FlexConnect グループ

FlexConnect グループについて

お使いの FlexConnect アクセス ポイントをまとめて管理するために、FlexConnect グループを作成して、特定のアクセス ポイントをそれらのグループに割り当てることができます。

グループ内のすべての FlexConnect アクセス ポイントは、同じバックアップ RADIUS サーバ、CCKM、およびローカル認証の設定情報を共有します。この機能は、リモート オフィス内や建物のフロア上に複数の FlexConnect アクセス ポイントがあり、それらすべてを一度に設定する場合に役立ちます。たとえば、FlexConnect に対してバックアップ RADIUS サーバを 1 つ設定しておけば、個々のアクセス ポイント上で同じサーバを設定する必要はありません。

図 1. FlexConnect グループの導入. 次の図は、ブランチ オフィスでのバックアップ RADIUS サーバを使用した FlexConnect の一般的な導入です。

FlexConnect グループおよびバックアップ RADIUS サーバ

スタンドアロン モードの FlexConnect アクセス ポイントがバックアップ RADIUS サーバに対して完全な 802.1X 認証を実行できるように、コントローラを設定することができます。プライマリ バックアップ RADIUS サーバを設定することも、プライマリとセカンダリの両方のバックアップ RADIUS サーバを設定することもできます。FlexConnect アクセス ポイントが 2 つのモード、スタンドアロンまたは接続の場合に、これらのサーバを使用することができます。

FlexConnect グループおよび CCKM

FlexConnect グループは、FlexConnect アクセス ポイントと共に使用する CCKM 高速ローミングで必要となります。CCKM 高速ローミングは、ワイヤレス クライアントを別のアクセス ポイントにローミングする際に簡単かつ安全にキー交換できるように、完全な EAP 認証が実行されたマスター キーの派生キーをキャッシュすることにより実現します。この機能により、クライアントをあるアクセス ポイントから別のアクセス ポイントへローミングする際に、完全な RADIUS EAP 認証を実行する必要がなくなります。FlexConnect アクセス ポイントでは、アソシエートする可能性のあるすべてのクライアントに対する CCKM キャッシュ情報を取得する必要があります。それにより、CCKM キャッシュ情報をコントローラに送り返さずに、すばやく処理できます。たとえば、300 台のアクセス ポイントを持つコントローラと、アソシエートする可能性のある 100 台のクライアントがある場合、100 台すべてのクライアントに対して CCKM キャッシュを送信することは現実的ではありません。少数のアクセス ポイントから成る FlexConnect を作成すれば(たとえば、同じリモート オフィス内の 4 つのアクセス ポイントのグループを作成)、クライアントはその 4 つのアクセス ポイント間でのみローミングします。CCKM キャッシュがその 4 つのアクセス ポイント間で配布されるのは、クライアントがアクセス ポイントの 1 つにアソシエートするときだけとなります。


(注)  

FlexConnect アクセス ポイントと FlexConnect 以外のアクセス ポイントとの間の CCKM 高速ローミングはサポートされていません。


(注)  

CCKM を機能させるには、FlexConnect グループが必要です。Flex グループを作成する必要があるのは CCKM、11r、OKC です。Flex グループを作成しないと、AP でキャッシュが実行されません。11r/CCKM で高速ローミングを実現するためには、APS 間で同じグループ名を使用する必要があります。OKC の場合、Cisco WLC で最終チェックが行われるので、グループは異なってもかまいません。

FlexConnect グループおよび Opportunistic Key Caching

Cisco Wireless LAN Controller Release 7.0.116.0 リリースから、FlexConnect グループによって、Opportunistic Key Caching(OKC)が加速され、クライアントの高速ローミングが可能になりました。OKC は、同じ FlexConnect グループにあるアクセス ポイントの PMK キャッシングを使用して高速ローミングを容易にします。

OKC により、クライアントがアクセス ポイント間をローミングする際に、すべての認証手順を実行する手間を省きました。FlexConnect グループは同じグループの AP にキャッシュ キーを保存してプロセスの処理速度を短縮します。ただし、Cisco WLC がアクセス可能で、AP が接続モードの場合、所属する FlexConnect グループが異なるアクセスポイント間では、引き続き OKC が実行され、Cisco WLC にあるキャッシュ キーを使用するので、このような措置は必要ありません。

FlexConnect アクセス ポイントで PMK キャッシュ エントリを参照するには、show capwap reap pmk コマンドを使用します。この機能は、Cisco FlexConnect アクセス ポイントでのみサポートされています。PMK キャッシュ エントリは、非 FlexConnect アクセス ポイント上では表示できません。


(注)  

WPA2/802.1x 認証中に PMK が生成される場合、FlexConnect アクセス ポイントは接続モードになっている必要があります。

OKC または CCKM に対して FlexConnect グループを使用する場合、PMK キャッシュは、同じ FlexConnect グループの一部で同じコントローラにアソシエートされているアクセス ポイント間でのみ共有されます。アクセス ポイントが所属する FlexConnect グループが同じで、同じモビリティ グループを構成する別のコントローラにアソシエートされている場合、その PMK キャッシュは更新されず、CCKM ローミングは失敗しますが、OCK ローミングは正常に機能します。


(注)  

高速ローミングは AP が、FlexConnect モード 802.11r で同じ FlexConnect 同じグループに所属している場合のみ機能します。

FlexConnect グループおよびローカル認証

スタンドアロン モードの FlexConnect アクセス ポイントが最大 100 人の静的に設定されたユーザに対して LEAP、EAP-FAST、PEAP、または EAP-TLS 認証を実行できるように、コントローラを設定できます。コントローラは、各 FlexConnect アクセス ポイントがコントローラに join したときに、ユーザ名とパスワードの静的リストをその FlexConnect アクセス ポイントに送信します。グループ内の各アクセス ポイントは、そのアクセス ポイントにアソシエートされたクライアントのみを認証します。

この機能が適しているのは、企業が自律アクセス ポイント ネットワークから Lightweight FlexConnect アクセス ポイント ネットワークに移行するときに、大きなユーザ データベースを保持したくない場合、または自律アクセス ポイントの持つ RADIUS サーバ機能の代わりとなる別のハードウェア デバイスを追加したくない場合です。


(注)  

  • AP ローカル認証が有効な場合、LEAP、EAP-FAST、PEAP、または EAP-TLS 認証を設定できます。

AP がクライアントに証明書を送信しなければならないため、AP に証明書をプロビジョニングする必要があります。コントローラにベンダー デバイス証明書およびベンダー CA 証明書をダウンロードします。コントローラは AP にこれらの証明書を送ります。コントローラにベンダー デバイス証明書およびベンダー CA 証明書を設定しない場合、FlexConnect グループに関連する AP は、多くの無線クライアントが認識しない可能性のあるコントローラの自己署名証明書をダウンロードします。

EAP-TLS を使用すると、クライアントのルート CA が AP のルート CA と異なる場合、AP はクライアント証明書を認識および受理しません。企業の公開キー インフラストラクチャ(PKI)を使用する場合、コントローラが FlexConnect グループの AP に証明書を渡せるように、コントローラにベンダー デバイス証明書およびベンダー CA 証明書をダウンロードする必要があります。クライアントと AP の共通ルート CA を使用しないと、EAP-TLS はローカル AP で失敗します。AP は外部 CA を検査することができず、クライアントの証明書検証のために自身の CA チェーンを利用します。

ローカル証明書および CA 証明書のための AP のスペースは約 7 KB です。つまり短いチェーンのみが適応します。長いチェーンまたは複数のチェーンはサポートされません。


(注)  

この機能は、FlexConnect バックアップ RADIUS サーバ機能とともに使用できます。FlexConnect がバックアップ RADIUS サーバとローカル認証の両方で設定されている場合、FlexConnect アクセス ポイントは、まずプライマリ バックアップ RADIUS サーバの認証を試行します。その後、セカンダリ バックアップ RADIUS サーバを試行し(プライマリに接続できない場合)、最後に FlexConnect アクセス ポイント自身の認証を試行します(プライマリとセカンダリの両方に接続できない場合)。

FlexConnect グループの数と Cisco WLC モデルに対するアクセス ポイント サポートについては、それぞれの Cisco WLC モデルのデータシートを参照してください。

FlexConnect グループと VLAN サポート

VLAN サポートと VLAN ID は FlexConnect グループごとに設定できます。これにより、FlexConnect グループ内のすべての AP が、VLAN サポート、ネイティブ VLAN、および WLAN-VLAN マッピングを含む VLAN 設定を FlexConnect グループから継承できます。

構成の考慮事項

  • FlexConnect グループにオーバーライド フラグが設定されている場合は、AP での VLAN サポート、ネイティブ VLAN ID、WLAN-VLAN マッピング、および継承レベルの変更が許可されません。

  • 継承レベルの設定は、FlexConnect AP で使用できます。AP 上で AP 固有の VLAN サポート、ネイティブ VLAN ID、および VLAN-WLAN マッピングを設定するには、これを [Make VLAN AP Specific] に設定する必要があります。この変更は、グループのオーバーライド フラグが無効になっている場合にのみ実行できることに注意してください。

    WLC GUI でこれを実現するには、 [Wireless] > [All APs] の順に選択して、AP 名をクリックします。[FlexConnect] タブで、ドロップダウン リストから [Make VLAN AP Specific] を選択します。

アップグレードとダウングレードの留意点

  • リリース 8.1 にアップグレードするときに、FlexConnect グループに WLAN-VLAN マッピングが含まれていた場合は、アップグレード後に、VLAN サポートが有効にされ、ネイティブ VLAN が 1 に設定されます。そうでない場合は、FlexConnect グループに対する VLAN サポートが無効のままになります。FlexConnect グループのオーバーライド フラグは無効にされます。

  • リリース 8.1 からダウングレードすると、VLAN サポートとネイティブ VLAN ID が AP 単位になり、WLAN-VLAN マッピングが以前の継承モデルに従います。

デフォルト FlexGroup

デフォルト FlexGroup は、管理者が設定した FlexConnect グループに未所属の FlexConnect アクセス ポイント(AP)がシスコ ワイヤレス コントローラに参加すると、その AP が自動的に追加されるコンテナです。デフォルト FlexGroup は、コントローラの起動時に作成されます(前リリースからのアップグレード後。8.3 をリロードしても、このグループが再び作成されることはないので注意してください。8.3 をリロードして復元されるのは、既存のデフォルトの FlexGroup 設定のみです)。このグループを手動で削除、追加することはできません。さらに、デフォルト FlexGroup に AP を手動で追加または削除することはできません。デフォルト FlexGroup の AP はグループの共通設定を継承します。グループの設定のどれかを変更すると、その変更は、グループ内のすべての AP に反映されます。

管理者によって作成されたグループを削除すると、そのグループの AP はすべてデフォルト FlexGroup に移動し、このグループの設定を継承します。同様に、他のグループから手動で削除された AP も、デフォルト FlexGroup に追加されます。

デフォルト FlexGroup から、カスタマイズしたグループに、AP が追加されると、既存の設定が(デフォルト FlexGroup から)削除され、カスタマイズしたグループの設定は、その AP にプッシュされます。スタンバイ コントローラがあれば、デフォルト FlexGroup と、その設定も、その AP に同期します。

AP は、加入プロセス中に FlexConnect グループ名を提供します。AP は、クラウド プロビジョニングまたは Cisco WLC の設定を介して、このグループ名を受信した可能性があります。AP 加入時の最終 FlexConnect グループの決定に関係するさまざまなシナリオについては、次の表に表示されてます。

AP から受信した FlexConnect グループ

Cisco WLC でのステータス

AP に送信される最終グループ情報および設定

(優先順位に基づいた)エントリのタイプ

Group1

Group1 が存在しません。AP エントリはどのグループにも存在していません

デフォルト FlexGroup

Admin

Group1

Group1 は存在しますが、最大エントリ数に達しました。AP エントリはどのグループにも存在していません

デフォルト FlexGroup

Admin

Group1

Group1 は存在しますが、AP エントリはどのグループにも存在していません

Group1

クラウド

Group1

Group1 は存在しますが、AP エントリは(管理者によって追加された)別のグループ(Group2)の一部として存在しています

Group2

Admin

Group1

Group1 は存在しますが、AP エントリは以前クラウドから学習した別のグループ(Group2)に存在しています

Group1

クラウド

グループなし/デフォルト グループ

AP エントリは(管理者が設定した、またはクラウド経由で学習した)Group2 の一部として存在しています

Group2

Admin/クラウド

エントリの最後のタイプがクラウドの場合は常に、対応する FlexConnect グループに AP エントリが追加されます。また、AP から受信した FlexConnect グループが結果のグループと異なっている場合、競合について管理者に通知するためのトラップが発生します。show flexconnect group detail group-name aps コマンドは、競合値を表示します。

次の機能はサポートされていません。

  • Efficient Image のアップグレード

  • PMK キャッシュ配布

  • 高速ローミング

サポートされる機能は次のとおりです。

  • VLAN サポート(ネイティブ VLAN、WLAN-VLAN マッピング)

  • VLAN ACL マッピング

  • WebAuth、Web ポリシー、ローカル スプリット マッピング

  • ローカル認証ユーザ

  • RADIUS 認証

  • 中央 DHCP または NAT-PAT

  • Flex AVC

  • VLAN 名前 ID マッピング

  • マルチキャスト オーバーライド

以前のリリースにダウングレード

デフォルト FlexGroup の設定は、8.3 から以前のリリース(8.2 以前)へのダウングレード後も保持されます。これは AP の追加や削除が可能な、設定可能なグループとして扱われます。ただし、FlexConnect AP を、デフォルトでこのグループに追加することはできません。

以前のリリースからのアップグレード

FlexConnect のどのグループにも所属していない FlexConnet AP は、デフォルト FlexGroup に加入して、そのグループの設定を継承します。システムに、既存のデフォルト FlexGroup がある場合、アップグレード時に名前が変更され、メッセージは変更したグループ名で記録されます。

機能制限

次の CLI は、グループに Defaut FlexGroup や AP を追加や削除するときには使用できません:

  • config flexconnect group default-flexgroup { add | delete }

  • config flexconnect group default-flexgroup ap { add | delete }


(注)  

デフォルト FlexGroup には、デフォルト設定はありません。

カスタマイズした Flex グループから AP を削除すると、その VLAN サポートも AP から削除されます。

FlexConnect グループの設定

FlexConnect グループの設定(GUI)


(注)  

同じ IPv4 ACL が FlexConnect グループと AP にマッピングされている場合、コントローラは Flex グループ ACL を使用します。ただし、コントローラが古いバージョンにダウングレードされた場合、AP は古いバージョンをリブートして、AP 固有の ACL をプッシュします。この場合、コントローラは FlexConnect グループ ACL を無視して AP 固有の ACL を使用します。

手順

ステップ 1

[Wireless] > [FlexConnect Groups] を選択して、[FlexConnect Groups] ページを開きます。

このページでは、これまでに作成されたすべての FlexConnect グループが表示されます。

(注)   
既存のグループを削除するには、そのグループの青いドロップダウンの矢印の上にカーソルを置いて [Remove] を選択します。
ステップ 2

[New] をクリックして、新しい FlexConnect グループを作成します。

ステップ 3

[FlexConnect Groups > New] ページで、[Group Name] テキスト ボックスに新しいグループの名前を入力します。最大 32 文字の英数字を入力できます。

ステップ 4

[Apply] をクリックします。新しいグループが [FlexConnect Groups] ページに表示されます。

ステップ 5

グループのプロパティを編集するには、目的のグループの名前をクリックします。[FlexConnect Groups > Edit] ページが表示されます。

ステップ 6

プライマリ RADIUS サーバをこのグループに対して設定する場合(たとえば、アクセス ポイントが 802.1X 認証を使用する場合)は、[Primary RADIUS Server] ドロップダウン リストから目的のサーバを選択します。それ以外の場合は、そのテキスト ボックスの設定をデフォルト値の [None] のままにします。

(注)   
IPv6 RADIUS サーバは設定できません。IPv4 設定のみがサポートされます。
ステップ 7

セカンダリ RADIUS サーバをこのグループに対して設定する場合は、[Secondary RADIUS Server] ドロップダウン リストからサーバを選択します。それ以外の場合は、そのフィールドの設定をデフォルト値の [None] のままにします。

ステップ 8

次の手順に従って、FlexConnect グループに RADIUS サーバを設定します。

  1. RADIUS サーバの IP アドレスを入力します。

  2. サーバ タイプとしてプライマリまたはセカンダリを選択します。

  3. 共有の秘密を入力して、RADIUS サーバにログインし、確認用の入力をします。

  4. ポート番号を入力します。

  5. [Add] をクリックします。

ステップ 9

アクセス ポイントをグループに追加するには、[Add AP] をクリックします。追加のフィールドが、ページの [Add AP] の下に表示されます。

ステップ 10

次のいずれかの作業を実行します。

  • このコントローラに接続されているアクセス ポイントを選択するには、[Select APs from Current Controller] チェックボックスをオンにして、[AP Name] ドロップダウン リストからアクセス ポイントの名前を選択します。

    (注)   

    このコントローラ上のアクセス ポイントを選択すると、不一致が起こらないように、アクセス ポイントの MAC アドレスが自動的に [Ethernet MAC] テキスト ボックスに入力されます。

  • 別のコントローラに接続されているアクセス ポイントを選択するには、[Select APs from Current Controller] チェックボックスをオフのままにして、そのアクセス ポイントの MAC アドレスを [Ethernet MAC] テキスト ボックスに入力します。

    (注)   

    同じグループ内の FlexConnect アクセス ポイントがそれぞれ別のコントローラに接続されている場合は、すべてのコントローラが同じモビリティ グループに属している必要があります。

ステップ 11

[Add] をクリックして、アクセス ポイントをこの FlexConnect グループに追加します。アクセス ポイントの MAC アドレス、名前、およびステータスがページ下部に表示されます。

(注)   

アクセス ポイントを削除するには、そのアクセス ポイントの青いドロップダウンの矢印の上にカーソルを置いて [Remove] を選択します。

ステップ 12

[Apply] をクリックします。

ステップ 13

次のように、FlexConnect グループのローカル認証を有効にします。

  1. [Primary RADIUS Server] パラメータと [Secondary RADIUS Server] パラメータが [None] に設定されていることを確認します。

  2. [Enable AP Local Authentication] チェックボックスをオンにして、この FlexConnect グループに対してローカル認証を有効にします。デフォルト値はオフです。

  3. [Apply] をクリックします。

  4. [Local Authentication] タブを選択して、[FlexConnect > Edit (Local Authentication > Local Users)] ページを開きます。

  5. LEAP、EAP-FAST、PEAP、または EAP-TLS を使用して認証できるクライアントを追加するには、次のいずれかを実行します。

  6. [Upload CSV File] チェックボックスをオンにして、カンマ区切り値(CSV)ファイルをアップロードします。[Browse] ボタンをクリックすると、ユーザ名とパスワードを含む CSV ファイル(ファイルの各行は、username, password の形式になっている必要があります)を参照し、[Add] をクリックすると、CSV ファイルをアップロードします。クライアントの名前が、ページ左側の「User Name」という見出しの下に表示されます。

  7. クライアントを個別に追加するには、クライアントのユーザ名を [User Name] テキスト ボックスに入力し、クライアントのパスワードを [Password] テキスト ボックスと [Confirm Password] テキスト ボックスに入力します。[Add] をクリックすると、サポートされるローカル ユーザのリストにこのクライアントが追加されます。クライアントの名前が、ページ左側の「User Name」という見出しの下に表示されます。

    (注)   
    最大 100 個のクライアントを追加できます。

  8. [Apply] をクリックします。

  9. [Protocols] タブを選択して、[FlexConnect > Edit (Local Authentication > Protocols)] ページを開きます。

  10. FlexConnect アクセス ポイントが LEAP を使用してクライアントを認証できるようにするには、[Enable LEAP Authentication] チェックボックスをオンにします。

  11. EAP-FAST を使用しているクライアントを FlexConnect アクセス ポイントで認証できるようにするには、[Enable EAP-FAST Authentication] チェックボックスをオンにします。デフォルト値はオフです。

  12. FlexConnect アクセス ポイントが PEAP 認証を使用してクライアントを認証できるようにするには、[Enable PEAP Authentication] チェックボックスをオンにします。

    AP ローカル認証が有効な場合にのみ、PEAP 認証を設定できます。

  13. EAP-TLS を使用しているクライアントを FlexConnect アクセス ポイントで認証できるようにするには、[Enable EAP TLS Authentication] チェックボックスをオンにします。

    AP ローカル認証が有効な場合にのみ、EAP-TLS 認証を設定できます。

    EAP-TLS 認証を有効にすると、アクセス ポイントに EAP ルートとデバイスの証明書をダウンロードできるようになります。ダウンロードしない場合は、[EAP TLS Certificate download] チェックボックスを選択解除することができます。

  14. Protected Access Credential(PAC)をプロビジョニングする方法に応じて、以下のいずれかを実行します。

    • 手動の PAC プロビジョニングを使用するには、[Server Key] テキスト ボックスと [Confirm Server Key] テキスト ボックスに、PAC の暗号化と復号化に使用するサーバ キーを入力します。キーは 32 桁の 16 進数文字である必要があります。

    • PAC プロビジョニング中に、PAC を持たないクライアントに PAC を自動的に送信できるようにするには、[Enable Auto Key Generation] チェックボックスをオンにします。

  15. [Authority ID] テキスト ボックスに、EAP-FAST サーバの Authority ID を入力します。識別子は 32 桁の 16 進数文字である必要があります。

  16. [Authority Info] テキスト ボックスに、EAP-FAST サーバの Authority ID をテキスト形式で入力します。32 桁までの 16 進数文字を入力できます。

  17. PAC タイムアウト値を指定するには、[PAC Timeout] チェックボックスをオンにして、PAC がテキスト ボックスに表示される秒数を入力します。デフォルトではオフになっています。入力できる有効な範囲は 2 ~ 4095 秒です。

  18. [Apply] をクリックします。

ステップ 14

[WLAN-ACL Mapping] タブでは、次のことができます。

  1. [Web Auth ACL Mapping] の下で WLAN ID を入力して、[WebAuth ACL] を選択し、[Add] をクリックして、Web 認証 ACL と WLAN をマッピングします。

  2. [Local Split ACL Mapping] の下で、WLAN ID を入力して、[Local Split ACL] を選択し、[Add] をクリックして、ローカル スプリット ACL を WLAN にマッピングします。

    (注)   

    ローカル スプリット トンネリングには、最大 16 の WLAN と ACL の組み合わせを設定できます。ローカル スプリット トンネリングは、静的 IP アドレス使用するクライアントには機能しません。

ステップ 15

[Central DHCP] タブでは、次のことを実行できます。

  1. [WLAN Id] ボックスに、中央 DHCP をマッピングする WLAN ID を入力します。

  2. [Central DHCP] チェックボックスをオンまたはオフにして、マッピングに対する中央 DHCP を有効または無効にします。

  3. [Override DNS] チェックボックスをオンまたはオフにして、マッピングに対する DNS のオーバーライドを有効または無効にします。

  4. [NAT-PAT] チェックボックスをオンまたはオフにして、マッピングに対するネットワーク アドレス変換およびポートアドレス変換を有効または無効にします。

  5. [Add] をクリックして、中央 DHCP と WLAN のマッピングを追加します。

(注)   

FlexConnect グループ DHCP に対してオーバーライドされたインターフェイスが有効な場合、ローカルでスイッチされるクライアント向けの DHCP ブロードキャストからユニキャストへの変換はオプションです。

ステップ 16

[Save Configuration] をクリックします。

ステップ 17

さらに FlexConnect を追加する場合は、この手順を繰り返します。

(注)   

個々のアクセス ポイントが FlexConnect グループに属しているかどうかを確認するには、[FlexConnect] タブで [Wireless] > [Access Points] > [All APs] > 目的のアクセス ポイントの名前を選択します。アクセス ポイントが FlexConnect に属する場合、グループの名前は [FlexConnect Name] テキスト ボックスに表示されます。

FlexConnect グループの設定(CLI)


(注)  

同じ IPv4 ACL が FlexConnect グループと AP にマッピングされている場合、コントローラは Flex グループ ACL を使用します。ただし、コントローラが古いバージョンにダウングレードされた場合、AP は古いバージョンをリブートして、AP 固有の ACL をプッシュします。この場合、コントローラは FlexConnect グループ ACL を無視して AP 固有の ACL を使用します。

手順

ステップ 1

次のコマンドを入力して、FlexConnect グループを追加または削除します。

config flexconnect group group_name {add | delete }

ステップ 2

次のコマンドを入力して、FlexConnect グループのプライマリ RADIUS サーバまたはセカンダリ RADIUS サーバを設定します。

config flexconnect group group_name radius server auth {add | delete } {primary | secondary } server_index

ステップ 3

次のコマンドを入力して、FlexConnect グループのプライマリ RADIUS サーバまたはセカンダリ RADIUS サーバを設定します。

config flexconect group group-name radius server auth {{add {primary | secondary } ip-addr auth-port secret} | {delete {primary | secondary }}}

ステップ 4

次のコマンドを入力して、FlexConnect グループにアクセス ポイントを追加します。

config flexconnect group_name ap {add | delete } ap_mac

ステップ 5

次のように、FlexConnect のローカル認証を設定します。

  1. FlexConnect グループにプライマリおよびセカンダリの RADIUS サーバが設定されていないことを確認します。

  2. この FlexConnect グループのローカル認証を有効または無効にするには、次のコマンドを入力します。

    config flexconnect group group_name radius ap {enable | disable }

  3. 次のコマンドを入力して、LEAP、EAP-FAST、PEAP、または EAP-TLS を使用して認証するクライアントのユーザ名とパスワードを入力します。

    config flexconnect group group_name radius ap user add username password password

    (注)   
    最大 100 個のクライアントを追加できます。

  4. 次のコマンドを入力して、FlexConnect アクセス ポイント グループが LEAP を使用してクライアントを認証できるかどうかを指定します。

    config flexconnect group group_name radius ap leap {enable | disable }

  5. 次のコマンドを入力して、FlexConnect アクセス ポイント グループが EAP-FAST を使用してクライアントを認証できるかどうかを指定します。

    config flexconnect group group_name radius ap eap-fast {enable | disable }

  6. AP に EAP ルートおよびデバイス証明書をダウンロードするには、次のコマンドを入力します。

    config flexconnect group group_name radius ap eap-cert download

  7. 次のコマンドを入力して、FlexConnect アクセス ポイント グループが EAP-TLS を使用してクライアントを認証できるかどうかを指定します。

    config flexconnect group group_name radius ap eap-tls {enable | disable }

  8. 次のコマンドを入力して、FlexConnect アクセス ポイント グループが PEAP を使用してクライアントを認証できるかどうかを指定します。

    config flexconnect group group_name radius ap peap {enable | disable }

  9. 次のコマンドを入力して、FlexConnect アクセス ポイント グループが PEAP を使用してクライアントを認証できるかどうかを指定します。

    config flexconnect group group_name radius ap peap {enable | disable }

  10. 次のコマンドを入力して、FlexConnect アクセス ポイント グループが EAP-TLS を使用してクライアントを認証できるかどうかを指定します。

    config flexconnect group group_name radius ap eap-tls {enable | disable }

  11. 次のコマンドを入力して、EAP ルートおよびデバイス証明書をダウンロードします。

    config flexconnect group group_name radius ap eap-cert download

  12. PAC をプロビジョニングする方法に応じて、次のいずれかのコマンドを入力します。

    • config flexconnect group group_name radius ap server-key key :PAC の暗号化と復号化に使用されるサーバ キーを指定します。キーは 32 桁の 16 進数文字である必要があります。

    • config flexconnect group group_name radius ap server-key auto :PAC プロビジョニング中に、PAC がないクライアントに PAC が自動的に送信されるようにします。

  13. EAP-FAST サーバの Authority ID を指定するには、次のコマンドを入力します。

    config flexconnect group group_name radius ap authority id id

    id は 32 桁の 16 進数文字です。

  14. EAP-FAST サーバの Authority ID をテキスト形式で指定するには、次のコマンドを入力します。

    config flexconnect group group_name radius ap authority info info

    info は 32 桁までの 16 進数文字です。

  15. PAC が表示される秒数を指定するには、次のコマンドを入力します。

    config flexconnect group group_name radius ap pac-timeout timeout

    timeout に指定できるのは、2 ~ 4095 秒の範囲内の値または 0 です。0 がデフォルト値です。この値を指定すると、PAC はタイムアウトしなくなります。

ステップ 6

次のコマンドを入力して、FlexConnect グループ 上に Web ポリシー ACL を設定します。

config flexconnect group group-name web-policy policy acl {add | delete } acl-name

ステップ 7

次のコマンドを入力して、FlexConnect グループごとにローカル スプリット トンネリングを設定します。

config flexconnect group group_name local-split wlan wlan-id acl acl-name flexconnect-group-name {enable | disable }

ステップ 8

ローカルにスイッチされるクライアントに対して、上書きされたインターフェイスの L2 ブロードキャスト ドメイン間のマルチキャスト/ブロードキャストを設定するには、次のコマンドを入力します。

config flexconnect group group_name multicast overridden-interface {enable | disable }

ステップ 9

次のコマンドを入力して、WLAN ごとに中央 DHCP を設定します。

config flexconnect group group-name central-dhcp wlan-id {enable override dns | disable | delete }

ステップ 10

config flexconnect group flexgroup dhcp overridden-interface enable コマンドを使用して、FlexConnect グループの DHCP 優先インターフェイスを設定します。

ステップ 11

次のコマンドを入力して、FlexConnect グループにポリシー ACL を設定します。

config flexconnect group group_name policy acl {add | delete } acl-name

ステップ 12

次のコマンドを入力して、FlexConnect グループに Web 認証 ACL を設定します。

config flexconnect group group_name web-auth wlan wlan-id acl acl-name {enable | disable }

ステップ 13

次のコマンドを入力して、FlexConnect グループに WLAN-VLAN マッピングを設定します。

config flexconnect group group_name wlan-vlan wlan wlan-id{add | delete }vlan vlan-id

ステップ 14

グループの効率的なアップグレードを設定するには、次のコマンドを入力します。

config flexconnect group group_name predownload {enable | disable | master | slave } ap-name retry-count maximum retry count ap-name ap-name

ステップ 15

次のコマンドを入力して、変更を保存します。

save config
ステップ 16

次のコマンドを入力して、FlexConnect グループの最新のリストを表示します。

show flexconnect group summary

ステップ 17

次のコマンドを入力して、特定の FlexConnect グループの詳細を表示します。

show flexconnect group detail group_name

デフォルトの FlexConnect グループから別の FlexConnect グループへの AP の移動(GUI)

手順

ステップ 1

[Wireless] > [FlexConnect Groups] を選択します。[FlexConnect Groups] ウィンドウが表示されます。

ステップ 2

FlexConnect グループの [Group Name] リンクをクリックします。[FlexConnect Groups] > [Edit] ウィンドウが表示されます。

ステップ 3

[FlexConnect AP] リンクをクリックします。[FlexConnect Group AP List] ウィンドウが表示されます。

ステップ 4

現在デフォルト FlexGroup にある AP を移動するには、[FlexConnect APs] リスから AP を選択した後、[New Group Name] ドロップダウン リストから該当するグループ名を選択します。

ステップ 5

新しいグループに AP を追加するには、[Move] をクリックします。

ステップ 6

[Apply] をクリックします。

ステップ 7

[Save Configuration] をクリックします。

デフォルト FlexGroup の AP の表示(GUI)

手順

ステップ 1

[Wireless] > [FlexConnect Groups] を選択します。以下の詳細が含まれる [FlexConnect Groups] ウィンドウが表示されます。

  • [Group Name]:設定されている FlexConnect グループの数。

  • [Number of APs]:各 FlexConnect グループ内の AP の数。

ステップ 2

[Group Name] をクリックします。[FlexConnect Groups > Edit] ウィンドウが表示され、FlexConnect グループの詳細が表示されます。

デフォルト FlexGroup の詳細表示(CLI)

手順

ステップ 1

show flexconnect group detail default-flexgroup

デフォルト FlexGroup と、それに属する AP の設定を表示します。

例:

(Cisco Controller) >show flexconnect group detail default-flex-group

Number of APs in Group: 1
AP Ethernet MAC Name Status Mode
-------------------- -------------------- --------------- ----------------
a8:9d:21:b2:26:88 APa89d.21b2.2688 Joined Flexconnect
Efficient AP Image Upgrade ..... Disabled
Master-AP-Mac Master-AP-Name Model Manual
Group Radius Servers Settings:
Type Server Address Port
------------- ---------------- -------
Primary Unconfigured Unconfigured
Secondary Unconfigured Unconfigured
Group Radius AP Settings:
AP RADIUS server............ Disabled
EAP-FAST Auth............... Disabled
LEAP Auth................... Disabled
EAP-TLS Auth................ Disabled
--More-- or (q)uit
EAP-TLS CERT Download....... Disabled
PEAP Auth................... Disabled
Server Key Auto Generated... No
Server Key.................. <hidden>
Authority ID................ 436973636f0000000000000000000000
Authority Info.............. Cisco A_ID
PAC Timeout................. 0
HTTP-Proxy Ip Address....... 0.0.0.0
HTTP-Proxy Port............. 0
Multicast on Overridden interface config: Disabled
DHCP Broadcast Overridden interface config: Disabled
Number of User's in Group: 0
FlexConnect Vlan-name to Id Template name: none
Group-Specific Vlan Config:
Vlan Mode.................... Disabled
Override AP Config........... Disabled
Group-Specific FlexConnect Wlan-Vlan Mapping:
WLAN ID Vlan ID
-------- --------------------
WLAN ID SSID Central-Dhcp Dns-Override Nat-Pat
ステップ 2

show ap config general ap-name

ある AP の、AP 固有の syslog サーバ設定を表示します。

例:

(Cisco Controller) >show ap config general APa89d.21b2.2688

Cisco AP Identifier.............................. 0
Cisco AP Name.................................... APa89d.21b2.2688
Universal AP..................................... Yes
Universal AP Prime Status........................ NDP
Country code..................................... US - United States
Regulatory Domain allowed by Country............. 802.11bg:-A 802.11a:-AB
AP Country code.................................. US - United States
AP Regulatory Domain............................. 802.11bg:-A 802.11a:-A
Switch Port Number .............................. 2
MAC Address...................................... a8:9d:21:b2:26:88
IP Address Configuration......................... DHCP
IP Address....................................... 8.1.2.186
IP NetMask....................................... 255.255.255.0
Gateway IP Addr.................................. 8.1.2.1
NAT External IP Address.......................... None
CAPWAP Path MTU.................................. 1485
DHCP Release Override............................ Disabled
Telnet State..................................... Globally Disabled
Ssh State........................................ Globally Disabled
Cisco AP Location................................ default location
Cisco AP Floor Label............................. 0
Cisco AP Group Name.............................. default-group
Primary Cisco Switch Name........................
Primary Cisco Switch IP Address.................. 8.1.2.2
Secondary Cisco Switch Name......................
Secondary Cisco Switch IP Address................ Not Configured
Tertiary Cisco Switch Name.......................
Tertiary Cisco Switch IP Address................. Not Configured
Administrative State ............................ ADMIN_ENABLED
Operation State ................................. REGISTERED
Mirroring Mode .................................. Disabled
AP Mode ......................................... FlexConnect
Public Safety ................................... Disabled
ATF Mode ........................................ Disable
AP SubMode ...................................... Not Configured
Rogue Detection ................................. Enabled
AP Vlan Trunking ................................ Disabled
Remote AP Debug ................................. Disabled
Logging trap severity level ..................... informational
Logging syslog facility ......................... kern
S/W Version .................................... 8.3.15.64
Boot Version ................................... 15.2.4.0
Mini IOS Version ................................ 8.0.115.0
Stats Reporting Period .......................... 180
Stats Collection Mode ........................... normal
LED State........................................ Enabled
PoE Pre-Standard Switch.......................... Disabled
PoE Power Injector MAC Addr...................... Disabled
Power Type/Mode.................................. PoE/Full Power
Number Of Slots.................................. 2

AP Model......................................... AIR-AP3702E-UXK9
AP Image......................................... C3700-K9W8-M
IOS Version...................................... 15.3(20160217:163330)$
Reset Button..................................... Enabled
AP Serial Number................................. FCW1905N1CX
AP Certificate Type.............................. Manufacture Installed
AP LAG Configuration Status ..................... Disabled
LAG Support for AP .............................. No
Native Vlan Inheritance: ........................ AP
FlexConnect Vlan mode :.......................... Disabled
FlexConnect Group................................ default-flex-group
Group VLAN ACL Mappings
Group VLAN Name to Id Mappings
AP-Specific FlexConnect Policy ACLs :
L2Acl Configuration ............................. Not Available
FlexConnect Local-Split ACLs :
WLAN ID PROFILE NAME ACL TYPE
------- -------------------------------- --------------------------------- -------
Flexconnect Central-Dhcp Values :
WLAN ID PROFILE NAME Central-Dhcp DNS Override Nat-Pat
Type
------- --------------------------------- -------------- -------------- ---------
------
FlexConnect Backup Auth Radius Servers :
Primary Radius Server........................... Disabled
Secondary Radius Server......................... Disabled
AP User Mode..................................... AUTOMATIC
AP User Name..................................... Cisco
AP Dot1x User Mode............................... Not Configured
AP Dot1x User Name............................... Not Configured
Cisco AP system logging host..................... 255.255.255.255
AP Up Time....................................... 0 days, 19 h 26 m 09 s
AP LWAPP Up Time................................. 0 days, 15 h 28 m 46 s
Join Date and Time............................... Thu Feb 18 18:58:54 2016
Join Taken Time.................................. 0 days, 00 h 07 m 02 s
GPS Present...................................... NO
Ethernet Vlan Tag................................ Disabled
Ethernet Port Duplex............................. Auto
Ethernet Port Speed.............................. Auto
AP Link Latency.................................. Disabled
Rogue Detection.................................. Enabled
AP TCP MSS Adjust................................ Disabled
Hotspot Venue Group.............................. Unspecified
Hotspot Venue Type............................... Unspecified
DNS server IP ............................. 255.255.255.255
ステップ 3

show flexconnect group detail groupname aps

特定のグループに属する AP を表示します。

例:

(Cisco Controller) >show flexconnect group detail default-flex-group aps

Number of APs in Group: 1
AP Ethernet MAC Name Status Mode
-------------------- -------------------- --------------- ----------------
a8:9d:21:b2:26:88 APa89d.21b2.2688 Joined Flexconnect

FlexConnect グループの VLAN-ACL マッピングの設定

FlexConnect グループの VLAN-ACL マッピングの設定(GUI)

手順

ステップ 1

[Wireless] > [FlexConnect Groups] を選択します。

[FlexConnect Groups] ページが表示されます。このページに、コントローラにアソシエータされているアクセス ポイントが一覧表示されます。

ステップ 2

VLAN-ACL マッピングを設定する FlexConnect グループの [Group Name] リンクをクリックします。

ステップ 3

[VLAN-ACL Mapping] タブをクリックします。

その FlexConnect グループの [VLAN-ACL Mapping] ページが表示されます。

ステップ 4

[VLAN ID] テキスト ボックスにネイティブ VLAN ID を入力します。

ステップ 5

[Ingress ACL] ドロップダウン リストから、入力 ACL を選択します。

ステップ 6

[Egress ACL] ドロップダウン リストから、出力 ACL を選択します。

ステップ 7

[Add] をクリックして、FlexConnect グループにこのマッピングを追加します。

VLAN ID は、必要な ACL とともにマッピングされます。マッピングを削除するには、青のドロップダウン矢印の上にカーソルを移動し、[Remove] を選択します。

(注)   
グループに WLAN VLAN マッピングも設定されている場合、アクセス ポイントは FlexConnect グループの VLAN-ACL マッピングを継承します。

FlexConnect グループの VLAN-ACL マッピングの設定(CLI)

手順

  • config flexconnect group group-name vlan add vlan-id acl ingress-acl egress acl

    次のコマンドを入力して、VLAN を FlexConnect グループに追加し、入力 ACL と出力 ACL をマッピングします。

VLAN-ACL マッピングの表示(CLI)

手順

  • show flexconnect group detail group-name

    FlexConnect グループの詳細を表示します。

  • show ap config general ap-name

    AP 上の VLAN-ACL マッピングを表示します。

FlexConnect グループの WLAN-VLAN マッピングの設定

FlexConnect グループの WLAN-VLAN マッピングの設定(GUI)

いくつかの注意事項を以下に示します。

  • 個々の AP 設定は、FlexConnect グループおよびグローバル WLAN の設定よりも優先されます。FlexConnect グループ設定は、グローバル WLAN 設定よりも優先されます。

  • AP レベル設定はフラッシュに保存され、WLAN および FlexConnect グループの設定は RAM に保存されます。

  • AP は、異なるコントローラ間を移動する場合に、個々の VLAN マッピングを保持することができます。ただし、FlexConnect グループおよびグローバルのマッピングは新しいコントローラの設定になります。WLAN SSID が 2 台のコントローラ間で異なる場合、WLAN-VLAN マッピングは適用されません。

  • ダウンストリーム トラフィックでは、VLAN ACL が最初に適用されてからクライアント ACL が適用されます。アップストリーム トラフィックでは、クライアント ACL が最初に適用されてから VLAN ACL が適用されます。

  • 802.1X 認証時に ACL が AP に存在する必要があります。ACL が AP にない場合、クライアントは、802.1X 認証に成功しても AP によって認証を拒否される場合があります。

    AP 上の ACL の有無 AAA から送信された ACL 名 802.1X 認証の結果
    × × 認証済み、ACL 適用なし
    × 認証拒否
    × 認証済み、ACL 適用なし
    認証済み、クライアント ACL 適用

  • クライアント認証後に、ACL 名が RADIUS サーバ上で変更された場合、クライアントは、再び最初から認証を実行して正しいクライアント ACL を取得する必要があります。

  • FlexConnect グループの WLAN-VLAN マッピングは Cisco AP の 1131 および 1242 でサポートされません。

始める前に

WLAN がローカルにスイッチされることを確認します。設定は、WLAN が AP でブロードキャストされる場合にのみ AP に適用されます。

手順

ステップ 1

[Wireless] > [FlexConnect Groups] を選択します。

ステップ 2

グループ名をクリックします。

[FlexConnect Groups > Edit] ページが表示されます。

ステップ 3

[WLAN VLAN Mapping] タブをクリックします。

ステップ 4

WLAN ID と VLAN ID を入力し、[Add] をクリックします。

マッピングは同じタブに表示されます。

ステップ 5

[VLAN Support] チェックボックスをオンにして、[Native VLAN ID] を指定します。

ステップ 6

[Override Native VLAN on AP] チェックボックスをオンにします。

  • アクセス ポイント上で以前に設定された VLAN サポートとネイティブ VLAN ID をオーバーライドします

  • AP の継承レベルを "Group Specific" に変更します。

  • AP 固有の WLAN-VLAN VLAN-ACL マッピングを削除します。

  • グループ上で設定された WLAN-VLAN マッピングを含むグループ固有の設定をグループ内のすべての AP にプッシュします。

ステップ 7

継承レベルが Group Specific になっていることを確認するには:

  1. [Wireless] > [Access Points] > [All APs] の順に選択して、AP の名前をクリックします。

  2. [FlexConnect] タブで、[Inheritance Level] フィールドを確認します。

  3. [VLAN Mappings] をクリックして、WLAN-VLAN マッピングの詳細を表示します。

ステップ 8

[Apply] をクリックします。

ステップ 9

[Save Configuration] をクリックします。

FlexConnect グループの WLAN-VLAN マッピングの設定(CLI)

始める前に

WLAN がローカルにスイッチされることを確認します。設定は、WLAN が AP でブロードキャストされる場合にのみ AP に適用されます。

手順

  • config flexconnect group group-name wlan-vlan wlan wlan-id {add | delete } vlan vlan-id

    次のコマンドを入力して、FlexConnect グループに WLAN-VLAN マッピングを設定します。