この章では、Wireless Domain Services（WDS; 無線ドメイン サービス）、クライアント デバイスの高速安全ローミング、無線管理、および Wireless Intrusion Detection ServicesWIDSのためにアクセス ポイントを設定する方法について説明します。この章の内容は、次のとおりです。

･ WDS の概要

･ 高速安全ローミングの概要

･ 無線管理の概要

･ レイヤ 3 モビリティの概要

･ Wireless Intrusion Detection Services の概要

･ WDS の設定

･ 高速安全ローミングの設定

･ 管理フレーム保護の設定

･ 無線管理の設定

･ アクセスポイントの WIDS 参加の設定

･ WLSM フェールオーバーの設定

スイッチの Wireless LAN Services Module（WLSM）に WDS を設定する方法は、『Catalyst 6500 Series Wireless LAN Services Module Installation and Configuration Note』 を参照してください。

WDS の概要

ネットワークに WDS を設定すると、無線 LAN 上のアクセス ポイントは WDS デバイス（WDS デバイスとして設定されたアクセス ポイント、Integrated Services Router、またはスイッチ）を使用してクライアント デバイスに高速安全ローミングを提供し、無線管理に参加します。スイッチを WDS デバイスとして使用する場合、そのスイッチは Wireless LAN Services Module（WLSM）を備えている必要があります。WDS デバイスとして設定したアクセス ポイントは、最大 60 個のアクセス ポイントの参加をサポートします。WDS デバイスとして設定した Integrated Services Router（ISR）は、最大 100 個のアクセス ポイントの参加をサポートします。WLSM を備えたスイッチは、最大 600 個のアクセス ポイント、および 240 個までのモビリティ グループの参加をサポートします。

高速安全ローミングによって、クライアント デバイスがアクセス ポイント間をローミングするときに速やかに再認証でき、音声やその他の時間に敏感なアプリケーションにおける遅延を回避できます。

無線管理に参加しているアクセス ポイントは、無線環境に関する情報（潜在的な不正アクセス ポイント、クライアント アソシエーション、アソシエーション解除など）を WDS デバイスに転送します。WDS デバイスはこの情報を集約し、ネットワーク上の Wireless LAN Solution Engine（WLSE; 無線 LAN ソリューション エンジン）デバイスに転送します。

WDS デバイスの役割

WDS デバイスは無線 LAN 上で次のようないくつかの作業を実行します。

･ WDS 機能をアドバタイズして、無線 LAN に最適な WDS デバイスの選択に参加します。WDS 用に無線 LAN を設定する場合は、1 つのデバイスをメインの WDS 候補として設定し、1 つ以上の追加デバイスをバックアップの WDS 候補として設定します。メインの WDS デバイスがオフラインになったら、バックアップの WDS デバイスの 1 つがその役割を引き継ぎます。

･ サブネット中の全アクセス ポイントを認証して、そのうちのそれぞれと安全な通信チャネルを設定します。

･ サブネット中のアクセス ポイントから無線データを収集して、データを集約し、これをネットワーク上の WLSE デバイスに転送します。

･ 参加しているアクセス ポイントにアソシエートされているすべての 802.1x 認証クライアントに対するパススルーとして機能します。

･ 動的キーを使用するサブネット中の全クライアント デバイスを登録して、それにセッション キーを設定し、セキュリティ クレデンシャルをキャッシュします。クライアントが別のアクセス ポイントにローミングする場合、WDS デバイスはクライアントのセキュリティ クレデンシャルを新しいアクセス ポイントに転送します。

表12-1 は、WDS デバイスとして設定できるプラットフォーム（アクセス ポイント、ISR、WLSM 装備スイッチ）でサポート可能な参加アクセス ポイント数を示しています。

WDS デバイスを使用したアクセス ポイントの役割

無線 LAN 上のアクセス ポイントは、次の動作において WDS デバイスと対話します。

･ 現在の WDS デバイスを検出、トラッキングし、WDS アドバタイズメントを無線 LAN に中継します。

･ WDS デバイスを認証して、認証した WDS デバイスと安全な通信チャネルを確立します。

･ WDS デバイスとアソシエートしたクライアント デバイスを登録します。

･ 無線データを WDS デバイスに報告します。

高速安全ローミングの概要

多くの無線 LAN 内のアクセス ポイントは、システム全体においてアクセス ポイントからアクセス ポイントへローミングするモバイル クライアント デバイスに対応します。クライアント デバイスで稼働するアプリケーションの中には、異なるアクセス ポイントにローミングする場合、高速な再アソシエーションを必要とするものがあります。たとえば、音声アプリケーションでは、会話の遅延やギャップを防ぐために、シームレスなローミングが必要です。

通常稼働時、Light Extensible Authentication Protocol（LEAP; 拡張認証プロトコル）対応クライアント デバイスは、図12-1 に示すように、メイン Remote Authentication Dial-In User Service（RADIUS）サーバとの通信をはじめとする完全な LEAP 認証を実行することによって、新しいアクセス ポイントとの間の相互認証を実行します。

図12-1 RADIUS サーバを使ったクライアント認証

無線 LAN に高速安全ローミングを設定すれば、LEAP 使用可能クライアント デバイスはメイン RADIUS サーバを利用することなく、あるアクセス ポイントから別のアクセス ポイントへのローミングを行うことが可能です。Cisco Centralized Key Management（CCKM）を使用すると、Wireless Domain Services（WDS; 無線ドメイン サービス）の提供が設定されたデバイスは、RADIUS サーバの代わりにクライアントを短時間で認証するため、音声などの時間が重要なアプリケーションではほとんど遅延が発生しません。図12-2 は、CCKM を使用したクライアント認証を示しています。

図12-2 CCKM と WDS アクセス ポイントを使用するクライアント再アソシエーション

WDS デバイスは、無線 LAN 上の CCKM 利用可能クライアント デバイスに対するクレデンシャルのキャッシュを維持します。CCKM 利用可能クライアントは、1 つのアクセス ポイントから別のアクセス ポイントへローミングする場合、クライアントが新しいアクセス ポイントへ再アソシエーションの要求を送信し、新しいアクセス ポイントはその要求を WDS デバイスへ中継します。WDS デバイスはクライアントのクレデンシャルを新しいアクセス ポイントへ転送し、新しいアクセス ポイントは再アソシエーション応答をクライアントに送信します。クライアントと新しいアクセス ポイントとの間で渡されるパケットは 2 つだけなので、再アソシエーションの時間が大幅に短縮されます。クライアントは再アソシエーション応答をユニキャスト キーの生成にも使用します。高速安全ローミングをサポートするアクセス ポイントの設定方法については、高速安全ローミングの設定を参照してください。

無線管理の概要

無線管理に参加しているアクセス ポイントは、無線環境をスキャンし、潜在的な不正アクセス ポイント、アソシエートされたクライアント、クライアントの信号強度、他のアクセス ポイントからの無線信号などの無線情報に関するレポートを WDS デバイスに送信します。WDS デバイスは集約した無線データを、ネットワーク上の WLSE デバイスに転送します。無線管理に参加しているアクセス ポイントは、近くのアクセス ポイントに障害が発生した場合のカバレッジを提供するための無線 LAN の自己修復や自動設定調整についてもサポートしています。無線管理の設定方法については、無線管理の設定を参照してください。

次の URL をクリックして、WLSE ドキュメントを参照します。

http://www.cisco.com/en/US/products/sw/cscowork/ps3915/tsd_products_support_series_home.html

このリンクをクリックすると、Tools and Resources Downloads ページが表示されます。Wireless LAN Management を選択して、WLSE ドキュメントを開いてください。

レイヤ 3 モビリティの概要

WLSM をネットワーク上の WDS デバイスとして使用すると、特定のサブネットを 1 つ設定したり、有線スイッチ インフラストラクチャ全体に VLAN を設定したりしなくても、大規模なレイヤ 3 ネットワークの任意の場所にアクセス ポイントを設置できます。クライアント デバイスは、マルチポイント GRE（mGRE）トンネルを使用して、異なるレイヤ 3 サブネットに存在するアクセス ポイントにローミングします。ローミングしているクライアントは、IP アドレスを変更しなくてもネットワークに接続されたままとなっています。

Wireless LAN Services Module（WLSM）を備えたスイッチに WDS を設定する方法については、『 Cisco Catalyst 6500 Series Wireless LAN Services Module (WLSM) Deployment Guide 』を参照してください。

レイヤ 3 モビリティ無線 LAN ソリューションは、次のハードウェア コンポーネントおよびソフトウェア コンポーネントで構成されています。

･ WDS に参加している 1100 シリーズまたは 1200 シリーズのアクセス ポイント

･ スーパーバイザ モジュールおよび WDS デバイスとして設定されている WLSM を備えた Catalyst 6500 スイッチ

･ クライアント デバイス

図12-3 は、相互に対話してレイヤ 3 モビリティを実行するコンポーネントを示しています。

図12-3 レイヤ 3 モビリティに必要なコンポーネント

Cisco Structured Wireless-Aware Network（SWAN）に関する情報については、次のリンクをクリックしてください。

http://www.cisco.com/en/US/netsol/ns340/ns394/ns348/ns337/networking_solutions_package.html

Wireless Intrusion Detection Services の概要

無線 LAN 上に Wireless Intrusion Detection Services（WIDS）を実装すると、アクセス ポイント、WLSE、およびオプションの（Cisco 製品ではない）WIDS エンジンが同時に動作して、無線 LAN インフラストラクチャ、およびアソシエートされたクライアント デバイスに対する攻撃を探知および防止します。

WLSE と同時に動作する場合、アクセス ポイントは侵入を探知し、無線 LAN を防御するアクションを実行します。WIDS の機能は次のとおりです。

･ スイッチ ポートのトレースと不正抑制：スイッチ ポートのトレースと抑制では、RF 検出方法を使用して、不明な無線（潜在的な不正デバイス）の無線 Media Access Control MAC; メディア アクセス制御）アドレスを生成します。WLSE は、無線 MAC アドレスから有線側 MAC アドレスを取り出し、これを使用してスイッチの BRIDGE Management Information Bases（MIB; 管理情報ベース）を検索します。1 つまたは複数の検索可能な MAC アドレスが利用できる場合、WLSE は Cisco Discovery Protocol（CDP）を使用して、検出元のアクセス ポイントから最大 2 ホップ離れて接続しているすべてのスイッチを発見します。WLSE は CDP で発見された各スイッチの BRIDGE MIB を調べて、ターゲット MAC アドレスが含まれているかどうかを判断します。CDP でいずれかの MAC アドレスが見つかると、WLSE は対応するスイッチ ポート番号を抑制します。

･ 過剰管理フレーム検出：過剰管理フレームは、無線 LAN が攻撃されたことを示します。攻撃者は、無線上で大量の管理フレームを注入し、そのフレームを処理する必要があるアクセス ポイントに大きな負荷を加えることにより、サービス拒否攻撃を実行する場合があります。スキャン モードのアクセス ポイントとルート アクセス ポイントは、WIDS の機能セットの一部として無線信号を監視して、過剰管理フレームを検出します。アクセス ポイントが過剰管理フレームを検出すると、障害を生成し、WDS を介して WLSE にこれを送信します。

･ 認証/保護失敗検出：認証/保護失敗検出は、無線 LAN 上での最初の認証フェーズを回避するかまたは、進行中のリンク保護を侵害しようとする攻撃者を探します。これらの検出メカニズムは、次の特定の認証攻撃に対応します。

− EAPOL フラッド検出

− MIC/暗号化失敗検出

− MAC スプーフィング検出

･ フレーム キャプチャ モード：フレーム キャプチャ モードでは、スキャナ アクセス ポイントが 802.11 フレームを収集し、ネットワーク上の WIDS エンジンのアドレスに送信します。

･ 802.11 Management Frame Protection（MFP）：本来的に、無線は正当なデバイスか、不法デバイスであるかを問わず、あらゆるデバイスで傍受または参加が可能なブロードキャスト メディアです。制御/管理フレームは、クライアント ステーションが AP とのセッションを選択または開始する際に使用されるため、これらのフレームはオープンであることが要求されます。管理フレームは暗号化できませんが、偽造/改ざんできないように保護する必要があります。MFP は、802.11 管理フレームの完全性を保護するための手段です。

WDS の設定

この項では、ネットワーク上で WDS を設定する方法について説明します。この項の構成は、次のとおりです。

･ WDS のガイドライン

･ WDS の要件

･ 設定概要

･ アクセス ポイントを潜在的な WDS デバイスとして設定する

･ アクセス ポイントを WDS デバイスを使用するように設定する

･ 認証サーバが WDS をサポートするように設定する

･ WDS 専用モードの設定

･ WDS 情報の表示

･ デバッグ メッセージの使用

WDS のガイドライン

WDS を設定する場合は、次のガイドラインに従います。

･ クライアント デバイスも収容している WDS アクセス ポイントでは最大 30 のアクセス ポイントの参加をサポートできますが、無線を無効にした WDS アクセス ポイントでは、最大 60 までサポートできます。

･ WDS 専用モードの場合、WDS では 60 個までのインフラストラクチャ アクセス ポイントと 1200 個までのクライアントがサポートされます。

･ リピータ アクセス ポイントは、WDS をサポートしません。リピータ アクセス ポイントを WDS 候補として設定しないでください。また WDS アクセス ポイントを、イーサネット障害時にリピータ モードに戻るように設定しないでください。

･ 350 シリーズ アクセス ポイントはメインの WDS デバイスとして設定できません。ただし、350 シリーズ アクセス ポイントを WDS に参加するように設定できます。

WDS の要件

WDS を設定するには、無線 LAN 上に次の項目を含める必要があります。

･ WDS デバイスとして設定可能なアクセス ポイント、Integrated Services Router（ISR）、またはスイッチ（Wireless LAN Services Module を装備）が 1 つ以上

･ 認証サーバ（またはローカル認証サーバとして設定されたアクセス ポイントまたは ISR

設定概要

WDS および高速安全ローミングの設定には、次の 3 つの主要手順を完了する必要があります。

1. アクセス ポイント、ISR、またはスイッチを潜在的な WDS デバイスとして設定します。この項では、アクセス ポイントを WDS デバイスとして設定する方法について説明します。Wireless LAN Services Module（WLSM）を備えたスイッチに WDS を設定する方法については、『 Cisco Catalyst 6500 Series Wireless LAN Services Module (WLSM) Deployment Guide 』を参照してください。

2. 他のアクセス ポイントが、この WDS デバイスを使用するように設定します。

3. ネットワーク上の認証サーバが WDS デバイスと、WDS デバイスを使用するアクセス ポイントを認証するように設定します。

図12-4 は、WDS に参加する各デバイスに必要な設定を示しています。

図12-4 WDS に参加するデバイスの設定

アクセス ポイントを潜在的な WDS デバイスとして設定する

プライマリ WDS アクセス ポイントとして設定するアクセス ポイント上で、次の手順に従ってメインの WDS 候補としてアクセス ポイントを設定します。

図12-5 Wireless Services Summary ページ

ステップ 2 WDS をクリックして WDS/WNM Summary ページを表示します。

ステップ 3 WDS/WNM Summary ページで、General Setup をクリックして WDS/WNM General Setup ページに移動します。図12-6 は、General Setup ページを示しています。

図12-6 WDS/WNM General Setup ページ

ステップ 4 Use this AP as Wireless Domain Services チェックボックスをオンにします。

ステップ 5 Wireless Domain Services Priority フィールドに 1 〜 255 の優先順位数を入力して、WDS 候補の優先順位を設定します。Wireless Domain Services Priority フィールド内の数字が最も大きい WDS アクセス ポイント候補が、WDS アクセス ポイントとして機能します。たとえば、1 つの WDS 候補には優先順位に 255 が割り当てられており、もう 1 つの候補には優先順位に 100 が割り当てられている場合は、優先順位が 255 の候補が WDS アクセス ポイントとして機能します。

ステップ 6 （オプション）Use Local MAC List for Client Authentication チェックボックスをオンにして、WDS デバイス上で設定されたアドレスのローカル リストにある MAC アドレスを使用してクライアント デバイスを認証します。このチェックボックスをオンにしない場合、WDS デバイスは Server Groups ページで MAC アドレス認証用に指定したサーバを使用して、MAC アドレスに基づくクライアント認証を行います。

ステップ 7 （オプション）ネットワーク上で Wireless LAN Solutions Engine（WLSE）を使用している場合、Configure Wireless Network Manager チェックボックスをオンにして、Wireless Network Manager IP Address フィールドに WLSE デバイスの IP アドレスを入力します。WDS アクセス ポイントは、アクセス ポイントとクライアント デバイスから無線計測情報を収集し、集約したデータを WLSE デバイスに送信します。

ステップ 8 Apply をクリックします。

ステップ 9 Server Groups をクリックして、WDS Server Groups ページを表示します。図12-7 は、WDS Server Groups ページを示しています。

図12-7 WDS Server Groups ページ

ステップ 10 WDS アクセス ポイントを使用するインフラストラクチャ デバイス（アクセス ポイント）の 802.1x 認証に使用するサーバ グループを作成します。Server Group Name フィールドにグループ名を入力します。

ステップ 11 Priority 1 ドロップダウン メニューからプライマリ サーバを選択します。（グループに追加する必要のあるサーバが Priority ドロップダウン メニューに表示されない場合は、Define Servers をクリックして、Server Manager ページを表示します。そのページでサーバを設定してから、WDS Server Groups ページに戻ります。）

ステップ 12 （オプション）Priority 2 ドロップダウン メニューおよび Priority 3 ドロップダウン メニューからバックアップ サーバを選択します。

ステップ 13 Apply をクリックします。

ステップ 14 クライアント デバイス用の 802.1x 認証に使用するサーバのリストを設定します。EAP、LEAP、PEAP、または MAC ベースのような特定タイプの認証を使ってクライアント用の別のリストを指定したり、任意のタイプの認証を使ってクライアント デバイス用のリストを指定したりできます。Server Group Name フィールドに、サーバのグループ名を入力します。

ステップ 15 Priority 1 ドロップダウン メニューからプライマリ サーバを選択します。（グループに追加する必要のあるサーバが Priority ドロップダウン メニューに表示されない場合は、Define Servers をクリックして、Server Manager ページを表示します。そのページでサーバを設定してから、WDS Server Groups ページに戻ります。）

ステップ 16 （オプション）Priority 2 ドロップダウン メニューおよび Priority 3 ドロップダウン メニューからバックアップ サーバを選択します。

ステップ 17 （オプション）Restrict SSIDs を選択すると、使用するサーバ グループを、特定の SSID を使用するクライアント デバイスに制限できます。SSID フィールドに SSID を入力して、Add をクリックします。SSID を削除するには、SSID リスト内で削除する SSID を選択して Remove をクリックします。

ステップ 18 Apply をクリックします。

ステップ 19 LEAP 認証用に WDS アクセス ポイントを設定します。LEAP の設定方法については、第11章 「認証タイプの設定」を参照してください。

CLI の設定例

次の例は、アクセス ポイントを潜在的な WDS デバイスとして設定するに記載された手順と同じ機能を果たす CLI コマンドを示しています。

AP# configure terminal

AP(config)# aaa new-model

AP(config)# wlccp wds priority 200 interface bvi1

AP(config)# wlccp authentication-server infrastructure infra_devices

AP(config)# wlccp authentication-server client any client_devices

AP(config-wlccp-auth)# ssid fred

AP(config-wlccp-auth)# ssid ginger

AP(config)# end

次の例では、サーバ グループ infra_devices を使用してインフラストラクチャ デバイスを認証しています。SSID fred または ginger を使用するクライアント デバイスは、サーバ グループ client_devices を使用して認証されます。

この例で使用されているコマンドの詳細は、『Cisco Aironet アクセス ポイント/ブリッジ Cisco IOS コマンド リファレンス』を参照してください。

アクセス ポイントを WDS デバイスを使用するように設定する

WDS デバイスを通じて認証し、WDS 内に参加するようにアクセス ポイントを設定する手順は、次のとおりです。

ステップ 2 AP をクリックして Wireless Services AP ページを表示します。図12-8 は、Wireless Services AP ページを示しています。

図12-8 Wireless Services AP ページ

ステップ 3 Participate in SWAN Infrastructure 設定で Enable をクリックします。

ステップ 4 （オプション）ネットワーク上で WDS デバイスとして WLSM スイッチ モジュールを使用する場合は、Specified Discovery を選択して、入力フィールドに WLSM の IP アドレスを入力します。Specified Discovery を有効にすると、アクセス ポイントは WDS アドバタイズメントを待たずに、WDS デバイスを使用して即座に認証します。指定した WDS デバイスが応答しない場合、アクセス ポイントは WDS アドバタイズメントを待ちます。

ステップ 5 Username フィールドにアクセス ポイントのユーザ名を入力します。このユーザ名は、認証サーバ上でアクセス ポイント用に作成したユーザ名と一致していなければなりません。

ステップ 6 Password フィールドにアクセス ポイントのパスワードを入力し、Confirm Password フィールドに同じパスワードをもう一度入力します。このパスワード名は、認証サーバ上でアクセス ポイント用に作成したパスワードと一致していなければなりません。

ステップ 7 Apply をクリックします。

WDS と対話するように設定したアクセス ポイントは、自動的に次の手順を実行します。

･ 現在の WDS デバイスを検出、トラッキングし、WDS アドバタイズメントを無線 LAN に中継します。

･ WDS デバイスを認証して、認証した WDS デバイスと安全な通信チャネルを確立します。

･ WDS デバイスとアソシエートしたクライアント デバイスを登録します。

CLI の設定例

次の例は、アクセス ポイントを WDS デバイスを使用するように設定するに記載された手順と同じ機能を果たす CLI コマンドを示しています。

AP# configure terminal

AP(config)# wlccp ap username APWestWing password 7 wes7win8

AP(config)# end

この例では、アクセス ポイントは WDS デバイスと対話できるように設定されており、ユーザ名に APWestWing、パスワードに wes7win8 を使用して認証サーバに対する認証を行います。認証サーバ上でクライアントとしてアクセス ポイントを設定するときには、同じユーザ名とパスワードの組み合わせで設定する必要があります。

この例で使用されているコマンドの詳細は、『Cisco Aironet アクセス ポイント/ブリッジ Cisco IOS コマンド リファレンス』を参照してください。

認証サーバが WDS をサポートするように設定する

WDS デバイスと WDS に参加している全アクセス ポイントは、認証サーバに対する認証を行う必要があります。サーバ上で、アクセス ポイント用のユーザ名とパスワードと、WDS デバイス用のユーザ名とパスワードを設定します。

サーバが Cisco ACS を実行している場合は、次の手順に従ってサーバ上でアクセス ポイントを設定します。

図12-9 Network Configuration ページ

ステップ 2 AAA Clients テーブルで、Add Entry をクリックします。Add AAA Client ページが表示されます。図12-10 は、Add AAA Client ページを示しています。

図12-10 Add AAA Client ページ

ステップ 3 AAA Client Hostname フィールドに、WDS デバイスの名前を入力します。

ステップ 4 AAA Client IP Address フィールドに、WDS デバイスの IP アドレスを入力します。

ステップ 5 Key フィールドに、WDS デバイスで設定したのとまったく同じパスワードを入力します。

ステップ 6 Authenticate Using ドロップダウン メニューから、RADIUS (Cisco Aironet) を選択します。

ステップ 7 Submit をクリックします。

ステップ 8 WDS デバイス候補のそれぞれに対して、ステップ 2 からステップ 7 の手順を実行します。

ステップ 9 User Setup をクリックして User Setup ページを表示します。WDS デバイスを使用するアクセス ポイント用のエントリを作成するには、User Setup ページを使用する必要があります。図12-11 は、User Setup ページを示しています。

図12-11 User Setup ページ

ステップ 10 User フィールドに、アクセス ポイントの名前を入力します。

ステップ 11 Add/Edit をクリックします。

ステップ 12 User Setup ボックスが表示されるまで、画面を下にスクロールします。図12-12 は、User Setup ボックスを示しています。

図12-12 ACS User Setup ボックス

ステップ 13 Password Authentication ドロップダウン メニューから CiscoSecure Database を選択します。

ステップ 14 Password フィールドと Confirm Password フィールドに、Wireless Services AP ページでアクセス ポイントに対して入力したのとまったく同じパスワードを入力します。

ステップ 15 Submit をクリックします。

ステップ 16 WDS デバイスを使用するアクセス ポイントそれぞれに対して、ステップ 10 からステップ 15 の手順を実行します。

ステップ 17 System Configuration ページを表示して Service Control をクリックし、ACS を再起動してエントリ内容を適用します。図12-13 は、System Configuration ページを示しています。

図12-13 ACS System Configuration ページ

WDS 専用モードの設定

WDS アクセス ポイントは、コマンド wlccp wds mode wds-only を使用して WDS 専用モードで稼動できます。このコマンドを発行してリロードすると、アクセス ポイントは WDS 専用モードで機能を開始します。WDS 専用モードでは、dot11 サブシステムが初期化されず、dot11 インターフェイス関連のコマンドを設定できません。WDS 専用モードは、WDS で 60 個までのインフラストラクチャ アクセス ポイントと 1200 個までのクライアントをサポートします。WDS 専用モードをオフにするには、コマンド no を使用します。WDS アクセス ポイントの実行中のモードを表示するには、コマンド show wlccp wds を使用します。

WDS アクセス ポイントが AP および WDS の両モードで稼動するように設定するには、コマンド no wlccp wds mode wds-only を使用し、さらにコマンド write erase を使用してアクセス ポイントをただちにリロードします。アクセス ポイントをリロードすると dot11 無線サブシステムが初期化されます。アクセス ポイントと WDS は無線クライアントに直接アソシエートします。このモードの場合 WDS では、20 個の無線クライアント アソシエーションに加え、30 個のインフラストラクチャ アクセス ポイントと 600 のクライアントがサポートされます。

WDS 情報の表示

Web ブラウザのインターフェイスでは、Wireless Services Summary ページを参照して WDS ステータスの概要を表示します。

特権 EXECモードの CLI では、次のコマンドを使って、現在の WDS デバイスと CCKM に参加している他のアクセス ポイントについて情報を表示します。

デバッグ メッセージの使用

特権 EXECモードでは、デバッグ コマンドを使用して、WDS デバイスと対話するデバイス用のデバッグ メッセージの表示を制御します。

高速安全ローミングの設定

WDS を設定すると、CCKM 用に設定したアクセス ポイントは、アソシエートされたクライアント デバイスに高速安全ローミングを提供できます。この項では、高速で安全なローミングを無線 LAN 上で設定する方法を説明します。この項の構成は、次のとおりです。

･ 高速安全ローミングの要件

･ 高速安全ローミングをサポートするアクセス ポイントの設定

高速安全ローミングの要件

高速安全ローミングを設定するには、無線 LAN で次の 3 つの項目が必要となります。

･ WDS デバイスとして設定される 1 つ以上のアクセス ポイント、ISR、または WLSM を備えたスイッチ

･ WDS に参加するように設定されたアクセス ポイント

･ 高速安全ローミング用に設定されたアクセス ポイント

･ 認証サーバ（またはローカル認証サーバとして設定されたアクセス ポイント、ISR、またはスイッチ）

･ Cisco Aironet クライアント デバイス、または、Cisco Compatible ExtensionsCCXのバージョン 2 以降と互換性のあるシスコ互換のクライアント デバイス

WDS の設定方法については、WDS の設定を参照してください。

高速安全ローミングをサポートするアクセス ポイントの設定

高速安全ローミングをサポートするには、WDS に参加するように無線 LAN 上のアクセス ポイントを設定し、アクセス ポイントで少なくとも 1 つの SSID に対して CCKM 認証キー管理を許可する必要があります。SSID に CCKM を設定する手順は、次のとおりです。

図12-14 Encryption Manager ページ

ステップ 2 Cipher ボタンをクリックします。

ステップ 3 Cipher ドロップダウン メニューから、CKIP + CMIC を選択します。

ステップ 4 Apply をクリックします。

ステップ 5 Global SSID Manager ページを表示します。図12-15 は、Global SSID Manager ページの上部を示しています。

図12-15 Global SSID Manager ページ

ステップ 6 CCKM をサポートする SSID で、次の設定を選択します。

a. アクセス ポイントに複数の無線インターフェイスが含まれている場合は、SSID が適用されるインターフェイスを選択します。

b. Authentication Settings で、Network-EAP を選択します。CCKM を有効にする際は、認証タイプとして Network EAP を有効にする必要があります。

c. Authenticated Key Management で、Mandatory またはOptional を選択します。Mandatory を選択した場合は、CCKM をサポートするクライアントだけが、SSID を使用してアソシエートできます。Optional を選択した場合は、CCKM クライアントと CCKM をサポートしないクライアントの両方が、SSID を使用してアソシエートできます。

d. CCKM チェックボックスをオンにします。

ステップ 7 Apply をクリックします。

CLI の設定例

次の例は、高速安全ローミングをサポートするアクセス ポイントの設定に記載された手順と同じ機能を果たす CLI コマンドを示しています。

AP# configure terminal

AP(config)# dot11 ssid fastroam

AP(config-ssid)# authentication network-eap eap_methods

AP(config-ssid)# authentication key-management cckm

AP(config-ssid)# exit

AP(config)# interface dot11radio0

AP(config-if)# encryption mode ciphers ckip-cmic

AP(config-if)# ssid fastroam

AP(config-if)# exit

AP(config)# end

次の例では、SSID fastroam は Network EAP と CCKM をサポートするように設定されています。2.4GHz 無線インターフェイス上で CKIP-CMIC 暗号スイートが有効になっています。また、2.4GHz 無線インターフェイス上で、SSID fastroam が有効になっています。

この例で使用されているコマンドの詳細は、『Cisco Aironet アクセス ポイント/ブリッジ Cisco IOS コマンド リファレンス』を参照してください。

管理フレーム保護の設定

管理フレーム保護の稼動には WDS が必要で、この保護は 32MB プラットフォーム（s：1130、1240 シリーズ アクセス ポイント、および AP モードの 1300 シリーズ アクセス ポイント）でのみ利用できます。MFP は WLSE で設定されますが、アクセス ポイントおよび WDS では MFP を手動で設定できます。

完全に保護するには、MFP アクセス ポイントで Simple Network Transfer Protocol（SNTP）を設定します。

管理フレーム保護

管理フレーム保護は、アクセス ポイントとクライアント ステーション間で転送される管理メッセージにセキュリティ機能を提供します。MFP は、インフラストラクチャ MFP とクライアント MFP の 2 つの機能コンポーネントで構成されます。

インフラストラクチャ MFP はインフラストラクチャ サポートを提供します。インフラストラクチャ MFP は、不正デバイスおよびサービス拒否攻撃の検出に有益なブロードキャストおよび誘導された管理フレームに対する Message Integrity Check（MIC; メッセージ完全性チェック）を利用します。クライアント MFP はクライアント サポートを提供します。クライアント MFP は、WLAN に対する一般的な攻撃の多くを無力化することによって、認証されたクライアントをスプーフィング フレームから保護します。

管理フレーム保護の稼動には WDS が必要で、この保護は 32MB プラットフォーム（1130、1240、1250 シリーズ アクセス ポイント、および AP モードの 1300 シリーズ アクセス ポイント）でのみ利用できます。MFP は WLSE で設定されますが、アクセス ポイントおよび WDS では MFP を手動で設定できます。

完全に保護するには、MFP アクセス ポイントで Simple Network Transfer Protocol（SNTP）を設定します。

概要

クライアント MFP は、アクセス ポイントと CCXv5 対応クライアント ステーション間で送信されるクラス 3 の管理フレームを暗号化し、スプーフィングされた クラス 3 の管理フレーム（AP と認証およびアソシエートされたクライアント ステーション間で送信される管理フレーム）を廃棄することによって AP とクライアントの両方が予防措置を実行できるようにします。クライアント MFP は、IEEE 802.11i に規定されたセキュリティ メカニズムを使用して、クラス 3 ユニキャスト管理フレームを保護します。再アソシエーション要求の RSNIE で Spanning Tree Alogorithm（STA; スパニング ツリー アルゴリズム）によって決定されたユニキャスト暗号スイートによって、ユニキャスト データとクラス 3 管理フレームの両方が保護されます。ワークグループ ブリッジ、リピータ、または非ルート ブリッジモードのアクセス ポイントでクライアント MFP を使用するには、TKIP または AES-CCMP のいずれかのネゴシエーションが必要です。

ユニキャスト管理フレームの保護

ユニキャスト クラス 3 管理フレームは、すでにデータ フレームに使用されている方法と同様にして AES-CCMP と TKIP のいずれかを適用することによって保護されます。クライアント MFP は、暗号化が AES-CCMP または TKIP で、キー管理 WPA バージョン 2 の場合に限り、Autonomous アクセス ポイントで有効化されます。

ブロードキャスト管理フレームの保護

ブロードキャスト フレームを使用した攻撃を防ぐため、CCXv5 をサポートするアクセス ポイントではブロードキャスト クラス 3 管理フレームを送信しません。クライアント MFP が有効化されている場合、ワークグループ ブリッジ、リピータ、または非ルート ブリッジモードのアクセス ポイントでは、ブロードキャスト クラス 3 の管理フレームが廃棄されます。

クライアント MFP は、暗号化が AES-CCMP または TKIP で、キー管理 WPA バージョン 2 の場合に限り、Autonomous アクセス ポイントで有効化されます。

ルート モードのアクセス ポイントのクライアント MFP

ルート モードの Autonomous アクセス ポイントでは、混合モードのクライアントがサポートされます。CCXv5 に対応し、WPAv2 の暗号スイート AES または TKIP が決定されているクライアントは、クライアント MFP が有効です。CCXv5 に対応していないクライアントでは、クライアント MFP が無効です。デフォルトの場合、クライアント MFP はアクセス ポイント上の特定の SSID に対するオプションで、SSID 設定モードで CLI を使用して有効と無効を切り替えることができます。

個別の SSID ごとに、クライアント MFP を必須とするか、オプションとするかを設定できます。クライアント MFP を必須とする設定を行うには、キー管理 WPA バージョン 2 を必須に設定する必要があります。キー管理が WPAv2 必須に設定されていない場合、エラー メッセージが表示され CLI コマンドが拒否されます。クライアント MFP を必須として設定したキー管理およびキー管理 WPAv2 を変更しようとすると、エラー メッセージが表示され、CLI コマンドが拒否されます。オプションとして設定されている場合、クライアント MFP は SSID で WPAv2 に対応している場合にのみ有効化され、これに対応していない場合は MFP が無効化されます。

クライアント MFP の設定

次の CLI コマンドは、ルート モードのアクセス ポイントでクライアント MFP を設定する際に使用されます。

ids mfp client required

この SSID 設定コマンドは、特定の SSID でクライアント MFP を必須として有効化します。このコマンドの実行時に SSID が Dot11Radio インターフェイスにバインドされている場合は、Dot11Radio インターフェイスがリセットされます。また、このコマンドでは、SSID が WPA バージョン 2 が必須として設定されていることが要求されます。SSID で WPAv2 が必須として設定されていない場合、エラー メッセージが表示され、コマンドが拒否されます。

no ids mfp client

この SSID 設定コマンドは、特定の SSID でクライアント MFP を無効にします。このコマンドの実行時に SSID が Dot11Radio インターフェイスにバインドされている場合は、Dot11Radio インターフェイスがリセットされます。

ids mfp client optional

この SSID 設定コマンドは、特定の SSID でクライアント MFP をオプションとして有効化します。このコマンドの実行時に SSID が Dot11Radio インターフェイスにバインドされている場合は、Dot11Radio インターフェイスがリセットされます。この SSID が WPAv2 に対応している場合は、SSID でクライアント MFP が有効になりますが、対応していない場合はクライアント MFP が無効になります。

show dot11 ids mfp client statistics

このコマンドを使用すると、Dot11Radio インターフェイスのアクセス ポイント コンソールにクライアント MFP 統計が表示されます。

clear dot11 ids mfp client statistics

このコマンドを使用すると、クライアント MFP 統計がクリアされます。

authentication key management wpa version {1|2}

このコマンドを使用すると、特定の SSID の WPA キー管理に使用される WPA バージョンが明示的に指定されます。

特権 EXEC モードから、次の手順に従って WDS を設定します。

無線管理の設定

WDS を使用するように無線 LAN 上のアクセス ポイントを設定すると、アクセス ポイントは WDS デバイスと対話するときに自動的に無線管理における役割を果たします。無線管理の設定を行うには、ネットワーク上の WLSE デバイスと対話するように WDS デバイスを設定します。

WDS デバイスとして設定されたアクセス ポイント上の無線管理を有効にする手順は、次のとおりです。

図12-16 Wireless Services Summary ページ

ステップ 2 WDS をクリックして General Setup ページを表示します。

ステップ 3 WDS/WNM Summary ページで、Settings をクリックして General Setup ページを表示します。図12-17 は、General Setup ページを示しています。

図12-17 WDS/WNM General Setup ページ

ステップ 4 Configure Wireless Network Manager チェックボックスをオンにします。

ステップ 5 Wireless Network Manager IP Address フィールドに、ネットワーク上の WLSE デバイスの IP アドレスを入力します。

ステップ 6 Apply をクリックします。WDS アクセス ポイントが WLSE デバイスと対話するように設定されます。

CLI の設定例

次の例は、無線管理の設定に記載された手順と同じ機能を果たす CLI コマンドを示しています。

AP# configure terminal

AP(config)# wlccp wnm ip address 192.250.0.5

AP(config)# end

この例では、WDS アクセス ポイントは、IP アドレスが 192.250.0.5 の WLSE デバイスと対話できるようになります。

この例で使用されているコマンドの詳細は、『Cisco Aironet アクセス ポイント/ブリッジ Cisco IOS コマンド リファレンス』を参照してください。

アクセスポイントの WIDS 参加の設定

WIDS に参加するには、アクセス ポイントで WDS と無線管理への参加を設定する必要があります。アクセス ポイントの WDS および無線管理への参加を設定するには、アクセス ポイントを WDS デバイスを使用するように設定するおよび無線管理の設定の手順を実行します。

アクセス ポイントをスキャナ モードに設定する

スキャナ モードの場合、アクセス ポイントは無線活動のチャネルをすべてスキャンし、その活動をネットワーク上の WDS デバイスに報告します。スキャナ アクセス ポイントは、クライアント アソシエーションを受け付けません。

特権 EXEC モードから、次の手順に従ってアクセス ポイントに無線ネットワークの役割をスキャナに設定します。

アクセス ポイントをモニタ モードに設定する

アクセス ポイントをスキャナとして設定すると、モニタ モードでフレームのキャプチャも可能になります。モニタ モードでは、アクセス ポイントは 802.11 フレームをキャプチャし、これをネットワーク上で WIDS エンジンに転送します。アクセス ポイントは、転送するすべての 802.11 フレームに 28 バイトのキャプチャ ヘッダーを追加します。ネットワーク上の WIDS エンジンは、このヘッダー情報を分析に使用します。アクセス ポイントは、キャプチャしたフレームの転送に User Datagram Protocol（UDP; ユーザ データグラム プロトコル）パケットを使用します。ネットワーク帯域幅を節約するため、複数のキャプチャしたフレームを 1 つの UDP パケットに結合できます。

スキャナ モードでは、アクセス ポイントは無線活動のすべてのチャネルをスキャンします。ただし、モニタ モードの場合、アクセス ポイントは、アクセス ポイント無線が設定されているチャネルだけを監視します。

特権 EXEC モードから、次の手順に従って 802.11 フレームをキャプチャして転送するようにアクセス ポイントを設定します。

モニタ モード統計の表示

show wlccp ap rm monitor statistics グローバル設定コマンドを使用して、キャプチャしたフレームの統計を表示します。

コマンドの出力結果は、次のようになります。

ap# show wlccp ap rm monitor statistics

Dot11Radio 0

====================

WLAN Monitoring : Enabled

Endpoint IP address : 10.91.107.19

Endpoint port : 2000

Frame Truncation Length : 535 bytes

Dot11Radio 1

====================

WLAN Monitoring : Disabled

WLAN Monitor Statistics

==========================

Total No. of frames rx by DOT11 driver : 58475

Total No. of Dot11 no buffers : 361

Total No. of Frames Q Failed : 0

Current No. of frames in SCAN Q : 0

Total No. of frames captured : 0

Total No. of data frames captured : 425

Total No. of control frames captured : 1957

Total No. of Mgmt frames captured : 20287

Total No. of CRC errored frames captured : 0

Total No. of captured frames forwarded : 23179

Total No. of captured frames forward failed : 0

clear wlccp ap rm statistics コマンドを使用して、モニタ モード統計を消去します。

モニタ モード制限の設定

モニタ モードでアクセス ポイントが使用するしきい値を設定できます。しきい値を超えると、アクセス ポイントは、情報をログに記録するかまたは警告を送信します。

認証失敗制限の設定

認証失敗制限を設定すると、EAPOL フラッディングと呼ばれるサービス拒否攻撃からネットワークを保護できます。クライアントとアクセス ポイントとの間で発生する 802.1X 認証により、アクセス ポイント、認証者、および EAPOL メッセージングを使用する認証サーバの間に、一連のメッセージが表示されます。通常、RADIUS サーバである認証サーバは、過度に認証が試みられるとすぐに負荷に耐えられなくなります。規制されていない場合、1 台のクライアントからネットワークに影響を与えるほどの認証要求が発生する可能性があります。

モニタ モードでは、アクセス ポイントは 802.1X クライアントがアクセス ポイントを通じて認証を試みる割合をトラッキングします。過度な認証の試みによってネットワークが攻撃される場合、アクセス ポイントは、認証しきい値が超えると警告を発します。

これらの制限はアクセス ポイント上で設定できます。

･ アクセス ポイントからの 802.1X の試みの回数

･ アクセス ポイント上の秒単位での EAPOL フラッドの期間

アクセス ポイントは、過度の認証の試みを検出すると、この情報を示すための MIB 変数を設定します。

･ EAPOL フラッドが検出されました。

･ 認証の試みの回数

･ 認証の試みの回数が最も多いクライアントの MAC アドレス

特権 EXEC モードから、次の手順に従って、アクセス ポイント上の失敗をトリガする認証制限を設定します。

WLSM フェールオーバーの設定

WLSM 障害時にホットスタンバイに類似の機能を確保するため、WLSM バージョン 2.13 リリースでは、復元トンネル リカバリ、およびアクティブとスタンバイの WLSM がサポートされます。

復元トンネル リカバリ

単一シャーシ シナリオ（1 つのシャーシに 1 つの WLSM）では、WLSM ソフトウェアに障害が発生した場合も、SUP に接続されている既存のアクセス ポイント クライアントがその SUP への接続を継続し、サービスの中断が認識されません。アクセス ポイントが WLSM 障害を検出したときに、アクティブなトンネルは破壊されずクライアントと SUP 間のデータ トラフィックの通信が保持されます。しかし WLSM 障害が原因で、アクセス ポイントと WLSM 間で送信される制御トラフィックは中断され（図12-18 参照）、アクセス ポイントでは WLSM ソフトウェアがオンラインに復旧するまで新規のクライアント接続を承認できません。復元トンネル リカバリは自動実行され、特別な設定は必要ありません。

図12-18 復元トンネル リカバリ

アクティブ/スタンバイ WLSM のフェールオーバー

WLSM では、復元トンネル リカバリのほかにアクティブ WLSM とスタンバイ WLSM の 2 つの WLSM を 1 つのシャーシに展開できるようにすることで、回復機能のサポートがさらに強化されています。アクティブ WLSM に障害が発生すると、スタンバイ WLSM がアクティブになり、データ トラフィックを中断することなく、既存および新しいアクセス ポイント クライアントのトラフィックの制御を行います。復元トンネル リカバリにこの機能を加えることによって、WLSM 障害時にホットスタンバイに類似の機能が提供されます。