台南市無線認證管理平台研習(持續更新)
卓國興:上午07時00分14秒 06-02-2017
四、家用FAT ap 之設定示範(asus RT-AC66U)
https://docs.google.com/document/d/1FnmV0tcDJp5nU_Au3VsuU7cFphYzh91v7gYulz70rYk/pub
最常見的問題就是使用者的認證失敗, 但卻常常責怪是AP的問題,然後,電話中一定說他的帳號密碼是對的
當你的設備連線品質出狀況時,你該先讀讀下面的文章,或許你才能了解誰在踢皮球
切換到Aruba與Aerohive的TANetRoaming手機設備異常狀況
重要訊息:臺南市教育局資訊中心無線網路調整公告
https://docs.google.com/document/d/19hENXfqZ6UmwMmpw2Z6M7yMZpI-2j_YEA2mu0xP1Qe4/pub
簡易WIFI架構圖
從下圖可以了解各自需要負責的部分,連線的線路簡易架構
所以,各校網路管理人員對學校的區網與無線網路設備須清楚,方能得到有效的協助,錯誤與不清不楚的問題,無法得到你要的答案
跨縣市漫遊測試
測試各單位Roaming漫遊
https://roamingcenter.tanet.edu.tw/?page_id=2033
正常的狀況如下圖(上面是認證結果,下面是表示中心與宜大漫遊主機與嘉義大學的漫遊主機連線正常)
若你所看的結果如下,表示該測試單位漫遊主機與宜大的漫遊中心主機已經失去聯繫,自然不可能聯繫到中心的漫遊主機,認證更不可能
一、登入「無線網路認證管理平台」
以openid登入 -> 可選擇為設備管理員或組織管理員
以預設帳號管理員登入(管理人員)(請務必修改密碼)
以預設設備管理員登入(管理設備)(請務必修改密碼)
以正新國小為例:
預設帳號管理員: jsesadmin
預設設備管理員:jsesdev
初步成果:經由此次的研習,有些學校的使用狀況非常的好,所以,當資訊組長的你絕對是學校端無線網路良好與否的重要角色
修改預設管理員密碼
以組織管理員身分登入,新增使用者帳號
使用者可自行登入,修改密碼
1.無線帳號管理平台的使用與限制
學校的自建帳號,可同時用於各校的TN-Teacher(跨校漫遊)與限制於學校的TN-Domain使用
例如,使用JSES的自建帳號,可以用於各校的TN-Teacher與自己學校的TN-JSES,但不能用於他校的TN-Doamin認證
學校的自建帳號可以通用於各校的TN-Teacher
其他學校的使用者欲登入TN-JSES會失敗
自己學校的使用這使用,就可以通過認證
2.使用者使用狀況觀察
認證成功與使用的紀錄
使用TN-Domain-NAT,取得aruba AP的private IP
若是使用aruba的TN-JSES,可以對照airwave
二、Siraya AP管理平台
註:Siraya AP有ipv4 NAT功能,ipv6亦可透通道NAT內部
操作流程:
Siraya APC平台(查看AP狀態)-> 在無線認證管理平台新增帳號
此設備,直接在無線認證管理平台新增使用者即可,無須新增設備
登入siraya APC平台 http://120.115.4.24:60080/APC
以中心提供的帳號密碼登入,並修改預設密碼
登入後,會看到自己學校的siraya AP的狀態
若要讓某個ap有特殊的ssid,請新增群組,並將該ap移到新群組
依照群組套用所需的ssid
若有修改設定,必須套用,ap會重新開機,使用新設定
點選Apply套用
注意板板是否可更新
新增特定班級使用ssid(例如平板教學)
你可以新增群組或修改現有群組,讓特定的ap有特定的ssid,而不影響其他ap的ssid設定
記得修改後,需要套用
修改完成後,其他AP維持原有TN-Domain的SSID,而群組二的ap則會套用TN-Domain(PEAP認證)+TN-Domain-class61(psk認證)的設定
調整ap功率(資料來源:宜蘭教網中心)
http://blog.ilc.edu.tw/blog/blog/4950/post/16818/624976
線上使用說明(資料來源:宜蘭教網中心)
http://blog.ilc.edu.tw/blog/blog/4950/post/16818/621090
改用psk或是MAC白名單認證模式,可以解決HTC Flyer此平板的802.1x認證問題,此款平板於802.1x的認證時好時壞,所以許多縣市都有針對此平板提出非802.1x認證的專案,可參考
http://www.cshs.kh.edu.tw/wireless/1.prepare.htm
如果你要使用TN-Teacher或TN-Domain,可以參考以下文件,我測試的結果,使用aruba與siraya平台都成功
https://drive.google.com/file/d/0BwxIszkaZLZdMjNtTGlZU3hacG8/view?usp=sharing
以下為筆者以HTC Flyer使用siraya+wifiauth平台,且使用正新國小的網路,所以與各個學校完全相同,兩台連線皆正常(但此設備的802.1x的階段二驗證[MSCHAPv2]會自己無故回歸為無,所以常常用個幾天,或重開機後無法認證,因此,需要重新清除重設,除非你不嫌麻煩,否則仍然建議使用psk或MAC白名單認證)
三、Aruba airwave 管理平台
airwave檢查AP狀態的重要性:
新系統、新界面
修改密碼(ISMS的要求,8字元以上,英文大小寫與特殊符號、數字都要有,才能修改)
須注意的幾個連結
有沒有down 的ap,有的話,是哪顆
使用者:
Overview
目前連線的
使用者狀態
使用者詳細資訊
連線歷史紀錄
使用者與ap間的射頻效能
新的案例:IP衝突
當你發現你的AP有DOWN的時候,其Eevents狀態如下,通常是IP衝突所造成
所以,即便所有設定是由中心控管,而學校線路沒問題時,這就是造成AP會DOWN的主要因素之一,透過此次研習,許多老師才發現原來學校的IP衝突狀況這麼多。
昨天連線好好的,今天連不上,下面是重要的例子
其實,只要遇到這種狀況,去ping學校所有AP的ip,就可以知道是否有過多的ap未上線
另外一個會影響訊號品質的狀況,正好相反,有所學校原本四台上時好好的,但上線了六台,反而變慢,這是因為ap佈署太密集,彼此干擾過大(2.4G ,三頻道,從四台分變成六台分,難分難捨)
一個使用者認證失敗原因的檢測流程
取得使用者手機的wifi MAC,並進行搜尋,發現其認證不成功,但使用者說他的帳密絕對沒輸入錯誤
點選手機MAC,進行詳細檢測,發現AP沒問題,但他所在的位置TANetRoaming訊號有問題,使用者設備本身也有問題
匹配事件:不聽aruba連線移動的[黏滯用戶設備],所以慢慢慢
關於[黏滯用戶端]的說法,可以參考此文件
http://www.ithome.com.tw/tech/87346
為什麼行動裝置會有黏滯在某一臺基地臺的狀況?吳章銘說,Aruba將這樣的連線行為稱為Sticky Client,在日常生活中經常遇到。例如,我們一開始是在自己的辦公桌操作行動裝置,自然會連到座位附近的基地臺,但有時需要換一個地方到會議室,或到其他同事身邊討論時,有可能行動裝置已離原本的基地臺很遠了,照理說,行動裝置應該改連到離目前所在位置最近的基地臺,所以,通常使用者需要重新選擇要連的基地臺,操作上很麻煩;甚至,還有可能出現只能連接到原來基地臺的情況,如此一來,受限於物理訊號較差,網路速度自然快不起來,連線穩定性也被牽累。
會出現後者這種情況,有很多原因,像是受到行動裝置本身的系統、驅動程式設定的影響、裝置本身決定基地臺漫遊的演算法效率不佳、缺乏監控射頻訊號干擾的機制,或是因為與其他上網速度更慢的裝置競爭,使得整個通訊頻道被壟斷。
所以,當使用者跟你說,隔壁的很快,我很慢,這是可能的原因
如果使用者設備,有聽到號令,就會自動移動
三、原南縣的NGN AP使用帳號管理平台的流程
操作流程:
設定NGN AP -> 在無線認證管理平台新增設備 -> 在無線認證管理平台新增帳號
1. 重設NGN AP (無Aruba 5WN學校)
註:NGN AP無NAT功能,網路需提供DHCP Server
NGN AP上有 reset按鈕,通電的狀態下按壓5秒以上,看到燈號改變,即完成。reset後的NGN AP 預設ip為 192.168.0.50,須改為同網段才能連入此AP
以FireFox連線,網址打上192.168.0.50,預設帳號admin,密碼空白
(1) 網路LAN設定 範例:120.115.4.100
需更改為原學校網段,在連剛剛設定的IP。
(2) 設定ssid與radius server設置
ssid 設置規則(請務必遵守,不符規則的將無法通過驗證)
- 一般2.4G的規則:TN - {學校domain} - [自定義描述(可免)]
例如:菁寮國中縮寫為JLJHS,則設定TN-JLJHS,
AP建置在301班,則設定TN-JLJHS-301
- 支援5G的規則:TN - {學校domain} - 5G - [自定義描述(可免)]
例如:菁寮國中縮寫為JLJHS,則設定TN-JLJHS-5G
radius server設置
RADIUS Server 120.115.4.26
RADIUS Port 1812
RADIUS Secret *******
輸入在無線認證平台上的自訂RADIUS共用密碼
Accounting Mode Enable
Accounting Server 120.115.4.26
Accounting Port 1813
(3) 可設定限制連入管理的 ip (可不設定)
Tool -> svae and reconfigure儲存設定
可防止校內其他老師更動到設定。
2. 直接修改NGN AP設定(有Aruba 5WN設備的學校適用)
設定方式如下
5WN接線架構檢查
以管理員身份登入NGN AP (密碼請洽資訊中心)
把radius server改成 120.115.4.26,並設定共用密碼
Tool -> Administrator Settings
啟用 snmp
存檔並寫入設備
以『設備管理員』登入『認證系統』,加入此AP3200的設備即可
完成設備新增
修改好後,拔掉5wn的port1的線(使用 19或20 port的那條)並請聯易工程人員進來將5wn改成Thin AP架構,提供TN-Teacher與TANetRoaming
四、家用FAT ap 之設定示範(asus RT-AC66U)
操作影片:https://youtu.be/zVuhEVWBs9A
操作流程:
設定家用FAT AP -> 在無線認證管理平台新增設備-> 在無線認證管理平台新增帳號
五、連線問題修正程式--win7 與win10
win7的特殊設定:(憑證與自動使用電腦名稱登入的問題)
https://docs.google.com/document/d/1FnmV0tcDJp5nU_Au3VsuU7cFphYzh91v7gYulz70rYk/pub
win10 的TLS1.2降級與自建SSID方法
TLS1.2的問題與降級
https://sites.google.com/site/kawsing/page1/win10shi-yong-zhu-yi
自建SSID方法
https://docs.google.com/document/d/1015oVewxZEDw-xHPYR2XkAzI4EeC-zvLcWs0Vf_mCns/pub?embedded=true
六、錯誤觀念與常見的問題
當學校的使用者說無線網路很慢或無法連線時,請不要說[中心集中管理],所以是中心系統當掉等等的說法,因為若此處的控制設備出問題,那麼全南市學校都會無法使用,不會單單幾所學校或幾個使用者出狀況,這次上的課程完全由學校端出發,使用學校的網段作設定TN-Teacher,TN-JSES,TANetRoaming,所以,狀況完整模擬學校,而下圖是我使用的設備與aruba AP205以5G頻道連線時,用speedtest測出的速度,若學校區域網路狀況良好,且使用者使用802.11ac之手機來連線,就可以達到如下速度(請了解一件事,AP設備是放在學校裡的,使用者所在的環境是學校裡,連線AP的手機是使用者的)
但若學校的區域網路非常不穩定,如下圖,整體環境不佳,又如何讓無線網路達到它該有的速度呢?
所以,這也就是為何同樣是TN-Teaher與TANetRoaming,有些學校狀況良好,有些學校不穩定的原因
最常見的問題就是使用者的認證失敗, 但卻常常責怪是AP的問題,然後,電話中一定說他的帳號密碼是對的
確認Email密碼不能有「+」、「&」、「%」、「空白」等符號,若有請修改密碼,並成功登入再登出乙次,再嘗試用wifi連線。
檢查連線設定的EAP方法是否為「PEAP」,階段2驗證是否為「MSCHAPV2」,(適用TN-Teacher或TN-Domain如:TN-CHPS)
常見的明顯錯誤如下(這些都只是冰山一角):
帳號密碼一起當帳號送來的
用EAP-SIM模式來認證的
帳號空一格
用windows主機名稱當帳號的
帳號是亂碼的
還在使用voip帳號密碼的
當你的設備連線品質出狀況時,你該先讀讀下面的文章,或許你才能了解誰在踢皮球
http://web.tn.edu.tw/forum/files/2015/02/2015-02-12-Aruba.pdf
重要的提示:
和傳統的 PC 聯網一樣,行動網路也是一種雙向的數據傳遞,電信商提供基本的網路連接信號,而智慧手機則要參與信號接收、翻譯和發送,還要讓自己能夠在網路中與其他聯網裝置和諧相處,最大化連接效率和速度,提升整體的使用體驗。下一次再遇見打電話的同時不能買買買,Wi-Fi 連不上網速慢,用 4G 直播時手機特別卡的情況,還是先檢查一下自己手機的Modem規格吧。
我連到誰的TN-Teacher
靠近某個ap,我就是連上他嗎?
訊號衰減問題實測:
AP位於走廊
中心廁所實境
廁所門外與門內的頻寬變化極大(但你可以看到,手機的wifi訊號看來沒太大變化「吼!明明訊號很好啊,為何上網速度慢,ap好爛,都是ap的問題,我的手機是xx牌的,絕對沒問題」)
連線不穩定,時快時慢
環境干擾過多2.4G干擾嚴重或頻道已經嚴重塞車
新光XX的測試
已經連上,但無法出現歡迎畫面(我該立即撥電話罵客服嗎?)
現場可見2.4G的頻帶有相當多的熱點,熱鬧非凡
但5G頻道很乾淨,就把手機切用5G
使用5G頻帶連線,順暢又沒人跟你爭頻寬(還要撥電話罵客服嗎?)
硬體狀況
- ap因受潮長銅綠,以致連線不穩
- ap連線的switch的網路port有問題(很多ap連接的switch port燈號都不亮,又怎麼可能tunnel 回到中心的控制器呢?)
所以,請不要有ap是中心集中管理的,怎麼會down這種『出類拔萃』的問題
設定錯誤(真人真事)
看出以下的問題嗎?問題在於DNS設定192.168.1.1,又,你如何去找出這個問題(打電話?)
學校區域網路狀況不良
帳號密碼打錯(哪裡錯,你知道了嗎?)「有些手機的輸入法,會自動選字,跳格」
TANetRoaming的連線時測
TANetRoaming連線認證時,其實需要比TN-Teacher更好的連線品質,因為需要下載連線的認證頁面,在連線品質狀況不好時,很容易因為連線逾時而失敗(於進學國小的實測),如下圖(使用AeroHive的連線畫面)
若是使用aruba,則是又會回到原來的認證頁面
若品質很差,則是連認證頁面的圖片都不見了
AP天線越大隻越好?AP數量越多越好?
AP天線大隻,涵蓋率廣,穿牆透壁,無所不能?所以,我的手機的連線品質就好了嗎?
簡單一句話,你的手機天線功率一樣大隻嗎?
高dbi的天線不是把wifi信號增強,而是把其集中發射/接收(壓扁),如果你站在發射方向,自然感覺上信號強,但整體信號並沒有增加
天線確實能“聚焦”wifi信號,增強在聚焦區域的wifi接收強度
好啦,如果你沒有真正了解整體環境的需求,而使用高dbi天線,有時候反而反效果
wifi穿牆原理
wifi信號多數是靠重復反射來“穿墻”, 這也是爲什麽關上房門后房間裏面的wifi信號會銳減的原因。
所以要估計穿墻,把平面圖拿出來,把每堵墻當成鏡子,看看要反射多少次、走多遠才能射到接受端。也就是重點如何選擇路由器ap擺放位置的依據:未必是放得越近越好,最主要的要有好的wifi通道。
所以,我可以使用MIMO技術,也就是多天線來增加功率與範圍,如此比單天線要更好,但但但我們的手機都是單天線的比較多
ap天線大隻,我的手機天線打不回,又有何用?只會徒增使用者的誤解而已
手機的信號通常比AP弱很多,距離遠時,AP接收到的手機發送出來的信號就會比較難於辨認,手機接收到了AP發送來的數據,會發送確認消息,告訴AP它收到了現在的數據可以繼續發接下來的數據,但是由於AP不能辨認手機發送的確認消息(訊號弱),會認為手機沒有收到數據,然後不停嘗試重新發送,這就是為什麼很多用戶經常在手機上看到Wi-Fi信號滿滿的,但數據傳輸就是不成功,很難上網。
進入省電模式,或快沒電
手機使用省電模式或快沒電,會自動降低天線功率
結論是不只要求ap的性能,接收端的性能也很重要。下面一張圖片也說明了接收端的天線性能影響傳輸距離十分明顯。
AP很多顆,一個空間放個4顆,絕無死角?
簡單一句話,2.4G三個頻道,怎區隔?又你的所有ap都是相同的嗎?干擾大,連線品質必差
為何我昨天可以連,今天不能?
如果你所處的位置,位於訊號不穩定處,很容易出現這樣的狀況,所以,你應:
你去ping過所有的ap都還在線上,涵蓋率依然與昨天相同?
你所謂的的同一地點,方向相同嗎?
你測試過其他的設備嗎?還是一直停留原地,猛測同一設備?你有移動位置測試嗎?
你是否最近添購了2.4G無線鍵盤滑鼠或無線話機等...
附近的同仁開手機的wifi分享,都是使用2.4G
切換到Aruba與Aerohive的TANetRoaming手機設備異常狀況
人體那裡的血液循環最不良,那就是末梢血液,無線網路也是
很幸運的,筆者的手機設備有此狀況,當遇到一個環境中,同時有Aruba與Aerohive的設備同時發TANetRoaming,那麼有些手機,就會有異常狀況
那個異常狀況,是手機如果先於aruba設備取得10.117.xx.xx的IP時候,當我移動到Aerohive的設備時,重新進行TANetRoaming連線時,表面看似成功,而且也認證成功,似乎很完美,但卻始終無法連上網際網路,究其原因,發現是某些手機會keep住先前的IP(Aruba的),無法於Aerohive下轉換為10.116.xxx.xxx的IP,所以,NAT不成功,但實測中心其他同事的,卻無此問題,所以,又是手機本身出狀況
2.4G的頻道
台灣可使用11個頻道
在IEEE 802.11中,2.4GHz頻段內可以分出14個頻道,不過實際使用時會因不同國家規定而異,例如在台灣的無線路由器上只會看到有11個頻道可以使用,從2.412GHz、2.417GHz、……、2.462GHz共11個
每個頻道約相差5MHz。在頻譜屏蔽標準來說,雖然有規定±22MHz的能量限制,也就是傳遞的訊號隨著頻段不同跟著減弱,但多少還是會互相干擾。因此有連線要好的話,盡量在11個頻道中最好都能互相錯開,因此才會有選擇頻道1、6、11這3個會較好的說法。
5G的頻道
5G的頻道有
Band1: CH36、CH40、CH44、CH48(5180MHz~5240MHz)
Band2: CH52、CH56、CH60、CH64(5260MHz~5320MHz)
Band3: CH100、CH104、CH108、CH112、CH116、CH120、CH124、CH128、CH132、CH136、CH140(5500MHz~5700MHz)
Band4: CH149、CH153、CH157、CH161、CH165(5745MHz~5825MHz)
台灣地區開放的頻道確實是Band2到4
台灣地區開放可使用5GHz有三個頻段:
Band2: 5250MHz~5350MHz
CH52、CH56、CH60、 CH64
Band3: 5470MHz~5725MHz
CH100、CH104、 CH108、CH112、CH116、CH120、CH124、CH128、 CH132、CH136、CH140
Band4: 5725MHz~5850MHz
CH149、CH153、 CH157、CH161、CH165
wifi通道列表
https://zh.wikipedia.org/wiki/WLAN%E4%BF%A1%E9%81%93%E5%88%97%E8%A1%A8#2.4_GHz_.28802.11b.2Fg.2Fn.29
附錄
無線網路架構重新調整與未來方向:
- 目前主要3個SSID,主要為TN-Teacher,TANetRoaming,TN-Domain。
- 目前政策規劃為:
TANetRoaming | TN-Teacher | TN-學校網域縮寫 | |
取得網路環境 | 中心IP | 中心IP | 校內IP 或 虛擬IP |
驗證方式 | 網頁驗證 | WPA2 802.1x(PEAP) | WPA2 802.1x(PEAP) |
登入方式 | 臺南市教育局Email帳號 | 臺南市教育局Email帳號 | 認證平台自建帳號 |
漫遊範圍 | 跨縣市(含跨校) | 跨校 (臺南市教育局無線網路管轄學校) |
|
- 佈建AP,漫遊佈於公共空間(ThinAP架構),TN-Domain運作於教室使用區域(FatAP+認證系統)
- TN-Domain使用,將是未來重點,因此與漫遊隔離,真正運用於校園教學環境(行動學習,辦公室無線化,學校物聯網等基礎建設.....)
無線網路是建構物聯網的基礎
在實務運作上,許多物聯網開發應用,都會使用到無線通訊技術,因此,架構優良的無線網路環境,是很重要的,所以,了解無線網路與應用無線設備,是網管人員需要具備的基礎能力
觀念:
WLAN裡面使用者常見名詞
RSSI (Received Signal Strength Indication)是一個負的dBm,表示RF信號的數值。信號愈 強,表示連線品質愈好。RSSI愈接近0愈好。
SNR (Signal to Noise Ratio)是一個正的dB,表示信號比雜訊強多少(RSSI - Noise level)。雜訊太強就容易有 collision/重傳,因此throughput就會低。
雜訊干擾RSSI:
將無線話機或無線鍵鼠放在AP的旁邊,會干擾無線訊號。
雜訊無時無刻不會產生,大小不一,因此,通常真正的連線品質,取決於SNR
SNR最少20~25dB。例如,RSSI 是-60,Noise level 是-85。
Wireless是shared medium,halfduplex,因此無法在同一時間transmit和receive。throughput可能是理論的一半左右。所以若連上一個54MBps的802.11g,真實的thoughput只有30Mbps左右。
power level是用mW為單位,表示WLAN devices用多少功率維持連線。
實務使用上,Thin AP device用max output power的一半。如此,當有AP掛掉時,其neighbor ap就可以把power加倍, 以維持availability,不過,連線品質相對就有不穩定的狀況
另外,RSSI的強度,不是一開始強就好,如下兩圖,雖然3j的信號強度,一開始比較強,但變動大,所以,相對而言,選擇2j反而穩定
802.1x
802.1X只是一個架構,是IEEE採用IETF的可延伸身份認證協定(Extensible Authentication Protocol, EAP)制訂而成的,屬於一種架構協定。
EAP是一個基礎的封裝協定,適於任何layer2的協定如PPP、802.3、802.11,以及各種身份認證的方式如TLS、TTLS、PEAP、AKA/SIM、Token card。
(EAP-method):MD5 Challenge、GTC、EAP-TLS、TTLS、PEAP、EAP-SIM及MS-CHAP-V2都是常見的EAP method
EAP-TTLS、EAP-PEAP這二種EAP-method即是可搭配現有的帳號認證系統(LDAP、AD)使用認證伺服器的憑證先建立一個TLS通道,此步驟也稱為外層(outer)身份認證,是用來保護內層(inner)身份認證。
在內層的身份驗證處理,TTLS交換attribute-value pair(AVP),而PEAP則是在通道內進行第二次的EAP交換程序。
Windows所內建的PEAP驗證方法中,有EAP-MSCHAP-v2及智慧卡可以選擇。
Windows作業系統中並沒有針對EAP-TTLS進行支援,而需另行安裝專用的認證軟體如Secure W2及Intel PROSet,則可使用EAP-TTLS且搭配PAP的方式進行加密驗證
以CHAP的方式來驗證,使用者的密碼不會以明文的方式來透過網路傳送,是以單向雜湊演算法計算出Hash值來替代密碼值,傳送至伺服器端,特別注意的是所使用的帳號系統的密碼必須以明文的方式儲存,UNIX系統中所儲存的密碼是以加密過後形式存在,則此將不適於CHAP的認證機制,要改用PAP。
wifi連線安全與驗證方式原理說明
- 無線網路使用者端的安全認證
- opensystem+web
opensystem 的 authentication
以上四步驟,讓你可以馬上使用網路,但這是不安全的網路,所以,通常會搭配所謂的Captive Portal WEB上網認證功能,可能是要求輸入帳號密碼,也可能只是要求用戶連線須知確認
TANetRaoming -> 使用web認證
新光三越 ->使用簡易的連線須知確認(此單位可以不須資安通報)
information compromised(訊息洩漏) 所以需要keys,以便加密資料,進行安全的資料交換 - wpa2-psk
使用相同的key(密碼),即是所謂的對稱式加密,PSK此時的角色相當於PMK => PSK+SSID(hased 4096 times) =PMK
所以,不論是那個station(supplicsnt)登入,這兩個值psk value 與 SSID 是相同的,於是,得到相同的PMK
(scenario->腳本) - wpa2-eap(802.1x)
三個元件 supplicant authenticator radius
authenticator => 當需要802.1x的認證,需先完成 open system authentication,並讓AP成為authenticator的角色,以便進行後續的802.1x的認證
TN-Domain的認證環境至少須此三元件
TN-Teacher的認證環境需求如下,加入AD,需要至少四個元件
EAPoL[Extensible Authentication Protocol over LAN] start(開始進行802.1x的認證)(EAP Exchange)
遠端用户撥入驗證服務(RADIUS, Remote Authentication Dial In User Service)是一個AAA的過程,其角色為AS,通常會搭配AD進行用戶端驗證
EAPOL key frame => 4 way handsha - Review流程
何謂Radius
RADIUS全名為Remote Authentication Dial-in User Service,具備驗證(Authentication)、授權(Authoration)及帳戶(Accounting)服務的協定。(AAA)
常見的方法有PPP、PAP、CHAP或是UNIX login
當使用者嘗試登入驗證時,NAS(Network Access Server)會將存取請求Access-Request傳送至RADIUS
Access-Request封包則包含username、password、NAS IP address和port
Radius相應的回覆(Access-Accept or Access-Reject)
較早的RADIUS是使用UDP 1645,因與datametrics服務相互衝突,RFC2865則將使用的port另改指定為1812,大部份的設備二者皆能夠支援
在RADUIS中,驗證(Authentication)及授權(Authoration)是同時存在的,傳送的使用者名稱是存在且密碼是正確的,RADIUS會回傳一個Access-Accept的回應,其中包含一連串的屬性值,用來定義此使用者在這個活動期間所獲得的使用參數;而參數的內容則包括服務的種類、取用的ip(static or dynamic)、存取規則等。
Accounting服務允許資料在一個session開始傳送與結束時,記錄在此session期間的時間、封包數與位元大小等相關資訊。Accounting服務所使用的port為UDP 1646,也使用UDP 1813(定義於RFC2139)
最常使用的企業級無線網路使用者身份認證及加密
EAP-TTLS與EAP-PEAP
在一般的狀況下,佈建的環境中早已具備現有的身份認證系統如LDAP directory、Active Directory。因此,利用現成的帳號來建立身份認證系統成為較廣泛選用的方式。
EAP-TTLS、EAP-PEAP這二種EAP-method即是可搭配現有的帳號認證系統(Radius Server),其方式為類似EAP-TLS使用認證伺服器的憑證先建立一個TLS通道,使用外層(outer)身份認證,是用來保護內層(inner)身份認證。
EAP-TTLS與PEAP皆為在第一階段建立TLS通道,但在內層的身份驗證處理,TTLS交換attribute-value pair(簡稱AVP),而PEAP則是在通道內進行第二次的EAP交換程序。
TTLS所使用的是交換AVP,可藉此提供原本EAP method未能提供的身份認證方式。
以Client端的相容性來說,在Windows XP SP1之前所採用的是EAP-MD5來驗證無線網路的使用者,在SP1之後則是採用PEAP的驗證方式,Windows作業系統內建支援PEAP。
Windows所內建的PEAP驗證方法中,有EAP-MSCHAP-v2及智慧卡可以選擇。智慧卡較少使用,也不易建制,所以最常見的是使用MSCHAP-v2為驗證方法(階段二驗證)。以CHAP的方式來驗證,使用者的密碼不會以明文的方式來透過網路傳送,是以單向雜湊演算法計算出Hash值來替代密碼值,傳送至伺服器端進行比對,全程加密
當中所使用的帳號系統的密碼必須以明文的方式儲存,像是UNIX系統中所儲存的密碼是以加密過後形式存在,反而不適於CHAP的認證機制。
所以若是帳號密碼系統是以加密後的形式存在,必須以PAP的方式進行密碼的驗證,使用EAP-TTLS以同時支援CHAP/PAP驗證,但是Windows作業系統中並沒有針對EAP-TTLS進行支援,而需另行安裝專用的認證軟體如Secure W2及Intel PROSet,才能使用EAP-TTLS且搭配PAP的方式進行加密驗證
除了複雜的加密機制外,通常設備更新後,例如最近一波的IOS9與android6及win10等,都還必須牽涉到AP軔體更新等等
所以,當使用者說他家裡使用WIFI沒問題,用WPA2-PSK這類加密認證法,來比較上述的認證連線是否有問題,通常是無法得到任何有效幫助,因為複雜度與差異都很大的