Enterprise Mobility 4.1 デザイン ガイド Cisco Validated Design I
モバイル アクセス ルータ、ユニバー サル ブリッジ クライアント、および Cisco Unified Wireless
モバイル アクセス ルータ、ユニバーサル ブリッジ クライアント、および Cisco Unified Wireless
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

モバイル アクセス ルータ、ユニバーサル ブリッジ クライアント、および Cisco Unified Wireless

3200 シリーズ モバイル アクセス ルータの概要

Cisco 3200 シリーズと無線ネットワーク アクセス

車両ネットワークの例

単純なブリッジ クライアント データ パスの例

モバイル IP 環境での Cisco 3200 シリーズ

WMIC ローミング アルゴリズム

基本的な設定例

Cisco 32XX への接続

3200 シリーズでの IP アドレス、DHCP、および VLAN の設定

WMIC の設定

WMIC ワークグループ ブリッジの設定

WMIC ユニバーサル ブリッジ クライアントの設定

アクセス ポイントとしての WMIC の設定

セキュリティ

認証タイプ

暗号化とキー管理

セキュリティ設定

認証タイプの SSID への割り当て

dot1x 資格情報の設定

AES 暗号化を使用した EAP-TLS 認証の例

WDS と対話するルート デバイスの設定

WPA のその他の設定

WPA と事前共有キーの設定例

Cisco 3200 シリーズ製品の詳細

Cisco 3200 シリーズのインターフェイス

Cisco 3230 エンクロージャの接続

Cisco 3270 Rugged Enclosure の構成

Cisco 3200 シリーズ WMIC の機能

Cisco 3200 シリーズ ブリッジの考慮事項

Cisco 3200 シリーズの管理オプション

モバイル アクセス ルータ、ユニバーサル ブリッジ クライアント、および Cisco Unified Wireless

3200 シリーズ モバイル アクセス ルータの概要

Cisco 3200 シリーズ モバイル アクセス ルータ(MAR)は、無線ネットワーク間のシームレスなモビリティと相互運用性を実現する、小型で高性能なネットワーク アクセス ソリューションです。コンパクトな設計なので、防衛、公安、国土保安、および運輸分野での車載に適しています。無線、セルラー、衛星、WLAN を利用した複数のネットワークでシームレスな通信モビリティが可能になり、ピアツーピア ネットワーク、階層型ネットワーク、またはメッシュ ネットワーク経由でビジネスに不可欠な音声、画像、データをやり取りできます。

Cisco 3200 ルータを使用してモバイル ネットワークを構築すれば、3200 ルータ上の無線接続(セルラーや WLAN ベースなど)を介して、PC、監視カメラ、デジタル ビデオ レコーダ、プリンタ、PDA、スキャナなどのあらゆるデバイスをホーム ネットワークに接続できます。

Cisco 3200 シリーズは 1 つ以上の PC104/Plus モジュールで構成され、これらをスタックすることで無線ルータ構成を形成します。これらのモジュラー カードは、カード バンドルとして、または耐環境性に優れた Cisco 3200 エンクロージャ(3200 Rugged Enclosure)に組み込まれた完全なシステムとして提供されます。Cisco 3200 シリーズのルータ バンドルは、Cisco 3230 モデルと Cisco 3270 モデルで構成されています。図11-1 の左側は Cisco 3200 Rugged Enclosure バンドル、右側は Cisco 3270 Rugged Enclosure バンドルです。

図11-1 Rugged Enclosure バンドル:Cisco 3200(左)、Cisco 3270(右)

 

Cisco 3200 シリーズ Rugged Enclosure オプションは乗り物への搭載に適しており、公安、運輸、防衛、保安市場特有のモビリティ ニーズに対応しています。この Rugged Enclosure オプションは完全密封型で、厳しい温度変化、高度環境、強い衝撃や振動、湿気、水濡れ、埃など、過酷な環境に耐えられるように設計されています。

Rugged Enclosure の詳細は、次の URL にある 3200 Rugged Enclosure のデータ シートを参照してください。
http://www.cisco.com/en/US/products/hw/routers/ps272/products_data_sheet0900aecd8028e3a7.html

Cisco 3200 カード バンドルの詳細は、次の URL にある Cisco 3200 Wireless and Mobile Routers のデータ シートを参照してください。
http://www.cisco.com/en/US/products/hw/routers/ps272/products_data_sheet0900aecd800fe973.html

Cisco 3200 シリーズと無線ネットワーク アクセス

このようなさまざまな無線オプションと接続モードにより、Cisco 3200 MAR は移動中もネットワークへの「常時」IP 接続を提供できます。これらのルータは乗り物への搭載に適しています。また、Cisco IOS Mobile Networks に対応し、ローカル IP ノードからレイヤ 3 サブネット間をローミングする際に、潜在的に発生するアドレス変更を非表示にする機能を備えています。これによって、モバイル ネットワーク上の IP ホストは、ルータが移動中でもネットワークに透過的に接続できます。

たとえば、バスに 3200 MAR を搭載すると、バスで街中を移動している間も乗客はインターネットに接続できます。接続を維持するためにクライアント コンピュータに特殊なソフトウェアをインストールする必要はありません。この透過的な通信は、パケットをモバイル アクセス ルータにトンネルするモバイル IP デバイスによって達成されます。これについては、この章で詳しく説明します。

Cisco Unified Wireless Network のリリース 4.1 では、Workgroup Bridge(WGB; ワークグループ ブリッジ)のサポートが追加されています。この機能拡張がなされる前は、3200 MAR を Cisco Unified Wireless Network に接続するには Universal Work Group Bridge(UWGB; ユニバーサル ワークグループ ブリッジ)モードを使用する必要がありました。

WGB を使用することで、3200 MAR は、Cisco Unified Wireless Network の WGB クライアントとして動作できます。3200 MAR は Cisco 802.11 Unified Wireless Network への WGB 接続をサポートするほか、WGB 対応の他の WLAN ソリューションへの接続にも使用できます。モバイル アクセス ルータの UWGB は、WGB 機能に取って代わられることはありません。実際に、WGB モードをサポートしない 802.11 無線ネットワークに 3200 MAR を接続する必要がある環境では非常に便利です。これらタイプのネットワーク接続では、UWGB モードの 3200 MAR は 802.11 無線ネットワークへの通常の無線クライアントとして認識されます。

3200 MAR のもう 1 つの無線アクセス方法とは、その有線ファスト イーサネットとシリアル インターフェイス接続を使用するというものです。これらの接続では、セルラー デバイスと衛星デバイスを統合できます。これらのデバイス タイプのオプションについては、本書では説明しません。詳細は次の URL を参照してください。
http://www.cisco.com/en/US/products/hw/routers/ps272/prod_brochure0900aecd80374174.html

車両ネットワークの例

ここでは、3200 MAR の WGB 機能を使用してメッシュ WLAN に接続するメッシュ ネットワークでの 3200 MAR 用の簡単なアプリケーションについて説明します(図11-2 を参照)。

図11-2 車両ネットワークの例

 

次の点に注意してください。

モバイル ユニットに取り付けられている Cisco 3200 シリーズ ルータでは、車両内および車両の周りにあるクライアント デバイスの接続を車両のローミング時に維持できます。

車両に取り付けられた Cisco 3200 シリーズ ルータの Wireless Mobile Interface Card(WMIC; 無線モバイル インタフェース カード)は、アクセス ポイントとして 802.11b/g および 4.9 GHz 無線クライアントへの接続を提供するよう設定されます。

ラップトップ、カメラ、またはテレマティクス デバイスなどの車両内無線クライアントからのネットワークへの接続には、イーサネット インターフェイスが使用されます。

メッシュ AP への接続用に、別の WMIC が WGB として設定されます。これによって、車両の移動時に、アーキテクチャのルート デバイスを通した透過的なアソシエーションと認証を確保できます。

シリアル インターフェイスを使用すると、CDMA や GPRS などのセルラー ネットワークに接続する無線 WAN モデムに接続できます。帯域幅が最大であることから、無線 802.11 接続は推奨サービスとして扱われます。ただし、WLAN 接続を使用できない場合は、セルラー技術によるバックアップ リンクを使用できます。ルーティング優先度またはモバイル IP の優先度によって、接続の優先度を設定できます。

単純なブリッジ クライアント データ パスの例

MAR に接続されている IP デバイスは、自身がモバイル ネットワークの一部であることを認識しません。IP デバイスで、ネットワーク内の別のノードと通信する必要がある場合、IP デバイスのトラフィックはデフォルトのゲートウェイである Cisco 3200 シリーズ ルータに送信されます。Cisco 3200 シリーズ ルータはトラフィックをメッシュ AP の WLAN に転送し、WLAN でデータ パケットが LWAPP にカプセル化され、ネットワーク経由でコントローラに転送されます。

図11-3 で示しているように、Cisco 3200 シリーズ ルータから WGB バックホール リンクを経由してトラフィックが送信されます。次にトラフィックは、WLAN を経由してコントローラに送信され、コントローラからコントローラ インターフェイスを経由して有線ネットワークに転送されます。MAR に接続されているいずれかのクライアント宛てのリターン トラフィックは、メッシュ ネットワークのコントローラに返すよう指定する静的ルート経由で転送されます。

図11-3 単純なレイヤ 2 データ パスの例

 

図11-4 は、MAR へのリターン パスを示しています。モバイル IP では、静的ルーティングの必要がありません。これについては、この章で詳しく説明します。モバイル IP を使用できない場合、簡単な展開では NAT を使用することがあります。

図11-4 クライアントへのリターン データ パス

 

このデータ パスの例は、MAR でバックフォールに WMIC だけを使用している場合の純粋なレイヤ 2 メッシュのトラフィックを示しています。展開をもっと複雑にする必要がある場合(セカンダリ セルラー バックホール リンクなど)は、モバイル IP が必要です。

モバイル IP 環境での Cisco 3200 シリーズ

現代の大都市の多くのモバイル ネットワークで使用されている無線技術には、都市全体を対象範囲にできる 802.11 メッシュ型無線ネットワークがあります。このネットワークでは、車内ビデオなど帯域幅集中型のアプリケーション向けの高速アクセスを利用できます。メッシュ型無線ネットワークの拡張が実用的ではないカバレッジ領域の場合、CDMA 1x RTT などのセルラー サービスで補完できます。この方法では、セルラー サービスを使用して、接続におけるギャップを埋めて、バックアップ無線接続を確保できます。この追加のバックアップ インターフェイスには、2 つの個別のネットワーク間でのクライアントのローミングを可能にするためのモバイル IP が必要です。

郵便の手紙が封筒に記載された住所に配達されるのと同じように、IP ネットワークでは、固定 IP アドレスに基づいてルーティングが行われます。ネットワーク上のデバイスには、そのネットワークで割り当てられた IP アドレスに従い、通常の IP ルーティングで到達できます。ただし、モバイル ネットワークの場合、デバイスが自分のホーム ネットワークから離れた場所へ移動すると、それまでの IP ルートでは到達できません。そのため、そのデバイスのアクティブ セッションが終了してしまいます。

モバイル IP を使用すると、無線事業者が同じかどうかにかかわらず、ユーザが別のネットワークへ移動したときも同じ IP アドレスが維持されるので、個々のローミング クライアントはセッションまたは接続を中断せずに通信を続けることができます。

モバイル IP のモビリティ機能は物理レイヤやリンク レイヤではなくネットワーク レイヤで実行されるので、Cisco 3200 などのモバイル デバイスは接続と実行中のアプリケーションを維持しながら異なるタイプの無線ネットワークや有線ネットワークを移動できます。モバイル IP が有効なネットワーク接続は、セッション レイヤを維持する必要のあるあらゆるアプリケーションに適しています。

モバイル IP ネットワークの概要は、 第 12 章「Cisco Unified Wireless とモバイル IP」 を参照してください。

WMIC ローミング アルゴリズム

次の 4 つの基本的なトリガーが発生した時点で WMIC スキャンが開始され、より適したルート ブリッジまたはアクセス ポイントが検出されます。

1. 8 個の連続したビーコンの損失

2. データレートの変動

3. データ最大再試行回数の超過(WMIC のデフォルト値は 64)

4. 信号強度しきい値におけるドロップの測定期間

上記の 3 番と 4 番だけは、packet retries コマンドおよび mobile station period X threshold Y(単位は dBm)を使用して設定できます。それ以外はハードコード化されます。

8 つの連続したビーコンの損失が生じたためにクライアントでスキャンが開始すると、「Too many missed beacons」というメッセージがコンソールに表示されます。この場合、WMIC は、ユニバーサル ブリッジ クライアントとして、他の無線クライアントとよく似た動作で機能します。別のトリガー メカニズムである「モバイル ステーション」は、定期的ではなく、period と threshold という 2 つの変数を使用します。モバイル ステーションが設定されている場合、モバイル ステーション アルゴリズムが 2 つの変数(データ レートの変動と信号強度)を評価し、次のように対応します。

ドライバで、親へのパケットの送信レートが長期間低下している場合、WMIC は新しい親のスキャンを開始します(設定した期間ごとに 1 回以下)。

信号強度(しきい値)が設定可能レベルを下回った場合、WMIC は新しい親のスキャンを開始します(設定した期間ごとに 1 回以下)。

データレートの変動は、次のコマンドを使用して表示できます。

debug dot11 dot11Radio 0 trace print rates
 

ただし、この場合、動作中の実際のデータ レート変動アルゴリズムは表示されず、データ レートの変化だけが表示されます。表示されるデータ レート低下の大きさに応じて、スキャンする期間が決まります。

期間は、アプリケーションに応じて設定する必要があります。デフォルトは 20 秒です。この遅延期間によって、たとえば、しきい値が設定した値を下回る場合に、WMIC がより適切な親をスキャンし続けることがないように防止できます。

しきい値によって、より適切な親をスキャンするためにアルゴリズムがトリガーされるレベルが設定されます。このしきい値は、ノイズ + 20 dBm に設定する必要がありますが、-70 dBm(しきい値の入力値は正の数のため +70)より上に設定しないでください。デフォルトは -70 dBm です。

基本的な設定例

この項では、3200 MAR の設定例を示します。これは、オープン認証と WEP 暗号化を使用する UWGB クライアントの設定手順として使用できます。これには、VLAN の作成、割り当て、DHCP などその他の基本的な設定手順も含まれています。

Cisco 32XX への接続


ステップ 1 コンソール ケーブルを、PC のシリアル ポートとモバイル アクセス ルータ コンソール ポート(DB9 メス)の両方に接続します。DB9-to-DB9 ストレート ケーブルを使用します。


) RJ-45 to DB9 メス アダプタを追加して、Home AgentHA; ホーム エージェント)へのアクセスに使用するものと同じコンソール ケーブルを使用することもできます。


3200 シリーズでの IP アドレス、DHCP、および VLAN の設定

ステップ 2 モバイル ルータに接続してログインします。ループバック インターフェイスを作成して、IP アドレスを割り当てます。

ステップ 3 vlan database CLI コマンドを使用して、VLAN データベースに VLAN 2 を作成します。

ステップ 4 VLAN 3 および VLAN 2 インターフェイスを設定します。

VLAN 3 は、AP として機能する 2.4 GHz WMIC2W2に使用します。VLAN 2 は、4.9 GHz WMIC(W3)に使用します。FA2/0、FA2/1、および FA2/3 を VLAN 3 に、FA2/2 を VLAN 2 に設定します。

ステップ 5 WMIC 1 と MARC との接続用に、VLAN データベースに VLAN 4 を作成します( 表11-1 を参照)。

 

表11-1 インターフェイスの例

接続先
インターフェイス
無線タイプ
VLAN
説明

PC

FastEthernet2/0

なし

3

エンド デバイス用ファースト イーサネット リンク

WMIC 1(W1)

FastEthernet2/1

2.4 GHz

4

メッシュ ネットワークへの 2.4 GHz UWGB 接続

WMIC 2(W2)

FastEthernet2/3

2.4 GHz

3

モバイル ルータの周囲に 2.4 GHz AP ホットスポットを提供

WMIC 3(W3)

FastEthernet2/2

4.9 GHz

2

ワークグループ ブリッジとして機能する 4.9 GHz アップリンク

ステップ 6 次のコマンドを使用して、VLAN 3 に DHCP サーバを設定します。

ip dhcp pool mypool
network 10.40.10.0 /28
default-router 10.40.10.1
ip dhcp excluded-address 10.40.10.1 10.40.10.3
 

ステップ 7 VLAN 3 上の有線クライアントに、10.40.10.0/28 サブネットの DHCP IP アドレスが正しく割り当てられていることを確認します。


 

WMIC の設定

WMIC ワークグループ ブリッジの設定

WMIC は、アソシエートされた 802.11 接続用の WGB クライアント モードをサポートできます。これは、distance コマンドをサポートする唯一の動作モードです。また、UWGB クライアント モードでの制限を克服しているため、Cisco メッシュ環境での MAR に設定するモードとして推奨されています。UWGB の制限を含む UWGB の詳細は、「WMIC ユニバーサル ブリッジ クライアントの設定」を参照してください。

WGB には次の 3 つのインストール モードがあります。

Automatic:ブリッジ インストールとアライメント モードを起動し、そのユニットがネットワーク ロールを自動的に決定します。ユニットが別の Cisco ルート デバイスに 60 秒以内にアソシエートできる場合、ユニットは非ルート ブリッジ ロールを担います。デバイスをルート ブリッジ モードまたは非ルート ブリッジ モードに設定すると、60 秒の自動検出フェーズを回避できます。

Root:デバイスがルート ブリッジとして動作し、メインのイーサネット LAN ネットワークに直接接続します。このモードでは、ユニットは他の Cisco ブリッジと無線クライアント デバイスからのアソシエーションを受け入れます。

Non-root:デバイスがリモート LAN ネットワークに接続し、無線インターフェイスを使用して Cisco ルート デバイスとアソシエートしなければならないことを指定します。

WMIC がロールを自動的に決定するように設定するには、次の手順に従ってください。


ステップ 1 dot11 インターフェイスで、次のコマンドを入力します。

station-role {root [bridge | non-root workgroup-bridge install [automatic | root | non-root]}
 

station-role コマンドは、WMIC のロールがアソシエート先のデバイスに基づいて選択されることを指定します。

ステップ 2 WMIC ロールを設定します。

station-role root bridge:3200 MAR WMIC がルート ブリッジ デバイスとして動作することを指定します。このモードは、無線クライアント アソシエーションには対応してません。

station-role workgroup-bridge:3200 MAR WMIC がワークグループ ブリッジ モードで動作することを指定します。デバイスは、ワークグループ ブリッジとして Aironet アクセス ポイントに、またはクライアントとしてブリッジにアソシエートし、そのイーサネット ポートに接続されているデバイスに対して無線 LAN 接続を提供します。

ステップ 3 mobile station コマンドを実行します。

mobile station
 

非ルート ブリッジまたはワークグループ ブリッジをモバイル ステーションとして設定するには、このコマンドを使用します。この機能を有効にしていると、ブリッジは弱い Received Signal Strength Indicator(RSSI; 受信信号強度インジケータ)、過度な無線干渉、または高いフレーム損失率を検出するたびに、新しい親アソシエーションをスキャンします。これらの基準を使用すると、WMIC は現在のアソシエーションを失う前に、新しいルート アソシエーションを検索して新しいルート デバイスにローミングします。モバイル ステーションの設定が無効化されている(デフォルト設定)場合、WMIC は現在のアソシエーションを失うまで新しいアソシエーションを検索しません。


 

WMIC ユニバーサル ブリッジ クライアントの設定

この項の最初で説明したとおり、WMIC は UWGB として設定できます。UWGB モードでは、WGB をサポートしない 802.11 ネットワーク環境でも WMIC に対応できます。このようなネットワーク環境としては、非 Cisco メッシュ ネットワークがあげられます。現在、Cisco Unified Wireless Network で UWGB モード クライアントを使用する場合、AP ごとに UWGB クライアントを 1 つしか設定できないという制限があります。

そのため、WMIC には次の機能があります。

IOS と非 IOS アクセス ポイントにアソシエートする。

相互運用性:UWGB は非 Cisco ルート デバイスを汎用クライアントとして使用することでルーティング トラフィックを転送できます。UWGB はルート デバイスへの通常の無線クライアントとして表示されます。ルート デバイスとして、WMIC はすべての Cisco Compatible Extension v3 機能やさまざまな v4 機能を使用して Cisco Compatible Extension クライアントをサポートしています。

station-role workgroup-bridge universal (mac address)
 

) WMIC のブリッジ先のアソシエートされている VLAN の MAC アドレスを使用する必要があります。たとえば、VLAN の MAC アドレスを使用してください。VLAN の MAC アドレスを取得するには、MAR ルータ カードにコンソールから入り、show mac-address-table コマンドを実行します。


アクセス ポイントとしての WMIC の設定

WMIC はルート アクセス ポイントとして設定できます。このロールでは、WMIC は無線クライアントからアソシエーションを受け取ります。モバイル ホットスポットを展開する予定であれば、これは便利な設定となります。次のコマンドを dot11 インターフェイス設定で実行して、WMIC をアクセス ポイントとして設定してください。

station-role root access-point
 

これによって、WMIC はルート アクセス ポイントとして機能します。。

セキュリティ

この章のセキュリティの項では、3200 MAR のセキュリティ機能の根底にある概念については詳しく説明しません。これらのセキュリティ メカニズムの詳細は、 第 4 章「Cisco Unified Wireless Network アーキテクチャ - 基本的なセキュリティ機能」 を参照してください。

認証タイプ

この項では、WMIC に設定できる認証タイプについて説明します。認証タイプは、WMIC に設定する SSID に関連します。無線デバイスが通信するには、その前にオープン認証、802.1x/EAP ベースの認証、または共有キー認証を使用して互いを認証する必要があります。また、セキュリティを強化するため、無線デバイスは EAP 認証を使用してネットワークを認証する必要もあります。EAP 認証はユーザのネットワーク上の認証サーバに依存する認証タイプです。

WMIC では、4 つの認証メカニズム、つまり認証タイプが使用され、同時に複数を使用できます。

WMIC が使用できる 4 つの認証タイプは次のとおりです。

WMIC へのオープン認証

WMIC への共有キー認証

ネットワークへの EAP 認証

ネットワークへの MAC アドレス認証

認証メカニズムの詳細は、 第 4 章「Cisco Unified Wireless Network アーキテクチャ - 基本的なセキュリティ機能」 を参照してください。

暗号化とキー管理

3200 MAR WMIC は、暗号化とキー管理には Wired Equivalent Privacy(WEP)、Wi-Fi Protected Access(WPA)、および Cisco Centralized Key Management(CCKM)をサポートしています。これらのセキュリティの詳細は、 第 4 章「Cisco Unified Wireless Network アーキテクチャ - 基本的なセキュリティ機能」 を参照してください。

セキュリティ設定

WMIC のデフォルト SSID は、ゲスト モードでも設定される autoinstall です。ゲスト モードでは、WMIC はこの SSID をビーコンでブロードキャストし、SSID を持たないクライアント デバイスがアソシエートできるようにします。また、デフォルトでは、autoinstall に割り当てられている認証タイプはオープンです。これによって、セキュリティ設定をまったく持たないクライアントでも 3200 MAR に接続できます。MAR のセキュリティを確保するには、この設定のデフォルトを変更する必要があります。

認証タイプの SSID への割り当て

ここからは、ルート デバイス モードの WMIC に SSID の認証タイプを設定するコマンドについて説明します。また、各コマンドのコマンド コンポーネントとオプション設定コンポーネントについても説明します。

dot11 ssid ssid-string

このコマンドは SSID を定義します。SSID には最大 32 文字の英数字を使用できます。SSID では大文字と小文字が区別されます。

authentication open [mac-address list-name [alternate]] [[optional] eap list-name]

(オプション)現在の SSID の認証タイプをオープンに設定します。オープン認証では、どのクライアント デバイスでも認証が可能であり、WMIC との通知を試みることもできます。

(オプション)SSID の認証タイプをオープン(MAC アドレス認証を使用)に設定します。このアクセス ポイントは、すべてのクライアント デバイスに MAC アドレス認証を実行させ、そのあとでネットワークへの参加が許可されるようにします。list-name には、認証方式のリストを指定します。方式リストの詳細は、次の URL を参照してください。
http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scfathen.html

クライアント デバイスが MAC または EAP のどちらを使用してもネットワークに接続できるようにするには、alternate キーワードを使用します。いずれか一方の認証に成功したクライアントは、ネットワークへの参加を許可されます。

(オプション)SSID の認証タイプをオープン(EAP 認証を使用)に設定します。WMIC は、他のすべてのクライアント デバイスに EAP 認証を実行させ、そのあとでネットワークへの参加が許可されるようにします。list-name には、認証方式のリストを指定します。クライアント デバイスがオープンまたは EAP 認証のどちらかを使用してアソシエートでき、認証されるようにするには、optional キーワードを使用してください。この設定は、おもに特殊なクライアントアクセス可能性を必要とするサービス プロバイダで使用されています。


) EAP 認証に設定されているルート デバイスは、アソシエートするすべてのクライアント デバイスに EAP 認証を実行させます。EAP を使用していないクライアント デバイスはルート デバイスと通信できません。


authentication shared

[mac-address list-name] [eap list-name]

(オプション)SSID の認証タイプを共有キーに設定します。


) 共有キーのセキュリティには欠陥があるため、使用しないことをお勧めします。



) 共有キーによる認証は、1 つの SSID にのみ割り当てることができます。


(オプション)SSID の認証タイプを共有キー(MAC アドレス認証を使用)に設定します。list-name には、認証方式リストを指定します。

(オプション)SSID の認証タイプを共有キー(EAP 認証を使用)に設定します。list-name には、認証方式リストを指定します。

authentication network-eap list-name [mac-address list-name]

(オプション)SSID の認証タイプを EAP 認証とキーの配布に設定します。

(オプション)SSID の認証タイプを Network-EAP(MAC アドレス認証を使用)に設定します。アクセス ポイントにアソシエートするすべてのクライアント デバイスが、MAC アドレス認証を実行する必要があります。list-name には、認証方式リストを指定します。

authentication key-management {[wpa] [cckm]} [optional]

(オプション)SSID のキー管理タイプを WPA、CCKM、または両方に設定します。optional キーワードを使用すると、WPA または CCKM に設定されていないクライアント デバイスがこの SSID を使用できます。optional キーワードを使用しないと、WPA または CCKM クライアントのみが SSID を使用できます。SSID に対して CCKM を有効にするには、Network-EAP 認証も有効にする必要があります。SSID に対して WPA を有効にするには、オープン認証または Network-EAP 認証、もしくは両方を有効にする必要があります。


) 802.11b 無線と 802.11g 無線のみが WPA と CCKM を同時に有効にできます。



) CCKM または WPA を有効にする前に、暗号化モードを TKIP/AES-CCMP を含む暗号化スイートに設定する必要があります。CCKM と WPA の両方を有効にするには、暗号化モードを TKIP を含む暗号化スイートに設定する必要があります。



) 事前共有キーのない SSID の WPA を有効にした場合、キー管理タイプは WPA です。事前共有キーのある WPA を有効にした場合、キー管理タイプは WPA-PSK です。



) CCKM をサポートするには、ルート デバイスがネットワーク上の WDS デバイスとやりとりする必要があります。


dot1x 資格情報の設定

この項では、EAP で使用する dot1x 資格情報を設定するコマンドについて説明します。また、各コマンドのコマンド コンポーネントとオプション設定コンポーネントについても説明します。

1. eap profile profile-name-string

EAP プロファイルを作成します。

2. dot1x credentials profile

dot1x 資格情報プロファイルを作成し、dot1x 資格情報設定サブモードを入力します。

3. method [fast|gtc|leap|md5|mschapv2|tls]

認証目的で EAP 認証方式を選択します。


) EAP 認証に設定されているデバイスは、アソシエートするすべてのルート デバイスに EAP 認証を実行させます。EAP を使用していないルート デバイスはデバイスと通信できません。


4. dot11 ssid ssid-string

5. authentication network-eap list-name

(オプション)SSID の認証タイプを EAP 認証とキーの配布に設定します。

6. dot1x credentials profile

dot1x 資格情報プロファイルを作成し、dot1x 資格情報設定サブモードを入力します。

7. dot1x eap profile profile-name-string

EAP プロファイルを指定します。これは上記の手順 2 で作成したプロファイルです。

8. authentication key-management {[wpa] [cckm]} [optional]

(オプション)SSID のキー管理タイプを WPA、CCKM、または両方に設定します。optional キーワードを使用すると、WPA または CCKM に設定されていないクライアント デバイスがこの SSID を使用できます。optional キーワードを使用しないと、WPA または CCKM クライアントのみが SSID を使用できます。SSID に対して CCKM を有効にするには、Network-EAP 認証も有効にする必要があります。SSID に対して WPA を有効にするには、オープン認証または Network-EAP 認証、もしくは両方を有効にする必要があります。


) 802.11b 無線と 802.11g 無線のみが WPA と CCKM を同時に有効にできます。



) CCKM または WPA を有効にする前に、暗号化モードを TKIP/AES-CCMP を含む暗号化スイートに設定する必要があります。CCKM と WPA の両方を有効にするには、暗号化モードを TKIP を含む暗号化スイートに設定する必要があります。



) 事前共有キーのない SSID の WPA を有効にした場合、キー管理タイプは WPA です。事前共有キーのある WPA を有効にした場合、キー管理タイプは WPA-PSK です。



) CCKM をサポートするには、ルート デバイスがネットワーク上の WDS デバイスとやりとりする必要があります。


AES 暗号化を使用した EAP-TLS 認証の例

SSID を無効にする、または SSID 機能を無効にするには、SSID コマンドの no フォームを使用します。この例では、SSID bridgeman の認証タイプをオープン(EAP 認証を使用)に設定します。SSID bridgeman を使用したブリッジは、EAP 方式名 adam を使用して EAP 認証を試みます。この例では、SSID bridgeman の認証タイプを設定して、EAP-TLS 認証(AES 暗号化を使用)を実行します。この SSID を使用したブリッジは、サーバ ID adam を使用して EAP 認証を試みます。

!
dot11 ssid bridgeman
authentication open eap eap_adam
authentication network-eap eap_adam
authentication key-management wpa
infrastructure-ssid
!
!
interface dot11radio 0
encryption mode ciphers aes-ccm
ssid bridgeman
!
 

このブリッジにアソシエートされたワークグループ ブリッジ、非ルート ブリッジ、およびリピータ ブリッジでの構成は、次のコマンドも含みます。

!
eap profile authProfile
method tls
exit
!
dot1x credentials authCredentials
username adam
password adam
!
dot11 ssid bridgeman
authentication open eap eap_adam
authentication network-eap eap_adam
authentication key-management wpa
dot1x eap_profile authProfile
dot1x credentials authCredentials
infrastructure-ssid
!
 
interface dot11radio 0
encryption mode ciphers aes-ccm
ssid bridgeman
!
!
 

この例は、EAP 認証のルート側の RADIUS/AAA 設定を示します。

!
aaa new-model
aaa group server radius rad_eap
server 13.1.1.99 auth-port 1645 acct-port 1646
!
aaa authentication login eap_adam group rad_eap
aaa session-id common
radius-server host 13.1.1.99 auth-port 1645 acct-port 1646 key 7 141B1309
radius-server authorization permit missing Service-Type
ip radius source-interface BVI1
!

WDS と対話するルート デバイスの設定

CCKM を使用した非ルート ブリッジをサポートするには、使用しているルート デバイスがネットワーク上の WDS デバイスと対話する必要があり、認証サーバがルート デバイスのユーザ名とパスワードで構成されている必要があります。無線 LAN に WDS と CCKM を設定する方法については、次の URL にある『Cisco IOS Software Configuration Guide for Cisco Access Points』の第 11 章を参照してください。
http://www.cisco.com/en/US/docs/wireless/access_point/12.2_13_JA/configuration/guide/i12213sc.html

ルート デバイスで、次のコマンドをグローバル設定モードで入力します。

bridge(config)# wlccp ap username username password password
 

) ルート デバイスを認証サーバ上のクライアントとしてセットアップしたときと同じユーザ名とパスワードを設定する必要があります。


この WDS/CCKM 構成では、クライアントと AP は次のように対話します。

AP1 と AP2 が WDS を認証する

WDS がクライアントのセキュリティ資格情報をキャッシュする

アソシエーションで、AP1 はキー関連情報を取得し、セッションに必要な動的キーを生成する

再アソシエーションで、AP2 がキー関連情報を取得し、セッションの動的キーを生成する

RADIUS サーバに対して、クライアントが 1 度だけ認証を行う

図11-5 は、クライアント、AP、および WDS の関係を示しています。

図11-5 WDS と CCKM の対話

 

WPA のその他の設定

事前共有キーをブリッジに設定して、グループのキー アップデートの頻度を調整するには、2 とおりの設定が可能です。

事前共有キーの設定

802.1x ベースの認証が利用できない無線 LAN 上の WPA をサポートするためには、ブリッジ上に事前共有キーを設定する必要があります。事前共有キーは ASCII 文字または 16 進数として入力できます。キーを ASCII 文字として入力する場合は 8 ~ 63 文字を入力します。ブリッジは、「Password-based Cryptography Standard」(RFC2898)で規定されているプロセスに従ってこのキーを展開します。キーを 16 進数として入力する場合は、64 桁の 16 進数を入力する必要があります。WPA-PSK は、一部の既知の攻撃ツールに対して脆弱性があるので注意してください。ただし、WPA-PSK 認証メカニズムは、小規模から中規模のビジネスやエンタープライズ ネットワークではなく、コンシューマ ネットワークでの使用向けであり、エンタープライズクラスの WGB やメッシュ環境での使用はお勧めしません。

幸運なことに、オフラインの辞書攻撃は WPA-PSK ネットワークにはそれほど効果がありません。これは IEEE が PSK ハッシュとして pbkdf2 アルゴリズムを選択したためです。20 文字に満たないパスフレーズから生成されたキーは、辞書攻撃を受ける可能性が高くなります。WPA-PSK を使用する場合は、真ランダム キーのみを使用することをお勧めします。

グループ キー更新の設定

WPA プロセスの最後の段階で、ルート デバイスは、認証された非ルート ブリッジにグループ キーを配布します。次のオプションの設定を使って、非ルート ブリッジのアソシエーションとアソシエーション解除をベースにして、グループ キーを変更、配布するようにルート デバイスを設定できます。

Membership termination:ルート デバイスは、任意の認証された非ルート ブリッジがルート デバイスからアソシエーションを解除するときに、新しいグループ キーを生成、配布します。この機能は、グループキーが現在アソシエートしているブリッジでのみ利用できるようにします。

Capability changeルート デバイスは、最後の非キー管理の非ルート ブリッジがアソシエーションを解除するときに動的グループ キーを生成および配布し、最初の非キー管理の非ルート ブリッジが認証するときに、静的に設定されたキーを配布します。WPA 移行モードでは、この機能により、キー管理が可能なクライアントのセキュリティが大幅に向上します。

特権 EXEC モードから、次の手順に従って、WPA 事前共有キーとグループ キー更新オプションを設定します。

1. SSID の SSID 設定モードを入力します。

dot11 ssid ssid-string
 

2. ブリッジの事前共有キーを、静的 WEP キーも利用する WPA を使って入力します。

wpa-psk { hex | ascii } [ 0 | 7 ] encryption-key
 

16 進数または ASCII 文字を使用してキーを入力します。16 進数を使用する場合は、256 ビットのキーを完成するために 64 桁の 16 進数を入力する必要があります。ASCII を使用する場合は、8 桁以上の文字、数字、または記号を入力する必要があります。入力したキーをブリッジが展開します。ASCII 文字は 63 文字まで入力できます。

WPA と事前共有キーの設定例

次の例は、WPA および静的 WEP を使用する非ルート ブリッジ用の事前共有キーを、グループ キー更新オプションと共に設定する方法を示しています。

!
!
dot11 ssid given-ssid
wpa-psk ascii talboeitm65
!
!

Cisco 3200 シリーズ製品の詳細

Cisco 3200 シリーズのインターフェイス

上記の項で説明したとおり、3200 MAR シリーズのルータは、アプリケーションのニーズに合わせてさまざまな PC104/Plus モジュールでカスタム設計できます。複数のイーサネットとシリアル インターフェイス用のルータ、および最大 3 枚の WMIC カードを設計できます。ルータ自体は、カードと呼ばれるスタック可能な PC104/Plus モジュールで構成されています。次のカード構成が可能です。

2.4 GHz 無線 WMIC x 2

4.9 GHz WMIC x 1

Fast Ethernet Switch Mobile Interface Card(FESMIC; ファースト イーサネット スイッチ モバイル インターフェイス カード)x 1

Serial Mobile Interface Card(SMIC; シリアル モバイル インターフェイス カード)x 1

Mobile Access Router Card(MARC; モバイル アクセス ルータ カード)x 1

図11-6 は、このスタック可能なカード構成を示しています。一般的な用途向けとして、Rugged Enclosure 3230 および 3270 バンドルが用意されています。

図11-6 カードの接続

 

図11-6 では、3200 MAR の 2 つの構成例が示されています。

WMIC x 2、FESMIC x 1、SMIC x 1、MARC x 1

WMIC x 3、FESMIC x 1、SMIC x 1、MARC x 1

3200 MAR の構成オプションの詳細は、次の URL を参照してください。
http://www.cisco.com/en/US/products/hw/routers/ps272/products_data_sheet0900aecd800fe973.html

Cisco 3230 エンクロージャの接続

Cisco 3230 MAR エンクロージャの背面には、3 組の RP-TNC コネクタがあります。各組が 1 枚の WMIC カードに対応しています。下の組は W1 カード用です。その上の組は W2 用です。モバイル ルータの最上部の組は W3 用です。図11-7 はアンテナ接続を示しています。

図11-7 WMIC RP TNC ロケーション

 

次の表は、ポートとインターフェイスの関係を示したもので、3200 MAR に別のデバイスを接続する必要がある場合に役立ちます。

表11-2 は、Cisco 3230 MAR での WMIC セットアップを示しています。

 

表11-2 WMIC ポート

内部配線ポート

WMIC 1(W1)

FastEthernet 2/1

WMIC 2(W2)

FastEthernet 2/3

WMIC 3(W3)

FastEthernet 2/2

表11-3 は、Cisco 3230 MAR 上のシリアル インターフェイスのセットアップを示しています。

 

表11-3 SMIC ポート

内部配線ポート
インターフェイス タイプ

シリアル 0

Serial 1/0

DSCC4 シリアル

シリアル 1

Serial 1/1

DSCC4 シリアル

内部

Serial 1/2

DSCC4 シリアル

内部

Serial 1/3

DSCC4 シリアル

Cisco 3270 Rugged Enclosure の構成

新しくリリースされた Cisco 3270 モバイル アクセス ルータは、ポート密度、ファイバ、ギガビット イーサネット機能を向上します。プラットフォームに内部変更により、より大きなプロファイルが必要となりました。高性能 3270 ルータ カードとその追加インターフェイスを収容するために、3270 の Rugged Enclosure のサイズは、3230 バンドルに使用された Rugged Enclosure の約 2 倍となっています。これにより、Cisco 3230 バンドルの Rugged Enclosure では収容可能カード数が最大 7 枚であったことと比べても、はるかに多くの PC104+ カードの増設が可能となりました。

Cisco 3270 ルータでは、WMIC を内部接続するという概念は変わらず保持されています。WMIC の相互接続性は、3230 バンドルに関して前述の項で説明したものとまったく同じです。3270 エンクロージャのエンド キャップを最大限有効に利用するため、WMIC を使用しないときは、RJ-45 WMIC コンソール ポートをファスト イーサネット ポートに変換できるようになっています。これらの接続を 図11-8 に示します。

図11-8 Cisco 3270

 

3270 エンクロージャでは、未使用の RJ-45 WMIC コンソール ポートを、エンド キャップ上のファスト イーサネット インターフェイスに変換する機能を備えるため、3270 の 8 つのポートすべてをエンド キャップのコネクタに引き出すことができます。また、3270 は、エンド キャップのコネクタに引き出すスマート シリアル インターフェイスを通じて非同期/同期シリアル ポートの機能を保持します。

Cisco 3270 Rugged Router は、有線または無線ネットワークから同時に実行される複数のアプリケーションをサポートするように設計された高パフォーマンス プロセッサ カードです。オンボード ハードウェアの暗号化により、Cisco 3270 は暗号化プロセスをルータ CPU からオフロードし、モバイル ネットワーク向けに安全なデータ サービスを提供します。

Cisco 3251 Mobile Access Router Card(MARC)の約 2 倍のフォーム ファクタを持つ Cisco 3270 では、ファイバ、ギガビット イーサネット コッパー、USB などさまざまなネットワーク インターフェイスを選択できるほか、より多くの周辺機器を接続できます。さらに、Cisco 3270 は、将来のカード拡張に備えて PC/104-Plus カードの 2 番目のスタックに対応でき、上記の 3201 Mobile Interface Card は完全サポートしています。

図11-9 は、Cisco 3270 MAR の 2 つの構成例を示しています。

図11-9 3270 WMIC の構成オプション

 

詳細は、次の URL にある Cisco 3200 Rugged Enclosure のデータ シートを参照してください。
http://www.cisco.com/en/US/products/hw/routers/ps272/products_data_sheet0900aecd804c207b.html

Cisco 3200 シリーズ WMIC の機能

Cisco IOS を実行する WMIC には次のソフトウェア機能が備わっています。

VLAN

dot1Q VLAN は、無線インターフェイスとイーサネット インターフェイスの両方でトランクできます。システムごとに最大 32 個の VLAN をサポートできます。

QoS

無線インターフェイス上のトラフィックに優先順位を付け、サービスの品質を維持するための機能です。WMIC では、QoS で WMM に必要な要素がサポートされます。WMM によって、Wi-Fi 無線接続を経由したオーディオ、ビデオ、および音声アプリケーションのユーザ エクスペリエンスが向上します。WMM は、IEEE 802.11e QoS 仕様のサブセットの 1 つです。WMM は EDCA 方法を使用して、QoS 優先メディア アクセスをサポートします。

複数の BSSID

アクセス ポイント(AP)モードでは、最大 8 個の BSSID がサポートされます。

RADIUS アカウンティング

WMIC を AP モードで実行する場合、WMIC のアカウンティングを有効にして、認証されている無線クライアント デバイスに関するデータをネットワーク上の RADIUS サーバに送信できます。

TACACS+ 管理者認証

TACACS+ では、サーバベースの詳細なアカウンティング情報、および認証プロセスと認可プロセスにおける柔軟性のある管理上の制御を実現できます。TACACS+ では、WMIC にアクセスしようとする管理者をセキュアに集中化して検証できます。

拡張セキュリティ

次の 3 つの高度なセキュリティ機能がサポートされます。

WEP キー:Message Integrity Check(MIC; メッセージ完全性チェック)および WEP キー ハッシュ CKIP

WPA

WPA2

拡張認証サービス

非ルート ブリッジまたはワークグループ ブリッジで、他の無線クライアント デバイスと同様にネットワークに対して認証を実行できます。非ルート ブリッジまたはワークグループ ブリッジにネットワークのユーザ名とパスワードを設定すると、LEAP、EAP-TLS、または EAP-FAST を使用して、WEP、WPA、または WPA2 設定で認証を実行できます。

802.1x オーセンティケータ

AP モードでは、MAR は、WLAN クライアントとして標準の 802.1x EAP タイプをサポートします。

迅速でセキュアなローミング

WGB モードと UWGB モードの CCKM を使用します。

ユニバーサル ワークグループ ブリッジ

クライアントとしてシスコ以外の AP との相互運用性をサポートします。

Repeater モード

アクセス ポイントが、無線リピータのように機能して、無線ネットワークのカバレッジ領域を拡張できます。

Cisco 3200 シリーズ ブリッジの考慮事項

Cisco Compatible eXtensions(CCX)プログラムでは、高度な WLAN システム レベル機能およびシスコ固有の WLAN の技術を、サードパーティ製の Wi-Fi 対応ラップトップ、WLAN アダプタ カード、PDA、WI-FI 電話、および Application Specific Device(ASD)で実現できます。2.4 GHz WMIC では、CCX クライアントがサポートされます。2.4 GHz WMIC をユニバーサル ワークグループ ブリッジ クライアントとして設定すると、2.4 GHz WMIC は自身を Cisco Compatible Extension クライアントとして識別しません。ただし、Cisco Compatible Extension の機能をサポートします。 表11-4 はサポートされている機能を示しています。

Cisco Compatible Extensions プログラムの詳細は、次の URL にある Cisco Compatible Extensions のホーム ページを参照してください。
http://www.cisco.com/web/partners/pr46/pr147/partners_pgm_concept_home.html

 

表11-4 Cisco Compatible Extensions Version 機能のサポート

機能
v1
v2
v3
v4
AP
WGB
WGB
クライアント
セキュリティ

Wi-Fi Protected Access(WPA)

X

X

X

X

X

X

IEEE 802.11i - WPA2

X

X

X

X

X

WEP

X

X

X

X

X

X

X

IEEE 802.1X

X

X

X

X

X

X

X

LEAP

X

X

X

X

X

X

X

EAP-FAST

X

X

X

X

X

CKIP(暗号化)

X

X

X

Wi-Fi Protected Access(WPA):

802.1X + WPA TKIP

X

X

X

X

X

X

LEAP 対応

X

X

X

X

X

X

EAP-FAST 対応

X

X

X

X

X

IEEE 802.11i- WPA2: 802.1X+AE

X

X

X

X

X

LEAP 対応

X

X

X

X

X

EAP-FAST 対応

X

X

X

X

X

CCKM EAP-TLS

X

X

X

X

EAP-FAST

X

X

X

X

モビリティ

AP 支援ローミング

X

X

X

X

X

X

CCKM および LEAP を使用した迅速な再認証

X

X

X

X

X

X

CCKM および EAP-FAST を使用した迅速な再認証

X

X

X

X

X

MBSSID

X

X

キープアライブ

X

X

X

QoS と VLAN

複数の SSID および VLAN をサポートする AP との相互運用性

X

X

X

X

X

X

Wi-Fi Multimedia(WMM)

X

X

X

X

X

パフォーマンスと管理

AP 固有の最大送信電力

X

X

X

X

X

X

自動保護切り替え(ASP)のためのプロキシ ARP 情報の要素の認識

X

X

X

クライアント ユーティリティの標準化

リンク テスト

X

X

X

X

ソフトウェアの機能とモバイル IOS 機能のサポートに関する詳細なリストは、次の URL にある『Cisco 3200 Series Mobile Access Router Software Configuration Guide』を参照してください。
http://www.cisco.com/en/US/products/hw/routers/ps272/products_configuration_guide_chapter09186a00800c797a.html#wp1035566.

Cisco 3200 シリーズの管理オプション

WMIC は次のインターフェイスを通じて管理できます。

IOS Command-Line Interface(CLI; コマンドライン インターフェイス)。ターミナル エミュレーション ソフトウェアまたは Telnet/SSH セッションを実行している PC から使用します。IOS CLI には、WMIC コンソール接続、Telnet、または SSH からアクセスできます。

Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)。

Web GUI 管理。