WLAN タイムアウト

タイムアウト

無効なクライアントのタイムアウト

無効なクライアントのタイムアウトの設定について

無効なクライアントに対してタイムアウトを設定できます。アソシエートしようとした際に認証で 3 回失敗したクライアントは、それ以降のアソシエーションの試みでは自動的に無効にされます。タイムアウト期間が経過すると、クライアントは認証の再試行を許可され、アソシエートすることができます。このとき、認証に失敗すると再び排除されます。無効なクライアントに対してタイムアウトを設定するには、次のコマンドを使用します。

無効なクライアントのタイムアウトの設定(CLI)

  • 無効なクライアントのタイムアウトを設定するには、config wlan exclusionlist wlan_id timeout コマンドを入力します。有効なタイムアウトの範囲は、1 ~ 2147483647 秒です。値 0 を指定すると、クライアントが永久的に無効になります。

  • 現在のタイムアウトを確認するには、show wlan コマンドを入力します。

セッション タイムアウト

セッション タイムアウトについて

WLAN にセッション タイムアウトを設定できます。セッション タイムアウトとは、クライアント セッションが再認証を要求することなくアクティブである最大時間を指します。

セッション タイムアウトの設定(GUI)

設定可能なセッション タイムアウトの範囲は次のとおりです。
  • 802.1x は 300 ~ 86400。
  • 他のすべてのセキュリティ タイプは 0 ~ 65535。

(注)  
セッション タイムアウトを 0 に設定すると、オープン システムの場合はセッション タイムアウトが無効になり、その他のシステム タイプでは 86400 秒になります。

(注)  
802.1x WLAN のセッション タイムアウト値が変更された場合でも、関連クライアントの pmk-cache に新しいセッション タイムアウト値を反映した変更はされません。

手順

ステップ 1

[WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2

セッション タイムアウトを割り当てる WLAN の ID 番号をクリックします。

ステップ 3

[WLANs >Edit] ページが表示されたら、[Advanced] タブを選択します。[WLANs > Edit]([Advanced])ページが表示されます。

ステップ 4

この WLAN のセッション タイムアウトを設定するには、[Enable Session Timeout] チェックボックスをオンにします。チェックボックスをオフにするということは、0 に設定することと同じであり、これは各セッション タイプのセッション タイムアウトの最大値です。

ステップ 5

[Apply] をクリックして、変更を確定します。

ステップ 6

[Save Configuration] をクリックして、変更を保存します。

セッション タイムアウトの設定(CLI)

手順

ステップ 1

WLAN の無線クライアントにセッション タイムアウトを設定するには、次のコマンドを入力します。

config wlan session-timeout wlan_id timeout

デフォルト値は、レイヤ 2 セキュリティ タイプが [802.1X]、[Static WEP+802.1X]、[WPA+WPA2 with 802.1X]、[CCKM]、または [802.1X+CCKM] 認証キー管理の場合は 1800 秒、その他すべてのレイヤ 2 セキュリティ タイプ([Open WLAN]/[CKIP]/[Static WEP])については 0 秒です。値 0 はタイムアウトなしに相当します。

PMK キャッシュを作成する 802.1 x クライアント セキュリティ タイプでは、セッション タイムアウトが無効になっている場合、設定できるセッション タイムアウトの最大値は 86400 秒です。PMK キャッシュが作成されない、オープン、WebAuth、PSK などのその他のクライアント セキュリティでは、セッション タイムアウトが無効になっている場合、セッション タイムアウト値は「無限」として表示されます。

ステップ 2

次のコマンドを入力して、変更を保存します。

save config

ステップ 3

WLAN の現在のセッション タイムアウト値を表示するには、次のコマンドを入力します。

show wlan wlan_id

以下に類似した情報が表示されます。


WLAN Identifier.................................. 9
Profile Name..................................... test12
Network Name (SSID)........................... test12
...
Number of Active Clients......................... 0
Exclusionlist Timeout............................ 60 seconds
Session Timeout............................... 1800 seconds
...


ユーザ アイドル タイムアウト(User Idle Timeout)

WLAN ごとのユーザ アイドル タイムアウトについて

これは、controllerのすべての WLAN プロファイルに適用可能なユーザ アイドル タイムアウト機能の現在の実装に対する拡張です。この機能拡張により、個々の WLAN プロファイルに対してユーザ アイドル タイムアウトを設定できます。このユーザ アイドル タイムアウトは、この WLAN プロファイルに属するすべてのクライアントに適用できます。

クライアントが指定されたユーザ アイドル タイムアウト中にデータのしきい値のクォータを送信せず、クライアントが非アクティブであると見なされ、認証解除された場合、しきい値によってトリガーされるタイムアウトを設定することもできます。クライアントが送信するデータがユーザ アイドル タイムアウト内で指定されたしきい値のクォータを超える場合、クライアントはアクティブであると見なされ、controllerは別のタイムアウト期間中に更新します。しきい値のクォータがタイムアウト期間内に達した場合、タイムアウト期間が更新されます。

ユーザのアイドル タイムアウトを 120 秒に指定し、ユーザのアイドルしきい値を 10 メガバイトに指定するとします。120 秒が経過した後、クライアントが 10 メガバイトのデータを送信しない場合、そのクライアントは非アクティブであると見なされ、認証解除されます。クライアントが 120 秒の間に 10 メガバイトに達した場合、タイムアウト期間が更新されます。

WLAN ごとのユーザ アイドル タイムアウトの設定(CLI)

手順

  • 次のコマンドを入力して、WLAN に対してユーザ アイドル タイムアウトを設定します。

    config wlan usertimeout timeout-in-seconds wlan-id

  • 次のコマンドを入力して、WLAN に対してユーザ アイドルしきい値を設定します。

    config wlan user-idle-threshold value-in-bytes wlan-id

Address Resolution Protocol タイムアウト

Address Resolution Protocol(ARP)タイムアウトは、ネットワークから学習したデバイスに関する Cisco WLC 上の ARP エントリを削除するために使用されます。

ARP エントリには次の 4 つのタイプがあります。

  • 通常タイプ:CLI に「ホスト」と表示されます。

  • モバイル クライアント タイプ: CLI に「クライアント」と表示されます。

  • パーマネント タイプ:CLI に「パーマネント」と表示されます。

  • リモート タイプ:CLI に「クライアント」と表示されます。

通常タイプの ARP エントリのみ削除できます。他の 3 つのエントリは、ARP タイムアウト機能を使用して削除することはできません。

ARP タイムアウトの設定(GUI)

手順

ステップ 1

[Controller] > [General] を選択します。

ステップ 2

[ARP Timeout] フィールドに、タイムアウト値(秒単位)を入力します。デフォルトでは、タイムアウトは 300 秒に設定されます。有効な範囲は 10 ~ 2147483647 秒です。

ステップ 3

設定を保存します。

ARP タイムアウトの設定(CLI)

手順

  • 次のコマンドを入力して、ARP タイムアウト値を設定します。

    config network arptimeout value-in-seconds

    デフォルト値は 300 秒で、有効な範囲は 10 ~ 2147483647 秒です。

スリープ状態にあるクライアントの認証

スリープ状態にあるクライアントの認証について

Web 認証に成功したゲスト アクセスを持つクライアントは、ログイン ページから別の認証プロセスを実行せずにスリープおよび復帰することを許可されています。再認証が必要になるまでスリープ状態にあるクライアントが記録される期間を設定できます。有効範囲は 10 ~ 43200 分、デフォルトは 720 分です。WLAN にマッピングされるユーザ グループ ポリシーと WLAN に、期間を設定できます。スリープ タイマーは、アイドル タイムアウト後に有効になります。クライアント タイムアウトが WLAN のスリープ タイマーに設定された時間より短い場合、クライアントのライフタイムがスリープ時間として使用されます。


(注)  
スリープ タイマーは 5 分ごとに期限切れになります。

この機能は FlexConnect のローカル スイッチング、中央認証のシナリオでサポートされています。


注意    

スリープ モードに切り替わったクライアント MAC アドレスがスプーフィングされた場合、ラップトップなどの偽のデバイスを認証することができます。

次に、モビリティ シナリオでの注意事項を示します。

  • 同じサブネットの L2 ローミングがサポートされています。

  • アンカー スリープ タイマーを適用できます。

  • スリープ状態にあるクライアントの情報は、クライアントがアンカー間を移動する場合に、複数の自動アンカー間で共有されます。

リリース 8.0 以降のハイ アベイラビリティ シナリオでは、スリープ タイマーがアクティブとスタンバイの間で同期されます。

サポートされるモビリティ シナリオ

スリープ状態にあるクライアントは、次のシナリオでは再認証が必要ありません。

  • モビリティ グループに 2 台のコントローラがあるとします。1 台のコントローラに関連付けられているクライアントがスリープ状態になり、その後復帰して他方のコントローラに関連付けられます。

  • モビリティ グループに 3 台のコントローラがあるとします。1 台目のコントローラにアンカーされた 2 台目のコントローラに関連付けられたクライアントは、スリープ状態から復帰して、3 台目のコントローラに関連付けられます。

  • クライアントはスリープ状態から復帰して、エクスポート アンカーにアンカーされた同じまたは別のエクスポート外部コントローラに関連付けられます。

スリープ状態にあるクライアントの認証に関する制限

  • スリープ クライアント機能は、WebAuth セキュリティが設定された WLAN に対してのみ動作します。ウェブ パススルーはリリース 8.0 以降でサポートされています。

  • スリープ状態にあるクライアントは WLAN ごとにのみ設定できます。

  • スリープ状態にあるクライアントの認証機能は、レイヤ 2 セキュリティおよび Web 認証が有効な場合はサポートされません。

  • スリープ状態にあるクライアントの認証機能は、レイヤ 3 セキュリティが有効な WLAN でのみサポートされています。

  • レイヤ 3 セキュリティでは、認証、パススルー、および On MAC Filter 失敗 Web ポリシーがサポートされています。条件付き Web リダイレクトとスプラッシュ ページ Web リダイレクト Web ポリシーはサポートされていません。

  • スリープ状態にあるクライアントの中央 Web 認証はサポートされていません。

  • スリープ状態にあるクライアントの認証機能は、ゲスト LAN およびリモート LAN ではサポートされていません。

  • ローカル ユーザ ポリシーを持つスリープ状態のゲスト アクセス クライアントはサポートされません。この場合、WLAN 固有のタイマーが適用されます。

  • ハイ アベイラビリティのシナリオでは、クライアント エントリがアクティブとスタンバイの間で同期されますが、スリープ タイマーは同期されません。アクティブ コントローラに障害が発生した場合、クライアントはスタンバイ コントローラにアソシエートするときに再認証される必要があります。

  • サポートされるスリープ状態にあるクライアントの数は、コントローラ プラットフォームによって異なります。

    • Cisco 2504 ワイヤレス コントローラ:500

    • Cisco 5508 ワイヤレス コントローラ:1000

    • Cisco 5520 ワイヤレス コントローラ:25000

    • Cisco Flex 7510 ワイヤレス コントローラ:リリース 7.6 以降で 25000、以前のリリースで 9000

    • Cisco 8510 ワイヤレス コントローラ:リリース 7.6 以降で 25000、以前のリリースで 9000

    • Cisco 8540 ワイヤレス コントローラ:64000

    • Cisco WiSM2:1000

    • Cisco 仮想ワイヤレス LAN コントローラ:500

  • 新しいモビリティはサポートされていません。

スリープ状態のクライアントの認証の設定(GUI)

手順

ステップ 1

[WLANs] を選択します。

ステップ 2

対応する WLAN ID をクリックします。

[WLANs > Edit] ページが表示されます。

ステップ 3

[Security] タブをクリックして、[Layer 3] タブをクリックします。

ステップ 4

スリープ状態のクライアントに対する認証を有効にするには、[Sleeping Client] チェックボックスをオンにします。

ステップ 5

再認証が必要になる前にスリープ状態にあるクライアントを記録する期間を [Sleeping Client Timeout] に入力します。

デフォルトのタイムアウトは 12 時間です。
ステップ 6

[Apply] をクリックします。

ステップ 7

[Save Configuration] をクリックします。

スリープ状態のクライアントの認証の設定(CLI)

手順

  • 次のコマンドを入力して、WLAN のスリープ状態のクライアントの認証を有効または無効にします。

    config wlan custom-web sleep-client {enable | disable } wlan-id

  • 次のコマンドを入力して、WLAN にスリープ状態のクライアントのタイムアウトを設定します。

    config wlan custom-web sleep-client timeout wlan-id duration

  • 次のコマンドを入力して、WLAN のスリープ状態のクライアントの設定を表示します。

    show wlan wlan-id

  • 次のコマンドを入力して、不要なスリープ状態のクライアントのエントリを削除します。

    config custom-web sleep-client delete client-mac-addr

  • 次のコマンドを入力して、すべてのスリープ状態にあるクライアントのエントリの要約を表示します。

    show custom-web sleep-client summary

  • 次のコマンドを入力して、クライアント MAC アドレスに基づいてスリープ状態にあるクライアントのエントリの詳細を表示します。

    show custom-web sleep-client detail client-mac-addr