有線ゲスト アクセスの設定

有線ゲスト アクセスについて

有線ゲスト アクセスにより、ゲスト ユーザはゲスト アクセス用に指定および設定されている有線イーサネット接続からゲスト アクセス ネットワークに接続できます。 有線ゲスト アクセス ポートは、ゲスト オフィスからまたは会議室の特定のポートを介して利用することもできます。 無線ゲスト ユーザ アカウントのように、有線ゲスト アクセス ポートが Lobby Ambassador 機能を使用するネットワークに追加されます。

有線ゲスト アクセスは、スタンドアロン設定または、アンカー コントローラと外部コントローラの両方を使用するデュアル コントローラ設定で設定できます。 この後者の設定は、有線ゲスト アクセス トラフィックをさらに隔離するために使用されますが、有線ゲスト アクセスの展開には必須ではありません。

有線ゲスト アクセス ポートは最初、レイヤ 2 アクセス スイッチ上で、または有線ゲスト アクセス トラフィック用の VLAN インターフェイスで設定されているスイッチ ポート上で終端します。 有線ゲスト トラフィックはその後、アクセス スイッチからコントローラへトランクされます。 このコントローラは、アクセス スイッチ上で有線ゲスト アクセス VLAN にマップされているインターフェイスを使用して設定されます。


(注)  

2 つのコントローラが展開されるとき、有線ゲスト アクセスはアンカーと外部アンカーによって管理されますが、有線ゲスト アクセス クライアントではモビリティがサポートされていません。 この場合、DHCP およびクライアントの Web 認証は、アンカー コントローラによって処理されます。


(注)  

QoS ロールと帯域幅コントラクトを設定することにより、ネットワーク内の有線ゲスト ユーザに割り当てられている帯域幅の量を指定できます。

基本的なピアツーピア WLAN ACL を作成して有線ゲスト WLAN に適用できます。 これはピアツーピア トラフィックをブロックしないので、ゲスト ユーザは互いに通信できます。

有線ゲストのアクセスを設定するための前提条件

無線ネットワーク上で有線ゲスト アクセスを設定するには、次の手順を実行する必要があります。

  1. 有線ゲスト ユーザ アクセス用の動的インターフェイス(VLAN)を設定します。

  2. ゲスト ユーザ アクセス用の有線 LAN を作成します。

  3. コントローラを設定します。

  4. アンカー コントローラを設定します(別のコントローラでトラフィックを終端する場合)。

  5. ゲスト LAN 用のセキュリティを設定します。

  6. 設定を確認します。

有線ゲストのアクセスの設定に関する制限

  • 有線ゲスト アクセス インターフェイスは、タグ付きである必要があります。

  • 有線ゲスト アクセス ポートは、外部コントローラと同じレイヤ 2 ネットワークになければなりません。

  • コントローラ上で、最大 5 つの有線ゲスト アクセス LAN を設定できます。 また、有線ゲスト アクセス LAN では、複数のアンカーがサポートされます。

  • 有線ゲスト アクセス クライアントに対して、レイヤ 3 Web 認証と Web パススルーがサポートされています。 レイヤ 2 セキュリティはサポートされていません。

  • 予期しない結果が生じる場合があるため、有線ゲスト VLAN を複数の外部コントローラにトランクしないでください。

有線ゲスト アクセスの設定(GUI)

    ステップ 1   有線ゲスト ユーザ アクセス用の動的インターフェイスを作成するために、[Controller] > [Interfaces] の順に選択します。 [Interfaces] ページが表示されます。
    ステップ 2   [New] をクリックして、[Interfaces > New] ページを開きます。
    ステップ 3   新しいインターフェイスの名前と VLAN ID を入力します。
    ステップ 4   [Apply] をクリックして、変更を確定します。
    ステップ 5   [Port Number] テキスト ボックスに、有効なポート番号を入力します。 0 ~ 25(両端の値を含む)の数値を入力できます。
    ステップ 6   [Guest LAN] チェックボックスをオンにします。
    ステップ 7   [Apply] をクリックして、変更を確定します。
    ステップ 8   ゲスト ユーザ アクセス用に有線 LAN を作成するために、[WLANs] を選択します。
    ステップ 9   [WLANs] ページで、ドロップダウン リストから [Create New] を選択して、[Go] をクリックします。 [WLANs > New] ページが表示されます。
    ステップ 10   [Type] ドロップダウン リストから、[Guest LAN] を選択します。
    ステップ 11   [Profile Name] テキスト ボックスに、ゲスト LAN を識別する名前を入力します。 スペースを使用しないでください。
    ステップ 12   [WLAN ID] ドロップダウン リストから、このゲスト LAN の ID 番号を選択します。
    (注)     

    最大 5 つのゲスト LAN を作成できるので、[WLAN ID] オプションは 1 ~ 5(両端の値を含む)です。

    ステップ 13   [Apply] をクリックして、変更を確定します。
    ステップ 14   [Status] パラメータの [Enabled] チェックボックスをオンにします。
    ステップ 15   Web 認証([Web-Auth])は、デフォルトのセキュリティ ポリシーです。 Web パススルーに変更する場合は、ステップ 16ステップ 17 を完了してから [Security] タブを選択します。
    ステップ 16   [Ingress Interface] ドロップダウン リストから、ステップ 3 で作成した VLAN を選択します。 この VLAN は、レイヤ 2 アクセス スイッチを経由して、有線ゲスト クライアントとコントローラとの間のパスを提供します。
    ステップ 17   [Egress Interface] ドロップダウン リストから、インターフェイスの名前を選択します。 この WLAN は、有線ゲスト クライアント トラフィックのコントローラから送信されるパスを提供します。
    ステップ 18   認証方式を変更する(たとえば、Web 認証から Web パススルーへ)場合、[Security] > [Layer 3] の順に選択します。 [WLANs > Edit]([Security] > [Layer 3])ページが表示されます。
    ステップ 19   [Layer 3 Security] ドロップダウン リストから、次のいずれかを選択します。

    • [None]:レイヤ 3 セキュリティが無効になっています。

    • [Web Authentication]:無線ネットワークに接続する際に、ユーザにユーザ名とパスワードの入力を求めます。 これは、デフォルト値です。

    • [Web Passthrough]:ユーザがユーザ名とパスワードを入力せずに、ネットワークにアクセスすることを許可します。

      (注)     

      ゲスト有線 VLAN にはレイヤ 3 ゲートウェイが存在しないようにしてください。コントローラによる Web 認証がバイパスされるためです。

    ステップ 20   [Web Passthrough] オプションを選択する場合、[Email Input] チェックボックスが表示されます。 ユーザがネットワークに接続しようとしたとき、電子メール アドレスの入力を求める場合は、このチェックボックスをオンにします。
    ステップ 21   [Web Login Page] に設定されているグローバル認証設定を無効にするには、[Override Global Config] チェックボックスをオンにします。
    ステップ 22   [Web Auth Type] ドロップダウン リストが表示されたら、次のオプションのいずれかを選択して、有線ゲスト ユーザ用の Web 認証ページを定義します。

    • [Internal]:コントローラのデフォルト Web ログイン ページを表示します。 これは、デフォルト値です。

    • [Customized]:カスタム Web ログイン ページ、ログイン失敗ページ、ログアウト ページを表示します。 このオプションを選択すると、ログイン ページ、ログイン失敗ページ、ログアウト ページに対して 3 つの個別のドロップダウン リストが表示されます。 3 つのオプションすべてに対してカスタマイズしたページを定義する必要はありません。 カスタマイズしたページを表示しないオプションに対しては、該当するドロップダウン リストで [None] を選択します。

      (注)     

      これらオプションのログイン ページ、ログイン失敗ページ、ログアウト ページは、webauth.tar ファイルとしてコントローラにダウンロードされます。

    • [External]:認証のためにユーザを外部サーバにリダイレクトします。 このオプションを選択する場合、[URL] テキスト ボックスに外部サーバの URL も入力する必要があります。

      [WLANs > Edit]([Security] > [AAA Servers])ページで、外部認証を行う特定の RADIUS サーバまたは LDAP サーバを選択できます。 また、サーバによる認証の優先順位を定義することもできます。

    ステップ 23   ステップ 22 で Web 認証タイプとして [External] を選択した場合は、[AAA Servers] を選択して、ドロップダウン リストから最大 3 つの RADIUS サーバおよび LDAP サーバを選択します。
    (注)     

    RADIUS および LDAP の外部サーバは、[WLANs > Edit]([Security] > [AAA Servers])ページでオプションを選択できるようにするため、あらかじめ設定しておく必要があります。 [RADIUS Authentication Servers] ページと [LDAP Servers] ページでこれらのサーバを設定できます。

    ステップ 24   次の手順で、Web 認証で接続するサーバの優先順位を指定します。
    (注)     

    デフォルトでは、[Local]、[RADIUS]、[LDAP] の順になっています。

    1. [Up] ボタンと [Down] ボタンの隣にあるボックスで、最初に接続するサーバの種類([Local]、[Radius]、[LDAP])を強調表示します。

    2. 希望のサーバ タイプがボックスの先頭になるまで、[Up] および [Down] をクリックします。

    3. [<] 矢印をクリックして、そのサーバ タイプを左側の優先順位ボックスに移動します。

    4. この手順を繰り返して他のサーバにも優先順位を割り当てます。

    ステップ 25   [Apply] をクリックします。
    ステップ 26   [Save Configuration] をクリックします。
    ステップ 27   2 番めの(アンカー)コントローラがネットワークで使用中の場合は、このプロセスを繰り返します。

    有線ゲスト アクセスの設定(CLI)

      ステップ 1   次のコマンドを入力して、有線ゲスト ユーザのアクセス用の動的インターフェイス(VLAN)を作成します。

      config interface create interface_name vlan_id

      ステップ 2   リンク集約トランクが設定されていない場合、次のコマンドを入力して、物理ポートをインターフェイスにマッピングします。

      config interface port interface_name primary_port {secondary_port}

      ステップ 3   次のコマンドを入力して、ゲスト LAN VLAN を有効または無効にします。

      config interface guest-lan interface_name {enable | disable}

      この VLAN は、ステップ 5 で作成した入力インターフェイスに後でアソシエートされます。

      ステップ 4   有線クライアント トラフィック用の有線 LAN を作成して、インターフェイスにアソシエートさせるには、次のコマンドを入力します。

      config guest-lan create guest_lan_id interface_name

      ゲスト LAN ID は、1 ~ 5(両端の値を含む)にする必要があります。

      (注)     

      有線ゲスト LAN を削除するには、config guest-lan delete guest_lan_id コマンドを入力します。

      ステップ 5   レイヤ 2 アクセス スイッチ経由で、有線ゲスト クライアントとコントローラ間のパスを提供する有線ゲスト VLAN の入力インターフェイスを設定するには、次のコマンドを入力します。

      config guest-lan ingress-interface guest_lan_id interface_name

      ステップ 6   コントローラから有線ゲスト トラフィックを送信するように出力インターフェイスを設定するには、次のコマンドを入力します。

      config guest-lan interface guest_lan_id interface_name

      (注)     

      有線ゲスト トラフィックが別のコントローラで終端する場合は、終点の(アンカー)コントローラに対してステップ 4ステップ 6 を繰り返し、起点の(外部)コントローラに対してステップ 1 からステップ 5 を繰り返します。 また、両方のコントローラに対して次のコマンドを設定します。config mobility group anchor add {guest-lan guest_lan_id | wlan wlan_id} IP_address

      ステップ 7   有線ゲスト LAN のセキュリティ ポリシーを設定するには、次のコマンドを入力します。

      config guest-lan security {web-auth enable guest_lan_id | web-passthrough enable guest_lan_id}

      (注)     

      Web 認証はデフォルト設定です。

      ステップ 8   有線ゲスト LAN を有効または無効にするには、次のコマンドを入力します。

      config guest-lan {enable | disable} guest_lan_id

      ステップ 9   カスタマイズされた Web ログイン ページ、ログイン失敗ページ、ログアウト ページに有線ゲスト ユーザをログインさせる場合は、次のコマンドを入力して、Web 認証ページのファイル名および表示するゲスト LAN を指定します。

      • config guest-lan custom-web login-page page_name guest_lan_id:Web ログイン ページを定義します。

      • config guest-lan custom-web loginfailure-page page_name guest_lan_id:Web ログイン失敗ページを定義します。

        (注)     

        コントローラのデフォルトのログイン失敗ページを使用するには、config guest-lan custom-web loginfailure-page noneguest_lan_id コマンドを入力します。

      • config guest-lan custom-web logout-page page_name guest_lan_idWeb ログアウト ページを定義します。

        (注)     

        コントローラのデフォルトのログアウト ページを使用するには、config guest-lan custom-web logout-page noneguest_lan_id コマンドを入力します。

      ステップ 10   有線ゲスト ユーザが Web ログイン ページにアクセスする前に有線ゲスト ユーザを外部サーバにリダイレクトする場合は、次のコマンドを入力して、外部サーバの URL を指定します。

      config guest-lan custom-web ext-webauth-url ext_web_url guest_lan_id

      ステップ 11   ローカル(コントローラ)または外部(RADIUS、LDAP)の Web 認証サーバの接続順序を定義するには、次のコマンドを入力します。

      config wlan security web-auth server-precedence wlan_id {local | ldap | radius} {local | ldap | radius} {local | ldap | radius}

      サーバの Web 認証は、デフォルトではローカル、RADIUS、LDAP の順になっています。

      (注)     

      すべての外部サーバをコントローラで事前に設定しておく必要があります。 [RADIUS Authentication Servers] ページまたは [LDAP Servers] ページでこれらを設定できます。

      ステップ 12   有線ゲスト ユーザ用の Web ログイン ページを定義するには、次のコマンドを入力します。

      config guest-lan custom-web webauth-type {internal | customized | external} guest_lan_id

      値は次のとおりです。

      • internal は、コントローラのデフォルト Web ログイン ページを表示します。 これは、デフォルト値です。

      • customized では、ステップ 9 で設定したカスタム Web ページ(ログイン ページ、ログイン失敗ページ、またはログアウト ページ)が表示されます。

      • external は、ステップ 10 で設定した URL にユーザをリダイレクトします。

      ステップ 13   グローバル カスタム Web 設定ではなく、ゲスト LAN 固有のカスタム Web 設定を使用するには、次のコマンドを入力します。

      config guest-lan custom-web global disable guest_lan_id

      (注)     

      config guest-lan custom-web global enable guest_lan_id コマンドを入力すると、グローバル レベルのカスタム Web 認証設定が使用されます。

      ステップ 14   次のコマンドを入力して、変更を保存します。

      save config

      (注)     

      設定された Web 認証ページの情報は、show run-config コマンドおよび show running-config コマンドの両方に表示されます。

      ステップ 15   次のコマンドを入力して、特定のゲスト LAN に対するカスタマイズ Web 認証設定を表示します。

      show custom-web {all | guest-lan guest_lan_id}

      (注)     

      内部の Web 認証が設定されていると、Web Authentication Type は、外部(コントローラ レベル)またはカスタマイズ(WLAN プロファイル レベル)ではなく内部として表示されます。

      ステップ 16   次のコマンドを入力して、ローカル インターフェイスの要約を表示します。

      show interface summary

      (注)     

      この例の有線ゲスト LAN のインターフェイス名は、wired-guest、VLAN ID は 236 です。

      次のコマンドを入力して、詳細なインターフェイス情報を表示します。

      show interface detailed interface_name

      ステップ 17   次のコマンドを入力して、特定の有線ゲスト LAN の設定を表示します。

      show guest-lan guest_lan_id

      (注)     

      show guest-lan summary コマンドを入力して、コントローラ上で設定されているすべての有線ゲスト LAN を表示します。

      ステップ 18   次のコマンドを入力して、アクティブな有線ゲスト LAN クライアントを表示します。

      show client summary guest-lan

      ステップ 19   次のコマンドを入力して、特定のクライアントの詳細情報を表示します。

      show client detail client_mac

      IPv6 クライアントのゲスト アクセスのサポート

      クライアントが認証されるまで、クライアントは WebAuth 状態です。 コントローラは、この状態の IPv4 トラフィックと IPv6 トラフィックの両方を代行受信し、コントローラの仮想 IP アドレスにリダイレクトします。 認証されると、ユーザの MAC アドレスが RUN 状態に移行し、IPv4 トラフィックと IPv6 トラフィックの両方が通過を許可されます。

      IPv6 専用クライアントのリダイレクションをサポートするために、コントローラは、コントローラに設定された IPv4 仮想アドレスに基づいて IPv6 仮想アドレスを自動的に作成します。 仮想 IPv6 アドレスは、[::ffff:<仮想 IPv4 アドレス>] という表記法に従います。 たとえば、仮想 IP アドレス 192.0.2.1 は、[::ffff:192.0.2.1] に変換されます。 IPv6 キャプティブ ポータルが表示されるためには、ユーザは、DNSv6(AAAA)レコードを返す、IPv6 に解決できる DNS エントリ(ipv6.google.com など)を要求する必要があります。