クライアントの複数認証について
複数認証機能は、クライアント接続でサポートされるレイヤ 2 およびレイヤ 3 セキュリティ タイプの拡張機能です。
(注) |
特定の SSID に対して L2 認証と L3 認証の両方を有効にすることができます。 |
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
複数認証機能は、クライアント接続でサポートされるレイヤ 2 およびレイヤ 3 セキュリティ タイプの拡張機能です。
(注) |
特定の SSID に対して L2 認証と L3 認証の両方を有効にすることができます。 |
複数認証機能は、WLAN プロファイルで設定された特定のクライアントに対する複数の認証の組み合わせをサポートします。
次の表に、サポートされる認証の組み合わせの概要を示します。
レイヤ 2 |
レイヤ 3 |
サポートあり |
MAB |
CWA |
はい |
MAB |
LWA |
はい |
MAB + PSK |
- |
対応 |
MAB + 802.1X |
- |
対応 |
MAB のエラー |
LWA |
はい |
802.1X |
CWA |
はい |
802.1X |
LWA |
はい |
PSK |
LWA |
はい |
PSK |
CWA |
はい |
iPSK + MAB |
CWA |
はい |
16.10.1 以降では、WLAN の 802.1X 設定で、WPA または WPA2 設定を使用した Web 認証設定がサポートされます。
この機能は、次の AP モードもサポートしています。
Local
FlexConnect
ファブリック
クライアントの複数認証の設定
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 |
wlan profile-name wlan-id SSID_Name 例:
|
WLAN コンフィギュレーション サブモードを開始します。
|
||
ステップ 3 |
security dot1x authentication-list auth-list-name 例:
|
dot1x セキュリティ用のセキュリティ認証リストを有効にします。 この設定は、すべての dot1x セキュリティ WLAN で類似しています。 |
||
ステップ 4 |
security web-auth authentication-list authenticate-list-name 例:
|
dot1x セキュリティ用の認証リストを有効にします。 |
||
ステップ 5 |
security web-auth parameter-map parameter-map-name 例:
|
パラメータ マップをマッピングします。
|
||
ステップ 6 |
no shutdown 例:
|
WLAN をイネーブルにします。 |
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 |
wlan profile-name wlan-id SSID_Name 例:
|
WLAN コンフィギュレーション サブモードを開始します。
|
||
ステップ 3 |
no security wpa akm dot1x 例:
|
dot1x に対するセキュリティの AKM をディセーブルにします。 |
||
ステップ 4 |
security wpa akm psk set-key ascii/hex key 例:
|
PSK AKM の共有キーを設定します。 |
||
ステップ 5 |
security web-auth authentication-list authenticate-list-name 例:
|
WLAN の認証リストを有効にします。 |
||
ステップ 6 |
security web-auth parameter-map parameter-map-name 例:
|
パラメータ マップをマッピングします。
|
PSK または iPSK(ID 事前共有キー)および中央 Web 認証用の WLAN の設定
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 |
wlan profile-name wlan-id SSID_Name 例:
|
WLAN コンフィギュレーション サブモードを開始します。
|
||
ステップ 3 |
no security wpa akm dot1x 例:
|
dot1x に対するセキュリティの AKM をディセーブルにします。 |
||
ステップ 4 |
security wpa akm psk set-key ascii/hex key 例:
|
PSK AKM の共有キーを設定します。 |
||
ステップ 5 |
mac-filtering list-name 例:
|
MAC フィルタリング パラメータを設定します。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
wireless profile policy policy-profile-name 例:
|
デフォルト ポリシー プロファイルを設定します。 |
ステップ 3 |
aaa-override 例:
|
AAA サーバまたは ISE サーバから受信したポリシーを適用するように AAA オーバーライドを設定します。 |
ステップ 4 |
nac 例:
|
ポリシー プロファイルに NAC を設定します。 |
ステップ 5 |
no shutdown 例:
|
WLAN を停止します。 |
ステップ 6 |
end 例:
|
特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
L2 認証(Dot1x)が完了すると、クライアントは Webauth Pending 状態に移行します。
L2 認証後のクライアントの状態を確認するには、次のコマンドを使用します。
Device# show wireless client summary
Number of Local Clients: 1
MAC Address AP Name WLAN State Protocol Method Role
-----------------------------------------------------------------------------------------------------------------
58ef.68b6.aa60 ewlc1_ap_1 3 Webauth Pending 11n(5) Dot1x Local
Number of Excluded Clients: 0
Device# show wireless client mac-address <mac_address> detail
Auth Method Status List
Method : Dot1x
Webauth State : Init
Webauth Method : Webauth
Local Policies:
Service Template : IP-Adm-V6-Int-ACL-global (priority 100)
URL Redirect ACL : IP-Adm-V6-Int-ACL-global
Service Template : IP-Adm-V4-Int-ACL-global (priority 100)
URL Redirect ACL : IP-Adm-V4-Int-ACL-global
Service Template : wlan_svc_default-policy-profile_local (priority 254)
Absolute-Timer : 1800
VLAN : 50
Device# show platform software wireless-client chassis active R0
ID MAC Address WLAN Client State
----------------------------------------------------------------------------------------
0xa0000003 58ef.68b6.aa60 3 L3 Authentication
Device# show platform software wireless-client chassis active F0
ID MAC Address WLAN Client State AOM ID Status
-------------------------------------------------------------------------------------------------
0xa0000003 58ef.68b6.aa60 3 L3 Authentication. 730. Done
Device# show platform hardware chassis active qfp feature wireless wlclient cpp-client summary
Client Type Abbreviations:
RG – REGULAR BLE – BLE
HL - HALO LI – LWFL INT
Auth State Abbrevations:
UK – UNKNOWN IP – LEARN IP IV – INVALID
L3 – L3 AUTH RN – RUN
Mobility State Abbreviations:
UK – UNKNOWN IN – INIT
LC – LOCAL AN – ANCHOR
FR – FOREIGN MT – MTE
IV – INVALID
EoGRE Abbreviations:
N – NON EOGRE Y - EOGRE
CPP IF_H DP IDX MAC Address VLAN CT MCVL AS MS E WLAN POA
--------------------------------------------------------------------------------------
0X49 0XA0000003 58ef.68b6.aa60 50 RG 0 L3 LC N wlan-test 0x90000003
Device# show platform hardware chassis active qfp feature wireless wlclient datapath summary
Vlan DP IDX MAC Address VLAN CT MCVL AS MS E WLAN POA
------------------------------------------------------------------------------------
0X49 0xa0000003 58ef.68b6.aa60 50 RG 0 L3 LC N wlan-test 0x90000003
L3 認証が成功すると、クライアントは Run 状態に移行します。
L3 認証後のクライアントの状態を確認するには、次のコマンドを使用します。
Device# show wireless client summary
Number of Local Clients: 1
MAC Address AP Name WLAN State Protocol Method Role
-----------------------------------------------------------------------------------------------------------------
58ef.68b6.aa60 ewlc1_ap_1 3 Run 11n(5) Web Auth Local
Number of Excluded Clients: 0
Device# show wireless client mac-address 58ef.68b6.aa60 detail
Auth Method Status List
Method : Web Auth
Webauth State : Authz
Webauth Method : Webauth
Local Policies:
Service Template : wlan_svc_default-policy-profile_local (priority 254)
Absolute-Timer : 1800
VLAN : 50
Server Policies:
Resultant Policies:
VLAN : 50
Absolute-Timer : 1800
Device# show platform software wireless-client chassis active R0
ID MAC Address WLAN Client State
--------------------------------------------------
0xa0000001 58ef.68b6.aa60 3 Run
Device# show platform software wireless-client chassis active f0
ID MAC Address WLAN Client State AOM ID. Status
--------------------------------------------------------------------
0xa0000001 58ef.68b6.aa60. 3 Run 11633 Done
Device# show platform hardware chassis active qfp feature wireless wlclient cpp-client summary
Client Type Abbreviations:
RG – REGULAR BLE – BLE
HL - HALO LI – LWFL INT
Auth State Abbrevations:
UK – UNKNOWN IP – LEARN IP IV – INVALID
L3 – L3 AUTH RN – RUN
Mobility State Abbreviations:
UK – UNKNOWN IN – INIT
LC – LOCAL AN – ANCHOR
FR – FOREIGN MT – MTE
IV – INVALID
EoGRE Abbreviations:
N – NON EOGRE Y - EOGRE
CPP IF_H DP IDX MAC Address VLAN CT MCVL AS MS E WLAN POA
---------------------------------------------------------------------------------
0X49 0XA0000003 58ef.68b6.aa60 50 RG 0 RN LC N wlan-test 0x90000003
Device# show platform hardware chassis active qfp feature wireless wlclient datapath summary
Vlan pal_if_hd1 mac Input Uidb Output Uidb
------------------------------------------------------------------
50 0xa0000003 58ef.68b6.aa60 95929 95927