Wi-Fi 6E WLAN Layer 2-beveiliging configureren en controleren

Inleiding

Dit document beschrijft hoe u Wi-Fi 6E WLAN Layer 2-beveiliging kunt configureren en wat u op verschillende clients kunt verwachten.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco draadloze LAN-controllers (WLC) 9800
• Cisco Access points (AP’s) die Wi-Fi 6E ondersteunen. 
• IEEE-standaard 802.11ax.
• Tools: Wireshark v4.0.6

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• WLC 9800-CL met IOS® XE 17.9.3
• AP9136, CW9162, CW9164 en CW9166.
• Wi-Fi 6E-clients:
  • Lenovo X1 Carbon Gen11 met Intel AX211 Wi-Fi 6 en 6E adapter met driver versie 22.200.2(1).
  • Netgear A8000 Wi-Fi 6- en 6E-adapter met stuurprogramma v1(0.0.108);
  • Mobiele telefoon Pixel 6a met Android 13;
  • Mobiele telefoon Samsung S23 met Android 13.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Het belangrijkste om te weten is dat Wi-Fi 6E geen geheel nieuwe standaard is, maar een extensie. Aan de basis is Wi-Fi 6E een uitbreiding van de Wi-Fi 6 (802.11ax) draadloze standaard naar de 6-GHz radiofrequentieband.

Wi-Fi 6E bouwt voort op Wi-Fi 6, de nieuwste generatie van de Wi-Fi standaard, maar alleen Wi-Fi 6E apparaten en toepassingen kunnen werken in de 6-GHz band.

Wi-Fi 6E security

Wi-Fi 6E verhoogt de beveiliging met Wi-Fi Protected Access 3 (WPA3) en Opportunistische Draadloze Encryptie (OWE) en er is geen achterwaartse compatibiliteit met Open en WPA2-beveiliging.

WPA3 en Enhanced Open Security zijn nu verplicht voor Wi-Fi 6E-certificering en Wi-Fi 6E vereist ook Protected Management Frame (PMF) in zowel AP als Clients.

Bij het configureren van een 6GHz SSID zijn er bepaalde beveiligingsvereisten waaraan moet worden voldaan:

• WPA3 L2-beveiliging met WAE, SAE of 802.1x-SHA256
• Beschermd beheerframe ingeschakeld;
• Een andere L2-beveiligingsmethode is niet toegestaan, dat wil zeggen geen gemengde modus mogelijk.

WPA3

WPA3 is ontworpen om de Wi-Fi-beveiliging te verbeteren door betere verificatie via WPA2 mogelijk te maken, en uitgebreide cryptografische kracht te bieden en de veerkracht van kritieke netwerken te vergroten.

De belangrijkste kenmerken van WPA3 zijn:

• Protected Management Frame (PMF)beschermt unicast- en broadcast-beheerframes en versleutelt unicast-beheerframes. Dit betekent dat draadloze inbraakdetectie en draadloze inbraakpreventiesysteem-sneeuw minder brute-kracht manieren hebben om clientbeleid af te dwingen.
• Gelijktijdige verificatie van equals (SAE) maakt wachtwoordgebaseerde verificatie en een sleutelovereenkomstmechanisme mogelijk. Dit beschermt tegen grof geweld aanvallen.
• Overgangsmodus is een gemengde modus die het gebruik van WPA2 mogelijk maakt om clients te verbinden die geen WPA3 ondersteunen.

WPA3 gaat over continue security ontwikkeling en conformantie en interoperabiliteit.
Er is geen informatie-element dat WPA3 aanwijst (hetzelfde als WPA2). WPA3 is gedefinieerd door AKM/Cypher Suite/PMF combinaties.

Op de 9800 WLAN-configuratie hebt u vier verschillende WPA3-coderingsalgoritmen die u kunt gebruiken.

Ze zijn gebaseerd op het Galois/Counter Mode Protocol (GCMP) en de Counter Mode met Cycle Block Chaining Message Authenticatie Protocol (CCMP): AES (CCMP128), CCMP256, GCMP128 en GCMP256: 

WAP2/3-versleutelingsopties

PMF

PMF wordt geactiveerd op een WLAN wanneer u PMF inschakelt.

Standaard zijn 802.11-beheerframes niet geverifieerd en dus niet beschermd tegen spoofing. Infrastructure Management Protection Frame (MFP) en 802.11w protected management frames (PMF) bieden bescherming tegen dergelijke aanvallen.

PMF-opties

Beheer van verificatiesleutels

Dit zijn de AKM-opties die beschikbaar zijn in de 17.9.x-versie:

AKM-opties

Let op dat er geen "FT + 802.1x-SHA256" in de GUI is. Dit komt doordat:

• 802.1X verwijst naar AKM 1 en is standaard 802.1X - SHA1. De GUI stelt deze alleen voor voor het beleid "WPA2" of "WPA2+3". 
• FT + 802.1x is AKM 3 en is feitelijk FT over 802.1X-SHA256. Dit was al bruikbaar in WPA2, maar omdat het al SHA256 gebruikt, kwalificeert het als WPA3-conform.
• 802.1X - SHA256 is AKM 5 is WPA3-conform.

Als u alleen FT client wilt ondersteunen, kunt u een WPA3 SSID hebben met alleen "FT+802.1x". Als u zowel FT- als niet-FT-clients wilt ondersteunen, kunt u een WPA3-SSID met FT+802.1x en 802.1x-SHA256 hebben.

Samenvattend is er geen andere AKM voor FT op 802.1x voor WPA3, omdat de bestaande al WPA3-conforme was.

In de onderstaande tabel staan de verschillende AKM-waarden die in het IEEE Std 802.11™-2020-document zijn gedefinieerd.

Let op: AKM 8 & 9 worden gebruikt met SAE, AKM 1,3,5,11 worden alleen gebruikt voor WPA3-Enterprise of WPA3-Enterprise transitie, AKM 12,13 zijn voor WPA3-Enterprise met 192-bit, en AKM 18 voor Enhanced Open (OWE).

OUI	Type suite	Verificatietype	Beschrijving
00-10F-AC	0	Gereserveerd	Gereserveerd
00-10F-AC	1	Std 802.1x - SHA1	Verificatie via IEEE-standaard 802.1X met ondersteuning van SHA1
00-10F-AC	2	PSK - SHA-1	Vooraf gedeelde sleutel die SHA1 ondersteunt
00-10F-AC	3	FT over 802.1x - SHA256	Fast Transition-verificatie via IEEE Std 802.1X met ondersteuning van SHA256
00-10F-AC	4	FT via PSK - SHA256	Snelle overgangsverificatie met behulp van PSK-ondersteuning voor SHA-256
00-10F-AC	5	Std 802.1x - SHA256	Verificatie via IEEE Std 802.1X
00-10F-AC	6	PSK - SHA256	Vooraf gedeelde sleutel die SHA256 ondersteunt
00-10F-AC	7	TDLS	TPK-handdruk met ondersteuning van SHA256
00-10F-AC	8	SAE - SHA256-software	Gelijktijdige verificatie van equals met SHA256
00-10F-AC	9	FT via SAE - SHA256	Fast Transition over Gelijktijdige verificatie van gelijken met SHA256
00-10F-AC	10	APPeerKey-verificatie - SHA256	APPeerKey-verificatie met SHA-256
00-10F-AC	11	Std 802.1x Suite - SHA256	Verificatie via IEEE Std 802.1X met behulp van een Suite B-conforme EAP-methode die SHA-256 ondersteunt
00-10F-AC	12	Std 802.1x Suite - SHA384	Verificatie via IEEE Std 802.1X met behulp van een EAP-methode die compatibel is met CNSA Suite en SHA384 ondersteunt
00-10F-AC	13	FT over 802.1x - SHA384	Fast Transition-verificatie via IEEE Std 802.1X met ondersteuning van SHA384
00-10F-AC	14	BESTANDEN MET SHA256 EN AES-SIV-256	Key Management via FLS met SHA-256 en AES-SIV-256, of verificatie via IEEE Std 802.1X
00-10F-AC	15	BESTANDEN MET SHA384 EN AES-SIV-512	Key Management via FLS met SHA-384 en AES-SIV-512, of verificatie via IEEE Std 802.1X
00-10F-AC	16	FT over FILS (SHA256)	Verificatie via Fast Transition over FLS met SHA-256 en AES-SIV-256 of verificatie via IEEE Std 802.1X
00-10F-AC	17	FT over FILS (SHA384)	Verificatie via Fast Transition over FLS met SHA-384 en AES-SIV-512 of verificatie via IEEE Std 802.1X
00-10F-AC	18	Gereserveerd	Gebruikt voor OWE door WiFi Alliance
00-10F-AC	19	FT via PSK - SHA384	Snelle overgangsverificatie met behulp van PSK met SHA384
00-10F-AC	20	PSK-SHA384 router	Vooraf gedeelde sleutel die SHA384 ondersteunt
00-10F-AC	21-255	Gereserveerd	Gereserveerd
00-10F-AC	Alle	leverancierspecifiek	leverancierspecifiek

Om er rekening mee te houden dat sommige AKM verwijzen naar "SuiteB", een verzameling cryptografische algoritmen (om 128-bits en 192-bits beveiligingssterkte te bieden) gedefinieerd door de NSA (National Security Agency) in 2005. NSA verving Suite B door CNSA (Commercial National Security Algorithm Suite), om in 2018 min 192-bits beveiliging te bieden. WPA3-Enterprise 192-bit mode maakt gebruik van AES-256-GCMP encryptie en gebruikt CNSA goedgekeurde algoritme suites die hieronder worden vermeld:

• AES-256-GCMP: Geverifieerde versleuteling.
• HMAC-SHA-384 voor sleutelafleiding en sleutelbevestiging.
• ECDHandECDSAusing 384-bit elliptische curve voor key establishment & authenticatie.

VERSCHULDIGD

Opportunistische draadloze encryptie (OWE) is een uitbreiding van IEEE 802.11 die codering van het draadloze medium biedt (IETF RFC 8110). Het doel van op OWE gebaseerde verificatie is het vermijden van open onbeveiligde draadloze connectiviteit tussen de AP’s en clients. De OWE gebruikt de Diffie-Hellman algoritmen op basis van Cryptografie om de draadloze codering in te stellen. Met OWE voeren de client en AP tijdens de toegangsprocedure een Diffie-Hellman sleuteluitwisseling uit en gebruiken de resulterende paarsgewijze hoofdsleutel (PMK) geheim met de 4-voudige handdruk. Het gebruik van OWE verbetert de draadloze netwerkbeveiliging voor implementaties waar op Open of gedeelde PSK gebaseerde netwerken worden geïmplementeerd.

OWE frame exchange

SAE

WPA3 maakt gebruik van een nieuw authenticatie- en sleutelbeheermechanisme genaamd Gelijktijdige verificatie van Gelijken. Dit mechanisme wordt verder versterkt door het gebruik van SAE Hash-to-Element (H2E).

SAE met H2E is verplicht voor WPA3 en Wi-Fi 6E.

SAE maakt gebruik van een discrete logaritme cryptografie om een efficiënte uitwisseling uit te voeren op een manier die wederzijdse authenticatie uitvoert met behulp van een wachtwoord dat waarschijnlijk bestand is tegen een offline woordenboekaanval.

Een offline woordenboekaanval is waarbij een tegenstander probeert een netwerkwachtwoord te bepalen door mogelijke wachtwoorden te proberen zonder verdere netwerkinteractie.

Wanneer de client verbinding maakt met het toegangspunt, wordt een SAE-uitwisseling uitgevoerd. Indien succesvol, maken ze elk een cryptografisch sterke sleutel, waaruit de sessiesleutel is afgeleid. In principe gaat een client en access point naar de fasen van commit en vervolgens bevestig.

Zodra er een toezegging is, kunnen de client en het access point vervolgens naar de bevestigende staten gaan telkens als er een sessiesleutel moet worden gegenereerd. De methode gebruikt voorwaartse geheimhouding, waarbij een indringer één enkele sleutel kon kraken, maar niet alle andere sleutels.

SAE frame exchange

Hash-to-element (H2E)

Hash-to-Element (H2E) is een nieuwe SAE Password Element (PWE) methode. Bij deze methode wordt de geheime PWE die in het SAE-protocol wordt gebruikt, gegenereerd met een wachtwoord.

Wanneer een station (STA) dat H2E ondersteunt een SAE start met een AP, controleert het of AP H2E ondersteunt. Zo ja, gebruikt het toegangspunt de H2E om de PWE af te leiden met behulp van een nieuw gedefinieerde statuscodewaarde in het SAE Commit-bericht.

Als STA Hunting-and-Pecking (HnP) gebruikt, blijft de gehele SAE-uitwisseling ongewijzigd.

Bij gebruik van H2E wordt de PWE-afleiding onderverdeeld in de volgende componenten:

• Afleiding van een geheim tussenliggend element (PT) uit het wachtwoord. Dit kan offline worden uitgevoerd wanneer het wachtwoord in eerste instantie op het apparaat voor elke ondersteunde groep is ingesteld.

• Afleiding van de PWE uit de opgeslagen PT. Dit is afhankelijk van de onderhandelde groep en MAC-adressen van peers. Dit wordt in real-time uitgevoerd tijdens de SAE-uitwisseling.

WPA-Enterprise ook bekend als 802.1x

WPA3-Enterprise is de veiligste versie van WPA3 en gebruikt een gebruikersnaam plus wachtwoordcombinatie met 802.1X voor gebruikersverificatie met een RADIUS-server. Standaard maakt WPA3 gebruik van 128-bits codering, maar wordt ook een optioneel configureerbare 192-bits codering van cryptografische sterkte geïntroduceerd, die extra bescherming biedt aan elk netwerk dat gevoelige gegevens doorgeeft.

Stroom WPA3-ondernemingsdiagram

Niveau ingesteld: WPA3-modi

• WPA3-Personal
  • alleen WPA3-Personal-modus
    • PMF vereist
  • WPA3-Personal-overgangsmodus
    • Configuratieregels: Op een AP, wanneer WPA2-Personal is ingeschakeld, moet de WPA3-Personal Transition-modus ook standaard worden ingeschakeld, tenzij deze expliciet wordt overschreven door de beheerder om in de alleen WPA2-Personal-modus te werken

• WPA3-Enterprise
  • WPA3-Enterprise alleen-modus
    • PMF wordt voor alle WPA3-verbindingen onderhandeld
  • WPA3-Enterprise Transition Mode
    • PMF wordt overeengekomen voor een WPA3-verbinding
    • PMF optioneel voor een WPA2-verbinding
  • WAP3-Enterprise suite-B "192-bits" modus afgestemd op commercial-algoritme voor nationale beveiliging (CNSA)
    • Meer dan alleen voor de federale overheid
    • Consistente cryptografische algoritme suites om misconfiguratie te voorkomen
    • Toevoeging van GCMP & ECCP voor crypto en betere hashfuncties (SHA384)
    • PMF vereist

    • De WPA3 192-bit beveiliging is exclusief voor EAP-TLS, waarvoor certificaten op zowel de aanvrager als de RADIUS-server vereist zijn.

    • Om WPA3 192-bit enterprise te gebruiken, moeten de RADIUS-servers een van de toegestane EAP-algoritmen gebruiken:

      TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Als u meer wilt weten over gedetailleerde informatie over de implementatie van WPA3 in Cisco WLAN’s, inclusief de compatibiliteitsmatrix voor clientbeveiliging, kunt u de implementatiegids voor WPA3 raadplegen.

Cisco Catalyst Wi-Fi 6E access points

Wi-Fi 6E access points

Door clients ondersteunde beveiligingsinstellingen

U kunt vinden welk product ondersteuning WPA3-Enterprise met behulp van WiFi Alliance webpagina productzoeker.

Op Windows-apparaten kunt u controleren wat de beveiligingsinstellingen zijn die door de adapter worden ondersteund met de opdracht "netsh WLAN show drivers". 

Hier ziet u de uitvoer van de Intel AX211:

Windows-uitvoer van _netsh WLAN show driver_ voor client AX211

Netgear A8000:

Windows-uitvoer van _netsh wlan show driver_ voor client Netgear A8000s

Android Pixel 6a:

Ondersteunde beveiligingsinstellingen voor Android Pixel6a

Samsung S23:

Ondersteunde beveiligingsinstellingen voor Android S23

Op basis van de vorige outputs kunnen we deze tabel afsluiten:

Beveiligingsprotocollen die door elke client worden ondersteund

Configureren

In deze sectie, wordt het getoond de basisconfiguratie van WLAN. Het gebruikte beleidsprofiel is altijd hetzelfde bij gebruik van Central Association/Authentication/DHCP/Switching.

Later in het document wordt getoond hoe elke Wi-Fi 6E Layer 2 Security combinatie moet worden geconfigureerd en hoe de configuratie en het verwachte gedrag moeten worden geverifieerd.

Netwerkdiagram

Netwerkdiagram

Configuraties

Vergeet niet dat Wi-Fi 6E WPA3 vereist, en dit zijn de beperkingen voor WLAN Radio Policy:

• WLAN’s worden alleen naar alle radio’s geduwd als een van de configuratiecombinaties wordt gebruikt:

  • WPA3 + AES-algoritme + 802.1x-SHA256 (FT) AKM

  • WPA3 + AES-algoritme + OWE AKM

  • WPA3 + AES-algoritme + SAE (FT) AKM

  • WPA3 + CCMP256-algoritme + SUITEB192-1X AKM

  • WPA3 + GCMP128-algoritme + SUITEB-1X AKM

  • WPA3 + GCMP256-algoritme + SUITEB192-1X AKM

Basisconfiguratie

WLAN is geconfigureerd met 6GHz alleen radio beleid en UPR (Broadcast Probe Response) detectiemethode:

WLAN-basisconfiguratie

6 GHz RF-profielconfiguratie

Verifiëren

Beveiligingsverificatie

In deze sectie wordt het gepresenteerd de configuratie van de beveiliging en de associatiefase van de client met behulp van deze WPA3-protocolcombinaties:

• WPA3- AES(CCMP128) + OWE 
  • OWE-overgangsmodus

• WPA3-Personal
  • AES(CCMP128) + SAE

•  WPA3-Enterprise
  • AES(CCMP128) + 802.1x-SHA256
  • AES(CCMP128) + 802.1x-SHA256 + FT
  • GCMP128-algoritme + SITEB-1X
  • GCMP256-algoritme + SITEB192-1X

 

WPA3 - AES(CCPM128) + OWE

Dit is de WLAN-beveiligingsconfiguratie:

Beveiligingsinstellingen van het type OWE

Bekijk op WLC GUI van de WLAN security instellingen:

WLAN-beveiligingsinstellingen op WLC GUI

Hier kunnen we het Wi-Fi 6E-clientverbindingsproces waarnemen:

Intel AX211 switch

Hier tonen we het volledige verbindingsproces van de client Intel AX211.

OWE-detectie

Hier kunt u de beacons OTA zien. De AP adverteert ondersteuning voor OWE met behulp van AKM suite selector voor OWE onder RSN informatie element.

Je ziet AKM suite type value 18 (00-10F-AC:18) dat duidt op OWE-ondersteuning. 

OWE beacon frame

Als u kijkt naar het veld RSN-functies, ziet u dat AP adverteert met zowel MFP-functies (Management Frame Protection) als MFP Required bit set to 1.

OWE-associatie

U kunt de UPR zien die in de uitzendmodus wordt verstuurd en vervolgens de associatie zelf.

De OWE begint met het Open authenticatieverzoek en antwoord:

Vervolgens moet een client die OWE wil doen OWE AKM aangeven in het RSN IE of Association request frame en Diffie Helman (DH) parameter element opnemen:

Antwoord van OWE Association

Na de associatiereactie kunnen we de 4-voudige handdruk en client-bewegingen naar verbonden staat zien.

Hier kunt u de klantgegevens zien op de WLC GUI:

NetGear A800

OTA-verbinding met focus op RSN-informatie van client:

Klantgegevens in WLC: 

Pixel 6a

OTA-verbinding met focus op RSN-informatie van client:

Klantgegevens in WLC: 

Samsung S23

OTA-verbinding met focus op RSN-informatie van client:

Klantgegevens in WLC: 

WPA3 - AES(CCPM128) + OWE met overgangsmodus

Gedetailleerde configuratie en probleemoplossing van de OWE-overgangsmodus die in dit document beschikbaar is: Uitgebreide open SSID configureren met OKE - OWE.

WPA3-Personal - AES(CCMP128) + SAE

WLAN-beveiligingsconfiguratie:

Configuratie WPA3 SAE

Bekijk op WLC GUI van de WLAN security instellingen:

Verificatie van de OTA van bakens:

WPA3 SAE-bakens

Hier kunnen we Wi-Fi 6E-clients waarnemen die associëren:

Intel AX211 switch

OTA-verbinding met focus op RSN-informatie van client:

Klantgegevens in WLC: 

NetGear A800

OTA-verbinding met focus op RSN-informatie van client:

Klantgegevens in WLC: 

Pixel 6a

OTA-verbinding met focus op RSN-informatie van client:

Klantgegevens in WLC: 

Samsung S23

OTA-verbinding met focus op RSN-informatie van client:

Klantgegevens in WLC: 

WPA3-Personal - AES(CCMP128) + SAE + FT

WLAN-beveiligingsconfiguratie:

Bekijk op WLC GUI van de WLAN security instellingen:

Verificatie van de OTA van bakens:

WPA3 SAE + FT-bakens

Hier kunnen we Wi-Fi 6E-clients waarnemen die associëren:

Intel AX211 switch

OTA-verbinding met focus op RSN-informatie van client:

Zwervend evenement waar u de PMKID kunt zien:

WPA3 SAE + FT-reassociatieaanvraag

Klantgegevens in WLC: 

NetGear A800

OTA-verbinding met focus op de RSN-informatie van de client. Eerste aansluiting:

ssss

Klantgegevens in WLC: 

Pixel 6a

Het apparaat kon niet zwerven wanneer FT is ingeschakeld.

Samsung S23

Het apparaat kon niet zwerven wanneer FT is ingeschakeld.

WPA3-Enterprise + AES(CCMP128) + 802.1x-SHA256 + FT

WLAN-beveiligingsconfiguratie:

WPA3 Enterprise 802.1x-SHA256 + FTWLAN-beveiligingsconfiguratie

Bekijk op WLC GUI van de WLAN security instellingen:

Hier kunnen we de Live-logboeken van ISE zien met de authenticaties die van elk apparaat komen:

ISE-livelogs

Beacons OTA ziet er zo uit:

WPA3 Enterprise 802.1x +FT-beacon

Hier kunnen we Wi-Fi 6E-clients waarnemen die associëren:

Intel AX211 switch

OTA-verbinding met focus op RSN-informatie van client op een roamingevenement:

WPA3 Enterprise 802.1x + FT-roaminggebeurtenis

Een interessant gedrag gebeurt als u de client handmatig uit het WLAN verwijdert (bijvoorbeeld vanuit WLC GUI). De client ontvangt een disassociatiekader maar probeert opnieuw verbinding te maken met dezelfde AP en gebruikt een reassociatiekader gevolgd door een volledige EAP-uitwisseling omdat de clientgegevens werden verwijderd van de AP/WLC.

Dit is in principe dezelfde frameuitwisseling als in een nieuw associatieproces. Hier kunt u de frameversie zien:

WPA3 Enterprise 802.1x + FT AX211-verbindingsstroom

Klantgegevens in WLC: 

WPA3 Enterprise 802.1x + FT-clientgegevens

Deze client werd ook getest met behulp van FT over de DS en kon zwerven met 802.11r:

AX211 roaming met FT over DS

We kunnen ook de FT roaming-evenementen zien:

WPA3 Enterprise met FT

En client ra spoor van wlc:

NetGear A800

WPA3-Enterprise wordt niet ondersteund op deze client.

Pixel 6a

OTA-verbinding met focus op RSN-informatie van client:

WPA3 Enterprise 802.1x + FT Pixel6a Association

Klantgegevens in WLC: 

WPA3 Enterprise 802.1x + FT Pixel6a Clientgegevens

Stel scherp op het roamtype Over the Air waar we het roamtype 802.11R kunnen zien:

Samsung S23

OTA-verbinding met focus op RSN-informatie van client:

S23 FToTA roamingevenement

Klantgegevens in WLC: 

S23 clienteigenschappen

Stel scherp op het roamtype Over the Air waar we het roamtype 802.11R kunnen zien:

S23 roamingtype 802.11R

Deze client werd ook getest met behulp van FT over de DS en kon zwerven met 802.11r:

S23 FToDS-pakketten voor roaming

WPA3-Enterprise + GCMP128-algoritme + SUBITB-1X

WLAN-beveiligingsconfiguratie:

Configuratie van WPA3 Enterprise Suite B-1X-beveiliging

Bekijk op WLC GUI van de WLAN security instellingen:

Verificatie van de OTA van bakens:

WPA3 Enterprise Suite B-1X-beacon

Geen van de geteste clients kon verbinding maken met het WLAN met behulp van SuiteB-1X, waarbij werd bevestigd dat geen van de clients deze beveiligingsmethode ondersteunt.

WPA3-Enterprise + GCMP256-algoritme + SITEB192-1X

WLAN-beveiligingsconfiguratie:

WPA3 Enterprise SUITEB192-1x-beveiligingsinstellingen

WLAN’s op WLC GUI WLAN-lijst:

WLAN gebruikt voor tests

Verificatie van de OTA van bakens:

WPA3 Enterprise SUITEB192-1x-bakens

Hier kunnen we Wi-Fi 6E-clients waarnemen die associëren:

Intel AX211 switch

OTA-verbinding met focus op RSN-informatie van client:

WPA3 Enterprise met EAP-TLS Association met Intel AX211-client en RSN-informatie

En de EAP-TLS-uitwisseling:

WPA3 Enterprise met EAP-TLS Association met Intel AX211-client en EAP-TLS Focus

Klantgegevens in WLC: 

WPA3 Enterprise met EAP-TLS-clientgegevens

NetGear A800

WPA3-Enterprise wordt niet ondersteund op deze client.

Pixel 6a

Op de datum waarop dit document is geschreven, kon deze client geen verbinding maken met WPA3 Enterprise met behulp van EAP-TLS.

Dit was een kwestie aan de zijde van de cliënt waaraan wordt gewerkt en zodra het is opgelost, wordt dit document bijgewerkt.

Samsung S23

Op de datum waarop dit document is geschreven, kon deze client geen verbinding maken met WPA3 Enterprise met behulp van EAP-TLS.

Dit was een kwestie aan de zijde van de cliënt waaraan wordt gewerkt en zodra het is opgelost, wordt dit document bijgewerkt.

conclusies inzake beveiliging

Na alle voorgaande tests zijn de volgende conclusies getrokken:

Protocol	Versleuteling	AKM	AKM Cipher	EAP-methode	FT-OverTA	FT-overDS	Intel AX211 switch	Samsung/Google Android	NetGear A800
VERSCHULDIGD	AES-CCMP128 router	VERSCHULDIGD	NVT.	NVT.	NA	NA	Ondersteunde producten	Ondersteunde producten	Ondersteunde producten
SAE	AES-CCMP128 router	SAE (alleen H2E)	SHA256-software	NVT.	Ondersteunde producten	Ondersteunde producten	Ondersteund: Alleen H2E en FT-oTA	Ondersteund: Alleen H2E. FT mislukt. FT-oDS is mislukt.	Ondersteund: Alleen H2E en FT-oTA. FT-oDS is mislukt.
Ondernemingen	AES-CCMP128 router	802.1x-SHA256-router	SHA256-software	PEAP/FAST/TLS	Ondersteunde producten	Ondersteunde producten	Ondersteund: SHA256 en FT-oTA/oDS Niet-ondersteunde producten: EAP-FAST	Ondersteund: SHA256 en FT-oTA, FT-oDS (S23) Niet-ondersteunde producten: EAP-FAST, FT-CoDS (Pixel6a)	Ondersteund: SHA256 en FT-oTA Niet-ondersteunde producten: EAP-FAST, FT-ODS.
Ondernemingen	GCMP128 router	Suite B-1x	SHA256-Suite B	PEAP/FAST/TLS	Niet ondersteund	Niet ondersteund	Niet ondersteund	Niet ondersteund	Niet ondersteund
Ondernemingen	GCMP256 applicatie	Suite B-192	SHA384-Suite B	TLS	Niet ondersteund	Niet ondersteund	NVT/NVT	NVT/NVT	Niet ondersteund

Problemen oplossen

De in dit document gebruikte probleemoplossing is gebaseerd op het online document:

Probleemoplossing voor COS-toegangspunten

De algemene richtlijn voor het oplossen van problemen is om RA-spoor in debug-modus te verzamelen van de WLC met behulp van het client mac-adres, ervoor te zorgen dat de client verbinding maakt met behulp van de apparaat mac en niet een gerandomiseerd mac-adres.

Voor de probleemoplossing via de lucht wordt aanbevolen om AP in de snuffelmodus te gebruiken om het verkeer op te nemen op het kanaal van de client die AP bedient.

Gerelateerde informatie

Wat is Wi-Fi 6E?

Wat is Wi-Fi 6 versus Wi-Fi 6E?

Wi-Fi 6E At-a-Glance

Wi-Fi 6E: Het volgende grote hoofdstuk in Wi-Fi White Paper

Cisco Live - Architect voor draadloze netwerken van de volgende generatie met Catalyst Wi-Fi 6E access points

Software voor Cisco Catalyst 9800 Series draadloze controller, configuratiehandleiding 17.9.x

Implementatiegids voor WPA3