Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド リリース 7.4(統合版)
WLAN ごとの RADIUS 送信元サポートの設定
WLAN ごとの RADIUS 送信元サポートの設定
発行日;2013/06/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

WLAN ごとの RADIUS 送信元サポートの設定

WLAN ごとの RADIUS 送信元サポートについて

デフォルトで、コントローラはすべての RADIUS トラフィックをその管理インターフェイスの IP アドレスから取得します。これは、グローバル リストではなく、特定の RADIUS サーバが WLAN で設定されているとしても、使用される ID は管理インターフェイスの ID アドレスであることを意味します。

WLAN をフィルタリングする場合、APMAC:SSID フォーマットになるように RFC 3580 によって設定される callStationID を使用できます。 また、NAS-IP-Address 属性を使用することで、認証サーバ上のフィルタリングを WLAN ごとの送信元インターフェイス上にまで拡張できます。

WLAN ごとの RADIUS 送信元サポートを有効にすると、コントローラは、設定されている動的インターフェイスを使用して特定の WLAN のすべての RADIUS トラフィックを送信します。 また、それに応じて、RADIUS 属性が Identity に一致するように変更されます。 この機能は、各 WLAN が別個のレイヤ 3 Identity を持つ可能性がある場合に、WLAN ごとの RADIUS トラフィックでコントローラを仮想化します。 この機能は、ACS ネットワーク アクセス制限およびネットワーク アクセス プロファイルで役立ちます。

WLAN ごとの動的インターフェイスをアドレス ソースとして使用し、WLAN RADIUS ごとのソース サポートを標準 RADIUS トラフィック ソースと組み合わせ、管理インターフェイスを使用する一部の WLAN と他のものを組み合わせることができます。

注意事項および制約事項

  • コントローラは、選択されたインターフェイスからトラフィックを送信するだけなので、新規の Identity に適切なルール フィルタリングを実装するタスクは、認証サーバ(RADIUS)が行います。
  • callStationID は、802.1x RADIUS RFC に準拠するよう、常に APMAC:SSID 形式になります。 これは、レガシー動作でもあります。 web-auth では、config radius callStationIDType コマンドで使用可能なさまざまな形式を使用できます。

AP グループまたは AAA オーバーライドが使用されると、送信元インターフェイスは WLAN インターフェイスのままとなり、新規の AP グループまたは RADIUS プロファイルの設定で指定されたインターフェイスにはなりません。

WLAN ごとの RADIUS 送信元サポートの設定(CLI)


    ステップ 1   config wlan disable wlan-id コマンドを入力して、WLAN を無効にします。
    ステップ 2   次のコマンドを入力して、WLAN ごとの RADIUS 送信元サポートを有効または無効にします。

    config wlan radius_server overwrite-interface {enable | disable} wlan-id

    (注)     

    有効にすると、コントローラは、その WLAN 上のすべての RADIUS 関連トラフィックの Identity および送信元として、WLAN の設定に指定されたインターフェイスを Identity として使用します。 無効にすると、コントローラは、NAS-IP-Address 属性の Identity として管理インターフェイスを使用します。 RADIUS サーバが直接接続された動的インターフェイスにある場合、RADIUS トラフィックはそのインターフェイスから送信されます。 それ以外の場合は、管理 IP アドレスが使用されます。 いずれのケースでも、機能が有効でない限り、NAS-IP-Address 属性は管理インターフェイスのままとなります。

    ステップ 3   config wlan enable wlan-id コマンドを入力して、WLAN を有効にします。
    (注)     

    CiscoSecure ACS を使用して、RADIUS サーバ側で要求をフィルタリングできます。 要求は、ネットワーク アクセス制限ルールを介して、NAS-IP-Address 属性によってフィルタリング(受け入れまたは拒否)できます。 使用されるフィルタリングは、CLI/DNIS フィルタリングです。


    WLAN ごとの RADIUS 送信元サポートのステータスのモニタリング(CLI)

    機能が有効または無効かどうかを確認するには、次のコマンドを入力します。

    show wlan wlan-id

    次の例は、WLAN ごとの RADIUS 送信元サポートが WLAN 1 で有効であることを示しています。

    show wlan 1

    次のような情報が表示されます。

    
    WLAN Identifier.................................. 4
    Profile Name..................................... example
    Network Name (SSID).............................. example
    Status........................................... Enabled
    MAC Filtering.................................... Disabled
    Broadcast SSID................................... Enabled
    AAA Policy Override.............................. Disabled
    Network Admission Control
    ...
    Radius Servers
       Authentication................................ Global Servers
       Accounting.................................... Global Servers
       Overwrite Sending Interface................... Enabled
    Local EAP Authentication......................... Disabled