組み込み型ワイヤレス コントローラ Catalyst アクセス ポイント
ユーザーガイド
組み込み型ワイヤレス コントローラ Catalyst アクセス ポイント
SAE 認証におけるパスワード要素のハッシュから要素へのサポート
- ハッシュから要素へ(H2E)(1 ページ)
- YANG (RPC モデル), 1 ページ
- WPA3 SAE H2E の設定, (2 ページ)
- WLAN での WPA3 SAE H2E サポートの確認, (4 ページ)
ハッシュから要素へ (H2E)
Hash-to-Element (H2E) は、新しい SAE Password Element (PWE) メソッドです。 この方法では、SAE プロトコルで使用される秘密の PWE がパスワードから生成されます。
H2E をサポートする STA が AP との SAE を開始すると、AP が H2E をサポートするかどうかを確認します。 「はい」の場合、AP は H2E を使用して、SAE コミット メッセージで新しく定義されたステータス コード値を使用して PWE を導出します。
STA がハンティング アンド ペッキングを使用する場合、SAE 交換全体は変更されません。
H2E を使用する場合、PWE の導出は次のコンポーネントに分割されます。
- パスワードからの秘密中間要素 PT の導出。 これは、サポートされているグループごとにデバイス上でパスワードが最初に設定されるときに、オフラインで実行できます。
- 保存された PT からの PWE の導出。 これは、ネゴシエートされたグループとピアの MAC アドレスによって異なります。 これは SAE 交換中にリアルタイムで実行されます。
注記
- H2E 方式には、グループ ダウングレードによる中間者攻撃に対する保護も組み込まれています。 SAE 交換中に、ピアは PMK 導出にバンドルされた拒否されたグループのリストを交換します。 各ピアは受信したリストをサポートされているグループのリストと比較し、不一致がある場合はダウングレード攻撃を検出し、認証を終了します。
ヤン (RPC モデル)
SAE パスワード要素 (PWE) モードの RPC を作成するには、次の RPC モデルを使用します。
注記
現在のインフラ制限により、削除操作は一度に XNUMX つのアクションを実行します。 つまり、YANG モジュールでは、複数のノードでの削除操作はサポートされていません。
WPA3 SAE H2E の設定
| 手順 | コマンドまたはアクション | 目的 |
| ステップ1 | ターミナルの構成 Examp上: デバイス# 端末の設定 |
グローバル コンフィギュレーション モードに入ります。 |
| ステップ2 | wan wan-name waned SSID-name Examp上: デバイス(config)# wan WPA3 1 WPA3 |
WLAN コンフィギュレーション サブモードを開始します。 |
| ステップ3 | セキュリティなし wpa akm dot1x Examp上: デバイス(config-wlan)# セキュリティなし wpaakm dot1x |
dot1x のセキュリティ AKM を無効にします。 |
| ステップ4 | DS Ex を介したセキュリティはありませんamp上: Device(config-wlan)# セキュリティなし ft over-the-ds |
WLAN 上のデータ ソースを介した高速移行を無効にします。 |
| ステップ5 | セキュリティなし ft Examp上: デバイス(config-wlan)# セキュリティなし ft |
WLAN 上で 802.11r 高速移行を無効にします。 |
| ステップ6 | セキュリティなし wpa wpa2 Examp上: デバイス(config-wlan)# セキュリティなし wpa wpa2 |
WPA2セキュリティを無効にします。 現在、PMF は無効になっています。 |
| ステップ7 | セキュリティ wpa wpa2 暗号 aes Examp上: デバイス(config-wlan)# セキュリティ wpa wpa2 暗号 aes |
WPA2暗号を設定します。 (注) no security wpa wpa2 ciphers aes コマンドを使用して、暗号が設定されているかどうかを確認できます。 暗号がリセットされない場合は、 暗号。 |
| ステップ8 | セキュリティ WPA PSK セットキー ASCII 値 事前共有キー Examp上: デバイス(config-wlan)# security wpa psk set-key ascii 0 Cisco123 |
事前に設定されたキーを指定します。 |
| ステップ9 | セキュリティ wpa wpa3 Examp上: デバイス(config-wlan)# security wpa wpa3 |
WPA3 サポートを有効にします。 |
| ステップ10 | セキュリティ wpa akm sae Examp上: デバイス(config-wlan)# security wpa akm sae |
AKM SAE サポートを有効にします。 |
| ステップ11 | セキュリティ wpa akm sae pwe {h2e | HNP | 両方-h2e-hnp} Examp上: デバイス(config-wlan)# security wpa akm sae pwe |
AKM SAE PWE サポートを有効にします。 PWE は次のオプションをサポートしています。 • h2e - ハッシュから要素へのみ。 Hnpを無効にします。 • hnp - 狩猟とつつきのみ。 H2E を無効にします。 • Both-h2e-hnp:ハッシュから要素へのサポートとハンティングとペッキングの両方をサポートします(デフォルトのオプション)。 |
| ステップ12 | シャットダウンなし例amp上: デバイス(config-wlan)# シャットダウンなし |
WLAN を有効にします。 |
| ステップ13 | 終了例amp上: デバイス(config-wlan)# 終了 |
特権EXECモードに戻ります。 |
WLAN での WPA3 SAE H2E サポートの確認
に view WLAN ID に基づいて WLAN プロパティ (PWE 方式) を確認するには、次のコマンドを使用します。
PWE メソッドを H2E または Hnp として使用したクライアント アソシエーションを確認するには、次のコマンドを使用します。
に view H2E および HnP を使用した SAE 認証の数を確認するには、次のコマンドを使用します。
SAE 認証におけるパスワード要素のハッシュから要素へのサポート
ドキュメント / リソース
 |
CISCO 組み込み型ワイヤレス コントローラ Catalyst アクセス ポイント [pdf] ユーザーガイド 内蔵ワイヤレス コントローラ Catalyst アクセス ポイント、ワイヤレス コントローラ Catalyst アクセス ポイント、コントローラ Catalyst アクセス ポイント、Catalyst アクセス ポイント、アクセス ポイント、ポイント |