中央 Web 認証

中央 Web 認証について

中央 Web 認証では、Web ポータルとして機能する中央デバイス(この例では ISE)を配置することができます。通常のローカル Web 認証と比較した場合の主な相違点は、MAC フィルタリングまたは dot1x 認証に伴ってレイヤ 2 にシフトされることです。また、RADIUS サーバー(この例では ISE)が、スイッチに対して Web リダイレクションの必要性を指示する特別な属性を返す点も異なります。このソリューションにより、Web 認証を開始する際の遅延が解消されます。

次に、さまざまなタイプの Web 認証方式を示します。

  • ローカル Web 認証(LWA):コントローラ上のレイヤ 3 セキュリティとして設定され、Web 認証ページと事前認証 ACL はコントローラでローカルに設定されます。コントローラは、htttp(s) トラフィックを代行受信し、認証のためにクライアントを内部 Web ページにリダイレクトします。ログインページでクライアントが入力したログイン情報は、コントローラによってローカルに認証されるか、RADIUS サーバーまたは LDAP サーバーを介して認証されます。

  • 外部 Web 認証(EWA):コントローラ上のレイヤ 3 セキュリティとして設定され、コントローラは htttp(s) トラフィックを代行受信し、外部 Web サーバーでホストされているログインページにクライアントをリダイレクトします。ログインページでクライアントが入力したログイン情報は、コントローラによってローカルに認証されるか、RADIUS サーバーまたは LDAP サーバーを介して認証されます。事前認証 ACL は、コントローラで静的に設定されます。

  • 中央 Web 認証(CWA):主にコントローラ上のレイヤ 2 セキュリティとして設定され、リダイレクト URL と事前認証 ACL は ISE 上に存在し、レイヤ 2 認証時にコントローラにプッシュされます。コントローラは、クライアントからのすべての Web トラフィックを ISE ログインページにリダイレクトします。ISE は、HTTPS を介してクライアントによって入力されたログイン情報を検証し、ユーザーを認証します。

クライアントステーションの MAC アドレスがグローバルに RADIUS サーバーに知られていない場合(ただし他の基準を使用することも可能)、サーバーはリダイレクション属性を返し、コントローラ は(MAC フィルタリングを使用して)ステーションを認可しますが、Web トラフィックをポータルへリダイレクトするためのアクセスリストを配置します。

ユーザがゲスト ポータルへログインすると、クライアントの再認証が可能になり、認可変更(CoA)を使用する新しいレイヤ 2 MAC フィルタリングが行われます。これにより、ISE が Web 認証ユーザーだったことが ISE によって記憶され、ISE は、ネットワークにアクセスするために必要な許可属性をコントローラ にプッシュします。


(注)  

  • デュアル VLAN ポスチャを使用する中央 Web 認証(CWA)のシナリオでは、Cisco AireOS と IOS-XE コントローラはそれぞれ 2 回と 3 回の EAPOL ハンドシェイクを実行します。クライアントまたはネットワークの問題が原因で EAPOL ハンドシェイクが中断されたために、クライアントが検疫 VLAN でスタックしている場合、クライアントまたはネットワークの問題を分析する必要があります。

  • ただし、手動でクライアントを切断または再接続して検疫ループから抜け出す(または)AnyConnect で [Scan Again] をクリックする(または)ポスチャリースを有効にする(または)ISE ポスチャ同期機能を使用することができます。

  • コントローラのクライアントサブネットまたは VLAN にスイッチ仮想インターフェイス(SVI)がない場合、コントローラは他の SVI のいずれかを使用し、ルーティングテーブルで定義されているトラフィックを送信する必要があります。これは、トラフィックがネットワークのコアにある別のゲートウェイに送信されることを意味します。このトラフィックはクライアントサブネットに到達します。一般にファイアウォールは、このシナリオのように、同じスイッチを行き来するトラフィックをブロックするため、リダイレクションが正常に機能しない可能性があります。回避策は、ファイアウォールでこの動作を許可することです。

中央 Web 認証の前提条件

  • Cisco Identity Services Engine(ISE)

ISE の設定方法

ISE を設定するには、次の手順に従います。

  1. 認可プロファイルを作成します。

  2. 認証ルールを作成します。

  3. 認可ルールを作成します。

認可プロファイルの作成

手順

ステップ 1

[Policy] をクリックし、[Policy Elements] をクリックします。

ステップ 2

[Results] をクリックします。

ステップ 3

[Authorization] を展開し、[Authorization Profiles] をクリックします。

ステップ 4

[Add] をクリックして、中央 Web 認証用の新しい認可プロファイルを作成します。

ステップ 5

[Name] フィールドに、プロファイルの名前を入力します。たとえば、CentralWebauth と入力します。

ステップ 6

[Access Type] ドロップダウン リストから [ACCESS_ACCEPT] を選択します。

ステップ 7

[Web Redirection (CWA, MDM, NSP, CPP)] チェックボックスをオンにし、ドロップダウン リストから [Centralized Web Auth] を選択します。

ステップ 8

[ACL] フィールドに、リダイレクトするトラフィックを定義する ACL の名前を入力します。たとえば、「redirect」などと入力します。

ステップ 9

[Value] フィールドで、デフォルト値またはカスタマイズされた値を選択します。

[Value] 属性は、ISE がデフォルトの Web ポータルを参照するか、または ISE 管理者が作成したカスタム Web ポータルを参照するかを定義します。

ステップ 10

[Save] をクリックします。

認証ルールの作成

認証プロファイルを使用して認証ルールを作成するには、次の手順に従います。

手順

ステップ 1

[Policy] > [Authentication] ページで、[Authentication] をクリックします。

ステップ 2

認証ルールの名前を入力します。たとえば、「MAB」と入力します。

ステップ 3

[If] 条件フィールドで、プラス([+])アイコンをクリックします。

ステップ 4

[Compound condition] を選択し、[Wireless_MAB] を選択します

ステップ 5

[and ...] の横にある矢印をクリックして、ルールをさらに展開します。

ステップ 6

[Identity Source] フィールドの [+] アイコンをクリックし、[Internal endpoints] を選択します。

ステップ 7

[If user not found] ドロップダウン リストから [Continue] を選択します。

このオプションを使用すると、MAC アドレスが不明な場合でもデバイスを認証できます。

ステップ 8

[Save] をクリックします。

認可ルールの作成

認可ポリシーでは多数のルールを設定できます。このセクションでは [MAC not known] ルールが設定されています。

手順

ステップ 1

[Policy] > [Authorization] をクリックします。

ステップ 2

[Rule Name] フィールドに、名前を入力します。たとえば、「Mac not known」などと入力します。

ステップ 3

[Conditions] フィールドで、プラス([+])アイコンをクリックします。

ステップ 4

[Compound Conditions] を選択し、[Wireless_MAB] を選択します

ステップ 5

設定アイコンで、オプションから [Add Attribute/Value] を選択します。

ステップ 6

[Description] フィールドで、ドロップダウン リストから属性として [Network Access] > [AuthenticationStatus] を選択します。

ステップ 7

[Equals] 演算子を選択します。

ステップ 8

右側のフィールドから、[UnknownUser] を選択します。

ステップ 9

[Permissions] フィールドで、以前に作成した認可プロファイル名を選択します。

ISE は、ユーザー(または MAC)が不明の場合でも続行されます。

これで、不明なユーザーにログイン ページが表示されるようになりました。ただし、ユーザーが自分のログイン情報を入力すると、再び ISE の認証要求が表示されます。そのため、ユーザーがゲスト ユーザーである場合に満たされる条件で別のルールを設定する必要があります。たとえば、「UseridentityGroup Equals Guest」を使用している場合に、すべてのゲストがこのグループに属すると仮定します。

ステップ 10

[Conditions] フィールドで、プラス([+])アイコンをクリックします。

ステップ 11

[Compound Conditions] を選択し、新しい条件の作成を選択します。

新しいルールは「MAC not known」ルールの前に置く必要があります。

ステップ 12

設定アイコンで、オプションから [Add Attribute/Value] を選択します。

ステップ 13

[Description] フィールドで、ドロップダウン リストから属性として [Network Access] > [UseCase] を選択します。

ステップ 14

[Equals] 演算子を選択します。

ステップ 15

右側のフィールドから、[GuestFlow] を選択します。

ステップ 16

[Permissions] フィールドで、プラス([+])アイコンを選択してルールの結果を選択します。

[Standard] > [PermitAccess] オプションを選択するか、または必要な属性を返すカスタム プロファイルを作成できます。

ユーザがログイン ページで承認されると、レイヤ 2 認証の再起動の結果として、ISE により COA がトリガーされます。ユーザーがゲスト ユーザーとして識別されると、ユーザーが承認されます。

コントローラでの中央 Web 認証の設定方法

コントローラで中央 Web 認証を設定するには、次の手順に従います。

  1. WLAN を設定します。

  2. ポリシー プロファイルを設定します。

  3. リダイレクト ACL を設定します。

  4. 中央 Web 認証用の AAA を設定します。

  5. Flex プロファイルでリダイレクト ACL を設定します。

WLAN の設定(GUI)

始める前に

リダイレクト URL と ACL をダウンロードするには、レイヤ 2 認証の MAC フィルタリングを有効にする必要があります。

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[WLANs] ウィンドウで、WLAN の名前をクリックするか、[Add] をクリックして新規に作成します。

ステップ 3

表示される [Add/Edit WLAN] ウィンドウで、[General] タブをクリックして次のパラメータを設定します。

  • [Profile Name]フィールドで、プロファイルの名前を入力または編集します。

  • [SSID] フィールドで、SSID 名を入力または編集します。

    SSID 名には、最大 32 文字の英数字を使用できます。

  • [WLAN ID] フィールドで、ID 番号を入力するか編集します。有効な範囲は 1 ~ 512 です。

  • [Radio Policy] ドロップダウンリストから、[802.11] 無線帯域を選択します。

  • [Broadcast SSID] トグルボタンを使用して、ステータスを [Enabled] または [Disabled] に変更します。

  • [Status] トグルボタンを使用して、ステータスを [Enabled] または [Disabled] に変更します。

ステップ 4

[Security] タブ、[Layer 2] タブの順にクリックして、次のパラメータを設定します。

  • [Layer 2 Security Mode] ドロップダウンリストから、[None] を選択します。この設定により、レイヤ 2 セキュリティが無効になります。

  • [Reassociation Timeout] の値(秒単位)を入力します。これは、高速移行の再アソシエーションがタイムアウトするまでの時間です。

  • 分散システム経由の高速移行を有効にするには、[Over the DS] チェック ボックスをオンにします。

  • OWE を選択すると、Opportunistic Wireless Encryption(OWE)によって、AP 無線とワイヤレスクライアント間の無線暗号化によるデータの機密性が提供されます。OWE 移行モードは、一種の下位互換性を提供することを目的としています。

  • 高速移行を選択すると、高速ローミングの IEEE 標準である 802.11r によって、対応するクライアントがターゲットアクセスポイントにローミングする前でも、新しい AP との最初のハンドシェイクが実行されるローミングの新しい概念が導入されます。この概念は高速移行と呼ばれます。

  • WLAN で MAC フィルタリングを有効にするには、チェックボックスをオンにします。

  • [Lobby Admin Access] チェックボックスをオンにして、ロビー管理者アクセスを有効にします。

ステップ 5

[Save & Apply to Device] をクリックします。

WLAN の設定(CLI)

コマンドを使用して、WLAN を設定します。

(注)  

リダイレクト URL と ACL をダウンロードするには、レイヤ 2 認証の MAC フィルタリングを有効にする必要があります。

WLAN の設定を完了後、変更がすべての AP にプッシュされていない場合、次の Syslog メッセージが表示されます。

2021/01/06 16:20:00.597927186 {wncd_x_R0-4}{1}: [wlanmgr-db] [20583]: UUID: 0, ra: 0, TID: 0 (note): Unable to push WLAN config changes to all APs, cleanup required for WlanId: 2, profile: wlan1 state: Delete pending

前述の Syslog メッセージが 6 分以上表示される場合は、コントローラをリロードします。

コントローラがリロードせず、まだ Syslog メッセージが表示されている場合は、アーカイブログ、wncd コアファイルを収集し、リンク(Support Case Manager)をクリックしてケースを提起します。

手順

  コマンドまたはアクション 目的

ステップ 1

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan wlanProfileName 1 ngwcSSID

WLAN コンフィギュレーション サブモードを開始します。

wlan-name は、設定されている WLAN の名前です。

wlan-id はワイヤレス LAN の ID です。指定できる範囲は 1 ~ 512 です。

SSID-name は、最大 32 文字の英数字からなる SSID 名です。

(注)  

 

すでにこのコマンドを設定している場合は、wlan wlan-name コマンドを入力します。

ステップ 2

mac-filtering [name]

例:

Device(config-wlan)# mac-filtering name

WLAN での MAC フィルタリングを有効にします。

(注)  

 

認証リストを事前に設定していない場合は、MAC フィルタリングの設定時にデフォルトの認証リストが仮定されます。

ステップ 3

no security wpa

例:

Device(config-wlan)# no security wpa

WPA セキュリティを無効にします。

ステップ 4

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ステップ 5

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

 

Device# config terminal
Device(config)# wlan wlanProfileName 1 ngwcSSID
Device(config-wlan)# mac-filtering default
Device(config-wlan)# no security wpa
Device(config-wlan)# no shutdown
Device(config-wlan)# end

ポリシー プロファイルの設定(CLI)

コマンドを使用してポリシープロファイルを設定します。

(注)  

AAA または ISE サーバーからのポリシーを適用するには、AAA オーバーライドが必要です。リダイレクト URL とリダイレクト ACL を ISE サーバーから受信すると、NAC を使用して中央 Web 認証(CWA)がトリガーされます。

クライアントが関連付けられるポリシープロファイルで、NAC と AAA オーバーライドの両方が使用可能である必要があります。

AP が他のどのポリシープロファイルにも関連付けられていない場合、デフォルト ポリシー プロファイルが AP に関連付けられます。

手順

  コマンドまたはアクション 目的

ステップ 1

wireless profile policy default-policy-profile

例:

Device(config)# wireless profile policy default-policy-profile

ポリシープロファイルを設定します。

ステップ 2

vlan vlan-id

例:

Device(config-wireless-policy)# vlan 41

VLAN をポリシープロファイルにマッピングします。vlan-id を指定しない場合は、デフォルトのネイティブの vlan 1 が適用されます。vlan-id の有効な範囲は 1 ~ 4096 です。

ポリシープロファイルに VLAN が設定されていない場合、管理 VLAN が適用されます。

ステップ 3

aaa-override

例:

Device(config-wireless-policy)# aaa-override

AAA サーバーまたは ISE サーバーから受信したポリシーを適用するように AAA オーバーライドを設定します。

ステップ 4

nac

例:

Device(config-wireless-policy)# nac

ポリシープロファイルでネットワーク アクセス コントロールを設定します。NAC は、中央 Web 認証(CWA)をトリガーするために使用されます。

ステップ 5

no shutdown

例:

Device(config-wireless-policy)# no shutdown

WLAN を有効にします。

ステップ 6

end

例:

Device(config-wireless-policy)# end

特権 EXEC モードに戻ります。

 

Device# configure terminal
Device(config)# wireless profile policy default-policy-profile
Device(config-wireless-policy)# vlan 41
Device(config-wireless-policy)# aaa-override
Device(config-wireless-policy)# nac
Device(config-wireless-policy)# no shutdown
Device(config-wireless-policy)# end

ポリシー プロファイルの設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Policy] を選択します。

ステップ 2

[Policy Profile] ページで、[Add] をクリックします。

ステップ 3

[Add Policy Profile] ウィンドウの [General] タブで、ポリシー プロファイルの名前と説明を入力します。

ステップ 4

ポリシー プロファイルを有効にするには、[Status] を [Enabled] に設定します。

ステップ 5

スライダを使用して、[Passive Client] と [Encrypted Traffic Analytics] を有効または無効にします。

ステップ 6

(任意) [CTS Policy] セクションで、次について適切なステータスを選択します。

  • [Inline Tagging]:コントローラ 組み込みワイヤレスコントローラまたはアクセスポイントが送信元 SGT を認識するために使用するトランスポートメカニズム。

  • [SGACL Enforcement]

ステップ 7

デフォルトの SGT を指定します。有効な範囲は 2 ~ 65519 です。

ステップ 8

[WLAN Switching Policy] セクションで、必要に応じて次を選択します。

  • [Central Switching]

  • [Central Authentication]

  • [Central DHCP]

  • [Central Association Enable]

  • [Flex NAT/PAT]

ステップ 9

[Save & Apply to Device] をクリックします。

リダイレクト ACL の作成

リダイレクト ACL は、コントローラ(または FlexConnect ローカルスイッチングの場合は AP)で事前定義する必要があるパント ACL です。AAA サーバーは、定義ではなく ACL の名前を返します。リダイレクト ACL は、データプレーンの通過を許可されるトラフィック(リダイレクトを拒否する「拒否」ステートメントに一致)と、さらなる処理(この場合は Web インターセプトとリダイレクト)のためにコントロールプレーンに送信されて CPU に向かうトラフィック(「許可」ステートメントに一致)を定義します。ACL には、LWA の場合と同様に、すべての IP への DHCP および DNS トラフィックを許可する暗黙の(つまり、隠れた)ステートメントがあります。また、セキュリティ ACL が暗黙的に拒否するというステートメントで終わります。

手順

  コマンドまたはアクション 目的

ステップ 1

ip access-list extended redirect

例:

Device(config)# ip access-list extended redirect

ISE がリダイレクト ACL(redirect という名前)を使用するように設定されているため、HTTP および HTTPS ブラウジングは(他の ACL ごとの)認証なしでは機能しません。

ステップ 2

deny ip any host ISE-IP-add

例:

Device(config)# deny ip any host 123.123.134.112

ISE へのトラフィックを許可し、その他のすべてのトラフィックをブロックします。

ステップ 3

deny ip host ISE-IP-add any

例:

Device(config)# deny ip host 123.123.134.112 any

ISE へのトラフィックを許可し、その他のすべてのトラフィックをブロックします。

(注)  

 

この ACL は、ローカル モードと flex モードの両方に適用できます。

ステップ 4

permit TCP any any eq web address/port-number

例:

HTTP の場合:
Device(config)# permit TCP any any eq www

Device(config)# permit TCP any any eq 80

例:

HTTPS の場合:
Device(config)# permit TCP any any eq 443

ISE ログイン ページへのすべての HTTP または HTTPS アクセスをリダイレクトします。HTTP ではポート番号 80 が使用され、HTTPS では ポート番号 443 が使用されます。

ACE が ISE へのトラフィックを許可するには、ISE を HTTP/HTTPS ACE の上に設定する必要があります。

ステップ 5

end

例:

Device(config)# end

特権 EXEC モードに戻ります。

中央 Web 認証用の AAA の設定

手順

  コマンドまたはアクション 目的

ステップ 1

aaa server radius dynamic-author

例:

Device(config)# aaa server radius dynamic-author

コントローラの認可変更(CoA)を設定します。

ステップ 2

client ISE-IP-add server-key radius-shared-secret

例:

Device(config-locsvr-da-radius)# client 123.123.134.112 server-key 
0 SECRET

RADIUS クライアントと RADIUS キーがデバイスと RADIUS クライアントの間で共有されるように指定します。

ISE-IP-add は RADIUS クライアントの IP アドレスです。

server-key は RADIUS クライアントのサーバーキーです。

radius-shared-secret の内容は以下のとおりです。

  • 0:暗号化されていないキーを指定します。

  • 6:暗号化されたキーを指定します。

  • 7:「隠し」キーを指定します。

  • Word:暗号化されていない(クリアテキスト)サーバー キー。

GUI で WSMA データを設定する場合、RADIUS 共有秘密は 240 文字を超えることはできません。

(注)  

 

これらのステップはすべて、AAA が設定されている場合にのみ機能します。詳細については、「AAA 認証の設定」を参照してください。

 

Device# config terminal
Device(config)# aaa server radius dynamic-author
Device(config-locsvr-da-radius)# client 123.123.134.112 server-key 0 SECRET
Device(config-locsvr-da-radius)# end

Flex プロファイルでのリダイレクト ACL の設定(GUI)

リダイレクト ACL の定義を FlexConnect プロファイル内のアクセス ポイントに送信する必要があります。それには、AP に関連付けられているリダイレクト ACL を、クライアントがホストされている FlexConnect プロファイルに設定する必要があります。アクセス ポイントがどの FlexConnect プロファイルでも設定されていない場合は、デフォルトの FlexConnect プロファイルが関連付けられます。

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Flex] > > を選択します。

ステップ 2

[Flex Profile] ページで、 FlexConnect プロファイルの名前をクリックするか、[Add] をクリックして新しい FlexConnect プロファイルを作成します。

ステップ 3

表示される [Add/Edit Flex Profile] ウィンドウで、[Policy ACL] タブをクリックします。

ステップ 4

[Add] をクリックして、ACL を FlexConnect プロファイルにマッピングします。

ステップ 5

ACL 名を選択し、中央 Web 認証を有効にして、認証 URL フィルタを指定します。

ステップ 6

[Save] をクリックします。

ステップ 7

[Update & Apply to Device] をクリックします。

Flex プロファイルでのリダイレクト ACL の設定(CLI)

リダイレクト ACL の定義を Flex プロファイル内のアクセス ポイントに送信する必要があります。それには、AP に関連付けられているリダイレクト ACL を、クライアントがホストされている Flex プロファイルに設定する必要があります。アクセス ポイントがどの Flex プロファイルでも設定されていない場合は、デフォルトの Flex プロファイルが関連付けられます。


(注)  

ACL が AP にプッシュされると、許可が deny から permit に、またはその逆に変更される必要があります。ACL にオブジェクトグループが含まれている場合、この変更は行われないため、ACL が完全に変換されず、リダイレクトが失敗する可能性があります。

手順

  コマンドまたはアクション 目的

ステップ 1

wireless profile flex default-flex-profile

例:

Device(config)# wireless profile flex default-flex-profile

新しい Flex ポリシーを作成します。デフォルトの Flex プロファイル名は default-flex-profile です。

ステップ 2

acl-policy acl policy name

例:

Device(config-wireless-flex-profile)# acl-policy acl1

ACL ポリシーを設定します。

ステップ 3

central-webauth

例:

Device(config-wireless-flex-profile-acl)# central-webauth

中央 Web 認証を設定します。

ステップ 4

end

例:

Device(config-wireless-flex-profile-acl)# end

特権 EXEC モードに戻ります。

中央 Web 認証のトラブルシューティング

初期状態タイマーが時間切れになる

問題 問題:ユーザーが限られた時間内にログイン情報の入力に失敗すると、クライアントデバイスがコントローラによって認証解除されます。クライアントは、コントローラの初期状態タイムアウトに設定された時間を 3 倍にした時間後に認証解除されます。

問題 説明:初期化状態タイムアウトは中央 Web 認証に直接適用されないため、これは正常な機能です。クライアント認証解除の時間間隔(秒単位)を決定するのは、初期状態時間の 3 倍に 5 秒を加えたリープタイマーの値(3*init-state timeout + 5)です。たとえば、初期状態タイムアウトを 10 秒に設定した場合、ユーザーが 35 秒((3*10 + 5) = 35 秒)経過後にログイン情報の入力に失敗すると、クライアントデバイスの認証は解除されます。

スリープ状態にあるクライアントの認証

スリープ状態にあるクライアントの認証について

Web 認証に成功したゲスト アクセスを持つクライアントは、ログイン ページから別の認証プロセスを実行せずにスリープおよび復帰することを許可されています。再認証が必要になるまでスリープ状態にあるクライアントが記録される期間を設定できます。有効範囲は 10 ~ 43200 分、デフォルトは 720 分です。この期間は、WLAN にマッピングされている WebAuth パラメータマップでも設定できます。スリープ状態にあるクライアントのタイマーは、アイドルタイムアウト、セッションタイムアウト、WLAN の無効化、AP の停止などのインスタンスが原因で有効になることに注意してください。

この機能は FlexConnect のローカル スイッチング、中央認証のシナリオでサポートされています。


注意    
スリープ モードに切り替わったクライアント MAC アドレスがスプーフィングされた場合、ラップトップなどの偽のデバイスを認証することができます。

モビリティのシナリオ

次に、モビリティ シナリオでの注意事項を示します。

  • 同じサブネットの L2 ローミングがサポートされています。

  • アンカー スリープ タイマーを適用できます。

  • スリープ状態にあるクライアントの情報は、クライアントがアンカー間を移動する場合に、複数の自動アンカー間で共有されます。

スリープ状態にあるクライアントは、次のシナリオでは再認証が必要ありません。

  • モビリティグループに 2 台のコントローラ があるとします。1 台のコントローラ に関連付けられているクライアントがスリープ状態になり、その後復帰して他方のコントローラ に関連付けられます。

  • モビリティグループに 3 台のコントローラ があるとします。1 台目のコントローラ にアンカーされた 2 台目のコントローラに関連付けられたクライアントは、スリープ状態から復帰して、3 台目のコントローラ に関連付けられます。

  • クライアントはスリープ状態から復帰して、エクスポートアンカーにアンカーされた同じまたは別のエクスポート フォーリン コントローラ に関連付けられます。

スリープ状態にあるクライアントの認証に関する制約事項

  • スリープ クライアント機能は、WebAuth セキュリティが設定された WLAN に対してのみ動作します。

  • スリープ状態にあるクライアントは、WebAuth パラメータマップごとにのみ設定できます。

  • スリープ状態にあるクライアントの認証機能は、レイヤ 3 セキュリティが有効な WLAN でのみサポートされています。

  • レイヤ 3 セキュリティでは、認証、パススルー、および On MAC Filter 失敗 Web ポリシーがサポートされています。条件付き Web リダイレクトとスプラッシュ ページ Web リダイレクト Web ポリシーはサポートされていません。

  • スリープ状態にあるクライアントの中央 Web 認証はサポートされていません。

  • スリープ状態にあるクライアントの認証機能は、ゲスト LAN およびリモート LAN ではサポートされていません。

  • ローカル ユーザー ポリシーを持つスリープ状態のゲスト アクセス クライアントはサポートされていません。この場合、WLAN 固有のタイマーが適用されます。

スリープ状態のクライアントの認証の設定(GUI)

手順

ステップ 1

[Configuration] > [Security] > [Web Auth]を選択します。

ステップ 2

[Webauth Parameter Map] タブで、パラメータ マップ名をクリックします。[Edit WebAuth Parameter] ウィンドウが表示されます。

ステップ 3

[Sleeping Client Status] チェックボックスをオンにします。

ステップ 4

[Update & Apply to Device] をクリックします。

スリープ状態のクライアントの認証の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

[no] parameter-map type webauth {parameter-map-name | global}

例:

Device(config)# parameter-map type webauth global

パラメータ マップを作成し、parameter-map webauth コンフィギュレーション モードを開始します。

ステップ 2

sleeping-client [ timeout time]

例:

Device(config-params-parameter-map)# sleeping-client timeout 100

スリープ状態のクライアントのタイムアウトを 100 分に設定します。有効な範囲は 10 ~ 43200 分です。

(注)  

 

タイムアウト キーワードを使用しない場合、スリープ状態のクライアントにはデフォルトのタイムアウト値である 720 分が設定されます。

ステップ 3

end

parameter-map webauth コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 4

(任意) show wireless client sleeping-client

例:

Device# show wireless client sleeping-client
 (任意)

クライアントの MAC アドレスと、それぞれのセッションの残り時間を表示します。

ステップ 5

(任意) clear wireless client sleeping-client [ mac-address mac-addr]

例:

Device# clear wireless client sleeping-client 
mac-address 00e1.e1e1.0001
 (任意)

  • clear wireless client sleeping-client :スリープ状態のクライアント キャッシュからスリープ状態のクライアント エントリをすべて削除します。

  • clear wireless client sleeping-client mac-address mac-addr :スリープ状態のクライアント キャッシュから特定の MAC エントリを削除します。

複数の認証があるスリープ状態クライアント

スリープ状態クライアントのモビリティのサポート

リリース 17.1.1 以降では、ゲストおよび非ゲストのスリープ状態にあるクライアントについてモビリティがサポートされます。

複数の認証においてサポートされている組み合わせ

複数の認証機能では、WLAN プロファイルで設定されたスリープ状態クライアントがサポートされます。

次の表に、複数の認証においてサポートされている組み合わせの概要を示します。

表 1. 複数の認証においてサポートされている組み合わせ

レイヤ 2

レイヤ 3

サポート対象

MAB

LWA

対応

MAB のエラー

LWA

対応

Dot1x

LWA

対応

PSK

LWA

対応

複数の認証があるスリープ状態クライアントの設定

Dot1x およびローカル Web 認証用の WLAN の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_name

例:

Device(config)# wlan wlan-test 3 ssid-test

WLAN コンフィギュレーション サブモードを開始します。

  • profile-name:設定されている WLAN のプロファイル名。

  • wlan-id:ワイヤレス LAN の ID。範囲は 1 ~ 512 です。

  • SSID_Name:SSID は最大 32 文字の英数字で構成されます。

ステップ 3

security dot1x authentication-list auth-list-name

例:

Device(config-wlan)#  security dot1x authentication-list default

dot1x セキュリティ用のセキュリティ認証リストを有効にします。この設定は、すべての dot1x セキュリティ WLAN で類似しています。

ステップ 4

security web-auth

例:

Device(config-wlan)#  security web-auth

Web 認証を設定します。

ステップ 5

security web-auth authentication-list authenticate-list-name

例:

Device(config-wlan)#  security web-auth authentication-list default

dot1x セキュリティ用の認証リストを有効にします。

ステップ 6

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth parameter-map global

パラメータ マップをマッピングします。

注:パラメータマップが WLAN に関連付けられていない場合は、グローバルパラメータマップの設定と見なされます。

ステップ 7

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

MAC 認証バイパスおよびローカル Web 認証用の WLAN の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_name

例:

Device(config)# wlan wlan-test 3 ssid-test

WLAN コンフィギュレーション サブモードを開始します。

  • profile-name:設定されている WLAN のプロファイル名。

  • wlan-id:ワイヤレス LAN の ID。範囲は 1 ~ 512 です。

  • SSID_Name:SSID は最大 32 文字の英数字で構成されます。

ステップ 3

mac-filtering list-name

例:

Device(config-wlan)#  mac-filtering cat-radius

MAC フィルタリング パラメータを設定します。

ステップ 4

no security wpa akm dot1x

例:

Device(config-wlan)#  no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 5

no security wpa wpa2 ciphers aes

例:

Device(config-wlan)# no security wpa wpa2 ciphers aes

WPA2 暗号を無効にします。

aes:WPA/AES のサポートを指定する暗号化タイプ。

ステップ 6

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth parameter-map global

パラメータ マップをマッピングします。

:パラメータマップが WLAN に関連付けられていない場合は、グローバルパラメータマップの設定と見なされます。

ステップ 7

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ローカル Web 認証および MAC フィルタリング用の WLAN の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_name

例:

Device(config)# wlan wlan-test 3 ssid-test

WLAN コンフィギュレーション サブモードを開始します。

  • profile-name:設定されている WLAN のプロファイル名。

  • wlan-id:ワイヤレス LAN の ID。範囲は 1 ~ 512 です。

  • SSID_Name:SSID は最大 32 文字の英数字で構成されます。

ステップ 3

mac-filtering list-name

例:

Device(config-wlan)#  mac-filtering cat-radius

MAC フィルタリング パラメータを設定します。

ステップ 4

no security wpa akm dot1x

例:

Device(config-wlan)#  no security wpa akm dot1x

dot1x のセキュリティ認証キー管理 (AKM)を無効にします。

ステップ 5

no security wpa wpa2 ciphers aes

例:

Device(config-wlan)# no security wpa wpa2 ciphers aes

WPA2 暗号を無効にします。

aes:WPA/AES のサポートを指定する暗号化タイプ。

ステップ 6

security web-auth on-macfilter-failure

例:

Device(config-wlan)# security web-auth on-macfilter-failure wlan-id

MAC フィルタリングおよび Web 認証を伴うフォールバックポリシーを設定します。

ステップ 7

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth parameter-map global

パラメータ マップをマッピングします。

注:パラメータマップが WLAN に関連付けられていない場合は、グローバルパラメータマップの設定と見なされます。

ステップ 8

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

WLAN での PSK + LWA の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_name

例:

Device(config)# wlan wlan-test 3 ssid-test

WLAN コンフィギュレーション サブモードを開始します。

  • profile-name:設定されている WLAN のプロファイル名。

  • wlan-id:ワイヤレス LAN の ID。範囲は 1 ~ 512 です。

  • SSID_Name:SSID は最大 32 文字の英数字で構成されます。

ステップ 3

no security wpa akm dot1x

例:

Device(config-wlan)#  no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 4

security web-auth

例:

Device(config-wlan)#  security web-auth

WLAN の Web 認証を有効にします。

ステップ 5

no security wpa wpa2 ciphers aes

例:

Device(config-wlan)# no security wpa wpa2 ciphers aes

WPA2 暗号を無効にします。

aes:WPA/AES のサポートを指定する暗号化タイプ。

ステップ 6

security wpa psk set-key ascii ascii/hex key

例:

Device(config-wlan)# security wpa psk set-key ascii 0 1234567

WLAN の事前共有キーを設定します。

ステップ 7

security wpa akm psk

例:

Device(config-wlan)# security wpa akm psk

PSK サポートを設定します。

ステップ 8

security web-auth authentication-list authenticate-list-name

例:

Device(config-wlan)#  security web-auth authentication-list default

dot1x セキュリティ用の認証リストを有効にします。

ステップ 9

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth parameter-map global

パラメータ マップをマッピングします。

注:パラメータマップが WLAN に関連付けられていない場合は、グローバルパラメータマップの設定と見なされます。

スリープ状態にあるクライアントの設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type webauth {parameter-map-name | global}

例:

Device(config)# parameter-map type webauth MAP-2

パラメータマップを作成し、parameter-map-name コンフィギュレーション モードを開始します。

グローバルキーワードで定義されたグローバルパラメータマップでサポートされる特定のコンフィギュレーション コマンドは、parameter-map-name 引数で定義された名前付きパラメータマップでサポートされるコマンドとは異なります。

ステップ 3

sleeping client [ timeout time]

例:

Device(config-params-parameter-map)#  sleeping-client timeout 60

スリープ状態にあるクライアントのタイムアウトを分単位で設定します。time 引数で使用可能な範囲は 10 ~ 43200 です。

注:timeout キーワードを使用しない場合、スリープ状態にあるクライアントにはデフォルトのタイムアウト値である 720 分が設定されます。

スリープ状態にあるクライアントの設定の確認

スリープ状態にあるクライアントの設定を確認するには、次のコマンドを使用します。

Device# show wireless client sleeping-client
Total number of sleeping-client entries: 1

MAC Address                    Remaining time (mm:ss)    
--------------------------------------------------------
2477.031b.aa18                 59:56