特性介绍
WAPI是无线局域网鉴别和保密基础结构的英文术语WLAN Authentication and Privacy Infrastructure的首字母缩写。这是中国具有自主知识产权的802.11无线局域网络的用户身份认证和数据报文加解密的标准。
特性优点
AAA鉴别模式:是H3C私有的一种鉴别模式。在该模式下,AP与AS之间通过RADIUS报文完成证书鉴别,WAI协议报文将承载于RADIUS协议报文之上(要求RADIUS服务器支持WAPI功能),作为RADIUS报文的一个私有属性。此外,该模式还能够提供对用户的授权和计费功能(需要AAA服务器配合)。
应用场合
WAPI既可以应用到小型无线网络,也应用于大规模部署的无线网络。AAA方式的WAPI认证方式,提供一种可以支持计费和授权等更多属性的认证机制。
注意事项
(1)需要准备专用的无线网卡比如:西电捷通的WAPI无线网卡。
(2)由于西电捷通的WAPI无线网卡,在通报WMM能力时存在误报现象,而导致连接上后数据不通的现象。为了避免该问题,需要把应用WAPI无线服务的AP的射频接口的WMM功能关闭。
(3)使用IMC服务器做AAA服务器,正确加载证书,完整配置相关项目。STA也要正确导入证书。
(4)在接入用户配置页面中输入账号名和密码,注意,账号名必须与asue证书中的common name一致(附件中asue.cer中的CN为“asue”。
一、组网需求
AP 1和AP 2通过二层交换机与AC建立连接,STA 1和STA 2分别通过AP 1和AP 2接入WLAN。STA 1、STA 2、AP 1和AP 2都从DHCP服务器获取IP地址。WAPI系统采用证书鉴别方式中的标准鉴别模式,AP、CA和AS各自所使用的证书ap.cer、ca.cer和as.cer均已保存至AC;单播密钥和组播密钥的更新时间均为20000秒,关闭BK更新功能。
二、使用版本和详细命令
请下载文档查阅:http://pan.baidu.com/s/1hqyuode
三、主要配置步骤
# 创建PKI域pki1,在该域中禁止CRL检查(对导入的证书不进行有效期的检查,即默认此方式下用户证书有效),指定证书采用ECDSA签名算法,并配置外部实体as1采用手工导入证书方式。<AC> system-view [AC] pki domain pki1 [AC-pki-domain-pki1] crl check disable [AC-pki-domain-pki1] signature-algorithm ecdsa [AC-pki-domain-pki1] peer-entity as1 import [AC-pki-domain-pki1] quit
# 分别导入证书文件ca.cer和as.cer、ap.cer、。
[AC] pki import-certificate ca domain pki1 pem filename ca.cer (root.cer) [AC] pki import-certificate peer-entity as1 domain pki1 pem filename as.cer (root.cer) [AC] pki import-certificate local domain pki1 pem filename ap.cer (ae.cer)
# 使能端口安全功能,并配置接口WLAN-ESS1的端口安全模式为WAPI模式。
[AC] port-security enable [AC] interface wlan-ess 1 [AC-WLAN-ESS1] port-security port-mode wapi
# 在接口WLAN-ESS1上配置WAPI采用证书鉴别方式中的标准鉴别模式;指定AS的IP地址为10.10.1.3,并指定证书所属的PKI域为pki1、AS为as1。
[AC-WLAN-ESS1] wapi authentication method certificate [AC-WLAN-ESS1] wapi authentication mode scheme [AC-WLAN-ESS1] wapi mandatory-domain domain1 [AC-WLAN-ESS1] wapi certificate domain pki1 authentication-server as1
# 在接口WLAN-ESS1上关闭BK更新功能,并配置单播密钥和组播密钥的更新时间均为20000秒。
[AC-WLAN-ESS1] undo wapi bk rekey enable [AC-WLAN-ESS1] wapi usk lifetime 20000 [AC-WLAN-ESS1] wapi msk-rekey method time-based 20000 [AC-WLAN-ESS1] quit
# 创建射频策略radio1。
[AC] wlan radio-policy 1 [AC-wlan-rp-radio1] undo wmm enable
# 创建类型为WAPI的服务模板1,配置其SSID为wapi1,绑定接口WLAN-ESS1,并使能该服务模板。
[AC] wlan service-template 1 wapi [AC-wlan-st-1] ssid wapi1 [AC-wlan-st-1] bind wlan-ess 1 [AC-wlan-st-1] service-template enable [AC-wlan-st-1] quit
(1)配置AP 1相关功能
# 创建型号为wa2200的AP管理模板ap1_002。
[AC] wlan ap ap1 model wa2210-AG [AC-wlan-ap-ap1] serial-id 210235A29D0083000778
# 创建类型为11b的射频1,配置其与服务模板1关联,射频策略为radio1,并使能该射频。
[AC-wlan-ap-ap1] radio 1 [AC-wlan-ap-ap1-radio-1] service-template 1 [AC-wlan-ap-ap1-radio-1] radio-policy 1 [AC-wlan-ap-ap1-radio-1] radio enable
四、 配置IMC为AAA服务器
参考步骤二下载的文档
五、验证结果和注意事项
也请参考步骤二下载的文档