このドキュメントでは、ワイヤレス LAN コントローラ(WLC)の Web パススルー機能を設定する方法ついて説明します。
このドキュメントは、初期設定がすでに完了していることを前提としています。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
5.0.148.0 コードを実行する 4400 シリーズ WLC
Microsoft Windows 2003 Server にインストールされた Cisco Secure Access Control Server(ACS)バージョン 4.2
Cisco Aironet 1230 シリーズ Lightweight アクセス ポイント
Aironet Desktop Utility バージョン 3.6 がインストールされた Cisco Aironet 802.11 a/b/g CardBus ワイヤレス アダプタ
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
Web パススルーは、ゲスト アクセスによく使用されるソリューションです。 Web パススルーのプロセスは、Web 認証と同様です。ただし、Web パススルーには認証クレデンシャルは必要ありません。
注: Web 認証の詳細については、『ワイヤレス LAN コントローラの Web 認証の設定例』を参照してください。
Web パススルーでは、インターネットを初めて使用するワイヤレス ユーザは使用ポリシー ページにリダイレクトされます。 ユーザがポリシーを承諾すると、インターネットをブラウズできます。 ポリシー ページへのリダイレトは WLC によって管理されます。
この例では、VLAN インターフェイスが WLC の別のサブネット上に作成されます。 次に、Web パススルーによって個別の WLAN/SSID が作成および設定され、この VLAN インターフェイスにマップされます。 Web パススルーはデータの暗号化を提供しないことに注意してください。
このセクションでは、WLC を Web パススルー用に設定するための情報を提供します。
このドキュメントで使用する IP アドレスは次のとおりです。
WLC の IP アドレスは 10.77.244.204 で、これは管理インターフェイスです。
ACS サーバの IP アドレスは 10.77.244.196 です。
次の手順を実行します。
メインの [Controller] ウィンドウで、一番上のメニューから [Controller] を選択し、左側のメニューから [Interfaces] を選択して、ウィンドウの右上にある [New] をクリックします。
図 1 のウィンドウが表示されます。 この例では、インターフェイス名に vlan90、VLAN ID に 90 を使用しています。
図 1
右上の [Apply] をクリックします。
[Interfaces >Edit] ウィンドウと、定義するパラメータが表示されます。
この例では、パラメータに次の値を使用します。
IP アドレス:10.10.10.2
ネットマスク:255.255.255.0(24 ビット)
ゲートウェイ:10.10.10.1
ポート番号:2
注: これは、スイッチに接続されている WLC のアクティブ ポートの数であることに注意してください。
プライマリ DHCP サーバ:10.77.244.204
注: このパラメータには、RADIUS サーバまたは DHCP サーバの IP アドレスを指定する必要があります。 この例では、WLC で内部 DHCP スコープが設定されているため、WLC の管理アドレスを DHCP サーバとして使用しています。 WLC で DHCP を設定する方法の詳細については、『ワイヤレス LAN コントローラの Web 認証の設定例』の「WLC での DHCP および DNS サーバの設定」セクションを参照してください。
セカンダリ DHCP サーバ:0.0.0.0
注: この例ではセカンダリ DHCP サーバがないため、0.0.0.0 を使用しています。 設定にセカンダリ DHCP サーバがある場合は、このフィールドにサーバの IP アドレスを追加します。
ACL 名:なし
図 2 は、これらのパラメータを示しています。
図 2
[Apply] をクリックして変更を保存します。
Web パススルー専用の VLAN インターフェイスを取得したので、新しい WLAN/SSID を作成する必要があります。
新しい WLAN/SSID を作成するには、次の手順を実行します。
WLC ブラウザを開き、一番上のメニューで [WLAN] をクリックして、右上にある [New] をクリックします。
図 3 に示すウィンドウが表示されます。
図3
Type として [WLAN] を選択します。 Web パススルーのプロファイル名および WLAN SSID を選択します。 この例では、Profile Name と WLAN SSID の両方に webpass を使用しています。
右上隅の [Apply] をクリックします。
図 4 に示すように、新しい [WLANs > Edit] ウィンドウが表示されます。 このウィンドウは、4.2 以前の WLC のバージョンでは異なります。
図 4
WLAN のステータス ボックスをオンにして WLAN を有効にします。 [Interface] メニューから、先ほど作成した VLAN インターフェイスの名前を選択します。 この例では、インターフェイス名は vlan90 です(図 4)。
注: この画面の他のパラメータはデフォルト値のままにします。
[Security] タブを選択します。 図 5 に示すウィンドウが表示されます。
図 5
Web パススルーを設定するには、次の手順を実行します。
[Layer 2] タブをクリックし、セキュリティを [None] に設定します。
注: 802.1x を使用するレイヤ 3 セキュリティとして Web パススルーを設定することはできません。また、WLAN のレイヤ 2 セキュリティとして WPA/WPA2 を設定することもできません。 ワイヤレス LAN コントローラのレイヤ 2 およびレイヤ 3 セキュリティの互換性については、『ワイヤレス LAN コントローラ レイヤ 2 レイヤ 3 セキュリティの互換性マトリクス』を参照してください。
[Layer 3] タブをクリックします。 図 5 に示すように、[Web Policy] チェックボックスをオンにし、[Passthrough] オプションを選択します。
[Apply] をクリックして、この WLAN を WLAN スイッチの実行コンフィギュレーションに保存します。
WLAN 要約ウィンドウに戻ります。
SSID webpass の WLAN テーブルの Security Policies 列で、Web パススルーが有効になっていることを確認します。
システムがアクティブになっている間は WLAN を変更できないので、WLC をリブートする必要があります。 変更は、ブートの前かブート中に行う必要があります。 WLC をリブートするには、次の手順を実行します。
メインの Controller ウィンドウで、一番上のメニューにある [Commands] をクリックします。
新しいウィンドウで、左側のメニューの [Reboot] をクリックします。
設定に保存されていない変更がある場合は、保存してからリブートするように促されます。
設定を保存してスイッチをリブートするには、[Save and Reboot] をクリックします。
コンソール接続からシステムのリブートを監視します。
WLC がアップしたら、Web 認証サブスクライバを作成できます。
WLC を設定した後は、Web パススルー用にクライアントも設定する必要があります。 このセクションでは、Cisco Aironet Desktop Utility を使用してクライアントを Web パススルー用に設定するための情報を提供します。
クライアント コンピュータに、クライアント アダプタおよび Cisco Aironet Desktop Utility 用のドライバがインストールされていることを確認します。 次の手順を実行します。
デスクトップで Aironet Utility のショートカット アイコンをクリックします。
Cisco Aironet Desktop Utility 画面で、[Profile Management] タブをクリックします。
既存のプロファイルをクリックして、[Modify] ボタンをクリックします。
図 6 は、ステップ 2 および 3 の実行方法を示します。
図 6
[General] タブでプロファイル名を選択します。 図 7 に示すように、Web パススルー用の WLC に設定されている SSID を入力します。 この例では、SSID は webpass です。
図 7
[Security] タブを選択します。 図 8 に示すように、セキュリティ オプションとして [None] を選択します。
図 8
[OK] をクリックします。
Desktop Utility のメイン画面に戻ります。
注: ワイヤレス クライアントが VPN エンド ポイントでもあり、Web パススルーを WLAN 用のセキュリティ機能として設定している場合、ここで説明されている Web パススルー プロセスが完了するまで、VPN トンネルは確立されません。 VPN トンネルを確立するには、まずクライアントが Web パススルーのプロセスに成功する必要があります。 VPN トンネリングが成功するのは、その後だけです。
ワイヤレス接続が正常に行われた場合、WLC から有効な IP アドレスを取得する必要があります。 これを確認するには、[Current Status] タブをクリックします。 IP アドレスが正しいサブネットからのものであることを確認します。 この例では、10.10.10.0/24 ネットワークで設定された vlan90 です。 図 9 は、ワイヤレス接続が正常に行われたサンプルを示します。
図 9
クライアントを関連付ける WLC を決定するには、図 9 に示すように、画面の下部にある [Advanced] ボタンをクリックします。 ここでは、WLC IP アドレスと MAC アドレスは AP IP アドレスと AP MAC アドレスと表示されています。
次の手順を実行します。
ブラウザ ウィンドウを開き、WLC に設定されている仮想 IP アドレスを入力します。
ここでは、セキュアな https://1.1.1.1/login.html を使用しています。 この手順は、3.0 以前のバージョンでは重要ですが、それ以降のバージョンでは必要ありません。 3.0 以降のバージョンでは、どのような URL を指定しても Web パススルー ページにリダイレクトされます。
セキュリティ アラート ウィンドウが表示されます。
先に進むには、[Yes] をクリックします。 図 10 は、クライアントに表示される Web パススルー ページを示します。
図 10
Web パススルー ウィンドウが表示されたら、[Accept] ボタンをクリックします。 ウィンドウに、接続が正常に行われたことが表示されます。 これでインターネット接続を使用できるようになります。
図 11 は、接続が正常に行われたことを示すウィンドウです。
図 11
Web パススルーのトラブルシューティングは、Web 認証の場合と同様です。 トラブルシューティングを実施する場合は、『ワイヤレス LAN コントローラの Web 認証の設定例』の「内部 Web 認証のトラブルシューティング」セクションを参照してください。
デフォルトの Web パススルー ページは、必要に応じてカスタマイズできます。 Web パススルー ページをカスタマイズする方法の詳細については、『ワイヤレス LAN コントローラの Web 認証の設定例』の「WLC の Web パススルーの設定」セクションを参照してください。 図 12 はカスタマイズされたページを示します。
図 12