統合プラットフォーム構成ガイド、Cisco IOS XE 3.6E(Catalyst 3850 スイッチ)
マニュアルのコンテンツ
Search
ダウンロード
プリント
章のタイトル: 802.11r BSS の高速移行の設定
802.11r BSS の高速移行の設定
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このマニュアルの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
802.11r 高速移行の制約事項
802.11r クライアント アソシエーションは、スタンドアロン モードのアクセス ポイントではサポートされません。
802.11r 高速ローミングは、スタンドアロン モードのアクセス ポイントではサポートされません。
ローカル認証 WLAN と中央認証 WLAN 間の 802.11r 高速ローミングはサポートされていません。
EAP LEAP 方式はサポートされません。
TSpec は 802.11r 高速ローミングではサポートされません。 したがって、RIC IE の処理はサポートされません。
WAN リンク遅延がある場合、高速ローミングも遅延します。 音声またはデータの最大遅延を確認する必要があります。 スイッチ は、Over-the-Air および Over-the-DS の両方の方式をローミングする間、802.11r 高速移行の認証要求を処理します。
この機能は、オープンで WPA2 設定の WLAN でのみサポートされます。
レガシー クライアントは、Robust Security Network Information Exchange(RSN IE)の解析を担当するサプリカントのドライバが古く、IE 内の追加 AKM を認識しない場合、802.11r が有効にされている WLAN にアソシエートできません。 この制限のため、クライアントは、WLAN にアソシエーション要求を送信できません。 ただし、これらのクライアントは、非 802.11r WLAN とアソシエートできます。 802.11r 対応クライアントは、802.11r と 802.11i の両方の認証キー管理スイートが有効にされている WLAN の 802.11i クライアントとしてアソシエートできます。
回避策は、レガシー クライアントのドライバを新しい 802.11r AKM で動作するようにするか、またはアップグレードすることです。そうすることで、レガシー クライアントは、802.11r 対応 WLAN と正常にアソシエートできます。
もう 1 つの回避策は、同じ名前で異なるセキュリティ設定(FT および非 FT)の 2 つの SSID を持つことです。
高速移行のリソース要求プロトコルは、クライアントがこのプロトコルをサポートしていないため、サポートされません。 また、リソース要求プロトコルはオプションのプロトコルです。
サービス不能(DoS)攻撃を回避するため、各スイッチ では、異なる AP と最大 3 つの高速移行ハンドシェイクが可能です。
802.11r の高速移行について
高速ローミングの IEEE 標準である 802.11r は、クライアントがターゲット AP にローミングする前でも、新しい AP との最初のハンドシェイクが実行される、高速移行(FT)と呼ばれるローミングの新しい概念が導入されています。 初期ハンドシェイクによって、クライアントと AP が事前に Pairwise Transient Key(PTK)計算をできるようになります。 これらの PTK キーは、クライアントが新しいターゲット AP の再アソシエーション要求または応答の交換をした後で、クライアントと AP に適用されます。
802.11r は、次の 2 通りのローミングを提供します。
FT キー階層は、クライアントが各 AP での再認証なしで、AP 間の高速 BSS 移行ができるように設計されています。 WLAN 設定には、FT(高速移行)と呼ばれる、新しい認証キー管理(AKM)タイプが含まれています。
クライアントのローミング方法 FT プロトコルを使用して現在の AP からターゲット AP に移動するクライアントでは、メッセージ交換は次の 2 つの方法のいずれかを使用して行われます。
図 1. Over the Air クライアント ローミング設定時のメッセージ交換 . この図は、Over the Air クライアントのローミングを設定するときに実行されるメッセージ交換のシーケンスを示します。
図 2. Over the DS クライアント ローミング設定時のメッセージ交換 . この図は、Over the DS クライアントのローミングを設定するときに実行されるメッセージ交換のシーケンスを示します。
802.11r 高速移行を設定する方法
オープン WLAN での 802.11r 高速移行の設定(CLI)
手順の概要 1.
configure terminal
2.
wlan profile-name
3.
client vlan vlan-id
4.
no security wpa
5.
no security wpa akm dot1x
6.
no security wpa wpa2
7.
no wpa wpa2 ciphers aes
8.
security ft
9.
no shutdown
10.
end
手順の詳細 コマンドまたはアクション 目的 ステップ 1 configure terminal 例: Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 2 wlan profile-name 例: Switch # wlan test4
WLAN コンフィギュレーション サブモードを開始します。 profile-name は設定されている WLAN のプロファイル名です。
ステップ 3 client vlan vlan-id 例: Switch (config-wlan)# client vlan 0120
WLAN にクライアント VLAN を関連付けます。
ステップ 4 no security wpa 例: Switch (config-wlan)# no security wpa
WPA セキュリティをディセーブルにします。
ステップ 5 no security wpa akm dot1x 例: Switch (config-wlan)# no security wpa akm dot1x
dot1x に対して AKM セキュリティをディセーブルにします。
ステップ 6 no security wpa wpa2 例: Switch (config-wlan)# no security wpa wpa2
WPA2 セキュリティを無効にします。
ステップ 7 no wpa wpa2 ciphers aes 例: Switch (config-wlan)# no security wpa wpa2 ciphers aes
AES の WPA2 暗号化をディセーブルにします。
ステップ 8 security ft 例: Switch (config-wlan)# security ft
802.11r 高速移行パラメータを指定します。
ステップ 9 no shutdown 例: Switch (config-wlan)# shutdown
WLAN を停止します。
ステップ 10 end 例: Switch (config-wlan)# end
特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。
Dot1x セキュリティ対応 WLAN での 802.11r BSS 高速移行の設定(CLI)
手順の概要 1.
configure terminal
2.
wlan profile-name
3.
client vlan vlan-name
4.
local-auth local-auth-profile-eap
5.
security dot1x authentication-list default
6.
security ft
7.
security wpa akm ft dot1x
8.
no shutdown
9.
end
手順の詳細 コマンドまたはアクション 目的 ステップ 1 configure terminal 例: Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 2 wlan profile-name 例: Switch # wlan test4
WLAN コンフィギュレーション サブモードを開始します。 profile-name は設定されている WLAN のプロファイル名です。
ステップ 3 client vlan vlan-name 例: Switch (config-wlan)# client vlan 0120
この WLAN にクライアント VLAN を関連付けます。
ステップ 4 local-auth local-auth-profile-eap 例: Switch (config-wlan)# local-auth
local auth EAP プロファイルをイネーブルにします。
ステップ 5 security dot1x authentication-list default 例: Switch (config-wlan)# security dot1x authentication-list default
dot1x セキュリティ用のセキュリティ認証リストをイネーブルにします。この設定は、dot1x セキュリティ WLAN に似ています。
ステップ 6 security ft 例: Switch (config-wlan)# security ft
WLAN 上で 802.11r 高速移行をイネーブルにします。
ステップ 7 security wpa akm ft dot1x 例: Switch (config-wlan)# security wpa akm ft dot1x
WLAN 上で 802.1x セキュリティをイネーブルにします。
ステップ 8 no shutdown 例: Switch (config-wlan)# no shutdown
WLAN をイネーブルにします。
ステップ 9 end 例: Switch (config-wlan)# end
特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。
PSK セキュリティ対応 WLAN での 802.11r 高速移行の設定(CLI)
手順の概要 1.
configure terminal
2.
wlan profile-name
3.
client vlan vlan-name
4.
no security wpa akm dot1x
5.
security wpa akm ft psk
6.
security wpa akm psk set-key {ascii {0 | 8 } | hex {0 | 8 }}
7.
security ft
8.
no shutdown
9.
end
手順の詳細 コマンドまたはアクション 目的 ステップ 1 configure terminal 例: Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 2 wlan profile-name 例: Switch # wlan test4
WLAN コンフィギュレーション サブモードを開始します。 profile-name は設定されている WLAN のプロファイル名です。
ステップ 3 client vlan vlan-name 例: Switch (config-wlan)# client vlan 0120
この WLAN にクライアント VLAN を関連付けます。
ステップ 4 no security wpa akm dot1x 例: Switch (config-wlan)# no security wpa akm dot1x
dot1x に対するセキュリティの AKM をディセーブルにします。
ステップ 5 security wpa akm ft psk 例: Switch (config-wlan)# security wpa akm ft psk
FT PSK サポートを設定します。
ステップ 6 security wpa akm psk set-key {ascii {0 | 8 } | hex {0 | 8 }} 例: Switch (config-wlan)# security wpa akm psk set-key ascii 0 test
PSK AKM の共有キーを設定します。
ステップ 7 security ft 例: Switch (config-wlan)# security ft
802.11r 高速移行を設定します。
ステップ 8 no shutdown 例: Switch (config-wlan)# no shutdown
WLAN をイネーブルにします。
ステップ 9 end 例: Switch (config-wlan)# end
特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。
802.11 高速移行の設定(GUI)
ステップ 1
をクリックします。
[WLANs] ページが表示されます。
ステップ 2
ページの検索機能を使用して、設定する WLAN を検索します。
ステップ 3
WLAN の [WLAN Profile] をクリックします。
[WLAN > Edit] ページが表示されます。
ステップ 4
[Security] タブおよび[Layer 2] タブをクリックします。
ステップ 5
BSS の高速移行をイネーブルにするには [Fast Transition] チェックボックスをオンにします。
BSS の高速移行をディセーブルにするには [Fast Transition] チェックボックスをオフにします。
ステップ 6
分散システム上の BSS の高速移行をイネーブルにするには、[Over the DS] チェックボックスをオンにします。 この設定はデフォルトでイネーブルになっています。
(注)
[Over the DS] をオフにすると、Over the Air の高速移行が有効になります。
ステップ 7
(任意)
[Reassociation Timeout] テキスト ボックスに再アソシエーションのタイムアウト値(秒単位)を指定します。 値の範囲は 1 ~ 100 秒です。デフォルト値は 20 秒です。
ステップ 8
[Apply] をクリックします。
ステップ 9
802.11r 混合モードで WLAN を設定するには、[Auth Key Mgmt] ドロップダウン リストから次のオプションのいずれか 1 つを選択します。
FT + 802.1x
FT + PSK
FT + 802.1x +CCKM
802.11r 高速移行のディセーブル(CLI)
手順の概要 1.
configure terminal
2.
wlan profile-name
3.
no security ft [over-the-ds | reassociation-timeout timeout-in-seconds ]
4.
end
手順の詳細 コマンドまたはアクション 目的 ステップ 1 configure terminal 例: Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 2 wlan profile-name 例: Switch # wlan test4
WLAN コンフィギュレーション サブモードを開始します。 profile-name は設定されている WLAN のプロファイル名です。
ステップ 3 no security ft [over-the-ds | reassociation-timeout timeout-in-seconds ] 例:
Switch (config-wlan)# no security ft over-the-ds
WLAN の 802.11r 高速移行をディセーブルにします。
(注)
データ ソースに対して 802.11r 高速移行をディセーブルにすると、Over the Air の高速移行がイネーブルになります。
ステップ 4 end 例: Switch (config)# end
特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。
802.11r 高速移行の監視(GUI)
クライアントの認証キー管理の詳細情報を表示できます。
[Monitor] > [Client] を選択します。[Clients] ページが表示されます。クライアントの詳細を表示するには、該当するクライアントを選択します。[General] タブで、FT、PSK、802.1X、CCKM、802.1x + CCKM など、クライアントの認証キー管理を確認できます。 AKM が 802.11r 混合モード用の場合、FT-802.1x、FT-802.1x-CCKM、または FT-PSK が表示されます 。
802.11r 高速移行の監視(CLI)
次のコマンドを使用して、802.11r の高速移行を監視できます。
コマンド
説明
show wlan name wlan-name
WLAN に設定されているパラメータの要約を表示します。
show wireless client mac-address mac-address
クライアントの 802.11r 認証キー管理の設定の概要を表示します。
. . .
. . .
Client Capabilities
CF Pollable : Not implemented
CF Poll Request : Not implemented
Short Preamble : Not implemented
PBCC : Not implemented
Channel Agility : Not implemented
Listen Interval : 15
Fast BSS Transition : Implemented
Fast BSS Transition Details :
Client Statistics:
Number of Bytes Received : 9019
Number of Bytes Sent : 3765
Number of Packets Received : 130
Number of Packets Sent : 36
Number of EAP Id Request Msg Timeouts : 0
Number of EAP Request Msg Timeouts : 0
Number of EAP Key Msg Timeouts : 0
Number of Data Retries : 1
Number of RTS Retries : 0
Number of Duplicate Received Packets : 1
Number of Decrypt Failed Packets : 0
Number of Mic Failured Packets : 0
Number of Mic Missing Packets : 0
Number of Policy Errors : 0
Radio Signal Strength Indicator : -48 dBm
Signal to Noise Ratio : 40 dB
. . .
. . .
クライアントの AKM が 802.11r 混合モードの場合、次の情報が出力に表示されます。
. . .
. . .
Authentication Key Management : FT-PSK
. . .
. . .
802.11r 高速移行に関する追加情報
関連資料
関連項目
マニュアル タイトル
WLAN コマンド リファレンス
WLAN Command Reference, Cisco IOS XE Release 3SE (Cisco WLC 5700 Series) WLAN Command Reference, Cisco IOS XE Release 3SE (Catalyst 3850 Switches)
標準および RFC
標準/RFC
Title
IEEE 802.11r。
802.11r 用の IEEE 規格
MIB
MIB
MIB のリンク
このリリースでサポートされるすべての MIB です。
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。
http://www.cisco.com/go/mibs
シスコのテクニカル サポート
説明
Link
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。
お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。
シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。
http://www.cisco.com/support
802.11r 高速移行の機能に関する情報
次の表に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。
機能名
リリース
機能情報
802.11r の高速移行
Cisco IOS XE 3.3SE
この機能が導入されました。