ワイヤレス : Cisco 4400 シリーズ ワイヤレス LAN コントローラ

Cisco Wireless LAN Controller を用いた Cisco Guest Access 導入ガイド Release 4.1

Cisco Wireless LAN Controller を用いた Cisco Guest Access 導入ガイド Release 4.1
発行日;2012/01/20 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco Wireless LAN Controller を用いた Cisco Guest Access 導入ガイド Release 4.1

目次

概要

用語と略語

Cisco Wireless LAN Controller でのゲスト アクセスの設定

初期設定

近接スイッチへの接続

Cisco Wireless LAN Controller の設定

ゲストおよびセキュア(従業員)VLAN 用の VLAN インターフェイスの修正

セキュリティ ポリシーを定義するための WLAN インスタンスの修正

ゲスト アクセス アカウントの作成

Lobby Ambassador オプションを使用したゲスト アクセス アカウントの作成

コントローラ GUI を使用した Lobby Ambassador アカウントの作成

CLI を使用した Lobby Ambassador アカウントの作成

コントローラ GUI を使用したゲスト ユーザ アカウントの作成

ゲスト ユーザ アカウントの表示

GUI を使用したゲスト アカウントの表示

CLI を使用したゲスト アカウントの表示

Web 認証プロセス

コントローラ上でのモビリティ アンカー機能を使用した Web 認証

シスコ製品でのゲスト トンネリングのサポート

アンカー コントローラの選択

コントローラの作成とモビリティ グループへの追加

自動アンカー モビリティの設定

モビリティ アンカーの設定の確認

コントローラ上での Web ログイン ページの有効化

Wireless LAN Controller のリブート

外部 RADIUS サーバを使用した Web 認証

外部 Web サーバを使用した Web 認証

カスタマイズされた Web 認証ログイン ウィンドウを外部 Web サーバから GUI を使用して選択する

ワイヤレス ゲスト アクセスをサポートするための PC での変更

クライアント ログイン

Cisco WCS を使用したゲスト ユーザの追加

Lobby Ambassador アカウントの作成

WCS ユーザ インターフェイスへのログイン

WCS ゲスト ユーザ アカウントの管理

Lobby Ambassador のアクティビティのロギング

トラブルシューティング

モビリティ アンカーのデバッグ

関連ドキュメンテーション

Cisco Wireless LAN Controller を用いた Cisco Guest Access 導入ガイド Release 4.1

最終更新日:2007 年 7 月

概要

今日の先進企業は、来社した顧客、パートナー、ベンダー、協力会社などにネットワーク アクセスを提供するという課題に直面しています。このようにネットワーク アクセスを広げることによって生産性が向上し、コラボレーションが進み、サービスの質が向上しますが、ネットワーク使用量増加とセキュリティの問題に対処するために、ゲスト アクセスのポリシーを確立することが必要になります。

企業のネットワークへのゲスト アクセスに関して、幅広いユーザ層を視野に入れたソリューションを採用することによって、ネットワーク アクセスの制御が可能になり、非定型的な IT サポート要求が減ります。また、ゲストのネットワーク利用状況を把握でき、社内リソースとゲストのトラフィックとを安全に分離できるようになります。

ゲスト アクセスの必要性は徐々に高まっています。ラップトップ コンピュータ、ネットワーク化アプリケーション、およびデジタル電話回線が当たり前となった今では、これらのテクノロジーを常時利用できなければ、訪問してきたゲストは自身の力を発揮できません。

ゲスト ネットワークとは、企業がゲストに対して提供するネットワーク接続です。その目的は、ゲストがインターネットにアクセスできるようにすることと、ホストのエンタープライズ ネットワークのセキュリティを損なうことなくゲスト自身のエンタープライズにアクセスできるようにすることです。

ゲスト アクセス ソリューションに不可欠な、技術面での主な要件を次に示します。

エンタープライズ ネットワークおよびそのリソースへの完全な統合

ゲスト トラフィックとエンタープライズ内部トラフィックとの論理的な分離(セグメンテーション)

ゲスト自身の社内ネットワークへのセキュア VPN 接続

認証とログインが可能であること

このドキュメントでは、Cisco Wireless LAN Controller を使用して企業の社内ネットワークを介したゲスト アクセス ソリューションを導入する方法を、さまざまなシナリオを通して紹介します。

用語と略語

 

表1 この導入ガイドで使用する主な用語

用語または略語
定義

Cisco WiSM

Cisco Wireless Services Module(Cisco ワイヤレス サービス モジュール)。Cisco Catalyst 3750G および Catalyst 6500 スイッチのワイヤレス LAN コントローラ機能を担うモジュールです。

Lightweight アクセス ポイント(LAP)

Lightweight Access Point Protocol(LWAPP)を実行するアクセス ポイント。このプロトコルによって、アクセス ポイントと Wireless LAN Controller との連携が可能になります。

LWAPP

Lightweight Access Point Protocol。集中管理型のワイヤレス LAN アーキテクチャである Cisco Unified Wireless Network アーキテクチャで使用されている IETF ドラフト プロトコルです。LWAPP では、Cisco Unified Wireless Network で使用される制御フォーマットとデータ カプセル化フォーマットの両方が定義されています。

WCS

Cisco Wireless Control System。Wireless LAN Controller を管理し、ロケーションベース サービスなどの高度な管理オプションを追加するための管理ソフトウェア。

WLAN

Wireless LAN(ワイヤレス LAN)

WLC(またはコントローラ)

Cisco Wireless LAN Controller。Lightweight アクセス ポイントおよびワイヤレス LAN のデータ トラフィックを集中管理するシスコ製デバイス。

Cisco Wireless LAN Controller でのゲスト アクセスの設定

既存のエンタープライズ有線ネットワークと無線ネットワークのどちらのインフラストラクチャも、ワイヤレス ゲスト ネットワークを実装するために使用できます。ゲスト アクセスをサポートするための独立したオーバーレイ ネットワークは必要ありません。

したがって、ゲスト ネットワークを実装および維持するための全体的なコストは大幅に縮小されます。

既存の有線または無線ネットワーク上にゲスト ネットワークを実装するには、次の要素が必要です。

専用のゲスト SSID/WLAN:ゲスト アクセスを必要とするすべての無線ネットワークの中に必要。

ゲスト トラフィックの隔離またはパスの分離:共有物理ネットワーク インフラストラクチャの中の、独立した専用のトラフィック パスのみをゲスト トラフィックが通過するようにするため。

アクセス コントロール:ネットワークにログインしたユーザまたはデバイスを識別し、適切なグループに割り当てるために、認証プロセスを使用して行う。

ゲスト ユーザ資格情報管理:権限を持つユーザがゲストの一時的な資格情報を作成できるようにするため。この機能は、アクセス コントロール プラットフォーム内に存在するものでも、AAA またはその他の管理システムのコンポーネント内に存在するものでもかまいません。

初期設定

図1 は、Cisco Wireless LAN Controller を使用する基本的なゲスト アクセス アプリケーションの図です。この構成は、Cisco 2000、2100、および 4400 シリーズの Wireless LAN Controller を使用する場合に適用可能です。

リモート オフィスのコントローラは WAN インフラストラクチャに接続されます。

コントローラ上のインターフェイスはすべて物理ポート 1 にマッピングされています。また、次の 2 つのワイヤレス LAN が設定されています。

ゲスト ユーザ用のワイヤレス LAN(SSID: guest

EAP 認証用のワイヤレス LAN(SSID: secure

ダイナミック VLAN インターフェイスは、guest SSID 用(VLAN 60)と secure EAP SSID 用(VLAN 30)が作成されます。

管理およびアクセス ポイント(AP)マネージャ インターフェイスは、VLAN 50 を使用するように設定されます。

ネットワーク サービス(AAA、DHCP、および DNS)はすべて VLAN 1 上に設定されます。

アクセス ポイントはすべて VLAN 50 に接続されます。

図1 リモート オフィスの設定の例

 

近接スイッチへの接続

コントローラは、近接する Catalyst 3750 スイッチに、ポートを 1 つだけ使用して接続されます。近接スイッチ ポートは 802.1Q トランクとして設定され、割り当てられた VLAN(この例では VLAN 30、50、および 60)のみが接続を許可されます。AP マネージャ インターフェイスおよび管理インターフェイスは、この例でトランク インターフェイスのネイティブ VLAN として設定されている VLAN 50 のメンバです。

コマンドライン インターフェイス(CLI)での 802.1Q switchport の設定は次のとおりです。

interface GigabitEthernet1/1
description Trunk Port to Cisco WLC
switchport trunk encapsulation dot1q
switchport trunk native vlan 50
switchport trunk allowed vlan 30,50,60
switchport mode trunk
no ip address

Cisco Wireless LAN Controller の設定

Cisco Wireless LAN Controller の初期設定は、コンソール ケーブルをコントローラに接続して行います。管理者によるシステムの設定は、コンソール ポートで自動 Configuration Wizard を使用して行うことができます。


) 初期設定が完了したら、管理者はコントローラ CLI またはコントローラ GUI を使用して Cisco Wireless LAN Controller を設定します。


Configuration Wizard を実行すると、下記のスクリプト例に示すように多数の項目が設定されます。このプロセスで設定される項目には、システム名、Cisco Wireless LAN Controller 管理用ユーザ資格情報、管理インターフェイス、AP マネージャ、仮想インターフェイス、モビリティ グループ名、1 個の SSID、RADIUS サーバなどがあります。

Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
System Name [Cisco_33:1c:c0]:
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): *****
Management Interface IP Address: 10.10.50.2
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.50.1
Management Interface VLAN Identifier (0 = untagged):
Management Interface Port Num [1 to 4]: 1
Management Interface DHCP Server IP Address: 10.1.1.11
AP Manager Interface IP Address: 10.10.50.3
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (10.1.1.11):
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: mobile-1
Network Name (SSID): guest
Allow Static IP Addresses [YES][no]: no
Configure a RADIUS Server now? [YES][no]: YES
Enter the RADIUS Server's Address: 10.1.1.11
Enter the RADIUS Server's Port [1812]:
Enter the RADIUS Server's Secret: cisco
Enter Country Code (enter 'help' for a list of countries) [US]: US
Enable 802.11b Network [YES][no]: YES
Enable 802.11a Network [YES][no]: YES
Enable 802.11g Network [YES][no]: YES
Enable Auto-RF [YES][no]: YES
Configuration saved!
Resetting system with new configuration....
 

) 初期セットアップの実行時に、管理インターフェイスの VLAN はタグなしに設定されます。これは、スイッチ トランク ポート上のネイティブ VLAN に対応しているからです。デフォルトでは、タグなしの VLAN には値 0(ゼロ)が割り当てられますが、この値がスイッチ ポート上の VLAN 番号に対応していないこともあります。このドキュメントで取り上げる例では(図1)、スイッチ ポートのネイティブ VLAN は VLAN 50 ですが、Cisco Wireless LAN Controller 上では管理インターフェイスが VLAN 0 に割り当てられています。その他のオプションはすべて、デフォルト値がそのまま使用されています。その値は前述の Configuration Wizard のスクリプトのとおりです。


ゲストおよびセキュア(従業員)VLAN 用の VLAN インターフェイスの修正

Configuration Wizard プロセスで割り当てられた guest VLAN および secure(従業員)VLAN の初期設定を修正する必要があります。


) これ以降、コントローラの設定作業はすべてコントローラ GUI を使用して行います。


コントローラ GUI を使用して guest および secure の VLAN インターフェイスを修正する手順は次のとおりです。


ステップ 1 ブラウザで管理インターフェイスの IP アドレスにアクセスします。デフォルトでは HTTPS のみがオンになっているので、URL は https://<management_IP> となります。

図2 に示すウィンドウが表示されます。

図2 Configuration Wizard によって作成されたコントローラの初期設定

 

ステップ 2 コントローラ GUI で Controller > Interfaces を選択します。

ステップ 3 guest SSID のダイナミック VLAN インターフェイスを作成するために、 New... をクリックします。

表示されたウィンドウの Interface Name フィールドに名前を入力し、VLAN ID フィールドで値を割り当てます。この例では、「guest-vlan」と「60」が入力されています(図3 参照)。

図3 Controller > Interfaces > New

 

ステップ 4 Apply をクリックします。図4 に示すウィンドウが表示されます。

図4 Interfaces > Edit ウィンドウ

 

ステップ 5 VLAN インターフェイスの IP アドレス、ネット マスク、およびゲートウェイ アドレスを入力します。

ステップ 6 物理ポートのポート番号を入力します。

ステップ 7 DHCP サーバの IP アドレスを入力します。

ステップ 8 アクセス コントロール リストを選択します(該当する場合)。

ステップ 9 Apply をクリックします。図5 に示す画面の一覧に、新しく追加した VLAN が表示されます。

図5 インターフェイス一覧ウィンドウに表示されているゲスト VLAN とセキュア VLAN

 

ステップ 10 手順 2 から 9 までをもう一度実行して、EAP SSID(従業員用セキュア VLAN)用のダイナミック インターフェイスを作成します。

この例では、VLAN の名前は「secure-vlan」、VLAN ID は 30 と設定されています。


 

セキュリティ ポリシーを定義するための WLAN インスタンスの修正

ワイヤレス LAN のゲストおよびセキュアの VLAN インターフェイスの IP アドレスを設定したら、次にセキュリティ ポリシーを定義します。たとえば、guest および secure(従業員用)のワイヤレス LAN アクセス インターフェイスの Web 認証(レイヤ 3 セキュリティ ポリシー)を定義します。

WLAN のセキュリティ ポリシーを定義する手順は次のとおりです。


ステップ 1 WLANs をクリックします。WLAN 一覧ウィンドウが表示されます(図6 参照)。

図6 既存の定義済みワイヤレス LAN が表示されている WLAN 一覧ページ

 

ステップ 2 guest WLAN の横にある青いドロップダウン矢印をクリックして Edit を選択します。図7 に示すウィンドウが表示されます。

図7 ゲスト WLAN の WLANs > Edit ウィンドウ

 

ステップ 3 General Policies タブの DHCP Relay/DHCP Server IP Addr チェックボックスを見て、有効な DHCP サーバがすでに WLAN に割り当てられているかどうかを確認します。

DHCP サーバが割り当てられている場合は、手順 4 に進んでください。

WLAN に DHCP サーバが割り当てられていない場合は、下記の手順 a から e までを実行してください。

a. General Policies の下の Admin Status チェックボックスをオフにします。

b. Apply をクリックします。この WLAN は使用不可能になります。

c. DHCP Relay/DHCP Server IP Addr 編集ボックスに、この WLAN の有効な DHCP サーバの IP アドレスを入力します。

d. General Policies の下の Admin Status チェックボックスをオンにします。

e. Apply をクリックします。DHCP サーバが WLAN に割り当てられ、WLAN は使用可能になります。自動的に WLANs ページに戻ります。

ステップ 4 WLANs ページの右上にある Ping をクリックして DHCP サーバの IP アドレスを入力し、WLAN と DHCP サーバが通信可能であることを確認します。

ステップ 5 General Policies タブにある Interface Name ドロップダウン メニューで、該当するインターフェイス名を選択します。

この例では、ゲスト WLAN のインターフェイスは「guest-vlan」(「ゲストおよびセキュア(従業員)VLAN 用の VLAN インターフェイスの修正」で割り当てたもの)です。

ステップ 6 Layer 3 タブの Web Policy チェックボックスをオンにして、 Authentication を選択します。


) Layer 2 および Layer 3 Security のメニューのオプションは None のままです。


ステップ 7 Apply をクリックします。WLAN スイッチの現行設定に対するインターフェイスの編集内容が保存されます。

ステップ 8 セキュア WLAN のセキュリティ ポリシーを設定するために、 secure WLAN の横の青いドロップダウン矢印をクリックして Edit を選択します。

ステップ 9 前述の手順 3 から 5 までをもう一度実行して、 secure WLAN 用の設定を行います。

ステップ 10 Layer 2 タブの Layer 2 Security ドロップダウン メニューで、高レベルのセキュリティ オプション(たとえば WPA+ WPA2)を選択します。

図8 セキュア WLAN のレイヤ 2 セキュリティ ポリシーの割り当て

 


) Layer 2 Security ドロップダウン メニューで WPA2 を選択した場合は、この機能を有効にするために WPA Encryption の両方のオプションのチェックボックス(AES と TKIP)をオンにする必要があります。



) 認証に RADIUS サーバを使用する場合は、Radius Servers セクションにある Authentication Server ドロップダウン メニューで該当する IP アドレスを選択します。この例では、手順 10 で Layer 2 セキュリティをこのように選択したことから、この値の定義が必要になります。


ステップ 11 Apply をクリックします。WLAN スイッチの現行設定に対するインターフェイスの編集内容が保存されます。


 

ゲスト アクセス アカウントの作成

Local Network User オプションを使用すると、コントローラのローカル データベースに直接ユーザを追加できるようになります。ローカル ユーザ データベースのエントリ数の上限は 2,048 ですが、 Security > General ページでデフォルト値の 512 に設定されています。このデータベースは、ローカル管理ユーザ(Lobby Ambassador を含む)、ネット ユーザ(ゲスト ユーザを含む)、MAC フィルタ エントリ、および無効化されたクライアントによって共有されます。この全種類のユーザ数合計が、設定済みのデータベース サイズ以下でなければなりません。

Lobby Ambassador オプションは、2 つの手順から成るプロセスです。最初の手順では、ロビー管理者アカウント(Lobby Ambassador アカウントと呼ぶこともあります)を作成します。2 つ目の手順では、Lobby Ambassador アカウントを使用してコントローラにログインしてから、ゲスト ユーザ アカウントを作成します。Lobby Ambassador には設定を行うための限定的な特権が与えられ、ゲスト アカウントの管理に使用する Web ページにのみアクセス可能です。Lobby Ambassador は、ゲスト ユーザ アカウントがアクティブである時間の長さを指定することができます。指定された時間が経過すると、ゲスト ユーザ アカウントは自動的に失効します。

Lobby Ambassador オプションを使用したゲスト アクセス アカウントの作成

Lobby Ambassador アカウントを使用してゲスト アクセス アカウントを割り当てます。コントローラ上での Lobby Ambassador アカウントの作成には、コントローラの GUI と CLI のどちらも使用できます。

この項では CLI と GUI の例を示します。

コントローラ GUI を使用した Lobby Ambassador アカウントの作成

コントローラ GUI を作成してコントローラ上に Lobby Ambassador アカウントを作成する手順は次のとおりです。


ステップ 1 Management > Local Management Users をクリックします。図9 に示すウィンドウが表示されます。

図9 ローカル管理ユーザ一覧ウィンドウ

 


) この Local Management Users ウィンドウには、現在のローカル管理ユーザの名前とアクセス特権が一覧表示されます。表示されているユーザ アカウントをコントローラから削除するには、そのアカウントの横にある青い矢印のドロップダウン メニューで Remove オプションを選択します。ただし、デフォルトの管理用ユーザを削除すると、GUI と CLI のどちらからもコントローラにアクセスできなくなります。したがって、デフォルト ユーザを削除する場合は、その前に管理特権(ReadWrite)を持つユーザを作成する必要があります。


ステップ 2 New をクリックします。図10 に示すウィンドウが表示されます。

図10 Local Management Users > New ページ

 

ステップ 3 User Name フィールドにユーザ名を入力します。

ステップ 4 Password フィールドと Confirm Password フィールドにパスワードを入力します。


) パスワードでは大文字と小文字が区別されます。


ステップ 5 User Access Mode ドロップダウン メニューで LobbyAdmin を選択します。このオプションを選択すると、Lobby Ambassador がゲスト ユーザ アカウントを作成できるようになります。


) User Access Mode メニューで ReadOnly オプションを選択すると、読み取り特権のみを持つアカウントが作成され、ReadWrite オプションを選択すると読み取りと書き込みの両方の特権を持つ管理用アカウントが作成されます。


ステップ 6 Apply をクリックして変更内容を確認します。新しい Lobby Ambassador アカウントがローカル管理ユーザの一覧に表示されます。

ステップ 7 Save Configuration をクリックして変更内容を保存します。


 

CLI を使用した Lobby Ambassador アカウントの作成

コントローラ CLI を使用して Lobby Ambassador アカウントを作成するには、次のコマンドを入力します。

config mgmtuser add lobbyadmin_username lobbyadmin_pwd lobby-admin


) CLI コマンドの lobby-admin の代わりに read-only を指定すると、読み取り特権のみを持つアカウントが作成されます。lobby-admin の代わりに read-write を指定すると、読み取りと書き込みの両方の特権を持つ管理用アカウントが作成されます。


コントローラ GUI を使用したゲスト ユーザ アカウントの作成

Lobby Ambassador アカウントを作成した後でコントローラ GUI を使用してゲスト ユーザ アカウントを作成する手順は次のとおりです。


) Lobby Ambassador はコントローラ CLI にアクセスできないので、ゲスト ユーザ アカウントを作成できるのはコントローラ GUI からのみとなります。



ステップ 1 前述の「コントローラ GUI を使用した Lobby Ambassador アカウントの作成」で指定したユーザ名とパスワードを使用して、Lobby Ambassador としてコントローラにログインします。

図11 に示すウィンドウが表示されます。

図11 Lobby Ambassador Guest Management > Guest Users List ウィンドウ

 

ステップ 2 ゲスト ユーザ アカウントを作成するために New をクリックします。図12 に示すウィンドウが表示されます。

図12 Guest Users List > New ページ

 

ステップ 3 User Name フィールドにゲスト ユーザの名前を入力します。24 文字まで入力できます。

ステップ 4 次のいずれかを実行します。

このゲスト ユーザ用に自動パスワードを生成するには、Generate Password チェックボックスをオンにします。生成されたパスワードが自動的に Password フィールドと Confirm Password フィールドに入力されます。

このゲスト ユーザ用のパスワードを自分で作成する場合は、Generate Password チェックボックスをオフのままにして、Password フィールドと Confirm Password フィールドの両方にパスワードを入力します。


) パスワードは 24 文字まで入力でき、大文字と小文字が区別されます。


ステップ 5 Lifetime のドロップダウン ボックスで、このゲスト ユーザ アカウントをアクティブなままにする時間の長さ(日数、時間、分、秒)を選択します。すべてのフィールドに 0(ゼロ)を入力すると、永続的なアカウントが作成されます。

デフォルト値:1 日

範囲:5 分~ 30 日


) この値とゲスト WLAN(このゲスト アカウントが作成された WLAN)のセッション タイムアウトのうち、小さい方が優先されます。たとえば、WLAN セッション タイムアウトまでの時間が 30 分あっても、ゲスト アカウントのライフタイムの残り時間が 10 分ならば、このゲスト アカウントは 10 分後に失効して削除されます。同様に、ゲスト アカウントのライフタイムよりも WLAN セッション タイムアウトまでの時間の方が短い場合は、クライアント側でたびたびセッション タイムアウトが発生し、そのたびに再認証を行うことになります。



) ゲスト ユーザ アカウントのライフタイムを 0 から別の値に変更することは、そのアカウントがアクティブである間、いつでも行うことができます。ただし、ゲスト ユーザ アカウントを永続的アカウントにする、または永続的アカウントをゲスト アカウントに変更するには、アカウントを削除して作成し直す必要があります。


ステップ 6 WLAN SSID ドロップダウン メニューで、ゲスト ユーザが使用する SSID を選択します。一覧には、レイヤ 3 Web 認証が設定されている WLAN のみが表示されます(セキュリティ ポリシーの設定方法の詳細は、「セキュリティ ポリシーを定義するための WLAN インスタンスの修正」を参照してください)。


) 競合を防止するために、専用の guest WLAN を作成することをお勧めします。あるゲスト アカウントが失効したときに、そのアカウントと名前が競合するアカウントが RADIUS サーバ上にあり、両方とも同じ WLAN にある場合は、これらのアカウントに関連付けられているユーザはどちらもアソシエーションが解除され、その後でゲスト ユーザが削除されます。


ステップ 7 Description フィールドにゲスト ユーザ アカウントの説明を入力します。32 文字まで入力できます。

ステップ 8 Apply をクリックして変更を確定します。新しいゲスト ユーザ アカウントが、Guest Users List ページのゲスト ユーザ一覧に表示されます(図13 参照)。

図13 Lobby Ambassador Guest Management > Guest Users List 一覧ウィンドウ

 

このページでは、すべてのゲスト ユーザ アカウントとその WLAN SSID およびライフタイムを確認できます。また、ゲスト ユーザ アカウントの編集や削除も可能です。ゲスト ユーザ アカウントを削除すると、ゲスト WLAN を使用しており、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。

ステップ 9 別のゲスト ユーザ アカウントを作成する場合は、上記の手順を繰り返します。


 

ゲスト ユーザ アカウントの表示

Lobby Ambassador によって作成されたゲスト ユーザ アカウントは、システム管理者がコントローラ GUI または CLI で表示することができます。

GUI を使用したゲスト アカウントの表示

コントローラ GUI を使用してゲスト ユーザ アカウントを表示するには、Security をクリックして、AAA の下の Local Net Users をクリックします。図14 に示す Local Net Users ページが表示されます。

図14 Local Net Users ページ

 

Local Net Users ページでは、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)が一覧表示され、システム管理者は必要に応じてアカウントを編集または削除することができます。ゲスト ユーザ アカウントを削除すると、ゲスト WLAN を使用しており、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます

アカウントを編集または削除するには、青い矢印のドロップダウン メニューをクリックして該当するオプションを選択します。

CLI を使用したゲスト アカウントの表示

コントローラ CLI を使用してすべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示するには、コマンド show netuser summary を入力します。

Web 認証プロセス

Web 認証は、レイヤ 3 セキュリティ機能の 1 つです。この機能が有効化されているときは、クライアントが正しいユーザ名とパスワードを入力するまでは IP トラフィック(DHCP 関連のパケットを除く)がコントローラによってブロックされます。クライアントの認証に Web 認証を使用するときは、管理者が各クライアントのユーザ名とパスワードを定義する必要があります。この場合は、クライアントがワイヤレス LAN に加入しようとするとログイン ウィンドウが表示され、ユーザはユーザ名とパスワードを入力する必要があります。

Cisco Wireless LAN Controller で Web 認証機能を使用するときに、ゲスト ユーザの認証は、Wireless LAN Controller 上、外部 Web サーバ上、または RADIUS サーバ上の外部データベース上で行うことができます。

次の 4 つの方法について、以降の項で説明します。

「コントローラ上でのモビリティ アンカー機能を使用した Web 認証」

「外部 RADIUS サーバを使用した Web 認証」

「外部 Web サーバを使用した Web 認証」

「ワイヤレス ゲスト アクセスをサポートするための PC での変更」

コントローラ上でのモビリティ アンカー機能を使用した Web 認証

ゲスト トンネリングを利用すると、企業のワイヤレス ネットワークへのゲスト アクセスのセキュリティが強化されます。ゲスト ユーザは、最初に企業のファイアウォールを通過しなければ社内ネットワークにアクセスできなくなります。ネットワーク上の各コントローラも含まれるように DMZ 仮想 LAN(VLAN)を拡張する代わりに、Cisco 4100 または 4400 シリーズ Wireless LAN Controller または Cisco WiSM を DMZ VLAN 内のアンカー コントローラとして使用して、リモート コントローラからのトラフィックの終端とすることができます。

社内の従業員ユーザのトラフィックとゲスト ユーザのトラフィックとを分離するには、Ethernet over IP(EoIP)トンネルおよび VLAN をリモート コントローラと DMZ コントローラの間で使用します。

シスコ製品でのゲスト トンネリングのサポート

ゲスト トンネリングは、ほとんどのコントローラ プラットフォーム上で、企業のワイヤレス ネットワークへのゲスト アクセスのセキュリティを強化するために使用できます( 表2 )。

 

表2 Wireless LAN Controller プラットフォームでのゲスト トンネリングのサポート

ソフトウェア リリース/プラットフォーム
3.0
3.2
4.0
4.1

Cisco 4100 シリーズ Wireless LAN Controller

Y

Y

N

N

Cisco 4400 シリーズ Wireless LAN Controller

Y

Y

Y

Y

Cisco 2000 および 2100 シリーズ Wireless LAN Controller 1

N

Y

Y

Y

Cisco 6500 シリーズ(WiSM)

---

Y

Y

Y

Cisco 3750 シリーズおよび Integrated Wireless LAN Controller

---

N

Y

Y

Integrated Service Router 用 Cisco Wireless LAN Controller モジュール 1

---

Y

Y

Y

1.アンカー機能(トンネル終端、Web 認証およびアクセス コントロール)用には使用できませんが、ゲスト コントローラ トンネルの起点とすることは可能です。ユーザがアソシエーションに使用した Service Set Identifier(SSID)がゲスト SSID として指定されたものである場合は、ユーザのトラフィックが DMZ アンカー コントローラにトンネリングされます。このコントローラから、企業のファイアウォール外にある DMZ ネットワークにトラフィックをルーティングすることができます。

ゲスト トンネリングのシナリオでは、次のようになります。

ユーザの IP アドレスは DMZ アンカー コントローラから管理されます。このコントローラは、ゲスト専用の VLAN を持ちます。

リモート コントローラと DMZ アンカー コントローラの間のユーザ トラフィックはすべて Ethernet-over-IP(EoIP)トンネル経由で転送されます。

クライアント デバイスがコントローラ間をローミングするときにモビリティがサポートされます。

DMZ アンカー コントローラ 1 つにつき、各種の内部コントローラからのトンネルを最大 40 個サポートできます。このトンネルは、各コントローラから SSID ごとにモビリティ アンカー機能を使用して確立されます。つまり、それだけ多くのワイヤレス クライアントがトンネルを通ることができます。

リモート サイトの数が多い場合に、複数のサイトからのさまざまな種類のゲスト トラフィックをそれぞれ異なる DMZ アンカー コントローラに転送することも、複数のワイヤレス LAN を持つ 1 つの DMZ アンカー コントローラに転送することも可能になりました。DMZ アンカー コントローラ上に配置されたユーザは、AAA オーバーライド機能を使用して RADIUS Vendor Specific Attribute(VSA; ベンダー固有アトリビュート)をセッション単位で適用することができます。

ゲスト トンネリングを利用すると、企業のワイヤレス ネットワークへのゲスト アクセスのセキュリティが強化されます。


) この導入ガイドで取り上げる例では、リモート コントローラと DMZ アンカー コントローラは同じモビリティ グループに割り当てられています。基本的に、ゲスト トンネリング機能を実装するにあたって、リモート コントローラと DMZ アンカー コントローラが同じモビリティ グループに属していることは必須ではありません。


図15 モビリティ アンカー コントローラ機能を使用した Web 認証

 

アンカー コントローラの選択

コントローラのアンカー機能には、トンネル終端、Web 認証、アクセス コントロールなどがあります。

Cisco 4400 シリーズ コントローラは、ファイアウォールの外の DMZ インターフェイスにおけるアンカー コントローラとして使用できるコントローラの中では最もコスト効率に優れています。

コントローラをゲスト アクセスとトンネル終端機能のみに使用する場合は、12 アクセス ポイント サポート構成の Cisco 4402 で十分です。ネットワーク内の LWAPP アクセス ポイントの管理には使用しないからです。また、Cisco 4400 はサポート可能な同時ユーザ数が最大 2,500 で、2 Gbps の転送能力を備えています。

ゲスト アクセス ネットワークのスループットの要件が 2 Gbps を超える場合は、Cisco 4404 または Cisco WiSM をアンカー コントローラとして使用してください。

1 台の Cisco 4400 シリーズ コントローラまたは Cisco Catalyst 3750G Integrated Wireless LAN Controller で、最大 40 台のコントローラからの EoIP トンネルをサポートすることができます。

1 つの Cisco WiSM(2 つの独立したコントローラで構成されます)で、最大 80 個の EoIP トンネルをサポートできます。

コントローラの作成とモビリティ グループへの追加

モビリティ グループを設定する手順は次のとおりです。


ステップ 1 リモート コントローラ内と DMZ アンカー コントローラ内にモビリティ グループを作成します。この例では、リモート コントローラのモビリティ グループの名前を mobile-1 、DMZ アンカー コントローラのモビリティ グループの名前を mobile-9 とします。


) モビリティ グループの名前は一般に、導入時に Startup Wizard で設定されます。ただし、必要であれば Controller > General ページの Default Mobility Domain Name フィールドで変更することができます。モビリティ グループの名前では、大文字と小文字が区別されます。


ステップ 2 リモート コントローラから、 Controller > Mobility Groups を選択して Static Mobility Group Members ウィンドウを開きます(図16 参照)。

図16 Controller > Static Mobility Group Members ウィンドウ

 

ステップ 3 Edit All をクリックします。図17 に示すウィンドウが表示されます。

図17 Mobility Group Members > Edit All

 

ステップ 4 DMZ アンカー コントローラの MAC アドレス、IP アドレス、およびモビリティ グループ名を Edit All パネルで入力します。


) この例では、DMZ アンカー コントローラの MAC アドレスは 00:18:73:34:b2:60、IP アドレスは 10.10.75.2、モビリティ グループ名は mobile-9 を使用します。


ステップ 5 DMZ アンカー コントローラで、 Controller > Mobility Groups を選択して Static Mobility Group Members ウィンドウを開きます。

ステップ 6 Edit All をクリックします。

ステップ 7 リモート コントローラの MAC アドレスと IP アドレスを Edit All パネルで入力します。


) この例では、リモート コントローラの MAC アドレスは 00:0b:85:40:cd:40、IP アドレスは 10.10.50.2 を使用します。


ステップ 8 2 つのコントローラをモビリティ グループに追加したら、 Apply Save Configuration をクリックします。

これで、リモート コントローラと DMZ コントローラの間にモビリティ アンカーを作成できるようになりました。


 

自動アンカー モビリティの設定

自動アンカー モビリティ(またはゲスト WLAN モビリティ)を使用すると、ワイヤレス LAN 上でクライアントがローミングするときのロード バランシングとセキュリティが向上します。通常のローミング条件では、クライアント デバイスがワイヤレス LAN に加入すると、クライアント デバイスは最初に接触したコントローラに固定(アンカー)されます。クライアントが別のサブネットにローミングした場合は、ローミング先のコントローラによってそのクライアントとアンカー コントローラとの外部セッションがセットアップされます。ただし、自動アンカー モビリティ機能を使用すれば、1 つまたは複数のコントローラをワイヤレス LAN のクライアント用アンカー ポイントとして指定することができます。

自動アンカー モビリティ モードでは、モビリティ グループのサブセットがワイヤレス LAN のアンカー コントローラとして指定されます。この機能を使用すると、クライアントがどのエントリ ポイントからネットワークに入るかにかかわらず、WLAN を 1 つのサブネットの中だけにとどめておくことができます。クライアントはエンタープライズ内のどのゲスト WLAN にもアクセスできますが、アクセス先は特定のサブネットに限定されます。自動アンカー モビリティを利用すると、地理的なロード バランシングも可能になります。ワイヤレス LAN によって建物の特定の部分(ロビーやレストランなど)を表すことができ、実質的に WLAN のコントローラのセットを中央管理することになるからです。最初に接触したコントローラにモバイル クライアントを固定する代わりに、一定範囲内のアクセス ポイントを制御するコントローラに固定することができます。

クライアントがコントローラに初めてアソシエートするときに、そのコントローラのモビリティ グループがあらかじめ WLAN の モビリティ アンカーとして設定されている場合は、クライアントはコントローラにローカルにアソシエートし、ローカル セッションがそのクライアントに対して作成されます。クライアントの固定先となることができるのは、WLAN のアンカー コントローラとしてあらかじめ設定されているコントローラのみです。1 つの WLAN に対して、モビリティ グループ内の全コントローラでアンカー コントローラのセットの設定が同一であるようにしてください。

クライアントがコントローラに初めてアソシエートするときに、そのコントローラのモビリティ グループが WLAN のモビリティ アンカーとして設定されていない場合は、クライアントはコントローラにローカルにアソシエートし、ローカル セッションがそのクライアントに対して作成され、そのコントローラが同じモビリティ グループ内の他のコントローラにアナウンスされます。このアナウンスに対する応答がない場合、コントローラは、WLAN に対して設定されているアンカー コントローラの 1 つと通信して、そのクライアント用の外部セッションをローカル スイッチ上に作成します。クライアントからのパケットは、モビリティ トンネルを介して EtherIP を使用してカプセル化され、アンカー コントローラに送信されます。アンカー コントローラによってパケットのカプセル化が解除され、有線ネットワークに配信されます。クライアントへのパケットはアンカー コントローラによって受信され、EtherIP を使用してモビリティ トンネルを介して外部コントローラに転送されます。外部コントローラによってパケットのカプセル化が解除され、クライアントに転送されます。

リリース 4.1 より前のコントローラ ソフトウェアには、モビリティ グループ内の特定のコントローラが到達不可能であるかどうかを自動的に判断する手段がありません。したがって、障害状態のアンカー コントローラに外部コントローラが新規クライアント要求を送り続け、クライアントはセッション タイムアウト エラーが発生するまでこの障害状態のコントローラに接続されたままになることもあり得ます。

リリース 4.1 以降のコントローラ ソフトウェアでは、モビリティ グループのメンバが他のメンバに ping 要求を送信してデータ パスおよび制御パスを検査し、障害状態のメンバを見つけてクライアントを再ルーティングすることが可能です。管理者は、各アンカー コントローラに送信する ping 要求の数と間隔を設定できます。この機能によって、ゲスト トンネリングのゲスト N+1 冗長化と、通常のモビリティのモビリティ フェールオーバーが可能になります。

ゲスト N+1 冗長性(図18)を持つ構成では、障害状態アンカーの検出が可能です。障害状態のアンカー コントローラが検出されると、そのコントローラに固定されているクライアントはすべて認証が解除されます。すぐに別のコントローラに固定できるようにするためです。この同じ機能が、モビリティ フェールオーバーを通して通常のモビリティ クライアントにも拡張されます。この機能によって、モビリティ グループのメンバが障害状態メンバの検出とクライアントの再ルーティングを実行できるようになります。

図18 ゲスト WLAN の冗長化による障害状態アンカーの検出

 


) 2000 シリーズまたは 2100 シリーズのコントローラを WLAN のアンカーとして指定することはできません。ただし、2000 または 2100 シリーズのコントローラ上に作成された WLAN が 4400 シリーズのコントローラをアンカーとして持つことは可能です。



) IPSec および L2TP のレイヤ 3 セキュリティ ポリシーは、モバイル アンカー付きで設定されている WLAN には使用できません。


設定のガイドライン

自動アンカー モビリティを設定するときは、次のガイドラインを考慮してください。

WLAN のモビリティ アンカーとしてコントローラを指定するには、そのコントローラをあらかじめモビリティ グループのメンバ リストに追加しておく必要があります。

1 つの WLAN に対して複数のコントローラをモビリティ アンカーとして設定できます。

アンカー コントローラとリモート コントローラの WLAN セキュリティ設定を同一にしてください。

自動アンカー モビリティでは Web 認証がサポートされますが、その他の種類のレイヤ 3 セキュリティはサポートされません。

外部コントローラとアンカー コントローラの両方の WLAN がモビリティ アンカーを持つように設定されている必要があります。アンカー コントローラ上では、そのアンカー コントローラをモビリティ アンカーとして設定します。外部コントローラ上では、アンカー コントローラをモビリティ アンカーとして設定します。

自動アンカー モビリティを DHCP オプション 82 と共に使用することはサポートされません。

ゲスト N+1 冗長構成とモビリティ フェールオーバー機能をファイアウォールと共に使用するときは、次に示すポートを必ず開いてください。

UDP 16666:トンネル制御トラフィック用

UDP 16667:暗号化トラフィック用

IP プロトコル 97:ユーザ データ トラフィック用

TCP 161 および 162:SNMP 用

WLAN の自動アンカー モビリティを設定し、モビリティ グループ内の障害状態アンカー コントローラの検出を行うようにコントローラを設定する手順は次のとおりです。


ステップ 1 次に示す手順を実行して、モビリティ グループ内の障害状態アンカーを検出するようにコントローラを設定します。

a. Controller > Mobility Management > Mobility Anchor Config をクリックして Mobility Anchor Config ページを開きます(図19 参照)。

図19 Mobility Anchor Config ページ

 

b. Keep Alive Count フィールドに、アンカー コントローラへの ping 要求送信回数を入力します。この数に達すると、アンカーは到達不可能と見なされます。有効な範囲は 3 ~ 20 で、デフォルト値は 3 です。

c. Keep Alive Interval フィールドに、アンカー コントローラへの ping 要求送信間隔を秒単位で入力します。有効な範囲は 1 ~ 30 秒で、デフォルト値は 10 秒です。

d. Apply をクリックして変更を確定します。


) これで、WLAN の自動アンカー モビリティ グループを作成できるようになりました。


ステップ 2 Controller > WLANs をクリックして WLANs ページを開きます(図20 参照)。

図20 Controller > WLANs ページ

 

ステップ 3 目的の WLAN の青いドロップダウン矢印をクリックして Mobility Anchors を選択します。その WLAN の Mobility Anchors ページが表示されます(図21)。

図21 Mobility Anchors ページ

 

このページには、すでにモビリティ アンカーとして設定されているコントローラ(ある場合)の一覧と、コントローラのデータ パスおよび制御パスの現在の状態が表示されます。同じモビリティ グループ内のコントローラどうしが制御情報を伝達するときは、Well-known UDP ポートが使用され、Ethernet-over-IP(EoIP)トンネルを介してデータ トラフィックが交換されます。具体的には、管理インターフェイスを介したモビリティ制御パケットのアクセス可能性をテストする mping にはモビリティ UDP ポート 16666 が使用され、管理インターフェイスを介したモビリティ データ トラフィックをテストする eping には EoIP ポート 97 が使用されます。Control Path フィールドには、mping に成功したか(up)失敗したか(down)が表示され、Data Path フィールドには eping に成功したか(up)失敗したか(down)が表示されます。Data Path フィールドまたは Control Path フィールドに「down」と表示されている場合は、モビリティ アンカーが到達不可能であり、障害状態と見なされます。

ステップ 4 Mobility Anchors ページで、モビリティ アンカーとして指定するコントローラの IP アドレスを Switch IP Address (Anchor) ドロップダウン ボックスから選択します。

ステップ 5 Mobility Anchor Create をクリックします。選択したコントローラが、このワイヤレス LAN のアンカーになります。


) アンカー コントローラの Data Path と Control Path の両方が UP となっていることを、Mobility Anchors ページ(右端)で確認します。



) WLAN のモビリティ アンカーを削除するには、該当するコントローラの IP アドレスの右にある青い矢印のドロップダウン メニューで Remove オプションを選択します。


ステップ 6 Save Configuration をクリックして変更内容を保存します。

ステップ 7 DMZ コントローラを設定するには、目的の WLAN の横の青い矢印のドロップダウン メニューで Mobility Anchor を選択します(図22 参照)。

図22 DMZ コントローラのセキュリティ ポリシー

 

ステップ 8 DMZ アンカー コントローラ自身の IP アドレスを選択します(図23 参照)。

図23 DMZ アンカー コントローラの IP アドレスが選択された状態

 

ステップ 9 前述の手順 4 と 5 を実行してモビリティ アンカーを作成します。

ステップ 10 データ パスと制御パスが UP であることを確認します。


) モビリティ グループ内のすべてのコントローラ上で、同じセットのアンカー コントローラを設定します。



 

モビリティ アンカーの設定の確認

CLI を使用して、リモート コントローラおよび DMZ アンカー コントローラに対するモビリティ アンカー設定を確認します。

リモート コントローラの設定を確認するには、次のコマンドを入力します。

(Cisco Controller) > show wlan summary
 
Number of WLANs.................................. 2
 
WLAN ID WLAN Profile Name / SSID Status Interface Name
------- ------------------------------------- -------- --------------------
1 guest / guest Enabled guest-vlan
2 secure / secure Enabled secure-vlan
 
 
(Cisco Controller) >show mobility summary
 
Symmetric Mobility Tunneling (current) .......... Disabled
Symmetric Mobility Tunneling (after reboot) ..... Disabled
Mobility Protocol Port........................... 16666
Mobility Security Mode........................... Disabled
Default Mobility Domain.......................... mobile-1
Mobility Keepalive interval...................... 10
Mobility Keepalive count......................... 3
Mobility Group members configured................ 2
 
Controllers configured in the Mobility Group
MAC Address IP Address Group Name Status
00:0b:85:40:cd:40 10.10.50.2 <local> Up
00:18:73:34:b2:60 10.10.75.2 mobile-9 Up mobile-1
 
(Cisco Controller) > show mobility anchor
 
Mobility Anchor Export List
WLAN ID IP Address Status
1 10.10.75.2 Up
 
 

DMZ アンカー コントローラの設定を確認するには、次のコマンドを入力します。

(Cisco Controller) > show wlan summary
 
Number of WLANs.................................. 2
 
WLAN ID WLAN Profile Name / SSID Status Interface Name
------- ------------------------------------- -------- --------------------
1 con / con Enabled guest
2 guest / guest Enabled guest
 
(Cisco Controller) >show mobility summary
 
Symmetric Mobility Tunneling (current) .......... Disabled
Symmetric Mobility Tunneling (after reboot) ..... Disabled
Mobility Protocol Port........................... 16666
Mobility Security Mode........................... Disabled
Default Mobility Domain.......................... mobile-9
Mobility Keepalive interval...................... 10
Mobility Keepalive count......................... 3
Mobility Group members configured................ 2
 
Controllers configured in the Mobility Group
MAC Address IP Address Group Name Status
00:0b:85:40:cd:40 10.10.50.2 mobile-1 Up
00:18:73:34:b2:60 10.10.75.2 <local> Up
 
(Cisco Controller) >show mobility anchor
 
Mobility Anchor Export List
WLAN ID IP Address Status
1 10.10.75.2 Up
2 10.10.75.2 Up

2 つのコントローラの間にファイアウォールがある場合は、次のポートを開いておく必要があります。(1) UDP 16666(暗号化を行う場合は 16667):トンネル制御トラフィック用 (2) IP プロトコル 97:ユーザ データ トラフィック用 (3) TCP 161 および 162:SNMP 用 (4) UDP 69:TFTP 用 (5) TCP ポート 80/443:管理用



) モビリティ アンカー機能のデバッグの詳細は、巻末の「トラブルシューティング」の項を参照してください。


コントローラ上での Web ログイン ページの有効化

ゲストとセキュアの VLAN インターフェイスのセキュリティ ポリシーを定義したら、次にコントローラ上で Web ログインを使用できるように設定します。

Web ログインを使用可能にする手順は次のとおりです。


ステップ 1 ページ上部のナビゲーション バーで Security を選択します。

ステップ 2 Web Auth > Web Login Page をクリックします。

Web Login Page が表示されます(図24 参照)。

図24 Web Login Page

 

ステップ 3 Web Authentication Type ドロップダウン メニューで Internal (Default) を選択します


) Web Login Page の表示をカスタマイズする場合は手順 4 に進みます。デフォルトのままにしておく場合は、手順 8 に進んでください。


ステップ 4 ログイン ページにシスコのロゴが表示されないようにする場合は、 Hide をクリックします。

ステップ 5 ユーザがログインした後で特定の URL(会社の Web サイトなど)にリダイレクトするには、該当する URL を Redirect URL after login フィールドに入力します。入力形式は www.companyname.com です。254 文字まで入力できます。

ステップ 6 Web ログイン ページに要約や表題情報を表示するには、その情報を Headline フィールドに入力します。127 文字まで入力できます。デフォルトの表題は「Welcome to the Cisco wireless network.」です。

ステップ 7 Web ログイン ページにメッセージを表示するには、そのテキストを Message フィールドに入力します。2,047 文字まで入力できます。デフォルトのメッセージは、「Cisco is pleased to provide the wireless LAN infrastructure for your network. Please login and put your air space to work.」です。

ステップ 8 Apply をクリックして変更内容を保存します。


) 変更を確定するには、コントローラをリブートする必要があります。詳細な手順は、「Wireless LAN Controller のリブート」を参照してください。



 

Wireless LAN Controller のリブート

これまでの手順で入力した Web 認証に関する変更を確定するには、コントローラをリブートする必要があります。

コントローラをリブートする手順は次のとおりです。


ステップ 1 ページ上部のナビゲーション バーで Commands を選択します。

ステップ 2 Reboot を選択し、 Reboot をクリックします。

ステップ 3 設定の変更をまだ保存していない場合は、 Save and Reboot をクリックします。


 

外部 RADIUS サーバを使用した Web 認証

ゲスト トラフィック用に使用するワイヤレス LAN で外部 RADIUS サーバからユーザを認証するように設定することができます。この例では 10.1.1.12 です。

外部 RADIUS サーバでトラフィックを認証できるように GUI を使用して設定する手順は次のとおりです。


ステップ 1 WLANs > Edit を選択します(図25 参照)。

図25 WLANs > Edit ページ

 

ステップ 2 Radius Servers ドロップダウン メニューで、該当する IP アドレスを選択します


) RADIUS サーバの IP アドレスは、コントローラの初期セットアップ時に Configuration Wizard を使用して入力されます。


ステップ 3 Save Configuration をクリックします。


 

外部 RADIUS サーバでトラフィックを認証できるように CLI を使用して設定する手順は次のとおりです。


ステップ 1 config radius auth ip-address と入力して、認証を行う RADIUS サーバを設定します。

ステップ 2 config radius auth port と入力して、認証用の UDP ポートを指定します。

ステップ 3 config radius auth secret と入力して、共有秘密を設定します。

ステップ 4 config radius auth enable と入力して、認証を行うように設定します。


) デフォルトでは、認証は行わないように設定されています。


ステップ 5 config radius acct disable と入力して、認証を行わないように設定します。


 


) RADIUS 設定が正しく設定されていることを確認するには、show radius acct statistics コマンド、show radius auth statistics コマンド、および show radius summary コマンドを使用します。


外部 Web サーバを使用した Web 認証

シスコの Wireless LAN Controller のデフォルト Web ログイン ウィンドウの代わりに、外部 Web サーバ上で設定されたカスタムの Web 認証ログイン ウィンドウを使用するには、次に説明する GUI または CLI の手順を実行してください。

この機能を有効にすると、ユーザは外部 Web サーバ上のカスタム ログイン ウィンドウに自動的にリダイレクトされます。

図26 外部 Web サーバを使用したゲスト ユーザの認証

 


) 外部サーバを使用した Web 認証は、シスコのスイッチやルータ(Catalyst 3750G Integrated Wireless LAN Controller スイッチ、Cisco WiSM、Cisco 28/37/38xx シリーズ Integrated Services Router など)に統合されたコントローラ上でサポートされます。


カスタマイズされた Web 認証ログイン ウィンドウを外部 Web サーバから GUI を使用して選択する

外部 Web サーバを認証に使用するための手順は次のとおりです。


ステップ 1 Security > Web Login Page を選択します(図27 参照)。

図27 Security > Web Login Page

 

ステップ 2 Web Authentication Type ドロップダウン ボックスで、External (Redirect to external server) を選択します。

ステップ 3 URL フィールドに、カスタマイズされた Web 認証ログイン ウィンドウの URL を入力します。252 文字まで入力できます。

ステップ 4 Web Server IP Address フィールドに、Web サーバの IP アドレスを入力します。Web サーバは、コントローラ サービス ポート ネットワークとは別のネットワークに存在している必要があります。Add Web Server をクリックします。

この操作によって、サーバが外部 Web サーバの一覧に表示されるようになります。

ステップ 5 Apply をクリックして変更内容を確認します。

ステップ 6 ログイン ウィンドウの内容と外観に問題がなければ、Save Configuration をクリックします。


 

外部 Web サーバの外部ログイン ページで認証されると、要求がコントローラに返されます。コントローラは、認証用のユーザ名とパスワードをコントローラのローカル ユーザ データベースまたは外部 RADIUS サーバに送信し、ワイヤレス LAN の設定に従って検証を行います。

ローカル データベースまたは RADIUS サーバでの検証に成功した場合は、設定されているリダイレクト URL またはユーザのオリジナルの開始 Web ページをユーザに対して表示します。

ローカル データベースまたは RADIUS サーバでの検証に失敗した場合は、カスタマイズされたログイン URL をもう一度ユーザに対して表示します。

ワイヤレス ゲスト アクセスをサポートするための PC での変更

使用している PC でゲスト アクセスがサポートされるようにするための手順は次のとおりです。


) ゲスト アクセスをサポートするように、PC 上の Microsoft Wireless Client に対して最小限の変更を行う必要があります。



ステップ 1 Windows の Start ボタンから Settings > Control Panel を起動します。

ステップ 2 Network and Internet Connections アイコンをクリックします。

ステップ 3 Network Connections アイコンをクリックします。

ステップ 4 LAN Connection アイコンを右クリックして Disable を選択します。

ステップ 5 Wireless Connection アイコンを右クリックして Enable を選択します。

ステップ 6 Wireless Connection アイコンをもう一度右クリックして Properties を選択します。

ステップ 7 Wireless Network Connection Properties ウィンドウの Wireless Networks タブを選択します。

ステップ 8 Preferred Network 領域のネットワーク名を変更します。古い SSID を削除してから Add ボタンをクリックします。

ステップ 9 Association タブで、Web 認証に使用するネットワーク名(SSID)を入力します。


) WEP が有効化されていることに注目してください。Web 認証を機能させるには、WEP を無効にする必要があります。


ステップ 10 OK をクリックして設定を保存します。

ワイヤレス LAN とアクティブに通信しているときは、Preferred Network ボックスにビーコンのアイコンが表示されます。


 

クライアント ログイン

Web 認証の方法が定義され、ゲスト ユーザの PC でクライアント側の変更が行われると、ユーザがログインできる状態になります。

ゲスト ユーザとしてログインする手順は次のとおりです。


ステップ 1 ブラウザ ウィンドウを開いて認証サーバの IP アドレスを入力します(図28 参照)。


) コントローラの Web サーバを使用してユーザの認証を行うときは、必ずセキュア https:// を使用してください。


図28 クライアント ログイン ページ

 

ステップ 2 指定されたユーザ名とパスワードを入力します。

ステップ 3 ログインに成功すると、そのことを示すブラウザ ウィンドウが表示されます(図29 参照)。

図29 ログイン成功ページ

 


 

Cisco WCS を使用したゲスト ユーザの追加

Cisco Lobby Ambassador 機能を使用してゲスト ユーザ アカウントを WCS 内に作成することができます。企業から提供されるゲスト ネットワークを利用すると、ゲストはホストに影響を及ぼすことなくインターネットに接続できます。Web 認証では、サプリカントまたはクライアントが使用されることも使用されないこともあります。したがって、ゲストは接続先への VPN トンネルを作成する必要があります。

システム管理者は最初にロビー管理者アカウントを設定する必要があります。Lobby Ambassador アカウントには設定を行うための限定的な特権が与えられ、ゲスト ユーザ アカウントの設定と管理に使用する画面にのみアクセスが可能です。ロビー管理者には、オンライン ヘルプへのアクセス権は与えられません。

このアカウントを使用すると、管理者以外のユーザが WCS 上でゲスト ユーザ アカウントの作成と管理を行うことができます。ゲスト ユーザ アカウントの目的は、限られた時間だけ有効なユーザ アカウントを用意することです。Lobby Ambassador は、ゲスト ユーザ アカウントがアクティブである期間の長さを設定できます。指定された時間が経過すると、ゲスト ユーザ アカウントは自動的に失効します。この項では、Lobby Ambassador が WCS 上でゲスト ユーザ アカウントを作成および管理する方法を説明します。

この項では、次に示す手順の実行方法を説明します。

Lobby Ambassador アカウントの作成

WCS ユーザ インターフェイスへのログイン

WCS ゲスト ユーザ アカウントの管理

Lobby Ambassador のアクティビティのロギング

Lobby Ambassador アカウントの作成

Lobby Ambassador は、次に示す種類のゲスト ユーザ アカウントを作成できます。

ライフタイムが有限であるゲスト ユーザ アカウント。Lobby Ambassador は、ゲスト ユーザ アカウントがアクティブである期間がいつ終了するかを設定できます。指定された時間が経過すると、ゲスト ユーザ アカウントは自動的に失効します。

ライフタイムが無限であるゲスト ユーザ アカウント。このアカウントは失効しません。

あらかじめ定義された将来の時点にアクティブ化されるゲスト ユーザ アカウント。Lobby Ambassador は、有効期間の開始時点と終了時点を定義します。

WCS 内に Lobby Ambassador アカウントを作成する手順は次のとおりです。


) Lobby Ambassador アカウントを作成するユーザに必要な特権は SuperUser 特権で(デフォルトでは)、管理用特権ではありません。



) インストール時に作成される root グループには 1 人のユーザだけが割り当てられ、インストール後に他のユーザを追加で割り当てることはできません。この root ユーザを変更することはできません。また、スーパーユーザと異なり、タスクの変更は許可されていません。



ステップ 1 WCS ユーザ インターフェイスに管理者としてログインします。

ステップ 2 Administration > AAA をクリックし、左側のサイドバー メニューで Users を選択します。

ステップ 3 Select a Command ドロップダウン メニューで Add User を選択して GO をクリックします。Users ウィンドウが表示されます(図30 参照)。

図30 Users ウィンドウ

 

ステップ 4 Users ウィンドウで、次に示す手順を実行して新しい Lobby Ambassador アカウントを作成します。

a. ユーザ名を入力します。

b. パスワードを入力します。最小長は 6 文字です。確認のためにもう一度パスワードを入力します。

c. Groups Assigned to this User セクションの Lobby Ambassador チェックボックスをオンにします。

d. Submit をクリックします。追加された Lobby Ambassador は、Lobby Ambassador グループのメンバとなります。新しい Lobby Ambassador アカウントの名前が一覧に表示され、すぐに使用できます。


 

WCS ユーザ インターフェイスへのログイン

Lobby Ambassador としてログインすると、WCS 内のゲスト ユーザ テンプレート ページへのアクセス権が与えられます。このテンプレートを通して、ゲスト ユーザ アカウントを設定することができます。

Web ブラウザから WCS ユーザ インターフェイスにログインする手順は次のとおりです。


ステップ 1 Internet Explorer 6.0 以降を起動します。


) Windows ワークステーション上で Internet Explorer 6.0 以外の Web ブラウザを使用した場合は、WCS の一部の機能が正しく動作しないことがあります。


ステップ 2 ブラウザのアドレス行に https:// wcs-ip-address (たとえば https://1.1.1.1/login.html)と入力します。 wcs-ip-address は、WCS がインストールされているコンピュータの IP アドレスです。この IP アドレスは、管理者に確認してください。

ステップ 3 WCS ユーザ インターフェイスに Login ウィンドウが表示されたら、ユーザ名とパスワードを入力します。


) すべての入力項目で大文字と小文字が区別されます。



) ロビー管理者は、ゲスト ユーザ テンプレートの定義のみを実行できます。


ステップ 4 Submit をクリックして WCS にログインします。WCS ユーザ インターフェイスがアクティブになり、使用できる状態になりました。図31 に示す Guest Users ウィンドウが表示されます。このウィンドウに表示されるのは、作成済みの全ゲスト ユーザの一覧です。

図31 Guest Users ウィンドウ

 


) WCS ユーザ インターフェイスを終了するには、ブラウザのウィンドウを閉じるか、ウィンドウ右上の Logout をクリックします。WCS ユーザ インターフェイス セッションを終了しても、サーバ上の WCS がシャットダウンされることはありません。



) WCS セッションを実行しているときにシステム管理者によって WCS サーバが停止されると、セッションは終了し、Web ブラウザに「The page cannot be displayed.」というメッセージが表示されます。サーバが再起動しても、セッションが再び WCS にアソシエートされることはありません。自分で WCS セッションを再起動する必要があります。



 

WCS ゲスト ユーザ アカウントの管理

WCS ゲスト ユーザ アカウントの管理は、テンプレートを使用して行います。この項では、WCS ユーザ アカウントを管理する方法を説明します。この項の内容は次のとおりです。

ゲスト ユーザ アカウントの追加

ゲスト ユーザの表示と編集

ゲスト ユーザ テンプレートの削除

WCS ゲスト ユーザ アカウントのスケジュール設定

WCS ゲスト ユーザ詳細情報の印刷またはメール送信

ゲスト ユーザ アカウントの追加

テンプレートを使用して Cisco WCS 内にゲスト ユーザ アカウントを作成します。これは、そのゲスト ユーザがアクセスを許可されているすべてのコントローラに適用できます。新しいゲスト ユーザ アカウントを WCS に追加する手順は次のとおりです。


ステップ 1 Configure > Controller Templates を選択します。

ステップ 2 左側のサイドバー メニューで Security > Guest Users を選択します。

ステップ 3 Select a command ドロップダウン メニューで Add Guest User を選択して GO をクリックします。図32 に示すウィンドウが表示されます。

図32 Guest Users > New Users ウィンドウ

 

ステップ 4 ゲスト ユーザ名を入力します。最大長は 24 文字です。

ステップ 5 パスワードを自動生成するために Generate Password チェックボックスをオンにします。


) 自動生成を選択すると、パスワード フィールドの値は自動的に入力されます。パスワードを手入力することを選択した場合は、確認のためにもう一度入力してください。



) パスワードでは大文字と小文字が区別されます。



) ロビー管理者は、ゲスト ユーザ テンプレートの定義のみを実行できます。


ステップ 6 Profile ドロップダウン メニューで SSID を選択します。

これは、このゲスト ユーザの適用先 SSID です。レイヤ 3 Web 認証ポリシーが設定された WLAN であることが必要です。どの SSID を使用するかは、管理者に確認してください。

ステップ 7 ゲスト ユーザ アカウントの説明を入力します。

ステップ 8 Limited または Unlimited を選択します。

Limited:このゲスト ユーザ アカウントのライフタイムの長さ(日数、時間、分)をドロップダウン メニューで選択します。最大値は 35 週間です。

Unlimited:このユーザ アカウントは失効しません。

ステップ 9 Apply To で、ゲスト ユーザを適用するエリアを選択します(キャンパス、建物、階)。適用先のコントローラおよびアソシエートされたアクセス ポイントのみが使用可能になります。特定のコントローラまたは設定グループのみをゲスト ユーザが利用できるように設定することもできます。設定グループとは、管理者によってあらかじめ設定されたコントローラのグループです。

ドロップダウン メニューで次のいずれかを選択します。

Controller List:ゲスト ユーザ アカウントの適用先であるコントローラのチェックボックスをオンにします。選択されるコントローラは一般に、DMZ アンカー コントローラまたは Web 認証が有効化されているコントローラです。

Indoor Area:適用可能なキャンパス、建物、および階を選択します。

Outdoor Area:適用可能なキャンパスおよび屋外エリアを選択します。

Config Group:ゲスト ユーザ アカウントの割り当て先である設定グループを選択します。

ステップ 10 免責情報を確認します。上下に移動するにはスクロール バーを使用してください。


) Account Expiry には、ゲスト ユーザ アカウントの適用先であるコントローラと、ゲスト ユーザ アカウントが失効するまでの残り時間(秒)が表示されます。このアカウントのライフタイム パラメータを更新する必要がある場合は、「ゲスト ユーザの表示と編集」を参照してください。


ステップ 11 今後作成されるすべてのゲスト ユーザ アカウントに対してこの新しいデフォルトの免責条項を設定する場合は、チェックボックスをオンにします。

ステップ 12 変更内容を保存する場合は Save をクリックし、設定を変更しない場合は Cancel をクリックします。Guest User Credentials ウィンドウが表示されます(図33 参照)。

図33 Guest Users Credentials ウィンドウ

 


) • ゲスト ユーザの資格情報が作成されたら、詳細情報を印刷するか電子メールでゲストに転送してください。

資格情報をメールで送信する場合は、送信先のアドレスを入力する前に SMTP メール サーバを定義しておく必要があります。Administrator > Settings > Mail Server を選択して、必要な情報を入力してください。

資格情報を電子メールで送信する方法の詳細は、「WCS ゲスト ユーザ詳細情報の印刷またはメール送信」を参照してください。


 


 

ゲスト ユーザの表示と編集

現在の WCS ゲスト ユーザを表示する手順は次のとおりです。


ステップ 1 WCS ユーザ インターフェイスにログインします。手順は、『Cisco Wireless Control System
Configuration Guide』の "Logging into the WCS User Interface" section on page 2-11 を参照してください。

ステップ 2 Guest User ウィンドウで、表示または編集したいユーザの User Name 列の項目番号をクリックします。

ステップ 3 Guest Users > Users ウィンドウでは、次に示す項目を編集できます。

Profile ID:プロファイル ID をドロップダウン メニューで選択します。これは、このゲスト ユーザの適用先 SSID です。レイヤ 3 Web 認証ポリシーが設定された WLAN であることが必要です。どのプロファイル ID を使用するかは、管理者に確認してください。

Description:ゲスト ユーザ アカウントの説明を入力します。

Limited または Unlimited:

Limited:このゲスト ユーザ アカウントのライフタイムの長さ(日数、時間、分)をドロップダウン メニューで選択します。最大値は 30 日間です。

Unlimited:このユーザ アカウントは失効しません。

Apply To で、ゲスト ユーザを適用するエリアを選択します(キャンパス、建物、階)。適用先のコントローラおよびアソシエートされたアクセス ポイントのみが使用可能になります。特定のコントローラまたは設定グループのみをゲスト ユーザが利用できるように設定することもできます。設定グループとは、管理者によってあらかじめ設定されたコントローラのグループです。ドロップダウン メニューで次のいずれかを選択します。

Controller List:ゲスト ユーザ アカウントの適用先であるコントローラのチェックボックスをオンにします。

Indoor Area:適用可能なキャンパス、建物、および階を選択します。

Outdoor Area:適用可能なキャンパスおよび屋外エリアを選択します。

Config Group:ゲスト ユーザ アカウントの適用先である設定グループを選択します。

ステップ 4 変更内容を保存する場合は Save をクリックし、設定を変更しない場合は Cancel をクリックします。Save をクリックすると、画面の表示が更新されます。


) Account Expiry には、ゲスト ユーザ アカウントが適用されたコントローラと、ゲスト ユーザ アカウントが失効するまでの残り時間(秒)が表示されます。



 

ゲスト ユーザ テンプレートの削除

ゲスト アカウントを削除するときに、ログインしてその WLAN ユーザ名を使用しているクライアント ステーションはすべて削除されます。WCS ゲスト ユーザ テンプレートを削除する手順は次のとおりです。


ステップ 1 WCS ユーザ インターフェイスにログインします。手順は、『Cisco Wireless Control System
Configuration Guide』の "Logging into the WCS User Interface" section on page 2-11 を参照してください。

ステップ 2 Guest Users ウィンドウで、削除するゲスト ユーザ アカウントの左にあるチェックボックスをオンにします。

ステップ 3 Select a Command ドロップダウン メニューで Delete Guest User を選択して GO をクリックします。

ステップ 4 決定内容を確認する画面が表示されたら、 OK をクリックします。


) ゲスト ユーザ アカウントの適用先の IP アドレスとコントローラ名が表示されます。テンプレートをコントローラから削除するかどうかを確認する画面が表示されます。


コントローラからゲスト アカウントの失効の通知が送信され、削除するためにトラップが呼び出されます。WCS によってこのトラップが処理され、失効したユーザ アカウントがコントローラの設定から削除されます。そのゲスト アカウントが他のコントローラには適用されていない場合は、テンプレートからも削除することができます。イベント ログにも通知が記録されます。

ステップ 5 ゲスト ユーザ テンプレートをコントローラから削除する場合は OK をクリックし、設定を変更しない場合は Cancel をクリックします。ゲスト ユーザ テンプレートをコントローラから削除すると、指定されたゲスト ユーザ アカウントが削除されます。


 

WCS ゲスト ユーザ アカウントのスケジュール設定

Lobby Ambassador は、ゲスト ユーザ アカウントを自動作成するスケジュールを設定できます。アカウントの有効期間と繰り返しの定義が可能です。新しいユーザ名をスケジュールに従って定期的に生成するかどうかは選択が可能で、定期的に生成するには該当するチェックボックスをオンにします。スケジュールが設定されたユーザについては、パスワードは自動的に生成され、ゲストのホストに自動的に電子メールで送信されます。ホストの電子メール アドレスは New User ウィンドウで設定します。Save をクリックすると、Guest User Details ウィンドウにパスワードが表示されます。このウィンドウから、アカウントの資格情報をメールで送信するかプリンタで印刷することができます。

繰り返し生成されるゲスト ユーザ アカウントのスケジュールを WCS 内で設定する手順は次のとおりです。


ステップ 1 Lobby Ambassador として WCS ユーザ インターフェイスにログインします。

ステップ 2 Guest User ウィンドウの Select a command ドロップダウン メニューで Schedule Guest User を選択して GO をクリックします。図34 に示すウィンドウが表示されます。

図34 Guest Users > Scheduling

 

ステップ 3 Guest Users > Scheduling ウィンドウで、ゲスト ユーザの名前を入力します。最大長は 24 文字です。

ステップ 4 スケジュールに従ってユーザ名とパスワードを定期的に生成する場合は、Generate new on every schedule チェックボックスをオンにします。新しいユーザ名とパスワードを定期的に生成することは必須ではありません。

ステップ 5 プロファイル ID をドロップダウン メニューで選択します。これは、このゲスト ユーザの適用先 SSID です。レイヤ 3 Web 認証ポリシーが設定された WLAN であることが必要です。どのプロファイル ID を使用するかは、管理者に確認してください。

ステップ 6 ゲスト ユーザ アカウントの説明を入力します。

ステップ 7 Limited または Unlimited を選択します。

Limited:このゲスト ユーザ アカウントのライフタイムの長さ(日数、時間、分)をドロップダウン メニューで選択します。最大値は 30 日間です。

Start time:ゲスト ユーザ アカウントのライフタイムが開始する日時です。

End time:ゲスト ユーザ アカウントが失効する日時です。

Unlimited:このユーザ アカウントは失効しません。

Days of the week:このゲスト ユーザ アカウントを有効にする曜日のチェックボックスをオンにします。

ステップ 8 Apply To で、ゲスト ユーザを適用するエリアを選択します(キャンパス、建物、階)。適用先のコントローラおよびアソシエートされたアクセス ポイントのみが使用可能になります。特定のコントローラまたは設定グループのみをゲスト ユーザが利用できるように設定することもできます。設定グループとは、管理者によってあらかじめ設定されたコントローラのグループです。

ドロップダウン メニューで次のいずれかを選択します。

Controller List:ゲスト ユーザ アカウントの適用先であるコントローラのチェックボックスをオンにします。

Indoor Area:適用可能なキャンパス、建物、および階を選択します。

Outdoor Area:適用可能なキャンパスおよび屋外エリアを選択します。

Config group:ゲスト ユーザ アカウントがメンバとなっている設定グループを選択します。

ステップ 9 ゲスト ユーザ アカウント資格情報の送信先メール アドレスを入力します。スケジュールされた時間になるたびに、指定のメール アドレスにユーザ アカウント資格情報が送信されます。

ステップ 10 免責情報を確認します。上下に移動するにはスクロール バーを使用してください。

ステップ 11 変更内容を保存する場合は Save をクリックし、設定を変更しない場合は Cancel をクリックします。

Save をクリックすると、図35 に示す画面が表示されます。

図35 スケジュール設定済みゲスト ユーザ アカウント一覧画面

 


 

WCS ゲスト ユーザ詳細情報の印刷またはメール送信

Lobby Ambassador は、ホストに、またはゲストを迎えるその他の人にゲスト ユーザ アカウントの詳細情報を印刷して渡すか、メールで送信することができます。

メール送信または印刷される情報は次のとおりです。

Username:ゲスト ユーザ アカウントの名前です。

Password:ゲスト ユーザ アカウントのパスワードです。

Start time:ゲスト ユーザ アカウントのライフタイムが開始する日時です。

End time:ゲスト ユーザ アカウントが失効する日時です。

Profile ID:このゲスト ユーザの適用先であるプロファイル ID です。どのプロファイル ID を使用するかは、管理者に確認してください。

Disclaimer:ゲスト ユーザに関する免責情報。

ゲスト ユーザ アカウントを作成してコントローラ リスト、エリア、または設定グループにそのアカウントを適用すると、ゲスト ユーザ アカウントの詳細情報をメールで送信または印刷するためのリンクが作成されます。ゲスト ユーザ アカウントの詳細情報の印刷は、Guest Users List ウィンドウからも行うことができます。

Guest Users List ウィンドウからゲスト ユーザの詳細情報を印刷する手順は次のとおりです。


ステップ 1 WCS ユーザ インターフェイスに Lobby Ambassador としてログインします。

ステップ 2 Guest User ウィンドウで、ユーザ名の横のチェックボックスをオンにして Select a command ドロップダウン メニューから Print/Email User Details を選択し、GO をクリックします。図36 に示すウィンドウが表示されます。

図36 ゲスト ユーザ資格情報印刷またはメール送信ウィンドウ

 

印刷する場合は、Print ボタンをクリックし、印刷ウィンドウでプリンタを選択して Print または Cancel をクリックします。

メールで送信する場合は、Email ボタンをクリックし、電子メール ウィンドウで件名テキストと宛先のメール アドレスを入力します。Send または Cancel をクリックします。


) 資格情報をメールで送信する場合は、送信先のアドレスを入力する前に SMTP メール サーバを定義しておく必要があります。Administrator > Settings > Mail Server を選択して、必要な情報を入力してください。



 

Lobby Ambassador のアクティビティのロギング

各 Lobby Ambassador アカウントの次に示すアクティビティがログに記録されます。

Lobby Ambassador のログイン:全ユーザの認証操作の結果がログに記録されます。

ゲスト ユーザの作成:Lobby Ambassador がゲスト ユーザ アカウントを作成すると、ゲスト ユーザの名前がログに記録されます。

ゲスト ユーザの削除:Lobby Ambassador がゲスト ユーザ アカウントを削除すると、削除されたゲスト ユーザの名前がログに記録されます。

アカウントの更新:ゲスト ユーザ アカウントに対する更新が行われると、その詳細情報がログに記録されます。たとえば、ライフ タイムを長くするという変更です。

Lobby Ambassador のアクティビティを表示する手順は次のとおりです。


) このウィンドウを表示できるのは、スーパーユーザ ステータスのユーザのみです。



ステップ 1 Navigator または WCS のユーザ インターフェイスに管理者としてログインします。

ステップ 2 Administration > AAA をクリックし、左のサイドバー メニューの Groups をクリックして All Groups ウィンドウを表示します。

ステップ 3 All Groups ウィンドウで、表示したい Lobby Ambassador アカウントに対応する Audit Trail アイコンをクリックします。その Lobby Ambassador の Audit Trail ウィンドウが表示されます。

このウィンドウでは、Lobby Ambassador がいつどのようなアクティビティを行ったかが一覧表示されます。

User:ユーザ ログイン名

Operation:監査対象の操作の種類

Time:操作が監査された時刻

Status:成功または失敗

ステップ 4 監査証跡をクリアするには、Select a command ドロップダウン メニューで Clear Audit Trail を選択して GO をクリックします。


 

トラブルシューティング

この項では、特定の機能に対するデバッグのヒントを示します。


) CLI コマンドおよびデバッグ スクリプトの主要セクションをボールドで強調します。


モビリティ アンカーのデバッグ

モビリティ ハンドオフとモビリティ ディレクトリのデバッグ コマンドを実行すると、従来のモビリティ デバッグ情報に加えてゲスト トンネルまたは AnchorExport のデバッグ情報が表示されます。

モビリティ ハンドオフとモビリティ ディレクトリのデバッグを行うように設定すると、モビリティ交換のようす(MobileAnchorExport メッセージ(外部)および MobileAnchorExportAck(アンカー))を確認することができます。

ゲスト トンネリングと Ethernet over IP のデバッグはいずれも、通常のモビリティ デバッグに含まれています。

debug mac addr <client mac address>
debug mobility handoff enable
debug mobility directory enable
debug dhcp packet enable
debug pem state enable
debug pem events enable
debug dot11 mobile enable
debug dot11 state enable
 

データ ソース ポートの診断を行うときは、Source/Destination Port=16666 の UDP パケットを探してください。EoIP パケットをフィルタ処理するには、取得されたキャプチャの中で表示フィルタ etherip を使用してください。

外部コントローラからのデバッグ スクリプト

(Cisco Controller) > show debug
MAC address ................................ 00:40:96:ad:0d:1b
 
Debug Flags Enabled:
arp error enabled.
bcast error enabled.
dhcp packet enabled.
dot11 mobile enabled.
dot11 state enabled
mobility directory enabled.
mobility handoff enabled.
pem events enabled.
pem state enabled.
 
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b Association received from mobile 00:40:96:ad:0d:1b on AP 00:14:1b:59:3f:10
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b STA: 00:40:96:ad:0d:1b - rates (8): 12 18 24 36 48 72 96 108 0 0 0 0 0 0 0 0
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20) Applied RADIUS override policy
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20) Plumbing duplex mobility tunnel to 10.10.75.2 as Export Foreign (VLAN 60)
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20) Replacing Fast Path rule
type = Airespace AP Client on AP 00:14:1b:59:3f:10, slot 1, interface = 1, QOS = 0
ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20)
Card = 0 (slot 1), InHandle = 0x00000000, OutHandle = 0x00000000, npuCryptoFlag = 0x0000
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20) Successfully plumbed mobile rule (ACL ID 255)
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20) Plumbed mobile LWAPP rule on AP 00:14:1b:59:3f:10
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b apfPemAddUser2 (apf_policy.c:205) Changing state for mobile 00:40:96:ad:0d:1b on AP 00:14:1b:59:3f:10 from As
sociated to Associated
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b Session Timeout is 0 - not starting session timer for STA 00:40:96:ad:0d:1b
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b Stopping deletion of Mobile Station: 00:40:96:ad:0d:1b (callerId: 48)
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b Sending Assoc Response to station 00:40:96:ad:0d:1b on BSSID 00:14:1b:59:3f:10 (status 0)
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b apfProcessAssocReq (apf_80211.c:3741) Changing state for mobile 00:40:96:ad:0d:1b on AP 00:14:1b:59:3f:10 fro
m Associated to Associated
Tue May 8 13:34:12 2007: Mobility query, Mobile: 00:40:96:ad:0d:1b PEM State: RUN
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20) State Update from Mobility-Complete to Mobility-Incomplete
Tue May 8 13:34:12 2007: Anchor Export: Client: 00:40:96:ad:0d:1b
Client IP: 0.0.0.0, Anchor IP: 10.10.75.2
Tue May 8 13:34:12 2007: Mobility packet sent to:
Tue May 8 13:34:12 2007: 10.10.75.2, port 16666, Switch IP: 10.10.50.2
Tue May 8 13:34:12 2007: type: 16(MobileAnchorExport) subtype: 0 version: 1 xid: 19583 seq: 20500 len 244 flags 0
Tue May 8 13:34:12 2007: group id: 66c18089 22dc11a 56ca50a2 62b7c749
Tue May 8 13:34:12 2007: mobile MAC: 00:40:96:ad:0d:1b, IP: 0.0.0.0, instance: 0
Tue May 8 13:34:12 2007: VLAN IP: 10.10.60.2, netmask: 255.255.255.0
Tue May 8 13:34:12 2007: Mobility packet received from:
Tue May 8 13:34:12 2007: 10.10.75.2, port 16666, Switch IP: 10.10.75.2
Tue May 8 13:34:12 2007: type: 17(MobileAnchorExportAck) subtype: 0 version: 1 xid: 19583 seq: 16358 len 272 flags 0
Tue May 8 13:34:12 2007: group id: 27aeb903 faa89081 6f281b16 f68e7671
Tue May 8 13:34:12 2007: mobile MAC: 00:40:96:ad:0d:1b, IP: 10.10.77.48, instance: 1
Tue May 8 13:34:12 2007: VLAN IP: 10.10.77.2, netmask: 255.255.255.0
Tue May 8 13:34:12 2007: Received Anchor Export Ack: 00:40:96:ad:0d:1b from Switch IP: 10.10.75.2
Tue May 8 13:34:12 2007: Anchor IP: 10.10.75.2 Old Foreign IP: 10.10.50.2 New Foreign IP: 10.10.50.2
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20) mobility role update request from Export Foreign to Export Foreign
Peer = 10.10.75.2, Old Anchor = 10.10.75.2, New Anchor = 10.10.75.2
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=ExpForeign
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20) Change state to RUN (20) last state RUN (20)
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20) Reached PLUMBFASTPATH: from line 3978
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20) Plumbing duplex mobility tunnel to 10.10.75.2
as Export Foreign (VLAN 60)
Tue May 8 13:34:12 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20) Replacing Fast Path rule
type = Airespace AP Client
on AP 00:14:1b:59:3f:10, slot 1, interface = 1, QOS = 0
ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006
Tue May 8 13:34:16 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20)
Card = 0 (slot 1), InHandle = 0x00000000, OutHandle = 0x00000000, npuCryptoFlag = 0x0000
Tue May 8 13:34:16 2007: 00:40:96:ad:0d:1b 0.0.0.0 RUN (20) Successfully plumbed mobile rule (ACL ID 255)
Tue May 8 13:34:16 2007: 00:40:96:ad:0d:1b Mobility Response: IP 0.0.0.0 code 4, reason 4, PEM State RUN, Role Export Foreign(5)
Tue May 8 13:34:16 2007: 00:40:96:ad:0d:1b Set bi-dir guest tunnel for 00:40:96:ad:0d:1b as in Export Foreign role
Tue May 8 13:34:16 2007: 00:40:96:ad:0d:1b 0.0.0.0 Added NPU entry of type 1
Tue May 8 13:34:16 2007: 00:40:96:ad:0d:1b Set bi-dir guest tunnel for 00:40:96:ad:0d:1b as in Export Foreign role
Tue May 8 13:34:16 2007: 00:40:96:ad:0d:1b 0.0.0.0 Added NPU entry of type 1
 

クライアントに関する詳細情報を表示するには、コマンド show client detail mac-address を使用します。

Mobility State = Export Foreign、Security Policy Completed = Yes、および Policy Manager State = RUN のエントリに注目してください。これらはボールドで強調されています。

(Cisco Controller) >show client detail 00:40:96:ad:0d:1b
Client MAC Address............................... 00:40:96:ad:0d:1b
Client Username ................................. N/A
AP MAC Address................................... 00:14:1b:59:3f:10
Client State..................................... Associated
Wireless LAN Id.................................. 1
BSSID............................................ 00:14:1b:59:3f:1f
Channel.......................................... 64
IP Address....................................... Unknown
Association Id................................... 1
Authentication Algorithm......................... Open System
Reason Code...................................... 0
Status Code...................................... 0
Session Timeout.................................. 0
Client CCX version............................... 5
Client E2E version............................... No E2E support
Mirroring........................................ Disabled
QoS Level........................................ Silver
Diff Serv Code Point (DSCP)...................... disabled
802.1P Priority Tag.............................. disabled
WMM Support...................................... Disabled
Mobility State................................... Export Foreign
Mobility Anchor IP Address....................... 10.10.75.2
Mobility Move Count.............................. 0
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Policy Manager Rule Created...................... Yes
NPU Fast Fast Notified........................... Yes
Policy Type...................................... N/A
Encryption Cipher................................ None
Management Frame Protection...................... No
EAP Type......................................... Unknown
Interface........................................ guest-vlan
VLAN............................................. 60
Client Capabilities:
CF Pollable................................ Not implemented
CF Poll Request............................ Not implemented
Short Preamble............................. Not implemented
PBCC....................................... Not implemented
Channel Agility............................ Not implemented
Listen Interval............................ 0
Client Statistics:
Number of Bytes Received................... 12766445
Number of Bytes Sent....................... 6213712
Number of Packets Received................. 339110
Number of Packets Sent..................... 67131
Number of Policy Errors.................... 0
Radio Signal Strength Indicator............ -50 dBm
Signal to Noise Ratio...................... 47 dB
Nearby AP Statistics:
TxExcessiveRetries: 0
TxRetries: 0
RtsSuccessCnt: 0
RtsFailCnt: 0
TxFiltered: 0
TxRateProfile: [0,0,0,0,0,0,0,0,0,0,0,0]
AP0014.1ced.48e8(slot 0) ..................
antenna0: 57 seconds ago -80 dBm................. antenna1: 1810269 seconds ago -128 dBm
AP0014.1ced.48e8(slot 1) ..................
antenna0: 56 seconds ago -51 dBm................. antenna1: 1810269 seconds ago -128 dBm
 

アンカー コントローラからのデバッグ スクリプト

(Cisco Controller) >show debug
MAC address ................................ 00:40:96:ad:0d:1b
 
Debug Flags Enabled:
arp error enabled.
bcast error enabled.
dhcp packet enabled.
dot11 mobile enabled.
dot11 state enabled
mobility directory enabled.
mobility handoff enabled.
pem events enabled.
pem state enabled.
 
(Cisco Controller) >Tue May 8 13:31:49 2007: Mobility packet received from:
Tue May 8 13:31:49 2007: 10.10.50.2, port 16666, Switch IP: 10.10.50.2
Tue May 8 13:31:49 2007: type: 3(MobileAnnounce) subtype: 0 version: 1 xid: 19608 seq: 20526 len 120 flags 0
Tue May 8 13:31:49 2007: group id: 66c18089 22dc11a 56ca50a2 62b7c749
Tue May 8 13:31:49 2007: mobile MAC: 00:40:96:ad:0d:1b, IP: 0.0.0.0, instance: 0
Tue May 8 13:31:49 2007: VLAN IP: 10.10.60.2, netmask: 255.255.255.0
Tue May 8 13:31:49 2007: Ignoring Announce, client record for 00:40:96:ad:0d:1b not found
Tue May 8 13:31:50 2007: Mobility packet received from:
Tue May 8 13:31:50 2007: 10.10.50.2, port 16666, Switch IP: 10.10.50.2
Tue May 8 13:31:50 2007: type: 3(MobileAnnounce) subtype: 0 version: 1 xid: 19608 seq: 20526 len 120 flags 0
Tue May 8 13:31:50 2007: group id: 66c18089 22dc11a 56ca50a2 62b7c749
Tue May 8 13:31:50 2007: mobile MAC: 00:40:96:ad:0d:1b, IP: 0.0.0.0, instance: 0
Tue May 8 13:31:50 2007: VLAN IP: 10.10.60.2, netmask: 255.255.255.0
Tue May 8 13:31:50 2007: Ignoring Announce, client record for 00:40:96:ad:0d:1b not found
Tue May 8 13:31:51 2007: Mobility packet received from:
Tue May 8 13:31:51 2007: 10.10.50.2, port 16666, Switch IP: 10.10.50.2
Tue May 8 13:31:51 2007: type: 16(MobileAnchorExport) subtype: 0 version: 1 xid: 19609 seq: 20527 len 244 flags 0
Tue May 8 13:31:51 2007: group id: 66c18089 22dc11a 56ca50a2 62b7c749
Tue May 8 13:31:51 2007: mobile MAC: 00:40:96:ad:0d:1b, IP: 0.0.0.0, instance: 0
Tue May 8 13:31:51 2007: VLAN IP: 10.10.60.2, netmask: 255.255.255.0
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b Received Anchor Export request: from Switch IP: 10.10.50.2
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b Adding mobile 00:40:96:ad:0d:1b on Remote AP 00:00:00:00:00:00(0)
Tue May 8 13:31:51 2007: mmAnchorExportRcv: 00:40:96:ad:0d:1b, Mobility role is Unassoc
 
Tue May 8 13:31:51 2007: mmAnchorExportRcv: 00:40:96:ad:0d:1b Ssid=guest Security Policy=0x2010
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b 0.0.0.0 START (0) mobility role update request from Unassociated to Export Anchor
Peer = 0.0.0.0, Old Anchor = 0.0.0.0, New Anchor = 10.10.75.2
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b 0.0.0.0 START (0) Initializing policy
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b 0.0.0.0 AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last state DHCP_REQD (7)
Tue May 8 13:31:51 2007: Received Anchor Export policy update, valid mask 0x0:
Qos Level: 0, DSCP: 0, dot1p: 0 Interface Name: , ACL Name:
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b Stopping deletion of Mobile Station: 00:40:96:ad:0d:1b (callerId: 53)
Tue May 8 13:31:51 2007: Mobility packet sent to:
Tue May 8 13:31:51 2007: 10.10.50.2, port 16666, Switch IP: 10.10.75.2
Tue May 8 13:31:51 2007: type: 17(MobileAnchorExportAck) subtype: 0 version: 1 xid: 19609 seq: 16372 len 272 flags 0
Tue May 8 13:31:51 2007: group id: 27aeb903 faa89081 6f281b16 f68e7671
Tue May 8 13:31:51 2007: mobile MAC: 00:40:96:ad:0d:1b, IP: 0.0.0.0, instance: 1
Tue May 8 13:31:51 2007: VLAN IP: 10.10.77.2, netmask: 255.255.255.0
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b 0.0.0.0 DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=ExpAnchor
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b 0.0.0.0 DHCP_REQD (7) Change state to DHCP_REQD (7) last state DHCP_REQD (7)
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 3908, Adding TMP rule
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b 0.0.0.0 DHCP_REQD (7) Plumbing duplex mobility tunnel to 10.10.50.2
as Export Anchor (VLAN 77)
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b 0.0.0.0 DHCP_REQD (7) Adding Fast Path rule
type = Airespace AP - Learn IP address
on AP 00:00:00:00:00:00, slot 0, interface = 1, QOS = 0
ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b 0.0.0.0 DHCP_REQD (7)
Card = 0 (slot 0), InHandle = 0x00000000, OutHandle = 0x00000000, npuCryptoFlag = 0x0000
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (ACL ID 255)
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b Set bi-dir guest tunnel for 00:40:96:ad:0d:1b as in Export Anchor role
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b 0.0.0.0 Added NPU entry of type 9
Tue May 8 13:31:51 2007: 00:40:96:ad:0d:1b Sent an XID frame
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b dhcpProxy: Received packet: Client 00:40:96:ad:0d:1b
DHCP Op: BOOTREQUEST(1), IP len: 320, switchport: 1, encap: 0xec05
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b dhcpProxy: dhcp request, client: 00:40:96:ad:0d:1b:
dhcp op: 1, port: 1, encap 0xec05, old mscb port number: 1
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b Determing relay for 00:40:96:ad:0d:1b
dhcpServer: 0.0.0.0, dhcpNetmask: 0.0.0.0,
dhcpGateway: 0.0.0.0, dhcpRelay: 10.10.77.2 VLAN: 77
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b Relay settings for 00:40:96:ad:0d:1b
Local Address: 10.10.77.2, DHCP Server: 10.10.77.1,
Gateway Addr: 10.10.77.1, VLAN: 77, port: 1
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b DHCP Message Type received: DHCP REQUEST msg
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b xid: 640661134, secs: 0, flags: 0
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b chaddr: 00:40:96:ad:0d:1b
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b ciaddr: 0.0.0.0, yiaddr: 0.0.0.0
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b siaddr: 0.0.0.0, giaddr: 10.10.77.2
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b DHCP request to 10.10.77.1, len 366, switchport 1, vlan 77
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b Determing relay for 00:40:96:ad:0d:1b
dhcpServer: 0.0.0.0, dhcpNetmask: 0.0.0.0,
dhcpGateway: 0.0.0.0, dhcpRelay: 10.10.77.2 VLAN: 77
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b dhcpProxy: Received packet: Client 00:40:96:ad:0d:1b
DHCP Op: BOOTREPLY(2), IP len: 300, switchport: 1, encap: 0xec00
Tue May 8 13:31:53 2007: DhcpProxy(): Setting dhcp server from ACK, server: 10.10.77.1
client mac: 00:40:96:ad:0d:1b offer ip: 10.10.77.48
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b 10.10.77.48 DHCP_REQD (7) Change state to WEBAUTH_REQD (8) last state WEBAUTH_REQD (8)
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b 10.10.77.48 WEBAUTH_REQD (8) pemAdvanceState2 4648, Adding TMP rule
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b 10.10.77.48 WEBAUTH_REQD (8) Plumbing duplex mobility tunnel to 10.10.50.2
as Export Anchor (VLAN 77)
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b 10.10.77.48 WEBAUTH_REQD (8) Replacing Fast Path rule
type = Airespace AP Client - ACL passthru
on AP 00:00:00:00:00:00, slot 0, interface = 1, QOS = 0
ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006
Tue May 8 13:31:53 2007: 00:40:96:ad:0d:1b 10.10.77.48 WEBAUTH_REQD (8)
Card = 0 (slot 0), InHandle = 0x00000000, OutHandle = 0x00000000, npuCryptoFlag = 0x0000
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b 10.10.77.48 WEBAUTH_REQD (8) Successfully plumbed mobile rule (ACL ID 255)
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b Plumbing web-auth redirect rule due to user logout for 00:40:96:ad:0d:1b
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b Adding Web RuleID 928 for mobile 00:40:96:ad:0d:1b
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b Assigning Address 10.10.77.48 to mobile 00:40:96:ad:0d:1b
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b 10.10.77.48 WEBAUTH_REQD (8) DHCP EoIP tunnel to foreign 10.10.50.2 len 346
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b DHCP Message Type received: DHCP ACK msg
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b xid: 640661134, secs: 0, flags: 0
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b chaddr: 00:40:96:ad:0d:1b
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b ciaddr: 0.0.0.0, yiaddr: 10.10.77.48
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b siaddr: 0.0.0.0, giaddr: 0.0.0.0
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b server id: 1.1.1.1 rcvd server id: 10.10.77.1
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b Set bi-dir guest tunnel for 00:40:96:ad:0d:1b as in Export Anchor role
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b 10.10.77.48 Added NPU entry of type 2
Tue May 8 13:31:57 2007: 00:40:96:ad:0d:1b Sent an XID frame
 

この段階では、クライアントはサーバに接続しており、すでに DHCP アドレスをサーバから受け取っています。ここで、ユーザは Web ブラウザを開いてユーザ名 guest1 とパスワードを入力し、Web 認証を完了します。

(Cisco Controller) >Tue May 8 13:34:14 2007: 00:40:96:ad:0d:1b Username entry (guest1) created for mobile 00:40:96:ad:0d:1b
Tue May 8 13:34:14 2007: 00:40:96:ad:0d:1b 10.10.77.48 WEBAUTH_REQD (8) Change state to WEBAUTH_NOL3SEC (14) last state WEBAUTH_NOL3SEC (14)
Tue May 8 13:34:14 2007: 00:40:96:ad:0d:1b 10.10.77.48 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state RUN (20)
Tue May 8 13:34:14 2007: 00:40:96:ad:0d:1b 10.10.77.48 RUN (20) Reached PLUMBFASTPATH: from line 4568
Tue May 8 13:34:14 2007: 00:40:96:ad:0d:1b 10.10.77.48 RUN (20) Plumbing duplex mobility tunnel to 10.10.50.2
as Export Anchor (VLAN 77)
Tue May 8 13:34:14 2007: 00:40:96:ad:0d:1b 10.10.77.48 RUN (20) Replacing Fast Path rule
type = Airespace AP Client
on AP 00:00:00:00:00:00, slot 0, interface = 1, QOS = 0
ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006
Tue May 8 13:34:14 2007: 00:40:96:ad:0d:1b 10.10.77.48 RUN (20)
Card = 0 (slot 0), InHandle = 0x00000000, OutHandle = 0x00000000, npuCryptoFlag = 0x0000
Tue May 8 13:34:14 2007: 00:40:96:ad:0d:1b 10.10.77.48 RUN (20) Successfully plumbed mobile rule (ACL ID 255)
User logged inTue May 8 13:34:14 2007: 00:40:96:ad:0d:1b Set bi-dir guest tunnel for 00:40:96:ad:0d:1b as in Export Anchor role
Tue May 8 13:34:14 2007: 00:40:96:ad:0d:1b 10.10.77.48 Added NPU entry of type 1
Tue May 8 13:34:14 2007: 00:40:96:ad:0d:1b Sending a gratuitous ARP for 10.10.77.48, VLAN Id 77
 

クライアントは Web 認証セッションからログアウトしてブラウザを閉じます。

(Cisco Controller) >Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 RUN (20) Deleting policy rule
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 RUN (20) Change state to L2AUTHCOMPLETE (4) last state RUN (20)
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last state RUN (20)
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 DHCP_REQD (7) pemAdvanceState2 4770, Adding TMP rule
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 DHCP_REQD (7) Plumbing duplex mobility tunnel to 10.10.50.2
as Export Anchor (VLAN 77)
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 DHCP_REQD (7) Adding Fast Path rule
type = Airespace AP - Learn IP address
on AP 00:00:00:00:00:00, slot 0, interface = 1, QOS = 0
ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 DHCP_REQD (7)
Card = 0 (slot 0), InHandle = 0x00000000, OutHandle = 0x00000000, npuCryptoFlag = 0x0000
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 DHCP_REQD (7) Successfully plumbed mobile rule (ACL ID 255)
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 DHCP_REQD (7) Change state to WEBAUTH_REQD (8) last state RUN (20)
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 WEBAUTH_REQD (8) pemAdvanceState2 4787, Adding TMP rule
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 WEBAUTH_REQD (8) Plumbing duplex mobility tunnel to 10.10.50.2
as Export Anchor (VLAN 77)
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 WEBAUTH_REQD (8) Replacing Fast Path rule
type = Airespace AP Client - ACL passthru
on AP 00:00:00:00:00:00, slot 0, interface = 1, QOS = 0
ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 WEBAUTH_REQD (8)
Card = 0 (slot 0), InHandle = 0x00000000, OutHandle = 0x00000000, npuCryptoFlag = 0x0000
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 WEBAUTH_REQD (8) Successfully plumbed mobile rule (ACL ID 255)
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b Plumbing web-auth redirect rule due to user logout for 00:40:96:ad:0d:1b
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b Adding Web RuleID 929 for mobile 00:40:96:ad:0d:1b
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b Username entry delete for mobile 00:40:96:ad:0d:1b
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 Removed NPU entry.
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b Set bi-dir guest tunnel for 00:40:96:ad:0d:1b as in Export Anchor role
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 Added NPU entry of type 9
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b Set bi-dir guest tunnel for 00:40:96:ad:0d:1b as in Export Anchor role
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b 10.10.77.48 Added NPU entry of type 2
Tue May 8 13:34:50 2007: 00:40:96:ad:0d:1b Sent an XID frame
 

アンカー コントローラ上のクライアントの詳細を調べるために、 show client detail mac-address と入力します。Mobility State = Export Anchor、Security Policy Completed = Yes、および Policy Manager State = WEBAUTH_REQD という情報に注目してください。ユーザは Web 認証を完了していないからです。

(Cisco Controller) >show client summary
 
Number of Clients................................ 1
 
MAC Address AP Name Status WLAN Auth Protocol Port
----------------- ----------------- ------------- ---- ---- -------- ----
 
00:40:96:ad:0d:1b 10.10.50.2 Associated 2 No Mobile 1
 
(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >show client detail 00:40:96:ad:0d:1b
Client MAC Address............................... 00:40:96:ad:0d:1b
Client Username ................................. guest1
AP MAC Address................................... 00:00:00:00:00:00
Client State..................................... Associated
Wireless LAN Id.................................. 2
BSSID............................................ 00:00:00:00:00:01
Channel.......................................... N/A
IP Address....................................... 10.10.77.48
Association Id................................... 0
Authentication Algorithm......................... Open System
Reason Code...................................... 0
Status Code...................................... 0
Session Timeout.................................. 0
Client CCX version............................... No CCX support
Mirroring........................................ Disabled
QoS Level........................................ Silver
Diff Serv Code Point (DSCP)...................... disabled
802.1P Priority Tag.............................. disabled
WMM Support...................................... Disabled
Mobility State................................... Export Anchor
Mobility Foreign IP Address...................... 10.10.50.2
Mobility Move Count.............................. 1
Security Policy Completed........................ No
Policy Manager State............................. WEBAUTH_REQD
Policy Manager Rule Created...................... Yes
NPU Fast Fast Notified........................... Yes
Policy Type...................................... N/A
Encryption Cipher................................ None
Management Frame Protection...................... No
EAP Type......................................... Unknown
Interface........................................ guest
VLAN............................................. 77
Client Capabilities:
CF Pollable................................ Not implemented
CF Poll Request............................ Not implemented
Short Preamble............................. Not implemented
PBCC....................................... Not implemented
Channel Agility............................ Not implemented
Listen Interval............................ 0
Client Statistics:
Number of Bytes Received................... 0
Number of Bytes Sent....................... 0
Number of Packets Received................. 0
Number of Packets Sent..................... 0
Number of Policy Errors.................... 0
Radio Signal Strength Indicator............ Unavailable
Signal to Noise Ratio...................... Unavailable
Nearby AP Statistics:
TxExcessiveRetries: 0
TxRetries: 0
RtsSuccessCnt: 0
RtsFailCnt: 0
TxFiltered: 0
TxRateProfile: [0,0,0,0,0,0,0,0,0,0,0,0]

アンカー コントローラの詳細情報に対応するクライアント詳細情報は変化しており、Web 認証が完了しています(下記のスクリプトのボールド部分を参照)。 show client detail mac-address と入力すると、新しい値 Mobility State = Export Anchor、Security Policy Completed = Yes、および Policy Manager State = RUN が表示されます。

(Cisco Controller) > show client summary
 
Number of Clients................................ 1
 
MAC Address AP Name Status WLAN Auth Protocol Port
----------------- ----------------- ------------- ---- ---- -------- ----
 
00:40:96:ad:0d:1b 10.10.50.2 Associated 2 Yes Mobile 1
 
(Cisco Controller) >show client detail 00:40:96:ad:0d:1b
Client MAC Address............................... 00:40:96:ad:0d:1b
Client Username ................................. guest1
AP MAC Address................................... 00:00:00:00:00:00
Client State..................................... Associated
Wireless LAN Id.................................. 2
BSSID............................................ 00:00:00:00:00:01
Channel.......................................... N/A
IP Address....................................... 10.10.77.48
Association Id................................... 0
Authentication Algorithm......................... Open System
Reason Code...................................... 0
Status Code...................................... 0
Session Timeout.................................. 0
Client CCX version............................... No CCX support
Mirroring........................................ Disabled
QoS Level........................................ Silver
Diff Serv Code Point (DSCP)...................... disabled
802.1P Priority Tag.............................. disabled
WMM Support...................................... Disabled
Mobility State................................... Export Anchor
Mobility Foreign IP Address...................... 10.10.50.2
Mobility Move Count.............................. 1
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Policy Manager Rule Created...................... Yes
NPU Fast Fast Notified........................... Yes
Policy Type...................................... N/A
Encryption Cipher................................ None
Management Frame Protection...................... No
EAP Type......................................... Unknown
Interface........................................ guest
VLAN............................................. 77
Client Capabilities:
CF Pollable................................ Not implemented
CF Poll Request............................ Not implemented
Short Preamble............................. Not implemented
PBCC....................................... Not implemented
Channel Agility............................ Not implemented
Listen Interval............................ 0
Client Statistics:
Number of Bytes Received................... 0
Number of Bytes Sent....................... 0
Number of Packets Received................. 0
Number of Packets Sent..................... 0
Number of Policy Errors.................... 0
Radio Signal Strength Indicator............ Unavailable
Signal to Noise Ratio...................... Unavailable
Nearby AP Statistics:
TxExcessiveRetries: 0
TxRetries: 0
RtsSuccessCnt: 0
RtsFailCnt: 0
TxFiltered: 0
TxRateProfile: [0,0,0,0,0,0,0,0,0,0,0,0]

関連ドキュメンテーション

Cisco Wireless LAN Controller Configuration Guide, Software Release 4.1, Part number OL-11336-01

このドキュメントは次のリンクからオンラインで参照できます。
http://www.cisco.com/en/US/products/ps6366/products_installation_and_configuration_guides_list.html

Cisco Wireless Control System Configuration Guide, Software Release 4.1, Part number OL-12623-01

このドキュメントは次のリンクからオンラインで参照できます。
http://www.cisco.com/en/US/products/ps6305/products_installation_and_configuration_guides_list.html