返回目录页面

设置配置式安全性：英特尔(R) PRO/无线 3945ABG 网络连接用户指南

使用英特尔(R) PROSet/无线软件
个人安全性
个人安全性设置
设置数据加密和验证

• 配置“设备到设备”(Ad Hoc) 网络
  • 设置客户端采用开放验证和不采用数据加密（无）
  • 设置客户端采用 WEP 64 位 或 WEP 128 位数据加密
• 配置基础设施网络配置式
  • 设置客户端不采用数据加密和不采用网络验证（无）
  • 设置客户端采用 WEP 64 位 或 WEP 128 位数据加密
  • 设置客户端采用“WPA-个人”(TKIP) 或“WPA2-个人”(TKIP) 安全性设置
  • 设置客户端采用 WPA-个人 (AES-CCMP) 或 WPA2-个人 (AES-CCMP) 安全性设置

企业安全性
企业安全性设置

• 配置“设备到设备”(Ad Hoc) 网络
  • 设置客户端采用开放网络验证和不采用数据加密（无）
  • 设置客户端采用开放网络验证和 WEP 数据加密
• 配置基础设施网络配置式
  • 网络验证
    • 设置客户端采用“共享网络验证”
    • 设置客户端采用“WPA-个人”或“WPA2-个人”网络验证
    • 设置客户端采用“WPA-企业”或“WPA2-企业”网络验证
  • 802.1x 身份验证类型
    • 设置客户端采用“MD5 网络验证”
    • 设置客户端采用 WEP 数据加密和 EAP-SIM 网络验证
    • 设置客户端采用“TLS 网络验证”
    • 设置客户端采用“TTLS 网络验证”
    • 设置客户端采用“PEAP 网络验证”
    • 设置客户端采用“LEAP 网络验证”
    • 设置客户端采用“EAP-FAST 网络验证”

使用英特尔(R) PROSet/无线软件

以下章节描述如何使用“英特尔(R) PROSet/无线”为无线适配器设置所要求的安全性设置。参阅个人安全性。

本节还提供如何为无线适配器配置高级安全设置的信息。这要求从系统管理员（公司环境）取得信息，或接入点（家庭用户）的高级安全设置信息。参阅企业安全性。

有关安全性设置的一般信息，参阅安全性概述。

个人安全性

如果您是家庭或小型商业用户，而且会使用不同的简单安全性措施来保护您的无线连接，则使用“个人安全性”从列表中选择不需要对您的无线网络进行大量基础设施设置的安全性设置。不要求有 RADIUS 或 AAA 服务器。

• 查看设定“数据加密”和“身份验证”信息以了解不同的安全性类型。
• 要添加或更改要求的安全性设置，单击安全性设置以了解如何为选定的无线网络设置安全性的信息。
• 参阅配置式管理以了解有关何时使用“配置式向导”的说明。
• 参阅安全性概述了解有关无线网络不同安全性选项的更多信息。
• 如果要验证安全设置，从“无线网络列表”中选择一个无线网络。单击详细信息以查看操作模式、验证级别和数据加密。
• 参阅企业安全性来设定 802.1x 身份验证安全性。

安全性设置

个人安全性设置说明

设定数据加密和验证

在家庭无线网络中，您可以使用不同的简单安全性措施来保护您的无线连接。这些措施包括：

• 启用 Wi-Fi 保护性接入（WPA）
• 更改您的密码
• 更改网络名称(SSID)

Wi-Fi 保护性接入(WPA)加密提供网络上对数据的保护。WPA 使用一种称为预配置共享密钥 (PSK) 的加密密钥在数据传输之前对其加密。在您的家庭或小商业网络上的所有计算机和接入点上输入相同的密码。只有使用相同加密密钥的设备才能访问该网络或解密其他计算机传输的加密数据。该密码自动初始化用于数据加密过程的“时间性密钥完整性协议” (TKIP) 。

网络密钥

WEP 加密提供两个层次的安全性：

• 64 位密钥（有时称之为 40 位）
• 128 位密钥（也称为 104 位）

为提高安全性，使用 128 位密钥。如果使用加密，无线网络上的所有无线设备必须使用相同的加密密钥。

您可以自己创建密钥，并指定密钥的长度（64 位或 128 位）和密钥索引(存储某个特定密钥的位置)。密钥长度越长，该密钥就越安全。

密钥长度：64 位

口令短语（64 位）： 输入 5 个字母数字字符：0-9、a-z 或 A-Z。
十六进制密钥（64 位）： 输入 10 个十六进制字符：0-9、A-F。

密钥长度：128 位

口令短语（128 位）：输入 13 个字母数字字符：0-9、a-z 或 A-Z。
十六进制密钥（128 位）：输入 26 个十六进制字符：0-9、A-F。

在 802.11 中，一个无线站最多可配置四个密钥（密钥索引值 1、2、3 和 4）。当一个接入点或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时，被传输的消息指明用来加密消息正文的密钥索引。接收的接入点或无线站就可检索储存在该密钥索引中的密钥，并用它来解码加密的消息正文。

个人安全性：配置“设备到设备”(Ad Hoc) 网络

设置客户端采用开放验证和不采用数据加密（无）

在设备到设备模式（又称为 Ad Hoc 模式）中，无线计算机直接发送信息到其他无线计算机。您可使用 ad hoc 模式将家庭或小型办公室中的计算机联网，或者设置临时无线网络举行会议。

在英特尔(R) PROSet/无线主窗口，选择以下方法之一以连接到设备到设备网络：

• 双击“无线网络”列表中的一个 ad hoc 网络
• 在“无线网络”列表中选择一个网络。单击连接。英特尔 PROSet/无线软件自动检测无线适配器的安全性设置。
• 按下列步骤创建设备到设备 (ad hoc) 网络配置式。

注意： “设备到设备” (ad hoc) 网络在“无线网络和配置式列表”中以笔记本电脑图像 () 表示。

要创建无加密的无线网络配置式：

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加以打开“创建无线配置式”的“一般设置”。
3. 配置式名称：输入描述性的配置式名称。
4. 无线网络名称（SSID）： 输入网络标识符。
5. 操作模式：单击设备到设备 (ad hoc)。
6. 单击下一步。
7. 单击个人安全性以打开“安全性设置”。
8. 数据加密： 默认设置是无，这表明在该无线网络上没有安全性。
9. 单击确定。配置式被添加到“配置式”列表并连接到无线网络。

设置客户端采用 WEP 64 位 或 WEP 128 位数据加密

当 WEP 数据加密启用时，将使用网络密钥或密码来加密。

您必须输入密钥，并指定其长度（64 位或 128 位）和密钥索引(存储某个特定密钥的位置)。密钥越复杂（字母和数字混用），该密钥就越安全。

要向一个设备到设备网络连接添加网络密钥：

1. 在“英特尔 PROSet/无线”主窗口，双击“无线网络”列表中的一个“设备到设备”(ad hoc) 网络，或选择该网络，并单击连接。 连接成功时，将向“配置式”列表添加一个配置式。

注意： “设备到设备” (ad hoc) 网络在“无线网络和配置式列表”中以笔记本电脑图像 () 表示。

2. 单击配置式以访问配置式列表。选择在第一步中连接的网络。
3. 单击属性以打开“无线配置式向导属性”的“一般设置”。配置式名称和无线网络名称 (SSID) 出现。应将“设备到设备”(ad hoc) 选作“操作模式”。
4. 单击下一步以访问“安全性设置”。
5. 单击个人安全性。
6. 安全性设置： 默认设置是无，这表明在该无线网络上没有安全性。

要添加密码或网络密钥：

1. 安全性设置： 选择 WEP 64 位或 WEP 128 位以 64 位或 128 位密钥来配置 WEP 数据加密。

在设备上启用了 WEP 加密时，将使用 WEP 密钥来验证对网络的访问。如果无线设备没有正确的 WEP 密钥，即使验证成功，设备仍将无法传输数据。

2. 密码： 输入无线安全性密码（加密密钥）。
   • 口令短语（64 位）： 输入 5 个字母数字字符：0-9、a-z 或 A-Z。
   • WEP密钥（64 位）： 输入 10 个十六进制字符：0-9、A-F。
   • 口令短语（128 位）：输入 13 个字母数字字符：0-9、a-z 或 A-Z。
   • WEP密钥（128 位）： 输入 26 个十六进制字符：0-9、A-F。

3. 密钥索引：通过更改密钥索引，最多可指定四个密码。
4. 要添加一个以上的密码：
• 选择密钥索引号码：1、2、3 或 4。
• 输入无线安全性密码。
• 选择另一个密钥索引号码。
• 输入另一个无线安全性密码。
5. 单击确定返回到配置式列表。

个人安全性：配置基础设施网络配置式

基础设施网络由一个或多个接入点及一台或多台安装了无线适配器的计算机组成。各个接入点必须有一个和无线网络的有线连接。对家庭用户来说，这通常是一个宽带或电缆网络。

设置客户端不采用（无）数据加密

在英特尔(R) PROSet/无线主窗口，选择以下方法之一以连接到基础设施网络：

• 双击“无线网络列表”中的一个基础设施网络
• 选择“无线网络列表”中的一个基础设施网络单击连接。英特尔 PROSet/无线软件自动检测无线适配器的安全性设置。

  注意： 基础设施网络在“无线网络和配置式”列表中以接入点图像 () 表示。

设置客户端采用 WEP 64 位 或 WEP 128 位数据加密

当 WEP 数据加密启用时，将使用网络密钥或密码来加密。

网络密钥自动提供（例如，可能由您的无线网络适配器生产商提供），或者您可自行输入并指定密钥长度（64 位或 128 位）、密钥格式（ASCII 字符或十六进制数字）和密钥索引（特定密钥的储存位置）。密钥长度越长，该密钥就越安全。

要为基础设施网络连接添加一个网络密钥：

1. 在英特尔 PROSet/无线 主窗口，双击“无线网络列表”中的一个基础结构网络，或选择该网络并单击连接。

注意： 基础设施网络在“无线网络和配置式”列表中以接入点图像 () 表示。

2. 单击配置式以访问配置式列表。
3. 单击属性以打开“无线配置式向导属性”的“一般设置”。配置式名称和无线网络名称 (SSID) 出现。应将网络（基础设施）选作“操作模式”。
4. 单击下一步以访问“安全性设置”。
5. 安全性设置： 默认设置是无，这表明在该无线网络上没有安全性。

要添加密码或网络密钥：

1. 安全性设置： 选择 WEP 64 位或 WEP 128 位以 64 位或 128 位密钥来配置 WEP 数据加密。

接入点启用了 WEP 加密时，将使用 WEP 密钥来验证对网络的访问。如果无线设备没有正确的 WEP 密钥，即使验证成功，该设备仍然不能通过该接入点传输数据，也不能解密从该接入点接收的数据。

2. 密码： 输入无线安全性密码（口令短语）或加密密钥 (WEP key)。
   • 口令短语（64 位）： 输入 5 个字母数字字符：0-9、a-z 或 A-Z。
   • WEP密钥（64 位）： 输入 10 个十六进制字符：0-9、A-F。
   • 口令短语（128 位）：输入 13 个字母数字字符：0-9、a-z 或 A-Z。
   • WEP密钥（128 位）： 输入 26 个十六进制字符：0-9、A-F。
3. 密钥索引： 更改密钥索引以设置多达 4 个密码。

要添加一个以上的密码：

• 选择密钥索引号码：1、2、3 或 4。
• 输入无线安全性密码。
• 选择另一个密钥索引号码。
• 输入另一个无线安全性密码。
4. 单击确定返回到配置式列表。

设置客户端采用“WPA-个人”(TKIP) 或“WPA2-个人”(TKIP) 安全性设置

WPA 个人模式要求在接入点和客户端上手动配置一个预配置共享密钥 (PSK)。此 PSK 在客户计算机和接入点上验证用户的密码或标识代码。不需要验证服务器。WPA 个人模式针对的是家庭和小型商业环境。

WPA2 是第二代的 WPA 安全性，它为企业和消费无线用户提供了一种高层次的保证手段：它仅让被授权的用户访问无线网络。WPA2 通过对一些公司和政府部门来说必备的“高级加密标准” (AES) 提供了一种强劲的加密手段。

要以 WPA-个人网络验证和 TKIP 数据加密来配置一个配置式：

1. 在英特尔 PROSet/无线 主窗口，双击“无线网络列表”中的一个基础结构网络，或选择该网络并单击连接。

注意： 基础设施网络在“无线网络和配置式”列表中以接入点图像 () 表示。

2. 单击配置式以访问配置式列表。
3. 单击属性以打开“无线配置式向导属性”的“一般设置”。配置式名称和无线网络名称 (SSID) 出现。应将网络（基础设施）选作“操作模式”。
4. 单击下一步以访问“安全性设置”。
5. 安全性设置：选择 WPA-个人 (TKIP) 为小型商业网络或家庭环境提供安全性。使用一个称为预配置共享密钥 (PSK) 的密码。此密码越长，无线网络的安全性越强。

如果无线接入点或路由器支持“WPA2-个人”，则应当在接入点予以启用并提供一个长而强的密码。此密码越长，无线网络的安全性越强。在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码。

注意：“WPA-个人”和“WPA2-个人”不能协调操作。

6. 无线安全性密码（加密密钥）： 输入一个带有 8 到 63 个字符的文本短语。验证网络密钥与无线接入点中的密码相匹配。
7. 单击确定返回到配置式列表。

设置客户端采用 WPA-个人 (AES-CCMP) 或 WPA2-个人 (AES-CCMP) 安全性设置

Wi-Fi 保护性接入 (WPA) 是一种增强安全性，大大提高无线网络的数据保护和接入控制级别。WPA 执行 802.1x 验证和密钥交换，只适用于动态加密密钥。对家庭用户或小型商业来说，WPA-个人使用“高级加密标准 - Counter CBC-MAC Protocol” (AES-CCMP) 或“时间性密钥完整性协议”（TKIP）。

要以 WPA2-个人网络验证和 AES-CCMP 数据加密来配置一个配置式：

1. 在“配置式”页面，选择一个配置式。
2. 单击属性以打开“无线配置式向导属性”的“一般设置”。配置式名称和无线网络名称 (SSID) 出现。应将网络（基础设施）选作“操作模式”。
3. 单击下一步。“安全性设置”页面打开。
4. 安全性设置： 选择 WPA2-个人 (AES-CCMP) 在小型网络或家庭环境中提供此种级别的安全性。它使用称为预配置共享密钥 (PSK) 的密码。此密码越长，无线网络的安全性越强。

AES-CCMP（高级加密标准 - Counter CBC-MAC Protocol）是由 IEEE 802.11i 标准制订的无线传输隐私保护的新方法。AES-CCMP 提供了比 TKIP 更强有力的加密方法。如果强有力的数据保护至为紧要，请选用 AES-CCMP 加密方法。

如果无线接入点或路由器支持“WPA2-个人”，则应当在接入点予以启用并提供一个长而强的密码。在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码。

注意：“WPA-个人”和“WPA2-个人”不能协调操作。

有些安全性解决方案可能不受您的计算机操作系统的支持。您可能需要额外软件或硬件，以及无线 LAN 基础设施的支持。联系您的计算机制造商以了解详细信息。

设定密码：

1. 无线安全性密码（加密密钥）： 输入一个文本短语（其长度为 8 到 63 个字符）。验证该网络密钥与无线接入点密钥相匹配。
2. 单击确定返回到配置式列表。

返回页首

返回目录页面

企业安全性

从“安全性设置”页面，可输入选定的无线网络所要求的安全性设置。

如果您的网络环境要求 802.1x 验证，使用“企业安全性”。

• 802.1x 验证方法包括密码、身份凭证和智能卡。
• 802.1x 身份验证类型包括： MD5、EAP-SIM、LEAP、TLS、TTLS、PEAP 或 EAP-FAST。
• 参阅配置式管理获得有关启动配置式向导的说明。
• 参阅安全性概述了解有关无线网络不同安全性选项的更多信息。
• 参阅个人安全性在非企业环境（家庭、小型商业等）设定基本 WEP 或 WPA 安全性。

企业安全性设置

“企业安全性设置”说明

企业安全性：配置“设备到设备”(Ad Hoc) 网络

设置客户端采用“开放网络验证”和“不采用（无）数据加密”

当使用开放验证时，任何无线站都可请求验证。需要由另一个无线站验证的无线站发出一个验证管理帧，其中包含发送站的身份。接收站对任何验证请求授权。开放验证允许任何设备的网络接入。如果网络上未启用加密，任何知道该 SSID 的设备都可接入该网络。

在“设备到设备”(ad hoc) 模式中，无线计算机直接发送信息到其他无线计算机。您可使用 ad hoc 模式将家庭或小型办公室中的计算机联网，或者设置临时无线网络举行会议。

1. 在英特尔(R) PROSet/无线主窗口，选择以下方法之一以连接到设备到设备网络：
   • 双击“无线网络列表”中的一个“设备到设备”(ad hoc) 网络。
   • 在“无线网络列表”中选择一个“设备到设备”(ad hoc) 网络。单击连接。英特尔 PROSet/无线软件自动检测无线适配器的安全性设置。

   注意： “设备到设备” (ad hoc) 网络在“无线网络和配置式列表”中以笔记本电脑图像 () 表示。

   • 验证：
     • 如果不要求验证，则网络会连接而不提示要求输入登录身份凭证。任何具有正确的网络名称 (SSID) 的无线设备都能与网络设备连接。
     • 如果要求“数据加密”，选择 WEP。将要求您选择 64 位或 128 位加密级别、“安全性密码”（加密密钥）和“密钥索引”。这些值必须与 ad hoc 网络上的各设备相匹配，否则数据将不会被传输。

     注意： 如果需要编辑或更改无线网络设置，请参阅配置式管理以获得更多信息。

要创建无加密的无线网络配置式：

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加以打开 创建无线 配置式一般设置。

3. 无线网络名称（SSID）： 输入网络标识符。
4. 配置式名称：输入描述性的配置式名称。
5. 操作模式：单击设备到设备 (ad hoc)。
6. 单击下一步

7. 单击企业安全性以打开“安全性设置”。
8. 网络身份验证：开放：（选定）。

当使用开放验证时，任何无线站都可请求验证。需要由另一个无线站验证的无线站发出一个验证管理帧，其中包含发送站的身份。接收站对任何验证请求授权。开放验证允许任何设备的网络接入。如果网络上未启用加密，任何知道该 SSID 的设备都可接入该网络。设备到设备 (ad hoc) 网络始终以开放验证操作。

9. 数据加密： 默认值为“无”。
10. 单击确定。配置式被添加到“配置式”列表并连接到无线网络。

设置客户端采用“开放”网络验证和 WEP 数据加密

在“英特尔 PROSet/无线”主窗口，选择以下方法之一以连接到设备到设备网络：

1. 双击“无线网络列表”中的一个“设备到设备”(ad hoc) 网络。
2. 在“无线网络列表”中选择一个“设备到设备”(ad hoc) 网络。单击连接。英特尔 PROSet/无线软件自动检测无线适配器的安全性设置。

注意： “设备到设备” (ad hoc) 网络在“无线网络和配置式列表”中以笔记本电脑图像 () 表示。

3. 如果要求数据加密，可选择 WEP。将要求您选择 64 位或 128 位加密级别、“安全性密码”（加密密钥）和“密钥索引”。这些值必须与您的设备到设备 (ad hoc) 网络上的各设备相匹配，否则数据将不会被传输。

   注意：如果需要编辑或更改无线网络设置，请参阅配置式管理以获得更多信息。

要创建采用 WEP 加密的无线网络配置式：

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加以打开 创建无线 配置式向导的一般设置。
3. 无线网络名称（SSID）： 输入网络标识符。
4. 配置式名称：输入描述性的配置式名称。
5. 操作模式：单击设备到设备 (ad hoc)。
6. 单击下一步。
7. 单击企业安全性以打开“安全性设置”。
8. 网络身份验证：开放被选定（默认）。Ad hoc 网络仅使用“开放”验证。
9. 数据加密： 选择 WEP。WEP 数据加密可以 64 位或 128 位密钥配置。如果无线设备没有正确的 WEP 密钥，则该设备将无法传输或解密数据。
10. 加密级别： 选择 64 位或 128 位。
11. 无线安全性密码（加密密钥）： 键入无线网络安全性密码（WEP 密钥）。该密码的值与无线接入点或路由器使用的相同。请与管理员联系取得此密码。

• 口令短语（64 位）： 输入 5 个字母数字字符：0-9、a-z 或 A-Z。
• 十六进制密钥（64 位）： 输入 10 个十六进制字符：0-9、A-F。
• 口令短语（128 位）： 输入 13 个字母数字字符：0-9、a-z 或 A-Z。
• 十六进制密钥（128 位）： 输入 26 个十六进制字符：0-9、A-F。

12. 密钥索引：选择 1、 2、3、或 4。通过更改密钥索引，最多可指定四个密码。

更改安全性设置：

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。您刚才与之连接的网络被列到“配置式”列表中。
2. 选择无线网络。
3. 单击属性以打开“无线配置式向导属性”的“一般设置”。无线网络名称 (SSID) 和配置式名称已定义。“设备到设备”(ad hoc) 被选作操作模式。
4. 单击下一步以访问“安全性设置”。
5. 单击企业安全性。
6. 网络身份验证： 默认值为“开放”。不使用验证。
7. 数据加密： WEP 被选定。您可以更改 WEP 密钥、密钥索引或加密级别。
8. 完成更改之后，单击确定以返回到“配置式”列表。

企业安全性：配置基础设施网络配置式

基础设施网络由一个或多个接入点及一台或多台安装了无线适配器的计算机组成。各个接入点必须有一个和无线网络的有线连接。

设置客户端不采用验证或数据加密（无）

在英特尔(R) PROSet/无线主页面，选择以下方法之一以连接到基础设施网络：

• 双击“无线网络列表”中的一个基础设施网络。
• 选择“无线网络列表”中的一个基础设施网络单击连接。英特尔 PROSet/无线软件自动检测无线适配器的安全性设置。

如果不要求验证，则网络会连接而不提示要求输入登录身份凭证。任何具有正确的网络名称 (SSID) 的无线设备都能与网络上的其他设备连接。

要创建无加密的无线网络配置式：

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加以打开“创建无线配置式”的“一般设置”。
3. 配置式名称：输入描述性的配置式名称。
4. 无线网络名称（SSID）： 输入网络标识符。
5. 操作模式：单击网络（基础设施）
6. 单击下一步。
7. 单击企业安全性以打开“安全性设置”。
8. 网络身份验证：开放（选定）。

“开放”验证允许一个设备不经过 802.11 网络而接入网络。如果网络上未启用加密，任何带有正确网络名称（SSID）的无线设备都可与该接入点关联并接入该网络。

9. 数据加密： 默认值为“无”。
10. 单击确定。配置式被添加到“配置式”列表并连接到无线网络。

设置客户端采用“共享网络验证”

使用共享密钥验证时，假定每个无线站都已通过一个独立于 802.11 无线网络通讯频道的安全频道接收到了一个秘密共享密钥。共享密钥验证要求客户端配置一个静态 WEP 或 CKIP 密钥。只有当客户端通过了基于挑战的验证后，才允许其接入。CKIP 提供比 WEP 更强的数据加密，但是并非所有操作系统和接入点都支持它。

注意： 尽管共享密钥看上去似乎是达到较高级别安全性的更佳选项，但是将挑战字符串以纯文本形式传输到客户端造成了一个已知的弱点。如果有入侵者发现此挑战字符串，则共享验证密钥能更容易地被反向工程处理。因此，尽管难以置信，开放验证事实上是更安全。 要创建共享验证配置式：

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加以打开“创建无线配置式”的“一般设置”。
3. 配置式名称：输入描述性的配置式名称。
4. 无线网络名称（SSID）： 输入网络标识符。
5. 操作模式：单击网络（基础设施）。
6. 单击下一步以访问“安全性设置”。
7. 单击企业安全性。
8. 网络身份验证：选择共享。“共享”验证通过一个预先配置的 WEP 密钥来实现。
9. 数据加密： 选择“无”、WEP（64 位 或 128 位）、或 CKIP（64 位 或 128 位）。
10. 启用 802.1x：禁用。
11. 加密等级：64 位或 128 位： 当在 64 位和 128 位加密之间切换时，以前的设置将被擦除，必须输入新密钥。
12. 密钥索引：选择 1、 2、3、或 4。更改密钥索引以指定多达 4 个密码。
13. 无线安全性密码（加密密钥）：输入无线网络安全性密码（WEP 加密密钥）。此密码的值与无线 AP 或路由器使用的相同。请与管理员联系取得此密码。
    • 口令短语（64 位）： 输入 5 个字母数字字符：0-9、a-z 或 A-Z。
    • 十六进制密钥（64 位）： 输入 10 个十六进制字符：0-9、A-F。
    • 口令短语（128 位）：输入 13 个字母数字字符：0-9、a-z 或 A-Z。
    • 十六进制密钥（128 位）： 输入 26 个十六进制字符：0-9、A-F。

设置客户端采用“WPA-个人”或“WPA2-个人”网络验证

Wi-Fi 保护性接入 (WPA) 是一种增强安全性，大大提高无线网络的数据保护和接入控制级别。WPA 执行密钥交换，并只适用于动态加密密钥。如果您的无线 AP 或路由器支持“WPA-个人”和“WPA2-个人”，则应当在 AP 予以启用并提供一个长而强的密码。对不具有 RADIUS 或 AAA 服务器的个人或家庭网络， 使用“Wi-Fi 保护的访问个人”。

• WPA-Personal（WPA-个人）： 一种无线安全性方法，它提供强劲数据保护并防止对小型商业进行未经授权的访问。它使用“时间性密钥完整性协议”（TKIP）或 AES-CCMP 加密，并通过使用“预配置共享密钥 ”(PSK)来防止未经授权的网络访问。
• WPA2-个人： 对 WPA 追加的一种无线安全性方法，它提供更强劲的数据保护，并防止对小型商业进行未经授权的访问。

注意：“WPA-个人”或“WPA2-个人”不能协调操作。

有些安全性解决方案可能不受您计算机上操作系统的支持，并且可能要求额外的软件或某种硬件以及无线 LAN 体系结构支持。向计算机制造商查询了解详细信息。

要添加采用“WPA-个人”或“WPA2-个人”网络验证的配置式：

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加以打开“配置式向导”的“一般设置”。
3. 配置式名称：输入描述性的配置式名称。
4. 无线网络名称（SSID）： 输入网络标识符。
5. 操作模式：单击网络（基础设施）。
6. 单击下一步以访问“安全性设置”。
7. 单击企业安全性。
8. 网络身份验证：选择“WPA-个人”或“WPA2-个人”。参阅安全性概述。
9. 数据加密： 选择下列选项之一：
   • TKIP 提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制。
   • AES-CCMP （高级加密标准 - Counter CBC-MAC Protocol）在强劲数据保护至关紧要的情况下被用作数据加密的方法。
10. 密码： 输入一个带有 8 到 63 个字符的文本短语。此密码越长，无线网络的安全性越强。在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码。

设置客户端采用“WPA-企业”或“WPA2-企业”网络验证

“WPA2 企业”要求验证服务器。

• WPA-Enterprise（WPA-企业）： 一种无线安全性方法，它向多个用户和大型受管理的网络提供强劲数据保护。它以采用 TKIP 加密的 802.1X 验证框架，通过以验证服务器对网路用户进行验证来防止未经授权的网络访问。
• WPA2-企业：向 WPA 追加的一种无线安全性方法，它向多个用户和大型受管理的网络提供更强劲的数据保护。它通过以验证服务器对网络用户进行验证来防止未经授权的网络访问。

注意：“WPA-企业”和“WPA2-企业”不可以协调操作。

要添加采用“WPA-企业”或“WPA2-企业”验证的配置式：

1. 从系统管理员取得在 RADIUS 服务器上的用户名和密码。
2. 某些验证类型要求获取并安装客户端证书。参阅为 TLS 验证设定客户端，或询问管理员。
3. 从“英特尔 PROSet/无线”主窗口，单击配置式。
4. 在“配置式”页面，单击添加以打开“配置式向导”的“一般设置”。
5. 配置式名称：输入描述性的配置式名称。
6. 无线网络名称（SSID）： 输入网络标识符。
7. 操作模式：单击网络（基础设施）。
8. 单击下一步。
9. 单击企业安全性。
10. 网络身份验证：选择 WPA-企业或 WPA2-企业。
11. 数据加密：选择下列选项之一：
    • TKIP 提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制。
    • AES-CCMP （高级加密标准 - Counter CBC-MAC Protocol）在强劲数据保护至关紧要的情况下被用作数据加密的方法。建议选择 AES-CCMP。
12. 启用 802.1x：被选定。
13. 验证类型： 选择下列选项之一：EAP-SIM、LEAP、TLS、TTLS、PEAP、EAP-FAST。

设置客户端采用 WEP 数据加密和 MD5 网络验证

MD5 验证是一种使用用户名和密码的单向验证方法。此方法不支持密钥管理，但如果使用数据加密，确实要求预配置的密钥。要将 WEP 和 MD5 验证添加到一个新配置式：

注意： 开始之前，您需要知道授权访问网络的 RADIUS 服务器的用户名和密码。

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加以打开“配置式向导”的“一般设置”。
3. 配置式名称：输入描述性的配置式名称。
4. 无线网络名称（SSID）： 输入网络标识符。
5. 操作模式：单击网络（基础设施）。
6. 单击下一步。
7. 单击企业安全性。
8. 网络身份验证：选择开放（建议采用）。
9. 数据加密： 选择 WEP。
10. 单击 802.1x 已启用。
11. 身份验证类型： 单击 MD5。

步骤 1 / 2：密码

1. 加密级别： 单击 64 位 或 128 位。
2. 无线安全性密码（加密密钥）：输入您无线网络的网络密钥（无线安全性密码）。验证该网络密钥与无线 AP 相匹配。
   • 使用口令短语：输入最多 5 个（64 位）或 13 个（128 位）字母数字字符（0-9、a-z 或 A-Z）。
   • 使用十六进制密钥：输入最多 10 个字母数字字符（64 位，0-9、A-F）或 26 个字母数字字符（128 位，0-9、A-F）。
3. 密钥索引：选择 1、2、3 或 4。（默认密钥为 1。）
4. 单击下一步。

步骤 2 / 2：MD5 用户

1. 选择下列用户身份验证方法之一：
   • 使用 Windows 登录。802.1x 凭证与 Windows 用户名和密码匹配。连接之前，提示您输入 Windows 登录凭证。

   注意： 如果在安装英特尔 PROSet/无线软件过程中未选择“登录前连接”，则此选项不可用。参阅安装或卸载单一签入功能。

• 提示输入用户名和密码： 每次登录到无线网络时提示输入用户名和密码。
• 使用以下的用户名和密码 使用保存的身份凭证登录到网络。
  • 用户名： 用户名必须与在客户端验证之前由管理员在验证服务器上设定的用户名匹配。用户名区分大小写。此名称指定由在 TLS 隧道中运行的身份验证协议提供给验证者的身份。这个身份只有在加密的隧道建立之后才传输给服务器。
  • 域： 验证服务器上的域的名称。服务器名标识一个域或其中一个子域（例如 zeelans.com，而服务器是 blueberry.zeelans.com）。注意： 与管理员联系获得域名。
  • 密码： 指定用户密码。密码字符以星号显示。此密码必须与在验证服务器上设定的密码匹配。
  • 确认密码：重新输入用户密码。

2. 单击确定保存凭证。
3. 单击连接连接到选定的无线网络。

如果在“安全性设置”页面中未选中使用 Windows 登录，也未配置用户凭证，在您试图用此配置式连接时，输入凭证消息出现。输入您的用户名、域名和密码。单击确定导出选定的配置式。

4. 单击确定以关闭英特尔(R) PROSet/无线。

设置客户端采用 WEP 数据加密和 EAP-SIM 网络验证

EAP-SIM 使用动态的，基于会话的 WEP 密钥（由客户端适配器和 RADIUS 服务器衍生而来）为数据加密。EAP-SIM 要求你输入用户验证代码，或“个人识别号” (PIN)，以便与“订购者身份模块”(SIM) 通讯。SIM 卡是一种特殊的智能卡，用于基于“移动通信全球系统”(GSM) 的数字式手机网络。要添加采用 EAP-SIM 验证的配置式：

1. 在“配置式”页面，单击添加以打开“一般设置”。
2. 配置式名称： 输入配置式名称。
3. 无线网络名称（SSID）： 输入网络标识符。
4. 操作模式：单击网络（基础设施）。
5. 单击下一步以访问“安全性设置”。
6. 单击企业安全性。
7. 网络身份验证：选择开放（建议采用）。
8. 数据加密： 选择 WEP。
9. 单击启用 802.1x。
10. 身份验证类型： 选择 EAP-SIM。

EAP-SIM 验证可用于：

• 网络身份验证类型：“开放”、“共享”、“WPA-企业”和“WPA2-企业”
• 数据加密类型： 无、WEP、AES-CCMP 和 CKIP

EAP-SIM 用户（可选）

1. 指定用户名（身份）： 单击以指定用户名。

• 用户名： 输入指派给 SIM 卡的用户名。

2. 单击确定。

设置客户端采用“TLS 网络验证”

这些设置定义用来验证用户的协议和凭证。“传输层安全性”（TLS） 验证是一种双向验证方法，这种方法仅使用数字证书来核实客户端和服务器的身份。

要添加采用 TLS 验证的配置式：

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加以打开“配置式向导”的“一般设置”。
3. 配置式名称：输入描述性的配置式名称。
4. 无线网络名称（SSID）： 键入网络标识符。
5. 操作模式：单击网络（基础设施）。
6. 单击下一步以访问“安全性设置”。
7. 单击企业安全性。
8. 网络身份验证： 选择 WPA-企业或 WPA2-企业。
9. 数据加密： 选择 AES-CCMP（建议采用）。
10. 启用 802.1x：被选定。
11. 验证类型： 选择 TLS 供此次连接使用。

步骤 1 / 2：TLS 用户

1. 获取并安装一份客户端证书，参阅为 TLS 验证设定客户端，或询问系统管理员。
2. 选择下列选项之一以获取证书：
   • 使用我的智能卡： 如果证书驻留于智能卡上，选择此项。
   • 使用对此计算机颁发的证书。
   • 使用此计算机上的一个用户证书： 单击选择以选择驻留在此计算机上的证书。
3. 单击下一步。

步骤 2 / 2：TLS 服务器

选择下列选项之一：

1. 选择下列选项之一：
   • 验证服务器证书： 选择以确认服务器证书。

   证书颁发者：单击任何信任的 CA作为默认值，或者从列表中选择一个证书颁发者。

   • 指定服务器或证书名称：

     服务器或证书名称：输入服务器名称。

     服务器名称或服务器所属的域，取决于在下列两个选项中选了哪一个：

   服务器名称必须与指定条目完全匹配：选中时，服务器名称必须与证书上的服务器名称完全相符。服务器名称应当包括完整域名（例如，Servername.Domain name）。

   域名必须以指定条目结尾：选中时，服务器名称字段必须标识一个域，而且证书必须具有隶属于该域或其一个子域的一个服务器的名称（例如：zeelans.com，其中，服务器是 blueberry.zeelans.com）。注意：这些参数必须从管理员处获得。

注意：这些参数必须从管理员处获得。

2. 单击确定保存设置并关闭页面。

设置客户端采用“TTLS 网络验证”

TTLS 验证：这些设置定义用来验证用户的协议和凭证。客户端使用 EAP-TLS 来证实服务器，并在客户端与服务器之间创建一个 TLS 加密的频道。客户端可在这个加密的频道上使用另一种身份验证协议（通常是基于密码的协议，例如，在此加密的频道上使用“MD5 挑战”来启用服务器证实）。挑战和相应数据包通过一条非暴露的 TLS 加密频道发送。下面的例子描述如何使用带 AES-CCMP 加密和 TTLS 验证的 WPA。

要设置客户端采用 TTLS 网络验证：

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加以打开“配置式向导”的“一般设置”。
3. 配置式名称：输入描述性的配置式名称。
4. 无线网络名称（SSID）： 输入网络标识符。
5. 操作模式：单击“网络（基础设施）。
6. 单击下一步以访问“安全性设置”。
7. 单击企业安全性。
8. 网络身份验证：选择 WPA-企业或 WPA2-企业。
9. 数据加密： 选择下列选项之一：
   • TKIP 提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制。
   • AES-CCMP （高级加密标准 - Counter CBC-MAC Protocol）在强劲数据保护至关紧要的情况下被用作数据加密的方法。建议选择 AES-CCMP。
10. 启用 802.1x：被选定。
11. 身份验证类型：选择TLS 供此次连接使用。

步骤 1 / 2：TTLS 用户

1. 身份验证协议： 此参数指定在 TTLS 隧道中运行的身份验证协议。协议有：PAP（默认）、CHAP、MD5、MS-CHAP 和 MS-CHAP-V2。参阅安全性概述获得更多信息。

对 PAP、CHAP、MD5、MS-CHAP 和 MS-CHAP-V2 协议，从这些验证方法中选择一个：

• 使用 Windows 登录：选择以从用户的 Windows 登录程序中检索该用户的身份凭证。

注意： 如果在安装英特尔 PROSet/无线软件过程中未选择“登录前连接”，则此选项不可用。参阅安装或卸载单一签入功能。

• 每次我连接时提示： 选择以在连接到无线网络之前提示输入用户名和密码。用户名和密码必须首先由管理员在验证服务器上设定。
• 使用以下各项：用户名和密码安全地（加密）保存在配置式中。
  • 用户名：此用户名必须与在验证服务器上设定的用户名匹配。
  • 域： 验证服务器上的域的名称。服务器名标识一个域或其中一个子域（例如 zeelans.com，而服务器是 blueberry.zeelans.com）。注意： 与管理员联系获得域名。
  • 密码： 此密码必须与在验证服务器上设定的密码匹配。输入的密码字符以星号显示。
  • 确认密码：重新输入用户密码。

2. 漫游身份： 如果“漫游身份”未选中，默认值为 %domain%\%username%。

将 802.1x MS RADIUS 用作验证服务器时，该服务器验证使用来自英特尔 PROSet/无线软件的漫游身份用户名的设备，而忽略身份验证协议 MS-CHAP-V2 用户名。此功能是提供给验证者的 802.1x 身份。Microsoft IAS RADIUS 只接受 EAP 客户端的有效用户名（dotNet 用户）。使用 802.1x MS RADIUS 时，输入一个有效的用户名。它对所有其他服务器为可选。因此，建议使用所要的领域（例如：anonymous@myrealm），而不使用真身份。

步骤 2 / 2：TTLS 服务器

• 验证服务器证书：被选定。
• 证书颁发者：在 TTLS 消息交换过程中接收的服务器证书必须由这个证书权威 (CA) 颁发。信任的中级认证授权和根颁发机构（它们的证书存在于系统存储中）可供选取。如果选中“任何信任的 CA”，则列表中的任何 CA 都可接受。
• 指定服务器或证书名称：服务器名称或服务器所属的域，取决于在下列两个选项中选了哪一个：

• 服务器名称必须完全匹配：选中时，服务器名称必须与证书上的服务器名称完全相符。服务器名称应当包括完整域名（例如，Servername.Domain name）。
• 域名必须以指定名称结尾：选中时，服务器名称字段必须标识一个域，而且证书必须具有隶属于该域或其一个子域的一个服务器的名称（例如：zeelans.com，其中，服务器是 blueberry.zeelans.com）

注意：这些参数必须从管理员处获得。

3. 单击确定保存设置并关闭页面。

设置客户端采用“PEAP 网络验证”

PEAP 验证：为将客户端验证到验证服务器，要求 PEAP 设置。客户端使用 EAP-TLS 来证实服务器，并在客户端与服务器之间创建一个 TLS 加密的频道。客户端可在这个加密的频道上使用另一种 EAP 机制（例如 Microsoft Challenge Authentication Protocol (MS-CHAP) 第 2 版）来启用服务器证实。挑战和相应数据包通过一条非暴露的 TLS 加密频道发送。下面的例子描述如何使用带 AES-CCMP 或 TKIP 加密和 PEAP 验证的 WPA。

要设置客户端采用 PEAP 验证：

获取并安装一份客户端证书。参阅设置客户端采用 TLS 验证，或询问管理员。

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加以打开“配置式向导”的“一般设置”。
3. 配置式名称：输入描述性的配置式名称。
4. 无线网络名称（SSID）： 输入网络标识符。
5. 操作模式：单击网络（基础设施）。
6. 单击下一步以访问“安全性设置”。
7. 单击企业安全性。
8. 网络身份验证：选择 WPA-企业或 WPA2-企业。
9. 数据加密： 选择下列选项之一：
   • TKIP 提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制。
   • AES-CCMP （高级加密标准 - Counter CBC-MAC Protocol）在强劲数据保护至关紧要的情况下被用作数据加密的方法。建议选择 AES-CCMP。
10. 启用 802.1x：被选定。
11. 身份验证类型：选择 PEAP 供此次连接使用。

步骤 1 / 2：PEAP 用户

PEAP 依赖“传输层安全性”(TLS) 允许未加密的验证类型，例如 EAP-通用令牌卡 (GTC) 和一次性密码 (OTP) 支持。

1. 身份验证协议： 选择 GTC、MS-CHAP-V2（默认值）或 TLS。参阅验证协议。
2. 用户凭证： 选择下列选项之一：
   • 使用 Windows 登录：允许 802.1x 凭证匹配您的 Windows 用户名和密码。连接之前，提示您输入 Windows 登录凭证。
   • 每次我连接时提示：每次登录到网络时提示输入用户名和密码。
   • 使用以下各项： 用户名和密码安全地（加密）保存在配置式中。
     • 用户名：此用户名必须与在验证服务器上设定的用户名匹配。
     • 域： 验证服务器上的域的名称。服务器名标识一个域或其中一个子域（例如 zeelans.com，而服务器是 blueberry.zeelans.com）。注意： 与管理员联系获得域名。
     • 密码： 此密码必须与在验证服务器上设定的密码匹配。输入的密码字符以星号显示。
     • 确认密码：重新输入用户密码。
   • 漫游身份： 如果“漫游身份”未选中，默认值为 %domain%\%username%。

将 802.1x MS RADIUS 用作验证服务器时，验证服务器以来自英特尔 PROSet/无线实用程序的漫游身份用户名来验证设备，而忽略身份验证协议 MS-CHAP-V2 用户名。此功能是提供给验证者的 802.1x 身份。Microsoft IAS RADIUS 只接受 EAP 客户端的有效用户名（dotNet 用户）。使用 802.1x MS RADIUS 时，输入有效的用户名。对其他所有服务器，这为可选。因此建议不要使用真实身份，而使用所要的领域（例如：anonymous@myrealm）。

配置“漫游身份”以支持多名用户：

如果您使用要求将漫游身份基于 Windows 登录凭证上的“登录前”或“常用”连接配置式，则该配置式的创建者能添加一个使用 %username% 和 %domain% 的漫游身份。该漫游身份将被解析，而合适的登录信息将取代关键字。这将为配置漫游身份提供最大程度的灵活性，并允许多个用户共享配置式。

请参阅验证服务器的用户指南，获得如何格式化合适漫游身份的指导。可能的格式如下：

%domain%\%username%
%username%@%domain%
%username%@%domain%.com
%username%@mynetwork.com

如果“漫游身份”未选中，默认为 %domain%\%username%。

关于凭证的说明：用户名和域必须与在客户端验证之前由管理员在验证服务器上设定的用户名匹配。用户名区分大小写。此名称指定由在 TLS 隧道中运行的身份验证协议提供给验证者的身份。这个用户身份只有在加密的隧道已通过验证并建立之后才传输给服务器。

身份验证协议：这些参数指定能在 TTLS 隧道中运行的身份验证协议。以下指示为关于如何配置以 GTC、MS-CHAP-V2（默认）或 TLS 等验证协议进行 PEAP 验证的配置式。通用令牌卡（GTC）

要配置一次性密码：

1. 身份验证协议： 选择 GTC（通用令牌卡）。
2. 用户身份凭证： 选择我每次连接时提示
3. 连接时提示： 选择下列选项之一：
   • 静态密码： 连接时，输入用户凭证。
   • 一次性密码 (OTP)： 从硬件令牌设备获取密码。
   • PIN（软令牌）： 从软令牌设备获取密码。
4. 单击确定。
5. 从“无线网络”列表选择配置式。
6. 单击连接。被提示时，输入用户名、域和一次性密码 (OTP)。
7. 单击确定。将要求您确认您的登录信息。

注意： 如果管理员清除了“管理员工具”中的“缓存身份凭证”设置，则我每次连接时提示选项不可用。参阅管理员设置获得更多信息。



MS-CHAP-V2。 此参数指定在 PEAP 隧道中运行的身份验证协议。

1. 用户凭证：选择下列选项之一：
   • 使用 Windows 登录：允许 802.1x 凭证匹配您的 Windows 用户名和密码。连接之前，提示您输入 Windows 登录凭证。
   • 每次我连接时提示：每次登录到网络时提示输入用户名和密码。
   • 使用以下的用户名和密码 用户名和密码安全地（加密）保存在配置式中。
     • 用户名：此用户名必须与在验证服务器上设定的用户名匹配。
     • 域： 验证服务器上的域的名称。服务器名标识一个域或其中一个子域（例如 zeelans.com，而服务器是 blueberry.zeelans.com）。注意： 与管理员联系获得域名。
     • 密码： 此密码必须与在验证服务器上设定的密码匹配。输入的密码字符以星号显示。
     • 确认密码：重新输入用户密码。
   注意： 如果在安装英特尔 PROSet/无线软件过程中未选择“登录前连接”，则此选项不可用。参阅安装或卸载单一签入功能。

TLS：“传输层安全性”验证是一种双向验证方法，这种方法仅使用数字证书来核实客户端和服务器的身份。

1. 获取并安装一份客户端证书，参阅为 TLS 验证设定客户端，或询问系统管理员。
2. 选择下列选项之一以获取证书：
   • 使用我的智能卡： 如果证书驻留于智能卡上，选择此项。
   • 使用对此台计算机颁发的证书： 单击选择以选择一个驻留在计算机存储中的证书。
   • 使用此计算机上的用户证书。 单击选择以选择驻留在此计算机上的证书。
3. 单击下一步。

步骤 2 / 2：PEAP 服务器


1. 选择下列选项之一：
   • 验证服务器证书： 选择以确认服务器证书。

   证书颁发者：单击任何信任的 CA作为默认值，或者从列表中选择一个证书颁发者。

   • 指定服务器或证书名称：

     服务器或证书名称：输入服务器名称。

     服务器名称或服务器所属的域，取决于在下列两个选项中选了哪一个：

   服务器名称必须与指定条目完全匹配：选中时，服务器名称必须与证书上的服务器名称完全相符。服务器名称应当包括完整域名（例如，Servername.Domain name）。

   域名必须以指定条目结尾：选中时，服务器名称字段必须标识一个域，而且证书必须具有隶属于该域或其一个子域的一个服务器的名称（例如：zeelans.com，其中，服务器是 blueberry.zeelans.com）。注意：这些参数必须从管理员处获得。

关于证书的说明： 指定的身份应当与证书中的颁发给身份匹配，而且应当在验证方所使用的验证服务器（例如 RADIUS 服务器）上注册。您的证书必须对验证服务器有效。这一要求取决于验证服务器，一般意味着验证服务器必须知道您的证书的颁发者是一个“证书颁发机构”。使用与安装证书时登录所用的相同的用户密码。

2. 单击确定。此配置式被添加到“配置式”列表。
3. 单击位于“配置式”列表最后的新配置式。使用上下箭头更改新配置式的优先性。
4. 单击连接连接到选定的无线网络。

如果不选择“安全性设置”页面上的使用 Windows 登录，而且不配置用户身份凭证，则不会为此配置式保存任何凭证。请输入您的身份凭证以验证到网络。

5. 单击确定以关闭英特尔(R) PROSet/无线。

EAP-TLS 证书自动登记

如果要在 PEAP-TLS 证书被拒绝时发出警告，在应用程序设置（高级设置）中，选择英特尔(R) PROSet TLS 证书被拒绝警告。当证书有一个无效的字段过期日期时，将通知您采取下列行动之一：检测到配置式 <配置式名称> 的验证可能有问题。也许关联证书的过期日期无效。选择下列选项之一：

控件	说明
继续使用当前参数。	继续使用当前证书。
手动更新证书	“选择证书”页面打开，让您另选一份证书。
根据本地存储的证书自动更新证书。	只有当本地存储拥有一份或多份证书，而这些证书的“颁发给”和“颁发者”字段与当前证书匹配，且“过期日期”尚未失效时，此选项才启用。如果选择此选项，应用程序选择第一份有效的证书。
在登录过程中登出以获取证书（这并不更新配置式，而且只适用于为自动登记而配置的证书）。	将用户登出，该用户在下次登录过程中必须获取正确的证书。配置式必须更新以选择新证书。
自动注册	通知你：系统正在试图自动获取证书，请稍候。单击取消以结束证书提取。
不要再显示此消息。	用户可在以后的会话中避免此步骤。会记住所选的项目，用于以后的会话。

---

设置客户端采用“LEAP 网络验证”

Cisco LEAP（轻量级可扩展身份验证协议）是一种 802.1X 验证类型，它支持客户端和 RADIUS 服务器之间的强劲验证。LEAP 配置式设置包括带有欺诈 AP 检测集成的 LEAP、CKIP。要设置客户端采用 LEAP 验证：

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加。“创建无线配置式”的“一般设置”打开。
3. 配置式名称：输入描述性的配置式名称。
4. 无线网络名称（SSID）： 输入网络标识符。
5. 操作模式：单击“网络（基础设施）。
6. 单击下一步以访问“安全性设置”。
7. 单击企业安全性。
8. 网络身份验证：选择 WPA-企业或 WPA2-企业。
9. 数据加密： 选择下列选项之一：
   • TKIP 提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制。
   • AES-CCMP （高级加密标准 - Counter CBC-MAC Protocol）在强劲数据保护至关紧要的情况下被用作数据加密的方法。建议选择 AES-CCMP。
10. 启用 802.1x：被选定。
11. 身份验证类型：选择 LEAP 供此次连接使用。
12. 单击Cisco 选项。
13. 单击启用 Cisco Compatible Extensions 以启用 Cisco Compatible Extensions (CCX) 安全性（允许快速漫游 (CCKM)、启用无线电管理支持和启用混合单元模式）。

15. 单击启用无线电管理支持。使用“无线电管理”来检测欺诈接入点。
16. 单击确定返回到“安全性设置”。

LEAP 用户：


1. 选择下列份验证方法之一：
   • 使用 Windows 登录。允许 802.1x 凭证匹配您的 Windows 用户名和密码。用户的凭证从用户的 Windows 登录进程中提取。只有当用户没有在 Windows 登录凭证中定义密码，或者截获 Windows 登录凭证发生问题时，“凭证”才被使用。

   注意： 如果在安装英特尔 PROSet/无线软件过程中未选择“登录前连接”，则此选项不可用。参阅安装或卸载单一签入功能。

   • 提示输入用户名和密码： 选择以在连接到无线网络之前提示输入用户名和密码。用户名和密码必须首先由管理员在验证服务器上设定。
   • 使用以下用户名和密码：选择 以保存您的用户名和密码以供将来使用 802.1x 验证配置式时使用。
     • 用户名： 用户名必须与在客户端验证之前由管理员在验证服务器上设定的用户名匹配。用户名区分大小写。此名称指定由身份验证协议提供给验证者的身份。这名用户的身份只有在加密的隧道建立之后才传输给服务器。
     • 域： 验证服务器上的域的名称。服务器名标识一个域或其中一个子域（例如 zeelans.com，而服务器是 blueberry.zeelans.com）。注意： 域名应从管理员获得。
     • 密码： 指定用户密码。密码字符以星号显示。此密码必须与在验证服务器上设定的密码匹配。
     • 确认密码：重新输入用户密码。
2. 单击确定保存设置并关闭页面。

Cisco Compatible Extensions 选项

Cisco 选项： 用以启用或禁用“无线电管理”和“混合单元模式”或“允许快速漫游”(CCKM)。

注意： 对 CKIP、LEAP 或 EAP-FAST 配置式，Cisco Compatible Extensions 自动启用。要覆盖此行为，选择或清除此页面上的选项。

• 允许快速漫游 (CCKM)：选择以启用客户端无线适配器作快速安全漫游。如果将无线 LAN 配置为快速重新连接，则启用了 EAP-FAST、EAP-TLS、PEAP-GTC、PEAP-MSCHAPv2、或 LEAP 的客户端设备能在接入点之间漫游而不涉及主服务器。使用“Cisco 集中的密钥管理”(CCKM)，一个经配置而提供“无线域服务” (WDS) 的接入点将取代 RADIUS 服务器的位置并验证客户端，而语音或其他对时间要求高的应用程序并没有明显的延迟。

启用 Cisco Compatible 选项：选择此选项为无线连接配置式启用 Cisco Compatible Extensions。

• 启用无线电管理支持：选择此项以使无线适配器为 Cisco 基础架构提供无线电管理。如果在该基础架构上使用“Cisco Radio Management（Cisco 无线电管理）”实用程序，它将配置无线电参数、检测干扰和欺诈接入点。默认设置是选中。
• 启用混合单元模式： 选择以允许无线适配器与混合单元通信。混合单元是一种无线网络，其中有些设备使用 WEP，有些不使用。参阅混合单元模式获得更多信息。默认设置是取消选择。

---

设置客户端采用“EAP-FAST 网络验证”

Cisco 在Cisco Compatible Extensions 版本 3 (CCXv3)中添加了对 EAP-FAST （可扩展身份验证协议 - 经由“安全性隧道”进行的“伸缩性验证”）的支持，它使用“保护性接入身份凭证”(PAC) 在客户端和服务器之间建立一个经过验证的隧道。

Cisco Compatible Extensions 版本 4 (CCXv4) 改进了提供增强的安全性的方法，并提供了对增强的安全性、移动性、服务质量和网络管理的新技术。

Cisco Compatible Extensions 版本 3 (CCXv3)

要设置客户端采用带 Cisco Compatible Extensions 版本 3 (CCXv3) 的 EAP-FAST 验证：

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加以打开“创建无线配置式向导”的“一般设置”。
3. 无线网络名称（SSID）： 输入网络标识符。
4. 配置式名称：输入描述性的配置式名称。
5. 操作模式：单击网络（基础设施）。
6. 单击下一步以打开“安全设置”。
7. 单击企业安全性。
8. 网络身份验证：选择 WPA-企业或 WPA2-企业。
9. 数据加密： 选择下列选项之一：
   • TKIP 提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制。
   • AES-CCMP （高级加密标准 - Counter CBC-MAC Protocol）在强劲数据保护至关紧要的情况下被用作数据加密的方法。建议选择 AES-CCMP。
10. 启用 802.1x：被选定。
11. 身份验证类型： 选择 EAP-FAST 供此次连接使用。



注意： 如果没有通过管理员程序包安装了 CCXv4 应用程序设置，则只有 EAP-FAST 用户设置可供配置。请参阅EAP-FAST 用户设置。

步骤 1 / 2：EAP-FAST 提供

1. 单击禁用 EAP-FAST 增强 (CCXv4) 以允许在服务器未经验证的 TLS 隧道内进行提供（未经验证的 TLS 服务器提供模式）。
2. 单击选择服务器以查看业已提供给该计算机、并已驻留其上的未经验证的 PAC。

注意： 如果提供的 PAC 有效，则英特尔(R) PROSet/无线不提示用户接受 PAC。如果 PAC 无效，则英特尔 PROSet/无线自动中断提供 PAC。“无线事件查看器”显示一个状态消息，供管理员在用户计算机上查看。

要导入 PAC：



• 单击选择服务器以打开“保护性接入身份凭证”(PAC)列表。
• 单击导入以导入驻留在在此计算机或服务器上的 PAC。
• 选择该 PAC，再单击打开。
• 输入 PAC 密码（可选）。
• 单击确定关闭此页面。选定的 PAC 被添加到 PAC 列表。

3. 单击下一步以选择身份凭证检索方法或，单击确定以保存该 EAP-FAST 设置并返回“配置式”列表。此 PAC 被用于此无线配置式。

步骤 2 / 2：EAP-FAST 额外信息

要在已建立的隧道中进行客户端验证，客户端发送一个用户名和密码进行验证并建立客户端验证策略。

1. 单击用户身份凭证以选择身份凭证检索方法：

• 使用 Windows 登录。 用户的凭证从 Windows 登录进程中提取。

注意： 如果在安装英特尔 PROSet/无线软件过程中未选择“登录前连接”，则此选项不可用。参阅安装或卸载单一签入功能。

• 提示输入用户名和密码：连接到无线网络之前提示输入用户名和密码。用户名和密码必须首先由管理员在验证服务器上设定。
• 使用以下的用户名和密码 用户名和密码必须首先由管理员在验证服务器上设定。
  • 用户名：此用户名必须与在验证服务器上设定的用户名匹配。
  • 域： 验证服务器上的域的名称。服务器名标识一个域或其中一个子域（例如 zeelans.com，而服务器是 blueberry.zeelans.com）。注意： 与管理员联系获得域名。
  • 密码： 此密码必须与在验证服务器上设定的密码匹配。输入的密码字符以星号显示。
  • 确认密码：重新输入用户密码。

2. 单击确定以保存设置并关闭页面。不要求服务器验证。
   

Cisco Compatible Extensions 版本 4 (CCXv4)

要设置客户端采用带 Cisco Compatible Extensions 版本 4 (CCXv4) 的 EAP-FAST 验证：

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加以打开“创建无线配置式向导”的“一般设置”。
3. 无线网络名称（SSID）： 输入网络标识符。
4. 配置式名称：输入描述性的配置式名称。
5. 操作模式：单击网络（基础设施）。
6. 单击下一步以打开“安全设置”。
7. 网络身份验证：选择 WPA-企业或 WPA2-企业。
8. 数据加密： 选择下列选项之一：
   • TKIP 提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制。
   • AES-CCMP （高级加密标准 - Counter CBC-MAC Protocol）在强劲数据保护至关紧要的情况下被用作数据加密的方法。建议选择 AES-CCMP。
9. 数据加密：选择 AES-CCMP。
10. 启用 802.1x：被选定。
11. 身份验证类型： 选择 EAP-FAST 供此次连接使用。

步骤 1 / 3：EAP-FAST 提供

通过 CCXv4，EAP-FAST 支持两种提供方法：

• 经服务器验证模式：在经服务器验证的 (TLS) 隧道中提供。
• 未经服务器验证模式：在未经验证的 (TLS) 隧道中提供。

注意： “经服务器验证模式”相对“未经服务器验证模式”而言，具有相当可观的安全性优势，即使在将 EAP-MSCHAPv2 用作内部方法的情况下也是如此。此模式在交换 MSCHAPv2 之前确认服务器的验证，以保护 EAP-MSCHAPv2 交换，使其不受潜在的来自“中间人”的攻击。因此，在可能的情况下应尽量采用经服务器验证模式。EAP-FAST 对等伙伴在有证书或公共密钥的情况下必须使用经服务器验证模式，以确保万无一失。。

提供“保护性接入身份凭证” (PAC)：

EAP-FAST 使用 PAC 密钥来保护互相交换的用户身分验证。所有导 EAP-FAST 验证方都由一个权威标识 (A-ID) 表示。本地验证方将其 AID 发送到验证客户端，而客户端则从其数据库中查找一个匹配的 AID。如果客户端不能识别该 AID，则会请求一个新的 PAC。

注意： 如果提供的“保护性接入身分凭证”(PAC) 有效，则英特尔(R) PROSet/无线不提示用户接受 PAC。如果 PAC 无效，则英特尔 PROSet/无线自动中断提供 PAC。无线事件查看器显示一个事件消息，供管理员在用户计算机上查看。

1. 确认禁用 EAP-FAST 增强 (CCXv4) 未被选中。允许未经验证的提供和允许经验证的提供默认选中。一旦从“默认服务器”选择了一个 PAC，您就能取消选择这些提供方法中的任何一个。
2. 默认服务器： 将“无”选作默认值。单击选择服务器以从默认 PAC 授权服务器选择一个 PAC，或从服务器组列表中选择一个服务器。EAP-FAST 默认服务器（PAC 授权）选择页面打开。

注意： 服务器组仅在安装了包含 EAP-FAST“授权识别器”(A-ID) 组设置的管理员程序包情况下才予以列出。

PAC 的发布还可以手动完成(带外)。手动提供使您能在 ACS 服务器上为用户创建 PAC，然后将其导入到用户计算机。可用密码保护 PAC，用户在 PAC 导入过程中需要此密码。

要导入 PAC：

1. 单击导入以从 PAC 服务器上导入一个 PAC。
2. 单击打开。
3. 输入 PAC 密码。（可选）
4. 单击确定以关闭此页面。选定的 PAC 用于此无线配置式。

EAP-FAST CCXv4 支持提供当前为建立隧道提供的 PAC 以外的身份凭证。受支持的身份凭证类型包括受信任的 CA 证书、用于机器验证的机器身份凭证和用于绕过用户验证的临时用户身份凭证。

使用证书（TLS 验证）

1. 单击使用证书（TLS 验证）
2. 在隧道受保护时单击身份保护。
3. 选择下列选项之一：
   • 使用此计算机上的用户证书。单击选择以选择一份用户证书。单击确定。继续执行步骤 4。
   • 使用对此计算机颁发的证书。 继续执行步骤 5。
   • 使用我的智能卡。如果证书驻留于智能卡上，选择此项。继续执行步骤 5。
4. 用户名： 输入指派给用户证书的用户名。
5. 单击下一步。

步骤 2 / 3：EAP-FAST 额外信息

如果选择了使用证书（TLS 验证）和使用此计算机上的用户证书。，单击下一步（不要求漫游身份），继续转到步骤 3 以配置 EAP-FAST 服务器证书设置。如果您不需要配置 EAP-FAST 服务器设置，单击确定以保存设置并返回到“配置式”页面。

如果选择使用智能卡，则在要求时添加漫游身份。单击确定保存您的设置并返回“配置式”页面。

如果您不选择使用证书（TLS 验证），单击下一步以选择一个验证协议。CCXv4 允许额外身份凭证或 TLS 密码套件建立隧道。

身份验证协议： 选择 GTC 或 MS-CHAP-V2（默认值）

通用令牌卡（GTC）

GTC 可以和“经服务器验证模式”一起使用。这使将其他用户的数据库用作“轻型目录访问协议 (LDAP)”和一次性密码 (OTP) 技术的对等伙伴能在带内得到提供。但是，替换只有在和确保服务器验证的 TLS 密码套件一起使用的情况下才能完成。

要配置一次性密码：

1. 身份验证协议： 选择 GTC（通用令牌卡）。
2. 用户身份凭证： 选择我每次连接时提示
3. 连接时提示： 选择下列选项之一：
   • 静态密码： 连接时，输入用户凭证。
   • 一次性密码 (OTP)： 从硬件令牌设备获取密码。
   • PIN（软令牌）： 从软令牌设备获取密码。
4. 单击确定。
5. 从“无线网络”列表选择配置式。
6. 单击连接。被提示时，输入用户名、域和一次性密码 (OTP)。
7. 单击确定。

MS-CHAP-V2。 此参数指定在 PEAP 隧道中运行的身份验证协议。

1. 用户凭证：选择下列选项之一：
   • 使用 Windows 登录：允许 802.1x 凭证匹配您的 Windows 用户名和密码。连接之前，提示您输入 Windows 登录凭证。

注意： 如果在安装英特尔 PROSet/无线软件过程中未选择“登录前连接”，则此选项不可用。参阅安装或卸载单一签入功能。

• 每次我连接时提示：每次登录到网络时提示输入用户名和密码。
• 使用以下的用户名和密码 用户名和密码安全地（加密）保存在配置式中。
• 用户名：此用户名必须与在验证服务器上设定的用户名匹配。
• 域： 验证服务器上的域的名称。服务器名标识一个域或其中一个子域（例如 zeelans.com，而服务器是 blueberry.zeelans.com）。

注意： 与管理员联系获得域名。

• 密码： 此密码必须与在验证服务器上设定的密码匹配。输入的密码字符以星号显示。
• 确认密码：重新输入用户密码。
2. 漫游身份： 如果“漫游身份”未选中，默认值为 %domain%\%username%。

将 802.1x MS RADIUS 用作验证服务器时，该服务器验证使用来自英特尔 PROSet/无线软件的漫游身份用户名的设备，而忽略身份验证协议 MS-CHAP-V2 用户名。此功能是提供给验证者的 802.1x 身份。Microsoft IAS RADIUS 只接受 EAP 客户端的有效用户名（dotNet 用户）。使用 802.1x MS RADIUS 时，输入一个有效的用户名。它对所有其他服务器为可选。因此，建议使用所要的领域（例如：anonymous@myrealm），而不使用真身份。

步骤 3 / 3：EAP-FAST 服务器

“经验证的 TLS 服务器提供模式”通过将受信任的 CA 证书、自我签署的服务器证书或服务器公共密钥和 GTC 用作内部 EAP 方法而受支持。

验证服务器证书：

• 验证服务器证书：
  • 证书颁发者：在 TLS 消息交换过程中接收的服务器证书必须由这个证书权威 (CA) 颁发。信任的中级认证授权和根颁发机构（它们的证书存在于系统存储中）可供选取。如果选中“任何信任的 CA”，则列表中的任何 CA 都可接受。
• 允许中级证书：在协商过程中接收的服务器证书可能直接由 CA 颁发，也可能由其中间认证权威之一颁发。选中此项允许在服务器证书和指定的 CA 之间的服务器证书链中存在多个未指定证书。如果此项未选中，则服务器证书已经由指定的 CA 直接颁发。
• 指定服务器或证书名称：如果要自行指定服务器或证书名称，选中此项。

服务器名称或服务器所属的域，取决于在下列两个选项中选了哪一个：

• 服务器名称必须完全匹配：选中时，服务器名称必须与证书上的服务器名称完全相符。服务器名称应当包括完全合格域名（例如，Servername.Domain name）。
• 域名必须以指定名称结尾：选中时，服务器名称字段必须标识一个域，而且证书必须具有隶属于该域或其一个子域的一个服务器的名称（例如：zeelans.com，其中，服务器是 blueberry.zeelans.com）。

注意：这些参数必须从管理员处获得。

3. 单击确定以关闭安全性设置。

---

EAP-FAST 用户设置：

注意： 如果管理员程序包安装在未应用 Cisco Compatible Extensions 版本 4 应用程序设置的用户计算机上，则仅有 EAP-FAST 用户设置可供配置。

要设置客户端采用 EAP-FAST 验证：

1. 从“英特尔 PROSet/无线”主窗口，单击配置式。
2. 在“配置式”页面，单击添加以打开“创建无线配置式向导”的“一般设置”。
3. 无线网络名称（SSID）： 输入网络标识符。
4. 配置式名称：输入描述性的配置式名称。
5. 操作模式：单击网络（基础设施）。
6. 单击下一步以打开“安全设置”。
7. 单击企业安全性。
8. 网络身份验证：选择 WPA-企业或 WPA2-企业。
9. 数据加密： 选择下列选项之一：
   • TKIP 提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制。
   • AES-CCMP （高级加密标准 - Counter CBC-MAC Protocol）在强劲数据保护至关紧要的情况下被用作数据加密的方法。建议选择 AES-CCMP。
10. 启用 802.1x：被选定。
11. 身份验证类型： 选择 EAP-FAST 供此次连接使用。
12. 单击 Cisco 选项以选择允许快速漫游 (CCKM)，这将启用客户端无线适配器的快速安全漫游。    

EAP-FAST 用户：

选择凭证提取方法：

1. 选择用户身份凭证
   • 使用 Windows 登录。 用户的凭证从 Windows 登录进程中提取。

注意： 如果在安装英特尔 PROSet/无线软件过程中未选择“登录前连接”，则此选项不可用。参阅安装或卸载单一签入功能。

• 提示输入用户名和密码：连接到无线网络之前提示输入用户名和密码。用户名和密码必须首先由管理员在验证服务器上设定。
• 使用以下的用户名和密码 用户名和密码必须首先由管理员在验证服务器上设定。
  • 用户名：此用户名必须与在验证服务器上设定的用户名匹配。
  • 域： 验证服务器上的域的名称。服务器名标识一个域或其中一个子域（例如 zeelans.com，而服务器是 blueberry.zeelans.com）。

  注意： 与管理员联系获得域名。

• 密码： 此密码必须与在验证服务器上设定的密码匹配。输入的密码字符以星号显示。
• 确认密码：重新输入用户密码。
2. 允许自动提供“保护性接入身分凭证”(PAC)：

EAP-FAST 使用 PAC 密钥来保护互相交换的用户身分验证。所有导 EAP-FAST 验证方都由一个权威标识 (A-ID) 表示。本地验证方将其 AID 发送到验证客户端，而客户端则从其数据库中查找一个匹配的 AID。如果客户端不能识别该 AID，则会请求一个新的 PAC。

单击PAC以查看业已提供给该计算机、并已驻留其上的 PAC。必须首先获取 PAC，方能清除“安全设置”上的允许自动提供。

注意： 如果提供的“保护性接入身分凭证”(PAC) 有效，则英特尔(R) PROSet/无线不提示用户接受 PAC。如果 PAC 无效，则英特尔 PROSet/无线自动中断提供 PAC。无线事件查看器显示一个事件消息，供管理员在用户计算机上查看。

PAC 的发布还可以手动完成(带外)。手动提供使您能在 ACS 服务器上为用户创建 PAC，然后将其导入到用户计算机。可用密码保护 PAC，用户在 PAC 导入过程中需要此密码。

要导入 PAC：

1. 单击PAC以打开“保护性接入身分凭证”(PAC)列表。
2. 单击导入以导入驻留在在此计算机或服务器上的 PAC。
3. 选择该 PAC，再单击打开。
4. 输入 PAC 密码（可选）。
5. 单击确定关闭此页面。选定的 PAC 被添加到 PAC 列表。
6. 单击确定以保存 EAP-FAST 设置并返回到“配置式”列表。此 PAC 被用于此无线配置式。

---

 

---

返回页首

返回目录页面

• 商标和免责声明