ユーザー定義ネットワーク

ユーザー定義ネットワークについて

ユーザー定義ネットワーク(UDN)は、寮の部屋、寮のホール、教室、講堂などの共有サービス環境において、デバイスのセキュアでリモートのオンボーディングを提供することを目的としたソリューションです。このソリューションにより、ユーザーは Apple Bonjour などの Simple Discovery Protocol(SDP)、mDNS ベースのプロトコル(Air Play、Air Print、Screen Cast、Print など)、および UPnP ベースのプロトコルを使用して、共有環境内の登録されたデバイスのみとやり取りし、情報を共有することができます。また、デバイスやリソースを友人やルームメイトと安全に共有することもできます。

UDN ソリューションによって仮想セグメントを作成するための簡単な方法が提供され、これにより、ユーザーはデバイスを追加するためのプライベートセグメントを作成できます。これらのデバイスへのトラフィック(ユニキャスト、非レイヤ 3 マルチキャスト、またはブロードキャスト)は、プライベートセグメント内の他のデバイスおよびユーザーにのみ表示されます。また、この機能により、ユーザーが共有環境内の他のユーザーに属するデバイスを故意または無意識に制御するというセキュリティ上の懸念も排除されます。現時点では、UDN はローカルモードでのみサポートされています。

図 1. ユーザー定義ネットワークトポロジ

ユーザー定義ネットワークソリューションのワークフロー

  • ユーザー定義ネットワークはコントローラで有効にされ、ポリシープロファイルが使用されて、ポリシー設定がサイト上のすべての WLAN にプッシュされます。

  • ユーザー定義ネットワークの関連付けは、UDN クラウドサービスによって自動的に生成され、ユーザーに属するすべてのデバイスに継承されます。

  • ユーザーは、Web ポータルまたはモバイルアプリケーションを使用して、割り当てられたユーザー定義ネットワークのデバイスを追加または変更することができます。ユーザーは、別のユーザー定義ネットワークに参加するように招待された場合、そのユーザー定義ネットワークにデバイスを追加することもできます。

  • コントローラは、ユーザー定義ネットワークに割り当てられたクライアントまたはリソースの情報を使用して更新されます。


(注)  

Cisco Identity Services Engine(ISE)ポリシー インフラストラクチャは、ユーザー定義ネットワーク情報の更新には使用されません。ユーザー定義ネットワークに変更があるたびに、ISE は、ユーザー定義ネットワーク ID の変更のみを含む明示的または個別の認可変更(CoA)を使用してコントローラを更新します。

ユーザー定義ネットワークに関する制限事項

  • ユーザーは 1 つの UDN にのみ関連付けることができます。

  • コントローラ間でのローミングはサポートされていません。

  • この機能は、Cisco Mobility Express および Cisco AireOS プラットフォームには適用されません。したがって、IRCM はサポートされません。

  • この機能は、Wave 2 アクセスポイントおよび Cisco Catalyst 9100 シリーズ アクセスポイントのローカルモードでのみサポートされます。

  • この機能は、中央でスイッチされる SSID でのみサポートされます。

  • この機能は、Flex モードの AP ではサポートされません。

  • この機能はファブリック SSID ではサポートされません。

  • この機能は、ゲストアンカーのシナリオではサポートされません。

  • レイヤ 2 およびレイヤ 3 ローミングはサポートされていません。

  • UDN を使用したレイヤ 3 マルチキャスト(SSDP/UPnP を除く)の封じ込めはサポートされていません。L3 マルチキャストは現在と同じように機能し続けます。

  • UDN が無効になっている場合、GUI でユーザー定義の [drop unicast] オプションを有効にすることは推奨されません。

  • UDN+ ソリューションをシスコの独占パートナー、Splash Access と統合する場合は、SSID のポリシープロファイルから UDN を無効にすることをお勧めします。


    (注)  

    UDN+ はソリューションを簡素化し、Meraki および Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ ベースの導入環境で同じ独自のユーザー体験を提供します。

ユーザー定義ネットワークの設定

ユーザー定義ネットワーク設定はサイトベースであり、ポリシープロファイルの一部として追加されます。ポリシーを適用すると、WLAN 全体で、サイトのネットワーク内のすべてのクライアントまたはデバイスにポリシーが適用されます。

有効にすると、ポリシープロファイルは UDN-ID に基づいて mDNS クエリのフィルタリングも適用します。

始める前に

  • UDN ソリューションを機能させるには、RADIUS サーバーを設定する必要があります。

  • ポリシープロファイルで aaa-override を設定します。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile policy profile-name

例:

Device(config)# wireless profile policy policy-wpn

ポリシープロファイルを作成します。

profile-name は、ポリシープロファイルのプロファイル名です。

ステップ 3

user-defined-network

例:

Device(config-wireless-policy)# user-defined-network

ユーザー定義のプライベートネットワークを有効にします。

ステップ 4

user-defined-network drop-unicast

例:

Device(config-wireless-policy)# user-defined-network drop-unicast

ユニキャストトラフィックをドロップするアクションを設定します。

デフォルトでは、ユニキャストトラフィックは UDN で許可されています。

ステップ 5

exit

例:

Device(config-wireless-policy)# exit

グローバル コンフィギュレーション モードを開始します。

ステップ 6

ap remote-lan-policy policy-name policy-name

例:

Device(config)# ap remote-lan-policy policy-name policy-wpn

リモート LAN ポリシープロファイルを設定します。

ステップ 7

user-defined-network

例:

Device(config-remote-lan-policy)# user-defined-network

ユーザー定義のプライベートネットワークを有効にします。

ステップ 8

user-defined-network drop-unicast

例:

Device(config-remote-lan-policy)# user-defined-network drop-unicast

ユニキャストトラフィックをドロップするアクションを設定します。

ユーザー定義ネットワークの設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Policy] を選択します。

ステップ 2

[Policy Profile] ウィンドウで、ポリシープロファイルを選択します。

ステップ 3

[Edit Policy Profile] ウィンドウで、[Advanced] タブをクリックします。

ステップ 4

[User Defined Network] セクションで、[Status] チェックボックスをオンにして、ユーザー パーソナル ネットワークを有効にします。

ステップ 5

[Drop Unicast] チェックボックスをオンにして、アクションをユニキャストトラフィックのドロップに設定します。

デフォルトでは、ユニキャストトラフィックは含まれません。

ユーザー定義ネットワーク設定の確認

UDN 機能のステータス(有効または無効)とドロップユニキャストフラグに関する情報を表示するには、次のコマンドを使用します。

Device# show wireless profile policy detailed default-policy-profile

User Defined (Private) Network               : Enabled
User Defined (Private) Network Unicast Drop  : Enabled

クライアントが属する UDN の名前を表示するには、次のコマンドを使用します。

Device# show wireless client mac-address 00:0d:ed:dd:35:80 detailed

User Defined (Private) Network : Enabled
User Defined (Private) Network Drop Unicast : Enabled
              Private group name: upn*group*7
              Private group id : 7777
              Private group owner: 1
              Private group name: upn*group*7
              Private group id : 7777
              Private group owner:

AP からコントローラに送信された UDN ペイロードを表示するには、次のコマンドを使用します。

Device# show wireless stats client detail | inc udn    
    
Total udn payloads sent                           : 1

コントローラで mDNS ゲートウェイが有効になっている場合、mDNS サービスは、ユーザー プライベート ネットワークが有効になっている WLAN 上のすべてのクライアントのユーザー プライベート ネットワーク ID に基づいて、自動的にフィルタリングされます。

プライベートネットワークのサービスインスタンスを表示するには、次のコマンドを使用します。

Device# show mdns-sd cache udn 7777 detail 

Name: _services._dns-sd._udp.local
  Type: PTR
  TTL: 4500
  WLAN: 2
  WLAN Name: mdns-psk
  VLAN: 16
  Client MAC: f4f9.51e2.a6a6                  
  AP Ethernet MAC: 002a.1087.d68a                  
  Remaining-Time: 4486
  Site-Tag: default-site-tag
  mDNS Service Policy: madhu-mDNS-Policy
  Overriding mDNS Service Policy: NO
  UDN-ID: 7777
  UDN-Status: Enabled
  Rdata: _airplay._tcp.local
.
.
.

共有 UDN ID から学習されたサービスインスタンスを表示するには、次のコマンドを使用します。 

Device# show mdns-sd cache udn shared 

------------------------------------------------------------- PTR Records -----------------------------------------------------------------
RECORD-NAME                                    TTL      TYPE      ID    CLIENT-MAC       RR-RECORD-DATA
-------------------------------------------------------------------------------------------------------------------------------------------
9.1.1.7.5.D.E.F.F.F.6.C.7.E.2.1.0.0.0.0.0.0.0  4500     WLAN      2     10e7.c6d5.7119   HP10E7C6D57119-2860.local
_services._dns-sd._udp.local                   4500     WLAN      2     10e7.c6d5.7119   _ipps._tcp.local
_universal._sub._ipps._tcp.local               4500     WLAN      2     10e7.c6d5.7119   HP DeskJet 5000 series [D57119] (3127)._ipps._tcp.
_print._sub._ipps._tcp.local                   4500     WLAN      2     10e7.c6d5.7119   HP DeskJet 5000 series [D57119] (3127)._ipps._tcp.
_ePCL._sub._ipps._tcp.local                    4500     WLAN      2     10e7.c6d5.7119   HP DeskJet 5000 series [D57119] (3127)._ipps._tcp.
_ipps._tcp.local                               4500     WLAN      2     10e7.c6d5.7119   HP DeskJet 5000 series [D57119] (3127)._ipps._tcp.
_services._dns-sd._udp.local                   4500     WLAN      2     10e7.c6d5.7119   _ipp._tcp.local
_universal._sub._ipp._tcp.local                4500     WLAN      2     10e7.c6d5.7119   HP DeskJet 5000 series [D57119] (3127)._ipp._tcp.l
_print._sub._ipp._tcp.local                    4500     WLAN      2     10e7.c6d5.7119   HP DeskJet 5000 series [D57119] (3127)._ipp._tcp.l
_ePCL._sub._ipp._tcp.local                     4500     WLAN      2     10e7.c6d5.7119   HP DeskJet 5000 series [D57119] (3127)._ipp._tcp.l
_ipp._tcp.local                                4500     WLAN      2     10e7.c6d5.7119   HP DeskJet 5000 series [D57119] (3127)._ipp._tcp.l
.
.
.
 
------------------------------------------------------------- SRV Records -----------------------------------------------------------------
RECORD-NAME                                    TTL      TYPE      ID    CLIENT-MAC       RR-RECORD-DATA
-------------------------------------------------------------------------------------------------------------------------------------------
HP DeskJet 5000 series [D57119] (3127)._ipp._  4500     WLAN      2     10e7.c6d5.7119   0 0 631 HP10E7C6D57119-2860.local
HP DeskJet 5000 series [D57119] (3127)._http.  4500     WLAN      2     10e7.c6d5.7119   0 0 80 HP10E7C6D57119-2860.local
HP DeskJet 5000 series [D57119] (3127)._ipps.  4500     WLAN      2     10e7.c6d5.7119   0 0 631 HP10E7C6D57119-2860.local
HP DeskJet 5000 series [D57119] (3127)._uscan  4500     WLAN      2     10e7.c6d5.7119   0 0 8080 HP10E7C6D57119-2860.local
.
.
.
------------------------------------------------------------ A/AAAA Records ---------------------------------------------------------------
RECORD-NAME                                    TTL      TYPE      ID    CLIENT-MAC       RR-RECORD-DATA
-------------------------------------------------------------------------------------------------------------------------------------------
HP10E7C6D57119-2860.local                      4500     WLAN      2     10e7.c6d5.7119   8.16.16.99
 
------------------------------------------------------------- TXT Records -----------------------------------------------------------------
RECORD-NAME                                    TTL      TYPE      ID    CLIENT-MAC       RR-RECORD-DATA
-------------------------------------------------------------------------------------------------------------------------------------------
HP DeskJet 5000 series [D57119] (3127)._ipp._  4500     WLAN      2     10e7.c6d5.7119   [502]'txtvers=1''adminurl=http://HP10E7C6D57119-28
HP DeskJet 5000 series [D57119] (3127)._http.  4500     WLAN      2     10e7.c6d5.7119   [1]''
HP DeskJet 5000 series [D57119] (3127)._ipps.  4500     WLAN      2     10e7.c6d5.7119   [502]'txtvers=1''adminurl=http://HP10E7C6D57119-28
.
.
.

マルチキャスト DNS(mDNS)サービス検出キャッシュの詳細を表示するには、次のコマンドを使用します。 

Device# show mdns-sd cache detail 

Name: _printer._tcp.local
  Type: PTR
  TTL: 4500
  VLAN: 21
  Client MAC: ace2.d3bc.047e                  
  Remaining-Time: 4383
  mDNS Service Policy: default-mdns-service-policy
  Rdata: HP OfficeJet Pro 8720 [BC047E] (2)._printer._tcp.local