选择区域语言: EN CN HK

13-WLAN命令参考

04-WLAN安全命令

本章节下载  (139.26 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Command/Command_Manual/H3C_MSR_CR(V5)-R2311-V1.12/13/201212/768121_30005_0.htm

04-WLAN安全命令


1 WLAN安全

本文所指的AP和FAT AP代表了MSR 900和MSR 20-1X无线款型,以及安装了SIC-WLAN模块的MSR系列路由器。

 

1.1  WLAN安全配置命令

1.1.1  authentication-method

【命令】

authentication-method { open-system | shared-key }

undo authentication-method { open-system | shared-key }

【视图】

服务模板视图

【缺省级别】

2:系统级

【参数】

open-system:使能开放式认证。

shared-key:使能共享密钥认证。

【描述】

authentication-method命令用来选择802.11规定的认证方式。undo authentication-method命令用来禁用所选择的认证方式。

缺省情况下,使用open-system认证方式。

使用该命令设置认证方式时,可以选择开放式系统认证或共享密钥认证,也可以同时使能两种认证方式。

【举例】

# 使能开放式认证。

<Sysname> system-view

[Sysname] wlan service-template 1 clear

[Sysname-wlan-st-1] authentication-method open-system

# 使能共享密钥认证。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] authentication-method shared-key

1.1.2  cipher-suite

【命令】

cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }*

undo cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }*

【视图】

服务模板视图(crypto类型)

【缺省级别】

2:系统级

【参数】

ccmp:使能AES-CCMP加密套件。

tkip:使能TKIP加密套件,TKIP是一种基于RC4算法和动态密钥管理的加密机制。

wep40:使能WEP40加密套件,WEP是一种基于RC4算法和共享密钥管理的加密机制。

wep104:使能WEP104加密套件。

wep128:使能WEP128加密套件。

【描述】

cipher-suite命令用来配置在帧加密时使用的加密套件。undo cipher-suite命令用来禁用选择的加密套件。

缺省情况下,没有选择任何加密套件。

【举例】

# 使能TKIP加密套件。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] cipher-suite tkip

1.1.3  gtk-rekey client-offline enable

【命令】

gtk-rekey client-offline enable

undo gtk-rekey client-offline

【视图】

服务模板视图(crypto类型)

【缺省级别】

2:系统级

【参数】

【描述】

gtk-rekey client-offline enable命令用来启动当无线客户端离线时更新GTK(Group Temporal Key,群组临时密钥)的功能。undo gtk-rekey client-offline命令用来关无线闭客户端离线更新GTK的功能。

缺省情况下,关闭无线客户端离线更新GTK的功能。

只有执行了gtk-rekey enable命令,此功能才生效。

【举例】

# 启用当无线客户端离线时更新GTK的功能。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] gtk-rekey client-offline enable

1.1.4  gtk-rekey enable

【命令】

gtk-rekey enable

undo gtk-rekey enable

【视图】

服务模板视图(crypto类型)

【缺省级别】

2:系统级

【参数】

【描述】

gtk-rekey enable命令用来设置允许GTK更新。undo gtk-rekey enable命令用来禁止GTK更新。

缺省情况下,使能GTK更新功能。

【举例】

# 禁止GTK更新。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] undo gtk-rekey enable

1.1.5  gtk-rekey method

【命令】

gtk-rekey method { packet-based [ packet ] | time-based [ time ] }

undo gtk-rekey method

【视图】

服务模板视图(crypto类型)

【缺省级别】

2:系统级

【参数】

packet-based:设置GTK密钥更新采用基于数据包的方法。

packet:指定传输的数据包(包括组播和广播)的数目,在传送指定数目的数据包(包括组播和广播)后更新GTK,取值范围为5000~4294967295。

time-based:设置GTK密钥更新采用基于时间的方法。

time:指定GTK密钥更新的周期。取值范围为180~604800,单位为秒。

【描述】

gtk-rekey method命令用来设置GTK进行密钥的更新方法。undo gtk-rekey method命令用来恢复缺省情况。

缺省情况下,GTK密钥更新采用基于时间的方法,缺省的时间间隔是86400秒。

·              如果配置了基于时间的GTK密钥更新,则在指定时间间隔后进行GTK更新密钥,时间间隔的取值范围为180~604800秒,缺省为86400秒。

·              如果配置了基于数据包的GTK密钥更新,则在传输了指定数目的数据包后进行GTK密钥更新,数据包数目的取值范围为5000~4294967295;缺省情况下,在传输了10000000个报文后进行密钥更新。

使用该命令配置GTK密钥更新方法时,新配置的方法会覆盖前一次的配置。例如,如果先配置了基于数据包的方法,然后又配置了基于时间的方法,则最后生效的是基于时间的方法。

 

【举例】

# 设置采用基于数据包的方法进行GTK密钥更新,且在传输了60000个数据包后进行密钥更新。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] gtk-rekey method packet-based 60000

1.1.6  ptk-lifetime

【命令】

ptk-lifetime time

undo ptk-lifetime

【视图】

服务模板视图(crypto类型)

【缺省级别】

2:系统级

【参数】

time:指定生存时间,取值范围为180~604800,单位为秒。

【描述】

ptk-lifetime命令用来设置PTK(Pairwise Transient Key,成对临时密钥)的生存时间。undo ptk-lifetime命令用来恢复PTK的生存时间为缺省值。

缺省情况下,PTK的生存时间是43200秒。

【举例】

# 设置PTK的生存时间为86400秒。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] ptk-lifetime 86400

1.1.7  security-ie

【命令】

security-ie { rsn | wpa }

undo security-ie { rsn | wpa }

【视图】

服务模板视图(crypto类型)

【缺省级别】

2:系统级

【参数】

rsn:设置在AP发送信标和探测响应帧时携带RSN IE(RSN Information Element,RSN信息元素)。RSN IE通告了AP的RSN(Robust Security Network,健壮安全网络)能力。

wpa:设置在AP发送信标和探测响应帧时携带WPA IE WPA Information Element,WPA信息元素)。WPA IE通告了AP的WPA(Wi-Fi Protected Access,Wi-Fi保护访问)能力。

【描述】

security-ie命令用来设置信标和探测响应帧携带WPA IE或RSN IE,或者同时携带二者。undo security-ie命令用来设置信标和探测响应帧不携带WPA IE或RSN IE。

缺省情况下,信标和探测响应帧不携带WPA IE或RSN IE。

【举例】

# 配置信标和探测帧携带WPA IE信息。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] security-ie wpa

1.1.8  tkip-cm-time

【命令】

tkip-cm-time time

undo tkip-cm-time

【视图】

服务模板视图(crypto类型)

【缺省级别】

2:系统级

【参数】

time:设置TKIP反制策略实施时间。取值范围为0~3600,单位为秒。

【描述】

tkip-cm-time命令用来设置TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)反制策略实施的时间。undo tkip-cm-time命令用来恢复TKIP反制策略实施的时间为缺省值。

缺省情况下,TKIP反制策略实施的时间为0秒,即不启动反制策略。

启动TKIP反制策略后,如果在一定时间内发生了两次MIC错误,则会解除所有关联到该无线服务的无线客户端,并且只有在TKIP反制策略实施的时间后,才允许无线客户端重新建立关联。

【举例】

# 设置TKIP反制策略的时间间隔为90秒。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] tkip-cm-time 90

1.1.9  wep default-key

【命令】

wep default-key key-index { wep40 | wep104 | wep128} { pass-phrase | raw-key } [ cipher | simple ] key

undo wep default-key key-index

【视图】

服务模板视图(crypto类型)

【缺省级别】

2:系统级

【参数】

key-index:密钥索引值如下:

·              1:配置第一个WEP缺省密钥。

·              2:配置第二个WEP缺省密钥。

·              3:配置第三个WEP缺省密钥。

·              4:配置第四个WEP缺省密钥。

wep40:设置WEP40密钥选项。

wep104:设置WEP104密钥选项。

wep128:设置WEP128密钥选项。

pass-phrase:设置以字符串方式输入预共享密钥。

raw-key:设置以十六进制数方式输入预共享密钥。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥。

key:设置明文密钥或密文密钥,区分大小写。明文密钥的长度范围和选择的密钥参数有关。具体关系如下。密文密钥的取值范围是24~88。在不指定simplecipher的情况下,表示以明文方式输入密钥。

·              对于wep40 pass-phrase,密钥的是5个字符的字符串。

·              对于wep104 pass-phrase,密钥是13个字符的字符串。

·              对于wep128 pass-phrase,密钥是16个字符的字符串。

·              对于wep40 raw-key,密钥是10个16进制数。

·              对于wep104 raw-key,密钥是26个16进制数。

·              对于wep128 raw-key,密钥是32个16进制数。

【描述】

wep default-key命令用来配置WEP缺省密钥。undo wep default-key命令用来删除已配置的WEP缺省密钥。

缺省情况下,WEP缺省密钥索引值为1。

以明文或密文方式设置的密钥,均以密文的方式保存在配置文件中。

【举例】

# 以明文方式设置第一个WEP缺省密钥为12345。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] wep default-key 1 wep40 pass-phrase simple 12345

1.1.10  wep key-id

【命令】

wep key-id { 1 | 2 | 3 | 4 }

undo wep key-id

【视图】

服务模板视图(crypto类型)

【缺省级别】

2:系统级

【参数】

key-index:密钥索引号的取值范围为1~4,详细如下:

·              1:选择密钥索引为1。

·              2:选择密钥索引为2。

·              3:选择密钥索引为3。

·              4:选择密钥索引为4。

【描述】

wep key-id命令用来配置密钥索引号。undo wep key-id命令用来恢复缺省情况。

缺省情况下,密钥索引号为1

在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密。

相关配置可参考命令wep default-key

【举例】

# 配置密钥索引号为2。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] wep key-id 2

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!