ワイヤレス : Cisco Virtual Wireless Controller

PEAP 認証が割り当てられたワークグループ ブリッジの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は下記のものを含めてワークグループブリッジ(WGB)のための強化されたサポートを記述したものです、:

  • WGB のための Protected Extensible Authentication Protocol (PEAP) サポート。 WGB で設定されるアクセス ポイントは PEAP とルートアクセス アクセス・ポイントに今関連付けることができます。

  • クライアント WGB がローミングする場合の機能強化。

  • WGB が速くローミングする場合の信頼性。 ユニットはルートアクセス アクセス・ポイントに再び対応づける必要があるとき追加再試行を与えられます。

  • 「最もよい親」アクセス ポイントを選択するのに WGB が使用する方式の機能強化。 WGB は WGB 間の最もよいルートアクセス アクセス・ポイントのリストを作成し、共有できるルートアクセス アクセス・ポイントとアソシエーション履歴を共有できます。 この方式はローミングするとき WGB を選択します最もよいルートアクセス アクセス・ポイントを助けます。

  • クライアントとして使用された場合 WGB の VideoStream サポート。 VideoStream はユニキャストフレームにマルチキャスト フレームを、地上波、変換するとき IPマルチキャストストリームの信頼性を改善します。 VideoStream は以前のリリースの WGB クライアントのために WGB の配線されたクライアントがワイヤレス LAN コントローラ(WLC)マルチキャスト 表に追加することができないのでサポートされませんでした。 このリリースでは、WGB は WLC マルチキャスト 表に追加され、WGB はイーサネット マルチキャスト フレームに VideoStream ユニキャストフレームを変換し、配線されたクライアントに送出します。

    WGB のための VideoStream を有効に するために、WLC の設定メディア ストリーム配線クライアント enable コマンドを入力して下さい。

注: Surendra BG、Jeal ヒメネス、およびカーロス Leiton によって貢献される、Cisco TAC エンジニア。

このシリーズの他の資料

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

この文書に記載されている情報は Cisco IOS に基づいていますか。 ソフトウェア リリース 15.2(2)JA または それ 以降。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは Cisco Unified コントローラによって基づく配備と共に PEAP で WGB を、設定するための情報が表示されます。 この例では、1260 の自律アクセス ポイントは WGB で設定され、Lightweight Access Point Protocol (LWAPP)にネットワークを接続します。 この Service Set Identifier (SSID)を、WGB-PEAP、WLAN への接続のために使用し、WGB の認証のために LWAPP ネットワークに PEAP を使用して下さい。

注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

この資料は図 1 で表示されるネットワーク セットアップを使用します:

図 1

http://www.cisco.com/c/dam/en/us/support/docs/wireless/virtual-wireless-controller/115736-wgb-peap-01.gif

ワークグループブリッジ 設定

WGB を設定するために、これらのステップを完了して下さい:

  1. WGB のホスト名、ドメイン名および時を要求に応じて設定 して下さい。

    • ホスト名は前の手順で ACS にそのホスト用に入力したユーザ名と一致する必要があります。

      ap#configure terminal
      ap(config)#hostname WGB-Client
      WGB-Client(config)#
      
    • 時間は認証がはたらくことができるように正しい必要があります(clock set コマンドまたは SNTP サーバを設定するため)。

      WGB-Client#clock set 14:00:00 5 Dec 2011
       
  2. CA のためのトラストポイントを設定して下さい。

    WGB-Client#configure term
    WGB-Client(config)#crypto pki trustpoint WGB-PEAP
    WGB-Client(config)#enrollment terminal
    WGB-Client(config)#subject-name CN=Wireless-CA
    

    注: コマンド subject-name CN=<ClientName> が必要となります。 それなしで、Microsoft Certificate Authority (CA)は、認証を発行しません受け取りますこのエラーメッセージを、「要求 サブジェクト名は無効または余りに長いです。 0x80094001」。

    WGB-Client(config)#revocation-check none
    

    注: revocation-check none コマンドは、Cisco Bug ID CSCsl07349登録ユーザ専用)で説明されている問題を回避するために必要です。 WGB は、頻繁に関連付けの解除/再関連付けを行い、再接続するのに長い時間がかかります。

    WGB-Client(config)#rsakeypair manual-keys 1024
    

ワークグループブリッジ インストールの CA 認証

CA 認証を WGB でインストールするために、これらのステップを完了して下さい:

  1. CA 認証のコピーを入手して下さい。

  2. CA サーバの crtsrv 位置に参照して下さい; 例: http:// <ca-server-ip-address>/crtsrv

  3. [Download a CA certificate, certificate chain, or CRL] をクリックします。

  4. 選択符号化 方式 ドロップダウン リストから、ベース 64 を選択して下さい。

  5. [Download CA Certificate] をクリックします。

  6. .cer ファイルを保存します。

  7. CA 認証をインストールして下さい:

    1. 暗号 PKI 認証する CUT-PASTE コマンドを入力して下さい。

    2. base-64 によって符号化される CA 認証を入力して下さい。 最後の行で」やめられるブランク 行かワードでそれ自体「終了して下さい。

    3. 前の手順でダウンロードされる .cer ファイルからのテキストを貼り付けて下さい。 認証インストールはこの例のように見えます。

        -----BEGIN CERTIFICATE-----
        [ ... ]
        -----END CERTIFICATE-----
    
        quit
    
        Certificate has the following attributes:
    
        Fingerprint: 45EC6866 A66B4D8F 2E05960F BC5C1B76
    
        % Do you accept this certificate? [yes/no]: yes
    
        Trustpoint CA certificate accepted.
    
        % Certificate successfully imported

認証インストールの後で、AP 設定はこの例のように見える必要があります:

=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2012.11.07 16:49:51 =~=~=~=~=~=~=~=~=~=~=~=
show run
Building configuration...

Current configuration : 4822 bytes
!
! Last configuration change at 16:22:57 UTC Wed Nov 7 2012
! NVRAM config last updated at 16:23:35 UTC Wed Nov 7 2012
! NVRAM config last updated at 16:23:35 UTC Wed Nov 7 2012
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname WGB-Client
!
logging rate-limit console 9
enable secret 5 $1$8cu.$a00dIhVNtjLuESjgkiK0A.
!
no aaa new-model
!
!
dot11 syslog
!
dot11 ssid WGB-PEAP
   authentication open eap PEAP 
   authentication network-eap PEAP 
   authentication key-management wpa
   dot1x credentials PEAP
   dot1x eap profile PEAP
   infrastructure-ssid
!
eap profile PEAP
 method peap
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint WGB-PEAP
 enrollment terminal
 subject-name CN=Wireless-CA
 revocation-check none
 rsakeypair WGB 1048
!
!
crypto pki certificate chain WGB-PEAP
 certificate ca 5CC74BD9508B78AF4AB5C5F84C32AC2A
  3082049E 30820386 A0030201 0202105C C74BD950 8B78AF4A B5C5F84C 32AC2A30 
  0D06092A 864886F7 0D010105 05003048 31133011 060A0992 268993F2 2C640119 
  1603636F 6D311B30 19060A09 92268993 F22C6401 19160B43 522D5769 72656C65 
  73733114 30120603 55040313 0B576972 656C6573 732D4341 301E170D 31323131 
  30353232 32343034 5A170D31 37313130 35323232 3834385A 30483113 3011060A 
  09922689 93F22C64 01191603 636F6D31 1B301906 0A099226 8993F22C 64011916 
  0B43522D 57697265 6C657373 31143012 06035504 03130B57 6972656C 6573732D 
  43413082 0122300D 06092A86 4886F70D 01010105 00038201 0F003082 010A0282 
  010100E5 3DEC1126 3EE00F34 9E263E21 BB702E5F EA5833B2 8B3A0FE1 7A6171B1 
  6D8E96AB 961F3713 49A66832 BC9FFC6D DF4E2795 C83D239A 055A2D9B 0A9E010D 
  64ABEC56 026F3CD9 B23152F6 39E1B9E0 CEA507D0 D932EE1B AECDCD5D 70A89CC9 
  118BE425 C827E7E9 167C8181 D0A85178 80C4D812 C376F8F5 0FC03292 F780785A 
  4DBBC826 4C295A8C 47317AA9 E5FD0016 FCBCB5F7 A6DF7742 62F5AB28 17035E37 
  D07086F0 86A22531 144C488B 433BA34E DAFFC793 8D847050 F1370F8D F9AFCE9D 
  635F0907 6F796C6C 82BD0B66 EF034B7F DCD6E012 E265D446 015ACD2C 764015D5 
  D3B7BAB5 692DF7A2 61D9CF0B 04BA386C C8089018 892F8669 B6C47DEB DCFFFA83 
  330E9D02 03010001 A3820182 3082017E 30130609 2B060104 01823714 0204061E 
  04004300 41300B06 03551D0F 04040302 0186300F 0603551D 130101FF 04053003 
  0101FF30 1D060355 1D0E0416 04148EA5 6E3FC90F 30CDD5FC 4BCA976E 48D0D267 
  1E313082 01160603 551D1F04 82010D30 82010930 820105A0 820101A0 81FE8681 
  BB6C6461 703A2F2F 2F434E3D 57697265 6C657373 2D43412C 434E3D63 6973636F 
  2D333661 37336132 66612C43 4E3D4344 502C434E 3D507562 6C696325 32304B65 
  79253230 53657276 69636573 2C434E3D 53657276 69636573 2C434E3D 436F6E66 
  69677572 6174696F 6E2C4443 3D576972 656C6573 732C4443 3D636F6D 3F636572 
  74696669 63617465 5265766F 63617469 6F6E4C69 73743F62 6173653F 6F626A65 
  6374436C 6173733D 63524C44 69737472 69627574 696F6E50 6F696E74 863E6874 
  74703A2F 2F636973 636F2D33 36613733 61326661 2E776972 656C6573 732E636F 
  6D2F4365 7274456E 726F6C6C 2F576972 656C6573 732D4341 2E63726C 30100609 
  2B060104 01823715 01040302 0100300D 06092A86 4886F70D 01010505 00038201 
  01007A3C 9802BFE9 D04CFCCD 4C802F60 9CBF0AE7 77C0D781 92CA1CCE C220349D 
  D8775729 80781349 4C20A518 B9175F44 2F0F6F17 F55CF53E 00042397 CEFB0A98 
  0DAFB69C 3F6BD9A7 EB87B2F4 3CBF041A 61E6FCD2 F4EE3AB9 460B954A E838436E 
  5F9F19C4 194E8781 17BA2339 936BA3DB D7747DF5 CFCC6415 1BB63553 63EC86C1 
  D6544FD6 963FD80E 1135CBA5 3E79E851 AD65F314 CE4E0C04 00EB4BA9 7079512D 
  DDF1D657 FEF72C2A C7E63CC6 AB9F0305 3ABC79D4 6729BF89 2FB70ACE 52F022D1 
  F1E069BC 954C3AC1 E18FA04A D2ECE11D E25B2E96 630637D2 B7949B84 099D971A 
  C3B7249C F75C4525 D02A40AB 50E19196 9D1C2853 8BAEFDFC 1CE1945E 1CABC51B AFF5
      quit
dot1x credentials PEAP
 username WGB-Client
 password 7 13061E010803
 pki-trustpoint WGB-PEAP
!
username Cisco password 7 123A0C041104
!
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 shutdown
 antenna gain 0
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm 
 !
 ssid WGB-PEAP
 !
 antenna gain 0
  station-role workgroup-bridge
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address dhcp client-id GigabitEthernet0
 no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 login local
 transport input all
!
end

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

この例のように AP 見えのアソシエーション:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/virtual-wireless-controller/115736-wgb-peap-02.gif

この例のように WLC 見えからの WGB アソシエーション:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/virtual-wireless-controller/115736-wgb-peap-03.gif

この例のようにクライアント アソシエーション見え:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/virtual-wireless-controller/115736-wgb-peap-04.gif

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

ワークグループブリッジをデバッグして下さい

WGB をデバッグするために、これらのコマンドを入力して下さい:

  • debug aaa authentication

  • debug dot11 supp-sm-dot1x

ワイヤレス LAN コントローラをデバッグして下さい

WLC をデバッグするために、debug aaa all enable コマンドを入力して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 115736