Cisco Aironet アクセス ポイント Cisco IOS ソフトウェアコンフィギュレーション ガイド Cisco IOS リリース 12.4(3g)JA および 12.3(8)JEB
複数の SSID の設定
複数の SSID の設定
発行日;2013/06/06 | 英語版ドキュメント(2012/02/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

複数の SSID の設定

複数の SSID の概要

ソフトウェア バージョンの SSID に対する影響

複数の SSID の設定

デフォルトの SSID 設定

SSID のグローバルな作成

グローバルに設定された SSID の表示

SSID でのスペースの使用

RADIUS サーバを使用した SSID の制限

複数の基本 SSID の設定

複数 BSSID の設定要件

複数の BSSID を使用する際のガイドライン

複数の BSSID の設定

CLI の設定例

設定済み BSSID の表示

SSID に対する IP リダイレクションの割り当て

IP リダイレクションを使用する際のガイドライン

IP リダイレクションの設定

SSIDL IE への SSID の追加

MBSSID の NAC サポート

MBSSID への NAC 設定

複数の SSID の設定

この章では、アクセス ポイントで複数のService Set Identifier(SSID) を設定および管理する方法について説明します。この章で説明する内容は、次のとおりです。

「複数の SSID の概要」

「複数の SSID の設定」

「複数の基本 SSID の設定」

「SSID に対する IP リダイレクションの割り当て」

「SSIDL IE への SSID の追加」

「MBSSID の NAC サポート」

 

複数の SSID の概要

SSID は、無線ネットワーキング デバイスが無線接続を確立および維持するために使用する、一意の識別子です。ネットワークまたはサブネットワーク上の複数のアクセス ポイントは、同じ SSID を使用できます。SSID では大文字と小文字が区別され、最大 32 文字の英数字を使用できます。SSID には、スペースを含めないようにしてください。

1200 シリーズ アクセス ポイントには、最大 16 の SSID を設定でき、各 SSID に異なる設定を割り当てることができます。すべての SSID は同時にアクティブになります。つまり、クライアント デバイスは、どの SSID を使用してもアクセス ポイントにアソシエートできます。各 SSID には、次の設定を割り当てることができます。

VLAN

クライアント認証方式


) クライアント認証タイプの詳細は、「認証タイプの設定」を参照してください。


SSID を使用するクライアント アソシエーションの最大数

SSID を使用するトラフィックの RADIUS アカウンティング

ゲスト モード

リピータ モード(認証ユーザ名とパスワードを含む)

クライアント デバイスから受信されたパケットのリダイレクション

アクセス ポイントに対し、設定内に SSID が指定されていないクライアント デバイスからのアソシエーションを許可する場合、ゲスト SSID を設定できます。アクセス ポイントでは、ビーコンにゲスト SSID が追加されます。 ゲスト モードが無効になっていると、SSID がビーコン メッセージでブロードキャストされません。設定済み SSID のないクライアントが無線ネットワークに接続しないようにするには、このゲスト SSID 機能を無効に設定してください。ゲスト モード SSID の設定方法とゲスト モード SSID の無効化する方法については、「SSID のグローバルな作成」を参照してください。

アクセス ポイントをリピータとして使用する場合、またはリピータの親として機能するルート アクセス ポイントとする場合は、SSID をリピータ モードで使用するように設定できます。リピータ モードの SSID に認証ユーザ名とパスワードを割り当てると、クライアント デバイス同様、リピータでネットワークへの認証が可能になります。

ネットワークで複数の VLAN を使用する場合は、各 VLAN に 1 つの SSID を割り当てることができます。この割り当てた SSID を使用するクライアント デバイスは、その VLAN にグループ化されます。

ソフトウェア バージョンの SSID に対する影響

Cisco IOS Release 12.3(2)JA には、複数インターフェイス環境で SSID パラメータを簡単に設定できるよう、グローバル モードの SSID 設定が導入されました。Cisco IOS Release 12.3(2)JA リリースでは、下位互換性があるようインターフェイス レベルで SSID パラメータを設定できましたが、Cisco IOS Release 12.3(4)JA 以降のリリースではインターフェイス レベルで SSID パラメータをまったく設定できなくなります。 表 7-1 は、Cisco IOS リリースでサポートされている SSID 設定方法を示しています。

 

表 7-1 Cisco IOS リリースでサポートされている SSID 設定方法

Cisco IOS リリース
サポートされている SSID 設定方法

12.2(15)JA

インターフェイス レベルだけ。

12.3(2)JA

インターフェイス レベルとグローバルの両方。

12.3(4)JA および 12.3(7)JA

インターフェイス レベルとグローバルの両方。グローバル モードではすべての SSID を保存。

12.3(4)JA 以降

グローバルだけ。

Cisco IOS Release 12.3(7)JA は、CLI を使用してインターフェイス レベルで SSID パラメータを設定できますが、SSID はグローバル モードで保存されます。SSID をすべてグローバル モードで保存すると、Cisco IOS Release 12.3(7)JA 以降のリリースにアップグレードしても SSID 設定が維持されます。

Cisco IOS Release 12.3(2)JA 以前を 12.3(4)JA 以降のリリースにアップグレードする必要がある場合は、まず Cisco IOS Release 12.3(4)JA にアップグレードしてコンフィギュレーション ファイルを保存してから、目的のリリースにアップグレードし、保存しておいたコンフィギュレーション ファイルをロードします。この手順を行うと、インターフェイス レベルの SSID 設定がグローバル モードに正しく変換されます。12.3(4)JA 以前のリリースから 12.3(4)JA 以降のリリースに直接アップグレードすると、インターフェイス レベルの SSID 設定は削除されます。

Cisco IOS Release 12.3(7)JA からソフトウェア バージョンをダウングレードすると、以前に作成した SSID はすべて無効になります。ダウングレード後に SSID を再設定しなくて済むよう、Cisco IOS Release 12.3(7)JA にアップグレードする前に旧ソフトウェア バージョンのコンフィギュレーション ファイルのコピーを保存しておいてください。Cisco IOS Release 12.3(7)JA からソフトウェア バージョンをダウングレードする場合は、ダウングレード後に、保存しておいたこのコンフィギュレーション ファイルをロードしてください。

表 7-2 は、Cisco IOS Release 12.2(15)JA を実行しているアクセス ポイントでの SSID 設定と、Cisco IOS Release 12.3(7)JA にアップグレードした後の設定の例を示しています。

 

表 7-2 例:アップグレード後にグローバル モードに変換された SSID 設定

12.2(15)JA での SSID 設定
12.3(7)JA にアップグレードした後の SSID 設定

interface dot11Radio 0

ssid engineering

authentication open

vlan 4

 

interface dot11Radio 1

ssid engineering

authentication open

vlan 5

dot11 ssid engineering

authentication open

vlan 5

!

interface dot11Radio 0

ssid engineering

 

interface dot11Radio 1

ssid engineering

インターフェイスごとの VLAN 設定が、グローバルの SSID 設定に残っていることに注意してください。


) SSID、VLAN、および暗号化方式は、1 対 1 対 1 の関係で相互にマッピングされます。つまり、1 つの SSID を 1 つの VLAN にマッピングでき、1 つの VLAN を 1 つの暗号化方式にマッピングできます。グローバル SSID 設定を使用する場合、1 つの SSID を 2 つの異なる暗号化方式に設定できません。たとえば、インターフェイス dot11 0 では SSID north を Temporal Key Integrity Protocol(TKIP)に適用して、インターフェイス dot11 1 では SSID north を Wired Equivalent Privacy(WEP)128 に適用することはできません。


複数の SSID の設定

次の項では、複数の SSID の設定情報を説明します。

「デフォルトの SSID 設定」

「SSID のグローバルな作成」

「RADIUS サーバを使用した SSID の制限」


) Cisco IOS Release 12.3(4)JA 以降では、SSID をグローバルに設定できる他、特定の無線インターフェイスに適用することもできます。SSID をグローバルに設定するには、「SSID のグローバルな作成」の手順に従ってください。


デフォルトの SSID 設定

Cisco IOS Release 12.3(7)JA には、デフォルトの SSID は存在しません。無線 LAN 接続を確立するには、少なくとも 1 つの SSID を設定する必要があります。ここでは、SSID をグローバルに設定する方法について説明します。

SSID のグローバルな作成

Cisco IOS Release 12.3(2)JA 以降では、SSID をグローバルに設定できる他、特定の無線インターフェイスについて設定することもできます。dot11 ssid グローバル コンフィギュレーション コマンドを使用して SSID を作成すると、ssid 設定インターフェイス コマンドを使用して、特定のインターフェイスにその SSID を割り当てることができます。

グローバル コンフィギュレーション モードで SSID を作成しておき、ssid 設定インターフェイス コマンドを実行すると、目的のインターフェイスにその SSID が割り当てられますが、SSID コンフィギュレーション モードにはなりません。SSID をグローバル コンフィギュレーション モードで作成していない場合は、ssid コマンドを実行すると、CLI が新しい SSID についての SSID コンフィギュレーション モードとなります。


) ソフトウェア バージョンを旧バージョンのリリースにダウングレードすると、Cisco IOS Release 12.3(7)JA 以前で作成した SSID は無効になります。


特権 EXEC モードから、次の手順に従って SSID をグローバルに作成します。SSID を作成した後、SSID を特定の無線インターフェイスに割り当てることができます。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot11 ssid ssid-string

SSID を作成し、新しい SSID の SSID コンフィギュレーション モードを入力します。SSID には、最大 32 文字の英数字を使用できます。SSID では、大文字と小文字が区別されます。

SSID には、最大 32 文字の英数字を使用でき、大文字と小文字が区別されます。

(注) 先頭の文字に !、#、; の文字は使用できません。

(注) +、]、/、"、TAB、末尾のスペースは、SSID には無効な文字です。

ステップ 3

authentication client
username username
password password

(任意)アクセス ポイントがリピータ モードのときにネットワークへの認証に使用する、認証ユーザ名とパスワードを設定します。リピータ アクセス ポイントがルート アクセス ポイントまたは別のリピータにアソシエートするために使用するユーザ名およびパスワードを、SSID に設定します。

ステップ 4

accounting list-name

(任意)この SSID の RADIUS アカウンティングを有効にします。list-name には、アカウンティング方式のリストを指定します。方式のリストの詳細は、次のリンクをクリックしてください。 http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fsaaa/scfacct.htm#xtocid2

ステップ 5

vlan vlan-id

(任意)ネットワーク上の VLAN に SSID を割り当てます。この SSID を使用してアソシエートするクライアント デバイスは、この VLAN にグループ化されます。1 つの VLAN には、1 つの SSID だけを割り当てることができます。

ステップ 6

guest-mode

(任意)SSID をアクセス ポイントのゲスト モード SSID として指定します。アクセス ポイントはビーコンに SSID を追加し、SSID を指定していないクライアント デバイスからのアソシエーションを許可します。

ステップ 7

infrastructure-ssid [optional]

このコマンドは、アクセス ポイントとブリッジが互いにアソシエートする際に使用する SSID を制御します。ルート アクセス ポイントでは、インフラストラクチャ SSID を使用してアソシエートができるのは、リピータ アクセス ポイントだけです。ルート ブリッジでは、インフラストラクチャ SSID を使用してアソシエートができるのは、非ルート ブリッジだけです。リピータ アクセス ポイントと非ルート ブリッジは、この SSID を使用してルート デバイスとアソシエートします。

アクセス ポイントとブリッジの GUI では、リピータの役割、ワークグループ ブリッジの役割、非ルート ブリッジの役割にインフラストラクチャ SSID の設定が必要です。ただし、デバイスの役割の設定に CLI を使用すれば、複数の SSID が無線に設定されていない限り、インフラストラクチャ SSID の設定は不要になります。複数の SSID が無線に設定されている場合は、infrastructure-ssid コマンドを使用して、非ルート ブリッジがルート ブリッジとの接続に使用する SSID を指定する必要があります。

ステップ 8

interface dot11radio { 0 | 1 }

SSID の割り当て先とする無線インターフェイスに対して、インターフェイス コンフィギュレーション モードを開始します。2.4GHz 無線は Radio 0、5GHz 無線は Radio 1 です。

ステップ 9

ssid ssid-string

ステップ 2 で作成したグローバル SSID を無線インターフェイスに割り当てます。

ステップ 10

end

特権 EXEC モードに戻ります。

ステップ 11

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。


) 各 SSID に認証タイプを設定する場合は、ssid コマンドの認証オプションを使用します。認証タイプの設定方法については、「ローカル認証サーバとしてのアクセス ポイントの設定」を参照してください。



) 802.11b と 802.11g が同じ 2.4GHz 帯で動作するため、802.11g 無線にゲストの SSID モードを有効にすると、802.11b 無線にも適用されます。


SSID または SSID 機能を無効にするには、コマンドの no 形式を使用します。

次の例は、次の方法を示します。

SSID の名前の指定

RADIUS アカウンティングの SSID の設定

この SSID を使用してアソシエートするクライアント デバイスの最大数を 15 に設定

SSID の VLAN への割り当て

SSID の無線インターフェイスへの割り当て

AP# configure terminal
AP(config)# dot11 ssid batman
AP(config-ssid)# accounting accounting-method-list
AP(config-ssid)# max-associations 15
AP(config-ssid)# vlan 3762
AP(config-ssid)# exit
AP(config)# interface dot11radio 0
AP(config-if)# ssid batman
AP(config-if)#end

グローバルに設定された SSID の表示

グローバルに設定された SSID の設定詳細を表示するには、次のコマンドを使用します。

AP# show running-config ssid ssid-string
 

SSID でのスペースの使用

Cisco IOS Release 12.3(7)JA 以降では、SSID にスペースを含めることができますが、末尾のスペース(SSID の末尾のスペース)は無効になります。ただし、以前のバージョンで作成した SSID に末尾のスペースがある場合は、認識されます。末尾のスペースがあると、同じアクセス ポイント上で、同一の SSID が複数設定されているように表示されます。アクセス ポイント上で同一の複数の SSID があると考えられる場合は、特権 EXEC コマンド show dot11 associations を使用して、以前のリリースで作成した SSID に末尾にスペースがないか確認してください。

たとえば、次の特権 EXEC コマンド show configuration からの出力例では、SSID 中のスペースが表示されません。

ssid buffalo
vlan 77
authentication open
 
ssid buffalo
vlan 17
authentication open
 
ssid buffalo
vlan 7
authentication open
 

ただし、次の特権 EXEC コマンド show dot11 associations からの出力例では、SSID 中のスペースが表示されます。

SSID [buffalo] :
SSID [buffalo ] :
SSID [buffalo ] :
 

) このコマンドで表示するのは、SSID の最初の 15 文字だけです。15 文字を超えた SSID を表示するには、show dot11 associations client コマンドを使用してください。


RADIUS サーバを使用した SSID の制限

クライアント デバイスが、不正な SSID を使用してアクセス ポイントにアソシエートするのを防ぐために、RADIUS 認証サーバでクライアントが使用する必要のある、許可された SSID のリストを作成します。

SSID 許可のプロセスは、次の手順で行われます。

1. クライアント デバイスはアクセス ポイントに設定された任意の SSID を使用して、アクセス ポイントにアソシエートします。

2. クライアントは、RADIUS 認証を開始します。

3. RADIUS サーバは、クライアントが使用を許可された SSID のリストを返します。アクセス ポイントは、このリスト内に、クライアントが使用する SSID と一致する SSID があるかどうかをチェックします。次の 3 とおりの結果が予測されます。

a. クライアントがアクセス ポイントとのアソシエーションに使用した SSID が、RADIUS サーバが返した許可リスト内のエントリに一致する場合、クライアントはすべての認証要件を満たした後にネットワークへのアクセスを許可されます。

b. アクセス ポイントが、SSID の許可リストにクライアントと一致するエントリを検出できなかった場合は、このクライアントはアソシエーションを解除されます。

c. RADIUS サーバがクライアントに SSID をまったく返さない場合(リストなし)は、管理者がリストを設定していないことを意味します。この場合、クライアントはアソシエーションと認証の試行を許可されます。

RADIUS サーバの返す SSID の許可リストは、シスコ Vendor-Specific Attribute(VSA; ベンダー固有の属性)の形式です。Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)のドラフト規格では、アクセス ポイントと RADIUS サーバ間で、ベンダー固有の属性(属性 26)を使用してベンダー固有の情報をやり取りする方法を指定しています。各ベンダーは、Vendor-Specific Attribute(VSA)を使用することによって、一般的な用途には適さない独自の拡張属性をサポートできます。シスコが実装する RADIUS では、この仕様で推奨されるフォーマットを使用して、ベンダー固有のオプションを 1 つサポートしています。シスコのベンダー ID は 9 です。サポートされるオプションのベンダー タイプは 1 で、 cisco-avpair と名前が付けられています。RADIUS サーバには、クライアントあたり 0 以上の SSID VSA を指定できます。

次の例では、次の AV ペアにより、ユーザの SSID 許可リストに SSID batman が追加されます。

cisco-avpair= ”ssid=batman”
 

VSA を認識して使用できるようにアクセス ポイントを設定する方法については、「ベンダー専用の RADIUS サーバ通信用アクセス ポイントの設定」を参照してください。

複数の基本 SSID の設定

アクセス ポイント 802.11a および 802.11g 無線が、MAC アドレスと同様、最大 8 つまでの基本 SSID(BSSID)をサポートできるようになりました。複数の BSSID を使用して SSID ごとに固有の Delivery Traffic Indication Message(DTIM)設定を割り当て、複数の SSID をビーコンにブロードキャストできます。DTIM を大きな値に設定すると、SSID を使用する省電力モードのクライアント デバイスではバッテリの寿命が延びます。また、複数の SSID をブロードキャストすると、ゲストが無線 LAN にアクセスしやすくなります。


) アクセス ポイントの MAC アドレスに基づいて特定のアクセス ポイントにアソシエートするよう設定していた場合(クライアント デバイス、リピータ、ホット スタンバイ ユニット、ワークグループ ブリッジなど)、複数の BSSID の追加または削除を行うと、無線 LAN 上のデバイスがアソシエーションを損失することがあります。複数の BSSID を追加または削除する際には、特定のアクセス ポイントにアソシエートするよう設定されていたデバイスのアソシエーション状態を確認してください。必要に応じて、アソシエートされていないデバイスを再設定して、BSSID の新しい MAC アドレスを使用するようにします。


複数 BSSID の設定要件

複数の BSSID を設定するには、アクセス ポイントが少なくとも次の要件を満たしている必要があります。

VLAN が設定されていること。

アクセス ポイントが Cisco IOS Release 12.3(4)JA 以降を実行していること。

アクセス ポイントに、複数の BSSID をサポートする 802.11a または 802.11g 無線が組み込まれていること。無線が複数の基本 SSID をサポートしているかどうかを調べるには、show controllers radio_interface コマンドを入力してください。結果に次の行が含まれていれば、その無線は複数の基本 SSID をサポートしています。

Number of supported simultaneous BSSID on radio_interface: 8
 

複数の BSSID を使用する際のガイドライン

複数の BSSID を設定する際は、次のガイドラインに留意してください。

複数の BSSID を有効に設定すると、RADIUS サーバによる VLAN 割り当て機能がサポートされなくなります。

BSSID を有効に設定すると、アクセス ポイントが各 SSID に BSSID を自動的にマッピングします。BSSID を特定の SSID に手動でマッピングすることはできません。

アクセス ポイントで複数の BSSID を有効に設定すると、SSIDL IE には、SSID リストは追加されず、拡張機能だけが追加されます。

Wi-Fi 認定済みクライアント デバイスであれば、どれでも複数 BSSID を使用したアクセス ポイントにアソシエートできます。

Wireless Domain Service(WDS; 無線ドメイン サービス)を構成するアクセス ポイントでは、複数の BSSID を有効に設定できます。

複数の BSSID の設定

複数の BSSID を設定する手順は、次のとおりです。


ステップ 1 アクセス ポイントの GUI から、[Global SSID Manager] ページを表示します (GUI ではなく CLI を使用する場合は、この項の最後の CLI の設定例に記載している CLI コマンドを参照してください)。図 7-1 は、[Global SSID Manager] ページの上部を示しています。

図 7-1 [Global SSID Manager] ページ

 

ステップ 2 [SSID] フィールドに SSID 名を入力します。

ステップ 3 [VLAN] ドロップダウン メニューから、SSID を割り当てる VLAN を選択します。

ステップ 4 SSID を有効に設定している無線インターフェイスを選択します。無線インターフェイスに SSID を有効に設定しない限り、SSID はアクティブになりません。

ステップ 5 [Network ID] フィールドに、SSID のネットワーク ID を入力します。

ステップ 6 このページの [Authentication Settings]、[Authenticated Key Management]、[Accounting Settings] セクションから、認証、認証済みキー管理、アカウンティング設定を SSID に設定します。BSSID は、SSID でサポートされているすべての認証タイプをサポートします。

ステップ 7 (任意)SSID をビーコンに追加するには、[Multiple BSSID Beacon Settings] セクションで [Set SSID as Guest Mode] チェックボックスをオンにします。

ステップ 8 (任意)この SSID を使用する省電力モードのクライアントのバッテリの寿命を延ばすには、[Set Data Beacon Rate (DTIM)] チェックボックスをオンにして SSID のビーコン レートを入力します。ビーコン レートによって、Delivery Traffic Indicator Message(DTIM)を追加したビーコンをアクセス ポイントが送信する頻度が決まります。

DTIM を追加したビーコンをクライアント デバイスが受信すると、通常は、保留中のパケットをチェックするためにクライアント デバイスが再起動します。DTIM の間隔が長くなると、クライアントのスリープ時間が長くなり、電力を節約できます。反対に、DTIM の間隔が短くなるとパケットの受信の遅延を抑えられますが、クライアントが頻繁に起動するためバッテリ残量が消費されます。

デフォルトのビーコン レートは 2 に設定されています。つまり、ビーコン 1 つおきに DTIM が追加されます。ビーコン レートは 1 ~ 100 の値で入力します。


) DTIM 期間のカウントを増やすと、マルチキャスト パケットの送信は遅れます。マルチキャスト パケットはバッファリングされるため、DTIM 期間のカウントを大きくするとバッファがオーバーフローする可能性があります。


ステップ 9 [Guest Mode/Infrastructure SSID Settings] セクションで、[Multiple BSSID] を選択します。

ステップ 10 [Apply] をクリックします。


 

CLI の設定例

次の例は、無線インターフェイスで複数の BSSID を有効に設定する CLI コマンド、visitor を呼び出した SSID を作成する CLI コマンド、SSID を BSSID に指定する CLI コマンド、BSSID がビーコンに追加されていることを指定する CLI コマンド、BSSID に DTIM 間隔を設定する CLI コマンド、無線インターフェイスに SSID visitor を設定する CLI コマンドを示しています。

ap(config)# interface d0
ap(config-if)# mbssid
ap(config-if)# exit
ap(config)# dot11 ssid visitor
ap(config-ssid)# mbssid guest-mode dtim-period 75
ap(config-ssid)# exit
ap(config)# interface d0
ap(config-if)# ssid visitor
 

また、dot11 mbssid グローバル コンフィギュレーション コマンドを使用すると、複数の BSSID をサポートしているすべての無線インターフェイスで、複数の BSSID を同時に有効にすることもできます。

設定済み BSSID の表示

SSID と BSSID の関係、または MAC アドレスを表示するには、show dot11 bssid 特権 EXEC コマンドを使用します。次の例はコマンドの出力を示しています。

AP1230#show dot11 bssid
Interface BSSID Guest SSID
Dot11Radio1 0011.2161.b7c0 Yes atlantic
Dot11Radio0 0005.9a3e.7c0f Yes WPA2-TLS-g
 

SSID に対する IP リダイレクションの割り当て

SSID に IP リダイレクションを設定すると、その SSID にアソシエートされたクライアント デバイスからアクセス ポイントに送信されたパケットはすべて、指定した IP アドレスにリダイレクトされます。IP リダイレクションが主に使用されるのは、特定の IP アドレスと通信するように静的に設定され、中央にあるソフトウェア アプリケーションを使用するハンドヘルド デバイスをクライアントとする無線 LAN です。たとえば、小売店や商品倉庫の無線 LAN 管理者は、バー コード スキャナに IP リダイレクションを設定できます。これらすべてのバー コード スキャナでは、同じスキャナ アプリケーションが使用され、すべてのデータは同じ IP アドレスに送信されます。

SSID を使用してアソシエートされているクライアント デバイスからのパケットをすべてリダイレクトできる他、アクセス コントロール リストで定義された特定の TCP ポートや UDP ポート宛てのパケットだけをリダイレクトすることもできます。特定のポート宛てのパケットだけがリダイレクトされるようにアクセス ポイントを設定すると、その SSID を使用しているクライアントからの該当のパケットがアクセス ポイントからリダイレクトされます。また、同じ SSID を使用しているクライアントからのその他のパケットは、アクセス ポイントでドロップされます。


) IP リダイレクトが設定された SSID を使用してアソシエートされているクライアント デバイスに対して、アクセス ポイントから ping テストを実行すると、そのクライアントからの応答パケットは、指定した IP アドレスにリダイレクトされ、アクセス ポイントでは受信されません。


図 7-2 は、IP リダイレクトが設定された SSID を使用してアソシエートされているクライアントからのパケットを、アクセス ポイントで受信した場合の処理フローを示しています。

図 7-2 IP リダイレクションの処理フロー

 

IP リダイレクションを使用する際のガイドライン

IP リダイレクションを使用する際は、次のガイドラインに留意してください。

クライアント デバイスからブロードキャスト、ユニキャスト、またはマルチキャストで送信された BOOTP/DHCP パケットは、アクセス ポイントからリダイレクトされません。

受信パケットに対する ACL フィルタが存在する場合は、IP リダイレクションより優先して適用されます。

IP リダイレクションの設定

特権 EXEC モードから、次の手順に従って SSID に IP リダイレクションを設定します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio { 0 | 1 }

無線インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

ステップ 3

ssid ssid-string

特定の SSID に対するコンフィギュレーション モードを開始します。

ステップ 4

ip redirection host ip-address

目的の IP アドレスに対して、IP リダイレクション コンフィギュレーション モードを開始します。10.91.104.92 のように、ドットを使用して IP アドレスを入力します。

リダイレクションの対象となる TCP ポートや UDP ポートを定義したアクセス コントロール リスト(ACL)を指定しない場合は、クライアント デバイスから受信されたパケットはすべてアクセス ポイントからリダイレクトされます。

ステップ 5

ip redirection host ip-address access-group acl in

(任意)パケットのリダイレクションに適用する ACL を指定します。ACL で定義した特定の UDP ポートまたは TCP ポート宛てに送信されたパケットだけがリダイレクトされます。ACL で定義した設定に一致しない受信パケットはすべて廃棄されます。in パラメータを指定すると、アクセス ポイントの受信インターフェイスに ACL が適用されます。

次の例は、ACL を適用せずに SSID に IP リダイレクションを設定する方法を示しています。batman という SSID にアソシエートされているクライアント デバイスから受信されたパケットはすべて、アクセス ポイントからリダイレクトされます。

AP# configure terminal
AP(config)# interface dot11radio 0
AP(config-if)# ssid batman
AP(config-if-ssid)# ip redirection host 10.91.104.91
AP(config-if-ssid-redirect)# end
 

次に、ACL で指定された特定の TCP ポートまたは UDP ポート宛てに送信されたパケットだけを対象とする IP リダイレクションを設定する方法を示します。robin という SSID を使用してアソシエートされているクライアント デバイスから受信されたパケットは、指定の IP アドレス宛にアクセス ポイントからリダイレクトされます。それ以外のパケットはすべて廃棄されます。

AP# configure terminal
AP(config)# interface dot11radio 0
AP(config-if)# ssid robin
AP(config-if-ssid)# ip redirection host 10.91.104.91 access-group redirect-acl in
AP(config-if-ssid)# end

 

SSIDL IE への SSID の追加

アクセス ポイントのビーコンでアドバタイズできる SSID は、1 つのブロードキャスト SSID だけです。ただし、アクセス ポイントのビーコンに SSIDL Information Elements(SSIDL IE)を使用すれば、そのアクセス ポイントには他にも SSID があることをクライアント デバイスに通知できます。ある SSID を指定して SSIDL IE に追加しておくと、クライアント デバイスではその SSID の存在が検出され、さらにその SSID を使用したアソシエートに必要なセキュリティ設定も検出されます。


) アクセス ポイントで複数の BSSID を有効に設定すると、SSIDL IE には、SSID リストは追加されず、拡張機能だけが追加されます。


特権 EXEC モードから、次の手順に従って SSID を SSIDL IE に追加します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio { 0 | 1 }

無線インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

ステップ 3

ssid ssid-string

特定の SSID に対するコンフィギュレーション モードを開始します。

ステップ 4

information-element ssidl [advertisement] [wps]

アクセス ポイントの拡張機能をアドバタイズするアクセス ポイント ビーコンに、SSIDL IE を追加します。この拡張機能には、802.1x、Microsoft Wireless Provisioning Services(WPS)のサポートなどがあります。

SSIDL IE に SSID の名前と機能を追加するには、advertisement オプションを使用します。SSIDL IE に WPS 機能フラグを設定するには、wps オプションを使用します。

SSIDL IE を無効にするには、コマンドの no 形式を使用します。

MBSSID の NAC サポート

ネットワークは、ウイルス、ワーム、スパイウェアなどのセキュリティ脅威から保護する必要があります。これらのセキュリティ脅威によって業務に支障をきたし、ダウンタイムが生じたり、パッチの適用に追われたりすることになります。ネットワークにアクセスしようとするすべての有線/無線デバイスが、企業のセキュリティ ポリシーに適合するように、エンドポイントを視覚化して管理することが必要です。感染したエンドポイントや脆弱なエンドポイントを自動的に検出して切り離し、クリーンな状態にする必要があります。

NAC は、ネットワーク リソースにアクセスするすべての有線/無線のエンドポイント デバイス(PC、ノート パソコン、サーバ、PDA など)が適切にセキュリティ脅威から保護されるよう厳密に設計されています。NAC を使用することにより、企業は、ネットワークに参加するすべてのデバイスを分析して管理できるようになります。すべてのエンドポイント デバイスが企業のセキュリティ ポリシーに準拠し最新のセキュリティ保護策を確実に実行することにより、企業はウイルス感染やネットワークのセキュリティ侵害の経路となりやすいエンドポイント デバイスを大幅に削減または排除できます。

WLAN は、ウイルス、ワーム、スパイウェアなどのセキュリティ脅威から保護する必要があります。NAC アプライアンスも NAC フレームワークも、WLAN クライアントがネットワークにアクセスしようとするときにデバイス セキュリティ ポリシーを施行することで、WLAN をセキュリティ脅威から保護します。これらのソリューションは、ポリシーに準拠しない WLAN クライアントを隔離し、ポリシーに準拠するように修復するサービスを提供しています。

クライアントは、ソフトウェアのバージョンやウイルスのバージョンなどの状態に応じて、別々の VLAN に配置されます。必要なソフトウェアをダウンロードするよう VLAN を設定して、クライアントをネットワークのアクセスに必要なソフトウェアのバージョンにアップグレードします。NAC サポートには 4 つの VLAN が設定されます。そのうちの 1 つは通常の VLAN で、ここには、正しいソフトウェア バージョンを搭載したクライアントが配置されます。その他の VLAN は指定された隔離処理用に確保されています。クライアントがアップグレードされるまで、感染したすべてのクライアントはいずれか 1 つの VLAN に配置されます。

各 SSID では、最大 3 つの VLAN を「有害な」VLAN として設定できます。感染したクライアントは、感染状態に応じて、いずれか 1 つの VLAN に配置されます。クライアントがアソシエーション要求を送信すると、クライアントの感染ステータスをその要求に含めて RADIUS サーバへ送信します。クライアントを特定の VLAN に配置するポリシーのプロビジョニングが RADIUS サーバ上で行われます。

感染したクライアントがアクセス ポイントにアソシエートして RADIUS サーバにそのステートを送信すると、RADIUS サーバは状態に応じてそのクライアントを隔離 VLAN の 1 つに配置します。この VLAN は、dot1x クライアント認証プロセスの途中で、RADIUS サーバの Access Accept 応答内で送信されます。クライアントが健全な状態で、NAC に準拠している場合、RADIUS サーバは通常の VLAN 割り当てを SSID に返し、クライアントは正しい VLAN と BSSID に配置されます。

各 SSID には、通常の VLAN が割り当てられます。通常の VLAN とは、健全なクライアントが配置される VLAN のことです。また、SSID では、ステートに応じてクライアントが配置される隔離 VLAN 対応するバックアップ VLAN を最大 3 つまで設定できます。SSID 用のこれらの VLAN には、SSID の MBSSID によって割り当てた BSSID と同じものを使用します。

設定済み VLAN はそれぞれ異なり、同じ SSID 内で VLAN が重複することはできません。このため、VLAN を設定できるのは 1 つのインターフェイスにつき一度だけで、2 つの異なる SSID で VLAN は使用できません。

隔離 VLAN は、通常の VLAN を設定したインターフェイスで自動的に設定されます。隔離 VLAN は、通常 VLAN と同じ暗号プロパティを継承します。VLAN には、同じキー/認証タイプがあり、隔離 VLAN のキーは自動的に派生します。

Dot11 サブインターフェイスが生成され、dot1q カプセル化 VLAN(設定済み VLAN 数と同数)とともに自動的に設定されます。また、有線側のサブインターフェイスも、ファスト イーサネット 0 サブインターフェイスのブリッジ グループ設定に合わせて自動的に設定されます。

クライアントがアソシエートして RADIUS サーバが有害な状態と判断すると、dot1x 認証の RADIUS 認証応答内でサーバが隔離 NAC の VLAN のいずれかを返します。この VLAN は、クライアントの SSID で設定したバックアップ用 VLAN のうちの 1 つでなくてはなりません。この VLAN が、すでに設定したバックアップ用 VLAN のうちの 1 つでなければ、クライアントはアソシエートされません。

すべてのバックアップ用 VLAN に対応するデータは、SSID に割り当てられた BSSID を使用して送受信されます。このため、その SSID に対応する BSSID をリッスンしているすべてのクライアント(健全なクライアントおよび有害なクライアント)が再起動します。VLAN が健全か有害かに応じて、使用中のマルチキャスト キーに基づき、クライアントでパケットの復号化が行われます。有線側のトラフィックは、別の VLAN を使用しているため隔離されます。このようにして、感染したクライアントのトラフィックと感染していないクライアントのトラフィックが混在しないようにしています。

次に示すように、dot11 ssid <ssid> では、これまでの vlan <name> | <id> に、新キーワード backup が追加されます。

vlan <name>|<id> [backup <name>|<id>, <name>|<id>, <name>|<id>
 

MBSSID への NAC 設定


) この機能がサポートするのは、VLAN 内のレイヤ 2 モビリティだけです。この機能は、ネットワーク ID を使用するレイヤ 3 モビリティをサポートしません。



) アクセス ポイントで MBSSID の NAC を有効にする前に、NAC が正しく機能するようにしてください。図 3 は、一般的なネットワーク設定を示しています。


図 3 一般的な NAC ネットワーク設定

 

詳細については、シスコ無線ネットワークに NAC を展開する方法のマニュアルを参照してください。

アクセス ポイントの MBSSID に NAC を設定する手順は、次のとおりです。


ステップ 1 図 3 に示すように、ネットワークを設定します。

ステップ 2 スタンドアロンのアクセス ポイントと、NAC 対応クライアントの EAP 認証を設定します。

ステップ 3 ポスチャを確認するため、ACS サーバにローカル プロファイルを設定します。

ステップ 4 クライアントが EAP-FAST を使用して正常に認証できるよう、クライアントとアクセス ポイントを設定します。

ステップ 5 クライアントのポスチャが有効であることを確認します。

ステップ 6 認証とポスチャ確認が完了したら、クライアントがアクセス ポイントとアソシエートしていること、クライアントが制限のない VLAN に配置されていることを確認します。


 

設定例を次に示します。

dot11 mbssid
dot11 vlan-name engg-normal vlan 100
dot11 vlan-name engg-infected vlan 102
dot11 vlan-name mktg-normal vlan 101
dot11 vlan-name mktg-infected1 vlan 103
dot11 vlan-name mktg-infected2 vlan 104
dot11 vlan-name mktg-infected3 vlan 105
!
dot11 ssid engg
vlan engg-normal backup engg-infected
authentication open
authentication network-eap eap_methods
!
dot11 ssid mktg
vlan mktg-normal backup mktg-infected1, mktg-infected2, mktg-infected3
authentication open
authentication network-eap eap_methods
!
interface Dot11Radio0
!
encryption vlan engg-normal key 1 size 40bit 7 482CC74122FD transmit-key
encryption vlan engg-normal mode ciphers wep40
!
encryption vlan mktg-normal key 1 size 40bit 7 9C3A6F2CBFBC transmit-key
encryption vlan mktg-normal mode ciphers wep40
!
ssid engg
!
ssid mktg
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Dot11Radio0.100
encapsulation dot1Q 100 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.102
encapsulation dot1Q 102
no ip route-cache
bridge-group 102
bridge-group 102 subscriber-loop-control
bridge-group 102 block-unknown-source
no bridge-group 102 source-learning
no bridge-group 102 unicast-flooding
bridge-group 102 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0.100
encapsulation dot1Q 100 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface FastEthernet0.102
encapsulation dot1Q 102
no ip route-cache
bridge-group 102
no bridge-group 102 source-learning
bridge-group 102 spanning-disabled
!