Cisco Aironet アクセス ポイント Cisco IOS ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.4(3g)JA/12.3(8)JEB
アクセス ポイントの最初の設定
アクセス ポイントの最初の設定
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

アクセス ポイントの最初の設定

始める前に

デバイスのデフォルト設定へのリセット

モード ボタンを使用したデフォルト設定へのリセット

GUI を使用したデフォルト設定へのリセット

CLI を使用したデフォルト設定へのリセット

IP アドレスの取得と割り当て

デフォルトの IP アドレスの動作

1100 シリーズのアクセス ポイントへのローカル接続

1130 シリーズのアクセス ポイントへのローカル接続

1200、1230、1240 シリーズのアクセス ポイントへのローカル接続

1300 シリーズのアクセス ポイント/ブリッジへのローカル接続

デフォルトの無線設定

基本設定の割り当て

Express Setup ページのデフォルト設定

基本的なセキュリティ設定

Express Security 設定の概要

VLAN の使用

Express Security のタイプ

Express Security の制限

Express Security ページの使用方法

CLI の設定例

1130 および 1240 シリーズ アクセス ポイントのシステム電力の設定

IP Setup Utility の使用

IPSU の入手方法

IPSU を使用したアクセス ポイントの IP アドレス の検索

CLI を使用した IP アドレスの割り当て

Telnet セッションを使用した CLI へのアクセス

802.1X サプリカントの設定

クレデンシャル プロファイルの作成

インターフェイスまたは SSID にクレデンシャルを適用する方法

クレデンシャル プロファイルを有線ポートに適用する方法

アップリンクに使用する SSID にクレデンシャル プロファイルを適用する方法

EAP 方式プロファイルの作成と適用

アクセス ポイントの最初の設定

この章では、最初に無線デバイスの基本設定を行うときの手順について説明します。この章の内容は、無線デバイスに付属するクイック スタート ガイドの説明と共通する箇所があります。この章で説明する設定はすべて Command-Line Interface(CLI; コマンドライン インターフェイス)を使用して実行できますが、無線デバイスの Web ブラウザ インターフェイスで初期設定を完了してから、CLI を使用して詳細設定を追加入力する方が簡単な場合があります。

この章の内容は、次のとおりです。

「始める前に」

「IP アドレスの取得と割り当て」

「1100 シリーズのアクセス ポイントへのローカル接続」

「1130 シリーズのアクセス ポイントへのローカル接続」

「1200、1230、1240 シリーズのアクセス ポイントへのローカル接続」

「1300 シリーズのアクセス ポイント/ブリッジへのローカル接続」

「デフォルトの無線設定」

「基本設定の割り当て」

「基本的なセキュリティ設定」

「1130 および 1240 シリーズ アクセス ポイントのシステム電力の設定」

「IP Setup Utility の使用」

「CLI を使用した IP アドレスの割り当て」

「Telnet セッションを使用した CLI へのアクセス」

「802.1X サプリカントの設定」


) このリリースでは、アクセス ポイントの無線インターフェイスがデフォルトで無効に設定されています。


始める前に

無線デバイスを設置する前に、使用しているコンピュータがこの無線デバイスと同じネットワークに接続されていることを確認し、ネットワーク管理者から次の情報を取得してください。

無線デバイスのシステム名

大文字と小文字を区別する、無線ネットワークの無線 Service Set Identifier(SSID; サービス セット ID)

DHCP サーバに接続されていない場合は、無線デバイスの一意の IP アドレス(172.17.255.115 など)

無線デバイスが PC と同じサブネット上にない場合、デフォルト ゲートウェイ アドレスとサブネット マスク

Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)コミュニティ名と SNMP ファイル属性(SNMP を使用している場合)

Cisco IP Setup Utility(IPSU)を使用して、無線デバイスの IP アドレスを検索する場合、アクセス ポイントの Media Access Control(MAC; メディア アクセス制御)アドレス。MAC アドレスは、アクセス ポイントの底面ラベルに記載されています(00164625854c など)。

デバイスのデフォルト設定へのリセット

初期設定時に最初からやり直す必要がある場合は、アクセス ポイントをデフォルト設定にリセットすることができます。

モード ボタンを使用したデフォルト設定へのリセット

アクセス ポイントの モード ボタンを使用して、アクセス ポイントをデフォルト設定にリセットする手順は、次のとおりです。


ステップ 1 アクセス ポイントの電源を切ります(外部電源用の電源ジャックまたはインライン パワー用のイーサネット ケーブル)。

ステップ 2 モード ボタンを押しながら、アクセス ポイントに電源を再接続します。

ステップ 3 モード ボタンを押し続けて、ステータス LED がオレンジに変わったら(約 1 ~ 2 秒かかります)ボタンを離します。アクセス ポイントのすべての設定が、デフォルトに戻ります。


 

GUI を使用したデフォルト設定へのリセット

アクセス ポイントの GUI を使用して、デフォルトの設定に戻す手順は、次のとおりです。


ステップ 1 インターネット ブラウザを開きます。Web ブラウザ インターフェイスは、Windows プラットフォーム(98、2000、および XP)上の Microsoft Internet Explorer バージョン 6.0 と、Windows プラットフォーム(98、2000、および XP)および Solaris プラットフォーム上での Netscape バージョン 7.0 と完全に互換性があります。

ステップ 2 ブラウザのアドレス入力用ボックスに無線デバイスの IP アドレスを入力し、Enter キーを押します。Enter Network Password 画面が表示されます。

ステップ 3 User Name フィールドにユーザ名を入力します。デフォルトのユーザ名は Cisco です。

ステップ 4 Password フィールドに無線デバイスのパスワードを入力し、Enter キーを押します。デフォルトのパスワードは Cisco です。Summary Status ページが表示されます。

ステップ 5 System Software をクリックして、System Software 画面を表示します。

ステップ 6 System Configuration をクリックして、System Configuration 画面を表示します。

ステップ 7 Reset to Defaults ボタンをクリックすると、IP アドレスを含むすべての設定がデフォルト値にリセットされます。IP アドレスを除いたすべての設定をデフォルト値にリセットするには、Reset to Defaults (Except IP) ボタンをクリックします。


 

CLI を使用したデフォルト設定へのリセット


注意 システム ファイルを削除するには、デフォルト設定へリセットするか、ソフトウェアのリロードを必ず行ってください。

アクセス ポイントをデフォルト設定と静的 IP アドレスにリセットする場合は、write erase または erase /all nvram コマンドを使用します。静的 IP アドレスも含めすべてを消去する場合は、上記のコマンドに加えてerase および erase boot static-ipaddr static-ipmask コマンドを使用します。

特権 EXEC モードからは、CLI を使用して次の手順でアクセス ポイント/ブリッジの設定をデフォルト値にリセットできます。


ステップ 1 erase nvram: と入力して、起動コンフィギュレーションを含む NVRAM ファイルをすべて消去します。


) erase nvram コマンドでは、静的 IP アドレスは消去されません。


ステップ 2 静的 IP アドレスとサブネット マスクを消去する手順は、次のとおりです。それ以外は、手順 3 に進んでください。

a. write default-config と入力します。

ステップ 3 次の CLI メッセージが表示されたら、Y を入力します。
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]

ステップ 4 次の CLI メッセージが表示されたら、reload と入力します。Erase of nvram: completeこのコマンドを入力すると、オペレーティング システムがリロードされます。

ステップ 5 次の CLI メッセージが表示されたら、Y と入力します。
Proceed with reload? [confirm]


注意 コンフィギュレーション ファイルを損失しないよう、このブート プロセスを中断しないでください。アクセス ポイント/ブリッジのインストール モード LED が緑色に点滅してから、CLI の設定変更を進めてください。また、ロード プロセスが完了すると、次の CLI メッセージが表示されます。
Line protocal on Interface Dot11Radio0, changed state to up

ステップ 6 アクセス ポイント/ブリッジのリブートが完了したら、アクセス ポイントを再設定できます。静的 IP アドレスを既に割り当てている場合は Web ブラウザ インターフェイスから、静的 IP アドレスをまだ割り当ていない場合は CLI から再設定してください。

アクセス ポイントは、IP アドレスも含めてデフォルト値に設定されます(Dynamic Host Configuration Protocol(DHCP)を使用して IP アドレスを受信するように設定されます)。アクセス ポイント/ブリッジの新 IP アドレスを取得するには、show interface bvi1 の CLI コマンドを使用します。


 

IP アドレスの取得と割り当て

無線デバイスの Express Setup ページにアクセスするには、次のいずれかの方法で無線デバイスの IP アドレスを取得するか、割り当てる必要があります。

1130AG、1200、1240 シリーズ アクセス ポイント、または 1300 シリーズ アクセス ポイント/ブリッジの場合は、アクセス ポイント コンソール ポートに接続し、静的 IP アドレスを割り当てます。本体のコンソール ポートに接続するには、該当する項から次の手順を実行します。

「1100 シリーズのアクセス ポイントへのローカル接続」

「1130 シリーズのアクセス ポイントへのローカル接続」

「1200、1230、1240 シリーズのアクセス ポイントへのローカル接続」

「1300 シリーズのアクセス ポイント/ブリッジへのローカル接続」


) ターミナル エミュレータのアプリケーションの中には、Flow 制御パラメータを Xon/Xoff に設定しなくてはならないものがあります。フロー制御値が none に設定されているためにデバイスのコンソール ポートに接続できない場合は、フロー制御値を Xon/Xoff に変えてみてください。


DHCP サーバを使用すると(使用できる場合)、自動的に IP アドレスが割り当てられます。次のいずれかの方法により、DHCP によって割り当てられた IP アドレスを検索できます。

1200 シリーズのアクセス ポイントの場合は、無線デバイス コンソール ポートに接続し、show ip interface brief コマンドを使用して、IP アドレスを表示します。コンソール ポートに接続するには、「1100 シリーズのアクセス ポイントへのローカル接続」または「1200、1230、1240 シリーズのアクセス ポイントへのローカル接続」の手順を実行します。

組織のネットワーク管理者に、無線デバイスの MAC アドレスを知らせます。ネットワーク管理者は、MAC アドレスを使用して DHCP サーバに照会し、IP アドレスを確認します。アクセス ポイントの MAC アドレスは、アクセス ポイントの底面ラベルに記載されています。

Cisco IP Setup Utility(IPSU)を使用して、割り当てられたアドレスを確認します。IPSU は、Windows 9x、2000、Me、NT、XP など、ほとんどの Microsoft Windows オペレーティング システムで動作します。

IPSU は Cisco.com の Software Center からダウンロードできます。次のリンクをクリックして、Software Center を参照してください。

http://www.cisco.com/public/sw-center/sw-wireless.shtml

デフォルトの IP アドレスの動作

1130AG、1200、1240 アクセス ポイント、または 1300 シリーズ アクセス ポイント/ブリッジをデフォルトの設定で LAN に接続している場合、アクセス ポイントは DHCP サーバに IP アドレスを要求し、アドレスを受信できない場合、要求を無期限に送信し続けます。

1100 シリーズ アクセス ポイントをデフォルトの設定で LAN に接続している場合、1100 シリーズ アクセス ポイントは DHCP サーバからの IP アドレスの取得を何度か試みます。アドレスを受信できない場合、アクセス ポイントは 5 分間 IP アドレス 10.0.0.1 を自分自身に割り当てます。この 5 分間の時間枠内に、デフォルトの IP アドレスを参照し、静的アドレスを設定できます。5 分経過してもアクセス ポイントが再設定されなかった場合、アクセス ポイントはアドレス 10.0.0.1 を廃棄し、DHCP サーバからのアドレスの取得を再び要求し始めます。アドレスを受信できない場合には、要求を無期限に送信します。10.0.0.1 でアクセス ポイントを参照できる 5 分間の時間枠を逃した場合、電源をいったん切り、改めて投入することでアクセス ポイントにこの過程を繰り返させることができます。

1300 シリーズ アクセス ポイント/ブリッジは、ルート アクセス ポイントの無線ネットワークとして機能していると判断します。ブリッジとして設定するには、手動でインストール モードを指定して、アンテナの位置を合わせて無線リンクを確立します。リンクを確立するには、2 台のアクセス ポイント/ブリッジをインストール モードに設定しておく必要があります。インストール モードでは、1 台のアクセス ポイント/ブリッジをルート ブリッジに、もう 1 台の方を非ルート ブリッジとして設定してください。設定しやすいよう、アクセス ポイント/ブリッジをインストール モードにすると自動オプションが利用できます。無線リンクを確立してブリッジ アンテナの位置を合わせたら、アクセス ポイント/ブリッジ両方のインストールモードを解除して、ルート ブリッジと非ルート ブリッジとして LAN に配置してください。

1100 シリーズのアクセス ポイントへのローカル接続

アクセス ポイントを(有線 LAN に接続せずに)ローカルに設定する必要がある場合、カテゴリ 5 のイーサネット ケーブルを使用して PC をアクセス ポイントのイーサネット ポートに接続できます。シリアル ポート接続を使用するのと同じように、イーサネット ポートへのローカル接続を使用できます。


) PC をアクセス ポイントに接続するのに、特別なクロス ケーブルは不要です。ストレートケーブルまたはクロス ケーブルのいずれも使用できます。


アクセス ポイントがデフォルト値に設定され、DHCP サーバから IP アドレスを受信できない場合、IP アドレス 10.0.0.1 がデフォルトとして 5 分間設定されます。その 5 分間で、その IP アドレスを参照して装置を設定できます。5 分経過しても装置が再設定されなかった場合、アクセス ポイントはアドレス 10.0.0.1 を廃棄し、DHCP サーバからのアドレスの取得を再び要求し始めます。アドレスを受信できない場合には、要求を無期限に送信します。10.0.0.1 でアクセス ポイントを参照できる 5 分間の時間枠を逃した場合、電源をいったん切り、改めて投入することでアクセス ポイントにこの過程を繰り返させることができます。

アクセス ポイントをローカルで接続する手順は、次のとおりです。


ステップ 1 アクセス ポイントの設定に使用する PC が 10.0.0.2 ~ 10.0.0.10 の IP アドレスに設定されていることを確認します。

ステップ 2 カテゴリ 5 のイーサネット ケーブルを使用して PC をアクセス ポイントに接続します。クロス ケーブルまたはストレート型ケーブルのいずれかを使用できます。

ステップ 3 アクセス ポイントの電源を投入します。

ステップ 4 「基本設定の割り当て」の手順に従って操作します。操作を間違えたため、最初からやり直す必要がある場合は、「デバイスのデフォルト設定へのリセット」の手順に従ってください。

ステップ 5 アクセス ポイントの設定後、PC からイーサネット ケーブルを抜いて、アクセス ポイントを有線 LAN に接続します。


) PC をアクセス ポイントに接続するか、PC を有線 LAN に再接続する場合は、PC の IP アドレスを解放または更新しなければならない場合があります。ほとんどの PC では、PC をリブートするか、コマンド プロンプト画面で ipconfig /release および ipconfig /renew コマンドを入力することによって、IP アドレスを解放および更新できます。手順の詳細は、お使いの PC のオペレーティング マニュアルを参照してください。



 

1130 シリーズのアクセス ポイントへのローカル接続

アクセス ポイントを(有線 LAN に接続せずに)ローカルに設定する必要がある場合、DB-9 to RJ-45 のシリアル ケーブルを使用して PC をアクセス ポイントのコンソール ポートに接続できます。次の手順に従ってアクセス ポイントのコンソール ポートに接続し、CLI を開きます。


ステップ 1 アクセス ポイントのカバーを開きます。

ステップ 2 9 ピンのメスの DB-9 to RJ-45 シリアル ケーブルを、アクセス ポイントの RJ-45 シリアル ポートと、コンピュータの COM ポートに接続します。DB-9 to RJ-45 シリアル ケーブルの Cisco 製品番号は AIR-CONCAB1200 です。シリアル ケーブルは、 http://www.cisco.com/go/marketplace で注文できます。

ステップ 3 アクセス ポイントと通信できるようにターミナル エミュレータを設定します。ターミナル エミュレータの接続では、9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1 の設定を使用します。フロー制御はなしです。


 

1200、1230、1240 シリーズのアクセス ポイントへのローカル接続

アクセス ポイントを(有線 LAN に接続せずに)ローカルに設定する必要がある場合、DB-9 to RJ-45 のシリアル ケーブルを使用して PC をアクセス ポイントのコンソール ポートに接続できます。次の手順に従ってアクセス ポイントのコンソール ポートに接続し、CLI を開きます。


ステップ 1 9 ピンのメスの DB-9 to RJ-45 シリアル ケーブルを、アクセス ポイントの RJ-45 シリアル ポートと、コンピュータの COM ポートに接続します。


) DB-9 to RJ-45 シリアル ケーブルの Cisco 製品番号は AIR-CONCAB1200 です。シリアル ケーブルは、http://www.cisco.com/go/marketplace で注文できます。


ステップ 2 アクセス ポイントと通信できるようにターミナル エミュレータを設定します。ターミナル エミュレータの接続では、9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1 の設定を使用します。フロー制御はなしです。


) 設定の変更が完了したら、アクセス ポイントからシリアル ケーブルを取り外してください。



 

1300 シリーズのアクセス ポイント/ブリッジへのローカル接続

アクセス ポイント/ブリッジを(アクセス ポイント/ブリッジを有線 LAN に接続せずに)ローカルに設定する必要がある場合、カテゴリ 5 のイーサネット ケーブルを使用して PC を長距離用パワー インジェクタのイーサネット ポートに接続できます。シリアル ポート接続を使用するのと同じように、パワー インジェクタのイーサネット ポートへのローカル接続を使用できます。


) PC をパワー インジェクタに接続するのに、特別なクロス ケーブルは不要です。ストレートケーブルまたはクロス ケーブルのいずれも使用できます。


ブリッジをローカルで接続する手順は、次のとおりです。


ステップ 1 使用する PC が IP アドレスを自動的に取得するよう設定されていることを確認します。そうでない場合は、アクセス ポイント/ブリッジの IP アドレスと同じサブネット内の IP アドレスを手動で割り当てます。たとえば、アクセス ポイント/ブリッジに IP アドレス 10.0.0.1 を割り当てた場合、PC に IP アドレス 10.0.0.20 を割り当てます。

ステップ 2 パワー インジェクタから電源ケーブルを抜いた状態で、カテゴリ 5 のイーサネット ケーブルを使用して PC をパワー インジェクタに接続します。クロス ケーブルまたはストレート型ケーブルのいずれかを使用できます。


) イーサネット ポート 0 を使用して、パワー インジェクタとアクセス ポイント/ブリッジ間で通信が実行されます。イーサネット ポート 0 の設定は何も変更しないようにしてください。


ステップ 3 二重同軸ケーブルで、パワー インジェクタをアクセス ポイント/ブリッジに接続します。

ステップ 4 パワー インジェクタの電源ケーブルを接続して、アクセス ポイント/ブリッジの電源を入れます。

ステップ 5 「基本設定の割り当て」の手順に従って操作します。操作を間違えたため、最初からやり直す必要がある場合は、「デバイスのデフォルト設定へのリセット」の手順に従ってください。

ステップ 6 アクセス ポイント/ブリッジの設定後、PC からイーサネット ケーブルを抜いて、パワー インジェクタを有線 LAN に接続します。


) PC をアクセス ポイント/ブリッジに接続するか、PC を有線 LAN に再接続する場合は、PC の IP アドレスを解放または更新しなければならない場合があります。ほとんどの PC では、PC をリブートするか、コマンド プロンプト画面で ipconfig /release および ipconfig /renew コマンドを入力することによって、IP アドレスを解放および更新できます。手順の詳細は、お使いの PC のオペレーティング マニュアルを参照してください。



 

デフォルトの無線設定

Cisco IOS リリース 12.3(8)JA を初めて起動した時点では、アクセス ポイントの無線は無効に設定され、デフォルトの SSID は何も割り当てられていません。これは、権限のないユーザが、デフォルトの SSID を使用してセキュリティを設定していないこのアクセス ポイントからお客様の無線ネットワークにアクセスするのを防ぐための措置です。アクセス ポイントの無線インターフェイスを有効にする前に、SSID を作成する必要があります。

詳細は、 第 6 章「無線の設定」 を参照してください。

基本設定の割り当て

無線デバイスの IP アドレスを決定または割り当てた後、次の手順に従って、この無線デバイスの Express Setup ページにアクセスし、初期設定を行います。


ステップ 1 インターネット ブラウザを開きます。無線デバイスの Web ブラウザ インターフェイスは、Windows プラットフォーム(98、2000、および XP)上の Microsoft Internet Explorer バージョン 6.0 と、Windows プラットフォーム(98、2000、および XP)および Solaris プラットフォーム上での Netscape バージョン 7.0 と完全に互換性があります。

ステップ 2 ブラウザのアドレス入力用ボックスに無線デバイスの IP アドレスを入力し、Enter キーを押します。Enter Network Password 画面が表示されます。

ステップ 3 Tab キーを押して、Username フィールドの次の Password フィールドに進みます。

ステップ 4 大文字/小文字を区別して Cisco というパスワードを入力し、Enter キーを押します。図4-1 に示された Summary Status ページが表示されます。

図4-1 Summary Status ページ

 

ステップ 5 Express Setup をクリックします。Express Setup ページが表示されます。図4-2 および図4-3 は、1100 シリーズ アクセス ポイントの Express Setup ページを示しています。このページは、ご使用になっているアクセス ポイントのモデルと設定によって異なる場合があります。

図4-2 1100 シリーズ アクセス ポイントの Express Setup ページ

 

 

図4-3 1130、1200、1240 シリーズ アクセス ポイントの Express Setup ページ

 


図4-4 は、1130 シリーズ アクセス ポイントの Express Setup ページを示しています。1200 シリーズも同様ですが、ユニバーサル ワークグループ ブリッジの役割をサポートしていません。


図4-4 1300 シリーズ アクセス ポイント/ブリッジの Express Setup ページ

 

ステップ 6 システム管理者から入手した設定を入力します。設定可能な項目は、次のとおりです。

Host Name:ホスト名は必須設定ではありませんが、ネットワーク上の無線デバイスの識別に役立ちます。ホスト名は、管理システム ページのタイトルに表示されます。


) システム名には、32 文字まで入力することができます。しかし、無線デバイスでは、クライアント デバイスに自分自身を識別させる際に、システム名の最初の 15 文字だけを使用します。クライアント ユーザが無線デバイスどうしを区別することが重要な場合、システム名の一意の部分が最初の 15 文字に現れるようにしてください。



) システム名を変更すると、無線デバイスにより無線がリセットされます。この結果、アソシエートされたクライアント デバイスのアソシエーションが解除され、すばやく再度、アソシエートされます。


Configuration Server Protocol:ネットワークの IP アドレスの割り当て方法に対応するボタンをクリックします。

DHCP:IP アドレスは、ネットワークの DHCP サーバによって自動的に割り当てられます。

Static IP:無線デバイスでは、IP Address フィールドに入力された静的 IP アドレスが使用されます。

IP Address:無線デバイスの IP アドレスを割り当てたり、変更したりします。DHCP がネットワークで有効な場合、このフィールドは空白のままにします。


) 有線 LAN 上で Web ブラウザ インターフェイスや Telnet セッションを使用して無線デバイスの設定をしている間に無線デバイスの IP アドレスが変更されると、その無線デバイスへの接続は解除されます。接続が解除された場合は、新しい IP アドレスを使用して無線デバイスに再接続してください。もう一度、最初からやり直す必要がある場合は、「デバイスのデフォルト設定へのリセット」の手順に従ってください。


IP Subnet Mask:IP アドレスが LAN 上で認識されるように、ネットワーク管理者から提供された IP サブネット マスクを入力します。DHCP が有効な場合、このフィールドは空白のままにします。

Default Gateway:ネットワーク管理者から提供されたデフォルト ゲートウェイ IP アドレスを入力します。DHCP が有効な場合、このフィールドは空白のままにします。

Role in Radio Network:ネットワークでの無線デバイスの役割を示したボタンをクリックします。無線デバイスが有線 LAN に接続されている場合は、Access Point (Root) を選択します。アクセス ポイントが有線 LAN に接続されていない場合は、Repeater (Non-Root) を選択します。

Access Point:ルート デバイス。クライアントからのアソシエーションを受け入れ、クライアントから無線 LAN までの無線トラフィックを仲介します。この設定は、どのアクセス ポイントにも適用できます。

Repeater:非ルート デバイス。クライアントからのアソシエーションを受け入れ、クライアントから、無線 LAN に接続中のルート アクセス ポイントまでの無線トラフィックを仲介します。この設定は、どのアクセス ポイントにも適用できます。

Root Bridge:非ルート ブリッジとのリンクを確立します。このモードでは、クライアントからのアソシエーションも受け入れます。この設定は、1200 および 1240 シリーズ アクセス ポイントにのみ可能です。

Non-Root Bridge:このモードでは、ルート ブリッジとのリンクを確立します。この設定は、1200 および 1240 シリーズ アクセス ポイントにのみ可能です。

Install Mode:1300 シリーズ アクセス ポイント/ブリッジを自動インストール モードに指定することで、最適な効率が得られるようにブリッジのリンクを位置合わせして調整できます。

Workgroup Bridge:Cisco Aironet 350 シリーズ ワークグループ ブリッジのエミュレートを行います。ワークグループ ブリッジ モードの場合、アクセス ポイントは、Cisco Aironet アクセス ポイントまたはブリッジにアソシエートするクライアント デバイスとして機能します。ワークグループ ブリッジは、ルート ブリッジまたはアクセス ポイントにアソシエートしている無線クライアントが他になければ、最大 254 台までのクライアントを接続できます。この設定は、1100、1200 および 1300 シリーズ アクセス ポイントで可能です。

Universal Workgroup Bridge:アクセス ポイントを、シスコ以外のアクセス ポイントとアソシエートできるワークグループ ブリッジとして設定します。この設定は、1130、1240 シリーズ アクセス ポイント、および 1300 シリーズ アクセス ポイント/ブリッジで可能です。

Scanner:ネットワーク監視モードとして機能します。スキャナ モードでは、アクセス ポイントはクライアントからのアソシエーションを受け入れません。絶え間なくスキャンを行い、無線 LAN に接続中の他の無線装置から検出した無線トラフィックをレポートします。すべてのアクセス ポイントは、スキャナとして設定できます。

Optimize Radio Network for:無線デバイスの無線に対して設定済みの設定か、カスタマイズされた設定のいずれかを選択します。

Throughput:無線デバイスで処理されるデータ量が最大限に増えます。ただし、その通信範囲は縮小される可能性があります。

Range:無線デバイスの通信範囲が最大限に拡張されます。ただし、スループットは減少する可能性があります。

Custom:無線デバイスでは、Network Interfaces: Radio-802.11b Settings ページに入力した設定が使用されます。Custom をクリックすると、Network Interfaces: Radio-802.11b Settings ページが表示されます。

Aironet Extensions:無線 LAN 上に Cisco Aironet デバイスだけがある場合には、この設定を有効にします。

SNMP Community:ネットワークで SNMP が使用されている場合、ネットワーク管理者により用意された SNMP コミュニティ名を入力して、(同じくネットワーク管理者により用意された)SNMP データの属性を選択します。

ステップ 7 Apply をクリックして、設定を保存します。

ステップ 8 Network Interfaces をクリックして Network Interfaces Summary ページを表示します。

ステップ 9 Radio Interface をクリックして Network Interfaces: Radio Status ページを表示します。

ステップ 10 Settings タブをクリックして無線インターフェイスの Settings ページを表示します。

ステップ 11 Enable をクリックして、無線を有効に設定します。

ステップ 12 Apply をクリックします。

これで無線デバイスは稼働しますが、ネットワークの運用およびセキュリティに関する要件を満たすための追加の設定が必要になる場合があります。設定を完了するのに必要な情報については、このマニュアルの該当する章を参照してください。


) 1100 および 1200 シリーズのアクセス ポイントは、工場出荷時の設定に戻すことができます。そのためには、ステータス LED がオレンジになるまで、モード ボタンを数秒間押しながら、電源ジャックを抜いて再び差し込みます。



 

Express Setup ページのデフォルト設定

表4-1 は、Express Setup ページのデフォルト設定一覧です。

 

表4-1 Express Setup ページのデフォルト設定

設定
デフォルト

Host Name

ap

Configuration Server Protocol

DHCP

IP Address

デフォルトで DHCP により割り当てられます。アクセス ポイントにおけるデフォルトの IP アドレスの動作については、「デフォルトの IP アドレスの動作」を参照してください。

IP Subnet Mask

デフォルトで DHCP により割り当てられます。DHCP が無効の場合、デフォルト設定は 255.255.255.224 です。

Default Gateway

デフォルトで DHCP により割り当てられます。DHCP が無効の場合、デフォルト設定は 0.0.0.0 です。

SNMP Community

defaultCommunity (Read-only)

Role in Radio Network (インストール済みの無線ごとに設定)

Access point

Optimize Radio Network for

Throughput

Aironet Extensions

Enable

基本的なセキュリティ設定

無線デバイスに基本設定を割り当てたら、セキュリティ設定を行い、ネットワークを不正アクセスから保護する必要があります。無線デバイスは、作業場所の物理的な境界を超えて通信することができます。

Express Setup ページを使用して基本設定を割り当てる場合と同じように、Express Security ページを使用して一意の SSID を作成し、これに 4 つのセキュリティ タイプのうちのいずれかを割り当てることができます。図4-5 は、Express Security ページを示しています。

図4-5 Express Security ページ

 

Express Security ページは、基本的なセキュリティ設定の設定に役立ちます。Web ブラウザ インターフェイスのメイン Security ページを使用して、詳細なセキュリティ設定を設定できます。

Express Security 設定の概要

Express Security ページから作成した SSID は、Express Security ページ下部の SSID Table に表示されます。無線デバイスには最大 16 の SSID を作成できます。デュアル無線の無線デバイスでは、作成した SSID が両方の無線インターフェイスで有効になります。


) Cisco IOS リリース 12.4(3g)JA および 12.3(8)JEB には、デフォルトの SSID は存在しません。クライアント デバイスからアクセス ポイントにアソシエートする前に、SSID を設定しておく必要があります。


SSID には、最大 32 文字の英数字を使用でき、大文字と小文字が区別されます。

先頭の文字に次の文字は使用できません。

感嘆符(!)

ポンド記号(#)

セミコロン(;)

次の文字は無効とされ、SSID に使用することはできません。

プラス記号(+)

閉じ大カッコ(])

スラッシュ(/)

引用符(")

タブ

末尾のスペース

VLAN の使用

無線 LAN で VLAN を使用し、VLAN に SSID を割り当てる場合、Express Security ページの 4 つのセキュリティ設定のうちのいずれかを使用して複数の SSID を作成できます。ただし、無線 LAN で VLAN を使用しない場合、SSID に割り当てることのできるセキュリティ オプションは制限されます。Express Security ページでは暗号化設定と認証タイプがリンクしているためです。VLAN を使用しない場合、暗号化設定(Wired Equivalent Privacy(WEP)と暗号)が 2.4GHz 無線などのインターフェイスに適用されるため、1 つのインターフェイスで複数の暗号化設定を使用することはできません。たとえば、VLAN を無効にし、静的 WEP によって SSID を作成した場合、Wi-Fi Protected Access(WPA)認証によって追加の SSID を作成することはできません。これらは異なる暗号化設定を使用しているためです。SSID のセキュリティ設定が別の SSID と競合していることがわかった場合、1 つ以上の SSID を削除して競合を解消することができます。

Express Security のタイプ

表4-2 は、SSID に割り当てられる 4 つのセキュリティ タイプについて説明しています。

 

表4-2 Express Security Setup ページのセキュリティ タイプ

セキュリティ タイプ
説明
有効になるセキュリティ機能

No Security

これは安全性が最も低いオプションです。このオプションは、パブリック スペースで使用されている SSID のみに使用し、ネットワークへのアクセスを制限している VLAN に割り当てる必要があります。

なし。

Static WEP Key

このオプションは、No Security よりは安全です。ただし、静的 WEP キーは攻撃に対して脆弱です。この設定を行う場合、MAC アドレスに基づいて無線デバイスへのアソシエーションを制限することを考慮してください(「MAC アドレス ACL を使用したアクセス ポイントへのクライアント アソシエーションの許可と禁止」を参照)。または、ネットワークに Remote Authentication Dial-In User Service(RADIUS)サーバが存在しない場合、アクセス ポイントをローカルの認証サーバとして使用することを考慮してください( 第 9 章「ローカル認証サーバとしてのアクセス ポイントの設定」 を参照)。

WEP が必須。無線デバイスのキーと一致する WEP キーが存在しないと、クライアント デバイスがこの SSID を使用してアソシエートすることはできません。

EAP Authentication

このオプションでは、802.1x 認証(LEAP、PEAP、EAP-TLS、EAP-FAST、EAP-TTLS、EAP-GTC、EAP-SIM、その他 802.1X/EAP ベースの製品)が有効になります。

この設定では、暗号化必須、WEP、Open 認証 + EAP、ネットワーク EAP 認証、キー管理なし、RADIUS サーバ認証ポート 1645 を選択します。

ネットワーク上の認証サーバの IP アドレスと共有秘密鍵を入力する必要があります(サーバ認証ポート 1645)。802.1X 認証によって動的暗号化キーが提供されるため、WEP キーを入力する必要はありません。

802.1X 認証が必須。この SSID を使用してアソシエートするクライアント デバイスは、802.1X 認証を実行する必要があります。

無線クライアントで EAP-FAST を使用する認証が設定されている場合は、Open 認証 + EAP も設定する必要があります。Open 認証 + EAP を設定しないと、次の GUI 警告メッセージが表示されます。

WARNING:
Network EAP is used for LEAP authentication only.If radio clients are configured to authenticate using EAP-FAST, Open Authentication with EAP should also be configured.

CLI を使用している場合は、次の警告メッセージが表示されます。

SSID CONFIG WARNING:[SSID]:If radio clients are using EAP-FAST, AUTH OPEN with EAP should also be configured.

WPA

Wi-Fi Protected Access(WPA)は、認証サーバのサービスを通じてデータベースに対して認証されたユーザへの無線アクセスを許可し、WEP で使用されるアルゴリズムよりも強力なアルゴリズムを使用して IP トラフィックを暗号化します。

この設定では、暗号スイート、TKIP、Open 認証 + EAP、ネットワーク EAP 認証、キー管理 WPA 必須、RADIUS サーバ認証ポート 1645 を選択します。

Extensible Authentication Protocol(EAP; 拡張認証プロトコル)認証の場合と同じように、ネットワーク上の認証サーバの IP アドレスと共有秘密鍵を入力する必要があります(サーバ認証ポート 1645)。

WPA 認証が必須。この SSID を使用してアソシエートするクライアント デバイスは、WPA 対応でなければなりません。

無線クライアントで EAP-FAST を使用する認証が設定されている場合は、Open 認証 + EAP も設定する必要があります。Open 認証 + EAP を設定しないと、次の GUI 警告メッセージが表示されます。

WARNING:
Network EAP is used for LEAP authentication only.If radio clients are configured to authenticate using EAP-FAST, Open Authentication with EAP should also be configured.

CLI を使用している場合は、次の警告メッセージが表示されます。

SSID CONFIG WARNING:[SSID]:If radio clients are using EAP-FAST, AUTH OPEN with EAP should also be configured.

Express Security の制限

Express Security ページは単純な基本のセキュリティ設定用に設計されているため、使用できるオプションは無線デバイスのセキュリティ機能のサブセットになります。Express Security ページの使用にあたっては、次の制限事項に留意してください。

No VLAN オプションを選択している場合、静的 WEP キーを一度設定することができます。 Enable VLAN を選択した場合は、静的 WEP キーを無効にする必要があります。

SSID を編集することはできません。ただし、SSID を削除して再作成することはできます。

SSID を特定の無線インターフェイスに割り当てることはできません。作成した SSID はすべての無線インターフェイスで有効になります。SSID を特定の無線インターフェイスに割り当てる場合は、Security SSID Manager ページを使用します。

複数の認証サーバは設定できません。複数の認証サーバを設定する場合は、Security Server Manager ページを使用します。

複数の WEP キーは設定できません。複数の WEP キーを設定する場合は、Security Encryption Manager ページを使用します。

無線デバイス上にすでに設定されている VLAN に SSID を割り当てることはできません。既存の VLAN に SSID を割り当てる場合は、Security SSID Manager ページを使用します。

同一の SSID 上で認証タイプを組み合わせて設定することはできません(MAC アドレス認証と EAP 認証など)。認証タイプを組み合わせて設定する場合は、Security SSID Manager ページを使用します。

Express Security ページの使用方法

Express Security ページを使用して SSID を作成する手順は、次のとおりです。


ステップ 1 SSID の入力フィールドに SSID を入力します。SSID には、最大 32 文字の英数字を使用できます。

ステップ 2 無線デバイスのビーコンで SSID をブロードキャストするには、Broadcast SSID in Beacon チェックボックスをオンにします。SSID をブロードキャストすると、SSID を指定していないデバイスが無線デバイスにアソシエートできるようになります。このオプションは、パブリック スペースでゲストやクライアント デバイスが SSID を使用する場合に便利です。SSID をブロードキャストしない場合、クライアント デバイスの SSID がこの SSID と一致しない限り、クライアント デバイスは無線デバイスにアソシエートできません。無線デバイスのビーコンに追加できる SSID は 1 つだけです。

ステップ 3 (オプション)Enable VLAN ID チェックボックスをオンにして、SSID を VLAN に割り当てるための VLAN 番号(1 ~ 4095)を入力します。既存の VLAN に SSID を割り当てることはできません。

ステップ 4 (オプション)Native VLAN チェックボックスをオンにして、VLAN をネイティブ VLAN として指定します。

ステップ 5 SSID のセキュリティ設定を選択します。この設定は、No Security から WPA まで堅牢性の順に並んでいます。WPA が最も強力なセキュリティ設定です。EAP Authentication または WPA を選択した場合は、ネットワーク上の認証サーバの IP アドレスと共有秘密鍵を入力します。


) 無線 LAN で VLAN を使用しない場合、複数の SSID に割り当てることのできるセキュリティ オプションが制限されます。詳細は、「VLAN の使用」を参照してください。


ステップ 6 Apply をクリックします。ページ下部の SSID Table に SSID が表示されます。


 

CLI の設定例

ここでは、Express Security ページで各セキュリティ タイプを使用して SSID を作成するのと同じ働きをする CLI コマンドの例を示します。この項で取り上げる設定例は次のとおりです。

「例:No Security」

「例:Static WEP」

「例:EAP Authentication」

「例:WPA」

例:No Security

次の例は、Express Security ページを使用して no_security_ssid という名前の SSID を作成した結果として行われる設定の一部を示しています。ここでは、ビーコンにこの SSID を追加し、これを VLAN 10 に割り当て、ネイティブ VLAN として VLAN 10 を選択しています。

!
dot11 ssid no_security_ssid
authentication open
vlan 10
!
interface Dot11Radio0.10
encapsulation dot1Q 10 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
!
ssid no_security_ssid
!
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
rts threshold 2312
station-role root
!
interface Dot11Radio1.10
encapsulation dot1Q 10 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
 

例:Static WEP

次の例は、Express Security ページを使用して static_wep_ssid という名前の SSID を作成した結果として行われる設定の一部を示しています。ここでは、この SSID をビーコンから除外し、この SSID を VLAN 20 に割り当て、キー スロットとして 3 を選択し、128 ビット キーを入力しています。

ssid static_wep_ssid
vlan 20
authentication open
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 20 key 3 size 128bit 7 FFD518A21653687A4251AEE1230C transmit-key
encryption vlan 20 mode wep mandatory
!
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
rts threshold 2312
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
 
ssid statuc_wep_ssid
!
interface Dot11Radio0.20
encapsulation dot1Q 20
no ip route-cache
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
bridge-group 20 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption vlan 20 key 3 size 128bit 7 741F07447BA1D4382450CB68F37A transmit-key
encryption vlan 20 mode wep mandatory
!
ssid static_wep_ssid
!
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
rts threshold 2312
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1.20
encapsulation dot1Q 20
no ip route-cache
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
bridge-group 20 spanning-disabled

例:EAP Authentication

次の例は、Express Security ページを使用して eap_ssid という名前の SSID を作成した結果として行われる設定の一部を示しています。ここでは、SSID をビーコンから除外し、SSID を VLAN 30 に割り当てています。


) 無線クライアントで EAP-FAST を使用していて、設定の中に Open 認証 + EAP を含めていないと、次の警告メッセージが表示されます。

SSID CONFIG WARNING:[SSID]:If radio clients are using EAP-FAST, AUTH OPEN with EAP should also be configured.


dot11 ssid eap_ssid
vlan 30
authentication open eap eap_methods
authentication network-eap eap_methods
!
interface Dot11Radio0/1
no ip address
no ip route-cache
!
encryption vlan 30 mode wep mandatory
!
ssid eap_ssid
!
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
rts threshold 2312
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0/1.30
encapsulation dot1Q 30
no ip route-cache
bridge-group 30
bridge-group 30 subscriber-loop-control
bridge-group 30 block-unknown-source
no bridge-group 30 source-learning
no bridge-group 30 unicast-flooding
bridge-group 30 spanning-disabled
!
interface Dot11Radio0/1
no ip address
no ip route-cache
!
encryption vlan 30 mode wep mandatory
!
ssid eap_ssid
!
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
rts threshold 2312
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0/1.30
encapsulation dot1Q 30
no ip route-cache
bridge-group 30
bridge-group 30 subscriber-loop-control
bridge-group 30 block-unknown-source
no bridge-group 30 source-learning
no bridge-group 30 unicast-flooding
bridge-group 30 spanning-disabled
!
interface FastEthernet0
mtu 1500
no ip address
ip mtu 1564
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface FastEthernet0.30
mtu 1500
encapsulation dot1Q 30
no ip route-cache
bridge-group 30
no bridge-group 30 source-learning
bridge-group 30 spanning-disabled
!
interface BVI1
ip address 10.91.104.91 255.255.255.192
no ip route-cache
!
ip http server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100
ip radius source-interface BVI1
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.91.104.92 auth-port 1645 acct-port 1646 key 7 091D1C5A4D5041
radius-server authorization permit missing Service-Type
radius-server vsa send accounting
bridge 1 route ip
 

例:WPA

次の例は、Express Security ページを使用して wpa_ssid という名前の SSID を作成した結果として行われる設定の一部を示しています。ここでは、SSID をビーコンから除外し、SSID を VLAN 40 に割り当てています。

ssid wpa_ssid
vlan 40
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa
!
aaa new-model
!
!
aaa group server radius rad_eap
server 10.91.104.92 auth-port 1645 acct-port 1646
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local
aaa authorization ipmobile default group rad_pmip
aaa accounting network acct_methods start-stop group rad_acct
aaa session-id common
!
!
bridge irb
!
!
interface Dot11Radio0/1
no ip address
no ip route-cache
!
encryption vlan 40 mode ciphers tkip
!
ssid wpa_ssid
!
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
rts threshold 2312
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0/1.40
encapsulation dot1Q 40
no ip route-cache
bridge-group 40
bridge-group 40 subscriber-loop-control
bridge-group 40 block-unknown-source
no bridge-group 40 source-learning
no bridge-group 40 unicast-flooding
bridge-group 40 spanning-disabled
!
ssid wpa_ssid
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface FastEthernet0.40
encapsulation dot1Q 40
no ip route-cache
bridge-group 40
no bridge-group 40 source-learning
bridge-group 40 spanning-disabled

1130 および 1240 シリーズ アクセス ポイントのシステム電力の設定

1130 および 1240 アクセス ポイントは、接続先の電源が十分な電力を供給しないことを検知すると、無線インターフェイスを無効にします。使用している電源によっては、アクセス ポイントの設定で電源のタイプを入力する必要がある場合があります。Web ブラウザ インターフェイスの System Software: System Configuration ページで、電力オプションを選択できます。図4-6 は、System Configuration ページの System Power Settings セクションを示しています。

図4-6 System Software: System Configuration ページの電力オプション

 

AC 電源アダプタの使用

AC 電源アダプタを使用して 1130 または 1240 アクセス ポイントに電力を供給する場合、アクセス ポイントの設定を調整する必要はありません。

IEEE 802.3af 電力ネゴシエーションのスイッチ機能の使用

Power over Ethernet(PoE)を 1130 または 1240 アクセス ポイントに供給するスイッチを使用し、そのスイッチが IEEE 802.3af 電力ネゴシエーション標準に対応している場合、System Software: System Configuration ページで Power Negotiation を選択します。

IEEE 802.3af 電力ネゴシエーションに対応していないスイッチの使用

Power over Ethernet(PoE)を 1130 アクセス ポイントに供給するスイッチを使用し、そのスイッチが IEEE 802.3af 電力ネゴシエーション標準に対応していない場合、System Software: System Configuration ページで Pre-Standard Compatibility を選択します。

電力インジェクタの使用

電力インジェクタを使用して 1130 または 1240 アクセス ポイントに電力を供給している場合、System Software: System Configuration ページで Power Injector を選択し、アクセス ポイントを接続しているスイッチ ポートの MAC アドレスを入力します。

dot11 extension power native コマンド

有効になっている場合、dot11 extension power native によって、無線で使用中のパワー テーブルが IEEE 802.11 テーブルからネイティブ パワー テーブルへシフトされます。無線装置は、このテーブル値を CISCO-DOT11-1F-MIB の NativePowerTable および NativePowerSupportedTable から取り出します。Native Power テーブルは、-1dBm レベルをサポートする Cisco Aironet の無線機器で使用できるよう、電源を -1dBm 近辺に低く設定するよう厳密に設計されています。

IP Setup Utility の使用

無線デバイスの IP アドレスが DHCP サーバによって割り当てられている場合、IPSU によってその IP アドレスが検索できるようになります。この項では、このユーティリティのインストール方法と、これを使用して無線デバイスの IP アドレスを検索する方法について説明します。


) アドレスを DHCP サーバから受け取る場合、または IP アドレスを手動で設定した場合に限り、IPSU はアクセス ポイントの IP アドレスを検出します。デフォルトでは、コンソール ポートを持つアクセス ポイントが DHCP 要求を DHCP サーバに無期限に送信し続けます。アクセス ポイントが IP アドレスを受信しないと、IPSU は IP アドレスを報告できません。



) IPSU は、Windows 95、98、NT、2000、ME、XP 以外のオペレーティング システムでは使用できません。



ヒント 無線デバイスにアソシエートされたクライアント デバイスで Aironet Client Utility の Status 画面を確認しても、無線デバイスの IP アドレスを簡単に検索できます。


IPSU の入手方法

ISPU は、シスコの Web サイトから入手できます。次のリンクをクリックすると、Cisco.com の Software Center を参照できます。

http://tools.cisco.com/support/downloads/pub/MDFTree.x?butype=wireless

IPSU を使用したアクセス ポイントの IP アドレス の検索

無線デバイスの IP アドレスを DHCP サーバから受け取っている場合は、IPSU を使用して IP アドレスを検索できます。IPSU は無線デバイスの MAC アドレスに基づいてリバース ARP 要求を送信するので、無線デバイスと同じサブネット上にあるコンピュータから IPSU を実行する必要があります。無線デバイスの IP アドレスを検索する手順は、次のとおりです。


ステップ 1 コンピュータのデスクトップの IPSU アイコンをダブルクリックして、ユーティリティを起動します。IPSU 画面が表示されます(図4-7 を参照)。

図4-7 IPSU Get IP Address 画面

 

ステップ 2 ユーティリティ ウィンドウが開いたら、Function ボックスの Get IP addr ラジオ ボタンが選択されていることを確認します。

ステップ 3 Device MAC ID フィールドに、無線デバイスの MAC アドレスを入力します。無線デバイスの MAC アドレスは、装置の背面ラベルに記載されています。MAC アドレスは、6 組の 16 進数から構成されます。無線デバイスの MAC アドレスは、次の例のようになっています。

000BFCFFB24E


) MAC アドレスのフィールドでは、大文字と小文字は区別されません。


ステップ 4 Get IP Address をクリックします。

ステップ 5 無線デバイスの IP アドレスが IP Address フィールドに表示されたら、そのアドレスを書き留めます。


 

CLI を使用した IP アドレスの割り当て

無線デバイスは、有線 LAN に接続されると、自動的に生成される Bridge Virtual Interface(BVI; ブリッジ仮想インターフェイス)を使用してネットワークにリンクします。ネットワークでは、無線デバイスのイーサネット ポートと無線ポートに個別の IP アドレスがトラッキングされるのではなく、BVI が使用されます。

CLI を使用して無線デバイスに IP アドレスを割り当てる場合、そのアドレスを BVI に割り当てる必要があります。特権 EXEC モードから開始し、次の手順に従って無線デバイスの BVI に IP アドレスを割り当てます。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface bvi1

BVI のインターフェイス設定モードに切り替えます。

ステップ 3

ip address address mask

IP アドレスとアドレス マスクを BVI に割り当てます。


) Telnet セッションを使用して無線デバイスに接続している場合は、BVI に新しい IP アドレスを割り当てると、この無線デバイスへの接続が失われます。Telnet を使用して無線デバイスの設定を続ける必要がある場合は、新しい IP アドレスで、その無線デバイスへの別の Telnet セッションを開始します。


Telnet セッションを使用した CLI へのアクセス

Telnet セッションを使用して CLI にアクセスする手順は、次のとおりです。これらの手順は、Microsoft Windows を実行する PC で Telnet 端末アプリケーションを使用する場合を想定しています。オペレーティング システムの詳細な操作方法については、お使いの PC の操作マニュアルを確認してください。


ステップ 1 Start > Programs > Accessories > Telnet の順に選択します。

Accessories メニューに Telnet がない場合は、Start > Run の順に選択し、入力フィールドに Telnet と入力して Enter キーを押します。

ステップ 2 Telnet ウィンドウが表示されたら、Connect をクリックして、Remote System を選択します。


) Windows 2000 では、Telnet ウィンドウにドロップダウン メニューが表示されません。Windows 2000 で Telnet セッションを起動するには、open と入力してから、無線デバイスの IP アドレスを入力します。


ステップ 3 Host Name フィールドに無線デバイスの IP アドレスを入力して、Connect をクリックします。


 

802.1X サプリカントの設定

ネットワークにアクセスするため認証が必要なのは PC ユーザのため、従来、dot1x 認証サーバ/クライアントの関係にはネットワーク機器と PC クライアントがそれぞれ使用されていました。しかし、無線ネットワークになってから、今までの認証サーバ/クライアントの関係とは違う手法が取り入れられました。まず、プラグが抜かれてもおかしくない、ネットワーク接続が部外者から使用されるかもしれない公衆の場にアクセス ポイントを設置できるようになりました。次に、リピータ アクセス ポイントを無線ネットワークに組み込み、そのリピータ アクセス ポイントをクライアントと同様にルート アクセス ポイントで認証されるように設定します。


) 802.1X サプリカントは、1130AG、1240AG、および 1300 シリーズのアクセス ポイントで使用できます。1100 シリーズおよび 1200 シリーズのアクセス ポイントでは利用できません。


サプリカントの設定には、次の 2 段階があります。

クレデンシャル プロファイルを作成して設定する

このクレデンシャルをインターフェイスまたは SSID に適用する

どちらの手順を先に完了してもかまいませんが、サプリカントを使用する前に完了しておく必要があります。

クレデンシャル プロファイルの作成

特権 EXEC モードから、次の手順に従って 802.1X クレデンシャル プロファイルを作成します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot1x credentials profile

dot1x クレデンシャル プロファイルを作成し、dot1x クレデンシャルの設定サブモードに入ります。

ステップ 3

anonymous-id description

(オプション):使用する匿名 ID を入力します。

ステップ 4

description description

(オプション):クレデンシャル プロファイルの名称を入力します。

ステップ 5

username username

認証ユーザ ID を入力します。

ステップ 6

password {0 | 7 | LINE}

クレデンシャルに、暗号化されていないパスワードを入力します。

0:続けて、暗号化されていないパスワードを入力します。

7:続けて、非表示のパスワードを入力します。非表示のパスワードは、既に保存済みの設定を適用する場合に使用します。

LINE:暗号化されていない(クリア テキストの)パスワード。


) 暗号化されていないテキストとクリア テキストは同じものです。クリア テキストのパスワードの後に 0 を入力してください。または、0 を省略してクリア テキストのパスワードを入力してください。


ステップ 7

pki-trustpoint pki-trustpoint

(オプション。EAP-TLS にのみ使用。):デフォルトの PKI トラストポイントを入力します。

ステップ 8

end

特権 EXEC モードに戻ります。

ステップ 9

copy running config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

パラメータを無効にするには、dot1x credentials コマンドの no 形式を使用します。

次に、クレデンシャル プロファイルの作成例を示します。名称を test、ユーザ名を Cisco、暗号化されていないパスワードを Cisco とします。

ap1240AG>enable
Password:xxxxxxx
ap1240AG#config terminal
Enter configuration commands, one per line. End with CTRL-Z.
ap1240AG(config)# dot1x credentials test
ap1240AG(config-dot1x-creden)#username Cisco
ap1240AG(config-dot1x-creden)#password Cisco
ap1240AG(config-dot1x-creden)#exit
ap1240AG(config)#

インターフェイスまたは SSID にクレデンシャルを適用する方法

クレデンシャル プロファイルの適用方法は、インターフェイスに対しても SSID に対しても同じです。

クレデンシャル プロファイルを有線ポートに適用する方法

特権 EXEC モードから、次の手順に従ってクレデンシャルをアクセス ポイントの有線ポートに適用します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface fastethernet 0

アクセス ポイントのファースト イーサネット ポートのインターフェイス設定モードを開始します。


) interface fa0 を使用してファースト イーサネット設定モードを開始することもできます。


ステップ 3

dot1x credentials profile name

既に作成しておいたクレデンシャル プロファイル名を入力します。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

copy running config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

次の例では、アクセス ポイントのファースト イーサネット ポートまで、クレデンシャル プロファイル test を適用しています。

ap1240AG>enable
Password:xxxxxxx
ap1240AG#config terminal
Enter configuration commands, one per line. End with CTRL-Z.
ap1240AG(config)#interface fa0
ap1240AG(config-if)#dot1x credentials test
ap1240AG(config-if)#end
ap1240AG#
 

アップリンクに使用する SSID にクレデンシャル プロファイルを適用する方法

無線ネットワーク内にリピータ アクセス ポイントがあり、ルート アクセス ポイントで 802.1X サプリカントを使用している場合、リピータがルート アクセス ポイントとアソシエートして認証に使用する SSID に、802.1X サプリカントのクレデンシャルを適用する必要があります。

特権 EXEC モードから、次の手順に従って、アップリンクに使用する SSID にクレデンシャルを適用します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot11 ssid ssid

802.11 SSID を入力します。SSID には、最大 32 文字の英数字を使用できます。SSID では、大文字と小文字が区別されます。


) 先頭の文字に !、#、; の文字は使用できません。


+、]、/、"、TAB、末尾のスペースは、SSID には無効な文字です。

ステップ 3

dot1x credentials profile

既に設定しておいたクレデンシャル プロファイル名を入力します。

ステップ 4

end

dot1x クレデンシャルの設定サブモードを終了します。

ステップ 5

copy running config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

次の例では、test という名前のクレデンシャル プロファイルを適用しています。リピータ アクセス ポイント上の適用先 SSID を testap1 としています。

repeater-ap>enable
Password:xxxxxxx
repeater-ap#config terminal
Enter configuration commands, one per line. End with CTRL-Z.
repeater-ap(config-if)#dot11 ssid testap1
repeater-ap(config-ssid)#dot1x credentials test
repeater-ap(config-ssid)#end
repeater-ap(config)
 

EAP 方式プロファイルの作成と適用

EAP 方式リストを設定して、サプリカントを有効にし、特定の EAP 方式を認識するオプションも用意されています。「802.1X サプリカントの EAP 方式プロファイルの作成と適用」を参照してください。