WLAN AP安全策略中WPA认证与WPA2认证的差异

 一、安全策略WPA认证（PSK认证+TKIP加密）的案例

组网需求：

        设备作为FAT AP，为用户提供WLAN服务，用户可以搜索到名为huawei的无线网络，采用的安全策略为WPA-PSK认证+TKIP加密的方式。

组网图如下：

FAT AP上的相关配置：

#
vlan 102 
#
dhcp enable  //使能DHCP功能
#
dot1x enable //使能802.1x功能（PSK密钥交互承载在EAPOL报文之上，所以需要开启dot1x），V200R008及之后版本不再需要配置该命令
#
interface Vlanif102
 ip address 192.168.1.1 255.255.255.0
 dhcp select interface  //使能VLANIF接口的DHCP服务功能
#
interface Wlan-Bss1     //配置WLAN-BSS虚接口
 port hybrid tagged vlan 102
#
wlan
 wmm-profile name wmm id 1              //创建WMM模板，模板参数采用缺省值
 traffic-profile name traffic id 1      //创建流量模板，模板参数采用缺省值
 security-profile name security id 1    //创建安全模板security采用wpa+psk+tkip安全策略
                                        也可以采用（wpa+psk+CCMP）安全策略，只需将encryption-method后面的加密方式改为CCMP即可
  security-policy wpa 
  wpa authentication-method psk pass-phrase cipher %^%#Q-%d~;.Aj!<@qOUJ=vMG~rie2vkWOOUq>`5f73RU%^%# encryption-method tkip
 service-set name ss-1 id 0  //创建服务集
  Wlan-Bss 1                 //配置服务集绑定WLAN-BSS 1接口
  ssid huawei                //指定服务集ID
  traffic-profile id 1       //配置服务集绑定流量模板
  security-profile id 1      //配置服务集绑定安全模板
 radio-profile name radio-1 id 1  //创建射频模板
  wmm-profile id 1                //配置射频模板绑定WMM模板
#
interface Wlan-Radio0/0/0
 radio-profile id 1       //将射频口绑定射频模板
 service-set id 0 wlan 1  //将射频口绑定服务集

 验证配置结果：

1、无线用户可以搜索到SSID为huawei的WLAN网络，用户需要输入PSK预共享密钥0123456789才能正常使用WLAN服务。

2、在Router上执行display security-profile { id profile-id | name profile-name }命令，可以查询到接入安全的配置策略。

3、在Router上执行display station assoc-info interface wlan-radio0/0/0 [ service-set service-set-id ]命令，可查询Radio上或Radio上指定service-set上所有关联的无线终端接入信息。

 二、安全策略WPA2认证（PSK认证+CCMP加密）的案例

组网需求：
         设备作为FAT AP，为用户提供WLAN服务，用户可以搜索到名为huawei的无线网络，采用的安全策略为WPA2-PSK认证+CCMP加密的方式。

组网图如下：

 FAT AP上的相关配置：

#
vlan 101 
#
dhcp enable  //使能DHCP功能
#
dot1x enable //使能802.1x功能（PSK密钥交互承载在EAPOL报文之上，所以需要开启dot1x），V200R008及之后版本不再需要配置该命令
#
interface Vlanif101
 ip address 192.168.0.1 255.255.255.0
 dhcp select interface  //使能VLANIF接口的DHCP服务功能
#
interface Wlan-Bss1  //配置WLAN-BSS虚接口
 port hybrid tagged vlan 101
#
wlan
 wmm-profile name wmm id 1              //创建WMM模板，模板参数采用缺省值
 traffic-profile name traffic id 1      //创建流量模板，模板参数采用缺省值
 security-profile name security id 1    //创建安全模板security采用wpa2+psk+CCMP安全策略
                                        也可以采用（wpa2+psk+TKIP）安全策略，只需将encryption-method后面的加密方式改为TKIP即可
  security-policy wpa2 
  wpa2 authentication-method psk pass-phrase cipher %^%#Q-%d~;.Aj!<@qOUJ=vMG~rie2vkWOOUq>`5f73RU%^%# encryption-method ccmp
 service-set name ss-1 id 0  //创建服务集
  Wlan-Bss 1                 //配置服务集绑定WLAN-BSS 1接口
  ssid huawei                //指定服务集ID
  traffic-profile id 1       //配置服务集绑定流量模板
  security-profile id 1      //配置服务集绑定安全模板
 radio-profile name radio-1 id 1  //创建射频模板
  wmm-profile id 1                //配置射频模板绑定WMM模板
#
interface Wlan-Radio0/0/0
 radio-profile id 1       //将射频口绑定射频模板
 service-set id 0 wlan 1  //将射频口绑定服务集

验证配置结果：

1、无线用户可以搜索到SSID为huawei的WLAN网络，用户需要输入PSK预共享密钥0123456789才能正常使用WLAN服务。

2、在Router上执行display security-profile { id profile-id | name profile-name }命令，可以查询到接入安全的配置策略。

3、在Router上执行display station assoc-info interface wlan-radio0/0/0 [ service-set service-set-id ]命令，可查询Radio上或Radio上指定service-set上所有关联的无线终端接入信息。

注：主要差别在于：WPA创建安全模板security采用wpa+psk+tkip安全策略

                                 WPA2（wpa+psk+CCMP）安全策略

                                 WPA  encryption-method后面接的是TKIP

                             而WPA2只需将encryption-method后面的加密方式改为CCMP即可