ワイヤレス : Cisco Aironet 350 ????

AAA サーバとしてのワイヤレス ドメイン サービス AP の設定例

2005 年 11 月 28 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 1 月 18 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
設定
      WDS AP の設定
      インフラストラクチャ AP の設定
      クライアントの認証方式の設定
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、次の機能を実行するアクセス ポイント(AP)を設定する設定例について説明します。

  • Wireless Domain Services(WDS; ワイヤレス ドメイン サービス)を提供するアクセス ポイント

  • Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバの役割を実行するアクセス ポイント

WDS に参加しているインフラストラクチャ AP とクライアント デバイスを認証する外部 RADIUS サーバを配置していない場合、このような構成を使用できます。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • WDS に関する基本的な知識

  • 現行の Extensible Authentication Protocol(EAP)セキュリティ方式に関する知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS(R) ソフトウェア リリース 12.3(7)JA1 が稼働する Cisco Aironet 1200 シリーズ AP

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメント内で使用されているデバイスは、すべてクリアな(デフォルト)設定で作業が開始されています。対象のネットワークが実稼働中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

WDS は、Cisco Structured Wireless-Aware Network(SWAN)の一部です。 WDS は、ワイヤレス LAN(WLAN)クライアントのモビリティを拡張したり、WLAN の導入や管理を簡素化する Cisco IOS ソフトウェアの機能を集めたものです。

WDS は、高速セキュア ローミング、レイヤ 3 モビリティ、無線管理など、さまざまな機能が基盤になっています。

これらの機能の詳細については、『WDS、高速安全ローミング、無線管理、および Wireless Intrusion Detection Services の設定』を参照してください。

WDS の主な目的の一つは、認証サーバがクライアントを最初に認証したときに、ユーザのクレデンシャルをキャッシュすることです。 その後の認証では、WDS は、キャッシュされている情報に基づいてクライアントの認証を行います。 これを実現するための要件は、次のとおりです。

  • いずれか 1 つの AP が WDS AP として設定されている必要があります。

  • その他の AP は、WDS AP と通信を行うインフラストラクチャ AP として設定されている必要があります。

  • WDS AP は、WDS のユーザ名とパスワードを使用して認証サーバへの認証を行い、関係を確立する必要があります。

この認証サーバは、インフラストラクチャ AP およびクライアントの認証が初めて実行されるときに、これらのデバイスのクレデンシャルを検証します。 認証サーバには、外部 RADIUS サーバか、WDS AP のローカル RADIUS サーバのいずれかを使用できます。

WDS とインフラストラクチャ AP は、Wireless LAN Context Control Protocol(WLCCP)というマルチキャスト プロトコルで通信しています。このマルチキャスト メッセージはルーティングできません。そのため、WDS と、関連するインフラストラクチャ AP は、同じ IP サブネットワーク内および同じ LAN セグメント上に存在している必要があります。

このドキュメントでは、WDS AP のローカル RADIUS サーバ機能を使用して、クレデンシャルの検証を実行する方法について説明します。

設定

WDS AP の設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供します。

AP を、AAA サーバ機能を備えた WDS AP として機能するように設定するには、最初に、AP でローカル RADIUS サーバ機能を有効にする必要があります。

次の手順を実行します。

  1. GUI を使用して AP にログインします。

    Summary Status ページが表示されます。

    wds1.gif

    Summary Status ページ
    ※ 画像をクリックすると、大きく表示されます。

  2. AP の左側のメニューから、Security > Server Manager の順に選択します。

  3. Corporate Servers で、RADIUS サーバとして機能させる AP の IP アドレスと共有秘密を入力します。

    この場合は、WDS AP の IP アドレスを入力します。 この例では、10.0.0.1 の IP アドレスを使用しています。 これはローカル RADIUS サーバであるため、この例のように、1812 と 1813 を認証ポートとアカウンティング ポートとして使用する必要があります。

  4. Apply をクリックします。

    wds2.gif

    Server Manager
    ※ 画像をクリックすると、大きく表示されます。

  5. Default Server Priorities for EAP Authentication で、WDS AP の IP アドレスを Priority 1 として選択します。

    Apply をクリックします。

    これで、ローカル RADIUS サーバが、インフラストラクチャ AP とクライアントの認証で最初に選択されるようになります。

    wds3.gif

    Default Server Priorities for EAP Authentication
    ※ 画像をクリックすると、大きく表示されます。

  6. 左側のメニューから、Security > Local Radius server の順に選択します。

    1. General Set-up をクリックして、ローカル RADIUS サーバのパラメータを設定します。

    2. Local Radius Server Authentication Settings で LEAP にチェック マークを付け、Apply をクリックします。

    3. Network Access Servers の下で WDS AP の IP アドレスと共有秘密パスワードを入力します。 この例では、共有秘密パスワードに test123 を使用しています。

    4. Apply をクリックします。

      wds4.gif

      General Set-up
      ※ 画像をクリックすると、大きく表示されます。

  7. Individual Users の下で、WDS AP と通信を行うすべてのインフラストラクチャ AP とクライアントのユーザ名とパスワードを入力します。

    Apply をクリックします。

    この例では、WDS AP に登録するように設定するインフラストラクチャ AP のユーザとパスワードを入力しています。 この例では、ユーザ名に infrastructureAP1、パスワードに Cisco を使用しています。 同じユーザ名とパスワードをインフラストラクチャ アクセス ポイントで設定する必要があります。

    wds5.gif

    インフラストラクチャ AP とクライアントのユーザ名とパスワードを入力
    ※ 画像をクリックすると、大きく表示されます。

AP のローカル RADIUS サーバ機能の設定が完了したら、AP の WDS 機能を有効にする必要があります。

次の手順を実行します。

  1. AP の左側のメニューから、Wireless Services > WDS の順に選択します。

  2. General Set-up をクリックします。

    wds6.gif

    General Set-up
    ※ 画像をクリックすると、大きく表示されます。

  3. General Set-up ページの Use this AP as Wireless Domain Services にチェック マークを付けます。

    Wireless Domain Services Priority フィールドに 254 と入力します。Apply をクリックします。

  4. インフラストラクチャの認証を有効にします。

    1. WDS ページで Server Groups をクリックします。

    2. Server Group Name フィールドに、インフラストラクチャ AP の認証を行うときの名前を入力します。 この例では、Server Group Name に Infrastructure を使用しています。

    3. Group Server Priorities ドロップダウン リストから、ローカル RADIUS サーバの IP アドレスを選択します。

      WDS AP は、このサーバを使用してインフラストラクチャ AP の認証を実行します。

    4. Use Group For の下にある Infrastructure Authentication を選択します。

    5. Apply をクリックします。

    wds8.gif

    インフラストラクチャの認証を有効に
    ※ 画像をクリックすると、大きく表示されます。

これで、WDS AP が AAA サーバとして機能するようになりました。 インフラストラクチャ AP のいずれか 1 つを設定して、WDS AP に登録します。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

インフラストラクチャ AP の設定

このセクションでは、WDS AP に登録するために必要なインフラストラクチャ AP の設定について説明します。 クライアントはインフラストラクチャ AP に関連付けられます。 インフラストラクチャ AP は、WDS AP にクライアントの認証を実行するように要求します。

WDS のサービスを使用するインフラストラクチャ AP を追加するには、次の手順を実行します。

  1. 左側のメニューで、Wireless Services > AP の順に選択します。

  2. Participate in SWAN Infrastructure で Enable を選択します。

  3. WDS Discovery で Auto Discovery を選択します。

    wds7.gif

    Wireless Services: AP
    ※ 画像をクリックすると、大きく表示されます。

  4. WDS のユーザ名とパスワードを該当するフィールドに入力します。

    Apply をクリックします。

    ユーザ名とパスワードは、ローカル RADIUS サーバに存在するものである必要があります。 WDS のメンバになる予定のすべてのデバイスの WDS のユーザ名とパスワードを認証サーバに指定しておく必要があります。

WDS AP の設定と、WDS AP へのインフラストラクチャ AP の設定が完了すると、WDS Status タブの AP Information エリアにインフラストラクチャ AP が REGISTERED の状態で表示されます。 このタブは、Wireless Services > WDS のメニュー項目の下にあります。

wds9.gif

WDS Status タブ
※ 画像をクリックすると、大きく表示されます。

WDS AP またはインフラストラクチャ AP のいずれかで認証の設定に誤りがあると、AP が ACTIVE および REGISTERED で表示されない場合があります。 エラーが発生したり、認証が失敗する場合は、認証サーバの統計情報を確認してください。 認証サーバの統計情報を確認するには、Security > Local Radius Server > Statistics の順に選択します。

また、WDS AP の CLI から show wlccp wds ap コマンドを使用しても、設定を確認できます。 WDS AP への登録が正常に終了すると、WDS AP への登録の正常終了を表示する出力は、次の例のようになります。

 WDS#show wlccp wds ap
   MAC-ADDR         IP-ADDR        STATE      LIFETIME    CDP-NEIGHBOR
   000e.d7e4.a629   10.0.0.2      REGISTERED    97         10.77.241.161
 

クライアントの認証方式の設定

WDS にクライアントの認証方式を追加します。

次の手順を実行します。

  1. WDS AP で Wireless Services > WDS > Server Groups の順に選択します。

    1. クライアント(クライアント グループ)の認証を行うサーバ グループを定義します。

      このグループは、前の手順でインフラストラクチャの認証用に設定したサーバ グループと別のものである必要があります。 この例では、Server Group Name に Clients を使用しています。

    2. Priority 1 にローカル RADIUS サーバを設定します。

    3. クライアントの認証に使用する認証タイプ(LEAP、EAP、MAC など)にチェック マークを付けます。

      この例では、LEAP 認証を使用します。

    4. 設定を関連する SSID に適用します。

      wds10.gif

      Wireless Services: WDS - Server Groups
      ※ 画像をクリックすると、大きく表示されます。

  2. インフラストラクチャ AP で、次の手順を実行します。

    1. Security > Encryption Manager の順に選択して、WEP Encryption をクリックし、ドロップダウン リスト メニューから Mandatory を選択します。 Encryption Keys の下に、128 ビット WEP 暗号化キーを入力します。 この例では、暗号化キーに 1234567890abcdef1234567890 を使用しています。

      wds11.gif

      Security: Encryption Manager
      ※ 画像をクリックすると、大きく表示されます。

    2. Security > SSID Manager の順に選択して、新しい SSID を作成します。

      この例では、SSID に Cisco123 を使用しています。 続いて、認証方式を選択します。

    3. インフラストラクチャ AP で Network EAP を選択します。

      wds12.gif

      Security: Global SSID Manager
      ※ 画像をクリックすると、大きく表示されます。

クライアントが正常に認証され、インフラストラクチャ AP に関連付けられるかどうかテストします。 クライアントは最初に起動すると、自身のクレデンシャルをインフラストラクチャ AP に渡します。 続いて、インフラストラクチャ AP は同じものを WDS AP に転送し、WDS AP でクレデンシャルが検証されます。

注:このドキュメントでは、クライアント アダプタの設定方法については説明しません。 クライアント アダプタの設定方法については、『Cisco Aironet ワイヤレス LAN クライアント アダプタ』を参照してください。

確認

このセクションを使用して、設定が正しく動作していることを確認します。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show wlccp wds mn — WDS AP の CLI からこのコマンドを使用すると、クライアントの WDS AP への認証と関連付けが正常に終了したかどうかを確認できます。

 WDS#show wlccp wds mn
   MAC-ADDR         IP-ADDR      Curr-AP          STATE
  0040.96a5.b5d4    10.0.0.15    000e.d7e4.a629  REGISTERED
 

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報