04-WLAN用户安全命令
本章节下载: 04-WLAN用户安全命令 (169.62 KB)
1.1.3 gtk-rekey client-offline enable
1.1.8 pmf association-comeback
1.1.10 pmf saquery retrytimeout
1.1.15 snmp-agent trap enable wlan usersec
1.1.20 wlan password-failure-limit enable
akm mode命令用来配置身份认证与密钥管理的模式。
undo akm mode命令用来恢复缺省情况。
【命令】
akm mode { dot1x | private-psk | psk | anonymous-dot1x }
undo akm mode
【缺省情况】
未配置身份认证与密钥管理。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
dot1x:表示身份认证与密钥管理的模式是802.1X模式。
private-psk:表示身份认证与密钥管理的模式是Private-PSK模式。
psk:表示身份认证与密钥管理的模式是PSK模式。
anonymous-dot1x:表示身份认证与密钥管理的模式是Wi-Fi联盟匿名802.1X模式。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置,并且只能配置一种模式。
当WLAN网络采用RSNA安全机制时,必须配置身份认证与密钥管理。若配置了身份认证与密钥管理模式为Wi-Fi联盟匿名802.1X模式,则安全IE只能配置为OSEN IE。
每一种身份认证模式都有互相依赖的用户认证方式:
· 802.1X模式和802.1X用户认证模式相互依赖,必须同时配置。有关802.1X的详细介绍请参见“WLAN配置指导”中的“WLAN用户接入认证”。
· Private-PSK模式和MAC地址认证模式相互依赖,必须同时配置,有关MAC地址认证的详细介绍请参见“WLAN配置指导”中的“WLAN用户接入认证”。
· PSK模式和MAC地址认证模式或Bypass用户认证模式相互依赖,必须同时配置。有关MAC地址认证和Bypass认证的详细介绍请参见“WLAN配置指导”中的“WLAN用户接入认证”。
· Wi-Fi联盟匿名802.1X模式和802.1X用户认证模式相互依赖,必须同时配置。
【举例】
# 配置身份认证与密钥管理模式为PSK模式。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] akm mode psk
【相关命令】
· cipher-suite
· security-ie
cipher-suite命令用来配置在帧加密时使用的加密套件。
undo cipher-suite命令用来取消在帧加密时使用指定的加密套件。
【命令】
cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }
undo cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }
【缺省情况】
未配置加密套件。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ccmp:AES-CCMP加密套件。
tkip:TKIP加密套件。
wep40:WEP40加密套件。
wep104:WEP104加密套件。
wep128:WEP128加密套件。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
如果配置了安全IE,则必须配置TKIP或者CCMP加密套件中的一种。当WLAN网络采用RSNA安全机制时,必须配置加密套件。
WEP加密套件只能配置WEP40/WEP104/WEP128其中的一种,且需要配置与加密套件种类相对应的WEP密钥及WEP密钥ID。
WEP128和CCMP或TKIP不能同时配置。
【举例】
# 配置在帧加密时使用TKIP加密套件。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] cipher-suite tkip
【相关命令】
· security-ie
· wep key
· wep key-id
gtk-rekey client-offline enable命令用来开启客户端离线更新GTK功能。
undo gtk-rekey client-offline enable命令用来关闭客户端离线更新GTK功能。
【命令】
gtk-rekey client-offline enable
undo gtk-rekey client-offline enable
【缺省情况】
客户端离线更新GTK功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
只有开启了更新GTK功能,客户端离线更新GTK的功能才能生效。
【举例】
# 开启客户端离线更新GTK功能。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey client-offline enable
【相关命令】
· gtk-rekey enable
gtk-rekey enable命令用来开启更新GTK功能。
undo gtk-rekey enable命令用来关闭更新GTK功能。
【命令】
gtk-rekey enable
undo gtk-rekey enable
【缺省情况】
更新GTK功能处于开启状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【举例】
# 开启更新GTK功能。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey enable
gtk-rekey method命令用来配置GTK更新方法。
undo gtk-rekey method命令用来恢复缺省情况。
【命令】
gtk-rekey method { packet-based [ packet ] | time-based [ time ] }
undo gtk-rekey method
【缺省情况】
GTK更新采用基于时间的方法,时间间隔为86400秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
packet-based:表示基于数据包的更新方法。
packet:指定传输的数据包(包括组播和广播)的数目,在传送指定数目的数据包(包括组播和广播)后更新GTK,取值范围为5000~4294967295,缺省值为10000000。
time-based:表示基于时间的GTK更新方法。
time:指定GTK密钥更新的周期。取值范围为180~604800,单位为秒,缺省值为86400秒。
【使用指导】
只有开启了GTK更新功能,GTK更新方法才能生效。
使用该命令配置GTK密钥更新方法,多次执行本命令,最后一次执行的命令生效。例如,如果先配置了基于数据包的方法,然后又配置了基于时间的方法,则最后生效的是基于时间的方法。
若该命令在无线服务模板处于开启状态下配置,则分为以下几种情况:
· 基于时间的GTK的更新方式不改变,只改变时间值,则在原有定时器超时之后,新的定时器才可以生效;
· 基于报文数的GTK更新方式不改变,只改变报文数值,则该新的配置立即生效;
· 更新方式由基于时间更新改为基于报文数更新,则删除GTK更新定时器,在组播或广播报文数大于配置的数目值之后立即生效;
· 更新方式由基于报文数更新改为基于时间更新,则基于时间方式立即生效。
【举例】
# 配置基于时间的GTK更新方法。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey method time-based 3600
# 配置基于数据包的GTK更新方法。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey method packet-based 600000
【相关命令】
· gtk-rekey enable
key-derivation命令用来配置密钥衍生算法。
undo key-derivation命令用来恢复缺省情况。
【命令】
key-derivation { sha1 | sha1-and-sha256 | sha256 }
undo key-derivation
【缺省情况】
密钥衍生算法为sha1。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
sha1:表示SHA1算法,它使用HMAC-SHA1算法进行迭代计算产生密钥。
sha1-and-sha256:表示SHA1和SHA256算法,它使用HMAC-SHA1或HMAC-SHA256算法进行迭代计算产生密钥。
sha256:表示SHA256算法,它使用HMAC-SHA256算法进行迭代计算产生密钥。
【使用指导】
当使用RSNA安全机制,密钥衍生算法才会生效。
如果配置保护管理帧功能为mandatory模式,建议指定密钥衍生类型为sha256。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 配置密钥衍生算法为SHA256。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] key-derivation sha256
【相关命令】
· akm mode
· cipher-suite
· security-ie
pmf命令用来开启保护管理帧功能。
undo pmf命令用来关闭保护管理帧功能。
【命令】
pmf { mandatory | optional }
undo pmf
【缺省情况】
保护管理帧功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
mandatory:指定保护管理帧功能为强制模式,即不支持保护管理帧功能的客户端无法接入。
optional:指定保护管理帧功能为可选模式,即支持或不支持保护管理帧功能的客户端均可接入。
【使用指导】
当使用RSNA安全机制且配置了CCMP加密套件和RSN安全信息元素时,保护管理帧功能才会生效。
【举例】
# 开启保护管理帧功能。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] pmf optional
【相关命令】
· security-ie
· cipher-suite
pmf association-comeback命令用来配置保护管理帧的关联返回时间。
undo pmf association-comeback命令用来恢复缺省情况。
【命令】
pmf association-comeback time
undo pmf association-comeback
【缺省情况】
保护管理帧的关联返回时间为1秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:保护管理帧的关联返回时间,取值范围为1~20,单位为秒。
【使用指导】
如果AP拒绝客户端的关联/重关联请求帧,会向客户端发送关联/重关联响应帧,其中携带了保护管理帧关联返回时间。到了保护管理帧关联返回时间,AP才会接收客户端的关联/重关联请求帧。
【举例】
# 配置保护管理帧的关联返回时间为2秒。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] pmf association-comeback 2
pmf saquery retrycount命令用来配置AP发送SA Query request的最大重传次数。
undo pmf saquery retrycount命令用来恢复缺省情况。
【命令】
pmf saquery retrycount count
undo pmf saquery retrycount
【缺省情况】
AP发送SA Query request帧的最大重传次数为4次。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
count:表示AP发送SA Query request帧的最大重传次数,取值范围为1~16。
【使用指导】
若AP在SA Query重试次数内未收到SA Query响应帧,并且关联返回时间已经超时,则AP将认为客户端已经掉线。
【举例】
# 设置AP发送SA Query request帧的最大重传次数为3。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] pmf saquery retrycount 3
【相关命令】
· pmf
· pmf saquery retrycount
pmf saquery retrytimeout命令用来设置AP发送SA Query request帧的时间间隔。
undo pmf saquery retrytimeout命令用来恢复缺省情况。
【命令】
pmf saquery retrytimeout timeout
undo pmf saquery retrytimeout
【缺省情况】
AP发送SA Query request帧的时间间隔为200毫秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
timeout:指定AP发送SA Query request帧的时间间隔,取值范围为100~500,单位为毫秒。
【举例】
# 设置AP发送SA Query request帧的时间间隔为300毫秒。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] pmf saquery retrytimeout 300
【相关命令】
· pmf
· pmf saquery retrytimeout
preshared-key命令用来配置PSK密钥。
undo preshared-key命令用来恢复缺省情况。
【命令】
preshared-key { pass-phrase | raw-key } { cipher | simple } string
undo preshared-key
【缺省情况】
未配置PSK密钥。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
pass-phrase:以字符串方式输入预共享密钥。
raw-key:以十六进制数方式输入预共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。密钥长度的范围与选择的密钥参数有关,具体关系如下:
· 对于pass-phrase,明文密钥为8~63个字符的字符串,密文密钥为8~117个字符的字符串。
· 对于raw-key,明文密钥为64个十六进制数,密文密钥为8~117个字符的字符串。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。只有认证密钥管理模式为PSK时,此命令才能够生效,当认证密钥管理模式为802.1X时,配置了此项,无线服务模板可以使能,但此配置不会生效。
PSK密钥只能配置一个。
【举例】
# 配置使用明文字符串12345678作为PSK密钥。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] akm mode psk
[Sysname-wlan-st-security] preshared-key pass-phrase simple 12345678
【相关命令】
· akm mode
ptk-lifetime命令用来配置PTK的生存时间。
undo ptk-lifetime命令用来恢复缺省情况。
【命令】
ptk-lifetime time
undo ptk-lifetime
【缺省情况】
PTK的生存时间为43200秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:指定生存时间,取值范围为180~604800,单位为秒。
【使用指导】
若该命令在无线服务模板处于开启状态下配置,则在原有定时器超时后,该配置生效。
【举例】
# 配置PTK生存时间为200秒。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] ptk-lifetime 200
ptk-rekey enable命令用来开启PTK更新功能。
undo ptk-rekey enable命令用来关闭PTK更新功能。
【命令】
ptk-rekey enable
undo ptk-rekey enable
【缺省情况】
PTK更新功能处于开启状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
PTK更新是对单播数据报文的加密密钥进行更新的一种安全手段,采用重新进行四次握手协商出新的PTK密钥的更新机制。
开启本功能后,设备会按照ptk-lifetime命令配置的生存时间周期性的更新PTK。
【举例】
# 开启PTK更新功能。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] ptk-rekey enable
【相关命令】
· ptk-lifetime
security-ie命令用来配置信标和探查响应帧携带安全IE。
undo security-ie命令用来配置信标和探查响应帧不携带指定的安全IE。
【命令】
security-ie { osen | rsn | wpa } *
undo security-ie { osen | rsn | wpa } *
【缺省情况】
信标和探查响应帧不携带WPA IE、RSN IE或OSEN IE。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
osen:设置在AP发送信标和探查响应帧时携带OSEN IE。OSEN IE通告了AP的OSEN能力。
rsn:设置在AP发送信标和探查响应帧时携带RSN IE。RSN IE通告了AP的RSN能力。
wpa:设置在AP发送信标和探查响应帧时携带WPA IE。WPA IE通告了AP的WPA能力。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置,并且必须要配置CCMP或TKIP加密套件。
当WLAN网络采用RSNA安全机制时,必须配置安全IE。
若配置了安全IE为OSEN IE,则只能配置认证密钥管理模式为Wi-Fi联盟匿名802.1X模式。
【举例】
# 配置信标帧和探查响应帧携带RSN信息元素。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] security-ie rsn
【相关命令】
· akm mode
· cipher-suite
snmp-agent trap enable wlan usersec命令用来开启用户安全的告警功能。
undo snmp-agent trap enable wlan usersec命令用来关闭用户安全的告警功能。
【命令】
snmp-agent trap enable wlan usersec
undo snmp-agent trap enable wlan usersec
【缺省情况】
用户安全的告警功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启了告警功能之后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。(有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。)
【举例】
# 开启用户安全的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable wlan usersec
tkip-cm-time命令用来配置发起TKIP反制策略时间。
undo tkip-cm-time命令用来恢复缺省情况。
【命令】
tkip-cm-time time
undo tkip-cm-time
【缺省情况】
发起TKIP反制策略时间为0,即不启动反制策略。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:设置发起TKIP反制策略时间,取值范围为0~3600,单位为秒。
【使用指导】
启动TKIP反制策略后,如果相邻两次MIC错误的时间间隔小于等于配置的时间,则会解除所有关联到该无线服务的客户端,并且只有在TKIP反制策略实施的时间(60秒)后,才允许客户端重新建立关联。
只有在配置了TKIP加密套件时,此命令才能够生效。
若该命令在无线服务模板处于开启状态时配置,则原有定时器超时后,该配置生效。
【举例】
# 配置发起TKIP反制策略时间为180秒。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] tkip-cm-time 180
【相关命令】
· cipher-suite
wep key命令用来配置WEP密钥。
undo wep key命令用来删除指定的WEP密钥。
【命令】
wep key key-id { wep40 | wep104 | wep128 } { pass-phrase | raw-key } { cipher | simple } string
undo wep key key-id
【缺省情况】
未配置WEP密钥。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
key-id:密钥的ID,取值范围为1~4。
wep40:设置WEP40密钥选项。
wep104:设置WEP104密钥选项。
wep128:设置WEP128密钥选项。
pass-phrase:表示共享密钥为字符串。
raw-key:表示共享密钥为十六进制数。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥的长度范围和选择的密钥参数有关,具体关系如下。密文密钥为37~73个字符的字符串。
· 对于wep40 pass-phrase,明文密钥为5个字符的字符串。
· 对于wep104 pass-phrase,明文密钥为13个字符的字符串。
· 对于wep128 pass-phrase,明文密钥为16个字符的字符串。
· 对于wep40 raw-key,明文密钥为10个16进制数。
· 对于wep104 raw-key,明文密钥为26个16进制数。
· 对于wep128 raw-key,明文密钥为32个16进制数。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
WEP密钥只有在配置了WEP加密套件的前提下才生效,最多可以配置四个WEP密钥。
【举例】
# 配置加密套件为WEP40,并配置WEP40密钥为明文12345。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] wep key 1 wep40 pass-phrase simple 12345
【相关命令】
· cipher-suite
· wep key-id
wep key-id命令用来选用WEP密钥。
undo wep key-id命令用来恢复缺省情况。
【命令】
wep key-id { 1 | 2 | 3 | 4 }
undo wep key-id
【缺省情况】
WEP加密使用的密钥ID为1。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
1:选择密钥ID为1。
2:选择密钥ID为2。
3:选择密钥ID为3。
4:选择密钥ID为4。
【使用指导】
如果使用RSNA安全机制,密钥ID不能为1,需要配置其它密钥索引值。因为RSN和WPA协商的密钥ID将为1。本命令只能在无线服务模板处于关闭状态时配置。
只有在配置了与密钥长度相对应的WEP加密套件时,指定ID的密钥才会生效。
当配置了多个密钥,可以通过配置密钥ID选择要使用的加密密钥。
【举例】
# 配置WEP40加密套件,WEP40密钥为明文12345,配置密钥ID为1。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] cipher-suite wep40
[Sysname-wlan-st-security] wep key 1 wep40 pass-phrase simple 12345
[Sysname-wlan-st-security] wep key-id 1
【相关命令】
· wep key
wep mode dynamic命令用来开启动态WEP加密机制。
undo wep mode dynamic命令用来关闭动态WEP加密机制。
【命令】
wep mode dynamic
undo wep mode dynamic
【缺省情况】
动态WEP加密机制处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
配置动态WEP加密必须和dot1x用户接入认证模式一起使用,并且wep key-id不能配置为4。
【举例】
# 开启动态WEP加密机制。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] wep mode dynamic
【相关命令】
· cipher-suite
· client-security authentication-mode(WLAN命令参考-WLAN用户接入认证)
· wep key
· wep key-id
wlan password-failure-limit enable命令用来开启密码错误限制功能。
undo wlan password-failure-limit enable命令用来关闭密码错误限制功能。
【命令】
wlan password-failure-limit enable [ detection-period detection-period ] [ failure-threshold failure-threshold ]
undo wlan password-failure-limit enable
【缺省情况】
密码错误限制功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
detection-period detection-period:指定密码错误限制功能的检测周期,取值范围是5~600,单位为秒,缺省值为100。
failure-threshold failure-threshold:指定密码错误限制功能的检测阈值,取值范围是1~100,缺省值为20。
【使用指导】
开启本功能后,在指定检测周期内密码校验失败次数达到指定上限时,客户端会被立即加入到动态黑名单中。有关动态黑名单的详细介绍请参见“WLAN配置指导”中的“WLAN接入”。
只有当身份认证与密钥管理模式为PSK或者Private-PSK时,密码错误限制功能才会生效。
本功能仅对在设备上进行关联的新接入的无线客户端生效。
当STAMGR进程重启(例如:设备重启导致的STAMGR进程重启)后,本功能将对密码校验失败次数重新进行计数。
本功能不支持IRF组网中AP直接从备份AC上线的情况。
【举例】
# 配置无线客户端的密码错误限制检测周期为300秒,检测阈值为50次。
<Sysname> system-view
[Sysname] wlan password-failure-limit enable detection-period 300 failure-threshold 50
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!