【Aruba モビリティ・コントローラ】PSK 方式の SSID を設定する方法

無線

対象環境

  • Aruba 70XX シリーズ モビリティ・コントローラ

はじめに

Aruba 70XX シリーズ モビリティ・コントローラにて WPA2-PSK-AES 方式の SSID を設定する方法を記載します。

WPA2-PSK-AES 方式ではクライアントが SSID 接続時にパスワード認証を行うことになります。

なお、ここでは必要最低限の設定のみを記載しています。

設定イメージ

以下の図のようにプロファイルを次々と紐づけていくコンフィグ構造になっているため、下位のプロファイルから順に作成していくことになります。

各プロファイルの作成

以下の順にプロファイルを作成していきます。

  1. ip access-list session
  2. user-role
  3. aaa authentication dot1x
  4. aaa profile
  5. wlan ssid-profile
  6. wlan virtual-ap
  7. ap-group

ip access-list session

ip access-list session はユーザーロールに割り当てるアクセスリストで、宛先IP/port などに基づいて通信を制御します。

ここでは例としてすべての通信を許可するアクセスリストを作成します。

ip access-list session "permit-any" 
    any any any permit

フォーマット:

ip access-list session "ACL名" 
    <制御内容を記述>

user-role

対象 SSID に接続したユーザに割り当たることになるユーザロールの設定です。ユーザロールに対してはアクセスリストを紐づける設定をします。

user-role "permit-any-role"
    access-list session "permit-any"

フォーマット:

user-role "ユーザロール名"
    access-list session "ACL名"

aaa authentication dot1x

dot1x のプロファイルです。PSK 接続をする際の暗号鍵交換シーケンスの動作のために設定します。プロファイルの定義のみ実施すれば良いです。

aaa authentication dot1x "dot1x-psk"

フォーマット:

aaa authentication dot1x "プロファイル名"

aaa profile

aaa authentication dot1x プロファイルと user-role を紐づける設定です。

aaa profile "aaa-psk-profile"
 authentication-dot1x "dot1x-psk"
 initial-role "permit-any-role"

フォーマット:

aaa profile "プロファイル名"
 authentication-dot1x "プロファイル名"
 initial-role "ユーザロール名"

initial-role は 802.1X 認証が失敗したときに割り当てられるユーザロールの設定ですが、今回の設定例では 802.1X 認証しないため、initial-role で設定したユーザロールが割り当たることになります。

wlan ssid-profile

ESSID 名とそのパスワード、認証方式を設定します。

認証方式は PSK にしたいため opmodewpa2-psk-aes を指定します。

wlan ssid-profile "ssid-psk"
 essid "essid-psk"
 wpa-passphrase psk-password
 opmode wpa2-psk-aes

フォーマット:

wlan ssid-profile "プロファイル名"
 essid "ESSID 名"
 wpa-passphrase "パスワード"
 opmode wpa2-psk-aes

wlan virtual-ap

wlan virtual-ap プロファイルでは、aaa profile と wlan ssid-profile を紐づけます。

SSID の Vlan や転送モード (bridge/tunnel) も wlan virtual-ap プロファイルで設定できます。

wlan virtual-ap "vap-psk"
 aaa-profile "aaa-psk-profile"
 ssid-profile "ssid-psk"
 vlan 1

フォーマット:

wlan virtual-ap "プロファイル名"
 aaa-profile "プロファイル名"
 ssid-profile "プロファイル名"
 vlan "Vlan-ID"
 forward-mode <bridge/tunnel>

※forward-mode のデフォルトは tunnel

ap-group

最後に ap-group を設定します。ap-group では wlan virtual-ap プロファイルを指定します。

ap-group "sample-group"
 virtual-ap "vap-psk"

フォーマット:

ap-group "プロファイル名"
 virtual-ap "プロファイル名"

設定後の確認

モビリティ・コントローラで以下のコマンドを実行し状態を確認します。

  • アクティブな AP の確認
    • show ap active
  • AP が飛ばしている SSID の確認
    • show ap bss-table
    • show gsm debug channel bss
  • SSID に接続しているクライアントのユーザロールの確認
    • show station-table
    • show user-table

―――――――――――――

タイトルとURLをコピーしました