Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド、リリース 7.6
FlexConnect の AAA Override の設定
FlexConnect の AAA Override の設定

FlexConnect の AAA Override の設定

認証、許可、アカウンティング オーバーライドについて

WLAN の [Allow Authentication, Authorization, Accouting (AAA) Override] オプションでは認証用に WLAN を設定することができます。 これにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、QoS、および ACL を適用できます。

FlexConnect アクセス ポイントに対する AAA Override は、ローカルにスイッチされたクライアントへダイナミック VLAN の割り当てを提供します。 また、FlexConnect の AAA Override は、上書きされたクライアントの高速ローミング(Opportunistic Key Caching:OKC/Cisco Centralized Key management:CCKM)をサポートします。

FlexConnect に対する VLAN Override は、中央で認証されたクライアントとローカルで認証されたクライアントの両方に適用されます。 VLAN は、FlexConnect グループで設定することができます。

AP の VLAN が WLAN-VLAN を使用して設定されている場合、対応する ACL の AP 設定が適用されます。 FlexConnect グループを使用して VLAN を設定する場合、FlexConnect グループで設定された対応する ACL が適用されます。 FlexConnect グループと AP で同じ VLAN を設定する場合、ACL を使用した AP 設定が優先されます。 WLAN-VLAN マッピングからの新しい VLAN 用のスロットがない場合、設定されている最新の FlexConnect グループ VLAN が置き換えられます。

AAA から戻された VLAN が AP 上に存在しない場合、クライアントは WLAN に設定されたデフォルト VLAN にフォールバックされます。

AAA Override を設定する前に、アクセス ポイントで VLAN が作成されている必要があります。 これらの VLAN は、アクセス ポイントの既存の WLAN-VLAN マッピングを使用するか、または FlexConnect グループ VLAN-ACL マッピングを使用して作成できます。

IPv6 ACL に対する AAA オーバーライド

Cisco Identity Services Engine(ISE)または ACS のように、中央集中型 AAA サーバを介した中央集中型のアクセス制御をサポートするために、AAA Override 属性を使用してクライアントごとに IPv6 ACL を提供できます。 この機能を使用するには、IPv6 ACL をコントローラに設定し、AAA Override 機能を有効にして WLAN を有効にする必要があります。 IPv6 ACL の AAA 属性は IPv4 ベースの ACL をプロビジョニングするために使用される Airespace-ACL-Name 属性に似た Airespace-IPv6-ACL-Name です。 AAA 属性が返すコンテンツは、コントローラで設定された IPv6 ACL の名前に一致する文字列になるはずです。

AP とコントローラの双方向レート制限の AAA Override

FlexConnect AP の AAA Override が、QoS レベルや帯域幅コントラクトを、Web 認証済み WLAN と 802.1X 認証済み WLAN の両方のローカルにスイッチされるトラフィックに対して動的に割り当てるようにできます。 アップストリームとダウンストリームの両方のパラメータが、対応する AP に送信されます。

次の表に、二方向レート制限の実装の例を示します。

表 1 双方向レート制限の実装
アップストリーム/ダウンストリーム ローカル モード FlexConnect 中央スイッチング FlexConnect ローカル スイッチング FlexConnect スタンドアロン
クライアントごとのダウンストリーム コントローラ コントローラ AP AP
クライアントごとのアップストリーム AP AP AP AP
次の表には、ローカルおよび FlexConnect 中央スイッチングの優先順位の例が示されています。

表 2 レート制限パラメータ
AAA AAA の QoS プロファイル WLAN WLAN の QoS プロファイル クライアントに適用される
100 Kbps 200 Kbps 300 Kbps 400 Kbps 100 Kbps
200 Kbps
300 Kbps
400 Kbps
無制限

FlexConnect の AAA Override に関する制約事項

  • AAA Override を設定する前に、VLAN をアクセス ポイントで作成する必要があります。 これらの VLAN は、アクセス ポイントの既存の WLAN-VLAN マッピングを使用するか、または FlexConnect グループ VLAN-ACL マッピングを使用して作成できます。

  • 常に、AP には最大 16 の VLAN があります。 まず、VLAN は AP 設定(WLAN-VLAN)に従って選択され、残りの VLAN は FlexConnect グループで設定または表示されている順序で FlexConnect グループからプッシュされます。 VLAN スロットがフルの場合、エラー メッセージが表示されます。

  • ローカルにスイッチされるクライアントの AAA は、VLAN Override のみをサポートします。

  • ダイナミック VLAN の割り当ては、Access Control Server(ACS)のコントローラの Web 認証ではサポートされていません。

  • AP およびコントローラの双方向レート制限の AAA Override は、次の 802.11n の非メッシュ アクセス ポイントのすべてでサポートされます。

    • 1040

    • 1140

    • 1250

    • 1260

    • 1600

    • 2600

    • 3500

    • 3600

    この機能は、メッシュ およびレガシー の AP プラットフォームでサポートされていません。
    • 1130

    • 1240

    • 1520

    • 1550

  • 双方向レート制限の場合
    • 双方向レート制限がない場合、AAA Override は実行されません。

    • 対応する WLAN の QoS プロファイルが Silver であっても、クライアントの QoS プロファイルは Platinum に設定できます。 AP では、クライアントが音声キューにパケットを送信できます。 ただし、セッション開始プロトコル(SIP)スヌーピングを WLAN 上で無効にして、SIP クライアントのトラフィックが音声キューに送信されないようにする必要があります。
    • ISE サーバがサポートされています。

    • アップストリーム レート制限パラメータは、AAA Override のダウンストリーム パラメータと同様です。

    • ローカル認証はサポートされていません。

アクセス ポイント上の FlexConnect に対する AAA Override の設定(GUI)


    ステップ 1   [Wireless] > [All] > [APs] を選択します。

    [All APs] ページが表示されます。 このページに、コントローラにアソシエータされているアクセス ポイントが一覧表示されます。

    ステップ 2   対応する AP 名をクリックします。
    ステップ 3   [FlexConnect] タブをクリックします。
    ステップ 4   [Native VLAN ID] の値を入力します。
    ステップ 5   [VLAN Mappings] ボタンをクリックして、[AP VLANs] マッピングを設定します。

    次のようなパラメータが表示されます。

    • [AP Name]:アクセス ポイント名。
    • [Base Radio MAC]:AP のベース無線。
    • [WLAN-SSID-VLAN ID Mapping]:コントローラで設定された各 WLAN に対して、対応する SSID および VLAN ID が表示されます。 WLAN の VLAN ID 列を編集して WLAN-VLAN ID マッピングを変更します。
    • [Centrally Switched WLANs]:中央でスイッチされる WLAN が設定されている場合、WLAN–VLAN マッピングが一覧表示されます。
    • ]AP Level VLAN ACL Mapping]:次のパラメータを使用できます。
      • [VLAN ID]:VLAN ID。

      • [Ingress ACL]:VLAN に対応する入力 ACL。

      • [Egress ACL]:VLAN に対応する出力 ACL。

      各 ACL タイプのドロップダウン リストからマッピングを選択して、入力 ACL および出力 ACL マッピングを変更します。

    • [Group Level VLAN ACL Mapping]:次のグループ レベルの VLAN ACL マッピング パラメータが使用できます。
      • [VLAN ID]:VLAN ID。

      • [Ingress ACL]:この VLAN に対する入力 ACL。

      • [Egress ACL]:この VLAN に対する出力 ACL。

    ステップ 6   [Apply] をクリックします。

    アクセス ポイント上の FlexConnect に対する VLAN Override の設定(CLI)

    FlexConnect アクセス ポイントの VLAN Override を設定するには、次のコマンドを使用します。

    config ap flexconnect vlan add vlan-id acl ingress-acl egress-acl ap_name