目录 1 WLAN 安全 WLAN 安全配置命令 authentication-method cipher-suite dot1x supplicant eap-method dot1x supplica

目录 1 WLAN 安全 1-1 1.1 WLAN 安全配置命令 1-1 1.1.1 authentication-method 1-1 1.1.2 cipher-suite 1-1 1.1.3 dot1x supplicant eap-method 1-2 1.1.4 dot1x supplicant enable 1-3 1.1.5 dot1x supplicant password 1-3 1.1.6 dot1x supplicant username 1-4 1.1.7 gtk-rekey client-offline enable 1-5 1.1.8 gtk-rekey enable 1-5 1.1.9 gtk-rekey method 1-6 1.1.10 key-derivation 1-7 1.1.11 pmf 1-7 1.1.12 pmf association-comeback 1-8 1.1.13 pmf saquery retry 1-9 1.1.14 pmf saquery timeout 1-9 1.1.15 ptk-lifetime 1-10 1.1.16 security-ie 1-10 1.1.17 tkip-cm-time 1-11 1.1.18 wep default-key 1-12 1.1.19 wep key-id 1-13 1.1.20 wep mode 1-13 i

1 WLAN 安全 1.1 WLAN 安全配置命令 1.1.1 authentication-method authentication-method { open-system shared-key } undo authentication-method { open-system shared-key } open-system: 启用开放式认证 shared-key: 启用共享密钥认证 描述 authentication-method 命令用来选择 802.11 规定的认证方式 undo authentication-method 命令用来禁用所选择的认证方式 缺省情况下, 启用 open-system 认证方式 使用该命令设置认证方式时, 可以选择开放式系统认证或共享密钥认证, 也可以同时启用两种认证方式 举例 # 启用开放式认证 [Sysname] wlan service-template 1 clear [Sysname-wlan-st-1] authentication-method open-system # 启用共享密钥认证 [Sysname-wlan-st-1] authentication-method shared-key 1.1.2 cipher-suite cipher-suite { ccmp tkip wep40 wep104 wep128 }* undo cipher-suite { ccmp tkip wep40 wep104 wep128 }* 1-1

ccmp: 启用 AES-CCMP 加密套件 tkip: 启用 TKIP 加密套件 wep40: 启用 WEP40 加密套件 wep104: 启用 WEP104 加密套件 wep128: 启用 WEP128 加密套件 描述 cipher-suite 命令用来配置在帧加密时使用的加密套件 undo cipher-suite 命令用来禁用选择的加密套件 缺省情况下, 没有选择任何加密套件 举例 # 启用 TKIP 加密套件 [Sysname-wlan-st-1] cipher-suite tkip 1.1.3 dot1x supplicant eap-method dot1x supplicant eap-method { md5 peap-gtc peap-mschapv2 ttls-gtc ttls-mschapv2 } undo dot1x supplicant eap-method 视图 AP 配置视图 缺省级别 md5: 认证方法为 MD5 peap-gtc: 认证方法为 PEAP-GTC peap-mschapv2: 认证方法为 PEAP-MSCHAPV2 ttls-gtc: 认证方法为 TTLS-GTC ttls-mschapv2: 认证方法为 TTLS-MSCHAPV2 1-2

描述 dot1x supplicant eap-method 命令用来配置 AP 作为 802.1X 客户端时采用的认证方法 undo dot1x supplicant eap-method 命令用来恢复缺省情况 缺省情况下, 没有配置 AP 作为 802.1X 客户端的认证方法 开启 AP 以太网接口下 802.1X 客户端功能后, 默认采用 MD5 方式进行认证 举例 # 配置 AP 作为 802.1X 客户端的认证方法为 MD5 [Sysname] wlan ap ap1 model WA3628i-AGN [Sysname-wlan-ap-ap1] provision [Sysname-wlan-ap-ap1-prvs] dot1x supplicant eap-method md5 1.1.4 dot1x supplicant enable dot1x supplicant enable undo dot1x supplicant enable 视图 AP 配置视图 缺省级别 2: 系统级 描述 dot1x supplicant enable 命令用来开启 AP 以太网接口下 802.1X 客户端功能 undo dot1x supplicant enable 命令用来恢复缺省情况 缺省情况下,AP 以太网接口下的 802.1X 客户端功能处于关闭状态 举例 # 开启 AP 以太网接口下 802.1X 客户端功能 [Sysname] wlan ap ap1 model WA3628i-AGN [Sysname-wlan-ap-ap1] provision [Sysname-wlan-ap-ap1-prvs] dot1x supplicant enable 1.1.5 dot1x supplicant password dot1x supplicant password { cipher simple } password undo dot1x supplicant password 1-3

视图 AP 配置视图 缺省级别 cipher: 表示以密文方式设置用户密码 simple: 表示以明文方式设置用户密码 password: 设置的明文密码或密文密码, 区分大小写 明文密码为 1~127 个字符的字符串 ; 密文密码为 1~201 个字符的字符串 描述 dot1x supplicant password 命令用来配置 AP 作为 802.1X 客户端的认证密码 undo dot1x supplicant password 命令用来恢复缺省情况 缺省情况下, 没有配置 AP 作为 802.1X 客户端的认证密码 举例 # 配置 AP 作为 802.1X 客户端的认证密码为 123456. [Sysname] wlan ap ap1 model WA3628i-AGN [Sysname-wlan-ap-ap1] provision [Sysname-wlan-ap-ap1-prvs] dot1x supplicant supplicant password simple 123456 1.1.6 dot1x supplicant username dot1x supplicant username username undo dot1x supplicant username 视图 AP 配置视图 缺省级别 username: 进行 802.1X 客户端认证的认证用户名 ; 为 1~253 个字符的字符串, 区分大小写 描述 dot1x supplicant username 命令用来配置 AP 作为 802.1X 客户端的认证用户名 undo dot1x supplicant username 命令用来恢复缺省情况 缺省情况下, 没有配置 AP 作为 802.1X 客户端的认证用户名 举例 # 配置 AP 作为 802.1X 客户端的认证用户名为 aaa 1-4

[Sysname] wlan ap ap1 model WA3628i-AGN [Sysname-wlan-ap-ap1] provision [Sysname-wlan-ap-ap1-prvs] dot1x supplicant usernmae aaa 1.1.7 gtk-rekey client-offline enable gtk-rekey client-offline enable undo gtk-rekey client-offline 无 描述 gtk-rekey client-offline enable 命令用来启动当无线客户端离线时更新 GTK 的功能 undo gtk-rekey client-offline 命令用来关闭无线客户端离线更新 GTK 的功能 缺省情况下, 关闭无线客户端离线更新 GTK 的功能 只有执行了 gtk-rekey enable 命令, 此功能才生效 举例 # 启用当无线客户端离线时更新 GTK 的功能 [Sysname-wlan-st-1] gtk-rekey client-offline enable 1.1.8 gtk-rekey enable gtk-rekey enable undo gtk-rekey enable 无 1-5

描述 gtk-rekey enable 命令用来设置允许 GTK 更新 undo gtk-rekey enable 命令用来禁止 GTK 更新 缺省情况下, 启用 GTK 更新功能 举例 # 禁止 GTK 更新 [Sysname-wlan-st-1] undo gtk-rekey enable 1.1.9 gtk-rekey method gtk-rekey method { packet-based [ packet ] time-based [ time ] } undo gtk-rekey method packet-based: 设置 GTK 密钥更新采用基于数据包的方法 packet: 指定传输的数据包 ( 组播数据包 ) 的数目, 在传送指定数目的数据包 ( 组播数据包 ) 后更新 GTK, 取值范围为 5000~4294967295 time-based: 设置 GTK 密钥更新采用基于时间的方法 time: 指定 GTK 密钥更新的周期 取值范围为 180~604800, 单位为秒 描述 gtk-rekey method 命令用来设置 GTK 进行密钥的更新方法 undo gtk-rekey method 命令用来恢复缺省情况 缺省情况下,GTK 密钥更新采用基于时间的方法, 缺省的时间间隔是 86400 秒 如果配置了基于时间的 GTK 密钥更新, 则在指定时间间隔后进行 GTK 更新密钥, 时间间隔的取值范围为 180~604800 秒, 缺省为 86400 秒 如果配置了基于数据包的 GTK 密钥更新, 则在传输了指定数目的数据包 ( 组播数据包 ) 后进行 GTK 密钥更新, 数据包数目的取值范围为 5000~4294967295; 缺省情况下, 在传输了 10000000 个报文后进行密钥更新 使用该命令配置 GTK 密钥更新方法时, 新配置的方法会覆盖前一次的配置 例如, 如果先配置了基于数据包的方法, 然后又配置了基于时间的方法, 则最后生效的是基于时间的方法 1-6

举例 # 设置采用基于数据包的方法进行 GTK 密钥更新, 且在传输了 60000 个数据包后进行密钥更新 [Sysname-wlan-st-1] gtk-rekey method packet-based 60000 1.1.10 key-derivation key-derivation { sha1 sha1-and-sha256 sha256 } undo key-derivation sha1: 支持使用 HMAC-SHA1 散列算法 sha1-and-sha256: 支持使用 HMAC-SHA1 和 HMAC-SHA256 散列算法 sha256: 支持使用 HMAC-SHA256 散列算法 描述 key-derivation 命令用来配置密钥衍生类型 undo key-derivation 命令用来恢复缺省情况 缺省情况下, 密钥衍生类型是 sha1 需要注意的是 : 当认证类型为 PSK 或 802.1X 时, 使用该命令配置的密钥衍生类型才能生效 配置保护管理帧功能时, 如果选择 mandatory 参数, 建议指定密钥衍生类型为 sha256 相关配置可参考命令 pmf 举例 # 配置密钥衍生类型为 HMAC-SHA1 或 HMAC-SHA256 散列算法 [Sysname-wlan-st-1] key-derivation sha1-and-sha256 1.1.11 pmf pmf { mandatory optional } undo pmf 视图 服务模板视图 1-7

缺省级别 mandatory: 强制要求只有支持保护管理帧功能的客户端可以接入 optional: 支持或不支持保护管理帧功能的客户端均可接入 描述 pmf 命令用来配置保护管理帧功能 undo pmf 命令用来关闭保护管理帧功能 缺省情况下, 保护管理帧功能处于关闭状态 举例 # 开启保护管理帧功能, 且强制要求只有支持保护管理帧功能的客户端可以接入 [Sysname-wlan-st-1] pmf mandatory 1.1.12 pmf association-comeback pmf association-comeback value undo pmf association-comeback value: 关联返回时间, 在该时间超时前,AP 不会处理客户端发送的关联 / 重关联请求 取值范围为 1~20, 单位为秒 描述 pmf association-comeback 命令用来配置关联返回时间 undo pmf association-comeback 命令用来恢复缺省情况 缺省情况下, 关联返回时间为 1 秒 相关配置可参考命令 pmf pmf saquery retry 和 pmf saquery timeout 举例 # 配置关联返回时间为 2 秒 [Sysname-wlan-st-1] pmf association-comeback 2 1-8

1.1.13 pmf saquery retry pmf saquery retry value undo pmf saquery retry value:ap 发送 SA Query 请求帧的重传次数, 取值范围为 1~16 描述 pmf saquery retry 命令用来配置 AP 发送 SA Query 请求帧的重传次数 undo pmf saquery retry 命令是用来恢复缺省情况 缺省情况下,AP 发送 SA Query 请求帧的重传次数为 4 次 相关配置可参考命令 pmf pmf association-comeback 和 pmf saquery timeout 举例 # 配置 AP 发送 SA Query 请求帧的重传次数为 3 次 [Sysname-wlan-st-1] pmf saquery retry 3 1.1.14 pmf saquery timeout pmf saquery timeout value undo pmf saquery timeout value:sa Query 超时时间, 若 AP 在 SA Query 超时时间内未收到客户端的 SA Query 响应帧,AP 将再次发送 SA Query 请求帧 取值范围为 100~500, 单位为毫秒 描述 pmf saquery timeout 命令用来配置 SA Query 超时时间 undo pmf saquery timeout 命令用来恢复缺省情况 缺省情况下,SA Query 超时时间为 200 毫秒 1-9

相关配置可参考命令 pmf pmf saquery retry 和 pmf saquery timeout 举例 # 配置 SA Query 超时时间为 300 毫秒 [Sysname-wlan-st-1] pmf saquery timeout 300 1.1.15 ptk-lifetime ptk-lifetime time undo ptk-lifetime time: 指定生存时间, 取值范围为 180~604800, 单位为秒 描述 ptk-lifetime 命令用来设置 PTK 的生存时间 undo ptk-lifetime 命令用来恢复 PTK 的生存时间为缺省值 缺省情况下,PTK 的生存时间是 43200 秒 举例 # 设置 PTK 的生存时间为 86400 秒 [Sysname-wlan-st-1] ptk-lifetime 86400 1.1.16 security-ie security-ie { rsn wpa } undo security-ie { rsn wpa } 2: 系统级 1-10

参数 rsn: 设置在 AP 发送信标和探查响应帧时携带 RSN IE RSN IE 通告了 AP 的 RSN 能力 wpa: 设置在 AP 发送信标和探查响应帧时携带 WPA IE WPA IE 通告了 AP 的 WPA 能力 描述 security-ie 命令用来设置信标和探查响应帧携带 WPA IE 或 RSN IE, 或者同时携带二者 undo security-ie 命令用来设置信标和探查响应帧不携带 WPA IE 或 RSN IE 缺省情况下, 信标和探查响应帧不携带 WPA IE 或 RSN IE 举例 # 配置信标和探查帧携带 WPA IE 信息 [Sysname-wlan-st-1] security-ie wpa 1.1.17 tkip-cm-time tkip-cm-time time undo tkip-cm-time time: 设置 TKIP 反制策略实施时间, 取值范围为 0~3600, 单位为秒 描述 tkip-cm-time 命令用来设置 TKIP 反制策略实施的时间 undo tkip-cm-time 命令用来恢复 TKIP 反制策略实施的时间为缺省值 缺省情况下,TKIP 反制策略实施的时间为 0 秒, 即不启动反制策略 启动 TKIP 反制策略后, 如果在一定时间内发生了两次 MIC 错误, 则会解除所有关联到该无线服务的无线客户端, 并且只有在 TKIP 反制策略实施的时间后, 才允许无线客户端重新建立关联 举例 # 设置 TKIP 反制策略的时间间隔为 90 秒 [Sysname-wlan-st-1] tkip-cm-time 90 1-11

1.1.18 wep default-key wep default-key key-index { wep40 wep104 wep128} { pass-phrase raw-key } [ cipher simple ] key undo wep default-key key-index key-index: 密钥索引值如下 : 1: 配置第一个 WEP 缺省密钥 2: 配置第二个 WEP 缺省密钥 3: 配置第三个 WEP 缺省密钥 4: 配置第四个 WEP 缺省密钥 wep40: 设置 WEP40 密钥选项 wep104: 设置 WEP104 密钥选项 wep128: 设置 WEP128 密钥选项 pass-phrase: 设置以字符串方式输入预共享密钥 raw-key: 设置以十六进制数方式输入预共享密钥 cipher: 以密文方式设置密钥 simple: 以明文方式设置密钥 key: 设置明文密钥或密文密钥, 区分大小写 明文密钥的长度范围和选择的密钥参数有关 具体关系如下 密文密钥的取值范围是 24~88 在不指定 simple 或 cipher 的情况下, 表示以明文方式输入密钥 对于 wep40 pass-phrase, 密钥是 5 个字符的字符串 对于 wep104 pass-phrase, 密钥是 13 个字符的字符串 对于 wep128 pass-phrase, 密钥是 16 个字符的字符串 对于 wep40 raw-key, 密钥是 10 个 16 进制数 对于 wep104 raw-key, 密钥是 26 个 16 进制数 对于 wep128 raw-key, 密钥是 32 个 16 进制数 描述 wep default-key 命令用来配置 WEP 缺省密钥 undo wep default-key 命令用来删除已配置的 WEP 缺省密钥 缺省情况下,WEP 缺省密钥索引值为 1 以明文或密文方式设置的密钥, 均以密文的方式保存在配置文件中 1-12

举例 # 以明文方式设置第一个 WEP 缺省密钥为 12345 [Sysname-wlan-st-1] wep default-key 1 wep40 pass-phrase simple 12345 1.1.19 wep key-id wep key-id { 1 2 3 4 } undo wep key-id key-index: 密钥索引号的取值范围为 1~4, 详细如下 : 1: 选择密钥索引为 1 2: 选择密钥索引为 2 3: 选择密钥索引为 3 4: 选择密钥索引为 4 描述 wep key-id 命令用来配置密钥索引号 undo wep key-id 命令用来恢复缺省情况 缺省情况下, 密钥索引号为 wep default-key 命令配置的值 在 WEP 中有四个静态的密钥 其密钥索引分别是 1 2 3 和 4 指定的密钥索引所对应的密钥将被用来进行帧的加密和解密 相关配置可参考命令 wep default-key 举例 # 配置密钥索引号为 2 [Sysname-wlan-st-1] wep key-id 2 1.1.20 wep mode wep mode dynamic undo wep mode 1-13

dynamic: 配置动态 WEP 加密 描述 wep mode 命令用来配置动态 WEP 加密 undo wep mode 命令用来恢复缺省情况 缺省情况下, 使用静态 WEP 密钥方式 需要注意的是 : 配置动态 WEP 加密必须和 802.1x 认证方式一起使用, 并且 wep key-id 不能配置为 4 配置动态 WEP 加密后, 设备会自动使用 WEP 104 加密方式, 用户可以通过 cipher-suite 命令修改 WEP 加密方式为其他方式 配置动态 WEP 加密后, 用来加密单播数据帧的 WEP 密钥由无线客户端和服务器协商产生 如果配置动态 WEP 加密的同时配置了 WEP 密钥, 则该 WEP 密钥作为组播密钥, 用来加密组播数据帧 如果不配置 WEP 密钥, 则由设备随机生成组播密钥 相关配置可参考命令 wep key-id 和 cipher-suite 举例 # 配置动态 WEP 加密 [Sysname-wlan-st-1] wep mode dynamic 1-14