600 シリーズ OfficeExtend アクセス ポイントは、ローカル モードでコントローラに接続します。 これらの設定は変更できません。

（注）	Monitor モード、FlexConnect モード、Sniffer モード、Rogue Detector、Bridge、および SE-Connect は、600 シリーズ OfficeExtend アクセス ポイントではサポートされておらず、設定することはできません。 図 2. OEAP モード

600 シリーズ OfficeExtend アクセス ポイントでは、最大で 3 つの WLAN と 1 つのリモート LAN がサポートされます。 ネットワーク導入に 4 つ以上の WLAN が存在する場合は、600 シリーズ OfficeExtend アクセス ポイントを AP グループに入れる必要があります。 600 シリーズ OfficeExtend アクセス ポイントが AP グループに追加されると、3 つの WLAN と 1 つのリモート LAN に対する同一の制限が AP グループの設定に適用されます。

600 シリーズ OfficeExtend アクセス ポイントがデフォルト グループにある場合、つまり、定義された AP グループにない場合、WLAN/リモート LAN ID を ID 7 以下に設定する必要があります。

600 シリーズ OfficeExtend アクセス ポイントにより使用されている WLAN またはリモート LAN を変更する目的で、追加の WLAN またはリモート LAN を作成する場合は、新しい WLAN またはリモート LAN を 600 シリーズ OfficeExtend アクセス ポイントで有効にする前に、削除する現在の WLAN またはリモート LAN を無効にする必要があります。 AP グループで複数のリモート LAN が有効にされている場合は、すべてのリモート LAN を無効にしてから 1 つのリモート LAN のみを有効にしてください。

AP グループで 4 つ以上の WLAN が有効にされている場合は、すべての WLAN を無効にしてから 3 つの WLAN のみを有効にしてください。

WLAN でセキュリティを設定（次の図を参照）する際は、600 シリーズ OfficeExtend アクセス ポイントでサポートされていない特定の要素があることに注意してください。 CCX は、600 シリーズ OfficeExtend アクセス ポイントではサポートされず、CCX に関連する要素もサポートされません。

レイヤ 2 セキュリティの場合、600 シリーズ OfficeExtend アクセス ポイントに対して次のオプションがサポートされます。

• None

• WPA+WPA2

• Static WEP

• 802.1X（リモート LAN の場合のみ）

  図 3. WLAN レイヤ 2 セキュリティ設定
  
  

[Security] タブ（次の図を参照）では、WPA+WPA2 設定の [CCKM] を選択しないでください。 802.1X または PSK のみを設定します。

図 4. WLAN のセキュリティ設定 - 認証キー管理

TKIP および AES に対するセキュリティの暗号化設定は、WPA と WPA2 で同一であることが必要です。 次に、TKIP と AES に対する非互換の設定例を示します。

図 5. OEAP 600 シリーズに対する非互換の WPA および WPA2 セキュリティ暗号化設定

図 6. OEAP 600 シリーズに対する非互換の WPA および WPA2 セキュリティ暗号化設定

次に、互換性のある設定例を示します。

図 7. OEAP シリーズに対する互換性のあるセキュリティ設定

図 8. OEAP シリーズに対する互換性のあるセキュリティ設定

QoS 設定はサポートされています（次の図を参照）が、CAC 設定はサポートされていないため、有効にしないでください。

（注）	カバレッジ ホールの検出は有効にしないでください。

（注）	Aironet IE は有効にしないでください。 このオプションはサポートされていません。 図 9. OEAP 600 に対する QoS の設定

MFP もサポートされていないので、無効にするか、[Optional] に設定してください。

図 10. OEAP シリーズ アクセス ポイントに対する MFP の設定

クライアント ロード バランシングおよびクライアント帯域の選択はサポートされていません。

600 シリーズ OfficeExtend アクセス ポイントの認証の場合、LEAP はサポートされません。 この設定については、EAP-Fast、EAP-TTLS、EAP-TLS、または PEAP に移行するように、クライアントおよび RADIUS サーバで対処する必要があります。

コントローラでローカル EAP が使用されている場合も、LEAP が使用されないように設定を変更する必要があります。

一度に 15 のユーザだけが Cisco 600 シリーズ OEAP で提供される WLAN に接続できます。クライアントのいずれかが認証を解除されるか、コントローラのタイムアウトが発生するまで、16 番目のユーザは認証できません。 この数は、600 シリーズ OfficeExtend アクセス ポイントでのコントローラ WLAN における累積数です。

たとえば、2 つのコントローラ WLAN が設定されており、1 つの WLAN に 15 ユーザが接続している場合、600 シリーズ OfficeExtend アクセス ポイントでは同時にもう 1 つの WLAN に別のユーザが join することができません。

この制限は、エンド ユーザが 600 シリーズ OfficeExtend アクセス ポイントで個人用に設定するローカル プライベート WLAN には適用されません。 これらのプライベート WLAN または有線ポートで接続されるクライアントは、これらの制限に影響しません。

（注）	この制限は、OfficeExtend モードで動作する他の AP モデルには適用されません。

600 シリーズ OfficeExtend アクセス ポイントでは、リモート LAN ポートを介して 4 つのクライアントのみ接続できます。 この接続クライアントの数は、コントローラ WLAN でのユーザ制限数（15）には影響しません。 リモート LAN のクライアント制限では、リモート LAN ポートにスイッチまたはハブを接続して複数のデバイスを接続することや、このポートに接続している Cisco IP 電話に直接接続することは可能です。 接続できるデバイスは 4 つまでです。これは、この 4 つのデバイスの 1 つのアイドル時間が 1 分を超えるまで適用されます。

リモート LAN は、コントローラでの WLAN またはゲスト LAN の設定と同様に設定されます。

図 11. OEAP 600 シリーズ AP に対するリモート LAN の設定

[Security] 設定を開いたままにし、MAC フィルタリングまたは Web 認証を設定することができます。 デフォルトでは MAC フィルタリングが使用されます。 さらに、802.1X レイヤ 2 セキュリティ設定を指定することもできます。

図 12. リモート LAN の OEAP 600 シリーズ AP に対するレイヤ 2 セキュリティ設定

図 13. リモート LAN の OEAP 600 シリーズ AP に対するレイヤ 3 セキュリティ設定

600 シリーズ OfficeExtend アクセス ポイントの無線は、無線 LAN コントローラではなく、そのアクセス ポイントのローカル GUI で管理されます。 スペクトラム チャネルまたは電力の管理や、無線の無効化をコントローラから実行しても、600 シリーズ OfficeExtend アクセス ポイントには反映されません。 RRM は、600 シリーズ OfficeExtend アクセス ポイントではサポートされません。

ローカル GUI で 2.4 GHz および 5.0 GHz の両方のデフォルト設定を変更していない限り、600 シリーズは起動時にチャネルをスキャンし、2.4 GHz および 5 GHz のチャネルを選択します。

図 14. OEAP 600 シリーズ AP のチャネル選択

20 MHz または 40 MHz のワイド チャネルについても、600 シリーズ OfficeExtend アクセス ポイントのローカル GUI で 5.0 GHz 用のチャネル帯域幅が設定されます。 2.4 GHz のチャネル幅を 40 MHz に設定することはできず、20 MHz に固定されます。

図 15. OEAP 600 AP のチャネル幅

• Cisco 600 シリーズ OfficeExtend アクセス ポイント（OEAP）は、単一の AP 導入向けに設計されているので、Cisco 600 シリーズ OEAP 間のクライアント ローミングはサポートされません。

  コントローラで 802.11a/n/ac または 802.11b/g/n を無効にしても、ローカル SSID がまだ有効であるために、Cisco 600 シリーズ OEAP ではこれらのスペクトラムが無効にならない場合があります。

• ファイアウォールは、アクセス ポイントからの CAPWAP を使用するトラフィックを許可するよう設定されている必要があります。 UDP ポート 5246 および 5247 が有効であり、アクセス ポイントがコントローラに join できないようにする可能性のある中間デバイスによりブロックされていないことを確認してください。

• OEAP モードに変換され、ローカルでスイッチされる WLAN にマッピングされる 3500、3600、1260、2600、1040 など AP は、AP 接続スイッチのローカル サブネット上に DHCP 要求を転送します。 この状態を回避するには、ローカル スイッチングとローカル認証を無効にする必要があります。

• Cisco 仮想ワイヤレス LAN コントローラに関連付ける Cisco 600 シリーズ OEAP の場合は、次の手順を実行します。

  1. 7.5 以降のリリースを使用する物理コントローラに関連付ける OEAP を設定して、対応する AP イメージをダウンロードします。
  2. OEAP が物理コントローラに再び関連付けないように OEAP を設定します。たとえば、ネットワークに ACL を実装して、OEAP と物理コントローラ間の CAPWAP をブロックできます。
  3. Cisco 仮想ワイヤレス LAN コントローラに関連付ける OEAP を設定します。

• 次のコマンドを入力して、アクセス ポイントで FlexConnect を有効にします。

  config ap mode flexconnect Cisco_AP

• アクセス ポイントに 1 つまたは複数のコントローラを設定するには、次のいずれか、またはすべてのコマンドを入力します。

  config ap primary-base controller_name Cisco_AP controller_ip_address

  config ap secondary-base controller_name Cisco_AP controller_ip_address

  config ap tertiary-base controller_name Cisco_AP controller_ip_address

  （注）	コントローラの名前および IP アドレスの両方を入力する必要があります。 入力しないと、アクセス ポイントはコントローラに join できません。

  （注）	プライマリ、セカンダリ、およびターシャリ コントローラの名前および IP アドレスは一意である必要があります。

• 次のコマンドを入力して、このアクセス ポイントで OfficeExtend モードを有効にします。

  config flexconnect office-extend {enable | disable} Cisco_AP

  デフォルト値はイネーブルです。 disable パラメータは、このアクセス ポイントの OfficeExtend モードを無効にします。 アクセス ポイントの設定すべてが取り消されることはありません。 アクセス ポイントの設定をクリアして工場出荷時のデフォルト設定に戻す場合は、次のコマンドを入力します。

  clear ap config cisco-ap

  アクセス ポイントの個人の SSID のみをクリアする場合は、次のコマンドを入力します。

  config flexconnect office-extend clear-personalssid-config Cisco_AP

  （注）	アクセス ポイントに対して OfficeExtend モードを有効にした場合は、不正なアクセス ポイントの検出が自動的に無効になります。 ただし、config rogue detection {enable | disable} {Cisco_AP | all} コマンドを使用して、特定のアクセス ポイントまたはすべてのアクセス ポイントの不正検出を有効または無効にできます。 家庭の環境で展開されるアクセス ポイントは大量の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出はデフォルトでは無効です。

  （注）	アクセス ポイントに対して OfficeExtend モードを有効にした場合は、DTLS データ暗号化が自動的に有効になります。 ただし、config ap link-encryption {enable | disable} {Cisco_AP | all} コマンドを使用して、特定のアクセス ポイントまたはすべてのアクセス ポイントの DTLS データ暗号化を有効または無効にできます。

  （注）	アクセス ポイントに対して OfficeExtend モードを有効にした場合は、Telnet および SSH アクセスが自動的に無効になります。 ただし、config ap {telnet | ssh} {enable | disable} Cisco_AP コマンドを使用して、特定のアクセス ポイントまたはすべてのアクセス ポイントの Telnet または SSH アクセスを有効または無効にできます。

  （注）	アクセス ポイントに対して OfficeExtend モードを有効にした場合は、リンク遅延が自動的に有効になります。 ただし、config ap link-latency {enable | disable} {Cisco_AP | all} コマンドを使用して、コントローラに現在アソシエートされている特定のアクセス ポイントまたはすべてのアクセス ポイントのリンク遅延を有効または無効にできます。

• 次のコマンドを入力して、join 時にアクセス ポイントが遅延の最も少ないコントローラを選択できるようにします。

  config flexconnect join min-latency {enable | disable} Cisco_AP

  デフォルト値はディセーブルです。 この機能を有効にすると、アクセス ポイントは discovery request と discovery response の間の時間を計算し、最初に応答した Cisco 5500 シリーズ コントローラに join します。

• 次のコマンドを入力して、ホーム ユーザが OfficeExtend アクセス ポイントの GUI にログインするために入力できる特定のユーザ名とパスワードを設定します。

  config ap mgmtuser add username user password password enablesecret enable_password Cisco_AP

  このコマンドに入力した資格情報は、コントローラやアクセス ポイントをリブートした後や、アクセス ポイントが新しいコントローラに join された場合でも保持されます。

  （注）	このアクセス ポイントで、コントローラのグローバル資格情報を強制的に使用する必要がある場合は、config ap mgmtuser delete Cisco_AP コマンドを入力します。 このコマンドの実行後、「AP reverted to global username configuration」というメッセージが表示されます。

• Cisco 600 シリーズ OfficeExtend アクセス ポイントにローカル ネットワークへのアクセスを設定するには、次のコマンドを入力します。

  config network oeap-600 local-network {enable | disable}

  無効の場合は、ローカル SSID、ローカル ポートが機能せず、コンソールにアクセスできません。 リセットすると、デフォルトによってローカル アクセスが復元されます。 アクセス ポイントに設定する場合、この設定はリモート LAN 設定に影響しません。

• 次のコマンドを入力して、Cisco 600 シリーズ OfficeExtend アクセス ポイントのイーサネット ポート 3 がリモート LAN として動作できるようにする、デュアル R-LAN ポート機能を設定します。

  config network oeap-600 dual-rlan-ports {enable | disable}

  この設定は、コントローラに対してグローバルであり、AP および NVRAM 変数によって保存されます。 この変数が設定されていると、リモート LAN の動作が変わります。 この機能は、リモート LAN ポートごとに異なるリモート LAN をサポートします。

  リモート LAN マッピングは、デフォルト グループが使用されているか、または AP グループが使用されているかによって、次のように異なります。

  • デフォルト グループ：デフォルト グループを使用している場合、偶数のリモート LAN ID を持つ単一のリモート LAN がポート 4 にマッピングされます。 たとえば、リモート LAN ID 2 のリモート LAN は、ポート 4（Cisco 600 OEAP 上）にマッピングされます。 奇数のリモート LAN ID を持つリモート LAN は、ポート 3（Cisco 600 OEAP 上）にマッピングされます。 たとえば、リモート LAN ID 1 のリモート LAN は、ポート 3（Cisco 600 OEAP 上）にマッピングされます。

  • AP グループ：AP グループを使用する場合、OEAP-600 ポートへのマッピングは AP グループの順序によって決定します。 AP グループを使用するには、まず、AP グループからすべてのリモート LAN および WLAN を削除して、空にする必要があります。 次に、2 つのリモート LAN を AP グループに追加します。最初にポート 3 AP リモート LAN を追加してから、ポート 4 リモート グループを追加し、続けて WLAN を追加します。

• 次のコマンドを入力して、スプリット トンネリングを有効または無効にします。 config network oeap-600 split-tunnel {enable | disable}

  ここでスプリット トンネリングを無効にすると、すべての WLAN およびリモート LAN のスプリット トンネリングが無効になります。 特定の WLAN またはリモート LAN のスプリット トンネリングを無効にすることもできます。

• 次のコマンドを入力して、変更を保存します。 save config

  （注）	コントローラが OfficeExtend アクセス ポイントのみをサポートする場合は、「無線リソース管理の設定」の項で、DCA 間隔に推奨される値を設定する手順を参照してください。

• 次のコマンドを入力して、WLAN のスプリット トンネリングを有効または無効にします。 config wlan split-tunnel wlan-id {enable | disable}

• 次のコマンドを入力して、WLAN のスプリット トンネリングのステータスを表示します。 show wlan wlan-id

• 次のコマンドを入力して、リモート LAN のスプリット トンネリングを有効または無効にします。 config remote-lan split-tunnel rlan-id {enable | disable}

• 次のコマンドを入力して、リモート LAN のスプリット トンネリングのステータスを表示します。 show remote-lan rlan-id