Prime Infrastructure データベースのすべてのコントローラの概要を表示できます。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
||||||||||||||||||||||||||||||
| ステップ 2 |
ページ上部のコマンド ボタンを使用するには、1 つ以上のコントローラの横にあるチェックボックスをオンにします。次の表に、このページで使用できるフィールドについて説明します。
|
||||||||||||||||||||||||||||||
| ステップ 3 |
コントローラに関する特定の情報を表示するには、デバイス名をクリックします。 |
[設定(Configuration)] > [ネットワーク(Network)] > [ネットワークデバイス(Network Devices)] を選択してから、左側の [デバイスグループ(Device Groups)] メニューで [デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択し、1 つ以上のデバイスのチェックボックスをオンにすると、ページ上部に次のボタンが表示されます。
| ステップ 1 |
を選択し、[デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのチェックボックスをオンにします。 |
| ステップ 3 |
[設定(Configure)] > [今すぐ監査する(Audit Now)] をクリックします。 |
| ステップ 4 |
ポップアップ ダイアログボックスで [OK] をクリックすると、データベース内の設定オブジェクトからテンプレートの関連付けが削除され、関連付けられている設定グループからもこのコントローラのテンプレートの関連付けが削除されます。 テンプレートを関連付ける Prime Infrastructure 設定を指定できます。 検出されたテンプレートは、管理またはローカルまたはゲスト ユーザー パスワードを取得しません。 テンプレート検出には次のルールが適用されます。
|
SNMP と Telnet のクレデンシャルを更新するには、各コントローラで変更を行う必要があります。複数のコントローラの SNMP または Telnet のクレデンシャルの詳細は同時に更新することはできません。
コントローラの設定を変更するには、SNMP 書き込みアクセス パラメータが必要です。読み取り専用アクセス パラメータでは、設定を表示することはできますが、変更することはできません。
SNMP/Telnet クレデンシャルをアップデートするには、次の手順を実行します。
| ステップ 1 |
を選択し、 を選択します。 |
| ステップ 2 |
該当するコントローラのチェックボックスをオンにします。 |
| ステップ 3 |
[設定(Configure)] > [資格情報の更新(Update Credentials)] をクリックします。 |
| ステップ 4 |
必須フィールドに入力して [OK] をクリックします。 |
コントローラで監査を実行すると、監査レポートに次の情報が表示されます。
CSV ファイルをインポートすることで、複数のコントローラのクレデンシャルをアップデートできます。
コントローラの情報を一括更新するには、次の手順を実行します。
| ステップ 1 |
[接続(Configuration)] > [ネットワーク(Network)] > [ネットワーク デバイス(Network Devices)] を選択し、[ワイヤレス コントローラ(Wireless Controllers)] を選択します。 |
| ステップ 2 |
該当するコントローラのチェックボックスをオンにします。 |
| ステップ 3 |
[ダウンロード(Download)] > [コントローラの一括更新(Bulk Update Controllers)] をクリックします。 |
| ステップ 4 |
[CSV ファイルの選択(Select CSV File)] テキスト ボックスに CSV ファイル名を入力するか、または [参照(Browse)] をクリックして目的のファイルを特定します。 |
| ステップ 5 |
[Update and Sync] をクリックします。 |
リブートする前に、現在のコントローラの設定を保存する必要があります。コントローラをリブートするには、次の手順を実行します。
| ステップ 1 |
を選択し、[ワイヤレス コントローラ(Wireless Controller)] を選択して、[再起動(Reboot)] > [コントローラの再起動(Reboot Controllers)] をクリックします。 |
| ステップ 2 |
必要な [Reboot Controller] オプションを選択します。
|
| ステップ 3 |
[OK] をクリックします。 |
コントローラにソフトウェアをダウンロードするには、次の手順を実行します。
| ステップ 1 |
を選択し、[デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controllers)] を選択します。 |
| ステップ 2 |
該当するコントローラのチェックボックスをオンにします。 |
| ステップ 3 |
[ダウンロード(Download)] をクリックし、次のいずれかのオプションを選択します。
|
| ステップ 4 |
必要なフィールドに入力します。 |
| ステップ 5 |
ダウンロード タイプを選択します。事前ダウンロード オプションは、選択したすべてのコントローラがリリース 7.0.x.x 以降を使用している場合のみ表示されます。
|
| ステップ 6 |
[スケジュール(Schedule)] オプションを選択します。 すべての AP がソフトウェアの事前ダウンロードを完了できるように、ダウンロードと再起動の間に十分な時間(少なくとも 30 分)をスケジュール設定します。スケジュール設定された再起動時刻に、いずれかの AP で事前ダウンロードが進行中の場合、コントローラは再起動しません。すべての AP の事前ダウンロードが終了するまで待ってから、コントローラを手動で再起動する必要があります。 |
| ステップ 7 |
ユーザ名、パスワード、およびポートを含めて、FTP クレデンシャルを入力します。 特殊文字の @、#、^、*、~、_、-、+、=、{、}、[、]、:、.、および / をパスワードに使用できます。$、'、\、%、&、(、)、;、"、<、>、,、?、および | のような特殊文字は FTP パスワードに使用できません。特殊文字「!」(感嘆符)は、パスワード ポリシーが無効の場合に使用できます。 |
| ステップ 8 |
ファイルの格納場所として [ローカル マシン(Local machine)] または [FTP サーバ(FTP Server)] を選択します。[FTP サーバ(FTP Server)] を選択すると、インストール中に指定した FTP ディレクトリにソフトウェア ファイルがアップロードされます。 |
| ステップ 9 |
[Download] をクリックします。 転送がタイムアウトした場合は、[ファイルの格納場所(File is located on)] フィールドで [FTP サーバ(FTP Server)] オプションを選択すると、サーバ ファイル名が読み込まれて Cisco Prime Infrastructure によって再試行されます。 |
指定した TFP または TFTP サーバに、コントローラ システム設定をファイルとしてアップロードできます。Prime Infrastructure では、ファイルのアップロードおよびダウンロードに、ファイル FTP および TFTP の両方がサポートされています。コントローラからファイルをアップロードするには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックして [Configuration] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。 |
| ステップ 4 |
[FTP] または [TFTP] オプション ボタンを選択し、[コントローラからファイルをアップロード(Upload File from )] を選択して [実行(Go)] をクリックします。 |
| ステップ 5 |
必要なフィールドに入力します。 Prime Infrastructure は統合 TFTP および FTP サーバを使用します。これは、サードパーティ製の TFTP および FTP サーバを Prime Infrastructure と同じワークステーション上で実行できないことを意味します。Prime Infrastructure とサードパーティ製サーバが、同一の通信ポートを使用するためです。 |
| ステップ 6 |
[OK] をクリックします。選択したファイルが、[File Name] テキスト ボックスに入力した名前で TFTP または FTP サーバにアップロードされます。 |
Prime Infrastructure では、コントローラに侵入検知システム(IDS)シグニチャ ファイルをダウンロードできます。ローカル マシンから IDS シグニチャ ファイルをダウンロードするように指定すると、Prime Infrastructure は次の 2 段階動作を開始します。
IDS シグニチャ ファイルが、すでに Prime Infrastructure サーバの TFTP ディレクトリにある場合、ダウンロードした Web ページで自動的にそのファイル名が読み込まれます。
| ステップ 1 |
を選択し、 を選択します。 |
| ステップ 2 |
該当するコントローラのチェックボックスをオンにします。 |
| ステップ 3 |
をクリックします。 |
| ステップ 4 |
必須フィールドに値を入力します。 |
| ステップ 5 |
[ダウンロード(Download)] をクリックします。 転送がタイムアウトした場合は、[File is located on] フィールドで [FTP server] オプションを選択すると、サーバ ファイル名が読み込まれて Prime Infrastructure によって再試行されます。 |
Web 認証ログイン ページに使用するページおよびイメージ ファイルを圧縮して、Web 認証バンドルと呼ばれるファイルをコントローラにダウンロードできます。
コントローラでは、サイズが 1 MB 以下の .tar または .zip ファイルを受け入れます。1 MB の制限には、バンドル内の非圧縮ファイルの合計サイズが含まれます。
カスタマイズ Web 認証バンドルをコントローラにダウンロードするには、次の手順を実行します。
| ステップ 1 |
を選択し、[デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのチェックボックスをオンにします。 |
| ステップ 3 |
をクリックします。 |
| ステップ 4 |
サンプルの login.tar バンドル ファイルをダウンロードするには、表示されたプレビュー イメージをクリックして login.html ファイルを編集し、.tar または .zip ファイルとして保存します。このファイルには、Web 認証の表示に必要なページおよびイメージ ファイルが含まれています。 |
| ステップ 5 |
.tar または .zip ファイルをコントローラにダウンロードします。 |
| ステップ 6 |
ファイルが置かれている場所を選択します。 ローカル マシンを選択した場合は、.zip または .tar のファイル タイプでアップロードできます。Prime Infrastructure は .zip ファイルを .tar ファイルに変換します。TFTP サーバのダウンロードを選択した場合は、.tar ファイル以外は指定できません。 |
| ステップ 7 |
必須フィールドに入力して [ダウンロード(Download)] をクリックします。 転送がタイムアウトした場合は、[ファイルの格納場所(File is located on)] フィールドで [FTP サーバ(FTP Server)] オプションを選択すると、サーバ ファイル名が読み込まれて Prime Infrastructure によって再試行されます。 Prime Infrastructure によってダウンロードが完了すると、新しいページが表示され、認証が可能になります。 |
各無線デバイス(コントローラ、アクセス ポイント、およびクライアント)には独自のデバイスの証明書があります。ご自身のベンダー固有のデバイス証明書を使用する場合は、その証明書をコントローラにダウンロードする必要があります。
ベンダー デバイス証明書をコントローラにダウンロードするには、次の手順を実行します。
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
の順に選択します。 |
|
| ステップ 2 |
の順に選択します([ワイヤレスコントローラ(Wireless Controller)] を展開し、特定のコントローラ シリーズを選択します)。 |
|
| ステップ 3 |
目的のコントローラの [デバイス名(Device Name)] をクリックします。 |
|
| ステップ 4 |
[設定(Configuration)] タブをクリックします。 |
|
| ステップ 5 |
の順に選択します。 |
|
| ステップ 6 |
[アップロード/ダウンロードコマンド(Upload/Download Commands)] で、転送プロトコルを選択します。 |
|
| ステップ 7 |
インストールする証明書を選択し、[実行(Go)] をクリックします。 |
|
| ステップ 8 |
必要な詳細情報を入力し、[OK] をクリックします。 |
| ステップ 1 |
を選択し、[デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのチェックボックスをオンにします。 |
| ステップ 3 |
[ダウンロード(Download)] > [ベンダー デバイス証明書のダウンロード(Download Vendor Device Certificate)] をクリックします。 |
| ステップ 4 |
必須フィールドに入力して [Download] をクリックします。 |
コントローラとアクセス ポイントには、デバイス証明書の署名と確認に使用される認証局(CA)証明書があります。コントローラには、シスコによりインストールされた CA 証明書が付属しています。この証明書は、ローカル EAP 認証時にワイヤレス クライアントを認証するために、(PAC を使用していない場合)EAP-TLS と EAP-FAST により使用される場合があります。ただし、ご自身のベンダー固有の CA 証明書を使用する場合は、その証明書をコントローラにダウンロードする必要があります。
ベンダー CA 証明書をコントローラにダウンロードするには、次の手順を実行します。
| ステップ 1 |
を選択し、[デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのチェックボックスをオンにします。 |
| ステップ 3 |
をクリックします。 |
| ステップ 4 |
必須フィールドに入力して [ダウンロード(Download)] をクリックします。 |
ネットワーク アシュアランスの設定
 (注) |
cmca2.cer 証明書は、Prime Infrastructure 3.4 でプレインストールとして提供されています。この証明書は、ダウンロードおよびインストールが不要な場合もあります。
|
| ステップ 1 |
1.https://www.cisco.com/security/pki/ にアクセスし、シスコの CA とその公開証明書の一覧を確認します。 |
||
| ステップ 2 |
FTP サーバ上でネットワーク アシュアランスを有効化する WLC に必要なすべての 例:ftp.abc.com |
||
| ステップ 3 |
Prime Infrastructure コマンド シェルに管理者ユーザとしてログインします。 |
||
| ステップ 4 |
FTP サーバからデフォルト リポジトリに証明書をコピーします。 例:次のコマンドを使用して、
|
||
| ステップ 5 |
すべての証明書について、Prime Infrastructure サーバに CA 証明書信頼をインストールします。 例:次のコマンドを使用して、
The NCS server is running. 変更は次回のサーバの再起動時に反映されます。 Importing certificate to trust store |
||
| ステップ 6 |
Prime Infrastructure サーバにすべての証明書をインストールしたら、証明書を有効にするため、サーバを再起動する必要があります。
|
Cisco Prime Infrastructure では、管理対象 WLC のワイヤレス クライアント情報のコレクションと関連するイベントをサポートしています。このデータ収集には、WLC から各プロセスに HTTPS 要求をルーティングする Prime Infrastructure サーバで実行する Apache HTTPD が必要です。WLC と Prime Infrastructure 間の通信は HTTPS 経由で行われます。つまり、WLC との通信には、PI サーバの秘密キー、証明書ファイル、CA 証明書が必要です。
Prime Infrastructure 3.4 をインストールすると、WSA コレクタに対して秘密キーと X.509 自己署名付き証明書のセットが自動的に生成され、次の場所にコピーされます。
秘密キーの場所:/opt/CSCOlumos/wsa/apache/cert/server.key
自己署名付き証明書ファイル(X.509 形式)の場所:/localdisk/tftp または /localdisk/ftp
CA 証明書ファイルの場所:/opt/CSCOlumos/conf/certs/server_rootcacert.pem
上記の場所にある各ファイルをコピーすると、独自の秘密キー、証明書、CA 署名付き証明書を使用できます。
例:https://[prime_server_ip]:8080自己署名付き証明書は、共通名(CN)として Prime Infrastructure サーバの eth0 インターフェイスの IP アドレスを使用します。自動的に生成された証明書の使用を続ける場合は、eth0 インターフェイスの IP アドレスを
Prime Infrastructure サーバで使用する WLC の NA サーバ URL を設定する必要があります(手順 4 を参照)。例:https://[prime_server_ip]:8080
WLC との通信には自動的に生成された証明書で十分です。この使用を続ける場合は、以下の証明書を使用して WLC を設定する方法を参照してください。Prime サーバのホスト名または別の IP アドレスを使用して別の証明書セットを生成する場合は、次のコマンドを使用できます。
IP アドレスを使用した証明書の生成
TFTP の使用:
/usr/bin/openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /opt/CSCOlumos/wsa/apache/cert/server.key -out /localdisk/tftp/prime-wsa-apache-server.crt -subj "/C=US/ST=CA/L=CA/O=CISCO/OU=PRIME/CN=${IP_ADDR}"
FTP の使用:
/usr/bin/openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /opt/CSCOlumos/wsa/apache/cert/server.key -out /localdisk/ftp/prime-wsa-apache-server.crt -subj "/C=US/ST=CA/L=CA/O=CISCO/OU=PRIME/CN=${IP_ADDR}"
ここで、IP_ADDR は、キーおよび証明書を生成するための Prime Infrastructure サーバの IP アドレスです。
ホスト名を使用した証明書の生成
TFTP の使用:
usr/bin/openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /opt/CSCOlumos/wsa/apache/cert/server.key -out /localdisk/tftp/prime-wsa-apache-server.crt -subj "/C=US/ST=CA/L=CA/O=CISCO/OU=PRIME/CN=${PI_FQDN}
FTP の使用:
usr/bin/openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /opt/CSCOlumos/wsa/apache/cert/server.key -out /localdisk/ftp/prime-wsa-apache-server.crt -subj "/C=US/ST=CA/L=CA/O=CISCO/OU=PRIME/CN=${PI_FQDN}
ここで、PI_FQDN は Prime Infrastructure サーバの完全修飾ホスト名です。
(注) |
証明書で指定された共通名(CN)が Prime Infrastructure サーバのホスト名の場合は、DNS が解決可能である必要があります。それ以外の場合は、共通名で Prime サーバの IP アドレスを指定する必要があります。 |
証明書の生成後、/localdisk/tftp/prime-wsa-apache-server.crt または /localdisk/ftp/prime-wsa-apache-server.crt のファイルを Prime Infrastucture にワイヤレス クライアント情報を送信する各 WLC にアップロードする必要があります。
(注) |
TFTP/SFTP/FTP サーバを使用して証明書ファイルをプッシュする場合は、そのサーバで指定されたファイルをコピーする必要があります。 |
WLC が Prime Infrastructure と通信するためには、認証のため、NA サーバ CA 証明書が必要です。
証明書をダウンロードする前に、証明書のセットを生成するか、独自の証明書を特定の場所にアップロードして Prime Infrastructure がそこから取得できるようにすることが必要になる場合があります。詳細については、関連するリンクを参照してください。
(注) |
HA セットアップでは、WLC に証明書を適用するときは、 で、セカンダリ サーバの IP アドレスを手動で追加する必要があります。証明書をアップロードするときも、ドロップダウン リストからセカンダリ サーバの IP アドレスを選択する必要があります。そうしないと、セカンダリ サーバでのフェールオーバー後に、デフォルトの IP アドレスが プライマリとしてリストされます。 |
TFTP ロケーションのローカル ディスクからコントローラに CA 証明書をダウンロードするには、次の手順に従います。
| ステップ 1 |
を選択し、[デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのチェックボックスをオンにします。 |
| ステップ 3 |
の順にクリックします。 |
| ステップ 4 |
ファイルの場所を選択し、必須フィールドに入力して、[ダウンロード(Download)] をクリックします。 |
(注) |
HA セットアップでは、WLC に証明書を適用するときは、 で、セカンダリ サーバの IP アドレスを手動で追加する必要があります。証明書をアップロードするときも、ドロップダウン リストからセカンダリ サーバの IP アドレスを選択する必要があります。そうしないと、セカンダリ サーバでのフェールオーバー後に、デフォルトの IP アドレスが プライマリとしてリストされます。 |
| ステップ 1 |
を選択し、[デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
||
| ステップ 2 |
証明書をダウンロードするコントローラをクリックします。 |
||
| ステップ 3 |
[設定(Configuration)] タブをクリックします。 |
||
| ステップ 4 |
左サイドバーのメニューで、 の順にクリックします。 |
||
| ステップ 5 |
ファイルの場所を選択し、ドロップダウン メニューから [NAサーバCA証明書のダウンロード(Download NA Server CA Certificate)] を選択します。
|
||
| ステップ 6 |
[移動(Go)] をクリックします。 |
||
| ステップ 7 |
必要な詳細情報を入力し、[OK] をクリックします。 |
設定をフラッシュ メモリに保存するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのチェックボックスをオンにします。 |
| ステップ 3 |
をクリックします。 |
コントローラから設定を同期するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのチェックボックスをオンにします。 |
| ステップ 3 |
[同期(Sync)] をクリックし、[はい(Yes)] をクリックして続行します |
現在のテンプレートを検出するには、次の手順を実行します。
| ステップ 1 |
を選択し、[デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのチェックボックスをオンにします。 |
| ステップ 3 |
をクリックします。 [テンプレートの検出(Discover Templates)] ページには、検出されたテンプレートの数、各テンプレートのタイプ、および各テンプレートの名前が表示されます。テンプレート検出ツールでは、テンプレートをサポートしており、Cisco WLC 上で検出可能なすべての機能が検出されます。 |
| ステップ 4 |
[Enabling this option will create association between discovered templates and the device listed above] チェックボックスをオンにすると、検出されたテンプレートがデバイスの設定に関連付けられ、当該のコントローラに適用されていることが表示されます。 テンプレートの検出を実行した場合、実際に検出が実行される前に、コントローラから設定が更新されます。 |
| ステップ 5 |
検出を続行するには、警告ダイアログボックスで [OK] をクリックします。 TACACS+ サーバ テンプレートの場合、サーバ IP アドレスおよびポート番号が同じで、サーバ タイプが異なるコントローラの設定は、単一のテンプレートに集約されます。このとき、対応するサーバ タイプが検出されたテンプレートに設定されます。TACACS+ サーバ テンプレートの場合、検出されたテンプレートの管理ステータスには、最初に見つかったサーバ IP アドレスおよびポート番号が同じコントローラの設定の管理ステータスが反映されます。 |
特定のコントローラに現在適用されているすべてのテンプレートを表示できます。Prime Infrastructure は、パーティションに適用されているテンプレートのみを表示します。
適用されているテンプレートを表示するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのチェックボックスをオンにします。 |
| ステップ 3 |
[設定(Configure)] > [コントローラに適用されているテンプレート(Templates Applied to a Controller)] をクリックします。 このページに、適用されている各テンプレート名、テンプレート タイプ、テンプレートの最終保存日、およびテンプレートの最終適用日が表示されます。 |
| ステップ 4 |
テンプレート名のリンクをクリックして、テンプレートの詳細を表示します。詳細については、「コントローラで使用されている設定テンプレートの確認と関連付けの削除」を参照してください。 |
IP アドレスを変更せずに古いコントローラ モデルを新しいモデルに置き換える場合は、次の手順を実行します。
デバイス名、場所、SNMP パラメータ、Telnet/SSH パラメータなどのコントローラ プロパティを変更するには、次の手順を実行します。
| ステップ 1 |
[設定(Configuration)] > [ネットワーク(Network)] > [ネットワーク デバイス(Network Devices)] を選択し、[デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
ワイヤレス コントローラを選択して [編集(Edit)] をクリックします。 |
| ステップ 3 |
必要に応じてフィールドを変更し、次のいずれかのボタンをクリックします。
|
現在のコントローラの一般システム パラメータを表示するには、次の手順を実行します。
| ステップ 1 |
[設定(Configuration)] > [ネットワーク(Network)] > [ネットワーク デバイス(Network Devices)] を選択し、[デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
デバイス名をクリックして [設定(Configuration)] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[システム(System)] > [汎用 - システム(General - System)] の順に選択します。一般システム パラメータが表示されます。『Cisco Prime Infrastructure Reference Guide』を参照してください。 |
| ステップ 4 |
必要な変更を行い、[保存(Save)] をクリックします。 |
コントローラに障害が発生した場合、アクセス ポイントに設定されたバックアップ コントローラがすぐに多くの検出と接続要求を受信します。コントローラが過負荷になった場合、一部のアクセス ポイントが拒否される場合があります。
フェールオーバーの優先順位をアクセス ポイントに割り当てることによって、拒否されるアクセス ポイントを制御できます。バックアップ コントローラが過負荷になった場合、優先度が高く設定されているアクセス ポイントの接続リクエストの方が、優先度の低いアクセス ポイントよりも優先されます。
アクセス ポイントのフェールオーバー優先度設定を設定するには、まず AP Failover Priority 機能を有効にする必要があります。
AP Failover Priority 機能を有効にする手順は、次のとおりです。
| ステップ 1 |
を選択し、[デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
デバイス名をクリックして [Configuration] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[汎用 - システム(General - System)] を選択します。 |
| ステップ 4 |
[AP Failover Priority] ドロップダウン リストから、[Enabled] を選択します。 |
| ステップ 5 |
アクセス ポイントのフェールオーバー プライオリティを設定するには、次の手順を実行します。
|
コントローラは、一般的にレジやレジ サーバで使用されるような 802.3 フレームおよびそれらを使用するアプリケーションをサポートしています。ただし、これらのアプリケーションをコントローラとともに使用するには、802.3 のフレームがコントローラ上でブリッジされている必要があります。
未加工の 802.3 フレームのサポートにより、コントローラは、IP 上で実行していないアプリケーション用の IP 以外のフレームをブリッジできるようになります。この未加工の 802.3 フレームの形式のみが、現在サポートされています。
Prime Infrastructure を使用して 802.3 ブリッジを設定するには、次の手順を実行します。
| ステップ 1 |
を選択し、[デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
デバイス名をクリックして [Configuration] タブをクリックします。 |
| ステップ 3 |
[システム(System)] > [汎用 - システム(General - System)] の順に選択して、[一般(General)] ページにアクセスします。 |
| ステップ 4 |
802.3 ブリッジをコントローラ上で有効にする場合は、[802.3 ブリッジ(802.3 Bridging)] ドロップダウン リストから [有効(Enable)] を選択し、無効にする場合は [無効(Disable)] を選択します。デフォルト値は [無効(Disable)] です。 |
| ステップ 5 |
[Save] をクリックして変更を確定します。 |
フロー制御は、モデムなどの送信エンティティにより、データを持つ受信エンティティが過負荷にならないようにする手法です。受信側デバイスのバッファに空きがない場合、メッセージが送信側デバイスに送信され、バッファ内のデータが処理されるまで伝送は一時停止されます。
デフォルトでは、フロー制御は無効に設定されています。ポーズ フレームを受信しても送信できないように Cisco スイッチを設定できるだけです。
| ステップ 1 |
を選択し、[デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
デバイス名をクリックして [Configuration] タブをクリックします。 |
| ステップ 3 |
[システム(System)] > [一般 - システム(General - System)] の順に選択して、[一般(General)] ページにアクセスします。 |
| ステップ 4 |
[802.3x Flow Control] フィールドで [Enable] をクリックします。 |
Lightweight Access Point Protocol 転送モードは、コントローラとアクセス ポイント間の通信レイヤを示します。Cisco IOS ベースの Lightweight アクセス ポイントは、レイヤ 2 Lightweight アクセス ポイント モードはサポートしていません。このようなアクセス ポイントは、レイヤ 3 でしか実行できません。
Prime Infrastructure ユーザ インターフェイスを使用して Cisco Unified Wireless Network ソリューションをレイヤ 3 からレイヤ 2 Lightweight アクセス ポイント転送モードに変換するには、次の手順を実行します。この手順を実行すると、コントローラがリブートしてアクセス ポイントがコントローラと再アソシエートするまで、アクセス ポイントはオフラインになります。
| ステップ 1 |
コントローラとアクセス ポイントはすべて同じサブネット上に配置するようにします。 変換を実行する前に、コントローラおよびアソシエートしているアクセス ポイントをレイヤ 2 モードで動作するように設定する必要があります。 |
| ステップ 2 |
を選択し、 を選択します。 |
| ステップ 3 |
デバイス名をクリックし、[設定(Configuration)] タブをクリックしてから、を選択して [一般(General)] ページにアクセスします。 |
| ステップ 4 |
コントローラを選択し、 をクリックします。 |
| ステップ 5 |
[フラッシュへの設定の保存(Save Config to Flash)] オプションを選択します。 |
| ステップ 6 |
コントローラがリブートしたら、次の手順に従って CAPWAP 転送モードがレイヤ 2 になっていることを確認します。 |
ルーティングでは、ロード バランシングは、宛先アドレスからの距離が同じすべてのネットワーク ポートでトラフィックを分配するルータの機能を示します。優れたロードバランシング アルゴリズムでは、回線速度と信頼性の両方の情報を使用します。ロード バランシングを行うと、ネットワーク セグメントの使用率が増加するため、実質的にネットワーク帯域幅が増加します。
アグレッシブ ロード バランシングは、モバイル クライアントとアソシエートされたアクセス ポイントの間で負荷をアクティブに分散させます。
リンク集約によって、物理ポートをすべてグループ化してリンク集約グループ(LAG)を作成し、コントローラ上のポートを構成するために必要な IP アドレスの数を削減できます。4402 モデルでは、LAG を形成するために 2 つのポートが組み合わされます。4404 モデルでは、4 つのポートすべてが LAG を形成するため組み合わされます。
コントローラ上では、複数の LAG を作成できません。
LAG がコントローラ上で有効な場合、次の設定が変更されます。
LAG の作成には、次のようなメリットがあります。
LAG 設定に変更を加えると、変更を有効にするためにコントローラをリブートする必要があります。
IPsec 動作により、ワイヤレスによる管理は WPA、静的 WEP、または VPN パススルー WLAN でログインしているオペレータのみが実行できます。ワイヤレス管理は、IPsec WLAN を経由してログインしようとしているクライアントは実行できません。
クライアントが別のアクセス ポイントへの接続を試みるまでの遅延時間を指定できます。この機能を使用することで、エラーがすばやく特定され、クライアントが問題発生のコントローラから移動し、別のコントローラに接続されるため、コントローラのエラー後にクライアントが別のアクセス ポイントに接続するためにかかる時間が短縮されます。
コントローラの設定を工場出荷時の初期状態にリセットできます。この操作により、すべての適用および保存されている設定パラメータが上書きされます。コントローラの再初期化を確認するプロンプトが表示されます。
すべての設定データ ファイルが削除され、再起動時にコントローラが元の未設定状態に復元されます。これにより、すべての IP 設定が削除されるため、シリアル接続で基本設定を復元する必要があります。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックして [Configuration] タブをクリックします。 |
| ステップ 3 |
このページにアクセスするには、左側のサイドバーのメニューから を選択し、[管理コマンド(Administrative Commands)] ドロップダウン リストから [工場出荷時の初期状態にリセット(Reset to Factory Default)] を選択して、[実行(Go)] をクリックします。 |
| ステップ 4 |
設定の削除を確定した後に、コントローラをリブートし、[保存せずに再起動(Reboot Without Saving)] オプションを選択する必要があります。 |
コントローラで現在の時刻と日付を手動で設定できます。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Devices Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックして [Configuration] タブをクリックします。 |
| ステップ 3 |
このページにアクセスするには、左側のサイドバーのメニューから を選択し、[設定コマンド(Configuration Commands)] ドロップダウン リストから [システム時刻の設定(Set System Time)] を選択して [実行(Go)] をクリックします。 |
| ステップ 4 |
必須パラメータを変更します。
|
コントローラからローカル TFTP(Trivial File Transfer Protocol)サーバにファイルをアップロードできます。 ページで、TFTP を有効にして [デフォルト サーバ(Default Server)] オプションを使用する必要があります。
Prime Infrastructure では統合 TFTP サーバを使用しています。これは、サードパーティ製の TFTP サーバが Prime Infrastructure と同じワークステーション上では実行できないことを意味します。Prime Infrastructure とサードパーティ製の TFTP サーバが、同一の通信ポートを使用するためです。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックして [Configuration] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。 |
| ステップ 4 |
[アップロード/ダウンロード コマンド(Upload/Download Commands)] ドロップダウン リストから、[コントローラからファイルをアップロード(Upload File from Controller)] を選択して [実行(Go)] をクリックします。 デフォルトでは、コンフィギュレーション ファイルの暗号化は無効になっています。コンフィギュレーション ファイルは暗号化なしでアップロードされるため、安全ではありません。 |
| ステップ 5 |
ファイルをアップロードする前に暗号化を有効にするには、[コントローラからのファイルのアップロード(Upload File from Controller)] ページの下部にあるリンクをクリックします。 |
| ステップ 6 |
必須フィールドに入力して [OK] をクリックします。選択したファイルが指定した名前の TFTP サーバにアップロードされます。 |
ローカル TFTP(Trivial File Transfer Protocol)サーバからコントローラにコンフィギュレーション ファイルをダウンロードできます。
Prime Infrastructure は統合 TFTP サーバを使用します。これは、サードパーティ製の TFTP サーバは Prime Infrastructure と同じワークステーション上では実行できないことを意味します。Cisco Prime Infrastructure とサードパーティ製 TFTP サーバが、同一の通信ポートを使用するためです。
| ステップ 1 |
を選択し、[デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
デバイス名をクリックして [Configuration] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[システム(System)] > [コマンド(Commands)] の順に選択します。 |
| ステップ 4 |
[アップロード/ダウンロード コマンド(Upload/Download Commands)] ドロップダウン リストから、[設定のダウンロード(Download Config)] を選択して、[実行(Go)] をクリックします。 |
| ステップ 5 |
必須フィールドに入力して [OK] をクリックします。 |
インターフェイスを追加するには、次の手順を実行します。
| ステップ 1 |
を選択し、[デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
デバイス名をクリックして [Configuration] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[System] > [Interfaces] の順に選択します。 |
| ステップ 4 |
[コマンドの選択(Select a command)] ドロップダウン リストから、を選択します。 |
| ステップ 5 |
必要なフィールドに入力したら、[保存(Save)] をクリックします。 |
既存のインターフェイスを表示するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックして [設定(Configuration)] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。次のパラメータが表示されます。
|
インターフェイス グループに割り当てられている動的インターフェイスは削除できません。動的インターフェイスを削除するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Devices Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックして [Configuration] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。 |
| ステップ 4 |
削除する動的インターフェイスのチェックボックスをオンにして、[コマンドの選択(Select a command)] ドロップダウン リストから [動的インターフェイスの削除(Delete Dynamic Interfaces)] を選択します。 |
| ステップ 5 |
[OK] をクリックして削除を実行します。 |
インターフェイス グループは、インターフェイスの論理的なグループです。インターフェイス グループを使用すると、同じインターフェイス グループを複数の WLAN で設定するユーザ設定や、AP グループごとに WLAN インターフェイスを上書きすることが容易になります。インターフェイス グループには検疫済みまたは検疫済みでないインターフェイスを排他的に含めることができます。1 つのインターフェイスを複数のインターフェイス グループに含めることができます。
コントローラ システム インターフェイス グループを設定する場合は、次の推奨事項に従ってください。
インターフェイス グループ機能は、シスコ ワイヤレス コントローラ ソフトウェア リリース 7.0.116.0 以降でサポートされます。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックして [Controller] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。 次のパラメータが表示されます。
|
| ステップ 4 |
既存のインターフェイス グループを表示するには、[インターフェイス グループ名(Interface Group Name)] リンクをクリックします。 [インターフェイス グループの詳細(Interface Groups Details)] ページが表示され、インターフェイス グループの詳細と、特定のインターフェイス グループの一部を構成するインターフェイスの詳細が示されます。 |
| ステップ 5 |
インターフェイス グループを追加するには、次の手順を実行します。
|
| ステップ 6 |
インターフェイス グループを削除するには、次のようにします。 |
| ステップ 7 |
[Interface Group] ページからインターフェイスを削除するには、インターフェイスを選択して [Remove] をクリックします。 |
| ステップ 8 |
[Save] をクリックして、変更を確定します。 |
Cisco Network Admission Control(NAC)アプライアンス(Cisco Clean Access(CCA)とも呼ばれます)は、ネットワーク管理者がユーザにネットワークへの接続を許可する前に、有線、無線、およびリモート ユーザとそのマシンを認証、承認、評価、修復できる、ネットワーク アドミッション コントロール(NAC)製品です。Cisco NAC アプライアンスは、マシンがセキュリティ ポリシーに準拠しているかどうかを判別し、脆弱性を修復してから、ネットワークへのアクセスを許可します。NAC アプライアンスは、インバンド モードとアウトオブバンド モードの 2 つのモードで利用できます。顧客は、必要に応じて特定の種類のアクセスを対象にし、2 つのモードを展開できます(例:無線ユーザをサポートする場合はインバンド、有線ユーザをサポートする場合はアウトオブバンド)。
SNMP NAC アウトオブバンド統合を使用する場合は、次のガイドラインに従ってください。
詳細については、「Cisco NAC Appliance Configuration」を参照してください。
RADIUS NAC を使用する場合には、次のガイドラインに従ってください。
SNMP NAC アウトオブバンド統合を設定するには、次のワークフローを実行します。
動的インターフェイスに対して検疫 VLAN を設定するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Devices Groups)] メニューから [デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controller)] を選択します。 |
||
| ステップ 2 |
[IP Address] 列でアウトオブバンド統合の設定を行うコントローラをクリックして選択します。 |
||
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。 |
||
| ステップ 4 |
[インターフェイス名(Interface Name)] をクリックします。 |
||
| ステップ 5 |
[コマンドの選択(Select a command)] ドロップダウン リストから [インターフェイスの追加(Add Interface)] を選択し、[実行(Go)] をクリックします。 |
||
| ステップ 6 |
[インターフェイス名(Interface Name)] テキスト ボックスに、「quarantine」など、このインターフェイスの名前を入力します。 |
||
| ステップ 7 |
[VLAN ID] テキスト ボックスに、アクセス VLAN ID としてゼロ以外の値(「10」など)を入力します。 |
||
| ステップ 8 |
インターフェイスに検疫 VLAN ID が設定されている場合は、[検疫(Quarantine)] チェックボックスをオンにします。 |
||
| ステップ 9 |
このインターフェイスの残りのフィールド(IP アドレス、ネットマスク、デフォルト ゲートウェイなど)を設定します。
|
||
| ステップ 10 |
プライマリおよびセカンダリ DHCP サーバの IP アドレスを入力します。 |
||
| ステップ 11 |
[Save] をクリックします。 |
WLAN またはゲスト LAN で NAC アウトオブバンド サポートを設定するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[WLANs] > [WLAN] の順に選択します。 |
| ステップ 4 |
[コマンドの選択(Select a command)] ドロップダウン リストから [WLAN の追加(Add a WLAN)] を選択し、[実行(Go)] をクリックします。 |
| ステップ 5 |
このコントローラに適用する作成済みのテンプレートがある場合には、ドロップダウン リストからゲスト LAN テンプレート名を選択します。そうでない場合には、[ここをクリック(click here)] リンクをクリックして新しいテンプレートを作成します。 |
| ステップ 6 |
[Advanced] タブをクリックします。 |
| ステップ 7 |
この WLAN またはゲスト LAN に SNMP NAC サポートを設定するには、[] ドロップダウン リストから [SNMP NAC] を選択します。SNMP NAC サポートを無効にするには、[NAC ステージ(NAC Stage)] ドロップダウン リストから [なし(None)](デフォルト値)を選択します。 |
| ステップ 8 |
[適用(Apply)] をクリックして、変更を確定します。 |
特定の AP グループに NAC アウトオブバンド サポートを設定するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Devices Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックして [コントローラ(Controller)] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択し、[AP グループ(AP Groups)] ページを表示します。 |
| ステップ 4 |
目的の AP グループの名前をクリックします。 |
| ステップ 5 |
[インターフェイス名(Interface Name)] ドロップダウン リストから、検疫を有効にしたインターフェイスを選択します。 |
| ステップ 6 |
この AP グループに SNMP NAC サポートを設定するには、[Nac State] ドロップダウン リストから [SNMP NAC] を選択します。NAC アウトオブバンドのサポートを無効にするには、[NAC の状態(NAC State)] ドロップダウン リストから [なし(None)](デフォルト値)を選択します。 |
| ステップ 7 |
[Apply] をクリックして、変更を確定します。 |
クライアントの現在の状態([検疫(Quarantine)] または [アクセス(Access)])を表示するには、次の手順を実行します。
| ステップ 1 |
を選択して、[クライアント(Clients)] を開きます。クライアントの検索を実行します。 |
| ステップ 2 |
目的のクライアントの MAC アドレスをクリックして、[クライアント(Clients)] > [詳細(Detail)] ページを開きます。[Security Information] セクションの下に NAC ステートが [Access]、[Invalid]、または [Quarantine] と表示されます。 |
有線ゲスト アクセスでは、ゲスト ユーザがゲスト アクセス用に指定および設定された有線イーサネット接続からゲスト アクセス ネットワークへ接続できます。有線ゲスト アクセス ポートは、ゲストのオフィスまたは会議室の特定のポートで使用できます。
無線ゲスト ユーザ アカウントのように、有線ゲスト アクセス ポートが Lobby Ambassador 機能を使用するネットワークに追加されます。有線ゲスト アクセスは、スタンドアロン設定、またはアンカーおよび外部のコントローラを配置したデュアル コントローラ設定で設定することができます。この後者の設定は、有線ゲスト アクセス トラフィックをさらに分離するために使用されますが、有線ゲスト アクセスの展開には必須ではありません。
有線ゲスト アクセス ポートは、最初、レイヤ 2 アクセス スイッチか、有線ゲストのアクセス トラフィック用 VLAN インターフェイスで設定されたスイッチ ポートで終端します。有線ゲスト トラフィックは、その後、アクセス スイッチからワイヤレス LAN コントローラにトランキングされます。このコントローラは、アクセス スイッチ上で有線ゲスト アクセス VLAN にマップされているインターフェイスを使用して設定されます。
2 つのコントローラが使用されている場合、外部コントローラがスイッチから有線ゲスト トラフィックを受信し、次に有線ゲスト トラフィックをアンカーコントローラに転送します。アンカーコントローラも有線ゲストのアクセスに対して設定されています。有線ゲスト トラフィックがアンカー コントローラに正常に渡されると、外部コントローラとアンカー コントローラ間に双方向の Ethernet over IP(EoIP)トンネルが確立され、このトラフィックを処理します。
2 つのコントローラが展開される際、有線ゲスト アクセスはアンカーと外部アンカーによって管理されますが、有線ゲスト アクセス クライアントではモビリティはサポートされません。この場合、DHCP およびクライアントの Web 認証は、アンカー コントローラによって処理されます。
ロールと帯域幅コントラクトを設定して割り当てることで、ネットワーク内の有線ゲスト ユーザに割り当てる帯域幅の量を指定できます。
有線ゲスト ユーザ アクセスを設定して有効化するには、次のワークフローを実行します。
ネットワークの有線ゲスト ユーザ アクセス用に動的インターフェイス(VLAN)を設定して有効にするには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックして [コントローラ(Controller)] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[System] > [Interfaces] の順に選択します。 |
| ステップ 4 |
[コマンドの選択(Select a command)] ドロップダウン リストから [インターフェイスの追加(Add Interface)] を選択し、[実行(Go)] をクリックします。 |
| ステップ 5 |
必要なフィールドに入力します。 |
| ステップ 6 |
[Save] をクリックします。 |
ゲスト ユーザ アクセス用の有線 LAN を設定するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Devices Groups)] メニューから [デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
デバイス名をクリックします。 |
| ステップ 3 |
ゲスト ユーザ アクセス用の有線 LAN を設定するには、左側のサイドバーのメニューから [WLANs] > [WLAN 設定(WLAN configuration)] の順に選択します。 |
| ステップ 4 |
[コマンドの選択(Select a command)] ドロップダウン リストから [WLAN の追加(Add a WLAN)] を選択し、[実行(Go)] をクリックします。 |
| ステップ 5 |
このコントローラに適用する作成済みのテンプレートがある場合には、ドロップダウン リストからゲスト LAN テンプレート名を選択します。そうでない場合には、[ここをクリック(click here)] リンクをクリックして新しいテンプレートを作成します。 |
| ステップ 6 |
[WLAN] > [新規テンプレート(New Template)] の [一般(General)] ページで、[プロファイル名(Profile Name)] テキスト ボックスにゲスト LAN を示す名前を入力します。入力する名前には、スペースを使用しないでください。 |
| ステップ 7 |
[WLAN ステータス(WLAN Status)] フィールドの [有効(Enabled)] チェックボックスをオンにします。 |
| ステップ 8 |
[入力インターフェイス(Ingress Interface)] ドロップダウン リストから、ステップ 3 で作成した VLAN を選択します。この VLAN は、レイヤ 2 アクセス スイッチを経由して、有線ゲスト クライアントとコントローラとの間のパスを提供します。 |
| ステップ 9 |
[出力インターフェイス(Egress Interface)] ドロップダウン リストから、インターフェイスの名前を選択します。この WLAN は、有線ゲスト クライアント トラフィック用にコントローラから外部へのパスを提供します。設定にコントローラが 1 つしかない場合は、[出力インターフェイス(Egress Interface)] ドロップダウン リストから [管理(management)] を選択します。 |
| ステップ 10 |
[Security] > [Layer 3] タブをクリックして、デフォルトのセキュリティ ポリシー(Web 認証)を変更するか、または WLAN 固有の Web 認証(ログイン、ログアウト、ログイン失敗)ページとサーバ ソースを割り当てます。 |
| ステップ 11 |
[Web 認証タイプ(Web Authentication Type)] で [外部(External)] を選択した場合は、[セキュリティ(Security)] > [AAA] を選択し、ドロップダウン リストから RADIUS サーバと LDAP サーバを 3 つまで選択します。 |
| ステップ 12 |
[保存(Save)] をクリックします。 |
| ステップ 13 |
2 番めの(アンカー)コントローラがネットワークで使用中の場合は、このプロセスを繰り返します。 |
入力インターフェイスを作成するには、次の手順を実行します。
| ステップ 1 |
[設定(Configuration)] > [ネットワーク(Network)] > [ネットワークデバイス(Network Devices)] を選択し、左側の [デバイスグループ(Devices Groups)] メニューから [デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
デバイス名をクリックして [コントローラ(Controller)] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[System] > [Interfaces] の順に選択します。 |
| ステップ 4 |
[Select a command] ドロップダウン リストから [Add Interface] を選択し、[Go] をクリックします。 |
| ステップ 5 |
[インターフェイス名(Interface Name)] テキスト ボックスに、guestinterface など、このインターフェイスの名前を入力します。 |
| ステップ 6 |
新しいインターフェイスの VLAN ID を入力します。 |
| ステップ 7 |
[ゲスト LAN(Guest LAN)] チェックボックスをオンにします。 |
| ステップ 8 |
プライマリ ポート番号とセカンダリ ポート番号を入力します。 |
| ステップ 9 |
[Save] をクリックします。 |
出力インターフェイスを作成するには、次の手順を実行します。
| ステップ 1 |
[設定(Configuration)] > [ネットワーク(Network)] > [ネットワークデバイス(Network Devices)] を選択し、左側の [デバイスグループ(Devices Groups)] メニューから [デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
デバイス名をクリックして [コントローラ(Controller)] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[System] > [Interfaces] の順に選択します。 |
| ステップ 4 |
[Select a command] ドロップダウン リストから [Add Interface] を選択し、[Go] をクリックします。 |
| ステップ 5 |
[インターフェイス名(Interface Name)] テキスト ボックスに、quarantine など、このインターフェイスの名前を入力します。 |
| ステップ 6 |
[vlan Id] テキスト ボックスに、アクセス VLAN ID としてゼロ以外の値(「10」など)を入力します。 |
| ステップ 7 |
[検疫(Quarantine)] チェックボックスをオンにして、検疫 VLAN 識別子としてゼロ以外の値(「110」など)を入力します。 [検疫(Quarantine)] が有効なインターフェイスの場合、WLAN またはゲスト WLAN テンプレートの [詳細設定(Advanced)] タブで NAC サポートを有効にできます。 |
| ステップ 8 |
IP アドレス、ネットマスク、およびゲートウェイの情報を入力します。 |
| ステップ 9 |
プライマリ ポート番号とセカンダリ ポート番号を入力します。 |
| ステップ 10 |
プライマリおよびセカンダリ DHCP サーバの IP アドレスを入力します。 |
| ステップ 11 |
このインターフェイスの残りのフィールドを設定し、[保存(Save)] をクリックします。 これで、ゲスト アクセス用の有線 LAN を作成できるようになりました。 |
[ネットワーク ルート(Network Route)] ページでは、コントローラのサービス ポートにルートを追加できます。このルートを使用することで、すべてのサービス ポート トラフィックを指定した管理 IP アドレスに送ることができます。
既存のネットワーク ルートを表示するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。. |
| ステップ 2 |
デバイス名をクリックして [コントローラ(Controller)] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。次のパラメータが表示されます。
|
ネットワーク ルートを追加するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックして [コントローラ(Controller)] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[System] > [Network Route] の順に選択します。 |
| ステップ 4 |
[コマンドの選択(Select a command)] ドロップダウン リストから、[ネットワーク ルートの追加(Add Network Route)] を選択します。 |
| ステップ 5 |
[実行(Go)] をクリックします。 |
| ステップ 6 |
必須フィールドに入力して [Save] をクリックします。 |
スパニング ツリー プロトコル(STP)は、ネットワーク内の有害なループを防止しながら、パスの冗長性を実現するリンク管理プロトコルです。
現在の STP パラメータを表示または管理するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックして [Controller] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。[Spanning Tree Protocol] ページに、次のパラメータが表示されます。
|
モビリティ(ローミング)は、ワイヤレス ネットワークにおいて、できるだけ遅れることなく、確実かつスムーズに、あるアクセス ポイントから別のアクセス ポイントへアソシエーションを維持するワイヤレス クライアントの機能です。あるワイヤレス クライアントがアクセス ポイントによってアソシエートされ認証されると、コントローラは、クライアント データベースにそのクライアントに対するエントリを設定します。このエントリにはクライアントの MAC アドレスと IP アドレス、セキュリティ コンテキストとアソシエーション、Quality of Service(QoS)コンテキスト、WLAN、アソシエートされているアクセス ポイントなどが含まれます。コントローラはこの情報を使用してフレームを転送し、ワイヤレス クライアントで送受信されるトラフィックを管理します。
ワイヤレス クライアントがそのアソシエーションをあるアクセス ポイントから別のアクセス ポイントへ移動する場合、コントローラはクライアントのデータベースを新たにアソシエートするアクセス ポイントでアップデートするだけです。必要に応じて、新たなセキュリティ コンテキストとアソシエーションも確立されます。次の図には、2 つのアクセス ポイントが同じコントローラに接続されている場合の両アクセス ポイント間における無線クライアント ローミングが示されています。図 146591
1 つのコントローラに接続されているアクセス ポイントから別のコントローラに接続されているアクセス ポイントにクライアントがローミングする際のプロセスは、同じサブネットでコントローラが動作しているかどうかによっても異なります。次の図は、コントローラの無線 LAN インターフェイスが同じ IP サブネット上に存在する場合に発生するコントローラ間ローミングを表しています。
クライアントが新たなコントローラに接続されたアクセス ポイントにアソシエートされている場合、新たなコントローラはモビリティ メッセージを元のコントローラと交換し、クライアントのデータベース エントリは新たなコントローラに移動されます。必要に応じて新しいセキュリティ コンテキストとアソシエーションが確立され、新しいアクセス ポイントに関してクライアント データベース エントリが更新されます。このプロセスはユーザには見えません。
802.1X/Wi-Fi Protected Access(WPA)セキュリティで設定したすべてのクライアントは、IEEE 標準に準拠するために完全な認証を行います。
サブネット間ローミングは、クライアント ローミング方法に関するモビリティ メッセージをコントローラが交換するという点で、コントローラ間ローミングと似ています。ただし、クライアントのデータベース エントリを新しいコントローラに移動するのではなく、元のコントローラのクライアント データベース内で該当クライアントに「アンカー」エントリのマークが付けられます。このデータベース エントリが新しいコントローラのクライアント データベースにコピーされ、新しいコントローラ内で「外部」エントリのマークが付けられます。ローミングは無線クライアントには見えません。また、クライアントはその元の IP アドレスを保持します。
サブネット間ローミングの後は、データは無線クライアントとの間で非対称のトラフィック パスで転送されます。クライアントからネットワークへのトラフィックは、外部コントローラによってネットワークに直接転送されます。クライアントへのトラフィックはアンカー コントローラに到達し、そこから EtherIP トンネルで外部コントローラにトラフィックが転送されます。その後、外部コントローラがそのデータをクライアントに転送します。無線クライアントが新しい外部コントローラへローミングする場合は、クライアント データベース エントリが元の外部コントローラから新しい外部コントローラに移動されますが、元のアンカー コントローラは常に保持されます。クライアントが元のコントローラに戻ると、再びローカルになります。
サブネット間ローミングでは、アンカーと外部の両方のコントローラの WLAN に同じネットワーク アクセス権限を設定する必要があり、ソースベースのルーティングやソースベースのファイアウォールを設定しないでおく必要があります。そうしないと、ハンドオフ後にクライアントにネットワーク接続の問題が発生する可能性があります。
サブネット間ローミングは、マルチキャスト トラフィックをサポートしていません(プッシュツートークの使用中に Spectralink 電話によって使用されるトラフィックなど)。
次の図 146593 は、コントローラの無線 LAN インターフェイスが異なる IP サブネット上に存在する場合に発生するサブネット間ローミングを表しています。
シンメトリック モビリティ トンネリングを使用すると、コントローラでは 1 つのアクセス ポイントから無線 LAN 内の別のアクセス ポイントへローミングするクライアントに対して、サブネット間のモビリティが提供されます。有線ネットワーク上のクライアント トラフィックは、外部コントローラによって直接ルーティングされます。ルータでリバース パス フィルタリング(RPF)が有効になっている場合、着信パケットで追加確認が実行され、通信はブロックされます。シンメトリック モビリティ トンネリングを使用すると、RPF が有効になっている場合でも、アンカーとして指定されたコントローラにクライアント トラフィックが到達できます。モビリティ グループのすべてのコントローラは、同一のシンメトリック トンネリング モードを備えている必要があります。
この機能を使用すると、コントローラの障害後にクライアントが別のアクセス ポイントに接続するための時間が短縮されます。障害がすばやく特定され、問題のあるコントローラからクライアントが移動し、別のコントローラに関連付けられるためです。
コントローラのセットをモビリティ グループとして設定すると、コントローラのグループ内でクライアントのローミングをスムーズに実行できるようになります。これにより、コントローラ間またはサブネット間のローミングが発生した際に、複数のコントローラが動的に情報を共有してデータ トラフィックを転送できるようになります。コントローラは、クライアントおよびコントローラ ロード情報のコンテキストと状態を共有できます。この情報を使用して、ネットワークはコントローラ間無線 LAN ローミングとコントローラの冗長性をサポートできます。クライアントは、モビリティ グループ間のローミングは行いません。
次の図は、モビリティ グループの例を示します。
上の図に示すように、各コントローラはモビリティ グループの別メンバーのリストを使用して設定されています。新たなクライアントがコントローラに追加されると、コントローラはユニキャスト メッセージをそのモビリティ グループの全コントローラに送信します。クライアントが以前に接続されていたコントローラは、クライアントのステータスを伝送します。コントローラ間のすべてのモビリティ交換トラフィックが CAPWAP トンネルで実行されます。
次に、例を示します。
異なるモビリティ グループ名を同じ無線ネットワーク内の異なるコントローラに割り当てると、モビリティ グループによって、1 つの企業内の異なるフロア、ビルディング、キャンパス間でのローミングを制限できます。次の図には、2 つのコントローラ グループに異なるモビリティ グループ名を作成した結果が示されています。
ABC モビリティ グループのコントローラは、アクセス ポイントと共有サブネットを使用して相互に認識しあい、通信します。ABC モビリティ グループのコントローラは、異なるモビリティ グループ内の XYZ コントローラを認識せず、通信を行いません。同様に、XYZ モビリティ グループのコントローラは、ABC モビリティ グループのコントローラを認識せず、通信を行いません。この機能により、ネットワークでモビリティ グループが確実に分離されます。クライアントは、異なるモビリティ グループのアクセス ポイント間をローミングすることがあります(ただしアクセス ポイントを検出できる場合)。ただし、そのセッション情報は異なるモビリティ グループのコントローラ間では伝送されません。
モビリティ グループにコントローラを追加する前に、そのグループに含めるすべてのコントローラに対して、次の前提条件が満たされていることを確認する必要があります。
コントローラでは、モビリティ メッセージをその他のメンバー コントローラに送信することにより、クライアントに対してサブネット間のモビリティが提供されます。モビリティ リストで最大 72 のメンバーをサポートします(同じモビリティ グループでは最大 24 まで)。Cisco Prime Infrastructure Prime Infrastructure およびコントローラ ソフトウェア リリース 5.0 では、モビリティ メッセージングに対して次の 2 つの改良が行われました。いずれも、モビリティ メンバーの全リストにメッセージを送信する場合に役立ちます。
コントローラは、新しいクライアントがアソシエートされるたびに、モビリティ リスト内のメンバに Mobile Announce メッセージを送信します。5.0 より前のソフトウェア リリースでは、所属するグループに関係なく、リスト内のすべてのメンバーにコントローラがこのメッセージを送信します。しかし、ソフトウェア リリース 5.0 では、コントローラは自分と同じグループに属するメンバーに対してのみメッセージを送信した後、再試行を送信しながら、他のメンバーをすべて加えます。
Cisco Prime Infrastructure および 5.0 よりも前のコントローラ ソフトウェア リリースでは、コントローラはマルチキャストを使用して、Mobile Announce メッセージを送信するように設定される場合がありますが、これには、すべてのモビリティ メンバにメッセージのコピーを送信する必要があります。多くのメッセージ(Mobile Announce、ペアワイズ マスター キー(PMK)更新、AP リスト更新、侵入検知システム(IDS)Shun など)がグループ内のすべてのメンバー向けであるため、この動作は効率的ではありません。Cisco Prime Infrastructure およびコントローラ ソフトウェア リリース 5.0 では、コントローラでマルチキャスト モードを使用して Mobile Announce メッセージを送信します。これにより、コントローラからネットワークに送られるメッセージは 1 コピーのみになります。このコピーはモビリティ メンバすべてを含むマルチキャスト グループに宛てて送られます。マルチキャスト メッセージングを最大限生かすには、グループ メンバすべてに対してこの機能を有効または無効にすることを推奨します。
モビリティ グループを設定する際は、次のワークフローに従います。
モビリティ グループにコントローラを追加する前に、そのグループに含めるすべてのコントローラに対して、次の前提条件が満たされていることを確認する必要があります。
現在のモビリティ グループ メンバーを表示するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックして [コントローラ(Controller)] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。 |
既存のコントローラのリストからモビリティ グループ メンバーを追加するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Devices Groups)] メニューから を選択します。 |
| ステップ 2 |
デバイス名をクリックして [コントローラ(Controller)] タブをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。 |
| ステップ 4 |
[Select a command] ドロップダウン リストから [Add Group Members] を選択します。 |
| ステップ 5 |
[実行(Go)] をクリックします。 |
| ステップ 6 |
モビリティ グループに追加するコントローラのチェックボックスをオンにします。 |
| ステップ 7 |
[Save] をクリックします。 |
| ステップ 8 |
手順 6 でコントローラの一覧が表示されない場合は、次の操作を実行して手動で追加できます。 |
はじめる前に
モビリティ スケーラビリティ パラメータを設定するには、先にモビリティ グループを設定しておく必要があります。
モビリティ メッセージ パラメータを設定するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Devices Groups)] メニューから を選択します。 |
| ステップ 2 |
ソフトウェア バージョンが 5.0 以降のコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。 |
| ステップ 4 |
[Multicast Mobility Mode] ドロップダウン リストで、マルチキャスト モードを使用してモビリティ メンバに Mobile Announce メッセージを送信する機能を、このコントローラに対して有効または無効にするかを指定します。 |
| ステップ 5 |
マルチキャスト モビリティ モードを有効に設定してマルチキャスト メッセージングを有効にした場合は、[モビリティ グループ マルチキャスト アドレス(Mobility Group Multicast-address)] フィールドにグループ IP アドレスを入力してマルチキャスト モビリティ メッセージングを開始する必要があります。この IP アドレスの設定はローカル モビリティ グループに対しては必須ですが、モビリティ リスト内のその他のグループに対してはオプションです。その他の(非ローカル)グループに IP アドレスを設定しない場合、コントローラはユニキャスト モードを使用してこれらのメンバーにモビリティ メッセージを送信します。 |
| ステップ 6 |
[Save] をクリックします。 |
新しい NTP サーバを追加するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Devices Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[システム(System)] > [ネットワーク タイム プロトコル(Network Time Protocol)] の順に選択します。 |
| ステップ 4 |
[コマンドの選択(Select a command)] ドロップダウン リストから [NTP サーバの追加(Add NTP Server)] を選択します。 |
| ステップ 5 |
[実行(Go)] をクリックします。 |
| ステップ 6 |
[このコントローラに適用するテンプレートを選択する(Select a template to apply to this controller)] ドロップダウン リストから、このコントローラに適用する適切なテンプレートを選択します。 |
バックグラウンド スキャンにより、Cisco Aironet 1510 アクセス ポイントは、より最適なパスと親を探すために、能動的に連続してネイバー チャネルをモニタできます。アクセス ポイントは現在のチャネルだけでなくネイバー チャネル上でも検索を実行するため、最適な代替パスおよび親のリストは大きくなります。
親を喪失する前にこの情報を特定すると、より高速な転送速度およびそのアクセス ポイントにとって最適なリンクが実現します。さらに、新しいチャネル上のリンクが、ホップの少なさ、信号対雑音比(SNR)の強さなどの点で、現在のチャネルよりも良好であると判明した場合は、アクセス ポイントはそのチャネルに切り替わる場合があります。
その他のチャネル上でのバックグラウンド スキャンおよびそれらのチャネル上のネイバーからのデータ収集は、2 つのアクセス ポイント間のプライマリ バックホール上で実行されます。
1510 のプライマリ バックホールは、802.11a リンク上で動作します。
バックグラウンド スキャンは、アクセス ポイントの関連付けされたコントローラ上でグローバルに有効にされます。音声コールが新しいチャネルに切り替わると、遅延が大きくなる場合があります。
EMEA 規制区域では、DFS 要件が前提となるため、その他のチャネル上でのネイバーの検索に時間がかかる場合があります。
バックグラウンド スキャンの動作をより詳しく説明するために、いくつかのシナリオを示します。
次の図では、メッシュ アクセス ポイント(MAP1)は、初回のアップ時に、ルート アクセス ポイント(RAP1 および RAP2)の両方が親になる可能性があると認識しています。ここでは、ホップ、SNR などの点で RAP2 を経由したルートの方が良好であるため、RAP2 が親として選択されています。リンクの確立後、バックグラウンド スキャン(有効にした場合)は、すべてのチャネルを継続的にモニタし、より最適なパスおよび親を検索します。RAP2 は、リンクがダウンするか、より最適なパスが別のチャネルで見つかるまで、MAP1 の親としての動作を継続し、チャネル 2 上で通信を続けます。
次の図 230614 では、MAP1 と RAP2 間のリンクが失われています。現在実行中のバックグラウンド スキャンからのデータにより、RAP1 と Channel 1 が、MAP1 にとって 2 番めに最適な親および通信パスであると識別されるため、RAP2 とのリンクがダウンした後に、追加のスキャンなしでリンクがただちに確立されます。
AP1510 RAP または MAP でバックグラウンド スキャンを有効にするには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Devices Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラの IP アドレスをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。 |
| ステップ 4 |
バックグラウンド スキャンを有効にする場合は [バックグラウンド スキャン(Background Scanning)] チェックボックスをオンにし、この機能を無効にする場合はオフにします。デフォルトでは、無効に設定されています。 |
| ステップ 5 |
この機能により、すべてのチャネルをスキャンすることによりチャネル全体にわたって親を検索するという時間のかかるタスクが削減されます。オフチャネル手順は、選択したチャネルでブロードキャスト パケットを送信し(3 秒間隔、オフチャネルあたり最大 50 ミリ秒)、すべての「到達可能」ネイバーからパケットを受信します。これにより、子 MAP はチャネル全体にわたるネイバー情報で更新され、新しいネイバーに「切り替え」てアップリンクの親として使用することができます。「切り替え」は、親損失の検出でトリガーされる必要はありませんが、より良い親の識別時にトリガーされます。ただし、子 MAP では現在の親アップリンクがアクティブなままとなります。 |
| ステップ 6 |
[保存(Save)] をクリックします。 |
QoS プロファイルを変更するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Devices Groups)] メニューから [デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラの IP アドレスをクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[システム(System)] > [QoS プロファイル(QoS Profiles)] の順に選択します。次のパラメータが表示されます。
|
| ステップ 4 |
該当するプロファイルをクリックして、プロファイル パラメータを表示または編集します。 |
| ステップ 5 |
[Save] をクリックします。 |
Cisco コントローラには、DHCP(Dynamic Host Configuration Protocol)リレー エージェントが組み込まれています。ただし、別個の DHCP サーバを持たないネットワーク セグメントを求められる場合、コントローラに IP アドレスとサブネット マスクを無線クライアントに割り当てる組み込みの DHCP スコープを設定できます。一般に、1 つのコントローラには、それぞれある範囲の IP アドレスを指定する複数の DHCP スコープを設定できます。
(注) |
この機能は、Cisco Mobility Express リリース 8.3 以降に適用されます。 |
現在の DHCP(Dynamic Host Configuration Protocol)スコープを表示するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。次のパラメータが表示されます。
|
新しい DHCP スコープを追加するには、次の手順を実行します。
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
を選択します。 |
|
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
|
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。 |
|
| ステップ 4 |
[コマンドの選択(Select a command)] ドロップダウン リストから、[DHCP スコープの追加(Add DHCP Scope)] を選択して新しい DHCP スコープを追加し、[実行(Go)] をクリックします。 |
|
| ステップ 5 |
[スコープ名(Scope Name)] テキストボックスに、新しい DHCP スコープの名前を入力します。 |
|
| ステップ 6 |
[VLAN-ID] テキスト ボックスに VLAN ID を入力します。 |
|
| ステップ 7 |
[リース時間(Lease Time)] テキスト ボックスに、IP アドレスをクライアントに対して許可する時間(0 ~ 65,536 秒)を入力します。 |
|
| ステップ 8 |
[ネットワーク(Network)] テキストボックスに、この DHCP スコープの対象となるネットワークを入力します。この IP アドレスは、[Interfaces] ページで設定されている、ネットマスクが適用された管理インターフェイスによって使用されます。 |
|
| ステップ 9 |
[ネットマスク(Netmask)] テキストボックスに、すべての無線クライアントに割り当てられたサブネット マスクを入力します。 |
|
| ステップ 10 |
[プール開始アドレス(Pool Start Address)] テキストボックスに、クライアントに割り当てられた範囲の開始 IP アドレスを入力します。このプールは、各 DHCP スコープで一意でなければならず、ルータまたは他のサーバの固定 IP アドレスを含めることはできません。 |
|
| ステップ 11 |
[プール終了アドレス(Pool End Address)] テキスト ボックスに、クライアントに割り当てられた範囲の終了 IP アドレスを入力します。このプールは、各 DHCP スコープで一意でなければならず、ルータまたは他のサーバの固定 IP アドレスを含めることはできません。 |
|
| ステップ 12 |
[デフォルト ゲートウェイ(Default Gateway)] テキスト ボックスに、オプションのゲートウェイの IP アドレスを入力します。 |
|
| ステップ 13 |
[DNS ドメイン名(DNS Domain Name)] テキスト ボックスに、1 つまたは複数の DNS サーバで使用する、この DHCP スコープのオプションの DNS 名を入力します。 |
|
| ステップ 14 |
[DNS サーバ(DNS Servers)] テキストボックスに、オプションの DNS サーバの IP アドレスを入力します。各 DNS サーバは、この DHCP スコープで割り当てられた IP アドレスと一致するように、クライアントの DNS エントリを更新できる必要があります。 |
|
| ステップ 15 |
[保存(Save)] をクリックします。 |
(注) |
DHCP スコープを削除するのには、最初にその管理状態を無効にする必要があります。 |
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
|
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
|
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。 |
|
| ステップ 4 |
削除する DHCP スコープのチェックボックスをオンにします。 |
|
| ステップ 5 |
[コマンドの選択(Select a command)] ドロップダウン リストから、[DHCP スコープの削除(Delete DHCP Scope)] を選択し、[実行(Go)] をクリックします。 |
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
|
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
|
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。 |
|
| ステップ 4 |
[コマンドの選択(Select a command)] ドロップダウン リストから、[DHCPLeases] を選択し、[実行(Go)] をクリックします。 |
|
| ステップ 5 |
[MAC アドレス(MAC Address)] の横にあるチェックボックスをオンにし、[エクスポート(Export)] をクリックして DHCP スコープの詳細を csv ファイルとしてエクスポートします。 |
コントローラの現在のローカル ネット ユーザ ロールを表示するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。 ローカル ネット ユーザ ロールのパラメータが表示されます。 |
| ステップ 4 |
テンプレート名をクリックして、ユーザ ロールの詳細を表示します。 |
新しいローカル ネット ユーザ ロールをコントローラに追加するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Devices Groups)] メニューから [デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[システム(System)] > [ユーザ ロール(User Roles)] の順に選択します。 |
| ステップ 4 |
[コマンドの選択(Select a command)] ドロップダウン リストから、[ユーザ ロールの追加(Add User Role)] を選択します。 |
| ステップ 5 |
[このコントローラに適用するテンプレートを選択する(Select a template to apply to this controller)] ドロップダウン リストからテンプレートを選択します。 |
| ステップ 6 |
[Apply] をクリックします。 |
[AP Username Password] ページでは、すべてのアクセス ポイントがコントローラに接続する際に継承する、グローバル パスワードを設定できます。また、アクセス ポイントを追加するときに、このグローバル ユーザ名およびパスワードを受け入れるか、アクセス ポイント単位で上書きするかを選択できます。
さらにコントローラ ソフトウェア リリース 5.0 では、アクセス ポイントをコントローラに接続すると、そのアクセス ポイントのコンソール ポート セキュリティが有効になり、アクセス ポイントのコンソール ポートへログインするたびにユーザ名とパスワードの入力を要求されます。ログインした時点では非特権モードのため、特権モードを使用するには、イネーブル パスワードを入力する必要があります。
グローバル ユーザ名とパスワードを設定するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Devices Groups)] メニューから [デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
リリース 5.0 以降のコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[システム(System)] > [AP ユーザ名のパスワード(AP Username Password)] の順に選択します。 |
| ステップ 4 |
コントローラに接続するすべてのアクセス ポイントで継承されるユーザ名およびパスワードを入力します。 Cisco IOS アクセス ポイントの場合は、イネーブル パスワードも入力して確認する必要があります。 |
| ステップ 5 |
[保存(Save)] をクリックします。 |
Cisco Discovery Protocol(CDP)は、すべてのシスコ製ネットワーク機器で実行されるデバイス検出プロトコルです。各デバイスはマルチキャスト アドレスに識別メッセージを送信し、他のデバイスから送信されたメッセージをモニタします。
CDP は、ブリッジのイーサネット ポートおよび無線ポート上で、デフォルトで有効になっています。
グローバル インターフェイス CDP 設定は、AP レベルで CDP を有効にした AP のみに適用されます。
グローバル CDP を設定するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Devices Groups)] メニューから [デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
目的のコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[システム(System)] > [グローバル CDP 設定(Global CDP Configuration)] の順に選択します。[Global CDP Configuration] ページが表示されます。 |
| ステップ 4 |
[グローバル CDP 設定(Global CDP Configuration)] ページで必要なフィールドを設定します。[Global CDP] グループ ボックスで、次のパラメータを設定します。
|
| ステップ 5 |
[イーサネット インターフェイスの CDP(CDP for Ethernet Interfaces)] グループ ボックスで、CDP を有効にするイーサネット インターフェイスのスロットを選択します。 [イーサネット インターフェイス用の CDP(CDP for Ethernet Interfaces)] フィールドは、リリース 7.0.110.2 以降のコントローラでサポートされています。 |
| ステップ 6 |
[無線インターフェイスの CDP(CDP for Radio Interfaces)] グループ ボックスで、CDP を有効にする無線インターフェイスのスロットを選択します。 [無線インターフェイスの CDP(CDP for Radio Interfaces)] フィールドは、リリース 7.0.110.2 以降のコントローラでサポートされています。 |
| ステップ 7 |
[Save] をクリックします。 |
Lightweight アクセス ポイントとスイッチ間の 802.1X 認証を設定できます。アクセス ポイントは 802.1X サプリカントとして動作し、EAP-FAST と匿名 PAC プロビジョニングを使用してスイッチにより認証されます。すべてのアクセス ポイントがコントローラ接続時に継承するグローバル認証を設定できます。これには、コントローラに現在接続されているすべてのアクセス ポイント、および今後接続されるすべてのアクセス ポイントが含まれます。
必要に応じて、このグローバル認証設定よりも優先される、独自の認証設定を特定のアクセス ポイントに割り当てることができます。
グローバル サプリカント クレデンシャルを有効にするには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Devices Groups)] メニューから [デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controller)] を選択します。 |
||
| ステップ 2 |
目的のコントローラのデバイス名をクリックします。 |
||
| ステップ 3 |
左側のサイドバーのメニューから、[システム(System)] > [AP 802.1X サプリカント クレデンシャル(AP 802.1X Supplicant Credentials)] の順に選択します。 |
||
| ステップ 4 |
[グローバル サプリカント クレデンシャル(Global Supplicant Credentials)] チェックボックスをオンにします。 |
||
| ステップ 5 |
サプリカント ユーザ名を入力します。 |
||
| ステップ 6 |
適切なパスワードを入力して確定します。 |
||
| ステップ 7 |
ドロップダウン メニューから [サプリカントEAPタイプ(Supplicant EAP Type)] を選択します。
|
Lightweight アクセス ポイントとスイッチ間の 802.1X 認証を設定できます。アクセス ポイントは 802.1X サプリカントとして動作し、EAP-FAST と匿名 PAC プロビジョニングを使用してスイッチにより認証されます。すべてのアクセス ポイントがコントローラ接続時に継承するグローバル認証を設定できます。これには、コントローラに現在接続されているすべてのアクセス ポイント、および今後接続されるすべてのアクセス ポイントが含まれます。
必要に応じて、このグローバル認証設定よりも優先される、独自の認証設定を特定のアクセス ポイントに割り当てることができます。
グローバル サプリカント クレデンシャルを有効にするには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Devices Groups)] メニューから [デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controller)] を選択します。 |
||
| ステップ 2 |
目的のコントローラのデバイス名をクリックします。 |
||
| ステップ 3 |
左側のサイドバーのメニューから、[システム(System)] > [AP 802.1X サプリカント クレデンシャル(AP 802.1X Supplicant Credentials)] の順に選択します。 |
||
| ステップ 4 |
[グローバル サプリカント クレデンシャル(Global Supplicant Credentials)] チェックボックスをオンにします。 |
||
| ステップ 5 |
サプリカント ユーザ名を入力します。 |
||
| ステップ 6 |
適切なパスワードを入力して確定します。 |
||
| ステップ 7 |
ドロップダウン メニューから [サプリカントEAPタイプ(Supplicant EAP Type)] を選択します。
|
コントローラの DHCP(Dynamic Host Configuration Protocol)情報を設定するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Devices Groups)] メニューから [デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
目的のコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[システム(System)] > [DHCP] の順に選択します。 |
| ステップ 4 |
次のパラメータを追加または変更します。
Ap-Mac を選択した場合に [DHCP オプション 82(DHCP option 82)] の [RemoteID] フィールドにフォーマットを設定するには、RemoteID フォーマットを AP-Mac として設定します。Ap-Mac-ssid を選択した場合、RemoteID フォーマットは [AP-Mac:SSID] に設定します。
DHCP プロキシがコントローラ上で有効になっている場合は、コントローラによってクライアントから設定済みサーバへ DHCP 要求がユニキャストされます。そのため、少なくとも 1 つの DHCP サーバが、WLAN に関連付けられたインターフェイスか WLAN 自体で設定されている必要があります。 |
| ステップ 5 |
[DHCP タイムアウト(DHCP Timeout)] を秒単位で入力します。この時間を過ぎると DHCP 要求がタイムアウトします。デフォルト設定は 5 です。有効値の範囲は 5 ~ 120 秒です。DHCP タイムアウトは、リリース 7.0.114.74 以降のコントローラで適用されます。 |
| ステップ 6 |
[保存(Save)] をクリックします。 保存後に、[監査(Audit)] をクリックして、このコントローラで監査を実行できます。 |
Prime Infrastructure では、コントローラ上の IGMP(インターネット グループ管理プロトコル)スヌーピングおよびタイムアウト値を設定するオプションが提供されています。
IGMP
コントローラのマルチキャスト モードおよび IGMP スヌーピングを設定するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Devices Groups)] メニューから を選択します。 |
| ステップ 2 |
目的のコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。 |
| ステップ 4 |
[Ethernet Multicast Support] ドロップダウン リストから、該当するイーサネット マルチキャスト サポート([Unicast] または [Multicast])を選択します。 |
| ステップ 5 |
[マルチキャスト(Multicast)] を選択した場合は、マルチキャスト グループ IP アドレスを入力します。 |
| ステップ 6 |
マルチキャスト モードをグローバルに使用可能にするには、[グローバル マルチキャスト モード(Global Multicast Mode)] チェックボックスをオンにします。 IGMP スヌーピングおよびタイムアウトは、イーサネット マルチキャスト モードが有効の場合のみ設定できます。IGMP スヌーピングを選択して有効にします。 |
| ステップ 7 |
[マルチキャスト モビリティ モード(Multicast Mobility Mode)] ドロップダウン リストから [有効(Enable)] を選択して、IGMP スヌーピング ステータスを変更するか、または IGMP タイムアウトを設定します。IGMP スヌーピングが有効の場合、コントローラはクライアントから IGMP レポートを収集した後、いずれかのマルチキャスト グループをリッスンしているクライアントのリストをアクセス ポイントに送信します。その後、アクセス ポイントはこれらのクライアントのみにマルチキャスト パケットを転送します。 タイムアウト間隔の範囲は 3 ~ 300 で、デフォルト値は 60 です。タイムアウトが経過すると、コントローラはすべての WLAN に対してクエリを送信します。その後、マルチキャスト グループ内でリッスンしているクライアントは、コントローラにパケットを送り返します。 |
| ステップ 8 |
マルチキャスト モビリティ モードを有効にしている場合は、モビリティ グループ マルチキャスト アドレスを入力します。 |
| ステップ 9 |
ワイヤレス ネットワークを介したビデオ ストリームを有効にするには、[マルチキャスト ダイレクト(Multicast Direct)] チェックボックスをオンにします。 |
| ステップ 10 |
[マルチキャスト モビリティ モード(Multicast Mobility Mode)] ドロップダウン リストから [有効(Enable)] を選択して、MLD 設定を変更します。 |
| ステップ 11 |
IPv6 MLD スヌーピングを有効にする場合は、[MLD スヌーピングの有効化(Enable MLD Snooping)] チェックボックスをオンにします。このチェックボックスをオンにした場合は、次のパラメータを設定します。
インターネット グループ管理プロトコル(IGMP)スヌーピングを使用することにより、IPv4 のマルチキャスト トラフィックのフラッディングを抑制できます。IPv6 の場合は、マルチキャスト リスナー検出(MLD)スヌーピングが使用されます。 |
| ステップ 12 |
セッション バナー情報を設定します。これは、クライアントがメディア ストリームから拒否またはドロップされた場合に、クライアントに送信されるエラー情報です。 |
| ステップ 13 |
[保存(Save)] をクリックします。 保存後に、[監査(Audit)] をクリックして、このコントローラで監査を実行できます。 |
Prime Infrastructure のコントローラには、FlexConnect およびローカル モード用の拡張タイマー設定を使用できます。
この機能は、リリース 6.0 以降のコントローラのみでサポートされています。
拡張タイマーを設定するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Devices Groups)] メニューから [デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
タイマーを設定するコントローラを選択します。 |
| ステップ 3 |
左側のサイドバーのメニューから、[System] > [AP Timers] の順に選択します。 |
| ステップ 4 |
[AP タイマー(AP Timers)] ページで、該当するアクセス ポイント モードのリンク([ローカル モード(Local Mode)] または [FlexConnect モード(FlexConnect Mode)])をクリックします。 |
| ステップ 5 |
この選択に応じて、[Local Mode AP Timer Settings] ページまたは [FlexConnect Mode AP Timer Settings] ページで必要なパラメータを設定します。
|
| ステップ 6 |
[Save] をクリックします。 |
コントローラは 512 WLAN 設定をサポートできるため、Prime Infrastructure は、特定のコントローラに対して、指定した時刻に複数の WLAN を有効または無効にする効率的な方法を提供します。
ネットワーク上に設定した Wireless Local Access Network(WLAN)のサマリーを表示するには、次の手順を実行します。
| ステップ 1 |
を選択し、 を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。 |
| ステップ 4 |
[WLAN サマリーの設定(Configure WLAN Summary)] ページの必須フィールドを設定します。 |
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
WLAN 設定を表示するワイヤレス コントローラのデバイス名をクリックします。 |
| ステップ 3 |
[Configuration] タブをクリックします。 |
| ステップ 4 |
[機能(Features)] で を選択します。[WLAN Configuration] 要約ページに、コントローラで現在設定されている WLAN のリストが表示されます。リストには次の各項目が含まれます。
|
| ステップ 5 |
WLAN 設定の詳細を表示するには、WLAN ID をクリックします。[WLAN 設定の詳細(WLAN Configuration Details)] ページが表示されます。 |
| ステップ 6 |
タブ([一般(General)]、[セキュリティ(Security)]、[QoS]、[詳細設定(Advanced)])を使用して、WLAN のパラメータを表示または編集します。パラメータを変更した場合は、[保存(Save)] をクリックします。 |
| ステップ 1 |
「コントローラで構成されている WLAN の表示」で説明されているように、[WLANの設定(WLAN Configuration)] 詳細ページに移動します。 |
| ステップ 2 |
[ポリシーマッピング(Policy Mappings)] タブをクリックします。 |
| ステップ 3 |
[行の追加(Add Row)] をクリックします。 |
| ステップ 4 |
ドロップダウン リストから、WLAN にマッピングするポリシー名を選択します。 |
| ステップ 5 |
プライオリティを入力します。プライオリティの範囲は、1 ~ 16 です。 2 つのポリシーに同じプライオリティを設定することはできません。 |
| ステップ 6 |
[保存(Save)] をクリックします。 ポリシーを削除するには、削除するポリシーに対応するチェックボックスをオンにして [Delete] をクリックします。 |
シスコ モバイル コンシェルジュは、事前認証を行わずに外部ネットワークで相互運用できるように 802.1X 対応クライアントを有効にするソリューションです。モバイル コンシェルジュは、クライアントにサービスのアベイラビリティに関する情報を提供します。これにより、クライアントは使用可能なネットワークに、よりすばやく、簡単かつ安全に関連付けできます。
ネットワークから提供されるサービスは、次の 2 つのプロトコルに大きく分類できます。
モバイル コンシェルジュには、次のガイドラインと制限事項が適用されます。
| ステップ 1 |
を選択し、 を選択します。 |
| ステップ 2 |
モバイル コンシェルジュを設定するワイヤレス コントローラのデバイス名をクリックします。 |
| ステップ 3 |
[Configuration] タブをクリックします。 |
| ステップ 4 |
[機能(Features)] で > を選択します。[WLAN Configuration] 要約ページに、コントローラで現在設定されている WLAN のリストが表示されます。 |
| ステップ 5 |
モバイル コンシェルジュを設定する WLAN の WLAN ID をクリックします。 |
| ステップ 6 |
[ホット スポット(Hot Spot)] タブをクリックします。 |
| ステップ 7 |
[802.11u 設定(802.11u Configuration)] サブタブをクリックし、次のようにフィールドを設定します。 |
| ステップ 8 |
[その他(Others)] サブタブをクリックし、次のようにフィールドを設定します。 |
| ステップ 9 |
[レルム(Realm)] サブタブをクリックし、次のようにフィールドを設定します。
|
| ステップ 10 |
[サービス アドバタイズメント(Service Advertisements)] サブタブをクリックし、次のようにフィールドを設定します。 |
| ステップ 11 |
[Hotspot 2.0] サブタブをクリックし、次のようにフィールドを設定します。 |
| ステップ 12 |
[Save] をクリックして、モバイル コンシェルジュ設定を保存します。 |
| ステップ 1 |
[WLANの設定(WLAN Configuration)] の順に選択します。 |
| ステップ 2 |
テンプレート タイプの横にあるツール チップにマウスのカーソルを合わせ、[New] をクリックします。 |
| ステップ 3 |
[General]、[Security]、[QoS]、[Advanced]、[HotSpot]、[Policy Mappings] タブで必須フィールドに値を入力し、[Save as New Template] をクリックします。 |
| ステップ 4 |
[展開(Deploy)] をクリックして、テンプレートの展開を続行します。 |
| ステップ 1 |
を選択し、[デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバー メニューから、 の順に選択します。 |
| ステップ 4 |
削除する WLAN のチェックボックスをオンにします。 |
| ステップ 5 |
を選択します。 |
| ステップ 6 |
[OK] をクリックして削除を実行します。 |
Prime Infrastructure では、特定のコントローラ上で、複数の WLAN のステータスを一度に変更できます。複数の WLAN を選択して、そのステータスが変更される日時を選択できます。
| ステップ 1 |
[Configuration] > [Network] > [Network Devices] を選択し、[Device Type] > [Wireless Controller] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[WLANs] > [WLAN 設定(WLAN Configuration)] の順に選択します。 |
| ステップ 4 |
ステータス変更をスケジュールする WLAN のチェックボックスをオンにします。 |
| ステップ 5 |
[コマンドの選択(Select a command)] ドロップダウン リストから、[ステータスのスケジュール(Schedule Status)] を選択して [WLAN スケジュールのタスク詳細(WLAN Schedule Task Detail)] ページを開きます。 選択した WLAN は、ページの上部にリストされます。 |
| ステップ 6 |
スケジュール設定済みタスク名を入力して、このステータス変更スケジュールを特定します。 |
| ステップ 7 |
ドロップダウン リストから、新しい管理ステータス([有効(Enabled)] または [無効(Disabled)])を選択します。 |
| ステップ 8 |
スケジュール時刻を、[時(hours)] および [分(minutes)] ドロップダウン リストを使用して選択します。 |
| ステップ 9 |
カレンダー アイコンをクリックしてスケジュール日を選択するか、テキスト ボックスに日付を入力します(MM/DD/YYYY 形式)。 |
| ステップ 10 |
適切な [繰り返し(Recurrence)] オプション ボタンを選択して、ステータス変更の頻度を決めます([毎日(Daily)]、[毎週(Weekly)]、または [繰り返しなし(No Recurrence)])。 |
| ステップ 11 |
[Submit] をクリックしてステータス変更スケジュールを開始します。 |
モビリティ アンカーは WLAN のアンカーとして定義されたコントローラです。クライアント(ラップトップなどの 802.11 モバイル ステーション)は、常にいずれかのアンカーに接続しています。
モビリティ アンカーを使用すると、クライアントのネットワーク エントリ ポイントに関係なく、WLAN を単一のサブネットに制限できます。ユーザは企業全体にわたりパブリック WLAN やゲスト WLAN にアクセスできますが、引き続き特定のサブネットに制限されます。また、WLAN は建物の特定のセクション(ロビー、レストランなど)を表すことができるため、ゲスト WLAN で地理的ロード バランシングを実現できます。
クライアントが WLAN のモビリティ アンカーとして事前設定されているモビリティ グループのコントローラに最初に関連付けると、クライアントはローカルでそのコントローラに関連付けし、クライアントのローカル セッションが作成されます。クライアントは、WLAN の事前設定されたアンカー コントローラにのみアンカーできます。指定された WLAN の場合、モビリティ グループのすべてのコントローラ上で同じセットのアンカー コントローラを設定する必要があります。
クライアントが、WLAN のモビリティ アンカーとして設定されていないモビリティ グループのコントローラに最初に関連付けすると、クライアントはローカルでそのコントローラに関連付けし、ローカル セッションがクライアントのために作成され、コントローラは同じモビリティ グループの別のコントローラへ通知されます。その通知に対する回答がない場合、コントローラは WLAN に設定されたいずれかのアンカー コントローラに連絡をとり、ローカル スイッチ上のクライアントに対する外部セッションを作成します。クライアントからのパケットは暗号化され、有線ネットワークに配信されます。クライアントへのパケットは、アンカー コントローラで受信され、EtherIP を使用してモビリティ トンネルを介して外部コントローラへ転送されます。外部コントローラはパケットをカプセル化してクライアントへ転送します。
2000 シリーズ コントローラを WLAN のアンカーとして指定することはできません。ただし、2000 シリーズ コントローラ上に作成された WLAN に 4100 シリーズ コントローラまたは 4400 シリーズ コントローラをアンカーとして指定できます。
L2TP レイヤ 3 セキュリティ ポリシーは、モビリティ アンカーで設定された WLAN には使用できません。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバー メニューから、 の順に選択します。 |
| ステップ 4 |
[WLAN ID] をクリックして、特定の WLAN のパラメータを表示します。 |
| ステップ 5 |
[Advanced] タブをクリックします。 |
| ステップ 6 |
[モビリティ アンカー(Mobility Anchors)] リンクをクリックします。Prime Infrastructure に各アンカーの IP アドレスおよび現在のステータス(到達可能など)が表示されます。 |
802.11r 対応の WLAN は、ワイヤレス クライアント デバイスに迅速かつ効果的なローミング環境を提供します。ただし、堅牢で安全なネットワーク情報交換(ビーコンまたはプローブでの応答)における Fast Transition(FT)認証キー管理(AKM)を認識しない従来のデバイスは、802.11r 対応 WLAN に接続できません。
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
すべてのワイヤレス コントローラを表示するには、 を選択し、次に を選択します。 |
|
| ステップ 2 |
対応するコントローラの名前をクリックします。 |
|
| ステップ 3 |
左側のサイドバーのメニューから、 を選択して [WLAN 設定(WLAN Configuration)] ページにアクセスします。 |
|
| ステップ 4 |
対応する WLAN ID をクリックして、その特定の WLAN のパラメータを表示します。 |
|
| ステップ 5 |
タブをクリックします。 |
|
| ステップ 6 |
[レイヤ 2 セキュリティ(Layer 2 Security)] ドロップダウン リストから、[WPA+WPA2] を選択します。 |
|
| ステップ 7 |
[Fast Transition] チェックボックスをオンまたはオフにして、Fast Transition を有効または無効にします。Fast Transition は、Cisco WLC リリース 8.3 以降から新しい WLAN を作成する場合、デフォルトで有効になります。ただし、既存の WLAN は以前のリリースからリリース 8.3 へ Cisco WLC をアップグレードする場合に現在の設定を保持します。 |
|
| ステップ 8 |
[Over the DS] チェックボックスをオンまたはオフにして、分散システム経由の Fast Transition を有効または無効にします。このオプションは、Fast Transition を有効にしたとき、または Fast Transition が適応型の場合のみ指定できます。 |
|
| ステップ 9 |
[再アソシエーション タイムアウト(Reassociation Timeout)] フィールドに、AP へのクライアントの再関連付けの試行がタイムアウトになる秒数を入力します。有効な値の範囲は 1 ~ 100 秒です。 |
|
| ステップ 10 |
[認証キーの管理(Authentication Key Management)] で、[FT 802.1X] または [FT PSK] を選択します。キーを有効または無効にするには、対応するチェックボックスをオンまたはオフにします。[FT PSK] チェックボックスをオンにした場合は、[PSK 形式(PSK Format)] ドロップダウン リストから [ASCII] または [HEX] を選択して、キー値を入力します。 |
|
| ステップ 11 |
[保存(Save)] をクリックして設定を保存します。 |
Fastlane QoS 機能は、Apple クライアントの場合に、その他のワイヤレス クライアントと比較して Quality of Service(QoS)処理が優れています。この機能は、デフォルトではディセーブルになっています。
(注) |
この機能は、少数のクライアントが接続されているときのメンテナンス時間にのみ有効または無効にできます。これは、すべての WLAN とネットワークが無効または有効に戻る時にサービスが中断されるためです。 |
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
を選択し、 を選択します。 |
|
| ステップ 2 |
対応するコントローラの名前をクリックします。 |
|
| ステップ 3 |
左側のサイドバー メニューから、 の順に選択します。 |
|
| ステップ 4 |
対応する WLAN ID をクリックして、その特定の WLAN のパラメータを表示します。 |
|
| ステップ 5 |
[QoS] タブをクリックします。 |
|
| ステップ 6 |
Fastlane QoS を有効にするには、[Fastlane] チェックボックスをオンにします。 |
|
| ステップ 7 |
[保存(Save)] をクリックして設定を保存します。 |
(注) |
Fastlane QoS を無効にする前に、すべての WLAN で Fastlane を無効にする必要があります。 |
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
を選択し、 を選択します。 |
|
| ステップ 2 |
該当するコントローラの [デバイス名(Device Name)] をクリックします。 |
|
| ステップ 3 |
左側のサイドバー メニューから、 の順に選択します。 |
|
| ステップ 4 |
[コマンドの選択(Select a command)] ドロップダウン リストから [Fastlane の無効化(Disable Fastlane)] を選択します。 |
|
| ステップ 5 |
[保存(Save)] をクリックして設定を保存します。 |
サイト固有の VLAN または AP(アクセス ポイント)グループを使用すると、WLAN を異なるブロードキャスト ドメインにセグメント化することができます。これにより、ブロードキャスト ドメインの総数を最小限に抑えられ、より効率的なロード バランシングおよび帯域幅割り当てが可能になります。
| ステップ 1 |
[設定(Configuration)] > [ネットワーク(Network)] > [ネットワーク デバイス(Network Devices)] を選択し、[デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[WLAN] > [AP グループ(AP Groups)] の順に選択します。[AP グループのサマリー(AP groups summary)] ページが表示されます。 このページには、ネットワーク上に設定されている AP グループのサマリーが表示されます。 このページから、AP グループの削除または詳細の表示ができます。 |
| ステップ 4 |
[Access Points] タブで AP グループ名をクリックして、そのアクセス ポイントを表示または編集します。 |
| ステップ 5 |
[WLAN Profiles] タブをクリックして、WLAN プロファイルを表示、編集、追加、または削除します。 |
AP(アクセス ポイント)グループを追加するには、[AP グループの詳細(AP Groups detail)] ページを使用します。バージョン 5.2 より前のターゲット コントローラでは、AP グループが AP グループ VLAN と呼ばれることに注意してください。
| ステップ 1 |
を選択し、[デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。 |
| ステップ 4 |
を選択します。[AP グループの詳細(AP Groups detail)] ページが表示されます。 |
| ステップ 5 |
次のように、新しい AP グループを作成します。
|
| ステップ 6 |
次のように、新しい AP グループにアクセス ポイントを追加します。
|
| ステップ 7 |
次のように、WLAN プロファイルを追加します。 |
| ステップ 8 |
(任意)次のように、RF プロファイルを追加します。 |
| ステップ 9 |
Hyperlocation 設定パラメータは、次のように追加します。
|
| ステップ 10 |
新しい AP グループへの AP、WLAN プロファイル、RF プロファイルの追加が終了したら、[保存(Save)] をクリックします。 AP グループの WLAN インターフェイス マッピングを変更すると、このグループの FlexConnect AP のローカル VLAN マッピングが削除されます。これらのマッピングは、この変更を適用した後に再度設定する必要があります。 |
| ステップ 1 |
[Configuration] > [Network] > [Network Devices] を選択し、[Device Type] > [Wireless Controller] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[WLAN] > [AP グループ(AP Groups)] の順に選択します。 |
| ステップ 4 |
削除する AP グループのチェックボックスをオンにします。 |
| ステップ 5 |
[コマンドの選択(Select a Command)] > [AP グループの削除(Delete AP Groups)] > [実行(Go)] の順に選択します。 |
| ステップ 6 |
[OK] をクリックして、削除を実行します。 |
Prime Infrastructure が AP グループについて保存した値と、現在のコントローラおよびアクセス ポイントのデバイス設定に保存されている実際の値の間で違いが生じる可能性があります。AP グループを監査することで、相違が生じているかどうかを特定して解決することができます。
| ステップ 1 |
を選択し、[デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[WLAN] > [AP グループ(AP Groups)] の順に選択します。 |
| ステップ 4 |
監査するアクセス ポイント グループの名前をクリックします。 |
| ステップ 5 |
[監査(Audit)] をクリックします。 [Audit] ボタンは、ページ下部の [Save] ボタンと [Cancel] ボタンの横にあります。 |
キャプティブ ポータルは、ユーザがネットワークに接続したときにリダイレクトされる Web ページです。通常は、利用規約に関する情報が表示され、ログインにも使用されます。認証 WISPr は、ユーザが異なるワイヤレス サービス プロバイダー間をローミングできるようにするドラフト プロトコルです。一部のデバイス(Apple iOS デバイスなど)には、指定の URL に対する HTTP WISPr 要求に基づいて、デバイスがインターネットに接続するかどうかを決定するときに使用するメカニズムが搭載されています。このメカニズムは、インターネットへの直接接続が不可能なときにデバイスが自動的に Web ブラウザを開くために使用されます。これにより、ユーザがインターネットにアクセスするために、自身の認証情報を提供することが可能となります。実際の認証は、デバイスが新しい SSID に接続するたびにバックグラウンドで実行されます。
クライアント デバイス(Apple IOS デバイス)は、WISPr 要求をコントローラに送信します。コントローラはユーザ エージェントの詳細をチェックし、コントローラでの Web 認証代行受信により HTTP 要求をトリガーします。ユーザ エージェントによって提供される IOS バージョンおよびブラウザの詳細の確認後に、コントローラによってクライアントはキャプティブ ポータル設定のバイパスを許可され、インターネットにアクセスできます。
この HTTP 要求は、他のページ要求がワイヤレス クライアントによって実行されると、コントローラでの Web 認証代行受信をトリガーします。この代行受信によって Web 認証プロセスが発生し、プロセスは正常に完了します。Web 認証がいずれかのコントローラ スプラッシュ ページ機能で使用されていると(設定された RADIUS サーバが URL を指定)、WISPr 要求が非常に短い間隔で発信されるので、スプラッシュ ページが表示されることはなく、いずれかのクエリーが指定のサーバに到達できるとただちに、バックグラウンドで実行されている Web リダイレクションまたはスプラッシュ ページ表示プロセスが中断されます。そして、デバイスによってページ要求が処理され、スプラッシュ ページ機能は中断されます。たとえば、Apple は iOS 機能を導入して、キャプティブ ポータルがある場合のネットワーク アクセスを容易にしました。この機能では、ワイヤレス ネットワークへの接続に関する Web 要求を送信することにより、キャプティブ ポータルの存在を検出します。この要求は、Apple IOS バージョン 6 以前の場合は http://www.apple.com/library/test/success.html に、Apple IOS バージョン 7 以降の場合は複数の該当するターゲット URL に送られます。応答が受信されると、インターネット アクセスが使用可能であると見なされ、それ以上の操作は必要ありません。応答が受信されない場合、インターネット アクセスはキャプティブ ポータルによってブロックされたと見なされ、Apple の Captive Network Assistant(CNA)が疑似ブラウザを自動起動して管理ウィンドウでポータル ログインを要求します。ISE キャプティブ ポータルへのリダイレクト中に、CNA が切断される場合があります。コントローラは、この疑似ブラウザがポップアップ表示されないようにします。
現在、WISPr 検出プロセスをバイパスするようにコントローラを設定できるようになりました。それによって、ユーザが、ユーザ コンテキストでスプラッシュ ページ ロードを引き起こす Web ページを要求したときに、バックグラウンドで WISPr 検出を実行せずに、Web 認証代行受信だけが行われるようにすることができます。
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
を選択し、 を選択します。 |
|
| ステップ 2 |
デバイス名をクリックして [Configuration] タブをクリックします。 |
|
| ステップ 3 |
を選択して、[一般(General)] ページにアクセスします。 |
|
| ステップ 4 |
[キャプティブネットワークアシスタント(Captive Network Assistant)] バイパス ドロップダウンリストから、[有効(Enable)] を選択します。 |
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 |
を選択し、 を選択します。 |
|
| ステップ 2 |
デバイス名をクリックします。 |
|
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。 |
|
| ステップ 4 |
[WLAN ID] をクリックします。 |
|
| ステップ 5 |
タブをクリックしてデフォルトのセキュリティ ポリシーを変更します。 |
|
| ステップ 6 |
[キャプティブネットワークアシスタント(Captive Network Assistant)] バイパス ドロップダウンリストから、[有効(Enable)] を選択します。 |
|
| ステップ 7 |
[保存(Save)] をクリックします。 |
FlexConnect により、各オフィスにコントローラを導入しなくても、本社オフィスからワイドエリア ネットワーク(WAN)リンク経由で、リモート ロケーションの AP を設定および制御できるようになります。FlexConnect AP は、コントローラへの接続を失うと、クライアント データ トラフィックを切り替えてクライアント認証をローカルで実行します。コントローラに接続されているときには、トラフィックをコントローラに送り返すこともできます。
次の図に、一般的な FlexConnect の導入を示します。
FlexConnect は次のコンポーネントでのみサポートされます。
FlexConnect の設定時は、次のガイドラインに従います。
FlexConnect AP は、ブート時にコントローラを検索します。AP はそのコントローラに接続し、コントローラから最新のソフトウェア イメージと設定情報をダウンロードして、無線を初期化します。スタンドアロン モードで使用するために、ダウンロードした設定を不揮発性メモリに保存します。
FlexConnect AP は、次のいずれかの方法でコントローラの IP アドレスを識別します。
FlexConnect AP の動作モードは次の 2 種類です。
FlexConnect AP がスタンドアロン モードになると、以下が実行されます。
FlexConnect AP は、スタンドアロン モードになった後も、クライアントの接続を維持します。ただし、AP がコントローラとの接続を再確立すると、すべてのクライアントを関連付け解除して、コントローラからの新しい設定情報を適用し、クライアントの接続を再度許可します。
AP 上の LED は、デバイスが異なる FlexConnect モードになると変化します。
FlexConnect WLAN は、コントローラ接続の設定と状態に応じて、次のいずれかの状態になります。
ローカル認証は、次の条件を満たすことができない場合に役立ちます。
ローカル認証は次をサポートしません。
FlexConnect AP がスタンドアロン モードになると、WLAN は次の状態になります。
FlexConnect を設定するには、この項の手順を次の順序で実行する必要があります。
リモート サイトでスイッチを準備するには、次の手順を実行します。
| ステップ 1 |
FlexConnect に有効な AP をトランクに接続するか、またはスイッチ上のポートにアクセスします。 |
| ステップ 2 |
FlexConnect AP をサポートするようにスイッチを設定します。 |
この設定例の場合:
この設定例のアドレスは、図示のみを目的としています。使用するアドレスは、アップストリーム ネットワークに適合している必要があります。
ip dhcp pool NATIVE
network 10.10.100.0 255.255.255.0
default-router 10.10.100.1
!
ip dhcp pool LOCAL-SWITCH
network 10.10.101.0 255.255.255.0
default-router 10.10.101.1
!
interface FastEthernet1/0/1
description Uplink port
no switchport
ip address 10.10.98.2 255.255.255.0
spanning-tree portfast
!
interface FastEthernet1/0/2
description the Access Point port
switchport trunk encapsulation dot1q
switchport trunk native vlan 100
switchport trunk allowed vlan 100,101
switchport mode trunk
spanning-tree portfast
!
interface Vlan100
ip address 10.10.100.1 255.255.255.0
ip helper-address 10.10.100.1
!
interface Vlan101
ip address 10.10.101.1 255.255.255.0
ip helper-address 10.10.101.1
end中央でスイッチされる WLAN を作成するには、次の手順を実行します。
| ステップ 1 |
[Configuration] > [Network] > [Network Devices] > [Wireless Controllers] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[WLAN] > [WLAN Configuration] を選択して [WLAN Configuration] ページにアクセスします。 |
| ステップ 4 |
[コマンドの選択(Select a command)] ドロップダウン リストから [WLAN の追加(Add a WLAN)] を選択し、[実行(Go)] をクリックします。 Cisco AP はコントローラごとに最大 16 の WLAN をサポートできます。ただし Cisco AP の中には、WLAN ID が 9 以上の WLAN をサポートしないものがあります。この場合、WLAN を作成しようとすると次のメッセージが表示されます。 「AP のすべてのタイプが 8 個より多い WLAN ID をサポートするとは限りませんが、続行しますか。(Not all types of AP support WLAN ID greater than 8, do you wish to continue?)」 [OK] をクリックすると、次に使用可能な WLAN ID を持つ WLAN が作成されます。 WLAN ID が 8 未満の WLAN が削除されている場合、次に作成する WLAN にその ID が適用されます。 |
| ステップ 5 |
コントローラに適用するテンプレートをドロップダウン リストから選択します。 新しい WLAN テンプレートを作成する場合は、[ここをクリック(Click here)] リンクをクリックするとテンプレート作成ページにリダイレクトされます。 |
| ステップ 6 |
[レイヤ 2 セキュリティ(Layer 2 Security)] ドロップダウン リストから [WPA1+WPA2] を選択します。 |
| ステップ 7 |
[General Policies] の下にある [Status] チェックボックスをオンにして WLAN を有効にします。 NAC が有効で、これで使用する検疫 VLAN を作成済みである場合は、[一般ポリシー(General Policies)] の下にある [インターフェイス(Interface)] ドロップダウン リストから選択してください。また、[AAA オーバーライドを許可する(Allow AAA Override)] チェックボックスをオンにして、コントローラが確実に検疫 VLAN 割り当てを検証するようにします。 |
| ステップ 8 |
[Save] をクリックします。 |
ローカルでスイッチされる WLAN を作成するには、次の手順を実行します。
| ステップ 1 |
「FlexConnect 用の中央でスイッチングされる WLAN コントローラの設定」のステップ 1 ~ 5 の説明に従って、新しい WLAN を作成します。 |
| ステップ 2 |
WLAN ID をクリックして設定パラメータを変更します。 [Layer 2 Security] ドロップダウン リストから [WPA1+WPA2] を選択します。PSK 認証キー管理を選択し、事前共有キーを入力してください。 |
| ステップ 3 |
この WLAN の [管理ステータス(Admin Status)] チェックボックスをオンにします。 |
| ステップ 4 |
[FlexConnect ローカル スイッチング(FlexConnect Local Switching)] チェックボックスをオンにし、ローカル スイッチングを有効にします。 |
| ステップ 5 |
[保存(Save)] をクリックして変更を確定します。 |
ゲスト アクセス用に中央でスイッチされる WLAN を作成し、トンネルを通じてゲスト トラフィックがコントローラに渡されるようにするには、次の手順を実行します。
| ステップ 1 |
「FlexConnect 用の中央でスイッチングされる WLAN コントローラの設定」のステップ 1 ~ 5 の説明に従って、新しい WLAN を作成します。 |
| ステップ 2 |
WLAN をクリックして次の設定パラメータを変更します。
|
| ステップ 3 |
[一般ポリシー(General Policies)] の下にある [ステータス(Status)] チェックボックスをオンにして WLAN を有効にします。 |
| ステップ 4 |
[Save] をクリックして変更をコミットします。 |
関連項目
ローカル ユーザを追加するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
左側のサイドバーのメニューから、 を選択します。 |
| ステップ 3 |
必要なフィールドに入力します。 |
| ステップ 4 |
[プロファイル(Profile)] ドロップダウン リストから、適切な SSID を選択します。 |
| ステップ 5 |
ゲスト ユーザ アカウントの説明を入力します。 |
| ステップ 6 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
FlexConnect に AP を設定するには、次の手順を実行します。
| ステップ 1 |
AP をネットワークに物理的に追加します。 |
| ステップ 2 |
[設定(Configuration)] > [ワイヤレス テクノロジー(Wireless Technologies)] > [アクセスポイントの無線(Access Point Radios)] を選択します。 |
| ステップ 3 |
[AP 名(AP Name)] リストから、AP を選択します。 |
| ステップ 4 |
[設定(Configuration)] > [テンプレート(Templates)] > [Lightweight アクセス ポイント(Lightweight Acess Points)]、または [AP モード(AP Mode)] フィールドに FlexConnect が表示されない場合は [自律型アクセスポイント(Autonomous Access Points)] を選択します。 [AP Mode] フィールドに [FlexConnect] が表示される場合は、ステップ 8 に進みます。 |
| ステップ 5 |
[AP 名(AP Name)] リストから、AP を選択します。[Lightweight AP テンプレートの詳細(Lightweight AP Template Detail)] ページが表示されます。 |
| ステップ 6 |
[FlexConnect モードをサポート(FlexConnect Mode supported)] チェックボックスをオンにして、すべてのプロファイル マッピングを表示します。 モードを FlexConnect に変更する際に、AP がまだ FlexConnect モードでない場合、他のすべての FlexConnect パラメータはその AP に適用されません。 |
| ステップ 7 |
[VLAN サポート(VLAN Support)] チェックボックスをオンにして、[ネイティブ VLAN ID(Native VLAN ID)] テキスト ボックスにリモート ネットワーク上のネイティブ VLAN の番号を入力します。 |
| ステップ 8 |
[適用/スケジュール(Apply/Schedule)] タブをクリックして変更を保存します。 |
| ステップ 9 |
[ローカルでスイッチされる VLAN(Locally Switched VLANs)] セクションの [編集(Edit)] リンクをクリックして、クライアント IP アドレスの取得元となる VLAN の数を変更します。 |
| ステップ 10 |
[Save] をクリックして変更を保存します。 リモート サイトで FlexConnect に設定する必要があるすべての追加 AP にこの手順を繰り返します。 |
次の指示に従って、クライアント デバイスでコントローラの設定時に作成した WLAN に接続するプロファイルを作成します。
例では、クライアント上で 3 つのプロファイルを作成します。
クライアントのデータ トラフィックがローカル スイッチングか中央スイッチングかを確認するには、[Monitor] > [Devices] > [Clients] の順に選択します。
FlexConnect により、各ロケーションにコントローラを導入しなくても、ワイドエリア ネットワーク(WAN)リンク経由で、リモート ロケーションの AP を設定および制御できるようになります。ロケーションごとの FlexConnect AP の数に関する導入制限はありませんが、AP を整理してグループ化できます。
同じ設定で AP グループを作成することによって、個別にコントローラにアクセスするよりも CCKM 高速ローミングなどをより速く処理できます。
たとえば、CCKM 高速ローミングをアクティブにするには、FlexConnect AP が関連付ける可能性のあるすべてのデバイスの CCKM キャッシュを認識している必要があります。300 個の AP と 1000 台のデバイスが接続可能なコントローラを使用している場合は、1000 台のすべてのデバイスにではなく、FlexConnect グループに対して CCKM キャッシュを処理して送信する方が迅速かつ実用的です。ある特定の FlexConnect グループを少数の AP に集中させ、そのグループ内のデバイスがそれらの少数の AP に接続してローミングできるようにすることができます。確立されたグループでは、CCKM キャッシュやバックアップ RADIUS などの機能が各 AP で設定されるのではなく、FlexConnect グループ全体に設定されます。
グループ内のすべての FlexConnect AP は、同じ WLAN、バックアップ RADIUS サーバ、CCKM、およびローカル認証設定情報を共有します。この機能は、複数の FlexConnect AP がリモート オフィスやビルディングのフロアにあり、すべてを一度に設定する場合に役立ちます。たとえば、各 AP に同じサーバを設定する必要なく、FlexConnect グループのバックアップ RADIUS サーバを設定できます。
次の図に、ブランチ オフィスでのバックアップ RADIUS サーバを備えた一般的な FlexConnect グループの展開を示します。
スタンドアロン モードの FlexConnect AP がバックアップ RADIUS サーバに対して完全な 802.1x 認証を実行できるように、コントローラを設定することができます。プライマリ RADIUS サーバを設定することも、プライマリとセカンダリの両方の RADIUS サーバを設定することもできます。
CCKM 高速ローミングには FlexConnect グループが必要です。CCKM 高速セキュア ローミング用に WLAN を設定した場合、EAP が有効になっているクライアントは、RADIUS サーバで再認証せずに、あるアクセス ポイントから別のアクセス ポイントに安全にローミングを行います。CCKM を使用すると、アクセス ポイントは高速キー再生成技術を使用します。これによりシスコのクライアント デバイスは、アクセス ポイント間のローミングを通常 150 ミリ秒未満で行えます。CCKM 高速セキュア ローミングでは、遅延に敏感なアプリケーションで認識できるほどの遅延は発生しません。FlexConnect アクセス ポイントは、関連付けられる可能性のあるすべてのクライアントに対する CCKM キャッシュ情報を取得します。それにより、CCKM キャッシュ情報をコントローラに送り返さずに、すばやく処理できます。
たとえば、AP が 300 あるコントローラで、アソシエートする可能性のあるクライアントが 100 台ある場合、100 台すべてのクライアントに対して CCKM キャッシュを送信することは現実的ではありません。限られた数の AP で構成される FlexConnect グループを作成すると、クライアントは 4 つの AP 間でのみローミングし、クライアントがそれらのいずれかに関連付けられている場合にのみ、4 つの AP 間で CCKM キャッシュが分散されます。
FlexConnect AP と非 FlexConnect AP 間の CCKM 高速ローミングはサポートされていません。
スタンドアロン モードの FlexConnect AP が、最大 20 人の静的に設定されたユーザに対して LEAP または EAP-FAST 認証を実行できるように、コントローラを設定できます。コントローラは、各 FlexConnect AP がコントローラに接続した際に、ユーザ名とパスワードの静的リストをその AP に送信します。グループ内の各 AP は、そのアクセス ポイントに関連付けられたクライアントのみを認証します。
この機能は、Autonomous AP ネットワークから Lightweight FlexConnect AP ネットワークに移行する際に、大きなユーザ データベースを保持したくない場合や、Autonomous AP で利用可能な RADIUS サーバ機能を置き換える際に別のハードウェア デバイスを追加したくない場合に適しています。
LEAP または EAP-FAST 認証は、FlexConnect バックアップ RADIUS サーバと組み合わせて使用できます。FlexConnect グループがバックアップ RADIUS サーバとローカル認証の両方で設定されている場合、FlexConnect AP は常に、まずプライマリ バックアップ RADIUS サーバを使用してクライアントの認証を試行します。その後、セカンダリ バックアップ RADIUS サーバで試行し(プライマリに到達できない場合)、最後に FlexConnect AP 自身で試行します(プライマリおよびセカンダリの RADIUS サーバに到達できない場合)。
既存の FlexConnect AP グループのリストを表示できます。個々の AP が FlexConnect グループに属していることを確認するには、[グループで設定されているユーザ(Users configured in the group)] リンクをクリックします。[FlexConnect AP グループ(FlexConnect AP Group)] ページが開き、グループの名前と、そのグループに属している AP が表示されます。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。[FlexConnect AP グループ(FlexConnect AP Groups)] ページが開きます。 |
| ステップ 4 |
グループ名をクリックして FlexConnect AP グループに関する詳細を表示します。 |
FlexConnect AP グループを設定するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Devices Groups)] メニューから [デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。 |
| ステップ 4 |
[コマンドの選択(Select a command)] ドロップダウン リストで、[FlexConnect AP グループの追加(Add FlexConnect AP Group)] をクリックし、[FlexConnect AP グループ(FlexConnect AP Group)] > [テンプレートから追加(Add From Template)] ペインを開きます。 |
| ステップ 5 |
[このコントローラに適用するテンプレートを選択する(Select a template to apply to this controller)] ドロップダウン リストからテンプレートを選択します。 |
| ステップ 6 |
[Apply] をクリックします。 |
| ステップ 7 |
必要な FlexConnect AP グループ パラメータを設定します。必要なタブをクリックして、次のマッピングを追加、編集、または削除できます。
|
| ステップ 8 |
個々のアクセス ポイントが FlexConnect グループに属していることを確認するには、[グループに設定されているユーザ(Users configured in the group)] リンクをクリックします。[FlexConnect AP グループ(FlexConnect AP Group)] ページに、グループの名前と、そのグループに属しているアクセス ポイントが表示されます。 |
| ステップ 9 |
[保存(Save)] をクリックします。 |
| ステップ 10 |
既存の FlexConnect AP グループを削除するには、削除するグループのチェックボックスをオンにし、[コマンドの選択(Select a command)] ドロップダウン リストから [FlexConnect AP グループの削除(Delete FlexConnect AP Group)] を選択します。 |
FlexConnect 設定が Cisco Prime Infrastructure またはコントローラ上で時間とともに変化した場合は、設定を監査できます。変化は、後続の画面に表示されます。Cisco Prime Infrastructure またはコントローラを更新して、設定の同期を選択できます。
デフォルト FlexConnect グループは、管理者が設定した FlexConnect グループの一部ではない FlexConnect AP がコントローラに加わると自動的に追加されるコンテナです。デフォルト FlexConnect グループは、コントローラの起動時(以前のリリースからアップグレードした後)に作成され、保存されます。このグループを手動で追加または削除することはできません。また、デフォルト FlexConnect グループでアクセス ポイントを手動で追加または削除することはできません。デフォルト FlexConnect グループ内の AP は、グループの共通設定を継承します。グループの設定のどれかを変更すると、その変更は、グループ内のすべての AP に反映されます。
管理者が作成したグループが削除されると、そのグループからのすべての AP がデフォルト FlexConnect グループに移動され、このグループの設定を継承します。同様に、他のグループから手動で削除された AP もデフォルト FlexConnect グループに追加されます。
デフォルト FlexConnect グループからの AP がカスタマイズされたグループに追加されると、(デフォルト FlexConnect グループからの)既存の設定が削除され、カスタマイズされたグループの設定が AP にプッシュされます。スタンバイ コントローラがある場合は、デフォルト FlexConnect グループとその設定も同期化されます。
AP がローカルから FlexConnect モードに変換され、管理者が設定した FlexConnect グループの一部でない場合、AP はデフォルト FlexConnect グループの一部になります。
(注) |
AP イメージを効率的にアップグレードする機能は、デフォルト FlexConnect AP グループではサポートされません。 |
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。 |
| ステップ 4 |
[FlexConnect AP グループ(FlexConnect AP Groups)] からグループ名をクリックします。 |
| ステップ 5 |
[FlexConnect AP] タブで、[AP の追加(+ Add AP)] をクリックします。[FlexConnect AP の追加(Add FlexConnect AP)] ページに、デフォルト FlexConnect グループの AP が表示されます。 |
| ステップ 6 |
任意の AP 名を選択し、[追加(Add)] をクリックします。 選択した AP は、自動的に新しいグループに追加され、デフォルト FlexConnect グループから削除されます。 |
| ステップ 7 |
[保存(Save)] をクリックします。 |
(注) |
デフォルト FlexConnect グループは削除できません。 |
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。 |
| ステップ 4 |
グループ名をクリックしてから、[コマンドの選択(Select a Command)] ドロップダウン リストから [FlexConnect AP グループの削除(Delete FlexConnect AP Group)] を選択します。 |
| ステップ 5 |
[OK] をクリックして削除を実行します。 |
TFTP サーバへのコントローラ コンフィギュレーション ファイルのアップロードまたはダウンロードの際に、データが暗号化されるように、ファイル暗号化を設定できます。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Devices Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。 |
| ステップ 4 |
[ファイル暗号化] チェックボックスをオンにします。 |
| ステップ 5 |
[暗号化キー(Encryption Key)] フィールドに、正確に 16 文字のテキスト文字列を入力します。[暗号化キーの確認(Confirm Encryption Key)] フィールドにキーをもう一度入力します。 |
| ステップ 6 |
[保存(Save)] をクリックします。 |
ここでは、コントローラのセキュリティ AAA パラメータの設定方法について説明します。内容は次のとおりです。
[一般(General)] ページでは、コントローラ上のローカル データベース エントリを設定できます。
| ステップ 1 |
を選択し、左側の [デバイス グループ(Device Groups)] メニューから [デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。 |
| ステップ 4 |
許可されるデータベース エントリの最大数を入力します。有効な範囲は 512 ~ 2048 です。 |
| ステップ 5 |
[管理ユーザの再認証間隔(Mgmt User Re-auth Interval)] で、管理ユーザを停止する間隔を設定します。 |
| ステップ 6 |
サーバを再起動して変更を適用します。 |
既存の RADIUS 認証サーバのサマリーを表示できます。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。次の RADIUS Auth Servers パラメータが表示されます。
|
認証サーバを追加するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。 |
| ステップ 4 |
[Select a command] ドロップダウン リストから [Add Auth Server] 選択して、[Radius Authentication Server] > [Add From Template] ページを開きます。 |
| ステップ 5 |
[このコントローラに適用するテンプレートを選択する(Select a template to apply to this controller)] ドロップダウン リストからテンプレートを選択します。 |
| ステップ 6 |
[Apply] をクリックします。 Radius 認証サーバの新しいテンプレートを作成するには、 を選択します。 |
既存の RADIUS アカウンティング サーバのサマリーを表示するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。RADIUS Acct Server パラメータには、次のようなものがあります。
|
アカウンティング サーバを追加するには、次の手順を実行します。
| ステップ 1 |
[設定(Configuration)] > [ネットワーク(Network)] > [ネットワーク デバイス(Network Devices)] を選択し、左側の [デバイス グループ(Device Groups)] メニューから [デバイス タイプ(Device Type)] > [ワイヤレス コントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、[Security] > [AAA] > [RADIUS Acct Servers] の順に選択します。 |
| ステップ 4 |
[コマンドの選択(Select a command)] ドロップダウン リストから [アカウンティング サーバの追加(Add Acct Server)] 選択して、[RADIUS アカウンティング サーバの詳細(Radius Acct Servers Details)] > [テンプレートから追加(Add From Template)] ページを開きます。 |
| ステップ 5 |
[Select a template to apply to this controller] ドロップダウン リストからテンプレートを選択します。 |
| ステップ 6 |
ドロップダウン リストから、このテンプレートに適用するコントローラを選択します。 |
| ステップ 7 |
[適用(Apply)] をクリックします。 RADIUS アカウンティング サーバの新しいテンプレートを作成するには、[Configuration] > [Templates] > [Features and Technologies] > [Controller] > [Security] > [AAA] > [RADIUS Acct Servers] を選択します。 |
アカウンティング サーバを削除するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから [デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 の順に選択します。 |
| ステップ 4 |
該当するアカウンティング サーバのチェックボックスをオンにします。 |
| ステップ 5 |
[コマンドの選択(Select a command)] ドロップダウン リストから [アカウンティング サーバの削除(Delete Acct Server)] を選択します。 |
| ステップ 6 |
[Go] をクリックします。 |
| ステップ 7 |
ポップアップ ダイアログボックスで [OK] をクリックして、削除を確定します。 |
RADIUS フォールバック パラメータを設定するには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから [デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |
| ステップ 3 |
左側のサイドバーのメニューから、 を選択します。 |
| ステップ 4 |
必要な変更を行い、[保存(Save)] をクリックします。 |
| ステップ 5 |
[監査(Audit)] をクリックして、Cisco Prime Infrastructure およびコントローラの現在の設定ステータスを確認します。 |
LDAP サーバをコントローラに追加して削除できます。Prime Infrastructure は、匿名バインドおよび認証済みバインドの両方の LDAP 設定をサポートします。
[LDAP Servers] ページにアクセスするには、次の手順を実行します。
| ステップ 1 |
を選択し、左側の [デバイスグループ(Device Groups)] メニューから [デバイスタイプ(Device Type)] > [ワイヤレスコントローラ(Wireless Controller)] を選択します。 |
| ステップ 2 |
該当するコントローラのデバイス名をクリックします。 |