- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-WAPI配置
本章節下載: 03-WAPI配置 (413.72 KB)
目 錄
WAPI(WLAN Authentication and Privacy Infrastructure,無線局域網鑒別與保密基礎結構)是中國提出的以802.11無線協議為基礎的無線安全標準。
WAPI采用證書認證方式和預共享密鑰認證方式對客戶端身份的合法性進行認證,並且采用單播密鑰協商和組播密鑰通告對客戶端和與AC之間交互的單播/組播數據進行保護。
WAPI協議由以下兩部分構成:
· WAI(WLAN Authentication Infrastructure,無線局域網鑒別基礎結構):用於無線局域網中身份認證和密鑰管理的安全方案。
· WPI(WLAN Privacy Infrastructure,無線局域網保密基礎結構):用於無線局域網中數據傳輸保護的安全方案,包括數據加解密和重放保護等功能。
· AS(Authentication Server,認證服務器):用於對用戶和設備證書進行身份認證等,是基於公鑰密碼技術的WAI中重要的組成部分。
· BK(Base Key,基密鑰):用於導出單播會話密鑰,由證書認證過程協商得到或者由預共享密鑰導出。
· MSK(Multicast Session Key,組播會話密鑰):用於保護站點發送的組播MPDU的隨機值,包括組播加密密鑰和組播完整性校驗密鑰。
· PSK(Preshared Key,預共享密鑰):發布給客戶端的靜態密鑰。
· USK(Unicast Session Key,單播會話密鑰):由BK通過偽隨機函數導出的隨機值,分為四個部分:單播加密密鑰、單播完整性校驗密鑰、消息認證密鑰和組播密鑰加密密鑰。
WAPI支持兩種身份認證方式:證書認證方式和預共享密鑰認證方式。
證書認證是基於無線客戶端、AC和AS三方的證書進行的認證。認證前無線客戶端和AC必須預先擁有各自的證書,然後通過AS對雙方的身份分別進行認證,根據雙方產生的臨時公鑰和臨時私鑰生成BK,並為隨後的單播密鑰協商和組播密鑰通告做好準備。有關證書認證的詳細介紹,請參見“安全配置指導”中的“PKI”。
目前,AC與AS之間的WAI協議報文將通過普通的UDP方式進行傳輸,最終完成證書認證,具體過程如圖1-1所示。
(1) 802.11鏈路協商完成以後,AC會向Client發送認證激活報文啟動證書認證過程,其中包含AC的證書。
(2) Client接收到認證激活報文後,向AC發送接入認證請求報文,其中包含Client證書及Client對接入認證請求報文的簽名。
(3) AC接收到接入認證請求報文後,從Client證書中取出公鑰,驗證簽名是否正確,如果簽名正確,則向AS發送證書認證請求報文,其中包含Client證書和AC證書,如果簽名不正確,則丟棄報文。
(4) AS收到證書認證請求報文後,驗證Client證書和AC證書是否正確,並向AC發送證書認證響應報文,其中包含驗證結果和AS簽名。
(5) AC收到證書認證響應報文後,向Client發送接入認證響應報文,其中包含接入認證結果,證書驗證結果,AS簽名,AC對接入認證響應報文的簽名。
(6) Client收到接入認證響應報文後,依次檢查AC的證書驗證結果和接入認證結果:
a. 如果AC證書不正確,則斷開連接;如果正確,檢查接入認證結果。
b. 如果結果為接入成功,則進行單播密鑰協商和組播密鑰通告,否則斷開連接。
預共享密鑰認證是基於Client和AC雙方的密鑰所進行的認證。認證前Client和AC必須預先配置有相同的密鑰,即預共享密鑰。認證時直接將預共享密鑰轉換為BK,然後進行單播密鑰協商和組播密鑰通告。
Client與AC之間交互的單播數據利用單播密鑰協商過程所協商出的單播加密密鑰和單播完整性校驗密鑰進行保護,其過程如圖1-2所示。
(1) 在AC完成證書認證過程、采用預共享密鑰認證方式或進行單播密鑰更新時,AC向Client發送單播密鑰協商請求報文開始與Client進行單播密鑰協商,其中包含AC的Challenge字段。
(2) Client接收到AC發送的單播密鑰協商請求報文後:
¡ 如果是Client上線過程,則直接發送單播密鑰協商響應報文。
¡ 如果是單播密鑰更新過程,會檢查AC的Challenge字段與本地保存的值是否相同,此時本地保存的值為上一次協商的值,如果相同,則發送單播密鑰協商響應報文,否則丟棄報文。
單播密鑰協商響應報文中包含Client的Challenge字段、AC的Challenge字段以及消息認證碼。
(3) AC接收到單播密鑰協商響應報文後,驗證AC的Challenge字段和消息認證碼是否正確,如果正確,則發送單播密鑰協商確認報文,其中包含Client的Challenge字段和消息認證碼,如果不正確則丟棄報文。
(4) Client接收到單播密鑰協商確認報文後,驗證Client的Challenge字段和消息認證碼是否正確,如果正確則協商完成,如果不正確則丟棄報文。
當單播密鑰協商完成後,再使用單播密鑰協商過程所協商出的密鑰進行組播密鑰的通告。AC利用自己生成的16個字節的隨機數(隻生成一次),即組播密鑰對其發送的廣播/組播數據進行保護,而Client則采用AC通告的組播會話密鑰對收到的廣播/組播數據進行解密。其過程如圖1-3所示。
(1) 單播密鑰協商成功後或AC要更新組播密鑰時,AC向Client發送組播密鑰通告報文,包含密鑰數據、密鑰通告標識等。
(2) Client接收到AC發送的組播密鑰通告報文後,對密鑰數據解密得到通告主密鑰,然後向AC發送組播密鑰響應報文,其中包含密鑰通告標識。
(3) AC接收到Client發送的組播密鑰響應報文後,驗證密鑰通告標識是否正確,如果正確則組播密鑰通告成功,如果不正確則丟棄報文。
與WAPI相關的協議規範有:
· GB 15629.11-2003/XG1-2006:信息技術係統間遠程通信和信息交換局域網和城域網 特定要求 第11部分:無線局域網媒體訪問控製和物理層規範
· RFC 3280:Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
· RFC 4492:Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX2500X係列 |
· WX2560X · WX2580X |
· EWP-WX2560X · EWP-WX2580X |
支持 |
|
WX2500X-E係列 |
WX2508X-E |
EWP-WX2508X-E |
支持 |
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX2800X係列 |
· WX2812X-PWR · WX2860X · WX2880X |
· EWP-WX2812X-PWR · EWP-WX2860X · EWP-WX2880X |
不支持 |
|
WSG1800X係列 |
· WSG1812X-PWR · WSG1840X |
· EWPWSG1812X-PWR · EWP-WSG1840X |
不支持 |
請在配置本功能之前通過a-msdu disable命令關閉A-MSDU功能。有關A-MSDU功能的詳細介紹請參見“射頻資源管理配置指導”中的“射頻管理”。
WAPI協議規定在證書認證過程中所使用的密鑰簽名算法必須為ECDSA(Elliptic Curve Digital Signature Algorithm,橢圓曲線數字簽名算法),有關ECDSA的詳細介紹,請參見“安全配置指導”中的“公鑰管理”。
WAPI支持數據集中轉發方式和數據本地轉發方式。
Dot11ac模式下,不建議配置本特性。
WAPI配置任務如下:
(1) 配置WAPI認證方式
(2) 配置WAPI采用證書認證
如果選擇的WAPI認證方式包括證書認證,則需要進行此配置。
(3) 配置WAPI采用預共享密鑰認證
如果選擇的WAPI認證方式包括預共享密鑰認證,則需要進行此配置。
(4) 開啟WAPI認證功能
如果WAPI用戶需要計費,則需要進行此配置。
(6) 配置單播密鑰更新
(7) 配置組播密鑰更新
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置WAPI認證方式。
wapi authentication-method { certificate | certificate-or-psk | psk }
缺省情況下,WAPI采用證書認證方式。
WAPI采用證書認證的配置任務如下:
(1) 配置認證服務器的IP地址
(3) (可選)配置基密鑰更新功能
當WAPI采用證書認證方式時,設備會與認證服務器交互驗證證書。
一個無線服務模板下隻能配置一個認證服務器的IP地址。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置認證服務器的IP地址。
wapi authentication-server ip ip-address
缺省情況下,未配置認證服務器的IP地址。
指定證書所屬的PKI域,用於獲取對應PKI域的相關策略;指定證書序列號,用於查找和獲取認證服務器上的證書。
一個無線服務模板下隻能配置一個PKI域和證書序列號。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置證書所屬的PKI域和證書序列號。
wapi certificate domain domain-name serial serial-number
缺省情況下,未配置證書所屬的PKI域和證書序列號。
基密鑰具有生命周期,當其生命周期結束時需要進行更新。
要進行基密鑰更新,必須保證基密鑰更新功能處於開啟狀態。
在單播密鑰更新功能處於開啟狀態時,基密鑰更新完成後,單播密鑰也會進行更新,而不受單播密鑰生存周期的影響,當單播密鑰更新完成後基密鑰才會重新開始計算生存周期。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟基密鑰更新功能。
wapi bk-rekey enable
缺省情況下,基密鑰更新功能處於開啟狀態。
(4) 配置基密鑰生存周期。
wapi bk lifetime time
缺省情況下,基密鑰生存周期為43200秒。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置WAPI預共享密鑰。
wapi psk { cipher | simple } { hex | string } key
缺省情況下,未配置WAPI預共享密鑰。
請在開啟WAPI認證功能前,先關閉無線服務模板。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟WAPI認證功能。
wapi enable
缺省情況下,WAPI認證功能處於關閉狀態。
WAPI用戶將采用指定的ISP域內的計費方案對WAPI用戶進行計費。
請先通過domain命令創建ISP域,然後再通過本命令引用創建的ISP域,關於domain命令的詳細介紹,請參見“用戶接入與認證命令參考”中的“AAA”。
目前,當ISP域裏麵配置了認證、授權和計費方案後,僅計費方案生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置WAPI用戶使用指定的ISP域進行AAA認證。
wapi domain domain-name
缺省情況下,未配置WAPI用戶使用的ISP域,即不對用戶進行AAA認證。
單播密鑰具有生命周期,開啟單播密鑰更新功能後,單播密鑰在其生命周期結束後會自動進行更新。
要進行單播密鑰更新,必須保證單播密鑰更新功能處於開啟狀態。
在單播密鑰更新功能處於開啟狀態時,基密鑰更新完成後,單播密鑰也會進行更新,而不受單播密鑰生存周期的影響。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟單播密鑰更新功能。
wapi usk-rekey enable
缺省情況下,單播密鑰更新功能處於開啟狀態。
(4) 配置單播密鑰的生存周期。
wapi usk lifetime time
缺省情況下,單播密鑰的生存周期為86400秒。
組播密鑰具有生命周期,當其生命周期結束時需要更新組播密鑰。組播密鑰更新支持以下方式:
· 由流量觸發組播密鑰更新。
· 定期觸發組播密鑰更新。
為了保證用戶下線觸發組播密鑰更新功能生效,請保證首先開啟了組播密鑰更新功能。
由流量觸發組播密鑰更新和定期觸發組播密鑰更新不能同時配置。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟組播密鑰更新功能。
wapi msk-rekey enable
缺省情況下,組播密鑰更新功能處於開啟狀態。
(4) 開啟用戶下線觸發組播密鑰更新功能。
wapi msk-rekey client-offline enable
缺省情況下,用戶下線觸發組播密鑰更新功能處於關閉狀態。
(5) 配置組播密鑰更新觸發方式。
wapi msk-rekey method { packet-based [ packet ] | time-based [ interval ] }
缺省情況下,組播密鑰更新觸發方式為定期方式。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後WAPI的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除WAPI的統計信息。
表1-1 WAPI顯示和維護
|
顯示WAPI的統計信息 |
display wapi statistics [ ap ap-name [ radio radio-id ] ] |
|
顯示WAPI用戶的信息 |
display wapi user [ ap ap-name [ radio radio-id ] | user-mac mac-address ] |
|
清除WAPI的統計信息 |
reset wapi statistics [ ap ap-name [ radio radio-id ] ] |
· AP 1和AP 2通過二層交換機與AC建立連接,Client 1和Client 2分別通過AP 1和AP 2接入網絡。
· Client 1、Client 2、AP 1和AP 2都從DHCP服務器獲取IP地址。
· Client采用預共享密鑰認證方式接入,Client端和AC端使用相同的共享密鑰12345678;單播密鑰和組播密鑰的更新時間均為20000秒。
(1) 配置IP地址
請按照圖1-4配置各設備的IP地址和子網掩碼,具體配置過程略。
# 創建無線服務模板1,SSID為wapi1。
[AC] wlan service-template 1
[AC-wlan-st-1] ssid wapi1
# 開啟WAPI認證功能。
[AC-wlan-st-1] wapi enable
# 配置WAPI采用預共享密鑰認證方式。
[AC-wlan-st-1] wapi authentication-method psk
[AC-wlan-st-1] wapi psk simple string 12345678
[AC-wlan-st-1] wapi msk-rekey method time-based 20000
[AC-wlan-st-1] wapi usk lifetime 20000
[AC-wlan-st-1] service-template enable
# 創建型號為WA6638的AP管理模板ap1,並配置其序列號為219801A28N819CE0002T。
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 創建射頻1,配置其與無線服務模板1關聯,並開啟該射頻。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 創建型號為WA6638的AP管理模板ap2,並配置其序列號為219801A28N819CE00021。
[AC-wlan-ap-ap2] serial-id 219801A28N819CE00021
# 創建射頻1,配置其與無線服務模板1關聯,並開啟該射頻。
[AC-wlan-ap-ap2-radio-1] service-template 1
[AC-wlan-ap-ap2-radio-1] radio enable
[AC-wlan-ap-ap2-radio-1] quit
[AC-wlan-ap-ap2] quit
通過使用display wapi user命令可以查看接口上WAPI用戶的信息。例如:
# 查看AC所有接口上WAPI用戶的信息。
Total number of users: 2
AP name : ap1
Radio ID : 1
SSID : wapi1
BSSID : 487a-da52-d4f0
MAC address : 000b-c002-5e39
VLAN : 1
Authentication method : PSK
Current state : Online
Authentication state : Idle
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Idle
Accounting state : Idle
Uptime : 00:02:26
AP name : ap1
Radio ID : 1
SSID : wapi1
BSSID : 487a-da52-d4f0
MAC address : 000b-c002-5e2f
VLAN : 1
Authentication method : PSK
Current state : Online
Authentication state : Idle
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Idle
Accounting state : Idle
Uptime : 00:02:40
· AP 1和AP 2通過二層交換機與AC建立連接,Client 1和Client 2分別通過AP 1和AP 2接入網絡。
· Client 1、Client 2、AP 1和AP 2都從DHCP服務器獲取IP地址。
· CA證書、AC本地證書和AS證書均已保存至AC;單播密鑰和組播密鑰的更新時間均為20000秒,關閉BK更新功能。
(1) 配置IP地址
請按照圖1-5配置各設備的IP地址和子網掩碼,具體配置過程略。
# 創建PKI域pki1,在該域中禁止CRL檢查(對導入的證書不進行是否吊銷檢查,即默認此方式下用戶證書有效)。
[AC] pki domain pki1
[AC-pki-domain-pki1] undo crl check enable
[AC-pki-domain-pki1] quit
# 分別導入證書文件ca.cer、ap.cer和as.cer。
[AC] pki import domain pki1 pem ca filename ca.cer
[AC] pki import domain pki1 pem local filename ap.cer
[AC] pki import domain pki1 pem peer filename as.cer
# 創建服務模板1,配置其SSID為wapi1。
[AC] wlan service-template 1
[AC-wlan-st-1] ssid wapi1
# 開啟WAPI認證功能。
[AC-wlan-st-1] wapi enable
# 配置WAPI采用證書認證方式。
[AC-wlan-st-1] wapi authentication-method certificate
[AC-wlan-st-1] wapi authentication-server ip 10.10.1.3
[AC-wlan-st-1] wapi certificate domain pki1 serial 29
[AC-wlan-st-1] undo wapi bk-rekey enable
[AC-wlan-st-1] wapi msk-rekey method time-based 20000
[AC-wlan-st-1] wapi usk lifetime 20000
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 創建型號為WA6638的AP管理模板ap1,並配置其序列號為219801A28N819CE0002T。
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 創建射頻1,配置其與無線服務模板1關聯,並開啟該射頻。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 創建型號為WA6638的AP管理模板ap2,並配置其序列號為219801A28N819CE00021。
[AC-wlan-ap-ap2] serial-id 219801A28N819CE00021
# 創建射頻1,配置其與無線服務模板1關聯,並開啟該射頻。
[AC-wlan-ap-ap2-radio-1] service-template 1
[AC-wlan-ap-ap2-radio-1] radio enable
[AC-wlan-ap-ap2-radio-1] quit
[AC-wlan-ap-ap2] quit
通過使用display wapi user命令可以查看接口上WAPI用戶的信息。例如:
# 查看AC所有接口上WAPI用戶的信息。
Total number of users: 2
AP name : ap1
Radio ID : 1
SSID : wapi1
BSSID : 487a-da52-d4f0
MAC address : 000b-c002-5e39
VLAN : 1
Authentication method : Certificate
Current state : Online
Authentication state : Authenticated
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Idle
Accounting state : Idle
Uptime : 00:02:26
AP name : ap1
Radio ID : 1
SSID : wapi1
BSSID : 487a-da52-d4f0
MAC address : 000b-c002-5e2f
VLAN : 1
Authentication method : Certificate
Current state : Online
Authentication state : Authenticated
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Idle
Accounting state : Idle
Uptime : 00:02:30
· AP 1和AP 2通過二層交換機與AC建立連接,Client 1和Client 2分別通過AP 1和AP 2接入網絡。
· Client 1、Client 2、AP 1和AP 2都從DHCP服務器獲取IP地址。
· WAPI係統采用證書認證方式中的標準證書認證模式,CA證書、AC本地證書和AS證書均已保存至AC;單播密鑰和組播密鑰的更新時間均為20000秒,關閉BK更新功能。
(1) 配置IP地址
請按照圖1-6配置各設備的IP地址和子網掩碼,具體配置過程略。
# 創建PKI域pki1,在該域中禁止CRL檢查(對導入的證書不進行是否吊銷檢查,即默認此方式下用戶證書有效)。
[AC] pki domain pki1
[AC-pki-domain-pki1] undo crl check enable
[AC-pki-domain-pki1] quit
# 分別導入證書文件ca.cer、ap.cer和as.cer。
[AC] pki import domain pki1 pem ca filename ca.cer
[AC] pki import domain pki1 pem local filename ap.cer
[AC] pki import domain pki1 pem peer filename as.cer
# 創建RADIUS方案radius1,主認證/授權服務器和主計費服務器的IP地址均為10.10.1.5,RADIUS認證/授權報文和計費報文的共享密鑰均為12345678。
[AC-radius-radius1] primary authentication 10.10.1.5
[AC-radius-radius1] primary accounting 10.10.1.5
[AC-radius-radius1] key authentication simple 12345678
[AC-radius-radius1] key accounting simple 12345678
[AC-radius-radius1] quit
# 創建ISP域domain1,將WAPI用戶的認證、授權方案配置成none,計費方案配置為radius1,並將該域配置為缺省ISP域。
[AC-isp-domain1] authentication default none
[AC-isp-domain1] authorization default none
[AC-isp-domain1] accounting default radius-scheme radius1
[AC-isp-domain1] quit
[AC] domain default enable domain1
# 創建服務模板1,配置其SSID為wapi1。
[AC] wlan service-template 1
[AC-wlan-st-1] ssid wapi1
# 開啟WAPI認證功能。
[AC-wlan-st-1] wapi enable
# 配置WAPI采用證書認證方式。
[AC-wlan-st-1] wapi authentication-method certificate
[AC-wlan-st-1] wapi authentication-server ip 10.10.1.3
[AC-wlan-st-1] wapi certificate domain pki1 serial 29
[AC-wlan-st-1] wapi domain domain1
[AC-wlan-st-1] undo wapi bk-rekey enable
[AC-wlan-st-1] wapi msk-rekey method time-based 20000
[AC-wlan-st-1] wapi usk lifetime 20000
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 創建型號為WA6638的AP管理模板ap1,並配置其序列號為219801A28N819CE0002T。
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 創建類型為802.11b的射頻1,配置其與服務模板1關聯,並使能該射頻。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 創建型號為WA6638的AP管理模板ap2,並配置其序列號為219801A28N819CE00021。
[AC-wlan-ap-ap2] serial-id 219801A28N819CE00021
# 創建類型為802.11b的射頻1,配置其與無線服務模板1關聯,並開啟該射頻。
[AC-wlan-ap-ap2-radio-1] service-template 1
[AC-wlan-ap-ap2-radio-1] radio enable
[AC-wlan-ap-ap2-radio-1] quit
[AC-wlan-ap-ap2] quit
通過使用display wapi user命令可以查看接口上WAPI用戶的信息。例如:
# 查看AC所有接口上WAPI用戶的信息。
Total number of users: 2
AP name : ap1
Radio ID : 1
SSID : wapi1
BSSID : 487a-da52-d4f0
MAC address : 000b-c002-5e39
VLAN : 1
Authentication method : Certificate
Current state : Online
Authentication state : Authenticated
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Idle
Accounting state : Success
Uptime : 00:02:26
AP name : ap1
Radio ID : 1
SSID : wapi1
BSSID : 487a-da52-d4f0
MAC address : 000b-c002-5e2f
VLAN : 1
Authentication method : Certificate
Current state : Online
Authentication state : Authenticated
Unicast key negotiation state : Established
Multicast key negotiation state : Established
Authorization state : Idle
Accounting state : Success
Uptime : 00:02:30
AP關聯到AC之後,Client關聯AP失敗。在AC上通過display wapi user命令查看到沒有WAPI用戶存在或者其不處於Online狀態,表明Client上線失敗。
· Client成功關聯到AP的前提是AP已正確關聯到AC。
· 對於預共享密鑰認證,須保證Client與AP的預共享密鑰一致;對於標準證書鑒別,須保證Client與AP的證書正確。
(1) 檢查AP是否已關聯到AC。在AC上使用display wlan ap all命令查看AP的狀態是否為Run。
(2) 檢查AP和Client的配置是否正確:
· 當采用預共享密鑰認證時,檢查Client與AP的預共享密鑰是否一致。在AC上通過display current-configuration命令查看AP的預共享密鑰類型和預共享密鑰值是否與Client的一致:對於預共享密鑰類型,當Client為ASCII類型時,AP必須為字符串類型;當Client為HEX類型時,AP必須為十六進製數類型。
· 當采用標準證書認證時,檢查CA、AC和AS的證書是否正確。在AC上通過display pki certificate命令查看各證書內容是否正確,特別要注意:若某證書的簽名算法不是ECDSA,則需先刪除該證書所在PKI域內的所有證書,再將該域的證書簽名算法配置為ECDSA,然後重新安裝該域內的所有證書。
· 檢查認證方案、計費方案、認證服務器、計費服務器的配置是否正確。
· 如果WAPI證書認證方式為標準方式,則計費方案可以采用None方案,也可以采用RADIUS方案(計費服務器不能使用iMC)。
· 必須使用wapi domain命令用來指定WAPI認證所屬的ISP域。
用戶上線後,客戶端無法ping通AC或其它設備。
如果使用AC進行加解密,檢查AC的內存是否大於等於1G。
由於無線網卡可能不支持QoS,AC默認開啟WMM功能,這種情況下可能會導致報文不通。
如果AC的內存小於1G,請使用內存大於等於1G的AC或者在現有AC上增加內存。
在Radio視圖下配置wmm disable命令。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
