Cisco Aironet 1300 シリーズ屋外アクセス ポイント/ブリッジ Cisco IOS ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.3(4)JA
WDS、 高速 セキュア ローミング、およ び 無線管理の設定
WDS、高速セキュア ローミング、および無線管理の設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

WDS、高速セキュア ローミング、および無線管理の設定

WDS の概要

WDS アクセス ポイントの役割

WDS アクセス ポイントを使用したアクセス ポイントの役割

高速セキュア ローミングの概要

無線管理の概要

WDS と高速セキュア ローミングの設定

WDS のガイドライン

WDS と高速セキュア ローミングの要件

を WDS アクセス ポイントを使用するように設定する

コマンド ランゲージ インタプリタ(CLI)の設定例

認証サーバが高速セキュア ローミングをサポートするように設定する

WDS 情報の表示

デバッグ メッセージの使用

無線管理の設定

CLI の設定例

WDS、高速セキュア ローミング、および無線管理の設定

この章では、Wireless Domain Services(WDS)、クライアント デバイスの高速セキュア ローミング、および無線管理を行うように、アクセス ポイント/ブリッジを設定する方法について説明します。この章の内容は、次のとおりです。

「WDS の概要」

「高速セキュア ローミングの概要」

「無線管理の概要」

「WDS と高速セキュア ローミングの設定」

「無線管理の設定」

「デバッグ メッセージの使用」

WDS の概要

次の項では、アクセス ポイント/ブリッジ がアクセス ポイントとして設定されている場合であっても、WDS サーバとして設定できない場合の WDS について説明します。ただし、アクセス ポイントとして設定されている場合、アクセス ポイント/ブリッジは WDS サーバを使用でき、WDS 認証サーバ(クライアント)として動作できます。

WDS を提供するようにアクセス ポイントを設定した場合、無線 LAN 上のその他のアクセス ポイント(アクセス ポイントとして設定されている場合のアクセス ポイント/ブリッジなど)は、WDS アクセス ポイントを使用してクライアント デバイスに高速セキュア ローミングを提供し、無線管理に参加します。

高速セキュア ローミングによって、クライアント デバイスが 1 つのアクセス ポイントから別のアクセス ポイントにローミングする際に迅速な再認証が行われます。これによって音声などの時間に敏感なアプリケーションにおける遅延を防ぐことができます。

無線管理に参加するアクセス ポイントは、無線環境の情報(潜在的な不正アクセス ポイントやクライアントのアソシエーションおよびアソシエーション解除など)を WDS アクセス ポイントに転送します。WDS アクセス ポイントは情報を集約し、これをネットワーク上の Wireless LAN Solution Engine(WLSE)デバイスに転送します。

WDS アクセス ポイントの役割

WDS アクセス ポイントは、無線 LAN 上で次のようないくつかのタスクを実行します。

WDS 機能をアドバタイズして、無線 LAN に最適な WDS アクセス ポイントの選択に参加します。WDS 用に無線 LAN を設定する場合、メインの WDS アクセス ポイントの候補として 1 つアクセス ポイントを設定し、バックアップ WDS アクセス ポイント候補として 1 つ以上のアクセス ポイントを設定します。

サブネット中の全アクセス ポイントを認証して、そのうちのそれぞれと安全な通信チャネルを設定します。

サブネットのアクセス ポイントから無線データを収集して集約した後、これをネットワーク上の WLSE デバイスに転送します。

サブネット中の全クライアント デバイスを登録して、それにセッション キーを設定し、セキュリティ クレデンシャルをキャッシュします。クライアントが別のアクセス ポイントにローミングする場合、WDS アクセス ポイントはクライアントのセキュリティ クレデンシャルを新しいアクセス ポイントに転送します。

WDS アクセス ポイントを使用したアクセス ポイントの役割

無線 LAN 上のアクセス ポイントは、次の動作において WDS アクセス ポイントと対話します。

現在の WDS アクセス ポイントを検出、トラッキングし、WDS アドバタイズメントを無線 LAN に中継します。

WDS アクセス ポイントを認証して、WDS アクセス ポイントと安全な通信チャネルを設定します。

WDS アクセス ポイントとアソシエートしたクライアント デバイスを登録します。

無線データを WDS アクセス ポイントに報告します。

高速セキュア ローミングの概要

多くの無線 LAN 内のアクセス ポイントは、システム全体においてアクセス ポイントからアクセス ポイントへローミングするモバイル クライアント デバイスに対応します。クライアント デバイスで稼働するアプリケーションの中には、異なるアクセス ポイントにローミングする場合、高速な再アソシエーションを必要とするものがあります。たとえば、音声アプリケーションでは、会話の遅延やギャップを防ぐために、シームレスなローミングが必要です。

正常稼働時は、LEAP 使用可能クライアント デバイスは、図11-1 に示すように、完全な LEAP 認証を実行することによって、メイン RADIUS サーバとの会話を含めて、新しいアクセス ポイントを相互に認証します。

図11-1 RADIUS サーバを使ったクライアント認証

 

しかし、無線 LAN に高速セキュア ローミングの設定を行えば、LEAP 使用可能クライアント デバイスは、メイン サーバを利用することなく、あるアクセス ポイントから別のアクセス ポイントへのローミングを行います。Cisco Centralized Key Management(CCKM)を使用すると、Wireless Domain Services(WDS)を提供するように設定されているアクセス ポイントは、RADIUS サーバの代わりにクライアントを非常に速く認証するので、音声や他の時間に敏感なアプリケーションにほとんど遅延が発生することはありません。図11-2 は、CCKM を使用するクライアント認証を示しています。

図11-2 CCKM と WDS アクセス ポイントを使用するクライアント再アソシエーション

 

WDS アクセス ポイントは、無線 LAN 上の CCKM 利用可能クライアント デバイスに対するクレデンシャルのキャッシュを維持します。CCKM 利用可能クライアントは、1 つのアクセス ポイントから別のアクセス ポイントへローミングする場合、クライアントが新しいアクセス ポイントへ再アソシエーションの要求を送信し、新しいアクセス ポイントはその要求を WDS アクセス ポイントへ中継します。WDS アクセス ポイントはクライアントのクレデンシャルを新しいアクセス ポイントへ転送し、新しいアクセス ポイントは再アソシエーション応答をクライアントに送信します。クライアントと新しいアクセス ポイントとの間で渡されるパケットは 2 つだけなので、再アソシエーションの時間が大幅に短縮されます。クライアントは、再アソシエーション応答をユニキャスト キーの生成にも使用します。

無線管理の概要

無線管理に参加しているアクセス ポイントは、無線環境をスキャンして、潜在的な不正アクセス ポイント、アソシエートされているクライアント、クライアントの信号強度、他のアクセス ポイントからの無線信号などの無線情報の報告を WDS アクセス ポイントに送信します。WDS アクセス ポイントは、ネットワーク上の WLSE デバイスに、集約した無線データを転送します。また、無線管理に参加しているアクセス ポイントは自己修復無線 LAN を補助します。このようなアクセス ポイントは、近くのアクセス ポイントに障害が発生した場合に、そのカバレッジを補うよう自動的に設定を調整します。無線管理を設定する方法の詳細は、「無線管理の設定」を参照してください。

WDS と高速セキュア ローミングの設定

この項では、WDS と高速セキュア ローミングを無線 LAN 上に設定する方法について説明します。この項の内容は、次のとおりです。

「WDS のガイドライン」

「WDS と高速セキュア ローミングの要件」

「アクセス ポイント/ブリッジを WDS アクセス ポイントを使用するように設定する」

「アクセス ポイント/ブリッジを WDS アクセス ポイントを使用するように設定する」

「認証サーバが高速セキュア ローミングをサポートするように設定する」

「WDS 情報の表示」

「デバッグ メッセージの使用」

WDS のガイドライン

次の WDS ガイドラインに注意する必要があります。

アクセス ポイント/ブリッジを WDS アクセス ポイントとして設定することはできません。ただし、アクセス ポイント/ブリッジをアクセス ポイントとして設定する場合は、アクセス ポイント/ブリッジが WDS アクセス ポイントを使用するように設定することもできます。

リピータ アクセス ポイントは WDS をサポートしません。

WDS と高速セキュア ローミングの要件

アクセス ポイント/ブリッジが常駐する無線 LAN は、次の要件を満たす必要があります。

WDS アクセス ポイントとして設定できる 1 つ以上のアクセス ポイント

認証サーバ(またはローカル認証サーバとして設定されているアクセス ポイント)

Cisco クライアント ファームウェア バージョン 5.20.17 以降を実行する Cisco Aironet クライアント デバイス

アクセス ポイント/ブリッジを WDS アクセス ポイントを使用するように設定する

アクセス ポイント/ブリッジが WDS を使用するように設定するには、まずアクセス ポイント/ブリッジをアクセス ポイントとして設定する必要があります。WDS アクセス ポイントを通じて認証し、CCKM に参加するようにアクセス ポイント/ブリッジを設定する手順は、次のとおりです。


ステップ 1 Wireless Services Summary ページを表示します。

ステップ 2 AP をクリックして、Wireless Services AP ページを表示します。図11-3 は、Wireless Services AP ページを示しています。

図11-3 Wireless Services AP ページ

 

ステップ 3 Participate in SWAN Infrastructure フィールドの Enabled をクリックします。

ステップ 4 WDS Discovery フィールドの次のオプションのいずれかを選択します。

a. Auto Discovery:アクセス ポイント/ブリッジは、WDS アクセス ポイントを自動的に検索します。

b. Specified Discovery:アクセス ポイント/ブリッジは、入力された IP アドレスに基づいて WDS アクセス ポイントを検出します。

ステップ 5 Username フィールドにアクセス ポイント/ブリッジのユーザ名を入力します。このユーザ名は、認証サーバ上でアクセス ポイント/ブリッジ用に作成したユーザ名と一致する必要があります。

ステップ 6 Password フィールドにアクセス ポイント/ブリッジのパスワードを入力し、Confirm Password フィールドに同じパスワードをもう一度入力します。このパスワードは、認証サーバ上でアクセス ポイント/ブリッジ用に作成したパスワードと一致する必要があります。

ステップ 7 L3 Mobility Service via IP/GRE Tunnel フィールドに GRE Tunnel MTU の値を入力します。

ステップ 8 Apply をクリックします。


 

設定が完了すると、アクセス ポイント/ブリッジは WDS と対話し、自動的に次の手順を実行します。

現在の WDS アクセス ポイントを検出、トラッキングし、WDS アドバタイズメントを無線 LAN に中継します。

WDS アクセス ポイントを認証して、WDS アクセス ポイントに対する安全な通信チャネルを確立します。

WDS アクセス ポイントとアソシエートしたクライアント デバイスを登録します。

コマンド ランゲージ インタプリタ(CLI)の設定例

次は、「アクセス ポイント/ブリッジを WDS アクセス ポイントを使用するように設定する」に記載された手順と同じ働きをする CLI コマンドの例を示しています。

ap# configure terminal
ap(config)# wlccp ap username APWestWing password 7 wes7win8
ap(config)# end
 

この例では、アクセス ポイント/ブリッジは WDS アクセス ポイントと対話できるように設定されており、ユーザ名に APWestWing、パスワードに wes7win8 を使用して認証サーバに対する認証を行います。認証サーバ上でクライアントとしてアクセス ポイントを設定するときには、同じユーザ名とパスワードの組み合わせで設定する必要があります。

この例で使用されているコマンドの詳細は、『Cisco IOS Command Reference for Cisco Aironet Access Points and Bridges』を参照してください。

認証サーバが高速セキュア ローミングをサポートするように設定する

WDS アクセス ポイントと CCKM に参加している全アクセス ポイントは、認証サーバに対する認証を行う必要があります。サーバ上で、アクセス ポイント用のユーザ名とパスワードと、WDS アクセス ポイント用のユーザ名とパスワードを設定します。

サーバが Cisco Asynchronous Communications Server(ACS;非同期コミュニケーション サーバ)を実行している場合は、次の手順に従ってサーバ上でアクセス ポイントを設定します。


ステップ 1 Cisco Secure ACS にログインし、Network Configuration をクリックして Network Configuration ページを表示します。WDS アクセス ポイント用のエントリを作成するには、Network Configuration ページを使用する必要があります。図11-4 は、Network Configuration ページを示しています。

図11-4 Network Configuration ページ

 

ステップ 2 AAA Clients テーブルで、Add Entry をクリックします。Add AAA Client ページが表示されます。図11-5 は、Add AAA Client ページを示しています。

図11-5 Add AAA Client ページ

 

ステップ 3 AAA Client Hostname フィールドに、WDS アクセス ポイントの名前を入力します。

ステップ 4 AAA Client IP Address フィールドに、WDS アクセス ポイントの IP アドレスを入力します。

ステップ 5 Key フィールドに、WDS アクセス ポイントで設定したパスワードとまったく同じパスワードを入力します。

ステップ 6 Authenticate Using ドロップダウン メニューから、RADIUS (Cisco Aironet) を選択します。

ステップ 7 Submit をクリックします。

ステップ 8 WDS アクセス ポイント候補それぞれに対して、ステップ 2 から ステップ 7 の手順を繰り返します。

ステップ 9 User Setup をクリックして User Setup ページを表示します。WDS アクセス ポイントを使用するアクセス ポイント用のエントリを作成するには、User Setup ページを使用する必要があります。図11-6 は、User Setup ページを示しています。

図11-6 User Setup ページ

 

ステップ 10 User フィールドに、アクセス ポイントの名前を入力します。

ステップ 11 Add/Edit をクリックします。

ステップ 12 User Setup ボックスが表示されるまで、画面を下にスクロールします。図11-7 は、User Setup ボックスを示しています。

図11-7 ACS User Setup ボックス

 

ステップ 13 Password Authentication ドロップダウン メニューから CiscoSecure Database を選択します。

ステップ 14 Password フィールドと Confirm Password フィールドに、Wireless Services AP ページでアクセス ポイントに対して入力したのとまったく同じパスワードを入力します。

ステップ 15 Submit をクリックします。

ステップ 16 WDS アクセス ポイントを使用するアクセス ポイントそれぞれに対して、ステップ 10 からステップ 15 の手順を繰り返します。

ステップ 17 System Configuration ページを表示して、Service Control をクリックし、ACS を再始動してエントリ内容を適用します。図11-8 は、System Configuration ページを示しています。

図11-8 ACS System Configuration ページ

 


 

WDS 情報の表示

Web ブラウザのインターフェイスでは、Wireless Services Summary ページを参照して WDS ステータスの概要を表示します。

特権 EXEC モードの CLI では、次のコマンドを使って、現在の WDS アクセス ポイントと CCKM に参加している他のアクセス ポイントについて情報を表示します。

 

コマンド
説明

show wlccp ap

CCKM に参加する任意のアクセス ポイント上で、このコマンドを使用して、WDS アクセス ポイントの Media Access Control(MAC;メディア アクセス制御)アドレス、WDS アクセス ポイントの IP アドレス、アクセス ポイントの状態(認証中、認証済み、登録済み)、インフラストラクチャ認証サーバの IP アドレス、クライアント デバイス(MN)認証サーバの IP アドレスを表示することができます。

show wlccp wds { ap | mn }
[ detail ] [ mac-addr mac-address ]

WDS アクセス ポイントでのみ、このコマンドを使って、アクセス ポイントとクライアント デバイスに関するキャッシュ情報を表示できます。

ap:このオプションを使用して、CCKM に参加するアクセス ポイントを表示します。このコマンドは、各アクセス ポイントの MAC アドレス、IP アドレス、状態(認証中、認証済み、または登録済み)、有効期間(アクセス ポイントが再認証を必要とするまでの秒数)を表示します。mac-addr オプションを利用して、特定のアクセス ポイントに関する情報を表示します。

mn:このオプションはモバイル ノードとも呼ばれるクライアント デバイスに関するキャッシュされた情報を表示する場合に使用します。このコマンドにより、各クライアントの MAC アドレス、IP アドレス、クライアントにアソシエートされているアクセス ポイント(cur-AP)、および状態(認証中、認証済み、または登録済み)が表示されます。detail オプションを使用して、クライアントの有効期間(アクセス ポイントが再認証を必要とするまでの残りの秒数)、SSID、Virtual Local Area Network(VLAN;バーチャル LAN )ID を表示します。mac-addr オプションを使用して、特定のクライアント デバイスに関する情報を表示します。

show wlccp wds のみを入力する場合、そのコマンドは、アクセス ポイントの IP アドレス、MAC アドレス、優先順位、インターフェイス状態(管理上スタンドアロン、アクティブ、バックアップ、または候補)を表示します。状態がバックアップの場合、コマンドは現在の WDS のアクセス ポイントの IP アドレス、MAC アドレス、および優先順位も表示します。

デバッグ メッセージの使用

特権 EXEC モードでは、デバッグ コマンドを使って、WDS アクセス ポイントと対話するデバイス用のデバッグ メッセージの表示を制御します。

 

コマンド
説明

debug wlccp ap
{ mn | mobility | rm | state |wds-discovery }

このコマンドを使って、クライアント デバイス(mn)、WDS 検出プロセス、WDS アクセス ポイント(state)に対するアクセス ポイントの認証に関連するデバッグ メッセージの表示をオンにします。

debug wlccp leap-client

このコマンドを使って、LEAP 使用可能クライアント デバイスに関連するデバック メッセージの表示をオンにします。

debug wlccp packet

このコマンドを使って、WDS アクセス ポイントとやりとりするパケットの表示をオンにします。

debug wlccp wds [ state | statistics ]

このコマンドと state オプションを使って、WDS デバックと状態のメッセージの表示をオンにします。statistics オプションを使って、障害統計情報の表示をオンにします。

無線管理の設定

WDS を使用するように無線 LAN 上のアクセス ポイントを設定すると、アクセス ポイントは WDS デバイスとの対話時に、自動的に無線管理を行います。無線管理設定をするには、WDS デバイスをネットワーク上の WLSE デバイスと対話するように設定します。

WDS デバイスとして設定されたアクセス ポイントで無線管理を有効にする手順は、次のとおりです。


ステップ 1 Wireless Services Summary ページを表示します。図11-9 は、Wireless Services Summary ページを示しています。

図11-9 Wireless Services Summary ページ

 

ステップ 2 WDS をクリックして、General Setup ページを表示します。

ステップ 3 WDS/WNM Summary ページで Settings をクリックし、General Setup ページを表示します。図11-10 は General Setup ページを示しています。

図11-10 WDS/WNM General Setup ページ

 

ステップ 4 Configure Wireless Network Manager チェックボックスをオンにします。

ステップ 5 Wireless Network Manager IP Address フィールドに、ネットワーク上の WLSE デバイスの IP アドレスを入力します。

ステップ 6 Apply をクリックします。WDS アクセス ポイントが、WLSE デバイスと対話するように設定されます。


 

CLI の設定例

次は、「この例で使用されているコマンドの詳細は、『Cisco IOS Command Reference for Cisco Aironet Access Points and Bridges』を参照してください。」に記載された手順と同じ働きをする CLI コマンドの例を示しています。

ap# configure terminal
ap(config)# wlccp wnm ip address 192.250.0.5
ap(config)# end
 

この例では、WDS アクセス ポイントは、IP アドレスが 192.250.0.5 の WLSE デバイスと対話するように有効化されています。

この例で使用されているコマンドの詳細は、『Cisco IOS Command Reference for Cisco Aironet Access Points and Bridges』を参照してください。