越来越多的物联网设备接入无线网络, 比如扫码枪、智能插座。很多物联网设备只支持 PSK 的认证方式, 而且这些物联网设备接入的无线网络又和业务网络是通的, 比如扫码枪接 入的网络需要访问库存系统,那么问题来了,这种 PSK 的认证方式, 若密码泄露,势必会 给我们的业务系统造成威胁,万一有黑客入侵,则导致业务系统崩溃。接入物联网的无线网 络若采用简单的 PSK 认证方式, 一个简单的万能钥匙都能把密码给共享出去,或者直接用软件破解, 相当不安全。
信锐无线控制器支持智能 PSK,通过收集、提前写入需要接入终端的 MAC 地址,使不同的终端使用不同的密码接入 WIFI 。从而保证的网络的安全性。
1 、 此认证方式适用于扫码枪、手持 PDA 等哑终端。
2 、 对于非哑终端接入无线时考虑安全性的话推荐适用企业级认证。
• 说明:由于部分哑终端仅支持 PSK 认证方式, 我司提供智能 PSK ,即对于终端而言是定 制化的密码服务,是在无法选择认证方式的基础上提供最强的安全服务器,如果是非哑终端,可以选择多种认证方式时, 推荐适用企业级认证。
本文档涉及的拓扑仅为示例, 该拓扑适用于新项目测试或者新项目功能验证时进 行环境快速搭建。实际项目中以具体网络环境为准, AP 目前不能选择 WIFI6AP 进行测试和使用。
2.1.1 硬件设备
|
硬件类型 |
型号 |
数量 |
|
网络控制器 |
NAC6100 |
一台 |
|
安视 POE |
RS3320-28M-PWR-LI |
一台 |
|
NAP |
NAP3620R3 |
一台 |
|
网线 |
六类 |
数根 |
|
手机 |
HUAWEI MATE 40 PRO |
一台 |
|
电脑 |
THINKPAD X1 Nano |
一台 |
• 说明:需要先保证 AP 在线且终端可以获取到 IP 地址
1)点击【接入点配置->无线网络->新增->新增智能 PSK 无线网络】;
2)【基本配置】配置无线信号名称、接入点、数据模式、生效射频等,默认智能 PSK 的SSID 的名称开头均为 IOT 打头;
3)【认证类型】里勾选“智能终端私有密钥”,信锐设备动态密钥仅针对信锐智能网卡生效, 此设备已经不再出售。
4)【4VLAN 设置】匹配给终端下发地址的 vlan ,可以根据实际情况匹配不同的规则为 终端下方不同 vlan 的地址,这里我设置的无线终端用户获取vlan100内的地址,因此默认vlan池为100。
5)【权限设定】匹配给终端下发的角色,默认为默认角色即所有的权限均放通不做限制。
1 、点击【对象定义->智能 PSK 终端->新增】,将需要连接智能 PSK 无线网络的终端的信息配置进来,包括:
(1)类型:选择“普通智能终端”;
(2)MAC 地址:配置终端的无线网卡 MAC 地址;
(3)显示名:可选配置,如有配置则终端登录上来后,在 NAC 在线用户里会以显示名作为用户名显示出来;
(4)分组:终端需要放在哪个分组就选择哪个分组;
(5)接入点密钥:可以自己配置,也可以选择生成随机密钥,终端连接上来通过 MAC匹配对应密钥
(6)描述:选填
• 说明:显示名可以根据实际情况填写, 最终会在系统状态-在线用户中显示出来, 可以更快捷的区分接入的终端是哪位用户的、接入密钥可以选择随机生成,或者手动固定都可以。
1)在平台上添加 PDA 的 mac 地址
2)PDA 使用生成的密钥接入无线。
3)手机或者电脑使用相同的密钥接入无线
1 、如下配置, MAC 为“ 18-9E-2C-54-2C-30 ”的终端使用密钥“11111111 ”接入无线, MAC 为“E8-84-A5-FF-27-3D ”的终端使用密钥“22222222 ”接入无线,其他不在智能 PSK终端库里面的终端不论使用什么密码都接入不了;
2 、在线用户信息显示如下:备注显示名的可以看到接入的终端的具体名称
3 、不在智能 PSK 终端 MAC 地址库的设备连接时显示如下:
4 、在智能 PSK 终端的 MAC 地址库的终端使用其他终端的密码连接时显示如下:
1 、 安卓 10 、苹果机、Windows10 系统有虚拟 MAC 地址,在加入智能 PSK 终端 MAC地址时一定要注意 MAC 地址的正确性
Windows10 电脑随机 MAC
安卓手机随机 MAC 地址
IOS 关闭随机 MAC 地址
2 、 终端如果没有加入智能 PSK 终端的 MAC 地址库或者密码输入错误时,在认证日志中查看不出来,需要在控制器里面确认一下。