返回內容頁

設定連線保全性:Intel(R) PRO/Wireless LAN Mini PCI Adapter 使用者指南


保全性和加密

設定資料加密和驗證
加密概述
如何啟用 WEP 加密
系統管理員作業
設定 WEP 和 MD5 驗證的用戶端
使用 WEP 或 TKIP 驗證為 WPA-PSK 設定用戶端
使用 TKIP 加密和 TLS 驗證為 WPA 設定用戶端
使用 TKIP 加密和 TTLS 或 PEAP 驗證為 WPA 設定用戶端
使用 CKIP 加密和 LEAP 驗證為 CCX 設定用戶端


設定資料加密和驗證

有線對等式保密 (WEP) 加密和共用驗證為網路上的資料提供保護。WEP 使用加密鍵在資料傳輸之前對其進行加密。使用相同加密鍵的電腦才能存取該網路或解密其它電腦傳輸出來的加密資料。驗證提供介面卡到存取點的其它驗證程序。WEP 演算法容易受到被動和主動網路的侵犯。TKIP 和 CKIP 演算法包括轉移現有網路攻擊和指出其缺點之 WEP 通訊協定的增強功能。

開放和共用金鑰驗證

802.11 支援兩種類型的網路驗證方法;「開放系統」以及使用 64 位元和 128 位元 WEP 加密的「共用系統」。開放模式不需要加密驗證方法來與特定的存取點關連。支援的驗證佈局是「開放」和「共用」驗證:

網路金鑰

啟用資料加密 (WEP、CKIP 或 TKIP) 時,會使用網路金鑰來進行加密。網路金鑰可自動提供給您 (例如,可能會提供在您的無線網路介面卡,或者,您可自己輸入並指定金鑰的長度 (64 位元或 128 位元)、金鑰格式 (ASCII 字元或十六進位數字)、以及金鑰索引 (特定金鑰的儲存位置)。金鑰長度越長、保全性就越高。金鑰長度每增加一個位元,可能的金鑰數目就增加一倍。

在 802.11 下,無線站台最多可用四個金鑰設定 (金鑰索引值是 1、2、3、和 4)。當某個存取點或無線站台使用儲存在特定金鑰索引中的金鑰傳輸加密訊息時,傳輸訊息就會顯示用來加密訊息內容的金鑰索引。然後,接收存取點或無線站台就可以擷取儲存在該金鑰索引中的金鑰,然後,用該金鑰來解開加密的訊息內容。

加密靜態和動態金鑰類型

802.1x 使用兩種類型的加密金鑰,靜態和動態。靜態加密金鑰是手動方式變更,比較容易受侵害。MD5 驗證僅使用靜態加密金鑰。動態加密金鑰會定期自動換新。這種方法使加密金鑰更安全。要啟用動態加密金鑰,您一定要使用 802.1x 驗證方法,例如 TLS、TTLS、PEAP 或 LEAP。

802.1x 驗證關鍵點

802.1x 驗證方法,包括密碼、憑證、和智慧卡 (存放資料的塑膠卡片)802.1x 密碼同步處理能力功能:MD5、TLS、TTLS、和 LEAP「身份證明」對話方塊上的「使用 Windows 登入」選項可允許 802.1x 身份證明符合您的 Windows 使用者名稱和密碼。802.1x 驗證選項僅可以使用基礎架構操作模式。


加密概述

WLAN 中的保全性可以使用 WEP (無線加密通訊協定) 啟用資料加密來加以輔助。您可以選擇 64 或 128 位元等級的加密。另外,資料也可以用金鑰加密。另外一個稱為加密金鑰索引的參數會提供選項讓您為該設定檔建立多重加密金鑰。但是,一次僅能使用一個加密金鑰。您也可以選擇使用密碼保護來確保設定檔的私密性。

密語是用來自動產生WEP 鍵的。您可以選擇使用密語或手動輸入 WEP 鍵。使用 64 位元加密,密語是 5 個字元長,您可以配合要連線的網路,為 WEP 鍵選擇任何隨意和容易記住的辭句,像 Acme1,或輸入 10 個十六進位字元。若是 128 位元加密,密語就是 13 個字元長,或者為 WEP 鍵輸入 26 個十六進位字元以取得與適當網路之間的連線。

注意: 您一定要使用和無線網路上其它裝置一樣的加密類型、加密索引號碼、以及 WEP 鍵。


如何啟用 WEP 加密

以下的範例說明如何編輯現有的設定檔和套用 WEP 加密。

注意: 開始之前,請先連絡您的系統管理員以取得網路 WEP 密語或「十六位元金鑰」。
 

要啟用 WEP 加密:

  1. 「一般」頁,按一下「網路」標籤。
  2. 從「設定檔清單」選取設定檔,然後按一下「編輯」 按鈕。
  3. 按一下 「保全性」標籤。
  4. 選與任何「網路驗證」模式 (建議使用 「開放」)。
  5. 選取 WEP 資料加密。
  6. 選取「設定手動金鑰」
  7. 選取金鑰索引號碼 1、2、3 或 4 (預設值是 1)。
  8. 選取 64 位元128 位元加密等級。
  9. 選取以下之一:
  1. 按一下「確定」來儲存設定檔的設定。

系統管理員作業

注意: 以下的資訊是要提供給系統管理員的。請參考系統管理員權限和受限制的使用者以獲取更多資訊。

如何獲取用戶端憑證

如果您沒有任何 EAP-TLS、或 EAP-TTLS 憑證,就一定要取得用戶端憑證才能允許驗證。一般來說,您需要向您的系統網路管理員取得如何在網路上獲取憑證的說明。憑證可從「Internet 設定」管理,存取方法是從 Internet Explorer 或 Windows「控制台」小程式。使用「Internet 設定」的「內容」頁。

Windows XP 和 2000: 獲取用戶端證書時,請不要啟用加強私密金鑰保護。如果您為憑證啟用加強私密金鑰保護,每次使用此憑證時,您都需要輸入憑證的存取密碼。如果您在設定 TLS/TTLS 驗證的服務,就一定要停用憑證的加強私密金鑰保護。否則,802.1x 服務會無法通過驗證,因為它會沒有登入使用者名稱可以顯示提示對話方塊。

有關智慧卡的注意事項

安裝「智慧卡」後,憑證會自動安裝在您的電腦上,並且可以從個人憑證存放區和根憑證存放區選取。

設定 TLS 驗證的用戶端

步驟 1:取得憑證

要允許 TLS 驗證,登入使用者帳戶在本機存放庫中需要有有效的用戶端 (使用者) 憑證。您在根存放區中還需要一個可信任的 CA 憑證。

以下的資訊提供兩個取得憑證的方法:

從 Windows 2000 CA 取得憑證:

  1. 啟動 Internet Explorer 並瀏覽到 Certificate Authority HTTP Service (使用 URL,例如,http://yourdomainserver.yourdomain/certsrv,certsrv 是取得憑證授權單位的指令。您也可以使用伺服器電腦的 IP 位址,例如,"192.0.2.12/certsrv"。
  2. 用您在驗證伺服器上建立的使用者帳戶名稱和密碼 (上方) 來登入 CA。名稱和密碼不需要和您目前的 Windows 使用者登入名稱和密碼一樣。
  3. 在 CA 的 Welcome (歡迎) 頁,選取 Request (要求) 憑證作業並呈送表格。
  4. 在 Choose Request Type (選擇要求類型) 頁,選取 Advanced (進階) 要求,然後按一下 Next (下一步)
  5. 在 Advanced Certificate Requests (進階憑證要求) 頁,選取 Submit a certificate request to this CA using a form (使用表格來呈送憑證要求到這個 CA),然後按一下 Submit (呈送)
  6. 在 Advanced Certificate Request (進階憑證要求) 頁,選擇 User certificate template (使用者憑證範本)。選取 "Mark keys as exportable" (標示金鑰為可匯出),然後按一下「下一步」。使用顯示的提供預設值。
  7. 在 Certificate Issued (憑證發行) 頁,選取 Install this certificate (安裝這個憑證)。

注意: 如果這是您第一次獲取憑證的話,CA 會詢問您是否要先安裝根存放區中的受信任 CA 憑證。對話方塊不會說明這是受信任的 CA 憑證,但是顯示在憑證上的名稱會是 CA 的主機名稱。按一下「是」,TLS 和 TTLS 都會需要這個憑證。

  1. 如果憑證成功安裝的話,您會看到此訊息,"Your new certificate has been successfully installed" (您的新憑證已經成功安裝)。
  2. 要確認此安裝,請按一下 Internet Explorer >「工具」 > 「網際網路選項」>「內容」>「憑證」。新的憑證應該會安裝在“Personal”(個人) 資料夾中。

從檔案匯入憑證

  1. 開啟「Internet 內容」(在桌面上按一下 Internet Explorer 圖示,選取「內容」)。
  2. 按一下「內容」頁上的「憑證」按鈕。如此會開啟安裝憑證的清單。
  3. 在這個憑證清單下按一下「匯入」按鈕。這樣會啟動「憑證匯入精靈」。(注意:連續按兩下憑證圖示一樣可以達成步驟 1 到 3 的作業。
  4. 選取檔案並進行到「密碼」頁。
  5. 在「密碼」頁,指定該檔案的存取密碼。清除「啟用加強私密金鑰保護」選項。
  6. 在「憑證存放區」頁,選取「根據憑證類型自動選取憑證存放區」(憑證一定要在使用者帳戶的「個人存放區」中,才能從用戶端的「設定」對話方塊存取;如果選取「自動」就會發生這種情況)。
  7. 進行到「完成憑證匯入」,按一下「完成」按鈕。

若要設定使用具有 WEP 的 WPA 驗證,或是使用 TLS 驗證的 TKIP 加密的設定檔。

步驟 2:指定 Intel(R) PROSet 使用的憑證

注意:獲取並安裝用戶端憑證,參考「步驟 1」或向您的系統管理員洽詢。
  1. 「一般」頁,按一下「網路」標籤。
  2. 按一下 「新增」按鈕。
  3. 輸入設定檔和網路 (SSID) 名稱。
  4. 為操作模式選取 Infrastructure (基礎架構)
  5. 按一下「下一步」
  6. 為「網路驗證」選取 WPA
  7. 選取 WEPTKIP 為「資料加密」。
  8. 按一下「啟用 802.1x」 核取方塊。
  9. 設定要使用於這個連線之 TLS 的驗證類型。
  10. 按一下「設定」按鈕來開啟設定對話方塊。
  11. 「使用者名稱」欄位中輸入使用者名稱。
  12. 從清單中選取「憑證簽發者」。選取「任何信任的 CA」為預設值。
  13. 輸入「伺服器/憑證」名稱。如果您知道伺服器/憑證名稱,請輸入這個名稱。選取完全符合伺服器名稱的適當選項或指定網域名稱。

  14. 用戶端憑證:這個選項會從 Windows 登入使用者的「個人」憑證存放區選取用戶端憑證。這項憑證會使用於用戶端驗證。按一下「選取」按鈕來開啟已安裝憑證的清單。

有關憑證的注意事項:指定的身分應該語憑證中的「發行給」欄位相符,並應該在驗證者使用的驗證伺服器 (亦即 RADIUS 伺服器) 上登錄。對驗證伺服器來說,您的憑證一定要「有效」。這項需求要視驗證伺服器而定,一般來說,表示驗證伺服器一定要將憑證簽發者視為「憑證授權單位」。您應該使用安裝憑證時使用的使用者名稱登入。

  1. 從清單選取憑證,按一下「確定」。用戶端憑證資訊會顯示在「用戶端憑證」下。
  2. 按一下「關閉」
  3. 按一下「下一步」
  4. 按一下「完成」按鈕來儲存設定檔設定。

設定 WEP 和 MD5 驗證的用戶端

要新增 WEP 和 MD5 驗證到新的設定檔:

注意:開始之前,請先連絡您的系統管理員以取得 RADIUS 伺服器的使用者名稱和密碼。

  1. 「一般」頁,按一下「網路」標籤。
  2. 從「設定檔清單」按一下「新增」按鈕。
  3. 輸入設定檔和網路 (SSID) 名稱。
  4. 為操作模式選取 Infrastructure (基礎架構)
  5. 按一下「下一步」
  6. 選取「開放」(建議選取) 網路驗證。
  7. 選取 WEP 資料加密。
  8. 選取金鑰索引 1、2、34。(預設金鑰是 1)
  9. 選取 64128 位元為「資料等級」。
  10. 選取「使用密語」或「使用十六位元金鑰」,然後在文字方塊中輸入「密語」金鑰
  11. 按一下「啟用 802.1x」 核取方塊。
  12. 選取 MD5 為 802.1x 驗證類型。
  13. 選取以下其中一個選項:
注意: 如果「使用 Windows 登入」功能呈現灰色的話 (表示不可存取),就表示尚未安裝「單次簽入」功能。要安裝「使用 Windows 登入」功能,請參考安裝或解除安裝單次簽入功能以獲取安裝說明。
  1. 按一下「關閉」來儲存設定。
  2. 按一下「下一步」
  3. 一般設定檔持續連線如果需要的話,啟用「一般設定檔」功能時,,請選取這個設定檔能讓所有的使用者使用 (一般)。要「持續連線」功能,請選取「沒有使用者登入時,會使用這個設定檔」(持續)。這些功能會在軟體安裝程序期間安裝。如果選取這些功能,一定要在「進階設定」中啟用切換到
    一般和持續設定檔管理。
  4. 按一下「完成」來儲存設定檔設定。
  5. 選取「設定檔清單」下方的新設定檔。使用上和下方向鍵在設定檔清單中排定新設定檔的優先順序位置。
  6. 按一下「連線」來連線到選取的無線網路。
  1. 按一下「確定」來關閉 Intel(R) PROSet。

設定用戶端執行使用 WEP 或 TKIP 驗證的 WPA-PSK

如果沒有使用任何驗證伺服器的話,使用 Wi-Fi 保護的存取 - 預先共用金鑰 (WPA-PSK) 模式。這個模式不使用任何 802.1x 驗證通訊協定。此模式可與 WEP 或 TKIP 資料加密一起使用。WPA-PSK 需要預先共用金鑰組態 (PSK)。一定要為長度 256 位元的「預先共用金鑰」密語或 64 個十六位元字元。資料加密金鑰是從 PSK 衍生出來的。

要使用 WEP 或 TKIP 加密配合 WPA-PSK 網路驗證來設定新設定檔:

  1. 「一般」頁,按一下「網路」標籤。
  2. 按一下 「新增」按鈕。
  3. 輸入設定檔和網路 (SSID) 名稱。
  4. 為操作模式選取 Infrastructure (基礎架構)
  5. 按一下「下一步」
  6. 從「網路驗證」選取 WPA-PSK
  7. 選取 WEPTKIP 為「資料加密」。
  8. 選取以下之一:
  9. 按一下「下一步」
  10. 按一下「完成」來儲存設定檔設定。
  11. 選取「設定檔清單」下方的新設定檔。使用上和下方向鍵在設定檔清單中排定新設定檔的優先順序位置。
  12. 按一下「連線」來連線到選取的無線網路。
  13. 按一下「確定」來關閉 Intel(R) PROSet。

設定用戶端執行使用 WEP 或 TKIP 加密及 TLS 驗證的 WPA

Wi-Fi 保護的存取 (WPA) 模式可以使用於 TLS、TTLS、或 PEAP。這個 802.1x 驗證通訊協定使用 WEP 或 TKIP 資料加密選項。Wi-Fi 保護的存取 (WPA) 模式結合於 802.1x 驗證中。資料加密金鑰是從 802.1x 金鑰互換接收到的。為了要改善資料加密,「Wi-Fi 保護的存取」會使用「暫時密碼整合通訊協定」(TKIP)。TKIP 提供重要的資料加密增強功能,包括再次金鑰設定方法。

  1. 獲取並安裝用戶端憑證,請參考設定 TLS 驗證的用戶端或洽詢您的系統管理員。
  2. 「一般」頁,按一下「網路」標籤。
  3. 按一下 「新增」按鈕。
  4. 輸入設定檔和網路 (SSID) 名稱。
  5. 為操作模式選取 Infrastructure (基礎架構)
  6. 按一下「下一步」
  7. 選取 WPA 網路驗證。
  8. 選取 WEP 或 TKIP 資料加密。
  9. 設定要使用於這個連線之 TLS 的驗證類型。
  10. 按一下「設定」按鈕來開啟設定對話方塊。
  11. 在「使用者名稱」欄位中輸入使用者名稱。

  12. 從清單中選取 憑證簽發者。選取「任何信任的 CA」為預設值。

  13. 按一下「允許中繼憑證」核取方塊,允許伺服器憑證和指定的 CA 之間的伺服器憑證鏈含許多不指定的憑證。如果沒有核取,那麼,一定是由指定的 CA 直接簽發伺服器憑證。

  14. 輸入「伺服器」名稱。如果您知道伺服器名稱,請輸入這個名稱。選取完全符合伺服器名稱的適當選項或指定網域名稱。

  15. 按一下「用戶端憑證」選項底下的「選取」按鈕。

有關憑證的注意事項:指定的身分應該語憑證中的「發行給」欄位相符,並應該在驗證者使用的驗證伺服器 (亦即 RADIUS 伺服器) 上登錄。對驗證伺服器來說,您的憑證一定要「有效」。這項需求要視驗證伺服器而定,一般來說,表示驗證伺服器一定要將憑證簽發者視為「憑證授權單位」。您應該使用安裝憑證時使用的使用者名稱登入。

  1. 從清單選取憑證,按一下「確定」。用戶端憑證資訊會顯示在「用戶端憑證」下。
  2. 按一下「關閉」
  3. 按一下「下一步」
  4. 按一下「完成」來儲存設定檔設定。
  5. 選取「設定檔清單」下方的新設定檔。使用上和下方向鍵在設定檔清單中排定新設定檔的優先順序位置。
  6. 按一下「連線」來連線到選取的無線網路。
  7. 按一下「確定」來關閉 Intel(R) PROSet。

設定用戶端執行使用 WEP 或 TKIP 加密及 TLS 或 PEAP 驗證的 WPA

TTLS 驗證:這些設定定義用來驗證使用者的通訊協定和身分證明。在 TTLS 中,用戶端使用 EAP-TLS 來驗證伺服器,以及在用戶端和伺服器之間建立 TLS 加密的通道。用戶端可以使用另外一個驗證通訊協定,一般是密碼式的通訊協定,例如透過這個加密通道的「MD5 挑戰」來啟用伺服器驗證。挑戰和回應封包是透過非揭露的 TLS 加密通道傳送的。

PEAP 驗證:在驗證伺服器驗證用戶端時,需要 PEAP 設定。在 PEAP 中,用戶端使用 EAP-TLS 來驗證伺服器,以及在用戶端和伺服器之間建立 TLS 加密的通道。用戶端可以使用另外一個 EAP 機制,例如 Microsoft Challenge Authentication Protocol (MSCHAP) 版本 2,在這個加密的通道上啟用伺服器驗證。挑戰和回應封包是透過非揭露的 TLS 加密通道傳送的。

以下範例說明使用 TTLS 或 PEAP驗證來配合使用 WEP 或 TKIP 加密於 WPA。

  1. 獲取並安裝用戶端憑證,請參考設定 TLS 驗證的用戶端或洽詢您的系統管理員。
  2. 「一般」頁,按一下「網路」標籤。
  3. 按一下 「新增」按鈕。
  4. 輸入設定檔和網路 (SSID) 名稱。
  5. 為操作模式選取 Infrastructure (基礎架構)
  6. 按一下「下一步」
  7. 為「網路驗證」選取 WPA
  8. 選取 WPA 或 TKIP 為「資料加密」。
  9. 選取 802.1x 已啟用
  10. 設定要使用於這個連線之 TTLS PEAP 的驗證類型。
  11. 按一下「設定」按鈕來開啟設定對話方塊。
  12. 使用身份證明使用者名稱為 EAP 身份:如果此核取方塊已清除,會傳送出預先定義的字串 "anonymous" 作為驗證通訊協定。這項功能使用保全性較低的驗證方法,此方法會傳送加密的真實使用者名稱。這個方法在所有的驗證伺服器上都有效,特別是僅接受有效的使用者名稱的 Microsoft IAS RADIUS。
  13. 從清單中選取 憑證簽發者。選取「任何信任的 CA」為預設值。按一下「允許中繼憑證」核取方塊,允許伺服器憑證和指定的 CA 之間的伺服器憑證鏈含許多不指定的憑證。如果沒有核取,那麼,一定是由指定的 CA 直接簽發伺服器憑證。
  14. 輸入「伺服器」名稱

  1. 驗證通訊協定:
  2. 選取以下其中一個選項:
注意: 如果「使用 Windows 登入」功能呈現灰色的話 (表示不可存取),就表示尚未安裝「單次簽入」功能。要安裝「使用 Windows 登入」功能,請參考安裝或解除安裝單次簽入功能以獲取安裝說明。
  1. 使用用戶端憑證: 這個選項會從 Windows 登入使用者的「個人」憑證存放區選取用戶端憑證。這項憑證會使用於用戶端驗證。按一下「選取」按鈕來開啟已安裝憑證的清單。

有關憑證的注意事項:指定的身分應該語憑證中的「發行給」欄位相符,並應該在驗證者使用的驗證伺服器 (也就是,RADIUS 伺服器) 上登錄。對驗證伺服器來說,您的憑證一定要「有效」。這項需求要視驗證伺服器而定,一般來說,表示驗證伺服器一定要將憑證簽發者視為「憑證授權單位」。您應該使用安裝憑證時使用的使用者名稱登入。

  1. 從清單選取憑證,按一下「確定」。用戶端憑證資訊會顯示在「用戶端憑證」下。
  2. 按一下「關閉」
  3. 按一下「下一步」
  4. 選取「設定檔清單」下方的新設定檔。使用上和下方向鍵在設定檔清單中排定新設定檔的優先順序位置。
  5. 按一下「連線」來連線到選取的無線網路。
  1. 按一下「確定」來關閉 Intel(R) PROSet。

使用 CKIP 加密和 LEAP 驗證為 CCX 設定用戶端

使用 Intel(R) PROSet 設定 LEAP
注意: LEAP 設定檔僅能使用 Intel(R) PROSet 設定。

一定要設定 Intel(R) PROSet CCX (v1.0) 設定檔才能連線到特定的 ESS 或 Wireless LAN 網路。設定檔設定包括 LEAP、CKIP 和 Rogue AP 偵測設定。

要設定 CCX 保全性設定的設定檔:

  1. 「一般」頁,按一下「網路」標籤。
  2. 按一下 「新增」按鈕。
  3. 輸入設定檔和網路 (SSID) 名稱。
  4. 為操作模式選取 Infrastructure (基礎架構)
  5. 按一下「啟用與 Cisco 相容的延伸功能」核取方塊來啟用 CCX 保全性。如果您在「進階設定」核取 Cisco 的「混合傳播網路」,一定也要核取這個選項。附註:現在起,「網路」驗證和「資料加密」包括 CCX 保全性選項:「開放」「共用」用於「802.11 驗證」, 「無」、WEP、CKIP 用於「資料加密」。
  6. 按一下「下一步」
  7. 在「網路驗證」選項中選取「開放」
  8. 選取 CKIP 為「資料加密」。
  9. 按一下「啟用 802.1x」核取方塊來啟用 802.1x 保全性選項。
  10. 選取 LEAP 802.1x 驗證類型。
  11. 按一下「設定」即可開啟「LEAP 設定」對話方塊
  12. 選取以下其中一個選項:
注意: 如果「使用 Windows 登入」功能呈現灰色的話 (表示不可存取),就表示尚未安裝「單次簽入」功能。要安裝「使用 Windows 登入」功能,請參考安裝或解除安裝單次簽入功能以獲取安裝說明。
  1. 按一下 「關閉」來儲存設定並關閉「LEAP 設定」對話方塊。
  2. 按一下「下一步」就會顯示「進階」頁。
  3. 一般設定檔持續連線如果需要的話,啟用「一般設定檔」功能時,,請選取這個設定檔能讓所有的使用者使用 (一般)。要「持續連線」功能,請選取「沒有使用者登入時,會使用這個設定檔」(持續)。這些功能會在軟體安裝程序期間安裝。如果選取這些功能,一定要在「進階設定」中啟用切換到
    一般和持續設定檔管理。
  4. 如果您在「一般設定」中選取了「啟用與 Cisco 相容的延伸功能」核取方塊以啟用 CCX 保全性,請確定 Cisco 的「啟用 Cisco 混合傳播網路」核取方塊也已選取。
  5. 按一下「完成」來儲存設定檔設定。
  6. 選取「設定檔清單」下方的新設定檔。使用上和下方向鍵在設定檔清單中排定新設定檔的優先順序位置。
  7. 按一下「連線」來連線到選取的無線網路。
  8. 輸入您的 LEAP 身份證明。核取「儲存使用者身份證明」核取方塊來儲存身份證明以備將來使用這個 802.1x 設定檔時使用。
  9. 按一下「確定」來關閉 Intel(R) PROSet。

CCX 存取點和用戶端組態

視 WLAN 環境而定,存取點提供選取不同驗證類型的設定值。用戶端會在連線建立期間,於用戶端和 AP 進行 802.11 驗證交涉時,傳送「驗證」演算法欄位。由 CCX 啟用之 AP 識別的「驗證」演算法值和其它不同驗證類型不一樣。舉例來說,「網路-EAP」表示 LEAP 在「開放」(其為 802.11 指定的「開放」驗證) 時的值是 0x80,並規定 EAP 交涉互換值為 0x0 的「規定 EAP」。

僅限網路-EAP

AP:若僅是使用 LEAP 驗證的 CCX 啟用網路,驗證類型會在「網路-EAP」核取方塊選取、「開放」和「規定 EAP」核取方塊取消核取的情況下設定。然後,AP 會設定僅允許LEAP 用戶端進行驗證和連線。在這種情況下,AP 會期待 802.11 驗證演算法被設為 0x80 (LEAP),而拒絕嘗試用 0x0 "驗證" 演算法值進行驗證的用戶端。

用戶端:在這種情況下,用戶端需要傳送驗證演算值 0x80,否則,802.11 驗證交涉就會失敗。開機期間,如果 Wireless LAN 驅動程式已經載入,但是 Intel(R) PROSet 請求者尚未載入,用戶端會用 0x0 的 "驗證" 演算值傳送 802.11 驗證。當 Intel(R) PROSet 請求者載入,並啟動 LEAP 設定檔時,它就會用 0x80 的 "驗證" 演算值傳送 802.11 驗證。

網路-EAP、開放和規定 EAP

AP:如果「網路-EAP」、「開放」、和「規定 EAP」方塊有被核取,就會同時接受 802.11 驗證演算值 0x0 和 0x80 這兩種類型。但是,一旦用戶端被關聯和驗證,AP 就會期待 EAP 交涉發生。如果 EAP 交涉因為任何原因而沒有發生的話,AP 大約會有 60 秒的時間不會對用戶端做出反應。

用戶端:用戶端可傳送 0x80 或 0x0 的驗證演算值。兩種值都可被接受,802.11 驗證交涉也會成功。開機期間,如果 Wireless LAN 驅動程式已經載入,用戶端就會用 0x0 的 "驗證" 演算值傳送 802.11 驗證。這樣就足以得到驗證,但是,對應的 EAP 或 LEAP 身份證明需要與 AP 通訊才能建立連線。

僅限開放和規定 EAP

AP:如果 AP 是在「網路-EAP」未核取,但是「開放」和「規定 EAP」核取的情況下設定的,AP 會拒絕任何嘗試使用 0x80 驗證值做 802.11 驗證的用戶端。AP 會接受任何使用 0x0 驗證演算值的用戶端,並預期 EAP 交涉很快發生。在這種情況下,用戶端會使用 MD5、TLS、LEAP 或任何其它適用於特定網路組態的適當 EAP 方法。

用戶端:在此情況下,用戶端需要送出 0x0 的驗證演算值。就如之前提到的,此順序需要重複提出 802.11 驗證交涉。首先,Wireless LAN 驅動程式會以 0x0 的值啟動驗證,然後,請求者會重複此程序。即使在請求者載入和涉及 LEAP 設定檔後,用戶端依然傳送含有 0x0 "驗證" 演算法值的 802.11 驗證。

Rogue AP

LEAP 設定檔可確保用戶端依照 CCX 要求的方式執行 Rogue AP 功能。用戶端會注意其無法驗證的存取點,並將此資訊傳送給 AP,允許它進行驗證和連線。另外,請求者會將「驗證」演算法類型設定為 0x80。如上所述,可能還有一些網路組態執行和「僅限開啟和規定 EAP」 。要使這項設定能夠作業,用戶端一定要使用 0x0 的 "驗證" 演算法值,和上述的僅限網路 EAP 需要與 0x80 相反。Rogue AP 核取方塊也可讓用戶端僅支援「網路 EAP」、「開放」、和「規定 EAP」。

注意:請參考 www.cisco.com 中提供的 Cisco 用戶端延伸功能 2.0 版文件以獲取更詳細的資料。


返回內容頁