• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

15-WLAN命令参考(FAT AP)

目录

04-WLAN用户安全命令

本章节下载 04-WLAN用户安全命令  (224.30 KB)

04-WLAN用户安全命令


1 WLAN用户安全

说明

设备对无线接入功能的支持情况请参见“WLAN特性与硬件适配关系(FAT AP)”。

 

1.1  WLAN用户安全配置命令

1.1.1  akm mode

akm mode命令用来配置身份认证与密钥管理的模式。

undo akm mode命令用来恢复缺省情况。

【命令】

akm mode { dot1x | private-psk | psk | anonymous-dot1x }

undo akm mode

【缺省情况】

未配置身份认证与密钥管理。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

dot1x:表示身份认证与密钥管理的模式是802.1X模式。

private-psk:表示身份认证与密钥管理的模式是Private-PSK模式。

psk:表示身份认证与密钥管理的模式是PSK模式。

anonymous-dot1x:表示身份认证与密钥管理的模式是Wi-Fi联盟匿名802.1X模式。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置,并且只能配置一种模式。

当WLAN网络采用RSNA安全机制时,必须配置身份认证与密钥管理。若配置了身份认证与密钥管理模式为Wi-Fi联盟匿名802.1X模式,则安全IE只能配置为OSEN IE。

每一种身份认证模式都有互相依赖的用户认证方式:

·     802.1X模式和802.1X用户认证模式相互依赖,必须同时配置。有关802.1X的详细介绍请参见“WLAN配置指导”中的“WLAN用户接入认证”。

·     Private-PSK模式和MAC地址认证模式相互依赖,必须同时配置,有关MAC地址认证的详细介绍请参见“WLAN配置指导”中的“WLAN用户接入认证”。

·     PSK模式和MAC地址认证模式或Bypass用户认证模式相互依赖,必须同时配置。有关MAC地址认证和Bypass认证的详细介绍请参见“WLAN配置指导”中的“WLAN用户接入认证”。

·     Wi-Fi联盟匿名802.1X模式和802.1X用户认证模式相互依赖,必须同时配置。

【举例】

# 配置身份认证与密钥管理模式为PSK模式。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] akm mode psk

【相关命令】

·     cipher-suite

·     security-ie

1.1.2  cipher-suite

cipher-suite命令用来配置在帧加密时使用的加密套件。

undo cipher-suite命令用来取消在帧加密时使用指定的加密套件。

【命令】

cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }

undo cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }

【缺省情况】

未配置加密套件。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ccmp:AES-CCMP加密套件。

tkip:TKIP加密套件。

wep40:WEP40加密套件。

wep104:WEP104加密套件。

wep128:WEP128加密套件。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

如果配置了安全IE,则必须配置TKIP或者CCMP加密套件中的一种。当WLAN网络采用RSNA安全机制时,必须配置加密套件。

WEP加密套件只能配置WEP40/WEP104/WEP128其中的一种,且需要配置与加密套件种类相对应的WEP密钥及WEP密钥ID。

WEP128和CCMP或TKIP不能同时配置。

【举例】

# 配置在帧加密时使用TKIP加密套件。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] cipher-suite tkip

【相关命令】

·     security-ie

·     wep key

·     wep key-id

1.1.3  gtk-rekey client-offline enable

gtk-rekey client-offline enable命令用来开启客户端离线更新GTK功能。

undo gtk-rekey client-offline enable命令用来关闭客户端离线更新GTK功能。

【命令】

gtk-rekey client-offline enable

undo gtk-rekey client-offline enable

【缺省情况】

客户端离线更新GTK功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

只有开启了更新GTK功能,客户端离线更新GTK的功能才能生效。

【举例】

# 开启客户端离线更新GTK功能。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] gtk-rekey client-offline enable

【相关命令】

·     gtk-rekey enable

1.1.4  gtk-rekey enable

gtk-rekey enable命令用来开启更新GTK功能。

undo gtk-rekey enable命令用来关闭更新GTK功能。

【命令】

gtk-rekey enable

undo gtk-rekey enable

【缺省情况】

更新GTK功能处于开启状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【举例】

# 开启更新GTK功能。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] gtk-rekey enable

1.1.5  gtk-rekey method

gtk-rekey method命令用来配置GTK更新方法。

undo gtk-rekey method命令用来恢复缺省情况。

【命令】

gtk-rekey method { packet-based [ packet ] | time-based [ time ] }

undo gtk-rekey method

【缺省情况】

GTK更新采用基于时间的方法,时间间隔为86400秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

packet-based:表示基于数据包的更新方法。

packet:指定传输的数据包(包括组播和广播)的数目,在传送指定数目的数据包(包括组播和广播)后更新GTK,取值范围为5000~4294967295,缺省值为10000000。

time-based:表示基于时间的GTK更新方法。

time:指定GTK密钥更新的周期。取值范围为180~604800,单位为秒,缺省值为86400秒。

【使用指导】

只有开启了GTK更新功能,GTK更新方法才能生效。

使用该命令配置GTK密钥更新方法,多次执行本命令,最后一次执行的命令生效。例如,如果先配置了基于数据包的方法,然后又配置了基于时间的方法,则最后生效的是基于时间的方法。

若该命令在无线服务模板处于开启状态下配置,则分为以下几种情况:

·     基于时间的GTK的更新方式不改变,只改变时间值,则在原有定时器超时之后,新的定时器才可以生效;

·     基于报文数的GTK更新方式不改变,只改变报文数值,则该新的配置立即生效;

·     更新方式由基于时间更新改为基于报文数更新,则删除GTK更新定时器,在组播或广播报文数大于配置的数目值之后立即生效;

·     更新方式由基于报文数更新改为基于时间更新,则基于时间方式立即生效。

【举例】

# 配置基于时间的GTK更新方法。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] gtk-rekey method time-based 3600

# 配置基于数据包的GTK更新方法。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] gtk-rekey method packet-based 600000

【相关命令】

·     gtk-rekey enable

1.1.6  key-derivation

key-derivation命令用来配置密钥衍生算法。

undo key-derivation命令用来恢复缺省情况。

【命令】

key-derivation { sha1 | sha1-and-sha256 | sha256 }

undo key-derivation

【缺省情况】

密钥衍生算法为sha1

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

sha1:表示SHA1算法,它使用HMAC-SHA1算法进行迭代计算产生密钥。

sha1-and-sha256:表示SHA1和SHA256算法,它使用HMAC-SHA1或HMAC-SHA256算法进行迭代计算产生密钥。

sha256:表示SHA256算法,它使用HMAC-SHA256算法进行迭代计算产生密钥。

【使用指导】

当使用RSNA安全机制,密钥衍生算法才会生效。

如果配置保护管理帧功能为mandatory模式,建议指定密钥衍生类型为sha256

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 配置密钥衍生算法为SHA256。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] key-derivation sha256

【相关命令】

·     akm mode

·     cipher-suite

·     security-ie

1.1.7  pmf

pmf命令用来开启保护管理帧功能。

undo pmf命令用来关闭保护管理帧功能。

【命令】

pmf { mandatory | optional }

undo pmf

【缺省情况】

保护管理帧功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

mandatory:指定保护管理帧功能为强制模式,即不支持保护管理帧功能的客户端无法接入。

optional:指定保护管理帧功能为可选模式,即支持或不支持保护管理帧功能的客户端均可接入。

【使用指导】

当使用RSNA安全机制且配置了CCMP加密套件和RSN安全信息元素时,保护管理帧功能才会生效。

【举例】

# 开启保护管理帧功能。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] pmf optional

【相关命令】

·     security-ie

·     cipher-suite

1.1.8  pmf association-comeback

pmf association-comeback命令用来配置保护管理帧的关联返回时间。

undo pmf association-comeback命令用来恢复缺省情况。

【命令】

pmf association-comeback time

undo pmf association-comeback

【缺省情况】

保护管理帧的关联返回时间为1秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time:保护管理帧的关联返回时间,取值范围为1~20,单位为秒。

【使用指导】

如果AP拒绝客户端的关联/重关联请求帧,会向客户端发送关联/重关联响应帧,其中携带了保护管理帧关联返回时间。到了保护管理帧关联返回时间,AP才会接收客户端的关联/重关联请求帧。

【举例】

# 配置保护管理帧的关联返回时间为2秒。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] pmf association-comeback 2

1.1.9  pmf saquery retrycount

pmf saquery retrycount命令用来配置AP发送SA Query request的最大重传次数。

undo pmf saquery retrycount命令用来恢复缺省情况。

【命令】

pmf saquery retrycount count

undo pmf saquery retrycount

【缺省情况】

AP发送SA Query request帧的最大重传次数为4次。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

count:表示AP发送SA Query request帧的最大重传次数,取值范围为1~16。

【使用指导】

若AP在SA Query重试次数内未收到SA Query响应帧,并且关联返回时间已经超时,则AP将认为客户端已经掉线。

【举例】

# 设置AP发送SA Query request帧的最大重传次数为3。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] pmf saquery retrycount 3

【相关命令】

·     pmf

·     pmf saquery retrycount

1.1.10  pmf saquery retrytimeout

pmf saquery retrytimeout命令用来设置AP发送SA Query request帧的时间间隔。

undo pmf saquery retrytimeout命令用来恢复缺省情况。

【命令】

pmf saquery retrytimeout timeout

undo pmf saquery retrytimeout

【缺省情况】

AP发送SA Query request帧的时间间隔为200毫秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

timeout:指定AP发送SA Query request帧的时间间隔,取值范围为100~500,单位为毫秒。

【举例】

# 设置AP发送SA Query request帧的时间间隔为300毫秒。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] pmf saquery retrytimeout 300

【相关命令】

·     pmf

·     pmf saquery retrytimeout

1.1.11  preshared-key

preshared-key命令用来配置PSK密钥。

undo preshared-key命令用来恢复缺省情况。

【命令】

preshared-key { pass-phrase | raw-key } { cipher | simple } string

undo preshared-key

【缺省情况】

未配置PSK密钥。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

pass-phrase:以字符串方式输入预共享密钥。

raw-key:以十六进制数方式输入预共享密钥。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。密钥长度的范围与选择的密钥参数有关,具体关系如下:

·     对于pass-phrase,明文密钥为8~63个字符的字符串,密文密钥为8~117个字符的字符串。

·     对于raw-key,明文密钥为64个十六进制数,密文密钥为8~117个字符的字符串。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。只有认证密钥管理模式为PSK时,此命令才能够生效,当认证密钥管理模式为802.1X时,配置了此项,无线服务模板可以使能,但此配置不会生效。

PSK密钥只能配置一个。

【举例】

# 配置使用明文字符串12345678作为PSK密钥。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] akm mode psk

[Sysname-wlan-st-security] preshared-key pass-phrase simple 12345678

【相关命令】

·     akm mode

1.1.12  ptk-lifetime

ptk-lifetime命令用来配置PTK的生存时间。

undo ptk-lifetime命令用来恢复缺省情况。

【命令】

ptk-lifetime time

undo ptk-lifetime

【缺省情况】

PTK的生存时间为43200秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time:指定生存时间,取值范围为180~604800,单位为秒。

【使用指导】

若该命令在无线服务模板处于开启状态下配置,则在原有定时器超时后,该配置生效。

【举例】

# 配置PTK生存时间为200秒。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] ptk-lifetime 200

1.1.13  ptk-rekey enable

ptk-rekey enable命令用来开启PTK更新功能。

undo ptk-rekey enable命令用来关闭PTK更新功能。

【命令】

ptk-rekey enable

undo ptk-rekey enable

【缺省情况】

PTK更新功能处于开启状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

PTK更新是对单播数据报文的加密密钥进行更新的一种安全手段,采用重新进行四次握手协商出新的PTK密钥的更新机制。

开启本功能后,设备会按照ptk-lifetime命令配置的生存时间周期性的更新PTK。

【举例】

# 开启PTK更新功能。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] ptk-rekey enable

【相关命令】

·     ptk-lifetime

1.1.14  security-ie

security-ie命令用来配置信标和探查响应帧携带安全IE。

undo security-ie命令用来配置信标和探查响应帧不携带指定的安全IE。

【命令】

security-ie { osen | rsn | wpa }

undo security-ie { osen | rsn | wpa }

【缺省情况】

信标和探查响应帧不携带WPA IE、RSN IE或OSEN IE。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

osen:设置在AP发送信标和探查响应帧时携带OSEN IE。OSEN IE通告了AP的OSEN能力。

rsn:设置在AP发送信标和探查响应帧时携带RSN IE。RSN IE通告了AP的RSN能力。

wpa:设置在AP发送信标和探查响应帧时携带WPA IE。WPA IE通告了AP的WPA能力。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置,并且必须要配置CCMP或TKIP加密套件。

当WLAN网络采用RSNA安全机制时,必须配置安全IE。

若配置了安全IE为OSEN IE,则只能配置认证密钥管理模式为Wi-Fi联盟匿名802.1X模式。

【举例】

# 配置信标帧和探查响应帧携带RSN信息元素。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] security-ie rsn

【相关命令】

·     akm mode

·     cipher-suite

1.1.15  snmp-agent trap enable wlan usersec

snmp-agent trap enable wlan usersec命令用来开启用户安全的告警功能。

undo snmp-agent trap enable wlan usersec命令用来关闭用户安全的告警功能。

【命令】

snmp-agent trap enable wlan usersec

undo snmp-agent trap enable wlan usersec

【缺省情况】

用户安全的告警功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启了告警功能之后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。(有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。)

【举例】

# 开启用户安全的告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable wlan usersec

1.1.16  tkip-cm-time

tkip-cm-time命令用来配置发起TKIP反制策略时间。

undo tkip-cm-time命令用来恢复缺省情况。

【命令】

tkip-cm-time time

undo tkip-cm-time

【缺省情况】

发起TKIP反制策略时间为0,即不启动反制策略。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time:设置发起TKIP反制策略时间,取值范围为0~3600,单位为秒。

【使用指导】

启动TKIP反制策略后,如果相邻两次MIC错误的时间间隔小于等于配置的时间,则会解除所有关联到该无线服务的客户端,并且只有在TKIP反制策略实施的时间(60秒)后,才允许客户端重新建立关联。

只有在配置了TKIP加密套件时,此命令才能够生效。

若该命令在无线服务模板处于开启状态时配置,则原有定时器超时后,该配置生效。

【举例】

# 配置发起TKIP反制策略时间为180秒。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] tkip-cm-time 180

【相关命令】

·     cipher-suite

1.1.17  wep key

wep key命令用来配置WEP密钥。

undo wep key命令用来删除指定的WEP密钥。

【命令】

wep key key-id { wep40 | wep104 | wep128 } { pass-phrase | raw-key } { cipher | simple } string

undo wep key key-id

【缺省情况】

未配置WEP密钥。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

key-id:密钥的ID,取值范围为1~4。

wep40:设置WEP40密钥选项。

wep104:设置WEP104密钥选项。

wep128:设置WEP128密钥选项。

pass-phrase:表示共享密钥为字符串。

raw-key:表示共享密钥为十六进制数。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥的长度范围和选择的密钥参数有关,具体关系如下。密文密钥为37~73个字符的字符串。

·     对于wep40 pass-phrase,明文密钥为5个字符的字符串。

·     对于wep104 pass-phrase,明文密钥为13个字符的字符串。

·     对于wep128 pass-phrase,明文密钥为16个字符的字符串。

·     对于wep40 raw-key,明文密钥为10个16进制数。

·     对于wep104 raw-key,明文密钥为26个16进制数。

·     对于wep128 raw-key,明文密钥为32个16进制数。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

WEP密钥只有在配置了WEP加密套件的前提下才生效,最多可以配置四个WEP密钥。

【举例】

# 配置加密套件为WEP40,并配置WEP40密钥为明文12345。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] wep key 1 wep40 pass-phrase simple 12345

【相关命令】

·     cipher-suite

·     wep key-id

1.1.18  wep key-id

wep key-id命令用来选用WEP密钥。

undo wep key-id命令用来恢复缺省情况。

【命令】

wep key-id { 1 | 2 | 3 | 4 }

undo wep key-id

【缺省情况】

WEP加密使用的密钥ID为1。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

1:选择密钥ID为1。

2:选择密钥ID为2。

3:选择密钥ID为3。

4:选择密钥ID为4。

【使用指导】

如果使用RSNA安全机制,密钥ID不能为1,需要配置其它密钥索引值。因为RSN和WPA协商的密钥ID将为1。本命令只能在无线服务模板处于关闭状态时配置。

只有在配置了与密钥长度相对应的WEP加密套件时,指定ID的密钥才会生效。

当配置了多个密钥,可以通过配置密钥ID选择要使用的加密密钥。

【举例】

# 配置WEP40加密套件,WEP40密钥为明文12345,配置密钥ID为1。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] cipher-suite wep40

[Sysname-wlan-st-security] wep key 1 wep40 pass-phrase simple 12345

[Sysname-wlan-st-security] wep key-id 1

【相关命令】

·     wep key

1.1.19  wep mode dynamic

wep mode dynamic命令用来开启动态WEP加密机制。

undo wep mode dynamic命令用来关闭动态WEP加密机制。

【命令】

wep mode dynamic

undo wep mode dynamic

【缺省情况】

动态WEP加密机制处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

配置动态WEP加密必须和dot1x用户接入认证模式一起使用,并且wep key-id不能配置为4。

【举例】

# 开启动态WEP加密机制。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] wep mode dynamic

【相关命令】

·     cipher-suite

·     client-security authentication-mode(WLAN命令参考-WLAN用户接入认证)

·     wep key

·     wep key-id

1.1.20  wlan password-failure-limit enable

wlan password-failure-limit enable命令用来开启密码错误限制功能。

undo wlan password-failure-limit enable命令用来关闭密码错误限制功能。

【命令】

wlan password-failure-limit enable [ detection-period detection-period ] [ failure-threshold failure-threshold ]

undo wlan password-failure-limit enable

【缺省情况】

密码错误限制功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

detection-period detection-period:指定密码错误限制功能的检测周期,取值范围是5~600,单位为秒,缺省值为100。

failure-threshold failure-threshold:指定密码错误限制功能的检测阈值,取值范围是1~100,缺省值为20。

【使用指导】

开启本功能后,在指定检测周期内密码校验失败次数达到指定上限时,客户端会被立即加入到动态黑名单中。有关动态黑名单的详细介绍请参见“WLAN配置指导”中的“WLAN接入”。

只有当身份认证与密钥管理模式为PSK或者Private-PSK时,密码错误限制功能才会生效。

本功能仅对在设备上进行关联的新接入的无线客户端生效。

当STAMGR进程重启(例如:设备重启导致的STAMGR进程重启)后,本功能将对密码校验失败次数重新进行计数。

本功能不支持IRF组网中AP直接从备份AC上线的情况。

【举例】

# 配置无线客户端的密码错误限制检测周期为300秒,检测阈值为50次。

<Sysname> system-view

[Sysname] wlan password-failure-limit enable detection-period 300 failure-threshold 50

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们