CISCO 嵌入式无线控制器 Catalyst 接入点用户指南

嵌入式无线控制器 Catalyst 接入点
用户指南

内容隐藏

1 嵌入式无线控制器 Catalyst 接入点

2 哈希到元素 (H2E)

3 YANG（RPC模型）

4 配置 WPA3 SAE H2E

5 验证 WLAN 中的 WPA3 SAE H2E 支持

6 文件/资源

6.1 参考

嵌入式无线控制器 Catalyst 接入点

支持 SAE 身份验证中密码元素的哈希到元素

哈希到元素 (H2E)，第 1 页

YANG（RPC 模型），第 1 页
配置 WPA3 SAE H2E，第 2 页

验证 WLAN 中的 WPA3 SAE H2E 支持，第 4 页

哈希到元素 (H2E)

哈希到元素 (H2E) 是一种新的 SAE 密码元素 (PWE) 方法。在此方法中，SAE 协议中使用的秘密 PWE 是根据密码生成的。
当支持H2E的STA向AP发起SAE时，会检查AP是否支持H2E。如果是，则 AP 使用 H2E 通过使用 SAE 提交消息中新定义的状态代码值来导出 PWE。
如果STA使用狩猎啄食，则整个SAE交换保持不变。
使用 H2E 时，PWE 推导分为以下几个部分：

从密码导出秘密中间元素 PT。当最初在设备上为每个受支持的组配置密码时，可以离线执行此操作。
从存储的 PT 导出 PWE。这取决于对等方协商的组和 MAC 地址。这是在 SAE 交换期间实时执行的。

笔记

H2E 方法还包含针对 Group Downgrade 中间人攻击的保护。在 SAE 交换期间，对等方交换绑定到 PMK 派生中的被拒绝组的列表。每个对等方将收到的列表与支持的组列表进行比较，任何差异都会检测到降级攻击并终止身份验证。

YANG（RPC模型）

要为 SAE 密码元素 (PWE) 模式创建 RPC，请使用以下 RPC 模型：
笔记

由于当前的基础设施限制，删除操作一次执行一个操作。即YANG模块中不支持多节点的删除操作。

配置 WPA3 SAE H2E

程序	命令或行动	目的
步骤 1	配置终端 Examp乐：设备#配置终端	进入全局配置模式。
步骤 2	wan wan-名称 waned SSID 名称 Examp乐：设备（配置）# wan WPA3 1 WPA3	进入WLAN配置子模式。
步骤 3	无安全性 WPA Akm dot1x Examp乐：设备(config-wlan)# 无安全性 wpaakm dot1x	禁用 dot1x 的安全 AKM。
步骤 4	没有安全保障 ft over-the-ds Examp乐：设备(config-wlan)# 没有安全 ft over-the-ds	禁用 WLAN 上数据源的快速转换。
步骤 5	没有安全措施amp乐：设备(config-wlan)#无安全ft	禁用 WLAN 上的 802.11r 快速转换。
步骤 6	无安全性 wpa wpa2 Examp乐：设备(config-wlan)# 无安全 wpa wpa2	禁用 WPA2 安全性。 PMF 现在已禁用。
步骤 7	安全 WPA WPA2 密码 AES Examp乐：设备(config-wlan)# security wpa wpa2 密码 aes	配置 WPA2 密码。说明您可以使用 no security wpa wpa2 ciphers aes 命令检查是否配置了密码。如果密码未重置，请配置密码。
步骤 8	安全 wpa psk 设置密钥 ascii 值预共享密钥 Examp乐：设备(config-wlan)# security wpa psk set-key ascii 0 Cisco123	指定预定的密钥。
步骤 9	安全性 wpa wpa3 Examp乐：设备(config-wlan)# 安全 wpa wpa3	启用 WPA3 支持。
步骤 10	安全性 wpa akm sae Examp乐：设备(config-wlan)# security wpa akm sae	启用 AKM SAE 支持。
步骤 11	安全 wpa akm sae pwe {h2e \|国家警察 \|两者-h2e-hnp} Examp乐：设备(config-wlan)# security wpa akm sae pwe	启用 AKM SAE PWE 支持。 PWE 支持以下选项： • h2e——仅哈希到元素；禁用 Hnp。 • hnp——仅限狩猎和啄食；禁用 H2E。 • Both-h2e-hnp — 哈希到元素以及狩猎和啄食支持（是默认选项）。
步骤 12	不关机Examp乐：设备(config-wlan)#不关闭	启用 WLAN。
步骤 13	结束前amp乐：设备(config-wlan)#结束	返回特权 EXEC 模式。