Identity-Based Networking Services コンフィギュレーション ガイド Cisco IOS XE Release 3SE(Catalyst 3650 スイッチ)
有線ゲスト アクセス
有線ゲスト アクセス

目次

有線ゲスト アクセス

有線ゲスト アクセス機能は、有線およびワイヤレスの両方のアクセスをサポートしている企業ネットワークのゲスト ユーザに対して、有線のイーサネット接続からのゲスト アクセス ネットワークへの接続を可能にします。 有線のイーサネット接続はゲスト アクセスに対して指定および設定されます。 モビリティ エージェントの有線セッションのゲストは、Control And Provisioning of Wireless Access Points(CAPWAP)トンネル経由で、非武装地帯(DMZ)のワイヤレス ゲスト コントローラに誘導されます。

有線ゲスト アクセスは、スタンドアロン設定または、アンカー コントローラと外部コントローラの両方を使用するデュアル コントローラ設定で設定できます。 デュアル コントローラ構成は、有線ゲスト アクセス トラフィックを分離しますが、有線ゲスト アクセスの導入は必要ありません。

有線ゲスト アクセス ポートは、まず、レイヤ 2 アクセス スイッチか、有線ゲストのアクセス トラフィック用 VLAN インターフェイスで設定されたスイッチ ポートで終端します。 有線ゲスト トラフィックはその後、アクセス スイッチからコントローラへトランクされます。 このコントローラは、アクセス スイッチの有線ゲスト アクセス VLAN にマップされているインターフェイスを使用して設定されます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、Bug Search Tool およびご使用のプラットフォームおよびソフトウェア リリースのリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を確認し、各機能がサポートされているリリースのリストを確認するには、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

有線ゲスト アクセスに関する制限

  • 有線クライアントのトンネリングは、クライアントが、オープン モード用に設定された Cisco Next Generation Wiring Closet(NGWC)デバイスのポートに接続されている場合にはサポートされません。

  • 有線クライアントのトンネリングは NGWC デバイスの Web 認証が成功した後はサポートされません。これは、Web 認証の後では、自動での IP アドレスの再割り当てがサポートされないためです。
  • NGWC デバイスは、コントローラで行われる Web 認証に基づくトンネルのみを経由したネットワーク アクセスをサポートします。
  • Network Advertisement and Selection Protocol(NASP)は有線クライアントではサポートされません。
  • ハイ アベイラビリティは、ワイヤレス セッションではサポートされていません。 有線クライアントに対してトンネル化されたゲスト アクセスが提供されている間にワイヤレス コントローラが失敗した場合、この状態が自動的にリカバリされることはありません。
  • 非アクティブ化エージングは、ワイヤレス コントローラに対してプロビジョニングされた有線クライアント(たとえば、コントローラで Web 認証が実行された後で受信された RADIUS のアクセス受け入れ要求内)ではサポートされません。

有線ゲスト アクセスについて

有線ゲスト アクセスの概要

有線およびワイヤレスのアクセス両方をサポートするエンタープライズ ネットワークは、2 つのアクセス メディアでクライアント エクスペリエンスと管理性の両方の面で一貫したゲスト サービスを提供する必要があります。 ワイヤレス ネットワークの場合、モビリティ アンカー デバイスからのゲスト トラフィックは、一般に Control And Provisioning of Wireless Access Points(CAPWAP)トンネルを経由して、非武装地帯(DMZ)にある一連のコントローラに転送されます。ここでは、Web 認証アクセスまたはオープン アクセスのいずれかが提供されます。 有線のゲスト トラフィックも、総称ルーティング カプセル化(GRE)のような従来からあるトンネリング メカニズムを使用して、DMZ にバックホールすることができます。 有線およびワイヤレスのアクセスが統合化された Cisco Next Generation Wiring Closet(NGWC)プラットフォームは、CAPWAP トンネリングを有線ゲストに拡張することもできます。これにより、コントローラ プラットフォーム(DMZ 内の)におけるほぼ同様の処理が可能になり、プロビジョニング オーバーヘッドを軽減することができます。

ただし、認証前に有線クライアントがゲストなのか、社内ネットワークへのアクセス権が必要なのかを判断できないため、セキュリティは引き続き問題となります。 したがって、クライアントがゲストであることが分かっている場合、DMZ に有線クライアントのトラフィックをトンネリングするという決定はできません。

有線クライアントはネットワーク選択の余地がないため、ゲスト トンネリングではオープン モードはサポートされません。 オープン モードでは、クライアントがアクセス スイッチに接続すると即座に IP アドレスが割り当てられます。 クライアントがトンネル経由で接続されると、Web 認証を試行するには、クライアントに DMZ でプロビジョニングされたサブネットから IP アドレスが再割り当てされている必要があります。

統合されたゲスト アクセス ソリューション

図 1. 統合されたゲスト アクセス ソリューション



上の図では、Cisco Next Generation Wiring Closet(NGWC)デバイスが、有線、ワイヤレスの両方のセッションの接続ポイントを形成し、適用可能な場合はレイヤ 2 認証を提供します。 モビリティ エージェント(外部デバイス)の有線セッションのゲストは Control And Provisioning of Wireless Access Points(CAPWAP)トンネルを経由して、非武装地帯(DMZ)内のワイヤレス コントローラ(アンカー デバイス)に誘導されます。 有線セッションのゲストには、ワイヤレス コントローラからオープン アクセスまたは Web 認証アクセスが提供されます。 この方法では、HTTP トラフィックを管理し、Web ページを提供するためにプロビジョニングされるネットワーク デバイスが 1 つのみであるため、ゲスト アクセスの管理が簡単になります。

有線ゲスト トラフィックから DMZ へのトンネルを使用することにより、同じコントローラ プラットフォームが Web 認証またはオープン アクセスを有線ゲストにも提供できるため、ゲスト アクセスの管理がさらに簡単になり、エンド ユーザの一貫したエクスペリエンスが保証されます。 CAPWAP トンネルをアクティブ化するには、外部デバイスとアンカー デバイスで一致するゲスト LAN プロファイルが設定されている必要があります。

認証、許可、およびアカウンティング(AAA)サービスは、レイヤ 2 認証のアクセス レイヤで必要です。また、このサービスは、オプションで有線クライアントに対するトンネルを開くようデバイスを誘導するためにも必要です。 DMZ は、クライアントのゲスト認証に AAA を使用します。 モビリティ コントローラ/モビリティ トンネル エンドポイント(MC/MTE)を使用すると、DMZ への CAPWAP トンネルを、一連のワイヤレス コントローラ間で負荷分散することができます。

CAPWAP トンネリング

有線ゲスト アクセスのエンタープライズ エッジ(eEdge)の実装では、Control And Provisioning of Wireless Access Points(CAPWAP)トンネルが Enterprise Policy Manager(EPM)プラグインとして実装されます。

トンネルがユーザ プロファイルまたはサービス テンプレート内で指定されている場合は、EPM が CAPWAP トンネルを呼び出します。 EPM は、ワイヤレス コントローラ モジュール(WCM)が、EPM がインストールされているセッションの CAPWAP トンネルを確立するよう要求します。 WCM が、エラーを返すか、任意の後続のポイントでの非請求のトンネルの終了を示すと、CAPWAP トンネルは EPM の失敗を通知します。 この障害はセッション マネージャでの認証の失敗イベントが原因であり、制御ポリシー ルールを指定して、障害処理の方法を決定することができます。

セッション マネージャは eEdge フレームワークでの有線セッションの作成と管理について責任を負います。 セッション マネージャは、セッション作成で audit-session-id を割り当て、データベースのセッション エントリにクライアント ID データを保存します。 また、接続エンドポイントの認証(認証が制御ポリシーで指定されている)も管理します。

要件に基づき、WCM は、NGWC スイッチでの有線クライアントの CAPWAP トンネリングの責任を負います。 WCM も、コントローラで、トンネリングされたワイヤレスおよび有線のゲスト セッションを同様に処理します。


(注)  


新しいトンネルは、アクセス スイッチと関連コントローラの間にトンネルがない場合にのみ確立されます。 トンネルがある場合、クライアントはそのトンネルに追加されます。

(注)  


ユーザ プロファイルを使用して CAPWAP トンネリングをアクティブ化するベンダー固有属性(VSA)は、「subscriber:capwap-tunnel-profile-name= name」です。

有線ゲスト アクセスの設定方法

ゲスト LAN の設定

手順の概要

    1.    enable

    2.    configure terminal

    3.    guest-lan profile-name [lan-id]

    4.    シャットダウン

    5.    client {association limit [max-connections] | vlan [vlan-id]}

    6.    security web-auth [parameter-map parameter-name]

    7.    mobility anchor [ip-address | mac-address]

    8.    no shutdown

    9.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Device> enable
     
    特権 EXEC モードをイネーブルにします。
    • パスワードを入力します(要求された場合)。

     
    ステップ 2configure terminal


    例:
    Device# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3guest-lan profile-name [lan-id]


    例:
    Device(config)# guest-lan guest-lan-name 1
     

    ワイヤレス ゲスト LAN ネットワークを設定し、ゲスト LAN のコンフィギュレーション モードを開始します。

     
    ステップ 4シャットダウン


    例:
    Device(config-guest-lan)# shutdown
     

    ゲスト LAN をディセーブルにします。

     
    ステップ 5client {association limit [max-connections] | vlan [vlan-id]}


    例:
    Device(config-guest-lan)# client vlan VLAN100
     

    クライアントに対してゲスト LAN をイネーブルにします。

     
    ステップ 6security web-auth [parameter-map parameter-name]


    例:
    Device(config-guest-lan)# security web-auth
     

    ゲスト LAN のセキュリティ ポリシーを設定します。

     
    ステップ 7mobility anchor [ip-address | mac-address]


    例:
    Device(config-guest-lan)# mobility anchor
     

    ゲスト LAN のモビリティを設定します。

     
    ステップ 8no shutdown


    例:
    Device(config-guest-lan)# no shutdown
     

    ゲスト LAN をイネーブルにします。

     
    ステップ 9end


    例:
    Device(config-guest-lan)# end
     

    ゲスト LAN のコンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

     

    サービス テンプレートでの CAPWAP トンネルの設定

    サービス テンプレートで Control And Provisioning of Wireless Access Points(CAPWAP)トンネルを設定するには、次の作業を実行します。 レイヤ 2 認証の失敗が発生した場合にトンネル サービスをアクティブ化するには、次の作業を実行します。

    手順の概要

      1.    enable

      2.    configure terminal

      3.    service-template template-name

      4.    tunnel type capwap name tunnel-name

      5.    exit

      6.    policy-map type control subscriber control-policy-name

      7.    event session-started [match-all | match-any]

      8.    priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success]

      9.    action-number authenticate using {dot1x | mab | webauth}

      10.    exit

      11.    exit

      12.    event authentication-failure [match-all | match-any]

      13.    priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success]

      14.    action-number activate {policy type control subscriber control-policy-name | service-template template-name [aaa-list list-name] [precedence [replace-all]]}

      15.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Device> enable
       
      特権 EXEC モードをイネーブルにします。
      • パスワードを入力します(要求された場合)。

       
      ステップ 2configure terminal


      例:
      Device# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 service-template template-name


      例:
      Device(config)# service-template GUEST-TUNNEL
       

      加入者セッションに適用する一連のサービス ポリシー属性が含まれるテンプレートを定義して、サービス テンプレート コンフィギュレーション モードを開始します。

       
      ステップ 4 tunnel type capwap name tunnel-name


      例:
      Device(config-service-template)# tunnel type capwap name TUNNEL-CAPWAP
       

      サービス テンプレートで CAPWAP トンネルを設定します。

       
      ステップ 5exit


      例:
      Device(config-service-template)# exit
       

      サービス テンプレート コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

       
      ステップ 6policy-map type control subscriber control-policy-name


      例:
      Device(config)# policy-map type control subscriber TUNNELLED-GUEST
       

      加入者セッションに対して制御ポリシーを定義し、制御ポリシーマップ イベントのコンフィギュレーション モードを開始します。

       
      ステップ 7event session-started [match-all | match-any]


      例:
      Device(config-event-control-policymap)# event seesion-started
       

      すべての認証イベントが match であり、制御ポリシーマップ クラスのコンフィギュレーション モードが開始された場合に、制御ポリシーのアクションをトリガーするイベントのタイプを指定します。

       
      ステップ 8priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success]


      例:
      Device(config-class-control-policymap)# 1 class always 
       

      アクションの 1 つが失敗し、制御ポリシーマップ アクションのコンフィギュレーション モードが開始されるまで、制御クラスが制御ポリシー内のアクションを指定された順序で実行するように指定します。

       
      ステップ 9 action-number authenticate using {dot1x | mab | webauth}


      例:
      Device(config-action-control-policymap)# 1 authenticate using dot1x
       

      加入者セッションの制御ポリシーを認証します。

       
      ステップ 10exit


      例:
      Device(config-action-control-policymap)# exit
       

      制御ポリシーマップ アクションのコンフィギュレーション モードを終了し、制御ポリシーマップ クラスのコンフィギュレーション モードを開始します。

       
      ステップ 11exit


      例:
      Device(config-class-control-policymap)# exit
       

      制御ポリシーマップ クラスのコンフィギュレーション モードを終了し、制御ポリシーマップ イベントのコンフィギュレーション モードを開始します。

       
      ステップ 12event authentication-failure [match-all | match-any]


      例:
      Device(config-event-control-policymap)# event authentication-failure
       

      すべての認証イベントが match であり、制御ポリシーマップ クラスのコンフィギュレーション モードが開始された場合に、制御ポリシーのアクションをトリガーするイベントのタイプを指定します。

       
      ステップ 13priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success]


      例:
      Device(config-class-control-policymap)# 1 class DOT1X-NO-RESP
       

      アクションの 1 つが失敗し、制御ポリシーマップ アクションのコンフィギュレーション モードが開始されるまで、制御クラスが制御ポリシー内のアクションを指定された順序で実行するように指定します。

       
      ステップ 14 action-number activate {policy type control subscriber control-policy-name | service-template template-name [aaa-list list-name] [precedence [replace-all]]}


      例:
      Device(config-action-control-policymap)# 1 activate service-template GUEST-TUNNEL
       

      加入者セッションのコントロール ポリシーをアクティブ化します。

       
      ステップ 15end


      例:
      Device(config-action-control-policymap)# end
       

      制御ポリシーマップ アクションのコンフィギュレーション モードを終了し、特権 EXEC モードへ戻ります。

       

      CAPWAP フォワーディングの設定

      CAPWAP フォワーディング用に特定の VLAN を設定するには、次の作業を実行します。 設定すると、この VLAN は CAPWAP フォワーディングのみに使用できるようになります。

      手順の概要

        1.    enable

        2.    configure terminal

        3.    vlan vlan-id

        4.    exit

        5.    access-session tunnel vlan vlan-id

        6.    end


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Device> enable
         
        特権 EXEC モードをイネーブルにします。
        • パスワードを入力します(要求された場合)。

         
        ステップ 2configure terminal


        例:
        Device# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3 vlan vlan-id


        例:
        Device(config)# vlan 1755
         
        VLAN を設定し、VLAN コンフィギュレーション モードを開始します。  
        ステップ 4exit


        例:
        Device(config-vlan)# exit
         

        VLAN コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

         
        ステップ 5 access-session tunnel vlan vlan-id


        例:
        Device(config)# access-session tunnel vlan 1755
         
        指定されたトンネルに対して VLAN アクセス セッションを設定します。
        (注)      このコマンドを使用する前に、vlan vlan-id コマンドを使用して VLAN を設定します。
         
        ステップ 6end


        例:
        Device(config)# end
         

        グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

         

        有線ゲスト アクセスの設定例

        例:サービス テンプレートでの CAPWAP トンネルの設定

        次の例は、有線ゲスト アクセスをイネーブルにするサービス テンプレートで CAPWAP トンネルを設定する方法を示しています。

        Device> enable
        Device# configure terminal
        Device(config)# service-template GUEST-TUNNEL
        Device(config-service-template)# tunnel type capwap name TUNNEL-CAPWAP
        Device(config-service-template)# exit
        Device(config)# policy-map type control subscriber TUNNELLED-GUEST
        Device(config-event-control-policymap)# event seesion-started
        Device(config-class-control-policymap)# 1 class always
        Device(config-action-control-policymap)# 1 authenticate using dot1x
        Device(config-action-control-policymap)# exit
        Device(config-class-control-policymap)# 1 class DOT1X-NO-RESP
        Device(config-action-control-policymap)# 1 activate service-template GUEST-TUNNEL
        Device(config-action-control-policymap)# end

        例:モビリティ エージェントの設定

        次の例は、モビリティ エージェント(アンカー)のインターフェイス ポートを設定する方法を示します。

        有線ゲスト アクセス ポートはまず、レイヤ 2 アクセス スイッチ上で、または有線ゲスト アクセス トラフィック用の VLAN インターフェイスで設定されているスイッチ ポート上で終端します。 有線ゲスト トラフィックはその後、アクセス スイッチからコントローラへトランクされます。 このコントローラは、アクセス スイッチ上で有線ゲスト アクセス VLAN にマップされているインターフェイスを使用して設定されます。

        !
        interface GigabitEthernet1/0/44
         description Connected to Client_Laptop
         switchport access vlan 10
         switchport mode access
         access-session host-mode single-host
         access-session closed
         access-session port-control auto
         access-session control-direction in
         mab
         dot1x pae authenticator
         dot1x timeout tx-period 5
         service-policy type control subscriber Guest-Access
        !
        interface GigabitEthernet1/0/1
         description Connected_to_MobilityController
         switchport mode trunk
        !
        interface Vlan10
         description CLIENT-VLAN
         ip address 172.16.10.201 255.255.255.0
         ip helper-address 172.16.10.200
        !
        interface Vlan80
         description MANAGEMENT-VLAN
         ip address 10.20.1.1 255.255.255.0
        !
        wireless management interface Vlan80
        wireless mobility controller ip 10.20.1.2 public-ip 10.20.1.2 << Mobility Controller IP >>
        !
        guest-lan glan-1 1
         shutdown
         client vlan Vlan10
         no security web-auth << Use "security webauth" for webauth access & "no security webauth" for open access. >>
         mobility anchor 10.20.1.3 << Guest Controller IP >>
         no shutdown
        ! 

        例:モビリティ コントローラの設定

        次の例は、有線ゲスト アクセスをイネーブルにするモビリティ コントローラで、インターフェイス ポートおよびワイヤレス モビリティを設定する方法を示しています。

        !
        interface TenGigabitEthernet1/0/2
         description Connected-to-MobilityAgent
         switchport mode trunk
        !
        interface TenGigabitEthernet1/0/1
         description Connected-to-GuestController
         switchport mode trunk
        !
        interface Vlan80
         description MANAGEMENT-VLAN
         ip address 10.20.1.2 255.255.255.0
        !
        wireless management interface Vlan80
        !
        wireless mobility controller peer-group pg-name
        wireless mobility controller peer-group pg-name member ip 10.20.1.1 public-ip 10.20.1.1 << Mobility Agent IP >>
        !
        wireless mobility group member ip 10.20.1.3 public-ip 10.20.1.3 << Guest Controller IP >>
        wireless mobility group name mcg-name
        ! 

        例:ゲスト コントローラの設定

        次の例は、ゲスト コントローラ(アンカー)でインターフェイス ポートを設定する方法と、DHCP スヌーピングをセットアップする方法について示しています。

        ゲスト(ローカル WLAN)コントローラは、有線およびワイヤレスのゲスト アクセス用に設定された、非武装地帯(DMZ)のアンカー WLAN コントローラにクライアントをアンカーします。 クライアントから DMZ アンカー コントローラへのハンドオフが成功すると、DHCP IP アドレスの割り当て、クライアント認証などが、DMZ Cisco ワイヤレス LAN コントローラ(WLC)で処理されます。 WLC が認証を完了すると、クライアントはトラフィックの送受信を行うことができるようになります。

        !
        interface TenGigabitEthernet1/0/1
         description Connected_to_MC
         switchport mode trunk
        !
        interface Vlan10
         description CLIENT-VLAN
         ip address 172.16.10.200 255.255.255.0
        !
        interface Vlan80
         description MANAGEMENT-VLAN
         ip address 10.20.1.3 255.255.255.0
        !
        ip dhcp snooping vlan 10
        ip dhcp snooping
        ip dhcp excluded-address 172.16.10.100 172.16.10.255
        ip dhcp pool vlan10
         network 172.16.10.0 255.255.255.0
         default-router 172.16.10.200
        !
        wireless management interface Vlan80
        !
        wireless mobility group name mcg-name
        wireless mobility group member ip 10.20.1.2 public-ip 10.20.1.2 << Mobility Controller IP >>
        !
        guest-lan glan-1 1
         shutdown
         client vlan Vlan10
         no security web-auth << Use "security web-auth" for web-auth access & "no security web-auth" for open access. >>
         mobility anchor
         no shutdown
        ! 

        例:CAPWAP フォワーディングの設定

        Device> enable
        Device# configure terminal
        Device(config)# vlan 1755
        Device(config-vlan)# exit
        Device(config)# access-session tunnel vlan 1775
        Device(config)# end

        有線ゲスト アクセスに関するその他の関連資料

        関連資料

        関連項目

        マニュアル タイトル

        Cisco IOS コマンド

        『Cisco IOS Master Command List, All Releases』

        Cisco Identity-Based Networking Services コマンド

        『Cisco IOS Identity-Based Networking Services Command Reference』

        標準および RFC

        RFC

        Title

        IEEE 802.1X

        『Port Based Network Access Control』

        テクニカル サポート

        説明 Link

        シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

        お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

        シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

        http:/​/​www.cisco.com/​support

        有線ゲスト アクセスの機能情報

        次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、特定のソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースのみを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

        プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

        表 1 有線ゲスト アクセスの機能情報

        機能名

        リリース

        機能情報

        有線ゲスト アクセス

        Cisco IOS XE Release 3.3SE

        有線ゲスト アクセス機能は、有線およびワイヤレスの両方のアクセスをサポートしている企業ネットワークのゲスト ユーザに対して、有線のイーサネット接続からのゲスト アクセス ネットワークへの接続を可能にします。 有線のイーサネット接続はゲスト アクセスに対して指定および設定されます。 モビリティ エージェントの有線セッションのゲストは、Control And Provisioning of Wireless Access Points(CAPWAP)トンネル経由で、非武装地帯(DMZ)のワイヤレス ゲスト コントローラに誘導されます。

        導入または変更されたコマンド:access-session tunnel vlaneventmatch authorization-failure tunnel type capwap