ワイヤレス : Cisco 4400 ???? Wireless LAN Controller

ワイヤレス LAN コントローラ(WLC)における RADIUS サーバ フォールバック機能の設定例

2013 年 4 月 19 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 4 月 30 日) | フィードバック

概要

このドキュメントでは、ワイヤレス LAN コントローラ(WLC)を使用した RADIUS サーバ フォールバック機能の設定方法について説明しています。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • Lightweight アクセス ポイント(LAP)および Cisco WLC の設定に関する基礎知識

  • Lightweight アクセス ポイント プロトコル(LWAPP)に関する基礎知識

  • Wireless Security Solutions についての基本的な知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア リリース 5.0 が稼働している Cisco 4400 WLC

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

RADIUS サーバ フォールバック機能

5.0 よりも前の WLC ソフトウェア バージョンでは、RADIUS サーバ フォールバック メカニズムはサポートされていません。プライマリ RADIUS サーバが使用不能になると、WLC は次にアクティブなバックアップ RADIUS サーバにフェールオーバーします。WLC は、プライマリ サーバが使用可能になっても、永続的にセカンダリ RADIUS サーバを使用し続けます。通常、プライマリ サーバはパフォーマンスが高く、優先サーバとなっています。

WLC 5.0 では、WLC は RADIUS サーバ フォールバック機能をサポートしています。この機能を使用すると、プライマリ サーバが使用可能かどうかを確認し、プライマリ RADIUS サーバが使用可能になったらプライマリ サーバに切り替わるように、WLC を設定できます。このために、WLC はパッシブとアクティブの 2 つの新しいモードをサポートし、RADIUS サーバの状態を確認します。WLC は、指定されたタイムアウト値を過ぎると、最も優先度の高いサーバに切り替わります。

フォールバック モード

アクティブ モード

アクティブ モードでは、サーバが WLC 認証要求に応答しなかった場合に、WLC はサーバを停止状態としてマーキングし、非アクティブなサーバ プールにサーバを移動し、サーバが応答するまで定期的にプローブ メッセージを送り始めます。サーバが応答した場合、WLC は停止状態のサーバをアクティブなプールに移動し、プローブ メッセージの送信を停止します。このモードでは、認証要求を受信すると、WLC は RADIUS サーバのアクティブなプールから最も低いインデックス(最優先)のサーバを常に選択します。

以前にサーバから応答がなかった場合には、WLC はタイムアウト(デフォルトは 300 秒)後にプローブ パケットを送信し、サーバの状態を判断します。

パッシブ モード

パッシブ モードでは、サーバが WLC 認証要求に応答しなかった場合に、WLC はサーバを非アクティブ キューに移動し、タイマーを設定します。タイマーが時間切れになると、WLC はサーバの現在の状態に関係なく、サーバをアクティブ キューに移動します。’認証要求を受信すると、WLC はアクティブ キューから最も低いインデックス(最優先)のサーバを選択します(この際、アクティブ キューには非アクティブなサーバが含まれている場合があります)。サーバが応答しない場合、WLC はそのサーバを非アクティブとしてマーキングし、タイマーを設定して、次に優先度の高いサーバに移動します。このプロセスは、WLC がアクティブな RADIUS サーバを見つけるか、アクティブなサーバ プールがなくなるまで続行されます。

以前にサーバから応答がなかった場合には、WLC はタイムアウト(デフォルトは 300 秒)後にサーバがアクティブになっていると仮定します。それでもまだ応答がない場合、認証要求を受信すると、WLC は次のタイムアウトまで待機して再試行します。

オフ モード

オフ モードでは、WLC はフェールオーバーのみサポートします。つまり、フォールバックが無効化されます。プライマリ RADIUS サーバがダウンすると、WLC は次にアクティブなバックアップ RADIUS サーバにフェールオーバーします。WLC は、プライマリ サーバが使用可能になっても、永続的にセカンダリ RADIUS サーバを使用し続けます。

コマンドライン インターフェイス(CLI)の使用による RADIUS サーバ フォールバック機能の設定

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

WLC CLI から次のコマンドを使用して、WLC 上で RADIUS サーバ フォールバック機能を有効化します。

最初の手順では、RADIUS サーバ フォールバックのモードを選択します。すでに述べたように、WLC ではアクティブ モードとパッシブ モードのフォールバックをサポートしています。

フォールバックのモードを選択するには、次のコマンドを使用します。

WLC1 > config radius fallback-test mode {active/passive/off}

  • active—停止状態のサーバにプローブを送信し、テスト状態に遷移させます。

  • passive—最新のトランザクションに基づいて、サーバ状態を設定します。

  • off—サーバ フォールバック テストを無効化します(デフォルト)。

次の手順では、アクティブ モードのプローブ間隔またはパッシブ動作モードの非アクティブ時間を指定する間隔を選択します。

間隔を設定するには、次のコマンドを使用します。

WLC1 > config radius fallback-test mode interval {180 - 3600}

<180 〜 3600>—プローブ間隔または非アクティブ時間を秒単位で入力します(デフォルトは 300)。

間隔は、アクティブ モード フォールバックの場合はプローブ間隔を、パッシブ モード フォールバックの場合は非アクティブ時間を指定します。

アクティブ動作モードの場合は、RADIUS サーバに送信するプローブ要求内で使用されるユーザ名を設定する必要があります。

ユーザ名を設定するには、次のコマンドを使用します。

WLC1 >config radius fallback-test username {username}

<username>—最大 16 文字の英数字(デフォルトは「cisco-probe」)を入力します。

注:独自のユーザ名を入力しても、デフォルトのままにしておいてもかまいません。デフォルトのユーザ名は “cisco-probe” です。このユーザ名はプローブ メッセージの送信に使用されるため、パスワードを設定する必要はありません。

グラフィカル ユーザ インターフェイス(GUI)の使用による RADIUS サーバ フォールバック機能の設定

GUI を使用して WLC を設定するには、次の手順を実行します。

  1. 最初の手順では、RADIUS サーバ フォールバックのモードを設定します。このためには、WLC GUI から [Security] > [RADIUS] > [Fallback] の順に選択します。

    [RADIUS] > [Fallback Parameters] ページが表示されます。

  2. [Fallback Mode] プルダウン メニューから、フォールバックのモードを選択します。選択できるオプションは [active]、[passive]、および [off] です。

    次のスクリーンショットは、アクティブ フォールバック モードの設定例を示しています。

    /image/gif/paws/106258/radius-fbkftr-wlc-config1.gif

  3. アクティブ動作モードの場合、[Username] フィールドにユーザ名を入力します。

  4. プローブ間隔値を [Interval in sec.] フィールドに入力します。

  5. [Apply] をクリックします。

確認

このセクションでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

次の show コマンドを使用して、フォールバック設定を確認できます。

  • show radius summary

    次に例を示します。

    WLC1 >show radius summary 
    
    Vendor Id Backward Compatibility................. Disabled
    Call Station Id Type............................. IP Address
    Aggressive Failover.............................. Enabled
    Keywrap.......................................... Disabled
    
    Fallback Test:
    Test Mode.................................... Active
     Probe User Name.............................. testaccount
     Interval (in seconds)........................ 180
    
    Authentication Servers
    
    Idx  Type  Server Address    Port    State     Tout  RFC3576  IPSec - AuthMode/Phase1/Group/Lifetime/Auth/Encr
    ---  ----  ----------------  ------  --------  ----  -------  ------------------------------------------------
    1    NM    10.1.1.12         1812    Enabled   2     Disabled  Disabled - none/unknown/group-0/0 none/none
    
    Accounting Servers
    
    Idx  Type  Server Address    Port    State     Tout  RFC3576  IPSec - AuthMode/Phase1/Group/Lifetime/Auth/E
    ---  ----  ----------------  ------  --------  ----  -------  ------------------------------------------------
    1      N     10.1.1.12         1813    Enabled   2     N/A       Disabled - none/unknown/group-0/0 none/nonen

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

トラブルシューティングのためのコマンド

  • debug dot1x events enable:802.1X イベントのデバッグを設定します。

  • debug aaa events enable:すべての AAA イベントのデバッグを設定します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 106258