فهم تدفق التشفير اللاسلكي الانتهازي

المقدمة

يوضح هذا المستند تدفق انتقال الدين وكيفية عمله على وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) Catalyst 9800.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• كيفية تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800، نقطة الوصول (AP) للتشغيل الأساسي
• كيفية تكوين ملفات تعريف السياسة و WLAN.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• C9800-80، Cisco IOS® XE 17.12.4 وتم إختباره أيضا في Cisco IOS® XE 17.9.6
• نموذج نقطة الوصول : C9136I، تم إيداعه في كل من وضع الاتصال المحلي ووضع الاتصال المرن.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الوصف

• OWE (تشفير لاسلكي انتهازي) هو امتداد ل IEEE 802.11 الذي يوفر تشفير للوسط اللاسلكي. إن الغرض من المصادقة المستندة إلى OWE هو تجنب فتح اتصال لاسلكي غير آمن بين نقاط الوصول والعملاء.
• يستخدم OWE التشفير المستند إلى خوارزميات Diffie-Hellman لإعداد التشفير اللاسلكي.
• من خلال OWE، يقوم العميل ونقطة الوصول بتبادل مفاتيح Diffie-Hellman أثناء إجراء الوصول واستخدام السر الدموي الناتج مع المصافحة الرباعية الإتجاه.
• يؤدي إستخدام OWE إلى تحسين أمان الشبكة اللاسلكية لعمليات النشر التي يتم فيها نشر الشبكات المفتوحة أو المشتركة المستندة إلى PSK.

خطوات

1.        قم بتكوين شبكة WLAN مفتوحة واحدة دون أي تشفير/أمان وتمكين البث.
2.        قم بتكوين SSID آخر بإعدادات تأمين OWE وتعيين رقم معرف WLAN المفتوح في وضع الانتقال-wlan-id. قم بتعطيل خيار بث SSID في SSID انتقال OWE هذا.
3.        قم بتعيين رقم معرف شبكة WLAN الانتقالية في حقل "وضع الانتقال-wlan-id" المفتوح للشبكة المحلية اللاسلكية (WLAN).

تفاصيل Lab Repro

• اسم SSID المفتوح: فتح الدين
• اسم SSID الخاص بنقل OWE: انتقال OWE
• BSSID الخاص ب Open-Owe: 40:ce:24:dd:2e:87
• BSSID من Owe-Transfer: 40:ce:24:dd:2e:8f

تستدانن

1. يمكن بث أجهزة الإرشاد ل SSID المفتوحة. يمكنك رؤيتها من خلال اسم SSID الخاص بها في PCAP الهواء.
2. كما يمكننا الاطلاع على SSID المخفي الذي تم تمكينه باستخدام اسم "حرف بدل" بدلا من اسم SSID الخاص به في PCAP.
3. بمجرد أن يتلقى العملاء إطار المنارة ل SSID المفتوحة، إذا كان لديه أو يدعم SSID، فيمكنه البدء في إرسال طلب الاستفسار إلى SSID انتقالي (وهو SSID ممكن للتأمين بدلا من SSID مفتوحة).
4. يمكن للعملاء المدعومين في OWE الحصول على إستجابة تحقيق من SSID الانتقالية.
5. يمكن أن تحدث المصادقة المفتوحة بين العميل و AP.
6. يمكن للعميل إرسال طلب اقتران إلى نقطة الوصول مع تفاصيل تبادل مفتاح DH واستخدام سر عدم الاتصال الناتج عن ذلك لمصافحة في أربعة أتجاهات.
7. يمكن لنقطة الوصول إرسال إستجابة الاقتران.
8. يمكن إجراء مصافحة رباعية الإتجاه بين نقطة الوصول وجهاز العميل.
9. بعد إدارة المفاتيح بنجاح، يمكن أن يكون PSK من المستوى الثاني ناجحا.
10. يمكن للعميل الحصول على IP من DHCP و ARP وما إلى ذلك،.
11. يمكن للعميل الانتقال إلى حالة RUN.
12. إذا كانت أجهزة العميل غير المعتمدة OWE، فيمكنها إرسال طلب PROBE لفتح SSID نفسه ويمكنها الحصول على IP مباشرة مما يمكنها الانتقال إلى حالة RUN.

إطار المنارة الأصلي

• هنا، تبين PCAP من الهواء، بث SSID "Open-Owe" (إطار شعاع). الذي يحتوي على تفاصيل SSID الانتقالية ويسمى "Owe-Transfer".

الصورة-1 : إطار إطار المنارة ل SSID المفتوح

خطوط SSID مخفية

• وفقا لتكوين الشبكة المحلية اللاسلكية (WLAN)، يتم تعطيل "البث" لمعرف SSID "Owe-Transition" هذا، ومع ذلك، يمكنك مشاهدة منارات SSID المخفية في PCAP AIR التي تحتوي على اسم SSID "Wildcard". ومع ذلك، إذا قمت بالتحقق من تلك الحزمة، فإنها تحتوي على تفاصيل Owe-Transfer.
• احصل على معرف BSSID المخفي باستخدام هذه الحزمة، مثل "40:ce:24:dd:2e:8f" وابحث عنه في التقاط الحزمة.
• وفي هذه الحزمة، تظهر هذه الخاصية، SSID "مفقود" وتحتوي على SSID الانتقالي الخاص بها ك "Open-Owe" و BSSID الخاص بها "40:ce:24:dd:2e:87".

الصورة-2 : SSID المخفي - انتقال OWE

تم إرسال طلب تحقيق من العميل إلى SSID الخاص بتحويل OWE

• واستنادا إلى SSID إطار المنارة "Open-Owe"، يتعرف العميل على تفاصيل SSID الأخرى التي يحتاج إلى توصيلها، في هذا السيناريو، هي "Owe-Transfer". إذا كان العميل قادرا على دعم تشفير OWE، فيمكنه حينئذ إرسال طلب الاستفسار إلى SSID "OWE-Transition" والحصول على إستجابة.
• تم إرسال طلب الاستكشاف إلى OWE-Transition BSSID "40:ce:24:dd:2e:8f" وحصل على إستجابة. كما يمكنك الاطلاع على تفاصيل SSID في حزمة إستجابة Probe هذه.

الصورة-3 : طلب التحقيق

تم إرسال إستجابة الاستكشاف من AP إلى العميل

• تلقى العميل إستجابة الاستقصاء ل SSID "Owe-Transfer" إلا أنه يملك تفاصيل SSID الأصلية "Open-OWE" في WiFi Alliance.

الصورة-4 : إستجابة بالمسبار

فتح المصادقة

• بعد الحصول على إستجابة المسبار، يمكن أن تحدث المصادقة المفتوحة بين العميل و AP للتحقق من تفاصيل/إمكانيات WiFi للعملاء قبل الاقتران.

الصورة-5 : فتح المصادقة بعد الاستقصاء الناجح

طلب الاقتران من العميل إلى AP

• في هذه الحزمة، لاحظ أنه يمكن للعميل إرفاق قيمة معلمة Diffie-Hellman للتشفير.

الصورة-6 : طلب الاقتران

• في تتبع RA، يمكنك بدء رؤية سجلات العميل من مرحلة الاقتران،

2025/01/21 15:21:57.391071821 {wncd_x_R0-0}{1}: [client-orch-sm] [21675]: (note): MAC: ee13.e8a8.cd5b  Association received. BSSID 40ce.24dd.2e8f, WLAN OWE-Transition, Slot 1 AP 40ce.24dd.2e80, APA023.9F66.1B3C, Site tag default-site-tag, Policy tag default-policy-tag, Policy profile OWE-Policy, Switching Central, Socket delay 0ms
2025/01/21 15:21:57.391117645 {wncd_x_R0-0}{1}: [client-orch-sm] [21675]: (debug): MAC: ee13.e8a8.cd5b  Received Dot11 association request. Processing started,SSID: OWE-Transition, Policy profile: OWE-Policy, AP Name: APA023.9F66.1B3C, Ap Mac Address: 40ce.24dd.2e80BSSID MAC0000.0000.0000wlan ID: 36RSSI: -42, SNR: 49

تم إرسال إستجابة الاقتران من AP إلى العميل

الصورة-7 : الاستجابة من خلال الاقتران

2025/01/21 15:21:57.391334260 {wncd_x_R0-0}{1}: [client-orch-state] [21675]: (note): MAC: ee13.e8a8.cd5b  Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
2025/01/21 15:21:57.392296819 {wncd_x_R0-0}{1}: [dot11] [21675]: (note): MAC: ee13.e8a8.cd5b  Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = True Fast roam = False

تبادل المفاتيح

يمكن إجراء مصافحة رباعية الإتجاه بين نقطة الوصول وجهاز العميل.

إرسال المفتاح-1 بواسطة نقطة الوصول

إرسال KEY-2 بواسطة العميل

إرسال المفتاح-3 بواسطة نقطة الوصول

إرسال KEY-4 بواسطة العميل

الصورة-8 : مصافحة رباعية الاتجاهات

2025/01/21 15:21:57.392538716 {wncd_x_R0-0}{1}: [client-orch-sm] [21675]: (debug): MAC: ee13.e8a8.cd5b  Starting L2 authentication. Bssid in state machine:40ce.24dd.2e8f  Bssid in request is:40ce.24dd.2e8f
2025/01/21 15:21:57.392557538 {wncd_x_R0-0}{1}: [client-orch-state] [21675]: (note): MAC: ee13.e8a8.cd5b  Client state transition: S_CO_ASSOCIATING -> S_CO_L2_AUTH_IN_PROGRESS
2025/01/21 15:21:57.392640494 {wncd_x_R0-0}{1}: [client-auth] [21675]: (note): MAC: ee13.e8a8.cd5b  L2 Authentication initiated. method PSK, Policy VLAN 1417, AAA override = 0, NAC = 0
2025/01/21 15:21:57.394830551 {wncd_x_R0-0}{1}: [client-auth] [21675]: (info): MAC: ee13.e8a8.cd5b  Client auth-interface state transition: S_AUTHIF_AWAIT_PSK_AUTH_START_RESP -> S_AUTHIF_PSK_AUTH_PENDING
2025/01/21 15:21:57.395171903 {wncd_x_R0-0}{1}: [client-auth] [21675]: (info): MAC: ee13.e8a8.cd5b  Client auth-interface state transition: S_AUTHIF_PSK_AUTH_PENDING -> S_AUTHIF_ADD_MOBILE_ACK_WAIT_KM
2025/01/21 15:21:57.420590731 {wncd_x_R0-0}{1}: [client-auth] [21675]: (info): MAC: ee13.e8a8.cd5b  Client auth-interface state transition: S_AUTHIF_ADD_MOBILE_ACK_WAIT_KM -> S_AUTHIF_PSK_AUTH_KEY_XCHNG_PENDING

2025/01/21 15:21:57.420706435 {wncd_x_R0-0}{1}: [client-keymgmt] [21675]: (info): MAC: ee13.e8a8.cd5b  EAP key M1 Sent successfully

2025/01/21 15:21:57.420775720 {wncd_x_R0-0}{1}: [client-keymgmt] [21675]: (info): MAC: ee13.e8a8.cd5b  Client key-mgmt state transition: S_INITPMK -> S_PTK_START

2025/01/21 15:21:57.426548998 {wncd_x_R0-0}{1}: [client-keymgmt] [21675]: (info): MAC: ee13.e8a8.cd5b   M2 Status: EAP key M2 validation success

2025/01/21 15:21:57.426725965 {wncd_x_R0-0}{1}: [client-keymgmt] [21675]: (info): MAC: ee13.e8a8.cd5b  EAP key M3 Sent successfully

2025/01/21 15:21:57.426727805 {wncd_x_R0-0}{1}: [client-keymgmt] [21675]: (info): MAC: ee13.e8a8.cd5b  Client key-mgmt state transition: S_PTK_START -> S_PTKINITNEGOTIATING

2025/01/21 15:21:57.434078994 {wncd_x_R0-0}{1}: [client-keymgmt] [21675]: (info): MAC: ee13.e8a8.cd5b  M4 Status: EAP key M4 validation is successful

2025/01/21 15:21:57.434099154 {wncd_x_R0-0}{1}: [client-keymgmt] [21675]: (note): MAC: ee13.e8a8.cd5b  EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

مصادقة L2 ناجحة

2025/01/21 15:21:57.434111288 {wncd_x_R0-0}{1}: [client-keymgmt] [21675]: (info): MAC: ee13.e8a8.cd5b  Client key-mgmt state transition: S_PTKINITNEGOTIATING -> S_PTKINITDONE
2025/01/21 15:21:57.434250308 {wncd_x_R0-0}{1}: [client-auth] [21675]: (note): MAC: ee13.e8a8.cd5b  L2 PSK Authentication Success. EAP type: NA, Resolved VLAN: 1417, Audit Session id: 0000000000001BBA88469FD1
2025/01/21 15:21:57.434286035 {wncd_x_R0-0}{1}: [client-auth] [21675]: (info): MAC: ee13.e8a8.cd5b  Client auth-interface state transition: S_AUTHIF_PSK_AUTH_KEY_XCHNG_PENDING -> S_AUTHIF_PSK_AUTH_DONE
2025/01/21 15:21:57.434308953 {wncd_x_R0-0}{1}: [client-orch-sm] [21675]: (debug): MAC: ee13.e8a8.cd5b  L2 Authentication of station is successful., L3 Authentication : 0

حالة تعلم IP

2025/01/21 15:21:57.434789679 {wncd_x_R0-0}{1}: [client-orch-sm] [21675]: (note): MAC: ee13.e8a8.cd5b  Mobility discovery triggered. Client mode: Local
2025/01/21 15:21:57.436611026 {wncd_x_R0-0}{1}: [client-orch-state] [21675]: (note): MAC: ee13.e8a8.cd5b  Client state transition: S_CO_MOBILITY_DISCOVERY_IN_PROGRESS -> S_CO_DPATH_PLUMB_IN_PROGRESS
2025/01/21 15:21:57.437239513 {wncd_x_R0-0}{1}: [client-orch-state] [21675]: (note): MAC: ee13.e8a8.cd5b  Client state transition: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
2025/01/21 15:21:57.437508189 {wncd_x_R0-0}{1}: [client-iplearn] [21675]: (info): MAC: ee13.e8a8.cd5b  IP-learn state transition: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
2025/01/21 15:21:57.534166453 {wncd_x_R0-0}{1}: [sisf-packet] [21675]: (info): TX: DHCPv4 from interface capwap_90000016 on vlan 1417 Src MAC: ee13.e8a8.cd5b Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPREQUEST, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: ee13.e8a8.cd5b
2025/01/21 15:21:57.535325325 {wncd_x_R0-0}{1}: [client-iplearn] [21675]: (note): MAC: ee13.e8a8.cd5b  Client IP learn successful. Method: DHCP IP: 10.107.81.254
2025/01/21 15:21:57.535874658 {wncd_x_R0-0}{1}: [sisf-packet] [21675]: (info): TX: DHCPv4 from interface Tw0/0/1 on vlan 1417 Src MAC: 4cec.0fde.a4c1 Dst MAC: ee13.e8a8.cd5b src_ip: 10.107.81.1, dst_ip: 10.107.81.254, BOOTPREPLY, SISF_DHCPACK, giaddr: 0.0.0.0, yiaddr: 10.107.81.254, CMAC: ee13.e8a8.cd5b
2025/01/21 15:21:57.536500021 {wncd_x_R0-0}{1}: [client-orch-sm] [21675]: (debug): MAC: ee13.e8a8.cd5b  Received ip learn response. method: IPLEARN_METHOD_DHCP

العميل في حالة التشغيل

2025/01/21 15:21:57.537017277 {wncd_x_R0-0}{1}: [client-orch-state] [21675]: (note): MAC: ee13.e8a8.cd5b  Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

العملاء غير المدعومين لتشفير OWE

• ومن خلال مراجعة إطار المنارة نفسه، يتعرف العملاء على ما إذا كانوا قادرين على دعم طريقة التشفير هذه أم لا. وفي حالة عدم دعمها، يمكن لها فقط إرسال طلب تحقيق لفتح SSID "OPEN-OWE" ويمكنها القيام بمصادقة مفتوحة عادية والحصول على عنوان IP، ومن ثم تنفيذ حالة RUN.

2025/01/16 15:36:06.178370757 {wncd_x_R0-2}{1}: [client-orch-sm] [17332]: (note): MAC: d037.4587.8f35  Association received. BSSID 6cd6.e301.bbae, WLAN OPEN-OWE, Slot 1 AP 6cd6.e301.bba0, ap01, Site tag default-site-tag, Policy tag Laki-Policy-Tag, Policy profile OWE-Policy, Switching Central, Socket delay 0ms
2025/01/16 15:36:06.209288788 {wncd_x_R0-2}{1}: [dot11] [17332]: (note): MAC: d037.4587.8f35  Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False Fast roam = False
2025/01/16 15:36:06.248651191 {wncd_x_R0-2}{1}: [client-auth] [17332]: (note): MAC: d037.4587.8f35  Open L2 Authentication Success. EAP type: NA, Resolved VLAN: 1417, Audit Session id: 000000000000000B696B83DE
2025/01/16 15:36:06.248751507 {wncd_x_R0-2}{1}: [client-orch-state] [17332]: (note): MAC: d037.4587.8f35  Client state transition: S_CO_L2_AUTH_IN_PROGRESS -> S_CO_MOBILITY_DISCOVERY_IN_PROGRESS
2025/01/16 15:36:06.281808554 {wncd_x_R0-2}{1}: [client-orch-state] [17332]: (note): MAC: d037.4587.8f35  Client state transition: S_CO_MOBILITY_DISCOVERY_IN_PROGRESS -> S_CO_DPATH_PLUMB_IN_PROGRESS
2025/01/16 15:36:06.303307756 {wncd_x_R0-2}{1}: [client-orch-state] [17332]: (note): MAC: d037.4587.8f35  Client state transition: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
2025/01/16 15:36:10.305041414 {wncd_x_R0-2}{1}: [client-iplearn] [17332]: (note): MAC: d037.4587.8f35  Client IP learn successful. Method: ARP IP: 10.106.241.167
2025/01/16 15:36:10.305777492 {wncd_x_R0-2}{1}: [client-orch-state] [17332]: (note): MAC: d037.4587.8f35  Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

معلومات الانتقال السريع

• يمكننا تكوين OWE فقط في المصادقة المفتوحة أو في WebAuth (CWA/LWA/EWA).
• FT غير مدعوم في انتقال OWE.
• إذا قمت بتمكين FT، ستحصل على رسالة الخطأ هذه،

الصورة-9 : رسالة خطأ عند تمكين FT في SSID لتحويل OWE

OWE غير مدعوم مع PSK/dot1x

نحن غير قادرين على تمكين OWE في هذه التركيبات،

1. 802.1x أو FT+802.1x

2. PSK أو FT+PSK أو PSK-SHA256

3. SAE أو FT+SAE

4. 802.1x-SHA256 أو FT+802.1x-SHA256

إذا حاولت تمكين أي من هذه الأساليب، يمكنك الحصول على رسالة الخطأ،

الصورة-10: الحصول على رسالة خطأ أثناء تمكين طرق مصادقة أخرى في SSID OWE

الصورة-11: رسالة خطأ أثناء تمكين AKM

• في الإصدار Cisco IOS® XE 17.9.6 IOS، يمكنك أن ترى خيار "OWE" ضمن AKM عندما تحدد "WPA2+WPA3" على أي حال يمكنك الحصول على رسالة الخطأ، فأنت غير قادر على إستخدام OWE مع هذه المجموعة.
  
  الصورة-12: رسالة خطأ عندما نختار WPA2+WPA3

• في الإصدار Cisco IOS® XE 17.12.4، عندما تختار "WPA2+WPA3"، لا يمكنك الحصول على الخيار "OWE" في AKM،
  
  الصورة-13 : رسالة خطأ - عدم الحصول على خيار OWE في AKM

استكشاف الأخطاء وإصلاحها

1. تحقق من التكوينات الموجودة في كل من شبكات WLAN وفي SSID المفتوحة وفي SSID OWE TRANSITION يجب تعيين معرف WLAN الانتقالي.
2. يجب تعطيل خيار البث في SSID لنقل OWE، ويجب تمكينه فقط في SSID المفتوحة.
3. تحقق من أساليب المصادقة/التشفير/ft المدعومة الموضحة في هذه المقالة.
4. إذا كانت التكوينات جيدة من نهاية WLC، فيرجى جمع السجلات والإصدارات المطلوبة لتضييق نطاق المشكلة،

تتبع RA و EPC (التقاط الدلو المضمن)

تسجيل الدخول إلى واجهة المستخدم الرسومية WLC -> أستكشاف الأخطاء وإصلاحها -> تتبع مشع -> إضافة عنوان WiFi لعميل -> انقر فوق خانة الاختيار "العملاء" -> بدء 

تسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة بواجهة مستخدم الرسومات (WLC) -> أستكشاف الأخطاء وإصلاحها -> التقاط الحزم -> إضافة اسم ملف جديد -> أختر واجهة الوصلة و WMI VLAN/الواجهة -> بدء.

من جهاز العميل: إن أمكن، يمكنك تثبيت تطبيق Wireshark وتجميع التقاط الحزمة باختيار واجهة WiFi.

https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213949-wireless-debugging-and-log-collection-on.html#anc12

غطاء هوائي

يمكنك تجميعه باستخدام حاسب Mac أو تكوين إحدى نقاط الوصول في وضع sniffer، الرجاء الرجوع إلى هذه الارتباطات،

من كمبيوتر Mac المحمول:

https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-mobility/217042-collect-packet-captures-over-the-air-on.html

من نقطة وصول Sniffer:

https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/217057-configure-access-point-in-sniffer-mode-o.html

قم بتوصيل كمبيوتر محمول واحد (خادم wireshark) بمنفذ المحول ويجب أن يحتوي على تطبيق Wireshark مثبت فيه، ويجب أن يحتوي خادم Wireshark هذا على إمكانية الوصول إلى واجهة WLC WMI. يجب السماح بالبروتوكول "5555 أو 5000 أو 5556" في جدار الحماية إذا كان موجودا بين خادم WLC وخادم Wireshark.

التحقق من وجود أي "gscaler" مثبت في هذا الكمبيوتر حيث تم تثبيت Wireshark، إذا كان غير الرجاء "إيقاف تشغيل" ومحاولة، إذا كان هناك أي جدار حماية مثل Windows Defender أو أي شيء موجود فيه، الرجاء تعطيل هذه ومحاولة تجميع PCAP.

تجوال

عندما يتجول العميل من نقطة وصول إلى أخرى، فإنه يحتاج إلى القيام بهذه الخطوات،

• الحاجة إلى إرسال إعادة اقتران/اقتران - يعتمد على طلب العميل.
• يلزم إرسال تفاصيل DH (Diffie-helman) في طلب الاقتران.
• يمكن للعميل الحصول على تفاصيل DH في إستجابة الاقتران من AP، بناء على PMK هذا، يتم إنشاؤه في كل من العميل و AP.
• يمكن أن تحدث مصافحة بالأيدي رباعية الإتجاه بين نقطة الوصول والعميل.
• في OWE، أنت يعجز أن يمكن ft، لذلك 802.11r ليس ممكن.
• وفي كل مرة، عندما يجول العميل، فإنه يحتاج إلى إجراء مصافحة رباعية الاتجاهات بعد تبادل DH في مؤسسة مشتركة.
• العميل ونقطة الوصول التي تستخدم PMKID الخاصة بها، تكون فريدة لكل نقطة وصول وعملاء.
• إذا اتصل العميل بنفس نقطة الوصول، فيمكن أن يستخدم نفس PMKID. في بعض السيناريوهات، إذا تم حذف العميل أكثر من قدرة نقطة الوصول على إنشاء PMKID جديد، على الرغم من أن العميل يستخدم نفس PMKID للمصافحة بأربعة طرق.

مثال:

إذا اتصل العميل بنفس نقطة الوصول، فيمكنك مشاهدة PMKID نفسه في كل من Association-Request و Association-Response. في إستجابة "الاقتران"، لا يمكنك رؤية تفاصيل DH إذا كانت تستخدم نفس PMKID.

الصورة-14: إستخدام نفس PMKID

الصورة-15: إستجابة الجمعية مع PMKID نفسه

للاختبار، قم بحذف هذا العميل يدويا من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) وتم اقترانه مرة أخرى بنفس نقطة الوصول، في هذا الوقت، يرسل العميل نفس PMKID ومع ذلك ترسل نقطة الوصول تفاصيل DH في إستجابة الاقتران.

الصورة-16: بعد الحذف، أرسل العميل نفس PMKID مع تفاصيل DH

الصورة-17: تستخدم نقطة الوصول قيم DH لإنشاء PMKID الجديد الخاص بها

في هذا المثال: يستخدم كل من نقطة الوصول والعميل AP نفس PMKID أثناء إجراء مصافحة رباعية الإتجاه، تحقق من رسائل "M1 و M2".

الصورة- 18: AP والعميل اللذان يستخدمان نفس PMKID

في هذا المثال: العميل الذي يستخدم نفس PMKID ولكن AP باستخدام PMKID مختلفة تم إنشاؤها بعد حذف العميل، تحقق من رسائل "M1 و M2".

الصورة-19: AP والعميل باستخدام PMKID مختلف

من داخل تتبع RA:

في هذا المثال: أرسل العميل معلمات DH في طلب الاقتران وعالج AP مما تم إنشاؤه ل PMK.

2025/01/21 15:18:50.157081690 {wncd_x_R0-0}{1}: [dot11-validate] [21675]: (debug): MAC: ee13.e8a8.cd5b  In case of DH parameter IE received.
2025/01/21 15:18:50.157082294 {wncd_x_R0-0}{1}: [dot11-validate] [21675]: (debug): MAC: ee13.e8a8.cd5b  Dot11 ie process received DH param element.
2025/01/21 15:18:50.157523328 {wncd_x_R0-0}{1}: [dot11-validate] [21675]: (debug): MAC: ee13.e8a8.cd5b  OWE: prk:
2025/01/21 15:18:50.157531792 {wncd_x_R0-0}{1}: [dot11-validate] [21675]: (debug): MAC: ee13.e8a8.cd5b  OWE: PMK:
2025/01/21 15:18:50.157532236 {wncd_x_R0-0}{1}: [dot11-validate] [21675]: (debug): MAC: ee13.e8a8.cd5b  OWE: PMKID:
2025/01/21 15:18:50.157532538 {wncd_x_R0-0}{1}: [dot11-validate] [21675]: (debug): MAC: ee13.e8a8.cd5b  Dot11 IE validate DH parameter element.IE ID = 255 , Len = 35
2025/01/21 15:18:50.157841380 {wncd_x_R0-0}{1}: [dot11-frame] [21675]: (debug): MAC: ee13.e8a8.cd5b  OWE :DH parameter element encoding sucessful

بعد هذا، لم يقم العميل نفسه الذي يتصل بنفس نقطة الوصول، في هذا الوقت، نقطة الوصول (AP) بإنشاء PMKID جديد، 

2025/01/21 15:21:57.391898613 {wncd_x_R0-0}{1}: [dot11-validate] [21675]: (debug): MAC: ee13.e8a8.cd5b  In case of DH parameter IE received.
2025/01/21 15:21:57.391903915 {wncd_x_R0-0}{1}: [dot11-validate] [21675]: (debug): MAC: ee13.e8a8.cd5b  Dot11 ie process received DH param element.
2025/01/21 15:21:57.391906073 {wncd_x_R0-0}{1}: [dot11-validate] [21675]: (debug): MAC: ee13.e8a8.cd5b  Dot11 ie validate DH param element. PMKID found so skipping DH processing.
2025/01/21 15:21:57.391906329 {wncd_x_R0-0}{1}: [dot11-validate] [21675]: (debug): MAC: ee13.e8a8.cd5b  Dot11 IE validate DH parameter element.IE ID = 255 , Len = 35