ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

ブリッジのセキュリティ

2004 年 9 月 3 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 5 月 10 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      背景理論
      表記法
設定
      ネットワーク ダイアグラム
      設定
検証
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

イーサネット セグメント間のブリッジド ワイヤレス リンクを設計する際には、セキュリティを考慮することが重要です。 この文書では、IPSec トンネルを使用してブリッジド ワイヤレス リンクを通過するトラフィックのセキュリティを確保する方法を例示します。

この例では、2 台 Cisco Aironet 350 シリーズ ブリッジで WEP 確立し、これら 2 台のルータで IPSec トンネルをセットアップしています。

前提条件

要件

この設定を試す前に、次の項目を使いこなせるかどうかを確認してください。

  • Cisco Aironet ブリッジ設定インターフェイス

  • Cisco IOS コマンド ライン インターフェイス

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • IOS バージョン 12.1 が稼動している Cisco 2600 シリーズ ルータ

  • ファームウェア バージョン 11.08T が稼動している Cisco Aironet 350 シリーズ ブリッジ

この文書で紹介する情報は、特定のラボ環境にあるデバイスを使用して作成されました。 この文書内で使用されているデバイスはすべて、クリアな状態(デフォルト)から設定作業を始めています。 実稼動中のネットワークで作業する場合は、コマンドの実行によって生じる影響について、事前に理解しておいてください。

背景理論

Cisco Aironet 340、350、および 1400 シリーズのブリッジでは、最大 128 ビットまでの WEP 暗号化が提供されています。 『Security of the WEP algorithmleavingcisco.comおよび『Cisco Aironet の報道に対するコメント - 802.11 セキュリティの欠点』に説明されているとおり、WEP アルゴリズムにはよく知られた問題があり、容易に不正使用できるため、WEP 暗号化に頼ってセキュアな接続を確保することはできません。

ワイヤレス ブリッジド リンクを通過するトラフィックのセキュリティを向上させる 1 つの方法は、リンクを使用するルータ間で暗号化された IPSec トンネルを作成する方法です。 この方法を使用できるのは、ブリッジが OSI モデルのレイヤ 2 で動作しているためです。 ブリッジ間の接続を利用するルータ間に IPSec を適用できます。

ワイヤレス リンクのセキュリティが侵害されても、リンク内のトラフィックは暗号化されたままなので安全です。

表記法

文書表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、この文書で説明する機能を設定するために必要な情報を提供します。

注:この文書に使用されるコマンドに関するその他の情報を検索するには、IOS Command Lookup ツールを使用してください。

ネットワーク ダイアグラム

この文書では、次のダイヤグラムに示すネットワーク設定を使用します。

bridge2.gif

設定

この文書では、次の設定を使用します。

RouterA(Cisco 2600 ルータ)

RouterA#show running-config
 Building configuration...
 Current configuration : 1258 bytes
 !
 version 12.1
 no service single-slot-reload-enable
 no service pad
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname RouterA
 !
 logging rate-limit console 10 except errors
 !
 ip subnet-zero
 no ip finger
 ip dhcp excluded-address 10.1.1.20
 ip dhcp excluded-address 10.1.1.30
 !
 ip dhcp pool wireless
  network 10.1.1.0 255.255.255.0
 !
 ip audit notify log
 ip audit po max-events 100
 call rsvp-sync
 !
 crypto isakmp policy 10
 hash md5
 authentication pre-share
 crypto isakmp key cisco address 10.1.1.30
 !
 !
 crypto ipsec transform-set set esp-3des esp-md5-hmac
 !
 crypto map vpn 10 ipsec-isakmp
 set peer 10.1.1.30
 set transform-set set
 match address 120
 !
 interface Loopback0
 ip address 20.1.1.1 255.255.255.0
 !
 interface Ethernet0
 ip address 10.1.1.20 255.255.255.0
 crypto map vpn
 !
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.1.1.30
 no ip http server
 no ip http cable-monitor
 !
 access-list 120 permit ip 20.1.1.0 0.0.0.255 30.1.1.0 0.0.0.255
 !
 !
 line con 0
 transport input none
 line vty 0 4
 !
 end
 

RouterB(Cisco 2600 ルータ)

RouterB#show running-config
 Building configuration...
 Current configuration : 1177 bytes
 !
 version 12.1
 no service single-slot-reload-enable
 no service pad
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname RouterB
 !
 logging rate-limit console 10 except errors
 !
 ip subnet-zero
 no ip finger
 !
 ip audit notify log
 ip audit po max-events 100
 call rsvp-sync
 crypto isakmp policy 10
 hash md5
 authentication pre-share
 crypto isakmp key cisco address 10.1.1.20
 !
 !
 crypto ipsec transform-set set esp-3des esp-md5-hmac
 !
 crypto map vpn 10 ipsec-isakmp
 set peer 10.1.1.20
 set transform-set set
 match address 120
 interface Loopback0
 ip address 30.1.1.1 255.255.255.0
 !
 interface Ethernet0
 ip address 10.1.1.30 255.255.255.0
 no ip mroute-cache
 crypto map vpn
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.1.1.20
 no ip http server
 no ip http cable-monitor
 !
 access-list 120 permit ip 30.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255
 !
 !
 line con 0
 transport input none
 line vty 0 4
 login
 !
 end
 

Cisco Aironet ブリッジ

bridgea.gif

検証

このセクションでは、設定が正しく動作することを確認するために使用できる情報を提供します。

一部の show コマンドは、show コマンド出力の分析を表示するアウトプットインタープリタ登録ユーザ専用)でサポートされています。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show crypto engine connections active:このコマンドを使用して、暗号化セッションで現在アクティブな接続を表示します。

    RouterA#show crypto engine connection active
       ID Interface   IP-Address      State Algorithm             Encrypt Decrypt
        1 Ethernet0   10.1.1.20       set   HMAC_MD5+DES_56_CB          0      0
     2002 Ethernet0   10.1.1.20       set   HMAC_MD5+3DES_56_C          0      3
     2003 Ethernet0   10.1.1.20       set   HMAC_MD5+3DES_56_C          3      0
     RouterB#show crypto engine connection active
       ID Interface    IP-Address     State Algorithm             Encrypt Decrypt
        1  <none>         <none>      set   HMAC_MD5+DES_56_CB          0      0
     2000 Ethernet0    10.1.1.30      set   HMAC_MD5+3DES_56_C          0      3
     2001 Ethernet0    10.1.1.30      set   HMAC_MD5+3DES_56_C          3      0
     

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。

IPSec 接続のトラブルシューティングについては、次の文書を参照してください。

ワイヤレス接続のトラブルシューティングについては、次の文書を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 12540