Cisco 3200 シリーズ ワイヤレス MIC ソフトウェア コンフィギュレーション ガイド
認証タイプの設定
認証タイプの設定
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

認証タイプの設定

認証タイプの概要

に対するオープン認証

ブリッジに対する共有鍵認証

ネットワークに対するEAP認証

認証されたブリッジに対するCCKMの使用方法

WPA鍵管理の使用方法

認証タイプの設定

認証のデフォルト設定

SSIDへの認証タイプの割り当て

ルート ブリッジとWDSデバイスとの相互作用の設定

追加WPAの設定

認証の延期、タイムアウト、およびインターバルの設定

非ルート ブリッジのLEAPクライアントしての設定

ルート ブリッジおよび非ルート ブリッジの認証タイプの一致

LEAPの設定例

認証タイプの設定

この章では、WMICに認証タイプの設定方法について説明します。この章の内容は、次のとおりです。

「認証タイプの概要」

「認証タイプの設定」

「ルート ブリッジおよび非ルート ブリッジの認証タイプの一致」

認証タイプの概要

ここでは、WMICに設定できる認証タイプについて説明します。認証タイプはWMICに設定されたSSIDに関連付けられます。

無線デバイスが相互に通信するには、オープン認証または共有鍵認証を使用して、相互に認証しておく必要があります。セキュリティを最大にするには、ネットワーク認証にExtensible Authentication Protocol(EAP)認証(ネットワークの認証サーバを利用する認証タイプ)も使用する必要があります。

WMICは4つの認証メカニズム(認証タイプ)を使用します。複数の認証タイプを同時に使用できます。ここでは、各認証タイプについて説明します。

「WMICに対するオープン認証」

「ブリッジに対する共有鍵認証」

「ネットワークに対するEAP認証」

WMICに対するオープン認証

オープン認証を使用すると、すべての無線デバイスは認証を行い、それから別の無線デバイスと通信することができます。オープン認証を使用した場合、非ルート ブリッジはルート ブリッジに対して認証できます。WEPを使用しないブリッジは、WEPを使用するブリッジとの認証を行いません。オープン認証はネットワーク上のRADIUSサーバを利用しません。

図 10-1に、認証を試行する非ルート ブリッジと、オープン認証を使用するルート ブリッジ間の認証シーケンスを示します。この例では、デバイスのWEPキーはブリッジの鍵と一致しません。したがって、デバイスは認証できますが、データを送信できません。

図 10-1 オープン認証のシーケンス

 

ブリッジに対する共有鍵認証

シスコは、IEEE 802.11bおよびIEEE 802.11g標準に準拠する共有鍵認証を提供しています。ただし、共有鍵にはセキュリティ上の欠陥があるため、セキュリティが必要な環境では、EAPなどの別の認証方式を使用することを推奨します。

共有鍵認証中に、ルート ブリッジは暗号化されていないチャレンジ テキスト ストリングを、ルート ブリッジとの通信を試行している別のブリッジに送信します。認証の要求元ブリッジはチャレンジ テキストを暗号化して、ルート ブリッジに返信します。チャレンジ テキストが正しく暗号化されている場合、ルート ブリッジは要求元デバイスの認証を許可します。

暗号化されていないチャレンジと暗号化されたチャレンジを両方ともモニタできますが、ルート ブリッジは無防備になり、侵入者は暗号化されていないテキスト ストリングと暗号化されたテキスト ストリングを比較してWEPキーを計算することができます。

図 10-2に、認証を試行するデバイスと、共有鍵認証を使用するブリッジ間の認証シーケンスを示します。この例では、デバイスのWEPキーはブリッジの鍵と一致します。したがって、デバイスは認証し、通信することができます。

図 10-2 共有鍵認証のシーケンス

 

ネットワークに対するEAP認証

この認証タイプは、無線ネットワークに最高レベルのセキュリティをもたらします。ルート ブリッジはEAPを使用してEAP互換RADIUSサーバと相互作用することにより、別のブリッジおよびRADIUSサーバが相互認証し、ダイナミック ユニキャストWEPキーを取得できるように支援します。RADIUSサーバはルート ブリッジにWEPキーを送信します。ルート ブリッジは、非ルート ブリッジに対して送受信するすべてのユニキャスト データ信号にこの鍵を使用します。ルート ブリッジは非ルート ブリッジのユニキャスト キーを使用して、(ブリッジのWEPキー スロット1に格納された)ブロードキャストWEPキーも暗号化し、非ルート ブリッジに送信します。

ブリッジ上でEAPをイネーブルにすると、ネットワーク認証が図 10-3の順に発生します。

図 10-3 EAP認証のシーケンス

 

図 10-3のステップ1~9では、有線LANの非ルート ブリッジおよびRADIUSサーバは802.1xおよびEAPを使用して、ルート ブリッジによる相互認証を実行します。RADIUSサーバは非ルート ブリッジに認証チャレンジを送信します。非ルート ブリッジはユーザが指定したパスワードを一方向に暗号化して、チャレンジへの応答を生成し、RADIUSサーバに送信します。RADIUSサーバはユーザ データベースの情報を使用して、独自の応答を作成し、非ルート ブリッジからの応答と比較します。RADIUSサーバが非ルート ブリッジを認証すると、プロセスが逆方向で繰り返され、非ルート ブリッジはRADIUSサーバを認証します。

相互認証が完了すると、RADIUSサーバおよび非ルート ブリッジは非ルート ブリッジに対して一意のWEPキーを判別し、非ルート ブリッジに適切なネットワーク アクセス レベルを設定します。これにより、配線されたスイッチド セグメントのセキュリティ レベルが、デスクトップとほぼ同じレベルになります。非ルート ブリッジはこの鍵をロードし、ログオン セッションに使用する準備を行います。

ログオン セッション中に、RADIUSサーバはセッション キーと呼ばれるWEPキーを暗号化し、有線LANを介してルート ブリッジに送信します。ルート ブリッジはセッション キーを使用してブロードキャスト キーを暗号化し、暗号化されたブロードキャスト キーを非ルート ブリッジに送信します。非ルート ブリッジはセッション キーを使用して、ブロードキャスト キーの暗号を解除します。非ルート ブリッジおよびルート ブリッジはWEPをアクティブにし、セッションの残りの期間中のすべての通信に対して、セッションおよびブロードキャストWEPキーを使用します。

複数のEAP認証タイプがありますが、どのタイプでもブリッジは同じように動作します。ブリッジは無線クライアント デバイスからRADIUSサーバに、およびRADIUSサーバから無線クライアント デバイスに認証メッセージをリレーします。WMICでのEAPの設定手順については、「SSIDへの認証タイプの割り当て」を参照してください。


) EAP認証を使用する場合は、オープン認証または共有鍵認証を選択できますが、この選択は必須ではありません。EAP認証はブリッジおよびネットワークに対する認証を制御します。


認証されたブリッジに対するCCKMの使用方法

Cisco Centralized Key Management(CCKM)を使用すると、認証された非ルート ブリッジは、再アソシエーション中に認識可能な遅延を発生させることなく、ルート ブリッジ間でローミングできます。ネットワーク上のアクセス ポイントまたはスイッチはWireless Domain Services(WDS)を提供して、サブネットのCCKM対応ブリッジにセキュリティ証明書のキャッシュを作成します。WDSデバイスに証明書キャッシュがあると、CCKM対応の非ルート ブリッジが新しいルート ブリッジにローミングする場合の再アソシエーションの所要時間が大幅に短縮されます。

非ルート ブリッジをローミングすると、WDSデバイスはブリッジのセキュリティ証明書を新しいルート ブリッジに転送し、再アソシエーション プロセスはローミング ブリッジと新しいルート ブリッジ間で2つのパケットを交換するだけになります。ブリッジのローミングによる再アソシエーションは短時間で終了するため、音声または時間に依存するアプリケーションには、認識される遅延が発生しません。ブリッジ上でCCKMをイネーブルにする手順については、「SSIDへの認証タイプの割り当て」を参照してください。

WPA鍵管理の使用方法

Wi-Fi Protected Access(WPA)は相互運用可能な標準ベースのセキュリティ強化機能です。これにより、既存の、および将来の無線LANシステムのデータ保護レベルおよびアクセス制御レベルが大幅に向上します。WPAはIEEE 802.11i標準をベースとしています。WPAはデータを保護にTemporal Key Integrity Protocol(TKIP)を、認証鍵管理に802.1Xを利用します。

WPA鍵管理は、WPAおよびWPA-Pre-Shared Key(WPA-PSK)の相互に排他的な2つの管理タイプをサポートしています。WPAキー管理を使用した場合、非ルート ブリッジおよび認証サーバはEAP認証方式を使用して相互に認証し、Pairwise Master Key(PMK)を生成します。また、認証サーバはWPAを使用してPMKを動的に生成し、ルート ブリッジに送信します。ただし、WPA-PSKを使用する場合は、ユーザが非ルート ブリッジおよびルート ブリッジに事前共有鍵を設定し、この鍵をPMKとして使用します。


) WPA情報要素内でアドバタイズされた(および802.11アソシエーション中にネゴシエートされた)ユニキャストおよびマルチキャスト暗号スイートは、明示的に割り当てられたVLANでサポートされている暗号スイートと一致しないことがあります。RADIUSサーバによって割り当てられた新しいVLAN IDが、以前にネゴシエートされた暗号スイートと異なる暗号スイートを使用している場合、ルート ブリッジおよび非ルート ブリッジが新しい暗号スイートに切り替わることはありません。現在、WPAおよびCCKMプロトコルでは、最初の802.11暗号ネゴシエーション フェーズ後に暗号スイートを変更できません。この場合は、非ルート ブリッジと無線LANの対応付けが解除されます。


ブリッジにWPAキー管理を設定する手順については、「SSIDへの認証タイプの割り当て」を参照してください。

認証タイプの設定

ここでは、認証タイプの設定方法について説明します。WMICのSSIDに設定タイプを付加します。WMIC SSIDの設定の詳細については、「SSIDの設定」を参照してください。ここでは、次の内容について説明します。

「認証のデフォルト設定」

「SSIDへの認証タイプの割り当て」

「認証の延期、タイムアウト、およびインターバルの設定」

認証のデフォルト設定

WMICのデフォルトSSIDはautoinstallです。 表 10-1 に、デフォルトSSIDのデフォルト認証設定を示します。

 

表 10-1 認証のデフォルト設定

機能
デフォルト設定

SSID

autoinstall

ゲスト モードSSID

autoinstall(WMICはビーコン内でこのSSIDをブロードキャストし、SSIDが設定されていないブリッジの対応付けを可能にします)。

tsunamiに割り当てられた認証タイプ

オープン

SSIDへの認証タイプの割り当て

SSIDの認証タイプを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio 0

無線インターフェイスで、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

ssid ssid-string

SSIDを作成し、新しいSSIDについてSSIDコンフィギュレーション モードを開始します。SSIDには最大32文字の英数字を指定できます。SSIDでは大文字と小文字が区別されます。


) SSIDにはスペースを含めないでください。


ステップ 4

authentication open
[eap list-name]

(任意)現在のSSIDの認証タイプをオープンに設定します。オープン認証を使用すると、すべてのブリッジは認証を行い、それからWMICと通信することができます。

(任意)SSIDの認証タイプをオープン(EAP認証を使用)に設定します。WMICは、EAP認証の実行後にネットワークへの参加が許可されるように、その他のすべてのブリッジを設定します。list-nameには、認証方式リストを指定します。


) EAP認証が設定されたブリッジは、対応するすべてのブリッジに強制的にEAP認証を実行させます。EAPを使用しないブリッジは、EAP認証が設定されたブリッジと通信できません。


ステップ 5

authentication shared
[eap list-name]

(任意)SSIDの認証タイプを共有鍵に設定します。


) 共有鍵のセキュリティには欠陥があるため、使用しないことを推奨します。


(任意)SSIDの認証タイプを共有鍵(EAP認証を使用)に設定します。list-nameには、認証方式リストを指定します。

ステップ 6

authentication network-eap list-name

(任意)認証および鍵配布にLEAPを使用するように、SSIDの認証タイプを設定します。シスコ製ブリッジがサポートするのはLEAPのみですが、無線クライアントの中にはEAP、PEAP、TLSなどその他のEAP方式をサポートするものもあります。

ステップ 7

authentication key-management {[wpa] [cckm]} [optional]

(任意)SSIDの認証タイプをWPA、CCKM、または両方に設定します。optionalキーワードを使用した場合、WPAまたはCCKMが設定されていない非ルート ブリッジは、現在のSSIDを使用できます。optionalキーワードを使用しない場合は、WPAまたはCCKMブリッジのみが現在のSSIDを使用できます。

SSIDに対してCCKMをイネーブルにするには、Network-EAP認証もイネーブルにする必要があります。SSIDに対してWPAをイネーブルにするには、オープン認証、Network-EAP認証、または両方もイネーブルにする必要があります。


) WPAおよびCCKMを両方ともサポートするのは、802.11bおよび802.11g無線のみです。



) CCKMまたはWPAをイネーブルにする前に、SSIDのVLANの暗号化モードを暗号スイート オプションの1つに設定する必要があります。CCKMとWPAを両方ともイネーブルにするには、暗号化モードを、TKIPを含む暗号スイートに設定する必要があります。VLAN暗号化モードを設定する手順については、「暗号スイートおよびWEPのイネーブル化」を参照してください。



) SSIDに対してWPAをイネーブルにし、事前共有鍵をイネーブルにしない場合、鍵管理タイプはWPAになります。WPAおよび事前共有鍵をともにイネーブルにした場合、鍵管理タイプはWPA-PSKになります。事前共有鍵を設定する手順については、「追加WPAの設定」を参照してください。



) CCKMをサポートするには、ルート ブリッジをネットワークのWDSデバイスと相互作用させる必要があります。ルート ブリッジとWDSデバイスとの相互作用を設定する手順については、「ルート ブリッジとWDSデバイスとの相互作用の設定」を参照してください。


ステップ 8

end

イネーブルEXECモードに戻ります。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

SSIDまたはSSID機能をディセーブルにするには、SSIDコマンドのno形式を使用します。

次に、SSID bridgeman の認証タイプをオープン(EAP認証を使用)に設定する例を示します。SSID bridgeman を使用するブリッジは、サーバadamを使用してEAP認証を試行します。

bridge# configure terminal
bridge(config)# configure interface dot11radio 0
bridge(config-if)# ssid bridgeman
bridge(config-ssid)# authentication open eap adam
bridge(config-ssid)# end
 

このブリッジに対応付けられた非ルート ブリッジの設定には、次のコマンドも含まれます。

bridge(config)# configure interface dot11radio 0
bridge(config-if)# ssid bridgeman
bridge(config-ssid)# authentication client username bridge7 password catch22
bridge(config-ssid)# authentication open eap adam
 

次に、SSID bridget の認証タイプをNetwork-EAP(スタティックWEPキーを使用)に設定する例を示します。SSID bridget を使用するEAP対応ブリッジは、サーバeveを使用してEAP認証を試行します。スタティックWEPを使用するブリッジは、スタティックWEPキーを利用します。

bridge#configure terminal
bridge#aaa new-model
bridge#aaa group server radius rad_eap
bridge#server 13.1.1.99 auth-port 1645 acct-port 1646
bridge#aaa authentication login eap_methods group rad_eap
bridge#aaa session-id common
bridge(config)#interface dot11radio 0
bridge(config-if)#encryption key 1 size 128bit 7 082CC74122FD8DA7E84856427E9D transmit-key
bridge(config-if)#encryption mode wep mandatory
bridge(config-if)# ssid bridget
bridge(config-ssid)# authentication network-eap eap_methods
bridge(config-ssid)# authentication network-eap eve
bridge(config-ssid)# infrastructure-ssid
bridge(config-ssid)# radius-server host 13.1.1.99 auth-port 1645 acct-port 1646 key 7 141B1309
bridge(config-ssid)# radius-server authorization permit missing Service-Type
bridge(config-ssid)# end
 

このブリッジに対応付けられた非ルート ブリッジの設定には、次のコマンドも含まれます。

bridge(config)# configure interface dot11radio 0
bridge(config)# encryption key 1 size 128bit 7 06061D688B87F1A0C978330C1A84 transmit-key
bridge(config)# encryption mode wep mandatory
bridge(config-if)# ssid bridget
bridge(config-if)# authentication network-eap eap_methods
bridge(config-if)# authentication client username thomasd password 7 010012165E18155D
bridge(config-if)# infrastructure-ssid
 

ルート ブリッジとWDSデバイスとの相互作用の設定

CCKMを使用する非ルート ブリッジをサポートするには、ルート ブリッジとネットワーク上のWDSデバイスを相互作用させ、認証サーバにルート ブリッジ用のユーザ名およびパスワードを設定する必要があります。無線LANにWDSおよびCCKMを設定する手順については、『Cisco IOS Software Configuration Guide for Cisco Access Points』の第11章を参照してください。

グローバル コンフィギュレーション モードで、ルート ブリッジに次のコマンドを入力します。

bridge(config)# wlccp ap username username password password
 

ルート ブリッジを認証サーバのクライアントとして設定する場合は、同じユーザ名およびパスワードのペアを設定する必要があります。

追加WPAの設定

ブリッジに事前共有鍵を設定し、グループ キーの更新頻度を調整するには、2つのオプション設定を使用します。

事前共有鍵の設定

802.1xベース認証を使用できない無線LANでWPAをサポートするには、ブリッジに事前共有鍵を設定する必要があります。事前共有鍵はASCII文字または16進文字で入力できます。鍵をASCII文字で入力する場合は、8~63文字を入力します。ブリッジは『Password-based Cryptography Standard』(RFC2898)に記載されたプロセスに従って、鍵を展開します。鍵を16進文字で入力する場合は、64個の16進文字を入力する必要があります。

グループ キー更新の設定

WPAプロセスの再後のステップで、ルート ブリッジは認証された非ルート ブリッジにグループ キーを配信します。次に示すオプションの設定を使用すると、非ルート ブリッジのアソシエーションおよびアソシエーション解除に基づいてグループ キーを変更および配布するように、ルート ブリッジを設定できます。

メンバーシップの終了 ― 認証されたすべての非ルート ブリッジとルート ブリッジのアソシエーションが解除されると、ルート ブリッジは新しいグループ キーを生成して、配布します。この機能により、対応付けられたブリッジのグループ キーはプライバシーが保護されます。

機能変更 ― 最後の非鍵管理(スタティックWEP)非ルート ブリッジのアソシエーションが解除されると、ルート ブリッジはダイナミック グループ キーを生成して、配布します。最初の非鍵管理(スタティックWEP)非ルート ブリッジが認証を行うと、ルート ブリッジはスタティックに設定されたWEPを配布します。ルート ブリッジに対応付けられたスタティックWEPブリッジが存在しない場合に、WPAマイグレーション モードでこの機能を使用すると、鍵管理対応クライアントのセキュリティが大幅に向上します。

WPA事前共有鍵およびグループ キー更新オプションを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio 0

無線インターフェイスで、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

ssid ssid-string

SSIDについて、SSIDコンフィギュレーション モードを開始します。

ステップ 4

wpa-psk { hex | ascii } [ 0 | 7 ] encryption-key

スタティックWEPキーとWPAを併用するブリッジに、事前共有鍵を入力します。

鍵を入力する場合は、16進文字またはASCII文字を使用します。16進文字を使用する場合は、64個の16進文字を入力して、256ビット鍵を作成する必要があります。ASCII文字を使用する場合は、文字、数字、または記号を8個以上入力する必要があります。入力した鍵はブリッジで展開されます。ASCII文字は63文字まで入力できます。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、WPAおよびスタティックWEPを使用する非ルート ブリッジに事前共有鍵およびグループ キー更新オプションを設定する例を示します。

bridge# configure terminal
bridge(config)# configure interface dot11radio 0
bridge(config-if)# ssid batman
bridge(config-ssid)# wpa-psk ascii batmobile65
bridge(config-ssid)# end
 

認証の延期、タイムアウト、およびインターバルの設定

ルート ブリッジを通して認証を行う非ルート ブリッジの延期時間、再認証期間、および認証タイムアウトを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot11 holdoff-time seconds

ルート ブリッジがクライアントとのアソシエーションを解除して、クライアントをアイドルにするまでに待機する秒数を入力します。1~65555秒の値を入力します。

ステップ 3

interface dot11radio 0

無線インターフェイスで、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

dot1x client-timeout seconds

認証に失敗するまでに、認証を試行している非ルート ブリッジからの応答をブリッジが待機する秒数を入力します。1~65555秒の値を入力します。

ステップ 5

dot1x reauth-period seconds [server]

認証された非ルート ブリッジを強制的に再認証させるまでWMICが待機するインターバルを秒数で入力します。

(任意)認証サーバで指定された再認証期間を使用するようにブリッジを設定するには、serverキーワードを入力します。このオプションを使用する場合は、認証サーバにRADIUSアトリビュート27のSession-Timeoutを設定します。このアトリビュートは、セッションまたはプロンプトが終了するまでに、非ルート ブリッジに提供するサービスの最大秒数を設定します。非ルート ブリッジがEAP認証を実行すると、サーバはこのアトリビュートをルート ブリッジに送信します。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

値をデフォルト設定に戻すには、このコマンドのno形式を使用します。

非ルート ブリッジのLEAPクライアントしての設定

他の無線クライアント デバイスと同様にネットワークに対する認証を行うように、非ルート ブリッジを設定できます。非ルート ブリッジにネットワークのユーザ名およびパスワードを設定すると、非ルート ブリッジはLEAP(シスコの無線認証方式)を使用してネットワーク認証を行い、ダイナミックWEPキーを受信して使用します。

非ルート ブリッジをLEAPクライアントして設定するには、主に3つのステップを実行する必要があります。

1. 認証サーバ上に、非ルート ブリッジの認証用ユーザ名およびパスワードを作成します。

2. 非ルート ブリッジを対応付けるルート ブリッジにLEAP認証を設定します。

3. LEAPクライアントとして機能するように非ルート ブリッジを設定します。

非ルート ブリッジをLEAPクライアントして設定するには、イネーブルEXECモードで次の作業を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio 0

無線インターフェイスで、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

ssid ssid-string

SSIDを作成し、新しいSSIDについてSSIDコンフィギュレーション モードを開始します。SSIDには最大32文字の英数字を指定できます。SSIDでは大文字と小文字が区別されます。

ステップ 4

authentication client
username username
password password

LEAP認証を実行するときに非ルート ブリッジが使用するユーザ名およびパスワードを設定します。このユーザ名およびパスワードは、認証サーバに非ルート ブリッジ用として設定されたユーザ名およびパスワードと一致する必要があります。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、SSID bridgemanにLEAPユーザ名およびパスワードを設定する例を示します。

bridge# configure terminal
bridge(config)# configure interface dot11radio 0
bridge(config-if)# ssid bridgeman
bridge(config-ssid)# authentication client username bugsy password run4yerlife
bridge(config-ssid)# end

ルート ブリッジおよび非ルート ブリッジの認証タイプの一致

ここに記載された認証タイプを使用するには、ルート ブリッジの認証設定が、ルート ブリッジに対応付けられた非ルート ブリッジの設定と一致する必要があります。

表 10-2 に、ルート ブリッジおよび非ルート ブリッジの認証タイプごとに必要な設定を示します。

 

表 10-2 クライアントおよびブリッジのセキュリティ設定

セキュリティ機能
非ルート ブリッジの設定
ルート ブリッジの設定

スタティックWEP(オープン認証を使用)

WEPを設定し、イネーブル化します。

WEPを設定し、イネーブル化して、オープン認証をイネーブル化します。

スタティックWEP(共有鍵認証を使用)

WEPを設定し、イネーブル化して、共有鍵認証をイネーブル化します。

WEPを設定し、イネーブル化して、共有鍵認証をイネーブル化します。

LEAP認証

LEAPのユーザ名およびパスワードを設定します。

WEPを設定し、イネーブル化して、Network-EAP認証をイネーブル化します。

CCKM鍵管理

WEPを設定し、イネーブル化して、CCKM認証をイネーブル化します。

WEPを設定し、イネーブル化して、CCKM認証をイネーブル化します。さらに、WDSデバイスと相互作用するようにルート ブリッジを設定し、ルート ブリッジをクライアント デバイスとして認証サーバに追加します。

WPA鍵管理

WEPを設定し、イネーブル化して、WPA認証をイネーブル化します。

WEPを設定し、イネーブル化して、WPA認証をイネーブル化します。

LEAPの設定例

ワークグループ ブリッジ

aaa new-model
!
aaa group server radius rad_eap
server 172.16.8.151 auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption key 1 size 128bit 0 123456789012334567890123456 transmit-key
encryption mode wep mandatory
!
ssid silicon_beach_hotspot
authentication network-eap eap_methods
authentication client username officer1 password 0 beach123

アクセス ポイント

aaa new-model
!
aaa group server radius rad_eap
server 172.16.8.151 auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption key 1 size 128bit 7 A56C276D6B9560D2F4267B256926 transmit-key
encryption mode wep mandatory
!
ssid silicon_beach_wep
authentication network-eap eap_methods