Wi-Fi Protected Access 3

Simultaneous Authentication of Equals

WPA3 は、Wi-Fi Protected Access(WPA)の最新バージョンです。これは、Wi-Fi ネットワークの認証と暗号化を提供するプロトコルとテクノロジーのスイートです。

WPA3 は、Simultaneous Authentication of Equals(SAE)を活用することで、第三者によるパスワード推測の試みに対抗するためのユーザーの保護を強化します。SAE では離散対数の暗号方式が利用され、オフライン辞書攻撃への耐性が高いと考えられるパスワードを使用して相互認証を実行するという形で、効率的な交換を実行します。オフライン辞書攻撃では、攻撃者は、それ以上ネットワークのやり取りを行わずにパスワードの候補を試すことで、ネットワークパスワードの判別を試みます。

WPA3-Personal は、パスワードベースの堅牢な認証を提供することによって個人ユーザーに対する保護を強化します。これにより、ブルートフォース辞書攻撃がはるかに困難になり、時間がかかるようになります。一方、WPA3-Enterprise は、機密データネットワークを対象とした、より優秀なセキュリティプロトコルを提供します。

クライアントがアクセスポイントに接続すると、両者は SAE 交換を実行します。交換が成功すると、それぞれが強度に暗号化されたキーを作成し、そこからセッションキーが導出されます。基本的には、クライアントとアクセスポイントはコミットのフェーズに入り、その後確認を行います。コミットメントが行われると、以後クライアントとアクセスポイントは、生成を必要とするセッションキーが生じるたびに確認状態に移行できます。この方法では転送秘密が使用されます。この場合、侵入者は 1 つのキーを解読できる可能性がありますが、他のキーをすべて解読できるとは限りません。


(注)  

Cisco IOS-XE 17.6 および 17.7 リリースでは、OEAP GUI を使用して設定されたホーム SSID は WPA3 セキュリティをサポートしていません。

(注)  

Cisco Wave 2 AP は、SAE をサポートしていません。その結果、AP から M3 を受信した後に AP クライアントが接続を返すことに失敗するため、AP クライアントはこれらの AP を使用して SAE SSID に接続できません。

SAE をサポートしていない Cisco Wave 2 AP は次のとおりです。

  • Cisco Aironet 1815 シリーズ AP(AP1815W、AP1815T、AP1815I、AP1815M)

  • Cisco Aironet 1815T OfficeExtend AP

  • Cisco Aironet 1800 シリーズ AP(AP1800I、AP1800S)

  • Cisco Aironet 1542 シリーズ屋外用 AP(AP1542D、AP1542I)

  • Cisco Aironet 1840 シリーズ AP(AP1840I)

Opportunistic Wireless Encryption

Opportunistic Wireless Encryption(OWE)は、ワイヤレスメディアの暗号化を提供する IEEE 802.11 の拡張です。OWE ベース認証の目的は、AP とクライアントの間で、保護されていないオープンなワイヤレス接続を回避することです。OWE は、Diffie-Hellman アルゴリズムをベースとする暗号化を使用してワイヤレス暗号化を設定します。OWE では、クライアントと AP がアクセス手順中に Diffie-Hellman キーの交換を実行し、その結果として作成された一対のシークレットを 4 ウェイハンドシェイクで使用します。OWE を使用することで、オープンまたは共有の PSK ベースネットワークが導入されている導入環境において、ワイヤレスネットワークのセキュリティが強化されます。

Hash-to-Element(H2E)

Hash-to-Element(H2E)は、新しい SAE のパスワード要素(PWE)方式です。この方式では、SAE プロトコルで使用されるシークレット PWE がパスワードから生成されます。

H2E をサポートする STA は AP との SAE を開始するときに、AP が H2E をサポートしているかどうかを確認します。サポートしている場合、AP は H2E を使用して、SAE のコミットメッセージで新しく定義されたステータスコード値を使用して PWE を導出します。

STA で Hunting-and-Pecking を使用する場合、SAE 交換全体は変更されません。

H2E の使用中、PWE の導出は次の項目で構成されます。

  • パスワードからのシークレット中間要素 PT の導出。これは、サポートされる各グループのデバイスでパスワードが最初に設定されるときに、オフラインで実行できます。

  • 保存された PT からの PWE の導出。これは、ネゴシエートされたグループとピアの MAC アドレスに依存します。これは、SAE 交換時にリアルタイムで実行されます。


(注)  

  • 6 GHz では、Hash-to-Element SAE PWE 方式のみがサポートされます。

  • H2E 方式には、グループダウングレードの中間者攻撃からの保護も組み込まれています。SAE 交換時、ピアは PMK の導出にバインドされた拒否グループのリストを交換します。各ピアは、受信したリストをサポートされるグループのリストと比較し、不一致がある場合はダウングレード攻撃として検出し、認証を終了します。

YANG(RPC モデル)

SAE のパスワード要素(PWE)モードの RPC を作成するには、次の RPC モデルを使用します。


<nc:rpc xmlns:nc="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="urn:uuid:0a77124f-c563-469d-bd21-cc625a9691cc">
<nc:edit-config>
<nc:target>
<nc:running/>
</nc:target>
<nc:config>
<wlan-cfg-data xmlns="http://cisco.com/ns/yang/Cisco-IOS-XE-wireless-wlan-cfg">
<wlan-cfg-entries>
<wlan-cfg-entry>
<profile-name>test</profile-name>
<wlan-id>2</wlan-id>
<sae-pwe-mode>both-h2e-hnp</sae-pwe-mode>
</wlan-cfg-entry>
</wlan-cfg-entries>
</wlan-cfg-data>
</nc:config>
</nc:edit-config>
</nc:rpc>

6 GHz 無線ポリシーを削除し、SAE のパスワード要素(PWE)モードを変更するには、次の RPC モデルを使用します。


<nc:rpc xmlns:nc="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="urn:uuid:2b8c4be6-492e-4488-b2cf-1f2a1e39fa8c"><nc:edit-config>
<nc:target>
<nc:running/>
</nc:target>
<nc:config>
<wlan-cfg-data xmlns="http://cisco.com/ns/yang/Cisco-IOS-XE-wireless-wlan-cfg">
<wlan-cfg-entries>
<wlan-cfg-entry>
<profile-name>test</profile-name>
<wlan-id>2</wlan-id>
<wlan-radio-policies>
<wlan-radio-policy nc:operation="delete">
<band>dot11-6-ghz-band</band>
</wlan-radio-policy>
</wlan-radio-policies>
</wlan-cfg-entry>
</wlan-cfg-entries>
</wlan-cfg-data>
</nc:config>
</nc:edit-config>
</nc:rpc>

##
Received message from host
<?xml version="1.0" ?>
<rpc-reply message-id="urn:uuid:2b8c4be6-492e-4488-b2cf-1f2a1e39fa8c" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" xmlns:nc="urn:ietf:params:xml:ns:netconf:base:1.0">
<ok/>
</rpc-reply>
NETCONF rpc COMPLETE
NETCONF SEND rpc
Requesting 'Dispatch'
Sending:

#1268
<nc:rpc xmlns:nc="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="urn:uuid:e19a3309-2509-446f-9dbe-c46a6de433db"><nc:edit-config>
<nc:target>
<nc:running/>
</nc:target>
<nc:config>
<wlan-cfg-data xmlns="http://cisco.com/ns/yang/Cisco-IOS-XE-wireless-wlan-cfg">
<wlan-cfg-entries>
<wlan-cfg-entry>
<profile-name>test</profile-name>
<wlan-id>2</wlan-id>
<wlan-radio-policies>
<wlan-radio-policy nc:operation="merge">
<band>dot11-5-ghz-band</band>
</wlan-radio-policy>
</wlan-radio-policies>
<sae-pwe-mode>hunting-and-pecking-only</sae-pwe-mode>
</wlan-cfg-entry>
</wlan-cfg-entries>
</wlan-cfg-data>
</nc:config>
</nc:edit-config>
</nc:rpc>

##
Received message from host
<?xml version="1.0" ?>
<rpc-reply message-id="urn:uuid:e19a3309-2509-446f-9dbe-c46a6de433db" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" xmlns:nc="urn:ietf:params:xml:ns:netconf:base:1.0">
<ok/>
</rpc-reply>
NETCONF rpc COMPLETE

(注)  

現在のインフラの制限により、delete 操作で実行されるアクションは一度に 1 つです。つまり、YANG モジュールでは、複数ノードでの delete 操作はサポートされていません。

移行の無効化

移行の無効化は、AP から STA に関する説明です。この機能により、AP のネットワークへの後続の接続でいくつかの移行モードを無効にします。

STA 実装により、ネットワークプロファイルで特定の移行モードが有効になる場合があります。たとえば、WPA3-Personal STA は、ネットワークプロファイルにおいてデフォルトで WPA3-Personal 移行モードを有効にする場合があります。これにより、PSK アルゴリズムが有効になります。ただし、移行の無効化指示を使用して、STA でそのネットワークの移行モードを無効にすることができます。


(注)  

移行の無効化指示は、ダウングレード攻撃に対する保護を提供します。

移行の無効化指示を使用する AP は、自身の BSS で対応する移行モードを無効にする必要はありません。たとえば、WPA3-Personal ネットワーク内の AP は、WPA3-Personal をサポートするすべての STA がダウングレード攻撃から保護されるようにするために移行の無効化指示を使用する場合があります。ただし、レガシー STA が接続するために、BSS で WPA3-Personal 移行モードが有効になっています。

WPA3 SAE iPSK

RADIUS サーバーと Identity PSK(iPSK)は、同じ SSID 内に存在する個人またはユーザーグループに対して、一意の事前共有キーを作成します。この種のセットアップは、エンドクライアントデバイスが 802.1X 認証をサポートしていないネットワークで役立ちます。ただし、より安全できめ細かい認証が必要になります。クライアントの観点からは、WLAN は従来の PSK ネットワークと同じに見えます。PSK の 1 つが侵害された場合、影響を受ける個人またはグループのみが PSK を更新する必要があります。WLAN に接続されている残りのデバイスは影響を受けません。

Simultaneous Authentication of Equals(SAE)H2E 認証モードでは、SAE 認証パスフレーズから導出されたパスワードトークンが使用されます。コミットおよび確認メッセージの交換中のクライアント認証用に、WLAN プロファイルでパスフレーズを設定できます。

Cisco IOS-XE 17.9.2 以降、ローカルモードでの SAE H2E 認証で iPSK パスフレーズがサポートされます。iPSK パスフレーズは、RADIUS サーバーのクライアント認証ポリシーで設定されます。このパスフレーズは、クライアント MAB 認証中にコントローラにポリシーをプッシュします。


(注)  

iPSK パスフレーズは、WLAN プロファイル内のパスフレーズを置き換えて、パスワードトークンを生成します。認証ポリシーで iPSK パスフレーズが設定されていない場合、SAE H2E は WLAN プロファイルのパスフレーズにフォールバックします。

SAE の設定(WPA3+WPA2 混合モード)

SAE 用に WPA3+WPA2 混合モードを設定するには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan WPA3 1 WPA3

WLAN コンフィギュレーション サブモードを開始します。

ステップ 3

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 4

no security ft over-the-ds

例:

Device(config-wlan)# no security ft over-the-ds

WLAN のデータ ソース経由の高速移行を無効にします。

ステップ 5

no security ft

例:

Device(config-wlan)# no security ft

WLAN の 802.11r Fast Transition を無効にします。

ステップ 6

security wpa wpa2 ciphers aes

例:

Device(config-wlan)# security wpa wpa2 ciphers aes

WPA2 暗号化を設定します。

(注)  

 

no security wpa wpa2 ciphers aes コマンドを使用して、暗号が設定されているかどうかを確認できます。暗号がリセットされない場合は、暗号を設定します。

ステップ 7

security wpa psk set-key ascii value preshared-key

例:

Device(config-wlan)# security wpa psk set-key ascii 0 Cisco123

事前共有キーを指定します。

ステップ 8

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 のサポートを有効にします。

(注)  

 

WPA2 と WPA3 の両方がサポートされている場合(SAE と PSK の組み合わせ)、PMF の設定は任意です。ただし、PMF を無効にすることはできません。WPA3 の場合、PMF は必須です。

ステップ 9

security wpa akm sae

例:

Device(config-wlan)# security wpa akm sae

AKM SAE のサポートを有効にします。

ステップ 10

security wpa akm psk

例:

Device(config-wlan)# security wpa akm psk

AKM PSK のサポートを有効にします。

ステップ 11

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ステップ 12

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

WPA3 Enterprise の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。

ステップ 4

[Security] > [Layer2] タブを選択します。[Layer 2 Security Mode] ドロップダウンリストで、[WPA2+WPA3] を選択します。

ステップ 5

[WPA2 Policy] および [802.1x] チェックボックスをオフにします。[WPA3 Policy] および [802.1x-SHA256] チェックボックスをオンにします。

ステップ 6

[Security] > [AAA] タブの [Authentication List] ドロップダウンリストから認証リストを選択します。

ステップ 7

[Apply to Device] をクリックします。

WPA3 Enterprise の設定

WPA3 Enterprise を設定するには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan wl-dot1x 4 wl-dot1x

WLAN コンフィギュレーション サブモードを開始します。

ステップ 3

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 4

no security wpa wpa2

例:

Device(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。

ステップ 5

security wpa akm dot1x-sha256

例:

Device(config-wlan)# security wpa akm dot1x-sha256

802.1x のサポートを設定します。

ステップ 6

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 のサポートを有効にします。

ステップ 7

security dot1x authentication-list list-name

例:

Device(config-wlan)# security dot1x authentication-list ipv6_ircm_aaa_list

dot1x セキュリティ用のセキュリティ認証リストを設定します。

ステップ 8

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ステップ 9

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

(注)  

 

WPA3 Enterprise(SUITEB192-1X)で設定された WLAN は、C9115/C9120 AP ではサポートされていません。

WPA3 OWE の設定

WPA3 OWE を設定するには、次の手順を実行します。

始める前に

PMF を内部的に設定します。関連付けられた暗号設定では、WPA2 暗号化を使用できます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan WPA3 1 WPA3

WLAN コンフィギュレーション サブモードを開始します。

ステップ 3

no security ft over-the-ds

例:

Device(config-wlan)# no security ft over-the-ds

WLAN のデータ ソース経由の高速移行を無効にします。

ステップ 4

no security ft

例:

Device(config-wlan)# no security ft

WLAN の 802.11r Fast Transition を無効にします。

ステップ 5

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 6

no security wpa wpa2

例:

Device(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。これで PMF は無効になります。

ステップ 7

security wpa wpa2 ciphers aes

例:

Device(config-wlan)# security wpa wpa2 ciphers aes

AES の WPA2 暗号化を有効にします。

(注)  

 

WPA2 と WPA3 の暗号化は共通です。

ステップ 8

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 のサポートを有効にします。

ステップ 9

security wpa akm owe

例:

Device(config-wlan)# security wpa akm owe

WPA3 OWE のサポートを有効にします。

ステップ 10

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ステップ 11

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

WPA3 OWE 移行モードの設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。

ステップ 4

[Security] > [Layer2] タブを選択します。[Layer 2 Security Mode] ドロップダウンリストで、[WPA2+WPA3] を選択します。

ステップ 5

[WPA2 Policy]、[802.1x]、[Over the DS]、[FT + 802.1x]、および [FT + PSK] チェックボックスをオフにします。[WPA3 Policy]、[AES]、および [OWE] チェックボックスをオンにします。

ステップ 6

[Transition Mode WLAN ID] を入力します。

ステップ 7

[Apply to Device] をクリックします。

WPA3 OWE 移行モードの設定

WPA3 OWE 移行ードを設定するには、次の手順を実行します。


(注)  

オープン WLAN と OWE WLAN 間では、ポリシーの検証は行われません。オペレータが適切に設定することが想定されています。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan WPA3 1 WPA3

WLAN コンフィギュレーション サブモードを開始します。

ステップ 3

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 4

no security ft over-the-ds

例:

Device(config-wlan)# no security ft over-the-ds

WLAN のデータ ソース経由の高速移行を無効にします。

ステップ 5

no security ft

例:

Device(config-wlan)# no security ft

WLAN の 802.11r Fast Transition を無効にします。

ステップ 6

no security wpa wpa2

例:

Device(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。これで PMF は無効になります。

ステップ 7

security wpa wpa2 ciphers aes

例:

Device(config-wlan)# security wpa wpa2 ciphers aes

AES の WPA2 暗号化を有効にします。

ステップ 8

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 のサポートを有効にします。

ステップ 9

security wpa akm owe

例:

Device(config-wlan)# security wpa akm owe

WPA3 OWE のサポートを有効にします。

ステップ 10

security wpa transition-mode-wlan-id wlan-id

例:

Device(config-wlan)# security wpa transition-mode-wlan-id 1

オープンまたは OWE の移行モードの WLAN ID を設定します。

(注)  

 

移行モードの WLAN では、検証は行われません。オペレータが、OWE WLAN にオープン WLAN ID を正しく設定し、逆についても正しく設定することが想定されています。

OWE WLAN ID をオープン WLAN で移行モード WLAN として設定する必要があります。同様に、オープン WLAN を OWE WLAN 設定で移行モード WLAN として設定する必要があります。

ステップ 11

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ステップ 12

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

WPA3 SAE の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。

ステップ 4

[Security] > [Layer2] タブを選択します。[Layer 2 Security Mode] ドロップダウンリストで、[WPA2+WPA3] を選択します。

ステップ 5

[WPAPolicy]、[802.1x]、[Over the DS]、[FT + 802.1x]、および [FT + PSK] チェックボックスをオフにします。[WPA3 Policy]、[AES]、および [PSK] チェックボックスをオンにします。[Pre-Shared Key] を入力し、[PSK Format] ドロップダウンリストから PSK フォーマットを選択し、[PSK Type] ドロップダウンリストから PSK タイプを選択します。

ステップ 6

[Apply to Device] をクリックします。

WPA3 SAE の設定

WPA3 SAE を設定するには、次の手順を実行します。

始める前に

PMF を内部的に設定します。関連付けられた暗号設定では、WPA2 暗号化を使用できます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan WPA3 1 WPA3

WLAN コンフィギュレーション サブモードを開始します。

ステップ 3

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 4

no security ft over-the-ds

例:

Device(config-wlan)# no security ft over-the-ds

WLAN のデータ ソース経由の高速移行を無効にします。

ステップ 5

no security ft

例:

Device(config-wlan)# no security ft

WLAN の 802.11r Fast Transition を無効にします。

ステップ 6

no security wpa wpa2

例:

Device(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。これで PMF は無効になります。

ステップ 7

security wpa wpa2 ciphers aes

例:

Device(config-wlan)# security wpa wpa2 ciphers aes

WPA2 暗号化を設定します。

(注)  

 

no security wpa wpa2 ciphers aes コマンドを使用して、暗号が設定されているかどうかを確認できます。暗号がリセットされない場合は、暗号を設定します。

ステップ 8

security wpa psk set-key ascii value preshared-key

例:

Device(config-wlan)# security wpa psk set-key ascii 0 Cisco123

事前共有キーを指定します。

ステップ 9

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 のサポートを有効にします。

(注)  

 

WPA2 と WPA3 の両方がサポートされている場合(SAE と PSK の組み合わせ)、PMF の設定は任意です。ただし、PMF を無効にすることはできません。WPA3 の場合、PMF は必須です。

ステップ 10

security wpa akm sae

例:

Device(config-wlan)# security wpa akm sae

AKM SAE のサポートを有効にします。

ステップ 11

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ステップ 12

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

WPA3 SAE iPSK の設定(CLI)

WPA3 SAE iPSK WLAN プロファイルの設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan wl-sae-ipsk 8 wl-sae-ipsk

WLAN コンフィギュレーション サブモードを開始します。

ステップ 3

mac-filtering mac-filter-name

例:

Device(config-wlan)# mac-filtering aaa_list

WLAN の MAC フィルタリングのサポートを設定します。

ステップ 4

no security ft adaptive

例:

Device(config-wlan)# no security ft adaptive

適応型 802.11r を無効にします。

ステップ 5

no security wpa wpa2

例:

Device(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。

ステップ 6

security wpa psk set-key [ascii/hex] 0 [key]

例:

Device(config-wlan)# security wpa psk set-key ascii 0 123456789

WLAN の事前共有キーを設定します。

(注)  

 

WPA の事前共有キーには、8 ~ 63 文字の ASCII テキスト、または 64 桁の 16 進数文字が含まれている必要があります。

ステップ 7

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

802.1X のセキュリティ AKM を無効にします。

ステップ 8

security wpa akm sae

例:

Device(config-wlan)# security wpa akm sae

AKM SAE のサポートを有効にします。

ステップ 9

security wpa akm sae pwe h2e

例:

Device(config-wlan)# security wpa akm sae pwe h2e

AKM SAE PWE のサポート(hash-to-element)を有効にします。

(注)  

 

この手順は、Hunting and Pecking(HnP)パスワード要素方式にも適用されます。

ステップ 10

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 のサポートを有効にします。

ステップ 11

security pmf mandatory

例:

Device(config-wlan)# security pmf mandatory

WLAN で保護された管理フレーム(PMF)による保護をクライアントにネゴシエートさせます。

ステップ 12

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ポリシープロファイルの設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile policy policy-profile-name

例:

Device(config)# wireless profile policy po-sae-ipsk

ポリシープロファイルを設定します。

ステップ 3

aaa-override

例:

Device(config-wireless-policy)# aaa-override

AAA サーバーまたは Cisco Identify Services Engine(ISE)サーバーから受信したポリシーに適用するように AAA オーバーライドを設定します。

ステップ 4

vlan 166

例:

Device(config-wireless-policy)# vlan 166

VLAN を設定します。

ステップ 5

no shutdown

例:

Device(config-wireless-policy)# no shutdown

ポリシープロファイルを有効にします。

RADIUS サーバーでのクライアント認証ポリシーのパスフレーズの設定(GUI)

手順

ステップ 1

Cisco Identity Services Engine(ISE)にログインします。

ステップ 2

[Policy] をクリックし、[Policy Elements] をクリックします。

ステップ 3

[Results] をクリックします。

ステップ 4

[Authorization] を展開し、[Authorization Profiles] をクリックします。

ステップ 5

[Add] をクリックして、URL フィルタ用の新しい認証プロファイルを作成します。

ステップ 6

[Name] フィールドに、プロファイルの名前(例:po-sae-ipsk )を入力します。

ステップ 7

[アクセスタイプ(Access Type)] ドロップダウンリストから、[ACCESS_ACCEPT] を選択します。

ステップ 8

[Termination-Action] ドロップダウンリストから、[RADIUS-Request] を選択します。

ステップ 9

[Advanced Attributes Setting] セクションで、ドロップダウンリストから [Cisco:cisco-av-pair] を選択します。

ステップ 10

それぞれのペアの後にある([+])アイコンをクリックして 1 つずつ入力します。

  • cisco-av-pair = psk-mode=ascii
  • cisco-av-pair = psk=123123123

ステップ 11

[Attributes Details] セクションの内容を確認し、[Save] をクリックします。

WPA3 SAE H2E の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。

ステップ 4

[Security] > [Layer2] タブを選択します。[Layer 2 Security Mode] ドロップダウンリストから、[WPA2+WPA3] または [WPA3] を選択します。

ステップ 5

[WPAPolicy]、[802.1x]、[Over the DS]、[FT + 802.1x]、および [FT + PSK] チェックボックスをオフにします。[WPA3 Policy]、[AES]、および [PSK] チェックボックスをオンにします。[Pre-Shared Key] を入力し、[PSK Format] ドロップダウンリストから PSK フォーマットを選択し、[PSK Type] ドロップダウンリストから PSK タイプを選択します。

ステップ 6

[SAE] チェックボックスをオンにします。

(注)  

 

SAE は、Fast Transition が無効になっている場合にのみ有効になります。

ステップ 7

[SAE Password Element] ドロップダウンリストから、[Hash to Element Only] を選択して WPA3 SAE H2E を設定します。

ステップ 8

[Apply to Device] をクリックします。

WPA3 SAE H2E の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan WPA3 1 WPA3

WLAN コンフィギュレーション サブモードを開始します。

ステップ 3

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 4

no security ft over-the-ds

例:

Device(config-wlan)# no security ft over-the-ds

WLAN のデータ ソース経由の高速移行を無効にします。

ステップ 5

no security ft

例:

Device(config-wlan)# no security ft

WLAN の 802.11r Fast Transition を無効にします。

ステップ 6

no security wpa wpa2

例:

Device(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。これで PMF は無効になります。

ステップ 7

security wpa wpa2 ciphers aes

例:

Device(config-wlan)# security wpa wpa2 ciphers aes

WPA2 暗号化を設定します。

(注)  

 

no security wpa wpa2 ciphers aes コマンドを使用して、暗号が設定されているかどうかを確認できます。暗号がリセットされない場合は、暗号を設定します。

ステップ 8

security wpa psk set-key ascii value preshared-key

例:

Device(config-wlan)# security wpa psk set-key ascii 0 Cisco123

事前共有キーを指定します。

ステップ 9

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 のサポートを有効にします。

ステップ 10

security wpa akm sae

例:

Device(config-wlan)# security wpa akm sae

AKM SAE のサポートを有効にします。

ステップ 11

security wpa akm sae pwe {h2e | hnp | both-h2e-hnp}

例:

Device(config-wlan)# security wpa akm sae pwe

AKM SAE PWE のサポートを有効にします。

PWE は次のオプションをサポートしています。

  • h2e:Hash-to-Element のみ。 HnP を無効にします。

  • hnp:Hunting and Pecking のみ。 H2E を無効にします。

  • Both-h2e-hnp:Hash-to-Element と Hunting and Pecking の両方のサポート(デフォルトのオプションです)。

ステップ 12

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ステップ 13

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

移行の無効化用の WPA3 WLAN の設定

始める前に

移行の無効化は、security wpa wpa3 が有効になっている場合にのみ有効にできます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan WPA3 1 WPA3

WLAN コンフィギュレーション サブモードを開始します。

ステップ 3

transition-disable

例:

Device(config-wlan)# transition-disable

移行の無効化のサポートを有効にします。

ステップ 4

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

クロッギング対策および SAE 再送信の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。

ステップ 4

[Status] および [Broadcast SSID] トグルボタンを有効または無効にします。

ステップ 5

[Radio Policy] ドロップダウンリストから、ポリシーを選択します。

ステップ 6

[Security] > [Layer2] タブを選択します。[SAE] チェックボックスをオンにします。

ステップ 7

[Anti Clogging Threshold]、[Max Retries]、および [Retransmit Timeout] を入力します。

ステップ 8

[Apply to Device] をクリックします。

クロッギング対策および SAE 再送信の設定

クロッギング対策および SAE の再送信を設定するには、次の手順を実行します。


(注)  

進行中の同時 SAE セッションが、設定されているクロッギング対策のしきい値を超えると、クロッギング対策メカニズムがトリガーされます。

始める前に

SAE WLAN の設定が適切であることを確認します。下記に示すステップはその性質上、SAE WLAN の設定に加えて増えます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan WPA3 1 WPA3

WLAN コンフィギュレーション サブモードを開始します。

ステップ 3

shutdown

例:

Device(config-wlan)# no shutdown

WLAN を無効にします。

ステップ 4

security wpa akm sae

例:

Device(config-wlan)# security wpa akm sae

セキュリティプロトコルとして Simultaneous Authentication of Equals を有効にします。

ステップ 5

security wpa akm sae anti-clogging-threshold threshold

例:

Device(config-wlan)# security wpa akm sae anti-clogging-threshold 2000

新しいセッションのクロッギング対策の手順をトリガーするオープンセッション数のしきい値を設定します。

ステップ 6

security wpa akm sae max-retries retry-limit

例:

Device(config-wlan)# security wpa akm sae max-retries 10

最大再送信回数を設定します。

ステップ 7

security wpa akm sae retransmit-timeout retransmit-timeout-limit

例:

Device(config-wlan)# security wpa akm sae retransmit-timeout 500

SAE メッセージの再送信タイムアウト値を設定します。

ステップ 8

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ステップ 9

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

WPA3 SAE および OWE の確認

SAE 認証の成功、SAE 認証の失敗、SAE の進行中のセッション、SAE のコミット、およびメッセージ交換の確認を済ませたクライアントのシステムレベルの統計情報を表示するには、次の show コマンドを使用します。

Device# show wireless stats client detail

Total Number of Clients : 0

client global statistics:
-----------------------------------------------------------------------------
Total association requests received              : 0
Total association attempts                       : 0
Total FT/LocalAuth requests                      : 0
Total association failures                       : 0
Total association response accepts               : 0
Total association response rejects               : 0
Total association response errors                : 0
Total association failures due to blacklist      : 0
Total association drops due to multicast mac     : 0
Total association drops due to throttling        : 0
Total association drops due to unknown bssid     : 0
Total association drops due to parse failure     : 0
Total association drops due to other reasons     : 0
Total association requests wired clients         : 0
Total association drops wired clients            : 0
Total association success wired clients          : 0
Total peer association requests wired clients    : 0
Total peer association drops wired clients       : 0
Total peer association success wired clients     : 0
Total 11r ft authentication requests received    : 0
Total 11r ft authentication response success     : 0
Total 11r ft authentication response failure     : 0
Total 11r ft action requests received            : 0
Total 11r ft action response success             : 0
Total 11r ft action response failure             : 0
Total AID allocation failures                    : 0
Total AID free failures                          : 0
Total roam attempts                              : 0
  Total CCKM roam attempts                       : 0
  Total 11r roam attempts                        : 0
  Total 11i fast roam attempts                   : 0
  Total 11i slow roam attempts                   : 0
  Total other roam type attempts                 : 0
Total roam failures in dot11                     : 0

Total WPA3 SAE attempts                          : 0
Total WPA3 SAE successful authentications        : 0
Total WPA3 SAE authentication failures           : 0
  Total incomplete protocol failures             : 0
Total WPA3 SAE commit messages received          : 0
Total WPA3 SAE commit messages rejected          : 0
  Total unsupported group rejections             : 0
Total WPA3 SAE commit messages sent              : 0
Total WPA3 SAE confirm messages received         : 0
Total WPA3 SAE confirm messages rejected         : 0
  Total WPA3 SAE confirm messgae field mismatch  : 0
  Total WPA3 SAE confirm message invalid length  : 0
Total WPA3 SAE confirm messages sent             : 0
Total WPA3 SAE Open Sessions                     : 0
Total SAE Message drops due to throttling        : 0

Total Flexconnect local-auth roam attempts       : 0
  Total AP 11i fast roam attempts                : 0
  Total 11i slow roam attempts                   : 0
          
Total client state starts                        : 0
Total client state associated                    : 0
Total client state l2auth success                : 0
Total client state l2auth failures               : 0
Total blacklisted clients on dot1xauth failure   : 0
Total client state mab attempts                  : 0
Total client state mab failed                    : 0
Total client state ip learn attempts             : 0
Total client state ip learn failed               : 0
Total client state l3 auth attempts              : 0
Total client state l3 auth failed                : 0
Total client state session push attempts         : 0
Total client state session push failed           : 0
Total client state run                           : 0
Total client deleted                             : 0

WLAN のサマリーの詳細を表示するには、次のコマンドを使用します。

Device# show wlan summary

Number of WLANs: 3

ID   Profile Name                     SSID                             Status Security                                                                                             
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1    wlan-demo                        ssid-demo                        DOWN   [WPA3][SAE][AES]                                                                                     
3    CR1_SSID_mab-ext-radius          CR1_SSID_mab-ext-radius          DOWN   [WPA2][802.1x][AES]                                                                                  
109  guest-wlan1                      docssid                          DOWN   [WPA2][802.1x][AES],[Web Auth]

WLAN ID に基づいて WLAN プロパティ(WPA2 および WPA3 モード)を表示するには、次のコマンドを使用します。

Device# show wlan id 1

WLAN Profile Name     : wlan-demo
================================================
Identifier                                     : 1

!
!
!
Security
    802.11 Authentication                      : Open System
    Static WEP Keys                            : Disabled
    Wi-Fi Protected Access (WPA/WPA2/WPA3)     : Enabled
        WPA (SSN IE)                           : Disabled
        WPA2 (RSN IE)                          : Disabled
        WPA3 (WPA3 IE)                         : Enabled
            AES Cipher                         : Enabled
            CCMP256 Cipher                     : Disabled
            GCMP128 Cipher                     : Disabled
            GCMP256 Cipher                     : Disabled
        Auth Key Management
            802.1x                             : Disabled
            PSK                                : Disabled
            CCKM                               : Disabled
            FT dot1x                           : Disabled
            FT PSK                             : Disabled
            Dot1x-SHA256                       : Disabled
            PSK-SHA256                         : Disabled
            SAE                                : Enabled
            OWE                                : Disabled
            SUITEB-1X                          : Disabled
            SUITEB192-1X                       : Disabled
    CCKM TSF Tolerance                         : 1000
    OSEN                                       : Disabled
    FT Support                                 : Adaptive
        FT Reassociation Timeout               : 20
        FT Over-The-DS mode                    : Enabled
    PMF Support                                : Required
        PMF Association Comeback Timeout       : 1
        PMF SA Query Time                      : 200
    Web Based Authentication                   : Disabled
    Conditional Web Redirect                   : Disabled
    Splash-Page Web Redirect                   : Disabled
    Webauth On-mac-filter Failure              : Disabled
    Webauth Authentication List Name           : Disabled
    Webauth Authorization List Name            : Disabled
    Webauth Parameter Map                      : Disabled
!
!
!

SAE 認証を済ませたクライアントの正しい AKM を表示するには、次のコマンドを使用します。

Device# show wireless client mac-address <e0ca.94c9.6be0> detail

Client MAC Address : e0ca.94c9.6be0
!
!
!
Wireless LAN Name: WPA3

!
!
!
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : SAE
!
!
!

OWE 認証を済ませたクライアントの正しい AKM を表示するには、次のコマンドを使用します。

Device# show wireless client mac-address <e0ca.94c9.6be0> detail

Client MAC Address : e0ca.94c9.6be0
!
!
!
Wireless LAN Name: WPA3

!
!
!
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
!
!
!

ローカルに保存された PMK キャッシュのリストを表示するには、次のコマンドを使用します。 

Device# show wireless pmk-cache

Number of PMK caches in total : 0

Type      Station             Entry Lifetime  VLAN Override         IP Override         Audit-Session-Id              Username
--------------------------------------------------------------------------------------------------------------------------------------

WLAN での WPA3 SAE H2E サポートの確認

WLAN ID に基づいて WLAN プロパティ(PWE 方式)を表示するには、次のコマンドを使用します。

Device# show wlan id 1
WLAN Profile Name     : wpa3
================================================
Identifier                                     : 1
Description                                    : 
Network Name (SSID)                            : wpa3
Status                                         : Enabled
Broadcast SSID                                 : Enabled
Advertise-Apname                               : Disabled
Universal AP Admin                             : Disabled
Max Associated Clients per WLAN                : 0
Max Associated Clients per AP per WLAN         : 0
Max Associated Clients per AP Radio per WLAN   : 200
OKC                                            : Enabled
Number of Active Clients                       : 0
CHD per WLAN                                   : Enabled
WMM                                            : Allowed
WiFi Direct Policy                             : Disabled
Channel Scan Defer Priority:
  Priority (default)                           : 5
  Priority (default)                           : 6
Scan Defer Time (msecs)                        : 100
Media Stream Multicast-direct                  : Disabled
CCX - AironetIe Support                        : Disabled
Peer-to-Peer Blocking Action                   : Disabled
DTIM period for 802.11a radio                  : 1
DTIM period for 802.11b radio                  : 1
Local EAP Authentication                       : Disabled
Mac Filter Authorization list name             : Disabled
Mac Filter Override Authorization list name    : Disabled
Accounting list name                           : 
802.1x authentication list name                : Disabled
802.1x authorization list name                 : Disabled
Security
    802.11 Authentication                      : Open System
    Static WEP Keys                            : Disabled
    Wi-Fi Protected Access (WPA/WPA2/WPA3)     : Enabled
        WPA (SSN IE)                           : Disabled
        WPA2 (RSN IE)                          : Disabled
        WPA3 (WPA3 IE)                         : Enabled
            AES Cipher                         : Enabled
            CCMP256 Cipher                     : Disabled
            GCMP128 Cipher                     : Disabled
            GCMP256 Cipher                     : Disabled
        Auth Key Management
            802.1x                             : Disabled
            PSK                                : Disabled
            CCKM                               : Disabled
            FT dot1x                           : Disabled
            FT PSK                             : Disabled
            Dot1x-SHA256                       : Disabled
            PSK-SHA256                         : Disabled
            SAE                                : Enabled
            OWE                                : Disabled
            SUITEB-1X                          : Disabled
            SUITEB192-1X                       : Disabled
    SAE PWE Method                             : Hash to Element(H2E)
    Transition Disable                         : Disabled
    CCKM TSF Tolerance (msecs)                 : 1000
    OWE Transition Mode                        : Disabled
    OSEN                                       : Disabled
    FT Support                                 : Disabled
        FT Reassociation Timeout (secs)        : 20
        FT Over-The-DS mode                    : Disabled
    PMF Support                                : Required
        PMF Association Comeback Timeout (secs): 1
        PMF SA Query Time (msecs)              : 200
    Web Based Authentication                   : Disabled
    Conditional Web Redirect                   : Disabled
    Splash-Page Web Redirect                   : Disabled
    Webauth On-mac-filter Failure              : Disabled
    Webauth Authentication List Name           : Disabled
    Webauth Authorization List Name            : Disabled
    Webauth Parameter Map                      : Disabled
Band Select                                    : Disabled
Load Balancing                                 : Disabled
Multicast Buffer                               : Disabled
Multicast Buffers (frames)                     : 0
IP Source Guard                                : Disabled
Assisted-Roaming
    Neighbor List                              : Enabled
    Prediction List                            : Disabled
    Dual Band Support                          : Disabled
IEEE 802.11v parameters
    Directed Multicast Service                 : Enabled
    BSS Max Idle                               : Enabled
        Protected Mode                         : Disabled
    Traffic Filtering Service                  : Disabled
    BSS Transition                             : Enabled
        Disassociation Imminent                : Disabled
            Optimised Roaming Timer (TBTTS)    : 40
            Timer (TBTTS)                      : 200
        Dual Neighbor List                     : Disabled
    WNM Sleep Mode                             : Disabled
802.11ac MU-MIMO                               : Enabled
802.11ax parameters
    802.11ax Operation Status                  : Enabled
    OFDMA Downlink                             : Enabled
    OFDMA Uplink                               : Enabled
    MU-MIMO Downlink                           : Enabled
    MU-MIMO Uplink                             : Enabled
    BSS Target Wake Up Time                    : Enabled
    BSS Target Wake Up Time Broadcast Support  : Enabled
802.11 protocols in 2.4ghz band
    Protocol                                   : dot11bg
Advanced Scheduling Requests Handling          : Enabled
mDNS Gateway Status                            : Bridge
WIFI Alliance Agile Multiband                  : Disabled
Device Analytics
    Advertise Support                          : Enabled
    Advertise Support for PC analytics         : Enabled
    Share Data with Client                     : Disabled
Client Scan Report (11k Beacon Radio Measurement)
    Request on Association                     : Disabled
    Request on Roam                            : Disabled
WiFi to Cellular Steering                      : Disabled
Advanced Scheduling Requests Handling          : Enabled
Locally Administered Address Configuration
    Deny LAA clients                           : Disabled

PWE 方式を H2E または HnP として使用しているクライアント関連付けを確認するには、次のコマンドを使用します。

Device# show wireless client mac-address e884.a52c.47a5 detail
Client MAC Address : e884.a52c.47a5
Client MAC Type : Universally Administered Address
Client DUID: NA
Client IPv4 Address : 11.11.0.65
Client IPv6 Addresses : fe80::c80f:bb8c:86f6:f71f
Client Username: N/A
AP MAC Address : d4ad.bda2.e9e0
AP Name: APA453.0E7B.E73C
AP slot : 1
Client State : Associated
Policy Profile : default-policy-profile
Flex Profile : N/A
Wireless LAN Id: 1
WLAN Profile Name: wpa3
Wireless LAN Network Name (SSID): wpa3
BSSID : d4ad.bda2.e9ef
Connected For : 72 seconds 
Protocol : 802.11ax - 5 GHz
Channel : 36
Client IIF-ID : 0xa0000001
Association Id : 2
Authentication Algorithm : Simultaneous Authentication of Equals (SAE)
Idle state timeout : N/A
Session Timeout : 1800 sec (Remaining time: 1728 sec)
Session Warning Time : Timer not running
Input Policy Name  : None
Input Policy State : None
Input Policy Source : None
Output Policy Name  : None
Output Policy State : None
Output Policy Source : None
WMM Support : Enabled
U-APSD Support : Disabled
Fastlane Support : Disabled
Client Active State : Active
Power Save : OFF
Current Rate : m6 ss2
Supported Rates : 6.0,9.0,12.0,18.0,24.0,36.0,48.0,54.0
AAA QoS Rate Limit Parameters:
  QoS Average Data Rate Upstream             : 0 (kbps)
  QoS Realtime Average Data Rate Upstream    : 0 (kbps)
  QoS Burst Data Rate Upstream               : 0 (kbps)
  QoS Realtime Burst Data Rate Upstream      : 0 (kbps)
  QoS Average Data Rate Downstream           : 0 (kbps)
  QoS Realtime Average Data Rate Downstream  : 0 (kbps)
  QoS Burst Data Rate Downstream             : 0 (kbps)
  QoS Realtime Burst Data Rate Downstream    : 0 (kbps)
Mobility:
  Move Count                  : 0
  Mobility Role               : Local
  Mobility Roam Type          : None
  Mobility Complete Timestamp : 08/24/2021 04:39:47 Pacific
Client Join Time:
  Join Time Of Client : 08/24/2021 04:39:47 Pacific
Client State Servers : None
Client ACLs : None
Policy Manager State: Run
Last Policy Manager State : IP Learn Complete
Client Entry Create Time : 72 seconds 
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : SAE
AAA override passphrase : No
SAE PWE Method : Hash to Element(H2E)
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable
VLAN Override after Webauth : No
VLAN : VLAN0011
Multicast VLAN : 0
WiFi Direct Capabilities:
  WiFi Direct Capable           : No
Central NAT : DISABLED
Session Manager:
  Point of Attachment : capwap_90000006
  IIF ID             : 0x90000006
  Authorized         : TRUE
  Session timeout    : 1800
  Common Session ID: 000000000000000C76750C17
  Acct Session ID  : 0x00000000
  Auth Method Status List
  	Method : SAE
  Local Policies:
  	Service Template : wlan_svc_default-policy-profile_local (priority 254)
  		VLAN             : VLAN0011
  		Absolute-Timer   : 1800
  Server Policies:
  Resultant Policies:
                VLAN Name        : VLAN0011
  		VLAN             : 11
  		Absolute-Timer   : 1800
DNS Snooped IPv4 Addresses : None
DNS Snooped IPv6 Addresses : None
Client Capabilities
  CF Pollable : Not implemented
  CF Poll Request : Not implemented
  Short Preamble : Not implemented
  PBCC : Not implemented
  Channel Agility : Not implemented
  Listen Interval : 0
Fast BSS Transition Details :
  Reassociation Timeout : 0
11v BSS Transition : Implemented
11v DMS Capable : No
QoS Map Capable : Yes
FlexConnect Data Switching : N/A
FlexConnect Dhcp Status : N/A
FlexConnect Authentication : N/A
Client Statistics:
  Number of Bytes Received from Client : 21757
  Number of Bytes Sent to Client : 4963
  Number of Packets Received from Client : 196
  Number of Packets Sent to Client : 37
  Number of Policy Errors : 0
  Radio Signal Strength Indicator : -72 dBm
  Signal to Noise Ratio : 20 dB
Fabric status : Disabled
Radio Measurement Enabled Capabilities
  Capabilities: Neighbor Report, Passive Beacon Measurement, Active Beacon Measurement, Table Beacon Measurement
Client Scan Report Time : Timer not running
Client Scan Reports 
Assisted Roaming Neighbor List

H2E および HnP を使用する SAE 認証の数を表示するには、次のコマンドを使用します。

Device# show wireless stats client detail
Total Number of Clients : 0

Protocol Statistics

-----------------------------------------------------------------------------
Protcol            Client Count
 802.11b              : 0
 802.11g              : 0
 802.11a              : 0
 802.11n-2.4GHz       : 0
 802.11n-5 GHz        : 0
 802.11ac             : 0
 802.11ax-5 GHz       : 0
 802.11ax-2.4 GHz     : 0
  802.11ax-6 GHz      : 0



Current client state statistics:
-----------------------------------------------------------------------------
  Authenticating         : 0
  Mobility               : 0
  IP Learn               : 0
  Webauth Pending        : 0
  Run                    : 0
  Delete-in-Progress     : 0


Client Summary
-----------------------------
Current Clients : 0
Excluded Clients: 0
Disabled Clients: 0
Foreign Clients : 0
Anchor Clients  : 0
Local Clients   : 0
Idle Clients    : 0
Locally Administered MAC Clients: 0

client global statistics:
-----------------------------------------------------------------------------
Total association requests received              : 0
Total association attempts                       : 0
Total FT/LocalAuth requests                      : 0
Total association failures                       : 0
Total association response accepts               : 0
Total association response rejects               : 0
Total association response errors                : 0
Total association failures due to exclusion list      : 0
Total association drops due to multicast mac     : 0
Total association drops due to random mac        : 0
Total association drops due to throttling        : 0
Total association drops due to unknown bssid     : 0
Total association drops due to parse failure     : 0
Total association drops due to other reasons     : 0
Total association requests wired clients         : 0
Total association drops wired clients            : 0
Total association success wired clients          : 0
Total peer association requests wired clients    : 0
Total peer association drops wired clients       : 0
Total peer association success wired clients     : 0
Total association success wifi direct clients    : 0
Total association rejects wifi direct clients    : 0
Total association response errors                : 0
Total 11r ft authentication requests received    : 0
Total 11r ft authentication response success     : 0
Total 11r ft authentication response failure     : 0
Total 11r ft action requests received            : 0
Total 11r ft action response success             : 0
Total 11r ft action response failure             : 0
Total 11r PMKR0-Name mismatch                    : 0
Total 11r PMKR1-Name mismatch                    : 0
Total 11r MDID mismatch                          : 0
Total AID allocation failures                    : 0
Total AID free failures                          : 0
Total Roam Across Policy Profiles                : 0
Total roam attempts                              : 0
  Total CCKM roam attempts                       : 0
  Total 11r roam attempts                        : 0
  Total 11r slow roam attempts                   : 0
  Total 11i fast roam attempts                   : 0
  Total 11i slow roam attempts                   : 0
  Total other roam type attempts                 : 0
Total roam failures in dot11                     : 0

Total WPA3 SAE attempts                          : 0
Total WPA3 SAE successful authentications        : 0
Total WPA3 SAE authentication failures           : 0
  Total incomplete protocol failures             : 0
Total WPA3 SAE commit messages received          : 0
Total WPA3 SAE commit messages rejected                                 : 0
  Total unsupported group rejections                                    : 0
  Total PWE method mismatch for SAE Hash to Element commit received     : 0
  Total PWE method mismatch for SAE Hunting And Pecking commit received : 0
Total WPA3 SAE commit messages sent              : 0
Total WPA3 SAE confirm messages received         : 0
Total WPA3 SAE confirm messages rejected         : 0
  Total WPA3 SAE message confirm field mismatch  : 0
  Total WPA3 SAE confirm message invalid length  : 0
Total WPA3 SAE confirm messages sent             : 0
Total WPA3 SAE Open Sessions                     : 0
Total SAE Message drops due to throttling        : 0
Total WPA3 SAE Hash to Element commit received   : 0
Total WPA3 SAE Hunting and Pecking commit received : 0

Total Flexconnect local-auth roam attempts       : 0
  Total AP 11i fast roam attempts                : 0
  Total AP 11i slow roam attempts                : 0
  Total 11r flex roam attempts                   : 0

WLAN での WPA3 移行の無効化の確認

WLAN ID に基づいて WLAN プロパティ(移行の無効化)を表示するには、次のコマンドを使用します。

Device# show wlan id 7

WLAN Profile Name     : wl-sae
================================================
Identifier                                     : 7
Description                                    : 
Network Name (SSID)                            : wl-sae
Status                                         : Enabled
Broadcast SSID                                 : Enabled
Advertise-Apname                               : Disabled
Universal AP Admin                             : Disabled
Max Associated Clients per WLAN                : 0
Max Associated Clients per AP per WLAN         : 0
Max Associated Clients per AP Radio per WLAN   : 200
OKC                                            : Enabled
Number of Active Clients                       : 0
CHD per WLAN                                   : Enabled
WMM                                            : Allowed
WiFi Direct Policy                             : Disabled
Channel Scan Defer Priority:
  Priority (default)                           : 5
  Priority (default)                           : 6
Scan Defer Time (msecs)                        : 100
Media Stream Multicast-direct                  : Disabled
CCX - AironetIe Support                        : Disabled
Peer-to-Peer Blocking Action                   : Disabled
Configured Radio Bands                         : All
Operational State of Radio Bands
    2.4ghz                                     : UP
    5ghz                                       : UP
DTIM period for 802.11a radio                  : 
DTIM period for 802.11b radio                  : 
Local EAP Authentication                       : Disabled
Mac Filter Authorization list name             : Disabled
Mac Filter Override Authorization list name    : Disabled
Accounting list name                           : 
802.1x authentication list name                : Disabled
802.1x authorization list name                 : Disabled
Security
    802.11 Authentication                      : Open System
    Static WEP Keys                            : Disabled
    Wi-Fi Protected Access (WPA/WPA2/WPA3)     : Enabled
        WPA (SSN IE)                           : Disabled
        WPA2 (RSN IE)                          : Enabled
            MPSK                               : Disabled
            EasyPSK                            : Disabled
            AES Cipher                         : Enabled
            CCMP256 Cipher                     : Disabled
            GCMP128 Cipher                     : Disabled
            GCMP256 Cipher                     : Disabled
            Randomized GTK                     : Disabled
        WPA3 (WPA3 IE)                         : Enabled
            AES Cipher                         : Enabled
            CCMP256 Cipher                     : Disabled
            GCMP128 Cipher                     : Disabled
            GCMP256 Cipher                     : Disabled
        Auth Key Management
            802.1x                             : Disabled
            PSK                                : Enabled
            CCKM                               : Disabled
            FT dot1x                           : Disabled
            FT PSK                             : Disabled
            Dot1x-SHA256                       : Disabled
            PSK-SHA256                         : Disabled
            SAE                                : Enabled
            OWE                                : Disabled
            SUITEB-1X                          : Disabled
            SUITEB192-1X                       : Disabled
    Transition Disable                         : Enabled
    CCKM TSF Tolerance (msecs)                 : 1000

移行の無効化を使用しているクライアント関連付けを確認するには、次のコマンドを使用します。

Device# show wireless client mac-address 2c33.7a5b.8fc5 detail
Client MAC Address : 2c33.7a5b.8fc5
Client MAC Type : Universally Administered Address
Client DUID: NA
Client IPv4 Address : 166.166.1.101
Client Username: N/A
AP MAC Address : 7c21.0d48.ed00
AP Name: APF4BD.9EBD.A66C
AP slot : 0
Client State : Associated
Policy Profile : po-sae
Flex Profile : N/A
Wireless LAN Id: 7
WLAN Profile Name: wl-sae
Wireless LAN Network Name (SSID): wl-sae
BSSID : 7c21.0d48.ed02
Connected For : 15 seconds
Protocol : 802.11n - 2.4 GHz
Channel : 11
Client IIF-ID : 0xa0000002
Association Id : 1
Authentication Algorithm : Simultaneous Authentication of Equals (SAE)
Idle state timeout : N/A
Session Timeout : 1800 sec (Remaining time: 1787 sec)
Session Warning Time : Timer not running
Input Policy Name : None
Input Policy State : None
Input Policy Source : None
Output Policy Name : None
Output Policy State : None
Output Policy Source : None
WMM Support : Enabled
U-APSD Support : Disabled
Fastlane Support : Disabled
Client Active State : In-Active
Power Save : OFF
Supported Rates : 1.0,2.0,5.5,6.0,9.0,11.0,12.0,18.0,24.0,36.0,48.0,54.0
AAA QoS Rate Limit Parameters:
QoS Average Data Rate Upstream : 0 (kbps)
QoS Realtime Average Data Rate Upstream : 0 (kbps)
QoS Burst Data Rate Upstream : 0 (kbps)
QoS Realtime Burst Data Rate Upstream : 0 (kbps)
QoS Average Data Rate Downstream : 0 (kbps)
QoS Realtime Average Data Rate Downstream : 0 (kbps)
QoS Burst Data Rate Downstream : 0 (kbps)
QoS Realtime Burst Data Rate Downstream : 0 (kbps)
Mobility:
Move Count : 0
Mobility Role : Local
Mobility Roam Type : None
Mobility Complete Timestamp : 05/16/2021 11:18:14 UTC
Client Join Time:
Join Time Of Client : 05/16/2021 11:18:14 UTC
Client State Servers : None
Client ACLs : None
Policy Manager State: Run
Last Policy Manager State : IP Learn Complete
Client Entry Create Time : 15 seconds
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : SAE
AAA override passphrase : No
Transition Disable Bitmap : 0x01
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes