Cisco Wireless LAN Controller コンフィギュレーション ガイド Release 4.2
モビリティ グループの設定
モビリティ グループの設定
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

モビリティ グループの設定

モビリティの概要

モビリティ グループの概要

モビリティ グループにコントローラを追加するタイミングの判断

NAT デバイスでのモビリティ グループの使用

モビリティ グループの設定

必須条件

モビリティ グループを設定するための GUI の使用

モビリティ グループを設定するための CLI の使用

モビリティ グループの統計の表示

GUI を使用したモビリティ グループの統計の表示

CLI を使用したモビリティ グループの統計の表示

自動アンカー モビリティの設定

自動アンカー モビリティを使用する際のガイドライン

GUI を使用した自動アンカー モビリティの設定

自動アンカー モビリティを設定するための CLI の使用

シンメトリック モビリティ トンネリングの設定

シンメトリック モビリティ トンネリングを設定するための GUI の使用

シンメトリック モビリティ トンネリングを設定するための CLI の使用

モビリティ ping テストの実行

モビリティ グループの設定

この章では、モビリティ グループについておよびモビリティ グループのコントローラ上での設定方法を説明します。この章の内容は、次のとおりです。

「モビリティの概要」

「モビリティ グループの概要」

「モビリティ グループの設定」

「モビリティ グループの統計の表示」

「自動アンカー モビリティの設定」

「シンメトリック モビリティ トンネリングの設定」

「モビリティ ping テストの実行」

モビリティの概要

モビリティ、すなわちローミングは、できるだけ遅れることなく、確実かつスムーズに、あるアクセス ポイントから別のアクセス ポイントへアソシエーションを維持する無線 LAN クライアントの機能です。この項では、コントローラが無線ネットワークに存在する場合にモビリティが動作する方法について説明します。

無線クライアントがアクセス ポイントへアソシエートして認証を行う際、アクセス ポイントのコントローラはクライアント データベース内にそのクライアント用のエントリを配置します。このエントリには、クライアントの MAC および IP アドレス、セキュリティ コンテキストおよびアソシエーション、QoS(Quality of Service)コンテキスト、WLAN およびアソシエートされたアクセス ポイントが含まれます。コントローラはこの情報を使用してフレームを転送し、無線クライアントで送受信されるトラフィックを管理します。図11-1 には、2 つのアクセス ポイントが同一のコントローラに接続されている場合の両アクセス ポイント間における無線クライアント ローミングの様子が示されています。

図11-1 コントローラ内ローミング

 

無線クライアントがそのアソシエーションをあるアクセス ポイントから別のアクセス ポイントへ移動する場合、コントローラはクライアントのデータベースを新たにアソシエートするアクセス ポイントでアップデートするだけです。必要に応じて、新たなセキュリティ コンテキストとアソシエーションも確立されます。

しかし、クライアントが 1 つのコントローラに接続されたアクセス ポイントから別のコントローラに接続されたアクセス ポイントにローミングする際には、プロセスはより複雑になります。コントローラが同じサブネット上で動作しているかどうかによっても変わります。図11-2 には、コントローラの無線 LAN インターフェイスが同じ IP サブネット上にあるとき発生するコントローラ間ローミングが示されています。

図11-2 コントローラ間ローミング

 

クライアントが新たなコントローラに接続されたアクセス ポイントへアソシエートする場合、新たなコントローラはモビリティ メッセージを元のコントローラと交換し、クライアントのデータベース エントリは新たなコントローラに移動されます。新たなセキュリティ コンテキストとアソシエーションが必要に応じて確立され、クライアントのデータベース エントリは新たなアクセス ポイントに対してアップデートされます。このプロセスは、ユーザには透過的に行われます。


) 802.1X/Wi-Fi Protected Access(WPA)セキュリティで設定したすべてのクライアントは、IEEE 標準に準拠するために完全に認証を完了します。


図11-3 には、コントローラの無線 LAN インターフェイスが異なる IP サブネット上に存在するときに発生するサブネット間ローミングが示されています。

図11-3 サブネット間ローミング

 

サブネット間ローミングは、コントローラがクライアントのローミングに関するモビリティ メッセージを交換する点でコントローラ間ローミングと似ています。ただし、クライアントのデータベース エントリを新しいコントローラに移動するのではなく、元のコントローラのクライアント データベース内で該当クライアントに「アンカー」エントリのマークが付けられます。このデータベース エントリが新しいコントローラ クライアント データベースにコピーされ、新しいコントローラ内に「外部」エントリのマークが付けられます。ローミングは無線クライアントには透過的なまま行われ、クライアントは元の IP アドレスを保持します。

サブネット間ローミングのあと、無線クライアントに出入りするデータは非対称トラフィック パスで転送されます。クライアントからネットワークへのトラフィックは、外部コントローラでネットワークへ直接転送されます。クライアントへのトラフィックはアンカー コントローラに達し、ここで EtherIP トンネルの外部コントローラへ転送されます。外部コントローラは、そのデータをクライアントへ転送します。無線クライアントが新たな外部コントローラへローミングする場合、クライアントのデータベース エントリは元の外部コントローラから新しい外部コントローラへ移動されますが、元のアンカー コントローラは常に保持されます。クライアントは元のコントローラに返されると、再びローカルになります。

サブネット間ローミングでは、アンカーと外部の両コントローラの WLAN に同一のネットワーク アクセス権限を設定し、ソースベースのルーティングやソースベースのファイアウォールを所定の位置に設定しないでおく必要があります。そのように設定してない場合、ハンドオフ後クライアントにネットワーク接続上の問題が発生することがあります。


) 現時点では、サブネット間ローミングの際にマルチキャスト トラフィックは通過できません。この点を考慮して、サブネット間ネットワークの設計には Push-to-Talk を使用する際にマルチキャスト トラフィックを送信する必要のある Spectralink の電話を組み込まないようにします。



) コントローラ間ローミングもサブネット間ローミングも、コントローラを同一のモビリティ グループ内に設置する必要があります。モビリティ グループの説明と設定の手順については、次の 2 項を参照してください。


モビリティ グループの概要

コントローラのセットをモビリティ グループとして設定することで、コントローラのグループ内でクライアントのローミングをスムーズに行うことができるようになります。モビリティ グループを作成すると、ネットワーク内で複数のコントローラを有効化して、コントローラ間またはサブネット間のローミングが発生した際に、動的に情報を共有してデータ トラフィックを転送できるようになります。コントローラは、クライアント デバイスのコンテキストと状態およびコントローラのロード情報を共有できます。この情報を使用して、ネットワークはコントローラ間無線 LAN ローミングとコントローラの冗長性をサポートできます。


) クライアントでは、モビリティ グループ間のローミングは行われません。


図11-4 には、モビリティ グループの例が示されています。

図11-4 シングル モビリティ グループ

 

図示したように、各コントローラはモビリティ グループの別メンバーのリストを使用して設定されています。新たなクライアントがコントローラに追加されると、コントローラはユニキャスト メッセージをそのモビリティ グループの全コントローラに送信します。クライアントが以前に接続されていたコントローラは、クライアントのステータスを送信します。コントローラ間のすべてのモビリティ メッセージ交換が 16666 ポートの UDP パケットで実行されます。IPSec 暗号化もコントローラ間モビリティ メッセージに対して設定されます。この場合は、16667 ポートが使用されます。

1 つのモビリティ グループには、任意のタイプのコントローラを最大 24 まで追加できます。モビリティ グループでサポートされたアクセス ポイントの数は、そのグループのコントローラの数とタイプでバインドされます。

例:

1. 4404-100 コントローラは、最大 100 個のアクセス ポイントをサポートします。したがって、24 個の 4404-100 コントローラで構成されているモビリティ グループは、最大 2400 個のアクセス ポイント(24 * 100 = 2400 アクセス ポイント)をサポートします。

2. 4402-25 コントローラは最大 25 個のアクセス ポイントをサポートし、4402-50 コントローラは最大 50 個のアクセス ポイントをサポートします。したがって、12 個の 4402-25 コントローラと 12 個の 4402-50 コントローラで構成されたモビリティ グループは最大 900 個のアクセス ポイント(12 * 25 + 12 * 50 = 300 + 600 = 900 アクセス ポイント)をサポートします。

モビリティ グループによって、同じ無線ネットワーク内で異なるモビリティ グループ名を異なるコントローラに割り当て、1 つの企業内の異なるフロア、ビルディング、キャンパス間でのローミングを制限できます。図11-5 には、2 つのコントローラのグループに異なるモビリティ グループ名を作成した結果が示されています。

図11-5 2 つのモビリティ グループ

 

ABC モビリティ グループのコントローラは、そのアクセス ポイントと共有サブネットを使用して相互に認識しあい、通信します。ABC モビリティ グループのコントローラは、異なるモビリティ グループの XYZ コントローラを認識せず、通信を行いません。同様に、XYZ モビリティ グループのコントローラは、ABC モビリティ グループのコントローラを認識せず、通信を行いません。この機能により、ネットワークでのモビリティ グループの切り離しが確実に行われます。


) クライアントは、異なるモビリティ グループのアクセス ポイントを認識できれば、そのアクセス ポイント間のローミングを行うことがあります。しかし、そのセッションの情報は異なるモビリティ グループのコントローラ間では実行されません。


モビリティ グループにコントローラを追加するタイミングの判断

ネットワーク内の無線クライアントが 1 つのコントローラに接続したアクセス ポイントから、別のコントローラに接続したアクセス ポイントへローミングできるとしたら、両方のコントローラは同一のモビリティ グループに存在するはずです。

NAT デバイスでのモビリティ グループの使用

コントローラ ソフトウェア リリース 4.2 以前では、同じモビリティ グループ内の コントローラ間のモビリティは、コントローラのいずれかが Network Address Translation(NAT; ネットワーク アドレス変換)デバイスの背後にある場合には機能しません。この動作により、1 台のコントローラがファイアウォールの外側にあると考えられるゲストのアンカー機能では、問題が発生します。

モビリティ メッセージのペイロードは、ソース コントローラに関する IP アドレス情報を伝達します。この IP アドレスは、IP ヘッダのソース IP アドレスで検証されます。この動作により、NAT デバイスがネットワークに導入されるときに問題が発生します。これは、IP ヘッダ内でソース IP アドレスが変更されるためです。したがって、ゲスト WLAN 機能では、NAT デバイス経由でルーティングされているモビリティ パケットはすべて、IP アドレスの不一致のためにドロップされます。

コントローラ ソフトウェア リリース 4.2 では、ソース コントローラの MAC アドレスを使用するようにモビリティ グループの検索が変更されています。NAT デバイスのマッピングに従ってソース IP アドレスが変更されるため、要求元のコントローラの IP アドレスを取得するために応答が送信される前に、モビリティ グループのデータベースが検索されます。これは、要求元のコントローラの MAC アドレスを使用して実行されます。

NAT が有効になっているネットワークのモビリティ グループを設定する際に、コントローラの管理インターフェイス IP アドレスではなく、NAT デバイスからからコントローラに送信される IP アドレスを入力します。さらに、PIX などのファイアウォールを使用している場合には、ファイアウォールで次のポートが開いていることを確認します。

UDP 16666:トンネル コントロール トラフィック用

UDP 16667:暗号化トラフィック用

IP Protocol 97:ユーザのデータ トラフィック用

UDP 161 および 162:SNMP


) コントローラ間のクライアント モビリティは、自動アンカー モビリティ(ゲスト トンネリングとも呼ばれる)またはシンメトリック モビリティ トンネリングが有効になっている場合にのみ機能します。アシンメトリック トンネリングは、モビリティ コントローラが NAT デバイスの背後にある場合にはサポートされません。これらのモビリティ オプションの詳細は、「自動アンカー モビリティの設定」および「シンメトリック モビリティ トンネリングの設定」の項を参照してください。


図11-6 は、NAT デバイスを使用したモビリティ グループの設定の例を示しています。この例では、すべてのパケットが NAT デバイスを通過します(つまり、送信元から宛先、およびその逆方向に送信されるパケット)。図11-7 は、2 台の NAT デバイスを使用したモビリティ グループの設定の例を示しています。この例では、送信元とゲートウェイとの間に 1 台の NAT デバイスを使用し、宛先とゲートウェイとの間にもう 1 台の NAT デバイスを使用しています。

図11-6 1 台の NAT デバイスを使用したモビリティ グループの設定

 

図11-7 2 台の NAT デバイスを使用したモビリティ グループの設定

 

モビリティ グループの設定

この項では、GUI または CLI を使用してコントローラのモビリティ グループを設定する手順について説明します。


) Cisco Wireless Control System(WCS)を使用してモビリティ グループを設定することもできます。手順については、『Cisco Wireless Control System Configuration Guide』を参照してください。


必須条件

コントローラをモビリティ グループに追加する前に、グループに追加するコントローラすべてについて、次の要件が満たされていることを確認する必要があります。

すべてのコントローラは、同じ LWAPP 転送モード(レイヤ 2 またはレイヤ 3)で設定されている必要があります。


) Controller > General ページで LWAPP 転送モードを確認し、必要に応じて LWAPP 転送モードに変更できます。


すべてのコントローラの管理インターフェイス間に IP 接続が存在する必要があります。


) コントローラを ping すると、IP 接続を確認できます。


すべてのコントローラは、同じモビリティ グループ名で設定する必要があります。


) 通常、モビリティ グループ名は展開時にスタートアップ ウィザードを使用して設定されます。ただし、必要に応じて、Controller > General ページの Default Mobility Domain Name フィールドで変更できます。モビリティ グループ名では、大文字と小文字が区別されます。



) Cisco WiSM の場合、300 のアクセス ポイント間のルーティングをスムーズにするために両方のコントローラを同じモビリティ グループ名で設定してください。


すべてのコントローラは、同じバージョンのコントローラ ソフトウェアが動作している必要があります。

すべてのコントローラは、同じ仮想インターフェイス IP アドレスで設定する必要があります。


) 必要に応じて、仮想インターフェイス IP アドレスを変更するには、Controller > Interfaces ページで仮想インターフェイス名を編集します。コントローラの仮想インターフェイスの詳細は、 を参照してください。



) モビリティ グループ内のすべてのコントローラが同じ仮想インターフェイスを使用していない場合、コントローラ間ローミングが動作しているように見えても、ハンドオフが完了せず、クライアントの接続はしばらくの間切断されます。


モビリティ グループに追加するコントローラごとに、MAC アドレスと IP アドレスを収集しておく必要があります。この情報が必要となるのは、他の全モビリティ グループ メンバの MAC アドレスと IP アドレスを使用してすべてのコントローラを設定するからです。


) モビリティ グループに追加する他のコントローラの MAC アドレスと IP アドレスは、各コントローラの GUI の Controller > Mobility Groups ページにあります。


モビリティ グループを設定するための GUI の使用

GUI を使用してモビリティ グループを設定する手順は、次のとおりです。


) CLI を使用してモビリティ グループを設定する場合は、「モビリティ グループを設定するための CLI の使用」を参照してください。



ステップ 1 Controller > Mobility Management > Mobility Groups の順にクリックして、Static Mobility Group Members ページを開きます(図11-8 を参照)。

図11-8 Static Mobility Group Members ページ

 

このページでは、Default Mobility Group フィールドにモビリティ グループ名が表示され、現在モビリティ グループのメンバである各コントローラの MAC アドレスと IP アドレスが示されます。最初のエントリはローカル コントローラで、これを削除することはできません。


Monitor をクリックして、Controller Summary の下にある最後のフィールドで、デフォルトのモビリティ グループを表示することもできます。



) モビリティ グループからいずれかのリモート コントローラを削除するには、そのコントローラの青いドロップダウンの矢印の上にカーソルを置いて、Remove を選択します。


ステップ 2 次のいずれかを実行して、コントローラをモビリティ グループに追加します。

コントローラを 1 つだけ追加する場合、または別々に複数のコントローラを追加する場合、New をクリックしてステップ 3 に進みます。

複数のコントローラを追加する場合、それらを一括で追加するには、EditAll をクリックしてステップ 4 へ進みます。


) EditAll オプションを使用すると、現在のモビリティ グループ メンバのすべての MAC アドレスと IP アドレスを入力した後で、すべてのエントリをモビリティ グループの 1 つのコントローラから別のコントローラにコピーして貼り付けることができます。


ステップ 3 Mobility Group Member > New ページが表示されます(図11-9 を参照)。

図11-9 Mobility Group Member > New ページ

 

次の手順に従って、コントローラをモビリティ グループに追加します。

a. Member IP Address フィールドに、追加するコントローラの管理インターフェイスの IP アドレスを入力します。


) Network Address Translation(NAT)が有効になっているネットワークのモビリティ グループを設定する際に、コントローラの管理インターフェイス IP アドレスではなく、NAT デバイスからからコントローラに送信される IP アドレスを入力します。そうしないと、モビリティ グループ内のコントローラ間でモビリティが失敗します。


b. Member MAC Address フィールドに、追加するコントローラの MAC アドレスを入力します。

c. Group Name フィールドに、モビリティ グループ名を入力します。


) モビリティ グループ名では、大文字と小文字が区別されます。


d. Apply をクリックして、変更を適用します。新しいコントローラが、Static Mobility Group Members ページのモビリティ グループ メンバのリストに追加されます。

e. Save Configuration をクリックして、変更内容を保存します。

f. 手順a. ~ 手順e. を繰り返して、すべてのコントローラをモビリティ グループに追加します。

g. モビリティ グループに追加するすべてのコントローラごとに、この手順を繰り返します。モビリティ グループ内のすべてのコントローラでは、他のすべてのモビリティ グループ メンバの MAC アドレスと IP アドレスについて設定する必要があります。

ステップ 4 The Mobility Group Members > Edit All ページ(図11-10 を参照)に現在モビリティ グループにあるすべてのコントローラの MAC アドレス、IP アドレス、およびモビリティ グループ名(オプション)が表示されます。コントローラのリストは、先頭にローカルのコントローラが表示され、1 行に 1 つずつ表示されます。


) 必要に応じて、リストのコントローラを編集または削除できます。


図11-10 Mobility Group Member > Edit All ページ

 

次の手順に従って、さらにコントローラをモビリティ グループに追加します。

a. 編集ボックス内をクリックして、新たな行を開始します。

b. MAC アドレス、管理インターフェイスの IP アドレス、および追加するコントローラのモビリティ グループ名を入力します。


) これらの値は 1 行に入力し、1 つまたは 2 つのスペースで区切ってください。



) モビリティ グループ名では、大文字と小文字が区別されます。


c. モビリティ グループに追加するコントローラごとに、手順a. および手順b. を繰り返します。

d. 編集ボックス内のエントリ全体を強調表示して、コピーします。

e. Apply をクリックして、変更を適用します。新しいコントローラが、Static Mobility Group Members ページのモビリティ グループ メンバのリストに追加されます。

f. Save Configuration をクリックして、変更内容を保存します。

g. リストをモビリティ グループ内の他のすべてのコントローラの Mobility Group Members > Edit All ページにある編集ボックスに貼り付けて、Apply と Save Configuration をクリックします。


 

モビリティ グループを設定するための CLI の使用

CLI を使用してモビリティ グループを設定する手順は、次のとおりです。


ステップ 1 show mobility summary コマンドを使用して、現在のモビリティ設定を確認します。

ステップ 2 config mobility group domain domain_name と入力して、モビリティ グループを作成します。


) グループ名には、最大 31 文字の ASCII 文字列を使用できます。大文字と小文字が区別されます。モビリティ グループ名には、スペースは使用できません。


ステップ 3 グループ メンバを追加するには、config mobility group member add mac_address ip_address と入力します。


) Network Address Translation(NAT)が有効になっているネットワークのモビリティ グループを設定する際に、コントローラの管理インターフェイス IP アドレスではなく、NAT デバイスからからコントローラに送信される IP アドレスを入力します。そうしないと、モビリティ グループ内のコントローラ間でモビリティが失敗します。



) グループ メンバを削除するには、config mobility group member delete mac_address と入力します。


ステップ 4 show mobility summary コマンドを使用して、現在のモビリティ設定を確認します。

ステップ 5 save config と入力して、設定を保存します。

ステップ 6 モビリティ グループに追加するすべてのコントローラごとに、この手順を繰り返します。モビリティ グループ内のすべてのコントローラでは、他のすべてのモビリティ グループ メンバの MAC アドレスと IP アドレスについて設定する必要があります。


 

モビリティ グループの統計の表示

コントローラの GUI から次の 3 種類のモビリティ グループの統計を表示できます。

Global Mobility Statistics:すべてのモビリティ トランザクションに影響します。

Mobility Initiator Statistics:モビリティ イベントを開始するコントローラによって生成されます。

Mobility Responder Statistics:モビリティ イベントに応答するコントローラによって生成されます。

コントローラの GUI または CLI を使用して、モビリティ グループの統計を表示できます。

GUI を使用したモビリティ グループの統計の表示

コントローラの GUI を使用して、モビリティ グループの統計を表示する手順は、次のとおりです。


ステップ 1 Monitor > Statistics > Mobility Statistics の順にクリックして、Mobility Statistics ページを開きます(図11-11 を参照)。

図11-11 Mobility Statistics ページ

 

ステップ 2 各統計の説明については、 表11-1 を参照してください。

 

表11-1 モビリティの統計

パラメータ
説明

Global Mobirity Statistics

Rx Errors

短すぎるパケットや不正な形式などの、一般的なプロトコル パケット受信エラー。

Tx Errors

パケット転送失敗など、一般的なプロトコル パケット転送エラー。

Responses Retransmitted

モビリティ プロトコルで UDP が使用されているときに応答が受信されない場合には、複数回にわたって要求が再送信されます。ネットワークの遅延または処理の遅延のため、応答側が最初に要求に応答した後に、1 回以上の再試行要求を受信する場合があります。このフィールドには、応答が再送信された回数が表示されます。

Handoff Requests Received

ハンドオフ要求が受信、無視または応答された合計回数。

Handoff End Requests Received

ハンドオフ終了要求が受信された合計回数。これらの要求は、クライアント セッションの終了について通知するために、アンカー コントローラまたは外部コントローラによって送信されます。

State Transitions Disallowed

Policy Enforcement Module(PEM;ポリシー施行モジュール)がクライアントの状態の遷移を拒否しました。通常、その結果としてハンドオフが中断されます。

Resource Unavailable

バッファなどの必要なリソースが使用できませんでした。その結果としてハンドオフが中断されます。

Mobility Initiator Statistics

Handoff Requests Sent

コントローラにアソシエートされ、モビリティ グループに通知されているクライアントの数。

Handoff Replies Received

送信された要求に応答して受信されている、ハンドオフ応答の数。

Handoff as Local Received

クライアント セッション全体が転送されているハンドオフの数。

Handoff as Foreign Received

クライアント セッションが別の場所でアンカーされたハンドオフの数。

Handoff Denys Received

拒否されたハンドオフの数。

Anchor Request Sent

スリーパーティ(外部から外部)ハンドオフ用に送信されたアンカー要求の数。ハンドオフが別の外部コントローラから受信され、新しいコントローラがクライアントを移動させるためのアンカーを要求しています。

Anchor Deny Received

現在のアンカーによって拒否されたアンカー要求の数。

Anchor Grant Received

現在のアンカーによって許可されたアンカー要求の数。

Anchor Transfer Received

現在のアンカー上でセッションを閉じ、要求元にアンカーを送り返したアンカー要求の数。

Mobility Responder Statistics

Handoff Requests Ignored

コントローラにそのクライアントが認識されていなかったために無視された、ハンドオフ要求またはクライアント通知の数。

Ping Pong Handoff Requests Dropped

ハンドオフ期間が短すぎた(3秒)ために拒否されたハンドオフ要求の数。

Handoff Requests Dropped

クライアントについての認識が不完全であるか、パケットの問題が原因でドロップされたハンドオフ要求の数。

Handoff Requests Denied

拒否されたハンドオフ要求の数。

Client Handoff as Local

クライアントがローカル ロールにある間に送信されたハンドオフ応答の数。

Client Handoff as Foreign

クライアントが外部ロールにある間に送信されたハンドオフ応答の数。

Anchor Requests Received

受信したアンカー要求の数。

Anchor Requests Denied

拒否されたアンカー要求の数。

Anchor Requests Granted

許可されたアンカー要求の数。

Anchor Transferred

クライアントが外部コントローラから現在のアンカーとして同じサブネット上のコントローラに移動したために、転送されたアンカーの数。

ステップ 3 現在のモビリティ統計をクリアする場合は、 Clear Stats をクリックします。


 

CLI を使用したモビリティ グループの統計の表示

コントローラの CLI を使用して、モビリティ グループの統計を表示する手順は、次のとおりです。


ステップ 1 モビリティ グループの統計を表示するには、次のコマンドを入力します。

show mobility statistics

ステップ 2 各統計の説明については、 表11-1 を参照してください。

ステップ 3 現在のモビリティ統計をクリアする場合は、次のコマンドを入力します。

clear stats mobility


 

自動アンカー モビリティの設定

無線 LAN 上でローミング クライアントの負荷分散とセキュリティを向上させるために、自動アンカー モビリティ( ゲスト トンネリング とも呼ばれる)を使用できます。通常のローミング状態では、クライアント デバイスは無線 LAN に接続され、最初に接触するコントローラにアンカーされます。クライアントが異なるサブネットにローミングする場合、クライアントのローミング先のコントローラは、アンカー コントローラを備えたクライアントの外部セッションを設定します。ただし、自動アンカー モビリティ機能を使用して、無線 LAN 上のクライアントのアンカー ポイントとしてコントローラまたはコントローラのセットを指定できます。

自動アンカー モビリティ モードでは、モビリティ グループのサブセットは WLAN のアンカー コントローラとして指定されます。クライアントのネットワークへのエントリ ポイントに関係なく、この機能を使用して WLAN を単一のサブネットに制限できます。それにより、クライアントは企業全体にわたりゲスト WLAN にアクセスできますが、引き続き特定のサブネットに制限されます。WLAN は建物の特定のセクション(ロビー、レストランなど)を表すことができるため、自動アンカー モビリティで地理的負荷分散も提供でき、WLAN のホーム コントローラのセットを効果的に作成できます。モバイル クライアントがたまたま最初に接触するコントローラにアンカーされるのではなく、特定の圏内にあるアクセス ポイントを制御するコントローラにモバイル クライアントをアンカーできます。

クライアントが WLAN のモビリティ アンカーとして事前設定されているモビリティ グループのコントローラに最初にアソシエートすると、クライアントはローカルでそのコントローラにアソシエートし、クライアントのローカル セッションが作成されます。クライアントは、WLAN の事前設定されたアンカー コントローラにのみアンカーできます。指定された WLAN の場合、モビリティ グループのすべてのコントローラ上で同じセットのアンカー コントローラを設定する必要があります。

クライアントが WLAN のモビリティ アンカーとして設定されていないモビリティ グループのコントローラに最初にアソシエートすると、クライアントはローカルでそのコントローラにアソシエートし、クライアントのローカル セッションが作成され、コントローラが同じモビリティ グループの別のコントローラに通知されます。その通知に対する回答がない場合、コントローラは WLAN に設定されたいずれかのアンカー コントローラに接触して、ローカルスイッチ上のクライアントに対する外部セッションを作成します。クライアントからのパケットは EtherIP を使用してモビリティ トンネルを介してカプセル化され、アンカー コントローラに送信されます。ここでカプセルを解除されて有線ネットワークへ配信されます。クライアントへのパケットは、アンカー コントローラに受信され、EtherIP を使用してモビリティ トンネルを介して外部コントローラへ転送されます。外部コントローラはパケットのカプセルを解除し、クライアントへ転送します。

4.1 以前のコントローラのソフトウェア リリースでは、モビリティ グループ内に到着不能になったコントローラがあるかどうか自動で判断する方法はありませんでした。そのため、到着不能なアンカー コントローラに外部コントローラが新たなクライアント要求を送信し続け、セッションがタイムアウトするまでクライアントがこの到着不能なコントローラに接続し続けることがありました。このコントローラのソフトウェア リリース 4.1 以降では、モビリティ グループのメンバ同士が ping 要求をお互いに送信し合い、データを確認してそのデータのパスを管理することで、到着不能なメンバがいないかを調べてクライアントを再ルーティングできます。それぞれのアンカー コントローラに送信する ping 要求の数と間隔は、設定可能です。この機能には、ゲスト トンネリングのほか、通常のモビリティでモビリティをフェールオーバーできるよう、ゲスト N+1 冗長性が備わっています。

ゲスト N+1 冗長性を利用すると、到着不能なアンカーを検出できます。到着不能なアンカー コントローラが検出されると、このコントローラに接続していたすべてのクライアントが認証解除され、すぐに別のコントローラに接続できるようになります。この機能は、モビリティ フェールオーバーによって通常のモビリティ クライアントにも使用されます。この機能によって、モビリティ グループのメンバは到着不能なメンバを検出してクライアントを再ルーティングできます。


) 2000 または 2100 シリーズ コントローラは、WLAN のアンカーとして指定できません。ただし、2000 または 2100 シリーズ コントローラ上に作成された WLAN に 4400 シリーズ コントローラをアンカーとして指定できます。



) IPSec および L2TP レイヤ 3 セキュリティ ポリシーは、モビリティ アンカーで設定された WLAN には使用できません。


自動アンカー モビリティを使用する際のガイドライン

自動アンカー モビリティを設定するためのガイドラインは、次のとおりです。

コントローラを WLAN のモビリティ アンカーとして指定するには、そのコントローラをモビリティ グループ メンバ リストに追加する必要があります。

WLAN のモビリティ アンカーとして、複数のコントローラを設定できます。

WLAN のモビリティ アンカーを設定する前に、WLAN を無効にする必要があります。

自動アンカー モビリティは、Web 認可をサポートしていますが、その他のレイヤ 3 セキュリティ タイプをサポートしていません。

外部コントローラ上の WLAN とアンカー コントローラ上の WLAN は、両方ともモビリティ アンカーを使用して設定する必要があります。アンカー コントローラ上で、アンカー コントローラ自体をモビリティ アンカーとして設定します。外部コントローラ上で、アンカーをモビリティ アンカーとして設定します。

自動アンカー モビリティは、DHCP オプション 82 と共には使用できません。

ゲスト N+1 冗長性とモビリティ フェールオーバー機能にファイアウォールを組み合わせて使用する場合は、以下のポートに空きがあることを確認してください。

UDP 16666:トンネル コントロール トラフィック用

UDP 16667:暗号化トラフィック用

IP Protocol 97:ユーザのデータ トラフィック用

UDP 161 および 162:SNMP

GUI を使用した自動アンカー モビリティの設定

GUI を使用して WLAN の新たなモビリティ アンカーを作成するには、次の手順に従って操作します。


) CLI を使用して自動アンカー モビリティを設定する場合は、「自動アンカー モビリティを設定するための CLI の使用」を参照してください。



ステップ 1 モビリティ グループ内に到着不能なアンカー コントローラがないかを検出するには、次の手順でコントローラを設定してください。

a. Controller > Mobility Management > Mobility Anchor Config の順にクリックして、Mobility Anchor Config ページを開きます(図11-12 を参照)。

図11-12 Mobility Anchor Config ページ

 

b. Keep Alive Count フィールドに、そのアンカーが到着不能と判断するまでにアンカー コントローラに ping 要求を送信する回数を入力します。有効な範囲は 3 ~ 20 で、デフォルト値は 3 です。

c. Keep Alive Interval フィールドには、アンカー コントローラに送信する各 ping 要求の所要時間を秒単位で入力します。有効な範囲は 1 ~ 30秒で、デフォルト値は 10秒です。

d. Apply をクリックして、変更を適用します。

ステップ 2 WLANs をクリックして、WLANs ページを開きます(図11-13 を参照。)

図11-13 WLANs ページ

 

ステップ 3 目的の WLAN または有線ゲスト LAN の青のドロップダウン矢印をクリックして、Mobility Anchors を選択します。Mobility Anchors ページが表示されます(図11-14 を参照)。

図11-14 Mobility Anchors ページ

 

このページには、すでにモビリティ アンカーとして設定されているコントローラが一覧表示されるほか、そのデータと管理パスの現状が表示されます。モビリティ グループ内のコントローラは、well-known UDP ポート上で管理情報をお互いに通信し合い、Ethernet-over-IP(EoIP)トンネルを通じてデータ トラフィックを交換します。具体的には、mpings を送信して、モビリティ制御パケットの到着可能性を管理インターフェイスのモビリティ UDP ポート 16666 によってテストします。また、 epings を送信して、モビリティ データ トラフィックを管理インターフェイスの EoIP ポート 97 によってテストします。Control Path フィールドは、mpings が通過した(up)か通過しなかった(down)かを表示します。Data Path フィールドは、epings が通過した(up)か通過しなかった(down)かを表示します。Data Path フィールドまたは Control Path フィールドに「down」が表示された場合は、モビリティ アンカーが到着できず、接続できないと考えられます。

ステップ 4 モビリティ アンカーに指定されたコントローラの IP アドレスを、Switch IP Address(Anchor)ドロップダウン ボックスで選択します。

ステップ 5 Mobility Anchor Create をクリックします。選択したコントローラが、この WLAN または有線ゲスト LAN のアンカーになります。


) WLAN または有線ゲスト LAN のモビリティ アンカーを削除するには、アンカーの青いドロップダウンの矢印の上にカーソルを置いて、Remove を選択します。


ステップ 6 Save Configuration をクリックして、変更内容を保存します。

ステップ 7 ステップ 4 およびステップ 6 を繰り返し、他のコントローラをこの WLAN または有線ゲスト LAN のモビリティ アンカーとして設定します。

ステップ 8 モビリティ グループのすべてのコントローラに同じセットのモビリティ アンカーを設定します。


 

自動アンカー モビリティを設定するための CLI の使用

これらのコマンドで、CLI を使用して自動アンカー モビリティを設定します。


) CLI コマンドで使用されるパラメータの有効範囲およびデフォルト値については、「GUI を使用した自動アンカー モビリティの設定」を参照してください。


1. コントローラを設定して、モビリティ グループ内のモビリティ グループ メンバ(アンカー コントローラなど)の中に到着不能のものがないかどうかを検出するには、以下のコマンドを入力します。

config mobility group keepalive count count :そのメンバが到着不能と判断されるまでにモビリティ グループ メンバに送信する ping 要求の回数。有効な範囲は 3 ~ 20 で、デフォルト値は 3 です。

config mobility group keepalive interval seconds :モビリティ グループ メンバに送信する各 ping 要求の所要時間(秒単位)。有効な範囲は 1 ~ 30秒で、デフォルト値は 10秒です。

2. config {wlan | guest-lan} disable {wlan_id | guest_lan_id} と入力し、モビリティ アンカーを設定している WLAN または有線ゲスト LAN を無効にします。

3. WLAN または有線ゲスト LAN の新たなモビリティ アンカーを作成するには、次のコマンドのいずれかを入力します。

config mobility group anchor add {wlan | guest-lan} {wlan_id | guest_lan_id} anchor_controller_ip_address

config {wlan | guest-lan} mobility anchor add {wlan_id | guest_lan_id} anchor_controller_ip_address


) wlan_id または guest_lan_id は、存在しているが無効になっており、
anchor_controller_ip_address は、デフォルトのモビリティ グループのメンバである必要があります。



) WLAN または有線ゲスト LAN の自動アンカー モビリティは、最初のモビリティ アンカーを設定する際に有効になります。


4. WLAN または有線ゲスト LAN のモビリティ アンカーを削除するには、次のコマンドのいずれかを入力します。

config mobility group anchor delete {wlan | guest-lan} {wlan_id | guest_lan_id} anchor_controller_ip_address

config {wlan | guest-lan} mobility anchor delete {wlan_id | guest_lan_id} anchor_controller_ip_address


) wlan_id または guest_lan_id は存在し、無効になっている必要があります。



) 最後のアンカーを削除すると、自動アンカー モビリティ機能が無効化され、新たなアソシエーションに対して通常のモビリティがレジュームされます。


5. 設定を保存するには、次のコマンドを入力します。

save config

6. 特定の WLAN または有線ゲスト LAN のモビリティ アンカーとして設定されたコントローラのリストとステータスを表示するには、次のコマンドを入力します。

show mobility anchor {wlan | guest-lan} {wlan_id | guest_lan_id}


) wlan_id パラメータと guest_lan_id パラメータはオプションであり、リストを特定の WLAN またはゲスト LAN のアンカーに制限します。システムのすべてのモビリティ アンカーを表示するには、show mobility anchor と入力します。


たとえば、show mobility anchor コマンドに対しては、次のような情報が表示されます。

Mobility Anchor Export List
WLAN ID IP Address Status
1 10.50.234.2 UP
1 10.50.234.6 UP
2 10.50.234.2 UP
2 10.50.234.3 CNTRL_DATA_PATH_DOWN
 
GLAN ID IP Address Status
1 10.20.100.2 UP
2 10.20.100.3 UP

Status フィールドには、次のうちいずれかの値が表示されます。

UP:コントローラは到達可能で、データを渡すことができます。

CNTRL_PATH_DOWN:mpings の送信に失敗しました。この制御パスでは到達できず、障害が発生すると考えられます。

DATA_PATH_DOWN:epings の送信に失敗しました。この制御パスでは到達できず、障害が発生すると考えられます。

CNTRL_DATA_PATH_DOWN:mpings と epings の両方の送信に失敗しました。この制御パスでは到達できず、障害が発生すると考えられます。

7. すべてのモビリティ グループ メンバのステータスを確認するには、次のコマンドを入力します。

show mobility summary

次のような情報が表示されます。

Mobility Keepalive interval...................... 10
Mobility Keepalive count......................... 3
Mobility Group members configured................ 3
 
Controllers configured in the mobility group
MAC Address IP Address Group Name Status
00:0b:85:32:b1:80 10.10.1.1 local Up
00:0b:85:33:a1:70 10.1.1.2 local Data Path Down
00:0b:85:23:b2:30 10.20.1.2 local Up

8. モビリティの問題のトラブルシューティングを行うには、以下のコマンドを入力します。

debug mobility handoff { enable | disable } モビリティのハンドオフ問題をデバッグします。

debug mobility keep-alive { enable | disable } all すべてのモビリティ アンカーの keepalive パケットをダンプします。

debug mobility keep-alive { enable | disable } IP_address: 特定のモビリティ アンカーの keepalive パケットをダンプします。

シンメトリック モビリティ トンネリングの設定

無線 LAN 内でアクセス ポイントから別のアクセス ポイントへクライアント ローミングを実現するため、本コントローラにはサブネット間のモビリティが備わっています。図11-15 に示すとおり、このモビリティは非対称のため、有線ネットワークへのクライアント トラフィックは外部コントローラから直接ルーティングされます。

図11-15 アシンメトリック トンネリングまたは単一指向性トンネリング

 

この仕組みでは、上流のルータに Reverse Path Filtering(RPF; 逆方向パス転送)が有効に設定されている場合、切断されます。この場合、RPF チェックによって、ソース アドレスに戻るパスとパケットの着信先パスを一致させるため、クライアント トラフィックがルータでドロップされます。この問題はコントローラのソフトウェア リリース 4.1 以降では解決され、シンメトリック モビリティ トンネリングがモバイル クライアントでサポートされるようになりました。シンメトリック モビリティ トンネリングを有効に設定すると、図11-16 に示すように、すべてのクライアント トラフィックがアンカー コントローラに送信され、RPF チェックを正常に通過します。

図11-16 シンメトリック モビリティ トンネリングまたは双方向性トンネリング

 

ソース IP アドレスがパケットの受信先サブネットと一致しないため、クライアント パケット パス内のファイアウォール設置でパケットがドロップされる場合は、シンメトリック モビリティ トンネリングも有効に設定してください。シンメトリック モビリティ トンネリングは、GUI または CLI のどちらを使用しても設定できます。


) 自動アンカー モビリティを使用中の場合、2000 または 2100 シリーズ コントローラは WLAN のアンカーとして指定できませんが、シンメトリック モビリティ トンネリングではアンカーとして指定して、外部コントローラからトンネルされている上流のクライアント データ トラフィックを処理して転送できます。



) シナリオを混同しないよう、シンメトリック モビリティ トンネリングにはモビリティ グループ内のすべてのコントローラで同じ設定を共有するようにしてください。


シンメトリック モビリティ トンネリングを設定するための GUI の使用

コントローラ GUI を使用してシンメトリック モビリティ トンネリングを設定する手順は、次のとおりです。


ステップ 1 Controller > Mobility Management > Mobility Anchor Config の順にクリックして、Mobility Anchor Config ページを開きます(図11-17 を参照)。

図11-17 Mobility Anchor Config ページ

 

ステップ 2 このコントローラにシンメトリック モビリティ トンネリングを有効に設定するには、Symmetric Mobility Tunneling Mode チェックボックスをオンにし、この機能を無効に設定するにはチェックボックスをオフにします。デフォルトではオフになっています。


) シンメトリック モビリティ トンネリングは、本コントローラをリブートしないと有効または無効に設定されません。このパラメータの現在の状態は、チェックボックスの右横にカッコで囲まれて表示されています(例:currently enabled または currently disabled)。


ステップ 3 Apply をクリックして、変更を適用します。

ステップ 4 設定内容を保存するようメッセージが表示されたら OK をクリックして、本コントローラをリブートして変更内容を反映させます。

ステップ 5 Save Configuration をクリックして、変更を保存します。

ステップ 6 設定内容を保存するか確認メッセージが表示されたら、Yes をクリックします。

ステップ 7 ここでコントローラをリブートするには、Commands > Reboot をクリックしてから、Reboot をクリックします。

ステップ 8 モビリティ グループ内のすべてのコントローラで、シンメトリック モビリティ トンネリングには同じ設定を必ず共有してください。


 

シンメトリック モビリティ トンネリングを設定するための CLI の使用

コントローラ CLI を使用してシンメトリック モビリティ トンネリングを設定する手順は、次のとおりです。


ステップ 1 シンメトリック モビリティ トンネリングを有効または無効にするには、次のコマンドを入力します。

config mobility symmetric-tunneling {enable | disable}

ステップ 2 変更内容を反映するようコントローラをリブートするには、次のコマンドを入力します。

reset system

ステップ 3 シンメトリック モビリティ トンネリングのステータスを確認するには、次のコマンドを入力します。

show mobility summary

次のような情報が表示されます。

Symmetric Mobility Tunneling (current) .......... Enabled
Symmetric Mobility Tunneling (after reboot) ..... Enabled
Mobility Protocol Port........................... 16666
Mobility Security Mode........................... Disabled
Default Mobility Domain.......................... User1
Mobility Keepalive interval...................... 10
Mobility Keepalive count......................... 3
Mobility Group members configured................ 7
 
Controllers configured in the Mobility Group
MAC Address IP Address Group Name Status
00:0b:85:32:b0:80 10.28.8.30 User1 Up
00:0b:85:47:f6:00 10.28.16.10 User1 Up
00:16:9d:ca:d8:e0 10.28.32.10 User1 Up
00:18:73:34:a9:60 10.28.24.10 <local> Up
00:18:73:36:55:00 10.28.8.10 User1 Up
00:1a:a1:c1:7c:e0 10.28.32.30 User1 Up
00:d0:2b:fc:90:20 10.28.32.61 User1 Control and Data Path Down
 

) 画面には、シンメトリック モビリティ トンネリングの現在のステータスと、リブート後のこの機能のステータスの両方が表示されます。


ステップ 4 モビリティ グループ内のすべてのコントローラで、シンメトリック モビリティ トンネリングには同じ設定を必ず共有してください。


 

モビリティ ping テストの実行

同じモビリティ グループに属するコントローラは、well-known UDP ポート上で情報を制御し、Ethernet-over-IP(EoIP)トンネルを通じてデータ トラフィックを交換することにより、お互いに通信します。UDP と EoIP は信頼できる転送メカニズムではないため、モビリティ コントロール パケットまたはデータ パケットがモビリティ ピアに配信される保証はありません。ファイアウォールによる UDP ポートや EoIP パケットのフィルタリング、あるいはルーティングの問題のために、モビリティ パケットが転送中に消失する可能性があります。

コントローラ ソフトウェア リリース 4.0 以降を使用すると、モビリティ ping テストを実行することにより、モビリティ通信環境をテストできます。これらのテストを使用して、モビリティ グループ(ゲスト コントローラを含む)のメンバ間の接続を検証できます。次の 2 つの ping テストが利用できます。

UDP 上でのモビリティ ping:このテストは、モビリティ UDP ポート 16666 上で実行されます。管理インターフェイス上でモビリティ コントロール パケットに到達できるかどうかをテストします。

EoIP 上のモビリティ ping:このテストは EoIP 上で実行されます。管理インターフェイス上で、モビリティ データ トラフィックをテストします。

各コントローラにつき、実行できるモビリティ ping テストは 1 度に 1 回だけです。


) これらの ping テストは、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)ベースではありません。「ping」という用語は、エコー要求とエコー応答メッセージを示すために使用されます。


コントローラ CLI を使用してモビリティ ping テストを実行するには、次のコマンドを使用します。

1. 2 つのコントローラ間でモビリティ UDP コントロール パケット通信をテストするには、次のコマンドを入力します。

mping mobility_peer_IP_address

mobility_peer_IP_address パラメータは、モビリティ グループに属するコントローラの IP アドレスにする必要があります。

2. 2 つのコントローラ間でモビリティ EoIP データ パケット通信をテストするには、次のコマンドを入力します。

eping mobility_peer_IP_address

mobility_peer_IP_address パラメータは、モビリティ グループに属するコントローラの IP アドレスにする必要があります。

3. モビリティ ping に対するコントローラのトラブルシューティングを行うには、次のコマンドを入力します。

config msglog level verbose

show msglog

UDP 上のモビリティ ping に対するコントローラのトラブルシューティングを行うには、次のコマンドを入力します。

debug mobility handoff enable


) トラブルシューティングを行う際には、Ethereal トレース キャプチャを使用することをお勧めします。