设为首页   锐捷官网
用其他帐号登录:
查看: 1269|回复: 0

11.X版本专有功能配置指导—WAPI

[复制链接]

19

主题

20

帖子

108

积分

初级会员

Rank: 2

积分
108
发表于 2016-1-6 23:30:39 | 显示全部楼层 |阅读模式
本帖 * 后由 hongyihai 于 2016-1-6 23:37 编辑

应用场景
WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)是中国具有自主知识产权的无线网络安全标准。
WAPI既可以应用到小型无线网络,也应用于大规模部署的无线网络。
WAPI PSK接入认证:在较小型且对身份鉴别要求不高的WLAN中,使用WAPI预共享密钥的接入认证方式加强无线网络安全。
WAPI证书接入认证:在对安全性要求极高或者有统一管理需求的场景,使用WAPI证书接入认证方式加强无线网络安全。
功能简介:
WAPI PSK接入认证
WAPI预共享密钥认证方式,提供一种简单的不需要专门认证服务器的认证机制,可以应用到小型无线网络。接入终端需要支持WAPI预共享认证功能。
预共享密钥认证是基于STA和AE(Authenticator Entity,鉴别器实体,该实体驻留在AP或AC中)双方的密钥所进行的鉴别。鉴别前STA和AE必须预先配置有相同的密钥,即预共享密钥。
WAPI 证书接入认证
WAPI证书认证方式,借助专门的认证服务器,可以为大规模部署的无线网络提供安全且易于管理的接入方案。目前支持WAPI二证书认证及WAPI三证书认证,二者的区别在于三证书认证模式实现了证书颁发系统和证书鉴别系统的分离。
首先,需要有WAPI认证服务器并预置相关证书。其次,在配置WAPI二证书认证前,应先将CA证书,AE证书导入到设备中,否则配置无法生效(二证书模式下,配置的CA证书即默认为ASU证书);如果要配置WAPI三证书认证,还应导入ASU证书;并且设备与认证服务器要能够正常通信。 * 后,终端必须要支持WAPI证书认证功能,并且安装CA证书和合法用户(user)证书;如果是三证书认证,还需要安装ASU证书。以上配置完整后,直接点击网络连接即可接入WAPI证书认证无线网络。
一、组网需求
一般瘦AP场景,胖AP组网与瘦AP组网用法一致。
二、组网拓扑
1.png

三、配置要点
WAPI PSK接入认证
1、在AC上配置WLAN。
2、在WLAN安全模式下配置WAPI PSK认证模式。
3、将WLAN下发到AP。
WAPI证书接入认证
1、在AC上配置WLAN。
2、设备导入CA证书、AE证书(三证书认证还需要ASU证书)。
3、在WLAN安全模式下配置WAPI 证书认证模式。
4、将WLAN下发到AP。
四、配置步骤
1、配置WAPI PSK认证
Ruijie(config)#wlansec 1
Ruijie(config-wlansec)#security wapi enable
Ruijie(config-wlansec)#security wapi psk enable ----->启用WAPI预共享密钥认证方式
Ruijie(config-wlansec)#security wapi psk set-key ascii 12345678 ----->配置WAPI预共享密钥为12345678
Ruijie(config-wlansec)#end
Ruijie#write----->确认配置正确,保存配置
2、配置WAPI证书认证
(1)WAPI二证书认证
Ruijie(config)#wlansec 1
Ruijie(config-wlansec)#security wapi enable
Ruijie(config-wlansec)#security wapi 2-cert enable----->启用二证书认证
Ruijie(config-wlansec)#security wapica cert ca.cer----->ca.cer指设备中保存的CA证书文件名
Ruijie(config-wlansec)#security wapiae cert ae.cer----->ae.cer指设备中保存的AE证书文件名
Ruijie(config-wlansec)#security wapiasu address 192.168.0.250----->WAPI认证服务器的IP地址
Ruijie(config-wlansec)#end
Ruijie#write----->确认配置正确,保存配置
(2)WAPI三证书认证
Ruijie(config)#wlansec 1
Ruijie(config-wlansec)#security wapi enable
Ruijie(config-wlansec)#security wapi3-cert enable----->启用三证书认证
Ruijie(config-wlansec)#security wapica cert ca.cer----->ca.cer指设备中保存的CA证书文件名
Ruijie(config-wlansec)#security wapiae cert ae.cer----->ae.cer指设备中保存的AE证书文件名
Ruijie(config-wlansec)#security wapiasu cert asu.cer----->asu.cer指设备中保存的ASU证书文件名
Ruijie(config-wlansec)#security wapiasu address 192.168.0.250----->WAPI认证服务器的IP地址
Ruijie(config-wlansec)#end
Ruijie#write----->确认配置正确,保存配置
3、WAPI终端安装证书
安装好wapi网卡驱动后,启动wapi网卡驱动,如下图:
2.png
1)点击证书管理,进入到如下页面:
3.png
2)在颁发者证书一栏点击浏览,将保存的颁发者(CA)证书导入。
4.png
3)同样,在用户证书一栏点击浏览,将保存的合法用户(user)证书导入。
4)导入后,点击安装,如下图表示安装成功。若证书有误,会提示安装证书无效,需重新选定正确证书安装。
二证书模式下安装完毕,可采用证书模式关联。三证书模式下需点击如图所示框的强制信任,安装asu证书,进入步骤5。
5.png
5)三证书模式下,需安装asue信任的asu证书。
点击强制信任上的证书图样时,跳出如图下框,点击安装,将asu证书导入后按确定。
6.png
三证书模式下安装完毕,页面如下图,可采用证书模式关联。
7.png
6)若要更换证书,可点击上面页面的删除,重新安装。
四、注意事项
1、终端必须支持WAPI功能才能使用WAPI安全方式网络。
2、WAPI证书认证方式,需要 * AC和WAPI认证服务器可通信。
3、WAPI证书认证方式,需要认证服务器、AC和终端安装好相应证书,才能 * 终端可以关联与通信。
五、功能验证
1、WAPI PSK认证:
使用show running-config| begin wlansec wlan_id命令,可以查看配置是否生效。
Ruijie#show running-config | begin wlansec 1
wlansec 1
security wapi enable
security wapi psk set-key ascii 12345678
security wapi psk enable
!
2、 WAPI证书认证:
使用show running-config| begin wlansec wlan_id命令,可以查看配置是否生效。
(1)WAPI二证书认证
Ruijie#show running-config | begin wlansec 1
wlansec 1
security wapi enable
security wapi asu address 192.168.0.250
security wapi ca cert ca.cer
security wapi ae cert ae.cer
security wapi 2-cert enable
!
(2)WAPI三证书认证
Ruijie#show running-config | begin wlansec 1
wlansec 1
security wapi enable
security wapi asu address 192.168.0.250
security wapi asu cert asu.cer
security wapi ca cert ca.cer
security wapi ae cert ae.cer
security wapi 3-cert enable
!

具体配置步骤请参见附件脚本 WAPI.zip (514 Bytes, 下载次数: 199)
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则