Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.0
管理インターフェイスの設定
管理インターフェイスの設定

管理インターフェイスの設定

管理インターフェイスについて

管理インターフェイスは、コントローラのインバンド管理や、AAA サーバなどのエンタープライズ サービスへの接続に使用されるデフォルト インターフェイスです。 また、コントローラとアクセス ポイント間の通信にも使用されます。 管理インターフェイスには、唯一常時「ping 可能」な、コントローラのインバンド インターフェイス IP アドレスが設定されています。 コントローラの GUI にアクセスするには、Internet Explorer または Mozilla Firefox ブラウザのアドレス フィールドに、コントローラの管理インターフェイスの IP アドレスを入力します。

CAPWAP の場合、ポートの数に関係なく、このコントローラには、コントローラ間の全通信を制御する管理インターフェイスが 1 つと、コントローラとアクセス ポイント間の全通信を制御する AP マネージャ インターフェイスが 1 つ必要です。

サービス ポートが使用中の場合は、サービス ポート インターフェイスとは異なるスーパーネット上に管理インターフェイスが存在する必要があります。


(注)  


有線または無線クライアントによる(無線クライアントの動的インターフェイスまたは VLAN からの)コントローラの管理ネットワークへのアクセスを拒否またはブロックするには、許可されたクライアントだけが適切な CPU ACL によって管理ネットワークへのアクセス権を持つように、またはクライアントの動的インターフェイスと管理ネットワーク間のファイアウォールを使用するように、ネットワーク管理者が設定する必要があります。



注意    


ゲスト WLAN を管理インターフェイスにマッピングしないでください。 EoIP トンネルが切断すると、クライアントが IP を取得し、管理サブネット内に配置されてしまう可能性があります。



注意    


ネットワークのコントローラのサービス ポートの同じ VLAN またはサブネットに有線クライアントを設定しないでください。 サービス ポートと同じサブネットまたは VLAN に有線クライアントを設定すると、コントローラの管理インターフェイスにアクセスできなくなります。


ゲスト WLAN を管理インターフェイスにマッピングしないでください。 EoIP トンネルが切断すると、クライアントが IP を取得し、管理サブネット内に配置されてしまう可能性があります。

ネットワークのコントローラのサービス ポートの同じ VLAN またはサブネットに有線クライアントを設定しないでください。 サービス ポートと同じサブネットまたは VLAN に有線クライアントを設定すると、コントローラの管理インターフェイスにアクセスできなくなります。

管理インターフェイスの設定(GUI)


    ステップ 1   [Controller] > [Interfaces] の順に選択して、[Interfaces] ページを開きます。
    ステップ 2   [management] リンクをクリックします。

    [Interfaces > Edit] ページが表示されます。

    ステップ 3   管理インターフェイスのパラメータを設定します。
    (注)      管理インターフェイスでは、工場出荷時にコントローラに設定されたディストリビューション システム MAC アドレスが使用されます。
    • 該当する場合、検疫および検疫 VLAN ID

      (注)      [Quarantine] チェックボックスは、この VLAN を正常に動作していない VLAN として設定する場合、またはネットワーク アクセス コントロール(NAC)アウトオブバンドを設定する場合にオンにします。 このように設定すると、この VLAN に割り当てられているあらゆるクライアントのデータ トラフィックがコントローラを通るようになります。
    • NAT アドレス(Cisco 2500 シリーズ コントローラと Cisco 5500 シリーズ コントローラのみが動的 AP 管理用に設定されます)

      (注)      1 対 1 のネットワーク アドレス変換(NAT)を使用するルータまたは他のゲートウェイ デバイスの背後に Cisco 2500 シリーズ コントローラまたは Cisco 5500 シリーズ コントローラを展開できるようにする場合は、[Enable NAT Address] チェックボックスをオンにして、外部 NAT IP アドレスを入力します。 NAT を使用すると、ルータなどのデバイスがインターネット(パブリック)とローカル ネットワーク(プライベート)間のエージェントとして動作します。 この場合、コントローラのイントラネット IP アドレスは対応する外部アドレスにマッピングされます。 コントローラが Discovery Response で適切な IP アドレスを送信できるように、外部 NAT IP アドレスを使用してコントローラの動的 AP マネージャ インターフェイスを設定する必要があります。
      (注)      管理インターフェイスで Cisco 2500 シリーズ コントローラまたは Cisco 5500 シリーズ コントローラに外部 NAT IP アドレスが設定されている場合、ローカル モードの AP はコントローラにアソシエートできません。 この問題を回避するには、グローバルに有効な IP アドレスが管理インターフェイスに設定されるようにするか、外部 NAT IP アドレスをローカル AP に対して内部的に有効なものにします。
      (注)      NAT パラメータの使用は、1 対 1 のマッピングの NAT を使用する場合にだけサポートされています。これにより、各プライベート クライアントはグローバル アドレスに直接かつ固定的にマッピングされます。 NAT パラメータでは、クライアントのグループを単一の IP アドレスで表すために送信元ポート マッピングを使用する 1 対多 NAT はサポートしていません。
    • VLAN 識別子

      (注)      タグなし VLAN については 0、タグ付き VLAN についてはゼロ以外の値を入力します。 管理インターフェイスでは、タグ付きの VLAN を使用することをお勧めします。
    • IPv4 を使用した管理インターフェイスの設定:固定 IP アドレス、IP ネットマスク、およびデフォルト ゲートウェイ。

    • IPv6 を使用した管理インターフェイスの設定: 固定 IPv6 アドレス、プレフィックス長(IPv6 のインターフェイス サブネット マスク)および IPv6 ゲートウェイ ルータのリンクローカル アドレス。

      (注)      プライマリ IPv6 アドレス、プレフィックス長、およびプライマリ IPv6 ゲートウェイを管理インターフェイス上で設定した後で、これらの値をデフォルト値に戻すことはできません(:: /128)。
      (注)      ユーザが IPv4 専用管理インターフェイスに戻す場合に備えて、IPv6 を設定する前に、設定のバックアップを実行する必要があります。
    • 動的 AP 管理(Cisco 2500 シリーズ コントローラまたは Cisco 5500 シリーズ コントローラに対してのみ)

      (注)      Cisco 5500 シリーズ コントローラの場合、管理インターフェイスはデフォルトで AP マネージャ インターフェイスのように動作します。 必要に応じて、管理インターフェイスを AP マネージャ インターフェイスとして無効にし、別の動的インターフェイスを AP マネージャとして作成できます。
    • 物理ポートの割り当て(Cisco 2500 シリーズ コントローラまたは Cisco 5500 シリーズ コントローラを除くすべてのコントローラ)

    • プライマリおよびセカンダリの DHCP サーバ

    • 必要に応じて、アクセス コントロール リスト(ACL)の設定

    ステップ 4   [Save Configuration] をクリックします。
    ステップ 5   管理インターフェイスまたは仮想インターフェイスに何らかの変更を行ったときに変更を有効にするには、コントローラをリブートします。

    管理インターフェイスの設定(CLI)


      ステップ 1   show interface detailed management コマンドを入力し、現在の管理インターフェイスの設定を表示します。
      (注)      管理インターフェイスでは、工場出荷時にコントローラに設定されたディストリビューション システム MAC アドレスが使用されます。
      ステップ 2   config wlan disable wlan-number コマンドを入力して、ディストリビューション システム通信用に管理インターフェイスを使用する各 WLAN を無効にします。
      ステップ 3   次のコマンドを入力し、管理インターフェイスを定義します。
      1. IPv4 アドレスの使用
        • config interface address management ip-addr ip-netmask gateway

        • config interface quarantine vlan management vlan_id

          (注)     

          隔離 VLAN を管理インターフェイスに設定するには、config interface quarantine vlan management vlan_id コマンドを使用します。

        • config interface vlan management {vlan-id | 0}

          (注)     

          タグなし VLAN については 0、タグ付き VLAN についてはゼロ以外の値を入力します。 管理インターフェイスでは、タグ付きの VLAN を使用することをお勧めします。

        • config interface ap-manager management {enable | disable}(Cisco 5500 シリーズ コントローラの場合のみ)

          (注)     

          管理インターフェイスに対して動的 AP 管理を有効または無効にするには、config interface ap-manager management {enable | disable} コマンドを使用します。 Cisco 5500 シリーズ コントローラの場合、管理インターフェイスはデフォルトで AP マネージャ インターフェイスのように動作します。 必要に応じて、管理インターフェイスを AP マネージャ インターフェイスとして無効にし、別の動的インターフェイスを AP マネージャとして作成できます。

        • config interface port management physical-ds-port-number (5500 シリーズを除くすべてのコントローラ)

        • config interface dhcp management ip-address-of-primary-dhcp-server [ip-address-of-secondary-dhcp-server]

        • config interface acl management access-control-list-name

      2. IPv6 アドレスの使用
        • config ipv6 interface address management primary ip-address prefix-length IPv6_Gateway_Address

          (注)      プライマリ IPv6 アドレス、プレフィックス長、およびプライマリ IPv6 ゲートウェイを管理インターフェイス上で設定した後で、これらの値をデフォルト値に戻すことはできません(:: /128)。
          (注)      ユーザが IPv4 専用管理インターフェイスに戻す場合に備えて、IPv6 を設定する前に、設定のバックアップを実行する必要があります。
        • config interface quarantine vlan management vlan_id

          (注)     

          隔離 VLAN を管理インターフェイスに設定するには、config interface quarantine vlan management vlan_id コマンドを使用します。

        • config interface vlan management {vlan-id | 0}

          (注)     

          タグなし VLAN については 0、タグ付き VLAN についてはゼロ以外の値を入力します。 管理インターフェイスでは、タグ付きの VLAN を使用することをお勧めします。

        • config interface ap-manager management {enable | disable}(Cisco 5500 シリーズ コントローラの場合のみ)

          (注)     

          管理インターフェイスに対して動的 AP 管理を有効または無効にするには、config interface ap-manager management {enable | disable} コマンドを使用します。 Cisco 5500 シリーズ コントローラの場合、管理インターフェイスはデフォルトで AP マネージャ インターフェイスのように動作します。 必要に応じて、管理インターフェイスを AP マネージャ インターフェイスとして無効にし、別の動的インターフェイスを AP マネージャとして作成できます。

        • config interface port management physical-ds-port-number (5500 シリーズを除くすべてのコントローラ)

        • config interface dhcp management ip-address-of-primary-dhcp-server [ip-address-of-secondary-dhcp-server]

        • config ipv6 interface acl management access-control-list-name

      ステップ 4   1 対 1 のネットワーク アドレス変換(NAT)を使用するルータまたは他のゲートウェイ デバイスの背後に Cisco 5500 シリーズ コントローラを展開できるようにする場合は、次のコマンドを入力します。
      • config interface nat-address management {enable | disable}

      • config interface nat-address management set public_IP_address

      NAT を使用すると、ルータなどのデバイスがインターネット(パブリック)とローカル ネットワーク(プライベート)間のエージェントとして動作します。 この場合、コントローラのイントラネット IP アドレスは対応する外部アドレスにマッピングされます。 コントローラが Discovery Response で適切な IP アドレスを送信できるように、外部 NAT IP アドレスを使用してコントローラの動的 AP マネージャ インターフェイスを設定する必要があります。

      (注)      これらのコマンドは、1 対 1 マッピング NAT での使用に対してだけサポートされています。各プライベート クライアントはグローバル アドレスに対して直接的かつ固定的にマッピングされます。 これらのコマンドでは、クライアントのグループを単一の IP アドレスで表すために送信元ポート マッピングを使用する 1 対多 NAT はサポートされません。
      ステップ 5   save config コマンドを入力します。
      ステップ 6   show interface detailed management コマンドを入力して、変更内容が保存されていることを確認します。
      ステップ 7   管理インターフェイスに何らかの変更を行った場合に、変更を有効にするためにコントローラをリブートするには、reset system コマンドを入力します。