WLAN セキュリティ

WPA1 および WPA2 について

Wi-Fi Protected Access(WPA または WPA1)および WPA2 は、無線 LAN システム用のデータ保護とアクセス コントロールを提供する Wi-Fi Alliance の規格ベースのセキュリティ ソリューションです。WPA1 は、IEEE 802.11i 規格に準拠していますが、規格の承認前に実装されたものです。これに対して、WPA2 は、承認された IEEE 802.11i 規格が Wi-Fi Alliance によって実装されています。

デフォルトで、WPA1 ではデータの保護に Temporal Key Integrity Protocol(TKIP)およびメッセージ整合性チェック(MIC)が使用されますが、WPA2 では Counter Mode with Cipher Block Chaining Message Authentication Code Protocol を使用したより強力な Advanced Encryption Standard 暗号化アルゴリズム(AES-CCMP)が使用されます。デフォルトでは、WPA1 および WPA2 のどちらも 802.1X を使用して認証キー管理を行います。ただし、次の方法も使用できます。

  • PSK:PSK(WPA 事前共有キーまたは WPA パスフレーズとも呼ばれます)を選択した場合は、事前共有キー(またはパスフレーズ)を設定する必要があります。このキーは、クライアントと認証サーバーの間でペアワイズ マスター キー(PMK)として使用されます。

  • Cisco Centralized Key Management では、迅速なキーの再生成技術が使用されているため、クライアントは通常 150 ミリ秒(ms)以下で、コントローラ を経由せずにアクセスポイント間をローミングできます。Cisco Centralized Key Management により、クライアントが新しいアクセスポイントと相互に認証を行い、再アソシエーション時に新しいセッションキーを取得するために必要な時間が短縮されます。Cisco Centralized Key Management の迅速かつ安全なローミングにより、ワイヤレス VoIP(Voice over IP)、エンタープライズ リソース プランニング(ERP)、Citrix ベースのソリューションなどの時間依存型アプリケーションにおいて認識できるほどの遅延は発生しません。Cisco Centralized Key Management は、CCXv4 に準拠した機能です。Cisco Centralized Key Management が選択されている場合、Cisco Centralized Key Management クライアントのみがサポートされます。

    Cisco Centralized Key Management が有効になっている場合、アクセスポイントの動作は、高速ローミングのコントローラ と次の点で異なります。

    • クライアントから送信されるアソシエーション要求の Robust Secure Network Information Element(RSN IE)で Cisco Centralized Key Management が有効になっているが、Cisco Centralized Key Management IE はエンコードされておらず、PMKID だけが RSN IE でエンコードされている場合、コントローラ では完全な認証は行われません。代わりに、コントローラ は PMKID を検証し、4 ウェイハンドシェイクを行います。

    • クライアントから送信されるアソシエーション要求の RSN IE で Cisco Centralized Key Management が有効になっていて、Cisco Centralized Key Management IE がエンコードされており、PMKID だけが RSN IE に存在する場合、AP は完全な認証を実行します。Cisco Centralized Key Management が RSN IE で有効になっている場合、このアクセスポイントではアソシエーション要求と一緒に送信される PMKID は使用されません。

  • 802.1X + Cisco Centralized Key Management:通常動作の間、802.1X が有効になっているクライアントは、主要な RADIUS サーバーとの通信を含む完全な 802.1X 認証を実行することで、新しいアクセスポイントとの相互認証を実行します。ただし、802.1X および Cisco Centralized Key Management の迅速で安全なローミング用に WLAN を設定した場合、Cisco Centralized Key Management が有効になっているクライアントは、RADIUS サーバーに対して再認証せずにアクセスポイント間を安全にローミングします。802.1X + Cisco Centralized Key Management は、オプションの Cisco Centralized Key Management と見なされており、このオプションを選択すると、Cisco Centralized Key Management クライアントと Cisco Centralized Key Management 以外のクライアントの両方がサポートされます。

単一の WLAN で、WPA1、WPA2、および 802.1X/PSK/Cisco Centralized Key Management/802.1X + Cisco Centralized Key Management クライアントの接続を許可できます。このような WLAN のアクセスポイントはいずれも、ビーコンとプローブ応答で WPA1、WPA2、および 802.1X/PSK/Cisco Centralized Key Management/
802.1X + Cisco Centralized Key Management 情報要素をアドバタイズします。WPA1 または WPA2、あるいは両方を有効にした場合は、データ トラフィックを保護するために設計された 1 つまたは 2 つの暗号方式(暗号化アルゴリズム)を有効にすることもできます。具体的には、WPA1 または WPA2、あるいはその両方に対して、AES または TKIP、またはその両方を有効にすることができます。TKIP は WPA1 のデフォルト値で、AES は WPA2 のデフォルト値です。

AAA Override について

WLAN の AAA Override オプションを使用すると、WLAN で Identity ネットワーキングを設定できます。これにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、Quality Of Service (QoS)、およびアクセス コントロール リスト (ACL) を適用することができます。

AAA Override の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile policy profile-policy

例:

Device(config)# wireless profile policy test-wgb

WLAN ポリシー プロファイルを設定し、ワイヤレス ポリシー コンフィギュレーション モードを開始します。

ステップ 3

aaa-override

例:

Device(config-wireless-policy)# aaa-override

AAA ポリシーのオーバーライドを設定します。

(注)  

 

VLAN が RADIUS サーバーからプッシュされない場合、RADIUS サーバーから VLAN オーバーライド機能を無効にすることができます。

ステップ 4

end

例:

Device(config-wireless-policy)# end

特権 EXEC モードに戻ります。

また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

VLAN オーバーライドについて

VLAN オーバーライドでは、ポリシープロファイルで AAA オーバーライドを有効にする必要があります。

次の 2 つの方法で RADIUS サーバーから VLAN を割り当てることができます。

  • IEFT RADIUS 属性 64、65、および 81 を使用する:属性 81 には、VLAN ID、VLAN 名、または VLAN グループ名を使用できます。VLAN 名と VLAN グループの両方がサポートされています。したがって、VLAN ID を RADIUS で事前に決めておく必要はありません。

    VLAN ID の割り当てに使用される RADIUS ユーザー属性は次のとおりです。

    • 64(トンネルタイプ):VLAN(整数 = 13)に設定する必要があります。

    • 65(中間タイプ):802(整数 = 6)に設定する必要があります。

    • 81(トンネルプライベートグループ ID):対応する VLAN ID、VLAN 名、または VLAN グループ名に設定する必要があります。

  • Aire-Interface-Name 属性を使用する:ユーザー設定に従って、正常に認証されたユーザーを VLAN インターフェイス名(または VLAN ID)に割り当てるには、この属性を使用します。この属性を使用すると、VLAN 名が文字列として返されます。

VLAN ID は、1 ~ 4094(両端の値を含む)の 12 ビット値です。RFC 2868 で定義されているように、IEEE 802.1X で使用される Tunnel-Private-Group-ID は文字列型であるため、VLAN ID の整数値は文字列としてエンコードされます。これらのトンネル属性を送信するときは、[Tag] フィールドに値を入力する必要があります。

中央スイッチング用のオーバーライド VLAN の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

vlan vlan-id

例:

Device(config)# vlan 20

RADIUS サーバーからプッシュ可能な VLAN を定義します。

(注)  

 

有効な VLAN ID の範囲は 1 ~ 4094 です。

ステップ 3

name vlan-name

例:

Device(config-vlan)# name vlan_ascii

(任意)VLAN のデフォルト名を変更します。

ステップ 4

end

例:

Device(config-vlan)# end

特権 EXEC モードに戻ります。

また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

ローカルスイッチング用のオーバーライド VLAN の設定

Flex プロファイルの VLAN 名 ID マッピングが新しく追加または更新された場合は、一致する VLAN 名が設定されている WLAN ポリシープロファイルをシャットダウンしてからシャットダウンを解除する必要があります。これは、更新された WLAN-VLAN マッピングが AP にプッシュされ、クライアントが目的の VLAN から IP アドレスを受信するようにするためです。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile flex flex_profile_name

例:

Device(config)# wireless profile flex rr-xyz-flex-profile

Flex プロファイルを設定します。

ステップ 3

vlan-name vlan_name

例:

Device(config-wireless-flex-profile)# vlan-name vlan_123

RADIUS サーバーからプッシュ可能な VLAN を定義します。

ステップ 4

vlan-id vlan_id

例:

Device(config-wireless-flex-profile-vlan)# vlan-id 23

VLAN ID を設定します。

有効な VLAN ID の範囲は 1 ~ 4096 です。

ステップ 5

end

例:

Device(config-wireless-flex-profile-vlan)# end

特権 EXEC モードに戻ります。

また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

レイヤ 3 Web 認証での VLAN オーバーライド

VLAN オーバーライドは、レイヤ 3 認証中に RADIUS サーバーからプッシュできます。

クライアントが、ローカル Web 認証(LWA)および中央 Web 認証(CWA)のために RADIUS サーバーを使用してコントローラに接続されて認証されるとき、RADIUS サーバーは新しい VLAN を access-accept でプッシュバックします。RADIUS サーバーが新しい VLAN を access-accept でプッシュバックした場合、クライアントはコントローラで IP 学習状態に戻ります。コントローラは、クライアントの状態を 30 秒間維持したまま、クライアントの関連付けを解除します。クライアントが再関連付けされると、クライアントはただちに新しい VLAN に追加され、新しい DHCP 要求を再トリガーします。その後、クライアントは新しい IP を学習し、コントローラで RUN 状態に移行します。

レイヤ 3 Web 認証での VLAN オーバーライドでは、次のことがサポートされています。

  • Local clients

  • Anchored clients

  • FlexConnect 中央認証、中央またはローカルスイッチング

レイヤ 3 Web 認証での VLAN オーバーライドの確認

L3 認証後の VLAN オーバーライドを表示するには、次のコマンドを使用します。

Device# show wireless client mac <mac> detail
[…]
        Vlan Override after L3 Auth: True

クライアントの統計情報を表示するには、次のコマンドを使用します。

Device# show wireless stats client detail
[…]
      Total L3 VLAN Override vlan change received      : 1
      Total L3 VLAN Override disassociations sent      : 1
      Total L3 VLAN Override re-associations received  : 1
      Total L3 VLAN Override successful VLAN change    : 1
      […]
      L3 VLAN Override connection timeout                             : 0

レイヤ 2 セキュリティの前提条件

同じ SSID を持つ WLAN には、ビーコン応答とプローブ応答でアドバタイズされる情報に基づいてクライアントが WLAN を選択できるように、一意のレイヤ 2 セキュリティ ポリシーが設定されている必要があります。使用可能なレイヤ 2 セキュリティ ポリシーは、次のとおりです。

  • なし(オープン WLAN)

  • WPA+WPA2


    (注)  

    • 同じ SSID を持つ複数の WLAN で WPA と WPA2 を使用することはできませんが、同じ SSID を持つ 2 つの WLAN は、PSK を使用する WPA/TKIP と 802.1X を使用する Wi-Fi Protected Access(WPA)/Temporal Key Integrity Protocol(TKIP)で設定するか、802.1X を使用する WPA/TKIP または 802.1X を使用する WPA/AES で設定することができます。

    • TKIP サポートが設定された WLAN は RM3000AC モジュールでは有効になりません。

  • スタティック WEP(Wave 2 AP ではサポートされません)

WPA2 および WP3 に関する制限事項

  • WPA2 または WPA3 を有効にしないと、セキュリティ ft または ft-adaptive を有効にすることはできません。

  • WPA2 または WPA3 を有効にしないと ft-dot1x または ft-psk を有効にすることはできません。

  • WLAN で WPA2 または WPA3 を有効にしないと、SHA256 キー生成タイプを使用して、802.1x または PSK を同時に有効にすることはできません。

  • WPA2 セキュリティなしで WPA1 WLAN で PMF を設定することはできません。

  • IOS AP は WPA3 をサポートしていません。

AAA でオーバーライドされた VLAN のフォールバックの機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

この機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。

表 1. AAA でオーバーライドされた VLAN のフォールバックの機能履歴

リリース

機能

機能情報

Cisco IOS XE Bengaluru 17.6.1

AAA でオーバーライドされた VLAN のフォールバック

Cisco IOS XE Bengaluru 17.5.1 以前のリリースで、クライアントに適用する必要があるポリシーを指定する単一の AAA サーバーを含むネットワークがあり、このクライアントが異なるポリシー定義を持つさまざまなサイト間を移動する場合を考えます。これらのポリシー定義がクライアントの接続先のサイトで定義されていない場合、クライアントはネットワークにアクセスできません。

たとえば、クライアントに VLAN 1 でのアクセスが付与され、クライアントが接続するサイトで VLAN 1 が定義されていない場合、クライアントは除外され、ネットワークにアクセスできません。

オーバーライドされた VLAN が使用できない場合にポリシープロファイル VLAN にフォールバックできるように、AAA でオーバーライドされた VLAN のフォールバック機能が導入されました。

AAA でオーバーライドされた VLAN のフォールバックについて

Cisco IOS XE Bengaluru 17.6.1 以降では、ワイヤレス ポリシー プロファイルで AAA でオーバーライドされた VLAN または VLAN グループのフォールバックがサポートされます。

AAA でオーバーライドされた VLAN のフォールバック機能を設定するための新しいコマンドが、ワイヤレス ポリシー プロファイルに導入されました。Cisco IOS XE Bengaluru 17.6.1 では、GUI を使用して AAA でオーバーライドされた VLAN のフォールバック機能を設定することはできません。

中央スイッチングおよび FlexConnect モードシナリオ

AAA でオーバーライドされた VLAN または VLAN グループに対してフォールバックが有効になっている場合、中央スイッチングおよび FlexConnect モードで次のシナリオが発生する可能性があります。

中央スイッチング

AAA サーバーがクライアントに VLAN ポリシーを提供し、VLAN ID または VLAN 名がコントローラで定義されている場合、クライアントは AAA サーバーによって指定された VLAN に割り当てられます。VLAN がコントローラで定義されていない場合、クライアントはワイヤレス ポリシー プロファイルで設定されている VLAN に割り当てられます。

ワイヤレス ポリシー プロファイルで VLAN グループが設定されている場合、既存の VLAN グループロジックによって計算された VLAN がクライアントに割り当てられます。VLAN グループでは、ポリシープロファイルの VLAN へのフォールバックは、グループ内のすべての VLAN がコントローラで設定されていない場合、または VLAN グループがコントローラで定義されていない場合にのみ発生します。

AAA でオーバーライドされた VLAN とワイヤレス ポリシー プロファイルで設定された VLAN の両方がコントローラで定義されていない場合、設定は無効と見なされ、クライアントは除外されます。

VLAN ポリシーが設定されていない場合、またはデフォルトのワイヤレス ポリシー プロファイルが設定されている場合、クライアントには管理 VLAN から VLAN が割り当てられます。

FlexConnect モード

AAA サーバーが FlexConnect プロファイルで設定されたクライアントに VLAN ポリシーを割り当てると、VLAN はコントローラによって解決されます。FlexConnect プロファイルで VLAN が設定されていない場合、VLAN 名と VLAN ID の動作は、フォールバック機能を使用して一貫性が保たれ、クライアントはワイヤレス ポリシー プロファイル設定から IP アドレスを受け取ります。

次に、FlexConnect モードの動作の概要を示します。

  • AAA VLAN が FlexConnect プロファイルで定義されている場合、クライアントには AAA VLAN が割り当てられます。

  • AAA VLAN が FlexConnect プロファイルで定義されず、FlexConnect VLAN の中央スイッチングが設定され、VLAN がコントローラで定義されている場合、クライアントには AAA VLAN が割り当てられ、中央でスイッチングされます。

  • AAA VLAN が FlexConnect プロファイルで定義されず、FlexConnect VLAN の中央スイッチングが設定され、VLAN がコントローラで定義されていない場合、クライアントにはワイヤレス ポリシー プロファイルから VLAN が割り当てられます。

  • AAA VLAN が FlexConnect プロファイルで定義されず、FlexConnect VLAN の中央スイッチングが設定されていない場合、クライアントにはワイヤレス ポリシー プロファイルから VLAN が割り当てられます。

AAA でオーバーライドされた VLAN のフォールバックの設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile policy wlan-policy-profile-name

例:

Device(config)# wireless profile policy wlan-policy-profile-name

WLAN ポリシー プロファイルを設定します。ワイヤレス ポリシー プロファイル コンフィギュレーション モードを開始します。

ステップ 3

aaa-override vlan fallback

例:

Device(config-wireless-policy)# aaa-override vlan fallback

オーバーライドされた VLAN が使用できない場合に、ポリシープロファイル VLAN へのフォールバックを許可します。

AAA でオーバーライドされた VLAN のフォールバックの確認

AAA でオーバーライドされた VLAN のフォールバックが有効になっているかどうかを確認するには、次のコマンドを使用します。

Device# show wireless profile policy detailed default-policy-profile | sec AAA Policy Params
AAA Policy Params
  AAA Override                  : DISABLED
  NAC                           : DISABLED
  AAA Policy name               : default-aaa-policy
  AAA Vlan Fallback             : ENABLED

WLAN セキュリティの設定方法

静的 WEP レイヤ 2 セキュリティ パラメータの設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[WLANs] ページで、WLAN の名前をクリックします。

ステップ 3

[Edit WLAN] ウィンドウで [Security] タブをクリックします。

ステップ 4

[Layer 2 Security Mode] ドロップダウンリストから [Static WEP] オプションを選択します。

ステップ 5

(任意)[Shared Key Authentication] チェック ボックスをオンにして、認証タイプを共有に設定します。このチェック ボックスをオフのままにすると、認証タイプはオープンに設定されます。

ステップ 6

[Key Size] を [40 bits] または [104 bits] に設定します。

  • [40 bits]:40 ビット暗号化を使用したキーには、ASCII テキスト文字が 5 文字と 16 進数文字が 10 文字必要です。

  • [104 bits]:104 ビット暗号化を使用したキーには、ASCII テキスト文字が 13 文字と 16 進数文字が 26 文字必要です。

ステップ 7

適切な [Key Index] を設定します。1 ~ 4 の範囲で選択できます。

ステップ 8

[Key Format] を [ASCII] または [Hex] のいずれかに設定します。

ステップ 9

有効な [Encryption Key] を入力します。

  • [40 bits]:40 ビット暗号化を使用したキーには、ASCII テキスト文字が 5 文字と 16 進数文字が 10 文字必要です。

  • [104 bits]:104 ビット暗号化を使用したキーには、ASCII テキスト文字が 13 文字と 16 進数文字が 26 文字必要です。

ステップ 10

[Update & Apply to Device] をクリックします。

静的 WEP レイヤ 2 セキュリティ パラメータの設定(CLI)

始める前に

管理者特権が必要です。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_Name

例:

Device# wlan test4 1 test4

WLAN コンフィギュレーション サブモードを開始します。

profile-name は設定する WLAN のプロファイル名です。

wlan-id はワイヤレス LAN の ID です。指定できる範囲は 1 ~ 512 です。

SSID_Name は最大 32 文字の英数字からなる SSID です。

(注)  

 

すでにこのコマンドを設定している場合は、wlan profile-name コマンドを入力します。

ステップ 3

no security ft over-the-ds

例:

Device(config-wlan)# no security ft over-the-ds

WLAN のデータ ソース経由の高速移行を無効にします。

ステップ 4

no security ft

例:

Device(config-wlan)# no security ft

WLAN の 802.11r Fast Transition を無効にします。

ステップ 5

no security wpa{akm | wpa1 | wpa2}

例:

Device(config-wlan)# no security wpa wpa1 ciphers tkip

WLAN の WPA/WPA2 サポートを無効にします。

ステップ 6

security static-wep-key [ authentication {open | shared}]

例:

Device(config-wlan)# security static-wep-key 
authentication open

キーワードは次のとおりです。

  • static-wep-key :静的な WEP キー認証を設定します。

  • authentication :設定する認証タイプを指定します。値は、open および shared です。

ステップ 7

security static-wep-key [ encryption { 104 | 40} { ascii | hex} [0 | 8] ]

例:

Device(config-wlan)# security static-wep-key encryption 
104 ascii 0 1234567890123 1

キーワードは次のとおりです。

  • static-wep-key :静的な WEP キー認証を設定します。

  • encryption :設定する暗号化タイプを指定します。有効な値は 104 と 40 です。40 ビットキーには、ASCII テキスト文字が 5 文字と 16 進数文字が 10 文字必要です。104 ビットキーには、ASCII テキスト文字が 13 文字と 16 進数文字が 26 文字必要です。

  • ascii :キー形式を ASCII に指定します。

  • hex :キー形式を HEX に指定します。

ステップ 8

end

例:

Device(config)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

WPA + WPA2 レイヤ 2 セキュリティ パラメータの設定(GUI)

手順

ステップ 1

[Configuration] > [Tags and Profiles] > [WLANs] をクリックします。

ステップ 2

[Add] をクリックして新しい WLAN プロファイルを追加するか、編集するプロファイルをクリックします。

ステップ 3

[Edit WLAN] ウィンドウで [Security] > [Layer2] をクリックします。

ステップ 4

[Layer 2 Security Mode] ドロップダウン メニューから [WPA + WPA2] を選択します。

ステップ 5

セキュリティ パラメータを設定して [Save and Apply to Device] をクリックします。

WPA + WPA2 レイヤ 2 セキュリティ パラメータの設定(CLI)


(注)  

セキュリティ ポリシー WPA2 のデフォルト値は次のとおりです。

  • 暗号化は AES です。

  • 認証キー管理(AKM)は dot1x です。

始める前に

管理者特権が必要です。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_Name

例:

Device# wlan test4 1 test4

WLAN コンフィギュレーション サブモードを開始します。

  • profile-name は設定する WLAN のプロファイル名です。

  • wlan-id はワイヤレス LAN の ID です。指定できる範囲は 1 ~ 512 です。

  • SSID_Name は最大 32 文字の英数字からなる SSID です。

(注)  

 

すでにこのコマンドを設定している場合は、wlan profile-name コマンドを入力します。

ステップ 3

security wpa {akm | wpa1 | wpa2}

例:

Device(config-wlan)# security wpa

WLAN の WPA または WPA2 サポートを有効にします。

ステップ 4

security wpa wpa1

例:

Device(config-wlan)# security wpa wpa1

WPA を有効にします。

ステップ 5

security wpa wpa1 ciphers [ aes | tkip]

例:

Device(config-wlan)# security wpa wpa1 ciphers aes

WPA1 暗号を指定します。次のいずれかの暗号化タイプを選択します。

  • aes :WPA/AES のサポートを指定します。

  • tkip :WPA/TKIP のサポートを指定します。

WPA1 および WPA2 のデフォルト値は、それぞれ TKIP および AES です。

(注)  

 

CLI を使用してのみ TKIP 暗号化を有効または無効にできます。GUI での TKIP 暗号化の設定はサポートされていません。

WGB に VLAN 設定がある場合、encryption vlan 80 mode ciphers tkip など、特定の VLAN に対して暗号化モードとキーを設定する必要があります。次に、コマンド encryption mode ciphers tkip を入力して、マルチキャスト インターフェイスで暗号化モードをグローバルに設定する必要があります。

ステップ 6

security wpa akm {cckm| dot1x | dot1x-sha256 | ft | psk |psk-sha256}

例:

Device(config-wlan)# security wpa akm psk-sha256

Cisco Centralized Key Management、802.1x、SHA256 キー生成タイプを使用した 802.1x、高速移行、PSK、または SHA256 キー生成タイプを使用した PSK を有効または無効にします。

(注)  

 

  • 802.1x と、SHA256 キー生成タイプを使用した PSK を同時に有効にすることはできません。

  • Cisco Centralized Key Management SSID を設定するときは、Cisco Centralized Key Management を機能させるために ccx aironet-iesupport を有効にする必要があります。

  • WPA3 Enterprise dot1x-sha256 は、ローカルモードでのみサポートされます。

ステップ 7

security wpa psk set-key {ascii | hex}{0 | 8} password

例:

Device(config-wlan)# security wpa psk set-key ascii 0 test

PSK を有効にしている場合は、このコマンドを入力して事前共有キーを指定します。

WPA の事前共有キーには、8 ~ 63 文字の ASCII テキスト、または 64 桁の 16 進数文字が含まれている必要があります。

ステップ 8

security wpa akm ft {dot1x | psk| sae}

例:

Device(config-wlan)# security wpa akm ft psk

高速移行に対して認証キー管理スイートを有効または無効にします。

(注)  

 

AKM スイートとして PSK または高速移行 PSK を選択できます。

ステップ 9

security wpa wpa2

例:

Device(config-wlan)# security wpa wpa2

WPA2 を有効にします。

ステップ 10

security wpa wpa2 ciphers aes

例:

Device(config-wlan)# security wpa wpa2

例:

WPA2 暗号化を設定します。

  • aes :WPA/AES のサポートを指定します。

ステップ 11

show wireless pmk-cache

PMK キャッシュの有効期間タイマーの期限が切れるまでの残りの時間を表示します。

802.1X 認証キー管理で WPA2、または Cisco Centralized Key Management 認証キー管理で WPA1 または WPA2 を有効にした場合、必要に応じて、PMK キャッシュ ライフタイム タイマーを使用して、クライアントでの再認証をトリガーします。タイマーは、AAA サーバーから受信したタイムアウト値または WLAN のセッション タイムアウト設定に基づきます。

セッションタイムアウト(0 ~ 299)を指定して 802.1x を設定すると、タイマーが 1 日(84600 秒)のペアワイズマスターキー(PMK)キャッシュが作成されます。

(注)  

 

  • このコマンドは、VLAN オーバーライド フィールドに VLAN プーリング機能を含む VLAN ID を表示します。

  • スティッキー キー キャッシング(SKC)はサポートされていません。