クライアントの認証時に、AAA サーバはクライアントの MAC アドレスを認証し、Cisco-AVPair リストの一部としてパスフレーズ（設定されている場合）を送信します。WLC は RADIUS 応答の一部としてこれを受信し、PSK の計算のため追加処理します。

クライアントがアクセス ポイントからブロードキャストされている SSID にアソシエーション要求を送信すると、ワイヤレス LAN コントローラはクライアントの特定の MAC アドレスを含む RADIUS 要求パケットを形成し、RADIUS サーバに中継します。

RADIUS サーバは認証を実行し、クライアントが許可されているかどうか、および WLC への応答として ACCESS-ACCEPT または ACCESS-REJECT のいずれかを送信するかどうかをチェックします。

Identity PSK をサポートするために、認証サーバは、認証応答を送信するだけでなく、この特定のクライアントに対して AV Pair パスフレーズを提供します。これは PSK の計算のためにさらに使用されます。

RADIUS サーバは、クライアントに特有のユーザ名、VLAN、QoS などの追加パラメータをこの応答で提供することもできます。単一ユーザが所有している複数のデバイスのためにパスフレーズを同一にしておくこともできます。

AVC と同じように、mDNS またはオープン DNS プロファイルは、特定のデバイス タイプのクライアントのためにローカル ポリシーにマップできます。IPSK は、コントローラのローカル ポリシーと組み合わせたり、特定の WLAN にマッピングしたりすることもできます。AV-pair=PSK-mode および PSK-password を ISE などの AAA サーバで設定する場合、管理者は、別の AV-pair=role を追加することで、たとえば、教師または学生のグループに対して、その特定のロールに対するローカル ポリシーを設定することもできます。各ローカル ポリシーは異なったプロファイル名、ACL、ロール、デバイス タイプ、および、同じ WLAN でプロファイルにより許可されていないサービスを利用/拒否することができることから、ポリシーを制限/許可する AAA オーバーライドに基づいて、アクティブ時間までも使用して設定できます。

同一の WLAN で IPSK とローカル ポリシーを組み合わせると、多くのさまざまな展開シナリオで制限なく使用できます。

たとえば、学内管理者は、学生が IPSK でログインし、グループ Students に属する学生のみ、特定のアプリケーションに特定の帯域幅と特定のデバイスで、特定の時間アクセスできるローカル ポリシーを適用するように設定できます。IPSK とローカル ポリシーを組み合わせることで、実質的に無制限の多様な機能を使用できます。

Cisco では、ISE を介してデバイスの識別、オンボーディング、ポスチャ、およびポリシーを実行する、豊富な機能を提供しています。WLC では新たに、ネットワーク上のエンドデバイスを識別するために DHCP、HTTP などのプロトコルに基づくデバイスのプロファイリングを行います。ユーザは、デバイス ベースのポリシーを設定し、ネットワーク上のユーザごと、またはデバイス ポリシーごとに適用できます。WLC では、ユーザごと、またはデバイス エンドポイントごとに基づく統計情報とデバイスごとの適切なポリシーも表示できます。

BYOD（Bring Your Own Device）では、この機能がネットワーク上のさまざまなデバイスの理解に影響します。この機能を使うことで、WLC 自身で小規模に BYOD を実装できます。

このセクションでは、AireOS8.5 コードを動かしている Cisco WLC でプロファイリングとポリシーを設定して実行します。

プロファイリングとポリシーの適用は、2 つの異なるコンポーネントとして設定します。WLC での設定は、前のセクションで設定したように、IPSK セキュリティを使用してネットワークに参加するクライアントに特有な定義済みパラメータに基づきます。対象のポリシー属性は次のとおりです。

1. Role：ユーザが属するユーザ タイプまたはユーザ グループを定義

2. PSK-mode：ASCII

   PSK-password：特定の PSK パスワードとデバイスの MAC アドレスとの一致

   たとえば、学生、従業員など

3. Device：デバイスのタイプを定義

   たとえば、Windows マシン、スマートフォン、iPad や iPhone などの Apple デバイス

4. Time of day：設定で、エンドポイントがネットワーク上で許可される時間を定義

上記のパラメータはポリシー一致属性として設定できます。WLC では、上記のパラメータに（エンドポイントごとに）一致する通信を検出すると、ポリシーを適用します。ポリシーの適用は次のようなセッション属性に基づいています。

• VLAN

• ACL

• セッション タイムアウト

• QoS

• スリープ状態のクライアント

• FlexConnect ACL

• AVC プロファイル

• mDNS プロファイル

• オープン DNS プロファイル

• セキュリティ グループ タグ

ユーザは、これらのポリシーを設定し、指定したポリシーをエンドポイントに適用できます。ワイヤレス クライアントは、MAC アドレス、MAC OUI、DHCP、HTTP ユーザ エージェント（HTTP プロファイリングを成功させるためには、Internet へのアクセスが必要）に基づいて、プロファイリングされます。WLC はこれらの属性と定義済みの分類プロファイルを使用して、デバイスを識別します。

• Mac フィルタリングおよび AAA Override が有効化され、ISE が設定されているコントローラは、IPSK を設定したデバイスが ISE で設定された MAC アドレスを使用して WLAN に接続することを許可します。

• ISE で設定された MAC アドレスを持つデバイスは、WLAN に通常の PSK で接続できず、そのデバイスのために設定された IPSK でのみ接続できます。

• ISE で設定された MAC アドレスを持たないデバイスは、通常の PSK のみで WLAN に接続できます。

• IPSK は、FlexConnect local switching ではサポートされません。AAA サーバで AV-Pair のサポートが必要です。

• IPSK は、FlexConnect Group ではサポートされません。

• IPSK は FSR をサポートし、高速ローミングの際に、ローミングごとの RADIUS 接続を避けるため、キー キャッシングを実行します。

• 特定のスケジュールされた時間に IPSK の設定を有効にする場合は、RADIUS 応答の radius session-timeout 属性を使用して、タイム スケジュールまたは有効性を利用することがあります。

config wlan mac-filtering enable <wlanId>
config wlan aaa-override enable <wlanId>
config wlan security wpa akm psk enable <wlanId>
config wlan security wpa akm psk set-key <ascii/hex> <key> <wlanId>

既知の show コマンドは、WLAN およびクライアントの設定を表示します。

show wlan <wlanId>
show client detail <clientMac> 

導入ガイドのこの項では、P2P ブロッキング/ブリッジングと共に使用する IdentityPSK 拡張機能を紹介し、導入に関する一般的なガイドラインを提供します。このドキュメントの目的は以下のとおりです。

• 8.8 の機能の概要を示す

• サポートされている P2P ブロッキングと共に使用する iPSK 機能を強調する

• 8.8 の機能の導入および管理に関する詳細情報を提供する

要件

この新しい機能は、1800、2800、3800 Wave-2 AP、および 3504、5520、8540 コントローラでサポートされます。この機能は、ローカル スイッチド モードおよび中央スイッチド モードの IPv4 デバイスと IPv6 デバイスでサポートされます。

Internet of Things（IoT）の出現により、インターネットに接続されるデバイスの数は著しく増加しています。これらのすべてのデバイスが 802.1x サプリカントをサポートしているわけではなく、インターネットに接続するための代替メカニズムが必要です。セキュリティ メカニズムの 1 つである WPA-PSK が代替手段として考えられます。現在の設定では、事前共有キーは同じ WLAN に接続するすべてのクライアントで同じです。教育機関などの一部の設置環境では、これによりキーが不正ユーザに共有され、セキュリティ違反をもたらします。したがって、前述の内容やその他の要件により、大規模な環境ではクライアントごとに一意の事前共有キーを準備しておく必要が生じます。

• Identity PSK は、同じ SSID の個人またはユーザ グループのために作成された一意の事前共有キーです。

• クライアントに複雑な設定は必要ありません。PSK と同じシンプルさで、IoT、BYOD、ゲストに対して最適に展開できます。

• 802.1x 未対応のほとんどのデバイスでサポートされるため、より強力な IoT セキュリティを実現します。

• 他に影響を与えずに 1 つのデバイスまたは個人に対するアクセスを簡単に取り消せます。

• 何千ものキーを簡単に管理でき、AAA サーバを介して配布することができます。

• リリース 8.8 では、IPv6 がサポートされています。

リリース 8.8 では、顧客から要望のあった機能の追加により、iPSK 機能が強化されています。場合によっては、同じまたは異なる WLAN 上で PSK キーが異なるか同じであるクライアントまたは IoT デバイスによる相互通信またはブリッジングが行われないようにする、つまりピアツーピア（P2P）ブロッキングまたはブリッジングの設定を顧客が希望することがあります。この新しい差別化サービスは、リリース 8.8 で導入されました。

ピア ツー ピア ブロッキングの設定オプションは次のとおりです。

• [Drop]：ピア ツー ピア トラフィックをドロップします（既存のオプション）

• [Disable]：ピア ツー ピア トラフィックをブリッジします（既存のオプション）

• [Up Stream]：ピア ツー ピア トラフィックを転送します（既存のオプション）

• [Allow Private Group]：同じタグのデバイスをブリッジします（新しいオプション）

AP 中央スイッチングの iPSK P2P ブロッキング ソリューション

上記のように、iPSK デバイスをブリッジングまたはブロックできる新しい拡張 iPSK オプションがリリース 8.8 で追加されました。

シナリオ 1：デバイスが同じ WLAN で接続されていて、P2P ブロッキングが Allow-Private-Group に設定されている場合、デバイスは相互に通信でき、ISE 認証プロファイルの設定に基づいてタグが同一である場合にブリッジングされます。

シナリオ 2：認証プロファイルの ISE 設定に基づいてタグが異なる場合、クライアント デバイスはブロックされて相互に通信できません。

次の 2 つのシナリオは、割り当てられたタグに基づく 2 台のデバイス間の通信を示しています。