03-WLAN安全命令
本章节下载: 03-WLAN安全命令 (169.44 KB)
1.1.3 dot1x supplicant eap-method
1.1.5 dot1x supplicant password
1.1.6 dot1x supplicant username
1.1.7 gtk-rekey client-offline enable
1.1.12 pmf association-comeback
authentication-method { open-system | shared-key }
undo authentication-method { open-system | shared-key }
2:系统级
open-system:启用开放式认证。
shared-key:启用共享密钥认证。
authentication-method命令用来选择802.11规定的认证方式。undo authentication-method命令用来禁用所选择的认证方式。
缺省情况下,启用open-system认证方式。
使用该命令设置认证方式时,可以选择开放式系统认证或共享密钥认证,也可以同时启用两种认证方式。
# 启用开放式认证。
[Sysname] wlan service-template 1 clear
[Sysname-wlan-st-1] authentication-method open-system
# 启用共享密钥认证。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] authentication-method shared-key
cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }*
undo cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }*
2:系统级
ccmp:启用AES-CCMP加密套件。
tkip:启用TKIP加密套件。
wep40:启用WEP40加密套件。
wep104:启用WEP104加密套件。
wep128:启用WEP128加密套件。
cipher-suite命令用来配置在帧加密时使用的加密套件。undo cipher-suite命令用来禁用选择的加密套件。
# 启用TKIP加密套件。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] cipher-suite tkip
【命令】
dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 }
undo dot1x supplicant eap-method
【视图】
AP配置视图
【缺省级别】
2:系统级
【参数】
md5:认证方法为MD5。
peap-gtc:认证方法为PEAP-GTC。
peap-mschapv2:认证方法为PEAP-MSCHAPV2。
ttls-gtc:认证方法为TTLS-GTC。
ttls-mschapv2:认证方法为TTLS-MSCHAPV2。
【描述】
dot1x supplicant eap-method命令用来配置AP作为802.1X客户端时采用的认证方法。undo dot1x supplicant eap-method命令用来恢复缺省情况。
缺省情况下,没有配置AP作为802.1X客户端的认证方法。
开启AP以太网接口下802.1X客户端功能后,默认采用MD5方式进行认证。
【举例】
# 配置AP作为802.1X客户端的认证方法为MD5。
<Sysname> system-view
[Sysname] wlan ap ap1 model WA3628i-AGN
[Sysname-wlan-ap-ap1] provision
[Sysname-wlan-ap-ap1-prvs] dot1x supplicant eap-method md5
【命令】
dot1x supplicant enable
undo dot1x supplicant enable
【视图】
AP配置视图
【缺省级别】
2:系统级
【描述】
dot1x supplicant enable命令用来开启AP以太网接口下802.1X客户端功能。undo dot1x supplicant enable命令用来恢复缺省情况。
缺省情况下,AP以太网接口下的802.1X客户端功能处于关闭状态。
【举例】
# 开启AP以太网接口下802.1X客户端功能。
<Sysname> system-view
[Sysname] wlan ap ap1 model WA3628i-AGN
[Sysname-wlan-ap-ap1] provision
[Sysname-wlan-ap-ap1-prvs] dot1x supplicant enable
【命令】
dot1x supplicant password { cipher | simple } password
undo dot1x supplicant password
【视图】
AP配置视图
【缺省级别】
2:系统级
【参数】
cipher:表示以密文方式设置用户密码。
simple:表示以明文方式设置用户密码。
password:设置的明文密码或密文密码,区分大小写。明文密码为1~127个字符的字符串;密文密码为1~201个字符的字符串。
【描述】
dot1x supplicant password命令用来配置AP作为802.1X客户端的认证密码。undo dot1x supplicant password命令用来恢复缺省情况。
缺省情况下,没有配置AP作为802.1X客户端的认证密码。
【举例】
# 配置AP作为802.1X客户端的认证密码为123456.。
<Sysname> system-view
[Sysname] wlan ap ap1 model WA3628i-AGN
[Sysname-wlan-ap-ap1] provision
[Sysname-wlan-ap-ap1-prvs] dot1x supplicant supplicant password simple 123456
【命令】
dot1x supplicant username username
undo dot1x supplicant username
【视图】
AP配置视图
【缺省级别】
2:系统级
【参数】
username:进行802.1X客户端认证的认证用户名;为1~253个字符的字符串,区分大小写。
【描述】
dot1x supplicant username命令用来配置AP作为802.1X客户端的认证用户名。undo dot1x supplicant username命令用来恢复缺省情况。
缺省情况下,没有配置AP作为802.1X客户端的认证用户名。
【举例】
# 配置AP作为802.1X客户端的认证用户名为aaa。
<Sysname> system-view
[Sysname] wlan ap ap1 model WA3628i-AGN
[Sysname-wlan-ap-ap1] provision
[Sysname-wlan-ap-ap1-prvs] dot1x supplicant usernmae aaa
gtk-rekey client-offline enable
2:系统级
gtk-rekey client-offline enable命令用来启动当无线客户端离线时更新GTK的功能。undo gtk-rekey client-offline命令用来关闭无线客户端离线更新GTK的功能。
只有执行了gtk-rekey enable命令,此功能才生效。
# 启用当无线客户端离线时更新GTK的功能。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] gtk-rekey client-offline enable
2:系统级
gtk-rekey enable命令用来设置允许GTK更新。undo gtk-rekey enable命令用来禁止GTK更新。
缺省情况下,启用GTK更新功能。
# 禁止GTK更新。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] undo gtk-rekey enable
gtk-rekey method { packet-based [ packet ] | time-based [ time ] }
2:系统级
packet-based:设置GTK密钥更新采用基于数据包的方法。
packet:指定传输的数据包(组播数据包)的数目,在传送指定数目的数据包(组播数据包)后更新GTK,取值范围为5000~4294967295。
time-based:设置GTK密钥更新采用基于时间的方法。
time:指定GTK密钥更新的周期。取值范围为180~604800,单位为秒。
gtk-rekey method命令用来设置GTK进行密钥的更新方法。undo gtk-rekey method命令用来恢复缺省情况。
缺省情况下,GTK密钥更新采用基于时间的方法,缺省的时间间隔是86400秒。
· 如果配置了基于时间的GTK密钥更新,则在指定时间间隔后进行GTK更新密钥,时间间隔的取值范围为180~604800秒,缺省为86400秒。
· 如果配置了基于数据包的GTK密钥更新,则在传输了指定数目的数据包(组播数据包)后进行GTK密钥更新,数据包数目的取值范围为5000~4294967295;缺省情况下,在传输了10000000个报文后进行密钥更新。
使用该命令配置GTK密钥更新方法时,新配置的方法会覆盖前一次的配置。例如,如果先配置了基于数据包的方法,然后又配置了基于时间的方法,则最后生效的是基于时间的方法。
# 设置采用基于数据包的方法进行GTK密钥更新,且在传输了60000个数据包后进行密钥更新。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] gtk-rekey method packet-based 60000
【命令】
key-derivation { sha1 | sha1-and-sha256 | sha256 }
undo key-derivation
【视图】
服务模板视图
【缺省级别】
2:系统级
【参数】
sha1:支持使用HMAC-SHA1散列算法。
sha1-and-sha256:支持使用HMAC-SHA1和HMAC-SHA256散列算法。
sha256:支持使用HMAC-SHA256散列算法。
【描述】
key-derivation命令用来配置密钥衍生类型。undo key-derivation命令用来恢复缺省情况。
缺省情况下,密钥衍生类型是sha1。
需要注意的是:
· 当认证类型为PSK或802.1X时,使用该命令配置的密钥衍生类型才能生效。
· 配置保护管理帧功能时,如果选择mandatory参数,建议指定密钥衍生类型为sha256。
相关配置可参考命令pmf。
【举例】
# 配置密钥衍生类型为HMAC-SHA1或HMAC-SHA256散列算法。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] key-derivation sha1-and-sha256
【命令】
pmf { mandatory | optional }
undo pmf
【视图】
服务模板视图
【缺省级别】
2:系统级
【参数】
mandatory:强制要求只有支持保护管理帧功能的客户端可以接入。
optional:支持或不支持保护管理帧功能的客户端均可接入。
【描述】
pmf命令用来配置保护管理帧功能。undo pmf命令用来关闭保护管理帧功能。
缺省情况下,保护管理帧功能处于关闭状态。
【举例】
# 开启保护管理帧功能,且强制要求只有支持保护管理帧功能的客户端可以接入。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] pmf mandatory
【命令】
pmf association-comeback value
undo pmf association-comeback
【视图】
服务模板视图
【缺省级别】
2:系统级
【参数】
value:关联返回时间,在该时间超时前,AP不会处理客户端发送的关联/重关联请求。取值范围为1~20,单位为秒。
【描述】
pmf association-comeback命令用来配置关联返回时间。undo pmf association-comeback命令用来恢复缺省情况。
缺省情况下,关联返回时间为1秒。
相关配置可参考命令pmf、pmf saquery retry和pmf saquery timeout。
【举例】
# 配置关联返回时间为2秒。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] pmf association-comeback 2
【命令】
pmf saquery retry value
undo pmf saquery retry
【视图】
服务模板视图
【缺省级别】
2:系统级
【参数】
value:AP发送SA Query请求帧的重传次数,取值范围为1~16。
【描述】
pmf saquery retry命令用来配置AP发送SA Query 请求帧的重传次数。undo pmf saquery retry命令是用来恢复缺省情况。
缺省情况下,AP发送SA Query请求帧的重传次数为4次。
相关配置可参考命令pmf、pmf association-comeback和pmf saquery timeout。
【举例】
# 配置AP发送SA Query请求帧的重传次数为3次。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] pmf saquery retry 3
【命令】
pmf saquery timeout value
undo pmf saquery timeout
【视图】
服务模板视图
【缺省级别】
2:系统级
【参数】
value:SA Query超时时间,若AP在SA Query超时时间内未收到客户端的SA Query响应帧,AP将再次发送SA Query请求帧。取值范围为100~500,单位为毫秒。
【描述】
pmf saquery timeout命令用来配置SA Query超时时间。undo pmf saquery timeout命令用来恢复缺省情况。
缺省情况下,SA Query超时时间为200毫秒。
相关配置可参考命令pmf、pmf saquery retry和pmf saquery timeout。
【举例】
# 配置SA Query超时时间为300毫秒。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] pmf saquery timeout 300
2:系统级
time:指定生存时间,取值范围为180~604800,单位为秒。
ptk-lifetime命令用来设置PTK的生存时间。undo ptk-lifetime命令用来恢复PTK的生存时间为缺省值。
缺省情况下,PTK的生存时间是43200秒。
# 设置PTK的生存时间为86400秒。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] ptk-lifetime 86400
undo security-ie { rsn | wpa }
2:系统级
rsn:设置在AP发送信标和探查响应帧时携带RSN IE。RSN IE通告了AP的RSN能力。
wpa:设置在AP发送信标和探查响应帧时携带WPA IE。WPA IE通告了AP的WPA能力。
security-ie命令用来设置信标和探查响应帧携带WPA IE或RSN IE,或者同时携带二者。undo security-ie命令用来设置信标和探查响应帧不携带WPA IE或RSN IE。
缺省情况下,信标和探查响应帧不携带WPA IE或RSN IE。
# 配置信标和探查帧携带WPA IE信息。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] security-ie wpa
2:系统级
time:设置TKIP反制策略实施时间,取值范围为0~3600,单位为秒。
tkip-cm-time命令用来设置TKIP反制策略实施的时间。undo tkip-cm-time命令用来恢复TKIP反制策略实施的时间为缺省值。
缺省情况下,TKIP反制策略实施的时间为0秒,即不启动反制策略。
启动TKIP反制策略后,如果在一定时间内发生了两次MIC错误,则会解除所有关联到该无线服务的无线客户端,并且只有在TKIP反制策略实施的时间后,才允许无线客户端重新建立关联。
# 设置TKIP反制策略的时间间隔为90秒。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] tkip-cm-time 90
undo wep default-key key-index
2:系统级
key-index:密钥索引值如下:
· 1:配置第一个WEP缺省密钥。
· 2:配置第二个WEP缺省密钥。
· 3:配置第三个WEP缺省密钥。
· 4:配置第四个WEP缺省密钥。
wep40:设置WEP40密钥选项。
wep104:设置WEP104密钥选项。
wep128:设置WEP128密钥选项。
pass-phrase:设置以字符串方式输入预共享密钥。
raw-key:设置以十六进制数方式输入预共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥。
key:设置明文密钥或密文密钥,区分大小写。明文密钥的长度范围和选择的密钥参数有关。具体关系如下。密文密钥的取值范围是24~88。在不指定simple或cipher的情况下,表示以明文方式输入密钥。
· 对于wep40 pass-phrase,密钥是5个字符的字符串。
· 对于wep104 pass-phrase,密钥是13个字符的字符串。
· 对于wep128 pass-phrase,密钥是16个字符的字符串。
· 对于wep40 raw-key,密钥是10个16进制数。
· 对于wep104 raw-key,密钥是26个16进制数。
· 对于wep128 raw-key,密钥是32个16进制数。
wep default-key命令用来配置WEP缺省密钥。undo wep default-key命令用来删除已配置的WEP缺省密钥。
缺省情况下,WEP缺省密钥索引值为1。
以明文或密文方式设置的密钥,均以密文的方式保存在配置文件中。
# 以明文方式设置第一个WEP缺省密钥为12345。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] wep default-key 1 wep40 pass-phrase simple 12345
2:系统级
key-index:密钥索引号的取值范围为1~4,详细如下:
· 1:选择密钥索引为1。
· 2:选择密钥索引为2。
· 3:选择密钥索引为3。
· 4:选择密钥索引为4。
wep key-id命令用来配置密钥索引号。undo wep key-id命令用来恢复缺省情况。
缺省情况下,密钥索引号为wep default-key命令配置的值。
在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密。
# 配置密钥索引号为2。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] wep key-id 2
2:系统级
dynamic:配置动态WEP加密。
wep mode命令用来配置动态WEP加密。undo wep mode命令用来恢复缺省情况。
缺省情况下,使用静态WEP密钥方式。
· 配置动态WEP加密必须和802.1x认证方式一起使用,并且wep key-id不能配置为4。
· 配置动态WEP加密后,设备会自动使用WEP 104加密方式,用户可以通过cipher-suite命令修改WEP加密方式为其他方式。
· 配置动态WEP加密后,用来加密单播数据帧的WEP密钥由无线客户端和服务器协商产生。如果配置动态WEP加密的同时配置了WEP密钥,则该WEP密钥作为组播密钥,用来加密组播数据帧。如果不配置WEP密钥,则由设备随机生成组播密钥。
相关配置可参考命令wep key-id和cipher-suite。
# 配置动态WEP加密。
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] wep mode dynamic
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!