Cisco Wireless Control System コンフィギュレー ション ガイド
ハイブリッド REAP の設定
ハイブリッド REAP の設定
発行日;2012/01/30 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 25MB) | フィードバック

目次

ハイブリッド REAP の設定

ハイブリッド REAP の概要

ハイブリッド REAP 認証プロセス

ハイブリッド REAP のガイドライン

ハイブリッド REAP の設定

リモート サイトのスイッチの設定

ハイブリッド REAP のコントローラの設定

ハイブリッド REAP のアクセス ポイントの設定

WLAN へのクライアント デバイスの接続

ハイブリッド REAP のアクセス ポイント グループ

ハイブリッド REAP グループとバックアップ RADIUS サーバ

ハイブリッド REAP グループとローカル認証

ハイブリッド REAP グループの設定

H-REAP グループの監査

ハイブリッド REAP の設定

この章では、ハイブリッド REAP の概要と、コントローラとアクセス ポイントでこの機能を設定する方法を説明します。この章の内容は、次のとおりです。

「ハイブリッド REAP の概要」

「ハイブリッド REAP の設定」

「ハイブリッド REAP のアクセス ポイント グループ」

ハイブリッド REAP の概要

ハイブリッド REAP は、ブランチ オフィス展開およびリモート オフィス展開のソリューションです。これを使用すると、ブランチ オフィスまたはリモート オフィスにあるアクセス ポイントを本社のオフィスから WAN(広域ネットワーク)を使用して、各オフィスでコントローラを展開せずに、設定および制御できます。ロケーションごとに展開できるハイブリッド REAP のアクセス ポイント数は無制限です。ハイブリッド REAP アクセス ポイントは、コントローラへの接続を失ったとき、クライアント データ トラフィックをローカルにスイッチングし、クライアント認証をローカルで実行できます。コントローラへ接続されると、ハイブリッド REAP アクセス ポイントはトラフィックをコントローラへ送り返します。

ハイブリッド REAP がサポートされているのは、1130AG および 1240AG アクセス ポイントと 2000 および 4400 シリーズ コントローラ、Catalyst 3750G Integrated Wireless LAN Controller Switch、Cisco WiSM、および Integrated Services Routers 用コントローラ ネットワーク モジュール、および Catalyst 3750G Integrated Wireless LAN Controller Switch 内のコントローラだけです。図 13-1は、通常のハイブリッド REAP 展開を示しています。

図 13-1 ハイブリッド REAP 展開

 

ハイブリッド REAP 認証プロセス

ハイブリッド REAP アクセス ポイントは起動時に、コントローラを探します。コントローラが見つかると、そのコントローラに接続し、コントローラから最新のソフトウェアのイメージと設定情報をダウンロードし、無線を初期化します。ダウンロードした設定は、スタンドアロン モードで使用できるように、不揮発性メモリに保存されます。

ハイブリッド REAP アクセス ポイントは、次のいずれかの方法でコントローラの IP アドレスを記憶します。

アクセス ポイントが IP アドレスを DHCP サーバから割り当てられている場合、通常の LWAPP 検索プロセス [レイヤ 3 ブロードキャスト、OTAP(無線プロビジョニング)、DNS、または DHCP オプション 43] によりコントローラを検出します。


) OTAP は、最初の起動時には動作しません。


アクセス ポイントが静的 IP アドレスを割り当てられている場合、DHCP オプション 43 を除く LWAPP 検出プロセスのメソッドのいずれかを使用してコントローラを検出します。アクセス ポイントがレイヤ 3 ブロードキャストまたは OTAP を使用してコントローラを検出できない場合、DNS レゾリューションをお勧めします。DNS を使用すると、DNS サーバを認識する静的 IP アドレスを持つアクセス ポイントは少なくとも 1 つのコントローラを検出できます。

LWAPP 検出メカニズムを使用できないリモート ネットワークからコントローラを検出させる場合には、プライミングを使用できます。この方法によって、アクセス ポイントが接続するコントローラを指定できます(アクセス ポイント CLI を使用)。

ハイブリッド REAP アクセス ポイントがコントローラに到達できると(「接続済みモード」と呼ばれる)、コントローラはクライアント認証を支援します。ハイブリッド REAP アクセス ポイントがコントローラにアクセスできない場合、アクセス ポイントはスタンドアロン モードに入り、自動的にクライアントを認証します。


) デバイスが、異なるハイブリッド REAP モードに入ると、アクセス ポイントの LED が変わります。LED のパターンについては、ご使用のアクセス ポイントのハードウェア インストール ガイドを参照してください。


クライアントがハイブリッド REAP アクセス ポイントにアソシエートすると、アクセス ポイントはすべての認証メッセージをコントローラへ送信して、クライアント データ パケットをローカルにスイッチングするか(ローカル スイッチング)、コントローラへデータ パケットを送信するか(中央スイッチング)を、WLAN 設定に応じて実行します。クライアント認証(オープン、共有、EAP、Web 認証、および NAC)とデータ パケットに関して、WLAN はコントローラの接続の設定および状態に応じて、次の状態のいずれかになります。

central authentication, central switching:この状態では、コントローラがクライアント認証を処理し、すべてのクライアント データがコントローラにトンネル バックします。この状態は、接続済みモードの場合だけ有効です。

central authentication, local switching:この状態では、コントローラがクライアント認証を処理し、ハイブリッド REAP アクセス ポイントがデータ パケットをローカルにスイッチングします。クライアントが正常に認証した後、コントローラは設定コマンドを新しいペイロードで送信し、ハイブリッド REAP アクセス ポイントにデータ パケットのローカル スイッチング開始を指示します。このメッセージは、クライアントごとに送信されます。この状態は、接続済みモードの場合だけ適用可能です。

local authentication, local switching:この状態では、ハイブリッド REAP アクセス ポイントがクライアント認証を処理し、クライアント データ パケットをローカルにスイッチングします。この状態は、スタンドアロン モードの場合だけ有効です。

authentication down, switching down:この状態では、WLAN が既存のクライアントとのアソシエートを解除し、ビーコンおよびプローブ応答の送信を停止します。この状態は、スタンドアロン モードの場合だけ有効です。

authentication down, local switching:この状態では、WLAN が認証を試行するすべての新規クライアントを拒否しますが、ビーコンおよびプローブ応答を送信し続けて既存のクライアントをキープアライブします。この状態は、スタンドアロン モードの場合だけ有効です。

ハイブリッド REAP アクセス ポイントがスタンドアロン モードに入ると、オープン、共有、WPA-PSK または WPA2-PSK 認証に設定された WLAN が「local authentication, local switching」状態に入り、新規クライアントの認証を継続します。その他の WLAN は、「authentication down, switching down」状態(WLAN が中央スイッチングに設定されている場合)または「authentication down, local switching」状態(WLAN がローカル スイッチングに設定されている場合)に入ります。

ハイブリッド REAP アクセス ポイントがスタンドアロン モードに入ると、中央スイッチングの WLAN 上にあるすべてのクライアントがアソシエートを解除されます。802.1X または Web 認証 WLAN の場合、既存クライアントはアソシエートを解除されませんが、ハイブリッド REAP アクセス ポイントはアソシエートされたクライアントの数がゼロ(0)になると、ビーコンの送信を停止します。また、802.1X または Web 認証 WLAN にアソシエートしている新規クライアントへアソシエート解除のメッセージを送信します。802.1X 認証、NAC、および Web 認証(ゲスト アクセス)などのコントローラ依存アクティビティは無効になり、アクセス ポイントはコントローラに Intrusion Detection System(IDS; 侵入検知システム)レポートを送信しません。さらに、ほとんどの Radio Resource Management(RRM)機能(近隣探索; ノイズ、干渉、ロード、カバレッジの測定; 近隣リストの使用; 不正の阻止および検出など)が無効になります。ただし、ハイブリッド REAP アクセス ポイントではスタンドアロン モードで動的周波数選択がサポートされています。


) コントローラに Network Access Control(NAC)が設定されている場合、クライアントはアクセス ポイントが接続済みモードのときだけアソシエートできます。NAC が有効の場合、WLAN がローカル スイッチングに設定されている場合でも、有害な(または検疫された) VLAN を作成して、この VLAN に割り当てられているクライアントのデータ トラフィックがコントローラを通過できるようにする必要があります。検疫された VLAN にクライアントが割り当てられると、そのデータ パケットはすべて中央スイッチングになります。


ハイブリッド REAP アクセス ポイントでは、スタンドアロン モードに入った後でもクライアントの接続が保持されます。ただし、アクセス ポイントがコントローラとの接続を再び確立すると、すべてのクライアントのアソシエートが解除され、コントローラからの新しい設定情報が適用され、クライアントの接続が再び許可されます。

ハイブリッド REAP のガイドライン

ハイブリッド REAP を使用するときには、次の点に留意してください。

ハイブリッド REAP アクセス ポイントは、静的 IP アドレスまたは DHCP アドレスで展開できます。DHCP の場合、DHCP サーバをローカルで使用可能にして、起動時にアクセス ポイントの IP アドレスを指定できるようにする必要があります。

ハイブリッド REAP は、最小 500 バイトの Maximum Transmission Unit(MTU; 最大転送単位)の WAN リンクをサポートします。

往復遅延時間はアクセス ポイントとコントローラ間で 100 ミリ秒を超えてはならず、LWAPP コントロール パケットはその他すべてのトラフィックに優先しなければなりません。

コントローラはマルチキャスト パケットをユニキャストまたはマルチキャスト パケットの形式でアクセス ポイントに送信できます。ハイブリッド REAP モードでは、アクセス ポイントはマルチキャスト パケットをユニキャスト形式以外では受信しません。

ハイブリッド REAP は CCKM 完全認証をサポートしますが、CCKM 高速ローミングをサポートしません。

ハイブリッド REAP は 1-1 Network Address Translation(NAT; ネットワーク アドレス変換)設定をサポートします。また、真のマルチキャストを除くすべての機能に対して Port Address Translation(PAT; ポート アドレス変換)もサポートします。Unicast オプションを使用して設定されている場合、マルチキャストは NAT 境界を越えてサポートされます。

VPN、IPSec、L2TP、PPTP、Fortress 認証、および Cranite 認証は、これらのセキュリティ タイプがアクセス ポイントにおいてローカルでアクセスできれば、ローカル スイッチングのトラフィックに対してサポートされます。

ハイブリッド REAP の設定

ハイブリッド REAP を設定するには、次の項の指示を記載された順序に従って実行する必要があります。

「リモート サイトのスイッチの設定」

「ハイブリッド REAP のコントローラの設定」

「ハイブリッド REAP のアクセス ポイントの設定」

「WLAN へのクライアント デバイスの接続」

リモート サイトのスイッチの設定

リモート サイトのスイッチを用意する手順は、次のとおりです。


ステップ 1 ハイブリッド REAP を有効化するアクセス ポイントをスイッチのトランク ポートまたはアクセス ポートに接続します。


) 下記のサンプル設定は、スイッチ上のトランク ポートに接続されたハイブリッド REAP アクセス ポイントを示しています。


ステップ 2 下記のサンプル設定を参照して、ハイブリッド REAP アクセス ポイントをサポートするスイッチを設定します。

このサンプル設定では、ハイブリッド REAP アクセス ポイントはネイティブ VLAN 100 でトランク インターフェイス FastEthernet 1/0/2 に接続されています。このアクセス ポイントにはネイティブ VLAN 上の IP 接続が必要です。リモート サイトには、VLAN 101 上にローカル サーバとリソースがあります。DHCP プールがスイッチの両 VLAN のローカル スイッチ内に作成されます。最初の DHCP プール(ネイティブ)はハイブリッド REAP アクセス ポイントにより使用され、2 つ目の DHCP プール(ローカル スイッチング)は、クライアントがローカルでスイッチングされる WLAN にアソシエートする場合、クライアントにより使用されます。サンプル設定で太字の部分は、これらの設定を示しています。


) このサンプル設定のアドレスは、図示する目的にだけ使用されています。実際に使用するアドレスは、目的のアップストリーム ネットワークに適合する必要があります。


ip dhcp pool NATIVE
network 10.10.100.0 255.255.255.0
default-router 10.10.100.1
!
ip dhcp pool LOCAL-SWITCH
network 10.10.101.0 255.255.255.0
default-router 10.10.101.1
!
interface FastEthernet1/0/1
description Uplink port
no switchport
ip address 10.10.98.2 255.255.255.0
spanning-tree portfast
!
interface FastEthernet1/0/2
description the Access Point port
switchport trunk encapsulation dot1q
switchport trunk native vlan 100
switchport trunk allowed vlan 100,101
switchport mode trunk
spanning-tree portfast
!
interface Vlan100
ip address 10.10.100.1 255.255.255.0
ip helper-address 10.10.100.1
!
interface Vlan101
ip address 10.10.101.1 255.255.255.0
ip helper-address 10.10.101.1
end


 

ハイブリッド REAP のコントローラの設定

この項では、ハイブリッド REAP のコントローラを設定する方法を説明します。ハイブリッド REAP のコントローラを設定するには、中央スイッチングの WLAN とローカル スイッチングの WLAN を作成します。この手順には、たとえば次の 3 つの WLAN を使用します。

WLAN
セキュリティ
スイッチング
インターフェイス マッピング(VLAN)

従業員

WPA1+WPA2

中央

管理(中央スイッチング VLAN)

従業員ローカル

WPA1+WPA2 (PSK)

ローカル

101(ローカル スイッチング VLAN)

ゲスト中央

Web 認証

中央

管理(中央スイッチング VLAN)

 


ステップ 1 中央スイッチング WLAN を作成する手順は、次のとおりです。この例では、これが最初の WLAN(従業員)です。

a. [Configure] > [Controllers] の順に選択します。

b. 特定のコントローラの IP Adress 列内でクリックします。

c. [WLANs] >[WLANs] の順にクリックして、[WLANs] ページを開きます。

d. [Select a command] ドロップダウン メニューから [Add] を選択し、[GO] をクリックします(図 13-2 を参照)。


) Cisco アクセス ポイントは、コントローラごとに最大 16 の WLAN をサポートします。ただし Cisco アクセス ポイントの中には、9 以上の WLAN ID を持つ WLAN をサポートしないものがあります。この場合、WLAN を作成しようとすると、「Not all types of AP support WLAN ID greater than 8, do you wish to continue?」というメッセージが表示されます。[OK] をクリックすると、次に使用可能な WLAN ID を持つ WLAN が作成されます。ただし 8 より小さい WLAN ID を持つ WLAN を削除すると、削除した WLAN の WLAN ID が、次に作成される WLAN に付与されます。


図 13-2 [WLANs > New] ページ

 

e. このコントローラにテンプレートを適用する場合には、ドロップダウン メニューからテンプレート名を選択します。テンプレートの設定方法に応じて、パラメータが読み込まれます。新しい WLAN テンプレートを作成するには、[click here] リンクを使用してテンプレート作成ページにリダイレクトします(「WLAN テンプレートの設定」を参照)。

f. この WLAN の設定パラメータを変更します。この従業員 WLAN の例では、[Layer 2 Security] ドロップダウン ボックスから [WPA1+WPA2] を選択する必要があります。

g. [General Policies] の下にある [Admin Status] チェックボックスをオンにして、この WLAN を必ず有効にしてください。


) NAC が有効で、これに使用するために検疫済みの VLAN が作成されている場合には、[General Policies] の下にある [Interface] ドロップダウン ボックスから必ずその VLAN を選択します。また、[Allow AAA Override] チェックボックスをオンにして、コントローラが確実に検疫 VLAN 割り当てを検証するようにします。


h. [Apply] をクリックして、変更内容を確定します。

ステップ 2 ローカル スイッチング WLAN を作成する手順は、次のとおりです。この例では、これが2 つ目の WLAN(従業員ローカル)です。

a. 中央スイッチング WLAN を作成する手順は、次のとおりです。この例では、これが最初の WLAN(従業員)です。 のサブステップに従って、新しい WLAN を作成します。この例では、この WLAN の名前は「employee-local」(従業員ローカル)です。

b. 元の [WLAN] ウィンドウで [WLAN ID] をクリックして、[WLANs edit] ページへ移動します。この WLAN の設定パラメータを変更します。この従業員 WLAN の例では、[Layer 2 Security] ドロップダウン ボックスから [WPA1+WPA2] を選択する必要があります。必ず [PSK authentication key management] を選択して、事前共有キーを入力します。


) [General Policies] の下にある [Admin Status] チェックボックスをオンにして、この WLAN を必ず有効にしてください。また、[H-REAP Local Switching] チェックボックスをオンにして、ローカル スイッチングを必ず有効にします。ローカル スイッチングを有効にすると、この WLAN をアドバタイズするハイブリッド REAP アクセス ポイントはデータ パケットをローカルでスイッチングすることができます(データ パケットをコントローラにトンネルしない)。



) ハイブリッド REAP アクセス ポイントの場合、H-REAP Local Switching に設定された WLAN のコントローラでのインターフェイス マッピングは、アクセス ポイントでデフォルトの VLAN タギングとして継承されます。これは SSID ごと、ハイブリッド REAP アクセス ポイントごとに簡単に変更できます。非ハイブリッド REAP アクセス ポイントではすべてのトラフィックがコントローラへトンネル バックされ、VLAN タギングは各 WLAN インターフェイス マッピングにより指示されます。


c. [Apply] をクリックして、変更内容を確定します。

ステップ 3 ゲスト アクセスに使用する中央スイッチングの WLAN を作成する手順は、次のとおりです。この例では、これが3 つ目の WLAN(ゲスト中央)です。ゲスト トラフィックをコントローラへトンネルして、中央サイトから無防備のゲスト トラフィックに会社のデータ ポリシーを行使できるようにする必要がある場合があります。

a. 中央スイッチング WLAN を作成する手順は、次のとおりです。この例では、これが最初の WLAN(従業員)です。 のサブステップに従って、新しい WLAN を作成します。この例では、この WLAN の名前は「guest-central」(ゲスト中央)です。

b. [WLANs Edit] ページで、この WLAN の設定パラメータを変更します。この例の従業員 WLAN では、[Layer 2 Security] および [Layer 3 Security] の両方のドロップダウン ボックスで [None] を選択し、[Web Policy] チェックボックスをオンにして [Authentication] を必ず選択する必要があります。


) 外部 Web サーバを使用する場合、事前認証アクセス コントロール リスト(ACL)をサーバの WLAN 上に設定してから、この ACL を WLAN の事前認証 ACL として選択する必要があります。


c. [General Policies] の下にある [Admin Status] チェックボックスをオンにして、この WLAN を必ず有効にしてください。

d. [Apply] をクリックして、変更内容を確定します。

e. ゲスト ユーザがこの WLAN にアクセスしたとき最初に表示されるログイン ページのコンテンツと外観をカスタマイズする場合は、「Web 認証テンプレートの設定」の手順に従ってください。

f. ローカル ユーザをこの WLAN に追加するには、[Security] をクリックしてから [Local Net Users] をクリックします。

g. [Local Net Users] ページが表示されたら、[Select a command] ドロップダウン メニューで [Add Local Net User] を選択します。

h. [User Name and Password] フィールドに、ローカル ユーザのユーザ名とパスワードを入力します。パスワードを自動的に生成する場合は、[Generate Password] チェックボックスをオンにします。[Password and Confirm Password] パラメータが自動的に読み込まれます。自動生成を有効にしない場合は、パスワードを 2 度入力する必要があります。

i. [SSID] ドロップダウン リストで、このゲスト ユーザが適用する SSID を選択します。Web セキュリティが有効になっているこれらの WLAN だけがリストに表示されます。SSID は、レイヤ 3 Web 認証ポリシーが設定されている WLAN でなければなりません。

j. ゲスト ユーザ アカウントの説明を入力します。

k. [Lifetime] ドロップダウン リストで、このユーザ アカウントをアクティブにする日数、時間、または分を選択します。

l. [Save] をクリックします。

ステップ 4 「ハイブリッド REAP のアクセス ポイントの設定」 に移動して、ハイブリッド REAP のアクセス ポイントを2 つまたは 3 つ設定します。


 

ハイブリッド REAP のアクセス ポイントの設定

この項では、ハイブリッド REAP のアクセス ポイントを設定する方法を説明します。

ハイブリッド REAP のアクセス ポイントを設定する手順は、次のとおりです。


ステップ 1 アクセス ポイントが物理的にネットワークに追加されていることを確認します。

ステップ 2 [Configure] > [Access Points] の順に選択します。

ステップ 3 [AP Name] リストでアクセス ポイントをクリックして、ハイブリッド REAP を設定するアクセス ポイントを選択します。アクセス ポイントの詳細ウィンドウが表示されます(図 13-3 を参照)。

図 13-3 アクセス ポイントの詳細ウィンドウ

 

[Inventory Information] の下の最後のパラメータは、このアクセス ポイントにハイブリッド REAP が設定できるかどうかを示しています。ハイブリッド REAP をサポートしているのは、1130AG および 1240AG アクセス ポイントだけです。

ステップ 4 [H-REAP Mode Supported] パラメータが「 Yes 」と表示されていることを確認します。そのように表示されない場合、ステップ 5 に進みます。H-REAP がサポートされていると表示されている場合には、ステップ 7 に進みます。

ステップ 5 [Configure] > [Access Point Templates] の順に選択します。

ステップ 6 [AP Name] リストでアクセス ポイントをクリックして、ハイブリッド REAP を設定するアクセス ポイントを選択します。[AP/Radio Templates] ウィンドウが表示されます(図 13-4 を参照)。

図 13-4 [AP/Radio Template] ウィンドウ

 

ステップ 7 [Enable VLAN] チェックボックスをオンにし、リモート ネットワークのネイティブ VLAN の番号(たとえば 100)を [Native VLAN Identifier] フィールドに入力します。


) デフォルトでは、ハイブリッド REAP アクセス ポイントでは VLAN は有効になっていません。ハイブリッド REAP を有効にすると、アクセス ポイントは WLAN にアソシエートされた VLAN ID を継承します。この設定はアクセス ポイントで保存され、接続成功の応答の後で、受信されます。デフォルトでは、ネイティブ VLAN は 1 です。ネイティブ VLAN は、VLAN 有効のドメイン内のハイブリッド REAP アクセス ポイントごとに 1 つ設定する必要があります。そのように設定しないと、アクセス ポイントはパケットをコントローラに送受信できません。クライアントが RADIUS サーバから VLAN を割り当てられている場合、その VLAN はローカル スイッチングの WLAN にアソシエートされます。


ステップ 8 [Save] をクリックして、変更内容を保存します。

ステップ 9 [Locally Switched VLANs] セクションに、ローカル スイッチングの WLAN およびその VLAN ID が表示されます。[Edit] リンクをクリックして、クライアント IP アドレスを取得する VLAN の番号を変更できます。それによって、VLAN ID の変更を保存できるページにリダイレクトされます。

ステップ 10 [Save] をクリックして、変更内容を保存します。

ステップ 11 この手順を繰り返して、ハイブリッド REAP をリモート サイトで設定する必要のあるアクセス ポイントを追加します。


 

WLAN へのクライアント デバイスの接続

「ハイブリッド REAP のコントローラの設定」で作成した WLAN に接続するプロファイルをクライアント デバイスに作成する手順は次のとおりです。

この例では、クライアントに 3 つのプロファイルを作成します。

1. 「employee」(従業員)WLAN に接続するには、WPA/WPA2 を PEAP-MSCHAPV2 認証と共に使用するクライアント プロファイルを作成します。クライアントが認証されると、コントローラの管理 VLAN から IP アドレスが取得されます。

2. 「local-employee」(ローカル従業員)WLAN に接続するには、WPA/WPA2 認証を使用するクライアント プロファイルを作成します。クライアントが認証されると、ローカル スイッチの VLAN 101 から IP アドレスが取得されます。

3. 「guest-central」(ゲスト中央)WLAN に接続するには、オープンの認証を使用するプロファイルを作成します。クライアントが認証されると、アクセス ポイントへのネットワーク ローカル上の VLAN 101 から IP アドレスが取得されます。クライアントが接続されると、ローカル ユーザは任意の HTTP アドレスを Web ブラウザに入力します。ユーザは、Web 認証プロセスを完了するために自動的にコントローラへ接続されます。Web ログイン ページが表示されたら、ユーザ名とパスワードを入力します。

クライアントのデータ トラフィックがローカル スイッチングか中央スイッチングかを確認するには、[Monitor] > [Devices] > [Clients] の順に選択します。


 

ハイブリッド REAP のアクセス ポイント グループ

ハイブリッド REAP を使用すると、ブランチ オフィスまたはリモート オフィスにあるアクセス ポイントを本社のオフィスから WAN(広域ネットワーク)を使用して、各オフィスでコントローラを展開せずに、設定および制御できます。ロケーションごとに展開できるハイブリッド REAP のアクセス ポイント数は無制限ですが、ブランチ オフィスは同じ設定を共有していることが多いため、フロアごとにアクセス ポイントを組織化してグループ化し、ビルディングごとに制限できます。

同じ設定でアクセス ポイント グループを作成することによって、個別にコントローラにアクセスするよりも CCKM 高速ローミングのような手順をより速く処理できます。たとえば、CCKM 高速ローミングを起動するには、HREAP アクセス ポイントがアソシエートできるすべてのクライアントの CCKM キャッシュを認識している必要があります。300 のアクセス ポイントと 1000 のクライアントに接続できるコントローラがある場合、1000 のクライアントすべてではなく HREAP グループの CCKM キャッシュを処理して送信する方が迅速で実用的です。HREAP グループを 1 つ設定すれば、アクセス ポイントの少ないブランチ オフィスを見つけ、ブランチ オフィスのクライアントがこれら数台のアクセス ポイントだけに接続し、ローミングできるようになります。確立されたグループがある場合、CCKM キャッシュやバックアップ RADIUS などの機能は、各アクセス ポイントで設定されるのではなく、HREAP グループ全体に対して設定されます。

グループ内のすべてのハイブリッド REAP アクセス ポイントは、同じバックアップ RADIUS サーバ、CCKM、およびローカル認証の設定情報を共有します。この機能は、リモート オフィス内や建物のフロア上に複数のハイブリッド REAP アクセス ポイントがあり、それらすべてを一度に設定する場合に役立ちます。たとえば、各アクセス ポイント上で同じサーバの設定を行うのではなく、ハイブリッド REAP グループに対してバックアップ RADIUS サーバを設定することができます。図 13-6 は、支社でのバックアップ RADIUS サーバを備えたハイブリッド REAP グループの一般的な展開を示しています。

図 13-5 ハイブリッド REAP の展開

 


 

ハイブリッド REAP グループとバックアップ RADIUS サーバ

スタンドアロン モードのハイブリッド REAP アクセス ポイントが完全な 802.1X 認証を実行して RADIUS サーバをバックアップできるようにコントローラを設定できます。プライマリ RADIUS サーバを設定することも、プライマリとセカンダリの両方の RADIUS サーバを設定することもできます。

ハイブリッド REAP グループとローカル認証

スタンドアロン モードのハイブリッド REAP アクセス ポイントが最大 20 人の静的に設定されたユーザに対して LEAP または EAP-FAST 認証を実行できるようにコントローラを設定できます。コントローラは、ハイブリッド REAP アクセス ポイントがコントローラに接続する際に、ユーザ名とパスワードの静的リストを各ハイブリッド REAP アクセス ポイントに送信します。グループ内の各アクセス ポイントは、そのグループにアソシエートされたクライアントだけを認証します。

この機能は、Autonomous アクセス ポイント ネットワークから LWAPP ハイブリッド REAP アクセス ポイント ネットワークに移行する顧客で、かつ、より大きなユーザ データベースを保持する必要もなく、Autonomous アクセス ポイントで使用できる RADIUS サーバの機能と置き換える別のハードウェア デバイスを追加することもない顧客に最適です。


) この機能は、ハイブリッド REAP バックアップ RADIUS サーバ機能と組み合わせて使用できます。ハイブリッド REAP グループがバックアップ RADIUS サーバとローカル認証の両方で設定されている場合、ハイブリッド REAP アクセス ポイントは、まずプライマリ バックアップ RADIUS サーバの認証を試行します。その後、セカンダリ バックアップ RADIUS サーバを試行し(プライマリに接続できない場合)、最後にハイブリッド REAP アクセス ポイント自身の認証を試行します(プライマリとセカンダリの両方に接続できない場合)。


ハイブリッド REAP グループの設定

HREAP グループを設定する手順は、次のとおりです。複数のコントローラに H-REAP テンプレートを適用するには、「H-REAP AP グループの設定」のテンプレートの指示を参照してください。


ステップ 1 [Configure] > [Controllers] の順に選択します。

ステップ 2 目的の IP アドレスをクリックして特定のコントローラを選択します。

ステップ 3 左側のサイドバーのメニューから [H-REAP] > [H-REAP AP Groups] の順に選択します。確立された HREAP AP グループが表示されます。

ステップ 4 [Group Name] 列に HREAP アクセス ポイント グループに割り当てられたグループ名が表示されます。別のグループを追加する場合は、[Select a Command] ドロップダウン メニューから [Add H-REAP AP Group] を選択します。
- または -
既存のテンプレートを変更するには、[Template Name] 列のテンプレートをクリックして選択します。HREAP AP Groups テンプレートの [General] タブが表示されます(図 13-6を参照)。

図 13-6 H-REAP AP Groups

 


) グループ名を削除するには、削除するグループ名をクリックして、[Select a Command] ドロップダウン メニューから [Delete H-REAP AP Group] を選択します。


ステップ 5 Group Name パラメータに HREAP アクセス ポイント グループに割り当てられたグループ名が表示されます。

ステップ 6 各グループのプライマリ RADIUS 認証サーバを選択します。RADIUS 認証サーバがコントローラ上にない場合は、WCS の設定した RADIUS サーバは適用されません。


) WCS の H-REAP RADIUS サーバ設定を適用する前に、コントローラ上で RADIUS サーバ設定を設定する必要があります。


ステップ 7 各グループのセカンダリ RADIUS 認証サーバを選択します。RADIUS 認証サーバがコントローラ上にない場合は、WCS の設定した RADIUS サーバは適用されません。

ステップ 8 [Save] をクリックします。

ステップ 9 グループにアクセス ポイントを追加するには、[H-REAP AP] タブをクリックします。

ステップ 10 アクセス ポイントのイーサネット MAC アドレスは、同じコントローラ上の複数の H-REAP グループに存在することはできません。複数のグループが同じコントローラに適用されている場合は、[Ethernet MAC] チェックボックスをオンにして、グループの 1 つのアクセス ポイントの選択を解除します。この変更を保存するか、コントローラに適用する必要があります。

ステップ 11 [Add AP] をクリックします。[H-REAP AP Group] ウィンドウが表示されます。H-REAP MAC アドレスの WCS リストからアクセス ポイントのイーサネット MAC を選択して、適用します。

ステップ 12 [Save] をクリックします。

ステップ 13 ハイブリッド REAP グループのローカル認証を有効するには、[H-REAP Configuration] タブをクリックします。[H-REAP Configuration] 画面が表示されます。


) [General] タブで、Primary RADIUS Server パラメータと Secondary RADIUS Server パラメータが [None] に設定されていることを確認します。


ステップ 14 [H-REAP Local Authentication Enabled] チェックボックスをオンにして、このハイブリッド REAP グループに対してローカル認証を有効にします。デフォルト値はオフになっています。


) この機能を使用しようとすると、ライセンスの必要な機能であることを知らせる警告メッセージが表示されます。


ステップ 15 LEAP を使用しているクライアントをハイブリッド REAP アクセス ポイントで認証できるようにするには、[LEAP] チェックボックスをオンにします。または、EAP-FAST を使用しているクライアントをハイブリッド REAP アクセス ポイントで認証できるようにするには、[EAP-FAST] チェックボックスをオンにします。

ステップ 16 Protected Access Credential(PAC)をプロビジョニングする方法に応じて、以下のいずれかを実行します。

手動の PAC プロビジョニングを使用するには、[EAP-FAST Key] フィールドに、PAC の暗号化と暗号化解除に使用するキーを入力します。このキーには 32 桁の 16 進数文字を使用します。

PAC プロビジョニング中に PAC のないクライアントに自動的に PAC を送信できるようにするには、[Ignore Server Key] チェックボックスをオンにします。

ステップ 17 [EAP-FAST Authority ID] フィールドに EAP-FAST サーバの認証局 ID を入力します。この ID には 32 桁の 16 進数文字を使用します。

ステップ 18 [EAP-FAST Authority Info] フィールドに EAP-FAST サーバの認証局 ID をテキスト形式で入力します。32 桁までの 16 進数文字を入力できます。

ステップ 19 [EAP-FAST Pac Timeout] フィールドの編集ボックスに PAC が表示される秒数を入力することにより、PAC タイムアウト値を指定します。有効範囲は 2 ~ 4095 秒です。


) 個々のアクセス ポイントがハイブリッド REAP グループに属していることを確認するには、[Users configured in the group] リンクをクリックします。[H-REAP AP Group] 画面が開き、各グループの名前と、そのグループに属しているアクセス ポイントが表示されます。



 

H-REAP グループの監査

H-REAP 設定が WCS またはコントローラ上で時間と共に変化した場合は、設定を監査できます。変化は、後続の画面に表示できます。WCS またはコントローラを更新して、設定の同期を選択できます。