WLAN コンフィギュレーション ガイド、Cisco IOS XE Release 3SE(Catalyst 3850 スイッチ)
802.11r BSS の高速移行の設定
802.11r BSS の高速移行の設定
発行日;2013/12/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

802.11r BSS の高速移行の設定

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このマニュアルの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

802.11r 高速移行の制約事項

  • 802.11r クライアント アソシエーションは、スタンドアロン モードのアクセス ポイントではサポートされません。
  • 802.11r 高速ローミングは、スタンドアロン モードのアクセス ポイントではサポートされません。
  • ローカル認証 WLAN と中央認証 WLAN 間の 802.11r 高速ローミングはサポートされていません。
  • EAP LEAP 方式はサポートされません。
  • TSpec は 802.11r 高速ローミングではサポートされません。 したがって、RIC IE の処理はサポートされません。
  • WAN リンク遅延がある場合、高速ローミングも遅延します。 音声またはデータの最大遅延を確認する必要があります。 コントローラは、無線および Over-the-DS DS 方式の両方をローミングする間、802.11r 高速移行の認証要求を処理します。
  • この機能は、オープンで WPA2 設定の WLAN でのみサポートされます。
  • レガシー クライアントは、Robust Security Network Information Exchange(RSN IE)の解析を担当するサプリカントのドライバが古く、IE 内の追加 AKM を認識しない場合、802.11r が有効にされている WLAN にアソシエートできません。 この制限のため、クライアントは、WLAN にアソシエーション要求を送信できません。 ただし、これらのクライアントは、非 802.11r WLAN とアソシエートできます。 802.11r 対応クライアントは、802.11r と 802.11i の両方の認証キー管理スイートが有効にされている WLAN の 802.11i クライアントとしてアソシエートできます。 回避策は、レガシー クライアントのドライバを新しい 802.11r AKM で動作するようにするか、またはアップグレードすることです。そうすることで、レガシー クライアントは、802.11r 対応 WLAN と正常にアソシエートできます。 もう 1 つの回避策は、同じ名前で異なるセキュリティ設定(FT および非 FT)の 2 つの SSID を持つことです。
  • 高速移行のリソース要求プロトコルは、クライアントがこのプロトコルをサポートしていないため、サポートされません。 また、リソース要求プロトコルはオプションのプロトコルです。
  • サービス不能(DoS)攻撃を回避するため、各コントローラでは、異なる AP と最大 3 つの高速移行ハンドシェイクが可能です。

802.11r の高速移行について

高速ローミングの IEEE 標準である 802.11r は、クライアントがターゲット AP にローミングする前でも、新しい AP との最初のハンドシェイクが実行される、高速移行(FT)と呼ばれるローミングの新しい概念が導入されています。 初期ハンドシェイクによって、クライアントと AP が事前に Pairwise Transient Key(PTK)計算をできるようになります。 これらの PTK キーは、クライアントが新しいターゲット AP の再アソシエーション要求または応答の交換をした後で、クライアントと AP に適用されます。

802.11r は、次の 2 通りのローミングを提供します。
  • 無線
  • Over-the-DS(分散システム)

FT キー階層は、クライアントが各 AP での再認証なしで、AP 間の高速 BSS 移行ができるように設計されています。 WLAN 設定には、FT(高速移行)と呼ばれる、新しい認証キー管理(AKM)タイプが含まれています。

クライアントのローミング方法

FT プロトコルを使用して現在の AP からターゲット AP に移動するクライアントでは、メッセージ交換は次の 2 つの方法のいずれかを使用して行われます。
  • 無線:クライアントは、FT 認証アルゴリズムを使用する IEEE 802.11 認証を使用して、ターゲット AP と直接通信を行います。
  • Over-the-DS:クライアントは、現在の AP を介してターゲット AP と通信します。 クライアントとターゲット AP との間の通信は、クライアントと現在の AP 間の FT アクション フレームで実行されてから、コントローラによって送信されます。
図 1. Over the Air クライアントのローミングの設定時にメッセージが交換されます. この図は、Over the Air クライアントのローミングを設定するときに実行されるメッセージ交換のシーケンスを示します。

図 2. Over the DS クライアントのローミングの設定時にメッセージが交換されます. この図は、Over the DS クライアントのローミングを設定するときに実行されるメッセージ交換のシーケンスを示します。

802.11r 高速移行を設定する方法

オープン WLAN での 802.11r 高速移行の設定(CLI)

手順の概要

    1.    configure terminal

    2.    wlan profile-name

    3.    client vlan vlan-id

    4.    no security wpa

    5.    no security wpa akm dot1x

    6.    no security wpa wpa2

    7.    no wpa wpa2 ciphers aes

    8.    security ft

    9.    no shutdown

    10.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    Switch# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2wlan profile-name


    例:
    Switch# wlan test4
     

    WLAN コンフィギュレーション サブモードを開始します。 profile-name は、設定されている WLAN のプロファイル名です。

     
    ステップ 3client vlan vlan-id


    例:
    Switch(config-wlan)# client vlan 0120
     

    WLAN にクライアント VLAN を関連付けます。

     
    ステップ 4no security wpa


    例:
    Switch(config-wlan)# no security wpa
     

    WPA セキュリティをディセーブルにします。

     
    ステップ 5 no security wpa akm dot1x


    例:
    Switch(config-wlan)# no security wpa akm dot1x
     

    dot1x に対して AKM セキュリティをディセーブルにします。

     
    ステップ 6no security wpa wpa2


    例:
    Switch(config-wlan)# no security wpa wpa2
     

    WPA2 セキュリティを無効にします。

     
    ステップ 7no wpa wpa2 ciphers aes


    例:
    Switch(config-wlan)# no security wpa wpa2 ciphers aes
     

    AES の WPA2 暗号化をディセーブルにします。

     
    ステップ 8security ft


    例:
    Switch(config-wlan)# security ft
     

    802.11r 高速移行パラメータを指定します。

     
    ステップ 9no shutdown


    例:
    Switch(config-wlan)# shutdown
     

    WLAN を停止します。

     
    ステップ 10end


    例:
    Switch(config-wlan)# end
     

    特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

     

    Dot1x セキュリティ対応 WLAN での 802.11r BSS 高速移行の設定(CLI)

    手順の概要

      1.    configure terminal

      2.    wlan profile-name

      3.    client vlan vlan-name

      4.    local-auth local-auth-profile-eap

      5.    security dot1x authentication-list default

      6.    security ft

      7.    security wpa akm ft dot1x

      8.    no shutdown

      9.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      Switch# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2wlan profile-name


      例:
      Switch# wlan test4
       

      WLAN コンフィギュレーション サブモードを開始します。 profile-name は、設定されている WLAN のプロファイル名です。

       
      ステップ 3client vlan vlan-name


      例:
      Switch(config-wlan)# client vlan 0120
       

      この WLAN にクライアント VLAN を関連付けます。

       
      ステップ 4local-auth local-auth-profile-eap


      例:
      Switch(config-wlan)# local-auth
       

      local auth EAP プロファイルをイネーブルにします。

       
      ステップ 5security dot1x authentication-list default


      例:
      Switch(config-wlan)# security dot1x authentication-list default
       

      dot1x セキュリティ用のセキュリティ認証リストをイネーブルにします。 この設定は、dot1x セキュリティ WLAN に似ています。

       
      ステップ 6security ft


      例:
      Switch(config-wlan)# security ft
       
      この WLAN で 802.11r 高速移行をイネーブルにします。 
      ステップ 7security wpa akm ft dot1x


      例:
      Switch(config-wlan)# security wpa akm ft dot1x
       
      WLAN で 802.1x セキュリティをイネーブルにします。 
      ステップ 8no shutdown


      例:
      Switch(config-wlan)# no shutdown
       

      WLAN をイネーブルにします。

       
      ステップ 9end


      例:
      Switch(config-wlan)# end
       

      特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

       

      PSK セキュリティ対応 WLAN での 802.11r 高速移行の設定(CLI)

      手順の概要

        1.    configure terminal

        2.    wlan profile-name

        3.    client vlan vlan-name

        4.    no security wpa akm dot1x

        5.    security wpa akm ft psk

        6.    security wpa akm psk set-key {ascii {0 | 8} | hex {0 | 8}}

        7.    security ft

        8.    no shutdown

        9.    end


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 configure terminal


        例:
        Switch# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2wlan profile-name


        例:
        Switch# wlan test4
         

        WLAN コンフィギュレーション サブモードを開始します。 profile-name は、設定されている WLAN のプロファイル名です。

         
        ステップ 3client vlan vlan-name


        例:
        Switch(config-wlan)# client vlan 0120
         

        この WLAN にクライアント VLAN を関連付けます。

         
        ステップ 4 no security wpa akm dot1x


        例:
        Switch(config-wlan)# no security wpa akm dot1x
         

        dot1x に対するセキュリティの AKM をディセーブルにします。

         
        ステップ 5security wpa akm ft psk


        例:
        Switch(config-wlan)# security wpa akm ft psk
         

        FT PSK サポートを設定します。

         
        ステップ 6security wpa akm psk set-key {ascii {0 | 8} | hex {0 | 8}}


        例:
        Switch(config-wlan)# security wpa akm psk set-key ascii 0 test
         

        PSK AKM の共有キーを設定します。

         
        ステップ 7security ft


        例:
        Switch(config-wlan)# security ft
         

        802.11r 高速移行を設定します。

         
        ステップ 8no shutdown


        例:
        Switch(config-wlan)# no shutdown
         

        WLAN をイネーブルにします。

         
        ステップ 9end


        例:
        Switch(config-wlan)# end
         

        特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

         

        802.11 高速移行の設定(GUI)


          ステップ 1   [Configuration] > [Wireless] > [WLANs] をクリックします。

          [WLANs] ページが表示されます。

          ステップ 2   ページの検索機能を使用して、設定する WLAN を検索します。
          ステップ 3   WLAN の [WLAN Profile] をクリックします。

          [WLAN > Edit] ページが表示されます。

          ステップ 4   [Security] タブおよび[Layer 2] タブをクリックします。
          ステップ 5   BSS の高速移行をイネーブルにするために [Fast Transition] チェックボックスをオンにします。

          BSS の高速移行をディセーブルにするために [Fast Transition] チェックボックスをオフにします。

          ステップ 6   分散システム上の BSS の高速移行をイネーブルにするには、[Over the DS] チェックボックスをオンにします。 この設定はデフォルトでイネーブルになっています。
          (注)      [Over the DS] をオフにすると、Over the Air の高速移行が有効になります。
          ステップ 7   (任意)[Reassociation Timeout] テキスト ボックスに再アソシエーションのタイムアウト値(秒単位)を指定します。 指定できる範囲は 1 ~ 100 秒です。 デフォルト値は、20 秒です。
          ステップ 8   [Apply] をクリックします。

          802.11r 高速移行のディセーブル(CLI)

          手順の概要

            1.    configure terminal

            2.    wlan profile-name

            3.    no security ft [over-the-ds | reassociation-timeout timeout-in-seconds]

            4.    end


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 configure terminal


            例:
            Switch# configure terminal
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 2wlan profile-name


            例:
            Switch# wlan test4
             

            WLAN コンフィギュレーション サブモードを開始します。 profile-name は、設定されている WLAN のプロファイル名です。

             
            ステップ 3 no security ft [over-the-ds | reassociation-timeout timeout-in-seconds]


            例:
            Switch(config-wlan)# no security ft over-the-ds 
             

            WLAN の 802.11r 高速移行をディセーブルにします。

            (注)     

            データ ソースに対して 802.11r 高速移行をディセーブルにすると、無線の高速移行がイネーブルになります。

             
            ステップ 4end


            例:
            Switch(config)# end
             

            特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

             

            802.11r 高速移行の監視(CLI)

            802.11r の高速移行を監視するために次のコマンドを使用できます。

            コマンド 説明
            show wlan name wlan-name

            WLAN に設定されているパラメータの要約を表示します。

            show wireless cli mac-address mac-address クライアントの 802.11r 認証キー管理の設定の概要を表示します。
            . . . 
            . . .
            Client Capabilities
              CF Pollable : Not implemented
              CF Poll Request : Not implemented
              Short Preamble : Not implemented
              PBCC : Not implemented
              Channel Agility : Not implemented
              Listen Interval : 15
              Fast BSS Transition : Implemented
            Fast BSS Transition Details :
            Client Statistics:
              Number of Bytes Received : 9019
              Number of Bytes Sent : 3765
              Number of Packets Received : 130
              Number of Packets Sent : 36
              Number of EAP Id Request Msg Timeouts : 0
              Number of EAP Request Msg Timeouts : 0
              Number of EAP Key Msg Timeouts : 0
              Number of Data Retries : 1
              Number of RTS Retries : 0
              Number of Duplicate Received Packets : 1
              Number of Decrypt Failed Packets : 0
              Number of Mic Failured Packets : 0
              Number of Mic Missing Packets : 0
              Number of Policy Errors : 0
              Radio Signal Strength Indicator : -48 dBm
              Signal to Noise Ratio : 40 dB
            . . . 
            . . . 
            

            802.11r 高速移行に関する追加情報

            関連資料

            関連項目 マニュアル タイトル
            WLAN コマンド リファレンス WLAN Command Reference, Cisco IOS XE Release 3SE(Catalyst 3850 スイッチ)

            エラー メッセージ デコーダ

            説明 Link

            このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。

            https:/​/​www.cisco.com/​cgi-bin/​Support/​Errordecoder/​index.cgi

            標準および RFC

            標準/RFC Title
            IEEE 802.11r。

            802.11r 用の IEEE 規格

            MIB

            MIB MIB のリンク

            このリリースでサポートされるすべての MIB です。

            選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

            http:/​/​www.cisco.com/​go/​mibs

            テクニカル サポート

            説明 Link

            シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

            お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

            シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

            http:/​/​www.cisco.com/​support

            802.11r 高速移行の機能に関する情報

            次の表に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。

            機能名 リリース 機能情報
            802.11r の高速移行 Cisco IOS XE 3.3SE この機能が導入されました。