H3C WX系列无线安全WAPI-标准证书方式

1  特性介绍
WAPI是无线局域网鉴别和保密基础结构的英文术语WLAN Authentication and Privacy Infrastructure的首字母缩写。这是中国具有自主知识产权的802.11无线局域网络的用户身份认证和数据报文加解密的标准。

2  特性优点
本特性提供了标准鉴别模式：即基于WAPI标准协议的UDP模式。在该模式下，AP与AS之间的WAI协议报文将通过UDP方式进行传输，最终完成证书鉴别。该模式不支持对用户的计费功能。

3 应用场合
WAPI既可以应用到小型无线网络，也应用于大规模部署的无线网络。标准证书的认证方式，提供一种结合认证服务器实现的更高级别安全要求的认证机制。

一、 组网需求

AP 1和AP 2通过二层交换机与AC建立连接，STA 1和STA 2分别通过AP 1和AP 2接入WLAN。STA 1、STA 2、AP 1和AP 2都从DHCP服务器获取IP地址。WAPI系统采用证书鉴别方式中的标准鉴别模式，AP、CA和AS各自所使用的证书ap.cer、ca.cer和as.cer均已保存至AC；单播密钥和组播密钥的更新时间均为20000秒，关闭BK更新功能。

二、详细资料下载

http://pan.baidu.com/s/1o6BG7pS

说明：本文档包括详细命令、详细版本以及注意事项、IMS的配置步骤，此资料你应该完全学习！

三、主要配置步骤

# 创建PKI域pki1，在该域中禁止CRL检查（对导入的证书不进行有效期的检查，即默认此方式下用户证书有效），指定证书采用ECDSA签名算法，并配置外部实体as1采用手工导入证书方式。

<AC> system-view
[AC] pki domain pki1
[AC-pki-domain-pki1] crl check disable
[AC-pki-domain-pki1] signature-algorithm ecdsa
[AC-pki-domain-pki1] peer-entity as1 import
[AC-pki-domain-pki1] quit

# 分别导入证书文件ca.cer、as.cer和ap.cer。

[AC] pki import-certificate ca domain pki1 pem filename ca.cer
[AC] pki import-certificate peer-entity as1 domain pki1 pem filename as.cer
[AC] pki import-certificate local domain pki1 pem filename ap.cer

# 使能端口安全功能，并配置接口WLAN-ESS1的端口安全模式为WAPI模式。

[AC] port-security enable
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] port-security port-mode wapi

# 在接口WLAN-ESS1上配置WAPI采用证书鉴别方式中的标准鉴别模式；指定AS的IP地址为10.10.1.3，并指定证书所属的PKI域为pki1、AS为as1。

[AC-WLAN-ESS1] wapi authentication method certificate
[AC-WLAN-ESS1] wapi authentication mode standard
[AC-WLAN-ESS1] wapi authentication-server ip 10.10.1.3
[AC-WLAN-ESS1] wapi certificate domain pki1 authentication-server as1

# 在接口WLAN-ESS1上关闭BK更新功能，并配置单播密钥和组播密钥的更新时间均为20000秒。

[AC-WLAN-ESS1] undo wapi bk rekey enable
[AC-WLAN-ESS1] wapi usk lifetime 20000
[AC-WLAN-ESS1] wapi msk-rekey method time-based 20000
[AC-WLAN-ESS1] quit

# 创建射频策略radio1。

[AC] wlan radio-policy 1
[AC-wlan-rp-radio1] undo wmm enable

# 创建类型为WAPI的服务模板1，配置其SSID为wapi1，绑定接口WLAN-ESS1，并使能该服务模板。

[AC] wlan service-template 1 wapi
[AC-wlan-st-1] ssid wapi1
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit

(1)   配置AP 1相关功能
# 创建型号为wa2200的AP管理模板ap1_002。

[AC] wlan ap ap1 model wa2210-AG
[AC-wlan-ap-ap1] serial-id 210235A29D0083000778 

 # 创建类型为11b的射频1，配置其与服务模板1关联，射频策略为radio1，并使能该射频.

[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio-policy 1
[AC-wlan-ap-ap1-radio-1] radio enable

四、IMS的配置

参看步骤下载的文档。