选择区域语言: EN CN HK

WLAN命令参考

09-WAPI命令

本章节下载  (138.73 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WA/WA1208E/Command/Command_Manual/H3C_WA_CR-6W101/02/201205/745601_30005_0.htm

09-WAPI命令


l          产品对相关命令参数的支持情况、缺省值及取值范围的差异内容请参见“特性差异化列表”部分。

l          设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。

 

1 WAPI配置命令

1.1  WAPI配置命令

1.1.1  display wapi statistics

【命令】

display wapi statistics [ interface interface-type interface-number ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

interface-type interface-number:查看指定接口上WAPI的统计信息,接口类型只能是WLAN-BSS。如果不指定该参数,将显示所有接口上WAPI的统计信息。

【描述】

display wapi statistics命令用来查看接口上WAPI的统计信息。

【举例】

# 查看所有接口上WAPI的统计信息。

<Sysname> display wapi statistics

WAI statistics:

   Signature errors: 0

   HMAC errors: 0

   Authentication failures: 0

   Discarded packets: 0

   Overtime errors: 27

   Format errors: 0

   Certificate handshake failures: 3

   Unicast handshake failures: 0

   Multicast handshake failures: 0

 

   Received WAI packets: 18

      Authentication access request: 8

      Certificate authentication response: 2

      Unicast key negotiation response: 2

      Multicast key response: 6

      Correct packets: 18

      Wrong packets: 0

 

   Sent WAI packets: 28

      Authentication active: 8

      Certificate authentication request: 8

      Authentication access response: 2

      Unicast key negotiation request: 2

      Unicast key negotiation confirm: 2

      Multicast key announce: 6

表1-1 display wapi statistics命令显示信息描述表

字段

描述

Signature errors

WAI分组验证错误签名数

HMAC errors

WAI分组消息鉴别码错误校验数

Authentication failures

WAI鉴别失败次数

Discarded packets

被丢弃的WAI分组数

Overtime errors

WAI分组超时次数

Format errors

WAI分组格式错误数

Certificate handshake failures

WAI证书鉴别失败次数

Unicast handshake failures

WAI单播密钥协商失败次数

Multicast handshake failures

WAI组播密钥协商失败次数

Received WAI packets

收到的WAI分组总数

Authentication access request

收到的接入鉴别请求分组数

Certificate authentication response

收到的证书鉴别响应分组数

Unicast key negotiation response

收到的单播密钥协商响应分组数

Multicast key response

收到的组播密钥响应分组数

Correct packets

收到的正确的WAI分组数

Wrong packets

收到的错误的WAI分组数

Sent WAI packets

发送的WAI分组总数

Authentication active

发送的鉴别激活分组数

Certificate authentication request

发送的证书鉴别请求分组数

Authentication access response

发送的接入鉴别响应分组数

Unicast key negotiation request

发送的单播密钥协商请求分组数

Unicast key negotiation confirm

发送的单播密钥协商确认分组数

Multicast key announce

发送的组播密钥通告分组数

 

1.1.2  display wapi user

【命令】

display wapi user [ interface interface-type interface-number ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

interface-type interface-number:查看指定接口上WAPI用户的信息,接口类型只能是WLAN-BSS。如果不指定该参数,将显示所有接口上WAPI用户的信息。

【描述】

display wapi user命令用来查看接口上WAPI用户的信息。

WAPI用户是指使用WAPI安全模式进行认证的用户,系统所支持的最大WAPI用户数量为256个。

【举例】

# 查看所有接口上WAPI用户的信息。

<Sysname> display wapi user

Total number of users: 1

                   User information

-------------------------------------------------------

MAC address              : 00-0b-c0-02-5e-3a

VLAN                     : 1

Interface                : WLAN-BSS2:1

Authentication method    : PSK

Current state            : Online

   Authentication state  : Idle

   USK handshake  state  : Establish

   MSK handshake  state  : Establish

   Authorization  state  : Idle

   Accounting     state  : Success

Online time (hh:mm:ss)   : 00:00:05

-------------------------------------------------------

表1-2 display wapi user命令显示信息描述表

字段

描述

MAC address

用户的MAC地址

VLAN

用户所属VLAN

Interface

接口

Authentication method

用户的认证方式(如证书认证或预共享密钥认证)

Current state

用户的当前状态

Authentication state

用户的证书认证状态

USK handshake state

用户的单播密钥协商状态

MSK handshake state

用户的组播密钥协商状态

Authorization state

用户的授权状态

Accounting state

用户的计费状态

Online time (hh:mm:ss)

用户的在线时间

 

1.1.3  reset wapi statistics

【命令】

reset wapi statistics [ interface interface-type interface-number ]

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

interface-type interface-number:清除指定接口上WAPI的统计信息,接口类型只能是WLAN-BSS。如果不指定该参数,将清除所有接口上WAPI的统计信息。

【描述】

reset wapi statistics命令用来清除接口上WAPI的统计信息。

【举例】

# 清除所有接口上WAPI的统计信息。

<Sysname> reset wapi statistics

1.1.4  wapi authentication method

【命令】

wapi authentication method { certificate | certificate-or-psk | psk }

undo wapi authentication method

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

certificate:采用证书鉴别方式。

certificate-or-psk:采用证书鉴别或预共享密钥鉴别方式。

psk:采用预共享密钥鉴别方式。

【描述】

wapi authentication method命令用来配置WAPI的鉴别方式。undo wapi authentication method命令用来恢复缺省情况。

缺省情况下,WAPI采用证书鉴别方式。

【举例】

# 在接口WLAN-BSS1上配置WAPI采用预共享密钥鉴别方式。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] wapi authentication method psk

1.1.5  wapi authentication mode

【命令】

wapi authentication mode { scheme | standard }

undo wapi authentication mode

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

scheme:采用AAA鉴别模式。

standard:采用标准鉴别模式。

【描述】

wapi authentication mode命令用来配置证书鉴别模式。undo wapi authentication mode命令用来恢复缺省情况。

缺省情况下,WAPI采用标准鉴别模式。

【举例】

# 在接口WLAN-BSS1上配置WAPI采用AAA鉴别模式。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] wapi authentication mode scheme

1.1.6  wapi authentication-server ip

【命令】

wapi authentication-server ip ip-address

undo wapi authentication-server ip

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

ip-address:指定AS的IP地址。

【描述】

wapi authentication-server ip命令用来指定AS的IP地址。undo wapi authentication-server ip命令用来恢复缺省情况。

缺省情况下,没有指定AS的IP地址。

【举例】

# 在接口WLAN-BSS1上指定AS的IP地址为10.10.1.1。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] wapi authentication-server ip 10.10.1.1

1.1.7  wapi bk lifetime

【命令】

wapi bk lifetime time

undo wapi bk lifetime

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

time:指定BK更新时间,取值范围为180~604800,单位为秒。

【描述】

wapi bk lifetime命令用来配置BK更新时间。undo wapi bk lifetime命令用来恢复缺省情况。

缺省情况下,BK更新时间为43200秒。

【举例】

# 在接口WLAN-BSS1上配置BK更新时间为20000秒。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] wapi bk lifetime 20000

1.1.8  wapi bk rekey enable

【命令】

wapi bk rekey enable

undo wapi bk rekey enable

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

wapi bk rekey enable命令用来使能BK更新功能。undo wapi bk rekey enable命令用来关闭BK更新功能。

缺省情况下,BK更新功能处于开启状态。

【举例】

# 在接口WLAN-BSS1上关闭BK更新功能。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] undo wapi bk rekey enable

1.1.9  wapi certificate domain

【命令】

wapi certificate domain domain-name authentication-server entity-name

undo wapi certificate domain

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

domain-name:指定PKI域的名称,为1~15个字符的字符串,不区分大小写,不能包含 / \ : ? ' " > < . * |和空格。

entity-name:指定AS的实体名,为1~15个字符的字符串,不区分大小写。

【描述】

wapi certificate domain命令用来指定证书所属的PKI域和AS的实体名。undo wapi certificate domain命令用来恢复缺省情况。

缺省情况下,没有指定证书所属的PKI域和AS的实体名。

【举例】

# 在接口WLAN-BSS1上指定证书所属的PKI域为abc,AS的实体名为def。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] wapi certificate domain abc authentication-server def

1.1.10  wapi certificate format

【命令】

wapi certificate format { gbw | x509 }

undo wapi certificate format

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

gbw:指定证书格式为GBW格式。

x509:指定证书格式为X.509v3格式。

【描述】

wapi certificate format命令用来指定证书鉴别所采用的证书格式。undo wapi certificate format命令用来恢复缺省情况。

缺省情况下,采用X.509v3格式的证书进行证书鉴别。

【举例】

# 在接口WLAN-BSS1上指定采用X.509v3格式的证书进行证书鉴别。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] wapi certificate format x509

1.1.11  wapi mandatory-domain

【命令】

wapi mandatory-domain domain-name

undo wapi mandatory-domain

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

domain-name:指定ISP域的名称,为1~24个字符的字符串,不区分大小写。不能包含 / \ : ? ' " > < . * |和空格。

【描述】

wapi mandatory-domain命令用来指定AAA证书鉴别所属的ISP域。undo wapi mandatory-domain命令用来恢复缺省情况。

缺省情况下,没有指定AAA证书鉴别所属的ISP域。

相关配置可参考命令wapi authentication mode

【举例】

# 在接口WLAN-BSS1上指定AAA证书鉴别所属的ISP域为abc。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] wapi mandatoty-domain abc

1.1.12  wapi msk-rekey client-offline enable

【命令】

wapi msk-rekey client-offline enable

undo wapi msk-rekey client-offline enable

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

wapi msk-rekey client-offline enable命令用来使能用户下线触发组播密钥更新功能。undo wapi msk-rekey client-offline enable命令用来恢复缺省情况。

缺省情况下,用户下线触发组播密钥更新功能处于关闭状态。

需要注意的是,只有在设备上先使能组播密钥更新功能,本命令才能生效。

相关配置可参考命令wapi msk-rekey enable

【举例】

# 在接口WLAN-BSS1上配置用户下线时触发组播密钥更新。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] wapi msk-rekey enable

[Sysname-WLAN-BSS1] wapi msk-rekey client-offline enable

1.1.13  wapi msk-rekey enable

【命令】

wapi msk-rekey enable

undo wapi msk-rekey enable

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

wapi msk-rekey enable命令用来使能组播密钥更新功能。undo wapi msk-rekey enable命令用来关闭组播密钥更新功能。

缺省情况下,组播密钥更新功能处于开启状态。

【举例】

# 在接口WLAN-BSS1上关闭组播密钥更新功能。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] undo wapi msk-rekey enable

1.1.14  wapi msk-rekey method

【命令】

wapi msk-rekey method { packet-based [ packet ] | time-based [ time ] }

undo wapi msk-rekey method

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

packet-based:由流量触发组播密钥更新。

packet:指定触发组播密钥更新的报文数量,取值范围为5000~4294967295,单位为千帧(1000帧),缺省值为10000千帧。

time-based:由时间间隔触发组播密钥更新。

time:指定触发组播密钥更新的时间间隔,取值范围为180~604800,单位为秒。

【描述】

wapi msk-rekey method命令用来配置组播密钥更新方式。undo wapi msk-rekey method命令用来恢复缺省情况。

缺省情况下,由时间间隔触发组播密钥更新,触发更新的时间间隔为86400秒。

需要注意的是,只有在设备上先使能组播密钥更新功能,本命令才能生效。

相关配置可参考命令wapi msk-rekey enable

【举例】

# 在接口WLAN-BSS1上配置由流量触发组播密钥更新,触发更新的报文数为20000千帧。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] wapi msk-rekey enable

[Sysname-WLAN-BSS1] wapi msk-rekey method packet-based 20000

1.1.15  wapi psk

【命令】

wapi psk { pass-phrase { cipher | simple } password | raw-key { cipher | simple } key }

undo wapi psk

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

pass-phrase:以字符串方式输入预共享密钥。

raw-key:以十六进制方式输入预共享密钥。

cipher:以密文方式显示预共享密钥。

simple:以明文方式显示预共享密钥。

password:字符串格式的预共享密钥。当直接输入明文时,为1~16个ASCII码;当输入密文时,为24个ASCII码。

key:十六进制格式的预共享密钥。当直接输入明文时,为2~32个16进制数,不区分大小写;当输入密文时,为88个16进制数。

【描述】

wapi psk命令用来配置预共享密钥。undo wapi psk命令用来恢复缺省情况。

缺省情况下,没有配置预共享密钥。

【举例】

# 在接口WLAN-BSS1上配置预共享密钥为123456,用字符串格式输入,显示方式为明文方式。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] wapi psk pass-phrase simple 123456

1.1.16  wapi usk lifetime

【命令】

wapi usk lifetime time

undo wapi usk lifetime

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

time:指定单播密钥的更新时间,取值范围为180~604800,单位为秒。

【描述】

wapi usk lifetime命令用来配置单播密钥的更新时间。undo wapi usk lifetime命令用来恢复缺省情况。

缺省情况下,单播密钥的更新时间为86400秒。

【举例】

# 在接口WLAN-BSS1上配置单播密钥的更新时间为20000秒。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] wapi usk lifetime 20000

1.1.17  wapi usk rekey enable

【命令】

wapi usk rekey enable

undo wapi usk rekey enable

【视图】

WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

wapi usk rekey enable命令用来使能单播密钥更新功能。undo wapi usk rekey enable命令用来关闭单播密钥更新功能。

缺省情况下,单播密钥更新功能处于开启状态。

【举例】

# 在接口WLAN-BSS1上关闭单播密钥更新功能。

<Sysname> system-view

[Sysname] interface wlan-bss 1

[Sysname-WLAN-BSS1] undo wapi usk rekey enable

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!