Opportunistic Key Caching

Opportunistic Key Caching について

Opportunistic Key Caching(OKC)は、WPA2 ペアワイズマスターキー ID(PMKID)キャッシングメソッドの拡張であり、Proactive または Opportunistic PMKID Caching とも呼ばれます。PMKID キャッシングと同様に、OKC は WPA2-EAP で動作します。

OKC 技術を使用すると、ワイヤレスクライアントと WLAN インフラストラクチャは、WPA2 4 ウェイハンドシェイクに使用される元の PMK をすべて共有するため、複数の AP 間でローミングする場合でも、WLAN とのクライアント関連付け用に 1 つの PMK のみをキャッシュできます。これは、クライアントが AP に再関連付けされるたびに新しい暗号化キーを生成するために必要です。AP がクライアントセッションからの元の PMK を共有するためには、すべての AP を、元の PMK をキャッシュしてすべての AP に配布する一元化されたデバイス下に置く必要があります。

PMKID キャッシングと同様、AP への最初の関連付けは、対応する WLAN への通常の初回認証です。データフレームを送信する前に、認証サーバーに対する 802.1X/EAP 認証全体と、キー生成用の 4 ウェイハンドシェイクを完了しておく必要があります。

OKC は、Microsoft および一部の Android クライアントでサポートされる高速ローミング技術です。もう 1 つの高速ローミング方式は 802.11r を使用する方法で、Apple および一部の Android クライアントでサポートされています。WLAN では、デフォルトで OKC が有効になっています。この設定により、WLAN で OKC を制御することができます。WLAN で OKC を無効にすると、OKC がサポートされているクライアントに対しても OKC が無効になります。

Cisco IOS XE Amsterdam 17.2.1 では、コントローラの WLAN ごとに新しい設定が導入され、対応する AP で OKC を使用した高速かつ安全なローミングを無効または有効にします。

Opportunistic Key Caching の有効化

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name wlan-identifier <1-4096> ssid-network-name

例:

Device(config)# wlan wlan-profile-name 18 san-ssid

WLAN コンフィギュレーション サブモードを開始します。wlan-profile-name:設定された WLAN のプロファイル名。

ステップ 3

okc

例:

Device(config-wlan)# okc

Opportunistic Key Caching を有効にします(有効になっていない場合)。デフォルトでは、OKC 機能は有効です(OKC 機能を無効にするには、このコマンドの no 形式を使用します)。

Opportunistic Key Caching の有効化(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

[Add WLAN] ダイアログボックスが表示されます。

ステップ 3

[Add WLAN] ダイアログボックスで、[Advanced] タブをクリックし、次の手順を実行します。

  1. [11ax] セクションで、[OKC] チェックボックスをクリックして、この機能を無効または有効にします。デフォルトでは、この機能は有効です。

  2. [Update & Apply to Device] をクリックします。

Opportunistic Key Caching の確認

次に、WLAN プロファイルで OKC が無効になっているかどうかを確認する例を示します。

  • Device# show wlan id 18 
WLAN Profile Name     : 18%wlanprofile
================================================
Identifier                                     : 18
Description                                    :
Network Name (SSID)                            : san-ssid
Status                                         : Disabled
Broadcast SSID                                 : Enabled
Advertise-Apname                               : Disabled
Universal AP Admin                             : Disabled
Max Associated Clients per WLAN                : 0
Max Associated Clients per AP per WLAN         : 0
Max Associated Clients per AP Radio per WLAN   : 200
OKC                                            : Disabled
Number of Active Clients                       : 0
CHD per WLAN                                   : Enabled
WMM                                            : Allowed
Channel Scan Defer Priority:
  Priority (default)                           : 5
  Priority (default)                           : 6
Scan Defer Time (msecs)                        : 100
Media Stream Multicast-direct                  : Disabled
CCX - AironetIe Support                        : Disabled
Peer-to-Peer Blocking Action                   : Disabled
Radio Policy                                   : All
  • Device# show run wlan 
wlan name 2 ssid-name
wlan test 24 test
wlan test2 15 test2
wlan test4 12 testssid
 radio dot11a
wlan wlan1 234 wlan1
wlan wlan2 14 wlan-aaa
 security dot1x authentication-list realm
wlan wlan7 27 wlan7
wlan test23 17 test23
wlan wlan_1 4 ssid_name
 security dot1x authentication-list authenticate_list_name
wlan wlan_3 5 ssid_3
 security wpa wpa1
 security wpa wpa1 ciphers aes
wlan wlan_8 9 ssid_name
 no security wpa
 no security wpa wpa2
 no security wpa wpa2 ciphers aes
 no security wpa akm dot1x
 security web-auth
wlan test-wlan 23 test-wlan
wlan wlan-test 1 wlan2
 mac-filtering default
wlan 18%wlanprofile 18 san-ssid
 no okc