01-WLAN用戶安全命令
本章節下載: 01-WLAN用戶安全命令 (317.91 KB)
目 錄
1.1.3 display wlan private-psk cloud-password
1.1.4 display wlan private-psk cloud-password mac-binding
1.1.6 enhanced-open transition-mode service-template
1.1.7 gtk-rekey client-offline enable
1.1.12 pmf association-comeback
1.1.14 pmf saquery retrytimeout
1.1.17 private-psk fail-permit enable
1.1.21 snmp-agent trap enable wlan usersec
1.1.26 wlan password-failure-limit enable
akm mode命令用來配置身份認證與密鑰管理的模式。
undo akm mode命令用來恢複缺省情況。
【命令】
akm mode { dot1x | private-psk | psk | anonymous-dot1x }
undo akm mode
【缺省情況】
未配置身份認證與密鑰管理。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
dot1x:表示身份認證與密鑰管理的模式是802.1X模式。
private-psk:表示身份認證與密鑰管理的模式是Private-PSK模式。
psk:表示身份認證與密鑰管理的模式是PSK模式。
anonymous-dot1x:表示身份認證與密鑰管理的模式是Wi-Fi聯盟匿名802.1X模式。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置,並且隻能配置一種模式。
當WLAN網絡采用RSNA安全機製時,必須配置身份認證與密鑰管理。若配置了身份認證與密鑰管理模式為Wi-Fi聯盟匿名802.1X模式,則安全IE隻能配置為OSEN IE。
每一種身份認證模式都有互相依賴的用戶認證方式:
· 802.1X模式和802.1X用戶認證模式相互依賴,必須同時配置。有關802.1X的詳細介紹請參見“用戶接入與認證配置指導”中的“WLAN用戶接入認證”。
· Private-PSK模式和MAC地址認證模式相互依賴,必須同時配置,有關MAC地址認證的詳細介紹請參見“用戶接入與認證配置指導”中的“WLAN用戶接入認證”。
· PSK模式和MAC地址認證模式或Bypass用戶認證模式相互依賴,必須同時配置。有關MAC地址認證和Bypass認證的詳細介紹請參見“用戶接入與認證配置指導”中的“WLAN用戶接入認證”。
· Wi-Fi聯盟匿名802.1X模式和802.1X用戶認證模式相互依賴,必須同時配置。
【舉例】
# 配置身份認證與密鑰管理模式為PSK模式。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] akm mode psk
【相關命令】
· cipher-suite
· security-ie
cipher-suite命令用來配置在幀加密時使用的加密套件。
undo cipher-suite命令用來取消在幀加密時使用指定的加密套件。
【命令】
cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }
undo cipher-suite { ccmp | tkip | wep40 | wep104 | wep128 }
【缺省情況】
未配置加密套件。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
ccmp:AES-CCMP加密套件。
tkip:TKIP加密套件。
wep40:WEP40加密套件。
wep104:WEP104加密套件。
wep128:WEP128加密套件。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。
如果配置了安全IE,則必須配置TKIP或者CCMP加密套件中的一種。當WLAN網絡采用RSNA安全機製時,必須配置加密套件。
WEP加密套件隻能配置WEP40/WEP104/WEP128其中的一種,且需要配置與加密套件種類相對應的WEP密鑰及WEP密鑰ID。
同時配置WEP40\WEP104和CCMP\TKIP加密套件時,可能會導致某些無線客戶端無法上線,因此不建議同時配置。
WEP128和CCMP或TKIP不能同時配置。
【舉例】
# 配置在幀加密時使用TKIP加密套件。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] cipher-suite tkip
【相關命令】
· security-ie
· wep key
· wep key-id
display wlan private-psk cloud-password命令用來顯示PPSK密碼相關信息。
【命令】
display wlan private-psk cloud-password [ password-id ] [ verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
mdc-admin
mdc-operator
【參數】
password-id:顯示指定密碼ID的PPSK密碼數據。如果不指定本參數,則顯示所有PPSK密碼數據。
verbose:顯示PPSK密碼數據的詳細信息。如果不指定本參數,則顯示PPSK密碼數據的簡要信息。
【舉例】
# 顯示所有PPSK密碼數據。
<Sysname> display wlan private-psk cloud-password
Total number: 2
PWD ID Username Max clients Used Update time Aging time(Min)
1111 zhangsan@3521buyd.. 2 1 2018/11/26 10:52 10080
1112 lisi 2 1 2018/11/26 10:59 10080
表1-1 display wlan private-psk cloud-password命令顯示信息描述表
字段 |
描述 |
Total number |
PPSK密碼總數 |
PWD ID |
密碼ID |
Username |
用戶名 |
Max clients |
允許使用該密碼認證的終端數 |
Used |
使用該密碼認證上線過的終端數 |
Update time |
設備側密碼更新時間 |
Aging time(Min) |
密碼老化時間(單位:分) |
# 顯示指定密碼ID的PPSK密碼數據詳細信息。
<Sysname> display wlan private-psk cloud-password 1111 verbose
Site ID : 23
Password ID : 1111
Update time : 2018/11/26 10:52
Expiration time : 2018/12/03 10:52
Aging time(min) : 10080
Username : zhangsan@3521buydfgsygf
Max clients : 2
Used : 1
CAR:
Average inbound : 102400 bps
Average outbound : 102400 bps
Password : jfkeiksdfdnfksnfekdssdfelsmdfei4f5ds4
表1-2 display wlan private-psk cloud-password verbose命令顯示信息描述表
字段 |
描述 |
Site ID |
場所ID |
Password ID |
密碼ID |
Update time |
設備側密碼更新時間 |
Expiration time |
密碼過期時間 |
Aging time (min) |
密碼老化時間(單位:分) |
Username |
用戶名 |
Max clients |
允許使用該密碼認證的終端數 |
Used |
使用該密碼認證上線過的終端數 |
CAR |
通過雲平台完成PPSK認證上線的終端承諾訪問速率 |
Average inbound |
平均下行速率(單位:bps) |
Average outbound |
平均上行速率(單位:bps) |
Password |
密碼 |
display wlan private-psk cloud-password mac-binding命令用來顯示PPSK密碼和無線用戶MAC地址綁定關係。
【命令】
display wlan private-psk cloud-password mac-binding [ password-id ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
mdc-admin
mdc-operator
【參數】
password-id:顯示指定密碼ID的PPSK密碼和MAC地址綁定關係。如果不指定本參數,則顯示所有PPSK密碼和MAC地址綁定關係。
【舉例】
# 顯示所有PPSK密碼和無線用戶MAC地址綁定關係。
<Sysname> display wlan private-psk cloud-password mac-binding
Total: 2
PWD ID MAC address Binding time Expiration time
1111 D34A-A35C-28A3(+) 2018/11/26 11:22 2018/12/03 11:00
2222 A54E-368D-A433(*) 2018/11/26 11:30 2018/12/02 11:00
#顯示指定密碼ID的PPSK密碼和無線用戶MAC地址綁定關係。
<Sysname> display wlan private-psk cloud-password mac-binding 1111
Total Number: 1
PWD ID MAC address Binding time Expiration time
1111 D34A-A35C-28A3(+) 2018/11/26 11:22 2018/12/03 11:00
表1-3 display wlan private-psk cloud-password mac-binding命令顯示信息描述表
字段 |
描述 |
Total |
綁定MAC地址總數 |
PWD ID |
密碼ID |
MAC address |
與該密碼綁定的MAC地址,(*)表示密碼創建時預綁定的MAC地址;(+)表示終端通過該密碼上線時綁定的MAC地址 |
Binding time |
密碼和MAC地址綁定時間 |
Expiration time |
密碼過期時間 |
enhanced-open enable命令用來開啟增強開放係統認證服務。
undo enhanced-open enable命令用來關閉增強開放係統認證服務。
【命令】
enhanced-open enable
undo enhanced-open enable
【缺省情況】
增強開放係統認證服務處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
增強開放係統認證(Enhanced Open system authentication)是一種在開放型無線接入網絡中為無線客戶端提供數據加密的增強開放認證服務。開啟此服務後,客戶端接入網絡時無需輸入密碼,設備與客戶端會使用OWE協議(Opportunistic Wireless Encryption,機會性無線加密)自動協商出密鑰,實現數據報文的加密。在開放型無線接入網絡中,建議開啟此服務。
本命令隻能在無線服務模板處於關閉狀態時配置。
開啟本功能的無線服務模板下的如下功能需要保持缺省狀態:WPA3安全模式、FT功能、保護管理幀功能,安全IE、加密套件和密鑰衍生算法。開啟本功能後,設備會自動完成如下設置:
· 安全IE配置為RSN。
· 加密套件配置為CCMP。
· 保護管理幀功能開啟。
· 密鑰衍生算法為sha256或sha384。
【舉例】
# 開啟增強開放係統認證服務。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] enhanced-open enable
【相關命令】
· enhanced-open transition-mode service-template
enhanced-open transition-mode service-template命令用來指定過渡模式下推薦的無線服務。
undo enhanced-open transition-mode service-template命令用於恢複缺省情況。
【命令】
enhanced-open transition-mode service-template service-template-name
undo enhanced-open transition-mode service-template
【缺省情況】
未指定過渡模式下推薦的無線服務。
【參數】
service-template-name:指定過渡模式下推薦的無線服務模板名稱,為1~63個字符的字符串,不區分大小寫。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
過渡模式是一種在同時配置了增強開放係統認證服務和開放係統認證服務的情況下,根據無線客戶端的支持情況,推薦客戶端選擇接入增強開放係統認證服務或開放係統認證服務的模式。
當網絡中同時存在支持OWE協議和不支持OWE協議的無線客戶端時,為了讓客戶端根據自身能力快速接入更合適的無線服務,建議配置該功能。
指定過渡模式下推薦的無線服務後,支持OWE協議的無線客戶端接入開放係統認證服務時,開放係統認證服務會推薦該無線客戶端到配置的增強開放係統認證服務下接入。
本命令需要在開放係統認證服務的無線服務模板和增強開放係統認證服務的無線服務模板下同時配置。
本命令隻能在無線服務模板處於關閉狀態時配置。
增強開放係統認證服務的無線服務模板下指定過渡模式下推薦的無線服務,需要同時配置SSID隱藏功能。
互為過渡模式無線服務的兩個無線服務模板需綁定在同一Radio下。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 指定service1的過渡模式下推薦的無線服務為service2。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] enhanced-open transition-mode service-template service2
【相關命令】
· enhanced-open enable
· beacon ssid-hide(WLAN接入命令參考/WLAN接入)
gtk-rekey client-offline enable命令用來開啟客戶端離線更新GTK功能。
undo gtk-rekey client-offline enable命令用來關閉客戶端離線更新GTK功能。
【命令】
gtk-rekey client-offline enable
undo gtk-rekey client-offline enable
【缺省情況】
客戶端離線更新GTK功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
隻有開啟了更新GTK功能,客戶端離線更新GTK的功能才能生效。
【舉例】
# 開啟客戶端離線更新GTK功能。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey client-offline enable
【相關命令】
· gtk-rekey enable
gtk-rekey enable命令用來開啟更新GTK功能。
undo gtk-rekey enable命令用來關閉更新GTK功能。
【命令】
gtk-rekey enable
undo gtk-rekey enable
【缺省情況】
更新GTK功能處於開啟狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【舉例】
# 開啟更新GTK功能。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey enable
gtk-rekey method命令用來配置GTK更新方法。
undo gtk-rekey method命令用來恢複缺省情況。
【命令】
gtk-rekey method { packet-based [ packet ] | time-based [ time ] }
undo gtk-rekey method
【缺省情況】
GTK更新采用基於時間的方法,時間間隔為86400秒。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
packet-based:表示基於數據包的更新方法。
packet:指定傳輸的數據包(包括組播和廣播)的數目,在傳送指定數目的數據包(包括組播和廣播)後更新GTK,取值範圍為5000~4294967295,缺省值為10000000。
time-based:表示基於時間的GTK更新方法。
time:指定GTK密鑰更新的周期。取值範圍為180~604800,單位為秒,缺省值為86400秒。
【使用指導】
隻有開啟了GTK更新功能,GTK更新方法才能生效。
使用該命令配置GTK密鑰更新方法,多次執行本命令,最後一次執行的命令生效。例如,如果先配置了基於數據包的方法,然後又配置了基於時間的方法,則最後生效的是基於時間的方法。
若該命令在無線服務模板處於開啟狀態下配置,則分為以下幾種情況:
· 基於時間的GTK的更新方式不改變,隻改變時間值,則在原有定時器超時之後,新的定時器才可以生效;
· 基於報文數的GTK更新方式不改變,隻改變報文數值,則該新的配置立即生效;
· 更新方式由基於時間更新改為基於報文數更新,則刪除GTK更新定時器,在組播或廣播報文數大於配置的數目值之後立即生效;
· 更新方式由基於報文數更新改為基於時間更新,則基於時間方式立即生效。
【舉例】
# 配置基於時間的GTK更新方法。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey method time-based 3600
# 配置基於數據包的GTK更新方法。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] gtk-rekey method packet-based 600000
【相關命令】
· gtk-rekey enable
key-derivation命令用來配置密鑰衍生算法。
undo key-derivation命令用來恢複缺省情況。
【命令】
key-derivation { sha1 | sha1-and-sha256 | sha256 }
undo key-derivation
【缺省情況】
密鑰衍生算法為sha1。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
sha1:表示SHA1算法,它使用HMAC-SHA1算法進行迭代計算產生密鑰。
sha1-and-sha256:表示SHA1和SHA256算法,它使用HMAC-SHA1或HMAC-SHA256算法進行迭代計算產生密鑰。
sha256:表示SHA256算法,它使用HMAC-SHA256算法進行迭代計算產生密鑰。
【使用指導】
當使用RSNA安全機製,密鑰衍生算法才會生效。
如果配置保護管理幀功能為mandatory模式,建議指定密鑰衍生類型為sha256。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 配置密鑰衍生算法為SHA256。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] key-derivation sha256
【相關命令】
· akm mode
· cipher-suite
· security-ie
pmf命令用來開啟保護管理幀功能。
undo pmf命令用來關閉保護管理幀功能。
【命令】
pmf { mandatory | optional }
undo pmf
【缺省情況】
保護管理幀功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
mandatory:指定保護管理幀功能為強製模式,即不支持保護管理幀功能的客戶端無法接入。
optional:指定保護管理幀功能為可選模式,即支持或不支持保護管理幀功能的客戶端均可接入。
【使用指導】
當使用RSNA安全機製且配置了CCMP加密套件和RSN安全信息元素時,保護管理幀功能才會生效。
【舉例】
# 開啟保護管理幀功能。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] pmf optional
【相關命令】
· security-ie
· cipher-suite
pmf association-comeback命令用來配置保護管理幀的關聯返回時間。
undo pmf association-comeback命令用來恢複缺省情況。
【命令】
pmf association-comeback time
undo pmf association-comeback
【缺省情況】
保護管理幀的關聯返回時間為1秒。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
time:保護管理幀的關聯返回時間,取值範圍為1~20,單位為秒。
【使用指導】
如果AP拒絕客戶端的關聯/重關聯請求幀,會向客戶端發送關聯/重關聯響應幀,其中攜帶了保護管理幀關聯返回時間。到了保護管理幀關聯返回時間,AP才會接收客戶端的關聯/重關聯請求幀。
【舉例】
# 配置保護管理幀的關聯返回時間為2秒。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] pmf association-comeback 2
pmf saquery retrycount命令用來配置AP發送SA Query request的最大重傳次數。
undo pmf saquery retrycount命令用來恢複缺省情況。
【命令】
pmf saquery retrycount count
undo pmf saquery retrycount
【缺省情況】
AP發送SA Query request幀的最大重傳次數為4次。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
count:表示AP發送SA Query request幀的最大重傳次數,取值範圍為1~16。
【使用指導】
若AP在SA Query重試次數內未收到SA Query響應幀,並且關聯返回時間已經超時,則AP將認為客戶端已經掉線。
【舉例】
# 設置AP發送SA Query request幀的最大重傳次數為3。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] pmf saquery retrycount 3
【相關命令】
· pmf
· pmf saquery retrycount
pmf saquery retrytimeout命令用來設置AP發送SA Query request幀的時間間隔。
undo pmf saquery retrytimeout命令用來恢複缺省情況。
【命令】
pmf saquery retrytimeout timeout
undo pmf saquery retrytimeout
【缺省情況】
AP發送SA Query request幀的時間間隔為200毫秒。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
timeout:指定AP發送SA Query request幀的時間間隔,取值範圍為100~500,單位為毫秒。
【舉例】
# 設置AP發送SA Query request幀的時間間隔為300毫秒。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] pmf saquery retrytimeout 300
【相關命令】
· pmf
· pmf saquery retrytimeout
preshared-key命令用來配置PSK密鑰。
undo preshared-key命令用來恢複缺省情況。
【命令】
preshared-key { pass-phrase | raw-key } { cipher | simple } string
undo preshared-key
【缺省情況】
未配置PSK密鑰。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
pass-phrase:以字符串方式輸入預共享密鑰。
raw-key:以十六進製數方式輸入預共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。密鑰長度的範圍與選擇的密鑰參數有關,具體關係如下:
· 對於pass-phrase,明文密鑰為8~63個字符的字符串,密文密鑰為8~117個字符的字符串。
· 對於raw-key,明文密鑰為64個十六進製數,密文密鑰為8~117個字符的字符串。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。隻有認證密鑰管理模式為PSK時,此命令才能夠生效,當認證密鑰管理模式為802.1X時,配置了此項,無線服務模板可以使能,但此配置不會生效。
PSK密鑰隻能配置一個。
【舉例】
# 配置使用明文字符串12345678作為PSK密鑰。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] akm mode psk
[Sysname-wlan-st-security] preshared-key pass-phrase simple 12345678
【相關命令】
· akm mode
private-psk cloud enable命令用來開啟通過雲平台完成PPSK認證功能。
undo private-psk cloud enable命令用來關閉通過雲平台完成PPSK認證功能。
【命令】
private-psk cloud enable
undo private-psk cloud enable
【缺省情況】
通過雲平台完成PPSK認證功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
通過雲平台完成PPSK認證( Private Pre-Shared Key,私有預共享密鑰)功能是指用戶采用PSK(Private-PSK Key,預共享密鑰)認證進行身份認證,通過雲平台獲取到的接入密碼安全接入無線網絡的功能。
開啟通過雲平台完成PPSK認證功能後,當無線用戶接入認證模式為Bypass認證時,設備不對用戶進行認證,用戶通過雲平台獲取到的接入密碼接入無線網絡,當無線用戶接入認證模式為MAC地址認證時,設備會對用戶進行MAC地址認證,用戶使用通過雲平台獲取到的接入密碼接入無線網絡。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 開啟通過雲平台完成PPSK認證功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] private-psk cloud enable
【相關命令】
· akm mode
· client-security authentication-mode(用戶接入與認證配置指導/WLAN用戶接入認證)
private-psk fail-permit enable命令用來開啟PPSK無線用戶逃生功能。
undo private-psk fail-permit enable命令用來關閉PPSK無線用戶逃生功能。
【命令】
private-psk fail-permit enable
undo private-psk fail-permit enable
【缺省情況】
PPSK逃生功能處於開啟狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
無線用戶通過PPSK認證功能上線後,設備端會生成該無線用戶的MAC地址與密碼綁定關係,開啟了PPSK無線用戶逃生功能後:
· 當設備與雲平台斷開連接後,已通過雲平台完成PPSK認證功能上線的無線用戶可以繼續在線;
· 如果無線用戶的MAC地址與密碼綁定關係還未老化,則通過雲平台完成PPSK認證且上線的無線用戶可以再次上線;
· 如果無線用戶的MAC地址與密碼還未綁定過,則持用密碼但從未上線過的無線用戶可以上線。
· 如果無線用戶MAC地址與密碼綁定關係老化,設備會強製通過PPSK認證上線的無線用戶下線。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 開啟PPSK無線用戶逃生功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] private-psk fail-permit enable
【相關命令】
· private-psk cloud enable
ptk-lifetime命令用來配置PTK的生存時間。
undo ptk-lifetime命令用來恢複缺省情況。
【命令】
ptk-lifetime time
undo ptk-lifetime
【缺省情況】
PTK的生存時間為43200秒。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
time:指定生存時間,取值範圍為180~604800,單位為秒。
【使用指導】
若該命令在無線服務模板處於開啟狀態下配置,則在原有定時器超時後,該配置生效。
【舉例】
# 配置PTK生存時間為200秒。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] ptk-lifetime 200
ptk-rekey enable命令用來開啟PTK更新功能。
undo ptk-rekey enable命令用來關閉PTK更新功能。
【命令】
ptk-rekey enable
undo ptk-rekey enable
【缺省情況】
PTK更新功能處於開啟狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
PTK更新是對單播數據報文的加密密鑰進行更新的一種安全手段,采用重新進行四次握手協商出新的PTK密鑰的更新機製。
開啟本功能後,設備會按照ptk-lifetime命令配置的生存時間周期性的更新PTK。
開啟本功能後,請勿配置FT功能,否則本功能將失效。
【舉例】
# 開啟PTK更新功能。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] ptk-rekey enable
【相關命令】
· ptk-lifetime
security-ie命令用來配置信標和探查響應幀攜帶安全IE。
undo security-ie命令用來配置信標和探查響應幀不攜帶指定的安全IE。
【命令】
security-ie { osen | rsn | wpa }
undo security-ie { osen | rsn | wpa }
【缺省情況】
信標和探查響應幀不攜帶WPA IE、RSN IE或OSEN IE。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
osen:設置在AP發送信標和探查響應幀時攜帶OSEN IE。OSEN IE通告了AP的OSEN能力。
rsn:設置在AP發送信標和探查響應幀時攜帶RSN IE。RSN IE通告了AP的RSN能力。
wpa:設置在AP發送信標和探查響應幀時攜帶WPA IE。WPA IE通告了AP的WPA能力。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置,並且必須要配置CCMP或TKIP加密套件。
當WLAN網絡采用RSNA安全機製時,必須配置安全IE。
若配置了安全IE為OSEN IE,則隻能配置認證密鑰管理模式為Wi-Fi聯盟匿名802.1X模式。
【舉例】
# 配置信標幀和探查響應幀攜帶RSN信息元素。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] security-ie rsn
【相關命令】
· akm mode
· cipher-suite
snmp-agent trap enable wlan usersec命令用來開啟用戶安全的告警功能。
undo snmp-agent trap enable wlan usersec命令用來關閉用戶安全的告警功能。
【命令】
snmp-agent trap enable wlan usersec
undo snmp-agent trap enable wlan usersec
【缺省情況】
用戶安全的告警功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟了告警功能之後,該模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。(有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。)
【舉例】
# 開啟用戶安全的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable wlan usersec
tkip-cm-time命令用來配置發起TKIP反製策略時間。
undo tkip-cm-time命令用來恢複缺省情況。
【命令】
tkip-cm-time time
undo tkip-cm-time
【缺省情況】
發起TKIP反製策略時間為0,即不啟動反製策略。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
time:設置發起TKIP反製策略時間,取值範圍為0~3600,單位為秒。
【使用指導】
啟動TKIP反製策略後,如果相鄰兩次MIC錯誤的時間間隔小於等於配置的時間,則會解除所有關聯到該無線服務的客戶端,並且隻有在TKIP反製策略實施的時間(60秒)後,才允許客戶端重新建立關聯。
隻有在配置了TKIP加密套件時,此命令才能夠生效。
若該命令在無線服務模板處於開啟狀態時配置,則原有定時器超時後,該配置生效。
【舉例】
# 配置發起TKIP反製策略時間為180秒。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] tkip-cm-time 180
【相關命令】
· cipher-suite
wep key命令用來配置WEP密鑰。
undo wep key命令用來刪除指定的WEP密鑰。
【命令】
wep key key-id { wep40 | wep104 | wep128 } { pass-phrase | raw-key } { cipher | simple } string
undo wep key key-id
【缺省情況】
未配置WEP密鑰。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
key-id:密鑰的ID,取值範圍為1~4。
wep40:設置WEP40密鑰選項。
wep104:設置WEP104密鑰選項。
wep128:設置WEP128密鑰選項。
pass-phrase:表示共享密鑰為字符串。
raw-key:表示共享密鑰為十六進製數。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰的長度範圍和選擇的密鑰參數有關,具體關係如下。密文密鑰為37~73個字符的字符串。
· 對於wep40 pass-phrase,明文密鑰為5個字符的字符串。
· 對於wep104 pass-phrase,明文密鑰為13個字符的字符串。
· 對於wep128 pass-phrase,明文密鑰為16個字符的字符串。
· 對於wep40 raw-key,明文密鑰為10個16進製數。
· 對於wep104 raw-key,明文密鑰為26個16進製數。
· 對於wep128 raw-key,明文密鑰為32個16進製數。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。
WEP密鑰隻有在配置了WEP加密套件的前提下才生效,最多可以配置四個WEP密鑰。
【舉例】
# 配置加密套件為WEP40,並配置WEP40密鑰為明文12345。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] wep key 1 wep40 pass-phrase simple 12345
【相關命令】
· cipher-suite
· wep key-id
wep key-id命令用來選用WEP密鑰。
undo wep key-id命令用來恢複缺省情況。
【命令】
wep key-id { 1 | 2 | 3 | 4 }
undo wep key-id
【缺省情況】
WEP加密使用的密鑰ID為1。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
1:選擇密鑰ID為1。
2:選擇密鑰ID為2。
3:選擇密鑰ID為3。
4:選擇密鑰ID為4。
【使用指導】
如果使用RSNA安全機製,密鑰ID不能為1,需要配置其它密鑰索引值。因為RSN和WPA協商的密鑰ID將為1。本命令隻能在無線服務模板處於關閉狀態時配置。
隻有在配置了與密鑰長度相對應的WEP加密套件時,指定ID的密鑰才會生效。
當配置了多個密鑰,可以通過配置密鑰ID選擇要使用的加密密鑰。
【舉例】
# 配置WEP40加密套件,WEP40密鑰為明文12345,配置密鑰ID為1。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] cipher-suite wep40
[Sysname-wlan-st-security] wep key 1 wep40 pass-phrase simple 12345
[Sysname-wlan-st-security] wep key-id 1
【相關命令】
· wep key
wep mode dynamic命令用來開啟動態WEP加密機製。
undo wep mode dynamic命令用來關閉動態WEP加密機製。
【命令】
wep mode dynamic
undo wep mode dynamic
【缺省情況】
動態WEP加密機製處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。
配置動態WEP加密必須和dot1x用戶接入認證模式一起使用,並且wep key-id不能配置為4。
【舉例】
# 開啟動態WEP加密機製。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] wep mode dynamic
【相關命令】
· cipher-suite
· client-security authentication-mode(用戶接入與認證命令參考-WLAN用戶接入認證)
· wep key
· wep key-id
wlan password-failure-limit enable命令用來開啟密碼錯誤限製功能。
undo wlan password-failure-limit enable命令用來關閉密碼錯誤限製功能。
【命令】
wlan password-failure-limit enable [ detection-period detection-period ] [ failure-threshold failure-threshold ]
undo wlan password-failure-limit enable
【缺省情況】
密碼錯誤限製功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
detection-period detection-period:指定密碼錯誤限製功能的檢測周期,取值範圍是5~600,單位為秒,缺省值為100。
failure-threshold failure-threshold:指定密碼錯誤限製功能的檢測閾值,取值範圍是1~100,缺省值為20。
【使用指導】
開啟本功能後,在指定檢測周期內密碼校驗失敗次數達到指定上限時,客戶端會被立即加入到動態黑名單中。有關動態黑名單的詳細介紹請參見“WLAN接入配置指導”中的“WLAN接入”。
隻有當身份認證與密鑰管理模式為PSK或者Private-PSK時,密碼錯誤限製功能才會生效。
本功能僅對在設備上進行關聯的新接入的無線客戶端生效。
當STAMGR進程重啟(例如:設備重啟導致的STAMGR進程重啟)後,本功能將對密碼校驗失敗次數重新進行計數。
【舉例】
# 配置無線客戶端的密碼錯誤限製檢測周期為300秒,檢測閾值為50次。
<Sysname> system-view
[Sysname] wlan password-failure-limit enable detection-period 300 failure-threshold 50
wpa3命令用開啟WPA3安全模式。
undo wpa3命令用來關閉WPA3安全模式。
【命令】
wpa3 { enterprise | personal { mandatory | optional } }
undo wpa3
【缺省情況】
WPA3安全模式處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
enterprise:使用WPA3企業級。
personal:使用WPA3個人級。
mandatory:指定WPA3安全模式為強製模式,即不支持WPA3安全模式的客戶端無法接入。
optional:指定WPA3安全模式為可選模式,即支持和不支持WPA3安全模式的客戶端均可接入。
【使用指導】
開啟WPA3安全模式時:
· 對於WPA3企業級:加密套件必須配置為GCMP,安全信息元素必須配置為RSN。
· 對於WPA3個人級:加密套件必須配置為CCMP,安全信息元素必須配置為RSN。
開啟WPA3安全模式後,建議同時開啟保護管理幀功能。
請不要同時開啟WPA3安全模式、快速BSS切換功能或增強開放係統認證服務,否則會導致無線服務模板使能失敗。關於快速BSS切換功能的詳細信息請參見“WLAN漫遊配置指導”中的“WLAN漫遊”。
【舉例】
# 配置WPA3安全模式為個人級強製模式。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] wpa3 personal mandatory
【相關命令】
· cipher-suite
· security-ie
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!