ワイヤレス : Cisco Aironet 600 シリーズ OfficeExtend アクセス ポイント

Aironet 600 シリーズ OfficeExtend アクセス ポイント設定ガイド

2012 年 7 月 19 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2012 年 5 月 25 日) | フィードバック

Aironet 600 シリーズ OfficeExtend アクセス ポイント設定ガイド

はじめに

このドキュメントでは、Cisco Aironet 600® シリーズ OfficeExtend アクセス ポイント(OEAP)とともに使用する Cisco ワイヤレス LAN(WLAN)コントローラを設定する際の要件について説明します。Cisco Aironet 600 シリーズ OEAP はスプリット モード操作をサポートしており、WLAN コントローラでの設定を必要とする機能と、エンド ユーザがローカルで設定できる機能が組み込まれています。このドキュメントでは、適切な接続とサポートされている機能セットに必要な設定についても説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は Cisco Aironet 600 シリーズ OfficeExtend アクセス ポイント(OEAP)に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼動中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

セットアップのガイドライン

  • Cisco Aironet 600 シリーズ OEAP に対応しているコントローラはCisco 5508、WiSM-2、および Cisco 2504 です。

  • Cisco Aironet 600 シリーズ OEAP に対応しているコントローラの最初のリリースは 7.0.116.0 です。

  • コントローラの管理インターフェイスがルーティング可能な IP ネットワーク上に存在している必要があります。

  • UDP ポート番号 5246 および 5247 でトラフィックを許可するように、企業のファイアウォールの設定を変更する必要があります。

OfficeExtend ソリューションの概要

  • 会社のコントローラの IP アドレスを使用してプライミングされているアクセス ポイント(AP)がユーザに提供されるか、またはユーザが設定画面(HTML 設定ページ)でコントローラの IP アドレスを入力できます。

  • ユーザが AP をホーム ルータに接続します。

  • AP がホーム ルータから IP アドレスを取得し、プライミングされているコントローラに加入し、セキュア トンネルを確立します。

  • 次に Cisco Aironet 600 シリーズ OEAP が会社の SSID をアドバタイズします。これにより、会社と同じセキュリティ方式とサービスが WAN を介してユーザの自宅でも利用できるようになります。

  • リモート LAN を設定してある場合は、AP の 1 つの有線ポートからコントローラへ戻るトンネルが確立されます。

  • これで、ユーザが個人で使用するローカル SSID を追加で有効にできます。

ファイアウォールの設定のガイドライン

ファイアウォールの一般設定では、ファイアウォール経由での CAPWAP 制御および CAPWAP データ ポート番号が許可されます。Cisco Aironet 600 シリーズ OEAP コントローラは DMZ に設置できます。

注:WLAN コントローラと Cisco Aironet 600 シリーズ OEAP の間にあるファイアウォールで UDP ポート 5246 および 5247 が開いている必要があります。

次の図に、DMZ 上の Cisco Aironet 600 シリーズ OEAP コントローラを示します。

office-extend-config-01.gif

ファイアウォール設定の例を次に示します。

interface Ethernet0/0
 nameif outside
 security-level 0
 ip address X.X.X.X 255.255.255.224

!--- X.X.X.X はパブリック IP アドレスを示す
  
!
interface Ethernet0/2
 nameif dmz
 security-level 50
 ip address 172.16.1.2 255.255.255.0 
!
access-list Outside extended permit udp any host X.X.X.Y eq 5246 

!--- 会社のコントローラのパブリック接続可能な IP アドレス

access-list Outside extended permit udp any host X.X.X.Y eq 5247 

!--- 会社のコントローラのパブリック接続可能な IP アドレス

access-list Outside extended permit icmp any any 
!
global (outside) 1 interface
nat (dmz) 1 172.16.1.0 255.255.255.0
static (dmz,outside) X.X.X.Y 172.16.1.25 netmask 255.255.255.255
access-group Outside in interface outside

AP マネージャの internal IP アドレスを CAPWAPP Discovery Response パケットの一部として OfficeExtend AP に送信するには、コントローラの管理者は AP マネージャ インターフェイスで NAT が有効に設定されており、正常な NAT により変換された IP アドレスが AP に送信されることを確認する必要があります。

注:NAT が有効に設定されている場合、WLC は、デフォルトでは、AP ディスカバリの間に NAT IP アドレスだけで応答します。AP が NAT ゲートウェイの inside と outside に存在する場合は、NAT IP アドレスと NAT 以外の(inside)管理 IP アドレスの両方で応答するように WLC を設定するために、次のコマンドを発行してください。

config network ap-discovery nat-ip-only disable

注:これは、WLC に NAT IP アドレスが設定されている場合にのみ必要です。

次の図では、WLC に NAT IP アドレスが設定されていると想定として、NAT が有効に設定されています。

office-extend-config-02-1.gif

注:インターネット上のルーティング可能な IP アドレスが設定されており、ファイアウォールで保護されていないコントローラでは、この設定は不要です。

OfficeExtend AP-600 の設定手順

Cisco Aironet 600 シリーズ OEAP は、ローカル モード アクセス ポイントとして WLC に接続します。

注:Monitor、H-REAP、Sniffer、Rogue Detector、Bridge、および SE-Connect の各モードは、600 シリーズではサポートされていないため設定できません。

初期接続プロセスで AP 認証に MAC フィルタリングを使用すると、許可されていない Cisco Aironet 600 シリーズ OEAP 装置のコントローラへの join を防止できます。次の図は、MAC フィルタリングを有効にし、AP セキュリティ ポリシーを設定する画面を示します。

office-extend-config-03.gif

この画面では(無線 MAC アドレスではなく)イーサネット MAC を入力します。MAC アドレスを Radius サーバに入力するときには必ず小文字を使用してください。イーサネット MAC アドレスの検出方法については、AP イベント ログで確認できます(詳しくは後述します)。

WLAN およびリモート LAN の設定

Cisco Aironet 600 シリーズ OEAP には 1 つの物理リモート LAN ポート(#4 の黄色のポート)が搭載されています。このポートの設定方法は、WLAN によく似ています。ただし、このポートはワイヤレスではなく、AP の背面にある有線 LAN ポートであるため、リモート LAN ポートとして管理されます。

このデバイスの物理ポートは 1 つだけですが、ハブやスイッチを使用する場合には最大 4 つの有線クライアントを接続できます。

注:リモート LAN のクライアント制限では、リモート LAN ポートにスイッチまたはハブを接続して複数のデバイスを接続することや、このポートに接続している Cisco IP Phone に直接接続することは可能です。

注:接続できるデバイスは最初の 4 台までです。これは、この 4 台のデバイスの 1 つのアイドル時間が 1 分を超えるまで適用されます。802.1x 認証を使用する際には、有線ポートで複数のクライアントを使用しようとすると問題が発生することがあります。

注:この接続クライアントの数は、コントローラ WLAN での制限数(15 台)には影響しません。

リモート LAN は、コントローラで設定されている WLAN およびゲスト LAN と同様の方法で設定できます。

WLAN はワイヤレス セキュリティ プロファイルです。これは、会社のネットワークで使用されるプロファイルです。Cisco Aironet 600 シリーズ OEAP では最大 2 つの WLAN と 1 つのリモート LAN がサポートされています。

リモート LAN は WLAN に似ていますが、リモート LAN は次の図に示すようにアクセス ポイントの背面の有線ポート(黄色のポート #4)にマップされる点が異なります。

office-extend-config-04.gif

注:3 つ以上の WLAN または 2 つ以上のリモート LAN を使用している場合は、すべてを 1 つの AP グループに含める必要があります。

次の図に、WLAN とリモート LAN を設定する画面を示します。

office-extend-config-05.gif

次の図に、OEAP グループ名の例を示します。

office-extend-config-06.gif

次の図に、WLAN SSID と RLAN の設定を示します。

office-extend-config-07.gif

Cisco Aironet 600 シリーズ OEAP を単一の AP グループに含める場合、同じ制限(2 つの WLAN と 1 つのリモート LAN)が AP グループの設定に適用されます。Cisco Aironet 600 シリーズ OEAP がデフォルト グループに含まれている場合、つまり定義される AP グループには含まれない場合は、WLAN/リモート LAN ID を 8 よりも小さい ID に設定する必要があります。これは、Cisco Aironet 600 シリーズ OEAP では 8 以上の ID 設定はサポートされていないためです。

次の図に示すように、ID を 8 未満に設定してください。

office-extend-config-08.gif

注:Cisco Aironet 600 シリーズ OEAP により使用されている WLAN またはリモート LAN を変更する目的で、追加の WLAN またはリモート LAN を作成する場合は、新しい WLAN またはリモート LAN を 600 シリーズで有効にする前に、削除する現在の WLAN またはリモート LAN を無効にしてください。AP グループで複数のリモート LAN が有効にされている場合は、すべてのリモート LAN を無効にしてから 1 つのリモート LAN のみを有効にしてください。

AP グループで 3 つ以上の WLAN が有効にされている場合は、すべての WLAN を無効にしてから 2 つの WLAN のみを有効にしてください。

WLAN のセキュリティ設定

WLAN のセキュリティ設定では、600 シリーズではサポートされていない特定の要素があります。

Cisco Aironet 600 シリーズ OEAP では、次のレイヤ 2 セキュリティ オプションのみがサポートされています。

  • None

  • WPA+WPA2

  • Static WEP も使用できますが、.11n データ レートには使用できません。

office-extend-config-09.gif

注:802.1x または PSK のみを選択してください。

次の図に示すように、WPA と WPA2 のセキュリティ暗号化設定では、TKIP と AES の設定を同じにする必要があります。

office-extend-config-10.gif

TKIP と AES の両立しない設定の例を次の図に示します。

office-extend-config-11.gif

注:サポートされていない機能をセキュリティ設定できる点に注意してください。

両立する設定の例を次の図に示します。

office-extend-config-12.gif

MAC フィルタリング

[Security] 設定を開いたままにし、MAC フィルタリングまたは Web 認証を設定できます。デフォルトでは MAC フィルタリングが使用されます。

次の図に、[Layer 2] と [Layer 3] の MAC フィルタリングの設定を示します。

office-extend-config-13.gif

QoS 設定を管理します。

office-extend-config-14.gif

拡張設定も管理します。

office-extend-config-15.gif

注:

  • [Coverage Hole Detection] を有効にしないでください。

  • Aironet IE(情報要素)は使用しないため有効にしないでください。

  • [Management Frame Protection (MFP)] もサポートされていないので、無効にするかまたは次の図に示すように [Optional] に設定してください。

    office-extend-config-16.gif

  • [Client Load Balancing] と [Client Band Select] はサポートされていないので、有効にしないでください。

    office-extend-config-17.gif

サポート対象ユーザ数

600 シリーズで WLAN コントローラを介して WLAN に同時接続できるユーザの最大数は 15 です。最初に接続したいずれか 1 つのクライアントで認証を解除するか、コントローラでタイムアウトが発生するまでは、16 番目のユーザは認証できません。

注:この数は、600 シリーズでのコントローラ WLAN をまたがる累積数です。

たとえば、2 つのコントローラ WLAN が設定されており、1 つの WLAN に 15 ユーザが接続している場合、600 シリーズでは、その時点でもう 1 つの WLAN にユーザは接続できません。エンド ユーザが 600 シリーズで設定する個人使用のローカル プライベート WLAN にはこの制限は適用されません。またこれらのプライベート WLAN または有線ポートに接続しているクライアントは、この制限に影響しません。

チャネルの管理と設定

600 シリーズの無線は、Wireless LAN Controller を介してではなく、600 シリーズのローカル GUI を介して管理されます。

スペクトラム チャネルと電力の管理や無線の無効化をコントローラから実行しても、600 シリーズには反映されません。

ローカル GUI で 2.4 GHz および 5.0 GHz の両方のスペクトラムについてデフォルト設定を変更していない限り、600 シリーズは起動時にチャネルをスキャンし、2.4 GHz および 5.0 GHz のチャネルを選択します。

注:ホーム ユーザや在宅勤務者向けの製品として位置付けられている Cisco Aironet 600 シリーズ OEAP では、ユーザがいずれかまたは両方の無線をローカルで無効にする(つまり会社でのアクセスでもその無線が無効にされる)と、前述したように RRM と拡張機能(モニタ、H-REAP、スニファなど)は実行できません。

5.0 GHz のチャネル選択と帯域幅は、Cisco Aironet 600 シリーズ OEAP のローカル GUI の次の画面で設定します。

office-extend-config-18.gif

注:

  • 5 GHz に対して使用可能な設定値は 20 MHz と 40 MHz 幅です。

  • 2.4 GHz 40 MHz 幅はサポートされておらず、20 MHz で固定されています。

  • 2.4 GHz では 40 MHz 幅(チャネル ボンディング)はサポートされていません。

    office-extend-config-19.gif

その他の注意事項

Cisco Aironet 600 シリーズ OEAP は単一 AP 導入向けに設計されています。したがって、600 シリーズ間でのクライアント ローミングはサポートされていません。

注:コントローラで 802.11a/n または 802.11b/g/n を無効にしても、ローカル SSID がまだ有効であることがあるため、Cisco Aironet 600 シリーズ OEAP でこれらのスペクトラムは無効にされない場合があります。

Cisco Aironet 600 シリーズ OEAP ではエンド ユーザが無線を有効または無効にできます。

office-extend-config-20.gif

有線ポートでの 802.1x のサポート

この初期リリースでは、802.1x はコマンド ライン インターフェイス(CLI)でのみサポートされています。

注:GUI サポートはまだ追加されていません。

これは Cisco Aironet 600 シリーズ OEAP の背面にある有線ポート(黄色のポート #4)であり、リモート LAN に関連付けられています(前述のリモート LAN の設定に関する項を参照)。

随時 show コマンドを使用して現在のリモート LAN 設定を表示できます。

show remote-lan <remote-lan-id> 

リモート LAN 設定を変更するには、最初に設定を無効にする必要があります。

 remote-lan disable <remote-lan-id> 

リモート LAN の 802.1X 認証を有効にします。

 config remote-lan security 802.1X enable <remote-lan-id> 

この操作を取り消すには、次のコマンドを使用します。

 config remote-lan security 802.1X disable <remote-lan-id>

リモート LAN の場合、「Encryption」は常に「None」であり、他の値には設定できません(この設定は show remote-lan を実行すると表示されます)。

コントローラのローカル EAP を認証サーバとして使用するには、次のコマンドを使用します。

config remote-lan local-auth enable <profile-name> <remote-lan-id> 

profile はコントローラ GUI([Security] > [Local EAP])または CLI(config local-auth)を使用して定義します。このコマンドの詳細については、コントローラのガイドを参照してください。

この操作を取り消すには、次のコマンドを使用します。

 config remote-lan local-auth disable <remote-lan-id> 

外部 AAA 認証サーバを使用する場合は次のコマンドを使用します。

  • config remote-lan radius_server auth add/delete <remote-lan-id> <server-id>

  • config remote-lan radius_server auth enable/disable <remote-lan-id>

server はコントローラ GUI([Security] > [RADIUS] > [Authentication])または CLI(config radius auth)を使用して設定します。このコマンドの詳細については、コントローラのガイドを参照してください。

設定が完了したら、リモート LAN を有効にします。

config remote-lan enable <remote-lan-id> 

show remote-lan <remote-lan-id> コマンドを使用して設定を確認します。

リモート LAN クライアントの場合は、802.1X 認証を有効にし、これに合わせて設定する必要があります。デバイスのユーザ ガイドを参照してください。

OEAP-600 アクセス ポイントの設定

次の図に、Cisco Aironet 600 シリーズ OEAP の接続配線図を示します。

office-extend-config-21.gif

Cisco Aironet 600 シリーズ OEAP のデフォルトの DHCP スコープは 10.0.0.x であるため、アドレス 10.0.0.1 を使用してポート 1 〜 3 の AP にアクセスできます。デフォルトのユーザ名およびパスワードは admin です。

注:これは、ユーザ名およびパスワードとして Cisco を使用する AP1040、1130、1140、および 3502i とは異なります。

無線が起動しておりパーソナル SSID がすでに設定されている場合は、設定画面にワイヤレスでアクセスできます。それ以外の場合は、ローカル イーサネット ポート 1 〜 3 を使用する必要があります。

ログインする場合、デフォルトのユーザ名とパスワードは admin です。

office-extend-config-22.gif

注:黄色いポート #4 はローカル接続には使用できません。コントローラにリモート LAN が設定されている場合、AP がコントローラに正常に join した後、このポートからコントローラに戻るトンネルを確立します。デバイスにアクセスするには、ポート 1 〜 3 をローカルに使用します。

office-extend-config-23.gif

デバイスに正常にアクセスすると、ホーム ステータス画面が表示されます。この画面には無線と MAC の統計が表示されます。無線が設定されていない場合、ユーザは設定画面で無線の有効化、チャネルとモードの設定、ローカル SSID の設定、WLAN 設定の有効化を行うことができます。

office-extend-config-24.gif

SSID 画面ではユーザがパーソナル WLAN ネットワークを設定できます。会社の無線 SSID とセキュリティ パラメータが設定され、(コントローラの IP を使用して WAN を設定した後に)コントローラからプッシュダウンされ、正常に加入します。

次の図に、SSID ローカル MAC フィルタリング設定を示します。

office-extend-config-25.gif

ユーザがパーソナル SSID を設定した後に、以下の画面でプライベート ホーム SSID のセキュリティの設定と無線の有効化を行うことができます。また、必要に応じて MAC フィルタリングを設定できます。パーソナル ネットワークで 802.11n レートを使用する場合は、WPA2-PSK および AES を有効にするパスフレーズ、暗号化タイプ、および認証タイプをユーザが選択することをお勧めします。

注:ユーザがいずれかまたは両方の無線を無効にする場合、これらの SSID 設定は会社での設定とは異なります(両方を無効にした場合には会社の SSID も使用できなくなります)。

管理者がデバイスのパスワードの保護や設定をしていない場合には、管理制御設定にローカルにアクセスできるユーザが無線の有効化と無効化などのコア機能を制御できます。両方の無線を無効にしないよう十分に注意してください。デバイスがコントローラに join できても接続が失われる可能性があります。

次の図に、システム セキュリティ設定を示します。

office-extend-config-26.gif

Cisco Aironet 600 シリーズ OEAP はホーム ルータとして機能するように設計されていないため、在宅勤務者が Cisco Aironet 600 シリーズ OEAP をホーム ルータの後に設置することが想定されます。これは、本製品の現行バージョンではファイアウォール サポート、PPPoE サポート、ポート フォワーディングがないためです。顧客はこれらの機能がホーム ルータに内蔵されていることを期待しています。

ホーム ルータを接続しなくても本製品は機能しますが、前述の理由からこのように配置しないことをお勧めします。一部のモデムに直接接続する場合に互換性の問題が生じることがあります。

ほとんどのホーム ルータでは DHCP スコープが 192.168.x.x の範囲で設定されていることから、このデバイスではデフォルト DHCP スコープは 10.0.0.x であり、DHCP スコープの設定を変更できます。

ホーム ルータでも 10.0.0.x が使用される場合は、ネットワーク競合を防ぐため、192.168.1.x または互換性のある IP アドレスを使用するように Cisco Aironet 600 シリーズ OEAP を設定する必要があります。

次の図に、DHCP スコープの設定を示します。

office-extend-config-27.gif

注意 注意: IT 管理者が Cisco Aironet 600 シリーズ OEAP をステージングまたは設定していない場合、AP が会社のコントローラに正常に join できるようにするため、ユーザが会社のコントローラの IP アドレスを入力する必要があります(次の図を参照)。正常に join すると、AP では、コントローラから最新のイメージと会社の WLAN 設定などのコンフィギュレーション パラメータをダウンロードします。設定されている場合には、Cisco Aironet 600 シリーズ OEAP の背面にある有線ポート #4 のリモート LAN 設定もダウンロードします。

join できない場合は、コントローラの IP アドレスがインターネット経由で到達可能であることを確認してください。MAC フィルタリングが有効な場合は、MAC アドレスがコントローラに適切に入力されていることを確認してください。

次の図に、OEAP Cisco Aironet 600 シリーズ アクセス ポイントが join しているコントローラの IP アドレスを示します。

office-extend-config-28-1.gif

OEAP-600 アクセス ポイント ハードウェアの設置

次の図に、Cisco Aironet 600 シリーズ OEAP の外観を示します。

office-extend-config-29.gif

この AP は机の上に置くように設計されており、ゴム製の脚が付いています。壁に取り付けたり、付属のクレードルを使用して縦置きにしたりできます。使用するユーザにできるだけ近い場所に AP を設定してみてください。大きな金属面のある場所(金属製の机の上、大きな鏡の近くなど)には設置しないでください。AP とユーザの間にある壁や障害物が多いほど信号強度が低くなり、パフォーマンスが低下する可能性があります。

注:この AP は +12 V 電源を使用し、Power over Ethernet(PoE)は使用しません。このデバイスは PoE に対応していません。AP に正しい電源アダプタを使用していることを確認してください。ラップトップや IP Phone など、他のデバイスのアダプタを使用しないでください。他のデバイスのアダプタを使用すると、AP が損傷するおそれがあります。

壁に取り付けるには、プラスチック製のアンカーまたは木ネジを使用します。

office-extend-config-30.gif

縦置きに設置するには、付属のクレードルを使用します。

office-extend-config-31.gif

Cisco Aironet 600 シリーズ OEAP のアンテナは、AP の両端に位置しています。金属でできた物体や障害物の近くに AP を設置しないように十分注意してください。このように設置すると、信号に指向性が生じるか、または信号が低下するおそれがあります。アンテナ ゲインは両方の帯域で約 2 dBi であり、360 度パターンで放射するように設計されています。ランプシェードのない電球のように、すべての方向に放射することを目的としています。AP をランプとして考え、ユーザに近い場所に設置してみてください。

鏡など、金属面を持つ物体は、ランプシェードのように信号の障害となります。信号が固体を貫通しなければならない場合にはスループットまたはレンジが低下することがあります。たとえば 3 階建ての家で接続する場合には、AP を 1 階に配置しないでください。AP は家の中央の場所に設置してみてください。

アクセス ポイントには 6 つのアンテナが内蔵されています(帯域幅あたり 3 つのアンテナ)。

office-extend-config-32.gif

次の図に、2.4 GHz アンテナ放射パターン(左下のアンテナ)を示します。

office-extend-config-33.gif

次の図に、5 GHz アンテナ放射パターン(右中央のアンテナ)を示します。

office-extend-config-34.gif

OEAP-600 のトラブルシューティング

最初の接続配線が正しいかどうかを確認します。これにより、Cisco Aironet 600 シリーズ OEAP の WAN ポートがルータに接続しており、IP アドレスを適切に受信できることを確認できます。AP がコントローラに join していないようである場合は、PC をポート 1 〜 3(ホーム クライアント ポート)に接続し、デフォルト IP アドレス 10.0.0.1 を使用して AP にアクセスできることを確認してください。デフォルトのユーザ名とパスワードは admin です。

会社のコントローラの IP アドレスが設定されていることを確認します。設定されていない場合は IP アドレスを入力して Cisco Aironet 600 シリーズ OEAP をリブートします。これで、Cisco Aironet 600 シリーズ OEAP がコントローラへのリンクを確立する操作を試行できます。

注:設定を行う目的でデバイスにアクセスする場合には会社接続用ポート #4(黄色)は使用できません。リモート LAN が設定されていない場合、これは実質的には「利用不可のポート」です。会社に戻るトンネルが確立されます(会社への有線接続に使用)。

イベント ログを調べ、関連付けの進行状況を確認します(詳細については後述します)。

次の図に、Cisco Aironet 600 シリーズ OEAP の接続配線図を示します。

office-extend-config-35.gif

次の図に、Cisco Aironet 600 シリーズ OEAP の接続ポートを示します。

office-extend-config-36.gif

Cisco Aironet 600 シリーズ OEAP がコントローラに加入できない場合は、次の事項を確認することをお勧めします。

  1. ルータが機能しており、Cisco Aironet 600 シリーズ OEAP の WAN ポートに接続していることを確認します。

  2. Cisco Aironet 600 シリーズ OEAP のポート 1 〜 3 のいずれかに PC を接続します。これでインターネットにアクセスできます。

  3. 会社のコントローラの IP アドレスがこの AP に保存されていることを確認します。

  4. コントローラが DMZ に配置されており、インターネット経由で到達可能であることを確認します。

  5. join を確認し、Cisco ロゴ LED が青色または紫色に点灯することを確認します。

  6. AP で新しいイメージをロードして再起動する必要がある場合に備え、十分な時間をとります。

  7. ファイアウォールを使用している場合は、UDP ポート 5246 および 5247 がブロックされていないことを確認します。

次の図に、Cisco Aironet 600 シリーズ OEAP ロゴ LED のステータスを示します。

office-extend-config-37.gif

join プロセスが失敗すると、LED の色が循環するか、またはオレンジ色で点滅します。この状況が発生した場合は、イベント ログで詳細を確認してください。イベント ログを取得するには、パーソナル SSID または有線ポート 1 〜 3 を使用して AP にアクセスし、IT 管理者が確認できるようにイベント ログ データを収集します。

次の図に、Cisco Aironet 600 シリーズ OEAP のイベント ログを示します。

office-extend-config-38-1.gif

Cisco Aironet 600 シリーズ OEAP からコントローラへの初回接続試行時に join プロセスが失敗した場合は、Cisco Aironet 600 シリーズ OEAP の AP join 統計を確認します。この統計を確認するには、AP のベース Radio MAC が必要です。この情報はイベント ログで確認できます。イベント ログの例と、解釈時に有用なコメントを次に示します。

office-extend-config-39-1.gif

上の図の説明を理解したら、コントローラ モニタの統計を調べ、Cisco Aironet 600 シリーズ OEAP がコントローラに接続したかどうか、またこれまでにコントローラに接続したことがあるかどうかを確認できます。失敗の理由、または失敗したかどうかも確認できます。

AP 認証が必要な場合は、Cisco Aironet 600 シリーズ OEAP の(無線 MAC アドレスではなく)イーサネット MAC アドレスが Radius サーバに小文字で入力されていることを確認します。イーサネット MAC アドレスもイベント ログで確認できます。

コントローラでの Cisco Aironet 600 シリーズ OEAP の検索

office-extend-config-40.gif

ローカル イーサネット ポートに接続している PC からインターネットにアクセスできることが判明しており、ローカル AP GUI で IP アドレスが設定されており、この IP アドレスに到達可能であることを確認しているが、AP がまだコントローラに join できない場合は、AP がこれまでに正常に join できていたかどうかを確認します。AP が AAA サーバにない可能性があります。DTLS ハンドシェークが失敗した場合は、AP に不適切な証明書がインストールされているか、コントローラの日付、時刻エラーの可能性があります。

いずれの Cisco Aironet 600 シリーズ OEAP 装置からもコントローラに join できない場合は、コントローラが DMZ に配置され到達可能であり、UDP ポート 5246 および 5247 が開いていることを確認します。

クライアント アソシエーション問題のデバッグ方法

AP はコントローラに適切に join する一方で、ワイヤレス クライアントが会社の SSID をアソシエートすることができません。イベント ログで、アソシエーション メッセージが AP に到達しているかどうかを確認します。

次の図に、会社の SSID と WPA または WPA2 を使用したクライアント アソシエーションの標準的なイベントを示します。SSID とオープン認証または静的 WEP を使用する場合、ADD MOBILE イベントは 1 回だけ発生します。

イベント ログ:クライアント関連付け

office-extend-config-41.gif

(Re)Assoc-Req イベントがログに記録されていない場合は、クライアントのセキュリティ設定が適切であるかどうかを確認してください。

(Re)Assoc-Req イベントがログに記録されている一方で、クライアントが適切にアソシエーションできない場合は、このクライアントに対する debug client <MAC address> コマンドをコントローラで有効にし、シスコの非 OEAP アクセス ポイントと連携するクライアントの場合と同様の方法で問題を調査します。

イベント ログの解釈方法

次に示す、コメント付きのイベント ログは、Cisco Aironet 600 シリーズ OEAP のその他の接続に関連する問題をトラブルシューティングする際に有用です。

Cisco Aironet 600 シリーズ OEAP イベント ログ ファイルから収集したログの例と、イベント ログを解釈する際に役立つコメントを次に示します。

office-extend-config-42-1.gif

office-extend-config-43-1.gif

office-extend-config-44.gif

インターネット接続の信頼性が低い場合

この項に示すイベント ログの例は、インターネット接続が失敗する場合、または最終的に低速または頻繁に停止する場合に出ることのあるログです。このような状況は通常、ISP ネットワーク、ISP モデム、またはホーム ルータが原因で発生します。ISP との接続がドロップするかまたは信頼性が低くなることがあります。このような状況が発生する場合は、CAPWAP リンク(会社に戻るトンネル)に障害があるか、または問題が発生している可能性があります。

次に、イベント ログに記録されているこのような失敗の例を示します。

office-extend-config-45.gif

その他のデバッグ コマンド

ホテルなど、利用料金制の施設で Cisco Aironet 600 シリーズ OEAP を使用する際には、Cisco Aironet 600 シリーズ OEAP がコントローラに戻るトンネルを確立する前に、ウォールド ガーデン内にアクセスする必要があります。このためには、ラップトップを有線ローカル ポート(ポート 1 〜 3)の 1 つに接続するか、パーソナル SSID を使用してホテルにログインし、スプラッシュ画面を表示します。

AP のホーム サイドからインターネットに接続すると、DTLS トンネルが確立され、会社の SSID が設定されます。有線ポート #4 がアクティブになります(リモート LAN が設定されていることを前提とする)。

注:この処理には数分間かかることがあります。Cisco ロゴ LED が、join が成功したことを示す青色または紫色で点灯することを確認します。この時点では、パーソナル接続と会社での接続の両方がアクティブです。

注:ホテルやその他の ISP が切断すると、トンネルが切断されます(通常 24 時間)。このような場合、同じプロセスをやり直す必要があります。これは意図的に設計されたものであり、正常な操作です。

次の図に、利用料金制の施設での OfficeExtend の設定を示します。

office-extend-config-46.gif

次の図に、その他のデバッグ コマンド(無線インターフェイス情報)を示します。

office-extend-config-47.gif

既知の問題

コントローラから TFTP/FTP サーバにコンフィギュレーション ファイルをアップロードする場合、リモート LAN 設定は WLAN 設定としてアップロードされます。詳細については、『Cisco Wireless LAN Controller と Lightweight アクセス ポイント リリース 7.0.116.0 のリリース ノート』を参照してください。

OEAP-600 上で、コントローラでの認証の失敗により CAPWAP 接続が失敗する場合、OEAP-600 で CAPWAP の再開を試行する前に、OEAP-600 上の Cisco ロゴ LED がしばらく消えることがあります。これは正常な動作であるため、ロゴ LED が一時的に消えていても、AP は停止したわけではないことに注意してください。

この OEAP-600 製品は、Linksys などの家庭用製品と合わせてあるため、以前の OEAP アクセス ポイントとはログイン名が異なります。この製品のデフォルト ユーザ名は admin(パスワードも admin)であるのに対し、AP-1130、AP-1140 など、他の Cisco OEAP アクセス ポイントのデフォルト ユーザ名は Cisco(パスワードも Cisco)です。

この最初の OEAP-600 リリースでは、802.1x をサポートしていますが、CLI でのみサポートされています。ユーザが GUI で変更を加えようとした場合、設定は失われることがあります。

ホテルなど、利用料金制の施設で OEAP-600 を使用する際には、OEAP-600 がコントローラに戻るトンネルを確立する前に、ウォールド ガーデン内にアクセスする必要があります。このためには、ラップトップを有線ローカル ポート(ポート 1 〜 3)の 1 つに接続するか、パーソナル SSID を使用してホテルにログインし、スプラッシュ画面を表示します。AP のホーム サイドからインターネットに接続すると、DTLS トンネルが確立され、会社の SSID が設定されます。次に、リモート LAN が設定されていると想定される、有線ポート #4 がアクティブになります。この処理には数分間かかることがあります。Cisco ロゴ LED が、加入が成功したことを示す青色または紫色で点灯することを確認してください。この時点では、パーソナル接続と会社での接続の両方がアクティブです。

注:トンネルは、ホテルまたはその他の ISP による接続解除があると、切断されます(通常は 24 時間)。この場合は、同じプロセスを再開する必要があります。これは意図的に設計されたものであり、正常な操作です。

利用料金制の施設での OfficeExtend

office-extend-config-48.gif

Cisco 7.2 リリースでは、次のような追加の強化が導入されました。

  • GUI への 802.1x セキュリティの追加

  • AP 上のローカル WLAN アクセスをコントローラから無効にする機能:パーソナル SSID を無効にし、会社の設定だけを許可

  • チャネル割り当ての選択可能オプション

  • サポートする会社の SSID の個数を 2 個から 3 個に変更

  • デュアル RLAN ポート機能のサポート

GUI への 802.1x セキュリティの追加

802.1x が追加された GUI

office-extend-config-49.gif

リモート LAN ポートの認証に関する注です。

office-extend-config-50.gif

AP 上のローカル WLAN アクセスをコントローラから無効にする機能:パーソナル SSID を無効にし、会社の設定だけを許可

ローカル WLAN アクセスの無効化

office-extend-config-51.gif

チャネル割り当ての選択可能なオプションは次のとおりです。

  • ローカル制御 AP

  • WLC 制御

ローカル制御または WLC 制御による RF チャネルと出力レベルの割り当て

office-extend-config-52.gif

office-extend-config-53.gif

デュアル RLAN ポート機能のサポート(CLI のみ)

この注記は、デュアル RLAN ポート機能を使用する OEAP-600 シリーズ AP に適用されます。この機能を使用すると、OEAP-600 のイーサネット ポート 3 をリモート LAN として使用できます。設定は CLI からだけ可能です。次に例を示します。

Config network oeap-600 dual-rlan-ports enable|disable

この機能が設定されていない場合、単一のポート 4 リモート LAN は引き続き動作します。各ポートは、ポートごとに一意なリモート LAN を使用します。リモート LAN マッピングは異なります。デフォルト グループと AP グループのいずれを使用するのかによります。

デフォルト グループ

デフォルト グループを使用する場合、偶数リモート LAN ID を持つ単一のリモート LAN はポート 4 にマップされます。たとえば、リモート LAN-ID 2 のリモート LAN が OEAP-600 上のポート 4 にマップされます。奇数リモート LAN-ID を持つリモート LAN は OEAP-600 上のポート 3 にマップされます。

例として、次の 2 つのリモート LAN を使用します。

(Cisco Controller) >show remote-lan summary

Number of Remote LANS............................ 2

RLAN ID  RLAN Profile Name    Status    Interface Name
-------  -------------------------------------  --------  --------------------
2        rlan2                                  Enabled   management
3        rlan3                                  Enabled   management

rlan2 のリモート LAN ID は偶数(2)であるため、ポート 4 にマップされます。rlan3 のリモート LAN ID は奇数(3)であるため、ポート 3 にマップされます。

AP グループ

AP グループを使用する場合、OEAP-600 ポートへのマッピングは、AP グループの順序付けによって決まります。AP グループを使用するには、まず、すべてのリモート LAN および WLAN を AP グループから削除してグループを空にしておく必要があります。次に、2 個のリモート LAN を AP グループに追加します。まず、ポート 3 AP リモート LAN を追加し、次にポート 4 リモート グループを追加し、最後にすべての WLAN を追加します。

次の例に示すように、リストの先頭のリモート LAN がポート 3 にマップされ、リストの 2 番目がポート 4 にマップされます。

RLAN ID  RLAN Profile Name      Status    Interface Name
-------  -------------------------------------  --------  --------------------
2        rlan2                                  Enabled   management
3        rlan3                                  Enabled   management

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113003