WIFI(WLAN)安全命令

04-WLAN安全命令
目  录

1 WLAN安全配置命令... 1-1

1.1.1 authentication-method. 1-1

1.1.2 cipher-suite. 1-2

1.1.3 gtk-rekey client-offline. 1-2

1.1.4 gtk-rekey enable. 1-3

1.1.5 gtk-rekey method. 1-3

1.1.6 ptk-lifetime. 1-4

1.1.7 security-ie. 1-5

1.1.8 tkip-cm-time. 1-5

1.1.9 wep default-key. 1-6

1.1.10 wep key-id. 1-7

1.1.11 wep mode. 1-8







l          不同型号产品的特性功能支持情况略有不同，详细请参见“特性差异化列表” 部分的介绍。

l          设备支持的接口类型和编号与设备的实际情况相关，使用中请以设备实际情况为准。



1 WLAN安全配置命令
1.1.1  authentication-method
【命令】

authentication-method { open-system | shared-key }

undo authentication-method { open-system | shared-key }

【视图】

服务模板视图

【缺省级别】

2：系统级

【参数】

open-system：使能开放式认证。

shared-key：使能共享密钥认证。

【描述】

authentication-method命令用来选择802.11规定的认证方式。undo authentication-method命令用来禁用所选择的认证方式。

缺省情况下，使用open-system认证方式。

使用该命令设置认证方式时，当前服务模板为crypto类型的，且加密方式为WEP方式时，认证方式可以同时是open-system或shared-key类型的。



l          当前模板类型为clear时，只能使能open-system类型的认证；

l          当前模板类型为crypto时，则可以使能open-system或shared-key类型的认证；

l          当前模板类型为wapi时，不支持认证功能。



【举例】

# 使能开放式认证。

<Sysname> system-view

[Sysname] wlan service-template 1 clear

[Sysname-wlan-st-1] authentication-method open-system

# 使能共享密钥认证。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] authentication-method shared-key

1.1.2  cipher-suite
【命令】

cipher-suite { ccmp | tkip | wep40 | wep104 | wep128}*

undo cipher-suite { ccmp | tkip | wep40 | wep104 | wep128}*

【视图】

服务模板视图（crypto类型）

【缺省级别】

2：系统级

【参数】

ccmp：使能CCMP加密套件，CCMP是一种基于AES加密算法的加密机制。

tkip：使能TKIP加密套件，TKIP是一种基于RC4算法和动态密钥管理的加密机制。

wep40：使能WEP40加密套件，WEP是一种基于RC4算法和共享密钥管理的加密机制。

wep104：使能WEP104加密套件。

wep128：使能WEP128加密套件。

【描述】

cipher-suite命令用来配置在帧加密时使用的加密套件。undo cipher-suite命令用来停用选择的加密套件。

缺省情况下，没有选择任何加密套件。

目前支持的加密套件有CCMP、TKIP、WEP40、WEP104、WEP128。

【举例】

# 使能TKIP加密套件。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] cipher-suite tkip

1.1.3  gtk-rekey client-offline
【命令】

gtk-rekey client-offline enable

undo gtk-rekey client-offline

【视图】

服务模板视图（crypto类型）

【缺省级别】

2：系统级

【参数】

无

【描述】

gtk-rekey client-offline enable命令用来启动当客户端离线时更新GTK（Group Temporal Key，群组临时密钥）的功能。undo gtk-rekey client-offline命令用来关闭客户端离线更新GTK的功能。

缺省情况下，关闭客户端离线更新GTK的功能。

只有执行了gtk-rekey enable命令，此功能才生效。

【举例】

# 启用当客户端离线时更新GTK的功能。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] gtk-rekey client-offline enable

1.1.4  gtk-rekey enable
【命令】

gtk-rekey enable

undo gtk-rekey enable

【视图】

服务模板视图（crypto类型）

【缺省级别】

2：系统级

【参数】

无

【描述】

gtk-rekey enable命令用来设置允许GTK更新。undo gtk-rekey enable命令用来禁止GTK更新。

缺省情况下，使能GTK更新功能。

【举例】

# 禁止GTK更新。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] undo gtk-rekey enable

1.1.5  gtk-rekey method
【命令】

gtk-rekey method { packet-based [ packet ] | time-based [ time ] }

undo gtk-rekey method

【视图】

服务模板视图（crypto类型）

【缺省级别】

2：系统级

【参数】

packet-based：设置GTK密钥更新采用基于数据包的方法。

packet：指定传输的数据包（包括组播和广播）的数目，在传送指定数目的数据包（包括组播和广播）后更新GTK，取值范围为5000～4294967295。

time-based：设置GTK密钥更新采用基于时间的方法。

time：指定GTK密钥更新的周期。取值范围为180～604800，单位为秒。

【描述】

gtk-rekey method命令用来设置GTK进行密钥的更新方法。undo gtk-rekey method命令用来恢复缺省情况。

缺省情况下，GTK密钥更新采用基于时间的方法，缺省的时间间隔是86400秒。

l              如果配置了基于时间的GTK密钥更新，则在指定时间间隔后进行GTK更新密钥，时间间隔的取值范围为180～604800秒，缺省为86400秒。

l              如果配置了基于数据包的GTK密钥更新，则在传输了指定数目的数据包后进行GTK密钥更新，数据包数目的取值范围为5000～4294967295；缺省情况下，在传输了10000000个报文后进行密钥更新。



使用该命令配置GTK密钥更新方法时，新配置的方法会覆盖前一次的配置。例如，如果先配置了基于数据包的方法，然后又配置了基于时间的方法，则最后生效的是基于时间的方法。



【举例】

# 设置采用基于数据包的方法进行GTK密钥更新，且在传输了60000个数据包后进行密钥更新。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] gtk-rekey method packet-based 60000

1.1.6  ptk-lifetime
【命令】

ptk-lifetime time

undo ptk-lifetime

【视图】

服务模板视图（crypto类型）

【缺省级别】

2：系统级

【参数】

time：指定生存时间，取值范围为180～604800，单位为秒。。

【描述】

ptk-lifetime命令用来设置PTK（Pairwise Transient Key，成对临时密钥）的生存时间。undo ptk-lifetime命令用来恢复PTK的生存时间为缺省值。

缺省情况下，PTK的生存时间是43200秒。

【举例】

# 设置PTK的生存时间为86400秒。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] ptk-lifetime 86400

1.1.7  security-ie
【命令】

security-ie { rsn | wpa }

undo security-ie { rsn | wpa }

【视图】

服务模板视图（crypto类型）

【缺省级别】

2：系统级

【参数】

rsn：设置在AP发送信标和探测响应帧时携带RSN IE。RSN IE（RSN Information Element，RSN信息元素）通告了AP的RSN（Robust Security Network，健壮安全网络）能力。

wpa：设置在AP发送信标和探测响应帧时携带WPA IE（WPA Information Element，WPA信息元素）。WPA IE通告了AP的WPA（Wi-Fi Protected Access，Wi-Fi保护访问）能力。

【描述】

security-ie命令用来设置信标和探测响应帧携带WPA IE或RSN IE，或者同时携带二者。undo security-ie命令用来设置信标和探测响应帧不携带WPA IE或RSN IE。

缺省情况下，信标和探测响应帧不携带WPA IE或RSN IE。

【举例】

# 配置信标和探测帧携带WPA IE信息。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] security-ie wpa

1.1.8  tkip-cm-time
【命令】

tkip-cm-time time

undo tkip-cm-time

【视图】

服务模板视图（crypto类型）

【缺省级别】

2：系统级

【参数】

time：设置反制策略实施时间。当在设置的时间间隔内发生两个MIC（Message Integrity Check，信息完整性校验）错误时，系统将实施反制策略。取值范围为0～3600，单位为秒。

【描述】

tkip-cm-time命令用来设置TKIP（Temporal Key Integrity Protocol，临时密钥完整性协议）反制策略实施的时间。undo tkip-cm-time命令用来恢复TKIP反制策略实施的时间为缺省值。

缺省情况下，TKIP反制策略实施的时间为0秒，即不启动反制策略。

启动反制策略后，如果在一定的时间内发生了两次MIC错误，则TKIP关联将被解除，并且在TKIP反制策略实施的时间后，客户端才能重新建立关联。

【举例】

# 设置TKIP反制策略的时间间隔为90秒。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] tkip-cm-time 90

1.1.9  wep default-key
【命令】

wep default-key key-index { wep40 | wep104 | wep128} { pass-phrase | raw-key } [ cipher | simple ] key

undo wep default-key key-index

【视图】

服务模板视图（crypto类型）

【缺省级别】

2：系统级

【参数】

key-index：密钥索引值如下：

l              1：配置第一个WEP缺省密钥。

l              2：配置第二个WEP缺省密钥。

l              3：配置第三个WEP缺省密钥。

l              4：配置第四个WEP缺省密钥。

wep40：设置WEP40密钥选项。

wep104：设置WEP104密钥选项。

wep128：设置WEP128密钥选项。

pass-phrase：配置pass-phrase选项。使用包含数字和字母的字符串作为密钥。如果使用WEP40，密钥为5个字符的字符串；如果使用WEP104，密钥为13个字符的字符串；如果使用WEP128，密钥为16个字符的字符串。

raw-key：配置raw-key选项。raw-key为16进制的形式。如果使用WEP40，密钥为10位16进制数；如果使用WEP104，密钥为26位16进制数；如果使用WEP128，密钥为32位16进制数。raw-key的长度是固定的。

cipher key：表示设置密文密钥，且密钥将以密文显示。其中，密钥的取值范围为24～88个字符的字符串，区分大小写。

simple key：表示设置明文密钥，且密钥将以明文显示。其中，密钥的取值范围和选择的密钥参数有关，区分大小写。

在不指定simple或cipher的情况下，表示设置明文密钥，且密钥将以密文显示。密钥的取值范围和simple key相同。

【描述】

wep default-key命令用来配置WEP缺省密钥。undo wep default-key命令用来删除已配置的WEP缺省密钥。

缺省情况下，没有配置WEP缺省密钥。

【举例】

# 配置WEP缺省密钥1（wep40）为“hello”。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] wep default-key 1 wep40 pass-phrase hello

# 配置WEP缺省密钥为c25d3fe4483e867d1df96eaacd。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] wep default-key 1 wep104 raw-key c25d3fe4483e867d1df96eaacd

1.1.10  wep key-id
【命令】

wep key-id { 1 | 2 | 3 | 4 }

undo wep key-id

【视图】

服务模板视图（crypto类型）

【缺省级别】

2：系统级

【参数】

key-index：密钥索引号的取值范围为1～4，详细如下：

l              1：选择密钥索引为1。

l              2：选择密钥索引为2。

l              3：选择密钥索引为3。

l              4：选择密钥索引为4。

【描述】

wep key-id命令用来配置密钥索引号。undo wep key-id命令用来恢复缺省情况。

缺省情况下，密钥索引号为1。

在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密。

【举例】

# 配置密钥索引号为2。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] wep key-id 2

1.1.11  wep mode
【命令】

wep mode dynamic

undo wep mode

【视图】

服务模板视图

【缺省级别】

2：系统级

【参数】

dynamic：配置动态WEP加密。

【描述】

wep mode命令用来配置动态WEP加密。undo wep mode命令用来恢复缺省情况。

缺省情况下，使用静态WEP密钥方式。

需要注意的是：

l              配置动态WEP加密必须和802.1x认证方式一起使用，并且wep key-id不能配置为4。

l              配置动态WEP加密后，设备会自动使用WEP 104加密方式，用户可以通过cipher-suite命令修改WEP加密方式为其他方式。

l              配置动态WEP加密后，用来加密单播数据帧的WEP密钥由客户端和服务器协商产生。如果配置动态WEP加密的同时配置了WEP密钥，则该WEP密钥作为组播密钥，用来加密组播数据帧。如果不配置WEP密钥，则由设备随机生成组播密钥。

相关配置可参考命令wep key-id、cipher-suite和wep default-key。

【举例】

# 配置动态WEP加密。

<Sysname> system-view

[Sysname] wlan service-template 1 crypto

[Sysname-wlan-st-1] wep mode dynamic