Cisco Aironet 1200 シリーズ アクセス ポイント インストレーション コンフィギュレーション ガイド, 12.2(8)JA
VLAN の設定
VLAN の設定
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

VLAN の設定

VLAN の概要

関連資料

VLAN へのワイヤレス デバイスの組み込み

VLAN の設定

VLAN の設定

RADIUS サーバを使用した VLAN へのユーザの割り当て

アクセス ポイントに設定された VLAN の表示

VLAN 設定の例

VLAN の設定

この章では、ワイヤード LAN に設定された VLAN を使って動作するようにアクセス ポイントを設定する方法について説明します。 VLAN をサポートするようにアクセス ポイントを設定する方法については、次の項で説明します。

「VLAN の概要」

「VLAN の設定」

「VLAN 設定の例」

VLAN の概要

VLAN は物理的または地理的な基準ではなく、機能、プロジェクト チーム、あるいはアプリケーション別に論理的にセグメント化されたスイッチド ネットワークです。 たとえば、あるワークグループ チームが使用するすべてのワークステーションとサーバを、ネットワークへの物理的な接続とは関係なく、他のチームと混在していても、同じ VLAN に接続することができます。 VLAN はプラグを抜いてデバイスやワイヤを移動する物理的な方法ではなく、ソフトウェアからネットワークを再設定する場合に使用します。

VLAN は既定のスイッチ セット内にあるブロードキャスト ドメインともいえます。 VLAN はいくつかのエンド システム(ホストまたはブリッジやルータなどのネットワーク設備)から構成され、単一のブリッジング ドメインにより接続されます。 ブリッジング ドメインは、各 VLAN の個別グループでスイッチ間のブリッジング プロトコルを操作する LAN スイッチなど、さまざまなネットワーク設備でサポートされます。

VLAN は、通常は LAN 設定のルータが供給するセグメンテーション サービスを提供します。 VLAN はスケーラビリティ、セキュリティ、ネットワーク管理に対応します。 スイッチド LAN ネットワークを設計し構築する場合、いくつかの主要な問題を考慮する必要があります。

LAN セグメンテーション

セキュリティ

ブロードキャスト制御

パフォーマンス

ネットワーク管理

VLAN 間の通信

VLAN は、アクセス ポイントに IEEE 802.1Q タグ認識を追加することにより、ワイヤレス LAN に拡張することができます。 異なる VLAN を宛先とするフレームは、アクセス ポイントが WEP キーの異なる複数の SSID にワイヤレスに伝送します。 その VLAN に結合するクライアントのみが、そのパケットを受け取ります。 反対に、ある VLAN に結合したクライアントから送信されたパケットは、ワイヤード ネットワークに転送される前に 802.1Q タグが付けられます。

図 12-1 は、ワイヤレス デバイスが接続された状況の、従来の物理 LAN セグメンテーションと論理 VLAN セグメンテーションとの違いを表しています。

図 12-1 ワイヤレス デバイスを使用する LAN セグメンテーションと VLAN セグメンテーション

 

関連資料

次のマニュアルには、VLAN の設計と設定に適した詳細情報が記載されています。

『Cisco IOS Switching Services Configuration Guide』 次のリンクをクリックすると上記のガイドを参照できます。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fswtch_c/index.htm

『Cisco Internetworking Design Guide』 次のリンクをクリックすると上記のガイドを参照できます。
http://www.cisco.com/univercd/cc/td/doc/cisintwk/idg4/index.htm

『Cisco Internetworking Technology Handbook』 次のリンクをクリックすると上記のガイドを参照できます。
http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/index.htm

『Cisco Internetworking Troubleshooting Guide』 次のリンクをクリックすると上記のガイドを参照できます。
http://www.cisco.com/univercd/cc/td/doc/cisintwk/itg_v1/index.htm

VLAN へのワイヤレス デバイスの組み込み

VLAN の基本的なワイヤレス コンポーネントは、アクセス ポイントと、ワイヤレス テクノロジーを使用して結合されたクライアントから構成されます。 アクセス ポイント、トランク ポートを介して VLAN が設定されたネットワーク スイッチへ物理的に接続されます。 VLAN スイッチへはアクセス ポイントのイーサネット ポートを介して物理接続されます。

基本的には、特定の VLAN に接続するアクセス ポイントを設定するポイントは、その VLAN を認識するように SSID を設定することです。 これは、VLAN が VLAN ID で識別されているためで、これに基づいて、アクセス ポイント上の SSID が特定の VLAN ID を認識するように設定された場合は、VLAN への接続が確立されます。 接続が行われると、同じ SSID を持つ結合されたワイヤレス クライアント デバイスは、アクセス ポイントを介して VLAN にアクセスします。 VLAN は、ワイヤード ネットワークとのやり取りと同様に、クライアントとやり取りしてデータを処理します。 アクセス ポイントには最大 16 の SSID を設定できるため、最大 16 の VLAN をサポートできることになります。

ワイヤレス デバイスをより効率的かつ柔軟に配備する場合に VLAN 機能を使用できます。 たとえば、広範囲で多様なネットワーク アクセスおよび許可を持つ複数のユーザの要求事項を、1 つのアクセス ポイントで処理できるようになりました。 VLAN 機能がなければ、割り当てられたアクセスと許可に基づいて多様なユーザに対応するために、複数のアクセス ポイントを採用する必要が生じます。

ワイヤレス VLAN の配備には共通の 2 つの戦略があります。

ユーザ グループ別のセグメンテーション。 ワイヤレス LAN ユーザ コミュニティをセグメント化し、各ユーザ グループに異なるセキュリティ ポリシーを適用できます。 たとえば、企業の環境で、正社員とパート社員、ゲスト アクセス用に 3 つのワイヤードとワイヤレス VLAN を構築することができます。

デバイス タイプ別のセグメンテーション。 ワイヤレス LAN をセグメント化して、セキュリティ機能の異なる複数のデバイスがネットワークに接続できるようにします。 たとえば、ワイヤレス ユーザは静的 WEP のみをサポートするデバイスを保有している場合や、動的 WEP を使用する高度なデバイスを使用している場合があります。 これらのデバイスをグループ化し、個別の VLAN として切り離すことができます。

VLAN の設定

次の項では、アクセス ポイントで VLAN を設定する方法について説明しています。

「VLAN の設定」

「RADIUS サーバを使用した VLAN へのユーザの割り当て」

「アクセス ポイントに設定された VLAN の表示」

VLAN の設定

アクセス ポイントを VLAN をサポートするように設定するプロセスは、3 つの手順で行われます。

1. SSID の VLAN への割り当て

2. 認証設定の SSID への割り当て

3. 無線ポートとイーサネット ポートでの VLAN の有効化

この項では、SSID を VLAN に割り当てる方法と、アクセス ポイントの無線ポートとイーサネット ポートで VLAN を有効にする方法を説明します。 SSID に認証タイプを割り当てる手順については、 第10章「認証タイプの設定」 を参照してください。その他の設定を SSID に割り当てる手順については、 第8章「複数の SSID の設定」 を参照してください。

アクセス ポイントには最大 16 の SSID を設定できるため、LAN に設定される VLAN は最大 16 までサポートできます。

イネーブル EXEC モードから、次の手順に従って VLAN に SSID を割り当て、アクセス ポイントの無線ポートとイーサネット ポートで VLAN を有効にします。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio0

無線インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

ステップ 3

ssid ssid-string

ステップ 4

vlan vlan-id

(オプション)ネットワークの VLAN に SSID を指定します。 SSID を使用して結合するクライアント デバイスは、この VLAN にグループ化されます。 VLAN ID を 1 ~ 4095 の範囲で入力します。

ステップ 5

exit

無線インターフェイスのインターフェイス コンフィギュレーション モードに戻ります。

ステップ 6

interface dot11radio0.x

無線 VLAN サブインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

ステップ 7

encapsulation dot1q vlan-id [native]

無線インターフェイスで VLAN を有効にします。

(オプション)VLAN をネイティブ VLAN に指定します。 多くのネットワークではネイティブ VLAN は VLAN 1 です。

ステップ 8

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 9

interface fastEthernet0.x

イーサネット VLAN サブインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

ステップ 10

encapsulation dot1q vlan-id [native]

イーサネット インターフェイスで VLAN を有効にします。

(オプション)VLAN をネイティブ VLAN に指定します。 多くのネットワークではネイティブ VLAN は VLAN 1 です。

ステップ 11

end

イネーブル EXEC モードに戻ります。

ステップ 12

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

次の例は次にあげる方法を示しています。

SSID の名前の指定

SSID の VLAN への割り当て

無線ポートとイーサネット ポートでのネイティブ VLAN としての VLAN の有効化

ap1200# configure terminal
ap1200(config)# interface dot11radio0
ap1200(config-if)# ssid batman
ap1200(config-ssid)# vlan 1
ap1200(config-ssid)# exit
ap1200(config)# interface dot11radio0.1
ap1200(config-subif)# encapsulation dot1q 1 native
ap1200(config-subif)# exit
ap1200(config)# interface fastEthernet0.1
ap1200(config-subif)# encapsulation dot1q 1 native
ap1200(config-subif)# exit
ap1200(config)# end
 

RADIUS サーバを使用した VLAN へのユーザの割り当て

ユーザまたはユーザ グループがネットワークから認証を受けたときに、特定の VLAN に割り当てるように RADIUS 認証サーバを設定できます。

VLAN マッピング プロセスでは次の作業が行われます。

1. クライアント デバイスはアクセス ポイントに設定された任意の SSID を使用して、アクセス ポイントに結合します。

2. クライアントは RADIUS 認証を開始します。

3. クライアントの認証に成功したら、RADIUS サーバはクライアントを特定の VLAN にマッピングします。この場合、クライアントがアクセス ポイントで使用している SSID に定義された VLAN マッピングは無視されます。 サーバがクライアントの VLAN 属性を返さない場合、クライアントはアクセス ポイントでローカルにマッピングされた SSID の指定する VLAN に割り当てられます。

これらは vlan-id 割り当てに使用される RADIUS ユーザ属性です。 各属性はグループ化された関係を特定するための共通のタグ値を保有していなければなりません。

IETF 64(トンネル タイプ)。 属性を VLAN に設定します。

IETF 65(トンネル メディア タイプ)。 属性を 802 に設定します。

IETF 81(トンネル プライベート グループ ID)。 属性を vlan-id に設定します。

アクセス ポイントに設定された VLAN の表示

イネーブル EXEC モードから、show vlan コマンドを使用してアクセス ポイントがサポートする VLAN を表示します。 次のサンプルは、show vlan コマンドの出力です。

Virtual LAN ID: 1 (IEEE 802.1Q Encapsulation)
 
vLAN Trunk Interfaces: Dot11Radio0
FastEthernet0
Virtual-Dot11Radio0
 
This is configured as native Vlan for the following interface(s) :
Dot11Radio0
FastEthernet0
Virtual-Dot11Radio0
 
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 1 201688 0
Bridging Bridge Group 1 201688 0
Bridging Bridge Group 1 201688 0
 
Virtual LAN ID: 2 (IEEE 802.1Q Encapsulation)
 
vLAN Trunk Interfaces: Dot11Radio0.2
FastEthernet0.2
Virtual-Dot11Radio0.2
 
Protocols Configured: Address: Received: Transmitted:
 

VLAN 設定の例

次の例は、VLAN を使用して大学のキャンパスでワイヤレス デバイスを管理する方法を示しています。 この例では、ワイヤード ネットワークに設定された VLAN を通じて、3 つのアクセス レベルが用意されています。

管理アクセス:最高のアクセス レベル。ユーザはすべての内部ドライブとファイル、学部のデータベース、トップレベルの財務情報、その他の極秘情報にアクセスできます。 管理ユーザはシスコ LEAP を使用した認証が要求されます。

教授アクセス:中級のアクセス レベル。学内のイントラネットとインターネット、内部ファイル、学生のデータベースにアクセスし、人事や給与、その他の教授関連の資料といった内部情報を表示できます。 教授ユーザはシスコ LEAP を使用した認証が要求されます。

学生アクセス:最も低いアクセス レベル。大学のイントラネットとインターネットへのアクセス、クラス スケジュールの入手、評価の表示、予約、その他学生関連の活動を実行できます。 学生は静的 WEP を使用してネットワークに接続することが許可されています。

この状況では、各アクセス レベルに 1 回線ずつ、最低でも 3 回線の VLAN 接続が要求されます。 アクセス ポイントは最大 16 の SSID を処理できるため、 表 12-1 に示す基本設計を使用できます。

 

表 12-1 アクセス レベル SSID と VLAN 割り当て

アクセス レベル
SSID
VLAN ID

管理

boss

01

教授

teach

02

学生

learn

03

マネージャは SSID boss を使用するようにワイヤレス クライアント アダプタを設定し、教授メンバーは SSID teach を使用するようにクライアントを設定し、学生はワイヤレス クライアント アダプタを SSID learn を使用するように設定します。 これらのクライアントはアクセス ポイントに結合すると、自動的に正しい VLAN に所属します。

次の例では、VLAN をサポートするために 3 つの手順を実行します。

1. LAN のスイッチのいずれかで、上記の VLAN を設定するか、VLAN 設定を確認します。

2. アクセス ポイントで、各 VLAN に SSID を割り当てます。

3. 各 SSID に認証タイプを割り当てます。

4. アクセス ポイントの fastethernet インターフェイスと dot11 無線インターフェイスの両方に、管理 VLAN、VLAN 1 を設定します。 この VLAN はネイティブ VLAN にします。

5. アクセス ポイントの fastethernet インターフェイスと dot11 無線インターフェイスの両方に、VLAN 2 と VLAN 3 を設定します。

6. クライアント デバイスを設定します。

表 12-2 にこの例の 3 つの VLAN の設定に必要なコマンドを示します。

 

表 12-2 VLAN の設定コマンドの例

VLAN 1 の設定
VLAN 2 の設定
VLAN 3 の設定
ap1200# configure terminal
ap1200(config)# interface dot11radio 0
ap1200(config-if)# ssid boss
ap1200(config-ssid)# vlan 01
ap1200(config-ssid)# end
ap1200# configure terminal
ap1200(config)# interface dot11radio 0
ap1200(config-if)# ssid teach
ap1200(config-ssid)# vlan 02
ap1200(config-ssid)# end
ap1200# configure terminal
ap1200(config)# interface dot11radio 0
ap1200(config-if)# ssid learn
ap1200(config-ssid)# vlan 03
ap1200(config-ssid)# end
ap1200 configure terminal
ap1200(config) interface FastEthernet0.1
ap1200(config-subif) encapsulation dot1Q 1 native
ap1200(config-subif) exit
ap1200(config) interface FastEthernet0.2
ap1200(config-subif) encapsulation dot1Q 2
ap1200(config-subif) bridge-group 2
ap1200(config-subif) exit
ap1200(config) interface FastEthernet0.3
ap1200(config-subif) encapsulation dot1Q 3
ap1200(config-subif) bridge-group 3
ap1200(config-subif) exit
ap1200(config)# interface Dot11Radio0.1
ap1200(config-subif)# encapsulation dot1Q 1 native
ap1200(config-subif)# exit
 

) ネイティブ VLAN として設定したサブインターフェイスには、ブリッジ グループを設定する必要はありません。 このブリッジ グループはネイティブ サブインターフェイスに自動的に移動し、無線インターフェイスと
イーサネット インターフェイスを同時に表す bridge
virtual interface(BVI)とのリンクを維持します。


ap1200(config) interface Dot11Radio0.2
ap1200(config-subif) encapsulation dot1Q 2
ap1200(config-subif) bridge-group 2
ap1200(config-subif) exit
ap1200(config) interface Dot11Radio0.3
ap1200(config-subif) encapsulation dot1Q 3
ap1200(config-subif) bridge-group 3
ap1200(config-subif) exit

表 12-3 表 12-2 の設定コマンドの結果を示します。 show running コマンドを使用して、アクセス ポイントで実行中の設定を表示します。

 

表 12-3 設定コマンド例の結果

VLAN 1 インターフェイス
VLAN 2 インターフェイス
VLAN 3 インターフェイス
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
interface Dot11Radio0.2
encapsulation dot1Q 2
no ip route-cache
no cdp enable
bridge-group 2
bridge-group 2 subscriber-loop-control
bridge-group 2 block-unknown-source
no bridge-group 2 source-learning
no bridge-group 2 unicast-flooding
bridge-group 2 spanning-disabled
interface Dot11Radio0.3
encapsulation dot1Q 3
no ip route-cache
bridge-group 3
bridge-group 3 subscriber-loop-control
bridge-group 3 block-unknown-source
no bridge-group 3 source-learning
no bridge-group 3 unicast-flooding
bridge-group 3 spanning-disabled
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
interface FastEthernet0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
no bridge-group 2 source-learning
bridge-group 2 spanning-disabled
interface FastEthernet0.3
encapsulation dot1Q 3
no ip route-cache
bridge-group 3
no bridge-group 3 source-learning
bridge-group 3 spanning-disabled

無線インターフェイスのブリッジ グループを設定する場合、次のコマンドが自動的に設定されることに注意してください。

bridge-group 2 subscriber-loop-control
bridge-group 2 block-unknown-source
no bridge-group 2 source-learning
no bridge-group 2 unicast-flooding
bridge-group 2 spanning-disabled
 

イーサネット インターフェイスのブリッジ グループを設定する場合、次のコマンドが自動的に設定されることに注意してください。

no bridge-group 2 source-learning
bridge-group 2 spanning-disabled