WLAN

WLAN の前提条件

  • 最大 16 個の WLAN を各アクセス ポイント グループにアソシエートし、各グループに個々のアクセス ポイントを割り当てることができます。各アクセス ポイントは、有効化されている WLAN のうち、そのアクセス ポイント グループに属する WLAN だけをアドバタイズします。アクセス ポイント グループで無効化されている WLAN または別のグループに属する WLAN はアドバタイズしません。

  • Cisco WLC では、同じサービス セット識別子(SSID)を持つ WLAN を区別するために異なる属性が使用されます。

    • 同じ SSID、同じレイヤ 2 ポリシーの WLAN は、WLAN ID が 17 より小さい場合は作成できません。

    • WLAN が異なる AP グループに追加される場合、17 より大きい ID で、同じ SSID と同じレイヤ 2 ポリシーを持つ 2 つの WLAN を使用できます。

  • controllersが VLAN トラフィックを正常にルーティングできるように、WLAN と管理インターフェイスにはそれぞれ別の VLAN を割り当てることをお勧めします。

WLAN の制約事項

  • WLAN のプロファイル名を変更すると、FlexConnect AP(AP 固有の VLAN マッピングを使用する)が WLAN 固有になります。FlexConnect グループが適切に設定されている場合、VLAN マッピングはグループ固有になります。

  • デフォルトの FlexGroup シナリオでは、高速ローミングはサポートされていません。

  • Flex ローカル認証が有効にされている WLAN では、Fast Transition 802.1X キー管理でクライアント関連付けがサポートされないため、IEEE 802.1X Fast Transition を有効にしないでください。

  • ピアツーピア ブロッキングは、マルチキャスト トラフィックには適用されません。

  • WLAN 名と SSID は 32 文字以内にする必要があります。

  • WLAN 名はキーワードにはできません。たとえば、wlan s コマンドを入力して、「s」という名前で WLAN を作成しようとすると、「s」はシャットダウン用のキーワードとして使用されているため、すべての WLAN がシャットダウンします。

  • WLAN から VLAN0 へのマッピング、VLAN 1002~1006 のマッピングはできません。

  • 固定 IPv4 アドレスのデュアル スタック クライアントはサポートされません。

  • 同じ SSID を持つ WLAN を作成するときには、各 WLAN に対して一意のプロファイル名を作成する必要があります。

  • OfficeExtend アクセス ポイントはすべて同じアクセス ポイント グループ内にあり、このグループに含まれる WLAN は最大 15 個にする必要があります。アクセス ポイント グループ内の OfficeExtend アクセス ポイントを持つコントローラは、パーソナルな SSID に対して割り当てられる WLAN が 1 つであるため、接続されている各 OfficeExtend アクセス ポイントに最大 15 個の WLAN しか公開しません。

  • Cisco FLEX 7500 シリーズ コントローラは、中央でスイッチされる WLAN の 802.1x セキュリティ バリアントをサポートしません。たとえば、次のような設定は中央でスイッチされる WLAN で使用できません。

    • 802.1x AKM を使用した WPA1/WPA2

    • CCKM を使用した WPA1/WPA2

    • 条件付き webauth

    • スプラッシュ Web ページ リダイレクト

    • 上記の任意の組み合わせで WLAN を設定する場合、ローカル スイッチングを使用するように WLAN を設定する必要があります。

  • EAP パススルーを使用する WLAN を設定する場合、および以前のコントローラ バージョンにダウングレードする場合は、ダウンロード プロセス中に XML 検証エラーが発生することがあります。この問題は、EAP パススルーが旧リリースでサポートされていないために発生します。設定は、デフォルトのセキュリティ設定(WPA2/802.1X)になります。


    (注)  

    OEAP 600 シリーズ アクセス ポイントでは、最大で 2 つの WLAN と 1 つのリモート LAN がサポートされます。3 つ以上の WLAN と 1 つのリモート LAN を設定した場合は、AP グループに 600 シリーズ アクセス ポイントを割り当てることができます。2 つの WLAN と 1 つのリモート LAN のサポートも AP グループに適用されますが、600 シリーズ OEAP がデフォルト グループにある場合、WLAN またはリモート LAN ID を 7 以下にする必要があります。

  • WLAN のプロファイル名は、ローカルでスイッチされる WLAN で最大 31 文字です。中央でスイッチされる WLAN では、32 文字のプロファイル名を使用できます。

  • 同じ SSID を持つ複数の WLAN を同じ AP 無線に割り当てる場合は、クライアントがその中から安全に選択できるように、一意のレイヤ 2 セキュリティ ポリシーを使用している必要があります。

  • FLEX ローカル スイッチングを使用した WLAN で AAA オーバーライドがイネーブルになっている場合、クライアントは AAA サーバにより返された VLAN から IPv6 アドレスを受信する必要があります。これは、ローカル スイッチングと AAA オーバーライドの両方が有効になっている WLAN が VLAN X にマッピングされ、 AAA サーバが VLAN Y を返す場合は、クライアントが VLAN Y からアドレスを受信する必要があることを意味します。ただし、このコントローラ リリースではサポートされません。

  • WLAN がローカル スイッチングの場合、AVC が有効化されているローカル スイッチング WLAN にクライアントを関連付けます。AVC の統計 90 秒後を確認した時、クライアントからトラフィックを送信します。Cisco WLC はトップ アプリケーション下では表示されますが、クライアントには表示されません。タイマーの問題があるため、最初のスロットの Cisco WLC ではクライアントの統計が表示されない可能性があります。AP と WLC でのタイマーが 89 秒間オフであった場合、その前のわずか 1 秒間のクライアントの統計情報が表示されます。現在では統計の削除は 180 秒後であるため、91 秒から 179 秒までのクライアントの統計情報が表示されます。これは、各クライアントあたり 2 つのコピーの統計がメモリの制約で Cisco 5508 WLC に保持することができないために起こります。


    注意    

    一部のクライアントが複数のセキュリティ ポリシーで同じ SSID を検出すると WLAN に正しく接続できない場合があります。この機能を使用する際は、十分注意してください。

  • WLAN がレイヤ 2 セキュリティ(WPA2-PSK など)を使用して設定されていて、レイヤ 3 認証も設定されている場合、WLAN セッションタイムアウト値は dot1x 再認証タイムアウト値で上書きされます。APF 再認証タイムアウト値が 65535 より大きい場合、WLAN セッション タイムアウトはデフォルトで 65535 に設定されます。それ以外の場合、設定済みの dot1x 再認証タイムアウト値が WLAN セッション タイムアウトとして適用されます。

WLAN について

この機能により、Lightweight アクセス ポイント全体に対して、最大 の WLAN を制御できます。各 WLAN には識別子である WLAN ID、プロファイル名、および WLAN SSID があります。すべてのcontrollersは接続している各アクセス ポイントに対して最大 16 の WLAN を公開しますが、管理しやすくするため、サポートされる最大数の WLAN を作成し、これらの WLAN を異なるアクセス ポイントに選択的に公開する(アクセス ポイント グループを使用)ことができます。

異なる SSID または同じ SSID で WLAN を設定できます。SSID は、controllerがアクセスする必要がある特定の無線ネットワークを識別します。

WLAN の作成および削除(GUI)

手順

ステップ 1

[WLANs] を選択して、[WLANs] ページを開きます。

このページでは、コントローラ上で現在設定されているすべての WLAN が表示されます。各 WLAN について、WLAN ID、プロファイル名、タイプ、SSID、ステータス、およびセキュリティ ポリシーを表示できます。

WLAN の合計数がページの右上隅に表示されます。WLAN のリストが複数ページに渡る場合は、ページ番号のリンクをクリックすることで、目的のページにアクセスできます。

(注)   

WLAN を削除する場合は、削除する WLAN の青いドロップダウン矢印の上にカーソルを置いて、[Remove] を選択します。または、削除する WLAN の左側のチェックボックスをオンにして、ドロップダウン リストから [Remove Selected] を選択し、[Go] をクリックします。決定を確認するメッセージが表示されます。確認して先に進むと、割り当てられているアクセス ポイント グループおよびアクセス ポイント無線からその WLAN が削除されます。

ステップ 2

ドロップダウン リストから [Create New] を選択し、[Go] をクリックして新規の WLAN を作成します。[WLANs > New] ページが表示されます。

(注)   

コントローラのソフトウェア リリース 5.2 以降にアップグレードすると、コントローラによって default-group アクセス ポイント グループが作成され、その中に、最初の 16 個の WLAN(1 ~ 16 の ID を持つ WLAN。ただし、設定された WLAN の数が 16 に満たない場合は 16 より少なくなります)が自動的に割り当てられます。このデフォルトのグループは変更できません(このグループに WLAN を追加したり、このグループから WLAN を削除することはできません)。先頭の 16 の WLAN が追加または削除されるたびに、グループの内容は動的に更新されます。アクセス ポイントは、アクセス ポイント グループに属していない場合には、デフォルト グループに割り当てられ、そのデフォルト グループ内の WLAN を使用します。アクセス ポイントは、未定義のアクセス ポイント グループ名を有するコントローラと join した場合、そのグループ名を保持しますが、default-group アクセス ポイント グループ内の WLAN を使用します。

ステップ 3

[Type] ドロップダウン リストから、[WLAN] を選択して WLAN を作成します。

(注)   
有線ゲスト ユーザ用にゲスト LAN を作成する場合は、[Guest LAN] を選択します。
ステップ 4

[Profile Name] テキスト ボックスに、この WLAN に割り当てるプロファイル名を 32 文字以内で入力します。プロファイル名は固有である必要があります。

ステップ 5

[WLAN SSID] テキスト ボックスに、この WLAN に割り当てる SSID を 32 文字以内で入力します。

ステップ 6

[WLAN ID] ドロップダウン リストから、この WLAN の ID 番号を選択します。

(注)   

Cisco OEAP 600 がデフォルト グループにある場合は、WLAN/リモート LAN ID を ID 7 以下に設定する必要があります。

ステップ 7

[Apply] をクリックして、変更を確定します。[WLANs > Edit] ページが表示されます。

(注)   

編集する WLAN の ID 番号をクリックすることにより、[WLANs] ページから [WLANs > Edit] ページを開くこともできます。

ステップ 8

[General] タブ、[Security] タブ、[QoS] タブおよび [Advanced] タブ上でパラメータを使用してこの WLAN を設定します。WLAN の特定の機能を設定する手順については、この章の後の項を参照してください。

ステップ 9

[General] タブの [Status] チェックボックスをオンにして、この WLAN を有効にします。WLAN に対する設定変更が終了するまで、チェックボックスをオフにしておいてください。

ステップ 10

[Apply] をクリックして、変更を確定します。

ステップ 11

[Save Configuration] をクリックして、変更を保存します。

WLAN の有効化および無効化(GUI)

手順

ステップ 1

[WLANs] を選択して、[WLANs] ページを開きます。

このページでは、コントローラ上で現在設定されているすべての WLAN が表示されます。
ステップ 2

また、[WLANs] ページから、有効化または無効化する WLAN の左側のチェックボックスをオンにして、ドロップダウン リストから [Enable Selected] または [Disable Selected] を選択し、[Go] をクリックすることで、WLAN を有効化または無効化します。

ステップ 3

[Apply] をクリックします。

WLAN SSID または WLAN (GUI)プロファイル名を編集

手順

ステップ 1

[WLANs] を選択して、[WLANs] ページを開きます。

このページでは、コントローラ上で現在設定されているすべての WLAN が表示されます。各 WLAN について、WLAN ID、プロファイル名、タイプ、SSID、ステータス、およびセキュリティ ポリシーを表示できます。

WLAN の合計数がページの右上隅に表示されます。WLAN のリストが複数ページに渡る場合は、ページ番号のリンクをクリックすることで、目的のページにアクセスできます。

ステップ 2

WLAN プロファイルまたは SSID を編集するには、[WLANs >Edit]ページの[WLAN ID]リンクをクリックします。

  • [Profile Name] テキスト ボックスで、WLAN プロファイル名を編集します。
  • [WLAN SSID] テキスト ボックスに、 WLAN SSID を編集します。
ステップ 3

[Apply] をクリックして、変更を確定します。

ステップ 4

[Save Configuration] をクリックして、変更を保存します。

WLAN の作成および削除(CLI)

  • 次のコマンドを入力して、新しい WLAN を作成します。

    config wlan create wlan_id {profile_name | foreign_ap } ssid


    (注)  

    ssid を指定しない場合は、プロファイル名と SSID の両方に profile_name パラメータが使用されます。


    (注)  

    設定ウィザードで WLAN 1 を作成した場合、これは有効にされた状態で作成されています。設定が完了するまでは、無効にしてください。config wlan create コマンドを使用して新しい WLAN を作成すると、無効モードで作成されます。設定が終了するまでは、無効のままにしてください。

  • 次のコマンドを入力して、WLAN を削除します。

    config wlan delete {wlan_id | foreign_ap }


    (注)  

    アクセス ポイント グループに割り当てられている WLAN を削除しようとすると、エラー メッセージが表示されます。そのまま続行すると、アクセス ポイント グループとアクセス ポイントの無線から WLAN が削除されます。

  • 次のコマンドを入力して、コントローラに設定された WLAN を表示します。

    show wlan summary

WLAN の有効化および無効化(CLI)

手順

  • 次のコマンドを入力して、WLAN を有効にします(たとえば、WLAN に対する変更が終了した後)。

    config wlan enable {wlan_id | foreign_ap | all }


    (注)  
    コマンドが失敗した場合は、エラー メッセージ(「Request failed for wlan 10 - Static WEP key size does not match 802.1X WEP key size」など)が表示されます。

  • config wlan disable {wlan_id | foreign_ap | all } コマンドを入力して、WLAN を無効にします(WLAN に変更を加える前など)。

    値は次のとおりです。

    wlan_id は、WLAN ID(1 ~ 512)です。

    foreign_ap は、サードパーティ アクセス ポイントです。

    all は、すべての WLAN です。


    (注)  

    管理インターフェイスおよび AP マネージャ インターフェイスが同じポートにマップされており、いずれも同じ VLAN のメンバである場合は、WLAN を無効にしてから、ポートマッピングをいずれかのインターフェイスに変更する必要があります。管理インターフェイスと AP マネージャ インターフェイスが別々の VLAN に割り当てられている場合は、WLAN を無効にする必要はありません。


    (注)  

    WLAN を無効にすると、AP での WLAN-VLAN マッピングに対応する VLAN ACL が AP にプッシュされ、グループ マッピングよりも優先されます。WLAN を無効にする前に、VLAN-ACLマッピング用に 16 個のサブ インターフェイスが作成されている必要があり、3 つの AP 固有の WLAN-VLAN マッピングと、さらに 3 つのサブ インターフェイスをグループ固有の WLAN-VLAN マッピング用に作成する必要があります。現時点では、16 の VLAN-ACL マッピングのうち、14 個のみがプッシュされます。すべての WLAN を無効にした後で、VLAN-ACL サブ インターフェイスのみをプッシュし、他のサブ インターフェイスは AP から削除する必要があります。

WLAN の WLAN SSID またはプロファイル名の編集(CLI)

  • WLAN に関連付けられたプロファイル名または SSID を編集します。

    • プロファイル名または SSID を変更する前に、次のコマンドを入力して、WLAN を無効にします。

      config wlan disable wlan_id

    • 次のコマンドを入力して、WLAN プロファイル名または SSID を変更します。

      config wlan ssid wlan_id ssid

      config wlan profile wlan_id profile-name

  • 次のコマンドを入力して、コントローラに設定された WLAN を表示します。

    show wlan summary

WLAN の表示(CLI)

  • 次のコマンドを入力して、既存の WLAN のリストを表示し、有効か無効かを確認します。

    show wlan summary

WLAN の検索(GUI)

手順

ステップ 1

[WLANs] ページで、[Change Filter] をクリックします。[Add WLANs] ダイアログボックスが表示されます。

ステップ 2

次のいずれかの操作を行います。

  • プロファイル名に基づいて WLAN を検索するには、[Profile Name] チェックボックスをオンにして、目的のプロファイル名を編集ボックスに入力します。

  • SSID に基づいて WLAN を検索するには、[SSID] チェックボックスをオンにして、目的の SSID を編集ボックスに入力します。

  • ステータスに基づいて WLAN を検索するには、[Status] チェックボックスをオンにして、ドロップダウン リストから [Enabled] または [Disabled] を選択します。

ステップ 3

[Find] をクリックします。検索条件に一致した WLAN だけが [WLANs] ページに表示され、ページの上部の [Current Filter] フィールドに、リストを生成するために使用された検索条件(たとえば、None、Profile Name:user1、SSID:test1、Status:disabled)が指定されます。

(注)   

設定されている検索条件をクリアして、WLAN の全リストを表示するには、[Clear Filter] をクリックします。

インターフェイスへの WLAN の割り当て

WLAN をインターフェイスに割り当てるには、次のコマンドを使用します。

  • 次のコマンドを入力して、インターフェイスに WLAN を割り当てます。

    config wlan interface {wlan_id | foreignAp} interface_id

    • WLAN を特定のインターフェイスに割り当てるには、interface_id オプションを使用します。

    • サードパーティ アクセス ポイントを使用するには、foreignAp オプションを使用します。

  • show wlan summary コマンドを入力して、インターフェイス割り当てステータスを確認します。

IPv6 アドレスを持つクライアントの場合、コントローラは、コントローラ用のタグ付けを解除されたインターフェイス 1 つだけをサポートします。ただし、 IPv4 アドレスの理想的なシナリオでは、コントローラは 1 ポートあたりのタグ付けを解除されたインターフェイスをサポートします。

Network Access Identifier の設定(CLI)

各 WLAN プロファイル、VLAN インターフェイス、または AP グループのネットワーク アクセス サーバ ID(NAS-ID)を設定できます。RADIUS サーバがカスタマイズされた認証応答を送信できるように、異なるグループにユーザを分類する認証要求を介して、コントローラによって RADIUS サーバに NAS-ID が送信されます。

AP グループに対して NAS-ID を設定すると、その NAS-ID は、WLAN プロファイルまたは VLAN インターフェイスに対して設定されている NAS-ID をオーバーライドします。WLAN プロファイルに対して NAS-ID を設定すると、その NAS-ID は、VLAN インターフェイスに対して設定されている NAS-ID をオーバーライドします。

  • 次のコマンドを入力して、WLAN プロファイルの NAS-ID を設定します。

    config wlan nasid {nas-id-string | none } wlan-id

  • 次のコマンドを入力して、VLAN インターフェイスの NAS-ID を設定します。

    config interface nasid {nas-id-string | none } interface-name

  • 次のコマンドを入力して、AP グループの NAS-ID を設定します。

    config wlan apgroup nasid {nas-id-string | none } apgroup-name

コントローラが RADIUS サーバと通信するときに、NAS-ID 属性は AP グループ、WLAN、または VLAN インターフェイスで設定された NAS-ID に置き換えられます。

AP グループ、WLAN、または VLAN インターフェイスのコントローラ上で設定されている NAS-ID が認証に使用されます。NAS-ID の設定はコントローラ全体には伝播されません。


(注)  

WLAN インターフェイスが AP グループでオーバーライドされている場合、オーバーライドされたインターフェイス NAS ID が使用されます。インターフェイス NASID が WLAN NAS ID よりも優先されているためです。