Wi-Fi 安全访问 2 (WPA 2) 配置示例

下载选项

  • PDF     (883.1 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (668.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.0 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2008 年 1 月 21 日
文档 ID:67134

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍了在无线局域网 (WLAN) 中使用 Wi-Fi 保护访问 2 (WPA 2) 的优点。 本文档提供了有关如何在 WLAN 中实施 WPA 2 的两个配置示例。第一个示例显示了如何在企业模式下配置 WPA 2,第二个示例在个人模式下配置了 WPA 2。

注意:WPA与可扩展身份验证协议(EAP)配合使用。

先决条件

要求

在尝试进行此配置之前,请确保您已具有以下主题的基础知识:

  • WPA

  • WLAN 安全解决方案

    注:有关思科WLAN安全解决方案的信息,请参阅Cisco Aironet无线LAN安全概述。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行Cisco IOS®软件版本12.3(2)JA的Cisco Aironet 1310G接入点(AP)/网桥

  • 运行固件版本 2.5 的 Aironet 802.11a/b/g CB21AG 客户端适配器

  • 运行固件 2.5 的 Aironet Desktop Utility (ADU)

注意:Aironet CB21AG和PI21AG客户端适配器软件与其他Aironet客户端适配器软件不兼容。您必须将ADU与CB21AG和PI21AG卡一起使用,并且必须使用Aironet客户端实用程序(ACU)所有其他Aironet客户端适配器。有关如何安装 CB21AG 卡和 ADU 的详细信息,请参阅安装客户端适配器。

注意:本文档使用集成天线的AP/网桥。如果使用需要外部天线的 AP/网桥,请确保已将天线连接到 AP/网桥。否则,AP/网桥将无法连接到无线网络。某些 AP/网桥型号附带集成天线,而其他型号则需要外部天线才能进行常规操作。有关附带内部或外部天线的 AP/网桥型号的信息,请参阅相应设备的订购指南/产品指南。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则。

背景信息

WPA 是一个来自 Wi-Fi 联盟的基于标准的安全解决方案,用于解决本地 WLAN 中的漏洞。WPA 为 WLAN 系统提供增强的数据保护和访问控制。WPA解决了原始IEEE 802.11安全实施中所有已知的有线等效保密(WEP)漏洞,为企业和小型办公室、家庭办公(SOHO)环境中的WLAN提供了即时安全解决方案。

WPA 2是下一代Wi-Fi安全。WPA 2 是 Wi-Fi 联盟对承认的 IEEE 802.11i 标准的可互操作实施。WPA 2通过使用带密码块链消息验证码协议(CCMP)的计数器模式,实施美国国家标准与技术研究院(NIST)推荐的高级加密标准(AES)加密算法。AES 计数器模式是一次使用一个 128 位加密密钥加密 128 位数据块的块加密程序。CCMP算法生成消息完整性代码(MIC),该代码为无线帧提供数据源身份验证和数据完整性。

注意:CCMP也称为CBC-MAC。

WPA 2提供比WPA更高的安全级别,因为AES提供比临时密钥完整性协议(TKIP)更强的加密。TKIP 是 WPA 使用的加密算法。WPA 2 在每个关联上创建新的会话密钥。用于网络上各个客户端的加密密钥都是唯一的,并且特定于该客户端。最终,通过空气发送的每个数据包都会使用一个唯一的密钥进行加密。使用新的唯一加密密钥会增强安全性,这是因为不存在密钥重用。WPA 仍然被认为是安全的,TKIP 也尚未被破解。但是,Cisco 建议客户尽快转换到 WPA 2。

WPA 和 WPA 2 都支持两种操作模式:

  • 企业模式

  • 个人模式

本文档将讨论如何使用 WPA 2 实施这两个模式。

Cisco Aironet 设备的 WPA 2 支持

以下设备支持 WPA 2:

  • Aironet 1130AG AP 系列和 1230AG AP 系列

  • Aironet 1100 AP 系列

  • Aironet 1200 AP 系列

  • Aironet 1300 AP 系列

注意:为这些AP配备802.11g无线电并使用Cisco IOS软件版本12.3(2)JA或更高版本。

以下设备也支持 WPA 2 和 AES:

  • 部件号为 AIR-RM21A 和 AIR-RM22A 的 Aironet 1200 系列无线电模块

    注意:部件号为AIR-RM20A的Aironet 1200无线电模块不支持WPA 2。

  • 具有固件版本 2.5 的 Aironet 802.11a/b/g 客户端适配器

注意:Cisco Aironet 350系列产品不支持WPA 2,因为其无线电不支持AES。

注意:Cisco Aironet 1400系列无线网桥不支持WPA 2或AES。

在企业模式下配置

术语“企业模式”是指在预共享密钥(PSK)和IEEE 802.1x操作模式下经过测试可互操作以进行身份验证的产品。由于 802.1x 在支持各种身份验证机制方面的灵活性及其更强大的加密算法,它被认为比任何一个传统身份验证框架都安全。企业模式下的 WPA 2 分两个阶段执行身份验证。开放式身份验证的配置发生在第一阶段。第二阶段是使用 EAP 方法之一进行 802.1x 身份验证。AES 提供了加密机制。

在企业模式下,客户端和身份验证服务器使用EAP身份验证方法相互进行身份验证,客户端和服务器生成成对主密钥(PMK)。 服务器使用 WPA 2 动态地生成 PMK,并将 PMK 传送到 AP。

本部分讨论在企业操作模式下实施 WPA 2 所需的配置。

网络设置

在此设置中,运行思科轻量可扩展身份验证协议(LEAP)的Aironet 1310G AP/网桥使用WPA 2兼容客户端适配器对用户进行身份验证。使用配置了 AES-CCMP 加密的 WPA 2 时会发生密钥管理。将 AP 配置为运行 LEAP 身份验证的本地 RADIUS 服务器。要实施此设置,必须配置客户端适配器和 AP。配置 AP 和配置客户端适配器部分显示了 AP 和客户端适配器上的配置。

配置 AP

使用 GUI 完成以下配置 AP 的步骤:

  1. 将 AP 配置为运行 LEAP 身份验证的本地 RADIUS 服务器。

    1. 在左侧菜单中选择 Security > Server Manager,并定义 RADIUS 服务器的 IP 地址、端口和共享密钥。

      由于此配置将 AP 配置为本地 RADIUS 服务器,因此请使用 AP 的 IP 地址。将端口 1812 和 1813 用于本地 RADIUS 服务器操作。

    2. 在 Default Server Priorities 区域中,将默认优先进行 EAP 身份验证的服务器定义为 10.0.0.1。

      注意:10.0.0.1是本地RADIUS服务器。

    wpa2_config1.gif

  2. 从左侧菜单中选择 Security > Encryption Manager,并完成以下步骤:

    1. 在 Cipher 菜单中,选择 AES CCMP

      此选项通过将计数器模式和 CBC-MAC 结合使用来启用 AES 加密。

      wpa2_config2.gif

    2. 单击 Apply

  3. 选择Security > SSID Manager,然后创建新的服务集标识符(SSID)以用于WPA 2。

    1. 选中 Authentication Methods Accepted 区域中的 Network EAP 复选框。

      wpa2_config3.gif

      注意:在无线电接口上配置身份验证类型时,请遵循以下准则:

      • Cisco 客户端 - 使用 Network EAP。

      • 第三方客户端(包括与 Cisco Compatible Extensions [CCX] 兼容的产品)- 使用采用 EAP 的开放式身份验证。

      • Cisco 客户端与第三方客户端的组合 - 同时选择 Network EAP 和 Open Authentication with EAP。

    2. 将 Security SSID Manager 窗口向下滚动到 Authenticated Key Management 区域,并完成以下步骤:

      1. 在 Key Management 菜单中,选择 Mandatory

      2. 选中右侧的 WPA 复选框。

    3. 单击 Apply

      注意:VLAN的定义是可选的。如果定义了 VLAN,则与此 SSID 的使用关联的客户端设备将被划分到 VLAN 中。有关如何实施 VLAN 的详细信息,请参阅配置 VLAN。

      wpa2_config4.gif

  4. 选择 Security > Local Radius Server,并完成以下步骤:

    1. 单击位于窗口顶部的 General Set-Up 选项卡。

    2. 选中 LEAP 复选框,并单击 Apply。

    3. 在 Network Access Servers 区域中,定义 RADIUS 服务器的 IP 地址和共享密钥。

      对于本地 RADIUS 服务器,请使用 AP 的 IP 地址。

      wpa2_config5.gif

    4. 单击 Apply

  5. 将 General Set-Up 窗口向下滚动到 Individual Users 区域,然后定义各个用户。

    用户组的定义是可选的。

    wpa2_config6.gif

此配置定义了名为“user1”的用户并定义了口令。此外,此配置还为口令选择了 NT 散列。完成本部分中的过程后,AP 将准备接受来自客户端的身份验证请求。下一步是配置客户端适配器。

CLI 配置

访问点 
ap#show running-config 
Building configuration...
.
.
.
aaa new-model 
 !--- This command reinitializes the authentication, !--- authorization and accounting functions.

!
!
aaa group server radius rad_eap 
 server 10.0.0.1 auth-port 1812 acct-port 1813

!--- A server group for RADIUS is created called "rad_eap" !--- that uses the server at 10.0.0.1 on ports 1812 and 1813.

.
.
.
aaa authentication login eap_methods group rad_eap

!--- Authentication [user validation] is to be done for !--- users in a group called "eap_methods" who use server group "rad_eap".

.
.
.
!         
bridge irb
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption vlan 1 key 1 size 128bit 
   12345678901234567890123456 transmit-key

!---This step is optional !--- This value seeds the initial key for use with !--- broadcast [255.255.255.255] traffic. If more than one VLAN is !--- used, then keys must be set for each VLAN.

 encryption vlan 1 mode wep mandatory 

!--- This defines the policy for the use of Wired Equivalent Privacy (WEP). !--- If more than one VLAN is used, !--- the policy must be set to mandatory for each VLAN.

 broadcast-key vlan 1 change 300
  
!--- You can also enable Broadcast Key Rotation for each vlan and Specify the time after which Brodacst key is changed. If it is disabled Broadcast Key is still used but not changed.

ssid cisco vlan 1

!--- Create a SSID Assign a vlan to this SSID

 authentication open eap eap_methods
 authentication network-eap eap_methods
 
!--- Expect that users who attach to SSID "cisco" !--- request authentication with the type 128 Open EAP and Network EAP authentication !--- bit set in the headers of those requests, and group those users into !--- a group called "eap_methods." 

 !
 speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
 rts threshold 2312
 channel 2437
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
.
.
.
interface FastEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address 10.0.0.1 255.255.255.0 

!--- The address of this unit.

 no ip route-cache
!
ip default-gateway 10.77.244.194
ip http server
ip http help-path 
   http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100
ip radius source-interface BVI1
snmp-server community cable RO
snmp-server enable traps tty
radius-server local 

!--- Engages the Local RADIUS Server feature.

  nas 10.0.0.1 key shared_secret 

!--- Identifies itself as a RADIUS server, reiterates !--- "localness" and defines the key between the server (itself) and the access point(itself).

  !
  group testuser 

!--- Groups are optional.

  !
  user user1 nthash password1 group testuser 

!--- Individual user

  user user2 nthash password2 group testuser 

!--- Individual user !--- These individual users comprise the Local Database

!
radius-server host 10.0.0.1 auth-port 1812 acct-port 
   1813 key shared_secret

!--- Defines where the RADIUS server is and the key between !--- the access point (itself) and the server.

radius-server retransmit 3
radius-server attribute 32 include-in-access-req format %h
radius-server authorization permit missing Service-Type
radius-server vsa send accounting
bridge 1 route ip
!
!
line con 0
line vty 5 15
!
end

配置客户端适配器

请完成以下步骤:

注意:本文档使用运行固件2.5的Aironet 802.11a/b/g客户端适配器,并说明使用ADU版本2.5配置客户端适配器。

  1. 在 ADU 上的“Profile Management”窗口中,单击 New 以创建一个新配置文件。

    此时将显示一个新窗口,您在其中可以为 WPA 2 企业模式操作设置配置。在“General”选项卡下,输入客户端适配器将使用的配置文件名称和 SSID。

    在本示例中,配置文件名称和 SSID 均为 WPA2:

    注意:SSID必须与您在AP上为WPA 2配置的SSID匹配。

    wpa2_config7.gif

  2. 单击 Security 选项卡,单击 WPA/WPA2/CCKM,然后从 WPA/WPA2/CCKM EAP Type 菜单中选择 LEAP。

    此操作将启用 WPA 或 WPA 2,具体取决于您在 AP 上配置了哪个。

    wpa2_config8.gif

  3. 单击 Configure 以定义 LEAP 设置。

  4. 根据需要选择相应的 Username and Password Settings,然后单击 OK

    此配置选择选项 Automatically Prompt for User Name and Password。通过选择此选项可以在进行 LEAP 身份验证时手动输入用户名和口令。

    wpa2_config9.gif

  5. 单击 OK 以退出 Profile Management 窗口。

  6. 单击 Activate 以在客户端适配器上启用此配置文件。

    wpa2_config10.gif

    注意:如果您使用Microsoft无线零配置(WZC)配置客户端适配器,默认情况下,WPA 2不适用于WZC。因此,要允许启用了 WZC 的客户端运行 WPA 2,必须安装 Microsoft Windows XP 的一个热修补程序。有关安装,请参阅Microsoft下载中心 — Update for Windows XP(KB893357 leavingcisco.com )。

    安装此热修补程序后,您将可以使用 WZC 配置 WPA 2。

验证

使用本部分可确认配置能否正常运行。

  1. 显示 Enter Wireless Network Password 窗口时,请输入用户名和口令。

    wpa2_config11.gif

    下一个窗口是 LEAP Authentication Status。此阶段将根据本地 RADIUS 服务器验证用户凭据。

  2. 检查 Status 区域以查看身份验证的结果。

    wpa2_config12.gif

    如果身份验证成功,客户端将连接到无线 LAN。

  3. 检查 ADU Current Status 以验证客户端是否使用了 AES 加密和 LEAP 身份验证。

    这表示您已在 WLAN 中使用 LEAP 身份验证和 AES 加密实施了 WPA 2。

    wpa2_config13.gif

  4. 检查 AP/bridge Event Log 以验证是否已成功使用 WPA 2 对客户端进行了身份验证。

    wpa2_config14.gif

故障排除

目前没有针对此配置的故障排除信息。

在个人模式下配置

术语个人模式是指经过测试,可以在仅 PSK 操作模式下互操作以进行身份验证的产品。此模式要求在 AP 和客户端上手动配置 PSK。PSK 在客户站和 AP 上都通过口令或标识码对用户进行身份验证。不需要任何身份验证服务器。仅当客户端口令与 AP 口令匹配时,该客户端才能获得对网络的访问权。口令还提供 TKIP 或 AES 用来生成加密密钥以对数据包进行加密的密钥材料。个人模式是针对 SOHO 环境的;对于企业环境,它被认为是不安全的。本部分提供在个人操作模式下实施 WPA 2 所需的配置。

网络设置

在此设置中,使用与 WPA 2 兼容的客户端适配器的用户向 Aironet 1310G AP/网桥进行身份验证。在配置了 AES-CCMP 加密的情况下,使用 WPA 2 PSK 时会发生密钥管理。配置 AP 和配置客户端适配器部分显示了 AP 和客户端适配器上的配置。

配置 AP

请完成以下步骤:

  1. 在左侧菜单中选择 Security > Encryption Manager,并完成以下步骤:

    1. 在 Cipher 菜单中,选择 AES CCMP

      此选项通过将计数器模式和 CCMP 结合使用来启用 AES 加密。

      wpa2_config15.gif

    2. 单击 Apply

  2. 选择 Security > SSID Manager,并创建用于 WPA 2 的新 SSID。

    1. 选中 Open Authentication 复选框。

      wpa2_config16.gif

    2. 将 Security: SSID Manager 窗口向下滚动到 Authenticated Key Management 区域,并完成以下步骤:

      1. 在 Key Management 菜单中,选择 Mandatory

      2. 选中右侧的 WPA 复选框。

      wpa2_config17.gif

    3. 输入 WPA PSK 共享密钥或 WPA PSK 密码短语密钥。

      该密钥必须与您在客户端适配器上配置的 WPA PSK 密钥匹配。

    4. 单击 Apply

AP 可以立即接收来自无线客户端的身份验证请求。

配置客户端适配器

请完成以下步骤:

  1. 在 ADU 上的“Profile Management”窗口中,单击 New 以创建一个新配置文件。

    此时将显示一个新窗口,您可以在其中为 WPA 2 PSK 操作模式设置配置。在“General”选项卡下,输入客户端适配器将使用的配置文件名称和 SSID。

    在本示例中,配置文件名称为 WPA2-PSK,且 SSID 为 WPA2PSK:

    注意:SSID必须与您在AP上为WPA 2 PSK配置的SSID匹配。

    wpa2_config18.gif

  2. 单击 Security 选项卡,并单击 WPA/WPA2 Passphrase。

    此操作将启用 WPA PSK 或 WPA 2 PSK,具体取决于您在 AP 上配置了哪个。

    wpa2_config19.gif

  3. 单击 Configure

    此时将显示 Define WPA/WPA2 Pre-Shared Key 窗口。

  4. 从系统管理员处获得 WPA/WPA2 密码短语,然后在 WPA/WPA2 passphrase 字段中输入该密码短语。

    获得基础架构网络中 AP 的密码短语或对等网络中其他客户端的密码短语。

    请使用以下准则输入密码短语:

    • WPA/WPA2 密码短语必须包含 8 到 63 个之间的 ASCII 文本字符或 64 个十六进制字符。

    • 您的客户端适配器 WPA/WPA2 密码短语必须和您计划与其通信的 AP 的密码短语匹配。

    wpa2_config20.gif

  5. 单击 OK 以保存密码短语并返回到 Profile Management 窗口。

验证

使用本部分可确认配置能否正常运行。

激活WPA 2 PSK配置文件后,AP根据WPA 2密码短语(PSK)对客户端进行身份验证,并提供对WLAN的访问。

  1. 检查 ADU Current Status 以验证身份验证是否成功。

    此窗口提供了一个示例。此窗口显示所使用的加密为 AES,并且未执行任何基于服务器的身份验证:

    wpa2_config21.gif

  2. 检查 AP/bridge Event Log 以验证是否已成功使用 WPA 2 PSK 身份验证模式对客户端进行了身份验证。

    wpa2_config22.gif

故障排除

目前没有针对此配置的故障排除信息。

相关信息

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品