回到內容頁

設定連線保全性: Intel(R) PRO/Wireless 2200BG 使用者指南


保全性和加密

設定資料加密和驗證
加密概述
如何啟用 WEP 加密
系統管理員作業
設定 WEP 和 MD5 驗證的用戶端
使用 WEP 或 TKIP 驗證為 WPA-PSK 設定用戶端
使用 TKIP 加密和 TLS 驗證為 WPA 設定用戶端
使用 TKIP 加密和 TTLS 或 PEAP 驗證為 WPA 設定用戶端
使用 CKIP 加密和 LEAP 驗證為 CCX 設定用戶端


設定資料加密和驗證

有線對等式保密 (WEP) 加密和共用驗證為網路上的資料提供保護。 WEP 使用加密鍵在資料傳輸之前對其進行加密。 使用相同加密鍵的電腦才能存取該網路或解密其它電腦傳輸出來的加密資料。 驗證提供介面卡到存取點的其它驗證程序。WEP 演算法容易受到被動和主動網路的侵犯。 TKIP 和 CKIP 演算法包括轉移現有網路攻擊和指出其缺點之 WEP 通訊協定的增強功能。

開放和共用金鑰驗證

802.11 支援兩種類型的網路驗證方法;"開放系統" 以及使用 64 位元和 128 位元 WEP 加密的 "共用系統"。 開放模式不需要加密驗證方法來與特定的存取點關連。 支援的驗證佈局是 "開放" 和 "共用" 驗證:

網路金鑰

啟用資料加密 (WEP、CKIP 或 TKIP) 時,會使用網路金鑰來進行加密。 網路金鑰可自動提供給您 (例如,可能會提供在您的無線網路介面卡、或者,您可自己輸入並指定金鑰的長度 (64 位元或 128 位元)、金鑰格式 (ASCII 字元或十六進位數字)、以及金鑰索引 (特定金鑰的儲存位置)。 金鑰長度越長、保全性就越高。 金鑰長度每增加一個位元,可能的金鑰數目就增加一倍。

在 802.11 下,無線站台最多可用四個金鑰設定 (金鑰索引值是 1、2、3、和 4)。 當某個存取點或無線站台使用儲存在特定金鑰索引中的金鑰傳輸加密訊息時,傳輸訊息就會顯示用來加密訊息內容的金鑰索引。 然後,接收存取點或無線站台就可以擷取儲存在該金鑰索引中的金鑰,然後,用該金鑰來解開加密的訊息內容。

加密靜態和動態金鑰類型

802.1x 使用兩種類型的加密金鑰,靜態和動態。 靜態加密金鑰是手動方式變更,比較容易受侵害。 MD5 驗證僅使用靜態加密金鑰。 動態加密金鑰會定期自動換新。 這種方法使加密金鑰更安全。 要啟用動態加密金鑰,您一定要使用 802.1x 驗證方法,例如 TLS、TTLS、PEAP 或 LEAP。


加密概述

WLAN 中的保全性可以使用 WEP (無線加密通訊協定) 啟用資料加密來加以輔助。 您可以選擇 64 或 128 位元等級的加密。 另外,資料也可以用金鑰加密。 另外一個稱為加密金鑰索引的參數會提供選項讓您為該設定檔建立多重加密金鑰。 但是,一次僅能使用一個加密金鑰。 您也可以選擇使用密碼保護來確保設定檔的私密性。

密語是用來自動產生WEP 鍵的。您可以選擇使用密語或手動輸入 WEP 鍵。 使用 64 位元加密,密語是 5 個字元長,您可以配合要連線的網路,為 WEP 鍵選擇任何隨意和容易記住的辭句,像 Acme1,或輸入 10 個十六進位字元。 若是 128 位元加密,密語就是 13 個字元長,或者為 WEP 鍵輸入 26 個十六進位字元以取得與適當網路之間的連線。

注意: 您一定要使用和無線網路上其它裝置一樣的加密類型、加密索引號碼、以及 WEP 鍵。


如何啟用 WEP 加密

以下的範例說明如何編輯現有的設定檔和套用 WEP 加密。

注意: 開始之前,請先連絡您的系統管理員以取得網路 WEP 密語或 "十六位元金鑰"。
 

要啟用 WEP 加密:

  1. 「一般」頁,按一下「網路」標籤。
  2. 從「設定檔清單」選取設定檔,然後按一下「編輯」 按鈕。
  3. 按一下 「保全性」標籤。
  4. 選與任何「網路驗證」模式 (建議使用 "開放" )。
  5. 為 "資料加密" 選取 WEP
  6. 為 "資料等級" 選取 64 位元 128 位元
  7. 選取金鑰索引號碼 1、2、3 或 4
  8. 選取以下之一:
  1. 按一下「確定」來儲存設定檔的設定。

系統管理員作業

注意:以下的資訊是要提供給系統管理員的。

如何獲取用戶端證書

如果您沒有任何 EAP-TLS、或 EAP-TTLS 證書,就一定要取得用戶端證書才能允許驗證。 一般來說,您需要向您的系統網路管理員取得如何在網路上獲取證書的說明。 證書可從「Internet 設定」管理,存取方法是從 Internet Explorer 或 Windows「控制台」小程式。 使用「Internet 設定」的「內容」頁。

Windows XP 和 2000: 獲取用戶端證書時,請不要啟用加強私密金鑰保護。 如果您為證書啟用加強私密金鑰保護,每次使用此證書時,您都需要輸入證書的存取密碼。 如果您在設定 TLS/TTLS 驗證的服務,就一定要停用證書的加強私密金鑰保護。 否則,802.1x 服務會無法通過驗證,因為它會沒有登入使用者名稱可以顯示提示對話方塊。

有關智慧卡的注意事項

安裝 "智慧卡" 後,證書會自動安裝在您的電腦上,並且可以從個人證書存放區和根證書存放區選取。

設定 TLS 驗證的用戶端

步驟 1: 取得憑證

要允許 TLS 驗證,登入使用者帳戶在本機存放庫中需要有有效的用戶端 (使用者) 證書。 您在根存放區中還需要一個可信任的 CA 憑證。

以下的資訊提供兩個取得證書的方法:

從 Windows 2000 CA 取得證書:

  1. 啟動 Internet Explorer 並瀏覽到 Certificate Authority HTTP Service (使用 URL,例如,http://yourdomainserver.yourdomain/certsrv,certsrv 是取得憑證授權單位的指令。 您也可以使用伺服器電腦的 IP 位址,例如 "192.0.2.12/certsrv"。
  2. 用您在驗證伺服器上建立的使用者帳戶名稱和密碼 (上方) 來登入 CA。 名稱和密碼不需要和您目前的 Windows 使用者登入名稱和密碼一樣。
  3. 在 CA 的 Welcome (歡迎) 頁,選取 Request (要求) 證書作業並呈送表格。
  4. 在 Choose Request Type (選擇要求類型) 頁,選取 Advanced (進階) 要求,然後按一下 Next (下一步)
  5. 在 Advanced Certificate Requests (進階證書要求) 頁,選取 Submit a certificate request to this CA using a form (使用表格來呈送證書要求到這個 CA),然後按一下 Submit (呈送)
  6. 在 Advanced Certificate Request (進階證書要求) 頁,選擇 User certificate template (使用者證書範本)。 選取 "Mark keys as exportable" (標示金鑰為可匯出),按一下 Next。 使用顯示的提供預設值。
  7. 在 Certificate Issued (證書發行) 頁,選取 Install this certificate (安裝這個證書)。

注意: 如果這是您第一次獲取證書的話,CA 會詢問您是否要先安裝根存放區中的受信任 CA 證書。 對話方塊不會說明這是受信任的 CA 證書,但是顯示在證書上的名稱會是 CA 的主機名稱。 按一下「是」,TLS 和 TTLS 都會需要這個證書。

  1. 如果憑證成功安裝的話,您會看到此訊息,"Your new certificate has been successfully installed" (您的新憑證已經成功安裝)。
  2. 要確認此安裝,請按一下 Internet Explorer >「工具」 > 「Internet 選項」>「內容」>「認證」。 新的證書應該會安裝在“Personal”(個人) 資料夾中。

從檔案匯入證書

  1. 開啟「Internet 內容」(在桌面上按一下 Internet Explorer 圖示,選取「內容」)。
  2. 按一下「內容」頁上的「認證」按鈕。 如此會開啟安裝證書的清單。
  3. 在這個證書清單下按一下「匯入」按鈕。 這樣會啟動 "證書匯入精靈"。 (注意: 連續按兩下憑證圖示一樣可以達成步驟 1 到 3 的作業。
  4. 選取檔案並進行到「密碼」頁。
  5. 在「密碼」頁,指定該檔案的存取密碼。 清除「啟用加強私密金鑰保護」選項。
  6. 在「證書存放區」頁,選取"根據證書類型自動選取證書存放區" (證書一定要在使用者帳戶的 "個人存放區" 中,才能從用戶端的「設定」對話方塊存取;如果選取「自動」就會發生這種情況)。
  7. 進行到 "完成證書匯入",按一下「完成」按鈕。

以下範例說明使用 TTLS 或 PEAP驗證來配合使用 TKIP 加密於 WPA。

設定 TLS 驗證的用戶端

步驟 2: 指定 Intel(R) PROSet for Wireless 使用的憑證

  1. 獲取並安裝用戶端憑證,參考 "步驟 1" 或向您的系統管理員洽詢。
  2. 「一般」頁,按一下「網路」標籤。
  3. 按一下 「新增」按鈕。
  4. 輸入設定檔和網路 (SSID) 名稱。
  5. 為操作模式選取 Infrastructure (基礎架構)
  6. 按一下「下一步」
  7. 為 "網路驗證" 選取「開始」。 您也可以選取任何其它可供使用的驗證模式。
  8. 選取 WEP 為 "資料加密"。 您也可以選取任何其它可供使用的加密類型。
  9. 按一下「啟用 802.1x」 核取方塊。
  10. 設定要使用於這個連線之 TLS 的驗證類型。
  11. 按一下「設定」按鈕來開啟設定對話方塊。
  12. 在「使用者名稱」欄位中輸入使用者名稱。
  13. 從清單中選取 "憑證簽發者"。 選取「任何信任的 CA」為預設值。
  14. 輸入「伺服器」名稱。
  15. 在「用戶端證書」選項下,按一下「選取」按鈕來開啟安裝的證書清單。
  16. 從清單選取證書,按一下「確定」。 用戶端證書資訊會顯示在 "用戶端證書" 下。
  17. 按一下「關閉」
  18. 按一下「完成」按鈕來儲存設定檔的保全性設定。

設定 WEP 和 MD5 驗證的用戶端

要新增 WEP 和 MD5 驗證到新的設定檔:

注意: 開始之前,請先連絡您的系統管理員以取得 RADIUS 伺服器的使用者名稱和密碼。

  1. 「一般」頁,按一下「網路」標籤。
  2. 從「設定檔清單」按一下「新增」按鈕。
  3. 輸入設定檔和網路 (SSID) 名稱。
  4. 為操作模式選取 Infrastructure (基礎架構)
  5. 按一下「下一步」
  6. 為 "網路驗證" 選取「開始」(建議選取)。
  7. 選取 WEP 為 "資料加密"。
  8. 選取 64128 位元為 "資料等級"。
  9. 選取金鑰索引 1、2、34
  10. 輸入必要的密語十六位元金鑰
  11. 按一下「啟用 802.1x」 核取方塊。
  12. 選取 MD5 為 802.1x 驗證類型。
  13. 選取「使用 Windows 登入」核取方塊。 這個功能可允許 802.1x 身份證明符合您的 Windows 使用者名稱和密碼。 連線到無線網路前,「身份證明」對話方塊會顯示出來,提示您輸入您的 Windows 登入身份證明。
注意: 要安裝 802.1x 密碼同步處理能力功能 (使用 Windows 登入),請參考安裝或解除安裝 " 802.1x 密碼同步處理能力功能" 以獲取安裝說明。     
  1. 如果「使用 Windows 登入」沒有被選取的話,就一定要輸入在驗證伺服器上建立之使用者帳戶的使用者名稱和密碼。 一下「設定」來開啟設定「身份證明」對話方塊。 輸入在驗證伺服器上建立之使用者的使用者名稱和密碼。 核取「儲存使用者身份證明」核取方塊來儲存身份證明以備將來使用這個 802.1x 設定檔時使用。 使用者名稱和密碼不需要和您目前的 Windows 使用者登入名稱和密碼一樣。
  2. 按一下「關閉」來儲存設定。
  3. 如果「一般」設定頁上的「密碼保護」核取方塊被核取的話,請按一下「下一步」來顯示「密碼」頁並輸入設定檔密碼。
  4. 按一下「完成」按鈕來儲存設定檔設定。
  5. 選取「網路」標籤。
  6. 選取設定檔,然後按一下「連線」
  7. 如果您選取「使用 Windows 登入」 (請參閱步驟 13),「身份證明」對話方塊就會顯示出來。 輸入您的 Windows 使用者名稱和密碼。 核取「儲存使用者身份證明」核取方塊來儲存身份證明以備將來使用這個設定檔時使用。
  8. 按一下 「確定」來儲存設定並連接到網路。

使用 WEP 或 TKIP 驗證為 WPA-PSK 設定用戶端

如果沒有使用任何驗證伺服器的話,使用 Wi-Fi 保護的存取 - 預先共用金鑰 (WPA-PSK) 模式。 這個模式不會使用任何 802.1x 驗證通訊協定。其可以使用於資料加密類型: WEP TKIP。 WPA-PSK 需要預先共用金鑰組態 (PSK)。 您一定要為 "預先共用金鑰" 輸入長度 256 位元的密語或 64 個十六位元字元。 資料加密金鑰是從 PSK 衍生出來的。

使用 WPA-PSK 來設定設定檔:

  1. 「一般」頁,按一下「網路」標籤。
  2. 按一下 「新增」按鈕。
  3. 輸入設定檔和網路 (SSID) 名稱。
  4. 為操作模式選取 Infrastructure (基礎架構)
  5. 按一下「下一步」
  6. 從「網路驗證」選取 WPA-PSK。 您還可以選取驗證模式。
  7. 選取 WEPTKIP 為 "資料加密"。
  8. 選取以下之一:
  9. 按一下「完成」按鈕來儲存設定檔的保全性設定。

使用 TKIP 加密和 TLS 驗證為 WPA 設定用戶端

Wi-Fi 保護的存取 (WPA) 模式可以使用於 TLS、TTLS、或 PEAP。 使用資料加密選項的 802.1x 驗證通訊協定;WEP 或 TKIP。 Wi-Fi 保護的存取 (WPA) 模式結合於 802.1x 驗證中。 資料加密金鑰是從 802.1x 金鑰互換接收到的。 為了要改善資料加密,"Wi-Fi 保護的存取" 會使用 "暫時密碼整合通訊協定" (TKIP)。 TKIP 提供重要的資料加密增強功能,包括再次金鑰設定方法。

  1. 獲取並安裝用戶端憑證,請參考設定 TLS 驗證的用戶端或洽詢您的系統管理員。
  2. 「一般」頁,按一下「網路」標籤。
  3. 按一下 「新增」按鈕。
  4. 輸入設定檔和網路 (SSID) 名稱。
  5. 為操作模式選取 Infrastructure (基礎架構)
  6. 按一下「下一步」
  7. 為 "網路驗證" 選取 WPA
  8. 選取 TKIP 為 "資料加密"。
  9. 設定要使用於這個連線之 TLS 的驗證類型。
  10. 按一下「設定」按鈕來開啟設定對話方塊。
  11. 在「使用者名稱」欄位中輸入使用者名稱。
  12. 從清單中選取 "憑證簽發者"。 選取「任何信任的 CA」為預設值。
  13. 輸入「伺服器」名稱。
  14. 使用用戶端證書: 這個選項會從 Windows 登入使用者的「個人」憑證存放區選取用戶端憑證。 這項憑證會使用於用戶端驗證。 按一下「選取」按鈕來開啟已安裝憑證的清單。
  15. 從清單選取證書,按一下「確定」。 用戶端證書資訊會顯示在 "用戶端證書" 下。
  16. 按一下「關閉」
  17. 按一下「完成」按鈕來儲存設定檔的保全性設定。

使用 TKIP 加密和 TTLS 或 PEAP 驗證為 WPA 設定用戶端

使用 TTLS 驗證:這些設定定義用來驗證使用者的通訊協定和身分證明。 在 TTLS 中,用戶端使用 EAP-TLS 來驗證伺服器,以及在用戶端和伺服器之間建立 TLS 加密的通道。 用戶端可以使用另外一個驗證通訊協定,一般是密碼式的通訊協定,例如透過這個加密通道的 "MD5 挑戰" 來啟用伺服器驗證。 挑戰和回應封包是透過非揭露的 TLS 加密通道傳送的。

使用 PEAP 驗證:在驗證伺服器驗證用戶端時,需要 PEAP 設定。 在 PEAP 中,用戶端使用 EAP-TLS 來驗證伺服器,以及在用戶端和伺服器之間建立 TLS 加密的通道。 用戶端可以使用另外一個 EAP 機制,例如 Microsoft Challenge Authentication Protocol (MSCHAP) 版本 2,在這個加密的通道上啟用伺服器驗證。 挑戰和回應封包是透過非揭露的 TLS 加密通道傳送的。

以下範例說明使用 TTLS 或 PEAP驗證來配合使用 TKIP 加密於 WPA。

  1. 獲取並安裝用戶端憑證,請參考設定 TLS 驗證的用戶端或洽詢您的系統管理員。
  2. 「一般」頁,按一下「網路」標籤。
  3. 按一下 「新增」按鈕。
  4. 輸入設定檔和網路 (SSID) 名稱。
  5. 為操作模式選取 Infrastructure (基礎架構)
  6. 按一下「下一步」
  7. 為 "網路驗證" 選取 WPA
  8. 選取 TKIP 為 "資料加密"。
  9. 選取「使用 Windows 登入」核取方塊。 這個功能可允許 802.1x 身份證明符合您的 Windows 使用者名稱和密碼。 步驟 17 和 18 中的使用者名稱和密碼是規定必須輸入的。 連線前,「身份證明」對話方塊會顯示出來,提示您輸入您的 Windows 登入身份證明。
注意: 要安裝 802.1x 密碼同步處理能力功能 (使用 Windows 登入),請參考安裝或解除安裝 " 802.1x 密碼同步處理能力功能" 以獲取安裝說明。     
  1. 如果「使用 Windows 登入」沒有被選取的話,就要輸入在驗證伺服器上建立之使用者帳戶的使用者名稱和密碼 (請參閱步驟 17 和 18)。
  2. 設定要使用於這個連線之 TTLS PEAP 的驗證類型。
  3. 按一下「設定」按鈕來開啟設定對話方塊。
  4. 在「漫遊」欄位中輸入漫遊身份名稱。 這個選擇性的功能是供應給驗證者的 802.1X 身分。 建議您不要在這個欄位填寫真實的身分,相反地,請使用喜愛的領域 (例如,anonymous@myrealm)。
  5. 從清單中選取 "憑證簽發者"。 選取「任何信任的 CA」為預設值。
  6. 輸入「伺服器」名稱。
  7. 驗證通訊協定:
  8. 輸入使用者名稱。這個使用者名稱一定要與用戶端驗證前, IT 管理員在驗證伺服器中設定的使用者名稱相符。 使用者名稱的大小寫須相符。 這個名稱指定驗證通訊協定透過 TLS 通道操作而提供給驗證者的身份。 加密通道被確認和建立後,這個使用者的身分才會被安全地傳輸到伺服器。
  9. 輸入使用者密碼。 指定使用者密碼。 這個密碼一定要與驗證伺服器中設定的密碼相符。
  10. 核取「儲存使用者身份證明」核取方塊來儲存身份證明以備將來使用這個設定檔時使用。 注意: 使用者名稱和密碼不需要和您目前的 Windows 使用者名稱和密碼一樣。
  11. 重新輸入使用者密碼。 如果確認的話,會顯示出在「密碼」欄位中輸入的密碼字元。
  12. 使用用戶端證書: 這個選項會從 Windows 登入使用者的「個人」憑證存放區選取用戶端憑證。 這項憑證會使用於用戶端驗證。 按一下「選取」按鈕來開啟已安裝憑證的清單。
  13. 從清單選取證書,按一下「確定」。 用戶端證書資訊會顯示在 "用戶端證書" 下。
  14. 按一下「關閉」
  15. 按一下「完成」按鈕來儲存設定檔的保全性設定。
  16. 從「設定檔清單」選取設定檔,然後按一下「連線」。
  17. 如果您選取「使用 Windows 登入」 (請參閱步驟 9),「身份證明」對話方塊就會顯示出來。 輸入您的 Windows 使用者名稱和密碼。 核取「儲存使用者身份證明」核取方塊來儲存身份證明以備將來使用這個設定檔時使用。
  18. 按一下 「確定」來儲存設定並連接到網路。

使用 CKIP 加密和 LEAP 驗證為 CCX 設定用戶端

使用 Intel(R) PROSet for Wireless 設定 LEAP
注意: LEAP 設定檔僅能使用 Intel(R) PROSet for Wireless 設定。

一定要設定 Intel(R) PROSet for Wireless CCX (v1.0) 設定檔才能連線到特定的 ESS 或 Wireless LAN 網路。 設定檔設定包括 LEAP、CKIP 和 Rogue AP 偵測設定。

要設定 CCX 保全性設定的設定檔:

  1. 「一般」頁,按一下「網路」標籤。
  2. 按一下 「新增」按鈕。
  3. 輸入設定檔和網路 (SSID) 名稱。
  4. 為操作模式選取 Infrastructure (基礎架構)
  5. 按一下 Cisco Client eXtentions 核取方塊來啟用 CCX 保全性。 如果您在「進階設定」核取 Cisco 的 "混合傳播網路",一定也要核取這個選項。 附註: 現在起,「網路驗證」「資料加密」包括 CCX 保全性選項: 「開放」「共用」用於 "802.11 驗證", 「無」、WEP、CKIP 用於「資料加密」。
  6. 按一下「下一步」
  7. 在 "網路驗證" 選項中選取「開放」
  8. 選取 CKIP 為 "資料加密"。
  9. 按一下「啟用 802.1x」核取方塊來啟用 802.1x 保全性選項。
  10. 選取 LEAP 為 802.1x 驗證類型。
  11. 選取「使用 Windows 登入」核取方塊。 這個功能可允許 802.1x 身份證明符合您的 Windows 使用者名稱和密碼。 連線到無線網路前,「身份證明」對話方塊會顯示出來,提示您輸入您的 Windows 登入身份證明。
注意: 要安裝 802.1x 密碼同步處理能力功能 (使用 Windows 登入),請參考安裝或解除安裝 " 802.1x 密碼同步處理能力功能" 以獲取安裝說明。     
  1. 如果 "使用 Windows 登入" 沒有核取的話,請按一下「設定」來開啟身份證明對話方塊。 輸入在驗證伺服器上建立之使用者的使用者名稱和密碼。 核取「儲存使用者身份證明」核取方塊來儲存身份證明以備將來使用這個 802.1x 設定檔時使用。注意: 使用者名稱和密碼不需要和您目前的 Windows 使用者登入名稱和密碼一樣。
  2. 如果網路是為 rogue AP 設定的,請按一下「啟用 Rogue AP 偵測」。 如果在 AP 組態設定中選取「網路 EAP」核取方塊,也應該使用這項設定 (適用於所有的 Cisco AP)。
  3. 按一下「關閉」來儲存設定。
  4. 選取「網路」標籤。
  5. 從「設定檔清單」選取 CCX 設定檔,然後按一下「連線」。
  6. 如果您選取「使用 Windows 登入」 (請參閱步驟 11),「身份證明」對話方塊就會顯示出來。 輸入您的 Windows 使用者名稱和密碼。 核取「儲存使用者身份證明」核取方塊來儲存身份證明以備將來使用這個設定檔時使用。
  7. 按一下 「確定」來儲存設定並連接到網路。

CCX 存取點和用戶端組態

視 WLAN 環境而定,存取點提供選取不同驗證類型的設定值。 用戶端會在連線建立期間,於用戶端和 AP 進行 802.11 驗證交涉時,傳送 "驗證" 演算法欄位。 由 CCX 啟用之 AP 識別的 "驗證" 演算法值和其它不同驗證類型不一樣。 舉例來說,"網路-EAP" 表示 LEAP 在 "開放" (其為 802.11 指定的 "開放" 驗證) 時的值是 0x80,並規定 EAP 交涉互換值為 0x0 的 "規定 EAP"。

僅限網路-EAP

AP: 若僅是使用 LEAP 驗證的 CCX 啟用網路,驗證類型會在 "網路-EAP" 核取方塊選取、"開放" 和 "規定 EAP" 核取方塊取消核取的情況下設定。 然後,AP 會設定僅允許LEAP 用戶端進行驗證和連線。 在這種情況下,AP 會期待 802.11 驗證演算法被設為 0x80 (LEAP),而拒絕嘗試用 0x0 "驗證" 演算法值進行驗證的用戶端。

用戶端: 在這種情況下,用戶端需要傳送驗證演算值 0x80,否則,802.11 驗證交涉就會失敗。 開機期間,如果 Wireless LAN 驅動程式已經載入,但是 Intel(R) PROSet for Wireless 請求者尚未載入,用戶端會用 0x0 的 "驗證" 演算值傳送 802.11 驗證。 當 Intel(R) PROSet for Wireless 請求者載入,並啟動 LEAP 設定檔時,它就會用 0x80 的 "驗證" 演算值傳送 802.11 驗證。 但是,如果 Rogue AP 方塊有核取,請求者才會傳送出 0x80。

網路-EAP、開放和規定 EAP

AP: 如果「網路-EAP」、「開放」、和「規定 EAP」方塊有被核取,就會同時接受 802.11 驗證演算值 0x0 和 0x80 這兩種類型。 但是,一旦用戶端被關聯和驗證,AP 就會期待 EAP 交涉發生。如果 EAP 交涉因為任何原因而沒有發生的話,AP 大約會有 60 秒的時間不會對用戶端做出反應。

用戶端: 用戶端可傳送 0x80 或 0x0 的驗證演算值。 兩種值都可被接受,802.11 驗證交涉也會成功。 開機期間,如果 Wireless LAN 驅動程式已經載入,用戶端就會用 0x0 的 "驗證" 演算值傳送 802.11 驗證。 這樣就足以得到驗證,但是,對應的 EAP 或 LEAP 身份證明需要與 AP 通訊才能建立連線。

僅限開放和規定 EAP

AP: 如果 AP 是在「網路-EAP」未核取,但是「開放」和「規定 EAP」核取的情況下設定的,AP 會拒絕任何嘗試使用 0x80 驗證值做 802.11 驗證的用戶端。 AP 會接受任何使用 0x0 驗證演算值的用戶端,並預期 EAP 交涉很快發生。 在這種情況下,用戶端會使用 MD5、TLS、LEAP 或任何其它適用於特定網路組態的適當 EAP 方法。

用戶端: 在此情況下,用戶端需要送出 0x0 的驗證演算值。 就如之前提到的,此順序需要重複提出 802.11 驗證交涉。 首先,Wireless LAN 驅動程式會以 0x0 的值啟動驗證,然後,請求者會重複此程序。 但是,請求者使用的驗證演算法值要視 Rogue AP 核取方塊的狀態而定。 當 Rogue AP 方塊取消核取時,即使是在請求者上載並啟動 LEAP 設定檔後,用戶端依然會用 0x0 的驗證演算法值傳送 802.11 驗證。

例如,設定為 LEAP 時,有些非 Intel 的用戶端在這種情況下會無法驗證。 但是,如果 Rogue AP 沒有核取,Intel Wireless LAN 用戶端就可驗證。

Rogue AP 核取方塊組態

該核取方塊被核取時,就會確保用戶端依照 CCX 的規定執行 Rogue AP 功能。 用戶端會注意其無法驗證的 AP,並將此資訊傳送給 AP,允許它進行驗證和連線。 另外,當 Rogue AP 方塊核取時,請求者會設定 "驗證" 演算類型為 0x80。 如上所述,可能還有一些網路組態執行和「僅限開啟和規定 EAP」 。 要使這項設定能夠作業,用戶端一定要使用 0x0 的 "驗證" 演算法值,和上述的僅限 EAP 需要與 0x80 相反。因此,Rogue AP 核取方塊也可讓用戶端僅支援「網路 EAP」和「規定 EAP」。

Cisco CCX 功能支援

Cisco 強制性用戶端符合規格 1.0 版:

注意:請參考 www.cisco.com 中提供的 Cisco 用戶端延伸功能 1.0 版文件以獲取更詳細的資料。

回到內容頁


請閱讀所有的限制規定和免責聲明。