Cisco Wireless LAN Controller コンフィギュレーション ガイド Software Release 4.1
セキュリティ ソリューションの設定
セキュリティ ソリューションの設定
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

セキュリティ ソリューションの設定

Cisco UWN Solution のセキュリティ

セキュリティ概要

レイヤ 1 ソリューション

レイヤ 2 ソリューション

レイヤ 3 ソリューション

不正アクセス ポイントのソリューション

不正アクセス ポイントの問題

不正アクセス ポイントのタグ付けと阻止

統合されたセキュリティ ソリューション

TACACS+ の設定

ACS 上での TACACS+ の設定

GUI を使用した TACACS+ の設定

CLI を使用した TACACS+ の設定

TACACS+ 管理サーバのログの表示

ローカル ネットワーク ユーザの設定

GUI を使用したローカル ネットワーク ユーザの設定

CLI を使用したローカル ネットワーク ユーザの設定

LDAP の設定

GUI を使用した LDAP の設定

CLI を使用した LDAP の設定

ローカル EAP の設定

GUI を使用したローカル EAP の設定

CLI を使用したローカル EAP の設定

に対するシステムの設定

GUI を使用した長いプリアンブルの有効化

CLI を使用した長いプリアンブルの有効化

CLI を使用した Enhanced Distributed Channel Access の設定

無線による管理の使用

GUI を使用した無線による管理の有効化

CLI を使用した無線による管理の有効化

DHCP オプション 82 の使用

SSID の検証

アクセス コントロール リストの設定と適用

GUI を使用したアクセス コントロール リストの設定

GUI を使用したアクセス コントロール リストの適用

インターフェイスへのアクセス コントロール リストの適用

コントローラ CPU へのアクセス コントロール リストの適用

WLAN へのアクセス コントロール リストの適用

WLAN への事前認証アクセス コントロール リストの適用

CLI を使用したアクセス コントロール リストの設定

CLI を使用したアクセス コントロール リストの適用

管理フレーム保護の設定

MFP の使用に関するガイドライン

GUI を使用した MFP の設定

GUI を使用した MFP 設定の表示

CLI を使用した MFP の設定

CLI を使用した MFP 設定の表示

CLI を使用した MFP 問題のデバッグ

クライアント除外ポリシーの設定

ID ネットワーキングの設定

ID ネットワーキングの概要

ID ネットワーキングで使用される RADIUS 属性

QoS-Level

ACL-Name

Interface-Name

VLAN-Tag

トンネル属性

AAA Override の設定

正しい QoS 値を取得するための RADIUS サーバ ディクショナリ ファイルの更新

GUI を使用した AAA Override の設定

CLI を使用した AAA Override の設定

IDS の設定

IDS センサーの設定

GUI を使用した IDS センサーの設定

CLI を使用した IDS センサーの設定

回避クライアントの表示

IDS シグニチャの設定

GUI を使用した IDS シグニチャの設定

CLI を使用した IDS シグニチャの設定

CLI を使用した IDS シグニチャ イベントの表示

AES キー ラップの設定

GUI を使用した AES キー ラップの設定

CLI を使用した AES キー ラップの設定

最大ローカル データベース エントリの設定

GUI を使用した最大ローカル データベース エントリの設定

GUI を使用したローカル データベース エントリの最大数の指定

セキュリティ ソリューションの設定

この章では、無線 LAN のセキュリティ ソリューションについて説明します。この章の内容は、次のとおりです。

「Cisco UWN Solution のセキュリティ」

「TACACS+ の設定」

「ローカル ネットワーク ユーザの設定」

「LDAP の設定」

「ローカル EAP の設定」

「SpectraLink 社の NetLink 電話に対するシステムの設定」

「無線による管理の使用」

「DHCP オプション 82 の使用」

「SSID の検証」

「アクセス コントロール リストの設定と適用」

「管理フレーム保護の設定」

「クライアント除外ポリシーの設定」

「ID ネットワーキングの設定」

「IDS の設定」

「AES キー ラップの設定」

「最大ローカル データベース エントリの設定」

Cisco UWN Solution のセキュリティ

Cisco UWN Solution セキュリティの内容は、次のとおりです。

「セキュリティ概要」

「レイヤ 1 ソリューション」

「レイヤ 2 ソリューション」

「レイヤ 3 ソリューション」

「不正アクセス ポイントのソリューション」

「統合されたセキュリティ ソリューション」

セキュリティ概要

Cisco UWN セキュリティ ソリューションは、802.11 アクセス ポイントのセキュリティを構成する潜在的に複雑なレイヤ 1、レイヤ 2、およびレイヤ 3 を 1 つの単純なポリシー マネージャにまとめたもので、システム全体のセキュリティ ポリシーを WLAN 単位でカスタマイズできます。Cisco UWN セキュリティ ソリューションは、単純で、統一された、体系的なセキュリティ管理ツールを提供します。

企業での WLAN 展開の最も大きな障害の 1 つが、脆弱な独立型の暗号化方式である Wired Equivalent Privacy(WEP)です。低価格のアクセス ポイントの登場も新たな問題で、企業ネットワークに接続して Man-in-the-Middle および Denial-of-Service(DoS)攻撃に利用される可能性があります。また、次々に追加されるセキュリティ ソリューションの複雑さから、多くの IT マネージャが WLAN セキュリティの最新技術を採用することをためらっています。

レイヤ 1 ソリューション

Cisco UWN セキュリティ ソリューションによって、すべてのクライアントは、アクセスの試行回数をオペレータが設定した回数までに制限されます。クライアントがその制限回数内にアクセスできなかった場合、そのクライアントは、オペレータが設定したタイマーが切れるまで自動的に除外(アクセスをブロック)されます。オペレーティング システムでは、WLAN ごとに SSID ブロードキャストを無効にすることもできます。

レイヤ 2 ソリューション

上位レベルのセキュリティと暗号化が必要な場合、ネットワーク管理者は、Extensible Authentication Protocol(EAP;拡張認証プロトコル)や Wi-Fi Protected Access(WPA)、および WPA2 など業界標準のセキュリティ ソリューションも実装できます。Cisco UWN Solution の WPA 実装には、Advanced Encryption Standard(AES)動的キー、Temporal Key Integrity Protocol + Message Integrity Code Checksum(TKIP + Michael)動的キー、WEP 静的キーが含まれます。無効化も使用され、オペレータが設定した回数だけ認証の試行に失敗すると、自動的にレイヤ 2 アクセスがブロックされます。

どの無線セキュリティ ソリューションを採用した場合も、コントローラと Lightweight アクセス ポイントとの間のすべてのレイヤ 2 有線通信は、Lightweight Access Point Protocol(LWAPP;Lightweight アクセス ポイント プロトコル)トンネルを使用してデータを渡すことにより保護されます。

レイヤ 3 ソリューション

WEP 問題は、パススルー Virtual Private Network(VPN;バーチャル プライベート ネットワーク)のような業界標準のレイヤ 3 セキュリティ ソリューションを使用すると、さらに進んだ解決が可能です。

Cisco UWN Solution では、ローカルおよび RADIUS Media Access Control(RADIUS MAC;RADIUS メディア アクセス制御)フィルタリングがサポートされています。このフィルタリングは、802.11 アクセス カード MAC アドレスの既知のリストがある小規模のクライアント グループに適しています。

さらに、Cisco UWN Solution では、ローカルおよび RADIUS ユーザおよびパスワード認証がサポートされています。この認証は、小規模から中規模のクライアント グループに適しています。

不正アクセス ポイントのソリューション

この項では、不正アクセス ポイントに対するセキュリティ ソリューションについて説明します。

不正アクセス ポイントの問題

不正アクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や MITM 攻撃を使用することによって、WLAN の運用を妨害します。つまり、ハッカーは不正アクセス ポイントを使用することで、パスワードやユーザ名などの機密情報を取り出すことができます。すると、ハッカーは一連の Clear To Send(CTS;クリア ツー センド)フレームを送信できるようになります。このフレームはアクセス ポイントを模倣し、特定の Network Interface Card(NIC;ネットワーク インターフェイス カード)に伝送して、他のすべての NIC には待機するように指示します。その結果、正規のクライアントは、WLAN リソースに接続できなくなってしまいます。したがって、WLAN サービス プロバイダーは、空間からの不正アクセス ポイントの締め出しに強い関心を持っています。

オペレーティング システムのセキュリティ ソリューションでは、「不正アクセス ポイントのタグ付けと阻止」の説明にあるように、Radio Resource Management(RRM)機能を使用して、すべての近隣のアクセス ポイントを継続的に監視し、不正アクセス ポイントを自動的に検出して、それらを特定します。

不正アクセス ポイントのタグ付けと阻止

WCS を使用して Cisco UWN Solution を監視する場合、不正アクセス ポイントが検出されるとフラグが生成され、既知の不正アクセス ポイントが MAC アドレスで表示されます。オペレータは、それぞれの不正アクセス ポイントに最も近い Lightweight アクセス ポイントの場所を示すマップを表示して、Known または Acknowledged 不正アクセス ポイントを(追加の処置をせずに)許可するか、これらを Alert 不正アクセス ポイントとしてマークする(監視し、アクティブになったときに通知する)か、または Contained 不正アクセス ポイントとしてマークすることができます。1 ~ 4 個の Lightweight アクセス ポイントを使用して、不正アクセス ポイント クライアントが不正アクセス ポイントとアソシエートするたびに、そのクライアントに認証解除メッセージおよびアソシエート解除メッセージを送信して、そのクライアントを阻止することができます。

Graphical User Interface(GUI;グラフィカル ユーザ インターフェイス) または Command Line Interface(CLI;コマンド ライン インターフェイス)を使用して Cisco UWN Solution を監視する場合、既知の不正アクセス ポイントが MAC アドレスで表示されます。その後、オペレータは、それを Known または Acknowledged 不正アクセス ポイントとしてマークするか(追加の処置はなし)、それらを Alert 不正アクセス ポイントとしてマークする(監視し、アクティブになったときに通知)ことができます。また、それらを Contained 不正アクセス ポイントとしてマークすることもできます。この場合、1 ~ 4 つの Lightweight アクセス ポイントに対して、不正アクセス ポイント クライアントが不正アクセス ポイントとアソシエートするたびに、それらのクライアントに認証解除メッセージおよびアソシエーション解除メッセージを送信して阻止します。

統合されたセキュリティ ソリューション

Cisco UWN Solution オペレーティング システムのセキュリティは、堅牢な 802.1X AAA(認証、認可、アカウンティング)エンジンを中心に構築されており、オペレータは、Cisco UWN Solution 全体にわたってさまざまなセキュリティ ポリシーを迅速に設定および適用できます。

コントローラおよび Lightweight アクセス ポイントには、システム全体の認証および認可プロトコルがすべてのポートおよびインターフェイスに装備され、最大限のシステム セキュリティが提供されています。

オペレーティング システムのセキュリティ ポリシーは個別の WLAN に割り当てられ、
Lightweight アクセス ポイントは設定されたすべての WLAN(最大 16)に同時にブロードキャストします。これにより、干渉を増加させ、システム スループットを低下させる可能性があるアクセス ポイントを追加する必要はなくなります。

オペレーティング システム セキュリティは、RRM 機能を使用して、干渉およびセキュリティ侵犯がないか継続的に空間を監視し、それらを検出したときはオペレータに通知します。

オペレーティング システム セキュリティは、業界標準の AAA(認証、認可、アカウンティング)サーバで動作し、システム統合が単純で簡単です。

TACACS+ の設定

Terminal Access Controller Access Control System Plus(TACACS+)とは、コントローラへの管理アクセスを取得しようとするユーザに中央管理されたセキュリティを提供する、クライアント/サーバ プロトコルです。このプロトコルは、ローカルおよび RADIUS に類似したバックエンドのデータベースとして機能します。ただし、ローカルおよび RADIUS では、認証サポートと制限のある認可サポートしか提供されないのに対し、TACACS+ では、次の 3 つのサービスが提供されます。

認証 :コントローラにログインしようとするユーザを検証するプロセス。

コントローラで TACACS+ サーバに対してユーザを認証するには、ユーザは有効なユーザ名とパスワードを入力する必要があります。認証サービスおよび認可サービスは、互いに密接に関連しています。たとえば、ローカルまたは RADIUS データベースを使用して認証が実行された場合、認可ではそのローカルまたは RADIUS データベース内のユーザに関連したアクセス権(read-only、read-write、lobby-admin のいずれか)が使用され、TACACS+ は使用されません。同様に、TACACS+ を使用して認証が実行されると、認可は TACACS+ に関連付けられます。


) 複数のデータベースを設定する場合、コントローラ GUI または CLI を使用して、バックエンド データベースが試行される順序を指定できます。


認可 :ユーザのアクセス レベルに基づいて、ユーザがコントローラで実行できる処理を決定するプロセス。

TACACS+ の場合、認可は特定の処理ではなく、権限(またはロール)に基づきます。利用可能なロールは、コントローラ GUI の次の 7 つのメニュー オプションに対応しています。
MONITOR、WLAN、CONTROLLER、WIRELESS、SECURITY、MANAGEMENT、および
COMMANDS です。ロビー アンバサダー権限のみを必要とするユーザは、追加のロールである LOBBY を使用できます。ユーザが割り当てられるロールは、TACACS+ サーバ上で設定されます。ユーザは1 つまたは複数のロールに対して認可されます。最小の認可は MONITOR のみで、最大は ALL です。ALL では、ユーザは 7 つのメニュー オプションすべてに関連付けられた機能を実行できるよう認可されます。たとえば、SECURITY のロールを割り当てられたユーザは、Security メニューに表示される(または CLI の場合はセキュリティ コマンドとして指定される)すべてのアイテムに対して変更を実行できますユーザが特定のロール(WLAN など)に対して認可されていない場合でも、そのユーザは読み取り専用モード(または関連する CLI の show コマンド)で、そのメニュー オプションにアクセスできます。TACACS+ 認可サーバが接続不能または認可不能になった場合、ユーザはコントローラにログインできません。


) ユーザが割り当てられたロールでは許可されていないコントローラ GUI のページに変更を加えようとすると、十分な権限がないことを示すメッセージが表示されます。ユーザが割り当てられたロールでは許可されていないコントローラ CLI コマンドを入力すると、実際にはそのコマンドは実行されていないのに、正常に実行されたというメッセージが表示されます。この場合、次の追加のメッセージが表示され、コマンドを実行するための十分な権限がないことがユーザに通知されます。"Insufficient Privilege!Cannot execute command!"


アカウンティング :ユーザの処理と変更を記録するプロセス。

ユーザが正常に処理を実行する度に、TACACS+ アカウンティング サーバでは、変更された属性、変更を行ったユーザのユーザ ID、ユーザがログインしたリモート ホスト、コマンドが実行された日付と時刻、ユーザの認可レベル、および実行された処理と入力された値の説明がログ記録されます。TACACS+ アカウンティング サーバが接続不能になった場合、ユーザはセッションを妨害されずに続行することはできません。

RADIUS で User Datagram Protocol(UDP;ユーザ データグラム プロトコル)を使用するのとは異なり、TACACS+ では、転送に Transmission Control Protocol(TCP;転送制御プロトコル)を使用します。1 つのデータベースを維持し、TCP ポート 49 で受信要求をリッスンします。アクセス コントロールを要求するコントローラは、クライアントとして動作し、サーバから AAA サービスを要求します。コントローラとサーバ間のトラフィックは、プロトコルで定義されるアルゴリズムと、両方のデバイスにおいて設定される共有秘密キーによって暗号化されます。

最大 3 台の TACACS+ 認証サーバ、認可サーバ、およびアカウンティング サーバをそれぞれ設定できます。たとえば、1 台の TACACS+ 認証サーバを中央に配置し、複数の TACACS+ 認証サーバを異なる地域に配置できます。同じタイプの複数のサーバを設定していると、最初のサーバで障害が発生したり、接続不能になっても、コントローラは自動的に 2 台目、および必要に応じて 3 台目のサーバを試行します。


) 複数の TACACS+ サーバが冗長性のために設定されている場合、バックアップが適切に機能するようにするには、すべてのサーバにおいてユーザ データベースを同一にする必要があります。


CiscoSecure Access Control Server(ACS)とコントローラの両方で、TACACS+を設定する必要があります。GUI または CLI のいずれを使用してもコントローラを設定することができます。

ACS 上での TACACS+ の設定

ACS 上で TACACS+ を設定する手順は、次のとおりです。


) TACACS+ は、CiscoSecure ACS バージョン 3.2 以上でサポートされます。この項に示される手順および図は、ACS バージョン 4.1 に関連するもので、他のバージョンでは異なる場合があります。実行中のバージョンの CiscoSecure ACS マニュアルを参照してください。



ステップ 1 ACS のメイン ページで、 Network Configuration をクリックします。

ステップ 2 AAA Clients の下の Add Entry をクリックし、使用しているコントローラをサーバに追加します。Add AAA Client ページが表示されます(図5-1 を参照)。

図5-1 CiscoSecure ACS 上の Add AAA Client ページ

 

ステップ 3 AAA Client Hostname フィールドに、コントローラの名前を入力します。

ステップ 4 AAA Client IP Address フィールドに、コントローラの IP アドレスを入力します。

ステップ 5 Shared Secret フィールドに、サーバとコントローラ間の認証に使用する共有秘密キーを入力します。


) 共有秘密キーは、サーバとコントローラの両方で同一である必要があります。


ステップ 6 Authenticate Using ドロップダウン ボックスから TACACS+ (Cisco IOS) を選択します。

ステップ 7 Submit + Apply をクリックして、変更内容を保存します。

ステップ 8 ACS のメイン ページで、 Interface Configuration をクリックします。

ステップ 9 TACACS+ (Cisco IOS) をクリックします。TACACS+ (Cisco) ページが表示されます(図5-2 を参照)。

図5-2 CiscoSecure ACS 上の TACACS+ (Cisco) ページ

 

ステップ 10 TACACS+ Services の下で、 Shell (exec) チェックボックスをオンにします。

ステップ 11 New Services の下で、最初のチェックボックスをオンにし、Service フィールドに ciscowlc と入力し、Protocol フィールドに common と入力します。

ステップ 12 Advanced Configuration Options の下で、 Advanced TACACS+ Features チェックボックスをオンにします。

ステップ 13 Submit をクリックして、変更内容を保存します。

ステップ 14 ACS のメイン ページで、 System Configuration をクリックします。

ステップ 15 Logging をクリックします。

ステップ 16 Logging Configuration ページが表示されたら、ログ記録するすべてのイベントを有効にし、変更内容を保存します。

ステップ 17 ACS のメイン ページで、 Group Setup をクリックします。

ステップ 18 Group ドロップダウン ボックスから、以前に作成したグループを選択します。


) この手順により、ユーザが割り当てられることになるロールに基づいて、ACS 上のグループにすでにユーザを割り当てていることを確認します。


ステップ 19 Edit Settings をクリックします。Group Setup ページが表示されます(図5-3 を参照)。

図5-3 CiscoSecure ACS 上の Group Setup ページ

 

ステップ 20 TACACS+ Settings の下の ciscowlc common チェックボックスをオンにします。

ステップ 21 Custom Attributes チェックボックスをオンにします。

ステップ 22 Custom Attributes の下のテキストボックスで、このグループに割り当てるロールを指定します。使用可能なロールは、MONITOR、WLAN、CONTROLLER、WIRELESS、SECURITY、MANAGEMENT、COMMANDS、ALL、および LOBBY です。前述のように、最初の 7 つのロールは、コントローラ GUI のメニュー オプションに対応しており、これら特定のコントローラ機能へのアクセスを許可します。グループの必要に応じて、1 つまたは複数のロールを入力できます。7 つのロールすべてを指定するには ALL を、ロビー アンバサダー ロールを指定するには LOBBY を使用します。次の形式を使用してロールを入力します。

role<番号>=<ロール名>

たとえば、特定のユーザ グループに対して WLAN、CONTROLLER、および SECURITY のロールを指定するには、次のテキストを入力します。

role1=WLAN
role2=CONTROLLER
role3=SECURITY

あるユーザ グループに 7 つのロールすべてに対するアクセスを付与するには、次のテキストを入力します。

role1=ALL

) 必ず上記の形式を使用してロールを入力するようにしてください。ロールはすべて大文字で入力する必要があり、テキスト間にスペースは挿入できません。



) MONITOR ロールまたは LOBBY ロールは、その他のロールと組み合わせることはできません。Custom Attributes テキストボックスにこれら 2 つのロールのどちらかを指定すると、追加のロールが指定された場合でも、ユーザには MONITOR または LOBBY 権限のみが付与されます。


ステップ 23 Submit をクリックして、変更内容を保存します。


 

GUI を使用した TACACS+ の設定

コントローラ GUI を使用して TACACS+ を設定する手順は、次のとおりです。


ステップ 1 Security > AAA > TACACS+ の順にクリックします。

ステップ 2 次のいずれかの操作を行います。

TACACS+ サーバを認証用に設定する場合、 Authentication をクリックします。

TACACS+ サーバを認可用に設定する場合、 Authorization をクリックします。

TACACS+ サーバをアカウンティング用に設定する場合、 Accounting をクリックします。


) 認証、認可、アカウンティングの設定に使用される GUI ページには、すべて同じフィールドが含まれます。そのため、ここでは Authentication ページを例にとって、設定の手順を一度だけ示します。同じ手順に従って、複数のサービスまたは複数のサーバを設定できます。


TACACS+ (Authentication、Authorization、または Accounting) Servers ページが表示されます(図5-4 を参照)。

図5-4 TACACS+ Authentication Servers ページ

 

このページでは、これまでに設定されたすべての TACACS+ サーバが表示されます。

既存のサーバを削除するには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、 Remove を選択します。

コントローラが特定のサーバに接続されるようにするには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、 Ping を選択します。

ステップ 3 次のいずれかの操作を行います。

既存の TACACS+ サーバを編集するには、そのサーバのサーバ インデックス番号をクリックします。TACACS+ (Authentication、Authorization、または Accounting) Servers Edit ページが表示されます。

TACACS+ サーバを追加するには、 New をクリックします。TACACS+ (Authentication、Authorization、または Accounting) Servers > New ページが表示されます(図5-5 を参照)。

図5-5 TACACS+ Authentication Servers > New ページ

 

ステップ 4 新しいサーバを追加する場合、Server Index (Priority) ドロップダウン ボックスから数字を選択し、同じサービスを提供するその他の設定済みの TACACS+ サーバに対するこのサーバの優先順位を指定します。最大 3 台のサーバを設定できます。コントローラが最初のサーバに接続できない場合、リスト内の 2 番目および必要に応じて 3 番目のサーバへの接続を試行します。

ステップ 5 新しいサーバを追加する場合、Server IP Address フィールドに、TACACS+ サーバの IP アドレスを入力します。

ステップ 6 Shared Secret Format ドロップダウン ボックスから、 ASCII または Hex を選択し、コントローラと TACACS+ サーバ間で使用される共有秘密キーの形式を指定します。デフォルト値は ASCII です。

ステップ 7 Shared Secret フィールドおよび Confirm Shared Secret フィールドに、コントローラとサーバ間の認証に使用する共有秘密キーを入力します。


) 共有秘密キーは、サーバとコントローラの両方で同一である必要があります。


ステップ 8 新しいサーバを追加する場合、Port Number フィールドに、インターフェイス プロトコルに対する TACACS+ サーバの TCP ポート番号を入力します。有効な範囲は 1 ~ 65535 で、デフォルト値は 49 です。

ステップ 9 Server Status フィールドから、 Enabled を選択してこの TACACS+ サーバを有効にするか、または Disabled を選択して無効にします。デフォルト値は Enabled です。

ステップ 10 Retransmit Timeout フィールドに、再送信の間隔の秒数を入力します。有効な範囲は 2 ~ 30 秒で、デフォルト値は 2 秒です。


) 再認証が繰り返し試行されたり、プライマリ サーバがアクティブで接続可能なときにコントローラがバックアップ サーバにフォールバックする場合には、再送信のタイムアウト値を増やすことをお勧めします。


ステップ 11 Apply をクリックして、変更を適用します。

ステップ 12 Save Configuration をクリックして、変更内容を保存します。

ステップ 13 同じサーバ上で、または追加の TACACS+ サーバ上で追加のサービスを設定する場合は、上記の手順を繰り返します。

ステップ 14 複数のデータベースを設定する際の認証の順序を指定するには、 Security > Priority Order > Management User をクリックします。Priority Order > Management User ページが表示されます(図5-6 を参照)。

図5-6 Priority Order > Management User ページ

 

ステップ 15 Authentication Priority で、 Radius または TACACS+ のどちらかを指定して、コントローラが管理ユーザの認証を試行するときにどちらのサーバが他方に対して優先されるかを指定します。デフォルトで、ローカル データベースは常に最初に検索されます。ユーザ名が見つからない場合、コントローラは TACACS+ に設定されている場合は TACACS+ サーバに切り替え、RADIUS に設定されている場合は RADIUS サーバに切り替えます。デフォルトの設定はローカル、Radius の順になっています。

ステップ 16 Apply をクリックして、変更を適用します。

ステップ 17 Save Configuration をクリックして、変更を保存します。


 

CLI を使用した TACACS+ の設定

コントローラ CLI を使用して TACACS+ を設定するには、この項のコマンドを使用します。


) CLI コマンドで使用されるパラメータの有効範囲およびデフォルト値については、「GUI を使用した TACACS+ の設定」を参照してください。


1. TACACS+ 認証サーバを設定するには、次のコマンドを使用します。

config tacacs auth add <インデックス> <サーバの IP アドレス> <ポート番号> { ascii | hex } <共有秘密>:TACACS+ 認証サーバを追加します。

config tacacs auth delete <インデックス>:以前に追加された TACACS+ 認証サーバを削除します。

config tacacs auth ( enable | disable ) <インデックス>:TACACS+ 認証サーバを有効または無効にします。

config tacacs auth retransmit-timeout <インデックス><タイムアウト>:TACACS+ 認証サーバの再送信のタイムアウト値を設定します。

2. TACACS+ 認可サーバを設定するには、次のコマンドを使用します。

config tacacs athr add <インデックス> <サーバの IP アドレス> <ポート番号> { ascii | hex } <共有秘密>:TACACS+ 認可サーバを追加します。

config tacacs athr delete <インデックス>:以前に追加された TACACS+ 認可サーバを削除します。

config tacacs athr ( enable | disable ) <インデックス>:TACACS+ 認可サーバを有効または無効にします。

config tacacs athr retransmit-timeout <インデックス><タイムアウト>:TACACS+ 認可サーバの再送信のタイムアウト値を設定します。

3. TACACS+ アカウンティング サーバを設定するには、次のコマンドを使用します。

config tacacs acct add <インデックス> <サーバの IP アドレス> <ポート番号> { ascii | hex } <共有秘密>:TACACS+ アカウンティング サーバを追加します。

config tacacs acct delete <インデックス>:以前に追加された TACACS+ アカウンティング サーバを削除します。

config tacacs acct ( enable | disable ) <インデックス>:TACACS+ アカウンティング サーバを有効または無効にします。

config tacacs acct retransmit-timeout <インデックス><タイムアウト>:TACACS+ アカウンティング サーバの再送信のタイムアウト値を設定します。

4. 次のコマンドを使用して、TACACS+ の統計を表示します。

show tacacs summary :TACACS+ サーバと統計の概要を表示します。

show tacacs auth stats :TACACS+ 認証サーバの統計を表示します。

show tacacs athr stats :TACACS+ 認可サーバの統計を表示します。

show tacacs acct stats :TACACS+ アカウンティング サーバの統計を表示します。

たとえば、 show tacacs summary コマンドに対しては、次のような情報が表示されます。

Authentication Servers
 
Idx Server Address Port State Tout
--- ---------------- ------ -------- ----
1 11.11.12.2 49 Enabled 2
2 11.11.13.2 49 Enabled 2
3 11.11.14.2 49 Enabled 2
 
Authorization Servers
 
Idx Server Address Port State Tout
--- ---------------- ------ -------- ----
1 11.11.12.2 49 Enabled 2
2 11.11.13.2 49 Enabled 2
3 11.11.14.2 49 Enabled 2
 
Accounting Servers
 
Idx Server Address Port State Tout
--- ---------------- ------ -------- ----
1 11.11.12.2 49 Enabled 2
2 11.11.13.2 49 Enabled 2
3 11.11.14.2 49 Enabled 2


show tacacs auth stats コマンドに対しては、次のような情報が表示されます。

Server Index..................................... 1
Server Address................................... 10.10.10.10
Msg Round Trip Time.............................. 0 (1/100 second)
First Requests................................... 0
Retry Requests................................... 0
Accept Responses................................. 0
Reject Responses................................. 0
Error Responses.................................. 0
Restart Responses................................ 0
Follow Responses................................. 0
GetData Responses................................ 0
Encrypt no secret Responses...................... 0
Challenge Responses.............................. 0
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops....................................0

5. 1 台または複数台の TACACS+ サーバの統計をクリアするには、次のコマンドを入力します。

clear stats tacacs [ auth | athr | acct ] {<インデックス> | all }

6. 複数のデータベースを設定する場合の認証の順序を設定するには、次のコマンドを入力します。デフォルトの設定はローカル、Radius の順になっています。

config aaa auth mgmt [ radius | tacacs ]

現在の管理認証サーバの順序を表示するには、次のコマンドを入力します。

show aaa auth

次のような情報が表示されます。

Management authentication server order:
1............................................ local
2......................................... tacacs

7. コントローラが確実に TACACS+ サーバに接続できるようにするには、次のコマンドを入力します。

ping <サーバの IP アドレス>

8. TACACS+ のデバッグを有効または無効にするには、次のコマンドを入力します。

debug aaa tacacs { enable | disable }

9. 変更を保存するには、次のコマンドを入力します。

save config


 

TACACS+ 管理サーバのログの表示

コントローラで TACACS+ アカウンティング サーバを設定している場合、TACACS+ 管理サーバのログを表示する手順は、次のとおりです。


ステップ 1 ACS のメイン ページで、Reports and Activity をクリックします。

ステップ 2 TACACS+ Administration をクリックします。

ステップ 3 表示するログの日付に対応する .csv ファイルをクリックします。TACACS+ Administration .csv ページが表示されます(図5-7 を参照)。

図5-7 CiscoSecure ACS 上の TACACS+ Administration .csv ページ

 

このページには、次の情報が表示されます。

処理が実行された日付と時刻

処理を実行したユーザの名前と割り当てられたロール

ユーザが属するグループ

ユーザが実行した特定の処理

処理を実行したユーザの権限レベル

コントローラの IP アドレス

処理が実行されたラップトップまたはワークステーションの IP アドレス

単一の処理(またはコマンド)が、コマンド内のパラメータごとに、複数回ログ記録される場合があります。たとえば、ユーザが snmp community ipaddr <IP アドレス> <サブネット マスク> <コミュニティ名> コマンドを入力した場合、ある行では IP アドレスがログ記録されるのに対し、サブネット マスクとコミュニティ名は「E」としてログ記録される場合があります。別の行では、サブネット マスクはログ記録されますが、IP アドレスとコミュニティ名は「E」としてログ記録される場合があります。図5-8 の例の最初の行と 3 番目の行を参照してください。

図5-8 CiscoSecure ACS 上の TACACS+ Administration .csv ページ

 


Refresh をクリックして、いつでもこのページを更新できます。



 

ローカル ネットワーク ユーザの設定

この項では、コントローラ上のローカル ユーザ データベースにローカル ネットワーク ユーザを追加する方法について説明します。ローカル ユーザ データベースには、すべてのローカル ネットワーク ユーザの資格情報(ユーザ名とパスワード)が保存されます。これらの資格情報は、ユーザの認証に使用されます。たとえば、ローカル EAP では、ユーザの資格情報を取得するのに、バックエンド データベースとしてローカル ユーザ データベースを使用する場合があります。詳細は、「ローカル EAP の設定」を参照してください。


) コントローラはクライアント情報をまず RADIUS 認証サーバに渡します。クライアント情報が RADIUS データベースのエントリに一致しない場合は、ローカル ユーザ データベースがポーリングされます。RADIUS 認証が失敗した場合、または存在しない場合は、このデータベースで見つかったクライアントがネットワーク サービスへのアクセスを付与されます。


ローカル ネットワーク ユーザは、GUI または CLI のいずれかを使用して設定できます。

GUI を使用したローカル ネットワーク ユーザの設定

コントローラ GUI を使用してローカル ネットワーク ユーザを設定する手順は、次のとおりです。


ステップ 1 ローカル ユーザ データベースに保存できるローカル ネットワーク ユーザの最大数を指定する手順は、次のとおりです。

a. Security > AAA > General の順にクリックして、General ページにアクセスします(図5-9 を参照)。

図5-9 General ページ

 

b. Maximum Local Database Entries フィールドに、次回コントローラがリブートした際にローカル ユーザ データベースに追加できるローカル ネットワーク ユーザの最大数の値を入力します。現在設定されている値が、フィールドの右側のカッコ内に表示されます。有効な範囲は 512 ~ 2048 で、デフォルトの設定は 512 です。

c. Apply をクリックして、変更を適用します。

ステップ 2 Security > AAA > Local Net Users の順にクリックして、Local Net Users ページにアクセスします(図5-10 を参照)。

図5-10 Local Net Users ページ

 

このページでは、これまでに設定されたすべてのローカル ネットワーク ユーザが表示されます。


) 既存のユーザを削除するには、そのユーザの青いドロップダウンの矢印の上にカーソルを置いて、Remove を選択します。


ステップ 3 次のいずれかの操作を行います。

既存のローカル ネットワーク ユーザを編集するには、そのユーザのユーザ名をクリックします。Local Net Users > Edit ページが表示されます。

ローカル ネットワーク ユーザを追加するには、 New をクリックします。Local Net Users > New ページが表示されます(図5-11 を参照)。

図5-11 Local Net Users > New ページ

 

ステップ 4 新しいユーザを追加する場合、User Name フィールドに、そのローカル ユーザのユーザ名を入力します。最大 24 文字の英数字を入力できます。


) ローカル ネットワーク ユーザ名は、すべて同じデータベース内に保存されるため、一意である必要があります。


ステップ 5 Password フィールドおよび Confirm Password フィールドに、ローカル ユーザのパスワードを入力します。最大 24 文字の英数字を入力できます。

ステップ 6 新しいユーザを追加する場合、そのユーザがローカル ネットワークにアクセスする時間を制限するには、Guest User チェックボックスをオンにします。デフォルトの設定は、オフになっています。

ステップ 7 新しいユーザを追加し、Guest User チェックボックスをオンにした場合は、Lifetime フィールドに、ゲスト ユーザ アカウントをアクティブにする時間(秒単位)を入力します。有効な範囲は 60 ~ 259200 秒で、デフォルトの設定は 86400 秒です。

ステップ 8 WLAN ID ドロップダウン ボックスから、ローカル ユーザによってアクセスされる WLAN の数を選択します。デフォルトの設定である Any WLAN を選択すると、ユーザは設定済みのすべての WLAN にアクセスできます。

ステップ 9 Description フィールドに、ローカル ユーザを説明するタイトル(「ゲスト ユーザ」など)を入力します。

ステップ 10 Apply をクリックして、変更を適用します。

ステップ 11 Save Configuration をクリックして、変更を保存します。


 

CLI を使用したローカル ネットワーク ユーザの設定

コントローラ CLI を使用して ローカル ネットワーク ユーザを設定するには、この項のコマンドを使用します。


) CLI コマンドで使用されるパラメータの有効範囲およびデフォルト値については、「GUI を使用したローカル ネットワーク ユーザの設定」を参照してください。


1. ローカル ネットワーク ユーザを設定するには、次のコマンドを使用します。

config netuser add <ユーザ名> <パスワード><WLAN ID> <説明>:コントローラ上のローカル ユーザ データベースに永久ユーザを追加します。

config netuser add <ユーザ名> <パスワード> <WLAN ID> <説明> <ライフタイム> <秒数>:コントローラ上のローカル ユーザ データベースにゲスト ユーザを追加します。

config netuser delete <ユーザ名>:コントローラ上のローカル ユーザ データベースからユーザを削除します。


) ローカル ネットワーク ユーザ名は、すべて同じデータベース内に保存されるため、一意である必要があります。


2. 次のコマンドを使用して、コントローラで設定されたローカル ネットワーク ユーザに関連する情報を表示します。

show netuser detail <ユーザ名>:ローカル ユーザ データベース内の特定のユーザの設定を表示します。

show netuser summary :ローカル ユーザ データベース内のすべてのユーザの一覧を表示します。

たとえば、 show netuser detail <ユーザ名> コマンドに対しては、次のような情報が表示されます。

User Name............................... abc
WLAN Id................................. Any
Lifetime................................ Permanent
Description........................... test user

3. 変更を保存するには、次のコマンドを入力します。

save config

LDAP の設定

この項では、Lightweight Directory Access Protocol(LDAP)サーバを、RADIUS データベースやローカル ユーザ データベースに類似したバックエンド データベースとして設定する方法について説明します。LDAP バックエンド データベースを使用すると、コントローラで、特定のユーザの資格情報(ユーザ名およびパスワード)を LDAP サーバから検索できるようになります。これらの資格情報は、ユーザの認証に使用されます。たとえば、ローカル EAP では、ユーザの資格情報を取得するのに、バックエンド データベースとして LDAP を使用する場合があります。詳細は、「ローカル EAP の設定」を参照してください。


) LDAP バックエンド データベースでは、次のローカル EAP 方式のみがサポートされます。証明書を使用する EAP-TLS および EAP-FAST です。LEAP および Protected Access Credential(PAC)を使用する EAP-FAST は、LDAP バックエンド データベースでの使用にはサポートされていません。


LDAP は、GUI または CLI のいずれかを使用して設定できます。

GUI を使用した LDAP の設定

コントローラ GUI を使用して LDAP を設定する手順は、次のとおりです。


ステップ 1 Security > AAA > LDAP の順にクリックして、LDAP Servers ページにアクセスします(図5-12 を参照)。

図5-12 LDAP Servers ページ

 

このページでは、これまでに設定されたすべての LDAP サーバが表示されます。

既存の LDAP サーバを削除するには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、 Remove を選択します。

コントローラが特定のサーバに接続されるようにするには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、 Ping を選択します。

ステップ 2 次のいずれかの操作を行います。

既存の LDAP サーバを編集するには、そのサーバのインデックス番号をクリックします。LDAP Servers > Edit ページが表示されます。

LDAP サーバを追加するには、 New をクリックします。LDAP Servers > New ページが表示されます(図5-13 を参照)。

図5-13 LDAP Servers > New ページ

 

ステップ 3 新しいサーバを追加する場合、Server Index (Priority) ドロップダウン ボックスから数字を選択し、その他の設定済みの LDAP サーバに対するこのサーバの優先順位を指定します。最大 17 台のサーバを設定できます。コントローラが最初のサーバに接続できない場合、リスト内の 2 番目のサーバへの接続を試行する、というようになります。

ステップ 4 新しいサーバを追加する場合、Server IP Address フィールドに、LDAP サーバの IP アドレスを入力します。

ステップ 5 新しいサーバを追加する場合、Port Number フィールドに、LDAP サーバの TCP ポート番号を入力します。有効な範囲は 1 ~ 65535 で、デフォルト値は 389 です。

ステップ 6 User Base DN フィールドに、すべてのユーザの一覧を含む LDAP サーバ内のサブツリーの Distinguished Name (DN;認定者名)を入力します。たとえば、ou=organizational unit, ou=next organizational unit, o=corporation.com のようになります。ユーザを含むツリーがベース DN である場合、 o= <企業名> .com または dc= <企業名> ,dc=com と入力します。

ステップ 7 User Attribute フィールドで、ユーザ名を含むユーザ レコード内の属性の名前を入力します。この属性はディレクトリ サーバから取得できます。

ステップ 8 User Object Type フィールドで、レコードをユーザとして識別する LDAP objectType 属性の値を入力します。多くの場合、ユーザ レコードには複数の objectType 属性の値が含まれています。そのユーザに一意の値と、他のオブジェクト タイプと共有する値があります。

ステップ 9 新しいサーバを追加する場合に、すべての LDAP トランザクションでセキュアな TLS トンネルを使用するには、Server Mode ドロップダウン ボックスから Secure を選択します。そうでない場合は、 None を選択します。これはデフォルト設定です。

ステップ 10 Retransmit Timeout フィールドに、再送信の間隔の秒数を入力します。有効な範囲は 2 ~ 30 秒で、デフォルト値は 2 秒です。

ステップ 11 Enable Server Status チェックボックスをオンにしてこの LDAP サーバを有効にするか、オフにしてこのサーバを無効にします。デフォルト値は無効(disable)です。

ステップ 12 Apply をクリックして、変更を適用します。

ステップ 13 Save Configuration をクリックして、変更内容を保存します。

ステップ 14 LDAP をローカル EAP 認証のための優先バックエンド データベースとして指定する手順は、次のとおりです。

a. Security > Local EAP > Authentication Priority の順にクリックして、Priority Order > Local-Auth ページにアクセスします(図5-14 を参照)。

図5-14 Priority Order > Local-Auth ページ

 

b. LOCAL を強調表示して、 < をクリックし、それを左の User Credentials ボックスに移動します。

c. LDAP を強調表示して、 > をクリックし、それを右の User Credentials ボックスに移動します。右側の User Credentials ボックスの上部に表示されるデータベースは、ユーザの資格情報を取得する際に使用されます。


) LDAP と LOCAL の両方が右側の User Credentials ボックスに表示され、LDAP が上部で LOCAL が下部にある場合、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。ユーザが見つからない場合、認証の試行は拒否されます。LOCAL が上部にある場合、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。LDAP バックエンド データベースへのフェールオーバーは行われません。


d. Apply をクリックして、変更を適用します。

e. Save Configuration をクリックして、変更内容を保存します。

ステップ 15 (オプション)特定の LDAP サーバを WLAN に割り当てる手順は、次のとおりです。

a. WLANs をクリックして、WLANs ページにアクセスします。

b. 必要な WLAN のプロファイル名をクリックします。

c. WLANs > Edit ページが表示されたら、 Security > AAA Servers タブをクリックし、WLANs > Edit(Security > AAA Servers)ページにアクセスします(図5-15 を参照)。

図5-15 WLANs > Edit(Security > AAA Servers)ページ

 

d. LDAP Servers ドロップダウン ボックスから、この WLAN に使用する LDAP サーバを選択します。最大 3 台の LDAP サーバを選択できます。これらのサーバは優先順位に従って試行されます。

e. Apply をクリックして、変更を適用します。

f. Save Configuration をクリックして、変更を保存します。


 

CLI を使用した LDAP の設定

コントローラ CLI を使用して LDAP を設定するには、この項のコマンドを使用します。


) CLI コマンドで使用されるパラメータの有効範囲およびデフォルト値については、「GUI を使用した LDAP の設定」を参照してください。


1. LDAP サーバを設定するには、次のコマンドを使用します。

config ldap add <インデックス> <サーバの IP アドレス> <ポート番号> <ユーザ DN> <パスワード> <ベース DN> { secure }:LDAP サーバを追加します。

config ldap delete <インデックス>:以前に追加された LDAP サーバを削除します。

config ldap ( enable | disable ) <インデックス>:LDAP サーバを有効または無効にします。

config ldap retransmit-timeout <インデックス><タイムアウト>:LDAP サーバの再送信の間隔の秒数を設定します。

2. 次のコマンドを使用すると、LDAP を優先バックエンド データベースとして指定できます。

config local-auth user-credentials ldap


config local-auth user-credentials ldap local と入力すると、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。ユーザが見つからない場合、認証の試行は拒否されます。config local-auth user-credentials local ldap と入力すると、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。LDAP バックエンド データベースへのフェールオーバーは行われません。


3. (オプション)特定の LDAP サーバを WLAN に割り当てるには、次のコマンドを使用します。

config wlan ldap add <WLAN ID > <インデックス>:設定済みの LDAP サーバを WLAN に接続します。

config wlan ldap delete <WLAN ID> {all | <インデックス> } :特定の、またはすべての LDAP サーバを WLAN から削除します。

4. 設定済みのLDAP サーバに関連する情報を表示するには、次のコマンドを使用します。

show ldap summary:設定済みの LDAP サーバの概要を表示します。

show ldap detailed <インデックス>:LDAP サーバの詳細情報を表示します。

show ldap statistics:LDAP サーバの統計を表示します。

show wlan <WLAN ID>:WLAN に適用される LDAP サーバを表示します。

たとえば、 show ldap summary コマンドに対しては、次のような情報が表示されます。

LDAP Servers
Idx Host IP addr Port Enabled
--- --------------- ----- -------
1 10.10.10.10 389 Yes

show ldap statistics コマンドに対しては、次のような情報が表示されます。

LDAP Servers
Server 1........................ 10.10.10.10 389

5. コントローラが確実に LDAP サーバに接続できるようにするには、次のコマンドを入力します。

ping <サーバの IP アドレス>

6. 変更を保存するには、次のコマンドを入力します。

save config

7. LDAP のデバッグを有効または無効にするには、次のコマンドを入力します。

debug aaa ldap { enable | disable}

ローカル EAP の設定

ローカル EAP は、ユーザおよび無線クライアントのローカル認証を可能にする認証方式です。この方式は、バックエンド システムが妨害されたり、外部認証サーバがダウンした場合でも、無線クライアントへの接続を維持できるように、リモート オフィスで使用する目的で設計されています。ローカル EAP を有効にすると、コントローラは認証サーバおよびローカル ユーザ データベースとして機能するため、外部認証サーバへの依存が排除されます。ローカル EAP は、ローカル ユーザ データベースまたは LDAP バックエンド データベースからユーザの資格情報を取得して、ユーザを認証します。ローカル EAP では、コントローラと無線クライアント間で、LEAP、EAP-FAST、および EAP-TLS 認証方式をサポートします。


) LDAP バックエンド データベースでは、次のローカル EAP 方式のみがサポートされます。証明書を使用する EAP-TLS および EAP-FAST です。LEAP および PAC を使用する EAP-FAST は、LDAP バックエンド データベースでの使用にはサポートされていません。



) コントローラ上で RADIUS サーバが設定されている場合は、コントローラはまず RADIUS サーバを使用して無線クライアントを認証しようとします。ローカル EAP は、RADIUS サーバがタイムアウトしていたり、RADIUS サーバが設定されていない場合など、RADIUS サーバが見つからない場合にのみ試行されます。4 台の RADIUS サーバが設定されている場合、コントローラは最初の RADIUS サーバを使用してクライアントの認証を試行し、次に 2 番目の RADIUS サーバ、その次にローカル EAP を試行します。その後クライアントが手動で再認証を試みると、コントローラは 3 番目の RADIUS サーバを試行し、次に 4 番目の RADIUS サーバ、その次にローカル EAP を試行します。


GUI または CLI のいずれを使用してもローカル EAP を設定することができます。

GUI を使用したローカル EAP の設定

コントローラ GUI を使用してローカル EAP を設定する手順は、次のとおりです。


ステップ 1 EAP-TLS では認証に証明書を使用し、EAP-FAST では証明書または PAC のどちらかを使用します。コントローラには、Cisco によりインストールされたデバイスの証明書と、Certificate Authority(CA;認証局)の証明書が付属しています。ただし、ご自身のベンダー固有の証明書を使用する場合は、それらの証明書をコントローラにインポートする必要があります。ローカル EAP でこらの EAP タイプのいずれかを使用するよう設定する場合は、適切な証明書と PAC(手動の PAC プロビジョニングを使用する場合)がコントローラにインポートされていることを確認してください。証明書と PAC のインポートの詳細は、 コントローラ ソフトウェアと設定の管理を参照してください。

ステップ 2 コントローラでローカル ユーザ データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上でローカル ネットワーク ユーザを適切に設定していることを確認してください。手順については、「ローカル ネットワーク ユーザの設定」を参照してください。

ステップ 3 コントローラで LDAP バックエンド データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上で LDAP サーバを適切に設定していることを確認してください。手順については、「LDAP の設定」を参照してください。

ステップ 4 バックエンド データベース サーバからユーザの資格情報が取得される順序を指定する手順は、次のとおりです。

a. Security > Local EAP > Authentication Priority の順にクリックして、Priority Order > Local-Auth ページにアクセスします(図5-16 を参照)。

図5-16 Priority Order > Local-Auth ページ

 

b. ユーザの資格情報がローカルまたは LDAP データベースから取得される優先順位を決定します。たとえば、LDAP データベースがローカル ユーザ データベースよりも優先されるようにすることも、または LDAP データベースがまったく考慮されないようにすることもできます。

c. 優先順位を決定したら、目的のデータベースを強調表示します。次に左と右の矢印および Up ボタンと Down ボタンを使用して、目的のデータベースを右側の User Credential ボックスの上部に移動します。


) LDAP と LOCAL の両方が右側の User Credentials ボックスに表示され、LDAP が上部で LOCAL が下部にある場合、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。ユーザが見つからない場合、認証の試行は拒否されます。LOCAL が上部にある場合、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。LDAP バックエンド データベースへのフェールオーバーは行われません。


d. Apply をクリックして、変更を適用します。

ステップ 5 ローカル EAP にタイムアウト値を指定する手順は、次のとおりです。

a. Security > Local EAP > General の順にクリックして、General ページにアクセスします。

b. Local Auth Active Timeout フィールドに、設定済みの RADIUS サーバのペアが失敗したあとに、コントローラがローカル EAP を使用して無線クライアントの認証を試行するまでに経過する時間(秒数)を入力します。有効な範囲は 1 ~ 3600 秒で、デフォルトの設定は 1000 秒です。

c. Apply をクリックして、変更を適用します。

ステップ 6 無線クライアントでサポートされる EAP 認証タイプを指定する、ローカル EAP プロファイルを作成する手順は、次のとおりです。

a. Security > Local EAP > Profiles の順にクリックして、Local EAP Profiles ページにアクセスします(図5-17 を参照)。

図5-17 Local EAP Profiles ページ

 

このページでは、これまでに設定されたすべてのローカル EAP プロファイルが表示され、その EAP タイプを指定します。最大 16 個のローカル EAP プロファイルを作成できます。


) 既存のプロファイルを削除するには、そのプロファイルの青いドロップダウンの矢印の上にカーソルを置いて、Remove を選択します。


b. New をクリックして、Local EAP Profiles > New ページにアクセスします。

c. Profile Name フィールドに、新しいプロファイルの名前を入力し、 Apply をクリックします。


) プロファイル名には最大 63 文字の英数字を入力できます。スペースは含めないでください。


d. Local EAP Profiles ページが再度表示されたら、新しいプロファイルの名前をクリックします。Local EAP Profiles > Edit ページが表示されます(図5-18 を参照)。

図5-18 Local EAP Profiles > Edit ページ

 

e. LEAP , EAP-FAST チェックボックスまたは EAP-TLS チェックボックス、あるいはこれら両方のチェックボックスをオンにし、ローカル認証に使用できる EAP タイプを指定します。


) プロファイルごとに複数の EAP タイプを指定できます。ただし、EAP-TLS(証明書が必要)と証明書を使用する EAP-FAST の両方を指定するプロファイルを作成する場合、両方の EAP タイプで同じ証明書(Cisco または他のベンダーが発行する)を使用する必要があります


f. EAP-FAST を選択し、コントローラ上のデバイスの証明書を認証に使用する場合は、 Local
Certificate Required
チェックボックスをオンにします。証明書の代わりに PAC を使用する EAP-FAST を使用する場合は、このチェックボックスをオフのままにします。これがデフォルトの設定です。


) 証明書は LEAP と共に使用されず、EAP-TLS には必須であるため、このオプションは EAP-FAST にのみ適用されます。


g. EAP-FAST を選択し、無線クライアントがデバイスの証明書を認証のためにコントローラに送信するようにするには、 Client Certificate Required チェックボックスをオンにします。証明書の代わりに PAC を使用する EAP-FAST を使用する場合は、このチェックボックスをオフのままにします。これがデフォルトの設定です。


) 証明書は LEAP と共に使用されず、EAP-TLS には必須であるため、このオプションは EAP-FAST にのみ適用されます。


h. 証明書を使用する EAP-FAST または EAP-TLS を選択した場合、Certificate Issuer ドロップダウン ボックスから、 Cisco が発行する証明書か、別の Vendor が発行する証明書か、どちらの証明書がクライアントに送信されるかを選択します。デフォルトの設定は、Cisco になっています。

i. 証明書を使用する EAP-FAST または EAP-TLS を選択し、クライアントから受信する証明書をコントローラ上の CA 証明書に対して検証する場合は、 Check Against CA Certificates チェックボックスをオンにします。デフォルトの設定は、有効になっています。

j. 証明書を使用する EAP-FAST または EAP-TLS を選択し、受信する証明書内の Common Name(CN;通常名)をコントローラ上の CA 証明書の CN に対して検証する場合は、 Verify Certificate CN Identity チェックボックスをオンにします。デフォルトの設定は、無効になっています。

k. 証明書を使用する EAP-FAST または EAP-TLS を選択し、コントローラで受信するデバイス証明書が現在有効で期限が切れていないことを検証する場合は、 Check Certificate Date Validity チェックボックスをオンにします。デフォルトの設定は、有効になっています。

l. Apply をクリックして、変更を適用します。

ステップ 7 EAP-FAST プロファイルを作成した場合、EAP-FAST パラメータを設定する手順は、次のとおりです。

a. Security > Local EAP > EAP-FAST Parameters の順にクリックして、EAP-FAST Method Parameters ページにアクセスします(図5-19 を参照)。

図5-19 EAP-FAST Method Parameters ページ

 

b. Server Key フィールドおよび Confirm Server Key フィールドに、PAC の暗号化と暗号化解除に使用するキー(16 進数文字)を入力します。

c. Time to Live for the PAC フィールドに、PAC が有効である日数を入力します。有効な範囲は 1 ~ 1000 日で、デフォルトの設定は 10 日です。

d. Authority ID フィールドに、ローカル EAP-FAST サーバの権限識別子を 16 進数文字で入力します。最大 32 文字の 16 進数文字を入力できますが、文字数は偶数である必要があります。

e. Authority ID Information フィールドに、ローカル EAP-FAST サーバの権限識別子をテキスト形式で入力します。

f. 匿名プロビジョニングを有効にするには、 Anonymous Provision チェックボックスをオンにします。この機能を使用すると、PAC プロビジョニング中に、PAC がないクライアントに PAC が自動的に送信されるようになります。この機能を無効にする場合、PAC は手動でプロビジョニングされる必要があります。デフォルトの設定は、有効になっています。


) ローカル証明書またはクライアント証明書、あるいはその両方が必要で、すべての EAP-FAST クライアントで証明書を使用するよう強制する場合は、Anonymous Provision チェックボックスをオフにしてください。


g. Apply をクリックして、変更を適用します。

ステップ 8 WLAN 上でローカル EAP を有効にする手順は、次のとおりです。

a. WLANs をクリックして、WLANs ページにアクセスします。

b. 必要な WLAN のプロファイル名をクリックします。

c. WLANs > Edit ページが表示されたら、 Security > AAA Servers タブをクリックし、WLANs > Edit(Security > AAA Servers)ページにアクセスします(図5-20 を参照)。

図5-20 WLANs > Edit(Security > AAA Servers)ページ

 

d. Local EAP Authentication チェックボックスをオンにして、この WLAN に対してローカル EAP を有効にします。

e. EAP Profile Name ドロップダウン ボックスから、この WLAN に使用する EAP プロファイルを選択します。

f. 必要に応じて、LDAP Servers ドロップダウン ボックスから、この WLAN でローカル EAP と共に使用する LDAP サーバを選択します。

g. Apply をクリックして、変更を適用します。

ステップ 9 Save Configuration をクリックして、変更を保存します。


 

CLI を使用したローカル EAP の設定

コントローラ CLI を使用してローカル EAP を設定する手順は、次のとおりです。


) CLI コマンドで使用されるパラメータの有効範囲およびデフォルト値については、「GUI を使用したローカル EAP の設定」を参照してください。



ステップ 1 EAP-TLS では認証に証明書を使用し、EAP-FAST では証明書または PAC のどちらかを使用します。コントローラには、Cisco によりインストールされたデバイスの証明書と、Certificate Authority(CA;認証局)の証明書が付属しています。ただし、ご自身のベンダー固有の証明書を使用する場合は、それらの証明書をコントローラにインポートする必要があります。ローカル EAP でこらの EAP タイプのいずれかを使用するよう設定する場合は、適切な証明書と PAC(手動の PAC プロビジョニングを使用する場合)がコントローラにインポートされていることを確認してください。証明書と PAC のインポートの詳細は、 コントローラ ソフトウェアと設定の管理を参照してください。

ステップ 2 コントローラでローカル ユーザ データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上でローカル ネットワーク ユーザを適切に設定していることを確認してください。手順については、「ローカル ネットワーク ユーザの設定」を参照してください。

ステップ 3 コントローラで LDAP バックエンド データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上で LDAP サーバを適切に設定していることを確認してください。手順については、「LDAP の設定」を参照してください。

ステップ 4 ユーザの資格情報がローカルまたは LDAP データベースから取得される優先順位を指定するには、次のコマンドを入力します。

config local-auth user-credentials { local | ldap }


config local-auth user-credentials ldap local と入力すると、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。ユーザが見つからない場合、認証の試行は拒否されます。config local-auth user-credentials local ldap と入力すると、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。LDAP バックエンド データベースへのフェールオーバーは行われません。


ステップ 5 設定済みの RADIUS サーバのペアが失敗したあとに、コントローラがローカル EAP を使用して無線クライアントの認証を試行するまでに経過する時間(秒数)を指定するには、次のコマンドを入力します。

config local-auth active-timeout timeout

ステップ 6 ローカル EAP プロファイルを作成するには、次のコマンドを入力します。

config local-auth eap-profile add <プロファイル名>


) プロファイル名にスペースを含めないでください。



) ローカル EAP プロファイルを削除するには、次のコマンドを入力します。config local-auth eap-profile delete <プロファイル名>


ステップ 7 ローカル EAP プロファイルに EAP 方式を追加するには、次のコマンドを入力します。

config local-auth eap-profile method add <メソッド> <プロファイル名>

サポートされる方式は、leap、fast、および tls です。


) プロファイルごとに複数の EAP タイプを指定できます。ただし、EAP-TLS(証明書が必要)と証明書を使用する EAP-FAST の両方を指定するプロファイルを作成する場合、両方の EAP タイプで同じ証明書(Cisco または他のベンダーが発行する)を使用する必要があります



) ローカル EAP プロファイルから EAP 方式を削除するには、次のコマンドを入力します。config local-auth eap-profile method delete <メソッド> <プロファイル名>


ステップ 8 EAP-FAST プロファイルを作成した場合に、EAP-FAST パラメータを設定するには、次のコマンドを入力します。

config local-auth method fast ?

? は、次のいずれかです。

anon-prov { enable | disable }:コントローラで匿名プロビジョニングが許可されます。これにより、PAC プロビジョニング中に、PAC がないクライアントに PAC が自動的に送信されるようになります。

authority-id <認証識別子>:ローカル EAP-FAST サーバの権限識別子を指定します。

pac-ttl <値>:PAC が有効である日数を指定します。

server-key <キー>:PAC を暗号化および暗号化解除するために使用されるサーバ キーを指定します。

ステップ 9 プロファイルごとに証明書パラメータを設定するには、次のコマンドを入力します。

config local-auth eap-profile method fast local-cert { enable | disable } <プロファイル名> :コントローラ上でデバイスの証明書が認証に必要とされるかどうかを指定します。


) 証明書は LEAP と共に使用されず、EAP-TLS には必須であるため、このコマンドは EAP-FAST にのみ適用されます。


config local-auth eap-profile method fast client-cert { enable | disable } <プロファイル名> :無線クライアントで、認証のためにデバイスの証明書をコントローラに送信する必要があるかどうかを指定します。


) 証明書は LEAP と共に使用されず、EAP-TLS には必須であるため、このコマンドは EAP-FAST にのみ適用されます。


config local-auth eap-profile method <メソッド> cert-issuer {cisco | vendor} :証明書を使用する EAP-FAST または EAP-TLS を指定した場合、クライアントに送信される証明書が Cisco から発行されたものか、別のベンダーから発行されたものかを指定します。

config local-auth eap-profile method <メソッド> peer-verify ca-issuer { enable | disable }:証明書を使用する EAP-FAST または EAP-TLS を選択した場合、クライアントから受信する証明書がコントローラ上の CA に対して検証されるかどうかを指定します。

config local-auth eap-profile method <メソッド> peer-verify cn-verify { enable | disable }:証明書を使用する EAP-FAST または EAP-TLS を選択した場合、受信する証明書内の通常名(CN)がコントローラ上の CA 証明書の CN に対して検証されるかどうかを指定します。

config local-auth eap-profile method <メソッド> peer-verify date-valid { enable | disable }:証明書を使用する EAP-FAST または EAP-TLS を選択した場合、受信するデバイスの証明書が現在有効であり期限が切れていないことを検証します。

ステップ 10 ローカル EAP を有効にし、EAP プロファイルを WLAN に接続するには、次のコマンドを入力します。

config wlan local-auth enable <プロファイル名> <WLAN ID>


) WLAN でローカル EAP を無効にするには、次のコマンドを入力します。config wlan local-auth disable <WLAN ID>


ステップ 11 変更を保存するには、次のコマンドを入力します。

save config

ステップ 12 ローカル EAP に関連する情報を表示するには、次のコマンドを使用します。

show local-auth config: コントローラ上のローカル EAP を表示します。

show local-auth status :ローカル EAP のステータスを表示します。

show certificates local-auth :ローカル EAP で使用可能な証明書を表示します。

show local-auth user-credentials :ローカル データベースまたは LDAP データベースからユーザの資格情報を取得する際にコントローラが使用する優先順位を表示します。

show wlan <WLAN ID>:特定の WLAN のローカル EAP のステータスを表示します。

たとえば、 show local-auth config コマンドに対しては、次のような情報が表示されます。

User credentials database search order:
Primary ..................................... Local DB
 
Configured EAP profiles:
Name ........................................ fast-cert
Certificate issuer ........................ vendor
Peer verification options:
Check against CA certificates ........... Enabled
Verify certificate CN identity .......... Disabled
Check certificate date validity ......... Enabled
EAP-FAST configuration:
Local certificate required .............. Yes
Client certificate required ............. Yes
Enabled methods ........................... fast
Configured on WLANs ....................... 1
 
Name ........................................ tls
Certificate issuer ........................ vendor
Peer verification options:
Check against CA certificates ........... Enabled
Verify certificate CN identity .......... Disabled
Check certificate date validity ......... Enabled
EAP-FAST configuration:
Local certificate required .............. No
Client certificate required ............. No
Enabled methods ........................... tls
Configured on WLANs ....................... 2
 
EAP Method configuration:
EAP-FAST:
Server key ................................ <hidden>
TTL for the PAC ........................... 10
Anonymous provision allowed ............... Yes
Accept client on auth prov ................ No
Authority ID .............................. 436973636f0000000000000000000000
Authority Information ..................... Cisco A-ID
 

ステップ 13 必要に応じて、次のコマンドを使用してローカル EAP セッションのトラブルシューティングを行います。

debug aaa local-auth eap method {all | errors | events | packets | sm} {enable | disable}:
ローカル EAP 方式のデバッグを有効または無効にします。

debug aaa local-auth eap framework {all | errors | events | packets | sm} {enable | disable}:
ローカル EAP フレームワークのデバッグを有効または無効にします。


) 上記の 2 つのコマンドでは、sm とはステート マシンを指します。


show local-auth statistics :ローカル EAP の統計を表示します。

clear stats local-auth :ローカル EAP のカウンタをクリアします。


 

SpectraLink 社の NetLink 電話に対するシステムの設定

SpectraLink 社の NetLink 電話を Cisco UWN Solution と最適な形で統合するためには、長いプリアンブルを使用可能にする特別なオペレーティング システム設定が必要です。無線プリアンブル(ヘッダーとも呼ばれる)はパケットの先頭部分にあるデータで、パケットを送受信する際に無線デバイスが必要とする情報が格納されています。短いプリアンブルの方がスループット パフォーマンスが向上するため、デフォルトではこちらが有効になっています。ただし、SpectraLink 社の NetLink 電話などの一部の無線デバイスは、長いプリアンブルを必要とします。

長いプリアンブルを有効にするには、次のいずれかの方法を使用します。

「GUI を使用した長いプリアンブルの有効化」

「CLI を使用した長いプリアンブルの有効化」

GUI を使用した長いプリアンブルの有効化

GUI を使用して長いプリアンブルを有効化し、無線 LAN 上にある SpectraLink 社の NetLink 電話の動作を最適化する手順は次のとおりです。


ステップ 1 コントローラの GUI にログインします。

ステップ 2 次のようにメニューを選択し、802.11b/g Global Parameters ページへ移動します。

Wireless > Global RF > 802.11b/g Network

Short Preamble Enabled チェックボックスがオンの場合は、以降の手順に進みます。Short Preamble Enabled チェックボックスがオフの場合(つまり長いプリアンブルが有効な場合)、コントローラはすでに SpectraLink 社の NetLink 電話に対して最適化されているため、以降の手順を実行する必要はありません。

ステップ 3 Short Preamble Enabled チェックボックスをオフにして長いプリアンブルを有効にします。

ステップ 4 Apply をクリックして、コントローラの設定を更新します。


) コントローラへの CLI セッションがアクティブでない場合は、CLI セッションを開始してコントローラをリブートし、リブート プロセスを監視することをお勧めします。コントローラがリブートすると GUI が切断されるため、その意味でも CLI セッションは役に立ちます。


ステップ 5 Commands > Reboot > Reboot を選択し、コントローラをリブートします。次のプロンプトに対し OK をクリックします。

Configuration will be saved and switch will be rebooted. Click ok to confirm.
 

コントローラがリブートします。

ステップ 6 コントローラの GUI にもう一度ログインし、コントローラが正しく設定されていることを確認します。次のようにメニューを選択し、802.11b/g Global Parameters ページへ移動します。

Wireless > 802.11b/g > Network

Short Preamble Enabled チェックボックスがオフの場合、コントローラは SpectraLink 社の NetLink 電話に対して最適化されています。


 

CLI を使用した長いプリアンブルの有効化

CLI を使用して長いプリアンブルを有効化し、無線 LAN 上にある SpectraLink 社 NetLink 電話の動作を最適化する手順は次のとおりです。


ステップ 1 コントローラの CLI にログインします。

ステップ 2 show 802.11b と入力し、Short preamble mandatory パラメータをチェックします。短いプリアンブルが有効になっている場合は、以降の手順に進みます。短いプリアンブルが有効な場合、次のように表示されます。

Short Preamble mandatory....................... Enabled
 

短いプリアンブルが無効になっている場合(つまり長いプリアンブルが有効な場合)、コントローラはすでに SpectraLink 社の NetLink 電話に対して最適化されているため、以降の手順を実行する必要はありません。長いプリアンブルが有効な場合、次のように表示されます。

Short Preamble mandatory....................... Disabled
 

ステップ 3 config 802.11b disable network と入力して 802.11b/g ネットワークを無効にします(802.11a ネットワークでは長いプリアンブルを有効にできません)。

ステップ 4 config 802.11b preamble long と入力して長いプリアンブルを有効にします。

ステップ 5 config 802.11b enable network と入力して 802.11b/g ネットワークを有効化します。

ステップ 6 reset system と入力して、コントローラをリブートします。次のプロンプトに対して y と入力します。

The system has unsaved changes. Would you like to save them now? (y/n)
 

コントローラがリブートします。

ステップ 7 もう一度 CLI にログインし、show 802.11b と入力して次のパラメータを表示し、コントローラが正しく設定されていることを確認します。

802.11b Network................................ Enabled
Short Preamble mandatory....................... Disabled
 

上記のパラメータは、802.11b/g ネットワークが有効になっていて、短いプリアンブルが無効になっていることを示しています。


 

CLI を使用した Enhanced Distributed Channel Access の設定

次の CLI コマンドを使用すると、802.11 Enhanced Distributed Channel Access(EDCA;拡張型分散チャネル アクセス)パラメータを設定して SpectraLink の電話をサポートできます。

config advanced edca-parameters { svp-voice | wmm-default }

このとき、次のようになります。

svp-voice は SpectraLink Voice Priority(SVP)パラメータを有効にし、 wmm-default は Wireless Multimedia(WMM)デフォルト パラメータを有効にします。


) このコマンドをコントローラに接続されたすべてのアクセス ポイントに適用するには、このコマンドを入力した後、802.11b/g ネットワークを無効にし、その後再び有効にしてください。


無線による管理の使用

Cisco UWN Solution の無線による管理機能を使用すると、オペレータは、無線クライアントを使用してローカル コントローラを監視および設定できます。この機能は、コントローラとの間のアップロードおよびダウンロード(転送)以外のすべての管理タスクに対して使用できます。

無線による管理機能を使用するには、次のいずれかの方法でコントローラを適切に設定しておく必要があります。

「GUI を使用した無線による管理の有効化」

「CLI を使用した無線による管理の有効化」

GUI を使用した無線による管理の有効化


ステップ 1 Click Management > Mgmt Via Wireless をクリックして、Management Via Wireless ページにアクセスします。

ステップ 2 Enable コントローラ Management to be accessible from Wireless Clients チェックボックスをオンにして WLAN に対して無線による管理を有効にするか、オフにしてこの機能を無効にします。デフォルトではオフになっています。

ステップ 3 Apply をクリックして、変更を適用します。

ステップ 4 Save Configuration をクリックして、変更内容を保存します。

ステップ 5 無線クライアント Web ブラウザを使用して、コントローラ管理ポートまたはディストリビューション システム ポート IP アドレスに接続し、コントローラ GUI にログインして、無線クライアントを使用して WLAN を管理できていることを確認します。


 

CLI を使用した無線による管理の有効化


ステップ 1 CLI で、 show network コマンドを使用して、 Mgmt Via Wireless Interface Enabled に設定されているか Disabled に設定されているかを確認します。 Mgmt Via Wireless Interface Disabled に設定されている場合、ステップ 2 に進みます。それ以外の場合、ステップ 3 に進みます。

ステップ 2 無線による管理を有効にするには、config network mgmt-via-wireless enable と入力します。

ステップ 3 無線クライアントを使用して、管理対象のコントローラに接続されているアクセス ポイントにアソシエートします。

ステップ 4 telnet <コントローラ IP アドレス> と入力して CLI にログインし、無線クライアントを使用して WLAN を管理できることを確認します。


 

DHCP オプション 82 の使用

DHCP を使用してネットワーク アドレスを割り当てるとき、DHCP オプション 82 はセキュリティの補強を提供します。具体的には、コントローラが DHCP リレイ エージェントとして動作して、信頼できないソースからの DHCP クライアント要求を阻止できるようにします。DHCP 要求にオプション 82 情報を追加してから DHCP サーバに転送するように、コントローラを設定することができます。このプロセスの図は、図5-21 を参照してください。

図5-21 DHCP オプション 82

 

アクセス ポイントは、クライアントからのすべての DHCP 要求をコントローラに転送します。コントローラは、DHCP オプション 82 ペイロードを追加してから要求を DHCP サーバに転送します。このオプションの設定方法によって、ペイロードには MAC アドレス、または MAC アドレスとアクセス ポイントの SSID が含まれます。


) すでにリレー エージェント オプションが含まれている DHCP パケットは、コントローラでドロップされます。



) DHCP オプション 82 は、 モビリティ グループの設定 で説明されている自動アンカー モビリティと共に使用することはできません。


次のコマンドを使用して DHCP オプション 82 をコントローラに設定できます。

1. DHCP オプション 82 ペイロードの形式を設定するには、次のコマンドの 1 つを入力します。

config dhcp opt-82 remote-id ap_mac

このコマンドは DHCP オプション 82 ペイロードにアクセス ポイントの MAC アドレスを追加します。

config dhcp opt-82 remote-id ap_mac:ssid

このコマンドは DHCP オプション 82 ペイロードにアクセス ポイントの MAC アドレスと SSID を追加します。

2. コントローラで DHCP オプション 82 を有効または無効にするには、次のコマンドを入力します。

config interface dhcp ap-manager opt-82 {enable | disable}

3. コントローラで DHCP オプション 82 のステータスを表示するには、次のコマンドを入力します。

show interface detailed ap-manager

次のような情報が表示されます。

Interface Name................................... ap-manager
IP Address....................................... 10.30.16.13
IP Netmask....................................... 255.255.248.0
IP Gateway....................................... 10.30.16.1
VLAN............................................. untagged
Active Physical Port............................. LAG (29)
Primary Physical Port............................ LAG (29)
Backup Physical Port............................. Unconfigured
Primary DHCP Server.............................. 10.1.0.10
Secondary DHCP Server............................ Unconfigured
DHCP Option 82................................... Enabled
ACL.............................................. Unconfigured
AP Manager....................................... Yes

SSID の検証

不正な SSID をコントローラで設定された SSID と照らし合わせて検証するように、コントローラを設定できます。不正な SSID がコントローラの SSID の 1 つと一致すると、コントローラはアラームを生成します。コントローラ GUI を使用して SSID を検証する手順は、次のとおりです。


) コントローラ CLI から SSID 検証を設定することはできません。ただし、show wps summary コマンドを使用して SSID 検証が有効化されているかどうか確認することはできます。



ステップ 1 Security > Wireless Protection Policies > Trusted AP Policies の順にクリックして、Trusted AP Policies ページにアクセスします。

ステップ 2 SSID 検証を有効にする場合は Validate SSID チェックボックスをオンにします。この機能を無効にする場合は、オフにします。

ステップ 3 Apply をクリックして、変更を適用します。

ステップ 4 Save Configuration をクリックして、変更内容を保存します。


 

アクセス コントロール リストの設定と適用

アクセス コントロール リスト(ACL) は、特定のインターフェイスへのアクセスを制限するために使用する一連のルールです(たとえば、無線クライアントがコントローラの管理インターフェイスに ping を実行するのを制限する場合などに使用します)。コントローラで設定した ACL は、管理インターフェイス、AP マネージャ インターフェイス、任意の動的インターフェイス、または無線クライアントとやり取りするデータ トラフィックの制御用の WLAN、あるいは Central Processing Unit(CPU;中央処理装置)宛のすべてのトラフィックの制御用のコントローラ CPUに適用できます。

または、Web 認証用に事前認証 ACL を作成することもできます。事前認証 ACL を使用すると、認証が完了する前に、特定の種類のトラフィックを許可することができます。


) 2000 または 2100 シリーズのコントローラか、Cisco 28/37/38xx Series Integrated Services Router 内のコントローラ ネットワーク モジュールと共に外部の Web サーバを使用している場合には、WLAN 上でサーバに対する事前認証 ACL を設定する必要があります。


最大で 64 の ACL を定義することができ、各 ACL に最大 64 のルール(またはフィルタ)を設定できます。各ルールには、ルールの処理に影響を与えるパラメータがあります。パケットが 1 つのルールの全パラメータと一致した場合、そのルールに設定された処理がそのパケットに適用されます。


) すべての ACL には、暗黙的に最後のルールとして「すべてのルールを拒否」が適用されます。パケットがどのルールとも一致しない場合、コントローラによってドロップされます。


ACL は、GUI または CLI のいずれかを使用して設定および適用できます。

GUI を使用したアクセス コントロール リストの設定

コントローラ GUI を使用して ACL を設定する手順は、次のとおりです。


ステップ 1 Security > Access Control Lists > Access Control Lists をクリックして、Access Control Lists ページにアクセスします(図5-22 を参照)。

図5-22 Access Control Lists ページ

 

このページでは、このコントローラに設定されたすべての ACL が表示されます。


) 既存の ACL を削除するには、その ACL の青いドロップダウンの矢印の上にカーソルを置いて、Remove を選択します。


ステップ 2 新しい ACL を追加するには、New をクリックします。Access Control Lists > New ページが表示されます(図5-23 を参照)。

図5-23 Access Control Lists > New ページ

 

ステップ 3 Access Control List Name フィールドに新しい ACL の名前を入力します。最大 32 文字の英数字を入力できます。

ステップ 4 Apply をクリックします。Access Control Lists ページが再度表示されたら、新しい ACL の名前をクリックします。

ステップ 5 Access Control Lists > Edit ページが表示されたら、Add New Rule をクリックします。Access Control Lists > Rules > New ページが表示されます(図5-24 を参照)。

図5-24 Access Control Lists > Rules > New ページ

 

ステップ 6 この ACL にルールを設定する手順は、次のとおりです。

a. コントローラは各 ACL について最大 64 のルールをサポートします。これらのルールは 1 ~ 64 の順にリストされます。Sequence フィールドに値(1 ~ 64)を入力し、この ACL に定義された他のルールとの順序関係を明確にします。


) ルール 1 ~ 4 がすでに設定されている場合にルール 29 を追加すると、これはルール 5 として追加されます。ルールのシーケンス番号を追加したり、変更した場合には、順序を維持するために他のルールのシーケンス番号が調整されます。たとえば、ルールのシーケンス番号を 7 から 5 に変更した場合、シーケンス番号 5 および 6 のルールはそれぞれ、自動的に 6 および 7 へと番号が変更されます。


b. Source ドロップダウン ボックスから、これらオプションの 1 つを選択してこの ACL を適用するパケットのソースを指定します。

Any:任意のソース(これは、デフォルト値です)。

IP Address:特定のソース。このオプションを選択した場合、編集ボックスに、ソースの IP アドレスとネットマスクを入力します。

c. Destination ドロップダウン ボックスから、これらオプションの 1 つを選択してこの ACL を適用するパケットの宛先を指定します。

Any:任意の宛先(これは、デフォルト値です)。

IP Address:特定の宛先。このオプションを選択した場合、編集ボックスに、宛先の IP アドレスとネットマスクを入力します。

d. Protocol ドロップダウン ボックスから、この ACL に使用する IP パケットのプロトコル ID を選択します。プロトコル オプションは次のとおりです。

Any:任意のプロトコル(これは、デフォルト値です)。

TCP:転送制御プロトコル

UDP:ユーザ データグラム プロトコル

ICMP:インターネット制御メッセージ プロトコル

ESP:IP Encapsulating Security Payload

AH:認証ヘッダ

GRE:ジェネリック ルーティング カプセル化

IP in IP:Internet Protocol(IP;インターネット プロトコル)内 IP。IP-in-IP パケットを許可または拒否します。

Eth Over IP:Ethernet-over-Internet プロトコル

OSPF:Open Shortest Path First

Other:その他の Internet Assigned Numbers Authority (IANA) プロトコル


) Other を選択した場合、Protocol edit ボックスに目的のプロトコルの番号を入力します。次の URL で、使用可能なプロトコルと対応する番号の一覧にアクセスできます。http://www.iana.org/assignments/protocol-numbers



) コントローラは ACL の IP パケットのみを許可または拒否できます。他のタイプのパケット(ARP パケットなど)は指定できません。


e. 前の手順で TCP または UDP を選択した場合には、Source Port および Destination Port の 2 つのパラメータも追加で表示されます。これらパラメータを使用すれば、特定のソース ポートと宛先ポート、またはポート範囲を選択することができます。ポート オプションは、ネットワーキング スタックとのデータ送受信をするアプリケーションによって使用されます。一部のポートは、telnet、ssh、http などの特定のアプリケーション用に指定されています。

f. DSCP ドロップダウン ボックスから、これらオプションの 1 つを選択してこの ACL の differentiated services code point(DSCP)値を指定します。DSCP は、インターネット上のサービスの質を定義するのに使用できる IP ヘッダ フィールドです。

Any:任意の DSCP(これは、デフォルト値です)。

Specific:DSCP 編集ボックスに入力した、0 ~ 63 の特定の DSCP

g. Direction ドロップダウン ボックスから、これらオプションの 1 つを選択してこの ACL を適用するトラフィックの方向を指定します。

Any:任意の方向(これは、デフォルト値です)。

Inbound:クライアントから

Outbound:クライアントへ


) この ACL をコントローラ CPU に適用することを計画している場合は、Any または Inbound を選択してください。これは、CPU ACL は、CPU から送信されたパケットではなく、CPU に送信されたパケットのみに適用されるためです。


h. Action ドロップダウン ボックスから、Deny を選択してこの ACL にパケットをブロックさせるか、Permit を選択してこの ACL にパケットを許可させるようにします。デフォルト値は Deny です。

i. Apply をクリックして、変更を適用します。Access Control Lists > Edit ページが再表示され、この ACL のルールが示されます。図5-25を参照してください。

図5-25 Access Control Lists > Edit ページ

 


) ルールを編集する場合は、希望のルールのシーケンス番号をクリックし、Access Control Lists > Rules > Edit ページにアクセスします。ルールを削除するには、目的のルールの青いドロップダウンの矢印の上にカーソルを置いて、Remove を選択します。


j. この ACL にさらにルールを追加するにはこの手順を繰り返します。

ステップ 7 Save Configuration をクリックして、変更を保存します。

ステップ 8 さらに ACL を追加するにはこの手順を繰り返します。


 

インターフェイスへのアクセス コントロール リストの適用

コントローラ GUI を使用して管理インターフェイス、AP マネージャ インターフェイス、または動的インターフェイスに ACL を適用する手順は、次のとおりです。


ステップ 1 Controller > Interfaces の順にクリックします。

ステップ 2 必要なインターフェイスの名前をクリックします。そのインターフェイスの Interfaces > Edit ページが表示されます(図5-26 を参照)。

図5-26 Interfaces > Edit ページ

 

ステップ 3 ACL Name ドロップダウン ボックスから必要な ACL を選択し、Apply をクリックします。デフォルト値は None です。


) コントローラ インターフェイスの設定の詳細は、 ポートとインターフェイスの設定 を参照してください。


ステップ 4 Save Configuration をクリックして、変更内容を保存します。


 

コントローラ CPU へのアクセス コントロール リストの適用

コントローラ GUI を使用して、コントローラ CPU に ACL を適用して CPU へのトラフィックを制御する手順は、次のとおりです。


ステップ 1 Security > Access Control Lists > CPU Access Control Lists を選択します。CPU Access Control Lists ページが表示されます(図5-27 を参照)。

図5-27 CPU Access Control Lists ページ

 

ステップ 2 Enable CPU ACL チェックボックスをオンにして、指定した ACL でコントローラ CPU へのトラフィックを制御できるようにするか、またはチェックボックスをオフにして CPU ACL の機能を無効にし、CPU にすでに適用された ACL をすべて削除します。デフォルトではオフになっています。

ステップ 3 ACL Name ドロップダウン ボックスから、コントローラ CPU へのトラフィックを制御する ACL を選択します。デフォルト値は None で、CPU ACL 機能は無効にされています。CPU ACL Enable チェックボックスをオンにして、None を選択すると、ACL を選択する必要があることを示すエラー メッセージが表示されます。


) このパラメータは、CPU ACL Enable チェックボックスをオンにした場合のみ使用できます。


ステップ 4 CPU ACL Mode ドロップダウン ボックスから、コントローラ CPU への到達が制限されるトラフィックのタイプ(有線、無線、または両方)を選択します。デフォルト値は Wired です。


) このパラメータは、CPU ACL Enable チェックボックスをオンにした場合のみ使用できます。


ステップ 5 Apply をクリックして、変更を適用します。

ステップ 6 Save Configuration をクリックして、変更内容を保存します。


 

WLAN へのアクセス コントロール リストの適用

コントローラ GUI を使用して ACL を WLAN に適用する手順は、次のとおりです。


ステップ 1 WLANs をクリックして、WLANs ページにアクセスします。

ステップ 2 必要な WLAN のプロファイル名リンクをクリックして、WLANs > Edit ページにアクセスします。

ステップ 3 Advanced をクリックして、WLANs > Edit (Advanced) ページにアクセスします(図5-28 を参照)。

図5-28 WLANs > Edit (Advanced) ページ

 

ステップ 4 Override Interface ACL ドロップダウン ボックスから、この WLAN に適用する ACL を選択します。選択した ACL は、インターフェイスに設定されたすべての ACL を上書きします。デフォルト値は None です。


) WLAN の設定の詳細は、 WLAN の設定 を参照してください。


ステップ 5 Apply をクリックして、変更を適用します。

ステップ 6 Save Configuration をクリックして、変更内容を保存します。


 

WLAN への事前認証アクセス コントロール リストの適用

コントローラ GUI を使用して事前認証 ACL を WLAN に適用する手順は、次のとおりです。


ステップ 1 WLANs をクリックして、WLANs ページにアクセスします。

ステップ 2 必要な WLAN のプロファイル名リンクをクリックして、WLANs > Edit ページにアクセスします。

ステップ 3 Security タブおよび Layer 3 タブをクリックして、WLANs > Edit(Security > Layer 3)ページにアクセスします(図5-29 を参照)。

図5-29 WLANs > Edit(Security > Layer 3)ページ

 

ステップ 4 Web Policy チェックボックスをオンにします。

ステップ 5 Preauthentication ACL ドロップダウン ボックスから必要な ACL を選択し、 Apply をクリックします。デフォルト値は None です。


) WLAN の設定の詳細は、 WLAN の設定 を参照してください。


ステップ 6 Save Configuration をクリックして、変更を保存します。


 

CLI を使用したアクセス コントロール リストの設定

コントローラ CLI を使用して ACL を設定する手順は、次のとおりです。


ステップ 1 コントローラ上に設定されているすべての ACL を表示するには、次のコマンドを入力します。

show acl summary

ステップ 2 特定の ACL の詳細情報を表示するには、次のコマンドを入力します。

show acl detailed <ACL 名>

ステップ 3 新しい ACL を追加するには、次のコマンドを入力します。

config acl create <ACL 名>

<ACL 名> パラメータには、最大 32 文字の英数字を入力できます。

ステップ 4 ACL に新しいルールを追加するには、次のコマンドを入力します。

config acl rule add <ACL 名> <ルールのインデックス>

ステップ 5 ACL ルールを設定するには、次のコマンドを入力します。

config acl rule {

action <ACL 名> <ルールのインデックス> {permit | deny} |

change index <ACL 名> <古いインデックス> <新しいインデックス>|

destination address <ACL 名> <ルールのインデックス> <IP アドレス> <ネットマスク>|

destination port range <ACL 名> <ルールのインデックス> <開始ポート> <終了ポート>|

direction <ACL 名> <ルールのインデックス> {in | out | any} |

dscp <ACL 名> <ルールのインデックス> <DSCP>|

protocol <ACL 名> <ルールのインデックス> <プロトコル>|

source address <ACL 名> <ルールのインデックス> <IP アドレス> <ネットマスク>|

source port range <ACL 名> <ルールのインデックス> <開始ポート> <終了ポート>|

swap index <ACL 名> <インデックス 1> <インデックス 2>}

ルール パラメータの説明については、「GUI を使用したアクセス コントロール リストの設定」 ステップ 6 を参照してください。

ステップ 6 設定を保存するには、次のコマンドを入力します。

save config


) ACL を削除するには、config acl delete<ACL 名> を入力します。ACL ルールを削除するには、config acl rule delete <ACL 名> <ルールのインデックス> を入力します。



 

CLI を使用したアクセス コントロール リストの適用

コントローラ CLI を使用して ACL を適用する手順は、次のとおりです。


ステップ 1 次のいずれかの操作を行います。

管理インターフェイス、AP マネージャ インターフェイス、または動的インターフェイスに ACL を適用するには、次のコマンドを入力します。

config interface acl {management | ap-manager | <動的インターフェイス名>} <ACL 名>


) インターフェイスに適用されている ACL を表示するには、show interface detailed {management | ap-manager | <動的インターフェイス名>} と入力します。インターフェイスに適用されている ACL を削除するには、config interface acl {management | ap-manager | <動的インターフェイス名>} none と入力します。


コントローラ インターフェイスの設定の詳細は、 ポートとインターフェイスの設定 を参照してください。

ACL をデータ パスに適用するには、次のコマンドを入力します。

config acl apply <ACL 名>

ACL をコントローラに適用して、CPU に到達するトラフィックのタイプ(有線、無線、または両方)を制限するには、次のコマンドを入力します。

config acl cpu <ACL 名> {wired | wireless | both}


) コントローラ CPU に適用されている ACL を表示するには、show acl cpu と入力します。コントローラ CPU に適用されている ACL を削除するには、config acl cpu none と入力します。


ACL を WLAN に適用するには、次のコマンドを入力します。

config wlan acl <WLAN ID> <ACL 名>


) WLAN に適用されている ACL を表示するには、show wlan <WLAN ID> と入力します。WLAN に適用されている ACL を削除するには、config wlan acl <WLAN ID> none と入力します。


事前認証 ACL を WLAN に適用するには、次のコマンドを入力します。

config wlan security web-auth acl <WLAN ID> <ACL 名>

WLAN の設定の詳細は、 WLAN の設定 を参照してください。

ステップ 2 設定を保存するには、次のコマンドを入力します。

save config


 

管理フレーム保護の設定

管理フレーム保護 (MFP) は、アクセス ポイントとクライアント間で送受信される 802.11 管理メッセージを保護および暗号化することにより、セキュリティを提供します。MFP は、インフラストラクチャとクライアント サポートの両方を実現します。コントローラ ソフトウェア リリース 4.0 は、インフラストラクチャ MFP のみをサポートするのに対し、コントローラ ソフトウェア リリース 4.1 は、インフラストラクチャとクライアント MFP の両方をサポートします。

インフラストラクチャ MFP :サービス拒否攻撃を引き起こす、ネットワークにアソシエーションとプローブをあふれさせる、不正アクセス ポイントとして介入する、および QoS と無線測定フレームへの攻撃によりネットワーク パフォーマンスを低下させるような敵対者を検出することにより、管理フレームを保護します。インフラストラクチャ MFP はまた、フィッシング インシデントの効果的かつ迅速な検出/報告手段を提供します。

インフラストラクチャ MFP は特に、アクセス ポイントによって送信され(クライアントによって送信されたのではなく)、次にネットワーク内の他のアクセス ポイントによって検証される管理フレームに、Message Integrity Check Information Element(MIC IE;メッセージ整合性情報要素)を追加することによって、802.11 セッション管理機能を保護します。インフラストラクチャ MFP はパッシブです。侵入を検知し報告しますが、それを止めることはできません。

クライアント MFP :認証されたクライアントをスプーフィング フレームからシールドし、無線 LAN の有効性を損なう多数の共通の攻撃を防止します。認証解除攻撃などのほとんどの攻撃では、有効なクライアントとの競合により簡単にパフォーマンスを劣化させます。

クライアント MFP は特に、アクセス ポイントと CCXv5 クライアント間で送受信される管理フレームを暗号化します。これにより、アクセス ポイントとクライアントの両方で、スプーフィングされたクラス 3 管理フレーム(つまり、アクセス ポイントと認証され関連付けられたクライアント間でやり取りされる管理フレーム)をドロップすることにより、予防措置をとることができますクライアント MFP は、IEEE 802.11i によって定義されたセキュリティ メカニズムを利用し、アソシエーション解除、認証解除、および QoS(WMM)アクションのタイプのクラス 3 ユニキャスト管理フレームを保護します。クライアント MFP は、最も一般的な種類のサービス拒否攻撃から、クライアントとアクセス ポイント間のセッションを保護します。また、セッションのデータ フレームに使用されているのと同じ暗号化方式を使用することにより、クラス 3 管理フレームを保護します。アクセス ポイントまたはクライアントにより受信されたフレームの暗号化解除に失敗すると、そのフレームはドロップされ、イベントがコントローラに報告されます。

クライアント MFP を使用するには、クライアントは CCXv5 MFP をサポートしており、TKIP または AES-CCMP のいずれかを使用して WPA2 をネゴシエートする必要があります。EAP または PSK は、PMK を取得するために使用されます。CCKM およびコントローラのモビリティ管理は、レイヤ 2 およびレイヤ 3 の高速ローミングのために、アクセス ポイント間でセッション キーを分散するのに使用されます。


) ブロードキャスト フレームを使用した攻撃を防ぐため、CCXv5 をサポートするアクセス ポイントでは、ブロードキャスト クラス 3 管理フレーム(アソシエーション解除、認証解除、またはアクションなど)を送信しません。CCXv5 クライアントおよびアクセス ポイントは、ブロードキャスト クラス 3 管理フレームを破棄する必要があります。


インフラストラクチャ MFP は、クライアント MFP 対応でないクライアントに送信された無効なユニキャスト フレームと、無効なクラス 1 およびクラス 2 管理フレームを引き続き検出および報告するため、クライアント MFP は、インフラストラクチャ MFP を置き換えるのではなく、補足するものであると言えます。インフラストラクチャ MFP は、クライアント MFP によって保護されていない管理フレームにのみ適用されます。

インフラストラクチャ MFP は次の 3 つの主要なコンポーネントで構成されます。

管理フレーム保護:アクセス ポイントは送信する管理フレームのそれぞれに、MIC IE を追加することにより、フレームを保護します。フレームのコピー、変更、リプレイが試みられた場合、MICは無効となり、MFP フレームを検出するよう設定された受信アクセス ポイントは不具合を報告します。

管理フレーム検証:インフラストラクチャ MFP において、アクセス ポイントはネットワークの他のアクセス ポイントから受信する管理フレームのそれぞれを検証します。MIC IE が存在しており(送信側が MFP フレームを送信するよう設定されている場合)、管理フレームの中身に一致していることを確認します。MFP フレームを送信するよう設定されているアクセス ポイントに属する BSSID からの有効な MIC IE が含まれていないフレームを受信した場合、不具合をネットワーク管理システムに報告します。タイムスタンプが適切に機能できるように、すべてのコントローラはネットワーク タイム プロトコル(NTP)で同期化されている必要があります。

イベント報告:アクセス ポイントは異常を検出するとコントローラに通知し、コントローラは異常イベントを集計して結果を SNMP トラップを使用して管理システムに報告することができます。


) スタンドアロン モードの Hybrid REAP アクセス ポイントで生成されるエラー レポートは、コントローラに転送することはできず、ドロップされます。



) クライアント MFP は、インフラストラクチャ MFP と同じイベント報告メカニズムを使用します。


インフラストラクチャ MFP は、デフォルトで有効にされ、グローバルに無効化できます。以前のソフトウェア リリースからアップグレードする場合、アクセス ポイント認証が有効になっているときは、これら 2 つの機能は相互に排他的であるため、インフラストラクチャ MFP はグローバルに無効になります。インフラストラクチャ MFP がグローバルに有効化されると、選択した WLAN に対してシグニチャの生成(MIC を送信フレームに追加する)を無効にでき、選択したアクセス ポイントに対して検証を無効にできます。

クライアント MFP は、WPA2 に対して設定された WLAN 上でデフォルトで有効にされています。選択した WLAN 上で、無効にすることも、必須にすることも(この場合 MFP をネゴシエートするクライアントのみがアソシエーションを許可されます)できます。

GUI または CLI のいずれを使用しても MFP を設定することができます。

MFP の使用に関するガイドライン

MFP を使用する際の注意事項は次のとおりです。

MFP は、1500 シリーズ メッシュ アクセス ポイントを除く、Cisco Aironet Lightweight アクセス ポイントでの使用がサポートされています。

Lightweight アクセス ポイントでは、ローカル モードおよび監視モードで、およびアクセス ポイントがコントローラに接続されているときは Hybrid REAP モードで MFP がサポートされます。ローカル モード、Hybrid REAP モード、およびブリッジ モードで、MFP がサポートされます。

クライアント MFP は、TKIP または AES-CCMP で WPA2 を使用する CCXv5 クライアントでの使用のみがサポートされています。

クライアント MFP が無効にされているか、オプションである場合は、非 CCXv5 クライアントは WLAN にアソシエートできます。

GUI を使用した MFP の設定

コントローラ GUI を使用して MFP を設定する手順は、次のとおりです。


ステップ 1 Security > Wireless Protection Policies > AP Authentication/MFP の順にクリックします。AP Authentication Policy ページが表示されます(図5-30 を参照)。

図5-30 AP Authentication Policy ページ

 

ステップ 2 コントローラでインフラストラクチャ MFP をグローバルで有効化するには、Protection Type ドロップダウン ボックスから Management Frame Protection を選択します。

ステップ 3 Apply をクリックして、変更を適用します。


) 複数のコントローラがモビリティ グループに含まれている場合は、インフラストラクチャ MFP に対して設定されているモビリティ グループ内のすべてのコントローラ上で、Network Time Protocol(NTP)サーバを設定する必要があります。


ステップ 4 コントローラで MFP をグローバルで有効化した後、特定の WLAN に対してインフラストラクチャ MFP 保護の無効化や再有効化を行う手順は、次のとおりです。

a. WLANs をクリックします。

b. 必要な WLAN のプロファイル名をクリックします。WLANs > Edit ページが表示されます。

c. Advanced をクリックします。WLANs > Edit (Advanced) ページが表示されます(図5-31 を参照)。

図5-31 WLANs > Edit (Advanced) ページ

 

d. Infrastructure MFP Protection チェックボックスをオフにしてこの WLAN に対して MFP を無効にするか、このチェックボックスをオンにしてこの WLAN に対して MFP を有効にします。デフォルト値は有効(enable)です。グローバル MFP が無効にされている場合、チェックボックスの右側のカッコ内に注意が表示されます。

e. MFP Client Protection ドロップダウン ボックスから、 Disabled Optional 、または Required を選択します。デフォルト値は Optional です。Required を選択した場合、MFP がネゴシエートされている場合(つまり、WPA2 がコントローラ上で設定されており、クライアントが CCXv5 MFP をサポートしていて WPA2 に対して設定されている場合)のみ、クライアントはアソシエーションを許可されます。

f. Apply をクリックして、変更を適用します。

ステップ 5 コントローラでインフラストラクチャ MFP をグローバルで有効化した後、特定のアクセス ポイントに対してインフラストラクチャ MFP 検証の無効化や再有効化を行う手順は、次のとおりです。

a. Wireless > Access Points をクリックして、All APs ページにアクセスします。

b. 目的のアクセス ポイントの名前をクリックします。All APs > Details ページが表示されます。

c. General の下で、MFP Frame Validation チェックボックスをオフにしてこのアクセス ポイントに対して MFP を無効にするか、このチェックボックスをオンにしてこのアクセス ポイントに対して MFP を有効にします。デフォルト値は有効(enable)です。グローバル MFP が無効にされている場合、チェックボックスの右側のカッコ内に注意が表示されます。

d. Apply をクリックして、変更を適用します。

ステップ 6 Save Configuration をクリックして、設定を保存します。


 

GUI を使用した MFP 設定の表示

コントローラ GUI を使用して MFP 設定を表示する手順は、次のとおりです。


ステップ 1 コントローラの現在のグローバル MFP 設定を表示するには、Security > Wireless Protection Policies > Management Frame Protection の順にクリックします。Management Frame Protection Settings ページが表示されます(図5-32 を参照)。

図5-32 Management Frame Protection Settings ページ

 

このページでは、次の MFP 設定が表示されます。

Management Frame Protection フィールドは、インフラストラクチャ MFP がコントローラでグローバルに有効化されているかどうかを示します。

Controller Time Source Valid フィールドは、コントローラ時刻が(時刻を手動で入力することにより)ローカルで設定されているか、外部ソース(NTP サーバなど)を通して設定されているかを示します。時刻が外部ソースにより設定されている場合、このフィールドの値は「True」です。時刻がローカルで設定されている場合、このフィールドの値は「False」です。時刻ソースは、モビリティ グループ内の複数のコントローラのアクセス ポイント間の管理フレーム上のタイムスタンプの検証に使用されます。

Infrastructure Protection フィールドは、インフラストラクチャ MFP が個別の WLAN に対して有効化されているかどうかを示します。

Client Protection フィールドは、クライアント MFP が個別の WLAN に対して有効化されているかどうか、およびオプションであるか必須であるかを示します。

Infrastructure Validation フィールドは、インフラストラクチャ MFP が個別のアクセス ポイントに対して有効化されているかどうかを示します。

ステップ 2 特定のアクセス ポイントの現在の MFP の機能を表示する手順は、次のとおりです。

a. Wireless > Access Points > Radios > 802.11a または 802.11b/g の順にクリックして、802.11a(または 802.11b/g)Radios ページにアクセスします。

b. カーソルを目的のアクセス ポイントの青のドロップダウン矢印の上に置いて、 Configure を選択します。802.11a(または 802.11b/g)Cisco APs > Configure ページが表示されます(図5-33 を参照)。

図5-33 802.11a Cisco APs > Configure ページ

 

Management Frame Protection の下で、このページには MFP の保護と検証のレベルが表示されます。


) ソフトウェア リリース 4.1 を使用してアソシエートするすべてのアクセス ポイントには、完全な MFP 機能があります。



 

CLI を使用した MFP の設定

コントローラ CLI を使用して MFP を設定するには、次のコマンドを使用します。

1. コントローラでインフラストラクチャ MFP をグローバルに有効または無効にするには、次のコマンドを入力します。

config wps mfp infrastructure {enable | disable}

2. WLAN で MFP シグニチャの生成を有効または無効にするには、次のコマンドを入力します。

config wlan mfp infrastructure protection {enable | disable} <WLAN ID>


) シグニチャの生成は、インフラストラクチャ MFP がグローバルに有効にされている場合のみ、アクティブ化されます。


3. アクセス ポイントでインフラストラクチャ MFP 検証を有効または無効にするには、次のコマンドを入力します。

config ap mfp infrastructure validation {enable | disable} <Cisco AP>


) MFP 検証は、インフラストラクチャ MFP がグローバルに有効にされている場合のみ、アクティブ化されます。


4. 特定の WLAN でクライアント MFP シグニチャを有効または無効にするには、次のコマンドを入力します。

config wlan mfp client {enable | disable} <WLAN ID>[ required ]

クライアント MFP を有効にしてオプションの required パラメータを使用すると、MFP がネゴシエートされている場合のみ、クライアントはアソシエーションを許可されます。

CLI を使用した MFP 設定の表示

コントローラ CLI を使用して MFP 設定を表示するには、次のコマンドを使用します。

1. コントローラの現在の無線保護ポリシーの概要(インフラストラクチャ MFP を含む)を表示するには、次のコマンドを入力します。

show wps summary

次のような情報が表示されます。

Client Exclusion Policy
Excessive 802.11-association failures.......... Enabled
Excessive 802.11-authentication failures....... Enabled
Excessive 802.1x-authentication................ Enabled
IP-theft....................................... Enabled
Excessive Web authentication failure........... Enabled
 
Trusted AP Policy
Management Frame Protection.................... Enabled
Mis-configured AP Action....................... Alarm Only
Enforced encryption policy................... none
Enforced preamble policy..................... none
Enforced radio type policy................... none
Validate SSID................................ Disabled
Alert if Trusted AP is missing................. Disabled
Trusted AP timeout............................. 120
 
Untrusted AP Policy
Rogue Location Discovery Protocol.............. Disabled
RLDP Action.................................. Alarm Only
Rogue APs
Rogues AP advertising my SSID................ Alarm
...
 

2. コントローラの現在の MFP 設定を表示するには、次のコマンドを入力します。

show wps mfp summary

次のような情報が表示されます。

Global Infrastructure MFP state.... Enabled
Controller Time Source Valid....... False
 
WLAN Infra. Client
WLAN ID WLAN Name Status Protection Protection
------- ---------- -------- ---------- -----------
1 test1 Enabled Disabled Disabled
2 open Enabled Enabled Required
3 testpsk Enabled *Enabled Optional but inactive (WPA2 not configured)
 
Infra. Operational --Infra. Capability--
AP Name Validation Radio State Protection Validation
-------- ----------- ----- ----------- ----------- -----------
mapAP Disabled a Up Full Full
b/g Up Full Full
rootAP2 Enabled a Up Full Full
b/g Up Full Full
HReap *Enabled b/g Up Full Full
a Down Full Full
 

3. 特定の WLAN の現在の MFP 設定を表示するには、次のコマンドを入力します。

show wlan <WLAN ID>

次のような情報が表示されます。

WLAN Identifier........................... 1
Profile Name.............................. test1
Network Name (SSID)....................... test1
Status.................................... Enabled
MAC Filtering............................. Disabled
Broadcast SSID............................ Enabled
...
Local EAP Authentication.................. Enabled (Profile 'test')
Diagnostics Channel....................... Disabled
Security
 
802.11 Authentication:................. Open System
Static WEP Keys........................ Disabled
802.1X................................. Enabled
Encryption:.............................. 104-bit WEP
Wi-Fi Protected Access (WPA/WPA2)...... Disabled
CKIP .................................. Disabled
IP Security............................ Disabled
IP Security Passthru................... Disabled
Web Based Authentication............... Disabled
Web-Passthrough........................ Disabled
Conditional Web Redirect............... Disabled
Auto Anchor............................ Enabled
Cranite Passthru....................... Disabled
Fortress Passthru...................... Disabled
H-REAP Local Switching................. Disabled
Infrastructure MFP protection.......... Enabled
Client MFP............................. Required
...
 

4. 特定のアクセス ポイントの現在の MFP 設定を表示するには、次のコマンドを入力します。

show ap config general <AP 名>

次のような情報が表示されます。

Cisco AP Identifier.............................. 0
Cisco AP Name.................................... ap:52:c5:c0
AP Regulatory Domain............................. 80211bg: -N 80211a: -N
Switch Port Number .............................. 1
MAC Address...................................... 00:0b:85:52:c5:c0
IP Address Configuration......................... Static IP assigned
IP Address....................................... 10.67.73.33
IP NetMask....................................... 255.255.255.192
...
AP Mode ......................................... Local
Remote AP Debug ................................. Disabled
S/W Version .................................... 4.0.2.0
Boot Version ................................... 2.1.78.0
Mini IOS Version ................................ --
Stats Reporting Period .......................... 180
LED State........................................ Enabled
ILP Pre Standard Switch.......................... Disabled
ILP Power Injector............................... Disabled
Number Of Slots.................................. 2
AP Model......................................... AP1020
AP Serial Number................................. WCN09260057
AP Certificate Type.............................. Manufacture Installed
Management Frame Protection Validation .......... Enabled

5. 特定のクライアントでクライアント MFP が有効にされているかどうかを表示するには、次のコマンドを入力します。

show client detail <クライアントの MAC>

Client MAC Address............................... 00:14:1c:ed:34:72
...
Policy Type...................................... WPA2
Authentication Key Management.................... PSK
Encryption Cipher................................ CCMP (AES)
Management Frame Protection...................... Yes
...

6. コントローラの MFP 統計を表示するには、次のコマンドを入力します。

show wps mfp statistics

次のような情報が表示されます。


) 実際に攻撃が進行中でない限り、このレポートにデータは含まれません。ここに示すさまざまなエラーの種類の例は、図示のみを目的としています。この表は 5 分ごとにクリアされ、データはネットワーク管理ステーションに転送されます。


BSSID Radio Validator AP Last Source Addr Found Error Type Count Frame Types

----------------- ----- ------------- ------------------ ------ ------------ ----- -------

00:0b:85:56:c1:a0 a jamesh-1000b 00:01:02:03:04:05 Infra Invalid MIC 183 Assoc Req
Probe Req
Beacon
Infra Out of seq 4 Assoc Req
Infra Unexpected MIC 85 Reassoc Req

Client Decrypt err 1974 Reassoc Req

Disassoc

Client Replay err 74 Assoc Req

Probe Req

Beacon

Client Invalid ICV 174 Reassoc Req
Disassoc

Client Invalid header 174 Assoc Req
Probe Req
Beacon

Client Brdcst disass 174 Reassoc Req
Disassoc

00:0b:85:56:c1:a0 b/g jamesh-1000b 00:01:02:03:04:05 Infra Out of seq 185 Reassoc Resp

Client Not encrypted 174 Assoc Resp
Probe Resp

CLI を使用した MFP 問題のデバッグ

MFP に関する問題が発生した場合は、次のコマンドを使用します。

debug wps mfp ?{ enable | disable }

? は、次のいずれかです。

client :クライアント MFP メッセージのデバッグを設定します。

lwapp :コントローラとアクセス ポイント間の MFP メッセージのデバッグを設定します。

detail :MFP メッセージの詳細なデバッグを設定します。

report :MFP レポートのデバッグを設定します。

mm:MFP モビリティ(コントローラ間)メッセージのデバッグを設定します。

クライアント除外ポリシーの設定

特定の条件下で、コントロール GUI を使用してクライアントを除外するようにコントローラを設定する手順は、次のとおりです。


ステップ 1 Security > Wireless Protection Policies > Client Exclusion Policies の順にクリックして、Client Exclusion Policies ページにアクセスします。

ステップ 2 指定された条件においてコントローラでクライアントを除外するには、これらのいずれかのチェックボックスをオンにします。各除外ポリシーのデフォルト値は有効(enable)です。

Excessive 802.11 Association Failures :クライアントは、アソシエートしようとして 5 回連続して失敗した後、6 回目の 802.11 アソシエーションの試みで除外されます。

Excessive 802.11 Authentication Failures :クライアントは、認証しようとして 5 回連続して失敗した後、6 回目の 802.11 認証の試みで除外されます。

Excessive 802.1X Authentication Failures :クライアントは、認証しようとして 3 回連続して失敗した後、4 回目の 802.1X 認証の試みで除外されます。

IP Theft or IP Reuse :IP アドレスが他のデバイスにすでに割り当てられている場合、クライアントは除外されます。

Excessive Web Authentication Failures :クライアントは、Web 認証しようとして 3 回連続して失敗した後、4 回目の Web 認証の試みで除外されます。

ステップ 3 Apply をクリックして、変更を適用します。

ステップ 4 Save Configuration をクリックして、変更内容を保存します。


 

ID ネットワーキングの設定

この項では、ID ネットワーキング機能とその設定方法、およびさまざまなセキュリティ ポリシーに対して予想される動作について説明します。

「ID ネットワーキングの概要」

「ID ネットワーキングで使用される RADIUS 属性」

「AAA Override の設定」

ID ネットワーキングの概要

ほとんどの無線 LAN システムの場合、各 WLAN に静的なポリシーがあり、SSID が設定されているすべてのクライアントに適用されます。これは強力な方式ですが、クライアントに複数の Quality Of Service(QoS)およびセキュリティ ポリシーを適用するには、そのクライアントに複数の SSID を設定する必要があるために、限界がありました。

これに対して Cisco Wireless LAN Solution は、ID ネットワーキングをサポートしています。これは、ネットワークが 1 つの SSID をアドバタイズできるようにすると同時に、特定のユーザに対して、ユーザ プロファイルに基づいて異なる QoS またはセキュリティ ポリシーの適用を可能にするものです。ID ネットワーキングを使用して制御できるポリシーには、次のものがあります。

Quality Of Service。RADIUS Access Accept に QoS-Level 値が指定されている場合、WLAN プロファイルで指定された QoS 値を上書きします。

ACL。RADIUS Access Accept に ACL 属性が指定されている場合、認証が行われた後にクライアント ステーションに ACL-Name が適用されます。これにより、そのインターフェイスに割り当てられている ACL がすべて上書きされます。

VLAN。VLAN Interface-Name または VLAN-Tag が RADIUS Access Accept に存在する場合は、クライアントが特定のインターフェイス上に配置されます。


) VLAN 機能は、MAC フィルタリング、802.1X、および WPA のみをサポートします。Web 認証または IPSec はサポートしません。


トンネル属性。


) この項で後述する他の RADIUS 属性(QoS-Level、ACL-Name、Interface-Name、または VLAN-Tag)のいずれかを返す場合、トンネル属性も返す必要があります。


オペレーティング システムのローカル MAC フィルタ データベースは、インターフェイス名を含むように拡張され、ローカル MAC フィルタで、クライアントが割り当てられるインターフェイスを指定できるようになりました。別の RADIUS サーバも使用できますが、その RADIUS サーバは Security メニューを使用して定義する必要があります。

ID ネットワーキングで使用される RADIUS 属性

この項では、ID ネットワーキングで使用される RADIUS 属性について説明します。

QoS-Level

この属性は、スイッチング ファブリック内および空間経由のモバイル クライアントのトラフィックに適用される Quality of Service レベルを示します。この例は、QoS-Level 属性フォーマットの要約を示しています。フィールドは左から右に伝送されます。

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Vendor-Id (cont.) | Vendor type | Vendor length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| QoS Level |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 

Type - 26(Vendor-Specific)

Length - 10

Vendor-Id - 14179

Vendor type - 2

Vendor length - 4

Value - 3 オクテット:

0 - Bronze(バックグラウンド)

1 - Silver(ベストエフォート)

2 - Gold(ビデオ)

3 - Platinum(音声)

ACL-Name

この属性は、クライアントに適用される ACL 名を示します。ACL-Name 属性形式の要約を次に示します。フィールドは左から右に伝送されます。

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Vendor-Id (cont.) | Vendor type | Vendor length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ACL Name...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
 

Type - 26(Vendor-Specific)

Length - >7

Vendor-Id - 14179

Vendor type - 6

Vendor length - >0

Value - クライアントに対して使用する ACL の名前を含む文字列

Interface-Name

この属性は、クライアントが関連付けられる VLAN インターフェイスを示します。Interface-Name 属性形式の要約を次に示します。フィールドは左から右に伝送されます。

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Vendor-Id (cont.) | Vendor type | Vendor length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Interface Name...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
 

Type - 26(Vendor-Specific)

Length - >7

Vendor-Id - 14179

Vendor type - 5

Vendor length - >0

Value - クライアントが割り当てられるインターフェイスの名前を含む文字列


) この属性は、MAC フィルタリングが有効になっている場合、またはセキュリティ ポリシーとして 802.1X または WPA が使用されている場合にのみ機能します。


VLAN-Tag

この属性は、特定のトンネル セッションのグループ ID を示し、Tunnel-Private-Group-ID 属性とも呼ばれます。

この属性は、トンネルの発信側が、特定の接続からグループを事前に判別できる場合は Access-Request パケットに含めることができ、このトンネル セッションを特定のプライベート グループに属するものとして処理する場合は Access-Accept パケットに含める必要があります。プライベート グループは、トンネル セッションを特定のユーザのグループと関連付けるために使用できます。たとえば、未登録の IP アドレスが特定のインターフェイスを通過するようにするルーティングを容易にするために使用できます。Start と Stop のいずれかの値を持つ Acct-Status-Type 属性を含み、かつトンネル セッションに関連する Accounting-Request パケットには、プライベート グループを含める必要があります。

Tunnel-Private-Group-ID 属性形式の要約を次に示します。フィールドは左から右に伝送されます。

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Tag | String...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Type - 81(Tunnel-Private-Group-ID 用)

Length - >= 3

Tag - Tag フィールドの長さは 1 オクテットで、同じパケット内の、同じトンネルを示す属性をグループ化するために使用します。Tag フィールドの値が 0x00 より大きく、0x1F 以下である場合、(いくつかの選択肢のうちの)この属性が属するトンネルを示すと解釈されます。Tag フィールドが 0x1F より大きい場合、後続の String フィールドの最初のバイトとして解釈されます。

String - このフィールドは必須です。グループはこの String フィールドによって表されます。グループ ID の形式に制約はありません。

トンネル属性


) この項の他の RADIUS 属性(QoS-Level、ACL-Name、Interface-Name、または VLAN-Tag)のいずれかを返す場合、トンネル属性も返す必要があります。


RFC2868 では、認証と認可に使用される RADIUS トンネル属性が定義されています。RFC2867 では、アカウンティングに使用されるトンネル属性が定義されています。IEEE 802.1X Authenticator がトンネリングをサポートしている場合は、認証の結果としてサプリカントに対して強制的なトンネルをセットアップできます。

これは、特に、認証の結果に基づいて IEEE8021Q で定義されている特定のバーチャル LAN(VLAN)にポートを配置できるようにする場合に適しています。たとえば、これを使用すると、無線ホストが大学のネットワーク内で移動するときに同じ VLAN 上にとどまれるようになります。

RADIUS サーバは、一般的に、Access-Accept 内にトンネル属性を含めることによって目的の VLAN を示します。ただし、IEEE 802.1X Authenticator も、Access- Request 内にトンネル属性を含めることによってサプリカントに割り当てる VLAN に関するヒントを提供できます。

VLAN 割り当てのために、次のトンネル属性が使用されます。

Tunnel-Type=VLAN(13)

Tunnel-Medium-Type=802

Tunnel-Private-Group-ID=VLANID

VLANID は 12 ビットであり、1 ~ 4094(両端の値を含む)の値をとることに注意してください。Tunnel-Private-Group-ID は、RFC2868 で定義されているように String 型なので、IEEE 802.1X で使用するために VLANID 整数値は文字列としてエンコードされます。

トンネル属性が送信されるときは、Tag フィールドに値が含まれている必要があります。RFC2868 の第 3.1 項には次のように明記されています。

この Tag フィールドは長さが 1 オクテットであり、同じパケット内で同じトンネルを示す属性をグループ化する方法を提供することを目的としています。このフィールドの有効な値は、0x01 ~ 0x1F(両端の値を含む)です。この Tag フィールドが使用されない場合は、ゼロ(0x00)である必要があります。

Tunnel-Client-Endpoint、Tunnel-Server-Endpoint、Tunnel-Private-Group-ID、Tunnel-Assignment-ID、Tunnel-Client-Auth-ID、または Tunnel-Server-Auth-ID 属性(ただし Tunnel-Type、
Tunnel-Medium-Type、Tunnel-Password、Tunnel-Preference は含まない)で使用する場合、0x1F より大きい Tag フィールドは、次のフィールドの最初のオクテットと解釈されます。

代替トンネル タイプが提供されない場合(たとえば、トンネリングはサポートしているが VLAN はサポートしていない IEEE 802.1X Authenticator の場合)、トンネル属性に必要なのは 1 つのトンネルを指定することのみです。したがって、VLANID を指定することのみが目的の場合、すべてのトンネル属性の Tag フィールドをゼロ(0x00)に設定する必要があります。代替トンネル タイプが提供される場合、0x01 ~ 0x1F の値を指定する必要があります。

AAA Override の設定

WLAN の Allow AAA Override オプションを使用すると、WLAN で ID ネットワーキングを設定できます。これにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、QoS、および ACL を適用できます。

AAA Override を許可する設定の多くは、RADIUS サーバで実行されます。RADIUS サーバでは、コントローラに返すようにする上書きプロパティで、Access Control Server(ACS)を設定する必要があります。

コントローラでは、GUI または CLI を使用して、Allow AAA Override 設定パラメータを有効にするだけです。このパラメータを有効にすることにより、コントローラで RADIUS サーバから返される属性を受け入れるようになります。次にコントローラはそれらの属性をクライアントに適用します。

正しい QoS 値を取得するための RADIUS サーバ ディクショナリ ファイルの更新

Steel-Belted RADIUS(SBR)、 FreeRadius、または同等の RADIUS サーバを使用している場合、AAA オーバーライド機能を有効化した後、クライアントが正しい QoS 値を取得できないことがあります。ディクショナリ ファイルの編集を可能にするこれらのサーバについて、正しい QoS 値(銀 = 0、金 = 1、プラチナ = 2、銅 = 3)を反映させてファイルを更新する必要があります。そのための手順は、次のとおりです。


) この問題は、Cisco Secure Access Control Server(ACS)には適用されません。



ステップ 1 SBR サービス(または他の RADIUS サービス)を停止します。

ステップ 2 次のテキストを、ciscowlan.dct として Radius_Install_Directory\Service フォルダに保存します。

################################################################################
# CiscoWLAN.dct- Cisco Wireless Lan Controllers
#
# (See README.DCT for more details on the format of this file)
################################################################################
 
# Dictionary - Cisco WLAN Controllers
#
# Start with the standard Radius specification attributes
#
@radius.dct
#
# Standard attributes supported by Airespace
#
# Define additional vendor specific attributes (VSAs)
#
 
MACRO Airespace-VSA(t,s) 26 [vid=14179 type1=%t% len1=+2 data=%s%]
 
ATTRIBUTE WLAN-Id Airespace-VSA(1, integer) cr
ATTRIBUTE Aire-QoS-Level Airespace-VSA(2, integer) r
VALUE Aire-QoS-Level Bronze 3
VALUE Aire-QoS-Level Silver 0
VALUE Aire-QoS-Level Gold 1
VALUE Aire-QoS-Level Platinum 2
 
ATTRIBUTE DSCP Airespace-VSA(3, integer) r
ATTRIBUTE 802.1P-Tag Airespace-VSA(4, integer) r
ATTRIBUTE Interface-Name Airespace-VSA(5, string) r
ATTRIBUTE ACL-Name Airespace-VSA(6, string) r
 
# This should be last.
 
################################################################################
# CiscoWLAN.dct - Cisco WLC dictionary
##############################################################################

ステップ 3 dictiona.dcm ファイルを(同じでディレクトリに)開いて、行「@ciscowlan.dct.」を追加します。

ステップ 4 dictiona.dcm ファイルを保存して閉じます。

ステップ 5 vendor.ini ファイルを(同じでディレクトリに)開いて、次のテキストを追加します。

vendor-product = Cisco WLAN Controller
dictionary = ciscowlan
ignore-ports = no
port-number-usage = per-port-type
help-id =

ステップ 6 vendor.ini ファイルを保存して閉じます。

ステップ 7 SBR サービス(または他の RADIUS サービス)を起動します。

ステップ 8 SBR アドミニストレータ(または他の RADIUS アドミニストレータ)を起動します。

ステップ 9 RADIUS クライアントを追加します(まだ追加されていない場合)。Make/Model ドロップダウン ボックスから Cisco WLAN Controller を選択します。


 

GUI を使用した AAA Override の設定

コントローラ GUI を使用して AAA Override を設定する手順は、次のとおりです。


ステップ 1 WLANs をクリックして、WLANs ページにアクセスします。

ステップ 2 設定する WLAN のプロファイル名をクリックします。WLANs > Edit ページが表示されます。

ステップ 3 Advanced をクリックして、WLANs > Edit (Advanced) ページにアクセスします(図5-34 を参照)。

図5-34 WLANs > Edit (Advanced) ページ

 

ステップ 4 AAA Override の検証を有効にする場合は Allow AAA Override チェックボックスをオンにします。この機能を無効にする場合は、オフにします。デフォルト値は無効(disable)です。

ステップ 5 Apply をクリックして、変更を適用します。

ステップ 6 Save Configuration をクリックして、変更を保存します。


 

CLI を使用した AAA Override の設定

コントローラ CLI を使用して AAA Override を有効または無効にするには、次のコマンドを使用します。

config wlan aaa-override {enable | disable} <WLAN ID>

<WLAN ID> には、1 ~ 16 の ID を入力します。

IDS の設定

Cisco Intrusion Detection System/Intrusion Prevention System(CIDS/IPS;侵入検知システム/侵入防御システム)は、特定のクライアントに関わる攻撃がレイヤ 3 ~ レイヤ 7 で検出されたとき、これらクライアントによる無線ネットワークへのアクセスをブロックするよう、コントローラに指示します。このシステムは、ワーム、スパイウェア/アドウェア、ネットワーク ウィルス、およびアプリケーションの不正使用などの脅威の検出、分類、阻止を支援することにより、強力なネットワーク保護を提供します。IDS 攻撃を検出するには 2 つの方法があります。

IDS センサー。次の項を参照してください。

IDS シグニチャ。IDS シグニチャの設定 を参照してください。

IDS センサーの設定

ネットワークのさまざまなタイプの IP レベル攻撃を検出するように、IDS センサーを設定することができます。センサーで攻撃が特定されたら、違反クライアントを回避するよう、コントローラに警告することができます。新しく IDS センサーを追加したときは、コントローラをその IDS センサーに登録し、回避クライアントのリストをセンサーから取得できるようにします。IDS センサー登録 は、GUI または CLI のいずれかを使用して設定できます。

GUI を使用した IDS センサーの設定

コントローラ GUI を使用して IDS センサーを設定する手順は、次のとおりです。


ステップ 1 Security > CIDs > Sensors の順にクリックして、CIDS Sensors List ページにアクセスします(図5-35 を参照)。

図5-35 CIDS Sensors List ページ

 

このページでは、このコントローラに設定されたすべての IDS センサーが表示されます。


) 既存のセンサーを削除するには、そのセンサーの青いドロップダウンの矢印の上にカーソルを置いて、Remove を選択します。


ステップ 2 IDS センサーをリストに追加するには、New をクリックします。CIDS Sensors Add ページが表示されます(図5-36 を参照)。

図5-36 CIDS Sensors Add ページ

 

ステップ 3 コントローラでは最大 5 つの IPS センサーをサポートします。Index ドロップダウン ボックスから、数字(1 ~ 5)を選択してコントローラが IPS センサーを検索する順序を決定します。たとえば、1 を選択した場合には、コントローラは最初にこの IPS センサーを検索します。

ステップ 4 Server Address フィールドに、IDS サーバの IP アドレスを入力します。

ステップ 5 Port フィールドには、コントローラが IDS センサーとの通信に使用する HTTPS ポートの数が設定されます。センサーはデフォルトで 443 を使用して通信するので、このパラメータを 443 に設定することをお勧めします。

デフォルト: 443

範囲: 1 ~ 65535

ステップ 6 Username フィールドで、コントローラが IDS センサーの認証に使用するユーザ名を入力します。


) このユーザ名は IDS センサーに設定されており、少なくとも読み取り専用権限を持っている必要があります。


ステップ 7 Password フィールドと Confirm Password フィールドに、コントローラが IDS センサーの認証に使用するパスワードを入力します。

ステップ 8 Query Interval フィールドに、コントローラが IDS イベントについて IDS センサーを検索する間隔(秒)を入力します。

デフォルト: 60 秒

範囲:10 ~ 3600 秒

ステップ 9 State チェックボックスをオンにしてコントローラをこの IDS センサーに登録するか、このチェックボックスをオフにして登録を解除します。デフォルト値は無効(disable)です。

ステップ 10 Fingerprint フィールドに、40 桁の 16 進数文字のセキュリティ キーを入力します。このキーは、センサーの有効性の確認、およびセキュリティ攻撃の防止に使用されます。


) キー内に 2 バイト間隔で現れるコロン(:)を含めないようにしてください。たとえば、AA:BB:CC:DD の代わりに、AABBCCDD と入力します。


ステップ 11 Apply をクリックします。CIDS Sensors List ページのセンサーのリストに新しい IDS センサーが表示されます。

ステップ 12 Save Configuration をクリックして、変更内容を保存します。


 

CLI を使用した IDS センサーの設定

コントローラ CLI を使用して IDS センサーを設定する手順は、次のとおりです。


ステップ 1 IDS センサーを追加するには、次のコマンドを入力します。

config wps cids-sensor add <インデックス> <IDS IP アドレス> <ユーザ名> <パスワード>

index パラメータは、コントローラが IPS センサーを検索する順序を決定します。コントローラでは最大 5 つの IPS センサーをサポートします。数字(1 ~ 5)を選択してこのセンサーの優先順位を決定します。たとえば、1 を入力した場合には、コントローラは最初にこの IPS センサーを検索します。


) ユーザ名は IDS センサーに設定されており、少なくとも読み取り専用権限を持っている必要があります。


ステップ 2 (オプション)コントローラが IDS センサーとの通信に使用する HTTPS ポートの数を指定するには、このコマンドを入力します。

config wps cids-sensor port <インデックス> <ポート番号>

<ポート番号> パラメータには、1 ~ 65535 の値を入力することができます。デフォルト値は 443 です。この手順はオプションであり、デフォルト値の 443 の使用をお勧めします。センサーはデフォルトでこの値を使用して通信します。

ステップ 3 コントローラが IDS イベントについて IDS センサーを検索する間隔を指定するには、次のコマンドを入力します。

config wps cids-sensor interval <インデックス> <間隔>

<間隔> パラメータには、10 ~ 3600 の値を入力することができます。デフォルト値は 60 秒です。

ステップ 4 センサーの有効性の確認に使用する 40 桁の 16 進数文字のセキュリティ キーを入力するには、このコマンドを入力します。

config wps cids-sensor fingerprint <インデックス> sha1 <フィンガープリント>

センサーのコンソール上で、show tls fingerprint を入力することにより、フィンガープリントの値を取得できます。


) キー内にコロン(:)が 2 バイト間隔で現れるようにしてください(たとえば、AA:BB:CC:DD)。


ステップ 5 このコントローラの IDS センサーへの登録を有効化または無効化するには、次のコマンドを入力します。

config wps cids-sensor {enable | disable} <インデックス>

ステップ 6 設定を保存するには、次のコマンドを入力します。

save config

ステップ 7 IDS センサー設定を表示するには、次のコマンドの 1 つを入力します。

show wps cids-sensor summary

show wps cids-sensor detail <インデックス>

2 つ目のコマンドは、1 つ目のコマンドよりも詳細な情報を提供します。

ステップ 8 IDS センサー設定に関連したデバッグ情報を取得するには、次のコマンドを入力します。

debug wps cids enable


) センサーの設定を削除または変更するには、まず、config wps cids-sensor disable <インデックス> を入力して設定を無効化する必要があります。その後、センサーを削除するには、config wps cids-sensor delete <インデックス> と入力します。



 

回避クライアントの表示

IDS センサーは疑わしいクライアントを検出すると、コントローラにこのクライアントを回避するよう警告します。回避エントリは、同じモビリティ グループ内のすべてのコントローラに配信されます。回避すべきクライアントが現在、このモビリティ グループ内のコントローラに接続されている場合、アンカー コントローラはこのクライアントを動的除外リストに追加し、外部コントローラはクライアントを切り離します。次回、このクライアントがコントローラに接続を試みた場合、アンカー コントローラはハンドオフを拒否し、外部コントローラにクライアントを除外することを通知します。モビリティ グループの詳細は、 モビリティ グループの設定 を参照してください。

GUI または CLI により、IDS センサーが回避すべきと特定したクライアントのリストを表示できます。

GUI を使用した 回避クライアントの表示

コントローラ GUI を使用して、IDS センサーが回避すべきと特定したクライアントのリストを表示する手順は、次のとおりです。


ステップ 1 Security > CIDS > Shunned Clients の順にクリックします。CIDS Shun List ページが表示されます(図5-37 を参照)。

図5-37 CIDS Shun List ページ

 

このページには、回避クライアントそれぞれの IP アドレスと MAC アドレス、IDS センサーの依頼によってコントローラがクライアントのデータ パケットをブロックする期間、およびクライアントを発見した IDS センサーの IP アドレスが表示されます。

ステップ 2 必要に応じてリストを削除、リセットするには、Re-sync をクリックします。


 

CLI を使用した 回避クライアントの表示

コントローラ CLI を使用して、IDS センサーが回避すべきと特定したクライアントのリストを表示する手順は、次のとおりです。


ステップ 1 回避すべきクライアントのリストを表示するには、次のコマンドを入力します。

show wps shun-list

ステップ 2 コントローラに対し、このモビリティ グループ内の他のコントローラの回避リストと同期をとるよう強制するには、次のコマンドを入力します。

config wps shun-list re-sync


 

IDS シグニチャの設定

コントローラ上で、IDS シグニチャ、すなわち、受信 802.11 パケットのさまざまなタイプを特定するのに使用するビット パターンのマッチング ルールを設定することができます。シグニチャが有効化されると、コントローラに接続されたアクセス ポイントでは、受信した 802.11 データまたは管理フレーム上でシグニチャ分析が行われ、整合性がない場合はコントローラに報告されます。

コントローラ上にはデフォルトで標準シグニチャ ファイルが存在します。このシグニチャ ファイルをコントローラからアップロードすることも、カスタム シグニチャ ファイルを作成してコントローラにダウンロードすることも、または標準シグニチャ ファイルを修正してカスタム シグニチャ ファイルを作成することもできます。シグニチャは、GUI または CLI のいずれかを使用して設定できます。

GUI を使用した IDS シグニチャの設定

コントローラ GUI を使用してシグニチャを設定する手順は、次のとおりです。

IDS シグニチャのアップロードまたはダウンロード。GUI を使用した IDS シグニチャのアップロードまたはダウンロード

IDS シグニチャの有効化または無効化。GUI を使用した IDS シグニチャの有効化または無効化

IDS シグニチャ イベントの表示。GUI を使用した IDS シグニチャ イベントの表示

GUI を使用した IDS シグニチャのアップロードまたはダウンロード

コントローラ GUI を使用して IDS シグニチャをアップロードまたはダウンロードする手順は、次のとおりです。


ステップ 1 必要に応じて、独自のカスタム シグニチャ ファイルを作成します。

ステップ 2 Trivial File Transfer Protocol(TFTP)サーバが使用可能であることを確認します。TFTP サーバをセットアップする際の注意事項は次のとおりです。

サービス ポート経由でダウンロードする場合、サービス ポートはルーティングできないため、TFTP サーバはサービス ポートと同じサブネット上になければなりません。

ディストリビューション システム ネットワーク ポートを経由してダウンロードする場合、ディストリビューション システム ポートはルーティング可能なので、TFTP サーバは同じサブネット上にあっても、別のサブネット上にあってもかまいません。

サードパーティの TFTP サーバと WCS 内蔵型 TFTP サーバは同じ通信ポートを使用するため、サードパーティの TFTP サーバは Cisco WCS と同じコンピュータ上で実行できません。

ステップ 3 カスタム シグニチャ ファイル(*.sig)をダウンロードする場合は、ファイルを TFTP サーバ上のデフォルト ディレクトリに移動します。

ステップ 4 Commands をクリックして、Download File to Controller ページにアクセスします(図5-38 を参照)。

図5-38 Download File to Controller ページ

 

ステップ 5 次のいずれかの操作を行います。

カスタム シグニチャ ファイルをコントローラにダウンロードする場合は、Download File to Controller ページの File Type ドロップダウン ボックスから Signature File を選択します。

標準シグニチャ ファイルをコントローラからアップロードする場合は、Upload File from Controller ページで Upload File をクリックしてから、File Type ドロップダウン ボックスから Signature File を選択します。

ステップ 6 IP Address フィールドに、TFTP サーバの IP アドレスを入力します。

ステップ 7 シグニチャ ファイルをダウンロードする場合は、Maximum Retries フィールドにコントローラによるシグニチャ ファイルのダウンロードの最大試行回数を入力します。

範囲: 1 ~ 254

デフォルト: 10

ステップ 8 シグニチャ ファイルをダウンロードする場合は、Timeout フィールドにシグニチャ ファイルのダウンロードの際にコントローラがタイムアウトするまでの時間(秒)を入力します。

範囲:1 ~ 254 秒

デフォルト: 6 秒

ステップ 9 File Path フィールドに、ダウンロードまたはアップロードするシグニチャ ファイルのパスを入力します。デフォルト値は「/」です。

ステップ 10 File Name フィールドに、ダウンロードまたはアップロードするシグニチャ ファイルの名前を入力します。


) シグニチャのアップロード時、標準シグニチャ ファイルとカスタム シグニチャ ファイルの両方を TFTP サーバにアップロードするため、コントローラはユーザが指定した基本名に「_std.sig」および「_custom.sig」を追加したファイル名を使用します。たとえば、「ids1」という名のシグニチャ ファイルをアップロードする場合、コントローラは自動的に ids1_std.sig と ids1_custom.sig を生成して、両方を TFTP サーバにアップロードします。必要に応じてその後、TFTP サーバ上で ids1_custom.sig を変更して(必ず「Revision = custom」を設定してください)、ダウンロードすることもできます。


ステップ 11 Download をクリックしてシグニチャ ファイルをコントローラにダウンロードするか、Upload をクリックしてシグニチャ ファイルをコントローラからアップロードします。


 

GUI を使用した IDS シグニチャの有効化または無効化

コントローラ GUI を使用して IDS シグニチャを有効化または無効化する手順は、次のとおりです。


ステップ 1 Security > Wireless Protection Policies > Standard Signatures または Custom Signatures の順にクリックします。Standard Signatures ページ(図5-39 を参照)、またはCustom Signatures ページが表示されます。

図5-39 Standard Signatures ページ

 

Standard Signatures ページには、現在コントローラ上に存在する Cisco 提供のシグニチャのリストが表示されます。Custom Signatures ページには、現在コントローラ上に存在する、ユーザ提供のシグニチャのリストが表示されます。このページには、各シグニチャについて次の情報が表示されます。

コントローラがシグニチャ チェックをする順序、または優先順位。

シグニチャ名。シグニチャが検出しようとする攻撃タイプを明示するもの。

シグニチャがセキュリティ攻撃を検出するフレーム タイプ。フレーム タイプとしては、データおよび管理があります。

シグニチャが攻撃を検出したとき、コントローラが行うべき処理。処理としては、None と Report があります。

シグニチャの状態。セキュリティ攻撃を検出するために、シグニチャが有効化されているかどうかを示すもの。

シグニチャが検出しようとする攻撃のタイプの説明。

ステップ 2 次のいずれかの操作を行います。

すべてのシグニチャ(標準およびカスタムの両方)の個別の状態を Enabled に設定して有効化しておく場合には、Standard Signatures ページまたは Custom Signatures ページの上部の Enable Check for All Standard and Custom Signatures チェックボックスをオンにします。デフォルト値は、有効になっています(オンになっています)。シグニチャが有効化されると、コントローラに接続されたアクセス ポイントでは、受信した 802.11 データまたは管理フレーム上でシグニチャ分析が行われ、整合性がない場合はコントローラに報告されます。

コントローラ上のすべてのシグニチャ(標準およびカスタムの両方)を無効化しておく場合には、Enable Check for All Standard and Custom Signatures チェックボックスをオフにします。このチェックボックスをオフにすると、たとえ個別のシグニチャの状態が Enabled に設定されている場合でも、すべてのシグニチャが無効になります。

ステップ 3 Apply をクリックして、変更を適用します。

ステップ 4 個別のシグニチャを有効化または無効化するには、そのシグニチャの優先順位番号をクリックします。 The Signature > Detail ページが表示されます(図5-40 を参照)。

図5-40 Signature > Detail ページ

 

このページには、Standard Signatures ページおよび Custom Signatures ページとほぼ同じ情報が表示されますが、次のような詳細も提供します。

測定間隔。コントローラがシグニチャしきい値カウンタをリセットするまでに経過するべき時間(秒)。

アクセス ポイントがシグニチャ分析をして結果をコントローラに報告するのに使用する追跡方法。次の値が設定可能です。

Per Signature:シグニチャ分析とパターン マッチングは、シグニチャ別およびチャネル別ベースに追跡、報告されます。

Per MAC:シグニチャ分析とパターン マッチングは、チャネル別ベースの個別のクライアント MAC アドレスについて個別に追跡、報告されます。

Per Signature and MAC:シグニチャ分析とパターン マッチングは、シグニチャ別/チャネル別ベース、およびMAC アドレス別/チャネル別ベースの双方で追跡、報告されます。

シグニチャ頻度。攻撃が検出される前に個別のアクセス ポイント レベルで特定されるべき 1 秒当たりのマッチング パケットの数。

シグニチャ MAC 頻度。攻撃が検出される前に個別のアクセス ポイントでクライアント別に特定されるべき 1 秒当たりのマッチング パケットの数。

静穏時間。個別アクセス ポイントで攻撃が検出されない状態でこの時間(秒)が経過すると、アラームを停止することができます。

セキュリティ攻撃の検出に使用されるパターン。

ステップ 5 State チェックボックスをオンにしてこのシグニチャを有効化してセキュリティ攻撃を検出するか、これをオフにしてこのシグニチャを無効化します。デフォルト値は、有効になっています(オンになっています)。

ステップ 6 Apply をクリックして、変更を適用します。Standard Signatures または Custom Signatures ページに、シグニチャの更新された状態が反映されます。

ステップ 7 Save Configuration をクリックして、変更を保存します。


 

GUI を使用した IDS シグニチャ イベントの表示

コントローラ GUI を使用してシグニチャ イベントを表示する手順は、次のとおりです。


ステップ 1 Security > Wireless Protection Policies > Signature Events Summary の順にクリックします。Signature Events Summary ページが表示されます(図5-41 を参照)。

図5-41 Signature Events Summary ページ

 

このページには有効化されたシグニチャによって検出された攻撃の数が表示されます。

ステップ 2 特定のシグニチャによって検出された攻撃の詳細を表示するには、そのシグニチャのシグニチャ タイプのリンクをクリックします。Signature Events Detail ページが表示されます(図5-42 を参照)。

図5-42 Signature Events Detail ページ

 

このページには、次の情報が表示されます。

攻撃者として特定されたクライアントの MAC アドレス

アクセス ポイントが攻撃の追跡に使用する方法

攻撃が検出されるまでに特定された 1 秒当たりのマッチング パケットの数

攻撃が検出されたチャネル上のアクセス ポイント数

アクセス ポイントが攻撃を検出した日時

ステップ 3 特定の攻撃の詳細を表示するには、その攻撃の Detail リンクをクリックします。Signature Events Track Detail ページが表示されます(図5-43 を参照)。

図5-43 Signature Events Track Detail ページ

 

このページには、次の情報が表示されます。

攻撃を検出したアクセス ポイントの MAC アドレス

攻撃を検出したアクセス ポイントの名前

アクセス ポイントが攻撃の検出に使用した無線のタイプ(802.11a または 802.11b/g)

攻撃が検出された無線チャネル

アクセス ポイントが攻撃を報告した日時


 

CLI を使用した IDS シグニチャの設定

コントローラ CLI を使用して IDS シグニチャを設定する手順は、次のとおりです。


ステップ 1 必要に応じて、独自のカスタム シグニチャ ファイルを作成します。

ステップ 2 TFTP サーバが使用可能であることを確認します。「GUI を使用した IDS シグニチャのアップロードまたはダウンロード」ステップ 2 にある TFTP サーバのセットアップのガイドラインを参照してください。

ステップ 3 カスタム シグニチャ ファイル(*.sig)を TFTP サーバ上のデフォルト ディレクトリに移動します。

ステップ 4 ダウンロード モードまたはアップロード モードを指定するには、 transfer {download | upload} mode tftp と入力します。

ステップ 5 ダウンロードまたはアップロードするファイルのタイプを指定するには、transfer {download | upload} datatype signature と入力します。

ステップ 6 TFTP サーバの IP アドレスを指定するには、 transfer {download | upload} serverip <TFTP サーバの IP アドレス> と入力します。


) TFTP サーバによっては、TFTP サーバ IP アドレスにスラッシュ(/)を入力するだけで、自動的に適切なディレクトリへのパスが判別されるものもあります。


ステップ 7 ダウンロードまたはアップロードのパスを指定するには、 transfer {download | upload} path <ファイルの絶対 TFTP サーバ パス> と入力します。

ステップ 8 ダウンロードまたはアップロードするファイルを指定するには、 transfer {download | upload} filename filename.sig と入力します。


) シグニチャのアップロード時、標準シグニチャ ファイルとカスタム シグニチャ ファイルの両方を TFTP サーバにアップロードするため、コントローラはユーザが指定した基本名に「_std.sig」および「_custom.sig」を追加したファイル名を使用します。たとえば、「ids1」という名のシグニチャ ファイルをアップロードする場合、コントローラは自動的に ids1_std.sig と ids1_custom.sig を生成して、両方を TFTP サーバにアップロードします。必要に応じてその後、TFTP サーバ上で ids1_custom.sig を変更して(必ず「Revision = custom」を設定してください)、ダウンロードすることもできます。


ステップ 9 transfer {download | upload} start と入力し、プロンプトに y と応答して現在の設定を確認し、ダウンロードまたはアップロードを開始します。

ステップ 10 個別のシグニチャを有効または無効にするには、次のコマンドを入力します。

config wps signature {standard | custom} state <優先順位番号> {enable | disable}

ステップ 11 変更を保存するには、次のコマンドを入力します。

save config


 

CLI を使用した IDS シグニチャ イベントの表示

コントローラ CLI を使用してシグニチャ イベントを表示するには、次のコマンドを使用します。

1. コントローラ上にインストールされているすべての標準シグニチャとカスタム シグニチャを表示するには、次のコマンドを入力します。

show wps signature summary

2. 有効化されたシグニチャによって検出された攻撃の数を表示するには、次のコマンドを入力します。

show wps signature events summary

次のような情報が表示されます。

Precedence Signature Name Type No. Events
---------- ------------------ ----- -----------
1 Bcast deauth Standard 2
2 NULL probe resp 1 Standard 1

3. 特定の標準シグニチャまたはカスタム シグニチャによって検出された攻撃の詳細を表示するには、次のコマンドを入力します。

show wps signature events {standard | custom} <優先順位番号> summary

次のような情報が表示されます。

Precedence....................................... 1
Signature Name................................... Bcast deauth
Type............................................. Standard
Number of active events....................... 2
Source MAC Addr Track Method Frequency No. APs Last Heard
----------------- ------------ --------- -------- ------------------------
00:01:02:03:04:01 Per Signature 4 3 Tue Dec 6 00:17:44 2005
00:01:02:03:04:01 Per Mac 6 2 Tue Dec 6 00:30:04 2005

4. アクセス ポイントによってシグニチャ別/チャネル別ベースで追跡される攻撃の詳細を表示するには、次のコマンドを入力します。

show wps signature events {standard | custom} <優先順位番号> detailed per-signature <ソース MAC>

5. アクセス ポイントによって個別クライアント ベース(MAC アドレス)で追跡される攻撃の詳細を表示するには、次のコマンドを入力します。

show wps signature events {standard | custom} <優先順位番号> detailed per-mac <ソース MAC>

次のような情報が表示されます。

Source MAC....................................... 00:01:02:03:04:01
Precedence....................................... 1
Signature Name................................... Bcast deauth
Type............................................. Standard
Track............................................ Per Mac
Frequency........................................ 6
Reported By
AP 1
MAC Address.............................. 00:0b:85:01:4d:80
Name..................................... Test_AP_1
Radio Type............................... 802.11bg
Channel.................................. 4
Last reported by this AP................. Tue Dec 6 00:17:49 2005
AP 2
MAC Address.............................. 00:0b:85:26:91:52
Name..................................... Test_AP_2
Radio Type............................... 802.11bg
Channel.................................. 6
Last reported by this AP.................Tue Dec 6 00:30:04 2005

AES キー ラップの設定

GUI または CLI を使用して、AES キー ラップを使用するようコントローラを設定できます。これにより、コントローラと RADIUS サーバ間の共有秘密の安全性を高めることができます。AES キー ラップは、Federal Information Processing Standards (FIPS) 顧客のために設計されており、キー ラップ準拠の RADIUS 認証サーバを必要とします。

GUI を使用した AES キー ラップの設定

GUI を使用して AES キー ラップを使用するようコントローラを設定する手順は、次のとおりです。


ステップ 1 Security > AAA > RADIUS > Authentication の順にクリックして、RADIUS Authentication Servers ページにアクセスします(図5-44 を参照)。

図5-44 RADIUS Authentication Servers ページ

 

ステップ 2 AES キー ラップ保護を使用して RADIUS からコントローラへのキーの転送を有効にするには、 Use AES Key Wrap チェックボックスをオンにします。デフォルトではオフになっています。

ステップ 3 Apply をクリックして、変更を適用します。

ステップ 4 特定の RADIUS サーバに AES キー ラップ キーを定義する手順は、次のとおりです。

a. New をクリックして新しい RADIUS 認証サーバを設定するか、または既存の RADIUS サーバの Server Index 番号をクリックします。

b. Key Wrap チェックボックスをオンにします(図5-45 を参照)。

図5-45 RADIUS Authentication Servers > New ページ

 

c. Key Wrap Format ドロップダウン ボックスから ASCII または Hex を選択し、Key Encryption Key (KEK) または Message Authentication Code Key (MACK) のどちらかの AES キー ラップ キーの形式を指定します。

d. Key Encryption Key (KEK) フィールドに、16 バイトの KEK を入力します。

e. Message Authentication Code Key (MACK) フィールドに、20 バイトの MACK を入力します。

f. Apply をクリックして、変更を適用します。

ステップ 5 Save Configuration をクリックして、変更を保存します。


 

CLI を使用した AES キー ラップの設定

CLI を使用して AES キー ラップを使用するようコントローラを設定する手順は、次のとおりです。


ステップ 1 AES キー ラップ属性の使用を有効または無効にするには、次のコマンドを入力します。

config radius auth keywrap {enable | disable}

ステップ 2 AES キー ラップ属性を設定するには、次のコマンドを入力します。

config radius auth keywrap add { ascii | hex } <インデックス>

<index> 属性は、AES キー ラップを設定する RADIUS 認証サーバのインデックスを指定します。


 

最大ローカル データベース エントリの設定

コントローラ GUI または CLI を使用して、ユーザ認証情報を格納するために使用する最大ローカル データベース エントリを指定できます。データベース内の情報は、コントローラの Web 認証機能と連携して使用されます。

GUI を使用した最大ローカル データベース エントリの設定

GUI を使用して最大ローカル データベース エントリを使用するようコントローラを設定する手順は、次のとおりです。


ステップ 1 Security > AAA > General の順にクリックして、General ページにアクセスします(図5-46 を参照)。

図5-46 General ページ

 

ステップ 2 Maximum Local Database Entries フィールドに、必要な最大値(次回のコントローラのリブート時の)を入力します可能な値の範囲は 512 ~ 2048 です(これには任意の設定された MAC フィルタ エントリも含まれます)。デフォルト値は 2048 です。現在の値がフィールドの右側のカッコ内に表示されます。

ステップ 3 Apply をクリックして、変更を適用します。

ステップ 4 Save Configuration をクリックして、設定内容を保存します。


 

GUI を使用したローカル データベース エントリの最大数の指定

CLI を使用して、ローカル データベース エントリの最大数を設定するには、次のコマンドを入力します。

config database size <最大エントリ>