14209_01.pdf(7,261KB)この章では、wireless deviceの管理方法について説明します。この章の内容は、次のとおりです。
- ・ モード ボタンの無効化
- ・ アクセス ポイントへの不正アクセスの防止
- ・ 特権 EXEC コマンドへのアクセス防止
- ・ RADIUS によるアクセス ポイントへのアクセスの制御
- ・ TACACS+ によるアクセス ポイントへのアクセスの制御
- ・ イーサネットの速度およびデュプレックスの設定
- ・ アクセス ポイントの無線ネットワーク管理の設定
- ・ アクセス ポイントのローカル認証および許可の設定
- ・ 認証キャッシュとプロファイルの設定
- ・ DHCP サービスを提供するためのアクセス ポイントの設定
- ・ アクセス ポイントの Secure Shell の設定
- ・ クライアント ARP キャッシングの設定
- ・ システムの日時の管理
- ・ HTTP アクセスの定義
- ・ HTTP アクセスの定義
- ・ バナーの作成
- ・ Autonomous Cisco Aironet アクセス ポイントを Lightweight モードにアップグレードする方法
- ・ 日本の W52 ドメインへの移行方法
- ・ ポイントツーマルチポイント ブリッジにおける複数の VLAN とレート制限の設定
モード ボタンの無効化
コンソール ポートを搭載したアクセス ポイントのモード ボタンは、[no] boot mode-button コマンドで無効にできます。このコマンドを使用するとパスワードによるリカバリを防ぎ、権限のないユーザがアクセス ポイントの CLI にアクセスできないようにします。
モード ボタンはデフォルトで有効に設定されています。特権 EXEC モードから、次の手順に従ってアクセス ポイントのモード ボタンを無効にします。
|
モード ボタンのステータスをチェックするには、特権 EXEC モードから show boot または show boot mode-button コマンドを実行します。設定の実行時には、ステータスが表示されません。show boot と show boot mode-button コマンドを実行すると、通常次のような応答が表示されます。
ap#show boot
BOOT path-list: flash:/c1200-k9w7-mx-v123_7_ja.20050430/c1200-k9w7-mx.v123_7_ja.20050430
Config file: flash:/config.txt
Private Config file: flash:/private-config
Enable Break: no
Manual boot: no
Mode button: on
Enable IOS break: no
HELPER path-list:
NVRAM/Config file
buffer size: 32768
ap#show boot mode-button
on
ap#
アクセス ポイントへの不正アクセスの防止
権限のないユーザがwireless deviceの設定を変更したり、設定情報を表示したりするのを防ぐことができます。通常は、ネットワーク管理者からwireless deviceへのアクセスを許可し、ローカル ネットワーク内の端末またはワークステーションから接続するユーザのアクセスは制限します。
wireless deviceへの不正なアクセスを防ぐには、次のいずれかのセキュリティ機能を設定してください。
- ・ wireless deviceでローカルに保存されるユーザ名とパスワードの組み合わせ。この組み合わせによって、各ユーザはwireless deviceにアクセスする前に認証されます。また、特定の特権レベル(読み取り専用または読み取り/書き込み)をユーザ名とパスワードのそれぞれの組み合わせに指定できます。詳細は、ユーザ名とパスワードの組み合わせの設定を参照してください。デフォルトのユーザ名は Cisco、デフォルトのパスワードは Cisco です。ユーザ名とパスワードでは、大文字と小文字が区別されます。
- ・ セキュリティ サーバのデータベースに集中的に保存されたユーザ名とパスワードの組み合わせ。詳細は、RADIUS によるアクセス ポイントへのアクセスの制御を参照してください。
特権 EXEC コマンドへのアクセス防止
ネットワークで端末のアクセスを制御する簡単な方法として、パスワードの使用と特権レベルの割り当てがあります。パスワード保護は、ネットワークまたはネットワーク デバイスへのアクセスを制限します。特権レベルは、ユーザがネットワーク デバイスにログインした後に発行できるコマンドを定義します。
この項では、コンフィギュレーション ファイルと特権 EXEC コマンドへのアクセスを制御する方法について説明します。内容は次のとおりです。
- ・ デフォルト パスワードと特権レベルの設定
- ・ 静的イネーブル パスワードの設定または変更
- ・ 暗号化によるイネーブル パスワードとイネーブル シークレット パスワードの保護
- ・ ユーザ名とパスワードの組み合わせの設定
- ・ 複数の特権レベルの設定
デフォルト パスワードと特権レベルの設定
表5-1 にデフォルト パスワードと特権レベルの設定を示します。
|
デフォルトのパスワードは Cisco です。デフォルトはレベル 15(特権 EXEC レベル)です。パスワードはコンフィギュレーション ファイルで暗号化されます。 |
|
|
デフォルトの特権 パスワードは Cisco です。デフォルトはレベル 15(特権 EXEC レベル)です。パスワードはコンフィギュレーション ファイルに書き込まれる前に暗号化されます。 |
|
静的イネーブル パスワードの設定または変更
イネーブル パスワードは、特権 EXEC モードへのアクセスを制御します。
特権 EXEC モードから、次の手順に従って静的イネーブル パスワードを設定または変更します。
次の例は、イネーブル パスワードを l1u2c3k4y5 に変更する方法を示しています。パスワードは暗号化されず、レベル 15 へのアクセス(従来の特権 EXEC モードへのアクセス)を可能にします。
AP(config)# enable password l1u2c3k4y5
暗号化によるイネーブル パスワードとイネーブル シークレット パスワードの保護
セキュリティ レベルを強化するために、特にネットワークを越えるパスワードや Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバに保存されたパスワードについて、グローバル設定コマンド enable password または enable secret を使用できます。どちらのコマンドを使っても、ユーザが特権 EXEC モード(デフォルト)または指定した特権レベルにアクセスする場合に入力が要求される暗号化パスワードを設定できます。
より高度な暗号化アルゴリズムを使用しているので、 enable secret コマンドの使用をお勧めします。
enable secret コマンドを設定する場合、 enable password コマンドよりも優先されます。2 つのコマンドを同時に有効にはできません。
特権 EXEC モードから、次の手順に従ってイネーブル パスワードとイネーブル シークレット パスワードに暗号化を設定します。
イネーブル パスワードとイネーブル シークレット パスワードが両方とも定義されている場合、ユーザはイネーブル シークレット パスワードの方を入力する必要があります。
特定の特権レベル用のパスワードを定義するには、 level キーワードを指定します。レベルを指定し、パスワードを設定した後、このレベルでアクセスする必要のあるユーザだけにパスワードを与えてください。任意のレベルでアクセスできるコマンドを指定する場合は、グローバル設定コマンド privilege level を使用します。詳細は、複数の特権レベルの設定を参照してください。
パスワードの暗号化を有効にすると、ユーザ名パスワード、認証キー パスワード、特権 コマンド パスワード、コンソールと仮想端末の回線パスワードを含むすべてのパスワードに適用されます。
パスワードとレベルを削除するには、グローバル設定コマンド no enable password [ level level ] または no enable secret [ level level ] を使用します。パスワードの暗号化を無効にするには、グローバル設定コマンド no service password-encryption を使用します。
次の例は、特権レベル 2 の暗号化パスワード $1$FaD0$Xyti5Rkls3LoyxzS8 を設定する方法を示しています。
AP(config)# enable secret level 2 5 $1$FaD0$Xyti5Rkls3LoyxzS8
ユーザ名とパスワードの組み合わせの設定
ユーザ名とパスワードの組み合わせを設定できます。これは、wireless deviceでローカルに保存されます。ユーザ名とパスワードの組み合わせは、回線またはインターフェイスに割り当てられ、各ユーザがwireless deviceにアクセスする際の認証に使用されます。特権レベルを定義している場合、ユーザ名とパスワードのそれぞれの組み合わせに特定の特権レベル(アソシエートされている権利と特権を含む)を割り当てることができます。
特権 EXEC モードから、次の手順に従って、ログイン ユーザ名とパスワードを要求するユーザ名ベースの認証システムを設定します。
特定のユーザに対してユーザ名の認証を無効にするには、グローバル設定コマンド no username name を使用します。
パスワード チェック機能を無効にし、パスワードを指定しない接続を許可する場合は、回線設定コマンド no login を使用します。
複数の特権レベルの設定
デフォルトでは、Cisco IOS ソフトウェアにはユーザ EXEC モードと特権 EXEC モードという 2 つのパスワード セキュリティのモードがあります。各モードにコマンドの階層を最大 16 レベルまで設定できます。複数のパスワードを設定すると、ユーザ グループ別に特定のコマンド群へのアクセスを許可できます。
たとえば、 clear line コマンドへのアクセスを多くのユーザに許可する場合は、このコマンドにレベル 2 のセキュリティを指定し、レベル 2 のパスワードを広く配布します。一方、 configure コマンドについては、アクセスをもう少し制限する場合、このコマンドにレベル 3 のセキュリティを指定し、より限られたユーザ グループにレベル 3 のパスワードを配布します。
コマンドに対する特権レベルの設定
特権 EXEC モードから、次の手順に従って特定のコマンド モードに特権レベルを設定します。
コマンドに特権レベルを設定すると、そのコマンドの一部を構文とするコマンドもすべてそのレベルに設定されます。たとえば、 show ip route コマンドをレベル 15 に設定すると、個別に異なるレベルに設定しない限り、 show コマンドと show ip コマンドも自動的にレベル 15 に設定されます。
特定のコマンドについてデフォルトの特権に戻すには、グローバル設定コマンド no privilege mode level level command を使用します。
次の例は、 configure コマンドを特権レベル 14 に設定し、ユーザがレベル 14 のコマンドを使用する場合に入力するパスワードとして SecretPswd14 を定義する方法を示しています。
AP(config)# privilege exec level 14 configure
AP(config)# enable password level 14 SecretPswd14
特権レベルへのログインと終了
特権 EXEC モードから、次の手順に従って、指定された特権レベルにログインし、指定された特権レベルに出ます。
RADIUS によるアクセス ポイントへのアクセスの制御
この項では、Remote Authentication Dial-In User Service(RADIUS)を使用して、wireless deviceの管理者アクセス権を制御する手順について説明します。RADIUS をサポートするようにwireless deviceを設定する手順の詳細は、第13章 「RADIUS サーバと TACACS+ サーバの設定」を参照してください。
RADIUS は詳細なアカウンティング情報を提供し、認証と許可のプロセスを柔軟に管理します。RADIUS は AAA を通じて効率化され、AAA コマンドでのみ有効に設定できます。
- ・ デフォルトの RADIUS 設定
- ・ RADIUS ログイン認証の設定(必須)
- ・ AAA サーバ グループの定義(オプション)
- ・ ユーザ特権アクセスとネットワーク サービスの RADIUS 許可の設定(オプション)
- ・ RADIUS 設定の表示
デフォルトの RADIUS 設定
RADIUS と AAA は、デフォルトでは無効になっています。
セキュリティ上の危険を回避するため、ネットワーク管理アプリケーションから RADIUS を設定することはできません。RADIUS を有効にすると、Command-Line Interface(CLI;コマンドライン インターフェイス)経由でwireless deviceにアクセスするユーザを認証できます。
RADIUS ログイン認証の設定
AAA 認証を設定するには、認証方式の名前付きリストを定義し、そのリストを各種のインターフェイスに適用します。この方式リストは、実行される認証のタイプと実行順序を定義したものです。定義されたいずれかの認証方式が実行されるようにするには、この方式リストを特定のインターフェイスに適用しておく必要があります。唯一の例外は、デフォルトの方式リスト(名前は、 default )です。デフォルトの方式リストは、明示的に定義された名前付きの方式リストを持つインターフェイスを除くすべてのインターフェイスに自動的に適用されます。
方式リストには、ユーザの認証時に照会されるシーケンスと認証方式が記述されています。認証に使用するセキュリティ プロトコルを 1 つまたは複数指定できるため、最初の方法が失敗した場合でも認証のバックアップ システムが確実に機能します。ソフトウェアは、まずリストの最初の方式を使用してユーザを認証します。その方式が応答しなければ、方式リストの次の認証方式を選択します。このプロセスは、リスト内の認証方式との通信が成功するか、定義済みの方式をすべて試行するまで続けられます。このサイクルのどの認証にも失敗する場合、つまりセキュリティ サーバまたはローカル ユーザ名データベースがユーザ アクセスの拒否を応答した場合、認証プロセスは停止して、他の認証方式は試行されません。
特権 EXEC モードから、次の手順に従ってログイン認証を設定します。この手順は必須です。
|
aaa authentication login { default | list-name } method1 [ method2... ] |
|
|
|
line [ console | tty | vty ] line-number [ ending-line-number ] |
||
AAA を無効にするには、グローバル設定コマンド no aaa new-model を使用します。AAA 認証を無効にするには、グローバル設定コマンド no aaa authentication login {default | list-name } method1 [ method2... ] を使用します。ログインの RADIUS 認証を無効にするか、デフォルト値に戻すには、回線設定コマンド no login authentication { default | list-name } を使用します。
AAA サーバ グループの定義
認証時用に AAA サーバ グループを使用して既存のサーバ ホストをグループ化するようにwireless deviceを設定できます。設定されたサーバ ホストのサブセットを選択して、特定のサービスに使用します。このサーバ グループは、グローバル サーバ ホスト リストで使用されます。このリストには、選択されたサーバ ホストの IP アドレスのリストが示されています。
各ホスト エントリが一意の識別子(IP アドレスと UDP ポート番号の組み合わせ)を持っていれば、同一サーバに対する複数のホスト エントリをサーバ グループに含めることも可能です。それによって、特定の AAA サービスを提供する RADIUS ホストとして、異なるポートを個別に定義できます。同一の RADIUS サーバにアカウンティングなど同じサービスを実行する 2 つのホスト エントリを設定すると、2 番目に設定されたホスト エントリは最初のホスト エントリの故障時のバックアップとして機能します。
特定のサーバを定義済みグループ サーバにアソシエートするには、グループ サーバ設定コマンド server を使用します。IP アドレスでサーバを特定するか、オプションの auth-port および acct-port キーワードを使用して複数のホスト インスタンスまたはエントリを特定できます。
特権 EXEC モードから、次の手順に従って、AAA サーバ グループを定義し、特定の RADIUS サーバをそのグループにアソシエートします。
|
radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ] [ timeout seconds ] [ retransmit retries ] [ key string ] |
リモート RADIUS サーバ ホストの IP アドレスまたはホスト名を指定します。
wireless deviceが単一の IP アドレスと関連付けられた複数のホスト エントリを認識するように設定するには、このコマンドを必要な回数だけ入力します。その際、各 UDP ポート番号が異なっていることを確認してください。wireless device ソフトウェアは、指定された順序でホストを検索します。個々の RADIUS ホストで使用するタイムアウト、再送信、暗号キーの値を設定します。 |
|
|
特定の RADIUS サーバを定義されたサーバ グループにアソシエートします。この手順を、AAA サーバ グループの各 RADIUS サーバについて繰り返します。 |
||
|
RADIUS ログイン認証を有効にします。RADIUS ログイン認証の設定を参照してください。 |
特定の RADIUS サーバを削除するには、グローバル設定コマンド no radius-server host hostname | ip-address を使用します。設定リストからサーバ グループを削除する場合は、グローバル設定コマンド no aaa group server radius group-name を使用します。また、RADIUS サーバの IP アドレスを削除するには、サーバ グループ設定コマンド no server ip-address を使用します。
次の例では、wireless deviceは異なる 2 つの RADIUS グループ サーバ( group1 と group2 )を認識するように設定されます。group1 には、同じ RADIUS サーバで同じサービス用に設定された異なる 2 つのホスト エントリがあります。2 番目のホスト エントリは、最初のエントリに対して故障時のバックアップとして機能します。
AP(config)# radius-server host 172.20.0.1 auth-port 1000 acct-port 1001
AP(config)# radius-server host 172.10.0.1 auth-port 1645 acct-port 1646
AP(config)# aaa group server radius group1
AP(config-sg-radius)# server 172.20.0.1 auth-port 1000 acct-port 1001
AP(config)# aaa group server radius group2
AP(config-sg-radius)# server 172.20.0.1 auth-port 2000 acct-port 2001
ユーザ特権アクセスとネットワーク サービスの RADIUS 許可の設定
AAA 許可は、ユーザが使用できるサービスを制限します。AAA 許可が有効の場合、wireless deviceは、ローカル ユーザ データベースまたはセキュリティ サーバ上にあるユーザのプロファイルから取得した情報を使用して、ユーザのセッションを設定します。ユーザが要求したサービスへのアクセスを許可されるのは、ユーザ プロファイル内の情報により許可された場合だけです。
グローバル設定コマンド aaa authorization と radius キーワードを使用すると、ユーザのネットワーク アクセスを特権 EXEC モードに制限するパラメータを設定できます。
aaa authorization exec radius local コマンドは次の許可パラメータを設定します。
特権 EXEC モードから、次の手順に従って特権 EXEC アクセスとネットワーク サービスに RADIUS 許可を指定します。
|
ネットワーク関連のすべてのサービス要求に対して、ユーザが RADIUS 許可を受けるようにwireless deviceを設定します。 |
||
|
ユーザの RADIUS 許可でユーザの特権 EXEC アクセス権の有無を判断するように、wireless deviceを設定します。 exec キーワードを指定すると、ユーザ プロファイル情報( autocommand 情報など)が返される場合があります。 |
||
許可を無効にするには、グローバル設定コマンド no aaa authorization { network | exec } method1 を使用します。
RADIUS 設定の表示
RADIUS 設定を表示するには、特権 EXEC コマンド show running-config を使用します。
TACACS+ によるアクセス ポイントへのアクセスの制御
この項では、Terminal Access Controller Access Control System Plus(TACACS+)を使用してwireless deviceの管理者アクセス権を制御する手順について説明します。TACACS+ をサポートするようにwireless deviceを設定する手順の詳細は、第13章 「RADIUS サーバと TACACS+ サーバの設定」を参照してください。
TACACS+ は詳細なアカウンティング情報を提供し、認証と許可のプロセスを柔軟に管理します。TACACS+ は AAA を通じて効率化され、AAA コマンドでのみ有効に設定できます。
デフォルトの TACACS+ 設定
TACACS+ と AAA は、デフォルトでは無効になっています。
セキュリティ上の危険を回避するため、ネットワーク管理アプリケーションから TACACS+ を設定することはできません。TACACS+ を有効にすると、CLI 経由でwireless deviceにアクセスする管理者を認証できます。
TACACS+ ログイン認証の設定
AAA 認証を設定するには、認証方式の名前付きリストを定義し、そのリストを各種のインターフェイスに適用します。この方式リストは、実行される認証のタイプと実行順序を定義したものです。定義されたいずれかの認証方式が実行されるようにするには、この方式リストを特定のインターフェイスに適用しておく必要があります。唯一の例外は、デフォルトの方式リスト(名前は、 default )です。デフォルトの方式リストは、明示的に定義された名前付きの方式リストを持つインターフェイスを除くすべてのインターフェイスに自動的に適用されます。定義された方式リストは、デフォルトの方式リストよりも優先されます。
方式リストには、ユーザの認証時に照会されるシーケンスと認証方式が記述されています。認証に使用するセキュリティ プロトコルを 1 つまたは複数指定できるため、最初の方法が失敗した場合でも認証のバックアップ システムが確実に機能します。ソフトウェアは、まずリストの最初の方式を使用してユーザを認証します。その方式が応答しなければ、方式リストの次の認証方式を選択します。このプロセスは、リスト内の認証方式との通信が成功するか、定義済みの方式をすべて試行するまで続けられます。このサイクルのどの認証にも失敗する場合、つまりセキュリティ サーバまたはローカル ユーザ名データベースがユーザ アクセスの拒否を応答した場合、認証プロセスは停止して、他の認証方式は試行されません。
特権 EXEC モードから、次の手順に従ってログイン認証を設定します。この手順は必須です。
|
aaa authentication login { default | list-name } method1 [ method2... ] |
||
|
line [ console | tty | vty ] line-number [ ending-line-number ] |
||
AAA を無効にするには、グローバル設定コマンド no aaa new-model を使用します。AAA 認証を無効にするには、グローバル設定コマンド no aaa authentication login {default | list-name } method1 [ method2... ] を使用します。ログインの TACACS+ 認証を無効にするか、デフォルト値に戻すには、回線設定コマンド no login authentication { default | list-name } を使用します。
特権 EXEC アクセスとネットワーク サービスの TACACS+ 許可の設定
AAA 許可は、ユーザが使用できるサービスを制限します。AAA 許可が有効の場合、wireless deviceは、ローカル ユーザ データベースかセキュリティ サーバ上にあるユーザのプロファイルから取得した情報を使用して、ユーザのセッションを設定します。ユーザが要求したサービスへのアクセスを許可されるのは、ユーザ プロファイル内の情報により許可された場合だけです。
グローバル設定コマンド aaa authorization と tacacs+ キーワードを使用すると、ユーザのネットワーク アクセスを特権 EXEC モードに制限するパラメータを設定できます。
aaa authorization exec tacacs+ local コマンドは次の許可パラメータを設定します。
特権 EXEC モードから、次の手順に従って特権 EXEC アクセスとネットワーク サービスに TACACS+ 許可を指定します。
|
ネットワーク関連のすべてのサービス要求に対して、ユーザが TACACS+ 許可を受けるようにwireless deviceを設定します。 |
||
|
ユーザの TACACS+ 許可でユーザの特権 EXEC アクセス権の有無を判断するように、wireless deviceを設定します。 exec キーワードを指定すると、ユーザ プロファイル情報( autocommand 情報など)が返される場合があります。 |
||
許可を無効にするには、グローバル設定コマンド no aaa authorization { network | exec } method1 を使用します。
TACACS+ 設定の表示
TACACS+ サーバ統計を表示するには、特権 EXEC コマンド show tacacs を使用します。
イーサネットの速度およびデュプレックスの設定
wireless deviceのイーサネット ポートに速度およびデュプレックスの設定を割り当てることができます。wireless deviceのイーサネット ポート上の速度設定とデュプレックス設定のどちらについても、デフォルト設定の auto を使用することをお勧めします。wireless deviceがスイッチからインライン電源を受け取ったときに、速度設定またはデュプレックス設定が変更されるとイーサネット リンクがリセットされ、wireless deviceがリブートします。wireless deviceの接続先のスイッチのポートが auto に設定されていない場合、wireless deviceのポートを half または full に変更してデュプレックスの不一致を修正することができます。これによってイーサネット リンクはリセットされなくなります。ただし、half または full から auto に戻すと、リンクがリセットされ、wireless deviceがスイッチからインライン電源を受け取ると、そのwireless deviceはリブートします。
イーサネットの速度とデュプレックスは、デフォルトでは auto に設定されています。特権 EXEC モードから、次の手順に従ってイーサネットの速度とデュプレックスを設定します。
アクセス ポイントの無線ネットワーク管理の設定
wireless deviceを無線ネットワーク管理に対して有効にできます。Wireless Network Manager(WNM; 無線ネットワーク マネージャ)は無線 LAN 上のデバイスを管理します。
wireless deviceが WNM と対話するように設定するには、次のコマンドを入力します。
AP(config)# wlccp wnm ip address ip-address
WDS アクセス ポイントと WNM の間の認証ステータスをチェックするには、次のコマンドを入力します。
not authenticated、authentication in progress, authentication fail、authenticated、security keys setup のいずれかのステータスをとります。
アクセス ポイントのローカル認証および許可の設定
サーバを介さずに AAA を操作できるように設定するには、ローカル モードで AAA を実装するようにwireless deviceを設定します。wireless deviceは、認証と許可を処理します。この設定ではアカウンティングは使用できません。
特権 EXEC モードから、次の手順に従ってローカル AAA にwireless deviceを設定します。
AAA を無効にするには、グローバル設定コマンド no aaa new-model を使用します。許可を無効にするには、グローバル設定コマンド no aaa authorization { network | exec } method1 を使用します。
認証キャッシュとプロファイルの設定
認証キャッシュとプロファイル機能を使用すると、アクセス ポイントがユーザのために認証/許可応答をキャッシュできるようになります。このため、次回の認証/許可要求を AAA サーバに送信しなくて済むようになります。
この機能をサポートする次のコマンドが、Cisco IOS リリース 12.3(7) に用意されています。
次の例は、Admin 認証用に設定したアクセス ポイントの設定例です。認証キャッシュを有効に設定した状態の TACACS+ を使用しています。この例では TACACS サーバを使用していますが、アクセス ポイントは RADIUS を使用して Admin 認証用に設定できます。
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
username Cisco password 7 123A0C041104
username admin privilege 15 password 7 01030717481C091D25
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.134.229 auth-port 1645 acct-port 1646
!
aaa group server radius rad_mac
server 192.168.134.229 auth-port 1645 acct-port 1646
!
aaa group server radius rad_acct
server 192.168.134.229 auth-port 1645 acct-port 1646
!
aaa group server radius rad_admin
server 192.168.134.229 auth-port 1645 acct-port 1646
cache expiry 1
cache authorization profile admin_cache
cache authentication profile admin_cache
!
aaa group server tacacs+ tac_admin
server 192.168.133.231
cache expiry 1
cache authorization profile admin_cache
cache authentication profile admin_cache
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login default local cache tac_admin group tac_admin
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local cache tac_admin group tac_admin
aaa accounting network acct_methods start-stop group rad_acct
aaa cache profile admin_cache
all
!
aaa session-id common
!
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.133.207 255.255.255.0
no ip route-cache
!
ip http server
ip http authentication aaa
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
tacacs-server host 192.168.133.231 key 7 105E080A16001D1908
tacacs-server directed-request
radius-server attribute 32 include-in-access-req format %h
radius-server host 192.168.134.229 auth-port 1645 acct-port 1646 key 7 111918160405041E00
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
transport preferred all
transport output all
line vty 0 4
transport preferred all
transport input all
transport output all
line vty 5 15
transport preferred all
transport input all
transport output all
!
end
DHCP サービスを提供するためのアクセス ポイントの設定
次の項では、wireless deviceを DHCP サーバとして機能させる方法について説明します。
DHCP サーバの設定
デフォルトでは、アクセス ポイントは、ネットワーク上の DHCP サーバから IP 設定を受信するように設定されています。アクセス ポイントを DHCP サーバとして機能するように設定し、IP 設定を、有線 LAN と無線 LAN 両方のデバイスに割り当てることもできます。
1100 シリーズのアクセス ポイントは、デフォルト設定ではミニ DHCP サーバとして機能し、DHCP サーバから IP 設定を受信できません。ミニ DHCP サーバとして、1100 シリーズのアクセス ポイントは、そのイーサネット ポートに接続されている 1 台の PC と無線クライアント デバイスに 10.0.0.11 〜 10.0.0.30 の範囲の最大 20 個の IP アドレスを提供します。無線クライアント デバイスについては、Service Set Identifier(SSID; サービス セット ID)を使用しないように設定され、すべてのセキュリティ設定が無効になるものが対象となります。このミニ DHCP サーバの機能は、1100 シリーズのアクセス ポイントに静的 IP アドレスを割り当てると、自動的に無効になります。初期セットアップを簡単にするためのコンソール ポートがあるので、1200 シリーズのアクセス ポイントは自動的に DHCP サーバにはなりません。
DHCP 関連のコマンドとオプションの詳細は、『Cisco IOS IP Configuration Guide for Release 12.3』の「Configuring DHCP」の章を参照してください。次のリンクをクリックすると、「Configuring DHCP」の章を参照できます。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fipr_c/ipcprt1/1cfdhcp.htm
特権 EXEC モードから、次の手順に従って、アクセス ポイントが DHCP サービスを提供するように設定し、デフォルト ルータを指定します。
デフォルト設定に戻すには、これらのコマンドの no フォームを使用します。
この例では、wireless device を DHCP サーバとして設定する方法を示しています。IP アドレスの範囲は省略し、デフォルト ルータを割り当てています。
AP(config)# ip dhcp excluded-address 172.16.1.1 172.16.1.20
AP(config)# ip dhcp pool wishbone
AP(dhcp-config)# network 172.16.1.0 255.255.255.0
AP(dhcp-config)# default-router 172.16.1.1
DHCP サーバ アクセス ポイントの監視と維持
次の項では、DHCP サーバ アクセス ポイントの監視と維持に使用できるコマンドについて説明します。
- ・ Show コマンド
- ・ Clear コマンド
- ・ Debug コマンド
Show コマンド
DHCP サーバとしてのwireless deviceに関する情報を表示するには、EXEC モードで 表5-2 中のコマンドを入力します。
Clear コマンド
DHCP サーバ変数を消去するには、特権 EXEC モードで 表5-3 中のコマンドを使用します。
Debug コマンド
DHCP サーバのデバッグを有効にするには、特権 EXEC モードで次のコマンドを使用します。
debug ip dhcp server { events | packets | linkage }
wireless device DHCP サーバのデバッグを無効にするには、このコマンドの no フォームを使用します。
アクセス ポイントの Secure Shell の設定
この項では、Secure Shell(SSH)機能の設定方法について説明します。
SSH の概要
SSH は、レイヤ 2 デバイスまたはレイヤ 3 デバイスに安全なリモート接続を提供するプロトコルです。SSH には、SSH バージョン 1 と SSH バージョン 2 の 2 種類のバージョンがあります。このソフトウェア リリースでは、どちらの SSH バージョンもサポートします。バージョン番号を指定しないと、アクセス ポイントがデフォルトのバージョン 2 になります。
SSH はデバイスの認証時に強力な暗号化を行うため、Telnet よりもリモート接続の安全性が高くなります。SSH 機能では SSH サーバと SSH 統合クライアントを使用します。クライアントは次のユーザ認証方式をサポートしています。
- ・ RADIUS(詳細は、RADIUS によるアクセス ポイントへのアクセスの制御を参照)
- ・ ローカル認証と許可(詳細は、アクセス ポイントのローカル認証および許可の設定を参照)
SSH の詳細は、『Cisco IOS Security Configuration Guide for Release 12.3』の「Other Security Features」のパート 5 を参照してください。
SSH の設定
SSH を設定する前に、Cisco.com から暗号ソフトウェア イメージをダウンロードします。詳細は、このリリースのリリース ノートを参照してください。
SSH の設定方法と SSH 設定の表示方法については、『Cisco IOS Security Configuration Guide for Release 12.3』の「Other Security Features」のパート 5 を参照してください。次の Cisco.com から入手できます。
http://cisco.com/en/US/products/sw/iosswrel/ps5187/products_installation_and_configuration_guides_list.html
クライアント ARP キャッシングの設定
アソシエートされたクライアント デバイスの Address Resolution Protocol(ARP; アドレス レゾリューション プロトコル)キャッシュを保持するように、wireless deviceを設定できます。wireless deviceで ARP キャッシュを保持すると、無線 LAN のトラフィック負荷が軽減されます。ARP キャッシングはデフォルトで無効に設定されています。
クライアント ARP キャッシングの概要
wireless deviceでの ARP キャッシングは、クライアント デバイスへの ARP 要求をwireless deviceで止めることによって、無線 LAN 上のトラフィックを軽減します。wireless deviceは、ARP 要求をクライアント デバイスへ転送する代わりに、アソシエートされたクライアント デバイスに代わって ARP 要求に応答します。
ARP キャッシングを無効にすると、wireless deviceはすべての ARP 要求をアソシエートされたクライアントに無線ポート経由で転送し、ARP 要求を受け取ったクライアントが応答します。一方、ARP キャッシングを有効にすると、wireless deviceはアソシエートされたクライアントに代わって ARP 要求に応答し、クライアントへは要求を転送しません。キャッシュにない IP アドレスに向けた ARP 要求を受け取ると、wireless deviceはその要求を廃棄して転送しません。wireless deviceは、ビーコンに情報エレメントを追加して、バッテリの寿命を延ばすためのブロードキャスト メッセージを安全に無視できることをクライアント デバイスに通知します。
オプションの ARP キャッシング
アクセス ポイントにシスコ製以外のクライアント デバイスがアソシエートされ、そのデバイスがデータを通さない場合、wireless deviceがそのクライアントの IP アドレスを認識していない可能性があります。無線 LAN でこの状況が頻発する場合は、オプションの ARP キャッシングを有効にできます。ARP キャッシングがオプションの場合、wireless deviceは既知の IP アドレスのクライアントについては、その代理として応答しますが、不明なクライアント宛ての ARP 要求はすべて無線ポートから転送します。アソシエートされた全クライアントの IP アドレスを記憶すると、wireless deviceはそれらのアソシエートされたクライアント以外に対する ARP 要求を廃棄します。
ARP キャッシングの設定
特権 EXEC モードから、次の手順に従って、アソシエートされたクライアントの ARP キャッシュを保持するようにwireless deviceを設定します。
次の例に、アクセス ポイントで ARP キャッシングを設定する方法の例を示します。
システムの日時の管理
wireless deviceのシステムの時刻と日付は、Simple Network Time Protocol(SNTP; 簡易ネットワーク タイム プロトコル)を使用して自動的に管理することも、wireless deviceに時刻と日付を設定して手動で管理することもできます。
Simple Network Time Protocol の概要
Simple Network Time Protocol(SNTP)とは、クライアント専用バージョンの簡易版 Network Time ProtocolNTP; ネットワーク タイム プロトコル)です。SNTP は、NTP サーバから時間を受信のみできます。他のシステムに時刻サービスを提供することはできません。SNTP は通常、100 ミリ秒単位で正確な時間を提供しますが、NTP のように複雑なフィルタリングや統計メカニズムはありません。
SNTP は、設定済みサーバからパケットを要求して受け付けるよう設定することも、任意のソースからの NTP ブロードキャスト パケットを受け付けるよう設定することもできます。複数のソースから NTP パケットが送信された場合は、ストラタムが最良のサーバが選択されます。NTP とストラタムの詳細は、次の URL をクリックしてください。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_configuration_guide_chapter09186a00800ca66f.html#1001131
複数のサーバのストラタムが同じだった場合は、ブロードキャスト サーバよりも設定済みサーバが優先されます。基準を両方とも満たすサーバが複数ある場合は、最初に時間パケットを送信する方が選択されます。現在選択中のサーバからパケット受信が途絶えたり、または上記の基準に基づいてより最適なサーバが検出されたりしない限り、SNTP が新たにサーバを選択することはありません。
SNTP の設定
デフォルトでは、SNTP は無効に設定されています。アクセス ポイントで SNTP を有効にするには、グローバル コンフィギュレーション モードで次のいずれかまたは両方のコマンドを使用します。
NTP サーバごとに sntp server コマンドを 1 回ずつ入力してください。NTP サーバは、アクセス ポイントからの SNTP メッセージに応答できるよう設定しておく必要があります。
sntp server コマンドと sntp broadcast client コマンドの両方を入力した場合、アクセス ポイントはブロードキャスト サーバからの時間を受け付けますが、同一のストラタムと判断して設定済みサーバからの時間の方を優先します。SNTP に関する情報を表示するには、show sntp EXEC コマンドを使用します。
時刻と日付の手動設定
時刻ソースが利用できない場合は、システムの再起動後に手動で時刻と日付を設定できます。時刻は次回のシステム再起動まで正確に維持されます。手動設定は最後の手段として行うことをお勧めします。wireless deviceが同期できる外部ソースがある場合は、システム クロックを手動で設定する必要はありません。
システム クロックの設定
ネットワークに NTP サーバなどの時刻サービスを提供する外部ソースがある場合は、システム クロックを手動で設定する必要はありません。
特権 EXEC モードから、次の手順に従ってシステム クロックを設定します。
次に、システム クロックを手動で 2001 年 7 月 23 日 午後 1 時 32 分に設定する例を示します。
AP# clock set 13:32:00 23 July 2001
時刻と日付の設定の表示
日付と時刻の設定を表示するには、 show clock [ detail ] 特権 EXEC コマンドを使用します。
システム クロックは、時間の信頼性(正確性)を示す authoritative フラグを表示し続けます。システム クロックが NTP などの時刻ソースで設定されている場合は、このフラグが設定されます。信頼できない場合、時刻は表示のみに使用されます。ピアの時刻が無効になった場合、クロックが信頼でき、 authoritative フラグが設定されるまで、このフラグがピアのクロックとの同期を防ぎます。
show clock の前に表示される記号には次のような意味があります。
タイム ゾーンの設定
特権 EXEC モードから、次の手順に従ってタイム ゾーンを手動で設定します。
|
wireless deviceは内部時間を Universal Time Coordinated(UTC; 協定世界時)で維持するため、このコマンドは表示専用で、時刻を手動で設定するときにのみ使用されます。 |
||
グローバル設定コマンド clock timezone の minutes-offset 変数は、ローカル タイム ゾーンの UTC との時差が 1 時間未満の単位である場合に使用できます。たとえば、大西洋沿岸カナダの一部地域のタイム ゾーン(AST)は UTC-3.5 です。3 は 3 時間を、5 は 50 パーセントを意味します。この場合、コマンドを clock timezone AST -3 30 と指定することになります。
時刻を UTC に設定するには、グローバル設定コマンド no clock timezone を使用します。
サマー タイム(夏時間)の設定
特権 EXEC モードから、次の手順に従って、毎年、特定の日付(曜日)に開始および終了するサマータイム(夏時間)を設定します。
グローバル設定コマンド clock summer-time の最初の部分は、サマー タイムの開始時を、2 番目の部分は終了時を指定します。すべての時間は ローカル タイム ゾーンを基準にします。開始時間は標準時が基準になります。終了時間はサマー タイムが基準になります。開始月が終了月より後の場合、自動的に南半球であると解釈されます。
次の例では、4 月の第 1 日曜日の 02:00 に開始し、10 月の最終日曜日の 02:00 に終了するサマー タイムの指定方法を示します。
AP(config)# clock summer-time PDT recurring 1 Sunday April 2:00 last Sunday October 2:00
ユーザ居住地域のサマー タイムが定期的なパターンに従わない場合、特権 EXEC モードから、次の手順に従って、次のサマー タイム イベントの日付と時間を正確に設定します。
グローバル設定コマンド clock summer-time の最初の部分は、サマー タイムの開始時を、2 番目の部分は終了時を指定します。すべての時間は ローカル タイム ゾーンを基準にします。開始時間は標準時が基準になります。終了時間はサマー タイムが基準になります。開始月が終了月より後の場合、自動的に南半球であると解釈されます。
サマー タイムを無効にするには、グローバル設定コマンド no clock summer-time を使用します。
次の例では、2000 年 10 月 12 日 02:00 に開始し、2001 年 4 月 26 日 02:00 に終了するサマー タイムの設定方法を示します。
AP(config)# clock summer-time pdt date 12 October 2000 2:00 26 April 2001 2:00
HTTP アクセスの定義
デフォルトでは、80 が HTTP アクセスに使用され、ポート 443 が HTTPS アクセスに使用されます。この値は、ユーザがカスタマイズできます。HTTP アクセスの定義方法は、次のとおりです。
ステップ 2 この画面に、目的の HTTP と HTTPS のポート番号を入力します。このポート番号フィールドに値を入力しないと、デフォルト値が使用されます。
システム名とプロンプトの設定
wireless deviceを識別するシステム名を設定します。デフォルトでは、システム名とプロンプトは ap です。
システム プロンプトを設定しない場合、システム名の最初の 20 文字がシステム プロンプトとして使用されます。大なり記号(>)が追加されます。プロンプトは、システム名が変更されると必ず更新されますが、グローバル設定コマンド prompt を使用して手動でプロンプトを設定している場合は更新されません。
デフォルトのシステム名とプロンプトの設定
アクセス ポイントのデフォルトのシステム名とプロンプトは ap です。
システム名の設定
特権 EXEC モードから、次の手順に従ってシステム名を手動で設定します。
|
|
||
システム名を設定すると、その名前がシステム プロンプトとしても使用されます。
デフォルトのホスト名に戻すには、グローバル設定コマンド no hostname を使用します。
DNS の概要
DNS プロトコルは Domain Name System(DNS; ドメイン ネーム システム)を制御します。これはホスト名を IP アドレスにマッピングする際に使用する分散型データベースです。wireless deviceに DNS を設定すると、 ping 、 telnet 、 connect 、および関連する Telnet サポート操作で、IP アドレスの代わりにホスト名を使用できます。
IP は階層命名方式を定義します。この方式では場所またはドメインでデバイスを特定することができます。ドメイン名はピリオド(.)を区切り文字として連結できます。たとえば、シスコ システムズは IP ではドメイン名 com で特定される民間組織です。このためドメイン名は cisco.com になります。このドメイン内の File Transfer Protocol(FTP; ファイル転送プロトコル)システムなどの個々のデバイスは ftp.cisco.com のように識別されます。
ドメイン名を追跡するために、IP は IP アドレスにマッピングされた名前のキャッシュ(またはデータベース)を保持するドメイン ネーム サーバの概念を定義しています。ドメイン名を IP アドレスにマッピングするには、まずホスト名を特定し、ネットワーク上に存在するネーム サーバを特定し、DNS を有効にします。
- ・ デフォルトの DNS 設定
- ・ DNS の設定
- ・ DNS 設定の表示
デフォルトの DNS 設定
表5-5 にデフォルトの DNS 設定を示します。
DNS の設定
特権 EXEC モードから、次の手順に従って DNS を使用するようにwireless deviceを設定します。
wireless deviceの IP アドレスをホスト名として使用する場合、このIP アドレスが使用されるため DNS クエリは作成されません。ピリオド(.)を含まないホスト名を設定すると、名前を IP アドレスにマッピングする DNS クエリが作成される前に、ホスト名の後にピリオドとデフォルトのドメイン名が追加されます。デフォルトのドメイン名は、グローバル設定コマンド ip domain-name で設定される値です。ホスト名にピリオド(.)が含まれている場合、Cisco IOS ソフトウェアはホスト名にデフォルトのドメイン名を追加せずに、IP アドレスを検索します。
ドメイン名を削除するには、グローバル設定コマンド no ip domain-name name を使用します。ネーム サーバ アドレスを削除するには、グローバル設定コマンド no ip name-server server-address を使用します。wireless deviceで DNS を無効にする場合は、グローバル設定コマンド no ip domain-lookup を使用します。
DNS 設定の表示
DNS 設定情報を表示するには、 show running-config 特権 EXEC コマンドを使用します。
バナーの作成
message-of-the-day(MOTD)バナーとログイン バナーを設定できます。MOTD バナーはログイン時に、接続されたすべての端末に表示されます。すべてのネットワーク ユーザに影響するメッセージ(差し迫ったシステム シャットダウンの通知など)を送信する場合に便利です。
ログイン バナーも接続されたすべての端末に表示されます。これは MOTD バナーの後、ログイン プロンプトの前に表示されます。
デフォルトのバナー設定
デフォルトでは、MOTD バナーとログイン バナーは設定されていません。
Message-of-the-Day ログイン バナーの設定
wireless deviceにログインしたときに画面に表示される 1 行または複数行のメッセージ バナーを作成できます。
特権 EXEC モードから、次の手順に従って MOTD ログイン バナーを設定します。
|
message-of-the-day(今日のメッセージ)を指定します。 c にはシャープ記号(#)など希望する区切り文字を入力し、 Return キーを押します。区切り文字は、バナー テキストの開始と終了を指定します。終了区切り文字より後の文字は破棄されます。 |
||
MOTD バナーを削除するには、グローバル設定コマンド no banner motd を使用します。
次の例は、開始および終了区切り文字にシャープ記号(#)を使用して、wireless deviceに MOTD バナーを設定する方法を示しています。
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
ログイン バナーの設定
接続したすべての端末に表示されるログイン バナーを設定できます。このバナーは MOTD バナーの後、ログイン プロンプトの前に表示されます。
特権 EXEC モードから、次の手順に従ってログイン バナーを設定します。
|
c にはシャープ記号(#)など希望する区切り文字を入力し、 Return キーを押します。区切り文字は、バナー テキストの開始と終了を指定します。終了区切り文字より後の文字は破棄されます。 |
||
ログイン バナーを削除するには、グローバル設定コマンド no banner login を使用します。
次の例は、開始および終了区切り文字にドル記号($)を使用して、wireless deviceにログイン バナーを設定する方法を示しています。
Access for authorized users only. Please enter your username and password.
Autonomous Cisco Aironet アクセス ポイントを Lightweight モードにアップグレードする方法
ネットワーク上で無線 LAN コントローラと通信できるよう、Autonomous Cisco Aironet アクセス ポイントを Lightweight モードにアップグレードするユーティリティが用意されています。このアップグレード ユーティリティの使用方法の詳細は、次の URL をご覧ください。
http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_technical_reference09186a00804fc3dc.html#wp156967
日本の W52 ドメインへの移行方法
このユーティリティは、802.11a 無線を J52 から W52 ドメインに移行する際に使用します。このユーティリティは、1130 と 1240 アクセスポイントで動作するほか、RM20、RM21 および RM22A 無線を装備した 1200 アクセスポイントで動作します。802.11a 無線が付属していないアクセス ポイントには、この移行はサポートされていません。
次のインターフェイスのグローバル コンフィギュレーション モードの CLI コマンドを使用して、アクセス ポイントの 802.11a 無線を W52 ドメインに移行します。
警告メッセージが表示されたら、y を入力します。移行プロセスが始まり、アクセス ポイントが 2 回リブートしたら完了です。無線ハードウェアをリセットすると、ファームウェア初期化コードが規制ドメインを読み取って初期化します。ハードウェアをリセットすると、ファームウェアをリロードし、無線のイメージをフラッシュしてから初期化処理を進めます。無線が規制ドメインを選択していることを確認するため、アクセス ポイントが 2 回目のリブートを開始します。
ap(config)interface dot11radio0
ap(config-if)#dot11 migrate j52 w52
Migrate APs with 802.11A Radios in the "J"
Regulatory Domain to the "U" Regulatory Domain.
The "J" domain allows J52 frequencies, the "U" domain allows W52 frequencies
WARNING: This migration is permanent and is not reversible, as required by law.
WARNING: Once migrated, the 802.11A radios will not operate with previous OS versions.
WARNING: All migrated APs will reboot.
WARNING: All migrated APs must be promptly reported to the manufacturer.
This AP is eligible for migration:
ap AIR-AP1242AG-A-K9 0013.5f0e.d1e0 "J" Regulatory Domain
Begin to migrate Access Point from J (J52) to U (W52).do you want to Continue ? (yes/[no]):yes
Burning cookie into serial eeprom:
Reading cookie from system serial eeprom...done.
Writing cookie into system serial eeprom...done.
*Mar 1 00:09:13.844: %DOT11-4-UPGRADE: **** Send your company name and the following report to: migrateapj52w52@cisco.com
The following AP has been migrated from J(J52) to U(W52) Regulatory Domain:
ap AIR-AP1242AG-A-K9 0013.5f0e.d1e0 "U" Regulatory Domain
*Mar 1 00:09:13.844: Convert Regulatory Domain from J (J52) to U (W52). Writing AP nvram.
*Mar 1 00:09:14.060: %SYS-5-RELOAD: Reload requested by Exec. Reload Reason: CONVERT REGULATORY DOMAIN FROM J to U
Begin to migrate Access Point from J (J52) to U (W52).do you want to Continue ? (yes/[no]):no
移行の確認
show controllers コマンドを使用して、次の例に示すように移行を確認します。
ap#show controllers dot11Radio 1
Radio AIR-AP1242A, Base Address 0013.5f0e.d1e0, BBlock version
Number of supported simultaneous BSSID on Dot11Radio1: 8
Carrier Set: Japan (UNI1) (JP )
Uniform Spreading Required: No
Current Frequency: 0 MHz Channel 0
Allowed Frequencies: 5180(36) 5200(40) 5220(44) 5240(48)
Listen Frequencies: 5170(34) 5190(38) 5210(42) 5230(46) 5180(36)
5200(40) 5220(44) 5240(48) 5260(52) 5280(56) 5300(60) 5320(64)
5500(100) 5520(104) 5540(108) 5560(112) 5580(116) 5600(120)
5620(124) 5640(128) 5660(132) 5680(136) 5700(140) 5745(149)
5765(153) 5785(157) 5805(161) 5825(165)
Beacon Flags: 0; Beacons are disabled; Probes are disabled High Density mode disabled
Local Rx sensitivity (Config -127, Max -57, Min -17, Active 0) dBm
Cell Rx sensitivity -80 dBm, CCA Sensitivity -60 dBm, Tx Power 127 dBm
Allowed Power Levels: -1 2 5 8 11 14 15 17
Allowed Client Power Levels: 2 5 8 11 14 15 17
Current Rates: basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
Allowed Rates: 6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0
Best Range Rates: basic-6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0
Best Throughput Rates: basic-6.0 basic-9.0 basic-12.0 basic-
18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
ポイントツーマルチポイント ブリッジにおける複数の VLAN とレート制限の設定
この機能は、ポイントツーマルチポイント ブリッジング方法を変更したもので、複数の VLAN で動作しながら各 VLAN でトラフィック レートを管理できるように設定するものです。この機能は、ブリッジ(1240 シリーズ)と 1300 シリーズ アクセス ポイント/ブリッジとして設定した 32 MB アクセス ポイントで利用できます。16MB アクセス ポイント(1100、1200、350 シリーズ)では利用できません。
通常、複数の VLAN をサポートしていると、別々の VLAN 上にある各リモート サイトでポイントツーマルチポイント ブリッジ リンクを設定できます。この設定では、各サイトへのトラフィックを切り分けて管理できてしまいます。レート制限機能は、リンク帯域幅全体のうち指定した量以上を消費しないようリモート サイトに設定するものです。アップリンク トラフィックを管理できるのは、非ルート ブリッジのファースト イーサネット入力ポートからのみです。
クラスベースのポリシング機能を使用すると、レート制限を指定して、これを非ルート ブリッジのイーサネット インターフェイスの入力に適用できます。イーサネット インターフェイスの入力にレートを適用すると、すべての受信イーサネット パケットが設定したレートに適合します。
次の設定は、class-map コマンドを使用したトラフィック クラスの定義方法を示しています。また policy-map コマンドで、サービス ポリシングに設定したトラフィック ポリシング設定をトラフィック クラスの基準と関連付ける方法を示しています。この例では、ファースト イーサネット 0 インターフェイスの受信パケットすべてに対して、トラフィック ポリシングは平均レートの 8000 ビット/秒、および通常バースト サイズの 1000 バイトで設定されています。
AP(config)#class-map sample_class
AP(config)#policy-map police setting
AP(config-pmap)#class sample_class
AP(config-pmap)#police 8000 1000 conform-action transmit exceed-action drop
AP(config-if)#service-policy input police-setting
CLI コマンド
802.11Q タグを受信イーサネット パケットすべてに追加するには、bridge non-root client vlan <vlan id> コマンドを使用します。このコマンドは、非ルート ブリッジだけに適用できます。
