レイヤ 3 セキュリティの設定
VPN パススルーを使用したレイヤ 3 セキュリティの設定
VPN パススルーを使用したレイヤ 3 セキュリティの制約事項
レイヤ 2 トンネリング プロトコル(L2TP)と IPSec は、コントローラでサポートされていません。
レイヤ 3 セキュリティ設定は、WLAN でクライアント IP アドレスを無効にしているときはサポートされません。
VPN パススルー オプションは、Cisco 5500 シリーズのコントローラでは使用できません。 しかし、ACL を使用してオープン WLAN を作成すると、その機能をこのコントローラで再現できます。
VPN パススルーについて
コントローラは、VPN パススルー、つまり VPN クライアントから送信されるパケットの「通過」をサポートします。 VPN パススルーの例として、ラップトップから本社オフィスの VPN サーバへの接続が挙げられます。
VPN パススルーの設定
VPN パススルーの設定(GUI)
ステップ 1
| [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2
| VPN パススルーを設定する WLAN の ID 番号をクリックします。 [WLANs > Edit] ページが表示されます。 |
ステップ 3
| [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit]([Security] > [Layer 3])ページを開きます。 |
ステップ 4
| [Layer 3 Security] ドロップダウン リストから、[VPN Pass-Through] を選択します。 |
ステップ 5
| [VPN Gateway Address] テキスト ボックスに、クライアントにより開始され、コントローラを通過した VPN トンネルを終端しているゲートウェイ ルータの IP アドレスを入力します。 |
ステップ 6
| [Apply] をクリックして、変更を確定します。 |
ステップ 7
| [Save Configuration] をクリックして設定を保存します。 |
VPN パススルーの設定(CLI)
VPN パススルーを設定するには、次のコマンドを使用します。
config wlan security passthru {enable | disable} wlan_id gateway
gateway には、VPN トンネルを終端している IP アドレスを入力します。
パススルーが有効であることを確認するには、次のコマンドを入力します。
show wlan
Web 認証を使用したレイヤ 3 セキュリティの設定
WLAN の Web 認証を設定するための前提条件
HTTP/HTTPS Web 認証のリダイレクトを開始するには、常に HTTP URL のみを使用し、HTTPS URL を使用しないでください。
CPU ACL が HTTP / HTTPS トラフィックをブロックするように設定されている場合、正常な Web ログイン認証の後に、リダイレクション ページでエラーが発生する可能性があります。
Web 認証を有効にする前に、すべてのプロキシ サーバがポート 53 以外のポートに対して設定されていることを確認してください。
WLAN の Web 認証を有効にする場合、コントローラがワイヤレス クライアントで送受信されるトラフィックを転送することを示すメッセージが認証前に表示されます。 DNS トラフィックを規制し、DNS トンネリング攻撃を検出および予防するために、ゲスト VLAN の背後にファイアウォールまたは侵入検知システム(IDS)を設置することをお勧めします。
Web 認証が WLAN で有効になっており、さらに、CPU ACL のルールもある場合、クライアント ベースの Web 認証ルールは、クライアントが非認証である限り優先されます(webAuth_Reqd ステート)。 クライアントが RUN 状態になると、CPU ACL ルールが適用されます。 したがって、コントローラで CPU ACL ルールが有効である場合、次の状況で、仮想インターフェイス IP に対する allow ルール(任意の方向)が必要なります。
仮想 IP に対する allow ルールは、TCP プロトコルおよびポート 80(secureweb が無効な場合)またはポート 443(secureweb が有効な場合)に設定します。 このプロセスは、仮想インターフェイス IP アドレスへのクライアントのアクセスを許可し、CPU ACL ルールが設定されている場合に正常認証をポストするために必要です。
WLAN の Web 認証の設定に関する制約事項
- Web 認証はレイヤ 2 セキュリティ ポリシー(オープン認証、オープン認証 + WEP、WPA-PSK)でのみサポートされています。 7.4 リリースでは、Web 認証での 802.1X の使用がサポートされています。
- Web 認証のユーザ名フィールドでの特殊文字はサポートされていません。
クライアントが WebAuth SSID に接続したときに、事前認証 ACL が VPN ユーザを許可するように設定されていると、クライアントは数分ごとに SSID との接続を解除されます。 Webauth SSID の接続には、Web ページでの認証が必要です。
Web 認証ユーザ セクションの [WLANs] > [Security] > [AAA servers] > [Authentication priority] で次の ID ストアを選択して、Web 認証ユーザを認証できます。
複数の ID ストアを選択すると、コントローラはユーザの認証が成功するまで、リストの各 ID ストアを指定された順序で上から下までチェックします。 コントローラがリストの最後に達しても ID ストアのいずれかに未認証のユーザが残っている場合、認証は失敗します。
Web 認証について
コントローラで VPN パススルーが有効になっていない場合に限り、WLAN では Web 認証を使用できます。 Web 認証は、セットアップも使用方法も簡単で、SSL とともに使用することで WLAN 全体のセキュリティを向上させることができます。
Web 認証の設定
Web 認証の設定(GUI)
ステップ 1
| [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2
| Web 認証を設定する WLAN の ID 番号をクリックします。 [WLANs > Edit] ページが表示されます。 |
ステップ 3
| [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit]([Security] > [Layer 3])ページを開きます。 |
ステップ 4
| [Web Policy] チェックボックスをオンにします。 |
ステップ 5
| [Authentication] オプションが選択されていることを確認します。 |
ステップ 6
| [Apply] をクリックして、変更を確定します。 |
ステップ 7
| [Save Configuration] をクリックして設定を保存します。 |
Web 認証の設定(CLI)
ステップ 1
| 特定の WLAN で Web 認証を有効または無効にするには、次のコマンドを入力します。 config wlan security web-auth {enable | disable} wlan_id
|
ステップ 2
| Web 認証ポリシーのタイマーが切れたときにゲスト ユーザの IP アドレスを解放して、ゲスト ユーザが 3 分間 IP アドレスを取得しないようにするには、次のコマンドを入力します。 config wlan webauth-exclude wlan_id {enable | disable}
デフォルト値はディセーブルです。 コントローラに内部 DHCP スコープを設定するときに、このコマンドを適用できます。 デフォルトでは、ゲスト ユーザは、Web 認証のタイマーが切れた場合、別のゲスト ユーザがその IP アドレスを取得する前に、ただちに同じ IP アドレスに再アソシエートできます。 ゲスト ユーザの数が多い場合、または DHCP プールの IP アドレスが限れられている場合、一部のゲスト ユーザが IP アドレスを取得できなくなる可能性があります。
ゲスト WLAN でこの機能を有効にした場合、Web 認証ポリシーのタイマーが切れると、ゲスト ユーザの IP アドレスが解放され、このゲスト ユーザは 3 分間 IP アドレスの取得から除外されます。 その IP アドレスは、別のゲスト ユーザが使用できます。 3 分経つと、除外されていたゲスト ユーザは、可能であれば、再アソシエートし、IP アドレスを取得できるようになります。
|
ステップ 3
| 次のコマンドを入力して、Web 認証のステータスを表示します。 show wlan wlan_id
|