Cisco Wireless LAN Controller コンフィギュレーション ガイド Software Release 5.0
概要
概要
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

概要

Cisco Unified Wireless Network Solution の概要

シングルコントローラ展開

マルチコントローラ展開

オペレーティング システム ソフトウェア

オペレーティング システムのセキュリティ

Cisco WLAN Solution の有線セキュリティ

レイヤ 2 およびレイヤ 3 の Lightweight Access Point protocol(LWAPP)動作

動作上の要件

設定上の要件

Cisco Wireless LAN Controller

プライマリ、セカンダリ、ターシャリ コントローラ

クライアント ロケーション

コントローラ プラットフォーム

Cisco 2100 シリーズ コントローラ

サポートされない機能

Cisco 4400 シリーズ コントローラ

Catalyst 6500 シリーズ ワイヤレス サービス モジュール

Cisco 7600 シリーズ ルータ ワイヤレス サービス モジュール

Cisco 28/37/38xx シリーズ サービス統合型ルータ

Catalyst 3750G 統合型無線 LAN コントローラ スイッチ

Cisco UWN Solution の有線接続

Cisco UWN Solution 無線 LAN

ID ネットワーキング

Cisco Secure ACS との統合の強化

ファイル転送

Power over Ethernet

スタートアップ ウィザード

Cisco Wireless LAN Controller のメモリ

Cisco Wireless LAN Controller のフェールオーバーの保護

Cisco Wireless LAN Controller へのネットワーク接続

Cisco 2100 シリーズ Wireless LAN Controller

Cisco 4400 シリーズ Wireless LAN Controller

概要

この章では、コントローラのコンポーネントと機能について説明します。この章の内容は、次のとおりです。

「Cisco Unified Wireless Network Solution の概要」

「オペレーティング システム ソフトウェア」

「オペレーティング システムのセキュリティ」

「レイヤ 2 およびレイヤ 3 の Lightweight Access Point protocol(LWAPP)動作」

「Cisco Wireless LAN Controller」

「コントローラ プラットフォーム」

「Cisco UWN Solution の有線接続」

「Cisco UWN Solution 無線 LAN」

「ID ネットワーキング」

「ファイル転送」

「Power over Ethernet」

「スタートアップ ウィザード」

「Cisco Wireless LAN Controller のメモリ」

「Cisco Wireless LAN Controller のフェールオーバーの保護」

「Cisco Wireless LAN Controller へのネットワーク接続」

Cisco Unified Wireless Network Solution の概要

Cisco Unified Wireless Network(Cisco UWN)Solution は、企業およびサービス プロバイダーに 802.11 無線ネットワーキング ソリューションを提供するように設計されています。Cisco UWN Solution を使用すると、大規模無線 LAN の展開および管理が簡素化され、他に類のないクラス最高のセキュリティ インフラストラクチャを実現できます。オペレーティング システムは、すべてのデータ クライアント、通信、およびシステム管理機能を管理し、Radio Resource Management(RRM)機能を実行します。また、オペレーティング システム セキュリティ ソリューションを使用してシステム全体のモビリティ ポリシーを管理したり、オペレーティング システムのセキュリティ フレームワークを使用してすべてのセキュリティ機能を調整することもできます。

Cisco UWN Solution は、Cisco Wireless LAN Controller とそれにアソシエートされている Lightweight アクセス ポイントで構成されます。これらはオペレーティング システムによって制御され、次のいずれか、またはすべてのオペレーティング システム ユーザ インターフェイスによってすべて同時に管理されます。

HTTP、HTTPS、またはこれら両方の機能をすべて備えた Web ユーザ インターフェイス。Cisco Wireless LAN Controller によってホストされるこのインターフェイスは、個々のコントローラを設定および監視するときに使用できます。 を参照してください。

全機能を備えた Command-line Interface(CLI; コマンドライン インターフェイス)。個々の Cisco Wireless LAN Controller を設定および監視するときに使用できます。 を参照してください。

Cisco Wireless Control System(WCS)。1 つ以上の Cisco Wireless LAN Controller とアソシエートされているアクセス ポイントを設定、監視する場合に使用します。WCS には、大規模システムの監視と制御を容易にするツールが備わっています。WCS は、Windows 2000、Windows 2003、および Red Hat Enterprise Linux ES サーバ上で動作します。


) WCS ソフトウェア リリース 5.0 は、コントローラ ソフトウェア リリース 5.0 を実行しているコントローラとともに使用する必要があります。前のバージョンの WCS は、コントローラ ソフトウェア リリース 5.0 を実行しているコントローラとともに使用しないでください。


業界標準の SNMP V1、V2c、および V3 インターフェイスであれば、SNMP 準拠のサードパーティ製ネットワーク管理システムと併用できます。

Cisco UWN Solution は、クライアント データ サービス、クライアントの監視と制御、およびすべての不正なアクセス ポイントの検出、監視、および阻止機能をサポートします。Cisco UWN Solutionでは、Lightweight アクセス ポイント、Cisco Wireless LAN Controller、およびオプションの Cisco WCS を使用して、企業とサービス プロバイダーに無線サービスを提供します。


) 特に記載されていない限り、以降では、Cisco Wireless LAN Controller をコントローラと呼び、すべての Cisco Lightweight アクセス ポイントをアクセス ポイントと呼びます。


図1-1は、複数のフロアとビルディングに同時に展開できる Cisco Wireless LAN Solution コンポーネントを示しています。

図1-1 Cisco UWN Solution コンポーネント

 

シングルコントローラ展開

スタンドアロンのコントローラでは、複数のフロアとビルディングに配置されている Lightweight アクセス ポイントを同時にサポートすることができます。サポートされている機能は、次のとおりです。

ネットワークに追加された Lightweight アクセス ポイントの自動検出と自動設定。

Lightweight アクセス ポイントの完全制御。

Lightweight アクセス ポイントに対する最大 16 までの無線 LAN(SSID)ポリシーの完全制御。


) LWAPP 有効化アクセス ポイントは、最大 8 つまでの無線 LAN(SSID)ポリシーをサポートします。


ネットワークを介したコントローラへの Lightweight アクセス ポイントの接続。ネットワーク機器では、アクセス ポイントに Power over Ethernet を提供してもしなくてもかまいません。

一部のコントローラでは、1 つのネットワークに障害が発生した場合、冗長ギガビット イーサネット接続を使用してこれを迂回します。


) 一部のコントローラは、複数の物理ポートを使用して、ネットワークの複数のサブネットに接続できます。この機能は、オペレータが複数の VLAN を別々のサブネットに限定する場合などに役立ちます。


図1-2は、一般的なシングルコントローラ展開を示しています。

図1-2 シングルコントローラ展開

 

マルチコントローラ展開

すべてのコントローラは、複数のフロアとビルディングに配置されている Lightweight アクセス ポイントを同時にサポートできます。ただし、Cisco Wireless LAN Solution の全機能が実現されるのは、複数のコントローラが使用されている場合です。マルチ コントローラ システムには、次の追加の機能があります。

ネットワークに追加された コントローラ の RF パラメータの自動検出と自動設定。

同一サブネット(レイヤ 2)でのローミングとサブネット間(レイヤ 3)でのローミング。

アクセス ポイントの負荷を減らした任意の冗長コントローラへのアクセス ポイントの自動フェールオーバー(「Cisco Wireless LAN Controller のフェールオーバーの保護」を参照)。

図1-3は、一般的なマルチコントローラ展開を示しています。また、この図では、オプションの専用管理ネットワークと、ネットワークとコントローラ間の 3 つの物理接続タイプも示しています。

図1-3 一般的なマルチコントローラ展開

 

オペレーティング システム ソフトウェア

オペレーティング システム ソフトウェアは、Cisco Wireless LAN Controller および Lightweight アクセス ポイントを制御します。このソフトウェアには、オペレーティング システムのセキュリティ機能と Radio Resource Management(RRM)機能がすべて組み込まれています。

オペレーティング システムのセキュリティ

オペレーティング システムのセキュリティ機能は、レイヤ 1、レイヤ 2、およびレイヤ 3 のセキュリティ コンポーネントを、Cisco WLAN Solution 全体を対象とするシンプルな Policy Manager に統合したものです。Policy Manager は、最大 16 の無線 LAN それぞれに対して、独立したセキュリティ ポリシーを作成する管理ツールです(「Cisco UWN Solution 無線 LAN」を参照)。

802.11 静的 WEP の脆弱性は、次のような強化された業界標準のセキュリティ ソリューションを使用することで克服できます。

Extensible Authentication Protocol(EAP; 拡張認証プロトコル)使用による 802.1X 動的キー。

Wi-Fi Protected Access(WPA)動的キー。Cisco WLAN Solution の WPA 実装には、次のものが含まれます。

Temporal Key Integrity Protocol(TKIP)+ Message Integrity Code Checksum(Michael)動的キー

WEP キー(事前共有キーのパスフレーズの有無を問わない)

RSN(事前共有キーの有無を問わない)

Cranite:IPS140-2 準拠パススルー

オプションの MAC フィルタリング

WEP 問題は、次のような業界標準のレイヤ 3 セキュリティ ソリューションを使用すると、さらに進んだ解決が可能です。

パススルー VPN

Cisco Wireless LAN Solution では、ローカルおよび RADIUS Media Access Control(RADIUS MAC; RADIUS メディア アクセス制御)アドレス フィルタリングがサポートされています。

Cisco Wireless LAN Solution は、ローカルおよび RADIUS ユーザ/パスワード認証をサポートします。

また、Cisco Wireless LAN Solution は、手動および自動による無効化を使用して、ネットワーク サービスへのアクセスをブロックします。手動で無効化するときは、オペレータがクライアントの MAC アドレスを使用してアクセスをブロックします。自動による無効化は常にアクティブであり、クライアントが一定の回数の認証を繰り返し試みて失敗すると、オペレーティング システム ソフトウェアにより、オペレータが設定した時間だけネットワーク サービスへのアクセスが自動的にブロックされます。この無効化を使用すると、Brute-Force ログイン アタックを阻止できます。

これらとその他のセキュリティ機能は、業界標準の認可および認証方式を使用して、ビジネスクリティカルな無線 LAN トラフィックに対する最高のセキュリティを実現します。

Cisco WLAN Solution の有線セキュリティ

従来のアクセス ポイント ベンダーの多くは、「オペレーティング システムのセキュリティ」で説明したような無線インターフェイスのセキュリティ対策に集中的に取り組んでいます。一方、オペレーティング システムには、Cisco Wireless LAN Controller サービス インターフェイス、アクセス ポイントに接続する Cisco Wireless LAN Controller、およびデバイス サービシング時とクライアント ローミング時の Cisco Wireless LAN Controller 間通信をセキュリティで保護するためのセキュリティ機能が組み込まれています。

Cisco Wireless LAN Controller と Lightweight アクセス ポイントには、それぞれ固有の署名付き X.509 証明書が添付されます。この署名付き証明書は、ダウンロードしたコードを読み込む前の検証に使用され、悪意のあるコードがハッカーによって Cisco Wireless LAN Controller や Lightweight アクセス ポイントにダウンロードされることを防ぎます。

また、Cisco Wireless LAN Controller と Lightweight アクセス ポイントでは、ダウンロードしたコードを署名付き証明書を使用して検証してから読み込むことで、ハッカーが Cisco Wireless LAN Controller や Lightweight アクセス ポイントに悪意のあるコードをダウンロードできないようにしています。

レイヤ 2 およびレイヤ 3 の Lightweight Access Point protocol(LWAPP)動作

コントローラと Lightweight アクセス ポイント間の LWAPP 通信は、ISO のデータ リンク レイヤ 2 またはネットワーク レイヤ 3 で実行されます。


) コントローラ ソフトウェア リリース 5.0 では、レイヤ 3 の LWAPP モードのみがサポートされます。コントローラ ソフトウェア リリース 5.0 にアップグレードする場合、LWAPP モードは、以前にレイヤ 2 に設定されていると、レイヤ 3 に変更されます。



) IPv4 ネットワーク レイヤ プロトコルでは、LWAPP コントローラ システムによる転送がサポートされています。IPv6(クライアント用のみ)と Appletalk もサポートされていますが、4400 シリーズ コントローラと Cisco WiSM でのみのサポートとなります。他のレイヤ 3 プロトコル(IPX、DECnet Phase IV、OSI CLNP など)およびレイヤ 2(ブリッジ)プロトコル(LAT および NetBeui など)はサポートされていません。


動作上の要件

レイヤ 2 LWAPP 通信の要件として、Cisco Wireless LAN Controller と Lightweight アクセス ポイントが同一サブネット上のレイヤ 2 デバイスを使用して相互接続されている必要があります。Cisco Wireless LAN Controller と Lightweight アクセス ポイントが異なるサブネット上にあるときは、デバイスはレイヤ 3 モードで動作しなければならないことに注意してください。

レイヤ 3 LWAPP 通信を行う場合、Cisco Wireless LAN Controller と Lightweight アクセス ポイントが同一サブネットにあるときには、それらをレイヤ 2 デバイスを使用して接続します。異なるサブネットにある場合は、レイヤ 3 デバイスを使用して接続します。また、アクセス ポイントの IP アドレスが外部 DHCP サーバを介して静的または動的に割り当てられていることも必要です。

モビリティ グループに属するすべての Cisco Wireless LAN Controller では、同じ LWAPP レイヤ 2 またはレイヤ 3 モードを使用する必要があります。それ以外の場合は、モビリティ ソフトウェアのアルゴリズムが無効になります。

設定上の要件

レイヤ 2 モードで Cisco Wireless LAN Solution を稼働している場合は、レイヤ 2 通信を制御するよう管理インターフェイスを設定する必要があります。

レイヤ 3 モードで Cisco Wireless LAN Solution を稼働させている場合は、Lightweight アクセス ポイントおよびレイヤ 2 モード用に設定された管理インターフェイスを制御するよう AP 管理インターフェイスを設定する必要があります。

Cisco Wireless LAN Controller

Cisco Wireless LAN Controller が複数展開されたネットワークに Lightweight アクセス ポイントを追加する場合、すべての Lightweight アクセス ポイントを、同一サブネット上の 1 つのマスター コントローラにアソシエートさせると便利です。そうすれば、オペレータが複数のコントローラにログインして、新たに追加された Lightweight アクセス ポイントがアソシエートされているコントローラを検索する必要はなくなります。

Lightweight アクセス ポイントを追加するとき、各サブネット内の 1 つのコントローラをマスター コントローラとして割り当てることができます。同一サブネット上のマスター コントローラがアクティブである限り、プライマリ、セカンダリ、およびターシャリ コントローラが割り当てられていない新しいアクセス ポイントはすべて、マスター Cisco Wireless LAN Controller とのアソシエートを自動的に試みます。このプロセスについては、「Cisco Wireless LAN Controller のフェールオーバーの保護」を参照してください。

オペレータは、WCS Web ユーザ インターフェイスを使用して、マスター コントローラを監視し、アクセス ポイントがマスター コントローラにアソシエートするのを確認できます。次に、オペレータは、アクセス ポイント設定を確認して、プライマリ、セカンダリ、ターシャリ コントローラをアクセス ポイントに割り当てて、プライマリ、セカンダリ、またはターシャリ コントローラに再アソシエートするように、アクセス ポイントをリブートします。


) Lightweight アクセス ポイントでは、プライマリ、セカンダリ、またはターシャリ コントローラが割り当てられていない場合、リブート時には必ずマスター コントローラが最初に検索されます。マスター コントローラ経由による Lightweight アクセス ポイントを追加したら、プライマリ、セカンダリ、またはターシャリ コントローラを各アクセス ポイントに割り当ててください。シスコでは、初期設定後にすべてのコントローラのマスター設定を無効にすることを推奨しています。


プライマリ、セカンダリ、ターシャリ コントローラ

マルチコントローラ ネットワークでは、Lightweight アクセス ポイントは同じサブネット上の任意のコントローラにアソシエートできます。確実にすべてのアクセス ポイントを特定のコントローラにアソシエートするために、オペレータは、プライマリ、セカンダリ、およびターシャリ コントローラをアクセス ポイントに割り当てることができます。

用意したアクセス ポイントはネットワークに追加されると、プライマリ、セカンダリ、およびターシャリ コントローラをまず検索してから、使用可能なアクセス ポイント ポートを持つ、最も負荷の少ないコントローラを検索します。詳細は、「Cisco Wireless LAN Controller のフェールオーバーの保護」を参照してください。

クライアント ロケーション

Cisco Wireless LAN Solution で Cisco WCS を使用する場合、コントローラは、クライアント、不正なアクセス ポイント、不正なアクセス ポイント クライアント、無線周波数 ID(RFID)タグ ロケーションを定期的にチェックし、そのロケーションを Cisco WCS データベースに保存します。ロケーション ソリューションに関する詳細は、『Cisco Wireless Control System Configuration Guide』および『Cisco Location Appliance Configuration Guide』を参照してください。これらのガイドの URL は次のとおりです。

『Cisco Wireless Control System Configuration Guide』

http://www.cisco.com/en/US/products/ps6305/products_installation_and_configuration_guides_list.html

『Cisco Location Appliance Configuration Guide』

http://www.cisco.com/en/US/products/ps6386/products_installation_and_configuration_guides_list.html

コントローラ プラットフォーム

コントローラは、802.11a/n プロトコルおよび 802.11b/g/n プロトコルをサポートする、企業向けの高性能無線スイッチング プラットフォームです。Radio Resource Management(RRM)機能が搭載されているオペレーティング システムの制御下でコントローラを稼働することにより、802.11 RF 環境でのリアルタイムの変化に自動対応する Cisco UWN Solution が実現されます。コントローラは、高性能なネットワークおよびセキュリティ ハードウェアを中心に構築されており、他に例のないセキュリティを備えた信頼性の高い 802.11 企業ネットワークが実現します。

Cisco 2100 シリーズ コントローラ

Cisco 4400 シリーズ コントローラ

Catalyst 6500 シリーズ ワイヤレス サービス モジュール(WiSM)

Cisco 7600 シリーズ ルータ ワイヤレス サービス モジュール(WiSM)

コントローラ ネットワーク モジュール内蔵の Cisco 28/37/38xx シリーズ サービス統合型ルータ

Catalyst 3750G 統合型無線 LAN コントローラ スイッチ

最初の 3 つのコントローラはスタンドアロン プラットフォームです。その他の 4 つのコントローラは、シスコのスイッチおよびルータ製品に統合されています。

Cisco 2100 シリーズ コントローラ

Cisco 2100 シリーズ Wireless LAN Controller は、Cisco Lightweight アクセス ポイントおよび Cisco Wireless Control System(WCS)と組み合わせて使用することで、システム全体での無線 LAN 機能を実現します。2100 シリーズ コントローラは、それぞれ最大 6 個の Lightweight アクセス ポイントを制御し、企業の支社展開で一般的なマルチコントローラ アーキテクチャに適しています。小規模から中規模の環境のためのシングル コントローラ展開にも使用できます。


注意 コントローラのコンソール ポートに Power over Ethernet(PoE)ケーブルを接続しないでください。接続すると、コントローラが損傷するおそれがあります。


) アクセス ポイントをコントローラに再接続するときは、20 秒以上待ってから接続してください。待たずに接続すると、コントローラがデバイスを検出できないことがあります。


サポートされない機能

次に示すハードウェア機能は、2100 シリーズ コントローラではサポートされません。

サービス ポート(専用の帯域外管理 10/100 Mbps イーサネット インターフェイス)

次に示すソフトウェア機能は、2100 シリーズ コントローラではサポートされません。

VPN 終端(IPSec、L2TP など)

ゲスト コントローラ トンネルの終端(ゲスト コントローラ トンネルの起点は可能)

外部 Web 認証 Web サーバ リスト

レイヤ 2 LWAPP

スパニング ツリー

ポートのミラーリング

Cranite

Fortress

AppleTalk

QoS ユーザごと帯域幅コントラクト

IPv6 パススルー

リンク集約(LAG)

Cisco 4400 シリーズ コントローラ

Cisco 4400 シリーズ Wireless LAN Controller には、4402 と 4404 の 2 つのモデルがあります。4402 では最大 50 個、4404 では最大 100 個の Lightweight アクセス ポイントがサポートされ、大企業や高密度アプリケーションに理想的な LAN 環境が実現されます。

4400 シリーズ コントローラには、1 つまたは 2 つの Cisco 4400 シリーズ電源を装着できます。4400 シリーズ コントローラに 2 つの Cisco 4400 シリーズ電源を装着しておけば、電源が冗長構成になり、一方の電源に障害が発生した場合でも、他方の電源から引き続きコントローラに電力を供給できます。

Catalyst 6500 シリーズ ワイヤレス サービス モジュール

Catalyst 6500 シリーズ Wireless Services Module(WiSM; ワイヤレス サービス モジュール)は、Catalyst 6500 スイッチと 2 つの Cisco 4404 コントローラが統合されたもので、最大 300 個の Lightweight アクセス ポイントをサポートします。スイッチには、スイッチとコントローラを接続する内部ギガバイト イーサネット ポートが 8 個装備されています。スイッチと内部コントローラではそれぞれ異なるソフトウェア バージョンが実行されており、これらのソフトウェア バージョンは個別にアップグレードする必要があります。


) Catalyst 6509 スイッチのシャーシは、他のサービス モジュールがインストールされていなければ最大 7 個の Cisco WiSM をサポートすることができ、Supervisor 720 がインストールされている Catalyst 6506 は、最大 4 個の Cisco WiSM をサポートできます。その他の Catalyst 6500 シリーズ スイッチのシャーシは、最大 6 個の Cisco WiSM をサポートできます。サービス モジュールが 1 つ以上インストールされている場合、シャーシがサポート可能なサービス モジュールの数は最大 4 個となります(WiSM を含む)。これらの最大設定には、冗長スーパーバイザは使用できません。


詳細は、次のドキュメントを参照してください。

『Catalyst 6500 Series Switch Installation Guide』

『Catalyst 6500 Series Switch Wireless Services Module Installation and Configuration Note』

『Release Notes for Catalyst 6500 Series Switch Wireless LAN Services Module』

『Configuring a Cisco Wireless Services Module and Wireless Control System』

『Catalyst 6500 Series Switch and Cisco 7600 Series Router Wireless Services Module Installation and Verification Note』

これらのドキュメントには、次の URL からアクセスできます。

http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

http://www.cisco.com/en/US/docs/wireless/technology/wism/technical/reference/appnote.html

http://www.cisco.com/en/US/docs/wireless/technology/wism/installation/note/78_17121.html

Cisco 7600 シリーズ ルータ ワイヤレス サービス モジュール

Cisco 7600 シリーズ ルータ ワイヤレス サービス モジュール(WiSM)は、1 つの Cisco 7600 ルータと 2 つの Cisco 4404 コントローラが統合されたもので、最大 300 個の Lightweight アクセス ポイントをサポートします。ルータには、ルータとコントローラを接続する内部ギガバイト イーサネット ポートが 8 個装備されています。ルータと内部コントローラではそれぞれ異なるソフトウェア バージョンが実行されており、これらのソフトウェア バージョンは個別にアップグレードする必要があります。


) WiSM は、Cisco IOS Release 12.2(18)SXF5 以降のみを実行する Cisco 7600 シリーズ ルータでサポートされています。



) Cisco 7609 ルータのシャーシは、他のサービス モジュールがインストールされていなければ最大 7 個の Cisco WiSM をサポートできます。Cisco 7600 シリーズ ルータのシャーシは、他のサービス モジュールがインストールされていなければ最大 6 個の Cisco WiSM をサポートできます。サービス モジュールが 1 つ以上インストールされている場合、シャーシがサポート可能なサービス モジュールの数は最大 4 個となります(WiSM を含む)。これらの最大設定には、冗長スーパーバイザは使用できません。


詳細は、次のドキュメントを参照してください。

『Cisco 7600 Series Router Installation Guide』

『Cisco 7600 Series Router Software Configuration Guide』

『Cisco 7600 Series Router Command Reference』

『Configuring a Cisco Wireless Services Module and Wireless Control System』

『Catalyst 6500 Series Switch and Cisco 7600 Series Router Wireless Services Module Installation and Verification Note』

これらのドキュメントには、次の URL からアクセスできます。

http://www.cisco.com/en/US/products/hw/routers/ps368/tsd_products_support_series_home.html

http://www.cisco.com/en/US/docs/wireless/technology/wism/technical/reference/appnote.html

http://www.cisco.com/en/US/docs/wireless/technology/wism/installation/note/78_17121.html

Cisco 28/37/38xx シリーズ サービス統合型ルータ

Cisco 28/37/38xx シリーズ サービス統合型ルータは、28/37/38xx ルータと Cisco コントローラ ネットワーク モジュールを統合したもので、ネットワーク モジュールのバージョンに応じて最大 6 個、8 個、または 12 個の Lightweight アクセス ポイントをサポートします。8 個または 12 個のアクセス ポイントをサポート可能なバージョンは、高速プロセッサと大容量のオンボード メモリを備えています。内部ファスト イーサネット ポート(6 アクセス ポイント バージョン)または内部ギガビット イーサネット ポート(8 アクセス ポイントおよび 12 アクセス ポイント バージョン)によって、ルータと統合コントローラが接続されます。ルータと内部コントローラではそれぞれ異なるソフトウェア バージョンが実行されており、これらのソフトウェア バージョンは個別にアップグレードする必要があります。詳細は、次のドキュメントを参照してください。

『Cisco Wireless LAN Controller Network Module Feature Guide』

『Cisco 28/37/38xx Series Hardware Installation Guide』

これらのドキュメントには、次の URL からアクセスできます。

http://www.cisco.com/en/US/products/hw/wireless/index.html


) Cisco 2801 サービス統合型ルータでは、コントローラ ネットワーク モジュールはサポートされません。


Catalyst 3750G 統合型無線 LAN コントローラ スイッチ

Catalyst 3750G 統合型無線 LAN コントローラ スイッチは、Catalyst 3750 スイッチと Cisco 4400 シリーズ コントローラが統合されたもので、最大 25 個または 50 個の Lightweight アクセス ポイントをサポートします。スイッチには、スイッチとコントローラを接続する内部ギガバイト イーサネット ポートが 2 個装備されています。スイッチと内部コントローラではそれぞれ異なるソフトウェア バージョンが実行されており、これらのソフトウェア バージョンは個別にアップグレードする必要があります。詳細は、次のドキュメントを参照してください。

『Catalyst 3750G Integrated Wireless LAN Controller Switch Getting Started Guide』

『Catalyst 3750 Switch Hardware Installation Guide』

『Release Notes for the Catalyst 3750 Integrated Wireless LAN Controller Switch, Cisco IOS Release 12.2(25)FZ』

これらのドキュメントには、次の URL からアクセスできます。

http://www.cisco.com/en/US/products/hw/switches/ps5023/tsd_products_support_series_home.html

Cisco UWN Solution の有線接続

Cisco UWN Solution のコンポーネントは、業界標準のイーサネット ケーブルとコネクタを使用して相互に通信します。ここでは、有線接続について説明します。

2100 シリーズ コントローラをネットワークに接続するときは、1 ~ 6 本の 10/100BASE-T イーサネット ケーブルを使用します。

4402 コントローラをネットワークに接続するときは、1 ~ 2 本の光ファイバ ギガビット イーサネット ケーブルを使用します。4404 コントローラをネットワークに接続するときは、最大 4 本の光ファイバ ギガビット イーサネット ケーブルを使用します。ギガビット イーサネット接続を冗長化しておけば、ネットワーク上のいずれかの箇所で障害が発生した場合でも、それを迂回できます。

Cisco Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータにインストールされた Wireless Services Module(WiSM)内のコントローラをネットワークに接続するときは、スイッチまたはルータ上のポートを使用します。

Cisco サービス統合型ルータにインストールされている Wireless LAN Controller ネットワーク モジュールをネットワークに接続するときは、ルータのポートを使用します。

Catalyst 3750G 統合型無線 LAN コントローラ スイッチのコントローラをネットワークに接続するときは、スイッチのポートを使用します。

Cisco Lightweight アクセス ポイントをネットワークに接続するときは、10/100BASE-T イーサネット ケーブルを使用します。標準の CAT-5 ケーブルを使用して、Power over Ethernet(PoE)機能が搭載されているネットワーク デバイスから Lightweight アクセス ポイントへ電力を供給することもできます。この電源分配プランを使用すると、個々のアクセス ポイント電源供給と接続用ケーブルにかかるコストを軽減できます。

Cisco UWN Solution 無線 LAN

Cisco UWN Solution では、Lightweight アクセス ポイントについて、最大 16 の無線 LAN を制御できます。各 WLAN には、それぞれ異なる WLAN ID(1 ~ 16)と WLAN SSID(WLAN 名)が割り当てられます。また、一意のセキュリティ ポリシーを割り当てることもできます。ソフトウェア リリース 3.2 以降を使用すると、同じ無線 LAN 上で静的 WEP と動的 WEP の両方を設定できます。

Lightweight アクセス ポイントでは、すべてのアクティブな Cisco UWN Solution 無線 LAN SSID をブロードキャストし、各無線 LAN に定義されているポリシーを適用します。


) コントローラが最適な性能と容易な管理で動作できるよう、無線 LAN と管理インターフェイスにはそれぞれ別の VLAN セットを割り当てることをお勧めします。


Cisco UWN Solution で無線による管理を有効にすると、オペレータは CLI と Telnet、http/https、および SNMP を使用して、有効になった無線 LAN 全体のシステムを管理できるようになります。

無線 LAN の設定については、 を参照してください。

ID ネットワーキング

コントローラでは、次のパラメータを、特定の無線 LAN にアソシエートしているすべてのクライアントに適用できます。適用可能なパラメータは、QoS、グローバルまたはインターフェイス固有の DHCP サーバ、レイヤ 2とレイヤ 3のセキュリティ ポリシー、およびデフォルトのインターフェイス(物理ポート、VLAN、および ACL 割り当てを含む)です。

ただし、MAC フィルタリングを使用するか、または AAA Override パラメータを許可することによって、個々のクライアント(MAC アドレス)にプリセットされている無線 LAN パラメータを無効にすることもできます。たとえば、この設定を使用すると、社内の全クライアントを会社の無線 LAN にログインさせてから、MAC アドレスごとに、異なる QoS、DHCP サーバ、レイヤ 2 とレイヤ 3 のセキュリティ ポリシー、およびインターフェイス設定を使用して、クライアントを接続させることができます。

Cisco UWN Solution オペレータがクライアントに対して MAC フィルタリングを設定するときに、別の VLAN を MAC アドレスに割り当てることができます。そして、このことを利用して、クライアントがオペレーティング システムによって自動的に管理インターフェイスまたはオペレータ定義インターフェイスに再ルーティングされるようにすることができます。インターフェイスはそれぞれ、独自の VLAN、ACL、DHCP サーバ、および物理ポート割り当てが設定されています。この MAC フィルタリングはおおまかな AAA Override として使用でき、通常、いずれも AAA(RADIUS またはその他の)Override より優先されます。

ただし、Allow AAA Override が有効である場合は、MAC アドレスごとに QoS と ACL を返すように、RADIUS(またはその他の AAA)サーバを設定することもできます。Allow AAA Override が有効な場合は、コントローラで設定されている MAC フィルタリング パラメータよりも AAA Override が優先されます。特定の MAC アドレスで使用できる AAA Override がない場合は、コントローラの既存の MAC フィルタリング パラメータがオペレーティング システムによって使用されます。この AAA(RADIUS またはその他の)Override は詳細な AAA Override として使用できますが、Allow AAA Override が有効な場合のみ、MAC フィルタリングより優先されます。

どのような場合でも、Override パラメータ(オペレータ定義のインターフェイスや QoS など)をコントローラの設定で事前に定義しておく必要があります。

いずれの場合も、レイヤ 2 認証が使用されるかレイヤ 3 認証が使用されるかにかかわらず、AAA サーバまたは MAC フィルタリングで指定されている QoS と ACL がオペレーティング システムによって使用されます。

また、MAC フィルタリング、802.1X、または WPA レイヤ 2 認証が設定されている場合、オペレーティング システムが行うのはクライアントをデフォルトの Cisco UWN Solution 無線 LAN VLAN から別の VLAN に移動することだけです。無線 LAN の設定については、 を参照してください。

Cisco Secure ACS との統合の強化

ID ベースのネットワーキング機能は、認証、認可、アカウンティング(AAA)Override を使用します。次のベンダー固有属性が RADIUS アクセス ポイント メッセージに存在する場合は、値が無線 LAN プロファイルで指定された値を上書きします。

QoS レベル

802.1p 値

VLAN インターフェイス名

アクセス コントロール リスト(ACL)名

このリリースでは、IETF RFC 2868(トンネル プロトコル サポートのための RADIUS 属性)で定義されている標準の「RADIUS による VLAN 名/番号の割り当て」機能を使用して AAA サーバが VLAN の番号または名前を返せるようにするためのサポートが追加されています。無線クライアントを特定の VLAN に割り当てるために、AAA サーバはアクセス ポイント メッセージ内で次の属性をコントローラに送信します。

IETF 64(トンネル タイプ):VLAN

IETF 65(トンネル メディア タイプ): 802

IETF 81(トンネル プライベート グループ ID):VLAN # または VLAN 名文字列

これにより、Cisco Secure ACS はポスチャ分析の結果となりえる VLAN の変更を通信できるようになります。この機能の利点は、次のとおりです。

Cisco Secure ACS との統合により、インストールとセットアップ時間が短縮されます。

Cisco Secure ACS は、有線および無線ネットワーク上で円滑に動作します。

この機能は、2100 シリーズと 4400 シリーズのコントローラ、および 1130 シリーズと 1200 シリーズの Lightweight アクセス ポイントをサポートします。

ファイル転送

Cisco UWN Solution のオペレータは、GUI、CLI コマンド、または Cisco WCS を使用して、オペレーティング システムのコード、設定、および証明書ファイルをコントローラにアップロードしたり、コントローラからダウンロードしたりできます。

CLI コマンドの使用方法については、「コントローラとのファイルのやり取り」を参照してください。

Cisco WCS を使用してソフトウェアをアップグレードする方法については、『Cisco Wireless Control System Configuration Guide』を参照してください。以下の URL をクリックすると、このガイドを参照できます。

http://www.cisco.com/en/US/products/ps6305/products_installation_and_configuration_guides_list.html

Power over Ethernet

Lightweight アクセス ポイントは、イーサネット ケーブルを介して、802.3af 準拠の Power over Ethernet(PoE)デバイスから電力供給を受けることができます。これにより、個々のデバイスへの電力供給や、余分な配線、コンジット、コンセントにかかるコストが軽減され、設置時間を短縮できます。PoE 機能を使用すると、設置担当者は、AC コンセントの近くに Cisco 1000 シリーズ Lightweight アクセス ポイントやその他の電力供給を要する装置を取り付ける必要がなくなるため、Cisco 1000 シリーズ Lightweight アクセス ポイントをより柔軟に配置して、最大カバレッジを得ることができます。

PoE を使用している場合、1 本の CAT-5 ケーブルを各 Lightweight アクセス ポイントから PoE 機能が搭載されているネットワーク要素(PoE 電源ハブや、Cisco WLAN Solution シングルライン PoE インジェクタなど)に接続します。PoE 機器で Lightweight アクセス ポイントが PoE 対応であると判断された場合は、使用されていないイーサネット ケーブル ペアを使って、48VDC の電力が Lightweight アクセス ポイントに供給されます。

PoE ケーブルの長さは、100BASE-T 仕様では 100m、10BASE-T 仕様では 200m に制限されています。

Lightweight アクセス ポイントは、802.3af 準拠デバイスまたは外部電源装置から電力供給を受けることができます。

スタートアップ ウィザード

工場出荷の新しいオペレーティング システム ソフトウェアをロードしたり、工場出荷時のデフォルトにリセットした後でコントローラの電源を入れると、起動スクリプトによりスタートアップ ウィザードが実行され、初期設定を要求するプロンプトが表示されます。スタートアップ ウィザードでは次のことを行います。

コントローラに 32 文字以下のシステム名が付いていることを確認します。

管理ユーザ名とパスワードを追加します(それぞれ 24 文字以下)。

コントローラがサービス ポートを使用して GUI、CLI、または Cisco WCS(直接的にまたは間接的に)と通信できるように設定します。この設定を行うには、有効な IP 設定プロトコル(none または DHCP)を入力し、none の場合は IP アドレスとネットマスクを入力します。サービス ポートを使用しない場合、IP アドレスおよびネットマスクは 0.0.0.0 と入力します。

コントローラが管理インターフェイスでネットワーク(802.11 ディストリビューション システム)と通信できることを確認します。これは、有効な固定 IP アドレス、ネットマスク、デフォルトのルータ IP アドレス、VLAN 識別子、および物理ポート割り当てを収集することで確認します。

DHCP サーバの IP アドレスを入力します。これは、クライアント、コントローラ管理インターフェイス、およびオプションでサービス ポート インターフェイスに IP アドレスを指定する際に使用されます。

LWAPP 転送モードを入力します。詳細は、「レイヤ 2 およびレイヤ 3 の Lightweight Access Point protocol(LWAPP)動作」を参照してください。

仮想ゲートウェイ IP アドレスを収集します。これは、任意の架空、未割り当ての IP アドレス(1.1.1.1 など)で、レイヤ 3 Security Manager と Mobility Manager で使用されます。

ユーザがモビリティ グループ(RF グループ)名を入力できるようにします。

無線 LAN 1 802.11 SSID またはネットワーク名を収集します。

クライアントが固定 IP アドレスを使用できるようにするかどうかを指定します。Yes に設定すると使い勝手は良くなりますが、セキュリティが低下します(セッションがハイジャックされる可能性がある)。クライアントが自分自身の IP アドレスを指定できるので、DHCP を使用できないデバイスに適した設定です。No に設定すると、使い勝手は悪くなりますが、セキュリティが向上します。また、クライアントが IP アドレスの DHCP を指定する必要があり、XP デバイスに適した設定でもあります。

スタートアップ ウィザードから RADIUS サーバを設定する場合は、RADIUS サーバの IP アドレス、通信ポート、および秘密鍵の入力を要求します。

国コードを収集します。

802.11a/n および 802.11b/g/n Lightweight アクセス ポイント ネットワークを有効または無効にします。

Radio Resource Management(RRM)を有効または無効にします。

スタートアップ ウィザードの使用方法については、「設定 ウィザードの使用方法」を参照してください。

Cisco Wireless LAN Controller のメモリ

コントローラには 2 種類のメモリがあります。揮発性 RAM には、現在のアクティブなコントローラ設定が保持され、NVRAM(非揮発性 RAM)にはリブート設定が保持されます。コントローラのオペレーティング システムを設定すると、揮発性 RAM の内容が変更されます。したがって、揮発性 RAM の設定を NVRAM に保存し、コントローラが現在の設定でリブートされるようにする必要があります。

次の処理を行うときは、どちらのメモリを編集しているか理解していることが重要となります。

設定ウィザードの使用方法

コントローラの設定のクリア

設定の保存

コントローラのリセット

CLI からのログアウト

Cisco Wireless LAN Controller のフェールオーバーの保護

各コントローラには、定義された数の Lightweight アクセス ポイント用通信ポートが装備されています。つまり、未使用のアクセス ポイント ポートがある複数のコントローラが同じネットワーク上に展開されている場合、1 つのコントローラが故障すると、ドロップしたアクセス ポイントは、自動的に未使用のコントローラ ポートをポーリングして、そのポートにアソシエートします。

インストール時に、すべての Lightweight アクセス ポイントを専用のコントローラに接続して、最終的な作業として各 Lightweight アクセス ポイントを設定することをお勧めします。この手順では、プライマリ、セカンダリ、ターシャリ コントローラについてそれぞれの Lightweight アクセス ポイントを設定し、設定したモビリティ グループ情報を格納できるようにします。

フェールオーバー回復時に、設定した Lightweight アクセス ポイントが、ローカル DHCP サーバから IP アドレスを取得し(レイヤ 3 動作でのみ)、プライマリ、セカンダリ、ターシャリ コントローラへの接続を試み、次にモビリティ グループ内のその他のコントローラの IP アドレスへの接続を試みます。これにより、アクセス ポイントがブラインド ポーリング メッセージを送信する時間が必要なくなるため、結果的に回復期間が短縮されます。

マルチコントローラ展開では、1 つのコントローラが故障すると、ドロップしたアクセス ポイントが再度ブートされて、Radio Resource Management(RRM)の指示の下で次の処理が行われます。

ローカル DHCP サーバ(ローカル サブネット上にあるサーバ)の IP アドレスを取得します。

Lightweight アクセス ポイントは、プライマリ、セカンダリ、またはターシャリ コントローラが割り当てられている場合、そのコントローラにアソシエートを試みます。

アクセス ポイントにプライマリ、セカンダリ、ターシャリ コントローラが割り当てられていない場合、またはプライマリ、セカンダリ、ターシャリ コントローラが使用できない場合には、同一サブネット上のマスター コントローラにアソシエートを試みます。

アクセス ポイントが同一サブネット上でマスター コントローラを検出できなかった場合は、格納されているモビリティ グループ メンバに IP アドレスで接続を試みます。

使用できるモビリティ グループ メンバがない場合、および Lightweight アクセス ポイントにプライマリ、セカンダリ、ターシャリ コントローラが割り当てられておらず、アクティブなマスター コントローラがない場合、Lightweight アクセス ポイントは、同一サブネット上で最も負荷の少ないコントローラにアソシエートを試み、未使用ポートを使用してそのディスカバリ メッセージに応答します。

つまり、十分なコントローラが展開されている場合には、1 つのコントローラが故障したとしても、アクティブなアクセス ポイントのクライアント セッションがただちにドロップする一方で、ドロップしたアクセス ポイントが別のコントローラの未使用ポートにアソシエートするため、クライアント デバイスはすぐに再アソシエートと再認証を行うことができます。

Cisco Wireless LAN Controller へのネットワーク接続

すべてのコントローラは、動作モードに関係なく、ネットワークを 802.11 ディストリビューション システムとして使用します。コントローラは、イーサネット ポートのタイプや速度に関係なく、関連付けられているコントローラの監視と通信をネットワークを使用して行います。以降の項では、次のネットワーク接続について説明します。

「Cisco 2100 シリーズ Wireless LAN Controller」

「Cisco 4400 シリーズ Wireless LAN Controller」


) コントローラのポートの設定とコントローラへのインターフェイスの割り当てについては、 を参照してください。


Cisco 2100 シリーズ Wireless LAN Controller

Cisco 2100 シリーズ コントローラでは、ネットワークとの通信に任意の物理データ ポートを 1 つ使用できます。また、ポートの 1 つに論理管理インターフェイスを割り当てることができます。物理ポートについては、次の説明を参照してください。

最大 6 本の 10/100BASE-T ケーブルを 2100 シリーズ コントローラ シャーシの 6 つの背面パネル データ ポートに接続できます。2100 シリーズには、2 個の PoE ポートもあります(ポート 7 および 8)。

図1-4は、2100 シリーズ コントローラへの接続を示しています。

図1-4 2100 シリーズ コントローラへの物理ネットワーク接続

 

Cisco 4400 シリーズ Wireless LAN Controller

Cisco 4400 シリーズ コントローラは、1 つまたは 2 つの物理データ ポート ペアを使ってネットワークと通信でき、論理管理インターフェイスを物理ポートに割り当てることができます。物理ポートの説明は次のとおりです。

For the 4402 コントローラでは、次の接続のうち、2 つまでの接続が任意の組み合わせでサポートされます。

1000BASE-T(ギガビット イーサネット、前面パネル、RJ-45 物理ポート、UTP ケーブル)

1000BASE-SX(ギガビット イーサネット、前面パネル、LC 物理ポート、LC 物理コネクタを使用したマルチモード 850nM(SX)光ファイバ リンク)

1000BASE-LX(ギガビット イーサネット、前面パネル、LC 物理ポート、LC 物理コネクタを使用したマルチモード 1300nM(LX/LH)光ファイバ リンク)

4404 コントローラでは、次の接続のうち、4 つまでの接続が任意の組み合わせでサポートされます。

1000BASE-T(ギガビット イーサネット、前面パネル、RJ-45 物理ポート、UTP ケーブル)

1000BASE-SX(ギガビット イーサネット、前面パネル、LC 物理ポート、LC 物理コネクタを使用したマルチモード 850nM(SX)光ファイバ リンク)

1000BASE-LX(ギガビット イーサネット、前面パネル、LX 物理ポート、LC 物理コネクタを使用したマルチモード 1300nM(LX/LH)光ファイバ リンク)

図1-5は、4400 シリーズ コントローラへの接続を示しています。

図1-5 4402 および 4404 シリーズ コントローラへの物理ネットワーク接続