02-WLAN命令参考

11-WAPI命令

本章节下载  (152.85 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Command/Command_Manual/H3C_CR(E3703P61_R2509P61_R3709P61)-6W108/02/201707/1012738_30005_0.htm

11-WAPI命令


1 WAPI

说明

WAPI配置命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

1.1  WAPI配置命令

1.1.1  display wapi statistics

【命令】

display wapi statistics [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

interface-type interface-number:查看指定接口上WAPI的统计信息,接口类型只能是WLAN-DBSS或WLAN-ESS。如果不指定该参数,将显示所有接口上WAPI的统计信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wapi statistics命令用来查看接口上WAPI的统计信息。

【举例】

# 查看所有接口上WAPI的统计信息。

<Sysname> display wapi statistics

WAI statistics:

   Signature errors: 0

   HMAC errors: 0

   Authentication failures: 0

   Discarded packets: 0

   Overtime errors: 27

   Format errors: 0

   Certificate handshake failures: 3

   Unicast handshake failures: 0

   Multicast handshake failures: 0

 

   Received WAI packets: 18

      Authentication access request: 8

      Certificate authentication response: 2

      Unicast key negotiation response: 2

      Multicast key response: 6

      Correct packets: 18

      Wrong packets: 0

 

   Sent WAI packets: 28

      Authentication active: 8

      Certificate authentication request: 8

      Authentication access response: 2

      Unicast key negotiation request: 2

      Unicast key negotiation confirm: 2

      Multicast key announce: 6

表1-1 display wapi statistics命令显示信息描述表

字段

描述

Signature errors

WAI分组验证错误签名数

HMAC errors

WAI分组消息鉴别码错误校验数

Authentication failures

WAI鉴别失败次数

Discarded packets

被丢弃的WAI分组数

Overtime errors

WAI分组超时次数

Format errors

WAI分组格式错误数

Certificate handshake failures

WAI证书鉴别失败次数

Unicast handshake failures

WAI单播密钥协商失败次数

Multicast handshake failures

WAI组播密钥协商失败次数

Received WAI packets

收到的WAI分组总数

Authentication access request

收到的接入鉴别请求分组数

Certificate authentication response

收到的证书鉴别响应分组数

Unicast key negotiation response

收到的单播密钥协商响应分组数

Multicast key response

收到的组播密钥响应分组数

Correct packets

收到的正确的WAI分组数

Wrong packets

收到的错误的WAI分组数

Sent WAI packets

发送的WAI分组总数

Authentication active

发送的鉴别激活分组数

Certificate authentication request

发送的证书鉴别请求分组数

Authentication access response

发送的接入鉴别响应分组数

Unicast key negotiation request

发送的单播密钥协商请求分组数

Unicast key negotiation confirm

发送的单播密钥协商确认分组数

Multicast key announce

发送的组播密钥通告分组数

 

1.1.2  display wapi user

【命令】

display wapi user [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

interface-type interface-number:查看指定接口上WAPI用户的信息,接口类型只能是WLAN-DBSS或WLAN-ESS。如果不指定该参数,将显示所有接口上WAPI用户的信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wapi user命令用来查看接口上WAPI用户的信息。

WAPI用户是指使用WAPI安全模式进行认证的用户,系统所支持的最大WAPI用户数量为1024个。

【举例】

# 查看所有接口上WAPI用户的信息。

<Sysname> display wapi user

Total number of users: 1

                   User information

-------------------------------------------------------

MAC address              : 00-0b-c0-02-5e-3a

VLAN                     : 1

Interface                : WLAN-DBSS2:1

Authentication method    : PSK

Current state            : Online

   Authentication state  : Idle

   USK handshake  state  : Establish

   MSK handshake  state  : Establish

   Authorization  state  : Idle

   Accounting     state  : Success

Online time (hh:mm:ss)   : 00:00:05

-------------------------------------------------------

表1-2 display wapi user命令显示信息描述表

字段

描述

MAC address

用户的MAC地址

VLAN

用户所属VLAN

Interface

接口

Authentication method

用户的认证方式(如证书认证或预共享密钥认证)

Current state

用户的当前状态

Authentication state

用户的证书认证状态

USK handshake state

用户的单播密钥协商状态

MSK handshake state

用户的组播密钥协商状态

Authorization state

用户的授权状态

Accounting state

用户的计费状态

Online time (hh:mm:ss)

用户的在线时间

 

1.1.3  reset wapi statistics

【命令】

reset wapi statistics [ interface interface-type interface-number ]

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

interface-type interface-number:清除指定接口上WAPI的统计信息,接口类型只能是WLAN-DBSS或WLAN-ESS。如果不指定该参数,将清除所有接口上WAPI的统计信息。

【描述】

reset wapi statistics命令用来清除接口上WAPI的统计信息。

【举例】

# 清除所有接口上WAPI的统计信息。

<Sysname> reset wapi statistics

1.1.4  wapi authentication method

【命令】

wapi authentication method { certificate | certificate-or-psk | psk }

undo wapi authentication method

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

certificate:采用证书鉴别方式。

certificate-or-psk:采用证书鉴别或预共享密钥鉴别方式。

psk:采用预共享密钥鉴别方式。

【描述】

wapi authentication method命令用来配置WAPI的鉴别方式。undo wapi authentication method命令用来恢复缺省情况。

缺省情况下,WAPI采用证书鉴别方式。

【举例】

# 在接口WLAN-ESS1上配置WAPI采用预共享密钥鉴别方式。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] wapi authentication method psk

1.1.5  wapi authentication mode

【命令】

wapi authentication mode { scheme | standard }

undo wapi authentication mode

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

scheme:采用AAA鉴别模式。

standard:采用标准鉴别模式。

【描述】

wapi authentication mode命令用来配置证书鉴别模式。undo wapi authentication mode命令用来恢复缺省情况。

缺省情况下,WAPI采用标准鉴别模式。

【举例】

# 在接口WLAN-ESS1上配置WAPI采用AAA鉴别模式。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] wapi authentication mode scheme

1.1.6  wapi authentication-server ip

【命令】

wapi authentication-server ip ip-address

undo wapi authentication-server ip

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

ip-address:指定AS的IP地址。

【描述】

wapi authentication-server ip命令用来指定AS的IP地址。undo wapi authentication-server ip命令用来恢复缺省情况。

缺省情况下,没有指定AS的IP地址。

【举例】

# 在接口WLAN-ESS1上指定AS的IP地址为10.10.1.1。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] wapi authentication-server ip 10.10.1.1

1.1.7  wapi bk lifetime

【命令】

wapi bk lifetime time

undo wapi bk lifetime

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

time:指定BK更新时间,取值范围为180~604800,单位为秒。

【描述】

wapi bk lifetime命令用来配置BK更新时间。undo wapi bk lifetime命令用来恢复缺省情况。

缺省情况下,BK更新时间为43200秒。

【举例】

# 在接口WLAN-ESS1上配置BK更新时间为20000秒。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] wapi bk lifetime 20000

1.1.8  wapi bk rekey enable

【命令】

wapi bk rekey enable

undo wapi bk rekey enable

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

wapi bk rekey enable命令用来使能BK更新功能。undo wapi bk rekey enable命令用来关闭BK更新功能。

缺省情况下,BK更新功能处于开启状态。

【举例】

# 在接口WLAN-ESS1上关闭BK更新功能。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] undo wapi bk rekey enable

1.1.9  wapi certificate domain

【命令】

wapi certificate domain domain-name authentication-server entity-name

undo wapi certificate domain

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

domain-name:指定PKI域的名称,为1~15个字符的字符串,不区分大小写,不能包含 / \ : ? ' " > < . * | ~和空格。

entity-name:指定AS的实体名,为1~15个字符的字符串,不区分大小写,不能包含 / \ : ? ' " > < . * | ~和空格。

【描述】

wapi certificate domain命令用来指定证书所属的PKI域和AS的实体名。undo wapi certificate domain命令用来恢复缺省情况。

缺省情况下,没有指定证书所属的PKI域和AS的实体名。

【举例】

# 在接口WLAN-ESS1上指定证书所属的PKI域为abc,AS的实体名为def。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] wapi certificate domain abc authentication-server def

1.1.10  wapi certificate format

【命令】

wapi certificate format { gbw | x509 }

undo wapi certificate format

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

gbw:指定证书格式为GBW格式。

x509:指定证书格式为X.509v3格式。

【描述】

wapi certificate format命令用来指定证书鉴别所采用的证书格式。undo wapi certificate format命令用来恢复缺省情况。

缺省情况下,采用X.509v3格式的证书进行证书鉴别。

【举例】

# 在接口WLAN-ESS1上指定采用X.509v3格式的证书进行证书鉴别。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] wapi certificate format x509

1.1.11  wapi mandatory-domain

【命令】

wapi mandatory-domain domain-name

undo wapi mandatory-domain

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

domain-name:指定ISP域的名称,为1~24个字符的字符串,不区分大小写。不能包含 / \ : ? " > < . * |和@。

【描述】

wapi mandatory-domain命令用来指定WAPI鉴别所属的ISP域。undo wapi mandatory-domain命令用来恢复缺省情况。

缺省情况下,没有指定WAPI鉴别所属的ISP域。

需要注意的是:

·     采用AAA鉴别模式时,必须指定AAA证书鉴别所属的ISP域,用于获取对应ISP域的相关策略(包括AAA策略)。

·     采用任何一种鉴别方式(标准证书鉴别模式、AAA证书鉴别或是预共享密钥鉴别),如果WAPI用户需要计费,则必须使用wapi mandatory-domain命令用来指定WAPI鉴别所属的ISP域。

相关配置可参考命令wapi authentication mode

【举例】

# 在接口WLAN-ESS1上指定WAPI鉴别所属的ISP域为abc。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] wapi mandatoty-domain abc

1.1.12  wapi msk-rekey client-offline enable

【命令】

wapi msk-rekey client-offline enable

undo wapi msk-rekey client-offline enable

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

wapi msk-rekey client-offline enable命令用来使能用户下线触发组播密钥更新功能。undo wapi msk-rekey client-offline enable命令用来恢复缺省情况。

缺省情况下,用户下线触发组播密钥更新功能处于关闭状态。

需要注意的是,只有在设备上先使能组播密钥更新功能,本命令才能生效。

相关配置可参考命令wapi msk-rekey enable

【举例】

# 在接口WLAN-ESS1上配置用户下线时触发组播密钥更新。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] wapi msk-rekey enable

[Sysname-WLAN-ESS1] wapi msk-rekey client-offline enable

1.1.13  wapi msk-rekey enable

【命令】

wapi msk-rekey enable

undo wapi msk-rekey enable

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

wapi msk-rekey enable命令用来使能组播密钥更新功能。undo wapi msk-rekey enable命令用来关闭组播密钥更新功能。

缺省情况下,组播密钥更新功能处于开启状态。

【举例】

# 在接口WLAN-ESS1上关闭组播密钥更新功能。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] undo wapi msk-rekey enable

1.1.14  wapi msk-rekey method

【命令】

wapi msk-rekey method { packet-based [ packet ] | time-based [ time ] }

undo wapi msk-rekey method

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

packet-based:由流量触发组播密钥更新。

packet:指定触发组播密钥更新的报文数量,取值范围为5000~4294967295,单位为千帧(1000帧),缺省值为10000千帧。

time-based:由时间间隔触发组播密钥更新。

time:指定触发组播密钥更新的时间间隔,取值范围为180~604800,单位为秒。

【描述】

wapi msk-rekey method命令用来配置组播密钥更新方式。undo wapi msk-rekey method命令用来恢复缺省情况。

缺省情况下,由时间间隔触发组播密钥更新,触发更新的时间间隔为86400秒。

需要注意的是,只有在设备上先使能组播密钥更新功能,本命令才能生效。

相关配置可参考命令wapi msk-rekey enable

【举例】

# 在接口WLAN-ESS1上配置由流量触发组播密钥更新,触发更新的报文数为20000千帧。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] wapi msk-rekey enable

[Sysname-WLAN-ESS1] wapi msk-rekey method packet-based 20000

1.1.15  wapi psk

【命令】

wapi psk { pass-phrase { cipher | simple } password | raw-key { cipher | simple } key }

undo wapi psk

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

pass-phrase:以字符串方式设置预共享密钥。

raw-key:以十六进制方式设置预共享密钥。

cipher:以密文方式设置预共享密钥。

simple:以明文方式设置预共享密钥。

password:字符串格式的预共享密钥。明文密钥的长度范围是1~16个ASCII码;密文密钥的长度范围是为1~53个ASCII码。

key:十六进制格式的预共享密钥。明文密钥的长度范围是2~32个16进制数,不区分大小写;密文密钥的长度范围是2~88个16进制数。

【描述】

wapi psk命令用来配置预共享密钥。undo wapi psk命令用来恢复缺省情况。

缺省情况下,没有配置预共享密钥。

以明文或密文方式设置的预共享密钥,均以密文的方式保存在配置文件中。

【举例】

# 在接口WLAN-ESS1上以明文方式配置字符串格式的预共享密钥为123456。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] wapi psk pass-phrase simple 123456

1.1.16  wapi usk lifetime

【命令】

wapi usk lifetime time

undo wapi usk lifetime

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

time:指定单播密钥的更新时间,取值范围为180~604800,单位为秒。

【描述】

wapi usk lifetime命令用来配置单播密钥的更新时间。undo wapi usk lifetime命令用来恢复缺省情况。

缺省情况下,单播密钥的更新时间为86400秒。

【举例】

# 在接口WLAN-ESS1上配置单播密钥的更新时间为20000秒。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] wapi usk lifetime 20000

1.1.17  wapi usk rekey enable

【命令】

wapi usk rekey enable

undo wapi usk rekey enable

【视图】

WLAN-ESS接口视图

【缺省级别】

2:系统级

【参数】

【描述】

wapi usk rekey enable命令用来使能单播密钥更新功能。undo wapi usk rekey enable命令用来关闭单播密钥更新功能。

缺省情况下,单播密钥更新功能处于开启状态。

【举例】

# 在接口WLAN-ESS1上关闭单播密钥更新功能。

<Sysname> system-view

[Sysname] interface wlan-ess 1

[Sysname-WLAN-ESS1] undo wapi usk rekey enable

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们