- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-WLAN安全命令
本章節下載: 04-WLAN安全命令 (150.66 KB)
· 本文所指的AP和FAT AP代表了MSR800、MSR 900、MSR900-E、MSR 930和MSR 20-1X無線款型,以及安裝了SIC-WLAN模塊的MSR係列路由器。
· MSR 2600、MSR 30-11、MSR 30-11E、MSR 30-11F和MSR3600-51F路由器不支持WLAN功能。
【命令】
authentication-method { open-system | shared-key }
undo authentication-method { open-system | shared-key }
【視圖】
服務模板視圖
【缺省級別】
2:係統級
【參數】
open-system:使能開放式認證。
shared-key:使能共享密鑰認證。
【描述】
authentication-method命令用來選擇802.11規定的認證方式。undo authentication-method命令用來禁用所選擇的認證方式。
缺省情況下,使用open-system認證方式。
使用該命令設置認證方式時,可以選擇開放式係統認證或共享密鑰認證,也可以同時使能兩種認證方式。
【舉例】
# 使能開放式認證。
<Sysname> system-view
[Sysname] wlan service-template 1 clear
[Sysname-wlan-st-1] authentication-method open-system
# 使能共享密鑰認證。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] authentication-method shared-key
【命令】
cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }*
undo cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }*
【視圖】
服務模板視圖(crypto類型)
【缺省級別】
2:係統級
【參數】
ccmp:使能AES-CCMP加密套件。
tkip:使能TKIP加密套件,TKIP是一種基於RC4算法和動態密鑰管理的加密機製。
wep40:使能WEP40加密套件,WEP是一種基於RC4算法和共享密鑰管理的加密機製。
wep104:使能WEP104加密套件。
wep128:使能WEP128加密套件。
【描述】
cipher-suite命令用來配置在幀加密時使用的加密套件。undo cipher-suite命令用來禁用選擇的加密套件。
缺省情況下,沒有選擇任何加密套件。
【舉例】
# 使能TKIP加密套件。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] cipher-suite tkip
【命令】
gtk-rekey client-offline enable
undo gtk-rekey client-offline
【視圖】
服務模板視圖(crypto類型)
【缺省級別】
2:係統級
【參數】
無
【描述】
gtk-rekey client-offline enable命令用來啟動當無線客戶端離線時更新GTK(Group Temporal Key,群組臨時密鑰)的功能。undo gtk-rekey client-offline命令用來關無線閉客戶端離線更新GTK的功能。
缺省情況下,關閉無線客戶端離線更新GTK的功能。
隻有執行了gtk-rekey enable命令,此功能才生效。
【舉例】
# 啟用當無線客戶端離線時更新GTK的功能。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] gtk-rekey client-offline enable
【命令】
gtk-rekey enable
undo gtk-rekey enable
【視圖】
服務模板視圖(crypto類型)
【缺省級別】
2:係統級
【參數】
無
【描述】
gtk-rekey enable命令用來設置允許GTK更新。undo gtk-rekey enable命令用來禁止GTK更新。
缺省情況下,使能GTK更新功能。
【舉例】
# 禁止GTK更新。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] undo gtk-rekey enable
【命令】
gtk-rekey method { packet-based [ packet ] | time-based [ time ] }
undo gtk-rekey method
【視圖】
服務模板視圖(crypto類型)
【缺省級別】
2:係統級
【參數】
packet-based:設置GTK密鑰更新采用基於數據包的方法。
packet:指定傳輸的數據包(包括組播和廣播)的數目,在傳送指定數目的數據包(包括組播和廣播)後更新GTK,取值範圍為5000~4294967295。
time-based:設置GTK密鑰更新采用基於時間的方法。
time:指定GTK密鑰更新的周期。取值範圍為180~604800,單位為秒。
【描述】
gtk-rekey method命令用來設置GTK進行密鑰的更新方法。undo gtk-rekey method命令用來恢複缺省情況。
缺省情況下,GTK密鑰更新采用基於時間的方法,缺省的時間間隔是86400秒。
· 如果配置了基於時間的GTK密鑰更新,則在指定時間間隔後進行GTK更新密鑰,時間間隔的取值範圍為180~604800秒,缺省為86400秒。
· 如果配置了基於數據包的GTK密鑰更新,則在傳輸了指定數目的數據包後進行GTK密鑰更新,數據包數目的取值範圍為5000~4294967295;缺省情況下,在傳輸了10000000個報文後進行密鑰更新。
使用該命令配置GTK密鑰更新方法時,新配置的方法會覆蓋前一次的配置。例如,如果先配置了基於數據包的方法,然後又配置了基於時間的方法,則最後生效的是基於時間的方法。
【舉例】
# 設置采用基於數據包的方法進行GTK密鑰更新,且在傳輸了60000個數據包後進行密鑰更新。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] gtk-rekey method packet-based 60000
【命令】
ptk-lifetime time
undo ptk-lifetime
【視圖】
服務模板視圖(crypto類型)
【缺省級別】
2:係統級
【參數】
time:指定生存時間,取值範圍為180~604800,單位為秒。
【描述】
ptk-lifetime命令用來設置PTK(Pairwise Transient Key,成對臨時密鑰)的生存時間。undo ptk-lifetime命令用來恢複PTK的生存時間為缺省值。
缺省情況下,PTK的生存時間是43200秒。
【舉例】
# 設置PTK的生存時間為86400秒。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] ptk-lifetime 86400
【命令】
security-ie { rsn | wpa }
undo security-ie { rsn | wpa }
【視圖】
服務模板視圖(crypto類型)
【缺省級別】
2:係統級
【參數】
rsn:設置在AP發送信標和探測響應幀時攜帶RSN IE(RSN Information Element,RSN信息元素)。RSN IE通告了AP的RSN(Robust Security Network,健壯安全網絡)能力。
wpa:設置在AP發送信標和探測響應幀時攜帶WPA IE WPA Information Element,WPA信息元素)。WPA IE通告了AP的WPA(Wi-Fi Protected Access,Wi-Fi保護訪問)能力。
【描述】
security-ie命令用來設置信標和探測響應幀攜帶WPA IE或RSN IE,或者同時攜帶二者。undo security-ie命令用來設置信標和探測響應幀不攜帶WPA IE或RSN IE。
缺省情況下,信標和探測響應幀不攜帶WPA IE或RSN IE。
【舉例】
# 配置信標和探測幀攜帶WPA IE信息。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] security-ie wpa
【命令】
tkip-cm-time time
undo tkip-cm-time
【視圖】
服務模板視圖(crypto類型)
【缺省級別】
2:係統級
【參數】
time:設置TKIP反製策略實施時間。取值範圍為0~3600,單位為秒。
【描述】
tkip-cm-time命令用來設置TKIP(Temporal Key Integrity Protocol,臨時密鑰完整性協議)反製策略實施的時間。undo tkip-cm-time命令用來恢複TKIP反製策略實施的時間為缺省值。
缺省情況下,TKIP反製策略實施的時間為0秒,即不啟動反製策略。
啟動TKIP反製策略後,如果在一定時間內發生了兩次MIC錯誤,則會解除所有關聯到該無線服務的無線客戶端,並且隻有在TKIP反製策略實施的時間後,才允許無線客戶端重新建立關聯。
【舉例】
# 設置TKIP反製策略的時間間隔為90秒。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] tkip-cm-time 90
【命令】
wep default-key key-index { wep40 | wep104 | wep128} { pass-phrase | raw-key } [ cipher | simple ] key
undo wep default-key key-index
【視圖】
服務模板視圖(crypto類型)
【缺省級別】
2:係統級
【參數】
key-index:密鑰索引值如下:
· 1:配置第一個WEP缺省密鑰。
· 2:配置第二個WEP缺省密鑰。
· 3:配置第三個WEP缺省密鑰。
· 4:配置第四個WEP缺省密鑰。
wep40:設置WEP40密鑰選項。
wep104:設置WEP104密鑰選項。
wep128:設置WEP128密鑰選項。
pass-phrase:設置以字符串方式輸入預共享密鑰。
raw-key:設置以十六進製數方式輸入預共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰。
key:設置明文密鑰或密文密鑰,區分大小寫。明文密鑰的長度範圍和選擇的密鑰參數有關。具體關係如下。密文密鑰的取值範圍是24~88。在不指定simple或cipher的情況下,表示以明文方式輸入密鑰。
· 對於wep40 pass-phrase,密鑰的是5個字符的字符串。
· 對於wep104 pass-phrase,密鑰是13個字符的字符串。
· 對於wep128 pass-phrase,密鑰是16個字符的字符串。
· 對於wep40 raw-key,密鑰是10個16進製數。
· 對於wep104 raw-key,密鑰是26個16進製數。
· 對於wep128 raw-key,密鑰是32個16進製數。
【描述】
wep default-key命令用來配置WEP缺省密鑰。undo wep default-key命令用來刪除已配置的WEP缺省密鑰。
缺省情況下,WEP缺省密鑰索引值為1。
以明文或密文方式設置的密鑰,均以密文的方式保存在配置文件中。
【舉例】
# 以明文方式設置第一個WEP缺省密鑰為12345。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] wep default-key 1 wep40 pass-phrase simple 12345
【命令】
wep key-id { 1 | 2 | 3 | 4 }
undo wep key-id
【視圖】
服務模板視圖(crypto類型)
【缺省級別】
2:係統級
【參數】
key-index:密鑰索引號的取值範圍為1~4,詳細如下:
· 1:選擇密鑰索引為1。
· 2:選擇密鑰索引為2。
· 3:選擇密鑰索引為3。
· 4:選擇密鑰索引為4。
【描述】
wep key-id命令用來配置密鑰索引號。undo wep key-id命令用來恢複缺省情況。
缺省情況下,密鑰索引號為1。
在WEP中有四個靜態的密鑰。其密鑰索引分別是1、2、3和4。指定的密鑰索引所對應的密鑰將被用來進行幀的加密和解密。
相關配置可參考命令wep default-key。
【舉例】
# 配置密鑰索引號為2。
<Sysname> system-view
[Sysname] wlan service-template 1 crypto
[Sysname-wlan-st-1] wep key-id 2
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
