無線 LAN について
この項では、WLAN に関する次のトピックについて取り上げます。
• 「無線 LAN 通信の 802.11 規格」
• 「無線ネットワークへの接続」
• 「音声通信の保護」
従来の LAN では、電話機とコンピュータはケーブルを使用して導線上でメッセージとデータ パケットを伝送します。無線 LAN では、無線波を使用してメッセージとデータ パケットを伝送します。
WLAN には、無線信号を受信および送信するアクセス ポイント デバイスが必要です。Cisco Aironet アクセス ポイント(1200、1100、および 350 シリーズ モデルなど)は、WLAN 上の音声をサポートしています。図 2-1 は、ラップトップ コンピュータの無線データと Cisco 無線 IP 電話 7920 モデルの無線 IP テレフォニー(WIPT)を組み込んだ一般的な WLAN トポロジを示しています。
無線デバイスは、電源を入れるとすぐにアクセス ポイントを検索し、アクセス ポイントに関連付けられます。ユーザが企業の WLAN 環境内のあるロケーションから別のロケーションに移動すると、無線デバイスは 1 つのアクセス ポイントの範囲外に出て、別のアクセス ポイントの範囲内に移動します。アクセス ポイントは有線ネットワークを使用して、データ パケットと音声パケットをスイッチとルータに伝送します。音声パケットは Cisco CallManager サーバに送信され、コールの処理とルーティングが行われます。
図 2-1 Cisco 無線 IP 電話 7920 が存在する無線 LAN
無線 LAN 通信の 802.11 規格
無線 LAN は、すべての Ethernet ベースの無線トラフィックの基準となる Institute of Electrical and Electronics Engineers(IEEE)802.11 規格に従う必要があります。802.11b 規格は、無線 LAN 通信の最も有力な規格で、一般に WiFi と呼ばれます。802.11b 規格では、データの送信と受信の両方で 1、2、5.5、および 11 Mbps の速度を提供する 2.4 GHz の無線周波数(RF)が指定されています。
2.4 GHz の RF 範囲は、免許不要のオープンな周波数範囲です。この帯域幅では、コードレス電話や電子レンジなどの多くの機器が使用されるため、無線通信は干渉やノイズの影響を受けやすくなります。干渉によって信号が破壊されることはありませんが、伝送速度が低下し、11 Mbps の信号速度が常に 1 Mbps まで低下する可能性もあります。さらに、RF 干渉によって、無線ネットワーク上の音声品質が低下する可能性もあります。
このような干渉の防止に役立てるために、信号を周波数範囲または帯域幅に分散する Direct-Sequence Spread Spectrum(DSSS; ダイレクト シーケンス スペクトラム拡散方式)のテクノロジーが開発されました。DSSS テクノロジーはデータの塊を複数の周波数上に多重化し、複数のデバイスが干渉を受けずに通信できるようにします。各デバイスは特殊なコードを持ち、これを使用してそれぞれのデータ パケットを識別し、その他のデータ パケットを無視します。シスコの無線製品は、WLAN 上で複数のデバイスをサポートするために DSSS テクノロジーを使用しています。
無線ネットワークへの接続
無線ネットワークの重要なコンポーネントは、ネットワークに無線リンク(または「ホット スポット」)を提供するアクセス ポイントです。シスコでは、音声通信をサポートするアクセス ポイントで Cisco IOS バージョン 12.2(15)JA 以降が稼働することを必須としています。Cisco IOS は、音声トラフィックの管理機能を提供します。IOS をサポートする Cisco Aironet アクセス ポイントには、次のアクセス ポイント シリーズがあります。
• Cisco Aironet アクセス ポイント 350
• Cisco Aironet アクセス ポイント 1100
• Cisco Aironet アクセス ポイント 1200
各アクセス ポイントは、LAN 上に構成された Cisco Catalyst 4000 などのネットワーク レイヤ スイッチへの有線接続を備えています。このスイッチにより、無線 IP テレフォニー(WIPT)をサポートするためのゲートウェイやCisco CallManager サーバへのアクセスが可能になります。
アクセス ポイントは、2.4 GHz の周波数帯域内でチャネルを介して RF 信号を送受信します。2.4 GHz の周波数帯域内で無線通信に使用可能なチャネル数は、規制区域によって決まっています。Cisco Aironet アクセス ポイントは、北米で 11、ヨーロッパ(ETSI)で 13、日本で 14 までの通信チャネルをサポートします。1 つのアクセス ポイントは、使用可能なチャネル範囲内の特定のチャネルでブロードキャストします。安定した無線環境を提供し、チャネルの干渉を減少させるために、各アクセス ポイントに重複しないチャネルを指定する必要があります。推奨されるチャネルは北米で、1、6、および 11 です。
アクセス ポイントには伝送範囲またはカバレッジ区域があり、その範囲は AP のアンテナのタイプと送信電力によって異なります。アクセス ポイントのカバレッジ範囲は、有効な等方性放射電力(EIRP)の出力、1、5、20、50、および 100mW に対して、500 ~ 1000 フィート(約 152 ~ 305 メートル)の間で変化します。有効なカバレッジを提供するために、アクセス ポイントでは範囲を約 20% 重複して、電話ユーザが 1 つのアクセス ポイントから別のアクセス ポイントに移動したときに接続が途切れることのないようにする必要があります。
無線ネットワーク デバイスでは、Service Set Identifier(SSID)が使用されます。SSID を使用すると、一定のアクセス ポイントのセットに関連付けることのできるユーザ デバイスのセットをグループ化できます。特定のアクセス ポイントを使用することのできる各無線デバイスには、そのアクセス ポイントと同じ SSID が設定されます。アクセス ポイントの設定の詳細については、『 Cisco Wireless IP Phone 7920 Design and Deployment Guide 』を参照してください。
音声通信の保護
範囲内にあるすべての WLAN デバイスは他の無線 LAN トラフィックをすべて受信できるため、音声通信の保護は重要です。音声トラフィックが侵入者によって操作または傍受されることのないように、Cisco 無線 IP 電話 7920 と Cisco Aironet アクセス ポイントは包括的な Cisco SAFE セキュリティ アーキテクチャでサポートされています。
音声通信を保護するために、無線ネットワークは認証および暗号化方式を使用します。Wired Equivalent Privacy(WEP)は、無線セキュリティに導入された最初の方式ですが、障害の発生しやすい方式です。セキュリティの問題と WEP の脆弱性を解決するために、WiFi Alliance は Wireless Protected Access(WPA)を定義しました。
Wi-Fi Protected Access は、規格準拠の相互運用可能なセキュリティ拡張です。このセキュリティ拡張により、現在および将来の無線 LAN システムに関するデータ保護およびアクセス制御のレベルが向上します。WPA は現在策定中の IEEE 802.11i 規格から派生したもので、この規格との上位互換性があります。WPA は、データ保護に Temporal Key Integrity Protocol(TKIP)を使用し、認証キー管理に 802.1X を使用します。
強化された暗号化アルゴリズムと認証、および迅速なキー更新により、WPA には WEP と比べて大幅に改良されたセキュリティが備わっています。中央集中型の Remote Authentication Dial-in User Service(RADIUS)サーバを使用することにより、アクセス ポイントまたはネットワークのいずれかで、無線 IP 電話などの無線クライアントを認証できます。
Cisco 無線 IP テレフォニー ソリューションは、これに加えて次のセキュリティ分野への対応を可能にします。
• 無線ネットワーク セキュリティ。Wired Equivalent Privacy(WEP)、Wireless Protected Access(WPA)、および Cisco Light Extensible Authentication Protocol(LEAP)による暗号化と認証を使用して、認証されないログインおよび障害のある通信を防止します。
• Cisco 無線 IP 電話 7920 の電話ロック パスワードをはじめとする、ディレクトリやデータベースのパスワード保護。
関連項目
• 「Cisco 無線 IP電話で使用されるネットワーキング プロトコル」
• 「無線ネットワークにおけるセキュリティのしくみ」
VoIP 無線ネットワークのコンポーネント
Cisco 無線 IP 電話 7920 は、コールを正常に発信および受信するために、無線ローカル エリア ネットワーク(WLAN)の複数のネットワーク コンポーネントと対話する必要があります。
次の各トピックでは、ネットワークのコンポーネントの概要について説明します。
• 「Cisco 無線 IP電話で使用されるネットワーキング プロトコル」
• 「Cisco Aironet アクセス ポイントとの対話」
• 「無線ネットワークでのローミング」
• 「無線ネットワークにおける音声品質」
• 「無線ネットワークにおけるセキュリティのしくみ」
• 「Cisco CallManager との相互対話」
• 「DHCP サーバとの相互対話」
Cisco 無線 IP電話で使用されるネットワーキング プロトコル
Cisco IP 電話は、複数の業界規格と、音声通信対応の Cisco ネットワーキング プロトコルをサポートします。 表2-1 は、Cisco 無線 IP 電話 7920 がサポートするネットワーキング プロトコルの概要を説明したものです。
表2-1 Cisco 無線 IP 電話 7920 でサポートされるネットワーキング プロトコル
|
|
|
Cisco Centralized Key Management(CCKM) |
無線ネットワークでの高速認証に使用されるキー生成プロトコル。 |
Cisco 無線 IP 電話 7920 は、アクセス ポイント間における高速でセキュアなローミングのために CCKM を使用します。 |
Cisco Discovery Protocol(CDP; シスコ検出プロトコル) |
すべてのシスコ製機器で実行されるデバイス検出プロトコル。 CDP を使用すると、デバイスは他のデバイスに存在を通知して、ネットワーク内の他のデバイスについての情報を受信することができます。 |
Cisco IP Phone は、CDP を使用して、補助 VLAN ID、ポートごとの電力管理の詳細、サービス品質(QoS)の設定情報などの情報を Cisco Catalyst スイッチとの間で通信します。 |
Cisco Light Extensible Authentication Protocol(LEAP) |
クライアント(電話機)と RADIUS サーバ間における、独自のパスワード ベースの相互認証方式。 |
Cisco 無線 IP 電話 7920 は、無線ネットワークでの認証に LEAP を使用します。 |
Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト コンフィギュレーション プロトコル) |
ネットワーク デバイスに動的に IP アドレスを割り当てます。 DHCP を使用すると、IP 電話がネットワークに接続し、使用できるようになります。管理者が IP アドレスを割り当てたり、追加のネットワーク パラメータを設定したりする必要はありません。 |
DHCP は、デフォルトで有効になっています。無効になっている場合は、各電話機で、IP アドレス、サブネット マスク、ゲートウェイ、および TFTP サーバを手動でローカルに設定する必要があります。 DHCP カスタム オプション 150 を使用してください。この方法では、TFTP サーバの IP アドレスをオプション値として設定します。サポートされるその他の DCHP 設定については、『 Cisco CallManager システム ガイド 』を参照してください。 |
インターネット プロトコル(IP) |
ネットワークを介してパケットを処理および送信するメッセージング プロトコル。 |
IP を使用して通信するには、ネットワーク デバイスに IP アドレス、サブネット、およびゲートウェイが割り当てられている必要があります。 Cisco IP Phone で DHCP を使用している場合、IP アドレス、サブネット、およびゲートウェイの ID は自動的に割り当てられます。DHCP を使用していない場合は、各電話機にこれらのプロパティを手動でローカルに割り当てる必要があります。 |
Real-Time Transport Protocol(RTP; リアルタイム転送プロトコル) |
データ ネットワーク上で双方向の音声やビデオなどのリアルタイム データを転送するための規格。 |
Cisco IP Phone では、RTP を使用して、他の電話機やゲートウェイとの間でリアルタイム音声トラフィックを送受信します。 |
Skinny Client Control Protocol(SCCP) |
シスコの専用メッセージを使用して、IP デバイスと Cisco CallManager 間を通信します。 |
Cisco IP Phone では、VoIP コール シグナリングおよびメッセージ受信インジケータ(MWI)などの拡張機能に SCCP プロトコルを使用します。 |
Temporal Key Integrity Protocol(TKIP)と Message Integrity Check(MIC; メッセージ完全性チェック)の連携 |
無線 LAN を介して送信される暗号化データの暗号化およびデータ整合性のプロトコル。 |
Cisco 無線 IP 電話 7920 では、TKIP/MIC アルゴリズムを使用して音声通信の整合性を保護および維持します。 |
Transmission Control Protocol(TCP; 伝送制御プロトコル) |
コネクション型の転送プロトコル。 |
Cisco IP Phone では、TCP を使用して Cisco CallManager に接続し、XML サービスにアクセスします。 |
Trivial File Transfer Protocol(TFTP; トリビアル ファイル転送プロトコル) |
ファイルをネットワーク上で転送する方式。 Cisco IP Phone では、TFTP を使用して該当の電話タイプに固有の設定ファイルを入手することができます。 |
ネットワーク内には、DHCP サーバから自動的に識別される TFTP サーバが必要です。ネットワーク内で複数の TFTP サーバが稼働している場合には、各電話機に TFTP サーバを手動で割り当てる必要があります。 |
User Datagram Protocol(UDP; ユーザ データグラム プロトコル) |
データ パケットを配信するためのコネクションレス型のメッセージング プロトコル。 |
Cisco IP Phone は、UDP メッセージを受信して処理します。RTP 音声トラフィックは UDP 上で実行されます。 |
Wi-Fi(802.11b) |
無線による Ethernet トラフィックの伝送方法を定義したオープンな規格で、一般に Wi-Fi と呼ばれます。この規格では、無線 LAN 通信の無線周波数(RF)とデータ速度が定義されています。 |
Cisco 無線 IP 電話 7920 は、2.4 ~ 2.497 GHz の RF で、1、2、5.5、および 11Mbps のデータ レートが動的に変化する 802.11b 標準を使用しています。 |
Wired Equivalent Privacy(WEP) |
電話機とアクセス ポイントに格納されている暗号化キーを使用するデータの暗号化のための無線セキュリティ プロトコル。 |
Cisco 無線 IP 電話 7920 は、ネットワーク セキュリティ設定に応じて、静的 WEP キーまたは動的 WEP キーのいずれかを使用できます。 |
Wireless Protected Access(WPA) |
強化された認証、暗号化キー管理と必須暗号化、およびメッセージ整合性方式を提供します。 |
Cisco 無線 IP 電話 7920 は、TKIP と MIC(メッセージ完全性チェック)を使用する暗号化など、WPA と WPA 事前共有キー認証の両方をサポートします。 |
関連項目
• 「電話起動プロセスについて」
• 「VoIP 無線ネットワークのコンポーネント」
• 「DHCP 設定の修正」
• 「TFTP オプションの設定」
Cisco Aironet アクセス ポイントとの対話
無線音声デバイスは、無線データ デバイスと同じアクセス ポイントを使用します。ただし、WLAN 上の音声トラフィックには、データ トラフィック専用の WLAN とは異なる機器の構成とレイアウトが必要になります。データ伝送は、音声伝送よりも高いレベルの RF ノイズ、パケット損失、およびチャネル コンテンションに耐えることができます。Web ページを検索中のパケット損失によりページの表示が遅くなり、エンド ユーザに影響を与える場合があります。ただし、音声伝送時のパケット損失では、不安定な音声や途切れた音声によって結果的に通話が聞き取れなくなる場合があります。
無線音声のユーザはモバイルで、コールに接続しながら構内やフロア間を移動できます。これに対して、データ ユーザは PC を別の場所に移動する場合がありますが、その場合は新しい場所で接続し直します。音声セッション継続の管理中にローミングが可能であることは、無線音声の 1 つの利点です。そのため、RF カバレッジには、データでは通常カバーされない、吹き抜け、エレベータ、会議室の外にある人気のない場所、通路などの区域を含める必要があります。
優れた音声品質と最適な RF 信号カバレッジを確保するために、無線音声に適した値を決定するサイト調査を実施する必要があります。この調査結果から、音声対応 WLAN の設計とレイアウトのための情報が得られます。たとえば、電力レベル、チャネルの割り当て、およびアクセス ポイントの位置などです。サイト調査の詳細については、『 Cisco Wireless IP Phone 7920 Design and Deployment Guide 』を参照してください。
無線音声を導入し、使用できるようにした後は、引き続き設置後にサイト調査を実施して、アクセス ポイントの場所とその構成が無線音声ユーザのニーズを継続して満たしているかどうかを検証します。新規ユーザ グループの追加、機器の追加の設置、または大量のインベントリのスタックを行うと、無線環境が変わります。このような場合は、アクセス ポイントのカバレッジがそれまでと同様に最適な音声通信にとって十分であるかを確認する必要があります。詳細については、「サイト調査の確認の実行」を参照してください。
アクセス ポイントへの関連付け
Cisco 無線 IP 電話 7920 は、起動時に無線を使用して、認識できる Service Set Identifier(SSID)と暗号化タイプを持つアクセス ポイントをスキャンします。電話機は適格なアクセス ポイント ターゲットのリストを構築および保守し、次の 2 つの変数を使用して、関連付けに最適なアクセス ポイントを決定します。
• Received Signal Strength Indicator(RSSI):電話機はこの値を使用して、RF カバレッジ区域内で使用可能なアクセス ポイントの信号強度を判別します。電話機は最も高い RSSI 値を持つアクセス ポイントに関連付けしようとします。
• QoS Basis Service Set(QBSS):アクセス ポイントはこのビーコン情報エレメント(IE)を使用して、アクセス ポイントのチャネル利用率を Cisco 無線 IP 電話に送信します。電話機は QBSS 値を使用して、そのアクセス ポイントでそれ以上のトラフィックを効果的に処理できる状況かどうかを判別します。
Cisco 無線 IP 電話は、最高の RSSI 値と最低のチャネル利用率の値(QBSS)を持ち、SSID と暗号化タイプが一致するアクセス ポイントに関連付けられます。
関連項目
• 「無線ネットワークでのローミング」
• 「音声通信の保護」
• 「無線ネットワークとアクセス ポイントの設定」
無線ネットワークでのローミング
Cisco 無線 IP 電話ユーザは、電話で会話しながら 1 つの場所から別の場所に移動できます。広範囲のカバレッジを持つ携帯電話とは異なり、Cisco 無線 IP 電話のカバレッジ区域は狭いため、電話ユーザはアクセス ポイント間を頻繁に移動する必要があります。無線 IP 電話を使用したローミングの制限の一部を理解するために、次の例で WLAN におけるローミングについて説明します。
• コール前のローミング :Cisco 無線 IP 電話 7920 のユーザがオフィスで電話機の電源を入れると、電話機が近くのアクセス ポイントに関連付けられます。ユーザは建物を離れ、別の建物に移動して、そこでコールを発信します。電話機は新しい場所からコールを発信するために別のアクセス ポイントに関連付けられます。関連付けられたアクセス ポイントが同じレイヤ 2 の VLAN 内にある場合、電話機の IP アドレスは変わりません。ただし、ローミングしている電話機がレイヤ 3 境界を越え、DHCP が有効である場合は、電話機は自分自身がそれまでと同じサブネット内に存在しないと認識します。電話機は、ネットワークに接続してコールを発信する前に新しい IP アドレスを要求します。
• コール中のローミング:Cisco 無線 IP 電話 7920 のユーザは実際にコール中で、1 つの建物から別の建物に移動します。電話機が別のアクセス ポイントの範囲内に移動すると、ローミング イベントが発生し、電話機は認証され新しいアクセス ポイントに関連付けられます。現在のアクセス ポイントは、ユーザが介入することなく、継続的な音声接続の管理中に新しいアクセス ポイントにコールを渡します。アクセス ポイントが同じレイヤ 2 のサブネット内にある間は、Cisco 無線 IP 電話は同じ IP アドレスを保ったままコールが続きます。Cisco 無線 IP 電話は、アクセス ポイント間を移動するたびに、新しい各アクセス ポイントで再認証されます。認証については、「無線ネットワークにおけるセキュリティのしくみ」を参照してください。
Cisco 無線 IP 電話のユーザが、IP サブネット A をカバーするアクセス ポイントから IP サブネット B をカバーする別のアクセス ポイントに移動した場合、電話機には新しいサブネットで有効な IP アドレスやゲートウェイがなくなり、コールは接続解除できます。
Cisco Catalyst 6500 シリーズ ワイヤレス LAN サービス モジュール(WLSM)のリリースでは、Cisco 無線 IP 電話 7920 は現在、レイヤ 3 のローミングをサポートします。Cisco WLSM の詳細については、次の URL で入手可能な製品マニュアルを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/cfgnotes/wlsm_1_1/index.htm
• 高速セキュア ローミング:Cisco Centralized Key Management(CCKM)は、関連付けし直す間に遅延することなく、認証されたクライアント デバイスを 1 つのアクセス ポイントから別のアクセス ポイントに安全にローミングできるようにします。CCKM プロトコルのサポートにより、Cisco 無線 IP 電話 7920 では、1 つのアクセス ポイントから別のアクセス ポイントへのハンドオフのネゴシエートが容易になります。ローミング プロセス中、電話機は近くのアクセス ポイントをスキャンして、最良の状態でサービスを提供できるアクセス ポイントを判別し、再度新しいアクセス ポイントと関連付けします。より強力な認証方式(WPA や LEAP など)を実装している場合、交換する情報量が増えてローミング時の遅延の原因となります。CCKM の詳細については、次の URL で入手可能な『Cisco Fast Secure Roaming Application Note』を参照してください。
http://www.cisco.com/en/US/products/hw/wireless/ps4570/prod_technical_reference09186a00801c5223.html
この問題を解決するため、Cisco Centralized Key Management(CCKM)プロトコルは、無線ドメイン サーバ(WDS)上でセッション クレデンシャルのキャッシュを提供します。電話機が 1 つのアクセス ポイントから次のアクセス ポイントにローミングするたびに、使用するアクセス ポイントに対して WDS に格納されているマスター キーを提供することにより、CCKM は交換するメッセージ数をローミング中に圧縮します。再度の関連付けによる交換は 2 つのメッセージに減少するため、ローミング時間も短縮されます。
関連項目
• 「無線ネットワークにおける音声品質」
• 「Cisco Aironet アクセス ポイントとの対話」
• 「無線ネットワークとアクセス ポイントの設定」
無線ネットワークにおける音声品質
データ トラフィックと同様に、無線 LAN 上の音声トラフィックも、遅延、ジッタ、およびパケット損失の影響を受けます。これらの問題はデータのエンド ユーザに影響を与えることはありませんが、音声コールには重大な影響を及ぼします。音声トラフィックが、遅延やジッタの少ない、適時の信頼できる処理を確実に受けられるようにするには、サービス品質(QoS)を使用して、音声とデータに個別の仮想 LAN(VLAN)を使用する必要があります。音声トラフィックを別の VLAN に分離することにより、QoS を使用して、音声パケットがネットワーク上を移動するときに優先度の高い処理を提供することができます。ネットワーク スイッチ、および WLAN で音声接続をサポートするアクセス ポイントに対して、次の VLAN を用意する必要があります。
• 音声 VLAN:無線 IP 電話との間で送受信される音声トラフィック
• ネイティブ VLAN:無線 PC との間で送受信されるデータ トラフィック(ネイティブな VLAN)
音声とデータの VLAN には、個別の SSID を割り当てます。また、WLAN 内に別の管理 VLAN を構成してもかまいませんが、管理 VLAN には SSID を割り当てないようにしてください。
電話機を音声 VLAN に分離し、音声パケットをより高い CoS に割り当てることにより、音声トラフィックがデータ トラフィックよりも優先度の高い処理を確実に受けるようにできます。結果として、遅延や損失パケットが少ない状態でトラフィックを管理できます。
詳細については、『 Cisco Wireless IP Phone 7920 Design and Deployment Guide 』を参照してください。
関連項目
• 「無線ネットワークにおけるセキュリティのしくみ」
• 「Cisco CallManager との相互対話」
• 「無線ネットワークとアクセス ポイントの設定」
無線ネットワークにおけるセキュリティのしくみ
無線デバイスがネットワーク上で通信するには、その前に認証方式を使用してアクセス ポイントまたはネットワークの認証を受ける必要があります。Cisco 無線 IP 電話 7920 は、次の認証方式を WLAN で使用できます。
• オープン認証:オープン システムでは、任意の無線デバイスが認証を要求できます。要求を受けたアクセス ポイントは、任意のリクエスタまたはユーザのリスト上のリクエスタだけに認証を与える場合があります。無線デバイスとアクセス ポイント間の通信は暗号化されない可能性もあります。暗号化される場合は、デバイスは WEP キーを使用してセキュリティを提供できます。WEP だけを使用しているデバイスは、WEP を使用しているアクセス ポイントからの認証を試行します。
• 共有キー認証:共有キー認証では、アクセス ポイントは、そのアクセス ポイントとの通信を試行するすべてのデバイスに対して、暗号化されていないチャレンジ テキストの文字列を送信します。認証を要求しているデバイスは、事前に設定された WEP キーを使用してそのチャレンジ テキストを暗号化し、アクセス ポイントに送り返します。チャレンジ テキストが正しく暗号化されている場合、アクセス ポイントは要求元デバイスに認証を許可します。WEP キーがアクセス ポイント上の WEP キーと一致する場合に限り、デバイスは認証を受けることができます。
共有キー認証は、他人がそのチャレンジを監視できるため、WEP でのオープン認証よりも安全性が低くなる可能性があります。チャレンジ テキストの文字列で暗号化されていないものと暗号化されたものを比較することにより、侵入者は WEP キーを計算できます。
• WPA 事前共有キー(PSK)認証:アクセス ポイントおよび電話機は、同じ認証キーで設定されます。事前共有キー(またはパスワード フレーズ)は、各電話機とアクセス ポイント間で交換される一意のペアワイズ キーの作成に使用されます。パスワード フレーズは、64 文字の 16 進数の文字列、または 8 ~ 63 文字の ACSII パスワードで設定できます。事前共有キーのパスワードは電話機に格納されるため、電話機を紛失または盗まれた場合、障害が発生する可能性があります。
• LEAP 認証:セキュリティを最大限にするには、クライアント デバイスは Cisco Access Control Server(ACS)などの Remote Authentication Dial-in User Service(RADIUS)サーバを使用して、ネットワークの認証を受けることができます。
Cisco LEAP は専用の認証プロトコルで、LEAP 準拠の RADIUS サーバを必要とします。LEAP を使用すると、無線デバイスは、中央集中型の RADIUS サーバのユーザ データベースを介してユーザ名とパスワードを使用することにより、相互に認証し合うことができます。
Cisco 無線 IP 電話が 1 つのアクセス ポイントから別のアクセス ポイントにローミングすると、次のアクセス ポイントでも LEAP 認証が要求されます。音声ストリームは、中央集中型の RADIUS サーバを介して次のアクセス ポイントで LEAP 認証が完了するまでは流れません。
アクセス ポイントと RADIUS サーバの間の遅延の量を少なくするために、RADIUS サーバを配置する場所を慎重に検討してください。ローカルの RADIUS サーバでは、リモートの RADIUS サーバよりローミング時に発生する遅延が少なくなります。小規模なリモート オフィスでは、Cisco アクセス ポイント上で RADIUS サーバを使用して、最高 50 のユーザを認証することができます。
認証キー管理
次の認証方式では、RADIUS サーバを使用して認証キーを管理します。
• WiFi Protected Access(WPA) : RADIUS サーバ上の情報を使用して、認証に一意のペアワイズ キーを生成します。これらのキーは、中央集中型の RADIUS サーバで生成されるため、WPA はアクセス ポイントおよび電話機に格納された WPA 事前共有キーより高いセキュリティを提供します。
• Cisco Centralized Key Management(CCKM) : RADIUS サーバと無線ドメイン サーバ(WDS)上の情報を使用して、キーを管理および認証します。WDS は、高速でセキュアな再認証用に、CCKM 対応クライアント デバイスのセキュリティ クレデンシャルのキャッシュを作成します。
WPA および CCKM では、暗号化キーは電話機に入力されませんが、アクセス ポイントと電話機の間で自動的に生成されます。ただし、認証に使用される LEAP のユーザ名とパスワードを各電話機に入力する必要があります。
暗号化方式
音声トラフィックの安全性を確保するために、Cisco 無線 IP 電話 7920 は、認証に Wired Equivalent Privacy(WEP)と Temporal Key Integrity Protocol(TKIP)の両方をサポートしています。暗号化にいずれかのしくみを使用すると、アクセス ポイントと Cisco 無線 IP 電話の間でシグナリング(SCCP)パケットと音声(RTP)パケットの両方が暗号化されます。
• WEP:無線ネットワークで WEP を使用すると、オープン認証または共有キー認証を使用することにより、アクセス ポイントで認証が発生します。正常な接続のためには、電話機で設定された WEP キーがアクセス ポイントで設定された WEP キーと一致する必要があります。Cisco 無線 IP 電話 7920 は、40 ビット暗号化または 128 ビット暗号化を使用し、電話機およびアクセス ポイント上で静的なままの WEP キーをサポートします。
LEAP 認証および CCKM 認証は、暗号化に WEP キーを使用できます。RADIUS サーバは WEP キーを管理し、すべての音声パケットの暗号化を認証した後で一意のキーをアクセス ポイントに渡します。そのため、次の WEP キーを各認証で変更できます。
• Temporal Key Integrity Protocol(TKIP):WPA および CCKM は、WEP に対するいくつかの改良点を持つ TKIP 暗号化を使用します。TKIP は、パケットごとのキーの暗号化、および暗号化が強化されたより長い初期ベクトル(IV)を提供します。さらに、メッセージ完全性チェック(MIC)は、暗号化されたパケットが変更されていないことを確認します。TKIP は、侵入者が WEP を使用して WEP キーを解読する可能性を排除します。
(注) Cisco 無線 IP 電話 7920 は、CMIC または Advanced Encryption Standard(AES)暗号化を使用する Cisco Key Integrity Protocol(CKIP)をサポートしません。
認証方式および暗号化方式の選択
認証方式および暗号化方式は、無線 LAN 内で設定されます。VLAN はネットワーク内およびアクセス ポイント上で構成され、認証と暗号化の異なる組み合せを指定します。SSID は、VLAN と VLAN 特有の認証方式および暗号化方式と関連付けられます。無線クライアント デバイスが正常に認証するには、アクセス ポイントおよび Cisco 無線 IP 電話などの無線クライアント デバイス上で、認証方式および暗号化方式の要件を満たす同じ SSID を設定する必要があります。
一部の認証方式では、特定のタイプの暗号化が必要です。オープン認証では、オプションで暗号化に静的 WEP を使用したり、強化されたセキュリティを使用したりすることができます。ただし、共有キー認証を使用している場合は、暗号化に静的 WEP を設定し、電話機で WEP キーを設定する必要があります。
Cisco 無線 IP 電話 7920 に Authenticated Key Management(AKM)を使用する場合、認証および暗号化の両方に対する複数の選択肢を、異なる SSID を持つアクセス ポイント上で設定できます。Cisco 無線 IP 電話が認証を試行する際、電話機がサポートできる認証方式および暗号化方式を通知するアクセス ポイントが選択されます。AKM は、WPA 事前共有キー、WPA、または CCKM を使用して認証できます。
電話機で AKM を設定すると、WPA 事前共有キーの使用時にアクセス ポイントは暗号化キーを提供したり、WEP の使用時に電話機でキーを設定したりすることができます。AKM を使用する場合、暗号化のオプションには WPA 事前共有キー、WPA 認証の TKIP、および CCKM 認証の TKIP または WEP が含まれます。
認証方式および暗号化方式の詳細と、それらの設定方法については、ご使用のモデルおよびリリースの『 Cisco Aironet Configuration Guide 』を参照してください。URL は次のとおりです。
http://www.cisco.com/en/US/products/hw/wireless/ps4570/products_installation_and_configuration_guides_list.html
表2-2 に、Cisco 無線 IP 電話 7920 でサポートされる Cisco Aironet アクセス ポイントで設定される認証方式および暗号化方式のリストを示します。表には、アクセス ポイントの設定に対応する電話機のネットワーク設定のオプションを示します。
表2-2 認証方式および暗号化方式
|
|
|
|
|
|
|
|
Open |
Static WEP (オプション) |
|
Open(オプション) |
None または Static WEP |
Shared key |
Static WEP(必須) |
|
Shared Key |
Static WEP(必須) |
Network EAP |
WEP |
|
LEAP |
WEP |
Network EAP |
TKIP または WEP(CCKM には WDS が必要) |
|
AKM と CCKM |
TKIP または WEP |
Network EAP |
TKIP と WPA |
|
AKM と WPA |
TKIP |
Open |
TKIP と WPA または WPA Pre-shared Key |
|
AKM と WPA Pre-shared Key |
TKIP |
関連項目
• 「Cisco CallManager との相互対話」
• 「VoIP 無線ネットワークのコンポーネント」
• 「無線ネットワークとアクセス ポイントの設定」
Cisco CallManager との相互対話
Cisco CallManager は、ネットワーク内のコール制御コンポーネントで、Cisco 無線 IP 電話 7920 のコールを処理およびルーティングします。Cisco CallManager は、電話会議やルート プランなどの機能に関して、IP テレフォニー システムのコンポーネント(電話機、アクセス ゲートウェイ、およびリソース)を管理します。無線音声の導入には、Cisco CallManager Release 3.3(3) SR1 以降を使用する必要があります。
Cisco CallManager で電話機を認識させるには、電話機を Cisco CallManager に登録し、データベースで設定する必要があります。Cisco CallManager での電話機の設定については、「Cisco CallManager での IP 電話の設定」を参照してください。
Cisco CallManager を構成して IP 電話および IP デバイスとともに使用する方法の詳細については、『Cisco CallManager アドミニストレーション ガイド』および『Cisco CallManager システム ガイド』を参照してください。
関連項目
• 「Cisco CallManager での Cisco 無線 IP 電話の設定」
• 「電話機の設定ファイルとプロファイル ファイル」
電話機の設定ファイルとプロファイル ファイル
電話機の設定ファイルは Cisco CallManager に接続するためのパラメータを定義し、TFTP サーバに格納されます。一般に、Cisco CallManager Administration で電話機のリセットが必要な変更を行うと、必ず電話機の設定ファイルが自動的に変更されます。
また、設定ファイルには、電話機の正しいイメージ ロードに関する情報も含まれます。このイメージ ロードが現在電話機にロードされているものと異なる場合、電話機は TFTP サーバに接続して新しいイメージ ファイルを要求します。
最初に、電話機は設定ファイル SEP xxxxxxxxxxxx .cnf.xml を要求します。 xx は、それぞれ、電話機の MAC アドレスの各整数を小文字 2 桁の 16 進数で表記したものです。このファイルが見つからない場合、電話機は設定ファイル XMLDefault.cnf.xml を要求します。
*.cnf.xml ファイルを取得した後、電話機はその電話機に固有のプロファイル ファイルを要求します。このプロファイル ファイルが見つからない場合、電話機は適切な共通プロファイル ファイルを要求します。
プロファイル ファイルのいずれかが見つかった場合も、見つからなかった場合も、電話機は起動プロセスを続行します。
関連項目
• 「電話起動プロセスについて」
DHCP サーバとの相互対話
ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)は、ネットワーク管理者がネットワーク内のインターネット プロトコル(IP)アドレスの割り当てを管理および自動化できるようにする通信プロトコルです。ネットワークに IP デバイスを追加したときには、一意の IP アドレスを割り当てる必要があります。DHCP を使用しない場合は、各デバイスで IP アドレスを手動入力する必要があります。DHCP では、IP アドレスは動的に割り当てられ、デバイスで不要になった IP アドレスは再利用されます。
ネットワークで DHCP が有効な場合、Cisco 無線 IP 電話 7920 は DHCP サーバの DHCP スコープの設定を使用して、電話プロビジョニング起動プロセスを実行します。管理者は、Cisco CallManager ネットワークの DHCP サーバの設定値を設定する必要があります。
DHCP スコープ設定には次の項目が含まれます。
• TFTP サーバ
• DNS サーバの IP アドレス(ホスト名を使用しない場合はオプション)
• サブネット マスク、IP アドレス、およびゲートウェイのプールおよび範囲
TFTP サーバの DHCP 設定の優先順位は、Cisco 無線 IP 電話 7920 に対して一意です( 表2-3 を参照)。
表2-3 DHCP 設定の優先順位
|
|
1 |
DHCP オプション 150 |
2 |
DHCP オプション 66 |
3 |
SIADDR |
4 |
ciscoCM1 |
DHCP が無効な場合、Cisco 無線 IP 電話 7920 は次のネットワーク設定を使用して、電話プロビジョニング起動プロセスを実行します。これらの静的パラメータは、各 Cisco 無線 IP 電話 7920 に対して設定する必要があります。
• プライマリ TFTP サーバの IP
• プライマリ DNS サーバの IP
• セカンダリ DNS サーバの IP
• IP アドレス
• サブネット マスクの IP
• プライマリ ゲートウェイの IP