配置安全策略
背景信息
用户配置WLAN安全策略时,建议参考如下:
安全策略 |
建议配置场景 |
说明 |
配置的用户接入认证 |
|---|---|---|---|
开放认证 |
机场、车站、商业中心、会议场馆等公共场所,用户流动性大,结合Portal认证方式,支持认证、计费和授权,可推送各种信息页面。 |
单独使用时不安全,任何无线终端均可接入网络,建议同时配置Portal认证或MAC认证。 |
|
WEP |
无 |
WEP安全性低,不建议用户使用。 |
无 |
WPA/WPA2-PSK认证 |
个人或家庭使用较多。 |
安全性高于WEP,无需第三方服务器,成本低。 |
无 |
WPA/WPA2-802.1X认证 |
移动办公、园区网络、移动政务等,用户较为固定,对安全要求高,集中管理用户和授权。 |
安全性高,需要第三方服务器。 |
802.1X认证 |
WAPI-PSK认证 |
无 |
安全性高于WEP,无需第三方服务器,仅部分终端支持该协议。 |
无 |
WAPI-证书认证 |
无 |
安全性高,需要第三方服务器,但仅部分终端支持该协议。 |
无 |
配置WEP
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan ac,进入WLAN视图。
- 执行命令security-profile name profile-name,进入指定的安全模板视图。
- 执行命令security wep [ share-key ],配置安全策略为WEP。
配置share-key,表示使用该共享密钥对无线终端认证,并对业务报文加密;不配置该参数则表示仅对业务报文加密。无论该参数是否配置,无线终端上的设置相同,都需要输入共享密钥。
一个AP只能配置四个密钥索引,且不同的VAP使用的密钥索引不能相同。即如果一个密钥索引在某一个VAP中生效后,该密钥索引不能再用于其它的VAP。
- 执行命令wep key key-id { wep-40 | wep-104 | wep-128 } { pass-phrase | hex } key-value,配置WEP的共享密钥和密钥索引。
您可以在《AR 路由器缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
- 执行命令wep default-key key-id,配置WEP使用的共享密钥的密钥索引。
缺省情况下,使用索引为0的密钥。
WEP的密钥可以配置4个,通过该命令配置指定索引的密钥生效,设备的密钥索引ID从0开始。
部分终端扫描到SSID后,无法通过单击或双击该SSID成功接入网络,可能是终端默认设置导致。此时可以在终端上手动添加一个无线网络,输入设备上配置的SSID、网络身份验证和数据加密方式、网络密钥和密钥索引,配置完成可以正常接入网络。部分终端设置密钥索引时,取值是从1开始设置,范围是1~4,这种情况则根据取值范围从小到大和设备上对应,例如设备上配置生效的密钥索引为0,则终端上应设置的密钥索引为1。
配置WPA/WPA2-PSK认证
背景信息
WPA和WPA2都可以使用PSK认证,支持TKIP或AES两种加密算法,它们之间的不同主要表现在协议报文格式上,在安全性上几乎没有差别。
WPA/WPA2-PSK认证主要用于个人、家庭与小型SOHO网络,对网络安全要求相对较低,不需要认证服务器。如果无线终端只支持WEP加密,则升级为PSK+TKIP无需升级硬件,而升级为PSK+AES可能需要升级硬件。
无线终端的种类多种多样,支持的认证和加密方式也有所差异,为了便于多种类型的终端接入,方便网络管理员的管理,可以使用混合方式配置WPA和WPA2。配置安全策略为WPA-WPA2,则支持WPA或WPA2的终端都可以接入设备进行认证;配置加密方式为TKIP-AES,则支持TKIP加密或AES加密的终端都可以对业务报文进行加密。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan ac,进入WLAN视图。
- 执行命令security-profile name profile-name,进入指定的安全模板视图。
- 执行命令security { wpa | wpa2 | wpa-wpa2 } psk { pass-phrase | hex } key-value { aes | tkip | aes-tkip },配置安全策略为WPA/WPA2-PSK。
- (可选)执行命令wpa ptk-update enable,使能PTK的定时更新功能。
缺省情况下,PTK的定时更新功能未使能。
使用PTK的定时更新功能时,由于终端自身的原因,部分终端可能会下线。
- (可选)执行命令wpa ptk-update
ptk-update-interval ptk-rekey-interval,配置PTK的定时更新周期。
缺省情况下,PTK的定时更新周期为43200秒。
配置WPA/WPA2-802.1X认证
背景信息
WPA和WPA2都可以使用802.1X认证,支持TKIP或AES两种加密算法,它们之间的不同主要表现在协议报文格式上,在安全性上几乎没有差别。
WPA/WPA2-802.1X认证主要用于企业网络等安全要求较高的网络,需要独立的认证服务器。如果用户的设备只支持WEP加密,则升级为802.1X+TKIP无需升级硬件,而升级为802.1X+AES可能需要升级硬件。
无线终端的种类多种多样,支持的认证和加密方式也有所差异,为了便于多种类型的终端接入,方便网络管理员的管理,可以使用混合方式配置WPA和WPA2。配置安全策略为WPA-WPA2,则支持WPA或WPA2的终端都可以接入设备进行认证;配置加密方式为TKIP-AES,则支持TKIP加密或AES加密的终端都可以对业务报文进行加密。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan ac,进入WLAN视图。
- 执行命令security-profile name profile-name,进入指定的安全模板视图。
- 执行命令security { wpa | wpa2 | wpa-wpa2 } dot1x { aes | tkip | aes-tkip },配置安全策略为WPA/WPA2-802.1X。
请确保配置认证模板,完成802.1X的接入认证配置,具体可参见配置NAC。
安全模板与认证模板必须同时配置为802.1X认证,通过执行命令display wlan config-errors可以查看是否存在安全模板与认证模板认证类型不匹配的错误信息。
- (可选)执行命令wpa ptk-update enable,使能PTK的定时更新功能。
缺省情况下,PTK的定时更新功能未使能。
使用PTK的定时更新功能时,由于终端自身的原因,部分终端可能会下线。
- (可选)执行命令wpa ptk-update
ptk-update-interval ptk-rekey-interval,配置PTK的定时更新周期。
缺省情况下,PTK的定时更新周期为43200秒。
配置WAPI-PSK认证
背景信息
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan ac,进入WLAN视图。
- 执行命令security-profile name profile-name,进入指定的安全模板视图。
- 执行命令security wapi psk { pass-phrase | hex } key-value,配置安全策略为WAPI-PSK认证。
- (可选)执行命令wapi { bk-threshold bk-threshold | bk-update-interval bk-update-interval },配置基密钥BK(Base Key)更新间隔和生存期百分比。
缺省情况下,BK生存期百分比为70%,更新间隔为43200秒。
BK的更新间隔*BK生存期百分比需要大于等于300秒。
- (可选)执行命令wapi sa-timeout sa-time,配置建立安全关联的超时时间。
缺省情况下,建立密钥的安全关联的超时时间为60秒。
如果在超时时间内未完成认证过程,则安全关联失败,用户无法上线。
- (可选)执行命令wapi { usk | msk } key-update { disable | time-based },配置WAPI的USK和MSK的更新方式。
缺省情况下,USK和MSK都是基于时间更新。
- (可选)执行命令wapi { usk-update-interval usk-interval | usk-retrans-count usk-count },配置USK的更新间隔和密钥协商报文重传次数。
缺省情况下,USK更新间隔为86400秒,USK密钥协商报文重传次数为3次。
- (可选)执行命令wapi { msk-update-interval msk-interval | msk-retrans-count msk-count },配置MSK的更新间隔和密钥协商报文重传次数。
缺省情况下,MSK更新间隔为86400秒,MSK密钥协商报文重传次数为3次。
配置WAPI-证书认证
背景信息
WAPI是一种仅允许建立健壮安全网络连接RSNA(Robust Security Network Association)的安全网络,提供比WEP或WPA/WPA2更强的安全性。
WAPI-证书认证,适用于大型企业网络或运营商网络,这种认证方式需要部署和维护昂贵的证书系统。
WAPI证书采用X.509 V3证书,X.509 V3证书以Base64 binary为编码类型,以PEM格式进行存储,文件名的后缀为.cer。在为WAPI导入证书前,请确保证书文件存放在存储器的根目录。
WAPI定义了密钥的动态协商,但是如果STA长时间使用相同的加密密钥,仍然存在安全隐患。WAPI提供基于时间的密钥更新机制,单播会话密钥USK(Unicast Session Key)和组播会话密钥MSK(Multicast Session Key)都具有生命周期,当其生命周期结束时需要更新密钥。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan ac,进入WLAN视图。
- 执行命令security-profile name profile-name,进入指定的安全模板视图。
- 执行命令security wapi certificate,配置安全策略为WAPI-证书认证。
- 配置证书文件及ASU服务器。
- (可选)执行命令wapi source interface { vlanif vlan-id | loopback loopback-number },配置VLANIF接口或定LoopBack接口为AC与ASU服务器通信的源接口。
缺省情况下,没有配置AC与ASU服务器通信的源接口。
AC上配置的WAPI源接口的IP地址与ASU服务器的IP地址必须在同一网段。如果不配置WAPI源接口,则默认使用AC源接口的IP地址做为发往WAPI服务器的WAPI报文的源IP地址。
- (可选)执行命令wapi { bk-threshold bk-threshold | bk-update-interval bk-update-interval },配置基密钥BK(Base Key)更新间隔和生存期百分比。
缺省情况下,BK生存期百分比为70%,更新间隔为43200秒。
BK的更新间隔*BK生存期百分比需要大于等于300秒。
- (可选)执行命令wapi sa-timeout sa-time,配置建立安全关联的超时时间。
缺省情况下,建立密钥的安全关联的超时时间为60秒。
如果在超时时间内未完成认证过程,则安全关联失败,用户无法上线。
- (可选)执行命令wapi { usk | msk } key-update { disable | time-based },配置WAPI的USK和MSK的更新方式。
缺省情况下,USK和MSK都是基于时间更新。
- (可选)执行命令wapi { usk-update-interval usk-interval | usk-retrans-count usk-count },配置USK的更新间隔和密钥协商报文重传次数。
缺省情况下,USK更新间隔为86400秒,USK密钥协商报文重传次数为3次。
- (可选)执行命令wapi { msk-update-interval msk-interval | msk-retrans-count msk-count },配置MSK的更新间隔和密钥协商报文重传次数。
缺省情况下,MSK更新间隔为86400秒,MSK密钥协商报文重传次数为3次。
