ワイヤレス : Cisco 5500 シリーズ ワイヤレス コントローラ

H-REAP の設計および導入ガイド

2010 年 4 月 5 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2011 年 6 月 29 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
LWAPP 動作の背景説明
Cisco Unified Wireless Network アーキテクチャへの LWAPP 動作の実装
ハイブリッド リモートエッジ アクセス ポイント
H-REAP の動作理論
      H-REAP の主要概念
      H-REAP コントローラの検出
      H-REAP ワイヤレス セキュリティ サポート
      トランクの有無
      H-REAP の設計と機能の制限事項
      H-REAP WAN の考慮事項
H-REAP の設定
      有線ネットワークの準備
      CLI コマンドを使用した H-REAP コントローラの検出
      H-REAP コントローラの設定
H-REAP のトラブルシューティング
      H-REAP がコントローラに加入しない
      H-REAP のコンソール コマンドが機能せず、エラーを返す
      クライアントが H-REAP に接続できない
      H-REAP は NAT の背後で機能するのか。スタティック NAT を使用した導入で、WLC と H-REAP AP をスタティック NAT の背後に配置できるのか
      H-REAP に関する Q&A
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

Hybrid Remote Edge Access Point(H-REAP; ハイブリッド リモート エッジ アクセス ポイント)は、ブランチ オフィスとリモート オフィスに導入されるワイヤレス ソリューションです。H-REAP によって、ブランチ オフィスやリモート オフィスにある Access Point(AP; アクセス ポイント)を、各オフィスにコントローラを導入することなく、本部から Wide Area Network(WAN; ワイドエリア ネットワーク)リンク経由で設定して制御できます。コントローラとの接続が失われたときは、H-REAP アクセス ポイントでクライアント データ トラフィックをローカルでスイッチして、クライアント認証をローカルで実行することができます。コントローラに接続されたときには、H-REAP はトラフィックをコントローラにトンネリングして戻すこともできます。



前提条件

要件

Hybrid REAP がサポートされているのは、1130AG、1240AG、1250、および AP801 アクセス ポイント、2100 および 4400 シリーズのコントローラ、Catalyst 3750G Integrated Wireless LAN Controller Switch、Cisco WiSM、およびサービス統合型ルータ用のコントローラ ネットワーク モジュールのみです。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Unified Controller(2100 および 4400 シリーズ)バージョン 5.1

  • Lightweight Access Point Protocol(LWAPP)ベースの 1130、1240、および 1250 シリーズ LAP



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



LWAPP 動作の背景説明

Cisco Unified Wireless Network アーキテクチャの基盤となる LWAPP では、ワイヤレス アクセス ポイントの動作に対して次の 2 種類のプライマリ モードが指定されています。

  • スプリット MAC:スプリット MAC モードでは、アクセス ポイントとコントローラの間で 802.11 仕様の主要な機能が共有されます。この構成では、コントローラは、802.11 認証やアソシエーションなどの処理のかなりの部分を管理するだけでなく、すべてのユーザ トラフィックに対する唯一の入出力ポイントとして機能します。スプリット MAC アクセス ポイントは、LWAPP データ トンネルを経由してすべてのクライアント トラフィックをコントローラにトンネリングして戻します(LWAPP 制御も同じパスを経由します)。

  • ローカル MAC:ローカル MAC では、すべての 802.11 機能がアクセス ポイント側で実装されるため、アクセス ポイントの有線ポートですべてのクライアント トラフィックを終端することにより、データ プレーンをコントロール パスから分離できます。これにより、アクセス ポイントでローカルなリソースへの直接のワイヤレス アクセスが可能になるだけでなく、ワイヤレス サービスが稼動している間は LWAPP コントロール パス(AP とコントローラの間のリンク)がダウンしてもかまわないため、リンクの復元力も強化されます。この機能は、必要なアクセス ポイントの数が少なく、ローカルでコントローラを設置するとコスト効率が悪くなるような、WAN リンク経由の比較的小規模なリモート オフィスやブランチ オフィスでは特に役に立ちます。



Cisco Unified Wireless Network アーキテクチャへの LWAPP 動作の実装

システム設定インターフェイスでローカル モードと呼ばれることの多い(ローカル MAC LWAPP 動作と混同しないこと)このスプリット MAC 動作は、すべての LWAPP ベースのアクセス ポイントでサポートされていますが、「ローカル MAC」動作カテゴリに分類されるのは Aironet 1030 Remote-Edge Access Point(REAP)のみであり、システム設定中にはっきり「REAP」と表示されます。

1030 REAP は、WAN がダウンした場合の復元性とトラフィックのローカル スイッチング機能は提供しますが、リモート オフィスとブランチ オフィスでの導入のニーズをすべて満たすわけではありません。1030 REAP は、(複数の Basic Service Set Identifier(BSSID; 基本サービス セット ID)をサポートするため)ワイヤレス側の分離はサポートしますが、802.1Q をサポートしていないため有線側の分離には対応していません。そのため、すべての WLAN からのデータは同じ有線サブネットに到着します。また、WAN に障害が発生した場合、1030 は、コントローラで指定されている最初の WLAN 以外のすべての WLAN でサービスの提供を停止します。

このような 2 つの基本的な制約があるために、H-REAP が開発されました。



ハイブリッド リモートエッジ アクセス ポイント

ハイブリッド リモート エッジ アクセス ポイント(H-REAP)は、1131、1242、1250、AP801 の Aironet アクセス ポイントでサポートされている機能です。Cisco Unified Wireless Network コントローラ リリース バージョン 4.0 以降のみでサポートされている、ソフトウェアで選択可能なこの機能を使用すると、スプリット MAC とローカル MAC の両方の LWAPP 動作を結合できるため導入の柔軟性が最大限発揮されます。H-REAP 上のクライアント トラフィックは、WLAN ごとの設定に従い、アクセス ポイント側においてローカルでスイッチされるか、コントローラにトンネリングして戻されます。また、H-REAP 上においてローカルでスイッチされるクライアント トラフィックに 802.1Q タグを付けることにより、有線側での分離にも対応できます。WAN がダウンしている場合でも、ローカルでスイッチされ、ローカルで認証される WLAN 上のサービスは継続します。

一般的な H-REAP 実装図を次に示します。

h-reap-design-deploy-1.gif

この図が示すように、H-REAP は特にリモート オフィスとブランチ オフィスへの導入を意図した設計になっています。

このドキュメントでは、H-REAP の動作理論、コントローラとアクセス ポイントの設定、およびネットワーク設計に関する考慮事項について説明します。



H-REAP の動作理論

H-REAP の主要概念

ローカル スイッチングと中央スイッチングの両方、および WAN リンクの持続性を提供するため、H-REAP の機能にはいくつかの動作モードがあります。これら 2 つのモード セットを組み合わせることで、さまざまな機能が提供されますが、組み合わせ方によって制約事項も異なります。

モード セットには次の 2 つがあります。

  • 中央スイッチングとローカル スイッチング

    H-REAP の WLAN(セキュリティ、QoS、SSID に結び付けられた他の設定パラメータの組み合わせ)は、すべてのデータ トラフィックをコントローラにトンネリングして戻すように設定するか(中央スイッチング)、すべてのクライアント データを H-REAP の有線インターフェイスにおいてローカルでドロップするように設定できます(ローカル スイッチング)。ローカルでスイッチされる WLAN では、必要に応じて 802.1Q タグを割り当てることにより、アクセス ポイントのイーサネット ポートの有線ネットワーク上で各 WLAN をセグメント化することもできます。

  • 接続モードとスタンドアロン モード

    Hybrid-REAP は、コントローラの背後にある LWAPP コントロール プレーンが稼動しているとき、つまり WAN リンクが停止していないときに接続モードになります。これに対して、スタンドアロン モードとは、H-REAP がコントローラに接続されずに稼動しているときの状態です。

注:アクセス ポイントが接続状態である場合、H-REAP のセキュリティ認証処理(バックエンドの RADIUS 認証や Pairwise Master Key(PMK)の導出など)は、すべてコントローラ側で実行されます。アクセス ポイントがどちらのモードであっても、802.11 のすべての認証およびアソシエーション処理は H-REAP で行われます。接続モードであるとき、H-REAP は、コントローラに対するこれらのアソシエーションと認証のプロキシ設定を行います。スタンドアロン モードであるとき、アクセス ポイントはこれらのイベントをコントローラに通知できません。

H-REAP の機能は、動作モード(接続モードまたはスタンドアロン モード)、各 WLAN のデータ スイッチング設定(中央スイッチングまたはローカル スイッチング)、ワイヤレス セキュリティによって異なります。

クライアントが H-REAP アクセス ポイントに接続すると、アクセス ポイントはすべての認証メッセージをコントローラに転送し、認証が成功すると、接続されている WLAN の設定に従って、データ パケットをローカルでスイッチするか、コントローラにトンネリングして戻します。クライアント認証メカニズムとデータ スイッチング動作の観点からすると、H-REAP 上の WLAN は、WLAN の設定およびアクセス ポイントとコントローラの接続状態に基づいて、次のいずれかの状態になります。

  • 中央認証、中央スイッチング:この状態では、WLAN に対して、アクセス ポイントがすべてのクライアント認証要求をコントローラに転送し、すべてのクライアント データもコントローラにトンネリングして戻します。この状態は、アクセス ポイントの LWAPP コントロール パスが稼動している場合にのみ有効です。つまり、H-REAP が接続モードの場合だけです。WAN がダウンした場合は、認証方式に関係なく、コントローラにトンネリングして戻されるすべての WLAN が失われます。

  • 中央認証、ローカル スイッチング:この状態では、WLAN に対して、コントローラがすべてのクライアント認証を処理し、H-REAP アクセス ポイントがデータ パケットをローカルでスイッチします。クライアントの認証が成功すると、コントローラは、LWAPP 制御コマンドを H-REAP に送信し、そのクライアントのデータ パケットをローカルでスイッチするようアクセス ポイントに指示します。このメッセージは、認証に成功したクライアントごとに送信されます。この状態は、接続モードの場合にのみ有効です。

  • ローカル認証、ローカル スイッチング:この状態では、H-REAP アクセス ポイントがクライアント認証処理とクライアント データ パケットのスイッチングをローカルで行います。この状態は、スタンドアロン モードの場合にのみ有効であり、アクセス ポイントにおいてローカルで処理できる認証タイプに対してのみ使用できます。

    注:すべてのレイヤ 2 ワイヤレス データの暗号化は、常にアクセス ポイントで処理されます。AP が接続状態の間は、すべてのクライアント認証処理がコントローラ側(または、WLAN とコントローラの設定によっては、コントローラのアップストリーム)で行われます。

  • 認証停止、ローカル スイッチング:この状態では、WLAN に対して、H-REAP は新しいクライアントの認証はすべて拒否しますが、既存のクライアントの接続を適切に維持するためにビーコンとプローブ応答の送信は継続します。この状態は、スタンドアロン モードの場合にのみ有効です。

    ローカルでスイッチされる WLAN の認証タイプが、コントローラ(またはその上流)での処理を必要とするタイプ(EAP 認証(ダイナミック WEP/WPA/WPA2/802.11i)、WebAuth、NAC など)に設定されている場合、WAN に障害が発生すると、WLAN は認証停止、ローカル スイッチング状態になります。それ以前の状態は、中央認証、ローカル スイッチング状態です。既存のワイヤレス クライアントの接続は維持され、ローカルの有線リソースへのアクセスは維持されますが、新たなアソシエーションは拒否されます。WebAuth を使用しているときにユーザの Web セッションがタイムアウトになった場合、または 802.1X を使用しているときにユーザの EAP 鍵の有効期間が過ぎて鍵の再発行が必要な場合、既存のクライアントは接続を失い、接続を拒否されます(この期間は RADIUS サーバごとに異なるため、標準はありません)。また、(H-REAP 間の)802.11 ローミング イベントが発生すると、完全な 802.1X 再認証が要求されるため、その時点で既存のクライアントはそれ以降の接続を許可されなくなります。

    このような WLAN のクライアント数が 0 になると、H-REAP は関連するすべての 802.11 機能を終了し、いずれの SSID に対するビーコンも発行しなくなるため、WLAN は認証停止、スイッチング停止という次の H-REAP 状態に移行します。

    注:コントローラ ソフトウェア リリース 4.2 以降では、802.1X、WPA-802.1X、WPA2-802.1X、または CCKM 用に設定された WLAN もスタンドアロン モードで動作できます。しかし、これらの認証タイプでは、外部 RADIUS サーバが設定されている必要があります。詳細については、後のセクションで説明します。

  • 認証停止、スイッチング停止:この状態では、H-REAP 上の WLAN が既存のクライアントのアソシエーションを解除し、ビーコンとプローブ応答の送信を停止します。この状態は、スタンドアロン モードの場合にのみ有効です。

    クライアント トラフィックをコントローラにトンネリングして戻すように設定されているすべての WLAN は、認証停止、スイッチング停止状態に移行します。また、コントローラに依存する中央型の認証タイプを実行するように設定されていて、クライアントが接続されていない WLAN もすべてこの状態になります。

    Hybrid-REAP アクセス ポイントがスタンドアロン モードになると、オープン、共通、WPA-PSK、または WPA2-PSK の認証用に設定された WLAN は、「ローカル認証、ローカル スイッチング」状態になり、新たなクライアント認証を続行します。

    コントローラ ソフトウェア リリース 4.2 以降では、これは、802.1X、WPA-802.1X、WPA2-802.1X、または CCKM 用に設定された WLAN の場合にも当てはまりますが、これらの認証タイプでは外部の RADIUS サーバが設定されている必要があります。その他の WLAN は、「認証停止、スイッチング停止」状態(WLAN が中央スイッチング用に設定されている場合)または「認証停止、ローカル スイッチング」状態(WLAN がローカル スイッチング用に設定されている場合)のいずれかになります。

    Hybrid-REAP アクセス ポイントは、スタンドアロン モードになると、中央でスイッチされる WLAN にあるすべてのクライアントの関連付けを解除します。Web 認証 WLAN では、既存のクライアントの関連付けは解除されませんが、関連付けされたクライアントの数が 0 になると、Hybrid-REAP アクセス ポイントはビーコンを送信しなくなります。また、Web 認証 WLAN に関連付けられた新しいクライアントに関連付け解除メッセージを送信します。ネットワーク アクセス制御(NAC)や Web 認証(ゲスト アクセス)などのコントローラに依存するアクティビティはディセーブルになり、アクセス ポイントは侵入検知システム(IDS)レポートをコントローラに送信しません。さらには、ネイバー検出、ノイズ、干渉、負荷、およびカバレッジの測定、ネイバー リストの使用、不正の含有と検出などのほとんどの Radio Resource Management(RRM)機能はディセーブルになっています。しかし、Hybrid-REAP アクセス ポイントは、スタンドアロン モードで Dynamic Frequency Selection(DFS; 動的周波数選択)をサポートします。

    注:コントローラが NAC 用に設定されている場合、クライアントは、アクセス ポイントが接続モードになっているときにのみ関連付けることができます。NAC がイネーブルになっていると、WLAN がローカル スイッチング用に設定されている場合であっても、健全ではない(隔離された)VLAN に割り当てられたクライアントのデータ トラフィックがコントローラを通過するように、健全ではない(隔離された)VLAN を作成する必要があります。クライアントが隔離された VLAN に割り当てられた後、そのデータ パケットはすべて中央でスイッチされます。

    Hybrid-REAP アクセス ポイントは、スタンドアロン モードになった後であってもクライアント接続を維持します。ただし、アクセス ポイントは、コントローラと接続を再確立してしまうと、すべてのクライアントの関係付けを解除し、コントローラから新しい設定情報を適用してから、クライアント接続を再度許可します。



H-REAP コントローラの検出

H-REAP は、Cisco Unified Wireless Network アーキテクチャにおけるアクセス ポイントのすべてのコントローラ検出メカニズムの特性をサポートします。アクセス ポイントは(DHCP によってダイナミックに、またはスタティック アドレス設定によって)IP アドレスを割り当てられると、IP ブロードキャスト、DHCP オプション 43、DNS、および Over-The-Air Provisioning(OTAP)を使用して、システム内のコントローラの検出を試みます。最後には、H-REAP は前回接続したコントローラの IP アドレスを使用します。LAP を WLC に登録するさまざまな方式の詳細は、『ワイヤレス LAN コントローラ(WLC)への Lightweight AP(LAP)の登録』を参照してください。

コントローラの検出については、いくつかの注意点があります。これらの注意点は、H-REAP だけでなくすべての Aironet アクセス ポイントに当てはまります。

  • DHCP オプション 43 は、DHCP 経由でアクセス ポイントに IP アドレスを受信する場合にのみ H-REAP で利用できる検出メカニズムです。

  • OTAP は、すでに Aironet アクセス ポイントがコントローラに接続されていて、コードがダウンロードされている場合にのみ動作します。出荷直後の状態では、無線ファームウェアが付属していないため OTAP は動作しません。また、OTAP を使用するには、OTAP がイネーブルになっているコントローラを近隣の他のアクセス ポイントが発見して接続状態になっている必要もあります。

  • H-REAP 機能をサポートしているアクセス ポイントは、LWAPP レイヤ 2 モードをサポートしません。コントローラは、レイヤ 3 LWAPP を使用して動作するように設定されている必要があります。

  • アクセス ポイントとコントローラの検出操作の詳細は、『Cisco 440X シリーズ ワイヤレス LAN コントローラの配備』を参照してください。

ソフトウェア リリース 4.0 以降では、これらの従来からのコントローラ検出メカニズムの他に、コンソール ポートを備えた Aironet アクセス ポイントでコンソール CLI 経由の手動プロビジョニングがサポートされるようになりました。これにより、アクセス ポイントでは、スタティック IP アドレス設定、ホスト名割り当て、およびアクセス ポイントの接続先コントローラの IP アドレスを手動で設定できるようになりました。つまり、他の検出メカニズムを使用できないサイトでは、アクセス ポイントが、コンソール ポート経由ですべての必要な接続設定を手動で設定できることを意味します。

この機能は(H-REAP 用に設定されたアクセス ポイントだけでなく)コンソール ポートを備えるすべての Aironet アクセス ポイントでサポートされていますが、H-REAP はブランチ オフィスのように DHCP サーバやコントローラ検出メカニズムを備えないサイトに設置されることが多いため、この機能は H-REAP を利用する場合には特に便利です。この新しいコンソール アクセス機能を利用すると、1 回目にプロビジョニングのために中央サイトに出荷し、2 回目にインストールのためにリモート サイトに出荷するという、H-REAP を 2 回出荷する手間がなくなります。



H-REAP ワイヤレス セキュリティ サポート

H-REAP のセキュリティ サポート機能は、すでに説明したモードと状態に応じて異なります。VPN などのデータ パスに対する制御を必要とするセキュリティ タイプは、コントローラがアクセス ポイントからトンネリングされて戻ってこないデータは制御できないため、ローカルでスイッチされる WLAN 上のトラフィックに対しては機能しません。その他のセキュリティ タイプは、H-REAP とコントローラの間のパスが稼動している限り、中央、ローカルのいずれでスイッチが行われるかに関係なく、すべての WLAN に対して機能します。このコンジットがダウンした場合は、これらのセキュリティ オプションの一部のみが機能し、新しいクライアントはローカルでスイッチされる WLAN にだけ接続できます。

前述したように、802.1X EAP 認証をサポートするには、スタンドアロン モードの Hybrid-REAP アクセス ポイントがそれら自体の RADIUS サーバを備えてクライアントを認証する必要があります。このバックアップ RADIUS サーバは、コントローラが使用するものにできます。コントローラ CLI 経由での個別の Hybrid-REAP アクセス ポイント、または GUI か CLI のいずれかを経由した Hybrid-REAP グループには、バックアップ RADIUS サーバを設定できます。個別のアクセス ポイント用に設定されたバックアップ サーバは、Hybrid-REAP グループ用の RADIUS サーバ設定をオーバーライドします。

Hybrid-REAP グループの設定方法の詳細は、『Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド、リリース 5.1』の「Hybrid-REAP グループの設定」セクションを参照してください。

接続モードの H-REAP では、コントローラは、クライアントがそのアクセス ポイントに関連付けるのを防止するために、クライアントの除外やブラックリストへの掲載を自由に行うことができます。この機能は、自動方式でも手動方式でも発生する場合があります。WLAN ごとのグローバルな設定に従い、認証試行の失敗の繰り返しから IP 盗用にいたるさまざまな理由で、任意の期間中、クライアントが除外される可能性があります。また、クライアントをこの除外リストに手動で入れることもできます。この機能は、アクセス ポイントが接続モードである間のみ実施可能です。ただし、この除外リストに掲載されているクライアントは、スタンドアロン モードになっている間でもアクセス ポイントに接続できなくなります。

VPN、Cranite、AirFortress などのセキュリティ タイプは、すべてのトラフィックが指定のポイント(VPN コンセントレータや Cranite/AirFortress アプライアンスなど)を通過する必要があるコントローラ委任を必要とします。したがって、そのようなセキュリティ ポリシー用に設定された WLAN は、ローカル スイッチング用には設定できません。このようなセキュリティ方式がローカルでスイッチされる H-REAP WLAN で必要とされる場合、VPN、Cranite、AirFortress のリソースは、クライアントがこれらのリソースに直接アクセスできるように H-REAP に対してローカルである必要があります。そのようなセキュリティ リソースが H-REAP においてローカルで利用可能である場合でも、コントローラもアクセス ポイントもそのようなセキュリティ ポリシーを強制することはできません。

注:MAC 認証を使用する WLAN(ローカルまたはアップストリーム)は、アクセス ポイントがスタンドアロン モードであるときには追加のクライアント認証を許可しなくなります。これは、同様に設定された 802.1X または WebAuth の WLAN が同じスタンドアロン モードで動作する仕組みと同じです。



トランクの有無

H-REAP アクセス ポイントは、802.1Q トランク リンクまたはタグ付けされていないアクセス リンクに接続されます。トランク リンクに接続されている場合、H-REAP アクセス ポイントは、ネイティブ VLAN 経由で LWAPP の制御およびデータ トラフィックをコントローラに戻します。ローカルでスイッチされる WLAN では、利用可能な任意の VLAN(ネイティブ、またはそれ以外)上にトラフィックをドロップできます。アクセス リンク(802.1Q 機能が無効なリンク)上で動作するように設定されている H-REAP では、すべての LWAPP メッセージおよびローカルでスイッチされるユーザ データを、タグ付けされていない単一の接続先サブネットに転送します。

H-REAP のスイッチポート モードを選択する際の一般的なガイドラインは次のとおりです。

  • ローカル スイッチングを行うように設定されている WLAN が複数あり、これらの SSID 上のトラフィックを異なるサブネットにドロップする必要がある場合は、トランク リンクを使用します。その場合は、アクセス ポイントとアップストリーム スイッチポートの両方で 802.1Q トランキングを行うように設定する必要があります。802.1Q トランキングを行うように H-REAP を設定するのは、最も一般的な設定であり、最大の柔軟性が提供されます。

  • ローカルでスイッチされる WLAN が 1 つしか存在しない場合、またはローカルでスイッチされる WLAN が複数あっても有線側の分離を必要としない場合は、アクセス リンクを使用します。LWAPP メッセージとユーザ データを分離する必要がある場合は、このような状況でもトランク リンクの方が望ましいことがあります。ただし、これは設定要件ではなく、セキュリティ リスクでもありません。

注:H-REAP アクセス ポイントは、デフォルトでは、タグ付けされていないアクセス リンク インターフェイスで動作します。



H-REAP の設計と機能の制限事項

H-REAP アクセス ポイントは、コントローラとの WAN リンク上に配置する設計になっているので、H-REAP を使用するワイヤレス ネットワークを設計する際にいくつかの注意事項があるだけでなく、一部の機能は完全に、または部分的にサポートされません。

各ロケーションの Hybrid-REAP アクセス ポイントの数について、導入上の制限はありません。

多くのリモート導入では少数の H-REAP しかないので、それぞれの H-REAP サイトでは Radio Resource Management(RRM)の機能が完全にはサポートされない可能性があります。H-REAP には完全な RRM コードがありますが、RRM の Transmit Power Control(TPC)アルゴリズムは 4 つ以上のアクセス ポイントが互いの範囲内に存在するまで起動されません。そのため、H-REAP インストレーションの中には、無線の電力をまったくダウンしないところもあります。そのように、そもそも無線の電力ダウンができない状況なので、H-REAP は、カバレッジ ホールを検出したときにそれを補正するための送信電力の調整を行いません。

スタンドアロン モードでは、コントローラの処理を必要とする H-REAP の RRM 機能はサポートされません。Dynamic Frequency Selection(DFS; 動的周波数選択)は、接続モードでもスタンドアロン モードでもサポートされます。

注:RRM の動作の詳細は、『Unified Wireless Networks における Radio Resource Manager』を参照してください。

デバイス ロケーションを正確に判断する能力は、H-REAP の数、密度、配置の違いによって、ロケーションごとに大幅に異なります。ロケーションの正確さは、どれだけ多くのデバイス信号情報を収集できるかに大きく依存しますが、これはデバイスから信号を受信できるアクセス ポイントの数に直接関係します。H-REAP 導入の範囲はさまざまなので、このロケーション情報が大幅に減少し、それに従ってロケーションの精度も損なわれる可能性があります。H-REAP 導入は可能な限り高い信頼性でデバイスのロケーションを示そうとしますが、このような環境では、シスコが公称するロケーション情報の精度はサポートされません。

注:H-REAP は、ロケーション サービスを提供する設計ではありません。したがって、シスコでは H-REAP 導入におけるロケーションの公称精度をサポートできません。

標準のレイヤ 2 ローミングはローカルでスイッチされる WLAN でサポートされています。このようなローミングを提供するには、ローカルでスイッチされる WLAN に割り当てられている VLAN が、ローミングを必要とするすべての H-REAP の間で一貫性を保っている必要があります。つまり、ローミング イベントの発生時にクライアントが再 DHCP を行う必要がないようにする必要があります。これは、このようなローミングに伴う遅延を短縮するのに役立ちます。

ローカルでスイッチされる WLAN にある H-REAP 間のローミング イベントは、WAN の遅延、RF の設計および環境特性、セキュリティ タイプとクライアント固有のローミング実装によって、50 〜 1500 ミリ秒かかります。

WLC バージョン 4.2.61.0 以降は、Cisco Centralized Key Management(CCKM)によって高速セキュア ローミングをサポートしています。Hybrid-REAP モードは、レイヤ 2 の高速セキュア ローミングを CCKM でサポートしています。この機能によって、クライアントが 1 つのアクセス ポイントからもう 1 つのアクセス ポイントにローミングするので、完全な RADIUS EAP 認証のニーズが回避されます。Hybrid-REAP アクセス ポイントで CCKM 高速ローミングを使用するには、Hybrid-REAP グループを設定する必要があります。

Hybrid-REAP グループ:Hybrid-REAP アクセス ポイントを適切に編成して管理するために、Hybrid-REAP グループを作成して、特定のアクセス ポイントをそのグループに割り当てることができます。1 つのグループにあるすべての Hybrid-REAP アクセス ポイントは、同じ CCKM、WLAN、およびバックアップ RADIUS サーバ設定情報を共有します。この機能は、リモート オフィスや 1 つの建物内のフロアで複数の Hybrid-REAP アクセス ポイントを所有しており、それらすべてを一度に設定したい場合に便利です。たとえば、それぞれのアクセス ポイントに同じバックアップ RADIUS サーバをいちいち設定しなくても、1 つの Hybrid-REAP グループに 1 つのサーバを設定することができます。コントローラごとに、最大 20 個の Hybrid-REAP グループ、そのグループごとに最大 25 個のアクセス ポイントを設定できます。

コントローラ ソフトウェア リリース 5.0.148.0 には、次の 2 つの新しい Hybrid-REAP グループ機能があります。

  • バックアップ RADIUS サーバ:スタンドアロン モードで Hybrid-REAP アクセス ポイントを許可するようにコントローラを設定して、バックアップ RADIUS サーバへの完全な 802.1X 認証を実行できます。プライマリ RADIUS サーバを 1 台設定することも、プライマリとセカンダリの両方の RADIUS サーバを設定することもできます。

  • ローカル認証:スタティックに設定された最大 20 名のユーザに対して LEAP または EAP-FAST 認証を実行するように、スタンドアロン モードで Hybrid-REAP アクセス ポイントを許可するようにコントローラを設定できます。コントローラは、それぞれの Hybrid-REAP アクセス ポイントがコントローラに加入すると、ユーザ名とパスワードのスタティック リストをそれらのアクセス ポイントに送信します。グループ内の各アクセス ポイントは、それ自体に関連付けられたクライアントのみの認証を行います。この機能は、自律アクセス ポイント ネットワークから LWAPP Hybrid-REAP アクセス ポイント ネットワークに移行し、自律アクセス ポイントで利用できる RADIUS サーバ機能を置き換えるために大規模なユーザ データベースの保守や別のハードウェア デバイスの追加を行う必要がないユーザにとっては理想的です。

Hybrid-REAP グループの設定方法の詳細は、『Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド、リリース 5.1』の「Hybrid-REAP グループの設定」セクションを参照してください。

すべての LWAPP ベースのアクセス ポイントと同様、H-REAP は Network Address Translation(NAT; ネットワーク アドレス変換)/Port Address Translation(PAT; ポート アドレス変換)境界の背後に配置され、コントローラはそれらの背後には配置されない可能性があります。真のマルチキャスト以外のすべての機能がこのような設計でサポートされています。マルチキャストのユニキャスト設定は問題なく動作しますが、コントローラのマルチキャスト機能のマルチキャスト設定のみは動作しません。



H-REAP WAN の考慮事項

H-REAP は特に WAN リンクにわたって動作する設計になっているので、そのようなインストレーション向けに最適化されています。H-REAP はこのようなリモート ネットワーク設計シナリオに対しては柔軟性を備えていますが、それでも H-REAP 機能を使用するネットワークを設計するときには、いくつかのガイドラインに従う必要があります。

  • Hybrid-REAP アクセス ポイントは、スタティック IP アドレスと DHCP アドレスのどちらでも導入できます。DHCP の場合、DHCP サーバがローカルで利用可能であり、ブートアップ時にアクセス ポイントに IP アドレスを提供する必要があります。

  • Hybrid-REAP は、最大 4 つのフラグメント化されたパケットまたは最小 500 バイトの Maximum Transmission Unit(MTU; 最大伝送ユニット)WAN リンクをサポートします。

  • ラウンドトリップ遅延は、アクセス ポイントとコントローラの間で 300 ミリ秒(ms)を超過してはならず、また、LWAPP または CAPWAP 制御パケットは他のすべてのトラフィックよりも優先される必要があります。

  • コントローラは、マルチキャスト パケットを、ユニキャスト パケットまたはマルチキャスト パケットの形式でアクセス ポイントに送信できます。Hybrid-REAP モードでは、アクセス ポイントはユニキャスト形式のみでマルチキャスト パケットを受け取ることができます。

  • Hybrid-REAP アクセス ポイントで CCKM 高速ローミングを使用するには、Hybrid-REAP グループを設定する必要があります。

  • Hybrid-REAP アクセス ポイントは、1 対 1 のネットワーク アドレス変換(NAT)設定をサポートします。また、真のマルチキャスト以外のすべての機能に対するポート アドレス変換(PAT)もサポートします。マルチキャストは、ユニキャスト オプションで設定された場合、NAT 境界を越えてサポートされます。Hybrid-REAP アクセス ポイントは、中央でスイッチされるすべての WLAN に対して真のマルチキャストが動作するときを除き、多対 1 の NAT/PAT 境界もサポートします。

  • Hybrid-REAP アクセス ポイントは複数の SSID をサポートします。

  • NAC アウトオブバンド統合は、Hybrid-REAP 中央スイッチング用に設定された WLAN のみをサポートします。Hybrid-REAP ローカル スイッチング用に設定された WLAN での使用はサポートしません。

  • Hybrid-REAP アクセス ポイント用のプライマリ コントローラとセカンダリ コントローラは、同じ設定である必要があります。同じ設定ではない場合、アクセス ポイントはその設定を失い、また、WLAN オーバーライド、AP グループの VLAN、スタティック チャネル番号などの特定の機能が正しく機能しなくなる可能性があります。さらに、Hybrid-REAP アクセス ポイントの SSID と両方のコントローラにあるそのインデックス番号は必ず複製します。

注:アップグレード中に、それぞれの AP は WAN リンクにわたって 4 MB のコードを取得する必要があります。それに伴い、Windows のアップグレードと変更も計画してください。

この遅延制限を確実にサポートするには、アクセス ポイントとコントローラの間の中間インフラストラクチャで、LWAPP 制御(UDP ポート 12223)または CAPWAP(UDP ポート 5246)を利用できるプライオリティの最も高いキューに割り振るようにプライオリティを設定することを強くお勧めします。LWAPP または CAPWAP 制御に設定したプライオリティがないと、他のネットワーク トラフィックが急激に増加した際に、WAN リンクの輻輳によってアクセス ポイントとコントローラの間のメッセージ(およびキープアライブ)が配信されなくなり、H-REAP アクセス ポイントが接続モードからスタンドアロン モードへ頻繁に移行する原因になります。WAN リンク経由で H-REAP AP の導入を計画しているネットワークの設計者は、使用しているすべてのアプリケーションをテストしておくことを強くお勧めします。

H-REAP の頻繁なフラッピングは、重大な接続の問題を引き起こします。ネットワークの適切なプライオリティ設定を行わない場合は、コントローラをリモート サイトに配置してワイヤレス アクセスの一貫性と安定性を確保するのが賢明です。

注:クライアント トラフィックをコントローラにトンネリングして戻すように H-REAP が設定されているかどうかにかかわらず、LWAPP または CAPWAP のデータ パスは、すべての 802.11 クライアント プローブと認証/アソシエーション要求、RRM ネイバー メッセージ、および EAP/Web 認証要求をコントローラに転送するために利用されます。そのため、LWAPP データ(UDP ポート 12222)または CAPWAP データ(UDP ポート 5247)がアクセス ポイントとコントローラの間ではブロックされないようにする必要があります。



H-REAP の設定

有線ネットワークの準備

H-REAP ネットワークを導入するための最初の手順は、H-REAP の接続先となるスイッチを設定することです。このスイッチ設定例には、ネイティブ VLAN の設定(H-REAP が LWAPP でコントローラと通信するサブネット)と、ローカルでスイッチされる 2 つの WLAN のクライアントからのデータが終端される 2 つのサブネットが含まれます。下に示すようにアップストリームのスイッチ経由でアクセス ポイントおよびローカルでスイッチされる WLAN のクライアントに IP アドレスが設定されていない場合、他の手段を経由して DHCP サービスを提供するか、アドレスをスタティックに割り当てる必要があります。お勧めするのは DHCP の使用ですが、アクセス ポイントにスタティック アドレスを割り当て、DHCP 経由でワイヤレス ユーザにアドレスを提供することもできます。わかりやすくするため、この例では不必要なスイッチ設定は除いてあります。

ip dhcp excluded-address 10.10.10.2 10.10.10.99

ip dhcp pool NATIVE
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
!
ip dhcp pool VLAN11
network 10.10.11.0 255.255.255.0
default-router 10.10.11.1
!
ip dhcp pool VLAN12
network 10.10.12.0 255.255.255.0
default-router 10.10.12.1
!
interface FastEthernet1/0/1
description H-REAP Example Config
switchport trunk encapsulation dot1q
switchport trunk native vlan 10
switchport trunk allowed vlan 10,11,12
switchport mode trunk
!
interface Vlan10
ip address 10.10.10.1 255.255.255.0
!
interface Vlan11
ip address 10.10.11.1 255.255.255.0
!
interface Vlan12
ip address 10.10.12.1 255.255.255.0
end

注:この例および以降のすべての設定で使用している実際の IP アドレス設定はあくまでも例です。IP アドレスの設定に関しては、個別のネットワークとそれぞれのニーズを考慮して計画する必要があります。

この設定例では、H-REAP は 1 番目のファストイーサネット インターフェイスに接続して、ネイティブ VLAN(VLAN 10)上のスイッチから DHCP 経由で IP アドレスを受け取ります。無関係なパケットの処理を制限するため、H-REAP に接続されるトランク リンクからは、不必要な VLAN を除いてあります。VLAN 11 と 12 は、それぞれが属する 2 つの WLAN のクライアントに IP アドレス設定を提供するように準備されています。

注:H-REAP の接続先スイッチには、ルーティング インフラストラクチャへのアップストリーム接続が必要です。H-REAP のベスト プラクティスでは、リモート サイトおよび WAN ルーティング インフラストラクチャにおいて LWAPP 制御(UDP ポート 12223)を優先させるように設定することが規定されています。

次に示すのは、LWAPP トラフィックを優先するために H-REAP AP が接続されたアップストリーム ルータのサンプル設定です。

ip cef
!
frame-relay switching
!
class-map match-all 1
  match access-group 199
!
policy-map mypolicy
  class 1
   bandwidth 256
!
interface Serial0/0
ip address 10.1.0.2 255.255.255.0
encapsulation frame-relay
frame-relay interface-dlci 101
frame-relay intf-type dce
service-policy output mypolicy
!
access-list 199 permit udp any any eq 12223


CLI コマンドを使用した H-REAP コントローラの検出

通常、H-REAP は DHCP オプション 43 または DNS 解決によってアップストリームのコントローラを検出します。どちらの方式も利用できない場合は、各 H-REAP の接続先コントローラの IP アドレスで設定できるよう、リモート サイトの管理者に詳細な指示を提供する方法があります。また、H-REAP の IP アドレスは手動で設定することもできます(DHCP を利用できない、または利用しない場合)。

この例では、アクセス ポイントのコンソール ポートを使用して H-REAP の IP アドレス、ホスト名、およびコントローラの IP アドレスを設定する方法について説明します。

AP_CLI#lwapp ap hostname ap1130
ap1130#lwapp ap ip address 10.10.10.51 255.255.255.0
ap1130#lwapp ap ip default-gateway 10.10.10.1
ap1130#lwapp ap controller ip address 172.17.2.172

注:工場出荷時の設定でこれらの CLI コマンドをサポートするには、LWAPP 対応の IOS(R) Recovery Image Cisco IOS ソフトウェア リリース 12.3(11)JX1 以降がアクセス ポイントで稼動している必要があります。2006 年 6 月 13 日以降に出荷された LAP の SKU プレフィクス付きのアクセス ポイント(AIR-LAP-1131AG-A-K9 など)では、Cisco IOS ソフトウェア リリース 12.3(11)JX1 以降が稼動しています。これらのコマンドは、製造元から出荷され、このコード レベルが稼動するアクセス ポイント、このレベルに手動でアップグレードされたコードを搭載するアクセス ポイント、またはバージョン 4.0 以降が稼動するコントローラに接続することで自動的にアップグレードされたアクセス ポイントに使用できます。

これらの設定コマンドは、アクセス ポイントがスタンドアロン モードの場合にのみ受け付けられます。

アクセス ポイントがこれまで一度もコントローラに接続されたことのない場合、アクセス ポイントのデフォルトの CLI パスワードは Cisco です。アクセス ポイントがコントローラに接続された後は、パスワードを変更しないと、アクセス ポイントのコンソールから CLI 設定を行うことはできません。この CLI のみのコマンドは、次の構文でコントローラから入力されます。

(WLC_CLI)>config ap username <user-id> password <passwd> {all | <AP name>}

上記のアクセス ポイントの場合、このコマンドは次のように使用できます。

(WLC_CLI)>config ap username admin password pass ap1130

注:このコマンドではユーザ名を作成する必要がありますが、このフィールドは現時点では実装されておらず、将来の使用するために予約されています。

注:すべての show コマンドと debug コマンドは、アクセス ポイントのデフォルトのパスワードを変更しなくても問題なく動作します。



H-REAP コントローラの設定

H-REAP がコントローラを検出して加入した後は、コントローラの Web インターフェイスまたはコマンドライン インターフェイスを使用して H-REAP のすべての設定を行います(あるいは、Wireless Control System(WCS)を使用して中央で設定することもできます)。このセクションで説明する H-REAP の設定は、コントローラのグラフィカル インターフェイスを使用して行われています。

最初に、必要な WLAN の作成と設定を行います。この設定例で使用する WLAN は次のとおりです(必要に応じて、設定を変更してください)。

WLAN SSID

セキュリティ

スイッチング

Corporate

WPA2(802.1X)

ローカル

RemoteSite

WPA2 - PSK

ローカル

Guest

WebAuth

中央(DMZ コントローラにトンネリング)

H-REAP アクセス ポイントが H-REAP として動作するには、接続先のコントローラに少なくとも 1 つのローカルでスイッチされる WLAN が必要です(これがないと、H-REAP のハイアベイラビリティ機能は実現されません)。

ローカルでスイッチされる WLAN を設定するには、次の手順を実行します。

  1. コントローラのメイン ページに移動し、[WLANs] を選択して、[New] をクリックします。

  2. WLAN の名前(これは SSID としても使用されます)を入力し、[Apply] をクリックします。

    h-reap-design-deploy-2.gif

  3. [WLANs] > [Edit] ページで [Security] タブをクリックします。[Layer 2 Security] の下でセキュリティ タイプを選択します。

    この例では、WPA2-PSK を使用します。[WPA+WPA2] を選択します。

    h-reap-design-deploy-3.gif

  4. [WPA2 Policy] にチェックマークを入れて WLAN の WPA 動作を指定します。

  5. [AES] にチェックマークを入れて暗号化方式を設定します。

  6. [Auth Key Mgmt] ドロップダウン メニューから [PSK] を選択します。

    使用する鍵形式に応じて、[ascii] または [hex] を選択します。どちらを選択するかは、使いやすさとクライアントのサポートに基づきます。通常は、ascii の方が英数字を使用できるので簡単です。[ascii] を選択し、使用する事前共有鍵を入力します。

  7. [Advanced] タブをクリックします。[H-REAP Local Switching] にチェックマークを入れて、WLAN の動作が有効になっていることを確認します。

    h-reap-design-deploy-4.gif

    この手順を行わないと、H-REAP アクセス ポイントにおいてローカルでデータを終端できなくなるか、あるいはアクセス ポイントがスタンドアロン モードの場合、データがまったく提供されなくなります。

    注:H-REAP モードで動作するように設定されていないアクセス ポイントは、[H-REAP Local Switching] 設定を無視して、すべてのクライアント トラフィックをコントローラにトンネリングして戻します。

    H-REAP WLAN の設定が完了したら、H-REAP モードで動作するようにアクセス ポイントを設定できます。

  8. アクセス ポイントによるコントローラの検出と加入が完了したら、コントローラの Web GUI で [Wireless] ページに移動し、該当するアクセス ポイントの隣にある [Details] をクリックします。

  9. [AP Mode] のドロップダウン メニューから [H-REAP] を選択して、アクセス ポイントの動作モードをデフォルトのローカル モードから H-REAP モードに変更します。

    h-reap-design-deploy-5.gif

  10. [Apply] をクリックします。モードの設定を有効にするには、アクセス ポイントをリブートする必要があります。

    h-reap-design-deploy-6.gif

    アクセス ポイントは、リブートが完了すると、コントローラを再検出して、再び加入します。

  11. コントローラ GUI の [Wireless] ページに戻り、同じアクセス ポイントの [Details] リンクを再び選択します。

    デフォルトでは、H-REAP はトランク リンクで動作するようには設定されていません。接続先のスイッチポートがトランク リンクに設定できる場合でも、アクセス ポイントはネイティブ VLAN 経由でコントローラと通信します。スイッチポートがトランク リンクで、H-REAP をこのモードで動作させる必要がある場合は、VLAN サポートをイネーブルにする必要があります。

  12. [H-REAP] タブをクリックします。[VLAN Support] にチェックマークを入れます。

  13. H-REAP の接続先であるスイッチポートの設定に基づいて、アクセス ポイントのネイティブ VLAN ID 番号を [Native VLAN ID] の隣に入力します(この例では VLAN 10)。

    h-reap-design-deploy-8.gif

  14. [Apply] をクリックして変更を適用します。

    H-REAP は指定された設定パラメータを基にしてイーサネット ポートの設定をリセットするので、アクセス ポイントは一時的にコントローラとの接続を失う場合があります。この可能性がポップアップ ウィンドウで警告されます。[OK] をクリックします。

    h-reap-design-deploy-9.gif

    注:このポップアップで警告されているように、ごくまれにアクセス ポイントが無効状態でコントローラに再加入する場合があります。その場合は、コントローラの [Wireless] ページでそのアクセス ポイントの [Details] リンクを再び選択します。次に、[Admin Status] の隣の [Enable] を選択します。設定を適用し、設定作業を続けます。

  15. 該当するアクセス ポイントの [Details] ページに移動して [H-REAP] タブをもう一度選択し、[VLAN Mapping] をクリックして、ローカルでスイッチされる WLAN ごとに 802.1Q タグの設定を行います。

    h-reap-design-deploy-10.gif

  16. ローカルでスイッチされる WLAN ごとに、クライアント トラフィックを終端する VLAN を設定します。

    注:H-REAP ローカル スイッチングをサポートするように設定されていない WLAN については、ここで 802.1Q タグを設定することはできません。クライアント データは終端のためにコントローラにトンネリングして戻されるので、これらの WLAN に対する VLAN の設定は、コントローラのグローバル設定に設定されます。

    注:ローカルでスイッチされる WLAN では、すべて同じ VLAN ID を共有することもできますが、異なる割り当 トを行うこともできます。H-REAP のスイッチポートに割り当て済みの VLAN が存在する限り、これに関する制限はありません。

  17. [Apply] をクリックして変更を保存します。

    VLAN/WLAN マッピングが変更される間、WLAN サービスは一時的に中断されます。[OK] をクリックしてこれを確認します。

    h-reap-design-deploy-11.gif

これで、必要な WLAN の作成と設定が完了し、H-REAP モードで動作するようにアクセス ポイントが設定され、VLAN のサポートがイネーブルになり、ローカルでスイッチされる WLAN ごとに VLAN が設定されました。各 VLAN で DHCP サービスが利用可能になっていれば、クライアントは各 WLAN に接続し、それぞれの VLAN でアドレスを受け取って、トラフィックを渡すことができます。H-REAP の設定は以上で完了です。



H-REAP のトラブルシューティング

H-REAP の円滑な設定やクライアント接続を妨げる可能性がある一般的な状況がいくつかあります。ここでは、そのような状況の一部と、推奨される解決策について説明します。



H-REAP がコントローラに加入しない

この問題は、いくつかの原因で発生します。最初に次のことを確認します。

  • 各 H-REAP には IP アドレスが適切に割り当てられている必要があります。

    アクセス ポイントのコンソールから DHCP を使用している場合は、アクセス ポイントがアドレスを受け取っていることを確認します。

    AP_CLI#show dhcp lease
    

    アクセス ポイントのコンソールからスタティック アドレスを使用している場合は、正しい IP アドレスが適用されていることを確認します。

    AP_CLI#show lwapp ip config
    

    設定に誤りがある場合は修正します。

  • アクセス ポイントで IP 接続が確立されていて、コントローラの管理インターフェイスに ping を発行できることを確認します。

    IP アドレスの設定を確認したら、コントローラの管理 IP アドレスに ping を発行して、アクセス ポイントがコントローラと通信できていることを確認します。アクセス ポイントのコンソールから次の構文を使用して ping コマンドを実行します。

    AP_CLI#ping <WLC management IP address>
    

    ping が成功しない場合は、アップストリームのネットワークが正しく設定されていて、社内ネットワークへの WAN アクセスが利用可能であることを確認します。コントローラが稼動していて、NAT/PAT 境界の背後に配置されていないことを確認します。すべての中間ファイアウォールで UDP ポート 12222 および 12223 が開放されていることを確認します。コントローラからアクセス ポイントに同じ構文で ping を発行します。

  • アクセス ポイントとコントローラの間に LWAPP 接続があることを確認します。

    H-REAP とコントローラの間の IP 接続を確認した後は、コントローラ上で LWAPP デバッグを実行し、WAN 経由で LWAPP メッセージが送受信されていることを確認し、関連する問題を特定します。最初に、コントローラ上で、デバッグ出力の範囲を制限するための MAC フィルタを作成します。後のコマンドの出力を 1 つのアクセス ポイントに限定するには、次のコマンドを使用します。

    AP_CLI#debug mac addr <AP’s wired MAC address>
    

    デバッグ出力を制限するように設定したら、LWAPP のデバッグを有効にします。

    AP_CLI#debug lwapp events enable
    

    LWAPP デバッグ メッセージが表示されない場合は、コントローラを検出するための方式が少なくとも 1 つ H-REAP で設定されていることを確認します。これらの方式(DHCP オプション 43 や DNS など)が設定されている場合は、設定内容が適切であることを確認します。検出方式が何も設定されていない場合は、コンソール CLI を使用して、コントローラの IP アドレスがアクセス ポイントに入力されていることを確認します。

    AP_CLI#lwapp ap controller ip address <WLC management IP address>
    
  • コントローラと H-REAP の両方で LWAPP の動作を確認します。

    H-REAP で少なくとも 1 つのコントローラ検出方式が利用できる場合は、アクセス ポイントからコントローラに LWAPP メッセージが送信されていることを確認します。このコマンドはすでにデフォルトでイネーブルになっています。

    AP_CLI#debug lwapp client errors
    

    アクセス ポイントがどのコントローラと通信しているかについては、そのアクセス ポイントから送信されている UDP メッセージの IP アドレスによって確認できます。アクセス ポイントの IP スタックを通過する各パケットの送信元アドレスと宛先アドレスを確認します。

    AP_CLI#debug ip udp
    

    アクセス ポイントがコントローラと通信していることがアクセス ポイントのコンソールで報告される場合は、アクセス ポイントがクラスタ内の別のコントローラに加入している可能性があります。H-REAP がコントローラに接続しているかどうかを確認するには、次のコマンドを使用します。

    AP_CLI#show lwapp reap status
    
  • アクセス ポイントが正しいコントローラに加入していることを確認します。

    検出フェーズの間に別のコントローラの IP アドレスがアクセス ポイントに渡された場合は、H-REAP が別のコントローラに加入している可能性があります。検出メカニズムによって渡されたコントローラの IP アドレスが正しいことを確認します。アクセス ポイントが現在加入しているコントローラであることを確認します。

    AP_CLI#show lwapp reap status
    

    コントローラの Web GUI にログインします。コントローラのモビリティ リストにすべてのコントローラの IP アドレスと MAC アドレスが入っており、すべてが同じモビリティ グループ名を共有していることを確認します。次に、アクセス ポイントのプライマリ、セカンダリ、三次のコントローラを設定し、どのコントローラにアクセス ポイントが加入するかを指定します。この指定は、アクセス ポイントの [Details] リンクで行います。H-REAP が別のコントローラに加入する問題が解決しない場合は、システム全体のアクセス ポイントを管理する WCS 機能を使用することで大きく改善される可能性があります。

  • アクセス ポイントがコントローラへの加入を試みても失敗する場合は、証明書の問題のトラブルシューティングを行います。

    コントローラに LWAPP メッセージが送信されているにもかかわらず、アクセス ポイントが加入に失敗する場合は、証明書に問題がある可能性があります。証明書の問題のトラブルシューティングを含め、LWAPP のトラブルシューティングのヒントについては、『LWAPP アップグレード ツールのトラブルシューティングのヒント』を参照してください。



H-REAP のコンソール コマンドが機能せず、エラーを返す

H-REAP の CLI から設定コマンド(設定の適用またはクリア)を実行すると、「ERROR!!!Command is disabled」というメッセージが返されることがあります。この場合、次の 2 つの原因が考えられます。

  • 接続モードである H-REAP アクセス ポイントは、コンソール経由で設定を適用またはクリアすることができません。アクセス ポイントがこの状態の場合、コントローラ インターフェイスから設定を行う必要があります。アクセス ポイント側で設定コマンドを利用する必要がある場合は、設定コマンドを入力する前に、アクセス ポイントがスタンドアロン モードであることを確認します。

  • アクセス ポイントを過去に 1 回でもコントローラに接続したことがある場合は(H-REAP がスタンドアロン モードに戻っているとしても)、新しいパスワードを設定しない限り、そのアクセス ポイントのコンソールでは設定コマンドを実行できません。それぞれの H-REAP のパスワードを変更する必要があります。パスワードの変更は、アクセス ポイントが接続しているコントローラの CLI からのみ実行できます。各アクセス ポイントのコンソール パスワード、またはすべてのコントローラのアクセス ポイントへのパスワードを設定するには、コントローラで次のコマンド構文を使用します。

    (WLC_CLI)>config ap username <user-id> password <passwd> {all | <AP name>}
    

    注:コンソール パスワードが設定されていないアクセス ポイントの場合は、コントローラでコマンドが入力された時点で初めて、この設定がアクセス ポイントに送信されます。それ以降にこのコントローラに加入したアクセス ポイントに対しては、コマンドを再度入力する必要があります。

    アクセス ポイントにデフォルト以外のパスワードが設定されていて、アクセス ポイントがスタンドアロン モードであっても、アクセス ポイントはこれらのコマンドへのアクセスを許可しません。H-REAP 設定の変更を有効にするには、既存のスタティック IP アドレスと、コントローラの IP アドレス設定を削除する必要があります。この設定は LWAPP Private Configuration と呼ばれ、新しいアクセス ポイント CLI コマンドを入力する前に削除する必要があります。そのためには、次のコマンドを入力します。

    AP_CLI#clear lwapp private-config
    

    注:あるいは、コントローラに加入したときに、AP を工場出荷時のデフォルト状態に戻すこともできます。WLC GUI の [Wireless] ヘッディングの下にある AP の詳細ページで、[Clear Config] ボタンをクリックします。AP は設定が消去され、リブートされます。

    注:すべての show コマンドと debug コマンドは、デフォルト以外のパスワードが設定されておらず、AP が接続モードであっても問題なく動作します。

    この時点で初めて LWAPP の設定が可能になります。



クライアントが H-REAP に接続できない

次の手順を実行します。

  1. アクセス ポイントがコントローラに正しく加入していること、コントローラに少なくとも 1 つの WLAN が正しく設定されてイネーブルになっていること、および H-REAP がイネーブル状態になっていることを確認します。

  2. クライアント端末で、WLAN の SSID が使用可能であることを確認します(コントローラ側でその SSID にブロードキャストを行うよう WLAN を設定すると、このトラブルシューティング手順に役立ちます)。WLAN のセキュリティ設定をクライアントにミラーリングします。接続に関する問題の大半は、クライアント側のセキュリティ設定によって発生します。

  3. ローカルでスイッチされる WLAN のクライアントにおいて IP アドレスが正しく設定されていることを確認します。DHCP を使用している場合は、アップストリームの DHCP サーバが正しく設定されていて、クライアントにアドレスを提供していることを確認します。スタティック アドレスを使用している場合は、クライアントが正しいサブネットに対して適切に設定されていることを確認します。

  4. H-REAP のコンソール ポートでさらにクライアント接続問題のトラブルシューティングを行うには、次のコマンドを入力します。

    AP_CLI#show lwapp reap association
    
  5. コントローラでさらにクライアント接続問題のトラブルシューティングを行い、さらにデバッグの出力を制限するには、次のコマンドを入力します。

    AP_CLI#debug mac addr <client’s MAC address>
    
  6. クライアントの 802.11 接続の問題をデバッグするには、次のコマンドを使用します。

    AP_CLI#debug dot11 state enable
    
  7. クライアントの 802.1X 認証処理およびその障害をデバッグするには、次のコマンドを使用します。

    AP_CLI#debug dot1x events enable
    
  8. バックエンド コントローラ/RADIUS のメッセージをデバッグするには、次のコマンドを使用します。

    AP_CLI#debug aaa events enable
    
  9. また、クライアント デバッグ コマンドの完全なセットをイネーブルにするには、次のコマンドを使用します。

    AP_CLI#debug client <client’s MAC address>
    


H-REAP は NAT の背後で機能するのか。スタティック NAT を使用した導入で、WLC と H-REAP AP をスタティック NAT の背後に配置できるのか

AP に関しては可能です。AP ソース ポートが NAT デバイスによる操作中は変更されないことを確認します。通常、スタティック NAT を使用する場合は、問題にはなりません。ただし、次の点を考慮する必要があります。

  • AP とコントローラの間には、LWAPP データと LWAPP 制御という、NAT 処理された 2 つの主な UDP ダイアログがあります。

  • AP 内のソース ポートは一時的なダイナミック ポートです(1024 より上)。コントローラでは、これは固定の宛先ポートです(12222、12223)。

  • UDP 変換はタイムアウトに基づいています。つまり、現在のエントリは X 時間の間、作成されたままであり、その後、使用されない場合には削除されます。これは、タイムアウトに基づいています(時間が短いか、長いかは NAT デバイスによって異なります)。

  • LWAPP 制御はアクティブです。一般に、30 秒ごとに 1 パケットを送信することを想定します(エコー キープアライブ)。つまり、LWAPP 制御の NAT 変換に対しては、NAT タイムアウトが更新され続けることを想定できます。

  • アクティビティがある場合、LWAPP データはトラフィックを送信するのみです。クライアントがそばに存在しない AP の場合、LWAPP データ NAT 変換エントリは期限切れになる可能性があり(アクティビティがない状態が 90 秒以上など)、また、AP が新しいトラフィックを送信する場合に NAT デバイスは新しいエントリを作成します。新しいエントリが同一のソース ポート番号である場合、問題は発生しません。ただし、UDP ソース ポートが変更し、WLC がそれをドロップすると、新しい LWAPP データ トンネル情報は、AP がコントローラに加入する前に作成されたものと一致しなくなります。

    そのため、NAT デバイスが AP と WLC の間のトラフィック用の UDP ソース ポートを常に維持する限り、アクティビティがないことによって UDP 変換が期限切れになった後であっても機能します。そうでない場合、データ トラフィックがドロップされ、AP がコントローラに加入することを終了しても、ワイヤレス クライアント用のデータ トラフィックはありません。

H-REAP のトラブルシューティングの詳細は、『ハイブリッド リモート エッジ アクセス ポイント(H-REAP)の基本的なトラブルシューティング』を参照してください。



H-REAP に関する Q&A

Q. H-REAP のようにリモートの場所に LAP を設定する場合、その LAP にプライマリ コントローラやセカンダリ コントローラを提供できますか。

例:サイト A にプライマリ コントローラがあり、サイト B にセカンダリ コントローラがあるとします。

サイト A のコントローラに障害が発生した場合、LAP はサイト B のコントローラにフェールオーバーを行います。両方のコントローラが利用不可能になった場合、LAP は H-REAP ローカル モードになりますか。

A. はい。まず、LAP は、そのセカンダリにフェールオーバーします。ローカルでスイッチされるすべての WLAN に変更はなく、中央でスイッチされるすべての WLAN はトラフィックを新しいコントローラに送信します。また、セカンダリに障害が発生した場合、ローカル スイッチング用とマークされたすべての WLAN(およびオープン/事前共有鍵認証/ユーザが AP オーセンティケータである)はアップ状態のままです。

Q. ローカル モードで設定されているアクセス ポイントは、H-REAP ローカル スイッチングで設定された WLAN をどのように扱うのですか。

A. ローカル モードのアクセス ポイントは、これらの WLAN を通常の WLAN として扱います。認証とデータ トラフィックは WLC にトンネリングして戻されます。WAN リンクの障害が発生しているとき、この WLAN は完全にダウンしており、WLC への接続が回復するまでこの WLAN のクライアントはアクティブになりません。

Q. ローカル スイッチングで Web 認証を実行できますか。

はい。SSID の Web 認証をイネーブルにして、Web 認証の後にローカルでトラフィックをドロップできます。ローカル スイッチングを伴う Web 認証は問題なく動作します。

Q. H-REAP によってローカルで処理される SSID 用にコントローラで自分のゲスト ポータルを使用できますか。使用できる場合、コントローラへの接続が失われたときにはどうなりますか。現在のクライアントは即座にドロップしますか。

はい。この WLAN はローカルでスイッチされるため、WLAN は利用可能ですが、Web ページは利用可能ではないため新しいクライアントは認証できません。しかし、既存のクライアントはドロップされません。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 71250