Cisco Embedded Wireless Controller on Catalyst Access Points IOS XE Bengaluru 17.6.x コンフィギュレーションガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Embedded Wireless Controller on Catalyst Access Points IOS XE Bengaluru 17.6.x コンフィギュレーションガイド

Chapter Title

802.11r BSS Fast Transition

検索結果

Updated:
2022年3月30日水曜日

章のタイトル: 802.11r BSS Fast Transition

802.11r BSS Fast Transition

802.11R 高速移行について

高速ローミングの IEEE 標準である 802.11r では、対応するクライアントがターゲット アクセス ポイントにローミングする前でも、新しい AP との最初のハンドシェイクが実行される、ローミングの新しい概念が導入されています。この概念は高速移行と呼ばれます。最初のハンドシェイクによって、クライアントとアクセス ポイントは Pairwise Transient Key(PTK)を事前に計算できます。これらの PTK キーは、クライアントが再アソシエーション要求に応答するか、新しいターゲット アクセス ポイントとの交換に応答した後で、クライアントと AP に適用されます。

FT キー階層は、クライアントが各 AP での再認証なしで、AP 間の高速 BSS 移行ができるように設計されています。WLAN 設定には、FT(高速移行)と呼ばれる、新しい認証キー管理(AKM)タイプが含まれています。

クライアント ローミング

クライアントが FT プロトコルを使用して現在の AP からターゲット AP に移動する場合、メッセージ交換は次のいずれかの方法を使用して実行されます。

  • Over-the-Air:クライアントは、FT 認証アルゴリズムを使用する IEEE 802.11 認証を使用して、ターゲット AP と直接通信を行います。

  • Over-the-Distribution System(DS):クライアントは、現在の AP を介してターゲット AP と通信します。クライアントとターゲット AP との通信は、クライアントと現在の AP の間の FT アクション フレームで実行されてから、デバイスによって送信されます。

図 1. Over–the–Air クライアント ローミングが設定されている場合のメッセージ交換
図 2. Over–the–DS クライアント ローミングが設定されている場合のメッセージ交換

802.11R 高速移行の制約事項

  • EAP LEAP 方式はサポートされません。

  • トラフィック仕様(TSPEC)は 802.11r 高速ローミングではサポートされません。したがって、RIC IE の処理はサポートされません。

  • WAN リンク遅延がある場合、高速ローミングも遅延します。音声またはデータの最大遅延を確認する必要があります。Cisco WLC は、Over-the-Air と Over-the-DS のどちらの方式でもローミング時に 802.11r 高速移行の認証要求を処理します。

  • レガシー クライアントは、Robust Security Network Information Exchange(RSN IE)の解析を担当するサプリカントのドライバが古く、IE 内の追加 AKM を認識しない場合、802.11r が有効にされている WLAN にアソシエートできません。この制限のため、クライアントは、WLAN にアソシエーション要求を送信できません。ただし、これらのクライアントは、非 802.11r WLAN とアソシエートできます。802.11r 対応クライアントは、802.11i と 802.11r の両方の認証キー管理スイートが有効になっている WLAN で 802.11i クライアントとしてアソシエートできます。

    回避策は、レガシー クライアントのドライバを新しい 802.11r AKM で動作できるようにするか、アップグレードすることです。これにより、レガシー クライアントは 802.11r 対応 WLAN と正常にアソシエートできます。

    もう 1 つの回避策は、同じ名前で異なるセキュリティ設定(FT および非 FT)の 2 つの SSID を持つことです。

  • 高速移行のリソース要求プロトコルは、クライアントがこのプロトコルをサポートしていないため、サポートされません。また、リソース要求プロトコルはオプションのプロトコルです。

  • サービス不能(DoS)攻撃を回避するため、Cisco WLC では、異なる AP と最大 3 つの高速移行ハンドシェイクが可能です。

  • 非 802.11r 対応デバイスは FT 対応 WLAN にアソシエートできなくなります。

  • 802.11r FT + PMF は推奨されません。

  • FlexConnect 導入には 802.11r FT Over-the-Air ローミングをお勧めします。

802.11r 高速移行の監視(CLI)

次のコマンドを使用して、802.11r の高速移行を監視できます。

コマンド 説明
show wlan name wlan-name

WLAN に設定されているパラメータの要約を表示します。

show wireless client mac-address mac-address クライアントの 802.11r 認証キー管理の設定の概要を表示します。 

. . . 
. . .
Client Capabilities
  CF Pollable : Not implemented
  CF Poll Request : Not implemented
  Short Preamble : Not implemented
  PBCC : Not implemented
  Channel Agility : Not implemented
  Listen Interval : 15
  Fast BSS Transition : Implemented
Fast BSS Transition Details :
Client Statistics:
  Number of Bytes Received : 9019
  Number of Bytes Sent : 3765
  Number of Packets Received : 130
  Number of Packets Sent : 36
  Number of EAP Id Request Msg Timeouts : 0
  Number of EAP Request Msg Timeouts : 0
  Number of EAP Key Msg Timeouts : 0
  Number of Data Retries : 1
  Number of RTS Retries : 0
  Number of Duplicate Received Packets : 1
  Number of Decrypt Failed Packets : 0
  Number of Mic Failured Packets : 0
  Number of Mic Missing Packets : 0
  Number of Policy Errors : 0
  Radio Signal Strength Indicator : -48 dBm
  Signal to Noise Ratio : 40 dB
. . . 
. . .

Dot1x セキュリティ対応 WLAN での 802.11r BSS 高速移行の設定(CLI)

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。
ステップ 2

wlan profile-name

例:

デバイス# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

client vlan vlan-name

例:

デバイス(config-wlan)# client vlan 0120

この WLAN にクライアント VLAN を関連付けます。
ステップ 4

security dot1x authentication-list default

例:

デバイス(config-wlan)# security dot1x authentication-list default

dot1x セキュリティ用のセキュリティ認証リストを有効にします。この設定は、すべての dot1x セキュリティ WLAN で類似しています。
ステップ 5

security ft

例:

デバイス(config-wlan)# security ft
WLAN で 802.11r 高速移行を有効にします。
ステップ 6

security wpa akm ft dot1x

例:

デバイス(config-wlan)# security wpa akm ft dot1x
WLAN 上で 802.1x セキュリティをイネーブルにします。
ステップ 7

no shutdown

例:

デバイス(config-wlan)# no shutdown

WLAN をイネーブルにします。
ステップ 8

end

例:

デバイス(config-wlan)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

オープン WLAN での 802.11r 高速移行の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックして WLAN を作成します。

[Add WLAN] ページが表示されます。

ステップ 3

[Security] > [Layer2] タブで、AP 間の [Fast Transition] の適切なステータスを選択します。

ステップ 4

[Save & Apply to Device] をクリックします。

オープン WLAN での 802.11r 高速移行の設定(CLI)

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。
ステップ 2

wlan profile-name

例:

デバイス# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

client vlan vlan-id

例:

デバイス(config-wlan)# client vlan 0120

WLAN にクライアント VLAN を関連付けます。
ステップ 4

no security wpa

例:

デバイス(config-wlan)# no security wpa

WPA セキュリティを無効にします。
ステップ 5

no security wpa akm dot1x

例:

デバイス(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM をディセーブルにします。
ステップ 6

no security wpa wpa2

例:

デバイス(config-wlan)# no security wpa wpa2

WPA2 セキュリティを無効にします。
ステップ 7

no wpa wpa2 ciphers aes

例:

デバイス(config-wlan)# no security wpa wpa2 ciphers aes

AES の WPA2 暗号化をディセーブルにします。
ステップ 8

security ft

例:

デバイス(config-wlan)# security ft

802.11r 高速移行パラメータを指定します。
ステップ 9

no shutdown

例:

デバイス(config-wlan)# shutdown

WLAN をシャット ダウンします。
ステップ 10

end

例:

デバイス(config-wlan)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

PSK セキュリティ対応 WLAN での 802.11r 高速移行の設定(CLI)

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。
ステップ 2

wlan profile-name

例:

デバイス# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

client vlan vlan-name

例:

デバイス(config-wlan)# client vlan 0120

この WLAN にクライアント VLAN を関連付けます。
ステップ 4

no security wpa akm dot1x

例:

デバイス(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM をディセーブルにします。
ステップ 5

security wpa akm ft psk

例:

デバイス(config-wlan)# security wpa akm ft psk

高速移行 PSK サポートを設定します。
ステップ 6

security wpa akm psk set-key {ascii {0 | 8} | hex {0 | 8}}

例:

デバイス(config-wlan)# security wpa akm psk set-key ascii 0 test

PSK AKM の共有キーを設定します。
ステップ 7

security ft

例:

デバイス(config-wlan)# security ft

802.11r 高速移行を設定します。
ステップ 8

no shutdown

例:

デバイス(config-wlan)# no shutdown

WLAN をイネーブルにします。
ステップ 9

end

例:

デバイス(config-wlan)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

802.11r 高速移行の無効化(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[WLANs] ページで、WLAN 名をクリックします。

ステップ 3

[Edit WLAN] ウィンドウで [Security] > [Layer2] タブをクリックします。

ステップ 4

[Fast Transition] ドロップダウンリストから [Disabled] を選択します。

ステップ 5

[Update & Apply to Device] をクリックします。

802.11r 高速移行のディセーブル(CLI)

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。
ステップ 2

wlan profile-name

例:

デバイス# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

no security ft [over-the-ds | reassociation-timeout timeout-in-seconds]

例:

デバイス(config-wlan)# no security ft over-the-ds

WLAN の 802.11r 高速移行をディセーブルにします。
ステップ 4

end

例:

Device(config)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ