• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08-WLAN安全命令参考

目录

05-WAPI命令

本章节下载 05-WAPI命令  (157.89 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Command/Command_Manual/H3C_CR(R5420)-6W100/08/201912/1254825_30005_0.htm

05-WAPI命令


1 WAPI

1.1  WAPI配置命令

1.1.1  display wapi statistics

display wapi statistics命令用来显示WAPI的统计信息。

【命令】

display wapi statistics [ ap ap-name [ radio radio-id ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ap ap-name:显示指定AP的WAPI统计信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。若不指定本参数,则表示显示所有AP的WAPI统计信息。

radio radio-id:显示指定Radio的WAPI统计信息。radio-id表示Radio编号,取值范围与AP型号有关。若不指定本参数,则表示显示指定AP的所有Radio的WAPI统计信息。

【举例】

# 显示所有AP的WAPI统计信息。

<Sysname> display wapi statistics

 AP name: AP1      Radio ID: 2      SSID: wapi

   BSSID: 487a-da52-d4f0

   Signature errors: 0

   HMAC errors: 0

   Authentication failures: 0

   Discarded packets: 0

   Overtime errors: 27

   Format errors: 0

   Certificate verification failures: 3

   Unicast negotiation failures: 0

   Multicast negotiation failures: 0

 

   Received WAI packets: 18

      Authentication access requests: 8

      Certificate authentication responses: 2

      Unicast key negotiation responses: 2

      Multicast key responses: 6

      Correct packets: 18

      Wrong packets: 0

 

   Sent WAI packets: 28

      Authentication activation packets: 8

      Certificate authentication requests: 8

      Authentication access responses: 2

      Unicast key negotiation requests: 2

      Unicast key negotiation confirmation packets: 2

      Multicast key announcements: 6

表1-1 display wapi statistics命令显示信息描述表

字段

描述

AP name

客户端关联AP的名称

Radio ID

客户端关联的Radio ID

SSID

客户端关联的SSID

BSSID

基本服务集标识符

Signature errors

WAI报文签名验证失败次数

HMAC errors

WAI报文中错误消息认证码数量

Authentication failures

WAI认证失败次数

Discarded packets

被丢弃的WAI报文数

Overtime errors

WAI报文超时重传次数

Format errors

WAI报文格式错误数

Certificate verification failures

WAI证书认证失败次数

Unicast negotiation failures

WAI单播密钥协商失败次数

Multicast negotiation failures

WAI组播密钥协商失败次数

Received WAI packets

设备收到的WAI报文总数

Authentication access request

设备收到的接入认证请求报文数

Certificate authentication response

设备收到的证书认证响应报文数

Unicast key negotiation response

设备收到的单播密钥协商响应报文数

Multicast key response

设备收到的组播密钥响应报文数

Correct packets

设备收到的正确的WAI报文数

Wrong packets

设备收到的错误的WAI报文数

Sent WAI packets

设备发送的WAI报文总数

Authentication active

设备发送的认证激活报文数

Certificate authentication request

设备发送的证书认证请求报文数

Authentication access response

设备发送的接入认证响应报文数

Unicast key negotiation request

设备发送的单播密钥协商请求报文数

Unicast key negotiation confirm

设备发送的单播密钥协商确认报文数

Multicast key announce

设备发送的组播密钥通告报文数

 

【相关命令】

·              reset wapi statistics

1.1.2  display wapi user

display wapi user命令用来显示WAPI用户的信息。

【命令】

display wapi user [ ap ap-name [ radio radio-id ] | user-mac mac-address ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ap ap-name:显示指定AP的WAPI用户信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。

radio radio-id:显示指定Radio的WAPI用户信息。radio-id表示Radio编号,取值范围与AP型号有关。

user-mac mac-address:显示指定MAC地址的WAPI用户信息。mac-address表示用户的MAC地址,格式为H-H-H。

【使用指导】

若未指定任何参数,则显示所有的WAPI用户信息。

【举例】

# 显示所有的WAPI用户信息。

<Sysname> display wapi user

Total number of users: 1

 

AP name                                   : ap1

Radio ID                                  : 2

SSID                                      : wapi

BSSID                                     : 487a-da52-d4f0

MAC address                               : 54dc-1d2d-fb20

VLAN                                      : 1

Authentication method                     : PSK

Current state                             : Online

    Authentication state                  : Idle

    Unicast key negotiation state         : Established

    Multicast key negotiation state       : Established

    Authorization state                   : Success

    Accounting state                      : Success

Uptime                                    : 01:18:26

表1-2 display wapi user命令显示信息描述表

字段

描述

AP name

客户端关联AP的名称

Radio ID

客户端关联的Radio ID

SSID

客户端关联的SSID

BSSID

基本服务集标识符

MAC address

无线客户端的MAC地址

VLAN

无线客户端所属的VLAN

Authentication method

用户的认证方式:

·          PSK:预共享密钥认证方式

·          Certificate:证书认证方式

Current state

用户的当前状态:

·          Init:初始状态

·          Auth:认证状态

·          USK:单播密钥协商状态

·          MSK:组播密钥\站间密钥通告状态

·          Author:授权状态

·          Online:在线状态

·          Deactive:不活跃状态

Authentication state

用户的证书认证状态:

·          Idle:初始状态

·          Request:接入认证请求状态

·          Response:证书认证响应状态

·          Authenticated:已认证状态

Unicast key negotiation state state

用户的单播密钥协商状态:

·          Idle:初始状态

·          Negotiating:协商请求状态

·          Established:已完成状态

Multicast key negotiation state

用户的组播密钥协商状态:

·          Idle:初始状态

·          Negotiating:密钥通告状态

·          Established:已完成状态

Authorization state

用户的授权状态:

·          Idle:初始状态

·          Waiting:等待状态

·          Success:成功状态

·          Fail:失败状态

·          Timeout:超时状态

Accounting state

用户的计费状态:

·          Idle:初始状态

·          Waiting等待状态:

·          Success:成功状态

·          Fail:失败状态

·          Timeout:超时状态

Online time

用户的在线时长,格式为hh:mm:ss

 

1.1.3  reset wapi statistics

reset wapi statistics命令用来清除WAPI的统计信息。

【命令】

reset wapi statistics [ ap ap-name [ radio radio-id ] ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

ap ap-name:清除指定AP的WAPI统计信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。若不指定本参数,则表示清除所有AP的WAPI统计信息。

radio radio-id:显示指定Radio的WAPI统计信息。radio-id表示Radio编号,取值范围与AP型号有关。若不指定本参数,则表示显示指定AP的所有Radio的WAPI统计信息。

【举例】

# 清除所有WAPI的统计信息。

<Sysname> reset wapi statistics

【相关命令】

·              display wapi statistics

1.1.4  wapi authentication-method

wapi authentication-method命令用来配置WAPI的认证方式。

undo wapi authentication-method命令用来恢复缺省情况。

【命令】

wapi authentication-method { certificate | certificate-or-psk | psk }

undo wapi authentication-method

【缺省情况】

WAPI采用证书认证方式。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

certificate:采用证书认证方式。

certificate-or-psk:采用证书认证方式或预共享密钥认证方式。

psk:采用预共享密钥认证方式。

【举例】

# 配置WAPI采用证书认证方式。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi authentication-method certificate

# 配置WAPI采用证书认证或预共享密钥认证方式。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi authentication-method certificate

# 配置WAPI采用预共享密钥认证方式。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi authentication-method certificate

【相关命令】

·              wapi psk

1.1.5  wapi authentication-server ip

wapi authentication-server ip命令用来配置认证服务器的IP地址。

undo wapi authentication-server ip命令用来恢复缺省情况。

【命令】

wapi authentication-server ip ip-address

undo wapi authentication-server ip

【缺省情况】

未配置认证服务器的IP地址。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ip-address:认证服务器的IP地址。

【使用指导】

当WAPI采用证书认证方式时,设备会与认证服务器交互验证证书。

一个无线服务模板下只能配置一个认证服务器的IP地址,多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置认证服务器的IP地址为10.10.1.1。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi authentication-server ip 10.10.1.1

1.1.6  wapi bk lifetime

wapi bk lifetime命令用来配置基密钥生存周期。

undo wapi bk lifetime命令用来恢复缺省情况。

【命令】

wapi bk lifetime time

undo wapi bk lifetime

【缺省情况】

BK生存周期为43200秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time:基密钥生存周期,取值范围为180~604800,单位为秒。

【使用指导】

基密钥具有生命周期,当其生命周期结束时需要进行更新,即重新进行证书认证过程,生成新的基密钥。要进行基密钥更新,必须保证基密钥更新功能处于开启状态。

在单播密钥更新功能处于开启状态时,基密钥更新完成后,单播密钥也会进行更新,而不受单播密钥生存周期的影响,当单播密钥更新完成后基密钥才会重新开始计算生存周期。

【举例】

# 配置基密钥生存周期为1000秒。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi bk lifetime 1000

【相关命令】

·              wapi bk rekey enable

·              wapi usk rekey enable

·              wapi usk lifetime

1.1.7  wapi bk-rekey enable

wapi bk-rekey enable命令用来开启基密钥更新功能。

undo wapi bk-rekey enable命令用来关闭基密钥更新功能。

【命令】

wapi bk-rekey enable

undo wapi bk-rekey enable

【缺省情况】

基密钥更新功能处于开启状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

基密钥具有生命周期,当其生命周期结束时需要进行更新,即重新进行证书认证过程,生成新的基密钥。要进行基密钥更新,必须保证基密钥更新功能处于开启状态。

【举例】

# 开启基密钥更新功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi bk rekey enable

【相关命令】

·              wapi bk lifetime

1.1.8  wapi certificate domain

wapi certificate domain命令用来配置证书所属的PKI域和证书序列号。

undo wapi certificate domain命令用来恢复缺省情况。

【命令】

wapi certificate domain domain-name serial serial-number

undo wapi certificate domain

【缺省情况】

未配置证书所属的PKI域和证书序列号。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

domain-name:PKI域名称,为1~31个字符的字符串,不区分大小写,不能包含“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

serial serial-number:证书的序列号,为1~127个字符的字符串,区分大小写。

【使用指导】

指定证书所属的PKI域,用于获取对应PKI域的相关策略;指定证书序列号,用于查找和获取认证服务器上的证书。

一个无线服务模板下只能配置一个PKI域和证书序列号,多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置证书所属的PKI域为abc,证书序列号为def。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi certificate domain abc serial def

1.1.9  wapi domain

wapi domain命令用来配置WAPI用户使用指定的ISP域进行AAA认证。

undo wapi domain命令用来恢复缺省情况。

【命令】

wapi domain domain-name

undo wapi domain

【缺省情况】

未配置WAPI用户使用的ISP域,即不对用户进行AAA认证。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP域的名称,为1~255个字符的字符串,不区分大小写。不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。

【使用指导】

请先通过domain命令创建ISP域,然后再通过本命令引用创建的ISP域,关于domain命令的详细介绍,请参见“安全命令参考”中的“AAA”。

目前,当ISP域里面配置了认证、授权和计费方法后,仅计费方法生效。

【举例】

# WAPI用户使用ISP域abc进行AAA认证。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi domain abc

1.1.10  wapi enable

wapi enable命令用来开启WAPI认证功能。

undo wapi enable命令用来关闭WAPI认证功能。

【命令】

wapi enable

undo wapi enable

【缺省情况】

WAPI认证功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

请在开启WAPI认证功能前,先关闭无线服务模板。

【举例】

# 开启WAPI认证功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi enable

1.1.11  wapi msk-rekey client-offline enable

wapi msk-rekey client-offline enable命令用来开启用户下线触发组播密钥更新功能。

undo wapi msk-rekey client-offline enable命令用来关闭用户下线触发组播密钥更新功能。

【命令】

wapi msk-rekey client-offline enable

undo wapi msk-rekey client-offline enable

【缺省情况】

用户下线触发组播密钥更新功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

当开启用户下线触发组播密钥更新功能之后,只要有一个用户下线,就将触发组播密钥更新,这样可以防止密钥的泄漏。

为了保证用户下线触发组播密钥更新功能生效,请保证首先开启了组播密钥更新功能。

【举例】

# 开启用户下线触发组播密钥更新功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi msk-rekey enable

[Sysname-wlan-st-service1] wapi msk-rekey client-offline enable

【相关命令】

·              wapi msk-rekey enable

·              wapi msk-rekey method

1.1.12  wapi msk-rekey enable

wapi msk-rekey enable命令用来开启组播密钥更新功能。

undo wapi msk-rekey enable命令用来关闭组播密钥更新功能。

【命令】

wapi msk-rekey enable

undo wapi msk-rekey enable

【缺省情况】

组播密钥更新功能处于开启状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

组播密钥具有生命周期,当其生命周期结束时需要更新组播密钥。要进行组播密钥更新,必须保证组播密钥更新功能处于开启状态。

【举例】

# 开启组播密钥更新功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi msk-rekey enable

【相关命令】

·              wapi msk-rekey client-offline enable

·              wapi msk-rekey method

1.1.13  wapi msk-rekey method

wapi msk-rekey method命令用来配置组播密钥更新触发方式

undo wapi msk-rekey method命令用来恢复缺省情况。

【命令】

wapi msk-rekey method { packet-based [ packet ] | time-based [ interval ] }

undo wapi msk-rekey method

【缺省情况】

组播密钥更新触发方式为时间间隔。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

packet-based:表示由流量触发组播密钥更新。

packet:触发组播密钥更新的报文数量,取值范围为5000~4294967295,单位为千帧(1000帧),缺省值为10000千帧。

time-based:表示定期触发组播密钥更新。

interval:触发组播密钥更新的时间间隔,取值范围为180~604800,单位为秒,缺省值为86400秒。

【使用指导】

为了保证本命令生效,请保证首先开启了组播密钥更新功能。

由流量触发组播密钥更新和定期触发组播密钥更新不能同时配置,多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置组播密钥更新触发方式为流量触发,触发组播密钥更新的报文数量为20000千帧。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi msk-rekey enable

[Sysname-wlan-st-service1] wapi msk-rekey method pack-based 20000

【相关命令】

·              wapi msk-rekey enable

·              wapi msk-rekey client-offline enable

1.1.14  wapi psk

wapi psk命令用来配置WAPI预共享密钥。

undo wapi psk命令用来恢复缺省情况。

【命令】

wapi psk { cipher | simple } { hex | string } key

undo wapi psk

【缺省情况】

未配置WAPI预共享密钥。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

cipher:以密文方式设置预共享密钥。

simple:以明文方式设置预共享密钥,该密钥将以密文形式存储。

hex:以十六进制方式设置预共享密钥。

string:以字符串方式设置预共享密钥。

key:字符串格式的明文密钥长度为1~16,密文密钥的长度为1~53,区分大小写;十六进制格式的明文密钥长度为2~32,不区分大小写;密文密钥的长度为2~88,区分大小写。

【使用指导】

由于部分终端不支持8位以下明文字符串密码,所以配置明文字符串密码时,建议配置8位或8位以上。

【举例】

# 以明文方式配置字符串格式的预共享密钥123456。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi psk simple string 123456

# 以密文方式配置字符串格式的预共享密钥123456。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi psk cipher string 123456

# 以明文方式配置十六进制格式的预共享密钥123456。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi psk simple hex 123456

# 以密文文方式配置十六进制格式的预共享密钥为123456。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi psk cipher hex 123456

【相关命令】

·              wapi authentication-method

1.1.15  wapi usk lifetime

wapi usk lifetime命令用来配置单播密钥的生存周期。

undo wapi usk lifetime命令用来恢复缺省情况。

【命令】

wapi usk lifetime time

undo wapi usk lifetime

【缺省情况】

单播密钥的生存周期为86400秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time:单播密钥的生存周期,取值范围为180~604800,单位为秒。

【使用指导】

单播密钥具有生命周期,当其生命周期结束时需要进行更新,即重新进行单播密钥协商。要进行单播密钥更新,必须保证单播密钥更新功能处于开启状态。

在单播密钥更新功能处于开启状态时,基密钥更新完成后,单播密钥也会进行更新,而不受单播密钥生存周期的影响。

【举例】

# 配置单播密钥的生存周期为1000秒。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi usk lifetime 1000

【相关命令】

·              wapi usk rekey enable

1.1.16  wapi usk-rekey enable

wapi usk-rekey enable命令用来开启单播密钥更新功能。

undo wapi usk-rekey enable命令用来关闭单播密钥更新功能。

【命令】

wapi usk-rekey enable

undo wapi usk-rekey enable

【缺省情况】

单播密钥更新功能处于开启状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

单播密钥具有生命周期,当其生命周期结束时需要进行更新,即重新进行单播密钥协商。要进行单播密钥更新,必须保证单播密钥更新功能处于开启状态。

【举例】

# 开启单播密钥更新功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] wapi usk rekey enable

【相关命令】

·              wapi usk lifetime

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们