WLAN コンフィギュレーション ガイド、Cisco IOS XE Release 3SE(Catalyst 3850 スイッチ)
WLAN セキュリティの設定
WLAN セキュリティの設定
発行日;2013/12/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

WLAN セキュリティの設定

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このマニュアルの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

レイヤ 2 セキュリティの前提条件

同じ SSID を持つ WLAN は、ビーコン応答とプローブ応答でアドバタイズされる情報に基づいてクライアントが WLAN を選択できるように、一意のレイヤ 2 セキュリティ ポリシーを使用している必要があります。 使用可能なレイヤ 2 セキュリティ ポリシーは、次のとおりです。

  • なし(オープン WLAN)
  • Static WEP または 802.1X

    (注)  


    Static WEP と 802.1X は両方とも、ビーコン応答とプローブ応答で同じビットによってアドバタイズされるので、クライアントはこれらを区別できません。 したがって、同じ SSID を持つ複数の WLAN では、Static WEP と 802.1X の両方を使用できません。


  • WPA/WPA2

    (注)  


    同じ SSID を持つ複数の WLAN で WPA と WPA2 を使用することはできませんが、同じ SSID を持つ 2 つの WLAN は、PSK を使用する WPA/TKIP と 802.1X を使用する Wi-Fi Protected Access(WPA)/Temporal Key Integrity Protocol(WPA)で設定するか、802.1X を使用する WPA/TKIP または 802.1X を使用する WPA/AES で設定することができます。


関連コンセプト

AAA Override について

WLAN の AAA Override オプションを使用すると、WLAN で Identity ネットワーキングを設定できます。 これにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、Quality Of Service (QoS)、およびアクセス コントロール リスト (ACL) を適用することができます。

WLAN セキュリティの設定方法

静的 WEP と 802.1X レイヤ 2 セキュリティ パラメータの設定(CLI)

はじめる前に

管理者特権が必要です。

手順の概要

    1.    configure terminal

    2.    wlan profile-name

    3.    security static-wep-key {authentication {open | sharedkey} | encryption {104 | 40} [ascii | hex] {0|8}} wep-key wep-key-index1-4

    4.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    Switch# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2wlan profile-name


    例:
    Switch# wlan test4
     

    WLAN コンフィギュレーション サブモードを開始します。 profile-name は、設定されている WLAN のプロファイル名です。

     
    ステップ 3security static-wep-key {authentication {open | sharedkey} | encryption {104 | 40} [ascii | hex] {0|8}} wep-key wep-key-index1-4


    例:
    Switch(config-wlan)# security static-wep-key encryption 40 hex 0 test 2
     
    WLAN の静的 WEP セキュリティを設定します。 次のキーワードと引数があります。
    • authentication:802.11 認証を設定します。
    • encryption:静的 WEP キーとインデックスを設定します。
    • open:オープン システム認証を設定します。
    • sharedkey:共有キー認証を設定します。
    • 104, 40:WEP キーのサイズを指定します。
    • hex, ascii:キーの入力形式を指定します。
    • wep-key-indexwep-key-index1-4 指定するパスワードのタイプです。 値が 0 である場合は、暗号化されないパスワードを指定することを示します。 値が 8 である場合は、AES 暗号化を指定することを示します。
     
    ステップ 4end


    例:
    Switch(config)# end
     

    特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

     

    静的 WEP レイヤ 2 セキュリティ パラメータの設定(CLI)

    はじめる前に

    管理者特権が必要です。

    手順の概要

      1.    configure terminal

      2.    wlan profile-name

      3.    security static-wep-key [authentication {open | shared} | encryption {104 | 40} {ascii | hex} [0 | 8]]

      4.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      Switch# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2wlan profile-name


      例:
      Switch# wlan test4
       

      WLAN コンフィギュレーション サブモードを開始します。 profile-name は、設定されている WLAN のプロファイル名です。

       
      ステップ 3 security static-wep-key [authentication {open | shared} | encryption {104 | 40} {ascii | hex} [0 | 8]]


      例:
      Switch(config-wlan)# security static-wep-key authentication open
       

      キーワードは次のとおりです。

      • static-wep-key:静的 WEP キーの認証を設定します。
      • authentication:ユーザが設定できる認証タイプを指定します。 値は、open および shared です。
      • encryption:ユーザが設定できる暗号化タイプを指定します。 有効な値は 104 と 40 です。 40 ビットキーには、ASCII テキスト文字が 5 文字と 16 進数文字が 10 文字必要です。 104 ビットキーには、ASCII テキスト文字が 13 文字と 16 進数文字が 26 文字必要です。
      • ascii:ASCII としてキー形式を指定します。
      • hex:HEX としてキー形式を指定します。

       
      ステップ 4end


      例:
      Switch(config)# end
       

      特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

       

      WPA + WPA2 レイヤ 2 セキュリティ パラメータの設定(CLI)


      (注)  


      デフォルト セキュリティ ポリシーは、WPA2 です。
      はじめる前に

      管理者特権が必要です。

      手順の概要

        1.    configure terminal

        2.    wlan profile-name

        3.    security wpa

        4.    security wpa wpa1

        5.    security wpa wpa1 ciphers [aes | tkip]

        6.    security wpa wpa2

        7.    security wpa wpa2 ciphers [aes | tkip]

        8.    end


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 configure terminal


        例:
        Switch# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2wlan profile-name


        例:
        Switch# wlan test4
         

        WLAN コンフィギュレーション サブモードを開始します。 profile-name は、設定されている WLAN のプロファイル名です。

         
        ステップ 3security wpa


        例:
        Switch(config-wlan)# security wpa
         

        WPA をイネーブルにします。

         
        ステップ 4security wpa wpa1


        例:
        Switch(config-wlan)# security wpa wpa1
         

        WPA1 をイネーブルにします。

         
        ステップ 5security wpa wpa1 ciphers [aes | tkip]


        例:
        Switch(config-wlan)# security wpa wpa1 ciphers aes
         
        WPA1 暗号を指定します。 次のいずれかの暗号化タイプを選択します。
        • aes:WPA/AES のサポートを指示します。
        • tkip:WPA/TKIP のサポートを指示します。

         
        ステップ 6security wpa wpa2


        例:
        Switch(config-wlan)# security wpa
         

        WPA 2 をイネーブルにします。

         
        ステップ 7security wpa wpa2 ciphers [aes | tkip]


        例:
        Switch(config-wlan)# security wpa wpa2 ciphers tkip
         
        WPA2 暗号化を設定します。 次のいずれかの暗号化タイプを選択します。
        • aes:WPA/AES のサポートを指示します。
        • tkip:WPA/TKIP のサポートを指示します。
         
        ステップ 8end


        例:
        Switch(config)# end
         

        特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

         

        802.1X レイヤ 2 セキュリティ パラメータの設定(CLI)

        はじめる前に

        管理者特権が必要です。

        手順の概要

          1.    configure terminal

          2.    wlan profile-name

          3.    security dot1x

          4.    security [authentication-list auth-list-name | encryption {0 | 104 | 40}

          5.    end


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 configure terminal


          例:
          Switch# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2wlan profile-name


          例:
          Switch# wlan test4
           

          WLAN コンフィギュレーション サブモードを開始します。 profile-name は、設定されている WLAN のプロファイル名です。

           
          ステップ 3 security dot1x


          例:
          Switch(config-wlan)# security dot1x
           

          802.1X セキュリティを指定します。

           
          ステップ 4security [authentication-list auth-list-name | encryption {0 | 104 | 40}


          例:
          Switch(config-wlan)# security encryption 104
           
          次のキーワードと引数があります。
          • authentication-list:IEEE 802.1X の認証リストを指定します。
          • encryption:CKIP 暗号キーの長さを指定します。 有効な値は、0、40、および 104 です。 ゼロ(0)では暗号化されません。 これはデフォルトです。
          (注)      WLAN 内のすべてのキーは、同じサイズでなければなりません。
           
          ステップ 5end


          例:
          Switch(config)# end
           

          特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

           

          レイヤ 2 パラメータの設定(GUI)

          はじめる前に
          • 管理者特権が必要です。

            ステップ 1   [Configuration] > [WLAN] > をクリックします。

            [WLANs] ページが表示されます。

            ステップ 2   設定する WLAN の WLAN プロファイルをクリックします。

            [WLANs] > [Edit] > ページが表示されます。

            ステップ 3   [Security] > [Layer 2] > タブをクリックします。
            パラメータ 説明

            Layer2 Security

            選択した WLAN のレイヤ 2 セキュリティ。 値は次のとおりです。
            • None—No:レイヤ 2 セキュリティは選択されていません。
            • WPA+WPA2:Wi-Fi Protected Access。
            • 802.1X:WEP 802.1X データ暗号化のタイプ。 これらの設定については、レイヤ 2 802.1X パラメータに関するトピックを参照してください。
            • Static WEP:静的 WEP 暗号化パラメータ。
            • Static WEP + 802.1x:静的 WEP および 802.1X の両パラメータ。

            MAC Filtering

            MAC アドレス フィルタリング [MAC Filters] > [New page] で、実際の MAC アドレスによってローカルにクライアントを設定できます。 そうでない場合は、RADIUS サーバのクライアントを構成します。

            (注)      MAC フィルタは、MAC Authentication By Pass(MAB)として知られています。
            Fast Transition アクセス ポイント間の高速移行をイネーブルまたはディセーブルにするチェックボックス。
            Over the DS 分散システム上の高速移行をイネーブルまたはディセーブルにするチェックボックス。
            Reassociation Timeout 高速移行の再アソシエーションがタイムアウトになるまでの時間(秒単位)。

            WPA + WPA2 パラメータを設定するには、次の詳細情報を提供します。

            パラメータ 説明

            WPA Policy

            WPA Policy をイネーブルまたはディセーブルにするチェックボックス。

            WPA Encryption

            WPA2 encryption type: TKIP または AES。 WPA ポリシーがイネーブルな場合だけ使用可能です。

            WPA2 Policy

            WPA2 Policy をイネーブルまたはディセーブルにするチェックボックス。

            WPA2 Encryption

            WPA2 encryption type: TKIP または AES。 WPA2 ポリシーがイネーブルな場合だけ使用可能です。

            Authentication Key Management(認証キー管理)

            再生成メカニズム パラメータ。 値は次のとおりです。
            • 802.1X
            • CCKM
            • PSK
            • 802.1x + CCKM

            PSK Format

            認証キー管理の PSK 値を選択するとイネーブルになります。 ASCII 形式または 16 進形式を選択し、事前共有キーを入力します。

            802.1x パラメータを設定するには、次の詳細情報を入力します。

            パラメータ 説明

            802.11 data encryption

            WEP 802.11 データ暗号化タイプ。

            Type

            セキュリティ タイプ。

            Key size

            キー サイズ。 値は次のとおりです。
            • なし
            • 40 ビット
            • 104 ビット

            サードパーティの AP WLAN(17)は 802.1X 暗号化としてのみ設定できます。 ドロップダウン設定可能な 802.1X パラメータは、この WLAN には使用できません。

            静的 WEP を指定するには、次のパラメータを設定します。

            パラメータ 説明

            802.11 Data Encryption

            静的 WEP 暗号化タイプ。

            Current Key

            現在選択されているキーの詳細を表示します。

            Type

            セキュリティ タイプ。

            Key size

            キー サイズ。 値は次のとおりです。
            • 未設定
            • 40 ビット
            • 104 ビット

            Key Index

            1~4 のインデックス。

            各 WLAN に 1 つの一意な WEP キー インデックスを適用できます。 WEP キー インデックスは 4 つしかないため、静的 WEP レイヤ 2 暗号化には 4 つの WLAN しか設定できません。

            WEP キー インデックスは 4 つしかないため、静的 WEP レイヤ 2 暗号化には 4 つの WLAN しか設定できません。

            Encryption Key

            暗号化キー。

            Key Format

            ASCII または 16 進の暗号キー形式を選択します。

            Allow Shared Key Authentication

            自身がイネーブルまたはディセーブルに設定できる認証キー。

            静的 WEP と 802.1X パラメータを設定するには

            パラメータ 説明
            Static WEP Parameters
            802.11 Data Encryption 静的 WEP 暗号化タイプ。
            Current Key 現在選択されているキーの詳細を表示します。
            Type セキュリティ タイプ。
            Key size キー サイズ。 値は次のとおりです。
            • 未設定
            • 40 ビット
            • 104 ビット
            Key Index

            1~4 のインデックス。

            各 WLAN に 1 つの一意な WEP キー インデックスを適用できます。 WEP キー インデックスは 4 つしかないため、静的 WEP レイヤ 2 暗号化には 4 つの WLAN しか設定できません。

            WEP キー インデックスは 4 つしかないため、静的 WEP レイヤ 2 暗号化には 4 つの WLAN しか設定できません。

            Encryption Key 暗号化キー。
            Key Format ASCII または 16 進の暗号キー形式を選択します。
            Allow Shared Key Authentication 自身がイネーブルまたはディセーブルに設定できる認証キー。
            802.1x Parameters

            802.11 Data Encryption

            静的 WEP 暗号化タイプ。

            Current Key

            表示のみ。 現在選択されているキーの詳細。

            Type

            セキュリティ タイプ。

            Key size

            キー サイズ。 値は次のとおりです。
            • 未設定
            • 40 ビット
            • 104 ビット

            Key Index

            1~4 のインデックス。

            各 WLAN に 1 つの一意な WEP キー インデックスを適用できることに注意してください。 WEP キー インデックスは 4 つしかないため、静的 WEP レイヤ 2 暗号化には 4 つの WLAN しか設定できません。

            Encryption Key

            暗号化キー。

            Key Format

            ASCII または 16 進の暗号キー形式を選択します。

            Allow Shared Key Authentication

            自身がイネーブルまたはディセーブルに設定できる認証キー。

            ステップ 4   [Apply] をクリックします。

            その他の関連資料

            関連資料

            関連項目 マニュアル タイトル

            WLAN コマンド リファレンス

            WLAN Command Reference, Cisco IOS XE Release 3SE(Catalyst 3850 スイッチ)

            セキュリティ コンフィギュレーション ガイド

            Security Configuration Guide(Catalyst 3850 スイッチ)

            エラー メッセージ デコーダ

            説明 Link

            このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。

            https:/​/​www.cisco.com/​cgi-bin/​Support/​Errordecoder/​index.cgi

            MIB

            MIB MIB のリンク
            本リリースでサポートするすべての MIB

            選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

            http:/​/​www.cisco.com/​go/​mibs

            テクニカル サポート

            説明 Link

            シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

            お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

            シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

            http:/​/​www.cisco.com/​support

            WLAN レイヤ 2 セキュリティに関する機能情報

            次の表に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。
            機能名 リリース 機能情報
            WLAN のセキュリティ機能 Cisco IOS XE 3.2SE この機能が導入されました。