移行モードを使用した拡張オープンSSIDの設定:LEAN

ダウンロード オプション

  • PDF     (1.8 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2023 年 6 月 26 日
Document ID:217737

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Catalyst 9800ワイヤレスLANコントローラ(9800 WLC)での拡張オープン伝送モード(EOM)の設定とトラブルシューティングの方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Cisco Wireless Lan Controller(WLC)9800。
    • Wi-Fi 6Eをサポートするシスコアクセスポイント(AP) 
    • IEEE標準802.11ax。
    • Wireshark.

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • IOS® XE 17.9.3を搭載したWLC 9800-CL。
    • AP C9130、C9136、CW9162、CW9164、およびCW9166。
    • Wi-Fi 6クライアント: 
      • IOS 16でのiPhone SE第3世代
      • Mac OS 12のMacBook。
    • Wi-Fi 6Eクライアント:
      • Lenovo X1 Carbon Gen11(Intel AX211 Wi-Fi 6および6Eアダプタ、ドライババージョン22.200.2(1)搭載)
      • Netgear A8000 Wi-Fi 6および6Eアダプタ、ドライバv1(0.0.108)、
      • Android 13搭載の携帯電話Pixel 6a、
      • 携帯電話Samsung S23とAndroid 13。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    Enhanced Openは、WPA3ワイヤレスセキュリティ標準の一部としてWiFi Allianceによって提供される認定です。オープン(未認証)ネットワーク上でOpportunistic Wireless Encryption(LEAN)を使用して、パッシブなスニフィングを防止し、パブリックPSKワイヤレスネットワークと比較して単純な攻撃を防止します。 

    Enhanced Openを使用すると、クライアントとWLC(中央認証の場合)またはAP(FlexConnectローカル認証の場合)は、関連付けプロセス中にDiffie-Hellman(DH)鍵交換を実行し、4ウェイハンドシェイクでPairwise Master Key Secret(PMK)を使用します。 

    負担

    Opportunistic Wireless Encryption(LEAN)は、ワイヤレスメディアの暗号化を提供するIEEE 802.11の拡張です(IETF RFC 8110)。LEADベースの認証の目的は、APとクライアント間のオープンでセキュリティ保護されていないワイヤレス接続を回避することです。LEANは、暗号化に基づくDiffie-Hellmanアルゴリズムを使用して、無線暗号化を設定します。LEANを使用すると、クライアントとAPはアクセス処理中にDiffie-Hellman(DH)鍵交換を実行し、その結果得られたPairwise Master Key(PMK)秘密を4ウェイハンドシェイクで使用します。LEANを使用すると、オープンまたは共有PSKベースのネットワークが展開される環境でワイヤレスネットワークセキュリティが強化されます。

    LEANフレーム交換LEANフレーム交換

    移行モード

    一般に、エンタープライズネットワークには暗号化されていないゲストSSIDが1つしかなく、拡張オープンをサポートしない古いクライアントと、拡張オープン共存をサポートする新しいクライアントの両方を使用します。移行モードは、このシナリオに対応するために特別に導入されています。

    これには2つのSSIDを設定する必要があります。1つはLEANをサポートする非表示SSIDで、もう1つはオープンでブロードキャストされるSSIDです。

    Opportunistic Wireless Encryption(LEAN)移行モードを使用すると、LEANおよび非LEAN STAが同じSSIDに同時に接続できます。すべてのLEAD STAがLEAD移行モードでSSIDを確認すると、LEADに接続します。

    オープンWLANとLEAD WLANの両方がビーコンフレームを送信します。LEAD WLANからのビーコンおよびプローブ応答フレームには、オープンWLANのBSSIDおよびSSIDをカプセル化するためのWi-Fi AllianceベンダーIEが含まれており、同様に、オープンWLANにもLEAD WLAN用が含まれています。

    LEAN STAは、LEAN Transition Modeで動作するLEAN APのOpen BSSのSSIDを使用可能なネットワークのリスト内のユーザにのみ表示し、そのLEAN APのLEAN BSS SSIDの表示を抑制します。

    ガイドラインと制限事項:

    • 拡張オープンにはWPA3のみのポリシーが必要です。WPA3は、Cisco Wave 1(Cisco IOS®ベース)のAPではサポートされていません。
    • Protected Management Frame(PMF)はRequiredに設定する必要があります。これは、WPA3のみのレイヤ2セキュリティに対してデフォルトで設定されています。
    • Enhanced Openは、Enhanced Openをサポートする新しいバージョンを実行しているエンドクライアントでのみ動作します。

    設定

    管理者がEnhanced Openを設定しながら、ゲストSSIDへの古いクライアントの接続を許可する一般的な使用例です。

    ネットワーク図

    Network TopologyNetwork Topology

    GUIの設定手順:

    最初のSSIDを作成します。この名前は「LEAN_Transition」です。次の例のWLAN ID 3では、「Broadcast SSID」オプションを無効にして非表示にします。

    ステップ1 Configuration > Tags & Profiles > WLANsの順に選択して、WLANsページを開きます。

    ステップ2 Addをクリックして新しいWLANを追加し> WLAN名を「LEAN_Transition」 > StatusEnableに変更し> Broadcast SSIDDisabledにします。

    LEAD移行の拡張オープンSSIDの非表示LEAD移行の拡張オープンSSIDの非表示

    ステップ3 Security > Layer 2タブを選択> WPA3を選択します。

    ステップ4 Protected Management Frame (PMF)Requiredに設定します。

    ステップ5:WPAパラメータでWPA3ポリシーを確認します。AES(CCMP128) Encryption and LEAN Auth Key Managementの順に選択します。

    ステップ6 WLAN ID 4(オープンWLAN)を「Transition Mode WLAN ID」ボックスに追加します。

    ステップ7 Apply to Deviceをクリックします。

    LEAD移行モード:LEAD SSIDLEAD移行モード:LEAD SSID

    2つ目のSSIDを作成し、この例では「open」という名前を付けます。WLAN ID 4を使用して、「Broadcast SSID」が有効になっていることを確認します。

    ステップ1 Configuration > Tags & Profiles > WLANsの順に選択して、WLANsページを開きます。

    ステップ2 Addをクリックして新しいWLANを追加> add WLAN name "open" > change Status to Enable > Broadcast SSIDEnabledになっていることを確認します。

    LEAD移行オープンSSIDLEAD移行オープンSSID

    ステップ3:Security > Layer 2タブを選択> Noneを選択します。

    ステップ4:「Transition Mode WLAN ID」ボックスにWLAN ID 4(LEAN_Transition)を追加します。

    ステップ5 Apply to Deviceをクリックします。

    LEAD移行モードオープンWLANセキュリティLEAD移行モードオープンWLANセキュリティ

    caution-icon

    注意:以前、LEAN WLANと同じSSIDを使用してオープンなWLANがあった場合は、WindowsクライアントによってSSID名に「2」が付加されます。これを解決するには、 「ネットワーク&インターネット> Wi-Fi >既知のネットワークを管理する」に移動し、古い接続を削除します。

    次のスクリーンショットは、最終結果を示しています。1つのWLANは、「LEAN_Transition」という名前のWPA3+LEAD+WPA3用に保護および設定され、もう1つは「open」という名前の完全にオープンなSSIDです。「open」と呼ばれる完全にオープンなSSIDだけがビーコンでSSIDをブロードキャストし、「LEAN_Transition」は非表示です。

    LEAD移行モードWLANLEAD移行モードWLAN

    手順6 作成したWLANを目的のポリシープロファイルにマッピングし、ポリシータグを作成してAPに適用します。

    ポリシー タグポリシー タグ

    CLIの設定:

    拡張オープンSSID:

    Device# conf t
    Device(config)# wlan OWE_Transition 3 OWE_Transition
    Device(config)# no broadcast-ssid
    Device(config)# no security ft adaptive
    Device(config)# no security wpa wpa2
    Device(config)# no security wpa akm dot1x
    Device(config)# security wpa akm owe
    Device(config)# security wpa transition-mode-wlan-id 4
    Device(config)# security wpa wpa3
    Device(config)# security pmf mandatory
    Device(config)# no shutdown

    オープンSSID:

    Device# conf t
    Device(config)# wlan open 4 open
    Device(config)# no security ft adaptive
    Device(config)# no security wpa
    Device(config)# no security wpa wpa2
    Device(config)# no security wpa wpa2 ciphers aes
    Device(config)# no security wpa akm dot1x
    Device(config)# security wpa transition-mode-wlan-id 3
    Device(config)# no shutdown

    ポリシープロファイル:

    Device(config)# wireless tag policy Wifi6E_TestPolicy
    Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
    Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile

    確認

    これは検証セクションです。

    CLIでWLANの設定を確認します。

    Device#show wlan id 3
    WLAN Profile Name : OWE_Transition
    ================================================
    Identifier : 3
    Description : 
    Network Name (SSID) : OWE_Transition
    Status : Enabled
    Broadcast SSID : Disabled
    [...]
    Security
    802.11 Authentication : Open System
    Static WEP Keys : Disabled
    Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
    WPA (SSN IE) : Disabled
    WPA2 (RSN IE) : Disabled
    WPA3 (WPA3 IE) : Enabled
    AES Cipher : Enabled
    CCMP256 Cipher : Disabled
    GCMP128 Cipher : Disabled
    GCMP256 Cipher : Disabled
    Auth Key Management
    802.1x : Disabled
    PSK : Disabled
    CCKM : Disabled
    FT dot1x : Disabled
    FT PSK : Disabled
    FT SAE : Disabled
    Dot1x-SHA256 : Disabled
    PSK-SHA256 : Disabled
    SAE : Disabled
    OWE : Enabled
    SUITEB-1X : Disabled
    SUITEB192-1X : Disabled
    SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
    Transition Disable : Disabled
    CCKM TSF Tolerance (msecs) : 1000
    OWE Transition Mode : Enabled
    OWE Transition Mode WLAN ID : 4
    OSEN : Disabled
    FT Support : Disabled
    FT Reassociation Timeout (secs) : 20
    FT Over-The-DS mode : Disabled
    PMF Support : Required
    PMF Association Comeback Timeout (secs): 1
    PMF SA Query Time (msecs) : 200
    [...]
    #show wlan id 4
    WLAN Profile Name : open
    ================================================
    Identifier : 4
    Description : 
    Network Name (SSID) : open
    Status : Enabled
    Broadcast SSID : Enabled
    [...]
    Security
    802.11 Authentication : Open System
    Static WEP Keys : Disabled
    Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
    OWE Transition Mode : Enabled
    OWE Transition Mode WLAN ID : 3
    OSEN : Disabled
    FT Support : Disabled
    FT Reassociation Timeout (secs) : 20
    FT Over-The-DS mode : Disabled
    PMF Support : Disabled
    PMF Association Comeback Timeout (secs): 1
    PMF SA Query Time (msecs) : 200
    [...]

    WLCでAP Configurationに移動し、両方のWLANがAPでアクティブであることを確認できます。

    LEAD移行モードAP動作設定ビューアLEAD移行モードAP動作設定ビューア

    有効にすると、APはオープンSSIDを使用したビーコンのみを送信しますが、LEAD移行モードの情報要素(IE)を伝送します。拡張オープン機能を備えたクライアントがこのSSIDに接続する際には、関連付け後にすべてのトラフィックを自動的に暗号化するためにLEADが使用されます。

    次に、空中(OTA)で確認できる内容を示します。

    LEAD移行オープンSSIDビーコンLEAD移行オープンSSIDビーコン

    SSID「open」で送信されるビーコンには、BSSIDおよびSSID名「LEAN_Transition」などの拡張オープンSSIDの詳細を内部に持つLEAN Transition Mode IEが含まれます。

    SSIDが非表示のビーコンOTAもあり、bssidでフィルタリングすると、フレームはBSSID 00:df:1d:dd:7d:3e に送信されます。このBSSIDは、LEAN Transition Mode IE内のBSSIDです。

    LEANビーコンLEANビーコン

    また、LEAD隠しビーコンには、オープンSSID BSSIDおよびSSID名「open」のLEAD移行モードIEが含まれていることがわかります。

    以下のスクリーンショットは、拡張オープンをサポートするAndroidフォンを示しています。この画面には、ロックアイコンのないオープンSSIDのみが表示されます(ロックアイコンは、接続にパスワードが必要であるとユーザに思わせる場合があります)。ただし、接続すると、セキュリティには拡張オープンセキュリティが使用されていることが示されます。

    LEAD SSIDリストLEAD SSID強化されたオープンサポートを備えたLEADクライアントスト拡張オープンサポート付きLEANクライアント

    無線では、完全な接続シーケンスを確認できます。

    LEAD移行の完全な接続LEAD移行の完全な接続

    ビーコンをリッスンした後、クライアントはLEAN SSIDをプローブし、APが応答します。

    その後、通常のLEARフレーム交換(認証要求と応答、DH IEを含むアソシエーション要求と応答、EAPOLの4ウェイハンドシェイク)が発生します。 

    WLCでクライアント接続を確認できます。LEANをサポートするクライアントは、この例ではWLAN ID 3のEnhanced Open WLANに接続できます。

    Device#show wireless client mac-address 286b.3598.580f detail

    Client MAC Address : 286b.3598.580f
    [...]
    AP Name: AP9136_5C.F524
    AP slot : 1
    Client State : Associated
    Policy Profile : CentralSwPolicyProfile
    Flex Profile : N/A
    Wireless LAN Id: 3
    WLAN Profile Name: OWE_Transition
    Wireless LAN Network Name (SSID): OWE_Transition
    BSSID : 00df.1ddd.7d3e
    Connected For : 682 seconds 
    Protocol : 802.11ax - 5 GHz
    Channel : 64
    Client IIF-ID : 0xa0000003
    Association Id : 2
    Authentication Algorithm : Open System
    Idle state timeout : N/A
    [...]
    Policy Type : WPA3
    Encryption Cipher : CCMP (AES)
    Authentication Key Management : OWE
    Transition Disable Bitmap : None
    User Defined (Private) Network : Disabled
    User Defined (Private) Network Drop Unicast : Disabled
    Encrypted Traffic Analytics : No
    Protected Management Frame - 802.11w : Yes
    EAP Type : Not Applicable

    WLC GUIでも同じことを確認できます。

    借用移行クライアントの詳細

    LEAD移行クライアントセキュリティ

    拡張オープンをサポートしていないクライアントは、オープンなSSIDのみを表示して接続し、暗号化は行いません。

    ここに示すように、これらはEnhanced Open(それぞれIOS 15のiPhoneとMac OS 12のMacBook)をサポートせず、オープンなゲストSSIDのみを参照し、暗号化を使用しないクライアントです。

    LEADをサポートしていないデバイスOWEFigure 4をサポートしていないデバイス:Mac OS 12のMac OS 12上のMacBookはEnhanced OpenをサポートしていませんMacBookはEnhanced Openをサポートしていない

    次に、LEANをサポートしていないUSBワイヤレスアダプタの別の例を示します。

    Enhanced OpenをサポートしていないクライアントEnhanced Openをサポートしていないクライアント

    クライアントはLEANをサポートしていません。この例ではWLAN ID 4でオープンWLANに接続できます。

    #show wireless client mac-address b44b.d623.a199 detail

    Client MAC Address : b44b.d623.a199
    [...]
    AP Name: AP9136_5C.F524
    AP slot : 1
    Client State : Associated
    Policy Profile : CentralSwPolicyProfile
    Flex Profile : N/A
    Wireless LAN Id: 4
    WLAN Profile Name: open
    Wireless LAN Network Name (SSID): open
    BSSID : 00df.1ddd.7d3f
    [...]
    Authentication Algorithm : Open System
    [...]
    Protected Management Frame - 802.11w : No
    EAP Type : Not Applicable

    トラブルシュート

    1. すべてのクライアントがLEADをサポートしているわけではないので、クライアントがLEADをサポートしていることを確認します。クライアントベンダーのドキュメントを確認します。たとえば、Appleはデバイスのサポートについてここで文書化しています。
    2. 古いクライアントの中には、LEAN Transition Mode IEが存在するためにオープンSSIDビーコンを受け入れず、範囲内のネットワークにSSIDを表示しないものがあります。クライアントがOpen SSIDを認識できない場合、WLAN設定からTransition VLAN(0に設定)を削除し、WLANが認識されるかどうかを確認します。
    3. クライアントがオープンなSSIDを見てLEADをサポートしているにもかかわらず、WPA3を使用せずに接続している場合は、遷移VLAN IDが正しく、両方のWLANのビーコンでブロードキャストされていることを確認します。OTAトラフィックをキャプチャするには、スニファモードでAPを使用できます。APをスニファモードで設定するには、次の手順を実行します。スニファモードのAP Catalyst 91xx
      • ビーコンはSSID「open」で送信され、BSSIDおよびSSID名「LEAD_Transition」などの拡張オープンSSIDの詳細を含むLEAD移行モードIEを含みます。LEAD移行オープンSSIDビーコンLEAD移行オープンSSIDビーコン

      • SSIDが非表示のビーコンOTAもあり、bssidでフィルタリングすると、フレームはBSSID 00:df:1d:dd:7d:3e に送信されます。このBSSIDは、LEAN Transition Mode IE内のBSSIDです。

        LEANビーコンLEANビーコン

        また、LEAD隠しビーコンには、オープンSSID BSSIDおよびSSID名「open」のLEAD移行モードIEが含まれていることがわかります。

      • また、AKM情報を表示して、MFPがRequired and Capableとしてアドバタイズされていることを確認できます。
      • リーンビーコンAKMリーンビーコンAKM
    4. クライアントのMACアドレスに基づいてRadioActiveトレースを収集すると、次のようなログが表示されます。

    2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

    2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

    参考資料

    Wi-Fi 6Eとは

    Wi-Fi 6とWi-Fi 6Eについて

    Wi-Fi 6E概要

    Wi-Fi 6E:Wi-Fiに関するホワイトペーパーの次の章

    Cisco Catalyst 9800シリーズワイヤレスコントローラソフトウェアコンフィギュレーションガイド17.9.x

    WPA3導入ガイド

    更新履歴

    改定 発行日 コメント
    2.0
    26-Jun-2023
    新しいWLCバージョンとAPモデルネットワークダイアグラムとLEANフレームフローを追加。
    1.0
    15-Mar-2022
    初版
    TAC Authored

    シスコ エンジニア提供

    • ラザンアロムーシュ
      シスコTAC
    • Tiago Antunes社
      CXテクニカルリーダー

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています