Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド リリース 7.4(統合版)
Identity ネットワーキングの設定
Identity ネットワーキングの設定
発行日;2013/06/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

Identity ネットワーキングの設定

Identity ネットワーキングについて

ほとんどの無線 LAN システムの場合、各 WLAN に静的なポリシーがあり、SSID が設定されているすべてのクライアントに適用されます。 これは強力な方式ですが、クライアントに複数の Quality of Service(QoS)およびセキュリティ ポリシーを適用するには、そのクライアントに複数の SSID を設定する必要があるために、限界がありました。

これに対し、Cisco Wireless LAN ソリューションは Identity ネットワーキングをサポートしており、ネットワークが 1 つの SSID をアドバタイズできると同時に、ユーザ プロファイルに基づいて、個々のユーザに異なる QoS またはセキュリティ ポリシーを適用することができます。 Identity ネットワーキングを使用して制御できるポリシーは次のとおりです。

  • ACL:ACL 属性が RADIUS Access Accept で指定されている場合、システムは認証後に ACL 名をクライアント ステーションに適用します。これにより、インターフェイスに当てられているすべての ACL は上書きされます。
  • VLAN:VLAN Interface-Name または VLAN-Tag が RADIUS Access Accept で指定されている場合、システムはクライアントを特定のインターフェイスに割り当てます。

    (注)  


    VLAN 機能は、MAC フィルタリング、802.1X、および WPA のみをサポートします。 VLAN 機能では Web 認証または IPSec はサポートされません。


  • トンネル属性。

    (注)  


    この項で後述する他の RADIUS 属性(QoS-Level、ACL-Name、Interface-Name、または VLAN-Tag)のいずれかを返す場合、トンネル属性も返す必要があります。


オペレーティング システムのローカル MAC フィルタ データベースは、インターフェイス名を含むように拡張されました。これにより、クライアントを割り当てるインターフェイスをローカル MAC フィルタで指定できるようになりました。 別の RADIUS サーバも使用できますが、その RADIUS サーバは [Security] メニューを使用して定義する必要があります。

Identity ネットワーキングで使用される RADIUS 属性

QoS-Level

この項では、Identity ネットワーキングで使用される RADIUS 属性について説明します。

この属性は、スイッチング ファブリック内、および無線経由のモバイル クライアントのトラフィックに適用される QoS レベルを示しています。 この例は、QoS-Level 属性フォーマットの要約を示しています。 テキスト ボックスは左から右に伝送されます。


 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |  Length       |            Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
     Vendor-Id (cont.)          | Vendor type   | Vendor length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                           QoS Level                           |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  • Type – 26(ベンダー固有)
  • Length – 10
  • Vendor-Id – 14179
  • Vendor type – 2
  • Vendor length – 4
  • Value – 3 オクテット:
    • 3 – Bronze(バックグラウンド)
    • 0 - Silver(ベストエフォート)
    • 1 – Gold(ビデオ)
    • 2 – Platinum(音声)

ACL-Name

この属性は、クライアントに適用される ACL 名を示します。 ACL-Name 属性形式の要約を次に示します。 テキスト ボックスは左から右に伝送されます。


 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |  Length       |            Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
     Vendor-Id (cont.)          | Vendor type   | Vendor length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|        ACL Name...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
  • Type – 26(ベンダー固有)
  • Length – >7
  • Vendor-Id – 14179
  • Vendor type – 6
  • Vendor length – >0
  • Value – クライアントに対して使用する ACL の名前を含む文字列

Interface Name

この属性は、クライアントが関連付けられる VLAN インターフェイスを示します。 Interface-Name 属性形式の要約を次に示します。 テキスト ボックスは左から右に伝送されます。


 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |  Length       |            Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
     Vendor-Id (cont.)          |  Vendor type  | Vendor length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|    Interface Name...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
  • Type – 26(ベンダー固有)
  • Length – >7
  • Vendor-Id – 14179
  • Vendor type – 5
  • Vendor length – >0
  • Value – クライアントが割り当てられるインターフェイスの名前を含む文字列

    (注)  


    この属性は、MAC フィルタリングが有効になっている場合、またはセキュリティ ポリシーとして 802.1X または WPA が使用されている場合にのみ機能します。


VLAN タグ

この属性は、特定のトンネル セッションのグループ ID を示し、Tunnel-Private-Group-ID 属性とも呼ばれます。

この属性は、トンネルの発信側が、特定の接続からグループを事前に判別できる場合は Access-Request パケットに含めることができ、このトンネル セッションを特定のプライベート グループに属するものとして処理する場合は Access-Accept パケットに含める必要があります。 プライベート グループは、トンネル セッションを特定のユーザのグループと関連付けるために使用できます。 たとえば、未登録の IP アドレスが特定のインターフェイスを通過するようにするルーティングを容易にするために使用できます。 Start と Stop のいずれかの値を持つ Acct-Status-Type 属性を含み、かつトンネル セッションに関連する Accounting-Request パケットには、プライベート グループを含める必要があります。

Tunnel-Private-Group-ID 属性形式の要約を次に示します。 テキスト ボックスは左から右に伝送されます。


 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|      Type     |    Length     |     Tag       |   String...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  • Type – 81(Tunnel-Private-Group-ID 用)
  • Length – >= 3
  • Tag:Tag テキスト ボックスは、長さが 1 オクテットで、同じパケット内で同じトンネルを示す属性をグループ化するために使用されます。 Tag テキスト ボックスの値が 0x00 より大きく、0x1F 以下である場合、その値は(いくつかの選択肢のうち)この属性が関連しているトンネルを示すと解釈されます。 Tag テキスト ボックスが 0x1F より大きい場合、その値は後続の String テキスト ボックスの最初のバイトであると解釈されます。
  • String:これは必須のテキスト ボックスです。 グループはこの String テキスト ボックスによって表されます。 グループ ID の形式に制約はありません。

    (注)  


    この項の他の RADIUS 属性(QoS-Level、ACL-Name、Interface-Name、または VLAN-Tag)のいずれかを返す場合、トンネル属性も返す必要があります。


トンネル属性

RFC 2868 では、認証と許可に使用される RADIUS トンネル属性が定義されています。RFC2867 では、アカウンティングに使用されるトンネル属性が定義されています。 IEEE 802.1X Authenticator がトンネリングをサポートしている場合は、認証の結果としてサプリカントに対して強制的なトンネルを設定できます。

これは特に、認証の結果に基づいて IEEE8021Q で定義されている特定の VLAN にポートを配置できるようにする場合に適しています。 たとえば、この設定を使用すると、ワイヤレス ホストがキャンパス ネットワーク内を移動するときに同じ VLAN 上にとどまれるようになります。

RADIUS サーバは、一般的に、Access-Accept 内にトンネル属性を含めることによって目的の VLAN を示します。 ただし IEEE 802.1X Authenticator も、Access- Request 内にトンネル属性を含めることによって、サプリカントに割り当てる VLAN に関するヒントを示すことができます。

VLAN 割り当てのために、次のトンネル属性が使用されます。

  • Tunnel-Type=VLAN(13)
  • Tunnel-Medium-Type=802
  • Tunnel-Private-Group-ID=VLANID

VLAN ID は、1 ~ 4094(両端の値を含む)の 12 ビットの値です。 RFC 2868 で定義されているように、IEEE 802.1X で使用される Tunnel-Private-Group-ID は文字列型であるため、VLAN ID の整数値は文字列としてエンコードされます。

トンネル属性が送信されるときは、Tag テキスト ボックスに値が含まれている必要があります。 RFC 2868 の第 3.1 項には次のように明記されています。

  • Tag テキスト ボックスは長さが 1 オクテットであり、同じパケット内で同じトンネルを示す属性をグループ化するために使用されます。 このテキスト ボックスの有効な値は、0x01 ~ 0x1F(両端の値を含む)です。 Tag テキスト ボックスが使用されない場合、値はゼロ(0x00)でなければなりません。
  • Tunnel-Client-Endpoint、Tunnel-Server-Endpoint、Tunnel-Private-Group-ID、Tunnel-Assignment-ID、Tunnel-Client-Auth-ID、または Tunnel-Server-Auth-ID 属性(ただし Tunnel-Type、Tunnel-Medium-Type、Tunnel-Password、Tunnel-Preference は含まない)で使用する場合、0x1F より大きい Tag テキスト ボックスは、次のテキスト ボックスの最初のオクテットであると解釈されます。
  • 代替トンネル タイプが指定されていない場合(たとえば、トンネリングはサポートしているが VLAN はサポートしていない IEEE 802.1X Authenticator の場合)、トンネル属性は 1 つのトンネルのみを指定する必要があります。 したがって、VLANID を指定することだけが目的の場合、すべてのトンネル属性の Tag テキスト ボックスをゼロ(0x00)に設定する必要があります。 代替トンネル タイプが提供される場合は、0x01 ~ 0x1F のタグ値を選択する必要があります。