Ethernet over GRE の設定

Ethernet over GRE(EoGRE)は、IP コア ネットワーク上で GRE ヘッダーにカプセル化されたレイヤ 2 パケットのトンネリングを可能にするトンネリング プロトコルです。Generic Routing Encapsulation(GRE)は、レイヤ 3 IPv4 またはレイヤ 3 IPv6 アクセス ネットワーク上で仮想ポイントツーポイント リンクに多種多様なネットワーク レイヤ プロトコルをカプセル化するトンネリング プロトコルです。

前提条件

EoGRE を設定する際の前提条件は次のとおりです。

  • IP ルーティングが有効にされている必要があります。IP ルーティングを有効にするためのコマンドは次のとおりです。

ip routing

  • IP CEF が有効にされている必要があります。IP CEF を有効にするためのコマンドは次のとおりです。

ip cef

  • VLAN タグを持つイーサネット フレームをトンネリングする、VLAN のサブインターフェイスを作成する必要があります。VLAN のサブインターフェイスを作成するためのコマンドは次のとおりです。

interface Dot11Radio interface number.sub-interface number

encapsulation dot1Q vlan id

bridge-group bridge id

interface GigabitEthernet0.sub-interface number

encapsulation dot1Q vlan id

bridge-group bridge id

note.gif

blank.gif) 同じ VLAN ID が設定されたインターフェイスには、同じブリッジ ID を設定する必要があります。

次はサポートされていません。

  • SNMP、ACS コンフィギュレーションを使用した GUI
  • IPv6 アドレスを使用したトンネルの確立

EoGRE の設定

トンネルのプロファイルを設定して、トンネルを作成するために設定可能なパラメータを定義します。次のパラメータは、dot11 トンネルに設定されます。

  • トンネル アドレス モード
  • 送信元アドレス
  • 宛先アドレス
  • 最大セグメント サイズ(MSS)
  • 最大伝送ユニット(MTU)
  • Type of Service(ToS)または Differentiated Services Code Point(DSCP)

dot11 トンネルのトンネル プロファイルを設定するには、特権 EXEC モードで次の手順に従います。

 

コマンド
目的

mode [ipv4 | ipv6]

トンネル アドレス モードを IPv4 または IPv6 に設定します。

source address

送信元アドレス。デフォルトは AP の BVI アドレスです。

destination address

トンネル宛先アドレス

mss size

着信/発信 TCP syn および syn/ack パケットの TCP MSS 値を設定します。デフォルトのサイズは 1360 です。

mtu size

IP パケットのサイズがこの値より大きい場合、着信 IP パケットはフラグメント化され、ICMP Need Fragmentation エラー メッセージがクライアントに送信されます。デフォルトのサイズは 1400 です。

tos value

転送 IP アドレスの ToS または DSCP 値を設定します。デフォルト値は 0 です。

ap(config)# dot11 tunnel sample
ap(config-dot11-tunnel)# mode ipv4
ap(config-dot11-tunnel)# destination 1.1.1.1
ap(config-dot11-tunnel)# mss 1360
ap(config-dot11-tunnel)# mtu 1400
ap(config-dot11-tunnel)# tos 5
ap(config-dot11-tunnel)# end
 

SSID のトンネルへのマッピング

トンネルを WLAN にマッピングするには、SSID コンフィギュレーションでコマンド tunnel tunnel_profile を使用します。

SSID をトンネルにマッピングするには、特権 EXEC モードで次の手順に従います。

 

コマンド
目的

ステップ 1

dot11 ssid ssid

SSID を設定します。

ステップ 2

vlan vlan id

VLAN ID を指定します。

ステップ 3

tunnel tunnel profile

使用するトンネル プロファイルを指定します。

ステップ 4

authentication {open | eap }

認証のタイプを指定します。

ap(config)# dot11 ssid doc
ap(config-ssid)# tunnel sample
ap(config-ssid)# authentication open
ap(config-ssid)# end
 

EoGRE クライアントの DHCP スヌーピングの設定

DHCP スヌーピングは、信頼できないホストと信頼済み DHCP サーバとの間でファイアウォールのような役割を果たすセキュリティ機能です。AP 上で DHCP スヌーピングを有効にすると、AP は、回線 ID とリモート ID の 2 つのサブオプションを含むリレー エージェント情報オプション(DHCP オプション 82)を挿入します。

note.gif

blank.gif) DHCP スヌーピングは、デフォルトで無効になっています。

dot11 SSID の EoGRE クライアントの DHCP スヌーピングを有効にするには、特権 EXEC モードで次の手順に従います。

コマンド
目的

ステップ 1

dhcp-snoop enable

DHCP スヌーピングを有効にします。

デフォルトでは、DHCP スヌーピングはディセーブルです。

ステップ 2

dhcp-snoop circuit_id format {ap-mac | client-mac | eth-mac | name | ssid | type | vlan | raw word_string }

回線 ID として使用する文字列シーケンスの形式を指定します。指定する形式については、回線 ID およびリモート ID の書式と文字列を参照してください。

回線 ID は DHCP パケットに挿入されます。

ステップ 3

dhcp-snoop circuit_id circuit-id-string_sequence

回線 ID として使用する文字列シーケンスを、設定した形式で指定します。区切り文字を使用して各文字列を区切ります。デフォルトの区切り文字は「;」です。

ステップ 4

dhcp-snoop remote_id format {ap-mac | client-mac | eth-mac | name | ssid | type | vlan | raw word_string }

リモート ID として使用する文字列シーケンスの書式を指定する必要があります。指定する値については、回線 ID およびリモート ID の書式と文字列を参照してください。

ステップ 5

dhcp-snoop remote_id remote-id-string_sequence

リモート ID として使用する文字列シーケンスを、設定した書式で指定する必要があります。区切り文字を使用して各文字列を区切ります。デフォルトの区切り文字は「;」です。

ap(config)# dot11 ssi
ap(config)# dot11 ssid doc
ap(config-ssid)# dhcp-snoop enable
ap(config-ssid)# dhcp-snoop circuit_id format ap-mac ssid type
ap(config-ssid)# dhcp-snoop circuit_id 00:10:A4:23:B6:C0;xfinityWiFi;s
ap(config-ssid)# dhcp-snoop remote_id format client-mac
ap(config-ssid)# dhcp-snoop remote_id 00:50:24:23:B7:D0
ap(config-ssid)# end

 

その他のコマンド

デフォルトの DHCP スヌーピングのエンコーディングはバイナリです。これを ASCII に設定するには、次のコマンドを使用します。

ap(config-ssid)# dhcp-snoop encoding ascii

デフォルトの DHCP スヌーピングの文字列シーケンスの区切り文字は単一の「;」文字です。これを変更するには、次のコマンドを使用します。

ap(config-ssid)# dhcp-snoop delimiter single_character_or_string

single_character_or_string は、最大 127 文字の長さにできます。

回線 ID およびリモート ID の書式と文字列

回線 ID およびリモート ID に文字列を割り当てる前に、それぞれに文字列シーケンスの書式を指定する必要があります。

書式および文字列には、次の表に記載する 8 つの値のうち、最大 5 つの値を組み合わせることができます。文字列シーケンスを指定する際には、区切り文字で文字列を区切る必要があります。デフォルトの区切り文字は「:」です。

書式
対応する文字列の特性

ap-mac

AP 無線の MAC アドレス

client-mac

Client MAC address

eth-mac

AP イーサネット MAC アドレス

name

AP 名

raw word_string

任意の文字列。書式コマンドで raw を指定する場合は、入力する文字列も一緒に指定します。

ssid

SSID(Service Set Identifier)

type

SSID のタイプ。オープン SSID の場合は「o」、セキュア SSID の場合は「s」です。

vlan

VLAN 名

トンネル ゲートウェイ アドレスの冗長性の設定

トンネルの冗長性を設定すると、運用中のゲートウェイ アドレスが失敗または到達不能になった場合、プライマリからセカンダリにスイッチオーバーできるようになります。

冗長性を設定するには、次のパラメータを dot11 トンネルで設定します。

  • バックアップ宛先
  • バックアップ タイムアウト
  • キープアライブ パラメータ

トンネルの冗長アドレスを設定するには、特権 EXEC モードで次の手順に従います。

 

コマンド
目的

ステップ 1

Backup destination address

バックアップの宛先アドレスを指定します。

ステップ 2

Backup timeout seconds

トンネルをバックアップからプライマリに切り替えるまでの秒数を指定します。

ステップ 3

Keepalive count interval dead-count timeout

count は、各 interval(秒数)で送信する ping パケットの数です。

dead-count ping が失敗すると、トンネル エンドポイントはデッド状態であるとみなされます。

timeout は、AP が pind を送信した後に ping の応答を待機する秒数です。

count、interval、dead-count、timeout のデフォルト値は、それぞれ 3、60、3、1 です。
note.gif

blank.gif) プライマリからセカンダリ、またはその逆にスイッチオーバーする際は、アソシエートされているクライアントすべてが認証解除され、スイッチオーバー後に再アソシエートされます。
プライマリとセカンダリの両方がダウンすると、トンネルに接続される SSID もダウンします。AP がプライマリ アドレスとセカンダリ アドレスのいずれかに到達可能になると、SSID が有効になり、クライアントへの対応を開始します。

ap(config)# dot11 tunnel sample
ap(config-dot11-tunnel)# backup destination 2.2.2.2
ap(config-dot11-tunnel)# backup timeout 60
ap(config-dot11-tunnel)# keepalive 3 60 3 3
ap(config-dot11-tunnel)# end