無線機能 / セキュリティー設定

セキュリティーの種類
WPAパーソナルの設定方法
WPAバージョンの設定方法
暗号化プロトコルの設定方法
WPAエンタープライズの設定方法
WPAバージョンの設定方法
暗号化プロトコルの設定方法
MAC認証の設定方法
高速ローミングの設定方法
Over the DSを使用した高速ローミングの設定方法
Over the Airを使用した高速ローミングの設定方法

Note
本製品のデフォルトのログレベルは「notice」で設定されているため、「informational」レベルで出力される無線機能に関するログが何も出力されません。本製品をご使用の際は、初めにlogコマンドにてbufferedログのレベルを「informational」に設定変更してください。
awplus(config)# log buffered level informational

無線クライアントとのデータ通信を行う際のセキュリティー設定を行います。
セキュリティー設定は、個々の無線ネットワークやWDSに適用するセキュリティー設定を定義する要素で、以下のコマンドで設定、確認します。

実施内容
初期設定
コマンド
WPAパーソナル設定コマンド
WPAパーソナル セキュリティー設定の作成 未作成 security mode wpa-personal(無線設定モード)
 WPAバージョン wpa2  versions(WPAパーソナル設定モード)
 暗号プロトコル ccmp(AES)  ciphers(WPAパーソナル設定モード)
 セキュリティーキー 未設定  key(WPAパーソナル設定モード)
 ブロードキャスト(グループ)キーの更新間隔 0(更新しない)  bcast-key-refresh-interval(WPAパーソナル設定モード)
 管理フレーム保護(MFP) 利用可能  management-frame-protection enable(WPAパーソナル設定モード)
 高速ローミング関連コマンド
  高速移行 無効  fast-transition enable(WPAパーソナル設定モード)
  分散システム 無効  over-the-ds enable(WPAパーソナル設定モード)
  モビリティドメイン a1b2  mobility-domain(WPAパーソナル設定モード)
  PMK-R0 保持時間 10000  r0-key-lifetime(WPAパーソナル設定モード)
  AESキー 未設定  aes-key(WPAパーソナル設定モード)
  IEEE 802.11k RRM 無効  radio-resource-management enable(WPAパーソナル設定モード)
  IEEE 802.11v WNM 無効  wireless-network-management enable(WPAパーソナル設定モード)
WPAエンタープライズ設定コマンド
WPAエンタープライズ セキュリティー設定の作成 未作成 security mode wpa-enterprise(無線設定モード)
 WPAバージョン wpa2  versions(WPAエンタープライズ設定モード)
 暗号プロトコル ccmp(AES)  ciphers(WPAエンタープライズ設定モード)
 RADIUS認証サーバー 未指定  radius authentication group(WPAエンタープライズ設定モード)
 RADIUSアカウンティングサーバー 未指定  radius accounting group(WPAエンタープライズ設定モード)
 ブロードキャスト(グループ)キーの更新間隔 0(更新しない)  bcast-key-refresh-interval(WPAエンタープライズ設定モード)
 ユニキャストセッションキーの更新間隔 0(更新しない)  session-key-refresh-interval(WPAエンタープライズ設定モード)
 再認証タイマー満了時の動作 reauthentication  session-key-refresh-action(WPAエンタープライズ設定モード)
 管理フレーム保護(MFP) 利用可能  management-frame-protection enable(WPAエンタープライズ設定モード)
 ローミング時における事前認証情報の中継 有効  pre-authentication enable(WPAエンタープライズ設定モード)
 高速ローミング関連コマンド
  高速移行 無効  fast-transition enable(WPAエンタープライズ設定モード)
  分散システム 無効  over-the-ds enable(WPAエンタープライズ設定モード)
  モビリティドメイン a1b2  mobility-domain(WPAエンタープライズ設定モード)
  PMK-R0 保持時間 10000  r0-key-lifetime(WPAエンタープライズ設定モード)
  AESキー 未設定  aes-key(WPAエンタープライズ設定モード)
  IEEE 802.11k RRM 無効  radio-resource-management enable(WPAエンタープライズ設定モード)
  IEEE 802.11v WNM 無効  wireless-network-management enable(WPAエンタープライズ設定モード)
確認コマンド
セキュリティー設定の表示   show wireless security(非特権EXECモード)

セキュリティーの種類

本製品がサポートしている無線セキュリティーの種類は下表のとおりです。
ここでは、WPAパーソナル、WPAエンタープライズ、MAC認証の設定方法について説明します。

表 2
セキュリティー種類
説明
WPAパーソナル 事前共有キー(PSK)をもとに無線クライアント個別のキーを生成し、本製品と無線クライアント間で認証と暗号化を行います。暗号アルゴリズムにはCCMPまたはTKIPを使用します。
WPAエンタープライズ RADIUSサーバーで無線クライアント個別のキーを生成し、本製品と無線クライアント間で認証と暗号化を行います。暗号アルゴリズムにはGCMP、CCMPまたはTKIPを使用します。
MAC認証 RADIUSサーバーを使用して認証を行います。
Web認証 クリックスルー 本製品の接続時に利用規約ページを介して接続が行えます。
詳細は「無線機能」/「キャプティブポータル」をご覧ください。
Web認証 外部RADIUS 本製品の接続時にRADIUSサーバーに問い合わせを行い、認証後リダイレクトで設定したページが表示されます。
詳細は「無線機能」/「キャプティブポータル」をご覧ください。

WPAパーソナルの設定方法

WPAパーソナルの設定方法について説明します。

  1. 無線設定モードに移行し、さらにWPAパーソナル設定モードに移行します。
    ここでは、セキュリティー設定番号を「1」とします。
    awplus(config)# wireless
awplus(config-wireless)# security 1 mode wpa-personal

  2. WPAパーソナルのセキュリティーキーを設定します。
    ここでは、セキュリティーキーを「1234567890」とします。
    awplus(config-wireless-sec-wpa-psnl)# key 1234567890

  3. VAPインターフェースに設定を行うネットワークを設定し、セキュリティーを割り当てます。
    無線設定モードに戻り、無線ネットワークモードに移行します。
    ここでは、無線ネットワーク設定番号を「2」、SSIDを「network2」とし、セキュリティー設定番号「1」を割り当てます。
    awplus(config-wireless-sec-wpa-psnl)# exit
awplus(config-wireless)# network 2
awplus(config-wireless-network)# ssid network2
awplus(config-wireless-network)# security 1

  4. ネットワーク設定をVAP2インターフェースに割り当てます。

    1. 無線設定モードに戻り、APプロファイルモードに移行します。
      awplus(config-wireless-network)# exit
awplus(config-wireless)# ap-profile local

    2. APプロファイル・無線モードに移行し無線1を有効にします。
      awplus(config-wireless-ap-prof)# radio 1
awplus(config-wireless-ap-prof-radio)# enable

    3. VAP2インターフェースにネットワーク設定を割り当てます。
      awplus(config-wireless-ap-prof-radio)# vap 2 network 2

  5. 特権EXECモードに戻り、設定を適用します。
    awplus(config-wireless-ap-prof-radio)# end
awplus# wireless ap-configuration apply ap local

WPAバージョンの設定方法

WPAバージョンの設定変更を行うには、versionsコマンドで行います。

WPAのバージョンは次の通りです。
 WPAとWPA2が混在する環境では、「wpa wpa2」を指定します。無線ネットワークから見たセキュリティーは、WPAと同じレベルになります。
 WPA2とWPA3が混在する環境では、「wpa2 wpa3」を指定します。無線ネットワークから見たセキュリティーは、WPA2と同じレベルになります。
 WPA2のみの環境では、「wpa2」を指定します。
 WPA3のみの環境では、「wpa3」を指定します。

awplus(config)# wireless
awplus(config-wireless)# security 1 mode wpa-personal
awplus(config-wireless-sec-wpa-psnl)# versions wpa2 wpa3
awplus(config-wireless-sec-wpa-psnl)# end
awplus# wireless ap-configuration apply ap local

暗号化プロトコルの設定方法

暗号化プロトコルの設定変更を行うには、ciphersコマンドで行います。

WPAバージョンにより設定可能な暗号化プロトコルが決まっています。下表を参考に暗号化プロトコルを指定してください。
表 3
WPAバージョン
暗号プロトコル
WPA and WPA2 ccmp tkip
WPA2 ccmp
WPA2 and WPA3 ccmp
WPA3 ccmp 

awplus(config)# wireless
awplus(config-wireless)# security 1 mode wpa-personal
awplus(config-wireless-sec-wpa-psnl)# ciphers ccmp
awplus(config-wireless-sec-wpa-psnl)# end
awplus# wireless ap-configuration apply ap local

WPAエンタープライズの設定方法

ローカルRADIUSサーバーを使用したWPAエンタープライズの設定方法について説明します。

  1. WPAエンタープライズで使用するローカルRADIUSサーバーの設定を行うには、RADIUSサーバーモードに移行します。
    awplus(config)# radius-server local

  2. ローカルRADIUSサーバーのユーザーとパスワードを設定します。
    ここでは、ユーザーを「user」、パスワードを「password」とします。
    awplus(config-radsrv)# user user password password

  3. ローカルRADIUSサーバーを有効にします。
    awplus(config-radsrv)# server enable

  4. グローバルコンフィグモードに戻り、RADIUSクライアントの設定で自身のローカルRADIUSサーバーを使用するように設定します。
    ここでは、ホストのIPアドレスを「127.0.0.0」、RADIUSサーバーとの通信に使用する共有パスワードを「awplus-local-radius-server」とします。
    awplus(config-radsrv)# exit
awplus(config)# radius-server host 127.0.0.0 key awplus-local-radius-server

  5. WPAエンタープライズのセキュリティー設定を作成し、WPAエンタープライズ設定モードから使用する認証用RADIUSサーバーグループを設定します。
    wirelessコマンドで無線設定モードに移行し、さらにsecurity mode wpa-enterpriseコマンドでWPAエンタープライズ設定モードに移行します。
    ここでは、セキュリティー設定番号を「1」、 RADIUSサーバーは手順4で設定したRADIUSサーバーを使用することとします。
    awplus(config)# wireless
awplus(config-wireless)# security 1 mode wpa-enterprise
awplus(config-wireless-sec-wpa-ent)# radius authentication group radius

  6. VAPインターフェースに設定を行うネットワークを設定し、セキュリティーを割り当てます。
    無線設定モードに戻り、無線ネットワークモードに移行します。
    ここでは、無線ネットワーク設定番号を「2」、SSIDを「network2」とし、セキュリティー設定番号「1」を割り当てます。
    awplus(config-wireless-sec-wpa-ent)# exit
awplus(config-wireless)# network 2
awplus(config-wireless-network)# ssid network2
awplus(config-wireless-network)# security 1

  7. ネットワーク設定をVAP2インターフェースに割り当てます。

    1. 無線設定モードに戻り、APプロファイルモードに移行します。
      awplus(config-wireless-network)# exit 
awplus(config-wireless)# ap-profile local

    2. APプロファイル・無線モードに移行し無線1を有効にします。
      awplus(config-wireless-ap-prof)# radio 1
awplus(config-wireless-ap-prof-radio)# enable

    3. VAP2インターフェースにネットワーク設定を割り当てます。
      awplus(config-wireless-ap-prof-radio)# vap 2 network 2

  8. 特権EXECモードに戻り、設定を適用します。
    awplus(config-wireless-ap-prof-radio)# end
awplus# wireless ap-configuration apply ap local

WPAバージョンの設定方法

WPAバージョンの設定変更を行うには、versionsコマンドで行います。

WPAのバージョンは次の通りに選択できます。
 WPAとWPA2が混在する環境では、「wpa wpa2」を指定します。無線ネットワークから見たセキュリティーは、WPAと同じレベルになります。
 WPA2とWPA3が混在する環境では、「wpa2 wpa3」を指定します。無線ネットワークから見たセキュリティーは、WPA2と同じレベルになります。
 WPA2のみの環境では、「wpa2」を指定します。
 WPA3のみの環境では、「wpa3」を指定します。

awplus(config)# wireless
awplus(config-wireless)# security 1 mode wpa-enterprise
awplus(config-wireless-sec-wpa-ent)# versions wpa wpa2
awplus(config-wireless-sec-wpa-ent)# end
awplus# wireless ap-configuration apply ap local

暗号化プロトコルの設定方法

暗号化プロトコルの設定変更を行うには、ciphers(WPAエンタープライズ設定モード)で行います。

WPAバージョンにより設定可能な暗号プロトコルが決まっています。下表を参考に暗号化プロトコルを指定してください。
表 4
WPAバージョン
暗号プロトコル
WPA and WPA2 ccmp tkip
WPA2 ccmp
WPA2 and WPA3 ccmp
WPA3 gcmp 

awplus(config)# wireless
awplus(config-wireless)# security 1 mode wpa-enterprise
awplus(config-wireless-sec-wpa-ent)# ciphers ccmp tkip
awplus(config-wireless-sec-wpa-ent)# end
awplus# wireless ap-configuration apply ap local

MAC認証の設定方法

ローカルRADIUSサーバーを使用したMAC認証の設定方法について説明します。

  1. 無線設定モードに移行し、さらにWPAパーソナル設定モードに移行します。
    ここでは、セキュリティー設定番号を「1」とします。
    awplus(config)# wireless
awplus(config-wireless)# security 1 mode wpa-personal

  2. WPAパーソナルのセキュリティーキーを設定します。
    ここでは、セキュリティーキーを「1234567890」とします。
    awplus(config-wireless-sec-wpa-psnl)# key 1234567890

  3. MAC認証で使用するローカルRADIUSサーバーの設定を行います。グローバルコンフィグモードに戻り、RADIUSサーバーモードに移行します。
    awplus(config-wireless-sec-wpa-psnl)# exit
awplus(config)# radius-server local

  4. ローカルRADIUSサーバーのユーザーとパスワードを設定します。
    ここでは、ユーザーを「user」、パスワードを「password」とします。
    awplus(config-radsrv)# user user password password

  5. ローカルRADIUSサーバーを有効にします。
    awplus(config-radsrv)# server enable

  6. グローバルコンフィグモードに戻り、RADIUSクライアントの設定で自身のローカルRADIUSサーバーを使用するよう設定します。
    ここでは、ホストのIPアドレスを「127.0.0.0」、RADIUSサーバーとの通信に使用する共有パスワードを「awplus-local-radius-server」とします。
    awplus(config-radsrv)# exit
awplus(config)# radius-server host 127.0.0.0 key awplus-local-radius-server

  7. VAPインターフェースに設定を行うネットワークを設定します。
    無線設定モードに移行し、さらに無線ネットワークモードに移行します。
    ここでは、無線ネットワーク設定番号を「2」、SSIDを「network2」、セキュリティー設定番号を「2」とします。
    awplus(config)# wireless
awplus(config-wireless)# network 2
awplus(config-wireless-network)# ssid network2
awplus(config-wireless-network)# security 2

  8. MAC認証を有効にし、使用する認証用RADIUSサーバーグループを設定します。
    awplus(config-wireless-network)# mac-auth radius auth group radius

  9. ネットワーク設定をVAP2インターフェースに割り当てます。

    1. 無線設定モードに戻り、APプロファイルモードに移行します。
      awplus(config-wireless-network)# exit
awplus(config-wireless)# ap-profile local

    2. APプロファイル・無線モードに移行し無線1を有効にします。
      awplus(config-wireless-ap-prof)# radio 1
awplus(config-wireless-ap-prof-radio)# enable

    3. VAP2インターフェースにネットワーク設定を割り当てます。
      awplus(config-wireless-ap-prof-radio)# vap 2 network 2

      Note
      無線2のVAPインターフェースを有効にし、無線ネットワーク設定を割り当てる場合、下記コマンドを実行し無線2も有効にしてください。
      awplus(config-wireless-ap-prof-radio)# exit
awplus(config-wireless-ap-prof)# radio 2
awplus(config-wireless-ap-prof-radio)# enable
awplus(config-wireless-ap-prof-radio)# vap 2 network 2

  10. 特権EXECモードに戻り、設定を適用します。
    awplus(config-wireless-ap-prof-radio)# end
awplus# wireless ap-configuration apply ap local

高速ローミングの設定方法

標準化された IEEE 802.11rに対応した高速ローミング機能を使用し、高速でスムーズなローミングを行えるようにします。
高速ローミングには、下表の2通りの方法で設定が行えます。

表 5
方式
説明
Over the DS 無線クライアントは、現在接続している無線APを介して移行先の無線APへ認証要求を行います。
Over the Air 無線クライアントは、無線を介して直接移行先の無線APへ認証要求を行います。

Over the DSを使用した高速ローミングの設定方法

ここでは、WPAパーソナルでOver the DSを使用した高速ローミングを設定する方法を説明します。
  1. 無線設定モードに移行し、さらにWPAパーソナル設定モードに移行します。
    ここでは、セキュリティー設定番号を「2」とします。
    awplus(config)# wireless
awplus(config-wireless)# security 2 mode wpa-personal

  2. WPAパーソナルのセキュリティーキーを設定します。
    ここでは、セキュリティーキーを「1234567890」とします。
    awplus(config-wireless-sec-wpa-psnl)# key 1234567890

  3. IEEE 802.11r による高速ローミングを有効にします。
    awplus(config-wireless-sec-wpa-psnl)# fast-transition enable

  4. 高速ローミング時に無線APを介して移行先の無線APへ認証要求を行うための設定をします。
    awplus(config-wireless-sec-wpa-psnl)# over-the-ds enable

  5. 無線AP間でPMK-R1をやり取りするときの暗号化に用いるAESキーを設定します。
    ここではAESキーを「01234567890123456789012345678901」とします。
    awplus(config-wireless-sec-wpa-psnl)# aes-key 01234567890123456789012345678901

  6. VAPインターフェースに設定を行うネットワークを設定します。
    無線設定モードに戻り、無線ネットワークモードに移行します。
    ここでは、無線ネットワーク設定番号を「2」、SSIDを「network2」、セキュリティー設定番号を「2」とします。
    awplus(config-wireless-sec-wpa-psnl)# exit
awplus(config-wireless)# network 2
awplus(config-wireless-network)# ssid network2
awplus(config-wireless-network)# security 2

  7. ネットワーク設定をVAP2インターフェースに割り当てます。

    1. 無線設定モードに戻り、APプロファイルモードに移行します。
      awplus(config-wireless-network)# exit
awplus(config-wireless)# ap-profile local

    2. APプロファイル・無線モードに移行し無線1を有効にします。
      awplus(config-wireless-ap-prof)# radio 1
awplus(config-wireless-ap-prof-radio)# enable

    3. VAP2インターフェースにネットワーク設定を割り当てます。
      awplus(config-wireless-ap-prof-radio)# vap 2 network 2

  8. 特権EXECモードに戻り、設定を適用します。
    awplus(config-wireless-ap-prof-radio)# end
awplus# wireless ap-configuration apply ap local

Over the Airを使用した高速ローミングの設定方法

ここでは、WPAパーソナルでOver the Airを使用した高速ローミングを設定する方法を説明します。
  1. 無線設定モードに移行し、さらにWPAパーソナル設定モードに移行します。
    ここでは、セキュリティー設定番号を「2」とします。
    awplus(config)# wireless
awplus(config-wireless)# security 2 mode wpa-personal

  2. WPAパーソナルのセキュリティーキーを設定します。
    ここでは、セキュリティーキーを「1234567890」とします。
    awplus(config-wireless-sec-wpa-psnl)# key 1234567890

  3. IEEE 802.11r による高速ローミングを有効にします。
    awplus(config-wireless-sec-wpa-psnl)# fast-transition enable

  4. 無線AP間でPMK-R1をやり取りするときの暗号化に用いるAESキーを設定します。
    ここではAESキーを「01234567890123456789012345678901」とします。
    awplus(config-wireless-sec-wpa-psnl)# aes-key 01234567890123456789012345678901

  5. VAPインターフェースに設定を行うネットワークを設定します。
    無線設定モードに戻り、無線ネットワークモードに移行します。
    ここでは、無線ネットワーク設定番号を「2」、SSIDを「network2」、セキュリティー設定番号を「2」とします。
    awplus(config-wireless-sec-wpa-psnl)# exit
awplus(config-wireless)# network 2
awplus(config-wireless-network)# ssid network2
awplus(config-wireless-network)# security 2

  6. ネットワーク設定をVAP2インターフェースに割り当てます。

    1. 無線設定モードに戻り、APプロファイルモードに移行します。
      awplus(config-wireless-network)# exit
awplus(config-wireless)# ap-profile local

    2. APプロファイル・無線モードに移行し無線1を有効にします。
      awplus(config-wireless-ap-prof)# radio 1
awplus(config-wireless-ap-prof-radio)# enable

    3. VAP2インターフェースにネットワーク設定を割り当てます。
      awplus(config-wireless-ap-prof-radio)# vap 2 network 2

  7. 特権EXECモードに戻り、設定を適用します。
    awplus(config-wireless-ap-prof-radio)# end
awplus# wireless ap-configuration apply ap local

(C) 2023 アライドテレシスホールディングス株式会社

PN: 613-003212 Rev.B