暗号化モビリティ トンネル

暗号化モビリティ トンネルについて

暗号化モビリティ トンネルと呼ばれるセキュア リンクは、CAPWAP DTLS プロトコルを使用して暗号化されるモビリティ トンネルとデータに基いており、アンカーと外部 Cisco WLC の間で確立できます。暗号化モビリティ トンネル機能は、高可用性(HA)クライアント SSO でサポートされます。

暗号化モビリティ トンネルが有効な状態の場合、データ トラフィックは暗号化され、コントローラは EoIP の代わりに UDP ポート 16667 を使用して、データ トラフィックを送信します。

MIC 証明書の期限が切れている Cisco WLC が暗号化モビリティ トンネル対応ネットワークに参加できるようにするために、既存の CLI を使用して MIC 証明書の日付の検証が無効化されます。


(注)  

このコマンドは、Cisco AP の参加および暗号化モビリティ トンネルの作成中の日付の検証チェックを無効にします。config ap cert-expiry-ignore CLI が有効になっている場合、有効期間チェックは無効になります。

暗号化モビリティ トンネルがある Cisco WLC でサポートされる最大データ レート

方向

パケット サイズ(バイト)

実際のスループット(Mbps)

最大送信スループット(Gbps)

アップ

516

22500

28

アップ

1000

22356

30

アップ

1374

23474

30

アップ

imix

20012

24

ダウン

516

23501

24

ダウン

1000

24081

30

ダウン

1374

23488

30

ダウン

imix

20342

23

双方向

516

24657

32

双方向

1000

23764

30

双方向

1374

21780

30

双方向

imix

19456

26

暗号化モビリティ トンネルの制約事項

  • ネイティブ IPv6 はサポートされていません。

  • 暗号化トンネルのモビリティ マルチキャスト インフラストラクチャはサポートされていません。

  • Cisco vWLC ではサポートされていません。

    この機能は、Cisco 3504、5520、 8510、および 8540 WLC でのみサポートされています。

  • トンネルを作成するには、ネットワーク内のすべての WLC で暗号化モビリティ機能が有効になっている必要があります。

  • 暗号化モビリティ トンネル機能は、トンネルを作成するネットワーク内のすべてのモビリティ ピアで有効にする必要があります。デフォルトの状態では無効に設定されています。

  • トンネルの作成をサポートしているのは MIC 証明書だけです。

暗号化モビリティ トンネルの設定(GUI)

手順

ステップ 1

[Controller] > [Mobility Management] > [Mobility Configuration] の順に選択して、[Global Configuration] ページを開きます。

ステップ 2

[Mobility Encryption] チェックボックスをオンにして、ネットワークのモビリティ暗号化を有効にします。

ステップ 3

設定を保存します。

Cisco WLC がリブートして、モビリティ暗号化状態の変更が反映されます。

暗号化モビリティ トンネルの設定(CLI)

手順

  コマンドまたはアクション 目的
ステップ 1

(オプション)次のコマンドを入力して、MIC 証明書検証チェックを無効にします。

config ap cert-expiry-ignore mic { enable | disable }

(注)   
このコマンドは、ネットワーク内に期限切れの MIC 証明書があるモビリティ ピアが存在する場合にのみ使用する必要があります。
ステップ 2

次のコマンドを入力して、暗号化モビリティ トンネルを設定します。

config mobility encryption {enable | disable}

(注)   

この機能を有効または無効にすると、WLC がリブートします。
ステップ 3

次のコマンドを入力して、暗号化モビリティ トンネルのステータスを表示します。

lines

show mobility summary

(注)   

暗号化モビリティ トンネル機能が無効になっている場合、DTLS モードのステータスは出力に表示されません。

次のような情報が表示されます。

(Cisco Controller) >show mobility summary

Mobility Protocol Port........................... 16666
Default Mobility Domain.......................... TestSpartan8500Dev1Group
Multicast Mode .................................. Disabled
DTLS Mode ....................................... Enabled
Mobility Domain ID for 802.11r................... 0x209c
Mobility Keepalive Interval...................... 10
Mobility Keepalive Count......................... 3
Mobility Group Members Configured................ 1
Mobility Control Message DSCP Value.............. 0

Controllers configured in the Mobility Group
 MAC Address        IP Address    Group Name                Multicast IP                      Status
 f4:cf:e2:0a:ea:00  8.1.4.2      Test8500Dev1Group          0.0.0.0                              Up