ワイヤレス ネットワークの WLC の設定
Wireless Setup に初めてログインしてフローを選択すると、ワイヤレス コントローラを設定するように促されます。Wireless Setup は設定するフローのタイプに対応するため、必要な設定を WLC にプッシュします。
-
WLC は、AireOS 8.x 以降が稼働する Cisco WLC でなければなりません。
-
vWLC は ACL ベースの DNS をサポートしません
-
Wireless Setup 展開で使用する予定のインターフェイス VLANS(ネットワーク)用に WLC を設定します。デフォルトでは、WLC には管理インターフェイスがありますが、ゲストおよびセキュア アクセス(従業員)ネットワーク用に別のインターフェイスを設定することが推奨されます。
-
ゲスト フローの場合、AUP の受け入れ(ホットスポット)、ログイン、またはクレデンシャルの作成のために、ACL_WEBAUTH_REDIRECT ACL を使用して、ゲスト デバイスがホットスポットまたはクレデンシャルを持つゲスト ポータルのいずれかにリダイレクトされます。承認されたゲストには、アクセスが許可されます(ACCESS-ACCEPT)。WLC で ACL を使用してゲストの権限を制限することができます。WLC で ACL を作成し、その ACL をゲスト権限 authz プロファイルで使用します。ISE 成功ページへのアクセスを許可するには、この ACL を WLC に追加します。限定的な ACL の作成の詳細については、https://communities.cisco.com/docs/DOC-68169を参照してください。
-
Wireless Setup ではフローごとに WLAN が設定されます。フローに WLAN を設定したら、その WLAN は他のフローには使用できません。唯一の例外は、アカウント登録フロー用に WLAN を設定しており、後でこの WLAN を Sponsored Guest フロー(ゲストのアカウント登録とスポンサー処理の両方を扱うフロー)に使用することに決定した場合です。
実稼働環境で Wireless Setup を実行する場合、設定によって一部の既存ユーザの接続が切断されることがあります。
-
Wireless Setup で WLC を使用してフローを設定したら、ISE ではその WLC を削除しないでください。
-
ISE ですでに WLC を設定しているが、RADIUS オプションで共有秘密を設定していない場合、Wireless Setup で WLC を使用する前に共有秘密を追加する必要があります。
-
ISE で WLC をすでに設定しており、共有秘密を設定している場合は、Wireless Setup で異なる共有秘密を設定しないでください。Wireless Setup と ISE のシークレット パスワードが一致している必要があります。選択する WLAN はフローで無効にされますが、フローの終わりで [本番稼働(Go Live)] ボタンをクリックすると再度有効にできます。
-
リモート LAN:ネットワークにリモート LAN が含まれている場合、Wireless Setup はリモート LAN にすでに割り当てられている VLAN ID を使用しようとすると失敗します。この回避策として、リモート LAN を削除するか、または Wireless Setup を使用する前に WLC で使用する予定の VLAN を作成しておきます。Wireless Setup では、フローに対してこれらの既存の VLAN を有効にできます。
-
FlexConnect:Flexconnect ローカル スイッチおよび Flexconnect ACL は、Wireless Setup によって設定されますが、使用されず、サポートされていません。Wireless Setup は、Flexconnect 集中型またはローカル モード Ap および SSID でのみ動作します。
Cisco ワイヤレス LAN の設定の詳細については、http://www.cisco.com/c/en/us/td/docs/wireless/technology/wlc/82463-wlc-config-best-practice.htmlを参照してください。
ワイヤレス設定の例
次に示す WLC ログの一部分には、フローの設定時に Wireless Setup により行われる設定の例が示されています。
"config radius auth add 1 192.168.201.228 1812 ascii cisco"
"config radius auth disable 1"
"config radius auth rfc3576 enable 1"
"config radius auth management 1 disable"
"config radius auth enable 1"
"config radius acct add 1 192.168.201.228 1813 ascii cisco"
"config radius acct enable 1"
"config acl create ACL_WEBAUTH_REDIRECT"
"config acl rule add ACL_WEBAUTH_REDIRECT 1"
"config acl rule action ACL_WEBAUTH_REDIRECT 1 permit"
"config acl rule source port range ACL_WEBAUTH_REDIRECT 1 53 53"
"config acl rule protocol ACL_WEBAUTH_REDIRECT 1 17"
"config acl rule add ACL_WEBAUTH_REDIRECT 1"
"config acl rule action ACL_WEBAUTH_REDIRECT 1 permit"
"config acl rule destination port range ACL_WEBAUTH_REDIRECT 1 53 53"
"config acl rule protocol ACL_WEBAUTH_REDIRECT 1 17"
"config acl rule add ACL_WEBAUTH_REDIRECT 1"
"config acl rule action ACL_WEBAUTH_REDIRECT 1 permit"
"config acl rule source address ACL_WEBAUTH_REDIRECT 1 192.168.201.228 255.255.255.255"
"config acl rule add ACL_WEBAUTH_REDIRECT 1"
"config acl rule action ACL_WEBAUTH_REDIRECT 1 permit"
"config acl rule destination address ACL_WEBAUTH_REDIRECT 1 192.168.201.228 255.255.255.255"
"config acl apply ACL_WEBAUTH_REDIRECT"
"show flexconnect acl summary"
"config flexconnect acl create ACL_WEBAUTH_REDIRECT"
"config flexconnect acl rule add ACL_WEBAUTH_REDIRECT 1"
"config flexconnect acl rule action ACL_WEBAUTH_REDIRECT 1 permit"
"config flexconnect acl rule source port range ACL_WEBAUTH_REDIRECT 1 53 53"
"config flexconnect acl rule protocol ACL_WEBAUTH_REDIRECT 1 17"
"config flexconnect acl rule add ACL_WEBAUTH_REDIRECT 1"
"config flexconnect acl rule action ACL_WEBAUTH_REDIRECT 1 permit"
"config flexconnect acl rule destination port range ACL_WEBAUTH_REDIRECT 1 53 53"
"config flexconnect acl rule protocol ACL_WEBAUTH_REDIRECT 1 17"
"config flexconnect acl rule add ACL_WEBAUTH_REDIRECT 1"
"config flexconnect acl rule action ACL_WEBAUTH_REDIRECT 1 permit"
"config flexconnect acl rule source address ACL_WEBAUTH_REDIRECT 1 192.168.201.228 255.255.255.255"
"config flexconnect acl rule add ACL_WEBAUTH_REDIRECT 1"
"config flexconnect acl rule action ACL_WEBAUTH_REDIRECT 1 permit"
"config flexconnect acl rule destination address ACL_WEBAUTH_REDIRECT 1 192.168.201.228 255.255.255.255"
"config flexconnect acl apply ACL_WEBAUTH_REDIRECT"