配置和管理预共享密钥
总结 了解预共享密钥的优势,将其添加到您的 WLAN 并定期刷新。
什么是预共享密钥 (PSK)?
瞻博网络接入点支持预共享密钥 (PSK),无需额外身份验证服务器即可提供安全通道加密。为 WLAN 启用后,客户端必须提供安全 PSK 密码才能连接到无线网络。
使用 PSK 可以简化新用户入网 SSID 的过程 - 他们会收到一封电子邮件,其中包含前往 SSID 的二维码,并使用 PSK 进行身份验证。您可以通过多预共享密钥 (MPSK) 将 PSK 单独、按用户或按组分配给多个用户。您还可以将给定的 PSK 限制为一定数量的设备(需要固件版本 0.10 或更高版本)。
Mist 平台中的每个 PSK 都有自己的密钥名称,该名称本质上是一种身份,可用于在 Mist 仪表板中对 WxLAN 策略、密钥轮换和可见性进行用户级问责。例如,您可以将 PSK 单独分配到相应的 VLAN,以便在同一 SSID 内实现动态网络分段。这对于医疗保健或仓库等环境中的物联网设备尤其有用,因为您可以对相同类型的设备进行分组、分配 PSK 或将不同的组分段到不同的 VLAN。
WLAN 安全性和 PSK
设置 WLAN 时,请考虑以下选项。
-
WPA3/802.1X、WPA3(Wi-Fi Protected Access 3)PSK 需要 AP 固件 v0.9.x 或更高版本。
-
WPA3/SAE 需要 AP 固件 v0.8.x 或更高版本。
为了向后兼容旧设备,Juniper Mist 还支持(但不推荐)WPA-PSK 和临时密钥完整性协议 (TKIP)、Wi-Fi 保护访问 (WPA) 安全协议和有线等效保密 (WEP),所有这些协议都存在已知漏洞。默认情况下,这些旧版选项不可用。如果您必须使用 PSK/TKIP、多模式或 WEP 密钥启用 WPA,请通过创建支持工单联系Juniper Mist支持团队。
-
要使用 WPA3 配置多密码选项,您需要 AP 固件版本 0.14 或更高版本。
-
使用 WPA2 时,有两种方法可以在 Mist 门户中查找 WLAN:本地和 RADIUS。使用 WPA3,您可以启用 RADIUS PSK。
(仅限 WPA2)通过 本地 查找,密钥存储在接入点上,并且可以在站点和组织级别创建。它不需要连接到 Mist 云。本地通常用于物联网,其中为每个设备配置 PSK。密钥轮换在到期时进行。本地查找支持每个接入点多达 5000 个 PSK。当您想要支持设备而不是客户端以及不需要经常更改密钥时,这是一个不错的选择。
(WPA2 和 WPA3)借助 RADIUS 查找功能,PSK 存储在 RADIUS 服务器上,AP 向其发送 MAC 身份验证请求。RADIUS 服务器使用 Cisco AVPair 返回密码。RADIUS 通常在与第三方 PSK 托管服务集成时使用。RADIUS 查找支持包括身份服务引擎 (Cisco ISE)、Aruba ClearPass、RG Net 和 Eleven Wireless。RADIUS 查找需要固件版本 0.8x 或更高版本。
Access Assurance 提供的其他选项
其他功能的访问保证
如果您有 Access Assurance 订阅,则可以启用其他 MPSK 功能,包括:
- 基于云的 PSK 查找。
- 在组织层面支持超过 5000 个 PSK。
- 自动客户端上线和 PSK 门户。
- PSK 生命周期管理的功能,包括 PSK 到期时间、轮换以及每个 PSK 的计费和可见性(在 Mist 门户的 Wi-Fi 客户端页面上)。
Access Assurance 订阅是根据在 7 天内(适应使用高峰)内聚合的使用 MPSK 的并发、活动、客户端设备数量计算得出的。
配置 PSK
您可以在 WLAN 设置页面、预共享密钥页面和 Wifi 客户端页面添加、查看和修改预共享密钥。
-
WLAN 设置页面 — 导航至您的 WLAN 或创建一个新 WLAN(请参阅添加 WLAN)。
-
安全类型 - 选择“ WPA3 with Personal (SAE)” 或选择“ WPA2 with Personal (PSK)”。
- 输入 密码短语 或启用 多个密码短语。
-
-
预共享密钥页面 - 从左侧菜单 中,选择 站点>无线 > 预共享密钥。
-
要查看站点的键 - 在页面顶部选择站点。
注意:通过 Access Assurance 订阅,您还可以在组织级别查看预共享密钥。
-
要更改密钥的密码、角色、VLAN 或其他属性,请单击要更改的密钥。进行更改,然后单击 “保存”。
-
添加或删除密钥 - 使用页面右上角的按钮: 导入、 导出、 添加密钥和 删除密钥。
-
-
Wifi 客户端页面 - 从左侧菜单中,选择 客户端 > WiFi 客户端。
-
要查看站点或 WLAN 的密钥,请在页面顶部选择一个站点,或在 过滤器 框中输入 SSID。
-
要更改密码短语,请单击 SSID 以转到 WLAN 页面。在 “安全”下,输入新的 PSK。然后单击页面右上角的保存。
-
最佳做法是每周刷新 PSK。
您可以通过电子邮件自动执行轮换过程。请参阅 轮换 PSK。