WLAN AP安全策略中WPA认证与WPA2认证的差异

一、安全策略WPA认证（PSK认证+TKIP加密）的案例

组网需求：

设备作为FAT AP，为用户提供WLAN服务，用户可以搜索到名为huawei的无线网络，采用的安全策略为WPA-PSK认证+TKIP加密的方式。

组网图如下：

FAT AP上的相关配置：

#
vlan 102
#
dhcp enable  //使能DHCP功能
#
dot1x enable //使能802.1x功能（PSK密钥交互承载在EAPOL报文之上，所以需要开启dot1x），V200R008及之后版本不再需要配置该命令
#
interface Vlanif102ip address 192.168.1.1 255.255.255.0dhcp select interface  //使能VLANIF接口的DHCP服务功能
#
interface Wlan-Bss1     //配置WLAN-BSS虚接口port hybrid tagged vlan 102
#
wlanwmm-profile name wmm id 1              //创建WMM模板，模板参数采用缺省值traffic-profile name traffic id 1      //创建流量模板，模板参数采用缺省值security-profile name security id 1    //创建安全模板security采用wpa+psk+tkip安全策略也可以采用（wpa+psk+CCMP）安全策略，只需将encryption-method后面的加密方式改为CCMP即可security-policy wpa wpa authentication-method psk pass-phrase cipher %^%#Q-%d~;.Aj!<@qOUJ=vMG~rie2vkWOOUq>`5f73RU%^%# encryption-method tkipservice-set name ss-1 id 0  //创建服务集Wlan-Bss 1                 //配置服务集绑定WLAN-BSS 1接口ssid huawei                //指定服务集IDtraffic-profile id 1       //配置服务集绑定流量模板security-profile id 1      //配置服务集绑定安全模板radio-profile name radio-1 id 1  //创建射频模板wmm-profile id 1                //配置射频模板绑定WMM模板
#
interface Wlan-Radio0/0/0radio-profile id 1       //将射频口绑定射频模板service-set id 0 wlan 1  //将射频口绑定服务集

验证配置结果：

1、无线用户可以搜索到SSID为huawei的WLAN网络，用户需要输入PSK预共享密钥0123456789才能正常使用WLAN服务。

2、在Router上执行display security-profile { id profile-id | name profile-name }命令，可以查询到接入安全的配置策略。

3、在Router上执行display station assoc-info interface wlan-radio0/0/0 [ service-set service-set-id ]命令，可查询Radio上或Radio上指定service-set上所有关联的无线终端接入信息。

二、安全策略WPA2认证（PSK认证+CCMP加密）的案例

组网需求：
设备作为FAT AP，为用户提供WLAN服务，用户可以搜索到名为huawei的无线网络，采用的安全策略为WPA2-PSK认证+CCMP加密的方式。

组网图如下：

FAT AP上的相关配置：

#
vlan 101
#
dhcp enable  //使能DHCP功能
#
dot1x enable //使能802.1x功能（PSK密钥交互承载在EAPOL报文之上，所以需要开启dot1x），V200R008及之后版本不再需要配置该命令
#
interface Vlanif101ip address 192.168.0.1 255.255.255.0dhcp select interface  //使能VLANIF接口的DHCP服务功能
#
interface Wlan-Bss1  //配置WLAN-BSS虚接口port hybrid tagged vlan 101
#
wlanwmm-profile name wmm id 1              //创建WMM模板，模板参数采用缺省值traffic-profile name traffic id 1      //创建流量模板，模板参数采用缺省值security-profile name security id 1    //创建安全模板security采用wpa2+psk+CCMP安全策略也可以采用（wpa2+psk+TKIP）安全策略，只需将encryption-method后面的加密方式改为TKIP即可security-policy wpa2 wpa2 authentication-method psk pass-phrase cipher %^%#Q-%d~;.Aj!<@qOUJ=vMG~rie2vkWOOUq>`5f73RU%^%# encryption-method ccmpservice-set name ss-1 id 0  //创建服务集Wlan-Bss 1                 //配置服务集绑定WLAN-BSS 1接口ssid huawei                //指定服务集IDtraffic-profile id 1       //配置服务集绑定流量模板security-profile id 1      //配置服务集绑定安全模板radio-profile name radio-1 id 1  //创建射频模板wmm-profile id 1                //配置射频模板绑定WMM模板
#
interface Wlan-Radio0/0/0radio-profile id 1       //将射频口绑定射频模板service-set id 0 wlan 1  //将射频口绑定服务集

验证配置结果：

1、无线用户可以搜索到SSID为huawei的WLAN网络，用户需要输入PSK预共享密钥0123456789才能正常使用WLAN服务。

2、在Router上执行display security-profile { id profile-id | name profile-name }命令，可以查询到接入安全的配置策略。

注：主要差别在于：WPA创建安全模板security采用wpa+psk+tkip安全策略

WPA2（wpa+psk+CCMP）安全策略

WPA encryption-method后面接的是TKIP

而WPA2只需将encryption-method后面的加密方式改为CCMP即可