ワイヤレス : Cisco Aironet 1130 AG シリーズ

WGB ローミング: 内部詳細と設定

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 12 月 20 日) | フィードバック


目次


概要

Cisco Workgroup Bridge(WGB)は、非無線のデバイスがモビリティを取得できるため、無線ネットワークの設計と導入のための非常に便利なツールです。 WGB は、必要に応じて導入シナリオに影響を与えるローミングやセキュリティ アクセスなどでの詳細情報を提供します。

コード バージョン 12.4(25d)JA 以降で、シスコは一連のコマンドを導入し、高速ローミングの環境での WGB の使用を最適化するための変更を加えました。

このドキュメントでは、ローミング アルゴリズムの判断ポイントなどの WGB の機能方法、および目的の使用モデルに対する WGB の設定方法をさまざまな側面から説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • シスコのワイヤレス LAN ソリューション

  • シスコのワークグループ ブリッジ

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ワークグループ ブリッジとは

WGB は基本的には、インフラストラクチャに向けて無線クライアントとして機能し、イーサネット インターフェイスに接続されたデバイスにレイヤ 2 の接続を提供するために設定されたアクセス ポイント(AP)です。

一般的な WGB の導入では、以下のコンポーネントがあります。

  • 一般的には、少なくとも 1 個の無線インターフェイスおよび 1 個のイーサネット インターフェイスのある WGB デバイス

  • 通常、ルート AP と呼ばれ、Autonomous または Unified のどちらかになる可能性のあるワイヤレス インフラストラクチャ。

  • WGB に接続された 1 つ以上の有線クライアント デバイス。 このドキュメントでは、混合ロールのシナリオ(同じ AP 上の WGB としての 1 個の無線とルートとしての 1 個の無線)は説明しません。

WGB には 3 種類の主要なタイプがあります。

  • Cisco WGB: Cisco WGB は Cisco IOS ですか。 - WGB (1130、1240、1250、等で)設定される基づいた AP。 このモードは、WGB がイーサネット インターフェイスで学習したデバイスのネットワーク インフラストラクチャに伝達するために IAPP プロトコルを使用します。 この場合、ワイヤレス LAN コントローラ(WLC)またはルート AP では、WGB の下に「吊り下がった」デバイスをレイヤ 2 で確認できます。

  • Non Cisco WGB: これは、1 台以上のデバイスをワイヤレス インフラストラクチャに接続する WGB として動作するサード パーティ デバイスです。 これらは IAPP をサポートせず、どちらも 1 台の有線デバイスを許可し、つまりこれは単一の 802.11 MAC アドレスの背後にすべての有線クライアントを隠す MAC アドレス変換のメカニズムを提供します。 セキュリティ チェックおよびフレームの処理をコントローラで行う目的でインフラストラクチャが WLC の場合、これらのタイプのデバイスは Address Resolution Protocol(ARP)で特別な処理が必要です。

  • 「ユニバーサル WGB」として設定されているシスコの AP: これは、IAPP メカニズムを抑制するモードであるため、WGB はシスコ インフラストラクチャまたはサードパーティのルート AP のどちらかに対して使用できます。 この場合、WGB でそのイーサネット クライアントのアドレスを取得し、1 つのアドレスに対する背後のデバイス数を制限します。

次の項では、Autonomous または WLC インフラストラクチャのどちらかに対して使用される Cisco WGB のシナリオを説明します。

使用シナリオ

一般的な WGB の使用例は次のとおりです。

  • 有線のプリンタをネットワークに接続

  • 有線デバイスにケーブルを繋ぐことが実現可能でないかまたは実用的ではない、異なるベンダー製品の導入

  • 車や地下鉄電車などから屋外ワイヤレス ネットワークへの接続を WGB で提供する車内導入

  • 有線のカメラ

各例には、次のようなそれ自体の条件要件があります。

  • ワイヤレス インフラストラクチャの最上位で実行されているアプリケーションをサポートするために必要な帯域幅

  • ローミング遅延耐性:デバイスの移動中に現在の AP から次の AP に WGB が移行するための所要時間です。

  • 転送時間耐性:各ローミングで廃棄されたフレーム数です。

プリンタはほとんど移動しないため、ローミングの要件は低いです。 一方、車両搭載の WGB は、WGB が動き回る間に正しく動作するようにローミング コンポーネントでの微調整が必要です。

ビデオ ストリームでは帯域幅要件が大きい場合があるため、高いワイヤレス データ レートが必要です。 ただし、テレメトリ アプリケーションではわずかなフレームが時々必要なだけです。

要件は WGB の設定に影響するだけではなく、ワイヤレス インフラストラクチャがどのように設計されなければならないかにも影響するので、要件が最初から正しく定義されていることが重要です。 たとえば、AP 配置、距離、電力レベル、有効なレートなどは、すべてローミングの特性に影響を与えます。 そのため、高速ローミングが必要な場合はすべてが重要なポイントになります。

一般に、これらの詳細を知っている必要があります。

  • アプリケーションに必要な帯域幅は何ですか。

  • ローミング遅延耐性は何ですか。

  • アプリケーションがネットワークの接続解除を正しく処理できますか。 追加のバックアップ メカニズムがありますか。

  • アプリケーションは、パケット損失を適切に処理できますか (最適なワイヤレス設計上でも、ある程度のパーセンテージのパケット損失が発生します)。

このドキュメントでは、高速ローミング/屋外の RF 環境を設計する方法の詳細は説明しません。 『屋外メッシュ導入ガイド』を参照してください。

ローミング

ワイヤレス デバイスの場合は、ローミングは機能の非常に重要な部分です。

基本的にローミングは、1 台の AP から同じワイヤレス インフラストラクチャに属する別の AP へ移動する機能を意味します。

ローミングでは現在の AP から次の AP に変更する必要があるため、結果として切断またはサービスのない時間があります。 このような切断は短くなることがあります。 たとえば、音声の導入では 200 ミリ秒未満、またはセキュリティ上ローミング イベントごとに完全な認証の実行が必要な場合ではもっと長く、数秒にさえなります。

ローミングは、デバイスが信号を向上することができる新しい親を検索し、ネットワーク インフラストラクチャに継続して正常にアクセスできるために重要です。 同時に、ローミングが多すぎるとアクセスに影響を与える複数の切断またはサービスのない時間の原因になる場合があります。 WGB のようなモバイル デバイスにとって、さまざまな RF 環境およびデータのニーズに適応するために十分な設定機能を持つ適切なローミングのアルゴリズムがあることは重要です。

ローミングの要素

  • トリガ: 各クライアントの実装に 1 つまたは複数のトリガーまたはイベントがあり、その時にが来ると、デバイスが別の親 AP に移動する原因になります。 例: ビーコン損失(デバイスは AP から通常のビーコンをそれ以上受信しない)、パケット再試行、信号レベル、受信したデータがない、認証解除のフレームの受信、低いデータ レートを使用など。 トリガーは完全には標準化されていないため、発生する可能性のあるトリガーはクライアント実装ごとに異なる可能性があります。 デバイスが単純であるほどトリガー設定は貧弱で、不良なローミング(スティッキ クライアント)または不必要なローミングを引き起こします。 WGB では、すでに説明したこれまでの要素すべてをサポートします。

  • スキャン時間: ワイヤレス デバイス(WGB)は潜在的な親の検索にある程度の時間を使用します。 これは通常、さまざまなチャネルに移動し、AP のアクティブな探査またはパッシブなリスニングを行いっていることを意味します。 無線はスキャンする必要があるため、これは WGB がデータの転送と異なることを行うために費やす時間を意味します。 このスキャンの時間から、WGB はローミングできる親の有効なセットを構築できます。

  • 親の選択: スキャン時間の後、WGB は潜在的な親を調べ、最適な 1 つを選び、関連付けと認証のプロセスをトリガーできます。 たまに、ローミング イベントからの大きな利点がない場合、決定ポイントが現在の親にままになることがあります(ローミングが多すぎると不良になることがあることに注意してください)。

  • 関連付けと認証: WGB は、通常は 802.11 認証と関連付けフェーズをカバーし、さらに SSID(WPA 2-PSK、CCKM、None など)で設定されたセキュリティ ポリシーを実行している新しい AP への関連付けを進めます。

  • トラフィック転送の復元: WGB は、その WGB の既知の有線クライアントのネットワーク インフラストラクチャを、ローミング後にアップデートする IAPP を介して更新します。 この時点以降、このネットワークにその有線クライアントから送受信されるトラフィックが再開されます。

コンフィギュレーション ガイド:セキュリティ ポリシー

モバイル デバイスのローミングの 1 つの重要な側面は、インフラストラクチャで実装されるセキュリティ ポリシーが何かということです。 複数のオプションがあり、それぞれにいい点と悪い点があります。 次は最も重要なものです。

  • Open:基本的にセキュリティはありません。 これはすべてのポリシーの中で最速でしかも単純です。 これには、インフラストラクチャへのアクセスを制限せず攻撃に対する防御がないという主要な問題があり、このポリシーの用途を非常に特殊なシナリオに制限しています。 たとえば、余地のない導入のために外部攻撃の可能性のない鉱山の場合です。

  • MAC アドレスの認証:MAC アドレスのスプーフィングはあまり重要でない攻撃なので、基本的に Open と同じセキュリティ レベルです。 MAC の検証を実行する時間を追加することはローミングを遅くするので推奨しません。

  • WPA2-PSK: 適切な暗号化レベル(AES-CCMP)を提供しますが、認証のセキュリティは事前共有キーの品質によって異なります。 セキュリティ対策に関しては、少なくとも 12 文字のランダムなパスワードを推奨します。 事前共有キーの方法に類似して、キーが複数のデバイスで使用されるので、キーが解決されない場合はパスワードはすべての機器全体で修正される必要があります。 ローミングは 6 フレームの交換で終了し、外部機器(RADIUS サーバ以外など)を一切含まないのでローミングを完了するための時間の上限および下限を計算できるため、ローミング速度は許容範囲です。 通常、この方法は問題と利点のバランスを実行した後で選択されます。

  • 802.1x を使用する WPA2:これは、個別に変更できるデバイス/ユーザごとのクレデンシャル使用して、従来の方法を改善します。 主な問題はローミングに関するもので、デバイスが素早く移動している、つまり短いローミング時間が必要な場合にこの方法は正常に機能しません。 通常、これは同じ 6 フレームと、4 フレームからそれ以上である可能性のある EAP 交換を使用します。 これは、選択される EAP のタイプと証明書のサイズによって異なります。 通常、これには 10 ~ 20 フレームが必要で、さらに RADIUS サーバ処理の追加遅延があります。

  • WPA2+CCKM このメカニズムでは、適切な保護を提供し、初期認証を構築するために 802.1x を使用し、その後それぞれのローミング イベントの 2 つのフレームのクイック交換を行います。 これは非常に高速なローミング時間を提供します。 主な問題は、ローミングに失敗した場合に 802.1x 上でこれが元に戻されることです。 次に、CCKM が認証した後で再度 CCKM の使用を開始します。 WGB の最上位のアプリケーションが、問題がある場合にたまに発生する長いローミング時間を許容する場合は、これを PSK に対する最善のオプションとして使用できます。

このドキュメントでは、LEAP、WPA-TKIP、WEP などのようなセキュリティ問題のある非推奨の技術については説明していません。

WPA2-PSK の設定

WGB では、これは設定が非常に簡単です。 無線の SSID 定義と適切な暗号化が必要です。

dot11 ssid wgbpsk
vlan 32
authentication open 
authentication key-management wpa version 2
wpa-psk ascii YourReallySecurePSK!
no ids mfp client
 
interface Dot11Radio0
ssid wgbpsk
encryption mode ciphers aes-ccm
station-role workgroup-bridge

SSID 名および事前共有キーはネットワーク インフラストラクチャに一致する必要があります。

802.1x を使用する WPA2 の設定

基本的に、これは次のように EAP のプロファイルと認証方式の追加により前の設定の上位を構築します。

dot11 ssid wlan1
authentication open eap eap 
authentication network-eap eap 
authentication key-management wpa version 2
dot1x credentials wgb
dot1x eap profile eapfast
no ids mfp client
eap profile eapfast 

!--- This covers the EAP method type used on your network.

method fast
!
!     
dot1x credentials wgb 

!--- This is your WGB username/password.

username cisco
password 7 1511021F0725  
 
interface Dot11Radio0
encryption mode ciphers aes-ccm 
ssid wlan1

CCKM を使用する WPA2 の設定

WPA2 の上位の次の 1 ステップのみでただ 1 つのマイナーな変更があります。 SSID 設定の CCKM のフラグを使用します。 これは、WLAN が WLC 側でのみ CCKM 用に設定されていることを想定します。

dot11 ssid wlan1
authentication open eap eap 
authentication network-eap eap 
authentication key-management cckm
dot1x credentials wgb
dot1x eap profile eapfast
no ids mfp client

使用されている方式の検証

WGB のクイックチェックは、たとえば CCKM で次のように使用中の暗号化およびキー管理を報告できます。

wgb-1260#sh dot11 associations al
Address           : 0024.97f2.75a0     Name             : lap1140-etsi-1
IP Address        : 192.168.40.10      Interface        : Dot11Radio 0
Device            : LWAPP-Parent      Software Version : NONE 
CCX Version       : 5                  Client MFP       : Off

State             : EAP-Assoc          Parent           : -                  
SSID              : wlan1                           
VLAN              : 0
Hops to Infra     : 0                  Association Id   : 1
Tunnel Address    : 0.0.0.0
Key Mgmt type     : CCKM               Encryption       : AES-CCMP
 
Current Rate      : m7.-               Capability       : WMM ShortHdr ShortSlot
Supported Rates   : 48.0 54.0 m0. m1. m2. m3. m4. m5. m6. m7.
Voice Rates       : disabled           Bandwidth        : 20 MHz 
Signal Strength   : -59  dBm           Connected for    : 72 seconds
Signal to Noise   : 41  dB            Activity Timeout : 8 seconds
Power-save        : Off                Last Activity    : 7 seconds ago
Apsd DE AC(s)     : NONE

Packets Input     : 12064              Packets Output   : 136       
Bytes Input       : 2892798            Bytes Output     : 19514     
Duplicates Rcvd   : 87                 Data Retries     : 8         
Decrypt Failed    : 0                  RTS Retries      : 0         
MIC Failed        : 0                  MIC Missing      : 0         
Packets Redirected: 0                  Redirect Filtered: 0 

ローミングの設定

WGB で、ローミングのアルゴリズムに影響する複数のパラメータを変更できます。

パケット リトライ

デフォルトでは、WGB は 64 回フレームを再送信します。 これが親によって正しく承認(ACK)されない場合は、親が有効でないと見なされ、スキャンおよびローミング プロセスが開始します。 これは送信が失敗した時点でいつでも実行できるため、「非同期」のローミングのトリガーとして参照します。

これを設定するコマンドは、dot11 インターフェイスの内部に移動し、次のオプションを使用します。

packet retries NUM [drop]

Num: 1 と 128 の間で、デフォルトは 64 です。 高速ローミングのトリガーに適切な数は、通常 32 です。 低い番号を使用することはほとんどの RF 環境ではお勧めしません。

drop: 存在しない場合、最大再試行回数に到達すると WGB がローミング イベントを開始します。 存在する場合は、WGB は新しいローミングを開始せず、ビーコンの損失と信号のような他のトリガーを使用します。

RSSI モニタリング

WGB は、現在の親のプロアクティブ信号のスキャンを実装でき、信号が期待されるレベルを下回ると新しいローミング プロセスを開始できます。

このプロセスでは、次の 2 種類のパラメータを使用します。

  • timer、X 秒ごとのチェック プロセスを起動します、

  • RSSI level、現在の信号がこのレベルより低い場合にローミング プロセスを開始するために使用されます。

次に、例を示します。

in d0 
mobile station period 4 threshold 75 

いくつかの条件での「ローミング ループ」を防止するためまたは非常に活動的なローミングの動作を回避するために、時間は WGB が認証プロセスを完了するためにかかる時間より短くならないようにする必要があります。 一般に、アプリケーションのニーズに対応するものを確認するために、テストする必要があります。

PSK に関しては、EAP ベースの方式により小さくすることができます(非常に活動的なアプリケーションの場合通常は 2 および 4 です)。

RSSI レベルは正の整数としますが、基本的に標準の -dBm 測定レベルです。 データ レートを正しく機能させ続けるためには必要な最小値より明らかに高い数値を使用する必要があります。 たとえば、目的の最小レートが 6 Mbps の場合、-87 のしきい値 RSSI で十分です。 48 Mbps に対しては -70 dBm 必要、などです。

また、このコマンドは活動的すぎる「データ レートの変更によるローミング」をトリガーできます。 良好な結果を得るために、最小レートとともに使用する必要があります。

最小データ レート

12.4(25d)JA から開始し、親への現在のデータ レートが指定された値未満の場合、シスコでは WGB がいつ新しいローミングのイベントをトリガーする必要があるかをコントロールするために設定可能なパラメータを追加しました。

これは、ビデオや音声アプリケーションをサポートするために速度の目的の下限を保持することを保障するのに役立ちます。

このコマンドを使用する前に、レートが前回より低いことを検知した場合 WGB は頻繁にローミングをトリガーしました。 基本的に X+1 回目では、前回の X 回目よりレートが低い場合 WGB がローミング プロセスを開始します。 ログに、次のメッセージが表示されます。

*Mar  1 00:36:43.490: %DOT11-4-UPLINK_DOWN: Interface Dot11Radio1, parent lost: Had to lower data rate

これは活動的すぎるので、通常は、唯一のソリューションは WGB と親 AP の両方で単一のデータ レートを設定することでした。

ここでは、推奨される方法は、モバイル端末の period コマンドが使用される場合は常にこのコマンドを設定することです。

in d0 
mobile station  minimum-rate 2.0

これで、新しいローミング プロセスは、現在のレートが設定値より低い場合にだけトリガーされます。 これによって不要なローミングを減らし、目標のレート値を保持することができます。

メッセージ「Had to lower data rate」はこの設定でも発生すると想定されますが、モバイル端末の期間のチェック時間がトリガーされたときに WGB が設定された速度より低い速度で送信される場合にだけこれが表示される必要があります。

スキャン チャネル

WGB は、ローミングのイベントの実行中にすべての「カントリー チャネル」をスキャンします。 これは、ワイヤレスのドメインによって、2.4 Ghz 帯域のチャネル 1 ~ 11、または 1 ~ 13 をスキャンできることを意味します。

各スキャン チャネルは時間がかかります。 802.11bg の場合は約 10 ~ 13 ミリ秒です。 802.11a では、チャネルが DFS イネーブルになっている場合は 150 ミリ秒になることもあります(探索をしていないため、そこでパッシブなスキャンを行っています)。

適切な最適化は、インフラストラクチャでサービス中のチャネルだけを使用するためにスキャンされるチャネル数を制限する必要があります。 これは 802.11a で特に重要で、それはチャネル リストが大きいために DFS がビジーの場合にチャネルごとの時間が長くなる可能性があるためです。

WGB/ローミングのチャネル計画を設計するときに考慮する次の 3 ポイントがあります。

  • 2.4 GHz の帯域に関して、副次的チャネル干渉を最小限にするために 1/6/11 に固定するようにします。 4 などの他のチャネル計画では、干渉を増加させずに RF の観点から適切に設計することは難しい傾向があります。

  • すべての AP にシングル チャネル セットアップを使用することは、スキャンの観点からはよい方法です。 これは、サポートするクライアントの合計数が非常に少なく、高帯域幅の要件がない場合だけ意味を成します。 これは、スキャン時間から無線変更時間を削除します。 ほとんどの環境ではこのオプションは有用ではないため、注意して使用してください。

  • 5.0 GHz 帯域に関しては、地域の規制によって可能であれば、WGB が長時間パッシブなリスニングをする代わりにお互いにアクティブにプローブするため、屋内非 DFS チャネル(36 〜 48)の使用によってより速いスキャン時間が可能です。

導入に使用中のチャネル計画は、他の要件に対応する必要がある場合があります。 一般的な RF 設計上の推奨事項を使用します。

スキャン チャネルのリストを設定するには、次の手順を実行します。

in d0 
mobile station scan 1 6 11

モバイル端末は無線の WGB ロールを使用している場合にのみ表示されます。

WGB のスキャン リストがインフラストラクチャのチャネル リストと一致していることを確認します。 一致していない場合は、WGB が使用できる AP 見つけられません。

タイマーの設定

12.4(25a)JA から開始している場合、AP が WGB モードの場合にのみ使用可能な、問題がある場合に回復タイマーを調整するための複数の新しいコマンドがあります。

wgb-1260(config)#workgroup-bridge timeouts ?

  assoc-response  Association Response time-out value
  auth-response   Authentication Response time-out value
  client-add      client-add time-out value
  eap-timeout     EAP Timeout value
  iapp-refresh    IAPP Refresh time-out value

assoc-response、auth-response、client-add では、これらは WGB が AP が動作していないと判断し次の候補を試す前に親 AP が応答するのを待つ時間を指定します。 デフォルト値は 5 秒で、これは一部のアプリケーションには長すぎます。 最小のタイマーは 800 ミリ秒で、ほとんどのモバイル アプリケーションに推奨されます。

eap-timeout タイムアウトでは、WGB が完全な EAP の認証プロセスを完了するまで待機する最大時間を設定します。 これは、EAP のオーセンティケータが応答しない場合にプロセスを再起動するために EAP のサプリカントの観点から機能します。 デフォルト値は 60 秒です。 完全な 802.1X 認証を実行するために必要な実際の時間より低くなる可能性のある値を設定しないように十分に注意する必要があります。 通常、ほとんどの導入ではこの値を 2 ~ 4 秒にすることが適切です。

iapp-refresh では、デフォルトでは WGB は既知の有線クライアントを通知するためローミングの前に親 AP に IAPP バルク更新を生成します。 約 10 秒間の関連付け後に、2 番目の再送信があります。 このタイマーは、RF のために最初の IAPP アップデートがなくなったという問題または暗号キーがまだ親 AP にインストールされないという問題を解決するために、関連付け後の IAPP バルクの「高速リトライ」を実行できます。 高速ローミングのシナリオの場合は、100 ミリ秒を使用できます。 ただし、使用中の多くの WGB があることを確認します。 これは、各ローミング後にインフラストラクチャに送信される IAPP の合計数を著しく増加します。

アグレッシブな値の例:

workgroup-bridge timeouts eap-timeout 4
workgroup-bridge timeouts iapp-refresh 100
workgroup-bridge timeouts auth-response 800
workgroup-bridge timeouts assoc-response 800
workgroup-bridge timeouts client-add 800

これらはモバイル WGB 導入シナリオで問題なくテストされています。

他の WGB 最適化

WGB の導入シナリオで考慮する必要がある次の他のマイナーな変更があります。

無線関連

  • rts retries を減らします:rts retries 32 これはアグレッシブなシナリオで RF 時間を節約できます。 通常は必要ではありません。

  • アンテナの種類: 単一のアンテナ(ダイバーシティなし)を使用している場合は、次の汎用パフォーマンスを向上させるために無線を設定する必要があります。

antenna transmit right-a
antenna receive right-a

アンテナ ダイバーシティは必要ですが、車両に物理的にアンテナを設置する場合は常に可能とは限りません。 適切なアンテナの選択はローミングのために重要です。 たった 2 dB であっても、一般的なローミングの平均時間では膨大な違いになる場合があります。

ログ関連

  • 数ミリ秒を節約するには、次のようにコンソール ロギング レベルをエラーだけに減らします。 コンソール エラーのロギング。 コンソール ロギングを完全に無効にすると一部の条件下でローミングのパフォーマンスに悪影響を及ぼすおそれがあるため、完全には無効にしないでください。

  • 理想的には、イーサネット側からデバッグまたはログを収集するために Telnet または SSH を使用します。 これは、次のように、コンソール経由でデバッグをロギングする場合と比較してパフォーマンス上の影響が非常に低くなります。 モニタ デバッグのロギング

  • 何が発生しているかを WGB ローミングの観点で理解するコマンドが、debug dot11 dot11 0 trace print uplink です。 これは CPU への影響は少ないですが、オプションごとに合計ローミング時間を増やす可能性があるため、指示されない限り他のデバッグ オプションは有効にしないでください。

  • 可能であれば、SNTP を使用してみてください。 これによって同期の WGB 時間が維持され、トラブルシューティングに非常に役に立ちます。

MFP 使用率

  • MFP はセキュリティの観点では役立つ可能性があります。 ただし、欠点はローミングの障害シナリオ上の MTF で、WGB と AP の親の間の暗号化キーが何らかの理由で正常に機能しない場合、WGB は新しいローミングをトリガーするために AP の親からの非認証フレームを受け取りません。

  • これらのまれな障害のシナリオでは、現在の親の正常な RF 信号が受信される可能性がある場合、WGB は新しいスキャンをトリガーするために最大 5 秒間かかる可能性があります。 WGB が時間内に有効なデータ フレームを受信しない場合にトリガーできる「catch-all」検出メカニズムがあります。

  • デフォルトでは、WGB は WPA2 AES がある SSID が使用中の場合、クライアント MFP の使用を試みます。

  • 短い復旧時間が必要な場合にクライアント MFP を無効にすることが推奨されます(非保護の非認証フレームに対応する WGB)。 これはセキュリティ ニーズと短い回復時間の折衷案です。 決定は導入シナリオで何が最も重要であるかによって異なります。

dot11 ssid wgbpsk  
   no ids mfp client

WGB の EAP-TLS および「クロック保存間隔」

Cisco Aironet アクセス ポイントおよびブリッジのリリース ノート リリース 12.4(21a)JY』の「IOS サプリカント クロックの同期および時間設定の NVRAM への保存」のセクションを参照してください。

uWGB は通常は接続された MAC アドレスと関連付けられるため sntp 同期を行う機会はなく、uWGB BVI にネットワーク アクセスがないことに、uWGB を使用している場合は注意してください。 したがって、uWGB の場合、最少の導入で NVRAM に適切なクロック同期を取得することを推奨します。 接続されたイーサネット デバイスに NTP の送信元になる機能がある場合(その uWGB 接続を介して更新されたクライアントと同様に)、そのデバイスからの uWGB の sntp 同期を有効な NTP の反射ポイントとして使用することを考慮することが可能です。

すべてを設定した例

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname wgb-1260
!
logging rate-limit console 9
logging console errors
!
clock timezone CET 1
no ip domain lookup
!
!
dot11 syslog
!
!
dot11 ssid wgbpsk
   vlan 32
   authentication open 
   authentication key-management wpa version 2
   wpa-psk ascii 7 060506324F41584B56
   no ids mfp client
!
!
!
!         
!
!
username Cisco password 7 13261E010803
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm 
!
ssid wgbpsk
!
antenna transmit right-a
antenna receive right-a
  packet retries 32
station-role workgroup-bridge
rts retries 32
mobile station scan 2412 2437 2462
mobile station minimum-rate 6.0 
mobile station period 3 threshold 70
bridge-group 1
!

interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no keepalive
bridge-group 1
!
interface BVI1
ip address 192.168.32.67 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.32.1
no ip http server
no ip http secure-server

bridge 1 route ip

sntp server 192.168.32.1
clock save interval 1
workgroup-bridge timeouts eap-timeout 4
workgroup-bridge timeouts iapp-refresh 100
workgroup-bridge timeouts auth-response 800
workgroup-bridge timeouts assoc-response 800
workgroup-bridge timeouts client-add 800

デバッグ分析

何らかの問題が発生した場合、最初のステップとして debug dot11 dot11 0 trace print uplink コマンドの出力を取得することが重要です。 これによって、ローミング プロセスで何が発生しているかがよくわかります。

次は、候補として現在の親の例です。

 Sep 27 11:42:38.797: %DOT11-4-UPLINK_DOWN: Interface Dot11Radio0, parent lost: Signal strength too low
 Sep 27 11:42:38.797: CDD051F1-0 Uplink: Lost AP, Signal strength too low

これは、低い信号の一致のトリガーです。 これは、mobile station period X threshold Y コマンドによって決まります。 最初のメッセージは常にコンソールに送信され、2 番目のメッセージはアップリンク デバッグ トレースの一部です。 これは問題ではなく、標準の WGB プロセスの一部です。

 Sep 27 11:42:38.798: CDD052C7-0 Uplink: Wait for driver to stop

アップリンク プロセスは、チャネル スキャンを開始する前に、無線キューのパージを実行します。 この手順は、チャネル使用率およびキュー項目数によってことなりますが、数ミリ秒から数秒かかります。 データ フレームはタイムアウトしません。 音声フレームでは時間比較が実行されるので、高速で廃棄される必要があります。 一部の遅延はノイズが多い環境で発生している可能性があります。

 Sep 27 11:42:38.798: CDD05371-0 Uplink: Enabling active scan
 Sep 27 11:42:38.799: CDD05386-0 Uplink: Scanning

これは、スキャンが実行されている実際のチャネルです。 これは設定されたチャネルごとに約 10 ~ 13 ミリ秒無線が停滞します。

 Sep 27 11:42:38.802: CDD064CD-0 Uplink: Rcvd response from 0021.d835.ade0 channel 1 3695

これは、受信プローブの応答のリストです。 最初の番号はチャネルで、2 番目は受信にかかったマイクロ秒での時間です。

 Sep 27 11:42:38.808: CDD078F1-0 Uplink: Compare1 0021.d835.ade0 - Rssi 58dBm, Hops 0, Count 0, load 0
 Sep 27 11:42:38.809: CDD07929-0 Uplink: Compare2 0021.d835.cce0 - Rssi 46dBm, Hops 0, Count 0, load 0

これらの詳細に行った実際の比較は、次のとおりです。

 Sep 27 11:42:38.809: CDD07BDB-0 Uplink: Same as previous, send null data packet

親の選択

 Sep 27 11:42:38.809: CDD07BF7-0 Uplink: Done
 Sep 27 11:42:38.808: %DOT11-4-UPLINK_ESTABLISHED: Interface Dot11Radio0,
 Associated To AP AP1 0021.d835.ade0 [None WPAv2 PSK]Roaming completed.

これは、ローミングが「終了」したポイントです。 IAPP フレームが親によって処理されるとすぐにトラフィックが再開します。

親の比較情報

 Sep 27 14:16:47.590: F515B1FF-0 Uplink: Compare1 0021.d835.7620 - Rssi 60dBm, Hops 0, Count 0, load 3
 Sep 27 14:16:47.591: F515B238-0 Uplink: Compare2 0021.d835.e8b0 - Rssi 58dBm, Hops 0, Count -1, load 0

「現在の」AP がまだ WGB に関連付けられている AP の場合、compare1 では実際の関連付けカウント -1(WGB 自体は番号を使用しないので)を印刷し、次に実際のホップおよび負荷を印刷します。

compare2 では相違点が印刷されます。 これが、負の数値を表示することが可能な理由です。 テストに現在よりも大きな数値を使用している場合は、負の数が表示されます。

現在の関連付けカウント、負荷、信号の差、モバイルしきい値によって、WGB は新しい親を選択する場合と選択しない場合があります。

比較は、次の繰り返しで現在の AP を置き換える選択された AP を使って、常に 2 つの AP の間で行われます。 したがって、決定の一部は 1 つのループの RSSI のため、または次のテストの他の要因のためである可能性があります。


関連情報


Document ID: 113198