802.11r BSS Fast Transition

802.11r Fast Transition の機能履歴

次の表に、このセクションで説明する機能のリリースおよび関連情報を示します。

この機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースでも使用できます。

表 1. 802.11r Fast Transition の機能履歴

リリース

機能

機能情報

Cisco IOS XE Cupertino 17.9.1

SAE(FT-SAE)認証クライアントの 802.11r Fast Transition

Cisco IOS XE 17.9.1 リリース以降、Fast Transition は、PMK キャッシングとともに SAE ベースの高速ローミングをサポートします。

この機能は、既存の PMK キャッシングベースの高速ローミングに追加されます。

802.11r Fast Transition について

高速ローミングの IEEE 標準である 802.11r では、対応するクライアントがターゲット アクセス ポイントにローミングする前でも、新しい AP との最初のハンドシェイクが実行される、ローミングの新しい概念が導入されています。この概念は Fast Transition と呼ばれます。最初のハンドシェイクによって、クライアントとアクセス ポイントは Pairwise Transient Key(PTK)を事前に計算できます。これらの PTK キーは、クライアントが再アソシエーション要求に応答するか、新しいターゲット アクセス ポイントとの交換に応答した後で、クライアントと AP に適用されます。

FT キー階層は、クライアントが各 AP での再認証なしで、AP 間の高速 BSS 移行ができるように設計されています。WLAN 設定には、FT(Fast Transition)と呼ばれる、新しい認証キー管理(AKM)タイプが含まれています。

クライアント ローミング

クライアントが FT プロトコルを使用して現在の AP からターゲット AP に移動する場合、メッセージ交換は次のいずれかの方法を使用して実行されます。

  • Over-the-Air:クライアントは、FT 認証アルゴリズムを使用する IEEE 802.11 認証を使用して、ターゲット AP と直接通信を行います。

  • Over-the-Distribution System(DS):クライアントは、現在の AP を介してターゲット AP と通信します。クライアントとターゲット AP との通信は、クライアントと現在の AP の間の FT アクション フレームで実行されてから、デバイスによって送信されます。

図 1. Over–the–Air クライアント ローミングが設定されている場合のメッセージ交換
図 2. Over–the–DS クライアント ローミングが設定されている場合のメッセージ交換

(注)  

802.11r Fast Transition for SAE(FT-SAE)は、コントローラ間ローミングに限定されません。

802.11r Fast Transition for SAE(FT-SAE)認証クライアントについて

Cisco IOS XE 17.9.1 リリース以降、Fast Transition 機能は、ペアワイズマスターキー(PMK)キャッシングとともに Simultaneous Authentication of Equals ベース(SAE ベース)の高速ローミングをサポートします。

この機能は、既存の PMK キャッシングベースの高速ローミングに追加されます。

Fast Transition プロトコル

Base Station Subsystem(BSS)の移行時、Fast BSS Transition 機能により、ステーション(STA)と直接切り替えの間における接続時間の損失が低減されます。Fast Transition プロトコルは再関連付けサービスの一部であり、同じモビリティドメイン内の AP と拡張サービスセット(ESS)間の STA 移行に適用されます。Fast Transition プロトコルでは、STA と AP 間の最初の関連付け時(またはその後の再関連付け時)に情報を交換する必要があります。最初の交換は、FT の初期モビリティドメインの関連付けと呼ばれます。同様に、同じモビリティドメイン内の AP への後続の再関連付けでは、Fast Transition プロトコルが使用されます。


(注)  

STA は Fast Transition Originator と呼ばれます。

FT プロトコルは次のとおりです。

  • Fast Transition Protocol:このプロトコルは、Fast Transition Originator がターゲット AP に移行し、その移行前にリソース要求を必要としない場合に実行されます。

  • Fast Transition Resource Request Protocol:このプロトコルは、Fast Transition Originator がその移行前にリソース要求を必要とする場合に実行されます。

  • Over-the-Air:Fast Transition Originator は、Fast Transition 認証アルゴリズムを利用した IEEE 802.11 認証を使用して、ターゲット AP と通信を行います。

  • Over-the-DS: Fast Transition Originator は、現在の AP を使用してターゲット AP と通信します。Fast Transition Originator とターゲット AP 間の通信は、Fast Transition Originator と現在の AP 間の Fast Transition アクションフレームで実行されます。

Fast Transition 機能は、FT-SAE 用の新しい AKM(具体的には 00-0F-AC:9 )をサポートします。

Fast Transition の初期モビリティドメインの関連付け

STA は、(再)関連付け要求フレームにモビリティドメイン要素(MDE)と堅牢性セキュリティネットワーク要素(RSNE)を含めます。AP は、(再)関連付け応答フレームに FTE、MDE、および RSNE を含めて応答します。

つまり、STA は、SAE アルゴリズムを使用して IEEE 802.11 認証を実行することによって、Fast Transition の初期モビリティドメインの関連付け手順を開始します。

SAE 認証が成功すると、STA と AP は Fast Transition の 4 ウェイハンドシェイクを実行します。


(注)  

  • AP またはコントローラが受信した MDE が、ビーコンおよびプローブの応答フレームでアドバタイズされたコンテンツと一致しない場合、AP またはコントローラは、STATUS_INVALID_MDE コードで(再)関連付け要求フレームを拒否します。

  • MDE が(再)関連付け要求フレームで利用可能であり、RSNE のコンテンツが Fast BSS Transition(00-0F-AC:9 スイートタイプ)のネゴシエートされた SAE AKM を示していない場合、AP は STATUS_INVALID_AKMP コードで拒否します。

SAE 認証後、コントローラは PMK を受信し、SAE が正常に完了します。

802.11r Fast Transition の制約事項

  • EAP LEAP 方式はサポートされません。

  • トラフィック仕様(TSPEC)は 802.11r 高速ローミングではサポートされません。したがって、RIC IE の処理はサポートされません。

  • WAN リンク遅延がある場合、高速ローミングも遅延します。音声またはデータの最大遅延を確認する必要があります。Cisco WLC は、Over-the-Air と Over-the-DS のどちらの方式でもローミング時に 802.11r Fast Transition の認証要求を処理します。

  • レガシー クライアントは、Robust Security Network Information Exchange(RSN IE)の解析を担当するサプリカントのドライバが古く、IE 内の追加 AKM を認識しない場合、802.11r が有効にされている WLAN にアソシエートできません。この制限のため、クライアントは、WLAN にアソシエーション要求を送信できません。ただし、これらのクライアントは、非 802.11r WLAN とアソシエートできます。802.11r 対応クライアントは、802.11i と 802.11r の両方の認証キー管理スイートが有効になっている WLAN で 802.11i クライアントとしてアソシエートできます。

    回避策は、レガシー クライアントのドライバを新しい 802.11r AKM で動作できるようにするか、アップグレードすることです。これにより、レガシー クライアントは 802.11r 対応 WLAN と正常にアソシエートできます。

    もう 1 つの回避策は、同じ名前で異なるセキュリティ設定(FT および非 FT)の 2 つの SSID を持つことです。

  • Fast Transition のリソース要求プロトコルは、クライアントがこのプロトコルをサポートしていないため、サポートされません。また、リソース要求プロトコルはオプションのプロトコルです。

  • サービス不能(DoS)攻撃を回避するため、Cisco WLC では、異なる AP と最大 3 つの Fast Transition ハンドシェイクが可能です。

  • 非 802.11r 対応デバイスは FT 対応 WLAN にアソシエートできなくなります。

  • 802.11r FT + PMF は推奨されません。

  • FlexConnect 導入には 802.11r FT Over-the-Air ローミングをお勧めします。

  • FT-SAE Over-the-DS ローミングは、FlexConnect ローカル認証モードではサポートされていません。

  • WLAN がコントローラで作成されると、デフォルトで 802.11r ft-over-ds が有効になります。Cisco Wave 2 AP では、802.11r を使用したローカル スイッチング ローカル認証はサポートされません。Cisco Wave 2 AP でローカル スイッチング ローカル認証を機能させるには、WLAN で 802.11r を明示的に無効にします。設定例を次に示します。 

    wlan local-dot1x 24 local-dot1x
no security ft over-the-ds
no security ft adaptive
security dot1x authentication-list spwifi_dot1x
no shutdown

802.11r Fast Transition の監視(CLI)

次のコマンドを使用して、802.11r Fast Transition をモニターできます。

コマンド 説明
show wlan name wlan-name

WLAN に設定されているパラメータの要約を表示します。

show wireless client mac-address mac-address クライアントの 802.11r 認証キー管理の設定の概要を表示します。 

. . . 
. . .
Client Capabilities
  CF Pollable : Not implemented
  CF Poll Request : Not implemented
  Short Preamble : Not implemented
  PBCC : Not implemented
  Channel Agility : Not implemented
  Listen Interval : 15
  Fast BSS Transition : Implemented
Fast BSS Transition Details :
Client Statistics:
  Number of Bytes Received : 9019
  Number of Bytes Sent : 3765
  Number of Packets Received : 130
  Number of Packets Sent : 36
  Number of EAP Id Request Msg Timeouts : 0
  Number of EAP Request Msg Timeouts : 0
  Number of EAP Key Msg Timeouts : 0
  Number of Data Retries : 1
  Number of RTS Retries : 0
  Number of Duplicate Received Packets : 1
  Number of Decrypt Failed Packets : 0
  Number of Mic Failured Packets : 0
  Number of Mic Missing Packets : 0
  Number of Policy Errors : 0
  Radio Signal Strength Indicator : -48 dBm
  Signal to Noise Ratio : 40 dB
. . . 
. . .

Dot1x セキュリティ対応 WLAN での 802.11r BSS Fast Transition の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name

例:

Device# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

client vlan vlan-name

例:

Device(config-wlan)# client vlan 0120

この WLAN にクライアント VLAN を関連付けます。

ステップ 4

local-auth local-auth-profile-eap

例:

Device(config-wlan)# local-auth

ローカル認証 EAP プロファイルを有効にします。

ステップ 5

security dot1x authentication-list default

例:

Device(config-wlan)# security dot1x authentication-list default

dot1x セキュリティ用のセキュリティ認証リストを有効にします。この設定は、すべての dot1x セキュリティ WLAN で類似しています。

ステップ 6

security ft

例:

Device(config-wlan)# security ft
WLAN で 802.11r Fast Transition を有効にします。

ステップ 7

security wpa akm ft dot1x

例:

Device(config-wlan)# security wpa akm ft dot1x
WLAN 上で 802.1x セキュリティを有効にします。

ステップ 8

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ステップ 9

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

オープン WLAN での 802.11r Fast Transition の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name

例:

Device# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

client vlan vlan-id

例:

Device(config-wlan)# client vlan 0120

WLAN にクライアント VLAN を関連付けます。

ステップ 4

no security wpa

例:

Device(config-wlan)# no security wpa

WPA セキュリティを無効にします。

ステップ 5

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 6

no security wpa wpa2

例:

Device(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。

ステップ 7

no wpa wpa2 ciphers aes

例:

Device(config-wlan)# no security wpa wpa2 ciphers aes

AES の WPA2 暗号化を無効にします。

ステップ 8

security ft

例:

Device(config-wlan)# security ft

802.11r Fast Transition パラメータを指定します。

ステップ 9

no shutdown

例:

Device(config-wlan)# shutdown

WLAN をシャット ダウンします。

ステップ 10

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

PSK セキュリティ対応 WLAN での 802.11r Fast Transition の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name

例:

Device# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

client vlan vlan-name

例:

Device(config-wlan)# client vlan 0120

この WLAN にクライアント VLAN を関連付けます。

ステップ 4

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 5

security wpa akm ft psk

例:

Device(config-wlan)# security wpa akm ft psk

Fast Transition PSK サポートを設定します。

ステップ 6

security wpa akm psk set-key {ascii {0 | 8} | hex {0 | 8}}

例:

Device(config-wlan)# security wpa akm psk set-key ascii 0 test

PSK AKM の共有キーを設定します。

ステップ 7

security ft

例:

Device(config-wlan)# security ft

802.11r Fast Transition を設定します。

ステップ 8

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ステップ 9

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

SAE セキュリティ対応 WLAN での 802.11r Fast Transition の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。

ステップ 4

[Security] > [Layer2] タブを選択します。

ステップ 5

セキュリティモードとして [WPA3] オプションボタンをクリックします。

ステップ 6

[WPA Parameters] の必要なチェックボックスと [AES(CCMP128)] チェックボックスをオンにします。

ステップ 7

[Status] ドロップダウンリストから [Enabled] を選択します。

ステップ 8

[FT+SAE] チェックボックスをオンにします。

ステップ 9

事前共有キーを入力します。

ステップ 10

[PSK Format] ドロップダウンリストから PSK フォーマットを選択し、[PSK Type] ドロップダウンリストから PSK タイプを選択します。

ステップ 11

[Apply to Device] をクリックします。

SAE セキュリティ対応 WLAN での 802.11r Fast Transition の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

例:

Device# configure terminal

コンフィギュレーション モードをイ有効にします。

ステップ 3

wlan wlan-name wlan-id ssid

例:

Device(config)# wlan wlan-ft-sae 10 wlan-ft-sae

WLAN と SSID を設定します。

ステップ 4

security ft

例:

Device(config-wlan)# security ft

WLAN で 802.11r Fast Transition を有効にします。

ステップ 5

no security wpa wpa2

例:

Device(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。

ステップ 6

security wpa psk set-key ascii asciii/hex key

例:

Device(config-wlan)# security wpa psk set-key ascii 0 123456789

WLAN の事前共有キーを設定します。

(注)  

 

WPA の事前共有キーには、8 ~ 63 文字の ASCII テキスト、または 64 桁の 16 進数文字が含まれている必要があります。

ステップ 7

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 8

security wpa akm ft sae

例:

Device(config-wlan)# security wpa akm ft sae

SAE セキュリティ対応 WLAN で 802.11r Fast Transition を設定します。

ステップ 9

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 のサポートを有効にします。

ステップ 10

security pmf mandatory

例:

Device(config-wlan)# security pmf mandatory

クライアントが WLAN の 802.11w PMF 保護をネゴシエートすることを要求します。

ステップ 11

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

802.11r Fast Transition の無効化(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[WLANs] ページで、WLAN 名をクリックします。

ステップ 3

[Edit WLAN] ウィンドウで[Security] > [Layer2]タブをクリックします。

ステップ 4

[Fast Transition] ドロップダウンリストから [Disabled] を選択します。オープン認証で SSID を設定している場合は、Fast Transition を有効または無効にできないことに注意してください。

ステップ 5

[Update & Apply to Device] をクリックします。

802.11r Fast Transition の無効化(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name

例:

Device# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

no security ft [over-the-ds | reassociation-timeout timeout-in-seconds]

例:

Device(config-wlan)# no security ft over-the-ds

WLAN の 802.11r Fast Transition を無効にします。

ステップ 4

end

例:

Device(config)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

802.11r Fast Transition SAE の確認

Fast Transition SAE の詳細を表示するには、次のコマンドを使用します。

Device# show wireless client summary
Number of Clients: 1

MAC Address AP Name Type ID State Protocol Method Role
-------------------------------------------------------------------------------------------------------------------------
2c33.7a5b.8fc5 APF4BD.9EBD.A66C WLAN 10 Run 11n(2.4) FT-SAE Local

Number of Excluded Clients: 0

AP からクライアントサマリーの詳細を表示するには、次のコマンドを使用します。

AP# show client summary

Radio Driver client Summary:
==============================
apr0v1
-------
apr0v4
-------
ADDR AID CHAN TXRATE RXRATE RSSI MINRSSI MAXRSSI IDLE TXSEQ RXSEQ CAPS XCAPS ACAPS ERP STATE MAXRATE(DOT11) HTCAPS VHTCAPS ASSOCTIME IEs MODE RXNSS TXNSS PSMODE
a0:fb:c5:ab:c3:41 1 11 114M 97M -47 -60 -40 0 0 65535 EPSs BORI NULL 0 f 286800 AP 1g 00:19:53 RSN WME IEEE80211_MODE_11AXG_HE20 2 2 1
LM BRP BRA
RSSI is combined over chains in dBm
Minimum Tx Power : 0
Maximum Tx Power : 0
HT Capability : Yes
VHT Capability : No
MU capable : No
SNR : 48
Operating band : 2.4GHz
Current Operating class : 0
Supported Rates : 2 4 11 22 12 18 24 36 48 72 96 108
Channels supported : 2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462 2467 2472
Max STA phymode : IEEE80211_MODE_11AXG_HE20
apr1v1
-------
apr1v4
-------

WCP client Summary:
=====================
mac radio vap aid state encr Maxrate Assoc Cap is_wgb_wired wgb_mac_addr
A0:FB:C5:AB:C3:41 0 4 1 FWD AES_CCM128 MCS92SS HE HE false 00:00:00:00:00:00



Assoc time:
=============
mac assoc_time
A0:FB:C5:AB:C3:41 00d:00h:19m:55s


Datapath IPv4 client Summary:
===============================
id vap port node tunnel mac seen_ip hashed_ip sniff_ago confirm_ago
A0:FB:C5:AB:C3:41 4 apr0v4 6.4.26.28 - A0:FB:C5:AB:C3:41 192.100.2.153 10.0.21.68 0.110000 0.100000

Datapath IPv6 client Summary:
===============================
client mac seen_ip6 age scope port
1 A0:FB:C5:AB:C3:41 fe80::c2f:f0c4:9fa5:2608 1 link-local apr0v4

AP から FlexConnect 関連の詳細を表示するには、次のコマンドを使用します。

AP# show flexconnect dot11R

Total number of DOT11R cache entries: 1

HW Address Life Time(s) BSSID R0KhId R1KhId vlanOverride aclOverride ipv6AclOverride qosOverride iPSK
A0:FB:C5:AB:C3:41 558 2C:57:41:59:F5:C4 239.13.224.36 45:49:7B:38:11:6A N/A 0 \<>

認証キー管理の詳細を表示するには、次のコマンドを使用します。

Device# show wireless client mac-address 28c2.1f54.e6d6 detail
Authentication Algorithm : Open System
Authentication Key Management : FT-SAE
FlexConnect Authentication : Central

AKM Fast Transition-SAE が有効になっているかどうかを確認するには、次のコマンドを使用します。

Device# show wlan name [wlan-profile-name]

Auth Key Management
FT SAE : [Enabled | Disabled]

PMK キャッシュの詳細を確認するには、次のコマンドを使用します。

Device# show wireless pmk-cache
…...
Type Dot11R
…..

WPA3 SAE の詳細を表示するには、次のコマンドを使用します。

Device# show wireless stats client detail

Total FT/LocalAuth requests                      : 20 
Total 11r ft authentication requests received    : 9
Total 11r ft authentication response success     : 9
Total 11r ft authentication response failure     : 0
Total 11r ft action requests received            : 17
Total 11r ft action response success             : 8
Total 11r ft action response failure             : 9
Total 11r PMKR0-Name mismatch                    : 0
Total 11r PMKR1-Name mismatch                    : 5
Total 11r MDID mismatch                          : 9
Total roam attempts                              : 15
  Total 11r roam attempts                        : 15
……
……
Total WPA3 SAE attempts                          : 0
Total WPA3 SAE successful authentications        : 0
Total WPA3 SAE authentication failures           : 0
  Total incomplete protocol failures             : 0
Total WPA3 SAE commit messages received          : 0
Total WPA3 SAE commit messages rejected                                 : 0
  Total unsupported group rejections                                    : 0
  Total PWE method mismatch for SAE Hash to Element commit received     : 0
Total PWE method mismatch for SAE Hunting And Pecking commit received : 0
Total WPA3 SAE commit messages sent              : 0
Total WPA3 SAE confirm messages received         : 0
Total WPA3 SAE confirm messages rejected         : 0
  Total WPA3 SAE message confirm field mismatch  : 0
  Total WPA3 SAE confirm message invalid length  : 0
Total WPA3 SAE confirm messages sent             : 0
Total WPA3 SAE Open Sessions                     : 0
Total SAE Message drops due to throttling        : 0
Total WPA3 SAE Hash to Element commit received   : 0
Total WPA3 SAE Hunting and Pecking commit received : 0
……
……
Total Flexconnect local-auth roam attempts       : 8
  Total 11r flex roam attempts                   : 0
…..
….
Total client delete reasons
  SAE authentication failure                                      : 0
  DOT11 SAE invalid message                                       : 0