ワイヤレス : Cisco 5500 シリーズ ワイヤレス コントローラ

H-REAP の設計および導入ガイド

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2010 年 4 月 5 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

ハイブリッド リモート エッジ アクセス ポイント(H REAP)はブランチ オフィスおよびリモートオフィス配備のためのワイヤレスソリューションです。 H-REAP によって、ブランチ オフィスやリモート オフィスにある Access Point(AP; アクセス ポイント)を、各オフィスにコントローラを導入することなく、本部から Wide Area Network(WAN; ワイドエリア ネットワーク)リンク経由で設定して制御できます。 H REAP アクセス ポイントはコントローラへの接続が失われるときクライアント データ トラフィックをローカルで切り替え、クライアント認証をローカルで行うことができます。 コントローラに接続されたとき、H REAPs コントローラに戻ってトンネルトラフィックまたできます。

前提条件

要件

Hybrid REAP は 1040、1130、1140、1240、1250、3500、1260、AP801 だけ、AP802 アクセス ポイントと Cisco WiSM で、Cisco 5500、4400、2100、2500、および屈曲 7500 シリーズ コントローラ、Catalyst 3750G 統合ワイヤレス LAN コントローラ スイッチ、統合サービス ルータのためのコントローラ ネットワークモジュール サポートされます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Unified コントローラ バージョン 7.0

  • アクセス ポイント(CAPWAP)プロトコルのコントロールおよびプロビジョニングは 1040 を、1130、1140、1240,1250、1260、AP801、AP802 および 3500 シリーズ LAPs 基づかせていました

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

バックグラウンド CAPWAP オペレーション

Cisco の統一された無線ネットワーク アーキテクチャが基づいている CAPWAP はワイヤレスアクセスポイント オペレーションの 2 つの異なるプライマリ モードを規定 します:

  • スプリット MAC:スプリット MAC モードでは、アクセス ポイントとコントローラの間で 802.11 仕様の主要な機能が共有されます。 この設定では、コントローラ側で 802.11 認証やアソシエーションなどのさまざまな処理が実行されるだけでなく、コントローラがすべてのユーザ トラフィックに対する唯一の入出力ポイントとして機能します。 分割 MAC アクセス ポイント トンネル CAPWAP データ トンネルによるコントローラへのすべてのクライアント トラフィック(CAPWAP 制御はまた同じパスに。従います)。

  • ローカル MAC:ローカル MAC では、すべての 802.11 機能がアクセス ポイント側で実装されるため、アクセス ポイントの有線ポートですべてのクライアント トラフィックを終端することにより、データ プレーンをコントロール パスから分離できます。 これはアクセス ポイントにローカル リソースに直接ワイヤレスアクセスをだけでなく、可能にしますが CAPWAP 制御パス(AP とコントローラ間のリンク)がダウンするようにすることによってリンク 復元力をワイヤレスサービスが持続する間、兼ね備えます。 この機能は、必要なアクセス ポイントの数が少なく、ローカルでコントローラを設置するとコスト効率が悪くなるような、WAN リンク経由の比較的小規模なリモート オフィスやブランチ オフィスでは特に役に立ちます。

注: コントローラ リリース 5.2 の前に、Cisco の統一されたワイヤレス アーキテクチャは LWAPP プロトコルに基づいていました。

ハイブリッド リモートエッジ アクセス ポイント

ハイブリッド リモート エッジ アクセス ポイント、か H REAP は、1040、1130、1140、1240、1250、3500、1260、AP801 によって、AP802 アクセス ポイントおよび Cisco WiSM で、Cisco 5500 サポートされる、機能 4400、2100、2500、および屈曲 7500 シリーズ コントローラ、Catalyst 3750G 統合ワイヤレス LAN コントローラ スイッチ、統合サービス ルータのためのコントローラ ネットワークモジュールです。 H REAP 機能は Cisco Unified 無線ネットワーク コントローラ リリースバージョン 4.0 またはそれ以降でだけサポートされます、このソフトウェアの選択可能 機能は両方のマージ最大配置柔軟性のための分割およびローカルMAC CAPWAP オペレーションをのために可能にします。 H REAPs のクライアント トラフィックはアクセス ポイントでローカルで切り替えられるか、または各 WLAN 設定によって決まるコントローラに戻ってトンネル伝送することができます。 更に、H REAP のローカルでスイッチド クライアント トラフィックは配線された側分離を提供するためにタグ付けされる 802.1Q である場合もあります。 WAN がダウンしている場合でも、ローカルでスイッチされ、ローカルで認証される WLAN 上のサービスは継続します。

これはよくある H REAP 実装のダイアグラムです:

/image/gif/paws/71250/One.gif

このダイアグラムが示すと同時に、H REAP は遠隔およびブランチ オフィス配備のために特別に設計され、意図されています。

このドキュメント アウトライン H REAP 動作理論、コントローラおよびアクセスポイント設定およびネットワーク設計上の考慮事項。

H REAP 動作理論

H REAP 鍵概念

H REAP 機能性が両方のローカルおよび中央切り替えに備えるために動作する、また WAN リンクがサバイバビリティあります少数の異なるモード。 これら 2 つのモード セットを組み合わせることで、さまざまな機能が提供されますが、組み合わせ方によって制約事項も異なります。

モード セットには次の 2 つがあります。

  • 集中スイッチングとローカル スイッチング

    H の WLAN (SSID に結ばれるセキュリティ、QoS および他のコンフィギュレーションパラメータのスイート)はコントローラに戻って REAPs すべてのデータトラフィックを必要とするために問い合わせられるトンネル伝送されます(中央切り替えと)設定 されるかもしれません H REAP 配線されたインターフェイスですべてのクライアント データを設定されるかもしれません(ローカル スイッチングとして知られている)ローカルで廃棄するためにまたは WLAN は。 ローカルでスイッチされる WLAN では、必要に応じて 802.1Q タグを割り当てることにより、アクセス ポイントのイーサネット ポートの有線ネットワーク上で各 WLAN をセグメント化することもできます。

  • 接続モードとスタンドアロン モード

    Hybrid REAP はコントローラに戻る CAPWAP コントロール プレーンがアップし、正常に動作しているとき WAN リンクがダウンしていないことを意味する接続されたモードにあると言われます。 独立方式は H REAP が入力するオペレーショナル ステートとしてコントローラに戻るもはや接続がないとき規定 されます。

注: 処理するすべての H REAP セキュリティ 認証はコントローラで(バックエンド RADIUS認証および一対にマスタ鍵[PMK]派生のような)アクセス ポイントが CONNECTED 状態にある間、起こります。 すべての 802.11 認証 および アソシエーション処理は H REAP で、モードがアクセス ポイントある関係起こりません。 接続されたモードで、H REAP プロキシ コントローラへのこれらのアソシエーション/認証。 スタンドアロン モードの場合、アクセス ポイントはこれらのイベントをコントローラに通知できません。

H REAP 機能性は動作モードによって(各 WLAN が両方データ・スイッチ(中央かローカル)およびワイヤレスセキュリティのためにどのように設定されるか、H REAP が接続されるか、または独立方式にあるかどうか)変わります。

クライアントが H REAP にアクセス ポイントをつなぐとき、アクセス ポイントはコントローラにすべての認証メッセージを転送し、認証の成功に、データパケットはそれからローカルで交換されるか、またはコントローラに戻って接続される WLAN の設定に従って、トンネル伝送されます。 クライアント認証 メカニズムおよびデータ 切り替えオペレーションに関して、H REAP の WLAN は WLAN 設定によって次の状態のどれでもにおよびアクセス ポイント/コントローラ 接続の状態ある場合もあります:

  • 中央認証、中央スイッチング:この状態では、WLAN に対して、アクセス ポイントがすべてのクライアント認証要求をコントローラに転送し、すべてのクライアント データもコントローラにトンネリングして戻します。 この状態はアクセス ポイントの CAPWAP 制御パスが稼働しているときだけ有効です。 これは H REAP が接続されたモードにあることを意味します。 WAN がダウンした場合は、認証方式に関係なく、コントローラにトンネリングして戻されるすべての WLAN が失われます。

  • 中央認証、ローカル スイッチング—この状態では、ある特定の WLAN のために、コントローラはすべてのクライアント認証および H REAP アクセス ポイント スイッチ データパケットをローカルに処理します。 クライアントが認証に成功した後、コントローラは切り替えるようにアクセス ポイントに指示する H REAP に CAPWAP 制御指令をことある特定のクライアントのデータパケット ローカルで送ります。 このメッセージは、認証が成功するたびにそのクライアントに送信されます。 この状態は接続モードの場合にのみ適用されます。

  • ローカル認証、ローカル スイッチング—この状態では、H REAP アクセス ポイントはクライアント認証を処理し、クライアント データ パケットをローカルで交換します。 この状態は、スタンドアロン モードの場合にのみ有効であり、アクセス ポイントにおいてローカルで処理できる認証タイプに対してのみ使用できます。 ハイブリッド REAP アクセス ポイントが入るとき独立方式、開いたのために、共有されて設定される WLAN、WPA-PSK、または WPA2-PSK 認証はローカル認証を、ローカル スイッチング状態入力し、新しいクライアント認証を続けます。

    注: すべてのレイヤ 2 無線データの暗号化は、常にアクセス ポイントで処理されます。 AP が接続状態の間は、すべてのクライアント認証処理がコントローラ側(または、WLAN とコントローラの設定によっては、コントローラのアップストリーム)で行われます。

  • 認証、ローカル スイッチング—この状態では、ある特定の WLAN のために、H REAP は認証することを試みるがビーコンを送信 し、既存のクライアントをきちんと接続しておくために応答を厳密に調べ続けます新しいクライアントを拒否します。 この状態は、スタンドアロン モードの場合にのみ有効です。

    ローカルでスイッチされる WLAN の認証タイプが、コントローラ(またはその上流)での処理を必要とするタイプ(EAP 認証(ダイナミック WEP/WPA/WPA2/802.11i)、WebAuth、NAC など)に設定されている場合、WAN に障害が発生すると、WLAN は認証停止、ローカル スイッチング状態になります。 それ以前の状態は、中央認証、ローカル スイッチング状態です。 既存のワイヤレス クライアントの接続は維持され、ローカルの有線リソースへのアクセスは維持されますが、新たなアソシエーションは拒否されます。 WebAuth を使用しているときにユーザの Web セッションがタイムアウトになった場合、または 802.1X を使用しているときにユーザの EAP キーの有効期間が過ぎてキーの再発行が必要な場合、既存のクライアントは接続を失い、接続を拒否されます(この期間は RADIUS サーバごとに異なるため、標準はありません)。 また、イベントをローミングする 802.11 は(H 間で収獲します)完全な 802.1X 再認証をこうして、表します既存のクライアントがもはや接続を与えられないポイントを引き起こし。

    従ってそのような WLAN のクライアント数がゼロに匹敵するとき、H REAP はすべての関連する 802.11 機能を終え、ある特定の SSID のためにもはや標識を設置しま、次の H REAP 状態に WLAN を変わります: 認証停止、スイッチング停止という次の H-REAP 状態に移行します。

    注: コントローラ ソフトウェア リリース 4.2 または それ 以降では、802.1X、WPA 802.1X、WPA2 802.1X、または CCKM のために設定される WLAN はまた独立方式で、はたらくことができます。 しかし、これらの認証タイプでは、外部 RADIUS サーバが設定されている必要があります。 詳細については、後のセクションで説明します。 しかし、コントローラ ソフトウェア リリース 5.1、H REAP は RADIUSサーバで自体から設定することができます。

  • 認証は、この状態で down —切り替えて、ある特定の H REAP の WLAN 既存のクライアントを引き離し、ビーコンおよびプローブ応答を送信 することを止めます。 この状態は、スタンドアロン モードの場合にのみ有効です。

    H REAP アクセス ポイントは独立方式を開始するとき、中央にスイッチド WLAN にあるすべてのクライアントを引き離します。 Web 認証 WLAN に関しては、既存のクライアントは引き離されませんが、関連するクライアントの数がゼロに達するとき H REAP アクセス ポイントはもはやビーコンを送信 しません(0)。 また、Web 認証 WLAN に関連付けられた新しいクライアントに関連付け解除メッセージを送信します。 ネットワーク アクセス制御(NAC)や Web 認証(ゲスト アクセス)などのコントローラに依存するアクティビティはディセーブルになり、アクセス ポイントは侵入検知システム(IDS)レポートをコントローラに送信しません。

    注: コントローラが NAC 用に設定されている場合、クライアントは、アクセス ポイントが接続モードになっているときにのみ関連付けることができます。 NAC がイネーブルになっていると、WLAN がローカル スイッチング用に設定されている場合であっても、健全ではない(隔離された)VLAN に割り当てられたクライアントのデータ トラフィックがコントローラを通過するように、健全ではない(隔離された)VLAN を作成する必要があります。 クライアントが隔離された VLAN に割り当てられた後、そのデータ パケットはすべて中央でスイッチされます。

    Hybrid-REAP アクセス ポイントは、スタンドアロン モードになった後であってもクライアント接続を維持します。 ただし、アクセス ポイントは、コントローラと接続を再確立してしまうと、すべてのクライアントの関係付けを解除し、コントローラから新しい設定情報を適用してから、クライアント接続を再度許可します。

H REAP 設計および機能制限

H REAP WAN 考慮事項

H REAP が WAN リンクを渡って動作するように特別に設計されていたのでそのようなインストールのために最適化されました。 H REAP がこれらのリモート ネットワークの設計シナリオに関しては適用範囲が広いけれども、今でも必要がある少数のガイドラインがあります H REAP 機能性とネットワークを設計するとき名誉を与えられる。

  • H REAP アクセス ポイントは静的IP アドレスか DHCPアドレスと配置することができます。 DHCP の場合、DHCP サーバがローカルで利用可能であり、ブートアップ時にアクセス ポイントに IP アドレスを提供する必要があります。

  • 4 つのフラグメント化されたパケットまたは最小値 500-byte 最大伝送ユニット (MTU) WAN リンクまでの H REAP サポート。

  • 往復遅延はデータのための 300 ミリ秒(ms)および音声のための 100 ms およびアクセス ポイントとコントローラ間のデータを超過しては CAPWAP 制御パケットは他のすべてのトラフィックに優先順位をつける必要があります。

  • コントローラは、マルチキャスト パケットを、ユニキャスト パケットまたはマルチキャスト パケットの形式でアクセス ポイントに送信できます。 H REAP モードでは、アクセス ポイントはユニキャスト形式のだけマルチキャスト パケットを受信できます。

  • CCKM ファースト ローミングを H REAP アクセス ポイントによって使用するために、H REAP グループを設定する必要があります。

  • H REAP アクセス ポイントは複数の SSID をサポートします。

  • NAC アウトオブバンド統合は H REAP 中央切り替えのために設定される WLAN でだけサポートされます。 それは H REAP ローカル スイッチングのために設定される WLAN の使用のためにサポートされません。

注: アップグレード中に、それぞれの AP は WAN リンクにわたって 4 MB のコードを取得する必要があります。 それに伴い、Windows のアップグレードと変更も計画してください。

アクセス ポイントとコントローラの間で、CAPWAP (利用可能 な高優先順位キューへの 5246) UDP ポートを上げるために優先順位が中間インフラストラクチャで設定されることがこの示されたレイテンシー 制限のためのサポートがきちんと整っていることを確認するために、強く推奨されます。 他のネットワークトラフィックに CAPWAP 制御に、スパイクにより置かれる優先順位なしでアクセス ポイント/コントローラ メッセージ(およびキープ アライブはことを)渡されることを WAN リンク輻輳が防ぐと同時に恐らく H REAP アクセス ポイントは頻繁にから独立方式に接続される移ります場合があります。 それは WAN リンク上の H REAP AP を展開することを計画するネットワーク設計者に強く推奨されていますアプリケーションをすべてテストするために。

頻繁な H REAP フラップは深刻な接続上の問題を引き起こしています。 適切なネットワーク プライオリティ設定がきちんとしていないと、一貫した、安定 した ワイヤレスアクセスを確認するためにリモートサイトにコントローラを置くことは慎重を要します。

注: H REAP はコントローラに戻ってクライアント トラフィックをトンネル伝送するために設定されるかどうかコントローラに戻ってすべての 802.11 クライアント プローブおよび認証/Association 要求、RRM 隣接メッセージおよび EAP および Web 認証要求を転送するのに、CAPWAP データパスが使用されています。 そのように、ように CAPWAP データして下さい(UDP ポートはアクセス ポイントとコントローラの間で 5247)どこでもブロックされません。

Hybrid REAP グループ

よりよく H REAP アクセス ポイントを編成し、管理するために、H REAP グループを作成し、それらへの特定のアクセス ポイントを割り当てることができます。 グループ 共有の H REAP アクセス ポイントすべて同じ CCKM、WLAN および RADIUSサーバ設定 情報。 この機能はリモートオフィスでまたはビルディングおよびあなたのフロアで複数の H REAP アクセス ポイントをそれらを突然設定したいと思ってもらう場合有用です。 たとえば、できます各アクセス ポイントの同じサーバを設定しなければなりませんよりもむしろ H REAP グループのためのバックアップ RADIUSサーバを設定。

/image/gif/paws/71250/HREAP-Table.gif

コントローラ ソフトウェア リリース 5.0.148.0 およびそれ以降は 2 つの新しい H REAP グループ 機能があります:

  • バックアップ RADIUSサーバ—コントローラを独立方式の H REAP アクセス ポイントがバックアップ RADIUSサーバに完全な 802.1X 認証を行うように設定できます。 プライマリ RADIUS サーバを 1 台設定することも、プライマリとセカンダリの両方の RADIUS サーバを設定することもできます。

  • ローカル認証—コントローラを独立方式の H REAP アクセス ポイントが 20 人の静的に設定されたユーザまで LEAP または EAP ファースト認証を行うように設定できます。 前のコントローラ ソフトウェア リリース 5.0 によって、これは 100 人の静的に設定されたユーザに増加しました。 コントローラは各 H REAP アクセス ポイントにコントローラに加入するときユーザ名 および パスワードのスタティックリストを送ります。 グループ内の各アクセス ポイントは、そのアクセス ポイントにアソシエートされたクライアントのみを認証します。 この機能は自律アクセス ポイント ネットワークから CAPWAP H REAP アクセス ポイント ネットワークに移行し、大きいユーザデータベースを維持することを自律アクセス ポイントで利用可能 な RADIUSサーバ 機能性を取り替えるために別のハードウェア デバイスを追加する必要はない顧客向けに理想的です。

コントローラ ソフトウェア リリース 7.0.116.0 およびそれ以降はこれらの新しい H REAP グループ 機能があります:

  • ローカル認証—この機能は現在 H REAP アクセス ポイントが接続されたモードにある時でさえサポートされます。

  • CCKM/OKC ファースト ローミングが H REAP アクセス ポイントを使用することができるように OKC ファースト roaming — H REAP グループが必要となります。 高速ローミングは、無線クライアントを別のアクセス ポイントにローミングする際に簡単かつ安全にキー交換できるように、完全な EAP 認証が実行されたマスター キーの派生キーをキャッシュすることにより実現します。 この機能により、クライアントをあるアクセス ポイントから別のアクセス ポイントへローミングする際に、完全な RADIUS EAP 認証を実行する必要がなくなります。 H REAP アクセス ポイントは関連付けるかもしれない従ってコントローラに戻ってそれを送信 するかわりにそれをすぐに処理できますすべてのクライアントのための CCKM/OKC キャッシュ情報を得る必要があります。 たとえば、300 個のアクセス ポイントを持つコントローラと、アソシエートする可能性のある 100 台のクライアントがある場合、100 台すべてのクライアントに対して CCKM/OKC キャッシュを送信することは現実的ではありません。 アクセス ポイントで限られた数を構成する H REAP グループを(たとえば、リモートオフィスの 4 つのアクセス ポイントのためのグループを作成します)作成すれば、クライアントはそれらの 4 つのアクセス ポイント間でだけローミングし、クライアントがそれらの 1 つに関連付けるときだけ CCKM/OKC キャッシュはそれらの 4 つのアクセス ポイント間で配られます。 この機能は、バックアップ Radius およびローカル認証(ローカル EAP)と共に、分岐サイトのための操作上ダウンタイムを確認しません。

注: H REAP および非H REAP アクセス ポイント間の CCKM ファースト ローミングはサポートされません。

Ciscoワイヤレス LAN コントローラ設定 ガイド設定 Hybrid REAP グループ セクションをH REAP グループを設定する方法に関する詳細についてはリリース 7.0 参照して下さい。

トランキングの有無

H REAP アクセス ポイントは 802.1q トランク リンクかタグが付いていないアクセスリンクにつながれるかもしれません。 トランクリンクに接続されたとき、H REAP アクセス ポイントはネイティブ VLAN によってコントローラに CAPWAP 制御およびデータトラフィックを送り返します。 ローカルでスイッチされる WLAN では、利用可能な任意の VLAN(ネイティブ、またはそれ以外)上にトラフィックをドロップできます。 セットがアクセスリンクを接続される単一、タグが付いていないサブネットに操作するために(802.1Q 表示無しで)、H すべての CAPWAP メッセージおよびローカルでスイッチド ユーザのデータを順方向に収獲する時。

H REAPs におけるスイッチポートモードの選択のための一般指標は次の通りです:

  • ローカル スイッチングを行うように設定されている WLAN が複数あり、これらの SSID 上のトラフィックを異なるサブネットにドロップする必要がある場合は、トランク リンクを使用します。 その場合は、アクセス ポイントとアップストリーム スイッチポートの両方で 802.1Q トランキングを行うように設定する必要があります。 H の設定は 802.1q トランキングのためにで、もっとも一般的な 設定提供しますほとんどの柔軟性を収獲します。 ネイティブ VLAN はまた H REAP が AP 接続されると WLC 間のすべての CAPWAP 通信としてにネイティブ VLAN にあるスイッチポートで設定される必要があります。

  • H は持たなかったり配線側分離を必要としない単一 ローカルでスイッチド WLAN より多くをまたは倍数ローカルでスイッチド WLAN がないために収獲するときアクセスリンクを使用して下さい。 CAPWAP メッセージングとユーザのデータ間の分離が望まれる場合トランクリンクがまだこのような状況の下で好ましい場合もあることに注意して下さい。 しかし、これはコンフィギュレーション必要条件、セキュリティリスクです。

注: H REAP アクセス ポイントはタグが付いていない操作するためにアクセスリンク インターフェイス ディフォルトします。

H REAP コントローラ ディスカバリ

H REAP は Cisco の統一された無線ネットワーク アーキテクチャのアクセス ポイントに特性各コントローラ ディスカバリ メカニズムをサポートします。 アクセス ポイントは(DHCP によってダイナミックに、またはスタティック アドレス設定によって)IP アドレスを割り当てられると、IP ブロードキャスト、DHCP オプション 43、DNS、および Over-The-Air Provisioning(OTAP)を使用して、システム内のコントローラの検出を試みます。 最終的には、H REAPs 以前に接続されたコントローラの IP アドレスを覚えています。 LAP を WLC に登録する方法については、『Lightweight アクセス ポイント(LAP)の無線 LAN コントローラ(WLC)への登録』を参照してください。

コントローラ ディスカバリに関して留意するべき少数の警告があります。 これらの考慮事項はすべての Aironetアクセスポイントに適用し、ちょうど H は収獲します。

  • アクセス ポイントが DHCP によって IP アドレッシングを受け取る場合 DHCP オプション 43 は H REAP のためのただの実行可能なディスカバリ メカニズムです。

  • OTAP は、すでに Aironet アクセス ポイントがコントローラに接続されていて、コードがダウンロードされている場合にのみ動作します。 出荷直後の状態では、無線ファームウェアが付属していないため OTAP は動作しません。 また、OTAP を使用するには、OTAP が有効になっているコントローラを近隣の他のアクセス ポイントが発見して、それに接続している必要もあります。 この機能は WLC 6.0 リリースから前に廃止です。

  • H REAP 機能性がサポートされるアクセス ポイントは LWAPP CAPWAP レイヤ2 モードをサポートしません。 コントローラはレイヤ3 LWAPP CAPWAP によって操作するために設定 する必要があります。

  • アクセス ポイント/コントローラ ディスカバリに関する詳細については Cisco 440X シリーズ無線 LAN コントローラの展開を参照して下さい。 オペレーション

これらの従来のコントローラ ディスカバリ メカニズムを越えて、ソフトウェアリリース 4.0 およびそれ以降はコンソールポートが付いている Aironetアクセスポイントが現在コンソール CLI によって手動プロビジョニングをサポートするようにします。 これにより、アクセス ポイントでは、スタティック IP アドレス設定、ホスト名割り当て、およびアクセス ポイントの接続先コントローラの IP アドレスを手動で設定できるようになりました。 これは他のディスカバリ メカニズムが利用できないサイトで、アクセス ポイントはコンソールポートを通してすべての必要な接続性の設定で手動で設定することができることを意味します。

この機能がコンソールポートが付いている各 Aironetアクセスポイントでサポートされるが、H REAP のために設定されるちょうどそれらはこの機能性彼ら自身を DHCP サーバおよびコントローラ ディスカバリ メカニズムが装備されていないにインストールされて見つける可能性が高いブランチ オフィスのようなサイトので H に特に役立ちます収獲します。 そのように、この新しいコンソールアクセスは H を出荷する必要を二度収獲します取り除きます: 1 回目にプロビジョニングのために中央サイトに出荷し、2 回目にインストールのためにリモート サイトに出荷するという、H-REAP を 2 回出荷する手間がなくなります。

H REAP サポートされる機能

H REAP アクセス ポイントがコントローラからリンクする、そこにだけでなく、ある H の無線ネットワークを設計した場合収獲したり、しかしまたであるそこにまたはサポートされていない内部一部完全にあるいくつかの機能留意される必要がある設計上の考慮事項 WAN を渡って置かれるように設計されているので。

各位置のための H REAP アクセス ポイントの数に配備制約事項がありません。

H REAP 機能マトリックス

H REAP でサポートされる機能に関する詳細については H REAP 機能マトリックスを参照して下さい。

サポートされるセキュリティ機能

以前に述べられるモードおよび状態によって決まる H REAP のセキュリティ サポートは変わります。 VPN などのデータ パスに対する制御を必要とするセキュリティ タイプは、コントローラがアクセス ポイントからトンネリングされて戻ってこないデータは制御できないため、ローカルでスイッチされる WLAN 上のトラフィックに対しては機能しません。 H REAP とコントローラ間のパスが稼働していれば、中央にの他のセキュリティ型作業またはローカルでスイッチド WLAN。 このコンジットがダウンした場合は、これらのセキュリティ オプションの一部のみが機能し、新しいクライアントはローカルでスイッチされる WLAN にだけ接続できます。

802.1X EAP 認証をサポートするために以前に、述べられるように独立方式の H REAP アクセス ポイントはクライアントを認証する自身の RADIUSサーバを備える必要があります。 このバックアップ RADIUS サーバは、コントローラが使用するものにできます。 GUI か CLI によってユーザー H REAP アクセス ポイントまたは H REAP グループのためのコントローラ CLI を通してバックアップ RADIUSサーバを設定できます。 個々のアクセスポイントのために設定されるバックアップサーバは H REAP グループのための RADIUSサーバ設定を無効にします。

WLC バージョン 4.2.61.0 以降は、Cisco Centralized Key Management(CCKM)によって高速セキュア ローミングをサポートしています。 H REAP モードは CCKM のレイヤ2 高速セキュアローミングをサポートします。 この機能によって、クライアントが 1 つのアクセス ポイントからもう 1 つのアクセス ポイントにローミングするので、完全な RADIUS EAP 認証のニーズが回避されます。 CCKM ファースト ローミングを H REAP アクセス ポイントによって使用するために、H REAP グループを設定する必要があります。 CCKM は接続されたクライアントにおけるない新しいクライアントにおける独立方式で既にはたらいています。

Ciscoワイヤレス LAN コントローラ設定 ガイド設定 Hybrid REAP グループ セクションをH REAP グループを設定する方法に関する詳細についてはリリース 7.0 参照して下さい。

接続されたモードの H REAP によって、コントローラはクライアント 除外/アクセス ポイントに何人かのクライアントが関連付けることを防ぐためにブラックリストに載せることを課して自由です。 この機能は自動でも手動でも実行できます。 グローバルおよび毎 WLAN コンフィギュレーションに従って、クライアントは原因の多く繰り返された失敗した認証試みから IP 盗難まで及ぶとあらゆる所定の時間のためにことができます除く。 また、クライアントをこの除外リストに手動で入れることもできます。 この機能はアクセス ポイントが接続モードの場合にのみ実行できます。 しかし、この除外リストに置かれたクライアントは独立方式にある間、アクセス ポイントに接続してなく残ります。

注: MAC 認証を使用する WLAN は同じモードで(ローカルかアップストリーム)アクセス ポイントが独立方式にあるときもはや方法と同一の割り当て追加クライアント認証 802.1X または WebAuth の同様に設定された WLAN 操作しますではないです。

Web 認証 サポート

ワイヤレス LAN コントローラでホストされる内部 の Web 認証は中央にまたはローカルで切り替えられる WLAN のためにサポートされます。 ただし、外部Web 認証は中央にスイッチド WLAN だけでサポートされます。

注: H REAP が独立方式にある間、どちらの Web 認証方式もサポートされません。

サポートされるインフラストラクチャ 機能

RRM

多くのリモート配備が H の持っているというファクトが理由で小さい握りだけ各 H REAP サイトで、完全な無線リソース管理(RRM) 機能性サポートされないかもしれません収獲します。 完全な RRM コードは H REAP にありますが、RRM の送信 電力制御装置(TPC)アルゴリズムは 4 つ引き起こされませんまたはより多くのアクセス ポイントまで互いの範囲の内にあって下さい。 このように、いくつかの H REAP インストールは決して無線の電源を切るかもしれません。 そのように、初めの無線の電源を切れますなしで H REAPs 上向きにカバレッジ ホール検出の場合に償う送信 電力を調節しません。

独立方式では、H の RRM 機能は収獲します処理がサポートされないコントローラを必要とする。

RRM のおよび操作上詳細詳細については統一された無線ネットワークの下で無線リソース管理を参照して下さい。

DFS

Dynamic Frequency Selection(DFS; 動的周波数選択)は、接続モードでもスタンドアロン モードでもサポートされます。

Location トラッキング

正確なデバイス 位置判断を提供する機能は位置から数に、密度非常に基づいて位置に非常に変わり、H の配置は収獲します。 重の Location 正確さヒンジ アクセスポイントの数に直接関連するデバイス場合情報収集の充実で、ある特定のデバイスを聞ける。 H REAP 配備がスコープで変わるので、このローカルな情報は大幅に減るかもしれ、こうして位置正確さはそれに応じて苦しむかもしれません。 H REAP 配備が可能性のある最も高い自信をもつデバイスの位置を示すように試みる間、Cisco の示された位置正確さクレームはそのような環境でサポートされません。

注:  H REAP はロケーション サービスを提供するように設計されていませんでした。 従って、Cisco は示しました H REAP 配備の位置正確さクレームをサポートできません。

L2 および L3 モビリティ

標準のレイヤ 2 ローミングはローカルでスイッチされる WLAN でサポートされています。 そのようなローミングを提供するために、ローカルでスイッチド WLAN に割り当てられる VLAN をローミングが必要となるすべての H を渡って一貫していますその間収獲します確認して下さい。 つまり、ローミング イベントの発生時にクライアントが再 DHCP を行う必要がないようにする必要があります。 これは、このようなローミングに伴う遅延を短縮するのに役立ちます。

H 間のイベントをローミングすることは 50 ms と 1500 ms の間で WAN レイテンシー、RF 設計および環境特性によって決まる、またセキュリティはおよびクライアント別のローミング 実装入力しますローカルでスイッチド WLAN で奪取 するかもしれません収獲します。

レイヤ3 ローミングはローカルでスイッチド WLAN のためにサポートされませんが、中央にスイッチド WLAN のためにサポートされます。

NAT/PAT

NAT および PAT は H REAP アクセス ポイントのためにサポートされません。

他の H REAP 制限

  • H REAPs WGB をサポートしません。

  • ローカルでスイッチド WLAN を設定する場合、アクセス コントロール リスト(ACL)ははたらかないし、サポートされません。 中央にスイッチド WLAN で、ACL はサポートされます。

  • 新しい設定として接続のコントローラ原因のローカルでスイッチド WLAN 設定へのどの変更でも一時的 な 損失 H REAP に加えられます。 そのように、これらののどのクライアントでもローカルでスイッチド WLAN 一時的に接続が解除されます。 WLAN はすぐに有効に なり、クライアントは再び対応づけます。

  • コントローラは、マルチキャスト パケットを、ユニキャスト パケットまたはマルチキャスト パケットの形式でアクセス ポイントに送信できます。 Hybrid-REAP モードでは、アクセス ポイントはユニキャスト形式のみでマルチキャスト パケットを受け取ることができます。

注: H REAP が 802.1q トランク リンクに接続され、VLAN のために設定されるスイッチド WLAN ローカルであれば WLAN 設定の順序は設計の制限が重要な原因になります。 WLAN の順序をたとえば変更すれば WLAN 1 は ssid wlan-a のために設定され、WLAN 2 は ssid wlan-b のために設定され、順序は設定 WLAN 1 によってなります ssid wlan-b に変更され、WLAN 2 は ssid wlan-a になります、WLAN は両方とも WLC から設定される VLAN マッピングを失います。

注: 同じ WLAN の異なる順序がある別のコントローラに加入する同じ問題は H REAP の適用します。 ハイブリッド REAP アクセス ポイントのためのプライマリ および セカンダリ コントローラは同じ 設定がなければなりません。 さもなければ、アクセス ポイントは設定が無効になりある特定の機能は、WLAN 上書きするのような、AP グループ VLAN、静的なチャネル番号、等、可能性としては正しく動作できません。 さらに、両方のコントローラの H REAP アクセス ポイントおよびインデックス番号の SSID を複写することを確かめて下さい。

耐障害性

H は次の場合には分岐するためにフォールト トレランス割り当てワイヤレスアクセスおよびサービスをクライアント収獲します:

  • H REAP ブランチ AP はプライマリ コントローラとの接続を失います。

  • H REAP ブランチ AP はセカンダリ コントローラに切り替えています。

  • H REAP ブランチ AP はプライマリ コントローラへの接続を回復しています。

H はローカル EAP と共に上で輪郭を描かれる、ネットワーク停止の間にゼロ ブランチ ダウンタイムを共に提供しなさいようにフォールト トレランスを、収獲します。 この機能はデフォルトでイネーブルになっており、ディセーブルにできません。 コントローラまたは AP での設定は不要です。 ただし、Fault Tolerance が円滑に機能し適用可能であるためには、次の条件を満たす必要があります。

  • WLAN 発注およびコンフィギュレーションはプライマリ および バックアップ コントローラを渡って同一でなければなりません。

  • VLAN マッピングはプライマリ および バックアップ コントローラを渡って同一でなければなりません。

  • モビリティ ドメイン名はプライマリ および バックアップ コントローラを渡って同一でなければなりません。

  • 両方のプライマリ および バックアップ コントローラとしてコントローラ プラットフォームを使用するために推奨します。

要約

  • H REAP は AP がそこに提供される同じコントローラに戻ってであるコントローラの設定の変更接続していない場合クライアントを切りません。

  • H REAP はそこに提供されるバックアップ コントローラに接続が設定の変更のし、バックアップ コントローラがプライマリ コントローラと同一であるときクライアントを切りません。

  • H REAP はそこに提供されたプライマリ コントローラに接続の無線をですコントローラの設定の変更リセットしません。

制限事項

  • ローカル スイッチングを用いる本部/ローカル認証を用いる H REAP のためにだけサポートされる。

  • 中央に認証されたクライアントは H REAP AP がスタンドアロンから接続されたモードに切り替える前にクライアントセッション タイマーが切れる場合完全な再認証を必要とします。

  • プライマリ および バックアップ コントローラは同じモビリティ ドメインにある必要があります。

H REAP 設定

有線ネットワークの準備

H REAP ネットワークの展開への第一歩は H REAP が接続するスイッチを設定することです。 このスイッチ設定例は(サブネットが H REAPs CAPWAP のコントローラと通信する)ネイティブVLAN設定 2 つのローカルでスイッチド WLAN のクライアントからのデータが終わる 2 つのサブネット含まれ。 下に示すようにアップストリームのスイッチを介してアクセス ポイントおよびローカル スイッチング WLAN のクライアントに IP アドレスを割り当てられない場合は、他の手段で DHCP サービスを提供するか、静的にアドレスを割り当てる必要があります。 お勧めするのは DHCP の使用ですが、アクセス ポイントにスタティック アドレスを割り当て、DHCP 経由でワイヤレス ユーザにアドレスを提供することもできます。 わかりやすくするため、この例では不必要なスイッチ設定は除いてあります。

ip dhcp excluded-address 10.10.10.2 10.10.10.99

ip dhcp pool NATIVE
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
!
ip dhcp pool VLAN11
network 10.10.11.0 255.255.255.0
default-router 10.10.11.1
!
ip dhcp pool VLAN12
network 10.10.12.0 255.255.255.0
default-router 10.10.12.1
!
interface FastEthernet1/0/1
description H REAP Example Config
switchport trunk encapsulation dot1q
switchport trunk native vlan 10
switchport trunk allowed vlan 10,11,12
switchport mode trunk
!
interface Vlan10
ip address 10.10.10.1 255.255.255.0
!
interface Vlan11
ip address 10.10.11.1 255.255.255.0
!
interface Vlan12
ip address 10.10.12.1 255.255.255.0
end

注: この例および以降のすべての設定で使用している実際の IP アドレスはあくまでも例です。 IP アドレスの割り当てに関しては、各ネットワークごとのニーズに応じて適切に計画する必要があります。

この設定例では、H REAP は最初のファーストイーサネットインターフェイスに接続され、DHCP によってネイティブ VLAN (10) VLAN のスイッチから IP アドレッシングを受け取ります。 不要なVLAN は無関係パケットの処理を制限するために H REAP に接続されるトランクリンクからプルーニングされます。 VLAN 11 と 12 は、それぞれが属する 2 つの WLAN のクライアントに IP アドレスを割り当てるよう準備されています。

注: H REAPs ルーティングインフラストラクチャへの必要アップストリーム接続を接続するスイッチ。 リモートsite/WAN ルーティングインフラストラクチャが CAPWAP 制御(5246) UDP ポートに優先順位をつけること H REAP 最良 の 方法命令。

CAPWAP トラフィックに優先順位をつけるために H REAP AP が接続されたアップストリーム ルータの設定 例はここにあります。

ip cef
!
frame-relay switching
!
class-map match-all 1
  match access-group 199
!
policy-map mypolicy
  class 1
   bandwidth 256
!
interface Serial0/0
ip address 10.1.0.2 255.255.255.0
encapsulation frame-relay
frame-relay interface-dlci 101
frame-relay intf-type dce
service-policy output mypolicy
!
access  list  199  permit  udp  any  any  eq  5246

CLI コマンドを使用した H-REAP コントローラの検出

H REAPs DHCP オプション 43 か DNS 解決によって最も一般にアップストリーム コントローラを検出します。 利用可能 なこれらのメソッドのどちらかなしで各 H REAP が接続する必要があるコントローラの IP アドレスで設定されるようにリモートサイトで管理者に詳細な使用説明書を提供することは好ましいかもしれません。 任意で、H REAP IP アドレッシングは(DHCP が利用できない望まれないかどうか)同様に手動で 設定 されるかもしれません。

H REAP IP アドレス、ホスト名およびコントローラ IP アドレスがアクセス ポイントのコンソールポートを通してどのように設定 されるかもしれないか詳細この例。

AP_CLI#capwap ap hostname ap1130
ap1130#capwap ap ip address 10.10.10.51 255.255.255.0
ap1130#capwap ap ip default-gateway 10.10.10.1
ap1130#capwap ap controller ip address 172.17.2.172

注: アクセス ポイントは LWAPP 有効に された IOS を実行する必要がありますか。 リカバリイメージ Cisco IOS ソフトウェア リリース 12.3(11)JX1 またはそれ以降これらの CLI コマンド 独自にをサポートするため。 2006 年 6 月 13 日以降に出荷された LAP という SKU プレフィックス付きのアクセス ポイント(たとえば、AIR-LAP-1131AG-A-K9)では、Cisco IOS ソフトウェア リリース 12.3(11)JX1 以降が稼働しています。 これらのコマンドはこのコード・レベルを実行する製造業者からの初期設定するにこのレベルに手動でアップグレードされるコードがあったりまたはバージョン 6.0 または それ 以降をことを実行しているコントローラに接続によって自動的にアップグレードされることあらゆるアクセス ポイントに利用できます。

これらの設定コマンドは、アクセス ポイントがスタンドアロン モードの場合にのみ受け付けられます。

アクセス ポイントがこれまで一度もコントローラに接続されたことのない場合、アクセス ポイントのデフォルトの CLI パスワードは Cisco です。 アクセス ポイントがコントローラに接続された後は、パスワードを変更しないと、アクセス ポイントのコンソールから CLI 設定を行うことはできません。 この CLI 専用コマンドは、次の構文を使用してコントローラ上で入力します。

(WLC_CLI)>config ap username <user-id> password <passwd> {all | <AP name>}

上記のアクセス ポイントの場合、このコマンドは次のように使用できます。

(WLC_CLI)>config ap username admin password pass ap1130

注: このコマンドではユーザ名を作成する必要がありますが、このフィールドは現時点では実装されておらず、将来使用のために予約されています。

注: すべての show コマンドと debug コマンドは、アクセス ポイントのデフォルトのパスワードを変更しなくても問題なく動作します。

H-REAP コントローラの設定

H REAP がコントローラを検出し、加入したら、すべての H REAP コンフィギュレーションはコントローラの Web かコマンドラインインターフェイスを通してされます(代わりに、設定はワイヤレス制御 システム[WCS 中央にされる]を通してかもしれません)。 このセクションの H REAP コンフィギュレーションはコントローラ グラフィカル インターフェイスを通して行われます。

最初に、必要な WLAN の作成と設定を行います。 この設定例で使用する WLAN は次のとおりです(必要に応じて、設定を変更してください)。

WLAN SSID セキュリティ スイッチング
Corporate WPA2(802.1X) Local
RemoteSite WPA2-PSK Local
ゲスト WebAuth 中央

H REAP として操作するべき H REAP アクセス ポイントのために接続されるコントローラは少なくとも 1 つのローカルでスイッチド WLAN がなければなりません(これなしで、H REAP はハイアベイラビリティ機能性実現されません)。

ローカルでスイッチされる WLAN を設定するには、次の手順を実行します。

  1. コントローラのメイン ページに移動し、[WLANs] を選択して、[New] をクリックします。

  2. WLAN に SSID として使用される、割り当て『Apply』 をクリック して下さい名前も。

    1.jpg

  3. WLAN > Edit ページで、Security タブをクリックして下さい。 [Layer 2 Security] の下でセキュリティ タイプを選択します。

    この例では、WPA2-PSK を使用します。 [WPA+WPA2] を選択します。

    2.jpg

  4. [WPA2 Policy] にチェックマークを入れて WLAN の WPA 動作を指定します。

  5. [AES] にチェックマークを入れて暗号化方式を設定します。

  6. [Auth Key Mgmt] ドロップダウン メニューから [PSK] を選択します。

    使用する鍵形式に応じて、[ascii] または [hex] を選択します。どちらを選択するかは、使いやすさとクライアントのサポートに基づきます。 通常は、ascii の方が英数字を使用できるので簡単です。 ASCII を選択し、望ましい事前共有キーを入力して下さい。

  7. [Advanced] タブをクリックします。 H REAP ローカル スイッチングをチェックし、WLAN を有効に されます オペレーションのために確認して下さい。

    /image/gif/paws/71250/3.jpg

    このステップなしで、WLAN はアクセス ポイントが独立方式にあるときデータが H REAP アクセス ポイントでローカルで終了しないようにしないか、またはまったく提供されません。

    注: H REAP モード無視 H REAP ローカル スイッチング設定およびすべてのクライアント トラフィックをで操作するために設定されないアクセス ポイントはコントローラに戻ってトンネル伝送されます。

    H REAP WLAN を使うと設定された完全 H REAP モードで操作するために、アクセス ポイントそれから設定することができます。

  8. アクセス ポイントによるコントローラの検出と加入が完了したら、コントローラの Web GUI で [Wireless] ページに移動し、該当するアクセス ポイントの隣にある [Details] をクリックします。

  9. 先頭に立つ APモードによってデフォルト ローカル モード オペレーションからアクセス ポイントを H REAP モードで機能するために変更するためにドロップダウン メニューから H REAP を選択して下さい。

    4.jpg

  10. [Apply] をクリックします。 モードの設定を有効にするには、アクセス ポイントをリブートする必要があります。

    5.jpg

    アクセス ポイントは、リブートが完了すると、コントローラを再検出して、再び加入します。

  11. コントローラ GUI の [Wireless] ページに戻り、同じアクセス ポイントの [Details] リンクを再び選択します。

    デフォルトで、H REAP はトランクリンクを操作するために設定されません。 接続先のスイッチポートがトランク リンクに設定できる場合でも、アクセス ポイントはネイティブ VLAN 経由でコントローラと通信します。 スイッチポートがトランクリンクであり、H REAP をこのモードで動作してもらうことを望めば VLANサポートは有効に する必要があります。

  12. H REAP タブをクリックして下さい。 [VLAN Support] にチェックマークを入れます。

  13. H REAP が接続されるスイッチポートの設定に基づいて、同じ名前の見出しの隣でアクセス ポイントのネイティブ VLAN ID 番号を入力して下さい(この例で、VLAN 10)。

    6.jpg

  14. [Apply] をクリックして変更を適用します。

    H REAP がある特定のコンフィギュレーションパラメータに基づいてイーサネットポートの設定をリセットするのでアクセス ポイントは簡潔に コントローラとの接続を失う場合があります。 この可能性がポップアップ ウィンドウで警告されます。 [OK] をクリックします。

    9.jpg

    注: このポップアップで警告されているように、ごくまれにアクセス ポイントが無効状態でコントローラに再加入する場合があります。 その場合は、コントローラの [Wireless] ページでそのアクセス ポイントの [Details] リンクを再び選択します。 次に、[Admin Status] の隣の [Enable] を選択します。 設定を適用し、設定作業を続けます。

  15. 望ましいアクセス ポイントの Detail ページを入力し、H REAP タグを再度選択し、ローカルでスイッチド WLAN ごとにタグ付けする 802.1Q を設定するために VLAN マッピングをクリックして下さい。

    7.jpg

  16. ローカルでスイッチされる WLAN ごとに、クライアント トラフィックを終端する VLAN を設定します。

    注: H REAP ローカル スイッチングをサポートするために設定されない WLAN は 802.1Q タグがここに設定されないようにしません。 クライアント データは終端のためにコントローラにトンネリングして戻されるので、これらの WLAN に対する VLAN の設定は、コントローラのグローバル設定に設定されます。

    注: ローカルでスイッチされる WLAN では、すべて同じ VLAN ID を共有することもできますが、異なる割り当てを行うこともできます。 割り当てられたVLAN が H REAP のスイッチポートであれば、ここに制限がありません。

  17. [Apply] をクリックして変更を保存します。

    VLAN/WLAN マッピングが変更される間、WLAN サービスは一時的に中断されます。 [OK] をクリックしてこれを確認します。

    /image/gif/paws/71250/8.jpg

必要な WLAN は作成され、H REAP モードで、ローカルでスイッチド WLAN ごとに設定される VLANサポート操作するために設定されます、有効に なる アクセス ポイント 設定 されるおよび VLAN。 各 VLAN で DHCP サービスが利用可能になっていれば、クライアントは各 WLAN に接続し、それぞれの VLAN でアドレスを受け取って、トラフィックを渡すことができます。 H REAP 設定は現在完了しました。

H-REAP のトラブルシューティング

起こり、スムーズな H REAP 設定およびクライアント 接続を防ぐ状況および少数の一般的 な シナリオがあります。 ここでは、そのような状況の一部と、推奨される解決策について説明します。

H-REAP がコントローラに加入しない

この問題は、いくつかの原因で発生します。 最初に次のことを確認します。

  • 各 H REAP は当たるきちんと IP である必要があります。

    アクセス ポイントのコンソールから DHCP を使用している場合は、アクセス ポイントがアドレスを受け取っていることを確認します。

    AP_CLI#show dhcp lease
    

    アクセス ポイントのコンソールからスタティック アドレスを使用している場合は、正しい IP アドレスが適用されていることを確認します。

    AP_CLI#show capwap ip config
    
  • アクセス ポイントで IP 接続が確立されていて、コントローラの管理インターフェイスに ping を発行できることを確認します。

    IP アドレスの設定を確認したら、コントローラの管理 IP アドレスに ping を発行して、アクセス ポイントがコントローラと通信できていることを確認します。 アクセス ポイントのコンソールから次の構文を使用して ping コマンドを実行します。

    AP_CLI#ping <WLC management IP address>
    

    ping が成功しない場合は、アップストリームのネットワークが正しく設定されていて、社内ネットワークへの WAN アクセスが利用可能であることを確認します。 コントローラが稼働していて、NAT/PAT 境界の背後に配置されていないことを確認します。 UDP ポート 5246 および 5247 があらゆる中間ファイアウォールで開いていることを確認して下さい。 コントローラからアクセス ポイントに同じ構文で ping を発行します。

  • アクセス ポイントとコントローラ間に CAPWAP 接続があることを確認して下さい。

    H REAP とコントローラ間の IP接続が確認されたら、CAPWAP メッセージを通信されます WAN を渡って確認し、関連問題を明らかにするためにコントローラの CAPWAP デバッグを行って下さい。 最初に、コントローラ上で、デバッグ出力の範囲を制限するための MAC フィルタを作成します。 後のコマンドの出力を 1 つのアクセス ポイントに限定するには、次のコマンドを使用します。

    AP_CLI#debug mac addr <AP’s wired MAC address>
    

    セットがデバッグ 出力を制限するために、CAPWAP デバッグをつければ。

    AP_CLI#debug capwap events enable
    

    CAPWAP デバッグ メッセージが見られない場合、H REAP を持っていますコントローラが検出することができる少なくとも 1 方式を確認して下さい。 これらの方式(DHCP オプション 43 や DNS など)が設定されている場合は、設定内容が適切であることを確認します。 検出方式が何も設定されていない場合は、コンソール CLI を使用して、コントローラの IP アドレスがアクセス ポイントに入力されていることを確認します。

    AP_CLI#capwap ap controller ip address <WLC management IP address>
    
  • コントローラおよび H REAP 両方の CAPWAP オペレーションをチェックして下さい。

    少なくとも単一 コントローラ 発見 方法が H REAP に利用できる場合、CAPWAP がアクセス ポイントからコントローラへのメッセージ 送信 されることを確認して下さい。 このコマンドはすでにデフォルトでイネーブルになっています。

    AP_CLI#debug capwap client errors
    

    アクセス ポイントがどのコントローラと通信しているかについては、そのアクセス ポイントから送信されている UDP メッセージの IP アドレスによって確認できます。 アクセス ポイントの IP スタックを通過する各パケットの送信元アドレスと宛先アドレスを確認します。

    AP_CLI#debug ip udp
    

    アクセス ポイントがコントローラと通信していることがアクセス ポイントのコンソールで報告される場合は、アクセス ポイントがクラスタ内の別のコントローラに加入している可能性があります。 H REAP がコントローラに接続されるかどうか確認するために、このコマンドを使用して下さい。

    AP_CLI#show capwap reap status
    
  • アクセス ポイントが正しいコントローラに加入していることを確認します。

    コントローラの他の IP アドレスがディスカバリ フェーズの間にアクセス ポイントに渡される場合、H REAP は他のコントローラに加入できます。 検出メカニズムによって渡されたコントローラの IP アドレスが正しいことを確認します。 アクセス ポイントが現在加入しているコントローラを確認します。

    AP_CLI#show capwap reap status
    

    コントローラの Web GUI にログインします。 コントローラのモビリティ リストにすべてのコントローラの IP アドレスと MAC アドレスが入っており、すべてが同じモビリティ グループ名を共有していることを確認します。 次に、アクセス ポイントのプライマリ、セカンダリ、三次のコントローラを設定し、どのコントローラにアクセス ポイントが加入するかを指定します。 この指定は、アクセス ポイントの [Details] リンクで行います。 H の問題他が他のコントローラに加入することを収獲する場合、これは WCS システム全体のアクセス ポイント マネージメント能力の使用によって非常に楽にすることができます。

  • アクセス ポイントがコントローラへの加入を試みても失敗する場合は、証明書の問題のトラブルシューティングを行います。

    CAPWAP メッセージがコントローラで見られるが、アクセス ポイントが加入しない場合この本当らしい認証問題です。

H-REAP のコンソール コマンドが機能せず、エラーを返す

H REAP CLI 戻りによって ERROR!!!を実行された 設定コマンド(設定の設定か消去) 「Command is disabled」というメッセージ 次の 2 つの原因が考えられます。

  • H はコンソールによって接続されたモードに許可しないあらゆるコンフィギュレーションの設定か消去をあるアクセス ポイントを収獲します。 アクセス ポイントがこの状態の場合は、コントローラ インターフェイスから設定を行う必要があります。 アクセス ポイント側で設定コマンドを利用する必要がある場合は、設定コマンドを入力する前に、アクセス ポイントがスタンドアロン モードであることを確認します。

  • (H REAP が独立方式に戻って移動しても)アクセス ポイントがコントローラにいずれかの時点で接続したら、アクセス ポイントのコンソールは新しいパスワードが設定 されるまで設定コマンドを可能にしません。 各 H REAP パスワードは変更される必要があります。 パスワードの変更は、アクセス ポイントが接続しているコントローラの CLI からのみ実行できます。 各アクセス ポイントのコンソール パスワード、またはコントローラに接続しているすべてのアクセス ポイントのパスワードを設定するには、コントローラ上で次のコマンド構文を使用します。

    (WLC_CLI)>config ap username <user-id> password <passwd> {all | <AP name>}
    

    注: コンソール パスワードが設定されていないアクセス ポイントの場合は、コントローラでコマンドが入力された時点で初めて、この設定がアクセス ポイントに送信されます。 それ以降にこのコントローラに加入したアクセス ポイントに対しては、コマンドを再度入力する必要があります。

    アクセス ポイントにデフォルト以外のパスワードが設定されていて、アクセス ポイントがスタンドアロン モードであっても、アクセス ポイント上ではこれらのコマンドにアクセスできません。 H REAP 設定への変更を行なうために、既存に静的な IP 当たることの削除がおよびコントローラ IP アドレス コンフィギュレーションは必要となります。 この設定はどの新しいアクセス ポイント CLI コマンドでも入力されるかもしれない前に CAPWAP 私用 設定と呼ばれ、取除かれる必要があります。 そのためには、次のコマンドを入力します。

    AP_CLI#clear capwap private-config
    

    注:  あるいは、コントローラに加入したときに、AP を工場出荷時のデフォルト状態に戻すこともできます。 WLC GUI の [Wireless] ヘッディングの下にある AP の詳細ページで、[Clear Config] ボタンをクリックします。 AP は設定が消去され、リブートされます。

    注: すべての show コマンドと debug コマンドは、デフォルト以外のパスワードが設定されておらず、AP が接続モードであっても問題なく動作します。

    この時点でどの CAPWAP コンフィギュレーションでも作成されるようにただ。

クライアントが H-REAP に接続できない

次の手順を実行します。

  1. コントローラは使用可能状態に少なくとも 1 つの正しく設定された(有効に される) WLAN があり、H REAP をいる確認することをことをアクセス ポイントきちんと加入したコントローラに確認して下さい。

  2. クライアント端末で、WLAN の SSID が使用可能であることを確認します(コントローラ側でその SSID にブロードキャストを行うよう WLAN を設定すると、このトラブルシューティング手順に役立ちます)。 WLAN のセキュリティ設定をクライアントに適用します。 接続に関する問題の大半は、クライアント側のセキュリティ設定によって発生します。

  3. ローカル スイッチング WLAN のクライアントに対して IP アドレスが正しく割り当てられていることを確認します。 DHCP を使用している場合は、アップストリームの DHCP サーバが正しく設定されていて、クライアントにアドレスを提供していることを確認します。 スタティック アドレスを使用している場合は、クライアントが正しいサブネットに対して適切に設定されていることを確認します。

  4. 更に H REAP コンソールポートでクライアント 接続上の問題を解決するために、このコマンドを入力して下さい。

    AP_CLI#show capwap reap association
    
  5. コントローラでさらにクライアント接続問題のトラブルシューティングを行い、さらに、デバッグの出力を制限するには、次のコマンドを入力します。

    AP_CLI#debug mac addr <client’s MAC address>
    
  6. クライアントの 802.11 接続の問題をデバッグするには、次のコマンドを使用します。

    AP_CLI#debug dot11 state enable
    
  7. クライアントの 802.1X 認証処理およびその障害をデバッグするには、次のコマンドを使用します。

    AP_CLI#debug dot1x events enable
    
  8. バックエンド controller/RADIUS メッセージはこのコマンドを使用してデバッグすることができます。

    AP_CLI#debug aaa events enable
    
  9. また、クライアント デバッグ コマンドの完全なセットを有効にするには、次のコマンドを使用します。

    AP_CLI#debug client <client’s MAC address>
    

H-REAP QA

Q. H が収獲すると同時に遠隔地で LAPs を設定すれば、それらの LAPs にプライマリ および セカンダリ コントローラを与えることができますか。

例: サイト A にプライマリ コントローラがあり、サイト B にセカンダリ コントローラがあるとします。

サイト A のコントローラに障害が発生した場合、LAP はサイト B のコントローラにフェールオーバーを行います。 コントローラが両方とも H REAP ローカル モードに利用できなければすれば LAP をころべばか。

A. はい。 まず、LAP は、そのセカンダリにフェールオーバーします。 ローカルでスイッチングされるすべての WLAN に変更はなく、中央でスイッチングされるすべての WLAN はトラフィックを新しいコントローラに送信します。 また、セカンダリに障害が発生した場合、ローカル スイッチング用とマークされたすべての WLAN(およびオープン/事前共有鍵認証/ユーザが AP オーセンティケータである)はアップ状態のままです。

Q. アクセス ポイントはどのようにローカル モードで設定される H REAP ローカル スイッチングで設定される WLAN を取扱うか。

A. ローカル モードのアクセス ポイントは、これらの WLAN を通常の WLAN として扱います。 認証とデータ トラフィックは WLC にトンネリングして戻されます。 WAN リンクの障害が発生しているとき、この WLAN は完全にダウンしており、WLC への接続が回復するまでこの WLAN のクライアントはアクティブになりません。

Q. ローカル スイッチングで Web 認証を実行できますか。

はい。SSID の Web 認証をイネーブルにして、Web 認証の後にローカルでトラフィックをドロップできます。 ローカル スイッチングを伴う Web 認証は問題なく動作します。

Q. H REAP によってローカルで処理される SSID 用にコントローラで自分のゲスト ポータルを使用できますか。 使用できる場合、コントローラへの接続が失われたときにはどうなりますか。 現在のクライアントは即座にドロップしますか。

はい。 この WLAN はローカルでスイッチングされるため、WLAN は利用可能ですが、Web ページは利用可能ではないため新しいクライアントは認証できません。 ただし、既存のクライアントは廃棄されません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 71250