11-WAPI命令
本章节下载: 11-WAPI命令 (152.85 KB)
1.1.4 wapi authentication method
1.1.5 wapi authentication mode
1.1.6 wapi authentication-server ip
1.1.10 wapi certificate format
1.1.12 wapi msk-rekey client-offline enable
WAPI配置命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
1:监控级
interface-type interface-number:查看指定接口上WAPI的统计信息,接口类型只能是WLAN-DBSS或WLAN-ESS。如果不指定该参数,将显示所有接口上WAPI的统计信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wapi statistics命令用来查看接口上WAPI的统计信息。
# 查看所有接口上WAPI的统计信息。
<Sysname> display wapi statistics
WAI statistics:
Signature errors: 0
HMAC errors: 0
Authentication failures: 0
Discarded packets: 0
Overtime errors: 27
Format errors: 0
Certificate handshake failures: 3
Unicast handshake failures: 0
Multicast handshake failures: 0
Received WAI packets: 18
Authentication access request: 8
Certificate authentication response: 2
Unicast key negotiation response: 2
Multicast key response: 6
Correct packets: 18
Wrong packets: 0
Sent WAI packets: 28
Authentication active: 8
Certificate authentication request: 8
Authentication access response: 2
Unicast key negotiation request: 2
Unicast key negotiation confirm: 2
Multicast key announce: 6
表1-1 display wapi statistics命令显示信息描述表
WAI分组验证错误签名数 |
|
WAI分组消息鉴别码错误校验数 |
|
WAI鉴别失败次数 |
|
被丢弃的WAI分组数 |
|
WAI分组超时次数 |
|
WAI分组格式错误数 |
|
WAI证书鉴别失败次数 |
|
WAI单播密钥协商失败次数 |
|
WAI组播密钥协商失败次数 |
|
收到的WAI分组总数 |
|
收到的正确的WAI分组数 |
|
收到的错误的WAI分组数 |
|
发送的WAI分组总数 |
|
1:监控级
interface-type interface-number:查看指定接口上WAPI用户的信息,接口类型只能是WLAN-DBSS或WLAN-ESS。如果不指定该参数,将显示所有接口上WAPI用户的信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wapi user命令用来查看接口上WAPI用户的信息。
WAPI用户是指使用WAPI安全模式进行认证的用户,系统所支持的最大WAPI用户数量为1024个。
# 查看所有接口上WAPI用户的信息。
Total number of users: 1
User information
-------------------------------------------------------
MAC address : 00-0b-c0-02-5e-3a
VLAN : 1
Interface : WLAN-DBSS2:1
Authentication method : PSK
Current state : Online
Authentication state : Idle
USK handshake state : Establish
MSK handshake state : Establish
Authorization state : Idle
Accounting state : Success
Online time (hh:mm:ss) : 00:00:05
-------------------------------------------------------
表1-2 display wapi user命令显示信息描述表
用户的MAC地址 |
|
reset wapi statistics [ interface interface-type interface-number ]
1:监控级
interface-type interface-number:清除指定接口上WAPI的统计信息,接口类型只能是WLAN-DBSS或WLAN-ESS。如果不指定该参数,将清除所有接口上WAPI的统计信息。
reset wapi statistics命令用来清除接口上WAPI的统计信息。
# 清除所有接口上WAPI的统计信息。
<Sysname> reset wapi statistics
wapi authentication method { certificate | certificate-or-psk | psk }
undo wapi authentication method
WLAN-ESS接口视图
2:系统级
certificate:采用证书鉴别方式。
certificate-or-psk:采用证书鉴别或预共享密钥鉴别方式。
psk:采用预共享密钥鉴别方式。
wapi authentication method命令用来配置WAPI的鉴别方式。undo wapi authentication method命令用来恢复缺省情况。
缺省情况下,WAPI采用证书鉴别方式。
# 在接口WLAN-ESS1上配置WAPI采用预共享密钥鉴别方式。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] wapi authentication method psk
wapi authentication mode { scheme | standard }
WLAN-ESS接口视图
2:系统级
scheme:采用AAA鉴别模式。
standard:采用标准鉴别模式。
wapi authentication mode命令用来配置证书鉴别模式。undo wapi authentication mode命令用来恢复缺省情况。
缺省情况下,WAPI采用标准鉴别模式。
# 在接口WLAN-ESS1上配置WAPI采用AAA鉴别模式。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] wapi authentication mode scheme
wapi authentication-server ip ip-address
undo wapi authentication-server ip
WLAN-ESS接口视图
2:系统级
ip-address:指定AS的IP地址。
wapi authentication-server ip命令用来指定AS的IP地址。undo wapi authentication-server ip命令用来恢复缺省情况。
缺省情况下,没有指定AS的IP地址。
# 在接口WLAN-ESS1上指定AS的IP地址为10.10.1.1。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] wapi authentication-server ip 10.10.1.1
WLAN-ESS接口视图
2:系统级
time:指定BK更新时间,取值范围为180~604800,单位为秒。
wapi bk lifetime命令用来配置BK更新时间。undo wapi bk lifetime命令用来恢复缺省情况。
缺省情况下,BK更新时间为43200秒。
# 在接口WLAN-ESS1上配置BK更新时间为20000秒。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] wapi bk lifetime 20000
WLAN-ESS接口视图
2:系统级
wapi bk rekey enable命令用来使能BK更新功能。undo wapi bk rekey enable命令用来关闭BK更新功能。
缺省情况下,BK更新功能处于开启状态。
# 在接口WLAN-ESS1上关闭BK更新功能。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] undo wapi bk rekey enable
wapi certificate domain domain-name authentication-server entity-name
WLAN-ESS接口视图
2:系统级
domain-name:指定PKI域的名称,为1~15个字符的字符串,不区分大小写,不能包含 / \ : ? ' " > < . * | ~和空格。
entity-name:指定AS的实体名,为1~15个字符的字符串,不区分大小写,不能包含 / \ : ? ' " > < . * | ~和空格。
wapi certificate domain命令用来指定证书所属的PKI域和AS的实体名。undo wapi certificate domain命令用来恢复缺省情况。
缺省情况下,没有指定证书所属的PKI域和AS的实体名。
# 在接口WLAN-ESS1上指定证书所属的PKI域为abc,AS的实体名为def。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] wapi certificate domain abc authentication-server def
wapi certificate format { gbw | x509 }
WLAN-ESS接口视图
2:系统级
gbw:指定证书格式为GBW格式。
x509:指定证书格式为X.509v3格式。
wapi certificate format命令用来指定证书鉴别所采用的证书格式。undo wapi certificate format命令用来恢复缺省情况。
缺省情况下,采用X.509v3格式的证书进行证书鉴别。
# 在接口WLAN-ESS1上指定采用X.509v3格式的证书进行证书鉴别。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] wapi certificate format x509
wapi mandatory-domain domain-name
WLAN-ESS接口视图
2:系统级
domain-name:指定ISP域的名称,为1~24个字符的字符串,不区分大小写。不能包含 / \ : ? " > < . * |和@。
wapi mandatory-domain命令用来指定WAPI鉴别所属的ISP域。undo wapi mandatory-domain命令用来恢复缺省情况。
缺省情况下,没有指定WAPI鉴别所属的ISP域。
· 采用AAA鉴别模式时,必须指定AAA证书鉴别所属的ISP域,用于获取对应ISP域的相关策略(包括AAA策略)。
· 采用任何一种鉴别方式(标准证书鉴别模式、AAA证书鉴别或是预共享密钥鉴别),如果WAPI用户需要计费,则必须使用wapi mandatory-domain命令用来指定WAPI鉴别所属的ISP域。
相关配置可参考命令wapi authentication mode。
# 在接口WLAN-ESS1上指定WAPI鉴别所属的ISP域为abc。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] wapi mandatoty-domain abc
wapi msk-rekey client-offline enable
undo wapi msk-rekey client-offline enable
WLAN-ESS接口视图
2:系统级
wapi msk-rekey client-offline enable命令用来使能用户下线触发组播密钥更新功能。undo wapi msk-rekey client-offline enable命令用来恢复缺省情况。
需要注意的是,只有在设备上先使能组播密钥更新功能,本命令才能生效。
相关配置可参考命令wapi msk-rekey enable。
# 在接口WLAN-ESS1上配置用户下线时触发组播密钥更新。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] wapi msk-rekey enable
[Sysname-WLAN-ESS1] wapi msk-rekey client-offline enable
WLAN-ESS接口视图
2:系统级
wapi msk-rekey enable命令用来使能组播密钥更新功能。undo wapi msk-rekey enable命令用来关闭组播密钥更新功能。
# 在接口WLAN-ESS1上关闭组播密钥更新功能。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] undo wapi msk-rekey enable
wapi msk-rekey method { packet-based [ packet ] | time-based [ time ] }
WLAN-ESS接口视图
2:系统级
packet-based:由流量触发组播密钥更新。
packet:指定触发组播密钥更新的报文数量,取值范围为5000~4294967295,单位为千帧(1000帧),缺省值为10000千帧。
time-based:由时间间隔触发组播密钥更新。
time:指定触发组播密钥更新的时间间隔,取值范围为180~604800,单位为秒。
wapi msk-rekey method命令用来配置组播密钥更新方式。undo wapi msk-rekey method命令用来恢复缺省情况。
缺省情况下,由时间间隔触发组播密钥更新,触发更新的时间间隔为86400秒。
需要注意的是,只有在设备上先使能组播密钥更新功能,本命令才能生效。
相关配置可参考命令wapi msk-rekey enable。
# 在接口WLAN-ESS1上配置由流量触发组播密钥更新,触发更新的报文数为20000千帧。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] wapi msk-rekey enable
[Sysname-WLAN-ESS1] wapi msk-rekey method packet-based 20000
wapi psk { pass-phrase { cipher | simple } password | raw-key { cipher | simple } key }
WLAN-ESS接口视图
2:系统级
pass-phrase:以字符串方式设置预共享密钥。
raw-key:以十六进制方式设置预共享密钥。
cipher:以密文方式设置预共享密钥。
simple:以明文方式设置预共享密钥。
password:字符串格式的预共享密钥。明文密钥的长度范围是1~16个ASCII码;密文密钥的长度范围是为1~53个ASCII码。
key:十六进制格式的预共享密钥。明文密钥的长度范围是2~32个16进制数,不区分大小写;密文密钥的长度范围是2~88个16进制数。
wapi psk命令用来配置预共享密钥。undo wapi psk命令用来恢复缺省情况。
以明文或密文方式设置的预共享密钥,均以密文的方式保存在配置文件中。
# 在接口WLAN-ESS1上以明文方式配置字符串格式的预共享密钥为123456。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] wapi psk pass-phrase simple 123456
WLAN-ESS接口视图
2:系统级
time:指定单播密钥的更新时间,取值范围为180~604800,单位为秒。
wapi usk lifetime命令用来配置单播密钥的更新时间。undo wapi usk lifetime命令用来恢复缺省情况。
# 在接口WLAN-ESS1上配置单播密钥的更新时间为20000秒。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] wapi usk lifetime 20000
WLAN-ESS接口视图
2:系统级
wapi usk rekey enable命令用来使能单播密钥更新功能。undo wapi usk rekey enable命令用来关闭单播密钥更新功能。
# 在接口WLAN-ESS1上关闭单播密钥更新功能。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] undo wapi usk rekey enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!