802.11r BSS Fast Transition

802.11R 高速移行について

高速ローミングの IEEE 標準である 802.11r では、対応するクライアントがターゲット アクセス ポイントにローミングする前でも、新しい AP との最初のハンドシェイクが実行される、ローミングの新しい概念が導入されています。この概念は高速移行と呼ばれます。最初のハンドシェイクによって、クライアントとアクセス ポイントは Pairwise Transient Key(PTK)を事前に計算できます。これらの PTK キーは、クライアントが再アソシエーション要求に応答するか、新しいターゲット アクセス ポイントとの交換に応答した後で、クライアントと AP に適用されます。

FT キー階層は、クライアントが各 AP での再認証なしで、AP 間の高速 BSS 移行ができるように設計されています。WLAN 設定には、FT(高速移行)と呼ばれる、新しい認証キー管理(AKM)タイプが含まれています。

クライアント ローミング

クライアントが FT プロトコルを使用して現在の AP からターゲット AP に移動する場合、メッセージ交換は次のいずれかの方法を使用して実行されます。

  • Over-the-Air:クライアントは、FT 認証アルゴリズムを使用する IEEE 802.11 認証を使用して、ターゲット AP と直接通信を行います。

  • Over-the-Distribution System(DS):クライアントは、現在の AP を介してターゲット AP と通信します。クライアントとターゲット AP との通信は、クライアントと現在の AP の間の FT アクション フレームで実行されてから、デバイスによって送信されます。

図 1. Over–the–Air クライアント ローミングが設定されている場合のメッセージ交換
図 2. Over–the–DS クライアント ローミングが設定されている場合のメッセージ交換

802.11R 高速移行の制約事項

  • EAP LEAP 方式はサポートされません。

  • トラフィック仕様(TSPEC)は 802.11r 高速ローミングではサポートされません。したがって、RIC IE の処理はサポートされません。

  • WAN リンク遅延がある場合、高速ローミングも遅延します。音声またはデータの最大遅延を確認する必要があります。Cisco WLC は、Over-the-Air と Over-the-DS のどちらの方式でもローミング時に 802.11r 高速移行の認証要求を処理します。

  • レガシー クライアントは、Robust Security Network Information Exchange(RSN IE)の解析を担当するサプリカントのドライバが古く、IE 内の追加 AKM を認識しない場合、802.11r が有効にされている WLAN にアソシエートできません。この制限のため、クライアントは、WLAN にアソシエーション要求を送信できません。ただし、これらのクライアントは、非 802.11r WLAN とアソシエートできます。802.11r 対応クライアントは、802.11i と 802.11r の両方の認証キー管理スイートが有効になっている WLAN で 802.11i クライアントとしてアソシエートできます。

    回避策は、レガシー クライアントのドライバを新しい 802.11r AKM で動作できるようにするか、アップグレードすることです。これにより、レガシー クライアントは 802.11r 対応 WLAN と正常にアソシエートできます。

    もう 1 つの回避策は、同じ名前で異なるセキュリティ設定(FT および非 FT)の 2 つの SSID を持つことです。

  • 高速移行のリソース要求プロトコルは、クライアントがこのプロトコルをサポートしていないため、サポートされません。また、リソース要求プロトコルはオプションのプロトコルです。

  • サービス不能(DoS)攻撃を回避するため、Cisco WLC では、異なる AP と最大 3 つの高速移行ハンドシェイクが可能です。

  • 非 802.11r 対応デバイスは FT 対応 WLAN にアソシエートできなくなります。

  • 802.11r FT + PMF は推奨されません。

  • FlexConnect 導入には 802.11r FT Over-the-Air ローミングをお勧めします。

802.11r 高速移行の監視(CLI)

次のコマンドを使用して、802.11r の高速移行を監視できます。

コマンド 説明
show wlan name wlan-name

WLAN に設定されているパラメータの要約を表示します。

show wireless client mac-address mac-address クライアントの 802.11r 認証キー管理の設定の概要を表示します。 

. . . 
. . .
Client Capabilities
  CF Pollable : Not implemented
  CF Poll Request : Not implemented
  Short Preamble : Not implemented
  PBCC : Not implemented
  Channel Agility : Not implemented
  Listen Interval : 15
  Fast BSS Transition : Implemented
Fast BSS Transition Details :
Client Statistics:
  Number of Bytes Received : 9019
  Number of Bytes Sent : 3765
  Number of Packets Received : 130
  Number of Packets Sent : 36
  Number of EAP Id Request Msg Timeouts : 0
  Number of EAP Request Msg Timeouts : 0
  Number of EAP Key Msg Timeouts : 0
  Number of Data Retries : 1
  Number of RTS Retries : 0
  Number of Duplicate Received Packets : 1
  Number of Decrypt Failed Packets : 0
  Number of Mic Failured Packets : 0
  Number of Mic Missing Packets : 0
  Number of Policy Errors : 0
  Radio Signal Strength Indicator : -48 dBm
  Signal to Noise Ratio : 40 dB
. . . 
. . .

Dot1x セキュリティ対応 WLAN での 802.11r BSS 高速移行の設定(CLI)

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。
ステップ 2

wlan profile-name

例:

デバイス# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

client vlan vlan-name

例:

デバイス(config-wlan)# client vlan 0120

この WLAN にクライアント VLAN を関連付けます。
ステップ 4

security dot1x authentication-list default

例:

デバイス(config-wlan)# security dot1x authentication-list default

dot1x セキュリティ用のセキュリティ認証リストを有効にします。この設定は、すべての dot1x セキュリティ WLAN で類似しています。
ステップ 5

security ft

例:

デバイス(config-wlan)# security ft
WLAN で 802.11r 高速移行を有効にします。
ステップ 6

security wpa akm ft dot1x

例:

デバイス(config-wlan)# security wpa akm ft dot1x
WLAN 上で 802.1x セキュリティをイネーブルにします。
ステップ 7

no shutdown

例:

デバイス(config-wlan)# no shutdown

WLAN をイネーブルにします。
ステップ 8

end

例:

デバイス(config-wlan)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

オープン WLAN での 802.11r 高速移行の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックして WLAN を作成します。

[Add WLAN] ページが表示されます。

ステップ 3

[Security] > [Layer2] タブで、AP 間の [Fast Transition] の適切なステータスを選択します。

ステップ 4

[Save & Apply to Device] をクリックします。

オープン WLAN での 802.11r 高速移行の設定(CLI)

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。
ステップ 2

wlan profile-name

例:

デバイス# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

client vlan vlan-id

例:

デバイス(config-wlan)# client vlan 0120

WLAN にクライアント VLAN を関連付けます。
ステップ 4

no security wpa

例:

デバイス(config-wlan)# no security wpa

WPA セキュリティを無効にします。
ステップ 5

no security wpa akm dot1x

例:

デバイス(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM をディセーブルにします。
ステップ 6

no security wpa wpa2

例:

デバイス(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。
ステップ 7

no wpa wpa2 ciphers aes

例:

デバイス(config-wlan)# no security wpa wpa2 ciphers aes

AES の WPA2 暗号化をディセーブルにします。
ステップ 8

security ft

例:

デバイス(config-wlan)# security ft

802.11r 高速移行パラメータを指定します。
ステップ 9

no shutdown

例:

デバイス(config-wlan)# shutdown

WLAN をシャット ダウンします。
ステップ 10

end

例:

デバイス(config-wlan)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

PSK セキュリティ対応 WLAN での 802.11r 高速移行の設定(CLI)

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。
ステップ 2

wlan profile-name

例:

デバイス# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

client vlan vlan-name

例:

デバイス(config-wlan)# client vlan 0120

この WLAN にクライアント VLAN を関連付けます。
ステップ 4

no security wpa akm dot1x

例:

デバイス(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM をディセーブルにします。
ステップ 5

security wpa akm ft psk

例:

デバイス(config-wlan)# security wpa akm ft psk

高速移行 PSK サポートを設定します。
ステップ 6

security wpa akm psk set-key {ascii {0 | 8} | hex {0 | 8}}

例:

デバイス(config-wlan)# security wpa akm psk set-key ascii 0 test

PSK AKM の共有キーを設定します。
ステップ 7

security ft

例:

デバイス(config-wlan)# security ft

802.11r 高速移行を設定します。
ステップ 8

no shutdown

例:

デバイス(config-wlan)# no shutdown

WLAN をイネーブルにします。
ステップ 9

end

例:

デバイス(config-wlan)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

802.11r 高速移行の無効化(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[WLANs] ページで、WLAN 名をクリックします。

ステップ 3

[Edit WLAN] ウィンドウで [Security] > [Layer2] タブをクリックします。

ステップ 4

[Fast Transition] ドロップダウンリストから [Disabled] を選択します。

ステップ 5

[Update & Apply to Device] をクリックします。

802.11r 高速移行のディセーブル(CLI)

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。
ステップ 2

wlan profile-name

例:

デバイス# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

no security ft [over-the-ds | reassociation-timeout timeout-in-seconds]

例:

デバイス(config-wlan)# no security ft over-the-ds

WLAN の 802.11r 高速移行をディセーブルにします。
ステップ 4

end

例:

Device(config)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。