03-WLAN用户安全命令
本章节下载: 03-WLAN用户安全命令 (155.78 KB)
本文中的AP指的是LA3616无线网关。
akm mode命令用来配置身份认证与密钥管理。
undo akm mode命令用来恢复缺省情况。
dot1x:表示身份认证与密钥管理的模式是802.1X模式。
psk:表示身份认证与密钥管理的模式是PSK模式。
· 该命令只能在无线服务模板处于关闭的状态下进行配置,并且802.1X和PSK两种模式不能同时存在。
· 802.1X模式和802.1X用户认证模式相互依赖,必须同时配置。有关802.1X的详细介绍请参见“WLAN配置指导”中的“WLAN用户接入认证”。
· PSK模式和MAC用户认证模式或Bypass用户认证模式相互依赖,必须同时配置。有关MAC地址认证和Bypass认证的详细介绍请参见“WLAN配置指导”中的“WLAN用户接入认证”。
· 若配置了身份认证与密钥管理,则安全IE和加密套件必须配置。
# 配置身份认证与密钥管理模式为PSK模式。
[Sysname] wlan service-template security
[Sysname-wlan-st-security] akm mode psk
cipher-suite命令用来配置在帧加密时使用的加密套件。
undo cipher-suite命令用来禁用选择的加密套件。
cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }
undo cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }
ccmp:AES-CCMP加密套件。
tkip:TKIP加密套件。
wep40:WEP40加密套件。
wep104:WEP104加密套件。
wep128:WEP128加密套件。
· 如果配置了安全IE,则必须配置TKIP或者CCMP加密套件中的一种。
· WEP加密套件只能配置WEP40/WEP104/WEP128其中的一种,且需要配置与加密套件种类相对应的WEP密钥及WEP密钥ID。
· 若配置了加密套件,则身份认证与密钥管理和安全IE则必须配置。
· WEP128和CCMP或TKIP不能同时配置。
# 配置TKIP加密套件。
[Sysname] wlan service-template security
[Sysname-wlan-st-security] cipher-suite tkip
gtk-rekey client-offline enable命令用来开启客户端离线更新GTK功能。
undo gtk-rekey client-offline enable命令用来关闭客户端离线更新GTK功能。
gtk-rekey client-offline enable
undo gtk-rekey client-offline enable
客户端离线更新GTK功能关闭。
只有开启了GTK更新功能,客户端离线更新GTK的功能才能生效。
# 开启客户端离线更新GTK功能。
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey client-offline enable
gtk-rekey enable命令用来开启更新GTK功能。
undo gtk-rekey enable命令用来关闭更新GTK功能。
GTK更新功能处于开启状态。
# 开启更新GTK功能。
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey enable
gtk-rekey method命令用来配置GTK更新方法。
undo gtk-rekey method命令用来恢复缺省情况。
gtk-rekey method { packet-based [ packet ] | time-based [ time ] }
GTK更新采用基于时间的方法,时间间隔为86400秒。
packet-based:表示基于数据包的更新方法。
packet:指定传输的数据包(包括组播和广播)的数目,在传送指定数目的数据包(包括组播和广播)后更新GTK,取值范围为5000~4294967295。如果未指定本参数,则表示传输10000000个报文后进行密钥更新。
time-based:表示基于时间的GTK更新方法。
time:指定GTK密钥更新的周期。取值范围为180~604800,单位为秒。如果未指定本参数,则表示时间间隔是86400秒。
· 只有开启了GTK更新功能,GTK更新方法才能生效。
· 使用该命令配置GTK密钥更新方法,新配置的方法会覆盖前一次的配置。例如,如果先配置了基于数据包的方法,然后又配置了基于时间的方法,则最后生效的是基于时间的方法。
若该命令在无线服务模板处于开启状态下配置,则分为以下几种情况:
¡ 基于时间的GTK的更新方式不改变,只改变时间值,则该配置在重新创建定时器后生效;
¡ 基于报文数的GTK更新方式不改变,只改变报文数值,则该新的配置立即生效;
¡ 更新方式由基于时间更新改为基于报文数更新,则删除GTK更新定时器,在组播或广播报文数大于配置的数目值之后立即生效;
¡ 更新方式由基于报文数更新改为基于时间更新,则基于时间方式立即生效。
# 配置基于时间的GTK更新方法。
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey method time-based 3600
# 配置基于数据包的GTK更新方法。
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey method packet-based 600000
key-derivation命令用来配置密钥衍生算法。
undo key-derivation命令用来恢复缺省情况。
key-derivation { sha1 | sha1-and-sha256 | sha256 }
sha1:表示SHA1算法,它使用HMAC-SHA1算法进行迭代计算产生密钥。
sha1-and-sha256:表示SHA1和SHA256算法,它使用HMAC-SHA1或HMAC-SHA256算法进行迭代计算产生密钥。
sha256:表示SHA256算法,它使用HMAC-SHA256算法进行迭代计算产生密钥。
· 当使用RSNA安全机制,密钥衍生算法才会生效。
· 如果配置保护管理帧功能为mandatory模式,建议指定密钥衍生类型为sha256。
# 配置密钥衍生算法为SHA256。
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] key-derivation sha256
preshared-key命令用来配置PSK密钥。
undo preshared-key命令用来删除已配置的PSK密钥。
preshared-key { pass-phrase | raw-key } { cipher | simple } key
未配置PSK密钥。
pass-phrase:以字符串方式输入预共享密钥。
raw-key:以十六进制数方式输入预共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥。
key:设置明文密钥或密文密钥,区分大小写。密钥长度的范围与选择的密钥参数有关,具体关系如下:
· 对于pass-phrase simple,密钥是8~63个字符的字符串。
· 对于pass-phrase cipher,密钥是8~117个字符的字符串。
· 对于raw-key simple,密钥是64个十六进制数。
· 对于raw-key cipher,密钥是8~117个字符串。
· 该命令只能在无线服务模板处于关闭的状态下进行配置。并且只有认证密钥管理模式为PSK时,此命令才能够生效,当认证密钥管理模式为802.1X时,配置了此项,无线服务模板可以使能,但此配置不会生效。
· PSK密钥只能配置一个。
# 配置使用明文字符串12345678作为PSK密钥。
[Sysname] wlan service-template security
[Sysname-wlan-st-security] akm mode psk
[Sysname-wlan-st-security] preshared-key pass-phrase simple 12345678
ptk-lifetime命令用来配置PTK的生存时间。
undo ptk-lifetime命令用来恢复缺省情况。
PTK的生存时间为43200秒。
time:指定生存时间,取值范围为180~604800,单位为秒。
若该命令在无线服务模板处于开启状态下配置,则在原有定时器超时后,再创建新的定时器。
# 配置PTK生存时间为200秒。
[Sysname] wlan service-template security
[Sysname-wlan-st-security] ptk-lifetime 200
security-ie命令用来配置信标和探查响应帧携带安全IE。
undo security-ie命令用来配置信标和探查响应帧不携带安全IE。
undo security-ie { rsn | wpa }
信标和探查响应帧不携带WPA IE或RSN IE。
rsn:设置在AP发送信标和探查响应帧时携带RSN IE。RSN IE通告了AP的RSN能力。
wpa:设置在AP发送信标和探查响应帧时携带WPA IE。WPA IE通告了AP的WPA能力。
该命令只能在无线服务模板处于关闭的状态下进行配置,并且必须要配置CCMP或TKIP加密套件。
WPA IE和RSN IE可以同时配置。
若配置了安全IE,则认证密钥管理模式和加密套件必须配置。
# 配置信标帧和探查响应帧携带RSN信息元素。
[Sysname] wlan service-template security
[Sysname-wlan-st-security] security-ie rsn
tkip-cm-time命令用来配置发起TKIP反制策略时间。
undo tkip-cm-time命令用来恢复缺省情况。
发起TKIP反制策略时间为0,即不启动反制策略。
time:设置发起TKIP反制策略时间,取值范围为0~3600,单位为秒。
· 只有在配置了TKIP加密套件时,此命令才能够生效。
· 若该命令在无线服务模板处于开启状态时配置,则原有定时器超时后,再创建新的定时器。
· 启动TKIP反制策略后,如果相邻两次MIC错误的时间间隔小于等于配置的时间,则会解除所有关联到该无线服务的客户端,并且只有在TKIP反制策略实施的时间(60s)后,才允许客户端重新建立关联。
# 配置发起TKIP反制策略时间为180秒。
[Sysname] wlan service-template security
[Sysname-wlan-st-security] tkip-cm-time 180
wep key命令用来配置WEP密钥。
undo wep key命令用来删除已配置的WEP密钥。
wep key key-id { wep40 | wep104 | wep128 } { pass-phrase | raw-key } { cipher | simple } key
未配置WEP密钥。
key-id:密钥的ID,取值范围为1~4。
wep40:设置WEP40密钥选项。
wep104:设置WEP104密钥选项。
wep128:设置WEP128密钥选项。
pass-phrase:表示共享密钥为字符串。
raw-key:表示共享密钥为十六进制数。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥。
key:设置明文密钥或密文密钥,区分大小写。明文密钥的长度范围和选择的密钥参数有关。具体关系如下。密文密钥为37~73个字符的字符串。
对于wep40 pass-phrase,密钥是5个字符的字符串。
对于wep104 pass-phrase,密钥是13个字符的字符串。
对于wep128 pass-phrase,密钥是16个字符的字符串。
对于wep40 raw-key,密钥是10个16进制数。
对于wep104 raw-key,密钥是26个16进制数。
对于wep128 raw-key,密钥是32个16进制数。
· 最多可以配置四个WEP密钥。
# 配置加密套件为WEP40,并配置WEP40密钥为明文12345。
[Sysname] wlan service-template security
[Sysname-wlan-st-security] wep key 1 wep40 pass-phrase simple 12345
wep key-id命令用来配置WEP加密使用的密钥ID。
undo wep key-id命令用来恢复缺省情况。
WEP加密使用的密钥ID为1。
1:选择密钥ID为1。
2:选择密钥ID为2。
3:选择密钥ID为3。
4:选择密钥ID为4。
· 该命令只能在无线服务模板处于关闭的状态下进行配置。当配置了多个密钥,可以通过配置密钥ID选择要使用的加密密钥。
· 如果使用RSNA安全机制,密钥ID不能为1,需要配置其它密钥索引值。因为RSN和WPA协商的密钥ID将为1。
· 只有在配置了与密钥长度相对应的WEP加密套件时,指定ID的密钥才会生效。
# 配置WEP40加密套件,WEP40密钥为明文12345,配置密钥ID为1。
[Sysname] wlan service-template security
[Sysname-wlan-st-security] cipher-suite wep40
[Sysname-wlan-st-security] wep key 1 wep40 pass-phrase simple 12345
[Sysname-wlan-st-security] wep key-id 1
wep mode dynamic命令用来开启动态WEP加密机制。
undo wep mode dynamic命令用来恢复缺省配置。
动态WEP加密机制处于关闭状态。
配置动态WEP加密必须和dot1x用户接入认证模式一起使用,并且wep key-id不能配置为4。
# 开启动态WEP加密机制。
[Sysname] wlan service-template security
[Sysname-wlan-st-security] wep mode dynamic
client-security authentication-mode(WLAN命令参考-WLAN用户接入认证)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!