- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-WLAN用戶安全命令
本章節下載: 01-WLAN用戶安全命令 (259.83 KB)
目 錄
1.1.3 display wlan private-psk cloud-password
1.1.4 display wlan private-psk cloud-password mac-binding
1.1.5 gtk-rekey client-offline enable
1.1.10 pmf association-comeback
1.1.12 pmf saquery retrytimeout
1.1.15 private-psk fail-permit enable
1.1.19 snmp-agent trap enable wlan usersec
1.1.24 wlan password-failure-limit enable
akm mode命令用來配置身份認證與密鑰管理的模式。
undo akm mode命令用來恢複缺省情況。
【命令】
akm mode { dot1x | private-psk | psk | anonymous-dot1x }
undo akm mode
【缺省情況】
未配置身份認證與密鑰管理。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
dot1x:表示身份認證與密鑰管理的模式是802.1X模式。
private-psk:表示身份認證與密鑰管理的模式是Private-PSK模式。
psk:表示身份認證與密鑰管理的模式是PSK模式。
anonymous-dot1x:表示身份認證與密鑰管理的模式是Wi-Fi聯盟匿名802.1X模式。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置,並且隻能配置一種模式。
當WLAN網絡采用RSNA安全機製時,必須配置身份認證與密鑰管理。若配置了身份認證與密鑰管理模式為Wi-Fi聯盟匿名802.1X模式,則安全IE隻能配置為OSEN IE。
每一種身份認證模式都有互相依賴的用戶認證方式:
· 802.1X模式和802.1X用戶認證模式相互依賴,必須同時配置。有關802.1X的詳細介紹請參見“用戶接入與認證配置指導”中的“WLAN用戶接入認證”。
· Private-PSK模式和MAC地址認證模式相互依賴,必須同時配置,有關MAC地址認證的詳細介紹請參見“用戶接入與認證配置指導”中的“WLAN用戶接入認證”。
· PSK模式和MAC地址認證模式或Bypass用戶認證模式相互依賴,必須同時配置。有關MAC地址認證和Bypass認證的詳細介紹請參見“用戶接入與認證配置指導”中的“WLAN用戶接入認證”。
· Wi-Fi聯盟匿名802.1X模式和802.1X用戶認證模式相互依賴,必須同時配置。
【舉例】
# 配置身份認證與密鑰管理模式為PSK模式。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] akm mode psk
【相關命令】
· cipher-suite
· security-ie
cipher-suite命令用來配置在幀加密時使用的加密套件。
undo cipher-suite命令用來取消在幀加密時使用指定的加密套件。
【命令】
cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }
undo cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }
【缺省情況】
未配置加密套件。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
ccmp:AES-CCMP加密套件。
tkip:TKIP加密套件。
wep40:WEP40加密套件。
wep104:WEP104加密套件。
wep128:WEP128加密套件。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。
如果配置了安全IE,則必須配置TKIP或者CCMP加密套件中的一種。當WLAN網絡采用RSNA安全機製時,必須配置加密套件。
WEP加密套件隻能配置WEP40/WEP104/WEP128其中的一種,且需要配置與加密套件種類相對應的WEP密鑰及WEP密鑰ID。
WEP128和CCMP或TKIP不能同時配置。
【舉例】
# 配置在幀加密時使用TKIP加密套件。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] cipher-suite tkip
【相關命令】
· security-ie
· wep key
· wep key-id
display wlan private-psk cloud-password命令用來顯示PPSK密碼相關信息。
【命令】
display wlan private-psk cloud-password [ password-id ] [ verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
password-id:顯示指定密碼ID的PPSK密碼數據。如果不指定本參數,則顯示所有PPSK密碼數據。
verbose:顯示PPSK密碼數據的詳細信息。如果不指定本參數,則顯示PPSK密碼數據的簡要信息。
【舉例】
# 顯示所有PPSK密碼數據。
<Sysname> display wlan private-psk cloud-password
Total number: 2
PWD ID Username Max clients Used Update time Aging time(Min)
1111 zhangsan@3521buyd.. 2 1 2018/11/26 10:52 10080
1112 lisi 2 1 2018/11/26 10:59 10080
表1-1 display wlan private-psk cloud-password命令顯示信息描述表
|
字段 |
描述 |
|
Total number |
PPSK密碼總數 |
|
PWD ID |
密碼ID |
|
Username |
用戶名 |
|
Max clients |
允許使用該密碼認證的終端數 |
|
Used |
使用該密碼認證上線過的終端數 |
|
Update time |
設備側密碼更新時間 |
|
Aging time(Min) |
密碼老化時間(單位:分) |
# 顯示指定密碼ID的PPSK密碼數據詳細信息。
<Sysname> display wlan private-psk cloud-password 1111 verbose
Site ID : 23
Password ID : 1111
Update time : 2018/11/26 10:52
Expiration time : 2018/12/03 10:52
Aging time(min) : 10080
Username : zhangsan@3521buydfgsygf
Max clients : 2
Used : 1
CAR:
Average inbound : 102400 bps
Average outbound : 102400 bps
Password : jfkeiksdfdnfksnfekdssdfelsmdfei4f5ds4
表1-2 display wlan private-psk cloud-password verbose命令顯示信息描述表
|
字段 |
描述 |
|
Site ID |
場所ID |
|
Password ID |
密碼ID |
|
Update time |
設備側密碼更新時間 |
|
Expiration time |
密碼過期時間 |
|
Aging time (min) |
密碼老化時間(單位:分) |
|
Username |
用戶名 |
|
Max clients |
允許使用該密碼認證的終端數 |
|
Used |
使用該密碼認證上線過的終端數 |
|
CAR |
通過綠洲平台完成PPSK認證上線的終端承諾訪問速率 |
|
Average inbound |
平均下行速率(單位:bps) |
|
Average outbound |
平均上行速率(單位:bps) |
|
Password |
密碼 |
display wlan private-psk cloud-password mac-binding命令用來顯示PPSK密碼和無線用戶MAC地址綁定關係。
【命令】
display wlan private-psk cloud-password mac-binding [ password-id ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
password-id:顯示指定密碼ID的PPSK密碼和MAC地址綁定關係。如果不指定本參數,則顯示所有PPSK密碼和MAC地址綁定關係。
【舉例】
# 顯示所有PPSK密碼和無線用戶MAC地址綁定關係。
<Sysname> display wlan private-psk cloud-password mac-binding
Total: 2
PWD ID MAC address Binding time Expiration time
1111 D34A-A35C-28A3(+) 2018/11/26 11:22 2018/12/03 11:00
2222 A54E-368D-A433(*) 2018/11/26 11:30 2018/12/02 11:00
#顯示指定密碼ID的PPSK密碼和無線用戶MAC地址綁定關係。
<Sysname> display wlan private-psk cloud-password mac-binding 1111
Total Number: 1
PWD ID MAC address Binding time Expiration time
1111 D34A-A35C-28A3(+) 2018/11/26 11:22 2018/12/03 11:00
表1-3 display wlan private-psk cloud-password mac-binding命令顯示信息描述表
|
字段 |
描述 |
|
Total |
綁定MAC地址總數 |
|
PwdID |
密碼ID |
|
MAC address |
與該密碼綁定的MAC地址,(*)表示密碼創建時預綁定的MAC地址;(+)表示終端通過該密碼上線時綁定的MAC地址 |
|
Binding time |
密碼和MAC地址綁定時間 |
|
Expiration time |
密碼過期時間 |
gtk-rekey client-offline enable命令用來開啟客戶端離線更新GTK功能。
undo gtk-rekey client-offline enable命令用來關閉客戶端離線更新GTK功能。
【命令】
gtk-rekey client-offline enable
undo gtk-rekey client-offline enable
【缺省情況】
客戶端離線更新GTK功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
隻有開啟了更新GTK功能,客戶端離線更新GTK的功能才能生效。
【舉例】
# 開啟客戶端離線更新GTK功能。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey client-offline enable
【相關命令】
· gtk-rekey enable
gtk-rekey enable命令用來開啟更新GTK功能。
undo gtk-rekey enable命令用來關閉更新GTK功能。
【命令】
gtk-rekey enable
undo gtk-rekey enable
【缺省情況】
更新GTK功能處於開啟狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【舉例】
# 開啟更新GTK功能。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey enable
gtk-rekey method命令用來配置GTK更新方法。
undo gtk-rekey method命令用來恢複缺省情況。
【命令】
gtk-rekey method { packet-based [ packet ] | time-based [ time ] }
undo gtk-rekey method
【缺省情況】
GTK更新采用基於時間的方法,時間間隔為86400秒。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
packet-based:表示基於數據包的更新方法。
packet:指定傳輸的數據包(包括組播和廣播)的數目,在傳送指定數目的數據包(包括組播和廣播)後更新GTK,取值範圍為5000~4294967295,缺省值為10000000。
time-based:表示基於時間的GTK更新方法。
time:指定GTK密鑰更新的周期。取值範圍為180~604800,單位為秒,缺省值為86400秒。
【使用指導】
隻有開啟了GTK更新功能,GTK更新方法才能生效。
使用該命令配置GTK密鑰更新方法,多次執行本命令,最後一次執行的命令生效。例如,如果先配置了基於數據包的方法,然後又配置了基於時間的方法,則最後生效的是基於時間的方法。
若該命令在無線服務模板處於開啟狀態下配置,則分為以下幾種情況:
· 基於時間的GTK的更新方式不改變,隻改變時間值,則在原有定時器超時之後,新的定時器才可以生效;
· 基於報文數的GTK更新方式不改變,隻改變報文數值,則該新的配置立即生效;
· 更新方式由基於時間更新改為基於報文數更新,則刪除GTK更新定時器,在組播或廣播報文數大於配置的數目值之後立即生效;
· 更新方式由基於報文數更新改為基於時間更新,則基於時間方式立即生效。
【舉例】
# 配置基於時間的GTK更新方法。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey method time-based 3600
# 配置基於數據包的GTK更新方法。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey method packet-based 600000
【相關命令】
· gtk-rekey enable
key-derivation命令用來配置密鑰衍生算法。
undo key-derivation命令用來恢複缺省情況。
【命令】
key-derivation { sha1 | sha1-and-sha256 | sha256 }
undo key-derivation
【缺省情況】
密鑰衍生算法為sha1。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
sha1:表示SHA1算法,它使用HMAC-SHA1算法進行迭代計算產生密鑰。
sha1-and-sha256:表示SHA1和SHA256算法,它使用HMAC-SHA1或HMAC-SHA256算法進行迭代計算產生密鑰。
sha256:表示SHA256算法,它使用HMAC-SHA256算法進行迭代計算產生密鑰。
【使用指導】
當使用RSNA安全機製,密鑰衍生算法才會生效。
如果配置保護管理幀功能為mandatory模式,建議指定密鑰衍生類型為sha256。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 配置密鑰衍生算法為SHA256。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] key-derivation sha256
【相關命令】
· akm mode
· cipher-suite
· security-ie
pmf命令用來開啟保護管理幀功能。
undo pmf命令用來關閉保護管理幀功能。
【命令】
pmf { mandatory | optional }
undo pmf
【缺省情況】
保護管理幀功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
mandatory:指定保護管理幀功能為強製模式,即不支持保護管理幀功能的客戶端無法接入。
optional:指定保護管理幀功能為可選模式,即支持或不支持保護管理幀功能的客戶端均可接入。
【使用指導】
當使用RSNA安全機製且配置了CCMP加密套件和RSN安全信息元素時,保護管理幀功能才會生效。
【舉例】
# 開啟保護管理幀功能。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] pmf optional
【相關命令】
· security-ie
· cipher-suite
pmf association-comeback命令用來配置保護管理幀的關聯返回時間。
undo pmf association-comeback命令用來恢複缺省情況。
【命令】
pmf association-comeback time
undo pmf association-comeback
【缺省情況】
保護管理幀的關聯返回時間為1秒。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
time:保護管理幀的關聯返回時間,取值範圍為1~20,單位為秒。
【使用指導】
如果AP拒絕客戶端的關聯/重關聯請求幀,會向客戶端發送關聯/重關聯響應幀,其中攜帶了保護管理幀關聯返回時間。到了保護管理幀關聯返回時間,AP才會接收客戶端的關聯/重關聯請求幀。
【舉例】
# 配置保護管理幀的關聯返回時間為2秒。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] pmf association-comeback 2
pmf saquery retrycount命令用來配置AP發送SA Query request的最大重傳次數。
undo pmf saquery retrycount命令用來恢複缺省情況。
【命令】
pmf saquery retrycount count
undo pmf saquery retrycount
【缺省情況】
AP發送SA Query request幀的最大重傳次數為4次。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
count:表示AP發送SA Query request幀的最大重傳次數,取值範圍為1~16。
【使用指導】
若AP在SA Query重試次數內未收到SA Query響應幀,並且關聯返回時間已經超時,則AP將認為客戶端已經掉線。
【舉例】
# 設置AP發送SA Query request幀的最大重傳次數為3。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] pmf saquery retrycount 3
【相關命令】
· pmf
· pmf saquery retrycount
pmf saquery retrytimeout命令用來設置AP發送SA Query request幀的時間間隔。
undo pmf saquery retrytimeout命令用來恢複缺省情況。
【命令】
pmf saquery retrytimeout timeout
undo pmf saquery retrytimeout
【缺省情況】
AP發送SA Query request幀的時間間隔為200毫秒。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
timeout:指定AP發送SA Query request幀的時間間隔,取值範圍為100~500,單位為毫秒。
【舉例】
# 設置AP發送SA Query request幀的時間間隔為300毫秒。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] pmf saquery retrytimeout 300
【相關命令】
· pmf
· pmf saquery retrytimeout
preshared-key命令用來配置PSK密鑰。
undo preshared-key命令用來恢複缺省情況。
【命令】
preshared-key { pass-phrase | raw-key } { cipher | simple } string
undo preshared-key
【缺省情況】
未配置PSK密鑰。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
pass-phrase:以字符串方式輸入預共享密鑰。
raw-key:以十六進製數方式輸入預共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。密鑰長度的範圍與選擇的密鑰參數有關,具體關係如下:
· 對於pass-phrase,明文密鑰為8~63個字符的字符串,密文密鑰為8~117個字符的字符串。
· 對於raw-key,明文密鑰為64個十六進製數,密文密鑰為8~117個字符的字符串。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。隻有認證密鑰管理模式為PSK時,此命令才能夠生效,當認證密鑰管理模式為802.1X時,配置了此項,無線服務模板可以使能,但此配置不會生效。
PSK密鑰隻能配置一個。
【舉例】
# 配置使用明文字符串12345678作為PSK密鑰。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] akm mode psk
[Sysname-wlan-st-security] preshared-key pass-phrase simple 12345678
【相關命令】
· akm mode
private-psk cloud enable命令用來開啟通過綠洲平台完成PPSK認證功能。
undo private-psk cloud enable命令用來關閉通過綠洲平台完成PPSK認證功能。
【命令】
private-psk cloud enable
undo private-psk cloud enable
【缺省情況】
通過綠洲平台完成PPSK認證功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
通過綠洲平台完成PPSK認證( Private Pre-Shared Key,私有預共享密鑰)功能是指用戶采用PSK(Private-PSK Key,預共享密鑰)認證進行身份認證,通過綠洲平台獲取到的接入密碼安全接入無線網絡的功能。
開啟通過綠洲平台完成PPSK認證功能後,當無線用戶接入認證模式為Bypass認證時,設備不對用戶進行認證,用戶通過綠洲平台獲取到的接入密碼接入無線網絡,當無線用戶接入認證模式為MAC地址認證時,設備會對用戶進行MAC地址認證,用戶使用通過綠洲平台獲取到的接入密碼接入無線網絡。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 開啟通過綠洲平台完成PPSK認證功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] private-psk cloud enable
【相關命令】
· akm mode
· client-security authentication-mode(WLAN配置指導/WLAN用戶接入認證)
private-psk fail-permit enable命令用來開啟PPSK無線用戶逃生功能。
undo private-psk fail-permit enable命令用來關閉PPSK無線用戶逃生功能。
【命令】
private-psk fail-permit enable
undo private-psk fail-permit enable
【缺省情況】
PPSK逃生功能處於開啟狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
無線用戶通過PPSK認證功能上線後,設備端會生成該無線用戶的MAC地址與密碼綁定關係,開啟了PPSK無線用戶逃生功能後:
· 當設備與綠洲雲平台斷開連接後,已通過綠洲平台完成PPSK認證功能上線的無線用戶可以繼續在線;
· 如果無線用戶的MAC地址與密碼綁定關係還未老化,則通過綠洲平台完成PPSK認證且上線的無線用戶可以再次上線;
· 如果無線用戶的MAC地址與密碼還未綁定過,則持用密碼但從未上線過的無線用戶可以上線。
· 如果無線用戶MAC地址與密碼綁定關係老化,設備會強製通過PPSK認證上線的無線用戶下線。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 開啟PPSK無線用戶逃生功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] private-psk fail-permit enable
【相關命令】
· private-psk cloud enable
ptk-lifetime命令用來配置PTK的生存時間。
undo ptk-lifetime命令用來恢複缺省情況。
【命令】
ptk-lifetime time
undo ptk-lifetime
【缺省情況】
PTK的生存時間為43200秒。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
time:指定生存時間,取值範圍為180~604800,單位為秒。
【使用指導】
若該命令在無線服務模板處於開啟狀態下配置,則在原有定時器超時後,該配置生效。
【舉例】
# 配置PTK生存時間為200秒。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] ptk-lifetime 200
ptk-rekey enable命令用來開啟PTK更新功能。
undo ptk-rekey enable命令用來關閉PTK更新功能。
【命令】
ptk-rekey enable
undo ptk-rekey enable
【缺省情況】
PTK更新功能處於開啟狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
PTK更新是對單播數據報文的加密密鑰進行更新的一種安全手段,采用重新進行四次握手協商出新的PTK密鑰的更新機製。
開啟本功能後,設備會按照ptk-lifetime命令配置的生存時間周期性的更新PTK。
【舉例】
# 開啟PTK更新功能。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] ptk-rekey enable
【相關命令】
· ptk-lifetime
security-ie命令用來配置信標和探查響應幀攜帶安全IE。
undo security-ie命令用來配置信標和探查響應幀不攜帶指定的安全IE。
【命令】
security-ie { osen | rsn | wpa }
undo security-ie { osen | rsn | wpa }
【缺省情況】
信標和探查響應幀不攜帶WPA IE、RSN IE或OSEN IE。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
osen:設置在AP發送信標和探查響應幀時攜帶OSEN IE。OSEN IE通告了AP的OSEN能力。
rsn:設置在AP發送信標和探查響應幀時攜帶RSN IE。RSN IE通告了AP的RSN能力。
wpa:設置在AP發送信標和探查響應幀時攜帶WPA IE。WPA IE通告了AP的WPA能力。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置,並且必須要配置CCMP或TKIP加密套件。
當WLAN網絡采用RSNA安全機製時,必須配置安全IE。
若配置了安全IE為OSEN IE,則隻能配置認證密鑰管理模式為Wi-Fi聯盟匿名802.1X模式。
【舉例】
# 配置信標幀和探查響應幀攜帶RSN信息元素。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] security-ie rsn
【相關命令】
· akm mode
· cipher-suite
snmp-agent trap enable wlan usersec命令用來開啟用戶安全的告警功能。
undo snmp-agent trap enable wlan usersec命令用來關閉用戶安全的告警功能。
【命令】
snmp-agent trap enable wlan usersec
undo snmp-agent trap enable wlan usersec
【缺省情況】
用戶安全的告警功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟了告警功能之後,該模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。(有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。)
【舉例】
# 開啟用戶安全的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable wlan usersec
tkip-cm-time命令用來配置發起TKIP反製策略時間。
undo tkip-cm-time命令用來恢複缺省情況。
【命令】
tkip-cm-time time
undo tkip-cm-time
【缺省情況】
發起TKIP反製策略時間為0,即不啟動反製策略。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
time:設置發起TKIP反製策略時間,取值範圍為0~3600,單位為秒。
【使用指導】
啟動TKIP反製策略後,如果相鄰兩次MIC錯誤的時間間隔小於等於配置的時間,則會解除所有關聯到該無線服務的客戶端,並且隻有在TKIP反製策略實施的時間(60秒)後,才允許客戶端重新建立關聯。
隻有在配置了TKIP加密套件時,此命令才能夠生效。
若該命令在無線服務模板處於開啟狀態時配置,則原有定時器超時後,該配置生效。
【舉例】
# 配置發起TKIP反製策略時間為180秒。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] tkip-cm-time 180
【相關命令】
· cipher-suite
wep key命令用來配置WEP密鑰。
undo wep key命令用來刪除指定的WEP密鑰。
【命令】
wep key key-id { wep40 | wep104 | wep128 } { pass-phrase | raw-key } { cipher | simple } string
undo wep key key-id
【缺省情況】
未配置WEP密鑰。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
key-id:密鑰的ID,取值範圍為1~4。
wep40:設置WEP40密鑰選項。
wep104:設置WEP104密鑰選項。
wep128:設置WEP128密鑰選項。
pass-phrase:表示共享密鑰為字符串。
raw-key:表示共享密鑰為十六進製數。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰的長度範圍和選擇的密鑰參數有關,具體關係如下。密文密鑰為37~73個字符的字符串。
· 對於wep40 pass-phrase,明文密鑰為5個字符的字符串。
· 對於wep104 pass-phrase,明文密鑰為13個字符的字符串。
· 對於wep128 pass-phrase,明文密鑰為16個字符的字符串。
· 對於wep40 raw-key,明文密鑰為10個16進製數。
· 對於wep104 raw-key,明文密鑰為26個16進製數。
· 對於wep128 raw-key,明文密鑰為32個16進製數。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。
WEP密鑰隻有在配置了WEP加密套件的前提下才生效,最多可以配置四個WEP密鑰。
【舉例】
# 配置加密套件為WEP40,並配置WEP40密鑰為明文12345。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] wep key 1 wep40 pass-phrase simple 12345
【相關命令】
· cipher-suite
· wep key-id
wep key-id命令用來選用WEP密鑰。
undo wep key-id命令用來恢複缺省情況。
【命令】
wep key-id { 1 | 2 | 3 | 4 }
undo wep key-id
【缺省情況】
WEP加密使用的密鑰ID為1。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
1:選擇密鑰ID為1。
2:選擇密鑰ID為2。
3:選擇密鑰ID為3。
4:選擇密鑰ID為4。
【使用指導】
如果使用RSNA安全機製,密鑰ID不能為1,需要配置其它密鑰索引值。因為RSN和WPA協商的密鑰ID將為1。本命令隻能在無線服務模板處於關閉狀態時配置。
隻有在配置了與密鑰長度相對應的WEP加密套件時,指定ID的密鑰才會生效。
當配置了多個密鑰,可以通過配置密鑰ID選擇要使用的加密密鑰。
【舉例】
# 配置WEP40加密套件,WEP40密鑰為明文12345,配置密鑰ID為1。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] cipher-suite wep40
[Sysname-wlan-st-security] wep key 1 wep40 pass-phrase simple 12345
[Sysname-wlan-st-security] wep key-id 1
【相關命令】
· wep key
wep mode dynamic命令用來開啟動態WEP加密機製。
undo wep mode dynamic命令用來關閉動態WEP加密機製。
【命令】
wep mode dynamic
undo wep mode dynamic
【缺省情況】
動態WEP加密機製處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。
配置動態WEP加密必須和dot1x用戶接入認證模式一起使用,並且wep key-id不能配置為4。
【舉例】
# 開啟動態WEP加密機製。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] wep mode dynamic
【相關命令】
· cipher-suite
· client-security authentication-mode(用戶接入與認證命令參考-WLAN用戶接入認證)
· wep key
· wep key-id
wlan password-failure-limit enable命令用來開啟密碼錯誤限製功能。
undo wlan password-failure-limit enable命令用來關閉密碼錯誤限製功能。
【命令】
wlan password-failure-limit enable [ detection-period detection-period ] [ failure-threshold failure-threshold ]
undo wlan password-failure-limit enable
【缺省情況】
密碼錯誤限製功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
detection-period detection-period:指定密碼錯誤限製功能的檢測周期,取值範圍是5~600,單位為秒,缺省值為100。
failure-threshold failure-threshold:指定密碼錯誤限製功能的檢測閾值,取值範圍是1~100,缺省值為20。
【使用指導】
開啟本功能後,在指定檢測周期內密碼校驗失敗次數達到指定上限時,客戶端會被立即加入到動態黑名單中。有關動態黑名單的詳細介紹請參見“WLAN接入配置指導”中的“WLAN接入”。
隻有當身份認證與密鑰管理模式為PSK或者Private-PSK時,密碼錯誤限製功能才會生效。
本功能僅對在設備上進行關聯的新接入的無線客戶端生效。
當STAMGR進程重啟(例如:設備重啟導致的STAMGR進程重啟)後,本功能將對密碼校驗失敗次數重新進行計數。
本功能不支持IRF組網中AP直接從備份AC上線的情況。
【舉例】
# 配置無線客戶端的密碼錯誤限製檢測周期為300秒,檢測閾值為50次。
<Sysname> system-view
[Sysname] wlan password-failure-limit enable detection-period 300 failure-threshold 50
wpa3命令用開啟WPA3安全模式。
undo wpa3命令用來關閉WPA3安全模式。
【命令】
wpa3 { enterprise | personal { mandatory | optional } }
undo wpa3
【缺省情況】
WPA3安全模式處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
enterprise:使用WPA3企業級。
personal:使用WPA3個人級。
mandatory:指定WPA3安全模式為強製模式,即不支持WPA3安全模式的客戶端無法接入。
optional:指定WPA3安全模式為可選模式,即支持和不支持WPA3安全模式的客戶端均可接入。
【使用指導】
開啟WPA3安全模式時:
· 對於WPA3企業級:加密套件必須配置為GCMP,安全信息元素必須配置為RSN。
· 對於WPA3個人級:加密套件必須配置為CCMP,安全信息元素必須配置為RSN。
開啟WPA3安全模式後,建議同時開啟保護管理幀功能。
【舉例】
# 配置WPA3安全模式為個人級強製模式。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] wpa3 personal mandatory
【相關命令】
· cipher-suite
· security-ie
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
