CISCO logo

Indbygget trådløs controller Catalyst Access Points
Brugervejledning

Indhold skjule
1 Indbygget trådløs controller Catalyst Access Points
2 Hash-to-Element (H2E)
3 YANG (RPC model)
4 Konfiguration af WPA3 SAE H2E
5 Bekræfter WPA3 SAE H2E-understøttelse i WLAN
6 Dokumenter/ressourcer
6.1 Referencer

Indbygget trådløs controller Catalyst Access Points

CISCO Embedded Wireless Controller Catalyst Access PointsCISCO Embedded Wireless Controller Catalyst Access Points - figUnderstøttelse af Hash-to-Element for Password Element i SAE-godkendelse

 

  • Hash-to-Element (H2E), på side 1
  • YANG (RPC-model), på side 1
  • Konfiguration af WPA3 SAE H2E, på side 2
  • Bekræftelse af WPA3 SAE H2E-understøttelse i WLAN, på side 4

Hash-to-Element (H2E)

Hash-to-Element (H2E) er en ny SAE Password Element (PWE) metode. I denne metode genereres den hemmelige PWE, der bruges i SAE-protokollen, ud fra en adgangskode.
Når en STA, der understøtter H2E, starter SAE med en AP, kontrollerer den, om AP understøtter H2E. Hvis ja, bruger AP'en H2E til at udlede PWE'en ved at bruge en nydefineret statuskodeværdi i SAE Commit-meddelelsen.
Hvis STA bruger Hunting-and-Pecking, forbliver hele SAE-udvekslingen uændret.
Mens du bruger H2E, er PWE-afledningen opdelt i følgende komponenter:

  • Afledning af et hemmeligt mellemliggende element PT fra adgangskoden. Dette kan udføres offline, når adgangskoden oprindeligt er konfigureret på enheden for hver understøttet gruppe.
  • Afledning af PWE fra den lagrede PT. Dette afhænger af de forhandlede gruppe- og MAC-adresser på peers. Dette udføres i realtid under SAE-udvekslingen.

CISCO Embedded Wireless Controller Catalyst Access Points - ikon Note

  • H2E-metoden inkorporerer også beskyttelse mod Group Downgrade man-in-the-middle-angreb. Under SAE-udvekslingen udveksler peers lister over afviste grupper, der er båndet ind i PMK-afledningen. Hver peer sammenligner den modtagne liste med listen over understøttede grupper, enhver uoverensstemmelse registrerer et nedgraderingsangreb og afslutter godkendelsen.

YANG (RPC model)

For at oprette en RPC for SAE Password Element-tilstand (PWE) skal du bruge følgende RPC-model:CISCO Embedded Wireless Controller Catalyst Access Points - fig1
CISCO Embedded Wireless Controller Catalyst Access Points - ikon Note

Slettehandlingen udfører én handling ad gangen på grund af den aktuelle infra-begrænsning. Det vil sige, at i YANG-modulet, er sletningsoperationen på flere noder ikke understøttet.

Konfiguration af WPA3 SAE H2E

Procedure Kommando eller handling Formål
Trin 1 konfigurere terminal
Exampdet:
Enhed# konfigurer terminal		 Går ind i global konfigurationstilstand.
Trin 2 wan wan-name aftaget SSID-navn Eksampdet:
Device(config)# wan WPA3 1 WPA3		 Går ind i WLAN-konfigurationens undertilstand.
Trin 3 ingen sikkerhed wpa akm dot1x
Exampdet:
Device(config-wlan)# ingen sikkerhed wpaakm dot1x		 Deaktiverer sikkerhed AKM for dot1x.
Trin 4 ingen sikkerhedsfod over-the-ds Eksampdet:
Device(config-wlan)# ingen sikkerhed ft over-the-ds		 Deaktiverer hurtig overgang over datakilden på WLAN'et.
Trin 5 ingen sikkerhed ft Eksampdet:
Device(config-wlan)# no security ft		 Deaktiverer 802.11r hurtig overgang på WLAN.
Trin 6 ingen sikkerhed wpa wpa2 Eksampdet:
Device(config-wlan)# ingen sikkerhed wpa wpa2		 Deaktiverer WPA2-sikkerhed. PMF er deaktiveret nu.
Trin 7 sikkerhed wpa wpa2 ciphers aes
Exampdet:
Device(config-wlan)# sikkerhed wpa wpa2 ciphers aes		 Konfigurerer WPA2-chiffer.
Bemærk Du kan kontrollere, om cipher er konfigureret ved hjælp af ingen sikkerhedskommando wpa wpa2 ciphers aes. Hvis chifferen ikke er nulstillet, skal du konfigurere
chiffer.
Trin 8 sikkerhed wpa psk sæt-nøgle ascii værdi prædelt-nøgle Eksampdet:
Device(config-wlan)# security wpa psk set-key ascii 0 Cisco123		 Angiver en forudindstillet nøgle.
Trin 9 sikkerhed wpa wpa3 Eksampdet:
Enhed(config-wlan)# sikkerhed wpa wpa3		 Aktiverer WPA3-understøttelse.
Trin 10 sikkerhed wpa akm sae Exampdet:
Device(config-wlan)# sikkerhed wpa akm sae		 Aktiverer AKM SAE-understøttelse.
Trin 11 sikkerhed wpa akm sae pwe {h2e | hnp | både-h2e-hnp}
Exampdet:
Device(config-wlan)# sikkerhed wpa akm sae pwe		 Aktiverer AKM SAE PWE-understøttelse.
PWE understøtter følgende muligheder:
• h2e—Kun Hash-to-Element; deaktiverer Hnp.
• hnp – Kun jagt og hakke; deaktiverer H2E.
• Both-h2e-hnp—Både Hash-to-Element og Jagt- og Pecking-understøttelse (Er standardindstillingen).
Trin 12 ingen nedlukning Eksampdet:
Enhed(config-wlan)# ingen nedlukning		 Aktiverer WLAN.
Trin 13 ende Eksampdet:
Device(config-wlan)# end		 Vender tilbage til den privilegerede EXEC-tilstand.

Bekræfter WPA3 SAE H2E-understøttelse i WLAN

Til view WLAN-egenskaberne (PWE-metoden) baseret på WLAN-id'et, skal du bruge følgende kommando:

CISCO Embedded Wireless Controller Catalyst Access Points - fig2

CISCO Embedded Wireless Controller Catalyst Access Points - fig3
CISCO Embedded Wireless Controller Catalyst Access Points - fig4

For at verificere klienttilknytningen, der har brugt PWE-metoden som H2E eller Hnp, skal du bruge følgende kommando:
CISCO Embedded Wireless Controller Catalyst Access Points - fig5
CISCO Embedded Wireless Controller Catalyst Access Points - fig6

CISCO Embedded Wireless Controller Catalyst Access Points - fig7
Til view antallet af SAE-godkendelser ved hjælp af H2E og HnP, brug følgende kommando:

CISCO Embedded Wireless Controller Catalyst Access Points - fig8CISCO Embedded Wireless Controller Catalyst Access Points - fig9

Understøttelse af Hash-to-Element for Password Element i SAE-godkendelseCISCO logo

Dokumenter/ressourcer

CISCO Embedded Wireless Controller Catalyst Access Points [pdfBrugervejledning
Indbygget trådløs controller Catalyst Access Points, Wireless Controller Catalyst Access Points, Controller Catalyst Access Points, Catalyst Access Points, Access Points, Points

Referencer

Efterlad en kommentar

Din e-mailadresse vil ikke blive offentliggjort. Påkrævede felter er markeret *