WLAN

WLAN について

この機能により、Lightweight アクセスポイントに対して WLAN を制御できます。各 WLAN には識別子である WLAN ID、プロファイル名、および WLAN SSID があります。アクセスポイントはすべて、最大 16 の WLAN をアドバタイズできます。ただし、最大 4096 の WLAN を作成し、これらの WLAN を(プロファイルとタグを使用して)別のアクセスポイントに選択的にアドバタイズして、管理性を向上できます。

異なる SSID または同じ SSID で WLAN を設定できます。SSID は、デバイスがアクセスする必要がある特定のワイヤレスネットワークを識別します。


(注)  

no configure max-user-identity response コマンドが設定されている場合でも、wireless client max-user-login concurrent コマンドは意図したとおりに機能します。


(注)  

password encryption aes および key config-key password-encrypt key コマンドを設定して、パスワードを暗号化することをお勧めします。


(注)  

Cisco IOS XE Cupertino 17.7.1 リリース以降では、8 つの WLAN のみが 6 GHz 帯域でブロードキャストされます。

(注)  

C9105、C9115、および C9120 AP の場合、新しい WLAN がコントローラからプッシュされ、既存の WLAN 機能パラメータが変更されると、他の WLAN クライアントは切断され、再接続されます。

バンドの選択

帯域選択によって、デュアルバンド(2.4 GHz および 5 GHz)動作が可能なクライアントの無線を、輻輳の少ない 5 GHz アクセスポイントに移動できます。2.4 GHz 帯域は、混雑していることがあります。この帯域のクライアントは一般に、Bluetooth デバイス、電子レンジ、およびコードレス電話機からの干渉を受けるだけでなく、他のアクセス ポイントからの同一チャネル干渉も受けます。これは、802.11b/g では、重複しないチャネルの数が 3 つに制限されているためです。このような干渉源を防ぎ、ネットワーク全体のパフォーマンスを向上させるには、deviceで帯域選択を設定します。

オフチャネル スキャンの保留

通常の動作状態では、Lightweight アクセスポイントは定期的にオフチャネルになり、別のチャネルをスキャンします。これは、次のような RRM 動作を実行するためのものです。

  • 他の AP を使用したネイバー探索プロトコル(NDP)パケットの送受信

  • 不正 AP とクライアントの検出

  • ノイズと干渉の測定

オフチャネル期間は通常は約 70 ミリ秒で、この期間は AP は対応するチャネル上でデータの送受信ができません。したがって、パフォーマンスに若干の影響が及び、一部のクライアント送信がドロップされることがあります。

AP が重要なデータを送受信している間はオフチャネルスキャンを保留するように設定して、AP がオフチャネルにならず、通常動作に影響を与えないようにすることができます。オフチャネル スキャンの保留は、指定した時間しきい値(ミリ秒単位)で WMM UP クラス単位で WLAN ごとに設定できます。AP が指定されたしきい値内の所定の UP クラスでマークされたデータ フレームを特定の WLAN 上で送受信している場合、その AP は次の RRM オフチャネル スキャンを保留します。たとえば、デフォルトでは、オフチャネル スキャンの保留は UP クラス 4、5、および 6 に対して 100 ミリ秒の時間しきい値で有効になります。したがって、RRM がオフチャネル スキャンを実行しようとしているときに直近の 100 ミリ秒内に UP 4、5、または 6 でマークされたデータ フレームを受信すると、RRM はオフチャネルになるのを保留します。音声サンプルを送受信している音声コールがアクティブな 20 ミリ秒ごとに UP 6 としてマークされる場合、AP 無線はオフチャネルになりません。

オフチャネル スキャンの保留ではトレードオフが生じます。オフチャネル スキャンは、設定やトラフィック パターンなどに応じて 2% 以上の影響をスループットに与える可能性があります。すべてのトラフィック クラスに対してオフチャネル スキャンの保留を有効にし、時間しきい値を引き上げると、スループットが若干改善する可能性があります。ただし、オフチャネルにならないようにすることによって、RRM は AP ネイバーや不正を識別できず、セキュリティ、DCA、TPC、および 802.11k メッセージに悪影響が及びます。

DTIM 周期

802.11 ネットワークでは、Lightweight アクセス ポイントは、Delivery Traffic Indication Map (DTIM) と一致するビーコンを定期的に送信します。アクセス ポイントでビーコンがブロードキャストされると、DTIM 期間で設定した値に基づいて、バッファされたブロードキャスト フレームおよびマルチキャスト フレームが送信されます。この機能により、ブロードキャスト データやマルチキャスト データが予想されると、適切なタイミングで省電力クライアントを再起動できます。

通常、DTIM の値は 1(ビーコンのたびにブロードキャストフレームおよびマルチキャストフレームを送信)または 2(ビーコン 1 回おきにブロードキャストフレームおよびマルチキャストフレームを送信)のいずれかに設定します。たとえば、802.11 ネットワークのビーコン間隔が 100 ミリ秒で DTIM 値が 1 に設定されている場合、アクセスポイントは、バッファされたブロードキャストフレームおよびマルチキャストフレームを毎秒 10 回送信します。ビーコン期間が 100 ミリ秒で DTIM 値が 2 に設定されている場合、アクセスポイントは、バッファされたブロードキャストフレームおよびマルチキャストフレームを毎秒 5 回送信します。これらの設定はいずれも、ブロードキャスト フレームおよびマルチキャスト フレームの頻度を想定する、Voice over IP(VoIP)を含むアプリケーションに適しています。

ただし、DTIM 値は 255 まで設定できます(255 回のビーコンごとにブロードキャストフレームおよびマルチキャストフレームを送信します)。推奨される DTIM 値は 1 と 2 のみです。 DTIM の値を高くすると、通信の問題が発生する可能性があります。


(注)  

ビーコン期間は、deviceでミリ秒単位で指定され、ソフトウェアによって、802.11 の時間単位(TU)(1 TU = 1.024 ミリ秒)に、内部的に変換されます。AP モデルによっては、実際のビーコン期間はわずかに異なる場合があります。たとえば、100 ミリ秒のビーコン期間は、実際には 104.448 ミリ秒に相当します。

WLAN 無線ポリシー

既存の WLAN 機能により、該当するすべてのスロットで指定された無線の WLAN をブロードキャストできます。WLAN 無線ポリシー機能を使用すると、対応するスロットで WLAN をブロードキャストできます。なおこのオプションは、5 GHz 帯域でのみサポートされます。

WLAN 無線ポリシーに関する制限事項

  • WLAN は、次の設定が使用されている場合にのみ、すべての無線にプッシュされます。

    • WPA3 + AES 暗号 + 802.1x-SHA256 AKM

    • WPA3 + AES 暗号 + OWE AKM

    • WPA3 + AES 暗号 + SAE AKM

    • WPA3 + CCMP256 暗号 + SUITEB192-1X AKM

    • WPA3 + GCMP256 暗号 + SUITEB-1X AKM

    • WPA3 + GCMP128 暗号 + SUITEB192-1X AKM

Cisco Client Extensions を実装するための前提条件

  • ソフトウェアは、CCX バージョン 1 ~ 5 をサポートします。これによって、devicesとそのアクセス ポイントは、CCX をサポートするサードパーティ製クライアント デバイスと無線で通信できます。CCX サポートは、device上の各 WLAN に対して自動的に有効になり、無効にすることはできません。ただし、Aironet Information Element(IE)を設定できます。

  • Aironet IE のサポートが有効になっている場合、アクセス ポイントは、Aironet IE 0x85(アクセス ポイント名、ロード、アソシエートされたクライアントの数などを含む)をこの WLAN のビーコンやプローブ応答に格納して送信します。また、アクセス ポイントが再アソシエーション要求内の Aironet IE 0x85 を受信する場合、deviceは、Aironet IEs 0x85 および 0x95(deviceの管理 IP アドレスおよびアクセス ポイントの IP アドレスを含む)を再アソシエーション応答に格納して送信します。

ピアツーピア ブロック

ピアツーピア ブロッキングは個別の WLAN に対して適用され、各クライアントが、アソシエート先の WLAN のピアツーピア ブロッキング設定を継承します。ピア ツー ピアにより、トラフィックをリダイレクトする方法を制御できます。たとえば、トラフィックがdevice内でローカルにブリッジされたり、deviceによってドロップされたり、またはアップストリーム VLAN に転送されるように選択することができます。

ピアツーピアブロッキングは、ローカルおよび中央スイッチングの WLAN にアソシエートされているクライアントに対してサポートされています。


(注)  

ピアツーピアブロッキング機能は VLAN ベースです。ピアツーピアブロッキング機能が有効になっている場合、同じ VLAN を使用する WLAN で影響が生じます。

診断チャネル

クライアントの WLAN による通信で問題が生じる理由についてトラブルシューティングする診断チャネルを選択できます。クライアントで発生している問題を識別し、ネットワーク上でクライアントを動作させるための修正措置を講じるために、クライアントとアクセス ポイントをテストできます。診断チャネルを有効にするには、deviceの GUI または CLI を使用します。また、診断テストを実行するには、device diag-channel の CLI を使用します。


(注)  

診断チャネル機能は、管理インターフェイスを使用するアンカーされていない SSID に対してのみ有効にすることをお勧めします。CCX 診断機能は Cisco ADU カードを持つクライアントでのみテストされています。

WLAN の前提条件

  • 最大 16 個の WLAN を各アクセスポイントグループにアソシエートし、各グループのに特定のアクセスポイントを割り当てることができます。 各アクセス ポイントは、有効化されている WLAN のうち、そのアクセス ポイント グループに属する WLAN だけをアドバタイズします。アクセス ポイント グループで無効化されている WLAN または別のグループに属する WLAN はアドバタイズしません。

  • devicesが VLAN トラフィックを正常にルーティングできるように、WLAN と管理インターフェイスにはそれぞれ別の VLAN を割り当てることをお勧めします。

WLAN の制約事項

  • WLAN で PSK と CCKM を設定しないでください。この設定はサポートされておらず、クライアントの接続フローに影響します。

  • WPA1 設定で TKIP または AES 暗号が有効になっていることを確認してください。有効になっていない場合、アップグレードプロセス中に ISSU が壊れる可能性があります。

  • WLAN のプロファイル名を変更すると、FlexConnect AP(AP 固有の VLAN マッピングを使用する)が WLAN 固有になります。FlexConnect グループが設定されている場合、VLAN マッピングはグループ固有になります。

  • Flex ローカル認証が有効にされている WLAN では、Fast Transition 802.1X キー管理でクライアント関連付けがサポートされないため、IEEE 802.1X Fast Transition を有効にしないでください。

  • ピアツーピア ブロッキングは、マルチキャスト トラフィックには適用されません。

  • FlexConnect では、特定の FlexConnect AP または一部の AP のみにピアツーピア ブロッキング設定を適用することはできません。SSID をブロードキャストするすべての FlexConnect AP に適用されます。

  • WLAN 名と SSID は 32 文字以内にする必要があります。

  • WLAN および SSID 名では、次の ASCII 文字のみサポートされます。

    • 数字:48 から 57 の 16 進数(0 ~ 9)

    • アルファベット(大文字):65 から 90 の 16 進数(A ~ Z)

    • アルファベット(小文字):97 から 122 の 16 進数(a ~ z)

    • ASCII スペース:20 の 16 進数

    • 印刷可能な特殊文字:21 から 2F、3A から 40、および 5B から 60 の 16 進数。つまり、! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

  • WLAN 名はキーワードにはできません。たとえば、wlan s コマンドを入力して、「s」という名前で WLAN を作成しようとすると、「s」はシャットダウン用のキーワードとして使用されているため、すべての WLAN がシャットダウンします。

  • WLAN を VLAN 0 にマッピングすることはできません。同様に、WLAN を VLAN 1002 ~ 1006にマッピングすることはできません。

  • 固定 IPv4 アドレスのデュアル スタック クライアントはサポートされません。

  • Cisco 9800 コントローラで IPv4 と IPv6 が設定されているデュアルスタックでは、IPv4 トンネルが消去される前に AP が IPv6 トンネルを使用してコントローラに参加しようとすると、トレースバックが表示され、AP の参加は失敗します。

  • 同じ SSID を持つ WLAN を作成するときには、各 WLAN に対して一意のプロファイル名を作成する必要があります。

  • 同じ SSID を持つ複数の WLAN を同じ AP 無線に割り当てる場合は、クライアントがその中から安全に選択できるように、一意のレイヤ 2 セキュリティ ポリシーを使用している必要があります。

  • ユーザー プロファイルの一部として送信される SSID は、aaa override コマンドが設定されている場合にのみ機能します。

  • RADIUS サーバーの上書きは、WLAN ごとではなく、AAA サーバーグループごとに設定されます。

  • ダウンロード可能 ACL(DACL)は、中央スイッチングモードでのみサポートされます。Flex Local スイッチングまたは Cisco Embedded Wireless Controller ではサポートされていません。

  • オープン構成モデルと、CLI ベース、GUI ベース、または Catalyst Center ベースの構成を混在させることはできません。複数のモデルタイプを使用する場合は、各モデルを互いに独立させておく必要があります。たとえば、オープン構成モデルでは、CLI ベースまたは GUI ベースのモデルではなく、オープン構成モデルを使用して作成された構成のみ管理できます。オープン構成モデルを使用して作成された構成は、GUI ベースのモデル、CLI ベースのモデル、またはその他のモデルを使用して変更することはできません。

  • dot11bg 11g コマンドと radio dot11bg または radio dot11g コマンドを設定している場合、クライアントは 5 GHz 無線で接続できます。このシナリオでは、クライアント関連付けをブロックする必要があります。このオプションは、2.4 GHz 無線でのみ使用できます。


注意    

一部のクライアントが複数のセキュリティ ポリシーで同じ SSID を検出すると WLAN に正しく接続できない場合があります。この WLAN 機能を使用する際は注意してください。

WLAN の設定方法

WLAN ウィザード

WLAN(無線 LAN)は、有線接続ではなく無線伝送に基づいてネットワークを形成するデバイスのグループです。WebUI の WLAN ウィザードは、WLAN を迅速に作成し、特定の展開用のプライマリ設定をセットアップするのに役立つように設計された簡素化されたワークフローです。

ウィザードは、次のワイヤレス展開モードをサポートしています。

  • ローカルモード:ローカルモードでは、WLAN はキャンパス内でローカルにブロードキャストされます。

  • Flex Connect モード:FlexConnect モードでは、WLAN はブランチ内の WAN を介してリモートでブロードキャストされます。

  • ゲスト CWA モード:ゲスト CWA モードでは、WLAN は中央 Web 認証(CWA)を使用するゲストアクセス用に作成されます。

展開モードごとに異なる認証方式がサポートされています。


重要

次の手順は WLAN の設定に役立ち、従わないとエラーが発生する可能性があります。

WebUI で WLAN ウィザードを使用して WLAN を希望するワイヤレス展開モードに設定するには、[Configuration] > [Wireless Setup] > [WLAN Wizard] の順に移動します。

次のパスを使用して WLAN ウィザードに移動することもできます。

  • ツールバーで、[Wireless Setup] アイコンをクリックし、ドロップダウンリストから [WLAN Wizard] を選択します。

  • 左側のナビゲーションウィンドウで、[Configuration] > [Tags & Profiles] > [WLANs] に移動し、右上隅にある [WLAN Wizard] をクリックします。

[WLAN Wizard] ページで、WLAN のワイヤレス展開モードを選択して、プロファイル、認証方式、タグ、AP、およびその他の設定を使用して WLAN を設定する手順を開始します。

ローカルモード

WLAN が分散拠点のないオフィスセットアップに存在する場合、WLAN はローカルモードで展開されます。ローカルモードでは、AP はコントローラへの 2 つの CAPWAP トンネルを作成します。1 つは管理用で、もう 1 つはデータトラフィックです。この動作は「中央スイッチング」と呼ばれます。データトラフィックが AP からコントローラにトンネル化(ブリッジ)され、そこからルーティングデバイスによってルーティングされるためです。ローカルスイッチングとは、アクセスポイントに隣接するローカルスイッチでトラフィックが終端されることを意味します。

認証方式

ローカルモードの WLAN を設定するには、左側のパネルから優先する認証方式を選択します。認証方式により、クライアントが WLAN にアクセスできる方法が設定され、WLAN のセキュリティレベルが決定されます。次のオプションがあります。

  • PSK:事前共有キー(PSK)は、同じ SSID の個人またはユーザーグループのために作成された一意のキーです。クライアントが認証され、WLAN へのアクセスが許可されるには、PSK を入力する必要があります。

  • Dot1x:クライアントは、WLAN でトラフィックの交換を開始するために、関連する EAP 認証モデルを通過する必要があります。

  • ローカル Web 認証:コントローラは、htttp(s) トラフィックを代行受信し、認証のためにクライアントを内部 Web ページにリダイレクトします。

  • 外部 Web 認証:コントローラは htttp(s) トラフィックを代行受信し、認証のために、外部 Web サーバーでホストされているログインページにクライアントをリダイレクトします。

  • 中央 Web 認証:コントローラは、認証のために、すべての Web トラフィックをクライアントから ISE ログインページにリダイレクトします。

WLAN のプロファイルとポリシー

認証方式を選択した後、左側のパネルで [WLAN] をクリックして、WLAN のプロファイルとポリシーの詳細を入力します。

WLAN プロファイルは、プロファイル名、ステータス、WLAN ID、L2 および L3 のセキュリティパラメータ、この SSID に関連付けられた AAA サーバー、特定の WLAN に固有のその他のパラメータなど、WLAN のプロパティを定義します。ポリシープロファイルは、クライアントのネットワークポリシーとスイッチングポリシーを定義します(AP ポリシーも構成する QoS は除きます)。

手順

ステップ 1

[Network Name] セクションで、ワイヤレスネットワークの一意の名前である [WLAN profile name] を入力します。名前には、32 ~ 126 文字の ASCII 文字を使用できます(先頭と末尾のスペースはなし)。

ステップ 2

WLAN の有効な [SSID] を入力します。有効な SSID は最大 32 文字で、スペースを含めることができます。有効な SSID は、0 ~ 31 文字の ASCII 文字です(先頭と末尾のスペースを含む)。これは、WLAN のブロードキャスト名です。

ステップ 3

[WLAN ID] を入力します。

ステップ 4

[WLAN Policy] セクションで、[Policy Profile name] を入力します。名前には、32 ~ 126 文字の ASCII 文字を使用できます(先頭と末尾のスペースはなし)。

ステップ 5

ドロップダウンリストから、ポリシープロファイルに関連付ける [VLAN] を選択します。

ステップ 6

WLAN の既存のポリシープロファイルを選択するには、[Select Existing] をクリックし、ドロップダウンリストから [Policy Profile] を選択します。

認証設定

選択した方法に応じて、WLAN の認証設定とフィルタを設定します。これには、選択した認証方式に適用可能なキー、フィルタ、ACL、およびパラメータマップが含まれます。

手順

ステップ 1

認証方式として [PSK] を選択した場合は、次のように設定します。

  1. [WLAN] > [Pre-Shared Key (PSK)] セクションで、PSK 形式を選択します。ASCII 形式と 16 進数形式のいずれかを選択します。

  2. [PSK type] ドロップダウンリストから、キーを暗号化しないか、AES で暗号化するかを選択します。

  3. [Pre-Shared Key] フィールドに、WLAN のパスキーを入力します。

ステップ 2

認証方式として [Dot1x] を選択した場合は、次のように設定します。

  1. [WLAN] > [AAA] タブで、WLAN の AAA サーバーリストを設定します。

  2. 使用可能な AAA サーバーのいずれかを選択し、WLAN に追加します。

  3. 新しい AAA サーバーをリストに追加するには、[Add New Server] をクリックし、IP アドレスとサーバーキーを入力します。

  4. 設定済みの AAA サーバーリストを使用するには、[Use Existing] をクリックし、ドロップダウンから適切なリストを選択します。

ステップ 3

認証方式として [Local Web Authentication] を選択した場合は、次のように設定します。

  1. [WLAN] > [Parameter Map] タブで、WLAN のパラメータマップを設定します。パラメータマップにより、認証時に加入者セッションに適用できるパラメータが設定されます。

    1. [Global Configuration] セクションで、グローバルパラメータマップを設定します。

    2. IPv4 または IPv6 アドレスを入力して、クライアントをコントローラのログインページにリダイレクトするための仮想 IP アドレスを設定します。

    3. [Trustpoint] ドロップダウンリストから、HTTPS ログインページのトラストポイントを選択します。このトラストポイントは、コントローラが仮想 IP およびホスト名とともに使用するデバイス証明書に対応しています。

    4. [WLAN Specific Configuration] セクションで、WLAN の新しいパラメータマップを作成するか、ドロップダウンリストから既存のパラメータマップを選択します。

  2. [WLAN] > [Local Users] タブで、ローカルデータベースのユーザー名を入力し、ユーザー名ベースの認証システムを設定します。

    1. 保存するユーザー名を入力します。

    2. [Password Encryption] ドロップダウンリストから、パスワードを暗号化しないか、暗号化するかを選択します。

    3. [Password] フィールドには、ユーザーがスイッチにアクセスする場合に入力する必要のあるパスワードを指定します。パスワードは 1 ~ 25 文字で、埋め込みスペースを使用できます。

    4. [+] 記号をクリックして、ログイン情報をデータベースに追加します。必要な数のユーザーのログイン情報を追加します。

ステップ 4

認証方式として [External Web Authentication] を選択した場合は、次のように設定します。

  1. [WLAN] > [Parameter Map] タブで、WLAN のパラメータマップを設定します。

    1. [Global Configuration] セクションで、グローバルパラメータマップを設定します。

    2. IPv4 または IPv6 アドレスを入力して、ゲストユーザーのリダイレクト先となる外部 Web 認証ログインページの仮想 IP アドレスを設定します。

    3. [Trustpoint] ドロップダウンリストから、HTTPS ログインページのトラストポイントを選択します。このトラストポイントは、コントローラが仮想 IP およびホスト名とともに使用するデバイス証明書に対応しています。

    4. [WLAN Specific Configuration] セクションで、WLAN の新しいパラメータマップを作成するか、ドロップダウンリストから既存のパラメータマップを選択します。

    5. 新しいパラメータマップを作成するには、パラメータマップ名を入力します。

    6. [Redirect URL for login] フィールドに、ログイン用の認証ページをホストする外部サーバーの URL を入力します。

    7. [Portal IPV4 Address] フィールドに、リダイレクトを送信する外部サーバーの IPv4 アドレスを入力します。外部サーバーが IPv6 アドレスを使用する場合は、[Portal IPV6 Address] フィールドに、リダイレクトを送信するポータルの IPv6 アドレスを入力します。

  2. [WLAN] > [ACL / URL Filter] タブで、ACL ルールと URL フィルタリストを設定します。

    1. [Pre Auth ACL] セクションで、ACL の名前を入力します。

    2. [IP address] フィールドに、送信元 IP アドレスと宛先 IP アドレスを入力します。これにより、指定した IP アドレスとの間のパケット転送を許可するように ACL が設定されます。IP アドレスは必要な数だけ追加できます。

    3. [URL Filter] セクションで、作成する URL フィルタリストの名前を入力します。

    4. スライダを使用して、リストアクションを URL の [Permit] または [Deny] に設定します。

    5. [URLs] ボックスで URL を指定します。すべての URL を新しい行に入力します。

ステップ 5

認証方式として [Central Web Authentication] を選択した場合は、次のように設定します。

  1. [WLAN] > [AAA/ACL] タブで、WLAN の AAA サーバーリストと ACL を設定します。

  2. [AAA Configuration] セクションで、使用可能な AAA サーバーのいずれかを選択し、WLAN に追加します。これが、クライアントが認証されるサーバーになります。

  3. 新しい AAA サーバーをリストに追加するには、[Add New Server] をクリックし、IP アドレスとサーバーキーを入力します。

  4. 設定済みの AAA サーバーリストを使用するには、[Use Existing] をクリックし、ドロップダウンから適切なリストを選択します。

  5. [ACL List] セクションで、ACL の名前を入力します。この ACL にはクライアントがアクセスできる URL に関するルールが含まれ、この ACL は RADIUS サーバーで設定された名前と一致している必要があります。

タグ

WLAN でタグを設定するには、左側のパネルの [Tags] をクリックします。

タグのプロパティは、そのタグに関連付けられているポリシーによって定義されます。このプロパティは、関連付けられたクライアント/AP によって継承されます。さまざまなタイプのタグがあり、それぞれが異なるプロファイルに関連付けられています。

手順

ステップ 1

[Site Configuration] セクションで、追加するサイトタグを入力するか、ドロップダウンリストから既存のサイトタグを選択します。タグは必要な数だけ追加できます。ローカルモードでは、サイトタグには AP 参加プロファイルのみが含まれます。

ステップ 2

[Policy Tag] セクションで、追加するポリシータグを入力するか、ドロップダウンリストから既存のポリシータグを選択します。タグは必要な数だけ追加できます。ポリシー タグは、WLAN プロファイルからポリシー プロファイルへのマッピングを構成します。WLAN プロファイルは、WLAN の無線特性を定義します。ポリシープロファイルでは、クライアントのネットワークポリシーとスイッチングポリシーを定義します。

ステップ 3

[RF Tag] セクションで、追加する RF タグを入力するか、ドロップダウンリストから既存の RF タグを選択します。タグは必要な数だけ追加できます。RF タグには、2.4 GHz および 5 GHz の RF プロファイルが含まれています。

AP プロビジョニング

ワイヤレスネットワークと RF 特性がセットアップされたら、静的 AP MAC アドレス割り当てを使用するか、すでに参加している AP を特定のロケーションに割り当てることによって、ローカルサイトにアクセスポイントを追加できます。

タグを追加し、WLAN に AP を関連付けるには、左側のパネルから [AP Provisioning] をクリックします。

手順

ステップ 1

コントローラによってすでに検出された AP は、[Provision Joined APs] タブに表示されます。このテーブルから、WLAN に関連付ける AP を選択できます。

ステップ 2

選択した AP にタグを追加するには、それぞれのドロップダウンリストから適切なポリシータグ、サイトタグ、および RF タグを選択します。[Add] をクリックしてタグを適用します。

ステップ 3

AP を手動で追加するには、[Pre-provision APs] タブをクリックします。AP の個々の MAC アドレスを追加するか、AP の MAC アドレスを列記した CSV ファイルをアップロードできます。追加された AP は下のテーブルに表示されます。

ステップ 4

このテーブルから、WLAN に関連付ける AP を選択します。

ステップ 5

選択した AP にタグを追加するには、それぞれのドロップダウンリストから適切なポリシータグ、サイトタグ、および RF タグを選択します。[Add] をクリックしてタグを適用します。

すべての AP とそれらに追加されたタグのテーブルが、[Selected APs] タブに表示されます。

ステップ 6

[Apply] をクリックします。

これにより、認証方式、認証フィルタ、タグ、および AP が設定されたローカルモードの WLAN が作成されます。

FlexConnect モード

FlexConnect は、ブランチ オフィスとリモート オフィスに導入されるワイヤレス ソリューションです。これにより、各オフィスでコントローラを展開することなく、企業オフィスからワイドエリアネットワーク(WAN)経由で、支社またはリモートオフィスのアクセスポイント(AP)を設定および制御できるようになります。FlexConnect アクセスポイントは、コントローラへの接続を失ったとき、クライアント データ トラフィックをスイッチングし、クライアント認証をローカルで実行できます。Flex モードの AP は、一元化されたワイヤレスコントローラへの接続が失われた場合にネットワークを存続させることができます。

認証方式

FlexConnect モードの WLAN を設定するには、左側のパネルから推奨される認証方式を選択します。認証方式により、クライアントが WLAN にアクセスできる方法が設定され、WLAN のセキュリティレベルが決定されます。

次のオプションがあります。

  • ローカル Web 認証:コントローラは、htttp(s) トラフィックを代行受信し、認証のためにクライアントを内部 Web ページにリダイレクトします。

  • 外部 Web 認証:コントローラは htttp(s) トラフィックを代行受信し、認証のために、外部 Web サーバーでホストされているログインページにクライアントをリダイレクトします。

  • 中央 Web 認証:コントローラは、認証のために、すべての Web トラフィックをクライアントから ISE ログインページにリダイレクトします。

WLAN のプロファイルとポリシー

認証方式を選択した後、左側のパネルで [WLAN] をクリックして、WLAN のプロファイルとポリシーの詳細を入力します。

WLAN プロファイルは、プロファイル名、ステータス、WLAN ID、L2 および L3 のセキュリティパラメータ、この SSID に関連付けられた AAA サーバー、特定の WLAN に固有のその他のパラメータなど、WLAN のプロパティを定義します。ポリシープロファイルは、クライアントのネットワークポリシーとスイッチングポリシーを定義します(QoS は除く)。これは、AP ポリシーも構成します。

手順

ステップ 1

[Network Name] セクションで、ワイヤレスネットワークの一意の名前である [WLAN profile name] を入力します。名前には、32 ~ 126 文字の ASCII 文字を使用できます(先頭と末尾のスペースはなし)。

ステップ 2

WLAN の有効な [SSID] を入力します。有効な SSID は最大 32 文字で、スペースを含めることができます。有効な SSID は、0 ~ 31 文字の ASCII 文字です(先頭と末尾のスペースを含む)。これは、WLAN のブロードキャスト名です。

ステップ 3

[WLAN ID] を入力します。

ステップ 4

[WLAN Policy] セクションで、[Policy Profile name] を入力します。名前には、32 ~ 126 文字の ASCII 文字を使用できます(先頭と末尾のスペースはなし)。

ステップ 5

ドロップダウンリストから、ポリシープロファイルに関連付ける [VLAN] を選択します。

ステップ 6

WLAN の既存のポリシープロファイルを選択するには、[Select Existing] をクリックし、ドロップダウンリストから [Policy Profile] を選択します。

認証設定

選択した方法に応じて、WLAN の認証設定とフィルタを設定します。これには、選択した認証方式に適用可能なキー、フィルタ、ACL、およびパラメータマップが含まれます。

手順

ステップ 1

認証方式として [Local Web Authentication] を選択した場合は、次のように設定します。

  1. [WLAN] > [Parameter Map] タブで、WLAN のパラメータマップを設定します。パラメータマップにより、認証時に加入者セッションに適用できるパラメータが設定されます。

    1. [Global Configuration] セクションで、グローバルパラメータマップを設定します。

    2. IPv4 または IPv6 アドレスを入力して、クライアントをコントローラのログインページにリダイレクトするための仮想 IP アドレスを設定します。

    3. [Trustpoint] ドロップダウンリストから、HTTPS ログインページのトラストポイントを選択します。このトラストポイントは、コントローラが仮想 IP およびホスト名とともに使用するデバイス証明書に対応しています。

    4. [WLAN Specific Configuration] セクションで、WLAN の新しいパラメータマップを作成するか、ドロップダウンリストから既存のパラメータマップを選択します。

  2. [WLAN] > [Local Users / Flex] タブで、Flex プロファイルを設定してローカルデータベースのユーザー名を入力し、ユーザー名ベースの認証システムを設定します。

    1. [Flex Profile] セクションで、新しい Flex プロファイルの名前とネイティブ VLAN ID を入力します。

    2. 既存の Flex プロファイルを使用するには、[Select Existing] をクリックしてドロップダウンリストからプロファイルを選択し、ネイティブ VLAN ID を入力します。

    3. [Local Users] セクションで、保存するユーザー名を入力します。

    4. [Password Encryption] ドロップダウンリストから、パスワードを暗号化しないか、暗号化するかを選択します。

    5. [Password] フィールドには、ユーザーがスイッチにアクセスする場合に入力する必要のあるパスワードを指定します。パスワードは 1 ~ 25 文字で、埋め込みスペースを使用できます。

    6. [+] 記号をクリックして、ログイン情報をデータベースに追加します。必要な数のユーザーのログイン情報を追加します。

ステップ 2

認証方式として [External Web Authentication] を選択した場合は、次のように設定します。

  1. [WLAN] > [Parameter Map] タブで、WLAN のパラメータマップを設定します。

    1. [Global Configuration] セクションで、グローバルパラメータマップを設定します。

    2. IPv4 または IPv6 アドレスを入力して、ゲストユーザーのリダイレクト先となる外部 Web 認証ログインページの仮想 IP アドレスを設定します。

    3. [Trustpoint] ドロップダウンリストから、HTTPS ログインページのトラストポイントを選択します。このトラストポイントは、コントローラが仮想 IP およびホスト名とともに使用するデバイス証明書に対応しています。

    4. [WLAN Specific Configuration] セクションで、WLAN の新しいパラメータマップを作成するか、ドロップダウンリストから既存のパラメータマップを選択します。

    5. 新しいパラメータマップを作成するには、パラメータマップ名を入力します。

    6. [Redirect URL for login] フィールドに、ログイン用の認証ページをホストする外部サーバーの URL を入力します。

    7. [Portal IPV4 Address] フィールドに、リダイレクトを送信する外部サーバーの IPv4 アドレスを入力します。外部サーバーが IPv6 アドレスを使用する場合は、[Portal IPV6 Address] フィールドに、リダイレクトを送信するポータルの IPv6 アドレスを入力します。

  2. [WLAN] > [ACL / URL Filter] タブで、ACL ルールと URL フィルタリストを設定します。

    1. [Flex Profile] セクションで、新しい Flex プロファイルの名前とネイティブ VLAN ID を入力します。

    2. 既存の Flex プロファイルを使用するには、[Select Existing] をクリックしてドロップダウンリストからプロファイルを選択し、ネイティブ VLAN ID を入力します。

    3. [Pre Auth ACL] セクションで、ACL の名前を入力します。

    4. [IP address] フィールドに、送信元 IP アドレスと宛先 IP アドレスを入力します。これにより、指定した IP アドレスとの間のパケット転送を許可するように ACL が設定されます。IP アドレスは必要な数だけ追加できます。

    5. [URL Filter] セクションで、作成する URL フィルタリストの名前を入力します。

    6. [Add] をクリックして URL を追加します。

    7. リストに追加する URL とその設定を指定します。

    8. スライダを使用して、リストアクションを URL の [Permit] または [Deny] に設定します。

    9. [Save] をクリックします。

      必要な数だけ URL をリストに追加できます。

  3. 新しい AAA サーバーをリストに追加するには、[Add New Server] をクリックし、IP アドレスとサーバーキーを入力します。

  4. 設定済みの AAA サーバーリストを使用するには、[Use Existing] をクリックし、ドロップダウンから適切なリストを選択します。

ステップ 3

認証方式として [Central Web Authentication] を選択した場合は、次のように設定します。

  1. [WLAN] > [AAA/ACL] タブで、WLAN の AAA サーバーリストと ACL を設定します。

  2. [AAA Configuration] セクションで、使用可能な AAA サーバーのいずれかを選択し、WLAN に追加します。これが、クライアントが認証されるサーバーになります。

  3. 新しい AAA サーバーをリストに追加するには、[Add New Server] をクリックし、IP アドレスとサーバーキーを入力します。

  4. 設定済みの AAA サーバーリストを使用するには、[Use Existing] をクリックし、ドロップダウンから適切なリストを選択します。

  5. [Flex Profile] セクションで、新しい Flex プロファイルの名前とネイティブ VLAN ID を入力します。

  6. 既存の Flex プロファイルを使用するには、[Select Existing] をクリックしてドロップダウンリストからプロファイルを選択し、ネイティブ VLAN ID を入力します。

  7. [ACL List] セクションで、ACL の名前を入力します。この ACL にはクライアントがアクセスできる URL に関するルールが含まれ、この ACL は RADIUS サーバーで設定された名前と一致している必要があります。

タグ

WLAN でタグを設定するには、左側のパネルの [Tags] をクリックします。

タグのプロパティは、そのタグに関連付けられているポリシーによって定義されます。このプロパティは、関連付けられたクライアント/AP によって継承されます。さまざまなタイプのタグがあり、それぞれが異なるプロファイルに関連付けられています。

手順

ステップ 1

[Site Configuration] セクションで、追加するサイトタグを入力するか、ドロップダウンリストから既存のサイトタグを選択します。タグは必要な数だけ追加できます。FlexConnect モードでは、サイトタグには AP 参加プロファイルと Flex プロファイルが含まれます。

ステップ 2

[Policy Tag] セクションで、追加するポリシータグを入力するか、ドロップダウンリストから既存のポリシータグを選択します。タグは必要な数だけ追加できます。ポリシー タグは、WLAN プロファイルからポリシー プロファイルへのマッピングを構成します。WLAN プロファイルは、WLAN の無線特性を定義します。ポリシープロファイルでは、クライアントのネットワークポリシーとスイッチングポリシーを定義します。

ステップ 3

[RF Tag] セクションで、追加する RF タグを入力するか、ドロップダウンリストから既存の RF タグを選択します。タグは必要な数だけ追加できます。RF タグには、2.4 GHz および 5 GHz の RF プロファイルが含まれています。

AP プロビジョニング

ワイヤレスネットワークと RF 特性がセットアップされたら、静的 AP MAC アドレス割り当てを使用するか、すでに参加している AP を特定のロケーションに割り当てることによって、ローカルサイトにアクセスポイントを追加できます。

タグを追加し、WLAN に AP を関連付けるには、左側のパネルから [AP Provisioning] をクリックします。

手順

ステップ 1

コントローラによってすでに検出された AP は、[Provision Joined APs] タブに表示されます。このテーブルから、WLAN に関連付ける AP を選択できます。

ステップ 2

選択した AP にタグを追加するには、それぞれのドロップダウンリストから適切なポリシータグ、サイトタグ、および RF タグを選択します。[Add] をクリックしてタグを適用します。

ステップ 3

AP を手動で追加するには、[Pre-provision APs] タブをクリックします。AP の個々の MAC アドレスを追加するか、AP の MAC アドレスを列記した CSV ファイルをアップロードできます。追加された AP は下のテーブルに表示されます。

ステップ 4

このテーブルから、WLAN に関連付ける AP を選択します。

ステップ 5

選択した AP にタグを追加するには、それぞれのドロップダウンリストから適切なポリシータグ、サイトタグ、および RF タグを選択します。[Add] をクリックしてタグを適用します。

すべての AP とそれらに追加されたタグのテーブルが、[Selected APs] タブに表示されます。

ステップ 6

[Apply] をクリックします。

これにより、認証方式、認証フィルタ、タグ、および AP が設定された FlexConnect モードの WLAN が作成されます。

ゲスト CWA モード

ゲストモードは、セキュリティ方式として中央 Web 認証を使用することで、安全かつ信頼できる方法でゲストにインターネットアクセスを提供するニーズに対応します。ワイヤレス ゲスト ネットワークの実装では、企業の既存のワイヤレスおよび有線インフラストラクチャが最大限に使用されます。このソリューションは、ゲストフォーリンとゲストアンカーの 2 台のコントローラで構成されます。

コントローラタイプ

ゲスト CWA モードの WLAN を設定するには、左側のパネルからデバイスで設定するコントローラ設定のタイプを選択します。

次のオプションがあります。

  • [Foreign]:企業内に存在する WLAN のコントローラです。クライアントは、WLAN に参加するためにフォーリンコントローラに接続要求を送信します。フォーリンコントローラは専用のゲスト WLAN または SSID であり、ゲストアクセスを必要とするあらゆる場所にキャンパス ワイヤレス ネットワークを介して実装されます。フォーリンコントローラはアンカーコントローラを管理します。

  • [Anchor]:ゲストクライアントのネットワーク内のトラフィックを管理する WLAN 内のコントローラまたはコントローラのグループです。アンカーコントローラは、ゲストクライアントからのトラフィックを Demilitarized Zone(DMZ)ネットワーク内のシスコ ワイヤレス コントローラに転送することで、内部セキュリティを確保します。

WLAN のプロファイルとポリシー

認証方式を選択した後、左側のパネルで [WLAN] をクリックして、WLAN のプロファイルとポリシーの詳細を入力します。

WLAN プロファイルは、プロファイル名、ステータス、WLAN ID、L2 および L3 のセキュリティパラメータ、この SSID に関連付けられた AAA サーバー、特定の WLAN に固有のその他のパラメータなど、WLAN のプロパティを定義します。ポリシープロファイルは、クライアントのネットワークポリシーとスイッチングポリシーを定義します(QoS は除く)。これは、AP ポリシーも構成します。

手順

ステップ 1

[Network Name] セクションで、ワイヤレスネットワークの一意の名前である [WLAN profile name] を入力します。名前には、32 ~ 126 文字の ASCII 文字を使用できます(先頭と末尾のスペースはなし)。

ステップ 2

WLAN の有効な [SSID] を入力します。有効な SSID は最大 32 文字で、スペースを含めることができます。有効な SSID は、0 ~ 31 文字の ASCII 文字です(先頭と末尾のスペースを含む)。これは、WLAN のブロードキャスト名です。

ステップ 3

[WLAN ID] を入力します。

ステップ 4

[WLAN Policy] セクションで、[Policy Profile name] を入力します。名前には、32 ~ 126 文字の ASCII 文字を使用できます(先頭と末尾のスペースはなし)。

ステップ 5

ドロップダウンリストから、ポリシープロファイルに関連付ける [VLAN] を選択します。

ステップ 6

WLAN の既存のポリシープロファイルを選択するには、[Select Existing] をクリックし、ドロップダウンリストから [Policy Profile] を選択します。

ステップ 7

[Foreign] を選択した場合は、[Mobility Anchors] セクションで、使用可能なコントローラの IP アドレスを選択して、WLAN のモビリティアンカーとして割り当てます。これにより、フォーリンコントローラの設定がアンカーコントローラにも拡張されます。

認証設定

ゲストアクセスモードの場合、認証方式は中央 Web 認証です。

手順

ステップ 1

[WLAN] > [AAA/ACL] タブで、WLAN の AAA サーバーリストと ACL を設定します。

ステップ 2

[AAA Configuration] セクションで、使用可能な AAA サーバーのいずれかを選択し、WLAN に追加します。これが、クライアントが認証されるサーバーになります。

ステップ 3

新しい AAA サーバーをリストに追加するには、[Add New Server] をクリックし、IP アドレスとサーバーキーを入力します。

ステップ 4

設定済みの AAA サーバーリストを使用するには、[Use Existing] をクリックし、ドロップダウンから適切なリストを選択します。

ステップ 5

[ACL List] セクションで、ACL の名前を入力します。この ACL にはクライアントがアクセスできる URL に関するルールが含まれ、この ACL は RADIUS サーバーで設定された名前と一致している必要があります。

タグ

WLAN でタグを設定するには、左側のパネルの [Tags] をクリックします

タグのプロパティは、そのタグに関連付けられているポリシーによって定義されます。このプロパティは、関連付けられたクライアント/AP によって継承されます。さまざまなタイプのタグがあり、それぞれが異なるプロファイルに関連付けられています。

手順

ステップ 1

[Site Configuration] セクションで、追加するサイトタグを入力するか、ドロップダウンリストから既存のサイトタグを選択します。タグは必要な数だけ追加できます。

ステップ 2

[Policy Tag] セクションで、追加するポリシータグを入力するか、ドロップダウンリストから既存のポリシータグを選択します。タグは必要な数だけ追加できます。ポリシー タグは、WLAN プロファイルからポリシー プロファイルへのマッピングを構成します。WLAN プロファイルは、WLAN の無線特性を定義します。ポリシープロファイルでは、クライアントのネットワークポリシーとスイッチングポリシーを定義します。

ステップ 3

[RF Tag] セクションで、追加する RF タグを入力するか、ドロップダウンリストから既存の RF タグを選択します。タグは必要な数だけ追加できます。RF タグには、2.4 GHz および 5 GHz の RF プロファイルが含まれています。

AP プロビジョニング

ワイヤレスネットワークと RF 特性がセットアップされたら、静的 AP MAC アドレス割り当てを使用するか、すでに参加している AP を特定のロケーションに割り当てることによって、ローカルサイトにアクセスポイントを追加できます。

[Foreign] を選択した場合は、左側のパネルから [AP Provisioning] をクリックして、タグを追加し、AP を WLAN に関連付けます。

手順

ステップ 1

コントローラによってすでに検出された AP は、[Provision Joined APs] タブに表示されます。このテーブルから、WLAN に関連付ける AP を選択できます。

ステップ 2

選択した AP にタグを追加するには、それぞれのドロップダウンリストから適切なポリシータグ、サイトタグ、および RF タグを選択します。[Add] をクリックしてタグを適用します。

ステップ 3

AP を手動で追加するには、[Pre-provision APs] タブをクリックします。AP の個々の MAC アドレスを追加するか、AP の MAC アドレスを列記した CSV ファイルをアップロードできます。追加された AP は下のテーブルに表示されます。

ステップ 4

このテーブルから、WLAN に関連付ける AP を選択します。

ステップ 5

選択した AP にタグを追加するには、それぞれのドロップダウンリストから適切なポリシータグ、サイトタグ、および RF タグを選択します。[Add] をクリックしてタグを適用します。

すべての AP とそれらに追加されたタグのテーブルが、[Selected APs] タブに表示されます。

ステップ 6

[Apply] をクリックします。

これにより、認証方式、モビリティアンカー、認証フィルタ、タグ、および AP が設定されたゲスト CWA モードの WLAN が作成されます。

WLAN の作成(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] ページで、[Add] をクリックします。

[Add WLAN] ウィンドウが表示されます。

ステップ 2

[General] タブで、[Profile Name] フィールドに WLAN の名前を入力します。名前には、32 ~ 126 文字の ASCII 文字を使用できます(先頭と末尾のスペースはなし)。

ステップ 3

[Save & Apply to Device] をクリックします。

WLAN の作成(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name wlan-id [ssid]

例:

Device(config)# wlan mywlan 34 mywlan-ssid

WLAN の名前と ID を指定します。

  • profile-name に、プロファイル名を入力します。入力できる範囲は英数字で 1 ~ 32 文字です。

  • wlan-idに、WLAN ID を入力します。範囲は 1 ~ 512 です。

  • ssid では、この WLAN に対する Service Set Identifier (SSID) を入力します。SSID を指定しない場合、WLAN プロファイル名は SSID として設定されます。

(注)  

 

  • SSID は、GUI または CLI を使用して作成できますが、CLI を使用して作成することをお勧めします。

  • WLAN はデフォルトで無効です。

ステップ 3

end

例:

Device(config)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

WLAN の削除(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] ページで、削除する WLAN の隣にあるチェックボックスをオンにします。

複数の WLAN を削除するには、複数の WLAN のチェックボックスをオンにします。

ステップ 2

[Delete] をクリックします。

ステップ 3

確認ウィンドウで [Yes] をクリックして WLAN を削除します。

WLAN の削除

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no wlan wlan-name wlan-id ssid

例:

Device(config)# no wlan test2

WLAN を削除します。引数は次のとおりです。

  • wlan-name は WLAN プロファイル名です。

  • wlan-id は WLAN ID です。

  • ssid は WLAN に設定された WLAN SSID 名前です。

(注)  

 

AP グループに属する WLAN を削除すると、WLAN は AP グループと AP の無線から削除されます。

ステップ 3

end

例:

Device(config)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

WLAN の検索(CLI)

コントローラで設定されているすべての WLAN のリストを確認するには、次の show コマンドを使用します。

Device# show wlan summary
Number of WLANs: 4

WLAN Profile Name                     SSID                           VLAN Status
--------------------------------------------------------------------------------
1    test1                             test1-ssid                     137  UP
3    test2                             test2-ssid                     136  UP
2    test3                             test3-ssid                     1    UP
45   test4                             test4-ssid                     1    DOWN
ワイルドカードを使用して WLAN を検索するには、次の show コマンドを使用します。
Device# show wlan summary | include test-wlan-ssid
1    test-wlan                       test-wlan-ssid                     137   UP

WLAN の有効化(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[WLANs] ページで、WLAN 名をクリックします。

ステップ 3

[Edit WLAN] ウィンドウで、[Status] ボタンを [ENABLED] に切り替えます。

ステップ 4

[Update & Apply to Device] をクリックします。

WLAN の有効化(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name

例:

Device(config)# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ステップ 4

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

WLAN の無効化(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] を選択します。

ステップ 2

[WLANs] ウィンドウで、WLAN 名をクリックします。

ステップ 3

[Edit WLAN] ウィンドウで、[Status] トグルボタンを [DISABLED] に設定します。

ステップ 4

[Update & Apply to Device] をクリックします。

WLAN の無効化(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name

例:

Device(config)# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

shutdown

例:

Device(config-wlan)# shutdown

WLAN を無効にします。

ステップ 4

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

ステップ 5

show wlan summary

例:

Device# show wlan summary

デバイスに設定されているすべての WLAN のリストを表示します。出力内で WLAN を検索できます。

汎用 WLAN プロパティの設定(CLI)

次のパラメータを設定できます。

  • メディア ストリーム

  • ブロードキャスト SSID

  • 無線

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name

例:

Device(config)# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

shutdown

例:

Device(config-wlan)# shutdown

WLAN を無効にします。

ステップ 4

broadcast-ssid

例:

Device(config-wlan)# broadcast-ssid
この WLAN の SSID をブロードキャストします。

ステップ 5

dot11bg 11g

例:

Device(config-wlan)# dot11bg 11g

dot11 無線の WLAN 無線ポリシーを設定します。

「WLAN 無線ポリシーの設定」のセクションも参照してください。

ステップ 6

media-stream multicast-direct

例:

Device(config-wlan)# media-stream multicast-direct

この WLAN でマルチキャスト VLAN を有効にします。

ステップ 7

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ステップ 8

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

高度な WLAN プロパティの設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name

例:

Device(config)# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

chd

例:

Device(config-wlan)# chd

この WLAN のカバレッジ ホールの検出をイネーブルにします。

ステップ 4

ccx aironet-iesupport

例:

Device(config-wlan)# ccx aironet-iesupport

この WLAN の Aironet IE のサポートをイネーブルにします。

ステップ 5

client association limit { clients-per-wlan | ap clients-per-ap-per-wlan | radioclients-per-ap-radio--per-wlan}

例:

Device(config-wlan)# client association limit ap 400

WLAN で設定できるクライアント、AP あたりのクライアント、または AP 無線あたりのクライアントの最大数を設定します。

ステップ 6

ip access-group web acl-name

例:

Device(config-wlan)# ip access-group web test-acl-name

IPv4 WLAN の Web ACL を設定します。可変 acl 名前はユーザー定義する IPv4 ACL の名前を指定します。

ステップ 7

peer-blocking [ allow-private-group | drop | forward-upstream]

例:

Device(config-wlan)# peer-blocking drop

ピアツーピア ブロッキング パラメータを設定します。キーワードは次のとおりです。

  • allow-private-group:Allow Private Group アクションでピアツーピアブロッキングをイネーブルにします。

  • drop:ドロップ アクションのピアツーピア ブロッキングをイネーブルにします。

  • forward-upstream:何もせず、パケットをアップストリームに転送します。

    (注)  

     

    forward-upstream オプションは、Flex ローカルスイッチングではサポートされていません。このオプションが設定されている場合でも、トラフィックはドロップされます。また、ローカルスイッチング SSID のピアツーピアブロッキングは、同じ AP 上のクライアントに対してのみ使用できます。

ステップ 8

channel-scan {defer-priority {0-7} | defer-time {0 - 6000}}

例:

Device(config-wlan)# channel-scan defer-priority 6

チャネル スキャンの延期プライオリティと延期時間を設定します。引数は次のとおりです。

  • defer-priority :オフチャネル スキャンを延期できるパケットのプライオリティ マーキングを指定します。範囲は 0 ~ 7 です。デフォルト値は 3 です。

  • defer-time :延期時間(ミリ秒単位)。範囲は 0 ~ 6000 です。デフォルトは 100 です。

ステップ 9

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

高度な WLAN プロパティの設定(GUI)

始める前に

プライマリ コントローラとバックアップ コントローラを設定する前に、AP 参加プロファイルがすでに設定済みであることを確認します。

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] の順に選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[Advanced] タブで、[Coverage Hole Detection] チェックボックスをオンにします。

ステップ 4

[Aironet IE] チェック ボックスをオンにして、WLAN で Aironet IE を有効にします。

ステップ 5

[Diagnostic Channel] チェック ボックスをオンにして、WLAN で診断チャネルを有効にします。

ステップ 6

[P2P Blocking Action] ドロップダウンリストから、必要な値を選択します。

ステップ 7

[Multicast Buffer] トグルボタンを [enabled] または [diabled] に設定します。

ステップ 8

[Media Stream Multicast-Direct] チェック ボックスをオンにして、この機能を有効にします。

ステップ 9

[Max Client Connections] セクションで、次のクライアント接続の最大数を指定します。

  • [Per WLAN] フィールドに、値を入力します。有効な範囲は 1 ~ 10000 です。

  • [Per AP Per WLAN] フィールドに、値を入力します。有効な範囲は、0 ~ 400 です。

  • [Per AP Radio Per WLAN] フィールドに、値を入力します。有効な範囲は、0 ~ 200 です。

ステップ 10

[11v BSS Transition Support] セクションで、次の設定タスクを実行します。

  1. [BSS Transition] チェック ボックスをオンにして、802.11v BSS 移行サポートを有効にします。

  2. [Disassociation Imminent] フィールドに、値を入力します。有効な範囲は、0 ~ 3000 です。

  3. [Optimized Roaming Disassociation Timer] フィールドに、値を入力します。有効な範囲は、0 ~ 40 です。

  4. チェック ボックスをオンにして以下の項目を有効にします。

    • BSS Max Idle Service

    • BSS Max Idle Protected

    • Disassociation Imminent Service

    • Directed Multicast Service

    • Universal Admin

    • Load Balance

    • Band Select

    • IP Source Guard

ステップ 11

[11ax] セクションで、次の設定タスクを実行します。

  1. チェック ボックスをオンにして以下の項目を有効にします。

    • [Enable 11ax] チェックボックスをオンにして、WLAN で 802.11ax 動作ステータスを有効にします。

    • [Downlink OFDMA] および [Uplink OFDMA] チェックボックスをオンにして、OFDMA を使用するダウンリンクおよびアップリンク接続を有効にします。

      直交周波数分割多元接続(OFDMA)は、それぞれの単一の送信機会内でダウンリンク(DL)とアップリンク(UL)の両方で複数のクライアントへの競合のない送信を保証するチャネルアクセスメカニズムです。

    • [Downlink MU-MIMO] および [Uplink MU-MIMO] チェックボックスをオンにして、MU-MIMO を使用するダウンリンクおよびアップリンク接続を有効にします。

      マルチユーザー MIMO(MU-MIMO)を使用すると、AP はアンテナリソースを使用して、複数のフレームを異なるクライアントに、すべて同時に同じ周波数スペクトルで送信できます。

    • [BSS Target Wake Up Time] チェックボックスをオンにして、WLAN のターゲット起動時間設定を有効にします。

      ターゲット起動時間により、AP は Wi-Fi ネットワーク内のアクティビティを管理して、ステーション間の中程度の競合を最小限に抑え、省電力モードのステーションが起動するために必要な時間を短縮できます。これは、重複しない時間および周波数で動作するようにステーションを割り当て、事前定義されたサービス期間にフレーム交換を集中させることで実現されます。

    • [Universal Admin] チェックボックスをオンにして、WLAN の [Universal Admin ] サポートを有効にします。

    • [OKC] チェックボックスをオンにして、WLAN で OKC を有効にします。Opportunistic Key Caching(OKC)を使用すると、ワイヤレスクライアントと WLAN インフラストラクチャは、複数の AP 間でローミングしている場合でも、この WLAN とのクライアント アソシエーションの存続期間中、1 つのペアワイズマスターキー(PMK)のみをキャッシュできます。この設定はデフォルトで有効になっています。

    • [Load Balance] チェックボックスをオンにして、アグレッシブ クライアント ロード バランシングを有効にします。これで、 Lightweight アクセスポイントにより、アクセスポイント全体でワイヤレスクライアントの負荷を分散できます。

    • [Band Select] チェックボックスをオンにして、WLAN の帯域選択を有効にします。帯域選択によって、デュアルバンド(2.4 GHz および 5 GHz)動作が可能なクライアントの無線を、輻輳の少ない 5 GHz アクセス ポイントに移動できます。2.4 GHz 帯域は、他の電子デバイスからの干渉や、他のアクセスポイントからの同一チャネル干渉で輻輳することがよくあります。帯域選択を使用することで、干渉源を防ぎ、ネットワーク全体のパフォーマンスを向上できます。

    • [IP Source Guard] チェックボックスをオンにして、WLAN で IP ソースガードを有効にします。IP ソースガード(IPSG)は、ワイヤレスコントローラが認識していない送信元 IP アドレスを持つパケットを転送することを防ぐレイヤ 2 セキュリティ機能です。

  2. [WMM Policy] ドロップダウンリストから、ポリシーとして [Allowed] 、[Disabled]、または [Required] を選択します。WMM ポリシーのデフォルトは [Allowed] です。Wi-Fi マルチメディア(WMM)は、さまざまなタイプのトラフィックに優先順位を付けるために使用されます。

    • [Disabled]:WLAN 上で WMM を無効にします。

    • [Required]:クライアントデバイスで WMM の使用を必須にします。WMM をサポートしていないデバイスは WLAN に参加できません。

    • [Allowed]:WMM をサポートしていないデバイスが WLAN に接続できますが、802.11n レートのメリットは受けられません。

  3. [mDNS] ドロップダウンリストから、[Bridging]、[Gateway]、または [Drop] を選択します。マルチキャスト DNS(mDNS)は、従来のユニキャスト DNS サーバーがない場合に、ローカルリンクで DNS のような操作を実行する機能を提供します。

    • [Bridging]:mDNS マルチキャスト IP およびマルチキャスト MAC を持つパケットは、マルチキャスト CAPWAP トンネルで送信されます。

    • [Gateway]:L3 インターフェイス(SVI または物理)上の有線ネットワークから受信した入力 mDNS パケットはすべて、コントローラソフトウェアによって代行受信されて処理されます。

    • [Drop]:すべての入力 mDNS パケットがドロップされます。

ステップ 12

[Off Channel Scanning Defer] セクションで、適切な [Defer Priority] 値を選択し、必要な [Scan Defer Time] の値をミリ秒単位で指定します。

ステップ 13

[Assisted Roaming (11k)] セクションで、次について適切なステータスを選択します。

  • Prediction Optimization

  • Neighbor List

  • Dual-Band Neighbor List

ステップ 14

[DTIM Period (in beacon intervals)] セクションで、802.11a/n 無線と 802.11b/g/n 無線の値を指定します。有効な範囲は 1 ~ 255 です。

ステップ 15

[Apply to Device] をクリックします。

WLAN 無線ポリシーの設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [WLANs] ページで、[Add] をクリックして WLAN を作成します。

ステップ 2

[General] タブで、ワイヤレスネットワークの一意の名前である [Profile Name] を入力します。

名前には、32 ~ 126 文字の ASCII 文字を使用できます(先頭と末尾のスペースはなし)。

ステップ 3

WLAN の有効な [SSID] を入力します。

有効な SSID は最大 32 文字で、スペースを含めることができます。有効な SSID は、0 ~ 31 文字の ASCII 文字です(先頭と末尾のスペースを含む)。これは、WLAN のブロードキャスト名です。

ステップ 4

[WLAN ID] を入力します。さまざまなモデルの有効な範囲を以下に示します。

モデル

WLAN ID の範囲

Cisco Catalyst 9800-80 ワイヤレスコントローラ

1 ~ 4096

Cisco Catalyst 9800-CL ワイヤレスコントローラ

1 ~ 4096

Cisco Catalyst 9800-40 ワイヤレスコントローラ

1 ~ 4096

Cisco Catalyst 9800-L ワイヤレスコントローラ

1 ~ 4096

AP の Cisco 組み込みワイヤレスコントローラ

1-16

ステップ 5

WLAN の [Status] を [Enabled] に設定します。

ステップ 6

WLAN の SSID をブロードキャストするには、[Broadcast SSID] のステータスを有効に設定します。デフォルトでは無効になっています。

ステップ 7

[Radio Policy] セクションで、WLAN に必要な無線帯域を有効にします。

  • [2.4ghz]:2.4 GHz 無線のポリシーを設定します。

  • [5ghz]:5 GHz 無線のポリシーを設定します。

ステップ 8

[5ghz] の無線帯域を有効にする場合は、WLAN をブロードキャストする無線スロットを選択します。オプションは、スロット 0、スロット 1、およびスロット 2 です。WLAN には複数のスロットを選択できます。

ステップ 9

[802.11b/g Policy] ドロップダウンリストで、次のオプションから無線ポリシーを選択します。

  • 802.11g only

  • 802.11b/g

[Apply to Device] をクリックします。

WLAN 無線ポリシーの設定(CLI)

コマンドを使用して WLAN 無線ポリシーを設定します。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wlan profile-name

例:

Device(config)# wlan test4

WLAN コンフィギュレーション サブモードを開始します。profile-name は設定されている WLAN のプロファイル名です。

ステップ 3

shutdown

例:

Device(config-wlan)# shutdown

WLAN を無効にします。

ステップ 4

radio policy dot11 {5ghz | 24ghz | 6ghz }

例:

Device(config-wlan)# radio policy dot11 5ghz

WLAN で対応する無線ポリシーを有効にします。次のオプションがあります。

  • [2.4ghz]:2.4 GHz 無線のみで WLAN を設定します。

  • [5ghz]:5 GHz 無線のみで WLAN を設定します。

  • [6ghz]:6 GHz 無線のみで WLAN を設定します。

ステップ 5

slot {0| 1 | 2}

例:

Device(config-wlan-radio-5ghz)# slot 1

選択したスロットに WLAN 無線ポリシーを設定します。次のオプションがあります。

  • [0]:無線スロット 0 を使用した 5 GHz 無線での WLAN を設定します(5 GHz を使用している場合)。

  • [1]:無線スロット 1 を使用した 5 GHz 無線での WLAN を設定します。

  • [2]:無線スロット 2(存在する場合)を使用した 5 GHz 無線での WLAN を設定します。

ステップ 6

no shutdown

例:

Device(config-wlan)# no shutdown

WLAN を有効にします。

ステップ 7

end

例:

Device(config-wlan)# end

特権 EXEC モードに戻ります。

WLAN プロパティの確認(CLI)

WLAN ID に基づいて WLAN プロパティを確認するには、次の show コマンドを使用します。 

Device# show wlan id wlan-id
WLAN 名に基づいて WLAN プロパティを確認するには、次の show コマンドを使用します。
Device# show wlan name wlan-name

設定されているすべての WLAN の WLAN プロパティを確認するには、次の show コマンドを使用します。 

Device# show wlan all

すべての WLAN のサマリーを表示するには、次の show コマンドを使用します。 

Device# show wlan summary

WLAN 名に基づいて WLAN の実行中コンフィギュレーションを確認するには、次の show コマンドを使用します。 

Device# show running-config wlan wlan-name

すべての WLAN の実行中コンフィギュレーションを確認するには、次の show コマンドを使用します。 

Device# show running-config wlan

AP の WLAN-VLAN 情報の確認

AP ごとの使用できる WLAN-VLAN マッピングを確認するには、次のコマンドを使用します。


Device# show ap name test wlan vlan

Policy tag mapping
------------------
WLAN Profile Name Name Policy    VLAN   Flex Central Switching  IPv4 ACL    IPv6 ACL
-------------------------------------------------------------------------------------------
jey_cwa            pp-local-1     46       Enabled               jey_acl1   Not Configured
swaguest           pp-local-1     46       Enabled               jey_acl1   Not Configured

WLAN 無線ポリシーの確認

WLAN 無線ポリシーの設定ステータスを確認するには、次のコマンドを使用します。

Device# show wlan id 6 | sec Radio Bands
wpa3 enabled wlan:
Configured Radio Bands: All
Operational State of Radio Bands : All Bands Operational
Configured Radio Bands : All
Operational State of Radio Bands
    2.4ghz                      : UP
    5ghz                        : UP
    6ghz                        : DOWN (Required config: Disable WPA2 and Enable WPA3 & dot11ax)
wpa3 not enabled wlan :
Configured Radio Bands : All
Operational State of Radio Bands
2.4ghz : UP
5ghz   : UP
5ghz specify slot is enabled :
Configured Radio Bands
5ghz   : Enabled
Slot 0 : Enabled
Slot 1 : Disabled
Slot 2 : Disabled
Operational State of Radio Bands
5ghz   : UP
Slot 0 : Enabled
Slot 1 : Disabled
Slot 2 : Disabled