MAC フィルタリング

MAC フィルタリング

MAC フィルタリング機能を使用し、クライアント MAC アドレスに基づいてクライアントを許可するようにコントローラを設定できます。

MAC フィルタリングを有効にすると、コントローラはクライアント ID として MAC アドレスを使用します。認証サーバーには、ネットワーク アクセスを許可されたクライアント MAC アドレスのデータベースがあります。コントローラは、クライアントから関連付け要求を受信するとすぐに、クライアント MAC アドレスに基づくユーザー名とパスワードを含む RADIUS アクセス/要求フレームを認証サーバーに送信します。承認が成功すると、コントローラ はクライアントに関連付けの成功応答を送信します。承認に失敗すると、コントローラはクライアントの関連付けを拒否します。

MAC フィルタリングで許可されたクライアントは、WLAN セッションタイムアウト機能を使用して再認証できます。

MAC フィルタリング設定時の注意事項

  • MAC フィルタリング認証は 802.11 の関連付けフェーズで発生し、認証が完了するまで関連付け応答を遅延させます。MAC フィルタリングに RADIUS サーバーを使用する場合は、コントローラと RADIUS サーバー間の遅延を低く保つことをお勧めします。遅延が大きすぎると、クライアントは関連付け応答を待機している間にタイムアウトする可能性があります。

  • MAC フィルタリングは、802.1X、事前共有キーなどの他の認証方式と組み合わせることも、単独で使用することもできます。

  • MAC アドレスはスプーフィングされる可能性があり、MAC フィルタリングはセキュリティ対策にはなりません。

  • 多くのクライアントはプライベート MAC アドレスを使用して接続し、セッションごとに変更できます。そのため、MAC アドレスを使用してデバイスを識別することが困難になります。


(注)  

ユーザーに対して wlan-profile-name が設定されている場合、ゲストユーザー認証はその WLAN からのみ許可されます。

ユーザーに対して wlan-profile-name が設定されていない場合、すべての WLAN でゲストユーザー認証が許可されます。

RADIUS サーバーで認証が拒否されたため、AP はコントローラに接続できません。この障害は、エンドポイントとして MAB メソッドを使用して AP を認証するように RADIUS サーバーが設定されている場合にのみ、Cisco Catalyst 9800 コントローラで発生します。これは、MAB 認証に必要が RADIUS calling-station-id 属性が、AP 参加中にアクセス要求パケット内に存在しないためです。回避策は、ユーザー名とパスワードを使用する PAP-ASCII など、エンドポイントとして MAB とは異なる AP 認証方式を使用することです。

クライアントを SSID1 に接続するが、MAC フィルタリングを使用して SSID2 には接続しない場合は、ポリシープロファイルで aaa-override を設定してください。

次の例では、MAC アドレスが 1122.3344.0001 のクライアントが WLAN に接続しようとすると、要求がローカル RADIUS サーバーに送信され、属性リスト(FILTER_1 および FILTER_2)にクライアントの MAC アドレスが存在するかどうかがチェックされます。クライアントの MAC アドレスが属性リスト(FILTER_1)にリストされている場合、クライアントは、RADIUS サーバーから ssid 属性として返される WLAN(WLAN_1)に接続できます。クライアントの MAC アドレスが属性リストにリストされていない場合、そのクライアントは拒否されます。

ローカル RADIUS サーバーの設定

!Configures an attribute list as FILTER_2
aaa attribute list FILTER_2
!Defines an attribute type that is to be added to an attribute list.
attribute type ssid "WLAN_2"
 
!Username with the MAC address is added to the filter
username 1122.3344.0001 mac aaa attribute list FILTER_2
 
!
aaa attribute list FILTER_1
attribute type ssid "WLAN_1"
username 112233440001 aaa attribute list FILTER_1

コントローラの設定

! Sets authorization to the local radius server
aaa authorization network MLIST_MACFILTER local
 
!A WLAN with the SSID WLAN_2 is created and MAC filtering is set along with security
parameters.
wlan WLAN_2 2 WLAN_2
mac-filtering MLIST_MACFILTER
no security wpa
no security wpa wpa2 ciphers

!WLAN with the SSID WLAN_1 is created and MAC filtering is set along with security parameters.
wlan WLAN_1 1 WLAN_1
mac-filtering MLIST_MACFILTER
no security wpa
no security wpa wpa2 ciphers aes
no security wpa akm dot1x
security web-auth
security web-auth authentication-list WEBAUTH
 
! Policy profile to be associated with the above WLANs
wireless profile policy MAC_FILTER_POLICY
aaa-override
vlan 504
no shutdown

ローカル認証の MAC フィルタリングの設定(CLI)

ローカル認証用に MAB を設定するには、次の手順に従います。

始める前に

AAA ローカル認証を設定します。

username mac-address mac コマンド を使用して、WLAN 設定(ローカル認証)のユーザー名を設定します。


(注)  

MAC アドレスの形式は、abcdabcdabcd にする必要があります。

手順

  コマンドまたはアクション 目的

ステップ 1

wlan profile-name wlan-id

例:

wlan CR1_SSID_mab-local-default 1 CR1_SSID_mab-local-default

WLAN の名前と ID を指定します。

ステップ 2

mac-filtering default

例:

Device(config-wlan)# mac-filtering default

WLAN の MAC フィルタリング サポートを設定します。

ステップ 3

no security wpa

例:

Device(config-wlan)# no security wpa

WPA セキュリティを無効にします。

ステップ 4

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 5

no security wpa wpa2

例:

Device(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。

ステップ 6

no security wpa wpa2 ciphers aes

例:

Device(config-wlan)# no security wpa wpa2 ciphers aes

AES の WPA2 暗号化を無効にします。

ステップ 7

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

MAC フィルタリングの設定(GUI)

始める前に

AAA 外部認証を設定します。

手順

ステップ 1

[Configuration] > [Wireless] > [WLANs] を選択します。

ステップ 2

[Wireless Networks] ページで WLAN の名前をクリックします。

ステップ 3

[Edit WLAN] ウィンドウで [Security] タブをクリックします。

ステップ 4

[Layer2] タブで、[MAC Filtering] チェック ボックスをオンにして機能を有効にします。

ステップ 5

MAC フィルタリングを有効にした状態で、ドロップダウンリストから [Authorization List] を選択します。

ステップ 6

設定を保存します。

外部認証用の MAB の設定(CLI)

外部認証用に MAB を設定するには、次の手順に従います。

始める前に

AAA 外部認証を設定します。

手順

  コマンドまたはアクション 目的

ステップ 1

wlan wlan-name wlan-id ssid-name

例:

wlan CR1_SSID_mab-ext-radius 3 CR1_SSID_mab-ext-radius

WLAN の名前と ID を指定します。

ステップ 2

mac-filtering list-name

例:

Device(config-wlan)# mac-filtering ewlc-radius

MAC フィルタリング パラメータを設定します。ここで、ewlc-radius は list-name の例です

ステップ 3

no security wpa

例:

Device(config-wlan)# no security wpa

WPA セキュリティを無効にします。

ステップ 4

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 5

no security wpa wpa2

例:

Device(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。

ステップ 6

mab request format attribute {1 groupsize size separator separator [lowercase | uppercase] | 2 {0 | 7 | LINE} LINE password | 32 vlan access-vlan}

例:

Device(config)# mab request format attribute 1 groupsize 4 separator

オプション。WLAN で MAC フィルタリングを使用する際のデリミタを設定します。

ここで、各変数は次のように定義されます。

1 :MAB 要求に使用するユーザー名形式を指定します。

groupsize size :グループごとの 16 進数の桁数を指定します。有効な値の範囲は 1 ~ 12 です。

separator separator :グループを区切る方法を指定します。区切り文字は、コンマ、セミコロン、およびピリオドです。

lowercase :ユーザー名を小文字で指定します。

uppercase :ユーザー名を大文字で指定します。

2 :すべての MAB 要求に使用するグローバルパスワードを指定します。

0 :暗号化されていないパスワードを指定します。

7 :非表示のパスワードを指定します。

LINE :暗号化されたパスワードまたは暗号化されていないパスワードを指定します。

password :回線パスワード。

32 :NAS-Identifier 属性を指定します。

vlan :VLAN を指定します。

access-vlan :設定されたアクセス VLAN を指定します。

ステップ 7

no security wpa wpa2 ciphers aes

例:

Device(config-wlan)# no security wpa wpa2 ciphers aes

AES の WPA2 暗号化を無効にします。

ステップ 8

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。