Настройка WPA

Назад		Вперед

Настройка WPA

RAPIRA RS3 поддерживает следующие типы шифрования: TKIP (WPA) и CCMP (WPA2), а также следующие режимы аутентификации: EAP-MD5, EAP-MSCHAPv2, PEAP, EAP-TLS, EAP-TTLS и PSK. Можно включать TKIP и CCMP одновременно, чтобы обеспечить комбинацию режимов WPA и WPA2.

Также можно использовать вместе различные протоколы аутентификации, однако, этой возможностью лучше пользоваться только в тестовом режиме работы. Не рекомендуется использование данной возможности в обычном режиме работы маршрутизатора.

EAP-MD5 и EAP-MSCHAPv2 не поддерживают обмен динамическими ключами, поэтому их можно использовать только в сочетании с PEAP, EAP-TLS и EAP-TTLS в качестве второй фазы алгоритмов аутентификации.

При использовании режимов PEAP или EAP-TTLS без указания EAP-MD5 или EAP-MSCHAPv2 конкретный механизм аутентификации будет выбран сервером аутентификации, поскольку PEAP и EAP-TTLS являются туннелями и аутентификацию не производят.

Беспроводной интерфейс может работать в режиме как клиентской станции, так и базовой станции, используя, соответственно, режим либо запрашивающего (supplicant), либо аутентификатора (authenticator).

При работе в режиме базовой станции, системе необходим только предустановленный ключ для режима WPA-PSK и профиль RADIUS для режима WPA EAP EAP. Для режима базовой станции не нужно указывать точный тип EAP аутентификации, так как сеанс аутентификации ретранслируется на RADIUS сервер.

Пример 16. Настройка базовой станции с использованием WPA+WPA2 PSK

RAPIRA: interface Wireless 1 type ap        
Interface 'Wireless 1': type 'ap'.
RAPIRA: interface Wireless 1 ssid Acid
Interface 'Wireless 1': SSID 'Acid'.
RAPIRA: interface Wireless 1 encryption tkip 
Interface 'Wireless 1': TKIP enabled.
RAPIRA: interface Wireless 1 encryption ccmp 
Interface 'Wireless 1': CCMP enabled.
RAPIRA: interface Wireless 1 authentication wpa-psk qqKdoeeiUS2
WPA PSK enabled.

Пример 17. Настройка базовой станции с использованием WPA+WPA2 EAP

RAPIRA: interface Wireless 1 type ap        
Interface 'Wireless 1': type 'ap'.
RAPIRA: interface Wireless 1 ssid Acid
Interface 'Wireless 1': SSID 'Acid'.
RAPIRA: interface Wireless 1 encryption tkip 
Interface 'Wireless 1': TKIP enabled.
RAPIRA: interface Wireless 1 encryption ccmp 
Interface 'Wireless 1': CCMP enabled.
RAPIRA: interface Wireless 1 authentication wpa-eap
WPA EAP enabled.
RAPIRA: radius-profile rad1 server 192.168.2.100
Added RADIUS server 192.168.2.100 to profile 'rad1'.
RAPIRA: interface Wireless 1 authentication radius-profile rad1 
RADIUS profile 'rad1' mapped.

При работе в режиме клиентской станции режимы аутентификации требуют различных параметров установки, которые перечислены в таблице. Перед установкой требуемого параметра можно разрешить любой режим аутентификации. При этом следует отметить, что режим аутентификации начнет функционировать только после того, как будут получены все требуемые параметры.

Таблица 5. Таблица настройки WPA

Режим аутентификации

Список команд

PSK

interface authentication wpa-psk

EAP-MD5^*

interface authentication wpa-eap

interface authentication md5

interface authentication identity

interface authentication password

EAP-MSCHAPv2^*

interface authentication wpa-eap

interface authentication mschap-v2

interface authentication identity

interface authentication password

EAP-TTLS

interface authentication wpa-eap

interface authentication ttls

interface authentication identity

interface authentication password

interface authentication ca-cert

PEAP

interface authentication wpa-eap

interface authentication peap

interface authentication identity

interface authentication password

interface authentication ca-cert

EAP-TLS

interface authentication wpa-eap

interface authentication tls

interface authentication ca-cert

interface authentication client-cert

interface authentication identity ^**

^* _{EAP-MD5 и EAP-MSCHAPv2 могут использоваться с выключенным или статическим WEP-шифрованием или в сочетании с другими методами аутентификации типа EAP-TTLS, EAP-TLS и PEAP.}

^** _{В режиме EAP-TLS аутентификация запрашивающего берется из атрибута СN сертификата клиента за исключением тех случаев, когда она явно подменяется командой interface authentication identity.}

Предупреждение

Следует иметь в виду, что для проверки достоверности СА-сертификатов и сертификатов клиентов крайне важно правильно установленное системное время. Установите системное время, используя NTP-клиента.

Пример 18. Настройка клиентской станции с использованием WPA2 PSK

RAPIRA: interface Wireless 1 type station
Interface 'Wireless 1': type 'station'.
RAPIRA: interface Wireless 1 ssid Acid
Interface 'Wireless 1': SSID 'Acid'.
RAPIRA: interface Wireless 1 encryption ccmp 
Interface 'Wireless 1': CCMP enabled.
RAPIRA: interface Wireless 1 authentication wpa-psk qqKdoeeiUS2
WPA PSK enabled.

Пример 19. Настройка клиентской станции с использованием WPA PEAP

RAPIRA: interface Wireless 1 type station
Interface 'Wireless 1': type 'station'.
RAPIRA: interface Wireless 1 ssid Barney
Interface 'Wireless 1': SSID 'Barney'.
RAPIRA: interface Wireless 1 encryption tkip
Interface 'Wireless 1': TKIP enabled.
RAPIRA: interface Wireless 1 authentication wpa-eap
WPA EAP enabled.
RAPIRA: interface Wireless 1 authentication peap
PEAP enabled.
RAPIRA: interface Wireless 1 authentication ca-cert thawte.crt
Using thawte.crt as CA certificate.
RAPIRA: interface Wireless 1 authentication identity ivanov
Using identity 'ivanov'.
RAPIRA: interface Wireless 1 authentication password pWosIoffis 
Password saved.

Пример 20. Настройка клиентской станции с использованием WPA2 EAP-TLS

RAPIRA: interface Wireless 1 type station
Interface 'Wireless 1': type 'station'.
RAPIRA: interface Wireless 1 ssid Candle
Interface 'Wireless 1': SSID 'Candle'.
RAPIRA: interface Wireless 1 encryption ccmp 
Interface 'Wireless 1': CCMP enabled.
RAPIRA: interface Wireless 1 authentication wpa-eap
WPA EAP enabled.
RAPIRA: interface Wireless 1 authentication tls            
EAP TLS enabled.
RAPIRA: interface Wireless 1 authentication ca-cert thawte.crt
Using thawte.crt as CA certificate.
RAPIRA: interface Wireless 1 authentication client-cert ivanov.crt 
Using ivanov.crt as a client certificate (CN = ivanov).
RAPIRA: interface Wireless 1 authentication private-key ivanov.key s9*kffjUe8
Using ivanov.key as a private key.
RAPIRA: interface Wireless 1 no shutdown 
Interface 'Wireless 1' is up.

Пример 21. Настройка клиентской станции с использованием WPA2 EAP-TTLS+MD5

RAPIRA: interface Wireless 1 type station
Interface 'Wireless 1': type 'station'.
RAPIRA: interface Wireless 1 ssid Desert
Interface 'Wireless 1': SSID 'Desert'.
RAPIRA: interface Wireless 1 encryption ccmp 
Interface 'Wireless 1': CCMP enabled.
RAPIRA: interface Wireless 1 authentication wpa-eap
WPA EAP enabled.
RAPIRA: interface Wireless 1 authentication tls            
EAP TLS enabled.
RAPIRA: interface Wireless 1 authentication md5
EAP MD5 enabled.
RAPIRA: interface Wireless 1 authentication ca-cert thawte.crt
Using thawte.crt as CA certificate.
RAPIRA: interface Wireless 1 no shutdown 
Interface 'Wireless 1' is up.

Важно

Все вышеуказанные сертификаты должны быть загружены заранее.
В примере, представленном выше, используются различные файлы для сертификата клиента и секретного ключа, однако, для них можно использовать и один общий файл.
В качестве идентификации клиента используется общее имя (СN) из сертификата клиента. Эту установку можно заменить, используя команду identity.
Для всех режимов аутентификации на базе EAP требуется параметр WPA EAP.

Назад	На уровень выше	Вперед
	Содержание

Отложено позиций: 0

Просмотреть