WLAN V200R019C00 典型配置案例集
安全模板
模板介绍
配置WLAN安全策略,可以对无线终端进行身份验证,对用户的报文进行加密,保护WLAN网络和用户的安全。WLAN安全策略支持开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X、WPA-WPA2、WPA3-SAE、WPA3-802.1X、WPA2-WPA3、OWE、WAPI-PSK和WAPI-证书,在安全模板中选择其中一种进行配置。开放认证和WPA/WPA2/WPA3-802.1X还需要和NAC一起配置,有效管理用户的接入。
命令行操作介绍
对于无线终端接入WLAN网络业务,需要将安全模板引用到VAP模板,这样在无线终端通过SSID接入WLAN网络时,会根据VAP中配置的安全策略,完成身份认证后接入WLAN网络,具体配置请参见《配置指南-用户接入与认证配置》中的配置WLAN安全策略。
对于WDS业务,需要将安全模板引用到WDS模板,用于保证WDS的安全,建议为WDS配置WPA2+PSK+AES的安全策略。具体配置请参见《配置指南-WDS和Mesh配置》中的配置安全模板。
对于Mesh业务,需要将安全模板引用到Mesh模板,用于保证Mesh的安全,建议为Mesh配置WPA2+PSK+AES的安全策略。具体配置请参见《配置指南-WDS和Mesh配置》中的配置安全模板。
Web网管操作介绍
- 登录Web网管,依次单击 或 ,单击AP组名称或者AP ID,进入AP组或AP配置页面。
单击“VAP配置”,新建VAP模板。
选择“安全模板”,进入模板页面,新建安全模板。进入模板页面,单击“高级配置”。
“安全策略”选择“Open”,参数说明请参见表3-24。
图3-45 安全策略(Open)“安全策略”选择“WEP”,参数说明请参见表3-25。
图3-46 安全策略(WEP)表3-25 安全策略(WEP)项目
说明
WEP
使用WEP认证。WEP安全性低,不建议用户使用。
认证方式
- 不认证:仅使用共享密钥对业务报文加密。
- SHARE-KEY:使用共享密钥对无线终端认证,并对业务报文加密。
- Dot1x:使用动态WEP认证方式。
加密方式
WEP加密方式。- WEP-40:使用密钥长度是40位的WEP加密。
- WEP-104:使用密钥长度是104位的WEP加密。
- WEP-128:使用密钥长度是128位的WEP加密。
密钥类型
WEP密钥类型。
- HEX:密钥使用十六进制形式。
- PASS-PHRASE:密钥使用字符串形式。
- Dot1x:结合802.1X认证。
密钥序号
WEP认证或加密使用的默认密钥索引。
密钥
WEP认证的加密密钥。- 密钥类型为HEX时:该输入项长度范围是10位16进制数。
- 密钥类型为PASS-PHRASE时:该输入项范围是5个字符。
“安全策略”选择“WPA”,参数说明请参见表3-26。
图3-47 安全策略(WPA)表3-26 安全策略(WPA)项目
说明
WPA
使用WPA认证。
WPA/WPA2认证分为两种:WPA/WPA2-PSK和WPA/WPA2 802.1X认证,又称为WPA/WPA2个人版和WPA/WPA2企业版。
WPA/WPA2-PSK认证建议配置场景:个人或家庭使用较多;其安全性高于WEP,无需第三方服务器,成本低。WPA/WPA2-802.1X认证建议配置场景,移动办公、园区网络、移动政务等,用户较为固定,对安全要求高,集中管理用户和授权;其安全性高,需要第三方服务器。
认证方式
选择认证方式。- PSK:使用WPA-PSK认证。
- Dot1x:使用WPA-802.1X认证。
- PPSK:使用WPA-PPSK认证。
加密方式
数据加密方式。- AES:使用AES(对称加密算法)方式加密数据。
- TKIP:使用TKIP(临时密钥完整性协议)方式加密数据。
- AES-TKIP:使用AES和TKIP混合加密。用户终端支持AES或TKIP,认证通过后,即可使用支持的算法加密数据。
密钥类型
PSK方式认证时使用的密钥类型。- HEX:密钥使用十六进制形式。
- PASS-PHRASE:密钥使用字符串形式。
密钥
输入PSK认证的密钥。- 密钥类型为HEX时:该输入项长度范围是64位16进制数。
- 密钥类型为PASS-PHRASE时:该输入项范围是8~63个字符。
PTK定时更新
PTK定时更新功能开关。缺省关闭。
PTK更新周期(秒)
PTK定时更新周期。
该输入项范围是43200~86400,缺省值为43200。
“安全策略”选择“WPA2”,参数说明请参见表3-27。
图3-48 安全策略(WPA2)表3-27 安全策略(WPA2)项目
说明
WPA2
使用WPA2认证。
WPA/WPA2认证分为两种:WPA/WPA2-PSK和WPA/WPA2 802.1X认证,又称为WPA/WPA2个人版和WPA/WPA2企业版。
WPA/WPA2-PSK认证建议配置场景:个人或家庭使用较多;其安全性高于WEP,无需第三方服务器,成本低。WPA/WPA2-802.1X认证建议配置场景,移动办公、园区网络、移动政务等,用户较为固定,对安全要求高,集中管理用户和授权;其安全性高,需要第三方服务器。
认证方式
选择认证方式。- PSK:使用WPA2-PSK认证。
- Dot1x:使用WPA2-802.1X认证。
- PPSK:使用WPA2-PPSK认证。
加密方式
数据加密方式。- AES:使用AES(对称加密算法)方式加密数据。
- TKIP:使用TKIP(临时密钥完整性协议)方式加密数据。
- AES-TKIP:使用AES和TKIP混合加密。用户终端支持AES或TKIP,认证通过后,即可使用支持的算法加密数据。
密钥类型
PSK方式认证时使用的密钥类型。- HEX:密钥使用十六进制形式。
- PASS-PHRASE:密钥使用字符串形式。
密钥
输入PSK认证的密钥。- 密钥类型为HEX时:该输入项长度范围是64位16进制数。
- 密钥类型为PASS-PHRASE时:该输入项范围是8~63个字符。
管理帧保护
管理帧保护功能PMF(Protected Management Frame)是WFA发布的基于IEEE 802.11w标准的一项规范,目的是将WPA2中对数据帧的安全措施扩展至单播和多播管理action帧,以提升网络的可信度。缺省关闭。
强制使用管理帧保护
开启该功能后,VAP只允许支持PMF的终端接入。
PTK定时更新
PTK定时更新功能开关。缺省关闭。
PTK更新周期(秒)
PTK定时更新周期。
该输入项范围是43200~86400,缺省值为43200。
“安全策略”选择“WPA-WPA2”,参数说明请参见表3-28。
图3-49 安全策略(WPA-WPA2)表3-28 安全策略(WPA-WPA2)项目
说明
WPA-WPA2
使用WPA-WPA2认证。
WPA/WPA2认证分为两种:WPA/WPA2-PSK和WPA/WPA2 802.1X认证,又称为WPA/WPA2个人版和WPA/WPA2企业版。
WPA/WPA2-PSK认证建议配置场景:个人或家庭使用较多;其安全性高于WEP,无需第三方服务器,成本低。WPA/WPA2-802.1X认证建议配置场景,移动办公、园区网络、移动政务等,用户较为固定,对安全要求高,集中管理用户和授权;其安全性高,需要第三方服务器。
认证方式
选择认证方式。- PSK:使用WPA-WPA2-PSK认证。
- Dot1x:使用WPA-WPA2-802.1X认证。
- PPSK:使用WPA-WPA2-PPSK认证。
WPA加密方式/WPA2加密方式
数据加密方式。- AES:使用AES(对称加密算法)方式加密数据。
- TKIP:使用TKIP(临时密钥完整性协议)方式加密数据。
- AES-TKIP:使用AES和TKIP混合加密。用户终端支持AES或TKIP,认证通过后,即可使用支持的算法加密数据。
密钥类型
PSK方式认证时使用的密钥类型。- HEX:密钥使用十六进制形式。
- PASS-PHRASE:密钥使用字符串形式。
密钥
输入PSK认证的密钥。- 密钥类型为HEX时:该输入项长度范围是64位16进制数。
- 密钥类型为PASS-PHRASE时:该输入项范围是8~63个字符。
PTK定时更新
PTK定时更新功能开关。缺省关闭。
PTK更新周期(秒)
PTK定时更新周期。
该输入项范围是43200~86400,缺省值为43200。
“安全策略”选择“WAPI”,参数说明请参见表3-29。
图3-50 安全策略(WAPI)表3-29 安全策略(WAPI)项目
说明
WAPI
使用WAPI认证。WAPI认证分为两种:WAPI-PSK认证和WAPI-证书认证。WAPI-PSK认证安全性高于WEP,无需第三方服务器,仅部分终端支持该协议。WAPI-证书认证,安全性高,需要第三方服务器,仅部分终端支持该协议。
认证方式
选择认证方式。- PSK:使用WAPI-PSK认证。
- 证书认证:使用WAPI-证书认证。
密钥类型
PSK方式认证时使用的密钥类型。- HEX:密钥使用十六进制形式。
- PASS-PHRASE:密钥使用字符串形式。
密钥
输入PSK认证的密钥。- 密钥类型为HEX时:该输入项长度范围是8~32位16进制数且长度必须为偶数。
- 密钥类型为PASS-PHRASE时:该输入项范围是8~64个字符。
指定AC私钥文件/密钥
当指定安全策略为WAPI时,需要为安全模板指定AC证书的私钥文件和相应的密钥。
指定AC证书/密钥
当指定安全策略为WAPI时,需要为安全模板指定AC证书和相应的密钥。
说明:对于证书的选择,需要用户自己保证它们之间的合法性和正确性。
指定颁发者证书/密钥
当指定安全策略为WAPI时,需要为安全模板指定颁发者证书和相应的密钥。颁发者证书主要目的是为了验证AC的证书是否被修改。
指定ASU证书/密钥
当指定安全策略为WAPI时,需要为安全模板指定ASU证书和相应的密钥。
说明:如果认证系统只使用两个证书,则颁发者的证书和ASU的证书为同一个,导入时的证书文件名相同。如果认证系统为三证书,则分别导入相应的证书。
对于证书的选择,需要用户自己保证它们之间的合法性和正确性。
ASU IP 地址
当指定安全策略为WAPI时,需要指定ASU服务器的IP地址。
说明:此配置会影响WAPI鉴别报文发送到哪个ASU服务器,ASU证书和ASU服务器的正确性需要由用户来保证,否则可能会导致用户认证不通过。
证书认证鉴别报文的重传次数
当指定安全策略为WAPI时,需要为安全模板指定证书认证鉴别报文的重传次数。
该输入项范围是1~10,缺省值为3。
建立安全关联超时时间(秒)
可以通过修改WAPI超时时间,来提高用户认证成功率。
该输入项范围是1~255,缺省值为60。
BK生存期百分比(%)
指定BK生存期百分比。用户可以设置BK的更新间隔来保证安全性。
BK的更新间隔*BK生存期百分比建议大于等于300秒,若小于300秒,由于部分终端性能问题,可能还未协商完就已经刷新,导致终端掉线或上不了线。
该输入项范围是1~100,缺省值为70。
BK更新间隔(秒)
指定BK更新间隔,用来保证安全性。用户可以设置BK的更新间隔来保证安全性。
BK的更新间隔*BK生存期百分比建议大于等于300秒,若小于300秒,由于部分终端性能问题,可能还未协商完就已经刷新,导致终端掉线或上不了线。
该输入项范围是600~604800,缺省值为43200。
密钥更新
选择“单播密钥更新”或“组播密钥更新”,可以全选。
单播密钥更新/组播密钥更新
更新间隔(秒)
指定密钥更新的时间间隔。配置密钥的更新方式为基于时间更新时,需要配置更新间隔。
该输入项范围是600~604800,缺省值为86400。
协商报文重传次数
指定密钥协商报文的重传次数。
该输入项范围是1~10,缺省值为3。
- “安全策略”选择“WPA3”,参数说明请参见表3-30。图3-51 安全策略(WPA3)表3-30 安全策略(WPA3)
项目
说明
WPA3
使用WPA3认证。
WPA3认证分为企业版和个人版,即WPA3-802.1X认证和WPA3-SAE认证。
WPA3-SAE认证主要用于个人、家庭与小型SOHO网络,对网络安全要求相对较低,不需要认证服务器的场景。
WPA3-802.1X认证主要用在政府、大型公司等其他对安全性要求极高的场景。
认证方式
选择认证方式。
- SAE:使用WPA3-SAE认证。
- Dot1x:使用WPA3-802.1X认证。
加密方式
数据加密方式。
- AES:WPA3-SAE认证时的加密方式为AES。
- AES256GCM:WPA3-802.1X认证时的加密方式为GCMP-256。
密钥类型
SAE方式认证时使用的密钥类型。
PASS-PHRASE表示密钥使用字符串形式。
密钥
输入SAE认证的密钥。
该输入项范围是8~108个字符。
管理帧保护
WPA3认证时,该功能强制开启,不支持配置。
强制使用管理帧保护
WPA3认证时,该功能强制开启,不支持配置。
- “安全策略”选择“WPA2-WPA3”,参数说明请参见表3-31。图3-52 安全策略(WPA2-WPA3)
- “安全策略”选择“OWE”,参数说明请参见表3-32。图3-53 安全策略(OWE)