Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド、リリース 7.6
WLAN ごとの RADIUS 送信元サポートの設定
WLAN ごとの RADIUS 送信元サポートの設定

WLAN ごとの RADIUS 送信元サポートの設定

WLAN ごとの RADIUS 送信元サポートの前提条件

  • コントローラは選択されたインターフェイスのみからトラフィックを受信するので、認証サーバ(RADIUS)の新しい ID をフィルタする適切なルールを実行する必要があります。

WLAN ごとの RADIUS 送信元サポートの制約事項

  • callStationID は、RADIUS RFC での 802.1X に準拠するよう、常に APMAC:SSID 形式になります。 これは、レガシー動作でもあります。 web-auth では、config radius callStationIDType コマンドで使用可能なさまざまな形式を使用できます。

  • AP グループまたは AAA オーバーライドが使用されると、送信元インターフェイスは WLAN インターフェイスのままとなり、新規の AP グループまたは RADIUS プロファイルの設定で指定されたインターフェイスにはなりません。

WLAN ごとの RADIUS 送信元サポートについて

デフォルトで、コントローラは、グローバル リストの代わりに、管理インターフェイスの IP アドレスがのすべての RADIUS トラフィックの送信元になります。つまり、設定されている特定の RADIUS サーバが WLAN に存在する場合でも、使用される ID は管理インターフェイスの IP アドレスです。

WLAN をフィルタする場合は RFC 3580 で APMAC SSID 形式に設定された callStationID を使用できます。 また、NAS-IP-Address 属性を使用することで、認証サーバ上のフィルタリングを WLAN ごとの送信元インターフェイス上にまで拡張できます。

WLAN ごとの RADIUS 送信元サポートを有効にすると、コントローラは、設定されている動的インターフェイスを使用して特定の WLAN のすべての RADIUS トラフィックを送信します。 また、それに応じて、RADIUS 属性が Identity に一致するように変更されます。 この機能は、各 WLAN が別個のレイヤ 3 Identity を持つ可能性がある場合に、WLAN ごとの RADIUS トラフィックでコントローラを効果的に仮想化します。 この機能は、ACS ネットワーク アクセス制限、およびネットワーク アクセス プロファイルと統合する展開に役立ちます。

アドレスの送信元として WLAN ごとの動的インターフェイスを用いる管理インターフェイスなどを使用するいくつかの WLAN および通常の RADIUS トラフィックの送信元と、WLAN ごとの RADIUS 送信元サポートを組み合わせることができます。

WLAN ごとの RADIUS 送信元サポートの設定(CLI)


    ステップ 1   config wlan disable wlan-id コマンドを入力して、WLAN を無効にします。
    ステップ 2   次のコマンドを入力して、WLAN ごとの RADIUS 送信元サポートを有効または無効にします。

    config wlan radius_server overwrite-interface {enable | disable} wlan-id

    (注)     

    有効にすると、コントローラは、その WLAN 上のすべての RADIUS 関連トラフィックの Identity および送信元として、WLAN の設定に指定されたインターフェイスを Identity として使用します。 無効にすると、コントローラは、NAS-IP-Address 属性の Identity として管理インターフェイスを使用します。 RADIUS サーバが直接接続された動的インターフェイスにある場合、RADIUS トラフィックはそのインターフェイスから送信されます。 それ以外の場合は、管理 IP アドレスが使用されます。 いずれのケースでも、機能が有効でない限り、NAS-IP-Address 属性は管理インターフェイスのままとなります。

    ステップ 3   config wlan enable wlan-id コマンドを入力して、WLAN を有効にします。
    (注)     

    CiscoSecure ACS を使用して、RADIUS サーバ側で要求をフィルタリングできます。 要求は、ネットワーク アクセス制限ルールを介して、NAS-IP-Address 属性によってフィルタリング(受け入れまたは拒否)できます。 使用されるフィルタリングは、CLI/DNIS フィルタリングです。


    WLAN ごとの RADIUS 送信元サポートのステータスのモニタリング(CLI)

    機能が有効または無効かどうかを確認するには、次のコマンドを入力します。

    show wlan wlan-id

    次の例は、WLAN ごとの RADIUS 送信元サポートが WLAN 1 で有効であることを示しています。

    show wlan 1

    次のような情報が表示されます。

    
    WLAN Identifier.................................. 4
    Profile Name..................................... example
    Network Name (SSID).............................. example
    Status........................................... Enabled
    MAC Filtering.................................... Disabled
    Broadcast SSID................................... Enabled
    AAA Policy Override.............................. Disabled
    Network Admission Control
    ...
    Radius Servers
       Authentication................................ Global Servers
       Accounting.................................... Global Servers
       Overwrite Sending Interface................... Enabled
    Local EAP Authentication......................... Disabled