デバイスの設定
デバイスの設定
発行日;2013/07/12 | 英語版ドキュメント(2013/05/23 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

デバイスの設定

コントローラの設定

コントローラ監査レポートについて

コントローラの追加

コントローラ クレデンシャルの一括アップデート

Prime Infrastructure からのコントローラの削除

コントローラのリブート

コントローラへのソフトウェアのダウンロード

ソフトウェアのダウンロード(FTP)

ソフトウェアのダウンロード(TFTP)

コントローラからの IPaddr アップロード設定/ログの設定

IDS シグニチャのダウンロード

コントローラへのカスタマイズ Web 認証バンドルのダウンロード

ベンダー デバイス証明書のダウンロード

ベンダー CA 証明書のダウンロード

フラッシュへの設定の保存

コントローラからの設定のリフレッシュ

コントローラからのテンプレートの検出

Prime Infrastructure のクレデンシャルのアップデート

コントローラに適用されているテンプレートの表示

[Audit Now] 機能の使用

最新のネットワーク監査レポートの表示

既存のコントローラの設定

コントローラのプロパティの設定

コントローラ システム パラメータの設定

コントローラの一般システム プロパティの管理

コントローラ システム コマンドの設定

出荷時の初期状態の復元

コントローラの時刻と日付の設定

コントローラからの設定およびログのアップロード

コントローラへの設定のダウンロード

へのソフトウェアのダウンロード

への Web 管理証明書のダウンロード

IDS シグニチャのダウンロード

カスタマイズ Web 認証バンドルのコントローラへのダウンロード

コントローラ システム インターフェイスの設定

インターフェイスの追加

現在のインターフェイスの詳細表示

ダイナミック インターフェイスの削除

コントローラ システム インターフェイス グループの設定

インターフェイス グループの追加

インターフェイス グループの削除

インターフェイス グループの表示

NAC 統合

有線ゲスト アクセスの設定

入力インターフェイスの作成

出力インターフェイスの作成

コントローラのネットワーク ルートの設定

既存のネットワーク アドレスの表示

コントローラのスパニングツリー プロトコル パラメータの設定

コントローラのモビリティ グループの設定

コントローラのネットワーク タイム プロトコルの設定

メッシュ ネットワークの 1510 でのバックグラウンド スキャン

コントローラ QoS プロファイルの設定

コントローラ DHCP スコープの設定

コントローラのユーザ ロールの設定

グローバル アクセス ポイント パスワードの設定

グローバル CDP の設定

AP 802.1X サプリカント クレデンシャルの設定

コントローラ DHCP の設定

コントローラのマルチキャスト モードの設定

アクセス ポイント タイマーの設定

コントローラ WLAN の設定

WLAN の詳細の表示

[General] タブ

[Security] タブ

[QoS] タブ

[Advanced] タブ

モバイル コンシェルジュの設定(802.11u)

WLAN の追加

WLAN の削除

WLAN ステータス スケジュールの管理

モビリティ アンカー

WLAN AP グループの設定

アクセス ポイント グループの追加

アクセス ポイント グループの削除

アクセス ポイント グループの監査

FlexConnect パラメータの設定

FlexConnect AP グループの設定

FlexConnect グループの監査

セキュリティ パラメータの設定

コントローラのファイル暗号化の設定

デバイスの設定

この章では、Prime Infrastructure データベースにデバイスを設定する方法について説明します。ここで説明する内容は、次のとおりです。

「コントローラの設定」

「既存のコントローラの設定」

「サードパーティのコントローラおよびアクセス ポイントの設定」

「アクセス ポイントの設定」

「スイッチの設定」

「Spectrum Expert の設定」

「チョークポイントの設定」

「Wi-Fi TDOA 受信機の設定」

「スケジュール設定タスクの設定」

「コントローラの自動プロビジョニングの設定」

「コントローラの冗長性の設定」

「wIPS プロファイルの設定」

「ACS View Server の設定」

「TFTP サーバまたは FTP サーバの設定」

「インタラクティブ グラフ」

コントローラの設定

ここでは、Prime Infrastructure データベースにコントローラを設定する方法について説明します。

[Configure] > [Controllers] を選択して、次にアクセスします。

Prime Infrastructure データベースのすべてのコントローラの概要。

選択したコントローラを追加、削除、およびリブートする機能。

選択したコントローラに Prime Infrastructure サーバからソフトウェアをダウンロードする機能。

選択したコントローラ上の不揮発性(フラッシュ)メモリに現在の設定を保存する機能。

選択したコントローラの監査レポートを表示する機能。

コントローラのデータ テーブルには、次の列が含まれています。

[Check box]:該当するコントローラを選択します。

[IP Address]:コントローラ管理インターフェイスのローカル ネットワーク IP アドレス。

タイトルをクリックすると、リスト項目がソートされます。

いずれかのリスト項目をクリックすると、その IP アドレスのパラメータが表示されます。「コントローラのプロパティの設定」を参照してください。

IP アドレスの右側のアイコンをクリックすると、コントローラの Web ユーザ インターフェイスが新しいブラウザ ウィンドウで表示されます。

[Device Name]:コントローラの名前を示します。[Controller Name] リンクをクリックすると、コントローラ名でリストがソートされます。

[Device Type]:クリックすると、タイプでソートされます。デバイス タイプは、シリーズでグループ化されています。次に例を示します。

[WLC2100]:21xx シリーズ ワイヤレス LAN コントローラ

[2500]:25xx シリーズ ワイヤレス LAN コントローラ

[4400]:44xx シリーズ ワイヤレス LAN コントローラ

[5500]:55xx シリーズ ワイヤレス LAN コントローラ

[7500]:75xx シリーズ ワイヤレス LAN コントローラ

[WiSM]:WiSM(スロット番号、ポート番号)

[WiSM2]:WiSM2(スロット番号、ポート番号)

[Location]:コントローラの場所を示します。

[Software Version]:現在コントローラで実行されているコードのオペレーティング システム release.version.dot.maintenance 番号。

[Mobility Group Name]:モビリティまたは WPS グループの名前。

[Reachability Status]:到達可能または到達不能。


) デバイス ステータスのバックグラウンド タスクの最後の実行情報に基づいて、到達可能性ステータスが更新されます。現在のステータスをアップデートするには、[Administration] > [Background Tasks] を選択して、[Select a command] ドロップダウン リストから [Execute Now] を選択します。


Audit Status

[Not Available]:このスイッチでは監査は実行されていません。

[Identical]:設定の相違は見つかりませんでした。

[Mismatch]:設定の相違が見つかりました。

[Audit Status] リンクをクリックして、監査レポートにアクセスします。[Audit Report] ページで [Select a command] ドロップダウン リストから [Audit Now] を選択して、このコントローラに対して新たに監査を実行します。監査レポートの詳細については、「コントローラ監査レポートについて」を参照してください。


) 監査ステータスは、設定の同期バックグラウンド タスクまたは [Controllers] ページの [Audit Now] オプションのいずれかの、最新の実行情報に基づいてアップデートされます。現在のステータスを確認するには、[Administration] > [Background Tasks] を選択し、[Select a command] ドロップダウン リストから [Execute Now] または [Audit Now] を選択します。



) 特定のコントローラを検索するには、検索機能を使用します。詳細については、「検索機能の使用方法」を参照してください。


ここでは、次の内容について説明します。

「コントローラ監査レポートについて」

「コントローラの追加」

「コントローラ クレデンシャルの一括アップデート」

「Prime Infrastructure からのコントローラの削除」

「コントローラのリブート」

「コントローラへのソフトウェアのダウンロード」

「IDS シグニチャのダウンロード」

「コントローラへのカスタマイズ Web 認証バンドルのダウンロード」

「ベンダー デバイス証明書のダウンロード」

「ベンダー CA 証明書のダウンロード」

「フラッシュへの設定の保存」

「コントローラからの設定のリフレッシュ」

「コントローラからのテンプレートの検出」

「Prime Infrastructure のクレデンシャルのアップデート」

「コントローラに適用されているテンプレートの表示」

「[Audit Now] 機能の使用」

「最新のネットワーク監査レポートの表示」

コントローラ監査レポートについて

コントローラ監査レポートには、[Administration] > [Settings] > [Audit] で選択した監査のタイプ、および監査の実行で使用されたパラメータに基づいて、次の情報が表示されます。

適用されたテンプレートの矛盾(Template Based Audit のみ)

設定グループのテンプレートの矛盾(Template Based Audit のみ)

バックグラウンドの監査が有効な設定グループの全体の施行(Template Based Audit のみ)

全体の施行数が 0 より大きい場合、この数値はリンクとして表示されます。このリンクをクリックすると、Prime Infrastructure から行われた施行のリストが表示されます。

バックグラウンドの監査が有効な設定グループの障害(Template Based Audit のみ)

全体の障害数が 0 より大きい場合、この数値はリンクとして表示されます。リンクをクリックすると、デバイスから返された障害が表示されます。

その他の Prime Infrastructure の矛盾


) コントローラ監査レポートには、監査がすべてのパラメータに基づいて実行されたか、または選択された一部のパラメータに基づいて実行されたかが示されます。



) 2 種類の監査、および監査の特定のパラメータを管理する方法に関する詳細については、「監査の設定」を参照してください。


現在のコントローラ監査レポートには、[Configure] > [Controllers] ページの [Audit Status] 列で値をクリックすることでアクセスできます。

[Configure] > [Controllers] ページの [Select a command] ドロップダウン リストから [Audit Now] を選択するか(詳細は「[Audit Now] 機能の使用」を参照してください)、またはコントローラ監査レポートで [Audit Now] をクリックすると、コントローラを監査できます。

コントローラの追加

コントローラは 1 つずつまたはバッチで追加することができます。

コントローラを追加する手順は次のとおりです。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 [Select a command] ドロップダウン リストから、[Add Controllers] を選択し、[Go] をクリックします。[Add Controller] ページが表示されます。

ステップ 3 次のいずれかを選択します。

1 つのコントローラを追加するか、カンマを使用して複数のコントローラを区切る場合は、[Add Format Type] ドロップダウン リストを [Device Info] のままにします。

CSV ファイルのインポートにより複数のコントローラを追加する場合は、[Add Format Type] ドロップダウン リストから [File] を選択します。CSV ファイルを使用すると、独自のインポート ファイルを生成して必要に応じてデバイスを追加できます。


) システムからコントローラが削除されても、アソシエートされたアクセス ポイントは自動的に削除されず、システムに残ります。これらのアソシエーションが解除されたアクセス ポイントは、手動で削除する必要があります。



) パケットを複数のフラグメントに分割し、IPsec を利用して GRE リンクを越える、または小さい MTU のリンクを越えて Prime Infrastructure にコントローラを追加する場合は、Maximum VarBinds per Get PDU および Maximum VarBinds per Set PDU の調整が必要な場合があります。設定されている値が高すぎる場合は、Prime Infrastructure へのコントローラの追加は失敗する場合があります。Maximum VarBinds per Get PDU または Maximum VarBinds per Set PDU を調整するには、Prime Infrastructure を停止し、[Administration] > [Settings] > [SNMP Settings] の順に選択して、[Maximum VarBinds per Get PDU] および [Maximum VarBinds per Set PDU] の値を 50 以下に編集します。



) [Maximum VarBinds per Get PDU] または [Maximum VarBinds per Set PDU] の値を下げると、デバイスへの設定の適用が失敗する場合があります。


ステップ 4 [Device Info] を選択した場合は、追加するコントローラの IP アドレスを入力します。複数のコントローラを追加するには、IP アドレスの文字列の間にカンマを使用します。


) 可変長サブネット マスクとしては正しいホスト アドレスであっても、可変長サブネット マスクを考慮しないバイト境界のブロードキャスト アドレスとして見なされ、Prime Infrastructure へのコントローラの追加には制限があります。たとえば、10.0.2.255/23 は追加できませんが、10.0.2.254/23 は追加できます。


[File] を選択した場合は、[Browse] をクリックしてインポートする CSV ファイルの場所を探します。

CSV ファイルの最初の行は、含まれている列の説明に使用されます。CSV ファイルの最初の行は、含まれている列の説明に使用されます。IP アドレス列は必須です。次に、CSV ファイルの例を示します。

ip_address,network_mask,snmp_version,snmp_community,snmpv3_user_name,snmpv3_auth_type,snmpv3_auth_password,snmpv3_privacy_type,snmpv3_privacy_password,snmp_retries,snmp_timeout,protocol,telnet_username,telnet_password,enable_password,telnet_timeout
209.165.200.225,255.255.255.224,v2,public,,,,,,3,10,telnet,cisco,cisco,cisco,60
209.165.200.226,255.255.255.224,v2,public,,,,,,3,10,,cisco,cisco,cisco,60
209.165.200.227,255.255.255.224,v2,public,,,,,,3,10,telnet,cisco,cisco,cisco,60

 

CSV ファイルには、次のフィールドを含めることができます。

ip_address

network_mask

snmp_version

snmp_community

snmpv3_user_name

snmpv3_auth_type

snmpv3_auth_password

snmpv3_privacy_type

snmpv3_privacy_password

snmp_retries

snmp_timeout

protocol

telnet_username

telnet_password

enable_password

telnet_timeout

ステップ 5 このコントローラで Telnet/SSH クレデンシャルを確認する場合は、[Verify Telnet/SSH Credentials] チェックボックスをオンにします。デバイスの検出には相当の時間がかかるため、これを選択しない(または無効の)ままにすることもできます。


) 書き込みアクセスに対応する SNMP パラメータ(使用できる場合)を入力します。読み取り専用アクセス パラメータを入力した場合、コントローラは追加されますが、Prime Infrastructure は設定を変更することはできず、また Prime Infrastructure をそのコントローラのトラップ レシーバとして登録することもできません。


ステップ 6 [Version] ドロップダウン リストから、[v1]、[v2]、[v3] のいずれかを選択します。

ステップ 7 [Retries] テキスト ボックスに、コントローラの検出を試行する回数を入力します。

ステップ 8 クライアントのセッション タイムアウト値を秒単位で入力します。この値により、クライアントの再認証が強制されるまでの最大時間が決定されます。

ステップ 9 [Community] フィールドに、public または private のいずれかを入力します(v1 および v2 の場合のみ)。


) 後でコミュニティ モードを変更する場合は、そのコントローラに対して設定リフレッシュを実行する必要があります。


ステップ 10 認証タイプについて、[None]、[HMAC-SHA]、[HMAC-MD5](v3 の場合のみ)のいずれかを選択します。

ステップ 11 認証パスワードを入力します(v3 の場合のみ)。

ステップ 12 プライバシー タイプについて、[None]、[CBC-DES]、[CFB-AES-128](v3 の場合のみ)のいずれかを入力します。

ステップ 13 プライバシー パスワードを入力します(v3 の場合のみ)。

ステップ 14 コントローラの Telnet クレデンシャル情報を入力します。[File] オプションを選択して複数のコントローラを追加した場合は、指定したコントローラすべてにこの情報が適用されます。CSV ファイルからコントローラを追加した場合は、ユーザ名およびパスワード情報は、CSV ファイルから取得されます。


) Telnet/SSH のユーザ名は、CLI テンプレートでコマンドを実行するために十分な権限を持っている必要があります。


デフォルトのユーザ名とパスワードは admin です。

ステップ 15 再試行の回数およびタイムアウトの値を入力します。デフォルトの再試行回数は 3、デフォルトの再試行タイムアウトは 1 分です。

ステップ 16 [OK] をクリックします。


) Prime Infrastructure へのデバイスの追加に失敗し、エラーメッセージ「Sparse table not supported」が表示された場合は、Prime Infrastructure と WLC のバージョンに互換性があるかどうかを確認して再試行します。バージョンの互換性の詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/wireless/controller/5500/tech_notes/Wireless_Software_Compatibility_Matrix.html



) コントローラが Prime Infrastructure に追加されると、Prime Infrastructure はトラップ レシーバとして動作し、802.11 ディスアソシエーション、802.11 認証解除、および 802.11 認証のトラップがコントローラで有効になります。



) 複数のコントローラのクレデンシャルを一括してアップデートするには、[Select a command] ドロップダウン リストから [Bulk Update Controllers] を選択します。[Bulk Update Controllers] ページが表示されます。CSV ファイルを選択できます。CSV ファイルには、アップデートするコントローラのリストを含めます(1 行につき 1 個のコントローラを記述)。各行には、コントローラの属性がカンマ区切りでリストします。最初の行は、含まれている属性の説明です。IP アドレス属性は必須です。詳細については、『Cisco Prime Prime Infrastructure Configuration Guide』を参照してください。



) 追加後のコントローラは、Prime Infrastructure が、追加されたコントローラとの通信を試行する間、一時的に [Monitor] > [Unknown Devices] ページに配置されます。コントローラとの通信が正常に確立されると、コントローラは [Monitor] > [Unknown Devices] ページから [Monitor] > [Controllers] ページに移動されます。Prime Infrastructure がコントローラと正常に通信できない場合、そのコントローラは [Monitor] > [Unknown Devices] に残り、エラー状態およびエラー メッセージが表示されます。[Unknown Devices] ページにアクセスするには、[Configure] > [Unknown Devices] を選択します。



 

コントローラ クレデンシャルの一括アップデート

CSV ファイルをインポートすることで、複数のコントローラのクレデンシャルをアップデートできます。

コントローラの情報を一括アップデートするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから、[Bulk Update Controller] を選択します。[Bulk Update Controllers] ページが表示されます。

ステップ 4 [Select CSV File] テキスト ボックスに CSV ファイル名を入力するか、または [Browse] をクリックして目的のファイルを特定します。

ステップ 5 [Update and Sync] をクリックします。


 

コントローラ クレデンシャルのバルク アップデート用 CSV ファイルの例

CSV ファイルの最初の行は、含まれている列の説明に使用されます。IP アドレス列は必須です。次に、CSV ファイルの例を示します。

ip_address,network_mask,snmp_version,snmp_community,snmpv3_user_name,snmpv3_auth_type,snmpv3_auth_password,snmpv3_privacy_type,snmpv3_privacy_password,snmp_retries,snmp_timeout,protocol,telnet_username,telnet_password,enable_password,telnet_timeout
209.165.200.225,255.255.255.224,v2,public,,,,,,3,10,telnet,cisco,cisco,cisco,60
209.165.200.226,255.255.255.224,v2,public,,,,,,3,10,,cisco,cisco,cisco,60
209.165.200.227,255.255.255.224,v2,public,,,,,,3,10,telnet,cisco,cisco,cisco,60

 

CSV ファイルには、次のフィールドを含めることができます。

ip_address

network_mask

snmp_version

snmp_community

snmpv3_user_name

snmpv3_auth_type

snmpv3_auth_password

snmpv3_privacy_type

snmpv3_privacy_password

snmp_retries

snmp_timeout

protocol

telnet_username

telnet_password

enable_password

telnet_timeout

Prime Infrastructure からのコントローラの削除

コントローラを削除するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから [Remove Controllers] を選択します。

ステップ 4 [Go] をクリックします。

ステップ 5 ポップアップ ダイアログボックスで [OK] をクリックして、削除を確定します。


) システムからコントローラが削除されても、アソシエートされたアクセス ポイントは自動的に削除されず、システムに残ります。これらのアソシエーションが解除されたアクセス ポイントは、手動で削除する必要があります。



 

コントローラのリブート

コントローラをリブートするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから [Reboot Controllers] を選択します。

ステップ 4 [Go] をクリックします。[Reboot Controllers] ページが表示されます。


) リブートする前に、現在のコントローラの設定を保存します。


ステップ 5 適用する必要のある [Reboot Controller] オプションを選択します。

[Save Config to Flash]:データはコントローラの不揮発性 RAM(NVRAM)に保存され、電源の再投入時にも保持されます。コントローラをリブートした場合、設定が保存されていないと、適用した変更はすべて失われます。

[Reboot APs]:何らかのアップデートが実行された後、アクセス ポイントがリブートされるようにするには、このチェックボックスをオンにします。

[Swap AP Image]:AP イメージをスワップした際に、コントローラおよび AP をリブートするかどうかを示します。[Yes] または [No] のいずれかになります。


) [Reboot APs] チェックボックスがオンの場合以外は、オプションは無効になっています。


ステップ 6 [OK] をクリックして、オプションの設定を選択した状態でコントローラをリブートします。


 

コントローラへのソフトウェアのダウンロード

Prime Infrastructure では、ファイルのアップロードおよびダウンロードに、ファイル転送プロトコル(FTP)および Trivial File Transfer Protocol(TFTP)の両方がサポートされています。前のソフトウェア リリースでは、TFTP のみがサポートされました。

ここでは、次の内容について説明します。

「ソフトウェアのダウンロード(FTP)」

「ソフトウェアのダウンロード(TFTP)」

「コントローラからの IPaddr アップロード設定/ログの設定」

ソフトウェアのダウンロード(FTP)

コントローラにソフトウェアをダウンロードするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから、[Download Software (FTP)] を選択します。

ステップ 4 [Go] をクリックします。


) [Configure] > [Controllers] > [IPaddr] > [System] > [Commands] > [Upload/Download Commands] > [Download Software] の順に選択することでも、ソフトウェアをダウンロードできます。


コントローラの IP アドレスおよび現在のステータスが、[Download Software to Controller] ページに表示されます。

ステップ 5 ダウンロード タイプを選択します。


) 事前ダウンロード オプションは、選択したすべてのコントローラがリリース 7.0.x.x 以降を使用している場合のみ表示されます。


[Now]:ソフトウェアのダウンロードをただちに開始します。このオプションを選択した場合は、ステップ 7 に進みます。


) ダウンロードが成功したら、コントローラをリブートして、新しいソフトウェアを有効にします。


[Scheduled]:スケジュール設定するダウンロードオプションを指定します。

[Schedule download to controller]:ソフトウェアをコントローラにダウンロードするようにスケジュール設定するには、このチェックボックスをオンにします。

[Pre-download software to APs]:ソフトウェアを AP に事前ダウンロードするようにスケジュール設定するには、このチェックボックスをオンにします。AP にイメージがダウンロードされ、コントローラのリブート時に、AP もリブートされます。


) AP ごとの [Image Predownload] ステータスを確認するには、[Administration] > [Background Task] > [AP Image Predownload Task] ページでタスクを有効にし、[Report Launch Pad] から AP Image Predownload レポートを実行します。


ステップ 6 [Download type] の下で [Scheduled] オプションを選択した場合は、スケジュールの詳細を入力します。

[Task Name]:スケジュール設定済みタスク名を入力して、当該のスケジュール設定済みソフトウェア ダウンロード タスクを特定します。

[Reboot Type]:リブート タイプが手動、自動、またはスケジュール設定済みかどうかを示します。


) [Download software to controller] オプションだけを選択した場合は、[Reboot Type] を自動に設定できます。


[Download date/time]:表示されるテキスト ボックスに日付を入力するか、カレンダー アイコンをクリックして、日付を選択できるカレンダーを開きます。時間と分のドロップダウン リストから時刻を選択します。

[Reboot date/time]:このオプションは、リブート タイプで [Scheduled] を選択した場合のみ表示されます。表示されるテキスト ボックスに日付を入力するか、カレンダー アイコンをクリックして、コントローラをリブートする日付を選択できるカレンダーを開きます。時間と分のドロップダウン リストから時刻を選択します。


) すべての AP がソフトウェアの事前ダウンロードを完了できるように、ダウンロードとリブートの間に十分な時間(少なくとも 30 分)をスケジュール設定します。



) スケジュール設定されたリブート時刻に、いずれかの AP で事前ダウンロードが進行中の場合、コントローラはリブートしません。そのような場合は、すべての AP の事前ダウンロードが終了するまで待機し、コントローラを手動でリブートします。


[Notification](任意):電子メールで通知を送信する受信者の電子メール アドレスを入力します。


) 電子メール通知を受信するには、[Administration] > [Settings] > [Mail Server Configuration] ページで Prime Infrastructure メール サーバを設定します。


ステップ 7 ユーザ名、パスワード、およびポートを含めて、FTP クレデンシャルを入力します。


) $、'、\、%、&、(、)、;、"、<、>、,、?、| などの特殊文字は、FTP パスワードの一部として使用できません。@、#、^、*、~、_、-、+、=、{、}、[、]、:、.、および / などの特殊文字をパスワードには使用できます。特殊文字「!」(感嘆符)は、パスワード ポリシーが無効の場合に動作します。パスワード ポリシーの詳細については、「ローカル パスワード ポリシーの設定」を参照してください。


ステップ 8 [File is located on] オプションで、[Local machine] または [FTP Server] オプション ボタンのいずれかを選択します。


) [FTP Server] を選択した場合は、[Server Name] ドロップダウン リストから [Default Server] または [New] を選択します。



) ソフトウェア ファイルは、インストール中に指定した FTP ディレクトリにアップロードされます。


ステップ 9 ローカル ファイル名を指定するか、[Browse] をクリックして該当するファイルにナビゲートします。


) FTP サーバを選択している場合は、サーバ ファイル名を指定します。


ステップ 10 [Download] をクリックします。


) 何らかの理由で転送がタイムアウトした場合には、[File is located on] フィールドで [FTP server] オプションを選択すると、サーバ ファイル名が読み込まれ、再試行されます。



 

ソフトウェアのダウンロード(TFTP)

コントローラにソフトウェアをダウンロードするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから、[Download Software (TFTP)] を選択します。

ステップ 4 [Go] をクリックします。


) [Configure] > [Controllers] > [IPaddr] > [System] > [Commands] > [Upload/Download Commands] > [Download Software] の順に選択することでも、ソフトウェアをダウンロードできます。


コントローラの IP アドレスおよび現在のステータスが、[Download Software to Controller] ページに表示されます。

ステップ 5 ダウンロード タイプを選択します。


) 事前ダウンロード オプションは、選択したすべてのコントローラがリリース 7.0.x.x 以降を使用している場合のみ表示されます。


[Now]:ソフトウェアのダウンロードをただちに開始します。このオプションを選択した場合は、ステップ 7 に進みます。


) ダウンロードが成功したら、コントローラをリブートして、新しいソフトウェアを有効にします。


[Scheduled]:スケジュール設定するダウンロードオプションを指定します。

[Download software to controller]:ソフトウェアをコントローラにダウンロードするようにスケジュール設定するには、このオプションを選択します。

[Pre-download software to APs]:ソフトウェアを AP に事前ダウンロードするようにスケジュール設定するには、このオプションを選択します。AP にイメージがダウンロードされ、コントローラのリブート時に、AP もリブートされます。


) AP ごとの [Image Predownload] ステータスを確認するには、[Administration] > [Background Task] > [AP Image Predownload Task] ページでタスクを有効にし、[Report Launch Pad] から AP Image Predownload レポートを実行します。


ステップ 6 [Download type] の下で [Scheduled] オプションを選択した場合は、スケジュールの詳細を入力します。

[Task Name]:スケジュール設定済みタスク名を入力して、当該のスケジュール設定済みソフトウェア ダウンロード タスクを特定します。

[Reboot Type]:リブート タイプが手動、自動、またはスケジュール設定済みかどうかを示します。


) [Download software to controller] オプションだけを選択した場合は、[Reboot Type] を自動に設定できます。


[Download date/time]:表示されるテキスト ボックスに日付を入力するか、カレンダー アイコンをクリックして、日付を選択できるカレンダーを開きます。時間と分のドロップダウン リストから時刻を選択します。

[Reboot date/time]:このオプションは、リブート タイプで [Scheduled] を選択した場合のみ表示されます。表示されるテキスト ボックスに日付を入力するか、カレンダー アイコンをクリックして、コントローラをリブートする日付を選択できるカレンダーを開きます。時間と分のドロップダウン リストから時刻を選択します。


) すべての AP がソフトウェアの事前ダウンロードを完了できるように、ダウンロードとリブートの間に十分な時間(少なくとも 30 分)をスケジュール設定します。



) スケジュール設定されたリブート時刻に、いずれかの AP で事前ダウンロードが進行中の場合、コントローラはリブートしません。そのような場合は、すべての AP の事前ダウンロードが終了するまで待機し、コントローラを手動でリブートします。


[Notification](任意):電子メールで通知を送信する受信者の電子メール アドレスを入力します。


) 電子メール通知を受信するには、[Administration] > [Settings] > [Mail Server Configuration] ページで Prime Infrastructure メール サーバを設定します。


ステップ 7 [File is located on] フィールドで、[Local machine] または [TFTP server] を選択します。


) TFTP サーバを選択した場合は、デフォルト サーバを選択するか、[Server Name] ドロップダウン リストを使用して新しいサーバを追加します。


ステップ 8 [Maximum Retries] フィールドに、コントローラによるソフトウェアのダウンロードの最大試行回数を入力します。

ステップ 9 [Timeout] フィールドに、コントローラがソフトウェアのダウンロードを試行する際の、タイムアウトするまでの最大時間(秒単位)を入力します。


) ソフトウェア ファイルは、インストール中に指定した TFTP ディレクトリにアップロードされます。


ステップ 10 ローカル ファイル名を指定するか、[Browse] をクリックして該当するファイルにナビゲートします。


) TFTP サーバを選択している場合は、サーバ ファイル名を指定します。


ステップ 11 [Download] をクリックします。


ヒント 何らかの理由で転送がタイムアウトした場合には、[File is located on] フィールドで [TFTP server] オプションを選択すると、サーバ ファイル名が読み込まれ、再試行されます。



 

コントローラからの IPaddr アップロード設定/ログの設定

コントローラからファイルをアップロードするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 [IP address] 列で IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Commands] の順に選択します。

ステップ 4 [FTP] または [TFTP] オプション ボタンを選択します。


) Prime Infrastructure では、ファイルのアップロードおよびダウンロードに、ファイル転送プロトコル(FTP)および Trivial Transfer Protocol(TFTP)の両方がサポートされています。前のソフトウェア リリースでは、TFTP のみがサポートされました。


ステップ 5 [Upload/Download Commands] ドロップダウン リストから、[Upload File from Controller] を選択します。

ステップ 6 このページにアクセスするには、[Go] をクリックします。

[FTP Credentials Information]:FTP オプション ボタンを選択している場合は、FTP ユーザ名、パスワード、ポートを入力します。

TFTP または FTP サーバ情報:

[Server Name]:ドロップダウン リストから、[Default Server] または [New] を選択します。

[IP Address]:コントローラの IP アドレス。これは、デフォルトのサーバを選択すると自動的に入力されます。

[File Type]:コンフィギュレーション、イベント ログ、メッセージ ログ、トラップ ログ、クラッシュ ファイル、シグニチャ ファイル、PAC のいずれかを選択します。

[Upload to File] で、/(root)/Prime Infrastructure-tftp/ または /(root)/Prime Infrastructure-ftp/ ファイル名を入力します。

設定のバックアップ前に、Prime Infrastructure で情報を保存するかどうかを選択します。


) Prime Infrastructure は統合 TFTP または FTP サーバを使用します。これは、サードパーティ製の TFTP および FTP サーバは Prime Infrastructure と同じワークステーション上では実行できないことを意味します。Prime Infrastructure とサードパーティ製サーバが、同一の通信ポートを使用するためです。


ステップ 7 [OK] をクリックします。選択したファイルが、[File Name] テキスト ボックスに入力した名前で TFTP または FTP サーバにアップロードされます。


 

IDS シグニチャのダウンロード

侵入検知システム(IDS)シグニチャ ファイルをコントローラにダウンロードするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから、[Download IDS Signatures] を選択します。

ステップ 4 [Go] をクリックします。


) [Configure] > [Controllers] > [IPaddr] > [System] > [Commands] > [Upload/Download Commands] > [Download IDS Signatures] の順に選択することでも、IDS シグニチャ ファイルをダウンロードできます。


[Download IDS Signatures to Controller] ページに、コントローラの IP アドレスおよび現在のステータスが表示されます。

ステップ 5 シグニチャ ファイル(*.sig)を TFTP サーバ上のデフォルト ディレクトリにコピーします。

ステップ 6 [File is located on] オプションで、[Local machine] オプション ボタンを選択します。


) ファイル名および、サーバのルート ディレクトリに対して相対的なパスがわかる場合は、[TFTP server] オプション ボタンを選択することもできます。


ステップ 7 [Maximum Retries] テキスト ボックスに、コントローラによるシグニチャ ファイルのダウンロードの最大試行回数を入力します。

ステップ 8 [Timeout] テキスト ボックスに、コントローラがシグニチャ ファイルのダウンロードを試行する際の、タイムアウトするまでの最大時間(秒単位)を入力します。


) ファイルは /localdisk/tftp ディレクトリにアップロードされます。


ステップ 9 ローカル ファイル名を指定するか、[Browse] をクリックして該当するファイルにナビゲートします。コントローラはベース ネームとしてこのローカル ファイル名を使用してから、サフィクスとして _custom.sgi を追加します。


) TFTP サーバを選択している場合は、サーバ ファイル名を指定します。


ステップ 10 [Download] をクリックします。


ヒント 何らかの理由で転送がタイムアウトした場合には、[File is located on] フィールドで [TFTP server] オプションを選択すると、サーバ ファイル名が読み込まれ、再試行されます。



) ローカル マシン オプションでは 2 段階の動作が起動されます。最初に、ローカル ファイルが管理者のワークステーションから Prime Infrastructure 独自の組み込みの TFTP サーバにコピーされます。次にコントローラがそのファイルを取得します。後の操作では、ファイルはすでに Prime Infrastructure サーバの TFTP ディレクトリにあるため、ダウンロードした Web ページで自動的にそのファイル名が読み込まれます。



 

コントローラへのカスタマイズ Web 認証バンドルのダウンロード

カスタマイズ Web 認証バンドルをコントローラにダウンロードするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから、[Download Customized WebAuth] を選択します。

ステップ 4 [Go] をクリックします。


) カスタマイズ Web 認証バンドルは、[Configure] > [Controllers] > [IPaddr] > [System] > [Commands] > [Upload/Download Commands] > [Download Customized Web Auth] からダウンロードすることも可能です。


[Download Customized WebAuth bundle to Controller] ページに、コントローラの IP アドレスおよび現在のステータスが表示されます。

ステップ 5 [File is located on] フィールドで、[Local machine] オプション ボタンを選択します。


) ファイル名および、サーバのルート ディレクトリに対して相対的なパスがわかる場合は、[TFTP server] オプション ボタンを選択することもできます。



) ローカル マシンのダウンロードには、.zip または .tar のファイル オプションがありますが、Prime Infrastructure では自動的に .zip を .tar に変換します。TFTP サーバのダウンロードを選択した場合は、.tar ファイルだけを指定します。


ステップ 6 [Maximum Retries] テキスト ボックスに、コントローラによるファイルのダウンロードの最大試行回数を入力します。

ステップ 7 [Timeout] テキスト ボックスに、コントローラがファイルのダウンロードを試行する際の、タイムアウトするまでの最大時間(秒単位)を入力します。


) [Prime Infrastructure Server Files In field] は Prime Infrastructure サーバ ファイルのある場所を指定します。


ステップ 8 ローカル ファイル名を指定するか、[Browse] をクリックして該当するファイルにナビゲートします。コントローラはベース ネームとしてこのローカル ファイル名を使用してから、サフィクスとして _custom.sgi を追加します。

ステップ 9 [Download] をクリックします。


ヒント 何らかの理由で転送がタイムアウトした場合には、[File is located on] フィールドで [TFTP server] オプション ボタンを選択すると、サーバ ファイル名が読み込まれ、再試行されます。


ステップ 10 ローカル マシン オプションでは 2 段階の動作が起動されます。最初に、ローカル ファイルが管理者のワークステーションから Prime Infrastructure 独自の組み込みの TFTP サーバにコピーされます。次にコントローラがそのファイルを取得します。後の操作では、ファイルはすでに Prime Infrastructure サーバの TFTP ディレクトリにあるため、ダウンロードした Web ページで自動的にそのファイル名が読み込まれます。

ステップ 11 ダウンロードが完了すると、新しいページに接続され、認証できます。


 

ベンダー デバイス証明書のダウンロード

各無線デバイス(コントローラ、アクセス ポイント、およびクライアント)には独自のデバイスの証明書があります。ご自身のベンダー固有のデバイス証明書を使用する場合は、証明書をコントローラにダウンロードする必要があります。

ベンダー デバイス証明書をコントローラにダウンロードするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 証明書は 2 種類の方法でダウンロードできます。

a. 該当するコントローラのチェックボックスをオンにします。

b. [Select a command] ドロップダウン リストから、[Download Vendor Device Certificate] を選択します。

c. [Go] をクリックします。

または

a. 目的のコントローラの IP アドレスをクリックします。

b. 左側のサイドバーのメニューから、[System] > [Commands] の順に選択します。

c. [Upload/Download Commands] ドロップダウン リストから、[Download Vendor Device Certificate] を選択します。

d. [Go] をクリックします。

ステップ 3 [Certificate Password] テキスト ボックスに、証明書の保護に使用されたパスワードを入力します。

ステップ 4 [Confirm Password] テキスト ボックスにパスワードを再入力します。

ステップ 5 [File is located on] フィールドで、[Local machine] または [TFTP server] オプション ボタンを選択します。


) 証明書が TFTP サーバにある場合は、サーバ ファイル名を入力します。ローカル マシンにある場合は、[Browse] をクリックして、ローカル ファイル名を入力します。


ステップ 6 [Server Name] フィールドに TFTP サーバ名を入力します。デフォルトは Prime Infrastructure サーバです。

ステップ 7 サーバの IP アドレスを入力します。

ステップ 8 [Maximum Retries] テキスト ボックスに、TFTP サーバによる証明書のダウンロードの最大試行回数を入力します。

ステップ 9 [Timeout] テキスト ボックスに、TFTP サーバが証明書のダウンロードを試行する時間(秒単位)を入力します。

ステップ 10 [Local File Name] テキスト ボックスに、証明書のディレクトリ パスを入力します。

ステップ 11 [Server File Name] テキスト ボックスに、証明書の名前を入力します。

ステップ 12 [Download] をクリックします。


 

ベンダー CA 証明書のダウンロード

コントローラとアクセス ポイントには、デバイスの証明書の署名と確認に使用される認証局(CA)の証明書があります。コントローラには、シスコによりインストールされた CA 証明書が付属しています。この証明書は、ローカル EAP 認証時にワイヤレス クライアントを認証するために、(PAC を使用していない場合)EAP-TLS と EAP-FAST により使用される場合があります。ただし、ご自身のベンダー固有の CA 証明書を使用する場合は、証明書をコントローラにダウンロードする必要があります。

ベンダー CA 証明書をコントローラにダウンロードするには、次の手順に従います。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 証明書は 2 種類の方法でダウンロードできます。

a. 該当するコントローラのチェックボックスをオンにします。

b. [Select a command] ドロップダウン リストから、[Download Vendor CA Certificate] を選択します。

c. [Go] をクリックします。

または

a. 目的のコントローラの IP アドレスをクリックします。

b. 左側のサイドバーのメニューから、[System] > [Commands] の順に選択します。

c. [Upload/Download Commands] ドロップダウン リストから、[Download Vendor CA Certificate] を選択します。

d. [Go] をクリックします。

ステップ 3 [File is located on] フィールドで、[Local machine] または [TFTP server] オプション ボタンを選択します。


) 証明書が TFTP サーバにある場合は、サーバ ファイル名を入力します。ローカル マシンにある場合は、[Browse] をクリックして、ローカル ファイル名を入力します。


ステップ 4 [Server Name] テキスト ボックスに TFTP サーバ名を入力します。デフォルトは Prime Infrastructure サーバです。

ステップ 5 サーバの IP アドレスを入力します。

ステップ 6 [Maximum Retries] テキスト ボックスに、TFTP サーバによる証明書のダウンロードの最大試行回数を入力します。

ステップ 7 [Timeout] テキスト ボックスに、TFTP サーバが証明書のダウンロードを試行する時間(秒単位)を入力します。

ステップ 8 [Local File Name] テキスト ボックスに、証明書のディレクトリ パスを入力します。

ステップ 9 [Server File Name] テキスト ボックスに、証明書の名前を入力します。

ステップ 10 [OK] をクリックします。


 

フラッシュへの設定の保存

設定をフラッシュ メモリに保存するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから、[Save Config to Flash] を選択します。

ステップ 4 [Go] をクリックします。


 

コントローラからの設定のリフレッシュ

コントローラから設定をリフレッシュするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから、[Refresh Config from Controller] を選択します。

ステップ 4 [Go] をクリックします。

ステップ 5 [Configuration Change] プロンプトで、[Retain] または [Delete] オプション ボタンを選択します。

ステップ 6 [Go] をクリックします。


 

コントローラからのテンプレートの検出

リリース 5.1 よりも前のソフトウェアでは、コントローラが検出されるとテンプレートも検出され、コントローラの Prime Infrastructure で検出された設定にはすべてアソシエートされたテンプレートがありました。現在、コントローラが検出されてもテンプレートは自動的に検出されず、テンプレートをアソシエートする Prime Infrastructure 設定を指定できます。


) 検出されたテンプレートは、管理またはローカル ユーザ パスワードを取得しません。


テンプレート検出には次のルールが適用されます。

テンプレート検出では、Prime Infrastructure で見つからないテンプレートが検出されます。

既存のテンプレートは検出されません。

現在のテンプレートを検出するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 テンプレートを検出するコントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから、[Discover Templates from Controller] を選択します。

ステップ 4 [Go] をクリックします。[Discover Templates] ページには、検出されたテンプレートの数、各テンプレートのタイプ、および各テンプレートの名前が表示されます。


) [Enabling this option will create association between discovered templates and the device listed above] チェックボックスをオンにすると、検出されたテンプレートがデバイスの設定にアソシエートされ、当該のコントローラに適用されていることが表示されます。



) テンプレートの検出を実行した場合、実際に検出が実行される前に、コントローラから設定が更新されます。検出を続行するには、警告ダイアログボックスで [OK] をクリックします。



) TACACS+ サーバ テンプレートの場合、サーバ IP アドレスおよびポート番号が同じで、サーバ タイプが異なるコントローラの設定は、単一のテンプレートに集約されます。このとき、対応するサーバ タイプが検出されたテンプレートに設定されます。TACACS+ サーバ テンプレートの場合、検出されたテンプレートの管理ステータスには、最初に見つかったサーバ IP アドレスおよびポート番号が同じコントローラの設定の管理ステータスが反映されます。



 

Prime Infrastructure のクレデンシャルのアップデート

複数のコントローラの Prime Infrastructure の SNMP/Telnet クレデンシャルの詳細を一括にアップデートする設定はありません。この一括アップデートを実行するには、各デバイスで SNMP および Telnet クレデンシャルをアップデートする必要があります。

SNMP/Telnet クレデンシャルをアップデートするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 SNMP/Telenet クレデンシャルをアップデートする各コントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから、[Update Credentials in Prime Infrastructure] を選択します。[Update Credentials in Prime Infrastructure] ページが表示されます。

ステップ 4 [SNMP Parameters] チェックボックスをオンにして、次のパラメータを設定します。


) コントローラの設定を変更するには、SNMP 書き込みアクセス パラメータが必要です。読み取り専用アクセス パラメータの場合、設定は表示されるのみです。


[Version]:[v1]、[v2]、または [v3] から選択します。

[Retries]:コントローラの検出試行回数を示します。

[Timeout]:プロセスがタイムアウトになるまでに許可される時間(秒単位)を示します。有効な範囲は 2 ~ 90 秒です。デフォルトは 2 秒です。

[Community]:[Public] または [Private]。

[Verify SNMP Credentials]:SNMP クレデンシャルを確認するには、このチェックボックスをオンにします。

ステップ 5 [Telnet/SSH Parameters] チェックボックスをオンにして、次のパラメータを設定します。

[User Name]:ユーザ名を入力します。

[Password]/[Confirm Password]:パスワードを入力して、確認します。

[Timeout]:プロセスがタイムアウトになるまでに許可される時間(秒単位)を示します。有効な範囲は 2 ~ 90 秒です。デフォルトは 60 秒です。


 

コントローラに適用されているテンプレートの表示

特定のコントローラに現在適用されているすべてのテンプレートを表示できます。


) このパーティション内に適用されているテンプレートのみが表示されます。


適用されているテンプレートを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから、[Templates Applied to a Controller] を選択します。

ステップ 4 [Go] をクリックします。[Templates Applied to a Controller] ページに、適用されている各テンプレート名、テンプレート タイプ、テンプレートの最終保存日、およびテンプレートの最終適用日が表示されます。


) テンプレート名のリンクをクリックして、テンプレートの詳細を表示します。詳細については、「テンプレートの使用」を参照してください。



 

[Audit Now] 機能の使用

[Configure] > [Controllers] ページの [Select a command] ドロップダウン リストで [Audit Now] を選択するか、または [Select a command] ドロップダウン リストで [Audit Now] を直接選択すると、コントローラを監査できます。


) 現在のコントローラ監査レポートには、[Configure] > [Controllers] ページの [Audit Status] 列で値をクリックすることでアクセスできます。


コントローラを監査する手順は、次のとおりです。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから、[Audit Now] を選択します。

ステップ 4 [Go] をクリックします。

ステップ 5 データベース内の設定オブジェクトからテンプレート アソシエーションを削除し、同時にアソシエートされている設定グループから当該のコントローラのテンプレート アソシエーションも削除する場合(Template based audit のみ)は、ポップアップ ダイアログボックスで [OK] をクリックします。

監査レポートには、次の内容が表示されます。

デバイス名

監査の時刻

監査ステータス

適用テンプレートと設定グループ テンプレートの矛盾の情報には、次の内容が含まれます。

テンプレートの種類(テンプレート名)

テンプレート適用方法

監査ステータス(不一致、同一など)

テンプレートの属性

Prime Infrastructure の値

コントローラの値

次を含む、その他の Prime Infrastructure の矛盾:

設定の種類(名前)

監査ステータス(不一致、同一など)

属性

Prime Infrastructure の値

コントローラの値

バックグラウンド監査が有効な設定グループの施行数の合計:バックグラウンド監査が有効な設定グループに関する監査の際に矛盾が検出された場合、そして施行が有効である場合、このセクションにコントローラの監査中の施行が表示されます。バックグラウンド監査有効化の詳細は、「設定グループの設定」 を参照してください。

バックグラウンド監査が有効な設定グループの失敗した施行:リンクをクリックして、デバイスに返された障害の詳細(障害の理由など)リストを表示します。バックグラウンド監査(ConfigAuditSet)有効化の詳細については、「設定グループの設定」を参照してください。

[Restore Prime Infrastructure Values to Controller or Refresh Config from Controller]:監査の結果として設定の相違が見つかった場合は、[Restore Prime Infrastructure Values to controller] または [Refresh Config from controller] をクリックして、Prime Infrastructure 設定をコントローラと同期させます。

[Restore Prime Infrastructure Values to Controller] を選択して、矛盾をデバイスにプッシュします。

[Refresh Config from Controller] を選択して、デバイスからこの設定を取得します。


) [Refresh Config from Controller] をクリックしても、テンプレートはリフレッシュされません。



 

最新のネットワーク監査レポートの表示

Network Audit Report には、監査の時刻、選択したコントローラの IP アドレス、および同期ステータスが表示されます。


) この方法では、ネットワーク監査タスクからのレポートが表示され、コントローラごとのオンデマンドの監査は表示されません。


選択したコントローラに対する最新のネットワーク監査レポートを表示する手順は、次のとおりです。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラのチェックボックスをオンにします。

ステップ 3 [Select a command] ドロップダウン リストから、[View Latest Network Configuration Audit Report] を選択します。

ステップ 4 [Go] をクリックします。

[Audit Summary] には、監査の時刻、選択したコントローラの IP アドレス、および監査ステータスが表示されます。該当する場合、[Audit Details] に設定の相違が表示されます。


) [General and Schedule] タブを使用して、Audit Report パラメータを変更します。



 

コマンド ボタン

[Save]:現在パラメータに対して加えられている変更を保存する場合にクリックします。

[Save and Run]:現在パラメータに対して加えられている変更を保存し、レポートを実行する場合にクリックします。

[Run Now]:既存のパラメータに基づいて監査レポートを実行する場合にクリックします。

[Export Now]:レポート結果をエクスポートする場合にクリックします。サポートされるエクスポート形式は PDF および CSV です。

[Cancel]:既存のパラメータに対して加えられた変更をキャンセルする場合にクリックします。


) [All Controllers] ページから、[Audit Status] 列の値をクリックして、選択したコントローラの最新の監査詳細ページを表示します。この方法で表示される情報は、[Reports] メニューの Network Audit レポートと似ていますが、このレポートはインタラクティブでコントローラごとになっています。



) オンデマンドの監査レポートを実行するには、レポートを実行させるコントローラを選択し、[Select a command] ドロップダウン リストから [Audit Now] を選択します。オンデマンド監査レポートを実行して設定の相違が検出されると、既存のコントローラの値か Prime Infrastructure の値のどちらを保持するかを選択できます。


既存のコントローラの設定

ここでは、次の内容について説明します。

「コントローラのプロパティの設定」

「コントローラ システム パラメータの設定」

「コントローラ WLAN の設定」

「FlexConnect パラメータの設定」

「セキュリティ パラメータの設定」

「Cisco アクセス ポイントの設定」

「802.11 パラメータの設定」

「802.11a/n パラメータの設定」

「802.11b/g/n パラメータの設定」

「メッシュ パラメータの設定」

「ポート パラメータの設定」

「コントローラ管理パラメータの設定」

「ロケーションの設定」

「IPv6 の設定」

「プロキシ モバイル IPv6 の設定」

「mDNS の設定」

「AVC プロファイルの設定」

「NetFlow の設定」

コントローラのプロパティの設定

現在のコントローラのプロパティを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Properties] > [Settings] の順に選択します。次のパラメータが表示されます。

一般的なパラメータ:

[Name]:コントローラに割り当てられている名前。

[Type]:コントローラのタイプ。

[Restore on Cold Start Trap]:コールド スタート トラップでの復元を有効にする場合に選択します。

[Auto Refresh on Save Config Trap]:Save Config トラップでの自動リフレッシュを有効にする場合に選択します。

[Trap Destination Port]:読み取り専用。

[Software Version]:読み取り専用。

[Location]:コントローラの場所。

[Contact]:このコントローラの連絡先担当者。

[Most Recent Backup]:最新のバックアップ日時。

[Save Before Backup]:バックアップの前の保存を有効にする場合に選択します。

SNMP パラメータ:


) コントローラの設定を変更するには、SNMP 書き込みアクセス パラメータが必要です。読み取り専用アクセス パラメータの場合、設定は表示されるのみです。


[Version]:[v1]、[v2]、または [v3] から選択します。

[Retries]:コントローラの検出試行回数を示します。

[Timeout (seconds)]:クライアント セッションのタイムアウト。クライアントの再認証が強制されるまでの最大時間を設定します。

[Community]:[Public] または [Private]。

[Access Mode]:[Read Write]


) Community の設定は、[v1] および [v2] のみに適用されます。


[User Name]:ユーザ名を入力します。

[Auth.Type]:ドロップダウン リストから認証タイプを選択するか、[None] を選択します。

[Auth.Password]:認証パスワードを入力します。

[Privacy Type]:ドロップダウン リストからプライバシー タイプを選択するか、[None] を選択します。

[Privacy Password]:プライバシー パスワードを入力します。


) [User Name]、[Auth. Type]、[Auth. Password]、[Privacy Type]、および [Privacy Password] のみが、v3 の場合、表示されます。


Telnet/SSH パラメータ:

[User Name]:ユーザ名を入力します。(デフォルトのユーザ名は admin です)。


) Telnet/SSH のユーザ名は、CLI テンプレートでコマンドを実行するために十分な権限を持っている必要があります。


[Password]/[Confirm Password]:パスワードを入力して、確認します。(デフォルトのパスワードは admin です)。

[Retries]:許可されている再試行回数を示します。デフォルトは 3 です。

[Timeout]:プロセスがタイムアウトになるまでに許可される時間(秒単位)を示します。デフォルトは 60 秒です。


) Telnet/SSH パラメータが空白のままの場合は、デフォルト値が使用されます。


ステップ 4 このコントローラのプロパティを変更した場合は、[Save] をクリックして変更を確定するか、[Reset] をクリックして以前またはデフォルトの設定に戻すか、または [Cancel] をクリックして設定に変更を加えずに [Configure] > [Controllers] ページに戻ります。


 

コントローラ システム パラメータの設定

ここでは、コントローラ システム パラメータの設定方法について説明します。内容は次のとおりです。

「コントローラの一般システム プロパティの管理」

「コントローラ システム コマンドの設定」

「コントローラ システム インターフェイスの設定」

「コントローラ システム インターフェイス グループの設定」

「コントローラのネットワーク ルートの設定」

「コントローラのスパニングツリー プロトコル パラメータの設定」

「コントローラのモビリティ グループの設定」

「コントローラのネットワーク タイム プロトコルの設定」

「コントローラ QoS プロファイルの設定」

「コントローラ DHCP スコープの設定」

「コントローラのユーザ ロールの設定」

「グローバル アクセス ポイント パスワードの設定」

AP 802.1X サプリカント クレデンシャルの設定

「コントローラ DHCP の設定」

「コントローラのマルチキャスト モードの設定」

「アクセス ポイント タイマーの設定」

コントローラの一般システム プロパティの管理

現在のコントローラの一般システム パラメータを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [General] の順に選択します。次のパラメータが表示されます。

[802.3x Flow Control Mode]:無効または有効。詳細については、「802.3x フロー制御」を参照してください。

[802.3 Bridging]:無効または有効。詳細については、「802.3 ブリッジの設定」を参照してください。

[Web Radius Authentication]:[PAP]、[CHAP]、[MD5-CHAP] のいずれかを選択します。

[PAP]:パスワード認証プロトコル。クリア テキストでユーザ情報(ユーザ名およびパスワード)が送信される 認証方法。

[CHAP]:チャレンジ ハンドシェイク認証プロトコル。ユーザ情報を送信用に暗号化する認証方式。

[MD5-CHAP]:Message Digest 5 チャレンジ ハンドシェイク認証プロトコル。MD5 では、パスワードは Message Digest 5 アルゴリズムを使用してハッシュされます。

[AP Primary Discovery Timeout]:30 ~ 3600 秒の間の値を入力します。

アクセス ポイントはバックアップ コントローラのリストを維持し、リスト上の各エントリに対して定期的にプライマリ ディスカバリ要求を送信します。設定されている場合、プライマリ ディスカバリ要求タイマーは、アクセス ポイントからのプライマリ ディスカバリ要求に対して応答する時間を指定します。この時間を超えても応答がない場合は、アクセス ポイントはそのコントローラは接続できないと見なし、次にリストされているコントローラからのディスカバリ応答を待ちます。

[CAPWAP Transport Mode]:[Layer 3] または [Layer 2]。詳細については、「Lightweight Access Point Protocol 転送モード」を参照してください。

[Current LWAPP Operating Mode]:自動的に入力されます。

[Broadcast Forwarding]:無効または有効。

[LAG Mode]:LAG を無効にするには、[Disable] を選択します。

リンク集約(LAG)は、802.3ad ポート集約標準の部分的な実装です。コントローラのすべてのディストリビューション システム ポートが 1 つの 802.3ad ポート チャネルにまとめられるので、コントローラのポートの設定に必要な IP アドレスの数を減らすことができます。LAG が有効である場合、ポートの冗長性は動的に管理され、アクセス ポイントはユーザからは透過的にロード バランシングされます。


) Cisco 5500 および 4400 シリーズ コントローラでは LAG はデフォルトで無効化されていますが、Cisco WiSM コントローラおよび Catalyst 3750G 統合型無線 LAN コントローラ スイッチのコントローラではデフォルトで有効化されます。


詳細については、「リンク集約」を参照してください。

Ethernet Multicast Support

[Disable]:コントローラでのマルチキャスト サポートを無効にする場合に選択します。

[Unicast]:マルチキャスト パケットを受信した場合に、コントローラがパケットをアソシエートされたアクセス ポイントすべてに転送する場合に選択します。


) FlexConnect は、ユニキャスト モードのみをサポートしています。


[Multicast]:コントローラでのマルチキャスト サポートを有効にする場合に選択します。

[Aggressive Load Balancing]:無効または有効。ロード バランシングの詳細については、「アグレッシブ ロード バランシング」を参照してください。

Peer to Peer Blocking Mode

[Disable]:同じサブネットのクライアントはこのコントローラを使用して通信します。

[Enable]:同じサブネットのクライアントは上位レベルのルータを使用して通信します。

[Over Air Provision AP Mode]:無効または有効。

無線プロビジョニング(OTAP)は、Cisco 5500 および 4400 シリーズ コントローラでサポートされています。この機能がコントローラ上で有効にされると、アソシエートされたアクセス ポイントすべてはワイヤレス CAPWAP または LWAPP ネイバー メッセージを送信し、新しいアクセス ポイントはこれらのメッセージからコントローラの IP アドレスを受信します。この機能はデフォルトでは無効です。すべてのアクセス ポイントをインストールする際は、無効のままにしておいてください。


) コントローラ上で OTAP を無効にしても、アクセス ポイント上では OTAP は無効になりません。OTAP はアクセス ポイント上で無効化できません。



) OTAP についての詳細は、次の URL を参照してください。
http://www.ciscosystems.com/en/US/products/ps6366/products_tech_note09186a008093d74a.shtml


[AP Fallback]:無効または有効。


) AP フォールバックを有効にすると、プライマリ コントローラの接続が切断されたアクセス ポイントがプライマリ コントローラの復帰と同時に自動的にサービスに戻ります。


[AP Failover Priority]:無効または有効。


) アクセス ポイントのフェールオーバー優先度設定を設定するには、まず AP Failover Priority 機能を有効にする必要があります。詳細については、「AP フェールオーバー優先度」を参照してください。


[AppleTalk Bridging]:無効または有効。

[Fast SSID change]:無効または有効。

コントローラ上で Fast SSID Change が有効になっているときは、クライアントは SSID 間で移動することができます。クライアントが異なる SSID の新しいアソシエーションを送信すると、コントローラの通信テーブルのクライアント エントリがクリアされてから、新しい SSID にクライアントが追加されます。Fast SSID Change が無効のときは、コントローラは一定の遅延時間が経過した後でクライアントに新しい SSID への移動を許可します。


) 有効にすると、クライアントは SSID 間で接続をほとんど中断せずにコントローラに瞬時に接続します。


[Master Controller Mode]:無効または有効。


) マスター コントローラは、通常、展開されたネットワークで使用されないため、マスター コントローラの設定は、リブートまたは OS コードのアップグレード時に自動的に無効になります。


[Wireless Management]:無効または有効。詳細については、「ワイヤレス管理」を参照してください。

Symmetric Tunneling Mode

[ACL Counters]:無効または有効。ヒット数は、[ACL Rule] ページに表示されます。詳細については、「アクセス コントロール リストの設定」または「[IPaddr] > [Access Control List] > [listname Rules] の設定」を参照してください。

[Multicast Mobility Mode]:無効または有効。詳細については、「モビリティ スケーラビリティ パラメータの設定」を参照してください。

[Default Mobility Domain Name]:ドメイン名を入力します。

[Mobility Anchor Group Keep Alive Interval]:クライアントが別のアクセス ポイントへの接続を試みるまでに許可される遅延時間を入力します。詳細については、「モビリティ アンカー グループのキープアライブ インターバル」を参照してください。


ヒント マウス カーソルをパラメータのテキスト ボックスの上に移動すると、そのフィールドの有効な範囲が表示されます。


[Mobility Anchor Group Keep Alive Retries]:試行可能回数を入力します。


ヒント マウス カーソルをパラメータのテキスト ボックスの上に移動すると、そのフィールドの有効な範囲が表示されます。


[RF Network Name]:ネットワーク名を入力します。

[User Idle Timeout (seconds)]:タイムアウトを秒単位で入力します。

[ARP Timeout (seconds)]:タイムアウトを秒単位で入力します。

ここでは、次の内容について説明します。

「AP フェールオーバー優先度」

「802.3 ブリッジの設定」

「802.3x フロー制御」

「Lightweight Access Point Protocol 転送モード」

「アグレッシブ ロード バランシング」

「リンク集約」

「ワイヤレス管理」

「モビリティ アンカー グループのキープアライブ インターバル」


 

AP フェールオーバー優先度

コントローラに障害が発生した場合、アクセス ポイントに設定されたバックアップ コントローラがすぐに多くの検出と接続要求を受信します。コントローラが過負荷になった場合、一部のアクセス ポイントが拒否される場合があります。

フェールオーバー優先順位をアクセス ポイントに割り当てることによって、拒否されるアクセス ポイントを制御します。バックアップ コントローラが過負荷になった場合、優先度が高く設定されているアクセス ポイントの接続リクエストの方が、優先度の低いアクセス ポイントよりも優先されます。

アクセス ポイントのフェールオーバー優先度設定を設定するには、まず AP Failover Priority 機能を有効にする必要があります。

AP Failover Priority 機能を有効にする手順は、次のとおりです。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [General] の順に選択します。

ステップ 4 [AP Failover Priority] ドロップダウン リストから、[Enabled] を選択します。


 

アクセス ポイント フェールオーバーの優先度を設定する手順は、次のとおりです。


ステップ 1 [Configure] > [Access Points] > [ AP Name ] を選択します。

ステップ 2 [AP Failover Priority] ドロップダウン リストから、適切な優先度([Low]、[Medium]、[High]、[Critical])を選択します。


) デフォルトの優先度は [Low] です。



 

802.3 ブリッジの設定

コントローラは、一般的にレジやレジ サーバで使用されるような 802.3 フレームおよびそれらを使用するアプリケーションをサポートしています。ただし、これらのアプリケーションをコントローラとともに使用するには、802.3 のフレームがコントローラ上でブリッジされている必要があります。

802.3 Raw フレームのサポートを有効にすると、IP 上では実行されないアプリケーションの非 IP フレームをコントローラがブリッジできるようになります。この未加工の 802.3 フレームの形式だけが、現在サポートされています。

Prime Infrastructure Release 4.1 以降を使用して 802.3 ブリッジを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 [System] > [General] の順に選択して、[General] ページにアクセスします。

ステップ 4 [802.3 Bridging] ドロップダウン リストから [Enable] を選択してコントローラ上の 802.3 ブリッジを有効にするか、[Disable] を選択してこの機能を無効にします。デフォルト値は [Disable] です。

ステップ 5 [Save] をクリックして変更を確定します。


 

802.3x フロー制御

フロー制御は、モデムなどの送信エンティティにより、データを持つ受信エンティティが過負荷にならないようにする手法です。受信側デバイスのバッファに空きがない場合、メッセージが送信側デバイスに送信され、バッファ内のデータが処理されるまで伝送は一時停止されます。

デフォルトでは、フロー制御は無効に設定されています。ポーズ フレームを受信しても送信できないように Cisco スイッチを設定できるだけです。

Lightweight Access Point Protocol 転送モード

Lightweight Access Point Protocol 転送モードは、コントローラとアクセス ポイント間の通信レイヤを示します。選択肢は Layer 2 または Layer 3 です。

Prime Infrastructure ユーザ インターフェイスを使用して Cisco Unified Wireless Network ソリューションをレイヤ 3 からレイヤ 2 Lightweight アクセス ポイント転送モードに変換するには、次の手順を実行します。


) Cisco IOS ベースの Lightweight アクセス ポイントは、レイヤ 2 Lightweight アクセス ポイント モードはサポートしていません。このようなアクセス ポイントは、レイヤ 3 でしか実行できません。



) この手順を実行すると、コントローラが再度ブートしてアクセス ポイントがコントローラと再アソシエートするまで、アクセス ポイントはオフラインになります。



ステップ 1 コントローラとアクセス ポイントはすべて同じサブネット上に配置するようにします。


) 変換を実行する前に、コントローラおよびアソシエートしているアクセス ポイントをレイヤ 2 モードで動作するように設定する必要があります。


ステップ 2 Prime Infrastructure ユーザ インターフェイスにログインします。Lightweight アクセス ポイント転送モードをレイヤ 3 からレイヤ 2 に変換する手順は、次のとおりです。

a. [Configure] > [Controllers] の順に選択します。

b. 該当するコントローラの IP アドレスをクリックします。

c. [System] > [General] の順に選択して、[General] ページにアクセスします。

d. Lightweight アクセス ポイント転送モードを [Layer2] に変更し、[Save] をクリックします。

e. Prime Infrastructure で次のメッセージが表示された場合、[OK] をクリックします。

Please reboot the system for the CAPWAP Mode change to take effect.
 

ステップ 3 Prime Infrastructure を再起動するには、次の手順を実行します。

a. [System] > [Commands] の順に選択します。

b. [Administrative Commands] ドロップダウン リストから [Save Config To Flash] を選択して [Go] をクリックし、変更した設定をコントローラに保存します。

c. [OK] をクリックして作業を続行します。

d. [Administrative Commands] ドロップダウン リストから [Reboot] を選択して [Go] をクリックし、コントローラをリブートします。

e. [OK] をクリックし、設定を保存してリブートすることを確認します。

ステップ 4 コントローラがリブートしたら、次の手順に従って CAPWAP 転送モードがレイヤ 2 になっていることを確認します。

a. [Configure] > [Controllers] の順に選択します。

b. 該当するコントローラの IP アドレスをクリックします。

c. [general] ドロップダウン リストで、現在の CAPWAP 転送モードがレイヤ 2 であることを確認します。

これで、レイヤ 3 からレイヤ 2 への CAPWAP 転送モードの変換が完了しました。オペレーティング システムのソフトウェアによって、同じサブネット上のコントローラとアクセス ポイントとの間におけるすべての通信が制御されます。


 

アグレッシブ ロード バランシング

ルーティングでは、ロード バランシングは、宛先アドレスからの距離が同じすべてのネットワーク ポートでトラフィックを分配するルータの機能を示します。優れたロードバランシング アルゴリズムでは、回線速度と信頼性の両方の情報を使用します。ロード バランシングを行うと、ネットワーク セグメントの使用が増加するため、効率的なネットワーク帯域幅が増加します。

アグレッシブ ロード バランシングは、モバイル クライアントとアソシエートされたアクセス ポイントの間で負荷をアクティブに分散させます。

リンク集約

リンク集約によって、物理ポートをすべてグループ化して link aggregation group(LAG; リンク集約グループ)を作成し、コントローラ上のポートを構成するために必要な IP アドレスの数を削減できます。4402 モデルでは、LAG を形成するために 2 つのポートが組み合わされます。4404 モデルでは、4 つのポートすべてが LAG を形成するため組み合わされます。

LAG がコントローラ上で有効な場合、次の設定が変更されます。

作成した動的インターフェイスは削除されます。これは、インターフェイス データベース内での設定の矛盾を避けるためです。

インターフェイスを「Dynamic AP Manager」フラグを設定して作成できません。


) コントローラ上では、複数の LAG を作成できません。


LAG の作成には、次のようなメリットがあります。

リンクの 1 つがダウンした場合に、常にトラフィックが LAG 内の他のリンクに移動します。物理ポートの 1 つが動作している限り、システムは機能し続けます。

各インターフェイスに対して個別にバックアップ ポートを設定する必要がありません。

アプリケーションは論理ポートを 1 つしか認識しないため、複数の AP-manager インターフェイスは必要ありません。


) LAG 設定に変更を加えると、変更を有効にするためにコントローラをリブートする必要があります。



ヒント マウス カーソルをパラメータのテキスト ボックスの上に移動すると、そのフィールドの有効な範囲が表示されます。


ワイヤレス管理

IPsec 動作により、ワイヤレスによる管理は WPA、静的 WEP、または VPN パススルー WLAN でログインしているオペレータだけが実行できます。ワイヤレス管理は、IPsec WLAN を経由してログインしようとしているクライアントは実行できません。

モビリティ アンカー グループのキープアライブ インターバル

クライアントが別のアクセス ポイントへの接続を試みるまでの遅延時間を指定します。この機能を使用することで、エラーがすばやく特定され、クライアントが問題発生のコントローラから移動し、別のコントローラに接続されるため、コントローラのエラー後にクライアントが別のアクセス ポイントに接続するためにかかる時間が短縮されます。


ヒント マウス カーソルをパラメータのテキスト ボックスの上に移動すると、そのフィールドの有効な範囲が表示されます。

コントローラ システム コマンドの設定

現在のコントローラのシステム コマンド パラメータを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Commands] の順に選択します。次のパラメータが表示されます。

管理

[Reboot]:このコマンドを使用すると、設定変更の保存した後にご使用のコントローラを再起動することを確定できます。システム接続が失われないようにするため、新しいセッションを開いて確定し、コントローラにログインします。

[Save Config to Flash]:データはコントローラの不揮発性 RAM(NVRAM)に保存され、電源の再投入時にも保持されます。コントローラをリブートした場合、設定が保存されていないと、適用した変更はすべて失われます。

[Reset to Factory Default]:コントローラを元の設定に戻すには、このコマンドを選択します。詳細については、「出荷時の初期状態の復元」を参照してください。

[Ping From Controller]:ネットワーク要素に ping を送信します。このポップアップ ダイアログボックスを使用して、コントローラから指定した IP アドレスに ping 要求を送信するように命令できます。これは、コントローラと特定の IP ステーション間に接続があるかどうかを判別する場合に有効です。[OK] をクリックすると、3 つの ping が送信され、ping の結果がポップアップに表示されます。ping に対する応答がない場合は、「No Reply Received from IP xxx.xxx.xxx.xxx」と表示されます。それ以外の場合は、「Reply received from IP xxx.xxx.xxx.xxx: (send count =3, receive count = n)」と表示されます。

設定

[Audit Config]:「最新のネットワーク監査レポートの表示」を参照してください。

[Refresh Config From Controller]:「コントローラからの設定のリフレッシュ」を参照してください。

[Restore Config To Controller]:Prime Infrastructure データベースからコントローラに設定を復元するには、このコマンドを選択します。

[Set System Time]:「コントローラの時刻と日付の設定」を参照してください。

Upload/Download コマンド


) [FTP] または [TFTP] オプション ボタンを選択します。Prime Infrastructure では、ファイルのアップロードおよびダウンロードに、ファイル転送プロトコル(FTP)および Trivial Transfer Protocol(TFTP)の両方がサポートされています。前のソフトウェア リリースでは、TFTP のみがサポートされました。


[Upload File from Controller]:「コントローラからの設定およびログのアップロード」を参照してください。

[Download Config]:「コントローラへの設定のダウンロード」を参照してください。

[Download Software]:選択したコントローラにソフトウェアをダウンロードする場合、または設定グループを構築してから選択したグループのすべてのコントローラにソフトウェアをダウンロードする場合は、このコマンドを選択します。「コントローラへのソフトウェアのダウンロード」を参照してください。

[Download Web Auth Cert]:[Download Web Auth Certificate to Controller] ページにアクセスする場合は、このコマンドを選択します。「コントローラへの Web 管理証明書のダウンロード」を参照してください。

[Download Web Admin Cert]:[Download Web Admin Certificate to Controller] ページにアクセスする場合は、このコマンドを選択します。「コントローラへの Web 管理証明書のダウンロード」を参照してください。

[Download IDS Signatures]:現在コントローラ上に存在するシグニチャ ファイルに、カスタマイズ シグニチャをダウンロードする場合は、このコマンドを選択します。詳細については、「シグニチャ ファイルのダウンロード」を参照してください。

[Download Customized Web Auth]:カスタマイズ Web 認証ページをコントローラにダウンロードする場合は、このコマンドを選択します。カスタマイズ Web ページは、ユーザ Web アクセス用のユーザ名とパスワードを設定するために作成されます。「コントローラへのカスタマイズ Web 認証バンドルのダウンロード」を参照してください。

[Download Vendor Device Certificate]:ユーザ自身のベンダー固有デバイス証明書をコントローラにダウンロードして、現在のワイヤレス デバイス証明書と置き換える場合は、このコマンドを選択します。「ベンダー デバイス証明書のダウンロード」を参照してください。

[Download Vendor CA Certificate]:ユーザ自身のベンダー固有認証局(CA)をコントローラにダウンロードして、現在の CA と置き換える場合は、このコマンドを選択します。「ベンダー CA 証明書のダウンロード」を参照してください。

RRM コマンド

[RRM 802.11a/n Reset]:802.11a/n Cisco Radio のリモート無線管理をリセットします。

[802.11b/g/n Reset]:802.11b/g/n Cisco Radio のリモート無線管理をリセットします。

[802.11a/n Channel Update]:802.11a/n Cisco Radio のアクセス ポイントの動的チャネル アルゴリズムをアップデートします。

[802.11b/g/n Channel Update]:802.11b/g/n Cisco Radio のアクセス ポイントの動的チャネル アルゴリズムをアップデートします。

[802.11a/n Power Update]:802.11a/n Cisco Radio のアクセス ポイントの動的送信電力アルゴリズムをアップデートします。

[802.11b/g/n Power Update]:802.11b/g/n Cisco Radio のアクセス ポイントの動的送信電力アルゴリズムをアップデートします。


 

出荷時の初期状態の復元

[Configure] > [Controllers] を選択して、[IP Address] 列で IP アドレスをクリックします。このページにアクセスするには、左側のサイドバーのメニューから [System] > [Commands] の順に選択し、[Administrative Commands] ドロップダウン リストから [Reset to Factory Default] を選択して [Go] をクリックします。

このコマンドを使用することで、コントローラの設定を出荷時の初期状態にリセットできます。この操作により、すべての適用および保存されている設定パラメータが上書きされます。コントローラの再初期化を確認するプロンプトが表示されます。

すべての設定データ ファイルが削除され、リブート時にコントローラが元の未設定状態に復元されます。これにより、すべての IP 設定が削除されるため、シリアル接続で基本設定を復元する必要があります。


) 設定の削除を確定した後に、コントローラをリブートし、[Reboot Without Saving] オプションを選択する必要があります。


コントローラの時刻と日付の設定

[Configure] > [Controllers] を選択して、[IP Address] 列で IP アドレスをクリックします。このページにアクセスするには、左側のサイドバーのメニューから [System] > [Commands] の順に選択し、[Configuration Commands] ドロップダウン リストから [Set System Time] を選択して [Go] をクリックします。

このコマンドを使用して、コントローラの現在の時刻および日付を手動設定します。ネットワーク タイム サーバを使用して現在の時刻を設定またはリフレッシュする場合は、「NTP サーバ テンプレートの設定」を参照してください。次のパラメータが表示されます。

[Current Time]:システムで現在使用されている時刻を表示します。

[Month/Day/Year]:ドロップダウンリストから、月、日、年を選択します。

[Hour/Minutes/Seconds]:ドロップダウンリストから、時、分、秒を選択します。

[Delta (hours)]:GMT(グリニッジ標準時)からのオフセットをプラスまたはマイナス時間で入力します。

[Delta (minutes)]:GMT(グリニッジ標準時)からのオフセットをプラスまたはマイナス分で入力します。

[Daylight Savings]:夏時間を有効にする場合は、選択します。

コマンド ボタン

Set Date and Time

Set Time Zone

Cancel

コントローラからの設定およびログのアップロード

コントローラからファイルをアップロードするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 [IP Address] 列で IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Commands] の順に選択します。

ステップ 4 [Upload/Download Commands] ドロップダウン リストから、[Upload File from Controller] を選択します。

ステップ 5 このページにアクセスするには、[Go] をクリックします。

このコマンドを使用して、コントローラからローカル TFTP(Trivial File Transfer Protocol)サーバにファイルをアップロードします。次のフィールドが表示されます。

[IP Address]:コントローラの IP アドレス。

[Status]:[NOT_INITIATED] またはその他のアップロード状態。

TFTP サーバ名を入力するか、[New] をクリックして新しい TFTP サーバ名を入力します。

TFTP サーバの IP アドレスを確認および/または入力します。

[Select the file type]:コンフィギュレーション ファイル、イベント ログ、メッセージ ログ、トラップ ログ、クラッシュ ファイル。

[Upload to File] で、/(root)/Prime Infrastructure-tftp/ ファイル名を入力します。

設定のバックアップ前に、Prime Infrastructure で保存するかどうかを選択します。

ステップ 6 [OK] をクリックします。選択したファイルが、[File Name] テキスト ボックスに入力した名前で TFTP サーバにアップロードされます。


) Prime Infrastructure は統合 TFTP サーバを使用します。これは、サードパーティ製の TFTP サーバは Prime Infrastructure と同じワークステーション上では実行できないことを意味します。Cisco Prime Infrastructure とサードパーティ製の TFTP サーバが、同一の通信ポートを使用するためです。



 

コントローラへの設定のダウンロード

コンフィギュレーション ファイルをダウンロードするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 [IP Address] 列で IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Commands] の順に選択します。

ステップ 4 [Upload/Download Commands] ドロップダウン リストから、[Download Config] を選択します。

ステップ 5 このページにアクセスするには、[Go] をクリックします。

このコマンドを使用して、ローカル TFTP(Trivial File Transfer Protocol)サーバからコントローラにコンフィギュレーション ファイルをダウンロードしてインストールします。次のパラメータが表示されます。


) Prime Infrastructure は統合 TFTP サーバを使用します。これは、サードパーティ製の TFTP サーバは Prime Infrastructure と同じワークステーション上では実行できないことを意味します。Prime Infrastructure とサードパーティ製 TFTP サーバが、同一の通信ポートを使用するためです。


[IP Address]:コントローラの IP アドレス。

[Status]:証明書のステータス(例:[NOT_INITIATED])。


 

TFTP サーバ

[Server Name]:ドロップダウン リストから [Default Server] または [New] を選択します。[New] を選択した場合は、IP アドレスを入力します。

[Server Address]:サーバの IP アドレス

[Maximum Retries]:ダウンロードが失敗した場合の再試行回数。

[Timeout]:再試行するまでに許可される時間。

[File Name]:ダウンロードするファイル名を入力するか、または [Browse] をクリックして選択します。

コントローラへのソフトウェアのダウンロード

ソフトウェアをダウンロードするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 [IP Address] 列で IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Commands] の順に選択します。

ステップ 4 [Upload/Download Commands] ドロップダウン リストから、[Download Software] を選択します。

ステップ 5 このページにアクセスするには、[Go] をクリックします。

このコマンドを使用して、ローカル TFTP(Trivial File Transfer Protocol)サーバからコントローラに新しいオペレーティング システム ソフトウェアをダウンロードしてインストールします。


) Prime Infrastructure は統合 TFTP サーバを使用します。これは、サードパーティ製の TFTP サーバは Prime Infrastructure と同じワークステーション上では実行できないことを意味します。Prime Infrastructure とサードパーティ製 TFTP サーバが、同一の通信ポートを使用するためです。


[IP Address]:ソフトウェアを受信するコントローラの IP アドレス。

[Current Software Version]:コントローラで現在実行されているソフトウェアのバージョン。

[Status]:ソフトウェアのステータス(例:[NOT_INITIATED])。

[TFTP Server on Cisco Prime Infrastructure System]:組み込み Cisco Prime Infrastructure TFTP サーバを有効にする場合は、このチェックボックスをオンにします。

[Server IP Address]:組み込み Prime Infrastructure TFTP サーバを無効にした場合に、コントローラにソフトウェアを送信する TFTP サーバの IP アドレスを示します。

[Maximum Retries]:ダウンロードが放棄されるまでの試行の失敗回数の上限。

[Timeout]:ダウンロードが放棄されるまでの最大秒数。

[File Name]:ダウンロードするファイル名を入力するか、または [Browse] をクリックして選択します。


 

コントローラへの Web 管理証明書のダウンロード

Web 管理証明書をダウンロードするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 [IP Address] 列で IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Commands] の順に選択します。

ステップ 4 [Upload/Download Commands] ドロップダウン リストから、[Download WEB Admin Cert] を選択します。

ステップ 5 このページにアクセスするには、[Go] をクリックします。

このページでは、コントローラに Web 管理証明書をダウンロードできます。次のパラメータが表示されます。


注意 各証明書には、可変長 RSA キーが組み込まれています。RSA キーの長さは、比較的安全性の低い 512 ビットから、非常に安全性の高い数千ビットまでさまざまです。認証局(Microsoft CA など)から新しい証明書を取得する場合は、証明書に組み込まれている RSA キーが 768 ビット以上であることを確認してください。

[IP Address]:証明書を受信するコントローラの IP アドレス。

[Status]:証明書のステータス(例:[NOT_INITIATED])。


 

TFTP サーバ

[Server Name]:ドロップダウン リストを使用して、[Default Server] または [New] を選択します。[New] を選択した場合は、IP アドレスを入力します。

[Server Address]:サーバの IP アドレス

[Maximum Retries]:各ダウンロード動作を試行できる最大回数。

[Timeout (seconds)]:各ダウンロード動作に許可される時間。

[File Name]:証明書のファイル名。

[Password]:証明書にアクセスするパスワード。

IDS シグニチャのダウンロード

IDS シグニチャをダウンロードするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 [IP Address] 列で IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Commands] の順に選択します。

ステップ 4 [Upload/Download Commands] ドロップダウン リストから、[Download IDS Signatures] を選択します。

ステップ 5 このページにアクセスするには、[Go] をクリックします。

このコマンドを使用して、ローカル TFTP(Trivial File Transfer Protocol)サーバからコントローラに IDS(侵入検知システム)シグニチャ ファイルをダウンロードします。次のパラメータが表示されます。

[IP Address]:コントローラの IP アドレス。

[Status]:[NOT_INITIATED]、[TRANSFER_SUCCESSFUL]、またはその他のダウンロード状態。


 

カスタマイズ Web 認証バンドルのコントローラへのダウンロード

カスタマイズ Web 認証ページをコントローラにダウンロードするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 [IP Address] 列で IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Commands] の順に選択します。

ステップ 4 [Upload/Download Commands] ドロップダウン リストから、[Download Customized Web Auth] を選択します。

次のパラメータが表示されます。

[IP Address]:バンドルを受信するコントローラの IP アドレス。

[Status]:ダウンロード状態([NOT_INITIATED]、[TRANSFER_SUCCESSFUL]、[TRANSFER_FAILED]、[NOT_RESPONDING])。


 

カスタマイズ Web 認証バンドルをダウンロードする前に、次の手順を実行します。


ステップ 1 示されているリンクをクリックして、サーバから login.tar サンプル バンドル ファイルをダウンロードします。

リンクは、ページの下部に表示されている「here」という強調表示された単語です。

ステップ 2 Login.html を編集し、これを .tar または .zip ファイルとして保存します。

ステップ 3 .tar または .zip ファイルをコントローラにダウンロードします。

このファイルには、Web 認証の表示に必要なページおよびイメージ ファイルが含まれています。


) コントローラでは、サイズが 1 MB 以下の .tar または .zip ファイルを受け入れます。1MB の制限には、バンドル内の圧縮されていないファイルの合計サイズが含まれます。



 

TFTP サーバ

1 つ以上の TFTP サーバを設定するには、次のパラメータを設定します。

[File is located on]:[Local machine] または [TFTP server] を選択します。デフォルトは、ローカル マシン(Prime Infrastructure 内部サーバ)です。

[Server Name]:ドロップダウン リストを使用して、次のいずれかを選択します。

[New]:新しいサーバを設定します。 表示されるテキスト ボックスに、サーバ名および IP アドレスを入力します。

[Default Server]:サーバ名(編集可能)および IP アドレス(読み取り専用)は自動的に追加されます。

[Server IP Address]:サーバの IP アドレス。

[Maximum Retries]:ダウンロードが放棄されるまでの試行の失敗回数の上限。

[Timeout]:ダウンロードが放棄されるまでの最大秒数。

[Prime Infrastructure Server Files In]:ローカル マシン上の C:\tftp またはその他の指定ファイル ディレクトリ。

[Local File Name]:ローカル マシン上の Web 認証バンドルのファイル名。[Browse] をクリックしてファイルを検索します。

[Server File Name]:リモート TFTP サーバ上のファイル名。

これらのフィールドを入力すると、ページに設定した内容が自動的に再入力されるため、再度入力する必要はありません。

コマンド ボタン

[OK]:[File Name] テキスト ボックスに表示された名前のローカル マシンまたは TFTP サーバから、ファイルがダウンロードされます。

Cancel

コントローラ システム インターフェイスの設定

ここでは、コントローラ システム インターフェイスの設定方法について説明します。内容は次のとおりです。

「インターフェイスの追加」

「現在のインターフェイスの詳細表示」

「ダイナミック インターフェイスの削除」

「NAC 統合」

「有線ゲスト アクセスの設定」

既存のインターフェイスを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Interfaces] の順に選択します。次のパラメータが表示されます。

[Check box]:削除するダイナミック インターフェイスを選択します。[Select a command] ドロップダウン リストから [Delete Dynamic Interfaces] を選択します。

[Interface Name]:このインターフェイスに対するユーザ定義の名前(例:Management、Service-Port、Virtual)。

[VLAN Identifier]:0(タグなし)~ 4096 の VLAN ID、または N/A。

[Quarantine]:インターフェイスに隔離 VLAN ID が設定されている場合は、このチェックボックスをオンにします。

[IP Address]:このインターフェイスの IP アドレス。

[Interface Type]:スタティック(管理、AP-Manager、サービス ポート、および仮想インターフェイス)またはダイナミック(オペレータ定義インターフェイス)。

[AP Management Status]:AP 管理インターフェイスのステータスを表示します。このパラメータには、Enabled、Disabled、および N/A が含まれます。


 

インターフェイスの追加

インターフェイスを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Interfaces] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから [Add Interface] を選択します。

ステップ 5 必要なパラメータを入力します。

[Interface Name]:このインターフェイスのユーザ定義名(Management、Service-Port、Virtual、VLAN n)。

[Wired Interface]:インターフェイスを有線としてマークする場合は、このチェックボックスをオンにします。

Interface Address

[VLAN Identifier]:1 ~ 4096、または 0(タグなし)。

[Quarantine]:VLAN の隔離を有効または無効にします。チェックボックスをオンにすると有効になります。

[IP Address]:インターフェイスの IP アドレス。

[Gateway]:インターフェイスのゲートウェイ アドレス。

Physical Information

[Port Number]:インターフェイスにより使用されるポート。

[Primary Port Number (active)]:現在インターフェイスにより使用されているポート。

[Secondary Port Number]:プライマリ ポートがダウンした場合に、インターフェイスにより使用されるポート。


) プライマリおよびセカンダリ ポート番号は、Cisco 4400 シリーズ Wireless LAN Controller の場合のみ存在します。



) セカンダリ ポートは、プライマリ ポートがシャットダウンした場合に使用されます。プライマリ ポートが再アクティブ化されると、Cisco 4400 シリーズ Wireless LAN Controller は、インターフェイスをプライマリ ポートに転送されます。


[AP Management]:アクセス ポイント管理を有効にする場合に選択します。

DHCP Information

[Primary DHCP Server]:プライマリ DHCP サーバの IP アドレス。

[Secondary DHCP Server]:セカンダリ DHCP サーバの IP アドレス。

[Access Control List]:ユーザ定義の ACL 名(または指定しない)。

[mDNS Profile]:ユーザが mDNS プロファイルを選択できるドロップダウン リスト。デフォルトのオプションは [none] です。


 

現在のインターフェイスの詳細表示

現在のインターフェイスの詳細を表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Interfaces] の順に選択します。

ステップ 4 該当するインターフェイスのインターフェイス名を選択します。[Interface Details] ページが表示されます。

ステップ 5 次のインターフェイス パラメータを表示または編集します。


) インターフェイス パラメータを変更すると、WLAN が一時的に無効になり、一部のクライアントの接続が失われる場合があります。


Interface Address

[VLAN Identifier]:1 ~ 4096、または 0(タグなし)。

Guest LAN

[Quarantine]:VLAN の隔離を有効または無効にします。チェックボックスをオンにすると有効になります。

[IP Address]:インターフェイスの IP アドレス。

[Gateway]:インターフェイスのゲートウェイ アドレス。

Physical Information

[Primary Port Number (active)]:現在インターフェイスにより使用されているポート。

[Secondary Port Number]:プライマリ ポートがダウンした場合に、インターフェイスにより使用されるポート。


) プライマリおよびセカンダリ ポート番号は、Cisco 4400 シリーズ Wireless LAN Controller の場合のみ存在します。



) セカンダリ ポートは、プライマリ ポートがシャットダウンした場合に使用されます。プライマリ ポートが再アクティブ化されると、Cisco 4400 シリーズ Wireless LAN Controller は、インターフェイスをプライマリ ポートに転送されます。


[AP Management]:アクセス ポイント管理を有効にする場合に選択します。

DHCP Information

[Primary DHCP Server]:プライマリ DHCP サーバの IP アドレス。

[Secondary DHCP Server]:セカンダリ DHCP サーバの IP アドレス。

アクセス コントロール リスト

[ACL Name]:アクセス コントロール リストのユーザ定義名(または指定しない)。

ステップ 6 行った変更を確定するには [Save] をクリックします。デバイス値を監査するには、[Audit] をクリックします。


 

ダイナミック インターフェイスの削除

ダイナミック インターフェイスを削除するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Interfaces] の順に選択します。

ステップ 4 削除するダイナミック インターフェイスのチェックボックスをオンにします。

ステップ 5 [Select a command] ドロップダウン リストから [Delete Dynamic Interfaces] を選択します。

ステップ 6 [OK] をクリックして、削除を実行します。


) インターフェイス グループに割り当てられているダイナミック インターフェイスは、削除できません。



 

コントローラ システム インターフェイス グループの設定


) インターフェイス グループ機能はコントローラ ソフトウェア リリース 7.0.116.0 以降でサポートされます。


ここでは、コントローラ システム インターフェイス グループの設定方法について説明します。内容は次のとおりです。

「インターフェイス グループの追加」

「インターフェイス グループの削除」

「インターフェイス グループの表示」

インターフェイス グループの追加

インターフェイス グループを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Interface Groups] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから、[Add Interface Group] を選択します。

ステップ 5 必要なパラメータを入力します。

[Name]:このインターフェイス グループのユーザ定義名(group1、group2)。

[Description]:(任意)インターフェイス グループの説明。

[Quarantine]:VLAN の隔離を有効または無効にします。チェックボックスをオンにすると有効になります。

[mDNS Profile]:ユーザが mDNS プロファイルを選択できるドロップダウン リスト。デフォルトのオプションは [none] です。

ステップ 6 [Add] をクリックします。

[Interface] ダイアログボックスが表示されます。

ステップ 7 グループに追加するインターフェイスを選択して、[OK] をクリックします。

[Interface Group] ページからインターフェイスを削除するには、インターフェイスを選択して [Remove] をクリックします。

ステップ 8 [Interface Group] ページへのインターフェイスの追加が完了したら、次のいずれかのボタンをクリックします。

[Save] で行った変更を確定します。

[Cancel] で変更を廃棄します。


) • インターフェイス グループに追加できるインターフェイスの数は、コントローラのタイプに応じて異なります。

ゲスト LAN インターフェイスは、インターフェイス グループに含めることはできません。

インターフェイス グループ名は、インターフェイス名とは別にする必要があります。


 

インターフェイス グループの削除

インターフェイス グループを削除するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Interface Groups] の順に選択します。

ステップ 4 削除するインターフェイス グループのチェックボックスをオンにします。

ステップ 5 [Select a command] ドロップダウン リストから、[Delete Interface Group] を選択し、[Go] をクリックします。

ステップ 6 [OK] をクリックして、削除を実行します。


) • WLAN に割り当てられているインターフェイス グループは、削除できません。

AP グループに割り当てられているインターフェイス グループは、削除できません。

WLAN の外部コントローラ マッピングに割り当てられているインターフェイス グループは、削除できません。

WLAN テンプレートに割り当てられているインターフェイス グループ テンプレートは、削除できません。

AP グループ テンプレートに割り当てられているインターフェイス グループ テンプレートは、削除できません。

インターフェイス グループに割り当てられているインターフェイスの隔離は、有効または無効にできません。


 

インターフェイス グループの表示

既存のインターフェイス グループを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Interface Groups] の順に選択します。次のパラメータが表示されます。

[Name]:インターフェイス グループのユーザ定義名(例:group1、group2)。

[Description]:(任意)インターフェイス グループの説明。

[Interfaces]:グループに属しているインターフェイスの数。

ステップ 4 インターフェイス グループ名のリンクをクリックします。

[Interface Groups Details] ページが表示され、インターフェイス グループの詳細と、特定のインターフェイス グループの一部を構成するインターフェイスの詳細が示されます。


 

NAC 統合

Cisco NAC アプライアンス(Cisco Clean Access(CCA)とも呼ばれます)は、ネットワーク管理者がユーザにネットワークへの接続を許可する前に、有線および無線経由のユーザ、リモートのユーザおよびそのマシンを許可、承認、評価、感染修復するネットワーク アドミッション コントロール(NAC)製品です。Cisco NAC アプライアンスは、マシンがセキュリティ ポリシーに準拠しているかどうかを判別し、脆弱性を修復してから、ネットワークへのアクセスを許可します。NAC アプライアンスは、インバンド モードとアウトオブバンド モードの 2 つのモードで利用できます。お客様は、必要ならば両方のモードを導入して、それぞれが特定のタイプのアクセスを担当するようにすることもできます。たとえば、インバンドで無線接続ユーザをサポートし、アウトオブバンドで有線接続ユーザを担当するといった構成も可能です。

NAC アウトオブバンド統合の詳細については、『 Cisco Prime Prime Infrastructure Configuration Guide 』の該当する項を参照してください。

ここでは、次の内容について説明します。

「SNMP NAC を使用する際のガイドライン」

「NAC アウトオブバンド統合(SNMP NAC)の設定」

SNMP NAC を使用する際のガイドライン

SNMP NAC アウトオブバンド統合を使用する場合は、次のガイドラインに従ってください。

NAC アプライアンスは最大 3,500 のユーザをサポートし、コントローラは最大 5,000 のユーザをサポートします。したがって、複数の NAC アプライアンスの導入を必要とする場合があります。

NAC アプライアンスでは静的な VLAN マッピングがサポートされているため、コントローラ上で設定されているインターフェイスごとに一意の隔離 VLAN を設定する必要があります。たとえば、コントローラ 1 で 110 という隔離 VLAN を設定し、コントローラ 2 で 120 という隔離 VLAN を設定します。ただし、2 つの WLAN またはゲスト LAN が、コントローラのダイナミック インタフェースとして同一の VLAN を使用している場合、ネットワーク内に導入された NAC アプライアンスが 1 つならば、同じ隔離 VLAN を使用する必要があります。NAC アプライアンスは、一意の隔離 - アクセス VLAN マッピングをサポートします。

セッションの失効に基づくポスチャ再評価の場合、NAC アプライアンスと WLAN の両方にセッション タイムアウトを設定し、WLAN でのセッションの失効が NAC アプライアンスでの失効より大きいことを確認します。

オープン WLAN でセッション タイムアウトが設定されると、Quarantine 状態にあるクライアントのタイムアウトは NAC アプライアンスのタイマーによって判定されます。Web 認証を使用する WLAN においてセッションがタイムアウトすると、クライアントはコントローラから認証解除されるので、ポスチャ検証を再度実行する必要があります。

NAC アウトオブバンド統合がサポートされるのは、WLAN が FlexConnect の中央スイッチングを行うように設定されている場合だけです。FlexConnect のローカル スイッチングを行うように設定されている WLAN での使用はサポートされていません。

アクセス ポイント グループ VLAN 上で NAC を有効にする場合は、WLAN で NAC をまず有効にする必要があります。アクセス ポイント グループ VLAN では、NAC を有効または無効にすることができます。WLAN で NAC を無効にすることに決めた場合は、アクセス ポイント グループ VLAN でも NAC を必ず無効にします。

NAC アウトオブバンド統合は、WLAN AAA Override 機能では使用できません。

レイヤ 2 およびレイヤ 3 認証はすべて、隔離 VLAN で実行されます。外部 Web 認証を使用するには、外部 Web サーバからの HTTP トラフィックおよび外部 Web サーバへの HTTP トラフィックを許可するとともに、隔離 VLAN でのリダイレクト URL を許可するように NAC アプライアンスを設定する必要があります。


) 設定手順については、次の URL にある Cisco NAC アプライアンスのコンフィギュレーション ガイドを参照してください。
http://www.cisco.com/en/US/products/ps6128/products_installation_and_configuration_guides_list.html


RADIUS NAC を使用する際のガイドライン

RADIUS NAC を使用する場合には、次のガイドラインに従ってください。

RADIUS NAC は、802.1x/WPA/WPA2 レイヤ 2 セキュリティを備えた WLAN のみが使用できます。

RADIUS NAC は、FlexConnect ローカル スイッチングが有効の場合は有効にできません。

RADIUS NAC を設定する場合は、AAA オーバーライドを有効にしてください。

NAC アウトオブバンド統合(SNMP NAC)の設定

SNMP NAC アウトオブバンド統合を設定するには、次の手順を実行します。


ステップ 1 動的インターフェイスに隔離 VLAN を設定する手順は、次のとおりです。

a. [Configure] > [Controller] の順に選択します。

b. [IP Address] 列でアウトオブバンド統合の設定を行うコントローラをクリックして選択します。

c. 左側のサイドバーのメニューから、[System] > [Interfaces] の順に選択します。

d. [Select a command] ドロップダウン リストから [Add Interface] を選択します。

e. [Interface Name] テキスト ボックスに、"quarantine" など、このインターフェイスの名前を入力します。

f. [VLAN Identifier] テキスト ボックスに、"10" など、アクセス VLAN ID の 0 以外の値を入力します。

g. インターフェイスに隔離 VLAN ID が設定されている場合は、[Quarantine] チェックボックスをオンにします。


) ネットワーク全体で一意の隔離 VLAN を設定することを推奨します。同じモビリティ グループ内に複数のコントローラが設定されており、すべてのコントローラのアクセス インターフェイスが同じサブネット内にある場合、ネットワークに NAC アプリケーションが 1 つだけならば、同じ隔離 VLAN を保持する必要があります。同じモビリティ グループ内に複数のコントローラが設定されており、すべてのコントローラのアクセス インターフェイスが別々のサブネット内にある場合、ネットワークに NAC アプリケーションが 1 つだけならば、別々の隔離 VLAN を保持する必要があります。


h. このインターフェイスの残りのフィールド(IP アドレス、ネットマスク、デフォルト ゲートウェイなど)を設定します。

i. プライマリおよびセカンダリ DHCP サーバの IP アドレスを入力します。

j. [Save] をクリックします。これで、NAC を有効にしたの WLAN またはゲスト LAN を作成する準備ができました。

ステップ 2 WLAN またはゲスト LAN で NAC アウトオブバンド サポートを設定する手順は、次のとおりです。

a. 左側のサイドバーのメニューから、[WLANs] > [WLAN] の順に選択します。

b. [Select a command] ドロップダウン リストから [Add a WLAN] を選択し、[Go] をクリックします。

c. このコントローラに適用する作成済みのテンプレートがある場合には、ドロップダウン リストからゲスト LAN テンプレート名を選択します。そうでない場合には、[click here] リンクをクリックして新しいテンプレートを作成します。テンプレートの設定の詳細については、「有線ゲスト アクセスの設定」のセクションを参照してください。

d. [Advanced] タブをクリックします。

e. この WLAN またはゲスト LAN に SNMP NAC サポートを設定するには、[NAC Stage] ドロップダウン リストから [SNMP NAC] を選択します。SNMP NAC サポートを無効にするには、[NAC Stage] ドロップダウン リストから [None](デフォルト値)を選択します。

f. [Apply] をクリックして、変更を確定します。

ステップ 3 特定の AP グループに NAC アウトオブバンド サポートを設定するには、次の手順を実行します。

a. 左側のサイドバーのメニューから、[WLANs] > [AP Groups VLAN] の順に選択し、[AP Groups] ページを表示します。


) AP グループ(5.2 以降のコントローラ)は、5.2 よりも前のコントローラでは AP グループ VLAN と呼ばれます。


b. 目的の AP グループの名前をクリックします。

c. [Interface Name] ドロップダウン リストから、隔離を有効にしたインターフェイスを選択します。

d. この AP グループに SNMP NAC サポートを設定するには、[Nac State] ドロップダウン リストから [SNMP NAC] を選択します。NAC アウトオブバンドのサポートを無効にするには、[NAC State] ドロップダウン リストから [None](デフォルト値)を選択します。

e. [Apply] をクリックして、変更を確定します。

ステップ 4 クライアントの現在の状態(Quarantine または Access)を表示する手順は、次のとおりです。

a. [Monitor] > [Clients] を選択して、[Clients] を開きます。クライアントの検索を実行します。

b. 目的のクライアントの MAC アドレスをクリックして、[Clients > Detail] ページを開きます。[Security Information] セクションの下に NAC ステートが [Access]、[Invalid]、または [Quarantine] と表示されます。


 

有線ゲスト アクセスの設定

有線ゲスト アクセスでは、ゲスト ユーザがゲスト アクセス用に指定および設定された有線イーサネット接続からゲスト アクセス ネットワークへ接続できます。有線ゲスト アクセス ポートは、ゲストのオフィスまたは会議室の特定のポートで使用できます。

無線ゲスト ユーザ アカウントのように、有線ゲスト アクセス ポートが Lobby Ambassador 機能を使用するネットワークに追加されます。「ゲスト アカウントの設定」を参照してください。

有線ゲスト アクセスは、スタンドアロン設定、またはアンカーおよび外部のコントローラを配置したデュアル コントローラ設定で設定することができます。この後者の設定は、有線ゲスト アクセス トラフィックをさらに隔離するために使用されますが、有線ゲスト アクセスの展開には必須ではありません。

有線ゲスト アクセス ポートは、最初、レイヤ 2 アクセス スイッチか、有線ゲストのアクセス トラフィック用 VLAN インターフェイスで設定されたスイッチ ポートで終端します。

有線ゲスト トラフィックは、その後、アクセス スイッチから無線 LAN コントローラへトランキングされます。このコントローラは、アクセス スイッチ上で有線ゲスト アクセス VLAN にマップされているインターフェイスを使用して設定されます。

2 つのコントローラが使用されている場合、外部コントローラがスイッチから有線ゲスト トラフィックを受信し、次に有線ゲスト トラフィックをアンカーコントローラへ転送します。アンカーコントローラも有線ゲストのアクセスに対して設定されています。有線ゲスト トラフィックがアンカー コントローラへ正常に渡されると、外部コントローラとアンカー コントローラ間に双方向の Ethernet over IP(EoIP)トンネルが確立され、このトラフィックを処理します。


) 2 つのコントローラが展開されるとき、有線ゲスト アクセスはアンカーと外部アンカーによって管理されますが、有線ゲスト アクセス クライアントではモビリティがサポートされていません。この場合、DHCP およびクライアントの Web 認証は、アンカー コントローラによって処理されます。



) ロールと帯域幅コントラクトを設定して割り当てることで、ネットワーク内の有線ゲスト ユーザに割り当てる帯域幅の量を指定できます。これらの機能の設定の詳細については、「ゲスト アカウントの設定」を参照してください。


ネットワークの有線ゲスト ユーザのアクセスを設定して有効にするには、次の手順を実行します。


ステップ 1 有線ゲスト ユーザ アクセス用のダイナミック インターフェイスを設定するには、[Configure] > [Controllers] を選択し、IP アドレスを選択してから、[System] > [Interfaces] を選択します。

ステップ 2 [Select a command] ドロップダウン リストから [Add Interface] を選択し、[Go] をクリックします。

ステップ 3 新しいインターフェイスの名前と VLAN ID を入力します。

ステップ 4 [Guest LAN] チェックボックスをオンにします。

ステップ 5 プライマリ ポート番号とセカンダリ ポート番号を入力します。

ステップ 6 [Save] をクリックします。これで、ゲスト アクセス用の有線 LAN を作成できるようになりました。

ステップ 7 ゲスト ユーザ アクセス用の有線 LAN を設定するには、左側のサイドバーのメニューから [WLANs] > [WLAN configuration] の順に選択します。

ステップ 8 [Select a command] ドロップダウン リストから [Add a WLAN] を選択し、[Go] をクリックします。

ステップ 9 このコントローラに適用する作成済みのテンプレートがある場合には、ドロップダウン リストからゲスト LAN テンプレート名を選択します。そうでない場合には、[click here] リンクをクリックして新しいテンプレートを作成します。

ステップ 10 [WLAN] > [New Template] の [General] ページで、ゲスト LAN を特定する [Profile Name] テキスト ボックスに名前を入力します。入力する名前には、スペースを使用しないでください。

ステップ 11 [WLAN Status] フィールドの [Enabled] チェックボックスをオンにします。

ステップ 12 [Ingress Interface] ドロップダウン リストから、ステップ 3 で作成した VLAN を選択します。この VLAN は、レイヤ 2 アクセス スイッチを経由して、有線ゲスト クライアントとコントローラとの間のパスを提供します。

ステップ 13 [Egress Interface] ドロップダウン リストから、インターフェイスの名前を選択します。この WLAN は、有線ゲスト クライアント トラフィックのコントローラから送信されるパスを提供します。


) 設定でコントローラが 1 つしかない場合は、[Egress Interface] ドロップダウン リストから [management] を選択します。


ステップ 14 [Security] > [Layer 3] タブをクリックして、デフォルトのセキュリティ ポリシー(Web 認証)を変更するか、または WLAN 固有の Web 認証(ログイン、ログアウト、ログイン失敗)ページとサーバ ソースを割り当てます。

a. セキュリティ ポリシーをパススルーに変更するには、[Web Policy] チェックボックスをオンにして、[Passthrough] オプション ボタンを選択します。これでユーザは、ユーザ名やパスワードを入力しなくてもネットワークにアクセスできます。

[Email Input] チェックボックスが表示されます。ユーザがネットワークに接続しようとしたとき、電子メール アドレスの入力を求める場合は、このチェックボックスをオンにします。

b. カスタムな Web 認証ページを指定するには、[Global WebAuth Configuration] の [Enabled] チェックボックスをオフにします。

[Web Auth Type] ドロップダウン リストが表示されたら、次のいずれかのオプションを選択して、無線ゲスト ユーザ用の Web ログイン ページを定義します。

[Default Internal]:コントローラのデフォルト Web ログイン ページを表示します。768 ビットは、デフォルト値です。

[Customized Web Auth]:カスタム Web ログイン ページ、ログイン失敗ページ、およびログアウト ページを表示します。[Customized] オプションを選択した場合は、ログイン ページ、ログイン失敗ページ、およびログアウト ページを選択するための 3 つのドロップダウン リストが表示されます。これらすべてのオプションについてカスタマイズしたページを定義する必要はありません。カスタマイズしたページを表示しないオプションに対しては、該当するドロップダウン リストで [None] を選択します。

これらオプションのログイン ページ、ログイン失敗ページ、ログアウト ページは、webauth.tar ファイルとしてコントローラにダウンロードされます。カスタム ページのダウンロードの詳細は、「コントローラへのカスタマイズ Web 認証バンドルのダウンロード」を参照してください。

[External] 認証のためにユーザを外部サーバにリダイレクトします。このオプションを選択する場合、[URL] テキスト ボックスに外部サーバの URL も入力する必要があります。

外部認証を行う場合は、[Security] > [AAA] ペインで RADIUS サーバまたは LDAP サーバを選択できます。その場合は、ステップ 17 に進んでください。


) [Security] > [AAA] ペインで選択できるように、RADIUS 外部サーバと LDAP 外部サーバを事前に設定しておく必要があります。[RADIUS Authentication Servers]、[TACACS+ Authentication Servers]、および [LDAP Servers] ページでこれらのサーバを設定できます。


ステップ 15 ステップ 15 の [Web Authentication Type] で [External] を選択した場合は、[Security] > [AAA] を選択して、ドロップダウン リストから RADIUS サーバまたは LDAP サーバを 3 つまで選択します。

ステップ 16 [Save] をクリックします。

ステップ 17 2 番めの(アンカー)コントローラがネットワークで使用中の場合は、このプロセスを繰り返します。


 

入力インターフェイスの作成

入力インターフェイスを作成するには、次の手順を実行します。


ステップ 1 [Select a command] ドロップダウン リストから [Add Interface] を選択し、[Go] をクリックします。

ステップ 2 インターフェイス名をクリックします。[Interfaces Details : New Config] ページが表示されます。

ステップ 3 [Interface Name] テキスト ボックスに、guestinterface など、このインターフェイスの名前を入力します。

ステップ 4 新しいインターフェイスの VLAN ID を入力します。

ステップ 5 [Guest LAN] チェックボックスをオンにします。

ステップ 6 プライマリ ポート番号とセカンダリ ポート番号を入力します。

ステップ 7 [Save] をクリックします。


 

出力インターフェイスの作成

出力インターフェイスを作成するには、次の手順を実行します。


ステップ 1 [Select a command] ドロップダウン リストから [Add Interface] を選択し、[Go] をクリックします。

ステップ 2 インターフェイス名をクリックします。[Interfaces Details : New Config] ページが表示されます。

ステップ 3 [Interface Name] テキスト ボックスに、quarantine など、このインターフェイスの名前を入力します。

ステップ 4 [VLAN Identifier] テキスト ボックスに、10 など、アクセス VLAN ID の 0 以外の値を入力します。

ステップ 5 [Quarantine] チェックボックスをオンにし、隔離 VLAN ID に 110 など 0 以外の値を入力します。


) [Quarantine] が有効なインターフェイスの場合、[WLAN or guest WLAN template Advanced] タブで NAC サポートを有効にできます。


ステップ 6 IP アドレス、ネットマスク、デフォルト ゲートウェイを入力します。

ステップ 7 プライマリ ポート番号とセカンダリ ポート番号を入力します。

ステップ 8 プライマリおよびセカンダリ DHCP サーバの IP アドレスを入力します。

ステップ 9 インターフェイスの残りのフィールドを設定し、[Save] をクリックします。

これで、ゲスト アクセス用の有線 LAN を作成できるようになりました。


 

コントローラのネットワーク ルートの設定

[Network Route] ページでは、コントローラのサービス ポートにルートを追加できます。このルートを使用することで、すべてのサービス ポート トラフィックを指定した管理 IP アドレスに送ることができます。

「既存のネットワーク アドレスの表示」

「ネットワーク ルートの追加」

既存のネットワーク アドレスの表示

既存のネットワーク ルートを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Network Route] の順に選択します。次のパラメータが表示されます。

[IP Address]:ネットワーク ルートの IP アドレス。

[IP Netmask]:ルートのネットワーク マスク。

[Gateway IP Address]:ネットワーク ルートのゲートウェイ IP アドレス。


 

ネットワーク ルートの追加

ネットワーク ルートを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Network Route] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから、[Add Network Route] を選択します。

ステップ 5 [Go] をクリックします。

ステップ 6 IP アドレス、IP ネットマスク、およびゲートウェイ IP アドレスの情報を入力します。

ステップ 7 [Save] をクリックします。


 

コントローラのスパニングツリー プロトコル パラメータの設定

スパニングツリー プロトコル(STP)は、ネットワーク内の有害なループを防止しながら、パスの冗長性を実現するリンク管理プロトコルです。

現在の STP パラメータを表示または管理するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Spanning Tree Protocol] の順に選択します。[Spanning Tree Protocol] ページに、次のパラメータが表示されます。

[Protocol Spec]:現在のプロトコル仕様。

[Admin Status]:有効にする場合は、このチェックボックスをオンにします。

[Priority]:最適なスイッチのプライオリティ番号。

[Maximum Age (seconds)]:ポートに対して記録された受信プロトコル情報が廃棄されるまでの時間(秒単位)。

[Hello Time (seconds)]:スイッチが hello メッセージをその他のスイッチにブロードキャストする頻度(秒単位)を特定します。

[Forward Delay (seconds)]:スイッチのポートがラーニング/リスニング ステートでの経過時間(秒単位)。


 

コントローラのモビリティ グループの設定

モビリティ グループを作成すると、複数のネットワーク コントローラを有効にして、コントローラ間またはサブネット間のローミングが発生した際に、動的に情報を共有してデータ トラフィックを転送できるようになります。コントローラは、クライアント デバイスのコンテキストと状態およびコントローラのロード情報を共有できます。この情報を使用して、ネットワークはコントローラ間無線 LAN ローミングとコントローラの冗長性をサポートできます。


) ネットワーク内の無線クライアントが、あるコントローラに接続したアクセス ポイントから、別のコントローラに接続したアクセス ポイントへローミングできるとしたら、どちらのコントローラも同じモビリティ グループに属しているはずです。


「モビリティ グループ内でのメッセージング」

「モビリティ グループの前提条件」

「現在のモビリティ グループ メンバの表示」

「コントローラのリストからのモビリティ グループ メンバの追加」

「モビリティ グループ メンバの手動追加」

「モビリティ スケーラビリティ パラメータの設定」

モビリティ グループ内でのメッセージング

コントローラでは、モビリティ メッセージを他のメンバ コントローラに送信することにより、クライアントにサブネット間モビリティが提供されます。

リリース 5.1 以降のコントローラ ソフトウェアでは、モビリティ リストで 72 台までのコントローラをサポートします。すべてのリリースにわたって、モビリティ グループで 24 台までのコントローラをサポートしています。

コントローラは、新しいクライアントがアソシエートされるたびに、モビリティ リスト内のメンバに Mobile Announce メッセージを送信します。

Prime Infrastructure およびコントローラ ソフトウェア リリース 5.0 では、コントローラでマルチキャスト モードを使用して Mobile Announce メッセージを送信します。これにより、コントローラからネットワークに送られるメッセージはメンバ数にかかわらず、ただ 1 つになります。このコピーはモビリティ メンバすべてを含むマルチキャスト グループに宛てて配信されます。


) モビリティ グループの詳細については、『Cisco Prime Prime Infrastructure Configuration Guide』を参照してください。


モビリティ グループの前提条件

コントローラをモビリティ グループに追加する前に、グループに追加するコントローラすべてについて、次の要件が満たされていることを確認する必要があります。

すべてのコントローラには同じ CAPWAP モードを設定する必要があります(レイヤ 2 またはレイヤ 3)。

すべてのデバイスの管理インターフェイス間に IP 接続が存在する必要があります。

すべてのコントローラは、同じモビリティ グループ名で設定する必要があります。

すべてのデバイスを、同じ仮想インターフェイス IP アドレスに設定する必要があります。

モビリティ グループに含める各コントローラの MAC および IP アドレスが使用可能である必要があります(コントローラにその他すべてのモビリティ グループ メンバの MAC アドレスおよび IP アドレスを設定するため)。

現在のモビリティ グループ メンバの表示

現在のモビリティ グループ メンバを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Mobility Groups] の順に選択します。


) グループ メンバを削除するには、該当するグループ メンバのチェックボックスをオンにして [Delete Group Members] を選択し、[Go] をクリックします。



 

コントローラのリストからのモビリティ グループ メンバの追加

既存のコントローラのリストからモビリティ グループ メンバを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Mobility Groups] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから [Add Group Members] を選択します。

ステップ 5 [Go] をクリックします。

ステップ 6 モビリティ グループに追加するコントローラのチェックボックスをオンにします。

ステップ 7 [Save] をクリックします。


 

モビリティ グループ メンバの手動追加

モビリティ グループに追加するコントローラが見つからない場合は、手動でメンバを追加できます。モビリティ グループに手動でメンバを追加するには、次の手順を実行します。


ステップ 1 [Mobility Group Member] の [Details] ページで [click here] リンクをクリックします。

ステップ 2 [Member MAC Address] テキスト ボックスに、追加するコントローラの MAC アドレスを入力します。

ステップ 3 [Member IP Address] テキスト ボックスに、追加するコントローラの管理インターフェイスの IP アドレスを入力します。


) ネットワーク アドレス変換(NAT)が有効になっているネットワークのモビリティ グループを設定する場合は、コントローラの管理インターフェイス IP アドレスではなく、NAT デバイスからコントローラに送信される IP アドレスを入力します。そうしないと、モビリティ グループ内のコントローラ間でモビリティが失敗します。


ステップ 4 マルチキャスト モビリティ メッセージに使用するマルチキャスト グループ IP アドレスを [Multicast Address] テキスト ボックスに入力します。ローカル モビリティ メンバのグループ アドレスは、ローカル コントローラのグループ アドレスと同じである必要があります。

ステップ 5 [Group Name] テキスト ボックスに、モビリティ グループ名を入力します。

ステップ 6 [Save] をクリックします。

ステップ 7 残りの WLC デバイスに対して、ステップ 1 ~ 6 を繰り返します。


 

モビリティ スケーラビリティ パラメータの設定


) モビリティ スケーラビリティ パラメータを設定する前に、モビリティ グループを設定しておく必要があります。


モビリティ メッセージ パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 ソフトウェア バージョンが 5.0 以降のコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [General] の順に選択します。

ステップ 4 [Multicast Mobility Mode] ドロップダウン リストで、マルチキャスト モードを使用してモビリティ メンバに Mobile Announce メッセージを送信する機能を、このコントローラに対して有効または無効にするかを指定します。

ステップ 5 マルチキャスト モビリティ モードを有効に設定してマルチキャスト メッセージングを有効にした場合は、[Mobility Group Multicast-address] フィールドにグループ IP アドレスを入力してマルチキャスト モビリティ メッセージングを開始する必要があります。この IP アドレスの設定はローカル モビリティ グループに対しては必須ですが、モビリティ リスト内のその他のグループに対してはオプションです。その他の(非ローカル)グループに IP アドレスを設定しない場合、コントローラはユニキャスト モードを使用してこれらのメンバーにモビリティ メッセージを送信します。

ステップ 6 [Save] をクリックします。


 

コントローラのネットワーク タイム プロトコルの設定

新しい NTP サーバを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Network Time Protocol] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから [Add NTP Server] を選択します。

ステップ 5 [Go] をクリックします。

ステップ 6 [Select a template to apply to this controller] ドロップダウン リストから、このコントローラに適用する適切なテンプレートを選択します。


 

コマンド ボタン

Apply

Cancel

NTP サーバ用の新しいテンプレートを作成するには、 [click here] リンクを使用して、テンプレート作成ページにアクセスします([Configure NTP Servers] > [New Template])。

NTP の一般パラメータには、次のものがあります。

[Template Name]:新しい NTP テンプレート名を入力します。


) テンプレート名は、テンプレートを特定するために使用される一意のキーです。同じキー属性を持つ 2 つのテンプレートを区別するため、テンプレート名は必須です。


[Server Address]:NTP サーバの IP アドレスを入力します。

[No.of Controllers Applied To]:このテンプレートを適用するコントローラの数(読み取り専用)。

メッシュ ネットワークの 1510 でのバックグラウンド スキャン

バックグラウンド スキャンにより、Cisco Aironet 1510 アクセス ポイントは、より最適なパスと親を探すために、能動的に連続して別のネイバーがいるチャネルをモニタできます。アクセス ポイントは現在のチャネルだけでなくネイバー チャネル上でも検索を実行するため、最適な代替パスおよび親のリストは大きくなります。

親を喪失する前にこの情報を特定すると、より高速な転送速度およびそのアクセス ポイントにとって最適なリンクが実現します。さらに、新しいチャネル上のリンクが、ホップの少なさ、信号対雑音比(SNR)の強さなどの点で、現在のチャネルよりも良好であると判明した場合は、アクセス ポイントはそのチャネルに切り替わる場合があります。

その他のチャネル上でのバックグラウンド スキャンおよびそれらのチャネル上のネイバーからのデータ収集は、2 つのアクセス ポイント間のプライマリ バックホール上で実行されます。

1510 のプライマリ バックホールは、802.11a リンク上で動作します。

バックグラウンド スキャンは、アクセス ポイントのアソシエートされたコントローラ上でグローバルに有効化されます。


) 音声コールが新しいチャネルに切り替わると、遅延が大きくなる場合があります。



) EMEA 規制区域では、DFS 要件が前提となるため、その他のチャネル上でのネイバーの検索に時間がかかる場合があります。


バックグラウンド スキャンのシナリオ

バックグラウンド スキャンの動作をより詳しく説明するために、いくつかのシナリオを示します。

図 9-1 では、メッシュ アクセス ポイント(MAP1)は、最初にアップしたときに両方のルート アクセス ポイント(RAP1 および RAP2)を、親になる可能性があると認識しています。ここでは、ホップ、SNR などの点で RAP2 を経由したルートの方が良好であるため、RAP2 が親として選択されています。リンクの確立後、バックグラウンド スキャン(有効にした場合)は、すべてのチャネルを継続的にモニタし、より最適なパスおよび親を検索します。RAP2 は、リンクがダウンするか、より最適なパスが別のチャネルで見つかるまで、MAP1 の親としての動作を継続し、チャネル 2 上で通信を続けます。

図 9-1 メッシュ アクセス ポイント(MAP1)による親の選択

 

図 9-2 では、MAP1 と RAP2 間のリンクが失われています。現在実行中のバックグラウンド スキャンからのデータにより、RAP1 と Channel 1 が、MAP1 にとって 2 番めに最適な親および通信パスであると識別されるため、RAP2 とのリンクがダウンした後に、追加のスキャンなしでリンクがただちに確立されます。

図 9-2 バックグラウンド スキャンによる新しい親の識別

 

バックグラウンド スキャンの有効化

AP1510 RAP または MAP でバックグラウンド スキャンを有効にするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。


) これは、コントローラのテンプレートでも有効にできます。「メッシュ テンプレートの設定」を参照してください。


ステップ 2 左側のサイドバーのメニューから、[Mesh] > [Mesh Settings] の順に選択します。[Mesh Settings] ページが表示されます。

ステップ 3 バックグラウンド スキャンを有効にする場合は [Background Scanning] チェックボックスをオンにし、この機能を無効にする場合はオフにします。デフォルト値は [disabled] です。

ステップ 4 [Save] をクリックします。


 

コントローラ QoS プロファイルの設定

QoS プロファイルを変更するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [QoS Profiles] の順に選択します。次のパラメータが表示されます。

[Bronze]:バックグラウンド用

[Gold]:ビデオ アプリケーション用

[Platinum]:音声アプリケーション用

[Silver]:ベスト エフォート用

ステップ 4 該当するプロファイルをクリックして、プロファイル パラメータを表示または編集します。

ステップ 5 [Per-User Bandwidth Contracts] グループ ボックスで次の値を設定します(デフォルトはすべて 0 つまりオフ)。

[Average Data Rate]:非 UDP トラフィックの平均データ レート。

[Burst Data Rate]:非 UDP トラフィックのピーク データ レート。

[Average Real-time Rate]:UDP トラフィックの平均データ レート。

[Burst Real-time Rate]:UDP トラフィックのピーク データ レート。

ステップ 6 [Over-the-Air QoS] グループ ボックスで次の値を設定します。

[Maximum QoS RF Usage Per AP (%)]:クライアントが使用できる最大無線帯域幅。デフォルトは 100% です。

[QoS Queue Depth]:クライアントのクラスのキュー深度。これより大きな値のパケットは、アクセス ポイントでドロップされます。

ステップ 7 [WLAN QoS] グループ ボックスで次の値を設定します。

最大プライオリティ

ユニキャストのデフォルト プライオリティ

マルチキャストのデフォルト プライオリティ

ステップ 8 [Wired QoS Protocol] グループ ボックスで次の値を設定します。

[Wired QoS Protocol]:802.1P プライオリティ タグをアクティブにするには [802.1P] を選択し、802.1P プライオリティ タグを非アクティブ化するには [None] を選択します。

ステップ 9 [Save] をクリックします。


 

コントローラ DHCP スコープの設定

ここでは、次の内容について説明します。

「現在の DHCP スコープの表示」

「新しい DHCP スコープの追加」

現在の DHCP スコープの表示

現在の DHCP(Dynamic Host Configuration Protocol)スコープを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [DHCP Scopes] の順に選択します。

次の DHCP スコープの情報が表示されます。

プール アドレス

リース時間

ステータス


 

新しい DHCP スコープの追加

新しい DHCP スコープを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [DHCP Scopes] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから、[Add DHCP Scope] を選択します。

ステップ 5 次の情報を入力します。

スコープ名

リース時間(秒単位)

ネットワーク

ネットマスク

プールの開始アドレス

プールの終了アドレス

DNS ドメイン名

ステータス

ルータ アドレス:いずれの IP アドレスがすでに使用中であり、そのため除外する必要があるか入力します。たとえば、会社のルータの IP アドレスを入力します。この場合、この IP アドレスは他のクライアントが使用できないようにブロックされます。

DNS サーバ:DNS サーバの IP アドレスを入力します。各 DNS サーバは、この DHCP スコープで割り当てられた IP アドレスと一致するように、クライアントの DNS エントリを更新できる必要があります。

NetBios サーバ:Windows インターネット ネーム サービス(WINS)サーバなど、Microsoft Network Basic Input Output System(NetBIOS)ネーム サーバの IP アドレスを入力します。

ステップ 6 [Save] をクリックします。


 

コントローラのユーザ ロールの設定

ここでは、次の内容について説明します。

「現在のローカル ネット ユーザ ロールの表示」

「新しいローカル ネット ユーザ ロールの追加」

現在のローカル ネット ユーザ ロールの表示

現在のローカル ネット ユーザ ロールを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [User Roles] の順に選択します。

次の Local Net User Role パラメータが表示されます。

Template Name


) テンプレート名は、テンプレートを特定するために使用される一意のキーです。同じキー属性を持つ 2 つのテンプレートを区別するため、テンプレート名は必須です。


Role Name

[Average Data Rate]:非 UDP トラフィックの平均データ レート。

[Burst Data Rate]:非 UDP トラフィックのピーク データ レート。

[Average Real-time Rate]:UDP トラフィックの平均データ レート。

[Burst Real-time Rate]:UDP トラフィックのピーク データ レート。

ステップ 4 テンプレート名をクリックして、ユーザ ロールの詳細を表示します。


 

新しいローカル ネット ユーザ ロールの追加

新しいローカル ネット ユーザ ロールを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [User Roles] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから、[Add User Role] を選択します。

ステップ 5 [Select a template to apply to this controller] ドロップダウン リストからテンプレートを選択します。

ステップ 6 [Apply] をクリックします。


) ローカル ネット ユーザ ロールに新しいテンプレートを作成するには、[click here] リンクをクリックしてテンプレート作成ページにアクセスします。ユーザ ロール テンプレートの詳細については、「ユーザ ロール コントローラ テンプレートの設定」を参照してください。



 

グローバル アクセス ポイント パスワードの設定

[AP Username Password] ページでは、すべてのアクセス ポイントがコントローラに接続する際に継承する、グローバル パスワードを設定できます。また、アクセス ポイントを追加するときに、このグローバル ユーザ名およびパスワードを受け入れるか、アクセス ポイント単位で上書きするかを選択できます。グローバル パスワードの表示場所およびアクセス ポイント単位での上書き方法については、「AP 設定テンプレートの設定」を参照してください。

さらにコントローラ ソフトウェア リリース 5.0 では、アクセス ポイントをコントローラに接続すると、そのアクセス ポイントのコンソール ポート セキュリティが有効になり、アクセス ポイントのコンソール ポートへログインするたびにユーザ名とパスワードの入力を要求されます。ログインした時点では非特権モードのため、特権モードを使用するには、イネーブル パスワードを入力する必要があります。

グローバル ユーザ名とパスワードを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 リリース 5.0 以降のコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [AP Username Password] の順に選択します。

ステップ 4 コントローラに接続するアクセス ポイントで継承されるユーザ名およびパスワードを入力します。


) Cisco IOS アクセス ポイントの場合は、イネーブル パスワードも入力して確認する必要があります。


ステップ 5 [Save] をクリックします。


 

グローバル CDP の設定

Cisco Discovery Protocol(CDP)は、すべてのシスコ製ネットワーク機器で実行されるデバイス検出プロトコルです。各デバイスはマルチキャスト アドレスに識別メッセージを送信し、他のデバイスから送信されたメッセージをモニタします。


) CDP は、イーサネット ポートおよび無線ポート上で、デフォルトで有効になっています。



) グローバル インターフェイス CDP 設定は、AP レベルで CDP を有効にした AP のみに適用されます。


グローバル CDP を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 必要なコントローラの IP アドレスを選択します。

ステップ 3 左側のサイドバーのメニューから、[System] > [Global CDP Configuration] の順に選択します。[Global CDP Configuration] ページが表示されます。

ステップ 4 [Global CDP] グループ ボックスで、次のパラメータを設定します。

[CDP on controller]:コントローラで CDP を有効にするか、無効にするかを選択します。


) この設定は、WiSM2 コントローラには適用できません。


[Global CDP on APs]:アクセス ポイントで CDP を有効にするか、無効にするかを選択します。

[Refresh-time Interval (seconds)]:[Refresh Time Interval] フィールドに、CDP メッセージが生成される時間を秒単位で入力します。デフォルト値は 60 です。

[Holdtime (seconds)]:CDP ネイバー エントリの期限が切れるまでの時間を秒単位で入力します。デフォルト値は 180 です。

[CDP Advertisement Version]:使用する CDP プロトコルのバージョンを入力します。デフォルトは v1 です。

ステップ 5 [CDP for Ethernet Interfaces] グループ ボックスで、CDP を有効にするイーサネット インターフェイスのスロットを選択します。


) [CDP for Ethernet Interfaces] フィールドは、リリース 7.0.110.2 以降のコントローラでサポートされています。


ステップ 6 [CDP for Radio Interfaces] グループ ボックスで、CDP を有効にする無線インターフェイスのスロットを選択します。


) [CDP for Radio Interfaces] フィールドは、リリース 7.0.110.2 以降のコントローラでサポートされています。


ステップ 7 [Save] をクリックします。


 

AP 802.1X サプリカント クレデンシャルの設定

Lightweight アクセス ポイントとスイッチ間の 802.1X 認証を設定できます。アクセス ポイントは 802.1X サプリカントとして動作し、EAP-FAST と匿名 PAC プロビジョニングを使用してスイッチにより認証されます。すべてのアクセス ポイントがコントローラ接続時に継承するグローバル認証を設定できます。これには、コントローラに現在接続されているすべてのアクセス ポイント、および今後接続されるすべてのアクセス ポイントが含まれます。

必要に応じて、このグローバル認証設定よりも優先される、独自の認証設定を特定のアクセス ポイントに割り当てることができます。詳細については、「アクセス ポイントの詳細の設定」を参照してください。

グローバル サプリカント クレデンシャルを有効にするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 必要なコントローラの IP アドレスを選択します。

ステップ 3 左側のサイドバーのメニューから、[System] > [AP 802.1X Supplicant Credentials] の順に選択します。

ステップ 4 [Global Supplicant Credentials] チェックボックスをオンにします。

ステップ 5 サプリカント ユーザ名を入力します。

ステップ 6 適切なパスワードを入力して確定します。

ステップ 7 [Save] をクリックします。


) 保存後に、[Audit] をクリックして、このコントローラで監査を実行できます。詳細については、「コントローラ監査レポートについて」または「監査の設定」を参照してください。



 

コントローラ DHCP の設定

コントローラの DHCP(Dynamic Host Configuration Protocol)情報を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 必要なコントローラの IP アドレスを選択します。

ステップ 3 左側のサイドバーのメニューから、[System] > [DHCP] の順に選択します。

ステップ 4 次のパラメータを追加または変更します。

[DHCP Option 82 Remote Id Field Format]:ドロップダウン リストから、[AP-MAC]、[AP-MAC-SSID]、[AP-ETHMAC]、または [AP-NAME-SSID] を選択します。


) DHCP オプション 82 の RemoteID フィールドのフォーマットを設定する場合
Ap-Mac を選択した場合、RemoteID フォーマットは [AP-Mac] に設定します。Ap-Mac-ssid を選択した場合、RemoteID フォーマットは [AP-Mac:SSID] に設定します。


[DHCP Proxy]:プロキシで DHCP を有効にする場合は、このチェックボックスをオンにします。


) DHCP プロキシがコントローラ上で有効になっている場合は、コントローラによってクライアントから設定済みサーバへ DHCP 要求がユニキャストされます。そのため、少なくとも 1 つの DHCP サーバが、WLAN にアソシエートされたインターフェイスか WLAN 自体で設定されている必要があります。


ステップ 5 [DHCP Timeout] を秒単位で入力します。この時間を過ぎると DHCP 要求がタイムアウトします。デフォルト設定は 5 です。有効値の範囲は 5 ~ 120 秒です。


) DHCP タイムアウトは、リリース 7.0.114.74 以降のコントローラで適用できます。


ステップ 6 [Save] をクリックします。


) 保存後に、[Audit] をクリックして、このコントローラで監査を実行できます。詳細については、「コントローラ監査レポートについて」または「監査の設定」を参照してください。



 

コントローラのマルチキャスト モードの設定

Prime Infrastructure では、コントローラ上の IGMP(インターネット グループ管理プロトコル)スヌーピングおよびタイムアウト値を設定するオプションが提供されています。

コントローラのマルチキャスト モードおよび IGMP スヌーピングを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 目的のコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[System] > [Multicast] の順に選択します。

ステップ 4 [Ethernet Multicast Support] ドロップダウン リストから、[Disable]、[Unicast]、[Multicast] のいずれかを選択します。


) IGMP スヌーピングおよびタイムアウトは、イーサネット マルチキャスト モードが有効の場合のみ設定できます。


ステップ 5 [Multicast] を選択した場合は、マルチキャスト グループ IP アドレスを入力します。

ステップ 6 マルチキャスト モードをグローバルで使用可能にする場合は、[Enable Global Multicast Mode] チェックボックスをオンにします。

ステップ 7 IGMP スヌーピングを選択して有効にします。

ステップ 8 [Multicast Mobility Mode] ドロップダウン リストから [Enable] を選択して、IGMP スヌーピング ステータスを変更するか、または IGMP タイムアウトを設定します。IGMP スヌーピングが有効の場合、コントローラはクライアントから IGMP レポートを収集した後、いずれかのマルチキャスト グループをリッスンしているクライアントのリストをアクセス ポイントに送信します。その後、アクセス ポイントはこれらのクライアントのみにマルチキャスト パケットを転送します。

タイムアウト間隔の範囲は 3 ~ 300 で、デフォルト値は 60 です。タイムアウトが経過すると、コントローラはすべての WLAN に対してクエリーを送信します。その後、マルチキャスト グループ内でリッスンしているクライアントは、コントローラにパケットを送り返します。

ステップ 9 マルチキャスト モビリティ モードを有効にしている場合は、モビリティ グループ マルチキャスト アドレスを入力します。

ステップ 10 ワイヤレス ネットワークを介したビデオのストリームを有効にする場合は、[Multicast Direct feature] チェックボックスをオンにします。

ステップ 11 [Multicast Mobility Mode] ドロップダウン リストから [Enable] を選択して、MLD 設定を変更します。

ステップ 12 IPv6 MLD スヌーピングを有効にする場合は、[Enable MLD Snooping] チェックボックスをオンにします。このチェックボックスを選択した場合は、次のパラメータを設定します。

[MLD Timeout]:MLD タイムアウト値を秒単位で入力します。タイムアウトの範囲は 3 ~ 7200 で、デフォルト値は 60 です。

[MLD Query Interval]:MLD クエリー間隔のタイムアウト値を秒単位で入力します。間隔の範囲は 15 ~ 2400 で、デフォルト値は 20 です。


) インターネット グループ管理プロトコル(IGMP)スヌーピングを使用することにより、IPv4 のマルチキャスト トラフィックのフラッディングを抑制できます。IPv6 の場合は、Multicast Listener Discovery(MLD)スヌーピングが使用されます。


ステップ 13 セッション バナー情報を指定します。これは、クライアントがメディア ストリームから拒否またはドロップされた場合に、クライアントに送信されるエラー情報です。

a. [State]:セッション バナーをアクティブにする場合は、このチェックボックスをオンにします。アクティブにしない場合、セッション バナーはクライアントに送信されません。

b. [URL]:クライアントにレポートされる Web アドレス

c. [Email]:クライアントにレポートされる電子メール アドレス

d. [Phone]:クライアントにレポートされる電話番号

e. [Note]:クライアントにレポートされる注意


) コントローラ上のすべてのメディア ストリームは、この設定を共有します。


ステップ 14 [Save] をクリックします。


) 保存後に、[Audit] をクリックして、このコントローラで監査を実行できます。詳細については、「コントローラ監査レポートについて」または「監査の設定」を参照してください。



 

アクセス ポイント タイマーの設定

Prime Infrastructure のコントローラでは、FlexConnect およびローカル モードの拡張タイマーが設定できます。


) この機能は、リリース 6.0 以降のコントローラのみでサポートされています。


「拡張タイマーの設定」

「ローカル モードのアクセス ポイント タイマー設定」

「FlexConnect モードのアクセス ポイント タイマー設定」

拡張タイマーの設定

拡張タイマーを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 タイマーを設定するコントローラを選択します。

ステップ 3 左側のサイドバーのメニューから、[System] > [AP Timers] の順に選択します。

ステップ 4 該当するアクセス ポイント モード(ローカル モードまたは FlexConnect モード)を選択します。

ステップ 5 各モードの設定の詳細については、「ローカル モードのアクセス ポイント タイマー設定」または「FlexConnect モードのアクセス ポイント タイマー設定」を参照してください。

ローカル モードのアクセス ポイント タイマー設定

障害検出時間を短縮するには、高速ハートビート間隔(コントローラとアクセス ポイントの間)に設定するタイムアウト値をより小さくします。高速ハートビート タイマーの期限(ハートビート間隔ごとの)を過ぎると、アクセス ポイントは最後のインターバルでコントローラからデータ パケットを受信したかどうかを判断します。パケットが何も受信されていない場合、アクセス ポイントは高速エコー要求をコントローラへ送信します。この場合、10 ~ 15 秒の値を入力できます。

FlexConnect モードのアクセス ポイント タイマー設定

選択した場合、FlexConnect タイムアウト値を設定できます。[AP Primary Discovery Timeout] チェックボックスをオンにして、タイムアウト値を有効にします。30 ~ 3600 秒の値を入力します。


) 5500 シリーズ コントローラは、1 ~ 10 の範囲のアクセス ポイント高速ハートビート タイマー値を受け入れます。



 

コントローラ WLAN の設定

コントローラは 512 WLAN 設定をサポートできるため、Prime Infrastructure は、特定のコントローラに対して、指定した時刻に複数の WLAN を有効または無効にする効率的な方法が提供しています。

ネットワーク上に設定した SSID(WLAN)のサマリーを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[WLANs] > [WLAN Configuration] の順に選択します。[Configure WLAN Summary] ページが表示されます。この [WLAN Configuration] ページには、 表 9-1 に示されている値が含まれます。

 

表 9-1 [WLAN Configuration Summary] ページ

フィールド
説明

Check box

削除する WLAN を選択します。[Select a command] ドロップダウン リストから [Delete WLANs] を選択します。

WLAN ID

WLAN の識別番号。

Profile Name

WLAN テンプレートの作成時に指定したユーザ定義のプロファイル名。プロファイル名は WLAN 名です。

SSID

ブロードキャストされている Service Set Identifier。

WLAN/Guest LAN

WLAN かゲスト LAN かを指定します。

Security Policies

WLAN で有効になっているセキュリティ ポリシー。

Status

WLAN のステータスは有効または無効のいずれかです。

Task List

[Configure] > [Scheduled Configuration Tasks] でタスクがスケジュール設定されている場合は、スケジュール設定された設定タスクを表示するリンクが表示されます。


 

WLAN の詳細の表示

WLAN の詳細を表示するには、[WLANs] を選択します。[WLAN Details] ページが表示されます。

タブ([General]、[Security]、[QoS]、[Advanced])を使用して、WLAN のパラメータを表示または編集します。

ここでは、次の内容について説明します。

「[General] タブ」

「[Security] タブ」

「[QoS] タブ」

「[Advanced] タブ」

[General] タブ

[General] タブには、次の情報が含まれています。


) このコントローラで使用されている WLAN テンプレートに応じて、使用できるパラメータと使用できないパラメータがあります。


[Guest LAN]:この WLAN がゲスト LAN かどうかを示します。

Profile Name

SSID

[Status]:[Enabled] チェックボックスをオンにしてこの WLAN を有効にします。


) WLAN ステータスが有効になる開始時間を設定するには、[Schedule Status] チェックボックスをオンにします。ドロップダウン リストから時間と分を選択します。カレンダー アイコンをクリックして、該当する日付を選択します。


Schedule Status

[Security Policies]:[Security] タブを使用して設定したセキュリティ ポリシーを示します(None、802.1X、静的 WEP、静的 WEP-802.1X、WPA+WPA2、CKIP などのセキュリティ ポリシーを含む)。セキュリティ ポリシーの変更は、ページの保存後に表示されます。

[Radio Policy]:ドロップダウン リストから、次のいずれかを選択します。

[All]、[802.11a only]、[802.11g only]、[802.11b/g only]、[802.11a/g only]。

[Interface/Interface Group]:ドロップダウン リストから選択します。

[Broadcast SSID]:チェックボックスをオンにすると有効になります。

[Egress Interface]:該当するインターフェイスの名前を選択します。この WLAN は、有線ゲスト クライアント トラフィックのコントローラから送信されるパスを提供します。


) 設定でコントローラが 1 つしかない場合は、[Egress Interface] ドロップダウン リストから [Management] を選択します。


[Ingress Interface]:ドロップダウン リストから該当する VLAN を選択します。このインターフェイスは、レイヤ 2 アクセス スイッチを経由して、有線ゲスト クライアントとコントローラとの間のパスを提供します。

[Security] タブ

[Security] タブには、[Layer 2]、[Layer 3]、[AAA Servers] の 3 つの追加タブが含まれます。

Layer 2 Security

[Layer 2 Security] ドロップダウン リストを使用して、[None]、[802.1x]、[Static WEP]、[Cranite]、[Static WEP-802.1x]、[WPA1+WPA2]、[CKIP] のいずれかを選択します。これらのパラメータは、 表 9-2 で説明されています。

[Mac Filtering]:MAC アドレスによりクライアントをフィルタリングする場合は、このチェックボックスをオンにします。


) FlexConnect ローカル認証では、[Mac Filtering]、[Max-Clients]、[Client Profiling] はサポートされていません。


 

表 9-2 Layer 2 Security オプション

フィールド
説明

None

レイヤ 2 の選択はありません。

[FT Enable]:アクセス ポイント間の高速移行(FT)を有効にする場合は、このチェックボックスをオンにします。

(注) 高速移行機能は FlexConnect モードではサポートされません。

[Over the DS]:分散システムでの高速移行を有効にする場合は、このチェックボックスをオンにします。

[Reassociation Timeout]:高速移行の再アソシエーションがタイムアウトになるまでの時間(秒単位)。デフォルトは 20 秒です。有効範囲は 1 ~ 100 です。

(注) [Over the DS] または [Reassociation Timeout] を有効にするには、高速移行を有効にする必要があります。

802.1x

802.11 Data Encryption:

[Type]:WEP

[Key Size]:40、104、または 128 ビット。

Static WEP

802.11 Data Encryption:

Type

[Key Size]:設定なしか、40、104、または 128 ビット。

[Key Index]:1 ~ 4。

Encryption Key

[Encryption Key Format]:ASCII または HEX。

[Allowed Shared Key Authentication]:チェックボックスをオンにすると、共有キー認証が有効になります。

Cranite

FIPS140-2 準拠の Cranite Wireless Wall Software Suite を使用するように WLAN を設定します。ここでは、AES 暗号化および VPN トンネルを使用し、Cisco Wireless LAN Solution により伝送されるすべてのデータ フレームの暗号化および確認を行います。

Static WEP-802.1X

この設定により、静的 WEP と 802.1X の両方のポリシーを有効にします。このオプションを選択すると、静的 WEP と 802.1X のパラメータがページの下部に表示されます。

静的 WEP 暗号化パラメータ:

802.11 Data Encryption

Type

[Key Size]:設定なしか、40、104、または 128 ビット。

[Key Index]:1 ~ 4。

Encryption Key

[Encryption Key Format]:ASCII または HEX。

[Allowed Shared Key Authentication]:チェックボックスをオンにすると有効になります。

WPA+WPA2

この設定により、WPA、WPA2、またはその両方を有効にします。WPA は、TKIP-MIC データ暗号化または AES を使用する Wi-Fi Protected Access を有効にします。[WPA+WPA2] を選択すると、クライアントがアクセス ポイント間をローミングする際に迅速な交換が可能となる Cisco Centralized Key Management(CCKM)認証キー管理を使用できます。

レイヤ 2 セキュリティ ポリシーとして [WPA+WPA2] を選択し、事前共有キーを有効にしている場合は、CCKM または 802.1X を有効にできません。ただし、CCKM と 802.1X の両方を同時に有効にすることは可能です。

[Mac Filtering]:MAC アドレス フィルタリングを有効にします。

(注) FlexConnect ローカル認証では、[Mac Filtering] および [Max-Clients] はサポートされていません。

[FT Enable]:アクセス ポイント間の高速移行を有効にする場合は、このチェックボックスをオンにします。

(注) 高速移行は FlexConnect モードではサポートされません。

[Over the DS]:分散システムでの高速移行を有効にする場合は、このチェックボックスをオンにします。

[Reassociation Timeout]:高速移行の再アソシエーションがタイムアウトになるまでの時間(秒単位)。デフォルトは 20 秒です。有効範囲は 1 ~ 100 です。

(注) [Over the DS] または [Reassociation Timeout] を有効にするには、高速移行を有効にする必要があります。

[WPA+WPA2] のパラメータ:

[WPA1]:WPA1 を有効にする場合は、チェックボックスをオンにします。

[WPA2]:WPA2 を有効にする場合は、チェックボックスをオンにします。

認証キー管理:

[FT802.1X]:FT802.1X を有効にする場合は、チェックボックスをオンにします。

[802.1X]:802.1X を有効にする場合は、チェックボックスをオンにします。

[CCKM]:CCKM を有効にする場合は、チェックボックスをオンにします。

[PSK]:PSK を有効にする場合は、チェックボックスをオンにします。

[FTPSK]:FTPSK を有効にする場合は、チェックボックスをオンにします。

(注) [FT802.1X] または [FTPSK] を設定するには、WPA2 および高速移行を有効にします。

CKIP

Cisco Key Integrity Protocol。Cisco のアクセス ポイントは、ビーコンおよびプローブの応答パケットで CKIP のサポートをアドバタイズします。CKIP は、Aironet IE が WAN で有効な場合にだけ設定できます。

(注) CKIP は、10xx アクセス ポイントではサポートされていません。

CKIP パラメータ:

802.11 Data Encryption

Type

[Key Size]:設定なしか、40、104、または 128 ビット。

[Key Index]:1 ~ 4。

Encryption Key

[Encryption Key Format]:ASCII または HEX。

[MMH Mode]:チェックボックスをオンにすると有効になります。

[Key Permutation]:チェックボックスをオンにすると有効になります。

 

Layer 3 Security

[Layer 3 Security] ドロップダウン リストを使用して、[None]、[VPN Pass Through]、[IPsec] (インターネット プロトコル セキュリティ) のいずれかを選択します。選択肢によって、ページ パラメータが変わります。


) WLAN のタイプに応じて、使用できるレイヤ 3 パラメータと使用できないレイヤ 3 パラメータがあります。



) [VPN Pass Through] を選択した場合は、VPN ゲートウェイ アドレスを入力する必要があります。



) IPsec は、データ ストリーム内の各 IP パケットを認証および/または暗号化して、IP 通信のセキュリティを確保するプロトコル スイートです。また、IPsec には、暗号キーを確立するためのプロトコルも含まれます。


[Web Policy]:認証、パススルー、条件付き Web リダイレクト、または [WebAuth on MAC Filter Failure] などのポリシーを指定するには、このチェックボックスをオンにします。また、このセクションではゲスト ユーザに対してカスタマイズしたログイン ページが表示されるようにもできます。


) パススルーを選択した場合は、[Email Input] チェックボックスが表示されます。ユーザがネットワークに接続しようとしたとき、電子メール アドレスの入力を求める場合は、このチェックボックスをオンにします。


[Preauthentication ACL]:クライアントとコントローラ間のトラフィックに使用される IPv4、IPv6、および WebAuth ACL のリストを示します。


) WLAN の IPv6 ACL マッピングは、リリース 7.2.x 以降のコントローラでサポートされています。


ゲスト ユーザに対して、カスタマイズされたログイン ページが表示されるようにするには、次の手順を実行します。


ステップ 1 [Global WebAuth Configuration] チェックボックスをオフにします。

ステップ 2 [Security] > [Layer 3] タブのドロップダウン リストから、[Web Auth Type] を選択します。

[Default Internal]:ゲスト ユーザに対して、デフォルトのログイン ページが表示されます。

[Customized WebAuth]:[Upload/Download Commands] ページから、カスタマイズされたログイン ページをダウンロードできます。詳細については、「カスタマイズ Web 認証ページのダウンロード」を参照してください。

ドロップダウン リストから、[Web Auth Login Page]、[Web Auth Login Failure Page]、[Web Auth Logout Page] のいずれかを選択します。

カスタマイズしたページを表示しないオプションに対しては、任意のドロップダウン リストで [None] を選択します。

[External]:ゲスト ユーザは、外部のログイン ページにリダイレクトされます。[External Web Auth URL] テキスト ボックスに、ログイン ページの URL を入力します。


) [External] を選択した場合、[Security] > [AAA] ページで最大 3 つの RADIUS および LDAP サーバを選択できます。詳細については、「AAA サーバ」を参照してください。



 

AAA サーバ

現在の WLAN で RADIUS および LDAP サーバを選択して、デフォルト サーバの使用を上書きします。

[RADIUS Servers]:ドロップダウン リストを使用して、認証サーバおよびアカウンティング サーバを選択します。それを選択することで、指定した WLAN のデフォルトの RADIUS サーバが選択され、ネットワークに対して設定されている RADIUS サーバは上書きされます。3 つすべての RADIUS サーバが特定の 1 つの WLAN に対して設定されている場合、優先順位はサーバ 1 が最も高くなります。

[LDAP Servers]:ドロップダウン リストで LDAP サーバを選択しない場合は、Prime Infrastructure はデータベースのデフォルトの LDAP サーバ順序を使用します。

[Local EAP Authorization]:ユーザおよびワイヤレス クライアントのローカル認証を可能にします。この方式は、バックエンド システムが妨害されたり、外部認証サーバでエラーが発生した場合でも、ワイヤレス クライアントへの接続を維持できるように、リモート オフィスで使用する目的で設計されています。

EAP プロファイルを設定している場合は、このチェックボックスをオンにして有効にします。ドロップダウン リストから、プロファイルを選択します。

[Allow AAA Override]:この機能が有効になっていて、クライアントの AAA とコントローラの WLAN の認証パラメータが競合する場合、クライアント認証は AAA サーバで実行されます。

この認証の一部として、オペレーティング システムはクライアントをデフォルトの Cisco WLAN ソリューションから、AAA サーバにより返され、コントローラのインターフェイス設定で事前定義された VLAN に移動します(MAC フィルタリング、802.1X、または WPA 動作用に設定されている場合のみ)。

すべての場合において、オペレーティング システムはまた、QoS、および AAA サーバにより提供される ACL がコントローラ インターフェイス設定で事前に定義されている限り、これらを使用します。(この AAA オーバーライドによる VLAN スイッチングは、 ID ネットワーキング とも呼ばれます)。

AAA オーバーライドを無効にすると、コントローラの認証パラメータ設定がすべてのクライアント認証においてデフォルトで使用され、コントローラ WLAN にクライアント固有の認証パラメータがない場合は、AAA サーバのみによって認証が実行されます。

[QoS] タブ

[Quality of service (QoS)]:ドロップダウン リストから、[Platinum (voice)]、[Gold (video)]、[Silver (best effort)]、[Bronze (background)] のいずれかを選択します。

VoIP などのサービスは、[Gold] に設定する必要があります。テキスト メッセージなど差別的ではないサービスは [Bronze] に設定できます。

[NBAR Visibility]:チェックボックスをオンにすると、アプリケーションの分類を、Network Based Application Recognition(NBAR)のディープ パケット インスペクション テクノロジーに基づいて表示できます。

[AVC Profile]:ドロップダウン リストから、WLAN の Application Visibility and Control(AVC)プロファイルを選択できます。

[Netflow Monitor]:ドロップダウン リストから、WLAN の NetFlow モニタを選択できます。

[Override Per-User Rate Limits]:ワイヤレス レート制限は、アップストリームおよびダウンストリーム トラフィックの両方に定義できます。データ レートをユーザ単位で定義するには、次の項目を設定します。

[Average Data Rate]:[Average Data Rate] テキスト ボックスに Kbps 単位でレートを入力して、ユーザまたは SSID ごとの TCP トラフィックの平均データ レートを定義します。値 0 は、プロファイルに帯域幅の制限を課しません。

[Burst Data Rate]:[Burst Data Rate] テキスト ボックスに Kbps 単位でレートを入力して、ユーザまたは SSID ごとの TCP トラフィックのピーク データ レートを定義します。値 0 は、プロファイルに帯域幅の制限を課しません。burst-data-rate は average-data-rate 以上でなければなりません。それ以外の場合、QoS ポリシーにより、ワイヤレス クライアントとのトラフィックがブロックされることがあります。

[Average Real-Time Rate]:[Average Real-Time Rate] テキスト ボックスに Kbps 単位でレートを入力して、ユーザまたは SSID ごとの UDP トラフィックの平均リアルタイム レートを定義します。値 0 は、プロファイルに帯域幅の制限を課しません。

[Burst Real-Time Rate]:[Burst Real-Time Rate] テキスト ボックスに Kbps 単位でレートを入力して、ユーザまたは SSID ごとの UDP トラフィックのピーク リアルタイム レートを定義します。値 0 は、プロファイルに帯域幅の制限を課しません。burst-realtime-rate は average-realtime-rate 以上でなければなりません。それ以外の場合、QoS ポリシーにより、ワイヤレス クライアントとのトラフィックがブロックされることがあります。

[Override Per-SSID Rate Limits]:データ レートを SSID 単位で定義するには、次の項目を設定します。

[Average Data Rate]:[Average Data Rate] テキスト ボックスに Kbps 単位でレートを入力して、ユーザまたは SSID ごとの TCP トラフィックの平均データ レートを定義します。値 0 は、プロファイルに帯域幅の制限を課しません。

[Burst Data Rate]:[Burst Data Rate] テキスト ボックスに Kbps 単位でレートを入力して、ユーザまたは SSID ごとの TCP トラフィックのピーク データ レートを定義します。値 0 は、プロファイルに帯域幅の制限を課しません。burst-data-rate は average-data-rate 以上でなければなりません。それ以外の場合、QoS ポリシーにより、WLAN のトラフィックがブロックされる場合があります。

[Average Real-Time Rate]:[Average Real-Time Rate] テキスト ボックスに Kbps 単位でレートを入力して、ユーザまたは SSID ごとの UDP トラフィックの平均リアルタイム レートを定義します。値 0 は、プロファイルに帯域幅の制限を課しません。

[Burst Real-Time Rate]:[Burst Real-Time Rate] テキスト ボックスに Kbps 単位でレートを入力して、ユーザまたは SSID ごとの UDP トラフィックのピーク リアルタイム レートを定義します。値 0 は、プロファイルに帯域幅の制限を課しません。burst-realtime-rate は average-realtime-rate 以上でなければなりません。それ以外の場合、QoS ポリシーにより、WLAN のトラフィックがブロックされる場合があります。

WMM パラメータ

[WMM Policy]:[Disabled]、[Allowed](クライアントが WLAN と通信できるようにする)、または [Required](クライアントが通信で WMM を有効にすることを必須とする)を選択します。

[7920 AP CAC]:Cisco 7920 電話でサポートを有効にする場合は、このチェックボックスをオンにします。

[7920 Client CAC]:7920 電話で WLAN に旧バージョンのソフトウェアをサポートさせる場合は、このチェックボックスをオンにして有効にします。CAC の制限は、より新しいバージョンのソフトウェアのアクセス ポイントで設定されます。

[Advanced] タブ

[FlexConnect Local Switching]:FlexConnect ローカル スイッチングを有効にする場合は、このチェックボックスをオンにします。これを有効にすると、FlexConnect のアクセス ポイントはクライアント認証を処理し、クライアント パケットをローカルにスイッチングします。詳細については、「FlexConnect の設定」を参照してください。


) FlexConnect ローカル スイッチングは、Cisco 1130/1240/1250 シリーズ アクセス ポイントのみに適用されます。L2TP、PPTP、CRANITE、FORTRESS 認証ではサポートされていません。WLAN ID 9 ~ 16 には適用されません。


[FlexConnect Local Auth] チェックボックスをオンにして、FlexConnect ローカル認証を有効にします。

ローカル認証は、ラウンドトリップ遅延が 100 ms を超えず、最大伝送単位(MTU)が 500 バイトを下回らない、最小帯域幅が 128 kbps のリモート オフィス設定の基準を維持できない場合に役立ちます。ローカル スイッチングでは、認証機能はアクセス ポイント自体に存在します。そのため、ローカル認証によって、ブランチ オフィスの遅延要件が軽減されます。


) ローカル認証は、ローカル スイッチング モードの FlexConnect AP の WLAN のみで有効にできます。


ローカル認証は、次のシナリオではサポートされません。

FlexConnect ローカル認証を有効にした WLAN では、ゲスト認証は実行できません。

RRM 情報は、FlexConnect ローカル認証を有効にした WLAN のコントローラでは使用不可です。

ローカル RADIUS はサポートされません。

クライアントがいったん認証されると、WLC およびグループ内の他の FlexConnect がクライアント情報で更新された後だけ、ローミングがサポートされます。

[Session Timeout (secs)]:クライアント セッションが再認証を必要とせずに続行できる最大時間を設定します。

[Override Interface ACL]:この WLAN 上のインターフェイスに対して設定されている ACL を上書きする、IPv4 および IPv6 アクセス コントロール リスト(ACL)のリストを表示します。

[Learn Client IP Address]:H-REAP ローカル スイッチングを有効にした場合、[Learn Client IP Address] チェックボックスはデフォルトで有効になります。ただし、クライアントが Fortress レイヤ 2 暗号化を使用するように設定されている場合は、コントローラがそのクライアント IP アドレスを知ることができないので、コントローラはクライアントの接続を定期的に切断します。コントローラがクライアント IP アドレスを知らなくてもクライアント接続を維持できるように、このオプションを無効にしてください。このオプションを無効にできるのは、H-REAP ローカル スイッチングを行うように設定されているときだけです。H-REAP 中央スイッチングを行う場合は、無効にすることはできません。

[VLAN Based Central Switching]:[VLAN based Central Switching] チェックボックスをオンまたはオフにして、ローカルでスイッチされる WLAN 上での AAA でオーバーライドされた VLAN に基づく中央スイッチングを有効または無効にします。

[Central DHCP Processing]:[Central DHCP Processing] チェックボックスをオンまたはオフにして、機能を有効または無効にします。この機能を有効にすると、AP から受信した DHCP パケットは、コントローラに中央でスイッチされ、AP および SSID に基づいて対応する VLAN に転送されます。

[Override DNS]:[Override DNS] チェックボックスをオンまたはオフにして、ローカルでスイッチされる WLAN に割り当てられたインターフェイス上での DNS サーバ アドレスのオーバーライドを有効または無効にします。中央でスイッチされる WLAN 上で DNS をオーバーライドすると、クライアントは、コントローラからではなく AP から DNS サーバの IP アドレスを取得します。

[NAT-PAT]:[NAT-PAT] チェックボックスをオンまたはオフにして、ローカルでスイッチされる WLAN 上でのネットワーク アドレス変換(NAT)およびポートアドレス変換(PAT)を有効または無効にします。NAT および PAT をイネーブルにするには、[Central DHCP Processing] を有効にする必要があります。

[Aironet IE]:この WLAN の Aironet 情報要素(IE)を有効にする場合は、このチェックボックスをオンにします。

Aironet IE のサポートが有効になっている場合、アクセス ポイントは、Aironet IE 0x85(アクセス ポイント名、ロード、アソシエートされたクライアントの番号などを含む)をこの WLAN のビーコンやプローブ応答に格納して送信します。また、アクセス ポイントがアソシエーション要求内の Aironet IE 0x85 を受信する場合、コントローラは、Aironet IE 0x85 および 0x95(コントローラの管理 IP アドレスおよびアクセス ポイントの IP アドレスを含む)を再アソシエーション要求に格納して送信します。

[IPv6]:IPv6 を有効にする場合は、チェックボックスをオンにします。


) IPv6 を有効にするには、[Layer 3 Security] は [None] に設定する必要があります。


[Diagnostic Channel]:診断を有効にする場合はクリックします。有効にした場合、クライアントは診断の目的でこの WLAN に接続できます。


) 診断テストの結果は SNMP テーブルに格納され、Prime Infrastructure はこれらのテーブルをポーリングして結果を表示します。


[Override Interface ACL]:ドロップダウン リストから定義済みのアクセス コントロール リスト(ACL)を選択します。ACL を選択した場合、WLAN は ACL を WLAN にアソシエートします。


) ACL の選択は任意であり、デフォルトは [None] です。


詳細については、「アクセス コントロール リスト テンプレートの設定」を参照してください。

[Peer to Peer Blocking]:ドロップダウン リストから、[Disable]、[Drop]、[Forward-Up Stream] のいずれかを選択します。

このオプションを使用することで、すべての WLAN クライアントについてユニバーサルにピアツーピア ブロックを設定するのではなく、各クライアントについて設定できるようになります。


) コントローラ リリース 7.2.x 以降では、[Forward Up Stream] はローカルでスイッチするクライアントの [Drop] と同じです。


[Wi-Fi Direct Client Policy]:Wi-Fi Direct 対応のデバイス同士は、迅速かつ簡単に直接接続して、印刷、同期、データの共有などのタスクを実行できます。Wi-Fi Direct デバイスは、複数のピアツーピア(P2P)デバイスおよびインフラストラクチャ無線 LAN(WLAN)に同時にアソシエートしている場合があります。コントローラを使用して、WLAN ごとに Wi-Fi Direct クライアント ポリシーを設定できます。ここでは、Wi-Fi デバイスとインフラストラクチャ WLAN とのアソシエーションを許可または禁止したり、WLAN の Wi-Fi Direct クライアント ポリシーをすべて無効にしたりできます。[Wi-Fi Direct Clients Policy] ドロップダウン リストから、次のいずれかのオプションを選択します。

[Disabled]:WLAN の Wi-Fi Direct クライアント ポリシーを無効にして、すべての Wi-Fi Direct 対応クライアントを認証解除します。

[Allow]:Wi-Fi Direct クライアントとインフラストラクチャ WLAN とのアソシエーションを許可します。

[Not-Allow]:Wi-Fi Direct クライアントとインフラストラクチャ WLAN とのアソシエーションを禁止します。


) Wi-Fi Direct クライアント ポリシーは、ローカル モードの AP が含まれる WLAN のみに適用できます。



) Wi-Fi Direct クライアント ポリシーは、リリース 7.2.x 以降のコントローラのみに適用できます。


[Client Exclusion]:自動クライアント除外を有効にする場合は、このチェックボックスをオンにします。これを有効にした場合、無効にしたクライアント マシンに対して、タイムアウト値を秒単位で設定します。

クライアント マシンは MAC アドレスで除外され、そのステータスは監視できます。

0 のタイムアウト設定は、クライアントを再度有効にするには管理制御が必要であることを示します。


) セッション タイムアウトが設定されていない場合、除外されたクライアントはそのまま残り、除外状態からタイムアウトすることはありません。除外機能が無効であることを意味するのではありません。


[Media Session Snooping]:メディア セッション スヌーピングを有効にする場合は、このチェックボックスをオンにします。この機能により、アクセス ポイントは音声コールの確立、終了、および失敗を検出し、それをコントローラおよび Prime Infrastructure にレポートできます。WLAN ごとに有効化または無効化できます。

メディア セッション スヌーピングを有効にした場合、アクセス ポイント無線により、Session Initiation Protocol(SIP)音声パケットに対してこの WLAN スヌープがアドバタイズされます。ポート番号 5060 に宛てた、またはポート番号 5060 からのパケットはいずれも、詳細検査の対象として考慮されます。アクセス ポイントは、Wi-Fi マルチメディア(WMM)および非 WMM クライアントがコールを確立中か、すでにアクティブなコール上にあるか、またはコールの終了処理中であるかをトラッキングし、コントローラに対して主要なコール イベントを通知します。

[KTS based CAC]:WLAN 単位で KTS ベースの CAC サポートを有効にする場合は、このチェックボックスをオンにします。

WLC は、TSPEC ベースの CAC および SIP ベースの CAC をサポートしています。ただし、異なる CAC のプロトコルで稼働する特定の電話があります。これらは、Key Telephone System(KTS)をベースとします。CAC および KTS ベースの SIP クライアントをサポートするには、WLC はこのプロトコルの一部として、特定のその他のメッセージを処理して送信することに加えて、これらのクライアントからの帯域幅要求メッセージを理解して処理し、AP 無線上に要求された帯域幅を割り当てる必要があります。


) KTS CAC 設定は、コントローラ ソフトウェア リリース 7.2.x を実行する Cisco 5508、7500、WISM2、2500 コントローラのみでサポートされています。この機能は、Cisco 4400 シリーズ コントローラではサポートされません。



) 音声パラメータは、[QoS] タブの [quality of service (QoS)] ドロップダウン リストで [Platinum (voice)] を選択した場合のみ表示されます。


[NAC State]:[NAC State] ドロップダウン リストから、[SNMP NAC] または [Radius NAC] を選択します。検出された SIP エラーにより、[Client Troubleshooting] および [Alarms] ページに表示されるトラップが生成されます。コントローラはアウトオブバンドの NAC アプライアンスと統合できます。NAC アプライアンスは、クライアントが分析および解除されるまでデータ パス内に保持されます。アウトオブバンド モードでは NAC アプライアンスのトラフィック負荷が削減されるので、NAC 処理の集中化が可能になります。詳細については、「NAC 統合」を参照してください。


) オープン認証の WLAN 上の RADIUS NAC および MAC フィルタリングを有効にできます。RADIUS NAC によるローカル Web 認証を使用している場合は、レイヤ 3 Web 認証も有効にする必要があります。


[Passive Client]:このチェックボックスをオンにした場合、WLAN 上のパッシブ クライアントが有効になります。

パッシブ クライアントは、スケールおよびプリンタなどの、スタティック IP アドレスが設定されたワイヤレス デバイスです。これらのクライアントは、アクセス ポイントとのアソシエーション中に、IP アドレス、サブネット マスク、ゲートウェイ情報などの IP 情報を一切送信しません。その結果、パッシブ クライアントが使用されている場合、DHCP が使用されている場合を除き、クライアントは IP アドレスを認識できません。

現在、Wireless LAN Controller は ARP 要求のプロキシとして動作します。ARP 要求を受信すると、コントローラはクライアントに直接要求を渡すのではなく、ARP 応答で応答します。これには、2 つの利点があります。

クライアントに ARP 要求を送信するアップストリーム デバイスは、クライアントの場所を特定できません。

すべての ARP 要求に応答する必要がないため、携帯電話およびプリンタなどのバッテリ駆動のデバイスの消費電力を節約できます。

ワイヤレス コントローラは、パッシブ クライアントについての IP を一切持っていないため、いずれの ARP 要求にも応答できません。現在の動作では、ARP 要求のパッシブ クライアントへの転送は許可されていません。そのため、パッシブ クライアントへのアクセスを試行するアプリケーションは、すべて失敗します。

この機能は、ARP 要求と応答を、VLAN/WLAN ごとに有線およびワイヤレス クライアント間で交換できるようにします。この機能により、ユーザは目的の WLAN にプロキシ ARP が存在するかをマークできます。これにより、クライアントが RUN 状態になるまで、コントローラが ARP 要求を渡すことができるようになります。


) この機能は、5500 および 2100 シリーズ コントローラのみでサポートされています。


[DTIM Period (in beacon intervals)]:802.11a/n および 802.11b/g/n の場合、ワイヤレス媒体での DTIM パケットの送信頻度を指定します。この期間は、バージョン 6.0 以降のすべてのコントローラで、すべての WLAN(ゲスト WLAN を除く)に対して設定できます。

DHCP

[DHCP Server]:DHCP サーバを上書きする場合は、このチェックボックスをオンにして、DHCP サーバの IP アドレスを入力します。


) 一部の WLAN 設定では、この設定は必須です。


[DHCP Addr.Assignment]:[Required] チェックボックスをオンにした場合、この WLAN に接続しているクライアントは、デフォルトの DHCP サーバから IP アドレスを取得します。

管理フレーム保護(MFP)

[MFP Signature Generation]:このチェックボックスがオンの場合、この WLAN にアソシエートされているアクセス ポイントにより送信される 802.11 管理フレームのシグニチャ生成が可能です。シグニチャ生成によって、侵入者による送信された管理フレームへの変更が、検出および報告されます。

[MFP Client Protection]:個別の WLAN 設定について、ドロップダウン リストから [Enabled]、[Disabled]、[Required] のいずれかを選択します。


) [Enabled] なパラメータは、WLC グラフィカル ユーザ インターフェイスの [MFP Client Protection] ドロップダウン リストで選択する [Optional] パラメータと同じです。


[MFP Version]:管理フレーム保護のバージョンを表示します。


) クライアント側の MFP は、CCXv5(以降)のクライアントをサポートするように設定された WLAN のみに対して使用できます。また、最初に WPA1 を設定する必要があります。


[Foreign Controller Mapping]:外部コントローラのマッピングを設定する場合は、このリンクをクリックします。外部コントローラ設定ページに移動します。この設定ページでは、[Foreign Controller] ドロップダウン リストから外部コントローラを選択し、[Interface/Interface Group] ドロップダウン リストからインターフェイスまたはインターフェイス グループを選択します。必要なオプションを選択したら、[Add] をクリックして外部コントローラの追加を完了します。

[Client Profiling]:WLAN に関連付けられたすべてのクライアントのプロファイリングを有効または無効にする場合は、このチェックボックスを選択します。


) FlexConnect ローカル認証では、[Client Profiling] はサポートされていません。



) [Client Profiling] は、[DHCP Address Assignment] チェックボックスをオンにした場合のみ設定できます。



) [Client profiling] は、コントローラ リリース 7.2.x でサポートされます。


[mDNS Snooping]:WLAN の mDNS スヌーピングを有効にする場合は、[mDNS Snooping] チェックボックスをオンにします。

[mDNS Profile]:[mDNS Profile] ドロップダウン リストから、WLAN の mDNS プロファイルを選択できます。デフォルト値は default-mdns-profile です。


 

モバイル コンシェルジュの設定(802.11u)

モバイル コンシェルジュは、外部ネットワークで相互運用できるように 802.1X 対応クライアントを有効にするソリューションです。モバイル コンシェルジュ機能は、クライアントにサービスのアベイラビリティに関する情報を提供し、使用可能なネットワークをアソシエートするのに役立ちます。

ネットワークから提供されるサービスは、次の 2 つのプロトコルに大きく分類できます。

802.11u MSAP

802.11u HotSpot 2.0

モバイル コンシェルジュには、次のガイドラインと制限事項が適用されます。

モバイル コンシェルジュは FlexConnect アクセス ポイントではサポートされません。

802.11u 設定アップロードはサポートされません。設定のアップグレードを実行し、設定をコントローラにアップロードすると、WLAN の HotSpot の設定は失われます。

モバイル コンシェルジュ(802.11u)グループを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[WLANs] > [WLAN Configuration] の順に選択します。

ステップ 4 [Hot Spot] タブをクリックします。

ステップ 5 [General] タブで、次のフィールドを設定します。

[802.11u Status] チェックボックスをオンにして WLAN の 802.11u を有効にします。

[Internet Access] チェックボックスを選択して、この WLAN からインターネット サービスを提供できるようにします。

[Network Type] ドロップダウン リストから、この WLAN に設定する 802.11u を表すネットワーク タイプを選択します。次のオプションを使用できます。

Private Network

Private Network with Guest Access

Chargeable Public Network

Free Public Network

Emergency Services Only Network

Personal Device Network

Test or Experimental

Wildcard

このネットワークの 802.11u パラメータ用に設定する認証タイプを選択します。

Not configured

Acceptance of Terms and Conditions

Online Enrollment

HTTP/HTTPS Redirection

[HESSID] フィールドに、Homogenous Extended Service Set Identifier 値を入力します。HESSID は、HESS を識別する 6 オクテットの MAC アドレスです。

ステップ 6 [Others] タブで、次のフィールドを設定します。

[OUI List] グループ ボックスで、次の詳細情報を入力します。

OUI name

Is Beacon

OUI Index

[Add] をクリックして、OUI(組織固有識別子)エントリをこの WLAN に追加します。

[Domain List] グループ ボックスで、次の詳細情報を入力します。

[Domain Name]:802.11 アクセス ネットワークで稼働するドメイン名。

[Domain Index]:ドロップダウン リストからドメイン インデックスを選択します。

[Add] をクリックして、ドメイン エントリをこの WLAN に追加します。

ステップ 7 [Realm] タブで、次のフィールドを設定します。

[OUI List] セクションで、次の詳細情報を入力します。

[Realm Name]:レルム名。

[Realm Index]:レルム インデックス。

[Add] をクリックして、ドメイン エントリをこの WLAN に追加します。

ステップ 8 [Service Advertisement] タブで、次のフィールドを設定します。

[MSAP Enable] チェックボックスをオンにし、サービス アドバタイズメントを有効にします。

前のステップで MSAP を有効にした場合は、サーバ インデックスを提供する必要があります。この WLAN のサーバ インデックスを入力します。サーバのインデックス フィールドによって、BSSID を使用して到達可能である場所を提供する MSAP サーバ インスタンスを一意に識別します。


) MSAP(Mobility Services Advertisement Protocol)は、ネットワーク接続を確立するためのポリシー セットを使用して設定されたモバイル デバイスで主に使用するために設計されています。これらのサービスは、上位層サービスを提供するデバイス、つまりサービス プロバイダー経由で有効にされるネットワーク サービス向けです。サービス アドバタイズメントは、MSAP を使用して、Wi-Fi アクセス ネットワークへのアソシエーションの前にサービスをモバイル デバイスに提供します。この情報はサービス アドバタイズメントで伝送されます。シングルモードまたはデュアルモード モバイル デバイスは、アソシエーションの前にサービス ネットワークをネットワークにクエリーします。デバイスによるネットワークの検出および選択機能では、ネットワークに join する判断においてサービス アドバタイズメントを使用する場合があります。


ステップ 9 [HotSpot 2.0] タブで、次のフィールドを設定します。

[HotSpot2 Enable] ドロップダウン リストから [Enable] オプションを選択します。

[WAM Metrics] グループ ボックスで、次の項目を指定します。

[WAN Link Status]:リンク ステータス。有効な範囲は 1 ~ 3 です。

[WAN SIM Link Status]:対称リンク ステータス。たとえば、アップリンクとダウンリンクに異なる速度または同じ速度を設定できます。

[Down Link Speed]:ダウンリンク速度。最大値は 4,194,304 kbps です。

[Up Link Speed]:アップリンク速度。最大値は 4,194,304 kbps です。

[Operator Name List] グループ ボックスで、次の項目を指定します。

[Operator Name]:802.11 オペレータの名前を指定します。

[Operator Index]:オペレータ インデックスを選択します。範囲は 1 ~ 32 です。

[Language Code]:言語を定義する ISO-14962-1997 エンコード文字列。この文字列は 3 文字の言語コードです。

[Add] をクリックして、オペレータの詳細を追加します。オペレータの詳細が表形式で表示されます。

[Port Config List] で、次の項目を指定します。

[IP Protocol]:有効にしたい IP プロトコル。次のオプションは、ESP、FTP、ICMP、および IKEV2 です。

[Port No]:この WLAN で有効になっているポート番号。

[Status]:ポートのステータス。

ステップ 10 [Save] をクリックします。


 

WLAN の追加

WLAN を追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[WLANs] > [WLAN Configuration] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから、[Add a WLAN] を選択します。

ステップ 5 [Go] をクリックして、[WLAN Details: Add from Template] ページを開きます。

ステップ 6 [Select a template to apply to this controller] ドロップダウン リストからテンプレートを選択します。

ステップ 7 [Apply] をクリックします。


) WLAN のテンプレートを作成するには、このページの [click here] リンクを使用するか、[Configure] > [Controller Template Launch Pad] > [WLANs] > [WLAN] の順に選択します。



 

WLAN の削除

WLAN を削除するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[WLANs] > [WLAN Configuration] の順に選択します。

ステップ 4 削除する WLAN のチェックボックスをオンにします。

ステップ 5 [Select a command] ドロップダウン リストから [Delete a WLAN] を選択します。

ステップ 6 [Go] をクリックします。

ステップ 7 [OK] をクリックして、削除を実行します。


 

WLAN ステータス スケジュールの管理

Prime Infrastructure では、特定のコントローラ上で、複数の WLAN のステータスを一度に変更できます。複数の WLAN を選択して、そのステータスが変更される日時を選択できます。

複数の WLAN のステータス変更をスケジュールするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[WLANs] > [WLAN Configuration] の順に選択します。

ステップ 4 ステータス変更をスケジュールする WLAN のチェックボックスをオンにします。

ステップ 5 [Select a command] ドロップダウン リストから、[Schedule Status] を選択して [WLAN Schedule Task Detail] ページを開きます。

選択した WLAN は、ページの上部にリストされます。

ステップ 6 スケジュール設定済みタスク名を入力して、このステータス変更スケジュールを特定します。

ステップ 7 ドロップダウン リストから、新しい管理ステータス([Enabled] または [Disabled])を選択します。

ステップ 8 スケジュール時刻を、[hours] および [minutes] ドロップダウン リストを使用して選択します。

ステップ 9 カレンダー アイコンをクリックしてスケジュール日を選択するか、テキスト ボックスに日付を入力します(MM/DD/YYYY 形式)。

ステップ 10 適切な [Recurrence] オプション ボタンを選択して、ステータス変更の頻度を決めます([Daily]、[Weekly]、または [No Recurrence])。

ステップ 11 [Submit] をクリックしてステータス変更スケジュールを開始します。


) WLAN 設定のスケジュール済みタスクの結果の詳細については、「WLAN 設定のスケジュール設定されたタスク結果の表示」を参照してください。



 

モビリティ アンカー

モビリティ アンカーは、WLAN のアンカーとして定義された、1 つ以上のコントローラです。クライアント(ラップトップなどの 802.11 モバイル ステーション)は、常にいずれかのアンカーに接続しています。

この機能は、クライアントのネットワークへのエントリ ポイントに関係なく、WLAN を 1 つのサブネットに制限する際に使用されます。これによって、ユーザは企業全体にわたりパブリック WLAN やゲスト WLAN にアクセスできますが、引き続き特定のサブネットに制限されます。また、WLAN は建物の特定のセクション(ロビー、レストランなど)を表すことができるため、ゲスト WLAN で地理的ロード バランシングを実現できます。

クライアントが WLAN のモビリティ アンカーとして事前設定されているモビリティ グループのコントローラに最初にアソシエートすると、クライアントはローカルでそのコントローラにアソシエートし、クライアントのローカル セッションが作成されます。クライアントは、WLAN の事前設定されたアンカー コントローラにのみアンカーできます。指定された WLAN の場合、モビリティ グループのすべてのコントローラ上で同じセットのアンカー コントローラを設定する必要があります。

クライアントが、WLAN のモビリティ アンカーとして設定されていないモビリティ グループのコントローラに最初にアソシエートすると、クライアントはローカルでそのコントローラにアソシエートし、ローカル セッションがクライアントのために作成され、コントローラは同じモビリティ グループの別のコントローラへ通知されます。その通知に対する回答がない場合、コントローラは WLAN に設定されたいずれかのアンカー コントローラに連絡をとり、ローカルスイッチ上のクライアントに対する外部セッションを作成します。クライアントからのパケットは暗号化され、有線ネットワークに配信されます。クライアントへのパケットは、アンカー コントローラで受信され、EtherIP を使用してモビリティ トンネルを介して外部コントローラへ転送されます。外部コントローラはパケットのカプセルを解除し、クライアントへ転送します。


) 2000 シリーズ コントローラを WLAN のアンカーとして指定できません。ただし、2000 シリーズ コントローラ上に作成された WLAN に 4100 シリーズ コントローラまたは 4400 シリーズ コントローラをアンカーとして指定できます。



) L2TP レイヤ 3 セキュリティ ポリシーは、モビリティ アンカーで設定された WLAN には使用できません。


特定の WLAN のモビリティ アンカーのステータスをリアルタイムで表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[WLANs] > [WLAN Configuration] の順に選択します。

ステップ 4 [WLAN ID] をクリックして、特定の WLAN のパラメータを表示します。

ステップ 5 [Advanced] タブをクリックします。

ステップ 6 [Mobility Anchors] リンクをクリックします。 表 9-3 では、表示されるパラメータについて説明します。

 

表 9-3 モビリティ アンカー

フィールド
説明

Mobility Anchor

アンカーの IP アドレス。

Status

アンカーの現在のステータス。たとえば、[reachable] または [unreachable] です。


 

WLAN AP グループの設定

サイト固有の VLAN または AP グループは、WLAN を異なるブロードキャスト ドメインにセグメント化することで、ブロードキャスト ドメインを最小に制限します。これには、ロード バランシングおよび帯域割り当てをより効率的に管理できるなどの利点があります。

このページを開くには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 コントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[WLAN] > [AP Groups] の順に選択します。

このページには、ネットワーク上に設定されている AP グループのサマリーが表示されます。ここで、AP グループの追加、削除、詳細の表示が可能です。[Access Points] タブで AP グループ名をクリックして、そのアクセス ポイントを表示または編集します。[WLAN Profiles] タブをクリックして、WLAN プロファイルを表示、編集、追加、または削除します。


 

アクセス ポイント グループの追加

新しいアクセス ポイント グループを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 コントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[WLAN] > [AP Groups] の順に選択します。


) AP グループ(5.2 以降のコントローラ)は、5.2 よりも前のコントローラでは AP グループ VLAN と呼ばれます。


ステップ 4 [Select a command] ドロップダウン リストから、[Add AP Groups] を選択します。

ステップ 5 [Go] をクリックします。

[AP Groups] の [Details] ページで、このアクセス ポイント グループにアクセス ポイントおよび WLAN プロファイルを追加できます。

ステップ 6 アクセス ポイント グループの名前およびグループの説明を入力します。


) グループの説明はオプションです。


ステップ 7 グループにアクセス ポイントを追加するには、次の手順を実行します。

a. [Access Points] タブをクリックします。

b. [Add] をクリックします。アクセス ポイント ページには、使用できるアクセス ポイントのパラメータが表示されます。アクセス ポイントの名前をクリックして、使用できるアクセス ポイントのいずれか 1 つのパラメータを表示または編集します。

c. 追加するアクセス ポイントのチェックボックスをオンにします。

d. [Select] をクリックします。

ステップ 8 WLAN プロファイルを追加するには、[WLAN Profiles] タブをクリックして、次のパラメータを設定します。

a. [Add] をクリックします。


) 使用可能なすべての WLAN プロファイル名を表示するには、テキスト ボックスから現在の WLAN プロファイル名を削除します。テキスト ボックスから現在の WLAN プロファイルの名前を削除すると、使用可能なすべての WLAN プロファイルがドロップダウン リストに表示されます。



) 各アクセス ポイントは 16 個の WLAN プロファイルに限定されます。各アクセス ポイントは、WLAN override 機能が有効にされない限り、すべての WLAN プロファイルをブロードキャストします。WLAN override 機能によって、アクセス ポイントごとに 16 個の任意の WLAN プロファイルを無効にできます。



) WLAN override 機能は、512 WLAN 機能をサポートしていない(最大 512 個の WLAN プロファイルをサポートできる)古いコントローラのみに適用されます。


b. WLAN プロファイル名を入力するか、[WLAN Profile Name] ドロップダウン リストからいずれか 1 つを選択します。

c. インターフェイス/インターフェイス グループを入力するか、[Interface/Interface Group] ドロップダウン リストからいずれか 1 つを選択します。


) 使用できるすべてのインターフェイスを表示するには、[Interface] テキスト ボックスから現在のインターフェイスを削除します。[Interface] テキスト ボックスから現在のインターフェイスを削除すると、使用可能なすべてのインターフェイスがドロップダウン リストに表示されます。


d. 該当する場合は、[NAC Override] チェックボックスをオンにします。デフォルトでは、NAC の上書きは無効になっています。

e. アクセス ポイントおよび WLAN プロファイルを追加したら、[Save] をクリックします。

ステップ 9 RF プロファイルを追加するには、[RF Profiles] タブをクリックして、次のパラメータを設定します。

[802.11a]:ドロップダウン リストから、802.11a 無線 AP の RF プロファイルを選択できます。

[802.11b]:ドロップダウン リストから、802.11b 無線 AP の RF プロファイルを選択できます。

RF プロファイルを追加したら、[Save] をクリックします。


) 新しい RF プロファイルを追加するには、[Click here] リンクを使用します。詳細については、「RF プロファイル テンプレートの設定(802.11)」を参照してください。



) AP グループの WLAN インターフェイス マッピングを変更すると、このグループの FlexConnect AP のローカル VLAN マッピングが削除されます。これらのマッピングは、この変更を適用した後に再度設定する必要があります。



 

アクセス ポイント グループの削除

アクセス ポイント グループを削除するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 コントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[WLAN] > [AP Groups] の順に選択します。

ステップ 4 削除するアクセス ポイント グループのチェックボックスをオンにします。

ステップ 5 [Select a command] ドロップダウン リストから [Delete AP Groups] を選択します。

ステップ 6 [OK] をクリックして、削除を実行します。


 

アクセス ポイント グループの監査

アクセス ポイント グループを監査して、Prime Infrastructure とデバイスの値が異なるかどうかを特定できます。

アクセス ポイント グループを監査するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 コントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[WLAN] > [AP Groups] の順に選択します。

ステップ 4 監査するアクセス ポイント グループの名前をクリックします。


) ページの一番下にある [Audit] をクリックします。



 

FlexConnect パラメータの設定

FlexConnect により、顧客は各オフィスにコントローラを導入しなくても、本社オフィスからワイドエリア ネットワーク(WAN)リンク経由で、支社またはリモート オフィスのアクセス ポイントを設定および制御できるようになります。ロケーションごとに導入できる FlexConnect のアクセス ポイント数は無制限です。FlexConnect アクセス ポイントは、クライアント データ トラフィックをローカルで切り替えて、コントローラへの接続が失われるとクライアント認証をローカルで実行できます。コントローラに接続されているときには、トラフィックをコントローラに送り返すこともできます。

「FlexConnect AP グループの設定」

「FlexConnect グループの監査」

FlexConnect AP グループの設定

既存の FlexConnect AP グループのリストを表示するには、次の手順に従います。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[FlexConnect] > [FlexConnect AP Groups] の順に選択します。[FlexConnect AP Groups] ページが開きます。

[Group Name]:FlexConnect AP グループの名前。グループ名をクリックすると、その詳細が表示されます。


) 削除するグループを選択するには、チェックボックスを使用します。



 

FlexConnect AP グループの設定

FlexConnect アクセス ポイント グループを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[FlexConnect] > [FlexConnect AP Groups] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから、[Add FlexConnect AP Group] をクリックして [FlexConnect AP Group] > [Add From Template] ペインを開きます。

ステップ 5 [Select a template to apply to this controller] ドロップダウン リストからテンプレートを選択します。

ステップ 6 [Apply] をクリックします。


) 既存の FlexConnect AP Group を変更するには、[FlexConnect AP Group] ページの [Group Name] 列で既存のグループをクリックします。
既存のグループを削除するには、削除するグループのチェックボックスをオンにして、[Select a command] ドロップダウン リストから [Delete FlexConnect AP Group] を選択します。


ステップ 7 次の FlexConnect AP グループ パラメータを設定します。

[General] タブ

[Template Name]:このコントローラに適用されているテンプレートの名前。

[Primary Radius]:ドロップダウン リストから、コントローラ上に存在するプライマリ RADIUS 認証サーバを選択します。


) RADIUS 認証サーバがコントローラ上にない場合は、Prime Infrastructure で設定した RADIUS サーバは適用されません。



) Prime Infrastructure の FlexConnect RADIUS サーバ設定を適用する前に、コントローラ上で RADIUS サーバ設定を設定する必要があります。


[Secondary Radius]:ドロップダウン リストから、コントローラ上に存在するセカンダリ RADIUS 認証サーバを選択します。


) RADIUS 認証サーバがコントローラ上にない場合は、Prime Infrastructure で設定した RADIUS サーバは適用されません。


[FlexConnect AP] タブ

[Ethernet MAC]:FlexConnect グループに適用するには、このチェックボックスをオンにします。


) AP のイーサネット MAC アドレスは、同じコントローラ上の複数の FlexConnect グループには存在できません。AP イーサネット MAC が別の FlexConnect グループにすでに存在する場合、その AP イーサネット MAC を FlexConnect グループに設定することは、コントローラでは許可されていません。


[Add AP]:クリックして、既存の FlexConnect グループに追加の FlexConnect AP(Prime Infrastructure に存在しているもの)を追加します。[Add AP] をクリックした場合、この FlexConnect グループの一部であるアクセス ポイントのみがリストされます。

ステップ 8 FlexConnect グループのローカル認証を有効にするには、[FlexConnect Configuration] タブをクリックします。


) [General] タブで、[Primary RADIUS Server] パラメータと [Secondary RADIUS Server] パラメータが [None] に設定されていることを確認します。


ステップ 9 この FlexConnect グループのローカル認証を有効にするには、[FlexConnect Local Authentication Enable] チェックボックスをオンにします。デフォルト値はオフです。

ステップ 10 FlexConnect アクセス ポイントが LEAP を使用してクライアントを認証できるようにするには、[LEAP] チェックボックスを選択します。それ以外の場合は、FlexConnect アクセス ポイントが EAP-FAST を使用してクライアントを認証できるようにするには、[EAP-FAST] チェックボックスを選択します。

[EAP-FAST] チェックボックスを選択した場合は、EAP-FAST キーを指定して、EAP-FAST キーを確定する必要があります。

ステップ 11 Protected Access Credential(PAC)をプロビジョニングする方法に応じて、次のいずれかを実行します。

手動の PAC プロビジョニングを使用するには、[EAP=FAST Key] テキスト ボックスに、PAC の暗号化と暗号化解除に使用するキーを入力します。キーは 32 桁の 16 進数文字である必要があります。

PAC プロビジョニング中に PAC のないクライアントに自動的に PAC を送信できるようにするには、[Ignore Server Key] チェックボックスをオンにします。

ステップ 12 [EAP-FAST Authority ID] テキスト ボックスに EAP-FAST サーバの認証局 ID を入力します。識別子は 32 桁の 16 進数文字である必要があります。

ステップ 13 [EAP-FAST Authority Info] テキスト ボックスに EAP-FAST サーバの認証局 ID に関する情報をテキスト形式で入力します。32 桁までの 16 進数文字を入力できます。

ステップ 14 編集テキスト ボックスに PAC が表示される秒数を [EAP-FAST PAC Timeout] テキスト ボックスに入力することにより、PAC タイムアウト値を指定します。有効範囲は 2 ~ 4095 秒です。


) 個々のアクセス ポイントが FlexConnect グループに属していることを確認するには、[Users configured in the group] リンクをクリックします。[FlexConnect AP Group] ページが開き、各グループの名前と、そのグループに属しているアクセス ポイントが表示されます。


ステップ 15 [Image Upgrade] タブをクリックし、次の項目を設定します。

[FlexConnect AP Upgrade]:FlexConnect アクセス ポイントをアップグレードする場合は、このチェックボックスをオンにします。

[Slave Maximum Retry Count]:スレーブが FlexConnect グループ内のマスターからのダウンロード開始を試行する最大回数を指定します。このオプションは、[FlexConnect AP Upgrade] チェックボックスをオンにした場合のみ使用できます。


) [General] タブで [FlexConnect AP Upgrade] チェックボックスが有効になっている場合に限り、アクセス ポイントをマスター アクセス ポイントとして追加できます。


ステップ 16 [VLAN-ACL Mapping] タブをクリックして、VLAN ACL マッピングを表示、追加、編集、または削除します。

a. [Add Row] をクリックします。

b. VLAN ID を入力します。有効な VLAN ID の範囲は 1 ~ 4094 です。

c. [Ingress ACL] ドロップダウン リストから、入力 ACL を選択します。

d. [Egress AC] ドロップダウン リストから、出力 ACL を選択します。

e. [Save] をクリックします。

ステップ 17 [WLAN-ACL Mapping] タブをクリックし、外部 Web 認証用の FlexConnect アクセス コントロール リストを選択します。

a. [Add Row] をクリックします。

b. [WLAN Profile Name] ドロップダウン リストから、WLAN プロファイルを選択します。

c. [WebAuth ACL] ドロップダウン リストから、WebAuth ACL を選択します。

d. [Save] をクリックします。


) 最大 16 個の WebAuth ACL を追加できます。


ステップ 18 [WebPolicy ACL] タブをクリックし、Web ポリシーとして追加する FlexConnect アクセス コントロール リストを選択します。

a. [Add Row] をクリックします。

b. [Web-Policy ACL] ドロップダウン リストから、WebPolicy ACL を選択します。

c. [Save] をクリックします。


) 最大 16 個の Web-Policy ACL を追加できます。


ステップ 19 [Local Split] タブをクリックして、Local Split ACL マッピングを表示、追加、編集、または削除します。

a. [Add Row] をクリックします。

b. [WLAN Profile Name] ドロップダウン リストから、WLAN プロファイルを選択します。


) FlexConnect 中央スイッチング WLAN だけが [WLAN Profile Name] ドロップダウン リストに表示されます。


c. [Local-Split ACL] ドロップダウン リストから、FlexConnect ACL を選択します。

d. [Save] をクリックします。

ステップ 20 [Central DHCP] タブをクリックして、中央 DHCP の処理を表示、追加、編集、または削除します。

a. [Add Row] をクリックします。

b. [WLAN Profile Name] ドロップダウン リストから、WLAN プロファイルを選択します。


) FlexConnect ローカル スイッチング WLAN だけが [WLAN Profile Name] ドロップダウン リストに表示されます。


c. [Central DHCP] ドロップダウン リストから、[Enable] または [Disable] を選択します。この機能を有効にすると、AP から受信した DHCP パケットは、コントローラに中央でスイッチされ、AP および SSID に基づいて対応する VLAN に転送されます。

d. [Override DNS] ドロップダウン リストから、[Enable] または [Disable] を選択します。ローカルでスイッチされる WLAN に割り当てられたインターフェイス上での DNS サーバ アドレスのオーバーライドを有効または無効にできます。中央でスイッチされる WLAN 上で DNS をオーバーライドすると、クライアントは、コントローラからではなく AP から DNS サーバの IP アドレスを取得します。

e. [NAT-PAT] ドロップダウン リストで、[Enable] または [Disable] を選択します。ローカルでスイッチされる WLAN 上でのネットワーク アドレス変換(NAT)およびポート アドレス変換(PAT)を有効または無効にできます。NAT および PAT をイネーブルにするには、[Central DHCP Processing] を有効にする必要があります。

f. [Save] をクリックします。

ステップ 21 [Save] をクリックします。


 

FlexConnect グループの監査

FlexConnect 設定が Prime Infrastructure またはコントローラ上で時間とともに変化した場合は、設定を監査できます。変更は、後続のページで表示できます。Prime Infrastructure またはコントローラをリフレッシュして設定を同期するように指定できます。

セキュリティ パラメータの設定

ここでは、次の内容について説明します。

「コントローラのファイル暗号化の設定」

「[Controllers] > [IPaddr] > [Security] > [AAA] の設定」

「[Controllers] > [IPaddr] > [Security] > [Local EAP] の設定」

「ユーザ ログイン ポリシーの設定」

「手動で無効にしたクライアントの管理」

「アクセス コントロール リストの設定」

「CPU アクセス コントロール リストの設定」

「IDS センサー リストの設定」

「CA 証明書の設定」

「ID 証明書の設定」

「[Controllers] > [IPaddr] > [Security] > [Web Auth Certificate] の設定」

「ワイヤレス保護ポリシーの設定」

「不正ポリシーの設定」

「不正 AP ルールの設定」

「クライアント除外ポリシーの設定」

「コントローラの標準シグニチャ パラメータの設定」

「カスタム シグニチャの設定」

「AP 認証および MFP の設定」

コントローラのファイル暗号化の設定

コントローラのファイル暗号化を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [File Encryption] の順に選択します。ファイル暗号化により、TFTP サーバへのコントローラ コンフィギュレーション ファイルのアップロードまたはダウンロードの際に、データが必ず暗号化されるようになります。

ファイル暗号化パラメータは次のとおりです。

[File Encryption]:このオプションを有効にした場合、コントローラ コンフィギュレーション ファイルが TFTP サーバを介してアップロードまたはダウンロードされる際に、コントローラ コンフィギュレーション ファイル内のデータが暗号化されます。

[Encryption Key]:正確に 16 文字のテキスト文字列。

[Confirm Encryption Key]:暗号キーを入力します。


 

AAA の一般パラメータの設定

[General] ページでは、コントローラ上のローカル データベース エントリを設定できます。

ローカル データベース エントリを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [General] の順に選択します。

ステップ 4 許可されるデータベース エントリの最大数を入力します。この数は、次回リブート時に有効になります。有効な範囲は 512 ~ 2048 です。


 

AAA RADIUS 認証サーバの設定

既存の RADIUS 認証サーバのサマリーを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [RADIUS Auth Servers] の順に選択します。次の RADIUS Auth Servers パラメータが表示されます。

[Server Index]:RADIUS サーバのアクセス プライオリティ番号(表示のみ)。[Configure IPaddr] > [RADIUS Authentication Server] の順にクリックして移動します。

[Server Address]:RADIUS サーバの IP アドレス(読み取り専用)。

[Port Number]:コントローラ ポート番号(読み取り専用)。

[Admin Status]:[Enabled] または [Disabled]。

[Network User]:[Enabled] または [Disabled]。

[Management User]:[Enabled] または [Disabled]。


 

認証サーバの追加

認証サーバを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [RADIUS Auth Servers] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから [Add Auth Server] 選択して、[Radius Authentication Server] > [Add From Template] ページを開きます。

ステップ 5 [Select a template to apply to this controller] ドロップダウン リストからテンプレートを選択します。

ステップ 6 [Apply] をクリックします。


) RADIUS 認証サーバのテンプレートを新規作成するには、[Configure] > [Controller Templates] > [Security] > [RADIUS Auth Servers] の順に選択します。



 

AAA RADIUS アカウンティング サーバの設定

既存の RADIUS アカウンティング サーバのサマリーを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [RADIUS Acct Servers] の順に選択します。RADIUS Acct Server パラメータには、次のようなものがあります。

[Server Index]:RADIUS サーバのアクセス プライオリティ番号(読み取り専用)。クリックして [Radius Acct Servers Details] ページを開きます。


) 現在のアカウンティング サーバのパラメータを編集または監査するには、該当するアカウンティング サーバのサーバ インデックスをクリックします。


[Server Address]:RADIUS サーバの IP アドレス(読み取り専用)。

[Port Number]:コントローラ ポート番号(読み取り専用)。

[Admin Status]:[Enabled] または [Disabled]。

[Network User]:[Enabled] または [Disabled]。


 

コマンド ボタン

Save

Audit

アカウンティング サーバの追加

アカウンティング サーバを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [RADIUS Acct Servers] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから [Add Acct Server] 選択して、[Radius Acct Servers Details] > [Add From Template] ページを開きます。

ステップ 5 [Select a template to apply to this controller] ドロップダウン リストからテンプレートを選択します。

ステップ 6 ドロップダウン リストから、このテンプレートに適用するコントローラを選択します。

ステップ 7 [Apply] をクリックします。


) RADIUS アカウンティング サーバのテンプレートを新規作成するには、[Configure] > [Controller Templates Launch Pad] > [Security] > [RADIUS Acct Servers] の順に選択します。



 

アカウンティング サーバの削除

アカウンティング サーバを削除するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [RADIUS Acct Servers] の順に選択します。

ステップ 4 該当するアカウンティング サーバのチェックボックスをオンにします。

ステップ 5 [Select a command] ドロップダウン リストから [Delete Acct Server] を選択します。

ステップ 6 [Go] をクリックします。

ステップ 7 ポップアップ ダイアログボックスで [OK] をクリックして、削除を確定します。


 

AAA RADIUS フォールバック パラメータの設定

RADIUS フォールバック パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [RADIUS Fallback] の順に選択します。

ステップ 4 次のパラメータを追加または変更します。

RADIUS:FallbackMode

Username

Time Interval

ステップ 5 [Save] をクリックします。


) [Audit] をクリックして、Prime Infrastructure およびコントローラの現在の設定ステータスをチェックします。



 

AAA LDAP サーバの設定

このページでは、このコントローラに対して LDAP サーバを追加および削除できます。

[LDAP Servers] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [LDAP Servers] の順に選択します。

このページには、現在このコントローラが使用している LDAP サーバが表示されます。次のパラメータが含まれます。

[Check box]:チェックボックスをオンにして、削除する LDAP サーバを選択します。

[Server Index]:LDAP サーバを識別するために割り当てられた番号。


) LDAP サーバの設定ページに移動するには、インデックス番号をクリックします。


[Server Address]:LDAP サーバの IP アドレス。

[Port Number]:LDAP サーバとの通信に使用されるポート番号。

[Admin Status]:サーバ テンプレートのステータス。

LDAP サーバ テンプレートの使用が有効か無効かを示します。


) 列のタイトルがリンクの場合は、そのリンクをクリックして昇順と降順を切り替えできます。



) 現在、Prime Infrastructure では匿名バインドおよび認証済みバインドの両方の LDAP 設定がサポートされています。詳細については、「新しい LDAP バインド要求の設定」を参照してください。



 

LDAP サーバの [Select a command] ドロップダウン リスト オプション

LDAP サーバの追加

LDAP サーバを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [LDAP Servers] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから [Add LDAP Server] を選択します。

ステップ 5 [Go] をクリックします。


 

LDAP サーバの削除

LDAP サーバを削除するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [LDAP Servers] の順に選択します。

ステップ 4 削除する LDAP サーバのチェックボックスをオンにします。

ステップ 5 [Select a command] ドロップダウン リストから [Delete LDAP Servers] を選択します。

ステップ 6 [Go] をクリックします。


 

新しい LDAP バインド要求の設定

現在、Prime Infrastructure では匿名バインドおよび認証済みバインドの両方の LDAP 設定がサポートされています。バインドは、検索処理を実行する空きソケットです。

LDAP バインド要求を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 左側のサイドバーのメニューから、[Security] > [AAA] > [LDAP Servers] の順に選択します。

ステップ 3 [Bind Type] ドロップダウン リストから、[Authenticated] または [Anonymous] を選択します。[Authenticated] を選択した場合、バインド ユーザ名およびパスワードも入力する必要があります。

ステップ 4 [Server User Base DN] テキスト ボックスに、ユーザすべてのリストを含む LDAP サーバ内のサブツリーの識別名を入力します。

ステップ 5 [Server User Attribute] テキスト ボックスに LDAP サーバのユーザ名を含む属性を入力します。

ステップ 6 [Server User Type] テキスト ボックスにユーザを識別する ObjectType 属性を入力します。

ステップ 7 [Retransmit Timeout] テキスト ボックスに再転送までの時間を秒単位で入力します。有効な範囲は 2 ~ 30 秒で、デフォルト値は 2 秒です。

ステップ 8 LDAP サーバに管理権限を持たせる場合は、[Admin Status] チェックボックスをオンにします。

ステップ 9 [Save] をクリックします。


 

AAA TACACS+ サーバの設定

このページでは、このコントローラに対して TACACS+ サーバを追加および削除できます。

[TACACS+ Servers] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [TACACS+ Servers] の順に選択します。

このページには、現在このコントローラが使用している TACACS+ サーバが表示されます。次のパラメータが含まれます。

[Check box]:チェックボックスをオンにして、削除する TACACS+ サーバを選択します。

[Server Type]:TACACS+ のサーバ タイプ(アカウンティング、許可、または認証)。

[Server Index]:TACACS+ サーバを識別し、使用プライオリティを設定するために割り当てられた番号。TACACS+ サーバの設定ページに移動するには、インデックス番号をクリックします。

[Server Address]:TACACS+ サーバの IP アドレス。

[Port Number]:TACACS+ サーバとの通信に使用されるポート番号。

[Admin Status]:サーバ テンプレートのステータス。

TACACS+ サーバ テンプレートの使用が有効かを示します。

列のタイトルがリンクの場合は、そのリンクをクリックして昇順と降順を切り替えできます。

[Select a command] ドロップダウン リストには、次のオプションが表示されます。

[Add TACACS+ Server]:このオプションを選択して [Go] をクリックすると、TACACS+ サーバがコントローラに追加されます。

[Delete TACACS+ Servers]:このオプションを選択して [Go] をクリックすると、チェックボックスがオンになっているすべての TACACS+ サーバがコントローラから削除されます。


 

AAA ローカル ネット ユーザの設定

このページには、特定の WLAN へのアクセスが許可されているクライアントの、既存のローカル ネットワーク ユーザ コントローラのサマリーが表示されます。これは、RADIUS 認証プロセスの管理バイパスです。レイヤ 3 Web 認証を有効にする必要があります。クライアント情報は、まず RADIUS 認証サーバに渡され、クライアント情報が RADIUS データベースのエントリと一致しない場合は、ローカル データベースに対してポーリングが実行されます。RADIUS 認証が失敗した場合、または存在しない場合は、このデータベースで見つかったクライアントがネットワーク サービスへのアクセスを付与されます。

「ローカル ネット ユーザの追加」

「ローカル ネット ユーザの削除」

既存のローカル ネットワーク ユーザを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [Local Net Users] の順に選択します。[Local Net Users] ページには、次のローカル ネット ユーザ パラメータが表示されます。

[Username]:ユーザ定義の ID。

[WLAN ID]:任意の WLAN ID(1 ~ 16)。すべての WLAN の場合は 0、このローカル ネット ユーザがアクセスできるサードパーティ製 WLAN の場合は 17。

[Description]:オプションのユーザが定義した説明


 

ローカル ネット ユーザの追加

ローカル ネット ユーザを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [Local Net Users] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから [Add Local Net User] を選択して [Local Net User] > [Add From Template] ページを開きます。

ステップ 5 [Select a template to apply to this controller] ドロップダウン リストからテンプレートを選択します。

ステップ 6 [Apply] をクリックします。


) ローカル ネット ユーザのテンプレートを新規作成するには、[Configure] > [Controller Templates] > [Security] > [Local Net Users] の順に選択します。詳細については、「ローカル ネットワーク ユーザ テンプレートの設定」を参照してください。



 

ローカル ネット ユーザの削除

ローカル ネット ユーザを削除するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [Local Net Users] の順に選択します。

ステップ 4 該当するローカル ネット ユーザのチェックボックスを選択します。

ステップ 5 [Select a command] ドロップダウン リストから、[Delete Local Net Users] を選択します。

ステップ 6 [Go] をクリックします。

ステップ 7 ダイアログボックスで [OK] をクリックして、削除を確定します。


 

AAA MAC フィルタリングの設定

このページには、MAC フィルタ情報を表示できます。


) ブロードキャスト用の MAC アドレスを使用できません。


[MAC Filtering] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [MAC Filtering] の順に選択します。[MAC Filtering] ページには、次のパラメータが表示されます。

MAC フィルタ パラメータ

[RADIUS Compatibility Mode]:ユーザ定義の RADIUS サーバの互換性([Cisco ACS]、[FreeRADIUS]、または [Other])。

[MAC Delimiter]:MAC デリミタは、RADIUS サーバの要件に応じて、コロン(xx:xx:xx:xx:xx:xx)、ハイフン(xx-xx-xx-xx-xx-xx)、シングル ハイフン(xxxxxx-xxxxxx)、またはデリミタなし(xxxxxxxxxxxx)に設定できます。

MAC Filters

[MAC Address]:クライアント MAC アドレス。クリックして [Configure IPaddr ] > [MAC Filter] を開きます。

[WLAN ID]:1 ~ 16。17 = サードパーティ製 AP WLAN、0 = すべての WLAN。

[Interface]:アソシエートされたインターフェイス名を表示します。

[Description]:オプションのユーザ定義の説明を表示します。

ステップ 4 [Select a command] ドロップダウン リストから [Add MAC Filters] を選択して MAC フィルタを追加するか、[Delete MAC Filters] を選択してテンプレートを削除するか、[Edit MAC Filter Parameters] を選択して MAC フィルタを編集します。

ステップ 5 [Go] をクリックします。


 

AAA AP/MSE 許可の設定

[AP/MSE Authorization] ページには、アクセス ポイント ポリシーおよび許可されたアクセス ポイントのリストが表示されます。このリストには、アクセス ポイントで許可に使用する証明書のタイプも示されます。


) ブロードキャスト用の MAC アドレスを使用できません。


[AP/MSE Authorization] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [AP/MSE Authorization] の順に選択します。[AP/MSE Authorization] ページに次のパラメータが表示されます。

AP Policies

[Authorize APs]:有効または無効。

[Accept SSC-APs]:有効または無効。

AP/MSE Authorization

[AP/MSE Base Radio MAC Address]:許可されたアクセス ポイントの MAC アドレス。


) [AP/MSE Base Radio MAC Address] をクリックすると、AP/MSE 許可の詳細が表示されます。


Type

[Certificate Type]:MIC または SSC。

[Key Hash]:40 文字の長さの 16 進数 SHA1 キー ハッシュ。


) キー ハッシュは、証明書のタイプが SSC の場合のみ表示されます。



 

コマンド ボタン

[Add AP/MSE Auth Entry]: このコマンドを選択して [Go] をクリックします。「アクセス ポイント許可または MSE 許可テンプレートの設定」を参照してください。

[Delete AP/MSE Auth Entries]: 1 つ以上のアクセス ポイントを選択してこのコマンドを選択し、 [Go] をクリックして、AP 許可リストから選択したアクセス ポイントを削除します。

[Edit AP Policies]:このコマンドを選択して [Go] をクリックします。「AP ポリシーの編集」を参照してください。

AP ポリシーの編集

AP/MSE 許可アクセス ポイント ポリシーを編集するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [AP/MSE Authorization] の順に選択します。

ステップ 4 [Edit AP Policies] ページで、必要に応じて次のパラメータを編集します。

[Authorize APs]:アクセス ポイント許可を有効にする場合は、このチェックボックスをオンにします。

[Accept SSC-APs]:SSE アクセス ポイントの承認を有効にする場合は、このチェックボックスをオンにします。

ステップ 5 [Save] をクリックして変更を確定するか、[Audit] をクリックしてこれらのデバイス値の監査を実行するか、[Cancel] をクリックしてこのページを変更せずに閉じます。


 

AAA Web 認証の設定

[Web Auth Configuration] ページでは、Web 認証の設定タイプを設定できます。このタイプをカスタマイズに設定した場合は、コントローラにより提供された内部 Web 認証ページが、ユーザのダウンロードした Web 認証に置き換わります。

[Web Auth Configuration] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [Web Auth Configuration] の順に選択します。

ステップ 4 [Web Authentication] ページで、ドロップダウン リストから Web 認証タイプを選択します。Web 認証オプションには、デフォルトの内部 Web ページ、カスタマイズ Web 認証ページ、または外部 Web ページが含まれます。

ステップ 5 選択したタイプに応じて、Web 認証パラメータを設定します。

デフォルトの内部

[Logo Display]:ロゴの表示を有効または無効にします。

[Web Auth Page Title]:Web 認証ページに表示されるタイトル。

[Web Auth Page Message]:認証ページに表示されるメッセージ。

[Custom Redirect URL]:認証が成功した後にユーザがリダイレクトされる URL。たとえば、このテキスト ボックスに入力した値が http://www.example.com の場合、ユーザはこの会社のホーム ページに接続されます。

カスタマイズ Web 認証

サンプルのログイン ページをダウンロードして、そのページをカスタマイズするオプションがあります。カスタマイズ Web 認証ページを使用する場合は、サーバからサンプルの login.tar バンドル ファイルをダウンロードし、login.html ファイルを編集して .tar または .zip ファイルとして保存してから、.tar または .zip ファイルをコントローラにダウンロードする必要があります。

プレビュー イメージをクリックして、このサンプル ログイン ページを TAR としてダウンロードします。HTML の編集後にここをクリックすると [Download Web Auth] ページにリダイレクトされます。詳細については、「コントローラへのカスタマイズ Web 認証バンドルのダウンロード」を参照してください。

External

[External Redirect URL]:ネットワーク上の外部サーバにある login.html の場所。

外部 Web 認証サーバが設定されていない場合は、外部 Web 認証サーバを設定するオプションがあります。

[No external Web Auth Server(s) configured]。外部 Web 認証サーバを設定する場合は、このオプションを選択します。


) 外部 Web サーバ テンプレートを設定する場合は、「外部 Web 認証サーバ テンプレートの設定」を参照してください。



 

コマンド ボタン

[Save]:現在の設定をコントローラに保存します。

[Audit]:Prime Infrastructure および コントローラ の現在の設定ステータスをチェックします。

AAA パスワード ポリシーの設定

このページでは、パスワード ポリシーを決定できます。

既存のパスワード ポリシーを変更するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [AAA] > [Password Policy] の順に選択します。

ステップ 4 パスワード ポリシーのパラメータを必要に応じて変更します。

ステップ 5 [Save] をクリックします。


) パスワード ポリシー オプションを無効にすると、「Disabling the strong password check(s) will be a security risk as it allows weak passwords」というメッセージが表示されます。



 

[Controllers] > [ IPaddr ] > [Security] > [Local EAP] の設定

ローカル EAP は、ユーザおよびワイヤレス クライアントのローカル認証を可能にする認証方式です。この方式は、バックエンド システムが妨害されたり、外部認証サーバがダウンした場合でも、ワイヤレス クライアントへの接続を維持できるように、リモート オフィスで使用する目的で設計されています。

ローカル EAP を有効にすると、コントローラは認証サーバおよびローカル ユーザ データベースとして機能するため、外部認証サーバから独立します。ローカル EAP は、ローカル ユーザ データベースまたは LDAP バックエンド データベースからユーザの資格情報を取得して、ユーザを認証します。

ローカル EAP の一般パラメータの設定

このページでは、ローカル EAP のタイムアウト値を指定できます。その後、このタイムアウト値を持つテンプレートを追加したり、既存のテンプレートを変更できます。


) コントローラ上で RADIUS サーバが設定されている場合は、コントローラはまず RADIUS サーバを使用してワイヤレス クライアントを認証しようとします。ローカル EAP は、RADIUS サーバがタイムアウトしていたり、RADIUS サーバが設定されていない場合など、RADIUS サーバが見つからない場合にのみ試行されます。4 台の RADIUS サーバが設定されている場合、コントローラは最初の RADIUS サーバを使用してクライアントの認証を試行し、次に 2 番めの RADIUS サーバ、その次にローカル EAP を試行します。その後クライアントが手動で再認証を試みると、コントローラは 3 番めの RADIUS サーバを試行し、次に 4 番めの RADIUS サーバ、その次にローカル EAP を試行します。


ローカル EAP のタイムアウト値を指定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Local EAP] > [General - Local EAP] の順に選択します

ステップ 4 [Local Auth Active Timeout] テキスト ボックスにローカル認証アクティブ タイムアウトを入力します(秒単位)。


) ローカル認証アクティブ タイムアウトは、すべての RADIUS サーバが失敗した後、ローカル EAP が必ず使用されるタイムアウト時間を指します。


ステップ 5 EAP-FAST、手動パスワード入力、ワンタイム パスワード、または 7920/7921 電話を使用する際は、次の値を調整する必要があります。


) 自動プロビジョニングを使用している PAC をクライアントで取得する場合、コントローラで 802.1x のタイムアウト値を大きくする必要があります(デフォルトは 2 秒)。Cisco ACS サーバでは、デフォルトの 20 秒を推奨します。


Local EAP Identify Request Timeout =1(秒単位)

Local EAP Identity Request Maximum Retries=20(秒単位)

Local EAP Dynamic Wep Key Index=0

Local EAP Request Timeout=20(秒単位)

Local EAP Request Maximum Retries=2

EAPOL-Key Timeout=1000(ミリ秒単位)

EAPOL-Key Max Retries=2

Max-Login Ignore Identity Response


) 複数のコントローラで次の値が同じに設定されていないと、ローミングが失敗します。


ステップ 6 [Save] をクリックします。


 

コマンド ボタン

[Save]:クリックして現在のテンプレートを保存します。

[Apply to Controllers]:クリックして現在のテンプレートをコントローラに適用します。 [Apply to Controllers] ページで該当するコントローラを選択し、[OK] をクリックします。

[Delete]:クリックして現在のテンプレートを削除します。 現在コントローラにそのテンプレートが適用されている場合は、[OK] をクリックして、テンプレートが適用されている選択したコントローラから、テンプレートを削除することを確定します。

[Cancel]:クリックして現在のテンプレート作成または現在のテンプレートの変更をキャンセルします。

ローカル EAP プロファイルの設定

このページでは、ローカル EAP プロファイルへのテンプレートの適用、または既存のテンプレートの変更が可能です。


) LDAP バックエンド データベースは、次のローカル EAP メソッドだけをサポートします。証明書による EAP-TLS および EAP-FAST。LDAP バックエンド データベースでは、LEAP および PAC による EAP-FAST はサポートされません。


「既存のローカル EAP プロファイルの表示」

「ローカル ネット ユーザの追加」

既存のローカル EAP プロファイルの表示

既存のローカル EAP プロファイルを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Local EAP] > [Local EAP Profiles] の順に選択します。[Local EAP Profiles] ページには、次のパラメータが表示されます。

[EAP Profile Name]:ユーザ定義の ID。

[LEAP]:Cisco Key Integrity Protocol(CKIP)と MMH Message Integrity Check(MIC)を使用してデータを保護する認証タイプ。ユーザ名とパスワードを使用し、アクセス ポイントを介して RADIUS サーバと相互認証を行います。

[EAP-FAST]:3 段階のトンネル認証プロセスを使用して高度な 802.1x EAP 相互認証を実行する認証タイプ(Flexible Authentication via Secure Tunneling)。ユーザ名、パスワード、および PAC(保護されたアクセス クレデンシャル)を使用し、アクセス ポイントを介して RADIUS サーバと相互認証を行います。

[TLS]:クライアント アダプタおよび RADIUS サーバの動的セッション ベースの暗号鍵を使用してデータを暗号化する認証タイプ。認証のためには、クライアント証明書が必要です。

[PEAP]:保護拡張認証プロトコル。


 

ローカル ネット ユーザの追加

ローカル EAP プロファイルを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Local EAP] > [Local EAP Profile] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから [Add Local EAP Profile] を選択して [Local EAP Profile] > [Add From Template] ページを開きます。

ステップ 5 [Select a template to apply to this controller] ドロップダウン リストからテンプレートを選択します。

ステップ 6 [Apply] をクリックします。


) ローカル EAP プロファイルのテンプレートを新規作成するには、[Configure] > [Controller Templates] > [Security] > [Local EAP Profiles] の順に選択します。



 

ローカル EAP の一般 EAP-FAST パラメータの設定

この認証のタイプ(Flexible Authentication via Secure Tunneling)は、3 段階のトンネル認証プロセスを使用して高度な 802.1x EAP 相互認証を実行します。ユーザ名、パスワード、および PAC を使用し、アクセス ポイントを介して RADIUS サーバと相互認証を行います。

EAP-FAST パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Local EAP] > [EAP-FAST Parameters] の順に選択します。

ステップ 4 次のパラメータを入力します。

[Time to live for the PAC]:PAC の有効日数。有効な範囲は 1 ~ 1000 日で、デフォルトの設定は 10 日です。

[Authority ID]:16 進数文字で表したローカル EAP-FAST サーバの認証局 ID。最大 32 文字の 16 進数文字を入力できますが、文字数は偶数である必要があります。

[Authority Info]:テキスト形式で表したローカル EAP-FAST サーバの認証局 ID に関する情報。

[Server Key]:PAC の暗号化と暗号化解除に使用するキー(16 進数文字)。

[Confirm Server Key]:再度入力して正しいサーバ キーを確認します。

[Anonymous Provision]:匿名プロビジョニングを有効にする場合は、このチェックボックスをオンにします。


) この機能を使用すると、PAC プロビジョニング中に、PAC がないクライアントに PAC が自動的に送信されるようになります。この機能を無効にすると、PAC を手動でプロビジョニングする必要があります。


ステップ 5 [Save] をクリックします。


 

ローカル EAP の一般ネットワーク ユーザ プライオリティの設定

LDAP とローカル データベースがユーザ クレデンシャル情報を取得するために使用する順序を指定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Local EAP] > [Network Users Priority] の順に選択します。

ステップ 4 左右の矢印を使用して、右端のリストにネットワーク クレデンシャルを入れたり、除外することができます。

ステップ 5 上下のボタンを使用してクレデンシャルを試行する順序を指定します。

ステップ 6 [Save] をクリックします。


 

ユーザ ログイン ポリシーの設定

ユーザ ログイン ポリシーを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [User Login Policies] の順に選択します。

ステップ 4 1 つのユーザ名で同時にログインできる最大数を入力します。

ステップ 5 [Save] をクリックします。


 

手動で無効にしたクライアントの管理

[Disabled Clients] ページでは、除外された(ブラックリストに掲載された)クライアントの情報を表示できます。

アソシエートを試行した際に、3 回認証に失敗したクライアントはオペレータが定義したタイムアウトの間、再度アソシエートを試行できないように、自動的にブロック(または除外)されます。除外タイムアウトが経過すると、クライアントは認証の再試行を許可され、アソシエートすることができます。このとき、認証に失敗すると再び除外されます。


) ブロードキャスト用の MAC アドレスを使用できません。


[Manually Disabled Clients] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Manually Disabled Clients] の順に選択します。[Manually Disabled Clients] ページには、次のパラメータが表示されます。

[MAC Address]:無効にされたクライアントの MAC アドレス。リスト項目をクリックして、無効にされたクライアントの説明を編集します。

[Description]:無効にされたクライアントのオプションの説明。


 

手動で無効にされたクライアントの [Select a command] ドロップダウン リスト オプション

[Add Manually Disabled Client]:ドロップダウン リストからこのオプションを選択して [Go] をクリックします。「手動による無効化クライアント テンプレートの設定」を参照してください。

[Delete Manually Disabled Clients]:該当するコントローラのチェックボックスをオンにし、ドロップダウン リストからこのオプションを選択して、[Go] をクリックします。

アクセス コントロール リストの設定

[Access Control Lists] ページには、このコントローラで使用できるアクセス コントロール リスト(ACL)が表示されます。また、適用されているアクセス コントロール リストに新しいルールを追加したり、既存のルールを編集したりできます。

[Access Control Lists] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 [IP Address] 列で該当する IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Access Control Lists] の順に選択します。

[Check box]:チェックボックスを使用して、削除する ACL を 1 つ以上選択します。

[ACL Name]:ユーザ定義のこのテンプレートの名前。ACL 項目をクリックすると、そのパラメータを表示できます。「[IPaddr] > [Access Control List] > [listname Rules] の設定」を参照してください。


 

[ IPaddr ] > [Access Control List] > [ listname Rules] の設定

このページには、このアクセス コントロール リスト(ACL)に適用されている、現在のアクセス コントロール リスト ルールが表示されます。

[Access Control Lists Rules] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 [IP Address] 列で該当する IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Access Control Lists] の順に選択します。

ステップ 4 ACL 名をクリックします。

[Check box]:アクセス コントロール リストのルールを選択して削除します。

[Seq#]:オペレータは、各 ACL に対して最大 64 個のルールを定義できます。各 ACL のルールは、1 ~ 64 の連続した順序で一覧表示されます。つまり、ルール 29 を追加するときにすでにルール 1 ~ 4 が定義されている場合、このルールはルール 5 となります。


) 連番を追加または変更する場合、オペレーティング システムは連続した順序が維持されるようその他のルールの連番を調整します。たとえば、連番 1 ~ 7 が定義されていて、7 番を 5 番に変更する場合、オペレーティング システムは自動的に 6 番を 7 番に、5 番を 6 番に割り当て直します。


[Action]:許可、拒否。

[Source IP/Mask]:送信元 IP アドレスおよびマスク。

[Destination IP/Mask]:送信先 IP アドレスおよびマスク。

[Protocol]:この ACL を使用するプロトコル。

[Any]:すべてのプロトコル

[TCP]:トランスミッション コントロール プロトコル

[UDP]:ユーザ データグラム プロトコル

[ICMP]:インターネット制御メッセージ プロトコル

[ESP]:IP カプセル化セキュリティ ペイロード

[AH]:認証ヘッダー

[GRE]:Generic Routing Encapsulation

[IP]:インターネット プロトコル

[Eth Over IP]:Ethernet over Internet Protocol

[Other Port OSPF]:Open Shortest Path First

[Other]:その他の任意の IANA プロトコル(http://www.iana.org/)

TCP または UDP を選択すると、Source Port および Dest Port パラメータが表示されます。

[Source Port]:送信元ポート。[Any]、[HTTP]、[HTTPS]、[Telnet]、[RADIUS]、[DHCP Server]、[DHCP Client]、[DNS]、[L2TP]、[PPTP control]、[FTP control]、[SMTP]、[SNMP]、[LDAP]、[Kerberos]、[NetBIOS NS]、[NetBIOS DS]、[NetBIOS SS]、[MS Dir Server]、[Other]、[Port Range] を指定できます。

[Dest Port]:宛先ポート。[TCP] または [UDP] が選択されている場合、[Any]、[HTTP]、[HTTPS]、[Telnet]、[RADIUS]、[DHCP Server]、[DHCP Client]、[DNS]、[L2TP]、[PPTP control]、[FTP control]、[SMTP]、[SNMP]、[LDAP]、[Kerberos]、[NetBIOS NS]、[NetBIOS DS]、[NetBIOS SS]、[MS Dir Server]、[Other]、[Port Range] を選択できます。

[DSCP (Differentiated Services Code Point)]:Any、または 0 ~ 255。


 

新しい ACL ルールを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Access Control Lists] の順に選択します。

ステップ 4 ACL 名をクリックします。

ステップ 5 該当する [Seq#] をクリックするか、[Add New Rule] を選択してこのページにアクセスします。


 

FlexConnect アクセス コントロール リストの設定

FlexConnect 上の ACL は、ローカルでスイッチされた、アクセス ポイントからのデータ トラフィックの保護および完全性のために、FlexConnect アクセス ポイントで必要とされるアクセス コントロールを提供するメカニズムを提供します。

ここでは、次の内容について説明します。

「FlexConnect アクセス コントロール リストの追加」

「FlexConnect アクセス コントロール リストの削除」

FlexConnect アクセス コントロール リストの追加

FlexConnect アクセス ポイントのアクセス コントロール リストを追加するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 コントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [FlexConnect ACLs] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから、[Add FlexConnect ACLs] を選択します。

ステップ 5 [Go] をクリックします。


) テンプレートが作成されていない場合は、FlexConnect ACL は追加できません。使用できるテンプレートが存在しない状態で FlexConnect ACL の作成を試行した場合は、[New Controller Templates] ページにリダイレクトされます。ここで、FlexConnect ACL 用のテンプレートを作成できます。


[FlexConnect ACLs Details] ページが表示されます。

ステップ 6 ドロップダウン リストからコントローラに適用するテンプレートを選択して、[Apply] をクリックします。

作成した FlexConnect ACL が、[Configure] > [Controllers] > [ IP Address ] > [Security] > [FlexConnect ACLs] に表示されます。


 

FlexConnect アクセス コントロール リストの削除

FlexConnect ACL を削除するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 コントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [FlexConnect ACLs] の順に選択します。

ステップ 4 [FlexConnect ACLs] ページから、削除する FlexConnect ACL を 1 つ以上選択します。

ステップ 5 [Select a command] ドロップダウン リストから [Delete FlexConnect ACLs] を選択します。

ステップ 6 [Go] をクリックします。


 

CPU アクセス コントロール リストの設定

アクセス コントロール リスト(ACL)は、コントローラの CPU に適用して、その CPU へのトラフィックを制御できます。

[Access Control Lists Rules] ページには、選択したコントローラに適用された CPU アクセス コントロール リストのテンプレートの名前が表示されます。

[Access Control Lists Rules] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 コントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [CPU Access Control Lists] の順に選択します。

ステップ 4 [Enable CPU ACL] チェックボックスをオンにして、CPU ACL を有効にします。

このチェックボックスをオンにした場合、次のパラメータを使用できます。

[ACL Name]:[ACL Name] ドロップダウン リストから使用する ACL を選択します。

[CPU ACL Mode]:この CPU ACL リストで制御するデータ トラフィックの方向を選択します。

選択肢は、[The wired side of the data traffic]、[the wireless side of the data traffic]、または [both wired and wireless] です。


 

IDS センサー リストの設定

センサーが攻撃を識別した場合は、攻撃しているクライアントを回避するようにコントローラに警告します。新しい IDS(侵入検知システム)センサーを追加した場合は、回避したクライアントのレポートをセンサーがコントローラに送信できるように、コントローラをその IDS センサーに登録します。また、コントローラは定期的にセンサーをポーリングします。

IDS センサーを表示する手順は、次のとおりです。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [IDS Sensor Lists] の順に選択します。

[IDS Sensor] ページには、このコントローラに設定されているすべての IDS センサーのリストが表示されます。IP アドレスをクリックして、特定の IDS センサーの詳細を表示します。


 

CA 証明書の設定

CA 証明書は、1 つの認証局(CA)から別の認定 CA に対して発行されるデジタル証明書です。

「CA 証明書のインポート」

「CA 証明書の直接貼り付け」

CA 証明書のインポート

ファイルから CA 証明書をインポートするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [IP Sec Certificates] > [CA Certificate] の順に選択します。

ステップ 4 [Browse] をクリックして該当する証明書ファイルにナビゲートします。

ステップ 5 [Open] をクリックします。

ステップ 6 [Save] をクリックします。


 

CA 証明書の直接貼り付け

CA 証明書を直接貼り付けるには、次の手順を実行します。


ステップ 1 コンピュータのクリップボードに CA 証明書をコピーします。

ステップ 2 [Configure] > [Controllers] の順に選択します。

ステップ 3 適切な IP アドレスをクリックします。

ステップ 4 左側のサイドバーのメニューから、[Security] > [IP Sec Certificates] > [CA Certificate] の順に選択します。

ステップ 5 [Paste] チェックボックスをオンにします。

ステップ 6 証明書をテキスト ボックスに直接貼り付けます。

ステップ 7 [Save] をクリックします。


 

ID 証明書の設定

このページには、既存のネットワーク ID 証明書が、証明書の名前順にリストされます。ID 証明書は、Web サーバのオペレータが、安全なサーバの動作を確保するために使用します。ここでは、次の内容について説明します。

「ID 証明書のインポート」

「ID 証明書の貼り付け」

ID 証明書のインポート

ファイルから ID 証明書をインポートするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [IP Sec Certificates] > [ID Certificate] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから [Add Certificate] を選択します。

ステップ 5 [Go] をクリックします。

ステップ 6 名前とパスワードを入力します。

ステップ 7 [Browse] をクリックして該当する証明書ファイルにナビゲートします。

ステップ 8 [Open] をクリックします。

ステップ 9 [Save] をクリックします。


 

ID 証明書の貼り付け

ID 証明書を直接貼り付けるには、次の手順を実行します。


ステップ 1 コンピュータのクリップボードに ID 証明書をコピーします。

ステップ 2 [Configure] > [Controllers] の順に選択します。

ステップ 3 適切な IP アドレスをクリックします。

ステップ 4 左側のサイドバーのメニューから、[Security] > [IP Sec Certificates] > [ID Certificate] の順に選択します。

ステップ 5 [Select a command] ドロップダウン リストから [Add Certificate] を選択します。

ステップ 6 [Go] をクリックします。

ステップ 7 名前とパスワードを入力します。

ステップ 8 [Paste] チェックボックスをオンにします。

ステップ 9 証明書をテキスト ボックスに直接貼り付けます。

ステップ 10 [Save] をクリックします。


) ID 証明書は、コントローラが Cisco Unified Wireless Network のソフトウェア バージョン 3.2 以降を実行している場合のみ、使用できます。



 


) 証明書を削除するには、その証明書を選択し、[Select a command] ドロップダウン リストから [Delete Certificates] を選択して [Go] をクリックします。


[Controllers] > [ IPaddr ] > [Security] > [Web Auth Certificate] の設定

このページでは、Web 許可証明書のダウンロード、または内部生成 Web 許可証明書の再生成を実行できます。

[Web Auth Certificate] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Web Auth Certificate] の順に選択します。


注意 各証明書には、可変長 RSA キーが組み込まれています。RSA キーは、比較的安全性の低い 512 ビットから、非常に安全性の高い数千ビットまでさまざまです。認証局(Microsoft CA など)から新しい証明書を取得する場合は、証明書に組み込まれている RSA キーが 768 ビット以上であることを確認してください。

[Download Web Auth Certificate]:クリックして [Download Web Auth Certificate to Controller] ページにアクセスします。追加情報については、「コントローラへの Web 認証または Web 管理証明書のダウンロード」を参照してください。


 

コマンド ボタン

[Regenerate Cert]:内部生成された Web 認証証明書を再生成します。

ワイヤレス保護ポリシーの設定

ここでは、ワイヤレス保護ポリシーの設定について説明します。内容は次のとおりです。

「不正ポリシーの設定」

「不正 AP ルールの設定」

「クライアント除外ポリシーの設定」

「コントローラの標準シグニチャ パラメータの設定」

「カスタム シグニチャの設定」

「AP 認証および MFP の設定」

不正ポリシーの設定

このページでは、不正アクセス ポイントのポリシーを設定できます。

[Rogue Policies] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Wireless Protection Policies] > [Rogue Policies] の順に選択します。次のパラメータが表示されます。

[Rogue Location Discovery Protocol]:RLDP は、企業の有線ネットワークへの不正な接続の有無を判断します。ドロップダウン リストから、次のいずれかのオプションを選択します。

[Disable]:すべてのアクセス ポイント上で RLDP を無効にします。768 ビットは、デフォルト値です。

[All APs]:すべてのアクセス ポイント上で RLDP を有効にします。

[Monitor Mode APs]:モニタ モードのアクセス ポイント上でのみ RLDP を有効にします。


) 必要なアクセス ポイントで不正検出が有効になっていることを確認します。コントローラに接続されたすべてのアクセス ポイントに対し、不正の検出がデフォルトで有効化されます(OfficeExtend アクセス ポイントを除く)。ただし、Prime Infrastructure ソフトウェア リリース 6.0 以降では、[Access Point Details] ページで [Rogue Detection] チェックボックスをオンまたはオフにすることにより、アクセス ポイントごとに不正検出を有効または無効にできます。詳細については、「アクセス ポイントの設定」を参照してください。



) 家庭の環境で展開されるアクセス ポイントは大量の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出はデフォルトでは無効です。


Rogue APs

[Expiration Timeout for Rogue AP and Rogue Client Entries (seconds)]:不正なアクセス ポイントおよびクライアントのエントリがリストから削除されるまでの秒数を入力します。

有効な範囲は 240 ~ 3600 秒で、デフォルト値は 1200 秒です。


) 不正なアクセス ポイントまたはクライアントのエントリがタイムアウトすると、その不正の状態がいずれの分類タイプに対しても Alert または Threat である場合には、コントローラから削除されます。


[Rogue Detection Report Interval]:AP からコントローラに不正検出レポートを送信する間隔を秒数で入力します。有効な範囲は 10 ~ 300 秒で、デフォルト値は 10 秒です。この機能は、モニタ モードの AP のみに適用されます。

[Rogue Detection Minimum RSSI]:AP で検出するために不正に必要であり、かつコントローラで不正エントリが作成されるために必要な最小 RSSI 値を入力します。有効な範囲は -70 ~ -128 dBm で、デフォルト値は -128 dBm です。この機能は、すべての AP モードに適用できます。


) 非常に RSSI 値が低く、不正解析にとって有益な情報とならない不正が多く存在する可能性があります。そのため、このオプションを使用して AP が不正を検出する最小 RSSI 値を指定することで、不正をフィルタできます。


[Rogue Detection Transient Interval]:最初に不正がスキャンされた後、AP が継続的に不正をスキャンする必要のある間隔を入力します。一時的な間隔を入力することで、AP が不正をスキャンする間隔を制御できます。AP は、一時的な間隔の値に基づいて、不正をフィルタできます。有効な範囲は 120 ~ 1800 秒で、デフォルト値は 0 です。この機能は、モニタ モードの AP のみに適用されます。

Rogue Clients

[Validate rogue clients against AAA]:このチェックボックスをオンにし、AAA サーバまたはローカル データベースを使用して、不正なクライアントが有効なクライアントかどうかを検証します。デフォルト値はオフです。

[Detect and report Adhoc networks]:このチェックボックスをオンにして、アドホック不正検出およびレポートを有効にします。デフォルト値はオンです。


 

コマンド ボタン

[Save]:クライアント除外ポリシーへの変更を保存して、前のページに戻ります。

[Audit]:コントローラで使用される値と Prime Infrastructure の値を比較します。

不正 AP ルールの設定

このページでは、現在の不正 AP ルールを表示および編集できます。

[Rogue AP Rules] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Wireless Protection Policies] > [Rogue AP Rules] の順に選択します。[Rogue AP Rules] に、不正 AP ルール、ルール タイプ([Malicious] または [Friendly])、およびルールの順序が表示されます。

ステップ 4 ルールの詳細を表示または編集するには、[Rogue AP Rule] をクリックします。詳細については、「不正 AP ルール テンプレートの設定」を参照してください。


 

クライアント除外ポリシーの設定

このページでは、コントローラに適用されているクライアント除外ポリシーを設定、有効化、または無効化できます。

[Client Exclusion Policies] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Wireless Protection Policies] > [Client Exclusion Policies] の順に選択します。次のパラメータが表示されます。

[Excessive 802.11a Association Failures]:有効にした場合、クライアントは 802.11 アソシエーションの試行に 5 回連続して失敗すると、6 回目の試行で除外されます。

[Excessive 802.11a Authentication Failures]:有効にした場合、クライアントは 802.11 認証の試行に 5 回連続して失敗すると、6 回目の試行で除外されます。

[Excessive 802.11x Authentication Failures]:有効にした場合、クライアントは 802.1X 認証の試行に 3 回連続して失敗すると、4 回目の試行で除外されます。

[Excessive 802.11 Web Authentication Failures]:有効にした場合、クライアントは Web 認証の試行に 3 回連続して失敗すると、4 回目の試行で除外されます。

[IP Theft Or Reuse]:有効にした場合、IP アドレスがすでに別のデバイスに割り当てられていると、クライアントが除外されます。

ステップ 4 [Save] をクリックし、クライアント除外ポリシーに行われた変更を保存して前のページに戻るか、[Audit] をクリックしてコントローラで使用された値と Prime Infrastructure の値を比較します。


 

IDS シグニチャの設定

コントローラ上で、IDS シグニチャ、つまり、受信 802.11 パケットにおけるさまざまなタイプの攻撃を特定するのに使用されるビット パターンのマッチング ルールを設定することができます。シグニチャが有効化されると、コントローラに接続されたアクセス ポイントでは、受信した 802.11 データまたは管理フレームに対してシグニチャ分析が行われ、整合性がない場合はコントローラに報告されます。攻撃が検出されると、適切な緩和措置が取られます。

シスコでは、標準シグニチャとカスタムなシグニチャのページで示すように、コントローラで 17 個の標準シグニチャをサポートします。IDS シグニチャの詳細については、『 Cisco Prime Prime Infrastructure Configuration Guide 』を参照してください。

「コントローラの標準シグニチャ パラメータの設定」

「カスタム シグニチャの設定」

「AP 認証および MFP の設定」

コントローラの標準シグニチャ パラメータの設定

[Standard Signature Parameters] ページには、現在コントローラ上にあるシスコ提供のシグニチャの一覧が表示されます。ここでは、次の内容について説明します。

「シグニチャ ファイルのダウンロード」

「シグニチャ ファイルのアップロード」

「標準シグニチャおよびカスタム シグニチャのグローバル設定」

[Standard Signatures] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Wireless Protection Policies] > [Standard Signatures] の順に選択します。このページには、次のパラメータが表示されます。

[Precedence]:コントローラがシグニチャ チェックを実行する順序。

[Name]:シグニチャによって検出を試みる攻撃の種類。

[Frame Type]:シグニチャによってセキュリティ攻撃の調査が行われる管理フレームまたはデータフレームの種類。

[Action]:シグニチャによって攻撃が検出されたときに実行する、コントローラへの指示。次に例を示します。

[None]:アクションが実行されません。

[Report]:検出をレポートします。

[State]:有効または無効。

[Description]:シグニチャによって検出を試みる攻撃の種類の詳細説明。


 


) シグニチャの名前をクリックして各パラメータを表示し、シグニチャを有効または無効にします。


シグニチャ ファイルのダウンロード

シグニチャ ファイルをダウンロードするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Wireless Protection Policies] > [Standard Signatures] または [Security] > [Wireless Protection Policies] > [Custom Signatures] の順に選択します。

ステップ 4 [Select a command] ドロップダウン リストから、[Download Signature Files] を選択します。


) この機能には、[System] > [Commands] > [Upload/Download Commands] > [Download IDS Signatures] を選択することでもアクセスできます。


ステップ 5 [Go] をクリックします。

ステップ 6 シグニチャ ファイル(*.sig)を TFTP サーバ上のデフォルト ディレクトリにコピーします。

ステップ 7 [File is Located On] から [Local Machine] を選択します。ファイル名および、サーバのルート ディレクトリに対して相対的なパスがわかる場合は、[TFTP server] を選択することもできます。

ステップ 8 [Maximum Retries] に、コントローラがシグニチャ ファイルのダウンロードを試みる最大回数を入力します。

ステップ 9 [Timeout] に、シグニチャ ファイルのダウンロードを試行する際、コントローラがタイムアウトになるまでの最大時間を秒単位で入力します。

ステップ 10 ファイルは /localdisk/tftp ディレクトリにアップロードされます。そのディレクトリ内のローカル ファイル名を指定するか、[Browse] をクリックしてナビゲートします。シグニチャ ファイルの「revision」行で、ファイルがシスコ提供の標準のシグニチャ ファイルか、またはサイトに合わせたカスタム シグニチャ ファイルかを指定します(カスタム シグニチャ ファイルには revision=custom が必須)。


) 何らかの理由で転送がタイムアウトになった場合、単に [File Is Located On] フィールドで [TFTP server] オプションを選択できます。サーバ ファイル名が自動的に入力され、再試行されます。ローカル マシン オプションでは 2 段階の動作が起動されます。最初に、ローカル ファイルが管理者のワークステーションから Prime Infrastructure 独自の組み込みの TFTP サーバにコピーされます。次にコントローラがそのファイルを取得します。後の操作では、ファイルはすでに Prime Infrastructure サーバの TFTP ディレクトリにあるため、ダウンロードした Web ページで自動的にそのファイル名が読み込まれます。


ステップ 11 [OK] をクリックします。


 

シグニチャ ファイルのアップロード

コントローラからシグニチャ ファイルをアップロードするには、次の手順を実行します。


ステップ 1 シスコからシグニチャ ファイルを入手します(以降、標準シグニチャ ファイル)。「シグニチャ ファイルのダウンロード」に従い、独自のシグニチャ ファイル(カスタム シグニチャ ファイル)を作成することもできます。

ステップ 2 シグニチャのダウンロードに Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバを使用できることを確認します。TFTP サーバをセットアップする際の注意事項は次のとおりです。

サービス ポート経由でダウンロードする場合、サービス ポートはルーティングできないため、TFTP サーバはサービス ポートと同じサブネット上になければなりません。

ディストリビューション システム ネットワーク ポートを経由してダウンロードする場合、ディストリビューション システム ポートはルーティングできないため、TFTP サーバは同じサブネット上にあっても、別のサブネット上にあってもかまいません。

Prime Infrastructure の組み込み TFTP サーバとサードパーティの TFTP サーバは同じ通信ポートを使用するため、サードパーティの TFTP サーバは Prime Infrastructure と同じコンピュータ上で実行できません。

ステップ 3 [Configure] > [Controllers] の順に選択します。

ステップ 4 適切な IP アドレスをクリックします。

ステップ 5 左側のサイドバーのメニューから、[Security] > [Wireless Protection Policies] > [Standard Signatures] または [Security] > [Wireless Protection Policies] > [Custom Signatures] の順に選択します。

ステップ 6 [Select a Command] ドロップダウン リストから、[Upload Signature Files from controller] を選択します。


) この機能には、[Security] > [Custom Signatures] > [Select a command] > [Upload Signature Files from controller] または [System] > [Commands] > [Upload/Download Commands] > [Upload File from Controller] を選択することでもアクセスできます。


ステップ 7 転送に使用している TFTP サーバ名を指定します。

ステップ 8 TFTP サーバが新しい場合は、[Server IP Address] フィールドで TFTP IP アドレスを入力します。

ステップ 9 [File Type] ドロップダウン リストから [Signature Files] を選択します。

ステップ 10 このシグニチャ ファイルは、TFTP サーバによる使用に対して設定されたルート ディレクトリにアップロードされます。[Upload to File] フィールドで別のディレクトリに変更できます(このフィールドは、[Server Name] がデフォルト サーバの場合のみ表示)。コントローラはベース ネームとしてこのローカル ファイル名を使用し、標準シグニチャ ファイルのサフィクスとして _std.sig を、カスタム シグニチャ ファイルのサフィクスとして _custom.sig を追加します。

ステップ 11 [OK] をクリックします。


 

標準シグニチャおよびカスタム シグニチャのグローバル設定

このコマンドは、個々に選択して有効にしたシグニチャすべてを有効にします。このチェックボックスをオフのままにすると、以前に有効にしていても、すべてのファイルは無効になります。シグニチャが有効化されると、コントローラに接続されたアクセス ポイントでは、受信した 802.11 データまたは管理フレームに対してシグニチャ分析が行われ、整合性がない場合はコントローラに報告されます。

現在コントローラ上にあるすべての標準シグニチャおよびカスタム シグニチャを有効にするには、次の手順を実行します。


ステップ 1 [Select a command] ドロップダウン リストから [Edit Signature Parameters] を選択します。

ステップ 2 [Go] をクリックします。

ステップ 3 [Enable Check for All Standard and Custom Signatures] チェックボックスをオンにします。

ステップ 4 [Save] をクリックします。


 

シグニチャを個別に有効または無効にするには、次の手順を実行します。


ステップ 1 有効または無効にする攻撃のタイプの、該当する名前をクリックします。

[Standard Signature parameters] ページには、現在コントローラ上にあるシスコ提供のシグニチャの一覧が表示されます。[Custom Signatures] ページには、現在コントローラ上に存在する、カスタマー提供のシグニチャのリストが表示されます。次のパラメータは、両方のシグニチャ ページおよび詳細シグニチャ ページに表示されます。

[Precedence]:コントローラがシグニチャ チェックを行う順序、または優先順位。

[Name]:シグニチャによって検出を試みる攻撃の種類。

[Description]:シグニチャによって検出を試みる攻撃の種類の詳細説明。

[Frame Type]:シグニチャによってセキュリティ攻撃の調査が行われる管理フレームまたはデータフレームの種類。

[Action]:シグニチャによって攻撃が検出されたときに実行する、コントローラへの指示。なにも処置をとらない場合は [None]、検出を報告する場合は [Report] となります。

[Frequency]:シグニチャの頻度。攻撃が検出される前に、アクセス ポイント レベルの検出において識別する必要のある、間隔ごとのシグニチャと一致するパケット数です。有効な範囲は間隔あたり 1 ~ 32,000 パケットです。デフォルト値は間隔あたり 50 パケットです。

[Quiet Time]:各アクセス ポイント レベルで攻撃が検出されなくなってから、アラームを停止するまでの時間の長さ(秒単位)。この設定は、次項の [MAC Information] の設定が [all] もしくは [both] の場合にだけ表示されます。有効な範囲は 60 ~ 32,000 秒で、デフォルト値は 300 秒です。

[MAC Information]:アクセス ポイント レベルの検出においてシグニチャをネットワークごとまたは MAC アドレスごと、または両方で追跡するどうか。

[MAC Frequency]:シグニチャ MAC の頻度。攻撃が検出される前に、コントローラ レベルにおいて識別する必要のある、間隔ごとのシグニチャと一致するパケット数です。有効な範囲は間隔あたり 1 ~ 32,000 パケットです。デフォルト値は間隔あたり 30 パケットです。

[Interval]:シグニチャの検出頻度がしきい値に達したかどうかをチェックする間隔(秒単位)を入力します。有効な範囲は 1 ~ 3600 秒で、デフォルト値は 1 秒です。

[Enable]:このシグニチャによりセキュリティ攻撃が検出されるようにする場合はこのチェックボックスをオンにし、このシグニチャを無効にする場合はオフにします。

[Signature Patterns]:セキュリティ攻撃の検出に使用されるパターン。

ステップ 2 [Enable] ドロップダウン リストから、[Yes] を選択します。カスタマイズされたシグニチャをダウンロードしているため、_custom.sgi という名前の付いたファイルを有効にし、同じ名前で異なる拡張子を持つ標準シグニチャを無効にする必要があります。たとえば、ブロードキャスト プローブ フラッドをカスタマイズしている場合に、ブロードキャスト プローブ フラッドを標準シグニチャでは無効にし、カスタム シグニチャでは有効にする場合です。

ステップ 3 [Save] をクリックします。


 

カスタム シグニチャの設定

[Custom Signature] ページには、現在コントローラ上に存在する、ユーザ提供のシグニチャのリストが表示されます。

シグニチャの詳細については、次の項を参照してください。

「シグニチャ ファイルのダウンロード」

「シグニチャ ファイルのアップロード」

「標準シグニチャおよびカスタム シグニチャのグローバル設定」

[Custom Signatures] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Wireless Protection Policies] > [Custom Signatures] の順に選択します。このページには、次のパラメータが表示されます。

[Precedence]:コントローラがシグニチャ チェックを実行する順序。

[Name]:シグニチャによって検出を試みる攻撃の種類。

[Frame Type]:シグニチャによってセキュリティ攻撃の調査が行われる管理フレームまたはデータフレームの種類。

[Action]:シグニチャによって攻撃が検出されたときに実行する、コントローラへの指示。次に例を示します。

[None]:アクションが実行されません。

[Report]:検出をレポートします。

[State]:有効または無効。

[Description]:シグニチャによって検出を試みる攻撃の種類の詳細説明。


) シグニチャの名前をクリックして各パラメータを表示し、シグニチャを有効または無効にします。



 

AP 認証および MFP の設定

このページでは、アクセス ポイントの認証ポリシーを設定できます。

[AP Authentication and MFP (Management Frame Protection)] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[Security] > [Wireless Protection Policies] > [AP Authentication and MFP] の順に選択します。

このページには、次のフィールドが表示されます。

[RF Network Name]:このテキスト ボックスは編集できません。[General] パラメータ ページで入力された RF ネットワーク名(「[ IPaddr ] > [General] の設定」を参照)がここに表示されます。

[Protection Type]:ドロップダウン リストから、次のいずれかの認証ポリシーを選択します。

[None]:アクセス ポイント認証ポリシーなし。

[AP Authentication]:認証ポリシーを適用します。

[MFP]:管理フレーム保護を適用します。 詳細については、「管理フレーム保護のモニタリング」を参照してください。

[Alarm Trigger Threshold]:([Protection Type] で [AP Authentication] を選択した場合のみ表示)。アラームを発生させるまでに無視する、未知のアクセス ポイントからのヒット数を設定します。

有効な範囲は 1 ~ 255 です。デフォルト値は 255 です。


 

コマンド ボタン

Save

Audit

Cisco アクセス ポイントの設定

[Configure] > [Controllers] ページを使用して、特定のコントローラ用の Cisco アクセス ポイントを表示して設定できます。

[Cisco APs] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから [Access Points] > [Cisco APs] の順に選択します 。[Cisco APs] ページが開き、次のパラメータが表示されます。

[AP Name]:アクセス ポイント名をクリックして、アクセス ポイントの詳細を表示または設定します。

Base Radio MAC

Admin Status

AP Mode

Software Version

Primary Controller Name

ステップ 4 アクセス ポイント名をクリックして、アクセス ポイントの詳細を表示または設定します。表示される情報は、アクセス ポイントのタイプに応じて異なります。


) 詳細については、「アクセス ポイントの設定」を参照してください。



 

コマンド ボタン

[Save]:現在の設定を保存します。

[Audit]:このアクセス ポイントの現在のステータスを検出します。

スニファ機能

アクセス ポイントでスニファ機能を有効にした場合、そのアクセス ポイントはスニファとして機能し、特定チャネル上のすべてのパケットを取得して、AiroPeek を実行するリモート マシンへ転送します。これらのパケットには、タイムスタンプ、信号強度、パケット サイズなどの情報が含まれます。


) スニファ機能は、データ パケットのデコードをサポートする、サードパーティ製のネットワーク分析ソフトウェアである AiroPeek を実行する場合だけ有効になります。AiroPeek の詳細は、次の URL を参照してください。www.wildpackets.com/products/airopeek/overview


スニファ機能の使用に関する前提条件

スニファ機能を使用する前に、次の作業を完了しておく必要があります。

リモート サイトで、スニファ モードでアクセス ポイントを設定します。スニファ モードでのアクセス ポイントの設定の詳細については、「Web ユーザ インターフェイスを使用したスニッファ モードでの AP の設定」を参照してください。

Windows XP マシンで AiroPeek バージョン 2.05 以降をインストールします。


) 次の dll ファイルをダウンロードするには、WildPackets のメンテナンス メンバーである必要があります。次の URL を参照してください。

https://wpdn.wildpackets.com/view_submission.php?id=30


次の dll ファイルをコピーします。

socket.dll ファイルを Plugins フォルダ(C:\ProgramFiles\WildPackets\AiroPeek\Plugins など)へ

socketres.dll ファイルを PluginRes フォルダ(C:\ProgramFiles\WildPackets\AiroPeek\1033\PluginRes など)へ

リモート マシンでの AiroPeek の設定

リモート マシンで AiroPeek を設定するには、次の手順を実行します。


ステップ 1 AiroPeek アプリケーションを開始して、[Tools] タブで [Options] をクリックします。

ステップ 2 [Options] ページで [Analysis Module] をクリックします。

ステップ 3 ページ内を右クリックして、[Disable All] オプションを選択します。

ステップ 4 [Cisco remote module] 列を見つけて、有効にします。[OK] をクリックして変更を保存します。

ステップ 5 [New capture] をクリックして、[capture option] ページを表示します。

ステップ 6 アダプタ モジュールのリストからリモート Cisco アダプタを選択します。

ステップ 7 展開して、新しいリモート アダプタ オプションを見つけます。ダブルクリックして新規ページを開き、表示されるテキスト ボックスに名前を入力して、[IP address] 列にコントローラ管理インターフェイス IP を入力します。

ステップ 8 [OK] をクリックします。新しいアダプタがリモート Cisco アダプタに追加されます。

ステップ 9 アクセス ポイントを使用してリモートの airopeek キャプチャ用の新規アダプタを選択します。

ステップ 10 [capture] ページで [start socket capture] をクリックして、リモート キャプチャ プロセスを開始します。

ステップ 11 コントローラの CLI からアクセス ポイントを起動して、 config ap mode sniffer ap-name コマンドを入力してスニファ モードに設定します。

アクセス ポイントがリブートし、スニファ モードでアップ状態になります。


 

Web ユーザ インターフェイスを使用したスニッファ モードでの AP の設定

Web ユーザ インターフェイスを使用してスニッファ モードで AP を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Access Points] を選択して、[AP Name] 列で項目をクリックしてこのページにナビゲートします。

ステップ 2 [General] グループ ボックスで、ドロップダウン リストを使用して AP モードを [Sniffer] に設定し、[Apply] をクリックします。

ステップ 3 [Radio Interfaces] グループ ボックスの [Protocol] 列でプロトコル(802.11a/802.11b/g)をクリックします。これによって、設定ページが開きます。

ステップ 4 [Sniff] パラメータを表示するには、[Sniff] チェックボックスを選択します。スニファ対象チャネルを選択し、サーバ(AiroPeek が実行されているリモート マシン)の IP アドレスを入力します。

ステップ 5 変更を保存するには、[Save] をクリックします。


 

802.11 コントローラの一般パラメータの設定

このページでは、802.11 コントローラでの国選択とタイマー情報を編集できます。このページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11] > [General] の順に選択します 。ページが開き、次のパラメータが表示されます。

Country

[Country]:許可される国およびプロトコル。


) 選択できる国の最大数は 20 です。


[Selected Countries]:現在選択されている国を表示します。

Timers

[Authentication Response Timeout]:802.11 認証応答タイムアウト(秒単位)を設定します。


 

複数の国コードの設定

モビリティ グループの一部ではない単一のコントローラを、複数の国をサポートするように設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 国を追加するコントローラをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11] > [General] の順に選択します。

ステップ 4 チェックボックスを選択して、追加する国を選択します。アクセス ポイントは、さまざまな規制要件を持つ多くの国で使用できるように設計されています。国の規制に準拠するように国コードを設定できます。


) 運用する国向けに設計されていない場合、アクセス ポイントは正しく動作しない可能性があります。たとえば、部品番号が AIR-AP1030-A-K9(米国の規制区域に含まれている)のアクセス ポイントは、オーストラリアでは使用できません。必ず自国の規制区域に合ったアクセス ポイントを購入するようにしてください。製品ごとにサポートされる国コードの完全なリストについては、次の URL を参照してください。
http://www.cisco.com/warp/public/779/smbiz/wireless/approvals.html


ステップ 5 認証応答がタイムアウトになるまでの時間(秒単位)を入力します。

ステップ 6 [Save] をクリックします。


 

アグレッシブ ロード バランシングの設定

コントローラ上でアグレッシブ ロード バランシングを有効にすると、無線クライアントの負荷を Lightweight アクセス ポイント間で分散することができます。


) クライアントの負荷は、同じコントローラ上のアクセス ポイント間で分散されます。別のコントローラ上のアクセス ポイントとの間では、ロード バランシングは行われません。


ワイヤレス クライアントが Lightweight アクセス ポイントへのアソシエートを試みると、アソシエーション応答パケットとともに 802.11 応答パケットがクライアントに送信されます。この 802.11 応答パケットの中にステータス コード 17 があります。このコードは、アクセス ポイントがそれ以上アソシエーションを受け付けることが可能かどうかを示します。アクセス ポイントへの負荷が高すぎる場合は、クライアントはそのエリア内の別のアクセス ポイントへのアソシエートを試みます。アクセス ポイントの負荷が高いかどうかは、そのクライアントからアクセス可能な、近隣の他のアクセス ポイントと比べて相対的に判断されます。

たとえば、AP1 上のクライアント数が、AP2 のクライアント数とロード バランシング ウィンドウの和を上回っている場合は、AP1 の負荷は AP2 よりも高いと判断されます。クライアントが AP1 にアソシエートしようとすると、ステータス コード 17 が含まれている 802.11 応答パケットがクライアントに送信されます。アクセス ポイントの負荷が高いことがこのステータス コードからわかるので、クライアントは別のアクセス ポイントへのアソシエーションを試みます。

10 回までクライアント アソシエーションを拒否するようコントローラを設定できます(クライアントが 11 回アソシエーションを試行した場合、11 回目の試行ではアソシエーションが許可されます)。また、特定の WLAN 上でロード バランシングを有効にするか、無効にするかも指定できます。これは、特定のクライアント グループ(遅延に敏感な音声クライアントなど)に対してロード バランシングを無効にする場合に便利です。

アグレッシブ ロード バランシングを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 設定する必要があるコントローラを選択します。

ステップ 3 左側のサイドバー メニューから、[802.11] > [Load Balancing] の順に選択します。[Load Balancing] ページが表示されます。

ステップ 4 クライアントのウィンドウ サイズとして 1 ~ 20 までの値を入力します。このページ サイズは、アクセス ポイントの負荷が高すぎてそれ以上はクライアント アソシエーションを受け付けることができないかどうかを判断するアルゴリズムで使用されます。

ロード バランシング ページ + 最も負荷が低い AP 上のクライアント アソシエーション数 = ロード バランシングしきい値

特定のクライアント デバイスからアクセス可能なアクセス ポイントが複数ある場合に、アクセス ポイントはそれぞれ、アソシエートしているクライアントの数が異なります。クライアントの数が最も少ないアクセス ポイントは、負荷が最も低くなります。クライアントのページ サイズと、負荷が最も低いアクセス ポイント上のクライアント数の合計がしきい値となります。クライアント アソシエーションの数がこのしきい値を超えるアクセス ポイントはビジー状態であるとみなされ、クライアントがアソシエートできるのは、クライアント数がしきい値を下回るアクセス ポイントだけとなります。

ステップ 5 拒否の最大数として 0 ~ 10 までの値を入力します。拒否数は、ロード バランシング中のアソシエーション拒否の最大数を設定します。

ステップ 6 [Save] をクリックします。

ステップ 7 特定の WLAN でアグレッシブ ロード バランシングを有効または無効にするには、[WLAN Configuration] ページを参照して、[Advanced] タブをクリックします。[WLAN Configuration] ページの使用について詳しくは、「コントローラ WLAN の設定」を参照してください。


 

帯域選択の設定

帯域選択によって、デュアルバンド(2.4 GHz および 5 GHz)動作が可能なクライアントの無線を、混雑の少ない 5 GHz アクセス ポイントに移動できます。2.4 GHz 帯域は、混雑していることがあります。この帯域のクライアントは一般に、Bluetooth デバイス、電子レンジ、およびコードレス電話機からの干渉を受けるだけでなく、他のアクセス ポイントからの同一チャネル干渉も発生します。802.11b/g では、重複しないチャネルが 3 つしかないからです。これらの干渉の原因を緩和して、ネットワーク全体のパフォーマンスを向上させるには、コントローラで帯域選択を設定できます。

帯域選択のしくみは、クライアントへのプローブ応答を規制するというものです。5 GHz チャネルへクライアントを誘導するために、2.4 GHz チャネルでのクライアントへのプローブ応答を遅らせます。

帯域選択をコントローラ上でグローバルに有効にすることも、特定の WLAN 上の帯域選択を有効または無効にすることもできます。後者は、特定のクライアントのグループ(遅延に敏感な音声クライアントなど)に対して帯域選択を無効にする場合に便利です。


) 帯域選択が有効になっている WLAN では、ローミングの遅延が発生するので、音声や映像のような、遅延に敏感なアプリケーションはサポートされません。


帯域選択の使用に関するガイドライン

帯域選択を使用する際には、次のガイドラインに従ってください。

帯域選択を使用できるのは、アクセス ポイントが Cisco Aironet 1140 または 1250 シリーズである場合だけです。

帯域選択が動作するのは、コントローラに接続されたアクセス ポイントに対してのみです。コントローラに接続しない FlexConnect アクセス ポイントは、リブート後に帯域選択を実行しません。

帯域選択アルゴリズムによるデュアル バンド クライアントの誘導は、同じアクセス ポイントの 2.4 GHz 無線から 5 GHz 無線へに限られます。このアルゴリズムが機能するのは、アクセス ポイントで 2.4 GHz と 5 GHz の両方の無線が稼働している場合のみです。

コントローラ上で帯域選択とアグレッシブ ロード バランシングの両方を有効にすることができます。これらは独立して動作し、相互に影響を与えることはありません。

設定手順

帯域選択を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 設定する必要があるコントローラを選択します。

ステップ 3 左側のサイドバー メニューから、[802.11] > [Band Select] の順に選択します。[Band Select] ページが表示されます。

ステップ 4 プローブ サイクル回数として 1 ~ 10 までの値を入力します。サイクル回数は、新しいクライアントの抑制サイクルの回数を設定します。デフォルトのサイクル回数は 2 です。

ステップ 5 スキャン サイクル期間のしきい値として 1 ~ 1000 ミリ秒までの値を入力します。この設定は、クライアントからの新しいプルーブ要求が新しいスキャン サイクルから送信される間の時間しきい値を決定します。デフォルトのサイクルしきい値は 200 ミリ秒です。

ステップ 6 [age out suppression] フィールドに 10 ~ 200 秒までの値を入力します。エージング アウト抑制は、以前に認識されていた 802.11b/g クライアントをプルーニングするための期限切れ時間を設定します。デフォルト値は 20 秒です。この時間が経過すると、クライアントは新規とみなされて、プローブ応答抑制の対象となります。

ステップ 7 [age out dual band] フィールドに 10 ~ 300 秒までの値を入力します。エージング アウト期間は、以前に認識されていたデュアルバンド クライアントをプルーニングするための期限切れ時間を設定します。デフォルト値は 60 秒です。この時間が経過すると、クライアントは新規とみなされて、プローブ応答抑制の対象となります。

ステップ 8 [acceptable client RSSI] フィールドに -20 ~ -90 dBm までの値を入力します。このフィールドは、クライアントがプローブに応答するための最大 RSSI を設定します。デフォルト値は -80 dBm です。

ステップ 9 [Save] をクリックします。

ステップ 10 特定の WLAN で帯域選択を有効または無効にするには、[WLAN Configuration] ページを参照して、[Advanced] タブをクリックします [WLAN Configuration] ページの使用について詳しくは、「コントローラ WLAN の設定」を参照してください。


 


 

優先コールの設定

優先コール機能を使用すると、特定の番号に対して行う SIP コールに最高の優先度を指定できます。高い優先度を設定するには、設定済みの音声プールに使用可能な音声帯域幅がない場合でも、そのような優先 SIP コールに帯域幅を割り当てます。この機能は、WCS または WLC で帯域幅割り当てに SIP ベースの CAC を使用するクライアントのみでサポートされます。


) コントローラごとに最大 6 個の番号を設定できます。


優先コール サポートを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11] > [Preferred Call] の順に選択します。既存の優先コールがある場合は、次のフィールドが表示されます。

[Description]:優先コールの説明。

[Number Id]:コントローラの固有識別子を示し、コントローラに割り当てられている 6 個の優先コール番号の 1 つを示します。

[Preferred Number]:優先コール番号を示します。

ステップ 4 [Select a command] ドロップダウン リストから、[Add Number] を選択します。

ステップ 5 このコントローラに適用するテンプレートを選択します。


) 選択したコントローラに適用するテンプレートを選択する必要があります。優先コール番号用の新しいテンプレートを作成するには、「優先コール テンプレートの設定」を参照してください。


ステップ 6 [Apply] をクリックします。


) 優先コールを削除するには、該当する優先コール番号のチェックボックスを選択して、[Select a command] ドロップダウン リストから [Delete] を選択します。[Go] をクリックし、[OK] をクリックして削除を確認します。



 

802.11 のメディア パラメータの設定

802.11 のメディア パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11] > [Media Stream] の順に選択します。

ステップ 4 [Media Stream Configuration] セクションで、次のパラメータを設定します

Media Stream Name

[Multicast Destination Start IP]:マルチキャストまでのメディア ストリームの開始 IP アドレス

[Multicast Destination End IP]:マルチキャストまでのメディア ストリームの終了 IP アドレス

[Maximum Expected Bandwidth]:メディア ストリームが使用できる最大帯域幅

ステップ 5 [Resource Reservation Control (RRC) Parameters] グループ ボックスで、次のパラメータを設定します。

[Average Packet Size]:メディア ストリームが使用できる平均パケット サイズ。

[RRC Periodical Update]:定期的に更新されるリソース予約コントロールの計算。無効にすると、RRC の計算は、クライアントがメディア ストリームに加入したときに、1 回のみ行われます。

[RRC Priority]:最高が 1、最低が 8 の RRC の優先度。

[Traffic Profile Violation]:ストリームが QoS ビデオ プロファイルに違反したときに、ストリームがドロップされるか、ベスト エフォート キューに入れられる場合に表示されます。

[Policy]:メディア ストリームが許可されるか拒否される場合に表示されます。

ステップ 6 [Save] をクリックします。


 

RF プロファイル(802.11)の設定

[RF Profiles] ページでは、AP グループに関連付けられる RF プロファイルを作成または変更できます。

コントローラの RF プロファイルを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 [RF Profiles] をクリックするか、左側のサイドバー メニューから [802.11] > [RF Profiles] を選択します。[RF Profiles] ページが表示されます。このページには、既存の RF プロファイル テンプレートがリストされます。

ステップ 3 RF プロファイルを追加する場合は、[Select a command] ドロップダウン リストから [Add RF Profile] を選択します。

ステップ 4 [Go] をクリックします。[New Controller Template] ページが表示されます。

ステップ 5 次の情報を設定します。

General

[Template Name]:テンプレートのユーザ定義の名前。

[Profile Name]:現在のプロファイルのユーザ定義の名前。

[Description]:テンプレートの説明。

[Radio Type]:アクセス ポイントの無線タイプ。これは、802.11a または 802.11b 無線がある AP の RF プロファイルを選択できるドロップダウン リストです。

TCP(送信電力制御)

[Minimum Power Level Assignment (-10 to 30 dBm)]:割り当てられている最小電力を示します。範囲は -10 ~ 30 dB で、デフォルト値は 30 dB です。

[Maximum Power Level Assignment (-10 to 30 dBm)]:割り当てられている最大電力を示します。範囲は -10 ~ 30 dB で、デフォルト値は 30 dB です。

[Power Threshold v1(-80 to -50 dBm)]:送信電力しきい値を示します。

[Power Threshold v2(-80 to -50 dBm)]:送信電力しきい値を示します。

データ レート:アクセス ポイントとクライアント間でデータを送信できるレートを指定するには、[Data Rates] ドロップダウン リストを使用します。次のデータ レートが使用可能です。

[802.11a]:6、9、12、18、24、36、48、および 54 Mbps。

[802.11b/g]:1、2、5.5、6、9、11、12、18、24、36、48、または 54 Mbps。

各データ レートに対して、次のオプションのいずれかを選択します。

[Mandatory]:このコントローラ上のアクセス ポイントに関連付けるには、クライアントがこのデータ レートをサポートしている必要があります。

[Supported]:関連付けられたクライアントは、このデータ レートをサポートしていれば、このレートを使用してアクセス ポイントと通信できます。ただし、クライアントがこのレートを使用できなくても、関連付けは可能です。

[Disabled]:通信に使用するデータ レートは、クライアントが指定します。

ステップ 6 [Save] をクリックします。


 

SIP スヌーピングの設定

SIP スヌーピングを使用する際は、次のガイドラインを考慮します。

SIP は、Cisco 5500 シリーズ コントローラ、1240、1130、および 11n アクセス ポイント上でのみ使用できます。

SIP CAC は、ステータス コード 17 をサポートし、TSPEC ベースのアドミッション制御をサポートしない電話に対してのみ使用してください。

SIP CAC は、SIP スヌーピングが有効になっている場合にのみサポートされます。

コントローラの SIP スヌーピングを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[802.11] > [SIP Snooping] の順に選択します。

ステップ 4 次のフィールドを設定します。

Port Start

Port End

ステップ 5 [Save] をクリックします。


) 単一ポートを使用する場合は、開始ポートおよび終了ポートのフィールドを同じ番号で設定します。



 

802.11a/n パラメータの設定

ここでは、次の内容について説明します。

「802.11a/n の一般パラメータの設定」

「802.11a/n 802.11h パラメータの設定」

「802.11a/n RRM 間隔の設定」

「802.11a/n RRM 送信電力コントロールの設定」

「802.11a/n RRM 動的チャネル割り当ての設定」

「802.11a/n RRM 無線のグループ化の設定」

「802.11a/n のメディア パラメータの設定」

「802.11a/n の EDCA パラメータの設定」

「802.11a/n のローミング パラメータの設定」

「802.11a/n 802.11h パラメータの設定」

「802.11a/n のハイ スループット(802.11n)パラメータの設定」

「802.11a/n の CleanAir パラメータの設定」

802.11a/n の一般パラメータの設定

特定のコントローラの 802.11a/n パラメータを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11a/n Parameters] を選択して、次のパラメータを表示します。

General

[802.11a/n Network Status]:有効にするには、このチェックボックスを選択します。

[Beacon Period]:ビーコン間の時間。有効範囲は 100 ~ 600 ミリ秒です。

[DTIM Period]:配送数フィールドが 0 のトラフィック インジケータ メッセージ(TIM)要素を含むビーコン フレームの送信間に経過したビーコン間隔。

[Fragmentation Threshold (in bytes)]:パケットを断片化するサイズ。通信状態の悪いエリアや電波干渉が非常に多いエリアでは、低い数値を設定します。

Template Applied

802.11a/n Band Status

[Low]、[Medium]、および [High Bands](読み取り専用)。

802.11a/n Power Status

[Dynamic Assessment]:[Automatic]、[On Demand]、または [Disabled]。

[Current Tx Level]:範囲には、1(国コード設定別に許可される最大電力)、2(50 % の電力)、3(25 % の電力)、4(6.25 ~ 12.5 % の電力)、および 5(0.195 ~ 6.25 % の電力)。


) 電力レベルおよび使用可能なチャネルは国コード設定によって定義されており、国別に規制されています。


[Control Interval]:秒単位(読み取り専用)。

[Dynamic Treatment Power Control]:有効にするには、このチェックボックスを選択します。

802.11a/n Channel Status

[Assignment Mode]:[Automatic]、[On Demand]、または [Disabled]。

[Update Interval]:秒単位。

[Avoid Foreign AP Interference]:有効にすると、RRM がチャネルを割り当てる際に、外部 Cisco アクセス ポイント(RF/モビリティ ドメイン外の Cisco 以外のアクセス ポイント)からの干渉が考慮されます。

[Avoid Cisco AP load]:有効にすると、コントローラがアクセス ポイントにチャネルを割り当てる際に、各アクセス ポイントによって使用されるトラフィック帯域幅が考慮されます。

[Avoid non 802.11 Noise]:有効にすると、アクセス ポイントは、アクセス ポイント以外のソース(電子レンジや Bluetooth デバイスなど)からの干渉があるチャネルを回避します。RRM にこの干渉を無視させるには、このフィールドを無効にします。

[Signal Strength Contribution]:設定不可。

Avoid Persistent Non-WiFi interface

Data Rates

[Ranges between 6 Mbps and 54 Mbps]:[Supported]、[Mandatory]、または [Disabled]。

Noise/Interference/Rogue Monitoring Channels

[Channel List]:[All Channels]、[Country Channels]、[DCA Channels]。


) 動的チャネル割り当て(DCA)により、コントローラに接続された管理対象デバイス セットの中から妥当なチャネルの割り当てが自動的に選択されます。


[CCX Location Measurement]:有効にすると、クライアントの位置精度が向上します。

[Mode]:有効にするには、このチェックボックスを選択します。

[Interval]:秒単位。


) [CCX Location Measurement] の [Interval] は、測定モードが有効の場合のみ変更できます。



 

コマンド ボタン

[Save]:行った変更を保存します。

[Audit]:コントローラで使用される値と Prime Infrastructure の値を比較します。

802.11a/n RRM しきい値の設定

802.11a/n RRM しきい値コントローラを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11a/n] > [RRM Thresholds] の順に選択します。

ステップ 4 [Coverage Level]、[Load Thresholds]、および [Threshold For Traps] に対して変更が必要な場合には、変更します。


) [Coverage Thresholds Min SNR Level (dB)] フィールドを調整すると、[Signal Strength (dB)] の値にこの変更が自動的に反映されます。[Signal Strength (dB)] フィールドにより、SNR 値を調整する際のカバレッジしきい値の対象範囲に関する情報が提供されます。


ステップ 5 [Save] をクリックします。


 

802.11a/n RRM 間隔の設定

個々のコントローラに対する 802.11b/g/n RRM 間隔を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11a/n] > [RRM Intervals] または [802.11b/g/n] > [RRM Intervals] を選択します。


) 次の 4 つの RRM 間隔パラメータのデフォルトは 300 秒です。


ステップ 4 各アクセス ポイントに対して強度測定を行う間隔を入力します。

ステップ 5 各アクセス ポイントに対してノイズおよび干渉測定を行う間隔を入力します。

ステップ 6 各アクセス ポイントに対して負荷測定を行う間隔を入力します。

ステップ 7 各アクセス ポイントに対してカバレッジ測定を行う間隔を入力します。

ステップ 8 [Save] をクリックします。


 

802.11a/n RRM 送信電力コントロールの設定

コントローラは、リアルタイムの無線 LAN 状況に基づいて、アクセス ポイントの送信電力を動的に制御します。通常は、送信電力を低く維持することでキャパシティを増やし、干渉を減らします。コントローラは、3 番めに送信電力の強いネイバーによるアクセス ポイントの認識に応じて、アクセス ポイントの送信電力のバランスを取ろうとします。

送信電力コントロール(TPC)アルゴリズムは、RF 環境での変更に応じてアクセス ポイントの電力の増大と低減の両方を行います。ほとんどの場合、TPC は干渉を減らすためにアクセス ポイントの電力を下げようとしますが、アクセス ポイントで障害が発生したり、アクセス ポイントが無効になるなど、RF カバレッジで急な変更が発生した場合、TPC は周辺のアクセス ポイントで電力を増大することもあります。この機能は、カバレッジ ホール検出とは異なります。カバレッジ ホールの検出は主にクライアントと関係がありますが、TPC はアクセス ポイント間におけるチャネルの干渉を最小限に抑えながら、必要なカバレッジ レベルを達成するため、十分な RF パワーを提供する必要があります。

送信電力コントロール バージョン 2(TPCv2)は、Cisco AP ネットワークからの同一チャネルの干渉を減らそうとします。前のバージョンの TPC は、より大きい送信電力を使用する傾向のある強い信号カバレッジを提供するよう設計されています。その結果、密に展開されたネットワークで電波が強すぎる状態が発生していました。

802.11a/n の RRM TPC を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11a/n-RRM] > [TPC] の順に選択します。

ステップ 4 次の TPC パラメータを設定します。

[Template Applied]:このコントローラに適用されるテンプレートの名前。

[Template Version]:TPC バージョンを示します。

[TPCv2] オプションは、リリース 7.2.x 以降を実行するコントローラのみで適用できます。

[Dynamic Assignment]:[Dynamic Assignment] ドロップダウン リストで、次の 3 つのモードのうち 1 つを選択します。

[Automatic]:この動作を許可するすべてのアクセス ポイントに対し、送信電力が定期的に更新されます。

[On Demand]:[Assign Now] ボタンが選択されると送信電力が更新されます。

[Disabled]:動的な送信電力割り当ては発生せず、値はグローバル デフォルトに設定されます。

[Maximum Power Assignment]:割り当てられている最大電力を示します。

範囲:-10 ~ 30 dB

デフォルト:30 dB

[Minimum Power Assignment]:割り当てられている最小電力を示します。

範囲:-10 ~ 30 dB

デフォルト:30 dB

[Dynamic Tx Power Control]:動的な送信電力コントロールを有効にするかどうかを決定します。

[Transmitted Power Threshold]:送信電力しきい値を -50 ~ -80 の間で入力します。

[Control Interval]:秒単位(読み取り専用)。

ステップ 5 [Save] をクリックします。


 

802.11a/n RRM 動的チャネル割り当ての設定

[Radio Resource Management (RRM) Dynamic Channel Assignment (DCA)] ページを使用して、このコントローラのチャネル幅のほか、DCA チャネルを選択できます。

RRM DCA は、5 GHz 帯域で 802.11n 40 MHz チャネルをサポートします。より高い帯域幅を使用すると、瞬間的データ レートが高くなります。


) 大きい帯域幅を選択すると、オーバーラッピングしないチャネルが減少するため、展開によっては全体のネットワーク スループットが低下することがあります。


各コントローラに 802.11 a/n RRM DCA チャネルを設定する手順は、次のとおりです。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 該当するコントローラの IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[802.11a/n] > [RRM DCA] の順に選択します。[802.11a/n RRM DCA] ページが表示されます。


) [Configure] > [Access Points] を選択し、[Radio] 列で [802.11a/n] リンクをクリックし、アクセス ポイントのページでチャネル幅を設定することもできます。[Current RF Channel Assignment] が表示され、[Global] 割り当て方式を選択するか、[Custom] を選択してチャネルを指定できます。


ステップ 4 [Channel Width] ドロップダウン リストから、[20 MHz] または [40 MHz] を選択します。リリース 5.1 よりも前のソフトウェアの場合、40 MHz のチャネルだけが静的に設定可能でした。DCA がサポートしているのは 20 MHz チャネルの無線だけでした。40 MHz の場合、無線の瞬間データ レートが高くなる場合がありますが、帯域幅が大きいとオーバーラップしないチャネル数が少なくなるため、展開によっては全体のネットワーク スループットが低下することがあります。


) 20 MHz デバイスと 40 MHz デバイスが混在する展開の場合は注意が必要です。40 MHz デバイスのチャネル アクセス ルールが若干異なるため、20 MHz デバイスに悪影響を与える場合があります。



) アクセス ポイントの無線のチャネル幅を表示するには、[Monitor] > [Access Points] > [name] > [Interfaces] タブに移動します。[Configure] > [Access Points] を選択して、[Radio] 列で該当する無線をクリックして、チャネル幅とアンテナの選択肢を表示することもできます。


ステップ 5 該当する DCA チャネルのチェックボックスを選択します。選択したチャネルが、[Selected DCA channels] リストにリストされます。

ステップ 6 次のパラメータを使用して、イベント駆動型無線リソース管理(ED-RRM; Event-Driven Radio Resource Management)を有効または無効にします。CleanAir 対応アクセス ポイントが重大なレベルの干渉を検出すると、イベント駆動型 RRM が使用されます。

[Event Driven RRM]:スペクトル イベント駆動型 RRM を有効または無効にします。デフォルトでは、[Event Driven RRM] は有効です。

[Sensitivity Threshold]:[Event Driven RRM] が有効の場合、このフィールドには、イベント駆動型 RRM が生成されるしきい値レベルが表示されます。値は、[Low]、[Medium]、または [High] のいずれかになります。アクセス ポイントの干渉がしきい値レベルを上回ると、RRM はローカルの動的チャネル割り当て(DCA)の実行を開始し、ネットワークのパフォーマンスを改善するために可能な場合は影響を受けるアクセス ポイント無線のチャネルを変更します。[Low] は、環境の変更に対する感度を下げることを表すのに対して、[High] は、感度を上げることを表します。

ステップ 7 [Save] をクリックします。


 

802.11a/n RRM 無線のグループ化の設定

個々のコントローラに対する 802.11b/g/n RRM 無線のグループ化を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11a/n] > [RRM] > [RF Grouping] の順に選択します。

ステップ 4 ドロップダウン リストからグループ化モードを選択します。次のパラメータが表示されます。

[Automatic]:自動的な RRM グループ化アルゴリズムをアクティブ化できます。これは、デフォルトのモードです。

[Off]:自動グループ化を非アクティブ化できます。

[Leader]:グループにメンバーを割り当てることができます。

ステップ 5 ドロップダウン リストからグループ更新間隔(秒)を選択します。グループ化がオンになっている場合、この間隔(秒単位)は、グループ化アルゴリズムがグループ リーダーによって実行される期間を表します。グループ化アルゴリズムは、グループの内容が変更され、自動グループ化が有効であるときも実行されます。動的グループ化は、システム管理者からの要求時に開始できます。デフォルト値は 600 秒です。

ステップ 6 [RF Group Members] グループ ボックスで、[Add >] をクリックします。選択したコントローラは、[Available Controllers] から [RF Group Members] リストに移動されます。


) [RF Group Members] グループ ボックスは、グループ化モードが [Leader] に設定されている場合のみ表示されます。



) RF グループに追加できるコントローラの最大数は 20 です。


ステップ 7 [Save] をクリックします。


 

802.11a/n のメディア パラメータの設定

802.11a/n のメディア パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11a/n] > [Media Parameters] の順に選択します。

ステップ 4 [Voice] タブで、次のパラメータを設定します。

[Admission Control (ACM)]:アドミッション制御を有効にするには、このチェックボックスを選択します。

VoIP 通話中にエンド ユーザが許容できる音声品質と感じるよう、パケットはエンドポイントから別のエンドポイントまで低遅延、低パケット損失で配送される必要があります。異なるネットワーク負荷の下で QoS を維持するには、コール アドミッション制御(CAC)が必要です。アクセス ポイントでの CAC により、アクセス ポイントは、ネットワークの輻輳時でも QoS が制御された状態を維持し、許容する最大の通話数を許容できる数に保つことができます。

[CAC Method]:[Admission Control (ACM)] が有効になっている場合、CAC 方式を負荷ベースまたはスタティックに指定します。

負荷ベースの CAC で取り入れられている測定方式では、それ自体からのすべてのトラフィック タイプによって同一チャネル アクセス ポイントで消費される帯域幅や、同一チャネルの干渉によって消費される帯域幅が考慮されています。load-based の CAC では、PHY およびチャネル欠陥の結果発生する追加の帯域幅消費も対象となります。

負荷ベース CAC では、RF チャネル、チャネル干渉、およびアクセス ポイントが許容できるその他のコールが、アクセス ポイントによって定期的に測定および更新されます。アクセス ポイントは、コールをサポートするのに十分なだけの未使用帯域幅がチャネルにある場合に限り、新規のコールを許可します。このようにすることで、負荷ベースの CAC は、チャネルのオーバーサブスクリプションを防ぎ、WLAN の負荷および干渉のあらゆる状況下で QoS を維持します。

[Maximum Bandwidth Allowed]:許容される最大帯域幅の割合を指定します。このオプションは、CAC が有効の場合のみ使用可能です。有効な範囲は 5 ~ 85 です。

[Reserved Roaming Bandwidth]:予約済みのローミング帯域幅の割合を指定します。このオプションは、CAC が有効の場合のみ使用可能です。有効な範囲は 0 ~ 25 です。

[Expedited Bandwidth]:緊急コール用に CAC の拡張として緊急帯域幅を有効にするには、このチェックボックスを選択します。

より高い優先度が TSPEC 要求に与えられるように、CCXv5 準拠の優先帯域幅が必要となります。

[SIP CAC]:SIP CAC を有効にするには、このチェックボックスを選択します。

SIP CAC は、ステータス コード 17 をサポートし、TSPEC ベースのアドミッション制御をサポートしない電話のみに使用する必要があります。

[SIP Codec]:この無線で使用するコーデック名を指定します。使用可能なオプションは、[G.711]、[G.729]、および [User Defined] です。

[SIP Call Bandwidth]:ネットワークで SIP コールごとに割り当てる帯域幅(キロビット/秒単位)を指定します。このフィールドは、選択されている [SIP Codec] が [User Defined] である場合のみ設定できます。

[SIP Sample Interval]:コーデックを動作させる必要があるサンプルの間隔(ミリ秒)を指定します。

[Max Voice Calls per Radio]:無線ごとに行うことができるボイスコールの最大数を指定します。

[Max Roaming Reserved Calls per Radio]:無線ごとに予約できるローミング コールの最大数を指定します。


) [Max Voice Calls per Radio] および [Max Roaming Reserved Calls per Radio] オプションは、[CAC Method] が [Static] として指定され、SIP CAC が有効になっている場合にだけ使用できます。


[Metric Collection]:メトリック収集を有効にするには、このチェックボックスを選択します。

トラフィック ストリーム メトリックは、ワイヤレス LAN での VoIP に関する一連の統計情報で、ワイヤレス LAN の QoS を通知します。アクセス ポイントで測定値を収集するには、トラフィック ストリーム メトリックが有効であることが必要です。これを有効にすると、コントローラは、関連付けられたすべてのアクセス ポイントから、90 秒ごとに 802.11b/g インターフェイスに関する統計情報データの収集を開始します。VoIP またはビデオを使用している場合は、この機能を有効にする必要があります。

ステップ 5 [Video] タブで、次のパラメータを設定します。

[Admission Control (ACM)]:アドミッション制御を有効にするには、このチェックボックスを選択します。

[Maximum Bandwidth Allowed]:許容される最大帯域幅の割合を指定します。このオプションは、CAC が有効の場合のみ使用可能です。コントローラ バージョン 6.0.188.0 以前の場合、有効な範囲は 0 ~ 100 です。コントローラ バージョン 6.0.188.1 以降の場合、有効な範囲は 5 ~ 85 です。

[Reserved Roaming Bandwidth]:予約済みのローミング帯域幅の割合を指定します。このオプションは、CAC が有効の場合のみ使用可能です。有効な範囲は 0 ~ 25 で、デフォルトは 0 です。

[Static CAC method]:[SIP Codec] ドロップダウン リストから、次のいずれかのオプションを選択して CAC 方式を設定します。デフォルト値は [G.711] です。オプションは次のとおりです。

Load-Based

Static


) スタティック CAC 方式は無線ベースで、負荷ベースの CAC 方式はチャネル ベースです


[SIP CAC]:スタティック CAC のサポートを有効にするには、[SIP CAC] チェックボックスを選択します。デフォルトでは、このチェックボックスはディセーブルになっています。


) SIP CAC は、SIP スヌーピングが有効になっている場合にのみサポートされます。


[Unicast Video Redirect]:ビデオ キュー内のすべての非メディア ストリーム パケットがベスト エフォート キューにリダイレクトされるようにするには、[Unicast Video Redirect] チェックボックスを選択します。無効にすると、ビデオ マーキングのあるパケットはすべてのビデオ キューに保持されます。

[Client Minimum Phy Rate]:クライアントがメディア ストリームに加入するために必要な物理データ レートを [Client Minimum Phy Rate] ドロップダウン リストから選択します。

[Multicast Direct Enable]:この無線でどの WLAN でも Media Direct を有効にするには、[Multicast Direct Enable] チェックボックスを選択します。

[Maximum Number of Streams per Radio]:許可される無線ごとのストリームの最大数を指定します。

[Maximum Number of Streams per Client]:許可されるクライアントごとのストリーム最大数を指定します。

[Best Effort QOS Admission]:新しいクライアント要求をベスト エフォート キューにリダイレクトするには、[Best Effort QOS Admission] チェックボックスを選択します。これは、すべてのビデオ帯域幅が使用されている場合のみ発生します。


) 無効になっており、最大のビデオ帯域幅が使用されている場合、新しいクライアント要求は拒否されます。


ステップ 6 [General] タブで、次のフィールドを設定します。

[Maximum Media Bandwidth (0 to 85%)]:許可される最大帯域幅の割合を指定します。このオプションは、CAC が有効の場合のみ使用可能です。

ステップ 7 [Save] をクリックします。


) SIP は、コントローラ 4400 および 5500 のみで使用可能です。また、SIP は、アクセス ポイント 1240、1130、および 11n のみで使用可能です。



 

コマンド ボタン

[Save]:行った変更を保存します。

[Audit]:コントローラで使用される値と Prime Infrastructure の値を比較します。

802.11a/n の EDCA パラメータの設定

802.11b/g/n に対する EDCA パラメータ(EDCA プロファイル設定と Streaming MAC Enable 設定)は、個々のコントローラまたはコントローラ テンプレートのいずれかを使用して、音声 QoS サポートを向上させるように設定できます。

個々のコントローラの [802.11b/g/n EDCA] パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11b/g/n] > [EDCA Parameters] を選択します。

ステップ 4 ドロップダウン リストから [EDCA Profile] を選択します。


) プロファイルには、Wi-Fi Multimedia (WMM)、Spectralink Voice Priority (SVP)、Voice Optimized、および Voice & Video Optimized が含まれます。WMM がデフォルトの EDCA プロファイルです。



) 無線インターフェイスをシャットダウンしてから、EDCA パラメータを設定してください。


ステップ 5 [Enable Streaming MAC] チェックボックスを選択にして、この機能を有効にします。


) ネットワーク上のすべてのクライアントが WMM 準拠の場合にだけ、Streaming MAC を有効にしてください。



 

802.11a/n のローミング パラメータの設定

個々のコントローラの [802.11b/g/n EDCA] パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11a/n] > [Roaming Parameters] の順に選択します。

ステップ 4 [Mode] ドロップダウン リストから、[Default values] または [Custom values] を選択します。

[Default values]:テキスト ボックスにデフォルト値(読み取り専用)が自動的に表示されます。

[Custom values]:ローミング パラメータの編集を可能にするには、テキスト ボックスをアクティブ化します。

ステップ 5 [Minimum RSSI] テキスト ボックスには、クライアントがアクセス ポイントにアソシエートするときに必要な受信信号強度(RSSI)の最小値を入力します。

範囲:-80 ~ -90 dBm

デフォルト:-85 dBm


) クライアントの平均の受信信号の強度がこのしきい値よりも低い場合、通常信頼できる通信は不可能です。RSSI の最小値に達する前に、クライアントはより強い信号のある別のアクセス ポイントをすでに見つけてローミングしている必要があります。


ステップ 6 [Hysteresis] テキスト ボックスに、クライアントがローミングするために必要な隣接するアクセス ポイントの信号強度を示す値を入力します。

このフィールドは、クライアントが物理的に 2 つのアクセス ポイント間の境界上やその近くにある場合に、アクセス ポイント間の「ピンポン」の量を減らすためのものです。

範囲:2 ~ 4 dB

デフォルト:3 dB

ステップ 7 [Adaptive Scan Threshold] テキスト ボックスに、クライアントがアソシエートしたアクセス ポイントの RSSI 値を入力します。これよりも小さい場合、クライアントは指定された移行時間内に隣接するアクセス ポイントにローミングできる必要があります。

このフィールドは、クライアントがアクティブまたはパッシブ スキャンで費やす時間を最小限に抑えるための節電方法を提供します。たとえば、クライアントは RSSI がしきい値よりも高いときにはゆっくりとスキャンし、しきい値よりも低いときにはより速くスキャンすることができます。

範囲:-70 ~ -77 dB

デフォルト:-72 dB

ステップ 8 [Transition Time] テキスト ボックスには、クライアントがアソシエートしているアクセス ポイントからの RSSI がスキャンしきい値を下回った場合には常に、ローミングに適した近隣のアクセス ポイントを検出してローミングを完了するまでの最大許容時間を入力します。

[Scan Threshold] パラメータと [Transition Time] パラメータは、クライアントのローミング パフォーマンスの最低レベルを保証します。これらのパラメータを使用すると、最も高いクライアント速度とローミング ヒステリシスが得られるだけでなく、アクセス ポイント間の一定の最小オーバーラップ距離を確保することにより、ローミングをサポートする無線 LAN ネットワークを設計することが可能となります。

範囲:1 ~ 10 秒

デフォルト:5 秒

ステップ 9 [Save] をクリックします。


 

802.11a/n 802.11h パラメータの設定

個々のコントローラの 802.11h パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11a/n] > [802.11h] を選択します。

ステップ 4 [Power Constraint] チェックボックスを選択して TPC を有効にします。

ステップ 5 [Channel Announcement] チェックボックスを選択してチャネル通知を有効にします。チャネル通知は、新しいチャネルや新しいチャネル番号に切り替わった場合に、アクセス ポイントが通知するメソッドです。

ステップ 6 [Save] をクリックします。


 

802.11a/n のハイ スループット(802.11n)パラメータの設定

802.11b/g/n のハイ スループット パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11b/g/n] > [High Throughput] を選択します。

ステップ 4 高いスループットを可能にするには、[802.11n Network Status Enabled] チェックボックスを選択します。

ステップ 5 [MCS (Data Rate) Settings] で、サポートするデータ レートのレベルを選択します。MCS は、802.11a データ レートと似た変調符号化方式です。デフォルトでは、20MHz のショート ガード インターバルが使用されます。


) [Supported] チェックボックスを選択すると、選択した数値が [Selected MCS Indexes] ページに表示されます。


ステップ 6 [Save] をクリックします。


 

802.11a/n の CleanAir パラメータの設定

802.11a/n の CleanAir パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11a/n] > [CleanAir] を選択して、次の情報を表示します。

[CleanAir]:このチェックボックスを選択して 802.11 a/n ネットワークで CleanAir 機能を有効にするか、選択解除して CleanAir 機能を無効にします。デフォルト値はオンです。

[Reporting Configuration]:レポートで含める干渉デバイスを設定するには、このセクションのパラメータを使用します。

[Report]:[report interferers] チェックボックスを選択して、CleanAir システムが干渉源を報告して検出できるようにするか、選択解除して、コントローラが干渉を報告しないようにします。デフォルト値はオンです。

CleanAir システムで検出および報告する必要がある干渉源が、[Interferences to Detect] テキスト ボックスに表示され、検出する必要がない干渉源が [Interferers to Ignore] テキスト ボックスに表示されることを確認します。[>] および [<] ボタンを使用して、これらの 2 つのテキスト ボックス間で干渉源を移動します。デフォルトでは、すべての干渉源が検出されます。

CleanAir で検出できる持続性デバイスに関する情報を伝播できるようにするには、[Persistent Device Propagation] チェックボックスを選択します。持続性デバイスの伝播によって、干渉タイプに関する情報を指定して、この情報を近隣のアクセス ポイントに伝播できます。ある場所には持続的な干渉源が存在し、常に検出可能ではない場合でも WLAN の動作に干渉します。

[Alarm Configuration]:このセクションでは、電波品質アラームの生成を設定できます。

[Air Quality Alarm]:[Air Quality Alarm] チェックボックスを選択して電波品質アラームの生成を有効にするか、このチェックボックスを選択解除してこの機能を無効にします。デフォルト値はオンです。

[Air Quality Alarm Threshold]:[Air Quality Alarm] チェックボックスを選択した場合は、[Air Quality Alarm Threshold] テキスト ボックスに 1 ~ 100 までの値を入力して、電波品質アラームが生成されるしきい値を指定します。電波品質がしきい値レベルを下回ると、アラームが生成されます。値 1 は最低の電波品質を表し、100 は最高を表します。デフォルト値は 35 です。

[Air Quality Unclassified category Alarm]:未分類の干渉源カテゴリについてアラームを生成できるようにするには、[Air Quality Unclassified category Alarm] チェックボックスを選択します。CleanAir は、未分類の干渉源を検出してモニタできます。未分類の干渉源は、検出はされるものの、既知のいずれの干渉タイプにも対応しない干渉源です。

未分類カテゴリのアラームは、未分類の重大度が設定済みのしきい値を上回るか、Air Quality インデックスが設定済みのしきい値を下回ると生成されます。

[Air Quality Unclassified Category Severity Threshold]:[Air Quality Unclassified category Alarm] チェックボックスを選択した場合、[Air Quality Unclassified Severity Threshold] テキスト ボックスに 1 ~ 99 までの間の値を入力して、未分類カテゴリのアラームを生成するしきい値を指定します。デフォルト値は 20 です。

[Interferers For Security Alarm]:[Interferers For Security Alarm] チェックボックスを選択して、コントローラが指定されたデバイス タイプを検出したときに干渉アラームを生成するか、選択解除してこの機能を無効にします。デフォルト値はオンです。

干渉アラームを生成する必要があるすべての干渉源が [Interferers Selected for Security Alarms] テキスト ボックスに表示され、干渉アラームを生成する必要がないすべての干渉源が [Interferers Ignored for Security Alarms] テキスト ボックスに表示されることを確認してください。[>] および [<] ボタンを使用して、これらの 2 つのボックス間で干渉源を移動します。デフォルトでは、すべての干渉源が干渉アラームを生成します。

[Event Driven RRM]:CleanAir 対応アクセス ポイントが重大なレベルの干渉を検出したときに実行するスペクトル イベント駆動型無線リソース管理(RRM)を生成するには、次の手順を実行します。

[Event Driven RRM]:スペクトル イベント駆動型 RRM の現在のステータスを表示します。

[Sensitivity Threshold]:[Event Driven RRM] が有効の場合、このテキスト ボックスには、イベント駆動型 RRM が生成されるしきい値レベルが表示されます。値は、[Low]、[Medium]、または [High] のいずれかになります。アクセス ポイントの干渉がしきい値レベルを上回ると、RRM はローカルの動的チャネル割り当て(DCA)の実行を開始し、ネットワークのパフォーマンスを改善するために可能な場合は影響を受けるアクセス ポイント無線のチャネルを変更します。[Low] は、環境の変更に対する感度を下げることを表すのに対して、[High] は、感度を上げることを表します。

コマンド ボタン

[Save]:行った変更を保存します。

[Audit]:コントローラで使用される値と Prime Infrastructure の値を比較します。


 

802.11b/g/n の一般パラメータの設定

特定のコントローラの 802.11b/g/n パラメータを表示するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] を選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから [802.11b/g/n Parameters] を選択して、次のパラメータを表示します。

General

[802.11b/g Network Status]:有効にするには、このチェックボックスを選択します。

[802.11g Support]:有効にするには、このチェックボックスを選択します。

[Beacon Period]:ミリ秒単位。

[DTIM Period]:配送数フィールドが 0 のトラフィック インジケータ メッセージ(TIM)要素を含むビーコン フレームの送信間に経過したビーコン間隔。

[Fragmentation Threshold]:バイト単位。

[Short Preamble]:有効にするチェックボックスを選択します。

[Template Applied]。

802.11a/n Power Status

[Dynamic Assessment]:[Automatic]、[On Demand]、または [Disabled]。

[Current Tx Level]。

[Control Interval]:秒単位(読み取り専用)。

[Dynamic Treatment Power Control]:有効にするには、このチェックボックスを選択します。

802.11a/n Channel Status

[Assignment Mode]:[Automatic]、[On Demand]、または [Disabled]。

[Update Interval]:秒単位。

[Avoid Foreign AP Interference]:有効にするには、このチェックボックスを選択します。

[Avoid Cisco AP load]:有効にするには、このチェックボックスを選択します。

[Avoid non 802.11 Noise]:有効にするには、このチェックボックスを選択します。

[Signal Strength Contribution]:有効にするには、このチェックボックスを選択します。

Data Rates

[Ranges between 1 Mbps and 54 Mbps]:[Supported]、[Mandatory]、または [Disabled]。

Noise/Interference/Rogue Monitoring Channels

[Channel List]:[All Channels]、[Country Channels]、[DCA Channels]。

CCX Location Measurement

[Mode]:有効にするには、このチェックボックスを選択します。

[Interval]:秒単位。


) [CCX Location Measurement] の [Interval] は、測定モードが有効の場合のみ変更できます。



 

コマンド ボタン

[Save]:行った変更を保存します。

[Audit]:コントローラで使用される値と Prime Infrastructure の値を比較します。

802.11b/g/n RRM しきい値の設定

802.11b/g/n RRM しきい値コントローラを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[802.11b/g/n] > [RRM Thresholds] の順に選択します。

ステップ 4 [Coverage Level]、[Load Thresholds]、および [Threshold For Traps] に対して変更が必要な場合には、変更します。


) [Coverage Thresholds Min SNR Level (dB)] フィールドを調整すると、[Signal Strength (dB)] の値にこの変更が自動的に反映されます。[Signal Strength (dB)] フィールドにより、SNR 値を調整する際のカバレッジしきい値の対象範囲に関する情報が提供されます。


ステップ 5 [Save] をクリックします。


 

802.11b/g/n RRM 間隔の設定

個々のコントローラに対する 802.11b/g/n RRM 間隔を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11a/n] > [RRM Intervals] または [802.11b/g/n] > [RRM Intervals] を選択します。


) 次の 4 つの RRM 間隔パラメータのデフォルトは 300 秒です。


ステップ 4 各アクセス ポイントに対して強度測定を行う間隔を入力します。

ステップ 5 各アクセス ポイントに対してノイズおよび干渉測定を行う間隔を入力します。

ステップ 6 各アクセス ポイントに対して負荷測定を行う間隔を入力します。

ステップ 7 各アクセス ポイントに対してカバレッジ測定を行う間隔を入力します。

ステップ 8 [Save] をクリックします。


 

802.11b/g/n RRM 送信電力コントロールの設定

コントローラは、リアルタイムの無線 LAN 状況に基づいて、アクセス ポイントの送信電力を動的に制御します。通常は、送信電力を低く維持することでキャパシティを増やし、干渉を減らします。コントローラは、3 番めに送信電力の強いネイバーによるアクセス ポイントの認識に応じて、アクセス ポイントの送信電力のバランスを取ろうとします。

送信電力コントロール(TPC)アルゴリズムは、RF 環境での変更に応じてアクセス ポイントの電力の増大と低減の両方を行います。ほとんどの場合、TPC は干渉を減らすためにアクセス ポイントの電力を下げようとしますが、アクセス ポイントで障害が発生したり、アクセス ポイントが無効になるなど、RF カバレッジで急な変更が発生した場合、TPC は周辺のアクセス ポイントで電力を増大することもあります。この機能は、カバレッジ ホール検出とは異なります。カバレッジ ホールの検出は主にクライアントと関係がありますが、TPC はアクセス ポイント間におけるチャネルの干渉を最小限に抑えながら、必要なカバレッジ レベルを達成するため、十分な RF パワーを提供する必要があります。

802.11b/g/n RRM TPC を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[802.11b/g/n-RRM] > [TPC] の順に選択します。

ステップ 4 次の TPC パラメータを設定します。

[Template Applied]:このコントローラに適用されるテンプレートの名前。

[Dynamic Assignment]:[Dynamic Assignment] ドロップダウン リストで、次の 3 つのモードのうち 1 つを選択します。

[Automatic]:送信電力は、この操作を許可するすべてのアクセス ポイントで定期的に更新されます。

[On Demand]:送信電力は、[Assign Now] ボタンを選択したときに更新されます。

[Disabled]:動的な送信電力割り当ては行われず、値はグローバル デフォルトに設定されます。

[Maximum Power Assignment]:割り当てられている最大電力を示します。

範囲:-10 ~ 30 dB

デフォルト:30 dB

[Minimum Power Assignment]:割り当てられている最小電力を示します。

範囲:-10 ~ 30 dB

デフォルト:30 dB

[Dynamic Tx Power Control]:動的な送信電力コントロールを有効にするかどうかを決定します。

[Transmitted Power Threshold]:送信電力しきい値を -50 ~ -80 の間で入力します。

[Control Interval]:秒単位(読み取り専用)。

ステップ 5 [Save] をクリックします。


 

802.11b/g/n RRM 動的チャネル割り当ての設定

個々のコントローラに対する 802.11b/g/n RRM DCA チャネルを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11b/g/n-RRM] > [DCA] の順に選択します。

ステップ 4 該当する DCA チャネルのチェックボックスを選択します。選択したチャネルが、[Selected DCA channels] テキスト ボックスに表示されます。

ステップ 5 イベント駆動型無線リソース管理(RRM)を有効または無効にします。CleanAir 対応アクセス ポイントが重大なレベルの干渉を検出すると、イベント駆動型 RRM が使用されます。次の手順を実行します。

[Event Driven RRM]:スペクトル イベント駆動型 RRM を有効または無効にします。デフォルトでは、[Event Driven RRM] は有効です。

[Sensitivity Threshold]:[Event Driven RRM] が有効の場合、このテキスト ボックスには、イベント駆動型 RRM が生成されるしきい値レベルが表示されます。値は、[Low]、[Medium]、または [High] のいずれかになります。アクセス ポイントの干渉がしきい値レベルを上回ると、RRM はローカルの動的チャネル割り当て(DCA)の実行を開始し、ネットワークのパフォーマンスを改善するために可能な場合は影響を受けるアクセス ポイント無線のチャネルを変更します。[Low] は、環境の変更に対する感度を下げることを表すのに対して、[High] は、感度を上げることを表します

ステップ 6 [Save] をクリックします。


 

802.11b/g/n RRM 無線のグループ化の設定

個々のコントローラに対する 802.11b/g/n RRM 無線のグループ化を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバーのメニューから、[802.11b/g/n] > [RRM] > [RF Grouping] の順に選択します。

ステップ 4 ドロップダウン リストからグループ化モードを選択します。次のパラメータが表示されます。

[Automatic]:自動的な RRM グループ化アルゴリズムをアクティブ化できます。これは、デフォルトのモードです。

[Off]:自動グループ化を非アクティブ化できます。

[Leader]:グループにメンバーを割り当てることができます。

ステップ 5 ドロップダウン リストからグループ更新間隔(秒)を選択します。グループ化がオンになっている場合、この間隔(秒単位)は、グループ化アルゴリズムがグループ リーダーによって実行される期間を表します。グループ化アルゴリズムは、グループの内容が変更され、自動グループ化が有効であるときも実行されます。動的グループ化は、システム管理者からの要求時に開始できます。デフォルト値は 600 秒です。

ステップ 6 [RF Group Members] グループ ボックスで、[Add >] をクリックします。選択したコントローラは、[Available Controllers] から [RF Group Members] リストに移動されます。


) [RF Group Members] グループ ボックスは、グループ化モードが [Leader] に設定されている場合のみ表示されます。



) RF グループに追加できるコントローラの最大数は 20 です。


ステップ 7 [Save] をクリックします。


 

802.11b/g/n のメディア パラメータの設定

802.11b/g/n のメディア パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11b/g/n] > [Media Parameters] の順に選択します。

ステップ 4 [Voice] タブで、次のパラメータを設定します。

[Admission Control (ACM)]:アドミッション制御を有効にするには、このチェックボックスを選択します。

VoIP 通話中にエンド ユーザが許容できる音声品質と感じるよう、パケットはエンドポイントから別のエンドポイントまで低遅延、低パケット損失で配送される必要があります。異なるネットワーク負荷の下で QoS を維持するには、コール アドミッション制御(CAC)が必要です。アクセス ポイントでの CAC により、アクセス ポイントは、ネットワークの輻輳時でも QoS が制御された状態を維持し、許容する最大の通話数を許容できる数に保つことができます。

[CAC Method]:[Admission Control (ACM)] が有効になっている場合、CAC 方式を負荷ベースまたはスタティックに指定します。

負荷ベースの CAC で取り入れられている測定方式では、それ自体からのすべてのトラフィック タイプによって同一チャネル アクセス ポイントで消費される帯域幅や、同一チャネルの干渉によって消費される帯域幅が考慮されています。load-based の CAC では、PHY およびチャネル欠陥の結果発生する追加の帯域幅消費も対象となります。

負荷ベース CAC では、RF チャネル、チャネル干渉、およびアクセス ポイントが許容できるその他のコールが、アクセス ポイントによって定期的に測定および更新されます。アクセス ポイントは、コールをサポートするのに十分なだけの未使用帯域幅がチャネルにある場合に限り、新規のコールを許可します。このようにすることで、負荷ベースの CAC は、チャネルのオーバーサブスクリプションを防ぎ、WLAN の負荷および干渉のあらゆる状況下で QoS を維持します。

[Maximum Bandwidth Allowed]:許容される最大帯域幅の割合を指定します。このオプションは、CAC が有効の場合のみ使用可能です。有効な範囲は 5 ~ 85 です。

[Reserved Roaming Bandwidth]:予約済みのローミング帯域幅の割合を指定します。このオプションは、CAC が有効の場合のみ使用可能です。有効な範囲は 0 ~ 25 です。

[Expedited Bandwidth]:緊急コール用に CAC の拡張として緊急帯域幅を有効にするには、このチェックボックスを選択します。

より高い優先度が TSPEC 要求に与えられるように、CCXv5 準拠の優先帯域幅が必要となります。

[SIP CAC]:SIP CAC を有効にするには、このチェックボックスを選択します。

SIP CAC は、ステータス コード 17 をサポートし、TSPEC ベースのアドミッション制御をサポートしない電話のみに使用する必要があります。

[SIP Codec]:この無線で使用するコーデック名を指定します。使用可能なオプションは、[G.711]、[G.729]、および [User Defined] です。

[SIP Call Bandwidth]:ネットワークで SIP コールごとに割り当てる帯域幅(キロビット/秒単位)を指定します。このフィールドは、選択されている [SIP Codec] が [User Defined] である場合のみ設定できます。

[SIP Sample Interval]:コーデックを動作させる必要があるサンプルの間隔(ミリ秒)を指定します。

[Max Voice Calls per Radio]:無線ごとに行うことができるボイスコールの最大数を示します。


) [Max Voice Calls per Radio] の値は設定できません。これは、選択された CAC 方式、許容される最大帯域幅、ローミング帯域幅に基づいて自動的に計算されます。


[Max Roaming Reserved Calls per Radio]:無線ごとに予約できるローミング コールの最大数を示します。


) [Max Voice Calls per Radio] および [Max Roaming Reserved Calls per Radio] オプションは、[CAC Method] が [Static] として指定され、SIP CAC が有効になっている場合にだけ使用できます。


[Metric Collection]:メトリック収集を有効にするには、このチェックボックスを選択します。

トラフィック ストリーム メトリックは、ワイヤレス LAN での VoIP に関する一連の統計情報で、ワイヤレス LAN の QoS を通知します。アクセス ポイントで測定値を収集するには、トラフィック ストリーム メトリックが有効であることが必要です。これを有効にすると、コントローラは、関連付けられたすべてのアクセス ポイントから、90 秒ごとに 802.11b/g インターフェイスに関する統計情報データの収集を開始します。VoIP またはビデオを使用している場合は、この機能を有効にする必要があります。

ステップ 5 [Video] タブで、次のパラメータを設定します。

[Admission Control (ACM)]:アドミッション制御を有効にするには、このチェックボックスを選択します。

[Maximum Bandwidth]:許可される最大帯域幅の割合を指定します。このオプションは、CAC が有効の場合のみ使用可能です。コントローラ バージョン 6.0.188.0 以前の場合、有効な範囲は 0 ~ 100 です。コントローラ バージョン 6.0.188.1 以降の場合、有効な範囲は 5 ~ 85 です。

[Reserved Roaming Bandwidth]:予約済みのローミング帯域幅の割合を指定します。このオプションは、CAC が有効の場合のみ使用可能です。有効な範囲は 0 ~ 25 です。

[Unicast Video Redirect]:ビデオ キュー内のすべての非メディア ストリーム パケットがベスト エフォート キューにリダイレクトされるようにするには、[Unicast Video Redirect] チェックボックスを選択します。無効にすると、ビデオ マーキングのあるパケットはすべてのビデオ キューに保持されます。

[Client Minimum Phy Rate]:クライアントがメディア ストリームに加入するために必要な物理データ レートを [Client Minimum Phy Rate] ドロップダウン リストから指定します。

[Multicast Direct Enable]:この無線でどの WLAN でも Media Direct を有効にするには、[Multicast Direct Enable] チェックボックスを選択します。

[Maximum Number of Streams per Radio]:許可される無線ごとのストリームの最大数を指定します。

[Maximum Number of Streams per Client]:許可されるクライアントごとのストリーム最大数を指定します。

[Best Effort QOS Admission]:新しいクライアント要求をベスト エフォート キューにリダイレクトするには、[Best Effort QOS Admission] チェックボックスを選択します。これは、すべてのビデオ帯域幅が使用されている場合のみ発生します。


) 無効になっており、最大のビデオ帯域幅が使用されている場合、新しいクライアント要求は拒否されます。


ステップ 6 [General] タブで、次のフィールドを設定します。

[Maximum Media Bandwidth (0 to 85%)]:許可される最大帯域幅の割合を指定します。このオプションは、CAC が有効の場合のみ使用可能です。

ステップ 7 [Save] をクリックします。


) SIP は、コントローラ 4400 および 5500 のみで使用可能です。また、SIP は、アクセス ポイント 1240、1130、および 11n のみで使用可能です。



 

コマンド ボタン

[Save]:行った変更を保存します。

[Audit]:コントローラで使用される値と Prime Infrastructure の値を比較します。

802.11b/g/n の EDCA パラメータの設定

802.11b/g/n に対する EDCA パラメータ(EDCA プロファイル設定と Streaming MAC Enable 設定)は、個々のコントローラまたはコントローラ テンプレートのいずれかを使用して、音声 QoS サポートを向上させるように設定できます。

個々のコントローラの [802.11b/g/n EDCA] パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11b/g/n] > [EDCA Parameters] を選択します。

ステップ 4 ドロップダウン リストから [EDCA Profile] を選択します。


) プロファイルには、Wi-Fi Multimedia (WMM)、Spectralink Voice Priority (SVP)、Voice Optimized、および Voice & Video Optimized が含まれます。WMM がデフォルトの EDCA プロファイルです。



) 無線インターフェイスをシャットダウンしてから、EDCA パラメータを設定してください。


ステップ 5 [Enable Streaming MAC] チェックボックスを選択にして、この機能を有効にします。


) ネットワーク上のすべてのクライアントが WMM 準拠の場合にだけ、Streaming MAC を有効にしてください。



 

802.11b/g/n のローミング パラメータの設定

個々のコントローラの [802.11b/g/n EDCA] パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューで、[802.11b/g/n] > [Roaming Parameters] を選択します。

ステップ 4 [Mode] ドロップダウン リストから、[Default values] または [Custom values] を選択します。

[Default values]:テキスト ボックスにデフォルト値(読み取り専用)が自動的に表示されます。

[Custom values]:ローミング パラメータの編集を可能にするには、テキスト ボックスをアクティブ化します。

ステップ 5 [Minimum RSSI] テキスト ボックスには、クライアントがアクセス ポイントにアソシエートするときに必要な受信信号強度(RSSI)の最小値を入力します。

範囲:-80 ~ -90 dBm

デフォルト:-85 dBm


) クライアントの平均の受信信号の強度がこのしきい値よりも低い場合、通常信頼できる通信は不可能です。RSSI の最小値に達する前に、クライアントはより強い信号のある別のアクセス ポイントをすでに見つけてローミングしている必要があります。


ステップ 6 [Hysteresis] テキスト ボックスに、クライアントが近隣のアクセス ポイントにローミングするために必要なアクセス ポイントの信号強度を示す値を入力します。

このフィールドは、クライアントが物理的に 2 つのアクセス ポイント間の境界上やその近くにある場合に、アクセス ポイント間の「ピンポン」の量を減らすためのものです。

範囲:2 ~ 4 dB

デフォルト:3 dB

ステップ 7 [Adaptive Scan Threshold] テキスト ボックスに、クライアントがアソシエートしたアクセス ポイントの RSSI 値を入力します。これよりも小さい場合、クライアントは指定された移行時間内に隣接するアクセス ポイントにローミングできる必要があります。

このフィールドは、クライアントがアクティブまたはパッシブ スキャンで費やす時間を最小限に抑えるための節電方法を提供します。たとえば、クライアントは RSSI がしきい値よりも高いときにはゆっくりとスキャンし、しきい値よりも低いときにはより速くスキャンすることができます。

範囲:-70 ~ -77 dB

デフォルト:-72 dB

ステップ 8 [Transition Time] テキスト ボックスには、クライアントがアソシエートしているアクセス ポイントからの RSSI がスキャンしきい値を下回った場合には常に、ローミングに適した近隣のアクセス ポイントを検出してローミングを完了するまでの最大許容時間を入力します。

[Scan Threshold] パラメータと [Transition Time] パラメータは、クライアントのローミング パフォーマンスの最低レベルを保証します。これらのパラメータを使用すると、最も高いクライアント速度とローミング ヒステリシスが得られるだけでなく、アクセス ポイント間の一定の最小オーバーラップ距離を確保することにより、ローミングをサポートする無線 LAN ネットワークを設計することが可能となります。

範囲:1 ~ 10 秒

デフォルト:5 秒

ステップ 9 [Save] をクリックします。


 

802.11b/g/n のハイ スループット(802.11n)パラメータの設定

802.11b/g/n のハイ スループット パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11b/g/n] > [High Throughput] を選択します。

ステップ 4 高いスループットを可能にするには、[802.11n Network Status Enabled] チェックボックスを選択します。

ステップ 5 [MCS (Data Rate) Settings] で、サポートするデータ レートのレベルを選択します。MCS は、802.11a データ レートと似た変調符号化方式です。デフォルトでは、20MHz のショート ガード インターバルが使用されます。


) [Supported] チェックボックスを選択すると、選択した数値が [Selected MCS Indexes] ページに表示されます。


ステップ 6 [Save] をクリックします。


 

802.11b/g/n の CleanAir パラメータの設定

802.11b/g/n の CleanAir パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[802.11b/g/n] > [CleanAir] を選択して、次の情報を表示します。

[CleanAir]:このチェックボックスを選択して 802.11b/g/n ネットワークで CleanAir 機能を有効にするか、選択解除してコントローラがスペクトラム干渉を検出しないようにします。デフォルト値はオンです。

[Reporting Configuration]:レポートで含める干渉デバイスを設定するには、このセクションのパラメータを使用します。

[Report]:[report interferers] チェックボックスを選択して、CleanAir システムが干渉源を報告して検出できるようにするか、選択解除して、コントローラが干渉を報告しないようにします。デフォルト値はオンです。

CleanAir システムで検出および報告する必要がある干渉源が、[Interferences to Detect] テキスト ボックスに表示され、検出する必要がない干渉源が [Interferers to Ignore] テキスト ボックスに表示されることを確認します。[>] および [<] ボタンを使用して、これらの 2 つのテキスト ボックス間で干渉源を移動します。デフォルトでは、すべての干渉源が検出されます。

CleanAir で検出できる持続性デバイスに関する情報を伝播できるようにするには、[Persistent Device Propagation] チェックボックスを選択します。持続性デバイスの伝播によって、干渉タイプに関する情報を指定して、この情報を近隣のアクセス ポイントに伝播できます。永続型の干渉源は、検出されない場合でも、常にいずれかに存在し、WLAN の動作に干渉しています。

[Alarm Configuration]:このグループ ボックスでは、電波品質アラームの生成を設定できます。

[Air Quality Alarm]:[Air Quality Alarm] チェックボックスを選択して電波品質アラームの生成を有効にするか、このチェックボックスを選択解除してこの機能を無効にします。デフォルト値はオンです。

[Air Quality Alarm Threshold]:[Air Quality Alarm] チェックボックスを選択した場合は、[Air Quality Alarm Threshold] テキスト ボックスに 1 ~ 100 までの値を入力して、電波品質アラームが生成されるしきい値を指定します。電波品質がしきい値レベルを下回ると、アラームが生成されます。値 1 は最低の電波品質を表し、100 は最高を表します。デフォルト値は 35 です。

[Air Quality Unclassified category Alarm]:未分類の干渉源カテゴリについてアラームを生成できるようにするには、[Air Quality Unclassified category Alarm] チェックボックスを選択します。Cisco CleanAir は、未分類の干渉源を検出してモニタできます。未分類の干渉源は、検出はされるものの、既知のいずれの干渉タイプにも対応しない干渉源です。

未分類カテゴリのアラームは、未分類の重大度が設定済みのしきい値を上回るか、Air Quality インデックスが設定済みのしきい値を下回ると生成されます。

[Air Quality Unclassified Category Severity Threshold]:[Air Quality Unclassified category Alarm] チェックボックスを選択した場合、[Air Quality Unclassified Severity Threshold] テキスト ボックスに 1 ~ 99 までの間の値を入力して、未分類カテゴリのアラームを生成するしきい値を指定します。デフォルト値は 20 です。

[Interferers For Security Alarm]:[Interferers For Security Alarm] チェックボックスを選択して、コントローラが指定されたデバイス タイプを検出したときに干渉アラームを生成するか、選択解除してこの機能を無効にします。デフォルト値はオンです。

干渉アラームを生成する必要があるすべての干渉源が [Interferers Selected for Security Alarms] テキスト ボックスに表示され、干渉アラームを生成する必要がないすべての干渉源が [Interferers Ignored for Security Alarms] テキスト ボックスに表示されることを確認してください。[>] および [<] ボタンを使用して、これらの 2 つのテキスト ボックス間で干渉源を移動します。デフォルトでは、すべての干渉源が干渉アラームを生成します。

[Event Driven RRM]:CleanAir 対応アクセス ポイントが重大なレベルの干渉を検出したときに実行するスペクトル イベント駆動型無線リソース管理(RRM)を起動するには、次のパラメータを使用します。

[Event Driven RRM]:スペクトル イベント駆動型 RRM の現在のステータスを表示します。

[Sensitivity Threshold]:[Event Driven RRM] が有効の場合、このテキスト ボックスには、イベント駆動型 RRM が生成されるしきい値レベルが表示されます。値は、[Low]、[Medium]、または [High] のいずれかになります。アクセス ポイントの干渉がしきい値レベルを上回ると、RRM はローカルの動的チャネル割り当て(DCA)の実行を開始し、ネットワークのパフォーマンスを改善するために可能な場合は影響を受けるアクセス ポイント無線のチャネルを変更します。[Low] は、環境の変更に対する感度を下げることを表すのに対して、[High] は、感度を上げることを表します。

コマンド ボタン

[Save]:行った変更を保存します。

[Audit]:コントローラで使用される値と Prime Infrastructure の値を比較します。


 

メッシュ パラメータの設定

個々のコントローラのメッシュ パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[Mesh] > [Mesh Settings] を選択します。

ステップ 4 次のメッシュ パラメータを表示または編集します。

[RootAP to MeshAP Range (150 - 13200 ft)]:デフォルトでは、この値は 12,000 フィートです。150 ~ 132,000 フィートの値を入力できます。ルート アクセス ポイントとメッシュ アクセス ポイント間の適切な距離をフィート単位で入力します。このグローバル フィールドは、コントローラにアクセス ポイントが接続されるとすべてのアクセス ポイントに適用され、ネットワーク内に存在するすべての既存のアクセス ポイントにも適用されます。

[Client Access on Backhaul Link]:この機能を有効にすると、802.11a バックホールを介してメッシュ アクセス ポイントを 802.11a ワイヤレス クライアントに関連付けることができます。802.11a バックホールでは、ルートとメッシュ アクセス ポイント間の既存の通信に加えて、クライアント アソシエーションが行われます。この機能は 2 つの無線のあるアクセス ポイントだけに適用されます。詳細については、「1524SB デュアル バックホールでのクライアント アクセス」を参照してください。


) バックホール クライアント アクセスを変更すると、すべてのメッシュ アクセス ポイントがリブートされます。


[Mesh DCA Channels]:有効または無効にします。このオプションは、デフォルトで無効です。DCA チャネル リストを使用してコントローラでバックホール チャネルを選択解除できるようにするには、このオプションを有効にします。コントローラ DCA リスト内のチャネルに対する変更はすべて、関連付けられたアクセス ポイントに適用されます。このオプションは、1524SB メッシュ アクセス ポイントのみに適用可能です。この機能の詳細については、「Prime Infrastructure を使用したバックホール チャネルの選択解除」を参照してください。

[Background Scanning]:[Background Scanning] チェックボックスを選択してバックグラウンド スキャンを有効にするか、選択解除してこの機能を無効にします。デフォルト値は [disabled] です。バックグラウンド スキャンにより、Cisco Aironet 1510 アクセス ポイントは、より最適なパスと親を探すために、能動的に連続して別のネイバーがいるチャネルをモニタできます。

[Security Mode]:[Security Mode] ドロップダウン リストから [EAP](拡張認証プロトコル)または [PSK](事前共有キー)を選択します。


) セキュリティを変更すると、すべてのメッシュ アクセス ポイントがリブートされます。


ステップ 5 [Save] をクリックします。


 

1524SB デュアル バックホールでのクライアント アクセス

1524 シリアル バックホール(SB)アクセス ポイントは、3 つの無線スロットで構成されます。スロット 0 の無線は、クライアント アクセスに使用される 2.4 GHz の周波数帯域で動作します。スロット 1 とスロット 2 の無線は 5.8 GHz 帯域で動作し、主にバックホールに使用されます。ただし、ユニバーサル クライアント アクセス機能を使用すると、スロット 1 とスロット 2 の無線でもクライアント アクセスが可能です。

2 つの 802.11a バックホール無線は、同じ MAC アドレスを使用します。同じ WLAN が複数のスロット内の同じ BSSID にマップされることがあります。

デフォルトでは、両方のバックホール無線によるクライアント アクセスは無効です。

無線スロットを有効または無効にするには、次のガイドラインに従う必要があります。

スロット 2 でのクライアント アクセスが無効の場合でも、スロット 1 でクライアント アクセスを有効にできます。

スロット 1 でのクライアント アクセスが有効の場合のみ、スロット 2 でクライアント アクセスを有効にできます。

スロット 1 でクライアント アクセスを無効にすると、スロット 2 でのクライアント アクセスは自動的に無効になります。

クライアント アクセスを有効または無効にすると常に、すべてのメッシュ アクセス ポイントがリブートされます。

次のいずれかから、バックホール無線によるクライアント アクセスを設定できます。

コントローラのコマンドライン インターフェイス(CLI)

コントローラのグラフィカル ユーザ インターフェイス(GUI)

Prime Infrastructure GUI。詳細については、「Prime Infrastructure の GUI を使用したクライアント アクセスの設定」を参照してください。


) CLI および GUI を使用したクライアント アクセスの設定手順は、『Controller Configuration Guide』に記載されています。


Prime Infrastructure の GUI を使用したクライアント アクセスの設定

2 つのバックホール無線でクライアント アクセスを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] > [Controller IP] > [Mesh] > [Mesh Settings] を選択します

ステップ 2 [Client Access on Backhaul Link] チェックボックスを選択します。

ステップ 3 拡張したバックホール クライアント アクセスを有効にする場合は、[Extended Backhaul Client Access] チェックボックスを選択します。

ステップ 4 [Save] をクリックします。

警告メッセージが表示されます。

Enabling client access on both backhaul slots will use same BSSIDs on both the slots. Changing Backhaul Client Access will reboot all Mesh APs.
 

ステップ 5 [OK] をクリックします。

ユニバーサル クライアント アクセスが、両方の無線で設定されます。


 

Prime Infrastructure を使用したバックホール チャネルの選択解除

バックホール チャネルの選択解除を設定するには、次の手順を実行します。


ステップ 1 最初に、コントローラでメッシュ DCA チャネル フラグを設定する必要があります。詳細については、「Prime Infrastructure を使用したコントローラでのメッシュ DCA チャネル フラグの設定」を参照してください。

ステップ 2 次に、設定グループを使用してチャネル リストを変更します。詳細については、「設定グループを使用したチャネル リストの変更」を参照してください。


 

ここでは、次の内容について説明します。

「Prime Infrastructure を使用したコントローラでのメッシュ DCA チャネル フラグの設定」

「設定グループを使用したチャネル リストの変更」

Prime Infrastructure を使用したコントローラでのメッシュ DCA チャネル フラグの設定

1 つ以上のコントローラでの各チャネルの変更を、関連付けられたすべての 1524SB アクセス ポイントに適用するよう、メッシュ DCA チャネル フラグを設定できます。この機能を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] > [ ip address of controller ] > [Mesh] > [Mesh Settings] を選択して、特定のコントローラ用にこのフラグを設定します。

または

[Configure] > [Controller Template Launch Pad] > [Mesh] > [Mesh Settings] を選択して、コントローラのリスト用にこのフラグを設定します。

[Mesh Settings] ページが表示されます。

ステップ 2 [general] オプションで、[Mesh DCA Channels] オプションを選択して、チャネルの選択を有効にします。このオプションは、デフォルトでは選択解除されています。

これで、コントローラでのチャネルの変更が、関連付けられた 1524SB アクセス ポイントに適用されます。


 

設定グループを使用したチャネル リストの変更

コントローラの設定グループを使用して、バックホール チャネルの選択解除を設定できます。設定グループを作成して、必要なコントローラをグループに追加し、[Country/DCA] タブを使用してそのグループ内のコントローラのチャネルを選択または選択解除できます。

設定グループを使用してバックホール チャネルの選択解除を設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller Config Groups] を選択します。

ステップ 2 設定グループの詳細を表示する設定グループを選択します。

ステップ 3 [Config Group detail] ページで、[Country/DCA] タブをクリックします。

ステップ 4 設定グループのチャネルを選択または選択解除します。


 


) コントローラからバックホール チャネルの選択解除を設定することもできます。詳細については、コントローラのオンライン ヘルプまたは『Controller User Guide』を参照してください。


ポート パラメータの設定

個々のコントローラのポート パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[Ports] > [Port Settings] を選択します。

ステップ 4 該当するポート番号をクリックして、[Port Settings Details] ページを開きます。次のパラメータが表示されます。

一般的なパラメータ:

[Port Number]:読み取り専用。

[Admin Status]:ドロップダウン リストから [Enabled] または [Disabled] を選択します。

[Physical Mode]:[Auto Negotiate] または [Full Duplex 1 Gbps] を選択します。

[STP Mode]:[802.1D]、[Fast]、または [Off] を選択します。

[Mirror Mode]:[Enabled] または [Disabled] を選択します。

[Link Traps]:[Enabled] または [Disabled] を選択します。

Power Over Ethernet

[Multicast Application Mode]:[Enabled] または [Disabled] を選択します。

スパニングツリー プロトコル パラメータ:

[Priority]:最適なスイッチのプライオリティ番号。

[Path Cost]:ネットワーク管理者によって割り当てられ、インターネットワーク環境で最も望ましいパス(コストが低いほど、適したパスになります)を判別するために使用される値(通常、ホップ カウント、メディア帯域幅、またはその他の測定に基づく)。

ステップ 5 [General] または [Spanning Tree Protocol] 設定で [Save] または [Audit] を選択します。


 

トラップ レシーバの設定

ここでは、次の内容について説明します。

「個々のコントローラのトラップ レシーバの設定」

「新規レシーバの追加」

個々のコントローラのトラップ レシーバの設定

個々のコントローラのトラップ レシーバを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[Management] > [Trap Receivers] の順に選択します。

ステップ 4 現在のトラップ レシーバについて、次のパラメータが表示されます。

[Template Name]:このテンプレートのユーザ定義の名前。

[IP Address]:サーバの IP アドレス。

[Admin Status]:SNMP トラップをレシーバに送信するには、ステータスを有効にする必要があります。

ステップ 5 詳細にアクセスするには、レシーバ名をクリックします。

ステップ 6 トラップ レシーバを有効にするには、[Admin Status] チェックボックスを選択します。トラップ レシーバを無効にするには、このチェックボックスを選択解除します。

ステップ 7 [Save] をクリックします。


 

新規レシーバの追加

新規レシーバを追加するには、次の手順を実行します。


ステップ 1 [Select a command] ドロップダウン リストから [Add Receiver] を選択します。

ステップ 2 [Go] をクリックします。

ステップ 3 [Select a template to apply to this controller] ドロップダウン リストから、このコントローラに適用する適切なテンプレートを選択します。


トラップ レシーバの新規テンプレートを作成するには、[click here] リンクを使用して、適切なテンプレート作成ページにアクセスします。


ステップ 4 [Apply] をクリックします。


 

トラップ制御パラメータの設定

個々のコントローラのトラップ制御パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[Management] > [Trap Control] の順に選択します。

適用されるテンプレートが特定されます(該当する場合)。詳細については、「トラップ制御テンプレートの設定」を参照してください。

このコントローラの次のトラップを有効にできます。

一般的なトラップ

[SNMP Authentication]:SNMPv2 エンティティが、適切に認証されていないプロトコル メッセージを受信しました。


) SNMP V3 モードで設定されているユーザが正しくないパスワードでコントローラにアクセスを試みると、認証は失敗し、エラー メッセージが表示されます。ただし、認証エラーの場合、トラップ ログは生成されません。


[Link (Port) Up/Down]:リンクのステータスは、アップまたはダウンから変更されます。

[Multiple Users]:2 人のユーザが同じログイン ID でログインしています。

[Spanning Tree]:スパニングツリー トラップ。個々のパラメータについては、STP 仕様を参照してください。

[Rogue AP]:不正アクセス ポイントが検出されるたびに、このトラップが MAC アドレスとともに送信されます。以前に検出された不正アクセス ポイントが存在しなくなっている場合は、このトラップが送信されます。

[Config Save]:コントローラ設定が変更されると送信される通知。

クライアント関連トラップ

[802.11 Association]:クライアントがアソシエーション フレームを送信すると、アソシエーション通知が送信されます。

[802.11 Disassociation]:クライアントがディスアソシエーション フレームを送信すると、ディスアソシエーション通知が送信されます。

[802.11 Deauthentication]:クライアントが認証解除フレームを送信すると、認証解除通知が送信されます。

[802.11 Failed Authentication]:クライアントが「成功」以外のステータス コードの認証フレームを送信すると、認証エラー通知が送信されます。

[802.11 Failed Association]:クライアントが「成功」以外のステータス コードのアソシエーション フレームを送信すると、アソシエーション エラー通知が送信されます。

[Excluded]:クライアントが除外されると、アソシエーション エラー通知が送信されます。

Cisco AP トラップ

[AP Register]:アクセス ポイントがコントローラに関連付けられるか、関連付け解除されると送信される通知。

[AP Interface Up/Down]:アクセス ポイント インターフェイス(802.11a または 802.11b/g)のステータスがアップまたはダウンになると送信される通知。

自動 RF プロファイル トラップ

[Load Profile]:[Load Profile] 状態が PASS と FAIL の間で変更されると送信される通知。

[Noise Profile]:[Noise Profile] 状態が PASS と FAIL の間で変更されると送信される通知。

[Interference Profile]:[Interference Profile] 状態が PASS と FAIL の間で変更されると送信される通知。

[Coverage Profile]:[Coverage Profile] 状態が PASS と FAIL の間で変更されると送信される通知。

自動 RF 更新トラップ

[Channel Update]:アクセス ポイントの動的チャネル アルゴリズムが更新されると送信される通知。

[Tx Power Update]:アクセス ポイントの動的送信電力アルゴリズムが更新されると送信される通知。

AAA トラップ

[User Auth Failure]:このトラップは、クライアントの RADIUS 認証の失敗が発生したことを通知します。

[RADIUS Server No Response]:このトラップは、RADIUS クライアントが送信した認証要求に応答する RADIUS サーバがないことを示します。

IP セキュリティ トラップ

[ESP Authentication Failure]:無効なハッシュを持つ IPsec パケットが着信 ESP SA で見つかりました。

[ESP Replay Failure]:無効なシーケンス番号を持つ IPsec パケットが着信 ESP SA で見つかりました。

[Invalid SPI]:不明な SPI を持つパケットが、指定されたプロトコルを使用する指定された SPI を持つ指定されたピアから検出されました。

[IKE Negotiation Failure]:フェーズ 1 IKE SA のネゴシエーションの試行が失敗しました。ネゴシエーション エラーの総数カウンタの現在の値とともに、トラップの一部として通知回数も送信されます。

[IKE Suite Failure]:指定されたセレクタのフェーズ 2 SA スイートのネゴシエーションの試行が失敗しました。この障害に関係した通知の通知タイプ回数とともに、現在の合計障害回数が渡されます。

[Invalid Cookie]:指定された宛先への無効な cookie がある ISAKMP パケットが、指定された送信元から検出されました。発信側と送信側の cookie もトラップとともに送信されます。

802.11 セキュリティ トラップ

[WEP Decrypt Error]:コントローラが WEP 復号エラーを検出すると送信される通知。

WPS トラップ

[Rogue Auto Containment]:不正アクセス ポイントが自動的に封じ込められると送信される通知。

ステップ 4 該当するパラメータの選択後に、[Save] をクリックします。


 

Telnet SSH パラメータの設定

個々のコントローラの Telnet SSH(セキュア シェル)パラメータを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[Management] > [Telnet SSH] の順に選択します。

適用されるテンプレートが特定されます(該当する場合)。詳細については、「Telnet SSH テンプレートの設定」を参照してください。

次のパラメータを設定できます。

[Session Timeout]:ログオフされるまでに Telnet セッションが非アクティブの状態を継続できる分数を示します。0 は、タイムアウトしないことを意味します。0 ~ 160 までの数値で指定できます。工場出荷時のデフォルトは 5 です。

[Maximum Sessions]:ドロップダウン リストから、0 ~ 5 までの値を選択します。このオブジェクトは、許可される同時 Telnet セッションの数を示します。


) DS(ネットワーク)ポートでは、新しい Telnet セッションを許可または禁止できます。サービス ポートでは、新しい Telnet セッションは常に許可されます。


[Allow New Telnet Sessions]:[no] に設定すると、DS ポートでは新しい Telnet セッションが許可されないことを示します。工場出荷時のデフォルト値は [no] です。


) DS(ネットワーク)ポートでは、新しい Telnet セッションを許可または禁止できます。サービス ポートでは、新しい Telnet セッションは常に許可されます。


[Allow New SSH Sessions]:[no] に設定すると、新しいセキュア シェル Telnet セッションが許可されないことを示します。工場出荷時のデフォルト値は [yes] です。

ステップ 4 該当するパラメータの設定後に、[Save] をクリックします


 

個々のコントローラの Syslog の設定

個々のコントローラの Syslog を有効にするには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[Management] > [Syslog] の順に選択します。

適用されるテンプレートが特定されます(該当する場合)。詳細については、「レガシー Syslog テンプレートの設定」を参照してください。

[Syslog Enabled]:Syslog を有効にするには、このチェックボックスを選択します。

ステップ 4 [Save] をクリックします


 

複数の Syslog サーバの設定

リリース 5.0.148.0 以降のコントローラでは、WLAN コントローラで複数(3 つまで)の Syslog サーバを設定できます。それぞれのメッセージが記録されると、メッセージの重大度が設定済みの Syslog フィルタ重大度レベル以上である場合、コントローラは、メッセージのコピーを設定済みの各 Syslog ホストに送信します。

個々のコントローラの Syslog を有効にするには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[Management] > [Multiple Syslog] の順に選択します。

適用されるテンプレートが示されます。

[Syslog Server Address]:該当する Syslog のサーバ アドレスを示します。

ステップ 4 [Save] をクリックします


 

WEB 管理の設定

この項では、ディストリビューション システム ポートを Web ポート(HTTP を使用)またはセキュア Web ポート(HTTPS を使用)として有効にする手順について説明します。HTTPS を有効化すると、GUI との通信を保護できます。HTTPS は、Secure Socket Layer(SSL)プロトコルを使用して HTTP ブラウザ セッションを保護します。HTTPS を有効にすると、コントローラは独自の Web アドミニストレーション SSL 証明書を生成して、自動的に GUI に割り当てます。また、外部で生成された証明書をダウンロードすることもできます。

個々のコントローラの WEB 管理パラメータを有効にするには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[Management] > [Web Admin] の順に選択します。

次のパラメータを設定できます。

[Web Mode]:ドロップダウン リストから [Enable] または [Disable] を選択します。有効にすると、ユーザは、 https://ip-address を使用してコントローラの GUI にアクセスできます。デフォルトでは無効になっています。


) Web モードの接続は、セキュリティで保護されません。


[Secure Web Mode]:ドロップダウン リストから [Enable] または [Disable] を選択します。有効にすると、ユーザは、 https://ip-address を使用してコントローラの GUI にアクセスできます。デフォルトは [Enabled] です。


) セキュア Web モードの接続は、セキュリティで保護されています。


Certificate Type

[Download Web Admin Certificate]:[Download Web Admin Certificate to Controller] ページにアクセスする場合にクリックします。追加情報については、「コントローラへの Web 認証または Web 管理証明書のダウンロード」を参照してください。


) 新しい Web 管理証明書を有効にするには、コントローラをリブートする必要があります。



 

コマンド ボタン

Save

Audit

Regenerate Cert

コントローラへの Web 認証または Web 管理証明書のダウンロード

Web 認証または Web 管理証明書をコントローラにダウンロードするには、次の手順を実行します。


ステップ 1 [Download Web Admin Certificate] リンクをクリックします。

ステップ 2 [File is located on] フィールドで、ローカル マシンまたは TFTP サーバを指定します。


) 証明書が TFTP サーバにある場合は、サーバ ファイル名を入力します。ローカル マシンにある場合は、[Browse] をクリックして、ローカル ファイル名を入力します。


ステップ 3 [Server Name] テキスト ボックスに TFTP サーバ名を入力します。デフォルトは Prime Infrastructure サーバです。

ステップ 4 サーバの IP アドレスを入力します。

ステップ 5 [Maximum Retries] テキスト ボックスに、TFTP サーバによる証明書のダウンロードの最大試行回数を入力します。

ステップ 6 [Timeout] テキスト ボックスに、TFTP サーバが証明書のダウンロードを試行する時間(秒単位)を入力します。

ステップ 7 [Local File Name] テキスト ボックスに、証明書のディレクトリ パスを入力します。

ステップ 8 [Server File Name] テキスト ボックスに、証明書の名前を入力します。

ステップ 9 [Password] テキスト ボックスにパスワードを入力します。

ステップ 10 [OK] をクリックします。


 

ローカル管理ユーザの設定

このページには、ローカル管理ユーザの名前やアクセス権限の一覧が表示されます。

[Local Management Users] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[Management] > [Local Management Users] の順に選択します。

ステップ 4 ユーザ名をクリックします。

[User Name (read-only)]:ユーザの名前。

[Access Level (read-only)]:[Read Write] または [Read Only]。


 

認証の優先順位の設定

このページで、コントローラの管理ユーザの認証に使用する認証サーバの順序を制御できます。

[Authentication Priority] ページにアクセスするには、次の手順を実行します。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[Management] > [Authentication Priority] の順に選択します。

ステップ 4 最初にローカル データベースが検索されます。RADIUS または TACACS+ のどちらかを次の検索対象に選択します。ローカル データベースを使用した認証に失敗した場合に、コントローラは次の種類のサーバを使用します。

ステップ 5 [Save] をクリックします。


 

コマンド ボタン

[Save]:管理ユーザの認証順序に行った変更を保存して、前のページに戻ります。

[Audit]:コントローラで使用される値と Prime Infrastructure の値を比較します。

ロケーションの設定

[Location Configuration] ページで、有効期限、通知間隔、およびその他の詳細設定オプションなど、ロケーション パラメータを設定できます。

ロケーション テンプレートでは、次の一般パラメータと詳細パラメータを設定できます。

[General] パラメータ:RFID タグの収集の有効化、調整クライアントまたは通常の(非調整)クライアントのロケーション パス損失の設定、クライアント、タグ、および不正アクセス ポイントの測定通知の設定、クライアント、タグ、および不正アクセス ポイントの RSSI 有効期限タイムアウト値の設定を行います。

[Advanced] パラメータ:RFID タグ データ タイムアウト値の設定、調整クライアントのマルチバンドのロケーション パス損失設定の有効化を行います。

個々のコントローラのロケーションを設定するには、次の手順を実行します。


ステップ 1 [Configure] > [Controller] の順に選択します。

ステップ 2 適切な IP アドレスをクリックします。

ステップ 3 左側のサイドバー メニューから、[Location Configuration] > [Location Configuration] を選択します。

[Location Configuration] ページには、[General] と [Advanced] の 2 つのタブが表示されます。

ステップ 4 次の [General] パラメータを追加または変更します。

[RFID Tag Data Collection]:タグでデータの収集を有効にするには、このチェックボックスを選択します。

ロケーション サーバがコントローラからアセット タグ データを収集する前に、コントローラで CLI コマンド config rfid status enable を使用して、アクティブ RFID タグの検出を有効にする必要があります。

Location Path Loss Configuration

[Calibrating Client]:クライアントの調整を有効にするには、[Enabled] チェックボックスを選択します。コントローラは、クライアントを調整するために、アクセス ポイントを介して(クライアントの機能に応じて)通常の S36 または S60 要求を送信します。パケットは、すべてのチャネルで送信されます。すべてのアクセス ポイントが、それぞれの場所でクライアントから RSSI データを収集します。これらの追加送信およびチャネル変更は、同時に発生する音声またはビデオ トラフィックの質が低下する場合があります。


) 使用可能なすべての無線(802.11a/b/g/n)を使用するには、[Advanced] ページでマルチバ