CISCO 嵌入式無線控制器 Catalyst 存取點使用者指南

嵌入式無線控制器 Catalyst 存取點
使用者指南

內容隱藏

1 嵌入式無線控制器 Catalyst 存取點

2 哈希到元素 (H2E)

3 YANG（RPC模型）

4 配置 WPA3 SAE H2E

5 驗證 WLAN 中的 WPA3 SAE H2E 支持

6 文件/資源

6.1 參考

嵌入式無線控制器 Catalyst 存取點

支援 SAE 身份驗證中密碼元素的雜湊到元素

哈希到元素 (H2E)，第 1 頁

YANG（RPC 模型），第 1 頁
配置 WPA3 SAE H2E，第 2 頁

驗證 WLAN 中的 WPA3 SAE H2E 支持，第 4 頁

哈希到元素 (H2E)

哈希到元素 (H2E) 是一種新的 SAE 密碼元素 (PWE) 方法。在此方法中，SAE 協定中使用的秘密 PWE 是根據密碼產生的。
當支援H2E的STA向AP發起SAE時，會檢查AP是否支援H2E。如果是，則 AP 使用 H2E 透過使用 SAE 提交訊息中新定義的狀態代碼值來匯出 PWE。
如果STA使用狩獵啄食，則整個SAE交換保持不變。
使用 H2E 時，PWE 推導分為以下幾個部分：

從密碼匯出秘密中間元素 PT。當最初在設備上為每個受支援的群組配置密碼時，可以離線執行此操作。
從儲存的 PT 導出 PWE。這取決於對等方協商的群組和 MAC 位址。這是在 SAE 交換期間即時執行的。

筆記

H2E 方法還包含對 Group Downgrade 中間人攻擊的保護。在 SAE 交換期間，對等方交換綁定到 PMK 衍生中的被拒絕群組的清單。每個對等方將收到的清單與支援的群組清單進行比較，任何差異都會偵測到降級攻擊並終止身份驗證。

YANG（RPC模型）

若要為 SAE 密碼元素 (PWE) 模式建立 RPC，請使用下列 RPC 模型：
筆記

由於目前的基礎設施限制，刪除操作一次執行一個操作。即YANG模組中不支援多節點的刪除操作。

配置 WPA3 SAE H2E

程式	命令或行動	目的
步驟1	配置終端 Examp樂：設備#配置終端	進入全域配置模式。
步驟2	wan wan-名稱 waned SSID 名稱 Examp樂：設備（配置）# wan WPA3 1 WPA3	進入WLAN配置子模式。
步驟3	無安全性 WPA Akm dot1x Examp樂：設備(config-wlan)# 無安全性 wpaakm dot1x	停用 dot1x 的安全性 AKM。
步驟4	沒有安全保障 ft over-the-ds Examp樂：設備(config-wlan)# 沒有安全 ft over-the-ds	停用 WLAN 上資料來源的快速轉換。
步驟5	沒有安全措施amp樂：設備(config-wlan)#無安全ft	停用 WLAN 上的 802.11r 快速轉換。
步驟6	無安全性 wpa wpa2 Examp樂：設備(config-wlan)# 無安全 wpa wpa2	停用 WPA2 安全性。 PMF 現在已停用。
步驟7	安全性 WPA WPA2 密碼 AES Examp樂：設備(config-wlan)# security wpa wpa2 密碼 aes	配置 WPA2 密碼。說明您可以使用 no security wpa wpa2 ciphers aes 指令檢查是否設定了密碼。如果密碼未重置，請配置密碼。
步驟8	安全 wpa psk 設定金鑰 ascii 值預共用金鑰 Examp樂：設備(config-wlan)# security wpa psk set-key ascii 0 Cisco123	指定預定的密鑰。
步驟9	安全性 wpa wpa3 Examp樂：設備(config-wlan)# 安全 wpa wpa3	啟用 WPA3 支援。
步驟10	安全性 wpa akm sae Examp樂：設備(config-wlan)# security wpa akm sae	啟用 AKM SAE 支援。
步驟11	安全 wpa akm sae pwe {h2e \| 國家警察 \| 兩者-h2e-hnp} Examp樂：設備(config-wlan)# security wpa akm sae pwe	啟用 AKM SAE PWE 支援。 PWE 支援以下選項： • h2e－僅哈希到元素；禁用 Hnp。 • hnp－僅限狩獵和啄食；禁用 H2E。 • Both-h2e-hnp — 哈希到元素以及狩獵和啄食支援（是預設選項）。
步驟12	不關機Examp樂：設備(config-wlan)#不關閉	啟用 WLAN。
步驟13	結束Examp樂：設備(config-wlan)#結束	返回特權 EXEC 模式。