移行モードを使用した拡張オープンSSIDの設定：LEAN

概要

このドキュメントでは、Catalyst 9800ワイヤレスLANコントローラ(9800 WLC)でEnhanced Open with Transition(EOL)を設定し、トラブルシューティングする方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco Wireless Lan Controller(WLC)9800
• Wi-Fi 6Eをサポートするシスコアクセスポイント(AP) 
• IEEE標準802.11ax。
• Wireshark.

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• IOS® XE 17.9.3を搭載したWLC 9800-CL
• AP C9130、C9136、CW9162、CW9164、およびCW9166。
• Wi-Fi 6クライアント： 
  • IOS 16でのiPhone SE3rd gen
  • Mac OS 12のMacBook。
• Wi-Fi 6Eクライアント：
  • Lenovo X1 Carbon Gen11(Intel AX211 Wi-Fi 6および6Eアダプタ、ドライババージョン22.200.2(1))
  • Netgear A8000 Wi-Fi 6および6Eアダプタ、ドライバv1(0.0.108)、
  • Android 13搭載の携帯電話Pixel 6a;
  • 携帯電話Samsung S23 Android 13。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

Enhanced Openは、WPA3ワイヤレスセキュリティ標準の一部としてWiFi Allianceによって提供される認定です。オープン（未認証）ネットワークでOpportunistic Wireless Encryption(LEAN)を使用して、パッシブなスニフィングを防止し、パブリックPSKワイヤレスネットワークと比較して単純な攻撃を防止します。 

拡張オープンを使用すると、クライアントとWLC（中央認証の場合）またはAP（FlexConnectローカル認証の場合）は、関連付けプロセス中にDiffie-Hellman(DH)鍵交換を実行し、4ウェイハンドシェイクでPairwise Master Key Secret(PMK)を使用します。 

負っている

Opportunistic Wireless Encryption(LEAN)は、IEEE 802.11を拡張したもので、ワイヤレスメディア(IETF RFC 8110）。LEANベースの認証の目的は、APとクライアント間のセキュアでないオープンなワイヤレス接続を回避することです。LEANでは、Diffie-Hellmanアルゴリズムに基づく暗号化を使用して、ワイヤレス暗号化を設定します。LEANを使用すると、クライアントとAPはアクセス手順中にDiffie-Hellman(DH)キー交換を実行し、結果として生成されるPairwise Master Key(PMK)シークレットを4ウェイハンドシェイクで使用します。オープンまたは共有のPSKベースのネットワークが展開されている環境では、LEANを使用するとワイヤレスネットワークセキュリティが強化されます。

LEANフレーム交換

移行モード

通常、エンタープライズネットワークには暗号化されていないゲストSSIDが1つしかなく、拡張オープンをサポートしない古いクライアントと、拡張オープンを共存できる新しいクライアントの両方を使用します。移行モードは、特にこのシナリオに対応するために導入されました。

これには2つのSSIDを設定する必要があります。1つはLEANをサポートする非表示SSIDで、もう1つはオープンでブロードキャストされるSSIDです。

Opportunistic Wireless Encryption(LEAN)移行モードを使用すると、LEAN STAと非LEAN STAを同じSSIDに同時に接続できます。すべてのLEAN STAがLEAN移行モードのSSIDを認識すると、LEANに接続します。

オープンWLANとLEAD WLANの両方がビーコンフレームを送信します。LEAN WLANからのビーコンおよびプローブ応答フレームには、オープンWLANのBSSIDおよびSSIDをカプセル化するためのWi-Fi AllianceベンダーIEが含まれ、同様に、オープンWLANにもLEAN WLAN用が含まれます。

LEAN STAは、使用可能なネットワークのリスト内のユーザに対してのみ、LEAN遷移モードで動作するLEAN APのオープンBSSのSSIDを表示し、そのLEAN APのLEAN BSS SSIDの表示を抑制します。

ガイドラインと制限事項：

• 拡張オープンにはWPA3のみのポリシーが必要です。WPA3は、Cisco Wave 1(Cisco IOS®ベース)のAPではサポートされていません。
• Protected Management Frame(PMF)はRequiredに設定する必要があります。これは、WPA3のみのレイヤ2セキュリティに対してデフォルトで設定されています。
• Enhanced Openは、Enhanced Openをサポートする新しいバージョンを実行するエンドクライアントでのみ機能します。

設定

管理者がEnhanced Openを設定する必要があるが、古いクライアントがゲストSSIDに接続できるようにする一般的な使用例。

ネットワーク図

Network Topology

GUIの設定手順：

最初のSSIDを作成します。この名前は「LEAR_Transition」です。この例ではWLAN ID 3で、「Broadcast SSID」オプションを無効にして非表示になっていることを確認します。

ステップ1 Configuration > Tags & Profiles > WLANsの順に選択して、WLANsページを開きます。

ステップ2 Addをクリックして新しいWLANを追加> WLAN名「LEAR_Transition」を追加> StatusをEnableに変更> Broadcast SSIDをDisabledにします。

LEAR移行の拡張オープンSSIDの非表示

ステップ3 Security > Layer 2タブを選択> WPA3を選択します。

ステップ4 Protected Management Frame (PMF)をRequiredに設定します。

ステップ5:WPA Parametersの下で、WPA3ポリシーを確認します。AES(CCMP128) Encryption and LEAN Auth Key Managementの順に選択します。

ステップ6 WLAN ID 4（オープンWLAN）を「Transition Mode WLAN ID」ボックスに追加します。

ステップ7 Apply to Deviceをクリックします。

LEAD移行モード：LEAD SSID

2つ目のSSIDを作成し、この例では「open」という名前を付け、WLAN ID 4で「Broadcast SSID」が有効になっていることを確認します。

ステップ1 Configuration > Tags & Profiles > WLANsの順に選択して、WLANsページを開きます。

ステップ2 Addをクリックして新しいWLANを追加> WLAN名「open」を追加> StatusをEnableに変更> Broadcast SSIDがEnabledになっていることを確認します。

借用移行オープンSSID

ステップ3 Security > Layer 2タブを選択> Noneを選択します。

ステップ4 WLAN ID 4(LEAR_Transition)を「Transition Mode WLAN ID」ボックスに追加します。

ステップ5 Apply to Deviceをクリックします。

借用移行モードのオープンWLANセキュリティ

次のスクリーンショットは、最終的な結果を示しています。1つのWLANは、「LEAR_Transition」という名前のWPA3+LEAD+WPA3用に保護および設定され、もう1つは「open」という名前の完全にオープンなSSIDです。「open」と呼ばれる完全にオープンなSSIDだけがビーコンでブロードキャストされますが、「LEAN_Transition」は非表示です。

借用移行モードのWLAN

ステップ6作成したWLANを目的のポリシープロファイルにマッピングし、ポリシータグを作成してAPに適用します。

ポリシー タグ

CLIの設定：

拡張オープンSSID:

Device# conf t
Device(config)# wlan OWE_Transition 3 OWE_Transition
Device(config)# no broadcast-ssid
Device(config)# no security ft adaptive
Device(config)# no security wpa wpa2
Device(config)# no security wpa akm dot1x
Device(config)# security wpa akm owe
Device(config)# security wpa transition-mode-wlan-id 4
Device(config)# security wpa wpa3
Device(config)# security pmf mandatory
Device(config)# no shutdown

オープンSSID:

Device# conf t
Device(config)# wlan open 4 open
Device(config)# no security ft adaptive
Device(config)# no security wpa
Device(config)# no security wpa wpa2
Device(config)# no security wpa wpa2 ciphers aes
Device(config)# no security wpa akm dot1x
Device(config)# security wpa transition-mode-wlan-id 3
Device(config)# no shutdown

ポリシープロファイル：

Device(config)# wireless tag policy Wifi6E_TestPolicy
Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile

確認

これは検証セクションです。

CLIでWLANの設定を確認します。

Device#show wlan id 3
WLAN Profile Name : OWE_Transition
================================================
Identifier : 3
Description : 
Network Name (SSID) : OWE_Transition
Status : Enabled
Broadcast SSID : Disabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : Disabled
WPA2 (RSN IE) : Disabled
WPA3 (WPA3 IE) : Enabled
AES Cipher : Enabled
CCMP256 Cipher : Disabled
GCMP128 Cipher : Disabled
GCMP256 Cipher : Disabled
Auth Key Management
802.1x : Disabled
PSK : Disabled
CCKM : Disabled
FT dot1x : Disabled
FT PSK : Disabled
FT SAE : Disabled
Dot1x-SHA256 : Disabled
PSK-SHA256 : Disabled
SAE : Disabled
OWE : Enabled
SUITEB-1X : Disabled
SUITEB192-1X : Disabled
SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
Transition Disable : Disabled
CCKM TSF Tolerance (msecs) : 1000
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 4
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Required
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
#show wlan id 4
WLAN Profile Name : open
================================================
Identifier : 4
Description : 
Network Name (SSID) : open
Status : Enabled
Broadcast SSID : Enabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 3
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]

WLCでAP Configurationに移動し、両方のWLANがAPでアクティブであることを確認できます。

LEAD移行モードAP動作設定ビューア

有効にすると、APはオープンSSIDを持つビーコンのみを送信しますが、LEAD移行モード情報要素(IE)を伝送します。拡張オープン機能を持つクライアントがこのSSIDに接続する際には、関連付け後にすべてのトラフィックを自動的に暗号化するためにLEANが使用されます。

OTA(Over The Air)で確認できる内容を次に示します。

借用遷移オープンSSIDビーコン

SSID「open」で送信されるビーコンには、BSSIDおよびSSID名「LEAR_Transition」などの拡張オープンSSIDの詳細を内部に持つLEAN移行モードIEが含まれます。

SSIDが非表示のビーコンOTAもあり、bssidでフィルタリングすると、フレームはBSSID 00:df:1d:dd:7d:3eに送信されます。このBSSIDは、LEAN Transition Mode IE内のBSSIDです。

LEAN Beacon社

また、LEAN非表示ビーコンには、オープンSSIDのBSSIDとSSID名が「open」のLEAD移行モードIEが含まれていることがわかります。

次のスクリーンショットは、拡張オープンをサポートするAndroidフォンを示しています。この画面には、ロックアイコンのないオープンSSIDのみが表示されます（ロックアイコンは、接続にパスワードが必要であるとユーザに思わせられます）。ただし、接続すると、セキュリティには拡張オープンセキュリティが使用されていることが示されます。

LEAD SSIDリスト強化されたオープンサポートを備えたLEANクライアント

無線では、完全な接続シーケンスを確認できます。

LEAN移行の完全接続

ビーコンを受信した後、クライアントはBORING SSIDをプローブし、APが応答します。

次に、通常のLEARフレーム交換が発生します。認証要求と応答、DH IEを含むアソシエーション要求と応答、EAPOLの4方向ハンドシェイクです。 

WLCでクライアント接続を確認できます。BORINGをサポートするクライアントは、この例ではWLAN ID 3のEnhanced Open WLANに接続できます。

Device#show wireless client mac-address 286b.3598.580f detail

Client MAC Address : 286b.3598.580f
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 3
WLAN Profile Name: OWE_Transition
Wireless LAN Network Name (SSID): OWE_Transition
BSSID : 00df.1ddd.7d3e
Connected For : 682 seconds 
Protocol : 802.11ax - 5 GHz
Channel : 64
Client IIF-ID : 0xa0000003
Association Id : 2
Authentication Algorithm : Open System
Idle state timeout : N/A
[...]
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable

WLCのGUIでも同じことを確認できます。

Enhanced Openをサポートしていないクライアントは、オープンSSIDのみを表示して接続し、暗号化は行いません。

ここに示すように、これらのクライアントはEnhanced Open（それぞれIOS 15ではiPhone、Mac OS 12ではMacBook）をサポートしておらず、オープンなゲストSSIDのみを参照し、暗号化を使用していません。

BORINGをサポートしていないデバイス図4:Mac OS 12のMacBookでEnhanced Openがサポートされない

次の例は、LEANをサポートしていないUSBワイヤレスアダプタの例です。

Enhanced Openをサポートしていないクライアント

この例では、クライアントはOpen WLANに接続できるLEANをサポートしていません。これはWLAN ID 4です。

#show wireless client mac-address b44b.d623.a199 detail

Client MAC Address : b44b.d623.a199
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 4
WLAN Profile Name: open
Wireless LAN Network Name (SSID): open
BSSID : 00df.1ddd.7d3f
[...]
Authentication Algorithm : Open System
[...]
Protected Management Frame - 802.11w : No
EAP Type : Not Applicable

トラブルシュート

1. すべてのクライアントがBORINGをサポートしているわけではないので、クライアントがBORINGをサポートしていることを確認します。クライアントベンダーのドキュメントを確認してください。たとえば、Appleはデバイスのサポートをここで文書化しています。
   
2. 古いクライアントの中には、LEAD移行モードIEが存在し、範囲内のネットワークにSSIDが存在しないために、オープンSSIDビーコンを受け入れないものもあります。クライアントがOpen SSIDを認識できない場合は、WLAN設定からTransition VLAN（0に設定）を削除し、WLANが認識されるかどうかを確認します。
3. クライアントがオープンSSIDを確認し、LEANをサポートしているが、WPA3を使用せずに接続している場合は、遷移VLAN IDが正しく、両方のWLANのビーコンでブロードキャストされていることを確認します。OTAトラフィックをキャプチャするには、スニファモードでAPを使用できます。APをスニファモードで設定するには、次の手順を実行します。APs Catalyst 91xx in Sniffer Mode。
   • ビーコンはSSID「open」で送信され、BSSIDおよびSSID名「LEAR_Transition」などの拡張オープンSSIDの詳細を含むLEAR移行モードIEが含まれます。借用遷移オープンSSIDビーコン

   • SSIDが非表示のビーコンOTAもあり、bssidでフィルタリングすると、フレームはBSSID 00:df:1d:dd:7d:3eに送信されます。このBSSIDは、LEAN Transition Mode IE内のBSSIDです。

     LEAN Beacon社

     また、LEAN非表示ビーコンには、オープンSSIDのBSSIDとSSID名が「open」のLEAD移行モードIEが含まれていることがわかります。

   • また、AKM情報を表示して、MFPがRequired and Capableとしてアドバタイズされていることを確認することもできます。
   • リーンビーコンAKM
4. クライアントのMACアドレスとyに基づいてRadioActiveトレースを収集する次のようなログが表示されます。

2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

参考資料

Wi-Fi 6Eとは

Wi-Fi 6とWi-Fi 6Eの比較

Wi-Fi 6E概要

Wi-Fi 6E:Wi-Fiホワイトペーパーの次の重要な章

Cisco Catalyst 9800シリーズワイヤレスコントローラソフトウェアコンフィギュレーションガイド17.9.x

WPA3導入ガイド