简介
本文档介绍如何在Catalyst 9800无线LAN控制器(9800 WLC)上配置带转换模式的增强型开放并对其进行故障排除。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科无线局域网控制器(WLC) 9800。
- 支持Wi-Fi 6E的思科接入点(AP)。
- IEEE标准802.11ax。
- Wireshark.
使用的组件
本文档中的信息基于以下软件和硬件版本:
- WLC 9800-CL,带IOS® XE 17.9.3。
- AP C9130、C9136、CW9162、CW9164和CW9166。
- Wi-Fi 6客户端:
- IOS 16上的iPhone SE3gen
- Mac OS 12上的MacBook。
- Wi-Fi 6E客户端:
- Lenovo X1 Carbon Gen11,带英特尔AX211 Wi-Fi 6和6E适配器,带驱动程序版本22.200.2(1)。
- 带驱动程序v1(0.0.108)的Netgear A8000 Wi-Fi 6和6E适配器;
- Android 13的手机Pixel 6a;
- 装有安卓13的手机三星S23。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
增强开放是WiFi联盟提供的认证,是WPA3无线安全标准的一部分。与公共PSK无线网络相比,它在开放(未经身份验证)网络上使用随机无线加密(OWE)来防止被动嗅探和简单攻击。
使用增强型开放时,客户端和WLC(对于集中身份验证)或AP(对于FlexConnect本地身份验证)在关联过程中执行Diffie-Hellman密钥交换,并通过四次握手使用成对主密钥密钥(PMK)。
OWE
机会无线加密(OWE)是对IEEE 802.11的扩展,提供无线介质加密(IETF RFC 8110)。基于OWE的身份验证的目的是避免AP和客户端之间的开放式非安全无线连接。OWE使用基于Diffie-Hellman算法的加密来设置无线加密。借助OWE,客户端和AP在访问过程中执行Diffie-Hellman密钥交换,并将生成的配对主密钥(PMK)密钥与4次握手配合使用。使用OWE可增强部署基于开放式或共享式PSK网络的无线网络的安全性。
OWE帧交换
过渡模式
通常,企业网络只有一个未加密的访客SSID,并且希望不支持增强型开放式客户端的较旧客户端和具有较强开放性的较新客户端可以共存。过渡模式是专门为适应此情况而引入的。
这需要配置两个SSID -一个隐藏SSID以支持OWE,另一个为开放并广播的SSID。
随机无线加密(OWE)转换模式可使OWE和非OWE STA同时连接到同一SSID。当所有OWE STA在OWE转换模式下看到SSID时,它们将与OWE连接。
开放式WLAN和OWE WLAN都会传输信标帧。来自OWE WLAN的信标和探测响应帧包括Wi-Fi Alliance供应商IE,用于封装开放WLAN的BSSID和SSID;同样,开放WLAN也包括OWE WLAN。
OWE STA应仅在可用网络列表中向用户显示在OWE转换模式下运行的OWE AP的开放BSS的SSID,并且应抑制该OWE AP的OWE BSS SSID的显示。
准则和限制:
- 增强型开放需要仅限WPA3的策略。思科Wave 1(基于思科IOS®)AP不支持WPA3。
- 必须将受保护的管理帧(PMF)设置为“必需”。此值默认设置为仅使用WPA3的第2层安全性。
- 增强型开放仅适用于运行支持增强型开放的新版本的最终客户端。
配置
典型的使用案例,在这些案例中,管理员要配置Enhanced Open,但仍允许较旧的客户端连接到访客SSID。
网络图
网络拓扑
GUI的配置步骤:
创建第一个SSID,特此称为“OWE_Transition”。在本例中,WLAN ID 3被隐藏,同时禁用“Broadcast SSID”选项:
第1步选择Configuration > Tags & Profiles > WLANs以打开WLAN页。
第2步点击Add添加新的WLAN >添加WLAN名称“OWE_Transition”>将Status更改为Enable >确保Broadcast SSID处于Disabled。
OWE转换增强型开放式SSID隐藏
第3步选择Security > Layer 2选项卡> Select WPA3。
第4步将受保护的管理帧(PMF)设置为必需。
第5步在WPA Parameters >下选中WPA3 Policy。选择AES(CCMP128) Encryption and OWE Auth Key Management。
第6步将WLAN ID 4 (open WLAN)添加到“Transition Mode WLAN ID”框。
第7步点击Apply to Device。
OWE转换模式- OWE SSID
创建第二个SSID,在本示例中将其命名为“open”,WLAN ID 4,并确保启用“Broadcast SSID”:
第1步选择Configuration > Tags & Profiles > WLANs以打开WLAN页。
第2步点击Add添加新的WLAN >添加WLAN名称“open”>将Status更改为Enable >确保Broadcast SSID处于Enabled。
OWE转换开放式SSID
第3步选择Security > Layer 2选项卡>选择None。
第4步将WLAN ID 4 (OWE_Transition)添加到“Transition Mode WLAN ID”框。
第5步点击Apply to Device。
OWE过渡模式开放式WLAN安全
注意:如果之前打开的WLAN使用与OWE WLAN相同的SSID,Windows客户端将在SSID名称后添加“2”。要解决此问题,请导航到“网络和互联网> Wi-Fi >管理已知网络”(Network & Internet > Wi-Fi > Manage known networks)并删除旧连接。
此屏幕截图显示了最终结果:一个WLAN受到保护并配置为名为“OWE_Transition”的WPA3+OWE+WPA3,另一个为名为“open”的完全开放SSID。只有名为“open”的完全开放的SSID才会在信标中广播其SSID,而“OWE_Transition”是隐藏的。
OWE过渡模式WLAN
第6步将创建的WLAN映射到所需的策略配置文件到策略标记中,然后将其应用于AP。
策略标记
针对CLI进行配置:
增强型开放式SSID:
Device# conf t
Device(config)# wlan OWE_Transition 3 OWE_Transition
Device(config)# no broadcast-ssid
Device(config)# no security ft adaptive
Device(config)# no security wpa wpa2
Device(config)# no security wpa akm dot1x
Device(config)# security wpa akm owe
Device(config)# security wpa transition-mode-wlan-id 4
Device(config)# security wpa wpa3
Device(config)# security pmf mandatory
Device(config)# no shutdown
开放式SSID:
Device# conf t
Device(config)# wlan open 4 open
Device(config)# no security ft adaptive
Device(config)# no security wpa
Device(config)# no security wpa wpa2
Device(config)# no security wpa wpa2 ciphers aes
Device(config)# no security wpa akm dot1x
Device(config)# security wpa transition-mode-wlan-id 3
Device(config)# no shutdown
策略配置文件:
Device(config)# wireless tag policy Wifi6E_TestPolicy
Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile
验证
这是验证部分。
在CLI上验证WLAN配置:
Device#show wlan id 3
WLAN Profile Name : OWE_Transition
================================================
Identifier : 3
Description :
Network Name (SSID) : OWE_Transition
Status : Enabled
Broadcast SSID : Disabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : Disabled
WPA2 (RSN IE) : Disabled
WPA3 (WPA3 IE) : Enabled
AES Cipher : Enabled
CCMP256 Cipher : Disabled
GCMP128 Cipher : Disabled
GCMP256 Cipher : Disabled
Auth Key Management
802.1x : Disabled
PSK : Disabled
CCKM : Disabled
FT dot1x : Disabled
FT PSK : Disabled
FT SAE : Disabled
Dot1x-SHA256 : Disabled
PSK-SHA256 : Disabled
SAE : Disabled
OWE : Enabled
SUITEB-1X : Disabled
SUITEB192-1X : Disabled
SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
Transition Disable : Disabled
CCKM TSF Tolerance (msecs) : 1000
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 4
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Required
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
#show wlan id 4
WLAN Profile Name : open
================================================
Identifier : 4
Description :
Network Name (SSID) : open
Status : Enabled
Broadcast SSID : Enabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 3
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
在WLC中,您可以转到AP配置并验证两个WLAN在AP上是否都处于活动状态:
OWE过渡模式AP运行配置查看器
启用时,AP仅具有开放式SSID但携带OWE过渡模式信息元素(IE)的信标。当能够增强开放性的客户端连接到此SSID时,它会自动使用OWE来加密关联后的所有流量。
以下是在空中观察(OTA)的内容:
OWE转换开放式SSID信标
带SSID“open”的信标发送包含OWE过渡模式IE,其中含有增强的开放SSID详细信息,如BSSID和SSID名称“OWE_Transition”。
也有隐藏SSID的信标OTA,如果我们按bssid过滤,帧将发送到BSSID 00:df:1d:dd:7d:3e,该地址为OWE转换模式IE内部的BSSID:
OWE信标
您可以看到OWE隐藏信标还包含OWE过渡模式IE,其开放式ssid BSSID和SSID名称“open”。
这些屏幕截图显示支持增强型开放的Android电话:它仅显示没有锁图标的开放式SSID(锁图标会使用户认为它需要密码才能连接),但一旦连接后,安全显示使用增强型开放安全性。
OWE SSID listOWE客户端,具有增强的开放支持
在空中,我们可以看到完整的连接顺序:
OWE过渡完全连接
在侦听信标后,客户端探测OWE SSID,然后AP响应。
然后发生正常OWE帧交换:身份验证请求和响应、包含DH IE的关联请求和响应,然后是EAPOL四次握手。
在WLC上,您可以验证客户端连接。支持OWE的客户端可以连接到增强型开放WLAN,在本例中为WLAN ID 3:
Device#show wireless client mac-address 286b.3598.580f detail
Client MAC Address : 286b.3598.580f
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 3
WLAN Profile Name: OWE_Transition
Wireless LAN Network Name (SSID): OWE_Transition
BSSID : 00df.1ddd.7d3e
Connected For : 682 seconds
Protocol : 802.11ax - 5 GHz
Channel : 64
Client IIF-ID : 0xa0000003
Association Id : 2
Authentication Algorithm : Open System
Idle state timeout : N/A
[...]
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable
我们可以在WLC GUI中看到相同的内容:
对于不支持Enhanced Open的客户端,它们只能看到并连接到开放式SSID,而不进行加密。
如图所示,这些客户端不支持增强型开放(分别在IOS 15和Mac OS 12上使用iPhone和MacBook),并且只能看到开放的访客SSID,并且不使用加密。
不支持OWEFigure 4的设备:Mac OS 12上的MacBook不支持增强型开放
以下是不支持OWE的USB无线适配器的另一个示例:
不支持Enhanced Open的客户端
客户端不支持OWE可以连接到开放式WLAN,在本例中为WLAN ID 4:
#show wireless client mac-address b44b.d623.a199 detail
Client MAC Address : b44b.d623.a199
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 4
WLAN Profile Name: open
Wireless LAN Network Name (SSID): open
BSSID : 00df.1ddd.7d3f
[...]
Authentication Algorithm : Open System
[...]
Protected Management Frame - 802.11w : No
EAP Type : Not Applicable
故障排除
- 确保客户端支持OWE,因为并非所有客户端都支持它。查看客户端供应商文档,例如Apple在此处记录了对其设备的支持。
- 由于存在OWE过渡模式IE,一些较旧的客户端甚至可能不接受开放式ssid信标,并且范围内网络中不存在SSID。如果您的客户端无法看到开放式SSID,请从WLAN配置中删除过渡VLAN(设置为0),然后检查它是否看到该WLAN。
- 如果客户端看到开放式SSID,支持OWE,但它们仍然不使用WPA3进行连接,则验证过渡VLAN ID是否正确且是否在两个WLAN的信标中广播。您可以在嗅探器模式下使用AP来捕获OTA流量。请执行以下步骤,在嗅探器模式下配置AP:在嗅探器模式下配置AP Catalyst 91xx。
- 根据客户端MAC地址收集RadioActive跟踪,您会看到如下所示的类似日志:
2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3
2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN
参考
什么是Wi-Fi 6E?
什么是Wi-Fi 6与Wi-Fi 6E?
Wi-Fi 6E概览
Wi-Fi 6E:Wi-Fi下一重要章节(白皮书)
Cisco Catalyst 9800系列无线控制器软件配置指南17.9.x
WPA3部署指南