使用过渡模式配置增强型开放式SSID - OWE

下载选项

PDF (1.9 MB)
在各种设备上使用 Adobe Reader 查看
ePub (1.3 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.4 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2023 年 6 月 26 日

文档 ID:217737

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何在Catalyst 9800无线LAN控制器(9800 WLC)上配置Enhanced Open并对其进行故障排除。

先决条件

要求

Cisco 建议您了解以下主题：

思科无线局域网控制器(WLC)9800。
支持Wi-Fi 6E的思科接入点(AP)。
IEEE标准802.11ax。
Wireshark.

使用的组件

本文档中的信息基于以下软件和硬件版本：

WLC 9800-CL，带IOS® XE 17.9.3。
C9130、C9136、CW9162、CW9164和CW9166。
Wi-Fi 6客户端：
- IOS 16上的iPhone SE3gen
- Mac OS 12上的MacBook。
Wi-Fi 6E客户端：
- Lenovo X1 Carbon Gen11，配备英特尔AX211 Wi-Fi 6和6E适配器，带驱动程序版本22.200.2(1)。
- 带驱动程序v1(0.0.108)的Netgear A8000 Wi-Fi 6和6E适配器；
- 装有Android 13的手机Pixel 6a;
- 手机三星S23，安卓13。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

增强型开放是WiFi联盟提供的认证，是WPA3无线安全标准的一部分。与公共PSK无线网络相比，它在开放（未经身份验证的）网络上使用机会无线加密(OWE)来防止被动嗅探并防止简单攻击。

使用Enhanced Open，客户端和WLC（对于中央身份验证）或AP（对于FlexConnect本地身份验证）在关联过程中执行Diffie-Hellman密钥交换，并使用成对主密钥密钥(PMK)与4次握手。

OWE

机会无线加密(OWE)是IEEE 802.11的扩展，提供无线介质加密(IETF RFC 8110影响。基于OWE的身份验证的目的是避免AP和客户端之间的开放式非安全无线连接。OWE使用基于Diffie-Hellman算法的加密来设置无线加密。使用OWE时，客户端和AP在访问过程中执行Diffie-Hellman密钥交换，并将生成的成对主密钥(PMK)密钥与4次握手配合使用。使用OWE可增强部署基于开放式或共享PSK的网络的无线网络安全性。

OWE frame exchange OWE帧交换

转换模式

通常，企业网络只有一个未加密访客SSID，并且首选使用不支持增强型开放式客户端的旧客户端和带有增强型开放式共存功能的较新客户端。过渡模式是专门为适应此场景而引入的。

这要求配置两个SSID — 一个隐藏SSID以支持OWE，另一个为开放并广播的SSID。

机会无线加密(OWE)转换模式使OWE和非OWE STA能够同时连接到同一SSID。当所有OWE STA在OWE转换模式中看到SSID时，它们将使用OWE进行连接。

开放式WLAN和OWE WLAN都会传输信标帧。来自OWE WLAN的信标和探测响应帧包括Wi-Fi Alliance供应商IE，用于封装开放式WLAN的BSSID和SSID，同样，开放式WLAN也包括OWE WLAN。

OWE STA应仅在可用网络列表中向用户显示在OWE转换模式下运行的OWE AP的开放BSS的SSID，并应抑制该OWE AP的OWE BSS SSID的显示。

准则和限制：

增强型开放需要仅WPA3策略。思科Wave 1(基于思科IOS®)AP不支持WPA3。
必须将受保护管理帧(PMF)设置为“必需”。默认情况下，此项设置为仅使用WPA3第2层安全。
增强型开放仅适用于运行支持“增强型开放”的较新版本的最终客户端。

配置

典型使用案例，管理员希望配置增强型开放，但仍允许较旧的客户端连接到访客SSID。

网络图

Network Topology 网络拓扑

GUI的配置步骤：

创建第一个SSID，特此称为“OWE_Transition”。在本示例中，WLAN ID 3并确保其隐藏，同时禁用“Broadcast SSID”选项：

第1步选择Configuration > Tags & Profiles > WLANs以打开WLANs页面。

第2步点击Add以添加新的WLAN >添加WLAN名称“OWE_Transition”>将Status更改为Enable >确保Broadcast SSID为Disabled。

OWE Transition Enhanced Open SSID hidden OWE转换增强型开放式SSID隐藏

第3步选择Security > Layer 2选项卡> Select WPA3。

第4步将Protected Management Frame(PMF)设置为Required。

第5步在WPA Parameters >选中WPA3策略。选择AES(CCMP128)Encryption and OWE Auth Key Management。

第6步将WLAN ID 4（开放式WLAN）添加到“过渡模式WLAN ID”框。

第7步点击Apply to Device。

OWE Transition Mode - OWE SSID OWE转换模式 — OWE SSID

创建第二个SSID，在本示例中将其称为“open”，WLAN ID 4，并确保启用“Broadcast SSID”：

第1步选择Configuration > Tags & Profiles > WLANs以打开WLANs页面。

第2步点击Add以添加新的WLAN >添加WLAN名称“open”>将Status更改为Enable >确保Broadcast SSID为Enabled。

OWE Transition Open SSID OWE转换开放式SSID

第3步选择Security > Layer 2选项卡> Choose None。

第4步将WLAN ID 4(OWE_Transition)添加到“Transition Mode WLAN ID”框中。

第5步点击Apply to Device。

OWE Transition Mode Open WLAN Security OWE过渡模式开放式WLAN安全

警告：如果您之前使用相同的OWE WLAN SSID的开放式WLAN，Windows客户端会在SSID名称后附加“2”。要解决此问题，请导航到“Network & Internet > Wi-Fi > Manage known networks”（网络和互联网> Wi-Fi >管理已知网络）并删除旧连接。

此屏幕截图显示了最终结果：一个为WPA3+OWE+WPA3(名为“OWE_Transition”)提供安全保护并进行配置，另一个为名为“open”的完全开放SSID。只有名为“open”的完全开放的SSID才会在信标中广播其SSID，而“OWE_Transition”则会隐藏。

OWE Transition Mode WLANs OWE转换模式WLAN

第6步将创建的WLAN映射到所需的Policy Profiles到Policy Tag并将其应用到AP。

Policy Tag 策略标签

配置CLI:

增强型开放SSID:

Device# conf t
Device(config)# wlan OWE_Transition 3 OWE_Transition
Device(config)# no broadcast-ssid
Device(config)# no security ft adaptive
Device(config)# no security wpa wpa2
Device(config)# no security wpa akm dot1x
Device(config)# security wpa akm owe
Device(config)# security wpa transition-mode-wlan-id 4
Device(config)# security wpa wpa3
Device(config)# security pmf mandatory
Device(config)# no shutdown

开放式SSID:

Device# conf t
Device(config)# wlan open 4 open
Device(config)# no security ft adaptive
Device(config)# no security wpa
Device(config)# no security wpa wpa2
Device(config)# no security wpa wpa2 ciphers aes
Device(config)# no security wpa akm dot1x
Device(config)# security wpa transition-mode-wlan-id 3
Device(config)# no shutdown

策略配置文件:

Device(config)# wireless tag policy Wifi6E_TestPolicy
Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile

验证

这是检验部分。

验证CLI上的WLAN配置：

Device#show wlan id 3
WLAN Profile Name : OWE_Transition
================================================
Identifier : 3
Description : 
Network Name (SSID) : OWE_Transition
Status : Enabled
Broadcast SSID : Disabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : Disabled
WPA2 (RSN IE) : Disabled
WPA3 (WPA3 IE) : Enabled
AES Cipher : Enabled
CCMP256 Cipher : Disabled
GCMP128 Cipher : Disabled
GCMP256 Cipher : Disabled
Auth Key Management
802.1x : Disabled
PSK : Disabled
CCKM : Disabled
FT dot1x : Disabled
FT PSK : Disabled
FT SAE : Disabled
Dot1x-SHA256 : Disabled
PSK-SHA256 : Disabled
SAE : Disabled
OWE : Enabled
SUITEB-1X : Disabled
SUITEB192-1X : Disabled
SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
Transition Disable : Disabled
CCKM TSF Tolerance (msecs) : 1000
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 4
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Required
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
#show wlan id 4
WLAN Profile Name : open
================================================
Identifier : 4
Description : 
Network Name (SSID) : open
Status : Enabled
Broadcast SSID : Enabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 3
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]

在WLC中，您可以转到AP配置并验证两个WLAN在AP上均处于活动状态：

OWE Transition Mode AP Operational Configuration Viewer OWE转换模式AP操作配置查看器

启用时，AP仅具有开放式SSID但携带OWE转换模式信息元素(IE)的信标。当能够增强开放性的客户端连接到此SSID时，它会自动使用OWE在关联后加密所有流量。

以下是可以在空中(OTA)观察到的内容：

OWE Transition Open SSID Beacon OWE转换开放式SSID信标

带有SSID“open”的信标发送包含内部具有增强型开放SSID详细信息的OWE转换模式IE，如BSSID和SSID名称“OWE_Transition”。

还有隐藏了SSID的信标OTA，如果我们按bssid过滤，帧将发送到BSSID 00:df:1d:dd:7d:3e,BSSID是OWE转换模式IE:

OWE Beacon OWE信标

您还可以看到，OWE隐藏信标包含带有开放式ssid BSSID和SSID名称“open”的OWE转换模式IE。

以下屏幕截图显示支持增强开放的Android手机：它只显示不带锁定图标的开放式SSID（锁定图标会使用户认为它需要密码进行连接），但一旦连接后，安全显示使用了增强型开放安全。

OWE SSID list OWE SSID列表 OWE Client with Enhanced Open support OWE客户端，支持增强型开放式

在空中，我们可以看到完整的连接顺序：

OWE Transition full connection OWE转换完全连接

在侦听信标后，客户端会探测OWE SSID，然后AP响应。

然后发生正常OWE帧交换：身份验证请求和响应、关联请求和包含DH IE的响应，然后是EAPOL四向握手。

在WLC上，您可以验证客户端连接。支持OWE的客户端可以连接到增强型开放式WLAN(在本例中为WLAN ID 3:

Device#show wireless client mac-address 286b.3598.580f detail

Client MAC Address : 286b.3598.580f
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 3
WLAN Profile Name: OWE_Transition
Wireless LAN Network Name (SSID): OWE_Transition
BSSID : 00df.1ddd.7d3e
Connected For : 682 seconds 
Protocol : 802.11ax - 5 GHz
Channel : 64
Client IIF-ID : 0xa0000003
Association Id : 2
Authentication Algorithm : Open System
Idle state timeout : N/A
[...]
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable

我们可以在WLC GUI中观察到同样的内容：

OWE Transition Client details

OWE Transition Client Security

对于不支持“增强型开放”的客户端，它们只能看到开放式SSID并连接到该开放式SSID，而不会加密。

如图所示，这些客户端不支持增强型开放（分别是IOS 15上的iPhone和Mac OS 12上的MacBook），并且只能看到开放访客SSID，并且不使用加密。

Device that does not support OWE 不支持OWE的设备 Macbook on Mac OS 12 not supporting Enhanced Open 图 4：Mac OS 12上的MacBook不支持增强型开放

下面是不支持OWE的USB无线适配器的另一个示例：

Client that does not support Enhanced Open 不支持Enhanced Open的客户端

客户端不支持OWE可以连接到开放式WLAN，在本例中它是WLAN ID 4:

#show wireless client mac-address b44b.d623.a199 detail

Client MAC Address : b44b.d623.a199
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 4
WLAN Profile Name: open
Wireless LAN Network Name (SSID): open
BSSID : 00df.1ddd.7d3f
[...]
Authentication Algorithm : Open System
[...]
Protected Management Frame - 802.11w : No
EAP Type : Not Applicable

故障排除

确保客户端支持OWE，因为并非所有客户端都支持OWE。查看客户端供应商文档，例如Apple在此处记录了对其设备的支持。
由于存在OWE转换模式IE，某些较早的客户端甚至可能不接受开放式ssid信标，并且不在范围内的网络中提供SSID。如果您的客户端看不到开放式SSID，请从WLAN配置中删除过渡VLAN（设置为0），然后检查它是否看到该WLAN。
如果客户端看到开放式SSID，支持OWE，但它们仍然不使用WPA3进行连接，则验证转换VLAN ID是否正确并在两个WLAN的信标中广播。您可以在嗅探器模式下使用AP捕获OTA流量。请执行以下步骤以配置处于嗅探器模式的AP：处于嗅探器模式的AP Catalyst 91xx。
- 发送带有SSID“open”的信标时包含OWE转换模式IE，其中包含增强型开放SSID详细信息，如BSSID和SSID名称“OWE_Transition”：OWE转换开放式SSID信标
- 还有隐藏了SSID的信标OTA，如果我们按bssid过滤，帧将发送到BSSID 00:df:1d:dd:7d:3e,BSSID是OWE转换模式IE:
  
  OWE信标
  
  您还可以看到，OWE隐藏信标包含带有开放式ssid BSSID和SSID名称“open”的OWE转换模式IE。
- 您还可以查看AKM信息，并验证MFP是否通告为“必需”和“支持”：
- OWE Beacon AKM
根据客户端MAC地址和y收集RadioActive跟踪您会看到如下所示的类似日志：

2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

参考

什么是Wi-Fi 6E?

什么是Wi-Fi 6与Wi-Fi 6E?

Wi-Fi 6E概览

Wi-Fi 6E:Wi-Fi白皮书中的下一个重要章节

Cisco Catalyst 9800系列无线控制器软件配置指南17.9.x

WPA3部署指南