ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

ワイヤレス LAN コントローラ(WLC)の設定のベスト プラクティス

2009 年 1 月 14 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 11 月 16 日) | 英語版 (2013 年 10 月 18 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
ベスト プラクティス
      ワイヤレス/RF
      ネットワーク接続
      ネットワーク設計
      モビリティ
      セキュリティ
      一般的な管理
      WLC のクラッシュ ファイルを WLC CLI から TFTP サーバに転送する方法
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Technical Assistance Center(TAC)に寄せられる一般的ないくつかの Wireless Unified Infrastructure の問題について、設定に関する簡単なヒントを紹介しています。

このドキュメントの目的は、問題が発生する可能性を最小限に抑えるために、ほとんどのネットワーク実装に適用できる重要な事項を説明することです。

注:ネットワークはすべて同じではないため、実際の導入環境には該当しないヒントもあります。実稼働中のネットワークに何らかの変更を行う場合には、必ずこのことを確認してください。

前提条件

要件

次の項目に関する知識があることを推奨します。

  • Wireless LAN Controller(WLC)と Lightweight Access Point(LAP; Lightweight アクセス ポイント)の基本動作のための設定方法に関する知識

  • Lightweight Access Point Protocol(LWAPP; Lightweight アクセス ポイント プロトコル)とワイヤレスのセキュリティ方式に関する基本的な知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア 4.2 または 5.0 が稼働する Cisco 2000/2100/4400 シリーズの WLC

  • LWAPP ベースのアクセス ポイント、シリーズ 1230、1240、1130、10x0、1510

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ベスト プラクティス

ワイヤレス/RF

ワイヤレス/radio frequency(RF; 無線周波数)に関するベスト プラクティスを列挙します。

  • ワイヤレス展開を行う場合には、必ず正確なサイト調査を行って、ワイヤレス クライアントに適切な品質のサービスを提供できるようにします。音声やロケーションの展開のための要件は、データ サービスに対する要件よりも厳格です。Auto RF はチャネルや出力の設定管理には有効ですが、不適切な RF 設計を修正することはできません。

  • サイト調査は、出力や伝搬動作が実際のネットワークで使用するデバイスに一致するデバイスを使用して行う必要があります。たとえば、最終的なネットワークで 802.11a および g 対応の 1240 シリーズのデュアル無線を使用する場合に、全方向性アンテナを備えた 350 シリーズの 802.11b 無線装置をカバレッジの調査に使用しないでください。

  • これに関連して、コントローラに設定する service set identifier(SSID; サービスセット ID)の数を制限します。使用するアクセス ポイントのモデルに基づいて、同時に 8 〜 16 の SSID を設定している場合もありますが、各 WLAN/SSID は別々のプローブ応答やビーコンを必要とするため、SSID の追加により RF 汚染が進みます。その結果、PDA、WiFi 電話、バーコード スキャナなどの小規模なワイヤレス ステーションの一部で、多数の Basic SSID(BSSID; 基本 SSID)情報を処理できなくなります。これにより、ロックアップ、リロード、あるいは関連付けの失敗が発生します。また、SSID の数が増えると、必要なビーコンも増えるため、実際のデータ転送に使用できる RF の空きが少なくなります。

  • 壁で区切られていない大規模な空間にアクセス ポイントを設置している工場のように、クリアな空間がある RF 環境では、伝送パワーのしきい値をデフォルトの -65 dBm から、さらに低い値の -76 dBm などに調整する必要がある場合があります。これにより、共同チャネル干渉(ある瞬間に 1 つのワイヤレス クライアントから受信する BSSID の数)を低減できます。最適な値は各サイトの環境特性によって異なるため、サイト調査で慎重に調べる必要があります。

    伝送パワーのしきい値:この値は dBm で表し、Transmit Power Control(TPC; 伝送パワー制御)アルゴリズムによってパワーのレベルが下方調整される際の遮断信号レベルです。この値は 3 番目に強度の強い近隣 AP を受信できる強さになります。

  • 一定数を超える BSSID(たとえば、24 個または 32 個の BSSID)が受信されると、一部の 802.11 クライアント ソフトウェアでは障害が発生する場合があります。伝送パワーのしきい値、つまり平均的な AP の伝送レベルを下げると、そのクライアントが受信する BSSID の数を減らすことができます。

  • ネットワークで、エリア内にアクセス ポイントが高密度に配置されていない場合、そしてワイヤレス上で音声が伝送されている場合は、アグレッシブ ロード バランシングをイネーブルにしないでください。互いに離れているアクセス ポイントでこの機能をイネーブルにすると、一部のクライアントでのローミング アルゴリズムが混乱し、場合によってはカバレッジ ホールが発生することがあります。最新のソフトウェア バージョンでは、この機能はデフォルトでディセーブルになっています。この機能を音声ネットワークに使用しないこと、および一部の古いクライアントでは AP からのロード バランシング応答の認識に問題があることに留意してください。

ネットワーク接続

ネットワーク接続に関するベスト プラクティスを列挙します。

  • コントローラでスパニング ツリーを使用しないでください。

    ほとんどのトポロジでは、Spanning Tree Protocol(STP; スパニング ツリー プロトコル)をコントローラで実行する必要はありません。STP はデフォルトでディセーブルになっています。

    Cisco 以外のスイッチでも、ポートごとに STP をディセーブルにすることを推奨いたします。

    確認には、次のコマンドを使用してください。

    Cisco Controller) >show spanningtree switch 
    
    STP Specification...................... IEEE 802.1D
    STP Base MAC Address................... 00:18:B9:EA:5E:60
    Spanning Tree Algorithm................ Disable 
    STP Bridge Priority.................... 32768
    STP Bridge Max. Age (seconds).......... 20
    STP Bridge Hello Time (seconds)........ 2
    STP Bridge Forward Delay (seconds)..... 15
    
  • ほとんどのコントローラの設定は、「ただちに」適用されますが、次の設定を変更した後にはコントローラをリロードすることを推奨いたします。

    • 管理用アドレス

    • SNMP の設定:古いバージョンのソフトウェアを使用している場合には非常に重要です。

  • コントローラに接続されているすべてのトランク ポートで、使用されていない VLAN をフィルタで除外するようにします。

    たとえば、Cisco IOS(R) スイッチで管理用インターフェイスが VLAN 20 にあり、さらに VLAN 40 と 50 が 2 つの異なる WLAN 用に使用されている場合、スイッチ側では次の設定コマンドを使用します。

    switchport trunk allowed vlans 20,40,50
    
  • 未設定のサービス ポートなど、インターフェイスのアドレスを 0.0.0.0 のままにしないでください。これによってコントローラでの DHCP の処理に影響が生じることがあります。

    確認する方法を次に示します。

    (Cisco Controller) >show interface summary             
    Interface Name        Port  Vlan Id   IP Address       Type     Ap Mgr
    --------------------  ----  --------  ---------------  -------  ------
    ap-manager            LAG   15        192.168.15.66    Static   Yes 
    example            LAG   30       0.0.0.0       Dynamic No    
    management            LAG   15        192.168.15.65    Static   No    
    service-port          N/A   N/A       10.48.76.65      Static   No    
    test                  LAG   50        192.168.50.65    Dynamic  No    
    virtual               N/A   N/A       1.1.1.1          Static   No
    
  • コントローラのすべてのポートがスイッチ側で同じレイヤ 2 設定である場合を除き、LAG(link aggregation group; リンク集約グループ)を使用しないでください。たとえば、あるポートでは一部の VLAN がフィルタされ、他のポートではフィルタされなくなるのを回避します。

  • LAG を使用する場合、ネットワークから着信するトラフィックのロード バランシングの決定について、コントローラはスイッチに依存します。ある AP(LWAPP またはワイヤレス ユーザ向けのネットワーク)に属するトラフィックは、常に同じポートから着信するものと想定されています。スイッチの EtherChannel の設定では、ip-src または ip-src ip-dst のロード バランシング オプションだけを使用してください。スイッチの一部のモデルでは、デフォルトではサポートされていないロード バランシング方式を使用していることがあるため、確認することが大切です。

    EtherChannel のロード バランシング方式を確認する手順を次に示します。

    switch#show etherchannel load-balance 
    EtherChannel Load-Balancing Configuration:
    src-dst-ip
    
    EtherChannel Load-Balancing Addresses Used Per-Protocol:
    Non-IP: Source XOR Destination MAC address
    IPv4: Source XOR Destination IP address
    IPv6: Source XOR Destination IP address
    

    スイッチの設定を変更する方法は次のとおりです(IOS)。

    switch(config)#port-channel load-balance src-dst-ip 
    
  • 複数のスイッチにまたがる LAG 接続を設定しないでください。LAG を使用するときには、対象のすべてのポートが同じ物理スイッチにつながる同じ EtherChannel に属している必要があります。

  • WLC を複数のスイッチに接続するには、物理ポートごとに AP マネージャを作成する必要があります。これにより、冗長性およびスケーラビリティが提供されます。

    注:Cisco 4400-100 モデル WLC では、WLC ごとに最大 100 のアクセス ポイントに対応するには、アクティブな物理ポートが少なくとも 3 つ必要です。Cisco 4400-50 モデル WLC では、WLC ごとに最大 50 のアクセス ポイントに対応するには、アクティブな物理ポートが少なくとも 2 つ必要です。

  • 可能な場合は常に、古いソフトウェア バージョンでは許可されていたとしても、AP マネージャ用インターフェイスにバックアップ ポートを作成しないでください。このドキュメントですでに説明したように、複数の AP マネージャ インターフェイスによって冗長性が実現されています。

  • マルチキャスト転送の場合は、マルチキャスト モードによってパフォーマンスを最大限に高め、帯域利用率を低減できます。

    コントローラでマルチキャスト モードを確認する方法を次に示します。

    (WiSM-slot1-1) >show network summary
    
    RF-Network Name............................. 705
    Web Mode.................................... Enable
    Secure Web Mode............................. Enable
    Secure Web Mode Cipher-Option High.......... Disable
    Secure Shell (ssh).......................... Enable
    Telnet...................................... Enable
    Ethernet Multicast Mode..................... Enable   Mode: Mcast  239.0.1.1
    Ethernet Broadcast Mode..................... Disable
    IGMP snooping............................... Disabled
    IGMP timeout................................ 60 seconds
    User Idle Timeout........................... 300 seconds
    ARP Idle Timeout............................ 300 seconds
    ARP Unicast Mode............................ Disabled
    Cisco AP Default Master..................... Disable
    Mgmt Via Wireless Interface................. Disable
    Mgmt Via Dynamic Interface.................. Disable
    Bridge MAC filter Config.................... Enable
    Bridge Security Mode........................ EAP
    Over The Air Provisioning of AP's........... Enable
    Apple Talk ................................. Disable
    AP Fallback ................................ Enable
    

    スイッチの設定を変更する方法は次のとおりです(IOS)。

    config network multicast mode multicast 239.0.1.1
    config network multicast global enable
    
  • コントローラでは、トラフィックをアクセス ポイントに転送するのにマルチキャスト アドレスを使用します。このアドレスは、ネットワーク上で他のプロトコルが使用するアドレスとは一致していません。たとえば、224.0.0.251 を使用する場合は、一部のサードパーティ アプリケーションで使用されている mDNS が正常に機能しなくなります。マルチキャスト アドレスは、プライベート範囲(239.0.0.x および 239.128.0.x を除く 239.0.0.0 〜 239.255.255.255)にすることを推奨いたします。

  • アクセス ポイントが管理インターフェイスで使用されているのとは異なるサブネットワークにある場合、ネットワーク インフラストラクチャでによって、管理インターフェイスのサブネットと AP のサブネットワークとの間のマルチキャスト ルーティングが提供される必要があります。

ネットワーク設計

ネットワーク設計に関するベスト プラクティスを列挙します。

  • VLAN あたりのアクセス ポイントの数を制限します。新しいコード バージョンを使用する場合には、約 60 〜 100 が適切です。この制限によって、ネットワークに障害が発生した場合の再関連付けの問題を最低限に抑えることができます。高密度サブネットワークには、Cisco IOS ベースの AP を展開できます。基盤となるレイヤ 2 およびレイヤ 3 トポロジが正しく設定されていることを常に確認します(スパニング ツリー、ロード バランシングなど)。

  • ローカル モードの AP の場合、PortFast を使用してスイッチ ポートを設定します。この場合、ポートを「ホスト」ポートとして接続するか(switchport host コマンド)、または直接 PortFast コマンドで接続します。これにより、AP の加入プロセスが速くなります。LWAPP AP が VLAN 間でブリッジとして機能することはないため、ループのリスクはありません。

  • 最初のヒントに関連して、4.2.112.0 以降のコードを使用していない限り、コントローラの管理インターフェイスと同じ VLAN に 21 以上のアクセス ポイントを配置しないでください。アクセス ポイントによって生成される大量のブロードキャスト メッセージによって、ディスカバリ メッセージの一部が廃棄され、そのためにアクセス ポイントの加入プロセスの処理が遅くなる可能性があります。

  • 設計によって、CPU が開始するトラフィックのほとんどがコントローラの管理アドレスから送信されます。たとえば、SNMP トラップ、RADIUS 認証要求、マルチキャスト転送などが該当します。

    この規則の例外となるのが、DHCP に関連するトラフィックです。これはコントローラのソフトウェア バージョンが 4.0 以降の場合には、WLAN 設定に対応するインターフェイスから送信されます。たとえば、WLAN でダイナミック インターフェイスを使用している場合、DHCP 要求はこのレイヤ 3 アドレスを使用して転送されます。

    ファイアウォール ポリシーを設定したり、ネットワーク トポロジを設計する際には、これを考慮に入れることが大切です。コントローラの CPU から到達可能であることが必要なサーバと同じサブ ネットワークには、ダイナミック インターフェイスを設定しないようにすることが重要です。このようなサーバの例としては RADIUS サーバがあり、非対称ルーティングの問題が生じる可能性があります。

モビリティ

モビリティに関するベスト プラクティスを列挙します。

  • モビリティ グループに属するすべてのコントローラでは、たとえば 1.1.1.1 のように、仮想インターフェイスを同じ IP アドレスに設定する必要があります。これはローミングのために重要です。あるモビリティ グループに属するすべてのコントローラが同じ仮想インターフェイスを使用していないと、コントローラ間のローミングは動作するように見えても、引き継ぎの処理が完全に行われず、ある一定の期間、クライアントが接続を失うことになります。

    確認方法を次に示します。

    (Cisco Controller) >show interface summary             
    
    Interface Name      Port   Vlan Id   IP Address       Type     Ap Mgr
    -----------------   -----  --------  ---------------  -------  ------
    ap-manager           LAG   15        192.168.15.66    Static   Yes 
    management           LAG   15        192.168.15.65    Static   No    
    service-port         N/A   N/A       10.48.76.65      Static   No    
    test                 LAG   50        192.168.50.65    Dynamic  No    
    virtual              N/A   N/A       1.1.1.1          Static   No
    
  • 仮想ゲートウェイのアドレスは、ネットワーク インフラストラクチャ内部ではルーティング不可能である必要があります。ワイヤレス クライアントがコントローラに接続しているときだけ到達でき、有線接続からは到達できないように意図されています。

  • すべてのコントローラには同じ LWAPP モードを設定する必要があります(レイヤ 2 またはレイヤ 3)。

  • すべてのコントローラの管理用インターフェイス間で IP 接続が確立されている必要があります。

  • ほとんどの場合、どのコントローラにも同じモビリティ グループ名を設定する必要があります。たとえば、Cisco WiSM の場合、300 台のアクセス ポイント間でシームレスにルーティングを行うには、双方のコントローラに同じモビリティ グループ名を設定する必要があります。ゲスト アクセス機能用のコントローラ(通常は DMZ 上)に配置する場合は、この規則の例外となります。

  • すべてのコントローラで同じバージョンのコントローラ ソフトウェアが稼働している必要があります。この規則で唯一許容されている例外は、ゲスト アクセス DMZ コントローラ シナリオで、少なくとも 4.1.185.0 が稼働するコントローラへのアンカーとして現在 4.2.112.0 が稼働しているコントローラです。

  • モビリティ グループに所属させる各コントローラの MAC アドレスと IP アドレスを収集しておく必要があります。この情報は、すべてのコントローラにモビリティ グループの他のすべてのメンバの MAC アドレスと IP アドレスを設定するために必要です。モビリティ グループに所属させる他のコントローラの MAC アドレスと IP アドレスは、各コントローラの GUI の Controller > Mobility Groups ページに表示されます。

  • 不必要に大きなモビリティ グループは作成しないでください。1 つのモビリティ グループに所属させるのは、クライアントが物理的にローミングできるエリアのアクセス ポイントが接続されているすべてのコントローラだけにします。たとえば、1 つの建物内のアクセス ポイントが接続されているすべてのコントローラがこれに該当します。複数の建物に分かれているシナリオでは、これらを複数のモビリティ グループに分割する必要があります。このようにすると、グループ内の相互に通信することのない有効なクライアントや、不正メンバ、アクセス ポイントの大きなリストをコントローラで保持する必要がなくなるため、メモリと CPU が節約されます。

    WLC の冗長性は、モビリティ グループによって実現されるものである点に注意してください。そのため、場合によっては、モビリティ グループのサイズを大きくして、冗長性のための追加コントローラが含まれるようにする(たとえば N+1 のトポロジ)必要があります。

  • モビリティ グループに複数のコントローラがあるシナリオでは、あるコントローラがリロードした後に、ネットワーク内にあるアクセス ポイントについての不正アクセス ポイント警告が発生するのは問題ではありません。これは、モビリティ グループのメンバ間で、アクセス ポイント、クライアント、不正メンバのリストのアップデートに時間がかかるためです。

  • WLAN 設定の DHCP Required オプションを指定すると、クライアントに対し、ネットワークへの別のトラフィックの送受信が許可される前に、WLAN に関連づけを行うつど DHCP アドレスの要求と更新を強制的に行うようにできます。セキュリティの観点から見ると、この処理によって使用している IP アドレスをさらに厳密に制御できますが、トラフィックが通過を再度許可される前のローミングにかかる全体の時間に影響が及ぶ場合もあります。

    さらに、リース時間が切れるまで DHCP の更新を行わないというクライアント実装にも影響が及ぶ可能性があります。たとえば、Cisco 7920 や 7921 の電話機では、このオプションがイネーブルになっていると、ローミングの際に音声に関する問題が発生することがあります。これはコントローラで DHCP の処理が完了するまで音声や信号のトラフィックの通過が許可されないためです。一部のサード パーティのプリンタ サーバも、これに該当する可能性があります。一般的には、WLAN に Windows 以外のクライアントがある場合には、このオプションを使用しないことが推奨されます。これは、厳密な制御によって、DHCP のクライアント側の実装方式に関連する接続性の問題が発生する可能性があるためです。確認する方法を次に示します。

    (Cisco Controller) >show wlan 1                  
    
    
    WLAN Identifier.................................. 1
    Profile Name..................................... 4400
    Network Name (SSID).............................. 4400
    Status........................................... Enabled
    MAC Filtering.................................... Disabled
    Broadcast SSID................................... Enabled
    AAA Policy Override.............................. Disabled
    Number of Active Clients......................... 0
    Exclusionlist Timeout............................ 60 seconds
    Session Timeout.................................. 1800 seconds
    Interface........................................ management
    WLAN ACL......................................... unconfigured
    DHCP Server...................................... Default
    DHCP Address Assignment Required................. Disabled 
    Quality of Service............................... Silver (best effort)
    WMM.............................................. Disabled
    CCX - AironetIe Support.......................... Enabled
    CCX - Gratuitous ProbeResponse (GPR)............. Disabled
    Dot11-Phone Mode (7920).......................... Disabled
    Wired Protocol................................... None
    
  • レイヤ 3 ローミングを使用する場合(たとえば、あるコントローラ上のある WLAN のサブネットが別のコントローラ上のサブネットに一致しない場合)、または AP グループを使用する場合は、どのコントローラでもシンメトリック モビリティを有効にして非対称ルーティングに伴う問題を回避することを推奨いたします。ステート コントロールを備えたファイアウォールがネットワーク上にある場合、トラフィック フローが中断されるため、このことは非常に重要です。この設定は、同じモビリティ グループに属するすべてのコントローラで同じにする必要があります。

    確認方法を次に示します。

    (Cisco Controller) >show mobility summary 
    
    Symmetric Mobility Tunneling (current) .......... Disabled
    Symmetric Mobility Tunneling (after reboot) ..... Disabled
    Mobility Protocol Port........................... 16666
    Mobility Security Mode........................... Disabled
    Default Mobility Domain.......................... 100
    Mobility Keepalive interval...................... 10
    Mobility Keepalive count......................... 3
    Mobility Group members configured................ 1
    
    Controllers configured in the Mobility Group
    
     MAC Address        IP Address       Group Name         Status
    
     00:16:9d:ca:e4:a0    192.168.100.28   100              Up
    

    設定方法を次に示します。

    config mobility symmetric-tunneling enable
    

    注:この設定を有効にするには、コントローラをリブートする必要があります。

  • 5.0 以降のコードを使用する場合、マルチキャスト モードをモビリティ用に設定することを推奨いたします。これにより、クライアント アナウンス メッセージを各コントローラにユニキャストで送信するのではなく、モビリティ ピア間にマルチキャストで送信し、時間を節約して CPU とネットワークの使用率を抑えることができます。

    確認方法を次に示します。

    (WiSM-slot1-1) >show mobility summary 
    
    Symmetric Mobility Tunneling (current) .......... Disabled
    Symmetric Mobility Tunneling (after reboot) ..... Disabled
    Mobility Protocol Port........................... 16666
    Mobility Security Mode........................... Disabled
    Default Mobility Domain.......................... 705
    Multicast Mode .................................. Enabled
    Mobility Domain ID for 802.11r................... 0x8e5e
    Mobility Keepalive Interval...................... 10
    Mobility Keepalive Count......................... 3
    Mobility Group Members Configured................ 2
    Mobility Control Message DSCP Value.............. 0
    
    Controllers configured in the Mobility Group
    
     MAC Address        IP Address       Group Name         Multicast IP         Status
    
     00:14:a9:bd:da:a0    192.168.100.22   705              239.0.1.1        Up
    
     00:19:06:33:71:60    192.168.100.67   705              239.0.1.1        Up
    

セキュリティ

セキュリティに関するベスト プラクティスを列挙します。

  • RADIUS のタイムアウトを 5 秒に変更することが推奨されます。デフォルトの 2 秒は高速な RADIUS フェールオーバーには適していますが、Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)認証や、RADIUS サーバが外部のデータベース(Active Directory、NAC、SQL など)とやり取りする場合には短すぎる可能性があります。

    確認方法を次に示します。

    (Cisco Controller) >show radius summary 
    Vendor Id Backward Compatibility............ Disabled
    Credentials Caching......................... Disabled
    Call Station Id Type........................ IP Address
    Administrative Authentication via RADIUS.... Enabled
    Aggressive Failover......................... Disabled
    Keywrap..................................... DisabledAuthentication Servers
    
    
    !--- この部分のコードは、スペースの制約により数行にわたって
    !--- 表示されています。
    
    Idx  Type  Server Address    Port    State    Tout RFC3576
    ---  ----  ----------------  ------  --------  ----  -------
    1    N     10.48.76.50       1812    Enabled   2    Enabled
    
    IPSec -AuthMode/Phase1/Group/Lifetime/Auth/Encr
    ------------------------------------------------
    Disabled - none/unknown/group-0/0 none/none
    

    設定方法を次に示します。

    config radius auth retransmit-timeout 1 5
    
  • SNMPv3 のデフォルト ユーザを確認します。デフォルトでは、コントローラにはディセーブルまたは変更する必要のあるユーザ名が設定されています。

    確認方法を次に示します。

    (Cisco Controller) >show snmpv3user 
    
    SNMP v3 User SNMP v3 User Name AccessMode Authentication Encryption 
    -------------------- ----------- -------------- ---------- 
    default Read/Write HMAC-MD5 CBC-DES 
    

    設定方法を次に示します。

    config snmp v3user delete default
    config snmp v3user create nondefault rw hmacsha des authkey encrkey
    

    コントローラと Wireless Control System(WCS)間では SNMP 設定が一致する必要があることを念頭に置いてください。また、セキュリティ ポリシーに合った暗号とハッシュ キーを使用する必要があります。

  • Web 認証を外部の認証ページで実行する際には、Web サーバとプロキシ サーバを同時に搭載しているサーバはログイン ページの提供のためには使用しないでください。コントローラでは、認証が完了する前に、ワイヤレス クライアントからサーバへの HTTP トラフィックが許可されます。これによって、サーバ上にあるプロキシ サーバを使用してクライアントが閲覧を実行できるようになってしまいます。

  • コントローラでは、EAP アイデンティティ要求のデフォルトでのタイムアウトは 1 秒です。これはワンタイム パスワードや、スマート カードの実装には短すぎます。この場合、ワイヤレス クライアントがアイデンティティ要求に回答できるようになる前に、ユーザが PIN やパスワードの入力を求められるためです。Autonomous アクセス ポイントでは、デフォルトは 30 秒になっているため、Autonomous からインフラストラクチャ ワイヤレス ネットワークに移行する際には、これを考慮に入れる必要があります。

    変更方法を次に示します。

    config advanced eap identity-request-timeout 30
    
  • 使用頻度の高い環境では、しきい値 2 でアクセス ポイント認証を有効にすると効果的です。これにより、なりすましを検出したり、false positive 検出を最低限に抑えたりすることが可能になります。

    設定方法を次に示します。

    config wps ap-authentication enable
    config wps ap-authentication threshold 2
    
  • 前のヒントに関連して、Management Frame Protection(MFP)は、ワイヤレス インフラストラクチャ内で隣接するアクセス ポイントとの間で検出されたすべての 802.11 管理トラフィックの認証にも使用できます。一般的なサード パーティ製のワイヤレス カードには、カードのドライバの実装に問題があり、MFP によって付加される追加情報要素を正しく処理できないものがあることに注意してください。MFP をテストおよび使用する前に、カードの製造元が提供している最新のドライバを使用するようにしてください。

  • いくつかの機能では、NTP が非常に重要です。ロケーション、SNMPv3、アクセス ポイント認証、または MFP のいずれかの機能を使用する場合には、コントローラでの NTP 同期の使用が必須です。

    設定方法を次に示します。

    config time ntp server 1 10.1.1.1
    

    確認には、次のようにトラップログでエントリ調べてください。

    30 Tue Feb 6 08:12:03 2007 Controller time base status - 
    Controller is in sync with the central timebase. 
    
  • Protected EAP-Microsoft Challenge Handshake Authentication Protocol version 2(PEAP-MSCHAPv2; 保護された EAP-マイクロソフト チャレンジ ハンドシェーク認証プロトコル)を Microsoft XP SP2 と一緒に使用し、無線カードを Microsoft Wireless Zero Configuration(WZC)で管理する場合には、Microsoft のホットフィックス KB885453 leavingcisco.com を適用する必要があります。このホットフィックスにより、PEAP ファスト レジュームに関連した認証上のいくつかの問題が防止されます。

  • セキュリティの問題から、ワイヤレス クライアントを複数のサブ ネットワークに分割する必要があり、それぞれに異なるセキュリティ ポリシーを設定する場合には、1 つまたは 2 つの WLAN(たとえば、それぞれに異なるレイヤ 2 暗号化ポリシーを設定)を使用し、それと一緒に AAA-Override 機能を使用することが推奨されます。この機能により、ユーザごとの設定を行うことが可能です。たとえば、別々の VLAN の特定のダイナミック インターフェイスにユーザを移動したり、ユーザごとのアクセス コントロール リストを適用したりします。

  • コントローラとアクセス ポイントでは Wi-Fi Protected Access(WPA)と WPA2 を同時に使用した SSID による WLAN がサポートされていますが、一部のワイヤレス クライアントのドライバでは複雑な SSID 設定を処理できないことがよくあります。一般的には、すべての SSID についてのセキュリティ ポリシーをシンプルに維持することが推奨されます。たとえば、WPA と Temporal Key Integrity Protocol(TKIP)による WLAN/SSID を 1 つ設定し、これに加え別個のもう 1 つを WPA2 と Advanced Encryption Standard(AES; 高度暗号化規格)で設定するなどの方法があります。

一般的な管理

一般的な管理に関するベスト プラクティスを列挙します。

  • 一般的には、アップグレードの前に設定のバイナリ バックアップを取ることが推奨されます。WLC では、以前の設定情報の新しいバージョンへの変換がサポートされていますが、逆のプロセスはサポートされていません。これは、メジャー バージョンの変更とマイナー バージョンの変更の両方に該当します。

  • 新しい設定を以前のリリースで使用すると、(アクセス リスト、インターフェイスなどの)設定が失われたり、機能の誤動作を招くことがあります。コントローラをダウングレードする必要がある場合は、ダウングレードの後で設定をクリアして、管理インターフェイスのアドレスを元に戻し、TFTP でバイナリ バックアップ ファイルをロードすることを推奨いたします。

  • コンフィギュレーション ファイルが XML 形式であるバージョン(たとえば 4.2、5.0)からバイナリ形式であるバージョン(4.0、4.1)にダウングレードした場合、コントローラではそのコンフィギュレーション ファイルが消去され、初回ブート後にセットアップ ウィザードが表示されます。これは意図的な動作です。

  • 常に AP 設定にコントローラ名を設定することを推奨いたします。これにより、AP で最初の加入先として選択されるコントローラを制御できます。次の情報でこのことを確認できます。

    (WiSM-slot1-1) >show ap config general AP1130-9064
    
    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE  - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E     802.11a:-E
    AP Country code.................................. BE  - Belgium
    AP Regulatory Domain............................. 802.11bg:-E    802.11a:-E 
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name...................... 
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    

    この値(DNS 名ではなく、システム名であることに留意してください)を設定するには、次のようにします。

    config ap primary-base Cisco_ea:5e:63
    
  • バージョン 4.2 以降の場合、AP から syslog サーバ経由でトラブルシューティング情報を送信できます。デフォルトでは、ローカル ブロードキャストとして送信されます。AP が syslog サーバと同じサブネットにない場合は、同じサブネットワーク内のすべての AP に影響を与える障害が発生したときに備えて、ユニキャスト アドレスに変更することを推奨いたします。これにより、トラブルシューティング情報を収集し、syslog メッセージがローカル ブロードキャストに送信されてブロードキャスト ストームが発生する可能性を減らすことができます。この設定をチェックするには、次のようにします。

    (WiSM-slot1-1) >show ap config general AP1130-9064    
    
    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE  - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E     802.11a:-E
    AP Country code.................................. BE  - Belgium
    AP Regulatory Domain............................. 802.11bg:-E    802.11a:-E 
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name...................... 
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name....................... 
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local:
     Disabled
    Remote AP Debug ................................. Disabled
    S/W  Version .................................... 5.0.152.0
    Boot  Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2 
    AP Model......................................... AIR-LAP1131AG-E-K9  
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco
    Cisco AP system logging host..................... 255.255.255.255 
    

    コントローラのすべての AP に対して使用可能な既知のサーバに変更するには、次のようにします。

    config ap syslog host global 10.48.76.33
    
  • バージョン 4.2 以降の場合、AP にはコンソール アクセス(AP への物理的アクセス)のローカル クレデンシャルを設定できます。セキュリティを確保するため、すべての AP にユーザ名/パスワードを設定することを推奨いたします。この設定をチェックするには、次のようにします。

    (WiSM-slot1-1) >show ap config general AP1130-9064    
    
    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE  - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E     802.11a:-E
    AP Country code.................................. BE  - Belgium
    AP Regulatory Domain............................. 802.11bg:-E    802.11a:-E 
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name...................... 
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name....................... 
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local:
     Disabled
    Remote AP Debug ................................. Disabled
    S/W  Version .................................... 5.0.152.0
    Boot  Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2 
    AP Model......................................... AIR-LAP1131AG-E-K9  
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco
    

    バージョン 4.2 と 4.1 のメッシュの場合、コントローラのすべての AP に対して使用可能な既知のサーバに変更するには、次のようにします。

    config ap username Cisco password AnotherComplexPass all 
    

    バージョン 5.0 以降の場合、コントローラのすべての AP に対して使用可能な既知のサーバに変更するには、次のようにします。

    config ap mgmtuser add username cisco password Cisco123 secret
              AnotherComplexPass all
    

WLC のクラッシュ ファイルを WLC CLI から TFTP サーバに転送する方法

WLC のクラッシュ ファイルを WLC CLI から TFTP サーバに転送するには、次のコマンドを発行してください。

transfer upload datatype crashfile
transfer upload serverip <IP address of the TFTP Server>

transfer upload path <Enter directory path>
 
transfer upload filename <Name of the Crash File>

transfer upload start<yes>

注:ディレクトリ パスを入力するとき、通常「/」は TFTP サーバのデフォルト ルート ディレクトリを意味します。

次に例を示します。

(Cisco Controller) >debug transfer tftp enable

(Cisco Controller) >debug transfer trace enable

(Cisco Controller) >transfer upload datatype crashfile

(Cisco Controller) >transfer upload filename aire2cra.txt

(Cisco Controller) >transfer upload path /

(Cisco Controller) >transfer upload serverip X.Y.Z.A

(Cisco Controller) >transfer upload start

Mode............................................. TFTP TFTP Server
IP................................... X.Y.Z.A TFTP
Path........................................ / TFTP
Filename.................................... aire2cra.txt Data
Type........................................ Crash File

Are you sure you want to start? (y/N) yes
Thu Dec 29 10:13:17 2005: RESULT_STRING: TFTP Crash File transfer starting.
Thu Dec 29 10:13:17 2005: RESULT_CODE:1

TFTP Crash File transfer starting.
Thu Dec 29 10:13:21 2005: Locking tftp semaphore, pHost=X.Y.Z.A 
pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005: 
Semaphore locked, now unlocking,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005: 
Semaphore successfully unlocked,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005: 
tftp rc=0, pHost=X.Y.Z.A pFilename=/aire2cra.txt
 

pLocalFilename=/mnt/application/bigcrash
Thu Dec 29 10:13:22 2005: RESULT_STRING: File transfer operation 
completed successfully.
Thu Dec 29 10:13:22 2005: RESULT_CODE:11 File transfer operation 
completed successfully.

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 82463