ワイヤレス : Cisco 4400 シリーズ ワイヤレス LAN コントローラ

Cisco Unified Wireless Network での Wi-Fi Protected Access(WPA)の設定例

2013 年 4 月 19 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 2 月 26 日) | フィードバック

概要

このドキュメントでは、Cisco Unified Wireless Network で Wi-Fi Protected Access(WPA)を設定する方法について説明します。

前提条件


要件

この設定を開始する前に、次の項目に関する基本的な知識を必ず取得しておきます。


使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 1000 シリーズ Lightweight アクセス ポイント(LAP)

  • ファームウェア 4.2.61.0 が稼働する Cisco 4404 ワイヤレス LAN コントローラ(WLC)

  • ファームウェア 4.1 が稼働する Cisco 802.11a/b/g クライアント アダプタ

  • ファームウェア 4.1 が稼働する Aironet Desktop Utility(ADU)

  • Cisco Secure ACS サーバ バージョン 4.1

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。


表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

WPA および WPA2 のサポート

Cisco Unified Wireless Network は、Wi-Fi Alliance 認定の WPA および WPA2 をサポートしています。WPA は 2003 年に Wi-Fi Alliance によって導入されました。WPA2 は 2004 年に Wi-Fi Alliance によって導入されました。WPA2 の Wi-Fi 認定を受けたすべての製品は、WPA の Wi-Fi 認定を受けた製品と相互運用できることが求められています。

WPA および WPA2 は、データが公開されないこと、およびネットワークへのアクセスが認可ユーザに限定されるということを、エンド ユーザおよびネットワーク管理者に対して高いレベルで保証します。どちらの規格にも Personal 動作モードと Enterprise 動作モードがあり、これら 2 つの市場セグメント特有のニーズに応えます。これらは Enterprise モードでは、認証に IEEE 802.1X および EAP を使用します。これらは Personal モードでは、認証に事前共有キー(PSK)を使用します。Personal モードではユーザ認証に PSK を使用するため、ビジネスまたは官公庁への導入の場合、Cisco では Personal モードを推奨しません。企業環境では PSK は安全ではありません。

WPA は、従来の IEEE 802.11 によるセキュリティ実装における WEP の既知のすべての脆弱性に対処し、企業環境とスモール オフィス、ホーム オフィス(SOHO)環境の両方において、WLAN に即座に適用できるセキュリティ ソリューションです。WPA では暗号化に TKIP を使用します。

WPA2 は次世代の Wi-Fi セキュリティ機能です。これは批准された IEEE 802.11i 標準を Wi-Fi Alliance と相互運用できるように実装したものです。WPA2 では、Counter Mode with Cipher Block Chaining Message Authentication Code Protocol(CCMP)を使用して、国立標準技術研究所(NIST)が推奨する AES の暗号化アルゴリズムを実装しています。WPA2 によって、官公庁の FIPS 140-2 への準拠が促進されます。

WPA モードと WPA2 モードのタイプの比較

  WPA WPA2
Enterprise モード(ビジネス、官公庁、教育)
  • 認証:IEEE 802.1X/EAP
  • 暗号化:TKIP/MIC
  • 認証:IEEE 802.1X/EAP
  • 暗号化:AES-CCMP
Personal モード(SOHO、家庭または個人)
  • 認証:PSK
  • 暗号化:TKIP/MIC
  • 認証:PSK
  • 暗号化:AES-CCMP

Enterprise 動作モードでは、WPA も WPA2 も両方とも認証に 802.1X/EAP を使用します。802.1X により、WLAN でクライアントと認証サーバの間の高性能な相互認証が利用できます。また、802.1X によってユーザ単位かつセッション単位の動的な暗号キーが提供されるため、静的な暗号キーに伴う管理上の負担やセキュリティ上の問題がなくなります。

802.1X の場合、認証に使用されるログオン パスワードなどのクレデンシャルが平文で、つまり暗号化されずにワイヤレス メディア経由で送信されることはありません。802.1X の認証タイプはワイヤレス LAN に対して高性能な認証方式を提供しますが、標準的な 802.11 WEP 暗号化はネットワーク攻撃に対して脆弱であるため、暗号化のためには 802.1X 以外に TKIP または AES が必要です。

いくつかの 802.1X 認証タイプが存在し、これらはそれぞれ認証の方式が異なりますが、クライアントとアクセス ポイントの間の通信については同じフレームワークおよび EAP に依存しています。Cisco Aironet 製品では、他のどの WLAN 製品よりも多くの種類の 802.1X EAP 認証をサポートしています。サポートされるタイプには、次のものがあります。

802.1X 認証のもう 1 つのメリットは、WLAN ユーザ グループの集中管理で、これにはポリシーベースのキー ローテーション、動的キー割り当て、動的 VLAN 割り当て、SSID 制限などがあります。これらの機能では、暗号キーがローテーションされます。

Personal 動作モードでは、認証に事前共有キー(パスワード)が使用されます。Personal モードでは、アクセス ポイントおよびクライアント デバイスのみが必要ですが、Enterprise モードでは通常、RADIUS サーバなどの認証サーバがネットワーク上に必要になります。

このドキュメントでは、Cisco Unified Wireless Network 上に WPA2(Enterprise モード)および WPA2-PSK(Personal モード)を設定する例を示します。


ネットワーク構成

この構成では、Cisco 4404 WLC と Cisco 1000 Series LAP がレイヤ 2 スイッチを介して接続されています。外部 RADIUS サーバ(Cisco Secure ACS)も同じスイッチに接続します。すべてのデバイスは同じサブネット内にあります。アクセス ポイント(LAP)はコントローラに最初から登録されています。ワイヤレス LAN は、1 つを WPA2 Enterprise モード用に、もう 1 つを WPA2 Personal モード用に 2 つ作成する必要があります。

WPA2-Enterprise モード WLAN(SSID:WPA2-Enterprise)では、ワイヤレス クライアントの認証に EAP-FAST を、暗号化に AES を使用します。ワイヤレス クライアントの認証用の外部 RADIUS サーバとして、Cisco Secure ACS サーバを使用します。

WPA2-Personal モード WLAN(SSID:WPA2-PSK)では、認証に WPA2-PSK を使用し、事前共有キーは “abcdefghijk” です。

この構成に合わせてデバイスを設定する必要があります。

/image/gif/paws/100708/wpa-uwn-config1.gif

WPA2 Enterprise モード向けのデバイスの設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

WPA2 Enterprise 動作モード用にデバイスを設定するには、次の手順を実行します。

  1. 外部 RADIUS サーバによる RADIUS 認証向けの WLC の設定

  2. WPA2 Enterprise モード認証向けの WLAN の設定(EAP-FAST)

  3. WPA2 Enterprise モード向けのワイヤレス クライアントの設定


外部 RADIUS サーバによる RADIUS 認証向けの WLC の設定

ユーザ クレデンシャルを外部 RADIUS サーバに転送するには、WLC を設定する必要があります。そうすると、外部 RADIUS サーバは EAP-FAST を使用してユーザのクレデンシャルを検証し、ワイヤレス クライアントにアクセス権を付与します。

外部 RADIUS サーバ用に WLC を設定するには、次の手順を実行します。

  1. コントローラの GUI から [Security]、[RADIUS]、[Authentication] を選択して、[RADIUS Authentication Servers] ページを表示します。次に [New] をクリックして RADIUS サーバを定義します。

  2. [RADIUS Authentication Servers] > [New] ページで RADIUS サーバのパラメータを定義します。次のパラメータがあります。

    • RADIUS サーバの IP アドレス

    • 共有秘密

    • ポート番号

    • サーバ ステータス

    このドキュメントでは、10.77.244.196 という IP アドレスを持つ ACS サーバを使用しています。

    /image/gif/paws/100708/wpa-uwn-config2.gif

  3. [Apply] をクリックします。


WPA2 Enterprise 動作モード向けの WLAN の設定

次に、クライアントがワイヤレス ネットワークに接続するために使用する WLAN を設定します。WPA2 Enterprise モード用の WLAN SSID は、WPA2-Enterprise です。この例ではこの WLAN を管理インターフェイスに割り当てます。

WLAN およびそれに関連するパラメータを設定するには、次の手順を実行します。

  1. コントローラの GUI で [WLANs] をクリックして、[WLANs] ページを表示します。

    このページには、コントローラに存在する WLAN の一覧が表示されます。

  2. [New] をクリックして新規の WLAN を作成します。

  3. [WLANs] > [New] ページで WLAN SSID 名とプロファイル名を入力します。次に、[Apply] をクリックします。

    この例では、SSID として WPA2-Enterprise を使用しています。

    /image/gif/paws/100708/wpa-uwn-config3.gif

  4. 新しい WLAN を作成すると、新しい WLAN に対する [WLAN] > [Edit] ページが表示されます。このページで、この WLAN に固有の各種パラメータを定義できます。これには、全般ポリシー、セキュリティ ポリシー、QOS ポリシー、および高度なパラメータが含まれます。

  5. WLAN を有効にするには、[General Policies] で [Status] チェックボックスにチェックマークを入れます。

    /image/gif/paws/100708/wpa-uwn-config4.gif

  6. AP にビーコン フレームで SSID をブロードキャストさせる場合は、[Broadcast SSID] チェックボックスにチェックマークを入れます。

  7. [Security] タブをクリックします。[Layer 2 Security] で、[WPA+WPA2] を選択します。

    これにより、WLAN に対して WPA 認証が有効になります。

    /image/gif/paws/100708/wpa-uwn-config5.gif

  8. [WPA+WPA2 Parameters] を変更するために、ページを下にスクロールします。

    この例では、[WPA2 Policy] および [AES] 暗号化が選択されています。

    /image/gif/paws/100708/wpa-uwn-config6.gif

  9. [Auth Key Mgmt] で [802.1x] を選択します。

    これで、802.1x/EAP 認証と AES 暗号化を使用する WPA2 が WLAN に対して有効になります。

  10. [AAA Servers] タブを選択します。[Authentication Servers] から、適切なサーバ IP アドレスを選択します。

    この例では、10.77.244.196 が RADIUS サーバとして使用されます。

    /image/gif/paws/100708/wpa-uwn-config7.gif

  11. [Apply] をクリックします。

    注:コントローラで EAP 認証用に行う必要がある EAP 設定はこれだけです。EAP-FAST に固有の他のすべての設定は、RADIUS サーバと、認証される必要があるクライアント上で行う必要があります。


WPA2 Enterprise モード認証向けの RADIUS サーバの設定(EAP-FAST)

この例では、外部 RADIUS サーバとして Cisco Secure ACS サーバを使用しています。EAP-FAST 認証向けに RADIUS サーバを設定するには、次のステップを実行します。

  1. EAP-FAST クライアント認証用のユーザ データベースの作成

  2. AAA クライアントとしての WLC の RADIUS サーバへの追加

  3. 匿名インバンド PAC プロビジョニングによる RADIUS サーバへの EAP-FAST 認証の設定

    注:EAP-FAST は匿名インバンド PAC プロビジョニングまたは認証済みインバンド PAC プロビジョニングのいずれかで設定できます。この例では匿名インバンド PAC プロビジョニングを使用します。EAP-FAST を匿名インバンド PAC プロビジョニングおよび認証済みインバンド PAC プロビジョニングで設定することについての詳細な情報および設定例については『ワイヤレス LAN コントローラおよび外部 RADIUS サーバを使用する EAP-FAST 認証の設定例』を参照してください。

EAP-FAST クライアント認証用のユーザ データベースの作成

ACS で EAP-FAST クライアント用のユーザ データベースを作成するには、次の手順を実行します。この例では、EAP-FAST クライアントのユーザ名およびパスワードをそれぞれ User1、User1 に設定します。

  1. ACS GUI のナビゲーション バーで、[User Setup] を選択します。新しいワイヤレス ユーザを作成し、[Add/Edit] をクリックして、このユーザの編集ページに移動します。

    /image/gif/paws/100708/wpa-uwn-config8.gif

  2. [User Setup] の [Edit] ページで、この例に示すように、[Real Name]、[Description]、[Password] を設定します。

    このドキュメントでは、[Password Authentication] で [ACS Internal Database] を使用します。

    /image/gif/paws/100708/wpa-uwn-config9.gif

  3. [Password Authentication] ドロップダウン ボックスで、[ACS Internal Database] を選択します。

  4. その他の必須パラメータをすべて設定して [Submit] をクリックします。

AAA クライアントとしての WLC の RADIUS サーバへの追加

ACS サーバでコントローラを AAA クライアントとして定義するには、次の手順に従います。

  1. ACS の GUI で [Network Configuration] をクリックします。[Network Configuration] ページの [Add AAA client] セクションで、WLC を AAA クライアントとして RADIUS サーバに追加するために、[Add Entry] をクリックします。

  2. [AAA Client] ページで、WLC の名前、IP アドレス、共有秘密、および認証方式(RADIUS または Cisco Airespace)を定義します。ACS 以外の他の認証サーバについては、メーカーのマニュアルを参照してください。

    /image/gif/paws/100708/wpa-uwn-config10.gif

    注:WLC と ACS サーバで設定する共有秘密キーは一致している必要があります。共有秘密では、大文字と小文字が区別されます。

  3. [Submit+Apply] をクリックします。

匿名インバンド PAC プロビジョニングによる RADIUS サーバへの EAP-FAST 認証の設定

匿名インバンド プロビジョニング

これは、クライアントに対して新しい PAC を提供するために ACS がエンドユーザ クライアントとの間に安全な接続を確立する、2 つのインバンド プロビジョニング方式のうちの 1 つです。このオプションでは、エンドユーザ クライアントと ACS の間で匿名の TLS ハンドシェイクが可能になります。

この方式は、ピアが ACS サーバに認証される前に、Authenticated Diffie-HellmanKey Agreement Protocol(ADHP)トンネル内部で動作します。

その後、ACS はユーザの EAP-MS-CHAPv2 認証を要求します。ユーザ認証が成功すると、ACS はエンドユーザ クライアントとの Diffie-Hellman トンネルを確立します。ACS はユーザ用の PAC を生成し、この ACS に関する情報とともにこのトンネル内でエンドユーザ クライアントに送信します。このプロビジョニング方式では、フェーズ 0 で認証方式として EAP-MSCHAPv2 を使用し、フェーズ 2 で EAP-GTC を使用します。

認証されていないサーバがプロビジョニングされているため、平文パスワードを使用することはできません。したがって、トンネル内では MS-CHAP クレデンシャルのみが使用できます。MS-CHAPv2 は、ピアの ID を証明し、その後の認証セッション用の PAC を受信するために使用されます(EAP-MS-CHAP は内部方式としてのみ使用されます)。

RADIUS サーバ内で匿名インバンド プロビジョニング用に EAP-FAST 認証を設定するには、次の手順を実行します。

  1. RADIUS サーバの GUI で [System Configuration] をクリックします。[System Configuration] ページで [Global Authentication Setup] を選択します。

    /image/gif/paws/100708/wpa-uwn-config11.gif

  2. [Global Authentication setup] ページで [EAP-FAST Configuration] をクリックして、EAP-FAST の設定ページに移動します。

    /image/gif/paws/100708/wpa-uwn-config12.gif

  3. [EAP-FAST Settings] ページで、[Allow EAP-FAST] チェックボックスにチェックマークを入れて、RADIUS サーバ内で EAP-FAST を有効にします。

    /image/gif/paws/100708/wpa-uwn-config13.gif

  4. [Active/Retired master key TTL](存続可能時間)の値を必要に応じて設定するか、この例に示すようにデフォルト値のままに設定します。

    アクティブおよびリタイア マスター キーの詳細については、マスター キーについての説明を参照してください。また、マスター キーおよび PAC TTL についての詳細な説明を参照してください。

    [Authority ID Info] フィールドはこの ACL のテキストによる ID を表し、エンドユーザは認証に使用する ACS サーバを判別するためにこれを使用できます。このフィールドの入力は必須です。

    [Client initial display message] フィールドは、EAP-FAST クライアントで認証したユーザに対して送信するメッセージを指定します。最大長は 40 文字です。ユーザに初期メッセージが示されるのは、エンドユーザ クライアントがその表示をサポートしている場合だけです。

  5. ACS で匿名インバンド PAC プロビジョニングを実行する場合、[Allow anonymous in-band PAC provisioning] チェックボックスにチェックマークを入れます。

  6. [Allowed inner methods]:このオプションにより、EAP-FAST TLS トンネル内で実行できる内部 EAP 方式が決まります。匿名インバンド プロビジョニングを実行する場合は、下位互換性を確保するために EAP-GTC と EAP-MS-CHAP をイネーブルにする必要があります。[Allow anonymous in-band PAC provisioning] を選択した場合は、EAP-MS-CHAP(フェーズ 0)および EAP-GTC(フェーズ 2)を選択する必要があります。


WPA2 Enterprise 動作モード向けのワイヤレス クライアントの設定

次の手順では、WPA2 Enterprise 動作モード用にワイヤレス クライアントを設定します。

WPA2 Enterprise モード用にワイヤレス クライアントを設定するには、次の手順を実行します。

  1. [Aironet Desktop Utility] ウィンドウで、[Profile Management] > [New] をクリックして、WPA2-Enterprise WLAN ユーザのプロファイルを作成します。

    すでに説明したように、このドキュメントでは、ワイヤレス クライアントの WLAN/SSID 名として WPA2-Enterprise を使用します。

  2. [Profile Management] ウィンドウの [General] タブをクリックし、この例に示すように、プロファイル名、クライアント名、および SSID 名を設定します。次に、[OK] をクリックします。

    /image/gif/paws/100708/wpa-uwn-config14.gif

  3. [Security] タブをクリックし、[WPA/WPA2/CCKM] を選択して WPA2 動作モードを有効にします。[WPA/WPA2/CCKM EAP Type] で、[EAP-FAST] を選択します。[Configure] をクリックして EAP-FAST を設定します。

    /image/gif/paws/100708/wpa-uwn-config15.gif

  4. [Configure EAP-FAST] ウィンドウで、[Allow Automatic PAC Provisioning] チェックボックスにチェックマークを入れます。匿名 PAC プロビジョニングを設定する場合、EAP-MS-CHAP はフェーズ 0 の内部方式としてのみ使用されます。

    /image/gif/paws/100708/wpa-uwn-config16.gif

  5. [EAP-FAST Authentication Method] ドロップダウンボックスの認証方式として、[MSCHAPv2 User Name and Password] を選択します。[Configure] をクリックします。

  6. [Configure MSCHAPv2 User Name and Password] ウィンドウで、適切なユーザ名およびパスワード設定を選択します。

    この例では、[Automatically Prompt for User Name and Password] を選択しています。

    /image/gif/paws/100708/wpa-uwn-config17.gif

    同じユーザ名およびパスワードを ACS で登録する必要があります。すでに説明したように、この例ではユーザ名およびパスワードとしてそれぞれ User1、User1 を使用します。また、これは匿名インバンド プロビジョニングであることに注意してください。したがって、クライアントはサーバ証明書を検証できません。[Validate Server Identity] のチェックボックスにチェックマークが入っていないことを確認する必要があります。

  7. [OK] をクリックします。

WPA2 Enterprise 動作モードの確認

WPA2 Enterprise 動作モード設定が正しく機能するかどうかを確認するには、次の手順を実行します。

  1. [Aironet Desktop Utility] ウィンドウで、[WPA2-Enterprise] プロファイルを選択して [Activate] をクリックし、ワイヤレス クライアント プロファイルをアクティブ化します。

  2. MS-CHAP ver2 認証を有効にしている場合、ユーザ名およびパスワードを求めるプロンプトがクライアントに表示されます。

    /image/gif/paws/100708/wpa-uwn-config18.gif

  3. ユーザの EAP-FAST 処理を実行中に、RADIUS サーバから PAC を要求することを確認するプロンプトがクライアントに表示されます。[Yes] をクリックすると、PAC プロビジョニングが開始します。

    /image/gif/paws/100708/wpa-uwn-config19.gif

  4. フェーズ 0 で PAC プロビジョニングに成功した後、フェーズ 1 および 2 が実行され、認証手順が正常に実行されます。

    認証に成功すると、ワイヤレス クライアントは WLAN WPA2-Enterprise に関連付けられます。次にスクリーンショットを示します。

    /image/gif/paws/100708/wpa-uwn-config20.gif

    また、RADIUS サーバがワイヤレス クライアントから認証要求を受信して検証するかどうかも確認できます。そのためには、ACS サーバで Passed Authentications レポートと Failed Attempts レポートを調べます。これらのレポートは、ACS サーバの [Reports and Activities] で見ることができます。

WPA2 Personal モード向けのデバイスの設定

WPA2-Persona 動作モード用にデバイスを設定するには、次の手順を実行します。

  1. WPA2 Personal モード認証向けの WLAN の設定

  2. WPA2 Personal モード向けのワイヤレス クライアントの設定

WPA2 Personal 動作モード向けの WLAN の設定

クライアントがワイヤレス ネットワークに接続するために使用する WLAN を設定する必要があります。WPA2 Personal モード用の WLAN SSID は、WPA2-Personal です。この例ではこの WLAN を管理インターフェイスに割り当てます。

WLAN およびそれに関連するパラメータを設定するには、次の手順を実行します。

  1. コントローラの GUI で [WLANs] をクリックして、[WLANs] ページを表示します。

    このページには、コントローラに存在する WLAN の一覧が表示されます。

  2. [New] をクリックして新規の WLAN を作成します。

  3. [WLANs] > [New] ページで WLAN SSID 名、プロファイル名、および WLAN ID を入力します。次に、[Apply] をクリックします。

    この例では、SSID として WPA2-Personal を使用しています。

    /image/gif/paws/100708/wpa-uwn-config21.gif

  4. 新しい WLAN を作成すると、新しい WLAN に対する [WLAN] > [Edit] ページが表示されます。このページで、この WLAN に固有の各種パラメータを定義できます。これには、全般ポリシー、セキュリティ ポリシー、QOS ポリシー、および高度なパラメータが含まれます。

  5. WLAN を有効にするには、[General Policies] で [Status] チェックボックスにチェックマークを入れます。

  6. AP にビーコン フレームで SSID をブロードキャストさせる場合は、[Broadcast SSID] チェックボックスにチェックマークを入れます。

  7. [Security] タブをクリックします。[Layer 2 Security] で、[WPA+WPA2] を選択します。

    これにより、WLAN に対して WPA 認証が有効になります。

    /image/gif/paws/100708/wpa-uwn-config22.gif

  8. [WPA+WPA2 Parameters] を変更するために、ページを下にスクロールします。

    この例では、[WPA2 Policy] および [AES] 暗号化が選択されています。

  9. [Auth Key Mgmt] で [PSK] を選択して、WPA2-PSK を有効にします。

  10. 以下に示す適切なフィールドに事前共有キーを入力します。

    /image/gif/paws/100708/wpa-uwn-config23.gif

    注:WLC で使用される事前共有キーは、ワイヤレス クライアントで設定されるものと一致する必要があります。

  11. [Apply] をクリックします。

WPA2 Personal モード向けのワイヤレス クライアントの設定

次の手順では、WPA2-Personal 動作モード用にワイヤレス クライアントを設定します。

WPA2-Personal モード用にワイヤレス クライアントを設定するには、次の手順を実行します。

  1. [Aironet Desktop Utility] ウィンドウで、[Profile Management] > [New] をクリックして、WPA2-PSK WLAN ユーザのプロファイルを作成します。

  2. [Profile Management] ウィンドウの [General] タブをクリックし、この例に示すように、プロファイル名、クライアント名、および SSID 名を設定します。次に、[OK] をクリックします。

    /image/gif/paws/100708/wpa-uwn-config24.gif

  3. [Security] タブをクリックし、[WPA/WPA2 Passphrase] を選択して WPA2-PSK 動作モードを有効にします。[Configure] をクリックして、WPA-PSK 事前共有キーを設定します。

    /image/gif/paws/100708/wpa-uwn-config25.gif

  4. 事前共有キーを入力して、[OK] をクリックします。

    /image/gif/paws/100708/wpa-uwn-config26.gif

WPA2-Personal 動作モードの確認

WPA2-Enterprise 動作モード設定が正しく機能するかどうかを確認するには、次の手順を実行します。

  1. [Aironet Desktop Utility] ウィンドウで、[WPA2-Personal] プロファイルを選択して [Activate] をクリックし、ワイヤレス クライアント プロファイルをアクティブ化します。

  2. プロファイルがアクティブになると、ワイヤレス クライアントは認証に成功後、WLAN に関連付けられます。

    次にスクリーンショットを示します。

    /image/gif/paws/100708/wpa-uwn-config27.gif

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

次に示す debug コマンドは、設定のトラブルシューティングに役立ちます。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug dot1x events enable:すべての dot1x イベントのデバッグをイネーブルにします。認証に成功した後のデバッグ出力の例を次に示します。

    注:下記の出力には、スペースの制約上 2 行に分割されている行があります。

    (Cisco Controller)>debug dot1x events enable
    Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Sending EAP -Request/Identity 
    to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Received EAPOL START from 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity 
    to mobile 00:40:96:af:3e:93 (EAP Id 2)
    Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Received EAP Response packet with 
    mismatching id (currentid=2, eapid=1) from mobile 00:40:96:af:3e:93
    Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Received Identity Response 
    (count=2) from mobile 00:40:96:af:3e:93
    Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Processing Access-Challenge 
    for mobile 00:40:96:af:3e:93
    ..............................................................................
    ..............................................................................
    ...............................................................................
    ................................................................................
    
    Wed Feb 20 14:20:00 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 19, EAP Type 43)
    Wed Feb 20 14:20:00 2007: 00:40:96:af:3e:93 Processing Access-Challenge 
    for mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:00 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA 
    to mobile 00:40:96:af:3e:93 (EAP Id 20)
    Wed Feb 20 14:20:01 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Wed Feb 20 14:20:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -0
    Wed Feb 20 14:20:29 2007: Resetting the group key timer for 3689 seconds on 
    AP 00:0b:85:91:c3:c0
    Wed Feb 20 14:20:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -1
    Wed Feb 20 14:20:29 2007: Resetting the group key timer for 3696 seconds on 
    AP 00:0b:85:91:c3:c0
    Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Received EAPOL START from 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to 
    mobile 00:40:96:af:3e:93 (EAP Id 22)
    Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Received Identity Response (count=3) 
    from mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ===> 
    19 for STA 00:40:96:af:3e:93
    Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to 
    mobile 00:40:96:af:3e:93 (EAP Id 19)
    Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 19, EAP Type 3)
    Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to 
    mobile 00:40:96:af:3e:93 (EAP Id 20)
    Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to 
    mobile 00:40:96:af:3e:93 (EAP Id 21)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to 
    mobile 00:40:96:af:3e:93 (EAP Id 22)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to 
    mobile 00:40:96:af:3e:93 (EAP Id 23)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 23, EAP Type 43)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to 
    mobile 00:40:96:af:3e:93 (EAP Id 24)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to 
    mobile 00:40:96:af:3e:93 (EAP Id 25)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to 
    mobile 00:40:96:af:3e:93 (EAP Id 26)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 26, EAP Type 43)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to 
    mobile 00:40:96:af:3e:93 (EAP Id 27)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 27, EAP Type 43)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Reject for 
    mobile00:40:96:af:3e:93
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP-Failure to 
    mobile 00:4096:af:3e:93 (EAP Id 27)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds 
    for mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to 
    mobile 00:40:96:af:3e:93 (EAP Id 1)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to 
    mobile 00:40:96:af:3e:93 (EAP Id 1)
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAPOL START from 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to 
    mobile 00:40:96:af:3e:93 (EAP Id 2)
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received Identity Response (count=2) 
    from mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===> 
    20 for STA 00:40:96:af:3e:93
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to 
    mobile 00:40:96:af:3e:93 (EAP Id 20)
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 20, EAP Type 3)
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to 
    mobile 00:40:96:af:3e:93 (EAP Id 21)
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to 
    mobile 00:40:96:af:3e:93 (EAP Id 22)
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ===> 
    24 for STA 00:40:96:af:3e:93
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to 
    mobile 00:40:96:af:3e:93 (EAP Id 24)
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge 
    for mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA 
    to mobile 00:40:96:af:3e:93 (EAP Id 25)
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received EAP Response from 
    mobile 00:40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Processing Access-Accept for 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Creating a new PMK Cache Entry for 
    tation 00:40:96:af:3e:93 (RSN 0)
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP-Success to 
    mobile 00:40:96:af:3e:93 (EAP Id 25)
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending default RC4 key to 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending Key-Mapping RC4 key to 
    mobile 00:40:96:af:3e:93
    Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received Auth Success while in 
    Authenticating state for mobile 00:40:96:af:3e:93
    
  • debug dot1x packet enable:802.1x パケット メッセージのデバッグをイネーブルにします。

  • debug aaa events enable:すべての AAA イベントのデバッグ出力をイネーブルにします。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 100708