Enterprise Mobility 4.1 デザイン ガイド Cisco Validated Design I
Cisco Unified Wireless Hybrid REAP
Cisco Unified Wireless Hybrid REAP
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Cisco Unified Wireless Hybrid REAP

リモート エッジ AP

Hybrid REAP

サポートされているプラットフォーム

WLC

アクセス ポイント

H-REAP の用語

スイッチング モード

動作モード

H-REAP の状態

適用

ブランチの無線接続

ブランチのゲスト アクセス

パブリック WLAN ホットスポット

Unified Wireless 機能のサポート

展開の考慮事項

ローミング

WAN リンクの中断

H-REAP の制限事項と注意事項

クライアント間通信の制限

H-REAP のスケーリング

インライン電源

管理

H-REAP の設定

初期設定

シリアル コンソール ポート

WLC IP が静的に設定された DHCP

H-REAP の動作のための LAP の設定

VLAN サポートの有効化

高度な設定

ローカル スイッチングのための WLAN の選択

H-REAP ローカル スイッチング(VLAN)の設定

リモート専用 WLAN の WLC 動的インターフェイスの設定

H-REAP の確認

H-REAP AP のアドレスの確認

WLC の解決設定の確認

トラブルシューティング

H-REAP が WLC に接続できない

ローカル スイッチング WLAN にアソシエートされたクライアントが IP アドレスを取得できない

クライアントがローカル スイッチング WLAN を認証できない、またはローカル スイッチング WLAN にアソシエートできない

クライアントが中央スイッチング WLAN を認証できない、または中央スイッチング WLAN にアソシエートできない

H-REAP デバッグ コマンド

H-REAP AP デバッグ コマンド

Cisco Unified Wireless Hybrid REAP

このガイドですでに説明したとおり、Cisco Unified Wireless ソリューションは、LWAPP AP(LAP)と WLAN コントローラ(WLC)の間で Lightweight Access Point Protocol(LWAPP)を使用して、AP を管理すると共に WLAN クライアント トラフィックを伝達します。

ローカライズされた 1 つ以上の WLC を使用した LAP の展開は、中規模から大規模のキャンパス環境では一般的です。しかし、小規模のブランチ ロケーションでは無線接続を必要としていても、WLC の展開が実用的でないケースも考えられます。メイン キャンパスに中央集中型 WLC を配置し、ブランチでは標準の LAP を展開する場合、LAP は WAN 経由でメイン キャンパスへの LWAPP 接続を確立します。ブランチのすべての無線ユーザ トラフィックは WAN を経由して中央集中型 WLC に送信されます。この方法は、ブランチからアクセスするサービスの大半がメイン キャンパスに存在する場合には有効です。しかし、ブランチの無線クライアントがローカルのネットワーク リソース(プリンタやサーバなど)にアクセスする必要がある場合、クライアント トラフィックがローカル デバイスに送信されるまでに WAN を 2 度経由(ブランチから中央、中央からブランチ)しなければならないため、この方法は有効ではありません。このため、リモート エッジ AP(REAP)と Hybrid REAP(H-REAP)が開発されました。

リモート エッジ AP

リモート エッジ AP(REAP)は、次のようなリモート(ブランチ)ロケーションに展開するために設計された特別な目的を持つ LWAPP ベース AP です。

ブランチまたはリモート ロケーションの無線ユーザが、ローカルのネットワーク リソースにアクセスする必要がある環境。または、WAN リンクの停止時にローカル無線接続を維持する必要がある環境。

ローカル接続が必要な中央サイトとリモート ロケーションの間の WAN 帯域幅が制限されている環境。このシナリオでは、帯域幅が制限された WAN リンクを通じて(標準の IP パケットで)リモート サイトにルートバックするためだけに、すべての無線ユーザ トラフィックを中央集中型 WLC へトンネルするのは非現実的です。

特定の場所に対して適切な無線カバレッジを提供するために必要な AP が 2 ~ 3 台の環境。これは通常、特に無線カバレッジの必要な小規模のリモート サイトが多数存在する場合に、すべての場所で WLC を展開して管理するよりもコスト効率が高くなります。

REAP AP は、LWAPP コントロール プレーンを WLAN データ プレーンから切り離すことによって、このようなリモートのブランチ ロケーションのニーズに対応できるように設計されています。これによって、LWAPP の制御および管理データが中央集中型 WLC に戻される間、WLAN はレイヤ 2 スイッチ上でローカルに終端することができます。この方法では、中央集中型アーキテクチャの利点が維持されます。図7-1 は、高水準の REAP トポロジの図を示しています。

図7-1 高水準 REAP トポロジ

 

シスコの REAP AP 1030 は、最大 16 の WLAN をサポートできます。すべての WLAN はローカルにスイッチできますが、1030(REAP の動作に合わせた設定時)には、標準的な中央集中型トポロジに展開された LWAPP AP と比較して、次のような制限があります。

802.1Q トランキングをサポートしていません。すべての WLAN が単一のローカル VLAN/サブネット上で終端します。

WAN リンクが停止すると、WLAN 1 以外のすべての WLAN が無効になり、ブロードキャストされなくなります(ブロードキャストが有効な場合)。

シスコでは、802.1Q トランキング経由で WLAN を VLAN にマップすることが可能な Hybrid リモート エッジ AP(H-REAP)と呼ばれる新しいバージョンの REAP を導入することで、このような制限に対処しています。さらに、H-REAP AP は、ローカル スイッチング WLAN と中央スイッチング WLAN を同時にサポートできます。この章では以降、主に H-REAP AP の適用、機能、制限事項、および構成について説明し、該当する場合は、H-REAP プラットフォームと従来の 1030 REAP プラットフォームの違いを明らかにします。

Hybrid REAP

サポートされているプラットフォーム

WLC

H-REAP AP は、バージョン 4.0 以降のソフトウェア イメージを持つ、次の WLC プラットフォームでサポートされます。

Cisco 2100 シリーズ

Cisco 4400 シリーズ

Cisco 6500 シリーズ WiSM

Cisco WLC Module for Integrated Service Router(ISR)

Cisco Catalyst C3750G-24WS

アクセス ポイント

次の LWAPP 対応 AP は、H-REAP 機能をサポートしています。

Cisco 1131 シリーズ

Cisco 1242 シリーズ

Cisco 1130 シリーズと 1240 シリーズの AP に関する詳細は、 「AP」 を参照してください。

IOS ベースの 1130/1240 シリーズ AP を LWAPP モードの動作に変換するためのガイドラインについては、次の URL にアクセスしてください。
http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_technical_reference09186a00804fc3dc.html

H-REAP 機能は、Cisco 1000 シリーズの LWAPP AP ではサポートされません。ただし、基本的な REAP 機能は 1030 でもサポートされています。

H-REAP の用語

この項では、H-REAP の用語と定義について概要を説明します。

スイッチング モード

H-REAP AP は、無線ユーザ トラフィックを単一の VLAN のみにマップ可能な 1030 シリーズの REAP AP とは異なり、WLAN ごとに次のスイッチング モードを同時にサポートできます。

ローカル スイッチング:ローカル スイッチング WLAN は、802.1Q トランキング経由で別個の VLAN隣接するルータまたはスイッチのいずれか)に無線ユーザ トラフィックをマップします。必要に応じて、1 つ以上の WLAN を同じローカル 802.1Q VLAN にマップできます。

ローカル スイッチング WLAN にアソシエートされたブランチ ユーザは、そのトラフィックをオンサイト ルータによって転送します。オフサイト(中央サイト)宛のトラフィックは、ブランチのルータによって、標準の IP パケットとして転送されます。

AP の制御および管理に関連するすべてのトラフィックは、LWAPP 経由で別々に中央集中型 WLC に送信されます。

中央スイッチング:中央スイッチング WLAN は、LWAPP 経由で、無線ユーザ トラフィックとすべてのコントロール トラフィックを、ユーザ トラフィックが WLC 上の動的なインターフェイスまたは VLAN にマップされている中央集中型 WLC にトンネルします。これは、LWAPP モードの通常の動作です。

中央スイッチング WLAN にアソシエートされたブランチ ユーザのトラフィックは、中央集中型 WLC に直接トンネルされます。そのユーザが(そのクライアントがアソシエートされた)ブランチ内部のコンピューティング リソースと通信する必要がある場合、そのユーザのデータは WAN リンクを通じて標準の IP パケットとしてブランチ ロケーションに戻されます。WAN リンクの帯域幅によっては、望ましい結果が得られない場合があります。

動作モード

H-REAP AP には、次の 2 種類の動作モードがあります。

接続モード:WLC に到達可能な状態です。このモードでは、H-REAP AP と WLC が LWAPP 接続されます。

スタンドアロン モード:WLC に到達できない状態です。H-REAP は、WLC との LWAPP 接続を失ったか、または確立に失敗しました。この状態は、ブランチ サイトと中央サイト間の WAN リンクが停止した場合などに発生します。

H-REAP の状態

H-REAP WLAN は、その構成とネットワーク接続によって、次のいずれかの状態に分類できます。

中央認証/中央スイッチング:WLAN が 802.1x、VPN、または Web などの中央認証方式を使用している状態です。ユーザ トラフィックは、LWAPP 経由で WLC に送信されます。この状態は H-REAP が接続モードの場合にのみサポートされます(図7-2 を参照)。この例では、802.1X が使用されていますが、他のメカニズムも同様に適用できます。

認証ダウン/スイッチング ダウン:H-REAP がスタンドアロン モードのときに、中央スイッチング WLAN上記)は、ビーコン送信とプローブ応答を停止します。既存のクライアントはアソシエート解除されます。

中央認証/ローカル スイッチング:WLAN は中央認証を使用しますが、ユーザ トラフィックは、ローカルにスイッチされます。この状態は H-REAP が接続モードの場合にのみサポートされます(図7-3 を参照)。この例では、802.1X が使用されていますが、他のメカニズムも同様に適用できます。

認証ダウン/ローカル スイッチング:中央認証が必要な WLAN上記参照)が、新しいユーザを拒否します。すでに認証済みのユーザは、セッションのタイムアウトまで引き続きローカルにスイッチされます(セッションのタイムアウトが設定されている場合)。WLAN にアソシエートされている(既存の)ユーザがなくなるまで、WLAN はビーコン送信およびプローブ応答を継続します。この状態は、AP がスタンドアロン モードに移行した結果として発生します(図7-4 を参照)。

ローカル認証/ローカル スイッチング: WLAN がオープン、静的 WEP、共有、または WPA2 PSK セキュリティ方式を使用している状態です。ユーザ トラフィックはローカルにスイッチされます。これらのセキュリティ方式だけが、H-REAP がスタンドアロン モードになったときにローカルでサポートされます。WLAN はビーコン送信およびプローブ応答を継続します(図7-5 を参照)。既存のユーザは接続されたままで、新しいユーザ アソシエーションが受け入れられます。AP が接続モードの場合、これらのセキュリティ タイプの認証情報は WLC に転送されます。

図7-2 中央認証/中央スイッチング WLAN

 

図7-3 中央認証/ローカル スイッチング WLAN

 

図7-4 認証ダウン/ローカル スイッチング

 

図7-5 ローカル認証/ローカル スイッチング WLAN

 


) AP がどの動作モードにあるかに関係なく、すべての 802.11 認証およびアソシエーション処理が H-REAP で発生します。接続モードのときは、H-REAP はすべてのアソシエーション/認証情報を WLC に転送します。スタンドアロン モードのときは、AP はこれらのイベントを WLC に通知することができません。そのため、中央認証/スイッチング方式を使用する WLAN を使用することができません。

H-REAP アクセス ポイントは、スタンドアロン モードに移行後、ローカル スイッチング WLAN のクライアント接続を維持します。ただし、アクセス ポイントが WLC との接続を再確立すると、すべての既存のクライアントをアソシエート解除し、WLC からのアップデートされた設定情報を(必要に応じて)適用し、クライアント接続を再度可能にします。


適用

H-REAP AP は、その拡張機能によって、次のようにさらにより柔軟に展開できます。

ブランチの無線接続

ブランチのゲスト アクセス

パブリック WLAN ホットスポット

ブランチの無線接続

REAP と H-REAP の第 1 の目標は、無線ユーザ トラフィックを WAN 上で中央集中型の WLC にトンネルするのではなく、ローカルで終端させるというブランチ ロケーションの無線接続のニーズに対応することです。

H-REAP は個々の WLAN を特定の 802.1Q VLAN にマップできるため、ブランチ ロケーションではより効率的にセグメンテーション、アクセス コントロール、および QoS ポリシーを各 WLAN 上に実装できます。図7-6を参照してください。

図7-6 H-REAP トポロジ

 

ブランチのゲスト アクセス

標準の REAP AP をブランチで使用する場合の課題の 1 つは、次の理由から実現が困難なゲスト アクセスの実装です。

すべての WLAN は同一のローカル VLAN にマップされるため、ゲスト ユーザとブランチ ユーザの区別およびセグメント化が難しくなります。

すべてのユーザ トラフィックはローカルにスイッチされるため、何とかしてゲスト アクセス トラフィックをセグメント化して中央サイトにルートバックし、アクセス コントロールと認証を実施する必要があります。または、ブランチでローカル インターネット アクセスが使用可能な場合は、セグメンテーションとアクセス コントロールの両方をローカルに実装する必要があります。

H-REAP AP は、ローカルと中央の同時スイッチングを導入することによって、このような課題の克服を支援します。H-REAP トポロジでは、ゲスト アクセス用に指定された SSID/WLAN を LWAPP 経由で中央集中型 WLC にトンネルできます。この中央コントローラでは、対応するインターフェイスまたは VLAN を直接、Cisco SSG/ISG、Cisco NAC アプライアンスなどのアクセス コントロール プラットフォームのインターフェイスにスイッチすることが可能です。または、中央集中型 WLC 自体で、ゲスト アクセス WLAN に対する Web 認証を実行できます。いずれの場合も、ゲスト ユーザのトラフィックが、他のブランチ オフィスのトラフィックから分割(分離)されます。図7-7 は、H-REAP AP を使用したゲスト アクセス トポロジの例を示しています。詳細は、 第 10 章「Cisco Unified Wireless Guest Access Service」 を参照してください。

図7-7 H-REAP の中央スイッチングを使用したブランチのゲスト アクセス

 

中央 Web 認証を使用する(ゲスト)WLAN を、ブランチでローカルにスイッチされるように設定することもできます。この場合、ブランチ クライアントは、Web 認証のためだけに中央集中型 WLC(仮想アドレス 1.1.1.1)にリダイレクトされます。認証後、すべてのクライアント トラフィックは、H-REAP 設定に基づきローカル VLAN インターフェイスを通してスイッチされます。Web ログインまたはログオフにアソシエートされている(WLC 仮想アドレス宛ての)すべてのトラフィックは、LWAPP 経由で中央集中型 WLC に直接トンネルされます。

パブリック WLAN ホットスポット

多くのパブリック ホットスポットのサービス プロバイダが、複数の SSID/WLAN の実装を始めています。この理由の 1 つは、オペレータが、Web ベースのアクセス用のオープンな認証 WLAN と、より安全なパブリック アクセス用に 802.1x/EAP を使用する別の WLAN を提供することを希望しているためです。

WLAN を個別の VLAN にマップできる H-REAP AP は、1、2 台の AP しか必要としない小規模地域のホットスポット展開で、スタンドアロン AP に取って代わっています。

図7-8 は、H-REAP AP を使用したホットスポット トポロジの例を示しています。

図7-8 H-REAP ローカル スイッチングを使用したホットスポット アクセス

 

Unified Wireless 機能のサポート

H-REAP モードの動作に基づく、サポートされている機能および認証タイプのマトリクスについては、 表7-1 を参照してください。

 

表7-1 サポートされている機能および認証タイプ

機能
接続モード
中央スイッチング
接続モード ローカル
スイッチング
スタンド
アロン モード
備考

認証オープン

あり

あり

あり

認証共有

あり

あり

あり

認証WPA/2-802.1x

あり

あり

なし

AP がスタンドアロン モードに移行すると、既存の認証済みクライアント セッションは接続されたままですが、新しい認証はできなくなります。WLC 接続が復元されない場合、WLAN ビーコン/プローブ応答は、最後のクライアントのアソシエート解除までサポートされます。

認証WPA/2-PSK

あり

あり

あり

AP がスタンドアロン モードに移行すると、既存の認証済みクライアントは接続されたままで、新しいクライアント接続が許可されます。

認証ゲスト アクセス(Web 認証)

あり

あり

なし

VPN

あり

あり

なし

L2TP

あり

あり

なし

NAC

あり

あり

なし

CCKM 高速ローミング

なし

なし

なし

PKC 高速ローミング

なし

なし

なし

CAC および TSPEC

あり

あり

なし

クライアント ロード バランシング

なし

なし

なし

ピアツーピア ブロッキング

あり

なし

なし

WIDS

あり

あり

なし

RLDP

あり

あり

なし

RADIUS/TACACS認証

あり

あり

なし

RADIUS/TACACSアカウンティング

あり

あり

なし

展開の考慮事項

次の項では、H-REAP AP の展開に関するさまざまな実装と運用上の注意について説明します。

WAN リンク

H-REAP AP を予想どおりに機能させるためには、WAN リンク特性に関する次のことに留意してください。

遅延:特定の WAN リンクに 100 ms を超える遅延を許可すべきではありません。AP は、30 秒ごとにハートビート メッセージを WLC に送信します。ハートビート応答がない場合、AP は 5 回連続(1 秒に 1 回ずつ)でハートビート メッセージを送信して、まだ接続しているかどうかを確認します。接続が失われている場合は、H-REAP AP がスタンドアロン モードに切り替わります(動作モードの定義については、「動作モード」を参照)。AP 自体は、比較的高い遅延耐性を持っています。ただしクライアントでは、AP は、認証に関連付けられたタイマーがリンク遅延に対して敏感であり、そのために、<100 ms の制約が要求されます。そうでなければ、クライアントは、認証のタイムアウトを待機することになり、それによって、ルーピングなどの、その他の予測不可能な動作が発生する可能性があります。

帯域幅:所定のロケーションで最大 8 台の H-REAP が展開されている場所での展開には、WAN リンクは 128 Kbps 以上が必要です。8 台を超える H-REAP を展開する場合、比例的により高い帯域幅が WAN リンクに提供される必要があります。

パス MTU:WLC ソフトウェア リリース 4.0 以降では、500 バイト以上の MTU が必要で、これは、1030 REAP と H-REAP AP の両方に適用されます。

ローミング

先に述べたように、H-REAP AP が接続モードのときは、すべてのクライアント プローブ、アソシエーション要求、802.1x 認証要求、および対応する応答メッセージが LWAPP コントロール プレーンを経由して H-REAP AP と WLC の間で送受信されます。このことは、AP がスタンドアロン モードのときに、オープン、静的 WEP、および WPA PSK ベースの WLAN など、これらの認証方式を使用するために LWAPP 接続を必要としない場合にも当てはまります。

動的 WEP/WPA:これらのキー管理方式の 1 つを使用して H-REAP AP 間をローミングするクライアントは、ローミングを行うたびに完全な認証を実行します。認証が成功すると、新しいキーが AP とクライアントに渡されます。この動作は、標準の中央集中型 WLAN 展開と同じですが、H-REAP トポロジでは WAN 上でリンク遅延変動があり、それがローミングにかかる合計時間に影響する可能性があります。使用されている WAN 特性、RF 設計、バックエンド認証ネットワーク、および認証プロトコルによって、ローミング時間が 50 ~ 1,500 ms の間で変化する場合があります。

WPA2:クライアントのローミングにかかる時間を短縮するために、WPA2 では IEEE 802.11i 仕様に基づくキー キャッシング機能を導入しています。シスコでは、この仕様に Proactive Key Caching (PKC)と呼ばれる拡張機能を追加しました。現在 PKC は、Microsoft の Zero Config Wireless サプリカントと Funk(Juniper)の Odyssey クライアントでのみサポートされています。Cisco CCKM も WPA2 と互換性があります。

WLAN が中央またはローカルにスイッチされるかに関係なく、H-REAP は PKC をサポートしません。そのため、H-REAP AP 間をローミングする PKC 対応クライアントは、完全な 802.1x 認証を受けることになります。無線 IP テレフォニーなどのアプリケーションをサポートする、予測可能な高速ローミングが必要なリモートのブランチ ロケーションでは、ローカル WLC(サービス統合型ルータ用の Cisco WLC2100 または NM-WLC)の展開を検討する必要があります。

Cisco Centralized Key ManagementCCKM- シスコが開発したプロトコルで、CCKM 対応クライアントのセキュリティ資格情報は WLC にキャッシュされ、モビリティ グループ内の他の AP に転送されます。クライアントが他の AP にローミングおよびアソシエートするとき、その資格情報が AP に転送されるため、2 段階プロセスでクライアントを再びアソシエートして認証できます。これにより、AAA サーバでの完全認証を実行する必要がなくなります。現在、H-REAP AP は CCKM 高速ローミングをサポートしていません。そのため、CCKM 対応クライアントは、ある H-REAP から別の H-REAP に移動するたびに、完全な 802.1x 認証を受けます。

レイヤ 2 スイッチの CAM テーブルの更新:クライアントがローカルにスイッチされる WLAN 上で、ある AP から別の AP にローミングしたときに、現在の H-REAP は、クライアントがポートを変更したことをレイヤ 2 スイッチに通知しません。スイッチは、クライアントがデフォルト ルータに対して ARP 要求を実行するまで、クライアントがローミングしたことを認識しません。この動作は、わずかですが、ローミング性能に影響を与える可能性があります。


) (所定のローカル スイッチング WLAN 上で)WLAN を異なる VLAN/サブネットにマップする H-REAP 間をローミングするクライアントは、ローミング先のネットワークに適した IP アドレスを含むように IP アドレスを更新します。


Radio Resource Management

接続モードの間、すべての Radio Resource Management(RRM)機能は、基本的に使用可能です。ただし、一般的な H-REAP 展開は少数の AP で構成されているため、ブランチ ロケーションで RRM 機能が動作しない場合があります。たとえば、Transmit Power Control(TPC)を行うために、最低 4 台の H-REAP がお互いに近接している必要があります。TPC なしでは、カバレッジ ホール保護などの機能が使用できません。Cisco Auto RF 機能に関する詳細は、 第 3 章「WLAN 無線周波の設計に関する考慮事項」 を参照してください。

ロケーション サービス

上記で述べたように、H-REAP 展開は一般的に所定のロケーションで少数の AP のみで構成されます。シスコでは、高レベルのロケーション確度を達成するため、AP の数と配置に関する完全なガイドラインを用意しています。または、H-REAP 展開からロケーション情報を取得することも可能ですが、リモート ロケーション展開で確度のレベルは大きく異なる可能性があります。したがって、シスコの設計上の推奨事項に従う場合を除いて、一般的な H-REAP 展開で最適なロケーション確度の仕様を達成できる可能性は非常に低くなります。詳細は、次の URL を参照してください。

http://www.cisco.com/univercd/cc/td/doc/solution/wifidesi.pdf

QoS の考慮事項

中央でスイッチされる WLAN では、H-REAP は標準の LAP と同様に QoS を処理します。ローカルにスイッチされる WLAN は、QoS を異なる方法で実装します。

WMM トラフィックにローカルでスイッチされる WLAN の場合、AP はアップストリーム トラフィックに対する dot1q VLAN タグの dot1p 値をマーク付けします。これはタグ付き VLAN でだけ発生し、ネイティブ VLAN では発生しません。

ダウンストリーム トラフィックの場合、H-REAP はローカルにスイッチされるイーサネットから受信する dot1p タグを使用し、RF リンクを通して所定のユーザ宛てのフレームにアソシエートされている WMM 値をキューに入れ、マーク付けします。

WLAN QoS プロファイルは、アップストリーム パケットとダウンストリーム パケットの両方に適用されます。デフォルト WLAN 値より高い 802.1p 値を受信した場合、ダウンストリームでは、デフォルト WLAN 値が使用されます。クライアントがデフォルト WLAN 値より高い WMM 値を送信した場合、アップストリームでは、デフォルト WLAN 値が使用されます。WMM 以外のトラフィックの場合、AP からのクライアント フレームには CoS マーク付けはありません。

詳細は、 第 5 章「Cisco Unified Wireless QoS」 を参照してください。

DSCP 設定に基づいてトラフィックが正しく処理されるために、適切なキューイング/ポリシング メカニズムを WAN 上で実装することを強くお勧めします。適切なプライオリティ キューは、(DSCP CS6 でマーク付けされている)LWAPP コントロール トラフィックのために予約して、輻輳が原因で接続モードとスタンドアロン モード間を H-REAP が間違って循環しないようにする必要があります。

H-REAP を使用した WLC 展開上の一般的な考慮事項

キャンパス内のいずれの WLC も H-REAP をサポートすることは可能ですが、ブランチ ロケーションの数および展開される H-REAP 合計数によって、H-REAP 展開をサポートするための専用 WLC を使用することは(管理上の観点から)有効です。

H-REAP は一般的にメイン キャンパス内で LAP と同じポリシーを共有せず、各ブランチ ロケーションは、基本的に独立した RF およびモビリティ ドメインです。単一 WLC を複数の論理 RF およびモビリティ ドメインに分割できない場合でも、専用 WLC によって、ブランチ固有の設定およびポリシーを論理的にキャンパスから切り離すことができます。

展開した場合、専用 H-REAP WLC をメイン キャンパスのものとは異なるモビリティおよび RF ネットワーク名を使用して設定する必要があります。「専用」WLC に接続されたすべての H-REAP は、その RF および モビリティ ドメインのメンバとなります。

ここでは、Auto-RF の観点から、十分な H-REAP が所定のブランチ内に展開されたと想定します(「Radio Resource Management」参照)。WLC は、各ブランチにアソシエートされている RF カバレッジを自動管理しようとします。

独自のモビリティ ドメインに統合された H-REAP が存在しても、利点(または不都合)はありません。これは、クライアント トラフィックがローカルにスイッチされるためです。EoIP モビリティ トンネルは、クライアントと H-REAP とのローミングが発生する(同じモビリティ ドメインの)WLC 間で呼び出されません。

専用 WLC が H-REAP 展開に使用される場合、ネットワークの可用性を確保するためにバックアップ WLC も展開する必要があります。標準の LAP の展開では、指定された WLC とのアソシエーションを強制するために、WLC 優先度を H-REAP に設定する必要があります。

WAN リンクの中断

「動作モード」から「H-REAP の状態」の項で説明したように、特定の H-REAP モードと機能では、WLC と LWAPP コントロール プレーンを接続する必要があります。H-REAP がスタンドアロン モードのときに影響を受ける機能の概要を次に示します。

EAP 802.1x WLAN と Web 認証 WLAN

クライアントがローミングする、またはセッションが再認証されるまで、既存のローカル スイッチング クライアントが接続されたままになります。新たなクライアント認証が許可されません。

既存の中央スイッチング クライアントが切断され、新たなクライアント認証は許可されません。

「H-REAP の状態」で説明したように、オープン、静的 WEP、または WPA/2-PSK で構成された WLAN は、接続モードとスタンドアロン モードのどちらでも機能するため、802.1x や Web 認証などの RADIUS サービスを必要とする WLAN と同じような影響は受けません。リモートのブランチ ロケーションで WAN リンクの中断時に無線接続を維持する必要がある場合は、上述した 3 つのレイヤ 2 セキュリティ ポリシーの 1 つに基づいてバックアップ WLAN を実装することをお勧めします。この中では、WPA2-PSK が最も強力なセキュリティを提供するため、これを強くお勧めします。

その他の機能

次の機能は、H-REAP がスタンドアロン モードのときは使用できません。

H-REAP でローカル管理される DFS サポートを除く無線リソース管理

無線による侵入検知

ロケーションベースのサービス

NAC

不正デバイス検出

AAA Override

無線構成

次の無線構成情報は、H-REAP がスタンドアロン モードのときに維持されます。

DTIM

ビーコン期間

短いプリアンブル

電力レベル

国番号

チャネル番号

ブラックリスト

H-REAP の制限事項と注意事項

ローカル スイッチングの制限事項

WLC 上で次のセキュリティ方式のいずれかが特定の WLAN に対して構成された場合は、その WLAN を H-REAP AP でローカル スイッチングに構成することはできません。

IPSEC

CRANITE

FORTRESS 1


) 外部集約プラットフォームへの VPN パススルーは許可されます。ただし、WLC が強要する VPN パススルー制限は許可されません。


サポートされる WLAN の最大数

H-REAP AP は 8 つの WLAN をサポートします。そのため、H-REAP AP がサポートする WLAN の ID は、1 ~ 8 にする必要があります。WLAN ID の 9 ~ 16 は伝播されません。

ネットワーク アドレス変換(NAT/PAT)

WLC

LAP は異なる 2 つの IP アドレスを使用して 2 段階で WLC と通信するため、WLC は AP との通信時に NAT 境界の背後に配置することはできません。

WLC ディスカバリ: LAP は最初に、WLC の管理 IP アドレスを使用して WLC のリストを照会します。管理 IP は、DHCP オプション 43 または DNS を介して取得するか、手動で構成できます(「初期設定」を参照)。検出フェーズは、AP が接続する WLC を適格な WLC のリストから特定するために使用されます。これは、適格な WLC の AP 管理 IP アドレスを含む LWAPP コントロール メッセージを送信することによって伝達されます。

WLC の接続:AP は取得した AP 管理 IP アドレスを使用して適格な WLC に接続します。AP 管理 IP アドレスは、NAT でサポートすることはできません。これは、AP がこのアドレスを検出フェーズで取得するためです。NAT の 1:1 関係が確立されている場合でも、WLC は、AP が WLC と接続するために使用する IP アドレスとして、AP マネージャの外部 NAT アドレスを渡すことができません。

AP

標準の 1:1 静的 NAT は、NAT 境界の背後にある 1 台以上の AP をサポートするために使用できます。また、複数の LAP(H-REAP または標準)も PAT を使用できます。このシナリオでは、単一の IP NAT プールが「過負荷」に設定されるか、WAN インターフェイス(またはループバック インターフェイス)が「過負荷」で使用されます。次に、過負荷(PAT)方式が使用されたときの動作の概要を示します。

1. AP はブート時に、「内部ローカル」の IP アドレスを DHCP から取得し、LWAPP コントロール ポート 12223 を使用して、ランダムな送信元ポート(5xxxx)で WLC ディスカバリ プロセスを開始します。Cisco IOS PAT は、AP によって選択された内部ローカルの送信元ポート番号を保存し、「NAT プール」IP アドレスまたはインターフェイス IP アドレス(内部グローバル)を使用して変換を行います。次の例を参照してください。

Pro Inside global Inside local Outside local Outside global
udp 10.20.3.19:54417 192.168.1.121:54417 10.15.9.253:12223 10.15.9.253:12223
 

2. AP が WLC に接続し、802.11 データがアップストリームに送信された後、IOS PAT プロセスは 802.11 データ トラフィックを同じ内部ローカル ポート番号を使用して発信し、LWAPP ポート 12222 を使用して WLC に送信します。次の例を参照してください。

Pro Inside global Inside local Outside local Outside global
udp 10.20.3.19:54417 192.168.1.121:54417 10.15.9.253:12222 10.15.9.253:12222
 

3. WLC から AP に送信されたすべてのトラフィックは、管理データか 802.11 データかに関係なく、内部グローバル IP アドレスおよびポート番号 54417上記の例を想定)に送信されます。そこで、IOS PAT はデータを適切な内部ローカル アドレスに変換します。各 AP は WLC との通信に一意の送信元ポートを使用しているため、複数の AP をサポートできます。

上記の例の PAT 変換は、初めて AP がブートするときに行われます。ただし、AP は 2 度目と場合によっては 3 度目をしばしばリセットし、リセットするたびに新しい IP アドレスを取得します(DHCP が使用されていると想定)。AP は同じ内部ローカル送信元ポート番号を異なる内部ローカル IP アドレスと共に使用しようと試みているため、PAT プロセスに問題が生じます。最初の変換エントリがまだ存在するため、PAT は新しい(一意の)内部グローバル送信元ポートを作成します。次の例を参照してください。

Pro Inside global Inside local Outside local Outside global
udp 10.20.3.19:54417 192.168.1.121:54417 10.15.9.253:12222 10.15.9.253:12222
udp 10.20.3.19:54417 192.168.1.121:54417 10.15.9.253:12223 10.15.9.253:12223
udp 10.20.3.19:1322 192.168.1.122:54417 10.15.9.253:12222 10.15.9.253:12222
udp 10.20.3.19:1323 192.168.1.122:54417 10.15.9.253:12223 10.15.9.253:12223
 

上記の例では、AP が 2 度目をリセットした後で PAT が作成した変換に注目してください。内部ローカル 192.168.1.121 の最初の変換エントリは、AP が新しい IP の取得時にリセットしたため、使用されなくなります。このシナリオでは、AP は内部ローカル IP 192.168.1.122 と送信元ポート 1323 を使用して WLC と通信しており、問題はありません。問題は、802.11 データが WLC に送信されたときに発生します。上記の例では、LWAPP 管理データとして同じ内部グローバル ポート(1323)によって発信される代わりに、PAT は別のポート 1322 を使用して 802.11 データを発信します。WLC は 802.11 データを受信しますが、1323 を使用してすべての 802.11 データを AP に返します。このポートのミスマッチのため、AP は 802.11 データを受信せず、事実上 LWAPP データ プレーンを中断します。


) これは、中央でスイッチされる WLAN 特有の問題です。ローカルにスイッチされる WLAN は、それらの WLAN 用の WLC ポート 12222 に 802.11 データが送信されないため、影響を受けません。


回避策は次のとおりです。

動的 DHCP が使用された場合、よりアグレッシブな NAT 変換エントリのタイムアウトを UDP ポートの 12222 と 12223 に確立します。これらのポートの変換タイムアウトを 20 ~ 25 秒の間で設定します。20 秒未満の場合、AP が WLC とのアソシエーションを失うリスクがあります。設定時間が長すぎると、古くなったエントリはすばやくタイムアウトしない場合があり、AP が望ましくないポートを使用し続けることになります。次の設定例を参照してください。

ip nat translation port-timeout udp 12222 20
ip nat translation port-timeout udp 12223 20
 

各 AP に静的 DHCP 予約を作成します。AP が連続リセットを実行する場合、AP は同じ IP を使用し続け、PAT はセカンダリまたはターシャリ送信元ポート バインディングを作成しません。このオプションは、DHCP をリモート/ブランチ ロケーションでローカルに実装する場合にのみ実用的です。

PAT 対象の AP に IP アドレスを手動で割り当てます。IP 設定オプションについては、「H-REAP の設定」を参照してください。この場合も同様に、AP が連続リセットを実行する場合、AP は同じ IP を使用し続け、PAT はセカンダリまたはターシャリ送信元ポート バインディングを作成しません。

図7-9 は、NAT/PAT を使用した H-REAP を示しています。

図7-9 NAT/PAT を使用した H-REAP

 

RADIUS 割り当て VLAN

RADIUS ベースの VLAN 割り当ては、中央スイッチング H-REAP WLAN でサポートされます。この機能は、H-REAP がスタンドアロン モードのときは使用できません。

Web 認証(ゲスト アクセス)

WLC ベースの Web 認証は、H-REAP が接続モードである限り、ローカル スイッチング WLAN と共に使用できます。Web 認証を使用するこのような WLAN は、H-REAP がスタンドアロン モードのときは使用することができません。

クライアント間通信の制限

(H-REAP による)ローカル スイッチング WLAN にアソシエートされた 2 台以上のクライアントは、WLC 上のピアツーピア ブロッキング モードが有効な場合でも、相互の通信が阻害されることはありません。これは、ローカルにスイッチされる無線トラフィックが WLC を経由しないためです。

中央でスイッチされる H-REAP WLAN では、WLC 上のピアツーピア ブロッキング モード設定に基づいて、クライアント間通信が制限されます。

H-REAP のスケーリング

サイトごと:リモート ロケーションごとに展開できる H-REAP の数に制限はありません。ただし、次の場合はローカル WLC の展開を強くお勧めします。

リモート ロケーションが VoWLAN の展開を計画している場合。「ローミング」で説明したように、ローミング性能は、WAN のバックホールの可用性とリンク特性の影響を受ける可能性があります。これは、802.11i や Cisco CCKM などのキー キャッシング方式が使用されている場合にも、これらの方式は H-REAP で現在サポートされていないため、当てはまります。

WAN の信頼性/性能:認証、無線リソース管理、およびその他のアップストリーム サービスに依存するブランチの WLAN トポロジが、WAN バックホールの可用性にのみ左右される場合。往復遅延は 100 ms 以下に制限される必要があり、輻輳を管理するために適正な QoS キューイング メカニズムが使用できる必要があります。

WLC ごと:H-REAP モードで動作可能な AP の台数に制限はありません。WLC ごとの H-REAP AP の総数は、特定の WLC モデルでサポートされる LAP の最大数にだけ制限されます。

インライン電源

以前の Cisco 1030 シリーズ REAP AP は 802.3af のみをサポートしていますが、Cisco 1130 シリーズと 1240 シリーズの AP は、シスコのインライン電源仕様と 802.3af 標準の準拠の両方をサポートしています。

管理

H-REAP AP は、標準的な LWAPP AP の管理と同様に、WLC の GUI または Cisco Wireless Control SystemWCSを介して管理および監視できます。唯一の例外は、H-REAP が、WAN 停止が原因で到達不可能になった場合です。管理および WCS の詳細は、次の URL を参照してください。

http://www.cisco.com/en/US/partner/products/ps6305/products_data_sheet0900aecd802570d0.html

http://www.cisco.com/en/US/docs/wireless/controller/4.1/configuration/guide/ccfig41.html

H-REAP の設定

初期設定

適格な Cisco 1130 または 1240 シリーズ AP では、WLC に接続して H-REAP の動作に合わせて設定できるように、次の最低限の情報を必要とします。

IP アドレス

デフォルト ゲートウェイのアドレス

1 台以上の WLC の管理インターフェイス IP アドレス

これらの情報は、次の 4 種類の方法のいずれかで入手できます。

シリアル コンソール ポート経由の静的な設定

WLC アドレスが静的に設定された DHCP

DHCP オプション 43 ( 第 2 章「Cisco Unified Wireless のテクノロジーおよびアーキテクチャ」 を参照)

WLC アドレスの DNS 解決を使用する DHCP( 第 2 章「Cisco Unified Wireless のテクノロジーおよびアーキテクチャ」 を参照)

シリアル コンソール ポート

以前の 1030 シリーズ REAP とは違って、1130 と 1240 シリーズの AP には、接続用の基本パラメータの設定に使用可能なシリアル コンソール ポートが用意されています。コンソール ポート方式で初期設定を行う手順は、次のとおりです。シリアル コンソール ポート方式は、AP が WLC に接続されておらず、LWAPP イメージ 12.3(11)JX 以降を実行している場合にのみ使用できます。


ステップ 4 a.d. は、H-REAP AP に IP アドレスを割り当てるためにブランチで DHCP が使用されていない場合にのみ実行します。使用するアドレスは、所定のブランチ ロケーションで使用されているアドレス方式に準拠する必要があります。



) 次のシリアル コンソール手順は、「初期状態で」初めて展開された新しい LAP に対してのみ実施できます。次の手順は、以前に WLC と接続/通信したことのある LAP に使用することはできません。



ステップ 1 標準の Cisco DB9/RJ45 コンソール ケーブルを使用して、Hyper Terminal またはその他の互換性のある端末通信ソフトウェアを実行しているラップトップに AP を接続します。すべてのシスコ製デバイスと同様に、シリアル パラメータを 9600bps、8 データ ビット、1 ストップ ビット、およびフロー制御なしに設定する必要があります。

ステップ 2 AP の電源を入れます。コンソール ポートを介して AP を設定する場合は、AP をネットワークに接続しないでください。AP が WLC を検出して接続すると、下記に示す設定を実行することができなくなります。したがって、最初の設定が完了するまで AP をネットワークから切断しておく必要があります。

ステップ 3 AP がローカル イメージのロードを完了したら、 enable と入力してから、有効なパスワードとして Cisco と入力して、exec セッションを確立します。

ステップ 4 <ap-mac-address># プロンプトで、次のコマンドを使用して IP、マスク、ゲートウェイ、ホスト名、およびプライマリ WLC を設定します。

a. lwapp ap ip address <IP アドレス> <サブネット マスク>

b. lwapp ap ip default-gateway <IP アドレス>

c. lwapp ap hostname <AP のホスト名> (オプション)

d. lwapp ap controller ip address <IP アドレス>


) DHCP が使用され(「WLC IP が静的に設定された DHCP」を参照)、WLC 管理 IP アドレスを定義するために DHCP オプション 43 または DNS 方式を使用しない場合は、ステップ 4lwapp ap controller ip address <IP アドレス> コマンドのみを入力します。


前述のコマンドは、直接 NVRAM に保存されます。

ステップ 5 静的な設定を確認するには、次のコマンドを入力します。

show lwapp ip config

次のような出力が表示されます。

 
AP0014.1ced.494e# sho lwapp ip config
LWAPP Static IP Configuration
IP Address 10.20.104.50
IP netmask 255.255.255.0
Default Gateway 10.20.104.1
Primary Controller 10.20.30.41
 
AP0014.1ced.494e#
 

エラーが発生した場合は、ステップ 4 のコマンドを繰り返して修正します。

ステップ 6 1 つ以上の静的なエントリをクリアするには、次のコマンドを使用します。

a. clear lwapp ap ip address

b. clear lwapp ap ip default-gateway

c. clear lwapp ap controller ip address

d. clear lwapp ap hostname

ブランチ ネットワークに接続されると、AP がブートしてディスカバリ要求をステップ 4 d. で定義した各 WLC に送信します。その後で、AP は、最も使用頻度の低い WLC に接続します。


) 何らかの理由で、設定する AP が以前に WLC と接続(アソシエート)したことがある場合、上記のコマンドは拒否され、「ERROR!!! Command is disabled.」というエラーが表示されます。AP が WLC に接続すると、上記のコマンドは使用できなくなります。セキュリティ上の理由からこのような設計になっています。以前に接続した LAP で静的 IP パラメータの設定が必要な場合、これらのパラメータを WLC の GUI またはコマンドライン インターフェイスから確立する必要があります。


WLC IP が静的に設定された DHCP

この方式は、DHCP を使用して、IP アドレスとデフォルト ゲートウェイで AP を動的に設定します。DHCP サービスは、外部サーバを使用してローカルにまたはリモートで、または IOS 内部に常駐している DHCP サービスを使用してローカルに、実装できます。WLC 管理インターフェイス IP アドレスは、AP コンソール インターフェイスを使用して手動で設定できます。この作業は、ブランチ オフィスまたはオンサイトに出荷する前に実行できます。「シリアル コンソール ポート」を参照してください。ブランチ ネットワークに接続されると、AP がブートしてディスカバリ要求を定義された各 WLC に送信します。その後で、AP は、最も使用頻度の低い WLC に接続します。


) 上記のオプションは、「初期状態で」初めて展開された新しい LAP に対してのみ実施できます。このオプションは、以前に WLC と接続/通信したことのある LAP に使用することはできません。


H-REAP の動作のための LAP の設定

次の設定作業は、WLC の GUI インターフェイスを使用して実施します。

H-REAP 対応 LAP が初めて WLC と接続する場合は、デフォルトでローカル AP モードに設定されます。LAP は、ローカル スイッチング パラメータを設定する前に H-REAP モードに設定する必要があります。


ステップ 1 WLC の Wireless 設定タブで、新しく接続する LAP を特定して、AP Name 列にある該当する LAP 名をクリックします(図7-10 を参照)。

図7-10 Wireless 設定タブ

 

 

ステップ 2 AP モード を定義します。

AP モードのドロップダウン リストから、 H-REAP を選択します(図7-11 を参照)。

図7-11 無線の設定:AP モード

 

ステップ 3 AP 名および必要に応じてロケーション名を設定します。

ステップ 4 AP を接続するプライマリ WLC を特定し、必要に応じて、プライマリ(またはセカンダリ)WLC が到達不可能になった場合のセカンダリ WLC とターシャリ WLC を特定します。

これらの名前は、大文字小文字が区別され、システム名に対応します。指定された WLC のすべてが使用できない場合、AP は自動ロード バランシングに基づいて、モビリティ グループに属する他の WLC の 1 つに接続します。

ステップ 5 Apply をクリックします。


 

AP がリブートして、H-REAP モードで WLC に再接続します。


) H-REAP AP がリブートしても、そのインターフェイスはまだ 802.1q トランキング モードに設定されません。したがって、AP は VLAN タグを含まない DHCP 要求を発行するため、H-REAP AP にアドレスを割り当てるための DHCP スコープはネイティブ VLAN に設定する必要があります。


VLAN サポートの有効化

H-REAP AP が H-REAP モードで WLC に再接続された後は、次の手順に従ってください。


ステップ 1 WLC の Wireless 設定下にある AP を探して、AP 名をクリックします。

AP の詳細ウィンドウに新しい H-REAP 設定が表示されています(図7-12 を参照)。

ステップ 2 VLAN Support チェックボックスをオンにします。

Native VLAN ID 定義ウィンドウと VLAN Mappings ボタンが追加されています。

ステップ 3 ネイティブ VLAN として定義された VLAN 番号を入力します。

ステップ 4 Apply をクリックします。


 

図7-12 無線設定

 

高度な設定

次の手順は、ローカル スイッチングまたは中央スイッチングを実行するための H-REAP AP の設定方法を示しています。また、設定プロセスに関する注意点も含まれています。

ローカル スイッチングのための WLAN の選択

WLAN を H-REAP AP 上のローカル VLAN にマップする前に、まず、WLAN を H-REAP ローカル スイッチングに適合させる必要があります。


ステップ 1 WLC の Web GUI で、 WLANs タブをクリックします。

ステップ 2 ローカルにスイッチする WLAN を探して、そのプロファイル名をクリックします(図7-13 を参照)。

図7-13 WLANs タブ

 

WLAN 上の H-REAP サポートの設定

ステップ 3 WLAN 編集ページで、Advanced タブをクリックします(図7-14 を参照)。

図7-14 WLANs:Edit

 

ステップ 4 Advanced 設定ウィンドウで、H-REAP Local Switching の横のチェックボックスをオンにします(図7-15 を参照)。

図7-15 H-REAP ローカル スイッチングの有効化

 

ステップ 5 Apply をクリックします。


 

H-REAP ローカル スイッチング(VLAN)の設定

WLAN が H-REAP をサポートするように設定したら、次の手順を実行します。


ステップ 1 Wireless タブをクリックします。

ステップ 2 AP のリストから、H-REAP を見つけて AP 名をクリックします(図7-16 を参照)。

図7-16 Wireless タブ:AP

 

ステップ 3 AP Details 設定ページで、 VLAN Mappings をクリックします(図7-17 を参照)。

図7-17 All APs:Details

 

WLAN とローカル VLAN のマッピング設定

VLAN Mappings ページに、H-REAP ローカル スイッチング用に設定されたすべての WLAN と設定可能な VLAN ID フィールドが表示されます(図7-18 を参照)。

図7-18 VLAN マッピング

 


) 最初に表示される VLAN ID は、中央集中型 WLC の WLAN インターフェイス設定から継承されます。



ステップ 1 WLAN/SSID ごとに、ローカルに関連する VLAN ID を設定します。

複数の WLAN を同じローカル VLAN ID にマップできます。

ステップ 2 Apply をクリックします。


 


) 灰色のボックスで表示されたすべての WLAN は中央でスイッチされ、WLAN が WLC で管理目的のために有効になっているかどうかに応じてアクティブになる場合とならない場合があります。中央でスイッチされる WLAN に関連付けられたすべてのユーザ トラフィックは、トンネルを通過して WLC に戻されます。


中央スイッチング WLAN は、WLAN オーバーライド機能を使用して不要な WLAN を隠すことによって、H-REAP から除外できます。


) ローカル スイッチング WLAN ごとに、アソシエートされている VLAN 用に構成された DHCP ヘルパー アドレスまたはローカル DHCP プールを設定する必要があります。


リモート専用 WLAN の WLC 動的インターフェイスの設定

上記のサンプル設定は、所定の WLAN をメイン キャンパスおよび 1 つ以上のリモート サイト ロケーションで使用することを想定しています。ただし、H-REAP ローカル スイッチングだけが使用されている 1 つ以上のリモート サイトで使用するためには、WLAN を排他的に定義する必要がある場合があります。

このシナリオでは、WLAN はメイン キャンパスで使用されなくても、ローカルの動的なインターフェイスにマップする必要のある WLC 上に作成されます。WLC のデフォルトの動作では、新しく作成された WLAN を管理インターフェイスにマップします。各サイトで(リモート)WLAN はローカルにスイッチされますが、WLC で WLAN を「ダミーの」インターフェイス/VLAN にマップするための対策を行う必要があります。WLAN を WLC 管理インターフェイスにマップしたままにしないでください。これにより、設定を間違えたために無線クライアント トラフィックが誤って管理サブネットにアクセスしないようにします。

この脆弱性を軽減する一番早い方法は、社内の他のネットワークとの DHCP サービスまたは論理接続が存在しない孤立した VLAN にマップする WLC 上で動的なインターフェイスを作成することです。この VLAN は、その他の対策として、NAC アプライアンスまたはファイアウォールとマップすることもできます。

H-REAP の確認

H-REAP AP のアドレスの確認

DHCP を使用してアドレスを割り当てる場合は、DHCP サーバの構成設定、正しいサブネット、マスク、およびデフォルト ゲートウェイを確認します。

AP DHCP スコープがネイティブ VLAN で定義されていることを確認します。

AP が静的アドレスで構成された場合は、 show lwapp ip config コマンドを使用して、AP アドレス、サブネット、マスク、およびゲートウェイが、ブランチ ロケーション内部で使用されているアドレス方式と矛盾しないことを確認します。詳細は、「シリアル コンソール ポート」を参照してください。

WLC の解決設定の確認

WLC の解決に DHCP オプション 43 を使用している場合は、DHCP サーバ上の VCI と VSA の文字列形式が正しいことを確認します。

正しい WLC 管理 IP アドレスが DHCP サーバ上に設定されていることを確認します。

DNS 解決を使用している場合は、CISCO-LWAPP-CONTROLLER@localdomain の DNS クエリーが、ブランチ ロケーションから作成できることと、1 つ以上の有効な WLC 管理 IP アドレスに解決されることを確認します。

有効な DNS サーバ アドレスが DHCP を介して割り当てられていることを確認します。

WLC IP が手動で設定された場合は、 show lwapp ip config コマンドを使用して、ネットワークから切断された AP のシリアル コンソール ポート経由の設定を確認します。詳細は、「シリアル コンソール ポート」を参照してください。

トラブルシューティング

この項では、いくつかの一般的な問題に関するトラブルシューティング ガイドラインについて説明します。

H-REAP が WLC に接続できない

H-REAP AP が目的の WLC に接続していない場合は、次の項目を確認してください。

ブランチ ロケーションから中央集中型 WLC へのルーティングを確認します。AP サブネットから WLC 管理 IP アドレスが ping できることを確認します。

LWAPP プロトコル(UDP ポートの 12222 と 12223が ACL またはファイアウォールでブロックされていないことを確認します。

H-REAP がモビリティ グループ内の他の WLC に接続していないことを確認します。

モビリティ グループ内の WLC が、「マスター コントローラ」として指定されていないかどうか確認します。「マスター コントローラ」として指定されていると、H-REAP は目的の WLC 以外の WLC に接続する可能性があります。

ローカル スイッチング WLAN にアソシエートされたクライアントが IP アドレスを取得できない

802.1q トランキングが、AP が接続されているスイッチまたはルータのポート上で有効になっている(および AP の設定に適合している)ことを確認します。

IP ヘルパー アドレスまたはローカル DHCP プールが、問題の WLAN の最初のレイヤ 3 ホップで VLAN (サブインターフェイス) 用に設定されていることを確認します。

クライアントがローカル スイッチング WLAN を認証できない、またはローカル スイッチング WLAN にアソシエートできない

ローカル スイッチング WLAN が中央認証を使用する場合:

H-REAP がスタンドアロン モード(WAN バックホール ダウン)になっていないことを確認します。

有効な RADIUS 認証サーバが WLAN 用に構成されていることを確認します。

WLC から RADIUS 認証サーバにアクセスできることを確認します。

RADIUS サーバが正常に動作していることを確認します。

認証サービスとユーザの資格情報が RADIUS サーバ上で設定されていることを確認します。

ローカル スイッチング WLAN が事前共有キーを使用する場合:

クライアント上の WPA または WEP 設定が WLAN の設定と一致することを確認します。

無線クライアントが認証/アソシエートするために、WLAN SSID をブロードキャストする(無効な場合)必要があるかどうか確認します。

クライアントが中央スイッチング WLAN を認証できない、または中央スイッチング WLAN にアソシエートできない

中央スイッチング WLAN が中央認証を使用する場合:

H-REAP がスタンドアロン モード(WAN バックホール ダウン)になっていないことを確認します。

有効な RADIUS 認証サーバが WLAN 用に構成されていることを確認します。

WLC から RADIUS 認証サーバにアクセスできることを確認します。

RADIUS サーバが正常に動作していることを確認します。

AAA 認証クライアントの場合は、認証サービスとユーザの資格情報が RADIUS サーバ上で設定されていることを確認します。

ローカル スイッチング WLAN が事前共有キーを使用する場合:

クライアント上の WPA または WEP 設定が WLAN の設定と一致することを確認します。

無線クライアントが認証/アソシエートするために、WLAN SSID をブロードキャストする(無効な場合)必要があるかどうか確認します。

H-REAP デバッグ コマンド

この項では、高度なトラブルシューティングで使用可能なデバッグ コマンドについて説明します。

WLC デバッグ コマンド

WLC のシリアル コンソール インターフェイスを使用して、次のコマンドを入力し、その出力を確認できます。

debug lwapp events enable

debug lwapp packets enable

H-REAP AP デバッグ コマンド

H-REAP のシリアル コンソール インターフェイスを使用して、次のコマンドを入力し、その出力を確認できます。

debug lwapp client packet

debug lwapp client mgmt

debug lwapp client config

debug lwapp client event

debug lwapp reap load

debug lwapp reap mgmt