配置802.11w管理在WLC的帧保护

简介

本文包括关于IEEE 802.11w管理帧保护标准的详细信息，并且如何在Cisco无线LAN控制器(WLC)可以配置。

先决条件

要求

思科建议您有思科WLC知识运行编码7.6或更加高。

使用的组件

运行代码7.6的本文档中的信息根据WLC 5508。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息

保护控制和管理帧和一套的802.11w标准的目标坚固管理帧以防止伪造和重放攻击。保护的帧类型包括分离、解除验证和稳健操作帧例如：

• 频谱管理
• 服务质量 (QoS)
• 块Ack
• 无线电测量
• 快速基本服务集(BSS)转换

802.11w不加密帧，然而保护管理帧。它保证消息来自合法来源。为了执行那，您必须添加Message Integrity Check (MIC)元素。802.11w介绍呼叫Integrity Group临时密钥的新密钥(IGTK)，用于保护广播/组播坚固管理帧。这派生作为四种方式的关键握手进程一部分与无线受保护的访问(WPA)一起使用。这做dot1x/Pre-Shared密钥(PSK)一个需求，当您需要使用802.11w时。它不可能与开放/webauth服务集标识符(Ssid的)一起使用。

当管理帧保护协商时，接入点(AP)加密在4方式握手的消息3传送的关键帧的GTK和IGTK值。如果后的AP更改GTK，发送新的GTK和IGTK给有使用的客户端组密钥握手。计算与使用IGTK密钥的它添加MIC。

管理MIC信息元素(MMIE)

802.11w引入呼叫Management MIC信息元素的一新的信息元素。如镜像所显示，它有报头格式。

此处注意事项主要字段是元素ID和MIC。MMIE的元素ID是0x4c，并且担当一有用的识别，当您分析无线捕获时。

Note:MIC -它包含在管理帧计算的消息完整性代码。请注意这被添加在AP。接收的客户端然后重新计算帧的MIC并且它与什么比较由AP发送。如果值不同的这拒绝作为一无效帧。

对RSN IE的更改

坚固的安全性网络信息元素(RSN IE)指定AP支持的安全参数。802.11w介绍包含密码器套件选择器使用由AP保护广播/组播坚固管理帧的组管理密码器套件选择器对RSN IE。这是知道的最佳方法AP是否执行802.11w。如镜像所显示，这可能也验证。

这里，您查找显示该802.11w使用的组管理密码器套件字段。

有变动也做在RSN功能下。位6和7当前用于指示802.11w的不同的参数。

• 位6 ：管理要求的帧保护(MFPR) - STA设置此位到1通告坚固管理帧的保护是必须。
• 位7 ：管理有能力帧的保护(MFPC) - STA设置此位到1通告坚固管理帧的保护启用。当AP设置此时，通知支持管理帧保护。

如果集管理帧保护如所需求在配置选项然后位6和7下设置。这如数据包捕获镜像所显示在这里。

然而，如果集这对仅可选位7然后设置，如镜像所显示。

Note:WLC添加此在association/re关联答复的被修改的RSN IE，并且AP添加此在信标和探测器答复的被修改的RSN IE。

802.11w管理帧保护的好处

• 客户端保护

这由密码保护的新增内容对解除验证和分离帧的达到。这防止一未经授权的用户通过伪装合法用户MAC地址启动服务拒绝(DoS)攻击和发送deauth/分离帧。

• AP保护

基础设施旁边保护由包括关联回击时光和SA查询步骤安全关联(SA)卸载保护机制的新增内容添加。在802.11w之前，如果AP接收一个关联或认证请求从一个已经相关的客户端， AP终止现有连接然后开始新连接。当您使用802.11w MFP时，如果STA关联和协商管理帧保护， AP拒绝与临时地拒绝的回归状态码30关联申请的关联申请;再试一次以后对客户端。

在关联答复包括指定回击时候的关联回击时间信息元素，当AP准备接受有此STA的一个关联。这样您能保证合法客户端不取消关联的归结于一被伪装的关联申请。

需求启用802.11w

• 802.11w要求将配置的SSID与dot1x或PSK。
• 所有802.11n有能力AP支持802.11w。这意味着该AP1130和1240不支持802.11w。
• flexconnect AP和在7.4版本的7510 WLC's不支持802.11w。支持从7.5版本被添加了。

配置

GUI

步骤1:您需要启用已保护管理帧在SSID下配置与802.1x/PSK。如镜像所显示，您有三个选项。

需要的指定不支持802.11w的客户端没有允许连接。可选指定不支持的均等客户端802.11w允许连接。

第二步：您然后需要指定回击计时器和SA查询超时。回击计时器指定一个相关的客户端必须等待的时间，在关联可以再试一次，当首先拒绝与状态码30时前。SA查询超时指定WLC等待从客户端的一答复查询进程的时间。如果没有从客户端的无响应，其关联从控制器删除。如镜像所显示，这执行。

第三步：如果使用802.1x作为认证密钥管理方法，您需要启用‘PMF 802.1x'。万一使用PSK，如镜像所显示，您需要选择PMF PSK复选框。

CLI

• 为了启用或禁用11w功能运行命令：

设置WLAN安全WPA akm pmf 802.1x启用/禁用<wlan-id>

设置WLAN安全WPA akm pmf psk启用/禁用<wlan-id>

• 为了启用或禁用已保护管理帧运行命令：

设置可选WLAN安全的pmf/要求/禁用<wlan-id>

• 关联回击时间设定：

设置WLAN安全pmf 11w关联回击<time> <wlan-id>

• SA查询重试次数超时设置： 

设置WLAN安全pmf saquery重试次数时间<time> <wlan-id>

验证

使用本部分可确认配置能否正常运行。

802.11w配置可以验证。检查WLAN配置：

(wlc)>show wlan 1
Wi-Fi Protected Access (WPA/WPA2)............. Enabled
<snip>
802.1x.................................. Enabled
PSK..................................... Disabled
CCKM.................................... Disabled
FT-1X(802.11r).......................... Disabled
FT-PSK(802.11r)......................... Disabled
PMF-1X(802.11w)......................... Enabled
PMF-PSK(802.11w)........................ Disabled
FT Reassociation Timeout................... 20
FT Over-The-DS mode........................ Enabled
GTK Randomization.......................... Disabled
<snip>
PMF........................................... Required
PMF Association Comeback Time................. 1
PMF SA Query RetryTimeout..................... 200

故障排除

本部分提供了可用于对配置进行故障排除的信息。

这些调试指令是可用排除故障802.11w在WLC的问题：

• 调试11w-pmf事件启用/禁用
• 调试11w-pmf密钥启用/禁用
• 调试11w-pmf全部启用