Cisco Aironet アクセス ポイント Cisco IOS ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.3(4)JA
概要
概要
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

概要

機能

このリリースで導入された機能

従来の機能

管理オプション

クライアント デバイスのローミング

ネットワーク構成の例

有線 LAN 上のルート ユニット

無線範囲を拡張するリピータ ユニット

完全な無線ネットワークでのセントラル ユニット

概要

Cisco Aironet アクセス ポイント(これ以降は アクセス ポイント と呼ぶ)は、安全で安価な使いやすい無線 LAN ソリューションを提供します。これはモビリティと柔軟性の他に、ネットワーキングの専門家が必要とする企業クラスの機能を併せ持っています。Cisco Aironet 350、1100、1200 シリーズのアクセス ポイントは、管理システムに Cisco IOS ソフトウェアを用いた、Wi-Fi 認定済み、802.11b、802-11g、および 802.11a 準拠の無線 LAN トランシーバです。

アクセス ポイントは、無線ネットワークと有線ネットワーク間の接続ポイントとして、またはスタンドアロンの無線ネットワークのセントラル ポイントとして機能します。大規模な導入環境では、アクセス ポイントの無線範囲内であれば、無線ユーザは構内を移動しながらシームレスで遮断されないネットワーク アクセスを維持できます。

無線デバイスは、Command-Line Interface(CLI;コマンドライン インターフェイス)、ブラウザベースの管理システム、または Simple Network Management Protocol(SNMP;簡易ネットワーク管理プロトコル)を使用して設定および監視できます。

各アクセス ポイントには、1 つまたは 2 つの無線が組み込まれています。

350 シリーズ アクセス ポイントは、Cisco IOS ソフトウェアを実行するためにアップグレードでき、802.11b、2.4GHz の mini-PCI 無線を単独で使用します。

1100 シリーズ アクセス ポイントは、802.11b、2.4GHz の mini-PCI 無線を単独で使用しますが、802.11g、2.4GHz 無線にアップグレードが可能です。

1130AG シリーズ アクセス ポイントには、802.11g および 802.11a 無線およびアンテナが組み込まれています。

1200 シリーズ アクセス ポイントには、内部 mini-PCI スロットに装着する 2.4GHz 無線と、外部変形版 CardBus スロットに装着する 5GHz 無線モジュールの 2 種類の無線を組み込むことができます。1200 シリーズのアクセス ポイントは各タイプの無線を 1 つずつサポートしますが、2.4GHz 無線 2 つまたは 5GHz 無線 2 つはサポートしません。

1230AG シリーズ アクセス ポイントは、802.11g 無線と 802.11a 無線の両方を組み込むように事前設定されています。両方の無線に対し、外部接続アンテナ用のアンテナ コネクタがあります。

この章では、次の項目について説明します。

「機能」

「管理オプション」

「クライアント デバイスのローミング」

「ネットワーク構成の例」

機能

この項では、Cisco IOS ソフトウェアを実行するアクセス ポイントでサポートされている機能を説明します。


) Cisco IOS リリース 12.3(2)JA 以降では、プロキシ モバイル IP 機能はサポートされません。


このリリースで導入された機能

Basic Service Set Identifier(BSSID;基本サービスセット ID)の複数サポート:この機能は、WLAN で単一のアクセス ポイントを複数の仮想アクセス ポイントとして使用できるようにします。 これは、Multiple Basic Service Set Identifier(MBSSID;複数の基本サービス セット SSID)または Media Access Control(MAC;メディア アクセス制御)アドレスで、アクセス ポイントを割り当てて実現します。

無線が複数の基本 Service Set Identifier(SSID;サービス セット ID)をサポートしているかどうかを調べるには、show controllers コマンドを無線インターフェイスに入力します。 結果に次の行が含まれていれば、その無線は複数の基本 SSID をサポートしています。

Number of supported simultaneous BSSID on radio_interface: 8
 

Wi-Fi 802.11h と Dynamic Frequency Selection(DFS;動的周波数選択)のサポート:この機能は、ヨーロッパ向けおよびシンガポール向けに工場出荷時に設定されている Cisco Aironet のアクセス ポイントで、軍事レーダーや気象レーダーなどのレーダー信号を検出できるほか、アクセス ポイントでチャネルを切り替えることができます。

無線 Incremental Device Support(IDS;差分デバイス サポート)- 過剰管理フレーム検出:この機能は、スキャナとして動作するアクセス ポイントを提供し、設定可能なしきい値を超えた WLAN 管理/制御フレームを検出します。

Wireless IDS - 認証および攻撃の検出:この機能は、何度も認証しようとしたり認証に失敗した試みを Cisco Aironet アクセス ポイントが検出して報告するようにします(認証失敗の検出と何回にもわたる EAPoL 認証)。

フレーム監視モード:この機能には、スキャン専用アクセス ポイントが必要です。パートナー企業のアプリケーションや侵入を検知するパートナー企業を経由して、リモートサイトからネットワークをトラブルシューティングするため、すべての 802.11 フレームを転送し、プロトコル分析ステーションに表示します。

Location Based Service(LBS;位置情報サービス):この機能は、Cisco Aironet アクセス ポイントで LBS タグからフレームを検出し、サードパーティ製の LBS サーバなど事前設定されている宛先 IP に送信できるようにします。

SNMPv3:この機能は、Cisco Aironet アクセス ポイントで SNMPv3 をサポートできるようにします。これにより、セキュリティレベルが向上します。

1200 シリーズ アクセス ポイントの Work Group Bridge(WGB;ワークグループ ブリッジ) モード:この機能は、802.11b/g または 802.11a のどちらの無線でも 1200 シリーズ アクセス ポイントで Work Group Bridge(WGB)機能をサポートできるようにします。

従来の機能

ワールド モード:この機能は、最大送信電力や使用可能なチャネルなどアクセス ポイントの法的な設定情報をワールド モード対応のクライアントに通信します。ワールド モードを使用するクライアントは、法的設定の異なる国で使用でき、使用地域の規制に自動的に準拠します。ワールド モードは、2.4GHz 無線だけでサポートされています。

リピータ モード:アクセス ポイントを無線リピータとして設定し、無線ネットワークの適用範囲を拡大します。

スタンバイ モード:アクセス ポイントをスタンバイ ユニットとして設定します。スタンバイ モードは別のアクセス ポイントを監視し、監視対象のアクセス ポイントが故障した場合に、ネットワーク内でのその役割を引き継ぎます。

複数の SSID:無線デバイスに最大 16 の SSID を作成し、各 SSID に次の設定を組み合せて割り当てます。

ネットワークのゲストに対するブロードキャスト SSID モード

クライアント認証方式

最大クライアント アソシエーション数

VLAN 識別子

RADIUS アカウンティング リスト識別子

インフラストラクチャ デバイス専用の SSID(リピータやワークグループ ブリッジなど)

VLAN:VLAN を無線デバイスの SSID に割り当て(SSID に対して VLAN 1 つ)、ユーザ間のポリシーとサービスを区別します。

Quality of Service(QoS;サービス品質):イーサネットからアクセス ポイントまでのトラフィックに優先順位を設定するサービス品質のサポート機能です。アクセス ポイントは、Spectralink の Netlink(TM) や Symbol の Netvision(TM) などの 802.11b セルラー無線で使用される音声優先方式もサポートします。

Remote Authentication Dial-In User Service(RADIUS) アカウンティング:アクセス ポイントで RADIUS アドミッション コントロールアドミッション コントロールアカウンティングを有効にして、無線クライアント デバイスについてのアカウンティング データをネットワーク上の RADIUS サーバに送信できるようにします。

Terminal Access Controller Access Control System Plus(TACACS+)管理者認証:TACACS+ を有効にして、認証および許可プロセスにサーバベースの詳細なアカウンティング情報を提供し、柔軟に管理します。この機能は、無線デバイスへのアクセスを試みる管理者を中央から安全に検証します。

セキュリティの強化: 3 つの高度なセキュリティ機能を有効にし、無線ネットワークの Wired Equivalent Privacy(WEP)キーを巧妙な攻撃から保護します。Message Integrity Check(MIC;メッセージ完全性チェック)、WEP キー ハッシング、およびブロードキャスト WEP キー ローテーションという拡張機能があります。

認証サービスの強化:他の無線クライアント デバイスと同様、リピータ アクセス ポイントをネットワークで認証されるように設定します。リピータのネットワーク ユーザ名とパスワードを入力すると、リピータはシスコの無線認証方式である Light Extensible Authentication Protocol(LEAP;拡張認証プロトコル) を使用してネットワークで認証され、動的な WEP キーを受け取ります。

Wi-Fi Protected Access(WPA):Wi-Fi Protected Access は標準ベースの相互運用性のあるセキュリティ拡張機能です。既存および将来の無線 LAN システムのデータ保護とアクセス制御の水準を強力に向上させます。WPA は、現在策定中の IEEE 802.11i 規格のサブセットで、この規格と互換性があります。WPA では、データ保護に Temporal Key Integrity Protocol(TKIP) を使用し、認証済みキー管理に 802.1X を使用しています。

Cisco Centralized Key Management(CCKM) を使用する高速で安全なローミング:CCKM を使用することにより、認証クライアント デバイスは、再アソシエーション時に遅延することなく安全に次のアクセス ポイントへローミングできます。ネットワーク上のアクセス ポイントは、Wireless Domain Service(WDS;無線ドメイン サービス) を提供し、サブネット上の CCKM 対応クライアント デバイスに対してセキュリティ認証のキャッシュを生成します。 WDS アクセス ポイントの認証キャッシュにより、CCKM 対応クライアント デバイスが新しいアクセス ポイントにローミングする際に発生する再アソシエーションに必要な時間が大幅に短縮されます。

バックアップまたはスタンドアロン認証サーバとしてのアクセス ポイント:アクセス ポイントをローカル認証サーバとして機能するように設定して、RADIUS サーバがない小規模の無線 LAN に認証サービスを提供したり、WAN リンクやサーバの障害時にバックアップ認証サービスを提供したりできます。アクセス ポイントは最大 50 のLEAP 対応無線クライアント デバイスを認証し、デバイスがネットワークに加われるようにすることができます。Cisco IOS リリース 12.2(15)JA を実行しているアクセス ポイントは、最大 50 のアドレスに対してバックアップ MAC アドレス認証サービスを提供することもできます。

クライアント Address Resolution Protocol(ARP;アドレス レゾリューション プロトコル)キャッシング:無線 LAN のトラフィックを削減するために、Cisco IOS リリース 12.2(13)JA 以降を実行するアクセス ポイントを、アソシエートされたクライアント デバイスに代わって ARP クエリーに応答するように設定できます。前のリリースでは、アクセス ポイントが ARP クエリーをアソシエートされたすべてのクライアント デバイスに転送し、指定されたクライアントが MAC アドレスに応答します。しかし、アクセス ポイントが ARP キャッシュを維持する場合、アクセス ポイントがクライアント デバイスに代わって ARP クエリーに応答し、クエリーを無線ポート経由で転送しません。

同一 VLAN 上の CCKM 音声クライアントと WPA クライアント:Cisco IOS リリース 12.2(13)JA 以降を実行するアクセス ポイントは、同一 VLAN 上の 802.11b CCKM 音声クライアントと 802.11b WPA クライアントの両方を有効にします。

WISPr RADIUS 属性:Wi-Fi アライアンスのドキュメント『WISPr Best Current Practices for Wireless Internet Service Provider (WISP) Roaming』には、アクセス ポイントが RADIUS アカウンティングおよび認証要求とともに送信しなければならない RADIUS 属性が示されています。Cisco IOS リリース 12.2(13)JA 以降を実行するアクセス ポイントを設定して、これらの属性をすべての RADIUS アカウンティングと認証要求に追加できます。

802.11g 無線のサポート:Cisco IOS リリース 12.2(13)JA 以降は、802.11g、2.4GHz 無線をサポートします。1100 シリーズおよび 1200 シリーズ アクセス ポイントの 802.11b、2.4GHz 無線は、802.11g、2.4GHz 無線にアップグレードできます。

802.11a、802.11b、および 802.11g 無線の無線管理機能:Cisco IOS リリース 12.2(15)JA を実行するアクセス ポイントは、802.11a、b、または g 無線を使用した無線管理に参加できます。WDS に設定されたアクセス ポイントは、無線 LAN 上の WDS デバイスと対話します。WDS デバイスは、ネットワーク上の Wireless LAN Solutions Engine(WLSE)デバイスまたは Wireless Network Manager(WNM; 無線ネットワーク マネージャ)との間で無線データをやり取りします。無線管理には、WLSE デバイスで設定される次のような機能が含まれます。

不正なアクセス ポイントの検出。ここには、不正なデバイスの IP アドレスと MAC アドレス、SSID、およびシスコのデバイスに接続している場合は不正なデバイスが接続しているスイッチ ポートが含まれます。

無線 LAN の自己修復。アクセス ポイントに障害が発生した場合、無線 LAN 内のギャップを防ぐために近くのアクセス ポイントが送信電力を大きくします。

各クライアント デバイスのアソシエート先のアクセス ポイントを識別するためのクライアント トラッキング。

スキャン専用モード:Cisco IOS リリース 12.2(15)JA を実行するアクセス ポイントがスキャナとして動作し、無線 LAN 上の不正なアクセス ポイントの検出と無線トラフィックの監視を行います。スキャナとして設定されたアクセス ポイントは無線管理に参加しますが、クライアント アソシエーションは受け入れません。

HTTPS - SSL 3.0 を使用した HTTP:SSL(Secure Sockets Layer)/HTTPS(Secure Hypertext Transfer Protocol)を使用して、Web ブラウザから Cisco Aironet アクセス ポイントを管理できるようにサポートしています。

Cisco Aironet IEEE 802.11 無線部品番号 AIR-RM21A および AIR-RM22 のサポート:Cisco IOS リリース 12.3(2)JA は、Cisco Aironet 1200 シリーズ アクセス ポイント IEEE 802.11a 無線部品番号 AIR-RM21A および AIR-RM22A のサポートを導入しました。これらの新しい IEEE 802.11a 無線サポートは、Cisco IOS リリース 12.3(2)JA に導入されたすべてのアクセス ポイント機能とともに、Cisco IOS リリース 12.2(15)XR 以前の 1200 シリーズ アクセス ポイントでサポートされているすべての Cisco IOS ソフトウェア アクセス ポイント機能をサポートします。

AES-CCMP:Advanced Encryption Standard-Counter Mode with Cipher Block Chaining Message Authentication Code Protocol(AES-CCMP)をサポートします。AES-CCMP は、Wi-Fi Protected Access 2(WPA2)および IEEE 802.11i 無線 LAN セキュリティで必要とされます。

EAP-FAST に対する IEEE 802.1X ローカル認証サービス:無線ドメインサービス(WDS)IEEE 802.1X ローカル認証を拡張し、Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)のサポートを追加します。IEEE 802.1X ローカル認証は、Cisco IOS リリース 12.2(11)JA で導入されました。

Wi-Fi Multimedia(WMM)の必須要素:WMM の必須要素をサポートします。WMM は、Wi-Fi 無線接続上のオーディオ、ビデオ、音声アプリケーションでユーザの使用感を向上できるように設計されています。WMM は、IEEE 802.11e QoS ドラフト規格のサブセットです。WMM は、Enhanced Distributed Channel Access(EDCA;拡張型分散チャネル アクセス)を通して、QoS 優先メディア アクセスをサポートします。Traffic Specification(TSPEC;トラフィック仕様)を使用したコール アドミッション コントロールを含む、WMM 仕様のオプション要素は、このリリースではサポートされません。

名前に基づく VLAN 設定:この機能により、RADIUS サーバは VLAN 名で識別された仮想 LAN(VLAN)にクライアントを割り当てることができます。Cisco IOS リリース 12.3(2)JA 以前のリリースでは、RADIUS サーバは ID で VLAN を識別していました。この機能は、VLAN ID がネットワーク全体で一貫して使用されていない配置で大変役立ちます。

Microsoft WPS IE SSIDL:この機能により、Cisco Aironet アクセス ポイントでは、Microsoft ワイヤレス プロビジョニング サービス情報エレメント(WPS IE)内で設定済み SSID リスト(SSIDL)をブロードキャストできます。SSIDL を読み取ることができるクライアントは、SSID のアベイラビリティについてユーザに警告できます。この機能により、複数のブロードキャスト SSID(MB/SSID)に対して帯域幅効率のよい、ソフトウェアによるアップグレート可能な方法を提供します。

HTTP Web サーバ v1.1:この機能により、HTTP 1.1 標準を実装することで、ユーザおよびアプリケーションに一貫性のあるインターフェイスを提供します(RFC 2616 を参照)。以前のリリースの Cisco ソフトウェアでは、HTTP 1.0 の部分的な実装のみがサポートされていました。統合 HTTP サーバ API は、サーバ アプリケーション インターフェイスをサポートしています。HTTPS および HTTP 1.1 クライアント機能と組み合わせることで、シスコ デバイスと HTTP サービスを接続する完結した安全なソリューションが提供されます。

IP リダイレト:特定の宛先に向けたトラフィックを、管理者が指定した別の IP アドレスにリダイレクトできる機能を提供します。

管理オプション

無線デバイス管理システムは、次のインターフェイスから使用できます。

Cisco IOS コマンドライン インターフェイス(CLI)。このインターフェイスはコンソール ポートまたは Telnet セッションを通じて使用します。無線デバイスを無線設定モードにするには、 interface dot11radio グローバル 設定コマンドを使用します。本書の例のほとんどは、CLI から引用しています。CLI の詳細は、 第4章「CLI の使用方法」 を参照してください。

Web ブラウザ インターフェイス。Web ブラウザを通じて使用します。Web ブラウザ インターフェイスの詳細は、 第3章「Web ブラウザ インターフェイスの使用方法」 を参照してください。

簡易ネットワーク管理プロトコル(SNMP)。SNMP 管理のための無線デバイスの設定方法については、 第17章「SNMP の設定」 を参照してください。

クライアント デバイスのローミング

無線 LAN に複数の無線デバイスがある場合、無線クライアント デバイスは、ある無線デバイスから別の無線デバイスへとシームレスにローミングできます。ローミング機能は、近接度ではなく、信号の品質に基づきます。クライアントの信号品質が低下すると、ローミングは別のアクセス ポイントに切り替わります。

クライアント デバイスが近くのアクセス ポイントにローミングせずに、遠くのアクセス ポイントにアソシエートしたままになることを懸念する無線 LAN ユーザがいます。しかし、遠隔のアクセス ポイントへのクライアントの信号が強度に維持され、信号品質が高い場合、クライアントはより近いアクセス ポイントにローミングしません。近接するアクセス ポイントを常にチェックするのは非効率であり、無線のトラフィックの増加により無線 LAN のスループットを低下させます。

CCKM および WDS を提供するデバイスを使用すると、クライアント デバイスは別のアクセス ポイントへ非常に早くローミングできるので、音声その他の時間に敏感なアプリケーションでは、それとわかるほどの遅延はありません。

ネットワーク構成の例

この項では、一般的な無線ネットワークの構成でのアクセス ポイントの役割について説明します。デフォルトではアクセス ポイントは、有線 LAN に接続されたルート ユニット、または完全な無線ネットワーク内のセントラル ユニットとして設定されます。リピータとして使用するには、特定の設定が必要です。

有線 LAN 上のルート ユニット

有線 LAN に直接接続されるアクセス ポイントは、無線ユーザへの接続ポイントとして機能します。LAN に複数のアクセス ポイントが接続されている場合、ユーザはネットワークへの接続を維持したまま、構内のエリアをローミングできます。1 つのアクセス ポイントの範囲外に移動したユーザは、自動的に別のアクセス ポイントを経由してネットワークに接続(アソシエート)されます。ローミング プロセスは、ユーザにとってシームレスかつ透過的に行われます。図1-1 は、有線 LAN 上でルート ユニットとして機能するアクセス ポイントを示しています。

図1-1 有線 LAN 上でルート ユニットとして機能するアクセス ポイント

 

無線範囲を拡張するリピータ ユニット

アクセス ポイントは、インフラストラクチャの範囲を拡張したり、無線通信を妨害する障害を克服したりするスタンドアロン リピータとして設定できます。 リピータは、別のリピータや、有線 LAN に接続されているアクセス ポイントにパケットを送信することによって、無線ユーザと有線 LAN との間でトラフィックを転送します。データは、クライアントに最高のパフォーマンスを提供するルートを経由して送信されます。図1-2 は、リピータとして機能するアクセス ポイントを示しています。 アクセス ポイントをリピータとして設定する方法については、「リピータ アクセス ポイントの設定」を参照してください。


) シスコ以外のクライアント デバイスを使用すると、リピータ アクセス ポイントとの通信に問題が生じる恐れがあります。


図1-2 リピータとして機能するアクセス ポイント

 

完全な無線ネットワークでのセントラル ユニット

完全な無線ネットワークでは、アクセス ポイントはスタンドアロンのルート ユニットとして機能します。アクセス ポイントは有線 LAN には接続されません。全ステーションをまとめてリンクするハブとして機能します。アクセス ポイントは通信の中心として機能し、無線ユーザの通信範囲を拡張します。図1-3 は、完全な無線ネットワークでのアクセス ポイントを示しています。

図1-3 完全な無線ネットワークでセントラル ユニットとして機能するアクセス ポイント