FlexConnect グループについて
お使いの FlexConnect アクセス ポイントをまとめて管理するために、FlexConnect グループを作成して、特定のアクセス ポイントをそれらのグループに割り当てることができます。
グループ内のすべての FlexConnect アクセス ポイントは、同じバックアップ RADIUS サーバ、CCKM、およびローカル認証の設定情報を共有します。この機能は、リモート オフィス内や建物のフロア上に複数の FlexConnect アクセス ポイントがあり、それらすべてを一度に設定する場合に役立ちます。たとえば、FlexConnect に対してバックアップ RADIUS サーバを 1 つ設定しておけば、個々のアクセス ポイント上で同じサーバを設定する必要はありません。
FlexConnect グループおよびバックアップ RADIUS サーバ
スタンドアロン モードの FlexConnect アクセス ポイントがバックアップ RADIUS サーバに対して完全な 802.1X 認証を実行できるように、コントローラを設定することができます。プライマリ バックアップ RADIUS サーバを設定することも、プライマリとセカンダリの両方のバックアップ RADIUS サーバを設定することもできます。FlexConnect アクセス ポイントが 2 つのモード、スタンドアロンまたは接続の場合に、これらのサーバを使用することができます。
FlexConnect グループおよび CCKM
FlexConnect グループは、FlexConnect アクセス ポイントと共に使用する CCKM 高速ローミングで必要となります。CCKM 高速ローミングは、ワイヤレス クライアントを別のアクセス ポイントにローミングする際に簡単かつ安全にキー交換できるように、完全な EAP 認証が実行されたマスター キーの派生キーをキャッシュすることにより実現します。この機能により、クライアントをあるアクセス ポイントから別のアクセス ポイントへローミングする際に、完全な RADIUS EAP 認証を実行する必要がなくなります。FlexConnect アクセス ポイントでは、アソシエートする可能性のあるすべてのクライアントに対する CCKM キャッシュ情報を取得する必要があります。それにより、CCKM キャッシュ情報をコントローラに送り返さずに、すばやく処理できます。たとえば、300 台のアクセス ポイントを持つコントローラと、アソシエートする可能性のある 100 台のクライアントがある場合、100 台すべてのクライアントに対して CCKM キャッシュを送信することは現実的ではありません。少数のアクセス ポイントから成る FlexConnect を作成すれば(たとえば、同じリモート オフィス内の 4 つのアクセス ポイントのグループを作成)、クライアントはその 4 つのアクセス ポイント間でのみローミングします。CCKM キャッシュがその 4 つのアクセス ポイント間で配布されるのは、クライアントがアクセス ポイントの 1 つにアソシエートするときだけとなります。
(注) |
FlexConnect アクセス ポイントと FlexConnect 以外のアクセス ポイントとの間の CCKM 高速ローミングはサポートされていません。 |
(注) |
CCKM を機能させるには、FlexConnect グループが必要です。Flex グループを作成する必要があるのは CCKM、11r、OKC です。Flex グループを作成しないと、AP でキャッシュが実行されません。11r/CCKM で高速ローミングを実現するためには、APS 間で同じグループ名を使用する必要があります。OKC の場合、Cisco WLC で最終チェックが行われるので、グループは異なってもかまいません。 |
FlexConnect グループおよび Opportunistic Key Caching
Cisco Wireless LAN Controller Release 7.0.116.0 リリースから、FlexConnect グループによって、Opportunistic Key Caching(OKC)が加速され、クライアントの高速ローミングが可能になりました。OKC は、同じ FlexConnect グループにあるアクセス ポイントの PMK キャッシングを使用して高速ローミングを容易にします。
OKC により、クライアントがアクセス ポイント間をローミングする際に、すべての認証手順を実行する手間を省きました。FlexConnect グループは同じグループの AP にキャッシュ キーを保存してプロセスの処理速度を短縮します。ただし、Cisco WLC がアクセス可能で、AP が接続モードの場合、所属する FlexConnect グループが異なるアクセスポイント間では、引き続き OKC が実行され、Cisco WLC にあるキャッシュ キーを使用するので、このような措置は必要ありません。
FlexConnect アクセス ポイントで PMK キャッシュ エントリを参照するには、show capwap reap pmk コマンドを使用します。この機能は、Cisco FlexConnect アクセス ポイントでのみサポートされています。PMK キャッシュ エントリは、非 FlexConnect アクセス ポイント上では表示できません。
(注) |
WPA2/802.1x 認証中に PMK が生成される場合、FlexConnect アクセス ポイントは接続モードになっている必要があります。 |
OKC または CCKM に対して FlexConnect グループを使用する場合、PMK キャッシュは、同じ FlexConnect グループの一部で同じコントローラにアソシエートされているアクセス ポイント間でのみ共有されます。アクセス ポイントが所属する FlexConnect グループが同じで、同じモビリティ グループを構成する別のコントローラにアソシエートされている場合、その PMK キャッシュは更新されず、CCKM ローミングは失敗しますが、OCK ローミングは正常に機能します。
(注) |
高速ローミングは AP が、FlexConnect モード 802.11r で同じ FlexConnect 同じグループに所属している場合のみ機能します。 |
FlexConnect グループおよびローカル認証
スタンドアロン モードの FlexConnect アクセス ポイントが最大 100 人の静的に設定されたユーザに対して LEAP、EAP-FAST、PEAP、または EAP-TLS 認証を実行できるように、コントローラを設定できます。コントローラは、各 FlexConnect アクセス ポイントがコントローラに join したときに、ユーザ名とパスワードの静的リストをその FlexConnect アクセス ポイントに送信します。グループ内の各アクセス ポイントは、そのアクセス ポイントにアソシエートされたクライアントのみを認証します。
この機能が適しているのは、企業が自律アクセス ポイント ネットワークから Lightweight FlexConnect アクセス ポイント ネットワークに移行するときに、大きなユーザ データベースを保持したくない場合、または自律アクセス ポイントの持つ RADIUS サーバ機能の代わりとなる別のハードウェア デバイスを追加したくない場合です。
(注) |
|
AP がクライアントに証明書を送信しなければならないため、AP に証明書をプロビジョニングする必要があります。コントローラにベンダー デバイス証明書およびベンダー CA 証明書をダウンロードします。コントローラは AP にこれらの証明書を送ります。コントローラにベンダー デバイス証明書およびベンダー CA 証明書を設定しない場合、FlexConnect グループに関連する AP は、多くの無線クライアントが認識しない可能性のあるコントローラの自己署名証明書をダウンロードします。
EAP-TLS を使用すると、クライアントのルート CA が AP のルート CA と異なる場合、AP はクライアント証明書を認識および受理しません。企業の公開キー インフラストラクチャ(PKI)を使用する場合、コントローラが FlexConnect グループの AP に証明書を渡せるように、コントローラにベンダー デバイス証明書およびベンダー CA 証明書をダウンロードする必要があります。クライアントと AP の共通ルート CA を使用しないと、EAP-TLS はローカル AP で失敗します。AP は外部 CA を検査することができず、クライアントの証明書検証のために自身の CA チェーンを利用します。
ローカル証明書および CA 証明書のための AP のスペースは約 7 KB です。つまり短いチェーンのみが適応します。長いチェーンまたは複数のチェーンはサポートされません。
(注) |
この機能は、FlexConnect バックアップ RADIUS サーバ機能とともに使用できます。FlexConnect がバックアップ RADIUS サーバとローカル認証の両方で設定されている場合、FlexConnect アクセス ポイントは、まずプライマリ バックアップ RADIUS サーバの認証を試行します。その後、セカンダリ バックアップ RADIUS サーバを試行し(プライマリに接続できない場合)、最後に FlexConnect アクセス ポイント自身の認証を試行します(プライマリとセカンダリの両方に接続できない場合)。 |
FlexConnect グループの数と Cisco WLC モデルに対するアクセス ポイント サポートについては、それぞれの Cisco WLC モデルのデータシートを参照してください。
FlexConnect グループと VLAN サポート
VLAN サポートと VLAN ID は FlexConnect グループごとに設定できます。これにより、FlexConnect グループ内のすべての AP が、VLAN サポート、ネイティブ VLAN、および WLAN-VLAN マッピングを含む VLAN 設定を FlexConnect グループから継承できます。
構成の考慮事項
-
FlexConnect グループにオーバーライド フラグが設定されている場合は、AP での VLAN サポート、ネイティブ VLAN ID、WLAN-VLAN マッピング、および継承レベルの変更が許可されません。
-
継承レベルの設定は、FlexConnect AP で使用できます。AP 上で AP 固有の VLAN サポート、ネイティブ VLAN ID、および VLAN-WLAN マッピングを設定するには、これを [Make VLAN AP Specific] に設定する必要があります。この変更は、グループのオーバーライド フラグが無効になっている場合にのみ実行できることに注意してください。
WLC GUI でこれを実現するには、 を選択します。
の順に選択して、AP 名をクリックします。[FlexConnect] タブで、ドロップダウン リストから [Make VLAN AP Specific]
アップグレードとダウングレードの留意点
-
リリース 8.1 にアップグレードするときに、FlexConnect グループに WLAN-VLAN マッピングが含まれていた場合は、アップグレード後に、VLAN サポートが有効にされ、ネイティブ VLAN が 1 に設定されます。そうでない場合は、FlexConnect グループに対する VLAN サポートが無効のままになります。FlexConnect グループのオーバーライド フラグは無効にされます。
-
リリース 8.1 からダウングレードすると、VLAN サポートとネイティブ VLAN ID が AP 単位になり、WLAN-VLAN マッピングが以前の継承モデルに従います。
デフォルト FlexGroup
デフォルト FlexGroup は、管理者が設定した FlexConnect グループに未所属の FlexConnect アクセス ポイント(AP)がシスコ ワイヤレス コントローラに参加すると、その AP が自動的に追加されるコンテナです。デフォルト FlexGroup は、コントローラの起動時に作成されます(前リリースからのアップグレード後。8.3 をリロードしても、このグループが再び作成されることはないので注意してください。8.3 をリロードして復元されるのは、既存のデフォルトの FlexGroup 設定のみです)。このグループを手動で削除、追加することはできません。さらに、デフォルト FlexGroup に AP を手動で追加または削除することはできません。デフォルト FlexGroup の AP はグループの共通設定を継承します。グループの設定のどれかを変更すると、その変更は、グループ内のすべての AP に反映されます。
管理者によって作成されたグループを削除すると、そのグループの AP はすべてデフォルト FlexGroup に移動し、このグループの設定を継承します。同様に、他のグループから手動で削除された AP も、デフォルト FlexGroup に追加されます。
デフォルト FlexGroup から、カスタマイズしたグループに、AP が追加されると、既存の設定が(デフォルト FlexGroup から)削除され、カスタマイズしたグループの設定は、その AP にプッシュされます。スタンバイ コントローラがあれば、デフォルト FlexGroup と、その設定も、その AP に同期します。
AP は、加入プロセス中に FlexConnect グループ名を提供します。AP は、クラウド プロビジョニングまたは Cisco WLC の設定を介して、このグループ名を受信した可能性があります。AP 加入時の最終 FlexConnect グループの決定に関係するさまざまなシナリオについては、次の表に表示されてます。
AP から受信した FlexConnect グループ |
Cisco WLC でのステータス |
AP に送信される最終グループ情報および設定 |
(優先順位に基づいた)エントリのタイプ |
---|---|---|---|
Group1 |
Group1 が存在しません。AP エントリはどのグループにも存在していません |
デフォルト FlexGroup |
Admin |
Group1 |
Group1 は存在しますが、最大エントリ数に達しました。AP エントリはどのグループにも存在していません |
デフォルト FlexGroup |
Admin |
Group1 |
Group1 は存在しますが、AP エントリはどのグループにも存在していません |
Group1 |
クラウド |
Group1 |
Group1 は存在しますが、AP エントリは(管理者によって追加された)別のグループ(Group2)の一部として存在しています |
Group2 |
Admin |
Group1 |
Group1 は存在しますが、AP エントリは以前クラウドから学習した別のグループ(Group2)に存在しています |
Group1 |
クラウド |
グループなし/デフォルト グループ |
AP エントリは(管理者が設定した、またはクラウド経由で学習した)Group2 の一部として存在しています |
Group2 |
Admin/クラウド |
エントリの最後のタイプがクラウドの場合は常に、対応する FlexConnect グループに AP エントリが追加されます。また、AP から受信した FlexConnect グループが結果のグループと異なっている場合、競合について管理者に通知するためのトラップが発生します。show flexconnect group detail group-name aps コマンドは、競合値を表示します。
次の機能はサポートされていません。
-
Efficient Image のアップグレード
-
PMK キャッシュ配布
-
高速ローミング
サポートされる機能は次のとおりです。
-
VLAN サポート(ネイティブ VLAN、WLAN-VLAN マッピング)
-
VLAN ACL マッピング
-
WebAuth、Web ポリシー、ローカル スプリット マッピング
-
ローカル認証ユーザ
-
RADIUS 認証
-
中央 DHCP または NAT-PAT
-
Flex AVC
-
VLAN 名前 ID マッピング
-
マルチキャスト オーバーライド
以前のリリースにダウングレード
デフォルト FlexGroup の設定は、8.3 から以前のリリース(8.2 以前)へのダウングレード後も保持されます。これは AP の追加や削除が可能な、設定可能なグループとして扱われます。ただし、FlexConnect AP を、デフォルトでこのグループに追加することはできません。
以前のリリースからのアップグレード
FlexConnect のどのグループにも所属していない FlexConnet AP は、デフォルト FlexGroup に加入して、そのグループの設定を継承します。システムに、既存のデフォルト FlexGroup がある場合、アップグレード時に名前が変更され、メッセージは変更したグループ名で記録されます。
機能制限
次の CLI は、グループに Defaut FlexGroup や AP を追加や削除するときには使用できません:
-
config flexconnect group default-flexgroup { add | delete }
-
config flexconnect group default-flexgroup ap { add | delete }
(注) |
デフォルト FlexGroup には、デフォルト設定はありません。 |
カスタマイズした Flex グループから AP を削除すると、その VLAN サポートも AP から削除されます。