Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.0
FlexConnect の AAA Override の設定
FlexConnect の AAA Override の設定

FlexConnect の AAA Override の設定

認証、認可、アカウンティング オーバーライドについて

WLAN の [Allow Authentication, Authorization, Accouting (AAA) Override] オプションを使用すれば、WLAN を認証用に設定することができます。 これにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、QoS、および ACL を適用できます。

FlexConnect アクセス ポイントの AAA オーバーライドは、ローカルにスイッチされたクライアントへダイナミック VLAN の割り当てを提供します。 また、FlexConnect の AAA オーバーライドは、オーバーライドするクライアントの高速ローミング(Opportunistic Key Caching(OKC)/Cisco Centralized Key management(CCKM))もサポートします。

FlexConnect の VLAN オーバーライドは、中央で認証されたクライアントとローカルで認証されたクライアントの両方に適用されます。 VLAN は、FlexConnect グループで設定することができます。

AP 上の VLAN が WLAN-VLAN を使用して設定されている場合は、対応する ACL の AP 設定が適用されます。 VLAN が FlexConnect グループを使用して設定されている場合は、FlexConnect グループ上で設定された対応する ACL が適用されます。 同じ VLAN が FlexConnect グループと AP の両方で設定されている場合は、ACL を使用した AP 設定が優先されます。 WLAN-VLAN マッピングからの新しい VLAN 用のスロットが存在しない場合は、最後に設定された FlexConnect グループ VLAN が置き換えられます。

AAA から戻された VLAN が AP 上に存在しない場合、クライアントは WLAN に設定されたデフォルト VLAN にフォールバックされます。

AAA オーバーライドを設定する前に、アクセス ポイント上で VLAN が作成されている必要があります。 これらの VLAN は、アクセス ポイントの既存の WLAN-VLAN マッピングを使用するか、または FlexConnect グループ VLAN-ACL マッピングを使用して作成できます。

IPv6 ACL の AAA Override

Cisco Identity Services Engine(ISE)、ACS などの一元化された AAA サーバによるアクセス コントロールのサポートのために、AAA Override 属性を使用して各クライアントについて IPv6 ACL をプロビジョニングできます。 この機能を使用するには、IPv6 ACL をコントローラで設定し、AAA Override 機能をイネーブルにして WLAN を設定する必要があります。 IPv6 ACL の AAA 属性は IPv4 ベースの ACL をプロビジョニングするために使用される Airespace-ACL-Name 属性に似た Airespace-IPv6-ACL-Name です。 AAA 属性が返すコンテンツは、コントローラ上で設定された IPv6 ACL の名前と一致する文字列にする必要があります。

AP とコントローラの双方向レート制限の AAA オーバーライド

FlexConnect AP の AAA オーバーライドで、QoS レベルまたは帯域幅コントラクトを、Web 認証済み WLAN と 802.1X 認証済み WLAN の両方でローカルにスイッチされるトラフィックに動的に割り当てることができます。 アップストリーム パラメータとダウンストリーム パラメータの両方が、対応する AP に送信されます。

次の表に、双方向レート制限の実装を示します。

表 1 双方向レート制限の実装
アップストリーム/ダウンストリーム Local Mode FlexConnect 中央スイッチング FlexConnect ローカル スイッチング FlexConnect スタンドアロン
クライアント単位ダウンストリーム コントローラ コントローラ AP AP
クライアント単位アップストリーム AP AP AP AP
次の表に、ローカル スイッチングと FlexConnect 中央スイッチングの優先順位を示します。

表 2 レート制限パラメータ
AAA AAA の QoS プロファイル WLAN WLAN の QoS プロファイル クライアントに適用
100 Kbps 200 Kbps 300 Kbps 400 Kbps 100 Kbps
X 200 Kbps
X X 300 Kbps
X X X 400 Kbps
X X X X Unlimited

FlexConnect の AAA Override に関する制約事項

  • AAA Override を設定する前に、VLAN をアクセス ポイントで作成する必要があります。 これらの VLAN は、アクセス ポイントの既存の WLAN-VLAN マッピングを使用するか、または FlexConnect グループ VLAN-ACL マッピングを使用して作成できます。

  • 常に、AP には最大 16 の VLAN があります。 まず、VLAN は AP 設定(WLAN-VLAN)に従って選択され、残りの VLAN は FlexConnect グループで設定または表示されている順序で FlexConnect グループからプッシュされます。 VLAN スロットがフルの場合、エラー メッセージが表示されます。

  • VLAN、ACL、QoS、レート制限は、ローカルおよび中央のスイッチング WLAN でサポートされます。

  • ダイナミック VLAN の割り当ては、Access Control Server(ACS)のコントローラの Web 認証ではサポートされていません。

  • AP およびコントローラの双方向レート制限の AAA Override は、次の 802.11n の非メッシュ アクセス ポイントのすべてでサポートされます。

    • 1040

    • 1140

    • 1250

    • 1260

    • 1600

    • 2600

    • 3500

    • 3600

    この機能は、メッシュ およびレガシー の AP プラットフォームでサポートされていません。
    • 1130

    • 1240

    • 1520

    • 1550

  • 双方向レート制限の場合
    • 双方向レート制限がない場合、AAA Override は実行されません。

    • 対応する WLAN の QoS プロファイルが Silver であっても、クライアントの QoS プロファイルは Platinum に設定できます。 AP では、クライアントが音声キューにパケットを送信できます。 ただし、セッション開始プロトコル(SIP)スヌーピングを WLAN 上で無効にして、SIP クライアントのトラフィックが音声キューに送信されないようにする必要があります。
    • ISE サーバがサポートされています。

    • アップストリーム レート制限パラメータは、AAA Override のダウンストリーム パラメータと同様です。

    • ローカル認証はサポートされていません。

アクセス ポイント上の FlexConnect に対する AAA Override の設定(GUI)


    ステップ 1   [Wireless] > [All] > [APs] を選択します。

    [All APs] ページが表示されます。 このページに、コントローラにアソシエータされているアクセス ポイントが一覧表示されます。

    ステップ 2   対応する AP 名をクリックします。
    ステップ 3   [FlexConnect] タブをクリックします。
    ステップ 4   [Native VLAN ID] の値を入力します。
    ステップ 5   [VLAN Mappings] ボタンをクリックして、[AP VLANs] マッピングを設定します。

    次のようなパラメータが表示されます。

    • [AP Name]:アクセス ポイント名。
    • [Base Radio MAC]:AP のベース無線。
    • [WLAN-SSID-VLAN ID Mapping]:コントローラで設定された各 WLAN に対して、対応する SSID および VLAN ID が表示されます。 WLAN の VLAN ID 列を編集して WLAN-VLAN ID マッピングを変更します。
    • [Centrally Switched WLANs]:中央でスイッチされる WLAN が設定されている場合、WLAN–VLAN マッピングが一覧表示されます。
    • [AP Level VLAN ACL Mapping]:次のパラメータを使用できます。
      • [VLAN ID]:VLAN ID。

      • [Ingress ACL]:VLAN に対応する入力 ACL。

      • [Egress ACL]:VLAN に対応する出力 ACL。

      各 ACL タイプのドロップダウン リストからマッピングを選択して、入力 ACL および出力 ACL マッピングを変更します。

    • [Group Level VLAN ACL Mapping]:次のグループ レベルの VLAN ACL マッピング パラメータが使用できます。
      • [VLAN ID]:VLAN ID。

      • [Ingress ACL]:この VLAN に対する入力 ACL。

      • [Egress ACL]:この VLAN に対する出力 ACL。

    ステップ 6   [Apply] をクリックします。

    アクセス ポイント上の FlexConnect に対する VLAN Override の設定(CLI)

    FlexConnect アクセス ポイントの VLAN Override を設定するには、次のコマンドを使用します。

    config ap flexconnect vlan add vlan-id acl ingress-acl egress-acl ap_name