Ethernet over GRE トンネル
Ethernet over GRE(EoGRE)は、ホットスポットから送信された Wi-Fi トラフィックを集約するための新しいアグリゲーション ソリューションです。このソリューションでは、顧客宅内機器(CPE)デバイスで、エンド ホストから届いたイーサネット トラフィックをブリッジし、そのトラフィックを IP GRE トンネルでイーサネット パケットにカプセル化できます。IP GRE トンネルがサービス プロバイダーのブロードバンド ネットワーク ゲートウェイで終わると、エンド ホストのトラフィックは終了し、エンド ホスト用にサブスクライバ セッションが開始します。
高可用性(HA)は、EoGRE IPv4 と IPv6 のトンネル設定でサポートされています。また、Client SSO は IPv4 と IPv6 EoGRE トンネル クライアントでサポートされています。
コントローラと Cisco FlexConnect AP の EoGRE の設計と導入に関する詳細については、EoGRE 導入ガイド [英語] を参照してください。
802.1X 認証ベースの WLAN の EoGRE
802.1X 認証 |
スイッチング |
AP モード |
EoGRE |
SimpleIP |
---|---|---|---|---|
Central+No FlexConnect バックアップ RADIUS サーバ |
ローカル |
接続済み |
クライアントは EoGRE として参加できます。 |
クライアントは SimpleIP として参加できます。 |
Central+No FlexConnect バックアップ RADIUS サーバ |
ローカル |
スタンドアロン |
新しいクライアントは参加できません。既存のクライアントが機能します。 |
新しいクライアントは参加できません。既存のクライアントが機能します。 |
Central+No FlexConnect バックアップ RADIUS サーバ |
ローカル |
スタンドアロンのブート |
クライアントは参加できません。 |
クライアントは参加できません。 |
ローカル AP Auth+No FlexConnect バックアップ RADIUS サーバ |
ローカル |
接続済み |
クライアントは SimpleIP になります。 |
クライアントは SimpleIP として参加します。 |
ローカル AP Auth+No FlexConnect バックアップ RADIUS サーバ |
ローカル |
スタンドアロン |
クライアントは SimpleIP になります。 |
既存のクライアントと新規クライアントが予定どおりに動作します。 |
ローカル AP Auth+No FlexConnect バックアップ RADIUS サーバ |
ローカル |
スタンドアロンのブート |
クライアントは SimpleIP になります。 |
クライアントは参加できます。 |
Central+FlexConnect バックアップ RADIUS サーバ |
ローカル |
接続済み |
クライアントは EoGRE として参加します。 |
既存のクライアントと新規クライアントが予定どおりに動作します。 |
Central+FlexConnect バックアップ RADIUS サーバ |
ローカル |
スタンドアロン |
既存のクライアントは引き続き EoGRE であり、新規クライアントは SimpleIP として参加します。 |
既存のクライアントと新規クライアントが予定どおりに動作します。 |
Central+FlexConnect バックアップ RADIUS サーバ |
ローカル |
スタンドアロンのブート |
クライアントは SimpleIP になります。 |
既存のクライアントと新規クライアントが予定どおりに動作します。 |
オープン認証ベースの WLAN の EoGRE
(注) |
オープンな WLAN では、EoGRE プロファイルは * ルールという 1 つのルールのみ持つことができます。オープン認証 WLAN に複数のルールがあるプロファイルのマッピングはサポートされていません。すべてのクライアントが EoGRE クライアントである必要があります。 |
オープン認証 |
スイッチング |
AP モード |
EoGRE |
---|---|---|---|
中央 |
ローカル |
接続済み |
クライアントは EoGRE として参加します。 |
中央 |
ローカル |
スタンドアロン |
新規クライアントは参加できません。既存のクライアントが機能します。 |
中央 |
ローカル |
スタンドアロンのブート |
クライアントは参加できません。 |
トンネル送信元の変更
リリース 8.2 以前は、管理 IP アドレスをトンネル エンドポイントとして使用していました。リリース 8.2 では、必要に応じて、管理インターフェイス以外の任意の L3 動的インターフェイスをトンネル エンドポイントとして指定できるようになりました。
IPv6 のサポート
リリース 8.3 では、EoGRE トンネル ゲートウェイのクライアント IPv6 トラフィックと IPv6 アドレス形式のサポートを追加しました。クライアント IPv6 トラフィックは IPv4 と IPv6 両方の EoGRE トンネルでサポートしています。クライアントごとに、最大 8 つの異なるクライアント IPv6 アドレスをサポートしています。コントローラは、学習したすべてのクライアント IPv6 アドレスを、アカウンティング更新メッセージでアカウンティング サーバに送信します。コントローラとトンネル ゲートウェイ間、または RADIUS サーバ間では、すべての RADIUS メッセージやアカウンティング メッセージが EoGRE トンネルの外側で交換されます。
CAPWAP |
EoGRE |
注記 |
---|---|---|
CAPWAPv4 |
EoGREv4 |
CAPWAPv4 が想定されているアカウンティング IP(WLC IP) |
CAPWAPv4 |
EoGREv6 |
CAPWAPv4 が想定されているアカウンティング IP(WLC IP) |
CAPWAPv6 |
EoGREv4 |
CAPWAPv6 が想定されているアカウンティング IP(WLC IP) |
CAPWAPv6 |
EoGREv6 |
CAPWAPv6 が想定されているアカウンティング IP(WLC IP) |
WLAN と EoGRE VLAN の 1 対 1 のマッピング
オープン WLAN に対する EoGRE の実装は、1 コントローラにつき VLAN ごとに 10 WLAN までに制限されています。この制限は、オープン WLAN と EoGRE VLAN 間で 1 対 1 のマッピングを行うことで解消できます。
WLAN と EoGRE VLAN の 1 対 1 のマッピングは、WLAN 内で EoGRE VLAN の設定をオーバーライドすることで実現できます。既存のルールはすべて引き続き適用可能ですが、EoGRE VLAN オーバーライド オプションが有効になっている場合、WLAN にマッピングされているトンネル プロファイルに設定された EoGRE VLAN ID で指定した VLAN ID が上書きされます。
優先順位は次のとおりです。
-
WLAN で AAAオーバーライド オプションが有効になっている場合は、AAA の値が適用されさます。
-
EoGRE VLAN の設定のオーバーライド オプションが有効になっている場合は、EoGRE VLAN の設定値が指定された VLAN ID に適用されます。
-
ネットワーク アクセス識別子(NAI)は、EoGRE プロファイル ルールで照合されます。
EoGRE トンネリングに関する制約事項
-
Cisco vWLC では、EoGRE トンネリングはローカルスイッチング モードでのみサポートされています。
-
EoGRE-AP 機能は、Cisco 700 シリーズ アクセス ポイントではサポートされていません。
-
プロファイルが WLAN に関連付けられている場合、トンネル プロファイルを編集または削除することはできません。WLAN からプロファイルの関連付けを解除してから、プロファイルを編集または削除します。
-
ゲートウェイがすでにドメインに関連付けられている場合、トンネル ゲートウェイを編集または削除することはできません。ドメインからトンネル ゲートウェイの関連付けを解除してから、トンネル ゲートウェイを編集または削除します。
-
ドメインがすでにトンネル プロファイル ルールに関連付けられている場合、ドメインを編集または削除することはできません。トンネル プロファイル ルールからドメインの関連付けを解除してから、ドメインを編集または削除します。
-
ドメインがすぐに変更される場合、ドメインに関連付けられているクライアントは認証解除されます。
-
ICMP パケットをブロックする可能性があるファイアウォールは設定しないことをお勧めします。
-
AAA としてのトンネル ゲートウェイ(TGW)および RADIUS レルム機能は同時に使用してはなりません。
-
AAA としてのトンネル ゲートウェイ(TGW)は、FlexConnect AP の EoGRE ではサポートされていません。
-
トンネル EoGRE ゲートウェイの統計情報はスタンバイ WLC には同期されません。
-
SNMP の制限により、トンネル ゲートウェイの名前は最大 127 文字です。
-
オープンな WLAN では、プロファイルは * ルールという 1 つのルールのみ持つことができます。オープン認証 WLAN に複数のルールがあるプロファイルのマッピングはサポートされていません。
-
EoGRE クライアントはローカル スイッチング VLAN から IPv6 アドレスを取得します。
-
ローカル スイッチング VLAN のブロードキャスト/マルチキャスト トラフィックは EoGRE クライアントに到達します。
-
FlexConnect+Bridge モードはサポートされていません。
-
スタンドアロン モード:EoGRE クライアントの高速ローミングはサポートされていません。
-
WebAuth はサポートされていません。
-
FlexConnect AP ローカル認証はサポートされていません。
-
FlexConnect AP バックアップ RADIUS サーバはサポートされていません。
-
スタティック IP を持つ EoGRE クライアントはサポートされていません。
-
WLAN の FlexConnect ACL は EoGRE クライアントでは動作しません。
-
耐障害性の後、クライアント タイプは SimpleIP です。これは、30 秒後に EoGRE に変更されます。
-
AP ゲートウェイの MTU は 1500 バイトです。
-
Lightweight AP は、EoGREv6 に対してのみパス MTU をサポートします。EoGREv4 の場合はサポートされていません。
-
EoGRE クライアントの場合、TrustSec SGT/ポリシーの適用は、レイヤ 3 モビリティ トンネルを含む、トンネリング トラフィックに対してはサポートされていないため、意図したとおりに機能しないことがあります。
トンネル トラフィックの場合、送信元 SGT タグは CMD ヘッダー内でエンコードされません(CMD ヘッダー自体が追加されません)。ポリシー適用ポイントで不明な SGACL ポリシー(0、DGT)が適用されます。
-
EoGRE IPv6 の制約事項:
-
EoGRE クライアントはローカル スイッチング VLAN から IPv6 アドレスを取得します。
-
DHCP オプション 82 の設定は、IPv6 クライアントではサポートされていません。
-
RADIUS、FTP、TFTP、SFTP、LDAP、SXP、syslog などのアプリケーションは管理 IPv6 アドレスでのみサポートされています。
-
ダイナミック IPv6 AP マネージャ インターフェイスはサポートされていません。
-
IPv6 を持つダイナミック インターフェイスはトンネル インターフェイスとしてのみサポートされます。
-
IPv6 アドレスを割り当てることができるダイナミック インターフェイスの最大数は 16 です。
-
IPv6 リンク ローカル アドレスは、スイッチ上のすべてのスイッチド仮想インターフェイス(SVI)で共通です。このため、ダイナミック アドレスで IPv6 アドレスを設定することはできません。この問題を解決するには、SVI のアップリンク スイッチで明示的にリンク ローカル アドレスを設定する必要があります。各 SVI は独自のリンク ローカル アドレス設定が必要です。
-
IPv6 トンネルの IP パケットの最大サイズは、Cisco WLC で 1280 バイトに制限されています。
-
-
WLAN に対する AAAオーバーライドが有効になっている場合、AAA サーバ経由で渡されるドメインは 2 番目の WLAN に接続する必要があります。これは、ローカル モードと FlexConnect モードの AP に適用されます。これは、AAA サーバのドメインにマッピングされているゲートウェイが、Cisco WLC でローカル モードで動作可能になり 、FlexConnect モードの AP にダウンロードされるために必要です。
Cisco WLC での EoGRE の設定(GUI)
手順
ステップ 1 |
トンネル ゲートウェイを作成し、ハートビートを設定します。 |
ステップ 2 |
ネットワーク プロファイルを作成します。 |
ステップ 3 |
トンネル プロファイル ルールを定義します。
|
ステップ 4 |
トンネル パラメータを指定します。 |
ステップ 5 |
ステップ 1 で指定したトンネル ゲートウェイの IP アドレスをサーバの IP アドレスとして指定して RADIUS 認証サーバまたはアカウンティング サーバ、あるいはその両方を作成し、[Tunnel Proxy] を有効にします。 RADIUS サーバを作成する方法については、『Security Solutions』の「Configuring RADIUS」の章を参照してください。 |
ステップ 6 |
WLAN にトンネル プロファイルを関連付けます。
|
ステップ 7 |
トンネルが正しく設定されているかどうか確認します。
|
ステップ 8 |
ゲートウェイの統計情報を確認します。
|
WLC での EoGRE の設定(CLI)
手順
FlexConnect AP の EoGRE の設定(GUI)
-
AP が FlexConnect モードになっていることを確認します。
-
Cisco WLC のトンネル設定は、トンネル プロファイルが WLAN に関連付けられている場合、Cisco FlexConnect AP にも適用されます。
-
Wave 1 AP(AP1600、AP1700、AP2600、AP2700、AP3600、および AP3700):EoGREv6 トンネルは、FlexConnect + ローカル スイッチング AP からゲートウェイに対してサポートされています。
-
Wave 2 AP(AP1560、AP1810、AP1815、AP1830、AP1850、AP2800、および AP3800):EoGREv4 および EoGREv6 トンネルは、FlexConnect + ローカル スイッチング AP からゲートウェイに対してサポートされています。
-
Path MTU ディスカバリは FlexConnect AP でサポートされています。
手順
ステップ 1 |
の順に選択します。 |
||
ステップ 2 |
[WLAN ID] をクリックします。 |
||
ステップ 3 |
[FlexConnect] の [Advanced] タブで、[FlexConnect Local Switching] を有効にします。
|
||
ステップ 4 |
設定を保存します。 |
||
ステップ 5 |
ゲートウェイごとの統計情報を表示するには、統計情報の取得をクリックします。 を選択し、 |
FlexConnect AP の EoGRE の設定(CLI)
-
AP が FlexConnect モードになっていることを確認します。
-
Cisco WLC のトンネル設定は、トンネル プロファイルが WLAN に関連付けられている場合、Cisco FlexConnect AP にも適用されます。
手順
ステップ 1 |
次のコマンドを入力して、WLAN に関連付けられた FlexConnect AP のローカル スイッチングを有効にします。 |
||
ステップ 2 |
次のコマンドを入力して、EoGRE 設定をモニタします。
|
WLAN と EoGRE VLAN の 1 対 1 のマッピング(GUI)
始める前に
-
EoGRE トンネル プロファイルを作成していることを確認します。
-
この手順を進める前に、WLAN が無効な状態になっていることを確認します。
手順
ステップ 1 |
[WLANs] を選択して、WLAN ID をクリックします。 |
ステップ 2 |
[Advanced] タブをクリックして、[Tunneling] セクションまでスクロール ダウンします。 |
ステップ 3 |
トンネル プロファイルを選択します。 |
ステップ 4 |
WLAN で EoGRE VLAN オーバーライド機能を有効にするEoGRE VLAN のオーバーライドのチェック ボックスをオンにします。 |
ステップ 5 |
EoGRE VLAN のオーバーライド ID ] フィールドに、トンネル プロファイルで設定されている EoGRE VLAN ID を上書きする必要があります VLAN ID を入力します。 |
ステップ 6 |
設定を保存します。 |
WLAN と EoGRE VLAN の 1 対 1 のマッピング(CLI)
始める前に
-
EoGRE トンネル プロファイルを作成していることを確認します。
-
この手順を進める前に、WLAN が無効な状態になっていることを確認します。
手順
ステップ 1 |
次のコマンドを入力して、WLAN で EoGRE VLAN オーバーライド機能を有効にします。 config wlan tunnel eogre-vlan-override wlan-id enable |
ステップ 2 |
次のコマンドを入力して、トンネル プロファイルに設定されている EoGRE VLAN ID でオーバーライドされる VLAN ID を設定します。 config wlan tunnel eogre-vlan-override wlan-id vlan-id |
ステップ 3 |
次のコマンドを入力して、 WLAN の設定をモニタします。 show wlan wlan-id |
ステップ 4 |
次のコマンドを入力して、クライアントの詳細(使用されている EoGRE VLAN ID を含む)を表示します。 show client detail client-mac-addr |
次のタスク
debug client client-mac-addr コマンドを使用して、この機能に関連する問題をトラブルシューティングできます。