22T2 Sieć Wi-Fi z kluczem współdzielonym (WPA3-SAE) [Konfiguracja]

WPA3-SAE AP SSID Mobility Conductor

Link do artykułu.

Transkrypcja:

0:00 Wprowadzenie

0:11 Test Działania Sieci WiFi WPA3

1:20 Utworzenie VLAN-u dla Sieci i Utworzenie Sieci WLAN

10:14 Testy Działania Sieci

11:37 Podłączone Urządzenie w Widoku Mobility Conductora

11:50 Podsumowanie

Transkrypcja

Cześć! Chcesz skonfigurować sieć WPA3 z hasłem współdzielonym? Nazywam się Radosław Kierznowski i pokażę, jak to zrobić w rozwiązaniu kontrolerowym Aruby. Test działania sieci Wi-Fi WPA3 będzie wykonywany w systemie wirtualnym Linux Mint. Z tego względu, że ten system, a dokładnie karta sieciowa, która będzie fizycznie podłączona do tej maszyny wirtualnej, nie wspiera standardu WPA3, pokażę, jaki problem może wystąpić podczas próby takiego połączenia i co należy zrobić, aby połączyć się ze słabszym standardem.

Najpierw zobaczymy tutaj, jakie urządzenie jest podłączone. Jest to adapter Wi-Fi MediaTek 802.11 n. Access Point jest cały czas włączony i podłączony do AP Grupy LAB. Tutaj widzimy status połączenia Access Pointa, przechodzimy do katalogu konfiguracyjnego RAP-MC-7030, zakładki Configuration i Interfaces. Następnie do zakładki VLANs w celu utworzenia VLAN-u dla sieci Wi-Fi. Jak widać, są już utworzone dwa VLAN-y z ID 234. Można utworzyć kolejny VLAN z takim samym ID sieci, ID VLAN-u, i nie jest to problemem. W zasadzie zalecane jest tworzenie VLAN-ów z takim samym ID, nawet jeżeli już jest jakaś nazwa VLAN-u utworzona, z tego względu, że w przyszłości, jeżeli będziemy chcieli zmienić ID VLAN-u, to będzie musieli to zrobić tylko w jednym miejscu. Jeżeli dla jakiejś AP grupy wykorzystamy VLAN już istniejący, na przykład NAP-CLIENTS-WZOR i będziemy chcieli zmienić dla konkretnej AP grupy VLAN, to będziemy musieli utworzyć nowy VLAN i potem jeszcze zmodyfikować ten VLAN przy konkretnej sieci Wi-Fi. Nie jest to wygodne rozwiązanie, dlatego warto od razu otworzyć konkretny VLAN, nawet jeżeli ma ten sam ID. Naciskamy plus, nadajemy nazwę VLAN-u.

Co istotne, urządzenia w tym samym VLAN-ie mimo różnych nazw nadal się będą ze sobą widziały. Po daniu nazwy VLAN-u i ID VLAN-u naciskamy Submit. VLAN jest utworzony. Teraz możemy przejść do konfiguracji sieci Wi-Fi. Przechodzimy do zakładki WLANs, następnie naciskamy znak plus, nadajemy nazwę dla sieci WiFi. Wybieramy AP grupy, których Access Pointy mają rozgłaszać tę sieć, naciskamy Next i tutaj właśnie wybieramy VLAN, który poprzednio otworzyliśmy. Jest tutaj taki przycisk Show VLAN details. Można tam utworzyć też VLAN, ale jest pewien problem. Jeżeli VLAN będzie miał taki sam ID jak już jeden z istniejących VLAN-ów, niestety dodanie VLAN-u tą metodą się nie powiedzie. Dlatego jeżeli chcemy utworzyć VLAN z inną nazwą, ale tym samym ID, to należy to zrobić wcześniej. Po wybraniu VLAN-u naciskamy Next. Tutaj poziom zabezpieczeń wybieramy Personal i możemy zostawić WPA3 Personal. Wpisujemy hasło dla sieci Wi-Fi i zostawiamy zaznaczoną opcję Enable backward compatibility. Pozwoli to podłączyć się urządzeniom obsługującym standard WPA2 do tej sieci, ale później pokażę, jaki to też sprawia drobny problem. Naciskamy Next. Wybieramy poziom bezpieczeństwa na authenticated. Tutaj zobaczymy od razu, dlaczego akurat ten poziom. On ma utworzone cztery reguły. Te reguły pozwalają na dostęp do każdej usługi za pośrednictwem sieci, która jest rozgłaszana przez Access Point.

Dzięki tym podstawowym regułom będzie można uzyskać na przykład dostęp do internetu albo urządzenia między sobą będą mogły się widzieć. Naciskamy Finish. Wyświetla nam się ostrzeżenie dotyczące szyfrowania standardu WPA3: że nie jest obsługiwany przez wybrane Access Pointy lub kontrolery. Powinniśmy się wcześniej upewnić, że nasze środowisko będzie wspierało standard WPA3, ale tutaj spełniamy ogólnie te wymogi. Naciskamy OK. Obie zmiany są oczekujące. Jest to zmiana dotycząca utworzenia VLAN-u i zmiana dotycząca utworzenia sieci WLAN. Tak że podejrzymy, jakie to zmiany. Tak jak wspominałem, do interfejsu został dodany VLAN o nazwie NAP-CLIENTS-LAB,
w interfejsach zostało przypisane do tej nazwy ID 234, został utworzony profil sieci bezprzewodowej NAP-LAB-PSK_ssid_prof z hasłem do podłączenia
sieci Wi-Fi i szyfrowaniem wpa3-sae-aes. Tutaj jeszcze mamy kolejne ustawienie dotyczące WLAN-u, jest to właśnie utworzenie tej sieci, przypisanie VLAN-u dla tego konkretnego WLAN-u i przypisanie wirtualnego AP, a dokładnie ten parametr dotyczy dodania do AP grupy LAB sieci NAP-LAB-PSK.

W menu Authentication > L2 Authentication > Wireless LAN > 802.1X Authentication Profile został utworzony profil NAP-LAB-PSK-dot1_aut. W zakładce System > Profiles > Wireless LAN > 802.1X Authentication Profile został również utworzony profil. W zakładce Authentication > AAA Profiles > Wireless LAN. AAA Profile został utworzony profil AAA dla tej sieci, który przypisze dla podłączonego urządzenia rolę Authenticated, która właśnie pozwoli na dostęp do sieci. W System > Profiles > Wireless LAN > Virtual AP Profile jest utworzony profil o nazwie NAP-LAB-PSK, jest przypisany profil SSID z dopiskiem ssid_prof, został powiązany, utworzony automatycznie profil AAA i w zakładce General, następnie VLAN został przypisany VLAN NAP-CLIENTS-LAB. Do tego AP grupa LAB, system Profiles, nazwa profilu LAB
i wirtualny AP NAP-LAB-PSK, czyli z tą nazwą sieci i będzie wykonane zadanie provisioningu dla Campusa LAB. Gdy wszystko się zgadza, a tak jest, naciskamy Deploy changes. I close. Po chwili pojawi się utworzona przed chwilą sieć Wi-Fi. W przypadku systemu Linux jest taki problem, że on nie rozpozna niestety, że jest to sieć WPA3, trzeba będzie to zadeklarować.Może to być związane albo bezpośrednio z systemem albo z przypisaną kartą sieciową. Podajemy tutaj hasło. Ten komunikat nie dotyczy tej sieci, tylko sieci przewodowej
podłączonej do wirtualnej maszyny. Po chwili okaże się, że nie nastąpi połączenie.

Właśnie z tego względu, że karta sieciowa wspiera standard WPA2. Dlatego
naciskamy Anuluj. W przypadku systemu Linux przechodzimy do zakładki Zabezpieczenia i jawnie deklarujemy, że chcemy się połączyć albo przez WPA,
albo przez WPA2 Personal. Tutaj podajemy hasło sieci i można się ponownie połączyć. Dlatego mimo tego, że sieć domyślnie rozgłasza WPA3, ale jest też zgodne z WPA2, uda się połączyć z tą siecią. Był komunikat Połączono z WPA2 PSK. Tutaj mamy podgląd w statusie połączenia. Zabezpieczenie WPA2. Teraz wykonamy test działania sieci. W tym celu wyłączę dodatkową kartę sieciową i zostawię tylko jedną bezprzewodową. Jak widać, ping do Facebooka idzie. Czyli internet działa. Niestety traceroute nie jest zainstalowany. Ale uda się go zainstalować, co jest kolejnym potwierdzeniem działania internetu. Tutaj trace do Facebooka. Tym traceroute’m planowałem udowodnić, że pakiety przechodzą właśnie przez Access Pointa, potem kontrolera, ale niestety pierwsza i druga odpowiedź została odrzucona.

Teraz jeszcze dodatkowo pokażę podłączone urządzenie w widoku Mobility Conductora. To jest urządzenie, które się podłączyło przez Wi-Fi, czyli ta maszyna wirtualna. Jeśli oglądałeś wszystkie odcinki dotyczące konfiguracji
środowiska laboratoryjnego, możesz zauważyć, że ta konfiguracja była najprostszą z możliwych.

W następnym odcinku pokażę, jak skonfigurować sieć pracowniczą i sieć gościnną z Captive portalem. Do następnego razu.