oudere clients toestaat om verbinding te kunnen maken met de gast-SSID.

    Netwerkdiagram

    NetwerktopologieNetwerktopologie

    Configuratiestappen voor GUI:

    Maak eerste SSID, hierbij genaamd "OWE_Transition". In dit voorbeeld WLAN ID 3, en zorg ervoor dat het verborgen is met de optie "Broadcast SSID" uitgeschakeld:

    Stap 1 Kies Configuratie > Tags en profielen > WLAN’s om de WLAN-pagina te openen.

    Stap 2 Klik op Add om nieuw WLAN toe te voegen > voeg WLAN-naam toe "OWE_Transition" > Status wijzigen om in te schakelen > ervoor te zorgen dat Broadcast SSID is uitgeschakeld.

    OWE Transition Enhanced Open SSID verborgenOWE Transition Enhanced Open SSID verborgen

    Stap 3 Kies de Security > Layer 2 tab > WPA3 selecteren.

    Stap 4 Stel Protected Management Frame (PMF) in op Vereist.

    Stap 5 Onder WPA Parameters > Controleer het WPA3-beleid. Selecteer AES(CCMP128) Encryptie en WAE-autorisatiesleutelbeheer.

    Stap 6 Voeg WLAN-id 4 (open WLAN) toe aan het vakje "Transition Mode WLAN-id".

    Stap 7 Klik op Toepassen op apparaat.

    OWE Transition Mode - OWE SSIDOWE Transition Mode - OWE SSID

    Maak tweede SSID, noem het "open" in dit voorbeeld WLAN ID 4, en zorg ervoor dat u "Broadcast SSID" inschakelt:

    Stap 1 Kies Configuratie > Tags en profielen > WLAN’s om de WLAN-pagina te openen.

    Stap 2 Klik op Add om nieuw WLAN toe te voegen > voeg WLAN-naam toe "open" > verander de status om in te schakelen > te verzekeren dat Broadcast SSIDingeschakeld is.

    OWE Transition Open SSIDOWE Transition Open SSID

    Stap 3 Kies de Security > Layer 2 tab > Geen kiezen.

    Stap 4 Voeg WLAN-id 4 (OWE_Transition) toe aan het vakje "Transition Mode WLAN-id".

    Stap 5 Klik op Toepassen op apparaat.

    OWE Transition Mode Open WLAN-beveiligingOWE Transition Mode Open WLAN-beveiliging

    waarschuwingspictogram

    Waarschuwing: als u een eerder open WLAN had met dezelfde SSID van het OWE WLAN, zullen Windows-clients "2" toevoegen aan de naam van de SSID. Om dit te overwinnen, navigeer naar "Netwerk & Internet > Wi-Fi > Beheerde netwerken beheren" en verwijder de oude verbinding.

    Deze screenshot toont het eindresultaat: één WLAN is beveiligd en geconfigureerd voor WPA3+OWE+WPA3 met de naam "OWE_Transition" en de andere is een volledig open SSID met de naam "open". Alleen de volledig open SSID genaamd "open" heeft zijn SSID uitgezonden in de bakens terwijl "OWE_Transition" verborgen is.

    WLAN’s met OWE-overgangsmodusWLAN’s met OWE-overgangsmodus

    Stap 6 Breng de WLAN’s die met de gewenste beleidsprofielen zijn gemaakt, in de beleidstag in kaart en pas deze op de AP’s toe.

    BeleidskabelBeleidskabel

    Configureren voor CLI:

    Uitgebreide open SSID:

    Device# conf t
    Device(config)# wlan OWE_Transition 3 OWE_Transition
    Device(config)# no broadcast-ssid
    Device(config)# no security ft adaptive
    Device(config)# no security wpa wpa2
    Device(config)# no security wpa akm dot1x
    Device(config)# security wpa akm owe
    Device(config)# security wpa transition-mode-wlan-id 4
    Device(config)# security wpa wpa3
    Device(config)# security pmf mandatory
    Device(config)# no shutdown

    SSID openen:

    Device# conf t
    Device(config)# wlan open 4 open
    Device(config)# no security ft adaptive
    Device(config)# no security wpa
    Device(config)# no security wpa wpa2
    Device(config)# no security wpa wpa2 ciphers aes
    Device(config)# no security wpa akm dot1x
    Device(config)# security wpa transition-mode-wlan-id 3
    Device(config)# no shutdown

    Beleidsprofiel:

    Device(config)# wireless tag policy Wifi6E_TestPolicy
    Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
    Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile

    Verifiëren

    Dit is het verificatiegedeelte.

    Controleer de WLAN-configuratie op CLI:

    Device#show wlan id 3
    WLAN Profile Name : OWE_Transition
    ================================================
    Identifier : 3
    Description : 
    Network Name (SSID) : OWE_Transition
    Status : Enabled
    Broadcast SSID : Disabled
    [...]
    Security
    802.11 Authentication : Open System
    Static WEP Keys : Disabled
    Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
    WPA (SSN IE) : Disabled
    WPA2 (RSN IE) : Disabled
    WPA3 (WPA3 IE) : Enabled
    AES Cipher : Enabled
    CCMP256 Cipher : Disabled
    GCMP128 Cipher : Disabled
    GCMP256 Cipher : Disabled
    Auth Key Management
    802.1x : Disabled
    PSK : Disabled
    CCKM : Disabled
    FT dot1x : Disabled
    FT PSK : Disabled
    FT SAE : Disabled
    Dot1x-SHA256 : Disabled
    PSK-SHA256 : Disabled
    SAE : Disabled
    OWE : Enabled
    SUITEB-1X : Disabled
    SUITEB192-1X : Disabled
    SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
    Transition Disable : Disabled
    CCKM TSF Tolerance (msecs) : 1000
    OWE Transition Mode : Enabled
    OWE Transition Mode WLAN ID : 4
    OSEN : Disabled
    FT Support : Disabled
    FT Reassociation Timeout (secs) : 20
    FT Over-The-DS mode : Disabled
    PMF Support : Required
    PMF Association Comeback Timeout (secs): 1
    PMF SA Query Time (msecs) : 200
    [...]
    #show wlan id 4
    WLAN Profile Name : open
    ================================================
    Identifier : 4
    Description : 
    Network Name (SSID) : open
    Status : Enabled
    Broadcast SSID : Enabled
    [...]
    Security
    802.11 Authentication : Open System
    Static WEP Keys : Disabled
    Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
    OWE Transition Mode : Enabled
    OWE Transition Mode WLAN ID : 3
    OSEN : Disabled
    FT Support : Disabled
    FT Reassociation Timeout (secs) : 20
    FT Over-The-DS mode : Disabled
    PMF Support : Disabled
    PMF Association Comeback Timeout (secs): 1
    PMF SA Query Time (msecs) : 200
    [...]

    In de WLC kunt u naar de AP Configuration gaan en controleren of beide WLAN’s actief zijn op de AP:

    PowerKEY-venster voor operationele configuratie met OWE-overgangsmodusPowerKEY-venster voor operationele configuratie met OWE-overgangsmodus

    Als deze optie is ingeschakeld, heeft het toegangspunt alleen bakens met Open SSID, maar heeft het een OWE Transition Mode Information Element (IE). Wanneer een client die in staat is tot verbeterde open verbinding maakt met deze SSID, gebruikt deze automatisch OWE om alle traffic post associatie te versleutelen.

    Dit is wat je over de lucht kunt zien (OTA):

    OWE Transition Open SSID BeaconOWE Transition Open SSID Beacon

    Het beacon verzenden met SSID "open" bevat de OWE Transition Mode IE met de verbeterde open SSID details binnenin, zoals BSSID en SSID naam "OWE_Transition".

    Er zijn ook bakens OTA met de SSID verborgen en als we filteren op basis van bssid, worden de frames verzonden naar de BSSID 00:df:1d:dd:7d:3e die de BSSID is binnen de OWE Overgangsmodus IE:

    OWE BeaconOWE Beacon

    U kunt zien dat ook het OWE verborgen beacon bevat de OWE Transition Mode IE met de open zijkant BSSID en SSID naam "open".

    Deze screenshots tonen een Android-telefoon die Enhanced Open ondersteunt: het toont alleen de open SSID zonder slot-pictogram (een slot-pictogram zou de gebruiker doen geloven dat het een wachtwoord vereist om verbinding te maken), maar zodra verbonden de security toont Enhanced Open-beveiliging wordt gebruikt.

    SSID-lijst VAN VORDERINGENOWE SSID WAE-client met uitgebreide open ondersteuninglistOWE-client met uitgebreide open ondersteuning

    Over de lucht zien we de volledige verbindingssequentie:

    OWE Transition volledige verbindingOWE Transition volledige verbinding

    Na het luisteren naar de bakens, de client zoekt naar de OWE SSID en het AP reageert.

    Dan vindt de normale OWE frame-uitwisseling plaats: authenticatieaanvraag en -antwoord, associatieverzoek en reactie met de DH IE, en vervolgens de EAPOL 4-way handshake. 

    Op de WLC kunt u de clientverbinding verifiëren. De client die OWE ondersteunt kan verbinding maken met Enhanced Open WLAN in dit voorbeeld is het WLAN-id 3:

    Device#show wireless client mac-address 286b.3598.580f detail

    Client MAC Address : 286b.3598.580f
    [...]
    AP Name: AP9136_5C.F524
    AP slot : 1
    Client State : Associated
    Policy Profile : CentralSwPolicyProfile
    Flex Profile : N/A
    Wireless LAN Id: 3
    WLAN Profile Name: OWE_Transition
    Wireless LAN Network Name (SSID): OWE_Transition
    BSSID : 00df.1ddd.7d3e
    Connected For : 682 seconds 
    Protocol : 802.11ax - 5 GHz
    Channel : 64
    Client IIF-ID : 0xa0000003
    Association Id : 2
    Authentication Algorithm : Open System
    Idle state timeout : N/A
    [...]
    Policy Type : WPA3
    Encryption Cipher : CCMP (AES)
    Authentication Key Management : OWE
    Transition Disable Bitmap : None
    User Defined (Private) Network : Disabled
    User Defined (Private) Network Drop Unicast : Disabled
    Encrypted Traffic Analytics : No
    Protected Management Frame - 802.11w : Yes
    EAP Type : Not Applicable

    En we kunnen hetzelfde waarnemen in de WLC GUI:

    OWE Transition-clientgegevens

    Clientbeveiliging voor OWE-overgang

    Voor clients die Enhanced Open niet ondersteunen, zien ze alleen en verbinden ze met de open SSID, zonder encryptie.

    Zoals hier geïllustreerd, zijn dit clients die Enhanced Open (respectievelijk een iPhone op IOS 15 en een MacBook op Mac OS 12) niet ondersteunen en alleen de open guest SSID zien en geen encryptie gebruiken.

    Apparaat dat geen OWE ondersteuntApparaat dat geen ondersteuning biedt voor Macbook op Mac OS 12 ondersteunt Enhanced Open nietOWEFigure 4: MacBook op Mac OS 12 ondersteunt Enhanced Open niet

    Hier nog een voorbeeld van een draadloze USB-adapter die geen OWE ondersteunt:

    Cliënt die geen Uitgebreide Open steuntCliënt die geen Uitgebreide Open steunt

    De client ondersteunt geen OWE can connect to Open WLAN in dit voorbeeld is het WLAN ID 4:

    #show wireless client mac-address b44b.d623.a199 detail

    Client MAC Address : b44b.d623.a199
    [...]
    AP Name: AP9136_5C.F524
    AP slot : 1
    Client State : Associated
    Policy Profile : CentralSwPolicyProfile
    Flex Profile : N/A
    Wireless LAN Id: 4
    WLAN Profile Name: open
    Wireless LAN Network Name (SSID): open
    BSSID : 00df.1ddd.7d3f
    [...]
    Authentication Algorithm : Open System
    [...]
    Protected Management Frame - 802.11w : No
    EAP Type : Not Applicable

    Problemen oplossen

    1. Zorg ervoor dat de klant OWE ondersteunt, aangezien niet alle klanten het ondersteunen. Controleer de documentatie van de clientleverancier, bijvoorbeeld Apple heeft hier de ondersteuning voor hun apparaten gedocumenteerd.
    2. Sommige oudere klanten accepteren de open bakens mogelijk niet eens vanwege de aanwezigheid van de OWE Transition Mode IE en presenteren de SSID niet in de netwerken in bereik. Als uw client de Open SSID niet kan zien, verwijdert u het Transition VLAN (ingesteld op 0) van de WLAN-configuratie en controleert u of het WLAN dan wordt weergegeven.
    3. Als de cliënten open SSID zien, steun OWE, maar zij verbinden nog zonder WPA3, dan verifiëren als de identificatie van overgangsVLAN correct is en uitgezonden in de bakens van beide WLANs. U kunt AP in snuffelmodus gebruiken om OTA-verkeer op te nemen. Voer deze stappen uit om een AP in de snuffelmodus te configureren: APs Catalyst 91xx in snuffelmodus .
      • Het baken wordt verzonden met SSID "open" bevat de OWE Overgangsmodus IE met de verbeterde open SSID details binnenin, zoals BSSID en SSID naam "OWE_Transition":OWE Transition Open SSID BeaconOWE Transition Open SSID Beacon

      • Er zijn ook bakens OTA met de SSID verborgen en als we filteren op basis van bssid, worden de frames verzonden naar de BSSID 00:df:1d:dd:7d:3e die de BSSID is binnen de OWE Overgangsmodus IE:

        OWE BeaconOWE Beacon

        U kunt zien dat ook het OWE verborgen beacon bevat de OWE Transition Mode IE met de open zijkant BSSID en SSID naam "open".

      • Je kunt ook AKM info bekijken en controleren of MFP wordt geadverteerd zoals Vereist en Geschikt:
      • OWE Beacon AKMOWE Beacon AKM
    4. Verzamel RadioActive sporen op basis van client mac-adres en u ziet soortgelijke logbestanden als dit:

    2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

    2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

    Referenties

    Wat is Wi-Fi 6E?

    Wat is Wi-Fi 6 versus Wi-Fi 6E?

    Wi-Fi 6E At-a-Glance

    Wi-Fi 6E: Het volgende grote hoofdstuk in Wi-Fi White Paper

    Software voor Cisco Catalyst 9800 Series draadloze controller, configuratiehandleiding 17.9.x

    Implementatiegids voor WPA3

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    26-Jun-2023
    Nieuwe WLC versies en nieuwe AP modellen. Toegevoegd netwerkdiagram en OWE frame flow.
    1.0
    15-Mar-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Razan Alomoush
      Cisco TAC
    • Tiago Antunes
      CX technisch aanvoerder

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten