- はじめに
-
- 概要
- 使用する前に
- ライセンスの管理
- 802.11 帯域の設定
- 802.11 パラメータの設定
- DHCP プロキシの設定
- [DHCP Link Select] および [VPN Select] の設定
- SNMP の設定
- アグレッシブ ロード バランシングの設定
- 高速 SSID 変更の設定
- 802.3 ブリッジの設定
- マルチキャストの設定
- クライアント ローミングの設定
- IP-MAC アドレス バインディングの設定
- Quality of Service の設定
- Application Visibility and Control の設定
- メディアおよび EDCA パラメータの設定
- Cisco Discovery Protocol の設定
- コントローラと NTP サーバの認証の設定
- RFID タグ追跡の設定
- コントローラのデフォルト設定へのリセット
- コントローラ ソフトウェアと設定の管理
- ユーザ アカウントの管理
- Web 認証の管理
- 有線ゲスト アクセスの設定
- Ethernet over GRE トンネル
- トラブルシューティング
-
- Cisco Unified Wireless Network Solution セキュリティ
- RADIUS の設定
- TACACS+ の設定
- FIPS 設定、 CC、 UCAPL
- 最大ローカル データベース エントリの設定
- コントローラでのローカル ネットワーク ユーザの設定
- パスワード ポリシーの設定
- LDAP の設定
- ローカル EAP の設定
- SpectraLink 社の NetLink 電話用システムの設定
- RADIUS NAC サポートの設定
- 設定の RADIUS VSA およびレルム
- 無線による管理機能の使用
- 動的インターフェイスによる管理機能
- DHCP オプション 82 の設定
- アクセス コントロール リストの設定と適用
- 管理フレーム保護の設定
- クライアント除外ポリシーの設定
- Identity ネットワーキングの設定
- AAA Override の設定
- 不正なデバイスの管理
- 不正なアクセス ポイントの分類
- Cisco TrustSec SXP の設定
- ローカル ポリシーの設定
- Cisco Intrusion Detection System の設定
- IDS シグニチャの設定
- wIPS の設定
- Wi-Fi Direct クライアント ポリシーの設定
- Web 認証プロキシの設定
- 意図的な悪用の検出
-
- WLAN の設定
- WLAN ごとのクライアント カウントの設定
- DHCP の設定
- DHCP スコープの設定
- WLAN の MAC フィルタリングの設定
- ローカル MAC フィルタの設定
- タイムアウトの設定
- DTIM period の設定
- ピアツーピア ブロッキングの設定
- レイヤ 2 セキュリティの設定
- Static WEP と Dynamic WEP の両方をサポートする WLAN の設定
- Sticky Key Caching の設定
- CKIP の設定
- レイヤ 3 セキュリティの設定
- キャプティブ バイパスの設定
- MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定
- QoS プロファイルの割り当て
- QoS Enhanced BSS の設定
- メディア セッション スヌーピングおよびレポートの設定
- Key Telephone System-Based CAC の設定
- ローミングしている音声クライアントのリアンカーの設定
- シームレスな IPv6 モビリティの設定
- Cisco Client Extensions の設定
- リモート LAN の設定
- AP グループの設定
- RF プロファイルの設定
- 8021.X 認証を使用した Web リダイレクトの設定
- NAC アウトオブバンド統合の設定
- パッシブ クライアントの設定
- クライアント プロファイルの設定
- WLAN ごとの RADIUS 送信元サポートの設定
- モバイル コンシェルジュの設定
- 経由ローミングの設定
- VLAN タギング 802.1Q-in-Q の設定
-
- アクセス ポイント通信プロトコルの使用
- CAPWAP の望ましいモード設定
- アクセス ポイントの検索
- アクセス ポイントのグローバル クレデンシャルの設定
- アクセス ポイントの認証の設定
- 組み込みアクセス ポイントの設定
- 自律アクセス ポイントの Lightweight モードへの変換
- パケット キャプチャの設定
- OfficeExtend アクセス ポイントの設定
- 設定の Cisco 700 シリーズ アクセス ポイント
- Cisco ワークグループ ブリッジの使用
- Cisco 以外のワークグループ ブリッジの使用
- バックアップ コントローラの設定
- アクセス ポイントのフェールオーバー プライオリティの設定
- AP の再送信間隔および再試行回数の設定
- Country Code の設定
- アクセス ポイントでの RFID トラッキングの最適化
- プローブ要求フォワーディングの設定
- コントローラとアクセス ポイント上の一意のデバイス ID の取得
- リンク テストの実行
- リンク遅延の設定
- TCP MSS の設定
- Power over Ethernet の設定
- クライアントの表示
- アクセス ポイントの LED 状態の設定
- デュアル バンド無線によるアクセス ポイントの設定
- UDP Lite の設定
- Cisco Hyperlocation
- Cisco Air Time Fairness
- Cisco Universal Small Cell 8x18 デュアルモード モジュール
- Index
FlexConnect の AAA Override の設定
認証、許可、アカウンティング オーバーライドについて
WLAN の [Allow Authentication, Authorization, Accouting (AAA) Override] オプションでは認証用に WLAN を設定することができます。 これにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、QoS、および ACL を適用できます。
FlexConnect アクセス ポイントに対する AAA Override は、ローカルにスイッチされたクライアントへダイナミック VLAN の割り当てを提供します。 また、FlexConnect の AAA Override は、上書きされたクライアントの高速ローミング(Opportunistic Key Caching:OKC/Cisco Centralized Key management:CCKM)をサポートします。
FlexConnect に対する VLAN Override は、中央で認証されたクライアントとローカルで認証されたクライアントの両方に適用されます。 VLAN は、FlexConnect グループで設定することができます。
AP の VLAN が WLAN-VLAN を使用して設定されている場合、対応する ACL の AP 設定が適用されます。 FlexConnect グループを使用して VLAN を設定する場合、FlexConnect グループで設定された対応する ACL が適用されます。 FlexConnect グループと AP で同じ VLAN を設定する場合、ACL を使用した AP 設定が優先されます。 WLAN-VLAN マッピングからの新しい VLAN 用のスロットがない場合、設定されている最新の FlexConnect グループ VLAN が置き換えられます。
AAA から戻された VLAN が AP 上に存在しない場合、クライアントは WLAN に設定されたデフォルト VLAN にフォールバックされます。
AAA Override を設定する前に、アクセス ポイントで VLAN が作成されている必要があります。 これらの VLAN は、アクセス ポイントの既存の WLAN-VLAN マッピングを使用するか、または FlexConnect グループ VLAN-ACL マッピングを使用して作成できます。
IPv6 ACL に対する AAA オーバーライド
Cisco Identity Services Engine(ISE)または ACS のように、中央集中型 AAA サーバを介した中央集中型のアクセス制御をサポートするために、AAA Override 属性を使用してクライアントごとに IPv6 ACL を提供できます。 この機能を使用するには、IPv6 ACL をコントローラに設定し、AAA Override 機能を有効にして WLAN を有効にする必要があります。 IPv6 ACL の AAA 属性は IPv4 ベースの ACL をプロビジョニングするために使用される Airespace-ACL-Name 属性に似た Airespace-IPv6-ACL-Name です。 AAA 属性が返すコンテンツは、コントローラで設定された IPv6 ACL の名前に一致する文字列になるはずです。
AP とコントローラの双方向レート制限の AAA Override
| アップストリーム/ダウンストリーム | ローカル モード | FlexConnect 中央スイッチング | FlexConnect ローカル スイッチング | FlexConnect スタンドアロン |
|---|---|---|---|---|
| クライアントごとのダウンストリーム | コントローラ | コントローラ | AP | AP |
| クライアントごとのアップストリーム | AP | AP | AP | AP |
| AAA | AAA の QoS プロファイル | WLAN | WLAN の QoS プロファイル | クライアントに適用される |
|---|---|---|---|---|
| 100 Kbps | 200 Kbps | 300 Kbps | 400 Kbps | 100 Kbps |
| ○ | — | — | — | 200 Kbps |
| ○ | ○ | — | — | 300 Kbps |
| ○ | ○ | ○ | — | 400 Kbps |
| ○ | ○ | ○ | ○ | 無制限 |
FlexConnect の AAA Override に関する制約事項
AAA Override を設定する前に、VLAN をアクセス ポイントで作成する必要があります。 これらの VLAN は、アクセス ポイントの既存の WLAN-VLAN マッピングを使用するか、または FlexConnect グループ VLAN-ACL マッピングを使用して作成できます。
常に、AP には最大 16 の VLAN があります。 まず、VLAN は AP 設定(WLAN-VLAN)に従って選択され、残りの VLAN は FlexConnect グループで設定または表示されている順序で FlexConnect グループからプッシュされます。 VLAN スロットがフルの場合、エラー メッセージが表示されます。
ダイナミック VLAN の割り当ては、Access Control Server(ACS)のコントローラの Web 認証ではサポートされていません。
AP およびコントローラの双方向レート制限の AAA Override は、次の 802.11n の非メッシュ アクセス ポイントのすべてでサポートされます。
この機能は、メッシュ およびレガシー の AP プラットフォームでサポートされていません。 - 双方向レート制限の場合
双方向レート制限がない場合、AAA Override は実行されません。
- 対応する WLAN の QoS プロファイルが Silver であっても、クライアントの QoS プロファイルは Platinum に設定できます。 AP では、クライアントが音声キューにパケットを送信できます。 ただし、セッション開始プロトコル(SIP)スヌーピングを WLAN 上で無効にして、SIP クライアントのトラフィックが音声キューに送信されないようにする必要があります。
ISE サーバがサポートされています。
アップストリーム レート制限パラメータは、AAA Override のダウンストリーム パラメータと同様です。
ローカル認証はサポートされていません。
アクセス ポイント上の FlexConnect に対する AAA Override の設定(GUI)
アクセス ポイント上の FlexConnect に対する VLAN Override の設定(CLI)
FlexConnect アクセス ポイントの VLAN Override を設定するには、次のコマンドを使用します。
config ap flexconnect vlan add vlan-id acl ingress-acl egress-acl ap_name
フィードバック