03-WAPI配置
本章节下载: 03-WAPI配置 (473.70 KB)
目 录
WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)是中国提出的以802.11无线协议为基础的无线安全标准。
WAPI采用证书认证方式和预共享密钥认证方式对客户端身份的合法性进行认证,并且采用单播密钥协商和组播密钥通告对客户端和与AC之间交互的单播/组播数据进行保护。
WAPI协议由以下两部分构成:
· WAI(WLAN Authentication Infrastructure,无线局域网鉴别基础结构):用于无线局域网中身份认证和密钥管理的安全方案。
· WPI(WLAN Privacy Infrastructure,无线局域网保密基础结构):用于无线局域网中数据传输保护的安全方案,包括数据加解密和重放保护等功能。
· AS(Authentication Server,认证服务器):用于对用户和设备证书进行身份认证等,是基于公钥密码技术的WAI中重要的组成部分。
· BK(Base Key,基密钥):用于导出单播会话密钥,由证书认证过程协商得到或者由预共享密钥导出。
· MSK(Multicast Session Key,组播会话密钥):用于保护站点发送的组播MPDU的随机值,包括组播加密密钥和组播完整性校验密钥。
· PSK(Preshared Key,预共享密钥):发布给客户端的静态密钥。
· USK(Unicast Session Key,单播会话密钥):由BK通过伪随机函数导出的随机值,分为四个部分:单播加密密钥、单播完整性校验密钥、消息认证密钥和组播密钥加密密钥。
WAPI支持两种身份认证方式:证书认证方式和预共享密钥认证方式。
证书认证是基于无线客户端、AC和AS三方的证书进行的认证。认证前无线客户端和AC必须预先拥有各自的证书,然后通过AS对双方的身份分别进行认证,根据双方产生的临时公钥和临时私钥生成BK,并为随后的单播密钥协商和组播密钥通告做好准备。有关证书认证的详细介绍,请参见“安全配置指导”中的“PKI”。
目前,AC与AS之间的WAI协议报文将通过普通的UDP方式进行传输,最终完成证书认证,具体过程如图1-1所示。
(1) 802.11链路协商完成以后,AC会向Client发送认证激活报文启动证书认证过程,其中包含AC的证书。
(2) Client接收到认证激活报文后,向AC发送接入认证请求报文,其中包含Client证书及Client对接入认证请求报文的签名。
(3) AC接收到接入认证请求报文后,从Client证书中取出公钥,验证签名是否正确,如果签名正确,则向AS发送证书认证请求报文,其中包含Client证书和AC证书,如果签名不正确,则丢弃报文。
(4) AS收到证书认证请求报文后,验证Client证书和AC证书是否正确,并向AC发送证书认证响应报文,其中包含验证结果和AS签名。
(5) AC收到证书认证响应报文后,向Client发送接入认证响应报文,其中包含接入认证结果,证书验证结果,AS签名,AC对接入认证响应报文的签名。
(6) Client收到接入认证响应报文后,依次检查AC的证书验证结果和接入认证结果:
a. 如果AC证书不正确,则断开连接;如果正确,检查接入认证结果。
b. 如果结果为接入成功,则进行单播密钥协商和组播密钥通告,否则断开连接。
预共享密钥认证是基于Client和AC双方的密钥所进行的认证。认证前Client和AC必须预先配置有相同的密钥,即预共享密钥。认证时直接将预共享密钥转换为BK,然后进行单播密钥协商和组播密钥通告。
Client与AC之间交互的单播数据利用单播密钥协商过程所协商出的单播加密密钥和单播完整性校验密钥进行保护,其过程如图1-2所示。
(1) 在AC完成证书认证过程、采用预共享密钥认证方式或进行单播密钥更新时,AC向Client发送单播密钥协商请求报文开始与Client进行单播密钥协商,其中包含AC的Challenge字段。
(2) Client接收到AC发送的单播密钥协商请求报文后:
¡ 如果是Client上线过程,则直接发送单播密钥协商响应报文。
¡ 如果是单播密钥更新过程,会检查AC的Challenge字段与本地保存的值是否相同,此时本地保存的值为上一次协商的值,如果相同,则发送单播密钥协商响应报文,否则丢弃报文。
单播密钥协商响应报文中包含Client的Challenge字段、AC的Challenge字段以及消息认证码。
(3) AC接收到单播密钥协商响应报文后,验证AC的Challenge字段和消息认证码是否正确,如果正确,则发送单播密钥协商确认报文,其中包含Client的Challenge字段和消息认证码,如果不正确则丢弃报文。
(4) Client接收到单播密钥协商确认报文后,验证Client的Challenge字段和消息认证码是否正确,如果正确则协商完成,如果不正确则丢弃报文。
当单播密钥协商完成后,再使用单播密钥协商过程所协商出的密钥进行组播密钥的通告。AC利用自己生成的16个字节的随机数(只生成一次),即组播密钥对其发送的广播/组播数据进行保护,而Client则采用AC通告的组播会话密钥对收到的广播/组播数据进行解密。其过程如图1-3所示。
(1) 单播密钥协商成功后或AC要更新组播密钥时,AC向Client发送组播密钥通告报文,包含密钥数据、密钥通告标识等。
(2) Client接收到AC发送的组播密钥通告报文后,对密钥数据解密得到通告主密钥,然后向AC发送组播密钥响应报文,其中包含密钥通告标识。
(3) AC接收到Client发送的组播密钥响应报文后,验证密钥通告标识是否正确,如果正确则组播密钥通告成功,如果不正确则丢弃报文。
开启WAPI预鉴别功能后,当客户端认证方式为WAPI证书认证时,客户端支持在同一AC下的AP间进行快速漫游,即客户端不需要再次进行认证鉴别流程即可完成漫游上线。
对于时延要求严格的场景,建议开启WAPI预鉴别功能以满足用户需求。
如图1-4所示,WAPI证书认证快速漫游机制的具体过程如下。
(1) 客户端在AP 1上通过WAPI证书认证初始上线过程中,客户端会预先发送可能漫游的目的AP的信息给AC,在AC上会创建该客户端对应的漫游表项信息(漫游表项信息主要包括客户端上线SSID、BKID、认证方式、安全认证模式以及漫游VLAN等)。
(2) 客户端漫游到AP 2,AC查找该客户端的漫游表项,当客户端认证方式为WAPI证书认证,且客户端携带的BKID和设备缓存的BKID一致时,就认为客户端已经进行过WAPI证书鉴别过程,直接跳过该过程,利用缓存的BK进行密钥协商以及后续的漫游上线。
图1-4 WAPI证书认证快速漫游示意图
与WAPI相关的协议规范有:
· GB 15629.11-2003/XG1-2006:信息技术系统间远程通信和信息交换局域网和城域网 特定要求 第11部分:无线局域网媒体访问控制和物理层规范
· RFC 3280:Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
· RFC 4492:Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
产品型号 |
说明 |
WX5540X |
支持 |
WX5560X |
支持 |
WX5860X |
不支持 |
请在配置本功能之前通过a-msdu disable命令关闭A-MSDU功能。有关A-MSDU功能的详细介绍请参见“射频资源管理配置指导”中的“射频管理”。
WAPI协议规定在证书认证过程中所使用的密钥签名算法必须为ECDSA(Elliptic Curve Digital Signature Algorithm,椭圆曲线数字签名算法),有关ECDSA的详细介绍,请参见“安全配置指导”中的“公钥管理”。
WAPI支持数据集中转发方式和数据本地转发方式。
Dot11ac模式下,不建议配置本特性。
WAPI配置任务如下:
(1) 配置WAPI认证方式
(2) 配置WAPI采用证书认证
如果选择的WAPI认证方式包括证书认证,则需要进行此配置。
(3) 配置WAPI采用预共享密钥认证
如果选择的WAPI认证方式包括预共享密钥认证,则需要进行此配置。
(4) 开启WAPI认证功能
如果WAPI用户需要计费,则需要进行此配置。
(6) 配置单播密钥更新
(7) 配置组播密钥更新
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置WAPI认证方式。
wapi authentication-method { certificate | certificate-or-psk | psk }
缺省情况下,WAPI采用证书认证方式。
WAPI采用证书认证的配置任务如下:
(1) 配置认证服务器的IP地址
(3) (可选)配置基密钥更新功能
(4) (可选)开启WAPI预鉴别功能
当WAPI采用证书认证方式时,设备会与认证服务器交互验证证书。
一个无线服务模板下只能配置一个认证服务器的IP地址。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置认证服务器的IP地址。
wapi authentication-server ip ip-address
缺省情况下,未配置认证服务器的IP地址。
指定证书所属的PKI域,用于获取对应PKI域的相关策略;指定证书序列号,用于查找和获取认证服务器上的证书。
一个无线服务模板下只能配置一个PKI域和证书序列号。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置证书所属的PKI域和证书序列号。
wapi certificate domain domain-name serial serial-number
缺省情况下,未配置证书所属的PKI域和证书序列号。
基密钥具有生命周期,当其生命周期结束时需要进行更新。
要进行基密钥更新,必须保证基密钥更新功能处于开启状态。
在单播密钥更新功能处于开启状态时,基密钥更新完成后,单播密钥也会进行更新,而不受单播密钥生存周期的影响,当单播密钥更新完成后基密钥才会重新开始计算生存周期。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启基密钥更新功能。
wapi bk-rekey enable
缺省情况下,基密钥更新功能处于开启状态。
(4) 配置基密钥生存周期。
wapi bk lifetime time
缺省情况下,基密钥生存周期为43200秒。
开启WAPI预鉴别功能后,WAPI客户端支持在同一AC下的AP间进行快速漫游。
本功能只对证书认证方式生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启WAPI预鉴别功能。
wapi pre-auth enable
缺省情况下,WAPI预鉴别功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置WAPI预共享密钥。
wapi psk { cipher | simple } { hex | string } key
缺省情况下,未配置WAPI预共享密钥。
请在开启WAPI认证功能前,先关闭无线服务模板。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启WAPI认证功能。
wapi enable
缺省情况下,WAPI认证功能处于关闭状态。
WAPI用户将采用指定的ISP域内的计费方案对WAPI用户进行计费。
请先通过domain命令创建ISP域,然后再通过本命令引用创建的ISP域,关于domain命令的详细介绍,请参见“用户接入与认证命令参考”中的“AAA”。
目前,当ISP域里面配置了认证、授权和计费方案后,仅计费方案生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置WAPI用户使用指定的ISP域进行AAA认证。
wapi domain domain-name
缺省情况下,未配置WAPI用户使用的ISP域,即不对用户进行AAA认证。
单播密钥具有生命周期,开启单播密钥更新功能后,单播密钥在其生命周期结束后会自动进行更新。
要进行单播密钥更新,必须保证单播密钥更新功能处于开启状态。
在单播密钥更新功能处于开启状态时,基密钥更新完成后,单播密钥也会进行更新,而不受单播密钥生存周期的影响。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启单播密钥更新功能。
wapi usk-rekey enable
缺省情况下,单播密钥更新功能处于开启状态。
(4) 配置单播密钥的生存周期。
wapi usk lifetime time
缺省情况下,单播密钥的生存周期为86400秒。
组播密钥具有生命周期,当其生命周期结束时需要更新组播密钥。组播密钥更新支持以下方式:
· 由流量触发组播密钥更新。
· 定期触发组播密钥更新。
为了保证用户下线触发组播密钥更新功能生效,请保证首先开启了组播密钥更新功能。
由流量触发组播密钥更新和定期触发组播密钥更新不能同时配置。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启组播密钥更新功能。
wapi msk-rekey enable
缺省情况下,组播密钥更新功能处于开启状态。
(4) 开启用户下线触发组播密钥更新功能。
wapi msk-rekey client-offline enable
缺省情况下,用户下线触发组播密钥更新功能处于关闭状态。
(5) 配置组播密钥更新触发方式。
wapi msk-rekey method { packet-based [ packet ] | time-based [ interval ] }
缺省情况下,组播密钥更新触发方式为定期方式。
在完成上述配置后,在任意视图下执行display命令可以显示配置后WAPI的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除WAPI的统计信息。
表1-1 WAPI显示和维护
显示WAPI预鉴别的统计信息 |
display wapi pre-auth statistics [ ap ap-name [ radio radio-id ] ] |
显示WAPI的统计信息 |
display wapi statistics [ ap ap-name [ radio radio-id ] ] |
显示WAPI用户的信息 |
display wapi user [ ap ap-name [ radio radio-id ] | user-mac mac-address ] |
清除WAPI的预鉴别统计信息 |
reset wapi pre-auth statistics [ ap ap-name [ radio radio-id ] ] |
清除WAPI的统计信息 |
reset wapi statistics [ ap ap-name [ radio radio-id ] ] |
· AP 1和AP 2通过二层交换机与AC建立连接,Client 1和Client 2分别通过AP 1和AP 2接入网络。
· Client 1、Client 2、AP 1和AP 2都从DHCP服务器获取IP地址。
· Client采用预共享密钥认证方式接入,Client端和AC端使用相同的共享密钥12345678;单播密钥和组播密钥的更新时间均为20000秒。
(1) 配置IP地址
请按照图1-5配置各设备的IP地址和子网掩码,具体配置过程略。
# 创建无线服务模板1,SSID为wapi1。
[AC] wlan service-template 1
[AC-wlan-st-1] ssid wapi1
# 开启WAPI认证功能。
[AC-wlan-st-1] wapi enable
# 配置WAPI采用预共享密钥认证方式。
[AC-wlan-st-1] wapi authentication-method psk
[AC-wlan-st-1] wapi psk simple string 12345678
[AC-wlan-st-1] wapi msk-rekey method time-based 20000
[AC-wlan-st-1] wapi usk lifetime 20000
[AC-wlan-st-1] service-template enable
# 创建型号为WA6638的AP管理模板ap1,并配置其序列号为219801A2KF819CE0002T。
[AC-wlan-ap-ap1] serial-id 219801A2KF819CE0002T
# 创建射频1,配置其与无线服务模板1关联,并开启该射频。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 创建型号为WA6638的AP管理模板ap2,并配置其序列号为219801A2KF819CE00021。
[AC-wlan-ap-ap2] serial-id 219801A2KF819CE00021
# 创建射频1,配置其与无线服务模板1关联,并开启该射频。
[AC-wlan-ap-ap2-radio-1] service-template 1
[AC-wlan-ap-ap2-radio-1] radio enable
[AC-wlan-ap-ap2-radio-1] quit
[AC-wlan-ap-ap2] quit
通过使用display wapi user命令可以查看接口上WAPI用户的信息。例如:
# 查看AC所有接口上WAPI用户的信息。
Total number of users: 2
AP name : ap1
Radio ID : 1
SSID : wapi1
BSSID : 487a-da52-d4f0
MAC address : 000b-c002-5e39
VLAN : 1
Authentication method : PSK
Current state : Online
Authentication state : Idle
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Idle
Accounting state : Idle
Uptime : 00:02:26
AP name : ap2
Radio ID : 1
SSID : wapi1
BSSID : 487a-da52-d4f1
MAC address : 000b-c002-5e2f
VLAN : 1
Authentication method : PSK
Current state : Online
Authentication state : Idle
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Idle
Accounting state : Idle
Uptime : 00:02:40
· AP 1和AP 2通过二层交换机与AC建立连接,Client 1和Client 2分别通过AP 1和AP 2接入网络。
· Client 1、Client 2、AP 1和AP 2都从DHCP服务器获取IP地址。
· CA证书、AC本地证书和AS证书均已保存至AC;单播密钥和组播密钥的更新时间均为20000秒,关闭BK更新功能。
(1) 配置IP地址
请按照图1-6配置各设备的IP地址和子网掩码,具体配置过程略。
# 创建PKI域pki1,在该域中禁止CRL检查(对导入的证书不进行是否吊销检查,即默认此方式下用户证书有效)。
[AC] pki domain pki1
[AC-pki-domain-pki1] undo crl check enable
[AC-pki-domain-pki1] quit
# 分别导入证书文件ca.cer、ap.cer和as.cer。
[AC] pki import domain pki1 pem ca filename ca.cer
[AC] pki import domain pki1 pem local filename ap.cer
[AC] pki import domain pki1 pem peer filename as.cer
# 创建服务模板1,配置其SSID为wapi1。
[AC] wlan service-template 1
[AC-wlan-st-1] ssid wapi1
# 开启WAPI认证功能。
[AC-wlan-st-1] wapi enable
# 配置WAPI采用证书认证方式。
[AC-wlan-st-1] wapi authentication-method certificate
[AC-wlan-st-1] wapi authentication-server ip 10.10.1.3
[AC-wlan-st-1] wapi certificate domain pki1 serial 29
[AC-wlan-st-1] undo wapi bk-rekey enable
[AC-wlan-st-1] wapi msk-rekey method time-based 20000
[AC-wlan-st-1] wapi usk lifetime 20000
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建型号为WA6638的AP管理模板ap1,并配置其序列号为219801A2KF819CE0002T。
[AC-wlan-ap-ap1] serial-id 219801A2KF819CE0002T
# 创建射频1,配置其与无线服务模板1关联,并开启该射频。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 创建型号为WA6638的AP管理模板ap2,并配置其序列号为219801A2KF819CE00021。
[AC-wlan-ap-ap2] serial-id 219801A2KF819CE00021
# 创建射频1,配置其与无线服务模板1关联,并开启该射频。
[AC-wlan-ap-ap2-radio-1] service-template 1
[AC-wlan-ap-ap2-radio-1] radio enable
[AC-wlan-ap-ap2-radio-1] quit
[AC-wlan-ap-ap2] quit
通过使用display wapi user命令可以查看接口上WAPI用户的信息。例如:
# 查看AC所有接口上WAPI用户的信息。
Total number of users: 2
AP name : ap1
Radio ID : 1
SSID : wapi1
BSSID : 487a-da52-d4f0
MAC address : 000b-c002-5e39
VLAN : 1
Authentication method : Certificate
Current state : Online
Authentication state : Authenticated
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Idle
Accounting state : Idle
Uptime : 00:02:26
AP name : ap2
Radio ID : 1
SSID : wapi1
BSSID : 487a-da52-d4f1
MAC address : 000b-c002-5e2f
VLAN : 1
Authentication method : Certificate
Current state : Online
Authentication state : Authenticated
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Idle
Accounting state : Idle
Uptime : 00:02:30
· AP 1和AP 2通过二层交换机与AC建立连接,Client 1和Client 2分别通过AP 1和AP 2接入网络。
· Client 1、Client 2、AP 1和AP 2都从DHCP服务器获取IP地址。
· WAPI系统采用证书认证方式中的标准证书认证模式,CA证书、AC本地证书和AS证书均已保存至AC;单播密钥和组播密钥的更新时间均为20000秒,关闭BK更新功能。
(1) 配置IP地址
请按照图1-7配置各设备的IP地址和子网掩码,具体配置过程略。
# 创建PKI域pki1,在该域中禁止CRL检查(对导入的证书不进行是否吊销检查,即默认此方式下用户证书有效)。
[AC] pki domain pki1
[AC-pki-domain-pki1] undo crl check enable
[AC-pki-domain-pki1] quit
# 分别导入证书文件ca.cer、ap.cer和as.cer。
[AC] pki import domain pki1 pem ca filename ca.cer
[AC] pki import domain pki1 pem local filename ap.cer
[AC] pki import domain pki1 pem peer filename as.cer
# 创建RADIUS方案radius1,主认证/授权服务器和主计费服务器的IP地址均为10.10.1.5,RADIUS认证/授权报文和计费报文的共享密钥均为12345678。
[AC-radius-radius1] primary authentication 10.10.1.5
[AC-radius-radius1] primary accounting 10.10.1.5
[AC-radius-radius1] key authentication simple 12345678
[AC-radius-radius1] key accounting simple 12345678
[AC-radius-radius1] quit
# 创建ISP域domain1,将WAPI用户的认证、授权方案配置成none,计费方案配置为radius1,并将该域配置为缺省ISP域。
[AC-isp-domain1] authentication default none
[AC-isp-domain1] authorization default none
[AC-isp-domain1] accounting default radius-scheme radius1
[AC-isp-domain1] quit
[AC] domain default enable domain1
# 创建服务模板1,配置其SSID为wapi1。
[AC] wlan service-template 1
[AC-wlan-st-1] ssid wapi1
# 开启WAPI认证功能。
[AC-wlan-st-1] wapi enable
# 配置WAPI采用证书认证方式。
[AC-wlan-st-1] wapi authentication-method certificate
[AC-wlan-st-1] wapi authentication-server ip 10.10.1.3
[AC-wlan-st-1] wapi certificate domain pki1 serial 29
[AC-wlan-st-1] wapi domain domain1
[AC-wlan-st-1] undo wapi bk-rekey enable
[AC-wlan-st-1] wapi msk-rekey method time-based 20000
[AC-wlan-st-1] wapi usk lifetime 20000
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建型号为WA6638的AP管理模板ap1,并配置其序列号为219801A2KF819CE0002T。
[AC-wlan-ap-ap1] serial-id 219801A2KF819CE0002T
# 创建类型为802.11b的射频1,配置其与服务模板1关联,并使能该射频。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 创建型号为WA6638的AP管理模板ap2,并配置其序列号为219801A2KF819CE00021。
[AC-wlan-ap-ap2] serial-id 219801A2KF819CE00021
# 创建类型为802.11b的射频1,配置其与无线服务模板1关联,并开启该射频。
[AC-wlan-ap-ap2-radio-1] service-template 1
[AC-wlan-ap-ap2-radio-1] radio enable
[AC-wlan-ap-ap2-radio-1] quit
[AC-wlan-ap-ap2] quit
通过使用display wapi user命令可以查看接口上WAPI用户的信息。例如:
# 查看AC所有接口上WAPI用户的信息。
Total number of users: 2
AP name : ap1
Radio ID : 1
SSID : wapi1
BSSID : 487a-da52-d4f0
MAC address : 000b-c002-5e39
VLAN : 1
Authentication method : Certificate
Current state : Online
Authentication state : Authenticated
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Idle
Accounting state : Success
Uptime : 00:02:26
AP name : ap2
Radio ID : 1
SSID : wapi1
BSSID : 487a-da52-d4f1
MAC address : 000b-c002-5e2f
VLAN : 1
Authentication method : Certificate
Current state : Online
Authentication state : Authenticated
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Idle
Accounting state : Success
Uptime : 00:02:30
· AP 1和AP 2通过二层交换机与AC建立连接,Client 1和Client 2分别通过AP 1和AP 2接入网络。
· Client 1、Client 2、AP 1和AP 2都从DHCP服务器获取IP地址。
· CA证书、AC本地证书和AS证书均已保存至AC;单播密钥和组播密钥的更新时间均为20000秒,关闭BK更新功能。
· 开启WAPI预鉴别功能,使得Client 1和Client 2能够在AP 1和AP 2之间进行快速漫游。
· AS和CA服务器可以是同一台物理设备,这种情况下,AS证书和CA证书是一个证书。
· AS上需要依次导入CA证书和AS证书。WAPI客户端上需要安装asue证书和AS证书。
(1) 配置IP地址
请按照图1-8配置各设备的IP地址和子网掩码,具体配置过程略。
(2) 配置AC
# 创建PKI域pki1,在该域中禁止CRL检查(对导入的证书不进行是否吊销检查,即默认此方式下用户证书有效)。
<AC> system-view
[AC] pki domain pki1
[AC-pki-domain-pki1] undo crl check enable
[AC-pki-domain-pki1] quit
# 分别导入证书文件ca.cer、ap.cer和as.cer。
[AC] pki import domain pki1 pem ca filename ca.cer
[AC] pki import domain pki1 pem local filename ap.cer
[AC] pki import domain pki1 pem peer filename as.cer
# 创建服务模板1,配置其SSID为wapi1。
[AC] wlan service-template 1
[AC-wlan-st-1] ssid wapi1
# 开启WAPI认证功能。
[AC-wlan-st-1] wapi enable
# 配置WAPI采用证书认证方式。
[AC-wlan-st-1] wapi authentication-method certificate
[AC-wlan-st-1] wapi authentication-server ip 10.10.1.3
[AC-wlan-st-1] wapi certificate domain pki1 serial 29
[AC-wlan-st-1] undo wapi bk-rekey enable
[AC-wlan-st-1] wapi msk-rekey method time-based 20000
[AC-wlan-st-1] wapi usk lifetime 20000
# 开启WAPI预鉴别功能。
[AC-wlan-st-1] wapi pre-auth enable
# 开启无线服务。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建型号为WA6638的AP管理模板ap1,并配置其序列号为219801A2KF819CE0002T。
[AC] wlan ap ap1 model WA6638
[AC-wlan-ap-ap1] serial-id 219801A2KF819CE0002T
# 创建射频1,配置其与无线服务模板1关联,并开启该射频。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 创建型号为WA6638的AP管理模板ap2,并配置其序列号为219801A2KF819CE00021。
[AC] wlan ap ap2 model WA6638
[AC-wlan-ap-ap2] serial-id 219801A2KF819CE00021
# 创建射频1,配置其与无线服务模板1关联,并开启该射频。
[AC-wlan-ap-ap2] radio 1
[AC-wlan-ap-ap2-radio-1] service-template 1
[AC-wlan-ap-ap2-radio-1] radio enable
[AC-wlan-ap-ap2-radio-1] quit
[AC-wlan-ap-ap2] quit
通过使用display wapi pre-auth statistics命令可以查看WAPI预鉴别的统计信息。例如:
# 显示AP 1的Radio 1的WAPI预鉴别统计信息。
[AC] display wapi pre-auth statistics ap ap1 radio 1
AP name: ap1 Radio ID: 1 SSID: wapi1
BSSID: 487a-da52-d4f0
Signature errors: 0
HMAC errors: 0
Authentication failures: 0
Discarded packets: 0
Overtime errors: 27
Format errors: 0
Certificate verification failures: 3
Received WAI packets: 18
Authentication access requests: 8
Certificate authentication responses: 2
Sent WAI packets: 28
Authentication activation packets: 8
Certificate authentication requests: 8
Authentication access responses: 2
AP关联到AC之后,Client关联AP失败。在AC上通过display wapi user命令查看到没有WAPI用户存在或者其不处于Online状态,表明Client上线失败。
· Client成功关联到AP的前提是AP已正确关联到AC。
· 对于预共享密钥认证,须保证Client与AP的预共享密钥一致;对于标准证书鉴别,须保证Client与AP的证书正确。
(1) 检查AP是否已关联到AC。在AC上使用display wlan ap all命令查看AP的状态是否为Run。
(2) 检查AP和Client的配置是否正确:
· 当采用预共享密钥认证时,检查Client与AP的预共享密钥是否一致。在AC上通过display current-configuration命令查看AP的预共享密钥类型和预共享密钥值是否与Client的一致:对于预共享密钥类型,当Client为ASCII类型时,AP必须为字符串类型;当Client为HEX类型时,AP必须为十六进制数类型。
· 当采用标准证书认证时,检查CA、AC和AS的证书是否正确。在AC上通过display pki certificate命令查看各证书内容是否正确,特别要注意:若某证书的签名算法不是ECDSA,则需先删除该证书所在PKI域内的所有证书,再将该域的证书签名算法配置为ECDSA,然后重新安装该域内的所有证书。
· 检查认证方案、计费方案、认证服务器、计费服务器的配置是否正确。
· 如果WAPI证书认证方式为标准方式,则计费方案可以采用None方案,也可以采用RADIUS方案(计费服务器不能使用iMC)。
· 必须使用wapi domain命令用来指定WAPI认证所属的ISP域。
用户上线后,客户端无法ping通AC或其它设备。
如果使用AC进行加解密,检查AC的内存是否大于等于1G。
由于无线网卡可能不支持QoS,AC默认开启WMM功能,这种情况下可能会导致报文不通。
如果AC的内存小于1G,请使用内存大于等于1G的AC或者在现有AC上增加内存。
在Radio视图下配置wmm disable命令。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!