通过radius服务器和无线控制器动态分配vlan-cisco.pdfVIP

通过RADIUS 服务器和无线控制器动态分配VLAN 介绍 本文介绍一种新的叫做管理帧保护（MFP ）的安全功能，该文件还介绍了如何在 LAP 和 WLC 上配置 MFP 的功能。 配置条件 必要条件 在配置前，请先确定掌握以下知识点： （1） WLC 和LAP 的基本知识 （2） 802.11 的管理帧的相关知识 使用说明 本文涉及的信息基于以下软件及硬件版本： （1） 运行 4.1 版固件的思科 2000 系列WLC （2） 思科 1131AG LAP （3） 使用固件 3.6 的思科８０２．１１ａ／ｂ／ｇ的无线客户端 （4） 软件版本 3.6 的思科无线客户软件（ＡＤＵ） 【译者注】在 WLC 版本 及以后就支持 MFP ，版本 提供可选的执行 MFP ， 客户端的 MFP 在版本 及后续支持。 文档中描述的是在实验环境，所有设备都是初始配置，请先确定各命令的意义，再做 配置。 规定 请参考以下网址，获得更多信息 /en/US/tech/tk801/tk36/technologies_tech_note09186a0080121ac5.shtml 知识点 在 802.11 中，认证过程，连接过程和探查过程中使用的管理帧都是没有经过认证和加 密的，换句话说，802.11 的管理帧经常被以不安全的形式发送，而不像被 WPA ，WPA2 或 者 WEP 加密的数据。 这样的话，一个攻击者就会模仿管理帧，对连接到 AP 上的客户端发起攻击。攻击者的 行为可以是 (1) 对无线网络进行 DOS 攻击 (2) 中间人的攻击 (3) 非在线的字典攻击 当在无线网络中对管理帧进行认证后，可以杜绝上述攻击 【译者注】本文档描述构造以及客户端MFP 【译者注】当无线设备开启了MFP 的功能时，对于某些无线客户端，有某种限制。MFP 会 为每个探针和 SSID 添加一段信息。像 PDA ，智能手机，条码扫描器等无线设备，不能处理 这些请求，不能完全的看到 SSID，和接入无线设备，取决于识别 SSID 的能力。这个问题 并不是因为 MFP 产生的，而是因为某些 SSID 具有多个信息结构 （IEs ）。可以通过在部署前， 检测打开的 MFP 的 SSID 的无线设备的接入功能，避免更多的客户无线接入。 【译者注】MFP 的构成 （1） 管理帧保护，当打开管理帧的保护功能，AP 会为传输的管理帧添加信息完整性检查 （MIC IE ），任何试图复制，修改或者替换，都会使MIC 无效，被配置检测 MFP 的 AP 会检查 MIC 属性，并通告给 WLC （2 ） 管理帧确认，当管理帧确认功能被打开后，AP 会检测从其他 AP 接受到的所有的管 理帧，它将检测 MIC 的完整性，如果接受到的MIC 的信息不完整，将会报告。 （3 ） 信息报告，当AP 发现有不规则的信息，会通知 WLC ，会通过 SNMP 告知管理员 MFP 功能的构造 使用 MFP 后，所有的管理帧都会被加密，并建立完整性检查（MIC ），MIC 会被添加到帧的 后面以及帧校验序列（FCS ）之前。 （1） 在集中架构中，MFP 在 WLC 中开启，可以基于每个WLAN 中打开保护，及检测功 能。 （2 ） 当设备不能处理帧保护时，可以基于WLAN 关闭保护功能。 （3 ） 当负荷超载时，要在AP 上关闭确认功能。 当在WLC 中，为某些WLAN 配置 MFP 的功能时，WLC 会给每个注册到上面的 AP 发送唯 一的密钥，AP 在每个打开 MFP 功能上的 WLAN 中发送管理帧，这些 AP 会被标识为帧的 完整性保护功能，任何对信息的改变，都会使其无效，AP 会发现帧的改变，并通知到 WLC 。 （1） 当在WLC 上全局打开 MFP 时，WLC 会为每个配置 MFP 的AP 产生一个唯一的密 钥，WLC 会在移动的环境中，知道每个 AP 。 【译者注】所有在移动组内的WLC 都要配置为 MFP （2 ） 当一个AP 不能识别收到的被保护的 MFP 时，会存储它，并向WLC 请求密钥 （3 ） 如果WLC 中也没有关于此的标识，它会返回一个不能标识的BSSID 给 AP ，AP 会 丢弃相应的 MFP （4 ） 如果WLC 知道相应的 BSSID ，但是MFP 是在相应的 BSSID 中关