Unified Wireless Network の不正な管理

ダウンロードオプション

PDF (254.4 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (80.6 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (101.4 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2010 年 8 月 10 日

Document ID:112045

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

概要

ワイヤレスネットワークを導入すると有線ネットワークが拡張され、作業者の生産性が向上し、情報へのアクセスが拡大します。しかし、不正なワイヤレスネットワークにより、セキュリティの問題がさらに大きくなります。有線ネットワークではポートのセキュリティにあまり注意が向けられていませんが、ワイヤレスネットワークもその延長上で考えられがちです。そのため、セキュリティでしっかりと保護されているワイヤレスまたは有線のインフラストラクチャに、従業員が各自のアクセスポイント（シスコまたはシスコ以外）を持ち込むと、せっかくセキュリティで保護されているネットワークに対して不正なユーザアクセスが許可されてしまうため、セキュアなネットワークが簡単に危険にさらされてしまいます。

ネットワーク管理者は不正検出を行うことで、このセキュリティの問題を監視して、解消することができます。 Cisco Unified Network アーキテクチャには、不正の特定と抑止を高度に実行するソリューションを提供する不正検出の方法が用意されています。高価で有効性を検証しにくい追加のネットワークとツールは必要ありません。

前提条件

要件

本ドキュメントでは、ユーザが基本のコントローラの設定に精通していることを前提としています。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

バージョン 7.0 を実行する Cisco Unified Controller（2100、5500、4400、WiSM、NM-WLC シリーズ）
Control and Provisioning of WirelessAccess Points Protocol（CAPWAP）ベースの LAP：1130AG、1140、3500、1200、1230AG、1240AG、1250、1260 シリーズ LAP

表記法

ドキュメント表記の詳細は、『シスコテクニカルティップスの表記法』を参照してください。

不正の概要

スペクトルを共有し、管理者によって管理されていないデバイスは不正と見なされます。不正が危険と見なされるのは、次のような状況です。

デバイスがネットワークの SSID と同じ SSID を使用するように設定されたとき（ハニーポット）。
デバイスが有線ネットワークでも検出されたとき。
アドホックの不正も大きな脅威である。
（多くの場合、悪意ある目的で）部外者によって設定されたとき。

Cisco Unified Wireless Network（UWN）ソリューションの不正デバイス管理には、3 つの主な段階があります。

検出：Radio Resource Management（RRM）スキャニングを使用して、不正デバイスの存在を検出します。
分類：Rogue Location Discovery Protocol（RLDP）、Rogue Detector、スイッチポートトレースを使用して、不正デバイスが有線ネットワークに接続されているかどうかを特定します。不正分類ルールを使用すると、不正の特性に基づいて、特定のカテゴリにフィルタリングします。
緩和：スイッチポートの閉鎖、不正場所、および不正抑止を使用して、不正の物理的な場所を突き止め、不正デバイスの脅威を無効にします。

不正管理の動作理論

不正検出

基本的に不正検出の対象となるのは、スペクトルを共有しているが管理者の管理対象ではない、あらゆるデバイスです。これには、不正アクセスポイント（AP）、ワイヤレスルータ、不正クライアント、不正アドホックネットワークなどが含まれます。 Cisco UWN では、オフチャネルスキャニング機能および専用監視モード機能など、さまざまな方法を使用して、Wi-Fi ベースの不正デバイスを検出します。また、Cisco Spectrum Expert を使用して、Bluetooth ブリッジなどの 802.11 プロトコルに基づかない不正デバイスを特定できます。

オフチャネルスキャニング

この操作はローカルモードおよび H−REAP（接続済みモード）AP によって実行され、同じ無線を使用してクライアントサービスとチャネルスキャニングを許可するタイムスライシング技法を活用します。 16 秒ごとに 50 ミリ秒間オフチャネルになることにより、AP にはデフォルトでクライアントにサービスを提供しない短い時間が生じます。また、10 ミリ秒のチャネル変更間隔が発生することに注意してください。デフォルトの 180 秒のスキャン間隔では、それぞれの 2.4Ghz FCC チャネル（1−11）が少なくとも一度はスキャンされます。 ETSI などのその他の規制区域では、多少長い時間 AP がオフチャネルになります。 RRM 設定では、チャネルのリストとスキャン間隔の両方を調整できます。これにより、パフォーマンスの影響を最大で 1.5 % に制限します。また、インテリジェンスがアルゴリズムに組み込まれ、音声などの優先度が高い QoS フレームを配信する必要があるときには、スキャニングを停止します。

この図は、2.4GHz の周波数帯域におけるローカルモード AP のオフチャネルスキャニングアルゴリズムの説明です。 AP が 1 つだけ存在する場合は、同様の操作が並行して 5GHz 無線で実行されます。それぞれの赤い四角は AP ホームチャネルで費やされた時間を表します。また、それぞれの青い四角は隣接するチャネルでスキャニングのために費やされた時間を表します。

モニタモードスキャニング

この操作は、モニタモード AP と Adaptive wIPS モニタモード AP で実行されます。このモードでは、無線の 100 % の時間を活用して、それぞれの周波数帯域のチャネルをすべてスキャニングします。これにより、検出の速度が大幅に向上し、より多くの時間をそれぞれのチャネルに費やすことができます。モニタモード AP も、各チャネルで発生しているアクティビティをより幅広く把握しているため、不正クライアントの検出においても非常に優れています。

この図は、2.4GHz の周波数帯域におけるモニタモード AP のオフチャネルスキャニングアルゴリズムの説明です。 AP が 1 つだけ存在する場合は、同様の操作が並行して 5GHz 無線で実行されます。

ローカルモードとモニタモードの比較

ローカルモード AP では、そのサイクルが WLAN クライアントへのサービスとチャネルに対する脅威のスキャニングに分割されます。その結果、ローカルモード AP では、すべてのチャネルを一巡する時間がより長くかかります。また、クライアント操作が中断されないようにするため、特定のチャネルでデータを収集する時間が短くなります。そのため、不正と攻撃の検出時間がより長くなり（3 分～ 60 分）、検出できる地上波攻撃がモニタモード AP よりも狭い範囲に限られます。さらに、AP はトラフィックの送受信中にトラフィックのチャネル上にある必要があるため、不正クライアントなどのバーストトラフィックの検出の決定性が低下します。これにより、確率に課題が生じます。モニタモード AP はすべてのサイクルをチャネルのスキャニングに費やして、不正および地上波攻撃を探します。モニタモード AP は Adaptive wIPS、場所（状況認識）サービス、およびその他のモニタモードサービスで同時に使用できます。モニタモード AP を導入する利点は、検出にかかる時間が短いことです。モニタモード AP が Adaptive wIPS とともに追加で設定されている場合、より幅広い地上波の脅威と攻撃を検出できます。

不正の特定

不正デバイスからのプローブ応答またはビーコンが、ローカルモード、H-REAP モード、モニタモード AP のいずれかで受信されると、この情報は CAPWAP を経由してワイヤレス LAN コントローラ（WLC）に通信されて処理されます。誤検知を防ぐために、さまざまな方法を使用して、他のシスコベースの管理対象 AP が不正デバイスとして識別されないようにします。これらの方法には、モビリティグループのアップデート、RF ネイバーパケット、Wireless Control System（WCS）経由の Autonomous AP のホワイトリスト化などがあります。

不正レコード

不正デバイスのコントローラのデータベースには、現在検出された不正のセットだけが含まれていますが、WCS にはすでになくなったイベント履歴と不正のログも含まれています。

不正の詳細

CAPWAP AP は、不正クライアント、ノイズ、チャネル干渉を監視するために、50 ミリ秒間オフチャネルになります。検出された不正クライアントや不正 AP はコントローラに送信され、次の情報が収集されます。

不正 AP の MAC アドレス
不正が検出された AP の名前
不正な接続クライアントの MAC アドレス
WPA または WEP でフレームが保護されているかどうか
プリアンブル
信号対雑音比（SNR）
Receiver Signal Strength Indicator（RSSI）
不正検出のチャネル
不正が検出された無線
不正 SSID（不正 SSID がブロードキャストされている場合）
不正 IP アドレス
不正がレポートされた最初と最後の時間
チャネル幅

不正イベントのエクスポート

不正イベントをサードパーティのネットワーク管理システム（NMS）にエクスポートしてアーカイブするために、WLC には追加の SNMP トラップレシーバを追加できます。コントローラによって不正が検出されたり、クリアされたりした場合、この情報が含まれるトラップは、すべての SNMP トラップレシーバと通信します。 SNMP 経由でイベントをエクスポートする場合、複数のコントローラによって同じ不正が検出され、WCS でのみ修正が行われると、重複するイベントが NMS に表示されることに注意してください。

不正レコードのタイムアウト

不正 AP が WLC のレコードに追加されると、その不正 AP がなくなるまで保持されます。ユーザが設定できるタイムアウト（デフォルトでは 1200 秒）を過ぎると、_unclassified_ カテゴリにある不正はエージングアウトします。 _Contained_ および _Friendly_ など他の状態にある不正は保持され、それらが再び現れると、適切な分類が適用されます。

不正レコードのデータベースの最大サイズは、コントローラプラットフォームによって異なります。

21XX および WLCM：125 個の不正
44XX：625 個の不正
WiSM：1250 個の不正
5508：2000 個の不正

不正分類

デフォルトでは、Cisco UWN で検出されたすべての不正は未分類と見なされます。この図で説明されているとおり、不正は RSSI、SSID、セキュリティタイプ、オン/オフネットワーク、クライアントの数などのさまざまな基準に基づいて分類できます。

Rogue Detector AP

Rogue Detector AP は地上波で受信された不正情報を有線ネットワークから取得した ARP 情報と関連付けることを目的とします。 MAC アドレスが不正 AP または不正クライアントとして地上波で受信され、有線ネットワークでも受信されると、有線ネットワーク上に不正が存在することが決定します。不正が有線ネットワーク上にあることが検出された場合、その不正 AP のアラーム重大度は _critical_ に引き上げられます。 NAT を使用しているデバイスの背後では、Rogue Detector AP で不正クライアントを特定できないことに注意してください。

スケーラビリティに関する考慮事項

Rogue Detector AP は最大 500 個の不正と 500 個の不正クライアントを検出できます。不正デバイスが多すぎるトランク上に Rogue Detector が配置されると、これらの制限を超過し、問題が生じます。この問題を防止するには、Rogue Detector AP をネットワークのディストリビューションレイヤまたはアクセスレイヤに配置します。

RLDP

RLDP の目的は、特定の不正 AP が有線インフラストラクチャに接続されているかどうかを特定することです。基本的に、この機能は最も近い Unified AP を使用して、ワイヤレスクライアントとして不正デバイスに接続します。クライアントとして接続すると、WLC の宛先アドレスを持ったパケットが送信され、AP が有線ネットワークに接続されているかどうかを確認します。不正が有線ネットワーク上にあることが検出された場合、その不正 AP のアラーム重大度は重大に引き上げられます。

次に、RLDP のアルゴリズムを示します。

信号強度値を使用して、不正に最も近い Unified AP を特定します。
次に、AP は WLAN クライアントとして不正に接続し、タイムアウト前に 3 つのアソシエーションを試行します。
アソシエーションが成功すると、AP は DHCP を使用して IP アドレスを取得します。
IP アドレスを取得すると、AP（WLAN クライアントとして動作）は UDP パケットをそれぞれのコントローラの IP アドレスに送信します。
コントローラがクライアントから RLDP パケットを 1 つでも受信すると、その不正は接続済みとマーキングされ、重大度は重大になります。

注: コントローラのネットワークと不正デバイスがあるネットワーク間にフィルタリングルールが設定されている場合、RLDP パケットはコントローラに到達できません。

RLDP の注意事項

RLDP は、認証と暗号化が無効になっており、SSID をブロードキャストしている開かれた不正 AP でのみ動作します。
RLDP では、クライアントとして動作している管理対象 AP が、不正ネットワーク上の DHCP を経由して、IP アドレスを取得できる必要があります。
手動 RLDP を使用して、不正に対して RLDP トレースを何度も試行できます。
RLDP の処理中、AP はクライアントにサービスを提供できません。これにより、ローカルモード AP のパフォーマンスと接続性に悪い影響を与えます。
RLDP は 5GHz DFS チャネルで動作している不正 AP への接続は試行しません。

スイッチポートトレース

スイッチポートトレースは、5.1 リリースで初めて導入された不正 AP の緩和技法です。スイッチポートトレースは WCS で起動できますが、CDP と SNMP の両方の情報を使用して、ネットワークの特定のポートまで不正を突き止めます。スイッチポートトレースを実行するには、ネットワーク内のすべてのスイッチが SNMP クレデンシャルとともに WCS に追加されている必要があります。読み取り専用クレデンシャルでも不正のあるポートを特定できますが、読み書き可能なクレデンシャルを使用すると、WCS でポートのシャットダウンも可能になるため、脅威を抑止できます。現在、この機能は CDP をイネーブルにして IOS を実行するシスコスイッチでのみ動作します。また、CDP が管理対象 AP でイネーブルになっている必要があります。

次に、スイッチポートトレースのアルゴリズムを示します。

WCS は最も近い AP を見つけ、その AP は不正 AP を地上波で検出し、その CDP ネイバーを取得します。
次に、WCS は SNMP を使用して、隣接するスイッチ内で CAM テーブルを検証し、不正場所を特定する正一致を探します。
正一致は、完全に一致する不正 MAC アドレス、不正 MAC アドレスの +1/−1、任意の不正クライアント MAC アドレス、または MAC アドレスに継承されたベンダー情報に基づく OUI の一致に基づきます。
最も近いスイッチに正一致が見つからない場合、WCS は引き続き最大で 2 つの離れたホップの隣接のスイッチを探します（デフォルト）。

不正分類ルール

5.0 リリースで導入された不正分類ルールを使用すると、条件を定義して、不正に対し、悪意のある不正または友好的な不正のいずれかをマーキングすることができます。これらのルールは WCS または WLC で設定しますが、新しい不正が発見されるたびにコントローラ上で実行されます。

WLC での不正ルールの詳細は、『ワイヤレス LAN コントローラ（WLC）および Wireless Control System（WCS）でのルールベースの不正分類』のドキュメントをお読みください。

不正緩和

不正抑止

抑止とは、地上波パケットを使用して、不正デバイスが物理的に削除されるまで、不正デバイス上のサービスを一時的に中断する方法です。抑止は、不正 AP のスプーフィングされた送信元アドレスを使って、認証解除パケットをスプーフィングすることによって機能します。これにより、関連するすべてのクライアントが追放されます。

不正抑止の詳細

クライアントがない不正 AP で起動された抑止は、ブロードキャストアドレスに送信された認証解除フレームだけを使用します。

クライアントのある不正 AP で起動された抑止は、ブロードキャストアドレスとクライアントアドレスに送信された認証解除フレームを使用します。

抑止パケットは、管理対象 AP の出力レベルと、イネーブルになっている最小のデータレートで送信されます。

抑止は 100 ミリ秒ごとに少なくとも 2 つのパケット送信します。

注: 6.0 リリースから、モニタモード AP 以外で実行される抑止は、モニタモード AP で使用されていた 100 ミリ秒間隔ではなく、500 ミリ秒間隔で送信されます。

個別の不正デバイスは、1 つから 4 つの管理対象 AP によって抑止されます。管理対象 AP は連係して脅威を一時的に緩和します。
抑止はローカルモード、モニタモード、H-REAP（接続済み）モードの AP を使用して実行できます。 H-REAP AP のローカルモードの場合、無線あたり最大 3 つの不正デバイスを抑止できます。モニタモード AP の場合、無線あたり最大 6 つの不正デバイスを抑止できます。

自動抑止

WCS または WLC GUI から不正デバイスに対して手動で抑止を起動する方法の他に、特定の状況において自動で抑止を起動する機能もあります。この設定は、WCS またはコントローラのインターフェイスの [Rogue Policies] の [General] セクションにあります。これらの機能はそれぞれデフォルトでディセーブルになっています。最も危険な脅威を無効にするためだけにイネーブルにしてください。

Rogue on Wire：不正デバイスが有線ネットワークに接続されていることが特定されると、自動的に抑止状態になります。
Using our SSID：不正デバイスが、コントローラに設定されている SSID と同じ SSID を使用している場合、自動的に抑止されます。この機能は、障害を引き起こす前にハニーポット攻撃に対応するための機能です。
Valid client on Rogue AP：ACS の一覧にあるクライアントが不正デバイスに関連付けられていることが見つかると、そのクライアントに対してのみ抑止が起動して、管理対象ではない AP に関連付けられないようにします。
アドホックな悪党 AP -アドホックなネットワークが検出される場合、自動的に含まれています。

不正抑止の注意事項

抑止では、管理対象 AP の無線時間の一部を使用して認証解除フレームを送信するため、データクライアントと音声クライアントの両方のパフォーマンスに、最大 20 % の悪影響が出ることがあります。データクライアントの場合、この影響によりスループットが低下します。音声クライアントの場合、抑止によって、会話が中断されたり、音声品質が低下したりすることがあります。
隣接のネットワークに対して抑止を起動するとき、抑止には法的な影響が生じることがあります。抑止を起動する前に、不正デバイスがネットワーク内にあり、セキュリティリスクを引き起こすことを確認してください。

スイッチポートの閉鎖

SPT を使用してスイッチポートをトレースすると、WCS のそのポートをディセーブルにするオプションがあります。管理者はこの操作を手動で行う必要があります。不正が物理的にネットワークから削除されたら、WCS を介してスイッチポートをイネーブルにするオプションを利用できます。

不正管理の設定

不正検出の設定

デフォルトでは、コントローラでの不正検出はイネーブルです。

グラフィカルインターフェイスを使用して不正の詳細をコントローラで見つけるには、[Monitor] > [Rogues] の順に進みます。

このページでは、不正のさまざまな分類を利用できます。

Friendly APs：管理者によって友好的とマーキングされている AP です。
Malicious APs：RLDP または Rogue Detector AP を使用して、悪意のある AP として特定された AP です。
Unclassified APs：デフォルトでは、不正 AP は未分類リストとしてコントローラに表示されます。
Rogue Clients：不正 AP に接続されているクライアントです。
Adhoc Rogues：アドホックの不正クライアントです。
Rogue AP ignore list：WCS からリストが作成された AP です。

注: WLC および Autonomous AP が同じ WCS で管理されている場合、WLC は自動的にこの Autonomous AP を不正 AP 無視リストに表示します。この機能をイネーブルにするために、WLC での追加の設定は必要ありません。

CLI を使用する場合：

(Cisco Controller) >show rogue ap summary Rogue on wire Auto-Contain....................... Disabled Rogue using our SSID Auto-Contain................ Disabled Valid client on rogue AP Auto-Contain............ Disabled Rogue AP timeout................................. 1200 MAC Address Classification # APs # Clients Last Heard ----------------- ------------------ ----- --------- ----------------------- 00:14:1b:5b:1f:90 Unclassified 1 0 Thu Jun 10 19:04:51 2010 00:14:1b:5b:1f:91 Unclassified 1 0 Thu Jun 10 18:58:51 2010 00:14:1b:5b:1f:92 Unclassified 1 0 Thu Jun 10 18:49:50 2010 00:14:1b:5b:1f:93 Unclassified 1 0 Thu Jun 10 18:55:51 2010 00:14:1b:5b:1f:96 Unclassified 1 0 Thu Jun 10 18:58:51 2010 00:17:df:a9:08:00 Unclassified 1 0 Thu Jun 10 18:49:50 2010 00:17:df:a9:08:10 Unclassified 1 0 Thu Jun 10 18:55:51 2010 00:17:df:a9:08:11 Unclassified 1 0 Thu Jun 10 19:04:51 2010 00:17:df:a9:08:12 Unclassified 1 0 Thu Jun 10 18:49:50 2010 00:17:df:a9:08:16 Unclassified 1 0 Thu Jun 10 19:04:51 2010

特定の不正エントリをクリックして、その不正の詳細を取得します。

CLI を使用する場合：

(Cisco Controller) >show rogue ap detailed 00:14:1b:5b:1f:90 Rogue BSSID...................................... 00:14:1b:5b:1f:90 Is Rogue on Wired Network........................ No Classification................................... Unclassified Manual Contained................................. No State............................................ Alert First Time Rogue was Reported.................... Thu Jun 10 18:37:50 2010 Last Time Rogue was Reported..................... Thu Jun 10 19:04:51 2010 Reported By AP 1 MAC Address.............................. 00:24:97:8a:09:30 Name..................................... AP_5500 Radio Type............................... 802.11g SSID..................................... doob Channel.................................. 6 RSSI..................................... -51 dBm SNR...................................... 27 dB Encryption............................... Disabled ShortPreamble............................ Enabled WPA Support.............................. Disabled Last reported by this AP................. Thu Jun 10 19:04:51 2010

不正検出のチャネルスキャニングの設定

ローカルモード、Hreap モード、モニタモードの AP の場合、不正をスキャンするチャネルを選択できるオプションが RRM の設定にあります。設定に応じて、AP はすべてのチャネル/カントリーチャネル/DCA チャネルで不正をスキャンします。

GUI からこれを設定するには、[Wireless] > [802.11a/802.11b] > [RRM] [General] の順に進みます。

CLI を使用する場合：

(Cisco Controller) >config advanced 802.11a monitor channel-list ? all Monitor all channels country Monitor channels used in configured country code dca Monitor channels used by automatic channel assignment

これらのオプションを設定するには、[Security] > [Wireless Protection Policies] [Rogue Policies] > [General] の順に選択します。

不正 AP のタイムアウトを変更します。
アドホック不正ネットワークの検出をイネーブルにします。

CLI を使用する場合：

(Cisco Controller) >config rogue ap timeout ? <seconds> The number of seconds<240 - 3600> before rogue entries are flushed (Cisco Controller) >config rogue adhoc enable/disable

不正分類の設定

不正 AP の手動分類

友好的、悪意あり、または未分類として不正 AP を分類するには、[Monitor] [Rogue]> [Unclassified APs] の順に進み、特定の不正 AP 名をクリックします。ドロップダウンリストからオプションを選択します。

CLI を使用する場合：

(Cisco Controller) >config rogue ap ? classify Configures rogue access points classification. friendly Configures friendly AP devices. rldp Configures Rogue Location Discovery Protocol. ssid Configures policy for rogue APs advertsing our SSID. timeout Configures the expiration time for rogue entries, in seconds. valid-client Configures policy for valid clients using rogue APs.

不正エントリを不正リストから手動で削除するには、[Monitor] > [Rogue] > [Unclassified APs] の順に進み、[Remove] をクリックします。

不正 AP を友好的 AP として設定するには、[Security] > [Wireless Protection Policies] [Rogue Policies] > [Friendly Rogues] の順に進み、不正 MAC アドレスを追加します。

追加した友好的な不正エントリは、[Monitor] > [Rogues] > [Friendly Rogue] ページから確認できます。

Rogue Detector AP の設定

GUI を使用して、AP を Rogue Detector として設定するには、[Wireless] > [All AP] の順に進みます。 AP 名を選択して、AP モードを変更します。

CLI を使用する場合：

(Cisco Controller) >config ap mode rogue AP_Managed Changing the AP's mode will cause the AP to reboot. Are you sure you want to continue? (y/n) y

Rogue Detector AP のスイッチポートの設定


interface GigabitEthernet1/0/5
description Rogue Detector
switchport trunk encapsulation dot1q
switchport trunk native vlan 113
switchport mode trunk
spanning−tree portfast trunk

注: この設定でのネイティブ VLAN は、WLC への IP 接続のある VLAN の 1 つです。

RLDP の設定

コントローラの GUI で RLDP を設定するには、[Security] [Wireless Protection Policies] > [Rogue Policies] > [General] の順に進みます。

Monitor Mode APs：モニタモードの AP にのみ RLDP への参加を許可します。

All APs：ローカル/Hreap/モニタモードの AP が RLDP プロセスに参加します。

Disabled：RLDP は自動的にトリガーされません。ただし、ユーザは CLI から特定の MAC アドレスに対して RLDP を手動でトリガーできます。

注: モニタモード AP とローカル/Hreap の AP の両方が、-85dbm 以上の RSSI で特定の不正を検出した場合、RLDP の実行では、モニタモード AP の方がローカル/Hreap の AP よりも優先されます。

CLI を使用する場合：

(Cisco Controller) >config rogue ap rldp enable ? alarm-only Enables RLDP and alarm if rogue is detected auto-contain Enables RLDP, alarm and auto-contain if rogue is detected. (Cisco Controller) >config rogue ap rldp enable alarm-only ? monitor-ap-only Perform RLDP only on monitor AP RLDP scheduling and triggering manually is configurable only through Command prompt To Initiate RLDP manually: (Cisco Controller) >config rogue ap rldp initiate ? <MAC addr> Enter the MAC address of the rogue AP (e.g. 01:01:01:01:01:01). For Scheduling RLDP Note: RLDP scheduling and option to configure RLDP retries are two options introduced in 7.0 through CLI RLDP Scheduling : (Cisco Controller) >config rogue ap rldp schedule ? add Enter the days when RLDP scheduling to be done. delete Enter the days when RLDP scheduling needs to be deleted. enable Configure to enable RLDP scheduling. disable Configure to disable RLDP scheduling. (Cisco Controller) >config rogue ap rldp schedule add ? mon Configure Monday for RLDP scheduling. tue Configure Tuesday for RLDP scheduling. wed Configure Wednesday for RLDP scheduling. thu Configure Thursday for RLDP scheduling. fri Configure Friday for RLDP scheduling. sat Configure Saturday for RLDP scheduling. sun Configure Sunday for RLDP scheduling. RLDP retries can be configured using the command (Cisco Controller) >config rogue ap rldp retries ? <count> Enter the no.of times(1 - 5) RLDP to be tried per Rogue AP.

不正クライアントの AAA 検証を設定するには、[Security] > [Wireless Protection Policies] > [Rogue Policies] [General] の順に進みます。

このオプションをイネーブルにすると、不正クライアントや AP アドレスが悪意ありと分類される前に、AAA サーバで必ず検証されます。

CLI を使用する場合：

(Cisco Controller) >config rogue client aaa ? disable Disables use of AAA/local database to detect valid mac addresses. enable Enables use of AAA/local database to detect valid mac addresses.

特定の不正クライアントが有線の不正であることを検証するために、コントローラから特定の不正の到達可能性をチェックするオプションがあります（コントローラが不正クライアントの IP アドレスを検出できる場合）。このオプションは、不正クライアントの詳細ページでアクセスでき、グラフィカルインターフェイスからのみ利用できます。

スイッチポートトレースを設定するには、不正管理のホワイトペーパーを参照してください（登録ユーザのみ）。

不正緩和の設定

手動抑止の設定：

不正 AP を手動で抑止するには、[Monitor] > [Rogues] [Unclassified] の順に進みます。

CLI を使用する場合：

(Cisco Controller) >config rogue client ? aaa Configures to validate if a rogue client is a valid client using AAA/local database. alert Configure the rogue client to the alarm state. contain Start containing a rogue client. (Cisco Controller) >config rogue client contain 01:22:33:44:55:66 ? <num of APs> Enter the maximum number of Cisco APs to actively contain the rogue client [1-4].

注: 1 ～ 4 の AP を使用して、特定の不正を抑止できます。デフォルトでは、コントローラは 1 つの AP を使用して、クライアントを抑止します。 2 つの AP で特定の不正が検出される場合、AP のモードにかかわらず、最も高い RSSI を持つ AP がクライアントを抑止します。

自動抑止を設定するには、[Security] > [Wireless Protection Policies] > [Rogue Policies] [General] の順に進み、ネットワークに適用可能なすべてのオプションをイネーブルにします。

CLI を使用する場合：

(Cisco Controller) >config rogue adhoc ? alert Stop Auto-Containment, generate a trap upon detection of the adhoc rogue. auto-contain Automatically containing adhoc rogue. contain Start containing adhoc rogue. disable Disable detection and reporting of Ad-Hoc rogues. enable Enable detection and reporting of Ad-Hoc rogues. external Acknowledge presence of a adhoc rogue. (Cisco Controller) >config rogue adhoc auto-contain ? (Cisco Controller) >config rogue adhoc auto-contain Warning! Using this feature may have legal consequences Do you want to continue(y/n) :y

トラブルシューティング

不正が検出されない場合：

次のコマンドを使用して、AP で不正検出がイネーブルになっていることを確認します。デフォルトでは、AP での不正検出はイネーブルになっています。

(Cisco_Controller) >show ap config general Managed_AP

Cisco AP Identifier.............................. 2
Cisco AP Name.................................... Managed_AP
Country code..................................... US  - United States
Regulatory Domain allowed by Country............. 802.11bg:-A     802.11a:-A
AP Country code.................................. US  - United States
AP Regulatory Domain............................. 802.11bg:-A    802.11a:-A
Switch Port Number .............................. 2
MAC Address...................................... 00:1d:a1:cc:0e:9e
IP Address Configuration......................... DHCP
IP Address....................................... 10.8.99.104
IP NetMask....................................... 255.255.255.0
Gateway IP Addr.................................. 10.8.99.1
CAPWAP Path MTU.................................. 1485
Telnet State..................................... Enabled
Ssh State........................................ Disabled
Cisco AP Location................................ india-banaglore
Cisco AP Group Name.............................. default-group
Primary Cisco Switch Name........................ Cisco_e9:d9:23
Primary Cisco Switch IP Address.................. 10.44.81.20
Secondary Cisco Switch Name......................
Secondary Cisco Switch IP Address................ Not Configured
Tertiary Cisco Switch Name.......................
Tertiary Cisco Switch IP Address................. Not Configured
Administrative State ............................ ADMIN_ENABLED
Operation State ................................. REGISTERED
Mirroring Mode .................................. Disabled
AP Mode ......................................... Local
Public Safety ................................... Disabled
AP SubMode ...................................... Not Configured
Remote AP Debug ................................. Disabled
Logging trap severity level ..................... informational
Logging syslog facility ......................... kern
S/W  Version .................................... 7.0.98.0
Boot  Version ................................... 12.3.7.1
Mini IOS Version ................................ 3.0.51.0
Stats Reporting Period .......................... 209
LED State........................................ Enabled
PoE Pre-Standard Switch.......................... Enabled
PoE Power Injector MAC Addr...................... Override
Power Type/Mode.................................. Power injector / Normal mode
Number Of Slots.................................. 2
AP Model......................................... AIR-LAP1242AG-A-K9
AP Image......................................... C1240-K9W8-M
IOS Version...................................... 12.4(23c)JA
Reset Button..................................... Enabled
AP Serial Number................................. FTX1137B22V
AP Certificate Type.............................. Manufacture Installed
AP User Mode..................................... AUTOMATIC
AP User Name..................................... Not Configured
AP Dot1x User Mode............................... GLOBAL
AP Dot1x User Name............................... Cisco12
Cisco AP system logging host..................... 255.255.255.255
AP Up Time....................................... 13 days, 15 h 01 m 33 s
AP LWAPP Up Time................................. 13 days, 15 h 00 m 40 s
Join Date and Time............................... Tue Jun  1 10:36:38 2010

Join Taken Time.................................. 0 days, 00 h 00 m 52 s
Ethernet Port Duplex............................. Auto
Ethernet Port Speed.............................. Auto
AP Link Latency.................................. Enabled
 Current Delay................................... 0 ms
 Maximum Delay................................... 56 ms
 Minimum Delay................................... 2 ms
 Last updated (based on AP Up Time).............. 13 days, 15 h 00 m 44 s
Rogue Detection.................................. Enabled
AP TCP MSS Adjust................................ Disabled

次のコマンドを使用して、AP で不正検出をイネーブルにできます。

(Cisco Controller) >config rogue detection enable ?
all                    Applies the configuration to all connected APs.
<Cisco AP>     Enter the name of the Cisco AP.

ローカルモード AP では、設定に応じて、カントリーチャネル/DCA チャネルのみをスキャンします。不正が他のチャネルにある場合、ネットワークにモニタモード AP がなければ、コントローラではその不正を特定できません。確認するため、次のコマンドを発行します。

(Cisco Controller) >show advanced 802.11a monitor

Default 802.11a AP monitoring
  802.11a Monitor Mode........................... enable
  802.11a Monitor Mode for Mesh AP Backhaul...... disable
  802.11a Monitor Channels....................... Country channels
  802.11a AP Coverage Interval................... 180 seconds
  802.11a AP Load Interval....................... 60 seconds
  802.11a AP Noise Interval...................... 180 seconds
  802.11a AP Signal Strength Interval............ 60 seconds

不正 AP は SSID をブロードキャストしていない場合があります。
不正 AP の MAC アドレスが WCS から友好的な不正リストまたはホワイトリストに追加されていないことを確認します。
不正 AP からのビーコンは、不正を検出している AP に到達できない場合があります。これは、AP を検出している不正の近くにあるスニファを使用して、パケットをキャプチャすることによって検証できます。
ローカルモード AP は、不正を検出するために最大で 9 分かかることがあります（3 サイクル 180 X 3）。
Cisco AP では、パブリックセーフティチャネル（4.9 Ghz）のような周波数上にある不正を検出できません。
Cisco AP では、FHSS（周波数ホッピングスペクトラム拡散）上で動作している不正を検出できません。

便利なデバッグ

debug client < mac> (If rogue mac is known)

debug dot11 rogue enable

(Cisco_Controller) >*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 
    Looking for Rogue 00:27:0d:8d:14:12 in known AP table
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Rogue AP 00:27:0d:8d:14:12
    is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Change state from 0 to 1 
    for rogue AP 00:27:0d:8d:14:12
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 rg change state Rogue AP: 
    00:27:0d:8d:14:12

*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 New RSSI report from AP 
    00:1b:0d:d4:54:20  rssi -74, snr -9 wepMode 129
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg send new rssi -74 
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Updated AP report 
    00:1b:0d:d4:54:20  rssi -74, snr -9 
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg new Rogue AP: 
    00:27:0d:8d:14:12

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Found Rogue AP: 
    00:24:97:2d:bf:90 on slot 0

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Added Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Looking for Rogue 
    00:24:97:2d:bf:90 in known AP table
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Rogue AP 00:24:97:2d:bf:90
    is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Change state from 0 to 1 
    for rogue AP 00:24:97:2d:bf:90
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg change state Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 New RSSI report from AP 
    00:1b:0d:d4:54:20  rssi -56, snr 34 wepMode 129
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg send new rssi -56 
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Updated AP report 
    00:1b:0d:d4:54:20  rssi -56, snr 34 
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg new Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Found Rogue AP: 
    9c:af:ca:0f:bd:40 on slot 0

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Added Rogue AP: 
    9c:af:ca:0f:bd:40 

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Looking for Rogue 
    9c:af:ca:0f:bd:40 in known AP table
*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Rogue AP 9c:af:ca:0f:bd:40
    is not found eithe*apfRogueTask: Jun 15 01:45:09.011: 00:25:45:a2:e1:62 
    Updated AP report 00:1b:0d:d4:54:20  rssi -73, snr 24 
*apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 rg new Rogue AP: 
    00:25:45:a2:e1:62

*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Found Rogue AP: 
    00:24:c4:ad:c0:40 on slot 0

*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Added Rogue AP: 
    00:24:c4:ad:c0:40

一般的なトラップログ

不正が検出された場合


9Fri Jun 18 06:40:06 2010 Rogue AP : 00:1e:f7:74:f3:50 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -97 and SNR:
1 and Classification: unclassified 

10Fri Jun 18 06:40:06 2010 Rogue AP : 00:22:0c:97:af:83 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -81 and SNR: 18
and Classification: unclassified 
	
11Fri Jun 18 06:40:06 2010 Rogue AP : 00:26:cb:9f:8a:21 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -82 and SNR: 20
and Classification: unclassified 

12Fri Jun 18 06:40:06 2010 Rogue AP : 00:26:cb:82:5d:c0 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -98 and SNR: -2
and Classification: unclassified

不正エントリが不正リストから削除された場合

50Fri Jun 18 06:36:06 2010 Rogue AP : 00:1c:57:42:53:40 removed from Base Radio 
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g)

51Fri Jun 18 06:36:06 2010 Rogue AP : 00:3a:98:5c:57:a0 removed from Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g)

推奨事項

潜在的な不正がネットワークに存在することが疑われる場合、チャネルスキャニングをすべてのチャネルに設定してください。
Rogue Detector AP の数と場所は、有線ネットワークのレイアウトに応じて、フロアあたり 1 つから建物あたり 1 つまでさまざまです。フロアまたは建物ごとに少なくとも 1 つの Rogue Detector AP を配備することをお勧めします。 Rogue Detector AP には、監視するすべてのレイヤ 2 ネットワークブロードキャストドメインへのトランクが必要であるため、配置はネットワークの論理レイアウトによって異なります。

不正が分類されない場合

不正ルールが適切に設定されているかどうか確認します。
不正が DFS チャネルにある場合、RLDP は動作しません。
RLDP は不正の WLAN が開いていて、DHCP が利用できる場合にのみ動作します。
ローカルモード AP が DFS チャネルでクライアントとして動作している場合、RLDP プロセスには参加しません。

便利なデバッグ

(Cisco Controller) > debug dot11 rogue rule enable
(Cisco Controller) > debug dot11 rldp enable

Received Request to detect rogue: 00:1A:1E:85:21:B0
00:1a:1e:85:21:b0 found closest monitor AP 00:17:df:a7:20:d0slot =1 channel = 44
Found RAD: 0x158f1ea0, slotId = 1
rldp started association, attempt 1
Successfully associated with rogue: 00:1A:1E:85:21:B0 


!--- ASSOCIATING TO ROGUE AP


Starting dhcp
00:1a:1e:85:21:b0 RLDP DHCP SELECTING for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 Initializing RLDP DHCP for rogue 00:1a:1e:85:21:b0
.00:1a:1e:85:21:b0 RLDP DHCPSTATE_INIT for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCPSTATE_REQUESTING sending for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 Sending DHCP packet through rogue AP 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP REQUEST RECV for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP REQUEST received for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP BOUND state for rogue 00:1a:1e:85:21:b0
Returning IP 172.20.226.246, netmask 255.255.255.192, gw 172.20.226.193 


!--- GETTING IP FROM ROGUE


Found Gateway MacAddr: 00:1D:70:F0:D4:C1
Send ARLDP to 172.20.226.198 (00:1D:70:F0:D4:C1) (gateway)
Sending ARLDP packet to 00:1d:70:f0:d4:c1 from 00:17:df:a7:20:de
Send ARLDP to 172.20.226.197 (00:1F:9E:9B:29:80)
Sending ARLDP packet to 00:1f:9e:9b:29:80 from 00:17:df:a7:20:de
Send ARLDP to 0.0.0.0 (00:1D:70:F0:D4:C1) (gateway)
Sending ARLDP packet to 00:1d:70:f0:d4:c1 from 00:17:df:a7:20:de  


!--- SENDING ARLDP PACKET


Received 32 byte ARLDP message from: 172.20.226.24642
Packet Dump:
sourceIp: 172.20.226.246
destIp: 172.20.226.197
Rogue Mac: 00:1A:1E:85:21:B0 


!--- RECEIVING ARLDP PACKET


security: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

推奨事項

疑わしい不正エントリ上で RLDP を手動で起動してください。
RLDP が定期的に実行されるようにスケジュールを設定してください。
既知の不正エントリがある場合、それらを友好的リストに追加するか、AAA での検証をイネーブルにして、既知のクライアントエントリが AAA データベースに含まれるようにしてください。
RLDP はローカル AP またはモニタモード AP に配備できます。ほとんどの大規模な展開では、クライアントサービスへの影響を排除するため、できる限り RLDP をモニタモード AP 上に展開してください。ただし、この推奨事項では、5 つのローカルモード AP ごとに 1 つのモニタモード AP という一般的な比率で、モニタモード AP のオーバーレイを配備する必要があります。この作業には、Adaptive wIPS モニタモードの AP を活用することもできます。

Rogue Detector AP

AP コンソールで次のコマンドを使用すると、Rogue Detector の不正エントリを表示できます。有線の不正の場合、フラグが設定されます。

Rogue_Detector_5500#show capwap rm rogue detector
 CAPWAP Rogue Detector Mode
  Current Rogue Table:
  Rogue hindex = 0: MAC 0023.ebdc.1ac6, flag = 0, unusedCount = 1
  Rogue hindex = 2: MAC 0023.04c9.72b9, flag = 1, unusedCount = 1


!--- once the flag is set, rogue is detected on wire


  Rogue hindex = 2: MAC 0023.ebdc.1ac4, flag = 0, unusedCount = 1
  Rogue hindex = 3: MAC 0026.cb4d.6e20, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0026.cb9f.841f, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0023.04c9.72bf, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0023.ebdc.1ac2, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 001c.0f80.d450, flag = 0, unusedCount = 1
  Rogue hindex = 6: MAC 0023.04c9.72bd, flag = 0, unusedCount = 1

AP コンソール内の便利なデバッグコマンド

Rogue_Detector#debug capwap rm rogue detector

*Jun 18 08:37:59.747: ROGUE_DET: Received a rogue table update of length 170
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac4
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac5
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1aca
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acb
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acc
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acd
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acf
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.1431.e9ef
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.148a.ca2b
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2d
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2f
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3570
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3574
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357b
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357c
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357d
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357f
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3dcd
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff0
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff2
*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4aec
*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4b77
*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0040.96b9.4794
*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0022.0c97.af80
*Jun 18 08:37:59.775: ROGUE_DET: Flushing rogue entry 0024.9789.5710
*Jun 18 08:38:19.325: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 18 08:38:19.325: ROGUE_DET: Got wired mac 001d.a1cc.0e9e
*Jun 18 08:39:19.323: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 18 08:39:19.324: ROGUE_DET: Got wired mac 001d.a1cc.0e9e

不正抑止が実行されない場合

ローカル/Hreap モードの AP では、無線あたり 3 つのデバイスを一度に抑止でき、モニタモード AP では無線あたり 6 つのデバイスを抑止できます。そのため、AP に許可されている最大数のデバイスがすでに抑止されていないかどうかを確認してください。最大数のデバイスが抑止されていると、クライアントは抑止の保留状態にあります。
自動抑止ルールを検証してください。

一般的なトラップログ

Fri Jul 23 12:49:10 2010Rogue AP: Rogue with MAC Address: 00:17:0f:34:48:a1
    has been contained manually by 2 APs 8

Fri Jul 23 12:49:10 2010 Rogue AP : 00:17:0f:34:48:a1 with Contained mode added 
    to the Classified AP List.

結論

シスコの中央集中型コントローラソリューションの不正検出と抑止は、業界でも最も効果的で影響の少ない不正検出/抑止手法です。ネットワーク管理者はさらに柔軟にソリューションをカスタマイズして、ネットワークの要件に対応できます。

Unified Wireless Network の不正な管理

ダウンロードオプション

翻訳について

目次

概要

前提条件

要件

使用するコンポーネント

表記法

不正の概要

不正管理の動作理論

不正検出

不正分類

不正緩和

不正管理の設定

不正検出の設定

不正分類の設定

不正緩和の設定

トラブルシューティング

結論

関連情報

シスコエンジニア提供

このドキュメントは役に立ちましたか?

お問い合わせ先

関連するサポートコミュニティのディスカッション

このドキュメントは次の製品に対応しています

Unified Wireless Network の不正な管理

ダウンロード オプション

翻訳について

目次

シスコ エンジニア提供

このドキュメントは役に立ちましたか?

お問い合わせ先

関連するサポート コミュニティのディスカッション

このドキュメントは次の製品に対応しています

シェアする

ダウンロードオプション

シスコエンジニア提供

関連するサポートコミュニティのディスカッション