使用轉換模式配置增強型開放式SSID - OWE

下載選項

PDF (1.8 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (1.3 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (1.3 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2023 年 6 月 26 日

文件 ID:217737

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹如何在Catalyst 9800無線LAN控制器(9800 WLC)上配置帶轉換模式的增強型Open並對其進行故障排除。

必要條件

需求

思科建議您瞭解以下主題：

思科無線 LAN 控制器 (WLC) 9800.
支援 Wi-Fi 6E 的思科存取點 (AP)
IEEE 標準 802.11ax
Wireshark.

採用元件

本文中的資訊係根據以下軟體和硬體版本：

採用IOS® XE 17.9.3的WLC 9800-CL。
存取點C9130、C9136、CW9162、CW9164和CW9166。
Wi-Fi 6使用者端：
- IOS 16上的iPhone SE3gen
- Mac OS 12上的MacBook。
Wi-Fi 6E 用戶端：
- Lenovo X1 Carbon Gen11 搭載 Intel AX211 Wi-Fi 6 和 6E 介面卡，並搭配 22.200.2(1) 版驅動程式
- Netgear A8000 Wi-Fi 6 和 6E 介面卡搭配驅動程式 v1(0.0.108)
- 搭載 Android 13 的手機 Pixel 6a
- 搭載 Android 13 的手機 Samsung S23

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

增強開放是WiFi聯盟提供的認證，是WPA3無線安全標準的一部分。與公共PSK無線網路相比，它在開放式（未經身份驗證）網路上使用機會無線加密(OWE)來防止被動嗅探和防止簡單攻擊。

使用增強型開放時，客戶端和WLC（在集中身份驗證的情況下）或AP（在FlexConnect本地身份驗證的情況下）在關聯過程中執行Diffie-Hellman金鑰交換，並透過四向握手使用成對主金鑰金鑰(PMK)。

欠款

機會無線加密(OWE)是IEEE 802.11的擴展，提供無線介質的加密(IETF RFC 8110)。基於OWE的身份驗證的目的是避免AP和客戶端之間的開放非安全無線連線。OWE使用基於Diffie-Hellman演算法的加密來設定無線加密。使用OWE時，客戶端和AP在訪問過程中執行Diffie-Hellman金鑰交換，並使用生成的成對主金鑰(PMK)金鑰和4次握手。使用OWE可增強部署基於開放或共用PSK的網路的無線網路的安全性。

OWE幀交換

轉換模式

通常企業網路只有一個未加密的訪客SSID，並且希望讓不支援增強開放式的舊客戶端與支援增強開放式的較新客戶端共存。特別針對此情況引入了轉換模式。

這需要配置兩個SSID -一個隱藏SSID以支援OWE，另一個為開放並廣播的SSID。

機會性無線加密(OWE)轉換模式使OWE和非OWE STA能夠同時連線到同一個SSID。當所有OWE STA在OWE轉換模式中看到SSID時，它們與OWE連線。

開放式WLAN和OWE WLAN都會傳輸信標幀。來自OWE WLAN的信標和探測響應幀包括Wi-Fi Alliance供應商IE，用於封裝開放WLAN的BSSID和SSID，同樣地，開放WLAN也包括OWE WLAN。

OWE STA應只向可用網路清單中的使用者顯示在OWE轉換模式下運行的OWE AP的開放BSS的SSID，並抑制該OWE AP的OWE BSS SSID的顯示。

準則和限制：

增強型開放需要僅WPA3策略。Cisco Wave 1(基於Cisco IOS®)的AP不支援WPA3。
受保護管理幀(PMF)必須設定為「必需」。此設定預設為僅使用WPA3第2層保全性。
增強型Open只適用於運行支援Enhanced Open的較新版本的最終客戶端。

設定

管理員要配置Enhanced Open但仍允許較舊客戶端連線到訪客SSID的典型使用案例。

網路圖表

網路拓撲

GUI的配置步驟：

建立第一個SSID，在此稱為「OWE_Transition」。在本例中，WLAN ID 3被隱藏，同時停用「Broadcast SSID」選項：

第1步選擇Configuration > Tags & Profiles > WLANs以打開WLAN頁。

第2步點選Add，增加新的WLAN >增加WLAN名稱「OWE_Transition」>將Status更改為Enable >確保Broadcast SSID處於Disabled。

OWE轉換增強型開放式SSID隱藏

第3步選擇Security > Layer 2頁籤> Select WPA3。

第4步將Protected Management Frame (PMF)設定為Required。

WPA Parameters >檢查WPA3策略下的第5步。選擇AES(CCMP128) Encryption和OWE Auth Key Management。

第6步將WLAN ID 4（開放式WLAN）增加到「Transition Mode WLAN ID」框中。

第7步點選Apply to Device。

OWE轉換模式- OWE SSID

建立第二個SSID，在本示例中將其稱為「open」，WLAN ID 4，並確保啟用「Broadcast SSID」：

第1步選擇Configuration > Tags & Profiles > WLANs以打開WLAN頁。

第2步點選Add增加新的WLAN > add WLAN name "open" > change Status to Enable >確保Broadcast SSID處於Enabled狀態。

OWE轉換開放式SSID

第3步選擇Security > Layer 2頁籤>選擇None。

第4步將WLAN ID 4 (OWE_Transition)增加到「Transition Mode WLAN ID」框。

第5步點選Apply to Device。

OWE轉換模式開放式WLAN安全性

注意：如果之前打開的WLAN使用與OWE WLAN相同的SSID，Windows客戶端將在SSID名稱後增加「2」。要解決此問題，請導航到「網路和網際網路> Wi-Fi >管理已知網路」並刪除舊連線。

此擷取畫面會顯示最終結果：一個無線區域網路受到保護，而且已針對名為「OWE_Transition」的WPA3+OWE+WPA3進行設定，而另一個則是名為「open」的完全開放式SSID。只有名為「open」的完全開放的SSID會在信標中廣播其SSID，而「OWE_Transition」會隱藏。

OWE轉換模式WLAN

第6步將建立的WLAN對映到所需的策略配置檔案到策略標籤中，然後將其應用於AP。

策略標籤

為CLI配置：

增強型開放式SSID：

Device# conf t
Device(config)# wlan OWE_Transition 3 OWE_Transition
Device(config)# no broadcast-ssid
Device(config)# no security ft adaptive
Device(config)# no security wpa wpa2
Device(config)# no security wpa akm dot1x
Device(config)# security wpa akm owe
Device(config)# security wpa transition-mode-wlan-id 4
Device(config)# security wpa wpa3
Device(config)# security pmf mandatory
Device(config)# no shutdown

開放式SSID：

Device# conf t
Device(config)# wlan open 4 open
Device(config)# no security ft adaptive
Device(config)# no security wpa
Device(config)# no security wpa wpa2
Device(config)# no security wpa wpa2 ciphers aes
Device(config)# no security wpa akm dot1x
Device(config)# security wpa transition-mode-wlan-id 3
Device(config)# no shutdown

策略配置檔案：

Device(config)# wireless tag policy Wifi6E_TestPolicy
Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile

驗證

這是驗證部分。

在CLI上驗證WLAN配置：

Device#show wlan id 3
WLAN Profile Name : OWE_Transition
================================================
Identifier : 3
Description : 
Network Name (SSID) : OWE_Transition
Status : Enabled
Broadcast SSID : Disabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : Disabled
WPA2 (RSN IE) : Disabled
WPA3 (WPA3 IE) : Enabled
AES Cipher : Enabled
CCMP256 Cipher : Disabled
GCMP128 Cipher : Disabled
GCMP256 Cipher : Disabled
Auth Key Management
802.1x : Disabled
PSK : Disabled
CCKM : Disabled
FT dot1x : Disabled
FT PSK : Disabled
FT SAE : Disabled
Dot1x-SHA256 : Disabled
PSK-SHA256 : Disabled
SAE : Disabled
OWE : Enabled
SUITEB-1X : Disabled
SUITEB192-1X : Disabled
SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
Transition Disable : Disabled
CCKM TSF Tolerance (msecs) : 1000
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 4
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Required
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
#show wlan id 4
WLAN Profile Name : open
================================================
Identifier : 4
Description : 
Network Name (SSID) : open
Status : Enabled
Broadcast SSID : Enabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 3
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]

在WLC中，您可以轉到AP配置並驗證兩個WLAN在AP上是否都處於活動狀態：

OWE轉換模式AP運行配置檢視器

啟用時，AP僅具有開放式SSID，但帶有OWE轉換模式資訊元素(IE)的信標。當具有增強開放功能的客戶端連線到此SSID時，它會自動使用OWE來加密所有關聯後的流量。

以下是您可以透過空中觀察(OTA)的內容：

OWE轉換開放式SSID信標

SSID為「open」的信標傳送包含OWE轉換模式IE，其中具有增強的開放SSID詳細資訊，如BSSID和SSID名稱「OWE_Transition」。

也有隱藏SSID的信標OTA，如果按bssid過濾，幀將傳送到BSSID 00：df：1d：dd：7d：3e，這是OWE轉換模式IE內部的BSSID：

OWE信標

您可以看到，OWE隱藏信標還包含帶有開放式ssid BSSID和SSID名稱「開放」的OWE轉換模式IE。

這些螢幕截圖顯示支援增強開放的Android電話：它只顯示開放的SSID沒有鎖定圖示（鎖定圖示會使使用者認為它需要密碼才能連線），但一旦連線後，安全顯示使用增強開放安全性。

OWE SSID清單 OWE SSID listOWE使用者端與增強型開放支援

在空中，我們可以看到完整的連線順序：

OWE轉換完全連線

在偵聽信標後，客戶端會探查OWE SSID並且AP會做出響應。

然後發生正常OWE幀交換：身份驗證請求和響應、包含DH IE的關聯請求和響應，然後發生EAPOL四向握手。

在WLC上，您可以驗證客戶端連線。支援OWE的客戶端可以連線到增強型開放WLAN，在本例中為WLAN ID 3：

Device#show wireless client mac-address 286b.3598.580f detail

Client MAC Address : 286b.3598.580f
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 3
WLAN Profile Name: OWE_Transition
Wireless LAN Network Name (SSID): OWE_Transition
BSSID : 00df.1ddd.7d3e
Connected For : 682 seconds 
Protocol : 802.11ax - 5 GHz
Channel : 64
Client IIF-ID : 0xa0000003
Association Id : 2
Authentication Algorithm : Open System
Idle state timeout : N/A
[...]
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable

而且我們可在WLC GUI中看到相同情況：

OWE轉換客戶端詳細資訊

OWE轉換使用者端安全性

對於不支援Enhanced Open的客戶端，它們只能看到並連線到開放的SSID，而不進行加密。

如圖所示，這些客戶端不支援增強型開放式（分別是IOS 15上的iPhone和Mac OS 12上的MacBook），並且只能看到開放的訪客SSID並且不使用加密。

不支援OWE的裝置不支援 Mac OS 12上的Macbook不支援Enhanced Open OWEFigure 4的裝置：Mac OS 12上的MacBook不支援增強型開放

以下是另一個不支援OWE的USB無線介面卡範例：

不支援Enhanced Open的使用者端

客戶端不支援OWE可以連線到開放無線區域網，在本例中它是WLAN ID 4：

#show wireless client mac-address b44b.d623.a199 detail

Client MAC Address : b44b.d623.a199
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 4
WLAN Profile Name: open
Wireless LAN Network Name (SSID): open
BSSID : 00df.1ddd.7d3f
[...]
Authentication Algorithm : Open System
[...]
Protected Management Frame - 802.11w : No
EAP Type : Not Applicable

疑難排解

確保客戶端支援OWE，因為並非所有客戶端都支援OWE。檢視客戶端供應商文檔，例如Apple在此處記錄了對其裝置的支援。
由於存在OWE轉換模式IE，某些較舊的客戶端甚至可能不接受開放的ssid信標，並且在範圍內的網路中不存在SSID。如果您的使用者端看不到Open SSID，請從WLAN組態中移除Transition VLAN （設為0），然後檢查它是否看見WLAN。
如果客戶端看到開放的SSID，支援OWE，但是它們仍然連線而不使用WPA3，則驗證過渡VLAN ID是否正確並且是否在兩個WLAN的信標中廣播。您可以在嗅探器模式下使用AP捕獲OTA流量。請執行以下步驟在嗅探器模式下配置AP：在嗅探器模式下配置AP的Catalyst 91xx。
- 傳送信標時，SSID為「open」，其中包含OWE轉換模式IE和內部具有增強型開放SSID詳細資訊，如BSSID和SSID名稱「OWE_Transition」：OWE轉換開放SSID信標
- 也有隱藏SSID的信標OTA，如果按bssid過濾，幀將傳送到BSSID 00：df：1d：dd：7d：3e，這是OWE轉換模式IE內部的BSSID：
  
  OWE信標
  
  您可以看到，OWE隱藏信標還包含帶有開放式ssid BSSID和SSID名稱「開放」的OWE轉換模式IE。
- 您還可以檢視AKM資訊並驗證MFP是否已通告為「必需」和「可用」：
- OWE信標AKM
根據客戶端MAC地址收集RadioActive跟蹤，您會看到如下所示的類似日誌：

2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

參考資料

什麼是 Wi-Fi 6E？

什麼是 Wi-Fi 6 與 Wi-Fi 6E？

Wi-Fi 6E 概覽

Wi-Fi 6E：Wi-Fi 白皮書重要新篇章

Cisco Catalyst 9800 系列無線控制器軟體設定指南 17.9.x

WPA3 部署指南