Cisco Catalyst 9800 シリーズワイヤレスコントローラ（Cisco IOS XE 17.15.x）ソフトウェアコンフィギュレーションガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

検索結果

Updated:: 2025年2月5日水曜日

管理フレーム保護

管理フレーム保護について

デフォルトでは、802.11 管理フレームは認証されないため、スプーフィングから保護されません。インフラストラクチャ管理フレーム保護（MFP）および 802.11w の保護された管理フレーム（PMF）は、このような攻撃に対する保護を提供します。

インフラストラクチャ MFP

インフラストラクチャ MFP は、DoS 攻撃を引き起こしたり、ネットワーク上で過剰なアソシエーションやプローブを生じさせたり、不正な AP として介入したり、QoS と無線測定フレームへの攻撃によりネットワークパフォーマンスを低下させたりする敵対者を検出することにより、管理フレームを保護します。インフラストラクチャ MFP は、フィッシングインシデントを検出および報告するための迅速かつ効果的な手段を提供するグローバル設定です。

インフラストラクチャ MFP は特に、（クライアントによって送信されたのではなく）AP によって送信され、次にネットワーク内の他の AP によって検証される管理フレームにメッセージ整合性チェック情報要素（MIC IE）を追加することによって、802.11 セッション管理機能を保護します。インフラストラクチャ MFP はパッシブで、侵入を検知し報告しますが、それを止めることはできません。

インフラストラクチャ MFP は次の 3 つの主要なコンポーネントで構成されます。

管理フレーム保護：AP は、各フレームに MIC IE を追加することで、送信される管理フレームを保護します。フレームのコピー、変更、再送が試みられた場合、MIC は無効となり、MFP フレームを検出するよう設定された受信 AP は不具合を報告します。MFP は、Cisco Aironet Lightweight AP での使用がサポートされています。
管理フレーム検証：インフラストラクチャ MFP では、AP によって、ネットワーク内の他の AP から受信する各管理フレームが検証されます。MIC IE が存在しており（送信側が MFP フレームを送信するよう設定されている場合）、管理フレームの中身に一致していることを確認します。MFP フレームを送信するよう設定されている AP に属する BSSID からの正当な MIC IE が含まれていないフレームを受信した場合、不具合をネットワーク管理システムに報告します。タイムスタンプが適切に機能するように、すべてのコントローラでネットワークタイムプロトコル（NTP）が同期されている必要があります。
イベント報告：AP で異常が検出されるとコントローラに通知されます。コントローラでは、受信した異常イベントが集計され、その結果が SNMP トラップを使用してネットワーク管理システムに報告されます。

インフラストラクチャ MFP はデフォルトで無効になっていて、グローバルに有効にできます。以前のソフトウェアリリースからアップグレードする場合、AP 認証を有効にしていると、インフラストラクチャ MFP はグローバルに無効になります。これら 2 つの機能は相互に排他的であるためです。インフラストラクチャ MFP をグローバルに有効にすると、選択した WLAN に対して署名の生成（送信フレームへの MIC の追加）を無効にでき、選択した AP に対して検証を無効にできます。

（注）

CCXv5 クライアント MFP はサポートされなくなりました。クライアント MFP は、WPA2 に対して設定された WLAN 上でデフォルトでオプションとして有効にされています。ただし、クライアント MFP は Wave 2 AP または 802.11ax Wi-Fi6 AP ではサポートされておらず、CCXv5 をサポートしているクライアントはありません。

サポートされるアクセスポイントモデル

Cisco MFP は、次の AP モデルでサポートされています。

Cisco Aironet 2802、3802、および 4802 シリーズアクセスポイント
Cisco Aironet 2800、3800、4800、1560 シリーズアクセスポイント

サポートされないアクセスポイントモデル

Cisco MFP は、次の AP モデルではサポートされていません。

Cisco Aironet 1800 シリーズアクセスポイント
Cisco 802.11ax アクセスポイント
すべての Cisco IOS アクセスポイント

管理フレーム保護の制約事項

Lightweight アクセスポイントでは、インフラストラクチャ MFP はローカルモードおよび監視モードでサポートされます。アクセスポイントがコントローラに接続しているときは、FlexConnect モードでサポートされます。
クライアント MFP は、TKIP または AES-CCMP で WPA2 を使用する CCXv5 クライアントでの使用のみがサポートされます。
クライアント MFP は、Cisco Wave 1 AP および Cisco Wave 2 AP ではサポートされません。
802.11ax アクセスポイントでは、MFP はサポートされません。
クライアント MFP が無効にされているか、オプションである場合は、非 CCXv5 クライアントが WLAN にアソシエートされる可能性があります。
スタンドアロンモードの FlexConnect アクセスポイントで生成されるエラーレポートは、コントローラに転送することはできず、ドロップされます。
キーは乱数ジェネレータを使用して生成されますが、SHA に変更することによってキーを改善できます。
各 BSSID の MFP キーはサポートされません。

管理フレーム保護の設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless wps mfp 例: `Device(config)# wireless wps mfp`	管理フレーム保護を設定します。
ステップ 3	wireless wps mfp {ap-impersonation \| key-refresh-interval} 例: `Device(config)# wireless wps mfp ap-impersonation` `Device(config)# wireless wps mfp key-refresh-interval`	AP の偽装検出（または）MFP キーの更新間隔を時単位で設定します。 key-refresh-interval：MFP キーの更新間隔を時単位で設定します。有効な範囲は 1 ～ 24 です。デフォルト値は 24 です。
ステップ 4	end 例: `Device(config)# end`	設定を保存し、コンフィギュレーションモードを終了して、特権 EXEC モードに戻ります。

管理フレーム保護の設定の確認

管理フレーム保護（MFP）機能が有効かどうかを確認するには、次のコマンドを使用します。

Device# show wireless wps summary
Client Exclusion Policy
  Excessive 802.11-association failures   : unknown
  Excessive 802.11-authentication failures: unknown
  Excessive 802.1x-authentication         : unknown
  IP-theft                                : unknown
  Excessive Web authentication failure    : unknown
  Failed Qos Policy                       : unknown

Management Frame Protection
  Global Infrastructure MFP state : Enabled
  AP Impersonation detection      : Disabled
  Key refresh interval            : 15

MFP の詳細を表示するには、次のコマンドを使用します。

Device# show wireless wps mfp summary
Management Frame Protection
  Global Infrastructure MFP state : Enabled
  AP Impersonation detection      : Disabled
  Key refresh interval            : 15

MFP の統計情報の詳細を表示するには、次のコマンドを使用します。

Device# show wireless wps mfp statistics
BSSID          Radio DetectorAP                       LastSourceAddr Error           Count     FrameTypes

aabb.ccdd.eeff a     AP3800                           aabb.ccdd.eeff Invalid MIC     10        Beacon, Probe Response
                                                                     Invalid MIC     20        Beacon, Probe Response

アクセスポイントが MFP の検証と保護をサポートしているかどうかを確認するには、次のコマンドを使用します。

Device# show wireless wps mfp ap summary
AP Name                          Radio MAC                Validation            Protection
------------------------------------------------------------------------------------------
AP002A.1087.CBF4                 00a2.eefd.bdc0           Enabled               Enabled   
AP58AC.78DE.9946                 00a2.eeb8.4ae0           Enabled               Enabled   
APb4de.3196.caac                 4c77.6d83.6b90           Enabled               Enabled

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ（Cisco IOS XE 17.15.x）ソフトウェア コンフィギュレーション ガイド