WPA3 導入ガイド

 

WPA3 の概要

Wi-Fi Protected Access 3（WPA3）は、最新世代の Wi-Fi セキュリティプロトコルであり、WPA2 の後継規格です。WPA3 は WPA2 を拡張したものであり、802.11i および 802.11w IEEE 規格を適用します。WPA3 では、暗号強度が向上したことより、企業、個人、およびオープン セキュリティ ネットワークに新機能がもたらされ、WPA3 対応のすべてのエンドポイントでより安全な認証プロセスが可能になりました。

これは、次を目的として設計されています。

·       ワイヤレスセキュリティの強化

·       ユーザーのセキュアな接続の簡素化

·       弱いパスワードでも堅牢な保護の提供

·       パブリック/オープン Wi-Fi ネットワークの保護

 

全体として、WPA3 は、Wi-Fi ネットワークのセキュリティ基準を大幅に引き上げ、総当たりによるパスワード推測、受動的なスヌーピング、セッション乗っ取りなどの一般的な攻撃からユーザーを保護するとともに、セットアップをよりユーザーフレンドリにします。

 

サポートされる WPA3 モード

●     WPA3-Enterprise（802.1X セキュリティネットワーク向け）。このモードでは、認証およびキー管理（AKM）として IEEE 802.1X と SHA-256 を活用します。

●     WPA3-Personal。パーソナル セキュリティ ネットワークに Simultaneous Authentication of Equals（SAE）方式を使用します。SAE でパスワード要素を導出する方法には、次の 2 つがあります。

o     Hunting and Pecking（HnP）

o     Hash-to-Element（H2E）

注：HnP は総当たりによるディクショナリ攻撃を受けやすいため、Wi-Fi 6E（6 GHz）および Wi-Fi 7 には Hash-to-Element が必須です。

●     WPA3 移行モード（個人および企業用の WPA2 + WPA3 セキュリティベース WLAN）。（17.12.1 以降、これは 1 つの SSID と 1 つのプロファイルで使用でき、6 GHz 帯域をサポートします。）

●     オープン セキュリティ ネットワーク向けの Opportunistic Wireless Encryption（OWE）。

Wi-Fi 6E（6 GHz）および Wi-Fi 7 の WPA3 要件

Wi-Fi Alliance は、最新のセキュリティを確保し、脆弱性から保護するとともに、新しいデバイスエコシステムの安全な基盤を提供するために、6 GHz 帯域および Wi-Fi 7 での WPA3 の使用を義務付けました。

Wi-Fi 6E（6 GHz）の WPA3 要件：

·       WPA3 は、6 GHz 帯域で動作するすべての Wi-Fi 6E デバイスに必須。

·       家庭/個人利用向けの、H2E を使用した WPA3-Personal（SAE）。

·       企業展開向けの WPA3-Enterprise（802.1X とオプションで 192 ビットセキュリティスイート）。

·       パスワードなしでの暗号化を必要とするオープンネットワーク向けの Enhanced Open（OWE）。

·       6 GHz 帯域では保護された管理フレーム（PMF）が必須。

·       6 GHz 帯域での動作では WPA2 は許可されない。

注：WPA3 v3.4 仕様（セクション 11.2）によると、Enhanced Open の移行モードは Wi-Fi 6E（6 GHz）ではサポートされておらず、Wi-Fi 7 では非推奨となっていますが、多くのベンダー（IOS® XE 17.18 までのシスコを含む）では、まだそれが適用されていません。そのため、技術的には、標準仕様に準拠せずに、たとえば、オープン SSID を 5 GHz で設定し、対応する Enhanced Open SSID を 5 GHz および 6 GHz で設定し、移行モードを有効にすることが可能です。

 

Wi-Fi 7 の WPA3 要件：

·       WPA3 は、マルチリンク動作や 802.11be データレートなどの機能を提供するすべての Wi-Fi 7 デバイスに必須。

·       暗号として GCMP256 を使用し、AKM として SAE-EXT-KEY またはその FT 版である FT-SAE-EXT-KEY を使用する WPA3-Personal（SAE）。

注：「AKM」（認証キー管理）は、クライアントを認証して、ワイヤレス通信を保護する暗号キーを確立するために使用されるメカニズムを指します。これは、セキュリティプロセスの「ハンドシェイク + キー交換」の部分と考えることができます。

·       暗号として GCMP256 を使用し、AKM として 802.1X-SHA256 またはその FT 版である FT+802.1X（名称には明示されていないがこれにも SHA256 が使用される）を使用する WPA3-Enterprise。

o   注：WPA3-Enterprise には、GCMP256 の暗号要件があります。ただし、これはアクセスポイントおよびワイヤレスクライアントにおいて厳密に適用されておらず、後方互換性のために CCMP128 も許可されています。

·       パスワードなしでの暗号化を必要とするオープンネットワーク向けの、暗号として GCMP256 を使用する Enhanced Open（OWE）。

·       保護された管理フレーム（PMF）が必須。

·       ビーコン保護が必須。

o   注：ビーコン保護は、コントローラで暗黙的に有効になっています。

注：Wi-Fi 6E と同様に、拡張移行モードは 6 GHz 帯域での Wi-Fi 7 動作ではサポートされていません。Wi-Fi 7 で拡張移行モードを設定することは技術的に可能ですが、標準に準拠するために、6 GHz 帯域での Wi-Fi 7 動作には純粋な OWE のみの WLAN を設定することをお勧めします。

注：このドキュメントの作成時点では、Wi-Fi 7 は、可能な限り早期にリリースされた、まだ新しい認定であるため、多くのベンダーは、最初からこれらのセキュリティ要件のすべてを適用しませんでした。

次の表に、さまざまな Wi-Fi 規格のセキュリティ要件を示します。

表 1.        さまざまな Wi-Fi 規格のセキュリティ要件

 

必要なソフトウェアバージョン

●     パスワード要素生成に SAE Hash-to-Element 方式を使用する WPA3-Personal の場合、ソフトウェアバージョン 17.7.1 以降を使用する必要があります。

1.     WPA3-Enterprise および WPA3-Personal 移行無効の場合、ソフトウェアバージョン 17.7.1 以降を使用する必要があります。

2.     AKM としての SAE と Fast Transition（FT）を使用する WPA3-Personal の場合、ソフトウェアバージョン 17.9  以降を使用する必要があります。

3.     Wi-Fi 7 において SAE-EXT-KEY および FT-SAE-EXT-KEY を使用する WPA-Personal の場合、ソフトウェアバージョン 17.15.2 以降を使用する必要があります。

最近の動向として、シスコでは、Wi-Fi 7 認定に準拠するための設定オプションの適用を段階的に進めています。バージョン固有の動作は次のとおりです。

IOS XE 17.15.3 以降の 17.15.x バージョン

このソフトウェアリリースでは、Wi-Fi 7 がグローバルに有効になっている場合、セキュリティ設定に関係なく、すべての WLAN が Wi-Fi 7 の SSID としてブロードキャストされます。

クライアントは、使用するセキュリティ方式に関係なく（WLAN でサポートされている限り）、Wi-Fi 7 対応として接続し、Wi-Fi 7 のデータレートを達成することができます。ただし、クライアントが MLO 対応として接続（1 つまたは複数の帯域で）できるのは Wi-Fi 7 セキュリティに関する厳格な要件を満たしている場合のみであり、それ以外の場合は拒否されます。

4.     このため、GCMP256 などのよりセキュアな暗号をサポートできない一部の初期 Wi-Fi 7 クライアントが、Wi-Fi 7 の要件と一致しないセキュリティ設定の WLAN に Wi-Fi 7 MLO 対応として接続しようとすると、問題が発生する可能性があります。このような状況では、クライアントは、無効なセキュリティ設定（WLAN では引き続き設定が許可される）のために拒否されます。

 

シスコデバイスの互換性

表 2.        Cisco^® Catalyst^® 9800 シリーズ ワイヤレスコントローラの WPA3 サポートマトリックス

表 3.        Catalyst 9100 アクセスポイントの WPA3 サポートマトリックス

この導入ガイドの目的は、さまざまな WPA3 モードの詳細を説明し、GUI またはコマンドライン インターフェイス（CLI）を使用して Cisco Catalyst 9800 シリーズ コントローラで WPA3 モードを設定する手順を提供することです。

WPA3-Enterprise

WPA3-Enterprise は、WPA2-Enterprise の基盤の上に構築されており、RADIUS サーバーによるユーザー認証のために、保護された管理フレームを 802.1X を使用したすべての WPA3 接続で使用するという追加の要件があります。デフォルトでは、WPA3 は 128 ビット暗号化を使用しますが、オプションで GMCP-256 を使用した設定可能な SuiteB-192 ビット暗号強度の暗号化も導入されています。これにより、機密データを送信するあらゆるネットワークの保護が強化されます。WPA3-Enterprise は、ネットワークセキュリティが最も重要である企業、金融機関、政府機関、およびその他の市場セクターで高く評価され、使用が強く推奨されます。またこのような市場セクターで一般的に使用されています。

WPA3-Enterprise GUI の設定

次の手順では、WPA3-Enterprise セキュリティを使用した WLAN を作成します。

1.     [Configuration] > [Tags and Profiles] > [WLANs] を選択します。

2.     [Add] をクリックします。

3.     [General] タブの [Profile Name] に、わかりやすい識別子を入力します。[SSID] と [WLAN ID] の両方が自動的に入力されます。

4.     [Status] と [Broadcast SSID] のトグルボタンを有効にして、このプロファイルに関連付けられた AP がこの設定済み WLAN のブロードキャストを開始するようにします。

5.     [Security] タブ > [Layer 2] タブをクリックします。[Layer 2 Security Mode] ドロップダウンリストから、[WPA3] を選択します。

6.     [PMF] が [Required] に設定されていることを確認します。

7.     [WPA3 Policy]、[AES]、および [802.1X-SHA256] チェックボックスをオンにし、選択されている他のパラメータの選択をすべて解除します。

8.     [Security] タブをクリックし、[AAA] タブをクリックして [Authentication List] ドロップダウンリストから事前設定済みの RADIUS サーバー認証リストを選択します。

9.     [Apply to Device] をクリックして、WLAN 作成プロセスを保存して終了します。

WPA3-Enterprise の CLI 設定

次の手順では、WPA3-Enterprise セキュリティを使用した WLAN を作成します。

表 4.        WPA3-Enterprise の CLI 設定

WPA3-Enterprise 192 ビットの GUI 設定（オプション）

SuiteB192-1X 暗号化をサポートするエンドポイントについては、後述するクライアント相互運用性マトリックスのセクションを参照するか、デバイスのベンダーにお問い合わせください。

次の手順では、192 ビット WPA3-Enterprise セキュリティを使用して WLAN を作成します。

1.     [Configuration] > [Tags and Profiles] > [WLANs] を選択します。

2.     [Add] をクリックします。

3.     [General] タブの [Profile Name] に、わかりやすい識別子を入力します。[SSID] と [WLAN ID] の両方が自動的に入力されます。

4.     [Status] と [Broadcast SSID] のトグルボタンを有効にして、このプロファイルに関連付けられた AP がこの設定済み WLAN のブロードキャストを開始するようにします。

5.     [Security] > [Layer 2] タブをクリックします。[Layer 2 Security Mode] ドロップダウンリストから、[WPA3] を選択します。

6.     [PMF] が [Required] に設定されていることを確認します。

7.     Fast Transition を無効にします。

8.     [WPA3 Policy]、[GCMP256]、および [SUITEB192-1X] チェックボックスをオンにして、選択されている他のパラメータの選択をすべて解除します。

9.     [Security] タブをクリックし、[AAA] タブをクリックして [Authentication List] ドロップダウンリストから事前設定済みの RADIUS サーバー認証リストを選択します。

10.  [Apply to Device] をクリックして、WLAN 作成プロセスを保存して終了します。

注：SuiteB192-1X は、C9120/C9105/C9115 AP および FlexConnect モードではサポートされません。

WPA3-Enterprise 192 ビットの CLI 設定（オプション）

次の手順では、192 ビット WPA3-Enterprise セキュリティを使用して WLAN を作成します。

表 5.        WPA3-Enterprise 192 ビット暗号化のCLI 設定

 

WPA3-Enterprise 移行モード

WPA3-Enterprise 移行モード（WPA3+WPA2-Enterprise 混在モード設定とも呼ばれる）は、一部のクライアントが WPA2 までしかサポートできず、一部のクライアントが WPA3 までサポートできる場合に使用されます。WPA3 対応クライアントは WPA3-Enterprise の 802.1X-SHA256 AKM を使用し、WPA2 対応クライアントは WPA2-Enterprise の 802.1X SHA1 または 802.1X-SHA256 を使用できます。このモードは、2.4 GHz と 5 GHz の両方の帯域に適用されます。

注：       このモードは、必要な場合にのみ使用してください。最大限のセキュリティを得るには、WPA3 のみを使用し、WPA3 と WPA2 が混在したモードを使用しないことが推奨されます。一部の古いデバイス（Wi-Fi 5 など）では、移行方式がサポートされておらず、接続できない場合があります。

注：       6 GHz 規格では、WPA2 セキュリティ（WPA2 のみと WPA2+WPA3 WLAN の両方に適用）が設定されている場合、6 GHz 帯域での WLAN のブロードキャストは許可されません。 したがって、その本質から、WLAN が WPA2 で設定されている場合は 6 GHz 無線をサポートしないという動作になります。

これは、レガシークライアントが同じ SSID の 5 GHz でオプションの PMF とともに 802.1X-SHA1 をサポートする必要がある特定のユースケースで制限をもたらしますが、一方で 6 GHz クライアントは PMF 必須で 802.1X-SHA256 AKM をサポートします。

これらの展開をサポートするために、17.12.1 より前の SW バージョンでは、レガシーと最新の 6 GHz クライアントの両方をサポートするために、異なるプロファイルを持つ同じ WLAN で WPA2 + WPA3 移行モードを使用することが推奨されていました。この設計の課題はローミングです。この設定での帯域間のローミングはサポートされておらず、これは常にフルローミングであり、推奨されません。

17.12.1 以降、6 GHz 帯域の純粋な WPA3 の移行モードがサポートされています。これにより、ユーザーは 6 GHz の同じ WLAN で WPA2 + WPA3 を有効にできます。このモードでは、レガシーの 6 GHz デバイスと最新の 6 GHz デバイスに対応するために 2 つの異なるプロファイルを作成する必要がなくなります。このモードでは、WPA2+WPA3 移行モードは 2.4 GHz/5 GHz で使用でき、WLAN に WPA2 と WPA3 の両方の設定がある場合、WPA3 関連の設定のみが 6 GHz 帯域にプッシュされます。

WPA3-Enterprise 移行モードの GUI 設定

次の手順では、WPA3+WPA2-Enterprise 混在モードレベルのセキュリティを備えた WLAN を作成します。

1.     [Configuration] > [Tags and Profiles] > [WLANs] を選択します。

2.     [Add] をクリックします。

3.     [General] タブの [Profile Name] に、わかりやすい識別子を入力します。[SSID] と [WLAN ID] が自動的に入力されます。

4.     [Status] と [Broadcast SSID] のトグルボタンを有効にして、このプロファイルに関連付けられた AP がこの設定済み WLAN のブロードキャストを開始するようにします。

5.     17.12 以降、6 GHz 帯域で WPA3 のみがブロードキャストされる WPA3-Enterprise 移行モードでは、6 GHz 無線ポリシーが有効になります。

6.     [Security] > [Layer 2] タブをクリックします。[Layer 2 Security Mode] ドロップダウンリストから、[WPA3] を選択します。

7.     [PMF] が [Optional] に設定されていることを確認します。

8.     [WPA Parameters] まで下にスクロールします。[WPA2 Policy]、 [WPA3 Policy]、および [Encryption] の [AES] チェックボックスをオンにし、[ 802.1X] と [802.1X-SHA256] チェックボックスをオンにします。

9.     [Apply to Device] をクリックして、WLAN 作成プロセスを保存して終了します。

WPA3-Enterprise 移行モードの CLI 設定

次の手順では、WPA3+WPA2-Enterprise 混在モードレベルのセキュリティを備えた WLAN を作成します。

表 6.        WPA3-Enterprise 移行モードの CLI 設定

注：このセキュリティの組み合わせは、FT 対応モードでも使用できます。

WPA3-Personal

WPA3-Personal は、ユーザー認証の目的で、SAE によるパスワードベースの認証方式で 128 ビット（AES）または 256 ビット（GCMP256）の暗号強度を使用します。さらに、WPA2-Personal とは異なり、WPA3-Personal は、パスワードの推測を制限することで、オフライン辞書攻撃に対するネットワークセキュリティを強化します。この要件により、ネットワークへのハッキングに時間がかかり、ブルートフォース攻撃の試みが抑止されます。

WPA3-Personal には、次の主な利点があります。

●     SAE 認証ごとに異なる共有秘密を作成

●     ブルートフォース「辞書」攻撃と受動劇攻撃からの保護

●     前方秘匿性を提供

WPA3-Personal の GUI 設定

次の手順では、WPA3-Personal レベルのセキュリティを備えた WLAN を作成します。

1.     [Configuration] > [Tags and Profiles] > [WLANs] を選択します。

2.     [Add] をクリックします。

3.     [General] タブの [Profile Name] に、わかりやすい識別子を入力します。[SSID] と [WLAN ID] が自動的に入力されます。

4.     [Status] と [Broadcast SSID] のトグルボタンを有効にして、このプロファイルに関連付けられた AP がこの設定済み WLAN のブロードキャストを開始するようにします。

5.     [Security] > [Layer 2] タブをクリックします。[Layer 2 Security Mode] ドロップダウンリストから、[WPA3] を選択します。

6.     [PMF] が [Required] に設定されていることを確認します。

7.     Fast Transition を無効にします。

8.     [WPA Parameters] まで下にスクロールします。[WPA3 Policy]、[AES]、および [SAE] チェックボックスをオンにします。

9.     [Pre-Shared Key] を入力し、[PSK Format] ドロップダウンリストから PSK フォーマットを選択し、[PSK Type] ドロップダウンリストから PSK タイプを選択します。

10.  [Apply to Device] をクリックして、WLAN 作成プロセスを保存して終了します。

注：       6 GHz 帯域のみを使用する場合、サポートされる SAE のパスワード要素は Hash to Element（H2E）です。Hunting and Pecking（HnP）は、6 GHz のみのネットワークでは使用できません。5 GHz と 2.4 GHz の両方を使用する場合は、H2E と HnP を SAE のパスワード要素として使用できます。IOS-XE 17.12 バージョンでは、6 GHz 帯域で H2E のみを使用するように設定されています。

WPA3-Personal の CLI 設定

次の手順では、WPA3-Personal レベルのセキュリティを備えた WLAN を作成します。

表 7.        WPA3-Personal の CLI 設定

パスワード要素を生成するために SAE Hash-to-Element 方式を使用した WPA3-Personal

次の手順では、パスワード要素の生成に H2E を使用した、WPA3 パーソナルレベルのセキュリティを備えた WLAN を作成します。

1.     [Configuration] > [Tags and Profiles] > [WLANs] を選択します。

2.     [Add] をクリックします。

3.     [General] タブの [Profile Name] に、わかりやすい識別子を入力します。[SSID] と [WLAN ID] が自動的に入力されます。

4.     [Status] と [Broadcast SSID] のトグルボタンを有効にして、このプロファイルに関連付けられた AP がこの設定済み WLAN のブロードキャストを開始するようにします。

5.     [Security] > [Layer 2] タブをクリックします。[Layer 2 Security Mode] ドロップダウンリストから、[WPA3] を選択します。

6.     [PMF] が [Required] に設定されていることを確認します。

7.     Fast Transition を無効にします。

8.     [WPA Parameters] まで下にスクロールします。[WPA3 Policy]、[AES]、および [SAE] チェックボックスをオンにします。

9.     [Pre-Shared Key] を入力し、[PSK Format] ドロップダウンリストから PSK フォーマットを選択し、[PSK Type] ドロップダウンリストから PSK タイプを選択します。

10.  [SAE Password Element] ドロップダウンリストから、[Hash to Element Only] を有効にします。

パスワード要素を生成するために SAE Hash-to-Element 方式を使用した WPA3-PersonalのCLI 設定

次の手順では、パスワード要素の生成に H2E を使用した、WPA3 パーソナルレベルのセキュリティを備えた WLAN を作成します。

表 8.        WPA3-Personal SAE hash-to-element の CLI 設定

Fast Transition が有効な WPA3-Personal SAE

Cisco IOS^® XE バージョン 17.9.1 以降では、Fast Transition が有効な WPA3-Personal SAE （SAE-FT）がサポートされています。WPA3 SAE-FT 用に WLAN を設定するには、次の手順に従います。

次の手順では、Fast Transition を有効にして、WPA3-Personal レベルの SAE セキュリティを備えた WLAN を作成します。

1.     [Configuration] > [Tags and Profiles] > [WLANs] を選択します。

2.     [追加（Add）] をクリックします。

3.     [General] タブの [Profile Name] に、わかりやすい識別子を入力します。[SSID] と [WLAN ID] が自動的に入力されます。

4.     [Status] と [Broadcast SSID] トグルボタンを有効にして、このプロファイルに関連付けられた AP がこの設定済み WLAN のブロードキャストを開始するようにします。

5.     [Security] > [Layer 2] タブをクリックします。[Layer 2 Security Mode] ドロップダウンリストから、[WPA3] を選択します。

6.     [PMF] が [Required] に設定されていることを確認します。

7.     Fast Transition を有効にします。

8.     [WPA Parameters] まで下にスクロールします。[WPA3 Policy]、[AES]、および [SAE] チェックボックスをオンにします。

9.     [Pre-Shared Key] を入力し、[PSK Format] ドロップダウンリストから PSK フォーマットを選択し、[PSK Type] ドロップダウンリストから PSK タイプを選択します。

10.  [SAE Password Element] ドロップダウンリストから、[Hash to Element Only] または [HnP] または [both] を有効にします。

Fast Transition が有効な WPA3-Personal SAE の CLI 設定

次の手順では、Fast Transition を有効にして、WPA3-Personal レベルのセキュリティを備えた WLAN を作成します。

表 9.        WPA3-Personal SAE FT の CLI 設定

WPA3-Personal 移行モード

WPA3-Personal 移行モード（WPA2+WPA3-Personal 混在モード設定とも呼ばれる）は、一部のクライアントが WPA2 のみをサポートし、一部のクライアントが WPA3 までサポートできる場合に使用されます。WPA3 対応クライアントは WPA3-Personal の SAE を使用し、WPA2 対応クライアントは WPA2-Personal の PSK を使用します。このモードは、2.4 GHz と 5 GHz の両方の帯域に適用されます。IOS-XE 17.12 では、同じ SSID が 2.4 および 5 GHz 帯域では移行モードで使用され、6 GHz 帯域では WPA3 専用として使用されます。

注：       このモードは、必要な場合にのみ使用してください。最大限のセキュリティを得るには、WPA3 のみを使用し、WPA3 と WPA2 が混在したモードを使用しないことが推奨されます。

注：       6 GHz 規格では、WPA2 セキュリティ（WPA2 のみと WPA2+WPA3 WLAN の両方に適用）が設定されている場合、6 GHz 帯域での WLAN のブロードキャストは許可されません。 したがって、その本質から、WLAN が WPA2 で設定されている場合は 6 GHz 無線をサポートしないという動作になります。

PMF がオプションで PSK/SAE AKM を使用した 2.4 GHz/5 GHz と同時に、同じ SSID で WPA3 の SAE AKM を使用する 6 GHz、などのユースケースがあります。これは、17.12.1 より前では有効な設定ではありません。

これらの展開をサポートするために、17.12.1 より前の SW バージョンでは、レガシーと最新の 6 GHz クライアントの両方をサポートするために、異なるプロファイルを持つ同じ WLAN で WPA2 + WPA3 移行モードを使用することが推奨されていました。この設計の課題はローミングです。この設定での帯域間のローミングはサポートされておらず、これは常にフルローミングであり、推奨されません。

17.12.1 以降、6 GHz 帯域の純粋な WPA3 の移行モードがサポートされています。これにより、ユーザーは 6 GHz の同じ WLAN で WPA2 + WPA3 を有効にできます。このモードでは、レガシーの 6 GHz デバイスと最新の 6 GHz デバイスに対応するために 2 つの異なるプロファイルを作成する必要がなくなります。このモードでは、WPA2+WPA3 移行モードは 2.4 GHz/5 GHz で使用でき、WLAN に WPA2 と WPA3 の両方の設定がある場合、WPA3 関連の設定のみが 6 GHz 帯域にプッシュされます。

 

次の手順では、WPA3+WPA2-Personal 混在モードレベルのセキュリティを備えた WLAN を作成します。

1.     [Configuration] > [Tags and Profiles] > [WLANs] を選択します。

2.     [Add] をクリックします。

3.     [General] タブの [Profile Name] に、わかりやすい識別子を入力します。[SSID] と [WLAN ID] が自動的に入力されます。

4.     [Status] と [Broadcast SSID] のトグルボタンを有効にして、このプロファイルに関連付けられた AP がこの設定済み WLAN のブロードキャストを開始するようにします。

5.     6 GHz 帯域を無効にします。

6.     [Security] > [Layer 2] タブをクリックします。[Layer 2 Security Mode] ドロップダウンリストから、[WPA3] を選択します。

7.     [PMF] が [Optional] に設定されていることを確認します。

8.     [WPA Parameters] まで下にスクロールします。[WPA2 Policy]、[WPA3 Policy]、[AES]、[PSK]、および [SAE] チェックボックスをオンにします。

9.     [Pre-Shared Key] を入力し、[PSK Format] ドロップダウンリストから PSK フォーマットを選択し、[PSK Type] ドロップダウンリストから PSK タイプを選択します。

10.  [Apply to Device] をクリックして、WLAN 作成プロセスを保存して終了します。

WPA3-Personal 移行モードの CLI 設定

次の手順では、WPA3+WPA2-Personal 混在モードレベルのセキュリティを備えた WLAN を作成します。

表 10.      WPA3-Personal 移行モードの CLI 設定

WPA2+WPA3-Personal 移行モード（6 GHz）

6 GHz 規格では、WPA2 セキュリティ（WPA2 のみと WPA2+WPA3 WLAN の両方に適用）が設定されている場合、6 GHz 帯域での WLAN のブロードキャストは許可されません。 したがって、その本質から、WLAN が WPA2 で設定されている場合は 6 GHz 無線をサポートしないという動作になります。

PMF がオプションで PSK/SAE AKM を使用した 2.4 GHz/5 GHz と同時に、同じ SSID で WPA3 の SAE AKM を使用する 6 GHz、などのユースケースがあります。これは、17.12.1 より前では有効な設定ではありません。

これらの展開をサポートするために、17.12.1 より前の SW バージョンでは、レガシーと最新の 6 GHz クライアントの両方をサポートするために、異なるプロファイルを持つ同じ WLAN で WPA2 + WPA3 移行モードを使用することが推奨されていました。この設計の課題はローミングです。この設定での帯域間のローミングはサポートされておらず、これは常にフルローミングであり、推奨されません。

17.12.1 以降、6 GHz 帯域の純粋な WPA3 の移行モードがサポートされています。これにより、ユーザーは 6 GHz の同じ WLAN で WPA2 + WPA3 を有効にできます。このモードでは、レガシーの 6 GHz デバイスと最新の 6 GHz デバイスに対応するために 2 つの異なるプロファイルを作成する必要がなくなります。このモードでは、WPA2+WPA3 移行モードは 2.4 GHz/5 GHz で使用でき、WLAN に WPA2 と WPA3 の両方の設定がある場合、WPA3 関連の設定のみが 6 GHz 帯域にプッシュされます。

WPA2+WPA3-Personal 移行モード（6 GHz）の GUI 設定

1.     [Configuration] > [Tags and Profiles] > [WLANs] を選択します。

2.     [Add] をクリックします。

3.     [General] タブの [Profile Name] に、わかりやすい識別子を入力します。[SSID] と [WLAN ID] の両方が自動的に入力されます。

4.     [Status] と [Broadcast SSID] のトグルボタンを有効にして、このプロファイルに関連付けられたアクセスポイント（AP）がこの設定済み WLAN のブロードキャストを開始するようにします。

5.     [Security] タブ > [Layer 2] タブをクリックします。[Layer 2 Security Mode] ドロップダウンリストから、[WPA3] を選択します。

6.     [PMF] が [Optional] に設定されていることを確認します。

注：PMF はオプションですが、WPA3 設定では、6 GHz 帯域で必須と見なされます。

7.     [WPA Parameters] で [WPA2 Policy] と [WPA3 Policy] をオンにして、[WPA2/WPA3 Encryption] で [AES(CCMP128)] をオンにします。また、[PSK] と [SAE]  チェックボックスをオンにします。その他の選択されているパラメータをすべてオフにします。

8.     共有キーを入力します。

9.     [Apply to Device] をクリックして、WLAN 作成プロセスを保存して終了します。

WPA2+WPA3-Personal 移行モード（6 GHz）の CLI 設定

次の手順では、6 GHz が有効な WPA2+WPA3-Personal 移行モードの WLAN を作成します。

表 11.      純粋な 6 GHz の WPA2+WPA3 移行モードの CLI 設定

WPA2+WPA3-Personal 移行モード（6 GHz）の CLI 出力

#show wlan summary

Number of WLANs: 1

ID   Profile Name                     SSID                             Status 2.4GHz/5GHz Security                                                                                 6GHz Security       

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

1    WPA2+WPA3-PTM                    WPA2+WPA3-PTM                    UP     [WPA2 + WPA3][PSK][SAE][AES]                                                                         [WPA3][SAE][AES]

WPA3 移行モードの無効化

Transition Disable は、AP から STA への指示であり、STA は AP のネットワークへの後続の接続で特定の移行モードを無効にします。

ネットワークアップグレードの容易さ：WPA2 デバイスが Wi-Fi ネットワークに長年存在しているため、WPA2 デバイスと WPA3 デバイスの両方が共存できる展開モードが重要でした。これは、Wi-Fi ネットワークが WPA2 ベースのネットワークから WPA3 ベースのネットワークに徐々に移行するのに確実に役立ちます。Wi-Fi Alliance は、パーソナルネットワークとエンタープライズ ネットワークの両方に WPA3 移行モードを導入しました。SSID で移行モードを有効にすると、WPA2 をサポートするデバイスと WPA3 をサポートするデバイスを同時に接続できるため、WPA2 から WPA3 へのデバイスエコシステムの段階的な移行への道が開かれます。

Transition Disable：移行モードを使用すると上記のようにネットワークアップグレードが容易になりますが、ダウングレード攻撃を受けている WPA3 STA（ステーション）のセキュリティ上の課題があります。攻撃者は、WPA3 STA を強制的にダウングレードして、WPA2 および従来のセキュリティ脆弱性のあるテクノロジーを使用させることができます。この問題を回避するために、Wi-Fi アライアンスは「Transition Disable」指示を導入しました。これを使用して、AP とネットワークのオペレーターは、WPA3 STA を更新してネットワークを完全にアップグレードし、移行モードで定義された最もセキュアなアルゴリズムをサポートするようにできます。Transition Disable 指示は、STA 上の該当ネットワークの移行モードを無効にするために（アソシエーション中の 4 ウェイハンドシェイクで）使用され、ダウングレード攻撃に対する保護を提供します。STA は、この指示を受信すると、後続の接続に対して特定の移行モードを無効にし、PMF のネゴシエーションなしのアソシエーションを拒否します。

STA 実装により、ネットワークプロファイルで特定の移行モード（および他のレガシーセキュリティアルゴリズム）が有効になる場合があります。

たとえば、WPA3-Personal STA は、ネットワークプロファイルで、事前共有キー（PSK）アルゴリズムを有効にする WPA3-Personal 移行モードをデフォルトで有効にする場合があります。しかし、ネットワークが移行モードで定義された最もセキュアなアルゴリズムを（完全に）サポートしている場合、STA で Transition Disable 指示を使用して、そのネットワークの移行モードを無効にし、ダウングレード攻撃から保護できます。

これによりすべてのクライアントデバイスは、移行モードの WLAN に参加するときに WPA3 のみに移行するため、セキュリティ面では優れている一方で、ネットワークが複数の物理的な場所で構成されている場合、たとえば、一部が WPA2 に設定され、その他が WPA3/WPA2 移行モードに設定されている場合、移行したクライアントが WPA2 のみを使用する場所に移動すると接続に失敗することになります。

これは、同じ SSID が異なるコントローラ/AP セットアップをカバーし、設定が 100% 一致しない一部の大規模ネットワークで考えられるシナリオです。最も規模が大きな例は、世界中で同じ SSID 名を共有する「eduroam」です。これを設定すると、異なるネットワークプロバイダー間を移動するクライアントに重大な問題が発生する可能性があるため、すべてのネットワークの場所で同じセキュリティ設定が適切に設定されていることを確認できる場合にのみ、慎重に使用してください。

この方法は通常は推奨されません。絶対に必要な場合にのみ有効にする必要があります。

注：       Transition Disable 指示を使用する AP は、自身の BSS で対応する移行モードを無効にする必要はありません。たとえば、WPA3-Personal ネットワーク内の AP は、Transition Disable 指示を使用して、WPA3-Personal をサポートするすべての STA がダウングレード攻撃から保護されるようにする一方で、レガシー STA が接続できるように BSS で WPA3-Personal 移行モードを有効にする場合があります。

注：       この方法は通常は推奨されません。絶対に必要な場合にのみ有効にする必要があります。

以下のセクションでは、WLAN で Transition Disable を有効にする方法について説明します。

WPA3-Enterprise Transition Disable モードの GUI 設定

次の手順では、Transition Disable を有効にして WPA3-Enterprise セキュリティを備えた WLAN を作成します。

1.     [Configuration] > [Tags and Profiles] > [WLANs] を選択します。

2.     [Add] をクリックします。

3.     [General] タブの [Profile Name] に、わかりやすい識別子を入力します。[SSID] と [WLAN ID] が自動的に入力されます。

4.     [Status] と [Broadcast SSID] のトグルボタンを有効にして、このプロファイルに関連付けられた AP がこの設定済み WLAN のブロードキャストを開始するようにします。

5.     17.12 以降、6 GHz 帯域で WPA3 ブロードキャストのみを使用する WPA3-Enterprise 移行モードでは、6 GHz 無線ポリシーが有効になります。[Security] タブをクリックして、[WPA2 + WPA3] オプションを有効にします。

6.     [WPA Parameters] まで下にスクロールします。[WPA2 Policy] と [WPA3 Policy]、[AES]、AKM として [802.1X] と [802.1X-SHA256] チェックボックスをオンにします。

7.     [PMF] が [Optional] に設定されていることを確認します。

8.     [WPA Parameters] で [Transition Disable] を有効にします。

 

WPA3-Enterprise Transition Disable モードの CLI 設定

表 12.      WPA3-Enterprise Transition Disable モードの CLI 設定

注：このセキュリティの組み合わせは、FT 対応モードでも使用できます。

 

WPA3-Personal Transition Disable モードの GUI 設定

次の手順では、Transition Disable を有効にして、WPA3-Personal レベルのセキュリティを備えた WLAN を作成します。

1.     [Configuration] > [Tags and Profiles] > [WLANs] を選択します。

2.     [Add] をクリックします。

3.     [General] タブの [Profile Name] に、わかりやすい識別子を入力します。[SSID] と [WLAN ID] が自動的に入力されます。

4.     [Status] と [Broadcast SSID] のトグルボタンを有効にして、このプロファイルに関連付けられた AP がこの設定済み WLAN のブロードキャストを開始するようにします。

5.     6 GHz 帯域を無効にします。

6.     [Security] タブで、[WPA2 + WPA3] オプションを有効にします。

7.     Fast Transition を無効にします。

8.     [WPA Parameters] まで下にスクロールします。[WPA2 Policy] と [WPA3 Policy]、[AES]、AKM として [SAE] と [PSK] チェックボックスをオンにします。

9.     [Pre-Shared Key] を入力し、[PSK Format] ドロップダウンリストから PSK フォーマットを選択し、[PSK Type] ドロップダウンリストから PSK タイプを選択します。

10.  [PMF] が [Optional] であることを確認します。

11.  [WPA Parameters] で [Transition Disable] オプションを有効にします。

WPA3-Personal Transition Disable モードの CLI 設定

表 13.      WPA3-Personal Transition Disable モードの CLI 設定

OWE

OWE はオープンセキュリティのワイヤレスネットワークと組み合わせて使用し、盗聴者からネットワークを保護するための暗号化を提供します。OWE では、クライアントと AP がエンドポイント アソシエーション パケットの交換中に Diffie-Hellman キーの交換を実行し、その結果として作成された PMK を 4 ウェイハンドシェイクの実行で使用します。OWE はオープンセキュリティのワイヤレスネットワークに関連付けられているため、通常のオープンネットワークだけでなく、キャプティブポータルに関連付けられたネットワークでも使用できます。

アソシエーションプロセスのパケットキャプチャを含むコールフローの詳細については、次のドキュメントを参照してください。

https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/220712-configure-and-verify-wi-fi-6e-wlan-layer.html

 

WPA3 OWE の GUI 設定

次の手順では、WPA3 OWE セキュリティを使用して WLAN を作成します。

1.     [Configuration] > [Tags and Profiles] > [WLANs] を選択します。

2.     [Add] をクリックします。

3.     [General] タブの [Profile Name] に、わかりやすい識別子を入力します。[SSID] と [WLAN ID] が自動的に入力されます。

4.     [Status] および [Broadcast SSID] トグルボタンを有効にします。

5.     [Security] > [Layer 2] タブをクリックします。[Layer 2 Security Mode] ドロップダウンリストから、[WPA3] を選択します。

6.     [Fast Transition] ドロップダウンリストから [Disabled] を選択します。

7.     [WPA3 Policy]、[AES (CCMP 128)]、および [OWE] チェックボックスをオンにします。選択されている他のパラメータをオフにします。

8.     [Apply to Device] をクリックして、WLAN 作成プロセスを保存して終了します。

 

WPA3 OWE の CLI 設定

次の手順では、WPA3 OWE セキュリティを使用して WLAN を作成します。

表 14.      WPA3 OWE の CLI 設定

WPA3 OWE 移行モードの GUI 設定

一部のデバイスが拡張オープン機能をサポートしていないため（デバイスの相互運用性マトリックスを参照）、移行モードが公開されました。移行モードは、拡張オープン OWE モードの適応性を高めるために設計されています。Wi-Fi Alliance では、一部のデバイスがこのモードをサポートしていない環境でこの方法を使用して、拡張オープン ワイヤレス ネットワークを実装することを推奨しています。OWE 移行モードでは、拡張オープン OWE SSID と同様のプロパティで設定された別のオープン SSID が必要です。OWE とオープン WLAN の両方に、対応する移行モード WLAN ID があります。これは、OWE WLAN には、オープン WLAN ID 対して設定された移行モード ID があり、オープン WLAN には OWE WLAN ID に対して設定された移行モード ID があることを意味します。

注：Wi-Fi 6E（6 GHz）および Wi-Fi 7 の動作では、サポートされておらず、Wi-Fi 7 に準拠していないため、これは推奨されません。

パート 1：次の手順では、WPA3 OWE セキュリティを使用して非表示の WLAN を作成します。

1.     [Configuration] > [Tags and Profiles] > [WLANs] を選択します。

2.     [Add] をクリックします。

3.     [General] タブの [Profile Name] に、わかりやすい識別子を入力します。[SSID] と [WLAN ID] が自動的に入力されます。

4.     [Status] および [Broadcast SSID] トグルボタンを無効にします。

5.     WLAN の  [WLAN ID] をメモします。

6.     [Security] > [Layer 2] タブをクリックします。[Layer 2 Security Mode] ドロップダウンリストから、[WPA3] を選択します。

7.     [PMF] が [Required] に設定されていることを確認します。

8.     [Fast Transition] ドロップダウンリストから [Disabled] を選択します。

9.     [WPA3 Policy]、[AES (CCMP 128)]、および [OWE] チェックボックスをオンにします。選択されている他のパラメータをオフにします。

10.  [Transition mode WLAN ID] を入力します。これは、次に設定される SSID の WLAN ID になります。

11.  [Apply to Device] をクリックして、WLAN 作成プロセスを保存して終了します。

 

パート 2： 次の手順では、オープンセキュリティの WLAN を作成します。

1.     [Configuration] > [Tags and Profiles] > [WLANs] を選択します。

2.     [Add] をクリックします。

3.     [General] タブの [Profile Name] に、わかりやすい識別子を入力します。

4.     [SSID] は、拡張オープン SSID と一致する必要があります。[WLAN ID] は自動的に入力されます。

5.     [Status] および [Broadcast SSID] トグルボタンを有効にします。

6.     [Security] > [Layer 2] タブをクリックします。[Layer 2 Security Mode] ドロップダウンリストから、[WPA3] を選択します。

7.     [Transition Mode WLAN ID] には、オープン WLAN にマッピングするためにレイヤ 2 セキュリティが [Enhanced Open] に設定されている WLAN ID を入力します。

8.     [Apply to Device] をクリックして、WLAN 作成プロセスを保存して終了します。

WPA3 OWE 移行モードの CLI 設定

パート 1：次の手順では、WPA3 OWE セキュリティを使用して非表示の WLAN を作成します。

表 15.      WPA3 OWE 移行モードの CLI 設定

パート 2： 次の手順では、オープン OWE セキュリティの WLAN を作成します。

 

便利な Catalyst 9800 コントローラコマンド

SAE 認証の成功、SAE 認証の失敗、SAE の進行中のセッション、または SAE のコミットが発生したクライアントのシステムレベルの統計情報を表示したり、メッセージ交換を確認したりするには、次の show コマンドを使用します。

show wireless stats client detail

WLAN サマリーの詳細を表示するには、次のコマンドを使用します。

·       show wlan summary

·       show wlan all

·       show wlan name <wlan-name>

·       show wlan id {Starting 17.12.1, the security section on the WLAN is displayed individually for 2.4GHz/5GHz band and 6GHz band as below}

#show wlan id 1

WLAN Profile Name     : WPA2+WPA3-TransitionMode

================================================

Identifier                                     : 1

Description                                    :

Network Name (SSID)                            : WPA2+WPA3-TransitionMode

Status                                         : Enabled

....

    Security-2.4GHz/5GHz

         ....

     Security-6GHz

....

#

SAE 認証を済ませたクライアントの正しい AKM を表示するには、次のコマンドを使用します。

show wireless client mac-address <xxxx.xxxx.xxxx> detail

ローカルに保存されている PMK キャッシュのリストを表示するには、次のコマンドを使用します。

show wireless pmk-cache

便利な Catalyst AP コマンド

次のコマンドを入力して、クライアント上の WPA3 のデバッグを設定します。

debug client client-mac-address

次のコマンドを入力して、SAE イベントおよび詳細のデバッグを設定します。

debug sae {events | details} {enable | disable}

参照

●     Cisco Catalyst 9800 Series Wireless Controller 17.8.1 Configuration Guide：https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-8/config-guide/b_wl_17_8_cg.html

●     Cisco Catalyst 9100 アクセスポイントのドキュメント：https://www.cisco.com/c/en/us/support/wireless/catalyst-9100ax-access-points/series.html

 

法的情報

Cisco および Cisco ロゴは、シスコまたはその関連会社の米国およびその他の国における商標または登録商標です。シスコの商標の一覧は、www.cisco.com/go/trademarks でご確認いただけます。掲載されている第三者の商標はそれぞれの権利者の財産です。「パートナー」または「partner」という用語は、シスコと他社との間のパートナーシップ関係を意味するものではありません。(1721R)

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2025 Cisco Systems, Inc. All rights reserved.