この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
FlexConnect(以前は、ハイブリッド リモート エッジ アクセス ポイントまたは H-REAP と呼ばれていました)は、ブランチ オフィスとリモート オフィスに導入されるワイヤレス ソリューションです。 これにより顧客は、各オフィスでコントローラを展開することなく、本社オフィスから Wide Area Network(WAN; ワイドエリア ネットワーク)経由で、支社またはリモート オフィスのアクセス ポイントを設定および制御できるようになります。 FlexConnect アクセス ポイントは、コントローラへの接続を失ったとき、クライアント データ トラフィックをローカルにスイッチングし、クライアント認証をローカルで実行できます。 コントローラに接続されているときには、トラフィックをコントローラに送り返すこともできます。 接続モードで、FlexConnect アクセス ポイントは、ローカル認証も実行できます。
アクセス ポイントは、ブート時にコントローラを検索します。 コントローラが見つかると、そのコントローラに join し、最新のソフトウェア イメージと設定をコントローラからダウンロードして、無線を初期化します。 ダウンロードした設定は不揮発性メモリに保存されて、スタンドアロン モードで使用されます。
(注) |
最新のコントローラ ソフトウェアのダウンロード後に、アクセス ポイントをリブートしたら、アクセス ポイントを FlexConnect モードへ変換する必要があります。 これは、GUI または CLI を使用して行えます。 |
FlexConnect アクセス ポイントは、次のいずれかの方法でコントローラの IP アドレスを認識できます。
(注) |
OTAP は、6.0.196 以降のコードを使用するコントローラではサポートされなくなりました。 |
(注) |
アクセス ポイントがコントローラを検索する方法の詳細については、コントローラ導入ガイド(http://www.cisco.com/en/US/docs/wireless/technology/controller/deployment/guide/dep.html)を参照してください。 |
FlexConnect アクセス ポイントがコントローラに到達できるとき(接続モードと呼ばれます)、コントローラはクライアント認証を支援します。 FlexConnect アクセス ポイントがコントローラにアクセスできないとき、アクセス ポイントはスタンドアロン モードに入り、独自にクライアントを認証します。
(注) |
アクセス ポイント上の LED は、デバイスが異なる FlexConnect モードに入るときに変化します。 LED パターンの情報については、アクセス ポイントのハードウェア インストール ガイドを参照してください。 |
クライアントが FlexConnect アクセス ポイントにアソシエートするとき、アクセス ポイントではすべての認証メッセージをコントローラに送信し、WLAN 設定に応じて、クライアント データ パケットをローカルにスイッチする(ローカル スイッチング)か、コントローラに送信(中央スイッチング)します。 クライアント認証(オープン、共有、EAP、Web 認証、および NAC)とデータ パケットに関して、WLAN は、コントローラ接続の設定と状態に応じて、次のいずれかの状態になります。
(注) |
ローカル認証は、ローカル スイッチング モードの FlexConnect アクセス ポイントの WLAN 上のみで有効にできます。 |
(注) |
FlexConnect アクセス ポイントに接続している、ローカルにスイッチされたクライアントが IP アドレスを更新し、また join する場合に、クライアントは実行状態のまま残ります。 これらのクライアントはコントローラによって再認証されません。 |
FlexConnect アクセス ポイントがスタンドアロン モードになると、オープン、共通、WPA-PSK、または WPA2-PSK の認証用に設定された WLAN は、「ローカル認証、ローカル スイッチング」状態になり、新しいクライアント認証を続行します。 コントローラ ソフトウェア リリース 4.2 以降のリリースでは、これは 802.1X、WPA-802.1X、WPA2-802.1X、または CCKM 用に設定された WLAN でも正しい設定です。ただし、これらの認証タイプでは外部の RADIUS サーバが設定されている必要があります。 FlexConnect アクセス ポイントでローカル RADIUS サーバを設定して、スタンドアロン モードで、またはローカル認証と組み合わせて 802.1X をサポートすることもできます。
その他の WLAN は、「認証停止、スイッチング停止」状態(WLAN が中央スイッチング用に設定されている場合)または「認証停止、ローカル スイッチング」状態(WLAN がローカル スイッチング用に設定されている場合)のいずれかになります。
FlexConnect アクセス ポイントがスタンドアロン モードではなく、コントローラに接続されている場合は、コントローラはプライマリ RADIUS サーバを使用します。コントローラがプライマリ RADIUS サーバにアクセスする順序は、[RADIUS Authentication Servers] ページまたは config radius auth add CLI コマンドで指定されたとおりとなります(WLAN に対して別のサーバ順序が指定されている場合を除く)。 ただし、802.1X EAP 認証を使用する場合は、クライアントを認証するために、スタンドアロン モードの FlexConnect アクセス ポイント用のバックアップ RADIUS サーバが必要となります。
(注) |
コントローラはバックアップ RADIUS サーバを使用しません。 コントローラはローカル認証モードでバックアップ RADIUS サーバを使用します。 |
バックアップ RADIUS サーバは、個々のスタンドアロン モード FlexConnect アクセス ポイントに対して設定することも(コントローラの CLI を使用)、スタンドアロン モード FlexConnect アクセス ポイントのグループに対して設定することも(GUI または CLI を使用)できます。 個々のアクセス ポイントに対して設定されたバックアップ サーバは、FlexConnect に対するバックアップ RADIUS サーバ設定よりも優先されます。
FlexConnect アクセス ポイントがスタンドアロン モードに入ると、中央スイッチング WLAN 上にあるすべてのクライアントのアソシエートが解除されます。 Web 認証 WLAN の場合は、既存クライアントのアソシエートは解除されませんが、アソシエートされているクライアントの数がゼロ(0)に達すると、FlexConnect アクセス ポイントからのビーコン応答の送信が停止します。 また、Web 認証 WLAN にアソシエートしようとする新しいクライアントにアソシエート解除メッセージが送信されます。 ネットワーク アクセス制御(NAC)や Web 認証(ゲスト アクセス)などのコントローラに依存するアクティビティは無効になり、アクセス ポイントは侵入検知システム(IDS)レポートをコントローラに送信しません。 さらに、ほとんどの Radio Resource Management(RRM)機能(ネイバー ディスカバリ、ノイズ、干渉、ロード、およびカバレッジ測定、ネイバー リストの使用、不正阻止および検出)は無効化されます。 ただし、FlexConnect アクセス ポイントは、スタンドアロン モードで動的周波数選択をサポートします。
(注) |
コントローラが NAC に対して設定されている場合、クライアントはアクセス ポイントが接続モードにある場合にのみアソシエートできます。 NAC が有効化されているときは、正常に動作しない VLAN(または隔離 VLAN)を作成してください。この VLAN に割り当てられたクライアントのデータ トラフィックがコントローラを経由するようにするためです。これは、WLAN がローカル スイッチングを行うように設定されている場合でも必要です。 クライアントが隔離 VLAN に割り当てられると、そのクライアントのデータ パケットはすべて中央でスイッチングされます。 隔離 VLAN の作成の詳細については、「動的インターフェイスの設定」の項を参照してください。NAC アウトオブバンド サポートの設定の詳細については、「NAC アウトオブバンド統合の設定」の項を参照してください。 |
FlexConnect アクセス ポイントがスタンドアロン モードになると、次のようになります。
アクセス ポイントが ARP を確立できない場合は、次のことが起こります。
アクセス ポイントがコントローラとの接続を再確立すると、すべてのクライアントをアソシエート解除して、コントローラからの新しい設定情報を適用し、クライアントの接続を再度許可します。
(注) |
NAT と PAT は FlexConnect アクセス ポイントではサポートされていますが、対応するコントローラではサポートされていません。 シスコは、NAT/PAT 境界の背後にコントローラを置く構成はサポートしません。 |
(注) |
設定作業は、リストされている順序で実行する必要があります。 |
次の 2 つの環境で FlexConnect のコントローラを設定できます。
-local-auth |
(注) |
ゲスト ユーザ設定は、FlexConnect ローカル スイッチングではサポートされていません。 |
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 | ||
ステップ 2 | ドロップダウン リストから [Create New] を選択し、[Go] をクリックして [WLANs > New] ページを開きます。 | ||
ステップ 3 | [Type] ドロップダウン リストから、[WLAN] を選択します。 | ||
ステップ 4 | [Profile Name] テキスト ボックスに、(「FlexConnect に対するコントローラの設定」の項にある表の例に従って)guest-central を入力します。 | ||
ステップ 5 | [WLAN SSID] テキスト ボックスに、guest-central を入力します。 | ||
ステップ 6 | [WLAN ID] ドロップダウン リストから、WLAN の ID を選択します。 | ||
ステップ 7 | [Apply] をクリックして、変更を確定します。 [WLANs > Edit] ページが表示されます。 | ||
ステップ 8 | [General] タブで、[Status] チェックボックスをオンにして WLAN を有効にします。 | ||
ステップ 9 | [Security > Layer 2] タブで、[Layer 2 Security] ドロップダウン リストから [None] を選択します。 | ||
ステップ 10 |
[Security > Layer 3] タブで次の手順を実行します。
|
||
ステップ 11 | [Apply] をクリックして、変更を確定します。 | ||
ステップ 12 |
[Save
Configuration] をクリックして、変更を保存します。
|
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | ドロップダウン リストから [Create New] を選択し、[Go] をクリックして ページを開きます。 |
ステップ 3 | [Type] ドロップダウン リストから、[WLAN] を選択します。 |
ステップ 4 | [Profile Name] テキスト ボックスに、WLAN の一意のプロファイル名を入力します。 |
ステップ 5 | [WLAN SSID] テキスト ボックスに、WLAN の名前を入力します。 |
ステップ 6 | [WLAN ID] ドロップダウン リストから、この WLAN の ID 番号を選択します。 |
ステップ 7 | [Apply] をクリックして、変更を確定します。 ページが表示されます。 |
ステップ 8 |
中央でスイッチされる WLAN とローカルにスイッチされる WLAN の両方で FlexConnect のコントローラを設定できます。 中央でスイッチされる WLAN で FlexConnect のコントローラを設定するには、次の手順を実行します。
ローカルでスイッチされる WLAN で FlexConnect のコントローラを設定するには、次の手順を実行します。 |
ステップ 9 | [Apply] をクリックして、変更を確定します。 |
ステップ 10 | [Save Configuration] をクリックして、変更を保存します。 |
(注) |
FlexConnect ローカル スイッチングが有効のときは、デフォルトではコントローラはクライアント IP アドレスを認識できるまで待機します。 ただし、クライアントが Fortress レイヤ 2 暗号化を使用するように設定されている場合は、コントローラがそのクライアント IP アドレスを知ることができないので、コントローラはクライアントの接続を定期的に切断します。 コントローラがクライアントの IP アドレスを認識できるまで待たなくてもクライアント接続を維持できるように、 config wlan flexconnect learn-ipaddr wlan_id disable コマンドを使用して、クライアント IP アドレス認識機能を無効にします。 この機能を無効にできるのは、FlexConnect ローカル スイッチングを行うように設定されているときだけです。FlexConnect 中央スイッチングを行う場合は、無効にすることはできません。 この機能を有効にするには、 config wlan flexconnect learn-ipaddr wlan_id enable コマンドを入力します。 |
FlexConnect の情報を取得するには、次のコマンドを使用します。
ステップ 1 | [Wireless] を選択して、[All APs] ページを開きます。 | ||||
ステップ 2 | 目的のアクセス ポイントの名前をクリックします。 ページが表示されます。 | ||||
ステップ 3 |
[AP Mode] ドロップダウン リストから [FlexConnect] を選択して、このアクセス ポイントの FlexConnect を有効にします。
|
||||
ステップ 4 |
[AP サブ Mode] ドロップダウン リストで、次のオプションから選択します。
|
||||
ステップ 5 | [Apply] をクリックして変更を適用し、アクセス ポイントをリブートします。 | ||||
ステップ 6 |
[FlexConnect] タブを選択して、[All APs > Details for](FlexConnect)ページを開きます。 アクセス ポイントが FlexConnect グループに属する場合、グループの名前は [FlexConnect Name] テキスト ボックスに表示されます。 |
||||
ステップ 7 |
[VLAN Support]
チェックボックスをオンにし、[Native VLAN ID] テキスト ボックスにリモート ネットワーク上のネイティブ VLAN の番号(100 など)を入力します。
|
||||
ステップ 8 | [Apply] をクリックして、変更を確定します。 イーサネット ポートがリセットされる間、アクセス ポイントは一時的にコントローラへの接続を失います。 | ||||
ステップ 9 | 同じアクセス ポイントの名前をクリックしてから、[FlexConnect] タブをクリックします。 | ||||
ステップ 10 | [VLAN Mappings] をクリックして [All APs > アクセス ポイント名 > VLAN Mappings] ページを開きます。 | ||||
ステップ 11 | ローカル スイッチングが行われるときにクライアントの IP アドレス取得元となる VLAN の番号(この例では VLAN 101)を [VLAN ID] テキスト ボックスに入力します。 | ||||
ステップ 12 |
Web 認証 ACL を設定するには、次の手順を実行します。
|
||||
ステップ 13 |
ローカル スプリット ACL を設定するには、次の手順を実行します。
|
||||
ステップ 14 |
中央での DHCP 処理を設定するには、次の手順を実行します。
|
||||
ステップ 15 |
ローカルでスイッチされる WLAN を WebAuth ACL にマッピングするには、次の手順を実行します。
|
||||
ステップ 16 |
[WebPolicy ACL] ドロップダウン リストから FlexConnect ACL を選択し、[Add] をクリックして、FlexConnect ACL を Web ポリシーとして設定します。
|
||||
ステップ 17 | [Apply] をクリックして、変更を確定します。 | ||||
ステップ 18 |
[Save
Configuration] をクリックして、変更を保存します。
|
(注) |
スタンドアロン モードでは、Session Timeout RADIUS 属性のみがサポートされています。 その他のすべての属性や RADIUS アカウンティングはサポートされていません。 |
(注) |
FlexConnect アクセス ポイントに対して設定されている RADIUS サーバを削除するには、 config ap flexconnect radius auth delete { primary | secondary} Cisco_AP コマンドを入力します。 |
(注) |
アップグレードまたはダウングレード後、アクセス ポイントに VLAN マッピングを保存するには、アクセス ポイントの join を準備されたコントローラに制限する必要があります。 他の方法で使用可能であるはずの、異なる設定の他のコントローラは見つかりません。 同様に、アクセス ポイントが join する時点で、異なる VLAN マッピングが設定されているコントローラを通過する場合、アクセス ポイントでの VLAN マッピングが一致しない場合があります。 |
(注) |
AP に固有の FlexConnect ACL のプライオリティは、最も高くなります。 WLAN に固有の FlexConnect ACL のプライオリティは、最も低くなります。 |
(注) |
アクセス ポイントに固有の最大 16 の Web ポリシー ACL を設定できます。 |
FlexConnect アクセス ポイントで次のコマンドを使用して、ステータス情報を取得します。
FlexConnect アクセス ポイントで次のコマンドを使用して、デバッグ情報を取得します。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 | ||
ステップ 2 | WLAN の ID をクリックします。 [WLANs > Edit] ページが表示されます。 | ||
ステップ 3 | [Advanced] タブをクリックして、 ページを開きます。 | ||
ステップ 4 | [FlexConnect Local Switching] チェックボックスをオンにして、FlexConnect ローカル スイッチングを有効にします。 | ||
ステップ 5 |
[FlexConnect Local Auth]
チェックボックスをオンにして、FlexConnect ローカル認証を有効にします。
|
||
ステップ 6 | [Apply] をクリックして、変更を確定します。 |
開始する前に、アクセス ポイントについてローカル認証を有効にしたい WLAN で、有効なローカル スイッチングがある必要があります。 WLAN 上のローカル スイッチングを有効にする手順については、「FlexConnect に対するコントローラの設定(CLI)」の項を参照してください。
config wlan flexconnect ap-auth wlan_id {enable | disable}:WLAN 上でローカル認証を有効または無効にするようにアクセス ポイントを設定します。
注意 |
FlexConnect モードのアクセス ポイントを直接 Cisco 2500 シリーズ コントローラに接続しないでください。 |
show wlan wlan-id:WLAN の設定を表示します。 ローカル認証が有効になっている場合は、次の情報が表示されます。
. . . . . . Web Based Authentication...................... Disabled Web-Passthrough............................... Disabled Conditional Web Redirect...................... Disabled Splash-Page Web Redirect...................... Disabled Auto Anchor................................... Disabled FlexConnect Local Switching........................ Enabled FlexConnect Local Authentication................... Enabled FlexConnect Learn IP Address....................... Enabled Client MFP.................................... Optional Tkip MIC Countermeasure Hold-down Timer....... 60 Call Snooping.................................... Disabled Roamed Call Re-Anchor Policy..................... Disabled . . . . . .
「FlexConnect に対するコントローラの設定」の項で作成した WLAN にクライアント デバイスを接続するためのプロファイルを作成するには、次の手順に従ってください。
シナリオ例(FlexConnect に対するコントローラの設定を参照)では、クライアントに 3 つのプロファイルがあります。
クライアントのデータ トラフィックがローカルと中央のどちらでスイッチングされているかを調べるには、コントローラの GUI で を選択し、目的のクライアントの [Detail] リンクをクリックして、[AP Properties] の下の [Data Switching] パラメータを確認します。
アクセス コントロール リスト(ACL)は、特定のインターフェイスへのアクセスを制限するために使用される一連のルールです(たとえば、無線クライアントからコントローラの管理インターフェイスに ping が実行されるのを制限する場合などに使用されます)。 ACL を使用すると、ネットワーク トラフィックのアクセス制御を行えます。 コントローラで設定した ACL は、管理インターフェイス、AP マネージャ インターフェイス、任意の動的インターフェイス、または WLAN に適用できます。 ACL を使用すると、ワイヤレス クライアントで送受信されるデータ トラフィックやコントローラの中央処理装置(CPU)へのデータ トラフィックを制御できます。FlexConnect アクセス ポイント上で ACL を設定して、ローカルでスイッチされるアクセス ポイント上のデータ トラフィックの効率的な使用およびアクセス制御を実現できます。
ステップ 1 |
を選択して、[FlexConnect ACL] ページを開きます。 このページには、コントローラ上で設定したすべての FlexConnect ACL が一覧表示されます。 このページには、このコンとローラ上で作成した FlexConnect ACL が表示されます。 ACL を削除するには、青のドロップダウン矢印の上にカーソルを移動し、[Remove] を選択します。 |
ステップ 2 |
[New]
をクリックして、新しい ACL を追加します。 ページが表示されます。 |
ステップ 3 | [Access Control List Name] テキスト ボックスに、新しい ACL の名前を入力します。 最大 32 文字の英数字を入力できます。 |
ステップ 4 |
[Apply]
をクリックします。 [Access Control Lists] ページが再度表示されたら、新しい ACL の名前をクリックします。 |
ステップ 5 |
[Access Control Lists > Edit]
ページが表示されたら、[Add New Rule]
をクリックします。 ページが表示されます。 |
ステップ 6 |
この ACL のルールを次のように設定します。
|
ステップ 7 | [Save Configuration] をクリックして、変更を保存します。 |
お使いの FlexConnect アクセス ポイントをまとめて管理するために、FlexConnect グループを作成して、特定のアクセス ポイントをそれらのグループに割り当てることができます。
グループ内のすべての FlexConnect アクセス ポイントは、同じバックアップ RADIUS サーバ、CCKM、およびローカル認証の設定情報を共有します。 この機能は、リモート オフィス内や建物のフロア上に複数の FlexConnect アクセス ポイントがあり、それらすべてを一度に設定する場合に役立ちます。 たとえば、FlexConnect に対してバックアップ RADIUS サーバを 1 つ設定しておけば、個々のアクセス ポイント上で同じサーバを設定する必要はありません。
スタンドアロン モードの FlexConnect アクセス ポイントがバックアップ RADIUS サーバに対して完全な 802.1X 認証を実行できるように、コントローラを設定することができます。 プライマリ バックアップ RADIUS サーバを設定することも、プライマリとセカンダリの両方のバックアップ RADIUS サーバを設定することもできます。 FlexConnect アクセス ポイントが 2 つのモード、スタンドアロンまたは接続の場合に、これらのサーバを使用することができます。
FlexConnect グループは、FlexConnect アクセス ポイントと共に使用する CCKM 高速ローミングで必要となります。 CCKM 高速ローミングは、ワイヤレス クライアントを別のアクセス ポイントにローミングする際に簡単かつ安全にキー交換できるように、完全な EAP 認証が実行されたマスター キーの派生キーをキャッシュすることにより実現します。 この機能により、クライアントをあるアクセス ポイントから別のアクセス ポイントへローミングする際に、完全な RADIUS EAP 認証を実行する必要がなくなります。 FlexConnect アクセス ポイントでは、アソシエートする可能性のあるすべてのクライアントに対する CCKM キャッシュ情報を取得する必要があります。それにより、CCKM キャッシュ情報をコントローラに送り返さずに、すばやく処理できます。 たとえば、300 台のアクセス ポイントを持つコントローラと、アソシエートする可能性のある 100 台のクライアントがある場合、100 台すべてのクライアントに対して CCKM キャッシュを送信することは現実的ではありません。 少数のアクセス ポイントから成る FlexConnect を作成すれば(たとえば、同じリモート オフィス内の 4 つのアクセス ポイントのグループを作成)、クライアントはその 4 つのアクセス ポイント間でのみローミングします。CCKM キャッシュがその 4 つのアクセス ポイント間で配布されるのは、クライアントがアクセス ポイントの 1 つにアソシエートするときだけとなります。
(注) |
FlexConnect アクセス ポイントと FlexConnect 以外のアクセス ポイントとの間の CCKM 高速ローミングはサポートされていません。 |
7.0.116.0 リリースから、FlexConnect グループによって、Opportunistic Key Caching(OKC)はクライアントの高速ローミングを可能にします。 OKC は、同じ FlexConnect グループにあるアクセス ポイントの PMK キャッシングを使用して高速ローミングを容易にします。
この機能により、クライアントをあるアクセス ポイントから別のアクセス ポイントへローミングする際に、完全な認証を実行する必要がなくなります。 クライアントが 1 つの FlexConnect アクセス ポイントから別のアクセス ポイントにローミングするたびに、FlexConnect グループ アクセス ポイントはキャッシュされた PMK を使用して PMKID を計算します。
FlexConnect アクセス ポイントで PMK キャッシュ エントリを参照するには、 show capwap reap pmk コマンドを使用します。 この機能は、Cisco FlexConnect アクセス ポイントでサポートされています。
(注) |
WPA2/802.1x 認証中に PMK が生成される場合、FlexConnect アクセス ポイントは接続モードになっている必要があります。 |
OKC または CCKM に対して FlexConnect グループを使用する場合、PMK キャッシュは、同じ FlexConnect グループの一部で同じコントローラにアソシエートされているアクセス ポイント間でのみ共有されます。 アクセス ポイントが同じ FlexConnect グループにあっても、同じモビリティ グループの一部である別のコントローラにアソシエートされている場合、PMK キャッシュは更新されず、CCKM ローミングは失敗します。
スタンドアロン モードの FlexConnect アクセス ポイントが最大 100 人の静的に設定されたユーザに対して LEAP または EAP-FAST 認証を実行できるように、コントローラを設定できます。 コントローラは、各 FlexConnect アクセス ポイントがコントローラに join したときに、ユーザ名とパスワードの静的リストをその FlexConnect アクセス ポイントに送信します。 グループ内の各アクセス ポイントは、そのアクセス ポイントにアソシエートされたクライアントのみを認証します。
この機能が適しているのは、企業が自律アクセス ポイント ネットワークから Lightweight FlexConnect アクセス ポイント ネットワークに移行するときに、大きなユーザ データベースを保持したくない場合、または自律アクセス ポイントの持つ RADIUS サーバ機能の代わりとなる別のハードウェア デバイスを追加したくない場合です。
(注) |
この機能は、FlexConnect バックアップ RADIUS サーバ機能とともに使用できます。 FlexConnect がバックアップ RADIUS サーバとローカル認証の両方で設定されている場合、FlexConnect アクセス ポイントは、まずプライマリ バックアップ RADIUS サーバの認証を試行します。その後、セカンダリ バックアップ RADIUS サーバを試行し(プライマリに接続できない場合)、最後に FlexConnect アクセス ポイント自身の認証を試行します(プライマリとセカンダリの両方に接続できない場合)。 |
FlexConnect グループの数およびアクセス ポイントのサポートは、使用しているプラットフォームによって異なります。 次の設定を行えます。
ステップ 1 |
を選択して、[FlexConnect Groups] ページを開きます。 このページでは、これまでに作成されたすべての FlexConnect グループが表示されます。
|
||||
ステップ 2 | [New] をクリックして、新しい FlexConnect グループを作成します。 | ||||
ステップ 3 | テキスト ボックスに新しいグループの名前を入力します。 最大 32 文字の英数字を入力できます。 ページで、[Group Name] | ||||
ステップ 4 | [Apply] をクリックします。 新しいグループが [FlexConnect Groups] ページに表示されます。 | ||||
ステップ 5 | グループのプロパティを編集するには、目的のグループの名前をクリックします。 ページが表示されます。 | ||||
ステップ 6 | プライマリ RADIUS サーバをこのグループに対して設定する場合(たとえば、アクセス ポイントが 802.1X 認証を使用する場合)は、[Primary RADIUS Server] ドロップダウン リストから目的のサーバを選択します。 それ以外の場合は、そのテキスト ボックスの設定をデフォルト値の [None] のままにします。 | ||||
ステップ 7 | セカンダリ RADIUS サーバをこのグループに対して設定する場合は、[Secondary RADIUS Server] ドロップダウン リストからサーバを選択します。 それ以外の場合は、そのフィールドの設定をデフォルト値の [None] のままにします。 | ||||
ステップ 8 | アクセス ポイントをグループに追加するには、[Add AP] をクリックします。 追加のフィールドが、ページの [Add AP] の下に表示されます。 | ||||
ステップ 9 |
次のいずれかの作業を実行します。
|
||||
ステップ 10 |
[Add]
をクリックして、アクセス ポイントをこの FlexConnect グループに追加します。 アクセス ポイントの MAC アドレス、名前、およびステータスがページ下部に表示されます。
|
||||
ステップ 11 | [Apply] をクリックして、変更を確定します。 | ||||
ステップ 12 | この FlexConnect グループにアクセス ポイントをさらに追加するには、ステップ 9 ~ステップ 11 を繰り返します。 | ||||
ステップ 13 |
次のように、FlexConnect グループのローカル認証を有効にします。
|
||||
ステップ 14 |
[WLAN-ACL mapping] タブでは、次のことを実行できます。
|
||||
ステップ 15 |
[Central DHCP] タブでは、次のことを実行できます。
|
||||
ステップ 16 | [Save Configuration] をクリックします。 | ||||
ステップ 17 |
さらに FlexConnect を追加する場合は、この手順を繰り返します。
|
ステップ 1 | 次のコマンドを入力して、FlexConnect グループを追加または削除します。 |
ステップ 2 |
次のコマンドを入力して、FlexConnect グループのプライマリ RADIUS サーバまたはセカンダリ RADIUS サーバを設定します。 config flexconnect group_name radius server { add | delete} { primary | secondary} server_index |
ステップ 3 | 次のコマンドを入力して、FlexConnect グループにアクセス ポイントを追加します。 |
ステップ 4 |
次のように、FlexConnect のローカル認証を設定します。
|
ステップ 5 |
WLAN ごとに中央 DHCP を設定するには、次のコマンドを入力します。 config flexconnect group group-name central-dhcp wlan-id {enable override dns | disable | delete} |
ステップ 6 | 次のコマンドを入力して、変更を保存します。 save config |
ステップ 7 |
次のコマンドを入力して、FlexConnect グループの最新のリストを表示します。
flexconnect Summary: Count 2 Group Name # Aps Group 1 1 Group 2 1 |
ステップ 8 |
次のコマンドを入力して、特定の FlexConnect グループの詳細を表示します。 show flexconnect group detail group_name Number of Ap's in Group: 3 00:1d:45:12:f2:24 AP1240.EW3.f224 Joined 00:1d:45:12:f7:12 AP1240.10.f712 Joined 00:1d:a1:ed:9f:84 AP1131.23.9f84 Joined Group Radius Servers Settings: Primary Server Index............................ Disabled Secondary Server Index.......................... Disabled Group Radius AP Settings: AP RADIUS server............ Enabled EAP-FAST Auth............... Enabled LEAP Auth................... Enabled Server Key Auto Generated... No Server Key.................. <hidden> Authority ID................ 436973636f0000000000000000000000 Authority Info.............. Cisco A_ID PAC Timeout................. 0 Number of User's in Group: 20 1cisco 2cisco 3cisco 4cisco cisco test1 test10 test11 test12 test13 test14 test15 test2 test3 test4 test5 test6 test7 |
ステップ 1 |
を選択します。 [FlexConnect Groups] ページが表示されます。 このページに、コントローラにアソシエータされているアクセス ポイントが一覧表示されます。 |
ステップ 2 | VLAN-ACL マッピングを設定する FlexConnect グループの [Group Name] リンクをクリックします。 |
ステップ 3 | [VLAN-ACL Mapping] タブをクリックします。 |
ステップ 4 | [VLAN ID] テキスト ボックスにネイティブ VLAN ID を入力します。 |
ステップ 5 | [Ingress ACL] ドロップダウン リストから、入力 ACL を選択します。 |
ステップ 6 | [Egress ACL] ドロップダウン リストから、出力 ACL を選択します。 |
ステップ 7 |
[Add] をクリックして、FlexConnect グループにこのマッピングを追加します。 VLAN ID は、必要な ACL とともにマッピングされます。 マッピングを削除するには、青のドロップダウン矢印の上にカーソルを移動し、[Remove] を選択します。 |
WLAN の Allow AAA Override オプションを使用すると、WLAN で認証を設定できます。 これにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、QoS、および ACL を適用できます。
FlexConnect アクセス ポイントに対する AAA Override は、ローカルにスイッチされたクライアントへダイナミック VLAN の割り当てを提供します。 FlexConnect に対する AAA Override は、オーバーライドされたクライアントの高速ローミング(OKC/CCKM)もサポートしています。
ステップ 1 |
を選択します。 [All APs] が表示されます。 このページに、コントローラにアソシエータされているアクセス ポイントが一覧表示されます。 |
ステップ 2 | VLAN Override を設定するアクセス ポイントの [AP name] リンクをクリックします。 |
ステップ 3 | [FlexConnect] タブをクリックします。 |
ステップ 4 | ネイティブ VLAN ID を入力します。 |
ステップ 5 |
[VLAN Mappings] ボタンをクリックして、[AP VLANs] マッピングを設定します。 このページには、次のパラメータが表示されます。
|
ステップ 6 | [Apply] をクリックします。 |
FlexConnect アクセス ポイントの VLAN Override を設定するには、次のコマンドを使用します。
config ap flexconnect vlan add vlan-id acl ingress-acl egress-acl ap_name
通常、AP のイメージをアップグレードする際に、プリイメージ ダウンロード機能を使用して、AP がクライアントに対応できない時間を短縮することができます。 一方、アクセス ポイントはアップグレード中、クライアントに対応できないため、ダウンしている時間も増加します。 プリイメージ ダウンロード機能は、このダウンしている時間を短縮するために使用することができます。 ただし、ブランチ オフィス セットアップの場合、アップグレード イメージは引き続き WAN リンクを介して、各アクセス ポイントにダウンロードされるので、より大きな遅延が発生します。
より効率的な方法は、FlexConnect AP のアップグレード機能を使用することです。 この機能が有効になっている場合、まずローカル ネットワーク内の各モデルの 1 つのアクセス ポイントは、WAN リンクを介してアップグレード イメージをダウンロードします。 これはマスター/スレーブ モデルやクライアント/サーバ モデルと同じように動作します。 このアクセス ポイントは、次に類似したモデルの残りのアクセス ポイントのマスターになります。 残りのアクセス ポイントは、次にアップグレード イメージをマスター アクセス ポイントから、ローカル ネットワークを介してプリイメージ ダウンロード機能を使用してダウンロードします。これにより、WAN の遅延時間が短縮されます。
ステップ 1 |
を選択します。 [FlexConnect Groups] ページが表示されます。 このページに、コントローラで設定された FlexConnect グループが一覧表示されます。 |
ステップ 2 | イメージ アップグレードを設定する [Group Name] リンクをクリックします。 |
ステップ 3 | [Image Upgrade] タブをクリックします。 |
ステップ 4 | [FlexConnect AP Upgrade] チェックボックスをオンにして、FlexConnect AP のアップグレードを有効にします。 |
ステップ 5 | 前の手順で FlexConnect AP のアップグレードを有効にした場合、次のパラメータを有効にする必要があります。 |
ステップ 6 |
[AP Name]
ドロップダウン リストから、[Add Master]
をクリックしてマスター アクセス ポイントを追加します。 アクセス ポイントを選択して、FlexConnect グループのマスター アクセス ポイントを手動で割り当てることができます。 |
ステップ 7 | [Apply] をクリックします。 |