ip dhcp pool pool name
network IP Network Netmask
default-router Default router
dns-server DNS Server
値は次のとおりです。
pool name is the name of the DHCP pool, such as AP1520
IP Network is the network IP address where the controller resides, such as 10.0.15.1
Netmask is the subnet mask, such as 255.255.255.0
Default router is the IP address of the default router, such as 10.0.0.1
DNS Server is the IP address of the DNS server, such as 10.0.10.2
ステップ 3
次の構文を使用してオプション 60 の行を追加します。
option 60 ascii “VCI string”
VCI 文字列の場合は、次のいずれかの値を使用します。引用符は必ず含める必要があります。
For Cisco 1550 series access points, enter “Cisco AP c1550”
For Cisco 1520 series access points, enter “Cisco AP c1520”
For Cisco 1240 series access points, enter “Cisco AP c1240”
For Cisco 1130 series access points, enter “Cisco AP c1130”
ステップ 4
次の構文に従って、オプション 43 の行を追加します。
option 43 hex hex string
16 進文字列には、次の TLV 値を組み合わせて指定します。
型 + 長さ + 値
タイプは、常に f1(16 進数)です。長さ は、コントローラ管理 IP アドレスの個数の 4 倍の値 を 16 進数で表したものです。値 は、一覧表示されるコントローラの IP アドレスを順番に 16 進数で表したものです。
ap(config)#interface dot11radio 1
ap(config-if)#ssid outside
ap(config-if)#packet retries 16
ap(config-if)#station role workgroup-bridge
ap(config-if)#mobile station
ap(config-if)#mobile station period 3threshold 50
ap(config-if)#mobile station scan 5745 5765
no mobile station scan コマンドを使用すると、すべてのチャネルのスキャンが復元されます。
router# show ip gmp groups
IGMP Connected Group Membership
Group Address Interface Uptime Expires Last Reporter
233.0.0.1 Vlan119 3w1d 00:01:52 10.1.1.130
レイヤ 3 ローミングの場合、IGMP クエリーはクライアントの WLAN に送信されます。コントローラはクライアントの応答を転送する前に変更し、ソース IP アドレスをコントローラの動的インターフェイス IP アドレスに変更します。
7.0 リリースまでは、メッシュ AP は、コントローラを認証したり、コントローラに join するためにコントローラにより認証を受けたりするために、製造元がインストールした証明書(MIC)しかサポートしていませんでした。CA の制御、ポリシーの定義、有効な期間の定義、生成された証明書の制限および使用方法の定義、および
AP とコントローラでインストールされたこれらの証明書の取得を行うために、独自の公開鍵インフラストラクチャ(PKI)を用意する必要がある場合がありました。これらのユーザ生成証明書またはローカルで有効な証明書(LSC)が AP とコントローラにある場合、デバイスはこれらの
LSC を使用して join、認証、およびセッション キーの派生を行います。5.2 リリース以降では通常の AP がサポートされ、7.0 リリース以降ではメッシュ AP もサポートされるようになりました。
AP が LSC 証明書を使用してコントローラに join できない場合の MIC へのグレースフル フォールバック:ローカル AP は、コントローラで設定された回数(デフォルト値は 3)、コントローラに join しようとします。これらの試行後に、AP
は LSC を削除し、MIC を使用してコントローラに join しようとします。
メッシュ AP は、孤立タイマーが切れ、AP がリブートされるまで LSC を使用してコントローラに join しようとします。孤立タイマーは 40 分に設定されます。リブート後に、AP は MIC を使用してコントローラに join しようとします。40
分後に AP が MIC を使用して再びコントローラに join できない場合は、AP がリブートされ、LSC を使用してコントローラに join しようとします。
(注)
メッシュ AP の LSC は削除されません。LSC は、コントローラで無効な場合にのみメッシュ AP で削除され、その結果、AP がリブートされます。
MAP の無線プロビジョニング
設定のガイドライン
メッシュ AP に LSC を使用する場合は、次のガイドラインに従います。
この機能により、AP からどの既存の証明書も削除されません。AP では LSC 証明書と MIC 証明書の両方を使用できます。
AP が LSC を使用してプロビジョニングされると、AP は起動時に MIC 証明書を読み取りません。LSC から MIC に変更するには、AP をリブートする必要があります。AP は、LSC を使用して join できない場合に、フォールバックのためにこの変更を行います。
AP で LSC をプロビジョニングするために、AP で無線をオフにする必要はありません。このことは、無線でプロビジョニングを行うことができるメッシュ AP にとって重要です。
メッシュ AP には dot1x 認証が必要なため、CA および ID 証明書をコントローラ内のサーバにインストールする必要があります。
LSC プロビジョニングは、MAP の場合、イーサネットと OTA を介して実行できます。その場合は、イーサネットを介してコントローラにメッシュ AP を接続し、LSC 証明書をプロビジョニングする必要があります。LSC がデフォルトになると、AP
は LSC 証明書を使用して無線でコントローラに接続できます。
メッシュ AP の LSC と通常の AP の LSC の違い
CAPWAP AP は、AP モードに関係なく、join 時に LSC を使用して DTLS のセットアップを行います。メッシュ AP でもメッシュ セキュリティに証明書が使用されます。これには、親 AP を介したコントローラの dot1x 認証が含まれます。LSC
を使用してメッシュ AP がプロビジョニングされたら、この目的のために LSC を使用する必要があります。これは、MIC が読み込まれないためです。
config auth-list ap-policy mic {enable | disable }
MIC の取得後に、AP はコントローラに join を試みます。AP がコントローラに join を試みるには、その前にコントローラ コンソールで次のコマンドを入力する必要があります。デフォルトでは、config auth-list ap-policy mic コマンドは有効な状態になっています。AP が有効なため join できない場合は、コントローラ側に「LSC/MIC AP is not allowed to join」というログ メッセージが表示されます。
show certificate lsc summary
このコマンドは、WLC にインストールされた LSC 証明書を表示します。RA 証明書もすでにインストールされている場合は、CA 証明書、デバイス証明書、および RA 証明書(オプション)を表示します。また、LSC が有効であるか有効でないかも示されます。
Warning: Enabling LSC Only MAP Authentication will provision LSC Certificate into MAP (if MAP are being provisioned for first time). Please make sure MAP is connected to WLC using Ethernet cable to avoid security risk. Are you sure you want to continue? (Y/N)
展開ガイドライン
ローカル認証を使用する場合は、ベンダーの CA およびデバイス証明書を使用してコントローラをインストールする必要があります。
外部 AAA サーバを使用する場合は、ベンダーの CA およびデバイス証明書を使用してコントローラをインストールする必要があります。
メッシュ セキュリティが証明書発行元として「vendor」を使用するよう設定する必要があります。
MAP は、バックアップ コントローラにフォール バックするときに LSC から MIC に切り替わることができません。
メッシュ AP に対して LSC を有効または無効にするには、config mesh lsc {enable | disable } コマンドが必要です。このコマンドを実行すると、すべてのメッシュ AP がリブートされます。
Antenna Band Mode の設定
Antenna Band Mode 設定に関する情報
次のいずれかとしてメッシュ アクセス ポイントの Antenna Band Mode を設定できます。
デイジーチェーン接続されたアクセス ポイントは、AP の電源供給方法によって異なる方法でケーブルを取り付ける必要があります。アクセス ポイントへの電力が DC 電源を使用して供給されている場合は、イーサネット ケーブルはマスター AP の LAN
ポートからスレーブ AP の PoE 入力ポートに直接接続する必要があります。
図 23. DC 電源を使用してデイジーチェーン接続された AP
アクセス ポイントへ PoE で電力供給する場合、イーサネット ケーブルは、マスター AP の LAN ポートから出発し、スレーブ AP に給電する PoE インジェクタへと接続する必要があります。
Fast および Very Fast コンバージェンスでは、サブセット チャネル検索が実行されます。AP はネイバーの親でサポートされているチャネルのリストを維持し、チャネル スキャンを行う代わりに、それらのチャネルを直接検索します。Standard
コンバージェンスの場合、親が失われたときにチャネル スキャンが実行されます。
メッシュ コンバージェンスの設定(CLI)
手順
次のコマンドを入力して、Cisco WLC CLI のメッシュ コンバージェンスを設定します。
config mesh convergence {fast | standard | very-fast } all
(注)
all キーワードはすべての MAP ノードを意味します。
AP コンソールの Mesh convergence コマンド:
チャネルの現在のサブセットのリストを表示するには:
show mesh convergence
メッシュ コンバージェンスをデバッグするには:
debug mesh convergence
AP でコンバージェンス メソッドを設定するには:
test mesh convergence {fast | standard | very_fast }
LWAPP と Autonomous イメージの切り替え(AP CLI)
デフォルトでは、Cisco AP1532 および AP1572 は統合モードに設定されています。
手順
AP コンソールで次のコマンドを入力して、LWAPP モードから自律モード(aIOS)にアクセス ポイントを切り替えます。