Cisco ワイヤレス LAN コントローラ コマンド リファレンス リリース 7.4(統合版)
CLI コマンド
CLI コマンド
発行日;2013/05/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

CLI コマンド

Cisco ワイヤレス LAN ソリューション コマンドライン インターフェイス(CLI)を使用して、ASCII コンソールを Cisco ワイヤレス LAN コントローラに接続し、コントローラおよびアソシエートされているアクセス ポイントを設定できます。

show コマンド

ここでは、コントローラのセキュリティ設定に関する情報を表示する show コマンドを示します。

show 802.11

802.11a、802.11b/g、または 802.11h の基本的なネットワーク設定を表示するには、show 802.11 コマンドを使用します。

show 802.11{ a | b | h}

構文の説明

a

802.11a ネットワークを指定します。

b

802.11b/g ネットワークを指定します。

h

802.11h ネットワークを指定します。

コマンド デフォルト

なし。

次に、802.11a の基本的なネットワーク設定を表示する例を示します。


>  show 802.11a
802.11a Network.................................. Enabled
11nSupport....................................... Enabled
      802.11a Low Band........................... Enabled
      802.11a Mid Band........................... Enabled
      802.11a High Band.......................... Enabled
802.11a Operational Rates
    802.11a 6M Rate.............................. Mandatory
    802.11a 9M Rate.............................. Supported
    802.11a 12M Rate............................. Mandatory
    802.11a 18M Rate............................. Supported
    802.11a 24M Rate............................. Mandatory
    802.11a 36M Rate............................. Supported
    802.11a 48M Rate............................. Supported
    802.11a 54M Rate............................. Supported
802.11n MCS Settings:
    MCS 0........................................ Supported
    MCS 1........................................ Supported
    MCS 2........................................ Supported
    MCS 3........................................ Supported
    MCS 4........................................ Supported
    MCS 5........................................ Supported
    MCS 6........................................ Supported
    MCS 7........................................ Supported
    MCS 8........................................ Supported
    MCS 9........................................ Supported
    MCS 10....................................... Supported
    MCS 11....................................... Supported
    MCS 12....................................... Supported
    MCS 13....................................... Supported
    MCS 14....................................... Supported
    MCS 15....................................... Supported
802.11n Status:
    A-MPDU Tx:
        Priority 0............................... Enabled
        Priority 1............................... Disabled
        Priority 2............................... Disabled
        Priority 3............................... Disabled
        Priority 4............................... Disabled
        Priority 5............................... Disabled
        Priority 6............................... Disabled
        Priority 7............................... Disabled
Beacon Interval.................................. 100
CF Pollable mandatory............................ Disabled
CF Poll Request mandatory........................ Disabled
--More-- or (q)uit
CFP Period....................................... 4
CFP Maximum Duration............................. 60
Default Channel.................................. 36
Default Tx Power Level........................... 0
DTPC Status..................................... Enabled
Fragmentation Threshold.......................... 2346
TI Threshold..................................... -50
Legacy Tx Beamforming setting.................... Disabled
Traffic Stream Metrics Status.................... Enabled
Expedited BW Request Status...................... Disabled
World Mode....................................... Enabled
EDCA profile type................................ default-wmm
Voice MAC optimization status.................... Disabled
Call Admission Control (CAC) configuration
Voice AC:
   Voice AC - Admission control (ACM)............ Disabled
   Voice max RF bandwidth........................ 75
   Voice reserved roaming bandwidth.............. 6
   Voice load-based CAC mode..................... Disabled
   Voice tspec inactivity timeout................ Disabled
   Voice Stream-Size............................. 84000
   Voice Max-Streams............................. 2
Video AC:
   Video AC - Admission control (ACM)............ Disabled
   Video max RF bandwidth........................ Infinite
   Video reserved roaming bandwidth.............. 0

次に、802.11h の基本的なネットワーク設定を表示する例を示します。


>  show 802.11h
802.11h ......................................... powerconstraint : 0
802.11h ......................................... channelswitch : Disable
802.11h ......................................... channelswitch mode : 0

関連コマンド

show ap stats

show ap summary

show client summary

show network

show network summary

show port

show wlan

show aaa auth

Authentication, Authorization and Accounting(AAA;. 認証、許可、アカウンティング)認証サーバのデータベースの設定を表示するには、show aaa auth コマンドを使用します。

show aaa auth

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、AAA 認証サーバのデータベースの設定を表示する例を示します。


> show aaa auth 
Management authentication server order:
    1............................................ local
    2............................................ tacacs

関連コマンド

config aaa auth

config aaa auth mgmt

show acl

コントローラに設定されているアクセス コントロール リスト(ACL)を表示するには、show acl コマンドを使用します。

show acl { summary | detailed acl_name}

構文の説明

summary

コントローラに設定されているすべての ACL の要約を表示します。

detailed

特定の ACL の詳細情報を表示します。

acl_name

ACL 名です。 名前には 32 文字以内の英数字を使用できます。

コマンド デフォルト

なし。

次に、アクセス コントロール リストのサマリーを表示する例を示します。


> show acl summary

ACL Counter Status              Disabled
----------------------------------------
IPv4 ACL Name                    Applied
-------------------------------- -------
acl1                         Yes
acl2                         Yes
acl3                         Yes
----------------------------------------
IPv6 ACL Name                    Applied
-------------------------------- -------
acl6                          No

次に、アクセス コントロール リストの詳細情報を表示する例を示します。


> show acl detailed acl_name
      Source             Destination        Source Port Dest Port
I Dir IP Address/Netmask IP Address/Netmask Prot   Range    Range     DSCP Action Counter
- --- ------------------ ------------------ ---- --------- --------- ----- ------ -------
1 Any 0.0.0.0/0.0.0.0    0.0.0.0/0.0.0.0    Any  0-65535   0-65535    0    Deny         0
2 In  0.0.0.0/0.0.0.0    200.200.200.0/     6      80-80   0-65535    Any  Permit       0
                         255.255.255.0
DenyCounter :     0

(注)  


パケットが ACL ルールと一致するたびに、Counter フィールドの値が増加します。また、DenyCounter フィールドの値は、パケットがルールのいずれとも一致しない場合に増加します。


関連コマンド

clear acl counters

config acl apply

config acl counter

config acl cpu

config acl create

config acl delete

config interface acl

config acl rule

show acl cpu

show acl cpu

Central Processing Unit(CPU; 中央処理装置)に設定されているアクセス コントロール リスト(ACL)を表示するには、show acl cpu コマンドを使用します。

show acl cpu

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、CPU のアクセス コントロール リストを表示する例を示します。


> show acl cpu 
CPU Acl Name................................
Wireless Traffic............................ Disabled
Wired Traffic............................... Disabled
Applied to NPU.............................. No

関連コマンド

clear acl counters

config acl apply

config acl counter

config acl cpu

config acl create

config acl delete

config interface acl

config acl rule

show acl

show advanced eap

Extensible Authentication Protocol(EAP; 拡張認証プロトコル)設定を表示するには、show advanced eap コマンドを使用します。

show advanced eap

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、EAP 設定を表示する例を示します。


> show advanced eap
EAP-Identity-Request Timeout (seconds)........... 1
EAP-Identity-Request Max Retries................. 20
EAP Key-Index for Dynamic WEP.................... 0
EAP Max-Login Ignore Identity Response........... enable
EAP-Request Timeout (seconds).................... 1
EAP-Request Max Retries.......................... 20
EAPOL-Key Timeout (milliseconds)................. 1000
EAPOL-Key Max Retries............................ 2

関連コマンド

config advanced eap

config advanced timers eap-identity-request-delay

config advanced timers eap-timeout

show database summary

データベースの最大エントリ数を表示するには、show database summary コマンドを使用します。

show database summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、ローカル データベースの設定の要約を表示する例を示します。


> show database summary
Maximum Database Entries......................... 2048
Maximum Database Entries On Next Reboot.......... 2048
Database Contents
    MAC Filter Entries........................... 2
    Exclusion List Entries....................... 0
    AP Authorization List Entries................ 1
    Management Users............................. 1
    Local Network Users.......................... 1
        Local Users.............................. 1
        Guest Users.............................. 0
    Total..................................... 5

関連コマンド

config database size

show exclusionlist

この Cisco ワイヤレス LAN コントローラにアソシエートされている、手動除外リスト(ブラックリスト)上のすべてのクライアントのサマリーを表示するには、show exclusionlist コマンドを使用します。

show exclusionlist

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

使用上のガイドライン

このコマンドは、手動で除外されたすべての MAC アドレスを表示します。

次に、除外リストを表示する例を示します。


> show exclusionlist
No manually disabled clients.
Dynamically Disabled Clients
----------------------------
  MAC Address             Exclusion Reason        Time Remaining (in secs)
  -----------             ----------------        ------------------------
00:40:96:b4:82:55         802.1X Failure          	51

関連コマンド

config exclusionlist

show ike

アクティブな Internet Key Exchange(IKE; インターネット キー交換)Security Association(SA; セキュリティ アソシエーション)を表示するには、show ike コマンドを使用します。

show ike { brief | detailed} IP_or_MAC_address

構文の説明

brief

すべてのアクティブな IKE SA の簡単なサマリーを表示します。

detailed

すべてのアクティブな IKE SA の詳細なサマリーを表示します。

IP_or_MAC_address

アクティブな IKE SA の IP または MAC アドレス。

コマンド デフォルト

なし。

次に、アクティブなインターネット キー交換セキュリティ アソシエーションを表示する例を示します。


> show ike brief 209.165.200.254

show IPsec

アクティブなインターネット プロトコル セキュリティ(IPSec)セキュリティ アソシエーション(SA)を表示するには、show IPsec コマンドを使用します。

show IPsec { brief | detailed} IP_or_MAC_address

構文の説明

brief

アクティブな IPSec SA の簡単なサマリーを表示します。

detailed

アクティブな IPSec SA の詳細なサマリーを表示します。

IP_or_MAC_address

デバイスの IP アドレスまたは MAC アドレス。

コマンド デフォルト

なし。

次に、実行中のインターネット プロトコル セキュリティ(IPSec)セキュリティ アソシエーション(SA)に関する簡単な情報を表示する例を示します。


> show IPsec brief 209.165.200.254

関連コマンド

config radius acct ipsec authentication

config radius acct ipsec disable

config radius acct ipsec enable

config radius acct ipsec encryption

config radius auth IPsec encryption

config radius auth IPsec authentication

config radius auth IPsec disable

config radius auth IPsec encryption

config radius auth IPsec ike

config trapflags IPsec

config wlan security IPsec disable

config wlan security IPsec enable

config wlan security IPsec authentication

config wlan security IPsec encryption

config wlan security IPsec config

config wlan security IPsec ike authentication

config wlan security IPsec ike dh-group

config wlan security IPsec ike lifetime

config wlan security IPsec ike phase1

config wlan security IPsec ike contivity

show ipv6 acl

コントローラに設定されている IPv6 アクセス コントロール リスト(ACL)を表示するには、show ipv6 acl コマンドを使用します。

show ipv6 acl detailed { acl_name | summary}

構文の説明

acl_name

IPv6 ACL の名前。 名前には 32 文字以内の英数字を使用できます。

detailed

特定の ACL の詳細情報を表示します。

コマンド デフォルト

なし。

次に、アクセス コントロール リストの詳細情報を表示する例を示します。


> show ipv6 acl detailed acl6
Rule Index....................................... 1
Direction........................................ Any
IPv6 source prefix............................... ::/0
IPv6 destination prefix.......................... ::/0
Protocol......................................... Any
Source Port Range................................ 0-65535
Destination Port Range........................... 0-65535
DSCP............................................. Any
Flow label....................................... 0
Action........................................... Permit
Counter.......................................... 0
Deny Counter................................... 0

関連コマンド

config ipv6 acl

show ipv6 summary

IPv6 設定を表示するには、show ipv6 summary コマンドを使用します。

show ipv6 summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、IPv6 設定を表示する例を示します。


> show ipv6 summary 
Global Config............................... Enabled
Reachable-lifetime value.................... 300
Stale-lifetime value........................ 86400
Down-lifetime value......................... 86400
RA Throttling............................... Enabled
RA Throttling allow at-least................ 1
RA Throttling allow at-most................. no-limit
RA Throttling max-through................... no-limit
RA Throttling throttle-period............... 60
RA Throttling interval-option............... throttle
NS Mulitcast CacheMiss Forwarding........... Disabled

関連コマンド

show ipv6 acl

show l2tp

レイヤ 2 トンネリング プロトコル(L2TP)セッションを表示するには、show l2tp コマンドを使用します。

show l2tp { summary | ip_address}

構文の説明

summary

すべての L2TP セッションを表示します。

ip_address

IP アドレス。

コマンド デフォルト

なし。

次に、すべての L2TP セッションのサマリーを表示する例を示します。


> show l2tp summary
LAC_IPaddr LTid LSid RTid RSid ATid ASid State
---------- ---- ---- ---- ---- ---- ---- -----

show ldap

特定の Lightweight Directory Access Protocol(LDAP)サーバの LDAP サーバ情報を表示するには、show ldap コマンドを使用します。

show ldap index

index

LDAP サーバ インデックス。 有効な値は、1 ~ 17 です。

コマンド デフォルト

なし。

次に、LDAP サーバの詳細情報を表示する例を示します。


> show ldap 1
Server Index..................................... 1
Address.......................................... 2.3.1.4
Port............................................. 389
Enabled.......................................... Yes
User DN.......................................... name1
User Attribute................................... attr1
User Type........................................ username1
Retransmit Timeout............................... 3 seconds
Bind Method ..................................... Anonymous

関連コマンド

config ldap

config ldap add

config ldap simple-bind

show ldap statistics

show ldap summary

show ldap statistics

すべての Lightweight Directory Access Protocol(LDAP)サーバ情報を表示するには、show ldap statistics コマンドを使用します。

show ldap statistics

構文の説明

このコマンドには引数またはキーワードはありません。

次に、LDAP サーバの統計情報を表示する例を示します。


> show ldap statistics
Server Index..................................... 1
Server statistics:
  Initialized OK................................. 0
  Initialization failed.......................... 0
  Initialization retries......................... 0
  Closed OK...................................... 0
Request statistics:
  Received....................................... 0
  Sent........................................... 0
  OK............................................. 0
  Success........................................ 0
  Authentication failed.......................... 0
  Server not found............................... 0
  No received attributes......................... 0
  No passed username............................. 0
  Not connected to server........................ 0
  Internal error................................. 0
  Retries........................................ 0
Server Index..................................... 2
...

関連コマンド

config ldap

config ldap add

config ldap simple-bind

show ldap

show ldap summary

show ldap summary

現在の LDAP サーバのステータスを表示するには、show ldap summary コマンドを使用します。

show ldap summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、設定済みの LDAP サーバのサマリーを表示する例を示します。


> show ldap summary 
Idx  Server Address   Port  Enabled
---  ---------------  ----  -------
1    2.3.1.4          389   Yes
2    10.10.20.22      389   Yes

関連コマンド

config ldap

config ldap add

config ldap simple-bind

show ldap statistics

show ldap

show local-auth certificates

ローカル認証の証明書情報を表示するには、show local-auth certificates コマンドを使用します。

show local-auth certificates

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、ローカルに保存された認証の証明書情報を表示する例を示します。


> show local-auth certificates
Certificates available for Local EAP authentication:
Certificate issuer .............................. vendor
CA certificate:
Subject: C=AU, ST=NSW, L=Sydney, O=Cisco Systems
OU=WNBU Sydney, CN=wnbu-syd-acs-a.cisco.com
Issuer: C=AU, ST=NSW, L=Sydney, O=Cisco Systems
OU=WNBU Sydney, CN=wnbu-syd-acs-a.cisco.com
Valid: 2005 Jun 15th, 04:53:49 GMT to 2008 Jun 15th, 05:03:34 GMT
Device certificate:
Subject: MAILTO=test@test.net, C=AU, ST=NSW, L=Sydney
O=Cisco Systems, OU=WNBU Sydney, CN=concannon
Issuer: C=AU, ST=NSW, L=Sydney, O=Cisco Systems
OU=WNBU Sydney, CN=wnbu-syd-acs-a.cisco.com
Valid: 2006 Aug 9th, 05:14:16 GMT to 2007 Aug 9th, 05:24:16 GMT

Certificate issuer .............................. cisco
CA certificate:
Subject: C=US, ST=California, L=San Jose, O=airespace Inc
OU=none, CN=ca, MAILTO=support@airespace.com
Issuer: C=US, ST=California, L=San Jose, O=airespace Inc
OU=none, CN=ca, MAILTO=support@airespace.com
Valid: 2003 Feb 12th, 23:38:55 GMT to 2012 Nov 11th, 23:38:55 GMT
Device certificate:
Subject: C=US, ST=California, L=San Jose, O=airespace Inc
CN=000b85335340, MAILTO=support@airespace.com
Issuer: C=US, ST=California, L=San Jose, O=airespace Inc
OU=none, CN=ca, MAILTO=support@airespace.com
Valid: 2005 Feb 22nd, 10:52:58 GMT to 2014 Nov 22nd, 10:52:58 GMT

Certificate issuer .............................. legacy
CA certificate:
Subject: C=US, ST=California, L=San Jose, O=airespace Inc
OU=none, CN=ca, MAILTO=support@airespace.com
Issuer: C=US, ST=California, L=San Jose, O=airespace Inc
OU=none, CN=ca, MAILTO=support@airespace.com
Valid: 2003 Feb 12th, 23:38:55 GMT to 2012 Nov 11th, 23:38:55 GMT
Device certificate:
Subject: C=US, ST=California, L=San Jose, O=airespace Inc
CN=000b85335340, MAILTO=support@airespace.com
Issuer: C=US, ST=California, L=San Jose, O=airespace Inc
OU=none, CN=ca, MAILTO=support@airespace.com
Valid: 2005 Feb 22nd, 10:52:58 GMT to 2014 Nov 22nd, 10:52:58 GMT

関連コマンド

clear stats local-auth

config local-auth active-timeout

config local-auth eap-profile

config local-auth method fast

config local-auth user-credentials

debug aaa local-auth

show local-auth config

show local-auth statistics

show local-auth config

ローカル認証の設定情報を表示するには、show local-auth config コマンドを使用します。

show local-auth config

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、ローカル認証の設定情報を表示する例を示します。


> show local-auth config
User credentials database search order:
Primary ................................... Local DB
Configured EAP profiles:
Name ...................................... fast-test
Certificate issuer .................... default
Enabled methods ....................... fast
Configured on WLANs ................... 2
EAP Method configuration:
EAP-TLS:
Certificate issuer .................... default
Peer verification options:
	Check against CA certificates ..... Enabled
	Verify certificate CN identity .... Disabled
	Check certificate date validity ... Enabled
EAP-FAST:
TTL for the PAC ....................... 3 600
Initial client message ................ <none>
Local certificate required ............ No
Client certificate required ........... No
Vendor certificate required ........... No
Anonymous provision allowed ........... Yes
Authenticator ID ...................... 7b7fffffff0000000000000000000000
Authority Information ................. Test
EAP Profile.................................... tls-prof
Enabled methods for this profile .......... tls
Active on WLANs ........................... 1 3EAP Method configuration:
EAP-TLS:
Certificate issuer used ............... cisco
Peer verification options:
	Check against CA certificates ..... disabled
	Verify certificate CN identity .... disabled
	Check certificate date validity ... disabled

関連コマンド

clear stats local-auth

config local-auth active-timeout

config local-auth eap-profile

config local-auth method fast

config local-auth user-credentials

debug aaa local-auth

show local-auth certificates

show local-auth statistics

show local-auth statistics

ローカル拡張認証プロトコル(EAP)の認証統計情報を表示するには、show local-auth statistics コマンドを使用します。

show local-auth statistics

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、ローカル認証の証明書統計情報を表示する例を示します。


> show local-auth statistics
Local EAP authentication DB statistics:
Requests received ............................... 14
Responses returned .............................. 14
Requests dropped (no EAP AVP) ................... 0
Requests dropped (other reasons) ................ 0
Authentication timeouts ......................... 0
Authentication statistics:
  Method          Success         Fail
  ------------------------------------
  Unknown               0            0
  LEAP                  0            0
  EAP-FAST              2				 	 	 	 	 	 0
  EAP-TLS               0            0
  PEAP                  0            0
Local EAP credential request statistics:
Requests sent to LDAP DB ........................ 0
Requests sent to File DB ........................ 2
Requests failed (unable to send) ................ 0
Authentication results received:
  Success ....................................... 2
  Fail .......................................... 0
Certificate operations:
Local device certificate load failures .......... 0
Total peer certificates checked ................. 0
Failures:
  CA issuer check ............................... 0
  CN name not equal to identity ................. 0
  Dates not valid or expired .................... 0

関連コマンド

clear stats local-auth

config local-auth active-timeout

config local-auth eap-profile

config local-auth method fast

config local-auth user-credentials

debug aaa local-auth

show local-auth config

show local-auth certificates

show nac statistics

Cisco ワイヤレス LAN コントローラの詳細なネットワーク アクセス コントロール(NAC)情報を表示するには、show nac statistics コマンドを使用します。

show nac statistics

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、ネットワーク アクセス コントロール設定の詳細な統計情報を表示する例を示します。


> show nac statistics
Server Index....................................................... 1
Server Address..................................................... xxx.xxx.xxx.xxx
Number of requests sent............................................ 0
Number of retransmissions.......................................... 0
Number of requests received........................................ 0
Number of malformed requests received.............................. 0
Number of bad auth requests received............................... 0
Number of pending requests......................................... 0
Number of timed out requests....................................... 0
Number of misc dropped request received............................ 0
Number of requests sent............................................ 0

関連コマンド

show nac summary

config guest-lan nac

config wlan nac

debug nac

show nac summary

Cisco ワイヤレス LAN コントローラの NAC 要約情報を表示するには、show nac summary コマンドを使用します。

show nac summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、ネットワーク アクセス コントロール設定の要約情報を表示する例を示します。


> show nac summary
NAC ACL Name ...............................................
Index  Server Address                            Port     State
-----  ----------------------------------------  ----     -----
1      xxx.xxx.xxx.xxx                           13336    Enabled

関連コマンド

show nac statistics

config guest-lan nac

config wlan nac

debug nac

show netuser

ローカル ユーザ データベース内の特定のユーザの設定を表示するには、show netuser コマンドを使用します。

show netuser { detail user_name | guest-roles | summary}

構文の説明

detail

特定のネットワーク ユーザの詳細情報を表示します。

user_name

ネットワーク ユーザ。

guest_roles

ゲスト ユーザの設定済みロールを表示します。

summary

ローカル ユーザ データベース内のすべてのユーザの要約を表示します。

コマンド デフォルト

なし。

次に、ローカル ユーザ データベース内のすべてのユーザの要約を表示する例を示します。


> show netuser summary
Maximum logins allowed for a given username ........Unlimited


次に、指定したネットワーク ユーザの詳細情報を表示する例を示します。


> show netuser detail john10
username........................................... abc
WLAN Id............................................. Any
Lifetime............................................ Permanent
Description......................................... test user

関連コマンド

config netuser add

config netuser delete

config netuser description

config netuser guest-role apply

config netuser wlan-id

config netuser guest-roles

show netuser guest-roles

現在の Quality of Service(QoS)ロールとそれらの帯域幅パラメータのリストを表示するには、show netuser guest-roles コマンドを使用します。

show netuser guest-roles

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、ゲストのネットワーク ユーザの QoS ロールを表示する例を示します。


> show netuser guest-roles
Role Name.............................. Contractor
	Average Data Rate.................. 10
	Burst Data Rate.................... 10
	Average Realtime Rate.............. 100
	Burst Realtime Rate................ 100
Role Name.............................. Vendor
	Average Data Rate.................. unconfigured
	Burst Data Rate.................... unconfigured
	Average Realtime Rate.............. unconfigured
	Burst Realtime Rate................ unconfigured

関連コマンド

config netuser add

config netuser delete

config netuser description

config netuser guest-role apply

config netuser wlan-id

show netuser guest-roles

show netuser

show network

すべての WLAN の 802.3 ブリッジの現在のステータスを表示するには、show network コマンドを使用します。

show network

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、ネットワークの詳細を表示する例を示します。


> show network 

関連コマンド

config network

show network summary

show network multicast mgid detail

show network multicast mgid summary

show network summary

Cisco ワイヤレス LAN コントローラのネットワーク設定を表示するには、show network summary コマンドを使用します。

show network summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、要約設定を表示する例を示します。


> show network summary 
RF-Network Name............................. RF
Web Mode.................................... Disable
Secure Web Mode............................. Enable
Secure Web Mode Cipher-Option High.......... Disable
Secure Web Mode Cipher-Option SSLv2......... Disable
Secure Web Mode RC4 Cipher Preference....... Disable
OCSP........................................ Disabled
OCSP responder URL..........................
Secure Shell (ssh).......................... Enable
Telnet...................................... Enable
Ethernet Multicast Mode..................... Disable   Mode: Ucast
Ethernet Broadcast Mode..................... Disable
Ethernet Multicast Forwarding............... Disable
Ethernet Broadcast Forwarding............... Disable
AP Multicast/Broadcast Mode................. Unicast
IGMP snooping............................... Disabled
IGMP timeout................................ 60 seconds
IGMP Query Interval......................... 20 seconds
MLD snooping................................ Disabled
MLD timeout................................. 60 seconds
MLD query interval.......................... 20 seconds
User Idle Timeout........................... 300 seconds
AP Join Priority............................ Disable
ARP Idle Timeout............................ 300 seconds
ARP Unicast Mode............................ Disabled
Cisco AP Default Master..................... Disable
Mgmt Via Wireless Interface................. Disable
Mgmt Via Dynamic Interface.................. Disable
Bridge MAC filter Config.................... Enable
Bridge Security Mode........................ EAP
Over The Air Provisioning of AP's........... Enable
Apple Talk ................................. Disable
Mesh Full Sector DFS........................ Enable
AP Fallback ................................ Disable
Web Auth CMCC Support ...................... Disabled
Web Auth Redirect Ports .................... 80
Web Auth Proxy Redirect  ................... Disable
Web Auth Captive-Bypass   .................. Disable
Web Auth Secure Web  ....................... Enable
Fast SSID Change ........................... Disabled
AP Discovery - NAT IP Only ................. Enabled
IP/MAC Addr Binding Check .................. Enabled
CCX-lite status ............................ Disable
oeap-600 dual-rlan-ports ................... Disable
oeap-600 local-network ..................... Enable
mDNS snooping............................... Disabled
mDNS Query Interval......................... 15 minutes

関連コマンド

config network

show network multicast mgid summary

show network multicast mgid detail

show network

show ntp-keys

ネットワーク タイム プロトコル認証キーの詳細を表示するには、show ntp-keys コマンドを使用します。

show ntp-keys

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、NTP 認証キーの詳細を表示する例を示します。


> show ntp-keys
Ntp Authentication Key Details...................
      Key Index
     -----------
         1
         3

関連コマンド

config time ntp

show rules

アクティブな内部ファイアウォール ルールを表示するには、show rules コマンドを使用します。

show rules

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、アクティブな内部ファイアウォール ルールを表示する例を示します。


> show rules
--------------------------------------------------------
Rule ID.............: 3
Ref count...........: 0
Precedence..........: 99999999
Flags...............: 00000001 ( PASS )
Source IP range:
        (Local stack)
Destination IP range:
        (Local stack)
--------------------------------------------------------
Rule ID.............: 25
Ref count...........: 0
Precedence..........: 99999999
Flags...............: 00000001 ( PASS )
Service Info
        Service name........: GDB
        Protocol............: 6
        Source port low.....: 0
        Source port high....: 0
        Dest port low.......: 1000
        Dest port high......: 1000
Source IP range:
IP High............: 0.0.0.0
        Interface..........: ANY
Destination IP range:
        (Local stack)
--------------------------------------------------------

show switchconfig

Cisco ワイヤレス LAN コントローラに適用するパラメータを表示するには、show switchconfig コマンドを使用します。

show switchconfig

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

イネーブル

次に、Cisco ワイヤレス LAN コントローラに適用するパラメータを表示する例を示します。


> show switchconfig
802.3x Flow Control Mode......................... Disabled
FIPS prerequisite features....................... Enabled
Boot Break....................................... Enabled
secret obfuscation............................... Enabled
Strong Password Check Features:
         case-check ...........Disabled
         consecutive-check ....Disabled
         default-check .......Disabled
         username-check ......Disabled

関連コマンド

config switchconfig mode

config switchconfig secret-obfuscation

config switchconfig strong-pwd

config switchconfig flowcontrol

config switchconfig fips-prerequisite

show stats switch

不正なデバイス設定の表示コマンド

show rogue コマンドを使用して、検証されていない(不正な)デバイス設定を表示します。

show rogue adhoc custom summary

カスタムのアドホックの不正なアクセス ポイントに関する情報を表示するには、 を使用します。

show rogue adhoc custom summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、カスタムのアドホックの不正なアクセス ポイントの詳細を表示する例を示します。

> show rogue adhoc custom summary
Number of Adhocs............................0

MAC Address        State              # APs # Clients Last Heard
-----------------  ------------------ ----- --------- -----------------------

関連コマンド

show rogue adhoc detailed

show rogue adhoc summary

show rogue adhoc friendly summary

show rogue adhoc malicious summary

show rogue adhoc unclassified summary

config rogue adhoc

show rogue adhoc detailed

Cisco ワイヤレス LAN コントローラによって検出されたアドホックの不正なアクセス ポイントの詳細を表示するには、show rogue adhoc client detailed コマンドを使用します。

show rogue adhoc detailed MAC_address

構文の説明

MAC_address

アドホックの不正なアクセス ポイントの MAC アドレス。

コマンド デフォルト

なし。

次に、アドホックの不正なアクセス ポイントの MAC アドレスの詳細情報を表示する例を示します。


> show rogue adhoc client detailed 02:61:ce:8e:a8:8c
Adhoc Rogue MAC address.......................... 02:61:ce:8e:a8:8c
Adhoc Rogue BSSID................................ 02:61:ce:8e:a8:8c
State............................................ Alert
First Time Adhoc Rogue was Reported.............. Tue Dec 11 20:45:45 2007
Last Time Adhoc Rogue was Reported............... Tue Dec 11 20:45:45 2007
Reported By
AP 1
MAC Address.............................. 00:14:1b:58:4a:e0
Name..................................... AP0014.1ced.2a60
Radio Type............................... 802.11b
SSID..................................... rf4k3ap
Channel.................................. 3
RSSI..................................... -56 dBm
SNR...................................... 15 dB
Encryption............................... Disabled
ShortPreamble............................ Disabled
WPA Support.............................. Disabled
Last reported by this AP............... Tue Dec 11 20:45:45 2007

関連コマンド

config rogue adhoc

show rogue ignore-list

show rogue rule summary

show rogue rule detailed

config rogue rule

show rogue adhoc summary

show rogue adhoc friendly summary

危険性のないアドホックの不正なアクセス ポイントに関する情報を表示するには、show rogue adhoc friendly summary コマンドを使用します。

show rogue adhoc friendly summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、危険性のないアドホックの不正なアクセス ポイントの詳細を表示する例を示します。

> show rogue adhoc friendly summary

Number of Adhocs............................0

MAC Address        State              # APs # Clients Last Heard
-----------------  ------------------ ----- --------- -----------------------

関連コマンド

show rogue adhoc custom summary

show rogue adhoc detailed

show rogue adhoc summary

show rogue adhoc malicious summary

show rogue adhoc unclassified summary

config rogue adhoc

show rogue adhoc malicious summary

悪意のあるアドホックの不正なアクセス ポイントに関する情報を表示するには、show rogue adhoc malicious summary コマンドを使用します。

show rogue adhoc malicious summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、悪意のあるアドホックの不正なアクセス ポイントの詳細を表示する例を示します。

> show rogue adhoc malicious summary
Number of Adhocs............................0

MAC Address        State              # APs # Clients Last Heard
-----------------  ------------------ ----- --------- -----------------------

関連コマンド

show rogue adhoc custom summary

show rogue adhoc detailed

show rogue adhoc summary

show rogue adhoc friendly summary

show rogue adhoc unclassified summary

config rogue adhoc

show rogue adhoc unclassified summary

未分類のアドホックの不正なアクセス ポイントに関する情報を表示するには、show rogue adhoc unclassified summary コマンドを使用します。

show rogue adhoc unclassified summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、未分類のアドホックの不正なアクセス ポイントの詳細を表示する例を示します。

> show rogue adhoc unclassified summary

Number of Adhocs............................0

MAC Address        State              # APs # Clients Last Heard
-----------------  ------------------ ----- --------- -----------------------

関連コマンド

show rogue adhoc custom summary

show rogue adhoc detailed

show rogue adhoc summary

show rogue adhoc friendly summary

show rogue adhoc malicious summary

config rogue adhoc

show rogue adhoc summary

Cisco ワイヤレス LAN コントローラによって検出されたアドホックの不正なアクセス ポイントのサマリーを表示するには、show rogue adhoc summary コマンドを使用します。

show rogue adhoc summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、すべてのアドホックの不正なアクセス ポイントのサマリーを表示する例を示します。


> show rogue adhoc summary
Detect and report Ad-Hoc Networks................ Enabled
Client MAC Address   Adhoc BSSID    State  # APs       Last Heard
------------------   -----------    -----    ---       -------
xx:xx:xx:xx:xx:xx    super          Alert    1         Sat Aug  9 21:12:50 2004
xx:xx:xx:xx:xx:xx                   Alert    1         Aug  9 21:12:50 2003
xx:xx:xx:xx:xx:xx                   Alert    1         Sat Aug  9 21:10:50 2003 

関連コマンド

config rogue adhoc

show rogue ignore-list

show rogue rule summary

show rogue rule detailed

config rogue rule

show rogue adhoc detailed

show rogue ap custom summary

カスタムのアドホックの不正なアクセス ポイントに関する情報を表示するには、show rogue adhoc custom summary コマンドを使用します。

show rogue ap custom summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、カスタムのアドホックの不正なアクセス ポイントの詳細を表示する例を示します。

> show rogue ap custom summary

Number of APs............................0

MAC Address        State              # APs # Clients Last Heard
-----------------  ------------------ ----- --------- -----------------------			

関連コマンド

config rogue adhoc

config rogue ap classify

config rogue ap friendly

config rogue ap rldp

config rogue ap timeout

config rogue ap valid-client

config rogue client

config trapflags rogueap

show rogue ap clients

show rogue ap detailed

show rogue ap summary

show rogue ap malicious summary

show rogue ap unclassified summary

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

show rogue ap clients

Cisco ワイヤレス LAN コントローラによって検出された不正なアクセス ポイント クライアントの詳細を表示するには、show rogue ap clients コマンドを使用します。

show rogue ap clients ap_mac_address

構文の説明

ap_mac_address

不正なアクセス ポイントの MAC アドレス。

コマンド デフォルト

なし。

次に、不正なアクセス ポイント クライアントの詳細を表示する例を示します。


> show rogue ap clients xx:xx:xx:xx:xx:xx
MAC Address State # APs Last Heard
----------------- ------------------ ----- -------------------------
00:bb:cd:12:ab:ff Alert 1 Fri Nov 30 11:26:23 2007

関連コマンド

config rogue adhoc

config rogue ap classify

config rogue ap friendly

config rogue ap rldp

config rogue ap timeout

config rogue ap valid-client

config rogue client

config trapflags rogueap

show rogue ap detailed

show rogue ap summary

show rogue ap friendly summary

show rogue ap malicious summary

show rogue ap unclassified summary

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

show rogue ap detailed

Cisco ワイヤレス LAN コントローラによって検出された不正なアクセス ポイントの詳細を表示するには、show rogue-ap detailed コマンドを使用します。

show rogue ap detailed ap_mac_address

構文の説明

ap_mac_address

不正なアクセス ポイントの MAC アドレス。

コマンド デフォルト

なし。

次に、不正なアクセス ポイントの詳細情報を表示する例を示します。


> show rogue ap detailed xx:xx:xx:xx:xx:xx
Rogue BSSID...................................... 00:0b:85:63:d1:94
Is Rogue on Wired Network........................ No
Classification................................... Unclassified
State............................................ Alert
First Time Rogue was Reported.................... Fri Nov 30 11:24:56 2007
Last Time Rogue was Reported..................... Fri Nov 30 11:24:56 2007
Reported By
AP 1
MAC Address.............................. 00:12:44:bb:25:d0
Name..................................... flexconnect
Radio Type............................... 802.11g
SSID..................................... edu-eap
Channel.................................. 6
RSSI..................................... -61 dBm
SNR...................................... -1 dB
Encryption............................... Enabled
ShortPreamble............................ Enabled
WPA Support.............................. Disabled
Last reported by this AP.............. Fri Nov 30 11:24:56 2007

次に、不正なアクセス ポイントの詳細情報をカスタマイズされた分類によって表示する例を示します。

> show rogue ap detailed xx:xx:xx:xx:xx:xx
Rogue BSSID...................................... 00:17:0f:34:48:a0
Is Rogue on Wired Network........................ No
Classification................................... custom
Severity Score .................................. 1
Class Name........................................VeryMalicious
Class Change by.................................. Rogue Rule
Classified at ................................... -60 dBm
Classified by.................................... c4:0a:cb:a1:18:80       
State............................................ Contained
State change by.................................. Rogue Rule 
First Time Rogue was Reported.................... Mon Jun  4 10:31:18 2012
Last Time Rogue was Reported..................... Mon Jun  4 10:31:18 2012
Reported By
    AP 1
        MAC Address.............................. c4:0a:cb:a1:18:80  
        Name..................................... SHIELD-3600-2027
        Radio Type............................... 802.11g
        SSID..................................... sri
        Channel.................................. 11
        RSSI..................................... -87 dBm
        SNR...................................... 4 dB
        Encryption............................... Enabled
        ShortPreamble............................ Enabled
        WPA Support.............................. Enabled
        Last reported by this AP................. Mon Jun  4 10:31:18 2012

関連コマンド

config rogue adhoc

config rogue ap classify

config rogue ap friendly

config rogue ap rldp

config rogue ap timeout

config rogue ap valid-client

config rogue client

config trapflags rogueap

show rogue ap clients

show rogue ap summary

show rogue ap friendly summary

show rogue ap malicious summary

show rogue ap unclassified summary

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

show rogue ap summary

Cisco ワイヤレス LAN コントローラによって検出された不正なアクセス ポイントのサマリーを表示するには、show rogue-ap summary コマンドを使用します。

show rogue ap summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、すべての不正なアクセス ポイントのサマリーを表示する例を示します。


> show rogue ap summary
Rogue Location Discovery Protocol................  Disabled
Rogue ap timeout.................................  1200
Rogue on wire Auto-Contain....................... Disabled
Rogue using our SSID Auto-Contain................ Disabled
Valid client on rogue AP Auto-Contain............ Disabled
Rogue AP timeout................................. 1200
Rogue Detection Report Interval.................. 10
Rogue Detection Min Rssi......................... -128
Rogue Detection Transient Interval............... 0
Rogue Detection Client Num Thershold............. 0
Total Rogues(AP+Ad-hoc) supported................ 2000
Total Rogues classified.......................... 729

MAC Address        Classification     # APs # Clients Last Heard
-----------------  ------------------ ----- --------- -----------------------
xx:xx:xx:xx:xx:xx  friendly           1     0         Thu Aug  4 18:57:11 2005
xx:xx:xx:xx:xx:xx  malicious          1     0         Thu Aug  4 19:00:11 2005
xx:xx:xx:xx:xx:xx  malicious          1     0         Thu Aug  4 18:57:11 2005
xx:xx:xx:xx:xx:xx  malicious          1     0         Thu Aug  4 18:57:11 2005

関連コマンド

config rogue adhoc

config rogue ap classify

config rogue ap friendly

config rogue ap rldp

config rogue ap timeout

config rogue ap valid-client

config rogue client

config trapflags rogueap

show rogue ap clients

show rogue ap detailed

show rogue ap friendly summary

show rogue ap malicious summary

show rogue ap unclassified summary

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

show rogue ap friendly summary

コントローラによって検出された危険性のない不正なアクセス ポイントを一覧表示するには、show rogue-ap friendly summary コマンドを使用します。

show rogue ap friendly summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、すべての危険性のない不正なアクセス ポイントのサマリーを表示する例を示します。


> show rogue ap friendly summary
Number of APs.................................... 1
MAC Address 					State 				# APs	 # Clients Last Heard
----------------- ------------------ ----- --------- ---------------------------
XX:XX:XX:XX:XX:XX Internal 										1		 0 	Tue Nov 27 13:52:04 2007

関連コマンド

config rogue adhoc

config rogue ap classify

config rogue ap friendly

config rogue ap rldp

config rogue ap timeout

config rogue ap valid-client

config rogue client

config trapflags rogueap

show rogue ap clients

show rogue ap detailed

show rogue ap summary

show rogue ap malicious summary

show rogue ap unclassified summary

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

show rogue ap malicious summary

コントローラによって検出された悪意のある不正なアクセス ポイントを一覧表示するには、show rogue ap malicious summary コマンドを使用します。

show rogue ap malicious summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、すべての悪意のある不正なアクセス ポイントのサマリーを表示する例を示します。


> show rogue ap malicious summary
Number of APs.................................... 2
MAC Address 					State 				# APs	 # Clients Last Heard
----------------- ------------------ ----- --------- ---------------------------
XX:XX:XX:XX:XX:XX Alert 										1		 0 	Tue Nov 27 13:52:04 2007
XX:XX:XX:XX:XX:XX Alert 										1		 0 	Tue Nov 27 13:52:04 2007

関連コマンド

config rogue adhoc

config rogue ap classify

config rogue ap friendly

config rogue ap rldp

config rogue ap timeout

config rogue ap valid-client

config rogue client

config trapflags rogueap

show rogue ap clients

show rogue ap detailed

show rogue ap summary

show rogue ap friendly summary

show rogue ap unclassified summary

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

show rogue ap unclassified summary

コントローラによって検出された未分類の不正なアクセス ポイントを一覧表示するには、show rogue ap unclassified summary コマンドを使用します。

show rogue ap unclassified summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、すべての未分類の不正なアクセス ポイントのリストを表示する例を示します。


> show rogue ap unclassified summary
Number of APs.................................... 164
MAC Address 				State 					# APs # Clients Last Heard
----------------- ------------------ ----- --------- -----------------------
XX:XX:XX:XX:XX:XX Alert 									1 		0 		Fri Nov 30 11:12:52 2007
XX:XX:XX:XX:XX:XX Alert 									1 		0 		Fri Nov 30 11:29:01 2007
XX:XX:XX:XX:XX:XX Alert 									1 		0 		Fri Nov 30 11:26:23 2007
XX:XX:XX:XX:XX:XX Alert 									1 		0 		Fri Nov 30 11:26:23 2007

関連コマンド

config rogue adhoc

config rogue ap classify

config rogue ap friendly

config rogue ap rldp

config rogue ap timeout

config rogue ap valid-client

config rogue client

config trapflags rogueap

show rogue ap clients

show rogue ap detailed

show rogue ap summary

show rogue ap friendly summary

show rogue ap malicious summary

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

show rogue auto-contain

不正の自動阻止に関する情報を表示するには、show rogue auto-contain コマンドを使用します。

show rogue auto-contain

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、不正の自動阻止に関する情報を表示する例を示します。


> show rogue auto-contain 
Containment Level................................ 3
monitor_ap_only.................................. false

関連コマンド

config rogue adhoc

config rogue auto-contain level

show rogue client detailed

Cisco ワイヤレス LAN コントローラによって検出された不正なクライアントの詳細を表示するには、show rogue client detailed コマンドを使用します。

show rogue client detailed MAC_address

構文の説明

MAC_address

不正なクライアントの MAC アドレス。

コマンド デフォルト

なし。

次に、不正なクライアントの詳細情報を表示する例を示します。


> show rogue client detailed xx:xx:xx:xx:xx:xx
Rogue BSSID...................................... 00:0b:85:23:ea:d1
State............................................ Alert
First Time Rogue was Reported.................... Mon Dec 3 21:50:36 2007
Last Time Rogue was Reported..................... Mon Dec 3 21:50:36 2007
Rogue Client IP address.......................... Not known
Reported By
AP 1
MAC Address.............................. 00:15:c7:82:b6:b0
Name..................................... AP0016.47b2.31ea
Radio Type............................... 802.11a
RSSI..................................... -71 dBm
SNR...................................... 23 dB
Channel.................................. 149
Last reported by this AP.............. Mon Dec 3 21:50:36 2007

関連コマンド

show rogue client summary

show rogue ignore-list

config rogue rule client

config rogue rule

show rogue client summary

Cisco ワイヤレス LAN コントローラによって検出された不正なクライアントのサマリーを表示するには、show rogue client summary コマンドを使用します。

show rogue client summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、すべての不正なクライアントのリストを表示する例を示します。


> show rogue client summary
Validate rogue clients against AAA............... Disabled
Total Rogue Clients supported.................... 2500
Total Rogue Clients present...................... 3
MAC Address        State              # APs Last Heard
-----------------  ------------------ ----- -----------------------
xx:xx:xx:xx:xx:xx  Alert              1     Thu Aug  4 19:00:08 2005
xx:xx:xx:xx:xx:xx  Alert              1     Thu Aug  4 19:00:08 2005
xx:xx:xx:xx:xx:xx  Alert              1     Thu Aug  4 19:00:08 2005
xx:xx:xx:xx:xx:xx  Alert              1     Thu Aug  4 19:00:08 2005
xx:xx:xx:xx:xx:xx  Alert              1     Thu Aug  4 19:00:08 2005
xx:xx:xx:xx:xx:xx  Alert              1     Thu Aug  4 19:00:08 2005
xx:xx:xx:xx:xx:xx  Alert              1     Thu Aug  4 19:09:11 2005
xx:xx:xx:xx:xx:xx  Alert              1     Thu Aug  4 19:03:11 2005
xx:xx:xx:xx:xx:xx  Alert              1     Thu Aug  4 19:03:11 2005
xx:xx:xx:xx:xx:xx  Alert              1     Thu Aug  4 19:09:11 2005
xx:xx:xx:xx:xx:xx  Alert              1     Thu Aug  4 18:57:08 2005
xx:xx:xx:xx:xx:xx  Alert              1     Thu Aug  4 19:12:08 2005

関連コマンド

show rogue client detailed

show rogue ignore-list

config rogue client

config rogue rule

show rogue ignore-list

無視するように設定されている不正なアクセス ポイントのリストを表示するには、show rogue ignore-list コマンドを使用します。

show rogue ignore-list

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、無視するように設定されているすべての不正なアクセス ポイントのリストを表示する例を示します。


> show rogue ignore-list
MAC Address       
-----------------  
xx:xx:xx:xx:xx:xx

関連コマンド

config rogue adhoc

config rogue ap classify

config rogue ap friendly

config rogue ap rldp

config rogue ap ssid

config rogue ap timeout

config rogue ap valid-client

config rogue rule

config trapflags rogueap

show rogue client detailed

show rogue ignore-list

show rogue rule summary

show rogue client summary

show rogue ap unclassified summary

show rogue ap malicious summary

show rogue ap friendly summary

config rogue client

show rogue ap summary

show rogue ap clients

show rogue ap detailed

config rogue rule

show rogue rule detailed

特定の不正な分類ルールの詳細情報を表示するには、show rogue rule detailed コマンドを使用します。

show rogue rule detailed rule_name

構文の説明

rule_name

不正な分類ルールの名前。

コマンド デフォルト

なし。

次に、特定の不正な分類ルールの詳細情報を表示する例を示します。


> show rogue rule detailed Rule2
Priority......................................... 2
Rule Name........................................ Rule2
State............................................ Enabled
Type............................................. Malicious
Severity Score................................... 1
Class Name....................................... Very_Malicious
Notify........................................... All
State ........................................... Contain
Match Operation.................................. Any
Hit Count........................................ 352
Total Conditions................................. 2
Condition 1
    type......................................... Client-count
    value........................................ 10
Condition 2
    type......................................... Duration
    value (seconds).............................. 2000
Condition 3
    type......................................... Managed-ssid
    value........................................ Enabled
Condition 4
    type......................................... No-encryption
    value........................................ Enabled
Condition 5
    type......................................... Rssi
    value (dBm).................................. -50
Condition 6
    type......................................... Ssid
    SSID Count................................... 1
    SSID 1.................................... test

関連コマンド

config rogue rule

show rogue ignore-list

show rogue rule summary

show rogue rule summary

コントローラに設定されている不正な分類ルールを表示するには、show rogue rule summary コマンドを使用します。

show rogue rule summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、コントローラに設定されているすべての不正なルールのリストを表示する例を示します。


> show rogue rule summary
Priority Rule Name               State    Type          Match Hit Count
-------- ----------------------- -------- ------------- ----- ---------
1        mtest                   Enabled  Malicious     All   0
2        asdfasdf                Enabled  Malicious     All   0

次に、コントローラに設定されているすべての不正なルールのリストを表示する例を示します。

> show rogue rule summary
Priority         Rule Name                 Rule state Class Type   Notify   State    Match Hit Count
-------- -------------------------------- ----------- ----------- -------- -------- ------ ---------
1        rule2                            Enabled    Friendly     Global   Alert    All    234
2        rule1                            Enabled    Custom       Global   Alert    All    0

関連コマンド

config rogue rule

show rogue ignore-list

show rogue rule detailed

TACACS 設定の表示コマンド

show tacacs コマンドを使用して、Terminal Access Controller Access Control System(TACACS)プロトコルの設定および統計情報を表示します。

show tacacs acct statistics

指定されたタグの無線周波数 ID(RFID)の詳細情報を表示するには、show tacacs acct statistics コマンドを使用します。

show tacacs acct statistics

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、RFID の詳細情報を表示する例を示します。


> show tacacs acct statistics
Accounting Servers:
Server Index..................................... 1
Server Address................................... 10.0.0.0
Msg Round Trip Time.............................. 0 (1/100 second)
First Requests................................... 1
Retry Requests................................... 0
Accounting Response.............................. 0
Accounting Request Success....................... 0
Accounting Request Failure....................... 0
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. -1
Timeout Requests................................. 1
Unknowntype Msgs................................. 0
Other Drops...................................... 0

関連コマンド

config tacacs acct

config tacacs athr

config tacacs auth

show tacacs summary

show tacacs athr statistics

TACACS+ サーバ許可の統計情報を表示するには、show tacacs athr statistics コマンドを使用します。

show tacacs athr statistics

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、TACACS サーバ許可の統計情報を表示する例を示します。


> show tacacs athr statistics
Authorization Servers:
Server Index..................................... 3
Server Address................................... 10.0.0.3
Msg Round Trip Time.............................. 0 (1/100 second)
First Requests................................... 0
Retry Requests................................... 0
Received Responses............................... 0
Authorization Success............................ 0
Authorization Failure............................ 0
Challenge Responses.............................. 0
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops...................................... 0

関連コマンド

config tacacs acct

config tacacs athr

config tacacs auth

show tacacs auth statistics

show tacacs summary

show tacacs auth statistics

TACACS+ サーバ認証の統計情報を表示するには、show tacacs auth statistics コマンドを使用します。

show tacacs auth statistics

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、TACACS+ サーバ認証の統計情報を表示する例を示します。


> show tacacs auth statistics
Authentication Servers:
Server Index..................................... 2
Server Address................................... 10.0.0.2
Msg Round Trip Time.............................. 0 (msec)
First Requests................................... 0
Retry Requests................................... 0
Accept Responses................................. 0
Reject Responses................................. 0
Error Responses.................................. 0
Restart Responses................................ 0
Follow Responses................................. 0
GetData Responses................................ 0
Encrypt no secret Responses...................... 0
Challenge Responses.............................. 0
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops...................................... 0

関連コマンド

config tacacs acct

config tacacs athr

config tacacs auth

show tacacs summary

show tacacs summary

TACACS+ サーバの要約情報を表示するには、show tacacs summary コマンドを使用します。

show tacacs summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、TACACS サーバの要約情報を表示する例を示します。


> show tacacs summary
Authentication Servers
Idx  Server Address    Port    State     Tout
---  ----------------  ------  --------  ----
2    10.0.0.2          6       Enabled   30
Accounting Servers
Idx  Server Address    Port    State     Tout
---  ----------------  ------  --------  ----
1    10.0.0.0          10      Enabled   2
Authorization Servers
Idx  Server Address    Port    State     Tout
---  ----------------  ------  --------  ----
3    10.0.0.3          4       Enabled   2
...

関連コマンド

config tacacs acct

config tacacs athr

config tacacs auth

show tacacs summary

show tacacs athr statistics

show tacacs auth statistics

WPS 設定の表示コマンド

show wps ap-authentication summary

コントローラのアクセス ポイント ネイバー認証の設定を表示するには、show wps ap-authentication summary コマンドを使用します。

show wps ap-authentication summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、Wireless Protection System(WPS)アクセス ポイント ネイバー認証のサマリーを表示する例を示します。


> show wps ap-authentication summary
AP neighbor authentication is <disabled>.
Authentication alarm threshold is 1.
RF-Network Name: <B1>

関連コマンド

config wps ap-authentication

show wps cids-sensor

侵入検知システム(IDS)センサーの要約情報、または指定した Wireless Protection System(WPS)IDS センサーの詳細情報を表示するには、show wps cids-sensor コマンドを使用します。

show wps cids-sensor { summary | detail index}

構文の説明

summary

センサー設定のサマリーを表示します。

detail

選択したセンサーのすべての設定を表示します。

index

IDS センサー ID。

コマンド デフォルト

なし。

次に、選択したセンサーのすべての設定を表示する例を示します。


> show wps cids-sensor detail1
IP Address....................................... 10.0.0.51
Port............................................. 443
Query Interval................................... 60
Username......................................... Sensor_user1
Cert Fingerprint................................. SHA1: 00:00:00:00:00:00:00:00:
00:00:00:00:00:00:00:00:00:00:00:00
Query State...................................... Disabled
Last Query Result................................ Unknown
Number of Queries Sent........................... 0

関連コマンド

config wps ap-authentication

show wps mfp

管理フレーム保護(MFP)情報を表示するには、show wps mfp コマンドを使用します。

show wps mfp { summary | statistics}

構文の説明

summary

MFP の設定およびステータスを表示します。

statistics

MFP の統計情報を表示します。

コマンド デフォルト

なし。

次に、MFP の設定およびステータスのサマリーを表示する例を示します。


> show wps mfp summary
Global Infrastructure MFP state.................. DISABLED (*all infrastructure
settings are overridden)
Controller Time Source Valid..................... False
                                    WLAN       Infra.      Client
WLAN ID  WLAN Name                  Status     Protection  Protection
-------  -------------------------  ---------  ----------  ----------
1        homeap                     Disabled   *Enabled    Optional but inactive
 (WPA2 not configured)
2        7921                       Enabled    *Enabled    Optional but inactive
 (WPA2 not configured)
3        open1                      Enabled    *Enabled    Optional but inactive
 (WPA2 not configured)
4        7920                       Enabled    *Enabled    Optional but inactive
 (WPA2 not configured)
                      Infra.             Operational     --Infra. Capability--
AP Name               Validation  Radio  State           Protection  Validation
--------------------  ----------  -----  --------------  ----------  ----------
AP1252AG-EW           *Enabled    b/g    Down            Full        Full
                                  a      Down            Full        Full

次に、MFP の統計情報を表示する例を示します。


> show wps mfp statistics
BSSID             Radio Validator AP         Last Source Addr  Found  Error Type
     Count      Frame Types
----------------- ----- -------------------- ----------------- ------ ----------
---- ---------- -----------
no errors

関連コマンド

config wps mfp

show wps shun-list

侵入検知システム(IDS)センサーの回避リストを表示するには、show wps shun-list コマンドを使用します。

show wps shun-list

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、IDS システム センサーの回避リストを表示する例を示します。


> show wps shun-list

関連コマンド

config wps shun-list re-sync

show wps signature detail

インストールされているシグニチャを表示するには、show wps signature detail コマンドを使用します。

show wps signature detail sig-id

構文の説明

sig-id

インストールされているシグニチャのシグニチャ ID。

コマンド デフォルト

なし。

次に、標準シグニチャ 1 によって検出される攻撃の詳細を表示する例を示します。


> show wps signature detail 1
Signature-ID..................................... 1
Precedence....................................... 1
Signature Name................................... Bcast deauth
Type............................................. standard
FrameType........................................ management
State............................................ enabled
Action........................................... report
Tracking......................................... per Signature and Mac
Signature Frequency.............................. 500 pkts/interval
Signature Mac Frequency.......................... 300 pkts/interval
Interval......................................... 10 sec
Quiet Time....................................... 300 sec
Description...................................... Broadcast Deauthentication Frame
Patterns:
                0(Header):0x0:0x0
                4(Header):0x0:0x0

関連コマンド

config wps signature

config wps signature frequency

config wps signature mac-frequency

config wps signature interval

config wps signature quiet-time

config wps signature reset

show wps signature events

show wps signature summary

show wps summary

show wps signature events

特定の標準シグニチャまたはカスタム シグニチャによって検出された攻撃の詳細情報を表示するには、show wps signature events コマンドを使用します。

show wps signature events { summary | { standard | custom} precedenceID { summary | detailed}

構文の説明

summary

すべてのシグニチャ トラッキングの要約情報を表示します。

standard

標準侵入検知システム(IDS)シグニチャの設定を表示します。

custom

カスタム IDS シグニチャの設定を表示します。

precedenceID

シグニチャ優先 ID の値。

detailed

送信元 MAC アドレス トラッキングの詳細を表示します。

コマンド デフォルト

なし。

次に、すべての有効なシグニチャによって検出された攻撃の数を表示する例を示します。


> show wps signature events summary
Precedence  Signature Name       Type      # Events
----------  -------------------- --------  --------
1           Bcast deauth         Standard      2
2           NULL probe resp 1    Standard      1

次に、標準シグニチャ 1 によって検出された攻撃の要約情報を表示する例を示します。


> show wps signature events standard 1 summary
Precedence....................................... 1
Signature Name................................... Bcast deauth
Type............................................. Standard
Number of active events.......................... 2
Source MAC Addr    Track Method   Frequency # APs Last Heard
-----------------  -------------- --------- ----- ------------------------
00:a0:f8:58:60:dd  Per Signature  50        1     Wed Oct 25 15:03:05 2006
00:a0:f8:58:60:dd  Per Mac        30        1     Wed Oct 25 15:02:53 2006

関連コマンド

config wps signature frequency

config wps signature mac-frequency

config wps signature interval

config wps signature quiet-time

config wps signature reset

config wps signature

show wps signature summary

show wps summary

show wps signature summary

コントローラにインストールされているすべての標準シグニチャおよびカスタム シグニチャの要約情報を表示するには、show wps signature summary コマンドを使用します。

show wps signature summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、標準シグニチャおよびカスタム シグニチャのすべてのサマリーを表示する例を示します。


> show wps signature summary
Signature-ID..................................... 1
Precedence....................................... 1
Signature Name................................... Bcast deauth
Type............................................. standard
FrameType........................................ management
State............................................ enabled
Action........................................... report
Tracking......................................... per Signature and Mac
Signature Frequency.............................. 50 pkts/interval
Signature Mac Frequency.......................... 30 pkts/interval
Interval......................................... 1 sec
Quiet Time....................................... 300 sec
Description...................................... Broadcast Deauthentication Frame
Patterns:
                0(Header):0x00c0:0x00ff
                4(Header):0x01:0x01
...

関連コマンド

config wps signature frequency

config wps signature interval

config wps signature quiet-time

config wps signature reset

show wps signature events

show wps summary

config wps signature mac-frequency

config wps signature

show wps summary

Wireless Protection System(WPS)の要約情報を表示するには、show wps summary コマンドを使用します。

show wps summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、WPS の要約情報を表示する例を示します。


> show wps summary
Auto-Immune
  Auto-Immune.................................... Disabled
Client Exclusion Policy
  Excessive 802.11-association failures.......... Enabled
  Excessive 802.11-authentication failures....... Enabled
  Excessive 802.1x-authentication................ Enabled
  IP-theft....................................... Enabled
  Excessive Web authentication failure........... Enabled
Trusted AP Policy
  Management Frame Protection.................... Disabled
  Mis-configured AP Action....................... Alarm Only
    Enforced encryption policy................... none
    Enforced preamble policy..................... none
    Enforced radio type policy................... none
    Validate SSID................................ Disabled
  Alert if Trusted AP is missing................. Disabled
  Trusted AP timeout............................. 120
Untrusted AP Policy
  Rogue Location Discovery Protocol.............. Disabled
    RLDP Action.................................. Alarm Only
  Rogue APs
    Rogues AP advertising my SSID................ Alarm Only
    Detect and report Ad-Hoc Networks............ Enabled
  Rogue Clients
    Validate rogue clients against AAA........... Enabled
    Detect trusted clients on rogue APs.......... Alarm Only
  Rogue AP timeout............................... 1300
Signature Policy
  Signature Processing........................... Enabled
...

関連コマンド

config wps signature frequency

config wps signature interval

config wps signature quiet-time

config wps signature reset

show wps signature events

show wps signature mac-frequency

show wps summary

config wps signature

config wps signature interval

show wps wips statistics

コントローラ上の Cisco Wireless Intrusion Prevention System(wIPS)の現在の動作状態を表示するには、show wps wips statistics コマンドを使用します。

show wps wips statistics

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、wIPS 動作の統計情報を表示する例を示します。


> show wps wips statistics
Policy Assignment Requests............ 1
Policy Assignment Responses........... 1
Policy Update Requests................ 0
Policy Update Responses............... 0
Policy Delete Requests................ 0
Policy Delete Responses............... 0
Alarm Updates......................... 13572
Device Updates........................ 8376
Device Update Requests................ 0
Device Update Responses............... 0
Forensic Updates...................... 1001
Invalid WIPS Payloads................. 0
Invalid Messages Received............. 0
NMSP Transmitted Packets.............. 22950
NMSP Transmit Packets Dropped......... 0
NMSP Largest Packet................... 1377

関連コマンド

config 802.11 enable

config ap mode

config ap monitor-mode

show ap config

show ap monitor-mode summary

show wps wips summary

show wps wips summary

Wireless Control System(WCS)がコントローラに転送する適応型 Cisco Wireless Intrusion Prevention System(wIPS)を表示するには、show wps wips summary コマンドを使用します。

show wps wips summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、wIPS の設定のサマリーを表示する例を示します。


> show wps wips summary
Policy Name...................................... Default
Policy Version................................... 3

関連コマンド

config 802.11 enable

config ap mode

config ap monitor-mode

show ap config

show ap monitor-mode summary

show wps wips statistics

コンフィギュレーション コマンド

ここでは、コントローラのセキュリティ設定を行う config コマンドを示します。

config 802.11b preamble

サブクローズ 18.2.2.2 で定義されている 802.11b プリアンブルを long(遅いが信頼性が高い)または short(速いが信頼性が低い)に変更するには、config 802.11b preamble コマンドを使用します。

config 802.11b preamble { long | short}

構文の説明

long

long 802.11b プリアンブルを指定します。

short

short 802.11b プリアンブルを指定します。

コマンド デフォルト

short

使用上のガイドライン


(注)  


このコマンドを実装するには、保存して Cisco ワイヤレス LAN コントローラをリブート(システムをリセット)する必要があります。


SpectraLink 社の NetLink 電話など、一部のクライアント向けに Cisco ワイヤレス LAN コントローラを最適化するには、このパラメータを long に設定する必要があります。

このコマンドは、CLI インターフェイスがアクティブなときはいつでも使用できます。

次に、802.11b プリアンブルを short に変更する例を示します。

  > config 802.11b preamble short
  > (reset system with save)

関連コマンド

show 802.11b

config aaa auth

管理ユーザに対する AAA 認証の検索順序を設定するには、config aaa auth コマンドを使用します。

config aaa auth mgmt [ aaa_server_type1 | aaa_server_type2]

構文の説明

mgmt

最大 3 つの AAA 認証サーバ タイプを指定して、コントローラの管理ユーザに対する AAA 認証の検索順序を設定します。 サーバ タイプの入力順序により AAA 認証の検索順序が指定されます。

aaa_server_type

(任意)AAA 認証サーバのタイプ(localradius、または tacacs)。 local 設定ではローカル データベース、radius 設定では RADIUS サーバ、tacacs 設定では TACACS+ サーバが指定されます。

コマンド デフォルト

なし。

使用上のガイドライン

AAA サーバ タイプは、片方が local ならば 2 つ入力できます。 radiustacacs を同時に入力することはできません。

次に、local の認証サーバ タイプによってコントローラの管理ユーザに対する AAA 認証の検索順序を設定する例を示します。

> config aaa auth radius local

関連コマンド

show aaa auth

config aaa auth mgmt

複数データベースが設定されている場合に認証の順序を設定するには、config aaa auth mgmt コマンドを使用します。

config aaa auth mgmt [ radius | tacacs]

構文の説明

radius

(任意)RADIUS サーバに認証の順序を設定します。

tacacs

(任意)TACACS サーバに認証の順序を設定します。

コマンド デフォルト

なし。

次に、RADIUS サーバに認証の順序を設定する例を示します。

> config aaa auth mgmt radius

次に、TACACS サーバに認証の順序を設定する例を示します。

> config aaa auth mgmt tacacs

関連コマンド

show aaa auth order

config acl apply

アクセス コントロール リスト(ACL)をデータ パスに適用するには、config acl apply コマンドを使用します。

config acl apply rule_name

構文の説明

rule_name

最大 32 文字の英数字による ACL 名。

コマンド デフォルト

なし。

使用上のガイドライン

Cisco 2100 シリーズ ワイヤレス LAN コントローラの場合、外部 Web サーバに対して無線 LAN で事前認証 ACL を設定する必要があります。 この ACL は、Web ポリシーで無線 LAN 事前認証 ACL として設定する必要があります。 ただし、Cisco 4400 シリーズ ワイヤレス LAN コントローラの場合は事前認証 ACL を設定する必要はありません。

次に、ACL をデータ パスに適用する例を示します。


> config acl apply acl01

関連コマンド

show acl

config acl counter

パケットが、コントローラ上に設定されたアクセス コントロール リスト(ACL)のいずれかをヒットしたかどうかを確認するには、config acl counter コマンドを使用します。

config acl counter { start | stop}

構文の説明

start

コントローラで ACL カウンタを有効にします。

stop

コントローラで ACL カウンタを無効にします。

コマンド デフォルト

config acl counter stop。

使用上のガイドライン

ACL カウンタを使用できるコントローラは、4400 シリーズ、Cisco WiSM、Catalyst 3750G 統合ワイヤレス LAN コントローラ スイッチだけです。

次に、コントローラで ACL カウンタを有効にする例を示します。


> config acl counter start

関連コマンド

clear acl counters

show acl detailed

config acl create

新しいアクセス コントロール リスト(ACL)を作成するには、config acl create コマンドを使用します。

config acl create rule_name

構文の説明

rule_name

最大 32 文字の英数字による ACL 名。

コマンド デフォルト

なし。

使用上のガイドライン

Cisco 2100 シリーズ ワイヤレス LAN コントローラの場合、外部 Web サーバに対して無線 LAN で事前認証 ACL を設定する必要があります。 この ACL は、Web ポリシーで無線 LAN 事前認証 ACL として設定する必要があります。 ただし、Cisco 4400 シリーズ ワイヤレス LAN コントローラの場合は事前認証 ACL を設定する必要はありません。

次に、新しい ACL を作成する例を示します。


> config acl create acl01

関連コマンド

show acl

config acl cpu

CPU に到達するトラフィックを制限する新しいアクセス コントロール リスト(ACL)を作成するには、config acl cpu コマンドを使用します。

config acl cpu rule_name { wired | wireless | both}

構文の説明

rule_name

ACL 名を指定します

wired

有線トラフィックで ACL を指定します。

wireless

無線トラフィックで ACL を指定します。

both

有線と無線両方のトラフィックで ACL を指定します。

コマンド デフォルト

なし。

使用上のガイドライン

このコマンドにより、CPU に到達するパケットのタイプを制御できます。

次に、CPU で acl101 という ACL を作成し、有線トラフィックに適用する例を示します。

> config acl cpu acl01 wired

関連コマンド

show acl cpu

config acl delete

アクセス コントロール リスト(ACL)を削除するには、config acl delete コマンドを使用します。

config acl delete rule_name

構文の説明

rule_name

最大 32 文字の英数字による ACL 名。

コマンド デフォルト

なし。

使用上のガイドライン

Cisco 2100 シリーズ ワイヤレス LAN コントローラの場合、外部 Web サーバに対して無線 LAN で事前認証 ACL を設定する必要があります。 この ACL は、Web ポリシーで無線 LAN 事前認証 ACL として設定する必要があります。 ただし、Cisco 4400 シリーズ ワイヤレス LAN コントローラの場合は事前認証 ACL を設定する必要はありません。

次に、CPU で acl101 という ACL を削除する例を示します。

> config acl delete acl01

関連コマンド

show acl

config acl rule

ACL ルールを設定するには、config acl rule コマンドを使用します。

config aclrule { action rule_name rule_index { permit | deny} | 
 add rule_name rule_index | 
 change index rule_name old_index new_index | 
 delete rule_name rule_index | 
 destination address rule_name rule_index ip_address netmask | 
 destination port range rule_name rule_index start_port end_port |
 direction rule_name rule_index { in | out | any} | 
 dscp rule_name rule_index dscp | 
 protocol rule_name rule_index protocol | 
 source address rule_name rule_index ip_address netmask | 
 source port range rule_name rule_index start_port end_port |
 swap index rule_name index_1 index_2}

構文の説明

action

アクセスを許可するか拒否するかを設定します。

rule_name

最大 32 文字の英数字による ACL 名。

rule_index

1 ~ 32 のルールのインデックス。

permit

ルールのアクションを許可します。

deny

ルールのアクションを拒否します。

add

新規ルールを追加します。

change

ルールのインデックスを変更します。

index

ルールのインデックスを指定します。

delete

ルールを削除します。

destination address

ルールの宛先 IP アドレスとネットマスクを設定します。

destination port range

ルールの宛先ポート範囲を設定します。

ip_address

ルールの IP アドレス。

netmask

ルールのネットマスク。

start_port

開始ポート番号(0 ~ 65535)。

end_port

終了ポート番号(0 ~ 65535)。

direction

ルールの方向(in、out、または any)を設定します。

in

ルールの方向を in に設定します。

out

ルールの方向を out に設定します。

any

ルールの方向を any に設定します。

dscp

ルールの DSCP を設定します。

dscp

0 ~ 63 の数値または any

protocol

ルールの DSCP を設定します。

protocol

0 ~ 255 の数値または any

source address

ルールの送信元 IP アドレスとネットマスクを設定します。

source port range

ルールの送信元ポート範囲を設定します。

swap

ルールの 2 つのインデックスを入れ替えます。

コマンド デフォルト

なし。

使用上のガイドライン

Cisco 2100 シリーズ ワイヤレス LAN コントローラの場合、外部 Web サーバに対して無線 LAN で事前認証 ACL を設定する必要があります。 この ACL は、Web ポリシーで無線 LAN 事前認証 ACL として設定する必要があります。 ただし、Cisco 4400 シリーズ ワイヤレス LAN コントローラの場合は事前認証 ACL を設定する必要はありません。

次に、アクセスを許可するよう ACL を設定する例を示します。

> config acl rule action lab1 4 permit

関連コマンド

show acl

config auth-list add

許可済みアクセス ポイント エントリを作成するには、config auth-list add コマンドを使用します。

config auth-list add { mic | ssc} AP_MAC [ AP_key]

構文の説明

mic

アクセス ポイントに製造元がインストールした証明書があることを指定します。

ssc

アクセス ポイントに自己署名証明書があることを指定します。

AP_MAC

Cisco Lightweight アクセス ポイントの MAC アドレス。

AP_key

(任意)20 バイトまたは 40 桁に等しいキー ハッシュ値。

コマンド デフォルト

なし。

次に、MAC アドレス 00:0b:85:02:0d:20 で製造元がインストールした証明書によって許可済みアクセス ポイント エントリを作成する例を示します。


> config auth-list add 00:0b:85:02:0d:20

関連コマンド

config auth-list delete

config auth-list ap-policy

config auth-list ap-policy

アクセス ポイントの許可ポリシーを設定するには、config auth-list ap-policy コマンドを使用します。

config auth-list ap-policy { authorize-ap { enable | disable} | ssc { enable | disable}}

構文の説明

authorize-ap enable

許可ポリシーを有効にします。

authorize-ap disable

AP 許可ポリシーを無効にします。

ssc enable

自己署名証明書を持つ AP の接続を許可します。

ssc disable

自己署名証明書を持つ AP の接続を禁止します。

コマンド デフォルト

なし。

次に、アクセス ポイントの許可ポリシーを有効にする例を示します。


> config auth-list ap-policy authorize-ap enable

次に、自己署名証明書を持つアクセス ポイントの接続を有効にする例を示します。


> config auth-list ap-policy ssc disable

関連コマンド

config auth-list delete

config auth-list add

config auth-list delete

アクセス ポイント エントリを削除するには、config auth-list delete コマンドを使用します。

config auth-list delete AP_MAC

構文の説明

AP_MAC

Cisco Lightweight アクセス ポイントの MAC アドレス。

コマンド デフォルト

なし。

次に、MAC アドレス 00:1f:ca:cf:b6:60 のアクセス ポイント エントリを削除する例を示します。


> config auth-list delete 00:1f:ca:cf:b6:60

関連コマンド

config auth-list delete

config auth-list add

config auth-list ap-policy

config advanced eap

詳細な拡張認証プロトコル(EAP)設定を行うには、config advanced eap コマンドを使用します。

config advanced eap [ eapol-key-timeout timeout | eapol-key-retries retries | identity-request-timeout timeout | identity-request-retries retries | key-index index | max-login-ignore-identity-response
{ enable | disable} request-timeout timeout | request-retries retries]

構文の説明

eapol-key-timeout timeout

(任意)EAP または WPA/WPA-2 PSK を使用してコントローラが無線クライアントに EAPOL(WPA)キー メッセージを再送信するまでに待機する時間(200 ~ 5000 ミリ秒)を指定します。

デフォルト値は 1000 ミリ秒です。

eapol-key-retries retries

(任意)コントローラが無線クライアントに EAPOL(WPA)キー メッセージを再送信する最大回数(0~4)を指定します。

デフォルト値は 2 です。

identity-request- timeout timeout

(任意)コントローラが無線クライアントに EAP ID 要求メッセージを再送信するまでに待機する時間(1 ~ 120 秒)を指定します。

デフォルト値は 30 秒です。

identity-request- retries

(任意)コントローラが無線クライアントに EAPOL(WPA)キー メッセージを再送信する最大回数(0~4)を指定します。

デフォルト値は 2 です。

key-index index

(任意)ダイナミック Wired Equivalent Privacy(WEP)で使用するキー インデックス(0 または 3)を指定します。

max-login-ignore- identity-response

(任意)ユーザの最大 EAP ID 応答ログイン回数が無視されることを指定します。 有効な場合は、コントローラに同じユーザ名で接続できるデバイスの数が制限されます。

enable

最大 EAP ID 応答に到達する同じユーザ名を無視します。

disable

最大 EAP ID 応答に到達する同じユーザ名を確認します。

request-timeout

(任意)ID 要求または EAPOL(WPA)キー メッセージ以外の EAP メッセージについて、コントローラが無線クライアントにメッセージを再送信するまでに待機する時間(1 ~ 120 秒)を指定します。

デフォルト値は 30 秒です。

request-retries

(任意)ID 要求または EAPOL(WPA)キー メッセージ以外の EAP メッセージについて、コントローラが無線クライアントにメッセージを再送信する最大回数(0 ~ 20)を指定します。

デフォルト値は 2 です。

コマンド デフォルト

eapol-key-timeout のデフォルト値:1 秒。

eapol-key-retries のデフォルト値:2 秒。

次に、ダイナミック Wired Equivalent Privacy(WEP)に使用するキー インデックスを設定する例を示します。


> config advanced eap key-index 0

関連コマンド

show advanced eap

config advanced timers auth-timeout

認証タイムアウトを設定するには、config advanced timers auth-timeout コマンドを使用します。

config advanced timers auth-timeout seconds

構文の説明

seconds

10 ~600 秒の認証応答タイムアウト値。

コマンド デフォルト

10 秒。

次に、認証タイムアウトを 20 秒に設定する例を示します。


> config advanced timers auth-timeout 20

関連コマンド

show advanced timers

config advanced timers ap-discovery-timeout

config advanced timers ap-heartbeat-timeout

config advanced timers ap-primary-discovery-timeout

config advanced timers ap-fast-heartbeat

config advanced timers eap-timeout

拡張認証プロトコル(EAP)有効期限タイムアウトを設定するには、config advanced timers eap-timeout コマンドを使用します。

config advanced timers eap-timeout seconds

構文の説明

seconds

8 ~ 120 秒の EAP タイムアウト値。

コマンド デフォルト

なし。

次に、EAP 有効期限タイムアウトを 10 秒に設定する例を示します。


> config advanced timers eap-timeout 10

関連コマンド

show advanced timers

config advanced timers eap-identity-request-delay

詳細な拡張認証プロトコル(EAP)ID 要求遅延(秒)を設定するには、config advanced timers eap-identity-request-delay コマンドを使用します。

config advanced timers eap-identity-request-delay seconds

構文の説明

seconds

0 ~ 10 秒の詳細な EAP ID 要求遅延。

コマンド デフォルト

なし。

次に、詳細な EAP ID 要求遅延を 8 秒に設定する例を示します。


> config advanced timers eap-identity-request-delay 8

関連コマンド

config advanced timers auth-timeout

config advanced timers rogue-ap

show advanced timers

config cts sxp

コントローラで Cisco TrustSec SXP(CTS)接続を設定するには、config cts sxp コマンドを使用します。

config cts sxp { enable | disable}

構文の説明

enable

コントローラで CTS 接続を有効にします。

disable

コントローラで CTS 接続を無効にします。

コマンド デフォルト

なし。

次に、コントローラで CTS を有効にする例を示します。


> config cts sxp enable

関連コマンド

config cts sxp connection

config cts sxp default password

config cts sxp retry period

config cts sxp connection

コントローラで Cisco TrustSec SXP(CTS)接続を設定するには、config cts sxp connection コマンドを使用します。

config cts sxp connection { delete | peer} ip-address

構文の説明

delete

コントローラで CTS 接続を削除します。

peer

コントローラが接続されるネクスト ホップ スイッチを設定します。

ip-address

ピアの IPv4 アドレス。

コマンド デフォルト

なし。

使用上のガイドライン

CTS 接続を追加する前に、デフォルトのパスワードを設定する必要があります。

次に、CTS 接続のピアを設定する例を示します。

> config cts sxp connection peer 209.165.200.224

関連コマンド

config cts sxp

config cts sxp default password

config cts sxp retry period

config cts sxp default password

SXP メッセージの MD5 認証用のデフォルト パスワードを設定するには、config cts sxp default password コマンドを使用します。

config cts sxp default password password

構文の説明

password

SXP メッセージの MD5 認証用のデフォルト パスワード。 パスワードには、少なくとも 6 文字が必要です。

コマンド デフォルト

なし。

次に、SXP メッセージの MD5 認証用のデフォルト パスワードを設定する例を示します。


> config cts sxp default password controller

関連コマンド

config cts sxp

config cts sxp connection

config cts sxp retry period

SXP 再試行期間を設定するには、config cts sxp retry period コマンドを使用します。

config cts sxp retry period time-in-seconds

構文の説明

time-in-seconds

接続の失敗後に CTS の接続を再試行するまでの時間。

コマンド デフォルト

なし。

次に、SXP 再試行期間を 20 秒に設定する例を示します。


> config cts sxp retry period 20

関連コマンド

config cts sxp connection

config cts sxp default password

config cts sxp

config database size

ローカル データベースを設定するには、config database size コマンドを使用します。

config database size count

構文の説明

count

512 ~ 2040 のデータベース サイズ値

コマンド デフォルト

なし。

使用上のガイドライン

show database コマンドを使用して、ローカル データベースの設定を表示します。

次に、ローカル データベースのサイズを設定する例を示します。


> config database size 1024

関連コマンド

show database

config exclusionlist

除外リスト エントリを作成または削除するには、config exclusionlist コマンドを使用します。

config exclusionlist { add MAC [ description] | delete MAC | description MAC [ description]}

構文の説明

config exclusionlist

除外リストを設定します。

add

ローカル除外リスト エントリを作成します。

delete

ローカル除外リスト エントリを削除します。

description

除外リスト エントリの説明を指定します。

MAC

ローカル除外リスト エントリの MAC アドレス。

description

(任意)除外されたエントリの説明(最大 32 文字)。

コマンド デフォルト

なし。

次に、MAC アドレス xx:xx:xx:xx:xx:xx のローカル除外リスト エントリを作成する例を示します。

> config exclusionlist add xx:xx:xx:xx:xx:xx lab

次に、MAC アドレス xx:xx:xx:xx:xx:xx のローカル除外リスト エントリを削除する例を示します。

> config exclusionlist delete xx:xx:xx:xx:xx:xx lab

関連コマンド

show exclusionlist

config ldap

Lightweight Directory Access Protocol(LDAP)サーバの設定を行うには、config ldap コマンドを使用します。

config ldap { add | delete | enable | disable | retransmit-timeout} index

構文の説明

add

LDAP サーバの追加を指定します。

delete

LDAP サーバの削除を指定します。

enable

LDAP サーバの有効化を指定します。

disable

LDAP サーバの無効化を指定します。

retransmit-timeout

LDAP サーバのデフォルト再送信タイムアウトを変更します。

index

LDAP サーバ インデックス。 範囲は 1 ~ 17 です。

コマンド デフォルト

なし。

次に、LDAP サーバ インデックス 10 を有効にする例を示します。


> config ldap enable 10

関連コマンド

config ldap add

config ldap simple-bind

show ldap summary

config ldap add

Lightweight Directory Access Protocol(LDAP)サーバを設定するには、config ldap add コマンドを使用します。

config lap add index server_ip_address port user_base user_attr user_type

構文の説明

index

LDAP サーバ インデックス。

server_ip_address

LDAP サーバの IP アドレス。

port

ポート番号。

user_base

すべてのユーザを含むサブツリーの識別名。

user_attr

ユーザ名を含む属性。

user_type

ユーザを識別するオブジェクト タイプ。

コマンド デフォルト

なし。

次に、インデックス 10、サーバ IP アドレス 209.165.201.30、ポート番号 2 で LDAP サーバを設定する例を示します。


> config ldap add 10 209.165.201.30 2 base_name attr_name type_name 

関連コマンド

config ldap

config ldap simple-bind

show ldap summary

config ldap simple-bind

Lightweight Directory Access Protocol(LDAP)サーバのローカル認証バインド方式を設定するには、config ldap simple-bind コマンドを使用します。

config ldap simple-bind { anonymous index | authenticated index username password}

構文の説明

anonymous

LDAP サーバへの匿名アクセスを許可します。

index

LDAP サーバ インデックス。

authenticated

LDAP サーバに安全にアクセスのため、ユーザ名とパスワードを入力することを指定します。

username

認証されたバインド方式のユーザ名。

password

認証されたバインド方式のパスワード。

コマンド デフォルト

デフォルトのバインド方式は anonymous です。

次に、LDAP サーバへの匿名アクセスを許可するローカル認証バインド方式を設定する例を示します。


> config ldap simple-bind anonymous

関連コマンド

config ldap add

config ldap

show ldap summary

config local-auth active-timeout

設定済みの RADIUS サーバのペアによる認証が失敗した後に、コントローラがローカル拡張認証プロトコル(EAP)を使用して無線クライアントの認証を試行する時間を指定するには、config local-auth active-timeout コマンドを使用します。

config local-auth active-timeout timeout

構文の説明

timeout

タイムアウト時間を秒単位で指定します。 有効な範囲は 1 ~ 3600 です。

コマンド デフォルト

100 秒。

次に、EAP を使用して、無線クライアントを認証するためのアクティブ タイムアウトを 500 秒に指定する例を示します。


> config local-auth active-timeout 500

関連コマンド

clear stats local-auth

config local-auth eap-profile

config local-auth method fast

config local-auth user-credentials

debug aaa local-auth

show local-auth certificates

show local-auth config

show local-auth statistics

config local-auth eap-profile

ローカル拡張認証プロトコル(EAP)認証プロファイルを設定するには、config local-auth eap-profile コマンドを使用します。

config local-auth eap-profile {[ add | delete] profile_name | cert-issuer { cisco | vendor} | method method local-cert { enable | disable} profile_name | method method client-cert { enable | disable} profile_name | method method peer-verify ca-issuer { enable | disable} | method method peer-verify cn-verify{ enable | disable} | method method peer-verify date-valid { enable | disable}

構文の説明

add

(任意)EAP プロファイルまたは方式の追加を指定します。

delete

(任意)EAP プロファイルまたは方式の削除を指定します。

profile_name

EAP プロファイル名(最大 63 文字の英数字)。 プロファイル名にはスペースは使用できません。

cert-issuer

(Extensible Authentication Protocol Transport Layer Security(EAP-TLS)、Protected Extensible Authentication Protocol(PEAP)、または Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)と証明書を使用している場合)クライアントに送信される証明書の発行元を指定します。 証明書発行元としては Cisco またはサードパーティ ベンダーがサポートされています。

cisco

シスコの証明書の発行元を指定します。

vendor

サード パーティ ベンダーを指定します。

method

EAP プロファイル方式を設定します。

method

EAP プロファイル方式名。 サポートされている方式は leap、fast、tls、および peap です。

local-cert

(EAP-FAST で使用する場合)認証のために、コントローラ上にデバイス証明書が必要かどうかを指定します。

enable

パラメータ ID の有効化を指定します。

disable

パラメータ ID の無効化を指定します。

client-cert

(EAP-FAST で使用する場合)認証用のデバイス証明書をコントローラへ送信するために、無線クライアントが必要かどうかを指定します。

peer-verify

ピア証明書検証オプションを設定します。

ca-issuer

(EAP-TLS または EAP-FAST と証明書を使用している場合)クライアントから受信した証明書を、コントローラ上の認証局(CA)の証明書と照合するかどうかを指定します。

cn-verify

(EAP-TLS または EAP-FAST と証明書を使用している場合)受信した証明書の通常名(CN)をコントローラ上の CA 証明書の CN と照合するかどうかを指定します。

date-valid

(EAP-TLS または EAP-FAST と証明書を使用している場合)受信したデバイス証明書が有効で期限切れになっていないことをコントローラで検証するかどうかを指定します。

コマンド デフォルト

なし。

次に、FAST01 という名前のローカル EAP プロファイルを作成する例を示します。


> config local-auth eap-profile add FAST01

次に、ローカル EAP プロファイルに EAP-FAST 方式を追加する例を示します。

> config local-auth eap-profile method add fast FAST01

次に、EAP-FAST プロファイルのクライアントに送信される証明書の発行元としてシスコを指定する例を示します。

> config local-auth eap-profile method fast cert-issuer cisco

次に、クライアントから受信する証明書がコントローラ上の CA 証明書と照合されるように指定する例を示します。

> config local-auth eap-profile method fast peer-verify ca-issuer enable

関連コマンド

config local-auth active-timeout

config local-auth method fast

config local-auth user-credentials

debug aaa local-auth

show local-auth certificates

show local-auth config

show local-auth statistics

config local-auth method fast

EAP-FAST プロファイルを設定するには、config local-auth method fast コマンドを使用します。

config local-auth method fast { anon-prov [ enable | disable] | authority-id auth_id pac-ttl days | server-key key_value}

構文の説明

anon-prov

匿名プロビジョニングが可能なようにコントローラを設定します。これにより、Protected Access Credential(PAC)プロビジョニング中に、PAC を持たないクライアントに PAC を自動的に送信できるようになります。

enable

(任意)パラメータを有効化することを指定します。

disable

(任意)パラメータを無効化することを指定します。

authority-id

ローカル EAP-FAST サーバの権限識別子を設定します。

auth_id

ローカル EAP-FAST サーバの権限識別子(2 ~ 32 の 16 進数値)。

pac-ttl

Protected Access Credential(PAC)の有効期間の日数を設定します。これは存続可能時間(TTL)値とも呼ばれます。

days

存続可能時間(TTL)の値(1 ~ 1000 日)。

server-key

PAC を暗号化または復号化するサーバ キーを設定します。

key_value

暗号キーの値(2 ~ 32 の 16 進数値)。

コマンド デフォルト

なし。

次に、匿名プロビジョニングを許可するためにコントローラを無効にする例を示します。

> config local-auth method fast anon-prov disable

次に、ローカル EAP-FAST サーバの権限識別子 0125631177 を設定する例を示します。

> config local-auth method fast authority-id 0125631177

次に、PAC の有効日数を 10 日に設定する例を示します。

> config local-auth method fast pac-ttl 10

関連コマンド

clear stats local-auth

config local-auth eap-profile

config local-auth active-timeout

config local-auth user-credentials

debug aaa local-auth

show local-auth certificates

show local-auth config

show local-auth statistics

config local-auth user-credentials

ユーザ クレデンシャルをローカル拡張認証プロトコル(EAP)認証データベースで検索する順序を設定するには、config local-auth user credentials コマンドを使用します。

config local-auth user-credentials { local [ ldap] | ldap [ local] }

構文の説明

local

ユーザ クレデンシャルをローカル データベースで検索することを指定します。

ldap

(任意)ユーザ クレデンシャルを Lightweight Directory Access Protocol(LDAP)データベースで検索することを指定します。

コマンド デフォルト

なし。

使用上のガイドライン

特定のデータベース パラメータの順序は、データベースの検索順序を示します。

次に、ローカル EAP 認証データベースが検索される順序を指定する例を示します。

> config local-auth user credentials local lda

上記の例では、最初にローカル データベースが検索され、次に LDAP データベースが検索されます。

関連コマンド

clear stats local-auth

config local-auth eap-profile

config local-auth method fast

config local-auth active-timeout

debug aaa local-auth

show local-auth certificates

show local-auth config

show local-auth statistics

config ipv6 acl

Cisco ワイヤレス LAN コントローラで IPv6 ACL を作成または削除するには、config ipv6 acl コマンドを使用します。

config ipv6 acl { apply ipv6_acl_name | create ipv6_acl_name | delete ipv6_acl_name | rule { action rule_name rule_index { permit | deny} | add rule_name rule_index | change index rule_name old_index new_index | delete rule_name rule_index | destination address rule_name rule_index ip_address netmask | destination port range rule_name rule_index start_port end_port | direction rule_name rule_index { in | out | any} | dscp rule_name rule_index dscp | protocol rule_name rule_index protocol | source address rule_name rule_index ip_address netmask | source port range rule_name rule_index start_port end_port | swap index rule_name index_1 index_2}}

構文の説明

apply

IPv6 ACL を適用します。

ipv6_acl_name

最大 32 文字の英数字による IPv6 ACL 名。

create

IPv6 ACL を作成します。

delete

IPv6 ACL を削除します。

rule

IPv6 ACL を設定します。

action

アクセスを許可するか拒否するかを設定します。

rule_name

最大 32 文字の英数字による ACL 名。

rule_index

1 ~ 32 のルールのインデックス。

permit

ルールのアクションを許可します。

deny

ルールのアクションを拒否します。

add

新規ルールを追加します。

change

ルールのインデックスを変更します。

index

ルールのインデックスを指定します。

delete

ルールを削除します。

destination address

ルールの宛先 IP アドレスとネットマスクを設定します。

ip_address

ルールの IP アドレス。

netmask

ルールのネットマスク。

start_port

開始ポート番号(0 ~ 65535)。

end_port

終了ポート番号(0 ~ 65535)。

direction

ルールの方向(in、out、または any)を設定します。

in

ルールの方向を in に設定します。

out

ルールの方向を out に設定します。

any

ルールの方向を any に設定します。

dscp

ルールの DSCP を設定します。

dscp

0 ~ 63 の数値または any

protocol

ルールの DSCP を設定します。

protocol

0 ~ 255 の数値または any

source address

ルールの送信元 IP アドレスとネットマスクを設定します。

source port range

ルールの送信元ポート範囲を設定します。

swap

ルールの 2 つのインデックスを入れ替えます。

destination port range

ルールの宛先ポート範囲を設定します。

コマンド デフォルト

なし。

使用上のガイドライン

Cisco 2100 シリーズ ワイヤレス LAN コントローラの場合、外部 Web サーバに対して無線 LAN で事前認証 ACL を設定する必要があります。 この ACL は、Web ポリシーで無線 LAN 事前認証 ACL として設定する必要があります。 ただし、Cisco 4400 シリーズ ワイヤレス LAN コントローラの場合は事前認証 ACL を設定する必要はありません。

次に、アクセスを許可するよう IPv6 ACL を設定する例を示します。

> config ipv6 acl rule action lab1 4 permit

関連コマンド

show ipv6 acl

config netuser add

コントローラ上のローカル ユーザ データベースに WLAN 上のゲスト ユーザまたは有線ゲスト LAN を追加するには、config netuser add コマンドを使用します。

config netuser add username password { wlan wlan_id | guestlan guestlan_id} userType guest lifetime lifetime description description

構文の説明

username

ゲスト ユーザ名。 ユーザ名には、最大 50 文字の英数字を使用できます。

password

ユーザ パスワード。 パスワードには、最大 24 文字の英数字を使用できます。

wlan

関連付ける無線 LAN の識別子を指定するか、すべての無線 LAN にゼロを指定します。

wlan_id

ユーザに割り当てられている無線 LAN 識別子。 値 0 の場合、ユーザをすべての無線 LAN にアソシエートします。

guestlan

関連付けるゲスト LAN の識別子を指定するか、すべての無線 LAN にゼロを指定します。

guestlan_id

ゲスト LAN の ID。

userType

ユーザ タイプを指定します。

guest

ゲスト ユーザのゲストを指定します。

lifetime

ライフタイムを指定します。

lifetime

ゲスト ユーザの秒単位のライフタイム値(60 ~ 259200 または 0)。

(注)     

値 0 は、ライフタイム値が無制限であることを示します。

description

ユーザの簡単な説明。 説明は二重引用符で囲み、最大 32 文字を使用できます。

コマンド デフォルト

なし。

使用上のガイドライン

ローカル ネットワーク ユーザは 1 つのデータベースに格納されるので、これらのユーザ名は重複してはいけません。

次に、永久ユーザ名 Jane をワイヤレス ネットワークに 1 時間追加する例を示します。

> config netuser add jane able2 1 wlan_id 1 userType permanent

次に、ゲスト ユーザ名 George をワイヤレス ネットワークに 1 時間追加する例を示します。

> config netuser add george able1 guestlan 1 3600

関連コマンド

show netuser

config netuser delete

config netuser delete

ローカル ネットワークから既存のユーザを削除するには、config netuser delete コマンドを使用します。

config netuser delete username

構文の説明

username

ネットワーク ユーザ名。 ユーザ名には、最大 24 文字の英数字を使用できます。

コマンド デフォルト

なし。

使用上のガイドライン

ローカル ネットワーク ユーザは 1 つのデータベースに格納されるので、これらのユーザ名は重複してはいけません。

次に、既存のユーザ名 able1 をネットワークから削除する例を示します。


> config netuser delete able1
Deleted user able1

関連コマンド

show netuser

config netuser description

既存のネットワーク ユーザに説明を追加するには、config netuser description コマンドを使用します。

config netuser description username description

構文の説明

username

ネットワーク ユーザ名。 ユーザ名には、最大 24 文字の英数字を使用できます。

description

(任意)ユーザの説明。 説明は二重引用符で囲み、最大 32 文字の英数字を使用できます。

コマンド デフォルト

なし。

次に、ユーザの説明「HQ1 Contact」を既存のネットワーク ユーザ名 able 1 に追加する例を示します。


> config netuser description able1 “HQ1 Contact”

関連コマンド

show netuser

config network bridging-shared-secret

ブリッジの共有キーを設定するには、config network bridging-shared-secret コマンドを使用します。

config network bridging-shared-secret shared_secret

構文の説明

shared_secret

ブリッジの共有キーの文字列。 文字列には 10 バイトまで使用できます。

コマンド デフォルト

イネーブル

使用上のガイドライン

このコマンドにより、スイッチに接続するメッシュ アクセス ポイントのバックホール ユーザ データを暗号化する共有キーが作成されます。

このコマンドを機能させるには、zero touch configuration をイネーブルにしておく必要があります。

次に、ブリッジの共有キーの文字列「shhh1」を設定する例を示します。


> config network bridging-shared-secret shhh1

関連コマンド

show network summary

config network web-auth captive-bypass

ネットワーク レベルでキャプティブ ポータルのバイパスをサポートするようにコントローラを設定するには、config network web-auth captive-bypass コマンドを使用します。

config network web-auth captive-bypass { enable | disable}

構文の説明

enable

コントローラがキャプティブ ポータルのバイパスをサポートできるようにします。

disable

コントローラがキャプティブ ポータルのバイパスをサポートできないようにします。

コマンド デフォルト

なし。

次にキャプティブ ポータルのバイパスをサポートするようにコントローラを設定する例を示します。


> config network web-auth captive-bypass enable

関連コマンド

show network summary

config network web-auth cmcc-support

config network web-auth port

ネットワーク レベルの Web 認証に関して追加ポートがリダイレクトされるように設定するには、config network web-auth port コマンドを使用します。

config network web-auth port port

構文の説明

port

ポート番号。 有効な範囲は 0 ~ 65535 です。

コマンド デフォルト

なし。

次に、Web 認証に関して、追加ポート番号 1200 がリダイレクトされるように設定する例を示します。


> config network web-auth port 1200

関連コマンド

show network summary

config network web-auth proxy-redirect

Web 認証クライアントのプロキシのリダイレクション サポートを設定するには、config network web-auth proxy-redirect コマンドを使用します。

config network web-auth proxy-redirect { enable | disable}

構文の説明

enable

Web 認証クライアントのプロキシ リダイレクションをサポートできるようにします。

disable

Web 認証クライアントのプロキシ リダイレクションをサポートできないようにします。

コマンド デフォルト

なし。

次に、Web 認証クライアントのプロキシのリダイレクションのサポートをイネーブルにする例を示します。


> config network web-auth proxy-redirect enable

関連コマンド

show network summary

config network web-auth secureweb

クライアントにセキュア Web(https)認証を設定するには、config network web-auth secureweb コマンドを使用します。

config network web-auth secureweb { enable | disable}

構文の説明

enable

クライアントにセキュア Web(https)認証を行えるようにします。

disable

クライアントにセキュア Web(https)認証を行えないようにします。 Web 認証クライアントに http を使用できるようにします。

コマンド デフォルト

イネーブル

次に、クライアントに対してセキュア Web(https)認証をイネーブルにする例を示します。


> config network web-auth secureweb enable

関連コマンド

show network summary

config network webmode

Web モードをイネーブルまたはディセーブルにするには、config network webmode コマンドを使用します。

config network webmode { enable | disable}

構文の説明

enable

Web インターフェイスをイネーブルにします。

disable

Web インターフェイスをディセーブルにします。

コマンド デフォルト

イネーブル

次に、Web インターフェイス モードをディセーブルにする例を示します。


> config network webmode disable

関連コマンド

show network summary

config network web-auth

ネットワーク レベルの Web 認証オプションを設定するには、config network web-auth コマンドを使用します。

config network web-auth { port port-number} | { proxy-redirect { enable | disable}}

構文の説明

port

Web 認証リダイレクション用に追加ポートを設定します。

port-number

ポート番号(0 ~ 65535)。

proxy-redirect

Web 認証クライアントのプロキシ リダイレクション サポートを設定します。

enable

Web 認証クライアントのプロキシ リダイレクション サポートをイネーブルにします。

(注)     

Web 認証プロキシのリダイレクションは、ポート 80、8080、および 3128 に加え、ユーザ定義のポート 345 に対してイネーブルになります。

disable

Web 認証クライアントのプロキシ リダイレクション サポートをディセーブルにします。

コマンド デフォルト

ディセーブル

使用上のガイドライン

設定を有効にするには、システムをリセットする必要があります。

次に、Web 認証クライアントのプロキシのリダイレクションのサポートをイネーブルにする例を示します。


> config network web-auth proxy-redirect enable

関連コマンド

show network summary

show run-config

config qos protocol-type

RADIUS アカウントのコンフィギュレーション コマンド

config radius acct コマンドを使用して、RADIUS アカウント サーバの設定を行います。

config radius acct

Cisco ワイヤレス LAN コントローラの RADIUS アカウンティング サーバの追加、削除、または設定を行うには、config radius acct コマンドを使用します。

config radius acct {{ enable | disable | delete} index} | 
 add index server_ip port { ascii | hex} secret}

構文の説明

enable

RADIUS アカウンティング サーバを有効にします。

disable

RADIUS アカウンティング サーバを無効にします。

delete

RADIUS アカウンティング サーバを削除します。

index

RADIUS サーバ インデックス。 コントローラは、1 で検索を開始します。

add

RADIUS アカウンティング サーバを追加します。

server_ip

RADIUS サーバの IP アドレス。

port

RADIUS サーバのインターフェイス プロトコルの UDP ポート番号。

ascii

RADIUS サーバの共有キーのタイプ(ascii)を指定します。

hex

RADIUS サーバの共有キーのタイプ(hex)を指定します。

secret

RADIUS サーバのシークレット。

コマンド デフォルト

RADIUS サーバの追加時、ポート番号は 1813 にデフォルト設定され、有効化されています。

次に、ポート 1813admin のログイン パスワードを使用して、10.10.10.10 にある優先順位 1 の RADIUS アカウンティング サーバを設定する例を示します。


> config radius acct add 1 10.10.10.10 1813 ascii admin

関連コマンド

show radius acct statistics

config radius acct ipsec authentication

Cisco ワイヤレス LAN コントローラで IPSec 認証を設定するには、 config radius acct ipsec authentication コマンドを使用します。

config radius acct ipsec authentication { hmac-md5 | hmac-sha1} index

構文の説明

hmac-md5

IPsec HMAC-MD5 認証をイネーブルにします。

hmac-sha1

IPsec HMAC-SHA1 認証をイネーブルにします。

index

RADIUS サーバ インデックス。

コマンド デフォルト

なし。

次に、RADIUS アカウンティング サーバ インデックス 1 で IPSec hmac-md5 認証サービスを設定する例を示します。


> config radius acct ipsec authentication hmac-md5 1

関連コマンド

show radius acct statistics

config radius acct ipsec disable

Cisco ワイヤレス LAN コントローラのアカウンティング サーバに対する IPSec サポートを無効にするには、config radius acct ipsec disable コマンドを使用します。

config radius acct ipsec disable index

構文の説明

index

RADIUS サーバ インデックス。

コマンド デフォルト

なし。

次に、RADIUS アカウンティング サーバ インデックス 1 に対する IPSec サポートを無効にする例を示します。


> config radius acct ipsec disable 1

関連コマンド

show radius acct statistics

config radius acct ipsec enable

Cisco ワイヤレス LAN コントローラのアカウンティング サーバに対する IPSec サポートを有効にするには、config radius acct ipsec enable コマンドを使用します。

config radius acct ipsec enable index

構文の説明

index

RADIUS サーバ インデックス。

コマンド デフォルト

なし。

次に、RADIUS アカウンティング サーバ インデックス 1 に対する IPSec サポートを有効にする例を示します。


> config radius acct ipsec enable 1

関連コマンド

show radius acct statistics

config radius acct ipsec encryption

Cisco ワイヤレス LAN コントローラのアカウンティング サーバに IPSec 暗号化を設定するには、config radius acct ipsec encryption コマンドを使用します。

config radius acct ipsec encryption { 3des | aes | des} index

構文の説明

3des

IPSec 3DES 暗号化をイネーブルにします。

aes

IPSec AES 暗号化を有効にします。

des

IPSec DES 暗号化をイネーブルにします。

index

RADIUS サーバのインデックス値(1 ~ 17)。

コマンド デフォルト

なし。

次に、RADIUS サーバのインデックス値 3 の IPSec 3DES 暗号化を設定する例を示します。


> config radius acct ipsec encryption 3des 3

関連コマンド

show radius acct statistics

show radius summary

config radius acct ipsec ike

Cisco ワイヤレス LAN コントローラのインターネット キー交換(IKE)を設定するには、 config radius acct ipsec コマンドを使用します。

config radius acct ipsec ike dh-group { group-1 | group-2 | group-5} | 
 lifetime seconds | phase1 { aggressive | main}} index

構文の説明

dh-group

Dixie-Hellman グループを指定します。

group-1

DH グループ 1(768 ビット)を設定します。

group-2

DH グループ 2(1024 ビット)を設定します。

group-5

DH グループ 5(1024 ビット)を設定します。

lifetime

IKE ライフタイムを設定します。

seconds

IKE の有効期間(秒単位)。

phase1

IKE phase1 ノードを設定します。

aggressive

アグレッシブ モードをイネーブルにします。

main

メイン モードをイネーブルにします。

index

RADIUS サーバ インデックス。

コマンド デフォルト

なし。

次に、RADIUS サーバ インデックス 1 の IKE の有効期間を 23 秒に設定する例を示します。


> config radius acct ipsec ike lifetime 23 1

関連コマンド

show radius acct statistics

config radius acct mac-delimiter

RADIUS アカウンティング サーバに送信される MAC アドレスで使用されるデリミタを指定するには、config radius acct mac-delimiter コマンドを使用します。

config radius acct mac-delimiter { colon | hyphen | single-hyphen | none}

構文の説明

colon

デリミタをコロンに設定します(xx:xx:xx:xx:xx:xx など)。

hyphen

デリミタをハイフンに設定します(xx-xx-xx-xx-xx-xx など)。

single-hyphen

デリミタを単一ハイフンに設定します(xxxxxx-xxxxxx など)。

none

デリミタを無効にします(xxxxxxxxxxxx など)。

コマンド デフォルト

デフォルトのデリミタは、ハイフンです。

次に、ネットワーク ユーザの RADIUS アカウンティング サーバに送信される MAC アドレスで使用されるデリミタ ハイフンを設定する例を示します。


> config radius acct mac-delimiter hyphen

関連コマンド

show radius acct statistics

config radius acct network

ネットワーク ユーザのデフォルト RADIUS サーバを設定するには、config radius acct network コマンドを使用します。

config radius acct network index { enable | disable}

構文の説明

index

RADIUS サーバ インデックス。

enable

サーバをネットワーク ユーザのデフォルト RADIUS サーバとして有効にします。

disable

サーバをネットワーク ユーザのデフォルト RADIUS サーバとして無効にします。

コマンド デフォルト

なし。

次に、RADIUS サーバ インデックス 1 でネットワーク ユーザのデフォルト RADIUS アカウンティング サーバを設定する例を示します。


> config radius acct network 1 enable

関連コマンド

show radius acct statistics

config radius acct retransmit-timeout

Cisco ワイヤレス LAN コントローラの RADIUS アカウンティング サーバのデフォルト送信タイムアウトを変更するには、config radius acct retransmit-timeout コマンドを使用します。

config radius acct retransmit-timeout index timeout

構文の説明

index

RADIUS サーバ インデックス。

timeout

秒単位での再送信間隔(2 ~ 30)。

コマンド デフォルト

なし。

次に、再送信間隔の再送信タイムアウト値を 5 秒に設定する例を示します。


> config radius acct retransmit-timeout 5

関連コマンド

show radius acct statistics

RADIUS 認証サーバのコンフィギュレーション コマンド

config radius auth コマンドを使用して、RADIUS 認証サーバの設定を行います。

config radius auth

Cisco ワイヤレス LAN コントローラの RADIUS 認証サーバの追加、削除、または設定を行うには、config radius auth コマンドを使用します。

config radius auth {{ enable | disable | delete} index | 
 add index server_ip port { ascii | hex} secret}

構文の説明

enable

RADIUS 認証サーバを有効にします。

disable

RADIUS 認証サーバを無効にします。

delete

RADIUS 認証サーバを削除します。

index

RADIUS サーバ インデックス。 コントローラは、1 で検索を開始します。

add

RADIUS 認証サーバを追加します。 「デフォルト」の項を参照してください。

server_ip

RADIUS サーバの IP アドレスです。

port

RADIUS サーバのインターフェイス プロトコルの UDP ポート番号。

ascii

RADIUS サーバの秘密キーのタイプ(ascii)を指定します。

hex

RADIUS サーバの秘密キーのタイプ(hex)を指定します。

secret

RADIUS サーバのシークレット。

コマンド デフォルト

RADIUS サーバの追加時、ポート番号は 1813 にデフォルト設定され、有効化されています。

次に、ポート 1812admin のログイン パスワードを使用して、10.10.10.10 にある優先順位 1 の RADIUS 認証サーバを設定する例を示します。


> config radius auth add 1 10.10.10.10 1812 ascii admin

関連コマンド

show radius auth statistics

config radius auth IPsec authentication

Cisco ワイヤレス LAN コントローラの認証サーバに対する IPSec サポートを設定するには、config radius auth ipsec authentication コマンドを使用します。

config radius auth IPsec authentication { hmac-md5 | hmac-sha1} index

構文の説明

hmac-md5

IPsec HMAC-MD5 認証をイネーブルにします。

hmac-shal

IPsec HMAC-SHA1 認証をイネーブルにします。

index

RADIUS サーバ インデックス。

コマンド デフォルト

なし。

次に、RADIUS 認証サーバ インデックス 1 に対する IPSec hmac-md5 サポートを設定する例を示します。


> config radius auth IPsec authentication hmac-md5 1

関連コマンド

show radius acct statistics

config radius auth IPsec disable

Cisco ワイヤレス LAN コントローラの認証サーバに対する IPSec サポートを無効にするには、config radius auth ipsec disable コマンドを使用します。

config radius auth IPsec { enable | disable} index

構文の説明

enable

認証サーバの IPSec サポートを有効にします。

disable

認証サーバの IPSec サポートを無効にします。

index

RADIUS サーバ インデックス。

コマンド デフォルト

なし。

次に、RADIUS 認証サーバ インデックス 1 に対する IPSec サポートを有効にする例を示します。


> config radius auth IPsec enable 1

次に、RADIUS 認証サーバ インデックス 1 に対する IPSec サポートを無効にする例を示します。


> config radius auth IPsec disable 1

関連コマンド

show radius acct statistics

config radius auth IPsec encryption

Cisco ワイヤレス LAN コントローラの認証サーバに対する IPSec 暗号化サポートを設定するには、config radius auth IPsec encryption コマンドを使用します。

config radius auth IPsec encryption { 3des | aes | des} index

構文の説明

3des

IPSec 3DES 暗号化を有効にします。

aes

IPSec AES 暗号化を有効にします。

des

IPSec DES 暗号化を有効にします。

index

RADIUS サーバ インデックス。

コマンド デフォルト

なし。

次に、IPsec 3dec 暗号化の RADIUS 認証サーバ インデックス 3 を設定する例を示します。


> config radius auth IPsec encryption 3des 3

関連コマンド

show radius acct statistics

config radius auth IPsec ike

Cisco ワイヤレス LAN コントローラでインターネット キー交換(IKE)を設定するには、config radius auth IPsec ike コマンドを使用します。

config radius auth IPsec ike { dh-group { group-1 | group-2 | group-5} | 
 lifetime seconds | phase1 { aggressive | main}} index

構文の説明

dh-group

IKE Diffe-Hellman グループを設定します。

group-1

DH グループ 1(768 ビット)を設定します。

group-2

DH グループ 2(1024 ビット)を設定します。

group-5

DH グループ 2(1024 ビット)を設定します。

lifetime

IKE ライフタイムを設定します。

seconds

秒単位のライフタイム。

phase1

IKE phase1 モードを設定します。

aggressive

アグレッシブ モードをイネーブルにします。

main

メイン モードをイネーブルにします。

index

RADIUS サーバ インデックス。

コマンド デフォルト

なし。

次に、RADIUS 認証インデックス 1 の IKE の有効期間を 23 秒に設定する例を示します。


> config radius auth IPsec ike lifetime 23 1

関連コマンド

show radius acct statistics

config radius auth keywrap

Advanced Encryption Standard(AES)キー ラップを有効化および設定して、コントローラと RADIUS サーバの共有キーのセキュリティを強化するには、config radius auth keywrap コマンドを使用します。

config radius auth keywrap { enable | disable | add { ascii | hex} kek mack index}

構文の説明

enable

AES キー ラップを有効にします。

disable

AES キー ラップを無効にします。

add

AES キー ラップの属性を設定します。

ascii

キー ラップを ASCII 形式で設定します。

hex

キー ラップを 16 進数表記で設定します。

kek

16 バイトの Key Encryption Key(KEK)。

mack

20 バイトの Message Authentication Code Key(MACK)。

index

AES キー ラップを設定する RADIUS 認証サーバのインデックス。

コマンド デフォルト

なし。

次に、RADIUS 認証サーバの AES キー ラップを有効にする例を示します。


> config radius auth keywrap enable

関連コマンド

show radius auth statistics

config radius auth mac-delimiter

RADIUS 認証サーバに送信される MAC アドレスで使用されるデリミタを指定するには、config radius auth mac-delimiter コマンドを使用します。

config radius auth mac-delimiter { colon | hyphen | single-hyphen | none}

構文の説明

colon

デリミタをコロンに設定します(xx:xx:xx:xx:xx:xx など)。

hyphen

デリミタをハイフンに設定します(xx-xx-xx-xx-xx-xx など)。

single-hyphen

デリミタを単一ハイフンに設定します(xxxxxx-xxxxxx など)。

none

デリミタを無効にします(xxxxxxxxxxxx など)。

コマンド デフォルト

デフォルトのデリミタは、ハイフンです。

次に、RADIUS 認証サーバに使用するデリミタ ハイフンを指定する例を示します。


> config radius auth mac-delimiter hyphen

関連コマンド

show radius auth statistics

config radius auth management

管理ユーザのデフォルト RADIUS サーバを設定するには、config radius auth management コマンドを使用します。

config radius auth management index { enable | disable}

構文の説明

index

RADIUS サーバ インデックス。

enable

サーバを管理ユーザのデフォルト RADIUS サーバとして有効にします。

disable

サーバを管理ユーザのデフォルト RADIUS サーバとして無効にします。

コマンド デフォルト

なし。

次に、管理ユーザの RADIUS サーバを設定する例を示します。


> config radius auth management 1 enable

関連コマンド

show radius acct statistics

config radius acct network

config radius auth mgmt-retransmit-timeout

config radius auth mgmt-retransmit-timeout

管理ユーザのデフォルト RADIUS サーバの再送信タイムアウトを設定するには、config radius auth mgmt-retransmit-timeout コマンドを使用します。

config radius auth mgmt-retransmit-timeout index retransmit-timeout

構文の説明

index

RADIUS サーバ インデックス。

retransmit-timeout

タイムアウト値。 範囲は 1 ~ 30 です。

コマンド デフォルト

なし。

次に、管理ユーザのデフォルト RADIUS サーバの再送信タイムアウトを設定する例を示します。


> config radius auth mgmt-retransmit-timeout 1 10

関連コマンド

config radius auth management

config radius auth network

ネットワーク ユーザのデフォルト RADIUS サーバを設定するには、config radius auth network コマンドを使用します。

config radius auth network index { enable | disable}

構文の説明

index

RADIUS サーバ インデックス。

enable

サーバをネットワーク ユーザのデフォルト RADIUS サーバとして有効にします。

disable

サーバをネットワーク ユーザのデフォルト RADIUS サーバとして無効にします。

コマンド デフォルト

なし。

次に、ネットワーク ユーザのデフォルト RADIUS サーバを設定する例を示します。


> config radius auth network 1 enable

関連コマンド

show radius acct statistics

config radius acct network

config radius auth retransmit-timeout

Cisco ワイヤレス LAN コントローラの RADIUS 認証サーバのデフォルト送信タイムアウトを変更するには、config radius auth retransmit-timeout コマンドを使用します。

config radius auth retransmit-timeout index timeout

構文の説明

index

RADIUS サーバ インデックス。

timeout

秒単位での再送信間隔(2 ~ 30)。

コマンド デフォルト

なし。

次に、RADIUS 認証サーバの再送信タイムアウトを 5 秒に設定する例を示します。


> config radius auth retransmit-timeout 5

関連コマンド

show radius auth statistics

config radius auth rfc3576

Cisco ワイヤレス LAN コントローラの認証サーバに RADIUS RFC-3576 サポートを設定するには、config radius auth rfc3576 コマンドを使用します。

config radius auth rfc3576 { enable | disable} index

構文の説明

enable

認証サーバの RFC-3576 サポートを有効にします。

disable

認証サーバの RFC-3576 サポートを無効にします。

index

RADIUS サーバ インデックス。

コマンド デフォルト

なし。

使用上のガイドライン

RFC 3576 は RADIUS プロトコルに対する拡張で、ユーザ セッションの動的な変更を可能にします。 RFC 3576 では、ユーザの切断およびユーザ セッションに適用される許可の変更がサポートされています。 Disconnect メッセージはユーザ セッションをただちに終了させ、CoA メッセージはデータ フィルタなどのセッション認証属性を変更します。

次に、RADIUS 認証サーバに対する RADIUS RFC-3576 サポートを有効にする例を示します。


> config radius auth rfc3576 enable 2

関連コマンド

show radius auth statistics

show radius summary

show radius rfc3576

config radius auth server-timeout

RADIUS アカウンティング サーバの再送信タイムアウト値を設定するには、config radius auth server-timeout コマンドを使用します。

config radius auth server-timeout index timeout

構文の説明

index

RADIUS サーバ インデックス。

timeout

タイムアウト値。 範囲は 2 ~ 30 秒です。

コマンド デフォルト

デフォルトのタイムアウトは 2 秒です。

次に、RADIUS 認証サーバ インデックス 10 のサーバ タイムアウト値を 2 秒に設定する例を示します。


> config radius auth server-timeout 2 10

関連コマンド

show radius auth statistics

show radius summary

config radius aggressive-failover disabled

連続して 3 つのクライアントに応答しなかった RADIUS サーバをダウン(応答なし)としてマークするようにコントローラを設定するには、config radius aggressive-failover disabled コマンドを使用します。

config radius aggressive-failover disabled

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、RADIUS サーバをダウンとしてマークするようにコントローラを設定する例を示します。


> config radius aggressive-failover disabled

関連コマンド

show radius summary

config radius backward compatibility

Cisco ワイヤレス LAN コントローラの RADIUS 下位互換性を設定するには、config radius backward compatibility コマンドを使用します。

config radius backward compatibility { enable | disable}

構文の説明

enable

RADIUS ベンダー ID の下位互換性を有効にします。

disable

RADIUS ベンダー ID の下位互換性を無効にします。

コマンド デフォルト

イネーブル

次に、RADIUS 下位互換性の設定を有効にする例を示します。


> config radius backward compatibility disable

関連コマンド

show radius summary

config radius callStationIdCase

Cisco ワイヤレス LAN コントローラの RADIUS メッセージとして送信される callStationIdCase 情報を設定するには、config radius callStationIdCase コマンドを使用します。

config radius callStationIdCase { legacy | lower | upper}

構文の説明

legacy

レイヤ 2 認証用の呼出端末 ID を大文字で RADIUS に送信します。

lower

すべての呼出端末 ID を小文字で RADIUS に送信します。

upper

すべての呼出端末 ID を大文字で RADIUS に送信します。

コマンド デフォルト

イネーブル

次に、IP アドレスを使用する呼出端末 ID ケース(小文字または大文字)を送信する例を示します。


> config radius callStationIdCase lower

関連コマンド

show radius summary

config radius callStationIdType

Cisco ワイヤレス LAN コントローラの RADIUS メッセージとして送信される callStationIdType 情報を設定するには、config radius callStationIdType コマンドを使用します。

config radius callStationIdType { ipaddr | macaddr | ap-macaddr | ap-macaddr-ssid | ap-group-name | flex-group-name | ap-name | ap-name-ssid | ap-location| vlan-id}

構文の説明

ipaddr

IP アドレスを使用する呼出端末 ID タイプを設定します(レイヤ 3 のみ)。

macaddr

システムの MAC アドレスを使用する呼出端末 ID タイプを設定します(レイヤ 2 およびレイヤ 3)。

ap-macaddr-only

アクセス ポイントの MAC アドレスを使用する呼出端末 ID タイプを設定します(レイヤ 2 およびレイヤ 3)。

ap-macaddr-ssid

<AP MAC address>:<SSID> の形式でアクセス ポイントの MAC アドレスを使用する呼出端末 ID タイプを設定します(レイヤ 2 およびレイヤ 3)

ap-group-name

AP グループ名を使用する呼出端末 ID タイプを設定します。 AP が AP グループの一部でない場合、「default-group」が AP グループ名として使用されます。

flex-group-name

FlexConnect グループ名を使用する呼出端末 ID タイプを設定します。 FlexConnect AP が FlexConnect グループの一部でない場合、システム MAC アドレスが呼出端末 ID として使用されます。

ap-name

アクセス ポイントの名前を使用する呼出端末 ID タイプを設定します。

ap-name-ssid

<AP name>:<SSID> の形式でアクセス ポイントの名前を使用する呼出端末 ID タイプを設定します。

ap-location

アクセス ポイントのロケーションを使用する呼出端末 ID タイプを設定します。

vlan-id

システムの VLAN-ID を使用する呼出端末 ID タイプを設定します。

コマンド デフォルト

システムの MAC アドレス。

使用上のガイドライン

コントローラは、すべての認証パケットおよびアカウンティング パケットで RADIUS サーバに着信端末 ID 属性を送信します。 着信端末 ID 属性を使用すると、属性値に基づいて、異なるグループにユーザを分類できます。 コマンドは着信端末に対してのみ適用可能であり、発信端末には適用できません。

SSID のみを Calling-Station-ID として送信することはできません。SSID は、アクセス ポイント MAC アドレスまたはアクセス ポイント名のいずれかにのみ組み合わせることができます。

次に、IP アドレスを使用する呼出端末 ID タイプを設定する例を示します。


> config radius callStationIdType ipAddr

次に、システムの MAC アドレスを使用する呼出端末 ID タイプを設定する例を示します。


> config radius callStationIdType macAddr 

次に、アクセス ポイントの MAC アドレスを使用する呼出端末 ID タイプを設定する例を示します。


> config radius callStationIdType ap-macAddr 

関連コマンド

show radius summary

config radius fallback-test

RADIUS サーバのフォールバック動作を設定するには、config radius fallback-test コマンドを使用します。

config radius fallback-test mode { off | passive | active} | username username} | { interval interval}

構文の説明

mode

モードを指定します。

off

RADIUS サーバのフォール バックを無効にします。

passive

関係のないプローブ メッセージを送信することなく、コントローラが使用可能なバックアップ サーバから(サーバ インデックスがより小さい)優先サーバに切り替えられます。 コントローラは、しばらくの間非アクティブなすべてのサーバを無視し、あとで RADIUS メッセージの送信が必要になったときに再試行します。

active

RADIUS プローブ メッセージを送信し、非アクティブだったサーバがオンライン状態に戻っているかどうかを事前に確認した上で、コントローラが使用可能なバックアップ サーバから(サーバ インデックスがより小さい)優先サーバに切り替えられます。 コントローラは、すべてのアクティブな RADIUS 要求に対して、非アクティブなすべてのサーバを無視します。

username

ユーザ名を指定します。

username

ユーザ名。 ユーザ名には、最大 16 文字の英数字を使用できます。

interval

プローブの間隔値を指定します。

interval

プローブの間隔。 範囲は 180 ~ 3600 です。

コマンド デフォルト

デフォルトのプローブ間隔は 300 です。

次に、RADIUS アカウンティング サーバのフォールバック動作を無効にする例を示します。


> config radius fallback-test mode off

次に、関係のないプローブ メッセージを送信することなく、コントローラが使用可能なバックアップ サーバから優先サーバに切り替えられるように設定する例を示します。


> config radius fallback-test mode passive

次に、RADIUS プローブ メッセージを送信して、コントローラが使用可能なバックアップ サーバから優先サーバに切り替えられるように設定する例を示します。


> config radius fallback-test mode active

関連コマンド

config advanced probe filter

config advanced probe limit

show advanced probe

show radius acct statistics

不正なデバイス設定のコンフィギュレーション コマンド

configure rogue コマンドを使用して、識別されない(不正な)クライアントのポリシー設定を行います。

config rogue adhoc

Independent Basic Service Set(IBSS またはアドホック)の不正なアクセス ポイントのステータスをグローバルまたは個別に設定するには、config rogue adhoc コマンドを使用します。

config rogue adhoc { enable | disable | external rogue_MAC | alert { rogue_MAC | all} |
 auto-contain [ monitor_ap] | contain rogue_MAC 1234_aps| }

config rogue adhoc { delete { all | mac-address mac-address} | classify { friendly state { external | internal} mac-address | malicious state { alert | contain} mac-address |
 unclassified state { alert | contain } mac-address}

構文の説明

enable

アドホックの不正の検出とレポートをグローバルに有効にします。

disable

アドホックの不正の検出とレポートをグローバルに無効にします。

external

ネットワークの外側にあり、WLAN のセキュリティに脅威を与えない不正アクセス ポイントの外部状態を設定します。 コントローラはこの不正なアクセス ポイントの存在を認識しています。

rogue_MAC

アドホックの不正なアクセス ポイントの MAC アドレス。

alert

アドホックの不正を検出すると SMNP トラップを生成し、システム管理者に即座にアラートを発信し必要な措置を促します。

all

すべてのアドホックの不正なアクセス ポイントに関するアラートを有効にします。

auto-contain

コントローラによって検出されたすべての有線アドホックの不正が含まれます。

monitor_ap

(任意)アドホックの不正なアクセス ポイントの IP アドレス。

contain

加害デバイスを阻止し、その信号が正規クライアントを阻害しないようにします。

1234_aps

アドホックの不正なアクセス ポイントをアクティブに阻止するために割り当てられた、シスコのアクセス ポイントの最大数(1 ~ 4)。

delete

アドホックの不正なアクセス ポイントを削除します。

all

すべてのアドホックの不正なアクセス ポイントを削除します。

mac-address

指定した MAC アドレスがあるアドホックの不正なアクセス ポイントを削除します。

mac-address

アドホックの不正なアクセス ポイントの MAC アドレス。

classify

アドホックの不正なアクセス ポイントの分類を設定します。

friendly state

アドホックの不正なアクセス ポイントを危険性のないアクセス ポイントとして分類します。

internal

ネットワークの内側にあり、WLAN のセキュリティに脅威を与えない不正アクセス ポイントのアラート状態を設定します。 コントローラはこの不正なアクセス ポイントを信頼します。

malicious state

アドホックの不正なアクセス ポイントを悪意のあるアクセス ポイントとして分類します。

alert

ネイバー リストにない、またはユーザが設定した危険性のない MAC のリストに記載されていない不正アクセス ポイントのアラート状態を設定します。 コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。

contain

不正アクセス ポイントを contain の状態に設定します。 コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。

unclassified state

アドホックの不正なアクセス ポイントを未分類のアクセス ポイントとして分類します。

コマンド デフォルト

このコマンドのデフォルトは有効であり、alert に設定されます。 自動阻止のデフォルトは、無効です。

使用上のガイドライン

コントローラは、すべての近隣のアクセス ポイントを継続的に監視し、不正なアクセス ポイントおよびクライアントに関する情報を自動的に検出して収集します。 コントローラが不正なアクセス ポイントを検出すると、Rogue Location Discovery Protocol(RLDP; 不正ロケーション検出プロトコル)を使用して不正なアクセス ポイントが有線ネットワークに接続されているかどうかを確認します。


(注)  


RLDP は、シスコの Atonomous 不正アクセス ポイントではサポートされていません。 これらのアクセス ポイントは、RLDP クライアントによって送信された DHCP 検出要求をドロップします。 また不正なアクセス ポイント チャネルが動的周波数選択(DFS)を必要とする場合、RLDP はサポートされません。


containment コマンドのいずれかを入力すると、次の警告が表示されます。


Using this feature may have legal consequences. Do you want to continue? (y/n) :

Industrial, Scientific, and Medical(ISM; 産業科学医療)帯域の 2.4 GHz- および 5 GHz の周波数は公開されており、ライセンスを受けずに使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

不正なアクセス ポイントを阻止せずにそのアクセス ポイントを監視するには、monitor_ap 引数を使用して auto-contain コマンドを入力します。 コントローラで検出されたすべてのアドホックの不正な有線アクセス ポイントを自動的に阻止するには、オプションの monitor_ap を使用せずに auto-contain コマンドを入力します。

次に、アドホックの不正の検出とレポートを有効にする例を示します。


> config rogue adhoc enable

次に、すべてのアドホックの不正なアクセス ポイントに対するアラートを有効にする例を示します。


> config rogue adhoc alert all

次に、アドホックの不正なアクセス ポイントを危険性なしとして分類し、外部状態を設定する例を示します。

> config rogue adhoc classify friendly state internal 11:11:11:11:11:11

関連コマンド

config rogue auto-contain level

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

config rogue ap classify

不正なアクセス ポイントのステータスを分類するには、config rogue ap classify コマンドを使用します。

config rogue ap classify { friendly state { internal | external} ap_mac
}

config rogue ap classify { malicious | unclassified} state { alert | contain} ap_mac

構文の説明

friendly

不正なアクセス ポイントを危険性なしとして分類します。

state

分類への応答を指定します。

internal

この不正なアクセス ポイントを信頼するようにコントローラを設定します。

external

このアクセス ポイントの存在を認めるようにコントローラを設定します。

ap_mac

不正なアクセス ポイントの MAC アドレス。

malicious

不正なアクセス ポイントを潜在的悪意として分類します。

unclassified

不正なアクセス ポイントを不明として分類します。

alert

システム管理者に即座にアラートを発信し、必要な措置を促すようにコントローラを設定します。

contain

危険性のあるデバイスを阻止して、そのデバイスの信号が認証されたクライアントに干渉しないようにコントローラを設定します。

コマンド デフォルト

これらのコマンドは、デフォルトでは無効になっています。 したがって、すべての不明なアクセス ポイントは、デフォルトではunclassified として分類されます。

使用上のガイドライン

現在の状態が Contain の場合、不正なアクセス ポイントは Unclassified クラスに移動できません。

いずれかの containment コマンドを入力すると、「Using this feature may have legal consequences. Do you want to continue?」というメッセージが表示されます。産業科学医療(ISM)帯域の 2.4 GHz- および 5 GHz の周波数は一般に開放されており、ライセンスを受けずに使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

次に、不正なアクセス ポイントを危険性なしとして分類し、信頼できるようにする例を示します。


> config rogue ap classify friendly state internal 11:11:11:11:11:11

次に、不正なアクセス ポイントを悪意として分類し、アラートを送信する例を示します。


> config rogue ap classify malicious state alert 11:11:11:11:11:11

次に、不正なアクセス ポイントを未分類として分類し、阻止する例を示します。


> config rogue ap classify unclassified state contain 11:11:11:11:11:11

関連コマンド

config rogue adhoc

config rogue ap friendly

config rogue ap rldp

config rogue ap ssid

config rogue ap timeout

config rogue ap valid-client

config rogue client

config trapflags rogueap

show rogue ap clients

show rogue ap detailed

show rogue ap summary

show rogue ap friendly summary

show rogue ap malicious summary

show rogue ap unclassified summary

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

config rogue ap friendly

新しい危険性のないアクセス ポイント エントリを危険性のない MAC アドレスのリストに追加したり、リストから既存の危険性のないアクセス ポイント エントリを削除したりするには、config rogue ap friendly コマンドを使用します。

config rogue ap friendly { add | delete} ap_mac

構文の説明

add

危険性のない MAC アドレス リストからこの不正なアクセス ポイントを追加します。

delete

危険性のない MAC アドレス リストからこの不正なアクセス ポイントを削除します。

ap_mac

追加または削除する不正なアクセス ポイントの MAC アドレス。

コマンド デフォルト

なし。

次に、MAC アドレスが 11:11:11:11:11:11 の新しい危険性のないアクセス ポイントを危険性のない MAC アドレス リストに追加する例を示します。


> config rogue ap friendly add 11:11:11:11:11:11

関連コマンド

config rogue adhoc

config rogue ap classify

config rogue ap rldp

config rogue ap ssid

config rogue ap timeout

config rogue ap valid-client

config rogue client

config trapflags rogueap

show rogue ap clients

show rogue ap detailed

show rogue ap summary

show rogue ap friendly summary

show rogue ap malicious summary

show rogue ap unclassified summary

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

config rogue ap rldp

Rogue Location Discovery Protocol(RLDP)を有効化、無効化、または開始するには、config rogue ap rldp のコマンドを使用します。

config rogue ap rldp enable { alarm-only | auto-contain} [ monitor_ap_only]

config rogue ap rldp initiate rogue_mac_address


config rogue ap rldp disable

構文の説明

alarm-only

オプションの引数 monitor_ap_only を使用せずに入力すると、すべてのアクセス ポイントで RLDP が有効になります。

auto-contain

オプションの引数 monitor_ap_only を使用せずに入力すると、すべての不正なアクセス ポイントが自動的に阻止されます。

monitor_ap_only

(任意)指定した監視アクセス ポイントだけで RLDP を有効にするか(alarm-only キーワードを使用した場合)、または自動阻止を有効にします(auto-contain キーワードを使用した場合)。

initiate

特定の不正なアクセス ポイントで RLDP を開始します。

rogue_mac_address

特定の不正なアクセス ポイントの MAC アドレス。

disable

すべてのアクセス ポイントで RLDP を無効にします。

コマンド デフォルト

なし。

使用上のガイドライン

いずれかの containment コマンドを入力すると、「Using this feature may have legal consequences. Do you want to continue?」というメッセージが表示されます。産業科学医療(ISM)帯域の 2.4 GHz- および 5 GHz の周波数は一般に開放されており、ライセンスを受けずに使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

次に、すべてのアクセス ポイントで RLDP を有効にする例を示します。


> config rogue ap rldp enable alarm-only 

次に、監視モード アクセス ポイント ap_1 で RLDP を有効にする例を示します。


> config rogue ap rldp enable alarm-only ap_1

次に、MAC アドレスが 123.456.789.000 の不正なアクセス ポイントで RLDP を開始する例を示します。


> config rogue ap rldp initiate 123.456.789.000

次に、すべてのアクセス ポイントで RLDP を無効にする例を示します。


> config rogue ap rldp disable

関連コマンド

config rogue adhoc

config rogue ap classify

config rogue ap friendly

config rogue ap ssid

config rogue ap timeout

config rogue ap valid-client

config rogue client

config trapflags rogueap

show rogue ap clients

show rogue ap detailed

show rogue ap summary

show rogue ap friendly summary

show rogue ap malicious summary

show rogue ap unclassified summary

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

config rogue ap ssid

アラームだけを生成するか、またはネットワークの Service Set Identifier(SSID)をアドバタイズしている不正なアクセス ポイントを阻止するには、config rogue ap ssid コマンドを使用します。

config rogue ap ssid { alarm | auto-contain}

構文の説明

alarm

不正なアクセス ポイントがネットワークの SSID をアドバタイズしていることを検出すると、アラームだけを生成します。

auto-contain

ネットワークの SSID をアドバタイズしている不正なアクセス ポイントを自動的に阻止します。

コマンド デフォルト

なし。

使用上のガイドライン

いずれかの containment コマンドを入力すると、「Using this feature may have legal consequences. Do you want to continue?」というメッセージが表示されます。産業科学医療(ISM)帯域の 2.4 GHz- および 5 GHz の周波数は一般に開放されており、ライセンスを受けずに使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

次に、ネットワークの SSID をアドバタイズしている不正なアクセス ポイントを自動的に阻止する例を示します。


> config rogue ap ssid auto-contain

関連コマンド

config rogue adhoc

config rogue ap classify

config rogue ap friendly

config rogue ap rldp

config rogue ap timeout

config rogue ap valid-client

config rogue client

config trapflags rogueap

show rogue ap clients

show rogue ap detailed

show rogue ap summary

show rogue ap friendly summary

show rogue ap malicious summary

show rogue ap unclassified summary

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

config rogue ap timeout

不正なアクセス ポイントおよびクライアントのエントリが期限切れとなり、リストから削除されるまでの秒数を指定するには、config rogue ap timeout コマンドを使用します。

config rogue ap timeout seconds

構文の説明

seconds

240 ~ 3600 秒までの値。デフォルト値は 1200 秒です。

コマンド デフォルト

1,200 秒。

次に、不正アクセス ポイントとクライアント リストのエントリの有効期限を 2400 秒に設定する例を示します。


> config rogue ap timeout 2400

関連コマンド

config rogue ap classify

config rogue ap friendly

config rogue ap rldp

config rogue ap ssid

config rogue rule

config trapflags rogueap

show rogue ap clients

show rogue ap detailed

show rogue ap summary

show rogue ap friendly summary

show rogue ap malicious summary

show rogue ap unclassified summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

config rogue auto-contain level

不正の自動阻止レベルを設定するには、config rogue auto-contain level コマンドを使用します。

config rogue auto-contain level level [ monitor_ap_only]

構文の説明

level

1 ~ 4 の範囲の不正の自動阻止レベル。

(注)     

自動阻止ポリシーによって不正な AP が阻止状態に移行された際に、最大 4 つの AP を自動阻止に使用できます。

monitor_ap_only

(任意)監視 AP モードのみを使用して自動阻止を設定します。

コマンド デフォルト

レベル 1。

使用上のガイドライン

コントローラは、すべての近隣のアクセス ポイントを継続的に監視し、不正なアクセス ポイントおよびクライアントに関する情報を自動的に検出して収集します。 コントローラは、不正なアクセス ポイントを検出すると、設定済み自動阻止ポリシーを使用して自動阻止を開始します。 自動阻止を開始するポリシーは、ワイヤ上の不正(RLDP または Rogue Detector AP によって検出)、管理対象 SSID を使用した不正、不正な AP の有効なクライアント、およびアドホック不正です。


(注)  


RLDP は、シスコの Atonomous 不正アクセス ポイントではサポートされていません。 これらのアクセス ポイントは、RLDP クライアントによって送信された DHCP 検出要求をドロップします。 また不正なアクセス ポイント チャネルが動的周波数選択(DFS)を必要とする場合、RLDP はサポートされません。


containment コマンドのいずれかを入力すると、次の警告が表示されます。


Using this feature may have legal consequences. Do you want to continue? (y/n) :

Industrial, Scientific, and Medical(ISM; 産業科学医療)帯域の 2.4 GHz- および 5 GHz の周波数は公開されており、ライセンスを受けずに使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

次に、自動阻止のレベルを 3 に設定する例を示します。


> config rogue auto-contain level 3

関連コマンド

config rogue adhoc

show rogue adhoc summary

show rogue client summary

show rogue ignore-list

show rogue rule summary

config rogue ap valid-client

アラームだけを生成する、または信頼できるクライアントがアソシエートされている不正なアクセス ポイントを自動的に阻止するには、config rogue ap valid-client コマンドを使用します。

config rogue ap valid-client { alarm | auto-contain}

構文の説明

alarm

不正なアクセス ポイントが有効なクライアントに関連付けられていることが検出されると、アラームだけが生成されます。

auto-contain

信頼できるクライアントに関連付けられている不正なアクセス ポイントを自動的に阻止します。

コマンド デフォルト

なし。

使用上のガイドライン

いずれかの containment コマンドを入力すると、「Using this feature may have legal consequences. Do you want to continue?」というメッセージが表示されます。産業科学医療(ISM)帯域の 2.4 GHz- および 5 GHz の周波数は一般に開放されており、ライセンスを受けずに使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

次に、有効なクライアントに関連付けられている不正なアクセス ポイントを自動的に阻止する例を示します。


> config rogue ap valid-client auto-contain

関連コマンド

config rogue ap classify

config rogue ap friendly

config rogue ap rldp

config rogue ap timeout

config rogue ap ssid

config rogue rule

config trapflags rogueap

show rogue ap clients

show rogue ap detailed

show rogue ap summary

show rogue ap friendly summary

show rogue ap malicious summary

show rogue ap unclassified summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

config rogue client

不正なクライアントを設定するには config rogue client コマンドを使用します。

config rogue client { aaa { enable | disable} | alert ap_mac | contain client_mac} num_of_APs

構文の説明

aaa

不正なクライアントが有効なクライアントかどうかを検証するように AAA サーバまたはローカル データベースを設定します。

enable

AAA サーバまたはローカル データベースを有効にして、不正なクライアント MAC アドレスが有効かどうかを確認します。

disable

AAA サーバまたはローカル データベースを無効にして、不正なクライアント MAC アドレスが有効かどうかを確認しないようにします。

alert

システム管理者に即座にアラートを発信し、必要な措置を促すようにコントローラを設定します。

ap_mac

アクセス ポイントの MAC アドレス。

contain

危険性のあるデバイスを阻止して、そのデバイスの信号が認証されたクライアントに干渉しないようにコントローラを設定します。

client_mac

不正なクライアントの MAC アドレス。

num_of_APs

不正なアクセス ポイントを阻止するシスコのアクセス ポイントの最大数(1 ~ 4)。

コマンド デフォルト

なし。

次に、AAA サーバまたはローカル データベースを有効にして、MAC アドレスを確認にする例を示します。


> config rogue client aaa enable 

次に、AAA サーバまたはローカル データベースを無効にして、MAC アドレスを確認しないようにする例を示します。


> config rogue client aaa disable 

関連コマンド

config rogue rule

config trapflags rogueap

show rogue ap clients

show rogue ap detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

config rogue detection

不正なアクセス ポイントの検出を有効または無効にするには、config rogue detection コマンドを使用します。


(注)  


AP 自体が「all」という名前で設定されている場合、「all access points」の場合は「all」という名前の AP に優先します。


config rogue detection { enable | disable} { cisco_ap | all}

構文の説明

enable

このアクセス ポイントにおける不正の検出を有効にします。

disable

このアクセス ポイントにおける不正の検出を無効にします。

cisco_ap

シスコ アクセス ポイント。

all

すべてのアクセス ポイントを指定します。

コマンド デフォルト

イネーブル

使用上のガイドライン

OfficeExtend アクセス ポイントを除き、コントローラに接続されたすべてのアクセス ポイントに対し、不正の検出がデフォルトで有効にされます。 OfficeExtend アクセス ポイントは室内環境に導入され、多くの場合、大量の不正なデバイスを検出します。

次に、アクセス ポイント Cisco_AP の不正の検出を有効にする例を示します。


> config rogue detection enable Cisco_AP 

関連コマンド

config rogue rule

config trapflags rogueap

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

config rogue detection min-rssi

AP が不正を検出し、コントローラで不正なエントリを作成できる受信信号強度インジケータ(RSSI)の最小値を設定するには、config rogue detection min-rssi コマンドを使用します。

config rogue detection min-rssi rssi-in-dBm

構文の説明

rssi-in-dBm

RSSI の最小値。 有効な範囲は –70 ~ –128 dBm で、デフォルト値は –128 dBm です。

使用上のガイドライン

この機能は、すべての AP モードに適用できます。

RSSI 値が非常に低い不正が多数あると、不正の分析に有用な情報を得られないことがあります。 したがって、AP が不正を検出する最小 RSSI 値を指定することで、このオプションを使用して不正をフィルタリングすることができます。

次に、RSSI の最小値を設定する例を示します。


> config rogue detection min-rssi –80

関連コマンド

config rogue detection

show rogue ap clients

config rogue rule

config trapflags rogueap

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

config rogue detection monitor-ap

すべての監視モードの Cisco AP に対する不正レポートの間隔を設定するには、config rogue detection monitor-ap コマンドを使用します。

config rogue detection monitor-ap { report-interval | transient-rogue-interval} time-in-seconds

構文の説明

report-interval

不正レポートが送信される間隔を指定します。

transient-rogue-interval

最初に不正に対するスキャンを実行した後に、定期的にスキャンを行う間隔を指定します。

time-in-seconds

秒単位の時間。 有効な範囲は次のとおりです。

  • report-interval の場合は 10 ~ 300
  • transient-rogue-interval の場合は 120 ~ 1800

使用上のガイドライン

この機能は、モニタ モードの AP のみに適用されます。

一時的な間隔値を使用して、AP が不正をスキャンする間隔を制御できます。 AP では、それぞれの一時的間隔値に基づいて、不正のフィルタリングも実行できます。

この機能には次の利点があります。

  • AP からコントローラへの不正レポートが短くなる。
  • 一時的不正エントリをコントローラで回避できる。
  • 一時的不正への不要なメモリ割り当てを回避できる。

次に、不正レポートの間隔を 60 秒に設定する例を示します。


> config rogue detection monitor-ap report-interval 60

次に、一時的不正の間隔を 300 秒に設定する例を示します。


> config rogue detection monitor-ap transient-rogue-interval 300

関連コマンド

config rogue detection

config rogue detection min-rssi

config rogue rule

config trapflags rogueap

show rogue ap clients

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

config rogue rule

不正分類ルールを追加および設定するには、config rogue rule コマンドを使用します。

config rogue rule { add ap priority priority classify { custom severity-score classification-name | friendly | malicious} notify { all | global | none | local} state { alert | contain | internal | external} rule_name | 
 classify { custom severity-score classification-name | friendly | malicious} rule_name | 
 condition ap { set | delete} condition_type condition_value rule_name | 
{ enable | delete | disable} { all | rule_name} | 
 match { all | any} | 
 priority priority| notify { all | global | none | local} rule_name | state { alert | contain | internal | external} rule_name}

構文の説明

add ap priority

指定した基準および優先順位に一致するルールを追加します。

priority

このルールのルール リスト内での優先順位。

classify

ルールの分類を指定します。

custom

カスタムとしてのルールに一致するデバイスを分類します。

severity-score

ルールのカスタム分類の重大度スコア。 範囲は 1 ~ 100 です。

classification-name

カスタム分類の名前。 名前は最大 32 文字の英数字で、大文字と小文字を区別します。

friendly

ルールを危険性のないルールとして分類します。

malicious

ルールを悪意のあるルールとして分類します。

notify

ルールの照合における通知のタイプを設定します。

all

コントローラ、および Cisco Prime Infrastructure などのトラップ レシーバに通知します。

global

Cisco Prime Infrastructure などのトラップ レシーバだけに通知します。

local

コントローラだけに通知します。

none

コントローラ、および Cisco Prime Infrastructure などのトラップ レシーバのどちらにも通知しません。

state

ルールの照合後の不正なアクセス ポイントの状態を設定します。

alert

ネイバー リストにない、またはユーザが設定した危険性のない MAC のリストに記載されていない不正アクセス ポイントのアラート状態を設定します。 コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。

contain

不正アクセス ポイントを contain の状態に設定します。 コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。

external

ネットワークの外側にあり、WLAN のセキュリティに脅威を与えない不正アクセス ポイントの外部状態を設定します。 コントローラはこの不正なアクセス ポイントの存在を認識しています。

internal

ネットワークの内側にあり、WLAN のセキュリティに脅威を与えない不正アクセス ポイントのアラート状態を設定します。 コントローラはこの不正なアクセス ポイントを信頼します。

rule_name

コマンドを適用するルールまたは新しいルールの名前。

condition ap

不正なアクセス ポイントが満たす必要のあるルールに条件を指定します。

set

不正なアクセス ポイントが満たす必要のあるルールに条件を追加します。

delete

不正なアクセス ポイントが満たす必要のあるルールの条件を削除します。

condition_type

設定する条件のタイプ。 条件タイプは以下のとおりです。

  • client-count:最小数のクライアントが不正なアクセス ポイントにアソシエートされていることが条件となります。 有効な範囲は 1 ~ 10 です。
  • duration:不正なアクセス ポイントが最短期間で検出されることが条件となります。 有効な範囲は 0 ~ 3600 秒です。
  • managed-ssid:不正なアクセス ポイントの SSID がコントローラで認識される必要があります。
  • no-encryption:不正なアクセス ポイントのアドバタイズされた WLAN で暗号化が無効になっている必要があります。
  • rssi:不正なアクセス ポイントには、最小の RSSI 値が必要です。 範囲は、–95 ~ -50 dBm です。
  • ssid:不正なアクセス ポイントには、特定の SSID が必要です。

condition_value

条件の値。 この値は、condition_type によって異なります。 たとえば、条件タイプが ssid の場合、条件値は SSID 名か all です。

enable

すべてのルールまたは特定のルール 1 つを有効にします。

delete

すべてのルールまたは特定のルール 1 つを削除します。

disable

すべてのルールまたは特定のルール 1 つを削除します。

match

検出された不正なアクセス ポイントがルールに一致していると見なされ、そのルールの分類タイプが適用されるためには、ルールで定義されているすべての条件を満たす必要があるか、一部の条件を満たす必要があるかを指定します。

all

定義されているすべてのルールを指定します。

any

特定の条件を満たしているルールを指定します。

priority

特定のルールの優先順位を変更し、それに応じて、リスト内のその他のルールの優先順位を調整します。

コマンド デフォルト

なし。

使用上のガイドライン

変更内容を有効にするには、ルールを有効にする必要があります。 最大 64 のルールを設定できます。

不正なルールの RSSI 基準に応じた不正な AP の再分類は、RSSI が設定された RSSI 値から +/- 2 dBm を超えて変更された場合のみ発生します。 手動および自動による分類は、カスタムの不正なルールよりも優先されます。 クラス タイプが未分類に変更され、状態が alert に変更されると、ルールは手動で変更された不正に適用されます。 アドホックの不正は分類され、保留状態にはなりません。 最大 50 個の分類タイプを設定できます。

次に、優先順位が 1、分類が friendly である、rule_1 という名前のルールを作成する例を示します。


> config rogue rule add ap priority 1 classify friendly rule_1

次に、rule_1 を有効にする例を示します。


> config rogue rule enable rule_1

次に、最後のコマンドの優先順位を変更する例を示します。


> config rogue rule priority 2 rule_1

次に、最後のコマンドの分類を変更する例を示します。


> config rogue rule classify malicious rule_1

次に、最後のコマンドを無効にする例を示します。


> config rogue rule disable rule_1

次に、rule-5 のユーザが設定した SSID リストから SSID_2 を削除する例を示します。


> config rogue rule condition ap delete ssid ssid_2 rule-5

次に、カスタムの不正なルールを作成する例を示します。

> config rogue rule classify custom 1 VeryMalicious rule6

関連コマンド

config rogue adhoc

config rogue ap classify

config rogue ap friendly

config rogue ap rldp

config rogue ap ssid

config rogue ap timeout

config rogue ap valid-client

config rogue client

config trapflags rogueap

show rogue ap clients

show rogue ap detailed

show rogue ap summary

show rogue ap friendly summary

show rogue ap malicious summary

show rogue ap unclassified summary

show rogue client detailed

show rogue client summary

show rogue ignore-list

show rogue rule detailed

show rogue rule summary

TACACS のコンフィギュレーション コマンド

config tacacs コマンドを使用して、TACACS+ 設定を行います。

config tacacs acct

TACACS+ アカウンティング サーバを設定するには、config tacacs acct コマンドを使用します。

config tacacs acct add { server_index ip_address port type secret_key} | delete server_index | disable server_index | enable server_index | retransmit-timeout { server_index seconds}

構文の説明

add

新しい TACACS+ アカウンティング サーバを追加します。

server_index

TACACS+ アカウンティング サーバ インデックス(1~3)。

ip_address

TACACS+ アカウンティング サーバの IP アドレス。

port

TACACS+ アカウンティング サーバに使用するコントローラ ポート。

type

使用する秘密キーのタイプ(ASCII または HEX)。

secret_key

ASCII または HEX の文字による秘密キー。

delete

TACACS+ サーバを削除します。

disable

TACACS+ サーバを無効にします。

enable

TACACS+ サーバを有効にします。

retransmit-timeout

TACACS+ サーバのデフォルト再送信タイムアウトを変更します。

seconds

再送信タイムアウト(2~30 秒)。

コマンド デフォルト

なし。

次に、IP アドレス 10.0.0.0、ポート番号 10、および ASCII の秘密キー 12345678 の新しい TACACS+ アカウンティング サーバ インデックス 3 を追加する例を示します。


> config tacacs acct add 1 10.0.0.0 10 ascii 12345678

次に、TACACS+ アカウンティング サーバのデフォルトの再送信タイムアウト(30 秒)を変更する例を示します。


> config tacacs acct retransmit-timeout 30

関連コマンド

show run-config

show tacacs acct statistics

show tacacs summary

config tacacs athr

TACACS+ 許可サーバを設定するには、config tacacs athr コマンドを使用します。

config tacacs athr add { server_index ip_address port type secret_key} | delete server_index | disable server_index | enable server_index | retransmit-timeout { server_index seconds}

構文の説明

add

新しい TACACS+ アカウンティング サーバを追加します。

server_index

TACACS+ アカウンティング サーバ インデックス(1~3)。

ip_address

TACACS+ アカウンティング サーバの IP アドレス。

port

TACACS+ アカウンティング サーバに使用するコントローラ ポート。

type

使用する秘密キーのタイプ(ASCII または HEX)。

secret_key

ASCII または HEX の文字による秘密キー。

delete

TACACS+ サーバを削除します。

disable

TACACS+ サーバを無効にします。

enable

TACACS+ サーバを有効にします。

retransmit-timeout

TACACS+ サーバのデフォルト再送信タイムアウトを変更します。

seconds

再送信タイムアウト(2~30 秒)。

コマンド デフォルト

なし。

次に、IP アドレス 10.0.0.0、ポート番号 4、および ASCII の秘密キー 12345678 の新しい TACACS+ 許可サーバ インデックス 3 を追加する例を示します。


> config tacacs athr add 3 10.0.0.0 4 ascii 12345678

次に、TACACS+ 許可サーバのデフォルトの再送信タイムアウト(30 秒)を変更する例を示します。


> config tacacs athr retransmit-timeout 30

関連コマンド

show run-config

show tacacs summary

show tacacs athr statistics

config tacacs athr mgmt-server-timeout

管理ユーザのデフォルト TACACS+ 許可サーバのタイムアウトを設定するには、config tacacs athr mgmt-server-timeout コマンドを使用します。

config tacacs athr mgmt-server-timeout index timeout

構文の説明

index

TACACS+ 許可サーバ インデックス。

timeout

タイムアウト値。 指定できる範囲は 1 ~ 30 秒です。

コマンド デフォルト

なし。

次に、管理ユーザのデフォルト TACACS+ 許可サーバのタイムアウトを設定する例を示します。


> config tacacs athr mgmt-server-timeout 1 10

関連コマンド

config tacacs athr

config tacacs auth

TACACS+ 認証サーバを設定するには、config tacacs auth コマンドを使用します。

config tacacs auth add { server_index ip_address port type secret_key} | delete server_index | disable server_index | enable server_index | retransmit-timeout { server_index seconds}

構文の説明

add

新しい TACACS+ アカウンティング サーバを追加します。

server_index

TACACS+ アカウンティング サーバ インデックス(1~3)。

ip_address

TACACS+ アカウンティング サーバの IP アドレス。

port

TACACS+ アカウンティング サーバに使用するコントローラ ポート。

type

使用する秘密キーのタイプ(ASCII または HEX)。

secret_key

ASCII または HEX の文字による秘密キー。

delete

TACACS+ サーバを削除します。

disable

TACACS+ サーバを無効にします。

enable

TACACS+ サーバを有効にします。

retransmit-timeout

TACACS+ サーバのデフォルト再送信タイムアウトを変更します。

seconds

再送信タイムアウト(2~30 秒)。

コマンド デフォルト

なし。

次に、IP アドレス 10.0.0.3、ポート番号 6、および ASCII の秘密キー 12345678 の新しい TACACS+ 認証サーバ インデックス 2 を追加する例を示します。


> config tacacs auth add 2 10.0.0.3 6 ascii 12345678

次に、TACACS+ 認証サーバのデフォルトの再送信タイムアウト(30 秒)を変更する例を示します。


> config tacacs auth retransmit-timeout 30

関連コマンド

show run-config

show tacacs auth statistics

show tacacs summary

config tacacs auth mgmt-server-timeout

管理ユーザのデフォルト TACACS+ 認証サーバを設定するには、config tacacs auth mgmt-server-timeout コマンドを使用します。

config tacacs auth mgmt-server-timeout index timeout

構文の説明

index

TACACS+ 認証サーバ インデックス。

timeout

タイムアウト値。 指定できる範囲は 1 ~ 30 秒です。

コマンド デフォルト

なし。

次に、管理ユーザのデフォルト TACACS+ 認証サーバのタイムアウトを設定する例を示します。


> config tacacs auth mgmt-server-timeout 1 10

関連コマンド

config tacacs auth

無線 LAN のセキュリティ コンフィギュレーション コマンド

config wlan security コマンドを使用して、無線 LAN のセキュリティ設定を行います。

config wlan security 802.1X

無線 LAN のシスコ無線の 802.1X セキュリティの状態を変更するには、config wlan security 802.1X コマンドを使用します。

config wlan security 802.1X { enable { wlan_id | foreignAp} | disable { wlan_id | foreignAp} | 
 encryption { wlan_id | foreignAp} { 0 | 40 | 104} | on-macfilter-failure { enable | disable}}

構文の説明

enable

802.1X 設定を有効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

disable

802.1X 設定を無効にします。

encryption

静的 WEP キーとインデックスを指定します。

0

WEP キーのサイズを 0(暗号化なし)に指定します。 デフォルト値は 104 です。

(注)     

無線 LAN 内のすべてのキーは、同じサイズでなければなりません。

40

WEP キーのサイズを 40 ビットに指定します。 デフォルト値は 104 です。

(注)     

無線 LAN 内のすべてのキーは、同じサイズでなければなりません。

104

WEP キーのサイズを 104 ビットに指定します。 デフォルト値は 104 です。

(注)     

無線 LAN 内のすべてのキーは、同じサイズでなければなりません。

on-macfilter-failure

MAC フィルタの失敗に対する 802.1X を設定します。

enable

MAC フィルタの失敗に対する 802.1X 認証を有効にします。

disable

MAC フィルタの失敗に対する 802.1X 認証を無効にします。

コマンド デフォルト

なし。

使用上のガイドライン

無線 LAN のシスコ無線の 802.1X セキュリティの暗号化レベルを変更するには、次のキー サイズを使用します。

  • 0:802.1X 暗号化なし。
  • 40:40/64 ビット暗号化。
  • 104:104/128 ビット暗号化 (これは、デフォルトの暗号化設定です)。

次に、WLAN ID 16 で 802.1X セキュリティを設定する例を示します。


> config wlan security 802.1X enable 16

関連コマンド

show wlan

config wlan security ckip

無線 LAN に Cisco Key Integrity Protocol(CKIP)セキュリティ オプションを設定するには、config wlan security ckip コマンドを使用します。

config wlan security ckip { enable | disable} wlan_id 
[ akm psk set-key { hex | ascii} { 40 | 104} key key_index wlan_id | 
 mmh-mic { enable | disable} wlan_id | 
 kp { enable | disable} wlan_id]

構文の説明

enable

CKIP セキュリティを有効にします。

disable

CKIP セキュリティを無効にします。

wlan_id

コマンドが適用される WLAN。

akm psk set-key

(任意)CKIP 無線 LAN の暗号キー管理を設定します。

hex

16 進数の暗号キーを指定します。

ascii

ASCII の暗号キーを指定します。

40

CKIP WLAN の静的暗号キーの長さを 40 ビットに設定します。 40 ビットキーには、ASCII テキスト文字が 5 文字と 16 進数文字が 10 文字必要です。

104

CKIP WLAN の静的暗号キーの長さを 104 ビットに設定します。 104 ビットキーには、ASCII テキスト文字が 13 文字と 16 進数文字が 26 文字必要です。

key

CKIP WLAN のキーの設定を指定します。

key_index

設定済み PSK キー インデックス。

mmh-mic

(任意)CKIP 無線 LAN の Multi-Modular Hash Message Integrity Check(MMH MIC; マルチモジュラ ハッシュ メッセージ整合性チェック)検証を設定します。

kp

(任意)CKIP 無線 LAN のキー置換を設定します。

コマンド デフォルト

なし。

次に、WLAN 03 の PSK キー インデックス 2 に 104 ビット(16 進数文字 26 字)の CKIP WLAN 暗号キーを設定する例を示します。


> config wlan security ckip akm psk set-key hex 104 key 2 03

関連コマンド

config wlan ccx aironet-ie

show wlan

config wlan security cond-web-redir

条件付き Web リダイレクトを有効または無効にするには、config wlan security cond-web-redir コマンドを使用します。

config wlan security cond-web-redir { enable | disable} wlan_id

構文の説明

enable

条件付き Web リダイレクトを有効にします。

disable

条件付き Web リダイレクトを無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、WLAN ID 2 で条件付き Web リダイレクトを有効にする例を示します。


> config wlan security cond-web-redir enable 2

関連コマンド

show wlan

config wlan security eap-passthru

外部オーセンティケータに 802.1X フレーム パス スルーを設定するには、config wlan security eap-passthru コマンドを使用します。

config wlan security eap-passthru { enable | disable} wlan_id

構文の説明

enable

外部オーセンティケータへの 802.1X フレーム パス スルーを有効にします。

disable

外部オーセンティケータへの 802.1X フレーム パス スルーを無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、WLAN ID 2 の外部オーセンティケータへの 802.1X フレーム パス スルーを有効にする例を示します。


> config wlan security eap-passthru enable 2

関連コマンド

show wlan

config wlan security ft

802.11r 高速移行パラメータを設定するには、config wlan security ft コマンドを使用します。

config wlan security ft { enable | disable | reassociation-timeout timeout-in-seconds} wlan_id

構文の説明

enable

802.11r 高速移行ローミング サポートを有効にします。

disable

802.11r 高速移行ローミング サポートを無効にします。

reassociation-timeout

再アソシエーション期限の間隔を設定します。

timeout-in-seconds

再アソシエーションのタイムアウト値(秒単位)。 有効範囲は 1 ~ 100 秒です。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

使用上のガイドライン

先に進む前に、WLAN を無効にしたことを確認します。

次に、WLAN 2 で 802.11r 高速移行ローミング サポートを有効にする例を示します。


> config wlan security ft enable 2

次に、WLAN 2 の 802.11r 高速移行ローミング サポートに対する再アソシエーションのタイムアウト値を 20 秒に設定する例を示します。

> config wlan security ft reassociation-timeout 20 2

関連コマンド

show wlan

config wlan security ft over-the-ds

分散システム上の 802.11r 高速移行パラメータを設定するには、config wlan security ft over-the-ds コマンドを使用します。

config wlan security ft over-the-ds { enable | disable} wlan_id

構文の説明

enable

分散システム上の 802.11r 高速移行ローミング サポートを有効にします。

disable

分散システム上の 802.11r 高速移行ローミング サポートを無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

イネーブル

使用上のガイドライン

先に進む前に、WLAN を無効にしたことを確認します。

802.11r 高速移行が WLAN で有効であることを確認します。

次に、WLAN ID 2 の分散システム上の 802.11r 高速移行ローミング サポートを有効にする例を示します。


> config wlan security ft over-the-ds enable 2

関連コマンド

show wlan

config wlan security IPsec disable

IPSec セキュリティを無効にするには、config wlan security IPsec disable コマンドを使用します。

config wlan security IPsec disable { wlan_id | foreignAp}

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

コマンド デフォルト

なし。

次に、WLAN ID 16 の IPSec を無効にする例を示します。


> config wlan security IPsec disable 16

関連コマンド

show wlan

config wlan security IPsec enable

IPSec セキュリティを有効にするには、config wlan security IPsec enable コマンドを使用します。

config wlan security IPsec enable { wlan_id | foreignAp}

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

コマンド デフォルト

なし。

次に、WLAN ID 16 の IPSec を有効にする例を示します。


> config wlan security IPsec enable 16

関連コマンド

show wlan

config wlan security IPsec authentication

無線 LAN で使用する IPSec セキュリティ認証プロトコルを変更するには、config wlan security IPsec authentication コマンドを使用します。

config wlan security IPsec authentication { hmac-md5 | hmac-sha-1} { wlan_id | foreignAp}

構文の説明

hmac-md5

IPSec HMAC-MD5 認証プロトコルを指定します。

hmac-sha-1

IPsec HMAC-SHA-1 認証プロトコルを指定します。

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

コマンド デフォルト

なし。

次に、WLAN ID 1 の IPsec HMAC-SHA-1 セキュリティ認証パラメータを設定する例を示します。


> config wlan security IPsec authentication hmac-sha-1 1

関連コマンド

show wlan

config wlan security IPsec encryption

無線 LAN で使用する IPSec セキュリティ暗号化プロトコルを変更するには、config wlan security IPsec encryption コマンドを使用します。

config wlan security IPsec encryption { 3des | aes | des} { wlan_id | foreignAp}

構文の説明

3des

IPSec 3DES 暗号化をイネーブルにします。

aes

IPsec AES 128 ビット暗号化を有効にします。

des

IPSec DES 暗号化をイネーブルにします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

コマンド デフォルト

なし。

次に、IPSec aes 暗号化を設定する例を示します。


> config wlan security IPsec encryption aes 1

関連コマンド

show wlan

config wlan security IPsec config

無線 LAN で使用する適切なインターネット キー交換(IKE)CFG-Mode パラメータを設定するには、config wlan security IPsec config コマンドを使用します。

config wlan security IPsec config qotd ip_address { wlan_id | foreignAp}

構文の説明

qotd

cfg-mode の quote-of-the day サーバ IP を設定します。

ip_address

cfg-mode の quote-of-the-day サーバ IP。

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

コマンド デフォルト

なし。

使用上のガイドライン

IKE はセッション キー(暗号化および認証)の配布方式として、および VPN エンドポイントにデータの保護方法を提供する手法として使用されます。 IKE はセキュリティ アソシエーション(SA)のバンドルを各接続に割り当てて、接続を追跡します。

次に、WLAN 1 の cfg-mode の quote-of-the-day サーバ IP 44.55.66.77 を設定する例を示します。


> config wlan security IPsec config qotd 44.55.66.77 1

関連コマンド

show wlan

config wlan security IPsec ike authentication

無線 LAN で使用する IPSec インターネット キー交換(IKE)認証プロトコルを変更するには、config wlan security IPsec ike authentication コマンドを使用します。

config wlan security IPsec ike authentication { certificates { wlan_id | foreignAp} | pre-share-key { wlan_id | foreignAp} key | xauth-psk { wlan_id | foreignAp} key}

構文の説明

certificates

IKE 認証モードを有効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

pre-share-key

事前共有キーを持つ IKE Xauth を有効にします。

xauth-psk

IKE 事前共有キーを有効にします。

key

事前共有および xauth-psk に必要なキー。

コマンド デフォルト

なし。

次に、IKE 認証モードを設定する例を示します。


> config wlan security IPsec ike authentication certificates 16

関連コマンド

show wlan

config wlan security IPsec ike dh-group

無線 LAN で使用する IPSec インターネット キー交換(IKE)Diffie-Hellman グループを変更するには、config wlan security IPsec ike dh-group コマンドを使用します。

config wlan security IPsec ike dh-group { wlan_id | foreignAp} { group-1 | group-2 | group-5}

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

group-1

DH グループ 1(768 ビット)を指定します。

group-2

DH グループ 2(1024 ビット)を指定します。

group-5

DH グループ 5(1536 ビット)を指定します。

コマンド デフォルト

なし。

次に、グループ 1 の Diffe Hellman グループ パラメータを設定する例を示します。


> config wlan security IPsec ike dh-group 1 group-1

関連コマンド

show wlan

config wlan security IPsec ike lifetime

無線 LAN で使用する IPSec インターネット キー交換(IKE)ライフタイムを変更するには、config wlan security IPsec ike lifetime コマンドを使用します。

config wlan security IPsec ike lifetime { wlan_id | foreignAp} seconds

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

seconds

1800 ~ 345600 の IKE ライフタイム(秒)。

コマンド デフォルト

なし。

次に、無線 LAN で使用する IPSec IKE ライフタイムを設定する例を示します。


> config wlan security IPsec ike lifetime 1 1900

関連コマンド

show wlan

config wlan security IPsec ike phase1

無線 LAN で使用する IPSec インターネット キー交換(IKE)フェーズ 1 を変更するには、config wlan security IPsec ike phase1 コマンドを使用します。

config wlan security IPsec ike phase1 { aggressive | main} { wlan_id | foreignAp}

構文の説明

aggressive

IKE アグレッシブ モードを有効にします。

main

IKE メイン モードを有効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

コマンド デフォルト

なし。

次に、IPSec IKE フェーズ 1 を変更する例を示します。


> config wlan security IPsec ike phase1 aggressive 16

関連コマンド

show wlan

config wlan security IPsec ike contivity

無線 LAN で Nortel の Contivity VPN クライアント サポートを変更するには、config wlan security IPsec ike contivity コマンドを使用します。

config wlan security IPsec ike contivity { enable | disable} { wlan_id | foreignAp}

構文の説明

enable

この WLAN に対する Contivity のサポートを有効にします。

disable

この WLAN に対する Contivity のサポートを無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

コマンド デフォルト

なし。

次に、Contivity VPN クライアント サポートを変更する例を示します。


> config wlan security IPsec ike contivity enable 14

関連コマンド

show wlan

config wlan security passthru

無線 LAN で使用する IPSec パススルーを変更するには、config wlan security passthru コマンドを使用します。

config wlan security passthru { enable | disable} { wlan_id | foreignAp} [ ip_address]

構文の説明

enable

IPSec パススルーを有効にします。

disable

IPSec パススルーを無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

ip_address

(任意)VPN トンネルを終端している IPSec ゲートウェイ(ルータ)の IP アドレスを入力します。

コマンド デフォルト

なし。

次に、無線 LAN で使用する IPSec パススルーを変更する例を示します。


> config wlan security passthru enable 3 192.12.1.1

関連コマンド

show wlan

config wlan security pmf

WLAN の 802.11w 管理フレーム保護(MFP)を設定するには、config wlan security pmf コマンドを使用します。

config wlan security pmf { disable | optional | required | association-comeback association-comeback_timeout | saquery-retrytimeout saquery-retry_timeout} wlan_id

構文の説明

disable

WLAN の 802.11w MFP 保護を無効にします。

optional

WLAN の 802.11w MFP 保護を有効にします。

required

クライアントが WLAN の 802.11w MFP 保護をネゴシエートすることを要求します。

association-comeback

802.11w アソシエーション復帰時間を設定します。

association-comeback_timeout

アソシエーション復帰間隔(秒単位)。 アソシエーションがステータス コード 30 によって拒否された後に、アソシエートされているクライアントがアソシエーションを再試行するまでに待機する必要がある時間間隔。 ステータス コード 30 のメッセージは、「Association request rejected temporarily; Try again later」です。

範囲は、1 ~ 20 秒です。

saquery-retrytimeout

802.11w セキュリティ アソシエーション(SA)クエリ リトライ タイムアウトを設定します。

saquery-retry_timeout

アソシエーションを再試行する前に、すでにアソシエートされているクライアントへのアソシエーション応答で特定される時間間隔。 アソシエーションの復帰期間中、この時間間隔により、クライアントが実際のクライアントであり、不正なクライアントではないかどうかが確認されます。 クライアントがこの時間内に応答しない場合は、クライアント アソシエーションがコントローラから削除されます。 範囲は 100 ~ 500 ミリ秒です。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

デフォルトの SA クエリ リトライ タイムアウトは 200 ミリ秒です。

デフォルトのアソシエーション復帰タイムアウトは 1 秒です。

使用上のガイドライン

802.11w では、ブロードキャストまたはマルチキャストの堅牢な管理フレームを保護するために使用される Integrity Group Temporal Key(IGTK)が導入されています。 IGTK は、ソース STA からの MAC 管理プロトコル データ ユニット(MMPDU)を保護するために使用するオーセンティケータ ステーション(コントローラ)によって割り当てられる、ランダムな値です。 802.11w IGTK キーは、4 ウェイ ハンドシェイクを使用して取得され、レイヤ 2 で WPA または WPA2 セキュリティによって設定されている WLAN でのみ使用されます。

次に、WLAN の 802.11w MFP 保護を有効にする例を示します。

> config wlan security pmf optional 1

次に、WLAN の SA クエリ リトライ タイムアウトを設定する例を示します。

> config wlan security pmf saquery-retrytimeout 300 1

関連コマンド

show wlan

show client detail

config wlan security wpa akm pmf

debug 11w-pmf

config wlan security splash-page-web-redir

スプラッシュ ページ Web リダイレクトを有効または無効にするには、config wlan security splash-page-web-redir コマンドを使用します。

config wlan security splash-page-web-redir { enable | disable} wlan_id

構文の説明

enable

スプラッシュ ページ Web リダイレクトを有効にします。

disable

スプラッシュ ページ Web リダイレクトを無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

ディセーブル

次に、スプラッシュ ページ Web リダイレクトを有効にする例を示します。


> config wlan security splash-page-web-redir enable 2

関連コマンド

show wlan

config wlan security static-wep-key authentication

無線 LAN で静的 Wired Equivalent Privacy(WEP)キー 802.11 認証を設定するには、config wlan security static-wep-key authentication コマンドを使用します。

config wlan security static-wep-key authentication { shared-key | open} wlan_id

構文の説明

shared-key

共有キー認証を有効にします。

open

オープン システム認証を有効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、WLAN ID 1 の静的 WEP 共有キー認証を有効にする例を示します。


> config wlan security static-wep-key authentication shared-key 1

関連コマンド

show wlan

config wlan security static-wep-key disable

静的 Wired Equivalent Privacy(WEP)キーの使用を無効にするには、config wlan security static-wep-key disable コマンドを使用します。

config wlan security static-wep-key disable wlan_id

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、WLAN ID 1 の静的 WEP キーを無効にする例を示します。


> config wlan security static-wep-key disable 1

関連コマンド

config wlan security wpa encryption

config wlan security static-wep-key enable

静的 Wired Equivalent Privacy(WEP)キーの使用を有効にするには、config wlan security static-wep-key enable コマンドを使用します。

config wlan security static-wep-key enable wlan_id

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、WLAN ID 1 の静的 WEK キーを有効にする例を示します。


> config wlan security static-wep-key enable 1

関連コマンド

config wlan security wpa encryption

config wlan security static-wep-key encryption

静的 Wired Equivalent Privacy(WEP)キーとインデックスを設定するには、config wlan security static-wep-key encryption コマンドを使用します。

config wlan security static-wep-key encryption wlan_id { 40 | 104} { hex | ascii} key key-index

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

40

暗号化レベルを 40 に指定します。

104

暗号化レベルを 104 に指定します。

hex

キー入力に 16 進数文字を使用するように指定します。

ascii

キー入力に ASCII 文字を使用するように指定します。

key

ASCII の WEP キー。

key-index

キー インデックス(1 ~ 4)。

コマンド デフォルト

なし。

使用上のガイドライン

各無線 LAN に 1 つの一意な WEP キー インデックスを適用できます。 WEP キー インデックスは 4 つしかないため、静的 WEP レイヤ 2 暗号化には 4 つの無線 LAN しか設定できません。

このコマンドを使用する前に、802.1X を無効にしてください。

次に、16 進数文字 0201702001 およびキー インデックス 2 を使用して WLAN ID 1 の静的 WEP キーを設定する例を示します。


> config wlan security static-wep-key encryption 1 40 hex 0201702001 2

関連コマンド

show wlan

config wlan security tkip

Temporal Key Integrity Protocol(TKIP)Message Integrity Check(MIC)カウンターメジャー ホールドダウン タイマーを設定するには、 config wlan security tkip コマンドを使用します。

config wlan security tkip hold-down time wlan_id

構文の説明

hold-down

TKIP MIC カウンターメジャー ホールドダウン タイマーを設定します。

time

TKIP MIC カウンターメジャー ホールドダウンの秒単位の時間。 有効な範囲は 0 ~ 60 秒です。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

60 秒

使用上のガイドライン

TKIP カウンターメジャー モードは、アクセス ポイントが 60 秒の期間内に 2 つの MIC エラーを受信した場合に発生することがあります。 この状況が発生した場合、アクセス ポイントは、802.11 無線にアソシエートされているすべての TKIP クライアントの認証を解除し、カウンターメジャー ホールドオフ時間のクライアントを阻止します。

次に、TKIP MIC カウンターメジャー ホールドダウン タイマーを設定する例を示します。

> config wlan security tkip

関連コマンド

show wlan

config wlan security web-auth

無線 LAN で使用する Web 認証のステータスを変更するには、config wlan security web-auth コマンドを使用します。

config wlan security web-auth {{ acl | enable | disable} { wlan_id | foreignAp} [ acl_name | none]} | { on-macfilter-failure wlan_id} | { server-precedence wlan_id | local | ldap | radius} | { flexacl wlan_id [ ipv4_acl_name | none]} | { ipv6 acl wlan_id [ ipv6_acl_name | none]}

構文の説明

acl

アクセス コントロール リストを設定します。

enable

Web 認証を有効にします。

disable

Web 認証を無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

acl_name

(任意)ACL 名(最大 32 文字の英数字)。

none

(任意)ACL 名を指定しません。

on-macfilter-failure

MAC フィルタの失敗における Web 認証を有効にします。

server-precendence

Web 認証ユーザに対する認証サーバの優先順位を設定します。

local

サーバ タイプを指定します。

ldap

サーバ タイプを指定します。

radius

サーバ タイプを指定します。

flexacl

IPv4 ACL 名を指定します。 最大 32 文字の英数字を入力できます。

ipv4_acl_name

(任意)IPv4 ACL の名前。 最大 32 文字の英数字を入力できます。

ipv6_acl_name

(任意)IPv6 ACL の名前。 最大 32 文字の英数字を入力できます。

コマンド デフォルト

なし。

次に、WLAN ID 1、および ACL03 という名前の ACL のセキュリティ ポリシーを設定する例を示します。


> config wlan security web-auth acl 1 ACL03

関連コマンド

show wlan

config wlan security web-passthrough acl

アクセス コントロール リスト(ACL)を無線 LAN 定義に追加するには、config wlan security web-passthrough acl コマンドを使用します。

config wlan security web-passthrough acl { wlan_id | foreignAp} { acl_name | none}

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

acl_name

ACL 名(最大 32 文字の英数字)。

none

ACL がないことを指定します。

コマンド デフォルト

なし。

次に、ACL を無線 LAN 定義に追加する例を示します。


> config wlan security web-passthrough acl 1 ACL03

関連コマンド

show wlan

config wlan security web-passthrough disable

無線 LAN で認証不要の Web キャプティブ ポータルを無効にするには、config wlan security web-passthrough disable コマンドを使用します。

config wlan security web-passthrough disable { wlan_id | foreignAp}

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

コマンド デフォルト

なし。

次に、無線 LAN ID 1 で認証不要の Web キャプティブ ポータルを無効にする例を示します。


> config wlan security web-passthrough disable 1

関連コマンド

show wlan

config wlan security web-passthrough email-input

電子メール アドレスを使用して Web キャプティブ ポータルを設定するには、config wlan security web-passthrough email-input コマンドを使用します。

config wlan security web-passthrough email-input { enable | disable} { wlan_id | foreignAp}

構文の説明

email-input

電子メール アドレスを使用して Web キャプティブ ポータルを設定します。

enable

電子メール アドレスを使用して Web キャプティブ ポータルを有効にします。

disable

電子メール アドレスを使用して Web キャプティブ ポータルを無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

コマンド デフォルト

なし。

次に、電子メール アドレスを使用して Web キャプティブ ポータルを設定する例を示します。


> config wlan security web-passthrough email-input enable 1

関連コマンド

show wlan

config wlan security web-passthrough enable

無線 LAN で認証不要の Web キャプティブ ポータルを有効にするには、config wlan security web-passthrough enable コマンドを使用します。

config wlan security web-passthrough enable { wlan_id | foreignAp}

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

foreignAp

サードパーティのアクセス ポイントを指定します。

コマンド デフォルト

なし。

次に、無線 LAN ID 1 で認証不要の Web キャプティブ ポータルを有効にする例を示します。


> config wlan security web-passthrough enable 1

関連コマンド

show wlan

config wlan security wpa akm 802.1x

802.1X を使用して認証キー管理を設定するには、config wlan security wpa akm 802.1x コマンドを使用します。

config wlan security wpa akm 802.1x { enable | disable} wlan_id

構文の説明

enable

802.1X サポートを有効にします。

disable

802.1X サポートを無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、802.1X を使用して認証を設定する例を示します。


> config wlan security wpa akm 802.1x enable 1

関連コマンド

show wlan

config wlan security wpa akm cckm

Cisco Centralized Key Management(CCKM)を使用して認証キー管理を設定するには、config wlan security wpa akm cckm コマンドを使用します。

config wlan security wpa akm cckm { enable wlan_id | disable wlan_id | timestamp-tolerance }

構文の説明

enable

CCKM サポートを有効にします。

disable

CCKM サポートを無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

timestamp-tolerance

CCKM IE のタイムスタンプのトレランス。 範囲は 1000 ~ 5000 ミリ秒です。デフォルトは 1000 ミリ秒です。

コマンド デフォルト

なし。

次に、CCKM を使用して認証キー管理を設定する例を示します。


> config wlan security wpa akm cckm 1500

関連コマンド

show wlan

config wlan security wpa akm ft

802.11r 高速移行 802.1X を使用して認証キー管理を設定するには、config wlan security wpa akm ft コマンドを使用します。

config wlan security wpa akm ft [ over-the-air | over-the-ds | psk | [ reassociation-timeout seconds]] { enable | disable} wlan_id

構文の説明

over-the-air

(任意)802.11r 高速移行地上波ローミング サポートを設定します。

over-the-ds

(任意)802.11r 高速移行ローミング DS サポートを設定します。

psk

(任意)802.11r 高速移行 PSK サポートを設定します。

reassociation-timeout

(任意)再アソシエーションの期限間隔を設定します。

有効な範囲は 1 ~ 100 秒です。 デフォルト値は 20 秒です。

seconds

再アソシエーションの期限間隔(秒単位)。

enable

802.11r 高速移行 802.1X サポートを有効にします。

disable

802.11r 高速移行 802.1X サポートを無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、802.11r 高速移行を使用して認証キー管理を設定する例を示します。


> config wlan security wpa akm ft reassociation-timeout 25 1

関連コマンド

show wlan

config wlan security wpa akm pmf

管理フレームの認証キー管理(AKM)を設定するには、config wlan security wpa akm pmf コマンドを使用します。

config wlan security wpa akm pmf { 802.1x | psk} { enable | disable} wlan_id

構文の説明

802.1x

管理フレームの保護(PMF)の 802.1X 認証を設定します。

psk

PMF の事前共有キー(PSK)を設定します。

enable

PMF の 802.1X 認証または PSK を有効にします。

disable

PMF の 802.1X 認証または PSK を無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

ディセーブル

使用上のガイドライン

802.11w には、00-0F-AC:5 または 00-0F-AC:6 の 2 つの新しい AKM スイートがあります。 WPA を有効にしてから WLAN を無効にし、WLAN で PMF を設定します。

次に、WLAN の PMF の 802.1X 認証を有効にする例を示します。

> config wlan security wpa akm pmf 802.1x enable 1

関連コマンド

show wlan

show client detail

config wlan security pmf

debug 11w-pmf

config wlan security wpa akm psk

Wi-Fi Protected Access(WPA)事前共有キー モードを設定するには、config wlan security wpa akm psk コマンドを使用します。

config wlan security wpa akm psk { enable | disable | set-key key-format key} wlan_id

構文の説明

enable

WPA-PSK を有効にします。

disable

WPA-PSK を無効にします。

set-key

事前共有キーを設定します。

key-format

キー形式を指定します。 ASCII または 16 進数のいずれかになります。

key

WPA 事前共有キー。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、WPA 事前共有キー モードを設定する例を示します。


> config wlan security wpa akm psk disable 1

関連コマンド

show wlan

config wlan security wpa disable

WPA1 を無効にするには、config wlan security wpa disable コマンドを使用します。

config wlan security wpa disable wlan_id

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、WPA を無効にする例を示します。


> config wlan security wpa disable 1

関連コマンド

show wlan

config wlan security wpa enable

WPA1 を有効にするには、config wlan security wpa enable コマンドを使用します。

config wlan security wpa enable wlan_id

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、WLAN ID 1 で WPA を設定する例を示します。


> config wlan security wpa enable 1

関連コマンド

show wlan

config wlan security wpa ciphers

Wi-Fi 保護認証(WPA1)または Wi-Fi 保護認証(WPA2)を設定するには、config wlan security wpa ciphers コマンドを使用します。

config wlan security wpa { wpa1 | wpa2} ciphers { aes | tkip} { enable | disable} wlan_id

構文の説明

wpa1

WPA1 サポートを設定します。

wpa2

WPA2 サポートを設定します。

ciphers

WPA 暗号方式を設定します。

aes

AES 暗号化サポートを設定します。

tkip

TKIP 暗号化サポートを設定します。

enable

WPA AES/TKIP モードを有効にします。

disable

WPA AES/TKIP モードを無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

使用上のガイドライン

WPA バージョンを指定しない場合は、次のようになります。

  • 有効化された暗号が AES の場合、WPA2/AES を設定しています。
  • 有効化された暗号が AES+TKIP の場合、WPA/TKIP、WPA2/AES、または WPA/TKIP を設定しています。
  • 有効化された暗号が TKIP の場合、WPA/TKIP または WPA2/TKIP を設定しています。

次に、WPA を暗号化する例を示します。


> config wlan security wpa wpa1 ciphers aes enable 1

関連コマンド

show wlan

config wlan security wpa gtk-random

WLAN のアクセス ポイントとクライアントとの間で Group Temporal Key(GTK)のランダム化を有効にするには、config wlan security wpa gtk-random コマンドを使用します。

config wlan security wpa gtk-random { enable | disable} wlan_id

構文の説明

enable

アクセス ポイントとクライアント間の GTK キーのランダム化を有効にします。

disable

アクセス ポイントとクライアント間の GTK キーのランダム化を無効にします。

wlan_id

1 ~ 512 の WLAN 識別子。

コマンド デフォルト

なし。

使用上のガイドライン

このコマンドを有効にすると、基本サービス セット(BSS)のクライアントに一意の GTK キーが提供されます。 クライアントは、マルチキャスト トラフィックまたはブロードキャスト トラフィックを受信しません。

次に、WLAN でアソシエートされている各クライアントの GTK のランダム化を有効にする例を示します。

> config wlan security wpa gtk-random enable 3 

関連コマンド

show wlan

debug hotspot events

debug hotspot packets

config wlan apgroup hotspot venue

config wlan apgroup hotspot operating-class

config ap hotspot venue

config advanced hotspot

config wlan hotspot dot11u

config wlan hotspot clear-all

config wlan hotspot msap

config wlan security wpa wpa1 disable

WPA1 を無効にするには、config wlan security wpa wpa1 disable コマンドを使用します。

config wlan security wpa wpa1 disable wlan_id

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、WPA1 を無効にする例を示します。


> config wlan security wpa wpa1 disable 1

関連コマンド

show wlan

config wlan security wpa wpa1 enable

WPA1 を有効にするには、config wlan security wpa wpa1 enable コマンドを使用します。

config wlan security wpa wpa1 enable wlan_id

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、WPA1 を有効にする例を示します。


> config wlan security wpa wpa1 enable 1

関連コマンド

show wlan

config wlan security wpa wpa2 disable

WPA2 を無効にするには、config wlan security wpa wpa2 disable コマンドを使用します。

config wlan security wpa wpa2 disable wlan_id

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、WPA2 を無効にする例を示します。


> config wlan security wpa wpa2 disable 1

関連コマンド

show wlan

config wlan security wpa wpa2 enable

WPA2 を有効にするには、config wlan security wpa wpa2 enable コマンドを使用します。

config wlan security wpa wpa2 enable wlan_id

構文の説明

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

次に、WPA2 を有効にする例を示します。


> config wlan security wpa wpa2 enable 1

関連コマンド

show wlan

config wlan security wpa wpa2 cache

WLAN のキャッシュ方法を設定するには、config wlan security wpa wpa2 cache コマンドを使用します。

config wlan security wpa wpa2 cache sticky { enable | disable} wlan_id

構文の説明

sticky

WLAN の Sticky Key Caching(SKC)ローミング サポートを設定します。

enable

WLAN で SKC ローミング サポートを有効にします。

disable

WLAN で SKC ローミング サポートを無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

なし。

使用上のガイドライン

PKC(Pro Active Key caching)とも呼ばれる SKC(Sticky Key caching)では、クライアントは Pairwise Master Key Security Association(PMKSA)に対して各 Pairwise Master Key(PMK)ID(PMKID)を保存します。 クライアントがそれに対する PMKSA を保持する AP を見つけた場合、アソシエーション要求内で PMKID を AP に送信します。 AP で PMKSA が動作している場合、AP は高速ローミングをサポートします。 SKC では、完全な認証はクライアントが関連付けられている新規の各 AP で行われ、クライアントはすべての AP と関連付けられた PMKSA を維持する必要があります。

次に、WLAN の SKC ローミング サポートを有効にする例を示します。

> config wlan security wpa wpa2 cache sticky enable 1

関連コマンド

config wlan security wpa wpa2 enable

config wlan security wpa wpa2 disable

config wlan security wpa wpa2 ciphers

show wlan

config wlan security wpa wpa2 cache sticky

WLAN の Sticky PMKID Caching(SKC)を設定するには、config wlan security wpa wpa2 cache sticky コマンドを使用します。

config wlan security wpa wpa2 cache sticky { enable | disable} wlan_id

構文の説明

enable

WLAN で SKC を有効にします。

disable

WLAN で SKC を無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

ディセーブル

使用上のガイドライン

リリース 7.2 以降のリリースから、コントローラは sticky PMKID キャッシュ(SKC)をサポートします。 sticky PMKID キャッシュにより、クライアントは、アソシエートする AP ごとに異なる PMKID を受信し、保存します。 AP も、クライアントに発行される PMKID のデータベースを維持します。 PKC(Proactive Key Caching)とも呼ばれる SKC では、クライアントは Pairwise Master Key Security Association(PMKSA)に対して各 Pairwise Master Key(PMK)ID(PMKID)を保存します。 クライアントがそれに対する PMKSA を保持する AP を見つけた場合、アソシエーション要求内で PMKID を AP に送信します。 AP で PMKSA が動作している場合、AP は高速ローミングをサポートします。 SKC では、完全な認証はクライアントが関連付けられている新規の各 AP で行われ、クライアントはすべての AP と関連付けられた PMKSA を維持する必要があります。 SKC の場合、PMKSA はクライアントが保存する AP のキャッシュごとであり、新しい AP の BSSID に基づいて事前に計算されます。

  • コントローラは最大 8 つの SKC しかサポートしていないため、大規模な展開に SKC を使用することはできません。
  • SKC は、モビリティ グループのアクセス コントローラでは機能しません。
  • SKC は、WPA2 が有効になっている WLAN でのみ動作します。
  • SKC はローカル モードの AP でのみ動作します。

次に、WLAN 5 で Sticky PMKID Caching を有効にする例を示します。

> config wlan security wpa wpa2 cache sticky enable 5

関連コマンド

config wlan security wpa wpa2 enable

config wlan security wpa wpa2 disable

config wlan security wpa wpa2 ciphers

show wlan

config wlan security wpa wpa2 ciphers

WPA2 暗号方式を設定し、WPA2 の Advanced Encryption Standard(AES)または Temporal Key Integrity Protocol(TKIP)データ暗号化を有効または無効にするには、config wlan security wpa wpa2 ciphers コマンドを使用します。

config wlan security wpa wpa2 ciphers { aes | tkip} { enable | disable} wlan_id

構文の説明

aes

WPA2 に対する AES データ暗号化を設定します。

tkip

WPA2 に対する TKIP データ暗号化を設定します。

enable

WPA2 に対する AES または TKIP データ暗号化を有効にします。

disable

WPA2 の AES または TKIP データ暗号化を無効にします。

wlan_id

1 ~ 512 の無線 LAN 識別子。

コマンド デフォルト

[AES]。

次に、WPA2 に対する AES データ暗号化を有効にする例を示します。

> config wlan security wpa wpa2 ciphers aes enable 1

関連コマンド

config wlan security wpa wpa2 enable

config wlan security wpa wpa2 disable

config wlan security wpa wpa2 cache

show wlan

WPS のコンフィギュレーション コマンド

config wps コマンドを使用して、Wireless Protection System(WPS)を設定します。

config wps ap-authentication

アクセス ポイントのネイバー認証を設定するには、config wps ap-authentication コマンドを使用します。

config wps ap-authentication [ enable | disable threshold threshold_value]

構文の説明

enable

(任意)無線 LAN で WMM を有効にします。

disable

(任意)無線 LAN で WMM を無効にします。

threshold

(任意)無線 LAN の WMM 対応クライアントであることを指定します。

threshold_value

しきい値(1 ~ 255)。

コマンド デフォルト

なし。


> config wps ap-authentication threshold 25

関連コマンド

show wps ap-authentication summary

config wps auto-immune

サービス拒否(DoS)攻撃からの保護を有効または無効にするには、config wps auto-immune コマンドを使用します。

config wps auto-immune { enable | disable}

構文の説明

enable

自己免疫機能を有効にします。

disable

自己免疫機能を無効にします。

コマンド デフォルト

ディセーブル

使用上のガイドライン

潜在的な攻撃者は特別に作成したパケットを使用し、正規のクライアントを攻撃者として処理するように侵入検知システム(IDS)を誘導する場合があります。 それによって、コントローラはこの正規のクライアントの接続を解除し、DoS 攻撃が開始されます。 自己免疫機能は、有効な場合にこのような攻撃を防ぐように設計されています。 ただし、自己免疫機能を有効にすると、Cisco 792x フォンを使用した会話が断続的に中断されることがあります。 792x フォンを使用しているときに頻繁に中断されるようであれば、この機能を無効にしてください。

次に、自己免疫モードを設定する例を示します。


> config wps auto-immune enable 

関連コマンド

show wps summary

config wps cids-sensor

Wireless Protection System(WPS)の侵入検知システム(IDS)センサーを設定するには、config wps cids-sensor コマンドを使用します。

config wps cids-sensor { [ add index ip_address username password] | [ delete index] | [ enable index] | [ disable index] | [ port index port] | [ interval index query_interval] | [ fingerprint sha1 fingerprint] }

構文の説明

add

(任意)新しい IDS センサーを設定します。

index

IDS センサーの内部インデックス。

ip_address

IDS センサーの IP アドレス。

username

IDS センサーのユーザ名。

password

IDS センサーのパスワード。

delete

(任意)IDS センサーを削除します。

enable

(任意)IDS センサーを有効にします。

disable

(任意)IDS センサーを無効にします。

port

(任意)IDS センサーのポート番号を設定します。

port

ポート番号。

interval

(任意)IDS センサーのクエリ間隔を指定します。

query_interval

クエリ間隔の設定。

fingerprint

(任意)IDS センサーの TLS フィンガープリントを指定します。

sha1

(任意)TLS フィンガープリントを指定します。

fingerprint

TLS フィンガープリント。

コマンド デフォルト

コマンドのデフォルトを次に示します。

ポート

443

クエリー インターバル

60

認証フィンガープリント

00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00

クエリー状態

ディセーブル

次に、IDS インデックス 1、IDS センサー IP アドレス 10.0.0.51、IDS ユーザ名 Sensor_user0doc1、および IDS パスワード passowrd01 で侵入検知システムを設定する例を示します。


> config wps cids-sensor add 1 10.0.0.51 Sensor_user0doc1 password01

関連コマンド

show wps cids-sensor detail

config wps client-exclusion

クライアント除外ポリシーを設定するには、config wps client-exclusion コマンドを使用します。

config wps client-exclusion { 802.11-assoc | 802.11-auth | 802.11x-auth | ip-theft | web-auth | all} { enable | disable}

構文の説明

802.11-assoc

コントローラが 802.11 アソシエーションに連続 5 回失敗すると、6 回目の試行を除外することを指定します。

802.11-auth

コントローラが 802.11 認証に連続 5 回失敗すると、6 回目の試行を除外することを指定します。

802.1x-auth

コントローラが 802.11X 認証に連続 5 回失敗すると、6 回目の試行を除外することを指定します。

ip-theft

IP アドレスがすでに別のデバイスに割り当てられている場合は、コントローラがクライアントを除外することを指定します。

web-auth

コントローラが Web 認証に連続 3 回失敗すると、4 回目の試行を除外することを指定します。

all

コントローラが上記のすべての理由でクライアントを除外することを指定します。

enable

クライアント除外ポリシーを有効にします。

disable

クライアント除外ポリシーを無効にします。

コマンド デフォルト

すべてのポリシーが有効になります。

次に、802.11 アソシエーションに連続 5 回失敗した場合にクライアントを無効にする例を示します。


> config wps client-exclusion 802.11-assoc disable

関連コマンド

show wps summary

config wps mfp

管理フレーム保護(MFP)を設定するには、config wps mfp コマンドを使用します。

config wps mfp infrastructure { enable | disable}

構文の説明

infrastructure

MFP インフラストラクチャを設定します。

enable

MFP 機能を有効にします。

disable

MFP 機能を無効にします。

コマンド デフォルト

なし。

次に、インフラストラクチャ MFP を有効にする例を示します。


> config wps mfp infrastructure enable

関連コマンド

show wps mfp

config wps shun-list re-sync

回避リストのコントローラをモビリティ グループ内の他のコントローラと同期させるには、config wps shun-list re-sync コマンドを使用します。

config wps shun-list re-sync

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、回避リストのコントローラを他のコントローラと同期するように設定する例を示します。


> config wps shun-list re-sync

関連コマンド

show wps shun-list

config wps signature

侵入検知システム(IDS)シグニチャ処理を有効または無効にする、または、特定の IDS シグニチャを有効または無効にするには、config wps signature コマンドを使用します。

config wps signature { standard | custom} state signature_id { enable | disable}

構文の説明

standard

標準の IDS シグニチャを設定します。

custom

標準の IDS シグニチャを設定します。

state

IDS シグニチャの状態を指定します。

signature_id

有効または無効にするシグニチャの ID。

enable

IDS シグニチャ処理または特定の IDS シグニチャを有効にします。

disable

IDS シグニチャ処理または特定の IDS シグニチャを無効にします。

コマンド デフォルト

IDS シグニチャ処理は、デフォルトで有効になります。

使用上のガイドライン

IDS シグニチャ処理を無効にすると、個々のシグニチャに設定されている状態に関係なく、すべてのシグニチャが無効になります。

次に、すべての IDS シグニチャの処理が有効になるように、IDS シグニチャ処理を有効にする例を示します。


> config wps signature enable

次に、標準の個別の IDS シグニチャを無効にする例を示します。


> config wps signature standard state 15 disable

関連コマンド

config wps signature frequency

config wps signature interval

config wps signature mac-frequency

config wps signature quiet-time

config wps signature reset

show wps signature events

show wps signature summary

show wps summary

config wps signature frequency

各アクセス ポイント レベルで、攻撃と見なされるまでに識別される必要のある間隔あたりの一致パケット数を指定するには、config wps signature frequency コマンドを使用します。

config wps signature frequency signature_id frequency

構文の説明

signature_id

設定するシグニチャの ID。

frequency

各アクセス ポイント レベルで、攻撃と見なされるまでに識別される必要のある間隔あたりの一致パケット数。 範囲は間隔あたり 1 ~ 32,000 パケットです。

コマンド デフォルト

frequency デフォルト値は、シグニチャごとに異なります。

使用上のガイドライン

IDS シグニチャ処理を無効にすると、個々のシグニチャに設定されている状態に関係なく、すべてのシグニチャが無効になります。

次に、シグニチャ ID 4 に対して、各アクセス ポイントで攻撃と見なされる、間隔あたりの一致パケット数を 1800 に設定する例を示します。


> config wps signature frequency 4 1800

関連コマンド

config wps signature frequency

config wps signature interval

config wps signature quiet-time

config wps signature reset

show wps signature events

show wps signature summary

show wps summary

config wps signature interval

シグニチャの頻度しきい値に達するまでのに経過する必要のある、設定した間隔以内の秒数を指定するには、config wps signature interval コマンドを使用します。

config wps signature interval signature_id interval

構文の説明

signature_id

設定するシグニチャの ID。

interval

シグニチャの頻度しきい値に達するまでに経過する必要のある秒数。 値の範囲は 1 ~ 3,600 秒です。

コマンド デフォルト

interval のデフォルト値は、シグニチャごとに異なります。

使用上のガイドライン

IDS シグニチャ処理を無効にすると、個々のシグニチャに設定されている状態に関係なく、すべてのシグニチャが無効になります。

次に、シグニチャ ID 1 に対して、シグニチャの頻度しきい値に達するまでに経過する秒数を 200 秒に設定する例を示します。


> config wps signature interval 1 200

関連コマンド

config wps signature frequency

config wps signature

config wps signature mac-frequency

config wps signature quiet-time

config wps signature reset

show wps signature events

show wps signature summary

show wps summary

config wps signature mac-frequency

各アクセス ポイントの各クライアントで、攻撃と見なされるまでに識別される必要のある、間隔あたりの一致パケット数を指定するには、config wps signature mac-frequency コマンドを使用します。

config wps signature mac-frequency signature_id mac_frequency

構文の説明

signature_id

設定するシグニチャの ID。

mac_frequency

各クライアントおよびアクセス ポイントで、攻撃と見なされる間隔あたりの一致パケット数。 範囲は間隔あたり 1 ~ 32,000 パケットです。

コマンド デフォルト

mac_frequency デフォルト値は、シグニチャごとに異なります。

使用上のガイドライン

IDS シグニチャ処理を無効にすると、個々のシグニチャに設定されている状態に関係なく、すべてのシグニチャが無効になります。

次に、シグニチャ ID 3 に対して、各クライアントで攻撃と見なされる、間隔あたりの一致パケット数を 50 に設定する例を示します。


> config wps signature mac-frequency 3 50

関連コマンド

config wps signature frequency

config wps signature interval

config wps signature

config wps signature quiet-time

config wps signature reset

show wps signature events

show wps signature summary

show wps summary

config wps signature quiet-time

各アクセス ポイントで攻撃が検出されず、アラームが停止するまでの時間の長さを指定するには、config wps signature quiet-time コマンドを使用します。

config wps signature quiet-time signature_id quiet_time

構文の説明

signature_id

設定するシグニチャの ID。

quiet_time

各アクセス ポイント レベルで攻撃が検出されず、アラームが停止するまでの時間の長さ。 値の範囲は 60 ~ 32,000 秒です。

コマンド デフォルト

quiet_time のデフォルト値は、シグニチャごとに異なります。

使用上のガイドライン

IDS シグニチャ処理を無効にすると、個々のシグニチャに設定されている状態に関係なく、すべてのシグニチャが無効になります。

次に、シグニチャ ID 1 に対して、アクセス ポイントごとに攻撃が検出されなかったとする経過秒数を 60 秒に設定する例を示します。


> config wps signature quiet-time 1 60

関連コマンド

config wps signature

config wps signature frequency

config wps signature interval

config wps signature mac-frequency

config wps signature reset

show wps signature events

show wps signature summary

show wps summary

config wps signature reset

特定の侵入検知システム(IDS)シグニチャまたはすべての IDS シグニチャをデフォルト値にリセットするには、config wps signature reset コマンドを使用します。

config wps signature reset { signature_id | all}

構文の説明

signature_id

リセットする特定の IDS シグニチャの ID。

all

すべての IDS シグニチャをリセットします。

コマンド デフォルト

なし。

使用上のガイドライン

IDS シグニチャ処理を無効にすると、個々のシグニチャに設定されている状態に関係なく、すべてのシグニチャが無効になります。

次に、IDS シグニチャ 1 をデフォルト値にリセットする例を示します。


> config wps signature reset 1

関連コマンド

config wps signature

config wps signature frequency

config wps signature interval

config wps signature mac-frequency

config wps signature quiet-time

show wps signature events

show wps signature summary

show wps summary

clear コマンド

ここでは、コントローラの既存のセキュリティ設定をクリアする clear コマンドについて示します。

clear acl counters

アクセス コントロール リスト(ACL)の現在のカウンタをクリアするには、clear acl counters コマンドを使用します。

clear acl counters acl_name

構文の説明

acl_name

ACL 名です。

コマンド デフォルト

なし。

使用上のガイドライン


(注)  


ACL コントローラは、Cisco 4400 Series Controller、Cisco WiSM、および Catalyst 3750G Integrated Wireless LAN Controller Switch の各コントローラ上でのみ使用できます。


次に、acl1 の現在のカウンタをクリアする例を示します。


> clear acl counters acl1

関連コマンド

config acl counter

show acl

clear radius acct statistics

コントローラで RADIUS アカウンティングの統計情報をクリアするには、clear radius acc statistics コマンドを使用します。

clear radius acct statistics [ index | all]

構文の説明

index

(任意)RADIUS アカウンティング サーバのインデックスを指定します。

all

(任意)すべての RADIUS アカウンティング サーバを指定します。

コマンド デフォルト

なし。

次に、RADIUS アカウンティング統計情報をクリアする例を示します。


> clear radius acc statistics

関連コマンド

show radius acct statistics

clear tacacs auth statistics

コントローラで RADIUS 認証サーバ統計情報をクリアするには、clear tacacs auth statistics コマンドを使用します。

clear tacacs auth statistics [ index | all]

構文の説明

index

(任意)RADIUS 認証サーバのインデックスを指定します。

all

(任意)すべての RADIUS 認証サーバを指定します。

コマンド デフォルト

なし。

次に、RADIUS 認証サーバの統計情報をクリアする例を示します。


> clear tacacs auth statistics

関連コマンド

show tacacs auth statistics

show tacacs summary

config tacacs auth

clear stats local-auth

ローカルの拡張認証プロトコル(EAP)統計情報をクリアするには、clear stats local-auth コマンドを使用します。

clear stats local-auth

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

なし。

次に、ローカルの EAP 統計情報をクリアする例を示します。


> clear stats local-auth
Local EAP Authentication Stats Cleared.

関連コマンド

config local-auth active-timeout

config local-auth eap-profile

config local-auth method fast

config local-auth user-credentials

debug aaa local-auth

show local-auth certificates

show local-auth config

show local-auth statistics

clear stats radius

1 つ以上の RADIUS サーバの統計情報をクリアするには、clear stats radius コマンドを使用します。

clear stats radius { auth | acct} { index | all}

構文の説明

auth

認証に関する統計情報をクリアします。

acct

アカウンティングに関する統計情報をクリアします。

index

クリアする RADIUS サーバのインデックス番号を指定します。

all

すべての RADIUS サーバの統計情報をクリアします。

コマンド デフォルト

なし。

次に、すべての RADIUS 認証サーバの統計情報をクリアする例を示します。


> clear stats radius auth all

関連コマンド

clear transfer

clear download datatype

clear download filename

clear download mode

clear download serverip

clear download start

clear upload datatype

clear upload filename

clear upload mode

clear upload path

clear upload serverip

clear upload start

clear stats port

clear stats tacacs

コントローラで TACACS+ サーバの統計情報をクリアするには、clear stats tacacs コマンドを使用します。

clear stats tacacs [ auth | athr | acct] [ index | all]

構文の説明

auth

(任意)TACACS+ 認証サーバの統計情報をクリアします。

athr

(任意)TACACS+ 許可サーバの統計情報をクリアします。

acct

(任意)TACACS+ アカウンティング サーバの統計情報をクリアします。

index

(任意)TACACS+ サーバのインデックスを指定します。

all

(任意)すべての TACACS+ サーバを指定します。

コマンド デフォルト

なし。

次に、インデックス 1 の TACACS+ アカウンティング サーバの統計情報をクリアする例を示します。


> clear stats tacacs acct 1

関連コマンド

show tacacs summary

debug コマンド

ここでは、コントローラのセキュリティ設定のデバッグを管理する debug コマンドについて示します。


注意    


デバッグ コマンドは、シスコ スタッフの指示の下に限り使用するように予約されています。 シスコ認定スタッフの指示以外でデバッグ コマンドを使用しないでください。


debug 11w-pmf

802.11w デバッグ オプションを設定するには、debug 11w-pmf コマンドを使用します。

debug 11w-pmf { all | events| keys} { enable | disable}

構文の説明

all

すべての 802.11w メッセージのデバッグを設定します。

keys

802.11w キーのデバッグを設定します。

events

802.11w イベントのデバッグを設定します。

enable

802.1w デバッグを有効にします。

disable

802.1w デバッグを無効にします。

コマンド デフォルト

なし。

次に、802.11w キー生成のデバッグを有効にする例を示します。

> debug 11w-pmf keys enable

関連コマンド

show wlan

show client detail

config wlan security pmf

debug aaa

AAA デバッグ オプションを設定するには、debug aaa コマンドを使用します。

debug aaa {[ all | detail | events | packet | ldap | local-auth | tacacs] [ enable | disable]}

構文の説明

all

(任意)すべての AAA メッセージのデバッグを指定します。

detail

(任意)AAA エラーのデバッグを指定します。

events

(任意)AAA イベントのデバッグを指定します。

packet

(任意)AAA パケットのデバッグを指定します。

ldap

(任意)AAA Lightweight Directory Access Protocol(LDAP)イベントのデバッグを指定します。

local-auth

(任意)AAA ローカル拡張認証プロトコル(EAP)イベントのデバッグを指定します。

tacacs

(任意)AAA TACACS+ イベントのデバッグを指定します。

enable

(任意)デバッグ機能を起動します。

disable

(任意)デバッグ機能を終了します。

コマンド デフォルト

なし。

次に、AAA LDAP イベントのデバッグを有効にする方法を示します。


> debug aaa ldap enable

関連コマンド

debug aaa local-auth eap

show running-config

debug aaa local-auth

コントローラで AAA ローカル認証をデバッグするには、debug aaa local-auth コマンドを使用します。

debug aaa local-auth { db | shim | eap { framework | method} { all | errors | events | packets | sm}} { enable | disable}

構文の説明

db

AAA ローカル認証バックエンド メッセージおよびイベントのデバッグを設定します。

shim

AAA ローカル認証シム レイヤ イベントのデバッグを設定します。

eap

AAA ローカル拡張認証プロトコル(EAP)認証のデバッグを設定します。

framework

ローカル EAP フレームワークのデバッグを設定します。

method

ローカル EAP 方式のデバッグを設定します。

all

ローカル EAP メッセージのデバッグを指定します。

errors

ローカル EAP エラーのデバッグを指定します。

events

ローカル EAP イベントのデバッグを指定します。

packets

ローカル EAP パケットのデバッグを指定します。

sm

ローカル EAP ステート マシンのデバッグを指定します。

enable

デバッグ機能を起動します。

disable

デバッグ機能を終了します。

コマンド デフォルト

なし。

次に、AAA ローカル EAP 認証のデバッグを有効にする例を示します。


> debug aaa local-auth eap method all enable

関連コマンド

clear stats local-auth

config local-auth active-timeout

config local-auth eap-profile

config local-auth method fast

config local-auth user-credentials

show local-auth certificates

show local-auth config

show local-auth statistics

debug bcast

ブロードキャスト オプションのデバッグを設定するには、debug bcast コマンドを使用します。

debug bcast { all | error | message | igmp | detail} { enable | disable}

構文の説明

all

すべてのブロードキャスト ログのデバッグを設定します。

error

ブロードキャスト エラーのデバッグを設定します。

message

ブロードキャスト メッセージのデバッグを設定します。

igmp

ブロードキャスト IGMP メッセージのデバッグを設定します。

detail

ブロードキャスト詳細メッセージのデバッグを設定します。

enable

ブロードキャスト デバッグを有効にします。

disable

ブロードキャスト デバッグを無効にします。

コマンド デフォルト

なし。

次に、ブロードキャスト デバッグ設定を有効にする例を示します。


> debug bcast message enable

次に、ブロードキャスト デバッグ設定を無効にする例を示します。


> debug bcast message disable

関連コマンド

debug disable-all

show sysinfo

debug nac

ネットワーク アクセス コントロール(NAC)のデバッグを設定するには、debug nac コマンドを使用します。

debug nac { events | packet} { enable | disable}

構文の説明

events

NAC イベントのデバッグを設定します。

packet

NAC パケットのデバッグを設定します。

enable

NAC デバッグを有効にします。

disable

NAC デバッグを無効にします。

コマンド デフォルト

なし。

次に、NAC デバッグ設定を有効にする例を示します。


> debug nac events enable

関連コマンド

show nac statistics

show nac summary

config guest-lan nac

config wlan nac

debug pm

セキュリティ ポリシー マネージャ モジュールのデバッグを設定するには、debug pm コマンドを使用します。

debug pm { all disable | { config | hwcrypto | ikemsg | init | list | message | pki | rng | rules | 
 sa-export | sa-import | ssh-l2tp | ssh-appgw | ssh-engine | ssh-int | ssh-pmgr | ssh-ppp | ssh-tcp} { enable | disable}}

構文の説明

all disable

ポリシー マネージャ モジュールのすべてのデバッグを無効にします。

config

ポリシー マネージャ設定のデバッグを設定します。

hwcrypto

ハードウェア オフロード イベントのデバッグを設定します。

ikemsg

インターネット キー交換(IKE)メッセージのデバッグを設定します。

init

ポリシー マネージャ初期化イベントのデバッグを設定します。

list

ポリシー マネージャ リスト管理のデバッグを設定します。

message

ポリシー マネージャ メッセージ キュー イベントのデバッグを設定します。

pki

公開キー インフラストラクチャ(PKI)関連イベントのデバッグを設定します。

rng

ランダム番号生成のデバッグを設定します。

rules

レイヤ 3 ポリシー イベントのデバッグを設定します。

sa-export

SA エクスポート(モビリティ)のデバッグを設定します。

sa-import

SA インポート(モビリティ)のデバッグを設定します。

ssh-l2tp

ポリシー マネージャ l2TP 処理のデバッグを設定します。

ssh-appgw

アプリケーション ゲートウェイのデバッグを設定します。

ssh-engine

ポリシー マネージャ エンジンのデバッグを設定します。

ssh-int

ポリシー マネージャ インターセプタのデバッグを設定します。

ssh-pmgr

ポリシー マネージャのデバッグを設定します。

ssh-ppp

ポリシー マネージャ PPP 処理のデバッグを設定します。

ssh-tcp

ポリシー マネージャ TCP 処理のデバッグを設定します。

enable

デバッグをイネーブルにします。

disable

デバッグをディセーブルにします。

コマンド デフォルト

なし。

次に、PKI 関連イベントのデバッグを設定する例を示します。


> debug pm pki enable

関連コマンド

debug disable-all

debug web-auth

Web 認証済みクライアントのデバッグを設定するには、debug web-auth コマンドを使用します。

debug web-auth { redirect{ enable mac mac_address | disable} | webportal-server { enable | disable}}

構文の説明

redirect

Web 認証され、リダイレクトされたクライアントのデバッグを設定します。

enable

Web 認証済みクライアントのデバッグを有効にします。

mac

Web 認証済みクライアントの MAC アドレスを設定します。

mac_address

Web 認証済みクライアントの MAC アドレス。

disable

クライアントの Web 認証のデバッグを無効にします。

webportal-server

クライアントのポータル認証のデバッグを設定します。

コマンド デフォルト

なし。

次に、Web 認証され、リダイレクトされたクライアントのデバッグを有効にする例を示します。

> debug web-auth redirect enable mac xx:xx:xx:xx:xx:xx

debug wps sig

Wireless Provisioning Service(WPS; ワイヤレス プロビジョニング サービス)のシグニチャ設定をトラブルシューティングするには、debug wps sig コマンドを使用します。

debug wps sig { enable | disable}

構文の説明

enable

WPS 設定のデバッグを有効にします。

disable

WPS 設定のデバッグを無効にします。

コマンド デフォルト

なし。

次に、WPS シグニチャ設定を有効にする例を示します。


> debug wps sig enable

関連コマンド

debug wps mfp

debug disable-all

debug wps mfp

WPS 管理フレーム保護(MFP)設定をデバッグするには、debug wps mfp コマンドを使用します。

debug wps mfp { client | capwap | detail | report | mm} { enable | disable}

構文の説明

client

クライアント MFP メッセージのデバッグを設定します。

capwap

コントローラとアクセス ポイント間の MFP メッセージのデバッグを設定します。

detail

MFP メッセージの詳細デバッグを設定します。

report

MFP レポートのデバッグを設定します。

mm

MFP モビリティ(コントローラ間)メッセージのデバッグを設定します。

enable

WPS MFP 設定のデバッグを有効にします。

disable

WPS MFP 設定のデバッグを無効にします。

コマンド デフォルト

なし。

次に、WPS MFP 設定のデバッグを有効にする例を示します。


> debug wps mfp detail enable

関連コマンド

debug disable-all

debug wps sig