ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

ワイヤレス LAN コントローラ(WLC)の設定のベスト プラクティス

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2009 年 1 月 14 日) | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

このドキュメントでは、Technical Assistance Center(TAC)に寄せられる一般的ないくつかの Wireless Unified Infrastructure の問題について、設定に関する簡単なヒントを紹介しています。 このドキュメントの目的は、問題が発生する可能性を最小限に抑えるために、ほとんどのネットワーク実装に適用できる重要な事項を説明することです。

ネットワークはすべて同じではないため、実際の導入環境には該当しないヒントもあります。 実稼働中のネットワークに何らかの変更を行う場合には、必ずこのことを確認してください。

著者:Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Wireless LAN Controller(WLC)と Lightweight アクセス ポイント(LAP)の基本動作のための設定方法に関する知識

  • Control And Provisioning of Wireless Access Points(CAPWAP)プロトコルとワイヤレスのセキュリティ方式に関する基礎知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 5508/4400/7500/Wireless Services Module(WiSM)/ファームウェア リリース 7.4 が稼働している WiSM2 シリーズ WLC

  • CAPWAP ベースのアクセス ポイント、シリーズ 1140/1260/3500/1600/2600/3600

    : 4400 WLC の説明は、すべてファームウェア リリース 7.0 に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ベスト プラクティス

ワイヤレス/RF

ワイヤレス/radio frequency(RF; 無線周波数)に関するベスト プラクティスを列挙します。

  • ワイヤレス展開を行う場合には、必ず正確なサイト調査を行って、ワイヤレス クライアントに適切な品質のサービスを提供できるようにします。 音声やロケーションの展開のための要件は、データ サービスに対する要件よりも厳格です。 Auto RF はチャネルや出力の設定管理には有効ですが、不適切な RF 設計を修正することはできません。

  • サイト調査は、出力や伝搬動作が実際のネットワークで使用するデバイスに一致するデバイスを使用して行う必要があります。 たとえば、最終的なネットワークで n データ レートの 802.11a および g 対応の 3600 シリーズのデュアル無線を使用する場合に、全方向性アンテナを備えた 1240 シリーズの 802.11b/g 無線装置をカバレッジの調査に使用しないでください。

    • これらのデータ レートを無効または有効するプロセスは慎重に行う必要があります。 カバレッジが適切な場合、低いデータ レートから 1 つずつ無効にすることを推奨します。 ACK やビーコンなどの管理フレームは、最低の必須レート(通常は 1 Mbps)で送信されますが、全体のスループットが遅くなります。

    • クライアントがレートをすぐに下げられるように、サポートされているデータ レートが多すぎないようにすることも必要です。 通常、クライアントは、最初は可能な限り最も速いデータ レートでの送信を試み、フレームを送信できなければ、データ レートを 1 つずつ下げて再送信を試みます。 サポートされているレートを一部除外することで、フレームを再送信するクライアントが、何度もデータ レートを下げて再試行を繰り返すことなく、2 回目の試行時にフレームを送信できる可能性が高まります。

    • 管理フレームは最低の必須レートで送信されることに注意してください。 マルチキャストは最高の必須レートで送信されます。

    • 802.11b のみのクライアントのサポートを停止するには、11 Mbps 以下のすべてのレートを無効にしないように慎重に判断する必要があります。

    • CLI コマンドは次のとおりです: config 802.11b rate disabled/mandatory/supported <rate list> および config 802.11a rate disabled/mandatory/supported <rate list>

  • これに関連して、コントローラに設定する service set identifier(SSID; サービスセット ID)の数を制限します。 (各アクセス ポイント(AP)の無線ごとに)同時に最大 16 の SSID を設定できます。ただし、各 WLAN/SSID は別々のプローブ応答やビーコンを必要とするため、SSID の追加により RF 汚染が進みます。 その結果、PDA、WiFi 電話、バーコード スキャナなどの小規模なワイヤレス ステーションの一部で、多数の基本 SSID(BSSID)情報を処理できなくなります。 これにより、ロックアップ、リロード、あるいは関連付けの失敗が発生します。 また、SSID の数が増えると、必要なビーコンも増えるため、実際のデータ転送に使用できる RF の空きが少なくなります。

  • 壁で区切られていない大規模な空間にアクセス ポイントを設置している工場のように、クリアな空間がある RF 環境では、伝送パワーのしきい値をデフォルトの -65 dBm から、さらに低い値の -76 dBm などに調整する必要がある場合があります。 これにより、共同チャネル干渉(ある瞬間に 1 つのワイヤレス クライアントから受信する BSSID の数)を低減できます。 最適な値は各サイトの環境特性によって異なるため、サイト調査で慎重に調べる必要があります。

    伝送パワーのしきい値:この値は dBm で表し、伝送パワー制御(TPC)アルゴリズムによってパワーのレベルが下方調整される際の遮断信号レベルです。この値は 3 番目に強度の強い近隣 AP を受信できる強さになります。

  • 一定数を超える BSSID(たとえば、24 個または 32 個の BSSID)が受信されると、一部の 802.11 クライアント ソフトウェアでは障害が発生する場合があります。 伝送パワーのしきい値、つまり平均的な AP の伝送レベルを下げると、そのクライアントが受信する BSSID の数を減らすことができます。

  • ネットワークで、エリア内にアクセス ポイントが高密度に配置されていない場合、そしてワイヤレス上で音声が伝送されている場合は、アグレッシブ ロード バランシングを有効にしないでください。 互いに離れ過ぎているアクセス ポイントでこの機能を有効にすると、一部のクライアントでのローミング アルゴリズムが混乱し、場合によってはカバレッジ ホールが発生することがあります。

ネットワーク接続

ネットワーク接続に関するベスト プラクティスを列挙します。

  • コントローラでスパニング ツリーを使用しないでください。

    ほとんどのトポロジでは、Spanning Tree Protocol(STP; スパニング ツリー プロトコル)をコントローラで実行する必要はありません。 STP はデフォルトでディセーブルになっています。

    Cisco 以外のスイッチでも、ポートごとに STP を無効にすることを推奨します。

    確認するには、次のコマンドを入力します。
    Cisco Controller) >show spanningtree switch

    STP Specification...................... IEEE 802.1D
    STP Base MAC Address................... 00:18:B9:EA:5E:60
    Spanning Tree Algorithm................ Disable
    STP Bridge Priority.................... 32768
    STP Bridge Max. Age (seconds).......... 20
    STP Bridge Hello Time (seconds)........ 2
    STP Bridge Forward Delay (seconds)..... 15
  • ほとんどのコントローラの設定は、「ただちに」適用されますが、次の設定を変更した後はコントローラをリロードすることを推奨します。

    • 管理用アドレス

    • SNMP コンフィギュレーション

  • 通常は、WLC の管理インターフェイスはタグなしのままです。 この場合、管理インターフェイスに対して送受信が行われるパケットは、トランク ポートのネイティブ VLAN に WLC が接続されていると認識します。 ただし、管理インターフェイスを異なる VLAN に置く場合は、<Cisco Controller> config interface vlan management <vlan-id> コマンドを使用して適切な VLAN にタグ付けします。 対応する VLAN がスイッチ ポートで許可され、トランク(非ネイティブの VLAN)によってタグ付けされたことを確認します。

  • コントローラに接続されているすべてのトランク ポートで、使用されていない VLAN をフィルタで除外するようにします。

    たとえば、Cisco IOS® スイッチで管理用インターフェイスが VLAN 20 にあり、さらに VLAN 40 と 50 が 2 つの異なる WLAN 用に使用されている場合、スイッチ側では次の設定コマンドを使用します。
    switchport trunk allowed vlans 20,40,50
  • 未設定のサービス ポートなど、インターフェイスのアドレスを 0.0.0.0 のままにしないでください。 これによってコントローラでの DHCP の処理に影響が生じることがあります。

    確認する方法を次に示します。
    (Cisco Controller) >show interface summary
    Interface Name Port Vlan Id IP Address Type Ap Mgr
    -------------------- ---- -------- --------------- ------- ------
    ap-manager LAG 15 192.168.15.66 Static Yes
    example LAG 30 0.0.0.0 Dynamic No

    management LAG 15 192.168.15.65 Static No
    service-port N/A N/A 10.48.76.65 Static No
    test LAG 50 192.168.50.65 Dynamic No
    virtual N/A N/A 1.1.1.1 Static No
  • コントローラのすべてのポートがスイッチ側で同じレイヤ 2 設定である場合を除き、リンク集約(LAG)を使用しないでください。 たとえば、あるポートでは一部の VLAN がフィルタされ、他のポートではフィルタされなくなるのを回避します。

  • LAG を使用する場合、ネットワークから着信するトラフィックのロード バランシングの決定について、コントローラはスイッチに依存します。 これは、AP に属するトラフィックが同じポートに着信することを意味します。 スイッチの EtherChannel の設定では、ip-src または ip-src ip-dst のロード バランシング オプションだけを使用してください。 スイッチの一部のモデルでは、デフォルトではサポートされていないロード バランシング方式を使用していることがあるため、確認することが大切です。

    EtherChannel のロード バランシング方式を確認する手順を次に示します。
    switch#show etherchannel load-balance
    EtherChannel Load-Balancing Configuration:
    src-dst-ip

    EtherChannel Load-Balancing Addresses Used Per-Protocol:
    Non-IP: Source XOR Destination MAC address
    IPv4: Source XOR Destination IP address
    IPv6: Source XOR Destination IP address

    スイッチの設定を変更する方法は次のとおりです(IOS)。
    switch(config)#port-channel load-balance src-dst-ip 

    Cisco IOS ソフトウェア リリース 12.2(33)SXH6 には、負荷分散の VLAN を除外するための PFC3C モード シャーシ用のオプションがあります。 この機能を実装するには、port-channel load-balance src-dst-ip exclude vlan command コマンドを使用します。 この機能により、LAP に属するトラフィックが同じポートに着信するようになります。

  • VSS、スタック スイッチ(3750/2960)、または Nexus VPC を使用しているとき、LAG は、IP パケットのフラグメントが同じポートに送信される場合にのみ動作します。 複数のスイッチの場合、ロード バランシングの決定を考慮して、ポートは同じ L2エンティティ に属する必要があります。

  • WLC を複数のスイッチに接続するには、物理ポートごとに AP マネージャを作成し、LAG を無効にする必要があります。 これにより、冗長性およびスケーラビリティが提供されます。

    Cisco 4400-100 モデル WLC では、WLC ごとに最大 100 のアクセス ポイントに対応するために、アクティブな物理ポートが少なくとも 3 つ必要です。 Cisco 4400-50 モデル WLC では、WLC ごとに最大 50 のアクセス ポイントに対応するには、アクティブな物理ポートが少なくとも 2 つ必要です。



  • 可能な場合は常に、古いソフトウェア バージョンでは許可されていたとしても、AP マネージャ用インターフェイスにバックアップ ポートを作成しないでください。 このドキュメントですでに説明したように、複数の AP マネージャ インターフェイスによって冗長性が実現されています。

  • マルチキャスト転送の場合は、マルチキャスト モードによってパフォーマンスを最大限に高め、帯域利用率を低減できます。

    コントローラでマルチキャスト モードを確認する方法を次に示します。
    (WiSM-slot1-1) >show network summary
    RF-Network Name............................. 705
    Web Mode.................................... Enable
    Secure Web Mode............................. Enable
    Secure Web Mode Cipher-Option High.......... Disable
    Secure Shell (ssh).......................... Enable
    Telnet...................................... Enable
    Ethernet Multicast Mode..................... Enable Mode: Mcast 239.0.1.1
    Ethernet Broadcast Mode..................... Disable
    IGMP snooping............................... Disabled
    IGMP timeout................................ 60 seconds
    User Idle Timeout........................... 300 seconds
    ARP Idle Timeout............................ 300 seconds
    ARP Unicast Mode............................ Disabled
    Cisco AP Default Master..................... Disable
    Mgmt Via Wireless Interface................. Disable
    Mgmt Via Dynamic Interface.................. Disable
    Bridge MAC filter Config.................... Enable
    Bridge Security Mode........................ EAP
    Over The Air Provisioning of AP's........... Enable
    Apple Talk ................................. Disable
    AP Fallback ................................ Enable

    WLC コマンドラインのマルチキャスト-マルチキャスト オペレーションを設定する方法を次に示します。
    config network multicast mode multicast 239.0.1.1
    config network multicast global enable
  • コントローラでは、トラフィックをアクセス ポイントに転送するのにマルチキャスト アドレスを使用します。 このアドレスは、ネットワーク上で他のプロトコルが使用するアドレスとは一致していません。 たとえば、224.0.0.251 を使用する場合は、一部のサードパーティ アプリケーションで使用されている mDNS が正常に機能しなくなります。 マルチキャスト アドレスは、プライベート範囲(239.0.0.x および 239.128.0.x を除く 239.0.0.0 ~ 239.255.255.255)にすることを推奨します。 マルチキャスト IP アドレスは各 WLC で異なる値に設定することも重要です。 別の WLC の AP に到達するアクセス ポイントと通信する WLC は必要ありません。

  • アクセス ポイントが管理インターフェイスで使用されているのとは異なるサブネットワークにある場合、ネットワーク インフラストラクチャによって、管理インターフェイスのサブネットと AP のサブネットワークとの間のマルチキャスト ルーティングが提供される必要があります。

ネットワーク設計

ネットワーク設計に関するベスト プラクティスを列挙します。

  • ローカル モードの AP の場合、PortFast を使用してスイッチ ポートを設定します。 これを行うには、ポートをホスト ポート(switchport host コマンド)として接続するように設定するか、portfast コマンドで直接設定します。 これにより、AP に対する参加プロセスがより高速になります。 LWAPP AP が VLAN 間でブリッジとして機能することはないため、ループのリスクはありません。

  • 設計によって、CPU が開始するトラフィックのほとんどがコントローラの管理アドレスから送信されます。 たとえば、SNMP トラップ、RADIUS 認証要求、マルチキャスト転送などが該当します。

    このルールの例外は DHCP 関連のトラフィックです。 また、各 SSID で「RADIUS インターフェイス上書き」を有効にすると、この WLAN の RADIUS をダイナミック インターフェイスから送信することができます。 ただし、これによって個人所有デバイスの持ち込み(BYOD)フローと Change of Authorization(CoA)に設計上の問題が生じる可能性があります。

    ファイアウォール ポリシーを設定したり、ネットワーク トポロジを設計する際には、これを考慮に入れることが大切です。 コントローラの CPU から到達可能であることが必要なサーバと同じサブネットワークには、ダイナミック インターフェイスを設定しないようにすることが重要です。このようなサーバの例としては RADIUS サーバがあり、非対称ルーティングの問題が生じる可能性があります。

    ローカル モードの AP 用に、常にスイッチ ポートをアクセス モード に設定してください。 前述のとおり、WLC と FlexConnect モード(ローカル スイッチングを行う)の AP に向かうトランク モードのスイッチポートに対しては、FlexConnect AP と WLC で設定されたものだけを許可するために、常に VLAN を切断します。 また、それらのトランクに switchport nonegotiate コマンドを入力してスイッチ ポートの Dynamic Trunking Protocol(DTP)を無効にし、DTP をサポートしない不要なフレームを AP/WLC が処理するのを回避します。 さらに、スイッチがサポート対象外のデバイスとネゴシエートしようとするため、スイッチ上のリソースが無駄になります。

モビリティ

モビリティに関するベスト プラクティスを列挙します。

  • モビリティ グループ内のすべてのコントローラは、仮想インターフェイスに対して同じ IP アドレスを必要とします。 従来、IP アドレス 1.1.1.1 はデフォルト設定で、個人によって使用されてきました。 ただし、これは今では有効なパブリック IP アドレスであるため、今後は使用できません。 ネットワークのいかなる場所にもルーティングしないプライベート IP アドレスを使用する必要があります。 これはローミングのために重要です。 あるモビリティ グループに属するすべてのコントローラが同じ仮想インターフェイスを使用していないと、コントローラ間のローミングは動作するように見えても、引き継ぎの処理が完全に行われず、ある一定の期間、クライアントが接続を失うことになります。

    確認方法を次に示します。
    (Cisco Controller) >show interface summary

    Interface Name Port Vlan Id IP Address Type Ap Mgr
    ----------------- ----- -------- --------------- ------- ------
    ap-manager LAG 15 192.168.15.66 Static Yes
    management LAG 15 192.168.15.65 Static No
    service-port N/A N/A 10.48.76.65 Static No
    test LAG 50 192.168.50.65 Dynamic No
    virtual N/A N/A 1.1.1.1 Static No
  • 仮想ゲートウェイのアドレスは、ネットワーク インフラストラクチャ内部ではルーティング不可能である必要があります。 ワイヤレス クライアントがコントローラに接続しているときだけ到達でき、有線接続からは到達できないように意図されています。 実際、1.1.1.1 は現在では有効なパブリック アドレスであるため、ネットワーク内で一意かつルーティング不可能なものに変更します。 1.1.1.1 は現在でもデフォルト値であるため、この例では使用しています。

  • すべてのコントローラの管理用インターフェイス間で IP 接続が確立されている必要があります。

  • ほとんどの場合、どのコントローラにも同じモビリティ グループ名を設定する必要があります。 ゲスト アクセス機能用のコントローラ(通常は非武装地帯(DMZ)上)に配置する場合は、このルールの例外となります。

  • すべての WLC を同じソフトウェア コードで実行すれば、一部の WLC にのみ存在するバグにより動作に不整合が生じる事態を防ぐことができます。 ソフトウェア リリース 6.0 以降については、すべてのバージョンはモビリティに関して相互互換性があるため、これは必須ではありません。

  • 不必要に大きなモビリティ グループは作成しないでください。 1 つのモビリティ グループに所属させるのは、クライアントが物理的にローミングできるエリアのアクセス ポイントが接続されているすべてのコントローラだけにします。たとえば、1 つの建物内のアクセス ポイントが接続されているすべてのコントローラがこれに該当します。 複数の建物に分かれているシナリオでは、これらを複数のモビリティ グループに分割する必要があります。 このようにすると、グループ内の相互に通信することのない有効なクライアントや、不正メンバ、アクセス ポイントの大きなリストをコントローラで保持する必要がなくなるため、メモリと CPU が節約されます。

    また、モビリティ グループ内の複数のコントローラに AP が分散するようにします。 たとえば、フロアごとやコントローラごとに分散させ、ソルト アンド ペッパー配置を避けます。 これにより、コントローラ間のローミングが減り、モビリティ グループのアクティビティへの影響が少なくなります。

  • モビリティ グループに複数のコントローラがあるシナリオでは、あるコントローラがリロードした後に、ネットワーク内にあるアクセス ポイントについての不正アクセス ポイント警告が発生するのは問題ではありません。 これは、モビリティ グループのメンバ間で、アクセス ポイント、クライアント、不正メンバのリストのアップデートに時間がかかるためです。

  • WLAN 設定の DHCP Required オプションを指定すると、クライアントに対し、ネットワークへの別のトラフィックの送受信が許可される前に、WLAN に関連づけを行うつど DHCP アドレスの要求と更新を強制的に行うようにできます。 セキュリティの観点から見ると、この処理によって使用している IP アドレスをさらに厳密に制御できますが、トラフィックが通過を再度許可される前のローミングにかかる全体の時間に影響が及ぶ場合もあります。

    さらに、リース時間が切れるまで DHCP の更新を行わないというクライアント実装にも影響が及ぶ可能性があります。 たとえば、Cisco 7921 や 7925 の電話機では、このオプションが有効になっていると、ローミングの際に音声に関する問題が発生することがあります。これはコントローラで DHCP の処理が完了するまで音声や信号のトラフィックの通過が許可されないためです。 一部のサード パーティのプリンタ サーバも、これに該当する可能性があります。 一般的には、WLAN に Windows 以外のクライアントがある場合には、このオプションを使用しないことが推奨されます。 これは、厳密な制御によって、DHCP のクライアント側の実装方式に関連する接続性の問題が発生する可能性があるためです。 確認する方法を次に示します。
    (Cisco Controller) >show wlan 1

    WLAN Identifier.................................. 1
    Profile Name..................................... 4400
    Network Name (SSID).............................. 4400
    Status........................................... Enabled
    MAC Filtering.................................... Disabled
    Broadcast SSID................................... Enabled
    AAA Policy Override.............................. Disabled
    Number of Active Clients......................... 0
    Exclusionlist Timeout............................ 60 seconds
    Session Timeout.................................. 1800 seconds
    Interface........................................ management
    WLAN ACL......................................... unconfigured
    DHCP Server...................................... Default
    DHCP Address Assignment Required................. Disabled
    Quality of Service............................... Silver (best effort)
    WMM.............................................. Disabled
    CCX - AironetIe Support.......................... Enabled
    CCX - Gratuitous ProbeResponse (GPR)............. Disabled
    Dot11-Phone Mode (7920).......................... Disabled
    Wired Protocol................................... None
  • モビリティに対してはマルチキャスト モードを設定することを推奨します。 これにより、クライアントは、アナウンス メッセージを各コントローラにユニキャストで送信するのではなく、モビリティ ピア間にマルチキャストで送信し、時間を節約して CPU とネットワークの使用率を抑えることができます。

    確認方法を次に示します。
    (WiSM-slot1-1) >show mobility summary 

    Symmetric Mobility Tunneling (current) .......... Disabled
    Symmetric Mobility Tunneling (after reboot) ..... Disabled
    Mobility Protocol Port........................... 16666
    Mobility Security Mode........................... Disabled
    Default Mobility Domain.......................... 705
    Multicast Mode .................................. Enabled
    Mobility Domain ID for 802.11r................... 0x8e5e
    Mobility Keepalive Interval...................... 10
    Mobility Keepalive Count......................... 3
    Mobility Group Members Configured................ 2
    Mobility Control Message DSCP Value.............. 0

    Controllers configured in the Mobility Group

    MAC Address IP Address Group Name Multicast IP Status
    00:14:a9:bd:da:a0 192.168.100.22 705 239.0.1.1 Up

    00:19:06:33:71:60 192.168.100.67 705 239.0.1.1 Up

セキュリティ

セキュリティに関するベスト プラクティスを列挙します。

  • RADIUS のタイムアウトを 5 秒に変更することを推奨します。 デフォルトの 2 秒は高速な RADIUS フェールオーバーには適していますが、Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)認証や、RADIUS サーバが外部のデータベース(Active Directory、NAC、SQL など)とやり取りする場合には短すぎる可能性があります。

    確認方法を次に示します。
    (Cisco Controller) >show radius summary 
    Vendor Id Backward Compatibility............ Disabled
    Credentials Caching......................... Disabled
    Call Station Id Type........................ IP Address
    Administrative Authentication via RADIUS.... Enabled
    Aggressive Failover......................... Disabled
    Keywrap..................................... DisabledAuthentication Servers

    !--- This portion of code has been wrapped to several lines due to spatial!
    --- concerns.

    Idx Type Server Address Port State Tout RFC3576
    --- ---- ---------------- ------ -------- ---- -------
    1 N 10.48.76.50 1812 Enabled 2 Enabled

    IPSec -AuthMode/Phase1/Group/Lifetime/Auth/Encr
    ------------------------------------------------
    Disabled - none/unknown/group-0/0 none/none

    設定方法を次に示します。
    config radius auth retransmit-timeout 1 5
  • SNMPv3 のデフォルト ユーザを確認します。 デフォルトでは、コントローラにはディセーブルまたは変更する必要のあるユーザ名が設定されています。

    確認方法を次に示します。
    (Cisco Controller) >show snmpv3user 
    SNMP v3 User SNMP v3 User Name AccessMode Authentication Encryption
    -------------------- ----------- -------------- ----------
    default Read/Write HMAC-MD5 CBC-DES

    設定方法を次に示します。
    config snmp v3user delete default
    config snmp v3user create nondefault rw hmacsha des authkey encrkey

    SNMP の設定が、コントローラと Wireless Control System(WCS)/Network Control System(NCS)/Prime インフラストラクチャ(PI)の間で一致していることを確認してください。 また、セキュリティ ポリシーに合った暗号化とハッシュ キーを使用する必要があります。
  • コントローラでは、EAP アイデンティティ要求のデフォルトでのタイムアウトは 1 秒です。これはワンタイム パスワードや、スマート カードの実装には短すぎます。この場合、ワイヤレス クライアントがアイデンティティ要求に回答できるようになる前に、ユーザが PIN やパスワードの入力を求められるためです。 Autonomous アクセス ポイントでは、デフォルトは 30 秒になっているため、Autonomous からインフラストラクチャ ワイヤレス ネットワークに移行する際には、これを考慮に入れる必要があります。

    変更方法を次に示します。
    config advanced eap identity-request-timeout 30
  • 使用頻度の高い環境では、しきい値 2 でアクセス ポイント認証を有効にすると効果的です。 これにより、なりすましを検出したり、false positive 検出を最低限に抑えたりすることが可能になります。

    設定方法を次に示します。
    config wps ap-authentication enable
    config wps ap-authentication threshold 2
  • 前のヒントに関連して、Management Frame Protection(MFP)は、ワイヤレス インフラストラクチャ内で隣接するアクセス ポイントとの間で検出されたすべての 802.11 管理トラフィックの認証にも使用できます。 一般的なサード パーティ製のワイヤレス カードには、カードのドライバの実装に問題があり、MFP によって付加される追加情報要素を正しく処理できないものがあることに注意してください。 MFP をテストおよび使用する前に、カードの製造元が提供している最新のドライバを使用するようにしてください。
  • ネットワーク タイム プロトコル(NTP)は一部の機能にとって非常に重要です。 ロケーション、SNMPv3、アクセス ポイント認証、または MFP のいずれかの機能を使用する場合、 コントローラで NTP による同期を行う必要があります。

    設定方法を次に示します。
    config time ntp server 1 10.1.1.1

    確認には、次のようにトラップログでエントリ調べてください。
    30 Tue Feb 6 08:12:03 2007 Controller time base status - Controller is in sync with the central timebase.
  • セキュリティ上の理由により、ワイヤレス クライアントを複数のサブネットワークに分割する必要があり、それぞれに異なるセキュリティ ポリシーを設定する場合は、1 つまたは 2 つの WLAN(たとえば、それぞれに異なるレイヤ 2 暗号化ポリシーを設定)を使用し、それと一緒に AAA-Override 機能を使用することを推奨します。 この機能により、ユーザごとの設定を行うことが可能です。 たとえば、別々の VLAN の特定のダイナミック インターフェイスにユーザを移動したり、ユーザごとのアクセス コントロール リスト(ACL)を適用したりします。
  • コントローラとアクセス ポイントでは WiFi Protected Access(WPA)と WPA2 を同時に使用した SSID による WLAN がサポートされていますが、一部のワイヤレス クライアントのドライバでは複雑な SSID 設定を処理できないことがよくあります。 一般的には、単にセキュリティ ポリシーをすべての SSID に設定し、WPA2-AES のみを許可することが推奨されます。 一部のクライアントがこれをまだサポートしていない場合、同じ SSID 上で WPA2-AES と WPA1-TKIP がサポートされます。 WPA1-TKIP だけをサポートする SSID は、コントローラ コード 8.0 の開始を許可されません。

一般的な管理

一般的な管理に関するベスト プラクティスを列挙します。

  • 一般的には、アップグレードの前に設定の FTP/TFTP バックアップを取ることが推奨されます。
  • AP は syslog サーバを使用してトラブルシューティング情報を送信することができます。 ただし、デフォルトでは、ローカル ブロードキャストとして送信されます。 AP が syslog サーバと同じサブネットにない場合は、ユニキャスト アドレスに変更することを推奨します。 この変更により、トラブルシューティング情報を収集できるようになり、ローカル ブロードキャストに送信された syslog メッセージが原因で発生するブロードキャスト ストームの可能性を減らして、同じサブネットワークのすべての AP に影響を与えるような障害の発生を抑えることができます。 この設定をチェックするには、次のようにします。
    (WiSM-slot1-1) >show ap config general AP1130-9064    

    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E 802.11a:-E
    AP Country code.................................. BE - Belgium
    AP Regulatory Domain............................. 802.11bg:-E 802.11a:-E
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local: Disabled
    Remote AP Debug ................................. Disabled
    S/W Version .................................... 5.0.152.0
    Boot Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1131AG-E-K9
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco
    Cisco AP system logging host..................... 255.255.255.255

    コントローラのすべての AP に対して使用可能な既知のサーバに変更するには、次のようにします。
    config ap syslog host global 10.48.76.33
  • AP にはコンソール アクセス(AP への物理アクセス)のためのローカル クレデンシャルを設定できます。 セキュリティを確保するため、すべての AP にユーザ名/パスワードを設定することを推奨いたします。 この設定をチェックするには、次のようにします。
    (WiSM-slot1-1) >show ap config general AP1130-9064

    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E 802.11a:-E
    AP Country code.................................. BE - Belgium
    AP Regulatory Domain............................. 802.11bg:-E 802.11a:-E
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local: Disabled
    Remote AP Debug ................................. Disabled
    S/W Version .................................... 5.0.152.0
    Boot Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1131AG-E-K9
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco

    コントローラのすべての AP に対して使用可能な既知のサーバに変更するには、次のようにします。
    config ap mgmtuser add username cisco password Cisco123 secret
    AnotherComplexPass all

WLC のクラッシュ ファイルを WLC CLI から TFTP サーバに転送する方法

WLC のクラッシュ ファイルを WLC CLI から TFTP サーバに転送するには、次のコマンドを入力してください。

transfer upload datatype crashfile
transfer upload serverip <IP address of the TFTP Server>

transfer upload path <Enter directory path>


transfer upload filename <Name of the Crash File>


transfer upload start<yes>

ディレクトリ パスを入力するとき、通常「/」は TFTP サーバのデフォルト ルート ディレクトリを意味します。

次に例を示します。

(Cisco Controller) >debug transfer tftp enable

(Cisco Controller) >debug transfer trace enable

(Cisco Controller) >transfer upload datatype crashfile

(Cisco Controller) >transfer upload filename aire2cra.txt

(Cisco Controller) >transfer upload path /

(Cisco Controller) >transfer upload serverip X.Y.Z.A

(Cisco Controller) >transfer upload start

Mode............................................. TFTP TFTP Server
IP................................... X.Y.Z.A TFTP
Path........................................ / TFTP
Filename.................................... aire2cra.txt Data
Type........................................ Crash File

Are you sure you want to start? (y/N) yes
Thu Dec 29 10:13:17 2005: RESULT_STRING: TFTP Crash File transfer starting.
Thu Dec 29 10:13:17 2005: RESULT_CODE:1

TFTP Crash File transfer starting.
Thu Dec 29 10:13:21 2005: Locking tftp semaphore, pHost=X.Y.Z.A
pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
Semaphore locked, now unlocking,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
Semaphore successfully unlocked,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
tftp rc=0, pHost=X.Y.Z.A pFilename=/aire2cra.txt
pLocalFilename=/mnt/application/bigcrash
Thu Dec 29 10:13:22 2005: RESULT_STRING: File transfer operation
completed successfully.
Thu Dec 29 10:13:22 2005: RESULT_CODE:11 File transfer operation
completed successfully.

コア ダンプ ファイルの FTP サーバへのアップロード

コントローラのクラッシュのトラブルシューティングを行うために、次の CLI コマンドを使用して、クラッシュが発生した後、コントローラが自動的にコア ダンプ ファイルを FTP サーバにアップロードするように設定できます。

config coredump {enable | disable}

config coredump ftp server_ip_address filename

config coredump username ftp_username password ftp_password

show coredump summary

transfer upload datatype watchdog-crash-file コントローラ CLI コマンドは、コントローラのクラッシュ後にソフトウェア ウォッチドッグによってリブートが行われたときに生成されたコンソール ダンプをアップロードします。 ソフトウェア ウォッチドッグ モジュールによって、内部ソフトウェアの整合性が定期的にチェックされるので、システムが不整合または非動作の状態が長時間続くことはなくなります。

transfer upload datatype panic-crash-file コントローラ CLI コマンドは、カーネル パニックが発生した場合にカーネル パニック情報をアップロードします。

ワイヤレス LAN コントローラ リリース 5.2 では、コントローラの GUI を使用して TFTP または FTP サーバに無線コア ダンプ ファイルをアップロードできます。 以前は、無線コア ダンプのアップロードは、コントローラの CLI からしか設定できませんでした。

使いやすさ

  • 「Fast SSID change」を有効にして、AnyConnect などの厳格なサプリカントを使用しない限りユーザが SSID 間でスワップできないようにし、クライアントが常に最初に正しいプロファイルに接続するように設定することを推奨します。
  • セッション タイムアウト値は必要なセキュリティに応じて異なる設定にする必要があります。 たとえば、30 分という値は 802.1x 保護 SSID には最適ですが、ゲストの「web-auth」タイプの SSID には小さすぎます。 中断を避けるために、音声 SSID にはタイムアウトがありません。
  • この機能が実際には必要(たとえば、セキュリティ ポリシーのため)ではなく、WLAN に接続するワイヤレス クライアントがこれらを問題なくサポートしていることを確認できない場合は、これらの WLAN の詳細設定を無効にすることを推奨します。 これは、一部のワイヤレス クライアントとの互換性の問題を避けるためです。
    • MFP
    • Aironet IE
    • クライアント除外


Document ID: 82463