Cisco Wireless Control System コンフィギュレーション ガイド Release 4.2
テンプレートの 使用
テンプレートの使用
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

テンプレートの使用

コントローラ テンプレートの追加

NTP サーバ テンプレートの設定

汎用テンプレートの設定

QoS テンプレートの設定

トラフィック ストリーム メトリック QoS テンプレートの設定

WLAN テンプレートの設定

セキュリティ

QoS

Advanced

H-REAP AP グループの設定

ファイル暗号化テンプレートの設定

RADIUS 認証テンプレートの設定

RADIUS アカウンティング テンプレートの設定

LDAP サーバ テンプレートの設定

TACACS+ サーバ テンプレートの設定

ネットワーク アクセス コントロール テンプレートの設定

ローカル EAP 生成テンプレートの設定

ローカル EAP プロファイル テンプレートの設定

EAP-FAST テンプレートの設定

ネットワーク ユーザ クレデンシャル取得優先度テンプレートの設定

ローカル ネットワーク ユーザ テンプレートの設定

ゲスト ユーザ テンプレートの設定

ユーザ ログイン ポリシー テンプレートの設定

MAC フィルタ テンプレートの設定

アクセス ポイント認証または LBS 認証の設定

手動による無効化クライアント テンプレートの設定

CPU アクセス コントロール リスト(ACL)テンプレートの設定

不正ポリシー テンプレートの設定

信頼された AP ポリシー テンプレートの設定

クライアント除外ポリシー テンプレートの設定

アクセス ポイント認証および MFP テンプレートの設定

Web 認証テンプレートの設定

カスタマイズ Web 認証ページのダウンロード

アクセス コントロール リスト テンプレートの設定

ポリシー名テンプレートの設定(802.11a/n または 802.11b/g/n 用)

高密度テンプレートの設定

音声パラメータ テンプレートの設定(802.11a/n または 802.11b/g/n 用)

ビデオ パラメータ テンプレートの設定(802.11a/n または 802.11b/g/n 用)

コントローラ テンプレートによる EDCA パラメータの設定

ローミング パラメータ テンプレートの設定(802.11a/n または 802.11b/g/n 用)

RRM しきい値テンプレートの設定(802.11a/n または 802.11b/g/n 用)

RRM 間隔テンプレートの設定(802.11a/n または 802.11b/g/n 用)

802.11h テンプレートの設定

ハイ スループット テンプレートの設定(802.11a/n または 802.11b/g/n 用)

メッシュ テンプレートの設定

既知の不正アクセス ポイント テンプレートの設定

TFTP サーバ テンプレートの設定

トラップ レシーバ テンプレートの設定

トラップ制御テンプレートの設定

Telnet SSH テンプレートの設定

syslog テンプレートの設定

ローカル管理ユーザ テンプレートの設定

ユーザ認証優先度テンプレートの設定

コントローラ テンプレートの適用

アクセス ポイント テンプレートの追加

アクセス ポイント テンプレートの設定

無線テンプレートの設定

アクセス ポイントの選択

レポートの適用

テンプレートの使用

この章では、コントローラ テンプレートを追加および適用する方法を説明します。アクセス ポイント テンプレートの作成(追加)の方法についても説明します。

テンプレートを利用すると、複数のデバイスにパラメータを適用するときに共通の情報を再入力する必要がなくなります。


) テンプレートの情報は、個々のデバイスで上書きされる場合があります。


この章の内容は、次のとおりです。

「コントローラ テンプレートの追加」

「コントローラ テンプレートの適用」

「アクセス ポイント テンプレートの追加」

「アクセス ポイント テンプレートの設定」

コントローラ テンプレートの追加

新しいコントローラ テンプレートを追加する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。

ステップ 3 テンプレート名を入力します。

ステップ 4 テンプレートの説明を入力します。

ステップ 5 Save をクリックします。


 

追加可能なテンプレートは以下のとおりです。

「NTP サーバ テンプレートの設定」

「汎用テンプレートの設定」

「QoS テンプレートの設定」

「トラフィック ストリーム メトリック QoS テンプレートの設定」

「WLAN テンプレートの設定」

「H-REAP AP グループの設定」

「ファイル暗号化テンプレートの設定」

「RADIUS 認証テンプレートの設定」

「RADIUS アカウンティング テンプレートの設定」

「LDAP サーバ テンプレートの設定」

「TACACS+ サーバ テンプレートの設定」

「ネットワーク アクセス コントロール テンプレートの設定」

「ローカル EAP 生成テンプレートの設定」

「ローカル EAP プロファイル テンプレートの設定」

「EAP-FAST テンプレートの設定」

「ネットワーク ユーザ クレデンシャル取得優先度テンプレートの設定」

「ローカル ネットワーク ユーザ テンプレートの設定」

「ゲスト ユーザ テンプレートの設定」

「ユーザ ログイン ポリシー テンプレートの設定」

「MAC フィルタ テンプレートの設定」

「アクセス ポイント認証または LBS 認証の設定」

「手動による無効化クライアント テンプレートの設定」

「CPU アクセス コントロール リスト(ACL)テンプレートの設定」

「不正ポリシー テンプレートの設定」

「信頼された AP ポリシー テンプレートの設定」

「クライアント除外ポリシー テンプレートの設定」

「アクセス ポイント認証および MFP テンプレートの設定」

「Web 認証テンプレートの設定」

「アクセス コントロール リスト テンプレートの設定」

「ポリシー名テンプレートの設定(802.11a/n または 802.11b/g/n 用)」

「高密度テンプレートの設定」

「音声パラメータ テンプレートの設定(802.11a/n または 802.11b/g/n 用)」

「ビデオ パラメータ テンプレートの設定(802.11a/n または 802.11b/g/n 用)」

「コントローラ テンプレートによる EDCA パラメータの設定」

「コントローラ テンプレートによる EDCA パラメータの設定」

「RRM しきい値テンプレートの設定(802.11a/n または 802.11b/g/n 用)」

「RRM 間隔テンプレートの設定(802.11a/n または 802.11b/g/n 用)」

「802.11h テンプレートの設定」

「メッシュ テンプレートの設定」

「既知の不正アクセス ポイント テンプレートの設定」

「TFTP サーバ テンプレートの設定」

「トラップ レシーバ テンプレートの設定」

「トラップ制御テンプレートの設定」

「Telnet SSH テンプレートの設定」

「syslog テンプレートの設定」

「ローカル管理ユーザ テンプレートの設定」

「ユーザ認証優先度テンプレートの設定」

「アクセス ポイント テンプレートの設定」

NTP サーバ テンプレートの設定

新しい Network Time Protocol(NTP; ネットワーク タイム プロトコル)サーバ テンプレートをコントローラ設定に追加したり、既存の NTP テンプレートを変更する手順は、次のとおりです。NTP は、コンピュータのクロックをインターネット上で同期させるときに使用します。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、 System > Network Time Protocol の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。NTP Server Template ウィンドウが表示され(図10-1 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-1 NTP サーバ テンプレート

 

ステップ 4 NTP サーバの IP アドレスを入力します。

ステップ 5 Save をクリックします。


 

汎用テンプレートの設定

コントローラの新しい汎用情報テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、System > General の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。General Template ウィンドウが表示されます(図10-2 参照)。

図10-2 汎用テンプレート

 

ステップ 4 ドロップダウン メニューを使用してフロー制御モードを有効または無効にします。

ステップ 5 ドロップダウン メニューを使用して 802.3 ブリッジを有効または無効にします。

ステップ 6 レイヤ 2 またはレイヤ 3 転送モードを指定します。レイヤ 3 に設定した場合、LWAPP は IP アドレスを使用してアクセス ポイントと通信します。これらの IP アドレスは必須の DHCP サーバから収集します。レイヤ 2 に設定した場合、LWAPP は専用コードを使用してアクセス ポイントと通信します。

ステップ 7 Ethernet Multicast Support ドロップダウン メニューで Disable を選択してコントローラ上のマルチキャスト サポートを無効にするか、Multicast を選択してコントローラ上のマルチキャスト サポートを有効にします。マルチキャスト パケットを受信した場合に、コントローラがパケットをアソシエートされたアクセス ポイントすべてに転送する場合は、Unicast を選択します。H-REAP はユニキャスト モードのみをサポートします。

ステップ 8 積極的な負荷分散を有効にするか無効にするかを選択します。

ステップ 9 ピアツーピア ブロック モードを有効にするか無効にするかを選択します。Disable を選択すると、同じサブネットのクライアントはすべてこのコントローラを使用して通信します。Enable を選択すると、同じサブネットのクライアントはすべて上位レベルのルータを使用して通信します。

ステップ 10 Over Air AP Provision Mode ドロップダウン メニューで有効または無効を選択します。

ステップ 11 AP Fallback ドロップダウン メニューで有効または無効を選択します。フォールバックを有効にすると、がプライマリ コントローラの接続が切断されたアクセス ポイントがプライマリ コントローラの復帰と同時に自動的にサービスに戻ります。

ステップ 12 Apple Talk ブリッジを有効にするか無効にするかを選択します。

ステップ 13 高速 SSID オプションを有効にするか無効にするかを選択します。有効にすると、クライアントは SSID 間で接続をほとんど中断せずにコントローラに瞬時に接続します。通常、各クライアントは SSID に特定された特定の WLAN に接続します。クライアントが接続したアクセス ポイントの範囲外に移動した場合、クライアントは別のアクセス ポイントを使用してコントローラに再接続する必要があります。この通常のプロセスは、DHCP サーバが IP アドレスをクライアントに割り当てる必要があるため、少し時間がかかります。

ステップ 14 マスター コントローラは、通常、展開されたネットワークで使用されないため、マスター コントローラの設定は、リブートまたは OS コードのアップグレード時に自動的に無効になります。コントローラをマスター コントローラとして Master Controller Mode ドロップダウン メニューから有効にできる場合もあります。

ステップ 15 無線クライアントからコントローラ管理インターフェイスへのアクセスを有効にするか無効にするかを選択します。IPSec 動作により、無線による管理は WPA、Static WEP、または VPN Pass Through WLAN 全体にログインしているオペレータのみが実行できます。無線管理は、IPSec WLAN を経由してログインしようとしているクライアントは実行できません。

ステップ 16 リンク集約を有効にするか無効にするかを選択します。リンク集約によって、物理ポートをすべてグループ化して link aggregation group(LAG; リンク集約グループ)を作成し、コントローラ上のポートを構成するために必要な IP アドレスの数を削減できます。4402 モデルでは、LAG を形成するために 2 つのポートが組み合わされます。4404 モデルでは、4 つのポートすべてが LAG を形成するため組み合わされます。

LAG がコントローラ上で有効な場合、次の設定が変更されます。

作成した動的インターフェイスは削除されます。これは、インターフェイス データベース内での設定の矛盾を避けるためです。

インターフェイスを Dynamic AP Manager フラグ セットで作成できません。


) コントローラ上で複数の LAG を作成することはできません。


LAG を作成する利点は、次のとおりです。

リンクの 1 つがダウンした場合に、常にトラフィックが LAG 内の他のリンクに移動します。このため、物理ポートの 1 つが動作している限り、システムは機能し続けます。

これによって、インターフェイスごとに個別のバックアップ ポートを設定する必要がなくなります。

アプリケーションは論理ポートを 1 つしか認識しないため、複数の AP-manager インターフェイスは必要ありません。


) LAG 設定に変更を加えると、変更を有効にするためにコントローラをリブートする必要があります。


ステップ 17 シンメトリック モビリティ トンネリングを有効にするか無効にするかを選択します。シンメトリック モビリティ トンネリングを使用すると、コントローラでは 1 つのアクセス ポイントから無線 LAN 内の別のアクセス ポイントへローミングするクライアントに対して、サブネット間のモビリティが提供されます。有線ネットワーク上のクライアント トラフィックは、外部コントローラによって直接ルーティングされます。ルータで Reverse Path Filtering(RPF; リバース パス フィルタリング)が有効になっている場合、受信パケットで追加確認が実行され、通信はブロックされます。RPF が有効になっている場合でも、シンメトリック モビリティ トンネリングによって、アンカーとして指定されたコントローラにクライアント トラフィックが到達できるようになります。


) モビリティ グループのすべてのコントローラは、同一のシンメトリック トンネリング モードを備えている必要があります。



) シンメトリック トンネリングを有効にするには、リブートする必要があります。


ステップ 18 Default Mobility Domain Name フィールドにオペレータが定義した RF モビリティ グループ名を入力します。

ステップ 19 Mobility Anchor Group Keep Alive Interval でクライアントが別のアクセス ポイントへの接続を試みるまでの遅延時間を指定します。このゲスト トンネリングの N+1 冗長機能を使用すると、コントローラのエラー後にクライアントが別のアクセス ポイントに接続するためにかかる時間が短縮されます。エラーがすばやく特定され、クライアントが問題発生のコントローラから移動し、別のコントローラに接続されるためです。


) パラメータ フィールドにマウスを置くと、そのフィールドの有効な範囲が表示されます。


ステップ 20 Mobility Anchor Group Keep Alive Retries でクライアントが到達不能と判断するまでのアンカーへのクエリーの数を指定します。


) パラメータ フィールドにマウスを置くと、そのフィールドの有効な範囲が表示されます。


ステップ 21 8 ~ 19 文字の RF ネットワーク グループ名を入力します。Radio Resource Management(RRM; 無線リソース管理)ネイバー パケットは RF ネットワーク グループ内のアクセス ポイントに分散されます。Cisco アクセス ポイントは、この RF ネットワーク名で送信された RRM ネイバー パケットのみを受け入れます。別の RF ネットワーク名で送信された RRM ネイバー パケットはドロップされます。

ステップ 22 アイドル クライアントのタイムアウトを指定します。デフォルトは 300 秒です。タイムアウトを過ぎると、クライアントは認証を失い、アクセス ポイントから一時的にアソシエート解除し、再アソシエートして、再度認証を行います。

ステップ 23 アドレス解決プロトコルのタイムアウトを秒単位で指定します。デフォルトは 300 秒です。

ステップ 24 CDP on controller ドロップダウン メニューでコントローラ上の CDP を有効にするかどうかを選択します。CDP は、Cisco で製造されたすべての機器(ルータ、ブリッジ、通信サーバなど)上で実行されるデバイス検出プロトコルです。

ステップ 25 Global CDP on APs ドロップダウン メニューでアクセス ポイント上の CDP を有効にするかどうかを選択します。

ステップ 26 Refresh Time Interval パラメータに CDP メッセージが生成される間隔を入力します。再生成時にネイバー エントリが更新されます。

ステップ 27 Holdtime パラメータに、CDP ネイバー エントリが無効になるまでの時間を秒単位で入力します。

ステップ 28 CDP Advertisement Version パラメータに、使用する CDP プロトコルのバージョンを入力します。

ステップ 29 Save をクリックします。


 

QoS テンプレートの設定

Quality of Service プロファイルを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、System > QoS Profiles の順に選択します。QoS Template ウィンドウが表示され(図10-3 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-3 QoS プロファイル テンプレート

 

ステップ 3 ウィンドウの Per-User Bandwidth Contracts 部分に次の値を設定します。すべてに 0 または Off のデフォルトがあります。

Average Data Rate:UDP 以外のトラフィックの平均データ レート

Burst Data Rate:UDP 以外のトラフィックのピーク データ レート

Average Real-time Rate:UDP トラフィックの平均データ レート

Burst Real-time Rate:UDP トラフィックのピーク データ レート

ステップ 4 ウィンドウの Over-the-Air QoS 部分に次の値を設定します。

Maximum QoS RF Usage per AP:クライアントが使用できる最大無線帯域幅。デフォルトは 100% です。

QoS Queue Depth:クライアントのクラスのキュー深度。これより大きな値のパケットは、アクセス ポイントでドロップされます。

ステップ 5 ウィンドウの Wired QoS Protocol 部分に次の値を設定します。

Wired QoS Protocol:802.1P プライオリティ タグをアクティブにするには 802.1P を選択し、802.1P プライオリティ フラグを非アクティブにするには None を選択します。

802.1P Tag:有線接続の 802.1P プライオリティ タグを 0 ~ 7 から選択します。このタグは、トラフィックおよびLWAPP パケットに使用されます。

ステップ 6 Save をクリックします。


 

トラフィック ストリーム メトリック QoS テンプレートの設定

トラフィック ストリーム メトリックは、無線 LAN での VoIP に関する一連の統計で、無線 LAN の QoS について報告します。これらの統計は、VoIP システムにより提供されるエンドツーエンドの統計とは異なります。エンドツーエンドの統計は、コール パスからなるすべてのリンクをカバーする、パケット損失および遅延に関する情報を提供します。しかし、トラフィック ストリーム メトリックは、コールの WLAN セグメントのみの統計です。このためシステム管理者は、音声の問題が WLAN によるものであるのか、コールに関与するその他のネットワーク要素によるものであるのかを、迅速に判断できます。どのアクセス ポイントの QoS が低下しているかを監視することにより、システム管理者は問題の発生している物理領域を迅速に特定できます。無線のカバレッジ不足または過度の干渉が根本的な問題である場合は、これが重要となります。

音声コールの音声品質に影響を与える可能性のある 4 つの QoS の値(パケット遅延、パケット ジッタ、パケット損失、ローミング時間)が監視されます。このプロセスには、すべての無線 LAN コンポーネントが関与しています。アクセス ポイントおよびクライアントでメトリックを測定し、アクセス ポイントで計測結果を収集してこれらをコントローラに送信します。アクセス ポイントでは、90 秒ごとにコントローラのトラフィック ストリーム メトリック情報を更新し、一度に 10 分間分のデータが格納されます。Cisco WCS はコントローラにメトリックを問い合せ、Traffic Stream Metrics QoS Status にこれらを表示します。これらのメトリックはしきい値と比較され、ステータス レベルが決定されます。統計のいずれかのステータス レベルが可(黄色)または低下(赤)と表示された場合には、管理者は無線 LAN の QoS を調査します。

アクセス ポイントで測定値を収集するには、トラフィック ストリーム メトリックがコントローラで有効であることが必要です。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、System > Traffic Stream Metrics QoS の順に選択します。
Traffic Stream Metrics QoS Status Configuration ウィンドウが表示されます(図10-4 参照)。

図10-4 トラフィック ストリーム メトリック QoS ステータス テンプレート

 

Traffic Stream Metrics QoS Status Configuration ウィンドウにいくつかの QoS 値が示されます。管理者は、音声およびビデオの次の品質を監視できます。

アップストリーム遅延

アップストリーム パケット損失率

ローミング時間

ダウンストリーム パケット損失率

ダウンストリーム遅延

Packet Loss Rate( PLR; パケット損失率)は音声の明瞭さに影響を与えます。パケット遅延は、明瞭さと接続におけるやり取りの品質の両方に影響を与える可能性があります。過度のローミング時間は音声に望ましくないギャップが生じます。

測定レベルは 3 つあります。

Normal:正常な QoS(緑)

Fair:一応は満足できる QoS(黄色)

Degraded:低下した QoS(赤)

緑、黄色、および赤のアラーム レベルを設定する際、システム管理者は何らかの判断を採る必要があります。考慮すべきファクタは次のとおりです。

PLR に影響を与える可能性のある干渉および無線のカバレッジを含む環境ファクタ

モバイル デバイスでの音声品質に対するエンド ユーザの期待およびシステム管理者の要求(音声品質が低いほど高い PLR が可能)。

電話により使用されるコーデックの種類が異なると、パケット損失の許容値は異なる。

すべてのコールがモバイル間のコールとは限らず、そのため、中には無線 LAN に関する PLR 要件があまり厳しくないものがある。


 

WLAN テンプレートの設定

WLAN テンプレートでは、アプリケーション用のさまざまな WLAN プロファイルを別のコントローラに定義できます。

WCS ソフトウェア リリース 4.0.96.0 以降のリリースでは、同じ SSID で複数の WLAN を設定できます。この機能によって、同じ無線 LAN 内で別のレイヤ 2 セキュリティ ポリシーを割り当てられます。同じ SSID の WLAN を区別するには、各 WLAN に一意のプロファイル名を作成する必要があります。

次の制限は、同じ SSID で複数の WLAN を設定する場合に適用されます。

同じ SSID の WLAN は、クライアントがビーコンおよびプローブ内のアドバタイズされた情報に基づいて WLAN を選択できるように、一意のレイヤ 2 セキュリティ ポリシーを持っている必要があります。使用できるレイヤ 2 セキュリティ ポリシーは次のとおりです。

なし(オープン WLAN)

Static WEP または 802.1

CKIP

WPA/WPA2

SSID を共有する WLAN 上で Broadcast SSID を有効にする必要があります。これによって、アクセス ポイントがこれらの WLAN のプローブ応答を生成できます。

ハイブリッド REAP アクセス ポイントは複数の SSID をサポートしません。

WLAN の上書き機能は、複数の SSID ではサポートされません。

新しい WLAN テンプレートを追加したり、既存の WLAN テンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、WLANs > WLAN の順に選択します。

WLAN Template ウィンドウに既存のすべての定義済み WLAN の概要が表示されます。WLAN Template General ウィンドウに表示される WLAN を定義するために、次の情報見出しが使用されます(図10-5を参照)。

Template Name:ユーザが定義したテンプレート名。名前をクリックすると、このテンプレートのパラメータが表示されます。

Profile Name:同じ SSID の WLAN を区別するために使用されるユーザが定義したプロファイル名。


) この見出しは、4.0.96.0 以前のソフトウェア リリースにはありません。


SSID:WLAN の名前を表示します。

WLAN Status:オンにした場合に有効になる WLAN のステータスを設定します。

Security Policies:802.1X が有効かどうかを判別します。None は 802.1X が有効ではないことを示します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列の URL をクリックします。WLAN Template ウィンドウが表示されます(図10-5 参照)。

図10-5 WLAN テンプレート

 

ステップ 4 有線ゲスト アクセスでは、ゲスト ユーザがゲスト アクセス用に指定および設定された有線イーサネット接続からゲスト アクセス ネットワークへ接続できます。有線ゲスト アクセス ポートは、ゲストのオフィスまたは会議室の特定のポートで使用できます。Lobby Ambassador ポータルを使用して有線ゲスト アクセス アカウントがネットワークに追加されます。(「ゲスト ユーザ アカウントの作成」を参照してください)。

ステップ 5 Radio Policy ドロップダウン メニューを使用して、適用する WLAN ポリシーを All(802.11a/b/g/n)、802.11a only、802.11g only、802.11b/g/n only、または 802.11a/g/n only に設定します。

ステップ 6 Interface ドロップダウン メニューを使用して、Controller > Interfaces モジュールにより作成された使用可能なインターフェイス名から選択します。

ステップ 7 Broadcast SSID をオンにし、この WLAN の SSID ブロードキャストをアクティブにします。

ステップ 8 Save をクリックします。

ステップ 9 WLAN テンプレートをさらに設定するには、次から選択します。

この WLAN 上のデフォルト サーバを上書きできる AAA とレイヤ 2 および 3 のセキュリティ モードを設定するには、Security タブをクリックします。「セキュリティ」に進みます。

この WLAN でのサービスの質を設定するには、QoS タブをクリックします。「QoS」に進みます。

DHCP の割り当てや Management Frame Protection など、WLAN についてのその他の詳細を設定するには、Advanced タブをクリックします。「Advanced」に進みます。


 

セキュリティ

Security を選択すると、さらに 3 つのタブが表示されます。Layer 2、Layer 3、および AAA Servers です。

Layer 2

Layer 2 タブを選択すると、図10-6 のようなウィンドウが表示されます。


) 画面には、Layer 2 Security ドロップダウン メニューで選択したオプションに応じてさまざまな内容が表示されます。


図10-6 Layer 2 ウィンドウ

 


ステップ 1 Layer 2 Security ドロップダウン メニューを使用して、次の表に示す、None、WPA、WPA-2、Static WEP、802.1X、Cranite、Fortress、Static WEP-802.1X、CKIP、および WPA1 + WPA2 から選択します。

 

表10-1 Layer 2 Security オプション

パラメータ
説明

None

レイヤ2 の選択はありません。

802.1X

WEP 802.1X データ暗号化タイプ(注 1):

40/64 ビット キー

104/128 ビット キー

128/152 ビット キー

WPA

これは、3.2 コントローラ コード オプションで 4.0 またはそれ以降のバージョンではサポートされていません。

WPA-2

これは、3.2 コントローラ コード オプションで 4.0 またはそれ以降のバージョンではサポートされていません。

Static WEP

静的 WEP 暗号化パラメータ:

キー サイズ:40/64、104/128、および 128/152 ビットのキー サイズ

キー インデックス:1 ~ 4(注 2)

暗号キー:暗号キーは必須です。

キー形式:ASCII または HEX の暗号キー形式を選択します。

Cranite

FIPS140-2 準拠の Cranite Wireless Wall Software Suite を使用するように WLAN を設定します。ここでは、AES 暗号化および VPN トンネルを使用し、Cisco Wireless LAN Solution により伝送されるすべてのデータ フレームの暗号化および確認を行います。

Fortress

FIPS 40-2 準拠のレイヤ2 セキュリティ機能

Static WEP-802.1X

この設定により、静的 WEP と 802.1X の両方のポリシーを有効にします。このオプションを選択すると、静的 WEP と 802.1X のパラメータがページの下部に表示されます。

静的 WEP 暗号化パラメータ:

キー サイズ:40/64、104/128、および 128/152 ビットのキー サイズ

キー インデックス:1 ~ 4(注 2)

暗号キー:暗号キーを入力します。

キー形式:ASCII または HEX の暗号キー形式を選択します。

WEP 802.1X データ暗号化タイプ(注 1):

40/64 ビット キー

104/128 ビット キー

128/152 ビット キー

WPA1+WPA2

この設定により、WPA1、WPA2、またはその両方を有効にします。WPA1+WPA2 を選択した場合にウィンドウに表示される WPA1 および WPA2 パラメータを参照してください。WPA1 は、TKIP-MIC データ暗号化を使用する Wi-Fi Protected Access を有効にします。WPA1+WPA2 を選択すると、クライアントがアクセス ポイント間をローミングする際に迅速な交換が可能となる Cisco の Centralized Key Management(CCKM; 中央化キー管理)認証キー管理を使用できます。

レイヤ 2 セキュリティ ポリシーとして WPA1+WPA2 を選択し、事前共有キーが有効である場合は、CCKM または 802.1X を有効にすることはできません。ただし、CCKM と 802.1X の両方を同時に有効にすることは可能です。

CKIP

Cisco Key Integrity Protocol(CKIP)。Cisco のアクセス ポイントは、ビーコンおよびプローブの応答パケットで CKIP のサポートをアドバタイズします。CKIP は、Aironet IE が WLAN で有効な場合にのみ設定できます。

選択すると、これらの CKIP パラメータが表示されます。

キー サイズ:キーの長さを指定します。

暗号キー:暗号キーを指定します。

キー形式:ASCII または HEX

MMH モード:有効または無効にします(チェックボックス)。

キー順列:有効または無効にします(チェックボックス)。

ステップ 2 MAC アドレスによりクライアントをフィルタリングする場合は、MAC Filtering チェックボックスをオンにします。

ステップ 3 手順 1 で WPA1 または WPA2 を選択した場合、WPA 暗号化のタイプ(TKIP または AES)を指定する必要があります。

ステップ 4 目的の種類の認証キー管理を選択します。選択肢には、802.1X、CCKM、PSK、または CCKM+802.1X があります。


) PSK を選択した場合は、パスワードと種類(ASCII または 16 進数)を入力する必要があります。


ステップ 5 Save をクリックします。


 

Layer 3

Layer 3 タブを選択すると、図10-7 のようなウィンドウが表示されます。


) 画面には、Layer 3 Security ドロップダウン メニューで選択したオプションに応じてさまざまな内容が表示されます。


図10-7 Layer 3 ウィンドウ

 

Layer 3 タブを設定する手順は、次のとおりです。


ステップ 1 Layer 3 Security ドロップダウン メニューを使用して、None と VPN Pass Through から選択します。選択肢によって、ウィンドウ パラメータが変わります。VPN Pass Through を選択した場合は、VPN ゲートウェイ アドレスを入力する必要があります。

ステップ 2 認証、パススルー、または条件付き Web リダイレクトのようなポリシーを選択する場合は、Web Policy チェックボックスをオンにします。

ステップ 3 Save をクリックします。


 

AAA Servers

AAA Server タブを選択すると、図10-8 のようなウィンドウが表示されます。

図10-8 AAA Servers ウィンドウ

 

AAA Servers タブを設定する手順は、次のとおりです。


ステップ 1 RADIUS および LDAP サーバ セクションのドロップダウン メニューを使用して、認証サーバおよびアカウンティング サーバを選択します。これは、指定した WLAN のデフォルトの RADIUS サーバを選択し、ネットワークに対して設定されている RADIUS サーバは上書きされます。3 つすべての RADIUS サーバが特定の 1 つの WLAN に対して設定されている場合、優先順位はサーバ 1 が最も高くなります。LDAP サーバをここで選択しないと、WCS はデータベースのデフォルトの LDAP サーバ順序を使用します。

ステップ 2 有効にする EAP プロファイルをすでに設定している場合は、 Local EAP Authentication チェックボックスをオンにします。ローカル EAP は、ユーザと無線クライアントがローカルで認証できる認証メソッドです。これは、バックエント システムが故障したり、外部認証サーバがダウンした場合にも無線クライアントへの接続を維持したいリモート オフィスで使用するようデザインされています。

ステップ 3 AAA Override が有効で、クライアントにおいて AAA とコントローラ WLAN 認証パラメータが競合している場合、クライアント認証は AAA サーバにより行われます。この認証の一部として、オペレーティング システムはクライアントをデフォルトの Cisco WLAN Solution から、AAA サーバにより返され、コントローラのインターフェイス設定で事前定義された VLAN に移動します(MAC フィルタリング、802.1X、または WPA 動作用に設定されている場合のみ)。すべての場合において、オペレーティング システムはまた、QoS、DSCP、802.1p プライオリティ タグ値、および AAA サーバにより提供される ACL がコントローラ インターフェイス設定で事前に定義されている限り、これらを使用します(AAA Override によるこの VLAN 切り替えは、ID ネットワーキングとも呼ぶ)。

たとえば、企業の WLAN が主に VLAN 2 に割り当てられた管理インターフェイスを使用し、AAA Override が VLAN 100 へのリダイレクトを返す場合、VLAN 100 が割り当てられている物理ポートに関係なく、オペレーティング システムは、すべてのクライアント転送を VLAN 100 にリダイレクトします。

AAA Override が無効の場合、すべてのクライアント認証はデフォルトのコントローラの認証パラメータ設定となり、コントローラの WLAN にクライアント固有の認証パラメータが含まれていない場合、認証は AAA サーバによってのみ行われます。

AAA Override の値は、たとえば RADIUS サーバの値となります。

ステップ 4 Save をクリックします。


 

QoS

WLAN Template ウィンドウの QoS タブを選択すると、図10-9 のようなウィンドウが表示されます。

図10-9 QoS ウィンドウ

 

QoS タブを設定する手順は、次のとおりです。


ステップ 1 QoS ドロップダウン メニューを使用して、 Platinum(音声)、Gold(ビデオ)、Silver(ベストエフォート)、または Bronze(バックグラウンド)のいずれかを選択します。VoIP などのサービスは Gold に設定する必要がありますが、テキスト メッセージなど差別的ではないサービスは Bronze に設定できます。

ステップ 2 WMM Policy ドロップダウン メニューを使用して、Disabled、Allowed(クライアントが WLAN と通信できるようにする)、または Requied(クライアントが通信で WMM を有効にすることを必須とする)を選択します。

ステップ 3 Cisco 7920 電話でサポートを有効にする場合は、7920 AP CAC チェックボックスをオンにします。

ステップ 4 7920 電話で WLAN に旧バージョンのソフトウェアをサポートさせる場合は、7920 Client CAC チェックボックスをオンにして有効にします。CAC の制限は、より新しいバージョンのソフトウェアのアクセス ポイントで設定されます。

ステップ 5 Save をクリックします。


 

Advanced

WLAN Template ウィンドウの Advanced タブをクリックすると、図10-10 のようなウィンドウが表示されます。

図10-10 Advanced ウィンドウ

 


ステップ 1 ハイブリッド REAP ローカル切り替えを有効にするには、H-REAP Local Switching チェックボックスをオンにします。ハイブリッド REAP の詳細は、「ハイブリッド REAP の設定」を参照してください。これを有効にすると、ハイブリッド REAP のアクセス ポイントは、クライアント認証を処理し、クライアント データ パケットをローカルに切り替えます。

H-REAP ローカル切り替えは、Cisco 1130/1240/1250 シリーズのアクセス ポイントに対してのみ適用可能です。これは、L2TP、PPTP、CRANITE、および FORTRESS 認証ではサポートされていません。また、WLAN IDs 9-16 には適用できません。

ステップ 2 Session Timeout パラメータで、クライアント セッションが再認可を必要とせずに続行できる最大時間を設定します。

ステップ 3 この WLAN の Aironet Information Element(IE; 情報要素)のサポートを有効にする場合は、Aironet IE チェックボックスをオンにします。Aironet IE サポートが有効な場合、アクセス ポイントはこの WLAN のビーコンおよびプローブ応答で Aironet IE 0x85(アクセス ポイント名、負荷、アソシエートされたクライアント数などを含む)を送信し、コントローラは、再アソシエート要求で Aironet IE 0x85 を受信すると、Aironet IE 0x85 および 0x95(コントローラの管理 IP アドレスおよびアクセス ポイントの IP アドレスを含む)を送信します。

ステップ 4 Ipv6 を有効にする場合は、これをオンにします。同じ WLAN 上で IPv6 ブリッジおよび IPv4 Web 認証を設定できます。WCS では、ブリッジを使用するレイヤ2 セキュリティは禁止されています。


) これを有効にするには、Layer 3 Security は None に設定する必要があります。


ステップ 5 Override Interface ACL ドロップダウン メニューに定義済みの access control lists(ACL; アクセス コントロール リスト)のリストが表示されます。(ACL を定義する手順については、「アクセス コントロール リスト テンプレートの設定」を参照してください。)リストから ACL を選択すると、WLAN は ACL を WLAN にアソシエートします。ACL の選択はオプションで、このパラメータのデフォルトは、None です。

ステップ 6 すべての WLAN にステータスを適用するのではなく、WLAN ごとにピアツーピア ブロックを設定できます。Peer to Peer Blocking ドロップダウン メニューから、次のいずれかを選択します。

Disable:ピアツーピア ブロックは無効にされています。トラフィックは可能な場合はローカルでブリッジされます。

Drop:パケットは破棄されます。

Forward Up:パケットはアップストリーム VLAN 上に転送され、そのパケットをどうするかが決定されます。

WLAN(トラフィックがコントローラを通過するのを防ぐ)の HREAP ローカル切り替えが有効になっている場合は、このドロップダウン メニューが灰色になります。


) ピアツーピア ブロックはマルチキャスト トラフィックには適用されません。


ステップ 7 クライアントの自動的な除外を有効にする場合は、Client Exclusion チェックボックスをオンにします。クライアントの除外を有効にする場合、無効となるクライアント マシンの Timeout Value を秒単位で設定することも必要です。クライアント マシンは MAC アドレスで除外され、そのステータスは監視できます。0 のタイムアウト設定は、クライアントを再度有効にするには管理制御が必要であることを示します。


) セッションのタイムアウトが設定されていない場合、除外されたクライアントはそのまま残り、除外された状態からタイムアウトすることはありません。除外機能が無効であることを意味するのではありません。


ステップ 8 DHCP サーバを上書きするチェックボックスをオンにすると、別のパラメータが表示され、ここで DHCP サーバの IP アドレスを入力できます。一部の WLAN 設定では、これは必須です。有効な 3 つの設定は、次のとおりです。

DHCP Required および有効な DHCP サーバの IP アドレスを設定:すべての WLAN クライアントは DHCP サーバから IP アドレスを取得します。

DHCP は不要とし、有効な DHCP サーバの IP アドレスを設定:すべての WLAN クライアントは、DHCP サーバから IP アドレスを取得するか、固定 IP アドレスを使用します。

DHCP は不要とし、DHCP サーバの IP アドレスを 0.0.0.0 に設定:すべての WLAN クライアントは強制的に固定 IP アドレスを使用します。すべての DHCP 要求はドロップされます。

DHCP のアドレス割り当てを要求した後にDHCP サーバの IP アドレスの入力を選択することはできません。

ステップ 9 MFP Signature Generation チェックボックスがオンの場合、この WLAN にアソシエートされているアクセス ポイントにより送信される 802.11 管理フレームのシグニチャ生成が可能です。シグニチャ生成によって、侵入者による送信された管理フレームへの変更が、確実に検出および報告されます。

ステップ 10 MFP Client Protection ドロップダウン メニューで、コントローラの個別の WLAN の設定のために Optional、Disabled、または Required を選択します。インフラストラクチャ MFP が有効でない場合、このドロップダウン メニューは使用できません。


) クライアント側 MFP は、Cisco Compatible Extensions(バージョン 5 以降)クライアントをサポートするよう設定されている WLAN でのみ使用でき、WPA2 が最初に設定されている必要があります。


ステップ 11 Save をクリックします。


 

H-REAP AP グループの設定

ハイブリッド REAP を使用すると、ブランチ オフィスまたはリモート オフィスにあるアクセス ポイントを本社のオフィスから WAN(広域ネットワーク)を使用して、各オフィスでコントローラを展開せずに、設定および制御できます。ロケーションごとに展開できるハイブリッド REAP のアクセス ポイント数は無制限ですが、ブランチ オフィスは同じ設定を共有していることが多いため、フロアごとにアクセス ポイントを組織化してグループ化し、ビルディングごとに 25 程度に制限できます。

H-REAP AP グループを設定する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから HREAP > HREAP AP Groups の順に選択します。

ステップ 3 Template Name 列に HREAP アクセス ポイント グループに割り当てられたグループ名が表示されます。別のグループを追加する場合は、Select a Command ドロップダウン メニューから Add HREAP AP Group を選択します。
- または -
既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。HREAP AP Groups テンプレートの General タブが表示されます(図10-11を参照)。

図10-11 AP グループ HREAP テンプレート

 

ステップ 4 Template Name パラメータに HREAP アクセス ポイント グループに割り当てられたグループ名が表示されます。

ステップ 5 各グループのプライマリ RADIUS 認証サーバを選択します。RADIUS 認証サーバがコントローラ上にない場合は、WCS の設定した RADIUS サーバは適用されません。値が 10 の場合は、プライマリ RADIUS サーバがこのグループに対して設定されていないことを表します。

ステップ 6 各グループのセカンダリ RADIUS 認証サーバを選択します。RADIUS 認証サーバがコントローラ上にない場合は、WCS の設定した RADIUS サーバは適用されません。値が 0 の場合は、プライマリ RADIUS サーバがこのグループに対して設定されていないことを表します。

ステップ 7 グループにアクセス ポイントを追加するには、H-REAP AP タブをクリックします。

ステップ 8 アクセス ポイントのイーサネット MAC アドレスは、同じコントローラ上の複数の H-REAP グループに存在することはできません。複数のグループが同じコントローラに適用されている場合は、Ethernet MAC チェックボックスをオンにして、グループの 1 つのアクセス ポイントの選択を解除します。この変更を保存するか、コントローラに適用する必要があります。

ステップ 9 Add AP をクリックします。H-REAP AP Group ウィンドウが表示されます。

ステップ 10 Submit をクリックします。


 

ファイル暗号化テンプレートの設定

このページでは、新しいファイル暗号化テンプレートの追加、または既存のファイル暗号化テンプレートの変更が可能です。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから Security > File Encryption の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。ファイル暗号化テンプレートが表示されます(図10-12 参照)。

図10-12 ファイル暗号化テンプレート

 

ステップ 4 ファイル暗号化を有効にする場合、File Encryption をオンにします。

ステップ 5 ちょうど 16 の ASCII 文字の暗号キー テキスト文字列を入力します。

ステップ 6 暗号キーを再入力します。

ステップ 7 Save をクリックします。


 

RADIUS 認証テンプレートの設定

このページでは、RADIUS 認証サーバ情報のテンプレートの追加、または既存のテンプレートの変更が可能です。これらのサーバ テンプレートを設定した後、CLI または GUI を経由してコントローラにログインしているコントローラ ユーザが認証されます。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、Security > RADIUS Authentication Servers の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。RADIUS Authentication Server Template ウィンドウが表示され(図10-13 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

RADIUS サーバの IP アドレスとインターフェイス プロトコルのポート番号も表示されます。

図10-13 RADIUS 認証サーバ テンプレート

 

ステップ 4 ドロップダウン メニューを使用して、ASCII または HEX のいずれかの共有秘密形式を選択します。

ステップ 5 指定のサーバで使用する RADIUS 共有秘密を入力します。

ステップ 6 キー ラップを有効にする場合は、Key WRAP チェックボックスをオンにします。このオプションが有効な場合、認証要求は Key Encryption Key(KEK)および Message Authenticator Code Keys(MACK)が設定されている RADIUS サーバに送信されます。また、このオプションが有効な場合には、次のパラメータが表示されます。

Shared Secret Format:ASCII と 16 進数のどちらにするかを決定します。

KEK Shared Secret:KEK 共有秘密を入力します。

MACK Shared Secret:MACK 共有秘密を入力します。


) コントローラが共有秘密の通知を受けるたびに、既存の共有秘密は新しい共有秘密に上書きされます。


ステップ 7 管理権限を有効にする場合は、Admin Status チェックボックスをオンにします。

ステップ 8 RFC 3576 のサポートを有効にする場合は、Support for RFC 3576 チェックボックスをオンにします。RFC 3576 は Remote Authentication Dial In User Service(RADIUS)プロトコルの拡張です。これは、ユーザ セッションに対する動的な変更を可能とし、ユーザの接続解除やユーザ セッションに適用できる認証の変更に対するサポートを含みます。これらの認証と共に、Disconnect および Change-of-Authorization(CoA)メッセージのサポートが提供されます。Disconnect メッセージはユーザ セッションをただちに終了させ、CoA メッセージはデータ フィルタなどセッションの認証属性を変更します。

ステップ 9 ネットワーク ユーザ認証を有効にする場合は、Network User チェックボックスをオンにします。このオプションが有効な場合、このエントリがネットワーク ユーザの RADIUS 認証サーバと見なされます。

ステップ 10 管理認証を有効にする場合は、Management User チェックボックスをオンにします。このオプションが有効な場合、このエントリが管理ユーザの RADIUS 認証サーバと見なされます。

ステップ 11 RADIUS 認証要求がタイムアウトし、コントローラが再転送を試みるまでの時間を秒単位で指定します。2 ~ 30 秒の値を指定できます。

ステップ 12 IP セキュリティ メカニズムをクリックして有効にすると、追加の IP セキュリティ パラメータがウィンドウに追加され、手順 13 から手順 19 までの操作が必要になります。これを無効にする場合は、Save をクリックします。手順 13 以降の操作は必要ありません。

ステップ 13 ドロップダウン メニューを使用して、使用する IP セキュリティ認証プロトコルを選択します。オプションは、HMAC-SHA1、HMAC-MD5、および None です。

秘密鍵を共有する 2 者間では、やり取りされる情報を検証するために、Message Authentication Codes(MAC; メッセージ認証コード)が使用されます。HMAC(ハッシュ MAC)は、暗号ハッシュ関数に基づいたメカニズムで、反復された任意の暗号ハッシュ関数の組み合わせで使用できます。HMAC-MD5 と HMAC-SHA1 は、MD5 ハッシュ関数と SHA1 ハッシュ関数を使用した HMAC の 2 つの構造です。HMAC も秘密鍵を使用してメッセージ認証値の計算と検証を行います。

ステップ 14 使用する IP セキュリティ暗号化メカニズムを設定します。オプションは、次のとおりです。

DES:Data Encryption Standard(DES; データ暗号規格)は、秘密鍵を使用してデータを暗号化する方法です。DES は、56 ビット キーを 64 ビット ブロックの各データに適用します。

Triple DES:3 つのキーを連続で適用するデータ暗号規格。

AES 128 CBC:Advanced Encryption Standard(AES; 高度暗号化規格)は 128、192、または 256 ビットの長さの鍵を使用して128、192、または 256 ビットの長さのブロックを暗号化します。AES 128 CBC は Cipher Clock Chaining(CBC)モードで 128 ビット データ パスを使用します。

None:IP セキュリティ暗号化メカニズムはありません。

ステップ 15 Internet Key Exchange(IKE; インターネット キー エクスチェンジ)認証は、編集可能なフィールドではありません。Internet Key Exchange protocol(IKE; インターネット キー エクスチェンジ プロトコル)は、セッション キー(暗号化と認証)を配信し、VPN エンドポイントにデータの保護方法に合意する方法を提供するメソッドです。IKE はセキュリティ アソシエーション(SA)のバンドルを各接続に割り当てることによって、接続を追跡します。

ステップ 16 IKE phase 1 ドロップダウン メニューを使用して aggressive または main を選択します。これによって、IKE プロトコルが設定されます。IKE phase 1 は、IKE の保護方法をネゴシエートするために使用されます。Aggressive モードは、少ないパケットでより多くの情報を渡し、若干高速の接続になる利点がありますが、セキュリティ ゲートウェイの ID を暗号化せずに転送する欠点があります。

ステップ 17 Lifetime パラメータでセッションが無効になるまでのタイムアウト間隔(秒単位)を設定します。

ステップ 18 IKE Diffie Hellman グループを設定します。オプションは、group 1(768 ビット)、group 2(1024 ビット)、または group 5(1536 ビット)です。ディッフィーヘルマン技術は、対称キーを生成するために 2 つのデバイスによって使用されます。これによって、値を公に交換し、同じ対称キーを生成できます。

3 つのグループはすべて従来の攻撃に対するセキュリティを提供しますが、キーのサイズが大きいあるため Group 5 がより安全であると考えられます。ただし、Group 1 および Group 2 ベースのキーを含む計算は、prime 数のサイズが小さいため、若干速くなることがあります。

ステップ 19 Save をクリックします。


 

RADIUS アカウンティング テンプレートの設定

このページでは、新しい RADIUS アカウンティング サーバ情報テンプレートの追加、または既存のテンプレートの変更が可能です。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、Security > RADIUS Acct Servers の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。RADIUS アカウンティング テンプレートが表示され(図10-14 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。RADIUS サーバの IP アドレスとインターフェイス プロトコルのポート番号も表示されます。

図10-14 RADIUS アカウンティング サーバ テンプレート

 

ステップ 4 Shared Secret Format ドロップダウン メニューを使用し、ASCII または 16 進数を選択します。

ステップ 5 指定のサーバで使用する RADIUS 共有秘密を入力します。

ステップ 6 共有秘密を再入力します。

ステップ 7 サーバの管理権限を確立する場合は、Admin Status をオンにします。

ステップ 8 ネットワーク ユーザ認証を有効にする場合は、Network User チェックボックスをオンにします。このオプションが有効な場合、このエントリがネットワーク ユーザの RADIUS 認証サーバと見なされます。

ステップ 9 RADIUS 認証要求がタイムアウトし、コントローラによる再転送が発生するまでの時間を秒単位で指定します。2 ~ 30 秒の値を指定できます。

ステップ 10 Save をクリックします。


 

LDAP サーバ テンプレートの設定

この項では、RADIUS や ローカル ユーザ データベース と同様に Lightweight Directory Access Protocol(LDAP; 軽量ディレクトリ アクセス プロトコル)サーバをバックエンド データベースとして設定する方法について説明します。LDAP バックエンド データベースでは、コントローラが特定のユーザのクレデンシャル(ユーザ名とパスワード)について LDAP サーバに問い合せることができます。これらのクレデンシャルは、その後、ユーザの認証に使用されます。たとえば、ローカル EAP は LDAP サーバをバックエンド データベースとして使用して、ユーザのクレデンシャルを取得する場合があります。このページでは、新しい LDAP サーバ テンプレートの追加、または既存のテンプレートの変更が可能です。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから Security > LDAP Servers の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。LDAP サーバ テンプレートが表示されます(図10-15 参照)。LDAP サーバの IP アドレスとインターフェイス プロトコルのポート番号も表示されます。

図10-15 LDAP サーバ テンプレート

 

ステップ 4 Server User Base DN フィールドに、ユーザすべてのリストを含む LDAP サーバ内のサブツリーの認定者名を入力します。

ステップ 5 Server User Attribute フィールドに LDAP サーバのユーザ名を含む属性を入力します。

ステップ 6 Server User Type フィールドにユーザを識別する ObjectType 属性を入力します。

ステップ 7 新しいサーバを追加するときに、セキュリティで保護された TLS トンネルを使用するためにすべての LDAP ランザクションが必要である場合は、Use TLS for Sessions to Server ドロップダウン メニューで Secure を選択します。そうでない場合には、none を選択します。

ステップ 8 Retransmit Timeout フィールドで再転送までの時間を秒単位で入力します。有効な範囲は 2 ~ 30 秒で、デフォルト値は 2 秒です。

ステップ 9 LDAP サーバに管理権限を持たせる場合は、Admin Status チェックボックスをオンにします。

ステップ 10 Save をクリックします。


 

TACACS+ サーバ テンプレートの設定

このページでは、新しい TACACS+ サーバ テンプレートの追加、または既存のテンプレートの変更が可能です。これらのサーバ テンプレートを設定した後、CLI または GUI を経由してコントローラにログインしているコントローラ ユーザが認証されます。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、Security > TACACS+ Server の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のユーザをクリックして選択します。TACACS+ サーバ テンプレートが表示されます(図10-16 参照)。TACACS+ テンプレートの IP アドレスとポート番号が表示されます。

図10-16 TACACS+ サーバ テンプレート

 

ステップ 4 サーバの種類を選択します。選択肢は、Authentication、Authorization、または Accounting です。

ステップ 5 ドロップダウン メニューを使用して、ASCII または HEX のいずれかの共有秘密形式を選択します。

ステップ 6 指定のサーバで使用する TACACS+ 共有秘密を入力します。

ステップ 7 Confirm Shared Secret フィールドに共有秘密を再入力します。

ステップ 8 TACACS+ サーバに管理権限を持たせる場合は、Admin Status チェックボックスをオンにします。

ステップ 9 TACACS+ 認証要求がタイムアウトし、コントローラが再転送を試みるまでの時間を秒単位で指定します。

ステップ 10 Save をクリックします。


 

ネットワーク アクセス コントロール テンプレートの設定

このページでは、新しいネットワーク アクセス コントロール テンプレートの追加、または既存のテンプレートの変更が可能です。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、Security > Network Access Control の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。ネットワーク アクセス コントロール テンプレートが表示されます(図10-17 参照)。IP アドレスとインターフェイス プロトコルのポート番号も表示されます。

図10-17 ネットワーク アクセス コントロール テンプレート

 

ステップ 4 指定のサーバで使用する共有秘密を入力します。

ステップ 5 Confirm Shared Secret フィールドに共有秘密を再入力します。

ステップ 6 サーバに管理権限を持たせる場合は、Admin Status チェックボックスをオンにします。

ステップ 7 Save をクリックします。


 

ローカル EAP 生成テンプレートの設定

このページでは、ローカル EAP のタイムアウト値を指定できます。その後、このタイムアウト値を持つテンプレートを追加したり、既存のテンプレートを変更できます。


) RADIUS サーバがコントローラ上で設定されている場合、コントローラはまず、RADIUS サーバを使用して無線クライアントを認証しようとします。ローカル EAP は、RADIUS サーバがタイムアウトしたり、RADIUS サーバが設定されていないため RADIUS サーバが見つからない場合にのみ試行されます4 つのRADIUS サーバが設定されている場合、コントローラは、最初の RADIUS サーバ、2 つ目の RADIUS サーバ、ローカル EAP の順で使用してクライアントを認証しようとします。クライアントがその後手動で再認証しようとすると、コントローラは 3 つ目の RADIUS サーバ、4 つ目の RADIUS サーバ、ローカル EAP の順で使用しようとします。



ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから Security > Local EAP General の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。ローカル EAP 生成テンプレートが表示されます(図10-18 参照)。

図10-18 ローカル EAP 生成テンプレート

 

ステップ 4 Local Auth Active Timeout フィールドに、設定された RADIUS サーバのペアが失敗した後、コントローラがローカル EAP を使用して無線クライアントを認証しようとする時間を秒単位で入力します。有効な範囲は 1 ~ 3600 秒で、デフォルト設定は 1000 秒です。

ステップ 5 Save をクリックします。


 

ローカル EAP プロファイル テンプレートの設定

このページでは、新しいローカル EAP プロファイル テンプレートの追加、または既存のテンプレートの変更が可能です。ローカル EAP は、ユーザと無線クライアントがローカルで認証できる認証メソッドです。これは、バックエンド システムが故障したり、外部認証サーバがダウンした場合にも無線クライアントへの接続を維持したいリモート オフィスで使用するようデザインされています。ローカル EAP を有効にすると、コントローラが認証サーバとローカル ユーザ データベースとして機能するため、外部認証サーバへの依存が解消されます。ローカル EAP は、ローカル ユーザ データベースまたは LDAP バックエンド データベースからユーザのクレデンシャルを取得してユーザを認証します。


) LDAP バックエンド データベースは、次のローカル EAP メソッドのみをサポートします。証明書による EAP-TLS および EAP-FAST。LDAP バックエンド データベースでは、PAC による LEAP および EAP-FAST はサポートされません。



ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから Security > Local EAP Profiles の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。ローカル EAP プロファイル テンプレートが表示されます(図10-19 参照)。

図10-19 ローカル EAP プロファイル テンプレート

 

ステップ 4 EAP プロファイルはそれぞれ、認証の種類にアソシエートされる必要があります。次の選択肢から目的の認証の種類を選択します。

LEAP:この認証の種類は Cisco Key Integrity Protocol(CKIP)と MMH Message Integrity Check(MIC)を使用してデータを保護します。ユーザ名とパスワードを使用し、アクセス ポイントを介して RADIUS サーバと相互認証を行います。

EAP-FAST:この認証の種類(Flexile Authentication via Secure Tunneling)は、3 段階のトンネル認証プロセスを使用して高度な 802.1X EAP 相互認証を実行します。ユーザ名、パスワード、および PAC(保護されたアクセス クレデンシャル)を使用し、アクセス ポイントを介して RADIUS サーバと相互認証を行います。

TLS:この認証の種類は、クライアント アダプタおよび RADIUS サーバの動的セッション ベースの WEP キーを使用してデータを暗号化します。認証のためには、クライアント証明書が必要です。

PEAP:この認証の種類は EAP-TLS 認証に基づいていますが、認証にクライアント証明書ではなくパスワードを使用します。PEAP は、クライアント アダプタおよび RADIUS サーバの動的セッション ベースの WEP キーを使用してデータを暗号化します。

ステップ 5 Certificate Issues ドロップダウン メニューを使用して、認証のための証明書を発行したのが Cisco であるか他のベンダーであるかを指定します。証明書が必要なのは、EAP-FAST と TLS のみです。

ステップ 6 クライアントからの受信証明書をコントローラ上の Certificate Authority(CA; 認証局)証明書に対して検証するには、Check Against CA Certificates チェックボックスをオンにします。

ステップ 7 受信証明書の common name(CN; 通常名)をコントローラ上の認証局(CA)証明書の CN に対して検証するには、Verify Certificate CN Identity チェックボックスをオンにします。

ステップ 8 受信デバイス証明書が有効で期限が切れていないことをコントローラで確認するには、Check Against Date Validity チェックボックスをオンにします。

ステップ 9 コントローラ上のデバイス証明書を認証に使用するには、Local Certificate Required チェックボックスをオンにします。この証明書は EAP-FAST にのみ適用できます。

ステップ 10 認証のために無線クライアントによってデバイス証明書をコントローラに送信させる場合は、Client Certificate Required チェックボックスをオンにします。この証明書は EAP-FAST にのみ適用できます。

ステップ 11 Save をクリックします。

ステップ 12 WLAN 上でローカル EAP を有効にするには、次の手順に従います。

a. 左側のサイドバーのメニューから、WLAN > WLANs の順に選択します。

b. 目的の WLAN のプロファイル名をクリックします。

c. Security > AAA Servers タブをクリックして AAA Servers ページにアクセスします。

d. Local EAP Authentication チェックボックスをオンにしてこの WLAN のローカル EAP を有効にします。

ステップ 13 Save をクリックします。


 

EAP-FAST テンプレートの設定

この認証の種類(Flexible Authentication via Secure Tunneling)は、3 段階のトンネル認証プロセスを使用して高度な 802.1X EAP 相互認証を実行します。ユーザ名、パスワード、および PAC を使用し、アクセス ポイントを介して RADIUS サーバと相互認証を行います。このページでは、新しい EAP-FAST プロファイル テンプレートの追加、または既存のテンプレートの変更が可能です。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから Security > EAP-FAST Parameters の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。EAP-FAST パラメータ テンプレートが表示されます(図10-20 参照)。

図10-20 EAP-FAST パラメータ テンプレート

 

ステップ 4 Time to Live for the PAC フィールドに PAC が表示される日数を入力します。有効な範囲は 1 ~ 1000 日で、デフォルト設定は 10 日です。

ステップ 5 Authority ID フィールドにローカル EAP-FAST サーバの認証局 ID を 16 進数で入力します。16 進数を 32 文字まで入力できますが、偶数の文字を入力する必要があります。

ステップ 6 Authority ID フィールドにローカル EAP-FAST サーバの認証局 ID の ID を入力します。

ステップ 7 Authority Info フィールドにローカル EAP-FAST サーバの認証局 ID をテキスト形式で入力します。

ステップ 8 Server Key フィールドと Confirm Server Key フィールドに PAC の暗号化と復号化に使用するキーを 16 進数で入力します。

ステップ 9 ローカル証明書が必要な場合は、チェックボックスをオンにします。

ステップ 10 クライアント証明書が必要な場合は、チェックボックスをオンにします。

ステップ 11 匿名プロビジョンが必要な場合は、チェックボックスをオンにします。

ステップ 12 匿名プロビジョニングを有効にするには、Client Authentication Provision チェックボックスをオンにします。この機能では、PAC プロビジョニング中に PAC のないクライアントに自動的に PAC を送信できます。この機能を無効にすると、PAC を手動でプロビジョニングする必要があります。

ステップ 13 Save をクリックします。


 

ネットワーク ユーザ クレデンシャル取得優先度テンプレートの設定

LDAP とローカル データベースがユーザ クレデンシャル情報を取得するために使用する順序を指定できます。このページでは、新しいネットワーク ユーザ クレデンシャル取得優先度テンプレートの追加、または既存のテンプレートの変更が可能です。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから Security > Network Users Priority の順に選択します。

新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。ネットワーク ユーザ クレデンシャル取得優先度テンプレートが表示されます(図10-21参照)。

図10-21 ネットワーク ユーザ クレデンシャル取得優先度順序テンプレート

 

ステップ 3 左右の矢印を使用して、右端のウィンドウにネットワーク ユーザ クレデンシャルを入れたり、除外することができます。

ステップ 4 上下のボタンを使用してクレデンシャルを試行する順序を指定します。

ステップ 5 Save をクリックします。


 

ローカル ネットワーク ユーザ テンプレートの設定

このテンプレートでは、ローカル ネットワーク ユーザ全員のクレデンシャル(ユーザ名とパスワード)を保存できます。これらのクレデンシャルは、その後、ユーザの認証に使用されます。たとえば、ローカル EAP はローカル ユーザ データベースをバックエンド データベースとして使用して、ユーザのクレデンシャルを取得する場合があります。このページでは、新しいローカル認証テンプレートの追加、または既存のテンプレートの変更が可能です。Web 認証クライアントとしてログインする際は、ローカル ネット ユーザを作成し、パスワードを定義する必要があります。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、Security > Local Net Users の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、User Name 列のユーザをクリックして選択します。ローカル ネット ユーザ テンプレートが表示されます(図10-22 参照)。

図10-22 ローカル ネット ユーザ テンプレート

 

ステップ 4 Import From File を有効のままとする場合は、ファイル パスを入力するか、Browse ボタンをクリックしてファイル パスに移動する必要があります。次に手順 8 に進みます。インポートを無効にする場合は手順 5 に進みます。


) インポートできるのは .csv ファイルのみです。その他のファイル形式はサポートされていません。CSV ファイル形式の例は、図10-23 を参照してください。


ファイルの最初の行はヘッダーです。Cisco WCS ではヘッダーのデータを読み取りません。ヘッダーは空白でも入力してもかまいません。Cisco WCS では 2 行目からのデータを読み取ります。すべての行でユーザ名とパスワードを入力する必要があります。

図10-23 CSV ファイル形式

 

ステップ 5 ユーザ名とパスワードを入力します。

ステップ 6 ドロップダウン メニューを使用してこのローカル ユーザに適用される SSID を選択するか、any SSID オプションを選択します。

ステップ 7 ユーザが定義したこのインターフェイスの説明を入力します。手順 9 に進みます。

ステップ 8 既存のテンプレート パラメータを上書きする場合は、Override existing templates をオンにします。

ステップ 9 Save をクリックします。


 

ゲスト ユーザ テンプレートの設定

このページでは、新しいゲスト ユーザ情報テンプレートの作成、または既存のテンプレートの変更が可能です。ゲスト ユーザ アカウントの目的は、ユーザ アカウントに制限時間を与えることです。Lobby Ambassador は、ゲスト ユーザ アカウントがアクティブとなる特定の時間フレームを設定できます。指定した時間が経過すると、ゲスト ユーザ アカウントは自動的に失効します。ゲスト アクセスの詳細は、「ゲスト ユーザ アカウントの作成」 を参照してください。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから Security > Guest Users の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、User Name 列のユーザをクリックして選択します。General Guest User Template ウィンドウが表示されます(図10-24 参照)。

図10-24 ゲスト ユーザ テンプレート

 

ステップ 4 ゲスト名を入力します。最大サイズは 24 文字です。

ステップ 5 パスワードを自動生成させる場合には、Generate Password チェックボックスをオンにします。Password and Confirm Password パラメータが自動的に読み込まれます。自動生成を有効にしない場合は、パスワードを 2 度入力する必要があります。


) これを有効化すると、異なるパスワードが毎日(選択した日数分)支給されます。これを無効化すると(オフにする)、1 つのパスワードが選択した日数の間支給されます。


ステップ 6 Advanced タブをクリックします。

ステップ 7 複数のユーザをインポートする場合は、Import From File チェックボックスをオンにします。

ステップ 8 Browse をクリックして、CSV のあるファイル パスへ移動します。Sample CSV ファイルは次のとおりです。
User Name| Password| Life Time| Description| Disclaimer Guest-1,pwd1,864000,Description-1,Disclaimer-1 Guest-2,pwd2,864000,Description-2,Disclaimer-2


) 表見出しは必要ありません。Description と Disclaimer は必須ではありません。


ステップ 9 ドロップダウン メニューから該当するゲスト ユーザのユーザ ロールを選択します。ユーザ ロールは、管理者により事前に定義され、ゲストのアクセス(契約者、顧客、代理店、ベンダー、ビジターなど)にアソシエートされています。

ユーザ ロールを使用して、ネットワーク内の特定のユーザに割り当てられた帯域幅の量を管理します。

ステップ 10 ゲスト ユーザ アカウントをアクティブにしておく期間を定義するには、Lifetime オプションで Limited または Unlimited のいずれかを選択します。

Limited オプションでは、時間および分のドロップダウン メニューを使用して、ゲスト ユーザ アカウントをアクティブにする期間を選択します。Limited のデフォルト値は、1 日(8 時間)です。

Unlimited を選択した場合は、ゲスト アカウントの有効期限の日付はありません。

ステップ 11 ゲスト ユーザのトラフィックが制限される領域(屋内、屋外)、コントローラの一覧、または設定グループを Apply to ドロップダウン メニューから選択します。

コントローラ一覧のオプションを選択すると、コントローラの IP アドレスの一覧が表示されます。ゲスト トラフィックが許可されるコントローラ ネットワークには、すべてその横のチェックボックスをオンにします。

ステップ 12 (オプション)必要に応じて、デフォルトのゲスト ユーザの説明を変更します。

ステップ 13 (オプション)必要に応じて、Disclaimer テキストを変更します。入力されたテキストをデフォルトにする場合は、Make this Disclaimer default チェックボックスをオンにします。

ステップ 14 Save をクリックします。


 

ユーザ ログイン ポリシー テンプレートの設定

このページでは、新しいユーザ ログイン ポリシー テンプレートの追加、または既存のテンプレートの変更が可能です。このテンプレートでは、各ユーザが可能な同時ログインの最大数を設定します。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから Security > User Login Policies の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のユーザ ログイン ポリシーをクリックして選択します。User Login Policies Template ウィンドウが表示されます(図10-25 参照)。

図10-25 ユーザ ログイン ポリシー テンプレート

 

ステップ 4 各ユーザが可能な同時ログインの最大数を調整できます。

ステップ 5 このテンプレートを保存するには、Save をクリックします。


 

MAC フィルタ テンプレートの設定

このページでは、新しい MAC フィルタ テンプレートの追加、または既存のテンプレートの変更が可能です。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから Security > MAC Filtering の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、MAC Address 列の MAC アドレスをクリックして選択します。MAC Filter Templates ウィンドウが表示されます(図10-26 参照)。

図10-26 MAC フィルタ テンプレート

 

ステップ 4 Import From File を有効のままとする場合は、ファイル パスを入力するか、Browse ボタンをクリックしてファイル パスに移動する必要があります。手順 9 に進みます。Import From File を無効にする場合は、手順 5 に進みます。

クライアントの MAC アドレスが表示されます。

ステップ 5 この MAC フィルタが適用される SSID を選択するか、any SSID オプションを選択します。

ステップ 6 ドロップダウン メニューを使用して、使用可能なインターフェイス名から選択します。

ステップ 7 ユーザが定義したこのインターフェイスの説明を入力します。手順 9 に進みます。

ステップ 8 既存のテンプレート パラメータを上書きする場合は、Override existing templates をオンにします。

ステップ 9 Save をクリックします。


 

アクセス ポイント認証または LBS 認証の設定

アクセス ポイント認証テンプレートまたは LBS 認証テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。これらのテンプレートは、IOS から LWAPP に変換された Cisco 11xx/12xx シリーズのアクセス ポイント、またはブリッジ モードで接続される 1030 アクセス ポイント用に考案されています。詳細は、『Cisco Location Appliance Configuration Guide』を参照してください。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューにある Security 選択から、AP/LBS authorization を選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、AP Base Radio MAC 列の MAC アドレスをクリックします。アクセス ポイント(AP)/LBS 認証テンプレートが表示され(図10-27 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-27 AP/LBS 認証テンプレート

 

ステップ 4 アクセス ポイント MAC アドレスを含むファイルをインポートする場合は、Import from File チェックボックスをオンにします。


) インポートできるのは .csv ファイルのみです。その他のファイル形式はサポートされていません。


ステップ 5 ファイルをインポートするファイル パスを入力します。

ステップ 6 Save をクリックします。


 

手動による無効化クライアント テンプレートの設定

このページでは、新しい手動による無効化クライアント テンプレートの追加、または既存のテンプレートの変更が可能です。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから Security > Disabled Clients の順に選択します。

新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列の無効化クライアントをクリックして選択します。Manually Disabled Clients Template ウィンドウが表示されます(図10-28 参照)。

図10-28 手動による無効化クライアント テンプレート

 

ステップ 3 無効にするクライアントの MAC アドレスを入力します。

ステップ 4 無効に設定するクライアントの説明を入力します。

ステップ 5 Save をクリックします。


 

CPU アクセス コントロール リスト(ACL)テンプレートの設定

「アクセス コントロール リスト テンプレートの設定」で確立された既存の ACL は、central processing unit(CPU; 中央処理装置)と network processing unit(NPU; ネットワーク処理装置)間のトラフィック制御を設定するために使用されます。CPU ACL テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバー メニューから、Security > CPU Access Control List の順に選択します。

ステップ 3 新しいテンプレートを作成する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、ACL Name 列のテンプレート名をクリックして選択します。CPU アクセス コントロール リスト テンプレートが表示されます(図10-29 参照)。

図10-29 CPU アクセス コントロール リスト テンプレート

 

ステップ 4 チェックボックスをオンにして CPU ACL を有効にすると、さらに 2 つのパラメータが表示されます。CPU ACL が有効になり、コントローラに適用されると、WCS はそのコントローラに対する CPU ACL の詳細を表示します。

ステップ 5 ACL Name ドロップダウン メニューの定義済みの名前のリストから名前を選択します。

ステップ 6 CPU ACL Mode ドロップダウン メニューでこの CPU ACL リストが制御するデータ トラフィック方向を選択します。選択肢は、データ トラフィックの有線サイド、データ トラフィックの無線サイド、または有線と無線の両方です。

ステップ 7 Save をクリックします。


 

不正ポリシー テンプレートの設定

このウィンドウでは、コントローラに適用される(アクセス ポイントとクライアントの)不正ポリシーを設定できます。不正ポリシー テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから Security > Rogue Policies の順に選択します。

ステップ 3 新しいテンプレートを作成する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレート名をクリックして選択します。不正ポリシー設定テンプレートが表示されます(図10-30 参照)。

図10-30 不正ポリシー設定テンプレート

 

ステップ 4 不正アクセス ポイントの検出を有効にするには、Rogue Location Discovery Protocol をオンにします。

ステップ 5 不正アクセス ポイント エントリのタイムアウトを秒単位で設定します。

ステップ 6 Validate rogue clients against AAA チェックボックスをオンにして、不正クライアントの AAA 検証を有効にします。

ステップ 7 Detect and report Adhoc networks チェックボックスをオンにして、アドホック ネットワーキングに参加している不正クライアントの検出とレポートを有効にします。

ステップ 8 Save をクリックします。


 

信頼された AP ポリシー テンプレートの設定

信頼された AP ポリシー テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから Security > Trusted AP Policies の順に選択します。

ステップ 3 新しいテンプレートを作成する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレート名をクリックして選択します。信頼された AP ポリシー テンプレートが表示されます(図10-31 参照)。

図10-31 信頼された AP ポリシー テンプレート

 

ステップ 4 ドロップダウン メニューを使用して、間違って設定されたアクセス ポイントでの動作を選択します。選択肢は、Alarm Only または Contain です。

ステップ 5 Enforced Encryption Policy ドロップダウン メニューで None、Open、WEP、または WPA.802.11i を選択します。

ステップ 6 Rogue Enforced Preamble Policy で None、Short、または Long を選択します。

ステップ 7 Validate SSID チェックボックスをオンにして有効にします。

ステップ 8 信頼されたアクセス ポイントが見つからない場合に警告を受け取るには、チェックボックスをオンにします。

ステップ 9 信頼されたアクセス ポイント エントリの失効タイムアウトを指定します。範囲は、120 ~ 3600 秒です。

ステップ 10 Save をクリックします。


 

クライアント除外ポリシー テンプレートの設定

クライアント除外ポリシー テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバー メニューから、Security > Client Exclusion Policies の順に選択します。

新しいテンプレートを作成する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレート名をクリックして選択します。クライアント除外ポリシー テンプレートが表示されます(図10-32 参照)。

図10-32 クライアント除外ポリシー テンプレート

 

ステップ 3 既存のクライアント除外ポリシー テンプレートを編集するには、Template Name 列の名前をクリックして Client Exclusion Policies Template ウィンドウを開きます。パラメータを設定してクライアント除外ポリシー テンプレートを作成または編集します。

 

表10-2 クライアント除外ポリシー テンプレートのパラメータ

パラメータ
説明

Template Name

クライアント除外ポリシーの名前を入力します。

Excessive 802.11 Association Failures

過剰な 802.11 のアソシエーションの失敗によるクライアントの除外を有効にします。

Excessive 802.11 Authentication Failures

過剰な 802.11 認証の失敗によるクライアントの除外を有効にします。

Excessive 802.1X Authentication Failures

過剰な 802.1X 認証の失敗によるクライアントの除外を有効にします。

External Policy Server Failures

過剰な外部のポリシー サーバの失敗によるクライアントの除外を有効にします。

Excessive 802.11 Web Authentication Failures

過剰な 802.11 Web 認証の失敗によるクライアントの除外を有効にします。

IP Theft or Reuse

IP の盗難または再使用の症状を示すクライアントの除外を有効にします。

ステップ 4 Save をクリックします。


 

アクセス ポイント認証および MFP テンプレートの設定

Management Frame Protection(MFP)では、無線ネットワーク インフラストラクチャによる 802.11 管理フレームの認証を提供します。DoS 攻撃を引き起こし、アソシエーションおよびプローブでネットワークを氾濫させ、不正アクセス ポイントをさしはさみ、QoS および無線測定フレームの攻撃によりネットワーク パフォーマンスに影響を与える敵対者を発見するため、管理フレームを保護できます。

有効にすると、アクセス ポイントは Message Integrity Check Information Element(MIC IE)を各フレームに追加することにより、送信する管理フレームを保護します。フレームのコピー、変更、または再生を試みると、MIC が無効となり、MFP フレームを検出するように設定された受信アクセス ポイントはその矛盾を報告します。MFP フレームを送信するには、アクセス ポイントは WDS のメンバであることが必要です。

MFP 検出が有効な場合、アクセス ポイントは、ネットワーク内の他のアクセス ポイントから受信するすべての管理フレームを検証します。これにより、MIC IE が存在し(発信側が MFP フレームを送信するよう設定されている場合)、管理フレームの中身が一致していることを確認できます。MFP フレームを送信するよう設定されているアクセス ポイントに属する BSSID から有効な MIC IE が含まれていないフレームを受信した場合は、その矛盾がネットワーク管理システムに報告されます。

新しいアクセス ポイント認証および Management Frame Protection(MFP)テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバー メニューから、Security > AP Authentication and MFP の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、AP Base Radio MAC 列の MAC アドレスをクリックして選択します。アクセス ポイント(AP)認証ポリシー テンプレートが表示され(図10-33 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-33 アクセス ポイント(AP)認証ポリシー テンプレート

 

ステップ 4 Protection Type ドロップダウン メニューから、次の認証ポリシーのいずれかを選択します。

None:アクセス ポイント認証ポリシーはありません。

AP Authentication:認証ポリシーを適用します。

MFP:Management Fram Protection を適用します。

ステップ 5 AP Neighbor Authentication チェックボックスをオンにして AP ネイバー認証を有効にします。この機能を有効にすると、異なる RF ネットワーク名の RRM ネイバー パケットを送信するアクセス ポイントは不正として報告されます。

ステップ 6 アラーム トリガーしきい値は、保護の種類として AP 認証が選択されている場合にのみ表示されます。アラームを発生させるまでに無視する、未知のアクセス ポイントからのヒット数を設定します。

有効範囲は 1 ~ 255 です。デフォルト値は 255 です。

ステップ 7 Save をクリックします。


 

Web 認証テンプレートの設定

Web 認証により、ゲストはブラウザを起動すると自動的に Web 認証ページにリダイレクトされます。ゲストは、この Web ポータルから WLAN にアクセスできます。この認証メカニズムを使用している無線 LAN 管理者は、暗号化されていないゲスト アクセスまたは暗号化されたゲスト アクセスを提供するオプションを用意する必要があります。ゲスト ユーザは、SSL で暗号化される有効なユーザ名とパスワードを使用して無線ネットワークにログインできます。Web 認証アカウントはローカルに作成するか、RADIUS サーバで管理できます。Cisco Wireless LAN Controller は Web 認証クライアントをサポートするように設定できます。このテンプレートを使用して、コントローラで提供される Web 認証ページを置き換えることができます。

Web 認証テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから Security > Web Auth Configuration の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。Web Authentication Configuration Template ウィンドウが表示され(図10-34 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-34 Web 認証設定テンプレート

 

ステップ 4 ドロップダウン メニューから適切な Web 認証の種類を選択します。選択肢は、デフォルトの内部、カスタマイズ Web 認証、または外部です。

デフォルトの内部を選択する場合、さらにページ タイトル、メッセージ、リダイレクト URL、およびロゴを表示するかどうかを変更できます。手順 5 に進みます。

カスタマイズ Web 認証を選択する場合は、Save をクリックしてこのテンプレートをコントローラに適用します。Web 認証バンドルをダウンロードするプロンプトが表示されます。


) カスタマイズ Web 認証を選択する前に、まず Config > Controller の順にクリックし、Select a command ドロップダウン メニューから Download Customized Web Authentication を選択して GO をクリックすることにより、バンドルをダウンロードする必要があります。


外部を選択する場合は、認証に成功した後でリダイレクトする URL を入力する必要があります。たとえば、このフィールドに入力した値が http://www.company.com の場合、ユーザはこの会社のホーム ページに接続されます。

ステップ 5 会社のロゴを表示する場合は、Logo Display チェックボックスをオンにします。

ステップ 6 Web 認証ページに表示するタイトルを入力します。

ステップ 7 Web 認証ページに表示するメッセージを入力します。

ステップ 8 認証に成功した後でユーザがリダイレクトされる URL を指定します。たとえば、このフィールドに入力した値が http://www.company.com の場合、ユーザはこの会社のホーム ページに接続されます。

ステップ 9 Save をクリックします。


 

カスタマイズ Web 認証ページのダウンロード

カスタマイズ Web 認証ページをコントローラにダウンロードできます。カスタマイズ Web ページは、ユーザ Web アクセス用のユーザ名とパスワードを設定するために作成されます。

カスタマイズ Web 認証をダウンロードする際は、次のガイドラインに従う必要があります。

ユーザ名を指定する。

パスワードを指定する。

リダイレクト URL は、元の URL から引用した後、非表示の入力項目として保持する。

操作 URL は、元の URL から引用および設定する。

戻りステータス コードをデコードするスクリプトを含める。

メイン ページで使用されるすべてのパスは相対パスとする。

ダウンロードの前に、次の手順を実行する必要があります。


ステップ 1 サーバからサンプルの login.html バンドル ファイルをダウンロードします。この .html ファイルを 図10-35 に示します。Web 認証がオンの場合、最初に WLAN にアクセスすると、ログイン ページが Web ユーザに表示されます。

図10-35 Login.html

 

ステップ 2 Login.html を編集し、これを .tar または .zip ファイルとして保存します。


) 承諾条件を読んで送信するよう、Submit ボタンのテキストを変更できます。


ステップ 3 ダウンロードに Trivial File Transfer Protocol(TFTP)サーバを使用できることを確認します。TFTP サーバをセットアップするときのガイドラインは、次のとおりです。

サービス ポート経由でダウンロードする場合、サービス ポートはルーティングできないため、TFTP サーバはサービス ポートと同じサブネット上になければなりません。ただし、管理ポートがダウンしている間、TFTP サーバを別のネットワークに配置する場合は、サービス ポートのあるサブネットにゲートウェイがあれば、スタティック ルートを追加します(config route add IP address of TFTP server)。

ディストリビューション システム ネットワーク ポート経由でダウンロードする場合、ディストリビューション システム ポートはルーティング可能なので、TFTP サーバはディストリビューション システム ネットワーク ポートと同じサブネットでも異なるサブネットでもかまいません。

Cisco WCS の組み込み TFTP サーバとサードパーティの TFTP サーバは同じ通信ポートを使用するため、サードパーティの TFTP サーバを WCS と同じコンピュータ上で実行することはできません。

ステップ 4 .tar または .zip ファイルをコントローラにダウンロードします。


) コントローラでは、Web 認証の表示に必要なページおよびイメージ ファイルを含む、1MB までの tar ファイルをダウンロードできます。1MB の制限には、バンドル内の圧縮されていないファイルの合計サイズが含まれます。


これでダウンロードを続行できます。

ステップ 5 ファイルを TFTP サーバ上のデフォルト ディレクトリにコピーします。

ステップ 6 Configure > Controllers の順に選択します。

ステップ 7 該当する IP アドレスの URL をクリックすることにより、コントローラを選択します。複数の IP アドレスを選択する場合は、カスタマイズ Web 認証ページが複数のコントローラにダウンロードされます。

ステップ 8 左側のサイドバーのメニューから、System > Commands の順に選択します。

ステップ 9 Upload/Download Commands ドロップダウン メニューから、Download Customized Web Auth を選択し、 GO をクリックします。

ステップ 10 バンドルを受信するコントローラの IP アドレスとその現在のステータスが表示されます(図10-36 参照)。

図10-36 カスタマイズされた Web 認証バンドルのコントローラへのダウンロード

 

ステップ 11 File is Located On パラメータから local machine を選択します。ファイル名および、サーバのルート ディレクトリに対して相対的なパスが分かる場合は、TFTP サーバを選択することもできます。


) ローカル マシンのダウンロードには、.zip または .tar のファイル オプションがありますが、WCS では自動的に .zip を .tar に変換します。TFTP サーバのダウンロードを選択した場合は、.tar ファイルのみを指定します。


ステップ 12 Maximum Retries パラメータに、コントローラがファイルのダウンロードを試みる最大回数を入力します。

ステップ 13 Timeout パラメータに、ファイルをダウンロードする際、コントローラがタイムアウトするまでの最大時間を秒単位で入力します。

ステップ 14 ファイルは c:\tftp ディレクトリにアップロードされます。そのディレクトリでのローカル ファイル名を指定し、Browse ボタンを使用してそのファイル名に移動します。

ステップ 15 OK をクリックします。

何らかの理由で転送がタイムアウトした場合には、File Is Located On パラメータの TFTP サーバ オプションを選択すると、Server File Name が読み込まれます。ローカル マシン オプションでは 2 段階の動作が起動されます。まず、ローカル ファイルは管理者のワークステーションから WCS 自体の組み込み TFTP サーバにコピーされます。次にコントローラがそのファイルを取得します。後の動作のため、ファイルはすでに WCS サーバの TFTP ディレクトリに配置され、ここでダウンロード Web ページが自動的にファイル名を読み込みます。

ステップ 16 Click here to download a sample tar file をクリックし、 login.tar ファイルを開くか、保存するオプションを選択します。

ステップ 17 ダウンロードが完了すると、新しいページに接続され、認証できます。


 

アクセス コントロール リスト テンプレートの設定

アクセス コントロール リスト(ACL)は、特定のインターフェイスへのアクセスを制限するために使用する一連のルールです(たとえば、無線クライアントによるコントローラの管理インターフェイスのピングを制限する場合など)。ACL は無線クライアントとのデータ トラフィックとコントローラの中央処理装置(CPU)へのすべてのトラフィックに適用でき、再使用可能な IP アドレス グループと再使用可能なプロトコルをサポートできるようになりました。テンプレートで ACL が設定された後、これらを管理インターフェイス、AP-manager インターフェイス、またはクライアント データ トラフィックのための任意の動的インターフェイス、コントローラへのトラフィックのためのネットワーク処理装置(NPU)、または WAN に適用できます。ACL テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバー メニューから、Access Control > Access Control Lists の順に選択します。

ステップ 3 新しいテンプレートを作成する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、ACL Name 列のテンプレート名をクリックして選択します。ウィンドウにアクセス コントロール リスト名が表示されます。

ステップ 4 再使用可能な IP アドレス グループとプロトコルを作成するには、左側のサイドバーのメニューから Access Control > IP Groups を選択します。

ステップ 5 IP アドレス グループがすべて一覧表示されます。IP アドレス グループ 1 つで最高 128 の IP アドレスとネットマスクの組み合わせを格納できます。新しい IP アドレス グループを定義する場合は、Select a command ドロップダウン メニューから Add IP Group を選択し、GO をクリックします。既存の IP アドレス グループを表示または変更するには、IP アドレス グループの URL をクリックします。IP address group ウィンドウが開きます。


) 任意の IP アドレスの場合、任意のグループが事前に定義されています。


ステップ 6 標準の事前に定義されたものでない追加プロトコルを定義するには、左側のサイドバーのメニューから Access Control > Protocol Groups を選択します。送信元ポートおよび宛先ポートと DSCP のあるプロトコル グループが表示されます。

ステップ 7 新しいプロトコル グループを作成する場合は、Select a command ドロップダウン メニューから Add Protocol Group を選択し、GO をクリックします。既存のプロトコル グループを表示または変更するには、グループの URL をクリックします。Protocol Groups ウィンドウが表示されます。

ステップ 8 既存のルールのルール名が表示されるか、新しいルールの名前を入力できます。ルールを定義するために ACL は必要ありません。パケットがルールのすべてのパラメータに一致すると、このルールに対する動作が実行されます。

ステップ 9 Start Port パラメータに値(1 ~ 64)を入力して、この ACL に定義されたその他のルールに対するこのルールの順序を指定します。各 ACL のルールは、1 ~ 64 の連続した順序で一覧表示されます。つまり、ルール 29 を追加するときにすでにルール 1 ~ 4 が定義されている場合、このルールはルール 5 となります。


) 連番を追加または変更する場合、オペレーティング システムは連続した順序が維持されるようその他のルールの連番を調整します。たとえば、連番 1 ~ 7 が定義されていて、7 番を 5 番に変更する場合、オペレーティング システムは自動的に 5 番を 6 番に、6 番を 7 番に割り当て直します。生成されたルールは個別に編集でき、目的の順序に並べ替えられます。


ステップ 10 Source Port ドロップダウン メニューからこの ACL を適用するパケットの送信元を指定します。

ステップ 11 Destination ドロップダウン メニューで、この ACL を適用するパケットの宛先を指定します。

ステップ 12 DSCP ドロップダウン メニューで、任意または特定の IP アドレスを選択します。DSCP は、インターネットでのサービスの質を定義するために使用できるパケット ヘッダー コードです。

ステップ 13 Save をクリックします。

ステップ 14 ここで、定義済みの IP アドレス グループとプロトコル グループから新しいマッピングを作成できます。新しいマッピングを定義するには、新しいグループをマップする ACL テンプレートを選択します。ACL マッピングがすべてウィンドウの最上部に表示され、ACL ルールがすべて下部に表示されます。

ステップ 15 新しいマッピングを定義するには、Select a command ドロップダウン メニューから Add Rule Mappings を選択します。Add Rule Mapping ウィンドウが表示されます。

ステップ 16 目的の IP アドレス グループ、プロトコル グループ、および処理を選択して Add をクリックします。新しいマッピングによって下部のテーブルにデータが表示されます。

ステップ 17 Save をクリックします。

ステップ 18 ここで、作成したルール マッピングから自動的にルールを生成できます。ルールを生成するマッピングを選択して、Generate をクリックします。これによって、ルールが自動的に作成されます。これらのルールは、連続した順序で生成されます。つまり、ルール 29 を追加するときにすでにルール 1 ~ 4 が定義されている場合、このルールはルール 5 となります。

既存の ACL テンプレートは新しい ACL テンプレートに複製されます。この複製は、ソース ACL テンプレートで定義した ACL ルールとマッピングをすべてコピーします。


 

ポリシー名テンプレートの設定(802.11a/n または 802.11b/g/n 用)

新しいポリシー名テンプレート(802.11a/n または 802.11b/g/n 用)を追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバー メニューから 802.11a/n > Parameters または 802.11b/g/n > Parameters を選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択します。既存のテンプレートを変更するには、Policy Name 列のポリシー名をクリックして選択します。802.11a/n または b/g/n Parameters テンプレートが表示され(図10-37 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-37 802.11a/n パラメータ テンプレート

 

ステップ 4 802.11a/n または b/g/n ネットワーク ステータスを有効にする場合は、チェックボックスをオンにします。

ステップ 5 ビーコンの間隔をキロマイクロ秒単位で入力します。有効範囲は 100 ~ 600 ミリ秒です。

ステップ 6 配送数フィールドが 0 のトラフィック インジケータ メッセージ(TIM)要素を含むビーコン フレームの送信間の時間である、ビーコン間隔を入力します。この値は、ビーコン フレームの DTIM 間隔フィールドで送信されます。クライアント デバイスは、DTIM を含むビーコンを受信すると、通常再起動して保留中のパケットを確認します。DTIM の間隔が長いほど、クライアントは長い間スリープし、電力の消費が抑えられます。反対に、DTIM の間隔が短いほどパケットを受信する際の遅延が小さくなりますが、クライアントがより頻繁に再起動するため、より多くのバッテリ電力を消費します。

ステップ 7 Fragmentation Threshold パラメータで、パケットを断片化する(1 ブロックではなく、いくつかの断片として送信する)サイズを指定します。通信不良、または大量の無線干渉が生じている領域では、低い値の設定を使用します。

ステップ 8 802.11e の最大帯域幅のパーセンテージを入力します。

ステップ 9 短いプリアンブルを有効にする場合は、チェックボックスをオンにします。

ステップ 10 ピコ セル モードを有効にするには、Pico Cell Mode チェックボックスをオンにします。この機能は、自動オペレーティング システム パラメータ設定を有効にし、オペレーティング システムがピコ セル展開で効率的に機能するようにします。

ステップ 11 高速ローミング モードを有効にするには、Fast Roaming Mode チェックボックスをオンにします。Cisco の Centralized Key Management(CCKM)認証キー管理を有効にすると、クライアントがアクセス ポイント間をローミングする際に迅速な交換が可能となります。

ステップ 12 Dynamic Assignment ドロップダウン メニューで、次の 3 つのモードのいずれかを選択します。

Automatic:この動作を許可するすべてのアクセス ポイントに対し、送信電力が定期的に更新されます。

On Demand:Assign Now ボタンが選択されると送信電力が更新されます。

Disabled:動的な送信電力割り当ては発生せず、値はグローバル デフォルトに設定されます。

ステップ 13 Tx Level ドロップダウン メニューを使用して、アクセス ポイントの送信電力レベルを指定します。使用できるオプションは、次のとおりです。

1:カントリ コードの設定で許可される最大の電力

2:50% の電力

3:25% の電力

4:6.25 ~ 12.5% の電力

5:0.195 ~ 6.25% の電力


) 電力レベルと使用可能なチャネルは、国番号の設定によって定義され、各国で規制されています。


ステップ 14 Assignment Mode ドロップダウン メニューには 3 つの動的なチャネル モードがあります。

Automatic:この動作を許可するすべてのアクセス ポイントに対し、チャネル割り当てが定期的に更新されます。これはデフォルトのモードです。

On Demand:必要に応じてチャネル割り当てが更新されます。

Off:動的なチャネル割り当ては発生せず、値はグローバル デフォルトに設定されます。

ステップ 15 外部 AP 干渉の回避を有効にするには、Avoid Foreign AP Interference チェックボックスをオンにします。このパラメータを有効にし、チャネルを割り当てる際に、RRM が外部 Cisco アクセス ポイント(RF/モビリティ ドメイン外の Cisco 以外のアクセス ポイント)からの干渉を考慮するようにします。この Radio Resource Management(RRM)パラメータは、外部の 802.11 干渉を監視します。RRM にこの干渉を無視させるには、このパラメータを無効にします。

外部アクセス ポイントからの干渉エネルギー(dB)および負荷(使用率)が著しい特定の状況では、RRM はこの外部アクセス ポイントの近くのアクセス ポイントのこれらのチャネル(および場合により隣接チャネル)を回避するため、チャネル割り当てを調整する場合があります。これにより、Cisco Wireless LAN Solution のキャパシティが増加し、変動性が減少します。

ステップ 16 AP 負荷の回避を有効にするには、Avoid Cisco AP Load チェックボックスをオンにします。この RRM 帯域幅認識パラメータを有効にし、チャネルをアクセス ポイントに割り当てる際に、コントローラが各アクセス ポイントで使用されるトラフィック帯域幅を考慮するようにします。RRM にこの値を無視させるには、このパラメータを無効にします。

特定の状況でより高密度に展開されている場合、完全なチャネルの再使用を適切に作成するには、チャネルが十分でない場合があります。このような状況で、RRM は、より大きなトラフィック負荷を伝送するアクセス ポイントに、より良い再使用パターンを割り当てることができます。

ステップ 17 非 802.11 ノイズの回避を有効にする場合は、Avoidnon 802.11 Noise チェックボックスをオンにします。この RRM ノイズ監視パラメータを有効にし、アクセス ポイントが、電子レンジや Bluetooth デバイスなど、アクセス ポイントでないソースからの干渉のあるチャネルを回避するようにします。RRM にこの干渉を無視させるには、このパラメータを無効にします。

非 802.11 ノイズ源からの干渉エネルギー(dB)が著しい特定の状況では、このノイズ源の近くのアクセス ポイントのこれらのチャネル(および場合により隣接チャネル)を回避するため、RRM がチャネル割り当てを調整する場合があります。これにより、Cisco Wireless LAN Solution のキャパシティが増加し、変動性が減少します。

ステップ 18 Signal Strength Contribution チェックボックスは常にオンです(設定不可)。RRM は常に、RF/モビリティ ドメイン内のすべてのアクセス ポイントの相対位置を監視し、最適に近いチャネルの再使用が保証されます。ネット エフェクトは、Cisco Wireless LAN Solution キャパシティについては増加、チャネル相互および隣接チャネルの干渉については減少となります。

ステップ 19 データ レートは、クライアントとコントローラ間でネゴシエートされます。データ レートが Mandatory に設定されている場合、クライアントはネットワークを使用するため、これをサポートする必要があります。データ レートがコントローラにより Supported として設定されている場合、同じレートをサポートする、アソシエートされているクライアントは、そのレートを使用してアクセス ポイントと通信する可能性があります。しかし、アソシエートするために、サポートされるすべてのレートをクライアントが使用する必要はありません。それぞれのレートについて、Mandatory または Supported のプルダウン選択が可能です。各データ レートは、Disabled に設定し、クライアントの設定に合わせることもできます。

ステップ 20 Noise/Interference/Rogue Monitoring Channels セクションの Channel List ドロップダウン メニューで、必要な監視レベルに基づいて、すべてのチャネル、各国のチャネル、または DCA チャネルから選択します。Dynamic Channel Allocation(DCA; 動的チャンネル割り当て) により、コントローラに接続された管理デバイスの中から自動的に妥当なチャンネルの割り当てが選択されます。

ステップ 21 Cisco Compatible Extension の位置測定間隔は、測定モードがブロードキャスト無線測定要求で有効な場合にのみ変更できます。有効な場合、これによってクライアントの位置の正確さが向上します。

ステップ 22 Save をクリックします。


 

高密度テンプレートの設定

高密度ネットワークでセル間のコンテンションの問題を緩和するには、比較的調和が取れるように、アクセス ポイントとクライアント ステーション レシーバの感度、CCA の感度、送信電力パラメータを調整します。これらの変数を調整することで、アクセス ポイントとクライアントがチャネルをパケット転送のために十分クリアであると見なす前に、送信電力を下げずに必要な受信電力を上げて有効なセルのサイズを縮小できます。テンプレートへの高密度の追加や既存テンプレートの変更の手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、802.11a/n > Parameters の順に選択します。

ステップ 3 このウィンドウの General 部分に Pico Cell Mode パラメータが表示されます。チェックボックスをオンにして、ピコ セルを有効にします。


) このチェックボックスを有効にするには、ソフトウェア バージョン 4.1 以降が必要です。それ以前のバージョンでは、このチェックボックスの値は無視されます。


ステップ 4 左側のサイドバーのメニューから、802.11a/n > Pico Cell の順に選択します。変更するテンプレートを Template Name 列でクリックするか、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。図10-38 に示すウィンドウが表示されます。

図10-38 Pico Cell Parameters ウィンドウ

 


) Pico Cell Mode パラメータが Disabled または V1 に設定されている場合、Pico Cell V2 パラメータは灰色になっています。



) Intel 3945 クライアントで pico cell V2 を使用する場合は、QBSS 機能も有効にする必要があり(つまり、WMM クライアントを許可するように設定する必要があります)、高速ローミングは有効にできません。


ステップ 5 802.11a/n > Parameters に移動して、802.11a/n Network Status チェックボックスが有効になっていないことを確認します。

ステップ 6 Pico Cell Mode ドロップダウン メニューから V2 を選択します。V2 を選択すると、アクセス ポイントとクライアントのパラメータが同じ値を共有し、通信を対称にします。ほとんどのネットワークでデフォルトの Rx 感度、CCA 感度、送信電力の最大値と最小値は Cisco の推奨値を示していますが、この選択によってこれらの値を入力することもできます。


) ソフトウェア バージョン 4.1 以降を使用している場合にのみ V2 を選択できます。


ステップ 7 Rx 感度は、802.11a/n 無線の目的のレシーバ感度に基づいて設定します。Current 列は、アクセス ポイントとクライアントで現在設定されているものを示し、Min 列と Max 列は、アクセス ポイントとクライアントが適応する範囲を示します。この範囲外のレシーバ信号強度値は、通常、無視されます。

ステップ 8 CCA 感度は、アクセス ポイントまたはクライアントがチャネルをアクティビティのために十分クリアであると見なす場合に基づいて設定します。Current 列は、アクセス ポイントとクライアントで現在設定されているものを示し、Min 列と Max 列は、アクセス ポイントとクライアントが適応する範囲を示します。この範囲外の CCA 値は、通常、無視されます。

ステップ 9 Save をクリックして、これらの値を保存します。Reset to Defaults を選択する前に、802.11 ネットワークをオフにする必要があります。


 

音声パラメータ テンプレートの設定(802.11a/n または 802.11b/g/n 用)

コール アドミッション制御やトラフィック ストリーム メトリックなど、802.11a/n または 802.11b/g/n 音声パラメータのテンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバー メニューから 802.11a/n > Voice Parameters または 802.11b/g/n > Voice Parameters を選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。802.11a/n または 802.11b/g/n Voice Parameters ウィンドウが表示され(図10-39 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-39 802.11b/g/n 音声パラメータ テンプレート

 

ステップ 4 VoIP 通話中にエンド ユーザが許容できる音声品質と感じるよう、パケットはエンドポイントから別のエンドポイントまで低遅延、低パケット損失で配送される必要があります。異なるネットワーク負荷の下で QoS を維持するには、Call Admission Control(CAC; コール アドミッション制御)が必要です。アクセス ポイントでの CAC により、アクセス ポイントは、ネットワークの輻輳時でも QoS が制御された状態を維持し、許容する最大の通話数を許容できる数に保つことができます。Enable CAC チェックボックスをオンにして、CAC を有効にします。

ステップ 5 負荷ベースの CAC で取り入れられている測定方式では、それ自体からのすべてのトラフィック タイプによって共同チャネル アクセス ポイントで消費される帯域幅や、共同設置チャネルの干渉によって消費される帯域幅が考慮されています。また、負荷ベース CAC では PHY や チャネル障害から生じる帯域幅の消費もカバーされます。負荷ベース CAC をこの無線帯域で有効にするには、Use Load-based AC チェックボックスをオンにします。

ステップ 6 許容する最大帯域幅のパーセンテージを入力します。

ステップ 7 予約するローミング帯域幅のパーセンテージを入力します。

ステップ 8 緊急コール用に CAC の拡張として緊急帯域幅を有効にする場合は、チェックボックスをオンにします。より高い優先度が Traffic Specification(TSPEC; トラフィック仕様)の要求に与えられるように、Cisco Compatible Extensions バージョン 5(CCXv5)準拠の優先帯域幅の Information Element(IE; 情報要素)が必要となります。

ステップ 9 メトリック収集を有効にする場合は、Enable metric collection チェックボックスをオンにします。トラフィック ストリーム メトリックは、無線 LAN での VoIP に関する一連の統計で、無線 LAN の QoS について報告します。アクセス ポイントで測定値を収集するには、トラフィック ストリーム メトリックが有効であることが必要です。これを有効にすると、コントローラは 802.11b/g/n インターフェイスに対して 90 秒ごとにアソシエートされたすべてのアクセス ポイントからの統計データの収集を開始します。VoIP またはビデオを使用している場合は、この機能を有効にする必要があります。

ステップ 10 Save をクリックします。


 

ビデオ パラメータ テンプレートの設定(802.11a/n または 802.11b/g/n 用)

ビデオ パラメータ テンプレート(802.11a/n または 802.11b/g/n 用)を追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバー メニューから 802.11a/n > Video Parameters または 802.11b/g/n > Video Parameters を選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。802.11a/n または 802.11b/g/n Video Parameters ウィンドウが表示され(図10-40 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-40 802.11a/n ビデオ パラメータ テンプレート

 

ステップ 4 VoIP 通話中にエンド ユーザが許容できる音声品質と感じるよう、パケットはエンドポイントから別のエンドポイントまで低遅延、低パケット損失で配送される必要があります。異なるネットワーク負荷の下で QoS を維持するには、Call Admission Control(CAC; コール アドミッション制御)が必要です。アクセス ポイントでの CAC により、アクセス ポイントは、ネットワークの輻輳時でも QoS が制御された状態を維持し、許容する最大の通話数を許容できる数に保つことができます。Enable CAC チェックボックスをオンにして、CAC を有効にします。

ステップ 5 許容する最大帯域幅のパーセンテージを入力します。

ステップ 6 予約するローミング帯域幅のパーセンテージを入力します。

ステップ 7 Save をクリックします。


 

コントローラ テンプレートによる EDCA パラメータの設定

Enhanced Distributed Channel Access(EDCA; 拡張型分散チャネル アクセス)パラメータは、音声、ビデオ、およびその他の QoS(Quality of Service)トラフィックのために優先的な無線チャネル アクセスを提供するように設計されています。コントローラ テンプレートを使用して 802.11a/n または 802.11b/g/n EDCA パラメータを設定する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバー メニューから 802.11a/n > EDCA Parameters または 802.11b/g/n > EDCA Parameters を選択して、EDCA Parameters 概要ページを開きます。

ステップ 3 Template Name を選択して現在のテンプレートを変更または表示するか、Select a command ドロップダウン メニューから Add Template を選択して新しいテンプレートを作成します。

ステップ 4 EDCA Profile ドロップダウン メニューから、次のいずれかのオプションを選択します。

WMM:Wi-Fi Multimedia(WMM)デフォルト パラメータを有効にします。これがデフォルト値です。音声サービスやビデオ サービスをネットワーク上で展開していない場合は、このオプションを選択します。

Spectralink Voice Priority:Spectralink Voice Priority(SVP)パラメータを有効にします。通話品質の向上のために Spectralink 製電話をネットワーク上に配置している場合は、このオプションを選択します。

Voice Optimized:音声を最適化した EDCA プロファイル パラメータを有効にします。Spectralink 以外の音声サービスをネットワーク上で展開している場合は、このオプションを選択します。

Voice & Video Optimized:音声およびビデオを最適化した EDCA プロファイル パラメータを有効にします。音声サービスおよびビデオ サービスの両方をネットワーク上で展開している場合は、このオプションを選択します。


) ビデオ サービスは、Admission Control(ACM; アドミッション制御)とともに展開する必要があります。ACM なしのビデオ サービスはサポートされていません。



) 無線インターフェイスをシャットダウンしてから、EDCA パラメータを設定してください。


ステップ 5 Enable Streaming MAC チェックボックスをオンにして、この機能を有効にします。


) ネットワーク上のすべてのクライアントが WMM 準拠の場合には、Streaming MAC を有効にするのみです。



 

ローミング パラメータ テンプレートの設定(802.11a/n または 802.11b/g/n 用)

ローミング パラメータ テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバー メニューから 802.11a/n > RRM Thresholds または 802.11b/g/n > RRM Thresholds を選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレート名をクリックして選択します。ローミング パラメータ テンプレートが表示され(図10-41 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-41 802.11 ローミング パラメータ テンプレート

 

ステップ 4 Mode ドロップダウン メニューを使用して、設定モードの Default values および Custom values のいずれかを選択します。Default values オプションを選択すると、テキスト ボックスに表示されたデフォルト値でローミング パラメータを使用できなくなります。Custom values オプションを選択すると、テキスト ボックスでローミング パラメータを編集できます。パラメータを編集するには、手順 5 に進みます。

ステップ 5 Minimum RSSI フィールドでクライアントがアクセス ポイントにアソシエートするために必要な received signal strength indicator(RSSI; 受信信号強度インジケータ)の最小値を入力します。クライアントの平均受信信号強度がこのしきい値を下回ると、通常、信頼できる通信は不可能になります。このため、クライアントは最小 RSSI 値に達する前に、より強い信号の別のアクセス ポイントを見つけ、ローミングしておく必要があります。

範囲:-80 ~ -90 dBm

デフォルト:-85 dBm

ステップ 6 Hysteresis フィールドに、クライアントがローミングするために必要な隣接するアクセス ポイントの信号強度を示す値を入力します。このパラメータは、クライアントが物理的に 2 つのアクセスポイントの境界上やその近くにある場合に、アクセス ポイント間の「ピンポン」の量を減らすためのものです。

範囲:2 ~ 4 dB

デフォルト:2 dB

ステップ 7 Adaptive Scan Threshold フィールドに、クライアントのアソシエートされたアクセス ポイントの RSSI 値を入力します。これ以下の場合、クライアントは指定された移行時間内に隣接するアクセス ポイントにローミングできる必要があります。このパラメータは、クライアントがアクティブまたはパッシブ スキャンで過ごす時間を短縮するために省電力にもなります。たとえば、クライアントは RSSI がしきい値より上の場合はゆっくりと、しきい値より下の場合はより迅速にスキャンできます。

範囲:-70 ~ -77 dB

デフォルト:-72 dB

ステップ 8 Transition Time フィールドに、クライアントのアソシエートされたアクセス ポイントの RSSI がスキャンのしきい値を下回る場合に、クライアントがローミングに適した隣接アクセス ポイントを検出し、ローミングを完了できる最大時間を入力します。

Scan Threshold パラメータと Transition Time パラメータは、最低レベルのクライアントのローミング パフォーマンスを保証します。クライアントの予想される最高速度とローミング ヒステリシスと共に、これらのパラメータによって、アクセス ポイント間の特定の最低重複距離を確保することで簡単にローミングをサポートする無線 LAN ネットワークをデザインできます。

範囲:1 ~ 10 秒

デフォルト:5 秒

ステップ 9 Save をクリックします。


 

RRM しきい値テンプレートの設定(802.11a/n または 802.11b/g/n 用)

新しい 802.11a/n または 802.11b/g/n RRM しきい値テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバー メニューから 802.11a/n > RRM Thresholds または 802.11b/g/n > RRM Thresholds を選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレート名をクリックして選択します。802.11a/n または 802.11b/g/n RRM Thresholds Template ウィンドウが表示され(図10-42 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-42 802.11b/g/n RRM しきい値テンプレート

 

ステップ 4 現在コントローラにアソシエートされている故障したクライアントの最小パーセンテージを入力します。

ステップ 5 現在コントローラにアソシエートされている故障したクライアントの最小数を入力します。

ステップ 6 Min SNR Level パラメータに、クライアント RF セッションの最小信号対雑音比を入力します。


) Min SNR Level(dB)パラメータを調整すると、Signal Strength(dB)の値が自動的にこの変更に反映されます。Signal Strength (dB) パラメータにより、SNR 値を調整する際のカバレッジのしきい値の対象範囲に関する情報が提供されます。


ステップ 7 現在コントローラにアソシエートされているクライアントの最大数を入力します。

ステップ 8 RF Utilization パラメータに、802.11a/n または 802.11b/g/n のしきい値のパーセンテージを入力します。

ステップ 9 干渉しきい値を入力します。

ステップ 10 ノイズしきい値を -127 ~ 0dBm の範囲で入力します。このしきい値を超えると、コントローラは WCS にアラームを送信します。

ステップ 11 Noise/Interference/Rogue Monitoring Channels セクションの Channel List ドロップダウン メニューで、必要な監視レベルに基づいて、すべてのチャネル、各国のチャネル、または DCA チャネルから選択します。Dynamic Channel Allocation(DCA; 動的チャネル割り当て)により、コントローラに接続された管理デバイスの中から自動的に妥当なチャネルの割り当てが選択されます。

ステップ 12 Save をクリックします。


 

RRM 間隔テンプレートの設定(802.11a/n または 802.11b/g/n 用)

802.11a/n または 802.11b/g/n RRM 間隔テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバー メニューから 802.11a/n > RRM Intervals または 802.11b/g/n > RRM Intervals を選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレート名をクリックして選択します。802.11a/n または 802.11b/g/n RRM 間隔テンプレートが表示され(図10-43 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-43 802.11a/n RRM 間隔テンプレート

 

ステップ 4 各アクセス ポイントに対して強度測定を行う間隔を入力します。デフォルトは 300 秒です。

ステップ 5 各アクセス ポイントに対してノイズおよび干渉測定を行う間隔を入力します。デフォルトは 300 秒です。

ステップ 6 各アクセス ポイントに対して負荷測定を行う間隔を入力します。デフォルトは 300 秒です。

ステップ 7 各アクセス ポイントに対してカバレッジ測定を行う間隔を入力します。デフォルトは 300 秒です。

ステップ 8 Save をクリックします。


 

802.11h テンプレートの設定

802.11h テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、802.11a/n > 802.11h の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレート名をクリックして選択します。802.11h テンプレートが表示され(図10-44 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-44 802.11h テンプレート

 

ステップ 4 Power Constraint チェックボックスをオンにして TPC を有効にします。

ステップ 5 Channel Announcement チェックボックスをオンにしてチャネル通知を有効にします。チャネル通知は、新しいチャネルや新しいチャネル番号に切り替わった場合に、アクセス ポイントが通知するメソッドです。

ステップ 6 Save をクリックします。


 

ハイ スループット テンプレートの設定(802.11a/n または 802.11b/g/n 用)

802.11a/n または 802.11b/g/n ハイ スループット テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバー メニューから 802.11a/n > High Throughput または 802.11b/g/n > High Throughput を選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレート名をクリックして選択します。802.11n Parameters for 2.4 GHz テンプレートまたは 802.11n Parameters for 5 GHz テンプレートが表示され(図10-45 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-45 802.11n Parameters for 2.4GHz テンプレート

 

ステップ 4 802.11n Network Status の Enabled チェックボックスをオンにして、ハイ スループットを有効にします。

ステップ 5 MCS (Data Rate) Settings 列で、サポートするデータ レートのレベルを選択します。Modulation Coding Schemes(MCS; 変調符号化方式)は 802.11a データ レートと類似しています。デフォルトでは、20MHz の保護された短い間隔が使用されます。


) Supported チェックボックスをオンにすると、選択した番号が Selected MCS Indexes ウィンドウに表示されます。


ステップ 6 Save をクリックします。


 

メッシュ テンプレートの設定

アクセス ポイントを設定してコントローラとの接続を確立できます。メッシュ テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、Mesh を選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、特定のテンプレート名をクリックします。Mesh Configuration Template ウィンドウが表示されます(図10-46 参照)。

図10-46 メッシュ設定テンプレート

 

ステップ 4 Root AP to Mesh AP Range はデフォルトで 12,000 フィートです。ルート アクセス ポイントとメッシュ アクセス ポイント間の適切な距離をフィート単位で入力します。ネットワーク内のコントローラと既存のすべてのアクセス ポイントに接続する場合、このグローバル パラメータは、すべてのアクセス ポイントに適用されます。

ステップ 5 メッシュ Mac フィルタはデフォルトで有効になっています。有効にすると、この機能は不正アクセス ポイントに対してネットワークを保護し、MAC フィルタ リストで定義されていない場合には添付するアクセス ポイントを許可しません。

ただし、この機能を無効にすると、メッシュ アクセス ポイントがコントローラに接続できます。


) MAC フィルタ リスト内の仕様のないコントローラに接続することは、メッシュ アクセス ポイントでのみ可能です。



) 4.1.82.0 以前のリリースでは、メッシュ アクセス ポイントは MAC フィルタ リストで定義されていない限り、コントローラに接続しません。


新しく追加されたアクセス ポイントがコントローラに接続できるようにするには、MAC フィルタ リストを無効にします。MAC フィルタ リストを再度有効にする前に、新しいアクセス ポイントの MAC アドレスを入力する必要があります。

Enable Mesh MAC Filter チェックボックスをオンにした後、アクセス ポイントがリブートされ、MAC フィルタ リストに定義されている場合は、コントローラに再接続します。MAC リストに定義されていないアクセス ポイントはコントローラに接続できません。

ステップ 6 Enable Client Access on Backhaul Link チェックボックスは、デフォルトでオンになっていません。このオプションが有効の場合、メッシュ アクセス ポイントは 802.11a/n 無線クライアントと 802.11a/n バックホールを介してアソシエートできます。このクライアント アソシエーションは、ルートとメッシュ アクセス ポイント間の 802.11a/n バックホール上の既存の通信に追加されます。


) この機能は 2 つの無線のあるアクセス ポイントのみに適用されます。


ステップ 7 Save をクリックします。


 

既知の不正アクセス ポイント テンプレートの設定

既知の不正デバイスの既存のリストがある場合、テンプレートを設定してこれらの不正の詳細を複数のコントローラに渡すことができます。既知の不正テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、Known Rogues を選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Known Rogue を選択し、GO をクリックします。既存のテンプレートを変更するには、MAC Address 列の特定の MAC アドレスをクリックします。Known Rogues Template ウィンドウが表示されます(図10-47 参照)。

図10-47 既知の不正テンプレート

 

ステップ 4 Import From File チェックボックスが有効です。これにより、アクセス ポイントの MAC アドレスを含む .csv ファイルを Cisco WCS にインポートできます。チェックボックスをオフにすると、アクセス ポイントの MAC アドレスを手動で入力するよう要求されます(これを入力し、手順 6 に進む)。.csv ファイルをインポートする場合は、手順 5 に進みます。

ステップ 5 .csv ファイルが存在するファイル パスを入力するか、Browse ボタンを使用してファイル パスに移動します。手順 9 に進みます。

ステップ 6 Status ドロップダウン メニューを使用して、不正が既知であるか、認識済みであるかを指定します。

ステップ 7 後で役立つコメントを入力します。

ステップ 8 アラームを WCS に送信しない場合は、Suppress Alarms チェックボックスをオンにします。

ステップ 9 Save をクリックします。


 

TFTP サーバ テンプレートの設定

Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバはダウンロードに使用されることがよくあります。TFTP サーバをセットアップするときのガイドラインは、次のとおりです。

サービス ポート経由でダウンロードする場合、サービス ポートはルーティングできないため、TFTP サーバはサービス ポートと同じサブネット上になければなりません。ただし、管理ポートがダウンしている間、TFTP サーバを別のネットワークに配置する場合は、サービス ポートのあるサブネットにゲートウェイがあれば、スタティック ルートを追加します(config route add IP address of TFTP server)。

ディストリビューション システム ネットワーク ポート経由でダウンロードする場合、ディストリビューション システム ポートはルーティング可能なので、TFTP サーバはディストリビューション システム ネットワーク ポートと同じサブネットでも異なるサブネットでもかまいません。

Cisco WCS の組み込み TFTP サーバとサードパーティの TFTP サーバは同じ通信ポートを使用するため、サードパーティの TFTP サーバを WCS と同じコンピュータ上で実行することはできません。

新しい TFTP サーバ テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、TFTP Servers を選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、TFTP Server Name 列の特定のテンプレートをクリックします。TFTP Server ウィンドウが表示されます。

ステップ 4 TFTP サーバの IP アドレスを入力します。

ステップ 5 Save をクリックします。


 

トラップ レシーバ テンプレートの設定

新しいトラップ レシーバ テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。ネットワーク上に SNMP トラップを受信する監視デバイスがある場合、トラップ レシーバ テンプレートを追加できます。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、Management > Trap Receivers の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列の特定のテンプレートをクリックします。Trap Receiver Template ウィンドウが表示され(図10-48 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-48 トラップ レシーバ テンプレート

 

ステップ 4 サーバの IP アドレスを入力します。

ステップ 5 SNMP トラップをレシーバに送信する場合は、Admin Status をオンにします。

ステップ 6 Save をクリックします。


 

トラップ制御テンプレートの設定

トラップ制御テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、Management > Trap Control の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。Trap Controls Template ウィンドウが表示され(図10-49 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-49 トラップ制御テンプレート

 

ステップ 4 適切なチェックボックスをオンにして、次の雑トラップを有効にします。

SNMP Authentication:SNMPv2 エンティティが適切に認証されていないプロトコル メッセージを受信しました。SNMP V3 モードで設定されているユーザが正しくないパスワードでコントローラにアクセスを試みると、認証は失敗し、エラー メッセージが表示されます。ただし、認証エラーの場合、トラップ ログは生成されません。

Link (Port) Up/Down:リンクの状態がアップまたはダウンから変化します。

Multiple Users:同じログイン ID で 2 ユーザがログインしています。

Spanning Tree:スパニング ツリー トラップです。個々のパラメータの説明については、STP の仕様を参照してください。

Rogue AP:不正アクセス ポイントが検出されるたび、または以前検出された不正アクセス ポイントが存在しなくなると、このトラップがその MAC アドレスとともに送信されます。

Controller Config Save:設定が変更されると送信される通知です。

ステップ 5 適切なチェックボックスをオンにして、次のクライアント関連トラップを有効にします。

802.11 Disassociation:クライアントがアソシエーション解除フレームを送信すると、アソシエーション解除通知が送信されます。

802.11 Deauthentication:クライアントが認証解除フレームを送信すると、認証解除通知が送信されます。

802.11 Failed Authentication:クライアントが成功以外のステータス コードの認証フレームを送信すると、認証エラー通知が送信されます。

802.11 Failed Association:クライアントが成功以外のステータス コードのアソシエーション フレームを送信すると、アソシエーション エラー通知が送信されます。

Excluded:クライアントが除外されると、アソシエート エラー通知が送信されます。

ステップ 6 適切なチェックボックスをオンにして、次のアクセス ポイント トラップを有効にします。

AP Register:アクセス ポイントがコントローラとアソシエートまたはアソシエート解除すると送信される通知です。

AP Interface Up/Down:アクセス ポイント インターフェイス(802.11a/n または 802.11b/g/n)のステータスがアップまたはダウンになると送信される通知です。

ステップ 7 適切なチェックボックスをオンにして、次の自動 RF プロファイル トラップを有効にします。

Load Profile:Load Profile の状態が PASS と FAIL の間で変化すると送信される通知です。

Noise Profile:Noise Profile の状態が PASS と FAIL の間で変化すると送信される通知です。

Interference Profile:Interference Profile の状態が PASS と FAIL の間で変化すると送信される通知です。

Coverage Profile:Coverage Profile の状態が PASS と FAIL の間で変化すると送信される通知です。

ステップ 8 適切なチェックボックスをオンにして、次の自動 RF 更新トラップを有効にします。

Channel Update:アクセス ポイントの動的チャネル アルゴリズムが更新されると送信される通知です。

Tx Power Update:アクセス ポイントの動的な送信電力アルゴリズムが更新されると送信される通知です。

ステップ 9 適切なチェックボックスをオンにして、次の AAA トラップを有効にします。

User Auth Failure:このトラップは、クライアント RADIUS 認証エラーが発生したことを通知します。

RADIUS Server No Response:このトラップは、RADIUS クライアントが送信した認証要求に応答する RADIUS サーバがないことを示します。

ステップ 10 適切なチェックボックスをオンにして、次の 802.11 セキュリティ トラップを有効にします。

WEP Decrypt Error:コントローラが WEP 復号化エラーを検出すると送信される通知です。

ステップ 11 適切なチェックボックスをオンにして、次の WPS トラップを有効にします。

Rogue Auto Containment:不正アクセス ポイントが自動的に阻止されると送信される通知です。

ステップ 12 Save をクリックします。


 

Telnet SSH テンプレートの設定

Telnet SSH 設定テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、Management > Telnet SSH の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。Telnet SSH Configuration Template ウィンドウが表示され(図10-50 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-50 Telnet SSH 設定テンプレート

 

ステップ 4 ログオフされるまでに Telnet セッションが非アクティブの状態を継続できる時間を分数で入力します。0 は、タイムアウトしないことを意味します。有効な範囲は 0 ~ 160 で、デフォルトは 5 です。

ステップ 5 Maximum Sessions パラメータに、許容される Telnet の同時セッション数を入力します。有効範囲は 0 ~ 5 で、デフォルトは 5 です。DS(ネットワーク)ポートでは、新しい Telnet セッションを許可または禁止できます。サーバ ポートでは、新しい Telnet セッションは常に許可されます。

ステップ 6 Allow New Telnet Session ドロップダウン メニューを使用して、DS ポートで新しい Telnet セッションを許可するかどうかを指定します。DS(ネットワーク)ポートでは、新しい Telnet セッションを許可または禁止できます。サーバ ポートでは、新しい Telnet セッションは常に許可されます。デフォルトは no です。

ステップ 7 Allow New SSH Session ドロップダウン メニューを使用して、Secure Shell Telnet セッションを許可するかどうかを指定します。デフォルトは yes です。

ステップ 8 Save をクリックします。


 

syslog テンプレートの設定

syslog 設定テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、Management > Syslog の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のテンプレートをクリックして選択します。Syslog Configuration Template ウィンドウが表示され(図10-51 参照)、テンプレートが適用されるコントローラの数が自動的に読み込まれます。

図10-51 syslog 設定テンプレート

 

ステップ 4 テンプレート名を入力します。このテンプレートが適用されるコントローラの数が表示されます。

ステップ 5 Syslog Enabled チェックボックスをオンにして syslog を有効にします。

ステップ 6 Save をクリックします。


 

ローカル管理ユーザ テンプレートの設定

ローカル管理ユーザ テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、Management > Local Management Users の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、User Name 列のユーザ名をクリックして選択します。Local Management Users テンプレートが表示されます(図10-52 参照)。

図10-52 ローカル管理ユーザ テンプレート

 

ステップ 4 テンプレート ユーザ名を入力します。

ステップ 5 このローカル管理ユーザ テンプレートのパスワードを入力します。

ステップ 6 パスワードを再入力します。

ステップ 7 Access Level ドロップダウン メニューを使用して、Read Only または Read Write を選択します。

ステップ 8 Save をクリックします。


 

ユーザ認証優先度テンプレートの設定

管理ユーザ認証優先度テンプレートは、コントローラの管理ユーザの認証に使用する認証サーバの順序を制御できます。ユーザ認証優先度テンプレートを追加したり、既存のテンプレートを変更する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、Management > Authentication Priority の順に選択します。

ステップ 3 新しいテンプレートを追加する場合は、Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。既存のテンプレートを変更するには、Template Name 列のユーザ名をクリックして選択します。認証優先度テンプレートが表示されます(図10-53 参照)。

図10-53 認証優先度テンプレート

 

ステップ 4 テンプレート名を入力します。

ステップ 5 最初にローカル サーバが試行されます。ローカル認証に失敗した場合は、試行する RADIUS または TACACS+ を選択します。

ステップ 6 Save をクリックします。


 

コントローラ テンプレートの適用

コントローラ テンプレートをコントローラに適用できます。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 左側のサイドバーのメニューから、適用するテンプレートのカテゴリを選択します。

ステップ 3 Template Name 列からコントローラに適用する URL をクリックします。

ステップ 4 Apply to Controllers ボタンをクリックします。


 

アクセス ポイント テンプレートの追加

このページでは、新しいアクセス ポイント テンプレートを追加できます。


ステップ 1 Configure > Access Point Templates の順に選択します。

ステップ 2 Select a command ドロップダウン メニューから Add Template を選択し、GO をクリックします。

ステップ 3 テンプレート名を入力します。

ステップ 4 テンプレートの説明を入力します。

ステップ 5 Save をクリックします。


 

アクセス ポイント テンプレートの設定

このページでは、1 つ以上のアクセス ポイントに適用できるアクセス ポイント情報のテンプレートを設定できます。


ステップ 1 Configure > Access Point Templates の順に選択します。

ステップ 2 Template Name 列で、設定するテンプレート名をクリックします。

ステップ 3 AP Parameters タブを選択します。AP/Radio Templates ウィンドウが表示されます(図10-54 参照)。

図10-54 AP/無線テンプレート

 

ステップ 4 Location チェックボックスをオンにし、アクセス ポイントの位置を入力します。

ステップ 5 Admin Status と Enabled の両方のチェックボックスをオンにして、アクセス ポイント管理ステータスを有効にします。

ステップ 6 AP Mode チェックボックスをオンにし、ドロップダウン メニューを使用して次のアクセス ポイントの動作モードを設定します。

Local:デフォルト

Monitor:監視モードのみ

REAP:Cisco 1030 IEEE 802.11a/b/g/n リモート エッジ Lightweight アクセス ポイントに使用する Cisco 1030 リモート エッジ Lightweight アクセス ポイント(REAP)

Rogue Detected:不正アクセス ポイントを監視しますが、不正アクセス ポイントを送信したり、阻止することはありません。

Sniffer:アクセス ポイントが指定のチャネル上の空間をスニファします。アクセス ポイントは、そのチャネル上のクライアントからのすべてのパケットを取得し、AiroPeek(IEEE 802.11 無線 LAN のパケット アナライザ)を実行するリモート マシンに転送します。これには、タイムスタンプ、信号強度、パケット サイズなどの情報が含まれます。動作モードとして Sniffer を選択する場合、AP/無線テンプレートの 802.11b/g/n Parameters または 802.11a/n Parameters タブでチャネルとサーバ IP アドレスの入力を要求されます。


) スニファ機能は、データ パケットのデコードをサポートする、サードパーティ製のネットワーク分析ソフトウェアである Airopeek を実行する場合のみ有効になります。Airopeek の詳細は、www.wildpackets.com/products/airopeek/overview を参照してください。


ステップ 7 アクセス ポイントの高さをフィート単位で入力します。この高さはフロアの高さのデフォルトとなります。この高さは、3 フィートより大きく、フロアの高さを越えない値でなければなりません。指定した高さは、テンプレートで選択したすべてのアクセス ポイントに適用されます。


) 特定のアクセス ポイントの高さを変更するには、Monitor > Maps > Floor > Position Access Points の順に移動します。


ステップ 8 アクセス ポイント ミラーリング モードを有効にするには、Mirror Mode と Enabled の両方のチェックボックスをオンにする必要があります。

ステップ 9 チェックボックスをオンにして、Country Code ドロップダウン メニューを有効にします。国番号のリストが返されます。このアクセス ポイントに対して、可能な国番号の選択肢を選びます。アクセス ポイントは、さまざまな規制要件を持つ多くの国で使用できるように設計されています。国の規制に準拠するように国番号を設定できます。


) 操作する国向けに設計されていない場合は、アクセス ポイントは正しく動作しない場合があります。たとえば、米国規制区域に含まれる部分番号 AIR-AP1030-A-K9 のアクセス ポイントは、オーストラリアでは使用できません。必ず自国の規制区域に合ったアクセス ポイントを購入するようにしてください。製品ごとにサポートされている国番号の一覧については、http://www.cisco.com/warp/public/779/smbiz/wireless/approvals.html を参照してください。


ステップ 10 Stats Collection Interval をオンにし、アクセス ポイントの統計を収集する間隔を入力(秒単位)します。

ステップ 11 アクセス ポイントをブリッジするアクセス ポイントとして機能させる場合は、ブリッジ オプションを選択します。この機能は Mesh アクセス ポイントのみに適用されます。

ステップ 12 Data Rate ドロップダウン メニューを使用して、データ レートを 6、12、18、224、36、48、または 54Mbps から選択します。

ステップ 13 Ethernet Bridging ドロップダウン メニューを使用して、有効または無効を選択します。

ステップ 14 Cisco Discovery Protocol チェックボックスをオンにして Enabled をオンにし、単一のアクセス ポイントまたはすべてのアクセス ポイント上の CDP を許可します。CDP は、Cisco で製造されたすべての機器(ルータ、ブリッジ、通信サーバなど)上で実行されるデバイス検出プロトコルです。

ステップ 15 Controllers チェックボックスをオンにすると、プライマリ、セカンダリ、およびターシャリ コントローラ名の入力を要求されます。

ステップ 16 Group VLAN Name チェックボックスをオンにし、ドロップダウン メニューを使用して既存のグループ VLAN 名を選択します。

ステップ 17 H-REAP Configuration チェックボックスをオンにし、ローカル切り替えを有効にします。ローカル切り替えを有効にすると、この WLAN をアドバタイズするリモート アクセス ポイントはデータ パケットをローカルで切り替えることができます(データ パケットをコントローラにトンネルしない)。

ステップ 18 VLAN Support チェックボックスをオンにし、リモート ネットワークのネイティブ VLAN の番号(100 など)を Native VLAN ID フィールドに入力します。この値を 0 にすることはできません。


) デフォルトでは、ハイブリッド REAP アクセス ポイントでは VLAN は有効になっていません。ハイブリッド REAP を有効にすると、アクセス ポイントは WLAN にアソシエートされた VLAN 名(インターフェイス名)と VLAN ID を継承します。この設定はアクセス ポイントで保存され、正常に応答が接続された後、受信されます。デフォルトでは、ネイティブ VLAN は 1です。ネイティブ VLAN は、VLAN 有効のドメイン内のハイブリッド REAP アクセス ポイントごとに 1 つ設定する必要があります。そのように設定しないと、アクセス ポイントはパケットをコントローラに送受信できません。クライアントが RADIUS サーバから VLAN を割り当てられている場合、その VLAN はローカル切り替えの WLAN にアソシエートされます。


ステップ 19 SSID-VLAN Mappings セクションには、現在 HREAP ローカル切り替えで有効なすべてのコントローラの SSID が一覧表示されます。チェックボックスをオンにして値を調整することにより、クライアントが IP アドレスを取得する VLAN の番号を編集できます。

ステップ 20 テンプレートを保存します。

ステップ 21 更新を反映するためにリブートが必要な場合は、Reboot AP チェックボックスをオンにします。

ステップ 22 Select APs タブを選択します。ドロップダウン メニューを使用して、コントローラごとに、フロア領域ごとに、屋外領域ごとに、あるいはすべてにパラメータを適用します。Apply をクリックします。


) アクセス ポイントにテンプレートを適用する際、WCS はアクセス ポイントが REAP モードをサポートするかを確認し、それに応じてアプリケーション ステータスを表示します。Apply をクリックすると、テンプレートのパラメータが保存され、選択したアクセス ポイントへ適用されます。レポートを適用すると Apply Report タブに表示されます。



 

無線テンプレートの設定

このページでは、1 つ以上のアクセス ポイントに適用できる無線情報のテンプレートを設定できます。


ステップ 1 Configure > Access Point Templates の順に選択します。

ステップ 2 Template Name 列で、設定するテンプレート名をクリックします。

ステップ 3 802.11a/n Parameters または 802.11b/g/n Parameter タブを選択します。AP/Radio Templates ウィンドウが表示されます(図10-55 参照)。

図10-55 802.11a/n Parameters

 

ステップ 4 Channel Assignment チェックボックスをオンにして有効にします。特定のチャネルを選択するには、 Custom を選択し、ドロップダウン メニューを使用してチャネルを指定します。それ以外の方法としては、 Global をクリックします。


) チャネル割り当ては、その無線でサポートされているチャネル一覧に対して検証されます。


ステップ 5 Admin Status と Enabled の両方のチェックボックスをオンにして、アクセス ポイント管理ステータスを有効にします。

ステップ 6 Antenna Mode ドロップダウン メニューを使用して、アンテナ モデルを選択します。選択肢には、Omni、Sector A、および Sector B があります。


) すべてのアンテナ モデルが、異なるアクセス ポイント タイプの無線でサポートされているわけではありません。


ステップ 7 外部アンテナの場合は、次のいずれかを選択します。

Enabled:アクセス ポイントの左右両方のコネクタでダイバーシティを有効にする場合に選択します。

Left/Side B:アクセス ポイントに取り外し可能なアンテナがあり、そのアクセス ポイントの左コネクタに高利得アンテナが取り付けられている場合に選択します。。

Right/Side A:アクセス ポイントに取り外し可能なアンテナがあり、そのアクセス ポイントの右コネクタに高利得アンテナが取り付けられている場合に選択します。

内部アンテナの場合は、次のいずれかを選択します。

Enabled:Side A と Side B の両方でダイバーシティを有効にする場合に選択します。

Left/Side B:Side B(背面アンテナ)のみでダイバーシティを有効にする場合に選択します。

Right/Side A:Side A(前面アンテナ)のみでダイバーシティを有効にする場合に選択します。

ステップ 8 Antenna Type チェックボックスをオンにして、ドロップダウン メニューを使用して内部アンテナか外部アンテナかを指定します。

ステップ 9 Antenna Name ドロップダウン メニューを使用して、アンテナが Kodiak directional、AIR-ANT1000、CUSH-S5157WP などであるかどうかを指定します。

ステップ 10 Power Assignment チェックボックスをオンにして、現在データの送信に使用している電力レベルを選択します。(また、PHY にはレシーバ感度の要件を決定するためにこの値を使用するものがあります)。Global を選択する場合は、電力レベルは動的アルゴリズムで割り当てられます。Custom を選択する場合は、ドロップダウン メニューを使用して値を選択できます。最大値は電力レベル 1 です。

ステップ 11 このアクセス ポイントに対する WLAN の上書きを有効化または無効化します。WLAN の上書きを有効にすると、現在のすべての Cisco WLAN Solution WLAN を一覧で示す表がオペレーティング システムによって表示されます。この表で、WLAN を選択して WLAN 操作を有効にするか、WLAN の選択を解除してこのアクセス ポイントの 802.11b/g シスコ製無線デバイス に対する WLAN 操作を禁止します。


) WLAN の上書きについての変更を有効にするためには、このアクセス ポイントをリセットする必要があります。



 

アクセス ポイントの選択

無線テンプレートの設定が完了したら、それらの属性が適用されるアクセス ポイントを選定する必要があります。アクセス ポイントを選択する手順は、次のとおりです。


ステップ 1 Select APs タブをクリックします。

ステップ 2 アクセス ポイントを選択するための検索基準を 1 つ指定して、Search をクリックします。たとえば、このテンプレートを最後に適用したアクセス ポイントを検索することや、コントローラ名、フロア領域などで検索することができます。検索基準は、ユーザの選択内容に基づいて変更されます。

AP 名、イーサネット MAC、コントローラ情報およびマップ情報が表示されます。

ステップ 3 AP Name 列でチェックボックスをオンにして、そのアクセス ポイントと無線パラメータを適用するアクセス ポイントを選択します。Select All オプションや Unselect All オプションをクリックすることもできます。

ステップ 4 Save をクリックして選択したパラメータを保存するか、Apply をクリックして、選択したアクセス ポイントにそのアクセス ポイントと無線パラメータを適用します。


 

レポートの適用

アクセス ポイントを選択し適用したら、Apply Report タブをクリックします。