Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド ソフトウェア リリース 7.2
WLAN の使用
WLAN の使用
発行日;2012/10/08 | 英語版ドキュメント(2012/10/02 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

WLAN の使用

WLAN について

ガイドラインと制限事項

WLAN の作成

WLAN の作成および削除(GUI)

WLAN の有効化および無効化(GUI)

WLAN の作成および削除(CLI)

WLAN の表示(CLI)

WLAN の有効化および無効化(CLI)

WLAN の検索

WLAN の検索(GUI)

WLAN ごとのクライアント カウントの設定

WLAN ごとのクライアント カウントの設定について

ガイドラインと制限事項

WLAN ごとのクライアント カウントの設定(GUI)

WLAN ごとの最大クライアント数の設定(CLI)

各 WLAN の AP 無線ごとの最大クライアント数の設定(GUI)

各 WLAN の AP 無線ごとの最大クライアント数の設定(CLI)

WLAN の設定

DHCP の設定

内部 DHCP サーバ

外部 DHCP サーバ

DHCP の割り当て

セキュリティに関する注意事項

ガイドラインと制限事項

DHCP の設定

DHCP の設定(GUI)

DHCP の設定(CLI)

DHCP のデバッグ(CLI)

DHCP スコープの設定

DHCP スコープの設定(GUI)

DHCP スコープの設定(CLI)

WLAN の MAC フィルタリングの設定

ローカル MAC フィルタの設定

ローカル MAC フィルタについて

ローカル MAC フィルタの設定(CLI)

ガイドラインと制限事項

無効なクライアントのタイムアウトの設定

無効なクライアントのタイムアウトの設定(CLI)

インターフェイスへの WLAN の割り当て

DTIM period の設定

DTIM period について

ガイドラインと制限事項

DTIM period の設定

ピアツーピア ブロッキングの設定

ピアツーピア ブロッキングについて

ガイドラインと制限事項

ピアツーピア ブロッキングの設定

レイヤ 2 セキュリティの設定

Static WEP キーの設定(CLI)

動的 802.1X キーおよび許可の設定(CLI)

Static WEP と Dynamic WEP の両方をサポートする WLAN の設定

Static WEP と Dynamic WEP の両方をサポートする WLAN について

WPA1 と WPA2

ガイドラインと制限事項

WPA1 +WPA2 の設定

WPA1+WPA2 の設定(GUI)

WPA1+WPA2 の設定(CLI)

CKIP の設定

CKIP について

CKIP の設定

セッション タイムアウトの設定

セッション タイムアウトの設定(GUI)

セッション タイムアウトの設定(CLI)

VPN パススルーを使用したレイヤ 3 セキュリティの設定

VPN パススルーについて

ガイドラインと制限事項

VPN パススルーの設定

Web 認証を使用したレイヤ 3 セキュリティの設定

Web 認証について

ガイドラインと制限事項

Web 認証の設定

WISPr バイパスの設定

WISPr について

WISPr バイパスの設定

WISPr バイパスの設定(CLI)

MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定

MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーについて

MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定

WLAN への QoS プロファイルの割り当て

QoS プロファイルについて

QoS プロファイルの割り当て

QoS Enhanced BSS の設定

QoS Enhanced BSS について

ガイドラインと制限事項

QBSS の設定

メディア セッション スヌーピングおよびレポートの設定

メディア セッション スヌーピングおよびレポートについて

ガイドラインと制限事項

メディア セッション スヌーピングの設定

Key Telephone System-Based CAC の設定

Key Telephone System-Based CAC について

ガイドラインと制限事項

KTS-based CAC の設定

ローミングしている音声クライアントのリアンカーの設定

ローミングしている音声クライアントのリアンカーについて

ガイドラインと制限事項

ローミングしている音声クライアントのリアンカーの設定

シームレスな IPv6 モビリティの設定

IPv6 モビリティについて

ガイドラインと制限事項

IPv6 クライアントのための RA ガードの設定

RA ガードについて

RA ガードの設定(GUI)

RA ガードの設定(CLI)

IPv6 クライアントのための RA スロットリングの設定

RA スロットリングについて

RA スロットリングの設定(GUI)

RA スロットル ポリシーの設定(CLI)

IPv6 ネイバー ディスカバリ キャッシングの設定

IPv6 ネイバー ディスカバリについて

ネイバー バインディング タイマーの設定(GUI)

ネイバー バインディング タイマーの設定(CLI)

不明アドレスの NS マルチキャスト フォワーディングの設定

NS マルチキャスト フォワーディングの設定(CLI)

Cisco Client Extensions の設定

Cisco Client Extensions について

ガイドラインと制限事項

CCX Aironet IE の設定

AP グループの設定

アクセス ポイント グループについて

ガイドラインと制限事項

アクセス ポイント グループの設定

RF プロファイルの設定

RF プロファイルについて

ガイドラインと制限事項

RF プロファイルの設定

802.1X 認証を使用した Web リダイレクトの設定

802.1X 認証を使用した Web リダイレクトについて

Web リダイレクトの設定

NAC アウトオブバンド統合の設定

NAC アウトオブバンド統合について

ガイドラインと制限事項

NAC アウトオブバンド統合の設定

パッシブ クライアントの設定

パッシブ クライアントについて

ガイドラインと制限事項

パッシブ クライアントの設定

WLAN ごとの RADIUS 送信元サポートの設定

WLAN ごとの RADIUS 送信元サポートについて

ガイドラインと制限事項

WLAN ごとの RADIUS 送信元サポートの設定

リモート LAN の設定

ガイドラインと制限事項

リモート LAN の設定

WLAN の使用

この章の内容は、次のとおりです。

「WLAN について」

「ガイドラインと制限事項」

「WLAN の作成」

「WLAN の検索」

「WLAN の設定」

WLAN について

Cisco UWN ソリューションでは、Lightweight アクセス ポイント全体に対して、最大 512 の WLAN を制御できます。各 WLAN には識別子である(1~512)WLAN ID 、プロファイル名、および WLAN SSID があります。すべてのコントローラは接続されている各アクセス ポイントに対して最大 16 の WLAN を公開しますが、管理しやすくするため、最大 512 の WLAN を作成し、これらの WLAN を異なるアクセス ポイントに選択的に公開する(アクセス ポイント グループを使用)ことができます。

異なるサービス セット ID(SSID)または同じ SSID で WLAN を設定できます。SSID は、コントローラがアクセスする必要がある特定の無線ネットワークを識別します。

ガイドラインと制限事項

Cisco 2500、2504 シリーズ コントローラ、Services-Ready Engine(SRE)(WLCM2)上で動作する Cisco ワイヤレス コントローラは最大 16 個までの WLAN をサポートします。

OfficeExtend アクセス ポイントはすべて同じアクセス ポイント グループ内である必要があり、かつ、このグループに含まれる WLAN は最大 15 個にする必要があります。アクセス ポイント グループ内の OfficeExtend アクセス ポイントを持つコントローラは、パーソナルな SSID に対して割り当てられる WLAN が 1 つであるため、接続されている各 OfficeExtend アクセス ポイントに最大 15 個の WLAN しか公開しません。

最大 16 個の WLAN を各アクセス ポイント グループにアソシエートし、各グループに個々のアクセス ポイントを割り当てることができます。各アクセス ポイントは、有効化されている WLAN のうち、そのアクセス ポイント グループに属する WLAN だけをアドバタイズします。アクセス ポイント グループで無効化されている WLAN または別のグループに属する WLAN はアドバタイズしません。アクセス ポイント グループの詳細は、「アクセス ポイント グループの作成(GUI)」を参照してください。

5.2 以前のコントローラのソフトウェア リリースでは、最大 16 個の WLAN のみをサポートします。WLAN および有線ゲスト LAN で不整合が生じるおそれがあるため、ソフトウェア リリース 5.2 以降からそれよりも前のリリースへのコントローラのダウングレードはサポートしていません。このため、WLAN、モビリティ アンカー、および有線 LAN を再設定する必要があります。

コントローラが VLAN トラフィックを正常にルーティングできるよう、WLAN と管理インターフェイスにはそれぞれ別の VLAN を割り当てることをお勧めします。

コントローラでは、同じ SSID の WLAN を区別するために、異なる属性が使用されます。

WLAN ID が 17 よりも小さい場合、同じ SSID と同じ L2 ポリシーを持つ WLAN は作成できません。

WLAN が別々の AP グループに追加されている場合は、ID が 17 よりも大きく、同じ SSID と同じ L2 ポリシーを持つ 2 つの WLAN が許可されます。


) この要件により、クライアントが同じアクセス ポイント無線に存在する SSID を検出することはなくなります。


同じ SSID を持つ WLAN を作成する際は、次のガイドラインと要件に従ってください。

各 WLAN に一意のプロファイル名を作成する必要があります。

同じ SSID を持つ複数の WLAN を同じ AP 無線に割り当てる場合は、クライアントがその中から安全に選択できるように、一意のレイヤ 2 セキュリティ ポリシーを使用している必要があります。

同じ SSID を持つ WLAN は、ビーコン応答とプローブ応答でアドバタイズされる情報に基づいてクライアントが WLAN を選択できるように、一意のレイヤ 2 セキュリティ ポリシーを使用している必要があります。使用可能なレイヤ 2 セキュリティ ポリシーは、次のとおりです。

なし(オープン WLAN)

Static WEP または 802.1X


) Static WEP と 802.1X は両方とも、ビーコン応答とプローブ応答で同じビットによってアドバタイズされるので、クライアントはこれらを区別できません。したがって、同じ SSID を持つ複数の WLAN では、Static WEP と 802.1X の両方を使用できません。


CKIP

WPA/WPA2


) 同じ SSID を持つ複数の WLAN で WPA と WPA2 の両方を使用することはできませんが、同じ SSID を持つ 2 つの WLAN は、PSK を使用する WPA/TKIP と 802.1X を使用する WPA(Wi-Fi Protected Access)/TKIP(Temporal Key Integrity Protocol)でそれぞれ設定するか、802.1X を使用する WPA/TKIP または 802.1X を使用する WPA/AES でそれぞれ設定することができます。


EAP パススルーを使用する WLAN を設定する場合、および以前のコントローラ バージョンにダウングレードする場合は、ダウンロード プロセス中に XML 検証エラーが発生することがあります。この問題の原因は、以前のリリースで EAP パススルーがサポートされていないことにあります。設定は、デフォルトのセキュリティ設定(WPA2/802.1X)になります。


注意 クライアントによっては、同じ SSID に複数のセキュリティ ポリシーが検出されると、WLAN に適切に接続できない場合があります。この機能を使用する際は、十分注意してください。


) OEAP 600 シリーズ アクセス ポイントでは、最大で 2 つの WLAN と 1 つのリモート LAN がサポートされます。3 つ以上の WLAN と 1 つのリモート LAN を設定した場合は、AP グループに 600 シリーズ アクセス ポイントを割り当てることができます。2 つの WLAN と 1 つのリモート LAN のサポートも AP グループに適用されますが、600 シリーズ OEAP がデフォルト グループにある場合、WLAN またはリモート LAN ID を 7 以下にする必要があります。


Cisco Flex 7500 シリーズ コントローラでは、802.1x セキュリティ バリアントはサポートされません。たとえば、中央でスイッチされる WLAN では次の設定は許可されません。

802.1x AKM を使用した WPA1/WPA2

CCKM を使用した WPA1/WPA2

Dynamic WEP

条件付き webauth

スプラッシュ Web ページ リダイレクト

上記の任意の組み合わせで WLAN を設定する場合、ローカル スイッチングを使用するように WLAN を設定する必要があります。

WLAN の作成

この項では、次のトピックを扱います。

「WLAN の作成および削除(GUI)」

「WLAN の有効化および無効化(GUI)」

「WLAN の作成および削除(CLI)」

「WLAN の表示(CLI)」

「WLAN の有効化および無効化(CLI)」

WLAN の作成および削除(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

図 7-1 [WLANs] ページ

 

このページでは、コントローラ上で現在設定されているすべての WLAN が表示されます。各 WLAN について、WLAN ID、プロファイル名、タイプ、SSID、ステータス、およびセキュリティ ポリシーを表示できます。

WLAN の合計数がページの右上隅に表示されます。WLAN のリストが複数ページに渡る場合は、ページ番号のリンクをクリックすることで、目的のページにアクセスできます。


WLAN を削除する場合は、削除する WLAN の青いドロップダウン矢印の上にカーソルを置いて、[Remove] を選択します。もしくは、削除する WLAN の左側のチェックボックスをオンにして、ドロップダウン リストから [Remove Selected] を選択して、[Go] をクリックします。決定を確認するメッセージが表示されます。確認して先に進むと、割り当てられているアクセス ポイント グループおよびアクセス ポイント無線からその WLAN が削除されます。


ステップ 2 ドロップダウン リストから [Create New] を選択し、[Go] をクリックして新規の WLAN を作成します。[WLANs > New] ページが表示されます。


) コントローラのソフトウェア リリース 5.2 以降にアップグレードすると、コントローラによって default-group アクセス ポイント グループが作成され、その中に、最初の 16 個の WLAN(1 ~ 16 の ID を持つ WLAN。ただし、設定された WLAN の数が 16 に満たない場合は 16 より少なくなります)が自動的に割り当てられます。このデフォルトのグループは変更できません(このグループに WLAN を追加したり、このグループから WLAN を削除することはできません)。先頭の 16 の WLAN が追加または削除されるたびに、グループの内容は動的に更新されます。アクセス ポイントは、アクセス ポイント グループに属していない場合には、デフォルト グループに割り当てられ、そのデフォルト グループ内の WLAN を使用します。アクセス ポイントは、未定義のアクセス ポイント グループ名を有するコントローラと join した場合、そのグループ名を保持しますが、default-group アクセス ポイント グループ内の WLAN を使用します。


ステップ 3 [Type] ドロップダウン リストから、[WLAN] を選択して WLAN を作成します。


) 有線ゲスト ユーザ用にゲスト LAN を作成する場合は、[Guest LAN] を選択し、の手順に従ってください。


ステップ 4 [Profile Name] テキスト ボックスに、この WLAN に割り当てるプロファイル名を英数字 32 文字以内で入力します。プロファイル名は固有である必要があります。

ステップ 5 [WLAN SSID] テキスト ボックスに、この WLAN に割り当てる SSID に対する最大 32 文字の英数字を入力します。

ステップ 6 [WLAN ID] ドロップダウン リストから、この WLAN の ID 番号を選択します。


) Cisco OEAP 600 がデフォルト グループにある場合は、WLAN/リモート LAN ID を ID 7 以下に設定する必要があります。


ステップ 7 [Apply] をクリックして、変更を確定します。[WLANs > Edit] ページが表示されます。


) 編集する WLAN の ID 番号をクリックすることにより、[WLANs] ページから [WLANs > Edit] ページを開くこともできます。


図 7-2 [WLANs > Edit] ページ

 

ステップ 8 [General] タブ、[Security] タブ、[QoS] タブおよび [Advanced] タブ上でパラメータを使用してこの WLAN を設定します。WLAN の特定の機能を設定する手順については、この章の後の項を参照してください。

ステップ 9 [General] タブの [Status] チェックボックスをオンにして、この WLAN を有効にします。WLAN に対する設定変更が終了するまで、チェックボックスをオフにしておいてください。

ステップ 10 [Apply] をクリックして、変更を確定します。

ステップ 11 [Save Configuration] をクリックして、変更を保存します。


 

WLAN の有効化および無効化(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

図 7-3 [WLANs] ページ

 

このページでは、コントローラ上で現在設定されているすべての WLAN が表示されます。

ステップ 2 [WLANs] ページから WLAN を有効または無効にするには、有効または無効にする WLAN の左側のチェックボックスをオンにして、ドロップダウン リストから [Enable Selected] または [Disable Selected] を選択し、[Go] をクリックします。

ステップ 3 [Apply] をクリックします。


 

WLAN の作成および削除(CLI)

次のコマンドを入力して、新規の WLAN を作成します。

config wlan create wlan_id { profile_name | foreign_ap } ssid


ssid を指定しない場合、profile_name パラメータがプロファイル名と SSID の両方に対して使用されます。



) 設定ウィザードで WLAN 1 を作成した場合、これは有効にされた状態で作成されています。設定が完了するまでは、無効にしてください。config wlan create コマンドを使用して WLAN を新しく作成する場合は、無効モードで作成されます。設定が終了するまでは、無効のままにしてください。



) 有線ゲスト ユーザ用にゲスト LAN を作成する場合は、の手順に従ってください。


次のコマンドを入力し、WLAN を削除します。

config wlan delete { wlan_id | foreign_ap }


) アクセス ポイント グループに割り当てられている WLAN を削除しようとすると、エラー メッセージが表示されます。そのまま続行すると、アクセス ポイント グループとアクセス ポイントの無線から WLAN が削除されます。


WLAN の表示(CLI)

次のコマンドを入力して、既存の WLAN のリストを表示して、有効か無効かを確認します。

show wlan summary

WLAN の有効化および無効化(CLI)

WLAN を有効にするには(たとえば、WLAN に対する変更を終えた後)、次のコマンドを入力します。

config wlan enable { wlan_id | foreign_ap | all }


) コマンドが失敗した場合は、エラー メッセージ(「Request failed for wlan 10 - Static WEP key size does not match 802.1X WEP key size」など)が表示されます。


WLAN を無効にするには(たとえば、WLAN に対する任意の変更を行う前)、次のコマンドを入力します。

config wlan disable { wlan_id | foreign_ap | all }

ここで、

wlan_id は、WLAN ID(1 ~ 512)です。

foreign_ap は、サードパーティ アクセス ポイントです。

all は、すべての WLAN です。


) 管理インターフェイスおよび AP マネージャ インターフェイスが同じポートにマップされており、いずれも同じ VLAN のメンバである場合は、WLAN を無効にしてから、ポートマッピングをいずれかのインターフェイスに変更する必要があります。管理インターフェイスと AP マネージャ インターフェイスが別々の VLAN に割り当てられている場合は、WLAN を無効にする必要はありません。


WLAN の検索

この項では、次のトピックを扱います。

「WLAN の検索(GUI)」

「WLAN ごとのクライアント カウントの設定」

WLAN の検索(GUI)


ステップ 1 コントローラの GUI を使用して WLAN を検索するには、次の手順を実行します。

ステップ 2 [WLANs] ページで、[Change Filter] をクリックします。[Search WLANs] ダイアログボックスが表示されます。

図 7-4 [Search WLANs] ダイアログボックス

 

ステップ 3 次のいずれかの操作を行います。

プロファイル名に基づいて WLAN を検索するには、[Profile Name] チェックボックスをオンにして、目的のプロファイル名を編集ボックスに入力します。

SSID に基づいて WLAN を検索するには、[SSID] チェックボックスをオンにして、目的の SSID を編集ボックスに入力します。

ステータスに基づいて WLAN を検索するには、[Status] チェックボックスをオンにして、ドロップダウン リストから [Enabled] または [Disabled] を選択します。

ステップ 4 [Find] をクリックします。検索条件に一致した WLAN だけが [WLANs] ページに表示され、ページの上部の [Current Filter] フィールドに、リストを生成するために使用された検索条件(たとえば、None、Profile Name:user1、SSID:test1、Status:disabled)が指定されます。


) 設定されている検索条件をクリアして、WLAN の全リストを表示するには、[Clear Filter] をクリックします。



 

WLAN ごとのクライアント カウントの設定について

WLAN に接続できるクライアント数を制限できます。この機能は、コントローラに接続できるクライアントの数を制限したい場合に役立ちます。たとえば、コントローラが WLAN 上の最大 256 個のクライアントに対応でき、これらのクライアントが企業ユーザ(従業員)およびゲスト ユーザ間で共有される場合について考えます。所定の WLAN にアクセスできるゲスト クライアントの数に対して、制限を設定できます。WLAN ごとに設定できるクライアント数は、使用しているプラットフォームによって異なります。

ガイドラインと制限事項

WLAN ごとの最大クライアント数制限機能は、FlexConnect ローカル認証を使用している場合サポートされません。

WLAN ごとの最大クライアント数制限機能は、接続モードのアクセス ポイントに対してのみサポートされます。

表 7-1 は、所定のプラットフォームで設定できるクライアント数を示しています。

表 7-1 プラットフォームごとの最大クライアント数

プラットフォーム
最大クライアント数

Cisco 2106 シリーズ コントローラ

350

Cisco 2500 シリーズ コントローラ

500

Cisco 4400 シリーズ コントローラ

5000

Cisco 5500 シリーズ コントローラ

7000

Cisco Flex 7500 シリーズ コントローラ

30000

WiSM2

10000

WLAN ごとのクライアント カウントの設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 クライアント数を制限する WLAN の ID 番号をクリックします。[WLANs > Edit] ページが表示されます。

ステップ 3 [Advanced] タブで、[Maximum Allowed Clients] テキスト ボックスに入力します。

プラットフォームごとのサポートされるクライアントの最大数については、 表 7-1 を参照してください。

ステップ 4 [Apply] をクリックして、変更を確定します。


 

WLAN ごとの最大クライアント数の設定(CLI)


ステップ 1 次のコマンドを入力して、最大クライアント数を設定する WLAN ID を確認します。

show wlan summary

リストから WLAN ID を取得します。

ステップ 2 次のコマンドを入力して、WLAN ごとの最大クライアント数を設定します。

config wlan max-associated-clients max-clients wlanid

プラットフォームごとのサポートされるクライアントの最大数については、 表 7-1 を参照してください。


 

各 WLAN の AP 無線ごとの最大クライアント数の設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 クライアント数を制限する WLAN の ID 番号をクリックします。[WLANs > Edit] ページが表示されます。

ステップ 3 [Advanced] タブの [Maximum Allowed Clients Per AP Radio] テキスト ボックスに、アクセス ポイント無線ごとに許可される最大クライアント数を入力します。最大 200 のクライアントを設定できます。

ステップ 4 [Apply] をクリックして、変更を確定します。


 

各 WLAN の AP 無線ごとの最大クライアント数の設定(CLI)


ステップ 1 次のコマンドを入力して、無線ごとの最大クライアント数を設定する WLAN ID を確認します。

show wlan summary

リストから WLAN ID を取得します。

ステップ 2 次のコマンドを入力して、WLAN ごとの最大クライアント数を設定します。

config wlan max-radio-clients client_count

最大 200 のクライアントを設定できます。

ステップ 3 設定されているアソシエートされたクライアントの最大数を表示するには、 show 802.11a コマンドを使用します。


 

WLAN の設定

この項では、次のトピックを扱います。

「DHCP の設定」

「WLAN の MAC フィルタリングの設定」

「ローカル MAC フィルタの設定」

「無効なクライアントのタイムアウトの設定」

「インターフェイスへの WLAN の割り当て」

「DTIM period の設定」

「ピアツーピア ブロッキングの設定」

「レイヤ 2 セキュリティの設定」

「Static WEP と Dynamic WEP の両方をサポートする WLAN の設定」

「WPA1 +WPA2 の設定」

「CKIP の設定」

「セッション タイムアウトの設定」

「VPN パススルーを使用したレイヤ 3 セキュリティの設定」

「Web 認証を使用したレイヤ 3 セキュリティの設定」

「MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定」

「WLAN への QoS プロファイルの割り当て」

「QoS Enhanced BSS の設定」

「メディア セッション スヌーピングおよびレポートの設定」

「Key Telephone System-Based CAC の設定」

「ローミングしている音声クライアントのリアンカーの設定」

「シームレスな IPv6 モビリティの設定」

「IPv6 クライアントのための RA ガードの設定」

「IPv6 クライアントのための RA スロットリングの設定」

「IPv6 ネイバー ディスカバリ キャッシングの設定」

「Cisco Client Extensions の設定」

「AP グループの設定」

「RF プロファイルの設定」

「802.1X 認証を使用した Web リダイレクトの設定」

「NAC アウトオブバンド統合の設定」

「パッシブ クライアントの設定」

「WLAN ごとの RADIUS 送信元サポートの設定」

「リモート LAN の設定」

DHCP の設定

WLAN では、同じ Dynamic Host Configuration Protocol(DHCP)サーバまたは異なる DHCP サーバを使用するか、または DHCP サーバを使用しないように設定できます。DHCP サーバには、内部 DHCP サーバと外部 DHCP サーバの 2 つのタイプがあります。

この項では、次のトピックを扱います。

「内部 DHCP サーバ」

「外部 DHCP サーバ」

「DHCP の割り当て」

「DHCP の設定」

「DHCP スコープの設定」

内部 DHCP サーバ

コントローラは、内部 DHCP サーバを持っています。このサーバは、一般的に、DHCP サーバを持たないブランチ オフィスで使用されます。無線ネットワークには、通常、コントローラと同じ IP サブネット上にある 10 台以下のアクセス ポイントが含まれます。内部サーバは、ワイヤレス クライアント、ダイレクトコネクト アクセス ポイント、管理インターフェイス上のアプライアンスモード アクセス ポイント、およびアクセス ポイントからリレーされた DHCP 要求に対して DHCP アドレスを提供します。Lightweight アクセス ポイントのみサポートされています。内部 DHCP サーバを使用する場合は、コントローラの管理インターフェイスの IP アドレスを DHCP サーバの IP アドレスとして設定する必要があります。

内部サーバでは、DHCP オプション 43 はサポートされていません。したがって、アクセス ポイントは、ローカル サブネット ブロードキャスト、DNS、プライミング、または over-the-air discovery などの別の方法を使用してコントローラの管理インターフェイスの IP アドレスを見つける必要があります。


) アクセス ポイントによるコントローラの検出方法の詳細については、または『Controller Deployment Guide』を参照してください。

http://www.cisco.com/en/US/products/ps6366/prod_technical_reference_list.html


内部 DHCP サーバ プールは、当該のコントローラのワイヤレス クライアントのみに対応し、他のコントローラのクライアントには対応しません。また、内部 DHCP サーバは、ワイヤレス クライアントのみに対応し、有線クライアントには対応しません。


) クライアントが認証解除または削除された場合、DHCP Required 状態が原因でトラフィックが適切に転送されない場合があります。この問題に対処するには、DHCP Required 状態が常に無効になるようにします。



) コントローラは、内部 DHCPv6 サーバをサポートしません。ただし、クライアントは、外部 DHCPv6 サーバによって割り当てられた IP アドレスを学習できます。


外部 DHCP サーバ

オペレーティング システムは、DHCP リレーをサポートする業界標準の外部 DHCP サーバを使用することにより、ネットワークに対しては DHCP リレーとして機能し、クライアントに対しては DHCP サーバとして機能するように設計されています。これは、各コントローラが DHCP サーバに対する DHCP リレー エージェントとして、およびワイヤレス クライアントに対しては、仮想 IP アドレスの DHCP サーバとして機能することを意味します。

コントローラは DHCP サーバから取得したクライアント IP アドレスをキャプチャするため、コントローラ内、コントローラ間、およびサブネット間でのクライアント ローミング時に、各クライアントに対して同じ IP アドレスが保持されます。

DHCP の割り当て

DHCP はインターフェイスごとに、または WLAN ごとに設定できます。特定のインターフェイスに割り当てられたプライマリ DHCP サーバのアドレスを使用することが推奨されます。

個々のインターフェイスに DHCP サーバを割り当てることができます。管理インターフェイス、AP マネージャ インターフェイス、動的インターフェイスはプライマリおよびセカンダリ DHCP サーバに設定でき、サービス ポート インターフェイスは DHCP サーバを有効または無効にするように設定できます。


) コントローラのインターフェイスの設定方法については、を参照してください。


WLAN で DHCP サーバを定義することもできます。このサーバは、WLAN に割り当てられたインターフェイス上の DHCP サーバのアドレスを上書きします。

セキュリティに関する注意事項

高度なセキュリティが必要な場合は、すべてのクライアントが DHCP サーバから IP アドレスを取得するように設定してください。この要件を適用するためには、すべての WLAN を DHCP Addr.Assignment Required 設定で設定して、クライアントの固定 IP アドレスが禁止されるようにします。DHCP Addr.Assignment Required が選択されている場合、クライアントは DHCP を使って IP アドレスを取得する必要があります。固定 IP アドレスを持つクライアントはすべて、ネットワーク上で許可されなくなります。クライアントの DHCP プロキシとして動作するコントローラが、DHCP トラフィックを監視します。


) 無線による管理をサポートする WLAN では、管理(デバイスサービシング)クライアントが DHCP サーバから IP アドレスを取得できるようにする必要があります。無線による管理の設定方法については、を参照してください。


セキュリティが多少劣ってもかまわない場合は、DHCP Addr.Assignment Required を無効に設定して WLAN を作成できます。その後クライアントは、固定 IP アドレスを使用するか、指定された DHCP サーバの IP アドレスを取得するかを選択できます。


) DHCP アドレス 有線ゲスト LAN に対する Assignment Required は、サポートされていません。


また個別の WLAN を、DHCP Addr. Assignment Required を無効に設定して作成できます。これは、コントローラに対して DHCP プロキシが有効である場合のみ適用できます。プライマリ/セカンダリ DHCP サーバを定義する必要はありません。このような WLAN では、すべての DHCP 要求がドロップするため、クライアントは固定 IP アドレスを使用しなければなりません。これらの WLAN は、ワイヤレス接続の管理をサポートしていないことに注意してください。


) DHCP プロキシをグローバルに設定する方法については、を参照してください。



) IP アドレスを DHCP サーバで自動的に割り当てるのではなく、アクセス ポイントに固定 IP アドレスを指定する場合の詳細については、を参照してください。


ガイドラインと制限事項

リリース 7.0.116.0 からは、内部 DHCP サーバのコントローラに対する DHCP リースがクリアされると、アソシエートされたアクセス ポイントがリブートします。

内部 DHCP サーバのコントローラでは、Cisco Aironet 600 シリーズ OfficeExtend アクセス ポイントはサポートされません。

DHCP の設定

この項では、次のトピックを扱います。

「DHCP の設定(GUI)」

「DHCP の設定(CLI)」

「DHCP のデバッグ(CLI)」

DHCP の設定(GUI)

管理インターフェイス、AP マネージャ インターフェイス、または動的インターフェイスにプライマリ DHCP サーバを設定するには、を参照してください。

内部 DHCP サーバを使用する場合は、コントローラの管理インターフェイスの IP アドレスを DHCP サーバの IP アドレスとして設定する必要があります。


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 インターフェイスを割り当てる WLAN の ID 番号をクリックします。[WLANs > Edit (General)] ページが表示されます。

ステップ 3 [General] タブの [Status] チェックボックスをオフにし、[Apply] をクリックして WLAN を無効にします。

ステップ 4 WLAN の ID 番号をクリックします。

ステップ 5 [General] タブの [Interface] ドロップダウン リストから、この WLAN で使用するプライマリ DHCP サーバを設定したインターフェイスを選択します。

ステップ 6 [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。

ステップ 7 WLAN 上で、WLAN に割り当てられたインターフェイスの DHCP サーバ アドレスをオーバーライドする DHCP サーバを定義する場合、[DHCP Server Override] チェックボックスをオンにして、[DHCP Server IP Addr] テキスト ボックスに目的の DHCP サーバの IP アドレスを入力します。チェックボックスはデフォルトでは、無効になっています。


) DHCP の設定には、DHCP サーバのオーバーライドではなく、特定のインターフェイスに割り当てられたプライマリの DHCP アドレスを使用する方式が優先されます。



) DHCP サーバのオーバーライドは、デフォルト グループだけに適用されます。



) WLAN で DHCP サーバのオーバーライドが有効になっており、コントローラの DHCP プロキシが有効になっている場合、WLAN にマッピングされるインターフェイスが DHCP サーバの IP アドレスを持っているか、または WLAN に DHCP サーバの IP アドレスを設定する必要があります。


ステップ 8 すべてのクライアントが DHCP サーバから IP アドレスを取得するよう設定するには、[DHCP Addr. Assignment Required] チェックボックスをオンにします。この機能が有効になっている場合、固定 IP アドレスを持つクライアントはネットワーク上で許可されません。デフォルト値では無効になっています。


) DHCP アドレス 有線ゲスト LAN に対する Assignment Required は、サポートされていません。


ステップ 9 [Apply] をクリックして、変更を確定します。

ステップ 10 [General] タブの [Status] チェックボックスをオフにし、[Apply] をクリックして WLAN を再び有効にします。

ステップ 11 [Save Configuration] をクリックして、変更を保存します。


 

DHCP の設定(CLI)

管理インターフェイス、AP マネージャ インターフェイス、または動的インターフェイスにプライマリ DHCP サーバを設定するには、を参照してください。


ステップ 1 次のコマンドを入力して、WLAN を無効にします。

config wlan disable wlan_id

ステップ 2 次のコマンドを入力して、この WLAN で使用するプライマリ DHCP サーバを設定したインターフェイスを指定します。

config wlan interface wlan_id interface_name

ステップ 3 WLAN 上で、WLAN に割り当てられたインターフェイスの DHCP サーバ アドレスを上書きする DHCP サーバを定義するには、次のコマンドを入力します。

config wlan dhcp_server wlan_id dhcp_server_ip_address


) DHCP の設定には、DHCP サーバのオーバーライドではなく、特定のインターフェイスに割り当てられたプライマリの DHCP アドレスを使用する方式が優先されます。オーバーライド機能を有効にした場合、show wlan コマンドを使用して DHCP サーバが WLAN に割り当てられていることを確認できます。



) WLAN で DHCP サーバのオーバーライドが有効になっており、コントローラの DHCP プロキシが有効になっている場合、WLAN にマッピングされるインターフェイスが DHCP サーバの IP アドレスを持っているか、または WLAN に DHCP サーバの IP アドレスを設定する必要があります。


ステップ 4 次のコマンドを入力して、WLAN を再び有効にします。

config wlan enable wlan_id


 

DHCP のデバッグ(CLI)

debug dhcp packet { enable | disable }:DHCP パケットのデバッグを有効または無効にします。

debug dhcp message { enable | disable }:DHCP エラー メッセージのデバッグを有効または無効にします。

debug dhcp service-port { enable | disable }:サービス ポート上の DHCP パケットのデバッグを有効または無効にします。

DHCP スコープの設定

コントローラには組み込みの DHCP リレー エージェントがあります。ただし、各ネットワーク セグメントで別個の DHCP サーバを持たないようにしたい場合は、コントローラに IP アドレスとサブネット マスクをワイヤレス クライアントに割り当てる組み込みの DHCP スコープを設定できます。一般に、1 つのコントローラには、それぞれある範囲の IP アドレスを指定する複数の DHCP スコープを設定できます。

DHCP スコープは内部 DHCP が機能するために必要となります。コントローラで DHCP を定義すると、管理インターフェイス、AP マネージャ インターフェイス、動的インターフェイスのプライマリ DHCP サーバの IP アドレスをコントローラの管理インターフェイスにポイントできるようになります。

コントローラの GUI または CLI を使用して、最大 16 個の DHCP スコープを設定できます。

この項では、次のトピックを扱います。

「DHCP スコープの設定(GUI)」

「DHCP スコープの設定(CLI)」

DHCP スコープの設定(GUI)


ステップ 1 [Controller] > [Internal DHCP Server] > [DHCP Scope] を選択して、[DHCP Scopes] ページを開きます。

図 7-5 [DHCP Scopes] ページ

 

このページには、これまでに設定されたすべての DHCP スコープが表示されます。


) 既存の DHCP スコープを削除するには、そのスコープの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。


ステップ 2 新しい DHCP スコープを追加するには、[New] をクリックします。[DHCP Scope > New] ページが表示されます。

ステップ 3 [Scope Name] テキスト ボックスに、新しい DHCP スコープの名前を入力します。

ステップ 4 [Apply] をクリックします。DHCP Scopes ページが再度表示されたら、新しいスコープの名前をクリックします。[DHCP Scope > Edit] ページが表示されます。

図 7-6 [DHCP Scope > Edit] ページ

 

ステップ 5 [Pool Start Address] テキスト ボックスに、クライアントに割り当てられた範囲の開始 IP アドレスを入力します。


) このプールは、各 DHCP スコープで一意でなければならず、ルータまたは他のサーバの固定 IP アドレスを含めることはできません。


ステップ 6 [Pool End Address] テキスト ボックスに、クライアントに割り当てられた範囲の終了 IP アドレスを入力します。


) このプールは、各 DHCP スコープで一意でなければならず、ルータまたは他のサーバの固定 IP アドレスを含めることはできません。


ステップ 7 [Network] テキスト ボックスに、この DHCP スコープの対象となるネットワークの名前を入力します。この IP アドレスは、[Interfaces] ページで設定されている、ネットマスクが適用された管理インターフェイスによって使用されます。

ステップ 8 [Netmask] テキスト ボックスに、すべてのワイヤレス クライアントに割り当てられたサブネット マスクを入力します。

ステップ 9 [Lease Time] テキスト ボックスに、IP アドレスをクライアントに対して許可する時間(0 ~ 65536 秒)を入力します。

ステップ 10 [Default Routers] テキスト ボックスに、コントローラに接続しているオプション ルータの IP アドレスを入力します。各ルータには、DHCP フォワーディング エージェントを含める必要があります。これにより、単一コントローラで複数のコントローラのクライアントを処理できます。

ステップ 11 [DNS Domain Name] テキスト ボックスに、1 つまたは複数の DNS サーバで使用する、この DHCP スコープのオプションのドメイン ネーム システム(DNS)ドメイン名を入力します。

ステップ 12 [DNS Servers] テキスト ボックスに、オプションの DNS サーバの IP アドレスを入力します。各 DNS サーバは、この DHCP スコープで割り当てられた IP アドレスと一致するように、クライアントの DNS エントリを更新できる必要があります。

ステップ 13 [Netbios Name Servers] テキスト ボックスに、Internet Naming Service(WINS)サーバなど、オプションの Microsoft Network Basic Input Output System(NetBIOS)ネーム サーバの IP アドレスを入力します。

ステップ 14 [Status] ドロップダウン リストから、[Enabled] を選択してこの DHCP スコープを有効にするか、または [Disabled] を選択して無効にします。

ステップ 15 [Apply] をクリックして、変更を確定します。

ステップ 16 [Save Configuration] をクリックして、変更を保存します。

ステップ 17 [DHCP Allocated Leases] を選択して、ワイヤレス クライアントの残りのリース時間を表示します。[DHCP Allocated Lease] ページが表示され、ワイヤレス クライアントの MAC アドレス、IP アドレス、および残りのリース時間が示されます。

図 7-7 [DHCP Allocated Lease] ページ

 


 

DHCP スコープの設定(CLI)


ステップ 1 次のコマンドを入力して、新規の DHCP スコープを作成します。

config dhcp create-scope scope


) DHCP スコープを削除する場合は、次のコマンドを入力します。config dhcp delete-scope scope


ステップ 2 次のコマンドを入力して、クライアントに割り当てられた範囲の開始および終了 IP アドレスを指定します。

config dhcp address-pool scope start end


) このプールは、各 DHCP スコープで一意でなければならず、ルータまたは他のサーバの固定 IP アドレスを含めることはできません。


ステップ 3 次のコマンドを入力して、この DHCP スコープの対象となるネットワーク(ネットマスクが適用された管理インターフェイスによって使用される IP アドレス)およびすべてのワイヤレス クライアントに割り当てられたサブネット マスクを指定します。

config dhcp network scope network netmask

ステップ 4 次のコマンドを入力して、クライアントに IP アドレスを許容する時間(0 ~ 65536 秒)を指定します。

config dhcp lease scope lease_duration

ステップ 5 次のコマンドを入力して、コントローラに接続するオプション ルータの IP アドレスを指定します。

config dhcp default-router scope router_1 [ router_2 ] [ router_3 ]

各ルータには、DHCP フォワーディング エージェントを含める必要があります。これにより、単一コントローラで複数のコントローラのクライアントを処理できます。

ステップ 6 次のコマンドを入力して、1 つまたは複数の DNS サーバで使用する、この DHCP スコープのオプションのドメイン ネーム システム(DNS)ドメイン名を指定します。

config dhcp domain scope domain

ステップ 7 次のコマンドを入力して、オプションの DNS サーバの IP アドレスを指定します。

config dhcp dns-servers scope dns1 [ dns2 ] [ dns3 ]

各 DNS サーバは、この DHCP スコープで割り当てられた IP アドレスと一致するように、クライアントの DNS エントリを更新できる必要があります。

ステップ 8 次のコマンドを入力して、Internet Naming Service(WINS)サーバなど、オプションの Microsoft Network Basic Input Output System(NetBIOS)ネーム サーバの IP アドレスを指定します。

config dhcp netbios-name-server scope wins1 [ wins2 ] [ wins3 ]

ステップ 9 次のコマンドを入力して、この DHCP スコープを有効または無効にします。

config dhcp { enable | disable } scope

ステップ 10 次のコマンドを入力して、変更を保存します。

save config

ステップ 11 次のコマンドを入力して、設定されている DHCP スコープのリストを表示します。

show dhcp summary

以下に類似した情報が表示されます。

Scope Name Enabled Address Range
Scope 1 No 0.0.0.0 -> 0.0.0.0
Scope 2 No 0.0.0.0 -> 0.0.0.0
 

ステップ 12 次のコマンドを入力して、特定のスコープの DHCP 情報を表示します。

show dhcp scope

以下に類似した情報が表示されます。

Enabled....................................... No
Lease Time.................................... 0
Pool Start.................................... 0.0.0.0
Pool End...................................... 0.0.0.0
Network....................................... 0.0.0.0
Netmask....................................... 0.0.0.0
Default Routers............................... 0.0.0.0 0.0.0.0 0.0.0.0
DNS Domain....................................
DNS........................................... 0.0.0.0 0.0.0.0 0.0.0.0
Netbios Name Servers.......................... 0.0.0.0 0.0.0.0 0.0.0.0
 


 

WLAN の MAC フィルタリングの設定

クライアント認可または管理者認可に MAC フィルタリングを使用する場合は、WLAN レベルで先に有効にしておく必要があります。任意の WLAN でローカル MAC アドレス フィルタリングを使用する予定がある場合は、この項のコマンドを使用して WLAN の MAC フィルタリングを設定します。

WLAN 上で MAC フィルタリングを有効にするには、次のコマンドを使用します。

MAC フィルタリングを有効にするには、 config wlan mac-filtering enable wlan_id コマンドを入力します。

WLAN に対して MAC フィルタリングを有効にしたことを確認するには、 show wlan コマンドを入力します。

MAC フィルタリングを有効にすると、WLAN に追加した MAC アドレスにのみ WLAN への接続が許可されます。追加されていない MAC アドレスは、WLAN への接続が許可されません。

ローカル MAC フィルタについて

コントローラには MAC フィルタリング機能が組み込まれています。これは、RADIUS authorization サーバで提供されるものとよく似ています。GUI または CLI を使用して MAC フィルタを設定できます。

ローカル MAC フィルタの設定(CLI)

コントローラに MAC フィルタ エントリを作成するには、 config macfilter add mac_addr wlan_id [ interface_name ] [ description ] [ IP_addr ] コマンドを入力します。

次のパラメータはオプションです。

mac_addr: クライアントの MAC アドレス。

wlan_id :クライアントがアソシエートしている WLAN ID。

interface_name :インターフェイスの名前。このインターフェイス名を使用して、WLAN に設定されたインターフェイスを上書きします。

description :インターフェイスの簡単な説明。二重引用符で囲みます(たとえば、"Interface1")。

IP_addr :上記の mac addr 値で指定された MAC アドレスを持つパッシブ クライアントに使用される IP アドレス。

config macfilter add コマンドで既存の MAC フィルタ エントリに IP アドレスが割り当てられていない場合に、IP アドレスを割り当てるには、 config macfilter ip-address mac_addr IP_addr コマンドを入力します。

MAC アドレスが WLAN に割り当てられていることを確認するには、 show macfilter コマンドを入力します。

ガイドラインと制限事項

インターフェイス名を上書きするには、WLAN で AAA を有効にする必要があります。

無効なクライアントのタイムアウトの設定

無効なクライアントに対してタイムアウトを設定できます。アソシエートしようとした際に認証で 3 回失敗したクライアントは、それ以降のアソシエーションの試みでは自動的に無効にされます。タイムアウト期間が経過すると、クライアントは認証の再試行を許可され、アソシエートすることができます。このとき、認証に失敗すると再び排除されます。無効なクライアントに対してタイムアウトを設定するには、次のコマンドを使用します。

無効なクライアントのタイムアウトの設定(CLI)

無効なクライアントにタイムアウトを設定するには、 config wlan exclusionlist wlan_id timeout コマンドを入力します。 1 65,535 秒のタイムアウトを入力するか、または 0 を入力して永続的にクライアントを無効にします。

現在のタイムアウトを確認するには、 show wlan コマンドを入力します。

インターフェイスへの WLAN の割り当て

WLAN をインターフェイスに割り当てるには、次のコマンドを使用します。

次のコマンドを入力して、インターフェイスに WLAN を割り当てます。

config wlan interface { wlan_id | foreignAp } interface_id

WLAN を特定のインターフェイスに割り当てるには、 interface_id オプションを使用します。

サードパーティ アクセス ポイントを使用するには、 foreignAp オプションを使用します。

インターフェイス割り当てステータスを確認するには、 show wlan summary コマンドを入力します。

DTIM period の設定

この項では、次のトピックを扱います。

「DTIM period について」

「ガイドラインと制限事項」

「DTIM period の設定」

DTIM period について

802.11a/n ネットワークおよび 802.11b/g/n ネットワークの場合、Lightweight アクセス ポイントは、Delivery Traffic Indication Map(DTIM)と同期する一定間隔でビーコンをブロードキャストします。アクセス ポイントでビーコンがブロードキャストされると、DTIM period で設定した値に基づいて、バッファされたブロードキャスト フレームおよびマルチキャスト フレームが送信されます。この機能により、ブロードキャスト データやマルチキャスト データが予想されると、適切なタイミングで省電力クライアントを再起動できます。

通常、DTIM の値は 1(ブロードキャスト フレームおよびマルチキャスト フレームはビーコンのたびに送信)または 2(ビーコン 1 回おきに送信)のいずれかに設定されます。たとえば、802.11a/n または 802.11b/g/n のネットワークのビーコン期間が 100ms で DTIM 値が 1 に設定されていると、アクセス ポイントは、バッファされたブロードキャスト フレームおよびマルチキャスト フレームを毎秒 10 回送信します。ビーコン期間が 100ms で DTIM 値が 2 に設定されていると、アクセス ポイントは、バッファされたブロードキャスト フレームおよびマルチキャスト フレームを毎秒 5 回送信します。ブロードキャスト フレームおよびマルチキャスト フレームの頻度を考慮して、VoIP を含むアプリケーションに適したいずれかの設定を使用できます。

ただし、802.11a/n または 802.11b/g/n のすべてのクライアントで省電力モードが有効になっている場合は、DTIM 値を最大 255 まで設定できます(ブロードキャスト フレームおよびマルチキャスト フレームは 255 回のビーコンで 1 回送信)。クライアントは DTIM period に達したときのみリッスンする必要があるため、ブロードキャストとマルチキャストをリッスンする頻度を少なく設定することで、結果的にバッテリ寿命を長くできます。たとえば、ビーコン period が 100 ms で DTIM 値が 100 に設定されていると、アクセス ポイントは、バッファされたブロードキャスト フレームおよびマルチキャスト フレームを 10 秒おきに送信するので、省電力クライアントを再起動してブロードキャストとマルチキャストをリッスンするまでのスリープ時間が長くなり、結果的にバッテリ寿命が長くなります。


) コントローラにミリ秒単位で指定されたビーコン period は、ソフトウェアによって内部で 802.11 時間単位(TU)に変換されます。ここで、1 TU は 1.024 ミリ秒です。Cisco の 802.11n アクセス ポイントでは、この値は直近の 17 TU の倍数に丸められます。このため、たとえばビーコン period を 100 ms に設定すると、実際のビーコン period は 104 ms になります。


多くのアプリケーションでは、ブロードキャスト メッセージとマルチキャスト メッセージとの間隔を長くすると、プロトコルとアプリケーションのパフォーマンスが低下します。省電力クライアントをサポートしている 802.11a/n ネットワークおよび 802.11b/g/n ネットワークでは、DTIM 値を小さく設定することをお勧めします。

コントローラ ソフトウェア リリース 5.0 以降では、特定の WLAN 上の 802.11a/n および 802.11b/g/n 無線ネットワークの DTIM period を設定できます。以前のソフトウェア リリースでは、DTIM period は無線ネットワークごとにのみ設定され、WLAN ごとに設定できませんでした。この変更により、各 WLAN に異なる DTIM period を設定できるようになりました。たとえば、音声 WLAN とデータ WLAN に異なる DTIM 値を設定できます。

ガイドラインと制限事項

コントローラ ソフトウェアをリリース 5.0 以降にアップグレードすると、無線ネットワークに対して設定されていた DTIM period が、そのコントローラのすべての既存の WLAN にコピーされます。

DTIM period の設定

この項では、次のトピックを扱います。

「DTIM period の設定(GUI)」

「DTIM period の設定(CLI)」

DTIM period の設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 DTIM period を設定する WLAN の ID 番号をクリックします。

ステップ 3 [Status] チェックボックスをオフにしてこの WLAN を無効にします。

ステップ 4 [Apply] をクリックして、変更を確定します。

ステップ 5 [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。

図 7-8 [WLANs > Edit]([Advanced])ページ

 

ステップ 6 [DTIM Period] の下の 802.11a/n テキスト ボックスと 802.11b/g/n テキスト ボックスに 1 ~ 255 までの値を入力します。デフォルト値は 1(ブロードキャスト フレームおよびマルチキャスト フレームはビーコンのたびに送信)です。

ステップ 7 [Apply] をクリックして、変更を確定します。

ステップ 8 [General] タブを選択して、[WLANs > Edit]([General])ページを開きます。

ステップ 9 [Status] チェックボックスをオンにして、この WLAN を再び有効にします。

ステップ 10 [Save Configuration] をクリックして、変更を保存します。


 

DTIM period の設定(CLI)


ステップ 1 次のコマンドを入力して、WLAN を無効にします。

config wlan disable wlan_id

ステップ 2 次のコマンドを入力して、特定の WLAN 上の 802.11a/n または 802.11b/g/n の無線ネットワークのいずれかに DTIM period を設定します。

config wlan dtim { 802.11a | 802.11b } dtim wlan_id

dtim の値は、1 ~ 255(両端の値を含む)です。デフォルト値は 1(ブロードキャスト フレームおよびマルチキャスト フレームはビーコンのたびに送信)です。

ステップ 3 次のコマンドを入力して、WLAN を再び有効にします。

config wlan enable wlan_id

ステップ 4 次のコマンドを入力して、変更を保存します。

save config

ステップ 5 次のコマンドを入力して、DTIM period を確認します。

show wlan wlan_id

以下に類似した情報が表示されます。

WLAN Identifier.................................. 1
Profile Name..................................... employee1
Network Name (SSID).............................. employee
Status........................................... Enabled
...
DTIM period for 802.11a radio.................... 1
DTIM period for 802.11b radio.................... 1
Local EAP Authentication...................... Disabled
...


 

ピアツーピア ブロッキングの設定

この項では、次のトピックを扱います。

「ピアツーピア ブロッキングについて」

「ガイドラインと制限事項」

「ピアツーピア ブロッキングの設定」

ピアツーピア ブロッキングについて

4.2 以前のコントローラのソフトウェア リリースでは、ピアツーピア ブロッキングはすべての WLAN 上のすべてのクライアントにグローバルに適用され、それによって同じ VLAN 上の 2 つのクライアント間のトラフィックが、コントローラでブリッジされるのではなく、アップストリーム VLAN に転送されていました。この動作の結果、スイッチはパケットを受け取ったのと同じポートからパケットを転送しないため、通常アップストリーム スイッチでトラフィックがドロップされます。

コントローラのソフトウェア リリース 4.2 以降では、ピアツーピア ブロッキングが個別の WLAN に対して適用され、各クライアントが、アソシエート先の WLAN のピアツーピア ブロッキング設定を継承します。ソフトウェア リリース 4.2 以降では、トラフィックがダイレクトされる方法をより詳細に制御することもできます。たとえば、トラフィックがコントローラ内でローカルにブリッジされたり、コントローラによってドロップされたり、またはアップストリーム VLAN へ転送されるように選択することができます。図 7-9 に各オプションを示します。

図 7-9 ピアツーピア ブロッキングの例

 

コントローラ リリース 7.2 以降では、ローカル スイッチングの WLAN にアソシエートされたクライアントに対して、ピアツーピアブロッキングがサポートされます。WLAN ごとに、ピアツーピア設定がコントローラによって FlexConnect AP にプッシュされます。

ガイドラインと制限事項

4.2 以前のコントローラのソフトウェア リリースでは、コントローラはアドレス解決プロトコル(ARP)要求ストリームを転送します(他のすべてのトラフィックと同様)。コントローラのソフトウェア リリース 4.2 以降では、ARP 要求は、ピアツーピア ブロッキングに設定された動作に従ってダイレクトされます。

ピアツーピア ブロッキングは、マルチキャスト トラフィックには適用されません。

以前のリリースから、グローバル ピアツーピア ブロッキングをサポートしているコントローラ ソフトウェア リリース 4.2 以降にアップグレードすると、各 WLAN はトラフィックをアップストリーム VLAN に転送するピアツーピア ブロッキング処理で設定されます。

FlexConnect では、特定の FlexConnect AP または AP のサブセットのみにソリューションのピアツーピア ブロッキング設定を適用することはできません。この設定は、SSID をブロードキャストするすべての FlexConnect AP に適用されます。

中央スイッチングのクライアントに対応する統合ソリューションでは、ピアツーピアのアップストリーム転送がサポートされます。ただし、FlexConnect ソリューションではサポートされません。これはピアツーピア ドロップとして処理され、クライアントのパケットはドロップされます。

中央スイッチングのクライアントに対応する統合ソリューションでは、別々の AP にアソシエートされたクライアントに対するピアツーピア ブロッキングがサポートされます。ただし、このソリューションでは、同一の AP に接続するクライアントだけがターゲットとなります。FlexConnect ACL は、この制限の回避策として使用できます。

ピアツーピア ブロッキングの設定

この項では、次のトピックを扱います。

「ピアツーピア ブロッキングの設定(GUI)」

「ピアツーピア ブロッキングの設定(CLI)」

ピアツーピア ブロッキングの設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 ピアツーピア ブロッキングを設定する WLAN の ID 番号をクリックします。

ステップ 3 [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。

図 7-10 [WLANs > Edit]([Advanced])ページ

 

ステップ 4 [P2P Blocking] ドロップダウン リストから、次のオプションのいずれかを選択します。

[Disabled]:ピアツーピア ブロッキングを無効にして、可能な場合にはコントローラ内でトラフィックをローカルにブリッジします。これはデフォルト値です。


) コントローラ内の VLAN でトラフィックがブリッジされることはありません。


[Drop]:コントローラでパケットを破棄するようにします。

[Forward-UpStream]:パケットがアップストリーム VLAN に転送されるようにします。これらのパケットに対して行われる動作は、コントローラよりも上流にあるデバイスにより決定されます。


) FlexConnect ローカル スイッチングに設定された WLAN でピアツーピア ブロッキングを有効にするには、[P2P Blocking] ドロップダウン リストから [Drop] を選択し、[FlexConnect Local Switching] チェックボックスをオンにします。


ステップ 5 [Apply] をクリックして、変更を確定します。

ステップ 6 [Save Configuration] をクリックして、変更を保存します。


 

ピアツーピア ブロッキングの設定(CLI)


ステップ 1 次のコマンドを入力して、WLAN のピアツーピア ブロッキングを設定します。

config wlan peer-blocking { disable | drop | forward-upstream } wlan_id


) 各パラメータの詳細は、上記の「ピアツーピア ブロッキングの設定(GUI)」の項を参照してください。


ステップ 2 次のコマンドを入力して、変更を保存します。

save config

ステップ 3 次のコマンドを入力して、WLAN のピアツーピア ブロッキングのステータスを参照します。

show wlan wlan_id

以下に類似した情報が表示されます。

WLAN Identifier.................................. 1
Profile Name..................................... test
Network Name (SSID).............................. test
Status........................................... Enabled
...
...
...
Peer-to-Peer Blocking Action..................... Disabled
Radio Policy..................................... All
Local EAP Authentication...................... Disabled


 

レイヤ 2 セキュリティの設定

この項では、次のトピックを扱います。

「Static WEP キーの設定(CLI)」

「動的 802.1X キーおよび許可の設定(CLI)」

Static WEP キーの設定(CLI)

コントローラでは、アクセス ポイント上で Static WEP キーを制御できます。WLAN の Static WEP を設定するには、次のコマンドを使用します。

次のコマンドを入力して、802.1X 暗号化を無効にします。

config wlan security 802.1X disable wlan_id

次のコマンドを入力して、40/64 ビットまたは 104/128 ビット WEP キーを設定します。

config wlan security static-wep-key encryption wlan_id { 40 | 104 } { hex | ascii } key key_index

40/64 ビットまたは 104/128 ビット暗号化を指定するには、 40 または 104 オプションを使用します。デフォルトの設定は、104/128 です。

WEP キーの文字形式を指定するには、 hex または ascii オプションを使用します。

40 ビット/64 ビット WEP キーの場合は 10 桁の 16 進数(0 ~ 9、a ~ f、または A ~ F の組み合わせ)または印刷可能な 5 つの ASCII 文字を入力します。または、104 ビット/128 ビット キーの場合は 26 桁の 16 進数または 13 の ASCII 文字を入力します。

キー インデックス( キー スロット と呼ばれることもあります)を入力します。デフォルト値は 0 で、これはキー インデックス 1 に相当します。有効な値は 0 ~ 3(キー インデックス 1 ~ 4)です。

動的 802.1X キーおよび許可の設定(CLI)

コントローラでは、アクセス ポイント上で Extensible Authentication Protocol(EAP; 拡張認証プロトコル)を使用する 802.1X Dynamic WEP キーを制御できます。また、WLAN の 802.1X ダイナミック キー設定をサポートしています。


) Lightweight アクセス ポイントとワイヤレス クライアントで LEAP を使用するには、CiscoSecure Access Control Server(ACS)を設定する際に RADIUS サーバ タイプとして [Cisco-Aironet] を選択することを確認します。


次のコマンドを入力して、各 WLAN のセキュリティ設定をチェックします。

show wlan wlan_id

新しい WLAN のデフォルトのセキュリティ設定は、ダイナミック キーが有効な 802.1X です。レイヤ 2 の堅牢なポリシーを維持するには、802.1X を WLAN 上で設定したままにします。

802.1X 認証を無効または有効にするには、次のコマンドを使用します。

config wlan security 802.1X {enable | disable} wlan_id

802.1X 認証を有効にした後、コントローラから、ワイヤレス クライアントと認証サーバとの間で EAP 認証パケットが送信されます。このコマンドにより、すべての EAP タイプのパケットは、コントローラとの送受信が可能になります。

次のコマンドを入力して、WLAN の 802.1X 暗号化レベルを変更します。

config wlan security 802.1X encryption wlan_id [ 0 | 40 | 104 ]

802.1X 暗号化なしを指定するには、 0 オプションを使用します。

40/64 ビット暗号化を指定するには、 40 オプションを使用します。

104/128 ビット暗号化を指定するには、 104 オプションを使用します (これは、デフォルトの暗号化設定です)。

Static WEP と Dynamic WEP の両方をサポートする WLAN の設定

この項では、次のトピックを扱います。

「Static WEP と Dynamic WEP の両方をサポートする WLAN について」

「WPA1 と WPA2」

「ガイドラインと制限事項」

Static WEP と Dynamic WEP の両方をサポートする WLAN について

Static WEP キーをサポートする WLAN は 4 つまで設定できます。また、これらすべての Static WEP WLAN に Dynamic WEP も設定できます。Static WEP と Dynamic WEP を両方サポートする WLAN を設定する際の留意事項は次のとおりです。

Static WEP キーおよび Dynamic WEP キーは、同じ長さである必要があります。

Static WEP と Dynamic WEP の両方をレイヤ 2 セキュリティ ポリシーとして設定する場合は、他のセキュリティ ポリシーを指定できません。つまり、Web 認証を設定できません。ただし、Static WEP と Dynamic WEP のいずれかをレイヤ 2 セキュリティ ポリシーとして設定する場合は、Web 認証を設定できます。

WPA1 と WPA2

Wi-Fi 保護アクセス(WPA または WPA1)および WPA2 は、無線 LAN システム用のデータ保護とアクセス コントロールを提供する Wi-Fi Alliance の規格ベースのセキュリティ ソリューションです。WPA1 は、IEEE 802.11i 規格に準拠していますが、規格の承認前に実装されたものです。これに対して、WPA2 は、承認された IEEE 802.11i 規格が Wi-Fi Alliance によって実装されています。

WPA1 のデフォルトでは、データの保護に Temporal Key Integrity Protocol(TKIP)および Message Integrity Check(MIC)が使用されますが、WPA2 では Counter Mode with Cipher Block Chaining Message Authentication Code Protocol を使用したより強力な Advanced Encryption Standard 暗号化アルゴリズム(AES-CCMP)が使用されます。WPA1 および WPA2 のデフォルトでは、両方とも 802.1X を使用して認証キー管理を行います。ただし、次のオプションも使用できます。

802.1X :IEEE によって定義された無線 LAN セキュリティの規格。 802.1X for 802.11 、または単に 802.1X と呼ばれます。802.1X をサポートするアクセス ポイントは、無線ネットワークを介して通信を行う相手となるワイヤレス クライアントおよび認証サーバ(RADIUS サーバなど)との間のインターフェイスとして機能します。[802.1X] が選択されている場合は、802.1X クライアントのみがサポートされます。

PSK:PSK(WPA 事前共有キーまたは WPA パスフレーズとも呼ばれます)を選択した場合は、事前共有キー(またはパスフレーズ)を設定する必要があります。このキーは、クライアントと認証サーバの間で Pairwise Master Key(PMK; ペアワイズ マスター キー)として使用されます。

CCKM:Cisco Centralized Key Management(CCKM)では、迅速なキーの再生成技術を使用しています。この技術を使用すると、クライアントは、通常 150 ミリ秒(ms)以下で、コントローラを経由せずにあるアクセス ポイントから別のアクセス ポイントにローミングできます。CCKM により、クライアントが新しいアクセス ポイントと相互に認証を行い、再アソシエーション時に新しいセッション キーを取得するために必要な時間が短縮されます。CCKM の迅速かつ安全なローミングでは、無線 VoIP、Enterprise Resource Planning(ERP)、Citrix ベースのソリューションなどの時間依存型のアプリケーションにおいて、認識できるほどの遅延は発生しません。CCKM は、CCXv4 に準拠する機能です。CCKM が選択されている場合は、CCKM クライアントのみがサポートされます。

CCKM が有効である場合、高速ローミングに関するアクセス ポイントの動作は、コントローラの動作と次の点で異なります。

クライアントから送信されるアソシエーション要求の Robust Secure Network Information Element(RSN IE)で CCKM が有効になっているものの、CCKM IE がエンコードされておらず、PMKID だけが RSN IE でエンコードされている場合、コントローラは完全な認証を行いません。代わりに、コントローラは PMKID を検証し、4 ウェイ ハンドシェイクを行います。

クライアントから送信されるアソシエーション要求の RSN IE で CCKM が有効になっているものの、CCKM IE がエンコードされておらず、PMKID だけが RSN IE でエンコードされている場合でも、AP は完全な認証を行います。CCKM が RSN IE で有効になっている場合、このアクセス ポイントではアソシエーション要求と一緒に送信される PMKID は使用されません。

802.1X+CCKM-- 通常の動作状態の間、802.1X が有効になっているクライアントは、主要な RADIUS サーバとの通信を含む完全な 802.1X 認証を実行することにより、新しいアクセス ポイントとの相互認証を行います。ただし、802.1X および CCKM の迅速で安全なローミング用に WLAN を設定した場合、CCKM が有効になっているクライアントは、RADIUS サーバに対して再認証せずに、あるアクセス ポイントから別のアクセス ポイントに安全にローミングを行います。このオプションが選択されている場合、CCKM クライアントと非 CCKM クライアントの両方がサポートされるため、802.1X+CCKM はオプションの CCKM と見なされます。

単一の WLAN では、WPA1、WPA2、および 802.1X/PSK/CCKM/802.1X+CCKM のクライアントに接続を許可できます。このような WLAN のアクセス ポイントはいずれも、ビーコンとプローブ応答で WPA1、WPA2、および 802.1X/PSK/CCKM/ 802.1X+CCKM 情報要素をアドバタイズします。WPA1 または WPA2、あるいは両方を有効にした場合は、データ トラフィックを保護するために設計された 1 つまたは 2 つの暗号方式(暗号化アルゴリズム)を有効にすることもできます。具体的には、WPA1 または WPA2、あるいはその両方に対して、AES または TKIP、またはその両方を有効にすることができます。TKIP は WPA1 のデフォルト値で、AES は WPA2 のデフォルト値です。


) WLAN は、WPA1 および WPA2 暗号方式を有効にした後でのみ有効にします。WPA1 および WPA2 を有効にするには、config wlan security wpa {wpa1/wpa2} enable コマンドを使用します。WPA1 および WPA 2 が有効でない限り、GUI から暗号方式を有効にすることはできません。


ガイドラインと制限事項

OEAP 600 シリーズでは、クライアントの高速ローミングはサポートされません。デュアル モードの音声クライアントは、OEAP602 アクセス ポイントの 2 つのスペクトラム間をローミングするときに、コール品質が低下します。音声デバイスは、2.4 GHz または 5.0 GHz のいずれかの帯域でのみ接続するように設定することをお勧めします。

コントローラ ソフトウェア リリース 4.2 以降では、CCX バージョン 1 ~ 5 をサポートしています。CCX サポートは、コントローラ上の各 WLAN について自動的に有効となり、無効にできません。コントローラは、クライアント データベースにクライアントの CCX バージョンを格納し、これを使用してクライアントの機能を制限します。CCKM を使用するには、クライアントで CCXv4 または v5 をサポートする必要があります。CCX の詳細は、「Cisco Client Extensions の設定」を参照してください。

WPA1 +WPA2 の設定

この項では、次のトピックを扱います。

「WPA1+WPA2 の設定(GUI)」

「WPA1+WPA2 の設定(CLI)」

WPA1+WPA2 の設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。

ステップ 3 [Security] タブおよび [Layer 2] タブを選択して、[WLANs > Edit]([Security] > [Layer 2])ページを開きます。

図 7-11 [WLANs > Edit]([Security] > [Layer 2])ページ

 

ステップ 4 [Layer 2 Security] ドロップダウン リストから [WPA+WPA2] を選択します。

ステップ 5 [WPA+WPA2 Parameters] で、[WPA Policy] チェックボックスをオンにして WPA1 を有効にするか、[WPA2 Policy] チェックボックスをオンにして WPA2 を有効にするか、または両方のチェックボックスをオンにして WPA1 と WPA2 を両方有効にします。


) WPA1 および WPA2 のデフォルト値は、両方とも無効になっています。WPA1 と WPA2 を両方とも無効のままにすると、アクセス ポイントは、ステップ 7 で選択する認証キー管理方式に対してのみ情報要素をビーコンおよびプローブ応答でアドバタイズします。


ステップ 6 WPA1、WPA2、またはその両方に対して、AES データ暗号化を有効にする場合は [AES] チェックボックスをオンにし、TKIP データ暗号化を有効にする場合は [TKIP] チェックボックスをオンにします。WPA1 および WPA2 のデフォルト値は、それぞれ TKIP および AES です。

ステップ 7 [Auth Key Mgmt] ドロップダウン リストから、[802.1X]、[CCKM]、[PSK]、または [802.1X+CCKM] のいずれかのキー管理方式を選択します。


) Cisco OEAP 600 では、CCKM はサポートされていません。802.1X か PSK のいずれかを選択する必要があります。



) Cisco OEAP 600 の場合、TKIP および AES セキュリティ暗号化の設定は、WPA と WPA2 で同一であることが必要です。


ステップ 8 ステップ 7[PSK] を選択した場合は、[PSK Format] ドロップダウン リストから [ASCII] または [HEX] を選択し、空のテキスト ボックスに事前共有キーを入力します。WPA の事前共有キーには、8 ~ 63 個の ASCII テキスト文字、または 64 桁の 16 進数文字が含まれている必要があります。


) PSK パラメータは、設定専用パラメータです。PSK キーに設定された値は、セキュリティ上の理由からユーザには表示されません。たとえば、PSK キーを設定するときに、キー形式として [HEX] を選択した場合に、あとでこの WLAN のパラメータを表示すると、表示される値はデフォルト値になります。デフォルトは ASCII です。


ステップ 9 [Apply] をクリックして、変更を確定します。

ステップ 10 [Save Configuration] をクリックして、変更を保存します。


 

WPA1+WPA2 の設定(CLI)


ステップ 1 次のコマンドを入力して、WLAN を無効にします。

config wlan disable wlan_id

ステップ 2 次のコマンドを入力して、WLAN の WPA を有効または無効にします。

config wlan security wpa { enable | disable } wlan_id

ステップ 3 次のコマンドを入力して、WLAN の WPA1 を有効または無効にします。

config wlan security wpa wpa1 { enable | disable } wlan_id

ステップ 4 WLAN の WPA2 を有効または無効にするには、次のコマンドを入力します。

config wlan security wpa wpa2 { enable | disable } wlan_id

ステップ 5 WPA1 または WPA 2 に対する AES または TKIP データ暗号化を有効または無効にするには、次のいずれかのコマンドを入力します。

config wlan security wpa wpa1 ciphers { aes | tkip } { enable | disable} wlan_id

config wlan security wpa wpa2 ciphers { aes | tkip } { enable | disable } wlan_id

WPA1 および WPA2 のデフォルト値は、それぞれ TKIP および AES です。

ステップ 6 802.1X、PSK、または CCKM 認証キー管理を有効または無効にするには、次のコマンドを入力します。

config wlan security wpa akm { 802.1X | psk | cckm } { enable | disable} wlan_id

デフォルト値は 802.1X です。

ステップ 7 ステップ 6 で PSK を有効にした場合は、次のコマンドを入力して事前共有キーを指定します。

config wlan security wpa akm psk set-key { ascii | hex } psk-key wlan_id

WPA の事前共有キーには、8 ~ 63 個の ASCII テキスト文字、または 64 桁の 16 進数文字が含まれている必要があります。

ステップ 8 802.1X 認証キー管理で WPA2、または CCKM 認証キー管理で WPA1 または WPA2 を有効にした場合、必要に応じて、PMK キャッシュ ライフタイム タイマーを使用して、クライアントでの再認証をトリガーします。タイマーは、AAA サーバから受信したタイムアウト値または WLAN のセッション タイムアウト設定に基づきます。タイマーが切れるまでに残されている時間を確認するには、次のコマンドを入力します。

show pmk-cache all

以下に類似した情報が表示されます。

PMK-CCKM Cache
Entry
Type Station Lifetime VLAN Override IP Override
------ ------------------- -------- ------------------ ---------------
CCKM 00:07:0e:b9:3a:1b 150 0.0.0.0

802.1X 認証キー管理で WPA2 を有効にした場合、コントローラは opportunistic PMKID キャッシュをサポートしますが、sticky(non-opportunistic)PMKID キャッシュはサポートしません。sticky PMKID キャッシュでは、クライアントは複数の PMKID を格納します。この方式は、新しい各アクセス ポイントに対して完全な認証が必要となる上、あらゆる状況で機能することが保証されていないため、現実的ではありません。これに対して、opportunistic PMKID キャッシュは、クライアントごとに PMKID を 1 つだけしか格納せず、sticky PMK キャッシュの制限を受けることはありません。

ステップ 9 WLAN を有効にするには、次のコマンドを入力します。

config wlan enable wlan_id

ステップ 10 次のコマンドを入力して、設定を保存します。

save config


 

CKIP の設定

この項では、次のトピックを扱います。

「CKIP について」

「CKIP の設定」

CKIP について

Cisco Key Integrity Protocol(CKIP)は、IEEE 802.11 メディアを暗号化するためのシスコ独自のセキュリティ プロトコルです。CKIP では、インフラストラクチャ モードでの 802.11 セキュリティを強化するために、キーの置換、メッセージの整合性チェック(MIC)、およびメッセージ シーケンス番号が使用されています。ソフトウェア リリース 4.0 以降では、スタティック キーを使用する CKIP がサポートされています。この機能を正常に動作させるには、WLAN に対して Aironet 情報要素(IE)を有効にする必要があります。

Lightweight アクセス ポイントは、ビーコンおよびプローブ応答パケットに Aironet IE を追加し、CKIP ネゴシエーション ビット(キー置換およびマルチモジュラ ハッシュ メッセージ整合性チェック [MMH MIC])の一方または両方を設定することにより、CKIP のサポートをアドバタイズします。キー置換は、基本の暗号キーおよび現在の初期ベクトル(IV)を使用して新しいキーを作成するデータ暗号化技術です。MMH MIC では、ハッシュ関数を使用してメッセージ整合性コードを計算することにより、暗号化されたパケットでのパケット改ざん攻撃を回避します。

WLAN で指定された CKIP の設定は、アソシエートを試みるすべてのクライアントに必須です。WLAN で CKIP のキー置換および MMH MIC の両方が設定されている場合、クライアントは両方をサポートする必要があります。WLAN がこれらの機能の 1 つだけに設定されている場合は、クライアントではその CKIP 機能だけをサポートする必要があります。

CKIP では、5 バイトおよび 13 バイトの暗号キーは 16 バイトのキーに拡張される必要があります。キーを拡張するためのアルゴリズムは、アクセス ポイントで発生します。キーは、長さが 16 バイトに達するまで、そのキー自体に繰り返し追加されます。Lightweight アクセス ポイントはすべて CKIP をサポートしています。

CKIP の設定

この項では、次のトピックを扱います。

「CKIP の設定(GUI)」

「CKIP の設定(CLI)」

CKIP の設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。

ステップ 3 [Advanced] タブを選択します。

ステップ 4 [Aironet IE] チェックボックスをオンにして、この WLAN に対する Aironet IE を有効にし、[Apply] をクリックします。

ステップ 5 [General] タブを選択します。

ステップ 6 [Status] チェックボックスがオンになっている場合は、これをオフにしてこの WLAN を無効にし、[Apply] をクリックします。

ステップ 7 [Security] タブおよび [Layer 2] タブを選択して、[WLANs > Edit]([Security] > [Layer 2])ページを開きます。

図 7-12 [WLANs > Edit]([Security] > [Layer 2])ページ

 

ステップ 8 [Layer 2 Security] ドロップダウン リストから [CKIP] を選択します。

ステップ 9 [CKIP Parameters] の下の [Key Size] ドロップダウン リストから、CKIP 暗号化キーの長さを選択します。範囲は [Not Set] か、40 ビットまたは 104 ビットで、デフォルトは [Not Set] です。

ステップ 10 [Key Index] ドロップダウン リストからこのキーに割り当てる番号を選択します。キーは、最高 4 つまで設定できます。

ステップ 11 [Key Format] ドロップダウン リストから、[ASCII] または [HEX] を選択し、[Encryption Key] テキスト ボックスに暗号化キーを入力します。40 ビットキーには、ASCII テキスト文字が 5 文字と 16 進数文字が 10 文字必要です。104 ビットキーには、ASCII テキスト文字が 13 文字と 16 進数文字が 26 文字必要です。

ステップ 12 この WLAN に対して MMH MIC データ保護を有効にする場合は、[MMH Mode] チェックボックスをオンにします。デフォルト値では無効(またはオフ)になっています。

ステップ 13 この形式の CKIP データ保護を有効にする場合は、[Key Permutation] チェックボックスをオンにします。デフォルト値では無効(またはオフ)になっています。

ステップ 14 [Apply] をクリックして、変更を確定します。

ステップ 15 [General] タブを選択します。

ステップ 16 [Status] チェックボックスをオンにして、この WLAN を有効にします。

ステップ 17 [Apply] をクリックして、変更を確定します。

ステップ 18 [Save Configuration] をクリックして、変更を保存します。


 

CKIP の設定(CLI)


ステップ 1 次のコマンドを入力して、WLAN を無効にします。

config wlan disable wlan_id

ステップ 2 この WLAN に対して Aironet IE を有効にするには、次のコマンドを入力します。

config wlan ccx aironet-ie enable wlan_id

ステップ 3 WLAN に対して CKIP を有効または無効にするには、次のコマンドを入力します。

config wlan security ckip { enable | disable } wlan_id

ステップ 4 WLAN に対して CKIP 暗号化キーを指定するには、次のコマンドを入力します。

config wlan security ckip akm psk set-key wlan_id { 40 | 104 } { hex | ascii } key key_index

ステップ 5 WLAN に対して CKIP MMH MIC を有効または無効にするには、次のコマンドを入力します。

config wlan security ckip mmh-mic { enable | disable } wlan_id

ステップ 6 WLAN に対して CKIP キー置換を有効または無効にするには、次のコマンドを入力します。

config wlan security ckip kp { enable | disable } wlan_id

ステップ 7 WLAN を有効にするには、次のコマンドを入力します。

config wlan enable wlan_id

ステップ 8 次のコマンドを入力して、設定を保存します。

save config


 

セッション タイムアウトの設定

セッション タイムアウトとは、クライアント セッションが再認証を要求することなくアクティブである最大時間を指します。この項では、次のトピックを扱います。

「セッション タイムアウトの設定(GUI)」

「セッション タイムアウトの設定(CLI)」

セッション タイムアウトの設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 セッション タイムアウトを割り当てる WLAN の ID 番号をクリックします。

ステップ 3 [WLANs >Edit] ページが表示されたら、[Advanced] タブを選択します。[WLANs > Edit]([Advanced])ページが表示されます。

ステップ 4 [Enable Session Timeout] チェックボックスをオンにして、この WLAN のセッション タイムアウトを設定します。それ以外の場合は、このチェックボックスをオフにします。デフォルト値ではオンになっています。

[Session Timeout] テキスト ボックスに、300 ~ 86400 秒の値を入力して、クライアント セッションの期間を指定します。デフォルト値は、レイヤ 2 セキュリティ タイプが [802.1X]、[Static WEP+802.1X]、[WPA+WPA2 with 802.1X]、[CCKM]、または [802.1X+CCKM] 認証キー管理の場合は 1800 秒、その他すべてのレイヤ 2 セキュリティ タイプ([Open WLAN]/[CKIP]/[Static WEP])については 0 秒です。値 0 はタイムアウトなしに相当します。

ステップ 5 [Apply] をクリックして、変更を確定します。

ステップ 6 [Save Configuration] をクリックして、変更を保存します。


 

セッション タイムアウトの設定(CLI)


ステップ 1 WLAN のワイヤレス クライアントにセッション タイムアウトを設定するには、次のコマンドを入力します。

config wlan session-timeout wlan_id timeout

デフォルト値は、レイヤ 2 セキュリティ タイプが [802.1X]、[Static WEP+802.1X]、[WPA+WPA2 with 802.1X]、[CCKM]、または [802.1X+CCKM] 認証キー管理の場合は 1800 秒、その他すべてのレイヤ 2 セキュリティ タイプ([Open WLAN]/[CKIP]/[Static WEP])については 0 秒です。値 0 はタイムアウトなしに相当します。

ステップ 2 次のコマンドを入力して、変更を保存します。

save config

ステップ 3 WLAN の現在のセッション タイムアウト値を表示するには、次のコマンドを入力します。

show wlan wlan_id

以下に類似した情報が表示されます。

WLAN Identifier.................................. 9
Profile Name..................................... test12
Network Name (SSID)........................... test12
...
Number of Active Clients......................... 0
Exclusionlist Timeout............................ 60 seconds
Session Timeout............................... 1800 seconds
...


 

VPN パススルーを使用したレイヤ 3 セキュリティの設定

この項では、次のトピックを扱います。

「VPN パススルーについて」

「ガイドラインと制限事項」

「VPN パススルーの設定」

VPN パススルーについて

コントローラは、VPN パススルー、つまり VPN クライアントから送信されるパケットの「通過」をサポートします。VPN パススルーの例として、ラップトップから本社オフィスの VPN サーバへの接続が挙げられます。

ガイドラインと制限事項

レイヤ 2 トンネリング プロトコル(L2TP)と IPSec は、ソフトウェア リリース 4.0 以降を実行しているコントローラでサポートされていません。

レイヤ 3 セキュリティ設定は、WLAN でクライアント IP アドレスを無効にしているときはサポートされません。

VPN パススルー オプションは、Cisco 5500 シリーズおよび Cisco 2100 シリーズのコントローラでは使用できません。ただし、ACL を使用してオープン WLAN を作成することで、Cisco 5500 または 2100 シリーズ コントローラでこの機能をレプリケートできます。

VPN パススルーの設定

この項では、次のトピックを扱います。

「VPN パススルーの設定(GUI)」

「VPN パススルーの設定(CLI)」

VPN パススルーの設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 VPN パススルーを設定する WLAN の ID 番号をクリックします。[WLANs > Edit] ページが表示されます。

ステップ 3 [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit]([Security] > [Layer 3])ページを開きます。

 

ステップ 4 [Layer 3 Security] ドロップダウン リストから、[VPN Pass-Through] を選択します。

ステップ 5 [VPN Gateway Address] テキスト ボックスに、クライアントにより開始され、コントローラを通過した VPN トンネルを終端しているゲートウェイ ルータの IP アドレスを入力します。

ステップ 6 [Apply] をクリックして、変更を確定します。

ステップ 7 [Save Configuration] をクリックして設定を保存します。


 

VPN パススルーの設定(CLI)

config wlan security passthru { enable | disable } wlan_id gateway

gateway には、VPN トンネルを終端している IP アドレスを入力します。

パススルーが有効であることを確認するには、次のコマンドを入力します。

show wlan

Web 認証を使用したレイヤ 3 セキュリティの設定

この項では、次のトピックを扱います。

「Web 認証について」

「ガイドラインと制限事項」

「Web 認証の設定」

Web 認証について

コントローラで VPN パススルーが有効になっていない場合に限り、WLAN では Web 認証を使用できます。Web 認証は、セットアップも使用方法も簡単で、SSL とともに使用することで WLAN 全体のセキュリティを向上させることができます。

ガイドラインと制限事項

Web 認証はレイヤ 2 セキュリティ ポリシー(オープン認証、オープン認証 + WEP、WPA-PSK)でのみサポートされています。802.1X での使用はサポートされていません。

コントローラでは、HTTP(HTTP over TCP)サーバおよび HTTPS(HTTP over SSL)サーバへの Web 認証リダイレクトをサポートしています。

CPU ACL が HTTP / HTTPS トラフィックをブロックするように設定されている場合、正常な Web ログイン認証の後に、リダイレクション ページでエラーが発生する可能性があります。

Web 認証を有効にする前に、すべてのプロキシ サーバがポート 53 以外のポートに対して設定されていることを確認してください。

WLAN の Web 認証を有効にする場合、コントローラがワイヤレス クライアントで送受信されるトラフィックを転送することを示すメッセージが認証前に表示されます。DNS トラフィックを規制し、DNS トンネリング攻撃を検出および予防するために、ゲスト VLAN の背後にファイアウォールまたは侵入検知システム(IDS)を設置することをお勧めします。

WLAN で Web 認証が有効になっており、CPU ACL ルールも設定している場合、クライアントが認証されていない(webAuth_Reqd 状態である)限り、クライアントベースの Web 認証ルールの優先順位が高くなります。クライアントが RUN 状態になると、CPU ACL ルールが適用されます。したがって、コントローラで CPU ACL ルールが有効である場合、次の状況で、仮想インターフェイス IP に対する allow ルール(任意の方向)が必要なります。

CPU ACL で、両方向とも allow ACL ルールが設定されていない。

allow ALL ルールは存在するが、ポート 443 または 80 に優先順位の高い DENY ルールも存在する。

仮想 IP に対する allow ルールは、TCP プロトコルおよびポート 80(secureweb が無効な場合)またはポート 443(secureweb が有効な場合)に設定します。このプロセスは、CPU ACL ルールが設定されている場合に、認証に成功した後で、クライアントから仮想インターフェイス IP アドレスへのアクセスを許可するために必要です。

クライアントが WebAuth SSID に接続したときに、事前認証 ACL が VPN ユーザを許可するように設定されていると、クライアントは数分ごとに SSID との接続を解除されます。Webauth SSID の接続には、Web ページでの認証が必要です。

Web 認証の使用の詳細については、を参照してください。

Web 認証の設定

この項では、次のトピックを扱います。

「Web 認証の設定(GUI)」

「Web 認証の設定(CLI)」

Web 認証の設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 Web 認証を設定する WLAN の ID 番号をクリックします。[WLANs > Edit] ページが表示されます。

ステップ 3 [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit]([Security] > [Layer 3])ページを開きます。

ステップ 4 [Web Policy] チェックボックスをオンにします。

ステップ 5 [Authentication] オプションが選択されていることを確認します。

ステップ 6 [Apply] をクリックして、変更を確定します。

ステップ 7 [Save Configuration] をクリックして設定を保存します。


 

Web 認証の設定(CLI)


ステップ 1 特定の WLAN で Web 認証を有効または無効にするには、次のコマンドを入力します。

config wlan security web-auth { enable | disable } wlan_id

ステップ 2 Web 認証ポリシーのタイマーが切れたときにゲスト ユーザの IP アドレスを解放して、ゲスト ユーザが 3 分間 IP アドレスを取得しないようにするには、次のコマンドを入力します。

config wlan webauth-exclude wlan_id { enable | disable }

デフォルト値では無効になっています。コントローラに内部 DHCP スコープを設定するときに、このコマンドを適用できます。デフォルトでは、ゲスト ユーザは、Web 認証のタイマーが切れた場合、別のゲスト ユーザがその IP アドレスを取得する前に、ただちに同じ IP アドレスに再アソシエートできます。ゲスト ユーザの数が多い場合、または DHCP プールの IP アドレスが限れられている場合、一部のゲスト ユーザが IP アドレスを取得できなくなる可能性があります。

ゲスト WLAN でこの機能を有効にした場合、Web 認証ポリシーのタイマーが切れると、ゲスト ユーザの IP アドレスが解放され、このゲスト ユーザは 3 分間 IP アドレスの取得から除外されます。その IP アドレスは、別のゲスト ユーザが使用できます。3 分経つと、除外されていたゲスト ユーザは、可能であれば、再アソシエートし、IP アドレスを取得できるようになります。

ステップ 3 Web 認証のステータスを表示するには、次のコマンドを入力します。

show wlan wlan_id

以下に類似した情報が表示されます。

WLAN Identifier.................................. 1
Profile Name..................................... cj
Network Name (SSID).............................. cj
Status........................................... Disabled
MAC Filtering.................................... Disabled
Broadcast SSID................................... Enabled
AAA Policy Override.............................. Disabled
Network Admission Control
 
NAC-State...................................... Disabled
Quarantine VLAN................................ 0
Number of Active Clients......................... 0
Exclusionlist Timeout............................ 60 seconds
Session Timeout.................................. 1800 seconds
CHD per WLAN.................................. Enabled
Webauth DHCP exclusion........................... Disabled
Interface........................................ management
WLAN ACL......................................... unconfigured
DHCP Server...................................... Default
DHCP Address Assignment Required.............. Disabled
...
Web Based Authentication......................... Disabled
Web-Passthrough............................... Disabled
...


 

WISPr バイパスの設定

WISPr について

WISPr は、ユーザが異なるワイヤレス サービス プロバイダー間をローミングできるようにするドラフト プロトコルです。一部のデバイス(Apple iOS デバイスなど)には、指定の URL に対する HTTP WISPr 要求に基づいて、デバイスがインターネットに接続するかどうかを決定するときに使用するメカニズムが搭載されています。このメカニズムを使用すると、ユーザは、インターネットにアクセスするために資格情報を入力する必要がある場合に、Web ブラウザを起動できます。実際の認証は、デバイスが新規の SSID に接続するたびに、バックグラウンドで行われます。

この HTTP 要求は、他のページ要求がワイヤレス クライアントによって実行されると、コントローラでの webauth 代行受信をトリガーします。この代行受信によって webauth プロセスが発生し、プロセスは正常に完了します。webauth がいずれかのコントローラ スプラッシュ ページ機能で使用されていると(設定された RADIUS サーバが URL を指定)、WISPr 要求が非常に短い間隔で発信されるので、スプラッシュ ページが表示されることはなく、いずれかのクエリーが指定のサーバに到達できるとただちに、バックグラウンドで実行されている Web リダイレクションまたはスプラッシュ ページ表示プロセスが中断されます。そして、デバイスによってページ要求が処理され、スプラッシュ ページ機能は中断されます。

現在、WISPr 検出プロセスをバイパスするようにコントローラを設定できるようになりました。それによって、ユーザが、ユーザ コンテキストでスプラッシュ ページ ロードを引き起こす Web ページを要求したときに、バックグラウンドで WISPr 検出を実行することなく、webauth 代行受信だけが行われるようにすることができます。

WISPr バイパスの設定

WISPr バイパスの設定(CLI)

config network web-auth wispr_protocol_detection { enable | disable }:WISPr 検出プロトコルを有効または無効にします。

show network summary :WISPr プロトコル検出機能のステータスを表示します。

MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定

この項では、次のトピックを扱います。

「MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーについて」

「MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定」

MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーについて

レイヤ 2 およびレイヤ 3 セキュリティを組み合わせたフォールバック ポリシー メカニズムを設定できます。MAC フィルタリングと Web 認証の両方を実装していると、クライアントが MAC フィルタ(RADIUS サーバ)を使用して WLAN への接続を試みたときに、クライアントが認証に失敗した場合に、Web 認証にフォールバックするように認証を設定できます。クライアントが MAC フィルタ認証をパスすると、Web 認証が省略され、クライアントは WLAN に接続されます。この機能を使用して、MAC フィルタ認証エラーのみに基づいたアソシエーション解除を回避できます。

MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定

この項では、次のトピックを扱います。

「MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定(GUI)」

「MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定(CLI)」

MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定(GUI)


) フォールバック ポリシーを設定する前に、MAC フィルタリングを有効にする必要があります。MAC フィルタリングを有効にする方法については、「WLAN の MAC フィルタリングの設定」を参照してください。



ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 Web 認証に対してフォールバック ポリシーを設定する WLAN の ID 番号をクリックします。[WLANs > Edit] ページが表示されます。

ステップ 3 [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit]([Security] > [Layer 3])ページを開きます。

図 7-13 [WLANs > Edit]([Security] > [Layer 3])ページ

 

ステップ 4 [Layer 3 Security] ドロップダウン リストから、[None] を選択します。

ステップ 5 [Web Policy] チェックボックスをオンにします。


) コントローラは、認証前にワイヤレス クライアントで送受信される DNS トラフィックを転送します。


次のオプションが表示されます。

Authentication

Passthrough

Conditional Web Redirect

Splash Page Web Redirect

On MAC Filter Failure

ステップ 6 [On MAC Filter Failure] をクリックします。

ステップ 7 [Apply] をクリックして、変更を確定します。

ステップ 8 [Save Configuration] をクリックして設定を保存します。


 

MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定(CLI)


) フォールバック ポリシーを設定する前に、MAC フィルタリングを有効にする必要があります。MAC フィルタリングを有効にする方法については、「WLAN の MAC フィルタリングの設定」を参照してください。



ステップ 1 特定の WLAN で Web 認証を有効または無効にするには、次のコマンドを入力します。

config wlan security web-auth on-macfilter-failure wlan-id

ステップ 2 Web 認証ステータスを表示するには、次のコマンドを入力します。

show wlan wlan_id

FT Over-The-Ds mode.............................. Enabled
CKIP ......................................... Disabled
IP Security................................... Disabled
IP Security Passthru.......................... Disabled
Web Based Authentication...................... Enabled-On-MACFilter-Failure
ACL............................................. Unconfigured
Web Authentication server precedence:
1............................................... local
2............................................... radius
3............................................... ldap


 

WLAN への QoS プロファイルの割り当て

この項では、次のトピックを扱います。

「QoS プロファイルについて」

「QoS プロファイルの割り当て」

QoS プロファイルについて

Cisco UWN ソリューション WLAN では、Platinum/音声、Gold/ビデオ、Silver/ベスト エフォート(デフォルト)、Bronze/バックグラウンドの 4 つのレベルの QoS をサポートしています。音声転送 WLAN で Platinum QoS を使用するよう設定したり、低帯域幅 WLAN で Bronze QoS を使用するよう割り当てたり、その他すべてのトラフィックに残りの QoS レベルを割り当てたりすることができます。

WLAN QoS レベルは、無線トラフィックの特定の 802.11e User Priority(UP)を定義します。この UP は、WMM 以外の有線トラフィックの優先順位を導出すると同時に、さまざまな優先レベルの WMM トラフィックを管理する際の上限値としても機能します。アクセス ポイントは、 表 7-2 の値に従ってこの QoS プロファイル固有の UP を使用することで、無線 LAN 上で確認可能な IP DSCP 値を導出します。

表 7-2 アクセス ポイントの QoS 変換値

AVVID トラフィック タイプ
AVVID IP DSCP
QoS プロファイル
AVVID 802.1p
IEEE 802.11e UP

ネットワーク制御

56(CS7)

Platinum

7

7

ネットワーク間制御(CAPWAP 制御、802.11 管理)

48(CS6)

Platinum

6

7

音声

46(EF)

Platinum

5

6

対話型ビデオ

34(AF41)

Gold

4

5

ミッション クリティカル

26(AF31)

Gold

3

4

トランザクション

18(AF21)

Silver

2

3

バルク データ

10(AF11)

Bronze

1

2

ベスト エフォート

0(BE)

Silver

0

0

スカベンジャー

2

Bronze

0

1


) 表に記載されていない DSCP 値に対する IEEE 802.11e UP 値は、DSCP の上位(MSB)3 ビットを考慮して算出されます。たとえば、DSCP 32(バイナリ 100 000)に対する IEEE 802.11e UP 値は、10 進数に変換される MSB(100)値で、これは 4 になります。DSCP 32 の 802.11e UP 値は 4 です。


QoS プロファイルの割り当て

この項では、次のトピックを扱います。

「WLAN への QoS プロファイルの割り当て(GUI)」

「WLAN への QoS プロファイルの割り当て(CLI)」

WLAN への QoS プロファイルの割り当て(GUI)

まだ設定していない場合は、の指示に従って 1 つ以上の QoS プロファイルを設定してください。


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 QoS プロファイルを割り当てる WLAN の ID 番号をクリックします。

ステップ 3 [WLANs >Edit] ページが表示されたら、[QoS] タブを選択します。

ステップ 4 [Quality of Service(QoS)] ドロップダウン リストから、次のいずれかを選択します。

Platinum (voice)

Gold (video)

Silver (best effort)

Bronze (background)


) Silver(ベスト エフォート)がデフォルト値です。


ステップ 5 [Apply] をクリックして、変更を確定します。

ステップ 6 [Save Configuration] をクリックして、変更を保存します。


 

WLAN への QoS プロファイルの割り当て(CLI)

まだ設定していない場合は、の指示に従って 1 つ以上の QoS プロファイルを設定してください。


ステップ 1 QoS プロファイルを WLAN に割り当てるには、次のコマンドを入力します。

config wlan qos wlan_id { bronze | silver | gold | platinum }

Silver がデフォルト値です。

ステップ 2 次のコマンドを入力して、変更を保存します。

save config

ステップ 3 QoS プロファイルを WLAN に適切に割り当てたことを確認するには、次のコマンドを入力します。

show wlan wlan_id

以下に類似した情報が表示されます。

WLAN Identifier.................................. 1
Profile Name..................................... test
Network Name (SSID).............................. test
Status........................................... Enabled
MAC Filtering.................................... Disabled
Broadcast SSID................................... Enabled
AAA Policy Override.............................. Disabled
Number of Active Clients......................... 0
Exclusionlist.................................... Disabled
Session Timeout.................................. 0
Interface........................................ management
WLAN ACL......................................... unconfigured
DHCP Server...................................... 1.100.163.24
DHCP Address Assignment Required................. Disabled
Quality of Service............................... Silver (best effort)
WMM.............................................. Disabled
...


 

QoS Enhanced BSS の設定

この項では、次のトピックを扱います。

「QoS Enhanced BSS について」

「ガイドラインと制限事項」

「QBSS の設定」

QoS Enhanced BSS について

QoS Enhanced Basis Service Set(QBSS)情報要素(IE)により、アクセス ポイントはそのチャネル使用率をワイヤレス デバイスに通知できます。チャネル使用率が高いアクセス ポイントではリアルタイム トラフィックを効率的に処理できないため、7921 または 7920 電話では、QBSS 値を使用して、他のアクセス ポイントにアソシエートするべきかどうかが判断されます。次の 2 つのモードで QBSS を有効にできます。

802.11E QBSS 規格を満たすデバイス(Cisco 7921 IP Phone など)をサポートしている、Wi-Fi Multimedia(WMM)モード

802.11b/g ネットワーク上で Cisco 7920 IP Phone をサポートしている 7920 サポート モード

7920 サポート モードには、次の 2 つのオプションが含まれています。

Call Admission Control(CAC; コール アドミッション制御)がクライアント デバイス上で設定され、クライアント デバイスによってアドバタイズされている必要がある 7920 電話のサポート(通常、旧式の 7920 電話)

CAC がアクセス ポイント上で設定され、アクセス ポイントによってアドバタイズされている必要がある 7920 電話のサポート(通常、新式の 7920 電話)

アクセス ポイントで制御される CAC が有効になっている場合、アクセス ポイントは、シスコが所有する CAC Information Element(IE;情報要素)を送信し、標準の QBSS IE を送信しません。

ガイドラインと制限事項

OEAP 600 シリーズ アクセス ポイントでは、CAC はサポートされません。

デフォルトで、QBSS は無効になっています。

7920 電話は、CAC 機能が制限された、非 WMM 電話です。電話は、アソシエート先のアクセス ポイントのチャネル使用率を確認し、それをアクセス ポイントからビーコンにより通知されたしきい値と比較します。チャネル使用率がしきい値より低い場合は、7920 は電話をかけます。対照的に、7921 電話は、完全な機能を備えた WMM 電話で、Traffic Specifications(TSPEC)を使用して、電話をかける前に音声キューにアクセスします。7921 電話は、load-based の CAC と適切に連動します。load-based の CAC では、音声に取り分けられたチャネルの割合を使用して、それに応じて通話を制限しようとします。

7921 電話は WMM をサポートし、7920 電話はサポートしないため、これらの電話を混合環境で使用する場合に両方の電話を適切に設定していないと、キャパシティと音声品質の問題が生じる可能性があります。7921 および 7920 電話の両方を有効にして同じネットワーク上で共存させるには、load-based の CAC と 7920 AP CAC の両方がコントローラで有効にされ、WMM Policy が Allowed に設定されていることを確認してください。7921 ユーザより、7920 ユーザの方が多い場合に、これらの設定は特に重要になります。

Cisco 7921 および 7920 Wireless IP Phone を使用する際の追加のガイドライン

Cisco 7921 および 7920 Wireless IP Phone をコントローラで使用する場合は、次のガイドラインに従ってください。

各コントローラで、アグレッシブなロード バランシングが無効にされている必要があります。無効化されていない場合、電話による初期ローミングが失敗し、オーディオ パスが中断されることがあります。

Dynamic Transmit Power Control(DTPC)情報要素(IE)が、 config 802.11b dtpc enable コマンドを使用して有効にされている必要があります。DTPC IE は、アクセス ポイントがその送信電力で情報をブロードキャストすることを可能にする、ビーコンおよびプローブの情報要素です。7921 または 7920 電話は、この情報を使用して、その送信電力を、アソシエート先のアクセス ポイントと同じレベルに自動的に調整します。このようにして、両方のデバイスが同じレベルで送信するようになります。

7921 と 7920 電話のおよびコントローラの両方で、Cisco Centralized Key Management(CCKM)高速ローミングがサポートされます。

WEP を設定する際、コントローラおよび 7921 または 7920 電話によって、用語上の違いがあります。7921 または 7920 で 128 ビット WEP を使用する場合は、コントローラを 104 ビットに設定してください。

スタンドアロンの 7921 電話では、load-based の CAC が有効にされ、また WLAN 上で WMM Policy が Required に設定されている必要があります。

コントローラでは、ファームウェア バージョン 1.1.1 を使用して 7921 電話から送られるトラフィック分類(TCLAS)がサポートされます。この機能により、7921 電話への音声ストリームを正しく分類することができます。

1242 シリーズ アクセス ポイントの 802.11a 無線で 7921 電話を使用する場合は、24-Mbps データ レートを Supported に設定して、それよりも小さい Mandatory データ レート(12 Mbps など)を選択します。さもないと、電話の音声品質が低下するおそれがあります。

load-based の CAC の詳細および設定の手順は、を参照してください。

QBSS の設定

この項では、次のトピックを扱います。

「QBSS の設定(GUI)」

「QBSS の設定(CLI)」

QBSS の設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 WMM モードを設定する WLAN の ID 番号をクリックします。

ステップ 3 [WLANs] > [Edit] ページが表示されたら、[QoS] タブを選択して [WLANs > Edit(QoS)] ページを開きます。

図 7-14 [WLANs > Edit]([QoS])ページ

 

ステップ 4 7921 電話および WMM 規格を満たすその他のデバイスに対して WMM モードを有効にするかどうかに応じて、[WMM Policy] ドロップダウン リストから次のオプションのいずれかを選択してください。

[Disabled]:WLAN 上で WMM を無効にします。これはデフォルト値です。

[Allowed]:WLAN 上でクライアント デバイスに WMM の使用を許可します。

[Required]:クライアント デバイスで WMM の使用を必須にします。WMM をサポートしていないデバイスは WLAN に接続できません。

ステップ 5 アクセス ポイントで制御される CAC を必要とする電話で 7920 サポート モードを有効にする場合は、[7920 AP CAC] チェックボックスをオンにします。デフォルト値ではオフになっています。

ステップ 6 クライアントで制御される CAC を必要とする電話で 7920 サポート モードを有効にする場合は、[7920 Client CAC] チェックボックスをオンにします。デフォルト値ではオフになっています。


) 1 つの WLAN で、WMM モードとクライアントにより制御された CAC モードの両方を有効にすることはできません。


ステップ 7 [Apply] をクリックして、変更を確定します。

ステップ 8 [Save Configuration] をクリックして、変更を保存します。


 

QBSS の設定(CLI)


ステップ 1 QBSS サポートを追加する WLAN の ID 番号を決定するには、次のコマンドを入力します。

show wlan summary

ステップ 2 次のコマンドを入力して、WLAN を無効にします。

config wlan disable wlan_id

ステップ 3 7921 電話および WMM 規格を満たすその他のデバイスで WMM モードを設定するには、次のコマンドを入力します。

config wlan wmm { disabled | allowed | required } wlan_id

ここで、

disabled は、WLAN 上の WMM モードを無効にします。

allowed は、WLAN 上のクライアント デバイスに WMM の使用を許可します。

required は、クライアント デバイスに WMM の使用を要求します。WMM をサポートしていないデバイスは WLAN に接続できません。

ステップ 4 クライアントで制御される CAC を必要とする電話で 7920 サポート モードを有効または無効にするには、次のコマンドを入力します。

config wlan 7920-support client-cac-limit { enable | disable } wlan_id


) 1 つの WLAN で、WMM モードとクライアントにより制御された CAC モードの両方を有効にすることはできません。


ステップ 5 アクセス ポイントで制御される CAC を必要とする電話で 7920 サポート モードを有効または無効にするには、次のコマンドを入力します。

config wlan 7920-support ap-cac-limit { enable | disable } wlan_id

ステップ 6 次のコマンドを入力して、WLAN を再び有効にします。

config wlan enable wlan_id

ステップ 7 次のコマンドを入力して、変更を保存します。

save config

ステップ 8 WLAN が有効であり、[Dot11-Phone Mode (7920)] テキスト ボックスがコンパクト モードに設定されていることを確認するには、次のコマンドを入力します。

show wlan wlan_id


 

メディア セッション スヌーピングおよびレポートの設定

この項では、次のトピックを扱います。

「メディア セッション スヌーピングおよびレポートについて」

「ガイドラインと制限事項」

「メディア セッション スヌーピングの設定」

メディア セッション スヌーピングおよびレポートについて

この機能により、アクセス ポイントは Session Initiation Protocol(SIP)の音声コールの確立、終了、および失敗を検出し、それをコントローラおよび WCS にレポートできます。VoIP スヌーピングおよびレポートは、WLAN ごとに有効または無効にできます。

VoIP MSA スヌーピングが有効であると、この WLAN をアドバタイズするアクセス ポイント無線は、SIP RFC 3261 に準拠する SIP 音声パケットを検索します。非 RFC 3261 準拠の SIP 音声パケットや Skinny Call Control Protocol(SCCP)音声パケットは検索しません。ポート番号 5060 に宛てた、またはポート番号 5060 からの SIP パケット(標準的な SIP シグナリング ポート)はいずれも、詳細検査の対象として考慮されます。アクセス ポイントでは、Wi-Fi Multimedia(WMM)クライアントと非 WMM クライアントがコールを確立している段階、コールがアクティブになった段階、コールの終了処理の段階を追跡します。両方のクライアント タイプのアップストリーム パケット分類は、アクセス ポイントで行われます。ダウンストリーム パケット分類は、WMM クライアントはコントローラで、非 WMM クライアントはアクセス ポイントで行われます。アクセス ポイントは、コールの確立、終了、失敗など、主要なコール イベントをコントローラと WCS に通知します。

VoIP MSA コールに関する詳細な情報がコントローラによって提供されます。コールが失敗した場合、コントローラはトラブルシューティングで有用なタイムスタンプ、障害の原因(GUI で)、およびエラー コード(CLI で)が含まれるトラップ ログを生成します。コールが成功した場合、追跡用にコール数とコール時間を表示します。WCS は、失敗した VoIP コールに関する情報を [Events] ページに表示します。

ガイドラインと制限事項

コントローラ ソフトウェア リリース 6.0 以降では、Voice over IP(VoIP)Media Session Aware(MSA)スヌーピングおよびレポートをサポートしています。

メディア セッション スヌーピングの設定

この項では、次のトピックを扱います。

「メディア セッション スヌーピングの設定(GUI)」

「メディア セッション スヌーピングの設定(CLI)」

メディア セッション スヌーピングの設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 メディア セッション スヌーピングを設定する WLAN の ID 番号をクリックします。

ステップ 3 [WLANs > Edit] ページで [Advanced] タブをクリックします。

図 7-15 [WLANs > Edit]([Advanced])ページ

 

ステップ 4 [Voice] の下の [Media Session Snooping] チェックボックスをオンしてメディア セッション スヌーピングを有効にするか、オフにしてこの機能を無効にします。デフォルト値ではオフになっています。

ステップ 5 [Apply] をクリックして、変更を確定します。

ステップ 6 [Save Configuration] をクリックして、変更を保存します。

ステップ 7 次の手順で、アクセス ポイント無線の VoIP 統計情報を表示します。

a. [Monitor] > [Access Points] > [Radios] > [802.11a/n] または [802.11b/g/n] の順に選択して、[802.11a/n(または 802.11b/g/n)Radios] ページを開きます。

b. 右にスクロールし、VoIP 統計を表示したいアクセス ポイントの [Detail] リンクをクリックします。[Radio > Statistics] ページが表示されます。

図 7-16 [Radio > Statistics] ページ

 

[VoIP Stats] セクションには、このアクセスポイント無線について、音声コールの累積の数と長さが表示されます。音声コールが正常に発信されるとエントリが自動的に追加され、コントローラからアクセス ポイントが解除されるとエントリが削除されます。

ステップ 8 [Management] > [SNMP] > [Trap Logs] の順に選択して、コールが失敗した場合に生成されるトラップを表示します。[Trap Logs] ページが表示されます。

図 7-17 [Trap Logs] ページ

 

たとえば、図 7-17 のログ 0 はコールが失敗したことを示しています。ログでは、コールの日時、障害の内容、障害発生の原因が示されます。


 

メディア セッション スヌーピングの設定(CLI)


ステップ 1 特定の WLAN で VoIP スヌーピングを有効または無効にするには、次のコマンドを入力します。

config wlan call-snoop { enable | disable } wlan_id

ステップ 2 次のコマンドを入力して、変更を保存します。

save config

ステップ 3 特定の WLAN のメディア セッション スヌーピングのステータスを表示するには、次のコマンドを入力します。

show wlan wlan_id

以下に類似した情報が表示されます。

WLAN Identifier.................................. 1
Profile Name..................................... wpa2-psk
Network Name (SSID).............................. wpa2-psk
Status........................................... Enabled
...
FlexConnect Local Switching........................ Disabled
FlexConnect Learn IP Address....................... Enabled
Infrastructure MFP protection.............. Enabled (Global Infrastructure MFP
Disabled)
Client MFP.................................... Optional
Tkip MIC Countermeasure Hold-down Timer....... 60
Call Snooping.................................. Enabled

ステップ 4 メディア セッション スヌーピングが有効であり、コールがアクティブである場合の MSA クライアントのコール情報を表示するには、次のコマンドを入力します。

show call-control client callInfo client_MAC_address

以下に類似した情報が表示されます。

Uplink IP/port...................................... 192.11.1.71 / 23870
Downlonk IP/port.................................... 192.12.1.47 / 2070
UP.................................................. 6
Calling Party....................................... sip:1054
Called Party........................................ sip:1000
Call ID............................................. 58635b00-850161b7-14853-1501a8
Number of calls for given client is.............. 1

ステップ 5 コールが成功した場合のメトリックまたはコールが失敗した場合に生成されるトラップを表示するには、次のコマンドを入力します。

show call-control ap { 802.11a | 802.11b } Cisco_AP { metrics | traps }

show call-control ap { 802.11a | 802.11b } Cisco_AP metrics と入力すると、次のような情報が表示されます。

Total Call Duration in Seconds................... 120
Number of Calls.................................. 10
 

show call-control ap { 802.11a | 802.11b } Cisco_AP traps と入力すると、次のような情報が表示されます。

Number of traps sent in one min.................. 2
Last SIP error code.............................. 404
Last sent trap timestamp...................... Jun 20 10:05:06

トラブルシューティングに役立つように、このコマンドの出力には失敗したコールすべてのエラー コードが示されます。 表 7-3 では、失敗したコールの考えられるエラー コードについて説明します。

表 7-3 失敗した Voice over IP(VoIP)コールのエラー コード

エラー コード
整数型
説明

1

unknown

不明なエラー。

400

badRequest

構文が不正であるため要求を認識できませんでした。

401

unauthorized

要求にはユーザ認証が必要です。

402

paymentRequired

将来的な使用のために予約されています。

403

forbidden

サーバは要求を認識しましたが、実行を拒否しています。

404

notFound

サーバは、このユーザが Request-URI に指定されたドメインに存在しないという情報を持っています。

405

methodNotallowed

Request-Line で指定されたメソッドが認識されているものの、Request-URI で指定されたアドレスでは許可されていません。

406

notAcceptabl

要求によって指定されたリソースは、送信された要求内の [Accept] ヘッダー テキスト ボックスによって許容されないコンテンツ特性を持つ応答エンティティしか生成できません。

407

proxyAuthenticationRequired

クライアントは、最初にプロキシで認証される必要があります。

408

requestTimeout

サーバは、時間内にユーザのロケーションを確認できなかったため、適切な時間内に応答を作成できませんでした。

409

conflict

リソースの現在の状態と競合したために、要求を完了できませんでした。

410

gone

要求されたリソースがサーバで使用できず、転送アドレスが不明です。

411

lengthRequired

要求のエンティティ自体が、サーバが処理を想定しているサイズ、または処理できるサイズより大きいため、サーバが要求の処理を拒否しています。

413

requestEntityTooLarge

要求のエンティティ自体が、サーバが処理を想定しているサイズ、または処理できるサイズより大きいため、サーバが要求の処理を拒否しています。

414

requestURITooLarge

Request-URI がサーバが解釈を想定している長さよりも長いために、サーバが要求の処理を拒否しています。

415

unsupportedMediaType

要求されたメソッドについて、要求のメッセージ本文の形式がサーバでサポートされていないために、サーバが要求の処理を拒否しています。

420

badExtension

Proxy-Require または Require ヘッダー テキスト ボックスで指定されたプロトコル拡張が、サーバで認識されませんでした。

480

temporarilyNotAvailable

着信側のエンド システムが正常に通信できるものの、着信側が現在、利用不能です。

481

callLegDoesNotExist

User-Agent Server(UAS; ユーザ エージェント サーバ)が既存のダイアログまたはトランザクションと一致していない要求を受け取りました。

482

loopDetected

サーバはループを検出しました。

483

tooManyHops

サーバは Max-Forwards ヘッダー テキスト ボックスの値が 0 である要求を受信しました。

484

addressIncomplete

サーバは Request-URI が不完全である要求を受信しました。

485

ambiguous

Request-URI があいまいです。

486

busy

着信側のエンド システムは正常に接続されましたが、着信側は現在、このエンド システムで追加のコールを受け入れようとしないか、受け入れることができません。

500

internalServerError

サーバで、要求の処理を妨げる予期しない状態が発生しました。

501

notImplemented

サーバは要求を処理するために必要な機能をサポートしていません。

502

badGateway

ゲートウェイまたはプロキシとして機能しているサーバが、要求を処理するためにアクセスしたダウンストリーム サーバから無効な応答を受信しました。

503

serviceUnavailable

一時的な過負荷またはメンテナンスのために、サーバが一時的に要求を処理できなくなっています。

504

serverTimeout

サーバは、要求を処理するためにアクセスした外部サーバから時間内に応答を受信しませんでした。

505

versionNotSupported

サーバは、要求で使用された SIP プロトコルのバージョンをサポートしていないか、サポートを拒否しています。

600

busyEverywhere

着信側のエンド システムは正常に接続されましたが、着信側はこの時点でビジーであるか、コールに応答しようとしていません。

603

decline

着信側のマシンは正常に接続されましたが、ユーザが参加しようとしていないか、参加できません。

604

doesNotExistAnywhere

サーバには、Request-URI で示されたユーザが存在しないという情報があります。

606

notAcceptable

ユーザのエージェントは正常に接続されましたが、セッションの説明の一部(メディア、帯域幅、アドレス指定形式など)が受け入れられませんでした。


) メディア セッション スヌーピングに関する問題が発生した場合は、debug call-control {all | event} {enable | disable} コマンドを入力して、すべてのメディア セッション スヌーピング メッセージまたはイベントをデバッグしてください。



 

Key Telephone System-Based CAC の設定

この項では、次のトピックを扱います。

「Key Telephone System-Based CAC について」

「ガイドラインと制限事項」

「KTS-based CAC の設定」

Key Telephone System-Based CAC について

Key Telephone System(KTS)based CAC は、NEC MH240 ワイヤレス IP 電話で使用されるプロトコルです。KTS-based SIP クライアントで CAC をサポートし、そのようなクライアントからの帯域幅要求メッセージを処理し、AP 無線で要求された帯域幅を割り当て、プロトコルの一部であるその他のメッセージを処理するように、コントローラを設定できます。

コールが開始されると、KTS-based CAC クライアントが帯域幅要求メッセージを送信し、それに対してコントローラが、帯域幅が割り当てられるかどうかを示す帯域幅確認メッセージで応答します。帯域幅が利用可能な場合のみ、コールが許可されます。クライアントは、AP から別の AP にローミングする場合、別の帯域幅要求メッセージをコントローラに送信します。

帯域幅の割り当ては、帯域幅要求メッセージからのデータ レートとパケット化間隔を使用して計算されるメディア時間によって異なります。KTS-based CAC クライアントの場合、パケット化間隔が 20 ミリ秒の G.711 コーデックが、メディア時間の計算に使用されます。

コントローラは、クライアントからの帯域幅リリース メッセージを受信したあと、帯域幅を解放します。コントローラ内ローミングとコントローラ間ローミングのいずれの場合も、クライアントが別の AP にローミングすると、コントローラは前の AP の帯域幅を解放し、新規の AP に帯域幅を割り当てます。クライアントのアソシエーションが解除された場合、または非アクティブの状態が 120 秒間続いた場合、コントローラは帯域幅を解放します。クライアントの非アクティビティまたはディスアソシエーションによって、クライアント用の帯域幅が解放された場合、コントローラからクライアントへの通知はありません。

ガイドラインと制限事項

コントローラは、クライアントからの SSID Capability Check Request メッセージを無視します。

KTS CAC クライアントには、優先コールはサポートされていません。

コントローラ間ローミングには、理由コード 17 はサポートされていません。

KTS-based CAC 機能を有効にするには、次の作業を行ってください。

WLAN 上で WMM を有効にします。

無線レベルで ACM を有効にします。

無線レベルでの TSPEC 非アクティブ タイムアウトの処理を有効にします。

KTS-based CAC の設定

この項では、次のトピックを扱います。

「KTS-based CAC の設定(GUI)」

「KTS-based CAC の設定(CLI)」

KTS-based CAC の設定(GUI)

前提条件

WLAN に対して KTS-based CAC を有効にするには、次の作業を実行します。

WLAN の QoS プロファイルを Platinum に設定します(「QoS プロファイルの割り当て」を参照)。

WLAN を Disabled 状態に設定します(「WLAN の有効化および無効化(GUI)」を参照)。

WLAN に対する FlexConnect ローカル スイッチングを Disabled 状態にします([WLANs > Edit] ページの [Advanced] タブをクリックし、[FlexConnect Local Switching] チェックボックスをオフにします)。


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 KTS-based CAC ポリシーを設定する WLAN の ID 番号をクリックします。

ステップ 3 [WLANs > Edit] ページで [Advanced] タブをクリックします。

ステップ 4 [Voice] の下の [KTS based CAC Policy] チェックボックスをオンまたはオフにして、WLAN に対する KTS-based CAC を有効または無効にします。

ステップ 5 [Apply] をクリックして、変更を確定します。


 

KTS-based CAC の設定(CLI)

前提条件

WLAN に対して KTS-based CAC を有効にするには、次の作業を実行します。

WLAN の QoS プロファイルを Platinum に設定するには、次のコマンドを入力します。

config wlan qos wlan-id platinum

WLAN を無効にするには、次のコマンドを入力します。

config wlan disable wlan-id

WLAN に対する FlexConnect ローカル スイッチングを無効にするには、次のコマンドを入力します。

config wlan flexconnect local-switching wlan-id disable


ステップ 1 WLAN に対して KTS-based CAC を有効にするには、次のコマンドを入力します。

config wlan kts-cac enable wlan-id

ステップ 2 KTS-based CAC 機能を有効にするには、次の作業を行います。

a. WLAN 上で WMM を有効にするには、次のコマンドを入力します。

config wlan wmm allow wlan-id

b. 無線レベルで ACM を有効にするには、次のコマンドを入力します。

config 802.11a cac voice acm enable

c. 無線レベルで TSPEC 非アクティブ タイムアウトの処理を有効にするには、次のコマンドを入力します。

config 802.11a cac voice tspec-inactivity-timeout enable


 

関連コマンド

クライアントが KTS-based CAC をサポートするかどうかを確認するには、次のコマンドを入力します。

show client detail client-mac-address

以下に類似した情報が表示されます。

Client MAC Address............................... 00:60:b9:0d:ef:26
Client Username ................................. N/A
AP MAC Address................................... 58:bc:27:93:79:90
 
QoS Level........................................ Platinum
802.1P Priority Tag.............................. disabled
KTS CAC Capability............................... Yes
WMM Support...................................... Enabled
Power Save....................................... ON
 

KTS-based CAC に関する問題をトラブルシューティングするには、次のコマンドを入力します。

debug cac kts enable

CAC に関する他の問題をトラブルシューティングするには、次のコマンドを入力します。

debug cac event enable

debug call-control all enable

ローミングしている音声クライアントのリアンカーの設定

この項では、次のトピックを扱います。

「ローミングしている音声クライアントのリアンカーについて」

「ガイドラインと制限事項」

「ローミングしている音声クライアントのリアンカーの設定」

ローミングしている音声クライアントのリアンカーについて

音声クライアントが、最も適切で最も近くの使用可能コントローラにアンカーされるようにすることができます。この機能は、コントローラ間ローミングが発生したときに役立ちます。この機能を使用することにより、トラフィックの伝送に外部コントローラとアンカー コントローラ間のトンネルを使用せずに済み、ネットワークから不要なトラフィックを削除できます。

ローミング中のコールは影響を受けず、問題なく継続できます。トラフィックは、外部コントローラとアンカー コントローラ間に確立される適切なトンネルを通過します。アソシエーション解除は、コールの終了後のみに行われ、その後、クライアントは新規のコントローラに再アソシエートされます。

ガイドラインと制限事項

継続中のデータ セッションは、アソシエーション解除とその後の再アソシエーションによる影響を受ける場合があります。

この機能は、アドミッション制御を有効にしている場合のみ、TSPEC-based コールおよび非 TSPEC SIP-based コールに対してサポートされます。

WLAN ごとに音声クライアントのローミングのリアンカーが可能です。

この機能を Cisco 792x 電話機で使用することは推奨されません。

ローミングしている音声クライアントのリアンカーの設定

この項では、次のトピックを扱います。

「ローミングしている音声クライアントのリアンカーの設定(GUI)」

「ローミングしている音声クライアントのリアンカーの設定(CLI)」

ローミングしている音声クライアントのリアンカーの設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 ローミングしている音声クライアントのリアンカーを設定する WLAN の ID 番号をクリックします。

ステップ 3 [WLANs > Edit] ページが表示されたら、[Advanced] タブを選択して [WLANs > Edit]([Advanced])ページを開きます。

図 7-18 [WLANs > Edit]([Advanced])ページ

 

ステップ 4 [Voice] エリアで、[Re-anchor Roamed Clients] チェックボックスを選択します。

ステップ 5 [Apply] をクリックして、変更を確定します。

ステップ 6 [Save Configuration] をクリックして、変更を保存します。


 

ローミングしている音声クライアントのリアンカーの設定(CLI)


ステップ 1 特定の WLAN に対して、ローミングしている音声クライアントのリアンカーを有効または無効にするには、次のコマンドを入力します。

config wlan roamed-voice-client re-anchor { enable | disable } wlan id

ステップ 2 次のコマンドを入力して、変更を保存します。

save config

ステップ 3 特定の WLAN におけるローミングしている音声クライアントのリアンカーのステータスを表示するには、次のコマンドを入力します。

show wlan wlan_id

以下に類似した情報が表示されます。

WLAN Identifier.................................. 1
Profile Name..................................... wpa2-psk
Network Name (SSID).............................. wpa2-psk
Status........................................... Enabled
...
Call Snooping.................................... Enabled
Roamed Call Re-Anchor Policy..................... Enabled
Band Select...................................... Disabled
Load Balancing................................... Disabled
 

ステップ 4 次のコマンドを入力して、変更を保存します。

save config


 

シームレスな IPv6 モビリティの設定

この項では、次のトピックを扱います。

「IPv6 モビリティについて」

「ガイドラインと制限事項」

IPv6 モビリティについて

インターネット プロトコル バージョン 6(IPv6)は、プロトコルの TCP/IP スイートのバージョン 4(IPv4)の後継となることを意図された次世代のネットワーク層インターネット プロトコルです。この新しいバージョンでは、一意なグローバル IP アドレスを必要とするユーザとアプリケーションを収容するためのインターネット グローバル アドレス空間が拡張されています。IPv6 は、128 ビットの送信元アドレスおよび宛先アドレスを組み込むことにより、32 ビットの IPv4 アドレスよりも格段に多くのアドレスを提供します。

コントローラをまたいだ IPv6 クライアントをサポートするには、IPv6 クライアントが同じレイヤ 3 ネットワーク上にとどまるように、ICMPv6 メッセージを特別に処理する必要があります。コントローラは、ICMPv6 メッセージを代行受信することで IPv6 クライアントを追跡し、シームレスなモビリティを提供して、ネットワーク攻撃からネットワークを保護します。NDP(ネイバー ディスカバリ パケット)パケットは、マルチキャストからユニキャストに変換され、クライアントごとに個別に配信されます。この固有なソリューションによって、ネイバー ディスカバリ パケットとルータ アドバタイズメント パケットの VLAN 間でのリークを防止できます。クライアントは、特定のネイバー ディスカバリ パケットおよびルータ アドバタイズメント パケットを受信することで IPv6 アドレス指定が適切であることを確認し、不要なマルチキャスト トラフィックを回避します。

IPv6 モビリティの設定は、IPv4 モビリティと同一であり、シームレスなローミングを実現するためにクライアント側で別個のソフトウェアを使用する必要はありません。コントローラは、同じモビリティ グループに属している必要があります。IPv4 と IPv6 の両クライアント モビリティが、デフォルトで有効になります。

ガイドラインと制限事項

クライアントごとに最大 16 個のクライアント アドレスを追跡できます。

クライアントは、スタティック ステートレス自動設定(Windows XP クライアントなど)またはステートフル DHCPv6 IP アドレス指定(Windows Vista クライアントなど)のいずれかで IPv6 をサポートする必要があります。


) 現在、DHCPv6 は Windows Vista クライアントでの使用についてのみサポートされています。これらのクライアントについては、VLAN がクライアントによって変更された後で DHCPv6 IP アドレスを手動で更新する必要があります。



) IPv6 対応のダイナミック VLAN 機能は、コントローラ ソフトウェア リリース 6.0 および 7.0 ではサポートされません。


ステートフル DHCPv6 IP アドレス指定を正常に動作させるには、DHCPv6 サーバとして機能するように設定された、DHCP for IPv6 機能をサポートするスイッチまたはルータ(Catalyst 3750 スイッチなど)を設置する必要があります。または、組み込みの DHCPv6 サーバを備えた、Windows 2008 サーバなどの専用サーバが必要です。


) Catalyst 3750 スイッチに SDM IPv6 テンプレートをロードするには、sdm prefer dual-ipv4-and-v6 default コマンドを入力し、スイッチをリセットします。詳細については、『Cisco Catalyst 3750 Switch Configuration Guide for Cisco IOS Release 12.2(46)SE』を参照してください。


シームレスな IPv6 モビリティをサポートするには、次の設定が必要になる場合があります。

「IPv6 クライアントのための RA ガードの設定」

「IPv6 クライアントのための RA スロットリングの設定」

「IPv6 ネイバー ディスカバリ キャッシングの設定」

IPv6 クライアントのための RA ガードの設定

この項では、次のトピックを扱います。

「RA ガードについて」

「RA ガードの設定(GUI)」

「RA ガードの設定(CLI)」

RA ガードについて

IPv6 クライアントは、IPv6 アドレスを設定し、IPv6 ルータ アドバタイズメント(RA)パケットに基づいてルータ テーブルにデータを入力します。RA ガード機能は、有線ネットワークの RA ガード機能に類似しています。RA ガードは、ワイヤレス クライアントから発信される不要な、または不正な RA パケットをドロップすることによって、IPv6 ネットワークのセキュリティを強化します。この機能が設定されていないと、悪意のある IPv6 クライアントが、多くの場合は高い優先順位で、それ自体をネットワークのルータとして通知する可能性があり、そのため、正規の IPv6 ルータよりも優先されることになります。

RA ガードは、コントローラで実行されます。アクセス ポイントまたはコントローラで RA メッセージをドロップするように、コントローラを設定できます。デフォルトでは、RA ガードはアクセス ポイントで設定され、コントローラでも有効になります。すべての IPv6 RA メッセージがドロップされ、それによって他のワイヤレス クライアントおよびアップストリーム有線ネットワークが悪意のある IPv6 クライアントから保護されます。

RA ガードの設定(GUI)


ステップ 1 [Controller] > [IPv6] > [RA Guard] を選択して、[IPv6 RA Guard] ページを開きます。デフォルトでは、[IPv6 RA Guard on AP] が有効になります。

ステップ 2 RA ガードを無効にする場合は、ドロップダウン リストから、[Disable] を選択します。コントローラは、RA パケットの送信側として識別されたクライアントも表示します。

図 7-19 [Controller] > [IPv6] > [RA Guard]

 

ステップ 3 [Apply] をクリックして、変更を確定します。

ステップ 4 [Save Configuration] をクリックして、変更を保存します。


 

RA ガードの設定(CLI)

config ipv6 ra-guard ap { enable | disable }

IPv6 クライアントのための RA スロットリングの設定

この項では、次のトピックを扱います。

「RA スロットリングについて」

「RA スロットリングの設定(GUI)」

「RA スロットル ポリシーの設定(CLI)」

RA スロットリングについて

RA スロットリングは、コントローラがワイヤレス ネットワーク宛ての RA パケットを強制的に制限できるようにします。RA スロットリングを有効にすることにより、多数の RA パケットを送信するルータを最小限の頻度に調整することができ、その場合も IPv6 クライアントの接続は維持されます。クライアントが RS パケットを送信すると、RA がクライアントに返送されます。この RA は、コントローラを通過でき、クライアントにユニキャストされます。このプロセスによって、新しいクライアントやローミング クライアントが RA スロットリングの影響を受けないようにすることができます。

RA スロットリングの設定(GUI)


ステップ 1 [Controll] > [IPv6] > [RA Throttle Policy] ページを選択します。デフォルトでは、[IPv6 RA Throttle Policy] が有効になります。

ステップ 2 このチェックボックスをオフにして、RA スロットリング ポリシーを無効にします。

ステップ 3 次のパラメータを設定します。

[Throttle period]:スロットリングの期間。RA スロットリングは、VLAN に対する [Max Through] 制限に達した後、または特定のルータに対する [Allow At-Most] 値に達した後にのみ実行されます。範囲は 10 ~ 86400 秒です。デフォルトは 600 秒です。

[Max Through]:スロットリングが実行される前に送信可能な、VLAN 上の RA パケットの最大数。[No Limit] オプションは、スロットリングを使用せずに、無制限の RA パケット数を許可します。範囲は 0 ~ 256 RA パケットです。デフォルトは 10 RA パケットです。

[Interval Option]:IPv6 RA パケットに設定された RFC 3775 値に基づいた、さまざまなコントローラの動作を許可します。

[Passthrough]:RFC3775 インターバル オプションが指定された RA メッセージが、スロットリングなしで通過することを許可します。

[Ignore]:RA スロットルが、インターバル オプションの指定されたパケットを通常の RA として処理し、有効である場合はスロットリングが適用されるようにします。

[Throttle]:インターバル オプションが指定された RA パケットに、常にレート制限が適用されるようにします。

[Allow At-least]:スロットリングが実行される前にマルチキャストとして送信できる、ルータごとの RA パケットの最小数。範囲は 0 ~ 32 RA パケットです。

[Allow At-most]:スロットリングが実行される前にマルチキャストとして送信できる、ルータごとの RA パケットの最大数。[No Limit] オプションは、ルータの通過する無制限の RA パケット数を許可します。範囲は 0 ~ 256 RA パケットです。


) RA スロットリングが実行されると、最初の IPv6 対応ルータのみの通過が許可されます。異なるルータが複数の IPv6 プレフィックスを処理しているネットワークについては、RA スロットリングを無効にしてください。


図 7-20 [Controller] > [IPv6] > [RA Throttle Policy] ページ

 

ステップ 4 [Apply] をクリックして、変更を確定します。

ステップ 5 [Save Configuration] をクリックして、変更を保存します。


 

RA スロットル ポリシーの設定(CLI)

config ipv6 neigbhor-binding ra-throttle {allow at-least at-least-value | enable | disable | interval-option {ignore | passthrough | throttle} | max-through {mzx-through-value | no-limit }

IPv6 ネイバー ディスカバリ キャッシングの設定

この項では、次のトピックを扱います。

「IPv6 ネイバー ディスカバリについて」

「ネイバー バインディング タイマーの設定(GUI)」

「ネイバー バインディング タイマーの設定(CLI)」

IPv6 ネイバー ディスカバリについて

IPv6 ネイバー ディスカバリとは、近隣のノード間の関係を決定するメッセージとプロセスのことです。ネイバー ディスカバリは、IPv4 で使用されていた ARP、ICMP ルータ探索、および ICMP リダイレクトに代わるものです。

信頼できるバインディング テーブル データベースを構築するために、IPv6 ネイバー ディスカバリ検査によってネイバー ディスカバリ メッセージが分析され、準拠しない IPv6 ネイバー ディスカバリ パケットはドロップされます。コントローラ内のネイバー バインディング テーブルでは、各 IPv6 アドレスと、アソシエートされた MAC アドレスが追跡されます。クライアントは、ネイバー バインディング タイマーに従って、テーブルから消去されます。

ネイバー バインディング タイマーの設定(GUI)


ステップ 1 [Controller] > [IPv6] > [Neighbor Binding Timers] ページを選択します。

ステップ 2 次のタイマーを設定します。

[Down-Lifetime]:インターフェイスがダウンした場合に、IPv6 キャッシュ エントリを保持する時間を指定します。範囲は 0 ~ 86400 秒です。

[Reachable-Lifetime]:IPv6 アドレスがアクティブである時間を指定します。範囲は 0 ~ 86400 秒です。

[Stale-Lifetime]:IPv6 アドレスをキャッシュに保持する時間を指定します。範囲は 0 ~ 86400 秒です。


) 最適なパフォーマンスを得るには、[Reachable Lifetime] は 3600 秒、[Stale Lifetime] は 300 秒に設定することをお勧めします。


図 7-21 [Controller] > [IPv6] > [Neighbor Binding Timers] ページ

 

ステップ 3 [Apply] をクリックして、変更を確定します。

ステップ 4 [Save Configuration] をクリックして、変更を保存します。


 

ネイバー バインディング タイマーの設定(CLI)

config ipv6 neighbor-binding timers {down-lifetime | reachable-lifetime | stale-lifetime} {enable | disable}

不明アドレスの NS マルチキャスト フォワーディングの設定

ワイヤレス クライアントの IPv6 アドレスは、コントローラによってキャッシュされます。コントローラは、コントローラのワイヤレス クライアントのいずれかに属する IPv6 アドレスに宛てた NS マルチキャストを受信すると、プロキシとして動作し、NA で応答します。コントローラにワイヤレス クライアントの IPv6 アドレスがない場合、コントローラは NA で応答せず、NA パケットをドロップします。この問題を解決するために、NS マルチキャスト フォワーディング ノブが用意されています。このノブが有効である場合、コントローラは、存在しない(キャッシュ ミス)IPv6 アドレス宛ての NS パケットを取得し、その NS パケットをワイヤレス側に転送します。このパケットは、目的のワイヤレス クライアントに到達し、クライアントは NA で応答します。

このキャッシュ ミス シナリオが発生するのはまれで、完全な IPv6 スタックが実装されていないクライアントが、NDP 時にそれらの IPv6 アドレスをアドバタイズしない可能性はほとんどありません。

NS マルチキャスト フォワーディングの設定(CLI)

NS マルチキャスト フォワーディングを有効または無効にするには、次のコマンドを入力します。

config ipv6 ns-mcast-fwd { enable | disable }

デフォルトの場合、NS マルチキャスト フォワーディングは無効になっています。

NS マルチキャスト フォワーディングが有効である場合、コントローラは NS マルチキャスト パケットをすべての無線および有線クライアントに送信します。NS マルチキャスト フォワーディングが無効である場合、コントローラは NS マルチキャスト パケットを有線側に送信します。

NS マルチキャスト フォワーディングのステータスを表示するには、次のコマンドを入力します。

show ipv6 summary

以下に類似した情報が表示されます。

Reachable-lifetime value.................... 86400
Stale-lifetime value........................ 86400
Down-lifetime value......................... 86400
RA Throttling............................... Enabled
RA Throttling allow at-least................ 2
RA Throttling allow at-most................. no-limit
RA Throttling max-through................... 10
RA Throttling throttle-period............... 12
RA Throttling interval-option............... ignore
NS Mulitcast CacheMiss Forwarding........... Disabled
 

NS マルチキャスト フォワーディングの統計情報を表示するには、次のコマンドを入力します。

show ipv6 neighbor-binding counters

以下に類似した情報が表示されます。

..............
Cache Miss Statistics:
 
Multicast NS Forward[1]
Multicast NS Dropped[3]

) ノブが有効である場合、[Multicast NS Forward] パラメータが増分します。ノブが無効である場合、[Multicast NS Dropped] パラメータが増分します。


Cisco Client Extensions の設定

この項では、次のトピックを扱います。

「Cisco Client Extensions について」

「ガイドラインと制限事項」

「CCX Aironet IE の設定」

Cisco Client Extensions について

Cisco Client Extensions(CCX)ソフトウェアは、サードパーティ製クライアント デバイスの製造業者およびベンダーに対してライセンスされます。これらのクライアント上の CCX コードにより、サードパーティ製クライアント デバイスは、シスコ製のアクセス ポイントと無線で通信できるようになり、セキュリティの強化、パフォーマンスの向上、高速ローミング、優れた電源管理などの、他のクライアント デバイスがサポートしていないシスコの機能もサポートできるようになります。

ガイドラインと制限事項

コントローラ ソフトウェアのリリース 4.2 以降では、CCX バージョン 1 ~ 5 をサポートしています。これにより、コントローラおよびそのアクセス ポイントは、CCX をサポートするサードパーティ製のクライアント デバイスと無線で通信できるようになります。CCX サポートは、コントローラ上の各 WLAN について自動的に有効となり、無効にできません。ただし、WLAN ごとに特定の CCX の機能を設定することができます。この機能は、Aironet 情報要素(IE)です。

Aironet IE のサポートが有効になっている場合、アクセス ポイントは、Aironet IE 0x85(アクセス ポイント名、ロード、アソシエートされたクライアントの番号などを含む)をこの WLAN のビーコンやプローブ応答に格納して送信します。また、アクセス ポイントが再アソシエーション要求内の Aironet IE 0x85 を受信する場合、コントローラは、Aironet IEs 0x85 および 0x95(コントローラの管理 IP アドレスおよびアクセス ポイントの IP アドレスを含む)を再アソシエーション要求に格納して送信します。

CCX は、Cisco OEAP 600 アクセス ポイントではサポートされず、CCX に関連する要素もすべてがサポートされるわけではありません。

Cisco OEAP 600 では、Cisco Aeronet IE をサポートしていません。

7.2 リリースでは、CCX Lite と呼ばれる新規バージョンの CCX を使用できます。CCX Lite の詳細については、 http://www.cisco.com/web/partners/pr46/pr147/program_additional_information_new_release_features.html を参照してください。

CCX Aironet IE の設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。

ステップ 3 [Advanced] タブを選択して、[WLANs > Edit]([Advanced] タブ)ページを開きます。

ステップ 4 この WLAN で Aironet IE のサポートを有効にする場合は、[Aironet IE] チェックボックス をオンにします。有効にしない場合には、このチェックボックスをオフにします。デフォルト値は、有効(オン)になっています。

ステップ 5 [Apply] をクリックして、変更を確定します。

ステップ 6 [Save Configuration] をクリックして、変更を保存します。


 

クライアントの CCX バージョンの表示(GUI)

クライアント デバイスは、アソシエーション要求パケットに CCX バージョンを格納してアクセス ポイントに送信します。コントローラは、クライアントの CCX バージョンをデータベースに格納し、これを使用してこのクライアントの機能を制限します。たとえば、クライアントが CCX バージョン 2 をサポートしている場合、コントローラは、CCX バージョン 4 の機能を使用することをクライアントに許可しません。


ステップ 1 [Monitor] > [Clients] の順に選択して、[Clients] ページを開きます。

ステップ 2 目的のクライアント デバイスの MAC アドレスをクリックして、[Clients > Detail] ページを開きます。

図 7-22 [Clients > Detail] ページ

 

[CCX Version] テキスト ボックスに、このクライアント デバイスでサポートされる CCX バージョンが表示されます。クライアントで CCX がサポートされていない場合は、 Not Supported が表示されます。

ステップ 3 前の画面に戻るには、[Back] をクリックします。

ステップ 4 他のクライアント デバイスでサポートされる CCX バージョンを表示するには、この手順を繰り返します。


 

CCX Aironet IE の設定(CLI)

config wlan ccx aironet-ie { enable | disable } wlan_id


) デフォルト値は有効(enable)です。


クライアントの CCX バージョンの表示(CLI)

コントローラの CLI を使用して、特定のクライアント デバイスでサポートされる CCX バージョンを表示するには、次のコマンドを入力します。

show client detail client_mac

アクセス ポイント グループについて

コントローラ上に最大 512 の WLAN を作成した後では、さまざまなアクセス ポイントに WLAN を選択的に公開(アクセス ポイント グループを使用して)することで、ワイヤレス ネットワークをより適切に管理できます。一般的な展開では、WLAN 上のすべてのユーザはコントローラ上の 1 つのインターフェイスにマップされます。したがって、その WLAN にアソシエートされたすべてのユーザは、同じサブネットまたは VLAN 上にあります。しかし、複数のインターフェイス間で負荷を分散すること、または アクセス ポイント グループ を作成して、個々の部門(たとえばマーケティング部門)などの特定の条件に基づくグループ ユーザへと負荷を分配することを選択できます。さらに、ネットワーク管理を簡素化するために、これらのアクセス ポイント グループを別個の VLAN で設定できます。

図 7-23 アクセス ポイント グループ

 

図 7-23では、3 つの設定された動的インターフェイスが、3 つの異なる VLAN(VLAN 61、VLAN 62、および VLAN 63)にマップされています。3 つのアクセス ポイント グループが定義されており、各グループは異なる VLAN のメンバですが、すべてのグループが同じ SSID のメンバとなっています。無線 SSID 内のクライアントには、そのアクセス ポイントがメンバとなっている VLAN サブネットから IP アドレスが割り当てられています。たとえば、アクセス ポイント グループ VLAN 61 のメンバであるアクセス ポイントにアソシエートする任意のユーザには、そのサブネットから IP アドレスが割り当てられます。

図 7-23の例では、コントローラはアクセス ポイント間のローミングをレイヤ 3 ローミング イベントとして内部で処理します。こうすることで、WLAN クライアントは元の IP アドレスを保持します。

すべてのアクセス ポイントがコントローラに join された後は、アクセス ポイント グループを作成して、最大 16 の WLAN を各グループに割り当てることができます。各アクセス ポイントは、有効化されている WLAN のうち、そのアクセス ポイント グループに属する WLAN だけをアドバタイズします。アクセス ポイント グループで無効化されている WLAN または別のグループに属する WLAN はアドバタイズしません。

ガイドラインと制限事項

VLAN またはサブネットにサービスを提供するルータ上で、必要なアクセス コントロール リスト(ACL)を定義する必要があります。

アクセス ポイント グループ VLAN では、マルチキャスト トラフィックがサポートされます。ただし、クライアントがあるアクセス ポイントから別のアクセス ポイントにローミングする場合、IGMP スヌーピングが有効になっていないと、クライアントによってマルチキャスト トラフィックの受信が停止されることがあります。

OEAP 600 シリーズ アクセス ポイントでは、最大で 2 つの WLAN と 1 つのリモート LAN がサポートされます。3 つ以上の WLAN と 1 つのリモート LAN を設定した場合は、AP グループに 600 シリーズ アクセス ポイントを割り当てることができます。2 つの WLAN と 1 つのリモート LAN のサポートも AP グループに適用されますが、600 シリーズ OEAP がデフォルト グループにある場合、WLAN またはリモート LAN ID を 7 以下にする必要があります。

AP グループ テーブル内の WLAN に対するインターフェイス マッピングが、WLAN インターフェイスと同じであるとします。WLAN インターフェイスが変更されると、AP グループ テーブル内の WLAN に対するインターフェイス マッピングも新しい WLAN インターフェイスに変わります。

AP グループ テーブル内の WLAN に対するインターフェイス マッピングが、WLAN に定義されたインターフェイスと異なるとします。WLAN インターフェイスが変更されても、AP グループ テーブル内の WLAN に対するインターフェイス マッピングは新しい WLAN インターフェイスに変わりません。


) アクセス ポイント グループ内の OfficeExtend アクセス ポイントを持つコントローラは、パーソナルな SSID に対して割り当てられる WLAN が 1 つであるため、接続されている各 OfficeExtend アクセス ポイントに最大 15 の WLAN を公開します。


Cisco 2100 シリーズのコントローラおよびコントローラ ネットワーク モジュールの場合は最大 50 のアクセス ポイント グループを作成でき、Cisco 4400 シリーズのコントローラ、Cisco WiSM、および 3750G ワイヤレス LAN コントローラ スイッチの場合は最大 300 のアクセス ポイント グループを作成でき、Cisco 5500 シリーズのコントローラの場合は最大 500 のアクセス ポイント グループを作成できます。

OfficeExtend アクセス ポイントはすべて同じアクセス ポイント グループ内にあり、このグループに含まれる WLAN は最大 15 にする必要があります。アクセス ポイント グループ内の OfficeExtend アクセス ポイントを持つコントローラは、パーソナルな SSID に対して割り当てられる WLAN が 1 つであるため、接続されている各 OfficeExtend アクセス ポイントに最大 15 の WLAN しか公開しません。

コントローラ上の設定をクリアすると、アクセス ポイント グループのすべてが非表示となります。ただし、デフォルトのアクセス ポイント グループである「default-group」(自動的に作成される)は例外です。

アクセス ポイント グループの設定


ステップ 1 適切な動的インターフェイスを設定し、必要な VLAN にマップします。

たとえば、図 7-23 でネットワークを実装するには、コントローラ上で VLAN 61、62、および 63 に対する動的インターフェイスを作成します。動的インターフェイスの構成方法の詳細は、を参照してください。

ステップ 2 アクセス ポイント グループを作成します。「アクセス ポイント グループの作成(GUI)」を参照してください。

ステップ 3 RF プロファイルを作成します。「RF プロファイルの作成(GUI)」を参照してください。

ステップ 4 適切なアクセス ポイント グループにアクセス ポイントを割り当てます。「アクセス ポイント グループの作成(GUI)」を参照してください。

ステップ 5 AP グループの RF プロファイルを適用します。「AP グループへの RF プロファイルの適用(GUI)」を参照してください。


 

アクセス ポイント グループの作成(GUI)


ステップ 1 [WLANs] > [Advanced] > [AP Groups] の順に選択して、[AP Groups] ページを開きます。

図 7-24 [AP Groups] ページ

 

このページには、コントローラで現在作成されているすべてのアクセス ポイント グループが表示されます。デフォルトでは、アクセス ポイントは、他のアクセス ポイント グループに割り当てられない限り、すべて、デフォルトのアクセス ポイント グループ「default-group」に属します。


) コントローラのソフトウェア リリース 5.2 以降にアップグレードすると、コントローラによって default-group アクセス ポイント グループが作成され、その中に、最初の 16 個の WLAN(1 ~ 16 の ID を持つ WLAN。ただし、設定された WLAN の数が 16 に満たない場合は 16 より少なくなります)が自動的に割り当てられます。このデフォルトのグループは変更できません(このグループに WLAN を追加したり、このグループから WLAN を削除することはできません)。先頭の 16 の WLAN が追加または削除されるたびに、グループの内容は動的に更新されます。アクセス ポイントは、アクセス ポイント グループに属していない場合には、デフォルト グループに割り当てられ、そのデフォルト グループ内の WLAN を使用します。アクセス ポイントは、未定義のアクセス ポイント グループ名を有するコントローラと join した場合、そのグループ名を保持しますが、default-group アクセス ポイント グループ内の WLAN を使用します。


ステップ 2 [Add Group] をクリックして、新しいアクセス ポイント グループを作成します。[Add New AP Group] のセクションがページ上部に表示されます。

ステップ 3 [AP Group Name] テキスト ボックスに、グループの名前を入力します。

ステップ 4 [Description] テキスト ボックスに、グループの説明を入力します。

ステップ 5 [Add] をクリックします。新たに作成したアクセス ポイント グループが、[AP Groups] ページのアクセス ポイント グループのリストに表示されます。


) このグループを削除するには、そのグループの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。1 つ以上のアクセス ポイントで使用しているアクセス ポイント グループを削除しようとすると、エラー メッセージが表示されます。コントローラ ソフトウェア リリース 6.0 以降では、アクセス ポイント グループを削除する前に、そのグループ内のすべてのアクセス ポイントを別のグループに移動させます。以前のリリースのように、アクセス ポイントが default-group アクセス ポイント グループに移動されることはありません。


ステップ 6 グループの名前をクリックして、この新しいグループを編集します。[AP Groups > Edit (General)] ページが表示されます。

ステップ 7 このアクセス ポイント グループの説明を変更するには、[AP Group Description] テキスト ボックスに新しいテキストを入力して、[Apply] をクリックします。

ステップ 8 [WLANs] タブを選択して、[AP Groups > Edit]([WLANs])ページを開きます。このページでは、このアクセス ポイント グループに現在割り当てられている WLAN が表示されます。

ステップ 9 [Add New] をクリックして、このアクセス ポイント グループに WLAN を割り当てます。[Add New] のセクションがページ上部に表示されます。

ステップ 10 [WLAN SSID] ドロップダウン リストから、この WLAN の SSID を選択します。

ステップ 11 [Interface Name] ドロップダウン リストから、アクセス ポイント グループをマップするインターフェイスを選択します。Network Admission Control(NAC;ネットワーク アドミッション コントロール)のアウトオブバンドのサポートを有効にする場合は、検疫 VLAN を選択します。


) default-group アクセス ポイント グループ内のインターフェイス名は、WLAN インターフェイスと一致します。


ステップ 12 [NAC State] チェックボックスをオンして、このアクセス ポイント グループに対する NAC アウトオブバンドのサポートを有効にします。NAC アウトオブバンドのサポートを無効にするには、チェックボックスをオフ(デフォルト値)のままとします。NAC の詳細については、「NAC アウトオブバンド統合の設定」を参照してください。

ステップ 13 [Add] をクリックして、この WLAN をアクセス ポイント グループに追加します。この WLAN が、このアクセス ポイント グループに割り当てられている WLAN のリストに表示されます。


) この WLAN をアクセス ポイント グループから削除する場合は、カーソルをこの WLAN の青のドロップダウン矢印の上に置いて、[Remove] を選択します。


ステップ 14 ステップ 9 ステップ 13 を繰り返して、このアクセス ポイント グループに WLAN をさらに追加します。

ステップ 15 [APs] タブを選択して、このアクセス ポイント グループにアクセス ポイントを割り当てます。[AP Groups > Edit]([APs])ページには、このグループに現在割り当てられているアクセス ポイントと、グループへの追加が可能なアクセス ポイントが一覧されます。アクセス ポイントがグループに現在割り当てられていない場合、そのアクセス ポイントのグループ名は「default-group」として表示されます。

ステップ 16 アクセス ポイント名の左側にあるチェック ボックスをオンにして [Add APs] をクリックし、このアクセス ポイント グループにアクセス ポイントを追加します。すると、該当するアクセス ポイントが、このアクセス ポイント グループに現在属しているアクセス ポイントのリストに表示されます。


) 使用可能なアクセス ポイントを一度にすべて選択するには、[AP Name] チェックボックスをオンにします。これで、すべてのアクセス ポイントが選択されます。



) グループからアクセス ポイントを削除する場合は、アクセス ポイント名の左側のチェックボックスをオンにし、[Remove APs] をクリックします。一度にすべてのアクセス ポイントを選択するには、[AP Name] チェックボックスをオンにします。これで、このグループからすべてのアクセス ポイントが削除されます。



) アクセス ポイントが属するアクセス ポイント グループを変更する場合は、[Wireless] > [Access Points] > [All APs] > [ap_name] > [Advanced] タブを選択し、[AP Group Name] ドロップダウン リストから別のアクセス ポイント グループの名前を選択し、[Apply] をクリックします。


ステップ 17 [Save Configuration] をクリックして、変更を保存します。


 

アクセス ポイント グループの作成(CLI)


ステップ 1 アクセス ポイント グループを作成するには、次のコマンドを入力します。

config wlan apgroup add group_name


アクセス ポイント グループを削除するには、config wlan apgroup delete group_name コマンドを入力します。1 つ以上のアクセス ポイントで使用しているアクセス ポイント グループを削除しようとすると、エラー メッセージが表示されます。コントローラ ソフトウェア リリース 6.0 以降では、アクセス ポイント グループを削除する前に、そのグループ内のすべてのアクセス ポイントを別のグループに移動させます。以前のリリースのように、アクセス ポイントが default-group アクセス ポイント グループに移動されることはありません。グループ内のアクセス ポイントを表示するには、show wlan apgroups コマンドを入力します。アクセス ポイントを別のグループに移動させるには、config ap group-name group_name Cisco_AP コマンドを入力します。


ステップ 2 アクセス ポイント グループに説明を追加するには、次のコマンドを入力します。

config wlan apgroup description group_name description

ステップ 3 アクセス ポイント グループに WLAN を割り当てるには、次のコマンドを入力します。

config wlan apgroup interface-mapping add group_name wlan_id interface_name


) アクセス ポイント グループから WLAN を削除するには、config wlan apgroup interface-mapping delete group_name wlan_id コマンドを入力します。


ステップ 4 このアクセス ポイント グループに対して、NAC アウトオブバンドのサポートを有効または無効にするには、次のコマンドを入力します。

config wlan apgroup nac { enable | disable } group_name wlan_id

ステップ 5 アクセス ポイントをアクセス ポイント グループに割り当てるには、次のコマンドを入力します。

config ap group-name group_name Cisco_AP


) アクセス ポイント グループからアクセス ポイントを削除するには、このコマンドを再度入力して、そのアクセス ポイントを別のグループに割り当てます。


ステップ 6 次のコマンドを入力して、変更を保存します。

save config


 

アクセス ポイント グループの表示(CLI)

アクセス ポイント グループについて情報を表示する、またはトラブルシューティングするには、次のコマンドを使用します。

コントローラのすべてのアクセス ポイント グループのリストを表示するには、次のコマンドを入力します。

show wlan apgroups

以下に類似した情報が表示されます。

Site Name........................................ AP2
Site Description................................. Access Point 2
 
WLAN ID Interface Network Admission Control
------- ----------- --------------------------
1 management Disabled
2 management Disabled
3 management Disabled
4 management Disabled
9 management Disabled
10 management Disabled
11 management Disabled
12 management Disabled
13 management Disabled
14 management Disabled
15 management Disabled
16 management Disabled
18 management Disabled
 
AP Name Slots AP Model Ethernet MAC Location Port Country Priority GroupName
------- ---- -------------- ----------------- ------- ---- ------- -------- ---------
AP1242 2 AP1242AG-A-K9 00:14:1c:ed:23:9a default 1 US 1 AP2
...

アクセス ポイント グループに割り当てられている各 WLAN の BSSID を表示するには、次のコマンドを入力します。

show ap wlan { 802.11a | 802.11b } Cisco_AP

以下に類似した情報が表示されます。

Site Name........................................ AP3
Site Description................................. Access Point 3
 
WLAN ID Interface BSSID
------- ------------ -------------------
10 management 00:14:1b:58:14:df

アクセス ポイント グループに対して有効になっている WLAN の数を表示するには、次のコマンドを入力します。

show ap config { 802.11a | 802.11b } Cisco_AP

以下に類似した情報が表示されます。

Cisco AP Identifier.............................. 166
Cisco AP Name................................. AP2
...
Station Configuration
Configuration ............................. AUTOMATIC
Number Of WLANs ........................... 2
...

アクセス ポイント グループのデバッグを有効または無効にするには、次のコマンドを入力します。

debug group { enable | disable }

RF プロファイルの設定

この項では、次のトピックを扱います。

「RF プロファイルについて」

「ガイドラインと制限事項」

「RF プロファイルの設定」

RF プロファイルについて

RF プロファイルを使用すると、共通のカバレッジ ゾーンを共有する AP グループを調整し、そのカバレッジ ゾーン内の AP に対する RRM の動作を選択的に変更できます。

たとえば、ユーザ数の多い地域の大学では、高密度の AP を展開する場合があります。この場合は、共通チャネル干渉を管理しながら、セル密度に対処するために、データ レートと電力の両方を操作する必要があります。隣接エリアでは、通常のカバレッジが提供されますが、そのような操作によってカバレッジが失われます。

RF プロファイルと AP グループを使用すると、異なる環境やカバレッジ ゾーンで動作する AP グループに対する RF 設定を最適化できます。RF プロファイルは、802.11b/g/n 無線または 802.11a/n 無線に対して作成されます。RF プロファイルは、AP グループに属するすべての AP に適用され、そのグループ内のすべての AP に同じプロファイルが設定されます。

RF プロファイルを使用して、データ レートおよび電力(TPC)値を制御できます。


) RF プロファイルの適用によって、RRM 内の AP のステータスが変わることはありません。ステータスは、RRM によって制御されるグローバル コンフィギュレーション モードのままです。



) AP 電力にカスタム電力設定が適用されている AP は、グローバル コンフィグレーション モードではなく、この AP に対しては RF プロファイルの効果はありません。RF プロファイリングを作用させるには、すべての AP のチャネルと電力が RRM によって管理されている必要があります。


ガイドラインと制限事項

いったん AP グループを作成して RF プロファイルを適用するか、既存の AP グループを変更すると、新しい設定が有効になり、次のルールが適用されます。

AP グループのすべてのコントローラに、同一の RF プロファイルが適用され、存在する必要があります。そうしないと、コントローラに対するアクションが失敗します。

RF プロファイルを AP グループに割り当てた後は、その RF プロファイルを変更することはできません。RF プロファイルを変更してから、AP グループに再び追加するには、AP グループの RF プロファイルの設定を [none] に変更する必要があります。また、802.11a と 802.11b のいずれの場合も、変更した場合に影響を受けるネットワークを無効にすることによって、この制限を回避できます。

同一の RF プロファイルを複数の AP グループに割り当てることができます。

AP グループ内で、いずれかの帯域での RF プロファイルの割り当てを変更すると、AP がリブートします。

AP グループに適用されている RF プロファイルは削除できません。

AP が割り当てられている AP グループは削除できません。

RF プロファイルの設定

この項では、次のトピックを扱います。

「RF プロファイルの作成(GUI)」

「AP グループへの RF プロファイルの適用(GUI)」

RF プロファイルの作成(GUI)


ステップ 1 [Wireless] > [RF Profiles] の順に選択して [RF Profiles] ページを開きます。

図 7-25 RF プロファイルの作成

 

ステップ 2 [New] をクリックして、新たに RF プロファイルを作成します。

ステップ 3 [RF Profile Name] を入力し、無線帯域を選択します。

図 7-26 [RF Profile Name > New]

ステップ 4 [Apply] をクリックして、電力およびデータ レート パラメータのカスタマイズを設定します。

図 7-27 [RF Profile > Edit] ページ

 

ステップ 5 [Description] テキスト ボックスに RF プロファイルの説明を入力します。

ステップ 6 [Maximum Power Level Assignment] および [Minimum Power Level Assignment] を設定します。これは、この RF プロファイル内の AP が使用できる最大電力と最小電力です。範囲は、-10 ~ 30 dBm です。

ステップ 7 TPC のバージョン 1 またはバージョン 2 に対するカスタム TPC 電力しきい値を設定します。範囲は、-80 ~ -50 dBm です。


) コントローラ上の RRM には、いずれか 1 つの TPC バージョンのみ使用できます。バージョン 1 とバージョン 2 には、同一の RF プロファイル内における相互運用性はありません。TPCv2 に対してしきい値を選択した場合に、その値が RF プロファイルに選択した TPC アルゴリズムにないと、その値は無視されます。


ステップ 8 この RF プロファイルの AP に適用するデータ レートを設定します。

ステップ 9 [Apply] をクリックして、変更を確定します。

ステップ 10 [Save Configuration] をクリックして、変更を保存します。


 

AP グループへの RF プロファイルの適用(GUI)


ステップ 1 [WLAN] > [Advanced] > [AP Groups] の順に選択して、[AP Groups] ページを開きます。

図 7-28 [AP Groups] ページ

ステップ 2 [AP Group Name] をクリックして、設定ダイアログ ボックスを開きます。

ステップ 3 [RF Profile] タブをクリックし、RF プロファイルの詳細を設定します。各帯域(802.11a/802.11b)の RF プロファイルを選択することも、このグループに適用する 1 つ のプロファイルまたは [none] を選択することもできます。


) AP を選択して新しいグループに追加するまで、設定は適用されません。新しい設定はそのまま保存できますが、プロファイルは適用されません。AP グループ内の AP を選択した後で、それらの AP を新しいグループに移動すると AP がリブートし、RF プロファイルの設定がその AP グループの AP に適用されます。


図 7-29 AP グループの適用ページ

ステップ 4 [APs] タブをクリックし、AP グループに追加する AP を選択します。

ステップ 5 [Add APs] をクリックし、選択した AP を AP グループに追加します。AP グループがリブートし、AP がコントローラに再 join することを示す、警告メッセージが表示されます。

図 7-30 [AP Groups > Edit] ページ


) AP は、一度に 2 つの AP グループに属することはできません。


ステップ 6 [OK] をクリックします。AP が、AP グループに追加されます。


 

802.1X 認証を使用した Web リダイレクトの設定

ここでは、次の項目について説明します。

「802.1X 認証を使用した Web リダイレクトについて」

「Web リダイレクトの設定」

802.1X 認証を使用した Web リダイレクトについて

802.1X 認証が正常に完了した後に、ユーザを特定の Web ページにリダイレクトするように WLAN を設定できます。Web リダイレクトを設定して、ユーザにネットワークへの部分的または全面的なアクセス権を与えることができます。

条件付き Web リダイレクト

条件付き Web リダイレクトを有効にすると、802.1X 認証が正常に完了した後に、ユーザは条件付きで特定の Web ページにリダイレクトされます。RADIUS サーバ上で、リダイレクト先のページとリダイレクトが発生する条件を指定できます。条件には、ユーザのパスワードの有効期限が近づいている場合、または使用を継続するためにユーザが料金を支払う必要がある場合などがあります。

RADIUS サーバが Cisco AV ペア「url-redirect」を返す場合、ユーザがブラウザを開くと指定された URL へリダイレクトされます。さらにサーバから Cisco AV ペア「url-redirect-acl」も返された場合は、指定されたアクセス コントロール リスト(ACL)が、そのクライアントの事前認証 ACL としてインストールされます。クライアントはこの時点で完全に認証されていないと見なされ、事前認証 ACL によって許可されるトラフィックのみを送信できます。

指定された URL(たとえば、パスワードの変更、請求書の支払い)でクライアントが特定の操作を完了すると、クライアントの再認証が必要になります。RADIUS サーバが「url-redirect」を返さない場合、クライアントは完全に認証されたと見なされ、トラフィックの送信が許可されます。


条件付き Web リダイレクト機能は、802.1X または WPA+WPA2 レイヤ 2 セキュリティに対して設定されている WLAN でのみ利用できます。


RADIUS サーバを設定した後は、コントローラ GUI または CLI のいずれかを使用して、コントローラ上で条件付き Web リダイレクトを設定できます。

スプラッシュ ページ Web リダイレクト

スプラッシュ ページ Web リダイレクトを有効にすると、802.1X 認証が正常に完了した後に、ユーザは特定の Web ページにリダイレクトされます。ユーザは、リダイレクト後、ネットワークに完全にアクセスできます。RADIUS サーバでリダイレクト ページを指定できます。RADIUS サーバが Cisco AV ペア「url-redirect」を返す場合、ユーザがブラウザを開くと指定された URL へリダイレクトされます。クライアントは、この段階で完全に認証され、RADIUS サーバが「url-redirect」を返さなくても、トラフィックを渡すことができます。


) スプラッシュ ページ Web リダイレクト機能は、802.1x キー管理を使用する 802.1X または WPA+WPA2 レイヤ 2 セキュリティに対して設定されている WLAN でのみ利用できます。事前共有キー管理は、レイヤ 2 セキュリティ方式ではサポートされません。


RADIUS サーバを設定した後は、コントローラ GUI または CLI のいずれかを使用して、コントローラ上でスプラッシュ ページ Web リダイレクトを設定できます。

RADIUS サーバの設定(GUI)


) この手順は、CiscoSecure ACS に特有ですが、他の RADIUS サーバに対する手順と同様になります。



ステップ 1 CiscoSecure ACS メイン メニューから、[Group Setup] を選択します。

ステップ 2 [Edit Settings] をクリックします。

ステップ 3 [Jump To] ドロップダウン リストから [RADIUS (Cisco IOS/PIX 6.0)] を選択します。

図 7-31 [ACS Server] ダイアログボックス

 

ステップ 4 [[009\001] cisco-av-pair] チェックボックスをオンにします。

ステップ 5 [[009\001] cisco-av-pair] 編集ボックスに次の Cisco AV ペアを入力して、ユーザをリダイレクトする URL を指定するか、条件付 Web リダイレクトを設定する場合は、ダイレクトが発生する条件をそれぞれ指定します。

url-redirect=http:// url

url-redirect-acl= acl_name


 

Web リダイレクトの設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 必要な WLAN の ID 番号をクリックします。[WLANs > Edit] ページが表示されます。

ステップ 3 [Security] タブおよび [Layer 2] タブを選択して、[WLANs > Edit]([Security] > [Layer 2])ページを開きます。

ステップ 4 [Layer 2 Security] ドロップダウン リストから、[802.1X] または [WPA+WPA2] を選択します。

ステップ 5 802.1X または WPA+WPA2 に対して任意の追加パラメータを設定します。

ステップ 6 [Layer 3] タブを選択して、[WLANs > Edit]([Security] > [Layer 3])ページを開きます。

図 7-32 [WLANs > Edit]([Security] > [Layer 3])ページ

 

ステップ 7 [Layer 3 Security] ドロップダウン リストから、[None] を選択します。

ステップ 8 [Web Policy] チェックボックスをオンにします。

ステップ 9 条件付き Web リダイレクトまたはスプラッシュ ページ Web リダイレクトを有効化するオプションとして、[Conditional Web Redirect] または [Splash Page Web Redirect] のいずれかを選択します。デフォルトでは、両方のパラメータが無効になっています。

ステップ 10 ユーザをコントローラ外部のサイトにリダイレクトする場合、[Preauthentication ACL] ドロップダウン リストから RADIUS サーバ上で設定された ACL を選択します。

ステップ 11 [Apply] をクリックして、変更を確定します。

ステップ 12 [Save Configuration] をクリックして、変更を保存します。


 

Web リダイレクトの設定(CLI)


ステップ 1 条件付き Web リダイレクトを有効または無効にするには、次のコマンドを入力します。

config wlan security cond-web-redir { enable | disable } wlan_id

ステップ 2 スプラッシュ ページ Web リダイレクトを有効または無効にするには、次のコマンドを入力します。

config wlan security splash-page-web-redir { enable | disable } wlan_id

ステップ 3 次のコマンドを入力して、設定を保存します。

save config

特定の WLAN の Web リダイレクト機能のステータスを表示するには、次のコマンドを入力します。

show wlan wlan_id

以下に類似した情報が表示されます。

WLAN Identifier.................................. 1
Profile Name..................................... test
Network Name (SSID).............................. test
...
Web Based Authentication......................... Disabled
Web-Passthrough.................................. Disabled
Conditional Web Redirect......................... Disabled
Splash-Page Web Redirect......................... Enabled
...


 

WLAN ごとのアカウンティング サーバの無効化(GUI)


) アカウンティング サーバを無効にすると、すべてのアカウンティング動作が無効となり、コントローラが WLAN に対するデフォルトの RADIUS サーバにフォールバックしなくなります。



ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 変更する WLAN の ID 番号をクリックします。[WLANs > Edit] ページが表示されます。

ステップ 3 [Security] タブおよび [AAA Servers] タブを選択して、[WLANs > Edit]([Security] > [AAA Servers])ページを開きます。

図 7-33 [WLANs > Edit]([Security] > [AAA Servers])ページ

 

ステップ 4 [Accounting Servers] の [Enabled] チェックボックスをオフにします。

ステップ 5 [Apply] をクリックして、変更を確定します。

ステップ 6 [Save Configuration] をクリックして、変更を保存します。


 

WLAN ごとのカバレッジ ホールの検出の無効化


) カバレッジ ホールの検出は、コントローラでグローバルに有効になっています。詳細については、を参照してください。



) ソフトウェア リリース 5.2 以降では、WLAN ごとに カバレッジ ホールの検出を無効にできます。WLAN でカバレッジ ホールの検出を無効にした場合、カバレッジ ホールの警告はコントローラに送信されますが、カバレッジ ホールを解消するためのそれ以外の処理は行われません。この機能については、ゲストのネットワーク接続時間は短く、モビリティが高いと考えられるようなゲスト WLAN に有用です。


WLAN 上のカバレッジ ホールの検出の無効化(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2 変更する WLAN のプロファイル名をクリックします。[WLANs > Edit] ページが表示されます。

ステップ 3 [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを表示します。

図 7-34 [WLANs > Edit]([Advanced])ページ

 

ステップ 4 [Coverage Hole Detection Enabled] チェックボックスをオフにします。


) OEAP 600 シリーズ アクセス ポイントでは、カバレッジ ホールの検出はサポートされません。


ステップ 5 [Apply] をクリックして、変更を確定します。

ステップ 6 [Save Configuration] をクリックして、変更を保存します。


 

WLAN 上のカバレッジ ホールの検出の無効化(CLI)


ステップ 1 カバレッジ ホールの検出を無効にするには、次のコマンドを入力します。

config wlan chd wlan_id disable


) OEAP 600 シリーズ アクセス ポイントでは、カバレッジ ホールの検出はサポートされません。


ステップ 2 次のコマンドを入力して、設定を保存します。

save config

ステップ 3 特定の WLAN のカバレッジ ホールの検出ステータスを表示するには、次のコマンドを入力します。

show wlan wlan_id

以下に類似した情報が表示されます。

WLAN Identifier.................................. 2
Profile Name..................................... wlan2
Network Name (SSID).............................. 2
. . .
CHD per WLAN.................................. Disabled


 

NAC アウトオブバンド統合の設定

この項では、次のトピックを扱います。

「NAC アウトオブバンド統合について」

「ガイドラインと制限事項」

「NAC アウトオブバンド統合の設定」

NAC アウトオブバンド統合について

Cisco NAC アプライアンス(Cisco Clean Access(CCA)とも呼ばれます)は、ネットワーク管理者がユーザにネットワークへの接続を許可する前に、有線および無線経由のユーザ、リモートのユーザおよびそのマシンを認証、承認、評価、感染修復する Network Admission Control(NAC)製品です。Cisco NAC アプライアンスは、マシンがセキュリティ ポリシーに準拠しているかどうかを判別し、脆弱性を修復してから、ネットワークへのアクセスを許可します。NAC アプライアンスは、インバンド モードとアウトオブバンド モードの 2 つのモードで利用できます。お客様は、必要ならば両方のモードを導入して、それぞれが特定のタイプのアクセスを担当するようにすることもできます。たとえば、インバンドで無線接続ユーザをサポートし、アウトオブバンドで有線接続ユーザを担当するといった構成も可能です。

コントローラ上に NAC アウトオブバンド機能を実装するには、WLAN またはゲスト LAN 上で NAC のサポートを有効にしてから、この WLAN またはゲスト LAN を、検疫 VLAN(信頼できない VLAN)およびアクセス VLAN(信頼できる VLAN)で設定されたインターフェイスにマッピングする必要があります。クライアントは、アソシエートしてレイヤ 2 認証を完了すると、アクセス VLAN サブネットから IP アドレスを取得しますが、クライアントの状態は Quarantine となります。NAC アウトオブバンド機能の導入中は、コントローラが接続されたレイヤ 2 スイッチと NAC アプライアンスとの間でのみ検疫 VLAN が許可されること、および NAC アプライアンスが一意の検疫 - アクセス VLAN マッピングで設定されていることを確認します。クライアントのトラフィックは、NAC アプライアンスにトランクされた検疫 VLAN に渡されます。ポスチャ検証が終了すると、クライアントは修復のための処置を実行するように促されます。クリーニングが完了すると、NAC アプライアンスはコントローラを更新してクライアントの状態を Quarantine から Access へ変更します。

図 7-35 NAC アウトオブバンド統合

 

コントローラとスイッチとの間のリンクをトランクとして設定することにより、検疫 VLAN(110)とアクセス VLAN(10)を有効にしています。レイヤ 2 スイッチ上では、検疫トラフィックが NAC アプライアンスにトランクされ、アクセス VLAN トラフィックがレイヤ 3 スイッチに直接送信されます。NAC アプライアンス上の検疫 VLAN に到達するトラフィックは、静的なマッピング設定に基づいてアクセス VLAN にマップされます。

ガイドラインと制限事項

コントローラの 5.1 以前のソフトウェア リリースでは、コントローラはインバンド モードでのみ NAC アプライアンスと統合します。この場合、NAC アプライアンスはデータ パス内になければなりません。インバンド モードでは、各認証場所で(たとえば、各ブランチで、またはコントローラごとに)、NAC アプライアンスが必要であり、すべてのトラフィックが NAC 適用ポイントを通過する必要があります。コントローラのソフトウェア リリース 5.1 以降では、コントローラはアウトオブバンド モードで NAC アプライアンスと統合できます。この場合、NAC アプライアンスは、クライアントが解析およびクリーニングされるまでデータ パスに保持されます。アウトオブバンド モードでは NAC アプライアンスのトラフィック負荷が削減されるので、NAC 処理の集中化が可能になります。

NAC アプライアンスは最大 3,500 のユーザをサポートし、コントローラは最大 5,000 のユーザをサポートします。複数の NAC アプライアンスの導入を必要とする場合があります。

NAC アウトオブバンド統合には、CCA のソフトウェア リリース 4.5 以降が必要です。

NAC アプライアンスでは静的な VLAN マッピングがサポートされているため、コントローラ上で設定されているインターフェイスごとに一意の検疫 VLAN を設定する必要があります。たとえば、コントローラ 1 で 110 という検疫 VLAN を設定し、コントローラ 2 で 120 という検疫 VLAN を設定します。ただし、2 つの WLAN またはゲスト LAN は、同じ分散システム インターフェイスを使用している場合、ネットワーク内に導入された NAC アプライアンスが 1 つならば、同じ検疫 VLAN を使用する必要があります。NAC アプライアンスは、一意の検疫 - アクセス VLAN マッピングをサポートします。

セッションの失効に基づくポスチャ再評価の場合、NAC アプライアンスと WLAN の両方にセッション タイムアウトを設定し、WLAN でのセッションの失効が NAC アプライアンスでの失効より大きいことを確認します。

オープン WLAN でセッション タイムアウトが設定されると、Quarantine 状態にあるクライアントのタイムアウトは NAC アプライアンスのタイマーによって判定されます。Web 認証を使用する WLAN においてセッションがタイムアウトすると、クライアントはコントローラから認証解除されるので、ポスチャ検証を再度実行する必要があります。

NAC アウトオブバンド統合がサポートされるのは、WLAN が FlexConnect の中央スイッチングを行うように設定されている場合だけです。FlexConnect のローカル スイッチングを行うように設定されている WLAN での使用はサポートされていません。


) FlexConnect の詳細については、を参照してください。


アクセス ポイント グループ VLAN 上で NAC を有効にする場合は、WLAN で NAC をまず有効にする必要があります。アクセス ポイント グループ VLAN では、NAC を有効または無効にすることができます。WLAN で NAC を無効にすることに決めた場合は、アクセス ポイント グループ VLAN でも NAC を必ず無効にします。

NAC アウトオブバンド統合は、WLAN AAA Override 機能では使用できません。

レイヤ 2 およびレイヤ 3 認証はすべて、検疫 VLAN で実行されます。外部 Web 認証を使用するには、外部 Web サーバからの HTTP トラフィックおよび外部 Web サーバへの HTTP トラフィックを許可するとともに、検疫 VLAN でのリダイレクト URL を許可するように NAC アプライアンスを設定する必要があります。


) 設定手順については、Cisco NAC アプライアンス設定ガイドを参照してください。http://www.cisco.com/en/US/products/ps6128/products_installation_and_configuration_guides_list.html


NAC アウトオブバンド統合の設定

この項では、次のトピックを扱います。

「NAC アウトオブバンド統合の設定(GUI)」

「NAC アウトオブバンド統合の設定(CLI)」

NAC アウトオブバンド統合の設定(GUI)


ステップ 1 次の手順で、動的インターフェイスに対して検疫 VLAN を設定します。

a. [Controller] > [Interfaces] の順に選択して、[Interfaces] ページを開きます。

b. [New] をクリックして、新たに動的インターフェイスを作成します。

c. [Interface Name] テキスト ボックスに、「quarantine」など、このインターフェイスの名前を入力します。

d. [VLAN ID] テキスト ボックスでは、アクセス VLAN ID にゼロ以外の値(「10」など)を入力してください。

e. [Apply] をクリックして、変更を確定します。[Interfaces > Edit] ページが表示されます。

図 7-36 [Interfaces > Edit] ページ

 

f. [Quarantine] チェックボックスをオンにして、検疫 VLAN ID に「110」などのゼロ以外の値を入力します。


) ネットワーク全体で一意の検疫 VLAN を設定することをお勧めします。同じモビリティ グループ内に複数のコントローラが設定されており、すべてのコントローラのアクセス インターフェイスが同じサブネット内にある場合、ネットワークに NAC アプリケーションが 1 つだけならば、同じ検疫 VLAN を保持する必要があります。同じモビリティ グループ内に複数のコントローラが設定されており、すべてのコントローラのアクセス インターフェイスが別々のサブネット内にある場合、ネットワークに NAC アプリケーションが 1 つだけならば、別々の検疫 VLAN を保持する必要があります。


g. このインターフェイスの残りのテキスト ボックス(IP アドレス、ネットマスク、デフォルト ゲートウェイなど)を設定します。

h. [Apply] をクリックして変更内容を保存します。

ステップ 2 次の手順で、WLAN またはゲスト LAN に対して NAC アウトオブバンドのサポートを設定します。

a. [WLANs] を選択して、[WLANs] ページを開きます。

b. 必要な WLAN またはゲスト LAN の ID 番号をクリックします。[WLANs > Edit] ページが表示されます。

c. [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。

図 7-37 [WLANs > Edit]([Advanced])ページ

 

d. この WLAN またはゲスト LAN に対して NAC アウトオブバンドのサポートを設定するには、[NAC State] チェックボックスをオンにします。NAC アウトオブバンドのサポートを無効にするには、チェックボックスをオフ(デフォルト値)のままとします。

e. [Apply] をクリックして、変更を確定します。

ステップ 3 次の手順で、特定のアクセス ポイント グループに対して NAC アウトオブバンドのサポートを設定します。

a. [WLANs] > [Advanced] > [AP Groups] の順に選択して、[AP Groups] ページを開きます。

図 7-38 [AP Groups] ページ

 

b. 目的のアクセス ポイント グループの名前をクリックします。

c. [WLANs] タブを選択して、[AP Groups > Edit]([WLANs])ページを開きます。

d. [Add New] をクリックして、このアクセス ポイント グループに WLAN を割り当てます。[Add New] のセクションがページ上部に表示されます。

図 7-39 [AP Groups > Edit]([WLAN])ページ

 

e. [WLAN SSID] ドロップダウン リストから、この WLAN の SSID を選択します。

f. [Interface Name] ドロップダウン リストから、アクセス ポイント グループをマップするインターフェイスを選択します。NAC アウトオブバンドのサポートを有効にする場合は、検疫 VLAN を選択します。

g. このアクセス ポイント グループに対して NAC アウトオブバンドのサポートを有効にするには、[NAC State] チェックボックスをオンにします。NAC アウトオブバンドのサポートを無効にするには、チェックボックスをオフ(デフォルト値)のままとします。

h. [Add] をクリックして、この WLAN をアクセス ポイント グループに追加します。この WLAN が、このアクセス ポイント グループに割り当てられている WLAN のリストに表示されます。


) この WLAN をアクセス ポイント グループから削除する場合は、カーソルをこの WLAN の青のドロップダウン矢印の上に置いて、[Remove] を選択します。


ステップ 4 [Save Configuration] をクリックして、変更を保存します。

ステップ 5 次の手順で、クライアントの現在の状態(Quarantine または Access)を表示します。

a. [Monitor] > [Clients] の順に選択して、[Clients] ページを開きます。

b. 目的のクライアントの MAC アドレスをクリックして、[Clients > Detail] ページを開きます。NAC 状態が、[Security Information] のセクションに表示されます。


) クライアントがプロービングを行っている場合、クライアントが WLAN にまだアソシエートされていない場合、またはクライアントがレイヤ 2 認証を完了できない場合、クライアントの状態は「Invalid」として表示されます。



 

NAC アウトオブバンド統合の設定(CLI)


ステップ 1 動的インターフェイスに対して検疫 VLAN を設定するには、次のコマンドを入力します。

config interface quarantine vlan interface_name vlan_id


) コントローラ上のインターフェイスごとに一意の検疫 VLAN を設定する必要があります。



) インターフェイスで検疫 VLAN を無効にするには、VLAN ID に 0 を入力します。


ステップ 2 WLAN またはゲスト LAN に対して NAC アウトオブバンド サポートを有効または無効にするには、次のコマンドを入力します。

config { wlan | guest-lan } nac { enable | disable } { wlan_id | guest_lan_id }

ステップ 3 特定のアクセス ポイント グループに対して NAC アウトオブバンド サポートを有効または無効にするには、次のコマンドを入力します。

config wlan apgroup nac { enable | disable } group_name wlan_id

ステップ 4 次のコマンドを入力して、変更を保存します。

save config

ステップ 5 NAC 状態など、WLAN またはゲスト LAN の構成を表示するには、次のコマンドを入力します。

show { wlan wlan_ id | guest-lan guest_lan_id }

以下に類似した情報が表示されます。

WLAN Identifier.................................. 1
Profile Name..................................... wlan
Network Name (SSID).............................. wlan
Status........................................... Disabled
MAC Filtering.................................... Disabled
Broadcast SSID................................... Enabled
AAA Policy Override.............................. Disabled
Network Admission Control
 
NAC-State...................................... Enabled
Quarantine VLAN............................. 110
...

ステップ 6 クライアントの現在の状態(Quarantine または Access)を表示するには、次のコマンドを入力します。

show client detailed client_mac

以下に類似した情報が表示されます。

Client’s NAC state.................................. QUARANTINE

) クライアントがプロービングを行っている場合、クライアントが WLAN にまだアソシエートされていない場合、またはクライアントがレイヤ 2 認証を完了できない場合、クライアントの状態は「Invalid」として表示されます。


パッシブ クライアントの設定

この項では、次のトピックを扱います。

「パッシブ クライアントについて」

「ガイドラインと制限事項」

「パッシブ クライアントの設定」

パッシブ クライアントについて

パッシブ クライアントとは、固定 IP アドレスが設定されている、スケールやプリンタなどのワイヤレス デバイスです。これらのクライアントは、アクセス ポイントにアソシエートするとき、IP アドレス、サブネット マスク、およびゲートウェイ情報などの IP 情報を送信しません。その結果、パッシブ クライアントが使用された場合、それらのクライアントが DHCP を使用しない限り、コントローラではその IP アドレスは認識されません。

ワイヤレス LAN コントローラは現在、ARP 要求用のプロキシとして機能します。ARP 要求を受信すると、コントローラは、クライアントに直接要求を渡す代わりに、ARP 応答で応答します。このシナリオには、次の 2 つの利点があります。

クライアントに ARP 要求を送信するアップストリーム デバイスは、クライアントが配置されている場所を認識しません。

携帯電話やプリンタなどのバッテリ駆動デバイスでは、すべての ARP 要求に応答する必要がないため、電力が保持されます。

ワイヤレス コントローラには、パッシブ クライアントに関する IP 関連の情報がないため、ARP 要求に応答できません。現在の動作では、パッシブ クライアントに ARP 要求を送信できません。パッシブ クライアントへのアクセスを試みるアプリケーションは、失敗します。

パッシブ クライアント機能は、有線クライアントとワイヤレス クライアント間の ARP 要求および応答の交換を可能にします。この機能が有効である場合、コントローラは、目的のワイヤレス クライアントが RUN 状態になるまで、有線クライアントからワイヤレス クライアントへ ARP 要求を渡すことができます。

ガイドラインと制限事項

パッシブ クライアント機能は、Cisco 5500 シリーズ コントローラ、2500 シリーズ コントローラ、Cisco Flex 7500、および WiSM2 でサポートされています。

パッシブ クライアント機能は、AP グループおよび FlexConnect によって中央でスイッチされる WLAN ではサポートされません。

パッシブ クライアント機能は、マルチキャスト-マルチキャスト モードおよびマルチキャスト-ユニキャスト モードで動作します。コントローラは、管理 IP アドレスを使用して、マルチキャスト パケットを送信します。

パッシブ クライアントは、マルチキャスト-マルチキャストまたはマルチキャスト-ユニキャスト モードで設定できます。

パッシブ クライアントの設定

この項では、次のトピックを扱います。

「コントローラでのパッシブ クライアント機能の有効化(GUI)」

「パッシブ クライアントの設定(CLI)」

マルチキャスト-マルチキャスト モードの有効化(GUI)


ステップ 1 [Controller] > [General] の順に選択して、[General] ページを開きます。

図 7-40 [Controller] > [General] ページ

 

ステップ 2 [AP Multicast Mode] ドロップダウン リストで、次のいずれかのオプションを選択します。

[Unicast]:ユニキャストを使用してマルチキャスト パケットを送信するようにコントローラを設定します。これはデフォルト値です。

[Multicast]:マルチキャストを使用してマルチキャスト パケットを CAPWAP マルチキャスト グループに送信するようにコントローラを設定します。

ステップ 3 [AP Multicast Mode] ドロップダウン リストから [Multicast] を選択します。[Multicast Group Address] テキスト ボックスが表示されます。

ステップ 4 [Multicast Group Address] テキスト ボックスに、マルチキャスト グループの IP アドレスを入力します。

ステップ 5 [Apply] をクリックして、変更を確定します。

ステップ 6 [Multicast] をクリックして、グローバル マルチキャスト モードを有効にします。


 

コントロールでのグローバル マルチキャスト モードの有効化(GUI)


ステップ 1 [Controller] > [Multicast] の順に選択して [Multicast] ページを開きます。

図 7-41 [Multicast] ページ


) [Enable IGMP Snooping] テキスト ボックスは、[Enable Global Multicast Mode] を有効にしている場合のみ、強調表示されます。[IGMP Timeout (seconds)] テキスト ボックスは、[Enable IGMP Snooping] テキスト ボックスを有効にしている場合のみ、強調表示されます。


ステップ 2 [Enable Global Multicast Mode] チェックボックスをオンにして、マルチキャスト モードを有効にします。この手順では、マルチキャスト方法を使用してマルチキャスト パケットを CAPWAP マルチキャスト グループに送信するようにコントローラを設定します。

ステップ 3 [Enable IGMP Snooping] チェックボックスをオンにして、IGMP スヌーピングを有効にします。デフォルト値では無効になっています。

ステップ 4 IGMP タイムアウトを設定するための [IGMP Timeout] テキスト ボックスに、30 ~ 7200 秒の値を入力します。

ステップ 5 [Apply] をクリックして、変更を確定します。


 

コントローラでのパッシブ クライアント機能の有効化(GUI)


ステップ 1 [WLAN] > [WLANs] > [WLAN ID] を選択し、[WLANs > Edit] ページを開きます。デフォルトでは、[General] タブが表示されます。

ステップ 2 [Advanced] タブを選択します。

ステップ 3 [Passive Client] チェックボックスをオンにして、パッシブ クライアント機能を有効にします。

図 7-42 [WLAN > Edit] > [Advanced] タブ ページ

ステップ 4 [Apply] をクリックして、変更を確定します。


 

パッシブ クライアントの設定(CLI)


ステップ 1 コントローラ上でマルチキャストを有効にするには、次のコマンドを入力します。

config network multicast global enable

デフォルト値では無効になっています。

ステップ 2 マルチキャストを使用して、アクセス ポイントにマルチキャストを送信するようにコントローラを設定するには、次のコマンドを入力します。

config network multicast mode multicast multicast_group_IP_address

ステップ 3 無線 LAN でパッシブ クライアントを設定するには、次のコマンドを入力します。

config wlan passive-client { enable | disable } wlan_id

ステップ 4 WLAN を設定するには、次のコマンドを入力します。

config wlan

ステップ 5 次のコマンドを入力して、変更を保存します。

save config

ステップ 6 特定の WLAN のパッシブ クライアント情報を表示するには、次のコマンドを入力します。

show wlan 2

以下に類似した情報が表示されます。

WLAN Identifier.................................. 2
Profile Name..................................... passive
Network Name (SSID).............................. passive
Status........................................... Enabled
MAC Filtering.................................... Disabled
Broadcast SSID................................... Enabled
AAA Policy Override.............................. Disabled
Network Admission Control
NAC-State.............................Disabled
Quarantine VLAN.......................0
Number of Active Clients................1
Exclusionlist Timeout...................60 seconds
Session Timeout.........................1800 seconds
CHD per WLAN............................Enabled
Webauth DHCP exclusion..................Disabled
Interface...............................management
WLAN ACL................................unconfigured
DHCP Server.............................Default
DHCP Address Assignment Required......Disabled
--More-- or (q)uit
Quality of Service............................... Silver (best effort)
WMM.............................................. Allowed
CCX - AironetIe Support.......................... Enabled
CCX - Gratuitous ProbeResponse (GPR)............. Disabled
CCX - Diagnostics Channel Capability............. Disabled
Dot11-Phone Mode (7920).......................... Disabled
Wired Protocol................................... None
Passive Client Feature........................... Enabled
Peer-to-Peer Blocking Action..................... Disabled
Radio Policy..................................... All
DTIM period for 802.11a radio.................... 1
DTIM period for 802.11b radio.................... 1
Radius Servers
Authentication................................ Global Servers
Accounting.................................... Global Servers
Local EAP Authentication......................... Disabled
Security
802.11 Authentication:........................ Open System
Static WEP Keys............................... Disabled
802.1X........................................ Disabled
Wi-Fi Protected Access (WPA/WPA2)............. Disabled
--More-- or (q)uit
CKIP ......................................... Disabled
Web Based Authentication...................... Disabled
Web-Passthrough............................... Disabled
Conditional Web Redirect...................... Disabled
Splash-Page Web Redirect...................... Disabled
Auto Anchor................................... Disabled
FlexConnect Local Switching........................ Disabled
FlexConnect Learn IP Address....................... Enabled
Infrastructure MFP protection................. Enabled (Global Infrastructure MFP Disabled)
Client MFP.................................... Optional but inactive (WPA2 not configured)
Tkip MIC Countermeasure Hold-down Timer....... 60
Call Snooping.................................... Disabled
Band Select...................................... Enabled
Load Balancing................................... Enabled
 

ステップ 7 パッシブ クライアントが AP に正しくアソシエートされているかどうか、およびパッシブ クライアントがコントローラで DHCP Required 状態に移行したかどうかを確認するには、次のコマンドを入力します。

debug client mac_address

ステップ 8 クライアントの詳細情報を表示するには、次のコマンドを入力します。

show client detail mac_address

以下に類似した情報が表示されます。

Client MAC Address............................... 00:0d:28:f4:c0:45
Client Username ................................. N/A
AP MAC Address................................... 00:14:1b:58:19:00
Client State..................................... Associated
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 1
BSSID............................................ 00:14:1b:58:19:00
Connected For ................................... 8 secs
Channel.......................................... 11
IP Address....................................... Unknown
...........................
 
Security Policy Completed........................ No
Policy Manager State............................. DHCP_REQD
Policy Manager Rule Created...................... Yes
ACL Name......................................... none
ACL Applied Status............................... Unavailable

 

ステップ 9 有線クライアントがクライアントとの接続を試みたときに、クライアントが RUN 状態に移行したかどうかをチェックするには、次のコマンドを入力します。

debug client mac_address

ステップ 10 ARP 要求が有線側からワイヤレス側に転送されるかどうかを設定してチェックするには、次のコマンドを入力します。

debug arp all enable

以下に類似した情報が表示されます。

*dtlArpTask: Apr 15 10:54:26.161: Received dtlArpRequest
sha: 00:19:06:61:b1:c3 spa: 80.4.1.1
tha: 00:00:00:00:00:00 tpa: 80.4.0.50
intf: 1, vlan: 71, node type: 1, mscb: not found, isFromSta: 0^M^M
*dtlArpTask: Apr 15 10:54:26.161: dtlArpFindClient:ARP look-up for 80.4.0.50 failed (not a client).
 
*dtlArpTask: Apr 15 10:54:26.161: Dropping ARP to DS (mscb (nil), port 65535)
sha 0019.0661.b1c3 spa: 80.4.1.1
tha 0000.0000.0000 tpa: 80.4.0.50
*dtlArpTask: Apr 15 10:54:26.161: Arp from Wired side to passive client
 
*dtlArpTask: Apr 15 10:54:27.465: dtlArpBcastRecv: received packet (rxTunType 1, dataLen 122)
 


 

WLAN ごとの RADIUS 送信元サポートの設定

この項では、次のトピックを扱います。

「WLAN ごとの RADIUS 送信元サポートについて」

「ガイドラインと制限事項」

「WLAN ごとの RADIUS 送信元サポートの設定」

WLAN ごとの RADIUS 送信元サポートについて

デフォルトでは、コントローラは、管理インターフェイス上の IP アドレスからすべての RADIUS トラフィックを送信します。つまり、WLAN にグローバル リストではなく、特定の RADIUS サーバが設定されている場合でも、使用される Identity は管理インターフェイスの IP アドレスです。

ユーザ別の WLAN フィルタリングを実行する場合は、APMAC:SSID 形式になるように RFC 3580 によって設定された callStationID を使用できます。また、NAS-IP-Address 属性を使用することで、認証サーバ上のフィルタリングを WLAN ごとの送信元インターフェイス上にまで拡張できます。

WLAN ごとの RADIUS 送信元サポートを有効にすると、コントローラは、設定されている動的インターフェイスを使用して特定の WLAN のすべての RADIUS トラフィックを送信します。また、それに応じて、RADIUS 属性が Identity に一致するように変更されます。この機能は、各 WLAN が別個の L3 Identity を持つ可能性がある場合に、WLAN ごとの RADIUS トラフィックでコントローラを効果的に仮想化します。この機能は、ACS ネットワーク アクセス制限、ネットワーク アクセス プロファイルなどで役立ちます。

この機能を通常の RADIUS トラフィック送信元や、アドレス送信元として管理インターフェイスを使用する一部の WLAN、および WLAN ごとの動的インターフェイスを使用するその他の WLAN に統合することができます。

ガイドラインと制限事項

コントローラは、選択されたインターフェイスからトラフィックを送信するだけなので、新規の Identity に適切なルール フィルタリングを実装するタスクは、認証サーバ(RADIUS)が行います。

callStationID は、802.1x RADIUS RFC に準拠するよう、常に APMAC:SSID 形式になります。これは、レガシー動作でもあります。web-auth では、 config radius callStationIDType コマンドで使用可能なさまざまな形式を使用できます。

AP グループまたは AAA オーバーライドが使用されると、送信元インターフェイスは WLAN インターフェイスのままとなり、新規の AP グループまたは RADIUS プロファイルの設定で指定されたインターフェイスにはなりません。

WLAN ごとの RADIUS 送信元サポートの設定

この項では、次のトピックを扱います。

「WLAN ごとの RADIUS 送信元サポートの設定(CLI)」

「WLAN ごとの RADIUS 送信元サポートのステータスのモニタリング(CLI)」

WLAN ごとの RADIUS 送信元サポートの設定(CLI)


ステップ 1 config wlan disable wlan-id コマンドを入力して、WLAN を無効にします。

ステップ 2 WLAN ごとの RADIUS 送信元サポートを有効または無効にするには、次のコマンドを入力します。

config wlan radius_server overwrite-interface { enable | disable } wlan-id


) 有効にすると、コントローラは、その WLAN 上のすべての RADIUS 関連トラフィックの Identity および送信元として、WLAN の設定に指定されたインターフェイスを Identity として使用します。

無効にすると、コントローラは、NAS-IP-Address 属性の Identity として管理インターフェイスを使用します。RADIUS サーバが直接接続された動的インターフェイスにある場合、RADIUS トラフィックはそのインターフェイスから送信されます。それ以外の場合は、管理 IP アドレスが使用されます。いずれのケースでも、機能が有効でない限り、NAS-IP-Address 属性は管理インターフェイスのままとなります。


ステップ 3 config wlan enable wlan-id コマンドを入力して、WLAN を有効にします。


 


) CiscoSecure ACS を使用して、RADIUS サーバ側で要求をフィルタリングできます。要求は、ネットワーク アクセス制限ルールを介して、NAS-IP-Address 属性によってフィルタリング(受け入れまたは拒否)できます。使用されるフィルタリングは、CLI/DNIS フィルタリングです。


WLAN ごとの RADIUS 送信元サポートのステータスのモニタリング(CLI)

機能が有効または無効かどうかを確認するには、次のコマンドを入力します。

show wlan wlan-id

次の例は、WLAN ごとの RADIUS 送信元サポートが WLAN 1 で有効であることを示しています。

show wlan 1

以下に類似した情報が表示されます。

WLAN Identifier.................................. 4
Profile Name..................................... 4400-wpa2
Network Name (SSID).............................. 4400-wpa2
Status........................................... Enabled
MAC Filtering.................................... Disabled
Broadcast SSID................................... Enabled
AAA Policy Override.............................. Disabled
Network Admission Control
...
Radius Servers
Authentication................................ Global Servers
Accounting.................................... Global Servers
Overwrite Sending Interface................... Enabled
Local EAP Authentication......................... Disabled

リモート LAN の設定

この項では、次のトピックを扱います。

「ガイドラインと制限事項」

「ガイドラインと制限事項」

「リモート LAN の設定」

ガイドラインと制限事項

リモート LAN 機能をサポートしないリリースに移行する前に、コントローラの設定からすべてのリモート LAN を削除する必要があります。以前のリリースでは、リモート LAN が WLAN に変わり、そのことが、ワイヤレス ネットワーク上で不要な WLAN または安全でない WLAN をブロードキャストする原因となっていました。リモート LAN は、リリース 7.0.116.0 以降でのみサポートされています。

OEAP 600 シリーズ アクセス ポイントにリモート LAN ポートを介して接続できるクライアントは、4 つのみです。この接続クライアントの数は、コントローラ WLAN での WLAN の制限数(15)には影響しません。リモート LAN のクライアント制限では、リモート LAN ポートにスイッチまたはハブを接続して複数のデバイスを接続することや、このポートに接続している Cisco IP 電話に直接接続することは可能です。接続できるデバイスは 4 つまでです。これは、この 4 つのデバイスの 1 つのアイドル時間が 1 分を超えるまで適用されます。

リモート LAN は、OEAP 600 シリーズ アクセス ポイントの専用の LAN ポートに適用できます。

リモート LAN の設定

この項では、次のトピックを扱います。

「リモート LAN の設定(GUI)」

「リモート LAN の設定(CLI)」

リモート LAN の設定(GUI)


ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。

このページでは、コントローラ上で現在設定されているすべての WLAN およびリモート LAN が表示されます。各 WLAN について、WLAN/リモート LAN ID、プロファイル名、タイプ、SSID、ステータス、およびセキュリティ ポリシーを表示できます。

WLAN/リモート LAN の合計数がページの右上隅に表示されます。WLAN/リモート LAN のリストが複数ページに渡る場合は、ページ番号のリンクをクリックすることで、目的のページにアクセスできます。


) リモート LAN を削除する場合は、カーソルを目的の WLAN の青いドロップダウン矢印の上に置いて、[Remove] を選択するか、または行の左側のチェックボックスをオンにして、ドロップダウン リストから [Remove Selected] を選択し、[Go] をクリックします。決定を確認するメッセージが表示されます。作業を続行すると、割り当てられているアクセス ポイント グループおよびアクセス ポイント無線からそのリモート LAN が削除されます。


ステップ 2 ドロップダウン リストから、[Create New] を選択し、[Go] をクリックします。[WLANs > New] ページが表示されます。

ステップ 3 [Type] ドロップダウン リストから、[Remote LAN] を選択してリモート LAN を作成します。

ステップ 4 [Profile Name] テキスト ボックスに、このリモート WLAN に割り当てるプロファイル名に対する最大 32 文字の英数字を入力します。プロファイル名は固有である必要があります。

ステップ 5 [WLAN ID] ドロップダウン リストから、この WLAN の ID 番号を選択します。

ステップ 6 [Apply] をクリックして、変更を確定します。[WLANs > Edit] ページが表示されます。


) 編集する WLAN の ID 番号をクリックすることにより、[WLANs] ページから [WLANs > Edit] ページを開くこともできます。


 

ステップ 7 [General] タブ、[Security] タブ、および [Advanced] タブ上でパラメータを使用してこのリモート LAN を設定します。特定の機能を設定する手順については、この章の後の項を参照してください。

ステップ 8 [General] タブの [Status] チェックボックスをオンにして、このリモート LAN を有効にします。リモート LAN に対する設定変更が終了するまで、チェックボックスをオフにしておいてください。


) また、[WLANs] ページから、有効化または無効化する ID の左側のチェックボックスをオンにして、ドロップダウン リストから [Enable Selected] または [Disable Selected] を選択し、[Go] をクリックすることでも、リモート LAN を有効化または無効化できます。


ステップ 9 [Apply] をクリックして、変更を確定します。

ステップ 10 [Save Configuration] をクリックして、変更を保存します。


 

リモート LAN の設定(CLI)

リモート LAN の現在の設定を表示するには、次のコマンドを入力します。

show remote-lan remote-lan-id

リモート LAN を有効または無効にするには、次のコマンドを入力します。

config remote-lan {enable | disable} remote-lan-id

リモート LAN に対して 802.1X 認証を有効または無効にするには、次のコマンドを入力します。

config remote-lan security 802.1X {enable | disable} remote-lan-id


) リモート LAN 上の暗号化は、常に「none」になります。


認証サーバとしてコントローラを使用するローカル EAP を有効または無効にするには、次のコマンドを入力します。

config remote-lan local-auth enable profile-name remote-lan-id

外部の AAA 認証サーバを使用している場合は、次のコマンドを入力します。

config remote-lan radius_server auth {add | delete} remote-lan-id server id

config remote-lan radius_server auth {enable | disable} remote-lan-id