14209_01.pdf(7,261KB)この章では、最初にwireless deviceの基本設定を行うときの手順について説明します。この章の内容は、wireless deviceに付属するクイック スタート ガイドの説明と共通する箇所があります。この章で説明する設定はすべて Command-Line Interface(CLI; コマンドライン インターフェイス)を使用して実行できますが、wireless deviceの Web ブラウザ インターフェイスで初期設定を完了してから、CLI を使用して詳細設定を追加入力する方が簡単な場合があります。
- ・ 始める前に
- ・ IP アドレスの取得と割り当て
- ・ 1100 シリーズのアクセス ポイントへのローカル接続
- ・ 1130 シリーズのアクセス ポイントへのローカル接続
- ・ 1200、1230、1240、1250 シリーズのアクセス ポイントへのローカル接続
- ・ 1300 シリーズのアクセス ポイント/ブリッジへのローカル接続
- ・ デフォルトの無線設定
- ・ 基本設定の割り当て
- ・ 基本的なセキュリティ設定
- ・ 1130 および 1240 シリーズ アクセス ポイントのシステム電力の設定
- ・ CLI を使用した IP アドレスの割り当て
- ・ CLI を使用した IP アドレスの割り当て
- ・ Telnet セッションを使用した CLI へのアクセス
- ・ 802.1X サプリカントの設定
始める前に
wireless deviceを設置する前に、使用しているコンピュータがこのwireless deviceと同じネットワークに接続されていることを確認し、ネットワーク管理者から次の情報を取得してください。
- ・ wireless deviceのシステム名
- ・ 大文字と小文字を区別する、無線ネットワークの無線 Service Set Identifier(SSID; サービス セット ID)
- ・ DHCP サーバに接続されていない場合は、wireless deviceの一意の IP アドレス(172.17.255.115 など)
- ・ wireless deviceが PC と同じサブネット上にない場合、デフォルト ゲートウェイ アドレスとサブネット マスク
- ・ Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)コミュニティ名と SNMP ファイル属性(SNMP を使用している場合)
- ・ Cisco IP Setup Utility(IPSU)を使用して、wireless deviceの IP アドレスを検索する場合、アクセス ポイントの Media Access Control(MAC; メディア アクセス制御)アドレス。MAC アドレスは、アクセス ポイントの底面ラベルに記載されています(00164625854c など)。
デバイスのデフォルト設定へのリセット
初期設定時に最初からやり直す必要がある場合は、アクセス ポイントをデフォルト設定にリセットすることができます。
モード ボタンを使用したデフォルト設定へのリセット
アクセス ポイントの モード ボタンを使用して、アクセス ポイントをデフォルト設定にリセットする手順は、次のとおりです。
ステップ 2 モード ボタンを押しながら、アクセス ポイントに電源を再接続します。
ステップ 3 モード ボタンを押し続けて、ステータス LED がオレンジに変わったら(約 1 〜 2 秒かかります)ボタンを離します。アクセス ポイントのすべての設定が、デフォルトに戻ります。
GUI を使用したデフォルト設定へのリセット
アクセス ポイントの GUI を使用して、デフォルトの設定に戻す手順は、次のとおりです。
ステップ 2 ブラウザのアドレス入力用ボックスにwireless deviceの IP アドレスを入力し、Enter キーを押します。Enter Network Password 画面が表示されます。
ステップ 3 User Name フィールドにユーザ名を入力します。デフォルトのユーザ名は Cisco です。
ステップ 4 Password フィールドにwireless deviceのパスワードを入力し、Enter キーを押します。デフォルトのパスワードは Cisco です。Summary Status ページが表示されます。
ステップ 5 System Software をクリックして、System Software 画面を表示します。
ステップ 6 System Configuration をクリックして、System Configuration 画面を表示します。
ステップ 7 Reset to Defaults ボタンをクリックすると、IP アドレスを含むすべての設定がデフォルト値にリセットされます。IP アドレスを除いたすべての設定をデフォルト値にリセットするには、Reset to Defaults (Except IP) ボタンをクリックします。
CLI を使用したデフォルト設定へのリセット
アクセス ポイントをデフォルト設定と静的 IP アドレスにリセットする場合は、write erase または erase /all nvram コマンドを使用します。静的 IP アドレスも含めすべてを消去する場合は、上記のコマンドに加えてerase および erase boot static-ipaddr static-ipmask コマンドを使用します。
特権 EXEC モードからは、CLI を使用して次の手順でアクセス ポイント/ブリッジの設定をデフォルト値にリセットできます。
ステップ 2 静的 IP アドレスとサブネット マスクを消去する手順は、次のとおりです。それ以外は、手順 3 に進んでください。
ステップ 3 次の CLI メッセージが表示されたら、Y を入力します。Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
ステップ 4 次の CLI メッセージが表示されたら、reload と入力します。Erase of nvram: completeこのコマンドを入力すると、オペレーティング システムがリロードされます。
ステップ 5 次の CLI メッセージが表示されたら、Y と入力します。Proceed with reload? [confirm]
ステップ 6 アクセス ポイント/ブリッジのリブートが完了したら、アクセス ポイントを再設定できます。静的 IP アドレスを既に割り当てている場合は Web ブラウザ インターフェイスから、静的 IP アドレスをまだ割り当ていない場合は CLI から再設定してください。
アクセス ポイントは、IP アドレスも含めてデフォルト値に設定されます(Dynamic Host Configuration Protocol(DHCP)を使用して IP アドレスを受信するように設定されます)。アクセス ポイント/ブリッジの新 IP アドレスを取得するには、show interface bvi1 の CLI コマンドを使用します。
IP アドレスの取得と割り当て
wireless deviceの Express Setup ページにアクセスするには、次のいずれかの方法でwireless deviceの IP アドレスを取得するか、割り当てる必要があります。
- ・ 1130AG、1200、1240 シリーズ アクセス ポイント、または 1300 シリーズ アクセス ポイント/ブリッジの場合は、アクセス ポイント コンソール ポートに接続し、静的 IP アドレスを割り当てます。本体のコンソール ポートに接続するには、該当する項から次の手順を実行します。
- ・ DHCP サーバを使用すると(使用できる場合)、自動的に IP アドレスが割り当てられます。次のいずれかの方法により、DHCP によって割り当てられた IP アドレスを検索できます。
- − 1200 シリーズのアクセス ポイントの場合は、wireless device コンソール ポートに接続し、show ip interface brief コマンドを使用して、IP アドレスを表示します。コンソール ポートに接続するには、1100 シリーズのアクセス ポイントへのローカル接続または1200、1230、1240、1250 シリーズのアクセス ポイントへのローカル接続の手順を実行します。
- − 組織のネットワーク管理者に、wireless deviceの MAC アドレスを知らせます。ネットワーク管理者は、MAC アドレスを使用して DHCP サーバに照会し、IP アドレスを確認します。アクセス ポイントの MAC アドレスは、アクセス ポイントの底面ラベルに記載されています。
デフォルトの IP アドレスの動作
1130AG、1200、1240、1250 アクセス ポイント、または 1300 シリーズ アクセス ポイント/ブリッジをデフォルトの設定で LAN に接続している場合、アクセス ポイントは DHCP サーバに IP アドレスを要求し、アドレスを受信できない場合、要求を無期限に送信し続けます。
1100 シリーズ アクセス ポイントをデフォルトの設定で LAN に接続している場合、1100 シリーズ アクセス ポイントは DHCP サーバからの IP アドレスの取得を何度か試みます。アドレスを受信できない場合、アクセス ポイントは 5 分間 IP アドレス 10.0.0.1 を自分自身に割り当てます。この 5 分間の時間枠内に、デフォルトの IP アドレスを参照し、静的アドレスを設定できます。5 分経過してもアクセス ポイントが再設定されなかった場合、アクセス ポイントはアドレス 10.0.0.1 を廃棄し、DHCP サーバからのアドレスの取得を再び要求し始めます。アドレスを受信できない場合には、要求を無期限に送信します。10.0.0.1 でアクセス ポイントを参照できる 5 分間の時間枠を逃した場合、電源をいったん切り、改めて投入することでアクセス ポイントにこの過程を繰り返させることができます。
1300 シリーズ アクセス ポイント/ブリッジは、ルート アクセス ポイントの無線ネットワークとして機能していると判断します。ブリッジとして設定するには、手動でインストール モードを指定して、アンテナの位置を合わせて無線リンクを確立します。リンクを確立するには、2 台のアクセス ポイント/ブリッジをインストール モードに設定しておく必要があります。インストール モードでは、1 台のアクセス ポイント/ブリッジをルート ブリッジに、もう 1 台の方を非ルート ブリッジとして設定してください。設定しやすいよう、アクセス ポイント/ブリッジをインストール モードにすると自動オプションが利用できます。無線リンクを確立してブリッジ アンテナの位置を合わせたら、アクセス ポイント/ブリッジ両方のインストールモードを解除して、ルート ブリッジと非ルート ブリッジとして LAN に配置してください。
1100 シリーズのアクセス ポイントへのローカル接続
アクセス ポイントを(有線 LAN に接続せずに)ローカルに設定する必要がある場合、カテゴリ 5 のイーサネット ケーブルを使用して PC をアクセス ポイントのイーサネット ポートに接続できます。シリアル ポート接続を使用するのと同じように、イーサネット ポートへのローカル接続を使用できます。
アクセス ポイントがデフォルト値に設定され、DHCP サーバから IP アドレスを受信できない場合、IP アドレス 10.0.0.1 がデフォルトとして 5 分間設定されます。その 5 分間で、その IP アドレスを参照して装置を設定できます。5 分経過しても装置が再設定されなかった場合、アクセス ポイントはアドレス 10.0.0.1 を廃棄し、DHCP サーバからのアドレスの取得を再び要求し始めます。アドレスを受信できない場合には、要求を無期限に送信します。10.0.0.1 でアクセス ポイントを参照できる 5 分間の時間枠を逃した場合、電源をいったん切り、改めて投入することでアクセス ポイントにこの過程を繰り返させることができます。
アクセス ポイントをローカルで接続する手順は、次のとおりです。
ステップ 2 カテゴリ 5 のイーサネット ケーブルを使用して PC をアクセス ポイントに接続します。クロス ケーブルまたはストレート型ケーブルのいずれかを使用できます。
ステップ 4 基本設定の割り当ての手順に従って操作します。操作を間違えたため、最初からやり直す必要がある場合は、デバイスのデフォルト設定へのリセットの手順に従ってください。
ステップ 5 アクセス ポイントの設定後、PC からイーサネット ケーブルを抜いて、アクセス ポイントを有線 LAN に接続します。
1130 シリーズのアクセス ポイントへのローカル接続
アクセス ポイントを(有線 LAN に接続せずに)ローカルに設定する必要がある場合、DB-9 to RJ-45 のシリアル ケーブルを使用して PC をアクセス ポイントのコンソール ポートに接続できます。次の手順に従ってアクセス ポイントのコンソール ポートに接続し、CLI を開きます。
ステップ 2 9 ピンのメスの DB-9 to RJ-45 シリアル ケーブルを、アクセス ポイントの RJ-45 シリアル ポートと、コンピュータの COM ポートに接続します。DB-9 to RJ-45 シリアル ケーブルの Cisco 製品番号は AIR-CONCAB1200 です。シリアル ケーブルは、 http://www.cisco.com/go/marketplace で注文できます。
ステップ 3 アクセス ポイントと通信できるようにターミナル エミュレータを設定します。ターミナル エミュレータの接続では、9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1 の設定を使用します。フロー制御はなしです。
ステップ 4 接続したら、enter を押すか、「en」と入力して、コマンド プロンプトを表示します。enter を押すと、ユーザ EXEC モードになります。「en」と入力すると、パスワードを入力するよう求められ、パスワードを入力すると続いて特権 EXEC モードになります。デフォルトのパスワードは Cisco です。大文字と小文字は区別されます。
1200、1230、1240、1250 シリーズのアクセス ポイントへのローカル接続
アクセス ポイントを(有線 LAN に接続せずに)ローカルに設定する必要がある場合、DB-9 to RJ-45 のシリアル ケーブルを使用して PC をアクセス ポイントのコンソール ポートに接続できます。次の手順に従ってアクセス ポイントのコンソール ポートに接続し、CLI を開きます。
ステップ 2 アクセス ポイントと通信できるようにターミナル エミュレータを設定します。ターミナル エミュレータの接続では、9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1 の設定を使用します。フロー制御はなしです。
ステップ 3 接続したら、enter を押すか、「en」と入力して、コマンド プロンプトを表示します。enter を押すと、ユーザ EXEC モードになります。「en」と入力すると、パスワードを入力するよう求められ、パスワードを入力すると続いて特権 EXEC モードになります。デフォルトのパスワードは Cisco です。大文字と小文字は区別されます。
1300 シリーズのアクセス ポイント/ブリッジへのローカル接続
アクセス ポイント/ブリッジを(アクセス ポイント/ブリッジを有線 LAN に接続せずに)ローカルに設定する必要がある場合、カテゴリ 5 のイーサネット ケーブルを使用して PC を長距離用パワー インジェクタのイーサネット ポートに接続できます。シリアル ポート接続を使用するのと同じように、パワー インジェクタのイーサネット ポートへのローカル接続を使用できます。
ステップ 2 パワー インジェクタから電源ケーブルを抜いた状態で、カテゴリ 5 のイーサネット ケーブルを使用して PC をパワー インジェクタに接続します。クロス ケーブルまたはストレート型ケーブルのいずれかを使用できます。
ステップ 3 二重同軸ケーブルで、パワー インジェクタをアクセス ポイント/ブリッジに接続します。
ステップ 4 パワー インジェクタの電源ケーブルを接続して、アクセス ポイント/ブリッジの電源を入れます。
ステップ 5 基本設定の割り当ての手順に従って操作します。操作を間違えたため、最初からやり直す必要がある場合は、デバイスのデフォルト設定へのリセットの手順に従ってください。
ステップ 6 アクセス ポイント/ブリッジの設定後、PC からイーサネット ケーブルを抜いて、パワー インジェクタを有線 LAN に接続します。
デフォルトの無線設定
Cisco IOS リリース 12.3(8)JA を初めて起動した時点では、アクセス ポイントの無線は無効に設定され、デフォルトの SSID は何も割り当てられていません。これは、権限のないユーザが、デフォルトの SSID を使用してセキュリティを設定していないこのアクセス ポイントからお客様の無線ネットワークにアクセスするのを防ぐための措置です。アクセス ポイントの無線インターフェイスを有効にする前に、SSID を作成する必要があります。
詳細は、第6章 「無線の設定」を参照してください。
基本設定の割り当て
wireless deviceの IP アドレスを決定または割り当てた後、次の手順に従って、このwireless deviceの Express Setup ページにアクセスし、初期設定を行います。
ステップ 2 ブラウザのアドレス入力用ボックスにwireless deviceの IP アドレスを入力し、Enter キーを押します。Enter Network Password 画面が表示されます。
ステップ 3 Tab キーを押して、Username フィールドの次の Password フィールドに進みます。
ステップ 4 大文字/小文字を区別して Cisco というパスワードを入力し、Enter キーを押します。Summary Status ページが表示されます。一般的な Summary Status ページは、図4-1 に示されています。このページは、ご使用になっているアクセス ポイントのモデルによって異なる場合があります。
図4-1 Summary Status ページ
ステップ 5 Express Setup をクリックします。Express Setup ページが表示されます。図4-2 および図4-3 は、1100 シリーズ アクセス ポイントの Express Setup ページを示しています。このページは、ご使用になっているアクセス ポイントのモデルによって異なる場合があります。
図4-2 1100 シリーズ アクセス ポイントの Express Setup ページ
図4-3 1130、1200、1240 シリーズ アクセス ポイントの Express Setup ページ
図4-4 1250 シリーズ アクセス ポイントの Express Setup ページ
図4-5 1300 シリーズ アクセス ポイント/ブリッジの Express Setup ページ
ステップ 6 システム管理者から入手した設定を入力します。設定可能な項目は、次のとおりです。
- ・ Configuration Server Protocol:ネットワークの IP アドレスの割り当て方法に対応するボタンをクリックします。
- − DHCP:IP アドレスは、ネットワークの DHCP サーバによって自動的に割り当てられます。
- − Static IP:wireless deviceでは、IP Address フィールドに入力された静的 IP アドレスが使用されます。
- ・ IP Address:wireless deviceの IP アドレスを割り当てたり、変更したりします。DHCP がネットワークで有効な場合、このフィールドは空白のままにします。
- ・ IP Subnet Mask:IP アドレスが LAN 上で認識されるように、ネットワーク管理者から提供された IP サブネット マスクを入力します。DHCP が有効な場合、このフィールドは空白のままにします。
- ・ Default Gateway:ネットワーク管理者から提供されたデフォルト ゲートウェイ IP アドレスを入力します。DHCP が有効な場合、このフィールドは空白のままにします。
- ・ SNMP Community:ネットワークで SNMP が使用されている場合、ネットワーク管理者により用意された SNMP コミュニティ名を入力して、(同じくネットワーク管理者により用意された)SNMP データの属性を選択します。
- ・ Role in Radio Network:ネットワークでのwireless deviceの役割を示したボタンをクリックします。wireless deviceが有線 LAN に接続されている場合は、Access Point (Root) を選択します。アクセス ポイントが有線 LAN に接続されていない場合は、Repeater (Non-Root) を選択します。
- − Access Point:ルート デバイス。クライアントからのアソシエーションを受け入れ、クライアントから無線 LAN までの無線トラフィックを仲介します。この設定は、どのアクセス ポイントにも適用できます。
- − Repeater:非ルート デバイス。クライアントからのアソシエーションを受け入れ、クライアントから、無線 LAN に接続中のルート アクセス ポイントまでの無線トラフィックを仲介します。この設定は、どのアクセス ポイントにも適用できます。
- − Root Bridge:非ルート ブリッジとのリンクを確立します。このモードでは、クライアントからのアソシエーションも受け入れます。この設定は、1200 および 1240 シリーズ アクセス ポイントにのみ可能です。
- − Non-Root Bridge:このモードでは、ルート ブリッジとのリンクを確立します。この設定は、1200 および 1240 シリーズ アクセス ポイントにのみ可能です。
- − Install Mode:1300 シリーズ アクセス ポイント/ブリッジを自動インストール モードに指定することで、最適な効率が得られるようにブリッジのリンクを位置合わせして調整できます。
- − Workgroup Bridge:Cisco Aironet 350 シリーズ ワークグループ ブリッジのエミュレートを行います。ワークグループ ブリッジ モードの場合、アクセス ポイントは、Cisco Aironet アクセス ポイントまたはブリッジにアソシエートするクライアント デバイスとして機能します。ワークグループ ブリッジは、ルート ブリッジまたはアクセス ポイントにアソシエートしている無線クライアントが他に無ければ、最大 254 台までのクライアントを接続できます。この設定は、1100、1200 および 1300 シリーズ アクセス ポイントで可能です。
- − Universal Workgroup Bridge:アクセス ポイントを、シスコ以外のアクセス ポイントとアソシエートできるワークグループ ブリッジとして設定します。この設定は、1130、1240 シリーズ アクセス ポイント、および 1300 シリーズ アクセス ポイント/ブリッジで可能です。
- − Client MAC:ユニバーサル ワークグループ ブリッジに接続されているクライアントのイーサネット MAC アドレス。
- − Scanner:ネットワーク監視モードとして機能します。スキャナ モードでは、アクセス ポイントはクライアントからのアソシエーションを受け入れません。絶え間なくスキャンを行い、無線 LAN に接続中の他の無線装置から検出した無線トラフィックをレポートします。すべてのアクセス ポイントは、スキャナとして設定できます。
- ・ Optimize Radio Network for:wireless deviceの無線に対して設定済みの設定か、カスタマイズされた設定のいずれかを選択します。
- − Throughput:wireless deviceで処理されるデータ量が最大限に増えます。ただし、その通信範囲は縮小される可能性があります。
- − Range:wireless deviceの通信範囲が最大限に拡張されます。ただし、スループットは減少する可能性があります。
- − Default:アクセス ポイントに使用するデフォルト値のセット。
-
− Custom:Network Interfaces で入力した設定がwireless deviceに使用されます。Custom をクリックすると、Network Interfaces: に次のページが表示されます。
Radio-802.11b Settings ページ
Radio-802.11b Settings ページ
Radio-802.11n Settings ページ(1250)
Radio-802.11n Settings ページ(1250) - ・ Aironet Extensions:無線 LAN 上に Cisco Aironet デバイスだけがある場合には、この設定を有効にします。
ステップ 7 Apply をクリックして、設定を保存します。
ステップ 8 Network Interfaces をクリックして Network Interfaces Summary ページを表示します。
ステップ 9 Radio Interface をクリックして Network Interfaces: Radio Status ページを表示します。
ステップ 10 Settings タブをクリックして無線インターフェイスの Settings ページを表示します。
ステップ 11 Enable をクリックして、無線を有効に設定します。
これでwireless deviceは稼働しますが、ネットワークの運用およびセキュリティに関する要件を満たすための追加の設定が必要になる場合があります。設定を完了するのに必要な情報については、このマニュアルの該当する章を参照してください。
Express Setup ページのデフォルト設定
表4-1 は、Express Setup ページのデフォルト設定一覧です。
|
デフォルトで DHCP により割り当てられます。アクセス ポイントにおけるデフォルトの IP アドレスの動作については、デフォルトの IP アドレスの動作を参照してください。 |
|
|
デフォルトで DHCP により割り当てられます。DHCP が無効の場合、デフォルト設定は 255.255.255.224 です。 |
|
基本的なセキュリティ設定
wireless deviceに基本設定を割り当てたら、セキュリティ設定を行い、ネットワークを不正アクセスから保護する必要があります。wireless deviceは、作業場所の物理的な境界を超えて通信することができます。
Express Setup ページを使用して基本設定を割り当てる場合と同じように、Express Security ページを使用して一意の SSID を作成し、これに 4 つのセキュリティ タイプのうちのいずれかを割り当てることができます。図4-6 は、一般的な Express Security ページを示しています。
図4-6 Express Security ページ
Express Security ページは、基本的なセキュリティ設定の設定に役立ちます。Web ブラウザ インターフェイスのメイン Security ページを使用して、詳細なセキュリティ設定を設定できます。
Express Security 設定の概要
Express Security ページから作成した SSID は、Express Security ページ下部の SSID Table に表示されます。wireless deviceには最大 16 の SSID を作成できます。デュアル無線のwireless deviceでは、作成した SSID が両方の無線インターフェイスで有効になります。
SSID には、最大 32 文字の英数字を使用でき、大文字と小文字が区別されます。
次の文字は無効とされ、SSID に使用することはできません。
VLAN の使用
無線 LAN で VLAN を使用し、VLAN に SSID を割り当てる場合、Express Security ページの 4 つのセキュリティ設定のうちのいずれかを使用して複数の SSID を作成できます。ただし、無線 LAN で VLAN を使用しない場合、SSID に割り当てることのできるセキュリティ オプションは制限されます。Express Security ページでは暗号化設定と認証タイプがリンクしているためです。VLAN を使用しない場合、暗号化設定(Wired Equivalent Privacy(WEP)と暗号)が 2.4GHz 無線などのインターフェイスに適用されるため、1 つのインターフェイスで複数の暗号化設定を使用することはできません。たとえば、VLAN を無効にし、静的 WEP によって SSID を作成した場合、Wi-Fi Protected Access(WPA)認証によって追加の SSID を作成することはできません。これらは異なる暗号化設定を使用しているためです。SSID のセキュリティ設定が別の SSID と競合していることがわかった場合、1 つ以上の SSID を削除して競合を解消することができます。
Express Security のタイプ
表4-2 は、SSID に割り当てられる 4 つのセキュリティ タイプについて説明しています。
|
これは安全性が最も低いオプションです。このオプションは、パブリック スペースで使用されている SSID のみに使用し、ネットワークへのアクセスを制限している VLAN に割り当てる必要があります。 |
||
|
このオプションは、No Security よりは安全です。ただし、静的 WEP キーは攻撃に対して脆弱です。この設定を行う場合、MAC アドレスに基づいてwireless deviceへのアソシエーションを制限することを考慮してください(MAC アドレス ACL を使用したアクセス ポイントへのクライアント アソシエーションの許可と禁止を参照)。または、ネットワークに Remote Authentication Dial-In User Service(RADIUS)サーバが存在しない場合、アクセス ポイントをローカルの認証サーバとして使用することを考慮してください(第9章 「ローカル認証サーバとしてのアクセス ポイントの設定」を参照)。 |
WEP が必須。wireless deviceのキーと一致する WEP キーが存在しないと、クライアント デバイスがこの SSID を使用してアソシエートすることはできません。 |
|
|
このオプションでは、802.1X 認証(LEAP、PEAP、EAP-TLS、EAP-FAST、EAP-TTLS、EAP-GTC、EAP-SIM、その他 802.1X/EAP ベースの製品)が有効になります。 この設定では、暗号化必須、WEP、Open 認証 + EAP、ネットワーク EAP 認証、キー管理なし、RADIUS サーバ認証ポート 1645 を選択します。 ネットワーク上の認証サーバの IP アドレスと共有秘密鍵を入力する必要があります(サーバ認証ポート 1645)。802.1X 認証によって動的暗号化キーが提供されるため、WEP キーを入力する必要はありません。 |
802.1X 認証が必須。この SSID を使用してアソシエートするクライアント デバイスは、802.1X 認証を実行する必要があります。 無線クライアントで EAP-FAST を使用する認証が設定されている場合は、Open 認証 + EAP も設定する必要があります。Open 認証 + EAP を設定しないと、次の GUI 警告メッセージが表示されます。
WARNING: CLI を使用している場合は、次の警告メッセージが表示されます。 SSID CONFIG WARNING:[SSID]:If radio clients are using EAP-FAST, AUTH OPEN with EAP should also be configured. |
|
|
Wi-Fi Protected Access(WPA)は、認証サーバのサービスを通じてデータベースに対して認証されたユーザへの無線アクセスを許可し、WEP で使用されるアルゴリズムよりも強力なアルゴリズムを使用して IP トラフィックを暗号化します。 この設定では、暗号スイート、TKIP、Open 認証 + EAP、ネットワーク EAP 認証、キー管理 WPA 必須、RADIUS サーバ認証ポート 1645 を選択します。 Extensible Authentication Protocol(EAP; 拡張認証プロトコル)認証の場合と同じように、ネットワーク上の認証サーバの IP アドレスと共有秘密鍵を入力する必要があります(サーバ認証ポート 1645)。 |
WPA 認証が必須。この SSID を使用してアソシエートするクライアント デバイスは、WPA 対応でなければなりません。 無線クライアントで EAP-FAST を使用する認証が設定されている場合は、Open 認証 + EAP も設定する必要があります。Open 認証 + EAP を設定しないと、次の GUI 警告メッセージが表示されます。
WARNING: CLI を使用している場合は、次の警告メッセージが表示されます。 SSID CONFIG WARNING:[SSID]:If radio clients are using EAP-FAST, AUTH OPEN with EAP should also be configured. |
Express Security の制限
Express Security ページは単純な基本のセキュリティ設定用に設計されているため、使用できるオプションはwireless deviceのセキュリティ機能のサブセットになります。Express Security ページの使用にあたっては、次の制限事項に留意してください。
- ・ No VLAN オプションを選択している場合、静的 WEP キーを一度設定することができます。 Enable VLAN を選択した場合は、静的 WEP キーを無効にする必要があります。
- ・ SSID を編集することはできません。ただし、SSID を削除して再作成することはできます。
- ・ SSID を特定の無線インターフェイスに割り当てることはできません。作成した SSID はすべての無線インターフェイスで有効になります。SSID を特定の無線インターフェイスに割り当てる場合は、Security SSID Manager ページを使用します。
- ・ 複数の認証サーバは設定できません。複数の認証サーバを設定する場合は、Security Server Manager ページを使用します。
- ・ 複数の WEP キーは設定できません。複数の WEP キーを設定する場合は、Security Encryption Manager ページを使用します。
- ・ wireless device上にすでに設定されている VLAN に SSID を割り当てることはできません。既存の VLAN に SSID を割り当てる場合は、Security SSID Manager ページを使用します。
- ・ 同一の SSID 上で認証タイプを組み合わせて設定することはできません(MAC アドレス認証と EAP 認証など)。認証タイプを組み合わせて設定する場合は、Security SSID Manager ページを使用します。
Express Security ページの使用方法
Express Security ページを使用して SSID を作成する手順は、次のとおりです。
ステップ 2 wireless deviceのビーコンで SSID をブロードキャストするには、Broadcast SSID in Beacon チェックボックスをオンにします。SSID をブロードキャストすると、SSID を指定していないデバイスがwireless deviceにアソシエートできるようになります。このオプションは、パブリック スペースでゲストやクライアント デバイスが SSID を使用する場合に便利です。SSID をブロードキャストしない場合、クライアント デバイスの SSID がこの SSID と一致しない限り、クライアント デバイスはwireless deviceにアソシエートできません。wireless deviceのビーコンに追加できる SSID は 1 つだけです。
ステップ 3 (オプション)Enable VLAN ID チェックボックスをオンにして、SSID を VLAN に割り当てるための VLAN 番号(1 〜 4095)を入力します。既存の VLAN に SSID を割り当てることはできません。
ステップ 4 (オプション)Native VLAN チェックボックスをオンにして、VLAN をネイティブ VLAN として指定します。
ステップ 5 SSID のセキュリティ設定を選択します。この設定は、No Security から WPA まで堅牢性の順に並んでいます。WPA が最も強力なセキュリティ設定です。EAP Authentication または WPA を選択した場合は、ネットワーク上の認証サーバの IP アドレスと共有秘密鍵を入力します。
ステップ 6 Apply をクリックします。ページ下部の SSID Table に SSID が表示されます。
CLI の設定例
ここでは、Express Security ページで各セキュリティ タイプを使用して SSID を作成するのと同じ働きをする CLI コマンドの例を示します。この項で取り上げる設定例は次のとおりです。
例:No Security
次の例は、Express Security ページを使用して no_security_ssid という名前の SSID を作成した結果として行われる設定の一部を示しています。ここでは、ビーコンにこの SSID を追加し、これを VLAN 10 に割り当て、ネイティブ VLAN として VLAN 10 を選択しています。
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
例:Static WEP
次の例は、Express Security ページを使用して static_wep_ssid という名前の SSID を作成した結果として行われる設定の一部を示しています。ここでは、この SSID をビーコンから除外し、この SSID を VLAN 20 に割り当て、キー スロットとして 3 を選択し、128 ビット キーを入力しています。
encryption vlan 20 key 3 size 128bit 7 FFD518A21653687A4251AEE1230C transmit-key
encryption vlan 20 mode wep mandatory
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
bridge-group 20 subscriber-loop-control
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
bridge-group 20 spanning-disabled
encryption vlan 20 key 3 size 128bit 7 741F07447BA1D4382450CB68F37A transmit-key
encryption vlan 20 mode wep mandatory
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
bridge-group 20 subscriber-loop-control
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
bridge-group 20 spanning-disabled
例:EAP Authentication
次の例は、Express Security ページを使用して eap_ssid という名前の SSID を作成した結果として行われる設定の一部を示しています。ここでは、SSID をビーコンから除外し、SSID を VLAN 30 に割り当てています。
SSID CONFIG WARNING:[SSID]:If radio clients are using EAP-FAST, AUTH OPEN with EAP should also be configured.
authentication open eap eap_methods
authentication network-eap eap_methods
encryption vlan 30 mode wep mandatory
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
bridge-group 30 subscriber-loop-control
bridge-group 30 block-unknown-source
no bridge-group 30 source-learning
no bridge-group 30 unicast-flooding
bridge-group 30 spanning-disabled
encryption vlan 30 mode wep mandatory
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
bridge-group 30 subscriber-loop-control
bridge-group 30 block-unknown-source
no bridge-group 30 source-learning
no bridge-group 30 unicast-flooding
bridge-group 30 spanning-disabled
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
no bridge-group 30 source-learning
bridge-group 30 spanning-disabled
ip address 10.91.104.91 255.255.255.192
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100
ip radius source-interface BVI1
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.91.104.92 auth-port 1645 acct-port 1646 key 7 091D1C5A4D5041
radius-server authorization permit missing Service-Type
radius-server vsa send accounting
例:WPA
次の例は、Express Security ページを使用して wpa_ssid という名前の SSID を作成した結果として行われる設定の一部を示しています。ここでは、SSID をビーコンから除外し、SSID を VLAN 40 に割り当てています。
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa
aaa group server radius rad_eap
server 10.91.104.92 auth-port 1645 acct-port 1646
aaa group server radius rad_mac
aaa group server radius rad_acct
aaa group server radius rad_admin
aaa group server tacacs+ tac_admin
aaa group server radius rad_pmip
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local
aaa authorization ipmobile default group rad_pmip
aaa accounting network acct_methods start-stop group rad_acct
encryption vlan 40 mode ciphers tkip
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
bridge-group 40 subscriber-loop-control
bridge-group 40 block-unknown-source
no bridge-group 40 source-learning
no bridge-group 40 unicast-flooding
bridge-group 40 spanning-disabled
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
no bridge-group 40 source-learning
bridge-group 40 spanning-disabled
1130 および 1240 シリーズ アクセス ポイントのシステム電力の設定
1130 および 1240 アクセス ポイントは、接続先の電源が十分な電力を供給しないことを検知すると、無線インターフェイスを無効にします。使用している電源によっては、アクセス ポイントの設定で電源のタイプを入力する必要がある場合があります。Web ブラウザ インターフェイスの System Software: System Configuration ページで、電力オプションを選択できます。図4-7 は、System Configuration ページの System Power Settings セクションを示しています。
図4-7 System Software: System Configuration ページの電力オプション
AC 電源アダプタの使用
AC 電源アダプタを使用して 1130 または 1240 アクセス ポイントに電力を供給する場合、アクセス ポイントの設定を調整する必要はありません。
IEEE 802.3af 電力ネゴシエーションのスイッチ機能の使用
Power over Ethernet(PoE)を 1130 または 1240 アクセス ポイントに供給するスイッチを使用し、そのスイッチが IEEE 802.3af 電力ネゴシエーション標準に対応している場合、System Software: System Configuration ページで Power Negotiation を選択します。
IEEE 802.3af 電力ネゴシエーションに対応していないスイッチの使用
Power over Ethernet(PoE)を 1130 アクセス ポイントに供給するスイッチを使用し、そのスイッチが IEEE 802.3af 電力ネゴシエーション標準に対応していない場合、System Software: System Configuration ページで Pre-Standard Compatibility を選択します。
電力インジェクタの使用
電力インジェクタを使用して 1130 または 1240 アクセス ポイントに電力を供給している場合、System Software: System Configuration ページで Power Injector を選択し、アクセス ポイントを接続しているスイッチ ポートの MAC アドレスを入力します。
dot11 extension power native コマンド
有効になっている場合、dot11 extension power native によって、無線で使用中のパワー テーブルが IEEE 802.11 テーブルからネイティブ パワー テーブルへシフトされます。無線装置は、このテーブル値を CISCO-DOT11-1F-MIB の NativePowerTable および NativePowerSupportedTable から取り出します。Native Power テーブルは、-1dBm レベルをサポートする Cisco Aironet の無線機器で使用できるよう、電源を -1dBm 近辺に低く設定するよう厳密に設計されています。
CLI を使用した IP アドレスの割り当て
wireless deviceは、有線 LAN に接続されると、自動的に生成される Bridge Virtual Interface(BVI; ブリッジ仮想インターフェイス)を使用してネットワークにリンクします。ネットワークでは、wireless deviceのイーサネット ポートと無線ポートに個別の IP アドレスがトラッキングされるのではなく、BVI が使用されます。
CLI を使用してwireless deviceに IP アドレスを割り当てる場合、そのアドレスを BVI に割り当てる必要があります。特権 EXEC モードから開始し、次の手順に従ってwireless deviceの BVI に IP アドレスを割り当てます。
Telnet セッションを使用した CLI へのアクセス
Telnet セッションを使用して CLI にアクセスする手順は、次のとおりです。これらの手順は、Microsoft Windows を実行する PC で Telnet 端末アプリケーションを使用する場合を想定しています。オペレーティング システムの詳細な操作方法については、お使いの PC の操作マニュアルを確認してください。
Accessories メニューに Telnet がない場合は、Start > Run の順に選択し、入力フィールドに Telnet と入力して Enter キーを押します。
ステップ 2 Telnet ウィンドウが表示されたら、Connect をクリックして、Remote System を選択します。
ステップ 3 Host Name フィールドにwireless deviceの IP アドレスを入力して、Connect をクリックします。
802.1X サプリカントの設定
ネットワークにアクセスするため認証が必要なのは PC ユーザのため、従来、dot1x 認証サーバ/クライアントの関係にはネットワーク機器と PC クライアントがそれぞれ使用されていました。しかし、無線ネットワークになってから、今までの認証サーバ/クライアントの関係とは違う手法が取り入れられました。まず、プラグが抜かれてもおかしくない、ネットワーク接続が部外者から使用されるかもしれない公衆の場にアクセス ポイントを設置できるようになりました。次に、リピータ アクセス ポイントを無線ネットワークに組み込み、そのリピータ アクセス ポイントをクライアントと同様にルート アクセス ポイントで認証されるように設定します。
どちらの手順を先に完了してもかまいませんが、サプリカントを使用する前に完了しておく必要があります。
クレデンシャル プロファイルの作成
特権 EXEC モードから、次の手順に従って 802.1X クレデンシャル プロファイルを作成します。
パラメータを無効にするには、dot1x credentials コマンドの no 形式を使用します。
次に、クレデンシャル プロファイルの作成例を示します。名称を test、ユーザ名を Cisco、暗号化されていないパスワードを Cisco とします。
Enter configuration commands, one per line. End with CTRL-Z.
ap1240AG(config)# dot1x credentials test
ap1240AG(config-dot1x-creden)#username Cisco
ap1240AG(config-dot1x-creden)#password Cisco
ap1240AG(config-dot1x-creden)#exit
インターフェイスまたは SSID にクレデンシャルを適用する方法
クレデンシャル プロファイルの適用方法は、インターフェイスに対しても SSID に対しても同じです。
クレデンシャル プロファイルを有線ポートに適用する方法
特権 EXEC モードから、次の手順に従ってクレデンシャルをアクセス ポイントの有線ポートに適用します。
|
アクセス ポイントのファースト イーサネット ポートのインターフェイス設定モードを開始します。
|
||
次の例では、アクセス ポイントのファースト イーサネット ポートまで、クレデンシャル プロファイル test を適用しています。
Enter configuration commands, one per line. End with CTRL-Z.
ap1240AG(config)#interface fa0
ap1240AG(config-if)#dot1x credentials test
アップリンクに使用する SSID にクレデンシャル プロファイルを適用する方法
無線ネットワーク内にリピータ アクセス ポイントがあり、ルート アクセス ポイントで 802.1X サプリカントを使用している場合、リピータがルート アクセス ポイントとアソシエートして認証に使用する SSID に、802.1X サプリカントのクレデンシャルを適用する必要があります。
特権 EXEC モードから、次の手順に従って、アップリンクに使用する SSID にクレデンシャルを適用します。
|
802.11 SSID を入力します。SSID には、最大 32 文字の英数字を使用できます。SSID では、大文字と小文字が区別されます。
|
||
次の例では、test という名前のクレデンシャル プロファイルを適用しています。リピータ アクセス ポイント上の適用先 SSID を testap1 としています。
Enter configuration commands, one per line. End with CTRL-Z.
repeater-ap(config-if)#dot11 ssid testap1
repeater-ap(config-ssid)#dot1x credentials test
EAP 方式プロファイルの作成と適用
EAP 方式リストを設定して、サプリカントを有効にし、特定の EAP 方式を認識するオプションも用意されています。802.1X サプリカントの EAP 方式プロファイルの作成と適用を参照してください。
