ワイヤレス LAN コントローラの Web パススルーの設定例
目次
はじめに
このドキュメントでは、ワイヤレス LAN コントローラ(WLC)の Web パススルー機能を設定する方法ついて説明します。
前提条件
要件
このドキュメントは、初期設定がすでに完了していることを前提としています。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
-
5.0.148.0 コードを実行する 4400 シリーズ WLC
-
Microsoft Windows 2003 Server にインストールされた Cisco Secure Access Control Server(ACS)バージョン 4.2
-
Cisco Aironet 1230 シリーズ Lightweight アクセス ポイント
-
Aironet Desktop Utility バージョン 3.6 がインストールされた Cisco Aironet 802.11 a/b/g CardBus ワイヤレス アダプタ
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
ワイヤレス LAN コントローラの Web パススルー
Web パススルーは、ゲスト アクセスによく使用されるソリューションです。 Web パススルーのプロセスは、Web 認証と同様です。ただし、Web パススルーには認証クレデンシャルは必要ありません。
注: Web 認証の詳細については、『ワイヤレス LAN コントローラの Web 認証の設定例』を参照してください。
Web パススルーでは、インターネットを初めて使用するワイヤレス ユーザは使用ポリシー ページにリダイレクトされます。 ユーザがポリシーを承諾すると、インターネットをブラウズできます。 ポリシー ページへのリダイレトは WLC によって管理されます。
この例では、VLAN インターフェイスが WLC の別のサブネット上に作成されます。 次に、Web パススルーによって個別の WLAN/SSID が作成および設定され、この VLAN インターフェイスにマップされます。 Web パススルーはデータの暗号化を提供しないことに注意してください。
Web パススルーの WLC の設定
このセクションでは、WLC を Web パススルー用に設定するための情報を提供します。
このドキュメントで使用する IP アドレスは次のとおりです。
-
WLC の IP アドレスは 10.77.244.204 で、これは管理インターフェイスです。
-
ACS サーバの IP アドレスは 10.77.244.196 です。
VLAN インターフェイスの作成
次の手順を実行します。
-
メインの [Controller] ウィンドウで、一番上のメニューから [Controller] を選択し、左側のメニューから [Interfaces] を選択して、ウィンドウの右上にある [New] をクリックします。
図 1 のウィンドウが表示されます。 この例では、インターフェイス名に vlan90、VLAN ID に 90 を使用しています。
図 1
-
右上の [Apply] をクリックします。
[Interfaces >Edit] ウィンドウと、定義するパラメータが表示されます。
この例では、パラメータに次の値を使用します。
-
IP アドレス:10.10.10.2
-
ネットマスク:255.255.255.0(24 ビット)
-
ゲートウェイ:10.10.10.1
-
ポート番号:2
注: これは、スイッチに接続されている WLC のアクティブ ポートの数であることに注意してください。
-
プライマリ DHCP サーバ:10.77.244.204
注: このパラメータには、RADIUS サーバまたは DHCP サーバの IP アドレスを指定する必要があります。 この例では、WLC で内部 DHCP スコープが設定されているため、WLC の管理アドレスを DHCP サーバとして使用しています。 WLC で DHCP を設定する方法の詳細については、『ワイヤレス LAN コントローラの Web 認証の設定例』の「WLC での DHCP および DNS サーバの設定」セクションを参照してください。
-
セカンダリ DHCP サーバ:0.0.0.0
注: この例ではセカンダリ DHCP サーバがないため、0.0.0.0 を使用しています。 設定にセカンダリ DHCP サーバがある場合は、このフィールドにサーバの IP アドレスを追加します。
-
ACL 名:なし
図 2 は、これらのパラメータを示しています。
図 2
-
-
[Apply] をクリックして変更を保存します。
WLAN インスタンスの追加
Web パススルー専用の VLAN インターフェイスを取得したので、新しい WLAN/SSID を作成する必要があります。
新しい WLAN/SSID を作成するには、次の手順を実行します。
-
WLC ブラウザを開き、一番上のメニューで [WLAN] をクリックして、右上にある [New] をクリックします。
図 3 に示すウィンドウが表示されます。
図3
-
Type として [WLAN] を選択します。 Web パススルーのプロファイル名および WLAN SSID を選択します。 この例では、Profile Name と WLAN SSID の両方に webpass を使用しています。
-
右上隅の [Apply] をクリックします。
図 4 に示すように、新しい [WLANs > Edit] ウィンドウが表示されます。 このウィンドウは、4.2 以前の WLC のバージョンでは異なります。
図 4
-
WLAN のステータス ボックスをオンにして WLAN を有効にします。 [Interface] メニューから、先ほど作成した VLAN インターフェイスの名前を選択します。 この例では、インターフェイス名は vlan90 です(図 4)。
注: この画面の他のパラメータはデフォルト値のままにします。
-
[Security] タブを選択します。 図 5 に示すウィンドウが表示されます。
図 5
-
[Layer 2] タブをクリックし、セキュリティを [None] に設定します。
注: 802.1x を使用するレイヤ 3 セキュリティとして Web パススルーを設定することはできません。また、WLAN のレイヤ 2 セキュリティとして WPA/WPA2 を設定することもできません。 ワイヤレス LAN コントローラのレイヤ 2 およびレイヤ 3 セキュリティの互換性については、『ワイヤレス LAN コントローラ レイヤ 2 レイヤ 3 セキュリティの互換性マトリクス』を参照してください。
-
[Layer 3] タブをクリックします。 図 5 に示すように、[Web Policy] チェックボックスをオンにし、[Passthrough] オプションを選択します。
-
[Apply] をクリックして、この WLAN を WLAN スイッチの実行コンフィギュレーションに保存します。
WLAN 要約ウィンドウに戻ります。
-
SSID webpass の WLAN テーブルの Security Policies 列で、Web パススルーが有効になっていることを確認します。
Web パススルーを設定するには、次の手順を実行します。
-
WLC のリブート
システムがアクティブになっている間は WLAN を変更できないので、WLC をリブートする必要があります。 変更は、ブートの前かブート中に行う必要があります。 WLC をリブートするには、次の手順を実行します。
-
メインの Controller ウィンドウで、一番上のメニューにある [Commands] をクリックします。
-
新しいウィンドウで、左側のメニューの [Reboot] をクリックします。
設定に保存されていない変更がある場合は、保存してからリブートするように促されます。
-
設定を保存してスイッチをリブートするには、[Save and Reboot] をクリックします。
-
コンソール接続からシステムのリブートを監視します。
WLC がアップしたら、Web 認証サブスクライバを作成できます。
Web パススルーのクライアント マシンの設定
WLC を設定した後は、Web パススルー用にクライアントも設定する必要があります。 このセクションでは、Cisco Aironet Desktop Utility を使用してクライアントを Web パススルー用に設定するための情報を提供します。
クライアントの設定
クライアント コンピュータに、クライアント アダプタおよび Cisco Aironet Desktop Utility 用のドライバがインストールされていることを確認します。 次の手順を実行します。
-
デスクトップで Aironet Utility のショートカット アイコンをクリックします。
-
Cisco Aironet Desktop Utility 画面で、[Profile Management] タブをクリックします。
-
既存のプロファイルをクリックして、[Modify] ボタンをクリックします。
図 6 は、ステップ 2 および 3 の実行方法を示します。
図 6
-
[General] タブでプロファイル名を選択します。 図 7 に示すように、Web パススルー用の WLC に設定されている SSID を入力します。 この例では、SSID は webpass です。
図 7
-
[Security] タブを選択します。 図 8 に示すように、セキュリティ オプションとして [None] を選択します。
図 8
-
[OK] をクリックします。
Desktop Utility のメイン画面に戻ります。
注: ワイヤレス クライアントが VPN エンド ポイントでもあり、Web パススルーを WLAN 用のセキュリティ機能として設定している場合、ここで説明されている Web パススルー プロセスが完了するまで、VPN トンネルは確立されません。 VPN トンネルを確立するには、まずクライアントが Web パススルーのプロセスに成功する必要があります。 VPN トンネリングが成功するのは、その後だけです。
Web パススルーの検証およびトラブルシューティング
クライアントの検証
ワイヤレス接続が正常に行われた場合、WLC から有効な IP アドレスを取得する必要があります。 これを確認するには、[Current Status] タブをクリックします。 IP アドレスが正しいサブネットからのものであることを確認します。 この例では、10.10.10.0/24 ネットワークで設定された vlan90 です。 図 9 は、ワイヤレス接続が正常に行われたサンプルを示します。
図 9 
クライアントを関連付ける WLC を決定するには、図 9 に示すように、画面の下部にある [Advanced] ボタンをクリックします。 ここでは、WLC IP アドレスと MAC アドレスは AP IP アドレスと AP MAC アドレスと表示されています。
Web パススルー認証の検証
次の手順を実行します。
-
ブラウザ ウィンドウを開き、WLC に設定されている仮想 IP アドレスを入力します。
ここでは、セキュアな https://1.1.1.1/login.html を使用しています。 この手順は、3.0 以前のバージョンでは重要ですが、それ以降のバージョンでは必要ありません。 3.0 以降のバージョンでは、どのような URL を指定しても Web パススルー ページにリダイレクトされます。
セキュリティ アラート ウィンドウが表示されます。
-
先に進むには、[Yes] をクリックします。 図 10 は、クライアントに表示される Web パススルー ページを示します。
図 10
-
Web パススルー ウィンドウが表示されたら、[Accept] ボタンをクリックします。 ウィンドウに、接続が正常に行われたことが表示されます。 これでインターネット接続を使用できるようになります。
図 11 は、接続が正常に行われたことを示すウィンドウです。
図 11
Web パススルーのトラブルシューティング
Web パススルーのトラブルシューティングは、Web 認証の場合と同様です。 トラブルシューティングを実施する場合は、『ワイヤレス LAN コントローラの Web 認証の設定例』の「内部 Web 認証のトラブルシューティング」セクションを参照してください。
Web パススルーのログイン ページのカスタマイズ
デフォルトの Web パススルー ページは、必要に応じてカスタマイズできます。 Web パススルー ページをカスタマイズする方法の詳細については、『ワイヤレス LAN コントローラの Web 認証の設定例』の「WLC の Web パススルーの設定」セクションを参照してください。 図 12 はカスタマイズされたページを示します。
図 12 
フィードバック