配置WAPI-PSK安全策略示例

AR100, AR120, AR150, AR160, AR200, AR300, AR1200, AR2200, AR3200, AR3600 V200R010 配置指南-WLAN AC（命令行）

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

配置WAPI-PSK安全策略示例

配置流程

WLAN不同的特性和功能需要在不同类型的模板下进行配置和维护，这些模板统称为WLAN模板，如域管理模板、射频模板、VAP模板、AP系统模板、AP有线口模板、WIDS模板、WDS模板。当用户在配置WLAN业务功能时，需要在对应功能的WLAN模板中进行参数配置，配置完成后，须将此模板引用到AP组或AP中，配置下发到AP，进而配置的功能在AP上生效。由于模板之间是存在各相互引用关系的，因此在用户配置过程中，需要提前了解各个模板之间存在的逻辑关系。模板的逻辑关系和基本配置流程请参见WLAN业务配置流程。

组网需求

某小区物业为部分业主提供WLAN网络资源，使其可以在家中随时随地访问Internet。如图7-21所示，其中AP部署在住户的屋内，直接与AC连接，提供SSID为wlan-net的WLAN接入服务，STA自动获取IP地址。

由于无线网络开放性的特点，业务数据存在安全风险。用户对WLAN网络的安全性要求不高，不需要使用额外的认证系统，如果用户的WLAN终端设备都支持WAPI，此时可以使用WAPI（预共享密钥认证）的安全策略，基于时间定时更新单播和组播密钥，保证业务数据的安全。

图7-21 配置WAPI-PSK安全策略组网图

配置思路

配置WLAN基本业务，实现STA可以正常接入WLAN网络。
在创建的安全模板中，配置WAPI-PSK安全策略，满足用户对安全的需求。

表7-6 数据规划表

配置项	数据
DHCP服务器	AC作为DHCP服务器为STA和AP分配IP地址
AP的IP地址池	10.10.10.2～10.10.10.254/24
STA的IP地址池	10.10.11.2～10.10.11.254/24
AC的源接口IP地址	VLANIF100：10.10.10.1/24
AP组	名称：ap-group1 引用模板：VAP模板wlan-vap、域管理模板domain1
域管理模板	名称：domain1 国家码：CN
SSID模板	名称：wlan-ssid SSID名称：wlan-net
安全模板	名称：wlan-security 安全策略：WAPI-PSK 加密密钥：1234567@
VAP模板	名称：wlan-vap 业务VLAN：VLAN101 引用模板：SSID模板wlan-ssid、安全模板wlan-security

配置注意事项

纯组播报文由于协议要求在无线空口没有ACK机制保障，且无线空口链路不稳定，为了纯组播报文能够稳定发送，通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入，则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击，建议配置组播报文抑制功能。配置前请确认是否有组播业务，如果有，请谨慎配置限速值。

业务数据转发方式采用直接转发时，建议在直连AP的交换机接口上配置组播报文抑制。
业务数据转发方式采用隧道转发时，建议在AC的流量模板下配置组播报文抑制。
管理VLAN和业务VLAN不能配置为同一VLAN。
在配置多个VAP模板，且多个VAP模板共用同一个service-vlan的场景下，如果配置数据转发方式为tunnel模式，则需要启动service-vlan间的Proxy ARP功能。

操作步骤

配置AP与AC之间网络互通。

# 将接口Eth2/0/0加入VLAN100（管理VLAN）和VLAN101（业务VLAN）。

建议在AC连接AP的接口Eth2/0/0上配置端口隔离，如果不配置端口隔离，可能会在VLAN内存在不必要的广播报文，或者导致不同AP间的WLAN用户二层互通的问题。

<Huawei> system-view
[Huawei] sysname AC
[AC] vlan batch 100 101
[AC] interface ethernet 2/0/0
[AC-Ethernet2/0/0] port link-type trunk
[AC-Ethernet2/0/0] port trunk pvid vlan 100
[AC-Ethernet2/0/0] port trunk allow-pass vlan 100 101
[AC-Ethernet2/0/0] port-isolate enable
[AC-Ethernet2/0/0] quit

配置AC作为DHCP服务器，为STA和AP分配IP地址。

# 配置基于接口地址池的DHCP服务器，其中，VLANIF100接口为AP提供IP地址，VLANIF101为STA提供IP地址。

[AC] dhcp enable
[AC] interface vlanif 100
[AC-Vlanif100] ip address 10.10.10.1 24
[AC-Vlanif100] dhcp select interface
[AC-Vlanif100] quit
[AC] interface vlanif 101
[AC-Vlanif101] ip address 10.10.11.1 24
[AC-Vlanif101] dhcp select interface
[AC-Vlanif101] quit

配置AP上线。

# 创建AP组，用于将相同配置的AP都加入同一AP组中。

[AC] wlan ac
[AC-wlan-view] ap-group name ap-group1
Info: This operation may take a few seconds. Please wait for a moment.done.
[AC-wlan-ap-group-ap-group1] quit

# 创建域管理模板，在域管理模板下配置AC的国家码并在AP组下引用域管理模板。

[AC-wlan-view] regulatory-domain-profile name domain1
[AC-wlan-regulate-domain-domain1] country-code cn
Info: The current country code is same with the input country code.
[AC-wlan-regulate-domain-domain1] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
e?[Y/N]:y 
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit

# 配置AC的源接口。

[AC] capwap source interface vlanif 100

# 在AC上离线导入AP，并将AP加入AP组“ap-group1”中。假设AP的MAC地址为60de-4476-e360，并且根据AP的部署位置为AP配置名称，便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4476-e360的AP部署在1号区域，命名此AP为“area_1”。

ap auth-mode命令缺省情况下为MAC认证，如果之前没有修改其缺省配置，可以不用执行ap auth-mode mac-auth。

[AC] wlan ac
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
[AC-wlan-ap-0] ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
s of the radio, Whether to continue? [Y/N]:y 
Info: This operation may take a few seconds. Please wait for a moment.. done.
[AC-wlan-ap-0] quit

# 将AP上电后，当执行命令display ap all查看到AP的“State”字段为“nor”时，表示AP正常上线。

[AC-wlan-view] display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor  : normal          [1]
---------------------------------------------------------------------------------------------
ID   MAC            Name   Group     IP           Type            State STA Uptime
---------------------------------------------------------------------------------------------
0    60de-4476-e360 area_1 ap-group1 10.10.10.254 AP6010DN-AGN    nor   0   6S
---------------------------------------------------------------------------------------------
Total: 1

配置WLAN业务参数

# 创建名为“wlan-security”的安全模板，并配置WAPI-PSK安全策略，指定单播密钥和组播密钥均基于时间更新，更新间隔均为20000秒。

[AC-wlan-view] security-profile name wlan-security
[AC-wlan-sec-prof-wlan-security] security wapi psk pass-phrase 1234567@
[AC-wlan-sec-prof-wlan-security] wapi usk key-update time-based
[AC-wlan-sec-prof-wlan-security] wapi msk key-update time-based
[AC-wlan-sec-prof-wlan-security] wapi usk-update-interval 20000
[AC-wlan-sec-prof-wlan-security] wapi msk-update-interval 20000
[AC-wlan-sec-prof-wlan-security] quit

# 创建名为“wlan-ssid”的SSID模板，并配置SSID名称为“wlan-net”。

[AC-wlan-view] ssid-profile name wlan-ssid
[AC-wlan-ssid-prof-wlan-ssid] ssid wlan-net
Warning: This action may cause service interruption. Continue?[Y/N]y
Info: This operation may take a few seconds, please wait.done.
[AC-wlan-ssid-prof-wlan-ssid] quit

# 创建名为“wlan-vap”的VAP模板，配置业务VLAN，并且引用安全模板和SSID模板。

[AC-wlan-view] vap-profile name wlan-vap
[AC-wlan-vap-prof-wlan-vap] service-vlan vlan-id 101
Info: This operation may take a few seconds, please wait.done.
[AC-wlan-vap-prof-wlan-vap] security-profile wlan-security
Info: This operation may take a few seconds, please wait..done.
[AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid
Info: This operation may take a few seconds, please wait..done.
[AC-wlan-vap-prof-wlan-vap] quit

# 配置AP组引用VAP模板“wlan-vap”，AP上射频都使用VAP模板“wlan-vap”的配置。

[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio all
Info: This operation may take a few seconds, please wait..done.
[AC-wlan-ap-group-ap-group1] quit

# 提交配置。

[AC-wlan-view] commit all                                                
Warning: Committing configuration may cause service interruption, continue?[Y/N]:y

验证配置结果
完成配置后，用户可通过手机终端搜索到SSID为wlan-net的无线网络。

用户关联到无线网络上后，手机终端能够被分配相应的IP地址，用户输入预共享密钥可以访问无线网络。

配置文件

AC的配置文件

#
 sysname AC
#
vlan batch 100 to 101 
#
dhcp enable
#
interface Vlanif100                                                             
 ip address 10.10.10.1 255.255.255.0                                            
 dhcp select interface
#
interface Vlanif101                                                             
 ip address 10.10.11.1 255.255.255.0                                            
 dhcp select interface
#
interface Ethernet2/0/0                                                         
 port link-type trunk                                                           
 port trunk pvid vlan 100                                                       
 port trunk allow-pass vlan 100 to 101                                          
 port-isolate enable group 1
#
capwap source interface vlanif100
#
wlan ac
 security-profile name wlan-security
  security wapi psk pass-phrase %^%#kL2]1VAO|)F7HoN[KGx:~qPg~Ga|3Lk+T='O,`_X%^%#
  wapi usk-update-interval 20000
  wapi msk-update-interval 20000
 ssid-profile name wlan-ssid
  ssid wlan-net
 vap-profile name wlan-vap
  service-vlan vlan-id 101
  ssid-profile wlan-ssid
  security-profile wlan-security
 regulatory-domain-profile name domain1
ap-group name ap-group1
  regulatory-domain-profile domain1
  radio 0
   vap-profile wlan-vap wlan 1
  radio 1
   vap-profile wlan-vap wlan 1
  radio 2
   vap-profile wlan-vap wlan 1
 ap-id 0 type-id 19 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042
  ap-name area_1
  ap-group ap-group1
#
return

翻译

English

下载文档

更新时间：2022-12-12

文档编号：EDOC1100033735

浏览量：47468

下载量：711

平均得分:

本文档适用于这些产品

数字签名

数字签名验证工具

企业业务网站

华为云网站

运营商网络业务网站

消费者业务网站

集团网站