返回目录页面

设置配置式安全性

使用英特尔(R) PROSet/无线软件
个人安全性
个人安全性设置
设置数据加密和验证

企业安全性
企业安全性设置

网络验证

802.1X 验证类型

使用英特尔(R) PROSet/无线软件

以下章节描述如何使用“英特尔(R) PROSet/无线”为无线适配器设置所要求的安全性设置。参阅个人安全性

本节还提供如何为无线适配器配置高级安全设置的信息。这要求从系统管理员(公司环境)取得信息,或接入点(家庭用户)的高级安全设置信息。参阅企业安全性

有关安全性设置的一般信息,参阅安全性概述

个人安全性

如果您是家庭或小型商业用户,而且会使用不同的简单安全性措施来保护您的无线连接,则使用“个人安全性”从列表中选择不需要对您的无线网络进行大量基础架构设置的安全性设置。不要求有 RADIUSAAA 服务器。

安全性设置

个人安全性设置说明

名称 设置

个人安全性

选择以打开“个人安全性”设置。可用的安全性设置取决于在创建无线配置式安全性设置中选择的“操作模式”。

设备到设备 (ad hoc):在设备到设备模式(又称为 Ad Hoc 模式)中,无线计算机直接发送信息到其他无线计算机。您可使用 ad hoc 模式将家庭或小型办公室中的计算机联网,或者设置临时无线网络举行会议。

注意:“设备到设备” (ad hoc) 网络在“无线网络和配置式列表”中以笔记本电脑图像 (笔记本电脑) 表示。

网络(基础架构):基础架构网络由一个或多个接入点及一台或多台安装了无线适配器的计算机组成。至少一个接入点应该也有有线连接。对家庭用户来说,这通常是一个宽带或电缆网络。

注意:基础架构网络在“无线网络和配置式”列表中以接入点图像 (接入点) 表示。

安全性设置

如果您在配置一个设备到设备 (ad hoc) 配置式,从以下数据加密设置中选择一项:

如果您在配置一个网络(基础架构)配置式,选择:

高级

 单击以访问高级设置并配置以下选项:
  • 自动连接:选择自动或手动与一个配置式连接。
  • 自动导入:网络管理员可以将配置式导出到另一台计算机。
  • 强制接入点:选中以使无线适配器与特定接入点关联。
  • 密码保护:选择保护配置式的密码。
  • 启动应用程序:指定要在建立无线连接时启动的程序。
  • 保持连接:选择以在用户注销之后保持与用户配置式的无线连接。
  • 用户名格式:选择验证服务器的用户名格式。
  • PLC 域检查:在用户登录过程结束之前选择以确认域服务器的存在。如果没有发现服务器,登录可能会延迟一分钟左右。

上一步

查看“配置式向导”中的前一页。

确定

关闭“配置式向导”并保存配置式。

取消

关闭配置式向导并取消任何所作更改。

帮助?

提供当前页面的帮助信息。

设定数据加密和验证

在家庭无线网络中,您可以使用不同的简单安全性措施来保护您的无线连接。这些措施包括:

Wi-Fi 保护性接入(WPA)加密提供网络上对数据的保护。WPA 使用一种称为预配置共享密钥 (PSK) 的加密密钥在数据传输之前对其加密。在您的家庭或小商业网络上的所有计算机和接入点上输入相同的密码。只有使用相同加密密钥的设备才能访问该网络或解密其他计算机传输的加密数据。该密码自动初始化用于数据加密过程的“时间性密钥完整性协议”(TKIP) 或 AES-CCMP 协议。

网络密钥

WEP 加密提供两个层次的安全性:

为提高安全性,使用 128 位密钥。如果使用加密,无线网络上的所有无线设备必须使用相同的加密密钥。

您可以自己创建密钥,并指定密钥的长度(64 位或 128 位)和密钥索引(存储某个特定密钥的位置)。密钥长度越长,该密钥就越安全。

密钥长度:64 位

口令短语(64 位):输入 5 个字母数字字符:0-9、a-z 或 A-Z。
十六进制(64 位):输入 10 个十六进制字符:0-9、A-F。

密钥长度:128 位

口令短语(128 位):输入 13 个字母数字字符:0-9、a-z 或 A-Z。
十六进制(128 位):输入 26 个十六进制字符:0-9、A-F。

在 WEP 数据加密中,无线站最多可配置四个密钥(密钥索引值 1、2、3 和 4)。当一个接入点或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时,被传输的消息指明用来加密消息正文的密钥索引。接收的接入点或无线站就可检索储存在该密钥索引中的密钥,并用它来解码加密的消息正文。

设置客户端采用开放验证和不采用数据加密(无)

在英特尔(R) PROSet/无线主页面,选择以下方法之一以连接到基础架构网络:

如果不要求验证,则网络会连接而不提示要求输入登录身份验证。任何具有正确的网络名称 (SSID) 的无线设备都能与网络上的其他设备连接。

警告:不采用验证或加密的网络极易被未经授权的用户访问。

要创建无加密的无线网络配置式:

  1. 从英特尔(R) PROSet/无线主窗口,单击配置式
  2. 在“配置式”列表,单击添加以打开无线配置式一般设置
  3. 配置式名称:输入描述性的配置式名称。
  4. 无线网络名称(SSID):输入您的无线网络名称。
  5. 操作模式:单击设备到设备 (ad hoc)
  6. 单击下一步以打开安全性设置
  7. 个人安全性为默认选中。
  8. 安全性设置:默认设置是,这表明在该无线网络上没有安全性。
  9. 单击确定。配置式被添加到“配置式”列表并连接到无线网络。

设置客户端采用 WEP 64 位 或 WEP 128 位数据加密

当 WEP 数据加密启用时,将使用网络密钥或密码来加密。

网络密钥自动提供(例如,可能由您的无线网络适配器生产商提供),或者您可自行输入并指定密钥长度(64 位或 128 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(特定密钥的储存位置)。密钥长度越长,该密钥就越安全。

要向一个设备到设备 (ad hoc) 网络连接添加网络密钥:

  1. 在“英特尔(R) PROSet/无线”主窗口,双击“无线网络”列表中的一个“设备到设备”(ad hoc) 网络,或选择该网络,并单击连接
  2. 单击配置式以访问配置式列表。
  3. 单击属性打开无线配置式一般设置。配置式名称和无线网络名称 (SSID) 出现。应将设备到设备 (ad hoc) 选作“操作模式”。
  4. 单击下一步以打开安全性设置
  5. 个人安全性为默认选中。
  6. 安全性设置:默认设置是,这表明在该无线网络上没有安全性。

要添加密码或网络密钥:

  1. 安全性设置:选择 WEP 64 位WEP 128 位以 64 位或 128 位密钥来配置 WEP 数据加密。

    2. 接入点启用了 WEP 加密时,将使用 WEP 密钥来验证对网络的访问。如果无线设备没有正确的 WEP 密钥,即使验证成功,该设备仍然不能通过该接入点传输数据,也不能解密从该接入点接收的数据。

名称 说明

密码

输入无线安全性密码(口令短语)或加密密钥 (WEP key)。

口令短语(64 位)

输入 5 个字母数字字符:0-9、a-z 或 A-Z。

WEP 密钥(64 位)

输入 10 个十六进制字符:0-9、A-F。

口令短语(128 位)

输入 13 个字母数字字符:0-9、a-z 或 A-Z。

WEP 密钥(128 位)

输入 26 个十六进制字符:0-9、A-F。
  1. 密钥索引:更改密钥索引以设置多达 4 个密码。
  2. 单击确定返回到配置式列表。

要添加一个以上的密码:

  1. 选择密钥索引号码:1、2、34
  2. 输入无线安全性密码。
  3. 选择另一个密钥索引号码。
  4. 输入另一个无线安全性密码。

设置客户端采用“WPA*-个人”(TKIP) 或“WPA2*-个人”(TKIP) 安全性设置

WPA* 个人模式要求在接入点和客户端上手动配置一个预配置共享密钥 (PSK)。此 PSK 在客户计算机和接入点上验证用户的密码或标识代码。不需要验证服务器。WPA 个人模式针对的是家庭和小型商业环境。

WPA2* 是第二代的 WPA 安全性,它为企业和消费无线用户提供了一种高层次的保证手段:它仅让被授权的用户访问无线网络。WPA2 通过对一些公司和政府部门来说必备的“高级加密标准” (AES) 提供了一种强劲的加密手段。

注意:要使 802.11n 连接上的传输速率高于 54 Mbps,必须选择 WPA2-AES 安全性。无安全性()可被选择以启用网络设置和故障诊断。

要以 WPA-个人网络验证和 TKIP 数据加密来配置一个配置式:

  1. 在英特尔(R) PROSet/无线 主窗口,双击“无线网络列表”中的一个基础架构网络,或选择该网络并单击连接
  2. 单击配置式以访问配置式列表。
  3. 单击属性打开无线配置式一般设置。配置式名称和无线网络名称 (SSID) 出现。应将网络(基础架构)选作“操作模式”。
  4. 单击下一步以打开安全性设置
  5. 选择个人安全性
  6. 安全性设置:选择 WPA-个人 (TKIP) 为小型商业网络或家庭环境提供安全性。使用一个称为预配置共享密钥 (PSK) 的密码。此密码越长,无线网络的安全性越强。

如果无线接入点或路由器支持“WPA2-个人”,则应当在接入点予以启用并提供一个长而强的密码。此密码越长,无线网络的安全性越强。在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码。

注意:“WPA-个人”和“WPA2-个人”可以协调操作。

  1. 无线安全性密码(加密密钥):输入一个带有 8 到 63 个字符的文本短语。验证网络密钥与无线接入点中的密码相匹配。
  2. 单击确定返回到配置式列表。

设置客户端采用 WPA*-个人 (AES-CCMP) 或 WPA2-个人 (AES-CCMP) 安全性设置

Wi-Fi 保护性接入 (WPA*) 是一种增强安全性,大大提高无线网络的数据保护和接入控制级别。WPA 执行 802.1X 验证和密钥交换,只适用于动态加密密钥。对家庭用户或小型商业来说,WPA-个人使用“高级加密标准 - Counter CBC-MAC Protocol” (AES-CCMP) 或“时间性密钥完整性协议”(TKIP)。

注意:对 Intel(R) Wireless WiFi Link 4965AGN 适配器,要使其在 802.11n 连接上的传输速率高于 54 Mbps,必须选择 WPA2-AES 安全性。无安全性()可被选择以启用网络设置和故障诊断。

要以 WPA2*-个人网络验证和 AES-CCMP 数据加密来创建一个配置式:

  1. 在英特尔(R) PROSet/无线 主窗口,从“无线网络列表”双击一个基础架构网络,或选择该网络并单击连接
  2. 在被传输时,配置式名称和无线网络名称 (SSID) 会显示在一般设置屏幕上。应将网络(基础架构)选作“操作模式”。单击下一步以打开安全性设置
  3. 选择个人安全性
  4. 安全性设置:选择 WPA2-个人 (AES-CCMP) 在小型网络或家庭环境中提供此种级别的安全性。它使用一个密码,也称为预配置共享密钥 (PSK)。此密码越长,无线网络的安全性越强。

AES-CCMP(高级加密标准 - Counter CBC-MAC Protocol)是由 IEEE 802.11i 标准制订的无线传输隐私保护的更新的方法。AES-CCMP 提供了比 TKIP 更强有力的加密方法。如果强有力的数据保护至为紧要,请选用 AES-CCMP 加密方法。

如果无线接入点或路由器支持“WPA2-个人”,则应当在接入点予以启用并提供一个长而强的密码。在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码。

注意:“WPA-个人”和“WPA2-个人”可以协调操作。

有些安全性解决方案可能不受您的计算机操作系统的支持。您可能需要额外软件或硬件,以及无线 LAN 基础架构的支持。联系您的计算机制造商以了解详细信息。

  1. 口令:无线安全性密码(加密密钥):输入一个文本短语(其长度为 8 到 63 个字符)。验证该网络密钥与无线接入点密钥相匹配。
  2. 单击确定返回到配置式列表。

企业安全性

从“安全性设置”页面,可输入选定的无线网络所要求的安全性设置。

如果您的网络环境要求 802.1X 验证,使用“企业安全性”。

企业安全性设置

“企业安全性设置”说明

名称 设置
企业安全性

选择以打开“企业安全性”设置。
网络验证

选择下列份验证方法之一:
数据加密

单击以打开以下数据加密类型:
启用 802.1X 单击以打开以下 802.1X 验证类型:
Cisco 选项 单击以查看Cisco 兼容性扩展

注意:对 CKIP 和 LEAP 配置式,Cisco 兼容性扩展自动启用。
高级 选择以访问高级设置来配置以下选项:
  • 自动连接:选择自动或手动与一个配置式连接。
  • 自动导入:网络管理员可以将配置式导出到另一台计算机。
  • 强制接入点:选中以使无线适配器与特定接入点关联。
  • 密码保护:选择保护配置式的密码。
  • 启动应用程序:指定要在建立无线连接时启动的程序。
  • 保持连接:选择以在用户注销之后保持与用户配置式的无线连接。
用户身份凭证

配置采用 TTLS、PEAP 或 EAP-FAST 验证的配置式要求以下登录验证方法之一:

使用 Windows 登录:802.1x 凭证与 Windows 用户名和密码匹配。连接之前,提示您输入 Windows 登录凭证。

注意:对 LEAP 配置式,此选项列为使用 Windows 登录用户名和密码

我每次连接时提示:每次登录到无线网络时提示用户名和密码。

注意:对 LEAP 配置式,此选项列为提示用户名和密码

使用以下:使用保存的身份凭证登录到网络。

  • 用户名:用户名必须与在客户端验证之前由管理员在验证服务器上设定的用户名匹配。用户名区分大小写。此名称指定由在 TLS 隧道中运行的身份验证协议提供给验证者的身份。这个身份只有在加密的隧道建立之后才传输给服务器。
  • :验证服务器上的域的名称。服务器名标识一个域或其中一个子域(例如 zeelans.com,而服务器是 blueberry.zeelans.com)。
  • 密码:指定用户密码。密码字符以星号显示。此密码必须与在验证服务器上设定的密码匹配。
  • 确认密码:重新输入用户密码。

注意:与管理员联系获得域名。

注意:对 LEAP 配置式,此选项列为使用以下用户名和密码
服务器选项

选择下列用户身份凭证检索方法之一:

验证服务器证书:选择以确认服务器证书。

证书颁发者:在 TLS 消息交换过程中接收的服务器证书必须由这个证书权威 (CA) 颁发。信任的中级认证授权和根颁发机构(它们的证书存在于系统存储中)可供选取。如果选中任何信任的 CA,则列表中的任何 CA 都可接受。单击任何信任的 CA作为默认值,或者从列表中选择一个证书颁发者。

指定服务器或证书名称:输入服务器名称。

服务器名称或服务器所属的域。取决于在下列选项中选了哪一个。

  • 服务器名称必须与指定条目完全匹配:选中时,服务器名称必须与证书上的服务器名称完全相符。服务器名称应当包括完整域名(例如,Servername.Domain name)。
  • 域名必须以指定条目结尾:选中时,服务器名称字段必须标识一个域,而且证书必须具有隶属于该域或其一个子域的一个服务器的名称(例如:zeelans.com,其中,服务器是 blueberry.zeelans.com)。

注意:这些参数必须从管理员处获得。
证书选项 要获取 TLS 验证的证书,选择以下之一:

使用我的智能卡:如果证书驻留于智能卡上,选择此项。

使用对此计算机颁发的证书:选择一个驻留在计算机存储中的证书。

使用此计算机上的用户证书:单击选择以选择驻留在此计算机上的证书。

注意:“英特尔(R) PROSet/无线”支持计算机证书。但是它们不在证书列表中显示。

关于证书的说明:指定的身份应当与证书中的颁发给身份匹配,而且应当在验证方所使用的验证服务器(例如 RADIUS 服务器)上注册。您的证书必须对验证服务器有效。这一要求取决于验证服务器,一般意味着验证服务器必须知道您的证书的颁发者是一个“证书颁发机构”。使用与安装证书时登录所用的相同的用户密码。
上一步 查看“创建无线配置式向导”中的前一页。
下一步 查看“创建无线配置式向导”中的下一页。如果要求更多安全性信息,下一步安全性页面显示。
确定 关闭“创建无线配置式向导”并保存配置式。
取消 关闭“创建无线配置式向导”并取消所作的任何更改。
帮助? 提供当前页面的帮助信息。

配置基础设施网络

基础架构网络由一个或多个接入点及一台或多台安装了无线适配器的计算机组成。各个接入点必须有一个和无线网络的有线连接。

设置客户端采用“开发”或“共享网络验证”

使用共享密钥验证时,假定每个无线站都已通过一个独立于 802.11 无线网络通讯频道的安全频道接收到了一个秘密共享密钥。共享密钥验证要求客户端配置一个静态 WEP 或 CKIP 密钥。只有当客户端通过了基于挑战的验证后,才允许其接入。CKIP 提供比 WEP 更强的数据加密,但是并非所有操作系统和接入点都支持它。

注意:尽管共享密钥看上去似乎是达到较高级别安全性的更佳选项,但是将挑战字符串以纯文本形式传输到客户端造成了一个已知的弱点。如果有入侵者发现此挑战字符串,则共享验证密钥能更容易地被反向工程处理。因此,尽管难以置信,开放验证事实上是更安全。要创建共享验证配置式:

  1. 从英特尔(R) PROSet/无线主窗口,单击配置式。或者,如果您作为管理员,打开管理员工具
  2. 在“配置式”页面,单击添加以打开“创建无线配置式”的“一般设置”。
  3. 配置式名称:输入描述性的配置式名称。
  4. 无线网络名称(SSID):输入网络标识符。
  5. 操作模式:单击网络(基础架构)
  6. 管理员配置式类型:选择持续登录前/常用。(只有使用“管理员工具”时此步骤才适用。)
  7. 单击下一步以打开安全性设置
  8. 单击企业安全性
  9. 网络验证:选择共享。“共享”验证通过一个预先配置的 WEP 密钥来实现。
  10. 数据加密:选择WEP(64 或 128 位)或 CKIP(64 或 128 位)
  11. 启用 802.1X:禁用。
  12. 加密等级64 位或 128 位:当在 64 位和 128 位加密之间切换时,以前的设置将被擦除,必须输入新密钥。
  13. 无线安全性密码(加密密钥):输入无线网络安全性密码(WEP 加密密钥)。此密码的值与无线 AP 或路由器使用的相同。请与管理员联系取得此密码。
名称 说明
密码

输入无线安全性密码(口令短语)或加密密钥 (WEP key)。
口令短语(64 位)

输入 5 个字母数字字符:0-9、a-z 或 A-Z。
WEP 密钥(64 位)

输入 10 个十六进制字符:0-9、A-F。
口令短语(128 位)

输入 13 个字母数字字符:0-9、a-z 或 A-Z。
WEP 密钥(128 位)

输入 26 个十六进制字符:0-9、A-F。
  1. 密钥索引:选择 1234。更改密钥索引以指定多达 4 个密码。
  2. 单击确定

设置客户端采用“WPA*-企业”或“WPA2*-企业”网络验证

“WPA2 企业”要求验证服务器。

注意:“WPA-企业”和“WPA2-企业”可以协调操作。

要添加采用“WPA-企业”或“WPA2-企业”验证的配置式:

  1. 从系统管理员取得在 RADIUS 服务器上的用户名和密码。
  2. 某些验证类型要求获取并安装客户端证书。参阅设置客户端采用 TLS 验证,或询问管理员。
  3. 从英特尔(R) PROSet/无线主窗口,单击配置式。或者,如果您作为管理员,打开管理员工具
  4. 在“配置式”页面,单击添加以打开“创建无线配置式”的“一般设置”。
  5. 配置式名称:输入描述性的配置式名称。
  6. 无线网络名称(SSID):输入网络标识符。
  7. 操作模式:单击网络(基础架构)
  8. 管理员配置式类型:选择持续登录前/常用。(只有使用“管理员工具”时此步骤才适用。)
  9. 单击下一步
  10. 单击企业安全性
  11. 网络验证:选择 WPA-企业WPA2-企业
  12. 数据加密:选择以下一项:
  13. 启用 802.1X:选中。
  14. 验证类型:选择以下一项:EAP-SIMLEAPTLSTTLSPEAPEAP-FAST

设置客户端采用“EAP-SIM 网络验证”

EAP-SIM 使用动态的,基于会话的 WEP 密钥(由客户端适配器和 RADIUS 服务器衍生而来)为数据加密。EAP-SIM 要求你输入用户验证代码,或“个人识别号” (PIN),以便与“订购者身份模块”(SIM) 通讯。SIM 卡是一种特殊的智能卡,用于基于“移动通信全球系统”(GSM) 的数字式手机网络。要添加采用 EAP-SIM 验证的配置式:

  1. 从英特尔(R) PROSet/无线主窗口,单击配置式。或者,如果您作为管理员,打开管理员工具
  2. 在“配置式”页面,单击添加以打开“创建无线配置式”的“一般设置”。
  3. 配置式名称:输入配置式名称。
  4. 无线网络名称(SSID):输入网络标识符。
  5. 操作模式:单击网络(基础架构)
  6. 管理员配置式类型:选择登录前/常用。(只有使用“管理员工具”时此步骤才适用。EAP-SIM 不能用于持续配置式。)
  7. 单击下一步以打开安全性设置
  8. 单击企业安全性
  9. 网络验证:选择开放(建议采用)。
  10. 数据加密:选择 WEP
  11. 单击启用 802.1x
  12. 验证类型:选择 EAP-SIM。

EAP-SIM 验证可用于:

EAP-SIM 用户(可选)

  1. 指定用户名(身份):单击以指定用户名。
  2. 单击确定

设置客户端采用“TLS 网络验证”

这些设置定义用来验证用户的协议和凭证。“传输层安全性”(TLS) 验证是一种双向验证方法,这种方法仅使用数字证书来核实客户端和服务器的身份。

要添加采用 TLS 验证的配置式:

  1. 从英特尔(R) PROSet/无线主窗口,单击配置式。或者,如果您作为管理员,打开管理员工具
  2. 在“配置式”页面,单击添加以打开“创建无线配置式”的“一般设置”。
  3. 配置式名称:输入描述性的配置式名称。
  4. 无线网络名称(SSID):键入网络标识符。
  5. 操作模式:单击网络(基础架构)
  6. 管理员配置式类型:选择持续登录前/常用。(只有使用“管理员工具”时此步骤才适用。)
  7. 单击下一步以打开安全性设置
  8. 单击企业安全性
  9. 网络验证:选择 WPA-企业WPA2-企业
  10. 数据加密:选择 AES-CCMP(建议采用)。
  11. 启用 802.1X:选中。
  12. 验证类型:选择 TLS 供此次连接使用。

TLS 用户

步骤 1 / 2:TLS 用户

  1. 要获取并安装一份客户端证书,请参阅设置客户端采用 TLS 验证,或询问系统管理员。
  2. 选择下列选项之一以获取证书:使用我的智能卡使用对此计算机颁发的证书 使用此计算机上的一个用户证书
  3. 单击下一步以打开 TLS 服务器设置。

TLS 服务器

步骤 2 / 2:TLS 服务器

  1. 选择下列用户身份凭证检索方法之一: 验证服务器证书指定服务器或证书名称
  2. 单击确定。此配置式被添加到“配置式”列表。
  3. 单击位于“配置式”列表最后的新配置式。使用上下箭头更改新配置式的优先性。
  4. 单击连接连接到选定的无线网络。
  5. 单击确定以关闭英特尔(R) PROSet/无线。

设置客户端采用“TTLS 网络验证”

TTLS 验证:这些设置定义用来验证用户的协议和凭证。客户端使用 EAP-TLS 来证实服务器,并在客户端与服务器之间创建一个 TLS 加密的频道。客户端可以使用另一种验证协议,通常是基于密码的协议。挑战和相应数据包通过一条非暴露的 TLS 加密频道发送。下面的例子描述如何使用带 AES-CCMP 加密和 TTLS 验证的 WPA。

要设置客户端采用 TTLS 网络验证:

  1. 从英特尔(R) PROSet/无线主窗口,单击配置式。或者,如果您作为管理员,打开管理员工具
  2. 在“配置式”页面,单击添加以打开“创建无线配置式”的“一般设置”。
  3. 配置式名称:输入描述性的配置式名称。
  4. 无线网络名称(SSID):输入网络标识符。
  5. 操作模式:网路(基础架构)为默认选定。
  6. 管理员配置式类型:选择持续登录前/常用。(只有使用“管理员工具”时此步骤才适用。)
  7. 单击下一步以打开安全性设置
  8. 单击企业安全性
  9. 网络验证:选择 WPA-企业WPA2-企业(建议使用)。
  10. 数据加密:选择以下一项:
  11. 启用 802.1X:默认选定。
  12. 验证类型:选择 TTLS 供此次连接使用。

步骤 1 / 2:TTLS 用户

  1. 身份验证协议:此参数指定在 TTLS 隧道中运行的身份验证协议。协议有:PAP(默认)、CHAPMS-CHAPMS-CHAP-V2。参阅安全性概述获得更多信息。
  2. 用户身份凭证:对 PAP、CHAP、MS-CHAP 和 MS-CHAP-V2 协议,从这些验证方法中选择一个:使用 Windows 登录我每次连接时提示使用以下
  3. 漫游身份:可在此字段添入漫游身份,或者可以 %domain%\%username% 默认格式输入漫游身份。

将 802.1X Microsoft IAS RADIUS 用作验证服务器时,该服务器验证使用来自英特尔(R) PROSet/无线软件的漫游身份用户名来验证设备,而忽略身份验证协议 MS-CHAP-V2 用户名。Microsoft IAS RADIUS 只接受“漫游身份”的有效用户名(dotNet 用户)。“漫游身份”对其他所有验证服务器为可选。因此,建议将所要的领域(例如:anonymous@myrealm)作为“漫游身份”,而不使用真身份。

  1. 单击下一步以打开 TTLS 服务器设置。

步骤 2 / 2:TTLS 服务器

  1. 选择下列用户身份凭证检索方法之一: 验证服务器证书指定服务器或证书名称
  2. 单击确定保存设置并关闭页面。

设置客户端采用“PEAP 网络验证”

PEAP 验证:为将客户端验证到验证服务器,要求 PEAP 设置。客户端使用 EAP-TLS 来证实服务器,并在客户端与服务器之间创建一个 TLS 加密的频道。客户端可在这个加密的频道上使用另一种 EAP 机制(例如 Microsoft Challenge Authentication Protocol (MS-CHAP) 第 2 版)来启用服务器证实。挑战和相应数据包通过一条非暴露的 TLS 加密频道发送。下面的例子描述如何使用带 AES-CCMP 或 TKIP 加密和 PEAP 验证的 WPA。

要设置客户端采用 PEAP 验证:

获取并安装一份客户端证书。参阅设置客户端采用 TLS 验证,或询问管理员。

  1. 从英特尔(R) PROSet/无线主窗口,单击配置式。或者,如果您作为管理员,打开管理员工具
  2. 在“配置式”页面,单击添加以打开“创建无线配置式”的“一般设置”。
  3. 配置式名称:输入描述性的配置式名称。
  4. 无线网络名称(SSID):输入网络标识符。
  5. 操作模式:单击网络(基础架构)
  6. 管理员配置式类型:选择持续登录前/常用。(只有使用“管理员工具”时此步骤才适用。)
  7. 单击下一步以打开安全性设置
  8. 单击企业安全性
  9. 网络验证:选择 WPA-企业WPA2-企业
  10. 数据加密:选择以下一项:
  11. 启用 802.1X:选中。
  12. 验证类型:选择 PEAP 供此次连接使用。

步骤 1 / 2:PEAP 用户

PEAP 依赖“传输层安全性”(TLS) 允许未加密的验证类型,例如 EAP-通用令牌卡 (GTC) 和一次性密码 (OTP) 支持。

  1. 身份验证协议:选择 GTCMS-CHAP-V2(默认值)或 TLS。参阅身份验证协议。
  2. 用户身份凭证:选择以下一项:使用 Windows 登录我每次连接时提示使用以下
  3. 漫游身份:可在此字段添入漫游身份,或者可以 %domain%\%username% 默认格式输入漫游身份。

将 802.1X Microsoft IAS RADIUS 用作验证服务器时,该服务器验证使用来自英特尔(R) PROSet/无线软件的漫游身份用户名来验证设备,而忽略身份验证协议 MS-CHAP-V2 用户名。Microsoft IAS RADIUS 只接受“漫游身份”的有效用户名(dotNet 用户)。“漫游身份”对其他所有验证服务器为可选。因此,建议将所要的领域(例如:anonymous@myrealm)作为“漫游身份”,而不使用真身份。

配置“漫游身份”以支持多名用户

如果您使用要求将漫游身份基于 Windows 登录凭证上的登录前/常用配置式,则该配置式的创建者可以添加一个使用 %username% 和 %domain% 的漫游身份。该漫游身份将被解析,而合适的登录信息将取代关键字。这将为配置漫游身份提供最大程度的灵活性,并允许多个用户共享配置式。

请参阅验证服务器的用户指南,获得如何格式化合适漫游身份的指导。可能的格式如下:

如果“漫游身份”未选中,默认为 %domain%\%username%。

关于凭证的说明:用户名和域必须与在客户端验证之前由管理员在验证服务器上设定的用户名匹配。用户名区分大小写。此名称指定由在 TLS 隧道中运行的身份验证协议提供给验证者的身份。这个用户身份只有在加密的隧道已通过验证并建立之后才传输给服务器。

身份验证协议:此参数指定能在 TTLS 隧道中运行的身份验证协议。以下讲解如何配置使用 PEAP 的验证(使用

GTCMS-CHAP-V2(默认)或TLS验证协议。

通用令牌卡(GTC)

PEAP 用户

要配置一次性密码:

  1. 身份验证协议:选择 GTC(通用令牌卡)。
  2. 用户身份凭证:选择我每次连接时提示
  3. 连接时提示:选择以下一项:
名称 说明
静态密码 连接时,输入用户身份凭证。
一次性密码(OTP) 从硬件令牌设备获取密码。
PIN(软令牌) 从软令牌设备获取密码。
  1. 单击确定

注意:如果管理员清除了“管理员工具”中的“缓存身份验证”设置,则我每次连接时提示选项不可用。参阅管理员设置获得更多信息。

一次性密码

MS-CHAP-V2

此参数指定在 PEAP 隧道中运行的身份验证协议。

  1. 用户身份凭证:选择下列选项之一:使用 Windows 登录我每次连接时提示使用以下
  2. 单击下一步以打开 PEAP 服务器设置。

TLS

“传输层安全性”验证是一种双向验证方法,这种方法仅使用数字证书来核实客户端和服务器的身份。

  1. 要获取并安装一份客户端证书,请参阅设置客户端采用 TLS 验证,或询问系统管理员。
  2. 选择下列选项之一以获取证书:使用我的智能卡使用对此计算机颁发的证书使用此计算机上的一个用户证书
  3. 单击下一步以打开 PEAP 服务器设置。

步骤 2 / 2:PEAP 服务器

PEAP 服务器
  1. 选择下列用户身份凭证检索方法之一: 验证服务器证书指定服务器或证书名称
  2. 单击确定。此配置式被添加到“配置式”列表。
  3. 单击位于“配置式”列表最后的新配置式。使用上下箭头更改新配置式的优先性。
  4. 单击连接连接到选定的无线网络。

如果不选择安全性设置页面上的使用 Windows 登录,而且不配置用户身份凭证,则不会为此配置式保存任何凭证。请输入您的身份凭证以验证到网络。

  1. 单击确定以关闭英特尔(R) PROSet/无线。

PEAP-TLS 证书自动登记

如果要在 PEAP-TLS 证书被拒绝时发出警告,在应用程序设置中选择启用 TLS 证书被拒绝通知。当证书有一个字段的过期日期无效时,将通知您采取下列行动之一:检测到配置式 <配置式名称> 的验证可能有问题。也许关联证书的过期日期无效。选择下列选项之一

控件 说明
以现有参数继续。 继续使用当前证书。
手动更新证书。 “选择证书”页面打开,让您另选一份证书。
基于本地存储中的证书自动更新证书。 只有当本地存储拥有一份或多份证书,而这些证书的“颁发给”和“颁发者”字段与当前证书匹配,且“过期日期”尚未失效时,此选项才启用。如果选择此选项,应用程序选择第一份有效的证书。
注销以在登录过程中获取证书(这并不更新配置式,而且仅适用于配置为自动注册的证书)。 将用户注销,该用户在下次登录过程中必须获取正确的证书。配置式必须更新以选择新证书。
自动注册 通知您:系统正在试图自动获取证书,请稍候。单击取消以结束证书提取。
不要再显示此消息。 用户可在以后的会话中避免此步骤。会记住所选的项目,用于以后的会话。

设置客户端采用“LEAP 网络验证”

Cisco LEAP(轻量级可扩展验证协议)是一种 802.1X 验证类型,它支持客户端和 RADIUS 服务器之间的强劲验证。LEAP 配置式设置包括带有欺诈 AP 检测集成的 LEAP、CKIP。要设置客户端采用 LEAP 验证:

  1. 从英特尔(R) PROSet/无线主窗口,单击配置式。或者,如果您作为管理员,打开管理员工具
  2. 在“配置式”页面,单击添加。“创建无线配置式”的“一般设置”打开。
  3. 配置式名称:输入描述性的配置式名称。
  4. 无线网络名称(SSID):输入网络标识符。
  5. 操作模式:单击网络(基础架构)
  6. 管理员配置式类型:选择持续登录前/常用。(只有使用“管理员工具”时此步骤才适用。)
  7. 单击下一步以打开安全性设置
  8. 单击企业安全性
  9. 网络验证:选择 WPA-企业WPA2-企业
  10. 数据加密:选择以下一项:
  11. 启用 802.1X:选中。
  12. 验证类型:选择 LEAP 供此次连接使用
  13. 单击Cisco 选项
  14. 单击启用 Cisco 兼容性扩展以启用 Cisco 兼容性扩展 (CCX) 安全性(允许快速漫游 (CCKM)启用无线电管理支持启用混合单元模式)。

Cisco 兼容性扩展

  1. 单击启用无线电管理支持。使用“无线电管理”来检测欺诈接入点。
  2. 单击确定返回到安全性设置

LEAP 用户

LEAP 用户

  1. 选择下列份验证方法之一:
    2. 如果在管理员配置式类型之下选择了持续,则只有使用以下用户名和密码可用。如果选择了登录前/常用,则两种验证方法均可用。
  2. 单击确定保存设置并关闭页面。

Cisco 兼容性扩展选项

Cisco 选项:用以启用或禁用“无线电管理”和“混合单元模式”或“允许快速漫游”(CCKM)。

注意:对 CKIP、LEAP 或 EAP-FAST 配置式,Cisco 兼容性扩展自动启用。要覆盖此行为,选择或清除此页面上的选项。

启用 Cisco 兼容扩展选项:选择以为此无线连接配置式启用 Cisco 兼容性扩展。

设置客户端采用“EAP-FAST 网络验证”

Cisco 在 Cisco 兼容性扩展版本 3 (CCXv3) 中添加了对 EAP-FAST (可扩展身份验证协议 - 经由“安全性隧道”进行的“伸缩性验证”)的支持,它使用“保护性接入身份验证”(PAC) 在客户端和服务器之间建立一个经过验证的隧道。

Cisco 兼容性扩展版本 4 (CCXv4) 改进了提供增强的安全性的方法,并提供了对增强的安全性、移动性、服务质量和网络管理的新技术。

Cisco 兼容性扩展版本 3 (CCXv3)

要设置客户端采用带 Cisco 兼容性扩展版本 3 (CCXv3) 的 EAP-FAST 验证:

  1. 从英特尔(R) PROSet/无线主窗口,单击配置式。或者,如果您作为管理员,打开管理员工具
  2. 在“配置式”页面,单击添加以打开“创建无线配置式”的“一般设置”。
  3. 无线网络名称(SSID):输入网络标识符。
  4. 配置式名称:输入描述性的配置式名称。
  5. 操作模式:单击网络(基础架构)
  6. 管理员配置式类型:选择持续登录前/常用。(只有使用“管理员工具”时此步骤才适用。)
  7. 单击下一步以打开安全性设置
  8. 单击企业安全性
  9. 网络验证:选择 WPA-企业WPA2-企业
  10. 数据加密:选择以下一项:
  11. 启用 802.1X:选中。
  12. 验证类型:选择 EAP-FAST 供此次连接使用。

EAP-FAST 提供

注意:如果没有通过管理员程序包安装了 CCXv4 应用程序设置,则只有 EAP-FAST 用户设置可供配置。参阅 EAP-FAST 用户设置

步骤 1 / 2:EAP-FAST 提供

  1. 单击禁用 EAP-FAST 增强 (CCXv4) 以允许在服务器未经验证的 TLS 隧道内进行提供(未经验证的 TLS 服务器提供模式)。
  2. 单击选择服务器以查看业已提供给该计算机、并已驻留其上的未经验证的 PAC。

注意:如果提供的 PAC 有效,则英特尔(R) PROSet/无线不提示用户接受 PAC。如果 PAC 无效,则英特尔(R) PROSet/无线自动中断提供 PAC。“无线事件查看器”显示一个状态消息,供管理员在用户计算机上查看。

要导入 PAC:

PAC

  1. 单击下一步以选择身份验证检索方法,或单击确定以保存该 EAP-FAST 设置并返回“配置式”列表。此 PAC 被用于此无线配置式。

步骤 2 / 2:EAP-FAST 额外信息

要在已建立的隧道中进行客户端验证,客户端发送一个用户名和密码进行验证并建立客户端验证策略。

  1. 单击用户身份凭证在以下身份验证检索方法中选择一项:使用 Windows 登录我每次连接时提示使用以下
  2. 单击确定以保存设置并关闭页面。不要求服务器验证。

Cisco 兼容性扩展版本 4 (CCXv4)

要设置客户端采用带 Cisco 兼容性扩展版本 4 (CCXv4) 的 EAP-FAST 验证:

  1. 从英特尔(R) PROSet/无线主窗口,单击配置式。或者,如果您作为管理员,打开管理员工具
  2. 在“配置式”页面,单击添加以打开“创建无线配置式向导”的“一般设置”。
  3. 无线网络名称(SSID):输入网络标识符。
  4. 配置式名称:输入描述性的配置式名称。
  5. 操作模式:单击网络(基础架构)
  6. 管理员配置式类型:选择持续登录前/常用。(只有使用“管理员工具”时此步骤才适用。)
  7. 单击下一步以打开安全性设置
  8. 单击企业安全性
  9. 网络验证:选择 WPA-企业WPA2-企业
  10. 数据加密:选择以下一项:
  11. 数据加密:选择 AES-CCMP
  12. 启用 802.1X:选中。
  13. 验证类型:选择 EAP-FAST 供此次连接使用。

步骤 1 / 3:EAP-FAST 提供

通过 CCXv4,EAP-FAST 支持两种提供方法:

注意:“经服务器验证模式”相对“未经服务器验证模式”而言,具有相当可观的安全性优势,即使在将 EAP-MS-CHAP-V2 用作内部方法的情况下也是如此。此模式在交换 EAP-MS-CHAP-V2 之前确认服务器的验证,以保护 EAP-MS-CHAP-V2 交换,使其不受潜在的来自“中间人”的攻击。因此,在可能的情况下应尽量采用经服务器验证模式。EAP-FAST 对等伙伴在有证书或公共密钥的情况下必须使用经服务器验证模式,以确保万无一失。

提供“保护性接入身份凭证” (PAC):

EAP-FAST 使用 PAC 密钥来保护互相交换的用户身分验证。所有导 EAP-FAST 验证方都由一个权威标识 (A-ID) 表示。本地验证方将其 A-ID 发送到一个验证客户端;该客户端则在其数据库中查找匹配的 A-ID。如果该客户端无法识别此 A-ID,便会请求一个新的 PAC。

注意:如果提供的“保护性接入身分凭证”(PAC) 有效,则英特尔(R) PROSet/无线不提示用户接受 PAC。如果 PAC 无效,则英特尔(R) PROSet/无线自动中断提供 PAC。无线事件查看器显示一个事件消息,供管理员在用户计算机上查看。

  1. 确认禁用 EAP-FAST 增强 (CCXv4) 未被选中。允许未经验证的提供允许经验证的提供默认选中。一旦从“默认服务器”选择了一个 PAC,您就能取消选择这些提供方法中的任何一个。
  2. 默认服务器:将“无”选作默认值。单击选择服务器以从默认 PAC 授权服务器选择一个 PAC,或从服务器组列表中选择一个服务器。EAP-FAST 默认服务器(PAC 授权)选择页面打开。

注意:服务器组仅在安装了包含 EAP-FAST“授权识别器”(A-ID) 组设置的管理员程序包情况下才予以列出。

PAC 的发布还可以手动完成(带外)。手动提供使您能在 ACS 服务器上为用户创建 PAC,然后将其导入到用户计算机。可用密码保护 PAC,用户在 PAC 导入过程中需要此密码。

要导入 PAC:

  1. 单击导入以从 PAC 服务器上导入一个 PAC。
  2. 单击打开
  3. 输入 PAC 密码(可选)。
  4. 单击确定以关闭此页面。选定的 PAC 用于此无线配置式。

EAP-FAST CCXv4 支持提供当前为建立隧道提供的 PAC 以外的身份验证。受支持的身份验证类型包括受信任的 CA 证书、用于机器验证的机器身份验证和用于绕过用户验证的临时用户身份凭证。

使用证书(TLS 验证)

  1. 单击使用证书(TLS 验证)
  2. 在隧道受保护时单击身份保护
  3. 选择以下一项:
  4. 用户名:输入指派给用户证书的用户名。
  5. 单击下一步

步骤 2 / 3:EAP-FAST 额外信息

如果选择了使用证书(TLS 验证)使用此计算机上的用户证书。单击下一步(不要求漫游身份),继续转到步骤 3 以配置 EAP-FAST 服务器证书设置。如果您不需要配置 EAP-FAST 服务器设置,单击确定以保存设置并返回到“配置式”页面。

如果选择使用智能卡,则在要求时添加漫游身份。单击确定保存您的设置并返回“配置式”页面。

如果您不选择使用证书(TLS 验证),单击下一步以选择一个验证协议。CCXv4 允许额外身份验证或 TLS 密码套件建立隧道。

身份验证协议:选择 GTCMS-CHAP-V2(默认值)。

通用令牌卡(GTC)

GTC 可以和“经服务器验证模式”一起使用。这使将其他用户的数据库用作“轻型目录访问协议 (LDAP)”和一次性密码 (OTP) 技术的对等伙伴能在带内得到提供。但是,替换只有在和确保服务器验证的 TLS 密码套件一起使用的情况下才能完成。

要配置一次性密码:

  1. 身份验证协议:选择 GTC(通用令牌卡)。
  2. 用户身份凭证:选择我每次连接时提示
  3. 连接时提示:选择以下一项:
名称 说明
静态密码 连接时,输入用户身份凭证。
一次性密码(OTP) 从硬件令牌设备获取密码。
PIN(软令牌) 从软令牌设备获取密码。
  1. 单击确定
  2. 从“无线网络”列表选择配置式。
  3. 单击连接。被提示时,输入用户名、域和一次性密码 (OTP)。
  4. 单击确定

MS-CHAP-V2

此参数指定在 PEAP 隧道中运行的身份验证协议。

  1. 选择用户身份凭证:使用 Windows 登录我每次连接时提示使用以下
  2. 漫游身份:可在此字段添入漫游身份,或者可以 %domain%\%username% 默认格式输入漫游身份。

将 802.1X Microsoft IAS RADIUS 用作验证服务器时,该服务器验证使用来自英特尔(R) PROSet/无线软件的漫游身份用户名来验证设备,而忽略身份验证协议 MS-CHAP-V2 用户名。Microsoft IAS RADIUS 只接受“漫游身份”的有效用户名(dotNet 用户)。“漫游身份”对其他所有验证服务器为可选。因此,建议将所要的领域(例如:anonymous@myrealm)作为“漫游身份”,而不使用真身份。

步骤 3 / 3:EAP-FAST 服务器

“经验证的 TLS 服务器提供模式”通过将受信任的 CA 证书、自我签署的服务器证书或服务器公共密钥和 GTC 用作内部 EAP 方法而受支持。

  1. 选择下列用户身份凭证检索方法之一: 验证服务器证书指定服务器或证书名称
  2. 单击确定以关闭安全性设置。

EAP-FAST 用户设置:

注意:如果要导出到用户计算机的管理员程序包未包括“启用 CCXv4 管理员工具应用程序设置”,则仅有 EAP-FAST 用户设置可供配置。

要设置客户端采用 EAP-FAST 验证:

  1. 从英特尔(R) PROSet/无线主窗口,单击配置式。或者,如果您作为管理员,打开管理员工具
  2. 在“配置式”页面,单击添加以打开“创建无线配置式”的“一般设置”。
  3. 无线网络名称(SSID):输入网络标识符。
  4. 配置式名称:输入描述性的配置式名称。
  5. 操作模式:单击网络(基础架构)
  6. 管理员配置式类型:选择持续登录前/常用。(只有使用“管理员工具”时此步骤才适用。)
  7. 单击下一步以打开安全性设置
  8. 单击企业安全性
  9. 网络验证:选择 WPA-企业WPA2-企业
  10. 数据加密:选择以下一项:
  11. 启用 802.1X:选中。
  12. 验证类型:选择 EAP-FAST 供此次连接使用。
  13. 单击 Cisco 选项以选择允许快速漫游 (CCKM),这将启用客户端无线适配器的快速安全漫游。

步骤 1 / 3 EAP-FAST 提供(用户设置)

EAP-FAST 使用 PAC 密钥来保护互相交换的用户身分验证。所有导 EAP-FAST 验证方都由一个权威标识 (A-ID) 表示。本地验证方将其 A-ID 发送到一个验证客户端;该客户端则在其数据库中查找匹配的 A-ID。如果该客户端无法识别此 A-ID,便会请求一个新的 PAC。

注意:如果提供的“保护性接入身分凭证”(PAC) 有效,则英特尔(R) PROSet/无线不提示用户接受 PAC。如果 PAC 无效,则英特尔(R) PROSet/无线自动中断提供 PAC。无线事件查看器显示一个事件消息,供管理员在用户计算机上查看。

  1. 不选中禁用 EAP-FAST 增强(CCXv4)
  2. 允许经验证的提供允许未经验证的提供均选中。
  3. 默认服务器:默认值为选择“无”。单击选择服务器以从默认的 PAC 验证服务器中选择一个 PAC。“保护性接入身份凭证”选项页面打开。

注意:服务器组仅在安装了包含 EAP-FAST“授权识别器”(A-ID) 组设置的管理员程序包情况下才予以列出。

PAC 的发布还可以手动完成(带外)。手动提供让您在 ACS 服务器上为用户创建 PAC,然后将其导入到用户计算机。可用密码保护 PAC,用户在 PAC 导入过程中需要此密码。

  1. 要导入 PAC:
    1. 单击导入以从 PAC 服务器上导入一个 PAC。
    2. 单击打开
    3. 输入 PAC 密码(可选)。
    4. 单击确定关闭此页面。选定的 PAC 用于此无线配置式。
  2. 单击下一步
  3. 如果这不是预设置登录/常用配置式,则单击下一步并跳至步骤 3 / 3:EAP-FAST 服务器
  4. 如果这是预配置登录/常用配置式,或者如果您不在使用管理员工具创建此配置式,继续到下一步。

步骤 2 / 3:EAP-FAST 额外信息

  1. 身份验证协议:选择 MS-CHAP-V2 或 GTC
  2. 用户身份凭证:选择“使用 Windows 登录”或者“使用以下”。
  3. 如果选择了“使用以下”,则输入“用户名”、“域名”、“密码”和“确认密码”。
  4. 输入漫游身份:%DOMAIN%\%USERNAME
  5. 单击下一步。

步骤 3 / 3:EAP-FAST 服务器

  1. 如果需要,单击验证证书,并从下拉菜单中选择证书颁发者。默认选择为“任何信任的证书颁发机构”。
  2. 如果需要,单击指定服务器或证书名称,并输入该名称。然后单击服务器名称必须与指定条目完全匹配域名必须以指定条目结尾
  3. 单击确定

返回页首

返回目录页面

商标和免责声明