無効なクライアントのタイムアウトの設定について
無効なクライアントに対してタイムアウトを設定できます。アソシエートしようとした際に認証で 3 回失敗したクライアントは、それ以降のアソシエーションの試みでは自動的に無効にされます。タイムアウト期間が経過すると、クライアントは認証の再試行を許可され、アソシエートすることができます。このとき、認証に失敗すると再び排除されます。無効なクライアントに対してタイムアウトを設定するには、次のコマンドを使用します。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
タイムアウト
無効なクライアントのタイムアウト
無効なクライアントに対してタイムアウトを設定できます。アソシエートしようとした際に認証で 3 回失敗したクライアントは、それ以降のアソシエーションの試みでは自動的に無効にされます。タイムアウト期間が経過すると、クライアントは認証の再試行を許可され、アソシエートすることができます。このとき、認証に失敗すると再び排除されます。無効なクライアントに対してタイムアウトを設定するには、次のコマンドを使用します。
無効なクライアントのタイムアウトを設定するには、config wlan exclusionlist wlan_id timeout コマンドを入力します。有効なタイムアウトの範囲は、1 ~ 2147483647 秒です。値 0 を指定すると、クライアントが永久的に無効になります。
現在のタイムアウトを確認するには、show wlan コマンドを入力します。
セッション タイムアウト
WLAN にセッション タイムアウトを設定できます。セッション タイムアウトとは、クライアント セッションが再認証を要求することなくアクティブである最大時間を指します。
(注) |
セッション タイムアウトを 0 に設定すると、オープン システムの場合はセッション タイムアウトが無効になり、その他のシステム タイプでは 86400 秒になります。 |
(注) |
802.1x WLAN のセッション タイムアウト値が変更された場合でも、関連クライアントの pmk-cache に新しいセッション タイムアウト値を反映した変更はされません。 |
ステップ 1 |
[WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 |
セッション タイムアウトを割り当てる WLAN の ID 番号をクリックします。 |
ステップ 3 |
[WLANs >Edit] ページが表示されたら、[Advanced] タブを選択します。[WLANs > Edit]([Advanced])ページが表示されます。 |
ステップ 4 |
この WLAN のセッション タイムアウトを設定するには、[Enable Session Timeout] チェックボックスをオンにします。チェックボックスをオフにするということは、0 に設定することと同じであり、これは各セッション タイプのセッション タイムアウトの最大値です。 |
ステップ 5 |
[Apply] をクリックして、変更を確定します。 |
ステップ 6 |
[Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 |
WLAN の無線クライアントにセッション タイムアウトを設定するには、次のコマンドを入力します。 config wlan session-timeout wlan_id timeout デフォルト値は、レイヤ 2 セキュリティ タイプが [802.1X]、[Static WEP+802.1X]、[WPA+WPA2 with 802.1X]、[CCKM]、または [802.1X+CCKM] 認証キー管理の場合は 1800 秒、その他すべてのレイヤ 2 セキュリティ タイプ([Open WLAN]/[CKIP]/[Static WEP])については 0 秒です。値 0 はタイムアウトなしに相当します。 PMK キャッシュを作成する 802.1 x クライアント セキュリティ タイプでは、セッション タイムアウトが無効になっている場合、設定できるセッション タイムアウトの最大値は 86400 秒です。PMK キャッシュが作成されない、オープン、WebAuth、PSK などのその他のクライアント セキュリティでは、セッション タイムアウトが無効になっている場合、セッション タイムアウト値は「無限」として表示されます。 |
ステップ 2 |
次のコマンドを入力して、変更を保存します。 save config |
ステップ 3 |
WLAN の現在のセッション タイムアウト値を表示するには、次のコマンドを入力します。 show wlan wlan_id 以下に類似した情報が表示されます。
|
ユーザ アイドル タイムアウト(User Idle Timeout)
これは、controllerのすべての WLAN プロファイルに適用可能なユーザ アイドル タイムアウト機能の現在の実装に対する拡張です。この機能拡張により、個々の WLAN プロファイルに対してユーザ アイドル タイムアウトを設定できます。このユーザ アイドル タイムアウトは、この WLAN プロファイルに属するすべてのクライアントに適用できます。
クライアントが指定されたユーザ アイドル タイムアウト中にデータのしきい値のクォータを送信せず、クライアントが非アクティブであると見なされ、認証解除された場合、しきい値によってトリガーされるタイムアウトを設定することもできます。クライアントが送信するデータがユーザ アイドル タイムアウト内で指定されたしきい値のクォータを超える場合、クライアントはアクティブであると見なされ、controllerは別のタイムアウト期間中に更新します。しきい値のクォータがタイムアウト期間内に達した場合、タイムアウト期間が更新されます。
ユーザのアイドル タイムアウトを 120 秒に指定し、ユーザのアイドルしきい値を 10 メガバイトに指定するとします。120 秒が経過した後、クライアントが 10 メガバイトのデータを送信しない場合、そのクライアントは非アクティブであると見なされ、認証解除されます。クライアントが 120 秒の間に 10 メガバイトに達した場合、タイムアウト期間が更新されます。
Address Resolution Protocol(ARP)タイムアウトは、ネットワークから学習したデバイスに関する Cisco WLC 上の ARP エントリを削除するために使用されます。
ARP エントリには次の 4 つのタイプがあります。
通常タイプ:CLI に「ホスト」と表示されます。
モバイル クライアント タイプ: CLI に「クライアント」と表示されます。
パーマネント タイプ:CLI に「パーマネント」と表示されます。
リモート タイプ:CLI に「クライアント」と表示されます。
通常タイプの ARP エントリのみ削除できます。他の 3 つのエントリは、ARP タイムアウト機能を使用して削除することはできません。
ステップ 1 |
を選択します。 |
ステップ 2 |
[ARP Timeout] フィールドに、タイムアウト値(秒単位)を入力します。デフォルトでは、タイムアウトは 300 秒に設定されます。有効な範囲は 10 ~ 2147483647 秒です。 |
ステップ 3 |
設定を保存します。 |
スリープ状態にあるクライアントの認証
Web 認証に成功したゲスト アクセスを持つクライアントは、ログイン ページから別の認証プロセスを実行せずにスリープおよび復帰することを許可されています。再認証が必要になるまでスリープ状態にあるクライアントが記録される期間を設定できます。有効範囲は 10 ~ 43200 分、デフォルトは 720 分です。WLAN にマッピングされるユーザ グループ ポリシーと WLAN に、期間を設定できます。スリープ タイマーは、アイドル タイムアウト後に有効になります。クライアント タイムアウトが WLAN のスリープ タイマーに設定された時間より短い場合、クライアントのライフタイムがスリープ時間として使用されます。
(注) |
スリープ タイマーは 5 分ごとに期限切れになります。 |
この機能は FlexConnect のローカル スイッチング、中央認証のシナリオでサポートされています。
注意 |
スリープ モードに切り替わったクライアント MAC アドレスがスプーフィングされた場合、ラップトップなどの偽のデバイスを認証することができます。 |
同じサブネットの L2 ローミングがサポートされています。
アンカー スリープ タイマーを適用できます。
スリープ状態にあるクライアントの情報は、クライアントがアンカー間を移動する場合に、複数の自動アンカー間で共有されます。
リリース 8.0 以降のハイ アベイラビリティ シナリオでは、スリープ タイマーがアクティブとスタンバイの間で同期されます。
スリープ状態にあるクライアントは、次のシナリオでは再認証が必要ありません。
モビリティ グループに 2 台のコントローラがあるとします。1 台のコントローラに関連付けられているクライアントがスリープ状態になり、その後復帰して他方のコントローラに関連付けられます。
モビリティ グループに 3 台のコントローラがあるとします。1 台目のコントローラにアンカーされた 2 台目のコントローラに関連付けられたクライアントは、スリープ状態から復帰して、3 台目のコントローラに関連付けられます。
クライアントはスリープ状態から復帰して、エクスポート アンカーにアンカーされた同じまたは別のエクスポート外部コントローラに関連付けられます。
スリープ クライアント機能は、WebAuth セキュリティが設定された WLAN に対してのみ動作します。ウェブ パススルーはリリース 8.0 以降でサポートされています。
スリープ状態にあるクライアントは WLAN ごとにのみ設定できます。
スリープ状態にあるクライアントの認証機能は、レイヤ 2 セキュリティおよび Web 認証が有効な場合はサポートされません。
スリープ状態にあるクライアントの認証機能は、レイヤ 3 セキュリティが有効な WLAN でのみサポートされています。
レイヤ 3 セキュリティでは、認証、パススルー、および On MAC Filter 失敗 Web ポリシーがサポートされています。条件付き Web リダイレクトとスプラッシュ ページ Web リダイレクト Web ポリシーはサポートされていません。
スリープ状態にあるクライアントの中央 Web 認証はサポートされていません。
スリープ状態にあるクライアントの認証機能は、ゲスト LAN およびリモート LAN ではサポートされていません。
ローカル ユーザ ポリシーを持つスリープ状態のゲスト アクセス クライアントはサポートされません。この場合、WLAN 固有のタイマーが適用されます。
ハイ アベイラビリティのシナリオでは、クライアント エントリがアクティブとスタンバイの間で同期されますが、スリープ タイマーは同期されません。アクティブ コントローラに障害が発生した場合、クライアントはスタンバイ コントローラにアソシエートするときに再認証される必要があります。
サポートされるスリープ状態にあるクライアントの数は、コントローラ プラットフォームによって異なります。
Cisco 2504 ワイヤレス コントローラ:500
Cisco 5508 ワイヤレス コントローラ:1000
Cisco 5520 ワイヤレス コントローラ:25000
Cisco Flex 7510 ワイヤレス コントローラ:リリース 7.6 以降で 25000、以前のリリースで 9000
Cisco 8510 ワイヤレス コントローラ:リリース 7.6 以降で 25000、以前のリリースで 9000
Cisco 8540 ワイヤレス コントローラ:64000
Cisco WiSM2:1000
Cisco 仮想ワイヤレス LAN コントローラ:500
新しいモビリティはサポートされていません。
ステップ 1 |
[WLANs] を選択します。 |
ステップ 2 |
対応する WLAN ID をクリックします。 [WLANs > Edit] ページが表示されます。 |
ステップ 3 |
[Security] タブをクリックして、[Layer 3] タブをクリックします。 |
ステップ 4 |
スリープ状態のクライアントに対する認証を有効にするには、[Sleeping Client] チェックボックスをオンにします。 |
ステップ 5 |
再認証が必要になる前にスリープ状態にあるクライアントを記録する期間を [Sleeping Client Timeout] に入力します。 デフォルトのタイムアウトは 12 時間です。 |
ステップ 6 |
[Apply] をクリックします。 |
ステップ 7 |
[Save Configuration] をクリックします。 |