本文档介绍如何在思科自主接入点(AP)上使用和配置有线等效保密(WEP)。
本文档假定您可以与WLAN设备建立管理连接,并且设备在未加密环境中正常运行。要配置标准40位WEP,您必须有两个或多个无线电单元相互通信。
本文档中的信息基于运行Cisco IOS®版本15.2JB的1140 AP。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
WEP是内置于802.11(Wi-Fi)标准的加密算法。WEP使用数据流密码RC4来保证机密性,使用循环冗余校验–32(CRC-32)校验和来保证完整性。
标准64位WEP使用40位密钥(也称为WEP-40),该密钥与24位初始化向量(IV)连接,以形成RC4密钥。64位WEP密钥通常作为包含10个十六进制(以16为基数)字符(0到9和A-F)的字符串输入。每个字符代表四位,四位的10位分别等于40位;如果添加24位IV,它会生成完整的64位WEP密钥。
128位WEP密钥通常作为包含26个十六进制字符的字符串输入。26位(每位4位)等于104位;如果添加24位IV,则会生成完整的128位WEP密钥。大多数设备允许用户以13个ASCII字符输入密钥。
两种身份验证方法可用于WEP:开放系统身份验证和共享密钥身份验证。
使用开放系统身份验证时,WLAN客户端无需向AP提供凭证以进行身份验证。任何客户端都可以通过AP进行身份验证,然后尝试关联。实际上,不会进行身份验证。随后,可以使用WEP密钥加密数据帧。此时,客户端必须拥有正确的密钥。
使用共享密钥身份验证时,WEP密钥用于四步质询 — 响应握手:
在身份验证和关联之后,也使用预共享WEP密钥来加密带有RC4的数据帧。
乍看之下,共享密钥身份验证似乎比开放系统身份验证更安全,因为后者不提供真正的身份验证。然而,事实正好相反。如果在共享密钥身份验证中捕获质询帧,则可以派生用于握手的密钥流。因此,建议使用开放式系统身份验证进行WEP身份验证,而不是使用共享密钥身份验证。
临时密钥完整性协议(TKIP)的创建是为了解决这些WEP问题。与WEP类似,TKIP使用RC4加密。但是,TKIP通过添加每数据包密钥散列、消息完整性检查(MIC)和广播密钥轮换等措施来增强WEP,以便解决已知的WEP漏洞。TKIP使用带128位密钥的RC4流密码进行加密,使用64位密钥进行身份验证。
本节提供WEP的GUI和CLI配置。
要使用GUI配置WEP,请完成以下步骤。
使用此部分可以通过CLI配置WEP。
ap#show run
Building configuration...
Current configuration : 1794 bytes
!
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 $1$kxBl$OhRR4QtTUVDUA9GakGDFs1
!
no aaa new-model
ip cef
!
!
!
dot11 syslog
!
dot11 ssid wep-config
authentication open
guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 0802455D0A16
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
!
encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
encryption mode wep mandatory
!
ssid wep-config
!
antenna gain 0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
!
encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
encryption mode wep mandatory
!
ssid wep-config
!
antenna gain 0
dfs band 3 block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
duplex auto
speed auto
no keepalive
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address dhcp
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.106.127.4
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
end
输入以下命令以确认您的配置是否正常工作:
ap#show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [wep-config] :
MAC Address IP address Device Name Parent State
1cb0.94a2.f64c 10.106.127.251 unknown - self Assoc
使用本部分可排除配置的故障。
以下debug命令可用于对配置进行故障排除:
以下是客户端成功与WLAN关联时显示的日志示例:
*Mar 1 02:24:46.246: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
1cb0.94a2.f64c Associated KEY_MGMT[NONE]
当客户端输入错误的密钥时,将显示以下错误:
*Mar 1 02:26:00.741: %DOT11-4-ENCRYPT_MISMATCH: Possible encryption key
mismatch between interface Dot11Radio0 and station 1cb0.94a2.f64c
*Mar 1 02:26:21.312: %DOT11-6-DISASSOC: Interface Dot11Radio0, Deauthenticating
Station 1cb0.94a2.f64c Reason: Sending station has left the BSS
*Mar 1 02:26:21.312: *** Deleting client 1cb0.94a2.f64c
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
30-Sep-2013 |
初始版本 |