ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン()をクリックして選択します の順に選択します。
|
ステップ 2 |
[Guest Wireless] の下で、[Add] をクリックして、新しい SSID を作成します。
[Create a Guest Wireless Network] ウィンドウが表示されます。
|
ステップ 3 |
[Wireless Network Name (SSID)] フィールドに、作成するゲスト SSID の一意の名前を入力します。
名前には、1 つのスペースを含めて、最大 32 文字の英数字を使用できます。< および / を除くすべての特殊文字を使用できます。
. および * のサブストリングの組み合わせは使用できません。
|
ステップ 4 |
[SSID STATE] で、次のように設定します。
|
ステップ 5 |
[Level Of Security] の下で、レイヤ 2 およびレイヤ 3 セキュリティポリシーを設定します。
|
ステップ 6 |
[L2 Security] の下で、このネットワークの暗号化および認証タイプを設定します。
|
ステップ 7 |
[Enterprise]、[Personal]、[Open Secured]、[Open] のいずれかのオプションボタンをクリックして、対応するセキュリティ認証を設定します。
-
[Enterprise]:WPA2 と WPA3 の両方のセキュリティ認証タイプを設定するには、それぞれのチェックボックスをオンにします。デフォルトでは、[WPA2] チェックボックスが有効になっています。
Wi-Fi Protected Access(WPA2)では、Counter Mode と暗号ブロック連鎖メッセージ認証コードプロトコルを使用した、より強力な高度暗号化規格アルゴリズム(AES-CCMP)が使用されます。Fast transition
は、エンタープライズ WPA2 SSID に適用できます。
WPA3 セキュリティ認証は、WPA の最新バージョンです。これは、Wi-Fi ネットワークの認証と暗号化を提供するプロトコルとテクノロジーのスイートです。WPA3 エンタープライズは、センシティブ データ ネットワーク用に、より高いグレードのセキュリティプロトコルを提供します。
-
[Personal]:WPA2 と WPA3 の両方を設定したり、WPA2 と WPA3 を個別に設定したりするには、それぞれのチェックボックスをオンにします。
WPA3 パーソナルセキュリティ認証は、パスワードベースの堅牢な認証を提供することによって個人ユーザーに対する保護を強化します。これにより、ブルートフォース辞書攻撃がはるかに困難になり、時間がかかるようになります。
[Pass Phrase] フィールドにパスフレーズキーを入力します。このキーは、クライアントと認証サーバーの間で Pairwise Master Key(PMK; ペアワイズ マスター キー)として使用されます。
-
[Open Secured]:[Assign Open SSID] ドロップダウンリストから、オープン SSID に関連付けるためのオープン SSID を選択します。関連付けにより、オープン SSID が保護されます。オープンでセキュアな SSID に関連付ける前に、オープン SSID が作成されている必要があります。
(注)
|
Fast Transition は、オープンでセキュアな SSID には適用できません。
|
-
[Open]:オープンなポリシーはセキュリティを備えていません。すべてのデバイスが認証なしでワイヤレスネットワークに接続できます。
|
ステップ 8 |
[L3 Security] の下で、このゲストネットワークの暗号化および認証のタイプを [Web Policy] と [Open] から選択します。
|
ステップ 9 |
オープンなポリシーはセキュリティを提供しません。すべてのデバイスが認証なしでワイヤレスネットワークに接続できます。
|
ステップ 10 |
[Web Policy] を選択した場合、認証サーバーを [ISE Authentication]、[Web Authentication]、または [Web Passthrough] として設定する必要があります。
[Web Policy] の暗号化と認証タイプは、レイヤ 3 のセキュリティを強化します。
-
外部 Web 認証(EWA)では、セキュリティレベルとして [L3 Security] の下の [Web Policy] オプションボタンをクリックし、認証サーバーとして [Authentication] ドロップダウンリストから [Web Authentication
External] をクリックします。
-
中央 Web 認証(CWA)では、セキュリティレベルとして [L3 Security] の下の [Web Policy] をクリックし、認証サーバーとして [Authentication] ドロップダウンリストから [ISE Authentication]
をクリックします。
|
ステップ 11 |
[Authentication Server] で、SSID の認証サーバーを設定できます。
|
ステップ 12 |
[ISE Authentication] を選択した場合は、[WHAT KIND OF PORTAL ARE YOU CREATING TODAY ?] ドロップダウンリストから、作成するポータルのタイプを選択します。
[WHERE WILL YOUR GUESTS REDIRECT AFTER SUCCESSFUL AUTHENTICATION ?] ドロップダウンリストから、認証の成功後にゲストをリダイレクトする場所を選択します。
-
[Success page]:ゲストは[Authentication Success]ウィンドウにリダイレクトされます。
-
[Original URL]:ゲストは最初にリクエストした URL にリダイレクトされます。
-
[Custom URL]:ゲストはここで特定されたカスタム URL にリダイレクトされます。[Redirect URL] フィールドにリダイレクト URL を入力します。
SSID を作成したので、それをワイヤレス プロファイルに関連付ける必要があります。このプロファイルは、サイトにデバイスを展開するために使用されるトポロジを構築するのに役に立ちます。
|
ステップ 13 |
[Web Authentication] または [Web Passthrough] を選択した場合は、認証タイプとして [Internal] または [External] を設定します。
レイヤ 3 セキュリティ方式である Web 認証(Web Auth)を使用すると、クライアントは、何らかの認証方式に合格するまでの間、Dynamic Host Configuration Protocol(DHCP)およびドメインネームシステム(DNS)のトラフィックを通過させることができます。
Web パススルーは、ゲストアクセスに使用されるソリューションであり、認証ログイン情報は必要ありません。Web パススルーでは、ワイヤレスユーザーがインターネットを初めて使用するときに、使用ポリシーページにリダイレクトされます。ポリシーを承認すると、ユーザーはインターネットを参照できます。
-
[Authentication Server] ドロップダウンリストから [Web Authentication Internal] または [Web Passthrough Internal] を選択した場合、ページは シスコ ワイヤレス コントローラによって再構築されます。
-
[Authentication Server] ドロップダウンリストから [Web Authentication External] または [Web Passthrough External] を選択した場合、クライアントは指定した URL
にリダイレクトされます。[Web Auth Url] フィールドにリダイレクト URL を入力する必要があります。
|
ステップ 14 |
[TIMEOUT SETTINGS FOR SLEEPING CLIENTS] の下で、スリープ状態のクライアントの認証を設定します。[Always authenticate] または [Authenticate after] を選択できます。
Web 認証に成功したゲストアクセスを持つクライアントは、ログインページから別の認証プロセスを実行せずにスリープおよび復帰することを許可されています。再認証が必要になるまでスリープ状態にあるクライアントが記録される期間を設定できます。有効範囲は
10 ~ 43200 分、デフォルトは 720 分です。WLAN にマッピングされるユーザ グループ ポリシーと WLAN に、期間を設定できます。スリープ タイマーは、アイドル タイムアウト後に有効になります。クライアント タイムアウトが WLAN
のスリープ タイマーに設定された時間より短い場合、クライアントのライフタイムがスリープ時間として使用されます。
|
ステップ 15 |
次の内容を設定するには、[Show Advanced Settings] をクリックします。
|
ステップ 16 |
[Client Exclusion] チェックボックスをオンにして、[in (secs)] フィールドにクライアント除外タイマーの設定値を入力します。
ユーザーが認証に失敗すると、ワイヤレスコントローラ はクライアントを接続対象から除外するため、除外タイマーが期限切れになるまで、クライアントはネットワークに接続できません。デフォルトでは、[Client Exclusion] が 180 秒のタイムアウト付きで有効になります。指定できる範囲は 0 ~ 2147483647 秒です。
|
ステップ 17 |
[Session Timeout] チェックボックスをオンにして、値(秒)を入力します。
セッションタイムアウトとは、クライアントセッションがアクティブである最大時間を指します。この時間が経過すると再認証を受ける必要があります。デフォルトでは、[Session Timeout] が 1800 秒のタイムアウト付きで有効になります。値の範囲は 300 ~ 86400 秒です。
|
ステップ 18 |
Under MFP Client Protection, click one of the radio buttons: Optional, Required, and Disabled.
管理フレーム保護(MFP)により、管理フレームのセキュリティが強化されます。これによって、アクセスポイントとクライアントとの間で送受信される、保護および暗号化されていない 802.11 管理メッセージのセキュリティが確保されます。MFP は、インフラストラクチャとクライアントサポートの両方を実現します。
デフォルトでは [Optional] が選択されています。[Required] を選択すると、MFP がネゴシエートされている場合(つまり、WPA2 が ワイヤレスコントローラ 上で設定されており、クライアントが CCXv5 MFP をサポートしていて WPA2 にも設定されている場合)にのみ、クライアントはアソシエーションを許可されます。
|
ステップ 19 |
[11k] で [Neighbor List] チェックボックスをオンにすると、その 11k 対応クライアントは、ローミングの候補となる既知のネイバー AP に関するネイバーレポートを要求できます。
ローミングを容易にするため、AP にアソシエートした 11k 対応クライアントは、ネイバー AP のリストに対する要求を送信します。この要求は、アクションフレームと呼ばれる 802.11 管理フレームの形式で送信されます。同じ WLAN にあるネイバー
AP の Wi-Fi チャネル番号が付いたリストを使用して、AP は応答します。この応答もアクション フレームです。クライアントは応答フレームに基づき、次のローミング先の AP 候補を識別します。
|
ステップ 20 |
[11v BSS Transition Support] で、次のように設定します。
|
ステップ 21 |
[BSS Max Idle Service] チェックボックスをオンにして、アイドル期間タイマー値を設定します。アイドル期間タイマー値は、AP からクライアントへのアソシエーションおよび再アソシエーション応答フレームを使用して送信されます。
BSS 最大アイドル期間は、接続先のクライアントからフレームが送信されないという理由で AP がこのクライアントを関連付け解除しないタイムフレームです。
|
ステップ 22 |
[Client User Idle Timeout] チェックボックスをオンにして、[Client User Idle Timeout] フィールドに WLAN のユーザーアイドルタイムアウトの設定値を入力します。
クライアントが送信するデータがユーザーアイドルタイムアウト内で指定されたしきい値のクォータを超える場合、クライアントはアクティブであると見なされ、ワイヤレスコントローラは次のタイムアウト期間中に更新されます。
デフォルトでは、[Client User Idle Timeout] が 300 秒のユーザーアイドルタイムアウト付きで有効になります。
|
ステップ 23 |
[Directed Multicast Service] チェックボックスをオンにして、Directed Multicast Service を有効にします。
デフォルトでは、[Directed Multicast Service] が有効になっています。クライアントは Directed Multicast Service(DMS)を使用して、必要なマルチキャストパケットをユニキャストフレームとして送信するように AP に要求します。これにより、クライアントは長時間スリープ状態になり、バッテリの電力が節約されます。
|
ステップ 24 |
[Next] をクリックします。
[ワイヤレス プロファイル(Wireless Profiles)] ウィンドウが表示されます。
|
ステップ 25 |
既存のワイヤレスプロファイルがない場合は、[Wireless Profiles] ウィンドウで [Add] をクリックして、新しいワイヤレスプロファイルを作成します。
|
ステップ 26 |
[Wireless Profile Name] フィールドにプロファイル名を入力します。
|
ステップ 27 |
[ファブリック(Fabric)] の隣にある [はい(Yes)] または [いいえ(No)] ラジオ ボタンを選択して、SSID がファブリックであるか、そうでないかを指定します。
ファブリック SSID は、ソフトウェア定義型アクセス (SD アクセス) の一部であるワイヤレスネットワークです。SD アクセスは、有線およびワイヤレスネットワークの設定、ポリシー、およびトラブルシューティングを自動化し、簡素化するソリューションです。ファブリック
SSID を使用する場合は、SDA を使用することが必須です。非ファブリックは、SD アクセスを必要としない従来のワイヤレスネットワークです。
|
ステップ 28 |
ゲスト SSID をゲスト アンカーにする場合、[このゲスト SSID にゲスト アンカーが必要ですか(Do you need a Guest Anchor for this guest SSID)] の隣にある [はい(Yes)] または [いいえ(No)] ラジオ ボタンをクリックします。
ゲスト SSID をゲストアンカーにするには、[Yes] をクリックします。
|
ステップ 29 |
[Select Interface] ドロップダウンリストからインターフェイスを選択するか、[+] をクリックして新しいワイヤレスインターフェイスを作成します。
これは、ワイヤレス インターフェイスに関連付けられている VLAN ID です。
|
ステップ 30 |
[No] をクリックした場合は、[Flex Connect Local Switching] チェックボックスをオンにして、FlexConnect モードを有効にします。FlexConnect を選択すると、トラフィックがローカルに切り替わります。設定に基づき、プロファイルはサイトおよび内部的に作成された Flex グループに適用されます。
|
ステップ 31 |
[Local to VLAN] フィールドに VLAN ID の値を入力します。
|
ステップ 32 |
このプロファイルをサイトに割り当てるには、[Sites] をクリックします。
|
ステップ 33 |
[Sites] ウィンドウで、このプロファイルを関連付けるサイトの横にあるチェックボックスをオンにして、[OK] をクリックします。
親サイトまたは個々のサイトのいずれかを選択できます。親サイトを選択すると、すべての子が親サイトから設定を継承します。チェックボックスをオフにして、サイトの選択を解除できます。
|
ステップ 34 |
[+ Add Model Config] をクリックして、モデル設定設計をワイヤレスプロファイルに関連付けます。
[Add Model Config] ウィンドウが表示されます。
|
ステップ 35 |
[Device Type(s)] ドロップダウンリストから、デバイスタイプを選択します。
[Search...] フィールドに名前を入力してデバイス名を検索するか、または [Wireless Controller] を展開してデバイスタイプを選択できます。
|
ステップ 36 |
[APPLICABILITY] の [Tags] ドロップダウンリストから、該当するタグを選択します。
|
ステップ 37 |
[Add] をクリックします。
|
ステップ 38 |
[Save] をクリックします。
[Wireless Profiles] ウィンドウに、作成したプロファイルが表示されます。
|
ステップ 39 |
SSID をワイヤレスプロファイルに関連付けるには、[Wireless Profiles] ウィンドウで、[Profile Name] チェックボックスをオンにして SSID を関連付けてから、[Next] をクリックします。
[ ポータルのカスタマイズ(Portal Customization) ] ウィンドウが表示され、ゲスト ポータルに SSID を割り当てることができます。
|
ステップ 40 |
[Portal Customization] ウィンドウで [Add] をクリックして、ゲストポータルを作成します。
[ポータル ビルダー(Portal Builder)] ウィンドウが表示されます。
|
ステップ 41 |
左側のメニューで [ページ コンテンツ(Page Content)] を展開し、さまざまな変数を組み込みます。
|
ステップ 42 |
ポータル テンプレート ウィンドウに変数をドラッグ アンド ドロップし、それらを編集します。
-
[Login] ページの変数は次のとおりです。
-
Access Code
-
Header Text
-
AUP
-
Text Field
-
[Registration] ページの変数は次のとおりです。
-
[Registration Success] ページの変数は次のとおりです。
-
Account Created
-
Header texts
-
[成功(Success)]ページの変数:テキストフィールドです。
|
ステップ 43 |
ポータルのデフォルト カラー スキームをカスタマイズするには、左側のメニューで [色(Color)] を展開し、色を変更します。
|
ステップ 44 |
フォントをカスタマイズするには、左側のメニューで [フォント(Font)] を展開し、フォントを変更します。
|
ステップ 45 |
[Save] をクリックします。
[ポータルのカスタマイズ(Portal Customization)] ページに作成したポータルが表示されます。
|
ステップ 46 |
[Portals] の下で、[Portal Name] の横にあるオプションボタンをクリックし、ゲストポータルに SSID を割り当てます。
|
ステップ 47 |
[完了(Finish)] をクリックします。
|