09-WAPI命令
本章节下载: 09-WAPI命令 (138.73 KB)
目 录
1.1.4 wapi authentication method
1.1.5 wapi authentication mode
1.1.6 wapi authentication-server ip
1.1.10 wapi certificate format
1.1.12 wapi msk-rekey client-offline enable
l 产品对相关命令参数的支持情况、缺省值及取值范围的差异内容请参见“特性差异化列表”部分。
l 设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
【命令】
display wapi statistics [ interface interface-type interface-number ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
interface-type interface-number:查看指定接口上WAPI的统计信息,接口类型只能是WLAN-BSS。如果不指定该参数,将显示所有接口上WAPI的统计信息。
【描述】
display wapi statistics命令用来查看接口上WAPI的统计信息。
【举例】
# 查看所有接口上WAPI的统计信息。
<Sysname> display wapi statistics
WAI statistics:
Signature errors: 0
HMAC errors: 0
Authentication failures: 0
Discarded packets: 0
Overtime errors: 27
Format errors: 0
Certificate handshake failures: 3
Unicast handshake failures: 0
Multicast handshake failures: 0
Received WAI packets: 18
Authentication access request: 8
Certificate authentication response: 2
Unicast key negotiation response: 2
Multicast key response: 6
Correct packets: 18
Wrong packets: 0
Sent WAI packets: 28
Authentication active: 8
Certificate authentication request: 8
Authentication access response: 2
Unicast key negotiation request: 2
Unicast key negotiation confirm: 2
Multicast key announce: 6
表1-1 display wapi statistics命令显示信息描述表
字段 |
描述 |
Signature errors |
WAI分组验证错误签名数 |
HMAC errors |
WAI分组消息鉴别码错误校验数 |
Authentication failures |
WAI鉴别失败次数 |
Discarded packets |
被丢弃的WAI分组数 |
Overtime errors |
WAI分组超时次数 |
Format errors |
WAI分组格式错误数 |
Certificate handshake failures |
WAI证书鉴别失败次数 |
Unicast handshake failures |
WAI单播密钥协商失败次数 |
Multicast handshake failures |
WAI组播密钥协商失败次数 |
Received WAI packets |
收到的WAI分组总数 |
Authentication access request |
收到的接入鉴别请求分组数 |
Certificate authentication response |
收到的证书鉴别响应分组数 |
Unicast key negotiation response |
收到的单播密钥协商响应分组数 |
Multicast key response |
收到的组播密钥响应分组数 |
Correct packets |
收到的正确的WAI分组数 |
Wrong packets |
收到的错误的WAI分组数 |
Sent WAI packets |
发送的WAI分组总数 |
Authentication active |
发送的鉴别激活分组数 |
Certificate authentication request |
发送的证书鉴别请求分组数 |
Authentication access response |
发送的接入鉴别响应分组数 |
Unicast key negotiation request |
发送的单播密钥协商请求分组数 |
Unicast key negotiation confirm |
发送的单播密钥协商确认分组数 |
Multicast key announce |
发送的组播密钥通告分组数 |
【命令】
display wapi user [ interface interface-type interface-number ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
interface-type interface-number:查看指定接口上WAPI用户的信息,接口类型只能是WLAN-BSS。如果不指定该参数,将显示所有接口上WAPI用户的信息。
【描述】
display wapi user命令用来查看接口上WAPI用户的信息。
WAPI用户是指使用WAPI安全模式进行认证的用户,系统所支持的最大WAPI用户数量为256个。
【举例】
# 查看所有接口上WAPI用户的信息。
<Sysname> display wapi user
Total number of users: 1
User information
-------------------------------------------------------
MAC address : 00-0b-c0-02-5e-3a
VLAN : 1
Interface : WLAN-BSS2:1
Authentication method : PSK
Current state : Online
Authentication state : Idle
USK handshake state : Establish
MSK handshake state : Establish
Authorization state : Idle
Accounting state : Success
Online time (hh:mm:ss) : 00:00:05
-------------------------------------------------------
表1-2 display wapi user命令显示信息描述表
字段 |
描述 |
MAC address |
用户的MAC地址 |
VLAN |
用户所属VLAN |
Interface |
接口 |
Authentication method |
用户的认证方式(如证书认证或预共享密钥认证) |
Current state |
用户的当前状态 |
Authentication state |
用户的证书认证状态 |
USK handshake state |
用户的单播密钥协商状态 |
MSK handshake state |
用户的组播密钥协商状态 |
Authorization state |
用户的授权状态 |
Accounting state |
用户的计费状态 |
Online time (hh:mm:ss) |
用户的在线时间 |
【命令】
reset wapi statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
interface-type interface-number:清除指定接口上WAPI的统计信息,接口类型只能是WLAN-BSS。如果不指定该参数,将清除所有接口上WAPI的统计信息。
【描述】
reset wapi statistics命令用来清除接口上WAPI的统计信息。
【举例】
# 清除所有接口上WAPI的统计信息。
<Sysname> reset wapi statistics
【命令】
wapi authentication method { certificate | certificate-or-psk | psk }
undo wapi authentication method
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
certificate:采用证书鉴别方式。
certificate-or-psk:采用证书鉴别或预共享密钥鉴别方式。
psk:采用预共享密钥鉴别方式。
【描述】
wapi authentication method命令用来配置WAPI的鉴别方式。undo wapi authentication method命令用来恢复缺省情况。
缺省情况下,WAPI采用证书鉴别方式。
【举例】
# 在接口WLAN-BSS1上配置WAPI采用预共享密钥鉴别方式。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] wapi authentication method psk
【命令】
wapi authentication mode { scheme | standard }
undo wapi authentication mode
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
scheme:采用AAA鉴别模式。
standard:采用标准鉴别模式。
【描述】
wapi authentication mode命令用来配置证书鉴别模式。undo wapi authentication mode命令用来恢复缺省情况。
缺省情况下,WAPI采用标准鉴别模式。
【举例】
# 在接口WLAN-BSS1上配置WAPI采用AAA鉴别模式。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] wapi authentication mode scheme
【命令】
wapi authentication-server ip ip-address
undo wapi authentication-server ip
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
ip-address:指定AS的IP地址。
【描述】
wapi authentication-server ip命令用来指定AS的IP地址。undo wapi authentication-server ip命令用来恢复缺省情况。
缺省情况下,没有指定AS的IP地址。
【举例】
# 在接口WLAN-BSS1上指定AS的IP地址为10.10.1.1。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] wapi authentication-server ip 10.10.1.1
【命令】
wapi bk lifetime time
undo wapi bk lifetime
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
time:指定BK更新时间,取值范围为180~604800,单位为秒。
【描述】
wapi bk lifetime命令用来配置BK更新时间。undo wapi bk lifetime命令用来恢复缺省情况。
缺省情况下,BK更新时间为43200秒。
【举例】
# 在接口WLAN-BSS1上配置BK更新时间为20000秒。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] wapi bk lifetime 20000
【命令】
wapi bk rekey enable
undo wapi bk rekey enable
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
wapi bk rekey enable命令用来使能BK更新功能。undo wapi bk rekey enable命令用来关闭BK更新功能。
缺省情况下,BK更新功能处于开启状态。
【举例】
# 在接口WLAN-BSS1上关闭BK更新功能。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] undo wapi bk rekey enable
【命令】
wapi certificate domain domain-name authentication-server entity-name
undo wapi certificate domain
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
domain-name:指定PKI域的名称,为1~15个字符的字符串,不区分大小写,不能包含 / \ : ? ' " > < . * |和空格。
entity-name:指定AS的实体名,为1~15个字符的字符串,不区分大小写。
【描述】
wapi certificate domain命令用来指定证书所属的PKI域和AS的实体名。undo wapi certificate domain命令用来恢复缺省情况。
缺省情况下,没有指定证书所属的PKI域和AS的实体名。
【举例】
# 在接口WLAN-BSS1上指定证书所属的PKI域为abc,AS的实体名为def。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] wapi certificate domain abc authentication-server def
【命令】
wapi certificate format { gbw | x509 }
undo wapi certificate format
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
gbw:指定证书格式为GBW格式。
x509:指定证书格式为X.509v3格式。
【描述】
wapi certificate format命令用来指定证书鉴别所采用的证书格式。undo wapi certificate format命令用来恢复缺省情况。
缺省情况下,采用X.509v3格式的证书进行证书鉴别。
【举例】
# 在接口WLAN-BSS1上指定采用X.509v3格式的证书进行证书鉴别。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] wapi certificate format x509
【命令】
wapi mandatory-domain domain-name
undo wapi mandatory-domain
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
domain-name:指定ISP域的名称,为1~24个字符的字符串,不区分大小写。不能包含 / \ : ? ' " > < . * |和空格。
【描述】
wapi mandatory-domain命令用来指定AAA证书鉴别所属的ISP域。undo wapi mandatory-domain命令用来恢复缺省情况。
缺省情况下,没有指定AAA证书鉴别所属的ISP域。
相关配置可参考命令wapi authentication mode。
【举例】
# 在接口WLAN-BSS1上指定AAA证书鉴别所属的ISP域为abc。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] wapi mandatoty-domain abc
【命令】
wapi msk-rekey client-offline enable
undo wapi msk-rekey client-offline enable
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
wapi msk-rekey client-offline enable命令用来使能用户下线触发组播密钥更新功能。undo wapi msk-rekey client-offline enable命令用来恢复缺省情况。
缺省情况下,用户下线触发组播密钥更新功能处于关闭状态。
需要注意的是,只有在设备上先使能组播密钥更新功能,本命令才能生效。
相关配置可参考命令wapi msk-rekey enable。
【举例】
# 在接口WLAN-BSS1上配置用户下线时触发组播密钥更新。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] wapi msk-rekey enable
[Sysname-WLAN-BSS1] wapi msk-rekey client-offline enable
【命令】
wapi msk-rekey enable
undo wapi msk-rekey enable
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
wapi msk-rekey enable命令用来使能组播密钥更新功能。undo wapi msk-rekey enable命令用来关闭组播密钥更新功能。
缺省情况下,组播密钥更新功能处于开启状态。
【举例】
# 在接口WLAN-BSS1上关闭组播密钥更新功能。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] undo wapi msk-rekey enable
【命令】
wapi msk-rekey method { packet-based [ packet ] | time-based [ time ] }
undo wapi msk-rekey method
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
packet-based:由流量触发组播密钥更新。
packet:指定触发组播密钥更新的报文数量,取值范围为5000~4294967295,单位为千帧(1000帧),缺省值为10000千帧。
time-based:由时间间隔触发组播密钥更新。
time:指定触发组播密钥更新的时间间隔,取值范围为180~604800,单位为秒。
【描述】
wapi msk-rekey method命令用来配置组播密钥更新方式。undo wapi msk-rekey method命令用来恢复缺省情况。
缺省情况下,由时间间隔触发组播密钥更新,触发更新的时间间隔为86400秒。
需要注意的是,只有在设备上先使能组播密钥更新功能,本命令才能生效。
相关配置可参考命令wapi msk-rekey enable。
【举例】
# 在接口WLAN-BSS1上配置由流量触发组播密钥更新,触发更新的报文数为20000千帧。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] wapi msk-rekey enable
[Sysname-WLAN-BSS1] wapi msk-rekey method packet-based 20000
【命令】
wapi psk { pass-phrase { cipher | simple } password | raw-key { cipher | simple } key }
undo wapi psk
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
pass-phrase:以字符串方式输入预共享密钥。
raw-key:以十六进制方式输入预共享密钥。
cipher:以密文方式显示预共享密钥。
simple:以明文方式显示预共享密钥。
password:字符串格式的预共享密钥。当直接输入明文时,为1~16个ASCII码;当输入密文时,为24个ASCII码。
key:十六进制格式的预共享密钥。当直接输入明文时,为2~32个16进制数,不区分大小写;当输入密文时,为88个16进制数。
【描述】
wapi psk命令用来配置预共享密钥。undo wapi psk命令用来恢复缺省情况。
缺省情况下,没有配置预共享密钥。
【举例】
# 在接口WLAN-BSS1上配置预共享密钥为123456,用字符串格式输入,显示方式为明文方式。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] wapi psk pass-phrase simple 123456
【命令】
wapi usk lifetime time
undo wapi usk lifetime
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
time:指定单播密钥的更新时间,取值范围为180~604800,单位为秒。
【描述】
wapi usk lifetime命令用来配置单播密钥的更新时间。undo wapi usk lifetime命令用来恢复缺省情况。
缺省情况下,单播密钥的更新时间为86400秒。
【举例】
# 在接口WLAN-BSS1上配置单播密钥的更新时间为20000秒。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] wapi usk lifetime 20000
【命令】
wapi usk rekey enable
undo wapi usk rekey enable
【视图】
WLAN-BSS接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
wapi usk rekey enable命令用来使能单播密钥更新功能。undo wapi usk rekey enable命令用来关闭单播密钥更新功能。
缺省情况下,单播密钥更新功能处于开启状态。
【举例】
# 在接口WLAN-BSS1上关闭单播密钥更新功能。
<Sysname> system-view
[Sysname] interface wlan-bss 1
[Sysname-WLAN-BSS1] undo wapi usk rekey enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!