アクセスポイントの WPA3 セキュリティ機能拡張

アクセスポイントの WPA3 セキュリティ機能拡張について

暗号スイート

暗号スイートは、無線 LAN 上の無線通信を保護するように設計された暗号化と整合性アルゴリズムのセットです。Wi-Fi Protected Access(WPA)、WPA2、WPA3、または Cisco Centralized Key Management(CCKM)を使用する場合は、暗号スイートを使用する必要があります。Wired Equivalent Privacy(WEP)は、802.11 ワイヤレスネットワークの関連付けに使用されるワイヤレス認証の形式です。

データ保護のためのワイヤレス暗号化方式

暗号化は、データを難読化する方法を使用してデータを保護し、不正なユーザーがアクセスできないようにするために使用されます。ワイヤレス認証では、次の暗号化プロトコルが使用されます。

  • Temporal Key Integrity Protocol(TKIP):TKIP は WPA で使用される暗号化方式であり、レガシー WLAN 機器をサポートします。TKIP で、802.11 WEP 暗号化方式に関連する元の欠点に対処します。WEP を使用しますが、TKIP を使用してレイヤ 2 ペイロードを暗号化し、暗号化されたパケットでメッセージ整合性チェック(MIC)を実行して、メッセージが変更されていないことを確認します。

  • Advanced Encryption Standard(AES):AES は強力な暗号化のため、推奨される方式です。AES は、Counter Cipher Mode with Block Chaining Message Authentication Code Protocol(CCMP)を使用します。これにより、接続先ホストは、暗号化されたビットと暗号化されていないビットが変更されたかどうかを認識できます。

    CCMP は、Wi-Fi Protected Access 2(WPA2)で使用する標準規格の暗号化プロトコルであり、WEP プロトコル、および WPA の TKIP よりもはるかに安全です。

  • Galois/Counter Mode Protocol(GCMP):GCMP は CCMP よりも安全で効率的です。

GCMP ベースの暗号を使用する利点

  • セキュアな通信とデータ伝送を提供します。

  • 機密性と整合性の保護を提供します。

  • 並列処理と高速暗号化を提供します。

Cisco IOS XE 17.15.1 の CCMP ベースおよび GCMP ベースの暗号

超高スループット(EHT)デバイスの速度とセキュリティを向上させるために、Cisco IOS XE 17.15.1 以降では、CCMP ベースの暗号と GCMP ベースの暗号が強化されています。

Cisco IOS XE 17.15.1 のセキュリティ拡張機能

Cisco IOS XE 17.15.1 で開発されたセキュリティ拡張機能は次のとおりです。

サポートされるプラットフォーム

  • Cisco Catalyst 9800-CL Cloud ワイヤレスコントローラ

  • Cisco Catalyst 9800-L ワイヤレスコントローラ

  • Cisco Catalyst 9800-40 ワイヤレスコントローラ

  • Cisco Catalyst 9800-80 ワイヤレスコントローラ

  • Cisco Catalyst 9300 シリーズ スイッチ

  • Catalyst アクセスポイント上の Cisco Embedded Wireless Controller

サポートされるアクセス ポイント

  • Cisco Aironet 2800 シリーズ アクセスポイント

  • Cisco Aironet 3800 シリーズ アクセスポイント

  • Cisco Aironet 4800 シリーズ アクセスポイント

  • Cisco Catalyst 9117 シリーズ アクセスポイント

  • Cisco Catalyst 9124AX シリーズ アクセスポイント

  • Cisco Catalyst 9130AX シリーズ アクセスポイント

  • Cisco Catalyst 9136 シリーズ アクセスポイント

  • Cisco Catalyst 9162 シリーズ アクセスポイント

  • Cisco Catalyst 9164 シリーズ アクセスポイント

  • Cisco Catalyst 9166 シリーズ アクセスポイント

  • Cisco Aironet 1560 シリーズ屋外用アクセス ポイント

注意事項と制約事項

  • WPA3 は Cisco Wave 1 AP ではサポートされていません。

  • GCMP-256 は、Cisco Catalyst 9105、9110、9115、9120 AP、および 1852 などの 802.11ac Wave2 QCA AP ではサポートされていません。

  • ビーコン保護は、9130、9136、9162、9164、および 9166 などの QCA ベースの AP でのみサポートされています。

GCMP-256 暗号および SuiteB-192-1X AKM

GCMP-256 暗号と Suite-B-192-1X AKM の間には強い依存関係があります。したがって、Cisco IOS XE 17.14.1 までは、GCMP-256 暗号を設定する場合、Suite-B-192-1X AKM は自動的に有効になります。コマンドを使用して Suite-B-192-1X AKM を個別に有効にすることはできません。

ただし、Cisco IOS XE 17.15.1 リリースでは、Suite-B-192-1X AKM と GCMP-256 暗号の間の依存関係は特定のコマンドを使用することにより解消され、他のサポートされている AKM を使用して GCMP-256 暗号を設定できます。

SuiteB-192-1X AKM は、最高レベルのセキュリティが要求される米国連邦政府や医療機関の展開などの企業ネットワークに役立ちます。Cisco IOS XE 17.14.1 まで、SuiteB-192-1X AKM は GCMP-256 と関連付けられており、GCMP-256 が WLAN レベルで有効になると暗黙的に有効になっていました。Cisco IOS XE 17.15.1 以降、SuiteB-192-1X AKM を個別に有効にするための新しい AKM 設定が導入され、GCMP-256 暗号設定では暗号のみを設定します。

SuiteB-192-1X AKM の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

[Add WLAN] ウィンドウが表示されます。

ステップ 3

[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。

ステップ 4

[Security] > [Layer2] の順に選択し、次のいずれかのオプションを選択します。

  • WPA + WPA2
  • WPA2 + WPA3
  • WPA3
[Auth Key Mgmt (AKM)] セクションには、[WPA2/WPA3 Encryption] セクションで選択した暗号でサポートされている有効な AKM が入力されます。有効な暗号と AKM の組み合わせは、[Auth Key Mgmt (AKM)] セクションに表示されます。

たとえば、SuiteB-192-1x AKM を有効にするには、

  • WPA + WPA2 および WPA2 + WPA3 の有効なセキュリティ暗号化と AKM の組み合わせは、CCMP256 および/または GCMP256 暗号 + SuiteB-192-1X AKM です。

    (注)  

     
    CCMP256 暗号は、SuiteB-192-1X AKM の GCMP256 暗号なしでは有効になりません。

  • WPA3 の有効なセキュリティ暗号化と AKM の組み合わせは、GCMP256 暗号 + SUITEB-192-1X または OWE または SAE-EXT-KEY または FT + SAE-EXT-KEY AKM です。

    (注)  

     

    少なくとも 1 つの AKM を有効にする必要があります。SuiteB-192-1X を有効にするには、[SUITEB 192-1X] チェックボックスをオンにします。

ステップ 5

[WPA2 Encryption] セクションで、[GCMP256] チェックボックスをオンにします。

有効な暗号と AKM の組み合わせは、[Auth Key Mgmt (AKM)] セクションに表示されます。

ステップ 6

[Fast Transition] セクション、[Status] ドロップダウンリストで、[Disabled] を選択します。

(注)  

 
Suite-B 暗号(GCMP256/CCMP256/GCMP128)を設定する場合、[Fast Transition] は無効にします。

ステップ 7

[Auth Key Mgmt (AKM)] セクションで、[SUITEB192-1X] チェックボックスをオンにします。

ステップ 8

[Apply to Device] をクリックします。

SuiteB-192-1X AKM の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-profile-name wlan-id ssid-name

例:

Device(config)# wlan suiteb192-akm-profile 17 suiteb192-akm-ssid01

WLAN プロファイルと SSID を設定します。WLAN コンフィギュレーション モードを開始します。

ステップ 3

no security ft adaptive

例:

Device(config-wlan)# no security ft adaptive

適応型 802.11r を無効にします。

ステップ 4

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

802.1X のセキュリティ AKM を無効にします。

ステップ 5

security wpa akm suiteb-192

例:

Device(config-wlan)# security wpa akm suiteb-192

SuiteB-192-1X サポートを設定します。

ステップ 6

security wpa wpa2 ciphers {aes | ccmp256 | gcmp128 | gcmp256}

例:

Device(config-wlan)# security wpa wpa2 ciphers gcmp256

GCMP256 サポートを設定します。

SAE-EXT-KEY サポート

新しい SAE AKM、つまり SAE-EXT-KEY(24)と FT-SAE-EXT-KEY(25)は、Cisco IOS XE 17.15.1 リリースで導入されました。デバイスは、新しい SAE AKM(24/25)を使用して接続し、暗号化のために GCMP-256 暗号、CCMP-128 暗号、これらの組み合わせ、または両方の暗号とネゴシエートできます。


(注)  

新しい AKM を表示するには、WPA3 ポリシーが有効になっていることを確認します。

SAE-EXT-KEY AKM の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

[Add WLAN] ウィンドウが表示されます。

ステップ 3

[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。

ステップ 4

[Security] > [Layer2] の順に選択し、次のいずれかのオプションを選択します。

  • WPA2 + WPA3
  • WPA3
[Auth Key Mgmt (AKM)] セクションには、[WPA2/WPA3 Encryption] セクションで選択した暗号でサポートされている有効な AKM が入力されます。有効な AKM が [Auth Key Mgmt (AKM)] セクションに表示されます。

(注)  

 

新しい AKM を表示するには、WPA3 ポリシーが有効になっていることを確認します。

ステップ 5

[WPA2/WPA3 Encryption] セクションで、[GCMP256] チェックボックス、[AES(CCMP128)] チェックボックス、または両方のチェックボックスをオンにします。

(注)  

 
デフォルトでは、[AES(CCMP128)] 暗号のチェックボックスがオンになっています。

AKM は、[Auth Key Mgmt (AKM)] セクションに表示されます。

ステップ 6

[Auth Key Mgmt (AKM)] セクションで、[SAE-EXT-KEY] チェックボックスまたは [FT + SAE-EXT-KEY] チェックボックスをオンにするか、両方の AKM をオンにします。

次の手順を実行します。

  1. [Anti Clogging Threshold] の値を入力します。有効な範囲は 0 ~ 3000 で、デフォルト値は 1500 です。

  2. 有効な [Max Retries] の数を入力します。有効な範囲は 1 ~ 10 で、デフォルト値は 5 です。

  3. [Retransmit Timeout] の値を秒単位で入力します。有効な範囲は 1 ~ 10000 で、デフォルト値は 400 です。

  4. ドロップダウンから [PSK Format] と [PSK Type] を選択します。

  5. 事前共有キーを入力します。

  6. [SAE Password Element] ドロップダウンリストから、次のいずれかの方法を選択して SAE パスワード要素を生成します。

    • [Both H2E and HnP]:パスワード要素は、Hash-to Element(H2E)方式と Hunting and Pecking 方式(HnP)の両方から生成されます。これがデフォルトのオプションです。

    • [Hash to Element only]:この方法では、SAE プロトコルで使用されるシークレットパスワード要素がパスワードから生成されます。H2E は、計算効率が高く、サイドチャネル攻撃に対する堅牢な耐性を提供する非反復アルゴリズムに基づいています。選択すると、HnP は無効になります。

    • [Hunting and Pecking only]:この方法では、反復ループアルゴリズムを使用してパスワード要素を生成します。この方法は攻撃を受けやすいため、他の 2 つの方法を使用することを推奨します。[Hunting and Pecking only] オプションを選択すると、H2E は無効になります。

    (注)  

     

    SAE-EXT-KEY および FT + SAE-EXT-KEY では、パスワード要素モードを [Both H2E and HnP] または [Hash to Element only] にする必要があります。

(注)  

 

WPA2 でオプションを選択する場合は、次の手順を実行して MPSK を設定します。

  1. [MPSK Configuration] セクションで、[Enable MPSK] チェックボックスをオンにします。

  2. [Auth Key Mgmt] セクションで、[PSK Format](デフォルトは ASCII)、[PSK Type](デフォルトは暗号化なし)を選択し、[Pre-Shared Key] を入力します。

  3. [MPSK Configuration] セクションの [Add] をクリックします。

    [Auth Key Mgmt] セクションに、暗号化と暗号の組み合わせに関連する警告またはエラーメッセージがないことを確認します。

  4. [Apply] をクリックし、[Apply to Device] をクリックします。

ステップ 7

[Apply to Device] をクリックします。

SAE-EXT-KEY AKM の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-profile-name wlan-id ssid-name

例:

Device(config)# wlan wlan-profile 17 wlan-ssid01

WLAN プロファイルと SSID を設定します。WLAN コンフィギュレーション モードを開始します。

ステップ 3

no security ft adaptive

例:

Device(config-wlan)# no security ft adaptive

適応型 802.11r を無効にします。

ステップ 4

security wpa psk set-key {ascii | hex} {0 | 8} pre-shared-key

例:

Device(config-wlan)# security wpa psk set-key ascii 0 123456789

事前共有キー(PSK)を ASCII 形式または HEX 形式で設定します。

ステップ 5

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

802.1X のセキュリティ認証キー管理(AKM)を無効にします。

ステップ 6

security wpa akm sae ext-key

例:

Device(config-wlan)# security wpa akm sae ext-key

SAE-EXT-KEY AKM サポートを設定します。

ステップ 7

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 サポートを設定します。

ステップ 8

security wpa wpa2 ciphers

例:

Device(config-wlan)# security wpa wpa2 ciphers gcmp256

WPA2 および GCMP-256 暗号サポートを設定します。

FT-SAE-EXT-KEY AKM の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-profile-name wlan-id ssid-name

例:

Device(config)# wlan wlan-profile 17 wlan-ssid01

WLAN プロファイルと SSID を設定します。WLAN コンフィギュレーション モードを開始します。

ステップ 3

security ft

例:

Device(config-wlan)# security ft adaptive

高速移行を設定します。

ステップ 4

security wpa psk set-key {ascii | hex} {0 | 8} pre-shared-key

例:

Device(config-wlan)# security wpa psk set-key ascii 0 123456789

事前共有キー(PSK)を ASCII 形式または HEX 形式で設定します。

ステップ 5

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

802.1X のセキュリティ認証キー管理(AKM)を無効にします。

ステップ 6

security wpa akm ft sae ext-key

例:

Device(config-wlan)# security wpa akm ft sae ext-key

FT-SAE-EXT-KEY AKM サポートを設定します。

ステップ 7

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 サポートを設定します。

ステップ 8

security wpa wpa2 ciphers

例:

Device(config-wlan)# security wpa wpa2 ciphers gcmp256

WPA2 および GCMP-256 暗号サポートを設定します。

AP ビーコン保護

AP ビーコン保護機能は、攻撃者が AP ビーコンおよび対応する AP 機能を変更するのを回避するのに役立ちます。

AP ビーコン保護の機能は次のとおりです。

  • 攻撃者によるアクティブな攻撃とビーコンの変更を回避します。

  • 正規の AP は 4 ウェイハンドシェイク中にビーコン整合性キーを送信します。

  • 正規の AP はビーコン整合性キーを使用して、ビーコンを介して送信される MIC を生成します。

  • クライアントは MIC 検証に基づいて攻撃者 AP ビーコンを拒否します。

AP ビーコン保護の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

[Add WLAN] ウィンドウが表示されます。

ステップ 3

[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。

ステップ 4

[Security] > [Layer 2] を選択し、[WPA2 + WPA3] オプションまたは [WPA3] オプションを選択します。

WPA3 ポリシーを有効にすると、[WPA parameters] セクションに [Beacon Protection] チェックボックスが表示されます。

ステップ 5

[Beacon Protection] チェックボックスをオンにします。

(注)  

 

ビーコン保護を有効にするには、保護された管理フレーム(PMF)が必要です。

ステップ 6

[Apply to Device] をクリックします。

AP ビーコン保護の設定(CLI)

ビーコン保護は、任意の WPA3 AKM(SAE、FT-SAE、SAE-EXT-KEY、FT-SAE-EXT-KEY、OWE、DOT1X-SHA256、および FT-DOT1X)に対して有効にできます。この例で設定されている SAE AKM は、任意の WPA3 AKM に置き換えることができます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-profile-name wlan-id ssid-name

例:

Device(config)# wlan ap-beacon-profile 17 ap-beacon-ssid01

WLAN プロファイルと SSID を設定します。WLAN コンフィギュレーション モードを開始します。

ステップ 3

no security ft adaptive

例:

Device(config-wlan)# no security ft adaptive

適応型 802.11r を無効にします。

ステップ 4

security wpa psk set-key {ascii | hex} {0 | 8} pre-shared-key

例:

Device(config-wlan)# security wpa psk set-key ascii 0 123456789

事前共有キー(PSK)を ASCII 形式または HEX 形式で設定します。

ステップ 5

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

802.1X のセキュリティ認証キー管理(AKM)を無効にします。

ステップ 6

security wpa akm sae

例:

Device(config-wlan)# security wpa akm sae

SAE サポートを設定します。

ステップ 7

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 サポートを設定します。

ステップ 8

security wpa wpa3 beacon-protection

例:

Device(config-wlan)# security wpa wpa3 beacon-protection

AP ビーコン保護を設定します。

ステップ 9

no security wpa wpa2

例:

Device(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。

ステップ 10

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

WLAN ごとの複数の暗号サポート

Cisco IOS XE 17.14.1 までは、WLAN で単一の暗号のみが許可されていたため、WLAN レベルで限られた数の AKM のみが有効になっていました。CCMP-128 暗号のみが複数の AKM で使用され、GCMP-128 は Suite-B-1x AKM と緊密にカップリングされ、CCMP-256/GCMP-256 は Suite-B-192-1x AKM と緊密にカップリングされました。

特定のデバイスに新しい AKM がある場合、これらのデバイスには GCMP-256 サポートが必要です。ただし、1 つの WLAN で GCMP-256 のデバイスと CCMP-128 のデバイスの両方にサービスを提供します。したがって、Cisco IOS XE 17.15.1 以降では、同じ WLAN で複数の AKM と複数の暗号の組み合わせがサポートされています。

ペアワイズ暗号スイート、グループ暗号スイート、および管理暗号スイートのマッピング

WLAN に設定された暗号スイートは、ビーコンまたはプローブ応答でブロードキャストされるペアワイズ暗号スイート、グループ暗号スイート、および管理暗号スイートにマッピングされます。

設定済みの暗号スイート

ペアワイズ暗号スイート

グループ暗号スイート

管理暗号スイート

CCMP-128 のみ

CCMP-128

CCMP-128

BIP-CMAC-128

GCMP-256 のみ

GCMP-256

GCMP-256 管理

BIP-GMAC-256

CCMP-128 + GCMP-256

CCMP-128 または GCMP-256(クライアントが選択)

CCMP-128

BIP-CMAC-128

複数の暗号の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

[Add WLAN] ウィンドウが表示されます。

ステップ 3

[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。

ステップ 4

[Security] > [Layer2] の順に選択し、次のいずれかのオプションを選択します。

  • WPA + WPA2
  • WPA2 + WPA3
  • WPA3

デフォルトでは、[AES(CCMP128)] 暗号がオンになっています。

[Auth Key Mgmt (AKM)] セクションには、[WPA2/WPA3 Encryption] セクションで選択した暗号でサポートされている有効な AKM が入力されます。有効な暗号と AKM の組み合わせは、[Auth Key Mgmt (AKM)] セクションに表示されます。

ステップ 5

[WPA2/WPA3 Encryption] で、[GCMP256] チェックボックス、[AES(CCMP128)] チェックボックス、または両方のチェックボックスをオンにして、同じ WLAN 内の AKM を表示します。

ステップ 6

[Auth Key Mgmt (AKM)] セクションで、[AKM] チェックボックスをオンにして、必要な AKM を有効にします。少なくとも 1 つの AKM を有効にする必要があります。

ステップ 7

[Apply to Device] をクリックします。

複数の暗号の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-profile-name wlan-id ssid-name

例:

Device(config)# wlan wlan-profile 17 wlan-ssid01

WLAN プロファイルと SSID を設定します。WLAN コンフィギュレーション モードを開始します。

ステップ 3

no security ft adaptive

例:

Device(config-wlan)# no security ft adaptive

適応型 802.11r を無効にします。

ステップ 4

security wpa psk set-key {ascii | hex} {0 | 8} pre-shared-key

例:

Device(config-wlan)# security wpa psk set-key ascii 0 123456789

事前共有キー(PSK)を ASCII 形式または HEX 形式で設定します。

ステップ 5

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

802.1X のセキュリティ AKM を無効にします。

ステップ 6

security wpa akm sae

例:

Device(config-wlan)# security wpa akm sae

SAE サポートを設定します。

ステップ 7

security wpa akm sae ext-key

例:

Device(config-wlan)# security wpa akm sae ext-key

SAE-EXT-KEY AKM サポートを設定します。

ステップ 8

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 サポートを設定します。

ステップ 9

security wpa wpa2 ciphers {aes | ccmp256 | gcmp128 | gcmp256}

例:

Device(config-wlan)# security wpa wpa2 ciphers aes

WPA2 暗号サポートを設定します。この例では、CCMP-128 暗号が設定されます。

ステップ 10

security wpa wpa2 ciphers {aes | ccmp256 | gcmp128 | gcmp256}

例:

Device(config-wlan)# security wpa wpa2 ciphers gcmp256

別の WPA2 暗号サポート(複数の暗号サポート)を設定します。この例では、GCMP-256 暗号が設定されます。

GCMP-256 暗号による Opportunistic Wireless Encryption(OWE)サポート

Cisco IOS XE 17.14.1 まで、OWE は CCMP-128 暗号でサポートされていました。Cisco IOS XE 17.15.1 以降、OWE 関連付けは CCMP-128 暗号と GCMP-256 暗号の両方でサポートされています。両方の暗号方式を設定した場合、クライアントは関連付けリクエストで接続中に目的の暗号スイートを選択します。

Opportunistic Wireless Encryption AKM の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

[Add WLAN] ウィンドウが表示されます。

ステップ 3

[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。

ステップ 4

[Security] > [Layer 2] の順に選択し、[WPA3] オプションをクリックします。

ステップ 5

[WPA2/WPA3 Encryption] セクションで、[GCMP256] チェックボックス、[AES(CCMP128)] チェックボックス、または両方のチェックボックスをオンにします。デフォルトでは、[AES(CCMP128)] チェックボックスがオンになっています。

ステップ 6

[Fast Transition] セクション、[Status] ドロップダウンリストから、[Disabled] を選択します。

ステップ 7

[Auth Key Mgmt (AKM)] セクションで、[OWE] チェックボックスをオンにします。

[Transition Mode WLAN ID] フィールドが表示されます。

ステップ 8

[Transition Mode WLAN ID] を入力します。移行モード WLAN ID 範囲は WLAN ID 範囲と同じです。つまり、有効な範囲は 0 ~ 4096 です。

ステップ 9

[Apply to Device] をクリックします。

Opportunistic Wireless Encryption AKM の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan wlan-profile-name wlan-id ssid-name

例:

Device(config)# wlan wlan-profile 17 wlan-ssid01

WLAN プロファイルと SSID を設定します。WLAN コンフィギュレーション モードを開始します。

ステップ 3

no security ft adaptive

例:

Device(config-wlan)# no security ft adaptive

適応型 802.11r を無効にします。

ステップ 4

security wpa akm owe

例:

Device(config-wlan)# security wpa akm owe

OWE AKM を設定します。

SAE-EXT-KEY AKM サポートの確認

SAE-EXT-KEY AKM の概要

SAE-EXT-KEY AKM の概要を表示するには、次のコマンドを使用します。

Device# show wlan summary
Number of WLANs: 5

ID   Profile Name                     SSID                             Status 2.4GHz/5GHz Security                            6GHz Security
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1    wpa3-sae_profile                 wpa3-sae                         UP     [WPA3][SAE][AES]                                [WPA3][SAE][AES]
2    wpa3-sae-ext_profile             wpa3-sae-ext                     UP     [WPA3][SAE-EXT-KEY][GCMP256]                    [WPA3][SAE-EXT-KEY][GCMP256]
3    wpa3-sae-ext-mab_profile         wpa3-sae-ext-mab                 UP     [WPA3][MAB][SAE-EXT-KEY][GCMP256]               [WPA3][MAB][SAE-EXT-KEY][GCMP256]
4    wpa3-sae-ext-webauth_profile     wpa3-sae-ext-webauth_profile     UP     [WPA3][SAE-EXT-KEY][Webauth][GCMP256]           [WPA3][SAE-EXT-KEY][Webauth][GCMP256]
5    wpa3-sae-ext-mab-webauth_profile wpa3-sae-ext-mab-webauth_profile UP     [WPA3][MAB][SAE-EXT-KEY][Webauth][GCMP256]      [WPA3][MAB][SAE-EXT-KEY][Webauth][GCMP256]
6    wpa3-ft-sae_profile              wpa3-ft-sae                      UP     [WPA3][FT + SAE][AES]                           [WPA3][FT + SAE][AES]
7    wpa3-ft-sae-ext_profile          wpa3-ft-sae-ext                  UP     [WPA3][FT + SAE-EXT-KEY][GCMP256]               [WPA3][FT + SAE-EXT-KEY][GCMP256]
8    wpa3-ft-sae-ext-mab_profile      wpa3-ft-sae-ext-mab              UP     [WPA3][MAB][FT + SAE-EXT-KEY][GCMP256]          [WPA3][MAB][FT + SAE-EXT-KEY][GCMP256]
9    wpa3-ft-sae-ext-webauth_profile  wpa3-ft-sae-ext-webauth          UP     [WPA3][FT + SAE-EXT-KEY][Webauth][GCMP256]      [WPA3][FT + SAE-EXT-KEY][Webauth][GCMP256]
10   wpa3-ft-sae-ext-mab-webauth_pro  wpa3-ft-sae-ext-mab-webauth      UP     [WPA3][MAB][FT + SAE-EXT-KEY][Webauth][GCMP256] [WPA3][MAB][FT + SAE-EXT-KEY][Webauth][GCMP256]

WLAN プロファイルの SAE-EXT-KEY および FT-SAE-EXT-KEY AKM

SAE-EXT-KEY および FT-SAE-EXT-KEY AKM の詳細を表示するには、次のコマンドを使用します。

Device# show wlan name wpa3-sae-ext-key-profile
WLAN Profile Name     : wpa3-sae-ext-key-profile
================================================
Identifier                                     : 2
Description                                    :
Network Name (SSID)                            : wpa3-sae-ext-key
<...>
Security
    802.11 Authentication                      : Open System
    Static WEP Keys                            : Disabled
    Wi-Fi Protected Access (WPA/WPA2/WPA3)     : Enabled
        WPA (SSN IE)                           : Disabled
        WPA2 (RSN IE)                          : Disabled
        WPA3 (WPA3 IE)                         : Enabled
            AES Cipher                         : Disabled
            CCMP256 Cipher                     : Disabled
            GCMP128 Cipher                     : Disabled
            GCMP-256 Cipher                     : Enabled
        Auth Key Management
            802.1x                             : Disabled
            PSK                                : Disabled
            CCKM                               : Disabled
            FT dot1x                           : Disabled
            FT PSK                             : Disabled
            FT SAE                             : Disabled
            FT SAE-EXT-KEY                     : Disabled
            Dot1x-SHA256                       : Disabled
            PSK-SHA256                         : Disabled
            SAE                                : Disabled
            SAE-EXT-KEY                        : Enabled
            OWE                                : Disabled
            SUITEB-1X                          : Disabled
            SUITEB192-1X                       : Disabled
    SAE PWE Method                             : Hash to Element, Hunting and Pecking(H2E-HNP)
.
.
.



Device# show wlan name wpa3-ft-sae-ext-key-profile
WLAN Profile Name     : wpa3-ft-sae-ext-key-profile
================================================
Identifier                                     : 7
Description                                    :
Network Name (SSID)                            : wpa3-ft-sae-ext-key
<...>
Security
    802.11 Authentication                      : Open System
    Static WEP Keys                            : Disabled
    Wi-Fi Protected Access (WPA/WPA2/WPA3)     : Enabled
        WPA (SSN IE)                           : Disabled
        WPA2 (RSN IE)                          : Disabled
        WPA3 (WPA3 IE)                         : Enabled
            AES Cipher                         : Disabled
            CCMP256 Cipher                     : Disabled
            GCMP128 Cipher                     : Disabled
            GCMP-256 Cipher                     : Enabled
        Auth Key Management
            802.1x                             : Disabled
            PSK                                : Disabled
            CCKM                               : Disabled
            FT dot1x                           : Disabled
            FT PSK                             : Disabled
            FT SAE                             : Disabled
            FT SAE-EXT-KEY                     : Enabled
            Dot1x-SHA256                       : Disabled
            PSK-SHA256                         : Disabled
            SAE                                : Disabled
            SAE-EXT-KEY                        : Disabled
            OWE                                : Disabled
            SUITEB-1X                          : Disabled
            SUITEB192-1X                       : Disabled
    SAE PWE Method                             : Hash to Element, Hunting and Pecking(H2E-HNP)
.
.
.

クライアント MAC アドレスに基づく暗号と AKM

クライアント MAC アドレスに基づいて暗号と AKM の詳細を表示するには、次のコマンドを使用します。

Device# show wireless client mac-address 3089.4aXX.f0XX detail
Client MAC Address : 3089.4aXX.f0XX
.
.
.
Policy Type : WPA3
Encryption Cipher : GCMP-256
Authentication Key Management : SAE-EXT-KEY
.
.
.
Client MAC Address : 3089.4aXX.f0XX
.
.
.
Policy Type : WPA3
Encryption Cipher : GCMP-256
Authentication Key Management : FT-SAE-EXT-KEY
.
.
.

AKM サポートの統計レポート

AKM サポートの統計レポートを表示するには、次のコマンドを使用します。
Device# show wireless stats client detail
Total WPA3 SAE attempts                          :71
Total WPA3 SAE successful authentications        : 9
  Total SAE-EXT-KEY successful authentications   : 3
Total WPA3 SAE authentication failures           : 22
  Total incomplete protocol failures             : 0
Total WPA3 SAE commit messages received          : 126
Total WPA3 SAE commit messages rejected                                 : 58
  Total unsupported group rejections                                    : 0
  Total PWE method mismatch for SAE Hash to Element commit received     : 0
  Total PWE method mismatch for SAE Hunting And Pecking commit received : 0
Total WPA3 SAE commit messages sent              : 175
Total WPA3 SAE confirm messages received         : 13
Total WPA3 SAE confirm messages rejected         : 4
  Total WPA3 SAE message confirm field mismatch  : 4
  Total WPA3 SAE confirm message invalid length  : 0
Total WPA3 SAE confirm messages sent             : 13
Total WPA3 SAE Open Sessions                     : 0
Total SAE Message drops due to throttling        : 0
Total WPA3 SAE Hash to Element commit received   : 111
Total WPA3 SAE Hunting and Pecking commit received : 15

AP ビーコン保護の確認

AP ビーコン保護の詳細を確認するには、次のコマンドを使用します。

Device# show wlan name wl-sae
WLAN Profile Name     : wl-sae 
================================================ 
Identifier                                     : 7 
Description                                    :  
Network Name (SSID)                            : wl-sae
<...>
Security
    Security-2.4GHz/5GHz
        <...>
        Beacon Protection                      : Enabled
    Security-6GHz
        <...>
        Beacon Protection                      : Enabled
<...>