• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08-WLAN安全命令参考

目录

01-WLAN用户安全命令

本章节下载 01-WLAN用户安全命令  (264.79 KB)

01-WLAN用户安全命令


1 WLAN用户安全

1.1  WLAN用户安全配置命令

1.1.1  akm mode

akm mode命令用来配置身份认证与密钥管理的模式。

undo akm mode命令用来恢复缺省情况。

【命令】

akm mode { dot1x | private-psk | psk | anonymous-dot1x }

undo akm mode

【缺省情况】

未配置身份认证与密钥管理。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

dot1x:表示身份认证与密钥管理的模式是802.1X模式。

private-psk:表示身份认证与密钥管理的模式是Private-PSK模式。

psk:表示身份认证与密钥管理的模式是PSK模式。

anonymous-dot1x:表示身份认证与密钥管理的模式是Wi-Fi联盟匿名802.1X模式。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置,并且只能配置一种模式。

当WLAN网络采用RSNA安全机制时,必须配置身份认证与密钥管理。若配置了身份认证与密钥管理模式为Wi-Fi联盟匿名802.1X模式,则安全IE只能配置为OSEN IE。

每一种身份认证模式都有互相依赖的用户认证方式:

·     802.1X模式和802.1X用户认证模式相互依赖,必须同时配置。有关802.1X的详细介绍请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”。

·     Private-PSK模式和MAC地址认证模式相互依赖,必须同时配置,有关MAC地址认证的详细介绍请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”。

·     PSK模式和MAC地址认证模式或Bypass用户认证模式相互依赖,必须同时配置。有关MAC地址认证和Bypass认证的详细介绍请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”。

·     Wi-Fi联盟匿名802.1X模式和802.1X用户认证模式相互依赖,必须同时配置。

【举例】

# 配置身份认证与密钥管理模式为PSK模式。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] akm mode psk

【相关命令】

·     cipher-suite

·     security-ie

1.1.2  cipher-suite

cipher-suite命令用来配置在帧加密时使用的加密套件。

undo cipher-suite命令用来取消在帧加密时使用指定的加密套件。

【命令】

cipher-suite { ccmp | gcmp | tkip | wep40 | wep104 | wep128 }

undo cipher-suite { ccmp | gcmp | tkip | wep40 | wep104 | wep128 }

【缺省情况】

未配置加密套件。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ccmp:AES-CCMP加密套件。

gcmp:AES-GCMP加密套件。

tkip:TKIP加密套件。

wep40:WEP40加密套件。

wep104:WEP104加密套件。

wep128:WEP128加密套件。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

如果配置了安全IE,则必须配置TKIP、CCMP或者GCMP加密套件中的一种。当WLAN网络采用RSNA安全机制时,必须配置加密套件。

WEP加密套件只能配置WEP40/WEP104/WEP128其中的一种,且需要配置与加密套件种类相对应的WEP密钥及WEP密钥ID。

同时配置WEP40\WEP104和CCMP\GCMP\TKIP加密套件时,可能会导致某些无线客户端无法上线,因此不建议同时配置。

WEP128和CCMP、GCMP或TKIP不能同时配置。

【举例】

# 配置在帧加密时使用TKIP加密套件。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] cipher-suite tkip

【相关命令】

·     security-ie

·     wep key

·     wep key-id

1.1.3  display wlan private-psk cloud-password

display wlan private-psk cloud-password命令用来显示PPSK密码相关信息。

【命令】

display wlan private-psk cloud-password [ password-id ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

password-id:显示指定密码ID的PPSK密码数据。如果不指定本参数,则显示所有PPSK密码数据。

verbose:显示PPSK密码数据的详细信息。如果不指定本参数,则显示PPSK密码数据的简要信息。

【举例】

# 显示所有PPSK密码数据。

<Sysname> display wlan private-psk cloud-password

Total number: 2

PWD ID Username            Max clients Used    Update time      Aging time(Min)

1111   zhangsan@3521buyd.. 2            1       2018/11/26 10:52 10080

1112   lisi                2            1       2018/11/26 10:59 10080

表1-1 display wlan private-psk cloud-password命令显示信息描述表

字段

描述

Total number

PPSK密码总数

PWD ID

密码ID

Username

用户名

Max clients

允许使用该密码认证的终端数

Used

使用该密码认证上线过的终端数

Update time

设备侧密码更新时间

Aging time(Min)

密码老化时间(单位:分)

 

# 显示指定密码ID的PPSK密码数据详细信息。

<Sysname> display wlan private-psk cloud-password 1111 verbose

Site ID         : 23

Password ID     : 1111

Update time     : 2018/11/26 10:52

Expiration time : 2018/12/03 10:52

Aging time(min) : 10080

Username        : zhangsan@3521buydfgsygf

Max clients     : 2

Used            : 1

CAR:

  Average inbound  : 102400 bps

  Average outbound : 102400 bps

Password        : jfkeiksdfdnfksnfekdssdfelsmdfei4f5ds4

表1-2 display wlan private-psk cloud-password verbose命令显示信息描述表

字段

描述

Site ID

场所ID

Password ID

密码ID

Update time

设备侧密码更新时间

Expiration time

密码过期时间

Aging time (min)

密码老化时间(单位:分)

Username

用户名

Max clients

允许使用该密码认证的终端数

Used

使用该密码认证上线过的终端数

CAR

通过云平台完成PPSK认证上线的终端承诺访问速率

Average inbound

平均下行速率(单位:bps)

Average outbound

平均上行速率(单位:bps)

Password

密码

 

1.1.4  display wlan private-psk cloud-password mac-binding

display wlan private-psk cloud-password mac-binding命令用来显示PPSK密码和无线用户MAC地址绑定关系。

【命令】

display wlan private-psk cloud-password mac-binding [ password-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

password-id:显示指定密码ID的PPSK密码和MAC地址绑定关系。如果不指定本参数,则显示所有PPSK密码和MAC地址绑定关系。

【举例】

# 显示所有PPSK密码和无线用户MAC地址绑定关系。

<Sysname> display wlan private-psk cloud-password mac-binding

Total: 2

PWD ID       MAC address       Binding time      Expiration time

1111         D34A-A35C-28A3(+) 2018/11/26 11:22  2018/12/03 11:00

2222         A54E-368D-A433(*) 2018/11/26 11:30  2018/12/02 11:00

#显示指定密码ID的PPSK密码和无线用户MAC地址绑定关系。

<Sysname> display wlan private-psk cloud-password mac-binding 1111

Total Number: 1

PWD ID       MAC address       Binding time      Expiration time

1111         D34A-A35C-28A3(+) 2018/11/26 11:22  2018/12/03 11:00

表1-3 display wlan private-psk cloud-password mac-binding命令显示信息描述表

字段

描述

Total

绑定MAC地址总数

PWD ID

密码ID

MAC address

与该密码绑定的MAC地址,(*)表示密码创建时预绑定的MAC地址;(+)表示终端通过该密码上线时绑定的MAC地址

Binding time

密码和MAC地址绑定时间

Expiration time

密码过期时间

 

1.1.5  gtk-rekey client-offline enable

gtk-rekey client-offline enable命令用来开启客户端离线更新GTK功能。

undo gtk-rekey client-offline enable命令用来关闭客户端离线更新GTK功能。

【命令】

gtk-rekey client-offline enable

undo gtk-rekey client-offline enable

【缺省情况】

客户端离线更新GTK功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

只有开启了更新GTK功能,客户端离线更新GTK的功能才能生效。

【举例】

# 开启客户端离线更新GTK功能。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] gtk-rekey client-offline enable

【相关命令】

·     gtk-rekey enable

1.1.6  enhanced-open enable

enhanced-open enable命令用来开启增强开放系统认证服务。

undo enhanced-open enable命令用来关闭增强开放系统认证服务。

【命令】

enhanced-open enable

undo enhanced-open enable

【缺省情况】

增强开放系统认证服务处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

增强开放系统认证(Enhanced Open system authentication)是一种在开放型无线接入网络中为无线客户端提供数据加密的增强开放认证服务。开启此服务后,客户端接入网络时无需输入密码,设备与客户端会使用OWE协议(Opportunistic Wireless Encryption,机会性无线加密)自动协商出密钥,实现数据报文的加密。在开放型无线接入网络中,建议开启此服务。

本命令只能在无线服务模板处于关闭状态时配置。

开启本功能的无线服务模板下的如下功能需要保持缺省配置:WPA3安全模式、FT功能、保护管理帧功能,安全IE、加密套件和密钥衍生算法。开启本功能后,设备会自动完成如下设置:

·     安全IE配置为RSN。

·     加密套件配置为CCMP。

·     保护管理帧功能开启。

·     密钥衍生算法为sha256或sha384。

【举例】

# 开启增强开放系统认证服务。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] enhanced-open enable

【相关命令】

·     enhanced-open transition-mode service-template

1.1.7  enhanced-open transition-mode service-template

enhanced-open transition-mode service-template命令用来指定过渡模式下推荐的无线服务。

undo enhanced-open transition-mode service-template命令用于恢复缺省情况。

【命令】

enhanced-open transition-mode service-template service-template-name

undo enhanced-open transition-mode service-template

【缺省情况】

未指定过渡模式下推荐的无线服务。

【参数】

service-template-name:指定过渡模式下推荐的无线服务模板名称,为1~63个字符的字符串,不区分大小写。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

过渡模式是一种在同时配置了增强开放系统认证服务和开放系统认证服务的情况下,根据无线客户端的支持情况,推荐客户端选择接入增强开放系统认证服务或开放系统认证服务的模式。

当网络中同时存在支持OWE协议和不支持OWE协议的无线客户端时,为了让客户端根据自身能力快速接入更合适的无线服务,建议配置该功能。

指定过渡模式下推荐的无线服务后,支持OWE协议的无线客户端接入开放系统认证服务时,开放系统认证服务会推荐该无线客户端到配置的增强开放系统认证服务下接入。

本命令需要在开放系统认证服务的无线服务模板和增强开放系统认证服务的无线服务模板下同时配置。

本命令只能在无线服务模板处于关闭状态时配置。

增强开放系统认证服务的无线服务模板下指定过渡模式下推荐的无线服务,需要增强开放系统认证服务的无线服务模板同时配置SSID隐藏功能。

互为过渡模式无线服务的两个无线服务模板需绑定在同一Radio下。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 指定service1的过渡模式下推荐的无线服务为service2。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] enhanced-open transition-mode service-template service2

【相关命令】

·     enhanced-open enable

·     beacon ssid-hide(WLAN接入命令参考/WLAN接入)

1.1.8  gtk-rekey enable

gtk-rekey enable命令用来开启更新GTK功能。

undo gtk-rekey enable命令用来关闭更新GTK功能。

【命令】

gtk-rekey enable

undo gtk-rekey enable

【缺省情况】

更新GTK功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【举例】

# 开启更新GTK功能。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] gtk-rekey enable

1.1.9  gtk-rekey method

gtk-rekey method命令用来配置GTK更新方法。

undo gtk-rekey method命令用来恢复缺省情况。

【命令】

gtk-rekey method { packet-based [ packet ] | time-based [ time ] }

undo gtk-rekey method

【缺省情况】

GTK更新采用基于时间的方法,时间间隔为86400秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

packet-based:表示基于数据包的更新方法。

packet:指定传输的数据包(包括组播和广播)的数目,在传送指定数目的数据包(包括组播和广播)后更新GTK,取值范围为5000~4294967295,缺省值为10000000。

time-based:表示基于时间的GTK更新方法。

time:指定GTK密钥更新的周期。取值范围为180~604800,单位为秒,缺省值为86400秒。

【使用指导】

只有开启了GTK更新功能,GTK更新方法才能生效。

使用该命令配置GTK密钥更新方法,多次执行本命令,最后一次执行的命令生效。例如,如果先配置了基于数据包的方法,然后又配置了基于时间的方法,则最后生效的是基于时间的方法。

若该命令在无线服务模板处于开启状态下配置,则分为以下几种情况:

·     基于时间的GTK的更新方式不改变,只改变时间值,则在原有定时器超时之后,新的定时器才可以生效;

·     基于报文数的GTK更新方式不改变,只改变报文数值,则该新的配置立即生效;

·     更新方式由基于时间更新改为基于报文数更新,则删除GTK更新定时器,在组播或广播报文数大于配置的数目值之后立即生效;

·     更新方式由基于报文数更新改为基于时间更新,则基于时间方式立即生效。

【举例】

# 配置基于时间的GTK更新方法。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] gtk-rekey method time-based 3600

# 配置基于数据包的GTK更新方法。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] gtk-rekey method packet-based 600000

【相关命令】

·     gtk-rekey enable

1.1.10  key-derivation

key-derivation命令用来配置密钥衍生算法。

undo key-derivation命令用来恢复缺省情况。

【命令】

key-derivation { sha1 | sha1-and-sha256 | sha256 }

undo key-derivation

【缺省情况】

密钥衍生算法为sha1

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

sha1:表示SHA1算法,它使用HMAC-SHA1算法进行迭代计算产生密钥。

sha1-and-sha256:表示SHA1和SHA256算法,它使用HMAC-SHA1或HMAC-SHA256算法进行迭代计算产生密钥。

sha256:表示SHA256算法,它使用HMAC-SHA256算法进行迭代计算产生密钥。

【使用指导】

当使用RSNA安全机制,密钥衍生算法才会生效。

如果配置保护管理帧功能为mandatory模式,建议指定密钥衍生类型为sha256

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 配置密钥衍生算法为SHA256。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] key-derivation sha256

【相关命令】

·     akm mode

·     cipher-suite

·     security-ie

1.1.11  pmf

pmf命令用来开启保护管理帧功能。

undo pmf命令用来关闭保护管理帧功能。

【命令】

pmf { mandatory | optional }

undo pmf

【缺省情况】

保护管理帧功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

mandatory:指定保护管理帧功能为强制模式,即不支持保护管理帧功能的客户端无法接入。

optional:指定保护管理帧功能为可选模式,即支持或不支持保护管理帧功能的客户端均可接入。

【使用指导】

当使用RSNA安全机制且配置了CCMP加密套件和RSN安全信息元素时,保护管理帧功能才会生效。

【举例】

# 开启保护管理帧功能。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] pmf optional

【相关命令】

·     security-ie

·     cipher-suite

1.1.12  pmf association-comeback

pmf association-comeback命令用来配置保护管理帧的关联返回时间。

undo pmf association-comeback命令用来恢复缺省情况。

【命令】

pmf association-comeback time

undo pmf association-comeback

【缺省情况】

保护管理帧的关联返回时间为1秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time:保护管理帧的关联返回时间,取值范围为1~20,单位为秒。

【使用指导】

如果AP拒绝客户端的关联/重关联请求帧,会向客户端发送关联/重关联响应帧,其中携带了保护管理帧关联返回时间。到了保护管理帧关联返回时间,AP才会接收客户端的关联/重关联请求帧。

【举例】

# 配置保护管理帧的关联返回时间为2秒。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] pmf association-comeback 2

1.1.13  pmf saquery retrycount

pmf saquery retrycount命令用来配置AP发送SA Query request的最大重传次数。

undo pmf saquery retrycount命令用来恢复缺省情况。

【命令】

pmf saquery retrycount count

undo pmf saquery retrycount

【缺省情况】

AP发送SA Query request帧的最大重传次数为4次。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

count:表示AP发送SA Query request帧的最大重传次数,取值范围为1~16。

【使用指导】

若AP在SA Query重试次数内未收到SA Query响应帧,并且关联返回时间已经超时,则AP将认为客户端已经掉线。

【举例】

# 设置AP发送SA Query request帧的最大重传次数为3。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] pmf saquery retrycount 3

【相关命令】

·     pmf

·     pmf saquery retrycount

1.1.14  pmf saquery retrytimeout

pmf saquery retrytimeout命令用来设置AP发送SA Query request帧的时间间隔。

undo pmf saquery retrytimeout命令用来恢复缺省情况。

【命令】

pmf saquery retrytimeout timeout

undo pmf saquery retrytimeout

【缺省情况】

AP发送SA Query request帧的时间间隔为200毫秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

timeout:指定AP发送SA Query request帧的时间间隔,取值范围为100~500,单位为毫秒。

【举例】

# 设置AP发送SA Query request帧的时间间隔为300毫秒。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] pmf saquery retrytimeout 300

【相关命令】

·     pmf

·     pmf saquery retrytimeout

1.1.15  preshared-key

preshared-key命令用来配置PSK密钥。

undo preshared-key命令用来恢复缺省情况。

【命令】

preshared-key { pass-phrase | raw-key } { cipher | simple } string

undo preshared-key

【缺省情况】

未配置PSK密钥。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

pass-phrase:以字符串方式输入预共享密钥。

raw-key:以十六进制数方式输入预共享密钥。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。密钥长度的范围与选择的密钥参数有关,具体关系如下:

·     对于pass-phrase,明文密钥为8~63个字符的字符串,密文密钥为8~117个字符的字符串。

·     对于raw-key,明文密钥为64个十六进制数,密文密钥为8~117个字符的字符串。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。只有认证密钥管理模式为PSK时,此命令才能够生效,当认证密钥管理模式为802.1X时,配置了此项,无线服务模板可以使能,但此配置不会生效。

PSK密钥只能配置一个。

【举例】

# 配置使用明文字符串12345678作为PSK密钥。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] akm mode psk

[Sysname-wlan-st-security] preshared-key pass-phrase simple 12345678

【相关命令】

·     akm mode

1.1.16  ptk-lifetime

ptk-lifetime命令用来配置PTK的生存时间。

undo ptk-lifetime命令用来恢复缺省情况。

【命令】

ptk-lifetime time

undo ptk-lifetime

【缺省情况】

PTK的生存时间为43200秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time:指定生存时间,取值范围为180~604800,单位为秒。

【使用指导】

若该命令在无线服务模板处于开启状态下配置,则在原有定时器超时后,该配置生效。

【举例】

# 配置PTK生存时间为200秒。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] ptk-lifetime 200

1.1.17  ptk-rekey enable

ptk-rekey enable命令用来开启PTK更新功能。

undo ptk-rekey enable命令用来关闭PTK更新功能。

【命令】

ptk-rekey enable

undo ptk-rekey enable

【缺省情况】

PTK更新功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

PTK更新是对单播数据报文的加密密钥进行更新的一种安全手段,采用重新进行四次握手协商出新的PTK密钥的更新机制。

开启本功能后,设备会按照ptk-lifetime命令配置的生存时间周期性的更新PTK。

开启本功能后,请勿配置FT功能,否则本功能将失效。

【举例】

# 开启PTK更新功能。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] ptk-rekey enable

【相关命令】

·     ptk-lifetime

1.1.18  security-ie

security-ie命令用来配置信标和探查响应帧携带安全IE。

undo security-ie命令用来配置信标和探查响应帧不携带指定的安全IE。

【命令】

security-ie { osen | rsn | wpa }

undo security-ie { osen | rsn | wpa }

【缺省情况】

信标和探查响应帧不携带WPA IE、RSN IE或OSEN IE。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

osen:设置在AP发送信标和探查响应帧时携带OSEN IE。OSEN IE通告了AP的OSEN能力。

rsn:设置在AP发送信标和探查响应帧时携带RSN IE。RSN IE通告了AP的RSN能力。

wpa:设置在AP发送信标和探查响应帧时携带WPA IE。WPA IE通告了AP的WPA能力。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置,并且必须要配置CCMP或TKIP加密套件。

当WLAN网络采用RSNA安全机制时,必须配置安全IE。

若配置了安全IE为OSEN IE,则只能配置认证密钥管理模式为Wi-Fi联盟匿名802.1X模式。

【举例】

# 配置信标帧和探查响应帧携带RSN信息元素。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] security-ie rsn

【相关命令】

·     akm mode

·     cipher-suite

1.1.19  snmp-agent trap enable wlan usersec

snmp-agent trap enable wlan usersec命令用来开启用户安全的告警功能。

undo snmp-agent trap enable wlan usersec命令用来关闭用户安全的告警功能。

【命令】

snmp-agent trap enable wlan usersec

undo snmp-agent trap enable wlan usersec

【缺省情况】

用户安全的告警功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启了告警功能之后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。(有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。)

【举例】

# 开启用户安全的告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable wlan usersec

1.1.20  tkip-cm-time

tkip-cm-time命令用来配置发起TKIP反制策略时间。

undo tkip-cm-time命令用来恢复缺省情况。

【命令】

tkip-cm-time time

undo tkip-cm-time

【缺省情况】

发起TKIP反制策略时间为0,即不启动反制策略。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time:设置发起TKIP反制策略时间,取值范围为0~3600,单位为秒。

【使用指导】

启动TKIP反制策略后,如果相邻两次MIC错误的时间间隔小于等于配置的时间,则会解除所有关联到该无线服务的客户端,并且只有在TKIP反制策略实施的时间(60秒)后,才允许客户端重新建立关联。

只有在配置了TKIP加密套件时,此命令才能够生效。

若该命令在无线服务模板处于开启状态时配置,则原有定时器超时后,该配置生效。

【举例】

# 配置发起TKIP反制策略时间为180秒。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] tkip-cm-time 180

【相关命令】

·     cipher-suite

1.1.21  wep key

wep key命令用来配置WEP密钥。

undo wep key命令用来删除指定的WEP密钥。

【命令】

wep key key-id { wep40 | wep104 | wep128 } { pass-phrase | raw-key } { cipher | simple } string

undo wep key key-id

【缺省情况】

未配置WEP密钥。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

key-id:密钥的ID,取值范围为1~4。

wep40:设置WEP40密钥选项。

wep104:设置WEP104密钥选项。

wep128:设置WEP128密钥选项。

pass-phrase:表示共享密钥为字符串。

raw-key:表示共享密钥为十六进制数。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥的长度范围和选择的密钥参数有关,具体关系如下。密文密钥为37~73个字符的字符串。

·     对于wep40 pass-phrase,明文密钥为5个字符的字符串。

·     对于wep104 pass-phrase,明文密钥为13个字符的字符串。

·     对于wep128 pass-phrase,明文密钥为16个字符的字符串。

·     对于wep40 raw-key,明文密钥为10个16进制数。

·     对于wep104 raw-key,明文密钥为26个16进制数。

·     对于wep128 raw-key,明文密钥为32个16进制数。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

WEP密钥只有在配置了WEP加密套件的前提下才生效,最多可以配置四个WEP密钥。

【举例】

# 配置加密套件为WEP40,并配置WEP40密钥为明文12345。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] wep key 1 wep40 pass-phrase simple 12345

【相关命令】

·     cipher-suite

·     wep key-id

1.1.22  wep key-id

wep key-id命令用来选用WEP密钥。

undo wep key-id命令用来恢复缺省情况。

【命令】

wep key-id { 1 | 2 | 3 | 4 }

undo wep key-id

【缺省情况】

WEP加密使用的密钥ID为1。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

1:选择密钥ID为1。

2:选择密钥ID为2。

3:选择密钥ID为3。

4:选择密钥ID为4。

【使用指导】

如果使用RSNA安全机制,密钥ID不能为1,需要配置其它密钥索引值。因为RSN和WPA协商的密钥ID将为1。本命令只能在无线服务模板处于关闭状态时配置。

只有在配置了与密钥长度相对应的WEP加密套件时,指定ID的密钥才会生效。

当配置了多个密钥,可以通过配置密钥ID选择要使用的加密密钥。

【举例】

# 配置WEP40加密套件,WEP40密钥为明文12345,配置密钥ID为1。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] cipher-suite wep40

[Sysname-wlan-st-security] wep key 1 wep40 pass-phrase simple 12345

[Sysname-wlan-st-security] wep key-id 1

【相关命令】

·     wep key

1.1.23  wep mode dynamic

wep mode dynamic命令用来开启动态WEP加密机制。

undo wep mode dynamic命令用来关闭动态WEP加密机制。

【命令】

wep mode dynamic

undo wep mode dynamic

【缺省情况】

动态WEP加密机制处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

配置动态WEP加密必须和dot1x用户接入认证模式一起使用,并且wep key-id不能配置为4。

【举例】

# 开启动态WEP加密机制。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] wep mode dynamic

【相关命令】

·     cipher-suite

·     client-security authentication-mode(用户接入与认证命令参考-WLAN用户接入认证)

·     wep key

·     wep key-id

1.1.24  wlan password-failure-limit enable

wlan password-failure-limit enable命令用来开启密码错误限制功能。

undo wlan password-failure-limit enable命令用来关闭密码错误限制功能。

【命令】

wlan password-failure-limit enable [ detection-period detection-period ] [ failure-threshold failure-threshold ]

undo wlan password-failure-limit enable

【缺省情况】

密码错误限制功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

detection-period detection-period:指定密码错误限制功能的检测周期,取值范围是5~600,单位为秒,缺省值为100。

failure-threshold failure-threshold:指定密码错误限制功能的检测阈值,取值范围是1~100,缺省值为20。

【使用指导】

开启本功能后,在指定检测周期内密码校验失败次数达到指定上限时,客户端会被立即加入到动态黑名单中。有关动态黑名单的详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”。

只有当身份认证与密钥管理模式为PSK或者Private-PSK时,密码错误限制功能才会生效。

本功能仅对在设备上进行关联的新接入的无线客户端生效。

当STAMGR进程重启(例如:设备重启导致的STAMGR进程重启)后,本功能将对密码校验失败次数重新进行计数。

【举例】

# 配置无线客户端的密码错误限制检测周期为300秒,检测阈值为50次。

<Sysname> system-view

[Sysname] wlan password-failure-limit enable detection-period 300 failure-threshold 50

1.1.25  wpa3

wpa3命令用开启WPA3安全模式。

undo wpa3命令用来关闭WPA3安全模式。

【命令】

wpa3 { enterprise | personal { mandatory | optional } }

undo wpa3

【缺省情况】

WPA3安全模式处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

enterprise:使用WPA3企业级。

personal:使用WPA3个人级。

mandatory:指定WPA3安全模式为强制模式,即不支持WPA3安全模式的客户端无法接入。

optional:指定WPA3安全模式为可选模式,即支持和不支持WPA3安全模式的客户端均可接入。

【使用指导】

开启WPA3安全模式时:

·     对于WPA3企业级:加密套件必须配置为GCMP,安全信息元素必须配置为RSN。

·     对于WPA3个人级:加密套件必须配置为CCMP,安全信息元素必须配置为RSN。

开启WPA3安全模式后,建议同时开启保护管理帧功能。

请不要同时开启WPA3安全模式、快速BSS切换功能或增强开放系统认证服务,否则会导致无线服务模板使能失败。关于快速BSS切换功能的详细信息请参见“WLAN漫游配置指导”中的“WLAN漫游”。

【举例】

# 配置WPA3安全模式为个人级强制模式。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] wpa3 personal mandatory

【相关命令】

·     cipher-suite

·     security-ie

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们