無線ゲストアクセス
無線ゲストアクセス
- 外部マップの概要
- ワイヤレスゲストアクセス：使用例
複数のゲストコントローラ間のロードバランシング
ワイヤレスゲストアクセスに関する注意事項と制限事項
- IPv6 のトラブルシューティング
ゲストアクセス用モビリティトンネルの設定（GUI）
ゲストアクセス用モビリティトンネルの設定（CLI）
ゲストアクセスポリシーの設定（GUI）
ゲストアクセスポリシーの設定（CLI）
ゲストアクセスのデバッグ情報の表示（CLI）
ワイヤレスゲストアクセスの有効化の確認
さまざまなセキュリティ方式を使用したゲストアクセスの設定

無線ゲストアクセス

ワイヤレスゲストアクセス機能は、安全かつ信頼できる方法でゲストにインターネットアクセスを提供するニーズに対処します。ワイヤレスゲストネットワークの実装では、企業の既存のワイヤレスおよび有線インフラストラクチャが最大限に使用されます。これにより、物理オーバーレイネットワークを構築する際のコストと複雑さが軽減されます。ワイヤレスゲストアクセスソリューションは、ゲストフォーリンとゲストアンカーの 2 台のコントローラで構成されます。管理者は帯域幅を制限してゲストトラフィックをシェーピングし、内部ネットワークのパフォーマンスに影響しないようにすることができます。

（注）

クライアントが AP から CAPWAP トンネルを介して接続すると、RADIUS NAS-Port-Type は「wireless 802.11」に設定されます。ここでは、接続ポイント（PoA）とアクセスポイント（PoP）は同じです。
クライアントがモビリティトンネルを介して接続すると、RADIUS NAS-Port-Type は「virtual」に設定されます。ここでは、クライアントがアンカーされているため、PoA はフォーリンコントローラ、PoP はアンカーコントローラです。標準タイプの詳細については、次のリンクを参照してください。

https://www.iana.org/assignments/radius-types/radius-types.xhtml#radius-types-13

ワイヤレスゲストアクセス機能は、次の機能で構成されています。

ゲストアンカーコントローラは、クライアントの Point of Presence です。
ゲストアンカーコントローラは、ゲストクライアントからのトラフィックをアンカーコントローラを介して Demilitarized Zone（DMZ）ネットワーク内のシスコワイヤレスコントローラに転送することで、内部セキュリティを確保します。
ゲストフォーリンコントローラは、クライアントの接続ポイントです。
ゲストフォーリンコントローラは、専用のゲスト WLAN または SSID であり、ゲストアクセスを必要とするあらゆる場所にキャンパスワイヤレスネットワークを介して実装されます。モビリティアンカー（ゲストコントローラ）が設定された WLAN でゲスト WLAN が識別されます。
ゲストトラフィックの分離により、キャンパスネットワーク全体にレイヤ 2 またはレイヤ 3 手法が実装され、ゲストがアクセスできる場所が制限されます。
ゲストユーザレベルの QoS は、レート制限およびシェーピングに使用されますが、ゲストユーザの帯域幅の使用を制限するために広く実装されています。
アクセス制御では、キャンパスネットワーク内に組み込まれたアクセス制御機能が使用されるか、企業ネットワークからインターネットへのゲストアクセスを制御する外部プラットフォームが実装されます。
日付、期間、帯域幅などの変数に基づく、ゲストの認証および承認。
ネットワークを使用中または使用したことのあるユーザーをトラックする監査メカニズム。
ロビーや共有施設など、有線によるネットワーク接続もなかったエリアを含めて、より広範なカバレッジを提供します。
ゲストアクセス用のエリアや部屋を特別に用意する必要がなくなります。

（注）

ネットワーク内で AireOS で IRCM を使用するには、Cisco TAC に連絡してサポートを受けてください。

表 1. サポートされるコントローラ
Controller Name	ゲストアンカーとしてのサポート	ゲストフォーリンとしてのサポート
Cisco Catalyst 9800-40 ワイヤレスコントローラ	対応	対応
Cisco Catalyst 9800-80 ワイヤレスコントローラ	対応	対応
Cisco Catalyst 9800-CL ワイヤレスコントローラ	対応	対応
Cisco Catalyst 9800-L ワイヤレスコントローラ	対応	対応
スイッチ用 Cisco Catalyst 9800 組み込みワイヤレスコントローラ	非対応	非対応
Cisco Catalyst 9100 シリーズ AP 上の Cisco Catalyst 9800 組み込みワイヤレスコントローラ	非対応	非対応

サポートされる機能

Cisco ゲストアクセスでサポートされている機能のリストを次に示します。

スリープ状態のクライアント
FQDN
AVC（AP アップストリームおよびダウンストリーム）
ネイティブプロファイリング
オープン認証
OpenDNS
サポートされているセキュリティ方式：
- MAB 中央 Web 認証（CWA）
- ローカル Web 認証（LWA）
- MAB エラー時の LWA
- 802.1x + CWA
- 802.1X
- PSK
- 802.1x + LWA
- PSK + CWA
- PSK + LWA
- iPSK + CWA
- MAB のエラー + PSK
- MAB のエラー + OWE
- MAB のエラー + SAE
SSID QoS アップストリームおよびダウンストリーム（外部）
AP/クライアント SSO
スタティック IP ローミング
クライアント IPv6
コントローラ間でのローミング

RADIUS アカウンティング

（注）

ゲストアクセスのシナリオでは、すべての認証方式を対象にアカウンティングは常にフォーリンコントローラで実行されます。

QoS：クライアントレベルのレート制限
ゲストアンカーロードバランシング
ワークグループブリッジ（WGB）

（注）

コントローラで WGB からの複数の VLAN をサポートできるようにするには、wgb vlan コマンドを使用します。

外部マップの概要

ゲストアクセスは、Cisco Catalyst 9800 シリーズワイヤレスコントローラのポリシープロファイルと WLAN プロファイルの設定モデルを使用した外部マップをサポートしています。

Cisco Catalyst 9800 シリーズワイヤレスコントローラで外部マップがサポートされるのは、次のポリシープロファイルと WLAN プロファイルの設定モデルを使用した場合です。

ゲストフォーリンのコマンド：
- Foreign1：wlanProf1 PolicyProf1
- Foreign2：wlanProf2 PolicyProf2
ゲストアンカーのコマンド：
- wlanProf1、wlanProf2
- PolicyProf1：Vlan100 - subnet1
- PolicyProf2：Vlan200 - subnet2

外部マップローミング

2 つのゲストフォーリンで 2 つの異なる WLAN プロファイルを設定した場合、それらの間でシームレスローミングを実行することはできません。これは予期される設定です。ただし、2 つのゲストフォーリンで同じ WLAN プロファイルが設定されている場合はシームレスローミングが許可されますが、外部マップ機能は動作しません。

ワイヤレスゲストアクセス：使用例

ワイヤレスゲストアクセス機能はさまざまな要件を満たすために使用できます。ここでは、考えられるいくつかの例を紹介します。

シナリオ 1：企業の合併時にセキュリティで保護されたネットワークアクセスの提供

company B にアクセスする company A の社員が company B のネットワークで company A のリソースに安全にアクセスできるように、この機能を設定できます。

シナリオ 2：既存の設定を介したサービスの共有

この機能を使用すると、既存のネットワークにピギーバッキングする複数のベンダーを使用して複数のサービスを提供できます。会社は、既存のコントローラにアンカーされている SSID でサービスを提供できます。これは、既存のサービスが同じコントローラとネットワーク上で機能している間継続されます。

複数のゲストコントローラ間のロードバランシング

大量のゲストクライアントボリュームをロードバランシングするようにエクスポートアンカーを設定できます。1 つのエクスポートフォーリンゲスト WLAN 設定で、最大 72 のコントローラが許可されます。モビリティゲストコントローラを設定するには、mobility anchor ip address を使用します。
プライマリアンカーにプライオリティ（1、3）を指定し、障害が発生した場合のバックアップとして別のアンカーを選択できます。
マルチアンカーのシナリオでは、プライマリアンカーがダウンすると、クライアントはプライマリアンカーから切断され、セカンダリアンカーに参加します。

ワイヤレスゲストアクセスに関する注意事項と制限事項

ゲストフォーリンとゲストアンカーの両方で、WLAN のセキュリティプロファイルを一致させてください。
ゲストフォーリンとゲストアンカーの両方のコントローラで、NAC や AAA オーバーライドなどのポリシープロファイル属性を一致させてください。
エクスポートアンカーでは、クライアントが実行時に接続する際に WLAN プロファイル名とポリシープロファイル名が選択されます。これらはゲストフォーリンコントローラで使用されているものと同じである必要があります。

IPv6 のトラブルシューティング

ゲストエクスポートクライアントが、SLAAC を介してルーティング可能な IPv6 アドレスを取得できない場合、または IPv6 アドレスが学習されたときに DHCPv6 を介してトラフィックを渡せない場合は、次の回避策を使用できます。

IPv6 ルータでの回避策：IPv6 ゲートウェイ上の動作を変更して、RA マルチキャストからユニキャストへの変換を回避できます。製品によって、これがデフォルトの動作である場合と、設定が必要な場合があります。
- Cisco IPv6 ルータでの回避策
  - Cisco Nexus プラットフォーム：ワイヤレス展開に役立つ送信要求ユニキャスト RA がデフォルトで有効になっています。
  - Cisco IOS-XE プラットフォーム：次の設定コマンドを使用して、ワイヤレス展開に役立つユニキャスト RA をオンにします。
    
    ipv6 nd ra solicited unicast
- Cisco IPv6 ルータ以外での回避策：シスコ以外のネットワークデバイスが送信要求ユニキャスト RA を有効にする設定コマンドをサポートしていない場合、回避策はありません。

ゲストアクセス用モビリティトンネルの設定（GUI）

手順

ステップ 1	[Configuration] > [Tags and Profiles] > [WLANs] の順に選択します。
ステップ 2	[Wireless Networks] 領域で関連する WLAN または RLAN をクリックし、[Mobility Anchor] をクリックします。
ステップ 3	[Wireless Network Details] セクションで、[Switch IP Address] ドロップダウンリストからデバイスを選択します。
ステップ 4	[Apply] をクリックします。

ゲストアクセス用モビリティトンネルの設定（CLI）

モビリティトンネルを設定するには、次の手順を実行します。

手順

コマンドまたはアクション目的

	コマンドまたはアクション	目的
ステップ 1	wireless mobility group name `group name` 例: `Device(config)# wireless mobility group name mtunnelgrp`	モビリティグループを設定します。
ステップ 2	wireless mobility mac-address `mac address` 例: `Device(config)# wireless mobility mac-address 0d:4c:da:3a:f2:21`	モビリティ MAC アドレスを設定します。
ステップ 3	wireless mobility group member mac `mac address` ip `ip address` group `group name` 例: `Device(config)# wireless mobility group member mac-address df:07:a1:a7:a8:55 ip 206.223.123.2 group mtgrp`	モビリティピアを設定します。

ステップ 1

wireless mobility group name group name

例:

Device(config)# wireless mobility group name mtunnelgrp

モビリティグループを設定します。

ステップ 2

wireless mobility mac-address mac address

例:

Device(config)# wireless mobility mac-address 0d:4c:da:3a:f2:21

モビリティ MAC アドレスを設定します。

ステップ 3

wireless mobility group member mac mac address ip ip address group group name

例:

Device(config)# wireless mobility group member mac-address df:07:a1:a7:a8:55 ip 206.223.123.2 group mtgrp

モビリティピアを設定します。

ゲストアクセスポリシーの設定（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [Policy] を選択します。
ステップ 2	[Add] をクリックします。
ステップ 3	[General] タブで、[Name] を入力し、[Central Switching] トグルボタンを有効にします。
ステップ 4	[Access Policies] タブの [VLAN] 設定で、[VLAN/VLAN Group] ドロップダウンリストから VLAN を選択します。
ステップ 5	[Mobility] タブの [Mobility Anchors] 設定で、[Export Anchor] チェックボックスをオンにします。
ステップ 6	[Advanced] タブの [WLAN Timeout] 設定で、[Idle Timeout (sec)] を入力します。
ステップ 7	[Apply to Device] をクリックします。

ゲストアクセスポリシーの設定（CLI）

ゲストアクセスプロファイルポリシーを作成して設定するには、次の手順に従います。または、モビリティアンカーを設定した既存のデフォルトポリシープロファイルを使用することもできます。

ピアになっているアンカーのみを設定できます。使用されている IP アドレスがモビリティピアであり、モビリティグループに含まれていることを確認します。他の IP アドレスが使用されている場合は、無効なアンカー IP アドレスのエラーメッセージが表示されます。

モビリティグループを削除するには、モビリティアンカーでもあるモビリティピアがポリシープロファイルから削除されていることを確認します。

（注）

VLAN を表示するために、ゲストフォーリンにペイロードが送信されることはありません。
VLAN が原因でクライアント除外が発生しないように、Cisco Catalyst 9800 シリーズコントローラでは、ISE からプッシュされる関連名とともに VLAN を定義する必要があります。

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wireless profile policy wlan_policy_profile

例:

Device(config)# wireless profile policy guest-test-policy

ポリシープロファイルを設定し、ワイヤレスプロファイルコンフィギュレーションモードを開始します。

（注）

default-policy-profile を使用してプロファイルポリシーを設定できます。

ステップ 3

shutdown

例:

Device(config-wireless-policy)# shutdown

ポリシーが存在する場合は、アンカーを設定する前にシャットダウンします。

ステップ 4

central switching

例:

Device(config-wireless-policy)# central switching

（任意）中央スイッチングを有効にします。

ステップ 5

最初のオプションを使用してゲストフォーリンを設定するか、2 番目のオプションを使用してゲストアンカーを設定します。

mobility anchor anchor-ip-address
mobility anchor

例:

ゲストフォーリンの場合：

Device(config-wireless-policy)# mobility anchor 19.0.2.1

ゲストアンカーの場合：

Device(config-wireless-policy)# mobility anchor

ゲストフォーリンまたはゲストアンカーを設定します。

ステップ 6

idle-timeout timeout

例:

Device (config-wireless-policy)# idle-timeout 1000

（任意）アイドルタイムアウト時間を秒単位で設定します。

ステップ 7

vlan vlan-id

例:

Device(config-wireless-policy)# vlan 2

VLAN 名または VLAN ID を設定します。

（注）

ゲストフォーリンコントローラでは VLAN は任意です。

ステップ 8

no shutdown

例:

Device(config-wireless-policy)# no shutdown

ポリシープロファイルを有効にします。

ステップ 9

end

例:

Device(config-wireless-policy)# end

コンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

ステップ 10

show wireless profile policy summary

例:

Device# show wireless profile policy summary

（任意）設定されたプロファイルを表示します。

ステップ 11

show wireless profile policy detailed policy-profile-name

例:

Device# show wireless profile policy detailed guest-test-policy

（任意）ポリシープロファイルの詳細情報を表示します。

ゲストアクセスのデバッグ情報の表示（CLI）

モビリティの状態に関するクライアントレベルの詳細情報とアンカー IP アドレスを表示するには、次のコマンドを使用します。

show wireless client mac-add mac-addressdetail
クライアントのモビリティ統計情報を表示するには、次のコマンドを使用します。

show wireless client mac-address mac-addressmobility statistics
サブドメイン内のアクティブクライアントに関するクライアントレベルのローミング履歴を表示するには、次のコマンドを使用します。

show wireless client mac-address mac-address mobility history
指定したプロファイルポリシーの詳細なパラメータを表示するには、次のコマンドを使用します。

show wireless profile policy detailed policy-name
すべてのモビリティメッセージに対するグローバルレベルのサマリーを表示するには、次のコマンドを使用します。

show wireless mobility summary
モビリティマネージャの統計情報を表示するには、次のコマンドを使用します。

show wireless stats mobility

ワイヤレスゲストアクセスの有効化の確認

ワイヤレスゲストアクセスが有効になっているかどうかを確認するには、次のコマンドを実行します。

Device# show platform hardware chassis  active  qfp feature sw client vlan all

-------------------------------------------------------------
Vlan : 666
Learning Enabled : true
DHCPSN Enabled : true
Non IP Multicast Enabled : false
Broadcast Enabled : false
Wireless Passive Client Enabled : false
Guest-Lan Enabled : true 
MTU : 65535
Input UIDB : 65503
Output UIDB : 65497
Flood List : 0XB8658A0

さまざまなセキュリティ方式を使用したゲストアクセスの設定

次のセクションでは、以下に関する情報について説明します。

オープン認証

オープン認証を使用してゲストアクセスを設定するには、次の手順を実行します。

WLAN プロファイルの設定

（注）

AVC が有効になっていない場合は、タグは必要ありません。

オープン認証を使用したゲストアクセス用の WLAN プロファイルの設定（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [WLANs] を選択します。
ステップ 2	[Add] をクリックします。
ステップ 3	[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。[Radio Policy] ドロップダウンリストから無線ポリシーを選択します。[Status] および [Broadcast SSID] トグルボタンを有効または無効にします。
ステップ 4	[Security] > [Layer2] タブを選択します。[WPA Policy]、[WPA2 Policy]、[AES]、および [802.1x] チェックボックスをオフにします。
ステップ 5	[Apply to Device] をクリックします。

オープン認証を使用したゲストアクセス用の WLAN プロファイルの設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wlan `profile-name` `wlan-id` `ssid-name` . 例: `Device(config)# wlan mywlan 34 mywlan-ssid`	WLAN と SSID を設定します。
ステップ 3	no security wpa 例: `Device(config-wlan)# no security wpa`	WPA セキュリティを無効にします。
ステップ 4	no security wpa akm dot1x 例: `Device(config-wlan)# no security wpa akm dot1x`	dot1x に対するセキュリティの AKM を無効にします。
ステップ 5	no security wpa wpa2 例: `Device(config-wlan)# no security wpa wpa2`	WPA2 セキュリティを無効にします。
ステップ 6	no security wpa wpa2 ciphers aes 例: `Device(config-wlan)# no security wpa wpa2 ciphers aes`	AES の WPA2 暗号化を無効にします。
ステップ 7	no shutdown 例: `Device(config-wlan)# no shutdown`	設定を保存します。

ポリシープロファイルの設定

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wireless profile policy wlan-policy-profile

例:

Device(config)# wireless profile policy open_it

WLAN ポリシープロファイルを設定し、ワイヤレスポリシーコンフィギュレーションモードを開始します。

ステップ 3

最初のオプションを使用してゲストフォーリンを設定するか、2 番目のオプションを使用してゲストアンカーを設定します。

mobility anchor anchor-ip-address
mobility anchor

例:

ゲストフォーリンの場合：

Device (config-wireless-policy)# mobility anchor 19.0.2.1

ゲストアンカーの場合：

Device (config-wireless-policy)# mobility anchor

ゲストフォーリンまたはゲストアンカーを設定します。

ステップ 4

central switching を使用して無効にすることができます。

例:

Device(config-wireless-policy)# central switching

中央スイッチングを有効にします。

ステップ 5

vlan id

例:

Device(config-wireless-policy)# vlan 16

VLAN 名または VLAN ID を設定します。

（注）

ゲストフォーリンコントローラでは VLAN は任意です。

ステップ 6

no shutdown

例:

Device(config-wireless-policy)# no shutdown

ポリシープロファイルを有効にします。

ローカル Web 認証

LWA を設定するには、次の手順を実行します。

パラメータマップを設定します。
WLAN プロファイルを設定します。
WLAN でのポリシープロファイルの適用
AAA サーバーを設定します。

パラメータマップの設定（GUI）

手順

ステップ 1	[Configuration] > [Security] > [Web Auth] の順に選択します。
ステップ 2	[Add] をクリックします。
ステップ 3	[Parameter-map name]、[Maximum HTTP connections]、[Init-State Timeout(secs)] を入力し、[Type] ドロップダウンリストで [webauth] を選択します。
ステップ 4	[Apply to Device] をクリックします。

パラメータマップの設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	parameter-map type webauth global 例: `Device(config)# parameter-map type webauth global`	パラメータマップを作成し、parameter-map webauth コンフィギュレーションモードを開始します。
ステップ 3	type webauth 例: `Device(config-params-parameter-map)#type webauth`	webauth タイプパラメータを設定します。
ステップ 4	timeout init-state sec `timeout-seconds` 例: `Device(config-params-parameter-map)# timeout inti-state sec 3600`	WEBAUTH のタイムアウトを秒単位で設定します。タイムアウト（秒単位）パラメータの有効な範囲は 60 ～ 3932100 秒です。
ステップ 5	virtual-ip ipv4 `virtual_IP_address` 例: `Device(config-params-parameter-map)#virtual-ip ipv4 209.165.201.1`	VLAN 名または VLAN ID を設定します。

ローカル Web 認証を使用したゲストアクセス用の WLAN プロファイルの設定（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [WLANs] を選択します。
ステップ 2	WLAN 名をクリックします。
ステップ 3	[Security] > [Layer 3] の順に選択します。
ステップ 4	[Web Policy] チェックボックスをオンにします。
ステップ 5	[Web Auth Parameter Map] ドロップダウンリストからパラメータマップを選択します。
ステップ 6	[Authentication List] ドロップダウンリストから認証リストを選択します。
ステップ 7	[Update & Apply to Device] をクリックします。

ローカル Web 認証を使用したゲストアクセス用の WLAN プロファイルの設定（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wlan wlan-id ssid-name

例:

Device# Device(config)# wlan mywlan 38 mywlan-ssid1

WLAN と SSID を設定します。

ステップ 3

security web-auth

例:

Device(config-wlan)# security web-auth

WLAN の Web 認証を有効にします。

ステップ 4

security web-auth parameter-map デフォルト

例:

Device(config-wlan)# security web-auth parameter-map default

デフォルトのパラメータマップを設定します。

（注）

security web-auth が有効になっている場合、default authentication-list とグローバルの parameter-map がマッピングされます。これは、明示的に記述されていない認証リストとパラメータマップに適用されます。

ステップ 5

security web-auth parameter-map global

例:

Device(config-wlan)# security web-auth parameter-map global

グローバルパラメータマップを設定します。

ステップ 6

security web-auth authentication-list LWA-AUTHENTICATION

例:

Device(config-wlan)# security web-auth authentication-list LWA-AUTHENTICATION

IEEE 802.1x の認証リストを設定します。

ローカル Web 認証の AAA サーバーの設定（GUI）

手順

ステップ 1	[Configuration] > [Security] > [AAA] > [AAA Advanced] > [Global Config] を選択します。
ステップ 2	[Local Authentication]、[Authentication Method List]、[Local Authorization]、および [Authorization Method List] ドロップダウンリストからオプションを選択します。
ステップ 3	トグルボタンを使用して、[Radius Server Load Balance] を有効または無効にします。
ステップ 4	[Interim Update] チェックボックスをオンにします。
ステップ 5	[Apply] をクリックします。

ローカル Web 認証の AAA サーバーの設定（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

aaa authentication login LWA-AUTHENTICATION local

例:

Device(config)#aaa authentication login lwa-authentication local

ログイン時の認証方法を定義します。

ステップ 3

aaa authorization network default local if-authenticated

例:

Device(config)#aaa authorization network default local if-authenticated

ユーザーが認証済みの場合は、認証方法をローカルに設定します。

グローバルコンフィギュレーション

グローバル設定については、次の手順に従います。

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

username name password 0 clear-text-password

例:

Device(config)# #username base password 0 pass1

ユーザーのクリアテキストパスワードを設定します。

ステップ 3

ip http server

例:

Device(config)#ip http server

HTTP サーバーを有効にします。

ステップ 4

ip http authentication local

例:

Device(config)#ip http authentication local

HTTP サーバーの認証方式をローカルに設定します。

（注）

ip http authentication local が無効になっていて、ユーザー名がイネーブルパスワードと同じである場合、ユーザー権限に関係なく管理者アクセス権限が付与されます。

中央 Web 認証

CWA を設定するには、次の手順を実行します。

WLAN プロファイルを設定します。
AAA サーバーの設定

中央 Web 認証を使用したゲストアクセス用の WLAN プロファイルの設定（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [WLANs] を選択します。
ステップ 2	[Add] をクリックします。
ステップ 3	[General] タブで、[Profile Name]、[SSID]、および [WLAN ID] を入力します。
ステップ 4	WLAN を有効にするには、[Status] を [Enabled] に設定します。
ステップ 5	[Radio Policy] ドロップダウンリストから、無線ポリシーを選択します。
ステップ 6	[Broadcast SSID] を有効にするには、ステータスを [Enabled] に設定します。
ステップ 7	[Security] > [Layer2] タブを選択します。[WPA Policy]、[WPA2 Policy]、[AES]、および [802.1x] チェックボックスをオフにします。
ステップ 8	[MAC Filtering] チェックボックスをオンにして、機能を有効にします。MAC フィルタリングを有効にした状態で、[Authorization List] ドロップダウンリストから認可リストを選択します。
ステップ 9	[Apply to Device] をクリックします。

中央 Web 認証を使用したゲストアクセス用の WLAN プロファイルの設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wlan `wlan-id` `ssid-name` 例: `Device# Device(config)# wlan mywlan 38 mywlan-ssid1`	WLAN と SSID を設定します。
ステップ 3	mac-filtering `remote_authorization_list_name` 例: `Device(config-wlan)# mac-filtering auth-list`	リモート RADIUS サーバーの MAB 認証を有効にします。
ステップ 4	no security wpa 例: `Device(config-wlan)# no security wpa`	WPA セキュリティを無効にします。
ステップ 5	no security wpa akm dot1x 例: `Device(config-wlan)# no security wpa akm dot1x`	dot1x に対するセキュリティの AKM を無効にします。
ステップ 6	no security wpa wpa2 例: `Device(config-wlan)# no security wpa wpa2`	WPA2 セキュリティを無効にします。
ステップ 7	no security wpa wpa2 ciphers aes 例: `Device(config-wlan)# no security wpa wpa2 ciphers aes`	AES の WPA2 暗号化を無効にします。
ステップ 8	no shutdown 例: `Device(config-wlan)# no shutdown`	設定を保存します。

AAA サーバーの設定（GUI）

手順

ステップ 1	[Configuration] > [Security] > [AAA] > [Servers/Groups] > [RADIUS] > [Server Groups] を選択します。
ステップ 2	RADIUS サーバーグループをクリックします。
ステップ 3	[MAC-Delimiter] ドロップダウンリストからオプションを選択します。
ステップ 4	[MAC-Filtering] ドロップダウンリストからオプションを選択します。
ステップ 5	[Dead-Time (mins)] を入力します。
ステップ 6	左側の [Available Servers] から、必要なサーバーを右側の [Assigned Servers] に移動します。
ステップ 7	[Update & Apply to Device] をクリックします。
ステップ 8	[Configuration] > [Security] > [AAA] > [Servers/Groups] > [RADIUS] > [Servers] を選択します。
ステップ 9	RADIUS サーバーをクリックします。
ステップ 10	[IPv4/IPv6 Server Address]、[Auth Port]、[Acct Port]、[Server Timeout (seconds)]、[Retry Count] を入力します。
ステップ 11	[PAC Key] チェックボックスをオンまたはオフにして、[Key Type] ドロップダウンリストからキータイプを選択します。[Key] と [Confirm Key] を入力します。
ステップ 12	[Support for CoA] トグルボタンを有効または無効にします。
ステップ 13	[Update & Apply to Device] をクリックします。

AAA サーバーの設定（CLI）

（注）

ゲストフォーリン専用の AAA サーバーを設定します。

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

aaa authorization network authorization-list local group Server-group-name

例:

Device(config)#aaa authorization network cwa local group ise

許可の方法をローカルに設定します。

ステップ 3

aaa group server radius server-group-name

例:

Device(config)#aaa group server radius ise

RADIUS サーバーグループの定義を設定します。

（注）

server-group-name refers to the server group name. 有効な範囲は 1 ～ 32 文字の英数字です。

ステップ 4

server name radius-server-name

例:

Device(config-sg-radius)#server name ise1

RADIUS サーバー名を設定します。

ステップ 5

subscriber mac-filtering security-mode mac

例:

Device(config-sg-radius)#$mac-filtering security-mode mac

パスワードとして MAC アドレスを設定します。

ステップ 6

mac-delimiter colon

例:

Device(config-sg-radius)#mac-delimiter colon

MAC アドレスの区切り文字をコロンに設定します。

ステップ 7

end

例:

Device(config-sg-radius)#end

設定を保存し、コンフィギュレーションモードを終了して、特権 EXEC モードに戻ります。

ステップ 8

radius server name

例:

Device(config)#radius server ISE1

RADIUS サーバー名を設定します。

ステップ 9

address ipv4 radius-server-ipaddress auth-port port-number acct-port port-number

例:

Device(config-radius-server)#address ipv4 209.165.201.1 auth-port 1635 acct-port 33

RADIUS サーバーの IP アドレス、認証ポート、アカウンティングポートを設定します。

ローカル Web 認証を使用した 802.1x の設定

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wlan `wlan-profile` `wlan-id` `ssid` 例: `Device(config)# wlan testwprofile 22 ssid-3`	WLAN と SSID を設定します。
ステップ 3	security dot1x authentication-list `デフォルト` 例: `Device(config-wlan)# security dot1x authentication-list default`	WLAN の 802.1X を設定します。
ステップ 4	security web-auth authentication-list `authenticate-list-name` 例: `Device(config-wlan)# security web-auth authentication-list default`	WLAN で、802.1x のセキュリティの認証リストを有効にします。
ステップ 5	security web-auth parameter-map `global` 例: `Device(config-wlan)# security web-auth parameter-map global`	グローバルパラメータマップを設定します。
ステップ 6	no shutdown 例: `Device(config-wlan)# no shutdown`	WLAN を有効にします。

PSK プロトコルを使用したローカル Web 認証の設定

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wlan `wlan-profile` `wlan-id` `ssid` 例: `Device(config)# wlan psksec-profile 22 ssid-4`	WLAN と SSID を設定します。
ステップ 3	no security wpa 例: `Device(config-wlan)# no security wpa`	WPA セキュリティを無効にします。
ステップ 4	no security wpa wpa2 例: `Device(config-wlan)# no security wpa wpa2`	WPA2 セキュリティを無効にします。
ステップ 5	no security wpa akm dot1x 例: `Device(config-wlan)# no security wpa akm dot1x`	dot1x に対するセキュリティの AKM を無効にします。
ステップ 6	security wpa psk 例: `Device(config-wlan)# security wpa akm psk`	セキュリティタイプを PSK として有効にします。
ステップ 7	security wpa psk set-key `{` `ascii\|` `hex}` `key` 例: `Device(config-wlan)# security wpa akm psk set-key asci 0`	PSK 共有キーを設定します。
ステップ 8	security web-auth 例: `Device(config-wlan)# security web-auth`	WLAN の Web 認証を有効にします。
ステップ 9	security web-auth authentication-list `default` 例: `Device(config-wlan)# security web-auth authentication-list default`	WLAN の認証リストを有効にします。
ステップ 10	security web-auth parameter-map `global` 例: `Device(config-wlan)# security web-auth parameter-map global`	グローバルパラメータマップを設定します。

PSK プロトコルを使用した中央 Web 認証

PSK セキュリティプロトコルを使用して CWA を設定するには、次の手順を実行します。

WLAN プロファイルを設定します。
WLAN でのポリシープロファイルの適用

PSK プロトコルを使用した中央 Web 認証用の WLAN プロファイルの設定

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	wlan `wlan-profile` `wlan-id` `ssid` 例: `Device(config)# wlan cwasec-profile 27 ssid-5`	WLAN と SSID を設定します。
ステップ 3	no security wpa 例: `Device(config-wlan)# no security wpa`	WPA セキュリティを無効にします。
ステップ 4	no security wpa wpa2 例: `Device(config-wlan)# no security wpa wpa2`	WPA2 セキュリティを無効にします。
ステップ 5	no security wpa akm dot1x 例: `Device(config-wlan)# no security wpa akm dot1x`	dot1x に対するセキュリティの AKM を無効にします。
ステップ 6	security wpa psk 例: `Device(config-wlan)# security wpa psk`	セキュリティタイプを PSK として有効にします。
ステップ 7	security wpa psk set-key `{` `ascii\|` `hex}` `key` 例: `Device(config-wlan)# security wpa psk set-key asci 0`	PSK 共有キーを設定します。
ステップ 8	mac-filtering `authorization_list_name` 例: `Device(config-wlan)# mac-filtering cwa-list`	PSK Web 認証の MAC フィルタリングを有効にします。

iPSK プロトコルを使用した中央 Web 認証

iPSK セキュリティプロトコルを使用して CWA を設定するには、次の手順を実行します。

WLAN プロファイルを設定します。

iPSK プロトコルを使用した中央 Web 認証用の WLAN プロファイルの設定

手順

	コマンドまたはアクション	目的
ステップ 1	wlan `guest-wlan-name` `wlan-id` `ssid` 例: `config# wlan ipsk-cwa-profile 28 ssid-6`	ゲスト WLAN を設定します。
ステップ 2	no security wpa akm dot1x 例: `Device(config-wlan)# no security wpa akm dot1x`	802.1x のセキュリティ AKM を無効にします。
ステップ 3	security wpa akm psk set-key `{` `ascii\|` `hex}` `key` 例: `Device(config-wlan)# security wpa akm psk set-key asci 0`	PSK AKM の共有キーを設定します。
ステップ 4	mac-filtering `authorization_list_name` 例: `Device(config-wlan)# mac-filtering cwa-list`	iPSK 認証の MAC フィルタリングを有効にします。

MAC アドレスバイパス障害の Web 認証の設定（GUI）

手順

ステップ 1

[Configuration] > [Tags and Profiles] > [WLANs] をクリックします。

ステップ 2

[Add] をクリックして新しい WLAN プロファイルを追加するか、編集するプロファイルをクリックします。

ステップ 3

[Edit WLAN] ウィンドウで、次の手順を実行します。

[Security] > [Layer2]を選択して、[MAC Filtering] チェックボックスをオンにして MAC フィルタリングを有効にします。
[Authorization List] ドロップダウンリストから値を選択します。
[Layer3] タブを選択します。
[Show Advanced Settings] をクリックして [On MAC Filter Failure] チェックボックスをオンにします。

MAC アドレスバイパス障害の Web 認証の設定（CLI）

クライアントが WLAN への接続試行時に MAC フィルタ（ローカルまたは RADIUS）を使用して認証できない場合、Web 認証にフォールバックするように設定できます。この機能を有効にするには、デバイスで MAC フィルタリングと Web 認証の両方を設定します。これにより、MAC フィルタ認証の失敗のみを理由に発生するアソシエーション解除も回避できます。この機能を設定するには、次の手順を実行します。

ポリシープロファイルの設定

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wireless profile policy policy-name

例:

Device(config)# wireless profile policy cwa

WLAN ポリシープロファイルを設定し、ワイヤレスポリシーコンフィギュレーションモードを開始します。

ステップ 3

central switching

例:

Device(config-wireless-policy)# central switching

中央スイッチングを有効にします。

ステップ 4

最初のオプションを使用してゲストフォーリンを設定するか、2 番目のオプションを使用してゲストアンカーを設定します。

mobility anchor anchor-ip-address
mobility anchor

例:

ゲストフォーリンの場合：

Device (config-wireless-policy)# mobility anchor 19.0.2.1

ゲストアンカーの場合：

Device (config-wireless-policy)# mobility anchor

ゲストフォーリンまたはゲストアンカーを設定します。

ステップ 5

vlan name

例:

Device(config-wireless-policy)# vlan 16

VLAN 名または VLAN ID を設定します。

（注）

ゲストフォーリンコントローラでは VLAN は任意です。

ステップ 6

no shutdown

例:

Device(config-wireless-policy)# no shutdown

ポリシープロファイルを有効にします。

WLAN プロファイルの設定

手順

	コマンドまたはアクション	目的
ステップ 1	wlan `guest-wlan-name` `wlan-id` `ssid` 例: `config# wlan test-wlan-guest 10 wlan-ssid`	ゲスト WLAN を設定します。
ステップ 2	mac-filtering `mac-auth-listname` authorization-override `override-auth-listname` 例: `config-wlan# mac-filtering mac-auth-listname authorization-override`	WLAN での MAC フィルタリングのサポートを設定します。
ステップ 3	security web-auth 例: `config-wlan# security web-auth`	Web 認証を有効にします。
ステップ 4	security web-auth on-macfilter-failure 例: `config-wlan# security web-auth on-macfilter-failure`	MAC フィルタ認証が失敗した場合に Web 認証を有効にします。

事前共有キーによる MAC 認証バイパス失敗時の Web 認証用 WLAN の設定（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_Name

例:

Device(config)# wlan wlan-test 3 ssid-test

WLAN コンフィギュレーションサブモードを開始します。

profile-name：設定されている WLAN のプロファイル名。
wlan-id：ワイヤレス LAN の ID。範囲は 1 ～ 512 です。
SSID_Name：最大 32 文字の英数字からなる SSID。

（注）

すでにこのコマンドを設定している場合は、wlan profile-name コマンドを入力します。

ステップ 3

mac-filtering auth-list-name

例:

Device(config-wlan)# mac-filtering test-auth-list

MAC フィルタリングパラメータを設定します。

ステップ 4

security wpa psk set-key ascii/hex key password

例:

Device(config-wlan)# security wpa psk set-key ascii 0 PASSWORD

PSK AKM の共有キーを設定します。

ステップ 5

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 6

security wpa akm psk

例:

Device(config-wlan)# security wpa akm psk

PSK サポートを設定します。

ステップ 7

security web-auth authentication-list authenticate-list-name

例:

Device(config-wlan)# security web-auth authentication-list default

dot1x セキュリティ用の認証リストを有効にします。

ステップ 8

security web-auth authorization-list authorize-list-name

例:

Device(config-wlan)# security web-auth authorization-list default

dot1x セキュリティ用の認可リストを有効にします。

ステップ 9

security web-auth on-macfilter-failure

例:

Device(config-wlan)# security web-auth on-macfilter-failure

MAC フィルタの失敗における Web 認証を有効にします。

ステップ 10

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth parameter-map WLAN1_MAP

パラメータマップを設定します。

（注）

パラメータマップが WLAN に関連付けられていない場合は、グローバルパラメータマップの設定と見なされます。

ステップ 11

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

OWE による MAC 認証バイパス失敗時の Web 認証用 WLAN の設定（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_Name

例:

Device(config)# wlan wlan-test 3 ssid-test

WLAN コンフィギュレーションサブモードを開始します。

profile-name：設定されている WLAN のプロファイル名。
wlan-id：ワイヤレス LAN の ID。範囲は 1 ～ 512 です。
SSID_Name：最大 32 文字の英数字からなる SSID。

（注）

すでにこのコマンドを設定している場合は、wlan profile-name コマンドを入力します。

ステップ 3

mac-filtering auth-list-name

例:

Device(config-wlan)# mac-filtering test-auth-list

MAC フィルタリングパラメータを設定します。

ステップ 4

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 5

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 のサポートを有効にします。

ステップ 6

security wpa akm owe

例:

Device(config-wlan)# security wpa akm owe

WPA3 OWE のサポートを有効にします。

ステップ 7

security web-auth authentication-list authenticate-list-name

例:

Device(config-wlan)# security web-auth authentication-list default

dot1x セキュリティ用の認証リストを有効にします。

ステップ 8

security web-auth authorization-list authorize-list-name

例:

Device(config-wlan)# security web-auth authorization-list default

dot1x セキュリティ用の認可リストを有効にします。

ステップ 9

security web-auth on-macfilter-failure

例:

Device(config-wlan)# security web-auth on-macfilter-failure

MAC フィルタの失敗における Web 認証を有効にします。

ステップ 10

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth parameter-map WLAN1_MAP

パラメータマップを設定します。

（注）

パラメータマップが WLAN に関連付けられていない場合は、グローバルパラメータマップの設定と見なされます。

ステップ 11

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

Secure Agile Exchange を使用した MAC 認証バイパス失敗時の Web 認証用 WLAN の設定（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_Name

例:

Device(config)# wlan wlan-test 3 ssid-test

WLAN コンフィギュレーションサブモードを開始します。

profile-name：設定されている WLAN のプロファイル名。
wlan-id：ワイヤレス LAN の ID。範囲は 1 ～ 512 です。
SSID_Name：最大 32 文字の英数字からなる SSID。

（注）

すでにこのコマンドを設定している場合は、wlan profile-name コマンドを入力します。

ステップ 3

mac-filtering auth-list-name

例:

Device(config-wlan)# mac-filtering test-auth-list

MAC フィルタリングパラメータを設定します。

ステップ 4

no security wpa akm dot1x

例:

Device(config-wlan)# no security wpa akm dot1x

dot1x に対するセキュリティの AKM を無効にします。

ステップ 5

security wpa wpa3

例:

Device(config-wlan)# security wpa wpa3

WPA3 のサポートを有効にします。

ステップ 6

security wpa akm sae

例:

Device(config-wlan)# security wpa akm sae

AKM SAE のサポートを有効にします。

ステップ 7

security web-auth authentication-list authenticate-list-name

例:

Device(config-wlan)# security web-auth authentication-list default

dot1x セキュリティ用の認証リストを有効にします。

ステップ 8

security web-auth authorization-list authorize-list-name

例:

Device(config-wlan)# security web-auth authorization-list default

dot1x セキュリティ用の認可リストを有効にします。

ステップ 9

security web-auth on-macfilter-failure

例:

Device(config-wlan)# security web-auth on-macfilter-failure

MAC フィルタの失敗における Web 認証を有効にします。

ステップ 10

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth parameter-map WLAN1_MAP

パラメータマップを設定します。

（注）

パラメータマップが WLAN に関連付けられていない場合は、グローバルパラメータマップの設定と見なされます。

ステップ 11

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

Dot1x による MAC 認証失敗時の Web 認証用 WLAN の設定（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wlan profile-name wlan-id SSID_Name

例:

Device(config)# wlan wlan-test 3 ssid-test

WLAN コンフィギュレーションサブモードを開始します。

profile-name：設定されている WLAN のプロファイル名。
wlan-id：ワイヤレス LAN の ID。範囲は 1 ～ 512 です。
SSID_Name：最大 32 文字の英数字からなる SSID。

（注）

すでに WLAN を設定している場合は、設定した WLAN のプロファイル名をコマンド（wlan profile-name）に入力し、残りの設定手順を続行します。

ステップ 3

mac-filtering auth-list-name

例:

Device(config-wlan)# mac-filtering test-auth-list

MAC フィルタリングパラメータを設定します。

ステップ 4

security dot1x authentication-list dot1x-authentication-list

例:

Device(config-wlan)# security dot1x authentication-list dot1x-authentication-list

802.1x を設定します。

ステップ 5

security web-auth authentication-list authenticate-list-name

例:

Device(config-wlan)# security web-auth authentication-list default

認証リストを有効にします。

ステップ 6

security web-auth on-macfilter-failure

例:

Device(config-wlan)# security web-auth on-macfilter-failure

MAC フィルタの失敗における Web 認証を有効にします。

ステップ 7

security web-auth parameter-map parameter-map-name

例:

Device(config-wlan)# security web-auth parameter-map WLAN1_MAP

Web 認証パラメータマップを設定します。

（注）

パラメータマップが WLAN に関連付けられていない場合は、グローバルパラメータマップの設定と見なされます。

ステップ 8

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ（Cisco IOS XE 17.15.x）ソフトウェア コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： 無線ゲスト アクセス

無線ゲスト アクセス