CT5760 コントローラ導入ガイド シスコ次世代 WLAN コントローラ
CT5760 の一元化設定の例
CT5760 の一元化設定の例
発行日;2013/10/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

CT5760 の一元化設定の例

ネットワーク トポロジ

VLAN および IP アドレス

CLI を使用した CT5760 コントローラ設定の例

コンソールの接続

スタートアップ ウィザード

バージョン

日付と時刻の設定

CT5760 コントローラ Web グラフィカル ユーザ インターフェイスのイネーブル化

基本設定

CT5760 での DHCP スヌーピングおよび信頼状態の設定

管理およびクライアント インターフェイスの追加

WLAN の設定

AP の接続

セキュリティ設定

ワイヤレス WebAuth および Guest Anchor ソリューション

グローバル コンフィギュレーションの [Parameter Map] セクションの設定

カスタマイズされた WebAuth の TAR 形式パッケージの設定

カスタム ページを使用したパラメータ マップの設定

タイプ同意と電子メール オプションを使用したパラメータ マップの設定

ローカル WebAuth 認証の設定

webauth の外部 RADIUS の設定

WebAuth を使用した WLAN の設定

グローバル コンフィギュレーションでの HTTP サーバの設定

チェックを入れたりイネーブルにするその他の設定

SNMP の設定

IPv6 Configuration

IPv6 スヌーピングのイネーブル:CT5760

インターフェイスでの IPv6 のイネーブル:CT5760

CT5760 の一元化設定の例

ネットワーク トポロジ

図 3-1 の図では、一元化された導入で統合アクセス CT5760 コントローラだけを使用するネットワーク トポロジを示します。

図 3-1 一元化設定のネットワーク トポロジ

 

VLAN および IP アドレス

表 3-1 デバイスごとの VLAN および IP アドレス

デバイス
VLAN
IP アドレス

DHCP サーバ

ゲートウェイ

10.10.100.1 / 10.10.200.1

Cisco Prime Infrastructure

200

10.10.200.30

Cisco ISE

200

10.10.200.60

アンカー WLC

300

192.168.1.5

コア スイッチ

200、100

10.10.100.1 / 10.10.200.1

AP

200

DHCP

5760 WLC

200

10.10.200.5

クライアント VLAN

100

DHCP

管理 VLAN

200

10.10.200.5

NTP サーバ

ゲートウェイ

10.10.200.1

CLI を使用した CT5760 コントローラ設定の例

コントローラの設定を開始する前に、上記の設定のすべてのスイッチ間に完全な接続性があることを確認します。

コンソールの接続

基本動作のためにスイッチまたはコントローラを設定するまえに、VT-100 ターミナル エミュレータ(HyperTerminal、ProComm、または Putty など)を使用する PC に接続する必要があります。

コントローラには EIA/TIA-232 非同期(RJ-45)および USB 5 ピン ミニ タイプ B、2.0 準拠シリアル コンソール ポートの両方があります。コンソール ポートのデフォルト パラメータは、9600 ボー、8 データ ビット、1 ストップ ビット、およびパリティなしです。コンソール ポートはハードウェア フロー制御をサポートしていません。9600 のシリアル ボー レートを選択してください。問題がある場合は、115200 ボー レートを試してみてください。PC/Windows の Putty などとほぼ同等に使用する Mac Secure CRT の例を図 3-2 に示します。

図 3-2 Mac Secure CRT の例

スタートアップ ウィザード

スタートアップ ウィザードを起動する前に、使用可能な IP アドレスおよび VLAN の情報を用意してください。ウィザードおよび初期設定ダイアログを使用せずに開始します(初期設定を確認してください)。

% Please answer 'yes' or 'no'.

Would you like to enter the initial configuration dialog?[yes/no]: no

Would you like to terminate autoinstall? [yes]:

Controller>

Press RETURN to get started!

Start with the wizard/initial configuration dialog (check the initial config).

Enable secret warning

----------------------------------

In order to access the device manager, an enable secret is required

If you enter the initial configuration dialog, you will be prompted for the enable

secret

If you choose not to enter the intial configuration dialog, or if you exit setup

without setting the enable secret,

please set an enable secret using the following CLI in configuration mode-

enable secret 0 <cleartext password>

----------------------------------

Would you like to enter the initial configuration dialog?[yes/no]: yes

At any point you may enter a question mark '?' for help.Use ctrl-c to abort configuration dialog at any prompt.Default settings are in square brackets '[]'.

Basic management setup configures only enough connectivity for management of the system, extended setup will ask you to configure each interface on the system

Would you like to enter basic management setup?[yes/no]: yes

Configuring global parameters:

Enter host name [Controller]: CT5760-Controller

The enable secret is a password used to protect access to privileged EXEC and configuration modes.This password, after entered, becomes encrypted in the configuration.

Enter enable secret: Cisco123

The enable password is used when you do not specify an enable secret password, with some older software versions, and some boot images.

Enter enable password: Cisco123

The virtual terminal password is used to protect access to the router over a network interface.Enter virtual terminal password: Cisco123

Configure a NTP server now?[yes]: yes

Enter ntp server address : 10.10.200.1

Enter a polling interval between 16 and 131072 secs which is power of 2:16

Do you want to configure wireless network?[no]: yes

Enter mobility group name: New-Mobility

Enter the country code[US]:US

Configure SNMP Network Management?[no]: no

Current interface summary

Any interface listed with OK?value "NO" does not have a valid configuration

Interface

IP-Address

OK?

Method

Status

Protocol

Vlan1

unassigned

NO

unset

up

down

GigabitEthernet0/0

unassigned

YES

unset

up

up

Te1/0/1

unassigned

YES

unset

down

down

Te1/0/2

unassigned

YES

unset

down

down

Te1/0/3

unassigned

YES

unset

down

down

Te1/0/4

unassigned

YES

unset

down

down

Te1/0/5

unassigned

YES

unset

down

down

Te1/0/6

unassigned

YES

unset

down

down

Enter interface name used to connect to the

management network from the above interface summary: GigabitEthernet0/0 [service

port)

Configuring interface GigabitEthernet0/0: Configure IP on this interface?[no]: yes

IP address for this interface: 192.168.2.50

Subnet mask for this interface [255.255.0.0] : 255.255.255.0

Wireless management interface needs to be configured at startup

It needs to be mapped to an SVI that's not Vlan 1 (default)

Enter VLAN No for wireless management interface: 200

Enter IP address: 10.10.200.5

Enter IP address mask:: 255.255.255.0

[0] Go to the IOS command prompt without saving this config.[1] Return back to the setup without saving this config.

[2] Save this configuration to nvram and exit.

Enter your selection [2]: 2

Press RETURN to get started!

バージョン

# show version

IOS XE 3.X(FCS では 3.2.0SE)が 3850/5760 の公式バージョンであり 3850/5760 を参照する際に使用できる唯一のバージョン番号です。

#show version running

WCM および IOSd バージョンを表示します。

#show ap name apname config general

AP バージョンを表示し FCS では 15.X です。

日付と時刻の設定

clock set hh:mm:ss day month year

CT5760 コントローラ Web グラフィカル ユーザ インターフェイスのイネーブル化

管理ユーザの設定

username admin privilege 15 password 0 Cisco123

コントローラの HTTP の設定

ip http server

ip http authentication local

username root privilege 15 password 0 cisco

Web Services Management Agent(WSMA)の設定

wsma agent exec

profile webui_service

profile httplistener

wsma agent config

profile webui_service

profile httplistener

wsma agent filesys

profile webui_service

profile httplistener

wsma agent notify

profile webui_service

profile httplistener

wsma profile listener webui_service

transport http path /webui

wsma profile listener httplistener

transport http path /index

基本設定

この項では、次の目的での CT5760 のコンソールからのオプションの設定を示します。

コア スイッチへのネットワーク アップリンク

管理およびクライアント インタフェース

DHCP の設定

Disable VLAN

1 int vlan 1

no ip address shutdown

exit

CT5760 での DHCP スヌーピングおよび信頼状態の設定

ip dhcp snooping vlan 100, 200

ip dhcp snooping wireless bootp-broadcast enable

ip dhcp snooping

interface TenGigabitEthernet1/0/1

description Connection to Core Switch

switchport trunk allowed vlan 100, 200 switchport mode trunk

ip dhcp relay information trusted ip dhcp snooping trust

interface Vlan100 description Client Vlan

ip dhcp relay information trusted

管理およびクライアント インターフェイスの追加

interface Vlan200

description "Management VLAN"

ip address 10.10.200.5 255.255.255.0

no shut

interface Vlan100

description "Client VLAN"

no shut

ip route 0.0.0.0 0.0.0.0 10.10.200.1 default-gateway 10.10.200.1

WLAN の設定

WLAN の設定およびクライアント VLAN の割り当て セキュリティに WPA/PSK を使用し、パス キーは cisco123 です。

wlan corporate 1 corporate band-select

client vlan 100

no security wpa akm dot1x

security wpa akm psk set-key ascii 0 cisco123

no shutdown

ワイヤレスでの管理を許可するには、このコマンドを入力します。

wireless mgmt-via-wireless <cr>

AP の接続

L2 スイッチの任意のポートに AP を接続します。接続するまで待ってからコマンドを入力します。

show ap summary

show ap summary

Number of APs: 1

Global AP User Name: Not configured

Global AP Dot1x User Name: Not configured

AP Name / AP Model / Ethernet MAC / Radio MAC / State

---------------------------------------------------------------------------------

AP44d3.ca42.321a / 3602I / 44d3.ca42.321a / 64d9.8942.4090 / Registered

WPA キーの「cisco13」を使用して企業 SSID にワイヤレス クライアントを接続します。コントローラには、新しいクライアント関連付けについて次のように許可の成功が表示されます。

Show wireless client summary でコントローラからワイヤレス クライアントを確認します。

セキュリティ設定

この項では CT5760 のコンソールからの設定オプションを示します。

認証、許可、アカウンティング(AAA)をイネーブルにする

ISE を RADIUS サーバ(10.10.200.60)として設定

シークレットの共有:secret

CT5760 コンソール(Telnet またはシリアル)の形成:AAA の設定

aaa new-model

!

aaa group server radius Cisco

server 10.10.200.60

!

aaa authentication login no_auth none

aaa authentication dot1x default group radius

aaa authentication dot1x Cisco_dot1x group Cisco

aaa authorization network default group Cisco

aaa accounting network default start-stop group Cisco

dot1x system-auth-control

!

aaa server radius dynamic-author

auth-type any

!

radius-server attribute 6 on-for-login-auth

radius-server dead-criteria time 10 tries 3

radius-server deadtime 3

radius-server vsa send accounting

radius-server vsa send authentication

!

radius server Cisco

address ipv4 10.10.200.60 auth-port 1812 acct-port 1813

key secret

このコマンドは、802.1x セキュリティを使う WLAN を作成します。

wlan corporate1x 2 corporate1x

accounting-list Cisco

client vlan 100

security dot1x authentication-list Cisco

session-timeout 600

no shutdown

ワイヤレス クライアントを企業 1x に次の資格情報を使って接続します。

ユーザ名 = cisco、パスワード = Cisco123

Controller#show wireless client summary

ワイヤレス WebAuth および Guest Anchor ソリューション

次の項では、CT5760 の WebAuthentication(WebAuth)の設定および Guest Anchor の例を示します。

グローバル コンフィギュレーションの [Parameter Map] セクションの設定

parameter map コンフィギュレーション モード コマンドを使用して、接続タイプのパラメータ マップを定義することができます。接続パラメータ マップを作成したあとは、マップの TCP IP およびその他の設定を設定できます。

!最初のセクションでは、グローバル値と内部仮想アドレスを定義します。

!これはすべての WCM のノード間で共通です。

PARAMETER-MAP TYPE WEBAUTH GLOBAL?

VIRTUAL-IP IPV4 192.0.2.1

PARAMETER-MAP TYPE WEBAUTH WEBPARALOCAL?

TYPE WEBAUTH?

BANNER TEXT ^C WEBAUTHX^C

REDIRECT ON-SUCCESS HTTP://9.12.128.50/WEBAUTH/LOGINSUCCESS.HTML

REDIRECT PORTAL IPV4 9.12.128.50

カスタマイズされた WebAuth の TAR 形式パッケージの設定

フラッシュするファイルごとに転送します。

copy tftp://10.1.10.100/WebAuth/webauth/ webauth_consent.html flash:webauth_consent.html

copy tftp://10.1.10.100/WebAuth/ webauth_success.html flash: webauth_success.html

copy tftp://10.1.10.100/WebAuth/ webauth_failure.html flash: webauth_failure.html

copy tftp://10.1.10.100/WebAuth/ webauth_expired.html flash: webauth_expired.html

カスタム ページを使用したパラメータ マップの設定

parameter-map type webauth webparalocal

type webauth

custom-page login device flash:webauth_consent.html

custom-page success device flash:webauth_success.html

custom-page failure device flash: webauth_failure.html

custom-page login expired device flash:webauth_expired.html

タイプ同意と電子メール オプションを使用したパラメータ マップの設定

parameter-map type webauth webparalocal

type consent

consent email

custom-page login device flash:webauth_consent.html

custom-page success device flash:webauth_success.html

custom-page failure device flash:webauth_failure.html

custom-page login expired device flash:webauth_expired.html

ローカル WebAuth 認証の設定

username guest password guest123

aaa new model

dot1x system-auth-control

aaa authentication login EXT_AUTH local

aaa authorization network EXT_AUTH local

aaa authorization network default local

or

aaa authentication login default local

aaa authorization network default local

webauth の外部 RADIUS の設定

aaa new model

dot1x system-auth-control

aaa server radius dynamic-author ?

client 10.10.200.60 server-key cisco ?server-key cisco ?

auth-type any

radius server cisco

address ipv4 10.10.200.60 auth-port 1812 acct-port 1813

key cisco

aaa group server radius cisco server name cisco

aaa authentication login EXT_AUTH group cisco

or

aaa authentication login default group cisco

WebAuth を使用した WLAN の設定

wlan Guest-WbAuth 3 Guest-WbAuth

client vlan 100

mobility anchor 192.168.5.1

no security wpa

no security wpa akm dot1x

no security wpa wpa2

no security wpa wpa2 ciphers aes

security web-auth

security web-auth authentication-list EXT_AUTH

security web-auth parameter-map webparalocal

no shutdown

グローバル コンフィギュレーションでの HTTP サーバの設定

! --- Cisco IOS® ソフトウェアでの Web サービスをイネーブルにするためにこれらが必要です。

ip http server

ip http secure-server

ip http active-session-modules none

チェックを入れたりイネーブルにするその他の設定

! --- これらはグローバルなハウスキー ピング Cisco IOS® ソフトウェア コマンドの一部です。

ip device tracking

ip dhcp snooping

SNMP の設定

CT5760 コンソールから、SNMP ストリングを設定します。

snmp---s er v er co mmuni t y p ub l i c r o

snmp---s er v er co mmuni t y p r i v a t e r w

IPv6 Configuration

IPv6 は、データ パスでサポートされます。ワイヤレス クライアントは IPv6 アドレスを取得可能です。

IPv6 スヌーピングのイネーブル:CT5760

IPv6 を設定する場合には CT5760 での設定で若干の違いがあります。CT5760 で IPv6 をイネーブルにするには、次の手順を実行する必要があります。

ipv6 nd raguard attach-policy testgaurd

Trusted-port

Device-role router

interface TenGigabitEthernet1/0/1

description Uplink to Core Switch

switchport trunk native vlan 200

switchport mode trunk

ipv6 nd raguard attach-policy testgaurd

ip dhcp snooping trust

インターフェイスでの IPv6 のイネーブル:CT5760

IPv6 設定が必要なインターフェイスおよび必要なアドレスのタイプに基づいて、それぞれの設定が次のようにイネーブルにされます。IPv6 設定では、VLAN200 でイネーブルにされます。

vlan configuration 100 200

ipv6 nd suppress

ipv6 snooping

interface Vlan100

description Client VLAN

ip address 10.10.100.5 255.255.255.0

ip helper-address 10.10.100.1 2001:DB8:0:10::1/64

ipv6 address FEC0:20:21::1/64

ipv6 enable