- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-WAPI命令
本章節下載: 05-WAPI命令 (221.53 KB)
目 錄
1.1.4 wapi authentication-method
1.1.5 wapi authentication-server ip
1.1.11 wapi msk-rekey client-offline enable
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR |
EWP-WX1804H-PWR-CN |
支持 |
|
WX2500H係列 |
WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H |
EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
支持 |
|
MAK係列 |
MAK204 MAK206 |
EWP-MAK204 EWP-MAK206 |
支持 |
|
WX3000H係列 |
WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
支持 |
|
WX3500H係列 |
WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H |
EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F |
支持 |
|
WX5500E係列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
支持 |
|
WX5500H係列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
支持 |
|
AC插卡係列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
支持 |
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR WX1810H-PWR WX1820H WX1840H |
EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL |
不支持 |
|
WX3800H係列 |
WX3820H WX3840H |
EWP-WX3820H-GL EWP-WX3840H-GL |
不支持 |
|
WX5800H係列 |
WX5860H |
EWP-WX5860H-GL |
不支持 |
display wapi statistics命令用來顯示WAPI的統計信息。
【命令】
display wapi statistics [ ap ap-name [ radio radio-id ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ap ap-name:顯示指定AP的WAPI統計信息。ap-name表示AP的名稱,為1~64個字符的字符串,可以包含字母、數字、下劃線、“[”、“]”、“/”及“-”,不區分大小寫。若不指定本參數,則表示顯示所有AP的WAPI統計信息。
radio radio-id:顯示指定Radio的WAPI統計信息。radio-id表示Radio編號,取值範圍與AP型號有關。若不指定本參數,則表示顯示指定AP的所有Radio的WAPI統計信息。
【舉例】
# 顯示所有AP的WAPI統計信息。
<Sysname> display wapi statistics
AP name: AP1 Radio ID: 2 SSID: wapi
BSSID: 487a-da52-d4f0
Signature errors: 0
HMAC errors: 0
Authentication failures: 0
Discarded packets: 0
Overtime errors: 27
Format errors: 0
Certificate verification failures: 3
Unicast negotiation failures: 0
Multicast negotiation failures: 0
Received WAI packets: 18
Authentication access requests: 8
Certificate authentication responses: 2
Unicast key negotiation responses: 2
Multicast key responses: 6
Correct packets: 18
Wrong packets: 0
Sent WAI packets: 28
Authentication activation packets: 8
Certificate authentication requests: 8
Authentication access responses: 2
Unicast key negotiation requests: 2
Unicast key negotiation confirmation packets: 2
Multicast key announcements: 6
表1-1 display wapi statistics命令顯示信息描述表
|
字段 |
描述 |
|
AP name |
客戶端關聯AP的名稱 |
|
Radio ID |
客戶端關聯的Radio ID |
|
SSID |
客戶端關聯的SSID |
|
BSSID |
基本服務集標識符 |
|
Signature errors |
WAI報文簽名驗證失敗次數 |
|
HMAC errors |
WAI報文中錯誤消息認證碼數量 |
|
Authentication failures |
WAI認證失敗次數 |
|
Discarded packets |
被丟棄的WAI報文數 |
|
Overtime errors |
WAI報文超時重傳次數 |
|
Format errors |
WAI報文格式錯誤數 |
|
Certificate verification failures |
WAI證書認證失敗次數 |
|
Unicast negotiation failures |
WAI單播密鑰協商失敗次數 |
|
Multicast negotiation failures |
WAI組播密鑰協商失敗次數 |
|
Received WAI packets |
設備收到的WAI報文總數 |
|
Authentication access request |
設備收到的接入認證請求報文數 |
|
Certificate authentication response |
設備收到的證書認證響應報文數 |
|
Unicast key negotiation response |
設備收到的單播密鑰協商響應報文數 |
|
Multicast key response |
設備收到的組播密鑰響應報文數 |
|
Correct packets |
設備收到的正確的WAI報文數 |
|
Wrong packets |
設備收到的錯誤的WAI報文數 |
|
Sent WAI packets |
設備發送的WAI報文總數 |
|
Authentication active |
設備發送的認證激活報文數 |
|
Certificate authentication request |
設備發送的證書認證請求報文數 |
|
Authentication access response |
設備發送的接入認證響應報文數 |
|
Unicast key negotiation request |
設備發送的單播密鑰協商請求報文數 |
|
Unicast key negotiation confirm |
設備發送的單播密鑰協商確認報文數 |
|
Multicast key announce |
設備發送的組播密鑰通告報文數 |
【相關命令】
· reset wapi statistics
display wapi user命令用來顯示WAPI用戶的信息。
【命令】
display wapi user [ ap ap-name [ radio radio-id ] | user-mac mac-address ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ap ap-name:顯示指定AP的WAPI用戶信息。ap-name表示AP的名稱,為1~64個字符的字符串,可以包含字母、數字、下劃線、“[”、“]”、“/”及“-”,不區分大小寫。
radio radio-id:顯示指定Radio的WAPI用戶信息。radio-id表示Radio編號,取值範圍與AP型號有關。
user-mac mac-address:顯示指定MAC地址的WAPI用戶信息。mac-address表示用戶的MAC地址,格式為H-H-H。
【使用指導】
若未指定任何參數,則顯示所有的WAPI用戶信息。
【舉例】
# 顯示所有的WAPI用戶信息。
<Sysname> display wapi user
Total number of users: 1
AP name : ap1
Radio ID : 2
SSID : wapi
BSSID : 487a-da52-d4f0
MAC address : 54dc-1d2d-fb20
VLAN : 1
Authentication method : PSK
Current state : Online
Authentication state : Idle
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Success
Accounting state : Success
Uptime : 01:18:26
表1-2 display wapi user命令顯示信息描述表
|
字段 |
描述 |
|
AP name |
客戶端關聯AP的名稱 |
|
Radio ID |
客戶端關聯的Radio ID |
|
SSID |
客戶端關聯的SSID |
|
BSSID |
基本服務集標識符 |
|
MAC address |
無線客戶端的MAC地址 |
|
VLAN |
無線客戶端所屬的VLAN |
|
Authentication method |
用戶的認證方式: · PSK:預共享密鑰認證方式 · Certificate:證書認證方式 |
|
Current state |
用戶的當前狀態: · Init:初始狀態 · Auth:認證狀態 · USK:單播密鑰協商狀態 · MSK:組播密鑰\站間密鑰通告狀態 · Author:授權狀態 · Online:在線狀態 · Deactive:不活躍狀態 |
|
Authentication state |
用戶的證書認證狀態: · Idle:初始狀態 · Request:接入認證請求狀態 · Response:證書認證響應狀態 · Authenticated:已認證狀態 |
|
Unicast key negotiation state state |
用戶的單播密鑰協商狀態: · Idle:初始狀態 · Negotiating:協商請求狀態 · Established:已完成狀態 |
|
Multicast key negotiation state |
用戶的組播密鑰協商狀態: · Idle:初始狀態 · Negotiating:密鑰通告狀態 · Established:已完成狀態 |
|
Authorization state |
用戶的授權狀態: · Idle:初始狀態 · Waiting:等待狀態 · Success:成功狀態 · Fail:失敗狀態 · Timeout:超時狀態 |
|
Accounting state |
用戶的計費狀態: · Idle:初始狀態 · Waiting等待狀態: · Success:成功狀態 · Fail:失敗狀態 · Timeout:超時狀態 |
|
Online time |
用戶的在線時長,格式為hh:mm:ss |
reset wapi statistics命令用來清除WAPI的統計信息。
【命令】
reset wapi statistics [ ap ap-name [ radio radio-id ] ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
ap ap-name:清除指定AP的WAPI統計信息。ap-name表示AP的名稱,為1~64個字符的字符串,可以包含字母、數字、下劃線、“[”、“]”、“/”及“-”,不區分大小寫。若不指定本參數,則表示清除所有AP的WAPI統計信息。
radio radio-id:顯示指定Radio的WAPI統計信息。radio-id表示Radio編號,取值範圍與AP型號有關。若不指定本參數,則表示顯示指定AP的所有Radio的WAPI統計信息。
【舉例】
# 清除所有WAPI的統計信息。
<Sysname> reset wapi statistics
【相關命令】
· display wapi statistics
wapi authentication-method命令用來配置WAPI的認證方式。
undo wapi authentication-method命令用來恢複缺省情況。
【命令】
wapi authentication-method { certificate | certificate-or-psk | psk }
undo wapi authentication-method
【缺省情況】
WAPI采用證書認證方式。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
certificate:采用證書認證方式。
certificate-or-psk:采用證書認證方式或預共享密鑰認證方式。
psk:采用預共享密鑰認證方式。
【舉例】
# 配置WAPI采用證書認證方式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi authentication-method certificate
# 配置WAPI采用證書認證或預共享密鑰認證方式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi authentication-method certificate
# 配置WAPI采用預共享密鑰認證方式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi authentication-method certificate
【相關命令】
· wapi psk
wapi authentication-server ip命令用來配置認證服務器的IP地址。
undo wapi authentication-server ip命令用來恢複缺省情況。
【命令】
wapi authentication-server ip ip-address
undo wapi authentication-server ip
【缺省情況】
未配置認證服務器的IP地址。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:認證服務器的IP地址。
【使用指導】
當WAPI采用證書認證方式時,設備會與認證服務器交互驗證證書。
一個無線服務模板下隻能配置一個認證服務器的IP地址,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置認證服務器的IP地址為10.10.1.1。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi authentication-server ip 10.10.1.1
wapi bk lifetime命令用來配置基密鑰生存周期。
undo wapi bk lifetime命令用來恢複缺省情況。
【命令】
wapi bk lifetime time
undo wapi bk lifetime
【缺省情況】
BK生存周期為43200秒。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
time:基密鑰生存周期,取值範圍為180~604800,單位為秒。
【使用指導】
基密鑰具有生命周期,當其生命周期結束時需要進行更新,即重新進行證書認證過程,生成新的基密鑰。要進行基密鑰更新,必須保證基密鑰更新功能處於開啟狀態。
在單播密鑰更新功能處於開啟狀態時,基密鑰更新完成後,單播密鑰也會進行更新,而不受單播密鑰生存周期的影響,當單播密鑰更新完成後基密鑰才會重新開始計算生存周期。
【舉例】
# 配置基密鑰生存周期為1000秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi bk lifetime 1000
【相關命令】
· wapi bk rekey enable
· wapi usk rekey enable
· wapi usk lifetime
wapi bk-rekey enable命令用來開啟基密鑰更新功能。
undo wapi bk-rekey enable命令用來關閉基密鑰更新功能。
【命令】
wapi bk-rekey enable
undo wapi bk-rekey enable
【缺省情況】
基密鑰更新功能處於開啟狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
基密鑰具有生命周期,當其生命周期結束時需要進行更新,即重新進行證書認證過程,生成新的基密鑰。要進行基密鑰更新,必須保證基密鑰更新功能處於開啟狀態。
【舉例】
# 開啟基密鑰更新功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi bk-rekey enable
【相關命令】
· wapi bk lifetime
wapi certificate domain命令用來配置證書所屬的PKI域和證書序列號。
undo wapi certificate domain命令用來恢複缺省情況。
【命令】
wapi certificate domain domain-name serial serial-number
undo wapi certificate domain
【缺省情況】
未配置證書所屬的PKI域和證書序列號。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:PKI域名稱,為1~31個字符的字符串,不區分大小寫,不能包含“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
serial serial-number:證書的序列號,為1~127個字符的字符串,區分大小寫。
【使用指導】
指定證書所屬的PKI域,用於獲取對應PKI域的相關策略;指定證書序列號,用於查找和獲取認證服務器上的證書。
一個無線服務模板下隻能配置一個PKI域和證書序列號,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置證書所屬的PKI域為abc,證書序列號為def。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi certificate domain abc serial def
wapi domain命令用來配置WAPI用戶使用指定的ISP域進行AAA認證。
undo wapi domain命令用來恢複缺省情況。
【命令】
wapi domain domain-name
undo wapi domain
【缺省情況】
未配置WAPI用戶使用的ISP域,即不對用戶進行AAA認證。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:ISP域的名稱,為1~255個字符的字符串,不區分大小寫。不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能為字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指導】
請先通過domain命令創建ISP域,然後再通過本命令引用創建的ISP域,關於domain命令的詳細介紹,請參見“用戶接入與認證命令參考”中的“AAA”。
目前,當ISP域裏麵配置了認證、授權和計費方法後,僅計費方法生效。
【舉例】
# WAPI用戶使用ISP域abc進行AAA認證。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi domain abc
wapi enable命令用來開啟WAPI認證功能。
undo wapi enable命令用來關閉WAPI認證功能。
【命令】
wapi enable
undo wapi enable
【缺省情況】
WAPI認證功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
請在開啟WAPI認證功能前,先關閉無線服務模板。
【舉例】
# 開啟WAPI認證功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi enable
wapi msk-rekey client-offline enable命令用來開啟用戶下線觸發組播密鑰更新功能。
undo wapi msk-rekey client-offline enable命令用來關閉用戶下線觸發組播密鑰更新功能。
【命令】
wapi msk-rekey client-offline enable
undo wapi msk-rekey client-offline enable
【缺省情況】
用戶下線觸發組播密鑰更新功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
當開啟用戶下線觸發組播密鑰更新功能之後,隻要有一個用戶下線,就將觸發組播密鑰更新,這樣可以防止密鑰的泄漏。
為了保證用戶下線觸發組播密鑰更新功能生效,請保證首先開啟了組播密鑰更新功能。
【舉例】
# 開啟用戶下線觸發組播密鑰更新功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi msk-rekey enable
[Sysname-wlan-st-service1] wapi msk-rekey client-offline enable
【相關命令】
· wapi msk-rekey enable
· wapi msk-rekey method
wapi msk-rekey enable命令用來開啟組播密鑰更新功能。
undo wapi msk-rekey enable命令用來關閉組播密鑰更新功能。
【命令】
wapi msk-rekey enable
undo wapi msk-rekey enable
【缺省情況】
組播密鑰更新功能處於開啟狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
組播密鑰具有生命周期,當其生命周期結束時需要更新組播密鑰。要進行組播密鑰更新,必須保證組播密鑰更新功能處於開啟狀態。
【舉例】
# 開啟組播密鑰更新功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi msk-rekey enable
【相關命令】
· wapi msk-rekey client-offline enable
· wapi msk-rekey method
wapi msk-rekey method命令用來配置組播密鑰更新觸發方式。
undo wapi msk-rekey method命令用來恢複缺省情況。
【命令】
wapi msk-rekey method { packet-based [ packet ] | time-based [ interval ] }
undo wapi msk-rekey method
【缺省情況】
組播密鑰更新觸發方式為時間間隔。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
packet-based:表示由流量觸發組播密鑰更新。
packet:觸發組播密鑰更新的報文數量,取值範圍為5000~4294967295,單位為千幀(1000幀),缺省值為10000千幀。
time-based:表示定期觸發組播密鑰更新。
interval:觸發組播密鑰更新的時間間隔,取值範圍為180~604800,單位為秒,缺省值為86400秒。
【使用指導】
為了保證本命令生效,請保證首先開啟了組播密鑰更新功能。
由流量觸發組播密鑰更新和定期觸發組播密鑰更新不能同時配置,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置組播密鑰更新觸發方式為流量觸發,觸發組播密鑰更新的報文數量為20000千幀。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi msk-rekey enable
[Sysname-wlan-st-service1] wapi msk-rekey method pack-based 20000
【相關命令】
· wapi msk-rekey enable
· wapi msk-rekey client-offline enable
wapi psk命令用來配置WAPI預共享密鑰。
undo wapi psk命令用來恢複缺省情況。
【命令】
wapi psk { cipher | simple } { hex | string } key
undo wapi psk
【缺省情況】
未配置WAPI預共享密鑰。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
cipher:以密文方式設置預共享密鑰。
simple:以明文方式設置預共享密鑰,該密鑰將以密文形式存儲。
hex:以十六進製方式設置預共享密鑰。
string:以字符串方式設置預共享密鑰。
key:字符串格式的明文密鑰長度為1~16,密文密鑰的長度為1~53,區分大小寫;十六進製格式的明文密鑰長度為2~32,不區分大小寫;密文密鑰的長度為2~88,區分大小寫。
【使用指導】
由於部分終端不支持8位以下明文字符串密碼,所以配置明文字符串密碼時,建議配置8位或8位以上。
【舉例】
# 以明文方式配置字符串格式的預共享密鑰123456。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi psk simple string 123456
# 以密文方式配置字符串格式的預共享密鑰123456。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi psk cipher string 123456
# 以明文方式配置十六進製格式的預共享密鑰123456。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi psk simple hex 123456
# 以密文文方式配置十六進製格式的預共享密鑰為123456。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi psk cipher hex 123456
【相關命令】
· wapi authentication-method
wapi usk lifetime命令用來配置單播密鑰的生存周期。
undo wapi usk lifetime命令用來恢複缺省情況。
【命令】
wapi usk lifetime time
undo wapi usk lifetime
【缺省情況】
單播密鑰的生存周期為86400秒。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
time:單播密鑰的生存周期,取值範圍為180~604800,單位為秒。
單播密鑰具有生命周期,當其生命周期結束時需要進行更新,即重新進行單播密鑰協商。要進行單播密鑰更新,必須保證單播密鑰更新功能處於開啟狀態。
在單播密鑰更新功能處於開啟狀態時,基密鑰更新完成後,單播密鑰也會進行更新,而不受單播密鑰生存周期的影響。
【舉例】
# 配置單播密鑰的生存周期為1000秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi usk lifetime 1000
【相關命令】
· wapi usk rekey enable
wapi usk-rekey enable命令用來開啟單播密鑰更新功能。
undo wapi usk-rekey enable命令用來關閉單播密鑰更新功能。
【命令】
wapi usk-rekey enable
undo wapi usk-rekey enable
【缺省情況】
單播密鑰更新功能處於開啟狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
單播密鑰具有生命周期,當其生命周期結束時需要進行更新,即重新進行單播密鑰協商。要進行單播密鑰更新,必須保證單播密鑰更新功能處於開啟狀態。
【舉例】
# 開啟單播密鑰更新功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] wapi usk-rekey enable
【相關命令】
· wapi usk lifetime
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
