Cisco ワイヤレス LAN コントローラ構成ガイド リリース 8.1
Static WEP と Dynamic WEP の両方をサポートする WLAN の設定
Static WEP と Dynamic WEP の両方をサポートする WLAN の設定

Static WEP と Dynamic WEP の両方をサポートする WLAN の設定

Static および Dynamic WEP の設定に関する制約事項

  • OEAP 600 シリーズはクライアントの高速ローミングをサポートしません。 デュアル モードの音声クライアントは、OEAP602 アクセス ポイントの 2 つのスペクトラム間をローミングするときに、コール品質が低下します。 1 帯域だけで接続するために、音声デバイスを 2.4 GHz または 5.0 GHz 設定することを推奨します。

  • コントローラ ソフトウェアは、CCX バージョン 1 ~ 5 をサポートします。 CCX サポートは、コントローラ上の各 WLAN について自動的に有効となり、無効にできません。 コントローラは、クライアント データベースにクライアントの CCX バージョンを格納し、これを使用してクライアントの機能を制限します。 CCKM を使用するには、クライアントで CCXv4 または v5 をサポートする必要があります。 CCX の詳細については、「Cisco Client Extensions の設定」の項を参照してください。

  • 複数の VLAN クライアントが WGB でサポートされる統合アーキテクチャでは、WEP 暗号化が WGB で有効である場合、暗号化の暗号スイートおよび WEP キーをグローバルに設定する必要があります。 設定しない場合、有線 VLAN クライアントのマルチキャスト トラフィックが失敗します。

Static WEP と Dynamic WEP の両方をサポートする WLAN について

Static WEP キーをサポートする WLAN は 4 つまで設定できます。また、これらすべての Static WEP WLAN に Dynamic WEP も設定できます。 Static WEP と Dynamic WEP を両方サポートする WLAN を設定する際の留意事項は次のとおりです。

  • Static WEP キーおよび Dynamic WEP キーは、同じ長さである必要があります。

  • Static WEP と Dynamic WEP の両方をレイヤ 2 セキュリティ ポリシーとして設定する場合は、他のセキュリティ ポリシーを指定できません。 つまり、Web 認証を設定できません。 ただし、Static WEP と Dynamic WEP のいずれかをレイヤ 2 セキュリティ ポリシーとして設定する場合は、Web 認証を設定できます。

WPA1 と WPA2

Wi-Fi 保護アクセス(WPA または WPA1)および WPA2 は、無線 LAN システム用のデータ保護とアクセス コントロールを提供する Wi-Fi Alliance の規格ベースのセキュリティ ソリューションです。 WPA1 は、IEEE 802.11i 規格に準拠していますが、規格の承認前に実装されたものです。これに対して、WPA2 は、承認された IEEE 802.11i 規格が Wi-Fi Alliance によって実装されています。

WPA1 のデフォルトでは、データの保護に Temporal Key Integrity Protocol(TKIP)および Message Integrity Check(MIC)が使用されますが、WPA2 では Counter Mode with Cipher Block Chaining Message Authentication Code Protocol を使用したより強力な Advanced Encryption Standard 暗号化アルゴリズム(AES-CCMP)が使用されます。 WPA1 および WPA2 のデフォルトでは、両方とも 802.1X を使用して認証キー管理を行います。 ただし、次のオプションも使用できます。

  • 802.1X:IEEE によって定義された無線 LAN セキュリティの規格。802.1X for 802.11、または単に 802.1X と呼ばれます。 802.1X をサポートするアクセス ポイントは、無線ネットワークを介して通信を行う相手となるワイヤレス クライアントおよび認証サーバ(RADIUS サーバなど)との間のインターフェイスとして機能します。 [802.1X] が選択されている場合は、802.1X クライアントのみがサポートされます。

  • PSK:PSK(WPA 事前共有キーまたは WPA パスフレーズとも呼ばれます)を選択した場合は、事前共有キー(またはパスフレーズ)を設定する必要があります。 このキーは、クライアントと認証サーバの間で Pairwise Master Key(PMK; ペアワイズ マスター キー)として使用されます。

  • CCKM:Cisco Centralized Key Management(CCKM)では、迅速なキーの再生成技術を使用しています。この技術を使用すると、クライアントは、通常 150 ミリ秒(ms)以下で、コントローラを経由せずにあるアクセス ポイントから別のアクセス ポイントにローミングできます。 CCKM により、クライアントが新しいアクセス ポイントと相互に認証を行い、再アソシエーション時に新しいセッション キーを取得するために必要な時間が短縮されます。 CCKM の迅速かつ安全なローミングでは、無線 VoIP、Enterprise Resource Planning(ERP)、Citrix ベースのソリューションなどの時間依存型のアプリケーションにおいて、認識できるほどの遅延は発生しません。 CCKM は、CCXv4 に準拠する機能です。 CCKM が選択されている場合は、CCKM クライアントのみがサポートされます。

    CCKM を有効にすると、アクセス ポイントの動作は、高速ローミングのコントローラと次の点で異なります。

    • クライアントから送信されるアソシエーション要求の Robust Secure Network Information Element(RSN IE)で CCKM が有効になっているものの、CCKM IE がエンコードされておらず、PMKID だけが RSN IE でエンコードされている場合、コントローラは完全な認証を行いません。 代わりに、コントローラは PMKID を検証し、フォーウェイ ハンドシェイクをします。

    • クライアントから送信されるアソシエーション要求の RSN IE で CCKM が有効になっているものの、CCKM IE がエンコードされておらず、PMKID だけが RSN IE でエンコードされている場合でも、AP は完全な認証を行います。 CCKM が RSN IE で有効になっている場合、このアクセス ポイントではアソシエーション要求と一緒に送信される PMKID は使用されません。

  • 802.1X+CCKM:通常の動作状態の間、802.1X が有効になっているクライアントは、主要な RADIUS サーバとの通信を含む完全な 802.1X 認証を実行することにより、新しいアクセス ポイントとの相互認証を行います。 ただし、802.1X および CCKM の迅速で安全なローミング用に WLAN を設定した場合、CCKM が有効になっているクライアントは、RADIUS サーバに対して再認証せずに、あるアクセス ポイントから別のアクセス ポイントに安全にローミングを行います。 このオプションが選択されている場合、CCKM クライアントと非 CCKM クライアントの両方がサポートされるため、802.1X+CCKM はオプションの CCKM と見なされます。

単一の WLAN では、WPA1、WPA2、および 802.1X/PSK/CCKM/802.1X+CCKM のクライアントに接続を許可できます。 このような WLAN のアクセス ポイントはいずれも、ビーコンとプローブ応答で WPA1、WPA2、および 802.1X/PSK/CCKM/ 802.1X+CCKM 情報要素をアドバタイズします。 WPA1 または WPA2、あるいは両方を有効にした場合は、データ トラフィックを保護するために設計された 1 つまたは 2 つの暗号方式(暗号化アルゴリズム)を有効にすることもできます。 具体的には、WPA1 または WPA2、あるいはその両方に対して、AES または TKIP、またはその両方を有効にすることができます。 TKIP は WPA1 のデフォルト値で、AES は WPA2 のデフォルト値です。

WPA1 +WPA2 の設定

WPA1+WPA2 の設定(GUI)


    ステップ 1   [WLANs] を選択して、[WLANs] ページを開きます。
    ステップ 2   必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。
    ステップ 3   [Security] タブおよび [Layer 2] タブを選択して、[WLANs > Edit]([Security] > [Layer 2])ページを開きます。
    ステップ 4   [Layer 2 Security] ドロップダウン リストから [WPA+WPA2] を選択します。
    ステップ 5   [WPA+WPA2 Parameters] で、[WPA Policy] チェックボックスをオンにして WPA1 を有効にするか、[WPA2 Policy] チェックボックスをオンにして WPA2 を有効にするか、または両方のチェックボックスをオンにして WPA1 と WPA2 を両方とも有効にします。
    (注)     

    WPA1 および WPA2 のデフォルト値は、両方とも無効になっています。 WPA1 と WPA2 を両方とも無効のままにすると、アクセス ポイントは、ステップ 7 で選択する認証キー管理方式に対してのみ情報要素をビーコンおよびプローブ応答でアドバタイズします。

    ステップ 6   AES データ暗号化を有効にするには [WPA2 Policy-AES] チェックボックスをオンにしますWPA1 および WPA2 のデフォルト値は、それぞれ TKIP および AES です。
    (注)     

    Wi-Fi Alliance(WFA)のガイダンスによれば、WPA/TKIP はセカンダリ インターフェイス(CLI)上でしか設定できません。 以前に保存した TKIP 設定はすべてアップグレード時に保存されるため、CLI で表示できます。 これにより、WPA/TKIP のみをサポートする Wi-Fi クライアントを使用しているお客様が、AES をサポートするデバイスへの移行を計画することができます。

    ステップ 7   [Auth Key Mgmt] ドロップダウン リストから、[802.1X]、[CCKM]、[PSK]、または [802.1X+CCKM] のいずれかのキー管理方式を選択します。
    (注)     

    Cisco の OEAP 600 では、CCKM はサポートされていません。 802.1X または PSK を選択する必要があります。

    (注)     

    Cisco OEAP 600 の場合、TKIP および AES セキュリティ暗号化の設定は、WPA と WPA2 で同一であることが必要です。

    ステップ 8   ステップ 7 で [PSK] を選択した場合は、[PSK Format] ドロップダウン リストから [ASCII] または [HEX] を選択し、空のテキスト ボックスに事前共有キーを入力します。 WPA の事前共有キーには、8 ~ 63 文字の ASCII テキスト、または 64 桁の 16 進数文字が含まれている必要があります。
    (注)      PSK パラメータは、設定専用パラメータです。 PSK キーに設定された値は、セキュリティ上の理由からユーザには表示されません。 たとえば、PSK キーを設定するときに、キー形式として [HEX] を選択した場合に、あとでこの WLAN のパラメータを表示すると、表示される値はデフォルト値になります。 デフォルトは ASCII です。
    ステップ 9   [Apply] をクリックして、変更を確定します。
    ステップ 10   [Save Configuration] をクリックして、変更を保存します。

    WPA1+WPA2 の設定(CLI)


      ステップ 1   次のコマンドを入力して、WLAN を無効にします。

      config wlan disablewlan_id

      ステップ 2   次のコマンドを入力して、WLAN の WPA を有効または無効にします。

      config wlan security wpa {enable | disable} wlan_id

      ステップ 3   次のコマンドを入力して、WLAN の WPA1 を有効または無効にします。

      config wlan security wpa wpa1 {enable | disable} wlan_id

      ステップ 4   WLAN の WPA2 を有効または無効にするには、次のコマンドを入力します。

      config wlan security wpa wpa2 {enable | disable} wlan_id

      ステップ 5   WPA1 または WPA2 に対して AES または TKIP データ暗号化を有効または無効にするには、次のコマンドを入力します。
      • config wlan security wpa wpa1 ciphers {aes | tkip} {enable | disable} wlan_id

      • config wlan security wpa wpa2 ciphers {aes | tkip} {enable | disable} wlan_id

      WPA1 および WPA2 のデフォルト値は、それぞれ TKIP および AES です。

      (注)      リリース 8.0 から、スタンドアロン暗号化方式として TKIP を設定できなくなりました。 TKIP は、AES 暗号化方式でのみ使用できます。

      WGB に VLAN 設定がある場合、encryption vlan 80 mode ciphers tkip など、特定の VLAN に対して暗号化モードとキーを設定する必要があります。 次に、コマンド encryption mode ciphers tkip を入力して、マルチキャスト インターフェイスに暗号化モードをグローバルに設定する必要があります。

      ステップ 6   802.1X、PSK、または CCKM 認証キー管理を有効または無効にするには、次のコマンドを入力します。

      config wlan securitywpa akm{802.1X | psk | cckm} {enable | disable} wlan_id

      デフォルト値は 802.1X です。

      ステップ 7   ステップ 6 で PSK を有効にした場合は、次のコマンドを入力して事前共有キーを指定します。

      config wlan security wpa akm psk set-key {ascii | hex} psk-keywlan_id

      WPA の事前共有キーには、8 ~ 63 文字の ASCII テキスト、または 64 桁の 16 進数文字が含まれている必要があります。

      ステップ 8   高速移行に対して認証キー管理スイートを有効または無効にするには、次のコマンドを入力します。

      config wlan security wpa akm ft {802.1X | psk} {enable | disable} wlan_id

      (注)      AKM スイートとして PSK または高速移行 PSK を選択できます。
      ステップ 9   AP とクライアント間のグループの一時的キー(GTK)のランダム化を有効または無効にするには、次のコマンドを入力します。

      config wlan security wpa gtk-random {enable | disable} wlan_id

      ステップ 10   802.1X 認証キー管理で WPA2、または CCKM 認証キー管理で WPA1 または WPA2 を有効にした場合、必要に応じて、PMK キャッシュ ライフタイム タイマーを使用して、クライアントでの再認証をトリガーします。 タイマーは、AAA サーバから受信したタイムアウト値または WLAN のセッション タイムアウト設定に基づきます。 タイマーが切れるまでに残されている時間を確認するには、次のコマンドを入力します。

      show pmk-cacheall

      802.1X 認証キー管理で WPA2 を有効にした場合、コントローラは opportunistic PMKID キャッシュと sticky(non-opportunistic)PMKID キャッシュの両方をサポートします。 sticky PMKID キャッシュ(SKC)で、クライアントは、アソシエートする AP ごとに異なる、複数の PMKID を保存します。 opportunistic PMKID キャッシュ(OKC)は、クライアントあたり 1 つの PMKID だけを保存します。 デフォルトで、コントローラは OKC をサポートします。

      ステップ 11   WLAN を有効にするには、次のコマンドを入力します。

      config wlan enable wlan_id

      ステップ 12   次のコマンドを入力して、設定を保存します。

      save config