Cisco Wireless LAN Controller コンフィギュレーション ガイド Software Release 4.1
WLAN の設定
WLAN の設定
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

WLAN の設定

WLAN の概要

WLAN の設定

WLAN の作成

GUI を使用した WLAN の作成

CLI を使用した WLAN の作成

DHCP の設定

内部 DHCP サーバ

外部 DHCP サーバ

DHCP の割り当て

セキュリティ上の考慮事項

GUI を使用した DHCP の設定

CLI を使用した DHCP の設定

DHCP スコープの設定

WLAN の MAC フィルタリングの設定

MAC フィルタリングの有効化

ローカル MAC フィルタの作成

無効なクライアントのタイムアウトの設定

VLAN への WLAN の割り当て

レイヤ 2 セキュリティの設定

静的 WEP キー

802.1X 動的キーおよび認証

静的 WEP と動的 WEP の両方をサポートする WLAN の設定

WPA1 と WPA2

CKIP

レイヤ 3 セキュリティの設定

VPN パススルー

Web 認証

Quality of Service の設定

QoS Enhanced BSS(QBSS)の設定

Quality of Service プロファイルの設定

Cisco Client Extensions の設定

GUI を使用した CCX Aironet IE の設定

GUI を使用したクライアントの CCX バージョンの表示

CLI を使用した CCX Aironet IE の設定

CLI を使用したクライアントの CCX バージョンの表示

WLAN オーバーライドの設定

GUI を使用した WLAN オーバーライドの設定

CLI を使用した WLAN オーバーライドの設定

アクセス ポイント グループの設定

アクセス ポイント グループの作成

アクセス ポイントのアクセス ポイント グループへの割り当て

802.1X 認証を使用した条件付き Web リダイレクトの設定

RADIUS サーバの設定

GUI を使用した条件付き Web リダイレクトの設定

CLI を使用した条件付き Web リダイレクトの設定

WLAN ごとのアカウンティング サーバの無効化

WLAN の設定

この章では、Cisco UWN Solution のために最大 16 の WLAN を設定する方法について説明します。この章の内容は、次のとおりです。

「WLAN の概要」

「WLAN の設定」

WLAN の概要

Cisco UWN Solution では、Lightweight アクセス ポイントについて、最大 16 の WLAN を制御できます。各 WLAN には、それぞれ異なる WLAN ID(1 ~ 16)と WLAN SSID(WLAN 名)が割り当てられます。また、一意のセキュリティ ポリシーを割り当てることもできます。

Lightweight アクセス ポイントでは、Cisco UWN ソリューションのアクティブな WLAN SSID がすべてブロードキャストされ、各 WLAN に定義されているポリシーが適用されます。


) コントローラが VLAN トラフィックを正常にルーティングできるよう、WLAN と管理インターフェイスにはそれぞれ別の VLAN セットを割り当てることをお勧めします。


WLAN の設定

次の項では、WLAN を設定する方法について説明します。

「WLAN の作成」

「DHCP の設定」

「WLAN の MAC フィルタリングの設定」

「VLAN への WLAN の割り当て」

「レイヤ 2 セキュリティの設定」

「レイヤ 3 セキュリティの設定」

「Quality of Service の設定」

「Cisco Client Extensions の設定」

「WLAN オーバーライドの設定」

「アクセス ポイント グループの設定」

「802.1X 認証を使用した条件付き Web リダイレクトの設定」

「WLAN ごとのアカウンティング サーバの無効化」

WLAN の作成

この項では、コントローラの GUI または CLI を使用して最大 16 の WLAN を作成する手順について説明します。

異なる Service Set Identifier(SSID; サービス セット ID)または同じ SSID で WLAN を設定できます。SSID は、コントローラがアクセスする必要がある特定の無線ネットワークを識別します。同じ SSID で WLAN を作成すると、同じ無線 LAN 内で異なるレイヤ 2 セキュリティ ポリシーを割り当てることができます。同じ SSID を持つ WLAN を区別するには、各 WLAN に対して一意のプロファイル名を作成する必要があります。

同じ SSID を持つ WLAN は、ビーコン応答とプローブ応答でアドバタイズされる情報に基づいてクライアントが WLAN を選択できるように、一意のレイヤ 2 セキュリティ ポリシーを使用している必要があります。利用できるレイヤ 2 セキュリティ ポリシーは次のとおりです。

なし(オープン WLAN)

静的 WEP または 802.1X


) 静的 WEP と 802.1X は両方とも、ビーコン応答とプローブ応答で同じビットによってアドバタイズされるので、クライアントはこれらを区別できません。したがって、同じ SSID を持つ複数の WLAN では、静的 WEP と 802.1X の両方を使用できません。


CKIP

WPA/WPA2


) 同じ SSID を持つ複数の WLAN でWPA と WPA2 の両方を使用することはできませんが、同じ SSID を持つ 2 つの WLAN は、PSK を使用する WPA/TKIP と 802.1X を使用する WPA/TKIP でそれぞれ設定するか、802.1X を使用する WPA/TKIP または 802.1X を使用する WPA/AES でそれぞれ設定することができます。


GUI を使用した WLAN の作成

GUI を使用して WLAN を作成する手順は、次のとおりです。


ステップ 1 Wireless > WLANs の順にクリックして、WLANs ページにアクセスします(図6-1 を参照)。

図6-1 WLANs ページ

 

このページでは、コントローラ上で現在設定されているすべての WLAN が表示されます。図6-1 は、同じ SSID を使用している複数の WLAN を示しています。特に、「user」という名前の 2 つの SSID が示されていますが、プロファイル名が異なります(user1 と user2)。セキュリティ ポリシーも異なることに注意してください。


WLAN を削除するには、その WLAN の青いドロップダウンの矢印の上にカーソルを置いて、Remove を選択します。


ステップ 2 新しい WLAN を作成するには、 New をクリックします。WLANs > New ページが表示されます(図6-2 を参照)。

図6-2 WLANs > New ページ

 

ステップ 3 WLAN ID ドロップダウン ボックスから、この WLAN に割り当てる番号を選択します。デフォルトで、自動的に次の利用可能な番号に設定されます。

ステップ 4 Profile Name フィールドに、この WLAN に割り当てるプロファイル名に対する最大 32 文字の英数字を入力します。プロファイル名は一意にする必要があります。

ステップ 5 WLAN SSID フィールドに、この WLAN に割り当てる SSID に対する最大 32 文字の英数字を入力します。

ステップ 6 Apply をクリックして、変更を適用します。WLANs > Edit ページが表示されます(図6-3 を参照)。


) 編集する WLAN の名前をクリックすることにより、WLAN ページから WLANs > Edit ページにアクセスすることもできます。


図6-3 WLANs > Edit ページ

 

ステップ 7 General タブ、Security タブ、QoS タブおよび Advanced タブ上でパラメータを使用してこの WLAN を設定します。WLAN の特定の機能を設定する手順については、この章の後の項を参照してください。

ステップ 8 General タブの WLAN Status チェックボックスをオンにしてこの WLAN を有効にします。WLAN に対する設定変更が終了するまで、チェックボックスをオフにしておいてください。

ステップ 9 Apply をクリックして、変更を適用します。

ステップ 10 Save Configuration をクリックして、変更を保存します。


 

CLI を使用した WLAN の作成

CLI を使用して WLAN を作成するには、次のコマンドを使用します。

1. 既存の WLAN のリストを表示して、有効か無効かを確認するには、次のコマンドを入力します。

show wlan summary

2. 新しい WLAN を作成するには、次のコマンドを入力します。

config wlan create <WLAN ID> <プロファイル名><ssid>


) <ssid> を指定しない場合、<プロファイル名> パラメータがプロファイル名と SSID の両方に対して使用されます。



) 設定ウィザードで WLAN 1 を作成した場合、これは有効モードで作成されています。設定が完了するまでは、無効にしてください。config wlan create コマンドを使用して WLAN を新しく作成する場合は、無効モードで作成されます。この場合は、設定が完了するまで無効のままにします。


3. WLAN を無効にするには(たとえば、WLAN に任意の変更を行う前)、次のコマンドを入力します。

config wlan disable wlan_id


) 管理インターフェイスと AP マネージャ インターフェイスが同じポートにマッピングされており、同じ VLAN のメンバである場合は、これらのインターフェイスのポート マッピングを変更する前に WLAN を無効にする必要があります。管理インターフェイスと AP マネージャ インターフェイスがそれぞれ別の VLAN に割り当てられている場合は、WLAN を無効にする必要はありません。


4. WLAN を有効にするには(たとえば、WLAN に対する変更が終了した後)、次のコマンドを入力します。

config wlan enable <WLAN ID>

5. WLAN を削除するには、次のコマンドを入力します。

config wlan delete wlan_id

DHCP の設定

WLAN では、同じ Dynamic Host Configuration Protocol (DHCP) サーバまたは異なる DHCP サーバを使用するか、または DHCP サーバを使用しないように設定できます。DHCP サーバには、内部 DHCP サーバと外部 DHCP サーバの 2 つのタイプがあります。


) レイヤ 3 LWAPP モードを使用している場合、アクセス ポイントがコントローラに接続されるように、管理インターフェイスと AP マネージャ インターフェイスを同じサブネット上で設定する必要があります。


内部 DHCP サーバ

コントローラには、内部 DHCP サーバが含まれます。このサーバは、一般的に、DHCP サーバを持たない支社で使用されます。無線ネットワークには、通常、コントローラと同じ IP サブネット上にある 10 個以下のアクセス ポイントが含まれます。内部サーバは、無線クライアント、ダイレクトコネクト アクセス ポイント、管理インターフェイス上のアプライアンスモード アクセス ポイント、およびアクセス ポイントからリレーされた DHCP 要求に対して DHCP アドレスを提供します。Lightweight アクセス ポイントのみサポートされています。内部 DHCP サーバを使用する場合は、コントローラの管理インターフェイスの IP アドレスを DHCP サーバの IP アドレスとして設定する必要があります。

内部サーバでは、DHCP オプション 43 はサポートされていません。したがって、アクセス ポイントは、ローカル サブネット ブロードキャスト、DNS、プライミング、または無線検出などの別の方法を使用してコントローラの管理インターフェイスの IP アドレスを見つける必要があります。


) アクセス ポイントがコントローラを見つける方法の詳細は、 Lightweight アクセス ポイントの制御または次の URL からアクセスできる『Controller Deployment Guide』を参照してください。
http://www.cisco.com/en/US/products/ps6366/prod_technical_reference_list.html


外部 DHCP サーバ

オペレーティング システムは、DHCP リレーをサポートする業界標準の外部 DHCP サーバを使用することにより、ネットワークに対しては DHCP リレーとして機能し、クライアントに対しては DHCP サーバとして機能するように設計されています。つまり、各コントローラは、DHCP サーバにとっての DHCP リレー エージェントとなります。これはコントローラが、無線クライアントに対しては、仮想 IP アドレスでの DHCP サーバとして機能することも意味します。

コントローラは DHCP サーバから取得したクライアント IP アドレスをキャプチャするため、コントローラ内、コントローラ間、およびサブネット間でのクライアント ローミング時に、各クライアントに対して同じ IP アドレスが保持されます。

DHCP の割り当て

DHCP はインターフェイスごとに、または WLAN ごとに設定できます。特定のインターフェイスに割り当てられたプライマリ DHCP サーバのアドレスを使用することが推奨されます。

インターフェイスごとの割り当て

個々のインターフェイスに DHCP サーバを割り当てることができます。管理インターフェイス、AP マネージャ インターフェイス、動的インターフェイスはプライマリおよびセカンダリ DHCP サーバに設定でき、サービス ポート インターフェイスは DHCP サーバを有効または無効にするように設定できます。


) コントローラのインターフェイスの設定方法については、 ポートとインターフェイスの設定を参照してください。


WLAN ごとの割り当て

WLAN で DHCP サーバを定義することもできます。このサーバは、WLAN に割り当てられたインターフェイス上の DHCP サーバのアドレスを無効にします。

セキュリティ上の考慮事項

高度なセキュリティが必要な場合は、すべてのクライアントが DHCP サーバから IP アドレスを取得するように設定してください。この要件を適用するためには、すべての WLAN を DHCP Addr. Assignment Required 設定で設定して、クライアントの固定 IP アドレスが禁止されるようにします。DHCP Addr. Assignment Required が選択されている場合、クライアントは DHCP を使って IP アドレスを取得する必要があります。固定 IP アドレスを持つクライアントはすべて、ネットワーク上で許可されなくなります。クライアントの DHCP プロキシとして動作するコントローラが、DHCP トラフィックを監視します。


) 無線による管理をサポートする WLAN では、管理(デバイスサービシング)クライアントが DHCP サーバから IP アドレスを取得できるようにする必要があります。無線による管理の設定方法については、「無線による管理の使用」を参照してください。


セキュリティが多少劣ってもかまわない場合は、DHCP Addr. Assignment Required を無効に設定して WLAN を作成できます。その後クライアントは、固定 IP アドレスを使用するか、指定された DHCP サーバの IP アドレスを取得するかを選択できます。

また、DHCP Addr. Assignment Required を無効に設定し、DHCP サーバの IP アドレス を 0.0.0.0 に指定した WLAN を別に作成することもできます。このような WLAN では、すべての DHCP 要求がドロップするため、クライアントは固定 IP アドレスを使用しなければなりません。これらの WLAN は、無線接続による管理をサポートしていないことに注意してください。

この項では、DHCP の設定を GUI で行う場合と CLI で行う場合の両方の手順を説明します。

GUI を使用した DHCP の設定

GUI を使用して DHCP を設定する手順は、次のとおりです。


ステップ 1 WLAN に割り当てられる管理インターフェイス、AP マネージャ インターフェイス、または動的インターフェイスにプライマリ DHCP サーバを設定するには、「GUI を使用した、管理、AP マネージャ、仮想、およびサービス ポートの各インターフェイスの設定」または「GUI を使用した動的インターフェイスの設定」の手順に従います。


) 内部 DHCP サーバを使用する場合は、コントローラの管理インターフェイスの IP アドレスを DHCP サーバの IP アドレスとして設定する必要があります。


ステップ 2 WLANs をクリックして、WLANs ページにアクセスします。

ステップ 3 インターフェイスを割り当てる WLAN のプロファイル名をクリックします。 WLANs > Edit (General) ページが表示されます。

ステップ 4 General タブの WLAN Status チェックボックスをオフにし、 Apply をクリックして WLAN を無効にします。

ステップ 5 WLAN のプロファイル名を再度クリックします。

ステップ 6 General タブの Interface ドロップダウン ボックスから、この WLAN で使用するプライマリ DHCP サーバを設定したインターフェイスを選択します。

ステップ 7 Advanced をクリックして、 WLANs > Edit (Advanced) ページにアクセスします。

ステップ 8 WLAN 上で、WLAN に割り当てられたインターフェイスの DHCP サーバ アドレスを無効にする DHCP サーバを定義する場合、 DHCP Server Override チェックボックスをオンにして、 DHCP Server IP Addr 編集ボックスに目的の DHCP サーバの IP アドレスを入力します。チェックボックスはデフォルトでは、無効になっています。


) DHCP を設定する際、DHCP サーバを無効にするのではなく、特定のインターフェイスに割り当てられたプライマリ DHCP サーバのアドレスを使用することが推奨されます。


ステップ 9 すべてのクライアントが DHCP サーバから IP アドレスを取得するよう設定するには、 DHCP Addr. Assignment Required チェックボックスをオンにします。この機能が有効になっている場合、固定 IP アドレスを持つクライアントはネットワーク上で許可されません。デフォルト値は無効(disable)です。

ステップ 10 Apply をクリックして、変更を適用します。

ステップ 11 General タブの WLAN Status チェックボックスをオンにし、 Apply をクリックして WLAN を再度有効にします。

ステップ 12 Save Configuration をクリックして、変更内容を保存します。


 

CLI を使用した DHCP の設定

CLI を使用して DHCP を設定する手順は、次のとおりです。


ステップ 1 WLAN に割り当てられる管理インターフェイス、AP マネージャ インターフェイス、または動的インターフェイスにプライマリ DHCP サーバを設定するには、「CLI を使用した、管理、AP マネージャ、仮想、およびサービス ポートの各インターフェイスの設定」または「CLI を使用した動的インターフェイスの設定」の手順に従います。

ステップ 2 WLAN を無効するには、次のコマンドを入力します。

config wlan disable wlan-id

ステップ 3 この WLAN で使用するプライマリ DHCP サーバを設定したインターフェイスを指定するには、次のコマンドを入力します。

config wlan interface wlan-id interface-name

ステップ 4 WLAN 上で、WLAN に割り当てられたインターフェイスの DHCP サーバ アドレスを無効にする DHCP サーバを定義するには、次のコマンドを入力します。

config wlan dhcp_server wlan-id dhcp-server-ip-address


) DHCP を設定する際、DHCP サーバを無効にするのではなく、特定のインターフェイスに割り当てられたプライマリ DHCP サーバのアドレスを使用することが推奨されます。無効(override)が有効化されている場合、show wlan コマンドを使用して DHCP サーバが WLAN に割り当てられていることを確認できます。


ステップ 5 WLAN を再度有効にするには、次のコマンドを入力します。

config wlan enable wlan-id


 

DHCP スコープの設定

コントローラには組み込みの DHCP リレー エージェントがあります。ただし、ネットワーク管理者が別個の DHCP サーバを持たないネットワーク セグメントを求める場合、コントローラに IP アドレスとサブネット マスクを無線クライアントに割り当てる組み込みの DHCP スコープを設定できます。一般に、1 つのコントローラには、それぞれある範囲の IP アドレスを指定する複数の DHCP スコープを設定できます。

DHCP スコープは内部 DHCP が機能するために必要となります。コントローラで DHCP が定義された後、管理インターフェイス、AP マネージャ インターフェイス、動的インターフェイスのプライマリ DHCP サーバの IP アドレスをコントローラの管理インターフェイスにポイントできます。コントローラの GUI または CLI を使用して、最大 16 の DHCP スコープを設定できます。

GUI を使用した DHCP スコープの設定

GUI を使用して DHCP スコープを設定する手順は、次のとおりです。


ステップ 1 Controller > Internal DHCP Server をクリックして、DHCP Scopes ページにアクセスします(図6-4 を参照)。

図6-4 DHCP Scopes ページ

 

このページには、これまでに設定されたすべての DHCP スコープが表示されます。


) 既存の DHCP スコープを削除するには、その スコープの青いドロップダウンの矢印の上にカーソルを置いて、Remove を選択します。


ステップ 2 新しい DHCP スコープを追加するには、New をクリックします。DHCP Scope > New ページが表示されます。

ステップ 3 Scope Name フィールドに、新しい DHCP スコープの名前を入力します。

ステップ 4 Apply をクリックします。DHCP Scopes ページが再度表示されたら、新しいスコープの名前をクリックします。DHCP Scope > Edit ページが表示されます(図6-5 を参照)。

図6-5 DHCP Scope > Edit ページ

 

ステップ 5 Pool Start Address フィールドに、クライアントに割り当てられた範囲の開始 IP アドレスを入力します。


) このプールは、各 DHCP スコープで一意でなければならず、ルータまたは他のサーバの固定 IP アドレスを含めることはできません。


ステップ 6 Pool End Address フィールドに、クライアントに割り当てられた範囲の終了 IP アドレスを入力します。


) このプールは、各 DHCP スコープで一意でなければならず、ルータまたは他のサーバの固定 IP アドレスを含めることはできません。


ステップ 7 Network フィールドに、この DHCP スコープの対象となるネットワークの名前を入力します。これは、Interfaces ページで設定されている、ネットマスクが適用された管理インターフェイスが使用する IP アドレスです。

ステップ 8 Netmask フィールドに、すべての無線クライアントに割り当てられたサブネット マスクを入力します。

ステップ 9 Lease Time フィールドに、クライアントに IP アドレスを許容する時間(0 ~ 65536 秒)を入力します。

ステップ 10 Default Routers フィールドに、コントローラに接続しているオプション ルータの IP アドレスを入力します。各ルータには、DHCP フォワーディング エージェントを含める必要があります。これにより、単一コントローラで複数のコントローラのクライアントを処理できます。

ステップ 11 DNS Domain Name フィールドに、1 つまたは複数の DNS サーバで使用する、この DHCP スコープのオプションの Domian Name System(DNS)ドメイン名を入力します。

ステップ 12 DNS Servers フィールドに、オプションの DNS サーバの IP アドレスを入力します。各 DNS サーバは、この DHCP スコープで割り当てられた IP アドレスと一致するように、クライアントの DNS エントリを更新できる必要があります。

ステップ 13 Netbios Name Servers フィールドに、Windows Internet Naming Service(WINS)サーバなど、オプションの Microsoft NetBIOS ネーム サーバの IP アドレスを入力します。

ステップ 14 Status ドロップダウン ボックスから、 Enabled を選択してこの DHCP スコープを有効にするか、または Disabled を選択して無効にします。

ステップ 15 Apply をクリックして、変更を適用します。

ステップ 16 Save Configuration をクリックして、変更内容を保存します。


 

CLI を使用した DHCP スコープの設定

CLI を使用して DHCP スコープを設定する手順は、次のとおりです。


ステップ 1 DHCP スコープを作成するには、次のコマンドを入力します。

config dhcp create-scope scope


) DHCP スコープを削除するには、次のコマンドを入力します。config dhcp delete-scope scope.


ステップ 2 クライアントに割り当てられた範囲の開始および終了 IP アドレスを指定するには、次のコマンドを入力します。

config dhcp address-pool scope start end


) このプールは、各 DHCP スコープで一意でなければならず、ルータまたは他のサーバの固定 IP アドレスを含めることはできません。


ステップ 3 この DHCP スコープの対象となるネットワーク(ネットマスクが適用された管理インターフェイスによって使用される IP アドレス)およびすべての無線クライアントに割り当てられたサブネット マスクを指定するには、次のコマンドを入力します。

config dhcp network scope network netmask

ステップ 4 クライアントに IP アドレスを許容する時間(0 ~ 65536 秒)を指定するには、次のコマンドを入力します。

config dhcp lease scope lease_duration

ステップ 5 コントローラに接続されているオプション ルータの IP アドレスを指定するには、次のコマンドを入力します。

config dhcp default-router scope router_1 [ router_2 ] [ router_3 ]

各ルータには、DHCP フォワーディング エージェントを含める必要があります。これにより、単一コントローラで複数のコントローラのクライアントを処理できます。

ステップ 6 1 つまたは複数の DNS サーバで使用する、この DHCP スコープのオプションの Domian Name System(DNS)ドメイン名を指定するには、次のコマンドを入力します。

config dhcp domain scope domain

ステップ 7 オプションの DNS サーバの IP アドレスを指定するには、次のコマンドを入力します。

config dhcp dns-servers scope dns1 [ dns2 ] [ dns3 ]

各 DNS サーバは、この DHCP スコープで割り当てられた IP アドレスと一致するように、クライアントの DNS エントリを更新できる必要があります。

ステップ 8 Windows Internet Naming Service(WINS)サーバなど、オプションの Microsoft NetBIOS ネーム サーバの IP アドレスを指定するには、次のコマンドを入力します。

config dhcp netbios-name-server scope wins1 [ wins2 ] [ wins3 ]

ステップ 9 この DHCP スコープを有効または無効にするには、次のコマンドを入力します。

config dhcp { enable | disable } scope

ステップ 10 変更を保存するには、次のコマンドを入力します。

save config

ステップ 11 設定されている DHCP スコープのリストを表示するには、次のコマンドを入力します。

show dhcp summary

次のような情報が表示されます。

Scope Name Enabled Address Range
Scope 1 No 0.0.0.0 -> 0.0.0.0
Scope 2 No 0.0.0.0 -> 0.0.0.0
 

ステップ 12 特定のスコープの DHCP 情報を表示するには、次のコマンドを入力します。

show dhcp scope

次のような情報が表示されます。

Enabled....................................... No
Lease Time.................................... 0
Pool Start.................................... 0.0.0.0
Pool End...................................... 0.0.0.0
Network....................................... 0.0.0.0
Netmask....................................... 0.0.0.0
Default Routers............................... 0.0.0.0 0.0.0.0 0.0.0.0
DNS Domain....................................
DNS........................................... 0.0.0.0 0.0.0.0 0.0.0.0
Netbios Name Servers.......................... 0.0.0.0 0.0.0.0 0.0.0.0
 


 

WLAN の MAC フィルタリングの設定

クライアント認証または管理者認証に MAC フィルタリングを使用する場合は、WLAN レベルで先に有効にしておく必要があります。任意の WLAN でローカル MAC アドレス フィルタリングを使用する予定がある場合は、この項のコマンドを使用して WLAN の MAC フィルタリングを設定します。

MAC フィルタリングの有効化

WLAN 上で MAC フィルタリングを有効にするには、次のコマンドを使用します。

MAC フィルタリングを有効にするには、config wlan mac-filtering enable <WLAN ID> コマンドを入力します。

show wlan コマンドを入力して、WLAN の MAC フィルタリングが有効になっていることを確認します。

MAC フィルタリングを有効にすると、WLAN に追加した MAC アドレスにのみ WLAN への接続が許可されます。追加されていない MAC アドレスは、WLAN への接続が許可されません。

ローカル MAC フィルタの作成

コントローラには MAC フィルタリング機能が組み込まれています。これは、RADIUS 認証サーバで提供されるものとよく似ています。

WLAN MAC フィルタに MAC アドレスを追加するには、次のコマンドを使用します。

show macfilter コマンドを入力して、WLAN に割り当てられている MAC アドレスを表示します。

MAC アドレスを WLAN MAC フィルタに割り当てるには、config macfilter add <MAC アドレス> <WLAN ID> コマンドを入力します。

show macfilter コマンドを入力して、WLAN に割り当てられている MAC アドレスを確認します。

無効なクライアントのタイムアウトの設定

無効なクライアントに対してタイムアウトを設定できます。アソシエートしようとした際に認証で 3 回失敗したクライアントは、それ以降のアソシエーションの試みでは自動的に無効にされます。タイムアウト期間が経過すると、クライアントは認証の再試行を許可され、アソシエートすることができます。このとき、認証に失敗すると再び排除されます。無効なクライアントに対してタイムアウトを設定するには、次のコマンドを使用します。

無効なクライアントのタイムアウトを設定するには、config wlan blacklist <WLAN ID> <タイムアウト> コマンドを入力します。1 ~ 65,535 秒のタイムアウトを入力するか、または 0 を入力して永続的にクライアントを無効にします。

現在のタイムアウトを確認するには、show wlan コマンドを使用します。

VLAN への WLAN の割り当て

WLAN を VLAN に割り当てるには、次のコマンドを使用します。

WLAN を VLAN に割り当てるには、次のコマンドを入力します。

config wlan vlan wlan-id {default | untagged | vlan-id controller-vlan-ip-address vlan-netmask vlan-gateway}

ネットワーク ポート上で設定した VLAN に WLAN を割り当てるには、default オプションを使用します。

WLAN を VLAN 0 に割り当てるには、untagged オプションを使用します。

WLAN を特定の VLAN に割り当て、コントローラ VLAN IP アドレス、VLAN のローカル IP ネットマスク、および VLAN のローカル IP ゲートウェイを指定するには、<VLAN ID>、<コントローラ VLAN IP アドレス>、<VLAN ネットマスク>、および<VLAN ゲートウェイ> オプションを使用します。

VLAN 割り当てのステータスを確認するには、show wlan コマンドを入力します。


) コントローラが VLAN トラフィックを正常にルーティングできるよう、WLAN と管理インターフェイスにはそれぞれ別の VLAN セットを割り当てることをお勧めします。


VLAN の割り当てを WLAN から削除するには、次のコマンドを使用します。

config wlan vlan wlan-id untagged

レイヤ 2 セキュリティの設定

この項では、WLAN にレイヤ 2 セキュリティ設定を割り当てる方法について説明します。


) Microsoft Wireless Configuration Manager と 802.1X を使用しているクライアントは、40 ビットまたは 104 ビットのキーの長さに対して設定された WLAN を使用する必要があります。128 ビットのキーの長さに対して設定すると、アソシエートできても、認証できないクライアントとなります。


静的 WEP キー

コントローラでは、アクセス ポイント上で静的 WEP キーを制御できます。WLAN の静的 WEP を設定するには、次のコマンドを使用します。

802.1X 暗号化を無効にするには、次のコマンドを入力します。

config wlan security 802.1X disable wlan-id

40/64 ビット、104/128 ビット、または 128/152 ビット WEP キーを設定するには、次のコマンドを入力します。

config wlan security static-wep-key encryption <WLAN ID> {40 | 104 | 128} {hex | ascii} <キー> <キーインデックス>

40/64 ビット、104/128 ビット、または 128/152 ビット暗号化を指定するには、40、104、または 128 オプションを使用します。デフォルトの設定は、104/128 です。

WEP キーの文字形式を指定するには、hex または ascii オプションを使用します。

40 ビット/64 ビット WEP キーの場合は 10 桁の 16 進数(0 ~ 9、a ~ f、または A ~ F の組み合わせ)または印刷可能な 5 つの ASCII 文字、104 ビット/128 ビット キーの場合は 26 桁の 16 進数または 13 の ASCII 文字、128 ビット/152 ビット キーの場合は 32 桁の 16 進数または 16 の ASCII 文字を入力します。

1 4 のキー インデックス(キー スロットとも呼ばれます)を入力します。

802.1X 動的キーおよび認証

コントローラでは、アクセス ポイント上で Extensible Authentication Protocol(EAP;拡張認証プロトコル)を使用する 802.1X 動的 WEP キーを制御できます。また、WLAN の 802.1X 動的キー設定をサポートしています。


) Lightweight アクセス ポイントと無線クライアントで LEAP を使用するには、CiscoSecure Access Control Server(ACS)を設定する際に RADIUS サーバ タイプとして Cisco-Aironet を選択することを確認します。


WLAN のセキュリティ設定を確認するには、show wlan wlan-id と入力します。新しい WLAN のデフォルトのセキュリティ設定は、動的キーが有効な 802.1X です。レイヤ 2 の堅牢なポリシーを維持するには、802.1X を WLAN 上で設定したままにします。

802.1X 認証を無効または有効にするには、次のコマンドを使用します。

config wlan security 802.1X {enable | disable} wlan-id

802.1X 認証を有効にした後、コントローラから、無線クライアントと認証サーバとの間で EAP 認証パケットが送信されます。このコマンドにより、すべての EAP タイプのパケットは、コントローラとの送受信が可能になります。

WLAN の 802.1X の暗号化レベルを変更するには、次のコマンドを使用します。

config wlan security 802.1X encryption wlan-id [40 | 104 | 128]

40/64 ビット暗号化を指定するには、40 オプションを使用します。

104/128 ビット暗号化を指定するには、128 オプションを使用します。(これは、デフォルトの暗号化設定です)。

128/152 ビット暗号化を指定するには、128 オプションを使用します。

トークン サーバに対する一度だけのパスワードを使用してコントローラへの認証を行うために、PEAP-GTC を実行しているCisco Aironet 802.11a/b/g 無線 LAN クライアント アダプタ(CB21AG と PI21AG)を設定する場合、次のコマンドを使用します。

config advanced eap identity-request-timeout :EAP ID 要求のタイムアウト値を秒単位で設定します。デフォルトの設定は、1 秒です。

config advanced eap identity-request-retries :EAP ID 要求の最大試行数を設定します。デフォルトの設定は 20 です。

config advanced eap request-timeout :EAP 要求のタイムアウト値を秒単位で設定します。デフォルトの設定は、1 秒です。

config advanced eap request-retries :EAP 要求の最大試行数を設定します。デフォルトの設定は 2 です。

show advanced eap config advanced eap コマンドに対して現在設定されている値を表示します。次のような情報が表示されます。

EAP-Identity-Request Timeout (seconds)........... 1
EAP-Identity-Request Max Retries................. 20
EAP-Request Timeout (seconds).................... 1
EAP-Request Max Retries.......................... 2

静的 WEP と動的 WEP の両方をサポートする WLAN の設定

静的 WEP キーをサポートする WLAN は 4 つまで設定できます。また、これらすべての静的 WEP WLAN に動的 WEP も設定できます。静的 WEP と動的 WEP を両方サポートする WLAN を設定する際の留意事項は次のとおりです。

静的 WEP キーおよび動的 WEP キーは、同じ長さである必要があります。

静的 WEP と動的 WEP の両方をレイヤ 2 セキュリティ ポリシーとして設定する場合は、他のセキュリティ ポリシーを指定できません。つまり、Web 認証を設定できません。ただし、静的 WEP と動的 WEP のいずれかをレイヤ 2 セキュリティ ポリシーとして設定する場合は、Web 認証を設定できます。

WPA1 と WPA2

Wi-Fi 保護アクセス(WPA または WPA1)および WPA2 は、無線 LAN システム用のデータ保護とアクセス コントロールを提供する Wi-Fi Alliance の規格ベースのセキュリティ ソリューションです。WPA1 は、IEEE 802.11i 規格に準拠していますが、規格の承認前に実装されたものです。これに対して、WPA2 は、承認された IEEE 802.11i 規格が Wi-Fi Alliance によって実装されています。

WPA1 のデフォルトでは、データの保護に Temporal Key Integrity Protocol(TKIP)および Message Integrity Check(MIC)が使用されますが、WPA2 では Counter Mode with Cipher Block Chaining Message Authentication Code Protocol を使用したより強力な Advanced Encryption Standard 暗号化アルゴリズム(AES-CCMP)が使用されます。WPA1 および WPA2 のデフォルトでは、両方とも 802.1X を使用して認証キー管理を行います。ただし、次に説明する PSK、CCKM、および 802.1X+CCKM の各オプションも利用できます。

802.1X :IEEE によって定義された無線 LAN セキュリティの規格。802.1X for 802.11、または単に 802.1X と呼ばれます。802.1X をサポートするアクセス ポイントは、無線ネットワークを介して通信を行う相手となる無線クライアントおよび認証サーバ(RADIUS サーバなど)との間のインターフェイスとして機能します。 802.1X が選択されている場合は、802.1X クライアントのみがサポートされます。

PSK:PSK(WPA 事前共有キー または WPA パスフレーズとも呼ばれます)を選択した場合は、事前共有キー(またはパスフレーズ)を設定する必要があります。このキーは、クライアントと認証サーバの間で Pairwise Master Key(PMK;ペアワイズ マスター キー)として使用されます。

CCKM:Cisco Centralized Key Management(CCKM)では、迅速なキーの再生成技術を使用しています。この技術を使用すると、クライアントは、通常 150 ミリ秒(ms)以下で、コントローラを経由せずにあるアクセス ポイントから別のアクセス ポイントにローミングできます。CCKM により、クライアントが新しいアクセス ポイントと相互に認証を行い、再アソシエーション時に新しいセッション キーを取得するために必要な時間が短縮されます。CCKM の迅速かつ安全なローミングでは、無線 VoIP、Enterprise Resource Planning(ERP)、Citrix ベースのソリューションなどの時間依存型のアプリケーションにおいて、認識できるほどの遅延は発生しません。CCKM は、CCXv4 に準拠する機能です。CCKM が選択されている場合は、CCKM クライアントのみがサポートされます。


) コントローラ ソフトウェア 4.0 リリースでは、CCX バージョン 1 ~ 4 をサポートしています。CCX のサポートは、コントローラ上のすべての WLAN に対して自動的に有効になり、無効にすることはできません。コントローラは、クライアント データベースにクライアントの CCX バージョンを格納し、これを使用してクライアントの機能を制限します。CCKM を使用するには、クライアントで CCXv4 をサポートする必要があります。CCX の詳細は、「Cisco Client Extensions の設定」を参照してください。


802.1X+CCKM:通常の動作状態の間、802.1X が有効になっているクライアントは、主要な RADIUS サーバとの通信を含む完全な 802.1X 認証を実行することにより、新しいアクセス ポイントとの相互認証を行います。ただし、802.1X および CCKM の迅速で安全なローミング用に WLAN を設定した場合、CCKM が有効になっているクライアントは、RADIUS サーバに対して再認証せずに、あるアクセス ポイントから別のアクセス ポイントに安全にローミングを行います。このオプションが選択されている場合、CCKM クライアントと非 CCKM クライアントの両方がサポートされるため、802.1X+CCKM はオプションの CCKM とみなされます。

単一の WLAN では、WPA1、WPA2、および 802.1X/PSK/CCKM/802.1X+CCKM のクライアントに接続を許可できます。このような WLAN 上のすべてのアクセス ポイントは、WPA1、WPA2、および 802.1X/PSK/CCKM/802.1X+CCKM の情報要素をビーコン応答とプローブ応答でアドバタイズします。WPA1 または WPA2、あるいは両方を有効にした場合は、データ トラフィックを保護するために設計された 1 つまたは 2 つの暗号方式(暗号化アルゴリズム)を有効にすることもできます。具体的には、WPA1 または WPA2、あるいはその両方に対して、AES または TKIP、またはその両方を有効にすることができます。TKIP は WPA1 のデフォルト値で、AES は WPA2 のデフォルト値です。

WPA1 と WPA2 は、GUI または CLI のいずれかを使用して設定できます。

GUI を使用した WPA1 と WPA2 の設定

コントローラ GUI を使用して WLAN の WPA1 と WPA2 を設定する手順は、次のとおりです。


ステップ 1 WLANs をクリックして、WLANs ページにアクセスします。

ステップ 2 必要な WLAN のプロファイル名リンクをクリックして、WLANs > Edit ページにアクセスします。

ステップ 3 Security タブおよび Layer 2 タブをクリックして、WLANs > Edit(Security > Layer 2)ページにアクセスします(図6-6 を参照)。

図6-6 WLANs > Edit(Security > Layer 2)ページ

 

ステップ 4 Layer 2 Security ドロップダウン ボックスから WPA+WPA2 を選択します。

ステップ 5 WPA+WPA2 Parameters で、WPA Policy チェックボックスをオンにして WPA1 を有効にするか、WPA2 Policy チェックボックスをオンにして WPA2 を有効にするか、または両方のチェックボックスをオンにして WPA1 と WPA2 を両方有効にします。


) WPA1 および WPA2 のデフォルト値は、両方とも無効になっています。WPA1 と WPA2 を両方とも無効のままにすると、アクセス ポイントは、ステップ 7 で選択した認証キー管理方式に対してのみ情報要素をビーコンおよびプローブ応答でアドバタイズします。


ステップ 6 WPA1、WPA2、またはその両方に対して、AES データ暗号化を有効ににする場合は AES チェックボックスをオンにし、TKIP データ暗号化を有効にする場合は TKIP チェックボックスをオンにします。WPA1 および WPA2 のデフォルト値は、それぞれ TKIP および AES です。

ステップ 7 Auth Key Mgmt ドロップダウン ボックスからキー管理方式を選択します。値は、次のとおりです。802.1X、CCKM、PSK、または 802.1X+CCKM

ステップ 8 ステップ 7PSK を選択した場合は、PSK Format ドロップダウン ボックスから ASCII または HEX を選択し、空のフィールドに事前共有キーを入力します。WPA の事前共有キーには、8 ~ 63 個の ASCII テキスト文字、または 64 桁の 16 進数文字が含まれている必要があります。

ステップ 9 Apply をクリックして、変更を適用します。

ステップ 10 Save Configuration をクリックして、変更を保存します。


 

CLI を使用した WPA1 と WPA2 の設定

コントローラ CLI を使用して WLAN の WPA1 と WPA2 を設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して WLAN を無効にします。

config wlan disable <WLAN ID>

ステップ 2 次のコマンドを入力して、WLAN に対して WPA を有効または無効にします。

config wlan security wpa {enable | disable} <WLAN ID>

ステップ 3 次のコマンドを入力して、WLAN に対して WPA1 を有効または無効にします。

config wlan security wpa wpa1 {enable | disable} <WLAN ID>

ステップ 4 次のコマンドを入力して、WLAN に対して WPA2 を有効または無効にします。

config wlan security wpa wpa2 {enable | disable} <WLAN ID>

ステップ 5 次のコマンドを入力して WPA1 または WPA2 に対して AES または TKIP データ暗号化を有効または無効にします。

config wlan security wpa wpa1 ciphers {aes | tkip} {enable | disable} <WLAN ID>

config wlan security wpa wpa2 ciphers {aes | tkip} {enable | disable} <WLAN ID>

WPA1 および WPA2 のデフォルト値は、それぞれ TKIP および AES です。

ステップ 6 次のコマンドを入力して、802.1X、PSK、または CCKM の認証キー管理を有効または無効にします。

config wlan security wpa akm {802.1X | psk | cckm} {enable | disable} <WLAN ID>

デフォルト値は 802.1X です。

ステップ 7 ステップ 6 で PSK を有効にした場合は、次のコマンドを入力して事前共有キーを指定します。

config wlan security wpa akm psk set-key {ascii | hex} <PSK キー> <WLAN ID>

WPA の事前共有キーには、8 ~ 63 個の ASCII テキスト文字、または 64 桁の 16 進数文字が含まれている必要があります。

ステップ 8 次のコマンドを入力して WLAN を有効にします。

config wlan enable <WLAN ID>

ステップ 9 次のコマンドを入力して、設定を保存します。

save config


 

CKIP

Cisco Key Integrity Protocol(CKIP)は、IEEE 802.11 メディアを暗号化するためのシスコ独自のセキュリティ プロトコルです。CKIP では、インフラストラクチャ モードでの IEEE 802.11 セキュリティを強化するために、キーの置換、メッセージの整合性チェック(MIC)、およびメッセージ シーケンス番号が使用されています。ソフトウェア リリース 4.0 では、静的キーを使用した CKIP をサポートしています。この機能を正常に動作させるには、WLAN に対して Aironet 情報要素(IE)を有効にする必要があります。

Lightweight アクセス ポイントは、ビーコンおよびプローブ応答パケットに Aironet IE を追加し、CKIP ネゴシエーション ビット [キー置換およびマルチモジュラ ハッシュ メッセージ整合性チェック(MMH MIC)] の一方または両方を設定することにより、CKIP のサポートをアドバタイズします。キー置換は、基本の暗号キーおよび現在の初期ベクトル(IV)を使用して新しいキーを作成するデータ暗号化技術です。MMH MIC では、ハッシュ関数を使用してメッセージ整合性コードを計算することにより、暗号化されたパケットでのパケット改ざん攻撃を回避します。

WLAN で指定された CKIP の設定は、アソシエートを試みるすべてのクライアントに必須です。WLAN で CKIP のキー置換および MMH MIC の両方が設定されている場合、クライアントは両方をサポートする必要があります。WLAN でこれらの機能の一方のみが設定されている場合、クライアントはこの CKIP 機能のみをサポートするだけでかまいません。

CKIP では、5 バイトおよび 13 バイトの暗号キーは 16 バイトのキーに拡張される必要があります。キーを拡張するためのアルゴリズムは、アクセス ポイントで発生します。キーは、長さが 16 バイトに達するまで、そのキー自体に繰り返し追加されます。CKIP は、AP1000 以外のすべての Lightweight アクセス ポイントでサポートされます。

CKIP は、GUI または CLI のいずれかを使用して設定できます。

GUI を使用した CKIP の設定

コントローラ GUI を使用して WLAN の CKIP を設定する手順は、次のとおりです。


ステップ 1 WLANs をクリックして、WLANs ページにアクセスします。

ステップ 2 必要な WLAN のプロファイル名リンクをクリックして、WLANs > Edit ページにアクセスします。

ステップ 3 Advanced タブをクリックします。

ステップ 4 Aironet IE チェックボックスをオンにして、この WLAN に対する Aironet IE を有効にし、 Apply をクリックします。

ステップ 5 General タブをクリックします。

ステップ 6 WLAN Status チェックボックスがオンになっている場合は、これをオフにしてこの WLAN を無効にし、Apply をクリックします。

ステップ 7 Security タブおよび Layer 2 タブをクリックして、WLANs > Edit(Security > Layer 2)ページにアクセスします(図6-7 を参照)。

図6-7 WLANs > Edit(Security > Layer 2)ページ

 

ステップ 8 Layer 2 Security ドロップダウン ボックスから CKIP を選択します。

ステップ 9 CKIP Parameters で、Key Size ドロップダウン ボックスから CKIP 暗号キーの長さを選択します。

範囲: Not Set、40 bits、または 104 bits

デフォルト: Not Set

ステップ 10 Key Index ドロップダウン ボックスからこのキーに割り当てる番号を選択します。キーは、最高 4 つまで設定できます。

ステップ 11 Key Format ドロップダウン ボックスから ASCII または HEX を選択し、Encryption Key フィールドに暗号キーを入力します。40 ビットのキーには、5 個の ASCII テキスト文字または 10 桁の 16 進数文字が含まれている必要があります。104 ビットのキーには、13 個の ASCII テキスト文字または 26 桁の 16 進数文字が含まれている必要があります。

ステップ 12 この WLAN に対して MMH MIC データ保護を有効にする場合は、MMH Mode チェックボックスをオンにします。デフォルト値は、無効になっています(オフになっています)。

ステップ 13 この形式の CKIP データ保護を有効にする場合は、Key Permutation チェックボックスをオンにします。デフォルト値は、無効になっています(オフになっています)。

ステップ 14 Apply をクリックして、変更を適用します。

ステップ 15 General タブをクリックします。

ステップ 16 WLAN Status チェックボックスをオンにしてこの WLAN を有効にします。

ステップ 17 Apply をクリックして、変更を適用します。

ステップ 18 Save Configuration をクリックして、変更を保存します。


 

CLI を使用した CKIP の設定

コントローラ CLI を使用して WLAN の CKIP を設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して WLAN を無効にします。

config wlan disable <WLAN ID>

ステップ 2 次のコマンドを入力して、この WLAN に対して Aironet IE を有効にします。

config wlan ccx aironet-ie enable <WLAN ID>

ステップ 3 次のコマンドを入力して WLAN に対して CKIP を有効または無効にします。

config wlan security ckip {enable | disable} <WLAN ID>

ステップ 4 次のコマンドを入力して、WLAN に対して CKIP の暗号キーを指定します。

config wlan security ckip akm psk set-key <WLAN ID> {40 | 104} {hex | ascii} <キー> <キーのインデックス>

ステップ 5 次のコマンドを入力して WLAN に対して CKIP の MMH MIC を有効または無効にします。

config wlan security ckip mmh-mic {enable | disable} <WLAN ID>

ステップ 6 次のコマンドを入力して WLAN に対して CKIP のキー置換を有効または無効にします。

config wlan security ckip kp {enable | disable} <WLAN ID>

ステップ 7 次のコマンドを入力して WLAN を有効にします。

config wlan enable <WLAN ID>

ステップ 8 次のコマンドを入力して、設定を保存します。

save config


 

レイヤ 3 セキュリティの設定

この項では、コントローラ上の WLAN に対してレイヤ 3 セキュリティを設定する方法について説明します。


) Layer 2 Tunneling Protocol(L2TP;レイヤ 2 トンネリング プロトコル)と IPSec は、ソフトウェア リリース 4.0 以降を実行しているコントローラでサポートされていません。


VPN パススルー

GUI を使用した VPN パススルーの設定

コントローラ GUI を使用して WLAN の VPN パススルーを設定する手順は、次のとおりです。


ステップ 1 WLANs をクリックして、WLANs ページにアクセスします。

ステップ 2 VPN パススルーを設定する WLAN のプロファイル名をクリックします。WLANs > Edit ページが表示されます。

ステップ 3 Security タブおよび Layer 3 タブをクリックして、WLANs > Edit(Security > Layer 3)ページにアクセスします(図6-8 を参照)。

図6-8 WLANs > Edit(Security > Layer 3)ページ

 

ステップ 4 Layer 3 Security ドロップダウン ボックスから VPN Pass-Through を選択します。

ステップ 5 VPN Gateway Address フィールドに、クライアントにより開始され、コントローラを通過した VPN トンネルを終端しているゲートウェイ ルータの IP アドレスを入力します。

ステップ 6 Apply をクリックして、変更を適用します。

ステップ 7 Save Configuration をクリックして、設定内容を保存します。


 

CLI を使用した VPN パススルーの設定

コントローラ CLI を使用して WLAN の VPN パススルーを設定するには、次のコマンドを入力します。

config wlan security passthru {enable | disable} <WLAN ID> <ゲートウェイ>

<ゲートウェイ> には、VPN トンネルを終端している IP アドレスを入力します。

パススルーが有効になっていることを確認するには、show wlan コマンドを入力します。

Web 認証

コントローラで IPSec または VPM パススルーが有効になっていない場合、WLAN では Web 認証を使用できます。Web 認証は、セットアップも使用方法も簡単で、SSL とともに使用することで WLAN 全体のセキュリティを向上させることができます。


) Web 認証はレイヤ 2 セキュリティ ポリシー(オープン認証、オープン認証 + WEP、WPA-PSK)でのみサポートされています。802.1x での使用はサポートされていません。



) Web 認証は HTTP 経由のみがサポートされています。HTTPS はサポートされていません。Web 認証はコントローラの管理ログインに関連付けられているため、管理用 HTTPS ログインを無効にして、管理用 HTTP のみを有効にする必要があります。



) WLAN の Web 認証を有効にする場合、コントローラが無線クライアントで送受信されるトラフィックを転送することを示すメッセージが認証前に表示されます。シスコでは、DNS トラフィックを規制し、DNS トンネリング攻撃を検出および予防するために、ゲスト VLAN の背後にファイアウォールまたは Intrusion Detection System(IDS; 侵入検知システム)を設置することをお勧めします。


GUI を使用した Web 認証の設定

コントローラ GUI を使用して WLAN の Web 認証を設定する手順は、次のとおりです。


ステップ 1 WLANs をクリックして、WLANs ページにアクセスします。

ステップ 2 Web 認証を設定する WLAN のプロファイル名をクリックします。WLANs > Edit ページが表示されます。

ステップ 3 Security タブおよび Layer 3 タブをクリックして、WLANs > Edit(Security > Layer 3)ページにアクセスします。

ステップ 4 Web Policy チェックボックスをオンにします。

ステップ 5 Authentication オプションが選択されていることを確認します。

ステップ 6 Apply をクリックして、変更を適用します。

ステップ 7 Save Configuration をクリックして、設定内容を保存します。


 

CLI を使用した Web 認証の設定

コントローラ CLI を使用して WLAN の Web 認証を設定するには、次のコマンドを入力します。

config wlan security web {enable | disable} <WLAN ID>

Web 認証が有効になっていることを確認するには、show wlan コマンドを入力します。

Quality of Service の設定

Cisco UWN Solution の WLAN は、4 レベルの QoS をサポートしています。Platinum(音声)、Gold(ビデオ)、Silver(ベスト エフォート)、Bronze(バックグラウンド)です。デフォルトは Silver です。音声転送 WLAN で Platinum QoS を使用するよう設定したり、低帯域幅 WLAN で Bronze QoS を使用するよう割り当てたり、その他すべてのトラフィックに残りの QoS レベルを割り当てたりすることができます。QoS レベルを WLAN に割り当てるには、次のコマンドを入力します。

config wlan qos <WLAN ID> {bronze | silver | gold | platinum}

QoS が各 WLAN に適切に設定されていることを確認するには、show wlan コマンドを入力します。

WLAN QoS レベル(Platinum、Gold、Silver、Bronze)は、無線トラフィックの特定の 802.11e User Priority(UP)を定義します。この UP は、WMM 以外の有線トラフィックの優先順位を導出すると同時に、さまざまな優先レベルの WMM トラフィックを管理する際の上限値としても機能します。アクセス ポイントは、 表6-1 の値に従ってこの QoS プロファイル固有の UP を使用することで、無線 LAN 上で確認可能な IP DSCP 値を導出します。

 

表6-1 アクセス ポイントの QoS 変換値

AVVID 802.1p UP ベースの
トラフィック タイプ
AVVID IP DSCP
AVVID 802.1p UP
IEEE 802.11e UP

ネットワーク制御

7

ネットワーク間制御(LWAPP 制御、802.11 管理)

48

6

7

音声

46(EF)

5

6

ビデオ

34(AF41)

4

5

音声制御

26(AF31)

3

4

バックグラウンド(Gold)

18(AF21)

2

2

バックグラウンド(Gold)

20(AF22)

2

2

バックグラウンド(Gold)

22(AF23)

2

2

バックグラウンド(Silver)

10(AF11)

1

1

バックグラウンド(Silver)

12(AF12)

1

1

バックグラウンド(Silver)

14(AF13)

1

1

ベスト エフォート

0(BE)

0

0, 3

バックグラウンド

2

0

1

バックグラウンド

4

0

1

バックグラウンド

6

0

1

QoS Enhanced BSS(QBSS)の設定

次の 2 つのモードで QBSS を有効にできます。

802.11E QBSS 規格を満たすデバイスをサポートしている、Wireless Multimedia(WMM)モード

802.11b/g ネットワーク上で Cisco 7920 IP 電話をサポートしている 7920 サポート モード

デフォルトで、QBSS は無効になっています。

WMM モードの有効化

WMM モードを有効にするには、次のコマンドを入力します。

config wlan wmm {disabled | allowed | required} <WLAN ID>

WLAN 上でクライアント デバイスに WMM の使用を許可するには、allowed オプションを使用します。

required オプションは、クライアント デバイスで WMM を使用するよう要求します。WMM をサポートしていないデバイスは WLAN に接続できません。


) ネットワークで Cisco 7920 電話を使用している場合は、WMM モードを有効にしないでください。



) コントローラがレイヤ 2 モードに設定されていて、かつ WMM が有効な場合は、コントローラに接続できるようにアクセス ポイントをトランク ポート上に設置する必要があります。


7920 サポート モードの有効化

7920 サポート モードには、次の 2 つのオプションが含まれています。

Call Admission Controll(CAC;コール アドミッション制御)がクライアント デバイス上で設定され、クライアント デバイスによってアドバタイズされている必要がある 7920 電話のサポート(通常、旧式の 7920 電話)

CAC がアクセス ポイント上で設定され、アクセス ポイントによってアドバタイズされている必要がある 7920 電話のサポート(通常、新式の 7920 電話)


) アクセス ポイントで制御される CAC が有効になっている場合、アクセス ポイントは、シスコが所有する CAC Information Element(IE;情報要素)を送信し、標準の QBSS IE を送信しません。


クライアントで制御される CAC を必要とする電話で 7920 サポート モードを有効にするには、次のコマンドを入力します。

config wlan 7920-support client-cac-limit {enabled | disabled} <WLAN ID>


) WLAN 上で、WMM モードおよびクライアントで制御される CAC モードの両方を有効にすることはできません。


アクセス ポイントで制御される CAC を必要とする電話で 7920 サポート モードを有効にするには、次のコマンドを入力します。

config wlan 7920-support ap-cac-limit {enabled | disabled} <WLAN ID>

7920 電話の性能を劣化させる可能性のある QBSS 情報要素(IE)

WLAN に 1000 シリーズ アクセス ポイントと Cisco 7920 無線電話の両方が存在する場合は、WMM または AP-CAC-LIMIT QBSS IE を有効にしないでください。次のどちらのコマンドも入力しないでください。

config wlan 7920-support ap-cac-limit enable <WLAN ID>

config wlan wmm [allow | require] <WLAN ID>

WMM および AP-CAC-LIMIT QBSS IE 内の 1000 シリーズ アクセス ポイントから送信される情報は正確でないため、7920 無線電話の音声品質が劣化する可能性があります。この問題は、次のコマンドで有効にする CLIENT-CAC-LIMIT QBSS IE には影響しません。

config wlan 7920-support client-cac-limit enable <WLAN ID>

CLIENT-CAC-LIMIT QBSS IE は、1000 シリーズ アクセス ポイントと 7920 無線電話の両方が存在するネットワークで使用すべき唯一の QBSS IE です。

Quality of Service プロファイルの設定

Platinum、Gold、Silver、および Bronze QoS プロファイルを有効にするには、コントローラ GUI または CLI を使用します。

GUI を使用した QoS プロファイルの設定

GUI を使用して Platinum、Gold、Silver、および Bronze QoS プロファイルを設定する手順は、次のとおりです。


ステップ 1 QoS プロファイルを設定できるように、802.11a および 802.11b/g ネットワークを無効にします。

無線ネットワークを無効にするには、 Wireless > 802.11a または 802.11b/g > Network をクリックし、802.11a (または 802.11b/g) Network Status チェックボックスをオフにして、Apply をクリックします。

ステップ 2 Controller > QoS > Profiles の順にクリックして、QoS Profiles ページにアクセスします。

ステップ 3 Edit QoS Profile ページにアクセスするために設定するプロファイルの名前をクリックします(図6-9 を参照)。

図6-9 Edit QoS Profile ページ

 

ステップ 4 プロファイルの説明を変更するには、Description フィールドの内容を変更します。

ステップ 5 ユーザごとの TCP トラフィックの平均データ レートを定義するには、Average Data Rate フィールドに Kbps の単位でレートを入力します。0 の値を入力すると、このオプションは無効になります。

ステップ 6 ユーザごとの TCP トラフィックのピーク データ レートを定義するには、Burst Data Rate フィールドに Kbps の単位でレートを入力します。0 の値を入力すると、このオプションは無効になります。


) Burst Data Rate は Average Data Rate 以上に設定する必要があります。そうしないと、QoS ポリシーによって無線クライアントとの間のトラフィックがブロックされることがあります。


ステップ 7 ユーザごとの UDP トラフィックの平均リアルタイム レートを定義するには、Average Real-Time Rate フィールドに Kbps の単位でレートを入力します。0 の値を入力すると、このオプションは無効になります。

ステップ 8 ユーザごとの UDP トラフィックのピーク リアルタイム レートを定義するには、Burst Real-Time Rate フィールドに Kbps の単位でレートを入力します。0 の値を入力すると、このオプションは無効になります。


) Burst Real-Time Rate は Burst Real-Time Rate 以上に設定する必要があります。そうしないと、QoS ポリシーによって無線クライアントとの間のトラフィックがブロックされることがあります。


ステップ 9 Maximum RF Usage Per AP フィールドに、ユーザ クラスに与えられている最大帯域幅の割合を入力します。

たとえば、Bronze QoS に 50% を設定する場合、すべての Bronze WLAN ユーザを合わせても、利用可能な RF 帯域幅の 50% 以上を取得できません。実際のスループットは、50% 未満の可能性がありますが、50% を超えることはありません。

ステップ 10 Queue Depth フィールドに、アクセス ポイントがキューに保持するパケットの最大数を入力します。余分なパケットはドロップされます。

ステップ 11 プロファイル内に当てはまるパケットにアソシエートされた優先タグの最大値(0 ~ 7)を定義するには、Protocol Type ドロップダウン ボックスから 802.1p を選択し、802.1p Tag フィールドに最大優先値を入力します。

タグ付きパケットには、LWAPP データ パケット(アクセス ポイントとコントローラ間)およびコア ネットワークに向けて送信されたパケットが含まれます。

ステップ 12 Apply をクリックして、変更を適用します。

ステップ 13 Save Configuration をクリックして、変更内容を保存します。

ステップ 14 802.11a および 802.11b/g ネットワークを再度有効にします。

無線ネットワークを有効にするには、 Wireless > 802.11a または 802.11b/g > Network をクリックし、802.11a (または 802.11b/g) Network Status チェックボックスをオンにして、Apply をクリックします。


 

CLI を使用した QoS プロファイルの設定

CLI を使用して Platinum、Gold、Silver、および Bronze QoS プロファイルを設定する手順は、次のとおりです。


ステップ 1 QoS プロファイルを設定できるように、802.11a および 802.11b/g ネットワークを無効にするには、次のコマンドを入力します。

config 802.11a disable network

config 802.11b disable network

ステップ 2 プロファイルの説明を変更するには、次のコマンドを入力します。

config qos description {bronze | silver | gold | platinum} <説明>

ステップ 3 ユーザごとに TCP トラフィックの平均データ レートを Kbps 単位で定義するには、次のコマンドを入力します。

config qos average-data-rate {bronze | silver | gold | platinum} <レート>

ステップ 4 ユーザごとに TCP トラフィックのピーク データ レートを Kbps 単位で定義するには、次のコマンドを入力します。

config qos burst-data-rate {bronze | silver | gold | platinum} <レート>

ステップ 5 ユーザごとに UDP トラフィックの平均リアルタイム レートを Kbps 単位で定義するには、次のコマンドを入力します。

config qos average-realtime-rate {bronze | silver | gold | platinum} <レート>

ステップ 6 ユーザごとに UDP トラフィックのピーク リアルタイム レートを Kbps 単位で定義するには、次のコマンドを入力します。

config qos burst-realtime-rate {bronze | silver | gold | platinum} <レート>

ステップ 7 アクセス ポイントあたりの最大 RF 使用量の割合を指定するには、次のコマンドを入力します。

config qos max-rf-usage {bronze | silver | gold | platinum} <使用割合>

ステップ 8 アクセス ポイントがキューに保持するパケットの最大数を指定するには、次のコマンドを入力します。

config qos queue_length {bronze | silver | gold | platinum} <キューの長さ>

ステップ 9 プロファイル内に当てはまるパケットにアソシエートされた優先タグの最大値(0 ~ 7)を定義するには、次のコマンドを入力します。

config qos protocol-type {bronze | silver | gold | platinum} dot1p

config qos dot1p-tag {bronze | silver | gold | platinum} <タグ>

ステップ 10 QoS プロファイルを設定できるように、802.11a および 802.11b/g ネットワークを再度有効にするには、次のコマンドを入力します。

config 802.11a enable network

config 802.11b enable network


 

Cisco Client Extensions の設定

Cisco Client Extensions(CCX)ソフトウェアは、サードパーティ製クライアント デバイスの製造業者およびベンダーに対してライセンスされます。これらのクライアント上の CCX コードにより、サードバーティ製クライアント デバイスは、シスコ製のアクセス ポイントと無線で通信できるようになり、セキュリティの強化、パフォーマンスの向上、迅速なローミング、優れた電源管理などの、他のクライアント デバイスがサポートしていないシスコの機能もサポートできるようになります。

コントローラ ソフトウェアの 4.0 リリースでは、CCX バージョン 1 ~ 4 をサポートしています。これにより、コントローラおよびそのアクセス ポイントは、CCX をサポートするサードパーティ製のクライアント デバイスと無線で通信できるようになります。CCX サポートは、コントローラ上の各 WLAN について自動的に有効となり、無効にできません。ただし、WLAN ごとに特定の CCX の機能を設定することができます。この機能は、Aironet 情報要素(IE)です。

Aironet IE のサポートが有効になっている場合、アクセス ポイントは、Aironet IE 0x85(アクセス ポイント名、ロード、アソシエートされたクライアントの番号などを含む)をこの WLAN のビーコンやプローブ応答に格納して送信します。また、アクセス ポイントが再アソシエーション要求内の Aironet IE 0x85 を受信する場合、コントローラは、Aironet IEs 0x85 および 0x95(コントローラの管理 IP アドレスおよびアクセス ポイントの IP アドレスを含む)を再アソシエーション要求に格納して送信します。

GUI または CLI のいずれかを使用して CCX Aironet IE 機能を使用するように WLAN を設定したり、特定のクライアント デバイスでサポートされる CCX のバージョンを確認するには、この項の手順に従ってください。


) CCX は、AP1030 ではサポートされません。


GUI を使用した CCX Aironet IE の設定

GUI を使用して WLAN の CCX Aironet IE を設定する手順は、次のとおりです。


ステップ 1 WLANs をクリックして、WLANs ページにアクセスします。

ステップ 2 必要な WLAN のプロファイル名リンクをクリックして、WLANs > Edit ページにアクセスします。

ステップ 3 Advanced タブをクリックして、WLANs > Edit(Advanced tab)ページにアクセスします(図6-10 を参照)。

図6-10 WLANs > Edit (Advanced) ページ

 

ステップ 4 この WLAN で Aironet IE のサポートを有効にする場合は、Aironet IE チェックボックスをオンにします。有効にしない場合には、このチェックボックスをオフにします。デフォルト値は、有効になっています(オンになっています)。

ステップ 5 Apply をクリックして、変更を適用します。

ステップ 6 Save Configuration をクリックして、変更を保存します。


 

GUI を使用したクライアントの CCX バージョンの表示

クライアント デバイスは、アソシエーション要求パケットに CCX バージョンを格納してアクセス ポイントに送信します。コントローラは、クライアントの CCX バージョンをデータベースに格納し、これを使用してこのクライアントの機能を制限します。たとえば、クライアントが CCX バージョン 2 をサポートしている場合、コントローラは、CCX バージョン 4 の機能を使用することをクライアントに許可しません。GUI を使用して特定のクライアント デバイスでサポートされている CCX バージョンを表示する手順は、次のとおりです。


ステップ 1 Wireless > Clients をクリックして、Clients ページにアクセスします。

ステップ 2 必要なクライアント デバイスの MAC アドレスをクリックして、Clients > Detail ページにアクセスします(図6-11 を参照)。

図6-11 Clients > Detail ページ

 

CCX Version に、このクライアント デバイスでサポートされる CCX バージョンが表示されます。クライアントで CCX がサポートされていない場合は、Not Supported が表示されます。

ステップ 3 前の画面に戻るには、Back をクリックします。

ステップ 4 他のクライアント デバイスでサポートされる CCX バージョンを表示するには、この手順を繰り返します。


 

CLI を使用した CCX Aironet IE の設定

特定の WLAN の Aironet IE のサポートを有効または無効にするには、次のコマンドを入力します。

config wlan ccx aironet-ie {enable | disable} <WLAN ID>

デフォルト値は有効(enable)です。

CLI を使用したクライアントの CCX バージョンの表示

特定のクライアント デバイスでサポートされる CCX バージョンを表示するには、次のコマンドを入力します。

show client detail <MAC アドレス>

WLAN オーバーライドの設定

デフォルトで、アクセス ポイントはコントローラ上のすべての定義済みの WLAN を送信します。ただし、WLAN オーバーライド オプションを使用して、送信される WLAN、およびアクセス ポイントごとに設定しない WLAN を選択できます。たとえば、WLAN オーバーライドを使用して、ゲスト WLAN がネットワークのどこで送信するかを制御できます。また、ネットワークの一定のエリアで特定の WLAN を無効にするためにも使用できます。

GUI を使用した WLAN オーバーライドの設定

特定のアクセス ポイントの WLAN オーバーライド オプションを設定する手順は、次のとおりです。


ステップ 1 Wireless > Access Points > Radios > 802.11a または 802.11b/g の順にクリックして、802.11a(または 802.11b/g)Radios ページにアクセスします。

ステップ 2 カーソルを目的のアクセス ポイントの青のドロップダウン矢印の上に置いて、 Configure を選択します。802.11a(または 802.11b/g)Cisco APs > Configure ページが表示されます(図6-12 を参照)。

図6-12 802.11a Cisco APs > Configure ページ

 

ステップ 3 WLAN オーバーライド ドロップダウン ボックスから Enable を選択して、このアクセス ポイントの WLAN オーバーライド機能を有効にするか、 Disable を選択してこの機能を無効にします。

ステップ 4 ステップ 3 で WLAN オーバーライド機能を有効にした場合、アクセス ポイントでブロードキャストする WLAN のチェックボックスをオンにします。

ステップ 5 Apply をクリックして、変更を適用します。

ステップ 6 Save Configuration をクリックして、変更を保存します。


 

CLI を使用した WLAN オーバーライドの設定

コントローラの CLI を使用して特定のアクセス ポイントのWLAN オーバーライド機能を設定するには、次のコマンドを使用します。

1. 特定のアクセス ポイントで WLAN オーバーライド機能を有効または無効にするには、次のコマンドを入力します。

config ap wlan { enable | disable } { 802.11a | 802.11b } <Cisco_AP>

2. 送信する WLAN を定義するには、次のコマンドを入力します。

config ap wlan add { 802.11a | 802.11b } <WLAN ID><Cisco_AP>

アクセス ポイント グループの設定

一般的な展開では、WLAN 上のすべてのユーザはコントローラ上の 1 つのインターフェイスにマップされます。したがって、その WLAN にアソシエートされたすべてのユーザは、同じサブネットまたは VLAN 上にあります。ただし、複数のインターフェイス間で負荷を分散するか、 アクセス ポイント グループ (以前は サイト特定の VLAN と呼ばれていました)を作成して、個々の部門(たとえばマーケティング部門)などの特定の条件に基づくグループ ユーザへと負荷を分配するために、このデフォルトの WLAN 設定を無効にできます。さらに、図6-13 の例で示すように、ネットワーク管理を簡素化するために、これらのアクセス ポイント グループを別個の VLAN で設定できます。


) VLAN またはサブネットにサービスを提供するルータ上で、必要なアクセス コントロール リスト(ACL)を定義する必要があります。



) アクセス ポイント グループ VLAN が設定されている場合、マルチキャスト トラフィックはサポートされません。


図6-13 アクセス ポイント グループ

 

図6-13 では、3 つの設定された動的インターフェイスが、3 つの異なる VLAN(VLAN 61、VLAN 62、および VLAN 63)にマップされています。3 つのアクセス ポイント グループが定義されており、各グループは異なる VLAN のメンバですが、すべてのグループが同じ SSID のメンバとなっています。無線 SSID 内のクライアントには、そのアクセス ポイントがメンバとなっている VLAN サブネットから IP アドレスが割り当てられています。たとえば、アクセス ポイント グループ VLAN 61 のメンバであるアクセス ポイントにアソシエートする任意のユーザには、そのサブネットから IP アドレスが割り当てられます。

図6-13 の例では、コントローラはアクセス ポイント間のローミングをレイヤ 3 ローミング イベントとして内部で処理します。こうすることで、WLAN クライアントは元の IP アドレスを保持します。

アクセス ポイント グループを設定するには、次のトップレベルの手順に従います。

1. 適切な動的インターフェイスを設定し、必要な VLAN にマップします。

たとえば、図6-13 でネットワークを実装するには、コントローラ上で VLAN 61、62、および 63 に対する動的インターフェイスを作成します。動的インターフェイスの構成方法の詳細は、「ポートとインターフェイスの設定」 を参照してください。

2. アクセス ポイント グループを作成します。「アクセス ポイント グループの作成」を参照してください。

3. 適切なアクセス ポイント グループにアクセス ポイントを割り当てます。 Refer to the 「アクセス ポイントのアクセス ポイント グループへの割り当て」

アクセス ポイント グループの作成

すべてのアクセス ポイントがコントローラに接続された後は、アクセス ポイント グループを作成して、各グループを 1 つまたは複数の WLAN に割り当てることができます。また、WLAN とインターフェイスのマッピングを定義する必要があります。

GUI を使用したアクセス ポイント グループの作成

コントローラ GUI を使用してアクセス ポイント グループを作成する手順は、次のとおりです。


ステップ 1 WLANs > AP Groups VLAN の順にクリックして、AP Groups VLAN ページ にアクセスします(図6-14 を参照)。

図6-14 AP Groups VLAN ページ

 

ステップ 2 AP Groups VLAN Feature Enable チェックボックス をオンにしてこの機能を有効にします。デフォルトではオフになっています。

ステップ 3 AP Group Name フィールドに、グループの名前を入力します。

ステップ 4 AP Group Description フィールドに、グループの説明を入力します。

ステップ 5 Create New AP-Group をクリックしてグループを作成します。新しく作成されたアクセス ポイント グループがページの中央に表示されます。


) このグループを削除するには、そのグループの青いドロップダウンの矢印の上にカーソルを置いて、Remove を選択します。


ステップ 6 この新しいグループを編集するには、グループの名前をクリックします。異なるフィールドを含む AP Groups VLAN ページが再度表示されます(図6-15 を参照)。

図6-15 AP Groups VLAN ページ

 

ステップ 7 アクセス ポイント グループを WLAN にマップするには、WLAN SSID ドロップダウン ボックスからその ID を選択します。

ステップ 8 アクセス ポイント グループをインターフェイスにマップするには、Interface Name ドロップダウン ボックスから必要なインターフェイスを選択します。

ステップ 9 Add Interface-Mapping をクリックして、WLAN とインターフェイスのマッピングをグループに追加します。 新しく作成されたインターフェイスのマッピングがページの中央に表示されます。


) このマッピングを削除するには、そのマッピングの青いドロップダウンの矢印の上にカーソルを置いて、Remove を選択します。


ステップ 10 さらにインターフェイス マッピングを追加するには、 ステップ 7 ステップ 9 を繰り返します。

ステップ 11 Apply をクリックして、変更を適用します。

ステップ 12 さらにアクセス ポイント グループを追加するには、 ステップ 3 ステップ 11 を繰り返します。

ステップ 13 Save Configuration をクリックして、変更を保存します。


 

CLI を使用したアクセス ポイント グループの作成

CLI を使用してアクセス ポイント グループを作成するには、次のコマンドを入力します。

config ap group-name <グループ名>

アクセス ポイントのアクセス ポイント グループへの割り当て

アクセス ポイント グループを作成した後、コントローラ GUI または CLI を使用して、アクセス ポイントをこれらのグループに割り当てます。

GUI を使用したアクセス ポイントのアクセス ポイント グループへの割り当て

GUI を使用してアクセス ポイントをアクセス ポイント グループに割り当てる手順は、次のとおりです。


ステップ 1 Wireless > Access Points > All APs の順にクリックして、All APs ページにアクセスします。

ステップ 2 グループを割り当てるアクセス ポイントの名前をクリックします。 The All APs > Details ページが表示されます(図6-16 を参照)。

図6-16 All APs > Details ページ

 

ステップ 3 AP Group Name ドロップダウン ボックスから必要なアクセス ポイント グループを選択します。

ステップ 4 Apply をクリックして、変更を適用します。

ステップ 5 Save Configuration をクリックして、変更内容を保存します。


 

CLI を使用したアクセス ポイントのアクセス ポイント グループへの割り当て

CLI を使用してアクセス ポイントをアクセス ポイント グループに割り当てるには、次のコマンドを入力します。

config ap group-name <グループ名><アクセス ポイント名>

802.1X 認証を使用した条件付き Web リダイレクトの設定

802.1X 認証が正常に完了した後に、ユーザを特定の Web ページに(一定の条件の下で)リダイレクトするように WLAN を設定できます。このような条件には、ユーザのパスワードの有効期限が近づいている場合、または使用を継続するためにユーザが料金を支払う必要がある場合などがあります。RADIUS サーバー上で、リダイレクト先のページとリダイレクトが発生する条件を指定できます。

RADIUS サーバが Cisco AV-pair "url-redirect," を返す場合、ユーザがブラウザを開くと指定された URL へリダイレクトされます。サーバが Cisco AV-pair "url-redirect-acl," も返す場合は、指定されたアクセス コントロール リスト(ACL)が、このクライアントの事前認証 ACL としてインストールされています。クライアントはこの時点で完全に認証されていないと見なされ、事前認証 ACL によって許可されるトラフィックのみを送信できます。

指定された URL (たとえば、パスワードの変更、請求書の支払い)でクライアントが特定の操作を完了すると、クライアントの再認証が必要になります。RADIUS サーバが "url-redirect" を返さない場合、クライアントは完全に認証されたと見なされ、トラフィックの送信が許可されます。


条件付き Web リダイレクト機能は、802.1X または WPA+WPA2 レイヤ 2 セキュリティに対して設定されている WLAN でのみ利用できます。


RADIUS サーバを設定した後は、コントローラ GUI または CLI のいずれかを使用して、コントローラ上で条件付き Web リダイレクトを設定できます。

RADIUS サーバの設定

RADIUS サーバを設定する手順は、次のとおりです。


) 次の手順は、CiscoSecure ACS 固有の手順ですが、その他の RADIUS サーバでも同様の手順を使用します。



ステップ 1 CiscoSecure ACS メイン メニューから、Group Setup をクリックします。

ステップ 2 Edit Settings をクリックします。

ステップ 3 Jump To ドロップダウン ボックスから RADIUS (Cisco IOS/PIX 6.0) を選択します。 図6-17 に示すウィンドウが表示されます。

図6-17 ACS サーバの設定

 

ステップ 4 [009\001] cisco-av-pair チェックボックスをオンにします。

ステップ 5 [009\001] cisco-av-pair 編集ボックスに次の Cisco AV ペアを入力して、ユーザをリダイレクトする URL およびリダイレクトが発生する条件をそれぞれ指定します。

url-redirect=http://url

url-redirect-acl=acl_name


 

GUI を使用した条件付き Web リダイレクトの設定

コントローラ GUI を使用して条件付き Web リダイレクトを設定する手順は、次のとおりです。


ステップ 1 WLANs をクリックして、WLANs ページにアクセスします。

ステップ 2 必要な WLAN のプロファイル名をクリックします。WLANs > Edit ページが表示されます。

ステップ 3 Security タブおよび Layer 2 タブをクリックして、WLANs > Edit(Security > Layer 2)ページにアクセスします。

ステップ 4 Layer 2 Security ドロップダウン ボックスから 802.1X または WPA+WPA2 を選択します。

ステップ 5 802.1X または WPA+WPA に対して任意の追加パラメータを設定します。

ステップ 6 Layer 3 タブをクリックして、WLANs > Edit(Security > Layer 3)ページにアクセスします(図6-18 を参照)。

図6-18 WLANs > Edit(Security > Layer 3)ページ

 

ステップ 7 Layer 3 Security ドロップダウン ボックスから None を選択します。

ステップ 8 Web Policy チェックボックスをオンにします。

ステップ 9 Conditional Web Redirect を選択してこの機能を有効にします。デフォルト値は無効(disable)です。

ステップ 10 ユーザをコントローラ外部のサイトにリダイレクトする場合、Preauthentication ACL ドロップダウン リストから RADIUS サーバ上で設定された ACL を選択します。

ステップ 11 Apply をクリックして、変更を適用します。

ステップ 12 Save Configuration をクリックして、変更内容を保存します。


 

CLI を使用した条件付き Web リダイレクトの設定

コントローラ CLI を使用して条件付き Web リダイレクトを設定する手順は、次のとおりです。


ステップ 1 条件付き Web リダイレクトを有効または無効にするには、次のコマンドを入力します。

config wlan security cond-web-redir {enable | disable} <WLAN ID>

ステップ 2 設定を保存するには、次のコマンドを入力します。

save config


 

WLAN ごとのアカウンティング サーバの無効化

この項では、WLAN 上のすべてのアカウンティング サーバを無効にする手順について説明します。アカウンティング サーバを無効にすると、すべてのアカウンティング動作が無効となり、コントローラが WLAN に対するデフォルトの RADIUS サーバにフォールバックしなくなります。

RADIUS 認証サーバのすべてのアカウンティング サーバを無効にする手順は、次のとおりです。


ステップ 1 WLANs をクリックして、WLANs ページにアクセスします。

ステップ 2 変更する WLAN のプロファイル名をクリックします。WLANs > Edit ページが表示されます。

ステップ 3 Security タブおよび AAA Servers タブをクリックして、WLANs > Edit(Security > AAA Servers)ページにアクセスします(図6-19 を参照)。

図6-19 WLANs > Edit(Security > AAA Servers)ページ

 

ステップ 4 アカウンティング サーバに対する Enabled チェックボックスをオフにします。

ステップ 5 Apply をクリックして、変更を適用します。

ステップ 6 Save Configuration をクリックして、変更内容を保存します。