本檔案介紹如何在思科自主存取點(AP)上使用和設定有線等效保密(WEP)。
本檔案假設您可以建立與WLAN裝置的管理連線,且裝置在未加密環境中正常運作。要配置標準40位WEP,您必須有兩個或多個無線電單元相互通訊。
本檔案中的資訊是根據執行Cisco IOS®版本15.2JB的1140 AP。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
WEP是802.11(Wi-Fi)標準中內建的加密演算法。WEP使用串流密碼RC4作為機密性,並使用循環冗餘檢查–32(CRC-32)校驗和integrity。
標準64位WEP使用40位金鑰(也稱為WEP-40),該金鑰與24位初始化向量(IV)串聯,以便形成RC4金鑰。64位WEP金鑰通常以包含10個十六進位制(以16為基數)字元(0到9和A-F)的字串形式輸入。每個字元代表四位,四位的10位代表每位40位;如果新增24位IV,則會生成完整的64位WEP金鑰。
128位WEP金鑰通常作為包含26個十六進位制字元的字串輸入。26位(每位4位)等於104位;如果新增24位IV,則會生成完整的128位WEP金鑰。大多數裝置允許使用者以13個ASCII字元輸入金鑰。
WEP可以使用兩種身份驗證方法:開放系統身份驗證和共用金鑰身份驗證。
使用開放系統驗證時,WLAN客戶端無需向AP提供憑證以進行驗證。任何客戶端都可以通過AP進行身份驗證,然後嘗試關聯。實際上,不進行身份驗證。隨後,可以使用WEP金鑰加密資料幀。此時,客戶端必須具有正確的金鑰。
使用共用金鑰身份驗證時,WEP金鑰用於四步質詢 — 響應握手:
驗證與關聯後,也使用預先共用的WEP金鑰對RC4的資料訊框進行加密。
乍一看,共用金鑰身份驗證似乎比開放系統身份驗證更安全,因為後者不提供真正的身份驗證。然而,情況正好相反。如果在共用金鑰身份驗證中捕獲質詢幀,則可以匯出用於握手的金鑰流。因此,建議對WEP身份驗證使用開放系統身份驗證,而不是共用金鑰身份驗證。
臨時金鑰完整性協定(TKIP)的建立是為了解決這些WEP問題。與WEP類似,TKIP使用RC4加密。但是,TKIP通過新增諸如每資料包金鑰雜湊、消息完整性檢查(MIC)和廣播金鑰輪替等措施來增強WEP,以便解決已知的WEP漏洞。TKIP使用RC4流密碼和128位金鑰進行加密,64位金鑰進行身份驗證。
本節提供WEP的GUI和CLI配置。
完成這些步驟,以便使用GUI配置WEP。
使用本節內容,以便使用CLI設定WEP。
ap#show run
Building configuration...
Current configuration : 1794 bytes
!
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 $1$kxBl$OhRR4QtTUVDUA9GakGDFs1
!
no aaa new-model
ip cef
!
!
!
dot11 syslog
!
dot11 ssid wep-config
authentication open
guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 0802455D0A16
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
!
encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
encryption mode wep mandatory
!
ssid wep-config
!
antenna gain 0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
!
encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
encryption mode wep mandatory
!
ssid wep-config
!
antenna gain 0
dfs band 3 block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
duplex auto
speed auto
no keepalive
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address dhcp
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.106.127.4
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
end
輸入以下命令可確認您的組態是否正常運作:
ap#show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [wep-config] :
MAC Address IP address Device Name Parent State
1cb0.94a2.f64c 10.106.127.251 unknown - self Assoc
使用本節內容,對組態進行疑難排解。
以下debug命令可用於對組態進行疑難排解:
以下範例顯示使用者端成功與WLAN建立關聯時的記錄日誌:
*Mar 1 02:24:46.246: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
1cb0.94a2.f64c Associated KEY_MGMT[NONE]
使用者端輸入錯誤金鑰時,系統會顯示以下錯誤:
*Mar 1 02:26:00.741: %DOT11-4-ENCRYPT_MISMATCH: Possible encryption key
mismatch between interface Dot11Radio0 and station 1cb0.94a2.f64c
*Mar 1 02:26:21.312: %DOT11-6-DISASSOC: Interface Dot11Radio0, Deauthenticating
Station 1cb0.94a2.f64c Reason: Sending station has left the BSS
*Mar 1 02:26:21.312: *** Deleting client 1cb0.94a2.f64c
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
30-Sep-2013 |
初始版本 |