はじめに
このドキュメントでは、AireOSワイヤレスLANコントローラ(WLC)のモビリティグループについて説明し、よくある質問(FAQ)を通じて情報を提供します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
表記法
ドキュメント表記の詳細は、『シスコテクニカルティップスと表記法』を参照してください。
背景説明
モビリティグループは、Cisco Unified Wireless LAN環境に適用される概念です。
Q.モビリティグループとは何ですか。
A.モビリティグループとは、ネットワーク内にあり、同じモビリティグループ名を持つワイヤレスLANコントローラ(WLC)のグループのことです。これらのWLCは、クライアントデバイスのコンテキストと状態、WLCロード情報を動的に共有でき、相互にデータトラフィックを転送することもできます。これにより、コントローラ間のワイヤレスLANローミングとコントローラの冗長性が実現します。詳細については、『Cisco Wireless LAN Controllerコンフィギュレーションガイドリリース8.10』の「モビリティグループ」の項を参照してください。
Q.モビリティグループにはどのような制限がありますか。
A.モビリティグループに対する制限については、『Cisco Wireless LAN Controllerコンフィギュレーションガイド、リリース8.10』の「モビリティグループの設定」の章の「ガイドラインと制限」セクションを参照してください。
Q.モビリティグループの前提条件は何ですか。
A.モビリティグループにコントローラを追加する前に、グループに含まれるすべてのコントローラについて特定の要件が満たされていることを確認する必要があります。要件のリストについては、「モビリティ グループの設定」の「前提条件」セクションを参照してください。
Q. WLCでモビリティグループを設定する方法は?
A.モビリティグループは手動で設定します。同じモビリティ グループに属するワイヤレス LAN コントローラ(WLC)の IP アドレスと MAC アドレスは、WLC ごとに個々に設定されます。モビリティ グループは、CLI または GUI のいずれでも設定できます。CLIおよびGUIの設定の詳細な手順については、『モビリティグループのGUIおよびCLIの設定』を参照してください。
Q. Prime Infrastructureでモビリティグループを設定する方法を教えてください。
A.モビリティグループはPrime Infrastructure(PI)でも設定できます。 この方法は、多数の WLC を導入する際に便利です。WCSでモビリティグループを設定する方法の詳細については、『Cisco Prime Infrastructure 3.10ユーザガイド』の「モビリティグループの設定」セクションを参照してください。
Q. WLCを複数のモビリティグループに設定できますか。
A.いいえ。Wireless LAN Controller(WLC;ワイヤレスLANコントローラ)は、1つのモビリティグループでのみ設定できます。
Q. APは、現在関連付けられているモビリティグループとは異なるモビリティグループに属するWLCに加入できますか。
A. あります。デフォルトでは、WLCがダウンすると、LAPがフェールオーバーに設定されている場合、このWLCに登録されているAPは、同じモビリティグループの別のWLCにフェールオーバーします。ただし、バックアップコントローラのサポートを設定した場合は、モビリティグループの外部にある任意のWLCをバックアップでき、アクセスポイントはモビリティグループの外部にあるコントローラにもフェールオーバーします。詳細については、『N+1ハイアベイラビリティ導入ガイド』を参照してください。
Q. WLC間でモビリティメッセージはどのように交換されるのですか。
A.コントローラは他のメンバコントローラにモビリティメッセージを送信し、それによってクライアントにサブネット間モビリティを提供します。モビリティメッセージは、ユニキャストメッセージまたはマルチキャストメッセージとして送信できます。この場合、モビリティメッセージの1つのコピーのみが送信され、モビリティグループ内のすべてのWLCに到達します。
モバイルアナウンスメッセージは、最初に同じグループ内で送信されてから、リスト内の他のグループに送信されます。
Q. WLC間のモビリティ通信をトラブルシューティングするコマンドはありますか。
A.ワイヤレスLANコントローラ(WLC)では、モビリティpingテストを使用してモビリティ通信環境をテストできます。このテストを使用して、ゲスト WLC を含むモビリティ グループのメンバー間の接続を検証できます。次の 2 つの ping テストが利用できます。
同じモビリティ グループ内で WLC が設定されており、モビリティ ping を使用して WLC に対して ping を実行できることを確認してください。
詳細については、『Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.10』の「モビリティ ping テストの実行」を参照してください。
Q.モビリティグループに含めることができるコントローラの数はいくつですか。
A.モビリティグループには、任意のタイプのWLCを24台まで含めることができます。モビリティ グループでサポートされるアクセス ポイントの数は、そのグループの WLC の数とタイプによって決まります。
たとえば、コントローラが6000のアクセスポイントをサポートしている場合、このようなコントローラを24台で構成するモビリティグループでは、最大144,000のアクセスポイントがサポートされます(24 X 6000 = 144,000のアクセスポイント)。
異なるモビリティ グループ内にアンカーできるモビリティ アンカーに使用されるモビリティ リストには、異なるモビリティ グループのモビリティ メンバーを追加できます。このリストには最大 72 のメンバーを含めることができます。また、このリストに含めることができる 1 つのモビリティ グループのメンバーの数は 24 までです。
モビリティリストでは、モビリティグループとメンバの次の組み合わせが許可されます。
-
3つのモビリティグループ(各グループに24人のメンバー)
-
12のモビリティグループ(各グループに6人のメンバー)
-
24のモビリティグループ(各グループに3人のメンバー)
-
72のモビリティグループがあり、各グループに1人のメンバーが含まれる
Q.モビリティリストとは何ですか。特定のコントローラのモビリティ リストに含めることができるコントローラの数はいくつですか。
A.モビリティリストとは、1つのコントローラ上に設定されたコントローラのグループで、異なるモビリティグループのメンバーを指定するものです。コントローラが各モビリティリストに含まれている場合、コントローラはモビリティグループ間で通信でき、クライアントは異なるモビリティグループ内のアクセスポイント間でローミングできます。このセクションの例では、コントローラ 1 はコントローラ 2 または 3 と通信できますが、コントローラ 2 とコントローラ 3 はそれぞれコントローラ 1 だけと通信し、相互には通信できません。クライアントは同様に、コントローラ 1 とコントローラ 2 の間またはコントローラ 1 とコントローラ 3 の間でローミングを行うことができますが、コントローラ 2 とコントローラ 3 の間でローミングを行うことはできません。
Example:
Controller 1 Controller 2 Controller 3
Mobility group: A Mobility group: B Mobility group: C
Mobility list: Mobility list: Mobility list:
Controller 1 (group A) Controller 1 (group A) Controller 1 (group A)
Controller 2 (group B) Controller 2 (group B) Controller 3 (group C)
Controller 3 (group C)
WLCは、コントローラのモビリティリストで最大72台のコントローラをサポートし、複数のモビリティグループ間でシームレスにローミングします。シームレスなローミングにより、クライアントはすべてのモビリティグループでIPアドレスを維持します。ただし Cisco Centralized Key Management(CCKM)と Proactive Key Caching(PKC)はモビリティ グループ内のローミングでのみサポートされています。ローミング中にクライアントがモビリティグループの境界を越えると、クライアントは完全に認証されますが、IPアドレスは維持され、レイヤ3ローミング用にEtherIPトンネリングが開始されます。
Q. WLC間で交換されるモビリティメッセージを保護または暗号化するには、どうすればよいのですか。
A. Wireless LAN Controller(WLC;ワイヤレスLANコントローラ)間で交換されるモビリティメッセージを保護するために、アンカーと外部コントローラの間にCAPWAP DTLSプロトコルを使用してデータが暗号化されたセキュアリンクを確立できます。このセキュアリンクは、暗号化モビリティトンネルと呼ばれます。
暗号化されたモビリティトンネルがイネーブル状態の場合、データトラフィックは暗号化され、コントローラはEoIPの代わりにUDPポート16667を使用してデータトラフィックを送信します。
このため、config mobility secure-mode enable コマンドを実行します。
ファイアウォールを使用している場合は、UDP ポート 16667 がオープンしていることを確認してください。
このモードが有効であることを確認するため、show mobility summary コマンドの出力でモビリティ プロトコル ポートを確認してください。
ポート 16667 はセキュア モード(暗号化)であることを示します。 ポート 16666 は非セキュア モード(暗号化なし)であることを示します。
Q.暗号化されたモビリティトンネルをイネーブルにする際の制限事項は何ですか。
A.暗号化モビリティトンネルをイネーブルにする制限事項については、『Cisco Wireless LAN Controllerコンフィギュレーションガイド、リリース8.10』の「暗号化モビリティトンネルの制限事項」を参照してください。
Q.モビリティアンカーとは何ですか。
A.モビリティアンカーは、ゲストトンネリングまたは自動アンカーモビリティとも呼ばれ、1つのWLAN(特別にゲストWLAN)に属するすべてのクライアントトラフィックが、その特定のWLANのアンカーとして設定されている事前定義されたWLCまたはコントローラセットにトンネリングされる機能です。この機能は、クライアントを特定のサブネットに限定し、ユーザ トラフィックのコントロールを強化する場合に役立ちます。この機能の詳細については『Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.10』の「オート アンカー モビリティの設定」を参照してください。
Q. RFグループとモビリティグループの違いは何ですか。
A.
モビリティ グループ:
無線周波数(RF)グループ:
Q. NATデバイスの背後に1つ以上のコントローラがある場合、モビリティグループはWLC間で機能しますか。
A. あります。これは、送信元コントローラについての IP アドレス情報が、モビリティ メッセージ ペイロードで伝送されるためです。この IP アドレスは、IP ヘッダーの送信元 IP アドレスにより検証されます。この動作により、ネットワークアドレス変換(NAT)デバイスがネットワークに導入されると、IPヘッダーの送信元IPアドレスが変更されるため、問題が発生します。このため、ゲスト WLAN 機能では、NAT デバイス経由でルーティングされるモビリティ パケットは、IP アドレスの不一致によりドロップされます。
WLCでは、ソースコントローラのMACアドレスを使用するようにモビリティグループのルックアップが変更されます。送信元のIPアドレスはNATデバイスで作成されたマップが原因で変更されるため、要求を行うコントローラのIPアドレスを取得するための応答が送信される前に、モビリティグループデータベースが検索されます。これは、要求を生成するコントローラの MAC アドレスで実行されます。
NATが有効になっているネットワークでモビリティグループを設定する場合は、コントローラ管理インターフェイスのIPアドレスではなく、NATデバイスからコントローラに送信されるIPアドレスを入力します。
また、PIXなどのファイアウォールを使用する場合は、次のポートがファイアウォールで開いていることを確認します。
詳細は、『NAT デバイスでのモビリティ グループの使用』を参照してください。
関連情報