Cisco Catalyst 9800 シリーズワイヤレスコントローラ（Cisco IOS XE 17.15.x）ソフトウェアコンフィギュレーションガイド

スニファについて

コントローラには、アクセスポイントの 1 つをネットワーク「スニファ」として設定する機能があります。スニファは、特定のチャネル上のパケットをすべてキャプチャして、パケットアナライザソフトウェアを実行しているリモートマシンに転送します。これらのパケットには、タイムスタンプ、信号強度、パケットサイズなどの情報が含まれます。

スニファを使用すると、ネットワークアクティビティを監視して記録し、問題を検出できます。

設定されたパケットアナライザマシンは、送信元ポート UDP/5555 および接続先 UDP/5000 のコントローラ管理 IP アドレスから Airopeek プロトコルを使用してカプセル化された 802.11 トラフィックを受信します。

AP をクライアントサービスモード（リモートサイトタグの設定に応じてローカルモードまたは FlexConnect モードなど）に戻すには、AP モードで Clear を使用する必要があります。

（注）

AP コマンドを使用して CAPWAP モードを変更しないことをお勧めします。

XOR 無線のスニファロールサポートについて

Cisco 2800、3800、4800 などの AP および 9100 シリーズ AP モデルの XOR 無線は、単一の無線インターフェイスでスニファロールをサポートします。

XOR 無線は、多くのモードで単一の無線インターフェイスとして動作する機能を提供します。そのため、AP 全体を 1 つのモードにする必要はありません。この概念を 1 つの無線レベルに適用する場合、「ロール」と呼ばれます。

このリリース以降、Sniffer は、Client Serving および Monitor ロールに加えて新しくサポートされるロールです。

（注）

無線ロールは、ローカルおよび FlexConnect モードでサポートされます。

スニファモードの機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。

表 1. スニファモードの機能履歴
リリース	機能	機能情報
Cisco IOS XE 17.8.1	アクセスポイントでの XOR 無線のスニファロールサポート	Cisco 2800、3800、4800 などの AP および 9100 シリーズ AP モデルの XOR 無線は、単一の無線インターフェイスでスニファロールをサポートします。

スニファの前提条件

スニファを実行するには、次のハードウェアとソフトウェアが必要です。

専用アクセスポイント：スニファとして設定されたアクセスポイントは、そのネットワーク上で無線アクセスサービスを同時に提供できません。カバレッジの中断を回避するには、既存のワイヤレスネットワークの一部ではないアクセスポイントを使用します。
リモート監視デバイス：アナライザソフトウェアを実行できるコンピュータ。
ソフトウェアおよび関連ファイル、プラグイン、またはアダプタ：アナライザソフトウェアによっては、有効にするために特殊なファイルが必要となる場合があります。

スニファの制限事項

サポートされているサードパーティ製のネットワークアナライザソフトウェアアプリケーションは、次のとおりです。
- Wildpackets Omnipeek または Airopeek
- AirMagnet Enterprise Analyzer
- Wireshark
Wireshark の最新バージョンでは、Analyze モードでパケットをデコードできます。[decode as] を選択し、UDP5555 を PEEKREMOTE としてデコードするように切り替えます。
コントローラ L3 インターフェイスがワイヤレス管理インターフェイス（WMI）の場合、スニファモードはサポートされません。
AP または無線がスニファモードで動作している場合、現在のチャネル幅の設定に関係なく、AP はプライマリチャネルでのみスニファまたはキャプチャを行います。

（注）

Cisco Catalyst 9166I と 9166D の両方の AP には XOR 無線があるため、これらの AP の無線が期待どおりに動作するようにするには、Board Device File（BDF）をロードして無線 2 を初期化する必要があります。BDF がロードされている間、ファイルを正しくロードするには、ファームウェアを非動作状態にし、無線をリセットする必要があります。BDF をロードする目的でファームウェアを非動作状態にすることによるこの無線リセットの動作は、意図的なものであり、予期される動作です。この動作は、コントローラと Cisco Catalyst Center の両方で確認できます。この意図的な動作によって生成されたコアダンプは無視することを推奨します。

スニファとして使用するアクセスポイントの設定（GUI）

手順

ステップ 1

[Configuration] > [Wireless] > [Access Points] 選択します。

ステップ 2

[General] タブで、AP の名前を更新します。AP 名には、33 ～ 126 文字の ASCII 文字を使用できます（先頭と末尾のスペースはなし）。

ステップ 3

AP が存在する物理的な場所を指定します。

ステップ 4

AP を有効状態にする場合は、[Admin Status] として [Enabled] を設定します。

ステップ 5

AP のモードを [Sniffer] として選択します。

ステップ 6

[Tags] セクションで、[Configuration] > [Tags & Profiles] > [Tags] ページで作成した、該当するポリシータグ、サイトタグ、および RF タグを指定します。

（注）

AP がスニファモードの場合は、タグを割り当てないでください。

ステップ 7

[Update & Apply to Device] をクリックします。

ステップ 8

リモートサイトタグの設定に応じて AP をクライアントサービスモードに戻すには、AP のモードを [Clear] として選択します。

（注）

AP モードをスニファモードに変更すると、すべての無線が手動モードに設定されます。同時に、スニファモードから別のモードに変更するときに、必要に応じて無線サブモードを AUTO に戻すように通知する警告メッセージが表示されます。

スニファとして使用するアクセスポイントの設定（CLI）

手順

コマンドまたはアクション目的

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device>enable`	特権 EXEC モードを有効にします。
ステップ 2	ap name `ap-name` mode sniffer 例: `Device# ap name access1 mode sniffer`	アクセスポイントをスニファとして設定します。ここで、 ap-name は、Cisco Lightweight アクセスポイントの名前です。スニファとしてのアクセスポイントを無効にするには、このコマンドの no 形式を使用します。

ステップ 1

enable

例:

Device>enable

特権 EXEC モードを有効にします。

ステップ 2

ap name ap-name mode sniffer

例:

Device# ap name access1 mode sniffer

アクセスポイントをスニファとして設定します。

ここで、

ap-name は、Cisco Lightweight アクセスポイントの名前です。

スニファとしてのアクセスポイントを無効にするには、このコマンドの no 形式を使用します。

アクセスポイントでのスニッフィングの有効化または無効化（GUI）

始める前に

アクセスポイントの AP モードをスニファモードに変更します。

手順

ステップ 1

[Configuration] > [Wireless] > [Access Points]を選択します。

ステップ 2

[Access Points] ページで、 6 GHz、5 GHz、または 2.4 GHz のリストから AP 名をクリックします。

ステップ 3

[Role Assignment] セクションで、[Assignment Method] として [Sniffer] を選択します。

ステップ 4

[Sniffer Channel Assignment] セクションで、[Sniffer Channel Assignment] チェックボックスをオンにして有効にします。

アクセスポイントでスニッフィングを無効にするには、このチェックボックスをオフにします。

ステップ 5

[Sniff Channel] ドロップダウンリストからチャネルを選択します。

（注）

デフォルトでは、[Snif Channel] は 5 GHz の場合は 36、2.4 GHz の場合は 1 に設定されます。

ステップ 6

[Sniffer IP] フィールドに IP アドレスを入力します。

IP アドレスを検証するには、[Update & Apply to Device] をクリックします。IP アドレスが有効な場合、[Sniffer IP Status] に [Valid] と表示されます。

ステップ 7

[RF Channel Assignment] セクションで、次のように設定します。

（注）

[Assignment Method] が [Custom] に設定されている場合にのみ、このセクションの編集が有効になります。

[RF Channel Width] ドロップダウンリストから、チャネル幅を選択します。
[Assignment Method] ドロップダウンリストから、割り当てのタイプを選択します。

（注）

[Custom] を選択した場合は、チャネル幅を選択し、アクセスポイントの無線への RF チャネル番号を指定する必要があります。320 MHz のチャネル幅は、Cisco IOS XE 17.15.1 以降でサポートされています。

ステップ 8

[Update & Apply to Device] をクリックします。

アクセスポイントでのスニッフィングの有効化または無効化（CLI）

手順

コマンドまたはアクション目的

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。
ステップ 2	ap name `ap-name` sniff {dot11 6Ghz slot `3` `channel` `server-ip-address` \| dot11a `channel` `server-ip-address` \| dot11b `channel` `server-ip-address` \| dual-band `channel` `server-ip-address`} 例: `Device# ap name access1 sniff dot11b 1 9.9.48.5`	アクセスポイントでスニッフィングを有効にします。 `channel` は、スニファされる有効なチャネルです。802.11a の場合、範囲は 36 ～ 165 です。802.11b の場合、範囲は 1 ～ 14 です。dot11 6Ghz の場合、範囲は 1 ～ 233 です。 `server-ip-address` は、Omnipeek、Airopeek、AirMagnet、または Wireshark ソフトウェアを実行するリモートマシンの IP アドレスです。
ステップ 3	ap name `ap-name` no sniff {dot116Ghz \| dot11a \| dot11b \| dual-band} 例: `Device#ap name access1 no sniff dot116ghz`	アクセスポイントでスニッフィングを無効にします。

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

ステップ 2

ap name ap-name sniff {dot11 6Ghz slot 3 channel server-ip-address | dot11a channel server-ip-address | dot11b channel server-ip-address | dual-band channel server-ip-address}

例:

Device# ap name access1 sniff dot11b 1 9.9.48.5

アクセスポイントでスニッフィングを有効にします。

channel は、スニファされる有効なチャネルです。802.11a の場合、範囲は 36 ～ 165 です。802.11b の場合、範囲は 1 ～ 14 です。dot11 6Ghz の場合、範囲は 1 ～ 233 です。
server-ip-address は、Omnipeek、Airopeek、AirMagnet、または Wireshark ソフトウェアを実行するリモートマシンの IP アドレスです。

ステップ 3

ap name ap-name no sniff {dot116Ghz | dot11a | dot11b | dual-band}

例:

Device#ap name access1 no sniff dot116ghz

アクセスポイントでスニッフィングを無効にします。

アクセスポイントでの XOR 無線のスニファロールサポートの設定（CLI）

手順

コマンドまたはアクション目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。プロンプトが表示されたらパスワードを入力します。

ステップ 2

ap name ap-name dot11 {dual-band} shutdown

例:

Device# ap name AP687D.B45C.189C dot11 dual-band shutdown

XOR 無線をシャットダウンします。

ステップ 3

ap name ap-name dot11 {dual-band} role manual {client-serving}

例:

Device# ap name ap-name dot11 dual-band role manual client-serving

XOR 無線ロールを手動に変換します。

ステップ 4

ap name ap-name dot11 {dual-band} band {5ghz | 24ghz}

例:

Device# ap name  AP687D.B45C.189C dot11 dual-band band 5ghz

特定の帯域で手動で動作するように XOR 無線を設定します。

ステップ 5

ap name ap-name dot11 {dual-band} radio role manual sniffer channel channel-number ip ip-address

例:

Device# ap name AP687D.B45C.189C dot11 dual-band radio role manual sniffer channel 100 ip 9.4.197.85

コントローラから AP での XOR 無線のスニファロールのサポートを有効にします。

ここで、

ap-name は、Cisco Lightweight アクセスポイントの名前です。
channel-number はチャネル番号です。

ステップ 6

ap name ap-name no dot11 {dual-band} shutdown

例:

Device# ap name AP687D.B45C.189C no dot11 dual-band shutdown

XOR 無線のシャットダウンを解除します。

ステップ 7

end

例:

Device# end

特権 EXEC モードに戻ります。

（注）

5 GHz 帯域でスニファとして動作するように無線を設定する場合は、ステップ 4 のように無線の帯域を手動で変更する必要があります。

スニファの設定の確認

表 2. スニファの設定を確認するためのコマンド
コマンド	説明
show ap name `ap-name` config dot11 {24ghz \| 5ghz \| 6ghz \| dual-band}	スニッフィングの詳細を表示します。
show ap name `ap-name` config slot `slot-ID`	スニッフィング設定の詳細を表示します。 `slot-ID` の範囲は 0 ～ 3 です。すべてのアクセスポイントにはスロット 0 とスロット 1 があります。

XOR 無線のスニファロール設定の確認

特定の AP の XOR 無線のスニファロール設定を確認するには、次のコマンドを使用します。

Device# show ap name AP687D.B45C.189C config slot 0

Sniffing                                        : Enabled
Sniff Channel                                   : 6
Sniffer IP                                      : 9.4.197.85
Sniffer IP Status                               : Valid
ATF Mode                                        : Disable
ATE Optimization                                : N/A
AP Submode                                      : Not Configured
Remote AP Debug                                 : Disabled
Logging Trap Severity Level                     : information
Software Version                                : 17.9.0.18
Boot Version                                    : 1.1.2.4
Mini IOS Version                                : 0.0.0.0
Stats Reporting Period                          : 60
primary_discovery_timer                         : 120
LED State                                       : Enabled
LED Flash State                                 : Enabled
LED Flash Timer                                 : 0
PoE Pre-Standard Switch                         : Disabled
PoE Power Injector MAC Address                  : Disabled
Power Type/Mode                                 : PoE/Full Power
Number of Slots                                 : 4
AP Model                                        : C9136I-B
IOS Version                                     : 17.9.0.18
Reset Button                                    : Disabled
AP Serial Number                                : FOC25322JJZ
AP Certificate Type                             : Manufacturer Installed Certificate
AP Certificate Expiry-time                      : 08/09/2099 20:58:26
AP Certificate issuer common-name               : High Assurance SUDI CA
AP Certificate Policy                           : Default
AP CAPWAP-DTLS LSC Status
    Certificate status        : Not Available
AP 802.1x LSC Status
    Certificate status        : Not Available
AP User Name                                    : admin
AP 802.1X User Mode                             : Global
AP 802.1X User Name                             : Not Configured
Cisco AP System Logging Host                    : 255.255.255.255
AP Up Time                                      : 4 hours 20 minutes 55 seconds
AP CAPWAP Up Time                               : 4 hours 16 minutes 17 seconds
Join Date and Time                              : 01/19/2022 03:06:12
 
Attributes for Slot 0
  Radio Type                                    : 802.11ax - 2.4 GHz
  Radio Mode                                    : Sniffer
  Radio Role                                    : Sniffer
  Maximum client allowed                        : 400
  Radio Role Op                                 : Manual
  Radio SubType                                 : Main
  Administrative State                          : Enabled
  Operation State                               : Up

スニファの設定とモニタリングの例

次に、アクセスポイントをスニファとして設定する例を示します。


Device# ap name access1 mode sniffer

次に、アクセスポイントでスニッフィングを有効にする例を示します。


Device# ap name sniffer dot11 5ghz sniff 44 1.1.1.1

次に、アクセスポイントでスニッフィングを無効にする例を示します。


Device# ap name access1 no sniff dot11b

次に、スニッフィング設定の詳細を表示する例を示します。


Device# show ap name access1 config dot11 24ghz
Device# show ap name access1 config slot 0

モニターモードの概要

RFID タグのモニタリングとロケーション計算を最適化するために、802.11b/g/x アクセスポイント無線用の 2.4 GHz 帯域内で最高 4 つのチャネルでトラッキングの最適化を有効化できます。この機能を使用して、通常、タグが動作するようにプログラムされているチャネル（チャネル 1、6、11 など）のみをスキャンすることができます。

（注）

対応するモードのサイトタグを使用して、AP を特定のモード（センサーモードからローカルモードまたは flex モード）に移動できます。AP がどのモードにもタグ付けされていない場合は、デフォルトのサイトタグで指定されたモードにフォールバックします。

AP をクライアントサービスモード（リモートサイトタグの設定に応じてローカルモードまたは FlexConnect モードなど）に戻すには、AP モードで [clear] を使用する必要があります。

モニターモードの有効化（GUI）

手順

ステップ 1	[Configuration] > [Wireless] > [Access Points] の順に選択します。
ステップ 2	[Access Points] ページで、[All Access Points] セクションを展開し、編集する AP の名前をクリックします。
ステップ 3	[Edit AP] ページで、[General] タブをクリックし、[AP Mode] ドロップダウンリストから [Monitor] を選択します。
ステップ 4	[Update & Apply to Device] をクリックします。
ステップ 5	リモートサイトタグの設定に応じて AP をクライアントサービスモードに戻すには、AP のモードを [clear] として選択します。

モニターモードの有効化（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	ap name `ap-name` mode monitor 例: `Device# ap name 3602a mode monitor`	アクセスポイントのモニターモードを有効にします。
ステップ 2	ap name `ap-name`monitor tracking-opt 例: `Device# ap name 3602a monitor tracking-opt`	使用する国でサポートされる動的チャネル割り当て（DCA）チャネルのみをスキャンするようにアクセスポイントを設定します。
ステップ 3	ap name `ap-name` monitor-mode dot11b fast-channel `[` `first-channel` `second-channel` `third-channel` `fourth-channel` `]` 例: `Device# ap name 3602a monitor dot11b 1 2 3 4`	アクセスポイントによりスキャンされる特定の 802.11b チャネルを最大 4 つ選択します。米国では、チャネル変数に 1 ～ 11 の値（両端の値を含む）を割り当てることができます。その他の国ではさらに多くのチャネルがサポートされています。少なくともチャネルを 1 つ割り当てる必要があります。
ステップ 4	ap name `ap-name` dot11 6ghz slot `3` radio role manual monitor 例: `Device# ap name cisco-ap dot11 6ghz slot 3 radio role manual monitor`	スロット 3 無線ロールの手動モニター 802.11 6 Ghz 無線ロールの手動モニターを設定します
ステップ 5	show ap dot11 {24ghz \| 5ghz \| 6ghz} channel 例: `Device# show ap dot11 5ghz channel`	802.11a、802.11b、または 6 GHz チャネル割り当ての設定と統計を表示します。
ステップ 6	show ap dot11 6ghz summary 例: `Device# show ap dot11 6ghz summary`	6 GHz 帯域の Cisco AP の設定と統計の概要を表示します。

Cisco Catalyst Wireless 916X アクセスポイントの管理モード移行の機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

この機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースでも使用できます。

表 3. Cisco Wireless Catalyst Wireless 916X シリーズアクセスポイントの管理モード移行の機能履歴

リリース

機能

機能情報

Cisco IOS XE Cupertino 17.9.1

Cisco Catalyst Wireless 916X シリーズアクセスポイントの管理モード移行

この機能を使用すると、要件に応じて、AP モードを Cisco DNA 管理モードと Meraki 管理モードの間で変換できます。

（注）

このドキュメントでは、Cisco DNA 管理モードから Meraki 管理モードへの変換について説明します。その逆については説明しません。

Cisco Catalyst Wireless 916X シリーズアクセスポイントの管理モード移行について

Cisco Catalyst Wireless 916x AP（CW9164I-x および CW9166I-x）は、クラウドとコントローラの両方のアーキテクチャをサポートします。要件に応じて、クラウドとコントローラ間で展開を移行することができます。CW916x AP は、Cisco DNA 管理モードまたは Meraki 管理モードのいずれかで参加し、動作します。管理モードの移行は、特権 EXEC モード、AP レベル、およびコントローラ GUI で CLI コマンドを使用して設定できます。

CW916x AP はデュアルバンドスロット 3 無線をサポートし、6 GHz と 5 GHz の両方の帯域をサポートします。

（注）

このセクションでは、Cisco DNA 管理モードから Meraki 管理モードへの移行について説明します。その逆については説明しません。

規制区域

規制ドメインのサポートについては、Cisco Catalyst 916x（CW916x）は、次に示すように、その他の地域（RoW）とその他のいくつかの固定ドメインをサポートします。

-B
-E
-A
-Z
-Q
-I
-R

AP の参加フロー中に、規制ドメインの詳細と設定されている国の詳細が AP からコントローラに渡されます。コントローラは、適切な運用国を割り当てまたは検証します。意思決定ツリーに基づいて国が検証されると、コントローラはどの国に AP を設定する必要があるかについて AP に通知します。

非 RoW 規制ドメインで設定された AP

AP を設定する必要がある国を決定するシナリオを次に示します。

ケース 1：AP が参加手順の一部として国をレポートしない。

非 RoW 規制ドメインでは、AP が参加手順の一部として国をレポートしない場合、次のことが行われます。

AP プロファイルに国が設定されている場合。
- AP プロファイルで設定された国がグローバル国リストに存在し、AP 規制ドメインに従って有効な場合、AP プロファイルで設定された国が AP に割り当てられます。無線は、国または規制ドメインのサポートに従って動作可能になります。
- AP プロファイルが設定された国がグローバル国リストに存在せず、AP 規制ドメインに従って有効でない場合、AP は切断されます。
AP プロファイルに国が設定されていない場合。AP 規制ドメインに従って、グローバル国リストから有効な国を検索します（最初の一致）。
- 国が見つかった場合、その国は AP に割り当てられ、無線は国または規制ドメインのサポートに従って動作可能になります。
- 国が見つからない場合、AP は切断されます。

ケース 2：AP が参加手順の一部として国をレポートする。

非 RoW 規制ドメインでは、AP が参加手順の一部として国をレポートする場合、次のことが行われます。

AP プロファイルに国が設定されている場合。
- AP プロファイルで設定された国がグローバル国リストに存在し、AP 規制ドメインに従って有効な場合、AP プロファイルで設定された国が AP に割り当てられます。無線は、国または規制ドメインのサポートに従って動作可能になります。
- AP プロファイルが設定された国がグローバル国リストに存在せず、AP 規制ドメインに従って有効でない場合は、グローバル国リストをチェックして、国がリストに存在するかどうかを確認します。国がグローバルリストに存在する場合、AP は以前の国の設定を保持し、無線は国の不良構成のフラグが設定された状態では動作しません。国がグローバルリストにない場合、AP は切断されます。
AP プロファイルに国が設定されていない場合。
- AP によって報告された国がグローバル国リストにあり、AP 規制ドメインに従って有効である場合、その国は AP に割り当てられ、無線は国または規制ドメインのサポートに従って動作可能になります。
- 国がリストに存在しない場合は、グローバルリストから最初に一致する国を検索します。国が見つかった場合、その国が AP に割り当てられ、無線が動作可能になります。国が見つからない場合、AP は切断されます。

RoW 規制ドメインで設定された AP

ケース 1：AP が参加手順の一部として国をレポートしない。

RoW 規制ドメインでは、AP が参加手順の一部として国をレポートしない場合、次のことが行われます。

AP プロファイルに国が設定されている場合。
- AP プロファイルで設定された国がグローバル国リストに存在し、AP 規制ドメインに従って有効な場合、AP プロファイルで設定された国が AP に割り当てられます。無線は、国または規制ドメインのサポートに従って動作可能になります。
- AP プロファイルで設定された国がグローバル国リストに存在せず、AP 規制ドメインに従って有効でない場合、国は AP に割り当てられず、無線は動作せず、国の不良構成のフラグが設定されます。
AP プロファイルに国が設定されていない場合、国は AP に割り当てられず、無線は動作せず、国の不良構成のフラグが設定されます。

ケース 2：AP が参加手順の一部として国をレポートする。

RoW 規制ドメインでは、AP が参加手順の一部として国をレポートする場合、次のことが行われます。

AP プロファイルに国が設定されている場合。
- AP プロファイルで設定された国がグローバル国リストに存在し、AP 規制ドメインに従って有効な場合、AP プロファイルで設定された国が AP に割り当てられます。無線は、国または規制ドメインのサポートに従って動作可能になります。
- AP プロファイルで設定された国がグローバル国リストに存在せず、AP 規制ドメインに従って有効でない場合、AP は以前の国の設定を保持し、無線は国の不良構成のフラグが設定された状態では動作しません。
AP は以前の国の設定を保持し、無線は国の不良構成のフラグが設定された状態では動作しません。

管理モード移行の設定（GUI）

始める前に

AP プロファイルに国番号を設定する必要があります。国番号を設定するには、[Configuration] > [Tags & Profiles] > [AP Join] ページに移動します。編集する AP プロファイルをクリックします。[General] タブで、ドロップダウンリストから国番号を選択します。

手順

ステップ 1	[Configuration] > [Wireless] > [Migrate to Meraki Management Mode] を選択します。
ステップ 2	表示された AP のチェックボックスをクリックして、必要な AP を選択します。 [Migrate to Meraki Management Mode] ボタンが有効になります。
ステップ 3	[Migrate to Meraki Management Mode] ボタンをクリックして、選択した AP の検証チェックを実行します。検証チェックが成功すると、[Next] ボタンが有効になります。
ステップ 4	[Next] をクリックしてプロセスを開始します。
ステップ 5	[Confirm Management Mode Migration] ウィンドウで、次の手順を実行します。 [Agree and continue] チェックボックスをオンにします。確認のために [Yes] をクリックします。 [Management Mode Migration Successful] セクションには、Meraki 管理モードに移行された AP が表示されます。[Management Mode Migration Failed] セクションには、Cisco DNA 管理モードで保持された AP が表示されます。
ステップ 6	[Restart Workflow] をクリックして、Cisco DNA 管理モードから Meraki 管理モードに移行しなかった AP のワークフローを再開します。

Meraki 管理モードで移行された AP のエクスポート（GUI）

Meraki 管理モードで移行された AP の詳細は、ワークフローの完了後の [Change to Meraki Persona] タブから、または [Previously changed APs] タブからエクスポートできます。

手順

コマンドまたはアクション

目的

ステップ 1

[Configuration] > [Wireless] > [Migrate to Meraki Management Mode] を選択します。

ステップ 2

[Export] ボタンをクリックして、AP のリストをエクスポートします。

ステップ 3

現在のページのみをエクスポートするか、すべてのページをエクスポートするかを選択します。[Yes] をクリックして続行します。

ステップ 4

[Export] ウィンドウで、エクスポート方法を選択します。次のオプションを使用できます。

Serial Number
JSON
Export to Meraki Dashboard

（注）

移行された AP 情報を Meraki ダッシュボードに直接エクスポートできるため、[Export to Meraki Dashboard] オプションをお勧めします。

ステップ 5

[Copy] をクリックして、移行した AP をコピーします。[Download] をクリックし、ファイルの場所を保存します。

AP 管理モードの設定（CLI）

始める前に

AP がいずれかの EXEC コマンドを実行できる Meraki 対応であることを確認します。Meraki 対応 AP のリストを表示するには、show ap management-mode meraki capability summary コマンドを使用します。

（注）

国コードが誤って設定されている場合、force コマンドを除くすべての EXEC コマンドで管理モードを変更することはできません。

いずれかのスロットで規制ドメインが誤って設定されている場合、force コマンドを除くすべての EXEC コマンドで管理モードを変更することはできません。

手順

コマンドまたはアクション目的

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたら、パスワードを入力します。
ステップ 2	ap name `Cisco-AP-name` management-mode meraki [force ] [noprompt] 例: `Device# ap name Cisco-AP-name management-mode meraki Device# ap name Cisco-AP-name management-mode meraki force Device# ap name Cisco-AP-name management-mode meraki noprompt Device# ap name Cisco-AP-name management-mode meraki force noprompt`	AP 管理モードを Meraki に変更します。ここでは force によってコントローラでの検証がスキップされ、AP での Meraki 管理モードの変更が試行されます。 noprompt によって AP 管理モードの変更を試行するためのユーザープロンプトがスキップされます。
ステップ 3	（任意） clear ap meraki stats 例: `Device# clear ap meraki stats`	（任意） Meraki AP 関連データをクリアします。

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。プロンプトが表示されたら、パスワードを入力します。

ステップ 2

ap name Cisco-AP-name management-mode meraki [force ] [noprompt]

例:

Device# ap name Cisco-AP-name management-mode meraki 
Device# ap name Cisco-AP-name management-mode meraki force 
Device# ap name Cisco-AP-name management-mode meraki noprompt
Device# ap name Cisco-AP-name management-mode meraki force noprompt

AP 管理モードを Meraki に変更します。

ここでは force によってコントローラでの検証がスキップされ、AP での Meraki 管理モードの変更が試行されます。

noprompt によって AP 管理モードの変更を試行するためのユーザープロンプトがスキップされます。

ステップ 3

（任意） clear ap meraki stats

例:

Device# clear ap meraki stats

（任意）

Meraki AP 関連データをクリアします。

管理モード移行詳細の確認

Meraki 対応 AP 情報の概要を表示するには、次のコマンドを実行します。

Device# show ap management-mode meraki capability summary
AP Name                    AP Model             Radio MAC        MAC Address      AP Serial Number       Meraki Serial Number
-----------------------------------------------------------------------------------------------------------------------------------
APXXXD.BXXX.1XXX           CW9162I             6XXd.bXXe.eXX0   6XXd.bXXe.eXX0    FOCXXXXXB90            FOCXXXXXB90

AP の障害の概要と移行試行のタイムスタンプを表示するには、次のコマンドを実行します。

Device# show ap management-mode meraki failure summary
AP Name              AP Model          Radio MAC        MAC Address      Conversion Attempt        AP Serial Number       Meraki Serial Number   Reason Code
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
APXXXD.BXXC.1        CW9162I           6XXd.bXXe.eXX0   6XXd.bXXe.eXX0   03/03/2022 17:17:42 IST   FOCXXXXXB90            FOCXXXXXB90            Regulatory domain not set

すべての AP の成功した Meraki 管理モード移行の試行を表示するには、次のコマンドを実行します。

Device# show ap management-mode meraki change summary
AP Name                  AP Model          Radio MAC        MAC Address      Conversion Timestamp       AP Serial Number        Meraki Serial Number
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
APXXXX.3XXX.EXXX         CW9166I-B         1XXX.2XXX.1100   ccXX.3XXX.eXX0   05/02/2022 07:48:56 CST    KWC2XXXXX5G             Q5XX-4XXX-K7XX

FlexConnect について

FlexConnect は、ブランチオフィスとリモートオフィスに導入されるワイヤレスソリューションです。これにより顧客は、各オフィスでコントローラを展開することなく、本社オフィスからワイドエリアネットワーク（WAN）経由で、支社またはリモートオフィスのアクセスポイント（AP）を設定および制御できるようになります。また、FlexConnect アクセスポイントは、コントローラへの接続を失ったとき、クライアントデータトラフィックをローカルにスイッチングし、クライアント認証をローカルで実行することもできます。コントローラに接続されているときには、トラフィックをコントローラに送り返すこともできます。FlexConnect アクセスポイントは複数の SSID をサポートします。接続モードで、FlexConnect アクセスポイントは、ローカル認証も実行できます。

コントローラのソフトウェアでは、FlexConnect アクセスポイントに対する耐障害性をより強化した方法が提供されています。以前のリリースでは、コントローラから解除されるたびに、FlexConnect アクセスポイントはスタンドアロンモードに移行します。中央でスイッチされるクライアントのアソシエーションは解除されます。ただし、FlexConnect アクセスポイントはローカルにスイッチされたクライアントに引き続き対応します。FlexConnect アクセスポイントがコントローラ（またはスタンバイコントローラ）に再参加すると、すべてのクライアントが接続解除され、再度認証されます。この機能は強化されており、クライアントと FlexConnect アクセスポイント間の接続はそのまま保持され、クライアントによるシームレスな接続が実現します。アクセスポイントとコントローラの両方の設定が同じ場合は、クライアントと AP 間の接続が維持されます。

クライアント接続が確立された後に、コントローラはクライアントの元の属性を復元しません。クライアントのユーザー名、現在のレートとサポートされているレート、およびリッスン間隔値は、セッションタイマーが切れた後でのみデフォルト値または新しい設定値にリセットされます。

コントローラは、ユニキャストパケットまたはマルチキャストパケットの形式でアクセスポイントにマルチキャストパケットを送信できます。FlexConnect モードでは、アクセスポイントはマルチキャストパケットのみを受信できます。

Cisco Catalyst 9800 シリーズワイヤレスコントローラでは、Flex Connect サイトを定義できます。Flex Connect サイトには、Flex Connect プロファイルを関連付けることができます。Flex Connect サイトごとに最大 100 のアクセスポイントを設定できます。

FlexConnect アクセスポイントは、1 対 1 のネットワークアドレス変換（NAT）設定をサポートします。また、真のマルチキャストを除くすべての機能に対して、ポートアドレス変換（PAT）をサポートします。NAT 境界を越えるマルチキャストもサポートされます（ユニキャストオプションを使用して設定されている場合）。FlexConnect アクセスポイントは、中央でスイッチされるすべての WLAN に対して真のマルチキャストが動作するときを除き、多対 1 の NAT または PAT境界もサポートします。

ワークグループブリッジおよびユニバーサルワークグループブリッジは、ローカルにスイッチされるクライアントの FlexConnect アクセスポイントでサポートされます。

FlexConnect は、IPv4 の動作と同様にトラフィックをローカル VLAN にブリッジすることによって、IPv6 クライアントをサポートしています。FlexConnect は、最大 100 のアクセスポイントのグループに対するクライアントモビリティをサポートしています。

ローカルモードと FlexConnect モードを切り替えても、アクセスポイントをリブートする必要はありません。

FlexConnect 認証

アクセスポイントは、ブート時にコントローラを検索します。コントローラが見つかると、そのコントローラに参加し、最新のソフトウェアイメージと設定をコントローラからダウンロードして、無線を初期化します。ダウンロードした設定は不揮発性メモリに保存されて、スタンドアロンモードで使用されます。

（注）

コントローラの最新のソフトウェアをダウンロードした後に、アクセスポイントをリブートしたら、アクセスポイントを FlexConnect モードへ変換する必要があります。

（注）

802.1X は、Cisco Aironet 2700 シリーズの AP の AUX ポートではサポートされていません。

FlexConnect アクセスポイントは、次のいずれかの方法でコントローラの IP アドレスを認識できます。

アクセスポイントの IP アドレスが DHCP サーバーから割り当て済みの場合は、通常の CAPWAP または LWAPP ディスカバリプロセスを介してコントローラを検出します。

（注）

OTAP はサポートされていません。

アクセスポイントに固定 IP アドレスが割り当てられている場合は、DHCP オプション 43 以外の方法のディスカバリプロセスを使用してコントローラを検出します。アクセスポイントがレイヤ 3 ブロードキャストでコントローラを検出できない場合は、DNS 解決を使用することをお勧めします。DNS を使用すれば、固定 IP アドレスを持ち DNS サーバーを認識しているアクセスポイントは、最低 1 つのコントローラを見つけることができます。
CAPWAP と LWAPP のどちらのディスカバリメカニズムも使用できないリモートネットワークにあるコントローラを検出できるようにするには、プライミングを使用してください。この方法を使用すると、アクセスポイントの接続先のコントローラを（アクセスポイントの CLI により）指定できます。

（注）

アクセスポイント上の LED は、デバイスが異なる FlexConnect モードに入るときに変化します。LED パターンの情報については、アクセスポイントのハードウェアインストールガイドを参照してください。

クライアントが FlexConnect アクセスポイントにアソシエートするとき、アクセスポイントではすべての認証メッセージをコントローラに送信し、WLAN 設定に応じて、クライアントデータパケットをローカルにスイッチする（ローカルスイッチング）か、コントローラに送信（中央スイッチング）します。クライアント認証（オープン、共有、EAP、Web 認証、および NAC）とデータパケットに関して、WLAN は、コントローラ接続の設定と状態に応じて、次のいずれかの状態になります。

（注）

FlexConnect ローカルスイッチングの中央認証展開では、パッシブクライアントが有効になっていると、IP 学習タイムアウトがデフォルトで無効になります。

中央認証、中央スイッチング：この状態では、コントローラがクライアント認証を処理し、すべてのクライアントデータはコントローラにトンネルを通じて戻されます。この状態は、接続済みモードの場合にだけ有効です。
中央認証、ローカルスイッチング：この状態では、コントローラがクライアント認証を処理し、FlexConnect アクセスポイントがデータパケットをローカルにスイッチします。クライアントが認証に成功した後、コントローラは新しいペイロードと共にコンフィギュレーションコマンドを送信し、FlexConnect アクセスポイントに対して、ローカルにデータパケットのスイッチを始めるように指示します。このメッセージはクライアントごとに送信されます。この状態は接続モードにのみ適用されます。
ローカル認証、ローカルスイッチング：FlexConnect アクセスポイントがクライアント認証を処理し、クライアントデータパケットをローカルにスイッチします。この状態はスタンドアロンモードおよび接続済みモードの場合に有効です。

接続済みモードでは、アクセスポイントは、ローカルで認証されたクライアントに関する最小限の情報をコントローラに提供します。次の情報はコントローラでは使用できません。
- ポリシータイプ
- アクセス VLAN
- VLAN 名
- サポートされるレート
- 暗号化の暗号
ローカル認証は、ラウンドトリップ遅延が 100 ms を超えず、最大伝送単位（MTU）が 576 バイトを下回らない、最小帯域幅が 128 kbps のリモートオフィス設定を維持できない場合に役立ちます。ローカル認証で、認証機能はアクセスポイント自体に存在します。ローカル認証は、ブランチオフィスの遅延要件を短縮できます。
ローカル認証に関する注意事項は、次のとおりです。
- ゲスト認証は、FlexConnect ローカル認証を有効にした WLAN で実行できません。
- コントローラ上でのローカル RADIUS はサポートされていません。
- クライアントが認証されたら、ローミングはグループ内のコントローラおよび他の FlexConnect アクセスポイントがクライアント情報に更新された後でのみサポートされます。
認証ダウン、スイッチダウン：この状態になると、WLAN は既存クライアントのアソシエーションを解除し、ビーコン要求とプローブ要求の送信を停止します。この状態はスタンドアロンモードおよび接続済みモードの両方の場合に有効です。
認証ダウン、ローカルスイッチング：WLAN は新しいクライアントからの認証の試行をすべて拒否しますが、既存クライアントを保持するために、ビーコン応答とプローブ応答の送信は続けます。この状態はスタンドアロンモードでのみ有効です。

FlexConnect アクセスポイントがスタンドアロンモードになると、オープン、共通、WPA-PSK、または WPA2-PSK の認証用に設定された WLAN は、「ローカル認証、ローカルスイッチング」状態になり、新しいクライアント認証を続行します。この設定は 802.1X、WPA-802.1X、WPA2-802.1X、または Cisco Centralized Key Management 用に設定された WLAN でも正しい設定です。ただし、これらの認証タイプでは外部の RADIUS サーバーが設定されている必要があります。

その他の WLAN は、「認証停止、スイッチング停止」状態（WLAN が中央スイッチング用に設定されている場合）または「認証停止、ローカルスイッチング」状態（WLAN がローカルスイッチング用に設定されている場合）のいずれかになります。

FlexConnect アクセスポイントがスタンドアロンモードではなく、コントローラに接続されている場合、コントローラはプライマリ RADIUS サーバーを使用します。コントローラがプライマリ RADIUS サーバーにアクセスする順序は、[RADIUS Authentication Servers] ページまたは config radius auth add CLI コマンドで指定された順序になります（特定の WLAN のサーバー順序がオーバーライドされている場合を除く）。ただし、802.1X EAP 認証を使用する場合は、クライアントを認証するために、スタンドアロンモードの FlexConnect アクセスポイント用のバックアップ RADIUS サーバーが必要となります。

（注）

コントローラはバックアップ RADIUS サーバーを使用しません。コントローラはローカル認証モードでバックアップ RADIUS サーバーを使用します。

バックアップ RADIUS サーバーは、個々のスタンドアロンモード FlexConnect アクセスポイントに対して設定することも（コントローラの CLI を使用）、スタンドアロンモード FlexConnect アクセスポイントのグループに対して設定することも（GUI または CLI を使用）できます。個々のアクセスポイントに対して設定されたバックアップサーバーは、FlexConnect に対するバックアップ RADIUS サーバー設定よりも優先されます。

Web 認証がリモートサイトで FlexConnect のアクセスポイントに使用されると、クライアントはリモートローカルサブネットから IP アドレスを取得します。最初の URL 要求を解決するため、DNS がサブネットのデフォルトゲートウェイを介してアクセスできます。コントローラが DNS クエリーの応答パケットを代行受信およびリダイレクトするには、これらのパケットは CAPWAP 接続を介してデータセンターでコントローラにアクセスする必要があります。Web 認証プロセス中、FlexConnect のアクセスポイントは DNS と DHCP メッセージのみを許可します。つまり、アクセスポイントは、クライアントの Web 認証が完了するまで DNS 応答メッセージをコントローラに転送します。クライアントの Web 認証が完了すると、すべてのトラフィックがローカルでスイッチされます。

FlexConnect アクセスポイントがスタンドアロンモードになると、次のようになります。

アクセスポイントは、ARP 経由でデフォルトゲートウェイに到達できるかどうかを確認します。その場合、アクセスポイントはコントローラへの到達を試行し続けます。

アクセスポイントが ARP を確立できない場合は、次のことが起こります。

アクセスポイントは 5 回の検出を試行し、それでもコントローラを検出できない場合は、新しい DHCP IP を取得するために、イーサネットインターフェイス上で DHCP を更新しようとします。
アクセスポイントが、5 回再試行して失敗した場合、インターフェイスの IP アドレスを再度更新します。これは 3 回試行されます。
3 回の試行が失敗した場合、アクセスポイントは固定 IP に戻ってリブートします（アクセスポイントが固定 IP を使用して設定されている場合のみ）。
リブートの実行により、アクセスポイントの不明なエラーの可能性が排除されます。

アクセスポイントがコントローラとの接続を再確立すると、すべてのクライアントをアソシエート解除して、コントローラからの新しい設定情報を適用し、クライアントの接続を再度許可します。

FlexConnect に関するガイドラインと制限事項

FlexConnect モードは、AP ごとに 16 の VLAN のみをサポートできます。
固定 IP アドレスまたは DHCP アドレスを持つ FlexConnect アクセスポイントを展開することができます。DHCP の状況では、DHCP サーバーはローカルに使用可能であり、ブート時にアクセスポイントの IP アドレスを提供できる必要があります。
FlexConnect は最大で 4 つの断片化されたパケット、または最低 576 バイトの最大伝送単位（MTU）WAN リンクをサポートします。
アクセスポイントとコントローラの間のラウンドトリップ遅延が 300 ミリ秒（ms）を超えてはなりません。また、CAPWAP コントロールパケットは他のすべてのトラフィックよりも優先される必要があります。300 ミリ秒のラウンドトリップ遅延を実現できないシナリオでは、ローカル認証を実行するようにアクセスポイントを設定します。
クライアント接続は、アクセスポイントがスタンドアロンモードから接続モードに移行するときに RUN 状態になっている、ローカルにスイッチされたクライアントに対してのみ復元されます。アクセスポイントのモードが移行すると、アクセスポイントの無線もリセットされます。
複数の AP が FlexConnect でスタンドアロンモードから接続モードに移行し、すべての AP がクライアントエントリをハイブリッド REAP ペイロードでコントローラに送信します。このシナリオでは、コントローラは関連付け解除メッセージを WLAN クライアントに送信します。ただし、WLAN クライアントは正常に復帰し、コントローラに参加します。
AP がスタンドアロンモードの場合、クライアントが別の AP にローミングすると、送信元 AP は、クライアントがローミングしたのか、単にアイドル状態なのかを判断できません。したがって、送信元 AP のクライアントエントリは、アイドルタイムアウトまで削除されません。
コントローラの設定は、アクセスポイントがスタンドアロンモードになった時点と、アクセスポイントが接続済みモードに戻った時点の間で同じである必要があります。同様に、アクセスポイントがセカンダリまたはバックアップのコントローラにフォールバックする場合、プライマリコントローラとセカンダリまたはバックアップのコントローラの設定は同じである必要があります。
新規に接続したアクセスポイントは、FlexConnect モードでブートできません。
FlexConnect モードでは、クライアントの IPv6 アドレスを学習する前にクライアントがトラフィックを送信する必要があります。ローカルモードと比較します。このモードでは、コントローラがネイバー探索中にパケットをスヌーピングしてクライアントの IPv6 アドレスを更新することで IPv6 アドレスを学習します。
802.11r Fast Transition ローミングは、ローカル認証で動作している AP ではサポートされません。
FlexConnect アクセスポイントのプライマリおよびセカンダリのコントローラの設定が同一であることが必要です。設定が異なると、アクセスポイントはその設定を失い、特定の機能（WLAN の無効化、VLAN、静的チャネル番号など）が正しく動作しないことがあります。さらに、FlexConnect アクセスポイントの SSID とそのインデックス番号を両方のコントローラで同じにしてください。
アクセスポイントで設定された syslog サーバーと組み合わせて、FlexConnect アクセスポイントを設定する場合、アクセスポイントがリロードされ、1 以外のネイティブ VLAN になった後、初期化時に、アクセスポイントからの syslog パケットで VLAN ID 1 のタグが付けられているものはほとんどありません。
MAC フィルタリングは、スタンドアロンモードの FlexConnect アクセスポイントではサポートされていません。ただし、MAC フィルタリングは、接続モードの FlexConnect アクセスポイントでのローカルスイッチングと中央認証はサポートされています。また、FlexConnect アクセスポイントを持つローカルにスイッチされる WLAN の Open SSID、MAC フィルタリングおよび RADIUS NAC は、MAC が Cisco ISE でチェックされる有効な設定です。
FlexConnect では、[Client Detail] ウィンドウに IPv6 クライアントのアドレスは表示されません。
ローカルにスイッチされた WLAN を使用した FlexConnect アクセスポイントでは、IP ソースガードを実行したり、ARP スプーフィングを防止したりすることができません。中央でスイッチングされる WLAN では、ワイヤレスコントローラが IP ソースガードおよび ARP スプーフィングを実行します。
ローカルスイッチングを使用する FlexConnect AP における ARP スプーフィング攻撃を防ぐために、ARP インスペクションを使用することを推奨します。
クライアントには同じ MAC の多数の IP アドレスが含まれているため、VM クライアント（任意のワイヤレスホストを含む）のプロキシ ARP は機能しません。この問題を回避するには、Flex プロファイルで ARP キャッシングオプションを無効にします。
FlexConnect AP のポリシープロファイルでローカルスイッチングを有効にすると、AP はローカルスイッチングを実行します。ただし、ローカルモードの AP に対しては、中央スイッチングが実行されます。

FlexConnect モードの AP とローカルモードの AP 間におけるクライアントのローミングがサポートされていないシナリオでは、移動後の VLAN の違いが原因で、クライアントが正しい IP アドレスを取得できない場合があります。また、FlexConnect モード AP とローカルモード AP 間の L2 および L3 のローミングはサポートされていません。

FlexConnect ローカルスイッチングは、Cisco Aironet Cisco 1810T および 1815T（テレワーカー）アクセスポイントではサポートされていません。
Cisco Centralized Key Management（CCKM）は、FlexConnect スタンドアロンモードではサポートされていません。したがって、AP が FlexConnect スタンドアロンモードの場合、CCKM 対応クライアントは接続できません。
FlexConnect スタンドアロンモードの Wi-Fi Protected Access バージョン 2（WPA2）、接続モードのローカル認証、または接続モードの Cisco Centralized Key Management 高速ローミングの場合、Advanced Encryption Standard（AES）のみがサポートされます。
FlexConnect スタンドアロンモードの Wi-Fi Protected Access（WPA）、接続モードのローカル認証、または接続モードの Cisco Centralized Key Management 高速ローミングの場合、Temporal Key Integrity Protocol（TKIP）のみがサポートされます。
TKIP による WPA2 および AES による WPA は、スタンドアロンモード、接続モードのローカル認証、および接続モードの Cisco Centralized Key Management 高速ローミングではサポートされません。
TKIP を使用した WPA は、非 FIPS モードでサポートされます。
Cisco Aironet 1830 シリーズおよび 1850 シリーズの AP では、オープンな WPA（PSK および 802.1x）認証および WPA2（AES）認証のみサポートされています。
Cisco Aironet 1830 シリーズおよび 1850 シリーズ AP では、802.11r Fast Transition ローミングのみサポートされています。
ローカルにスイッチングされた WLAN の AVC は、第 2 世代の AP でサポートされています。
外部 RADIUS サーバーでユーザーが利用できない場合は、ローカル認証のフォールバックはサポートされません。
ローカルスイッチングおよびローカル認証で FlexConnect AP 用に設定された WLAN については、dot11 クライアント情報の同期がサポートされます。
Cisco Aironet 1830 シリーズおよび 1850 シリーズ AP では、DNS Override はサポートされていません。
Cisco Aironet 1830 シリーズおよび 1850 シリーズ AP は、IIPv6 をサポートしていません。ただし、ワイヤレスクライアントはこれらの AP 全体に IPv6 トラフィックを渡すことができます。
flex プロファイルでは、Flex モードで VLAN グループはサポートされていません。
個々のクライアントまたは無線で許可されるメディアストリームの最大数の設定は、FlexConnect モードではサポートされていません。
AP が FlexConnect モード（接続されているかスタンドアロン）であり、ローカルスイッチングとローカル認証を実行している場合、WLAN クライアントアソシエーションの制限は機能しません。
FlexConnect モードのローカルスイッチングクライアントは、Cisco Aironet 1810 シリーズ AP の RLAN プロファイルの IP アドレスを取得しません。
標準 ACL は、FlexConnect AP モードではサポートされていません。
IPv6 RADIUS サーバーは FlexConnect AP 用に設定できません。IPv4 設定のみがサポートされます。
Flex モードでは、WLAN で設定された IPv4 ACL は AP にプッシュされますが、IPv6 ACL はプッシュされません。
show wireless stats client delete reasons コマンドの一部であるクライアント削除理由カウンタは、クライアントレコードエントリの参加を維持する場合にのみ増加します。

たとえば、FlexConnect モードの AP が ACL の不一致でローカル認証を実行すると、AP はクライアントを削除し、コントローラはクライアントレコードを作成しません。
Cisco Centralized Key Management（CCKM）は、ローカルアソシエーションを使用する場合は FlexConnect の Wave 1 AP でサポートされます。
クライアントがある AP から別の AP にローミングし、ローミングが成功すると、次のようになります。
- クライアントは新しい AP にトラフィックを送信しません。
- クライアントの状態は IP LEARN pending です。
- その間トラフィックがない場合、クライアントは 180 秒後に認証解除されます。DHCP Required フラグが設定されている場合、認証解除は 60 秒後に行われます。
FlexConnect にローカルにスイッチされる WLAN のポリシープロファイルでカスタム VLAN を使用すると、SSID ブロードキャストが停止します。このようなシナリオでは、SSID ブロードキャストを開始するために、ポリシープロファイルで shut および no shut コマンドを実行します。

SSID は、次の場合にブロードキャストされます。
- FlexConnect プロファイルで VLAN 名から ID へのマッピングを実行し、ポリシープロファイルでカスタム VLAN 名をマッピングします。
- VLAN ID または標準 VLAN 名（VLANxxxx など）を使用します。
FlexConnect モードでは、Group Temporal Key（GTK）タイマーは Cisco Wave 2 AP でデフォルトの 3600 秒に設定され、この値は再設定できません。

FlexConnect AP が CAPWAP ディスカバリ要求を送信し、18 回の CAPWAP ディスカバリ要求後に FlexConnect AP が応答を受信しない場合、AP は DHCP 更新を実行します。

（注）

AP が DHCP 更新を実行するときに、クライアントが切断されないようにする必要があります。

Flex モード展開の場合、ローカルアソシエーションが設定されたポリシープロファイルは、WLAN で特定の時点ではサポートされません。ローカルアソシエーションコマンドだけを有効にする必要があります。
Cisco IOS XE Amsterdam 17.1.1 リリース以降、コントローラの Flex Connect AP のクライアントごとのポリシングレートは、入力の場合は rate_out、出力の場合は rate_in と表示されます。Flex AP のポリシングレートを確認するには、show rate-limit client コマンドを使用します。
FlexConnect AP は、802.1X 暗号化を使用した認可変更（CoA）および VLAN の変更後に DHCP パケットを転送しません。クライアントを WLAN から切断し、クライアントを再接続して、クライアントが 2 番目の VLAN で IP アドレスを取得できるようにする必要があります。
FlexConnect ローカルスイッチングモードの Cisco Wave 2 および Catalyst Wi-Fi6 AP は、レイヤ 2（PSK、802.1X）+ レイヤ 3（LWA、CWA、リダイレクションベースのポスチャ）+ ダイナミック AAA オーバーライド + NAC をサポートしません。
Cisco Catalyst 9136I AP では、FlexConnect ローカル認証で、クライアントの進行中のセッションタイムアウトがローミングのたびにリセットされます。
ネットワークアクセスコントロール（NAC）は、FlexConnect ローカル認証ではサポートされていません。
AAA でオーバーライドされた VLAN 上のマルチキャストトラフィックはサポートされていません。この設定を使用すると、VLAN 間でトラフィックリークが発生する可能性があります。

FlexConnect モードの SuiteB-192 AKM は、Cisco IOS XE Cupertino 17.9.x ではサポートされていません。

サイトタグの設定

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wireless tag site site-name

例:

Device(config)# wireless tag site default-site-tag

サイトタグを設定し、サイトタグコンフィギュレーションモードを開始します。

ステップ 3

no local-site

例:

Device(config-site-tag)# no local-site

アクセスポイントを FlexConnect モードに移行します。

（注）

flex-profile を設定する前に、「no local-site」を設定する必要があります。そうしないと、flex-profile はサイトタグに適用されません。

ステップ 4

flex-profile flex-profile-name

例:

Device(config-site-tag)# flex-profile rr-xyz-flex-profile

flex プロファイルをサイトタグにマッピングします。

ステップ 5

ap-profile ap-profile

例:

Device(config-site-tag)# ap-profile xyz-ap-profile

AP プロファイルをワイヤレスサイトに割り当てます。

ステップ 6

description site-tag-name

例:

Device(config-site-tag)# description "default site tag"

サイトタグの説明を追加します。

ステップ 7

end

例:

Device(config-site-tag)# end

設定を保存し、コンフィギュレーションモードを終了して、特権 EXEC モードに戻ります。

ステップ 8

show wireless tag site summary

例:

Device# show wireless tag site summary

（任意）サイトタグのサマリーを表示します。

ポリシータグの設定（CLI）

ポリシータグを設定するには、次の手順に従います。

手順

コマンドまたはアクション目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

wireless tag policy policy-tag-name

例:

Device(config-policy-tag)# wireless tag policy default-policy-tag

ポリシータグを設定し、ポリシータグコンフィギュレーションモードを開始します。

（注）

LWA を実行すると、コントローラに接続されているクライアントが、セッションタイムアウトの前に断続的に切断されます。

ステップ 4

description description

例:

Device(config-policy-tag)# description "default-policy-tag"

ポリシータグに説明を追加します。

ステップ 5

remote-lan name policy profile-policy-name {ext-module| port-id }

例:

Device(config-policy-tag)# remote-lan rr-xyz-rlan-aa policy rr-xyz-rlan-policy1 port-id 2

リモート LAN プロファイルをポリシープロファイルにマッピングします。

ステップ 6

wlan wlan-name policy profile-policy-name

例:

Device(config-policy-tag)# wlan rr-xyz-wlan-aa policy rr-xyz-policy-1

ポリシープロファイルを WLAN プロファイルにマッピングします。

（注）

WLAN プロファイルが他のプロファイルによって使用されていないことを確認してください。AP でデフォルトプロファイルを使用する場合は、no central switching コマンドが他のプロファイルに設定されていることを確認してください。

ステップ 7

end

例:

Device(config-policy-tag)# end

ポリシータグコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

ステップ 8

show wireless tag policy summary

例:

Device# show wireless tag policy summary

（任意）設定済みのポリシータグを表示します。

（注）

ポリシータグに関する詳細情報を表示するには、show wireless tag policy detailed policy-tag-name コマンドを使用します。

アクセスポイントへのポリシータグとサイトタグの付加（GUI）

手順

ステップ 1	[Configuration] > [Wireless] > [Access Points]を選択します。
ステップ 2	[Access Point] の名前をクリックします。
ステップ 3	[Tags] セクションに移動します。
ステップ 4	[Policy] ドロップダウンリストから [Policy Tag] を選択します。
ステップ 5	[Site] ドロップダウンリストから [Site Tag] を選択します。
ステップ 6	[Update and Apply to Device] をクリックします。

AP へのポリシータグとサイトタグの付加（CLI）

ポリシータグとサイトタグを AP に付加するには、次の手順に従います。

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

ap mac-address

例:

Device(config)# ap F866.F267.7DFB

Cisco AP を設定し、AP プロファイルコンフィギュレーションモードを開始します。

（注）

mac-address 有線 mac アドレスである必要があります。

ステップ 3

policy-tag policy-tag-name

例:

Device(config-ap-tag)# policy-tag rr-xyz-policy-tag

ポリシータグを AP にマッピングします。

ステップ 4

site-tag site-tag-name

例:

Device(config-ap-tag)# site-tag rr-xyz-site

サイトタグを AP にマッピングします。

ステップ 5

rf-tag rf-tag-name

例:

Device(config-ap-tag)# rf-tag rf-tag1

RF タグを関連付けます。

ステップ 6

end

例:

Device(config-ap-tag)# end

設定を保存し、コンフィギュレーションモードを終了して、特権 EXEC モードに戻ります。

ステップ 7

show ap tag summary

例:

Device# show ap tag summary

（任意）AP の詳細と AP に関連付けられているタグを表示します。

ステップ 8

show ap name <ap-name> tag info

例:

Device# show ap name ap-name tag info

（任意）AP 名とタグ情報を表示します。

ステップ 9

show ap name <ap-name> tag detail

例:

Device# show ap name ap-name tag detail

（任意）AP 名とタグの詳細を表示します。

定義済み ACL への ACL ポリシーのリンク（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [Flex]を選択します。
ステップ 2	[Add] をクリックします。
ステップ 3	[General] タブで、Flex プロファイルの [Name] を入力します。名前には、32 ～ 126 文字の ASCII 文字を使用できます（先頭と末尾のスペースはなし）。
ステップ 4	[Policy ACL] タブで、[Add] をクリックします。
ステップ 5	[ACL Name] ドロップダウンリストから ACL を選択し、[Save] をクリックします。
ステップ 6	[Apply to Device] をクリックします。

FlexConnect での ACL の適用

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless profile flex `flex-profile-name` 例: `Device(config)# wireless profile flex Flex-profile-1`	ワイヤレス flex プロファイルを設定し、ワイヤレス flex プロファイルコンフィギュレーションモードを開始します。
ステップ 3	acl-policy `acl-policy-name` 例: `Device(config-wireless-flex-profile)# acl-policy ACL1`	ACL ポリシーを設定します。アクセスコントロールリスト（ACL）は、ネットワークを通過するパケットの動きを制御するためにパケットフィルタリングを実行します。
ステップ 4	exit 例: `Device(config-wireless-flex-profile-acl)# exit`	ワイヤレス flex プロファイルコンフィギュレーションモードに戻ります。
ステップ 5	native-vlan-id 例: `Device(config-wireless-flex-profile)# native-vlan-id 25`	ネイティブの vlan-id 情報を設定します。
ステップ 6	vlan `vlan-name` 例: `Device(config-wireless-flex-profile)# vlan-name VLAN0169`	VLAN を設定します。
ステップ 7	acl `acl-name` 例: `Device(config-wireless-flex-profile-vlan)# acl ACL1`	インターフェイスの ACL を設定します。
ステップ 8	vlan-id`vlan-id` 例: `Device(config-wireless-flex-profile-vlan)# vlan-id 169`	VLAN 情報を設定します。

FlexConnect の設定

リモートサイトでのスイッチの設定

手順

ステップ 1

FlexConnect を有効にするアクセスポイントを、スイッチ上のトランクまたはアクセスポートに接続します。

（注）

この手順に示す設定例では、FlexConnect アクセスポイントはスイッチ上のトランクポートに接続されます。

ステップ 2

次の設定例は、FlexConnect アクセスポイントをサポートするようにスイッチを設定する方法を示しています。

この設定例では、FlexConnect アクセスポイントは、トランクインターフェイス FastEthernet 1/0/2 に接続され、ネイティブ VLAN 100 を使用します。このアクセスポイントは、このネイティブ VLAN 上での IP 接続を必要とします。リモートサイトのローカルサーバーとリソースは、VLAN 101 上にあります。DHCP プールがスイッチの両方の VLAN のローカルスイッチ内に作成されます。最初の DHCP プール（ネイティブ）は FlexConnect アクセスポイントにより使用され、2 つ目の DHCP プール（ローカルスイッチング）は、クライアントがローカルでスイッチングされる WLAN にアソシエートする場合、クライアントにより使用されます。


.
.
.
ip dhcp pool NATIVE
   network 209.165.200.224 255.255.255.224
   default-router 209.165.200.225
   dns-server 192.168.100.167
!
ip dhcp pool LOCAL-SWITCH
   network 209.165.201.224 255.255.255.224
   default-router 209.165.201.225 
   dns-server 192.168.100.167
!
interface Gig1/0/1
 description Uplink port
 no switchport
 ip address 209.165.202.225 255.255.255.224
!
interface Gig1/0/2
 description the Access Point port
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 100
 switchport trunk allowed vlan 101
 switchport mode trunk
!
interface Vlan100
 ip address 209.165.200.225 255.255.255.224
!
interface Vlan101
 ip address 209.165.201.225 255.255.255.224
end
!
.
.
.

FlexConnect に対するコントローラの設定

次の 2 つの環境で FlexConnect のコントローラを設定できます。

中央でスイッチされる WLAN
ローカルでスイッチされる WLAN

FlexConnect のコントローラの設定には、中央でスイッチされる WLAN とローカルでスイッチされる WLAN を作成する操作が含まれます。次の表に、3 つの WLAN の例を示します。

表 4. WLAN のシナリオ
WLAN	セキュリティ	認証	スイッチング	インターフェイスマッピング（ゲスト VLAN）
Employee	WPA1+WPA2	中央	中央	管理（中央でスイッチされるゲスト VLAN）
Employee-local	WPA1+WPA2（PSK）	ローカル	ローカル	101（ローカルでスイッチされるゲスト VLAN）
Guest-central	Web 認証	中央	中央	管理（中央でスイッチされるゲスト VLAN）
Employee-local-auth	WPA1+WPA2	ローカル	ローカル	101（ローカルでスイッチされる VLAN）

FlexConnect モードでのローカルスイッチングの設定（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [Policy] を選択します。
ステップ 2	[Policy profile] ページで、ポリシープロファイルの名前をクリックして編集するか、[Add] をクリックして新しいポリシープロファイルを作成します。
ステップ 3	表示される [Add/Edit Policy Profile] ウィンドウで、[Central Switching] チェックボックスをオフにします。
ステップ 4	[Update & Apply to Device] をクリックします。

FlexConnect モードでのローカルスイッチングの設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless profile policy `profile-policy` 例: `Device(config)# wireless profile policy rr-xyz-policy-1`	WLAN ポリシープロファイルを設定し、ワイヤレスポリシーコンフィギュレーションモードを開始します。
ステップ 3	no central switching 例: `Device(config-wireless-policy)# no central switching`	WLAN をローカルスイッチング用に設定します。
ステップ 4	end 例: `Device(config)# end`	特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバルコンフィギュレーションモードを終了できます。

FlexConnect モードでの中央スイッチングの設定（GUI）

始める前に

ポリシープロファイルが設定されていることを確認します。ポリシープロファイルが設定されていない場合は、「ポリシープロファイルの設定（GUI）」の項を参照してください。

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [Policy] を選択します。
ステップ 2	[Policy Profile] ページで、ポリシーを選択します。
ステップ 3	[Edit Policy Profile] ウィンドウの [General] タブで、スライダを使用して [Central Switching] を有効または無効にします。
ステップ 4	[Update & Apply to Device] をクリックします。

FlexConnect モードでの中央スイッチングの設定

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless profile policy `profile-policy` 例: `Device(config)# wireless profile policy rr-xyz-policy-1`	WLAN ポリシープロファイルを設定し、ワイヤレスポリシーコンフィギュレーションモードを開始します。
ステップ 3	central switching 例: `Device(config-wireless-policy)# central switching`	WLAN を中央スイッチング用に設定します。
ステップ 4	end 例: `Device(config)# end`	特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバルコンフィギュレーションモードを終了できます。

FlexConnect のアクセスポイントの設定

詳細については、「新しい設定モデル」の章の「サイトタグの設定（CLI）」トピックを参照してください。

WLAN 上のローカル認証用のアクセスポイントの設定（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [Policy] を選択します。
ステップ 2	[Policy Profile] ページで、ポリシープロファイル名を選択します。[Edit Policy Profile] ウィンドウが表示されます。
ステップ 3	[General] タブで、[Central Authentication] チェックボックスをオフにします。
ステップ 4	[Update & Apply to Device] をクリックします。

WLAN 上のローカル認証用のアクセスポイントの設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless profile policy `profile-policy` 例: `Device(config)# wireless profile policy rr-xyz-policy-1`	WLAN ポリシープロファイルを設定し、ワイヤレスポリシーコンフィギュレーションモードを開始します。
ステップ 3	no central authentication 例: `Device(config-wireless-policy)# no central authentication`	WLAN をローカル認証用に設定します。
ステップ 4	end 例: `Device(config)# end`	特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバルコンフィギュレーションモードを終了できます。

クライアントデバイスの WLAN への接続

で作成した WLAN にクライアントデバイスを接続するためのプロファイルを作成するには、次の手順に従ってください。

シナリオ例（を参照）では、クライアントに 3 つのプロファイルがあります。

「employee」WLAN に接続するには、WPA または WPA2 と PEAP-MSCHAPV2 認証を使用するクライアントプロファイルを作成します。クライアントが認証されると、コントローラの管理 VLAN によってクライアントに IP アドレスが割り当てられます。
「local-employee」WLAN に接続するには、WPA または WPA2 認証を使用するクライアントプロファイルを作成します。クライアントが認証されると、ローカルスイッチの VLAN 101 によってクライアントに IP アドレスが割り当てられます。
「guest-central」WLAN に接続するには、オープンの認証を使用するクライアントプロファイルを作成します。クライアントが認証されると、アクセスポイントへのネットワークローカルの VLAN 101 によってクライアントに IP アドレスが割り当てられます。クライアントが接続すると、ローカルユーザーは Web ブラウザに任意の HTTP アドレスを入力できます。ユーザーは、Web 認証プロセスを完了するために、自動的にコントローラに誘導されます。Web ログインウィンドウが表示されたら、ユーザーはユーザー名とパスワードを入力します。

FlexConnect イーサネットフォールバックの設定

FlexConnect イーサネットフォールバックについて

イーサネットリンクが機能しないときに無線をシャットダウンするように AP を設定できます。イーサネットリンクが使用可能状態に戻った場合、無線を使用可能状態に戻すように AP を設定できます。この機能は、接続されている AP に依存しない、またはスタンドアロンモードです。無線がシャットダウンすると、AP は WLAN をブロードキャストしないため、クライアントは最初のアソシエーションおよびローミングで AP に接続することができません。

FlexConnect イーサネットフォールバックの設定

始める前に

この機能は、複数のポートを持つ AP には適用されません。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless profile flex `flex-profile-name` 例: `Device(config)# wireless profile flex test`	ワイヤレス flex プロファイルを設定し、ワイヤレス flex プロファイルコンフィギュレーションモードを開始します。
ステップ 3	fallback-radio-shut 例: `Device(config-wireless-flex-profile)# fallback-radio-shut`	無線インターフェイスのシャットダウンを有効にします。
ステップ 4	end 例: `Device(config-wireless-flex-profile)# end`	コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。
ステップ 5	show wireless profile flex detailed `flex-profile-name` 例: `Device# show wireless profile flex detailed test`	（任意）選択したプロファイルに関する詳細情報を表示します。

Flex AP ローカル認証（GUI）

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Flex] を選択します。

ステップ 2

[Flex] ページで、 Flex プロファイルの名前をクリックするか、[Add] をクリックして新規に作成します。

ステップ 3

表示される [Add/Edit Flex Profile] ウィンドウで、[Local Authentication] タブをクリックします。

Flex モードのアクセスポイントでローカル認証と関連付けが有効になっている場合、次のことが発生します。

AP が認証を処理します。

AP が（モビリティの）クライアント参加の拒否を処理します。

（注）

AP がクライアント関連付けを拒否した場合、コントローラは統計を増分しません。

ステップ 4

[RADIUS Server Group] ドロップダウンリストからサーバーグループを選択します。

ステップ 5

[Local Accounting Radius Server Group] ドロップダウンを使用して、RADIUS サーバーグループを選択します。

ステップ 6

[Local Client Roaming] チェックボックスをオンにして、クライアントローミングを有効にします。

ステップ 7

[EAP Fast Profile] ドロップダウンリストからプロファイルを選択します。

ステップ 8

次を有効にするか無効にするかを選択します。

[LEAP]：Lightweight Extensible Authentication Protocol（LEAP）は、ワイヤレス LAN 向けの 802.1X 認証タイプであり、クライアントと RADIUS サーバー間で、共有秘密としてログオンパスワードを使用した強力な相互認証をサポートします。LEAP では、ユーザー単位、セッション単位の動的な暗号化キーが提供されます。
[PEAP]：Protected Extensible Authentication Protocol（PEAP）は、暗号化および認証された Transport Layer Security（TLS）トンネル内でExtensible Authentication Protocol（EAP）をカプセル化するプロトコルです。
[TLS]：Transport Layer Security（TLS）は、コンピュータネットワーク経由での通信のセキュリティを提供する暗号化プロトコルです。
[RADIUS]：Remote Authentication Dial-In User Service（RADIUS）は、ネットワークサービスに接続して使用するユーザーに対して、一元化された認証、許可、およびアカウンティング（AAA またはトリプル A）の管理を提供するネットワーキングプロトコルです。

ステップ 9

[Users] セクションで、[Add] をクリックします。

ステップ 10

ユーザ名とパスワードの詳細を入力し、[Save] をクリックします。

ステップ 11

[Save & Apply to Device] をクリックします。

Flex AP ローカル認証（CLI）

（注）

Cisco Catalyst 9800 シリーズワイヤレスコントローラ、FlexConnect ローカル認証、RADIUS として機能する AP は、Cisco COS および IOS AP ではサポートされていません。

手順

	コマンドまたはアクション	目的
ステップ 1	aaa new-model 例: `Device(config)# aaa new-model`	AAA 認証モデルを作成します。
ステップ 2	aaa session-id common 例: `Device(config)# aaa session-id common`	RADIUS グループから、特定のコールに対して送信されるすべてのセッション ID 情報が同じであることを確認します。
ステップ 3	dot1x system-auth-control 例: `Device(config)# dot1x system-auth-control`	RADIUS グループのシステム認証制御を有効にします。
ステップ 4	eap profile `name` 例: `Device(config)# eap profile aplocal-test`	EAP プロファイルを作成します。
ステップ 5	method fast 例: `Device(config-eap-profile)# method fast`	プロファイルで FAST 方式を設定します。
ステップ 6	exit 例: `Device(config-radius-server)# exit`	コンフィギュレーションモードに戻ります。
ステップ 7	wireless profile flex `flex-profile` 例: `Device(config)# wireless profile flex default-flex-profile`	Flex ポリシーを設定します。
ステップ 8	local-auth ap eap-fast `name` 例: `Device(config-wireless-flex-profile)# local-auth ap eap-fast aplocal-test`	EAP-FAST プロファイルの詳細を設定します。
ステップ 9	local-auth ap leap 例: `Device(config-wireless-flex-profile)# local-auth ap leap`	LEAP 方式を設定します。
ステップ 10	local-auth ap peap 例: `Device(config-wireless-flex-profile)# local-auth ap peap`	PEAP 方式を設定します。
ステップ 11	dhcp broadcast 例: `Device(config-wireless-flex-profile)# dhcp broadcast`	ローカルにスイッチされるクライアントの DHCP ブロードキャストを設定します。
ステップ 12	local-auth ap username `username` 例: `Device(config-wireless-flex-profile)# local-auth ap username test1 test1`	ユーザー名とパスワードを設定します。
ステップ 13	local-auth ap username `username` `password` 例: `Device(config-wireless-flex-profile)# local-auth ap username test2 test2`	別のユーザー名とパスワードを設定します。
ステップ 14	exit 例: `Device(config-wireless-flex-profile)# exit`	コンフィギュレーションモードに戻ります。
ステップ 15	wireless profile policy `policy-profile` 例: `Device(config)# wireless profile policy default-policy-profile`	プロファイルポリシーを設定します。
ステップ 16	shutdown 例: `Device(config-wireless-policy)# shutdown`	ポリシープロファイルを無効にします。
ステップ 17	no central authentication 例: `Device(config)# no central authentication`	中央（コントローラ）認証を無効にします。
ステップ 18	vlan-id `vlan-id` 例: `Device(config)# vlan-id 54`	VLAN 名または VLAN ID を設定します。
ステップ 19	no shutdown 例: `Device(config)# no shutdown`	設定を有効にします。

外部 Radius サーバーを使用した Flex AP ローカル認証

このモードでは、アクセスポイントがクライアント認証を処理し、クライアントデータパケットをローカルにスイッチングします。この状態はスタンドアロンモードおよび接続済みモードの場合に有効です。

手順

コマンドまたはアクション目的

ステップ 1

aaa new-model

例:

Device(config)# aaa new-model

AAA 認証モデルを作成します。

ステップ 2

aaa session-id common

例:

Device(config)# aaa session-id common

RADIUS グループから、特定のコールに対して送信されるすべてのセッション ID 情報が同じであることを確認します。

ステップ 3

dot1x system-auth-control

例:

Device(config)# dot1x system-auth-control

RADIUS グループのシステム認証制御を有効にします。

ステップ 4

radius server server-name

例:

Device(config)# radius server Test-SERVER1

RADIUS サーバー名を指定します。

（注）

FreeRADIUS over RADSEC でクライアントを認証するには、1024 ビットよりも長い RSA キーを生成する必要があります。これを行うには、crypto key generate rsa general-keys exportable label name コマンドを使用します。

クライアントが認証状態で停止する可能性があるため、RADIUS サーバーおよび RADIUS サーバーグループで key-wrap オプションを設定しないでください。

ステップ 5

address {ipv4 | ipv6} ip address {auth-port port-number | acct-port port-number }

例:

Device(config-radius-server)# address ipv4 124.3.50.62 auth-port 1112 acct-port 1113

Device(config-radius-server)# address ipv6 2001:DB8:0:20::15 auth-port 1812 acct-port 1813

RADIUS サーバーのプライマリパラメータを指定します。

ステップ 6

key string

例:

Device(config-radius-server)# key test123

デバイスと RADIUS サーバー上で動作する RADIUS デーモンとの間で使用される認証および暗号キーを指定します。

（注）

共有秘密に使用できる最大文字数は 63 文字です。

ステップ 7

radius server server-name

例:

Device(config)# radius server Test-SERVER2

RADIUS サーバー名を指定します。

ステップ 8

address {ipv4 | ipv6} ip address {auth-port port-number | acct-port port-number }

例:

Device(config-radius-server)# address ipv4 124.3.52.62 auth-port 1112 acct-port 1113

Device(config-radius-server)# address ipv6 2001:DB8:0:21::15 auth-port 1812 acct-port 1813

RADIUS サーバーのセカンダリパラメータを指定します。

ステップ 9

key string

例:

Device(config-radius-server)# key test113

デバイスと RADIUS サーバー上で動作する RADIUS デーモンとの間で使用される認証および暗号キーを指定します。

ステップ 10

exit

例:

Device(config-radius-server)# exit

コンフィギュレーションモードに戻ります。

ステップ 11

aaa group server radius server-group

例:

Device(config)# aaa group server radius aaa_group_name

RADIUS サーバーグループの識別を作成します。

（注）

server-group はサーバーグループ名です。有効な範囲は 1 ～ 32 文字の英数字です。

ステップ 12

radius server server-name

例:

Device(config)# radius server Test-SERVER1

RADIUS サーバー名を指定します。

ステップ 13

radius server server-name

例:

Device(config-radius-server)# radius server Test-SERVER2

RADIUS サーバー名を指定します。

ステップ 14

exit

例:

Device(config-radius-server)# exit

RADIUS サーバーコンフィギュレーションモードを終了します。

ステップ 15

wireless profile flex flex-profile

例:

Device(config)# wireless profile flex default-flex-profile

新しい Flex ポリシーを作成します。

ステップ 16

local-auth radius-server-group server-group

例:

Device(config-wireless-flex-profile)# local-auth radius-server-group aaa_group_name

認証サーバーグループ名を設定します。

ステップ 17

exit

例:

Device(config-wireless-flex-profile)# exit

コンフィギュレーションモードに戻ります。

ステップ 18

wireless profile policy policy-profile

例:

Device(config)# wireless profile policy default-policy-profile

WLAN ポリシープロファイルを設定します。

ステップ 19

shutdown

例:

Device(config-wireless-policy)# shutdown

ポリシープロファイルを無効にします。

ステップ 20

no central authentication

例:

Device(config-wireless-policy)# no central authentication

中央（コントローラ）認証を無効にします。

ステップ 21

vlan-id vlan-id

例:

Device(config-wireless-policy)# vlan-id 54

VLAN 名または VLAN ID を設定します。

ステップ 22

no shutdown

例:

Device(config-wireless-policy)# no shutdown

設定を有効にします。

設定例：中央およびローカル認証による FlexConnect

FlexConnect の中央およびローカル認証用にコントローラを設定する例については、『FlexConnect Configuration with Central and Local Authentication on Catalyst 9800 Wireless Controllers』を参照してください。

FlexConnect のための NAT-PAT

中央の DHCP サーバーを使用してリモートサイト間でクライアントにサービスを提供する場合は、NAT-PAT を有効にする必要があります。

AP は、クライアントから着信するトラフィックを変換し、クライアントの IP アドレスを自身の IP アドレスに置き換えます。

（注）

NAT と PAT を有効にするには、（ipv4 dhcp required）コマンドを使用して、ローカルスイッチング、中央の DHCP、および DHCP Required を有効にする必要があります。

WLAN またはリモート LAN 用の NAT-PAT の設定

WLAN の作成

WLAN を作成するには、ここに記載されている手順に従います。

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan wlan-demo 1 ssid-demo

WLAN コンフィギュレーションサブモードを開始します。

wlan-name：プロファイル名を入力します。入力できる範囲は英数字で 1 ～ 32 文字です。
wlan-id：WLAN ID を入力します。範囲は 1 ～ 512 です。
SSID-name：この WLAN に対する Service Set Identifier（SSID）を入力します。SSID を指定しない場合、WLAN プロファイル名は SSID として設定されます。

（注）

すでに WLAN を設定している場合は、wlan wlan-name コマンドを入力します。

ステップ 3

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN をシャットダウンします。

ステップ 4

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバルコンフィギュレーションモードを終了できます。

ワイヤレスプロファイルポリシーと NAT-PAT の設定（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [Policy] を選択します。
ステップ 2	[Add] をクリックします。
ステップ 3	[General] タブで、ポリシーの [Name] を入力します。
ステップ 4	[Central Switching] トグルボタンを無効にします。
ステップ 5	[Central DHCP] トグルボタンを有効にします。
ステップ 6	[Flex NAT/PAT] トグルボタンを有効にします。
ステップ 7	[Advanced] タブの [DHCP] 設定で、[IPv4 DHCP Required] チェックボックスをオンにします。
ステップ 8	[Apply to Device] をクリックします。

ワイヤレスプロファイルポリシーと NAT-PAT の設定

ワイヤレスプロファイルポリシーと NAT-PAT を設定するには、次の手順に従います。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless profile policy `profile-policy` 例: `Device(config)# wireless profile policy nat-enabled-policy`	NAT のポリシープロファイルを設定します。
ステップ 3	no central switching 例: `Device(config-wireless-policy)# no central switching`	WLAN をローカルスイッチング用に設定します。
ステップ 4	ipv4 dhcp required 例: `Device(config-wireless-policy)# ipv4 dhcp required`	WLAN の DHCP パラメータを設定します。
ステップ 5	central dhcp 例: `Device(config-wireless-policy)# central dhcp`	ローカルにスイッチされるクライアントの中央 DHCP を設定します。
ステップ 6	flex nat-pat 例: `Device(config-wireless-policy)# flex nat-pat`	NAT-PAT を有効にします。
ステップ 7	no shutdown 例: `Device(config-wireless-policy)# no shutdown`	ポリシープロファイルを有効にします。
ステップ 8	end 例: `Device(config-wireless-policy)# end`	特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバルコンフィギュレーションモードを終了できます。

ポリシープロファイルへの WLAN のマッピング

WLAN をポリシープロファイルにマッピングするには、次の手順に従います。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless tag policy `policy-tag-name` 例: `Device(config)# wireless tag policy demo-tag`	ポリシータグを設定し、ポリシータグコンフィギュレーションモードを開始します。
ステップ 3	wlan `wlan-name` policy `profile-policy-name` 例: `Device(config-policy-tag)# wlan wlan-demo policy nat-enabled-policy`	ポリシープロファイルを WLAN プロファイルにマッピングします。
ステップ 4	end 例: `Device(config-policy-tag)# end`	特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバルコンフィギュレーションモードを終了できます。

サイトタグの設定

サイトタグを設定するには、次の手順に従います。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless tag site `site-name` 例: `Device(config)# wireless tag site flex-site`	サイトタグを設定し、サイトタグコンフィギュレーションモードを開始します。
ステップ 3	no local-site 例: `Device(config-site-tag)# no local-site`	アクセスポイントを FlexConnect モードに移行します。
ステップ 4	end 例: `Device(config-site-tag)# end`	特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバルコンフィギュレーションモードを終了できます。

アクセスポイントへのポリシータグとサイトタグの付加（GUI）

手順

ステップ 1	[Configuration] > [Wireless] > [Access Points]を選択します。
ステップ 2	[Access Point] の名前をクリックします。
ステップ 3	[Tags] セクションに移動します。
ステップ 4	[Policy] ドロップダウンリストから [Policy Tag] を選択します。
ステップ 5	[Site] ドロップダウンリストから [Site Tag] を選択します。
ステップ 6	[Update and Apply to Device] をクリックします。

アクセスポイントへのポリシータグとサイトタグの付加

ポリシータグとサイトタグをアクセスポイントに付加するには、次の手順に従います。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	ap `mac-address` 例: `Device(config)# ap F866.F267.7DFB`	Cisco AP を設定し、ap-tag コンフィギュレーションモードを開始します。
ステップ 3	policy-tag `policy-tag-name` 例: `Device(config-ap-tag)# policy-tag demo-tag`	ポリシータグを AP にマッピングします。
ステップ 4	site-tag `site-tag-name` 例: `Device(config-ap-tag)# site-tag flex-site`	サイトタグを AP にマッピングします。
ステップ 5	end 例: `Device(config-ap-tag)# end`	特権 EXEC モードに戻ります。

FlexConnect のスプリットトンネリング

中央でスイッチされる WLAN に関連付けられた WAN リンクに接続するクライアントが、ローカルサイトに存在するデバイスにトラフィックを送信する必要がある場合は、そのトラフィックを CAPWAP 経由でコントローラに送信する必要があります。すると、同じトラフィックが CAPWAP 経由で、または何らかの帯域外の接続を利用してローカルサイトに送り返されます。

このプロセスでは WAN リンクの帯域幅が無駄に消費されます。この問題を回避するため、スプリットトンネリング機能を使用できます。これは、クライアントから送信されるトラフィックをパケットの内容に基づいて分類できるようにする機能です。一致するパケットはローカルでスイッチされ、残りのトラフィックは中央でスイッチされます。ローカルサイトに存在するデバイスの IP アドレスと一致するクライアントによって送信されるトラフィックを、ローカルでスイッチされるトラフィックとして分類し、残りのトラフィックを中央でスイッチされるトラフィックとして分類できます。

AP でローカルのスプリットトンネリングを設定するには、（ipv4 dhcp required）コマンドを使用して、ポリシープロファイルで DCHP Required が有効になっていることを確認します。これにより、スプリット WLAN に関連付けられているクライアントが DHCP を使用できるようになります。

（注）

Apple iOS クライアントでは、スプリットトンネリングを機能させるために、DHCP オファーでオプション 6（DNS）を設定する必要があります。

（注）

自動アンカー展開での FlexConnect スプリットトンネリング（FlexConnect の VLAN ベースの中央スイッチング）はサポートされていません。
スプリットトンネリングは RLAN クライアントでは機能しません。RLAN で [split-tunnel] オプションが有効になっている場合、スプリットトンネル ACL によって拒否されたトラフィックは IP アドレスに基づいて変換されず、代わりにトラフィックは CAPWAP を介してコントローラに送り返されます。
URL フィルタ処理は、* や *.* などのワイルドカードの URL を使用して設定することはできません。

WLAN またはリモート LAN 用のスプリットトンネリングの設定

スプリットトンネリング用のアクセス制御リストの定義（GUI）

手順

ステップ 1	[Configuration] > [Security] > [ACL]を選択します。
ステップ 2	[Add] をクリックします。
ステップ 3	[Add ACL Setup] ダイアログボックスで、[ACL Name] を入力します。
ステップ 4	[ACL Type] ドロップダウンリストから、ACL タイプを選択します。
ステップ 5	[Rules] 設定で、[Sequence] 番号を入力し、[Action] として [permit] または [deny] を選択します。
ステップ 6	[Source Type] ドロップダウンリストから、必要な送信元タイプを選択します。送信元タイプとして [Host] を選択した場合は、[Host Name/IP] を入力する必要があります。送信元タイプとして [Network] を選択した場合は、[Source IP] アドレスと [Source Wildcard] マスクを指定する必要があります。
ステップ 7	ログが必要な場合は、[Log] チェックボックスをオンにします。
ステップ 8	[Add] をクリックします。
ステップ 9	残りのルールを追加し、[Apply to Device] をクリックします。

スプリットトンネリング用のアクセスコントロールリストの定義

スプリットトンネリング用のアクセスコントロールリスト（ACL）を定義するには、次の手順に従います。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	ip access-list extended `name` 例: `Device(config)# ip access-list extended split_mac_acl`	名前を使用して拡張 IPv4 アクセスリストを定義し、アクセスリストコンフィギュレーションモードを開始します。
ステップ 3	deny ip any host `hostname` 例: `Device(config-ext-nacl)# deny ip any host 9.9.2.21`	トラフィックを中央でスイッチングできるようにします。
ステップ 4	permit ip any any 例: `Device(config-ext-nacl)# permit ip any any`	トラフィックをローカルでスイッチングできるようにします。
ステップ 5	end 例: `Device(config-ext-nacl)# end`	コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

定義済み ACL への ACL ポリシーのリンク

定義した ACL に ACL ポリシーをリンクするには、次の手順に従います。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless profile flex `flex-profile` 例: `Device(config)# wireless profile flex flex-profile`	flex プロファイルを設定し、flex プロファイルコンフィギュレーションモードを開始します。
ステップ 3	acl-policy `acl policy name` 例: `Device(config-wireless-flex-profile)# acl-policy split_mac_acl`	ACL ポリシーを、定義した ACL 用に設定します。
ステップ 4	end 例: `Device(config-wireless-flex-profile)# end`	コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

WLAN の作成

WLAN を作成するには、次の手順に従います。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wlan `wlan-name wlan-id SSID-name` 例: `Device(config)# wlan wlan-demo 1 ssid-demo`	WLAN の名前と ID を指定します。 wlan-name：プロファイル名を入力します。入力できる範囲は英数字で 1 ～ 32 文字です。 wlan-id：WLAN ID を入力します。範囲は 1 ～ 512 です。 SSID-name：この WLAN に対する Service Set Identifier（SSID）を入力します。SSID を指定しない場合、WLAN プロファイル名は SSID として設定されます。
ステップ 3	no shutdown 例: `Device(config-wlan)# no shutdown`	WLAN を有効にします。
ステップ 4	end 例: `Device(config-wlan)# end`	特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバルコンフィギュレーションモードを終了できます。

ワイヤレスプロファイルポリシーとスプリット MAC ACL 名の設定（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [Policy] を選択します。
ステップ 2	[Add] をクリックします。
ステップ 3	[General] タブで、ポリシーの [Name] を入力します。
ステップ 4	[Central Switching] トグルボタンを有効にします。
ステップ 5	[Central DHCP] トグルボタンを有効にします。
ステップ 6	[Advanced] タブの [DHCP] 設定で、[IPv4 DHCP Required] チェックボックスをオンにして、[DHCP Server IP Address] を入力します。
ステップ 7	[WLAN Flex Policy] 設定で、[Split MAC ACL] ドロップダウンリストからスプリット MAC ACL を選択します。
ステップ 8	[Apply to Device] をクリックします。

ワイヤレスプロファイルポリシーとスプリット MAC ACL 名の設定

ワイヤレスプロファイルポリシーとスプリット MAC ACL 名を設定するには、次の手順に従います。

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wireless profile policy profile-policy

例:

Device(config)# wireless profile policy split-tunnel-enabled-policy

WLAN ポリシープロファイルを設定し、ワイヤレスポリシーコンフィギュレーションモードを開始します。

ステップ 3

flex split-mac-acl split-mac-acl-name

例:

Device(config-wireless-policy)# flex split-mac-acl split_mac_acl

スプリット MAC ACL 名を設定します。

（注）

flex とポリシープロファイルのリンクには、同じ ACL 名を使用する必要があります。

ステップ 4

central switching

例:

Device(config-wireless-policy)# central switching

WLAN を中央スイッチング用に設定します。

ステップ 5

central dhcp

例:

Device(config-wireless-policy)# central dhcp

中央でスイッチされるクライアント用に中央の DHCP を有効にします。

ステップ 6

ipv4 dhcp required

例:

Device(config-wireless-policy)# ipv4 dhcp required

WLAN の DHCP パラメータを設定します。

ステップ 7

ipv4 dhcp server ip_address

例:

Device(config-wireless-policy)# ipv4 dhcp server 9.1.0.100

DHCP サーバーのオーバーライド IP アドレスを設定します。

ステップ 8

no shutdown

例:

Device(config-wireless-policy)# no shutdown

ポリシープロファイルを有効にします。

ポリシープロファイルへの WLAN のマッピング（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [Tags]を選択します。
ステップ 2	[Add] をクリックします。
ステップ 3	タグポリシーの [Name] を入力します。
ステップ 4	[WLAN-POLICY Maps] タブで [Add] をクリックします。
ステップ 5	[WLAN Profile] ドロップダウンリストから、WLAN プロファイルを選択します。
ステップ 6	[Policy Profile] ドロップダウンリストから、ポリシープロファイルを選択します。
ステップ 7	[Tick] アイコンをクリックします。
ステップ 8	[Apply to Device] をクリックします。

ポリシープロファイルへの WLAN のマッピング

WLAN をポリシープロファイルにマッピングするには、次の手順に従います。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless tag policy `policy-tag-name` 例: `Device(config)# wireless tag policy split-tunnel-enabled-tag`	ポリシータグを設定し、ポリシータグコンフィギュレーションモードを開始します。
ステップ 3	wlan `wlan-name` policy `profile-policy-name` 例: `Device(config-policy-tag)# wlan wlan-demo policy split-tunnel-enabled-policy`	ポリシープロファイルを WLAN プロファイルにマッピングします。
ステップ 4	end 例: `Device(config-policy-tag)# end`	特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバルコンフィギュレーションモードを終了できます。

サイトタグの設定

サイトタグを設定するには、次の手順に従います。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless tag site `site-name` 例: `Device(config)# wireless tag site flex-site`	サイトタグを設定し、サイトタグコンフィギュレーションモードを開始します。
ステップ 3	no local-site 例: `Device(config-site-tag)# no local-site`	ローカルサイトはサイトタグでは設定しません。
ステップ 4	flex-profile `flex-profile-name` 例: `Device(config-site-tag)# flex-profile flex-profile`	Flex プロファイルを設定します。
ステップ 5	end 例: `Device(config-site-tag)# end`	特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバルコンフィギュレーションモードを終了できます。

アクセスポイントへのポリシータグとサイトタグの付加

ポリシータグとサイトタグをアクセスポイントに付加するには、次の手順に従います。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	ap `ethernet-mac-address` 例: `Device(config)# ap 188b.9dbe.6eac`	AP を設定し、AP タグコンフィギュレーションモードを開始します。
ステップ 3	policy-tag `policy-tag-name` 例: `Device(config-ap-tag)# policy-tag split-tunnel-enabled-tag`	ポリシータグを AP にマッピングします。
ステップ 4	site-tag `site-tag-name` 例: `Device(config-ap-tag)# site-tag flex-site`	サイトタグを AP にマッピングします。
ステップ 5	end 例: `Device(config-ap-tag)# end`	特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバルコンフィギュレーションモードを終了できます。

VLAN ベースの FlexConnect 用中央スイッチング

FlexConnect ローカルスイッチングでは、VLAN 定義がアクセスポイントで使用できない場合、対応するクライアントはトラフィックを通過させません。このシナリオは、AAA サーバーがクライアント認証の一部として VLAN を返す場合に適用されます。

WLAN が flex でローカルにスイッチングされ、AP 側で VLAN が設定されている場合、トラフィックはローカルにスイッチングされます。AP で VLAN が定義されていない場合、VLAN はパケットをドロップします。

VLAN ベースの中央スイッチングが有効になっている場合、対応する AP はトンネリングを通じてトラフィックをコントローラに送り返します。その後、コントローラはトラフィックを対応する VLAN に転送します。

（注）

VLAN ベースの中央スイッチングの場合は、VLAN がコントローラで定義されていることを確認します。
VLAN ベースの中央スイッチングは MAC フィルタではサポートされていません。
ローカルスイッチングの場合は、VLAN がポリシープロファイルと FlexConnect プロファイルで定義されていることを確認します。
Flex プロファイルで中央 Web 認証が有効になっている VLAN ベースの中央スイッチングはサポートされていません。

VLAN ベースの中央スイッチングの設定（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [Policy] を選択します。
ステップ 2	ポリシープロファイルの名前をクリックします。
ステップ 3	[Edit Policy Profile] ウィンドウで、次のタスクを実行します。 [Central Switching] を [Disabled] 状態に設定します。 [Central DHCP] を [Disabled] 状態に設定します。 [Central Authentication] を [Enabled] 状態に設定します。
ステップ 4	[Advanced] タブをクリックします。
ステップ 5	[AAA Policy] で、[Allow AAA Override] チェックボックスをオンにして、AAA オーバーライドを有効にします。
ステップ 6	[WLAN Flex Policy] で、[VLAN Central Switching] チェックボックスをオンにして、ポリシープロファイルで VLAN ベースの中央スイッチングを有効にします。
ステップ 7	[Update & Apply to Device] をクリックします。

VLAN ベースの中央スイッチングの設定（CLI）

VLAN ベースの中央スイッチングを設定するには、次の手順に従います。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless profile policy `profile-policy` 例: `Device(config)# wireless profile policy default-policy-profile`	ワイヤレスポリシープロファイルを設定します。
ステップ 3	no central switching 例: `Device(config-wireless-policy)# no central switching`	WLAN をローカルスイッチング用に設定します。
ステップ 4	no central dhcp 例: `Device(config-wireless-policy)# no central dhcp`	ローカル DHCP モードを設定します。このモードでは、DHCP が AP で実行されます。
ステップ 5	central authentication 例: `Device(config-wireless-policy)# central authentication`	WLAN を中央認証用に設定します。
ステップ 6	aaa-override 例: `Device(config-wireless-policy)# aaa-override`	AAA ポリシーのオーバーライドを設定します。
ステップ 7	flex vlan-central-switching 例: `Device(config-wireless-policy)# flex vlan-central-switching`	VLAN ベースの中央スイッチングを設定します。
ステップ 8	end 例: `Device(config-wireless-policy)# end`	特権 EXEC モードに戻ります。
ステップ 9	show wireless profile policy detailed `default-policy-profile` 例: `Device# show wireless profile policy detailed default-policy-profile`	（任意）ポリシープロファイルの詳細情報を表示します。

FlexConnect の OfficeExtend アクセスポイント

Cisco OfficeExtend アクセスポイント（OEAP）は、コントローラからリモートロケーションの Cisco AP へのセキュア通信を提供して、インターネットを通じて会社の WLAN を従業員の自宅にシームレスに拡張します。ホームオフィスにおけるユーザーの使用感は、会社のオフィスとまったく同じです。アクセスポイントとコントローラの間の Datagram Transport Layer Security（DTLS）による暗号化は、すべての通信のセキュリティを最高レベルにします。

（注）

コントローラ IP を、OEAP を使用したゼロタッチ展開用に事前に構成してください。他のすべてのホームユーザーは、AP からローカル SSID を設定することで、同じアクセスポイントを使用して自宅用に接続できます。

（注）

Cisco IOS XE Amsterdam 17.3.2 より前のリリースでは、AP が OEAP に変換されると、AP のローカル DHCP サーバーがデフォルトで有効になります。ホームルータの DHCP サーバーが同様の設定になっている場合、ネットワークの競合が発生し、AP はコントローラに再参加できなくなります。このようなシナリオでは、OEAP GUI を使用して、Cisco AP のデフォルト DHCP サーバーを変更することを推奨します。

（注）

OEAP で、OEAP GUI から無線ステータス、無線インターフェイスステータス、802.11 n モード、802.11 ac モード、帯域幅、およびチャネル選択（2.4 GHz または 5 GHz）の設定変更が行われた場合、CAPWAP を再起動して AP とコントローラの間で設定を同期させる必要があります。この間、AP がコントローラに再参加するまで、AP GUI が応答しない場合があります。OEAP GUI からさらに変更を加える前に、AP がコントローラに再参加するまで（約 1 〜 2 分）待つことを推奨します。

（注）

Cisco OfficeExtend アクセスポイント（Cisco OEAP）では、OEAP ローカル DHCP サーバーが有効になっていて、ユーザーが OEAP GUI から DNS IP を設定すると、Cisco OEAP に接続されているワイヤレスおよび有線クライアントは、DHCP ACK でその IP を DNS サーバー IP として受信します。

OfficeExtend アクセスポイントの設定

OfficeExtend アクセスポイントを設定するには、次の手順に従います。

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wireless profile flex flex-profile-name

例:

Device(config)# wireless profile flex test

ワイヤレス flex プロファイルを設定し、ワイヤレス flex プロファイルコンフィギュレーションモードを開始します。

ステップ 3

office-extend

例:

Device(config-wireless-flex-profile)# office-extend

FlexConnect AP の OfficeExtend AP モードを有効にします。

ステップ 4

end

例:

Device(config-wireless-flex-profile)# end

コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

（注）

flex プロファイルを作成した後、OEAP が flex connect モードであり、対応するサイトタグにマッピングされていることを確認します。

OfficeExtend は、デフォルトでは無効になっています。アクセスポイントの設定をクリアして工場出荷時のデフォルト設定に戻すには、clear ap config cisco-ap コマンドを入力します。

OfficeExtend アクセスポイントの無効化

OfficeExtend アクセスポイントを無効にするには、次の手順に従います。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless profile flex `flex-profile-name` 例: `Device(config)# wireless profile flex test`	ワイヤレス flex プロファイルを設定し、ワイヤレス flex プロファイルコンフィギュレーションモードを開始します。
ステップ 3	no office-extend 例: `Device(config-wireless-flex-profile)# no office-extend`	FlexConnect AP の OfficeExtend AP モードを無効にします。
ステップ 4	end 例: `Device(config-wireless-flex-profile)# end`	コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

OEAP パーソナル SSID のサポート

OEAP パーソナル SSID サポートについて

Cisco OfficeExtend アクセスポイントでは、パーソナル SSID がサポートされます。これにより、ローカルホームクライアントはローカルネットワークおよびインターネットの接続に同じ OfficeExtend アクセスポイントを使用できます。OEAP パーソナル SSID 機能では、GUI の AP プロファイルページのノブを使用して、パーソナル SSID の有効化または無効化、アクセスポイントとコントローラ間の Datagram Transport Layer Security（DTLS）暗号化の有効化または無効化、および不正検知の有効化を行うことができます。ローカルネットワークアクセスと DTLS 暗号化は、デフォルトで有効になっています。この章で説明する設定は、OEAP または OEAP モードの AP に適用できます。

OEAP パーソナル SSID の設定（GUI）

手順

ステップ 1

[Configuration] > [AP Tags & Profiles] > [AP Join] を選択します。

[AP Join Profile] セクションには、すべての AP 参加プロファイルが表示されます。

ステップ 2

AP 参加プロファイルの設定の詳細を編集するには、OEAP モードで AP を選択します。

[Edit AP Join Profile] ウィンドウが表示されます。

ステップ 3

[General] タブの [OfficeExtend AP Configuration] セクションで、次を設定します。

[Local Access] チェックボックスをオンにして、ローカルネットワークを有効にします。デフォルトでは、[Local Access] は有効になっています。ローカルアクセスが有効になっている AP 参加プロファイルを使用して AP がコントローラに参加すると、AP はデフォルトのパーソナル SSID をブロードキャストしません。ローカルアクセスが有効になっているため、AP GUI にログインしてパーソナル SSID を設定できます。
[Link Encryption] チェックボックスをオンにして、データ DTLS を有効にします。デフォルトでは、[Link Encryption] は有効になっています。
[Rogue Detection] チェックボックスをオンにして、不正 AP 検知を有効にします。家庭の環境で展開される AP は大量の不正デバイスを検出する可能性が高いため、OfficeExtend AP では不正検出はデフォルトで無効です。

OEAP パーソナル SSID の設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	ap profile `ap-profile` 例: `Device(config)# ap profile ap-profile`	AP プロファイルを設定し、AP プロファイルコンフィギュレーションモードを開始します。
ステップ 3	[no] oeap local-access 例: `Device(config-ap-profile)# oeap local-access`	AP へのローカルアクセスを有効にします。ローカルアクセスは、ローカル AP GUI、LAN ポート、およびパーソナル SSID で構成されます。このコマンドの no 形式を使用すると、この機能が無効化されます。ローカルアクセスが無効になっている場合、AP GUI にアクセスできず、ローカル LAN ポートが無効になり、パーソナル SSID はブロードキャストされません。
ステップ 4	[no] oeap link-encryption 例: `Device(config-ap-profile)# oeap link-encryption`	OEAP AP または OEAP モードに移行する AP の DTLS 暗号化を有効にします。このコマンドの no 形式を使用すると、この機能が無効化されます。この機能は、デフォルトで有効化されています。
ステップ 5	[no] oeap rogue-detection 例: `Device(config-ap-profile)# no oeap rogue-detection`	AP プロファイルコンフィギュレーションモードで OEAP DTLS 暗号化を有効にします。この機能はデフォルトで無効に設定されています。

OEAP パーソナル SSID 設定の表示

OEAP パーソナル SSID 設定を表示するには、次のコマンドを実行します。

Device# show ap profile name default-ap-profile detailed
.
.
.
OEAP Mode Config
Link Encryption : ENABLED
Rogue Detection : DISABLED
Local Access : ENABLED

OfficeExtend アクセスポイントからの個人用 SSID のクリア

アクセスポイントから個人用 SSID をクリアするには、次のコマンドを実行します。

ap name Cisco_AP clear-personal-ssid

例：OfficeExtend 設定の表示

次に、OfficeExtend 設定を表示する例を示します。


Device# show ap config general

Cisco AP Name   : ap_name
=================================================

Cisco AP Identifier                             : 70db.986d.a860
Country Code                                    : Multiple Countries : US,IN
Regulatory Domain Allowed by Country            : 802.11bg:-A   802.11a:-ABDN
AP Country Code                                 : US  - United States
AP Regulatory Domain
  Slot 0                                        : -A
  Slot 1                                        : -D
MAC Address                                     : 002c.c899.7b84
IP Address Configuration                        : DHCP
IP Address                                      : 9.9.48.51
IP Netmask                                      : 255.255.255.0
Gateway IP Address                              : 9.9.48.1
CAPWAP Path MTU                                 : 1485
Telnet State                                    : Disabled
SSH State                                       : Disabled
Jumbo MTU Status                                : Disabled
Cisco AP Location                               : default location
Site Tag Name                                   : flex-site
RF Tag Name                                     : default-rf-tag
Policy Tag Name                                 : split-tunnel-enabled-tag
AP join Profile                                 : default-ap-profile
Primary Cisco Controller Name                   : uname-controller
Primary Cisco Controller IP Address             : 9.9.48.34
Secondary Cisco Controller Name                 : uname-controller1
Secondary Cisco Controller IP Address           : 0.0.0.0
Tertiary Cisco Controller Name                  : uname-ewlc2
Tertiary Cisco Controller IP Address            : 0.0.0.0
Administrative State                            : Enabled
Operation State                                 : Registered
AP Mode                                         : FlexConnect
AP Submode                                      : Not Configured
Office Extend Mode                              : Enabled
Remote AP Debug                                 : Disabled
Logging Trap Severity Level                     : information
Software Version                                : 16.8.1.1
Boot Version                                    : 1.1.2.4
Mini IOS Version                                : 0.0.0.0
Stats Reporting Period                          : 0
LED State                                       : Enabled
PoE Pre-Standard Switch                         : Disabled
PoE Power Injector MAC Address                  : Disabled
Power Type/Mode                                 : PoE/Full Power (normal mode)

プロシキ ARP

プロキシ Address Resolution Protocol（ARP）は、プロキシデバイスを介して MAC アドレスを学習するための最も一般的な方法です。Cisco Catalyst 9800 シリーズワイヤレスコントローラで ARP キャッシングと呼ばれるプロキシ ARP を有効にすると、クライアントを所有する AP が ARP 要求の宛先になり、そのクライアントに代わって応答するため、ARP 要求を無線でクライアントに送信しません。送信先クライアントを所有せず、有線接続を介して ARP 要求を受信するアクセスポイントは、この ARP 要求をドロップします。ARP キャッシングが無効になっている場合、AP は有線からワイヤレスへ、およびその逆に ARP 要求をブリッジし、ワイヤレスでの通信時間とブロードキャストを増加させます。

AP は ARP プロキシとして動作し、ワイヤレスクライアントの代わりに ARP 要求に応答します。

FlexConnect AP 用のプロキシ ARP の有効化（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [Flex]を選択します。
ステップ 2	[Add] をクリックします。
ステップ 3	[General] タブで、Flex プロファイルの [Name] を入力し、[ARP Caching] チェックボックスをオンにします。名前には、32 ～ 126 文字の ASCII 文字を使用できます（先頭と末尾のスペースはなし）。
ステップ 4	[Apply to Device] をクリックします。

FlexConnect AP 用のプロキシ ARP の有効化

FlexConnect AP 用にプロキシ ARP を設定するには、次の手順に従います。

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wireless profile flex flex-policy

例:

Device(config)# wireless profile flex flex-test

WLAN ポリシープロファイルを設定し、ワイヤレス flex プロファイルコンフィギュレーションモードを開始します。

ステップ 3

arp-caching

例:

Device(config-wireless-flex-profile)# arp-caching

ARP キャッシングを有効にします。

（注）

ARP キャッシングを無効にするには、no arp-caching コマンドを使用します。

ステップ 4

end

例:

Device(config-wireless-flex-profile)# end

特権 EXEC モードに戻ります。

ステップ 5

show running-config | section wireless profile flex

例:

Device# show running-config | section wireless profile flex

ARP 設定情報を表示します。

ステップ 6

show wireless profile flex detailed flex-profile-name

例:

Device# show wireless profile flex detailed flex-test

（任意）flex プロファイルの詳細情報を表示します。

ステップ 7

show arp summary

例:

Device# show arp summary

（任意）ARP のサマリーを表示します。

Flex 導入での重複クライアント IP アドレスの概要

Flex 導入では、同じサブネットで設定されたローカル DHCP サーバーも含む、サイトとブランチ全体で共通の設定を使用できます。このトポロジでは、コントローラは IP THEFT と同じ IP を持つ複数のクライアントセッションを検出し、クライアントはブロックリストに入れられます。

Flex 導入機能での重複クライアント IP アドレスは、さまざまな Flex サイト間で重複 IP アドレスを提供し、Flex 導入でサポートされるすべての機能を提供します。

Flex 導入での重複クライアント IP アドレスの有効化（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [Flex] を選択し、[Add] をクリックします。
ステップ 2	[Add Flex Profile] ウィンドウと [General] タブをクリックします。
ステップ 3	[IP Overlap] チェックボックスをオンにして、Flex 導入での重複クライアント IP アドレスを有効にします。
ステップ 4	[Apply to Device] をクリックします。

Flex 導入での重複クライアント IP アドレスの有効化

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wireless profile flex flex-profile

例:

Device(config)# wireless profile flex flex1

Flex プロファイルを設定し、Flex プロファイルコンフィギュレーションモードを開始します。

ステップ 3

[no] ip overlap

例:

Device(config-wireless-flex-profile)# [no] ip overlap

Flex 導入での重複クライアント IP アドレスを有効にします。

（注）

デフォルトでは、この設定は無効になっています。

Flex 導入での重複クライアント IP アドレスの確認（GUI）

手順

ステップ 1	[Monitoring] > [Wireless] > [Clients] を選択します。
ステップ 2	表のクライアントをクリックして、各クライアントのプロパティと統計を表示します。
ステップ 3	[Client] ウィンドウの [General] タブで、[Client Statistics] タブをクリックして、次の詳細を表示します。クライアントから受信したバイト数クライアントに送信されたバイト数クライアントから受信したパケット数クライアントに送信されたパケット数ポリシーエラーの数無線信号強度インジケータ信号対雑音比 IP とゾーン ID のマッピング
ステップ 4	[OK] をクリックします。

Flex 導入での重複クライアント IP アドレスの確認

Flex 導入機能で重複クライアント IP アドレスが有効かどうかを確認するには、次のコマンドを使用します。

Device# show wireless profile flex detailed flex1
Fallback Radio shut            : DISABLED
ARP caching                    : ENABLED
Efficient Image Upgrade        : ENABLED
OfficeExtend AP                : DISABLED
Join min latency               : DISABLED
IP overlap status              : DISABLED

Flex 導入機能で重複クライアント IP アドレスに関する追加の詳細を表示するには、次のコマンドを使用します。

Device# show wireless device-tracking database ip

IP                                            ZONE-ID       STATE      DISCOVERY   MAC
----------------------------------------------------------------------------------------------
  9.91.59.154                                 0x00000002  Reachable   IPv4 Packet 6038.e0dc.3182 
  1000:1:2:3:90d8:dd1a:11ab:23c0              0x00000002  Reachable   IPv6 Packet 58ef.680d.c6c3 
  1000:1:2:3:f9b5:3074:d0da:f93b              0x00000002  Reachable   IPv6 Packet 58ef.680d.c6c3 
  2001:9:3:59:90d8:dd1a:11ab:23c0             0x00000002  Reachable   IPv6 NDP    58ef.680d.c6c3 
  2001:9:3:59:f9b5:3074:d0da:f93b             0x00000002  Reachable   IPv6 NDP    58ef.680d.c6c3 
  fe80::f9b5:3074:d0da:f93b                   0x80000001  Reachable   IPv6 NDP    58ef.680d.c6c3

さまざまなサイトタグの AP を表示するには、次のコマンドを使用します。

Device# show ap tag summary
Number of APs: 5

AP Name AP Mac Site Tag Name Policy Tag Name RF Tag Name Misconfigured Tag Source
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
AP3802 70b3.17f6.37aa flex_ip_overlap-site-tag-auto-3 flex_ip_overlap_policy_tag_1 default-rf-tag No Static
AP-9117AX 0cd0.f894.0f8c default-site-tag default-policy-tag default-rf-tag No Default
AP1852JJ9 38ed.18ca.2b48 flex_ip_overlap-site-tag-auto-2 flex_ip_overlap_policy_tag_2 default-rf-tag No Static
AP1852I 38ed.18cc.61c0 flex_ip_overlap-site-tag-auto-1 flex_ip_overlap_policy_tag_1 default-rf-tag No Static
AP1542JJ9 700f.6a84.1b30 flex_ip_overlap-site-tag-auto-2 flex_ip_overlap_policy_tag_2 default-rf-tag No Static

FlexConnect モードの AP を表示するには、次のコマンドを使用します。


Device# show ap status
AP Name     Status      Mode        Country
-------------------------------------------------------------------------
AP3802      Disabled   FlexConnect   IN
AP1852I     Enabled    FlexConnect   US
AP-9117AX   Enabled    FlexConnect   IN
AP1542JJ9   Disabled   FlexConnect   US
AP1852JJ9   Enabled    FlexConnect   US

Flex 導入での重複クライアント IP アドレスのトラブルシューティング

各 AP の WNCD インスタンスを確認するには、次のコマンドを使用します。


Device# show wireless loadbalance ap affinity wncd 0
AP Mac          Discovery Timestamp    Join Timestamp          Tag
---------------------------------------------------------------------------------
0cd0.f894.0f8c   10/27/20 22:11:05    10/27/20 22:11:14    default-site-tag
38ed.18ca.2b48   10/27/20 22:06:09    10/27/20 22:06:19    flex_ip_overlap-site-tag-auto-2
700f.6a84.1b30   10/27/20 22:25:03    10/27/20 22:25:13    flex_ip_overlap-site-tag-auto-2

FlexConnect ハイスケールモードについて

この機能では、FlexConnect サイトキャパシティをスケールアップして、サイトあたり 300 の AP と 3000 の 802.1x クライアントに対応することができます。FlexConnect サイト機能は、ペアワイズマスターキー（PMK）オプションを使用して、クライアントローミングの実行中に拡張可能認証プロトコル（EAP）交換をスキップすることによってスケールアップされます。

クライアントが 802.1x 認証アーキテクチャで AP に関連付けられると、EAP 交換が行われ、その後、4 ウェイハンドシェイクにより暗号化キーが検証されます。PMK キャッシングを使用すると、AP は後続のクライアント参加のために EAP 交換の PMK 識別子をキャッシュすることができます。PMK キャッシングでは、EAP 交換プロセスが不要になり、認証時間プロセスが短縮されます。

PMK 伝達機能はデフォルトでは無効になっています。Cisco IOS XE Cupertino 17.7.1 までは、ワイヤレスコントローラが PMK キャッシュをサイト内のすべての FlexConnect AP にプッシュしていました。Cisco IOS XE Cupertino 17.8.1 以降では、PMK 伝達が有効になっている場合、コントローラは選択された FlexConnect AP にのみ PMK キャッシュをプッシュします。これらの FlexConnect AP は、PMK 識別子を同じサイト内の他の FlexConnect AP に転送します。

PMK 伝達の有効化（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wireless profile flex test-flex-profile

例:

Device(config)# wireless profile flex test-flex-profile

FlexConnect プロファイルを作成します。

ステップ 3

pmk propagate

例:

Device(config-wireless-flex-profile)# pmk propogate

サイト内の他の AP に PMK 情報を伝達します。

（注）

PMK 伝達機能はデフォルトでは無効になっています。

例


Device# configure terminal
Device(config)# wireless profile flex test-flex-profile
Device(config-wireless-flex-profile)# pmk propagate

Flex およびブリッジモードアクセスポイントを使用した Flex Resilient について

「Flex およびブリッジモードアクセスポイントを使用した Flex Resilient」では、Flex + ブリッジモードのアクセスポイント（AP）と Flex Resilient 機能を使用してコントローラを設定する方法について説明します。Flex Resilient 機能は、Flex + ブリッジモードの AP でのみ動作します。この機能は、RAP - MAP 間に形成されるメッシュリンクに存在し、リンクがアップ状態になり、RAP が CAPWAP コントローラへの接続を失うと、RAP と MAP の両方がトラフィックをブリッジし続けます。子メッシュ AP（MAP）は、親リンクが失われるまで、親 AP とのリンクを維持し、ブリッジし続けます。子 MAP は、CAPWAP コントローラに再接続するまで、新しい親リンクまたは子リンクを確立できません。

（注）

ローカルでスイッチされる WLAN 内の既存のワイヤレスクライアントは、このモードの AP との接続を維持することができます。新しいまたは切断されたワイヤレスクライアントは、このモードのメッシュ AP にアソシエートできません。Flex + ブリッジ MAP のクライアントトラフィックは、ローカルでスイッチされる WLAN の RAP スイッチポートでドロップされます。

Flex プロファイルの設定（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [Flex] を選択します。
ステップ 2	[Flex Profile Name] をクリックします。[Edit Flex Profile] ダイアログボックスが表示されます。
ステップ 3	[General] タブで、[Flex Resilient] チェックボックスをオンにして、Flex Resilient 機能を有効にします。
ステップ 4	[VLAN] タブで、必要な VLAN を選択します。
ステップ 5	（任意）[Local Authentication] タブで、[Local Accounting RADIUS Server Group] ドロップダウンリストから目的のサーバーグループを選択します。また、[RADIUS] チェックボックスをオンにします。
ステップ 6	[Update & Apply to Device] をクリックします。

Flex プロファイルの設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless profile flex `flex-profile` 例: `Device(config)# wireless profile flex new-flex-profile`	Flex プロファイルを設定し、Flex プロファイルコンフィギュレーションモードを開始します。
ステップ 3	arp-caching 例: `Device(config-wireless-flex-profile)# arp-caching`	ARP キャッシングを有効にします。
ステップ 4	description `description` 例: `Device(config-wireless-flex-profile)# description "new flex profile"`	Flex プロファイルのデフォルトパラメータを有効にします。
ステップ 5	native-vlan-id 例: `Device(config-wireless-flex-profile)# native-vlan-id 2660`	ネイティブの vlan-id 情報を設定します。
ステップ 6	resilient 例: `Device(config-wireless-flex-profile)# resilient`	復元機能を有効にします。
ステップ 7	vlan-name `vlan_name` 例: `Device(config-wireless-flex-profile)# vlan-name VLAN2659`	VLAN 名を設定します。
ステップ 8	vlan-id `vlan_id` 例: `Device(config-wireless-flex-profile)# vlan-id 2659`	VLAN ID を設定します。有効な VLAN ID の範囲は 1 ～ 4096 です。
ステップ 9	end 例: `Device(config-wireless-flex-profile)# end`	コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

サイトタグの設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless tag site `site-name` 例: `Device(config)# wireless tag site new-flex-site`	サイトタグを設定し、サイトタグコンフィギュレーションモードを開始します。
ステップ 3	flex-profile `flex-profile-name` 例: `Device(config-site-tag)# flex-profile new-flex-profile`	Flex プロファイルを設定します。
ステップ 4	no local-site 例: `Device(config-site-tag)# no local-site`	ローカルサイトはサイトタグでは設定しません。
ステップ 5	site-tag `site-tag-name` 例: `Device(config-site-tag)# site-tag new-flex-site`	サイトタグを AP にマッピングします。
ステップ 6	end 例: `Device(config-site-tag)# end`	コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

メッシュプロファイルの設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless profile mesh `profile-name` 例: `Device(config)# wireless profile mesh Mesh_Profile`	メッシュプロファイルを設定し、メッシュプロファイルコンフィギュレーションモードを開始します。
ステップ 3	no ethernet-vlan-transparent 例: `Device(config-wireless-profile-mesh)# no ethernet-vlan-transparent`	VLAN 透過性を無効にして、ブリッジが VLAN を認識するようにします。
ステップ 4	end 例: `Device(config-wireless-profile-mesh)# end`	コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

AP プロファイルへのワイヤレスメッシュの関連付け（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

ap profile ap-profile-name

例:

Device(config)# ap profile new-ap-join-profile

AP プロファイルを設定し、AP プロファイルコンフィギュレーションモードを開始します。

ステップ 3

mesh-profile mesh-profile-name

例:

Device(config-ap-profile)# mesh-profile Mesh_Profile

AP プロファイルコンフィギュレーションモードで、メッシュプロファイルを設定します。

ステップ 4

ssh

例:

Device(config-ap-profile)# ssh

セキュアシェル（SSH）を設定します。

ステップ 5

mgmtuser username username password {0 | 8} password

例:

Device(config-ap-profile)# mgmtuser username Cisco password 0 Cisco secret 0 Cisco

コントローラへ設定されたすべてのアクセスポイントを管理するため、AP 管理のユーザー名とパスワードを指定します。

0 ：暗号化されていないパスワードを指定します。
8 ：AES 暗号化パスワードを指定します。

（注）

ユーザー名を設定するときは、特殊文字が使用されていないことを確認してください。これは、誤った設定でエラーが発生するためです。

ステップ 6

end

例:

Device(config-ap-profile)# end

コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

アクセスポイントへのサイトタグのアタッチ（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

ap mac-address

例:

Device(config)# ap F866.F267.7DFB

Cisco AP を設定し、ap-tag コンフィギュレーションモードを開始します。

ステップ 3

site-tag site-tag-name

例:

Device(config-ap-tag)# site-tag new-flex-site

サイトタグを AP にマッピングします。

（注）

サイトタグを関連付けると、関連付けられた AP が再接続されます。

ステップ 4

end

例:

Device(config-ap-tag)# end

コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

AP のスイッチインターフェイスの設定（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

interface interface-id

例:

Device(config)# interface <int-id>

VLAN に追加するインターフェイスを入力します。

ステップ 3

switchport trunk native vlan vlan-id

例:

Device(config-if)# switchport trunk native vlan 2660

ポートがトランキングモードの場合に、許可された VLAN ID をポートに割り当てます。

ステップ 4

switchport trunk allowed vlan vlan-id

例:

Device(config-if)# switchport trunk allowed vlan 2659,2660

ポートがトランキングモードの場合に、許可された VLAN ID をポートに割り当てます。

ステップ 5

switchport mode trunk

例:

Device(config-if)# switchport mode trunk

トランキングモードを無条件に trunk に設定します。

（注）

コントローラがスパニングツリープロトコルのホストとして動作する場合は、コンバージェンスを高速化するために、アップリンクスイッチで spanning-tree portfast trunk コマンドを使用して PortFast トランクを設定してください。

ステップ 6

end

例:

Device(config-if)# end

コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

Flex およびブリッジモードアクセスポイントの設定を使用した Flex Resilient の確認

AP のモードとモデルの詳細を表示するには、次のコマンドを使用します。

Device# show ap name <ap-name> config general | inc AP Mode
AP Mode                                         : Flex+Bridge
AP Model                                        : AIR-CAP3702I-A-K9

MAP モードの詳細を表示するには、次のコマンドを使用します。

Device# show ap name MAP config general | inc AP Mode
AP Mode                                         : Flex+Bridge
AP Model                                        : AIR-CAP3702I-A-K9

RAP モードの詳細を表示するには、次のコマンドを使用します。

Device# show ap name RAP config general | inc AP Mode
AP Mode                                         : Flex+Bridge
AP Model                                        : AIR-AP2702I-A-K9

Flex プロファイル - 復元機能が有効になっているかどうかを表示するには、次のコマンドを使用します。

Device# show  wireless profile flex detailed FLEX_TAG | inc resilient
Flex resilient                 : ENABLED

WPA2 および WPA3 の FlexConnect モードでの SuiteB-1X および SuiteB-192-1X のサポートについて

FlexConnect モードでの SuiteB-192-1X および SuiteB-1X 暗号のサポート

Cisco IOS XE 17.15.1 以降、Cisco WLAN FlexConnect モードは、SuiteB-192-1X（AKM 12）および SuiteB-1X（AKM 11）の企業認証キー管理（AKM）をサポートします。これらの AKM は、ローカルモードですでにサポートされています。このセクションでは、FlexConnect モードの SuiteB-192-1X および SuiteB-1X の設定について説明し、FlexConnect ローカル認証モードおよび FlexConnect 中央認証モードでペアワイズトランスポートキー（PTK）および Group Temporal Key（GTK）導出用の Galois Counter Mode Protocol 128（GCMP-128）、GCMP-256、および Counter Cipher Mode with Block Chaining Message Authentication Code Protocol 256（CCMP-256）の暗号をサポートするための要件についても説明します。

PTK および GTK 導出時の FlexConnect モードの認証タイプと暗号

WPA2 FlexConnect モードの場合：
- SUITEB192-1X の暗号は CCMP-256 および GCMP-256 です。
- SUITEB-1X の暗号は GCMP-128 です。
WPA3 FlexConnect モードの場合：
- SUITEB192-1X の暗号は GCMP-256 です。
- SUITEB-1X の暗号は GCMP-128 です。

SuiteB 暗号の設定（GUI）

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[Add] をクリックします。

[Add WLAN] ウィンドウが表示されます。

ステップ 3

[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。

ステップ 4

[Security] > [Layer2] の順に選択し、次のいずれかのオプションを選択します。

WPA + WPA2
WPA2 + WPA3
WPA3

[Auth Key Mgmt (AKM)] セクションには、[WPA2/WPA3 Encryption] セクションで選択した暗号でサポートされている有効な AKM が入力されます。有効な暗号と AKM の組み合わせは、[Auth Key Mgmt (AKM)] セクションに表示されます。

ステップ 5

[WPA2 Encryption] セクションで、次のいずれかの暗号を選択します。

CCMP256
GCMP128
GCMP256

（注）

デフォルトでは、[AES(CCMP128)] 暗号がオンになっています。複数の暗号は現在サポートされていません。[AES(CCMP128)] 暗号のチェックボックスをオフにし、目的の暗号を選択します。

有効な暗号と AKM の組み合わせは、[Auth Key Mgmt (AKM)] セクションに表示されます。

ステップ 6

[Fast Transition] セクションおよび [Status] ドロップダウンリストから、[Disabled] を選択します。

（注）

Suite-B 暗号（GCMP256/CCMP256/GCMP128）を設定する場合、[Fast Transition] は無効にします。

ステップ 7

[Auth Key Mgmt (AKM)] セクションで、[SUITEB-1X] チェックボックスをオンにします。

ステップ 8

[Apply to Device] をクリックします。

Suite-B 暗号の設定（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wlan wlan-profile-name wlan-id ssid-name

例:

Device(config)# wlan suiteb-profile 17 suiteb-ssid01

WLAN プロファイルと SSID を設定します。WLAN コンフィギュレーションモードを開始します。

ステップ 3

security wpa wpa2 ciphers {aes | ccmp256 | gcmp128 | gcmp256}

例:

Device(config-wlan)# security wpa wpa2 ciphers aes

デフォルトで CCMP-128 サポートを設定します。

GCMP-128、GCMP-256、または CCMP-256 の設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	security wpa wpa2 例: `Device(config-wlan)# security wpa wpa2`	WLAN プロファイルの WPA2 サポートを設定します。
ステップ 2	no security wpa akm dot1x 例: `Device(config-wlan)# no security wpa akm dot1x`	802.1X のセキュリティ AKM を無効にします。
ステップ 3	no security wpa wpa2 ciphers ccmp128 例: `Device(config-wlan)# no security wpa wpa2 ciphers ccmp128`	SuiteB CCMP-128 暗号を無効にします。
ステップ 4	security wpa wpa2 ciphers {aes \| ccmp256 \| gcmp128 \| gcmp256} 例: `Device(config-wlan)# security wpa wpa2 ciphers gcmp256`	CCMP-256 暗号、GCMP-128 暗号、または GCMP-256 暗号のいずれかを設定します。
ステップ 5	security dot1x authentication-list `authlist-name` 例: `Device(config-wlan)# security dot1x authentication-list suiteb-authlist`	IEEE 802.1X の認証リストを設定します。

SuiteB 暗号ステータスの確認

WLAN プロファイルの SuiteB 暗号の確認

WLAN プロファイルの SuiteB 暗号ステータスを確認するには、次のコマンドを使用します。

Device# show wlan id 3
saurabh-vwlc#show wlan id 3
WLAN Profile Name     : FIPS
================================================
Identifier                                     : 3
Network Name (SSID)                            : FIPS
Status                                         : Enabled
.
.
.
Security
    802.11 Authentication                      : Open System
    Static WEP Keys                            : Disabled
    802.1X                                     : Disabled
    Wi-Fi Protected Access (WPA/WPA2)          : Enabled
        WPA (SSN IE)                           : Disabled
        WPA2 (RSN IE)                          : Enabled
            AES Cipher                         : Enabled
            CCMP256 Cipher                     : Enabled
            GCMP128 Cipher                     : Disabled
            GCMP256 Cipher                     : Disabled
        Auth Key Management
            802.1x                             : Enabled
            PSK                                : Disabled
            CCKM                               : Disabled
            FT dot1x                           : Disabled
            FT PSK                             : Disabled
            PMF dot1x                          : Disabled
            PMF PSK                            : Disabled
            SUITEB-1X                          : Disabled
            SUITEB192-1X                       : Enabled
.
.
.

MAC アドレスを使用した SuiteB 暗号ステータスの確認

MAC アドレスを使用して SuiteB 暗号ステータスを確認するには、次のコマンドを使用します。

Device# show wireless client mac-address H.H.H detail
Client MAC Address : a8XX.ddXX.05XX
Client IPv4 Address : 169.254.175.214
……………….
……………….
Policy Type : WPA2
Encryption Cipher : CCMP256
Authentication Key Management : SUITEB192-1X

OEAP リンクテストの機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

この機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースでも使用できます。

表 5. OEAP リンクテストの機能履歴
リリース	機能	機能情報
Cisco IOS XE Bengaluru 17.5.1	OEAP のリンクテスト	Cisco OEAP リンクテスト機能により、AP とコントローラ間のリンクの DTLS アップロード、リンク遅延、およびジッターを確認できます。

OEAP リンクテストについて

Cisco OEAP リンクテスト機能により、AP とコントローラ間のリンクの DTLS アップロード速度を確認できます。この機能は、ネットワークのボトルネックと機能障害の原因を特定するために役立ちます。オンデマンドでテストを実行することで、リンク遅延を確認できます。

リンクテストは、コントローラと OEAP モードの AP 間のリンクの品質を判断するために使用されます。AP は合成パケットをコントローラに送信し、コントローラはそれらを AP にエコーバックします。これにより、リンク品質を推定することができます。

機能のシナリオ

Cisco OfficeExtend アクセスポイント（OEAP）ユーザーから、テレワーカー AP に接続するとパフォーマンスが低下するという苦情が寄せられています。

ユースケース

この機能により、OEAP ネットワーク管理者は、OEAP リンクテストを実行することで Cisco Catalyst 9800 コントローラ GUI から低スループットをトラブルシュートすることができます。

OEAP リンクテストでは、DTLS アップロード速度、リンク遅延、およびリンクジッターが提供されます。これらはすべて、ネットワーク管理者が問題を絞り込むために役立ちます。

OEAP リンクテストの設定（CLI）

手順

コマンドまたはアクション目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを開始します。

ステップ 2

ap name ap-name network-diagnostic

例:

Device# ap name ap18 network-diagnostic

OfficeExtend AP でネットワーク診断をトリガーします。

OEAP リンクテストの実行（GUI）

手順

ステップ 1

[Monitoring] > [Wireless] > [AP Statistics] を選択します。

AP のリストでは、OEAP 対応 AP の [AP Name] 列に [Link Test] アイコンが表示されます。

（注）

[Link Test] アイコンは、AP が OEAP に対応していて、OEAP として動作するように設定されている場合にのみ表示されます。

ステップ 2

[Link Test] をクリックします。

リンクテストが実行され、結果が表示されます。

OEAP リンクテストの確認

次に、ネットワーク診断情報の確認方法の例を示します。

Device# show FlexConnect office-extend diagnostics

Summary of OfficeExtend AP Link Latency

CAPWAP Latency Heartbeat

Current: current latency (ms)
Min: minimum latency (ms)
Max: maximum latency (ms)

Link Test

Upload: DTLS Upload (Mbps)
Latency: DTLS Link Latency (ms)
Jitter: DTLS Link Jitter (ms)

AP Name Last Latency Heartbeat from AP Current Max Min Last Link Test Run Upload Latency  Jitter
----------------------------------------------------------------------------------------------------
ap-18   1 minute 1 second              0       0   0   12/04/20 09:19:48  8      2         0

Cisco OEAP スプリットトンネリングの機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

この機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。

表 6. Cisco OEAP スプリットトンネリングの機能履歴
リリース	機能	機能情報
Cisco IOS XE Cupertino 17.8.1	IPv6 のサポート	IPv6 アドレッシングは、Cisco OEAP スプリットトンネリング機能でサポートされています。
Cisco IOS XE Cupertino 17.7.1	Cisco OEAP スプリットトンネリング	Cisco OfficeExtend アクセスポイント（OEAP）のスプリットトンネリング機能は、パケットの内容を基にアクセス制御リスト（ACL）を使用してクライアントトラフィックを分類するメカニズムを提供します。

Cisco OEAP スプリットトンネリングについて

世界的なパンデミックの発生により、人々の関わり方や働き方は大きく変化しました。仕事は仕切りが設置されたオフィスではなく、自宅のデスクで行われるようになりました。これを受け、ワーカー間のシームレスなコラボレーションを可能にするアプリケーションが必要となっています。在宅ワーカーにとって、ビジネスサービスへのアクセスは、信頼性が高く、一貫性があり、安全である必要があります。オフィス施設と同様のエクスペリエンスを提供する必要があります。従来の VPN を使用してすべてのトラフィックを企業のネットワーク経由でルーティングすると、トラフィック量が増加し、リソースへのアクセスが遅くなり、リモートでのユーザー体験に悪影響を及ぼします。

Cisco OEAP は、コントローラからリモートロケーションのアクセスポイント（AP）へのセキュア通信を提供して、インターネットを通じて会社の WLAN を従業員の自宅にシームレスに拡張します。Cisco OEAP では、スプリットトンネリング機能を使用して自宅のトラフィックと企業のトラフィックのセグメンテーションを行うことができます。これにより、企業ポリシーに対するセキュリティリスクなしでホームデバイスの接続が可能になります。

スプリットトンネリングは、ACL を使用して、パケットの内容に基づいてクライアントから送信されたトラフィックを分類します。一致するパケットは Cisco OEAP からローカルにスイッチングされ、その他のパケットは CAPWAP を介して中央でスイッチングされます。CAPWAP 経由でパケットを送信することで、企業の SSID 上のクライアントは、WAN 帯域幅を消費することなく、ローカルネットワーク上のデバイス（プリンタ、パーソナル SSID 上のワイヤレスデバイスなど）と直接通信できます。

スプリットトンネリング機能を使用することで、作業ルーチンの一部として必要な Cisco Webex、Microsoft SharePoint、Microsoft Office365、Box、Dropbox などの Software as a Service（Saas）アプリケーションへのトラフィックは、企業ネットワークを通過する必要がなくなります。

Cisco OEAP は、企業 SSID とパーソナル SSID の 2 つの SSID をアドバタイズします。企業 SSID のクライアントは、企業ネットワーク内の中央 DHCP サーバーから IP アドレスを取得します。スプリットトンネリングが有効で、クライアントがホームネットワーク内のデバイスにアクセスする場合、AP はワイヤレスクライアントの企業のネットワークサブネットと、AP が配置されているホームネットワークの間で NAT（PAT）変換を実行します。

パーソナル SSID は、Cisco OEAP ユーザーが設定できます。クライアントは、ホームルータ（AP のパーソナル SSID ファイアウォールが無効になっている場合）または内部 AP DHCP サーバー（AP のパーソナル SSID ファイアウォールが有効になっている場合）から IP アドレスを取得します。後者のシナリオでは、クライアントがホームネットワークデバイスに到達する必要がある場合、AP はワイヤレスクライアントの内部ネットワークと、AP が配置されているホームネットワークの間で sNAT（PAT）変換を実行します。

IPv6 アドレスのサポート

Cisco IOS XE Cupertino 17.8.1 から、IPv6 アドレッシングがサポートされます。この機能を無効にした場合にのみ、IPv6 アドレッシングを無効にできます。

（注）

エンドツーエンドのネットワークは IPv6 をサポートする必要があります。つまり、企業のネットワーク（コントローラ、企業ゲートウェイなど）とホームネットワーク（ワイヤレスクライアント、ホームルータなど）の両方が IPv6 をサポートする必要があります。

Cisco OEAP スプリットトンネリングの前提条件

Cisco Wave 2 AP または Cisco Catalyst 9100AX シリーズアクセスポイント
スプリットトンネリングで設定された ACL 名に一致する URL フィルタリスト

Cisco OEAP スプリットトンネリングに関する制限事項

Catalyst アクセスポイント上の Cisco Embedded Wireless Controller（EWC）がコントローラとして使用されている場合、Cisco OEAP はサポートされません。
メッシュトポロジはサポートされません。
パーソナル SSID またはホームネットワーク（AP ネイティブ VLAN）に接続されているクライアントは、企業のネットワーク上のデバイスを検出できません。
スプリットトンネリングは、スタンドアロンモードではサポートされません。
URL スプリットトンネリングは、最大で 512 個の URL のみをサポートします。
アクション（拒否または許可）は、個々のエントリに対してではなく、URL フィルタリストに対してのみ指定できます。
URL ベースの ACL にワイルドカード URL が含まれている場合、最大 10 個の URL がサポートされます。
スヌーピングされる DNS IP アドレスの数は、次のように制限されます。
- IP アドレスが 150,000 未満の場合、AP は DNS 応答ごとに 4,095 個の IP アドレスをスヌーピングできます。
- IP アドレスが 150,000 ～ 200,000 の場合、AP は DNS 応答ごとに 10 個の IP アドレスをスヌーピングできます。
- IP アドレスが 200,000 ～ 250,000 の場合、AP は DNS 応答ごとに 5 つの IP アドレスをスヌーピングできます。
- IP アドレスが 250,000 より大きい場合、AP は DNS 応答ごとに 1 つの IP アドレスをスヌーピングできます。
スプリットトンネリングの IP ACL では、最大 128 個の IP アドレス ACE（ルール）を使用できます。
URL ベースのスプリットトンネリングは、IPv4 アドレスでのみ機能します。
IPv6 アドレッシングに固有の制限事項は次のとおりです。
- マルチホーミング（複数のルータアドバタイズメントプレフィックス）はサポートされていません（ホームネットワークが複数のプレフィックスを受信した場合は、コントローラに接続されている AP で使用されているプレフィックスが使用されます）。
- ローミングはサポートされていません。
- フィルタリングは、ワイヤレスクライアントへのアップストリームトラフィックではサポートされていません。
- スプリットトンネリングは、重複する IPv6 アドレスを持つクライアントでは無効になります。これらのクライアントのトラフィックは、一元的にコントローラに転送されます。
- DHCPv6 プレフィックス委任は、ワイヤレスクライアントではサポートされていません。
- 企業のプレフィックス長がホームプレフィックス長よりも短い場合、特定のクライアントに対するスプリットトンネリングは無効になります。

Cisco OEAP スプリットトンネリングの使用例

リリース 17.7.1 より前は、スプリットトンネリングで IP ACL が使用されていました。これは、Cisco Webex などのクラウドサービスに、企業のネットワークを経由せずに直接アクセスできることを意味していました。ネットワーク管理者は Cisco Webex が使用する IP アドレスのリストを管理していましたが、これは困難な作業でした。リリース 17.7.1 以降では、Cisco OEAP スプリットトンネリング機能を使用すると、ネットワーク管理者は Cisco Webex が使用する DNS 名のみを指定する必要があります。AP は、これらの DNS 名からのトラフィックが、企業のネットワークを使用せずにインターネットに直接ルーティングされるようにします。

Cisco OEAP スプリットトンネリングの設定のワークフロー

IP アドレス ACL または URL ACL の作成
FlexConnect プロファイルへの ACL の追加
ポリシープロファイルでのスプリットトンネリングの有効化
設定の確認

IP アドレス ACL の作成（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

ip access-list extended name

例:

Device(config)# ip access-list extended vlan_oeap

名前を使用して拡張 IPv4 アクセスリストを定義します。

（注）

IP ACL は、URL ACL に一致するものがない場合のデフォルトアクションを定義するために使用できます。

ステップ 3

seq-num deny ip any host hostname

例:

Device(config-ext-nacl)# 10 deny ip any 10.10.0.0 0.0.255.255

任意のホストからの IP トラフィックを拒否します。

ステップ 4

seq-num permit ip any any hostname

例:

Device(config-ext-nacl)# 20 permit ip any any

任意の送信元または宛先ホストからの IP トラフィックを許可します。

ステップ 5

end

例:

Device(config-ext-nacl)# end

コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

URL ACL の作成（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	urlfilter list `list-name` 例: `Device(config)# urlfilter list vlan_oeap`	URL フィルタリストを設定します。リスト名は 32 文字以内の英数字にする必要があります。
ステップ 3	action permit 例: `Device(config-urlfilter-params)# action permit`	Permit（トラフィックをホームネットワーク上で直接許可）または Deny（トラフィックを企業のネットワークに転送）のアクションを設定します。
ステップ 4	filter-type post-authentication 例: `Device(config-urlfilter-params)# filter-type post-authentication`	URL リストを認証後フィルタとして設定します。
ステップ 5	url `url-name` 例: `Device(config-urlfilter-params)# url wiki.cisco.com`	URL を設定します。
ステップ 6	url `url-name` 例: `Device(config-urlfilter-params)# url example.com`	（任意）URL を設定します。複数の URL を追加する場合は、このオプションを活用します。
ステップ 7	end 例: `Device(config-urlfilter-params)# end`	コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

FlexConnect プロファイルへの ACL の追加

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wireless profile flex `flex-profile` 例: `Device(config)# wireless profile flex default-flex-profile`	FlexConnext プロファイルを設定します。
ステップ 3	acl-policy `acl-policy-name` 例: `Device(config-wireless-flex-profile)# acl-policy vlan_oeap`	ACL ポリシーを設定します。
ステップ 4	urlfilter list `url-filter` 例: `Device(config-wireless-flex-profile-acl)# urlfilter list vlan_oeap`	URL フィルタリストを設定します。
ステップ 5	exit 例: `Device(config-wireless-flex-profile-acl)# exit`	FlexConnect プロファイルコンフィギュレーションモードに戻ります。
ステップ 6	office-extend 例: `Device(config-wireless-flex-profile)# office-extend`	FlexConnect AP の OEAP モードを有効にします。
ステップ 7	end 例: `Device(config-wireless-flex-profile)# end`	コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

ポリシープロファイルのスプリットトンネリングの有効化

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wireless profile flex flex-profile

例:

Device(config)# wireless profile flex default-flex-profile

FlexConnect プロファイルを設定します。

ステップ 3

no central association

例:

Device(config-wireless-flex-profile)# no central association

中央アソシエーションを無効にし、ローカルにスイッチされたクライアントのローカルアソシエーションを有効にします。

ステップ 4

flex split-mac-acl split-mac-acl-name

例:

Device(config-wireless-flex-profile)# flex split-mac-acl vlan_oeap

スプリット MAC ACL 名を設定します。

（注）

FlexConnect プロファイルで同じ acl-policy-name を使用していることを確認します。

ステップ 5

end

例:

Device(config-wireless-flex-profile)# end

コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

Cisco OEAP スプリットトンネル設定の確認

AP 側のワイヤレスクライアントごとのスプリットトンネリング DNS ACL を確認するには、次のコマンドを使用します。

Device# show split-tunnel client 00:11:22:33:44:55 access-list     

Split tunnel ACLs for Client: 00:11:22:33:44:55

IP ACL: SplitTunnelACL

Tunnel packets Tunnel bytes NAT packets NAT bytes
             1          242           3       768

URL ACL: SplitTunnelACL

Tunnel packets Tunnel bytes NAT packets NAT bytes
             3          778           0         0

Resolved IPs for Client: 00:11:22:33:44:55 for Split tunnel

HIT-COUNT       URL             ACTION  IP-LIST

1               base1.com       deny.   20.0.1.1
                                        20.0.1.10

2               base2.com       deny.   20.0.1.2

3               base3.com       deny.   20.0.1.3

WLAN と ACL 間の現在のバインディングを確認するには、次のコマンドを使用します。

Device# show split-tunnel mapping

VAP-Id       ACL Name
    0        SplitTunnelACL

現在の URL ACL のコンテンツを確認するには、次のコマンドを使用します。

Device# show flexconnect url-acl

ACL-NAME          ACTION      URL-LIST
 
SplitTunnelACL    deny        base.com

AP 調査モード

Cisco Catalyst 9136 シリーズ AP およびその他の今後の AP モデルをお客様のサイトでのサイト調査に対して有効にするために、AP を調査モードに切り替えることができる新しい AP コマンドが導入されました。AP が調査モードの場合、AP GUI が有効になり、サイト調査の RF パラメータの設定に使用されます。

AP で調査モードを有効にするには、AP CLI から ap-type site-survey コマンドを実行します。

AP が調査モードの場合、AP GUI で次の機能が非表示になります。

WAN
ファイアウォール
ネットワーク診断

（注）

AP GUI で非表示の機能を表示するには、AP CLI から ap-type capwap コマンドを実行して、AP を CAPWAP モードに戻す必要があります。CAPWAP モードでは、AP GUI は、その AP に関連付けられた Flex プロファイルページで [OfficeExtend AP] フィールドが有効になっている場合にのみ使用可能になります。

（注）

GUI から AP 調査モードにアクセスするには、デフォルトのログインに「admin」、デフォルトのパスワードに「admin」を入力する必要があります（どちらも大文字と小文字が区別されます）。

AP が調査モードの場合、デフォルトで SSID をブロードキャストします。この SSID に接続するためのデフォルトのパスワードは、「password」（大文字と小文字を区別）です。

AP が調査モードの場合は、Google Chrome ブラウザを使用して AP GUI にアクセスすることをお勧めします。

AP 展開モードについて

この AP 展開モードの機能では、Cisco Catalyst 9124AX シリーズ屋外アクセスポイントを屋内モードで動作するように設定し（-E 規制ドメインのみ）、使用可能なチャネルリストを増やすことができます。-E 規制ドメインは、AP に割り当てられた運用国を指定します。規制ドメインの詳細については、「国と規制」を参照してください。

-E 規制ドメインは現在、Unlicensed National Information Infrastructure U-NII-2C チャネルのみをサポートしています。この機能は、屋内モードで動作するように屋外 AP を設定し、5 GHz WLAN で U-NII-1 および U-NII-2 を含むようにチャネルを拡張します。U-NII-1 および U-NII-2 の詳細については、https://en.wikipedia.org/wiki/Unlicensed_National_Information_Infrastructure を参照してください。

（注）

この機能は、Cisco Catalyst 9124AX シリーズ屋外 AP にのみ適用されます。

AP 展開モードの使用例

一般的な使用例では、温室やウォークインフリーザーなどで、Cisco Catalyst 9124AX シリーズ屋外 AP を屋内モードで動作させます。

AP 展開モードの設定（GUI）

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [AP Join] に移動します。

新しい AP 参加プロファイルを追加するには、「AP プロファイルの設定（GUI）」を参照してください。既存の AP 参加プロファイルを変更するには、必要な AP 参加プロファイルを選択します。

ステップ 2

[General] タブをクリックします。

ステップ 3

[Deployment mode] ドロップダウンリストから、次のいずれかを選択します。

[Default or Outdoor]：AP を屋外モードに設定する場合は、このオプションを選択します。デフォルトでは、Cisco Catalyst 9124AX シリーズアクセスポイントは屋外モードに設定されます。

[Indoor]：温室やウォークインフリーザーなどの閉ざされた空間で AP を屋内モードに設定する場合は、このオプションを選択します。

（注）

展開モードを変更すると、変更の確認を求めるプロンプトが表示されます。[Yes] を選択して変更を受け入れます。

ステップ 4

[Apply to Device] をクリックします。

展開ステータスを表示するには、[Configuration] > [Wireless] > [Access Points] に移動します。[All Access Points] タブで、Cisco Catalyst 9124AX シリーズアクセスポイントをクリックします。[Edit AP] ウィンドウで、[Advanced] タブを選択して、AP のデフォルトおよび現在のモードを表示します。

AP 展開モードの設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	ap profile `ap-profile-name` 例: `Device(config)# ap profile ap-profile1`	AP プロファイルを設定し、AP プロファイルコンフィギュレーションモードを開始します。
ステップ 3	dual-mode-ap-deployment-mode indoor 例: `Device(config-ap-profile)# dual-mode-ap-deployment-mode indoor`	屋内モードで動作するように屋外 AP を設定します。
ステップ 4	end 例: `Device(config-ap-profile)# end`	コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

AP 展開モードの確認

AP 屋内モードが有効になっているかどうかを確認するには、次のコマンドを使用します。

Device# show ap name APXXXX.31XX.83XX config general
Cisco AP Name   : APXXXX.31XX.83XX
=================================================

Cisco AP Identifier                             : 4ca6.4d22.f140
Country Code                                    : Multiple Countries : CZ,US
Regulatory Domain Allowed by Country            : 802.11bg:-AE   802.11a:-ABE   802.11 6GHz:-BE
Radio Authority IDs                             : None
AP Country Code                                 : CZ  - Czech Republic
AP Regulatory Domain
  802.11bg                                      : -E
  802.11a                                       : -E
.
.
.AP Indoor Mode                                  : Enabled

AP コンソールで使用可能なチャネルリストを確認するには、次のコマンドを使用します。

AP# show rrm receive configuration
RRM configuration slot 1
===================================
Group Id
Switch Id            :0904640500ff
Group Cnt            :57454
IP address           :9.4.100.5
Encrypted            :0
Version              :1
Key                  :ff3fff55ffffff42ffff2cff6d0affff
Domain               :default
Key Name             :Channel Count        :19
TX Chans             :36 40 44 48 52 56 60 64 100 104 108 112 116 120 124 128 132 136 140

AP コンソールで屋内展開の詳細を表示するには、次のコマンドを使用します。

AP# show capwap client configuration
AdminState                         : ADMIN_ENABLED(1)
Name                               : AP3C57.31C5.9478
Location                           : default location
Primary controller name            : Rack10_katar
Primary controller IP              : 9.4.100.5
Secondary controller name          :
Tertiary controller name           :
.
.
.Indoor Deployment                  : 2!Indoor Deployment: 2 signifies that the AP is in Indoor mode.
!Indoor Deployment: 0 signifies that the AP is in Outdoor mode.

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ（Cisco IOS XE 17.15.x）ソフトウェア コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： アクセスポイントモード

アクセスポイントモード

スニファについて

XOR 無線のスニファロールサポートについて

スニファモードの機能履歴

スニファの前提条件

スニファの制限事項

スニファとして使用するアクセス ポイントの設定（GUI）

手順

スニファとして使用するアクセス ポイントの設定（CLI）

手順

例:

例:

アクセス ポイントでのスニッフィングの有効化または無効化（GUI）

始める前に

手順

アクセス ポイントでのスニッフィングの有効化または無効化（CLI）

手順

例:

例:

例:

アクセスポイントでの XOR 無線のスニファロールサポートの設定（CLI）

手順

例:

例:

例:

例:

例:

例:

例:

スニファの設定の確認

XOR 無線のスニファロール設定の確認

スニファの設定とモニタリングの例

モニターモードの概要

モニターモードの有効化（GUI）

手順

モニターモードの有効化（CLI）

手順

例:

例:

例:

例:

例:

例:

Cisco Catalyst Wireless 916X アクセスポイントの管理モード移行の機能履歴

Cisco Catalyst Wireless 916X シリーズ アクセスポイントの管理モード移行について

規制区域

非 RoW 規制ドメインで設定された AP

RoW 規制ドメインで設定された AP

管理モード移行の設定（GUI）

始める前に

手順

Meraki 管理モードで移行された AP のエクスポート（GUI）

手順

AP 管理モードの設定（CLI）

始める前に

手順

例:

例:

例:

管理モード移行詳細の確認

FlexConnect について

FlexConnect 認証

FlexConnect に関するガイドラインと制限事項

サイトタグの設定

手順

例:

例:

例:

例:

例:

例:

例:

例:

ポリシー タグの設定（CLI）

手順

章のタイトル：アクセスポイントモード

スニファとして使用するアクセスポイントの設定（GUI）

スニファとして使用するアクセスポイントの設定（CLI）

アクセスポイントでのスニッフィングの有効化または無効化（GUI）

アクセスポイントでのスニッフィングの有効化または無効化（CLI）

Cisco Catalyst Wireless 916X シリーズアクセスポイントの管理モード移行について

ポリシータグの設定（CLI）

AP へのポリシータグとサイトタグの付加（CLI）