在Cisco Aironet无线安全常见问题

简介

本文档提供了有关 Cisco Aironet 无线安全的最常见问题 (FAQ) 的信息。

一般常见问题解答

问：对无线安全有什么需求？

答：在有线网络中，数据保留在连接终端设备的电缆中。但无线网络通过在空间中广播的 RF 信号传送和接收数据。鉴于 WLAN 采用的广播特性，数据遭到黑客或入侵者访问或破坏的威胁更大。为了缓解这一问题，所有 WLAN 都额外要求：

1. 用户身份验证，以防止对网络资源进行未经授权的访问。

2. 数据保密性（也称为加密），以保护所传输数据的完整性和保密性。

问：无线LAN的802.11标准定义了哪些不同的身份验证方法？

答： 802.11标准定义了两种无线LAN客户端身份验证机制：

1. 开放验证

2. 共享密钥身份验证

除此之外，还有两种常用的机制：

1. 基于 SSID 的身份验证

2. MAC 地址身份验证

问：什么是开放式身份验证？

答：开放式身份验证基本上是一个空的身份验证算法，这意味着用户或机器没有验证。开放式身份验证允许对接入点 (AP) 提出身份验证请求的所有设备。 开放式身份验证使用明文传输以允许客户端与 AP 关联。如果不启用加密，则知道 WLAN 的 SSID 的所有设备就都能访问该网络内部。如果对 AP 启用了 Wired Equivalent Privacy (WEP)，WEP 密钥就会变成一种访问控制方式。即使身份验证成功，没有正确 WEP 密钥的设备也不能通过 AP 传送数据。此类设备也不能解密 AP 发送的数据。

问：开放式身份验证涉及哪些步骤使客户端与AP关联？

1. 客户端向 AP 发送探测请求。

2. AP 发回探测响应。

3. 客户端对 AP 响应进行评估并选择最佳 AP。

4. 客户端向 AP 发送身份验证请求。

5. AP 确认身份验证并注册客户端。

6. 然后客户端向 AP 发送关联请求。

7. AP 确认关联并注册客户端。

问：开放式身份验证有哪些优点和缺点？

答：开放式身份验证的优点和缺点如下：

优势：开放式身份验证是一种基本身份验证机制，可以将其用于不支持复杂身份验证算法的无线设备。802.11 规范中的身份验证是面向连接的。根据设计，身份验证的要求允许设备快速访问网络。在这种情况下，您可以使用开放式身份验证。

缺点：开放式身份验证未提供任何方法来检查客户端是否为有效客户端以及客户端是否不是黑客客户端。如果开放式身份验证不使用 WEP 加密，则知道 WLAN 的 SSID 的所有用户就都能访问网络。

问：什么是共享密钥身份验证？

答：共享密钥身份验证与开放式身份验证类似，但有一个主要区别。当您使用带 WEP 加密密钥的开放式身份验证时，WEP 密钥用于加密和解密数据，但不用于身份验证步骤。在共享密钥身份验证中，WEP 加密用于身份验证。与开放式身份验证类似，共享密钥身份验证要求客户端和 AP 拥有相同的 WEP 密钥。使用共享密钥身份验证的 AP 向客户端发送质询文本数据包。客户端使用本地配置的 WEP 密钥对质询文本进行加密，然后发送一个身份验证请求作为应答。如果 AP 能解密身份验证请求并检索原始质询文本，AP 将发送准许访问客户端的身份验证响应。

问：共享密钥身份验证涉及哪些步骤，客户端才能与AP关联？

1. 客户端向 AP 发送探测请求。

2. AP 发回探测响应。

3. 客户端对 AP 响应进行评估并选择最佳 AP。

4. 客户端向 AP 发送身份验证请求。

5. AP 发送包含未加密质询文本的身份验证响应。

6. 客户端使用 WEP 密钥对质询文本进行加密并将该文本发送到 AP。

7. AP 将未加密的质询文本与加密的质询文本进行比较。如果身份验证能解密并检索原始质询文本，则该身份验证成功。

在客户端关联过程中，共享密钥身份验证会使用 WEP 加密。

问：共享密钥身份验证有哪些优点和缺点？

答：在共享密钥身份验证中，客户端和AP交换质询文本（明文）和加密质询。因此，这种类型的身份验证易受到中间人攻击。黑客能监听未加密质询和加密质询，并且从此信息中提取 WEP 密钥（共享密钥）。黑客知道 WEP 密钥后，整个身份验证机制就被攻陷，因此黑客能访问 WLAN 网络。这是共享密钥身份验证的主要缺点。

问：什么是MAC地址身份验证？

答：虽然802.11标准没有指定MAC地址身份验证，但WLAN网络通常使用此身份验证技术。因此，大多数无线设备供应商（包括 Cisco）都支持 MAC 地址身份验证。

在 MAC 地址身份验证中，根据客户端的 MAC 地址对客户端进行身份验证。将对照 AP 上本地存储的或外部身份验证服务器上存储的 MAC 地址列表验证客户端的 MAC 地址。与 802.11 提供的开放式身份验证和共享密钥身份验证相比，MAC 身份验证机制的安全性更高。这种身份验证形式进一步降低了未授权的设备能够访问网络的可能性。

问：为什么MAC身份验证在Cisco IOS软件版本12.3(8)JA2中与Wi-Fi保护访问(WPA)不配合使用？

答：MAC身份验证的唯一安全级别是根据允许的MAC地址列表检查客户端的MAC地址。这被认为安全性非常低。在较低的 Cisco IOS 软件版本中，您可以配置 MAC 身份验证和 WPA 以加密信息。但因为 WPA 自身具有需要检查的 MAC 地址，Cisco 决定不允许在较高的 Cisco IOS 软件版本中进行此类配置，并决定只改善安全功能。

问：我能否使用SSID作为验证无线设备的方法？

答：服务集标识符(SSID)是WLAN用作网络名称的唯一、区分大小写的字母数字值。SSID 是一种允许逻辑分离无线 LAN 的机制。SSID 既不提供任何数据保密性功能，也不真正向 AP 验证客户端。SSID 值以明文形式在信标、探测请求、探测响应和其他类型的帧中进行广播。窃听者通过使用 802.11 无线 LAN 数据包分析程序（例如，Sniffer Pro）很容易确定 SSID。Cisco 建议您不要将 SSID 用作保护 WLAN 网络的方法。

问：如果禁用SSID广播，我能否在WLAN网络上实现增强的安全性？

A.禁用SSID广播时，Beacon消息中不发送SSID。不过，其他帧（例如，探测请求和探测响应）仍然具有明文形式的 SSID。因此，禁用 SSID 不能增强无线安全性。从设计或预期用途的角度讲，SSID 不是一种安全机制。另外，如果禁用 SSID 广播，对于混合客户端部署，您可能会遇到 Wi-Fi 互操作性问题。因此，Cisco 建议您不要将 SSID 用作安全模式。

问：在802.11安全中发现哪些漏洞？

A. 802.11安全的主要漏洞总结如下：

• 仅对设备进行身份验证不是很安全：对客户端设备而不是用户进行身份验证。

• 数据加密不是很安全：Wired Equivalent Privacy (WEP) 已被证明是一种无效的数据加密方法。

• 消息的完整性没有保证：完整性校验值 (ICV) 在确保消息完整性方面已被证明是一种无效的方法。

问：802.1x身份验证在WLAN中的作用是什么？

答：为了解决802.11标准定义的原始身份验证方法中的缺陷和安全漏洞，802.1X身份验证框架已包含在802.11 MAC层安全增强的草案中。IEEE 802.11 任务组 i (TGi) 当前正在开发这些增强功能。802.1X 框架所提供的链路层具有通常仅在更高层中才能看到的可扩展身份验证。

问：802.1x框架定义了哪三个实体？

A.802.1x 框架要求以下三个逻辑实体验证 WLAN 网络上的设备。

1. 请求方 - 请求方驻留在无线 LAN 客户端上，也称为 EAP 客户端。

2. 身份验证程序 - 身份验证程序驻留在 AP 上。

3. 身份验证服务器 - 身份验证服务器驻留在 RADIUS 服务器上。

问：当我使用802.1x身份验证框架时，无线客户端身份验证如何发生？

答：当无线客户端（EAP客户端）变为活动状态时，无线客户端会使用开放或共享身份验证进行身份验证。802.1x 使用开放式身份验证进行工作，并在客户端成功与 AP 关联后启动。客户端工作站可以关联，但只能在成功通过 802.1x 身份验证后才能传递数据流。802.1x 身份验证中的步骤如下：

1. 针对 802.1x 配置的 AP（身份验证程序）从客户端请求用户的身份。

2. 客户端在规定的时间内响应自己的身份。

3. 服务器检查用户的身份，如果用户的身份存在于其数据库中，服务器便开始验证客户端。

4. 服务器向 AP 发送成功消息。

5. 客户端通过身份验证后，服务器就会将加密密钥转发给 AP 以用于加密/解密发送至及来自客户端的数据流。

6. 在步骤 4 中，如果用户的身份不存在于数据库中，服务器会停止身份验证并向 AP 发送失败消息。

7. AP 会将此消息转发给客户端，客户端必须使用正确的凭据再次进行身份验证。

注意：在整个802.1x身份验证过程中，AP只是将身份验证消息转发到客户端和从客户端转发身份验证消息。

问：我可以与802.1x身份验证框架一起使用哪些不同的EAP变体？

A.802.1x 定义了验证客户端的过程。802.1x 框架中使用的 EAP 类型定义了 802.1x 交换中使用的凭据类型和身份验证方法。802.1x 框架可以使用以下任何一个 EAP 变体：

• EAP-TLS — 可扩展的认证协议 (EAP) 传输层安全

• EAP-FAST - EAP 通过安全隧道的灵活身份验证

• EAP-SIM — EAP 用户身份模块

• Cisco LEAP - 轻量级可扩展的认证协议 (LEAP)

• EAP-PEAP — EAP 受保护的可扩展的认证协议 (PEAP)

• EAP-MD5 - EAP — 消息摘要算法5

• EAP-OTP - EAP 一次性口令

• EAP-TTLS - EAP 隧道化传输层安全

问：如何从不同的可用变体中选择802.1x EAP方法？

答：您必须考虑的最重要因素是EAP方法是否与现有网络兼容。另外，Cisco 建议您选择一种支持相互身份验证的方法。

问：什么是本地EAP身份验证？

答：本地EAP是WLC充当身份验证服务器的机制。用户凭据存储在 WLC 本地以用于对无线客户端进行身份验证，这是服务器停机后在远程办公室执行的一个后端进程。用户凭据可以从 WLC 的本地数据库或从外部 LDAP 服务器进行检索。LEAP、EAP-FAST、EAP-TLS、PEAPv0/MSCHAPv2 和 PEAPv1/GTC 是本地 EAP 支持的不同 EAP 身份验证。

问：什么是Cisco LEAP?

答：轻量级可扩展身份验证协议(LEAP)是思科专有的身份验证方法。Cisco LEAP 是一种针对无线 LAN (WLAN) 的 802.1X 身份验证类型。 Cisco LEAP 支持在客户端和 RADIUS 服务器之间通过作为共享密钥的登录口令进行强相互身份验证。Cisco LEAP 针对每个用户、每个会话提供动态加密密钥。LEAP 是部署 802.1x 的最简单方法，只需要一台 RADIUS 服务器即可。有关 LEAP 的信息，请参阅 Cisco LEAP。

问：EAP-FAST如何工作？

答：EAP-FAST使用对称密钥算法实现隧道身份验证过程。隧道的建立依靠受保护的访问凭据 (PAC)，其中可以由 EAP-FAST 通过身份验证、授权和记帐 (AAA) 服务器（例如 Cisco 安全访问控制服务器 [ACS] v. 3.2.3）来动态配置和管理 EAP-FAST。 通过一个相互已验证的隧道，EAP-FAST 防御词典攻击和中间人漏洞。EAP-FAST 的各个阶段如下：

EAP-FAST 不仅能降低被动词典攻击和中间人攻击的风险，而且支持基于当前部署的基础架构的安全身份验证。

• 第 1 阶段：建立相互已验证的隧道 - 客户端和 AAA 服务器使用 PAC 互相进行身份验证并建立安全隧道。

• 第 2 阶段：在建立的隧道中执行客户端验证 - 客户端发送用户名和口令来进行身份验证并建立客户端授权策略。

• （可选）阶段 0 - EAP-FAST 身份验证偶尔会使用此阶段来允许为客户端动态配置 PAC。此阶段会在用户和网络之间安全地生成一个每用户访问凭据。身份验证的阶段 1 使用此每用户凭据，称为 PAC。

有关详细信息，请参阅 Cisco EAP-FAST。

问：cisco.com上是否有说明如何在思科WLAN网络中配置EAP的文档？

A.有关如何在WLAN网络中配置EAP身份验证的信息，请参阅使用RADIUS服务器进行EAP身份验证。

有关如何配置 PEAP 身份验证的信息，请参阅受保护的 EAP 应用说明。

有关如何配置 LEAP 身份验证的信息，请参阅使用本地 RADIUS 服务器执行 LEAP 身份验证。

问：无线网络中最常用的加密机制有哪些？

答：以下是无线网络中最常用的加密方案：

• WEP

• TKIP

• AES

AES 是一种硬件加密方法，而 WEP 和 TKIP 加密是在固件中处理的。通过升级固件，WEP 设备可以支持 TKIP，因此它们是可相互操作的。AES 是最安全和最快速的方法，而 WEP 是最不安全的方法。

问：什么是WEP加密？

答：WEP代表有线等效保密。WEP 用于加密和解密在 WLAN 设备之间传输的数据信号。WEP是IEEE 802.11的一个可选功能，防止在运送中的包被发现和修改并且提供对使用网络的接入控制。WEP 使得 WLAN 链路与有线链路一样安全。根据标准中的规定，WEP 使用带有 40 位或 104 位密钥的 RC4 算法。RC4 在对数据进行加密和解密时均使用相同的密钥，因此是一种对称算法。当WEP被启用时，每个“station”有一个关键字。关键字被用于在数据的发射前通过广播频道加扰数据。如果接收到了未使用相应密钥加扰的数据包，无线电站会丢弃该数据包，并且永不将这样的数据包传递给主机。

有关如何配置 WEP 的信息，请参阅配置 Wired Equivalent Privacy (WEP)。

问：什么是广播密钥轮换？广播密钥交替的频率是多少？

答：广播密钥旋转允许AP生成最佳可能的随机组密钥。广播密钥交替会定期更新所有具有密钥管理功能的客户端。当您启用广播 WEP 密钥交替后，AP 会提供一个动态广播 WEP 密钥并且以您设置的时间间隔更改该密钥。如果无线 LAN 支持 Cisco 设备之外的无线客户端设备，或者支持不能升级至 Cisco 客户端设备的最新固件的设备，则广播密钥交替是 TKIP 之外的最佳选择。有关如何配置广播密钥交替功能的信息，请参阅启用和禁用广播密钥交替。

问：什么是TKIP?

A. TKIP代表临时密钥完整性协议。引入 TKIP 是为了应对 WEP 加密存在的缺点。TKIP也称为WEP密钥散列，最初称为WEP2。TKIP是解决WEP密钥重用问题的临时解决方案。与 WEP 一样，TKIP 使用 RC4 算法执行加密。与 WEP 的一个主要区别是 TKIP 为每个数据包都更改临时密钥。每个数据包的临时密钥都发生更改，是因为每个数据包的哈希值都发生更改。

问：使用TKIP的设备能否与使用WEP加密的设备进行互操作？

答：TKIP的优势是，使用现有基于WEP的AP和无线电的WLAN可以通过简单的固件补丁升级到TKIP。并且，仅 WEP 设备仍然可以与使用 WEP 的已启用 TKIP 的设备互操作。

问：什么是消息完整性检查(MIC)?

答：MIC是解决WEP加密漏洞的又一项增强。MIC 可阻止对加密数据包的位翻转攻击。在位翻转攻击期间，入侵者会拦截加密的消息，修改消息，然后重新传输修改过的消息。接收方不知道消息已损坏并且并非合法消息。为了解决这个问题，MIC 功能在无线帧中添加了一个 MIC 字段。该 MIC 字段提供帧完整性检查，该检查不易受与 ICV 一样的数学缺点的攻击。MIC 还在无线帧中添加了一个序列号字段。AP 将丢弃接收到的顺序错误的帧。

问：什么是WPA?WPA2 与 WPA 有何不同？

答：WPA是Wi-Fi联盟基于标准的安全解决方案，可解决本地WLAN中的漏洞。WPA 为 WLAN 系统提供增强的数据保护和访问控制。WPA 可以应对原始 IEEE 802.11 安全实施中存在的所有已知有线等效加密 (WEP) 漏洞，并为企业和小型办公室、家庭办公室 (SOHO) 环境中的 WLAN 网络提供一种即时安全解决方案。

WPA2 是新一代 Wi-Fi 安全证书。WPA2是已批准的IEEE 802.11i标准的Wi-Fi联盟可互操作的实施。WPA2 通过将计数器模式与口令块链消息身份验证码协议 (CCMP) 结合使用，实现了美国国家标准与技术研究所 (NIST) 推荐的高级加密标准 (AES) 加密算法。AES 计数器模式是一次使用一个 128 位加密密钥加密 128 位数据块的块加密程序。WPA2 提供的安全级别比 WPA 高。WPA2在每个关联上创建新会话密钥。WPA2 用于网络上每个客户端的加密密钥都是唯一的，并且特定于相应客户端。最终，通过空气发送的每个数据包都会使用一个唯一的密钥进行加密。

WPA1 和 WPA2 都能使用 TKIP 或 CCMP 加密。（某些接入点和某些客户端确实会限制组合，但共有四种可能的组合）。 WPA1 和 WPA2 之间的区别在于放入信标、关联帧和四次握手帧的信息元素。这些信息元素中的数据基本上是相同的，但使用的标识符不同。密钥握手中的主要区别是 WPA2 在四次握手中包括初始组密钥，并且跳过第一组密钥握手，而 WPA 需要执行此额外的握手以提供初始组密钥。组密钥的重发密钥过程与此相似。握手在为用户数据报传输选择和使用加密套件（TKIP 或 AES）之前发生。在 WPA1 或 WPA2 握手期间确定要使用的加密套件。一旦选择后，加密套件就会用于所有用户数据流。因此，WPA1加AES不是WPA2。WPA1允许（但通常是客户端限制）TKIP或AES密码。

什么是AES?

A. AES代表高级加密标准。AES 提供更强的加密。AES使用Rijndael算法，该算法是支持128位、192位和256位密钥的分组加密算法，比RC4强得多。要使WLAN设备支持AES，硬件必须支持AES而不是WEP。

问：Microsoft Internet Authentication Service(IAS)服务器支持哪些身份验证方法？

答：IAS支持以下身份验证协议：

• 密码 认证 协议 (PAP)

• Shiva 口令身份验证协议 (SPAP)

• 质询 握手 验证 协议 ( CHAP )

• Microsoft 质询握手身份验证协议 (MS-CHAP)

• Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2)

• 可扩展的认证协议 - 消息摘要 5 CHAP (EAP-MD5 CHAP)

• EAP 传输层安全 (EAP-TLS)

• 受保护的 EAP-MS-CHAP v2 (PEAP-MS-CHAP v2)（也称为 PEAPv0/EAP-MSCHAPv2）

当安装了 Windows 2000 Server Service Pack 4 时，Windows 2000 Server 中的 PEAP-TLS IAS 支持 PEAP-MS-CHAP v2 和 PEAP-TLS。有关详细信息，请参阅用于 IAS 的身份验证方法 。

问：VPN如何在无线环境中实施？

A. VPN是第3层安全机制；无线加密机制是在第 2 层实施的。VPN 在 802.1x、EAP、WEP、TKIP 和 AES 上实施。设置第 2 层机制后，VPN 会增加实施开销。在没有实施安全的地方（如公共热点和旅馆），VPN 将是一种有效的实施解决方案。

故障排除和设计常见问题解答

问：在室外无线LAN中部署无线安全功能，是否有最佳实践？

A.参见室外无线安全的最佳实践。本文提供了有关部署室外无线 LAN 的最佳安全做法的信息。

问：我能否将Windows 2000或2003服务器与Active Directory结合使用，以便RADIUS服务器对无线客户端进行身份验证？

答：带有Active Directory的Windows 2000或2003服务器可以用作RADIUS服务器。因为 Cisco 不支持 Windows 服务器配置，所以有关如何配置此类 RADIUS 服务器的信息，您需要与 Microsoft 联系。

问：我的站点即将从开放式无线网络（350和1200系列AP）迁移到PEAP网络。我希望开放式 SSID（为开放式身份验证配置的 SSID）和 PEAP SSID（为 PEAP 身份验证配置的 SSID）同时在同一 AP 上工作。这样我们就有时间将客户端迁移到 PEAP SSID 了。有没有办法可在同一 AP 上同時承载开放式 SSID 和 PEAP SSID？

答：思科AP支持VLAN（仅第2层）。 实际上这是实现您的目的的唯一方法。您需要创建二个 VLAN（本地 VLAN 和另一个 VLAN）。 然后您可以为一个 VLAN 设置 WEP 密钥，而不为另一个 VLAN 设置 WEP 密钥。这样，您就可以将一个 VLAN 配置为开放式身份验证，并将另一个 VLAN 配置为 PEAP 身份验证。如果要了解如何配置 VLAN，请参阅将 VLAN 用于 Cisco Aironet 无线设备。

请注意，您需要配置您用于 dot1q 和 VLAN 间路由的交换机、您的 L3 交换机或您的路由器。

问：我想设置我的Cisco AP 1200 VxWorks，让无线用户向Cisco 3005 VPN集中器进行身份验证。为此需要在 AP 和客户端上进行什么配置？

答：在AP或客户端上，此场景无需特定配置。您必须在 VPN 集中器上进行所有配置。

问：我正在部署Cisco 1232 AG AP。我想知道部署此 AP 的最安全方法。我没有 AAA 服务器，并且仅有的资源是 AP 和 Windows 2003 域。我知道如何使用静态 128 位 WEP 密钥、非广播 SSID 和 MAC 地址限制。用户主要使用 Windows XP 工作站和一些 PDA。针对此设置的最安全实施方法是什么？

答：如果您没有像Cisco ACS这样的RADIUS服务器，可以将AP配置为LEAP、EAP-FAST或MAC身份验证的本地RADIUS服务器。

注意：您必须考虑的一个非常重要的问题是，您是要将客户端与LEAP还是EAP-FAST一起使用。如果用于的话，您的客户端就必须有支持 LEAP 或 EAP-FAST 的实用程序。Windows XP 实用程序仅支持 PEAP 或 EAP-TLS。

问：PEAP身份验证失败，错误为“EAP-TLS或PEAP身份验证在SSL握手期间失败”。 为什么？

答：此错误可能是由于Cisco Bug ID CSCee06008(仅限注册的客户)所致。PEAP在ADU 1.2.0.4上失败。此问题的解决方法是使用ADU的最新版本。

问：我能否在同一SSID上进行WPA和本地MAC身份验证？

答：Cisco AP不支持同一服务集标识符(SSID)中的本地MAC身份验证和Wi-Fi保护访问预共享密钥(WPA-PSK)。 当您启用带 WPA-PSK 的本地 MAC 身份验证时，WPA-PSK 将停止工作。出现此问题是因为本地 MAC 身份验证从配置中删除了 WPA-PSK ASCII 口令行。

问：我们目前为数据VLAN设置了三个Cisco 1231无线AP，采用密码128位WEP加密。我们不广播 SSID。我们的环境中没有单独的 RADIUS 服务器。有人能通过扫描工具确定 WEP 密钥，并且有两三周时间使用该工具监控我们的无线数据流。如何阻止这种情况以及如何能使网络安全？

答：静态WEP容易受此问题的影响，如果黑客捕获了足够的数据包并且能够获取两个或多个具有相同初始化矢量(IV)的数据包，则可以派生此问题。

有多种方式可防止出现此问题：

1. 使用动态 WEP 密钥。

2. 使用 WPA。

3. 如果只有 Cisco 适配器，请启用每包密钥和 MIC。

问：如果我有两个不同的WLAN，两个都配置了Wi-Fi保护访问(WPA) — 预共享密钥(PSK)，预共享密钥能否因每个WLAN而不同？如果它们不同，是否会影响使用不同预先共享密钥配置的另一 WLAN？

答：WPA-PSK的设置应为每个WLAN。如果更改一个 WPA-PSK，不应该影响配置的另一个 WLAN。

问：在我的环境中，我主要使用Intel Pro/Wireless、可扩展身份验证协议 — 通过安全隧道(EAP-FAST)的灵活身份验证，以及与Windows Active Directory(AD)帐户链接的思科安全访问控制服务器(ACS)3.3。问题是当用户口令即将过期时，Windows 不提示用户更改口令。最终，帐户过期。有没有使 Windows 能提示用户更改口令的解决方案？

答：Cisco Secure ACS密码老化功能使您能够强制用户在以下一个或多个条件下更改其密码：

• 在指定天数以后（日期寿命规则）

• 在指定的登录次数以后（使用次数寿命规则）

• 新用户第一次登录时（口令更改规则）

有关如何针对此功能配置 Cisco Secure ACS 的详细信息，请参阅针对 CiscoSecure 用户数据库启用口令过期。

问：当用户使用LEAP无线登录时，他们会获得登录脚本来映射网络驱动器。然而，使用带 PEAP 身份验证的 Wi-Fi Protected Access (WPA) 或 WPA2 时，登录脚本不能运行。与 RADIUS (ACS) 一样，客户端和接入点都是 Cisco。 为什么登录脚本在 RADIUS (ACS) 上不能运行？

答：要使登录脚本工作，必须进行计算机身份验证。这使无线用户能够在用户登录之前访问网络以加载脚本。

有关如何配置带 PEAP-MS-CHAPv2 的计算机身份验证的信息，请参阅配置带 PEAP-MS-CHAPv2 计算机身份验证的 Cisco Secure ACS for Windows v3.2。

问：使用Cisco Aironet桌面实用程序(ADU)版本3.0，当用户为可扩展身份验证协议传输层安全(EAP-TLS)配置计算机身份验证时，ADU不允许用户创建配置文件。为什么？

答：这是因为Cisco Bug ID CSCsg32032(仅限注册客户)(仅限注册客户)。 如果客户端 PC 安装了计算机证书且没有用户证书，则会发生这种情况。

解决方法是将计算机证书复制到用户存储，创建 EAP-TLS 配置文件，然后从用户存储删除证书，以便使用仅计算机身份验证的配置。

问：有没有根据客户端的MAC地址在无线LAN上分配VLAN的方法？

不，这不可能。来自 RADIUS 服务器的 VLAN 分配只能用于 802.1x，而不是 MAC 身份验证。如果在 RADIUS 服务器上验证 MAC 地址（在 LEAP/PEAP 中定义为用户 ID/口令），您可以使用 RADIUS 推送带 MAC 身份验证的 VSA。

相关信息

• 无线网络安全
• 无线 LAN 安全白皮书
• 无线 LAN 安全概述
• 无线 LAN 网络的 EAP-TLS 部署指南
• Cisco LEAP
• 配置有线等效私密性 (WEP)
• 无线产品支持
• 技术支持和文档 - Cisco Systems