04-WLAN安全命令
本章节下载: 04-WLAN安全命令 (151.11 KB)
l 不同型号产品的特性功能支持情况略有不同,详细请参见“特性差异化列表” 部分的介绍。
l 设备支持的接口类型和编号与设备的实际情况相关,使用中请以设备实际情况为准。
【命令】
authentication-method { open-system | shared-key }
undo authentication-method { open-system | shared-key }
【视图】
服务模板视图
【缺省级别】
2:系统级
【参数】
open-system:使能开放式认证。
shared-key:使能共享密钥认证。
【描述】
authentication-method命令用来选择802.11规定的认证方式。undo authentication-method命令用来禁用所选择的认证方式。
缺省情况下,使用open-system认证方式。
使用该命令设置认证方式时,当前服务模板为crypto类型的,且加密方式为WEP方式时,认证方式可以同时是open-system或shared-key类型的。
l 当前模板类型为clear时,只能使能open-system类型的认证;
l 当前模板类型为crypto时,则可以使能open-system或shared-key类型的认证;
l 当前模板类型为wapi时,不支持认证功能。
【举例】
# 使能开放式认证。
<Sysname> system-view
[Sysname] wlan service-template 1 clear
[Sysname-wlan-st-1] authentication-method open-system
# 使能共享密钥认证。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] authentication-method shared-key
【命令】
cipher-suite { ccmp | tkip | wep40 | wep104 | wep128}*
undo cipher-suite { ccmp | tkip | wep40 | wep104 | wep128}*
【视图】
服务模板视图(crypto类型)
【缺省级别】
2:系统级
【参数】
ccmp:使能CCMP加密套件,CCMP是一种基于AES加密算法的加密机制。
tkip:使能TKIP加密套件,TKIP是一种基于RC4算法和动态密钥管理的加密机制。
wep40:使能WEP40加密套件,WEP是一种基于RC4算法和共享密钥管理的加密机制。
wep104:使能WEP104加密套件。
wep128:使能WEP128加密套件。
【描述】
cipher-suite命令用来配置在帧加密时使用的加密套件。undo cipher-suite命令用来停用选择的加密套件。
缺省情况下,没有选择任何加密套件。
目前支持的加密套件有CCMP、TKIP、WEP40、WEP104、WEP128。
【举例】
# 使能TKIP加密套件。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] cipher-suite tkip
【命令】
gtk-rekey client-offline enable
undo gtk-rekey client-offline
【视图】
服务模板视图(crypto类型)
【缺省级别】
2:系统级
【参数】
无
【描述】
gtk-rekey client-offline enable命令用来启动当客户端离线时更新GTK(Group Temporal Key,群组临时密钥)的功能。undo gtk-rekey client-offline命令用来关闭客户端离线更新GTK的功能。
缺省情况下,关闭客户端离线更新GTK的功能。
只有执行了gtk-rekey enable命令,此功能才生效。
【举例】
# 启用当客户端离线时更新GTK的功能。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] gtk-rekey client-offline enable
【命令】
gtk-rekey enable
undo gtk-rekey enable
【视图】
服务模板视图(crypto类型)
【缺省级别】
2:系统级
【参数】
无
【描述】
gtk-rekey enable命令用来设置允许GTK更新。undo gtk-rekey enable命令用来禁止GTK更新。
缺省情况下,使能GTK更新功能。
【举例】
# 禁止GTK更新。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] undo gtk-rekey enable
【命令】
gtk-rekey method { packet-based [ packet ] | time-based [ time ] }
undo gtk-rekey method
【视图】
服务模板视图(crypto类型)
【缺省级别】
2:系统级
【参数】
packet-based:设置GTK密钥更新采用基于数据包的方法。
packet:指定传输的数据包(包括组播和广播)的数目,在传送指定数目的数据包(包括组播和广播)后更新GTK,取值范围为5000~4294967295。
time-based:设置GTK密钥更新采用基于时间的方法。
time:指定GTK密钥更新的周期。取值范围为180~604800,单位为秒。
【描述】
gtk-rekey method命令用来设置GTK进行密钥的更新方法。undo gtk-rekey method命令用来恢复缺省情况。
缺省情况下,GTK密钥更新采用基于时间的方法,缺省的时间间隔是86400秒。
l 如果配置了基于时间的GTK密钥更新,则在指定时间间隔后进行GTK更新密钥,时间间隔的取值范围为180~604800秒,缺省为86400秒。
l 如果配置了基于数据包的GTK密钥更新,则在传输了指定数目的数据包后进行GTK密钥更新,数据包数目的取值范围为5000~4294967295;缺省情况下,在传输了10000000个报文后进行密钥更新。
使用该命令配置GTK密钥更新方法时,新配置的方法会覆盖前一次的配置。例如,如果先配置了基于数据包的方法,然后又配置了基于时间的方法,则最后生效的是基于时间的方法。
【举例】
# 设置采用基于数据包的方法进行GTK密钥更新,且在传输了60000个数据包后进行密钥更新。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] gtk-rekey method packet-based 60000
【命令】
ptk-lifetime time
undo ptk-lifetime
【视图】
服务模板视图(crypto类型)
【缺省级别】
2:系统级
【参数】
time:指定生存时间,取值范围为180~604800,单位为秒。。
【描述】
ptk-lifetime命令用来设置PTK(Pairwise Transient Key,成对临时密钥)的生存时间。undo ptk-lifetime命令用来恢复PTK的生存时间为缺省值。
缺省情况下,PTK的生存时间是43200秒。
【举例】
# 设置PTK的生存时间为86400秒。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] ptk-lifetime 86400
【命令】
security-ie { rsn | wpa }
undo security-ie { rsn | wpa }
【视图】
服务模板视图(crypto类型)
【缺省级别】
2:系统级
【参数】
rsn:设置在AP发送信标和探测响应帧时携带RSN IE。RSN IE(RSN Information Element,RSN信息元素)通告了AP的RSN(Robust Security Network,健壮安全网络)能力。
wpa:设置在AP发送信标和探测响应帧时携带WPA IE(WPA Information Element,WPA信息元素)。WPA IE通告了AP的WPA(Wi-Fi Protected Access,Wi-Fi保护访问)能力。
【描述】
security-ie命令用来设置信标和探测响应帧携带WPA IE或RSN IE,或者同时携带二者。undo security-ie命令用来设置信标和探测响应帧不携带WPA IE或RSN IE。
缺省情况下,信标和探测响应帧不携带WPA IE或RSN IE。
【举例】
# 配置信标和探测帧携带WPA IE信息。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] security-ie wpa
【命令】
tkip-cm-time time
undo tkip-cm-time
【视图】
服务模板视图(crypto类型)
【缺省级别】
2:系统级
【参数】
time:设置反制策略实施时间。当在设置的时间间隔内发生两个MIC(Message Integrity Check,信息完整性校验)错误时,系统将实施反制策略。取值范围为0~3600,单位为秒。
【描述】
tkip-cm-time命令用来设置TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)反制策略实施的时间。undo tkip-cm-time命令用来恢复TKIP反制策略实施的时间为缺省值。
缺省情况下,TKIP反制策略实施的时间为0秒,即不启动反制策略。
启动反制策略后,如果在一定的时间内发生了两次MIC错误,则TKIP关联将被解除,并且在TKIP反制策略实施的时间后,客户端才能重新建立关联。
【举例】
# 设置TKIP反制策略的时间间隔为90秒。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] tkip-cm-time 90
【命令】
wep default-key key-index { wep40 | wep104 | wep128} { pass-phrase | raw-key } [ cipher | simple ] key
undo wep default-key key-index
【视图】
服务模板视图(crypto类型)
【缺省级别】
2:系统级
【参数】
key-index:密钥索引值如下:
l 1:配置第一个WEP缺省密钥。
l 2:配置第二个WEP缺省密钥。
l 3:配置第三个WEP缺省密钥。
l 4:配置第四个WEP缺省密钥。
wep40:设置WEP40密钥选项。
wep104:设置WEP104密钥选项。
wep128:设置WEP128密钥选项。
pass-phrase:配置pass-phrase选项。使用包含数字和字母的字符串作为密钥。如果使用WEP40,密钥为5个字符的字符串;如果使用WEP104,密钥为13个字符的字符串;如果使用WEP128,密钥为16个字符的字符串。
raw-key:配置raw-key选项。raw-key为16进制的形式。如果使用WEP40,密钥为10位16进制数;如果使用WEP104,密钥为26位16进制数;如果使用WEP128,密钥为32位16进制数。raw-key的长度是固定的。
cipher key:表示设置密文密钥,且密钥将以密文显示。其中,密钥的取值范围为24~88个字符的字符串,区分大小写。
simple key:表示设置明文密钥,且密钥将以明文显示。其中,密钥的取值范围和选择的密钥参数有关,区分大小写。
在不指定simple或cipher的情况下,表示设置明文密钥,且密钥将以密文显示。密钥的取值范围和simple key相同。
【描述】
wep default-key命令用来配置WEP缺省密钥。undo wep default-key命令用来删除已配置的WEP缺省密钥。
缺省情况下,没有配置WEP缺省密钥。
【举例】
# 配置WEP缺省密钥1(wep40)为“hello”。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] wep default-key 1 wep40 pass-phrase hello
# 配置WEP缺省密钥为c25d3fe4483e867d1df96eaacd。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] wep default-key 1 wep104 raw-key c25d3fe4483e867d1df96eaacd
【命令】
wep key-id { 1 | 2 | 3 | 4 }
undo wep key-id
【视图】
服务模板视图(crypto类型)
【缺省级别】
2:系统级
【参数】
key-index:密钥索引号的取值范围为1~4,详细如下:
l 1:选择密钥索引为1。
l 2:选择密钥索引为2。
l 3:选择密钥索引为3。
l 4:选择密钥索引为4。
【描述】
wep key-id命令用来配置密钥索引号。undo wep key-id命令用来恢复缺省情况。
缺省情况下,密钥索引号为1。
在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密。
【举例】
# 配置密钥索引号为2。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] wep key-id 2
【命令】
wep mode dynamic
undo wep mode
【视图】
服务模板视图
【缺省级别】
2:系统级
【参数】
dynamic:配置动态WEP加密。
【描述】
wep mode命令用来配置动态WEP加密。undo wep mode命令用来恢复缺省情况。
缺省情况下,使用静态WEP密钥方式。
需要注意的是:
l 配置动态WEP加密必须和802.1x认证方式一起使用,并且wep key-id不能配置为4。
l 配置动态WEP加密后,设备会自动使用WEP 104加密方式,用户可以通过cipher-suite命令修改WEP加密方式为其他方式。
l 配置动态WEP加密后,用来加密单播数据帧的WEP密钥由客户端和服务器协商产生。如果配置动态WEP加密的同时配置了WEP密钥,则该WEP密钥作为组播密钥,用来加密组播数据帧。如果不配置WEP密钥,则由设备随机生成组播密钥。
相关配置可参考命令wep key-id、cipher-suite和wep default-key。
【举例】
# 配置动态WEP加密。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] wep mode dynamic
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!