- はじめに
-
- 概要
- 使用する前に
- ライセンスの管理
- 802.11 帯域の設定
- 802.11 パラメータの設定
- DHCP プロキシの設定
- [DHCP Link Select] および [VPN Select] の設定
- SNMP の設定
- アグレッシブ ロード バランシングの設定
- 高速 SSID 変更の設定
- 802.3 ブリッジの設定
- マルチキャストの設定
- クライアント ローミングの設定
- IP-MAC アドレス バインディングの設定
- Quality of Service の設定
- Application Visibility and Control の設定
- メディアおよび EDCA パラメータの設定
- Cisco Discovery Protocol の設定
- コントローラと NTP サーバの認証の設定
- RFID タグ追跡の設定
- コントローラのデフォルト設定へのリセット
- コントローラ ソフトウェアと設定の管理
- ユーザ アカウントの管理
- Web 認証の管理
- 有線ゲスト アクセスの設定
- Ethernet over GRE トンネル
- トラブルシューティング
-
- Cisco Unified Wireless Network Solution セキュリティ
- RADIUS の設定
- TACACS+ の設定
- FIPS 設定、 CC、 UCAPL
- 最大ローカル データベース エントリの設定
- コントローラでのローカル ネットワーク ユーザの設定
- パスワード ポリシーの設定
- LDAP の設定
- ローカル EAP の設定
- SpectraLink 社の NetLink 電話用システムの設定
- RADIUS NAC サポートの設定
- 設定の RADIUS VSA およびレルム
- 無線による管理機能の使用
- 動的インターフェイスによる管理機能
- DHCP オプション 82 の設定
- アクセス コントロール リストの設定と適用
- 管理フレーム保護の設定
- クライアント除外ポリシーの設定
- Identity ネットワーキングの設定
- AAA Override の設定
- 不正なデバイスの管理
- 不正なアクセス ポイントの分類
- Cisco TrustSec SXP の設定
- ローカル ポリシーの設定
- Cisco Intrusion Detection System の設定
- IDS シグニチャの設定
- wIPS の設定
- Wi-Fi Direct クライアント ポリシーの設定
- Web 認証プロキシの設定
- 意図的な悪用の検出
-
- WLAN の設定
- WLAN ごとのクライアント カウントの設定
- DHCP の設定
- DHCP スコープの設定
- WLAN の MAC フィルタリングの設定
- ローカル MAC フィルタの設定
- タイムアウトの設定
- DTIM period の設定
- ピアツーピア ブロッキングの設定
- レイヤ 2 セキュリティの設定
- Static WEP と Dynamic WEP の両方をサポートする WLAN の設定
- Sticky Key Caching の設定
- CKIP の設定
- レイヤ 3 セキュリティの設定
- キャプティブ バイパスの設定
- MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定
- QoS プロファイルの割り当て
- QoS Enhanced BSS の設定
- メディア セッション スヌーピングおよびレポートの設定
- Key Telephone System-Based CAC の設定
- ローミングしている音声クライアントのリアンカーの設定
- シームレスな IPv6 モビリティの設定
- Cisco Client Extensions の設定
- リモート LAN の設定
- AP グループの設定
- RF プロファイルの設定
- 8021.X 認証を使用した Web リダイレクトの設定
- NAC アウトオブバンド統合の設定
- パッシブ クライアントの設定
- クライアント プロファイルの設定
- WLAN ごとの RADIUS 送信元サポートの設定
- モバイル コンシェルジュの設定
- 経由ローミングの設定
- VLAN タギング 802.1Q-in-Q の設定
-
- アクセス ポイント通信プロトコルの使用
- CAPWAP の望ましいモード設定
- アクセス ポイントの検索
- アクセス ポイントのグローバル クレデンシャルの設定
- アクセス ポイントの認証の設定
- 組み込みアクセス ポイントの設定
- 自律アクセス ポイントの Lightweight モードへの変換
- パケット キャプチャの設定
- OfficeExtend アクセス ポイントの設定
- 設定の Cisco 700 シリーズ アクセス ポイント
- Cisco ワークグループ ブリッジの使用
- Cisco 以外のワークグループ ブリッジの使用
- バックアップ コントローラの設定
- アクセス ポイントのフェールオーバー プライオリティの設定
- AP の再送信間隔および再試行回数の設定
- Country Code の設定
- アクセス ポイントでの RFID トラッキングの最適化
- プローブ要求フォワーディングの設定
- コントローラとアクセス ポイント上の一意のデバイス ID の取得
- リンク テストの実行
- リンク遅延の設定
- TCP MSS の設定
- Power over Ethernet の設定
- クライアントの表示
- アクセス ポイントの LED 状態の設定
- デュアル バンド無線によるアクセス ポイントの設定
- UDP Lite の設定
- Cisco Hyperlocation
- Cisco Air Time Fairness
- Cisco Universal Small Cell 8x18 デュアルモード モジュール
- Index
Identity ネットワーキングの設定
Identity ネットワーキングについて
ほとんどの無線 LAN システムの場合、各 WLAN に静的なポリシーがあり、SSID が設定されているすべてのクライアントに適用されます。 これは強力な方式ですが、クライアントに複数の Quality of Service(QoS)およびセキュリティ ポリシーを適用するには、そのクライアントに複数の SSID を設定する必要があるために、限界がありました。
これに対し、Cisco Wireless LAN ソリューションは Identity ネットワーキングをサポートしており、ネットワークが 1 つの SSID をアドバタイズできると同時に、ユーザ プロファイルに基づいて、個々のユーザに異なる QoS またはセキュリティ ポリシーを適用することができます。 Identity ネットワーキングを使用して制御できるポリシーは次のとおりです。
ACL:ACL 属性が RADIUS Access Accept で指定されている場合、システムは認証後に ACL 名をクライアント ステーションに適用します。これにより、インターフェイスに当てられているすべての ACL は上書きされます。
VLAN:VLAN Interface-Name または VLAN-Tag が RADIUS Access Accept で指定されている場合、システムはクライアントを特定のインターフェイスに割り当てます。
(注)VLAN 機能は、MAC フィルタリング、802.1X、および WPA のみをサポートします。 VLAN 機能では Web 認証または IPSec はサポートされません。
-
(注)この項で後述する他の RADIUS 属性(QoS-Level、ACL-Name、Interface-Name、または VLAN-Tag)のいずれかを返す場合、トンネル属性も返す必要があります。
オペレーティング システムのローカル MAC フィルタ データベースは、インターフェイス名を含むように拡張されました。これにより、クライアントを割り当てるインターフェイスをローカル MAC フィルタで指定できるようになりました。 別の RADIUS サーバも使用できますが、その RADIUS サーバは [Security] メニューを使用して定義する必要があります。
Identity ネットワーキングで使用される RADIUS 属性
QoS-Level
この項では、Identity ネットワーキングで使用される RADIUS 属性について説明します。
この属性は、スイッチング ファブリック内、および無線経由のモバイル クライアントのトラフィックに適用される QoS レベルを示しています。 この例は、QoS-Level 属性フォーマットの要約を示しています。 テキスト ボックスは左から右に伝送されます。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Vendor-Id +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Vendor-Id (cont.) | Vendor type | Vendor length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | QoS Level | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
ACL-Name
この属性は、クライアントに適用される ACL 名を示します。 ACL-Name 属性形式の要約を次に示します。 テキスト ボックスは左から右に伝送されます。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Vendor-Id +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Vendor-Id (cont.) | Vendor type | Vendor length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ACL Name... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
Interface Name
この属性は、クライアントが関連付けられる VLAN インターフェイスを示します。 Interface-Name 属性形式の要約を次に示します。 テキスト ボックスは左から右に伝送されます。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Vendor-Id +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Vendor-Id (cont.) | Vendor type | Vendor length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Interface Name... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
VLAN タグ
この属性は、特定のトンネル セッションのグループ ID を示し、Tunnel-Private-Group-ID 属性とも呼ばれます。
この属性は、トンネルの発信側が、特定の接続からグループを事前に判別できる場合は Access-Request パケットに含めることができ、このトンネル セッションを特定のプライベート グループに属するものとして処理する場合は Access-Accept パケットに含める必要があります。 プライベート グループは、トンネル セッションを特定のユーザのグループと関連付けるために使用できます。 たとえば、未登録の IP アドレスが特定のインターフェイスを通過するようにするルーティングを容易にするために使用できます。 Start と Stop のいずれかの値を持つ Acct-Status-Type 属性を含み、かつトンネル セッションに関連する Accounting-Request パケットには、プライベート グループを含める必要があります。
Tunnel-Private-Group-ID 属性形式の要約を次に示します。 テキスト ボックスは左から右に伝送されます。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Tag | String... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Tag:Tag テキスト ボックスは、長さが 1 オクテットで、同じパケット内で同じトンネルを示す属性をグループ化するために使用されます。 Tag テキスト ボックスの値が 0x00 より大きく、0x1F 以下である場合、その値は(いくつかの選択肢のうち)この属性が関連しているトンネルを示すと解釈されます。 Tag テキスト ボックスが 0x1F より大きい場合、その値は後続の String テキスト ボックスの最初のバイトであると解釈されます。
String:これは必須のテキスト ボックスです。 グループはこの String テキスト ボックスによって表されます。 グループ ID の形式に制約はありません。
(注)この項の他の RADIUS 属性(QoS-Level、ACL-Name、Interface-Name、または VLAN-Tag)のいずれかを返す場合、トンネル属性も返す必要があります。
トンネル属性
RFC 2868 では、認証と許可に使用される RADIUS トンネル属性が定義されています。RFC2867 では、アカウンティングに使用されるトンネル属性が定義されています。 IEEE 802.1X Authenticator がトンネリングをサポートしている場合は、認証の結果としてサプリカントに対して強制的なトンネルを設定できます。
これは特に、認証の結果に基づいて IEEE8021Q で定義されている特定の VLAN にポートを配置できるようにする場合に適しています。 たとえば、この設定を使用すると、ワイヤレス ホストがキャンパス ネットワーク内を移動するときに同じ VLAN 上にとどまれるようになります。
RADIUS サーバは、一般的に、Access-Accept 内にトンネル属性を含めることによって目的の VLAN を示します。 ただし IEEE 802.1X Authenticator も、Access- Request 内にトンネル属性を含めることによって、サプリカントに割り当てる VLAN に関するヒントを示すことができます。
VLAN 割り当てのために、次のトンネル属性が使用されます。
VLAN ID は、1 ~ 4094(両端の値を含む)の 12 ビットの値です。 RFC 2868 で定義されているように、IEEE 802.1X で使用される Tunnel-Private-Group-ID は文字列型であるため、VLAN ID の整数値は文字列としてエンコードされます。
トンネル属性が送信されるときは、Tag テキスト ボックスに値が含まれている必要があります。 RFC 2868 の第 3.1 項には次のように明記されています。
Tag テキスト ボックスは長さが 1 オクテットであり、同じパケット内で同じトンネルを示す属性をグループ化するために使用されます。 このテキスト ボックスの有効な値は、0x01 ~ 0x1F(両端の値を含む)です。 Tag テキスト ボックスが使用されない場合、値はゼロ(0x00)でなければなりません。
Tunnel-Client-Endpoint、Tunnel-Server-Endpoint、Tunnel-Private-Group-ID、Tunnel-Assignment-ID、Tunnel-Client-Auth-ID、または Tunnel-Server-Auth-ID 属性(ただし Tunnel-Type、Tunnel-Medium-Type、Tunnel-Password、Tunnel-Preference は含まない)で使用する場合、0x1F より大きい Tag テキスト ボックスは、次のテキスト ボックスの最初のオクテットであると解釈されます。
代替トンネル タイプが指定されていない場合(たとえば、トンネリングはサポートしているが VLAN はサポートしていない IEEE 802.1X Authenticator の場合)、トンネル属性は 1 つのトンネルのみを指定する必要があります。 したがって、VLANID を指定することだけが目的の場合、すべてのトンネル属性の Tag テキスト ボックスをゼロ(0x00)に設定する必要があります。 代替トンネル タイプが提供される場合は、0x01 ~ 0x1F のタグ値を選択する必要があります。
フィードバック