Cisco Aironet アクセス ポイント Cisco IOS ソフトウェア コンフィギュレーション ガイド Cisco IOS リリース 12.4(10b)JA および 12.3(8)JEC
WDS、高速安全ローミング、無線管理、および Wireless Intrusion Detection Service の設定
WDS、高速安全ローミング、無線管理、および Wireless Intrusion Detection Service の設定
発行日;2013/04/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

WDS、高速安全ローミング、無線管理、および Wireless Intrusion Detection Service の設定

WDS の概要

WDS デバイスの役割

WDS デバイスを使用したアクセス ポイントの役割

高速安全ローミングの概要

無線管理の概要

レイヤ 3 モビリティの概要

Wireless Intrusion Detection Service の概要

WDS の設定

WDS のガイドライン

WDS の要件

コンフィギュレーションの概要

アクセス ポイントを潜在的な WDS デバイスとして設定する

CLI の設定例

アクセス ポイントを WDS デバイスを使用するように設定する

CLI の設定例

認証サーバが WDS をサポートするように設定する

WDS 専用モードの設定

WDS 情報の表示

デバッグ メッセージの使用

高速安全ローミングの設定

高速安全ローミングの要件

高速安全ローミングをサポートするアクセス ポイントの設定

CLI の設定例

管理フレーム保護の設定

管理フレーム保護

概要

ユニキャスト管理フレームの保護

ブロードキャスト管理フレームの保護

ルート モードのアクセス ポイントのクライアント MFP

クライアント MFP の設定

無線管理の設定

CLI の設定例

WIDS に参加するようにアクセス ポイントを設定する

アクセス ポイントをスキャナ モードに設定する

アクセス ポイントをモニタ モードに設定する

モニタ モード統計の表示

モニタ モード制限の設定

認証失敗制限の設定

WLSM フェールオーバーの設定

復元トンネル リカバリ

アクティブ WLSM およびスタンバイ WLSM のフェールオーバー

WDS、高速安全ローミング、無線管理、および Wireless Intrusion Detection Service の設定

この章では、Wireless Domain Service(WDS; 無線ドメイン サービス)、クライアント デバイスの高速安全ローミング、無線管理、および Wireless Intrusion Detection Service(WIDS)のためにアクセス ポイントを設定する方法について説明します。この章で説明する内容は、次のとおりです。

「WDS の概要」

「高速安全ローミングの概要」

「無線管理の概要」

「レイヤ 3 モビリティの概要」

「Wireless Intrusion Detection Service の概要」

「WDS の設定」

「高速安全ローミングの設定」

「管理フレーム保護の設定」

「無線管理の設定」

「WIDS に参加するようにアクセス ポイントを設定する」

「WLSM フェールオーバーの設定」

スイッチの Wireless LAN Services Module(WLSM)に WDS を設定する方法は、『 Catalyst 6500 Series Wireless LAN Services Module Installation and Configuration Note 』を参照してください。

 

WDS の概要

ネットワークに無線ドメイン サービスを設定すると、無線 LAN 上のアクセス ポイントは WDS デバイス(WDS デバイスとして設定されたアクセス ポイント、Integrated Services Router、またはスイッチ)を使用してクライアント デバイスに高速安全ローミングを提供し、無線管理に参加します。スイッチを WDS デバイスとして使用する場合、そのスイッチは Wireless LAN Services Module(WLSM)を備えている必要があります。WDS デバイスとして設定したアクセス ポイントは、最大 60 個のアクセス ポイントの参加をサポートします。WDS デバイスとして設定したサービス統合型ルータ(ISR)は、最大 100 個のアクセス ポイントの参加をサポートします。WLSM を備えたスイッチは、最大 600 個のアクセス ポイントの参加および最大 240 個のモビリティ グループをサポートします。


) 単一のアクセス ポイントは、最大 16 個までのモビリティ グループをサポートします。


高速安全ローミングによって、クライアント デバイスがアクセス ポイント間をローミングするときにすみやかに再認証でき、音声やその他の時間に敏感なアプリケーションにおける遅延を回避できます。

無線管理に参加しているアクセス ポイントは、無線環境に関する情報(潜在的な不正アクセス ポイント、クライアント アソシエーション、アソシエーション解除など)を WDS デバイスに転送します。WDS デバイスはこの情報を集約し、ネットワーク上の Wireless LAN Solution Engine(WLSE; 無線 LAN ソリューション エンジン)デバイスに転送します。

WDS デバイスの役割

WDS デバイスは無線 LAN 上で次のようないくつかの作業を実行します。

WDS 機能をアドバタイズして、無線 LAN に最適な WDS デバイスの選択に参加します。WDS 用に無線 LAN を設定する場合は、1 つのデバイスをメインの WDS 候補として設定し、1 つ以上の追加デバイスをバックアップの WDS 候補として設定します。メインの WDS デバイスがオフラインになったら、バックアップの WDS デバイスの 1 つがその役割を引き継ぎます。

サブネット中の全アクセス ポイントを認証して、それぞれと安全な通信チャネルを設定します。

サブネット中のアクセス ポイントから無線データを収集して、データを集約し、これをネットワーク上の WLSE デバイスに転送します。

参加しているアクセス ポイントにアソシエートされているすべての 802.1X 認証クライアント デバイスに対するパススルーとして機能します。

動的キーを使用するサブネット中の全クライアント デバイスを登録して、それらに対してセッション キーを設定し、セキュリティ クレデンシャルをキャッシュします。クライアントが別のアクセス ポイントにローミングする場合、WDS デバイスはクライアントのセキュリティ クレデンシャルを新しいアクセス ポイントに転送します。

表 12-1 は、WDS デバイスとして設定できるプラットフォーム(アクセス ポイント、ISR、または WLSM 装備スイッチ)でサポートされる参加アクセス ポイント数を示しています。

 

表 12-1 WDS デバイスでサポートされる参加アクセス ポイント数

WDS デバイスとして設定されたユニット
サポートされる参加アクセス ポイント数

クライアント デバイスからも接続できるアクセス ポイント

30

無線インターフェイスが無効になっているアクセス ポイント

60

サービス統合型ルータ(ISR)

100(ISR プラットフォームに応じて異なる)

WLSM を備えたスイッチ

600

WDS デバイスを使用したアクセス ポイントの役割

無線 LAN 上のアクセス ポイントは、次の動作において WDS デバイスと対話します。

現在の WDS デバイスを検出、トラッキングし、WDS アドバタイズメントを無線 LAN に中継します。

WDS デバイスを認証して、認証した WDS デバイスと安全な通信チャネルを確立します。

WDS デバイスとアソシエートしたクライアント デバイスを登録します。

無線データを WDS デバイスに報告します。

高速安全ローミングの概要

多くの無線 LAN 内のアクセス ポイントは、システム全体においてアクセス ポイントからアクセス ポイントへローミングするモバイル クライアント デバイスに対応します。クライアント デバイスで稼働するアプリケーションの中には、異なるアクセス ポイントにローミングする場合に高速な再アソシエーションを必要とするものがあります。たとえば、音声アプリケーションでは、会話の遅延やギャップを防ぐために、シームレスなローミングが必要です。

通常稼働時、LEAP 対応クライアント デバイスは、図 12-1 に示すように、メイン RADIUS サーバとの通信を含む完全な LEAP 認証を実行することによって、新しいアクセス ポイントとの間で相互に認証を実行します。

図 12-1 RADIUS サーバを使ったクライアント認証

 

無線 LAN に高速安全ローミングを設定すれば、LEAP 使用可能クライアント デバイスはメイン RADIUS サーバを利用することなく、あるアクセス ポイントから別のアクセス ポイントへのローミングを行うことが可能です。Cisco Centralized Key Management(CCKM)を使用すると、無線ドメイン サービス(WDS)を提供するように設定されているデバイスは、RADIUS サーバの代わりにクライアントを短時間で認証するため、音声などの時間が重要なアプリケーションでは知覚できるほどの遅延は発生しません。図 12-2 は、CCKM を使用したクライアント認証を示しています。

図 12-2 CCKM と WDS アクセス ポイントを使用するクライアント再アソシエーション

 

WDS デバイスは、無線 LAN 上の CCKM 利用可能クライアント デバイスに対するクレデンシャルのキャッシュを維持します。CCKM 利用可能クライアントが、1 つのアクセス ポイントから別のアクセス ポイントへローミングする場合、クライアントが新しいアクセス ポイントへ再アソシエーションの要求を送信し、新しいアクセス ポイントはその要求を WDS デバイスへ中継します。WDS デバイスはクライアントのクレデンシャルを新しいアクセス ポイントへ転送し、新しいアクセス ポイントは再アソシエーション応答をクライアントに送信します。クライアントと新しいアクセス ポイントとの間で渡されるパケットは 2 つだけであるため、再アソシエーションの時間が大幅に短縮されます。クライアントは再アソシエーション応答をユニキャスト キーの生成にも使用します。高速安全ローミングをサポートするアクセス ポイントを設定する方法の詳細は、「高速安全ローミングの設定」を参照してください。

無線管理の概要

無線管理に参加しているアクセス ポイントは、無線環境をスキャンし、潜在的な不正アクセス ポイント、アソシエートされたクライアント、クライアントの信号強度、他のアクセス ポイントからの無線信号などの無線情報に関するレポートを WDS デバイスに送信します。WDS デバイスは集約した無線データを、ネットワーク上の WLSE デバイスに転送します。無線管理に参加しているアクセス ポイントは、近くのアクセス ポイントに障害が発生した場合のカバレッジを提供するための無線 LAN の自己修復や自動設定調整についてもサポートしています。無線管理の設定手順の詳細は、「無線管理の設定」を参照してください。

WLSE に関する資料を参照するには、次の URL をクリックします。

http://www.cisco.com/en/US/products/sw/cscowork/ps3915/index.html

このリンクをクリックすると、[Tools and Resources Downloads] ページが表示されます。WLSE の資料を参照するには、[Wireless LAN Management] を選択します。

レイヤ 3 モビリティの概要

WLSM をネットワーク上の WDS デバイスとして使用すると、特定のサブネットを 1 つ設定したり、有線スイッチ インフラストラクチャ全体に VLAN を設定したりしなくても、大規模なレイヤ 3 ネットワークの任意の場所にアクセス ポイントを設置できます。クライアント デバイスは、Multipoint GRE(mGRE; マルチポイント GRE)トンネルを使用して、異なるレイヤ 3 サブネットに存在するアクセス ポイントにローミングします。ローミングしているクライアントは、IP アドレスを変更しなくてもネットワークに接続されたままとなっています。

Wireless LAN Services Module(WLSM)を備えたスイッチに WDS を設定する方法については、『Cisco Catalyst 6500 Series Wireless LAN Services Module (WLSM) Deployment Guide』を参照してください。

レイヤ 3 モビリティ無線 LAN ソリューションは、次のハードウェア コンポーネントおよびソフトウェア コンポーネントで構成されています。

WDS に参加している 1100 シリーズまたは 1200 シリーズのアクセス ポイント

スーパーバイザ モジュールおよび WDS デバイスとして設定されている WLSM を備えた Catalyst 6500 スイッチ


) レイヤ 3 モビリティを適切に設定するには、WLSM を WDS デバイスとして使用する必要があります。アクセス ポイントを WDS デバイスとして使用すると、レイヤ 3 モビリティはサポートされません。


クライアント デバイス

図 12-3 は、互いに対話してレイヤ 3 モビリティを実行するコンポーネントを示しています。

図 12-3 レイヤ 3 モビリティに必要なコンポーネント

 

Cisco Structured Wireless-Aware Network(SWAN)に関する情報ページを表示するには、次のリンクをクリックしてください。

http://www.cisco.com/en/US/netsol/ns340/networking_solutions_large_enterprise_home.html


) ある Service Set Identifier(SSID; サービス セット ID)にレイヤ 3 モビリティを有効化していて、WDS デバイスでレイヤ 3 モビリティがサポートされていない場合、クライアント デバイスはその SSID を使用してもアソシエートできません。



) リピータ アクセス ポイント、およびワークグループ ブリッジ モードのアクセス ポイントは、レイヤ 3 モビリティが設定された SSID にはアソシエートできません。


Wireless Intrusion Detection Service の概要

無線 LAN 上に Wireless Intrusion Detection Service(WIDS)を実装すると、アクセス ポイント、WLSE、およびオプションの(シスコ製品ではない)WIDS エンジンが同時に動作して、無線 LAN インフラストラクチャ、およびアソシエートされたクライアント デバイスに対する攻撃を探知および防止します。

WLSE と同時に動作する場合、アクセス ポイントは侵入を探知し、無線 LAN を防御するアクションを実行します。WIDS の機能は次のとおりです。

スイッチ ポートのトレースと不正抑制:スイッチ ポートのトレースと抑制では、未知の無線(潜在的な不正デバイス)の無線 MAC アドレスを生成する RF 検出方法を使用します。WLSE は、無線 MAC アドレスから有線側 MAC アドレスを取り出し、これを使用してスイッチの BRIDGE MIB を検索します。1 つまたは複数の検索可能な MAC アドレスが利用できる場合、WLSE は Cisco Discovery Protocol(CDP)を使用して、検出元のアクセス ポイントから最大 2 ホップ離れて接続しているすべてのスイッチを発見します。WLSE は CDP で発見された各スイッチの BRIDGE MIB を調べて、ターゲット MAC アドレスが含まれているかどうかを判断します。CDP でいずれかの MAC アドレスが見つかると、WLSE は対応するスイッチ ポート番号を抑制します。

過剰管理フレーム検出:過剰管理フレームは、無線 LAN が攻撃されたことを示します。攻撃者は、無線上で大量の管理フレームを注入し、そのフレームを処理する必要があるアクセス ポイントに大きな負荷を加えることにより、サービス拒絶攻撃を実行する場合があります。スキャン モードのアクセス ポイントとルート アクセス ポイントは、WIDS のフィーチャ セットの一部として無線信号をモニタして、過剰管理フレームを検出します。アクセス ポイントが過剰管理フレームを検出すると、障害を生成し、WDS を介して WLSE にこれを送信します。

認証/保護失敗検出:認証/保護失敗検出は、無線 LAN 上での最初の認証フェーズを回避するかまたは、進行中のリンク保護を侵害しようとする攻撃者を探します。これらの検出メカニズムは、次の特定の認証攻撃に対応します。

EAPOL フラッド検出

MIC/暗号化失敗検出

MAC スプーフィング検出

フレーム キャプチャ モード:フレーム キャプチャ モードでは、スキャナ アクセス ポイントが 802.11 フレームを収集し、ネットワーク上の WIDS エンジンのアドレスに転送します。


) アクセス ポイントの WIDS への参加の設定方法については、「WIDS に参加するようにアクセス ポイントを設定する」 を、アクセス ポイントに対する Management Frame Protection(MFP; 管理フレーム保護)の設定方法については、「管理フレーム保護の設定」 を参照してください。


802.11 管理フレーム保護(MFP):本質的に、無線は正規のデバイスか、不法デバイスであるかを問わず、あらゆるデバイスで傍受および参加が可能なブロードキャスト メディアです。制御/管理フレームは、クライアント ステーションが AP とのセッションを選択および開始する際に使用するため、これらのフレームはオープンである必要があります。管理フレームは暗号化できませんが、偽造から保護する必要があります。MFP は、802.11 管理フレームを完全に保護できる手段です。


) MFP で侵入イベントを報告するには WLSE が必要です。



) MFP は、1130 シリーズおよび 1240 シリーズのアクセス ポイント、および AP モードの 1300 シリーズのアクセス ポイントなどの 32Mb プラットフォームだけで利用できます。


WDS の設定

この項では、ネットワーク上で WDS を設定する方法について説明します。この項の構成は、次のとおりです。

「WDS のガイドライン」

「WDS の要件」

「コンフィギュレーションの概要」

「アクセス ポイントを潜在的な WDS デバイスとして設定する」

「アクセス ポイントを WDS デバイスを使用するように設定する」

「認証サーバが WDS をサポートするように設定する」

「WDS 専用モードの設定」

「WDS 情報の表示」

「デバッグ メッセージの使用」

WDS のガイドライン

WDS を設定する場合は、次のガイドラインに従います。

クライアント デバイスも収容している WDS アクセス ポイントでは最大 30 個のアクセス ポイントの参加がサポートされますが、無線を無効にした WDS アクセス ポイントでは、最大 60 個までサポートされます。

WDS 専用モードの場合、WDS では最大 60 個までのインフラストラクチャ アクセス ポイントと 1200 個のクライアントがサポートされます。

リピータ アクセス ポイントは、WDS をサポートしません。リピータ アクセス ポイントを WDS 候補として設定しないでください。また WDS アクセス ポイントを、イーサネット障害時にリピータ モードに戻る(フォールバックする)設定はしないでください。

350 シリーズ アクセス ポイントはメインの WDS デバイスとして設定できません。ただし、350 シリーズ アクセス ポイントを WDS に参加するように設定できます。

WDS の要件

WDS を設定するには、無線 LAN 上に次の項目を含める必要があります。

WDS デバイスとして設定可能なアクセス ポイント、サービス統合型ルータ(ISR)、またはスイッチ(Wireless LAN Services Module を装備)が 1 つ以上

認証サーバ(またはローカル認証サーバとして設定されたアクセス ポイントまたは ISR)


) 1300 アクセス ポイントまたはブリッジは、WDS マスターとして設定できませんが、WDS ネットワークに参加できます。この機能は、1300 アクセス ポイントまたはブリッジではサポートされていません。


コンフィギュレーションの概要

WDS および高速安全ローミングの設定には、次の 3 つの主要手順を完了する必要があります。

1. アクセス ポイント、ISR、またはスイッチを潜在的な WDS デバイスとして設定します。この項では、アクセス ポイントを WDS デバイスとして設定する方法について説明します。Wireless LAN Services Module(WLSM)を備えたスイッチに WDS を設定する方法については、『Cisco Catalyst 6500 Series Wireless LAN Services Module (WLSM) Deployment Guide』を参照してください。

2. 他のアクセス ポイントが、この WDS デバイスを使用するように設定します。

3. ネットワーク上の認証サーバが WDS デバイスと、WDS デバイスを使用するアクセス ポイントを認証するように設定します。

図 12-4 は、WDS に参加する各デバイスに必要な設定を示しています。

図 12-4 WDS に参加するデバイスの設定

 

アクセス ポイントを潜在的な WDS デバイスとして設定する


) メインの WDS 候補用に、多数のクライアント デバイスを収容する必要のないアクセス ポイントを設定します。クライアント デバイスが WDS アクセス ポイントの起動時にアソシエートした場合、そのクライアントは認証のために数分待たされる可能性があります。



) リピータ アクセス ポイントは、WDS をサポートしません。リピータ アクセス ポイントを WDS 候補として設定しないでください。また、WDS アクセス ポイントを、イーサネット障害時にリピータ モードに戻るように設定しないでください。



) WDS が有効な場合、WDS アクセス ポイントはすべての認証を実行、トラッキングします。したがって、WDS アクセス ポイントでは EAP セキュリティ設定を行う必要があります。アクセス ポイント上での EAP 設定の詳細は、「認証タイプの設定」を参照してください。



) 350 シリーズ アクセス ポイントはメインの WDS デバイスとして設定できません。ただし、350 シリーズ アクセス ポイントを WDS に参加するように設定できます。


プライマリ WDS アクセス ポイントとして設定するアクセス ポイント上で、次の手順に従ってメインの WDS 候補としてアクセス ポイントを設定します。


ステップ 1 [Wireless Services Summary] ページを表示します。図 12-5 は、[Wireless Services Summary] ページを示しています。

図 12-5 [Wireless Services Summary] ページ

 

ステップ 2 [WDS] をクリックして [WDS/WNM Summary] ページを表示します。

ステップ 3 [WDS/WNM Summary] ページで、[General Setup] をクリックして [WDS/WNM General Setup] ページを表示します。図 12-6 は、[General Setup] ページを示しています。

図 12-6 [WDS/WNM General Setup] ページ

 

ステップ 4 [Use this AP as Wireless Domain Services] チェックボックスをオンにします。

ステップ 5 [Wireless Domain Services Priority] フィールドに 1 ~ 255 の優先順位数を入力して、WDS 候補の優先順位を設定します。[Wireless Domain Services Priority] フィールド内の数字が最も大きい WDS アクセス ポイント候補が、WDS アクセス ポイントとして機能します。たとえば、1 つの WDS 候補には優先順位に 255 が割り当てられており、もう 1 つの候補には優先順位に 100 が割り当てられている場合は、優先順位が 255 の候補が WDS アクセス ポイントとして機能します。

ステップ 6 (任意)[Use Local MAC List for Client Authentication] チェックボックスをオンにして、WDS デバイス上で設定されたアドレスのローカル リストにある MAC アドレスを使用してクライアント デバイスを認証します。このチェックボックスをオンにしない場合、WDS デバイスは [Server Groups] ページで MAC アドレス認証用に指定したサーバを使用して、MAC アドレスに基づくクライアント認証を行います。


) [Use Local MAC List for Client Authentication] チェックボックスをオンにしても、クライアント デバイスに対して MAC ベースの認証が強制されるわけではありません。サーバ ベースの MAC アドレス認証に対するローカルの代替方法が提供されるだけです。


ステップ 7 (任意)ネットワーク上で無線 LAN ソリューション エンジン(WLSE)を使用している場合、[Configure Wireless Network Manager] チェックボックスをオンにして、[Wireless Network Manager IP Address] フィールドに WLSE デバイスの IP アドレスを入力します。WDS アクセス ポイントは、アクセス ポイントとクライアント デバイスから無線計測情報を収集し、集約したデータを WLSE デバイスに送信します。

ステップ 8 [Apply] をクリックします。

ステップ 9 [Server Groups] をクリックして、[WDS Server Groups] ページを表示します。図 12-7 は、[WDS Server Groups] ページを示しています。

図 12-7 [WDS Server Groups] ページ

 

ステップ 10 WDS アクセス ポイントを使用するインフラストラクチャ デバイス(アクセス ポイント)の 802.1x 認証に使用するサーバ グループを作成します。[Server Group Name] フィールドにグループ名を入力します。

ステップ 11 [Priority 1] ドロップダウン メニューからプライマリ サーバを選択します (グループに追加する必要のあるサーバが [Priority] ドロップダウン メニューに表示されない場合は、[Define Servers] をクリックして、[Server Manager] ページを表示します。そのページでサーバを設定してから、[WDS Server Groups] ページに戻ります)。


) ネットワーク上に認証サーバが存在しない場合、アクセス ポイントまたは ISR をローカル認証サーバとして設定できます。設定方法の詳細は、「ローカル認証サーバとしてのアクセス ポイントの設定」を参照してください。


ステップ 12 (任意)[Priority 2] ドロップダウン メニューおよび [Priority 3] ドロップダウン メニューからバックアップ サーバを選択します。

ステップ 13 [Apply] をクリックします。

ステップ 14 クライアント デバイス用の 802.1x 認証に使用するサーバのリストを設定します。EAP、LEAP、PEAP、または MAC ベースのような特定タイプの認証を使ってクライアント用の別のリストを指定したり、任意のタイプの認証を使ってクライアント デバイス用のリストを指定したりできます。[Server Group Name] フィールドに、サーバのグループ名を入力します。

[LEAP Authentication] チェックボックスは、特に次に示すシスコ製クライアント向けに用意されています。

LEAP および EAP-FAST を使用する Cisco Aironet 350 シリーズ カード

LEAP、EAP-FAST、PEAP、および EAP-TLS を使用する、Cisco Phone 7920、7921、および 7925

LEAP を使用する ADU

[LEAP Authentication] チェックボックスをオフにすると、これらのクライアント デバイスは無線ネットワークに接続できなくなります。しかし、他のクライアント カードまたはサプリカントの組み合わせの場合、クライアントは先に示した各種 EAP タイプの下で Network-EAP を使用して接続し認証できます。Open 認証に 802.1X 規格を使用するその他すべてのクライアント。

先に示した情報は、シスコ以外のクライアントには適用されません。

ステップ 15 [Priority 1] ドロップダウン メニューからプライマリ サーバを選択します (グループに追加する必要のあるサーバが [Priority] ドロップダウン メニューに表示されない場合は、[Define Servers] をクリックして、[Server Manager] ページを表示します。そのページでサーバを設定してから、[WDS Server Groups] ページに戻ります)。

ステップ 16 (任意)[Priority 2] ドロップダウン メニューおよび [Priority 3] ドロップダウン メニューからバックアップ サーバを選択します。

ステップ 17 (任意)[Restrict SSIDs] を選択すると、使用するサーバ グループを、特定の SSID を使用するクライアント デバイスに制限できます。[SSID] フィールドに SSID を入力して、[Add] をクリックします。SSID を削除するには、削除する SSID を [SSID] リスト内で選択して [Remove] をクリックします。

ステップ 18 [Apply] をクリックします。

ステップ 19 LEAP 認証用に WDS アクセス ポイントを設定します。LEAP の設定方法の詳細は、「認証タイプの設定」を参照してください。


) WDS アクセス ポイントでクライアント デバイスを使用する場合は、「アクセス ポイントを WDS デバイスを使用するように設定する」の手順に従って、WDS アクセス ポイントが WDS を使用するように設定します。



 

CLI の設定例

次の例は、「アクセス ポイントを潜在的な WDS デバイスとして設定する」に記載された手順と同じ働きをする CLI コマンドを示しています。

AP# configure terminal
AP(config)# aaa new-model
AP(config)# wlccp wds priority 200 interface bvi1
AP(config)# wlccp authentication-server infrastructure infra_devices
AP(config)# wlccp authentication-server client any client_devices
AP(config-wlccp-auth)# ssid fred
AP(config-wlccp-auth)# ssid ginger
AP(config)# end
 

次の例では、サーバ グループ infra_devices を使用してインフラストラクチャ デバイスを認証しています。SSID fred または ginger を使用するクライアント デバイスは、サーバ グループ client_devices を使用して認証されます。

この例で使用されているコマンドの詳細については、『Cisco IOS Command Reference for Cisco Aironet Access Points and Bridges』を参照してください。

アクセス ポイントを WDS デバイスを使用するように設定する

WDS デバイスを通じて認証し、WDS 内に参加するようにアクセス ポイントを設定する手順は、次のとおりです。


) インフラストラクチャ アクセス ポイントが WDS に参加するには、WDS が実行している IOS と同じバージョンを実行する必要があります。



ステップ 1 [Wireless Services Summary] ページを表示します。

ステップ 2 [AP] をクリックして [Wireless Services AP] ページを表示します。図 12-8 は、[Wireless Services AP] ページを示しています。

図 12-8 [Wireless Services AP] ページ

 

ステップ 3 [Participate in SWAN Infrastructure] 設定で [Enable] をクリックします。

ステップ 4 (任意)ネットワーク上で WDS デバイスとして WLSM スイッチ モジュールを使用する場合は、[Specified Discovery] を選択して、入力フィールドに WLSM の IP アドレスを入力します。[Specified Discovery] を有効にすると、アクセス ポイントは WDS アドバタイズメントを待たずに、WDS デバイスを使用して即座に認証します。指定した WDS デバイスが応答しない場合、アクセス ポイントは WDS アドバタイズメントを待ちます。

ステップ 5 [Username] フィールドにアクセス ポイントのユーザ名を入力します。このユーザ名は、認証サーバ上でアクセス ポイント用に作成したユーザ名と一致していなければなりません。

ステップ 6 [Password] フィールドにアクセス ポイントのパスワードを入力し、[Confirm Password] フィールドに同じパスワードをもう一度入力します。このパスワード名は、認証サーバ上でアクセス ポイント用に作成したパスワードと一致していなければなりません。

ステップ 7 [Apply] をクリックします。


 

WDS と対話するように設定したアクセス ポイントは、自動的に次の手順を実行します。

現在の WDS デバイスを検出、トラッキングし、WDS アドバタイズメントを無線 LAN に中継します。

WDS デバイスを認証して、認証した WDS デバイスと安全な通信チャネルを確立します。

WDS デバイスとアソシエートしたクライアント デバイスを登録します。

CLI の設定例

次の例は、「アクセス ポイントを WDS デバイスを使用するように設定する」に記載された手順と同じ働きをする CLI コマンドを示しています。

AP# configure terminal
AP(config)# wlccp ap username APWestWing password 7 wes7win8
AP(config)# end
 

この例では、アクセス ポイントは WDS デバイスと対話できるように設定されており、ユーザ名に APWestWing、パスワードに wes7win8 を使用して認証サーバに対する認証を行います。認証サーバ上でクライアントとしてアクセス ポイントを設定するときには、同じユーザ名とパスワードの組み合わせで設定する必要があります。

この例で使用されているコマンドの詳細については、『Cisco IOS Command Reference for Cisco Aironet Access Points and Bridges』を参照してください。

認証サーバが WDS をサポートするように設定する

WDS デバイスと WDS に参加している全アクセス ポイントは、認証サーバに対する認証を行う必要があります。サーバ上で、アクセス ポイント用のユーザ名とパスワードと、WDS デバイス用のユーザ名とパスワードを設定します。

サーバが Cisco ACS を実行している場合は、次の手順に従ってサーバ上でアクセス ポイントを設定します。


ステップ 1 Cisco Secure ACS にログインし、[Network Configuration] をクリックして [Network Configuration] ページを表示します。WDS デバイス用のエントリを作成するには、[Network Configuration] ページを使用する必要があります。図 12-9 は、[Network Configuration] ページを示しています。

図 12-9 [Network Configuration] ページ

 

ステップ 2 [AAA Clients] テーブルで、[Add Entry] をクリックします。[Add AAA Client] ページが表示されます。図 12-10 は、[Add AAA Client] ページを示しています。

図 12-10 [Add AAA Client] ページ

 

ステップ 3 [AAA Client Hostname] フィールドに、WDS デバイスの名前を入力します。

ステップ 4 [AAA Client IP Address] フィールドに、WDS デバイスの IP アドレスを入力します。

ステップ 5 [Key] フィールドに、WDS デバイスで設定したのとまったく同じパスワードを入力します。

ステップ 6 [Authenticate Using] ドロップダウン メニューから、[RADIUS (Cisco Aironet)] を選択します。

ステップ 7 [Submit] をクリックします。

ステップ 8 WDS デバイス候補それぞれに対して、ステップ 2 からステップ 7 の手順を繰り返します。

ステップ 9 [User Setup] をクリックして [User Setup] ページを表示します。WDS デバイスを使用するアクセス ポイント用のエントリを作成するには、[User Setup] ページを使用する必要があります。図 12-11 は、[User Setup] ページを示しています。

図 12-11 [User Setup] ページ

 

ステップ 10 [User] フィールドに、アクセス ポイントの名前を入力します。

ステップ 11 [Add/Edit] をクリックします。

ステップ 12 [User Setup] ボックスが表示されるまで、画面を下にスクロールします。図 12-12 は、[User Setup] ボックスを示しています。

図 12-12 [ACS User Setup] ボックス

 

ステップ 13 [Password Authentication] ドロップダウン メニューから [CiscoSecure Database] を選択します。

ステップ 14 [Password] フィールドと [Confirm Password] フィールドに、[Wireless Services AP] ページでアクセス ポイントに対して入力したのとまったく同じパスワードを入力します。

ステップ 15 [Submit] をクリックします。

ステップ 16 WDS デバイスを使用するアクセス ポイントそれぞれに対して、ステップ 10 からステップ 15 の手順を繰り返します。

ステップ 17 [System Configuration] ページを表示して [Service Control] をクリックし、ACS を再始動してエントリ内容を適用します。図 12-13 は、[System Configuration] ページを示しています。

図 12-13 [ACS System Configuration] ページ

 


 

WDS 専用モードの設定

WDS アクセス ポイントは、wlccp wds mode wds-only コマンドを使用すれば、WDS 専用モードで稼働できます。このコマンドを発行してリロードすると、アクセス ポイントは WDS 専用モードで機能を開始します。WDS 専用モードでは、dot11 サブシステムが初期化されず、dot11 インターフェイス関連のコマンドが設定できません。WDS 専用モードの場合、WDS では最大 60 個までのインフラストラクチャ アクセス ポイントと最大 1200 個のクライアントがサポートされます。WDS 専用モードをオフにするには no コマンドを使用します。WDS アクセス ポイントの実行中モードを表示するには、show wlccp wds コマンドを使用します。

WDS アクセス ポイントが AP および WDS の両モードで稼働するように設定するには、no wlccp wds mode wds-only コマンドを使用し、さらに write erase コマンドを使用してアクセス ポイントをただちにリロードします。アクセス ポイントをリロードすると、dot11 無線サブシステムが初期化されます。アクセス ポイントと WDS は、無線クライアントに直接アソシエートします。このモードの場合、WDS では 20 個の無線クライアントの直接アソシエートに加え、30 個のインフラストラクチャ アクセス ポイントと 600 個のクライアントがサポートされます。

WDS 情報の表示

Web ブラウザのインターフェイスでは、[Wireless Services Summary] ページを使って WDS ステータスの概要を表示します。

特権 EXEC モードの CLI では、次のコマンドを使って、現在の WDS デバイスと CCKM に参加している他のアクセス ポイントについての情報を表示します。

 

コマンド
説明

show wlccp ap

CCKM に参加する任意のアクセス ポイント上で、このコマンドを使用して、WDS デバイスの MAC アドレス、WDS デバイスの IP アドレス、アクセス ポイントのステート(認証中、認証済み、登録済み)、インフラストラクチャ認証サーバの IP アドレス、クライアント デバイス(MN)認証サーバの IP アドレスを表示できます。

show wlccp wds { ap | mn }
[ detail ] [ mac-addr mac-address ]

WDS デバイスに限り、このコマンドを使って、アクセス ポイントとクライアント デバイスに関するキャッシュ情報を表示できます。

ap:このオプションを使用して、CCKM に参加するアクセス ポイントを表示します。このコマンドは、各アクセス ポイントの MAC アドレス、IP アドレス、ステート(認証中、認証済み、または登録済み)、有効期間(アクセス ポイントが再認証を必要とするまでの秒数)を表示します。mac-addr オプションを使用して、特定のアクセス ポイントに関する情報を表示します。

mn:このオプションを使用して、クライアント デバイスや呼び出されたモバイル ノードに関するキャッシュ情報を表示します。このコマンドは、各クライアントの MAC アドレス、IP アドレス、クライアントがアソシエートされているアクセス ポイント(cur-AP)、およびステート(認証中、認証済み、または登録済み)を表示します。detail オプションを使用して、クライアントの有効期間(クライアントが再認証を必要とするまでの残りの秒数)、SSID、および VLAN ID を表示します。mac-addr オプションを使用して、特定のクライアント デバイスに関する情報を表示します。

show wlccp wds だけを入力すると、アクセス ポイントの IP アドレス、MAC アドレス、優先順位、インターフェイス ステート(管理上スタンドアロン、アクティブ、バックアップ、候補、または WDS 専用)を表示します。

ステートがバックアップの場合、コマンドは現在の WDS デバイスの IP アドレス、MAC アドレス、および優先順位も表示します。

ステートが WDS 専用の場合、コマンドはデバイスの MAC アドレス、IP アドレス、インターフェイス ステート、アクセス ポイント数、およびモバイル ノード数を表示します。

デバッグ メッセージの使用

特権 EXEC モードでは、デバッグ コマンドを使用して、WDS デバイスと対話するデバイス用のデバッグ メッセージの表示を制御します。

 

コマンド
説明

debug wlccp ap
{mn | wds-discovery | state}

このコマンドを使用して、クライアント デバイス(mn)、WDS 検出プロセス、WDS デバイス(state)に対するアクセス ポイントの認証に関連するデバッグ メッセージの表示をオンにします。

debug wlccp dump

このコマンドを使用して、バイナリ形式で送受信された WLCCP パケットのダンプを実行します。

debug wlccp packet

このコマンドを使用して、WDS デバイスとやり取りするパケットの表示をオンにします。

debug wlccp wds [aggregator | authenticator | nm | state | statistics]

このコマンドとそのオプションを使用して、WDS デバック メッセージの表示をオンにします。statistics オプションを使用して、障害統計情報の表示をオンにします。

debug wlccp wds authenticator {all | dispatcher | mac-authen | process | rxdata | state-machine | txdata}

このコマンドとそのオプションを使用して、認証に関連する WDS デバック メッセージの表示をオンにします。

高速安全ローミングの設定

WDS を設定すると、CCKM 用に設定したアクセス ポイントは、アソシエートされたクライアント デバイスに高速安全ローミングを提供できます。この項では、高速で安全なローミングを無線 LAN 上で設定する方法を説明します。この項の構成は、次のとおりです。

高速安全ローミングの要件

高速安全ローミングをサポートするアクセス ポイントの設定

高速安全ローミングの要件

高速安全ローミングを設定するには、無線 LAN で次の項目が必要となります。

WDS デバイスとして設定される 1 つ以上のアクセス ポイント、ISR、または WLSM を備えたスイッチ

WDS に参加するように設定されたアクセス ポイント

高速安全ローミング用に設定されたアクセス ポイント

認証サーバ(またはローカル認証サーバとして設定されたアクセス ポイント、ISR、またはスイッチ)

Cisco Aironet クライアント デバイス、または、Cisco Compatible Extensions(CCX)のバージョン 2 以降と互換性のあるシスコ互換のクライアント デバイス

WDS の設定方法については、「WDS の設定」を参照してください。

高速安全ローミングをサポートするアクセス ポイントの設定

高速安全ローミングをサポートするには、WDS に参加するように無線 LAN 上のアクセス ポイントを設定し、アクセス ポイントで少なくとも 1 つの SSID に対して CCKM 認証済みキー管理を許可する必要があります。SSID に CCKM を設定する手順は、次のとおりです。


ステップ 1 アクセス ポイント GUI で [Encryption Manager] ページを表示します。図 12-14 は、[Encryption Manager] ページの上部を示しています。

図 12-14 [Encryption Manager] ページ

 

ステップ 2 [Cipher] ボタンをクリックします。

ステップ 3 [Cipher] ドロップダウン メニューから、[CKIP + CMIC] を選択します。

ステップ 4 [Apply] をクリックします。

ステップ 5 [Global SSID Manager] ページを表示します。図 12-15 は、[Global SSID Manager] ページの上部を示しています。

図 12-15 [Global SSID Manager] ページ

 

ステップ 6 CCKM をサポートする SSID で、次の設定を選択します。

b. アクセス ポイントに複数の無線インターフェイスが含まれている場合は、SSID が適用されるインターフェイスを選択します。

c. [Authentication Settings] で、[Network EAP] を選択します。CCKM を有効にする際は、認証タイプとして Network EAP を有効にする必要があります。

d. [Authenticated Key Management] で、[Mandatory] または [Optional] を選択します。[Mandatory] を選択した場合、CCKM をサポートするクライアントだけが、SSID を使用してアソシエートできます。[Optional] を選択した場合、CCKM クライアントと CCKM をサポートしないクライアントの両方が、SSID を使用してアソシエートできます。

e. [CCKM] チェックボックスをオンにします。

ステップ 7 [Apply] をクリックします。


 

CLI の設定例

次の例は、「高速安全ローミングをサポートするアクセス ポイントの設定」に記載された手順と同じ働きをする CLI コマンドを示しています。

AP# configure terminal
AP(config)# dot11 ssid fastroam
AP(config-ssid)# authentication network-eap eap_methods
AP(config-ssid)# authentication key-management cckm
AP(config-ssid)# exit
AP(config)# interface dot11radio0
AP(config-if)# encryption mode ciphers ckip-cmic
AP(config-if)# ssid fastroam
AP(config-if)# exit
AP(config)# end
 

次の例では、SSID fastroam は Network EAP と CCKM をサポートするように設定されています。2.4GHz 無線インターフェイス上で CKIP-CMIC 暗号スイートが有効になっています。また、2.4GHz 無線インターフェイス上で、SSID fastroam が有効になっています。

この例で使用されているコマンドの詳細については、『Cisco IOS Command Reference for Cisco Aironet Access Points and Bridges』を参照してください。

管理フレーム保護の設定

管理フレーム保護の稼働には WDS が必要で、この保護は 32Mb プラットフォーム(s:1130、1240 シリーズ アクセス ポイント、および AP モードの 1300 シリーズ アクセス ポイント)だけで利用できます。MFP は WLSE で設定されますが、アクセス ポイントおよび WDS では MFP を手動で設定できます。


) WLSE が存在しない場合は、MFP では検出した侵入をレポートできないため、有効性が限定されます。WLSE が存在する場合は、WLSE から設定を実行します。


完全に保護するには、MFP アクセス ポイントで Simple Network Transfer Protocol(SNTP)も設定します。

管理フレーム保護

管理フレーム保護は、アクセス ポイントとクライアント ステーション間で転送される管理メッセージにセキュリティ機能を提供します。MFP は、インフラストラクチャ MFP とクライアント MFP の 2 つの機能コンポーネントで構成されます。

インフラストラクチャ MFP は、インフラストラクチャ サポートを提供します。インフラストラクチャ MFP は、不正デバイスおよびサービス拒絶攻撃の検出に有益なブロードキャストおよび誘導された管理フレームに対する Message Integrity Check(MIC; メッセージ完全性チェック)を利用します。クライアント MFP はクライアントをサポートします。クライアント MFP は、WLAN に対する一般的な攻撃の多くを無力化することによって、認証されたクライアントをスプーフィングされたフレームから保護します。

管理フレーム保護の稼働には WDS が必要で、この保護は 32Mb プラットフォーム(1130、1240、1250 シリーズ アクセス ポイント、および AP モードの 1300 シリーズ アクセス ポイント)だけで利用できます。MFP は WLSE で設定されますが、アクセス ポイントおよび WDS では MFP を手動で設定できます。


) WLSE が存在しない場合は、MFP では検出した侵入をレポートできないため、有効性が限定されます。WLSE が存在する場合は、WLSE から設定を実行します。


完全に保護するには、MFP アクセス ポイントで Simple Network Transfer Protocol(SNTP)も設定します。

概要

クライアント MFP は、アクセス ポイントと CCXv5 対応クライアント ステーション間で送信されるクラス 3 管理フレームを暗号化し、スプーフィングされたクラス 3 管理フレーム(AP と認証およびアソシエートされたクライアント ステーション間で送信される管理フレーム)をドロップすることによって AP とクライアントの両方が予防措置を実行できるようにします。クライアント MFP は、IEEE 802.11i に規定されたセキュリティ メカニズムを使用して、クラス 3 ユニキャスト管理フレームを保護します。再アソシエーション要求の RSNIE で STA によって決定されたユニキャスト暗号スイートによって、ユニキャスト データとクラス 3 管理フレームの両方が保護されます。ワークグループ ブリッジ、リピータ、または非ルート ブリッジ モードのアクセス ポイントでクライアント MFP を使用するには、TKIP または AES-CCMP のいずれかのネゴシエーションが必要です。

ユニキャスト管理フレームの保護

ユニキャスト クラス 3 管理フレームは、すでにデータ フレームに使用されている方法と同様にして AES-CCMP または TKIP のいずれかを適用することによって保護されます。クライアント MFP は、暗号化が AES-CCMP または TKIP で、キー管理 WPA バージョン 2 の場合に限り、自律アクセス ポイントで有効化されます。

ブロードキャスト管理フレームの保護

ブロードキャスト フレームを使用した攻撃を防ぐため、CCXv5 をサポートするアクセス ポイントではブロードキャスト クラス 3 管理フレームをいっさい送信しません。クライアント MFP が有効化されている場合、ワークグループ ブリッジ、リピータ、または非ルート ブリッジ モードのアクセス ポイントでは、ブロードキャスト クラス 3 の管理フレームが廃棄されます。

クライアント MFP は、暗号化が AES-CCMP または TKIP で、キー管理 WPA バージョン 2 の場合に限り、自律アクセス ポイントで有効化されます。

ルート モードのアクセス ポイントのクライアント MFP

ルート モードの自律アクセス ポイントでは、混合モードのクライアントがサポートされます。CCXv5 に対応し、WPAv2 の暗号スイート AES または TKIP が決定されているクライアントでは、クライアント MFP は有効です。CCXv5 に対応していないクライアントでは、クライアント MFP は無効です。デフォルトでは、クライアント MFP はアクセス ポイント上の特定の SSID に対するオプションで、SSID コンフィギュレーション モードで CLI を使用して有効と無効を切り替えることができます。

特定の SSID に、クライアント MFP を必須とするか、オプションとするかを設定できます。クライアント MFP を必須に設定するには、SSID でキー管理 WPA バージョン 2 を必須に設定します。キー管理が WPAv2 必須に設定されていない場合、エラー メッセージが表示され、CLI コマンドが拒否されます。クライアント MFP を必須として設定したキー管理およびキー管理 WPAv2 を変更しようとすると、エラー メッセージが表示され、CLI コマンドが拒否されます。オプションとして設定されている場合、クライアント MFP は SSID で WPAv2 に対応している場合に限り有効化され、対応していない場合にはクライアント MFP は無効化されます。

クライアント MFP の設定

次の CLI コマンドは、ルート モードのアクセス ポイントでクライアント MFP を設定する際に使用されます。

ids mfp client required

この SSID コンフィギュレーション コマンドは、特定の SSID でクライアント MFP を必須として有効化します。このコマンドの実行時に SSID が Dot11Radio インターフェイスにバインドされている場合は、Dot11Radio インターフェイスがリセットされます。また、このコマンドでは、SSID で WPA バージョン 2 が必須として設定されていることが要求されます。SSID で WPAv2 が必須として設定されていない場合、エラーメッセージが表示され、コマンドが拒否されます。

no ids mfp client

この SSID コンフィギュレーション コマンドは、特定の SSID でクライアント MFP を無効にします。このコマンドの実行時に SSID が Dot11Radio インターフェイスにバインドされている場合は、Dot11Radio インターフェイスがリセットされます。

ids mfp client optional

この SSID コンフィギュレーション コマンドは、特定の SSID でクライアント MFP をオプションとして有効化します。このコマンドの実行時に SSID が Dot11Radio インターフェイスにバインドされている場合は、Dot11Radio インターフェイスがリセットされます。クライアント MFP は SSID で WPAv2 に対応している場合に限り、特定の SSID に対して有効化され、対応していない場合にはクライアント MFP は無効化されます。

show dot11 ids mfp client statistics

このコマンドを使用すると、Dot11Radio インターフェイスのアクセス ポイント コンソールにクライアント MFP 統計が表示されます。

clear dot11 ids mfp client statistics

このコマンドを使用すると、クライアント MFP 統計がクリアされます。

authentication key management wpa version {1|2}

このコマンドを使用すると、特定の SSID の WPA キー管理に使用される WPA バージョンが明示的に指定されます。

 

 
コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot11 ids mfp generator

アクセス ポイントを MFP ジェネレータとして設定します。有効にすると、アクセス ポイントは Message Integrity Check Information Element(MIC IE; メッセージ完全性チェック情報エレメント)を各フレームに追加して、送信する管理フレームを保護します。フレームのコピー、改変、またはリプレイなどの攻撃が仕掛けられた場合、フレームは MIC を無効にし、MFP フレームを検出(検証)するように設定された受信アクセス ポイントのすべてで不一致がレポートされます。アクセス ポイントは、WDS のメンバーである必要があります。

ステップ 3

dot11 ids mfp detector

アクセス ポイントを MFP ディテクタとして設定します。有効にすると、アクセス ポイントで他のアクセス ポイントから受信した管理フレームが検証されます。有効および予測された MIC IE が含まれないフレームを受信すると、WDS に不一致がレポートされます。アクセス ポイントは、WDS のメンバーである必要があります。

ステップ 4

sntp server server IP address

SNTP サーバの名前または IP アドレスを入力します。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

特権 EXEC モードから、次の手順に従って WDS を設定します。

 

 
コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot11 ids mfp distributor

WDS を MFP ディストリビュータとして設定します。有効にすると、WDS では署名キーが管理されます。このキーは MIC IE の作成に使用され、ジェネレータとディストリビュータ間で安全に転送されます。

ステップ 3

end

特権 EXEC モードに戻ります。

ステップ 4

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

無線管理の設定

WDS を使用するように無線 LAN 上のアクセス ポイントを設定すると、アクセス ポイントは WDS デバイスと対話するときに自動的に無線管理における役割を果たします。無線管理の設定を行うには、ネットワーク上の WLSE デバイスと対話するように WDS デバイスを設定します。

WDS デバイスとして設定されたアクセス ポイント上の無線管理を有効にする手順は、次のとおりです。


ステップ 1 [Wireless Services Summary] ページを表示します。図 12-16 は、[Wireless Services Summary] ページを示しています。

図 12-16 [Wireless Services Summary] ページ

 

ステップ 2 [WDS] をクリックして [General Setup] ページを表示します。

ステップ 3 [WDS/WNM Summary] ページで [Settings] をクリックして [General Setup] ページを表示します。図 12-17 は、[General Setup] ページを示しています。

図 12-17 [WDS/WNM General Setup] ページ

 

ステップ 4 [Configure Wireless Network Manager] チェックボックスをオンにします。

ステップ 5 [Wireless Network Manager IP Address] フィールドに、ネットワーク上の WLSE デバイスの IP アドレスを入力します。

ステップ 6 [Apply] をクリックします。WDS アクセス ポイントが WLSE デバイスと対話するように設定されます。


 

CLI の設定例

次の例は、「無線管理の設定」に記載された手順と同じ働きをする CLI コマンドを示しています。

AP# configure terminal
AP(config)# wlccp wnm ip address 192.250.0.5
AP(config)# end
 

この例では、WDS アクセス ポイントは、IP アドレスが 192.250.0.5 の WLSE デバイスと対話できるようになります。

この例で使用されているコマンドの詳細については、『Cisco IOS Command Reference for Cisco Aironet Access Points and Bridges』を参照してください。

WIDS に参加するようにアクセス ポイントを設定する

WIDS に参加するには、WDS と無線管理に参加するようにアクセス ポイントを設定する必要があります。WDS と無線管理に参加するようにアクセス ポイントを設定するには、「アクセス ポイントを WDS デバイスを使用するように設定する」「無線管理の設定」の手順を実行します。

アクセス ポイントをスキャナ モードに設定する

スキャナ モードの場合、アクセス ポイントは無線活動のチャネルをすべてスキャンし、その活動をネットワーク上の WDS デバイスに報告します。スキャナ アクセス ポイントは、クライアント アソシエーションを受け付けません。

特権 EXEC モードから、次の手順に従ってアクセス ポイントに無線ネットワークの役割をスキャナに設定します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio { 0 | 1 }

無線インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

2.4GHz 無線および 2.4GHz 802.11n 無線は 0 です。

5GHz 無線および 5GHz 802.11n 無線は 1 です。

ステップ 3

station role scanner

アクセス ポイントの役割をスキャナに設定します。

ステップ 4

end

特権 EXEC モードに戻ります。

アクセス ポイントをモニタ モードに設定する

アクセス ポイントをスキャナとして設定すると、モニタ モードでフレームのキャプチャも可能になります。モニタ モードでは、アクセス ポイントは 802.11 フレームをキャプチャし、これをネットワーク上で WIDS エンジンに転送します。アクセス ポイントは、転送するすべての 802.11 フレームに 28 バイトのキャプチャ ヘッダーを追加します。ネットワーク上の WIDS エンジンは、このヘッダー情報を分析に使用します。アクセス ポイントは、キャプチャしたフレームの転送に User Datagram Protocol(UDP; ユーザ データグラム プロトコル)パケットを使用します。ネットワーク帯域幅を節約するため、複数のキャプチャしたフレームを 1 つの UDP パケットに結合できます。

スキャナ モードでは、アクセス ポイントは無線活動のすべてのチャネルをスキャンします。ただし、モニタ モードの場合、アクセス ポイントは、アクセス ポイント無線が設定されているチャネルだけをモニタします。


) アクセス ポイントに 2 つ無線が含まれている場合、インターフェイス上でモニタ モードを設定するには、無線が両方ともスキャナ モードに設定されている必要があります。


特権 EXEC モードから、次の手順に従って 802.11 フレームをキャプチャして転送するようにアクセス ポイントを設定します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio {0 | 1}

無線インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

2.4GHz 無線および 2.4GHz 802.11n 無線は 0 です。

5GHz 無線および 5GHz 802.11n 無線は 1 です。

ステップ 3

monitor frames endpoint ip address IP-address port UDP-port [truncate truncation-length]

モニタ モードに無線を設定します。ネットワーク上の WIDS エンジン上で、IP アドレスと UDP ポートを入力します。

(任意)転送したフレームごとに、バイト単位で最大長を設定します。アクセス ポイントは、この値より長いフレームを切り捨てます。デフォルトの長さは 128 バイトです。

ステップ 4

end

特権 EXEC モードに戻ります。

モニタ モード統計の表示

show wlccp ap rm monitor statistics グローバル コンフィギュレーション コマンドを使用して、キャプチャしたフレームの統計を表示します。

次に、コマンドの出力例を示します。

ap# show wlccp ap rm monitor statistics
 
Dot11Radio 0
====================
WLAN Monitoring : Enabled
Endpoint IP address : 10.91.107.19
Endpoint port : 2000
Frame Truncation Length : 535 bytes
 
Dot11Radio 1
====================
WLAN Monitoring : Disabled
 
WLAN Monitor Statistics
==========================
Total No. of frames rx by DOT11 driver : 58475
Total No. of Dot11 no buffers : 361
Total No. of Frames Q Failed : 0
Current No. of frames in SCAN Q : 0
 
Total No. of frames captured : 0
Total No. of data frames captured : 425
Total No. of control frames captured : 1957
Total No. of Mgmt frames captured : 20287
Total No. of CRC errored frames captured : 0
 
Total No. of captured frames forwarded : 23179
Total No. of captured frames forward failed : 0
 

clear wlccp ap rm statistics コマンドを使用して、モニタ モード統計を消去します。

モニタ モード制限の設定

モニタ モードでアクセス ポイントが使用するしきい値を設定できます。しきい値を超えると、アクセス ポイントは、情報をログに記録するかまたは警告を送信します。

認証失敗制限の設定

認証失敗制限を設定すると、EAPOL フラッディングと呼ばれるサービス拒絶攻撃からネットワークを保護できます。クライアントとアクセス ポイントとの間で発生する 802.1X 認証により、アクセス ポイント、オーセンティケータ、および EAPOL メッセージングを使用する認証サーバの間に、一連のメッセージが表示されます。通常、RADIUS サーバである認証サーバは、過度に認証が試みられるとすぐに負荷に耐えられなくなります。規制されていない場合、1 台のクライアントからネットワークに影響を与えるほどの認証要求が発生する可能性があります。

モニタ モードでは、アクセス ポイントは 802.1X クライアントがアクセス ポイントを通じて認証を試みる割合をトラッキングします。過度な認証の試みによってネットワークが攻撃される場合、アクセス ポイントは、認証しきい値を超えると警告を発します。

これらの制限はアクセス ポイント上で設定できます。

アクセス ポイントからの 802.1X の試みの回数

アクセス ポイント上の秒単位での EAPOL フラッドの期間

アクセス ポイントは、過度の認証の試みを検出すると、この情報を示すための MIB 変数を設定します。

EAPOL フラッドが検出されました

認証の試みの回数

認証の試みの回数が最も多いクライアントの MAC アドレス

特権 EXEC モードから、次の手順に従って、アクセス ポイント上の失敗をトリガーする認証制限を設定します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot11 ids eap attempts number period seconds

認証の試みの回数と、アクセス ポイント上で失敗をトリガーする EAPOL フラッドの秒数を設定します。

ステップ 3

end

特権 EXEC モードに戻ります。

WLSM フェールオーバーの設定

WLSM 障害時にホット スタンバイに類似の機能を確保するため、WLSM バージョン 2.13 リリースでは、復元トンネル リカバリ、およびアクティブ WLSM およびスタンバイ WLSM がサポートされます。

復元トンネル リカバリ

単一シャーシ シナリオ(1 つのシャーシに 1 つの WLSM)では、WLSM ソフトウェアに障害が発生した場合も、SUP に接続されている既存のアクセス ポイント クライアントはその SUP への接続を継続し、サービスの中断が認識されません。アクセス ポイントが WLSM 障害を検出したときに、アクティブなトンネルは破壊されず、クライアントと SUP 間のデータ トラフィックの通信が保持されます。しかし、WLSM 障害が原因でアクセス ポイントと WLSM 間で送信される制御トラフィックは中断され(図 12-18 を参照)、アクセス ポイントでは WLSM ソフトウェアがオンラインに復旧するまで新規のクライアント接続を承認できません。復元トンネル リカバリは自動実行され、特別な設定は必要ありません。

図 12-18 復元トンネル リカバリ

 

アクティブ WLSM およびスタンバイ WLSM のフェールオーバー

WLSM では、復元トンネル リカバリの他にアクティブ WLSM とスタンバイ WLSM の 2 つの WLSM を 1 つのシャーシに展開できるようにすることで、復元機能のサポートがさらに強化されています。アクティブ WLSM に障害が発生すると、スタンバイ WLSM がアクティブになり、データ トラフィックを中断することなく、既存および新しいアクセス ポイント クライアントのトラフィック制御を行います。復元トンネル リカバリにこの機能を加えることによって、WLSM 障害時にホット スタンバイに類似の機能が提供されます。