12-WIPS命令参考
本章节下载: 12-WIPS命令参考 (450.41 KB)
1.1.3 ap-classification-rule(WIPS视图)
1.1.4 ap-classification-rule(虚拟安全域视图)
1.1.5 attack-detect-policy(WIPS视图)
1.1.6 attack-detect-policy(虚拟安全域视图)
1.1.9 countermeasure external-ap
1.1.10 countermeasure fixed-channel
1.1.11 countermeasure misassociation-client
1.1.12 countermeasure misconfigured-ap
1.1.13 countermeasure potential-authorized-ap
1.1.14 countermeasure potential-external-ap
1.1.15 countermeasure potential-rogue-ap
1.1.16 countermeasure-policy(WIPS视图)
1.1.17 countermeasure-policy(虚拟安全域视图)
1.1.18 countermeasure rogue-ap
1.1.19 countermeasure static (WIPS视图)
1.1.20 countermeasure static (反制策略视图)
1.1.21 countermeasure unauthorized-client
1.1.22 countermeasure uncategorized-ap
1.1.23 countermeasure uncategorized-client
1.1.24 detect access-flow-scan enable
1.1.30 detect ap-impersonation
1.1.35 detect dos-authentication
1.1.37 detect dos-reassociation
1.1.38 detect duplicated-ie action
1.1.39 detect fata-jack action
1.1.42 detect ht-40mhz-intolerance
1.1.44 detect illegal-ibss-ess action
1.1.45 detect invalid-channel action
1.1.46 detect invalid-deauth-code action
1.1.47 detect invalid-disassoc-code action
1.1.48 detect invalid-ie-length action
1.1.49 detect invalid-pkt-length action
1.1.51 detect invalid-source-address action
1.1.52 detect malformed-assoc-req action
1.1.53 detect large-duration action
1.1.54 detect malformed-auth action
1.1.55 detect malformed-ht-ie action
1.1.56 detect null-probe-resp action
1.1.57 detect overflow-eapol-key action
1.1.58 detect overflow-ssid action
1.1.60 detect prohibited-channel
1.1.62 detect redundant-ie action
1.1.66 detect unencrypted-authorized-ap
1.1.67 detect unencrypted-trust-client
1.1.71 detect wireless-device disable
1.1.72 display wlan ips ap-classification-rule
1.1.73 display wlan ips attack-detect-policy
1.1.74 display wlan ips authssidlist
1.1.75 display wlan ips blocklist
1.1.76 display wlan ips channel
1.1.77 display wlan ips countermeasure-devices
1.1.78 display wlan ips countermeasure-policy
1.1.79 display wlan ips devices
1.1.81 display wlan ips hotspotlist
1.1.82 display wlan ips ignorelist
1.1.83 display wlan ips malformed-detect-policy
1.1.84 display wlan ips network
1.1.86 display wlan ips sensor
1.1.87 display wlan ips signature
1.1.88 display wlan ips signature-policy
1.1.89 display wlan ips statistics sensor
1.1.90 display wlan ips statistics
1.1.91 display wlan ips static-trustoui
1.1.92 display wlan ips summary
1.1.93 display wlan ips trustlist
1.1.94 display wlan ips vsd-policy
1.1.95 export wips-cfg-file oui
1.1.98 import wips-cfg-file oui
1.1.99 malformed-detect-policy(WIPS视图)
1.1.100 malformed-detect-policy(虚拟安全域视图)
1.1.101 manual-classify ap(WIPS视图)
1.1.102 manual-classify ap(虚拟安全域视图)
1.1.103 match all(自定义AP分类规则视图)
1.1.107 quiet-time(畸形报文检测策略视图)
1.1.109 reset wlan ips statistic sensor
1.1.113 signature (Signature策略视图)
1.1.114 signature-policy (WIPS视图)
1.1.115 signature-policy (虚拟安全域视图)
1.1.122 timer client-inactivity
1.1.125 timer dynamic-trustlist-aging
1.1.127 timer reclassification
1.1.128 timer statistic-period
1.1.130 undo wips-cfg-file oui
1.1.131 virtual-security-domain
1.1.136 wireless-probe client-aging
1.1.138 wireless-probe ignore ap
1.1.139 wireless-probe location
1.1.141 wireless-probe timezone
action { none | report event-level level-value }
SIG视图
2:系统级
none:对于Signature规则匹配次数在统计周期内达到或超过detect-threshold命令设定的统计次数的不进行任何处理。
report:对于Signature规则匹配次数在统计周期内达到或超过detect-threshold命令设定的统计次数的生成对应的Signature规则告警。
event-level level-value:设置生成的Signature规则的告警级别,取值范围为0~7,数值越小,优先级越高。
action命令用来配置达到或超过Signature规则中统计次数门限后采取的处理方式。
缺省情况下,自定义Signature规则的处理方式为none,内置Signature规则的处理方式为report,具体的告警级别根据具体的Signature规则而定。
· Signature规则绑定在Signature策略下后,其属性action不能被修改,必须先解除绑定关系后才能修改。
· 重复配置Signature规则中达到或超过统计次数门限后采取的动作时,后面的配置会覆盖之前的配置。
· 不允许修改内置Signature规则的action属性,但可以修改生成的Signature规则的告警级别。
# 配置自定义Signature规则office达到或超过detect-threshold命令设定的统计次数后采取的动作为生成告警级别为6的Signature规则告警。
[Sysname] wlan ips
[Sysname-wlan-ips] signature office
[Sysname-wlan-ips-sig-office] action report event-level 6
WIPS视图
2:系统级
ados enable命令用来开启防DoS攻击功能。undo ados enable命令用来关闭防DoS攻击功能。
缺省情况下,防DoS攻击功能处于关闭状态。
# 开启防DOS攻击功能。
[Sysname] wlan ips
[Sysname-wlan-ips] ados enable
ap-classification-rule rule-name
undo ap-classification-rule rule-name
WIPS视图
2:系统级
rule-name:自定义AP分类规则的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
ap-classification-rule命令用来创建新的自定义AP分类规则并进入自定义AP分类规则视图,对于已经创建的自定义AP分类规则,则直接进入对应的自定义AP分类规则视图。undo ap-classification-rule命令用来删除指定名称的自定义AP分类规则。
缺省情况下,WIPS没有自定义AP分类规则。
# 创建一条名称为invalid_ap的自定义AP分类规则。
[Sysname] wlan ips
[Sysname-wlan-ips] ap-classification-rule invalid_ap
[Sysname-wlan-ips-class-invalid_ap]
ap-classification-rule rule-name [ precedence number ]
undo ap-classification-rule { rule-name }
2:系统级
rule-name:自定义AP分类规则的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
precedence number:指定自定义AP分类规则的匹配优先级,优先级的取值范围从低到高为0~15。
ap-classification-rule命令用来向当前的虚拟安全域添加一条自定义AP分类规则。
undo ap-classification-rule命令用来从当前的虚拟安全域中删除指定名称的AP分类规则。
缺省情况下,虚拟安全域下没有自定义AP分类规则。
添加自定义AP分类规则时,如果指定匹配优先级,则规则使用指定的优先级。如果没有指定匹配优先级,则规则使用默认优先级0。在AP分类规则匹配过程中,按照优先级从高到低的顺序进行匹配,相同优先级的规则按照配置的先后顺序进行匹配。
# 向虚拟安全域office添加一条自定义AP分类规则,并指定其匹配优先级为最高。
[Sysname] wlan ips
[Sysname-wlan-ips] virtual-security-domain office
[Sysname-wlan-ips-vsd-office]ap-classification-rule external-ap precedence 15
attack-detect-policy policy-name
undo attack-detect-policy policy-name
WIPS视图
2:系统级
policy-name:攻击检测策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
attack-detect-policy命令用来创建新的攻击检测策略并进入攻击检测策略视图,对于已经创建的攻击检测策略,则直接进入相应名称的攻击检测策略视图。undo attack-detect-policy命令用来删除指定名称的攻击检测策略。
缺省情况下,系统存在一个名称为default的攻击检测策略,攻击检测策略default不能被用户创建或删除。
# 创建一个名称为office的攻击检测策略,并进入对应的攻击检测策略视图。
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office]
attack-detect-policy policy-name
2:系统级
policy-name:攻击检测策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
attack-detect-policy命令用来配置当前虚拟安全域使用的攻击检测策略。undo attack-detect-policy命令用来恢复缺省的攻击检测策略。
缺省情况下,虚拟安全域使用名称为default的攻击检测策略。
# 虚拟安全域office使用指定的攻击检测策略office。
[Sysname] wlan ips
[Sysname-wlan-ips] virtual-security-domain office
[Sysname-wlan-ips-vsd-office]attack-detect-policy office
WIPS视图
2:系统级
blocklist-action block命令用来配置禁止禁用设备列表中的无线设备接入无线网络。undo blocklist-action block命令用来配置允许禁用设备列表中的无线设备接入无线网络。
开启此功能后,网络中的接入AP将拒绝禁用设备列表中的无线设备的接入请求。
需要注意的是,blocklist-action block命令只能在WIPS兼容式组网环境下生效,对于WIPS独立组网环境,接入AP不受WIPS控制,该命令不生效。
# 配置禁止禁用设备列表中的无线设备接入无线网络的功能。
[Sysname] wlan ips
[Sysname-wlan-ips] blocklist-action block
classify-type { authorized-ap | external-ap | misconfigured-ap | rogue-ap }
自定义AP分类规则视图
2:系统级
authorized-ap:授权AP。
external-ap:外部AP。
misconfigured-ap:配置错误的AP。
rogue-ap:Rogue AP。
classify-type命令用来设置匹配上该自定义AP分类规则的AP设备归属的设备类别。undo classify-type命令用来删除设置的归属类别。
缺省情况下,自定义AP分类规则没有设置匹配AP设备的归属类别。
自定义AP分类规则可以不设置匹配AP设备的归属类别。如果没有设置AP的归属类别,但配置了威胁等级,则自定义AP分类规则中配置的AP威胁等级属性生效。
# 设置名称为invalid_ap的自定义AP分类规则的匹配设备归属类别为Rogue AP。
[Sysname] wlan ips
[Sysname-wlan-ips] ap-classification-rule invalid_ap
[Sysname-wlan-ips-class-invalid_ap] classify-type rogue-ap
countermeasure external-ap [ precedence number ]
undo countermeasure external-ap
2:系统级
precedence number:指定设备类别为外部AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为1。
countermeasure external-ap命令用来对设备类别为外部的AP执行反制。undo countermeasure external-ap命令用来恢复缺省情况。
缺省情况下,对设备类别为外部的AP不启用反制功能。
# 在反制策略office中,对设备类别为外部的AP执行反制。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure-policy office
[Sysname-wlan-ips-cmep-office] countermeasure external-ap
countermeasure fixed-channel enable
undo countermeasure fixed-channel enable
2:系统级
countermeasure fixed-channel enable命令用来配置sensor固定在某个信道持续对无线设备进行反制。undo countermeasure fixed-channel enable命令用来恢复缺省情况。
固定信道反制用来配置当sensor无法对无线设备进行有效反制时,允许sensor固定在某个信道持续对无线设备进行反制,具体在哪个信道,由被反制的无线设备的活跃信道来决定,sensor会自动切换到与被反制设备相同的信道进行固定信道反制。在启用固定信道反制的情况下,如果sensor不需要固定信道也能有效反制,则sensor不会固定信道。
需要注意的是,sensor在固定信道对无线设备进行反制后,会停止在其他信道的扫描。
# 在反制策略office中,配置允许sensor对固定信道执行反制。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure-policy office
[Sysname-wlan-ips-cmep-office] countermeasure fixed-channel enable
countermeasure misassociation-client [ precedence number ]
undo countermeasure misassociation-client
2:系统级
precedence number:指定设备类别为误关联client的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为6。
countermeasure misassociation-client命令用来对设备类别为误关联的client执行反制。undo countermeasure misassociation-client命令用来恢复缺省情况。
缺省情况下,对设备类别为误关联的client不启用反制功能。
# 在反制策略office中,对设备类别为误关联的client执行反制。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure-policy office
[Sysname-wlan-ips-cmep-office] countermeasure misassociation-client
countermeasure misconfigured-ap [ precedence number ]
undo countermeasure misconfigured-ap
2:系统级
precedence number:指定设备类别为配置错误AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为3。
countermeasure misconfigured-ap命令用来对设备类别为配置错误的AP执行反制。undo countermeasure misconfigured-ap命令用来恢复缺省情况。
缺省情况下,对设备类别为配置错误的AP不启用反制功能。
# 在反制策略office中,对设备类别为配置错误的AP执行反制。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure-policy office
[Sysname-wlan-ips-cmep-office] countermeasure misconfigured-ap
countermeasure potential-authorized-ap [ precedence number ]
undo countermeasure potential-authorized-ap
2:系统级
precedence number:指定设备类别为潜在授权AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为0。
countermeasure potential-authorized-ap命令用来对设备类别为潜在授权的AP执行反制。undo countermeasure potential-authorized-ap命令用来恢复缺省情况。
缺省情况下,对设备类别为潜在授权的AP不启用反制功能。
# 在反制策略office中,对设备类别为潜在授权的AP执行反制。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure-policy office
[Sysname-wlan-ips-cmep-office] countermeasure potential-authorized-ap
countermeasure potential-external-ap [ precedence number ]
undo countermeasure potential-external-ap
2:系统级
precedence number:指定设备类别为潜在外部AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为2。
countermeasure potential-external-ap命令用来对设备类别为潜在外部的AP执行反制。undo countermeasure potential-external-ap命令用来恢复缺省情况。
缺省情况下,对设备类别为潜在外部的AP不启用反制功能。
# 在反制策略office中,对设备类别为潜在外部的AP执行反制。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure-policy office
[Sysname-wlan-ips-cmep-office] countermeasure potential-external-ap
countermeasure potential-rogue-ap [ precedence number ]
undo countermeasure potential-rogue-ap
2:系统级
precedence number:指定设备类别为潜在rogue AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为7。
countermeasure potential-rogue-ap命令用来对设备类别为潜在rogue的AP执行反制。undo countermeasure potential-rogue-ap命令用来恢复缺省情况。
缺省情况下,对设备类别为潜在rogue的AP不启用反制功能。
# 在反制策略office中,对设备类别为潜在rogue的AP执行反制。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure-policy office
[Sysname-wlan-ips-cmep-office] countermeasure potential-rogue-ap
countermeasure-policy policy-name
undo countermeasure-policy policy-name
WIPS视图
2:系统级
policy-name:反制策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
countermeasure-policy命令用来创建新的反制策略并进入反制策略视图,对于已经创建的反制策略,则直接进入相应名称的反制策略视图。undo countermeasure-policy命令用来删除指定名称的反制策略。
缺省情况下,系统存在一个名称为default的反制策略,反制策略default不能被用户创建或删除。
# 创建一个名称为office的反制策略,并进入对应的反制策略视图。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure-policy office
countermeasure-policy policy-name
2:系统级
policy-name:反制策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
countermeasure-policy命令用来配置在当前虚拟安全域下使用的反制策略。undo countermeasure-policy命令用来在当前虚拟安全域下恢复缺省的反制策略。
缺省情况下,虚拟安全域应用名称为default的反制策略。
# 在虚拟安全域vsda使用反制策略office。
[Sysname] wlan ips
[Sysname-wlan-ips] virtual-security-domain vsda
[Sysname-wlan-ips-vsd-vsda] countermeasure-policy office
countermeasure rogue-ap [ precedence number ]
2:系统级
precedence number:指定设备类别为rogue AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为9。
countermeasure rogue-ap命令用来对设备类别为rogue的AP执行反制。undo countermeasure rogue-ap命令用来恢复缺省情况。
缺省情况下,对设备类别为rogue的AP不启用反制功能。
# 在反制策略office中对设备类别为rogue的AP执行反制。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure-policy office
[Sysname-wlan-ips-cmep-office] countermeasure rogue-ap
countermeasure static mac-address
undo countermeasure static { mac-address | all }
WIPS视图
2:系统级
mac-address:从静态反制列表中添加或删除的无线设备的MAC地址。
all:删除静态反制列表中的所有表项。
countermeasure static命令用来添加指定无线设备的MAC地址到静态反制列表。undo countermeasure static命令用来删除静态反制列表中指定MAC地址的或者所有的无线设备。
需要注意的是,在WIPS视图下添加到反制列表的无线设备,全部的虚拟安全域都会对其采取反制措施。
# 向静态反制列表中添加MAC地址为0016-6f9d-612e的无线设备。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure static 0016-6f9d-612e
countermeasure static mac-addr
undo countermeasure static { mac-addr | all }
2:系统级
mac-addr:反制策略下的静态反制列表中待添加或删除的无线设备的MAC地址。
all:删除反制策略下的静态反制列表中的所有表项。
countermeasure static 命令用来在反制策略下的静态反制列表中添加无线设备。undo countermeasure static命令用来从反制策略的静态反制列表中删除无线设备。
· 只有应用了反制策略的虚拟安全域才会对该反制策略下的静态反制列表中的无线设备采取反制措施。
# 在反制策略office下的静态反制列表中添加MAC地址为1234-5678-90ab的无线设备。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure-policy office
[Sysname-wlan-ips-cmep-office] countermeasure static 1234-5678-90ab
countermeasure unauthorized-client [ precedence number ]
undo countermeasure unauthorized-client
2:系统级
precedence number:指定设备类别为未授权client的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为8。
countermeasure unauthorized-client命令用来对设备类别为未授权的client执行反制。undo countermeasure unauthorized-client命令用来恢复缺省情况。
缺省情况下,对设备类别为未授权的client不启用反制功能。
# 在反制策略office中,对设备类别为未授权的client执行反制。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure-policy office
[Sysname-wlan-ips-cmep-office] countermeasure unauthorized-client
countermeasure uncategorized-ap [ precedence number ]
undo countermeasure uncategorized-ap
2:系统级
precedence number:指定设备类别为未确定分类AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为5。
countermeasure uncategorized-ap命令用来对设备类别为未确定分类的AP执行反制。undo countermeasure uncategorized-ap命令用来恢复缺省情况。
缺省情况下,对设备类别为未确定分类的AP不启用反制功能。
# 在反制策略office中,对设备类别为未确定分类的AP执行反制。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure-policy office
[Sysname-wlan-ips-cmep-office] countermeasure uncategorized-ap
countermeasure uncategorized-client [ precedence number ]
undo countermeasure uncategorized-client
2:系统级
precedence number:指定设备类别为未确定分类client的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为4。
countermeasure uncategorized-client命令用来对设备类别为未确定分类的client执行反制。undo countermeasure uncategorized-client命令用来恢复缺省情况。
缺省情况下,对设备类别为未确定分类的client不启用反制功能。
# 在反制策略office中,对设备类别为未确定分类的client执行反制。
[Sysname] wlan ips
[Sysname-wlan-ips] countermeasure-policy office
[Sysname-wlan-ips-cmep-office] countermeasure uncategorized-client
detect access-flow-scan enable
undo detect access-flow-scan enable
WIPS视图
2:系统级
detect access-flow-scan enable命令用来配置带内Sensor在接入时间段内开启WIPS扫描。undo detect access-flow-scan enable命令用来恢复缺省情况。
缺省情况下,带内Sensor在接入时间段内不执行WIPS扫描。
需要注意的是,带内Sensor在接入时间段内开启WIPS扫描后,WIPS的检测和防御效果将会强化,但同时会弱化无线客户端的接入性能。
# 开启带内Sensor在接入时间段内的WIPS扫描。
[Sysname] wlan ips
[Sysname-wlan-ips] detect access-flow-scan enable
2:系统级
detect adhoc-network命令用来开启当前攻击检测策略中对Ad hoc网络的检测。undo detect adhoc-network命令用来关闭当前攻击检测策略中对Ad hoc网络的检测。
缺省情况下,关闭对Ad hoc网络的检测。
# 在名称为office的攻击检测策略中开启对Ad hoc网络的检测。
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office]detect adhoc-network
【命令】
detect admin-mac-scan enable
undo detect admin-mac-scan enable
【视图】
WIPS视图
【缺省级别】
2:系统级
【参数】
无
【描述】
detect admin-mac-scan enable 命令用来开启本地管理MAC过滤功能。undo detect admin-mac-scan enable命令用来关闭本地管理MAC过滤功能。
缺省情况下,本地管理MAC过滤功能处于关闭状态。
【举例】
# 开启本地管理MAC过滤功能。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] detect admin-mac-scan enable
2:系统级
detect all命令用来开启当前攻击检测策略中全部的检测项。全部检测项包含对Ad hoc网络、AP MAC地址仿冒、客户端MAC地址仿冒和非法信道的检测。undo detect all命令用来关闭当前攻击检测策略中全部的检测项。
# 在名称为office的攻击检测策略中开启全部的检测。
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office]detect all
【命令】
detect all action { log | trap }*
undo detect all action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到畸形报文时,向AC发送日志信息。日志信息中记录了畸形报文的具体内容以及畸形报文的统计等相关属性。
trap: 当检测到畸形报文时,向AC发送告警信息。
【描述】
detect all action { log | trap }*命令用来配置当sensor检测到表1-1中的任意一种畸形类型时,开启向AC发送畸形报文的日志信息或告警信息的操作。undo detect all action { log | trap }*命令用来关闭发送日志信息和告警信息的操作。
缺省情况下,没有开启全部的检测项的日志信息或告警信息。
检测内容 |
描述 |
invalid-ie-length |
检测到IE长度非法 |
duplicated-ie |
检测到IE重复 |
redundant-ie |
检测到IE多余 |
invalid-pkt-length |
检测到报文长度非法 |
illegal-ibss-ess |
检测到IBSS和ESS置位异常 |
invalid-beacon-channel |
检测到Beacon信道异常 |
overflow-eapol-key |
检测到EAPOL报文key长度超长 |
malformed-auth |
检测到畸形的Authentication |
malformed-assoc-req |
检测到畸形的Association request |
malformed-ht-ie |
检测到畸形的HT IE |
large-duration |
检测到Duration超大 |
null-probe-resp |
检测到Probe response中SSID为空 |
invalid-deauth-code |
检测到无效的Deauthentication reason code |
invalid-disassoc-code |
检测到无效的Disassociation reason code |
overflow-ssid |
检测到SSID长度超长 |
fata-jack |
检测到FATA Jack 类型攻击 FATA Jack 攻击是一种客户端DOS类攻击,它发送给AP一种仿冒的Authentication帧,AP收到该仿冒Authentication帧后,会给合法用户发送Disconnect 帧,从而导致用户被断开连接 |
invalid-source-address |
检测到无效的源地址 |
Invalid-channel |
检测到错误信道宣告 |
【举例】
# 在名称为normal的畸形报文检测策略中,配置开启全部检测项的日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal]detect all action log trap
detect ap-flood [ quiet-time time-value ]
2:系统级
time-value:检测到AP泛洪攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
detect ap-flood命令用来开启当前攻击检测策略中对AP泛洪攻击的检测。
undo detect ap-flood命令用来关闭当前攻击检测策略中对AP泛洪攻击的检测。
缺省情况下,关闭对AP泛洪攻击的检测。
# 在名称为office的攻击检测策略中开启对AP泛洪攻击的检测。
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office] detect ap-flood
【命令】
detect ap-impersonation [ quiet-time time-value | beacon-inc-threshold beacon-inc-threshold-value | beacon-inc-wait-time beacon-inc-wait-time-value ]*
undo detect ap-impersonation
【视图】
攻击检测策略视图
【缺省级别】
2:系统级
【参数】
quiet-time time-value:检测到AP扮演者攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
beacon-inc-threshold beacon-inc-threshold-value:触发生成AP扮演者告警的Beacon帧增长百分比阈值,取值范围为1~100,缺省取值为30。
beacon-inc-wait-time beacon-inc-wait-time-value:当发现可疑的AP扮演者时,确定该AP扮演者攻击需要等待的Beacon帧数量增长时间,取值范围为0~360000,单位为秒,缺省取值为10秒。
【描述】
detect ap-impersonation 命令用来开启当前攻击检测策略中对AP扮演者攻击的检测。undo detect windows-bridge命令用来关闭当前攻击检测策略中对AP扮演者攻击的检测。
缺省情况下,关闭当前攻击检测策略中对AP扮演者攻击的检测。
【举例】
# 在名称为office的攻击检测策略中开启对AP扮演者攻击的检测,设定Beacon增长百分比阈值为10,需要等待的Beacon帧数量增长时间为20秒,告警静默时间为30秒。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-1] detect ap-impersonation beacon-inc-threshold 10 beacon-inc-
wait-time 20 quiet-time 30
detect ap-spoofing [ quiet-time time-value ]
2:系统级
time-value:检测到AP MAC地址仿冒并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
detect ap-spoofing命令用来开启当前攻击检测策略中对AP MAC地址仿冒的检测。undo detect ap-spoofing命令用来关闭当前攻击检测策略中对AP MAC地址仿冒的检测。
缺省情况下,关闭对AP MAC地址仿冒的检测。
# 在名称为office的攻击检测策略中开启对AP MAC地址仿冒的检测。
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office]detect ap-spoofing
detect client-spoofing [ quiet-time time-value ]
2:系统级
time-value:检测到无线客户端MAC地址仿冒并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
detect client-spoofing命令用来开启当前攻击检测策略中对无线客户端MAC地址仿冒的检测。undo detect client-spoofing命令用来关闭当前攻击检测策略中对无线客户端MAC地址仿冒的检测。
缺省情况下,关闭对无线客户端MAC地址仿冒的检测。
# 在名称为office的攻击检测策略中开启对无线客户端MAC地址仿冒的检测。
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office]detect client-spoofing quiet-time 10
【命令】
detect deauth-spoofing
undo detect deauth-spoofing
【视图】
攻击检测策略视图
【缺省级别】
2:系统级
【参数】
无
【描述】
detect deauth-spoofing命令用来开启当前攻击检测策略中对仿冒Deauthentication帧的检测。undo detect deauth-spoofing命令用来关闭当前攻击检测策略中对仿冒Deauthentication帧的检测。
缺省情况下,关闭对仿冒Deauthentication帧的检测。
【举例】
# 在名称为office的攻击检测策略中开启对仿冒Deauthentication帧的检测。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-1] detect deauth-spoofing
detect dos-association [ quiet-time time-value ]
2:系统级
time-value:检测到关联DoS攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
detect dos-association命令用来开启当前攻击检测策略中对关联DoS攻击的检测。
undo detect dos-association命令用来关闭当前攻击检测策略中对关联DoS攻击的检测。
缺省情况下,关闭对关联DoS攻击的检测。
# 在名称为office的攻击检测策略中开启对关联DoS攻击的检测。
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office] detect dos-association
detect dos-authentication [ quiet-time time-value ]
undo detect dos-authentication
2:系统级
time-value:检测到鉴权DoS攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
detect dos-authentication命令用来开启当前攻击检测策略中对鉴权DoS攻击的检测。
undo detect dos-authentication命令用来关闭当前攻击检测策略中对鉴权DoS攻击的检测。
缺省情况下,关闭对鉴权DoS攻击的检测。
# 在名称为office的攻击检测策略中开启对鉴权DoS攻击的检测。
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office] detect dos-authentication
detect dos-eapol-start [ quiet-time time-value ]
2:系统级
time-value:检测到EAPOL-Start DoS攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
detect dos-eapol-start命令用来开启当前攻击检测策略中对EAPOL-Start DoS攻击的检测。
undo detect dos-eapol-start命令用来关闭当前攻击检测策略中对EAPOL-Start DoS攻击的检测。
缺省情况下,关闭对EAPOL-Start DoS攻击的检测。
# 在名称为office的攻击检测策略中开启对EAPOL-Start DoS攻击的检测。
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office] detect dos-eapol-start
detect dos-reassociation [ quiet-time time-value ]
2:系统级
time-value:检测到重关联DoS攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
detect dos-reassociation命令用来开启当前攻击检测策略中对重关联DoS攻击的检测。
undo detect dos-reassociation命令用来关闭当前攻击检测策略中对重关联DoS攻击的检测。
缺省情况下,关闭对重关联DoS攻击的检测。
# 在名称为office的攻击检测策略中开启对重关联DoS攻击的检测。
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office] detect dos-reassociation
【命令】
detect duplicated-ie action { log | trap }*
undo detect duplicated-ie action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到IE重复时,向AC发送日志信息。
trap: 当检测到IE重复时,向AC发送告警信息。
【描述】
detect duplicated-ie action { log | trap }* 命令用来配置当检测到IE重复时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect duplicated-ie action { log | trap }*命令用来配置关闭检测到IE重复时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到IE重复时,不发送日志信息和告警信息。
【举例】
#在名称为normal的畸形报文检测策略中,配置当检测到IE重复时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal]detect duplicated-ie action log trap
【命令】
detect fata-jack action { log | trap }*
undo detect fata-jack action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到FATA Jack类型攻击时,向AC发送日志信息。
trap: 当检测到FATA Jack类型攻击时,向AC发送告警信息。
【描述】
detect fata-jack action { log | trap }*命令用来配置当检测到FATA Jack类型攻击时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect fata-jack action { log | trap }*命令用来配置关闭检测到FATA Jack类型攻击时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到FATA Jack类型攻击时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到FATA Jack类型攻击时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal] detect fata-jack action log trap
【命令】
detect honeypot-ap [ quiet-time time-value | similarity similarity-value ]* [ action classify rogue ]
undo detect honeypot-ap
【视图】
攻击检测策略视图
【缺省级别】
2:系统级
【参数】
quiet-time time-value:检测到蜜罐AP并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
similarity similarity-value:触发生成蜜罐AP告警的SSID相似度阈值,取值范围为70~100,单位为%,缺省取值为90%。
action classify rogue:对检测为蜜罐AP的无线设备进行分类,如果是AP则归类为非法AP(设备分类归属是Rogue);如果是Client则归类为未授权的无线客户端(设备分类归属是Unauthorized)。
【描述】
detect honeypot-ap命令用来开启当前攻击检测策略中对蜜罐AP的检测。
undo detect honeypot-ap命令用来关闭当前攻击检测策略中对蜜罐AP的检测。
缺省情况下,关闭对蜜罐AP的检测。
【举例】
# 在名称为office的攻击检测策略中开启对蜜罐AP的检测,设定SSID相似度阈值为80,静默时间为900秒,并将其设备分类归属为Rogue。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-1] detect honeypot-ap similarity 80 quiet-time 900 action classify rogue
【命令】
detect hotspot-attack [ action classify rogue ]
undo detect hotspot-attack
【视图】
攻击检测策略视图
【缺省级别】
2:系统级
【参数】
action classify rogue:对检测为热点攻击的无线设备进行分类,如果是AP则归类为非法AP(设备分类归属是Rogue);如果是Client则归类为未授权的无线客户端(设备分类归属是Unauthorized)。
【描述】
detect hotspot-attack命令用来开启当前攻击检测策略中对热点攻击的检测。undo detect hotspot-attack命令用来关闭当前攻击检测策略中对热点攻击的检测。
缺省情况下,关闭当前攻击检测策略中对热点攻击的检测。
【举例】
# 在名称为office的攻击检测策略中开启对热点攻击的检测,并将其设备分类归属为Rogue。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office] detect hotspot-attack action classify rogue
【命令】
detect ht-40mhz-intolerance [ quiet-time time-value ]
undo detect ht-40mhz-intolerance
【视图】
攻击检测策略视图
【缺省级别】
2:系统级
【参数】
quiet-time time-value:检测到客户端禁用40MHz模式并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
【描述】
detect ht-40mhz-intolerance命令用来开启当前攻击检测策略中对客户端禁用40MHz模式的检测。
undo detect ht-40mhz-intolerance命令用来关闭当前攻击检测策略中对客户端禁用40MHz模式的检测。
缺省情况下,关闭对客户端禁用40MHz模式的检测。
【举例】
# 在名称为office的攻击检测策略中开启对客户端禁用40MHz模式的检测,设定静默时间为900秒。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-1] detect ht-40mhz-intolerance quiet-time 900
【命令】
detect ht-greenfield [ quiet-time time-value ]
undo detect ht-greenfield
【视图】
攻击检测策略视图
【缺省级别】
2:系统级
【参数】
time-value:检测到支持ht-greenfield模式 的AP并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
【描述】
detect ht-greenfield 命令用来开启当前攻击检测策略中对ht-greenfield mode AP的检测。
undo detect ht-greenfield命令用来关闭当前攻击检测策略中对ht-greenfield mode AP的检测。
缺省情况下,关闭当前攻击检测策略中对ht-greenfield mode AP的检测。
【举例】
# 在名称为office的攻击检测策略中开启对ht-greenfield mode AP的检测,设定告警静默时间为30秒。#
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-1] detect ht-greenfield quiet-time 30
【命令】
detect illegal-ibss-ess action { log | trap }*
undo detect illegal-ibss-ess action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到IBSS和ESS置位异常时,向AC发送日志信息。
trap: 当检测到IBSS和ESS置位异常时,向AC发送告警信息。
【描述】
detect illegal-ibss-ess action { log | trap }*命令用来配置当检测到IBSS和ESS置位异常时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect illegal-ibss-ess action { log | trap }*命令用来配置关闭当检测到IBSS和ESS置位异常时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到IBSS和ESS置位异常时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到IBSS和ESS置位异常时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal] detect illegal-ibss-ess action log trap
【命令】
detect invalid-channel action { log | trap }*
undo detect invalid-channel action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到错误信道宣告的畸形Beacon帧时,向AC发送日志信息。
trap: 当检测到错误信道宣告的畸形Beacon帧时,向AC发送告警信息。
【描述】
detect invalid-channel action { log | trap }*命令用来配置当检测到错误信道宣告的畸形Beacon帧时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect invalid-channel action { log | trap }*命令用来配置关闭当检测到错误信道宣告的畸形Beacon帧时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到错误信道宣告的畸形Beacon帧时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到错误信道宣告的畸形Beacon帧时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal] detect invalid-channel action log trap
【命令】
detect invalid-deauth-code action { log | trap }*
undo detect invalid-deauth-code action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到无效的Deauthentication reason code时,向AC发送日志信息。
trap: 当检测到无效的Deauthentication reason code时,向AC发送告警信息。
【描述】
detect invalid-deauth-code action { log | trap }*命令用来配置当检测到无效的Deauthentication reason code时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect invalid-deauth-code action { log | trap }*命令用来配置关闭检测到无效的Deauthentication reason code时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到无效的Deauthentication reason code时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到无效的Deauthentication reason code时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal]detect invalid-deauth-code action log trap
【命令】
detect invalid-disassoc-code action { log | trap }*
undo detect invalid-disassoc-code action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到无效的Disassociation reason code时,向AC发送日志信息。
trap: 当检测到无效的Disassociation reason code时,向AC发送告警信息。
【描述】
detect invalid-disassoc-code action { log | trap }*命令用来配置当检测到无效的Disassociation reason code时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect invalid-disassoc-code action { log | trap }*命令用来配置关闭检测到无效的Disassociation reason code时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到无效的Disassociation reason code时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到无效的Disassociation reason code时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal]detect invalid-disassoc-code action log trap
【命令】
detect invalid-ie-length action { log | trap }*
undo detect invalid-ie-length action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到IE长度非法时,向AC发送日志信息。
trap: 当检测到IE长度非法时,向AC发送告警信息。
【描述】
detect invalid-ie-length action { log | trap }* 命令用来配置当检测到IE长度非法时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect invalid-ie-length action { log | trap }*命令用来配置关闭检测到IE长度非法时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到IE长度非法时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到IE长度非法时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal]detect invalid-ie-length action log trap
【命令】
detect invalid-pkt-length action { log | trap }*
undo detect invalid-pkt-length action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到报文长度非法时,向AC发送日志信息。
trap: 当检测到报文长度非法时,向AC发送告警信息。
【描述】
detect invalid-pkt-length action { log | trap }*命令用来配置当检测到报文长度非法时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect invalid-pkt-length action { log | trap }*命令用来配置关闭当检测到报文长度非法时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,配置当检测到报文长度非法检测时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到报文长度非法时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal] detect invalid-pkt-length action log trap
detect invalid-oui [ action classify rogue ]
2:系统级
action classify rogue:对OUI检测结果为非法的无线设备进行分类,如果是AP则归类为非法AP(设备分类归属是Rogue);如果是Client则归类为未授权的无线客户端(设备分类归属是Unauthorized)。
detect invalid-oui命令用来开启当前攻击检测策略中对非法OUI的检测并指定非法OUI设备的分类。undo detect invalid-oui命令用来恢复缺省情况。
需要注意的是,非法OUI是在WIPS系统OUI库中不存在的OUI,WIPS系统OUI库可以使用命令import oui导入。
# 在名称为office的攻击检测策略中开启对非法OUI的检测并将其设备分类归属为Rogue。
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office]detect invalid-oui action classify rogue
【命令】
detect invalid-source-address action { log | trap }*
undo detect invalid-source-address action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到发送源地址为广播或组播的Authentication/Association Request 帧时,向AC发送日志信息。
trap: 当检测到发送源地址为广播或组播的Authentication/Association Request 帧时,向AC发送告警信息。
【描述】
detect invalid-source-address action { log | trap }*命令用来配置当检测到发送源地址为广播或组播的Authentication/Association Request 帧时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect invalid-source-address action { log | trap }*命令用来配置关闭检测到发送源地址为广播或组播时的Authentication/Association Request 帧发送的日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到发送源地址为广播或组播的Authentication/Association Request 帧时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,当检测到发送源地址为广播或组播的Authentication/Association Request 帧时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal] detect invalid-source-address action log trap
【命令】
detect malformed-assoc-req action { log | trap }*
undo detect malformed-assoc-req action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到畸形的Association request帧时,向AC发送日志信息。
trap: 当检测到畸形的Association request帧时,向AC发送告警信息。
【描述】
detect malformed-assoc-req action { log | trap }* 命令用来配置当检测到畸形的Association request帧时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect malformed-assoc-req action { log | trap }*命令用来配置关闭检测到畸形的Association request帧时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到畸形Association request帧时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到畸形Association request帧时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal]detect malformed-assoc-req action log trap
【命令】
detect large-duration { threshold time | action { log | trap }* }*
undo detect large-duration { threshold | action { log | trap }* }
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
threshold time:畸形报文检测策略中Duration的门限值,取值范围为1~32767,单位为微秒,缺省情况下time取值为5000。
log: 当检测到Duration超大时,向AC发送日志信息。
trap: 当检测到Duration超大时,向AC发送告警信息。
【描述】
detect large-duration threshold time命令用来配置Duration的门限值。undo detect large-duration threshold用来清除之前配置的Duration门限值。
detect large-duration action { log | trap }*命令用来配置当检测到Duration超大时发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect large-duration action { log | trap }*命令用来配置关闭检测到Duration超大时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
detect large-duration threshold time action { log | trap }*命令用来配置用户指定的Duration门限值,当检测到Duration值超过配置的门限值时发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。
缺省情况下,当检测到Duration超大时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到Duration超大时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal]detect large-duration action log trap
# 在名称为normal的畸形报文检测策略中,设置Duration门限值为2000微秒,当门限值值超过2000微秒时,同时开启发送日志信息和告警信息的操作。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal]detect large-duration threshold 2000 action log trap
【命令】
detect malformed-auth action { log | trap }*
undo detect malformed-auth action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到畸形的Authentication帧时,向AC发送日志信息。
trap: 当检测到畸形的Authentication帧时,向AC发送告警信息。
【描述】
detect malformed-auth action { log | trap }* 命令用来配置当检测到畸形的Authentication帧时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo malformed-auth action { log | trap }*命令用来配置关闭检测到畸形Authentication帧时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到畸形的Authentication帧时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到畸形的Authentication帧时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal]detect malformed-auth action log trap
【命令】
detect malformed-ht-ie action { log | trap }*
undo detect malformed-ht-ie action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到畸形的HT IE时,向AC发送日志信息。
trap: 当检测到畸形的HT IE时,向AC发送告警信息。
【描述】
detect malformed-ht-ie action { log | trap }* 命令用来配置当检测到畸形的HT IE时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect malformed-ht-ie action { log | trap }*命令用来配置关闭检测到畸形的HT IE时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到畸形的HT IE时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到畸形的HT IE时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal]detect malformed-ht-ie action log trap
【命令】
detect null-probe-resp action { log | trap }*
undo detect null-probe-resp action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到Probe response帧中SSID为空时,向AC发送日志信息。
trap: 当检测到Probe response帧中SSID为空时,向AC发送告警信息。
【描述】
detect null-probe-resp action { log | trap }*命令用来配置当检测到Probe response帧中SSID为空时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect null-probe-resp { log | trap }*命令用来配置关闭检测到Probe response帧中SSID为空时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到Probe response帧中SSID为空时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到Probe response帧中SSID为空时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal] detect null-probe-resp action log trap
【命令】
detect overflow-eapol-key action { log | trap }*
undo detect overflow-eapol-key action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到EAPOL报文key长度超长时,向AC发送日志信息。
trap: 当检测到EAPOL报文key长度超长时,向AC发送告警信息。
【描述】
detect overflow-eapol-key action { log | trap }*命令用来配置当检测到EAPOL报文key长度超长时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect overflow-eapol-key action { log | trap }*命令用来配置关闭EAPOL报文key长度超长时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到EAPOL报文key长度超长时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到EAPOL报文key长度超长时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal]detect overflow-eapol-key action log trap
【命令】
detect overflow-ssid action { log | trap }*
undo detect overflow-ssid action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到SSID长度超长时,向AC发送日志信息。
trap: 当检测到SSID长度超长时,向AC发送告警信息。
【描述】
detect overflow-ssid action { log | trap }*命令用来配置当检测到SSID长度超长时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的的功能。undo detect overflow-ssid action { log | trap }*命令用来配置关闭检测到SSID长度超长时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到SSID长度超长时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到SSID长度超长时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal]detect overflow-ssid action log trap
SIG视图
2:系统级
period-time:Signature规则的统计周期,取值范围为1~3600,单位为秒。
detect-period命令用来配置Signature规则的统计周期,在该周期内会进行相应Signature规则的匹配统计,对于达到或超过detect-threshold命令配置的统计次数的Signature规则将根据action命令配置的动作进行后续处理。
undo detect-period命令用来恢复缺省情况。
缺省情况下,自定义Signature规则的统计周期为60秒;内置Signature规则的统计周期根据具体的内置Signature规则而定。
· 重复配置Signature规则的统计周期时,后面的配置会覆盖之前的配置。
· Signature规则绑定在Signature策略下后,其属性detect-period不能被修改,必须先解除绑定关系后才能修改。
# 配置自定义Signature规则office的统计周期为500秒。
[Sysname] wlan ips
[Sysname-wlan-ips]signature office
[Sysname-wlan-ips-sig-office] detect-period 500
detect prohibited-channel [ action classify rogue ]
undo detect prohibited-channel
2:系统级
action classify rogue:对处于非法信道上的无线设备进行分类,如果是AP则归类为非法AP(设备分类归属是Rogue);如果是Client则归类为未授权的无线客户端(设备分类归属是Unauthorized)。
detect prohibited-channel命令用来开启当前攻击检测策略中对非法信道的检测。undo detect prohibited-channel命令用来关闭当前攻击检测策略中对非法信道的检测。
需要注意的是,detect prohibited-channel命令需要与permit-channel命令配合使用。
# 指定1、6、11、149、153、157为无线环境中允许使用的合法信道,并在名称为office的攻击检测策略中开启对非法信道的检测,将其设备分类归属为Rogue。
[Sysname] wlan ips
[Sysname-wlan-ips] permit-channel 1 6 11 149 153 157
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office]detect prohibited-channel action classify rogue
【命令】
detect ps-attack [ quiet-time quiet-time-value | threshold { minoffpacket minoffpacket-value | onoffpercent onoffpercent-value}* ]*
undo detect ps-attack
【视图】
攻击检测策略视图
【缺省级别】
2:系统级
【参数】
quiet-time quiet-time-value:检测到节电攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
threshold: 用于指定配置节电攻击检测所需参数。
minoffpacket minoffpacket-value:检测到的节电模式关闭报文数量的最小值,缺省取值为50个,该参数指一个无线客户端处于节电模式下,在10秒的间隔内会发送多少个节电模式关闭报文,取值范围为10~150。
onoffpercent onoffpercent-value:检测到的节电模式开启报文与关闭报文的百分比,当实际比例超过此值则发出告警,取值范围为0~100,缺省取值为80。
【描述】
detect ps-attack命令用来开启当前攻击检测策略中对节电攻击的检测。undo detect ps-attack命令用来关闭当前攻击检测策略中对节电攻击的检测。
缺省情况下,关闭当前攻击检测策略中对节电攻击的检测。
【举例】
# 在名称为office的攻击检测策略中开启对节电攻击的检测,并设定静默时间为60秒,10秒内检测到工作站发送节电模式关闭报文最小值为60个,节电模式开启报文数与节电模式关闭报文数达到告警的百分比90。
<sysname> system-view
[sysname] wlan ips
[sysname-wlan-ips] attack-detect-policy office
[sysname-wlan-ips-dctp-office] detect ps-attack quiet-time 60 threshold minioffpacket
60 onoffpercent 90
【命令】
detect redundant-ie action { log | trap }*
undo detect redundant-ie action { log | trap }*
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
log: 当检测到IE多余时,向AC发送日志信息。
trap: 当检测到IE多余时,向AC发送告警信息。
【描述】
detect redundant-ie action { log | trap }*命令用来配置当检测到IE多余时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect redundant-ie action { log | trap }*命令用来配置关闭检测到IE多余时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。
缺省情况下,当检测到IE多余时不发送日志信息和告警信息。
【举例】
# 在名称为normal的畸形报文检测策略中,配置当检测到IE多余时发送日志信息和告警信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy normal
[Sysname-wlan-ips-mdctp-normal] detect redundant-ie action log trap
【命令】
detect scan-channel channel-list
undo detect scan-channel { all | channel-list }
【视图】
WIPS视图
【缺省级别】
2:系统级
【参数】
channel-list:信道扫描列表,取值范围为1~196,一次最多能够配置10个信道。
all:删除全部信道扫描列表。
【描述】
detect scan-channel命令用来指定信道扫描列表。undo detect scan-channel命令用来恢复缺省情况。
缺省情况下,未配置信道扫描列表。
【举例】
# 指定射频对信道1、6、11进行扫描。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] detect scan-channel 1 6 11
【命令】
detect soft-ap [ convert-time convert-time-value ]*
undo detect soft-ap
【视图】
攻击检测策略视图
【缺省级别】
2:系统级
【参数】
convert-time-value:软AP在无线客户端与AP的两个角色之间进行切换的时间间隔,取值范围5~600,单位为秒,缺省取值为10秒。
【描述】
detect soft-ap命令用来开启当前攻击检测策略中对软AP的检测。undo detect soft-ap命令用来关闭当前攻击检测策略中对软AP的检测。
缺省情况下,关闭当前攻击检测策略中对软AP的检测。
【举例】
# 在名称为office的攻击检测策略中开启对软AP的检测,并设定转换时间阈值为20秒。
<sysname> system-view
[sysname] wlan ips
[sysname-wlan-ips] attack-detect-policy office
[sysname-wlan-ips-dctp-office] detect soft-ap convert-time 20
detect-threshold { per-mac number | per-signature number }
undo detect-threshold { per-mac | per-signature }
SIG视图
2:系统级
per-mac number:当Signature规则中track-method配置为per-mac时的统计次数,取值范围为1~32000,单位为次。
per-signature number:当Signature规则中track-method配置为per-signature时的统计次数,取值范围为1~32000,单位为次。
detect-threshold命令用来配置统计周期内匹配该Signature规则的次数。当达到或超过该次数时,系统将根据action命令配置的动作进行后续处理。
undo detect-threshold命令用来恢复缺省情况。
缺省情况下,自定义Signature规则的统计次数为1000次;内置Signature规则的统计次数根据具体的Signature规则而定。
· 重复配置Signature规则的detect-threshold时,后面的配置会覆盖之前的配置。
· 不能配置Signature规则中不存在的跟踪方式下的统计次数。
· Signature规则绑定在Signature策略下后,其属性detect-threshold不能被修改,必须先解除绑定关系后才能修改。
# 配置自定义Signature规则office中per-mac跟踪方式对应的统计次数为6000次。
[Sysname] wlan ips
[Sysname-wlan-ips] signature office
[Sysname-wlan-ips-sig-office] detect-threshold per-mac 6000
【命令】
detect unencrypted-authorized-ap [ quiet-time quiet-time-value ]
undo detect unencrypted-authorized-ap
【视图】
攻击检测策略视图
【缺省级别】
2:系统级
【参数】
quiet-time quiet-time-value:检测到未加密授权AP并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
【描述】
detect unencrypted-authorized-ap命令用来开启当前攻击检测策略中对未加密授权AP的检测。undo detect unencrypted-authorized-ap命令用来关闭当前攻击检测策略中对未加密授权AP的检测。
缺省情况下,关闭当前攻击检测策略中对未加密授权AP的检测。
【举例】
# 在名称为office的攻击检测策略中开启对未加密合法AP的检测。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office] detect unencrypted-authorized-ap
【命令】
detect unencrypted-trust-client [ quiet-time quiet-time-value ]
undo detect unencrypted-trust-client
【视图】
攻击检测策略视图
【缺省级别】
2:系统级
【参数】
quiet-time quiet-time-value:检测到未加密信任Client并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
【描述】
detect unencrypted-trust-client命令用来开启当前攻击检测策略中对未加密信任Client的检测。undo detect unencrypted-trust-client命令用来关闭当前攻击检测策略中对未加密信任Client的检测。
缺省情况下,关闭对未加密信任Client的检测。
【举例】
# 在名称为office的攻击检测策略中开启对未加密信任Client的检测。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office]detect unencrypted-trust-client
detect weak-iv [ quiet-time time-value ]
2:系统级
time-value:检测到弱初始化向量并发出告警后的静默时间,单位为秒,取值范围为5~604800,缺省取值为600秒。
detect weak-iv命令用来开启当前攻击检测策略中对弱初始化向量的检测。
undo detect weak-iv命令用来关闭当前攻击检测策略中对弱初始化向量的检测。
# 在名称为office的攻击检测策略中开启对弱初始化向量的检测。
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office] detect weak-iv quiet-time 10
【命令】
detect windows-bridge
undo detect windows-bridge
【视图】
攻击检测策略视图
【缺省级别】
2:系统级
【参数】
无
【描述】
detect windows-bridge命令用来开启当前攻击检测策略中对Windows 网桥的检测。undo detect windows-bridge命令用来关闭当前攻击检测策略中对Windows网桥的检测。
缺省情况,关闭当前攻击检测策略中对Windows网桥的检测。
【举例】
# 在名称为office的攻击检测策略中开启对Windows网桥的检测。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-1] detect windows-bridge
【命令】
detect wireless-bridge [ quiet-time time-value ]
undo detect wireless-bridge
【视图】
攻击检测策略视图
【缺省级别】
2:系统级
【参数】
quiet-time time-value:检测到无线网桥并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。
【描述】
detect wireless-bridge 命令用来开启当前攻击检测策略中对无线网桥的检测。
undo detect wireless-bridge命令用来关闭当前攻击检测策略中对无线网桥的检测。
缺省情况下,关闭对无线网桥设备的检测。
【举例】
# 在名称为office的攻击检测策略中开启对无线网桥的检测。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] attack-detect-policy office
[Sysname-wlan-ips-dctp-office] detect wireless-bridge quite-time 480
【命令】
detect wireless-device disable
undo detect wireless-device disable
【视图】
WIPS视图
【缺省级别】
2:系统级
【描述】
detect wireless-device disable 命令用来关闭WIPS无线设备检测功能。
undo detect wireless-device disable命令用来开启WIPS无线设备检测功能。
缺省情况下,WIPS无线设备检测功能处于开启状态。
【举例】
# 关闭WIPS无线设备检测功能。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] detect wireless-device disable
display wlan ips ap-classification-rule [ rule-name ] [ | { begin | exclude | include } regular-expression ]
2:系统级
rule-name:AP分类规则名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写,不包含空格。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips ap-classification-rule命令用来查看指定的或所有的自定义AP分类规则的内容。
# 显示系统中全部的AP分类规则的具体内容
[Sysname]display wlan ips ap-classification-rule rule1
AP Classification Rules
--------------------------------------------------------------------------------
Classifictaion Rule Name : rule1
Classify Type : authorized-ap
Serverity Level : -NA-
Match : Any
SSID : not include "test"
SSID Match Case : Ignore
Security : equal WPA2
Authentication Method : 802.1X
RSSI : > 40
Duration : > 86400
Client Count : -NA-
Discovered APs : < 10
OUI : -NA-
OUI Vendor : h3c
Applied to VSD
VSD 1 : office
VSD 2 : lab
--------------------------------------------------------------------------------
Classifictaion Rule Name : rule2
Classify Type : -NA-
Serverity Level : 10
Match : Any
SSID : include "test"
SSID Match Case : Ignore
Security : include WPA
Authentication Method : PSK
RSSI : < 20
Duration : < 86400
Client Count : -NA-
Discovered APs : > 10
OUI : 00-01-02
OUI Vendor : -NA-
Applied to VSD
VSD 1 : office
--------------------------------------------------------------------------------
表1-2 display wlan ips ap-classification-rule 命令显示信息描述表
AP分类规则的名称 |
|
匹配该规则的AP的归属类别: · authorized-ap:授权的AP · rogue-ap:非法的AP · misconfigured-ap:配置错误的AP · external-ap:外部的AP |
|
AP设备增加的威胁等级,威胁等级的取值范围从低到高为0~100 |
|
· All:逻辑与 · Any:逻辑或 |
|
SSID需要匹配的字符串。匹配方式包括: · Include:包含配置的字符串 · not include:不包含配置的字符串 · equal:等于配置的字符串 · not equal:不等于配置的字符串 |
|
SSID是否按照字母的大小写匹配 · ignore:不需要按照字母的大小写匹配。 · exact:需要按照字母的大小写匹配 |
|
AP使用的安全方式: · Clear:AP采用明文方式 · WEP:AP采用WEP方式 · WPA:AP采用WPA方式 · WPA2:AP采用WPA2方式 |
|
AP使用的认证方式: · 802.1X:AP采用802.1X认证方式 · PSK:AP采用WPA方式 · None:AP采用无认证方式 · Other:AP采用802.1X、PSK和none之外的其他认证方式 |
|
AP信号的RSSI值 |
|
AP设备的启动时间 |
|
AP上关联的无线客户端的数量 |
|
当前Sensor已发现的AP数量 |
|
AP的OUI |
|
AP所属的厂商 |
|
应用该AP分类规则的虚拟安全域 |
|
虚拟安全域的名称,n为系统自动的编号 |
display wlan ips attack-detect-policy [ policy-name ] [ | { begin | exclude | include } regular-expression ]
2:系统级
policy-name:攻击检测策略名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写,不包含空格。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips attack-detect-policy命令用来查看指定的或所有的攻击检测策略信息。
# 显示名称为policy1的攻击检测策略具体内容
[Sysname]display wlan ips attack-detect-policy
Attack Detect Policies
--------------------------------------------------------------------------------
Detection-Type Status Quiet-Time Action
--------------------------------------------------------------------------------
Policy Name: default
Adhoc-network off -- --
Prohibited-channel off -- --
AP-spoofing on 100 --
Client-spoofing on 200 --
AP-Flood off -- --
Dos-eapol-start off -- --
Dos-authentication off -- --
Dos-association off -- --
Dos-reassociation off -- --
Weak-iv off -- --
Invalid-OUI on -- --
Ps-attack on 600 --
Windows-Bridge on -- --
Hotspot-attack on -- --
AP-Impersonation on 600 --
Soft-ap on -- --
Unencrypt-auth-ap on 600 --
Unencrypt-trust-cli on 600 --
Applied To VSD : default, vsd_office
--------------------------------------------------------------------------------
Policy Name: lab
Adhoc-network on -- --
Prohibited-channel on -- --
AP-spoofing off -- --
Client-spoofing off -- --
AP-Flood on 600 --
Dos-eapol-start off -- --
Dos-authentication off -- --
Dos-association off -- --
Dos-reassociation off -- --
Weak-iv on 500 --
Invalid-OUI off -- --
Ps-attack off -- --
Windows-Bridge off -- --
Hotspot-attack off -- --
AP-Impersonation off -- --
Soft-ap off -- --
Unencrypt-auth-ap off -- --
Unencrypt-trust-cli off -- --
Applied To VSD : vsd_lab
--------------------------------------------------------------------------------
表1-3 display wlan ips attack-detect-policy 命令显示信息描述表
是否对Ad hoc网络进行检测: · on:检测开启 · off:检测关闭 |
|
· on:检测开启 · off:检测关闭 |
|
是否对AP仿冒进行检测: · on:检测开启 · off:检测关闭 |
|
· on:检测开启 · off:检测关闭 |
|
是否对AP泛洪攻击进行检测: · on:检测开启 · off:检测关闭 |
|
是否对EAPOL-Start DoS攻击进行检测 · on:检测开启 · off:检测关闭 |
|
是否对鉴权DoS攻击进行检测 · on:检测开启 · off:检测关闭 |
|
是否对关联DoS攻击进行检测 · on:检测开启 · off:检测关闭 |
|
是否对重关联DoS攻击进行检测 · on:检测开启 · off:检测关闭 |
|
是否对弱IV进行检测 · on:检测开启 · off:检测关闭 |
|
是否对非法OUI进行检测 · on:检测开启 · off:检测关闭 |
|
Ps-attack |
是否对节电攻击进行检测 · on:检测开启 · off:检测关闭 |
Windows-Bridge |
是否对windows网桥进行检测 · on:检测开启 · off:检测关闭 |
Hotspot-attack |
是否对热点攻击进行检测 · on:检测开启 · off:检测关闭 |
AP-Impersonation |
是否对ap扮演者攻击进行检测 · on:检测开启 · off:检测关闭 |
Soft-ap |
是否对软AP进行检测 · on:检测开启 · off:检测关闭 |
Unencrypt-auth-ap |
是否对未加密合法AP进行检测 · on:检测开启 · off:检测关闭 |
Unencrypt-trust-cli |
是否对未加密信任client进行检测 · on:检测开启 · off:检测关闭 |
【命令】
display wlan ips authssidlist [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan ips authssidlist命令用来查看WIPS系统保存的合法SSID列表。
【举例】
# 显示WIPS系统收集到的合法SSID信息。
<Sysname> display wlan ips authssidlist
Total Number of Entries: 6
AuthSSID List
--------------------------------------------------------------------------------
SSID Added-Time
--------------------------------------------------------------------------------
Cmcc 2014-06-07/15:42:31
Y6066 2014-06-07/15:42:31
c4 2014-06-07/15:42:31
full 2014-06-07/15:42:31
full2 2014-06-07/15:42:31
z05066t 2014-06-07/15:42:31
--------------------------------------------------------------------------------
display wlan ips blocklist [ static | dynamic | mac-address mac-addr ] [ | { begin | exclude | include } regular-expression ]
2:系统级
static:静态配置的禁用设备列表的表项。
dynamic:动态添加的禁用设备列表的表项。
mac-address mac-addr:指定MAC地址的禁用设备列表的表项。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips blocklist命令用来查看指定的或所有的WIPS禁用设备列表。
# 显示所有的禁用设备列表信息
[Sysname] display wlan ips blocklist
Total Number of Entries: 2
State: S = Static, D = Dynamic, S&D = Static & Dynamic
Blocklist-Action Block : Disable
Block List
--------------------------------------------------------------------------------
MAC-Address Status
--------------------------------------------------------------------------------
0001-0002-0003 S
0001-0002-0004 S
--------------------------------------------------------------------------------
表1-4 display wlan ips blocklist命令显示信息描述
· Enable:开启该功能 · Disable:关闭该功能 |
|
· S:表示静态配置的 · D:表示动态生成的 · S&D:表示该表项由静态和动态同时配置的 |
display wlan ips channel [ permit | prohibit ] [ | { begin | exclude | include } regular-expression ]
2:系统级
permit:系统中允许使用的无线信道的信息。
prohibit:系统中非法信道的信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips channel命令用于查看指定的或所有的无线信道的信息。
# 显示所有无线信道的信息。
[Sysname] display wlan ips channel
Channel List
--------------------------------------------------------------------------------
Channel Radio-Type Permit Last-Time
--------------------------------------------------------------------------------
1 11gn No 2013-06-21/16:00:47
2 11gn No 2013-06-21/16:00:47
3 11gn No 2013-06-21/16:00:47
4 11gn No 2013-06-21/16:00:47
5 11gn No 2013-06-21/16:00:47
6 11gn No 2013-06-21/16:00:47
7 11gn No 2013-06-21/16:00:47
8 11gn No 2013-06-21/16:00:47
9 11gn No 2013-06-21/16:00:47
10 11gn No 2013-06-21/16:00:47
11 11gn No 2013-06-21/16:00:47
12 11gn No 2013-06-21/16:00:47
13 11gn No 2013-06-21/16:00:47
149 11an No 2013-06-21/16:00:47
153 11an No 2013-06-21/16:00:47
157 11an No 2013-06-21/16:00:47
161 11an No 2013-06-21/16:00:47
165 11an No 2013-06-21/16:00:47
--------------------------------------------------------------------------------
表1-5 display wlan ips channel命令显示信息描述
· Yes:允许使用 · No:禁止使用 |
|
display wlan ips [ vsd vsd-name ] countermeasure-devices [ static [ countermeasure | pending | idle ] | dynamic [ countermeasure | pending ] | mac-address mac-addr ] [ verbose ] [ | { begin | exclude | include } regular-expression ]
2:系统级
vsd vsd-name:虚拟安全域的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
static: 显示用户在WIPS视图和反制策略视图下静态添加到反制列表中的无线设备信息。
dynamic:显示反制列表中通过WIPS动态添加的无线设备信息。
countermeasure:显示反制列表中正在进行反制的无线设备信息。
pending:显示反制列表中正在等待反制的无线设备信息。
idle:显示反制列表中由用户添加的但不在虚拟安全域的设备列表中的无线设备。
mac-address mac-addr:显示反制列表中指定MAC地址的无线设备信息。
verbose:显示反制列表中无线设备的详细信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
display wlan ips countermeasure-devices命令用来显示指定的或所有的虚拟安全域下的反制列表的表项和相关的统计信息。
# 显示全部虚拟安全域下反制列表中的无线设备信息。
<Sysname> display wlan ips countermeasure-devices
S = Static, D = Dynamic, VSD = virtual security domain, Chl = Channel
P = Pending, C = Countermeasure, I = Idle, PRI = Precedence
Countermeasure Devices
--------------------------------------------------------------------------------
Mac-address Type State Start-Time Classification Chl PRI
--------------------------------------------------------------------------------
VSD: default
c4ca-d97e-2680 S&D C 2013-06-21/16:11:44 rogue-ap 6 10
3ce5-a68b-9030 D P 2013-06-21/16:15:26 rogue-ap 6 9
c4ca-d9f0-cab0 S C 2013-06-21/16:15:26 potential-external-ap 1 10
006a-ff00-0001 D C 2013-06-21/16:11:29 rogue-ap 5 9
VSD: vsd_office
c4ca-d97e-2680 S I -- -- -- --
c4ca-d9f0-cab0 S I -- -- -- --
VSD: vsd_lab
c4ca-d97e-2680 S I -- -- -- --
c4ca-d9f0-cab0 S I -- -- -- --
--------------------------------------------------------------------------------
表1-6 display wlan ips countermeasure-devices命令显示信息描述表
在反制列表中由WIPS根据反制策略动态添加的无线设备 |
|
反制列表中无线设备的MAC地址 |
|
· S:在反制列表中由用户静态添加的无线设备 · D:在反制列表中由WIPS根据反制策略动态添加的无线设备 · S&D:在反制列表中既是由用户添加的无线设备,同时也是WIPS根据反制策略动态添加的无线设备 |
|
· Pending:等待反制,即当前VSD此时无法对该设备执行反制 · Countermeasure:正在反制,即当前VSD正在对该设备执行反制 · Idle: 未反制,即在当前VSD下未探测到该设备 |
|
· Potential-rogue-ap:潜在rogue AP · Rogue-ap:rogue AP · Misconfigured-ap:配置错误的AP · Uncategorized-ap:未确定分类的AP · Potential-external-ap:潜在外部AP · External-ap:外部AP · Potential-authorized-ap:潜在授权AP · Uncategorized-client:未确定分类的client · Misassociation-client:误关联的client · Unauthorized-client:未授权的client |
|
# 显示名称为lab的虚拟安全域下反制列表中的无线设备的详细信息。
<Sysname> display wlan ips vsd default countermeasure-devices verbose
VSD = virtual security domain
Countermeasure Devices
--------------------------------------------------------------------------------
VSD: default
Device: c4ca-d97e-2680
Type : Static
Classification : potential-external-ap
Precedence : 10
State : Countermeasure
Channel : 6
Sensor : ap3
Start-Time : 2013-06-21/16:11:44
Global Static Countermeasure : YES
Applied to Countermeasure-policies : --
default
office
Countermeasure records : 1
2013-06-21/16:11:29 - 2013-06-21/16:11:44 Pending
--------------------------------------------------------------------------------
Device: c4ca-d9f0-cab0
Type : Static
Classification : potential-external-ap
Precedence : 10
State : Pending
Channel : 1
Sensor : --
Start-Time : 2013-06-21/16:25:56
Global Static Countermeasure : YES
Applied to Countermeasure-policies : --
Countermeasure records : 0
--------------------------------------------------------------------------------
Device: 006a-ff00-0001
Type : Dynamic
Classification : rogue-ap
Precedence : 9
State : Countermeasure
Channel : 5
Sensor : ap3
Start-Time : 2013-06-21/16:11:29
Global Static Countermeasure : NO
Applied to Countermeasure-policies : --
Countermeasure records : 1
2013-06-21/16:11:29 - 2013-06-21/16:11:29 Pending
--------------------------------------------------------------------------------
表1-7 display wlan ips countermeasure-devices verbose命令显示信息描述表
反制列表中的无线设备的MAC地址 |
|
· Static:在反制列表中由用户添加的无线设备 · Dynamic:在反制列表中由WIPS根据反制策略动态添加的无线设备 · Static & Dynamic:在反制列表中既是由用户添加的无线设备,同时也是WIPS根据反制策略动态添加的无线设备 |
|
· Pending:等待反制,即当前VSD此时无法对该设备执行反制 · Countermeasure:正在反制,即当前VSD正在对该设备执行反制 · Idle: 未反制,即在当前VSD下未探测到该设备 |
|
当前对该设备执行反制的sensor |
|
display wlan ips countermeasure-policy [ policy-name ] [ | { begin | exclude | include } regular-expression ]
2:系统级
countermeasure-policy policy-name:反制策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips countermeasure-policy命令用来显示指定的或者全部的反制策略信息,如果未指定反制策略的名称,则默认显示全部的反制策略信息。
# 显示名称为office的反制策略信息。
<Sysname> display wlan ips countermeasure-policy officecmp
Countermeasure Policy
--------------------------------------------------------------------------------
Policy Name : officecmp
Countermeasure on Fixedchannel : Disable
Countermeasure Device-Classification
misconfigured-ap : Off
rogue-ap : Off
unauthorized-client : Off
external-ap : Off
misassociation-client : On precedence : 6
potential-authorized-ap : Off
potential-rogue-ap : Off
potential-external-ap : Off
uncategorized-ap : Off
uncategorized-client : Off
Countermeasure Static Devices : 0
Applied to VSD :
VSD 1 : vsd_office
----------------------------------------------------------------------
表1-8 display wlan ips countermeasure-policy命令显示信息描述表
· enable:开启固定信道反制功能 · disable:关闭固定信道反制功能 |
|
对配置错误的AP是否开启反制: · on:开启反制 · off:未开启反制 |
|
对rogue AP是否开启反制: · on:开启反制 · off:未开启反制 |
|
· on:开启反制 · off:未开启反制 |
|
对外部AP是否开启反制 · on:开启反制 · off:未开启反制 |
|
· on:开启反制 · off:未开启反制 |
|
对潜在授权AP是否开启反制: · on:开启反制 · off:未开启反制 |
|
对潜在rogue AP是否开启反制: · on:开启反制 · off:未开启反制 |
|
对潜在外部AP是否开启反制: · on:开启反制 · off:未开启反制 |
|
对未分类AP是否开启反制: · on:开启反制 · off:未开启反制 |
|
· on:开启反制 · off:未开启反制 |
|
虚拟安全域的名称,n为系统自动的编号 |
display wlan ips [ vsd vsd-name ] devices [ ap [ adhoc | authorized | external | misconfigured | potential-authorized | potential-external | potential-rogue | rogue | uncategorized | mesh-ap ] | client [ authorized | misassociation | unauthorized | uncategorized | unassociated ] | mac-address mac-addr ] [ verbose ] [ | { begin | exclude | include } regular-expression ]
2:系统级
vsd vsd-name:虚拟安全域的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
ap:显示AP的信息。
adhoc:显示Ad hoc AP的信息。
authorized:显示授权AP的信息。
external:显示外部AP的信息。
misconfigured:显示错误配置的AP的信息。
potential-authorized:显示潜在授权AP的信息。
potential-external:显示潜在外部AP的信息。
potential-rogue:显示潜在Rogue AP的信息。
rogue:显示Rogue AP的信息。
uncategorized:显示无法确定类别的AP的信息。
mesh-ap: 连接到MESH网络的AP的信息。
client:显示Client的信息。
authorized:显示授权Client的信息。
misassociation:显示误关联Client的信息。
unauthorized:显示未授权Client的信息。
uncategorized:显示无法确定类别的Client的信息。
unassociated : 显示未关联AP的Client信息。
mac-address mac-addr:显示指定MAC地址的无线设备的信息。
verbose:显示设备的详细信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips devices命令用来查看指定的或所有的虚拟安全域中检测到的无线设备的信息。
# 显示所有虚拟安全域中的所有设备信息。
<Sysname> display wlan ips devices
SL = severity level, #S = number of reporting sensors, S = status
VSD = virtual security domain, I = inactive, A = active
Cli = client, Chl = channel
Detected Wireless Devices
--------------------------------------------------------------------------------
MAC-Address Type Classification SL Last-Time #S Chl S
--------------------------------------------------------------------------------
VSD default: 0
VSD vsd_office: 6
000f-e2a2-2420 AP Misconfigured 0 2014-06-22/15:52:26 1 149 A
000f-e233-5500 AP Misconfigured 0 2014-06-22/15:52:19 1 153 A
044f-aa03-9fec AP Potential-External 0 2014-06-22/15:52:19 1 157 A
0021-632f-f77d Cli Uncategorized - 2014-06-22/15:52:29 1 149 A
0024-012d-ecec Cli Unassociated - 2014-07-18/14:29:55 1 - -
d4c9-efe4-d3e1 AP Mesh 0 2014-07-22/11:38:14 1 161 A
--------------------------------------------------------------------------------
表1-9 display wlan ips devices命令显示信息描述表
无线设备的MAC地址 |
|
· AP:AP设备 · Cli:无线客户端 |
|
WIPS最近一次检测到该AP或无线客户端的时间 |
|
设备在该信道被wips探测到 |
|
AP或无线客户端的活动状态: · Active:启用状态 · Inactive:禁用状态 |
# 显示所有虚拟安全域中的所有设备的详细信息。
<Sysname> display wlan ips devices verbose
Detected Wireless Devices
--------------------------------------------------------------------------------
VSD: default
Total Number of APs: 0
Total Number of Clients: 0
--------------------------------------------------------------------------------
VSD: vsd_office
Total Number of APs: 4
--------------------------------------------------------------------------------
BSSID : 000f-e2a2-2420
Vendor: New H3C Technologies Co., Ltd.
SSID : office
Status : Active
Classification : Misconfigured
Severity Level : 0
Security : WPA2/WPA
Encrypt Method : TKIP/CCMP
Authentication Method : PSK
Radio Type : 802.11an
Channel : 149
In Countermeasure List : No
Up Time : 2013-06-22/15:43:16
First Reported Time : 2013-06-22/15:40:56
Last Reported Time : 2013-06-22/15:53:26
Reporting Sensor : 1
Sensor 1 : ap3
RadioId : 1
RSSI : 72
Last Reported Time : 2013-06-22/15:53:26
Attached Clients : 1
Client 1 : 0021-632f-f77d
Detected Attacks : invalid-oui, --------------------------------------------------------------------------------
BSSID : 000f-e233-5500
Vendor: New H3C Technologies Co., Ltd.
SSID : bignetwork-a
Status : Active
Classification : Misconfigured
Severity Level : 0
Security : Clear
Encrypt Method : -NA-
Authentication Method : None
Radio Type : 802.11an
Channel : 153
In Countermeasure List : No
Up Time : 2013-05-09/14:46:57
First Reported Time : 2013-06-22/15:38:26
Last Reported Time : 2013-06-22/15:53:21
Reporting Sensor : 1
Sensor 1 : ap3
RadioId : 1
RSSI : 25
Last Reported Time : 2013-06-22/15:53:21
Attached Clients : 0
Detected Attacks : -NA-
--------------------------------------------------------------------------------
BSSID : 044f-aa03-9fec
Vendor: Ruckus Wireless
SSID : Ruckus-Wireless-1
Status : Active
Classification : Potential-External
Severity Level : 0
Security : Clear
Encrypt Method : -NA-
Authentication Method : None
Radio Type : 802.11an
Channel : 157
In Countermeasure List : No
Up Time : 2013-06-13/20:10:13
First Reported Time : 2013-06-22/15:38:27
Last Reported Time : 2013-06-22/15:53:22
Reporting Sensor : 1
Sensor 1 : ap3
RadioId : 1
RSSI : 5
Last Reported Time : 2013-06-22/15:53:42
Attached Clients : 0
Detected Attacks : -NA-
--------------------------------------------------------------------------------
BSSID : d4c9-efe4-d3e1
Vendor: Hewlett Packard
MeshID : wsj
Status : Active
Classification : Mesh
Severity Level : 0
Security : WPA2
Encrypt Method : CCMP
Authentication Method : Other
Radio Type : 802.11ac
Channel : 161
In Countermeasure List : No
Up Time : 2014-06-22/11:37:29
First Reported Time : 2014-06-22/11:37:46
Last Reported Time : 2014-06-22/11:38:42
Reporting Sensor : 1
Sensor 1 : sensor2
RadioId : 1
RSSI : 70
Last Reported Time : 2014-06-22/11:38:42
Attached MeshAPs : 1
MeshAP 1 : 000f-e2c0-4440
Detected Attacks : wireless-bridge,
--------------------------------------------------------------------------------
Total Number of Clients: 2
--------------------------------------------------------------------------------
MAC Address: 0021-632f-f77d
Vendor: ASKEY COMPUTER CORP
BSSID : 000f-e2a2-2420
Status : Active
State : EAPSuccess
Classification : Uncategorized
RadioType : 802.11an
Channel : 149
In Countermeasure List : No
First Reported Time : 2013-06-22/15:46:31
Last Reported Time : 2013-06-22/15:53:33
Reporting Sensor : 1
Sensor 1 : ap3
RadioId : 1
RSSI : 66
Last Reported Time : 2013-06-22/15:53:33
Detected Attacks : -NA-
--------------------------------------------------------------------------------
MAC Address: 0015-af75-3f0f
Vendor: AzureWave Technologies, Inc.
BSSID : -NA-
Status : -NA-
State : Unassociation
Classification : Unassociated
RadioType : 802.11n
Channel : -NA-
In Countermeasure List : No
First Reported Time : 2013-09-18/14:35:14
Last Reported Time : 2013-09-18/14:36:10
Reporting Sensor : 1
Sensor 1 : ap0
RadioId : 2
RSSI : 18
Last Reported Time : 2013-09-18/14:36:10
Detected Attacks : -NA-
--------------------------------------------------------------------------------
表1-10 display wlan ips devices verbose命令显示信息描述表
该虚拟安全域中发现的AP设备的总数 |
|
设备厂商,如果该设备的OUI不在WIPS系统OUI库中,则对应的Vendor显示“-NA-” |
|
MeshID |
Mesh网络关联的MeshID |
AP或无线客户端的活动状态 · Active:启用状态 · Inactive:禁用状态 |
|
· Association:完成802.11关联 · Unassociation:未完成802.11关联 · EAPSuccess:通过安全认证(PSK或802.1X) · EAPLogoff:取消安全认证(PSK或802.1X) |
|
AP或无线客户端的分类: · 对于AP设备有以下几种分类类别: ad_hoc、authorized、rogue、misconfigured、external、potential-authorized、potential-rogue、potential-external、uncategorized、wireless-bridge authorized、unauthorized、misassociated、uncategorized、unassociated |
|
· Clear方式 · WEP方式 · WPA方式 · WPA2方式 |
|
· -NA-:无加密方式 |
|
AP采用的接入无线网络的认证方式: · None: 无认证方式 · PSK:采用PSK认证方式 · 802.1X:采用802.1X认证方式 · Other:采用除PSK和802.1X之外的认证方式 |
|
该AP或无线客户端是否在反制列表中 · Yes:AP或无线客户端在反制列表中 · No:AP或无线客户端不在反制列表中 |
|
AP设备的启动时间 |
|
WIPS第一次检测到该AP或无线客户端的时间 |
|
WIPS最近一次检测到该AP或无线客户端的时间 |
|
发现该设备的Sensor的数量 |
|
发现该设备的Sensor的AP名称,n为系统自动的编号 |
|
Sensor上发现该设备的射频ID |
|
AP上关联的无线客户端的数量 |
|
Attached MeshAPs |
MeshAP上关联的AP数量 |
AP上关联的无线客户端的MAC地址,n为系统自动的编号 |
|
MeshAP n |
MeshAP上关联的AP的MAC地址,n为系统自动的编号 |
Detected Attacks |
该无线设备上检测到的攻击信息 |
display wlan ips event [ source-mac source-mac | causer-mac causer-mac | id event-id | level event-level | type event-type | vsd vsd-name ] [ verbose ] [ | { begin | exclude | include } regular-expression ]
2:系统级
source-mac source-mac:生成的告警事件的WIPS设备的MAC地址。
causer-mac causer-mac:引起的告警事件的无线设备的MAC地址。
id event-id:告警事件的编号,取值范围为1~1200。
level event-level:告警事件的告警级别,取值范围由低到高为0~7。
type event-type:告警事件的告警类型。
vsd vsd-name:指定虚拟安全域相关的所有告警事件。
verbose:显示告警事件的详细信息。|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips event命令用来查看WIPS系统生成的指定的或所有的告警事件。
# 显示WIPS系统生成的所有的告警事件信息。
[Sysname] display wlan ips event
L = Level
Total Number of Events: 20
WIPS Events
--------------------------------------------------------------------------------
Causer-Mac Type L ID First-Reported-Time Last-Reported-Time
--------------------------------------------------------------------------------
d4c9-efe4-d3e1 wireless-bridge 4 240 2014-06-20/17:41:24 2014-06-22/11:38:42
000f-e2c0-4440 mesh-ap 4 1125 2014-06-22/11:38:14 2014-06-22/11:38:14
0021-632f-e71d man-in-the-middle 4 234 2014-06-07/18:24:27 2014-06-07/18:24:48
d4c9-efe4-d3e0 deauth-spoofing 2 233 2014-06-07/18:24:21 2014-06-07/18:24:46
0023-895e-0320 honeypot-ap 4 149 2014-06-07/18:15:21 2014-06-07/18:15:21
0021-632f-e71d ht-40MHz-intoler 5 200 2014-06-07/18:19:06 2014-06-07/18:19:06
7425-8a61-1211 ht-greenfield 2 8 2014-03-04/11:10:06 2014-03-05/11:03:55
c4ca-d9f0-8ba0 invalid-channel 4 49 2014-03-28/14:56:27 2014-03-28/14:58:42
0021-632f-e4fb ps-attack 4 575 2013-12-10/14:34:45 2013-12-10/14:34:45
e4b0-2140-9247 soft-ap 4 270 2013-12-10/09:45:16 2013-12-10/09:45:16
5866-ba9f-3680 unencrypt-auth-ap 5 22 2013-11-28/18:11:47 2013-11-29/11:27:52
5866-ba9f-3680 unencry-trust-cli 5 22 2013-11-28/18:11:47 2013-11-29/11:27:52
-NA- prohibited-chl 2 5 2013-06-22/15:35:30 2013-06-22/15:35:30
044f-aa03-9fec pt-external-ap 4 4 2013-06-22/15:33:08 2013-06-22/15:33:08
044f-aa03-9fec vsd-ap-add 5 3 2013-06-22/15:33:08 2013-06-22/15:33:08
000f-e233-5500 misconfigured-ap 3 2 2013-06-22/15:33:08 2013-06-22/15:33:08
000f-e233-5500 vsd-ap-add 5 1 2013-06-22/15:33:08 2013-06-22/15:33:08
0021-632f-e71d windows-bridge 2 67 2013-06-22/14:47:36 2013-06-22/14:47:36
7425-8a61-1200 ap-impersonation 4 52 2013-06-22/14:30:14 2013-06-22/14:36:31
0079-e65a-e600 hotspot-attack 2 338 2013-06-22/14:27:30 2013-06-22/14:27:30
--------------------------------------------------------------------------------
表1-11 display wlan ips event命令显示信息描述表
# 显示WIPS系统生成的所有的告警事件的详细信息。
<Sysname> display wlan ips event verbose
Total Number of Events: 20
WIPS Events
--------------------------------------------------------------------------------
ID: 5 Event Level: 2
Event Type : prohibited-chl
Reported Time : 2013-06-22/15:35:30 - 2013-06-22/15:35:30
Aggregate times : 1
Causer : -NA-
Source:
Source 1 : c4ca-d9f0-e3e0 VSD: default
Detail Information:
In the VSD default, inhibitory channel 157 is active.
--------------------------------------------------------------------------------
ID: 4 Event Level: 4
Event Type : pt-external-ap
Reported Time : 2013-06-22/15:33:08 - 2013-06-22/15:33:08
Aggregate times : 1
Causer : 044f-aa03-9fec
Source:
Source 1 : 3822-d6c1-55fd VSD: -NA-
Detail Information:
In the VSD default, AP 044f-aa03-9fec is classified as Potential-External AP, w
here severity level is 0.
--------------------------------------------------------------------------------
ID: 3 Event Level: 5
Event Type : vsd-ap-add
Reported Time : 2013-06-22/15:33:08 - 2013-06-22/15:33:08
Aggregate times : 2
Causer : 044f-aa03-9fec
Source:
Source 1 : c4ca-d9f0-e3e0 VSD: default
Source 2 : 3822-d6c1-55fd VSD: -NA-
Detail Information:
In the VSD default,the AP 044f-aa03-9fec is added.
--------------------------------------------------------------------------------
ID: 2 Event Level: 3
Event Type : misconfigured-ap
Reported Time : 2013-06-22/15:33:08 - 2013-06-22/15:33:08
Aggregate times : 1
Causer : 000f-e233-5500
Source:
Source 1 : 3822-d6c1-55fd VSD: -NA-
Detail Information:
In the VSD default, AP 000f-e233-5500 is classified as Misconfigured AP.
--------------------------------------------------------------------------------
ID: 1 Event Level: 5
Event Type : vsd-ap-add
Reported Time : 2013-06-22/15:33:08 - 2013-06-22/15:33:08
Aggregate times : 2
Causer : 000f-e233-5500
Source:
Source 1 : c4ca-d9f0-e3e0 VSD: default
Source 2 : 3822-d6c1-55fd VSD: -NA-
Detail Information:
In the VSD default,the AP 000f-e233-5500 is added.
--------------------------------------------------------------------------------
ID: 342 Event Level: 2
Event Type : hotspot-attack
Reported Time : 2013-10-16/14:27:50 - 2013-10-16/14:27:50
Aggregate times : 1
Causer : 000f-e27b-4580
Source:
Source 1 : 3822-d6c1-55ff VSD: -NA-
Detail Information:
In the VSD han, detect AP(BSSID:000f-e27b-4580) using hotspot H3C.
--------------------------------------------------------------------------------
ID: 354 Event Level: 2
Event Type : hotspot-attack
Reported Time : 2013-10-16/14:27:48 - 2013-10-16/14:27:48
Aggregate times : 1
Causer : 5866-ba9f-3680
Source:
Source 1 : 3822-d6c1-55ff VSD: -NA-
Detail Information:
In the VSD han, detect the client(MAC:0021-6330-0f04) connecting to AP(BSSID:
5866-ba9f-3680) using hotspot xlan.
--------------------------------------------------------------------------------
ID: 67 Event Level: 2
Event Type : windows-bridge
Reported Time : 2013-11-15/08:47:36 - 2013-11-15/08:47:36
Aggregate times : 1
Causer : 0021-632f-e71d
Source:
Source 1 : 00a9-a755-fd00 VSD: 1
Detail Information:
In the VSD 1,detect the client(MAC:7425-8a61-1202), which connects to AP (BSSID:0021-632f-e71d), in a windows network bridge. --------------------------------------------------------------------------------
ID: 22 Event Level: 5
Event Type : unencrypt-auth-ap
Reported Time : 2013-11-28/18:11:47 - 2013-11-29/11:27:52
Aggregate times : 63
Causer : 5866-ba9f-3680
Source:
Source 1 : 80f6-2ee6-d3da VSD: -NA-
Detail Information:
In the vsd default, detect an unencrypted authorized AP 5866-ba9f-3680.
--------------------------------------------------------------------------------
ID: 535 Event Level: 5
Event Type : unencrypted-trust-client
Reported Time : 2013-11-29/10:00:00 - 2013-11-29/11:18:25
Aggregate times : 4
Causer : ccef-48f4-7850
Source:
Source 1 : 80f6-2ee6-d3da VSD: -NA-
Detail Information:
In the vsd default, detect a trust client 0021-6330-0f04 connect to an unencrypted AP ccef-48f4-7850.
--------------------------------------------------------------------------------
ID: 52 Event Level: 4
Event Type : ap-impersonation
Reported Time : 2013-12-05/14:12:14 - 2013-12-05/17:06:31
Aggregate times : 670
Causer : 7425-8a61-1200
Source:
Source 1 : 00a9-a75b-5100 VSD: 1
Detail Information:
In the vsd 1, detect AP impersonation of BSSID 7425-8a61-1200.
--------------------------------------------------------------------------------
ID: 270 Event Level: 4
Event Type : soft-ap
Reported Time : 2013-12-10/09:45:16 - 2013-12-10/09:45:16
Aggregate times : 1
Causer : e4b0-2140-9247
Source:
Source 1 : e4b0-2140-9247
Detail Information:
In the VSD 1, detect soft ap e4b0-2140-9247.
--------------------------------------------------------------------------------
ID: 575 Event Level: 4
Event Type : ps-attack
Reported Time : 2013-12-10/14:34:45 - 2013-12-10/14:34:45
Aggregate times : 1
Causer : 0021-632f-e4fb
Source:
Source 1 : 00a9-a69b-4c00 VSD: 1
Detail Information:
In the VSD 1, detect power save attack to client 0021-632f-e4fb.
--------------------------------------------------------------------------------
ID: 8 Event Level: 2
Event Type : ht-greenfield
Reported Time : 2013-12-10/14:34:45 - 2013-12-10/14:34:45
Aggregate times : 1008
Causer : 7425-8a61-1211
Source:
Source 1 : 3ce5-a68b-9020 VSD: vsd2
Detail Information:
In the vsd vsd2, detect an active HT-greenfield mode AP(BSSID:7425-8a61-1211).
--------------------------------------------------------------------------------
ID: 49 Event Level: 4
Event Type : invalid-channel
Reported Time : 2013-12-10/14:34:45 - 2013-12-10/14:34:45
Aggregate times : 3
Causer : c4ca-d9f0-8ba0
Source:
Source 1 : 80f6-2e02-f880
Source 2 : 5866-abc0-4620 VSD: default
Detail Information:
In the VSD default, detect the device c4ca-d9f0-8ba0 launching a malformed pack
et with type of invalid-channel.
--------------------------------------------------------------------------------
ID: 200 Event Level: 5
Event Type : ht-40MHz-intoler
Reported Time : 2014-06-07/18:19:06 - 2014-06-07/18:20:04
Aggregate times : 2
Causer : 0021-632f-e71d
Source:
Source 1 : cc3e-5f26-0e00 VSD: 2
Detail Information:
In the vsd 2, detect a client(MAC:0021-632f-e71d) setting 40MHz intolerance and
connecting with AP(BSSID:0023-895e-0320).
--------------------------------------------------------------------------------
ID: 149 Event Level: 4
Event Type : honeypot-ap
Reported Time : 2014-06-07/18:15:21 - 2014-06-07/18:15:21
Aggregate times : 1
Causer : 0023-895e-0320
Source:
Source 1 : 5866-babe-d0a4 VSD: -NA-
Detail Information:
In the VSD 2, detect honeypot ap 0023-895e-0320.
--------------------------------------------------------------------------------
ID: 233 Event Level: 2
Event Type : deauth-spoofing
Reported Time : 2014-06-07/18:24:21 - 2014-06-07/18:24:46
Aggregate times : 3
Causer : d4c9-efe4-d3e0
Source:
Source 1 : 5866-babe-d0a4 VSD: -NA-
Detail Information:
In the vsd 2, detect a spoof deauthentication frame from AP(BSSID:d4c9-efe4-d3e
0) to CLIENT(MAC:0021-632f-e71d).
--------------------------------------------------------------------------------
ID: 234 Event Level: 4
Event Type : man-in-the-middle
Reported Time : 2014-06-07/18:24:27 - 2014-06-07/18:24:48
Aggregate times : 2
Causer : 0021-632f-e71d
Source:
Source 1 : 5866-babe-d0a4 VSD: -NA-
Detail Information:
In the VSD 2, detect the client(mac:0021-632f-e71d) that connects to the honey
pot AP(BSSID:0023-895e-0330, SSID:"H3C", AuthSSID:"H3C") attacked by the man-in-
the-middle attack.
--------------------------------------------------------------------------------
ID: 240 Event Level: 4
Event Type : wireless-bridge
Reported Time : 2014-06-20/17:41:24 - 2014-06-22/11:38:42
Aggregate times : 33
Causer : d4c9-efe4-d3e1
Source:
Source 1 : cc3e-5f26-0e00 VSD: 2
Detail Information:
In the VSD 2, detect an AP(MAC:d4c9-efe4-d3e1), which connects with another AP
(MAC:000f-e2c0-4440), in a wireless-bridge.
--------------------------------------------------------------------------------
表1-12 display wlan ips event verbose命令显示信息描述表
WIPS设备所属的虚拟安全域名称 |
|
【命令】
display wlan ips hotspotlist [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan ips hotspotlist命令用来查看系统中添加的热点信息。
【举例】
# 查看WIPS系统的热点信息。
[Sysname] display wlan ips hotspotlist
Total Number of Entries: 8
Hotspot List
--------------------------------------------------------------------------------
SSID Last-Reported-Time
--------------------------------------------------------------------------------
ANY --
H3C 2013-12-16/10:46:55
any --
hello --
lwq 2013-12-16/10:46:47
wlan --
wsj --
y06066 2013-12-16/10:46:52
--------------------------------------------------------------------------------
表1-1 display wlan ips hotspot命令显示信息描述表
字段 |
描述 |
Total Number of Entries |
WIPS系统中热点的数量 |
SSID |
热点SSID名称 |
Last-Reported-Time |
最后发现该热点被使用的时间 |
display wlan ips ignorelist [ mac-address mac-addr ] [ | { begin | exclude | include } regular-expression ]
2:系统级
mac-address mac-addr:可以忽略WIPS告警信息的设备的MAC地址。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips ignorelist命令用来查看系统中指定的或所有的可以忽略WIPS告警信息的设备列表。
# 显示系统中所有可以忽略的设备列表。
[Sysname] display wlan ips ignorelist
Total Number of Entries: 2
Ignore List
--------------------------------------------------------------------------------
MAC-Address Hit-Count First-Report-Time Last-Report-Time
--------------------------------------------------------------------------------
0001-0001-0001 0 - -
000f-e233-5500 3 2013-06-22/15:37:11 2013-06-22/15:37:11
--------------------------------------------------------------------------------
表1-13 display wlan ips ignorelist命令显示信息描述表
可以忽略的设备的MAC地址 |
|
可以忽略的设备列表中的表项被命中的次数 |
|
【命令】
display wlan ips malformed-detect-policy [ policy-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
policy-name:攻击检测策略名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写,不包含空格。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan ips malformed-detect-policy命令用来查看指定的或所有的畸形报文检测策略信息。
【举例】
# 显示名称为lab的畸形报文检测策略信息。
[Sysname]display wlan ips malformed-detect-policy
Malformed Detect Policies
---------------------------------------------------------------------------
Detection-Type Status Quiet-Time Action Threshold
---------------------------------------------------------------------------
Policy Name: default
invalid-ie-length off 600 -- --
duplicated-ie off 600 -- --
redundant-ie off 600 -- --
invalid-pkt-length off 600 -- --
illegal-ibss-ess off 600 -- --
invalid-source-address off 600 -- --
overflow-eapol-key off 600 -- --
malformed-auth off 600 -- --
malformed-assoc-req off 600 -- --
malformed-ht-ie off 600 -- --
large-duration off 600 -- 5000
null-probe-resp off 600 -- --
invalid-deauth-code off 600 -- --
invalid-disassoc-code off 600 -- --
overflow-ssid off 600 -- --
fata-jack off 600 -- --
---------------------------------------------------------------------------
Applied To VSD : vsd
---------------------------------------------------------------------------
Policy Name: mf2
invalid-ie-length on 5 log|trap --
duplicated-ie on 5 log|trap --
redundant-ie on 5 log|trap --
invalid-packet-length off 5 -- --
illegal-ibss-ess on 5 log|trap --
invalid-source-address on 5 log|trap --
overflow-eapol-key on 5 log|trap --
malformed-auth on 5 log|trap --
malformed-assoc-req on 5 log|trap --
malformed-ht-ie on 5 log|trap --
large-duration on 5 log|trap 200
null-probe-resp on 5 log|trap --
invalid-deauth-code on 5 log|trap --
invalid-disassoc-code on 5 log|trap --
overflow-ssid on 5 log|trap --
fata-jack on 5 log|trap --
---------------------------------------------------------------------------
Applied To VSD : han
---------------------------------------------------------------------------
表1-14 display wlan ips malformed-detect-policy命令显示信息描述表
字段 |
描述 |
Policy Name |
畸形报文检测策略名称 |
Detection-Type |
畸形报文检测策略,目前只支持以下16种畸形报文检测策略: · invalid-ie-length:IE长度非法检测 · duplicated-ie:重复IE检测 · redundant-ie:多余IE检测 · invalid-pkt-length:报文长度非法检测 · illegal-ibss-ess:IBSS和ESS置位异常检测 · invalid-source-address:Invalid-source-address检测 · overflow-eapol-key:Overflow-eapol-key检测 · malformed-auth:畸形Authentication帧检测 · malformed-assoc-req:畸形Association-request帧检测 · malformed-ht-ie:畸形的HT IE检测 · large-duration:Duration超大检测 · null-probe-resp :Null-probe-response检测 · invalid-deauth-code:Invalid-deauth-code检测 · invalid-disassoc-code:Invalid-disassoc-code检测 · overflow-ssid:SSID超长检测 · fata-jack:Fata-jack检测 |
Status |
发送日志信息和告警信息的开关是否打开 · on:打开 · off:关闭 |
Quiet-Time |
上报畸形报文类型的静默周期 |
Action |
检测某畸形类型时的动作:发送日志信息或发送告警信息 |
Threshold |
duration的阈值 |
Applied To VSD |
应用该畸形报文检测策略的虚拟安全域 |
display wlan ips [ vsd vsd-name ] network bss [ verbose ] [ name network-name | hotspot ] [ | { begin | exclude | include } regular-expression ]
display wlan ips [ vsd vsd-name ] network [ mesh ] [ verbose ] [ name network-name ] [ | { begin | exclude | include } regular-expression ]
2:系统级
vsd vsd-name:虚拟安全域的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
network :显示检测到的无线服务信息。
bss:显示无线ESS或IBSS网络服务信息。
mesh :显示无线Mesh网络服务信息。
verbose:显示无线接入服务的详细信息。
name network-name:显示指定名称的无线网络(ESS\IBSS\MESH)服务信息,为1~32个字符的字符串,区分大小写,可以包含空格。
hotspot : 显示包含在热点列表中的无线接入服务。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips network命令用来查看指定的或所有的虚拟安全域的无线接入服务信息。
# 显示所有虚拟安全域中的无线接入服务的信息。
<Sysname> display wlan ips network
#AP = number of APs, VSD = virtual security domain
Detected Wireless Networks
--------------------------------------------------------------------------------
SSID Security Auth-Method Encrypt-Method #AP
--------------------------------------------------------------------------------
VSD default: 0
VSD vsd_office: 3
office WPA2/WPA PSK TKIP/CCMP 1
Ruckus-Wireless-1 Clear None -NA- 1
bignetwork-a Clear None -NA- 1
--------------------------------------------------------------------------------
MeshID Security Auth-Method Encrypt-Method #AP
--------------------------------------------------------------------------------
VSD default: 0
VSD vsd_office: 2
Clear None -NA- 1
wsj WPA2 Other CCMP 1
--------------------------------------------------------------------------------
# 显示虚拟安全域default下所有使用热点的无线接入服务信息。
[Sysname] display wlan ips vsd default network bss hotspot
#AP = number of APs, VSD = virtual security domain
Detected Wireless Networks
--------------------------------------------------------------------------------
SSID Security Auth-Method Encrypt-Method #AP
--------------------------------------------------------------------------------
VSD default: 16
h3c-zc Clear None -NA- 1
CMCC Clear None -NA- 16
lkf3994 Clear None -NA- 1
n1006 WPA2 PSK CCMP 1
AndroidAP WPA2 PSK CCMP 1
lwq Clear None -NA- 1
--------------------------------------------------------------------------------
表1-15 display wlan ips network命令显示信息描述表
MeshID |
无线Mesh服务的MeshID |
· Clear方式 · WEP方式 · WPA方式 · WPA2方式 |
|
· None :无认证方式 · PSK:采用PSK认证方式 · 802.1X:采用802.1X认证方式 · Other:采用除PSK和802.1X之外的认证方式 |
|
· 使用该SSID的AP设备的数量 |
# 显示所有虚拟安全域中的无线接入服务的详细信息。
[Sysname] display wlan ips network verbose
VSD: default
Total number of bss-networks: 0
--------------------------------------------------------------------------------
VSD: vsd_office
Total number of bss-networks: 3
--------------------------------------------------------------------------------
SSID: office
Hotspot : No
Status : Active
Security : WPA2/WPA
Authentication Method : PSK
Encrypt Method : TKIP/CCMP
First Reported Time : 2013-06-22/15:43:18
Last Reported Time : 2013-06-22/15:43:38
APs : 1
BSSID 1 : 000f-e2a2-2420 Channel: 149 Clients: 0 SSID Hide: No
--------------------------------------------------------------------------------
SSID: Ruckus-Wireless-1
Hotspot : No
Status : Active
Security : Clear
Authentication Method : None
Encrypt Method : -NA-
First Reported Time : 2013-06-22/15:38:27
Last Reported Time : 2013-06-22/15:43:44
APs : 1
BSSID 1 : 044f-aa03-9fec Channel: 157 Clients: 0 SSID Hide: No
--------------------------------------------------------------------------------
SSID: bignetwork-a
Hotspot : Yes
Status : Active
Security : Clear
Authentication Method : None
Encrypt Method : -NA-
First Reported Time : 2013-06-22/15:38:26
Last Reported Time : 2013-06-22/15:43:31
APs : 1
BSSID 1 : 000f-e233-5500 Channel: 153 Clients: 0 SSID Hide: No
--------------------------------------------------------------------------------
VSD: default
Total number of mesh-networks: 0
--------------------------------------------------------------------------------
VSD: vsd_office
Total number of mesh-networks: 2
--------------------------------------------------------------------------------
MeshID:
Status : Active
Security : Clear
Authentication Method : None
Encrypt Method : -NA-
First Reported Time : 2014-06-22/11:38:14
Last Reported Time : 2014-06-22/11:38:14
APs : 1
BSSID 1 : 000f-e2c0-4440 Channel: 161 Attached MeshAPs: 1
--------------------------------------------------------------------------------
MeshID: wsj
Status : Active
Security : WPA2
Authentication Method : Other
Encrypt Method : CCMP
First Reported Time : 2014-06-22/11:37:46
Last Reported Time : 2014-06-22/11:37:46
APs : 1
BSSID 1 : d4c9-efe4-d3e1 Channel: 161 Attached MeshAPs: 1
--------------------------------------------------------------------------------
表1-16 display wlan ips network verbose命令显示信息描述表
MeshID |
无线Mesh服务的MeshID |
Hotspot |
该SSID是否属于热点 |
SSID的状态: · Active:启用状态 · Inactive:禁用状态 |
|
· Clear方式 · WEP方式 · WPA方式 · WPA2方式 |
|
· None: 无认证方式 · PSK: 采用PSK认证方式 · 802.1X: 采用802.1X认证方式 · Other: 采用除PSK和802.1X之外的认证方式 |
|
WIPS第一次检测到该SSID的时间 |
|
WIPS最近一次检测到该SSID的时间 |
|
使用该SSID的AP设备的数量 |
|
基本服务集识别码,n为系统自动编号 |
|
该BSSID使用的无线信道 |
|
该BSSID上关联的无线客户端数量 |
|
Attached MeshAPs |
该MeshAP上关联的MeshAP数量 |
SSID Hide |
是否隐藏SSID: · Yes:隐藏SSID · No:显示SSID |
display wlan ips oui vendor-name
2:系统级
vendor-name:指定厂商的所有OUI信息,文本格式,长度取值范围为1~64,不区分大小写。
display wlan ips oui命令用来查看WIPS系统OUI库中指定厂商的所有OUI信息。
# 查看WIPS系统OUI库中厂商是H3C的所有OUI信息。
[Sysname]display wlan ips oui h3c
Total Number of Entries: 8
Vendor OUI List
---------------------------------------------------------------------------
OUI Vendor
---------------------------------------------------------------------------
00-0F-E2 New H3C Technologies Co., Ltd.
00-23-89 NEW H3C Technologies Co., Ltd.
0C-DA-41 New H3C Technologies Co., Limited
38-22-D6 H3C Technologies Co., Limited
3C-E5-A6 New H3C Technologies Co., Ltd.
58-66-BA New H3C Technologies Co., Limited
80-F6-2E New H3C Technologies Co., Limited
C4-CA-D9 New H3C Technologies Co., Limited
---------------------------------------------------------------------------
表1-17 display wlan ips oui命令显示信息描述表
设备厂商,如果该OUI不在WIPS系统OUI库中,则对应的Vendor显示“-NA-” |
display wlan ips sensor [ vsd vsd-name ] [ | { begin | exclude | include } regular-expression ]
2:系统级
vsd vsd-name:虚拟安全域的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips sensor命令用来显示系统中指定的或所有的虚拟安全域的Sensor列表。
# 显示所有虚拟安全域的Sensor列表
[Sysname] display wlan ips sensor
Total Number of Sensors: 5
wips = dedicated wips mode, hyb-l = low scan-time in hybrid mode,
hyb-m = medium scan-time in hybrid mode, hyb-h = high scan-time in hybrid mode,
S = state, R = run,
I = idle
Sensor List
--------------------------------------------------------------------------------
Sensor-Name Radio Mode S --------------------------------------------------------------------------------
VSD: office
office_ap1 1 wips R
office_ap2 2 hyb-l R
office_ap3 2 hyb-m R
VSD:lab
lab_ap1 1 hyb-h R
lab_ap2 1 hyb-l I
表1-18 display wlan ips sensor all命令显示信息描述
系统中配置的Sensor的总数 |
|
配置为Sensor的AP的名称 |
|
配置为Sensor的射频ID |
|
AP射频上配置的WIPS工作模式: · wips:wips专用模式,即带外Sensor · hyb-l:接入优先的混合模式,即短扫描时间的带内Sensor · hyb-m:均衡策略的混合模式,即中扫描时间的带内Sensor · hyb-h:扫描优先的混合模式,即长扫描时间的带内Sensor |
|
Sensor的运行状态: · R:AP已经与AC关联,AP上的wips系统处于运行状态 · I:AP未与AC关联,或者受到license数量限制,AP上的wips处于闲置状态 |
|
Sensor所属的虚拟安全域的名称 |
display wlan ips signature { all | custom | signature-id id-value | signature-name name-string | standard } [ verbose ] [ | { begin | exclude | include } regular-expression ]
2:系统级
all:查询所有Signature规则信息。
custom:查询所有自定义Signature规则信息。signature-id id-value :查询指定Signature规则ID的Signature规则信息。signature-name name-string:查询指定名称的Signature规则信息。指定的内置Signature规则名称或自定义Signature名称。为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
standard:查询所有内置Signature规则信息。verbose:显示Signature规则详细信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips signature命令用来查询指定的或所有的Signature规则的配置信息。
当查询内置Signature规则信息时,不会显示sub-rule信息。
# 显示所有内置Signature规则信息。
[Sysname] display wlan ips signature standard
Total Number of Entries:11
Standard Signature Information
--------------------------------------------------------------------------------
ID SignatureName Type
--------------------------------------------------------------------------------
1 deauth_flood Standard
2 broadcast_deauth_flood Standard
3 disassoc_flood Standard
4 broadcast_disassoc_flood Standard
5 eapol_logoff_flood Standard
6 eap_success_flood Standard
7 eap_failure_flood Standard
8 pspoll_flood Standard
9 cts_flood Standard
10 rts_flood Standard
11 addba_req_flood Standard
--------------------------------------------------------------------------------
# 显示所有的自定义Signature规则信息。
[Sysname] display wlan ips signature custom
Total Number of Entries:1
Custom Signature Information
--------------------------------------------------------------------------------
ID SignatureName Type
--------------------------------------------------------------------------------
40 office Custom
--------------------------------------------------------------------------------
# 显示所有的Signature规则信息。
[Sysname] display wlan ips signature all
Total Number of Entries: 12
Signature Information
--------------------------------------------------------------------------------
ID SignatureName Type
--------------------------------------------------------------------------------
1 deauth_flood Standard
2 broadcast_deauth_flood Standard
3 disassoc_flood Standard
4 broadcast_disassoc_flood Standard
5 eapol_logoff_flood Standard
6 eap_success_flood Standard
7 eap_failure_flood Standard
8 pspoll_flood Standard
9 cts_flood Standard
10 rts_flood Standard
11 addba_req_flood Standard
40 office Custom
--------------------------------------------------------------------------------
表1-19 display wlan ips signature命令显示信息描述表
Signature规则 ID,1~32为内置Signature规则,33~64为自定义Signature规则 |
|
Signature规则名称 |
|
Signature规则类型 · Standard:表示内置Signature规则 · Custom:表示自定义Signature规则 |
# 显示Signature规则名称是cts_flood的详细信息。
[Sysname] display wlan ips signature signature-name cts_flood verbose
Standard Signature Information
--------------------------------------------------------------------------------
Signature Name : cts_flood
Signature ID : 9
Signature Type : Standard
Track Method : per-signature
Detect Threshold :
per-signature : 5000 pkts/period
per-mac : -NA-
Detect Period : 5 s
Action : report
Event Level : 2
Quiet Time : 900 s
Applied on Signature Policy
Signature Policy 1 : office
Precedence :1
---------------------------------------------------------------------------
# 显示Signature规则ID是40的自定义Signature规则的详细信息。
[Sysname] display wlan ips signature signature-id 40 verbose
Custom Signature Information
--------------------------------------------------------------------------------
Signature Name : office
Signature ID : 40
Signature Type : Custom
Track Method : per-signature and per-mac
Detect Threshold :
per-signature : 1000 pkts/period
per-mac : 1000 pkts/period
Detect Period : 60 s
Action : none
Event Level : -NA-
Quiet Time : 900 s
Sub Rule : 7
Match : Any
Frame Type : management
Frame Subtype : association-request
MAC :
Source Mac : ffff-ffff-ffff
Dest Mac : -NA-
Bssid : -NA-
Seq Number : > 100
SSID Length : 15 - 20
SSID : not include "H3C"
SSID Match Case : exact
Pattern : 2
Pattern Name Offset Mask Match FromPayload
pattern1 8 0xabcd > 0x9 Yes
pattern2 8 0xffff 0x15 - 0x20 No
Applied on Signature Policy : -NA-
---------------------------------------------------------------------------
表1-20 display wlan ips signature verbose命令显示信息描述表
Signature规则名称 |
|
系统指定的Signature ID,1~32为内置Signature规则,33~64为自定义Signature规则 |
|
Signature规则类型 · Standard:表示内置Signature规则 · Custom:表示自定义Signature规则 |
|
Signature规则的跟踪方式 · per-mac:基于每个MAC地址进行跟踪。 · per-signature:基于每个Signature规则进行跟踪。 · both:同时进行per-mac和per-signature方式跟踪 |
|
Signature规则的统计次数 · per-mac:当Signature规则中track-method配置为per-mac时的统计次数,取值范围为1~32000,单位为次。缺省情况下,自定义Signature规则的统计次数为1000次;内置Signature规则的统计次数根据具体的Signature规则而定 · per-signature:当Signature规则中track-method配置为per-signature时的统计次数,取值范围为1~32000,单位为次。缺省情况下,自定义Signature规则的统计次数为1000次;内置Signature规则的统计次数根据具体的Signature规则而定 |
|
Signature规则的统计周期,取值范围为1~3600,单位为秒。缺省情况下,自定义Signature规则的统计周期为60秒;内置Signature规则的统计周期根据具体的内置Signature规则而定 |
|
· Report:对于Signature规则匹配次数在检测周期内达到或超过统计次数门限的生成对应的Signature规则告警 · None:对于Signature规则匹配次数在检测周期内达到或超过统计次数门限的不进行任何处理 |
|
设置生成的Signature规则的告警级别,取值范围为0~7,数值越小,优先级越高 |
|
Signature规则的静默时间,取值范围为60~32000,单位为秒。缺省情况下,自定义Signature规则的静默时间为900秒;内置Signature规则的静默时间根据具体的Signature规则而定 |
|
· All |
|
· data:数据帧 · management:管理帧 · control:控制帧 |
|
对指定类型的MAC地址进行匹配 · Source Mac :源MAC地址 · Dest Mac:目的MAC地址 · Bssid:BSSID |
|
SSID长度 |
|
SSID需要匹配的字符串。匹配方式包括: · Include:包含配置的字符串 · not include:不包含配置的字符串 · equal:等于配置的字符串 · not equal:不等于配置的字符串 |
|
SSID是否按照字母的大小写匹配 · ignore:不需要按照字母的大小写匹配 · exact:需要按照字母的大小写匹配 |
|
SSID长度 · number1 – number2 :取值范围为number1到number2(包含number1和number2) · =:等于配置的长度 · >:大于配置的长度 · <:小于配置的长度 |
|
· Offset:开始匹配的报文位置,取值范围为0~2346 · Mask:用于模式匹配的掩码值 · Match:匹配的方式 · From Payload:进行匹配时指定模式匹配开始的报文起始位置为数据帧的帧主体 |
|
应用此signature的signature策略列表 |
2:系统级
policy-name:Signature策略名。
all:查询所有的Signature策略信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips signature-policy命令用来查询指定的或所有的Signature策略信息。
# 显示名为office的Signature Policy信息。
[Sysname] display wlan ips signature-policy policy default
Signature Policy Information
--------------------------------------------------------------------------------
Signature Policy Name : default
Applied on VSD :
VSD 0 : default
Include Signature Num : 11
ID SignatureName Type Precedence
36 test Custom 60
10 rts_flood Standard 20
1 deauth_flood Standard 1
2 broadcast_deauth_flood Standard 1
3 disassoc_flood Standard 1
4 broadcast_disassoc_flood Standard 1
5 eapol_logoff_flood Standard 1
6 eap_success_flood Standard 1
7 eap_failure_flood Standard 1
8 pspoll_flood Standard 1
9 cts_flood Standard 1
--------------------------------------------------------------------------------
表1-21 display wlan ips signature-policy命令显示信息描述表
Signature 策略名称 |
|
包含的signature规则数量 |
|
Signature规则ID,1~32为内置Signature规则,33~64为自定义Signature规则 |
|
Signature策略下绑定的Signature规则名称 |
|
Signature规则类型 · Standard:表示内置Signature规则 · Custom:表示自定义Signature规则 |
|
Signature规则优先级,取值范围为1~64,数值越大,优先级越高 |
【命令】
display wlan ips statistics sensor sensor-name malformed-counter
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
sensor-name:待显示畸形报文统计信息的sensor名字,为1~64个字符的字符串,不区分大小写。
【描述】
display wlan ips statistics sensor命令用来查看指定sensor上发现的畸形报文的统计计数。
【举例】
#显示名称为sensor1 的畸形报文统计计数。
[Sysname] display wlan ips statistics sensor sensor1 malformed-counter
Sensor name: sensor1
In the VSD: VSD1
Malformation-Specify Count
------------------------------------------------------------------------
invalid-ie-length : 15564
duplicated-ie : 44
redundant-ie : 899
invalid-pkt-length : 870
illegal-ibss-ess : 0
invalid-source-address : 0
overflow-eapol-key : 0
malformed-auth : 12
malformed-assoc-req : 15
malformed-ht-ie : 0
large-duration : 0
null-probe-resp : 0
invalid-deauth-code : 0
invalid-disassoc-code : 0
overflow-ssid : 1450
fata-jack : 1866
------------------------------------------------------------------------
表1-22 display wlan ips statistics sensor命令显示信息描述表
字段 |
描述 |
Sensor name |
Sensor名称 |
In the VSD |
该畸形报文检测策略所在的虚拟安全域 |
Malformation-Specify |
畸形报文检测策略,目前只支持以下16种畸形报文检测策略: · invalid-ie-length:IE长度非法检测 · duplicated-ie:重复IE检测 · redundant-ie:多余IE检测 · invalid-pkt-length:报文长度非法检测 · illegal-ibss-ess:IBSS和ESS置位异常检测 · invalid-source-address:Invalid-source-address检测 · overflow-eapol-key:Overflow-eapol-key检测 · malformed-auth:畸形Authentication帧检测 · malformed-assoc-req:畸形Association-request帧检测 · malformed-ht-ie:畸形的HT IE检测 · large-duration:Duration超大检测 · null-probe-resp :Null-probe-response检测 · invalid-deauth-code:Invalid-deauth-code检测 · invalid-disassoc-code:Invalid-disassoc-code检测 · overflow-ssid:SSID超长检测 · fata-jack:Fata-jack检测 |
Count |
各种畸形类型的畸形报文统计计数 |
display wlan ips statistics { sensor sensor-name } { device [ mac-address mac-address ] | channel [ channel-num ] } { total | recent } [ | { begin | exclude | include } regular-expression ]
2:系统级
sensor sensor-name:指定Sensor上报的报文统计信息。
device:按照无线设备统计的报文统计信息。
mac-address mac-address:指定MAC地址的的设备的报文统计信息。
channel:按照信道统计的报文统计信息,如果不指定channel-num参数,则默认显示所有信道的统计信息。
channel-num:指定信道的报文统计信息。
total:历史汇总的报文统计信息。
recent:最近一个统计周期内的报文统计信息。
display wlan ips statistics命令用于显示设备或信道的报文统计信息,可以查看历史汇总报文统计量或者最近时段的报文统计量。
# 显示名称为office_ap1的Sensor下,MAC地址为00fc-4a38-4fc5的无线设备的历史报文统计量。
[Sysname] display wlan ips statistics sensor office_ap1 device mac-address 00fc-4a38-4fc5
total
Sensor: office_ap1
WIPS Device Total Statistics
--------------------------------------------------------------------------------
Device: 00fc-4a38-4fc5 Channel:149
Transmitted Frames Statistics:
Total (Frames/Bytes) : 646/158163
Unicast (Frames/Bytes) : 118/26578
Broadcast/Multicast (Frames/Bytes) : 528/131585
Management : 610 Control : 0
Data : 36 Fragment : 0
Retry : 35 Beacon : 514
Probe Req : 0 Authentication : 0
Probe Resp : 96 Unicast Deauth : 0
Assoc req : 0 Broadcast Deauth : 0
Assoc Resp : 0 Unicast Disassoc : 0
RTS : 0 Broadcast Disassoc : 0
EAPOL Start : 0 EAP Success : 0
EAPOL Logoff : 0 EAP Failure : 0
Abnormal : 0
--------------------------------------------------------------------------------
Received Frames Statistics:
Total (Frames/Bytes) : 12/1862
Unicast (Frames/Bytes) : 12/1862
Management : 0 Control : 0
Data : 12 Fragment : 0
Retry : 8 Authentication : 0
Probe req : 0 Probe resp : 0
Assoc req : 0 Assoc resp : 0
Disassoc : 0 Deauth : 0
RTS : 0 CTS : 0
EAPOL start : 0 EAP success : 0
EAPOL logoff : 0 EAP Failure : 0
Abnormal : 0
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Device: 00fc-4a38-4fc5 Channel:153
Transmitted Frames Statistics:
Total (Frames/Bytes) : 1/106
Unicast (Frames/Bytes) : 1/106
Broadcast/Multicast (Frames/Bytes) : 0/0
Management : 0 Control : 0
Data : 1 Fragment : 0
Retry : 1 Beacon : 0
Probe Req : 0 Authentication : 0
Probe Resp : 0 Unicast Deauth : 0
Assoc req : 0 Broadcast Deauth : 0
Assoc Resp : 0 Unicast Disassoc : 0
RTS : 0 Broadcast Disassoc : 0
EAPOL Start : 0 EAP Success : 0
EAPOL Logoff : 0 EAP Failure : 0
Abnormal : 0
--------------------------------------------------------------------------------
Received Frames Statistics:
Total (Frames/Bytes) : 21/2875
Unicast (Frames/Bytes) : 21/2875
Management : 0 Control : 1
Data : 20 Fragment : 0
Retry : 12 Authentication : 0
Probe req : 0 Probe resp : 0
Assoc req : 0 Assoc resp : 0
Disassoc : 0 Deauth : 0
RTS : 0 CTS : 0
EAPOL start : 0 EAP success : 0
EAPOL logoff : 0 EAP Failure : 0
Abnormal : 0
--------------------------------------------------------------------------------
# 查询名称为ap3的Sensor的149信道在最近一个统计周期内的报文统计量
[Sysname] display wlan ips statistics sensor ap3 channel 149 recent
Sensor: ap3
WIPS Channel Recent Statistics
--------------------------------------------------------------------------------
Channel: 149
Total (Frames/Bytes) : 293/49008
Unicast (Frames/Bytes) : 114/11866
Broadcast/Multicast (Frames/Bytes) : 179/37142
Management : 185 Control : 0
Data : 108 Abnormal : 0
Fragment : 0 Retry : 56
Beacon : 115 RTS : 0
CTS : 0 Authentication : 0
Probe Resp : 19 Unicast Disassoc : 0
Probe Req : 51 Broadcast Disassoc : 0
Assoc Resp : 0 Unicast Deauth : 0
Assoc req : 0 Broadcast Deauth : 0
EAPOL Start : 0 EAP Success : 0
EAPOL Logoff : 0 EAP Failure : 0
--------------------------------------------------------------------------------
表1-23 display wlan ips statistics命令各字段的含义描述
Sensor的名称 |
|
无线设备的MAC地址 |
|
广播/组播报文及字节总数 |
|
Beancon帧总数 |
|
RTS帧总数 |
|
CTS帧总数 |
|
EAPOL Start报文总数 |
|
EAP Success报文总数 |
|
EAPOL Logoff报文总数 |
|
EAP Failure报文总数 |
|
display wlan ips static-trustoui [ oui-info | vendor ]
2:系统级
oui-info:静态信任OUI列表中指定的OUI。格式XXXXXX,16进制字符串,不区分大小写。
vendor:静态信任OUI列表中所有的厂商。
display wlan ips static-trustoui命令用来查看静态信任OUI列表中的指定OUI或者全部OUI信息。
缺省情况下,查看静态信任OUI列表中的所有的OUI和供应商。
需要注意的是,如果静态信任OUI列表中的OUI在WIPS系统OUI库(需使用命令import oui导入)中不存在,则该OUI对应的所属厂商显示为“-NA-”。
# 查看静态信任OUI列表中OUI为58-66-BA的信息
[Sysname] display wlan ips static-trustoui 5866ba
Trust OUI List
---------------------------------------------------------------------------
OUI Vendor
---------------------------------------------------------------------------
58-66-ba New H3C Technologies Co., Limited
---------------------------------------------------------------------------
# 查看静态信任OUI列表中所有的厂商信息
[Sysname]display wlan ips static-trustoui vendor
Total Number of Entries: 1
Trust OUI Vendor List
---------------------------------------------------------------------------
Vendor
---------------------------------------------------------------------------
h3c
---------------------------------------------------------------------------
# 查看静态信任OUI列表中的所有表项信息
[Sysname] display wlan ips static-trustoui
Trust OUI List
Total Number of Entries: 5
--------------------------------------------------------------------------------
OUI Vendor
--------------------------------------------------------------------------------
00-00-09 XEROX CORPORATION
58-66-ba New H3C Technologies Co., Limited
80-f6-2e New H3C Technologies Co., Limited
c4-ca-d9 New H3C Technologies Co., Limited
ff-ff-ff -NA-
--------------------------------------------------------------------------------
Vendor: 1
h3c
--------------------------------------------------------------------------------
表1-24 display wlan ips static-trustoui命令显示信息描述表
当前静态信任OUI列表中的表项总数 |
|
设备厂商,如果该OUI不在WIPS系统OUI库中,则对应的Vendor显示“-NA-” |
|
display wlan ips summary [ vsd vsd-name ] [ | { begin | exclude | include } regular-expression ]
2:系统级
vsd vsd-name:虚拟安全域的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips summary命令用来显示当前系统的WIPS状态或指定虚拟安全域的WIPS状态。
# 显示系统当前的WIPS状态。
[Sysname] display wlan ips summary
WIPS is enabled
WIPS's Running Time: 0 Days, 4 Hours, 9 Minutes
Max Sensor Number : 128
Used Sensor Number : 1
Blocklist-Action Block : Enable
Block-list Entry Number : 2
Trust-list Entry Number : 2
Hotspot-list Entry Number : 4
Countermeasure-list Entry Number: 3
Ignore-list Entry Number : 1
Trust OUI Entry Number : 5
Trust Vendor-OUI Entry Number : 2
Ados State : Disable
Total Number of Signatures : 11
Standard Signature : 10
Custom Signature : 1
Timer:
Inactivity Timer of AP : 300s
Inactivity Timer of Client : 600s
Aging Timer of AP and Client : 86400s
Statistic Period : 103s
Reclassification Period : 800s
Dynamic Trustlist Aging Period: 300s
Update Timer of Device : 20s
Total Number of Events: 214
Level-0: 0 Level-1: 4 Level-2: 14 Level-3: 0
Level-4: 70 Level-5: 126 Level-6: 0 Level-7: 0
--------------------------------------------------------------------------------
Virtual Security Domain Name : default
Configured Sensor Number : 1
Running Sensor Number : 0
Detection Information:
Detected Network Number : 0
AP: 0
Authorized : 0
Mis-Configured : 0
Rogue : 0
External : 0
Ad-hoc : 0
Potential-Authorized : 0
Potential-Rogue : 0
Potential-External : 0
Uncategorized : 0
STA: 0
Authorized : 0
Rogue : 0
Mis-Association : 0
Uncategorized : 0
Unassociated : 0
Total Number of Events: 39
--------------------------------------------------------------------------------
Virtual Security Domain Name : vsd_lab
Configured Sensor Number : 2
Running Sensor Number : 1
Detection Information:
Detected Network Number : 25
AP: 33
Authorized : 0
Mis-Configured : 0
Rogue : 2
External : 2
Ad-hoc : 0
Potential-Authorized : 0
Potential-Rogue : 0
Potential-External : 29
Uncategorized : 0
STA: 1
Authorized : 0
Rogue : 0
Mis-Association : 0
Uncategorized : 1
Unassociated : 0
Total Number of Events: 60
--------------------------------------------------------------------------------
Virtual Security Domain Name : vsd_office
Configured Sensor Number : 0
Running Sensor Number : 0
Detection Information:
Detected Network Number : 0
AP: 0
Authorized : 0
Mis-Configured : 0
Rogue : 0
External : 0
Ad-hoc : 0
Potential-Authorized : 0
Potential-Rogue : 0
Potential-External : 0
Uncategorized : 0
STA: 0
Authorized : 0
Rogue : 0
Mis-Association : 0
Uncategorized : 0
Unassociated : 0
Total Number of Events: 0
--------------------------------------------------------------------------------
表1-25 display wlan ips summary命令显示信息描述
WIPS功能已开启 |
|
WIPS功能未开启 |
|
WIPS功能运行时间 |
|
系统当前可支持的最大Sensor数量,与系统当前安装的License有关 |
|
· Enable:开启该功能 · Disable:关闭该功能 |
|
静态信任OUI列表中的OUI表项数目 |
|
静态信任OUI列表中的厂商表项数目 |
|
Ados功能状态 · Enable:开启该功能 · Disable:关闭该功能 |
|
配置的signature规则数量 |
|
内置signature规则数量 |
|
用户自定义的signature规则数量 |
|
WIPS的全局定时器信息 |
|
系统检测到的AP设备切换到inactive状态所需的时间 |
|
系统检测到的无线客户端切换到inactive状态所需的时间 |
|
系统中处于inactive状态的AP或无线客户端的老化时间 |
|
当前系统中或指定虚拟安全域中存在的WIPS告警事件的总数 |
|
Level-0级别的告警事件数量 |
|
Level-1级别的告警事件数量 |
|
Level-2级别的告警事件数量 |
|
Level-3级别的告警事件数量 |
|
Level-4级别的告警事件数量 |
|
Level-5级别的告警事件数量 |
|
Level-6级别的告警事件数量 |
|
Level-7级别的告警事件数量 |
|
虚拟安全域下检测到的AP的总数 |
|
Rogue AP数量 |
|
误关联Client的数量 |
|
未分类的设备(AP或Client) |
|
Unassociated |
虚拟安全域下检测到的未关联AP的Client数量 |
display wlan ips trustlist [ dynamic | mac-address mac-addr | static ] [ | { begin | exclude | include } regular-expression ]
2:系统级
dynamic:动态添加的信任设备列表的表项。
mac-address mac-addr:指定MAC地址的信任设备列表的表项。
static:静态配置的信任设备列表的表项。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips trustlist命令用来查看指定的或所有的WIPS信任设备列表。
# 显示所有的信任设备列表信息
[Sysname] display wlan ips trustlist
Total Number of Entries: 2
State: S = Static, D = Dynamic, S&D = Static & Dynamic
Trust List
-----------------------------------------------------------
MAC-Address Status
-----------------------------------------------------------
0001-0002-0003 S
0001-0002-0004 S&D
-----------------------------------------------------------
表1-26 display wlan ips trustlist命令显示信息描述
· S:表示静态配置的 · D:表示动态生成的 · S&D:表示该表项由静态和动态同时配置的 |
display wlan ips vsd-policy [ vsd vsd-name ] [ | { begin | exclude | include } regular-expression ]
2:系统级
vsd vsd-name:虚拟安全域的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ips vsd-policy命令用于查看指定的或所有的虚拟安全域的策略信息。
# 查看系统中所有虚拟安全域的策略信息
[Sysname]display wlan ips vsd-policy
Virtual Security Domain Policy
---------------------------------------------------------------------------
VSD Name : default
Attack Detect Policy : default
Signature Policy : default
Countermeasure Policy : default
AP Classification Rules : -NA-
---------------------------------------------------------------------------
VSD Name : office
Attack Detect Policy : policy1
Signature Policy : default
Countermeasure Policy : officecmp
AP Classification Rules:
Priority 15 : auth_ap
Priority 10 : invalid_ap
Priority 0 : default_rule
---------------------------------------------------------------------------
VSD Name : lab
Attack Detect Policy : policy2
Signature Policy : sigpolicy1
Countermeasure Policy : default
AP Classification Rules:
Priority 13 : invalid_ap
Priority 0 : default_rule
---------------------------------------------------------------------------
表1-27 display wlan ips vsd-policy 命令显示信息描述表
虚拟安全域中应用的所有AP分类规则,按照优先级从高至低的顺序显示 |
|
应用的AP分类规则的名称,n为该规则的优先级 |
【命令】
export wips-cfg-file oui filename
【视图】
WIPS视图
【缺省级别】
2:系统级
【参数】
file-name:导出OUI配置文件名称,1~32个字符的字符串,不区分大小写,且不能包含如下字符:\ / : * ? “ < > |。
【描述】
export wips-cfg-file oui命令用来导出WIPS系统OUI库中的OUI信息到指定的配置文件。
需要注意的是:
导出文件格式如下:
000FE2 (base 16) New H3C Technologies Co., Ltd.
不支持同时导出多个OUI配置文件。
缺省情况下,不会将WIPS系统OUI库中的OUI信息导出。
【举例】
# 将WIPS系统中所有的热点条目导出到文件hot中。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] export wips-cfg-file oui OUIInfo
【命令】
hotspot ssid-name
undo hotspot [ ssid-name ]
【视图】
WIPS视图
【缺省级别】
2:系统级
【参数】
ssid-name:热点的SSID名称。为1~32个字符的字符串,可以包含字母、数字及下划线,区分大小写,可以包含空格。
【描述】
hotspot命令用来添加指定名称的热点到WIPS的热点列表。undo hotspot命令用来从WIPS热点列表中删除指定或所有的热点。
缺省情况下,系统没有配置热点列表。
【举例】
# 添加名称为kfc的热点到WIPS的热点列表。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] hotspot kfc
ignorelist mac-address
undo ignorelist { mac-address | all }
WIPS视图
2:系统级
mac-address:将要从可以忽略WIPS告警信息的设备列表中添加或删除的无线设备的MAC地址。
all:删除可以忽略WIPS告警信息的设备列表的所有表项。
ignorelist命令用来添加指定无线设备的MAC地址到可以忽略WIPS告警信息的设备列表。undo ignorelist命令用来删除可以忽略WIPS告警信息的设备列表中指定MAC地址的或者所有的无线设备。
对于可以忽略WIPS告警信息的设备列表中的无线设备,WIPS会监测其是否存在,但是不会对它的任何行为产生告警。
缺省情况下,系统没有配置可忽略WIPS告警信息的设备。
# 向可忽略WIPS告警信息的设备列表中添加MAC地址为000f-e45d-fa00的无线设备。
[Sysname] wlan ips
[Sysname-wlan-ips] ignorelist 000f-e45d-fa00
【命令】
import wips-cfg-file oui [ filename ]
【视图】
WIPS视图
【缺省级别】
2:系统级
【参数】
file-name:导入OUI配置文件名称,1~32个字符的字符串,不区分大小写,且不能包含如下字符:\ / : * ? “ < > |。
【描述】
import wips-cfg-file oui命令用来从系统内置或用户指定的配置文件中导入OUI信息到WIPS系统OUI库。
需要注意的是:
用户指定的配置文件需自行从网络下载正规文件,文件格式如下:
38-22-D6 (hex) H3C Technologies Co., Limited
3822D6 (base 16) H3C Technologies Co., Limited
00-00-00 (hex) XEROX CORPORATION
000000 (base 16) XEROX CORPORATION
M/S 105-50C
800 PHILLIPS ROAD
WEBSTER NY 14580
UNITED STATES
· 多次导入同一个OUI时,新的OUI信息会覆盖老的OUI信息。
· 不支持同时导入多个OUI配置文件
缺省情况下,WIPS系统启动时,自动从系统内置的配置文件中导入OUI信息到WIPS系统OUI库中。
【举例】
# 导入名为oui.txt的用户自定义oui配置文件。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] import wips-cfg-file oui oui.txt
【命令】
malformed-detect-policy policy-name
undo malformed-detect-policy policy-name
【视图】
WIPS视图
【缺省级别】
2:系统级
【参数】
policy-name:畸形报文检测策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
【描述】
malformed-detect-policy命令用来创建新的畸形报文检测策略并进入畸形报文检测策略视图,对于已经创建的畸形报文检测策略,则直接进入相应名称的畸形报文检测策略视图。
undo malformed-detect-policy命令用来删除指定名称的畸形报文检测策略。
缺省情况下,系统存在一个名称为default的畸形报文检测策略。
需要注意的是,畸形报文检测策略default是WIPS系统自动创建,不能被用户重复创建或删除。
【举例】
#创建一个名称为all的畸形报文检测策略,并进入对应的畸形检测策略视图。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy all
【命令】
malformed-detect-policy policy-name
undo malformed-detect-policy
【视图】
虚拟安全域视图
【缺省级别】
2:系统级
【参数】
policy-name:畸形报文检测策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
【描述】
malformed-detect-policy命令用来配置当前虚拟安全域使用的畸形报文检测策略。
undo malformed-detect-policy命令用来恢复缺省的畸形报文检测策略。
缺省情况下,虚拟安全域使用名称为default的畸形报文检测策略。
需要注意的是,一个虚拟安全域下只能配置一个畸形报文检测策略。
【举例】
# 配置虚拟安全域office使用名称为all的畸形报文检测策略。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] virtual-security-domain office
[Sysname-wlan-ips-vsd-office] malformed-detect-policy all
manual-classify ap { authorized-ap | external-ap | misconfigured-ap | rogue-ap } mac-address &<1-2>
undo manual-classify { mac-address &<1-2> | all }
WIPS视图
2:系统级
authorized-ap :WIPS的设备类型为授权AP。
external-ap :WIPS的设备类型为外部AP。
misconfigured-ap :WIPS的设备类型为配置错误的AP。
rogue-ap :WIPS的设备类型为Rogue AP。
mac-address&<1-2>:指定AP的MAC地址,格式为H-H-H。在配置时,用户可以省去MAC地址中每段开头的“0”,例如输入“f-e2-1”即表示输入的MAC地址为“000f-00e2-0001”。&<1-2>表示前面的参数最多可以输入2次。
all:撤销为所有AP指定的WIPS设备类型。
manual-classify ap命令用来配置指定MAC地址的AP的WIPS设备类型。undo manual-classify命令用来取消指定MAC地址的AP的WIPS设备类型。
缺省情况下,不配置AP的WIPS设备类型。
需要注意的是,如果在WIPS视图和虚拟安全域视图下都配置了指定MAC地址的AP的设备类型,则以虚拟安全域视图下的配置为准。
# 配置MAC地址为000f-00e2-0001的AP的WIPS设备类型为authorized-ap。
[Sysname] wlan ips
[Sysname-wlan-ips]manual-classify ap authorized-ap f-e2-1
manual-classify ap { authorized-ap | external-ap | misconfigured-ap | rogue-ap } mac-address &<1-2>
undo manual-classify { mac-address &<1-2> | all }
2:系统级
authorized-ap :WIPS的设备类型为授权AP。
external-ap :WIPS的设备类型为外部AP。
misconfigured-ap :WIPS的设备类型为配置错误的AP。
rogue-ap :WIPS的设备类型为Rogue AP。
mac-address&<1-2>:指定AP的MAC地址,格式为H-H-H。在配置时,用户可以省去MAC地址中每段开头的“0”,例如输入“f-e2-1”即表示输入的MAC地址为“000f-00e2-0001”。&<1-2>表示前面的参数最多可以输入2次。
all:撤销为所有AP指定的WIPS设备类型。
manual-classify ap命令用来配置虚拟安全域中指定MAC地址的AP的WIPS设备类型。undo manual-classify命令用来取消指定虚拟安全域中MAC地址的AP的WIPS设备类型。
缺省情况下,不配置虚拟安全域中AP的WIPS设备类型。
需要注意的是,如果在WIPS视图和虚拟安全域视图下都配置了指定MAC地址的AP的设备类型,则以虚拟安全域视图下的配置为准。
# 设置虚拟安全域office中AP 000f-00e2-0001的WIPS设备类型为authorized-ap。
[Sysname] wlan ips
[Sysname-wlan-ips] virtual-security-domain office
[Sysname-wlan-ips-vsd-office]manual-classify ap authorized-ap f-e2-1
自定义AP分类规则视图
2:系统级
match all命令用来设置自定义AP分类规则下的匹配条件是逻辑与的关系,即AP必须符合所有的匹配条件才匹配上此规则。undo match all命令用来恢复默认的匹配关系。
缺省情况下,自定义AP分类规则的匹配条件是逻辑或的关系,即AP只要符合任何一条匹配条件就匹配上此规则。
# 指定名称为invalid_ap的自定义AP分类规则的匹配关系为逻辑与。
[Sysname] wlan ips
[Sysname-wlan-ips] ap-classification-rule invalid_ap
[Sysname-wlan-ips-class-invalid_ap]match all
SIG视图
2:系统级
match all命令用来配置Signature规则的匹配子规则的匹配关系为逻辑与,即报文必须符合Signature规则的所有匹配子规则才匹配上该Signature规则。undo match all命令用来恢复默认的匹配关系。
缺省情况下,自定义Signature规则的匹配子规则的匹配关系是逻辑或,即报文只要符合Signature规则的任何一条子规则就匹配上该Signature规则。内置Signature规则的匹配子规则的匹配关系为逻辑与。
需要注意的是,Signature规则绑定在Signature策略下后,其属性match不能被修改,必须先解除绑定关系后才能修改。
# 配置自定义Signature规则office的匹配子规则的匹配关系为逻辑与。
[Sysname] wlan ips
[Sysname-wlan-ips] signature office
[Sysname-wlan-ips-sig-office] match all
permit-channel channel-list
undo permit-channel { channel-list | all }
WIPS视图
2:系统级
channel-list:信道列表,要从允许使用的合法信道列表中添加或删除的一个或多个信道,取值范围为1~224,一次最多能够配置10个合法信道。
all:删除所有已配置的合法信道。
permit-channel命令用来配置无线环境中合法的无线信道列表,不在此列表范围内的无线信道均被WIPS视为非法信道。undo permit-channel命令用来删除已配置的合法信道。
需要注意的是,permit-channel命令需要与detect prohibited-channel命令配合使用。配置了detect prohibited-channel命令后,通过permit-channel命令指定的合法无线信道才会生效,WIPS一旦发现无线环境中有设备使用非法信道进行通信就会产生告警。
# 指定1、6、11、149、153、157为无线环境中允许使用的合法信道。
[Sysname] wlan ips
[Sysname-wlan-ips] permit-channel 1 6 11 149 153 157
SIG视图
2:系统级
time:Signature规则的静默时间,取值范围为60~32000,单位为秒。
quiet-time命令用来配置Signature规则中的静默时间。进入静默状态的Signature规则在静默时长内不再进行Signature规则匹配。
undo quiet-time命令用来恢复缺省情况。
缺省情况下,自定义Signature规则的静默时间为900秒;内置Signature规则的静默时间根据具体的Signature规则而定。
· Signature规则绑定在Signature策略下后,其属性quiet-time不能被修改,必须先解除绑定关系后才能修改。
· 重复配置Signature规则中的静默时间时,后面的配置会覆盖之前的配置。
· 只有当Signature规则匹配次数在检测周期内达到或超过detect-threshold命令设定的统计次数后才会进入静默状态。
# 配置自定义Signature规则office中的静默时间为600秒。
[Sysname] wlan ips
[Sysname-wlan-ips] signature office
[Sysname-wlan-ips-sig-office] quiet-time 600
【命令】
quiet-time time
undo quiet-time
【视图】
畸形报文检测策略视图
【缺省级别】
2:系统级
【参数】
time:再次检测到畸形报文后等待的静默周期,取值范围为5~604800,单位为秒。
【描述】
quiet-time命令用来配置当sensor设备检测到由同一MAC地址发出的同一种畸形报文时,上报到AC的静默周期。undo quiet-time命令用来恢复缺省情况。
缺省情况下,上报畸形报文类型的静默周期为600秒。
【举例】
# 配置畸形报文检测策略all的静默周期为120秒。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] malformed-detect-policy all
[Sysname-wlan-ips-mdctp-all]quiet-time 120
reset wlan ips event { all | causer-mac causer-mac | id event-id | level event-level | | source-mac source-mac | type event-type }
2:系统级
all:WIPS系统生成的所有事件。causer-mac causer-mac:引起的告警事件的无线设备的MAC地址。
id event-id:告警事件的编号,取值范围为1~1200。
level event-level:告警事件的告警级别,取值范围由低到高为0~7。
source-mac source-mac:生成的告警事件的WIPS设备的MAC地址。
type event-type:告警事件的告警类型。
reset wlan ips event命令用来删除WIPS系统生成的指定的或所有的告警事件。
# 删除ID为10的告警事件。
<Sysname> reset wlan ips event id 10
【命令】
reset wlan ips statistics sensor [ sensor-name ] malformed-counter
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
sensor [ sensor-name ]:待删除畸形报文统计信息的sensor名字,为1~64个字符的字符串,不区分大小写。
【描述】
reset wlan ips statistics sensor 命令用来删除WIPS系统中指定的Sensor上的畸形报文统计信息。
【举例】
# 删除sensor1上的畸形报文统计信息。
<Sysname> reset wlan ips statistics sensor sensor1 malformed-counter
undo sensor ap-name-list
2:系统级
ap-name-list:AP的名称列表,表示方式为:ap-name-list = { ap-name }&<1-10>。其中ap-name为AP的名字,为1~64个字符的字符串,不区分大小写,&<1-10>表示前面的参数最多可以输入10次。
sensor命令用来将指定的已配置为sensor的AP添加到当前的虚拟安全域中。undo sensor命令用来从当前的虚拟安全域中删除指定的sensor。
缺省情况下,sensor都加入到default域中。
· 该命令不检查指定的AP是否存在。多次执行该命令,会将新的AP直接添加到虚拟安全域中,直至允许的最大值。
· 如果指定的AP没有配置为sensor,则该命令对此AP不生效。
· 如果配置为sensor的AP没有通过此命令行指定归属的虚拟安全域,则该AP属于系统默认的虚拟安全域default。
· 在默认虚拟安全域default下,不可进行删除指定sensor的操作。
# 指定ap1、ap2属于虚拟安全域office,ap3、ap4属于虚拟安全域lab。
[Sysname] wlan ips
[Sysname-wlan-ips] virtual-security-domain office
[Sysname-wlan-ips-vsd-office]sensor ap1 ap2
[Sysname-wlan-ips-vsd-office]quit
[Sysname-wlan-ips] virtual-security-domain lab
[Sysname-wlan-ips-vsd-lab]sensor ap3 ap4
severity-level level-value
自定义AP分类规则视图
2:系统级
level-value:匹配AP设备增加的威胁等级,威胁等级的取值范围从低到高为0~100。
severity-level命令用来设置匹配上该自定义AP分类规则的AP设备的威胁等级。undo severity-level命令用来删除设置的威胁等级。
缺省情况下,自定义AP分类规则没有设置匹配AP的威胁等级。
自定义AP分类规则的威胁等级只有在规则中没有设置匹配设备的归属类别时才生效。如果一个AP同时匹配上多个配置了威胁等级的AP分类规则,系统会将这些AP分类规则的威胁等级值相加求和,最大值为100,求和结果超过100的按照100记。
# 创建名称为invalid_ap的自定义AP分类规则,并配置规则的匹配设备的威胁等级为40。
[Sysname] wlan ips
[Sysname-wlan-ips] ap-classification-rule invalid_ap
[Sysname-wlan-ips-class-invalid_ap]severity-level 40
【命令】
signature { rts_flood | cts_flood | pspoll_flood | eap_failure_flood | eap_success_flood | eapol_logoff_flood | broadcast_disassoc_flood | disassoc_flood | broadcast_deauth_flood | deauth_flood | addba_req_flood | signature-name } [ signature-id id-value ]
undo signatrue signatrue-name
【视图】
WIPS视图
【缺省级别】
2:系统级
【参数】
rts_flood:内置signatrue规则,用于重新配置RST泛洪攻击检测参数。
cts_flood: 内置signatrue规则,用于重新配置CTS泛洪攻击检测参数。
pspoll_flood: 内置signatrue规则,用于重新配置PS-Poll泛洪攻击检测参数。
eap_failure_flood: 内置signatrue规则,用于重新配置EAP-Failure泛洪攻击检测参数。
eap_success_flood: 内置signatrue规则,用于重新配置EAP-Success泛洪攻击检测参数。
eapol_logoff_flood: 内置signatrue规则,用于重新配置EAPOL-Logoff泛洪攻击检测参数。
broadcast_disassoc_flood: 内置signatrue规则,用于重新配置广播解除关联泛洪攻击检测参数。
disassoc_flood: 内置signatrue规则,用于重新配置单播解除关联泛洪攻击检测参数。
broadcast_deauth_flood: 内置signatrue规则,用于重新配置广播解除关联泛洪攻击检测参数。
deauth_flood: 内置signatrue规则,用于重新配置单播解除鉴权泛洪攻击检测参数。
addba_req_flood:内置signatrue规则,用于重新配置ADDBA-Request泛洪攻击检测参数。
signature-name:自定义Signature规则名称,1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
signature-id id-value:Signature规则ID,取值范围为1~64。内置Signature规则的ID取值范围为1~32,由系统默认指定,不可以修改;自定义Signature规则的ID取值范围为33~64,只有在该自定义Signature规则被创建时才可以指定。如果创建自定义Signature规则时不指定该参数,系统会自动分配一个Signature ID给该自定义Signature规则。Signature规则在指定其Signature规则ID后不可修改该属性。
【描述】
signature 命令用来创建自定义Signature规则并进入自定义Signature规则视图,对于已经创建的Signature规则,则直接进入对应的Signature规则视图。undo signature 命令用来删除指定名称的Signature规则。
需要注意的是:
· Signature规则需要绑定到Signature策略下,之后再随Signature策略绑定到虚拟安全域下。Signature规则绑定在Signature策略下后,其属性不能修改,必须先解除绑定关系后才能修改。
· 每个自定义Signature规则最多可配置32条子规则sub-rule,其中包括5条基本匹配子规则和27条自定义匹配子规则。
· 不允许删除内置Signature规则。
· 不允许配置内置Signature规则的sub-rule和track-method;且不能通过action命令修改内置Signature规则的动作类型,不能通过match all命令修改内置Signature规则匹配条件的逻辑与关系。
缺省情况下,WIPS具有内置Signature规则。
【举例】
# 创建一条名称为office的自定义Signature规则,并指定Signature ID为48。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips]signature office signature-id 48
[Sysname-wlan-ips-sig-office]
# 创建一条名称为assoc_rsp_flood的Signature规则,并指定Signature ID为50。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips]signature assoc_rsp_flood signature-id 50
[Sysname-wlan-ips-sig-assoc_rsp_flood]
signature { signature-name name-string | signature-id signature-list } [ precedence level ]
undo signature { name name-string | signature-id signature-list }
Signature策略视图
2:系统级
signature-name name-string:Signature规则名称,1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
signature-id:按照Signature规则ID方式进行。
signature-list:需要绑定到当前Signature策略下的Signature规则列表。表示方式为signature-list ={ signature-id1 [ to signature-id2 ] }&<1-10>,signature-id取值范围为1~64,signature-id2的值要大于或等于signature-id1的值,&<1-10>表示前面的参数最多可以重复输入10次。该Signature规则必须是系统上已创建的,否则,不存在的Signature规则会绑定失败。
precedence level:Signature规则的匹配优先级,取值范围为1~64,数值越大,优先级越高。缺省情况下,Signature规则的匹配优先级为1。
signature命令用来在Signature策略中绑定指定名称或ID的Signature规则。
undo signature命令用来删除Signature策略中指定名称或ID的Signature规则。
缺省情况下,Signature策略下没有配置Signature规则。
· Signature规则不能直接绑定在虚拟安全域下,只能绑定在Signature策略中后随Signature策略绑定到虚拟安全域下。
· Signature策略下的Signature规则列表是按照优先级排序的,优先级高的在列表头,相同优先级的按照Signature规则的ID从小到大依次排序。
· 当使用signature-list方式进行Signature规则绑定Signature策略时,系统将会按照Signature ID从小到大进行Signature规则绑定Signature策略的操作(即使用signature-list方式时,Signature ID最小的Signature规则在此次操作的signature-list中最优先匹配)。例如,输入signature signature-id 10 to 45 2 to 4 12 to 12 34 to 36 56 to 64 54 precedence 14系统将按照signature signature-id 2 to 4 10 to 45 54 56 to 64 precedence 14,其中Signature ID是2的Signature规则在此次绑定中最优先匹配。
· 重复配置Signature规则的匹配优先级时,新的配置将覆盖旧的配置并即时生效。
· 使用signature-list绑定Signature规则时,若最大值小于最小值,则本次命令不能执行。例如,signature signature-id 10 to 45 8 to 4 precedence 14 虽然10 to 45有效,但8 to 4为非法,所以本次命令不执行(Signature规则ID为10到45的同样不能绑定到Signature策略)。
· 未配置匹配子规则属性的Signature规则不能绑定到Signature策略。
# 在名称为office的Signature策略中开启自定义Signature规则office1的检测,匹配优先级为21。
[Sysname] wlan ips
[Sysname-wlan-ips] signature-policy office
[Sysname-wlan-ips-sigpolicy-office] signature signature-name office1 precedence 21
undo signature-policy policy-name
WIPS视图
2:系统级
policy-name:Signature策略名,1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
signature-policy命令用来创建新的Signature策略并进入该Signature策略视图,对于已经创建的Signature策略,则直接进入对应的Signature策略视图。
undo signature-policy命令用来删除指定名称的Signature策略。
缺省情况下,虚拟安全域使用名称为default的Signature策略。
· 系统最多支持配置16条Signature策略(包括默认的Signature策略default在内)。
· 不允许删除已经被应用到某个虚拟安全域下的Signature策略。
· 不允许创建或删除默认的Signature策略default。
# 创建一个名为office的Signature策略。
[Sysname] wlan ips
[Sysname-wlan-ips] signature-policy office
[Sysname-wlan-ips-sigpolicy-office]
2:系统级
policy-name:Signature策略名,1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
signature-policy命令用来将指定的Signature策略绑定在该虚拟安全域下。
undo signature-policy命令用来解除虚拟安全域下绑定的Signature策略。
缺省情况下,虚拟安全域使用名称为default的Signature策略。
# 将Signature策略office绑定在虚拟安全域floor1下。
[Sysname] wlan ips
[Sysname-wlan-ips] virtual-security-domain floor1
[Sysname-wlan-ips-vsd-whr]signature-policy office
static-blocklist mac-address
undo static-blocklist { mac-address | all }
WIPS视图
2:系统级
mac-address:将要从静态禁用设备列表中添加或删除的无线设备的MAC地址。
all:删除静态禁用设备列表中的所有表项。
static-blocklist命令用来添加指定无线设备的MAC地址到静态禁用设备列表。undo static-blocklist命令用来删除静态禁用设备列表中指定MAC地址的或者所有的无线设备。
# 向静态禁用设备列表中添加MAC地址为0016-6f9d-612e的无线设备。
[Sysname] wlan ips
[Sysname-wlan-ips] static-blocklist 0016-6f9d-612e
static-trustlist mac-address
undo static-trustlist { mac-address | all }
WIPS视图
2:系统级
mac-address:将要从静态信任设备列表中添加或删除的无线设备的MAC地址。
all:删除静态信任设备列表中的所有表项。
static-trustlist命令用来添加指定无线设备的MAC地址到静态信任设备列表。undo static-trustlist命令用来删除静态信任设备列表中指定MAC地址的或者所有的无线设备。
# 向静态信任设备列表中添加MAC地址为000f-e45d-fa00的无线设备。
[Sysname] wlan ips
[Sysname-wlan-ips] static-trustlist 000f-e45d-fa00
static-trustoui { oui-info | vendor vendor-name }
undo static-trustoui { oui-info | vendor vendor-name | all }
WIPS视图
2:系统级
oui-info:将要从静态信任OUI列表中添加或删除的OUI。格式XXXXXX,16进制字符串,不区分大小写。
vendor vendor-name:将要从静态信任OUI列表中添加或删除的厂商,文本格式,长度取值范围为1~64,不区分大小写。
all:删除静态信任OUI列表中的所有表项(包括所有的OUI和厂商)。
static-trustoui命令用来添加指定的OUI或指定的厂商到静态信任OUI列表。undo static-trustoui命令用来删除静态信任OUI列表中指定的OUI或指定的厂商或者所有表项(包括所有的OUI和厂商)。
· 配置指定OUI时,最多可配置512个。
· 配置指定Vendor时,最多可配置64个。
· 配置指定Vendor时,若WIPS系统OUI库中不存在该Vendor对应的OUI信息,则该配置不生效。
# 向静态OUI信任设备列表中添加指定的OUI 00-0f-e4。
[Sysname] wlan ips
[Sysname-wlan-ips] static-trustoui 000fe4
# 向静态信任设备列表中添加指定的厂商H3C。
[Sysname] wlan ips
[Sysname-wlan-ips] static-trustoui vendor h3c
sub-rule { frame-type { data | management [ frame-subtype { association-request | association-response | authentication | beacon | deauthentication | disassociation | probe-request } ] | control } | mac { source-mac mac-address | dest-mac mac-address | bssid mac-address } | ssid { [ case-sensitive ] [ not ] { equal | include } string } | ssid-length { equal length-value | greater-than min-value | less-than max-value | between min-value max-value } | seq-number { equal seq-value | greater-than min-value | less-than max-value | between min-value max-value } | pattern pattern-id id [ pattern-name name ] offset offset-value mask hex-value { equal value | greater-than min-value | less-than max-value | between min-value max-value } [ from-payload ] }
undo sub-rule { frame-type | mac | ssid | ssid-length | seq-number | pattern pattern-id id }
SIG视图
2:系统级
frame-type:匹配帧的类型。
data:数据帧。
management:管理帧。
frame-subtype:匹配帧的子类型。
association-request:Association Request帧。
association-response:Association Response帧。
authentication:Authentication帧。
beacon:Beacon帧。
deauthentication:De-authentication帧。
disassociation:Disassociation帧。
probe-request:Probe Request帧。
control:控制帧。
mac:对MAC地址进行匹配。
source-mac mac-address:对源MAC地址进行匹配,格式FFFF-FFFF-FFFF,不区分大小写。
dest-mac mac-address:对目的MAC地址进行匹配,格式FFFF-FFFF-FFFF,不区分大小写。
bssid mac-address:对BSSID进行匹配,格式FFFF-FFFF-FFFF,不区分大小写。
ssid:对SSID进行匹配,字符串长度取值范围为1~32。
case-sensitive:与SSID匹配时需要按照字母的大小写匹配。
not:不等于或不包括。
equal:匹配项与条件相等。
include:匹配项包含条件。
string:与SSID进行匹配的字符串,字符串长度取值范围1~32。
ssid-length:对SSID长度进行匹配。
length-value:与SSID长度进行匹配的数字,取值范围为0~32。
greater-than:匹配项大于条件值,不包含条件值。
less-than:匹配项小于条件值,不包含条件值。
between:匹配项介于条件最小值与最大值之间,包含最小值与最大值。
min-value:匹配条件的最小值,取值范围与匹配项的类型相关。
max-value:匹配条件的最大值,取值范围与匹配项的类型相关。
seq-number:对无线报文的序列号进行匹配。
seq-value:与序列号进行匹配的值,取值范围为0~4095。
pattern:指定对报文任意位置进行匹配。
pattern-id:指定pattern模式ID。
id:选择为partten模式进行匹配时,partten的ID。
pattern-name:指定pattern模式名称。
name:选择为partten模式进行匹配时,partten的名称。
offset:指定模式匹配开始的报文位置。
offset-value:指定offset的偏移位置,取值范围为0~2346。
mask:指定用于模式匹配的掩码值。
hex-value:两字节的十六进制的用于模式匹配的掩码值,取值范围为0~ffff。
from-payload:进行匹配时指定模式匹配开始的报文起始位置为数据帧的帧主体。
sub-rule命令用来配置自定义Signature规则的匹配子规则。
undo sub-rule命令用来删除指定的匹配子规则。
缺省情况下,自定义Signature规则不存在匹配子规则。
· Signature规则绑定在Signature策略下后,其属性sub-rule不能被修改,必须先解除绑定关系后才能修改。
· 内置Signature规则的匹配子规则不可配置。
· 每个自定义Signature规则最多可配置32条子规则,其中包括5条基本匹配子规则(frame-type、mac、ssid、ssid-length和seq-num)和27条自定义匹配子规则。重复配置自定义Signature规则中的匹配子规则时,后面的配置会覆盖之前的配置。
· 对SSID的匹配,可以配置等于/不等于、包含/不包含指定的字符串,并且可以指定是否关心字符串匹配的大小写。
· undo sub-rule pattern命令中若未指定pattern-id参数,则将删除所有pattern匹配子规则。
· 配置between参数时,包含最大值和最小值,且最大值应大于最小值。
# 配置自定义Signature规则office的匹配规则为:
· SSID中不包含H3C字样,区分大小写;
· SSID长度在15~20之间,包含15和20;
· 无线报文的序列号大于100,不包含100;
· 从数据帧的帧主体的第8位与掩码0xabcd相与大于9;
· 报文第8位与掩码0xffff相与在0x15~0x20之间,包含0x15和0x20。
[Sysname] wlan ips
[Sysname-wlan-ips] signature office
[Sysname-wlan-ips-sig-office] sub-rule frame-type management frame-subtype association-request
[Sysname-wlan-ips-sig-office] sub-rule mac source-mac 0000-0000-0001
[Sysname-wlan-ips-sig-office] sub-rule ssid case-sensitive not include H3C
[Sysname-wlan-ips-sig-office] sub-rule ssid-length between 15 20
[Sysname-wlan-ips-sig-office] sub-rule seq-number greater-than 100
[Sysname-wlan-ips-sig-office] sub-rule pattern pattern-id 1 offset 8 mask abcd greater-than 9 from-payload
[Sysname-wlan-ips-sig-office] sub-rule pattern pattern-id 2 pattern-name pattern2 offset 8 mask ffff between 15 20
sub-rule { ssid [ case-sensitive ] [ not ] { equal | include } string | security { equal | include } { clear | wep | wpa | wpa2 }* | authentication { equal | include } { 802.1x | psk | other | none } | { rssi | duration | client-on-ap | discovered-ap } { greater-than min-value | less-than max-value | between min-value max-value } | oui { oui-info | vendor vendor-name } }
undo sub-rule { ssid | security | authentication | rssi | duration | clients-on-ap | discovered-ap | oui }
自定义AP分类规则视图
2:系统级
ssid:对SSID进行匹配。
case-sensitive:与SSID匹配时区分字母大小写。
not:不等于或不包括。
equal:匹配项与条件相等。
include:匹配项包含条件。
string:与SSID进行匹配的字符串。
security:对AP使用的数据安全方式进行匹配。
clear:AP采用明文方式接入无线网络。
wep:AP采用WEP方式接入无线网络。
wpa:AP采用WPA方式接入无线网络。
wpa2:AP采用WPA2方式接入无线网络。
authentication:对AP使用无线服务的安全认证方式进行匹配。
802.1x:AP采用802.1X认证接入无线网络。
psk:AP采用PSK认证接入无线网络。
other:AP采用除802.1X和PSK之外的其他认证方式接入无线网络。
none: AP采用无认证方式接入无线网络。
rssi:对AP信号的RSSI值做匹配,匹配条件的取值范围为0~90。
duration:对AP的运行时间进行匹配,匹配条件的取值范围为0~2592000,单位为秒。
clients-on-ap:对AP上关联的无线客户端数量进行匹配,匹配条件的取值范围为0~128。
discovered-ap:对当前Sensor已发现的AP数量进行匹配,匹配条件的取值范围为0~128。
greater-than:匹配项大于等于条件值。
less-than:匹配项小于条件值。
between:匹配项介于条件最小值与最大值之间,包含最小值与最大值。
min-value:匹配条件的最小值,取值不能等于上限值。
max-value:匹配条件的最大值,取值不能等于下限值。
oui:对AP的OUI进行匹配。
oui-info:匹配指定的OUI。格式XXXXXX,16进制字符串,不区分大小写。
vendor vendor-name:匹配指定的厂商,文本格式,长度取值范围为1~64,不区分大小写。
sub-rule命令用来设置自定义AP分类规则的匹配条件。undo sub-rule命令用来删除设置的匹配条件。
缺省情况下,自定义AP分类规则中不包含匹配条件,所有的AP都可以匹配上该规则。
对SSID的匹配,可以配置等于/不等于、包含/不包含指定的字符串,并且可以指定是否关心字符串匹配的大小写,默认对SSID进行匹配时对字母大小写不区分。
对于数据安全的匹配,可以配置等于/不等于、包含/不包含指定的一种或几种数据加密或安全方式。
还可以对AP的信号强度RSSI、运行时间、关联的客户端数量以及Sensor发现的AP数量等做匹配,可选的匹配方式有三种:大于最小值、小于最大值或在某个区间内。
对OUI的匹配,可以配置是否匹配特定的OUI信息或是否属于某个厂商。
# 配置指定名称为invalid_ap的自定义AP分类规则,符合以下任意一条即表示匹配上该规则:
· SSID中不包含H3C字样,不区分大小写;
· 使用明文方式或WEP方式接入无线网络;
· 信号强度太小,RSSI大于80;
· AP运行时间小于2天;
· 关联的客户端数量大于10个;
· Sensor已发现的AP数量超过6个。
· OUI厂商信息为h3c
[Sysname] wlan ips
[Sysname-wlan-ips] ap-classification-rule invalid_ap
[Sysname-wlan-ips-class-invalid_ap] sub-rule ssid not include H3C
[Sysname-wlan-ips-class-invalid_ap] sub-rule security include clear wep
[Sysname-wlan-ips-class-invalid_ap] sub-rule rssi greater-than 80
[Sysname-wlan-ips-class-invalid_ap] sub-rule duration less-than 172800
[Sysname-wlan-ips-class-invalid_ap] sub-rule clients-on-ap greater-than 10
[Sysname-wlan-ips-class-invalid_ap] sub-rule discovered-ap greater-than 6
[Sysname-wlan-ips-class-invalid_ap] sub-rule oui vendor h3c
timer ap-inactivity time
WIPS视图
2:系统级
time:系统检测到的AP设备切换到inactive状态的时间,单位为秒,取值范围为60~600。
timer ap-inactivity命令用来设置系统检测到的AP设备从active状态切换到inactive状态的时间。undo timer ap-inactivity命令用来恢复缺省值。
缺省情况下,AP设备从active状态切换到inactive状态的时间为300秒。
当系统检测到某个AP在指定的时间内没有发送报文,则认为该AP处于inactive状态。
# 设置AP设备切换到inactive状态的时间为120秒。
[Sysname] wlan ips
[Sysname-wlan-ips] timer ap-inactivity 120
WIPS视图
2:系统级
time:系统检测到已关联的无线客户端切换到inactive状态所需的时间,单位为秒,取值范围为120~1200。
timer client-inactivity命令用来设置系统检测到的无线客户端从active状态切换到inactive状态所需的时间。undo timer client-inactivity命令用来恢复缺省值。
缺省情况下,已关联的无线客户端从active状态切换到inactive状态所需的时间为600秒。
当系统检测到某个已关联的无线客户端在指定的时间内没有发送报文,则认为该客户端处于inactive状态。
# 设置已关联的无线客户端切换到inactive状态的时间为300秒。
[Sysname] wlan ips
[Sysname-wlan-ips] timer client-inactivity 300
timer device-aging time
WIPS视图
2:系统级
time:WIPS系统中处于inactive状态的AP或无线客户端的老化时间,单位为秒,取值范围为60~2592000。
timer device-aging命令用来设置处于inactive状态的AP或无线客户端从AC上老化删除的时间。undo timer device-aging命令用来恢复缺省的老化删除时间。
# 设置WIPS系统中处于inactive状态的无线设备的老化时间为7天(604800秒)。
[Sysname] wlan ips
[Sysname-wlan-ips]timer device-aging 604800
timer device-update time
WIPS视图
2:系统级
time:WIPS系统中无线设备信息更新的时间,单位为秒,取值范围为10~30。
timer device-update命令用来设置无线设备信息更新的时间。undo timer device-update命令用来恢复缺省的时间。
# 设置无线设备信息更新的时间为30秒。
[Sysname] wlan ips
[Sysname-wlan-ips]timer device-update 30
timer dynamic-trustlist-aging time
undo timer dynamic-trustlist-aging
WIPS视图
2:系统级
time:WIPS信任设备列表中动态添加的无线设备的老化时间,取值范围为60~86400,单位为秒。
timer dynamic-trustlist-aging命令用来设置WIPS信任设备列表中动态添加的无线设备的老化时间。
undo timer dynamic-trustlist-aging 命令用来恢复缺省情况。
缺省情况下,WIPS信任设备列表中动态添加的无线设备的老化时间为300秒。
# 设置WIPS信任设备列表中动态添加的无线设备的老化时间为360秒。
[Sysname] wlan ips
[Sysname-wlan-ips]timer dynamic-trustlist-aging 360
【命令】
timer mesh-link-aging time-value
undo timer mesh-link-aging
【视图】
WIPS视图
【缺省级别】
2:系统级
【参数】
mesh-link-aging time-value:WIPS系统中无线Mesh链路的老化时间,单位为秒,取值范围为60~86400,缺省取值为600秒。
【描述】
timer mesh-link-aging命令用来设置无线Mesh链路的老化时间。
undo timer mesh-link-aging命令用来恢复缺省的老化时间。
缺省情况下,无线Mesh链路老化时间为600秒。
【举例】
# 设置无线Mesh链路的老化时间为1小时(3600秒)。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] timer mesh-link-aging 3600
WIPS视图
2:系统级
time:WIPS系统对检测到的无线设备进行重分类的时间间隔,单位为秒,取值范围为10~3600。
timer reclassification命令用来设置WIPS系统对检测到的AP及无线客户端进行重分类的时间间隔。undo timer reclassification命令用来恢复缺省的重分类时间间隔。
缺省情况下,WIPS系统对检测到的AP及无线客户端进行重分类时间间隔为600秒。
# 设置WIPS系统对检测到的AP及无线客户端进行重分类的时间间隔为300秒。
[Sysname] wlan ips
[Sysname-wlan-ips]timer reclassification 300
WIPS视图
2:系统级
time:WIPS系统中报文流量统计周期的时长,单位为秒,取值范围为60~86400。
timer statistic-period命令用来设置报文流量统计周期的时长。undo timer statistic-period命令用来恢复缺省的周期时长。
# 设置报文流量统计的一个周期为1小时(3600秒)。
[Sysname] wlan ips
[Sysname-wlan-ips]timer statistic-period 3600
track-method { both | per-mac | per-signature }
SIG视图
2:系统级
both:同时进行per-mac和per-signature方式跟踪。
per-mac:在当前国家码支持的所有信道上,配置根据MAC地址进行Signature规则的匹配跟踪。
per-signature:在当前国家码支持的所有信道上,配置不区分MAC地址进行Signature规则的匹配跟踪。
track-method命令用来配置Signature规则的匹配跟踪方式。
缺省情况下,系统默认的自定义Signature规则的匹配跟踪方式为both,内置Signature规则的匹配跟踪方式根据具体的Signature规则而定。
· Signature规则绑定在Signature策略下后,其属性track-method不能被修改,必须先解除绑定关系后才能修改。
· 重复配置Signature规则的track-method时,后面的配置会覆盖之前的配置。
· 不允许修改内置Signature规则的track-method属性。
· 当track-method配置为both时,在detect-threshold命令中需要为per-mac和per-signature分别配置统计次数,否则将使用系统默认统计次数。
# 配置自定义Signature规则office的跟踪方式为per-mac。
[Sysname] wlan ips
[Sysname-wlan-ips] signature office
[Sysname-wlan-ips-sig-office] track-method per-mac
# 更改自定义Signature规则office的跟踪方式为per-signature。
[Sysname] wlan ips
[Sysname-wlan-ips] signature office
[Sysname-wlan-ips-sig-office] track-method per-signature
【命令】
undo wips-cfg-file oui
【视图】
WIPS视图
【缺省级别】
2:系统级
【参数】
无
【描述】
undo wips-cfg-file oui命令用来删除WIPS系统OUI库中所有的配置的OUI信息。
缺省情况下,不删除WIPS系统OUI库的OUI信息。
【举例】
# 删除WIPS系统中的oui配置信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] undo wips-cfg-file oui
virtual-security-domain vsd-name
undo virtual-security-domain vsd-name
WIPS视图
2:系统级
vsd-name:虚拟安全域的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。
virtual-security-domain命令用来创建新的虚拟安全域并进入虚拟安全域视图,对于已经创建的虚拟安全域,则直接进入对应的虚拟安全域视图。undo virtual-security-domain命令用来删除指定的虚拟安全域。
缺省条件下,WIPS系统使用名称为default的虚拟安全域作为缺省虚拟安全域,虚拟安全域default不能被用户创建或删除。
# 创建一个名称为office的虚拟安全域。
[Sysname] wlan ips
[Sysname-wlan-ips] virtual-security-domain office
[Sysname-wlan-ips-vsd-office]
wips detect mode { access-first | access-only [ scan-time time-value ] | detect-first | detect-only | middle }
AP射频视图
2:系统级
access-first:带内Sensor的接入优先策略。
access-only:带内Sensor的只接入策略。配置带内Sensor工作在 access-only模式时,仅扫描工作信道。
scan-time time-value: 带内Sensor的只接入策略下工作信道的扫描时长, 取值范围为60~200,单位为毫秒,缺省值为60。
detect-first:带内Sensor的扫描优先策略。
detect-only:带外Sensor策略。
middle:带内Sensor的均衡策略。
wips detect mode命令用来在当前射频上开启WIPS功能并配置Sensor的工作模式。undo wips detect mode命令用来关闭当前射频上的WIPS功能。
缺省情况下, AP的射频上没有配置Sensor模式。
需要注意的是,如果AP的射频配置为带外Sensor,则该射频上不需要配置无线服务。
# 在AP1的Radio2上开启WIPS功能并采用带外Sensor模式。
[Sysname] wlan ap ap1 model WA3628i-AGN
[Sysname-wlan-ap-ap1] radio 2
[Sysname-wlan-ap-ap1-radio-2]wips detect mode detect-only
WIPS视图
2:系统级
wips enable命令用来开启WIPS功能。undo wips enable命令用来关闭WIPS功能。
缺省情况下,WIPS功能处于关闭状态。
# 开启WIPS功能。
[Sysname] wlan ips
[Sysname-wlan-ips]wips enable
wipslogfile { event | malformed-packet } size value
undo wipslogfile { event | malformed-packet } size
WIPS视图
2:系统级
event:记录 。
malformed-packet:记录错误报文的日志。
size value:某类型日志的大小,单位为MB。该参数的取值范围与设备型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
wipslogfile命令用来设置系统日志的总大小。undo wipslogfile命令用来恢复缺省值。
缺省情况下,系统日志的总大小与设备型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
当系统检测到日志的大小超过限值,则删除对应类型的最早生成的日志。
# 设置记录系统事件日志的总大小为5MB。
[Sysname] wlan ips
[Sysname-wlan-ips] wipslogfile event size 5
【命令】
wipslogfile enable
undo wipslogfile enable
【视图】
WIPS视图
【缺省级别】
2:系统级
【描述】
wipslogfile enable命令用来开启WIPS日志自动存储功能。undo wipslogfile enable令用来关闭WIPS日志自动存储功能。
缺省情况下,WIPS日志自动存储功能处于关闭状态。
【举例】
# 开启WIPS日志自动存储功能。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] wipslogfile enable
【命令】
wireless-probe client-aging time-value
undo wireless-probe client-aging
【视图】
WIPS视图
【缺省级别】
2:系统级
【参数】
time-value:AP上探针功能探测到的无线客户端老化时间,取值时间为1~3600,单位为秒,缺省值为300秒。
【描述】
wireless-probe client-aging命令用来配置无线探针功能客户端老化时间。
undo wireless-probe client-aging命令用来恢复缺省情况。
缺省情况下,无线探针功能客户端老化时间为300秒。
【举例】
#配置无线探针功能客户端老化时间为600s。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] wireless-probe client-aging 600
【命令】
wireless-probe enable
undo wireless-probe enable
【视图】
AP模板视图
【缺省级别】
2:系统级
【参数】
无
【描述】
wireless-probe enable命令用来开启无线探针功能。undo wireless-probe enable命令用来关闭无线探针功能。
缺省情况下,无线探针功能处于关闭状态。
【举例】
# 开启AP1的无线探针功能。
<Sysname> system-view
[Sysname] wlan ap ap1 model WA4320i-ACN
[Sysname-wlan-ap-ap1] wireless-probe enable
【命令】
wireless-probe ignore { ap | rssi rssi-value }
undo wireless-probe ignore { ap | rssi }
【视图】
WIPS视图
【缺省级别】
2:系统级
【参数】
ap:忽略检测到的AP信息。
rssi rssi-value:忽略检测到的信号强度低于配置的RSSI值的无线设备信息,取值范围为1~60。
【描述】
wireless-probe ignore命令用来配置无线探针忽略检测到的无线设备信息。undo wireless-probe ignore命令用来恢复缺省情况。
缺省情况下,没有配置无线探针忽略检测到的无线设备信息。
【举例】
# 配置无线探针忽略检测到的AP。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] wireless-probe ignore ap
# 配置无线探针忽略检测到的信号强度低于10的无线设备信息。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] wireless-probe ignore rssi 10
【命令】
wireless-probe location longitude longitude-value latitude latitude-value
undo wireless-probe location
【视图】
AP模板视图
【缺省级别】
2:系统级
【参数】
longitude longitude-value:配置探针AP坐标的经度,格式为XXX-XX-XX.X,XXX的取值范围为0~180,XX的取值范围为0~60,.X的取值为.e或者.w,不区分大小写。
latitude latitude-value:配置探针AP坐标的纬度,格式为XXX-XX-XX.X,XXX的取值范围为0~90,XX的取值范围为0~60,.X的取值为.s或者.n,不区分大小写。
【描述】
wireless-probe location 命令用来指定探针AP经纬度信息。undo wireless-probe location命令用来删除探针AP的经纬度信息。
缺省情况下,没有配置探针AP的经纬度信息。
【举例】
# 配置探针AP的坐标为东经123°40’40’’,北纬80°30‘30’’。
<Sysname> system-view
[Sysname] wlan ap sensor model WA4320i-ACN
[Sysname-wlan-ap-sensor] wireless-probe location longitude 123-40-40.e latitude 80-30-30.n
【命令】
wireless-probe server ip ip-address port port-number [ interval interval ] preshared-key [ cipher | simple ] key-string
undo wireless-probe server
【视图】
WIPS视图
AP模板视图
【缺省级别】
2:系统级
【参数】
ip ip-address:AP上报无线设备信息的服务器IP地址。
port port-number:AP上报无线设备信息的服务器端口号,取值范围为1~65534。
interval interval:AP上报无线设备信息到服务器的周期,取值时间为1~600,单位为秒,缺省取值为30秒。
cipher:表示以密文方式设置共享密钥。
simple:表示以明文方式设置共享密钥。
key-string:设置的明文密钥或密文密钥,区分大小写。明文密钥字符串为8~63个字符的字符串,密文密钥为41~117个字符的字符串。
【描述】
wireless-probe server命令用来在配置上报无线设备信息的服务器。undo wireless-probe sever命令用来恢复缺省情况。AP模板视图下的配置优先级高于WIPS视图下的配置。
缺省情况下,没有配置上报无线设备信息的服务器。
【举例】
# 在WIPS视图下配置上报无线设备信息的服务器,指定服务器IP地址为8.3.1.2,端口号为5060,无线设备信息上报周期为60秒,密钥为明文的12345678。
<Sysname> system-view
[Sysname] wlan ips
[Sysname-wlan-ips] wireless-probe server ip 8.3.1.2 port 5060 interval 60 preshared-key simple 12345678
# 在AP1上配置上报无线设备信息的服务器,指定服务器IP地址为8.3.1.2,端口号为5060,无线设备信息上报周期为60秒,密钥为明文的12345678。
<Sysname> system-view
[Sysname] wlan ap ap1 model WA4320i-ACN
[Sysname-wlan-ap-ap1] wireless-probe server ip 8.3.1.2 port 5060 interval 60 preshared-key simple 12345678
【命令】
wireless-probe timezone { add | minus } timevalue
undo wireless-probe timezone
【视图】
AP模板视图
【缺省级别】
2:系统级
【参数】
add:配置探针AP与AC的时区差为正。
minus:配置探针AP与AC的时区差为负。
timevalue:配置探针AP与AC的时区差,格式为hh:mm:ss。
【描述】
wireless-probe timezone命令用来设置探针AP与AC的时区差。undo wireless-probe timezone命令用来删除探针AP与AC的时区差。
缺省情况下,没有配置探针AP与AC的时区差。
【举例】
# 配置探针AP与AC的时区差,探针AP的时间为AC的时间上减去8小时。
<Sysname> system-view
[Sysname] wlan ap sensor model WA4320i-ACN
[Sysname-wlan-ap-sensor] wireless-probe timezone minus 08:00:00
2:系统级
wlan ips命令用来进入WLAN IPS视图。
# 进入WLAN IPS视图。
[Sysname] wlan ips
[Sysname-wlan-ips]
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!