WPA配置范例.PDF

WPA 配置范例 介绍 本文档提供一个简单的 WPA 配置范例，WPA 是 Wi-Fi 联盟使用的过渡期安全标准 首要条件 需求 在进行配置前，请先满足下列要求： （1） 具备无线网络和无线安全问题的知识 （2 ） 具备可扩展的认证协议（EAP ）工作模式的知识 组件构成 在此文档中使用下列软件和硬件版本： （1） 基于思科IOS 的AP （2 ） 软件版本 12.2 （15）JA 或者以后 【译者注】：尽量使用必威体育精装版的IOS 软件，尽管 WPA 也被支持在 12.2 （11）JA ，获得更多 IOS 版本软件，请访问以下网址： /en/US/products/hw/wireless/ps4570/products_configuration_example09 186a00801c40b6.shtml （3 ） 使用支持WPA 的无线网卡，以及相应的无线客户软件 此文档相关信息都是在实验环境下验证，所有设备都是初始配置，如果在现网下进行配置， 请确认理解已使用配置命令的潜在影响。 知识点 WEP 是不安全脆弱的无线加密方式，无线联盟组织（WECA ）提出了下一代的无线网络安 全方式，并提出了 802.11i 的标准。 新框架建立在使用 EAP 做认证的 802.1x 协议上，通过动态密钥管理的方式提供增强的加密 方式，一旦客户端与认证服务器经过 802.1x 认证后，WPA 加密密钥会自动在客户端和服务 器之间动态生成。 思科 AP 也提供混合模式的配置方式，以支持基于 WEP 加密的 EAP 客户端，此配置谈论到 的过渡模式，是为了向WPA 转型。本文档暂不涉及到这方面的内容。 WPA 还可以使用 Pre-Shared Key(WPA-PSK) 的认证方式，支持小型办公环境、SOHO 和家庭 环境中，思科 ACU 客户软件不支持(WPA-PSK)的认证模式，微软的无线客户端支持PSK 的 认证方式，下列软件同样也支持 WPA-PSK ： （1） Meetinghouse 的AEGIS 客户端 【译者注】：请参考Meetinghouse 的解决方案 /solutions/index.asp （2 ） Funk 的Odyssey 客户端 【译者注】：请参考Ｊｕｎｉｐｅｒ解决方案 /customers/support/products/oac.jsp （３）其他厂商（ＯＥＭ）的客户端 可以在以下情况下配置ＷＰＡ－ＰＳＫ模式： （１） 使用ＴＫＩＰ做加密 （２） 定义pre-shared key 的认证方式 （３） 不需要配置认证服务器 通过命令行方式配置以上内容： AP(config)#interface dot11Radio 0 AP(config-if)#encryption mode ciphers tkip AP(config-if)#ssid ssid_name AP(config-if-ssid)#authentication open AP(config-if-ssid)#authentication key-management wpa AP(config-if-ssid)#wpa-psk ascii pre-shared_key 【译者注】：以上部分只是解释如何配置ＷＰＡ－ＰＳＫ 使用惯例 请参考以下网址： /en/US/tech/tk801/tk36/technologies_tech_note09186a0080121ac5.shtml 配置 ＷＰＡ基于ＥＡＰ的８０２．１ｘ认证方法。此文档假定使用Light EAP (LEAP), EAP, or Protected EAP (PEAP) 的认证方式实现ＷＰＡ。 文档中会详细描述配置步骤 【译者注】：通过以下网址获得更多信息 /pcgi-bin/Support/Cmdlookup/home.pl 网络ＥＡＰ或者开放的ＥＡＰ认证 在任何基于ＥＡＰ的８０２．１ｘ的认证方法，网络ＥＡＰ与开放的ＥＡＰ有所不同，通过 查看管理和关联数据包头的认证算法域的值来体现。大多数无线客户端使用开放的ＥＡＰ认 证（此域的值为０），然后进行ＥＡＰ的认证过程，思科通过设置网络ＥＡＰ标志的不同数 值做认证。 可以使用以下认证类型： （１） 思科客户端：使用网络ＥＡＰ （２） 第三方客户端（包括支持ＣＣＸ计划的客户端）：使用开放的ＥＡＰ （３） 思科和第三方客户端的组合：可以使用网络ＥＡ