Cisco Clean Access (NAC アプライアンス) Manager インストレーション アドミニストレーション ガイド Release 4.1(1)
デバイス管理:ローミング(廃止予定)
デバイス管理:ローミング(廃止予定)
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

デバイス管理:ローミング(廃止予定)

概要

要件

ローミングの仕組み

ローミング モード

準備

簡易ローミングの設定

拡張ローミングの設定

ローミング ユーザのモニタ

デバイス管理:ローミング(廃止予定)


警告 ローミング機能は廃止予定で、将来のリリースでは削除されます。


この章では、無線クライアントのサブネット ローミングを設定する方法について説明します。この章の内容は以下のとおりです。

「概要」

「準備」

「簡易ローミングの設定」

「拡張ローミングの設定」

「ローミング ユーザのモニタ」

概要

ローミングがイネーブルな場合、ユーザは Clean Access Server(CAS)で接続されたサブネット間を、ネットワーク接続を中断することなく物理的に移動できます。ローミングはユーザに対してトランスペアレントなため、引き続きインターネットをブラウズしたり、ネットワーク アプリケーションを使用したりすることができます。Web アプリケーションを使用している場合に作業が失われたり、再ログインが要求されたりすることはありません。

CAS は別の CAS が管理するアクセス ポイント範囲から移行したクライアントを識別して、ローミングをサポートします。新しい CAS はこれらのクライアントから元の CAS へのトラフィックをトンネリングします。

ユーザがアクセス ポイント間をローミングしても、無線クライアントによって確立された物理接続は中断されません。また、クライアントは同じ IP アドレスを保持するため、Virtual Private Network(VPN; バーチャル プライベート ネットワーク)接続にキーを再設定する必要はありません。

CAS のローミングは選択的にオンにすることができます。つまり、特定の CAS でローミングをイネーブルにして、その他の CAS でディセーブルにすることができます。CAS は複数のサブネットを管理できるため、サブネットごとにローミングをイネーブルにすることもできます。

要件

ネットワークがローミングをサポートするには、いくつかの要件があります。

ローミングをイネーブルにするすべてのアクセス ポイントで、SSID が同じでなければなりません。

アクセス ポイントの信号は重なっている必要があります。信号が途切れると、ユーザ接続が切断されます。

ローミングをサポートする各 CAS は、それぞれ異なるサブネット上になければなりません。

仮想ゲートウェイとして機能する CAS がサポートするのは、その他の仮想ゲートウェイ CAS とのローミングのみです。ローミングは実 IP ゲートウェイとして動作している CAS と、NAT(ネットワーク アドレス変換)ゲートウェイとして動作している CAS の間で発生しますが、これらのタイプと仮想ゲートウェイの間では発生しません。

ローミングの仕組み

ローミング対応ネットワークに最初にアクセスするユーザは、特定のアクセス ポイントと連携して、IP アドレスを取得します。また、セッションの認証およびセキュリティ暗号化パラメータも確立します。

図16-1 確立されたセッション

 

 

ユーザが新しいアクセス ポイントの範囲に移動した場合、別の CAS はユーザ デバイスの IP アドレスを使用して、セッション送信元の CAS を識別できます。

ユーザから送信されるすべてのトラフィックは元の CAS にトンネリングされ、クライアント宛のトラフィックは元の CAS から現在の CAS にトンネリングされます。フィルタリングやその他のトラフィック処理対策またはポリシーは、そこから適用されます。

その後、トラフィックは必要に応じてネットワークにルーティングされます。

図16-2 ローミングによるトラフィック ルーティング

 

ローミング モード

CAS には 2 つのローミング モードがあります。

簡易ローミング モード ― CAS が管理する各サブネットに関係なく、CAS によってローミングをオンまたはオフにできます。ローミングは CAS が管理するすべてのサブネットに適用されます。ほとんどの場合、簡易ローミング モードを使用できます。

拡張ローミング ― 特定の CAS が管理するサブネット レベルでローミングをオンまたはオフにできます。このモードを使用する必要があるのは、CAS がローミング要件の異なるサブネットを複数管理している場合のみです。サポート対象サブネットのアドレス スペース内の IP アドレスを取得したクライアントは、ローミングできますが、サポートされていないサブネットからアドレスを取得したクライアントは、ローミングできません(図16-3 を参照)。

図16-3 拡張ローミング

 

準備

ローミングを設定する前に、ローミングをサポートする CAS を Clean Access Manager(CAM)の管理ドメインに追加する必要があります。「管理ドメインへの CAS の追加」を参照してください。

拡張ローミングの場合は、CAS の設定に管理対象サブネットも追加する必要があります。管理対象サブネットの設定を表示または変更するには、CAS 設定ページへ移動します( Device Management > CCA Servers >Manage [CAS_IP] > Advanced > Managed Subnet )。詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) を参照してください。

管理対象 CAS を設定し、オプションとして管理対象サブネットを設定したら、次のセクションの手順に従ってローミングを設定します。

簡易ローミングの設定

簡易ローミング モードでは、ユーザのローミングを CAS ごとに許可します。特定の CAS からアドレスが割り当てられているユーザは、ローミングトラフィック転送サービスとしてここで設定した CAS ドメインにローミングできます。

簡易ローミング モードの設定手順:

1. CAM 管理コンソールで、 Device Management 管理グループ内の Roaming リンクをクリックします。

 

2. Simple Roaming Mode ボタンを選択し、 Update をクリックします。CAM で管理された CAS が Advanced Roaming Mode 見出しの下に表示されます。

 

ローミングを実行できるのは、フォームの下部に表示される、ローミング領域内の CAS 間のみです。ローミング領域は、ローミング互換動作モードで稼働している CAS で構成されます。実 IP/NAT タイプの CAS と仮想ゲートウェイ間では、ローミングを実行できません。

3. ローミングをサポートする CAS ごとに、 Enable ボタンをクリックします。CAS のローミングをイネーブルにすると、この CAS は別の CAS でセッションを起動したユーザからのパケットを、本来の CAS にパケットを転送します。つまり、この CAS はローミング ユーザの宛先としてイネーブルになります。

ステータス インジケータは、イネーブルとディセーブルの間で切り替わります。

4. 必要に応じて、特定のロールに対してローミングをイネーブルにします。特定のロールに対してローミングをイネーブルにする手順は、次のとおりです。

a. User Roles リンクをクリックします。

b. List of Roles タブで、ローミングをイネーブルにするロールに対応した Edit ボタンをクリックします。

c. 目的のロールの Roam Policy で、 Allow を選択します。

 

d. Save Role をクリックします。

ローミング ページで No Roaming オプションを選択し、 Update をクリックして、ローミングをいつでもオフにすることができます。プロンプトが表示されたら、処理を確認します。

拡張ローミングの設定

拡張ローミング モードを使用すると、管理対象サブネットごとにユーザのローミングをイネーブルまたはディセーブルにできます。CAS で管理される特定のサブネットからアドレスが割り当てられているユーザは、ここに記載された手順に従って、ローミング宛先としてイネーブル化された CAS ドメインにローミングできます。

1. ローミングを許可するサブネットが、送信元の CAS(ローミング ユーザの認証元)の Managed Subnet フォームで設定されていることを確認します。このフォームを表示するには、 Device Management > CCA Servers > Manage [CAS_IP] > Advanced > Managed Subnet に移動します。

 

2. CAS の Device Management module で、 Roaming リンクをクリックします。

3. Advanced Roaming Mode ボタンを選択し、 Update をクリックします。CAM で管理された CAS が Advanced Roaming Mode 見出しの下に表示されます。

 

4. ローミング宛先として設定する CAS の Manage ボタンをクリックします。

5. Enable Roaming オプションを選択してから、 Update をクリックします。

 

6. ローミング元としてイネーブルにする、別の CAS で管理されたサブネットごとに、 Add ボタンをクリックします。

 


) • リストに表示されるのは、CAS 管理ページの Managed Subnet フォームで設定済みのサブネットのみです。

転送カラムが [Yes] に変わることに注意してください。


 

 


) • Remove をクリックすると、ローミング元サブネットでクライアントのローミングがディセーブルになります。

Back をクリックすると、 Device > Roaming ページに戻ります。


 

7. 必要に応じて、特定のロールに対してローミングをイネーブルにします。特定のロールに対してローミングをイネーブルにする手順は、次のとおりです。

a. User Roles リンクをクリックします。

b. List of Roles タブで、ローミングをイネーブルにするロールに対応した Edit ボタンをクリックします。

c. 目的のロールの Roam Policy で、 Allow を選択します。

 

d. Save Role をクリックします。

ローミング ページで No Roaming オプションを選択し、 Update をクリックして、ローミングをいつでもオフにすることができます。プロンプトが表示されたら、処理を確認します。

ローミング ユーザのモニタ

ローミングしているユーザは、 Monitoring > Online Users > View Online Users ページで表示できます。このページには、ローミング ユーザ セッションの送信元 CAS、およびローミング先ドメインの CAS も表示されます。

ローミング ユーザを表示するには、 Monitoring 管理グループの Online Users リンクをクリックします。ローミング ユーザのエントリは、次のようになります。

 

ローミング ユーザの場合:

CCA Server カラムは、ユーザが最初にログインしたときに経由した CAS を示します。

Foreign CCA Server カラムは、ユーザが現在トラフィックを送信するときに経由している CAS(「ローミング先」CAS)を示します。監視できるオンライン ユーザ プロパティの詳細については、「設定の表示」を参照してください。