简介
本文档介绍有关IEEE 802.11w管理帧保护标准的详细信息,以及如何在思科无线LAN控制器(WLC)上配置该标准。
先决条件
要求
思科建议您了解运行代码7.6或更高版本的Cisco WLC。
使用的组件
本文档中的信息基于运行代码7.6的WLC 5508。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
背景信息
802.11w标准旨在保护控制和管理帧以及一组稳健的管理帧,防止伪造和重放攻击。受保护的帧类型包括取消关联、取消身份验证和强健操作帧,例如:
- 频谱管理
- 服务质量 (QoS)
- 阻止确认
- 无线电测量
- 快速基本服务集(BSS)过渡
802.11w不加密帧,但会保护管理帧。它确保消息来自合法来源。为此,您必须添加消息完整性检查(MIC)元素。802.11w引入了一个新密钥,称为完整性组临时密钥(IGTK),用于保护广播/组播稳健的管理帧。这是与无线保护访问(WPA)一起使用的四次密钥握手过程的一部分。 这使得当您需要使用802.11w时,dot1x/预共享密钥(PSK)成为一项要求。它不能与open/webauth服务集标识符(SSID)一起使用。
当协商管理帧保护时,接入点(AP)加密GTK和IGTK值在EAPOL密钥帧中,EAPOL密钥帧在四次握手的消息3中传送。如果AP稍后更改GTK,则它使用组密钥握手将新的GTK和IGTK发送到客户端。它添加使用IGTK密钥计算的MIC。
管理MIC信息元素(MMIE)
802.11w引入了新的信息元素,称为管理MIC信息元素。其报头格式如图所示。

此处关注的主要字段是元素ID和MIC。MMIE的元素ID是0x4c,在分析无线捕获时,它可用作有用的标识。
注意:MIC — 包含通过管理帧计算的消息完整性代码。请注意,AP上添加了此功能。接收客户端然后重新计算帧的MIC,并将其与AP发送的数据进行比较。如果值不同,则作为无效帧拒绝。
对RSN IE的更改
稳健的安全网络信息元素(RSN IE)指定AP支持的安全参数。802.11w向RSN IE引入了组管理密码套件选择器,该选择器包含AP用于保护广播/组播稳健管理帧的密码套件选择器。这是了解AP是否支持802.11w的最佳方法。这也可以如图所示进行验证。

在此,您可以找到组管理密码套件字段,该字段显示已使用802.11w。
根据RSN功能也进行了更改。第6位和第7位现在用于指示802.11w的不同参数。
- 位 6:需要管理帧保护(MFPR)- STA将此位设置为1,以通告强大管理帧的保护是必需的。
- 位 7:支持管理帧保护(MFPC)- STA将此位设置为1,以通告已启用强健管理帧的保护。当AP设置此值时,它会通知它支持管理帧保护。
如果根据配置选项的要求设置管理帧保护,则同时设置第6位和第7位。如此处的数据包捕获图像所示。

但是,如果将此设置为可选,则仅设置位7,如图所示。

注意:WLC在关联/重新关联响应中添加此修改的RSN IE,而AP在信标和探测响应中添加此修改的RSN IE。
802.11w管理帧保护的优势
这是通过为取消身份验证和取消关联帧添加加密保护来实现的。这可防止未授权用户通过欺骗合法用户的MAC地址发起拒绝服务(DOS)攻击并发送deauth/disassociation帧。
通过添加安全关联(SA)拆卸保护机制来添加基础设施侧保护,该机制包括关联恢复时间和SA查询过程。在802.11w之前,如果AP从已关联的客户端收到关联或身份验证请求,则AP会终止现有连接,然后启动新连接。当您使用802.11w MFP时,如果STA已关联并已协商管理帧保护,AP将拒绝关联请求,返回状态代码为30的关联请求将暂时拒绝;请稍后重试到客户端。
“关联响应”中包含关联重新出现时间信息元素,该元素指定AP准备接受与此STA的关联时间。这样,您就可以确保合法客户端不会因伪造的关联请求而取消关联。
注意:如果客户端不使用802.11w PMF,WLC(AireOS或9800)将忽略客户端发送的取消关联或取消验证帧。如果客户端使用PMF,则只有在收到此类帧后,客户端条目才会立即删除。这是为了避免恶意设备拒绝服务,因为没有PMF的帧上没有安全性。
启用802.11w的要求
- 802.11w要求SSID配置dot1x或PSK。
- 所有支持802.11n的AP均支持802.11w。这意味着AP 1130和1240不支持802.11w。
- 在7.4版本中,802.11w在flexconnect AP和7510 WLC上不受支持。自7.5版本以来,已添加支持。
配置
GUI
步骤1.您需要在配置了802.1x/PSK的SSID下启用受保护的管理帧。您有三个选项,如图所示。

“必需”指定不允许不支持802.11w的客户端连接。可选指定即使不支持802.11w的客户端也允许连接。
步骤2.然后,您需要指定Recogge计时器和SA查询超时。重新出现计时器指定在首次拒绝状态代码30时关联客户端必须等待的时间,才能再次尝试关联。SA查询超时指定WLC等待客户端对查询进程的响应的时间。如果客户端没有响应,则从控制器中删除其关联。这如图所示。

步骤3.如果使用802.1x作为身份验证密钥管理方法,则需要启用“PMF 802.1x”。如果使用PSK,则需要选中PMF PSK复选框,如图所示。

CLI
config wlan security wpa akm pmf 802.1x enable/disable <wlan-id>
config wlan security wpa akm pmf psk enable/disable <wlan-id>
config wlan security pmf optional/required/disable <wlan-id>
config wlan security pmf 11w-association-recoug <time> <wlan-id>
config wlan security pmf saquery-retry-time <time> <wlan-id>
验证
使用本部分可确认配置能否正常运行。
802.11w配置可以验证。检查WLAN配置:
(wlc)>show wlan 1
Wi-Fi Protected Access (WPA/WPA2)............. Enabled
<snip>
802.1x.................................. Enabled
PSK..................................... Disabled
CCKM.................................... Disabled
FT-1X(802.11r).......................... Disabled
FT-PSK(802.11r)......................... Disabled
PMF-1X(802.11w)......................... Enabled
PMF-PSK(802.11w)........................ Disabled
FT Reassociation Timeout................... 20
FT Over-The-DS mode........................ Enabled
GTK Randomization.......................... Disabled
<snip>
PMF........................................... Required
PMF Association Comeback Time................. 1
PMF SA Query RetryTimeout..................... 200
故障排除
本部分提供了可用于对配置进行故障排除的信息。
以下debug命令可用于排除WLC上的802.11w问题:
- debug 11w-pmf events enable/disable
- debug 11w-pmf keys enable/disable
- debug 11w-pmf all enable