05-WAPI命令
本章节下载: 05-WAPI命令 (157.89 KB)
1.1.4 wapi authentication-method
1.1.5 wapi authentication-server ip
1.1.11 wapi msk-rekey client-offline enable
display wapi statistics命令用来显示WAPI的统计信息。
【命令】
display wapi statistics [ ap ap-name [ radio radio-id ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示指定AP的WAPI统计信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。若不指定本参数,则表示显示所有AP的WAPI统计信息。
radio radio-id:显示指定Radio的WAPI统计信息。radio-id表示Radio编号,取值范围与AP型号有关。若不指定本参数,则表示显示指定AP的所有Radio的WAPI统计信息。
【举例】
# 显示所有AP的WAPI统计信息。
<Sysname> display wapi statistics
AP name: AP1 Radio ID: 2 SSID: wapi
BSSID: 487a-da52-d4f0
Signature errors: 0
HMAC errors: 0
Authentication failures: 0
Discarded packets: 0
Overtime errors: 27
Format errors: 0
Certificate verification failures: 3
Unicast negotiation failures: 0
Multicast negotiation failures: 0
Received WAI packets: 18
Authentication access requests: 8
Certificate authentication responses: 2
Unicast key negotiation responses: 2
Multicast key responses: 6
Correct packets: 18
Wrong packets: 0
Sent WAI packets: 28
Authentication activation packets: 8
Certificate authentication requests: 8
Authentication access responses: 2
Unicast key negotiation requests: 2
Unicast key negotiation confirmation packets: 2
Multicast key announcements: 6
表1-1 display wapi statistics命令显示信息描述表
字段 |
描述 |
AP name |
客户端关联AP的名称 |
Radio ID |
客户端关联的Radio ID |
SSID |
客户端关联的SSID |
BSSID |
基本服务集标识符 |
Signature errors |
WAI报文签名验证失败次数 |
HMAC errors |
WAI报文中错误消息认证码数量 |
Authentication failures |
WAI认证失败次数 |
Discarded packets |
被丢弃的WAI报文数 |
Overtime errors |
WAI报文超时重传次数 |
Format errors |
WAI报文格式错误数 |
Certificate verification failures |
WAI证书认证失败次数 |
Unicast negotiation failures |
WAI单播密钥协商失败次数 |
Multicast negotiation failures |
WAI组播密钥协商失败次数 |
Received WAI packets |
设备收到的WAI报文总数 |
Authentication access request |
设备收到的接入认证请求报文数 |
Certificate authentication response |
设备收到的证书认证响应报文数 |
Unicast key negotiation response |
设备收到的单播密钥协商响应报文数 |
Multicast key response |
设备收到的组播密钥响应报文数 |
Correct packets |
设备收到的正确的WAI报文数 |
Wrong packets |
设备收到的错误的WAI报文数 |
Sent WAI packets |
设备发送的WAI报文总数 |
Authentication active |
设备发送的认证激活报文数 |
Certificate authentication request |
设备发送的证书认证请求报文数 |
Authentication access response |
设备发送的接入认证响应报文数 |
Unicast key negotiation request |
设备发送的单播密钥协商请求报文数 |
Unicast key negotiation confirm |
设备发送的单播密钥协商确认报文数 |
Multicast key announce |
设备发送的组播密钥通告报文数 |
【相关命令】
· reset wapi statistics
display wapi user命令用来显示WAPI用户的信息。
【命令】
display wapi user [ ap ap-name [ radio radio-id ] | user-mac mac-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示指定AP的WAPI用户信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。
radio radio-id:显示指定Radio的WAPI用户信息。radio-id表示Radio编号,取值范围与AP型号有关。
user-mac mac-address:显示指定MAC地址的WAPI用户信息。mac-address表示用户的MAC地址,格式为H-H-H。
【使用指导】
若未指定任何参数,则显示所有的WAPI用户信息。
【举例】
# 显示所有的WAPI用户信息。
<Sysname> display wapi user
Total number of users: 1
AP name : ap1
Radio ID : 2
SSID : wapi
BSSID : 487a-da52-d4f0
MAC address : 54dc-1d2d-fb20
VLAN : 1
Authentication method : PSK
Current state : Online
Authentication state : Idle
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Success
Accounting state : Success
Uptime : 01:18:26
表1-2 display wapi user命令显示信息描述表
字段 |
描述 |
AP name |
客户端关联AP的名称 |
Radio ID |
客户端关联的Radio ID |
SSID |
客户端关联的SSID |
BSSID |
基本服务集标识符 |
MAC address |
无线客户端的MAC地址 |
VLAN |
无线客户端所属的VLAN |
Authentication method |
用户的认证方式: · PSK:预共享密钥认证方式 · Certificate:证书认证方式 |
Current state |
用户的当前状态: · Init:初始状态 · Auth:认证状态 · USK:单播密钥协商状态 · MSK:组播密钥\站间密钥通告状态 · Author:授权状态 · Online:在线状态 · Deactive:不活跃状态 |
Authentication state |
用户的证书认证状态: · Idle:初始状态 · Request:接入认证请求状态 · Response:证书认证响应状态 · Authenticated:已认证状态 |
Unicast key negotiation state state |
用户的单播密钥协商状态: · Idle:初始状态 · Negotiating:协商请求状态 · Established:已完成状态 |
Multicast key negotiation state |
用户的组播密钥协商状态: · Idle:初始状态 · Negotiating:密钥通告状态 · Established:已完成状态 |
Authorization state |
用户的授权状态: · Idle:初始状态 · Waiting:等待状态 · Success:成功状态 · Fail:失败状态 · Timeout:超时状态 |
Accounting state |
用户的计费状态: · Idle:初始状态 · Waiting等待状态: · Success:成功状态 · Fail:失败状态 · Timeout:超时状态 |
Online time |
用户的在线时长,格式为hh:mm:ss |
reset wapi statistics命令用来清除WAPI的统计信息。
【命令】
reset wapi statistics [ ap ap-name [ radio radio-id ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ap ap-name:清除指定AP的WAPI统计信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。若不指定本参数,则表示清除所有AP的WAPI统计信息。
radio radio-id:显示指定Radio的WAPI统计信息。radio-id表示Radio编号,取值范围与AP型号有关。若不指定本参数,则表示显示指定AP的所有Radio的WAPI统计信息。
【举例】
# 清除所有WAPI的统计信息。
<Sysname> reset wapi statistics
【相关命令】
· display wapi statistics
wapi authentication-method命令用来配置WAPI的认证方式。
undo wapi authentication-method命令用来恢复缺省情况。
【命令】
wapi authentication-method { certificate | certificate-or-psk | psk }
undo wapi authentication-method
【缺省情况】
WAPI采用证书认证方式。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
certificate:采用证书认证方式。
certificate-or-psk:采用证书认证方式或预共享密钥认证方式。
psk:采用预共享密钥认证方式。
【举例】
# 配置WAPI采用证书认证方式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi authentication-method certificate
# 配置WAPI采用证书认证或预共享密钥认证方式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi authentication-method certificate
# 配置WAPI采用预共享密钥认证方式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi authentication-method certificate
【相关命令】
· wapi psk
wapi authentication-server ip命令用来配置认证服务器的IP地址。
undo wapi authentication-server ip命令用来恢复缺省情况。
【命令】
wapi authentication-server ip ip-address
undo wapi authentication-server ip
【缺省情况】
未配置认证服务器的IP地址。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ip-address:认证服务器的IP地址。
【使用指导】
当WAPI采用证书认证方式时,设备会与认证服务器交互验证证书。
一个无线服务模板下只能配置一个认证服务器的IP地址,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置认证服务器的IP地址为10.10.1.1。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi authentication-server ip 10.10.1.1
wapi bk lifetime命令用来配置基密钥生存周期。
undo wapi bk lifetime命令用来恢复缺省情况。
【命令】
wapi bk lifetime time
undo wapi bk lifetime
【缺省情况】
BK生存周期为43200秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:基密钥生存周期,取值范围为180~604800,单位为秒。
【使用指导】
基密钥具有生命周期,当其生命周期结束时需要进行更新,即重新进行证书认证过程,生成新的基密钥。要进行基密钥更新,必须保证基密钥更新功能处于开启状态。
在单播密钥更新功能处于开启状态时,基密钥更新完成后,单播密钥也会进行更新,而不受单播密钥生存周期的影响,当单播密钥更新完成后基密钥才会重新开始计算生存周期。
【举例】
# 配置基密钥生存周期为1000秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi bk lifetime 1000
【相关命令】
· wapi bk rekey enable
· wapi usk rekey enable
· wapi usk lifetime
wapi bk-rekey enable命令用来开启基密钥更新功能。
undo wapi bk-rekey enable命令用来关闭基密钥更新功能。
【命令】
wapi bk-rekey enable
undo wapi bk-rekey enable
【缺省情况】
基密钥更新功能处于开启状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
基密钥具有生命周期,当其生命周期结束时需要进行更新,即重新进行证书认证过程,生成新的基密钥。要进行基密钥更新,必须保证基密钥更新功能处于开启状态。
【举例】
# 开启基密钥更新功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi bk rekey enable
【相关命令】
· wapi bk lifetime
wapi certificate domain命令用来配置证书所属的PKI域和证书序列号。
undo wapi certificate domain命令用来恢复缺省情况。
【命令】
wapi certificate domain domain-name serial serial-number
undo wapi certificate domain
【缺省情况】
未配置证书所属的PKI域和证书序列号。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:PKI域名称,为1~31个字符的字符串,不区分大小写,不能包含“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
serial serial-number:证书的序列号,为1~127个字符的字符串,区分大小写。
【使用指导】
指定证书所属的PKI域,用于获取对应PKI域的相关策略;指定证书序列号,用于查找和获取认证服务器上的证书。
一个无线服务模板下只能配置一个PKI域和证书序列号,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置证书所属的PKI域为abc,证书序列号为def。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi certificate domain abc serial def
wapi domain命令用来配置WAPI用户使用指定的ISP域进行AAA认证。
undo wapi domain命令用来恢复缺省情况。
【命令】
wapi domain domain-name
undo wapi domain
【缺省情况】
未配置WAPI用户使用的ISP域,即不对用户进行AAA认证。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域的名称,为1~255个字符的字符串,不区分大小写。不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指导】
请先通过domain命令创建ISP域,然后再通过本命令引用创建的ISP域,关于domain命令的详细介绍,请参见“安全命令参考”中的“AAA”。
目前,当ISP域里面配置了认证、授权和计费方法后,仅计费方法生效。
【举例】
# WAPI用户使用ISP域abc进行AAA认证。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi domain abc
wapi enable命令用来开启WAPI认证功能。
undo wapi enable命令用来关闭WAPI认证功能。
【命令】
wapi enable
undo wapi enable
【缺省情况】
WAPI认证功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
请在开启WAPI认证功能前,先关闭无线服务模板。
【举例】
# 开启WAPI认证功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi enable
wapi msk-rekey client-offline enable命令用来开启用户下线触发组播密钥更新功能。
undo wapi msk-rekey client-offline enable命令用来关闭用户下线触发组播密钥更新功能。
【命令】
wapi msk-rekey client-offline enable
undo wapi msk-rekey client-offline enable
【缺省情况】
用户下线触发组播密钥更新功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当开启用户下线触发组播密钥更新功能之后,只要有一个用户下线,就将触发组播密钥更新,这样可以防止密钥的泄漏。
为了保证用户下线触发组播密钥更新功能生效,请保证首先开启了组播密钥更新功能。
【举例】
# 开启用户下线触发组播密钥更新功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi msk-rekey enable
[Sysname-wlan-st-service1] wapi msk-rekey client-offline enable
【相关命令】
· wapi msk-rekey enable
· wapi msk-rekey method
wapi msk-rekey enable命令用来开启组播密钥更新功能。
undo wapi msk-rekey enable命令用来关闭组播密钥更新功能。
【命令】
wapi msk-rekey enable
undo wapi msk-rekey enable
【缺省情况】
组播密钥更新功能处于开启状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
组播密钥具有生命周期,当其生命周期结束时需要更新组播密钥。要进行组播密钥更新,必须保证组播密钥更新功能处于开启状态。
【举例】
# 开启组播密钥更新功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi msk-rekey enable
【相关命令】
· wapi msk-rekey client-offline enable
· wapi msk-rekey method
wapi msk-rekey method命令用来配置组播密钥更新触发方式。
undo wapi msk-rekey method命令用来恢复缺省情况。
【命令】
wapi msk-rekey method { packet-based [ packet ] | time-based [ interval ] }
undo wapi msk-rekey method
【缺省情况】
组播密钥更新触发方式为时间间隔。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
packet-based:表示由流量触发组播密钥更新。
packet:触发组播密钥更新的报文数量,取值范围为5000~4294967295,单位为千帧(1000帧),缺省值为10000千帧。
time-based:表示定期触发组播密钥更新。
interval:触发组播密钥更新的时间间隔,取值范围为180~604800,单位为秒,缺省值为86400秒。
【使用指导】
为了保证本命令生效,请保证首先开启了组播密钥更新功能。
由流量触发组播密钥更新和定期触发组播密钥更新不能同时配置,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置组播密钥更新触发方式为流量触发,触发组播密钥更新的报文数量为20000千帧。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi msk-rekey enable
[Sysname-wlan-st-service1] wapi msk-rekey method pack-based 20000
【相关命令】
· wapi msk-rekey enable
· wapi msk-rekey client-offline enable
wapi psk命令用来配置WAPI预共享密钥。
undo wapi psk命令用来恢复缺省情况。
【命令】
wapi psk { cipher | simple } { hex | string } key
undo wapi psk
【缺省情况】
未配置WAPI预共享密钥。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
cipher:以密文方式设置预共享密钥。
simple:以明文方式设置预共享密钥,该密钥将以密文形式存储。
hex:以十六进制方式设置预共享密钥。
string:以字符串方式设置预共享密钥。
key:字符串格式的明文密钥长度为1~16,密文密钥的长度为1~53,区分大小写;十六进制格式的明文密钥长度为2~32,不区分大小写;密文密钥的长度为2~88,区分大小写。
【使用指导】
由于部分终端不支持8位以下明文字符串密码,所以配置明文字符串密码时,建议配置8位或8位以上。
【举例】
# 以明文方式配置字符串格式的预共享密钥123456。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi psk simple string 123456
# 以密文方式配置字符串格式的预共享密钥123456。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi psk cipher string 123456
# 以明文方式配置十六进制格式的预共享密钥123456。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi psk simple hex 123456
# 以密文文方式配置十六进制格式的预共享密钥为123456。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi psk cipher hex 123456
【相关命令】
· wapi authentication-method
wapi usk lifetime命令用来配置单播密钥的生存周期。
undo wapi usk lifetime命令用来恢复缺省情况。
【命令】
wapi usk lifetime time
undo wapi usk lifetime
【缺省情况】
单播密钥的生存周期为86400秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:单播密钥的生存周期,取值范围为180~604800,单位为秒。
单播密钥具有生命周期,当其生命周期结束时需要进行更新,即重新进行单播密钥协商。要进行单播密钥更新,必须保证单播密钥更新功能处于开启状态。
在单播密钥更新功能处于开启状态时,基密钥更新完成后,单播密钥也会进行更新,而不受单播密钥生存周期的影响。
【举例】
# 配置单播密钥的生存周期为1000秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi usk lifetime 1000
【相关命令】
· wapi usk rekey enable
wapi usk-rekey enable命令用来开启单播密钥更新功能。
undo wapi usk-rekey enable命令用来关闭单播密钥更新功能。
【命令】
wapi usk-rekey enable
undo wapi usk-rekey enable
【缺省情况】
单播密钥更新功能处于开启状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
单播密钥具有生命周期,当其生命周期结束时需要进行更新,即重新进行单播密钥协商。要进行单播密钥更新,必须保证单播密钥更新功能处于开启状态。
【举例】
# 开启单播密钥更新功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi usk rekey enable
【相关命令】
· wapi usk lifetime
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!