VLAN グループ

VLAN グループについて

クライアントがワイヤレス ネットワーク(WLAN)に接続するたびに、WLAN にマッピングされたポリシー プロファイルに関連付けられている VLAN にクライアントが配置されます。講堂、競技場、会議場などといった大規模な会場では、大量のワイヤレス クラインアントが使用されており、1 つの WLAN だけで多数のクライアントに対応することは困難な場合があります。

VLAN グループ機能は、複数の VLAN に対応できる 1 つのポリシー プロファイルを使用します。クライアントは、設定されている VLAN の 1 つに割り当てることができます。この機能は、VLAN グループを使用してポリシー プロファイルを 1 つまたは複数の VLAN にマッピングします。ワイヤレス クライアントが WLAN に関連付けられると、ワイヤレス クライアントの MAC アドレスに基づいてアルゴリズムにより VLAN が生成されます。VLAN がクライアントに割り当てられ、クライアントが割り当てられた VLAN から IP アドレスを取得します。

クライアントが DHCP を使用して IP アドレスを受信できない場合、VLAN は 30 分間にわたり「ダーティ」としてマークされます。30 分経過しても、VLAN グループの VLAN から「ダーティ」フラグがクリアされないことがあります。30 分後に VLAN がダーティではないとマークされたら、プール内の空き IP が使用可能で、かつ DHCP スコープが正しく定義されている場合は、IP 学習状態の新しいクライアントに VLAN からの IP アドレスを割り当てることができます。グローバル タイマーが期限切れになるまでに 5 分の遅延があり、各インターフェイスのタイムスタンプを調べて 30 分よりも大きいかどうかを確認する必要があるため、これは想定されている動作です。


(注)  

3 つ以上のクライアントが DHCP を介して IP アドレスを受信できない場合、コントローラは VLAN インターフェイスをダーティとしてマークします。VLAN インターフェイスは、非アグレッシブ方式を使用してダーティと見なされ、事前定義された IP_LEARN_TIMEOUT 期間の 120 秒を超える各クライアントのアソシエーションごとに 1 つの失敗がカウントされます。IP_LEARN_TIMEOUT が経過する前にクライアントが新しい関連付け要求を送信した場合、クライアントでエラーが発生しているとは見なされません。

非アグレッシブ方式では、各クライアントは MAC アドレスから一意のハッシュ値を取得します。このアプローチでは、同じベンダーに属するクライアント(数ビットだけ異なる場合があります)が誤って VLAN のダーティマーキングをトリガーすることがなくなります。

VLAN グループの前提条件

  • VLAN グループに VLAN を追加するには、VLAN がdeviceに存在している必要があります。

VLAN グループの制約事項

  • VLAN グループの VLAN の数が 32 を超えた場合、モビリティが想定どおりに機能しなくなる可能性があり、一部の VLAN でレイヤ 2 マルチキャストが中断することがあります。したがって、ネットワーク管理者は VLAN グループに適切な数の VLAN を設定する必要があります。

    VLAN グループ機能が想定どおりに動作するには、グループにマッピングされた VLAN がコントローラに存在している必要があります。

  • VLAN グループ機能はローカルモードのアクセスポイントで動作します。

  • VLAN グループ機能は、中央スイッチングモードでのみ動作し、FlexConnect ローカルスイッチングモードでは使用できません。

  • ARP ブロードキャスト機能は、VLAN グループではサポートされません。

  • VLAN グループの VLAN グループマルチキャストは、ローカルモード AP でのみサポートされます。マルチキャスト VLAN は、VLAN グループが設定され、マルチキャストトラフィックを使用する場合に必要です。

  • 複数の VLAN で VLAN グループを設定し、各 VLAN が異なるサブネットによって使用されている場合、SVI がコントローラに存在しないと、静的 IP アドレスを持つクライアントが誤った VLAN に割り当てられる可能性があります。したがって、VLAN グループに属するすべての VLAN について、有効な IP アドレスを使用して SVI インターフェイスを設定してください。

VLAN グループの作成(GUI)

手順

ステップ 1

[Configuration] > [Layer2] > [VLAN] を選択します。

ステップ 2

[VLAN] > [VLAN] ページで [Add] をクリックします。

ステップ 3

[VLAN ID] フィールドに VLAN ID を入力します。

有効な範囲は 2 ~ 4094 です。

ステップ 4

[Name] フィールドに VLAN 名を入力します。

必要に応じてその他のパラメータを設定します。

ステップ 5

[Update & Apply to Device] をクリックします。

VLAN グループの作成(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

vlan group WORD vlan-list vlan-ID

例:

Device(config)#vlan group vlangrp1 vlan-list 91-95

所定のグループ名(vlangrp1)で VLAN グループを作成し、コマンドに一覧表示されているすべての VLAN を追加します。VLAN リストの範囲は 1 ~ 4096 で、1 つのグループでサポートされる VLAN の最大数は 64 です。

ステップ 3

end

例:

Device(config)#end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。また、CTRL-Z を押して、グローバル コンフィギュレーション モードを終了します。

ポリシープロファイルへの VLAN グループの追加(GUI)

ポリシー プロファイルは、広義にはネットワーク ポリシーとスイッチング ポリシーで構成されます。ポリシー プロファイルはタグ全体にわたって再利用可能なエンティティです。AP またはコントローラに適用されたクライアント向けのポリシーはすべて、ポリシー プロファイルに移動されます。たとえば、VLAN、ACL、QOS、セッション タイムアウト、アイドル タイムアウト、AVC プロファイル、Bonjour プロファイル、ローカル プロファイリング、デバイス分類、BSSID QoS などが該当します。ただし、WLAN のワイヤレス関連のセキュリティ属性と機能はすべて、WLAN プロファイルにグループ化されます。

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Policy] を選択します。

ステップ 2

[Policy Profile] ページでポリシープロファイルの名前をクリックします。

ステップ 3

[Access Policies] タブをクリックします。

ステップ 4

[VLAN] セクションで、[VLAN/VLAN Group] ドロップダウンリストを使用して、VLAN または VLAN グループを選択します。

ステップ 5

[Update & Apply to Device] をクリックします。

ポリシープロファイルへの VLAN グループの追加

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile policy wlan-policy-profile-name

例:

Device(config)# wireless profile policy my-wlan-policy

WLAN ポリシー プロファイルを設定します。

ステップ 3

vlan vlan-group1

例:

Device(config-wireless-policy)# vlan myvlan-group

グループ名を入力して、VLAN グループを WLAN にマッピングします。

ステップ 4

end

例:

Device(config-wlan)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

VLAN グループの VLAN の表示

コマンド 説明
show vlan group VLAN グループの名前と設定済みの VLAN のリストを表示します。
show vlan group group-name group_name 指定された VLAN グループの詳細を表示します。
show wireless client mac-address client-mac-addr detail

クライアントに割り当てられている VLAN グループを表示します。
show wireless vlan details

VLAN の詳細を表示します。

DHCP および静的 IP クライアントの VLAN グループサポート

静的 IP クライアントが VLAN グループに参加すると、コントローラは VLAN 計算ロジックに基づいてそのクライアントを VLAN に追加します。クライアントの静的 IP アドレスが VLAN の IP リストに含まれていない場合、クライアントが認証されていたり承認されていたりしても、クライアントはインターネットにアクセスできません。DHCP および静的 IP クライアントをサポートする VLAN グループ機能は、こうしたクライアントのネットワークアクセスを処理することを目的としています。この機能は IPv4 クライアントのみをサポートし、デフォルトで有効になっています。ただし、ipv4 dhcp required コマンドがワイヤレス ポリシー プロファイルで設定されていないことを確認してください。このコマンドはこの機能を無効にし、クライアントが IP 学習状態でスタックする原因となるためです。

前提条件

  • スイッチ VLAN インターフェイス(SVI)に IP アドレスが設定されていることを確認します。

制約事項

  • FlexConnect ローカルスイッチングと FlexConnect ローカル認証はサポートされていません。ローカルモード、FlexConnect 中央スイッチング、および FlexConnect 中央認証のみがサポートされています。

  • IPv6 はサポートされていません。

  • 静的 IP モビリティを持つ VLAN グループはサポートされていないため、ピアコントローラはポリシープロファイルに VLAN グループを持つことはできません。

サポートされる機能

表 1. サポートされる機能

機能

サポート

ゲスト アンカー

対応

モビリティ

対応

RLAN

対応

SVI

対応

クライアントの IP アドレスと同じサブネット内の IP アドレスを使用して SVI を設定していることを確認します。

IRCM のサポート:アンカーとしてのゲスト AireOS および外部としての Cisco Catalyst 9800 コントローラ

対応

IRCM のサポート:外部としてのゲスト AireOS およびアンカーとしての Cisco Catalyst 9800 コントローラ

対応

SVI に一致するものがない場合、クライアントは除外されます。