• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08-WLAN安全配置指导

目录

03-WAPI配置

本章节下载 03-WAPI配置  (413.72 KB)

03-WAPI配置


1 WAPI

1.1  WAPI简介

WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)是中国提出的以802.11无线协议为基础的无线安全标准。

WAPI采用证书认证方式和预共享密钥认证方式对客户端身份的合法性进行认证,并且采用单播密钥协商和组播密钥通告对客户端和与AC之间交互的单播/组播数据进行保护。

1.1.1  WAPI协议的构成

WAPI协议由以下两部分构成:

·     WAI(WLAN Authentication Infrastructure,无线局域网鉴别基础结构):用于无线局域网中身份认证和密钥管理的安全方案。

·     WPI(WLAN Privacy Infrastructure,无线局域网保密基础结构):用于无线局域网中数据传输保护的安全方案,包括数据加解密和重放保护等功能。

1.1.2  基本概念

·     AS(Authentication Server,认证服务器):用于对用户和设备证书进行身份认证等,是基于公钥密码技术的WAI中重要的组成部分。

·     BK(Base Key,基密钥):用于导出单播会话密钥,由证书认证过程协商得到或者由预共享密钥导出。

·     MSK(Multicast Session Key,组播会话密钥):用于保护站点发送的组播MPDU的随机值,包括组播加密密钥和组播完整性校验密钥。

·     PSK(Preshared Key,预共享密钥):发布给客户端的静态密钥。

·     USK(Unicast Session Key,单播会话密钥):由BK通过伪随机函数导出的随机值,分为四个部分:单播加密密钥、单播完整性校验密钥、消息认证密钥和组播密钥加密密钥。

1.1.3  WAPI的身份认证方式

WAPI支持两种身份认证方式:证书认证方式和预共享密钥认证方式。

1. 证书认证方式

证书认证是基于无线客户端、AC和AS三方的证书进行的认证。认证前无线客户端和AC必须预先拥有各自的证书,然后通过AS对双方的身份分别进行认证,根据双方产生的临时公钥和临时私钥生成BK,并为随后的单播密钥协商和组播密钥通告做好准备。有关证书认证的详细介绍,请参见“安全配置指导”中的“PKI”。

目前,AC与AS之间的WAI协议报文将通过普通的UDP方式进行传输,最终完成证书认证,具体过程如图1-1所示。

图1-1 证书认证过程

 

(1)     802.11链路协商完成以后,AC会向Client发送认证激活报文启动证书认证过程,其中包含AC的证书。

(2)     Client接收到认证激活报文后,向AC发送接入认证请求报文,其中包含Client证书及Client对接入认证请求报文的签名。

(3)     AC接收到接入认证请求报文后,从Client证书中取出公钥,验证签名是否正确,如果签名正确,则向AS发送证书认证请求报文,其中包含Client证书和AC证书,如果签名不正确,则丢弃报文。

(4)     AS收到证书认证请求报文后,验证Client证书和AC证书是否正确,并向AC发送证书认证响应报文,其中包含验证结果和AS签名。

(5)     AC收到证书认证响应报文后,向Client发送接入认证响应报文,其中包含接入认证结果,证书验证结果,AS签名,AC对接入认证响应报文的签名。

(6)     Client收到接入认证响应报文后,依次检查AC的证书验证结果和接入认证结果:

a.     如果AC证书不正确,则断开连接;如果正确,检查接入认证结果。

b.     如果结果为接入成功,则进行单播密钥协商和组播密钥通告,否则断开连接。

2. 预共享密钥认证方式

预共享密钥认证是基于Client和AC双方的密钥所进行的认证。认证前Client和AC必须预先配置有相同的密钥,即预共享密钥。认证时直接将预共享密钥转换为BK,然后进行单播密钥协商和组播密钥通告。

1.1.4  WAPI的密钥管理

1. 单播密钥协商

Client与AC之间交互的单播数据利用单播密钥协商过程所协商出的单播加密密钥和单播完整性校验密钥进行保护,其过程如图1-2所示。

图1-2 单播密钥协商过程

 

(1)     在AC完成证书认证过程、采用预共享密钥认证方式或进行单播密钥更新时,AC向Client发送单播密钥协商请求报文开始与Client进行单播密钥协商,其中包含AC的Challenge字段。

(2)     Client接收到AC发送的单播密钥协商请求报文后:

¡     如果是Client上线过程,则直接发送单播密钥协商响应报文。

¡     如果是单播密钥更新过程,会检查AC的Challenge字段与本地保存的值是否相同,此时本地保存的值为上一次协商的值,如果相同,则发送单播密钥协商响应报文,否则丢弃报文。

单播密钥协商响应报文中包含Client的Challenge字段、AC的Challenge字段以及消息认证码。

(3)     AC接收到单播密钥协商响应报文后,验证AC的Challenge字段和消息认证码是否正确,如果正确,则发送单播密钥协商确认报文,其中包含Client的Challenge字段和消息认证码,如果不正确则丢弃报文。

(4)     Client接收到单播密钥协商确认报文后,验证Client的Challenge字段和消息认证码是否正确,如果正确则协商完成,如果不正确则丢弃报文。

2. 组播密钥通告

当单播密钥协商完成后,再使用单播密钥协商过程所协商出的密钥进行组播密钥的通告。AC利用自己生成的16个字节的随机数(只生成一次),即组播密钥对其发送的广播/组播数据进行保护,而Client则采用AC通告的组播会话密钥对收到的广播/组播数据进行解密。其过程如图1-3所示。

图1-3 组播密钥通告过程

 

(1)     单播密钥协商成功后或AC要更新组播密钥时,AC向Client发送组播密钥通告报文,包含密钥数据、密钥通告标识等。

(2)     Client接收到AC发送的组播密钥通告报文后,对密钥数据解密得到通告主密钥,然后向AC发送组播密钥响应报文,其中包含密钥通告标识。

(3)     AC接收到Client发送的组播密钥响应报文后,验证密钥通告标识是否正确,如果正确则组播密钥通告成功,如果不正确则丢弃报文。

1.1.5  协议规范

与WAPI相关的协议规范有:

·     GB 15629.11-2003/XG1-2006:信息技术系统间远程通信和信息交换局域网和城域网 特定要求 第11部分:无线局域网媒体访问控制和物理层规范

·     RFC 3280:Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

·     RFC 4492:Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)

1.2  WAPI与硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

产品代码

说明

WX2500X系列

·     WX2560X

·     WX2580X

·     EWP-WX2560X

·     EWP-WX2580X

支持

WX2500X-E系列

WX2508X-E

EWP-WX2508X-E

支持

 

产品系列

产品型号

产品代码

说明

WX2800X系列

·     WX2812X-PWR

·     WX2860X

·     WX2880X

·     EWP-WX2812X-PWR

·     EWP-WX2860X

·     EWP-WX2880X

不支持

WSG1800X系列

·     WSG1812X-PWR

·     WSG1840X

·     EWPWSG1812X-PWR

·     EWP-WSG1840X

不支持

 

1.3  WAPI配置限制和指导

请在配置本功能之前通过a-msdu disable命令关闭A-MSDU功能。有关A-MSDU功能的详细介绍请参见“射频资源管理配置指导”中的“射频管理”。

WAPI协议规定在证书认证过程中所使用的密钥签名算法必须为ECDSA(Elliptic Curve Digital Signature Algorithm,椭圆曲线数字签名算法),有关ECDSA的详细介绍,请参见“安全配置指导”中的“公钥管理”。

WAPI支持数据集中转发方式和数据本地转发方式。

Dot11ac模式下,不建议配置本特性。

1.4  WAPI配置任务简介

WAPI配置任务如下:

(1)     配置WAPI认证方式

(2)     配置WAPI采用证书认证

如果选择的WAPI认证方式包括证书认证,则需要进行此配置。

(3)     配置WAPI采用预共享密钥认证

如果选择的WAPI认证方式包括预共享密钥认证,则需要进行此配置。

(4)     开启WAPI认证功能

(5)     配置WAPI用户使用指定的ISP域进行AAA认证

如果WAPI用户需要计费,则需要进行此配置。

(6)     配置单播密钥更新

(7)     配置组播密钥更新

1.5  配置WAPI认证方式

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     配置WAPI认证方式。

wapi authentication-method { certificate | certificate-or-psk | psk }

缺省情况下,WAPI采用证书认证方式。

1.6  配置WAPI采用证书认证

WAPI采用证书认证的配置任务如下:

(1)     配置认证服务器的IP地址

(2)     配置证书所属的PKI域和证书序列号

(3)     (可选)配置基密钥更新功能

1.6.2  配置认证服务器的IP地址

1. 功能简介

当WAPI采用证书认证方式时,设备会与认证服务器交互验证证书。

2. 配置限制和指导

一个无线服务模板下只能配置一个认证服务器的IP地址。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     配置认证服务器的IP地址。

wapi authentication-server ip ip-address

缺省情况下,未配置认证服务器的IP地址。

1.6.3  配置证书所属的PKI域和证书序列号

1. 功能简介

指定证书所属的PKI域,用于获取对应PKI域的相关策略;指定证书序列号,用于查找和获取认证服务器上的证书。

2. 配置限制和指导

一个无线服务模板下只能配置一个PKI域和证书序列号。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     配置证书所属的PKI域和证书序列号。

wapi certificate domain domain-name serial serial-number

缺省情况下,未配置证书所属的PKI域和证书序列号。

1.6.4  配置基密钥更新功能

1. 功能简介

基密钥具有生命周期,当其生命周期结束时需要进行更新。

2. 配置限制和指导

要进行基密钥更新,必须保证基密钥更新功能处于开启状态。

在单播密钥更新功能处于开启状态时,基密钥更新完成后,单播密钥也会进行更新,而不受单播密钥生存周期的影响,当单播密钥更新完成后基密钥才会重新开始计算生存周期。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     开启基密钥更新功能。

wapi bk-rekey enable

缺省情况下,基密钥更新功能处于开启状态。

(4)     配置基密钥生存周期。

wapi bk lifetime time

缺省情况下,基密钥生存周期为43200秒。

1.7  配置WAPI采用预共享密钥认证

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     配置WAPI预共享密钥。

wapi psk { cipher | simple } { hex | string } key

缺省情况下,未配置WAPI预共享密钥。

1.8  开启WAPI认证功能

1. 配置准备

请在开启WAPI认证功能前,先关闭无线服务模板。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     开启WAPI认证功能。

wapi enable

缺省情况下,WAPI认证功能处于关闭状态。

1.9  配置WAPI用户使用指定的ISP域进行AAA认证

1. 功能简介

WAPI用户将采用指定的ISP域内的计费方案对WAPI用户进行计费。

2. 配置限制和指导

请先通过domain命令创建ISP域,然后再通过本命令引用创建的ISP域,关于domain命令的详细介绍,请参见“用户接入与认证命令参考”中的“AAA”。

目前,当ISP域里面配置了认证、授权和计费方案后,仅计费方案生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     配置WAPI用户使用指定的ISP域进行AAA认证。

wapi domain domain-name

缺省情况下,未配置WAPI用户使用的ISP域,即不对用户进行AAA认证。

1.10  配置单播密钥更新

1. 功能简介

单播密钥具有生命周期,开启单播密钥更新功能后,单播密钥在其生命周期结束后会自动进行更新。

2. 配置限制和指导

要进行单播密钥更新,必须保证单播密钥更新功能处于开启状态。

在单播密钥更新功能处于开启状态时,基密钥更新完成后,单播密钥也会进行更新,而不受单播密钥生存周期的影响。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     开启单播密钥更新功能。

wapi usk-rekey enable

缺省情况下,单播密钥更新功能处于开启状态。

(4)     配置单播密钥的生存周期。

wapi usk lifetime time

缺省情况下,单播密钥的生存周期为86400秒。

1.11  配置组播密钥更新

1. 功能简介

组播密钥具有生命周期,当其生命周期结束时需要更新组播密钥。组播密钥更新支持以下方式:

·     由流量触发组播密钥更新。

·     定期触发组播密钥更新。

2. 配置限制和指导

为了保证用户下线触发组播密钥更新功能生效,请保证首先开启了组播密钥更新功能。

由流量触发组播密钥更新和定期触发组播密钥更新不能同时配置。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     开启组播密钥更新功能。

wapi msk-rekey enable

缺省情况下,组播密钥更新功能处于开启状态。

(4)     开启用户下线触发组播密钥更新功能。

wapi msk-rekey client-offline enable

缺省情况下,用户下线触发组播密钥更新功能处于关闭状态。

(5)     配置组播密钥更新触发方式。

wapi msk-rekey method { packet-based [ packet ] | time-based [ interval ] }

缺省情况下,组播密钥更新触发方式为定期方式。

1.12  WAPI显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后WAPI的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除WAPI的统计信息。

表1-1 WAPI显示和维护

操作

命令

显示WAPI的统计信息

display wapi statistics [ ap ap-name [ radio radio-id ] ]

显示WAPI用户的信息

display wapi user [ ap ap-name [ radio radio-id ] | user-mac mac-address ]

清除WAPI的统计信息

reset wapi statistics [ ap ap-name [ radio radio-id ] ]

 

1.13  WAPI典型配置举例

1.13.1  预共享密钥认证配置举例

1. 组网需求

·     AP 1和AP 2通过二层交换机与AC建立连接,Client 1和Client 2分别通过AP 1和AP 2接入网络。

·     Client 1、Client 2、AP 1和AP 2都从DHCP服务器获取IP地址。

·     Client采用预共享密钥认证方式接入,Client端和AC端使用相同的共享密钥12345678;单播密钥和组播密钥的更新时间均为20000秒。

2. 组网图

图1-4 预共享密钥认证配置组网图

 

3. 配置步骤

(1)     配置IP地址

请按照图1-4配置各设备的IP地址和子网掩码,具体配置过程略。

(2)     配置AC

# 创建无线服务模板1,SSID为wapi1。

[AC] wlan service-template 1

[AC-wlan-st-1] ssid wapi1

# 开启WAPI认证功能。

[AC-wlan-st-1] wapi enable

# 配置WAPI采用预共享密钥认证方式。

[AC-wlan-st-1] wapi authentication-method psk

[AC-wlan-st-1] wapi psk simple string 12345678

[AC-wlan-st-1] wapi msk-rekey method time-based 20000

[AC-wlan-st-1] wapi usk lifetime 20000

[AC-wlan-st-1] service-template enable

# 创建型号为WA6638的AP管理模板ap1,并配置其序列号为219801A28N819CE0002T。

[AC] wlan ap ap1 model WA6638

[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

# 创建射频1,配置其与无线服务模板1关联,并开启该射频。

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] service-template 1

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

# 创建型号为WA6638的AP管理模板ap2,并配置其序列号为219801A28N819CE00021。

[AC] wlan ap ap2 model WA6638

[AC-wlan-ap-ap2] serial-id 219801A28N819CE00021

# 创建射频1,配置其与无线服务模板1关联,并开启该射频。

[AC-wlan-ap-ap2] radio 1

[AC-wlan-ap-ap2-radio-1] service-template 1

[AC-wlan-ap-ap2-radio-1] radio enable

[AC-wlan-ap-ap2-radio-1] quit

[AC-wlan-ap-ap2] quit

4. 验证配置

通过使用display wapi user命令可以查看接口上WAPI用户的信息。例如:

# 查看AC所有接口上WAPI用户的信息。

[AC] display wapi user

Total number of users: 2

 

AP name                                   : ap1

Radio ID                                  : 1

SSID                                      : wapi1

BSSID                                     : 487a-da52-d4f0

MAC address                               : 000b-c002-5e39

VLAN                                      : 1

Authentication method                     : PSK

Current state                             : Online

    Authentication state                  : Idle

    Unicast key negotiation state         : Established

    Multicast key negotiation state       : Established

    Authorization state                   : Idle

    Accounting state                      : Idle

Uptime                                    : 00:02:26

 

AP name                                   : ap1

Radio ID                                  : 1

SSID                                      : wapi1

BSSID                                     : 487a-da52-d4f0

MAC address                               : 000b-c002-5e2f

VLAN                                      : 1

Authentication method                     : PSK

Current state                             : Online

    Authentication state                  : Idle

    Unicast key negotiation state         : Established

    Multicast key negotiation state       : Established

    Authorization state                   : Idle

    Accounting state                      : Idle

Uptime                                    : 00:02:40

1.13.2  标准证书认证配置举例

1. 组网需求

·     AP 1和AP 2通过二层交换机与AC建立连接,Client 1和Client 2分别通过AP 1和AP 2接入网络。

·     Client 1、Client 2、AP 1和AP 2都从DHCP服务器获取IP地址。

·     CA证书、AC本地证书和AS证书均已保存至AC;单播密钥和组播密钥的更新时间均为20000秒,关闭BK更新功能。

2. 组网图

图1-5 标准证书认证配置组网图

 

说明

·     AS和CA服务器可以是同一台物理设备,这种情况下,AS证书和CA证书是一个证书。

·     AS上需要依次导入CA证书和AS证书。WAPI客户端上需要安装asue证书和AS证书。

 

3. 配置步骤

(1)     配置IP地址

请按照图1-5配置各设备的IP地址和子网掩码,具体配置过程略。

(2)     配置AC

# 创建PKI域pki1,在该域中禁止CRL检查(对导入的证书不进行是否吊销检查,即默认此方式下用户证书有效)。

<AC> system-view

[AC] pki domain pki1

[AC-pki-domain-pki1] undo crl check enable

[AC-pki-domain-pki1] quit

# 分别导入证书文件ca.cer、ap.cer和as.cer。

[AC] pki import domain pki1 pem ca filename ca.cer

[AC] pki import domain pki1 pem local filename ap.cer

[AC] pki import domain pki1 pem peer filename as.cer

# 创建服务模板1,配置其SSID为wapi1。

[AC] wlan service-template 1

[AC-wlan-st-1] ssid wapi1

# 开启WAPI认证功能。

[AC-wlan-st-1] wapi enable

# 配置WAPI采用证书认证方式。

[AC-wlan-st-1] wapi authentication-method certificate

[AC-wlan-st-1] wapi authentication-server ip 10.10.1.3

[AC-wlan-st-1] wapi certificate domain pki1 serial 29

[AC-wlan-st-1] undo wapi bk-rekey enable

[AC-wlan-st-1] wapi msk-rekey method time-based 20000

[AC-wlan-st-1] wapi usk lifetime 20000

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

# 创建型号为WA6638的AP管理模板ap1,并配置其序列号为219801A28N819CE0002T。

[AC] wlan ap ap1 model WA6638

[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

# 创建射频1,配置其与无线服务模板1关联,并开启该射频。

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] service-template 1

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

# 创建型号为WA6638的AP管理模板ap2,并配置其序列号为219801A28N819CE00021。

[AC] wlan ap ap2 model WA6638

[AC-wlan-ap-ap2] serial-id 219801A28N819CE00021

# 创建射频1,配置其与无线服务模板1关联,并开启该射频。

[AC-wlan-ap-ap2] radio 1

[AC-wlan-ap-ap2-radio-1] service-template 1

[AC-wlan-ap-ap2-radio-1] radio enable

[AC-wlan-ap-ap2-radio-1] quit

[AC-wlan-ap-ap2] quit

4. 验证配置

通过使用display wapi user命令可以查看接口上WAPI用户的信息。例如:

# 查看AC所有接口上WAPI用户的信息。

[AC] display wapi user

Total number of users: 2

 

AP name                                   : ap1

Radio ID                                  : 1

SSID                                      : wapi1

BSSID                                     : 487a-da52-d4f0

MAC address                               : 000b-c002-5e39

VLAN                                      : 1

Authentication method                     : Certificate

Current state                             : Online

    Authentication state                  : Authenticated

    Unicast key negotiation state         : Established

    Multicast key negotiation state       : Established

    Authorization state                   : Idle

    Accounting state                      : Idle

Uptime                                    : 00:02:26

 

AP name                                   : ap1

Radio ID                                  : 1

SSID                                      : wapi1

BSSID                                     : 487a-da52-d4f0

MAC address                               : 000b-c002-5e2f

VLAN                                      : 1

Authentication method                     : Certificate

Current state                             : Online

    Authentication state                  : Authenticated

    Unicast key negotiation state         : Established

    Multicast key negotiation state       : Established

    Authorization state                   : Idle

    Accounting state                      : Idle

Uptime                                    : 00:02:30

1.13.3  标准证书认证进行计费配置举例

1. 组网需求

·     AP 1和AP 2通过二层交换机与AC建立连接,Client 1和Client 2分别通过AP 1和AP 2接入网络。

·     Client 1、Client 2、AP 1和AP 2都从DHCP服务器获取IP地址。

·     WAPI系统采用证书认证方式中的标准证书认证模式,CA证书、AC本地证书和AS证书均已保存至AC;单播密钥和组播密钥的更新时间均为20000秒,关闭BK更新功能。

·     对用户进行计费。

2. 组网图

图1-6 证书认证进行计费配置组网图

 

说明

·     AS、CA服务器和RADIUS服务器可以是同一台物理设备,这种情况下,AS证书和CA证书是一个证书。

·     AS上需要依次导入CA证书和AS证书。WAPI客户端上需要安装asue证书和AS证书。

3. 配置步骤

(1)     配置IP地址

请按照图1-6配置各设备的IP地址和子网掩码,具体配置过程略。

(2)     配置AC

# 创建PKI域pki1,在该域中禁止CRL检查(对导入的证书不进行是否吊销检查,即默认此方式下用户证书有效)。

<AC> system-view

[AC] pki domain pki1

[AC-pki-domain-pki1] undo crl check enable

[AC-pki-domain-pki1] quit

# 分别导入证书文件ca.cer、ap.cer和as.cer。

[AC] pki import domain pki1 pem ca filename ca.cer

[AC] pki import domain pki1 pem local filename ap.cer

[AC] pki import domain pki1 pem peer filename as.cer

# 创建RADIUS方案radius1,主认证/授权服务器和主计费服务器的IP地址均为10.10.1.5,RADIUS认证/授权报文和计费报文的共享密钥均为12345678。

[AC] radius scheme radius1

[AC-radius-radius1] primary authentication 10.10.1.5

[AC-radius-radius1] primary accounting 10.10.1.5

[AC-radius-radius1] key authentication simple 12345678

[AC-radius-radius1] key accounting simple 12345678

[AC-radius-radius1] quit

# 创建ISP域domain1,将WAPI用户的认证、授权方案配置成none,计费方案配置为radius1,并将该域配置为缺省ISP域。

[AC] domain domain1

[AC-isp-domain1] authentication default none

[AC-isp-domain1] authorization default none

[AC-isp-domain1] accounting default radius-scheme radius1

[AC-isp-domain1] quit

[AC] domain default enable domain1

# 创建服务模板1,配置其SSID为wapi1。

[AC] wlan service-template 1

[AC-wlan-st-1] ssid wapi1

# 开启WAPI认证功能。

[AC-wlan-st-1] wapi enable

# 配置WAPI采用证书认证方式。

[AC-wlan-st-1] wapi authentication-method certificate

[AC-wlan-st-1] wapi authentication-server ip 10.10.1.3

[AC-wlan-st-1] wapi certificate domain pki1 serial 29

[AC-wlan-st-1] wapi domain domain1

[AC-wlan-st-1] undo wapi bk-rekey enable

[AC-wlan-st-1] wapi msk-rekey method time-based 20000

[AC-wlan-st-1] wapi usk lifetime 20000

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

# 创建型号为WA6638的AP管理模板ap1,并配置其序列号为219801A28N819CE0002T。

[AC] wlan ap ap1 model WA6638

[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

# 创建类型为802.11b的射频1,配置其与服务模板1关联,并使能该射频。

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] service-template 1

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

# 创建型号为WA6638的AP管理模板ap2,并配置其序列号为219801A28N819CE00021。

[AC] wlan ap ap2 model WA6638

[AC-wlan-ap-ap2] serial-id 219801A28N819CE00021

# 创建类型为802.11b的射频1,配置其与无线服务模板1关联,并开启该射频。

[AC-wlan-ap-ap2] radio 1

[AC-wlan-ap-ap2-radio-1] service-template 1

[AC-wlan-ap-ap2-radio-1] radio enable

[AC-wlan-ap-ap2-radio-1] quit

[AC-wlan-ap-ap2] quit

4. 验证配置

通过使用display wapi user命令可以查看接口上WAPI用户的信息。例如:

# 查看AC所有接口上WAPI用户的信息。

[AC] display wapi user

Total number of users: 2

 

AP name                                   : ap1

Radio ID                                  : 1

SSID                                      : wapi1

BSSID                                     : 487a-da52-d4f0

MAC address                               : 000b-c002-5e39

VLAN                                      : 1

Authentication method                     : Certificate

Current state                             : Online

    Authentication state                  : Authenticated

    Unicast key negotiation state         : Established

    Multicast key negotiation state       : Established

    Authorization state                   : Idle

    Accounting state                      : Success

Uptime                                    : 00:02:26

 

AP name                                   : ap1

Radio ID                                  : 1

SSID                                      : wapi1

BSSID                                     : 487a-da52-d4f0

MAC address                               : 000b-c002-5e2f

VLAN                                      : 1

Authentication method                     : Certificate

Current state                             : Online

    Authentication state                  : Authenticated

    Unicast key negotiation state         : Established

    Multicast key negotiation state       : Established

    Authorization state                   : Idle

    Accounting state                      : Success

Uptime                                    : 00:02:30

1.14  常见配置错误举例

1.14.1  Client上线失败

1. 故障现象

AP关联到AC之后,Client关联AP失败。在AC上通过display wapi user命令查看到没有WAPI用户存在或者其不处于Online状态,表明Client上线失败。

2. 故障分析

·     Client成功关联到AP的前提是AP已正确关联到AC。

·     对于预共享密钥认证,须保证Client与AP的预共享密钥一致;对于标准证书鉴别,须保证Client与AP的证书正确。

3. 处理过程

(1)     检查AP是否已关联到AC。在AC上使用display wlan ap all命令查看AP的状态是否为Run。

(2)     检查AP和Client的配置是否正确:

·     当采用预共享密钥认证时,检查Client与AP的预共享密钥是否一致。在AC上通过display current-configuration命令查看AP的预共享密钥类型和预共享密钥值是否与Client的一致:对于预共享密钥类型,当Client为ASCII类型时,AP必须为字符串类型;当Client为HEX类型时,AP必须为十六进制数类型。

·     当采用标准证书认证时,检查CA、AC和AS的证书是否正确。在AC上通过display pki certificate命令查看各证书内容是否正确,特别要注意:若某证书的签名算法不是ECDSA,则需先删除该证书所在PKI域内的所有证书,再将该域的证书签名算法配置为ECDSA,然后重新安装该域内的所有证书。

1.14.2  计费异常

1. 故障现象

计费出现异常,如计费失败。

2. 故障分析

·     检查认证方案、计费方案、认证服务器、计费服务器的配置是否正确。

·     检查计费服务器是否可达。

3. 处理过程

·     如果WAPI证书认证方式为标准方式,则计费方案可以采用None方案,也可以采用RADIUS方案(计费服务器不能使用iMC)。

·     必须使用wapi domain命令用来指定WAPI认证所属的ISP域。

·     保证计费服务器可达。

1.14.3  用户上线后无法ping

1. 故障现象

用户上线后,客户端无法ping通AC或其它设备。

2. 故障分析

如果使用AC进行加解密,检查AC的内存是否大于等于1G。

由于无线网卡可能不支持QoS,AC默认开启WMM功能,这种情况下可能会导致报文不通。

3. 处理过程

如果AC的内存小于1G,请使用内存大于等于1G的AC或者在现有AC上增加内存。

在Radio视图下配置wmm disable命令。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们