Точки доступа Catalyst со встроенным беспроводным контроллером
Руководство пользователя
Точки доступа Catalyst со встроенным беспроводным контроллером
Поддержка хэш-элемента для элемента пароля в аутентификации SAE
- Хэш-элемент (H2E), на странице 1.
- ЯН (модель RPC), на стр. 1
- Настройка WPA3 SAE H2E, на странице 2
- Проверка поддержки WPA3 SAE H2E в WLAN, на странице 4
Хэш-элемент (H2E)
Hash-to-Element (H2E) — это новый метод элемента пароля SAE (PWE). В этом методе секретный PWE, используемый в протоколе SAE, генерируется из пароля.
Когда STA, поддерживающая H2E, инициирует SAE с AP, она проверяет, поддерживает ли AP H2E. Если да, точка доступа использует H2E для получения PWE, используя новое определенное значение кода состояния в сообщении SAE Commit.
Если STA использует Hunting-and-Pecking, весь обмен SAE остается неизменным.
При использовании H2E вывод PWE делится на следующие компоненты:
- Выведение секретного промежуточного элемента ПТ из пароля. Это можно выполнить в автономном режиме, если на устройстве изначально настроен пароль для каждой поддерживаемой группы.
- Получение PWE из сохраненного PT. Это зависит от согласованной группы и MAC-адресов узлов. Это выполняется в режиме реального времени во время обмена SAE.
Примечание
- Метод H2E также включает защиту от атак «человек посередине» Group Downgrade. Во время обмена SAE партнеры обмениваются списками отклоненных групп, объединенных в вывод PMK. Каждый партнер сравнивает полученный список со списком поддерживаемых групп, любое несоответствие обнаруживает атаку на понижение версии и прекращает аутентификацию.
ЯН (модель RPC)
Чтобы создать RPC для режима элемента пароля SAE (PWE), используйте следующую модель RPC:
Примечание
Операция удаления выполняет одно действие за раз из-за текущего ограничения инфраструктуры. То есть в модуле YANG операция удаления на нескольких узлах не поддерживается.
Настройка WPA3 SAE H2E
| Процедура | Команда или действие | Цель |
| Шаг 1 | настроить терминал Exampль: Устройство# настройка терминала |
Вход в режим глобальной конфигурации. |
| Шаг 2 | wan wan-имя waned SSID-имя Exampль: Устройство(конфигурация)# wan WPA3 1 WPA3 |
Вход в подрежим конфигурации WLAN. |
| Шаг 3 | нет безопасности wpa akm dot1x Exampль: Устройство(config-wlan)# без безопасности wpaakm dot1x |
Отключает АКМ безопасности для dot1x. |
| Шаг 4 | без безопасности ft over-the-DS Exampль: Device(config-wlan)# без безопасности через ds |
Отключает быстрый переход между источником данных в WLAN. |
| Шаг 5 | нет безопасности ft Exampль: Устройство(config-wlan)# без защиты |
Отключает быстрый переход 802.11r в WLAN. |
| Шаг 6 | нет безопасности wpa wpa2 Exampль: Устройство(config-wlan)# нет безопасности wpa wpa2 |
Отключает безопасность WPA2. PMF сейчас отключен. |
| Шаг 7 | безопасность wpa wpa2 шифрует aes Exampль: Устройство(config-wlan)# безопасность wpa wpa2 шифрует aes |
Настраивает шифр WPA2. Примечание. Проверить, настроен ли шифр, можно с помощью команды no security wpa wpa2 ciphers aes. Если шифр не сброшен, настройте шифр. |
| Шаг 8 | безопасность wpa psk set-key значение ascii preshared-key Exampль: Устройство(config-wlan)# безопасность wpa psk set-key ascii 0 Cisco123 |
Указывает заранее заданный ключ. |
| Шаг 9 | безопасность wpa wpa3 Exampль: Устройство(config-wlan)# безопасность wpa wpa3 |
Включает поддержку WPA3. |
| Шаг 10 | безопасность wpa akm sae Exampль: Устройство(config-wlan)# безопасность wpa akm sae |
Включает поддержку AKM SAE. |
| Шаг 11 | безопасность wpa akm sae pwe {h2e | гнп | оба-h2e-hnp} Exampль: Устройство(config-wlan)# безопасность wpa akm sae pwe |
Включает поддержку AKM SAE PWE. PWE поддерживает следующие варианты: • h2e — только хэш-элемент; отключает Hnp. • hnp — только охота и клевание; отключает H2E. • Both-h2e-hnp — поддержка как хэш-элемента, так и поиска и отслеживания (это опция по умолчанию). |
| Шаг 12 | без отключения Exampль: Устройство(config-wlan)# нет выключения |
Включает WLAN. |
| Шаг 13 | конец Exampль: Устройство(config-wlan)# конец |
Возврат в привилегированный режим EXEC. |
Проверка поддержки WPA3 SAE H2E в WLAN
К view свойства WLAN (метод PWE) на основе идентификатора WLAN используйте следующую команду:
Чтобы проверить ассоциацию клиента, который использовал метод PWE как H2E или Hnp, используйте следующую команду:
К view количество аутентификаций SAE с использованием H2E и HnP, используйте следующую команду:
Поддержка хэш-элемента для элемента пароля в аутентификации SAE
Документы/Ресурсы
 |
Точки доступа Catalyst со встроенным беспроводным контроллером CISCO [pdf] Руководство пользователя Точки доступа Catalyst со встроенным беспроводным контроллером, Точки доступа Catalyst с беспроводным контроллером, Точки доступа контроллера Catalyst, Точки доступа Catalyst, Точки доступа, Точки |