Cisco Aironet アクセス ポイント Cisco IOS ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.3(4)JA
概要
概要
発行日;2013/07/19 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

概要

機能

このリリースで導入された機能

既存の機能

管理オプション

クライアント デバイスのローミング

ネットワークの構成例

有線 LAN におけるルート ユニット

無線範囲を拡張するリピータ ユニット

全ワイヤレス ネットワークの中央ユニット

概要

Cisco Aironet アクセス ポイント(これ以降は アクセス ポイント と呼ぶ)は、安全で安価な使いやすい無線 LAN ソリューションを提供します。これはモビリティと柔軟性の他に、ネットワーキングの専門家が必要とする企業クラスの機能を併せ持っています。Cisco Aironet 350、1100、および 1200 シリーズ アクセス ポイントは、管理システムに Cisco IOS ソフトウェアを用いた、Wi-Fi 認定済み、802.11b、802.11g、および 802.11a 準拠の無線 LAN トランシーバです。

アクセス ポイントは、無線ネットワークと有線ネットワーク間の接続ポイントとして、またはスタンドアロンの無線ネットワークのセントラル ポイントとして機能します。大規模な導入環境では、アクセス ポイントの無線範囲内であれば、無線ユーザは構内を移動しながらシームレスで遮断されないネットワーク アクセスを維持できます。

ワイヤレス デバイスは、コマンドライン インターフェイス(CLI)、ブラウザベースの管理システム、または Simple Network Management Protocol(SNMP)を使用して設定およびモニタできます。

各アクセス ポイントには、1 つまたは 2 つの無線が組み込まれています。

Cisco IOS ソフトウェアを実行するようにアップグレードできる 350 シリーズ アクセス ポイントでは、802.11b、2.4 GHz mini-PCI 無線を単独で使用します。

1100 シリーズ アクセス ポイントは、802.11b、2.4GHz の mini-PCI 無線を単独で使用しますが、802.11g、2.4GHz 無線にアップグレードが可能です。

1130AG シリーズ アクセス ポイントには、802.11g および 802.11a 無線およびアンテナが組み込まれています。

1200 シリーズ アクセス ポイントには、内部 mini-PCI スロットに装着する 2.4GHz 無線と、外部変形版 CardBus スロットに装着する 5GHz 無線モジュールの 2 種類の無線を組み込むことができます。1200 シリーズのアクセス ポイントは各タイプの無線を 1 つずつサポートしますが、2.4GHz 無線 2 つまたは 5GHz 無線 2 つはサポートしません。

1230AG シリーズ アクセス ポイントは、802.11g 無線と 802.11a 無線の両方を組み込むように事前設定されています。両方の無線に対し、外部接続アンテナ用のアンテナ コネクタがあります。

この章では、次の項目について説明します。

「機能」

「管理オプション」

「クライアント デバイスのローミング」

「ネットワークの構成例」

機能

この項では、Cisco IOS ソフトウェアを実行するアクセス ポイントでサポートされている機能を説明します。


) Cisco IOS Release 12.3(2)JA 以降では、プロキシ モバイル IP 機能はサポートされません。


このリリースで導入された機能

複数の BSSID のサポート:この機能により、1 つのアクセス ポイントが複数の仮想アクセス ポイントとして WLAN に表示されます。この機能は、複数の基本サービス セット ID(MBSSID)または MAC アドレスを持つアクセス ポイントを割り当てることによって実現されます。

無線が複数の基本 SSID をサポートしているかどうかを調べるには、無線インターフェイスで show controllers コマンドを入力します。結果に次の行が含まれていれば、その無線は複数の基本 SSID をサポートしています。

Number of supported simultaneous BSSID on radio_interface: 8
 

Wi-Fi 802.11h と動的周波数選択(DFS)のサポート:この機能により、工場出荷時に欧州およびシンガポール向けに設定されている Cisco Aironet アクセス ポイントは、軍用レーダーや気象レーダーなどのレーダー信号を検出し、アクセス ポイント上でチャネルを切り替えます。

ワイヤレス IDS - 過剰管理フレーム検出:この機能により、スキャナ アクセス ポイントは WLAN 管理および制御フレームが設定可能なしきい値を超えたことを検出できます。

ワイヤレス IDS - 認証攻撃検出:この機能は、Cisco Aironet アクセス ポイントが過度の認証試行または失敗した認証試行を検出して、報告するようにします(認証失敗検出および超過 EAPoL 認証)。

フレーム モニタ モード:この機能は、スキャン専用アクセス ポイントがリモート サイトからパートナー アプリケーションやパートナー侵入検知企業を経由してネットワークをトラブルシューティングするために 802.11 のすべてのフレームを転送し、プロトコル分析ステーションに表示するようにします。

位置情報サービス(LBS):この機能は、Cisco Aironet アクセス ポイントが LBS タグからフレームを検出し、サードパーティ LBS サーバなどの事前設定された IP 宛先に送信できるようにします。

SNMPv3:この機能は、Cisco Aironet アクセス ポイントで SNMPv3 をサポートできるようにして、セキュリティ レベルを強化します。

1200 シリーズ アクセス ポイントの WGB モード:この機能は、1200 シリーズ アクセス ポイントが 802.11b/g または 802.11a のいずれかの無線でワーク グループ ブリッジ(WGB)機能をサポートできるようにします。

既存の機能

ワールド モード:この機能を使用して、最大送信電力、使用可能なチャネルなどのアクセス ポイントの規制の設定情報をワールド モード対応クライアントに伝達します。ワールド モードを使用しているクライアントは、異なる規制が設定された国で使用でき、現地の法令に自動的に適合できます。ワールド モードは 2.4-GHz 無線だけでサポートされています。

リピータ モード:無線ネットワークのカバレッジ領域を拡大するためにアクセス ポイントを無線リピータとして設定します。

スタンバイ モード:モニタするアクセス ポイントに障害が発生した場合に別のアクセス ポイントをモニタし、ネットワーク内でその役割を引き継ぐスタンバイ ユニットとしてアクセス ポイントを設定します。

複数の SSID:ワイヤレス デバイスに最大 16 の SSID を作成し、各 SSID にこれらの設定の任意の組み合わせを割り当てます。

ネットワーク上のゲストのブロードキャスト SSID モード

クライアント認証方式

クライアント アソシエーションの最大数

VLAN 識別子

RADIUS アカウンティング リストの識別子

リピータおよびワーク グループ ブリッジなどのインフラストラクチャ デバイスの個別の SSID

VLAN:ユーザ間のポリシーおよびサービスを区別するために VLAN をワイヤレス デバイスの SSID に割り当てます(SSID ごとに VLAN 1 つ)。

QoS:イーサネットからアクセス ポイントのトラフィックにプライオリティを設定する Quality Of Service をサポートするためにこの機能を使用します。アクセス ポイントは、Spectralink の Netlink™、Symbol の Netvision™ など、802.11b セルラー無線で使用される音声優先方式もサポートしています。

RADIUS アカウンティング:アクセス ポイントでアカウンティングをイネーブルにして、無線クライアント デバイスに関するアカウンティング データをネットワーク上の RADIUS サーバに送信できるようにします。

TACACS+管理認証:TACACS+ をイネーブルにして、サーバベースの詳細アカウンティング情報を提供したり、認証および許可プロセスの柔軟な管理制御を実現します。また、ワイヤレス デバイスにアクセスしようとする管理者を安全に、中央で集中的に検証します。

セキュリティの強化:3 つの高度なセキュリティ機能をイネーブルにして、無線ネットワークの WEP キーに対する高度な攻撃から保護します。これらの機能は、メッセージ完全性チェック(MIC)、WEP キー ハッシュ、およびブロードキャスト WEP キー ローテーションです。

認証サービスの強化:他の無線クライアント デバイスと同様にネットワークに対する認証を行うように、リピータ アクセス ポイントを設定します。リピータのネットワーク ユーザ名とパスワードを入力すると、リピータはシスコの無線認証方法である Light Extensible Authentication Protocol(LEAP)を使用してネットワーク認証を行い、ダイナミック WEP キーを受信して使用します。

Wi-Fi Protected Access(WPA):Wi-Fi Protected Access は、既存および将来の無線 LAN システムのデータ保護とアクセス コントロールの水準を大幅に向上させる、標準規格に基づく相互運用性の優れたセキュリティ拡張機能です。WPA は、現在策定中の IEEE 802.11i 規格のサブセットで、この規格と互換性があります。WPA では、データ保護に Temporal Key Integrity Protocol(TKIP)を使用し、認証済みキー管理に 802.1X を使用しています。

Cisco Centralized Key Management(CCKM)を使用する高速安全ローミング:CCKM を使用すると、認証されたクライアント デバイスは、1 つのアクセス ポイントから別のアクセス ポイントへ、再アソシエーションの際にほとんど遅延することなく安全にローミングできます。ネットワーク上のアクセス ポイントは、無線ドメイン サービス(WDS)を提供し、サブネット上の CCKM 対応クライアント デバイスに対してセキュリティ クレデンシャルのキャッシュを作成します。WDS アクセス ポイントのクレデンシャルのキャッシュにより、CCKM 対応クライアント デバイスが新しいアクセス ポイントにローミングする際に発生する再アソシエーションに必要な時間が大幅に短縮されます。

バックアップまたはスタンドアロン認証サーバとしてのアクセス ポイント:RADIUS サーバのない小規模無線 LAN に認証サービスを提供するために、または WAN リンクやサーバの障害時にバックアップ認証サービスを提供するために、アクセス ポイントをローカル認証サーバとして機能するように設定できます。アクセス ポイントは、最大 50 の LEAP 対応の無線クライアント デバイスを認証し、デバイスがネットワークに参加できるようにすることができます。Cisco IOS Release 12.2(15)JA を実行しているアクセス ポイントは、最大 50 のアドレスにバックアップ MAC アドレス認証サービスを提供することもできます。

クライアント ARP キャッシング:無線 LAN のトラフィックを減らすために、アソシエートされたクライアント デバイスに代わって ARP クエリに応答するように Cisco IOS Release 12.2(13)JA 以降を実行するアクセス ポイントを設定できます。以前のリリースでは、アクセス ポイントが ARP クエリをアソシエートされたすべてのクライアント デバイスに転送し、指定されたクライアントが MAC アドレスで応答します。ただし、アクセス ポイントが ARP キャッシュを保持する場合、アクセス ポイントがクライアント デバイスに代わって ARP クエリに応答し、無線ポート経由でクエリを転送しません。

同じ VLAN 上の CCKM 音声クライアントおよび WPA クライアント:Cisco IOS Release 12.2(13)JA 以降を実行するアクセス ポイントでは、同じ VLAN 上の 802.11b CCKM 音声クライアントおよび 802.11b WPA クライアントの両方を使用できます。

WISPr RADIUS 属性:Wi-Fi アライアンスの資料『WISPr Best Current Practices for Wireless Internet Service Provider (WISP) Roaming』には、アクセス ポイントが RADIUS アカウンティングおよび認証要求とともに送信しなければならない RADIUS 属性が示されています。すべての RADIUS アカウンティングおよび認証要求にこれらの属性を含めるように、Cisco IOS Release 12.2(13)JA 以降を実行するアクセス ポイントを設定できます。

802.11g 無線のサポート:Cisco IOS Release 12.2(13)JA 以降は、802.11g、2.4-GHz 無線をサポートします。1100 および 1200 シリーズ アクセス ポイントの 802.11b、2.4 GHz 無線は 802.11g、2.4 GHz 無線にアップグレードできます。

802.11a、802.11b、および 802.11g 無線の無線管理機能:Cisco IOS Release 12.2(15)JA を実行するアクセス ポイントは、802.11a、b、g 無線を使用する無線管理に参加できます。WDS 用に設定されたアクセス ポイントは、無線 LAN 上の WDS デバイスと対話します。WDS デバイスは、ネットワーク上の WLSE デバイスまたは無線ネットワーク マネージャとの間で無線データを転送します。無線管理には、WLSE デバイスで設定される次の機能が含まれます。

不正アクセス ポイントの検出。不正デバイスの IP および MAC アドレス、SSID、シスコ デバイスに接続している場合は不正デバイスが接続しているスイッチ ポートが含まれます。

無線 LAN の自己修復。アクセス ポイントに障害が発生した場合、無線 LAN 内のギャップをカバーするために近くのアクセス ポイントが送信電力を大きくします。

各クライアント デバイスがアソシエートされているアクセス ポイントを識別するクライアント トラッキング。

スキャン専用モード:Cisco IOS Release 12.2(15)JA を実行するアクセス ポイントは、不正アクセス ポイントを検出して、無線 LAN の無線トラフィックを監視するスキャナとして機能します。スキャナとして設定されたアクセス ポイントは、無線管理に参加しますが、クライアント アソシエーションを受け付けません。

HTTPS - SSL 3.0 を使用する HTTP:この機能は、Web ブラウザ経由で Cisco Aironet アクセス ポイントを管理する Secure Sockets Layer(SSL)/セキュア ハイパーテキスト転送プロトコル(HTTPS)方式をサポートしています。

Cisco Aironet IEEE 802.11a 無線部品番号 AIR-RM21A および AIR-RM22A のサポート:Cisco IOS Release 12.3(2)JA では、Cisco Aironet 1200 シリーズ アクセス ポイント IEEE 802.11a 無線部品番号 AIR-RM21A および AIR-RM22A のサポートが導入されました。これらの新しい IEEE 802.11a 無線のサポートは、Cisco IOS Release 12.3(2)JA で導入されたすべてのアクセス ポイント機能、および Cisco IOS Release 12.2(15) XR 以前の 1200 シリーズ アクセス ポイントでサポートされているすべての Cisco IOS ソフトウェア アクセス ポイント機能をサポートします。

AES-CCMP:この機能は、Advanced Encryption Standard-Counter Mode with Cipher Block Chaining Message Authentication Code Protocol(AES-CCMP)をサポートします。AES-CCMP は Wi-Fi Protected Access 2(WPA2)および IEEE 802.11i 無線 LAN セキュリティに必要です。

EAP-FAST の IEEE 802.1X ローカル認証サービス:この機能は、Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)をサポートするように無線ドメイン サービス(WDS)IEEE 802.1X ローカル認証を拡大します。IEEE 802.1X ローカル認証は、Cisco IOS Release 12.2(11)JA で導入されました。

Wi-Fi Multimedia(WMM)の必須要素:この機能は、WMM の必須要素をサポートします。WMM は、Wi-Fi 無線接続を介した音声、ビデオ、および音声アプリケーションのユーザ エクスペリエンスを向上させるように設計されています。WMM は IEEE 802.11e Quality of Service(QoS)ドラフト標準のサブセットです。WMM は Enhanced Distributed Channel Access(EDCA)メソッドを通して QoS で優先されるメディア アクセスをサポートします。Traffic Specification(TSPEC)を使用したコール アドミッション制御を含む WMM 仕様のオプション要素はこのリリースではサポートされていません。

名前による VLAN 割り当て:この機能により、RADIUS サーバは VLAN 名で識別された仮想 LAN(VLAN)にクライアントを割り当てることができます。Cisco IOS Release 12.3(2)JA よりも前のリリースでは、RADIUS サーバは ID で VLAN を識別していました。この機能は、VLAN ID がネットワーク全体で一貫して使用されていない配置で重要です。

Microsoft WPS IE SSIDL:この機能により、Cisco Aironet アクセス ポイントが Microsoft ワイヤレス プロビジョニング サービス情報エレメント(WPS IE)内で設定済み SSID リスト(SSIDL)をブロードキャストできます。SSIDL を読み取ることができるクライアントは、SSID の可用性をユーザに警告できます。この機能によって、複数のブロードキャスト SSID(MB/SSID)の帯域幅効率の良い、ソフトウェア アップグレード可能な代替方法を提供します。

HTTP Web サーバ v1.1:この機能は、HTTP 1.1 標準の実装によってユーザおよびアプリケーションに一貫性のあるインターフェイスを提供します(RFC 2616 を参照)。以前のリリースでは、シスコ ソフトウェアは、HTTP 1.0 の部分的な実装だけをサポートしていました。統合された HTTP サーバ API は、サーバ アプリケーション インターフェイスをサポートします。HTTPS および HTTP 1.1 クライアント機能を併用した場合、HTTP サービスとシスコ デバイスとの間に完全でセキュアなソリューションが提供されます。

IP リダイレクト:この機能は、特定の宛先に向けたトラフィックを管理者が指定した別の IP アドレスにリダイレクトする機能を提供します。

管理オプション

ワイヤレス デバイス管理システムは、次のインターフェイスから使用できます。

Cisco IOS コマンドライン インターフェイス(CLI)。このインターフェイスはコンソール ポートまたは Telnet セッションを通じて使用します。無線デバイスを無線コンフィギュレーション モードにするには、 interface dot11radio グローバル コンフィギュレーション コマンドを使用します。このマニュアルのほとんどの例は、CLI から引用されています。「コマンドライン インターフェイスの使用」に、CLI についての詳細が記載されています。

Web ブラウザ インターフェイスは、Web ブラウザを介して使用します。「Web ブラウザ インターフェイスの使用方法」に、Web ブラウザ インターフェイスについての詳細が記載されています。

Simple Network Management Protocol(SNMP)。SNMP 管理のためのワイヤレス デバイスの設定方法については、 「SNMP の設定」を参照してください。

クライアント デバイスのローミング

無線 LAN に複数のワイヤレス デバイスがある場合、無線クライアント デバイスは、あるワイヤレス デバイスから別の無線デバイスへとシームレスにローミングできます。ローミング機能は、近接度ではなく、信号の品質に基づきます。クライアントの信号品質が低下すると、ローミングは別のアクセス ポイントに切り替わります。

クライアント デバイスが近くのアクセス ポイントにローミングせずに、遠くのアクセス ポイントにアソシエートしたままになることを懸念する無線 LAN ユーザがいます。しかし、遠隔のアクセス ポイントへのクライアントの信号が強度に維持され、信号品質が高い場合、クライアントはより近いアクセス ポイントにローミングしません。近接するアクセス ポイントを常にチェックするのは非効率であり、無線のトラフィックの増加により無線 LAN のスループットを低下させます。

CCKM および WDS を提供するデバイスを使用すると、クライアント デバイスは別のアクセス ポイントへ非常に早くローミングできるため、音声その他の時間に敏感なアプリケーションでは、それとわかるほどの遅延はありません。

ネットワークの構成例

この項では、一般的な無線ネットワークの構成でのアクセス ポイントの役割について説明します。デフォルトではアクセス ポイントは、有線 LAN に接続されたルート ユニット、または完全な無線ネットワーク内のセントラル ユニットとして設定されます。リピータの役割には特定の設定が必要です。

有線 LAN におけるルート ユニット

有線 LAN に直接接続されるアクセス ポイントは、無線ユーザへの接続ポイントとして機能します。LAN に複数のアクセス ポイントが接続されている場合、ユーザはネットワークへの接続を維持したまま、構内のエリアをローミングできます。1 つのアクセス ポイントの範囲外に移動したユーザは、自動的に別のアクセス ポイントを経由してネットワークに接続(アソシエート)されます。ローミング プロセスはシームレスで、ユーザには意識されません。図 1-1 は、有線 LAN 上でルート ユニットとして機能するアクセス ポイントを示しています。

図 1-1 有線 LAN 上でルート ユニットとして機能するアクセス ポイント

 

無線範囲を拡張するリピータ ユニット

アクセス ポイントは、インフラストラクチャの範囲を拡張したり、無線通信を妨害する障害を克服したりするスタンドアロン リピータとして設定できます。リピータは、別のリピータや、有線 LAN に接続されているアクセス ポイントにパケットを送信することによって、無線ユーザと有線 LAN との間でトラフィックを転送します。データは、クライアントに最高のパフォーマンスを提供するルートを経由して送信されます。図 1-2 は、リピータとして機能するアクセス ポイントを示しています。アクセス ポイントをリピータとして設定する方法については、「リピータ アクセス ポイントの設定」を参照してください。


) シスコ以外のクライアント デバイスを使用すると、リピータ アクセス ポイントとの通信に問題が生じる可能性があります。


図 1-2 リピータとして機能するアクセス ポイント

 

全ワイヤレス ネットワークの中央ユニット

完全なワイヤレス ネットワークでは、アクセス ポイントはスタンドアロンのルート ユニットとして機能します。アクセス ポイントは有線 LAN には接続されません。全ステーションをまとめてリンクするハブとして機能します。アクセス ポイントは通信の中心として機能し、無線ユーザの通信範囲を拡張します。図 1-3 は、完全なワイヤレス ネットワークでのアクセス ポイントを示しています。

図 1-3 完全なワイヤレス ネットワークでセントラル ユニットとして機能するアクセス ポイント