対象環境
- Aruba 70XX シリーズ モビリティ・コントローラ
はじめに
Aruba 70XX シリーズ モビリティ・コントローラにて WPA2-PSK-AES 方式の SSID を設定する方法を記載します。
WPA2-PSK-AES 方式ではクライアントが SSID 接続時にパスワード認証を行うことになります。
なお、ここでは必要最低限の設定のみを記載しています。
設定イメージ
以下の図のようにプロファイルを次々と紐づけていくコンフィグ構造になっているため、下位のプロファイルから順に作成していくことになります。
各プロファイルの作成
以下の順にプロファイルを作成していきます。
- ip access-list session
- user-role
- aaa authentication dot1x
- aaa profile
- wlan ssid-profile
- wlan virtual-ap
- ap-group
ip access-list session
ip access-list session はユーザーロールに割り当てるアクセスリストで、宛先IP/port などに基づいて通信を制御します。
ここでは例としてすべての通信を許可するアクセスリストを作成します。
ip access-list session "permit-any"
any any any permit
フォーマット:
ip access-list session "ACL名"
<制御内容を記述>
user-role
対象 SSID に接続したユーザに割り当たることになるユーザロールの設定です。ユーザロールに対してはアクセスリストを紐づける設定をします。
user-role "permit-any-role"
access-list session "permit-any"
フォーマット:
user-role "ユーザロール名"
access-list session "ACL名"
aaa authentication dot1x
dot1x のプロファイルです。PSK 接続をする際の暗号鍵交換シーケンスの動作のために設定します。プロファイルの定義のみ実施すれば良いです。
aaa authentication dot1x "dot1x-psk"
フォーマット:
aaa authentication dot1x "プロファイル名"
aaa profile
aaa authentication dot1x プロファイルと user-role を紐づける設定です。
aaa profile "aaa-psk-profile"
authentication-dot1x "dot1x-psk"
initial-role "permit-any-role"
フォーマット:
aaa profile "プロファイル名"
authentication-dot1x "プロファイル名"
initial-role "ユーザロール名"
wlan ssid-profile
ESSID 名とそのパスワード、認証方式を設定します。
認証方式は PSK にしたいため opmode
で wpa2-psk-aes
を指定します。
wlan ssid-profile "ssid-psk"
essid "essid-psk"
wpa-passphrase psk-password
opmode wpa2-psk-aes
フォーマット:
wlan ssid-profile "プロファイル名"
essid "ESSID 名"
wpa-passphrase "パスワード"
opmode wpa2-psk-aes
wlan virtual-ap
wlan virtual-ap プロファイルでは、aaa profile と wlan ssid-profile を紐づけます。
SSID の Vlan や転送モード (bridge/tunnel) も wlan virtual-ap プロファイルで設定できます。
wlan virtual-ap "vap-psk"
aaa-profile "aaa-psk-profile"
ssid-profile "ssid-psk"
vlan 1
フォーマット:
wlan virtual-ap "プロファイル名"
aaa-profile "プロファイル名"
ssid-profile "プロファイル名"
vlan "Vlan-ID"
forward-mode <bridge/tunnel>
※forward-mode のデフォルトは tunnel
ap-group
最後に ap-group を設定します。ap-group では wlan virtual-ap プロファイルを指定します。
ap-group "sample-group"
virtual-ap "vap-psk"
フォーマット:
ap-group "プロファイル名"
virtual-ap "プロファイル名"
設定後の確認
モビリティ・コントローラで以下のコマンドを実行し状態を確認します。
- アクティブな AP の確認
show ap active
- AP が飛ばしている SSID の確認
show ap bss-table
show gsm debug channel bss
- SSID に接続しているクライアントのユーザロールの確認
show station-table
show user-table
―――――――――――――