このドキュメントでは、Cisco LEAP 認証を使用する Cisco Aironet ワイヤレス ブリッジを使用してポイントツーポイントワイヤレスのリンクを確立する方法について説明します。
この設定を開始する前に、次の項目に関する基本的な知識を必ず取得しておきます。
ワイヤレス ブリッジの基本的なパラメータの設定
Aironet 802.11a/b/g Wireless LAN(WLAN)クライアント アダプタの設定
拡張認証プロトコル(EAP)認証方式
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
Cisco IOS® ソフトウェア リリース 12.3(7)JA ファームウェアが稼働している、2 台の Aironet 1300 シリーズ ワイヤレス ブリッジ
ファームウェア バージョン 2.5 が稼働している、2 台の Aironet 802.11a/b/g クライアント アダプタ
注: このドキュメントでは、一体型アンテナ装備のワイヤレス ブリッジが使用されています。 外部アンテナを必要とするワイヤレス ブリッジを使用する場合は、アンテナがワイヤレス ブリッジに接続されていることを確認します。 そうでない場合は、ブリッジはワイヤレス ネットワークに接続できません。 特定のワイヤレス ブリッジ モデルには一体型アンテナが装備されていますが、他のモデルでは一般的な操作に外部アンテナが必要です。 内部アンテナまたは外部アンテナが付いているブリッジ モデルについての詳細は、適切なデバイスの注文ガイドまたは製品ガイドを参照してください。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
このドキュメントでは、次のネットワーク構成を使用しています。
このセットアップでは 2 台の Aironet 1300 シリーズ ワイヤレス ブリッジを使用します。 1 台のブリッジはルート ブリッジのモード、もう 1 台のブリッジは非ルート ブリッジのモードに設定されています。 クライアント A はルート ブリッジ、クライアント B は非ルート ブリッジに関連付けられます。 ネットワーク図に示すように、すべてのデバイスは 10.0.0.0/24 の範囲の IP アドレスを使用します。 この設定は、ブリッジ間のポイントツーポイント ワイヤレス接続を確立します。 ワイヤレス ブリッジが通信できるようになる前に、相互に認証されている必要があります。 ブリッジは次のいずれか認証方式を使用します。
オープン認証
共有キー認証
EAP 認証
このドキュメントでは、認証に LEAP を使用し、クレデンシャルを検証するためにルート ブリッジのローカル RADIUS サーバを使用します。
注: このドキュメントでは、ワイヤレス ブリッジと関連づけるためにクライアント アダプタを設定する方法については説明していません。 このドキュメントでは、ルート ブリッジと非ルート ブリッジ間のポイントツーポイント接続の設定を中心に説明します。 WLAN に参加するようにワイヤレス クライアント アダプタを設定する方法の詳細については、『基本的な無線 LAN 接続の設定例』を参照してください。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
ワイヤレス ブリッジは、多くの場合は別々の建物にある 2 つ以上の LAN をワイヤレス インターフェイス経由で接続するレイヤ 2 デバイスです。 ワイヤレス ブリッジは、データ量の多いアプリケーションやライン オブ サイト アプリケーション向けに、高いデータ レートと優れたスループットを提供します。 ワイヤレス ブリッジ間の高速リンクは、わずかなコストで、E1/T1 回線より何倍も高速のスループットを実現します。 このように、ワイヤレス ブリッジは、高価な専用回線や光ファイバ ケーブルを必要としません。 ワイヤレス ブリッジを使用して次のネットワークを接続できます。
配線が難しいサイト
隣接していないフロア
一時的なネットワーク
倉庫
その他のネットワーク
ワイヤレス ブリッジで接続する LAN は、有線 LAN または無線インターフェイス経由でワイヤレス ブリッジに接続できます。 ポイントツーポイントおよびポイントツーマルチポイント用のワイヤレス ブリッジを設定できます。 このドキュメントでは、ポイントツーポイント接続用のワイヤレス ブリッジを設定します。
このセクションでは、ルート ブリッジとしてワイヤレス ブリッジを設定するための情報を提供しています。
GUI から 1300 ワイヤレス ブリッジにアクセスし、[Summary Status] ウィンドウに移動します。
次の手順を実行します。
Web ブラウザを開き、アドレス行に IP アドレスを入力します。
個の例では、ルート ブリッジに IP アドレス 10.0.0.1 を使用します。 ワイヤレス ブリッジに IP アドレスを割り当てる方法の詳細については、『アクセス ポイントとブリッジの最初の設定』ドキュメントの「IP アドレスの取得と割り当て」セクションを参照してください。
Tab キーを押して [Username] フィールドをバイパスし、[Password] フィールドに進みます。
Enter Network Password ウィンドウが表示されます。
パスワード「Cisco」を大文字小文字をこのとおりに入力して、Enter キーを押します。
Summary Status ウィンドウが、次の例のように表示されます。
無線インターフェイスを設定します。
無線インターフェイスをイネーブルにし、ルート ブリッジとして定義します。
この無線インターフェイスはルート ブリッジのワイヤレス インターフェイスとして機能します。
注: Cisco IOS ソフトウェア リリース 12.3(7)JA が稼働している 1300 ワイヤレス ブリッジでは、無線インターフェイスがデフォルトで無効になっています。
次の手順を実行します。
[Network Interfaces] > [Radio0-802.11G] > [Settings] の順に選択します。
[Network Interfaces: Radio0-802.11G Settings] ウィンドウが表示されます。 このウィンドウを使用し、無線インターフェイスに関連するさまざまなパラメータを設定できます。 次のパラメータがあります。
無線ネットワークでの役割
無線データ レート
無線送信電力
無線チャネルの設定
アンテナの設定
その他のパラメータ
[Enable Radio] で [Enable] をクリックして、無線インターフェイスをイネーブルにします。
ワイヤレス ブリッジでルート モードを有効にします。
[Role in Radio Network] で [Root Bridge] をクリックします。
注: [Role in Radio Network] パラメータを使用すると、ワイヤレス ブリッジを次のように設定できます。
ルート ブリッジ
非ルート ブリッジ
ワイヤレス クライアントを持つルート ブリッジ
ワイヤレス クライアントを持つ非ルート ブリッジ
ルート アクセス ポイント(AP)
リピータ AP
ワークグループ ブリッジ
スキャナ
インストール モード
ワイヤレス ブリッジに関連付けられたワイヤレス クライアントがある状態でルート ブリッジと非ルート ブリッジのモード用にワイヤレス ブリッジを設定する場合は、[ole in Radio Network] パラメータに [Root Bridge with Wireless Clients] または [Non-Root Bridge with Wireless Clients] を選択する必要があります。 この方法では、ワイヤレス ブリッジはルート ブリッジまたは非ルート ブリッジとして機能し、ワイヤレス クライアントの関連付けも受け入れます。
注: IEEE 802.11b 標準のブリッジを使用するか、または 1300 ワイヤレス ブリッジの 802.11b クライアントがある場合は、直交周波数分割多重(OFDM)データ レートに対して [Require] を選択していないことを確認します。 これらのデータ レートに対して [Require] を選択すると、デバイスが関連付けられません。 デバイスが関連付けられないのは、802.11b デバイスで IEEE 802.11g 標準に基づいて動作する OFDM レートがサポートされていないためです。 [Network Interfaces: Radio0-802.11G Settings] ウィンドウの例では、OFDM データ レートのレートの横にアスタリスク(*)が表示されます。 また、この例の設定では、802.11g 環境で動作する 802.11b デバイスのデータ レートを設定する方法も示されています。
[Distance (Km)] パラメータに 1 を入力し、他のパラメータはデフォルト値のまま変更せず、ウィンドウの下部にある [Apply] をクリックします。
注: このドキュメントでは互いに近くに配置された一体型(移動できない)アンテナのポイントツーポイント設定について説明します。 ブリッジの間隔は、1 km 以内です。 このため、他のすべての無線パラメータはデフォルト値のままにしています。 ただし、他のパラメータの設定が必要になる場合があります。 他のパラメータの設定が必要になるかどうかは、これらのワイヤレス ブリッジが導入される環境や使用するアンテナのタイプによって異なります。 ユーザが設定できる他のパラメータを次に示します。
アンテナ ゲイン
無線距離
注: これはブリッジ間の距離です。
送信アンテナと受信アンテナの定義
通信に使用する電力レベル
その他のパラメータ
注: これらのパラメータを計算するには、『屋外でのブリッジ範囲計算に関するユーティリティ』を参照してください。 良好なスループットとパフォーマンスを確実にするため、ブリッジを導入する前にこのユーティリティを必ず使用してください。 ワイヤレス ブリッジに無線インターフェイスの他のパラメータを設定する方法の詳細については、『無線の設定』を参照してください。
ワイヤレス ブリッジを認証するために、ローカル RADIUS サーバを使用する LEAP 認証を有効にします。
ルート ブリッジで LEAP 認証を設定し、ルート ブリッジに対して認証するために LEAP クライアントとして非ルート ブリッジを設定します。 次の手順を実行します。
左側のメニューで [Security] > [Server Manager] を選択し、[Corporate Servers] で次のパラメータを定義し、[Apply] をクリックします。
RADIUS サーバの IP アドレス
注: ローカル RADIUS サーバの場合は、AP の IP アドレスを使用します。 この例では、使用する IP アドレスはルート ブリッジの IP アドレス 10.0.0.1 です。
認証ポートおよびアカウンティング ポート
RADIUS サーバの共有秘密
注: この例では、共有秘密は Cisco です。
注: ローカル RADIUS サーバは、ポート 1812 と 1813 で受信します。
このウィンドウの [Default Server Priorities] エリアで、ローカル RADIUS サーバの IP アドレスを選択し、[Apply] をクリックします。
WEP 暗号化を有効にするには、次の手順を実行します。
注: LEAP 認証では WEP 暗号化を有効にする必要があります。
[Security] > [Encryption Manager]を選択します。
[Encryption Modes] エリアでは、[WEP Encryption] に [Mandatory] を選択し、[Cipher] の横にあるドロップダウン メニューから [WEP 128 bit] を選択します。
[Encryption Keys] エリアで、[Key Size] に [128 bit] を選択し、暗号キーを入力します。
注: この暗号キーは、非ルート ブリッジに設定した暗号キーと一致している必要があります。
この例では、暗号キーは 1234567890abcdef1234567890 です。
次に例を示します。
ブリッジが通信に使用する新しい Service Set Identifier(SSID)を作成します。
次の手順を実行します。
左側のメニューで [Security] > [SSID Manager] の順に選択します。
[SSID Manager] ウィンドウが表示されます。
[SSID] フィールドに新しい SSID を入力します。
この例では、SSID として Cisco を使用しています。
[Authentication Settings] エリアで [Network EAP] チェックボックスをオンにし、[Apply] をクリックします。
これによって、LEAP 認証が有効になります。
次に例を示します。
注: Cisco IOS ソフトウェア リリース 12.3(4)JA 以降では、SSID をグローバルに設定できる他、特定の無線インターフェイスに適用することもできます。 SSID をグローバルに設定するには、『複数の SSID の設定』ドキュメントの「SSID をグローバルに作成する」セクションを参照してください。 また、Cisco IOS ソフトウェア リリース 12.3(7)JA には、デフォルトの SSID は存在しません。
[Global Radio0-802.11G Properties] エリアまで下にスクロールし、次の手順を実行します。
[Set Guest Mode SSID] と [Set Infrastructure SSID] ドロップダウン メニューの両方に、設定した SSID を選択します。
この例では [Cisco] を選択します。
[Force Infrastructure Devices to associate only to this SSID] チェックボックスをオンにします。
これにより、SSID Cisco がインフラストラクチャ SSID として設定され、この SSID のゲスト モードが有効になります。
ローカル RADIUS サーバのパラメータを設定します。
[Security] > [Local Radius Server] を選択し、[General Set-Up] タブをクリックします。
[Local Radius Server Authentication Settings] エリアで、[LEAP] をクリックします。
[Network Access Server (AAA Client)] エリアで、RADIUS サーバの IP アドレスおよび共有秘密を定義し、[Apply] をクリックします。
ローカル RADIUS サーバの場合は、AP の IP アドレスを使用します。
次に例を示します。
[Individual Users] エリアで個々のユーザを定義し、[Apply] をクリックします。
設定したユーザ名とパスワードは、LEAP クライアントのユーザ名とパスワードと一致する必要があります。 この例では、これらのフィールドは非ルート ブリッジのユーザ名とパスワードと一致する必要があります。 この例のユーザ名は NonRoot、パスワードは Cisco123 です。
注: グループはオプションです。 グループ属性は Active Directory に渡されないため、ローカルでしか意味を持ちません。 基本設定が正常に動作していることを確認した後、グループを追加できます。
これでルート ブリッジが設定され、クライアントと非ルート ブリッジに関連付ける準備が整いました。 この設定を完了してポイントツーポイント ワイヤレス接続を確立するために、非ルート ブリッジを設定します。
Telnet を使用してブリッジを設定するため、CLI を使用することもできます。
!--- These commands enable the local radius server on the bridge !--- and ensure that local radius server is used for authentication: bridge#aaa new-model bridge#aaa group server radius rad_eap server 10.0.0.1 auth-port 1812 acct-port 1813 bridge#aaa authentication login eap_methods group rad_eap bridge(config)#station role root bridge(config)#distance 1 !--- This commands enters the bridge into the local server config mode: bridge(config)#radius-server local !--- By default LEAP, EAPFAST, and MAC authentications are !--- supported. Using the no form for other 2 types ensures !--- that LEAP is used for authentication. bridge(config-radsrv)#no authentication eapfast bridge(config-radsrv)#no authentication mac bridge(config)#interface dot11radio 0 bridge(config-if)#ssid bridge !--- This command enables EAP authentication for the SSID. bridge(config-if-ssid)#authentication network-eap rad_eap !--- This step is optional. !--- This value seeds the initial key for use with broadcast !--- [255.255.255.255] traffic. If more than one VLAN is !--- used, then keys must be set for each VLAN. bridge(config-if)#encryption vlan 1 key 1 size 128bit 12345678901234567890123456 transmit-key !--- This defines the policy for the use of Wired !--- Equivalent Privacy (WEP). If more than one VLAN is used, !--- the policy must be set to mandatory for each VLAN. bridge(config-if)#encryption vlan 1 mode wep mandatory bridge(config)#user cisco password cisco123
このセクションでは、非ルート ブリッジとしてワイヤレス ブリッジを設定するための情報を提供しています。 非ルート ブリッジは、ルート ブリッジのローカル RADIUS サーバに対して LEAP クライアントとして認証されます。
GUI からワイヤレス ブリッジにアクセスし、[Summary Status] ウィンドウに移動します。
「ルート ブリッジを設定する」セクションのステップ 1 の手順を完了し、[Summary Status] ウィンドウに移動します。
注: 非ルート ブリッジは IP アドレス 10.0.0.2 で設定されます。
次のウィンドウが表示されます。
通信に使用する SSID を設定します。
左側のメニューで [Security] > [SSID Manager] の順に選択します。
[SSID Manager] ウィンドウが表示されます。
[SSID] フィールドでルート ブリッジに設定したのと同じ SSID を入力します。
[Authentication Settings] エリアで [Network EAP] チェックボックスをオンにします。
[General Settings] パラメータまで下にスクロールし、[EAP Client] のユーザ名とパスワードを定義し、[Apply] をクリックします。
LEAP 認証が正しく動作するには、このユーザ名とパスワードが RADIUS サーバに存在する必要があります。 この例では、ユーザ名とパスワードはルート ブリッジのローカル RADIUS サーバに存在する必要があります。 ローカル RADIUS サーバに設定済みのユーザ名 NonRoot 、パスワード Cisco123 を使用します。
このウィンドウの [Global Radio0-802.11G SSID Properties] エリアまで下にスクロールし、次の手順を実行します。
[Set Guest Mode SSID] と [Set Infrastructure SSID] ドロップダウン メニューの両方に、設定した SSID を選択します。
この例では [Cisco] を選択します。
[Force Infrastructure Devices to associate only to this SSID] チェックボックスをオンにします。
これにより、SSID Cisco がインフラストラクチャ SSID として設定され、この SSID のゲスト モードが有効になります。
無線インターフェイスを有効にして、非ルート モードの無線インターフェイスを設定します。
次の手順を実行します。
無線インターフェイスを有効にして、非ルート ブリッジとして定義します。
注: 無線インターフェイスはデフォルトで無効にされています。
次の手順を実行します。
[Network Interfaces] > [Radio0-802.11G] > [Settings] の順に選択します。
[Network Interfaces: Radio0-802.11G Settings] ウィンドウが表示されます。
[Enable Radio] で [Enable] をクリックして、無線インターフェイスをイネーブルにします。
ワイヤレス ブリッジで非ルート モードを有効にします。
次の手順を実行します。
[Role in Radio Network] で [Non-Root Bridge] をクリックします。
[Distance (Km)] パラメータに 1 を入力し、他のパラメータはデフォルト値のまま変更せず、ウィンドウの下部にある [Apply] をクリックします。
LEAP クライアントとして非ルート ブリッジを設定します。
[Security] > [Encryption Manager]を選択します。
[Encryption Modes] エリアでは、[WEP Encryption] に [Mandatory] を選択し、[Cipher] の横にあるドロップダウン メニューから [WEP 128 bit] を選択します。
[Encryption Keys] エリアで、[Key Size] に [128 bit] を選択し、暗号キーを入力します。
ルート ブリッジで使用したのと同じ WEP 暗号キーを使用する必要があります。 この例では、暗号キーは 1234567890abcdef1234567890 です。
Telnet を使用して設定するには、CLI を使用できます。
この例では、SSID bridgeman の LEAP ユーザ名とパスワードを設定します。
bridge#configure terminal bridge(config)#configure interface dot11radio 0 bridge(config)#station role non-root bridge(config-if)#ssid bridge !--- This command configures the user name and password for Leap authentication: bridge(config-ssid)#authentication client username cisco password cisco123 bridge(config-ssid)#end
このセクションを使用し、ブリッジが互いに関連付けできることを確認します。
ポイントツーポイント接続のためにワイヤレス ブリッジを設定した後、ルート ブリッジで設定したローカル RADIUS サーバは LEAP を使用して認証を実行します。
LEAP 認証が正しく動作することを確認するには、ルート ブリッジで Summary Status レポートが次の例のように表示されることを確認します。
Association テーブルが次のように表示されることを確認します。
非ルート ブリッジの Association テーブルが次のように表示されることを確認します。
ポイントツーポイント接続を確認するには、ping テストを使用します。
[Association] > [Ping/Link Test] の順に選択します。
ping の出力は、ワイヤレス ブリッジ間のポイントツーポイント接続が確立されていることを確認します。
これでワイヤレス ブリッジ間のポイントツーポイント接続が確立されたので、ワイヤレス ブリッジに接続するエンド クライアント間の接続を確認します。
クライアント アダプタを設定すると、クライアントはブリッジに関連付けられます。 この例では、クライアント A が関連付けられたルート ブリッジの [Summary Status] ウィンドウを示します。
クライアント A でのコマンド プロンプトからの ping テストの出力は、クライアント B に到達可能なことを確認します。 クライアント A の ping テストの例を次に示します。
ワイヤレス ブリッジ間の接続をトラブルシューティングするには、次の項目を確認します。
ブリッジの役割が適切に設定されていることを確認します。
セキュリティ設定が両方のブリッジで同一であることを確認します。 ワイヤレス設定(チャネルや SSID など)は、両方のブリッジで同一に設定する必要があります。
最も輻輳の少ないチャネルが選択されていることを確認します。 ブリッジ間のパスの干渉を最小にする必要があります。
適切なアンテナが無線で使用されているかどうかを確認します。
最大信号を受信するために、両方のアンテナが適切に位置合わせされていることを確認します。
レイヤ 3 接続を確認します。 レイヤ 3 接続を確認するには、ping コマンドを使用できます。
ブリッジの接続をトラブルシューティングする方法の詳細については、『ワイヤレス ブリッジ ネットワークの一般的な問題のトラブルシューティング』を参照してください。