はじめに

このドキュメントでは、8.7 モビリティ暗号化トンネルとその導入についての一般的なガイドラインを示します。このドキュメントの目的は以下のとおりです。

  • 8.7 モビリティ暗号化トンネル機能の概要を提供する

  • サポートされている主要機能のハイライト

  • 8.7 モビリティ暗号化トンネル機能の導入と管理の詳細を提供する

前提条件

8.5MR1 または 8.7 コードにアップグレードするには、ワイヤレス LAN コントローラに AireOS 8.0 以降のリリースを用意する必要があります。


(注)  

この機能は、8.5MR1 と 8.7 およびそれ以降のリリースでのみ機能し、3504、5520、8540 のコントローラでサポートされます。

製品や機能の概要

このドキュメントでは、アンカーとフォーリン WLC 間のモビリティ トンネルでエンドツーエンドの暗号化をサポートするシステムの概要を説明します。さらに、アンカーとフォーリン WLC 間でモビリティ トンネルのエンドツーエンドの暗号化をサポートするための WLC 側の基本的前提についても説明します。

以下の図に、アンカーとフォーリン WLC 間のモビリティ トンネルのエンドツーエンドの暗号化のアーキテクチャを示します。このアーキテクチャで WLC は、WLC 間に DTLS 暗号化を使用する CAPWAP ベースのモビリティ トンネルを介して接続されています。クライアント データは、AP から WLC、およびフォーリンとアンカー WLC 間で安全な DTLS 暗号化 CAPWAP トンネルを介して渡されます。つまり、DTLS 暗号化を使用する CAPWAP ベースのモビリティ トンネルを介して渡されます。このように、クライアント データは、クライアント ネットワークからアンカー WLC までのデータ パス全体で暗号化トンネルを介して渡されるため、中間者によるスヌーピングが行われる余地がありません。



  • リリース 8.7 では、アンカーとフォーリン コントローラ間のトンネルがエンドツーエンドで暗号化されている

  • 暗号化トンネルでは CAPWAP v4 と DTLS 暗号化が使用される

  • 新旧のモビリティ アーキテクチャがサポートされる

  • Client SSO がサポートされる

  • 3504、5520、8540 コントローラでサポートされている

暗号化モビリティ トンネルの設定

リリース 8.7 でエンド ツー エンドの暗号化モビリティ トンネルを設定するには、以下の手順に従います。

手順

ステップ 1

モビリティ グループのやり取りに参加する必要があるすべてのコントローラを設定します。すべてのコントローラに、相互の情報を設定する必要があります。
ステップ 2

コントローラごとに、Mobility Encryption を有効にします。

Mobility Encryption を有効にすると、コントローラが再起動します。
ステップ 3

再起動の前にコントローラは次のメッセージを表示するため、[OK] をクリックして変更を適用します。
ステップ 4

暗号化モビリティ トンネルが設定されたコントローラが起動すると、[Status] に Up と表示されます。



図 1.


ステップ 5

Mobility Encryption が有効になり、トンネル リンクのステータスが Up になると、暗号化された接続が確立されていることを確認するためにさらにもう 1 つチェックを実行できます。暗号化トンネル経由で、あるコントローラから別のコントローラの IP アドレスに MPING を実行し、MPING が成功することを確認します。