ワイヤレス : Cisco 4400 シリーズ ワイヤレス LAN コントローラ

ワイヤレス LAN コントローラ(WLC)における RADIUS サーバ フォールバック機能の設定例

2015 年 8 月 14 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 4 月 19 日) | 英語版 (2014 年 9 月 26 日) | フィードバック


目次


概要

このドキュメントでは、ワイヤレス LAN コントローラ(WLC)を使用して RADIUS サーバのフォールバック機能を設定する方法を示します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • Lightweight アクセス ポイント(LAP)および Cisco WLC の設定に関する基礎知識

  • Lightweight アクセス ポイント プロトコル(LWAPP)に関する基礎知識

  • Wireless Security Solutions についての基本的な知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア リリース 5.0 が稼働している Cisco 4400 WLC

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

RADIUS サーバ フォールバック機能

5.0 よりも前の WLC ソフトウェア バージョンでは、RADIUS サーバ フォールバック メカニズムはサポートされていません。 プライマリ RADIUS サーバが使用不能になると、WLC は次にアクティブなバックアップ RADIUS サーバにフェールオーバーします。 WLC は、プライマリ サーバが使用可能になっても、永続的にセカンダリ RADIUS サーバを使用し続けます。 通常、プライマリ サーバはパフォーマンスが高く、優先サーバとなっています。

WLC 5.0 では、WLC は RADIUS サーバ フォールバック機能をサポートしています。 この機能を使用すると、プライマリ サーバが使用可能かどうかを確認し、プライマリ RADIUS サーバが使用可能になったらプライマリ サーバに切り替わるように、WLC を設定できます。 このために、WLC はパッシブとアクティブの 2 つの新しいモードをサポートし、RADIUS サーバの状態を確認します。 WLC は、指定されたタイムアウト値を過ぎると、最も優先度の高いサーバに切り替わります。

フォールバック モード

アクティブ モード

アクティブ モードでは、サーバが WLC 認証要求に応答しなかった場合に、WLC はサーバを停止状態としてマーキングし、非アクティブなサーバ プールにサーバを移動し、サーバが応答するまで定期的にプローブ メッセージを送り始めます。 サーバが応答した場合、WLC は停止状態のサーバをアクティブなプールに移動し、プローブ メッセージの送信を停止します。 このモードでは、認証要求を受信すると、WLC は RADIUS サーバのアクティブなプールから最も低いインデックス(最優先)のサーバを常に選択します。

以前にサーバから応答がなかった場合には、WLC はタイムアウト(デフォルトは 300 秒)後にプローブ パケットを送信し、サーバの状態を判断します。

パッシブ モード

パッシブ モードでは、サーバが WLC 認証要求に応答しなかった場合に、WLC はサーバを非アクティブ キューに移動し、タイマーを設定します。 タイマーが時間切れになると、WLC はサーバの現在の状態に関係なく、サーバをアクティブ キューに移動します。’ 認証要求を受信すると、WLC はアクティブ キューから最も低いインデックス(最優先)のサーバを選択します(この際、アクティブ キューには非アクティブなサーバが含まれている場合があります)。 サーバが応答しない場合、WLC はそのサーバを非アクティブとしてマーキングし、タイマーを設定して、次に優先度の高いサーバに移動します。 このプロセスは、WLC がアクティブな RADIUS サーバを見つけるか、アクティブなサーバ プールがなくなるまで続行されます。

以前にサーバから応答がなかった場合には、WLC はタイムアウト(デフォルトは 300 秒)後にサーバがアクティブになっていると仮定します。 それでもまだ応答がない場合、認証要求を受信すると、WLC は次のタイムアウトまで待機して再試行します。

オフ モード

オフ モードでは、WLC はフェールオーバーのみサポートします。 つまり、フォールバックが無効化されます。 プライマリ RADIUS サーバがダウンすると、WLC は次にアクティブなバックアップ RADIUS サーバにフェールオーバーします。 WLC は、プライマリ サーバが使用可能になっても、永続的にセカンダリ RADIUS サーバを使用し続けます。

コマンドライン インターフェイス(CLI)の使用による RADIUS サーバ フォールバック機能の設定

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

WLC CLI から次のコマンドを使用して、WLC 上で RADIUS サーバ フォールバック機能を有効化します。

最初の手順では、RADIUS サーバ フォールバックのモードを選択します。 すでに述べたように、WLC ではアクティブ モードとパッシブ モードのフォールバックをサポートしています。

フォールバックのモードを選択するには、次のコマンドを使用します。

WLC1 > config radius fallback-test mode {active/passive/off}

  • active—停止状態のサーバにプローブを送信し、テスト状態に遷移させます。

  • passive—最新のトランザクションに基づいて、サーバ状態を設定します。

  • offサーバ フォールバック テストを無効化します(デフォルト)。

次の手順では、アクティブ モードのプローブ間隔またはパッシブ動作モードの非アクティブ時間を指定する間隔を選択します。

間隔を設定するには、次のコマンドを使用します。

WLC1 > config radius fallback-test mode interval {180 - 3600}

<180 ~ 3600>—プローブ間隔または非アクティブ時間を秒単位で入力します(デフォルトは 300)。

間隔は、アクティブ モード フォールバックの場合はプローブ間隔を、パッシブ モード フォールバックの場合は非アクティブ時間を指定します。

アクティブ動作モードの場合は、RADIUS サーバに送信するプローブ要求内で使用されるユーザ名を設定する必要があります。

ユーザ名を設定するには、次のコマンドを使用します。

WLC1 >config radius fallback-test username {username}

<username>—最大 16 文字の英数字(デフォルトは「cisco-probe」)を入力します。

注: 独自のユーザ名を入力しても、デフォルトのままにしておいてもかまいません。 デフォルトのユーザ名は “cisco-probe” です。 このユーザ名はプローブ メッセージの送信に使用されるため、パスワードを設定する必要はありません。

グラフィカル ユーザ インターフェイス(GUI)の使用による RADIUS サーバ フォールバック機能の設定

GUI を使用して WLC を設定するには、次の手順を実行します。

  1. 最初の手順では、RADIUS サーバ フォールバックのモードを設定します。 このためには、WLC GUI から [Security] > [RADIUS] > [Fallback] の順に選択します。

    [RADIUS] > [Fallback Parameters] ページが表示されます。

  2. [Fallback Mode] プルダウン メニューから、フォールバックのモードを選択します。 選択できるオプションは [active]、[passive]、および [off] です。

    次のスクリーンショットは、アクティブ フォールバック モードの設定例を示しています。

    /image/gif/paws/106258/radius-fbkftr-wlc-config1.gif

  3. アクティブ動作モードの場合、[Username] フィールドにユーザ名を入力します。

  4. プローブ間隔値を [Interval in sec.] フィールドに フィールドの URL のみが置換されます。

  5. [Apply] をクリックします。

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

次の show コマンドを使用して、フォールバック設定を確認できます。

  • show radius summary

    次に例を示します。

    WLC1 >show radius summary 
    
    Vendor Id Backward Compatibility................. Disabled
    Call Station Id Type............................. IP Address
    Aggressive Failover.............................. Enabled
    Keywrap.......................................... Disabled
    
    Fallback Test:
    Test Mode.................................... Active
     Probe User Name.............................. testaccount
     Interval (in seconds)........................ 180
    
    Authentication Servers
    
    Idx  Type  Server Address    Port    State     Tout  RFC3576  IPSec - AuthMode/Phase1/Group/Lifetime/Auth/Encr
    ---  ----  ----------------  ------  --------  ----  -------  ------------------------------------------------
    1    NM    10.1.1.12         1812    Enabled   2     Disabled  Disabled - none/unknown/group-0/0 none/none
    
    Accounting Servers
    
    Idx  Type  Server Address    Port    State     Tout  RFC3576  IPSec - AuthMode/Phase1/Group/Lifetime/Auth/E
    ---  ----  ----------------  ------  --------  ----  -------  ------------------------------------------------
    1      N     10.1.1.12         1813    Enabled   2     N/A       Disabled - none/unknown/group-0/0 none/nonen

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

トラブルシューティングのためのコマンド

  • debug dot1x events enable:802.1X イベントのデバッグを設定します。

  • debug aaa events enable:すべての AAA イベントのデバッグを設定します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 106258