Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド リリース 7.4(統合版)
FlexConnect の AAA Override の設定
FlexConnect の AAA Override の設定
発行日;2013/06/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

FlexConnect の AAA Override の設定

AAA Override について

WLAN の Allow AAA Override オプションを使用すると、WLAN で認証を設定できます。 これにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、QoS、および ACL を適用できます。

FlexConnect アクセス ポイントに対する AAA Override は、ローカルにスイッチされたクライアントへダイナミック VLAN の割り当てを提供します。 FlexConnect に対する AAA Override は、オーバーライドされたクライアントの高速ローミング(OKC/CCKM)もサポートしています。

IPv6 ACL に対する AAA オーバーライド

Cisco Identity Services Engine(ISE)または ACS のように、中央集中型 AAA サーバを介した中央集中型のアクセス制御をサポートするために、AAA Override 属性を使用してクライアントごとに IPv6 ACL を提供できます。 この機能を使用するには、IPv6 ACL をコントローラに設定し、AAA Override 機能を有効にして WLAN を有効にする必要があります。 IPv6 ACL に対する実際の名前付き AAA 属性は Airespace-IPv6-ACL-Name であり、これは、IPv4 ベースの ACL のプロビジョニングに使用される Airespace-ACL-Name と類似しています。 AAA 属性によって返されるコンテンツは、コントローラに設定された IPv6 ACL の名前と同じ文字列にしてください。

注意事項と制約事項

  • FlexConnect に対する VLAN Override は、中央で認証されたクライアントとローカルで認証されたクライアントの両方に適用されます。
  • AAA Override を設定する前に、アクセス ポイントで VLAN が作成されている必要があります。 これらの VLAN は、既存の WLAN-VLAN マッピングを使用してアクセス ポイント上に作成することができます。
  • VLAN は、FlexConnect グループで設定することができます。
  • 常に、AP には最大 16 の VLAN があります。 まず、VLAN は AP の設定(WLAN-VLAN)に従って選択され、残りの VLAN は FlexConnect グループで設定または表示されている順序で FlexConnect グループからプッシュされます。 VLAN スロットがフルの場合、エラー メッセージが記録されます。
  • WLAN-VLAN を使用して AP で VLAN を設定する場合、ACL の AP 設定が適用されます。
  • FlexConnect グループを使用して VLAN を設定する場合、FlexConnect グループで設定された ACL が適用されます。
  • FlexConnect グループと AP で同じ VLAN を設定する場合、ACL を使用した AP 設定が優先されます。
  • WLAN-VLAN マッピングからの新しい VLAN 用のスロットがない場合、設定されている最新の FlexConnect グループ VLAN が置き換えられます。
  • AAA から戻された VLAN が AP 上に存在しない場合、クライアントは WLAN に設定されたデフォルト VLAN にフォールバックされます。
  • ローカルにスイッチされたクライアントに対する AAA は、VLAN Override のみをサポートします。
  • 動的 VLAN 割り当ては、ACS をするコントローラからの Web 認証にはサポートされません。

アクセス ポイント上の FlexConnect に対する AAA Override の設定(GUI)


    ステップ 1   [Wireless] > [All] > [APs] を選択します。

    [All APs] が表示されます。 このページに、コントローラにアソシエータされているアクセス ポイントが一覧表示されます。

    ステップ 2   VLAN Override を設定するアクセス ポイントの [AP name] リンクをクリックします。
    ステップ 3   [FlexConnect] タブをクリックします。
    ステップ 4   ネイティブ VLAN ID を入力します。
    ステップ 5   [VLAN Mappings] ボタンをクリックして、[AP VLANs] マッピングを設定します。 このページには、次のパラメータが表示されます。
    • [AP Name]:アクセス ポイント名。
    • [Base Radio MAC]:AP のベース無線。
    • [WLAN-SSID-VLAN ID Mappings]:コントローラで設定された各 WLAN に対して、対応する SSID および VLAN ID が表示されます。 WLAN に対する VLAN ID の列を編集して、WLAN-VLAN ID マッピングを変更します。
    • [Centrally Switched WLANs]:中央でスイッチされる WLAN が設定されている場合、WLAN–VLAN マッピングが一覧表示されます。
    • [AP Level VLAN ACL Mapping]:各 ACL タイプのドロップダウン リストからマッピングを選択して、入力 ACL マッピングと出力 ACL マッピングを変更します。 次のパラメータを使用できます。
      • [VLAN ID]:VLAN ID。
      • [Ingress ACL]:VLAN に対応する入力 ACL。
      • [Egress ACL]:VLAN に対応する出力 ACL。
    • [Group Level VLAN ACL Mappings]:次のグループ レベルの VLAN ACL マッピング パラメータが使用できます。
      • [VLAN ID]:VLAN ID。
      • [Ingress ACL]:この VLAN に対する入力 ACL。
      • [Egress ACL]:この VLAN に対する出力 ACL。
    ステップ 6   [Apply] をクリックします。

    アクセス ポイント上の FlexConnect に対する VLAN Override の設定(CLI)

    FlexConnect アクセス ポイントの VLAN Override を設定するには、次のコマンドを使用します。

    config ap flexconnect vlan add vlan-id acl ingress-acl egress-acl ap_name