配置8011w管理在wlc的帧保护-cisco.pdf

配置802.11w管理在WLC的帧保护 目录 简介 先决条件 要求 使用的组件 背景信息 管理MIC信息元素(MMIE) 对RSN IE的更改 802.11w管理帧保护的好处 需求启用802.11w 配置 GUI CLI 验证 故障排除 简介 本文包括关于IEEE 802.11w管理帧保护标准的详细信息，并且如何在Cisco无线LAN控制器 (WLC)可以配置。 先决条件 要求 思科建议您有思科WLC知识运行编码7.6或更加高。 使用的组件 运行代码7.6的本文档中的信息根据WLC 5508。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 背景信息 保护控制和管理帧和一套的802.11w标准的目标坚固管理帧以防止伪造和重放攻击。保护的帧类型 包括分离、解除验证和稳健操作帧例如： 频谱管理 服务质量 (QoS) 块Ack 无线电测量 快速基本服务集(BSS)转换 802.11w不加密帧，然而保护管理帧。它保证消息来自合法来源。为了执行那，您必须添加制造商 预装证书(MIC)元素。802.11w介绍呼叫Integrity Group临时密钥的新密钥(IGTK)，用于保护广播/组 播坚固管理帧。这派生作为四种方式的关键握手进程一部分与无线受保护的访问(WPA)一起使用。 这做dot1x/Pre-Shared密钥(PSK)一个需求，当您需要使用802.11w时。它不可能与开放/webauth服 务集标识符(Ssid的)一起使用。 当管理帧保护协商时，接入点(AP)加密在4方式握手的消息3传送的关键帧的GTK和IGTK值。如果后 的AP更改GTK，发送新的GTK和IGTK给有使用的客户端组密钥握手。计算与使用IGTK密钥的它添 加MIC。 管理MIC信息元素(MMIE) 802.11w引入呼叫Management MIC信息元素的一新的信息元素。如镜像所显示，它有报头格式。 此处注意事项主要字段是元素ID和MIC。MMIE的元素ID是0x4c，并且担当一有用的识别，当您分析 无线捕获时。 Note:MIC -它包含在管理帧计算的消息完整性代码。请注意这被添加在AP。接收的客户端然 后重新计算帧的MIC并且它与什么比较由AP发送。如果值不同的这拒绝作为一无效帧。 对RSN IE的更改 坚固的安全性网络信息元素(RSN IE)指定AP支持的安全参数。802.11w介绍包含密码器套件选择器 使用由AP保护广播/组播坚固管理帧的组管理密码器套件选择器对RSN IE。这是知道的最佳方法 AP是否执行802.11w。如镜像所显示，这可能也验证。 这里，您查找显示该802.11w使用的组管理密码器套件字段。 有变动也做在RSN功能下。位6和7当前用于指示802.11w的不同的参数。 位6 ：管理要求的帧保护(MFPR) - STA设置此位到1通告坚固管理帧的保护是必须。 位7 ：管理有能力帧的保护(MFPC) - STA设置此位到1通告坚固管理帧的保护启用。当AP设置 此时，通知支持管理帧保护。 如果集管理帧保护如所需求在配置选项然后位6和7下设置。这如数据包捕获镜像所显示在这里。 然而，如果集这对仅可选位7然后设置，如镜像所显示。 Note:WLC添加此在association/re关联答复的被修改的RSN IE，并且AP添加此在信标和探测 器答复的被修改的RSN IE。 802.11w管理帧保护的好处 客户端保护 这由密码保护的新增内容对解除验证和分离帧的达到。这防止一未经授权的用户通过伪装合法用户 MAC地址启动服务拒绝(DoS)攻击和发送deauth/分离帧。 AP保护 基础设施旁边保护由包括关联回击时光和SA查询步骤安全关联(SA)卸载保护机制的新增内容添加。 在802.11w之前，如果AP接收一个关联或认证请求从一个已经相关的客户端， AP终止现有连接然 后开始新连接。当您使用802.11w MFP时，如果STA关联和协商管理帧保护， AP拒绝与临时地拒 绝的 回归状态码30关联申请的关联申请;再试一次以后对客户端。 在关联答复包括指定回击时候的关联回击时间信息元素，当AP准备接受有此STA的一个关联。这样 您能保证合法客户端不取消关联的归结于一被伪装的关联申请。 需求启用802.11w 802.11w要求将配置的SSID与dot1x或PSK。 所有802.