FlexConnect について
FlexConnect(以前は、ハイブリッド リモート エッジ アクセス ポイントまたは H-REAP と呼ばれていました)は、ブランチオフィスとリモートオフィスに導入されるワイヤレスソリューションです。これにより顧客は、各オフィスでコントローラを展開することなく、本社オフィスからワイドエリアネットワーク(WAN)経由で、支社またはリモートオフィスのアクセスポイント(AP)を設定および制御できるようになります。FlexConnect アクセスポイントは、コントローラへの接続を失ったとき、クライアント データ トラフィックをローカルにスイッチングし、クライアント認証をローカルで実行できます。コントローラに接続されているときには、トラフィックをコントローラに送り返すこともできます。接続モードで、FlexConnect アクセスポイントは、ローカル認証も実行できます。
コントローラソフトウェアでは、FlexConnect アクセスポイントに対する耐障害性をより強化した方法が提供されています。以前のリリースでは、コントローラから解除されるたびに、FlexConnect アクセスポイントはスタンドアロンモードに移行します。中央でスイッチされるクライアントのアソシエーションは解除されます。ただし、FlexConnect アクセス ポイントはローカルにスイッチされたクライアントに引き続き対応します。FlexConnect アクセスポイントがコントローラ(またはスタンバイコントローラ)に再 join すると、すべてのクライアントが接続解除され、再度認証されます。この機能は強化されており、クライアントと FlexConnect アクセスポイント間の接続はそのまま保持され、クライアントによるシームレスな接続が実現します。アクセスポイントとコントローラの両方の設定が同じ場合は、クライアントと AP 間の接続が維持されます。
クライアント接続が確立された後に、コントローラはクライアントの元の属性を復元しません。クライアントのユーザ名、現在のレートとサポートされているレート、およびリッスン間隔値は、セッションタイマーが切れた後でのみデフォルト値にリセットされます。
FlexConnect アクセスポイントは、1 ロケーションにつき何台でも展開できます。複数の FlexConnect グループを 1 つのロケーションで定義できます。
コントローラは、ユニキャストパケットまたはマルチキャストパケットの形式でアクセスポイントにマルチキャストパケットを送信できます。FlexConnect モードでは、アクセスポイントはユニキャスト形式でのみマルチキャストパケットを受信できます。
FlexConnect アクセスポイントは、1 対 1 のネットワークアドレス変換(NAT)設定をサポートします。また、真のマルチキャストを除くすべての機能に対して、ポートアドレス変換(PAT)をサポートします。NAT 境界を越えるマルチキャストもサポートされます(ユニキャストオプションを使用して設定されている場合)。FlexConnect アクセスポイントは、中央でスイッチされるすべての WLAN に対して真のマルチキャストが動作するときを除き、多対 1 の NAT または PAT境界もサポートします。
(注) |
NAT と PAT は FlexConnect アクセスポイントではサポートされていますが、対応するコントローラではサポートされていません。シスコは、NAT/PAT 境界の背後にコントローラを置く構成はサポートしません。 |
アクセスポイントで、これらのセキュリティタイプがローカルにアクセス可能である場合、VPN および Point-to-Point Tunnel Protocol(PPTP)は、ローカルにスイッチされるトラフィックに対してサポートされます。
FlexConnect アクセスポイントは複数の SSID をサポートします。
ワークグループブリッジおよびユニバーサル ワークグループ ブリッジは、ローカルにスイッチされるクライアントの FlexConnect アクセスポイントでサポートされます。
FlexConnect は、IPv4 の動作と同様にトラフィックをローカル VLAN にブリッジすることによって、IPv6 クライアントをサポートしています。FlexConnect は、最大 100 のアクセスポイントのグループに対するクライアントモビリティをサポートしています。
ローカルモードから FlexConnect モードに移行しても、アクセスポイントをリブートする必要はありません。
FlexConnect 認証プロセス
アクセスポイントは、ブート時にコントローラを検索します。コントローラが見つかると、そのコントローラに join し、最新のソフトウェアイメージと設定をコントローラからダウンロードして、無線を初期化します。ダウンロードした設定は不揮発性メモリに保存されて、スタンドアロンモードで使用されます。
(注) |
最新のコントローラソフトウェアのダウンロード後に、アクセスポイントをリブートしたら、アクセスポイントを FlexConnect モードへ変換する必要があります。 |
(注) |
802.1X は、Cisco 2700 シリーズの AP の AUX ポートではサポートされていません。 |
FlexConnect アクセスポイントは、次のいずれかの方法でコントローラの IP アドレスを認識できます。
-
アクセスポイントの IP アドレスが DHCP サーバから割り当て済みの場合は、通常の CAPWAP または LWAPP ディスカバリプロセスを介してコントローラを検出します。
(注)
OTAP はサポートされていません。
-
アクセスポイントに固定 IP アドレスが割り当てられている場合は、DHCP オプション 43 以外の方法のディスカバリプロセスを使用してコントローラを検出します。アクセスポイントがレイヤ 3 ブロードキャストでコントローラを検出できない場合は、DNS 解決を使用することをお勧めします。DNS を使用すれば、固定 IP アドレスを持ち DNS サーバを認識しているアクセスポイントは、最低 1 つのコントローラを見つけることができます。
-
CAPWAP と LWAPP のどちらのディスカバリメカニズムも使用できないリモートネットワークにあるコントローラを検出できるようにするには、プライミングを使用してください。この方法を使用すると、アクセスポイントの接続先のコントローラを(アクセスポイントの CLI により)指定できます。
FlexConnect アクセスポイントがコントローラに到達できるとき(接続モードと呼ばれます)、コントローラはクライアント認証を支援します。FlexConnect アクセスポイントがコントローラにアクセスできないとき、アクセスポイントはスタンドアロンモードに入り、独自にクライアントを認証します。
(注) |
アクセスポイント上の LED は、デバイスが異なる FlexConnect モードに入るときに変化します。LED パターンの情報については、アクセスポイントのハードウェア インストール ガイドを参照してください。 |
クライアントが FlexConnect アクセスポイントにアソシエートするとき、アクセスポイントではすべての認証メッセージをコントローラに送信し、WLAN 設定に応じて、クライアントデータパケットをローカルにスイッチする(ローカルスイッチング)か、コントローラに送信(中央スイッチング)します。クライアント認証(オープン、共有、EAP、Web 認証、および NAC)とデータパケットに関して、WLAN は、コントローラ接続の設定と状態に応じて、次のいずれかの状態になります。
-
中央認証、中央スイッチング:コントローラがクライアント認証を処理し、すべてのクライアントデータはコントローラにトンネルを通じて戻されます。この状態は、接続済みモードの場合にだけ有効です。
-
中央認証、ローカルスイッチング:コントローラがクライアント認証を処理し、FlexConnect アクセスポイントがデータ パケットをローカルにスイッチします。クライアントが認証に成功した後、コントローラは新しいペイロードと共にコンフィギュレーション コマンドを送信し、FlexConnect アクセスポイントに対して、ローカルにデータパケットのスイッチを始めるように指示します。このメッセージはクライアントごとに送信されます。この状態は接続モードにのみ適用されます。
(注)
FlexConnect ローカルスイッチング、中央認証導入では、静的 IP アドレスを持つパッシブクライアントが存在する場合は、[WLAN] > [Advanced] タブで [Learn Client IP Address] 機能を無効にすることをお勧めします。
-
ローカル認証、ローカルスイッチング:FlexConnect アクセスポイントがクライアント認証を処理し、クライアントデータパケットをローカルにスイッチします。この状態はスタンドアロンモードおよび接続済みモードの場合に有効です。
接続済みモードでは、アクセスポイントは、ローカルで認証されたクライアントに関する最小限の情報をコントローラに提供します。次の情報はコントローラでは使用できません。
-
ポリシータイプ
-
アクセス VLAN
-
VLAN 名
-
サポートされるレート
-
暗号化の暗号
ローカル認証は、ラウンドトリップ遅延が 100 ms を超えず、最大伝送単位(MTU)が 576 バイトを下回らない、最小帯域幅が 128 kbps のリモートオフィス設定を維持できない場合に役立ちます。ローカル認証で、認証機能はアクセスポイント自体に存在します。ローカル認証は、ブランチ オフィスの遅延要件を短縮できます。
(注)
ローカル認証は、ローカルスイッチングモードの FlexConnect アクセスポイントの WLAN 上のみで有効にできます。
ローカル認証に関する注意事項は、次のとおりです。
-
ゲスト認証は、FlexConnect ローカル認証を有効にした WLAN で実行できません。
-
コントローラ上でのローカル RADIUS はサポートされていません。
-
クライアントが認証されたら、ローミングはグループ内のコントローラおよび他の FlexConnect アクセスポイントがクライアント情報に更新された後でのみサポートされます。
-
接続モードのローカル認証には、WLAN 設定が必要です。
(注)
FlexConnect アクセスポイントに接続している、ローカルにスイッチされたクライアントが IP アドレスを更新し、また join する場合に、クライアントは実行状態のまま残ります。これらのクライアントはコントローラによって再認証されません。
-
-
認証ダウン、スイッチダウン:この状態になると、WLAN は既存クライアントのアソシエーションを解除し、ビーコン要求とプローブ要求の送信を停止します。この状態はスタンドアロンモードおよび接続済みモードの両方の場合に有効です。
-
認証ダウン、ローカルスイッチング:WLAN は新しいクライアントからの認証の試行をすべて拒否しますが、既存クライアントを保持するために、ビーコン応答とプローブ応答の送信は続けます。この状態はスタンドアロンモードでのみ有効です。
FlexConnect アクセスポイントがスタンドアロンモードになると、オープン、共通、WPA-PSK、または WPA2-PSK の認証用に設定された WLAN は、「ローカル認証、ローカルスイッチング」状態になり、新しいクライアント認証を続行します。コントローラ ソフトウェア リリース 4.2 以降のリリースでは、これは 802.1X、WPA-802.1X、WPA2-802.1X、または CCKM 用に設定された WLAN でも正しい設定です。ただし、これらの認証タイプでは外部の RADIUS サーバが設定されている必要があります。FlexConnect アクセスポイントでローカル RADIUS サーバを設定して、スタンドアロンモードで、またはローカル認証との組み合わせで 802.1X をサポートすることもできます。
その他の WLAN は、「認証停止、スイッチング停止」状態(WLAN が中央スイッチング用に設定されている場合)または「認証停止、ローカルスイッチング」状態(WLAN がローカル スイッチング用に設定されている場合)のいずれかになります。
FlexConnect アクセスポイントがスタンドアロンモードではなく、コントローラに接続されている場合、コントローラはプライマリ RADIUS サーバを使用します。コントローラがプライマリ RADIUS サーバにアクセスする順序は、[RADIUS Authentication Servers] ページまたは config radius auth add CLI コマンドで指定された順序になります(特定の WLAN のサーバ順序がオーバーライドされている場合を除く)。ただし、802.1X EAP 認証を使用する場合は、クライアントを認証するために、スタンドアロンモードの FlexConnect アクセスポイント用のバックアップ RADIUS サーバが必要となります。
(注) |
コントローラはバックアップ RADIUS サーバを使用しません。コントローラはローカル認証モードでバックアップ RADIUS サーバを使用します。 |
バックアップ RADIUS サーバは、個々のスタンドアロンモード FlexConnect アクセスポイントに対して設定することも(コントローラの CLI を使用)、スタンドアロンモード FlexConnect アクセスポイントのグループに対して設定することも(GUI または CLI を使用)できます。個々のアクセスポイントに対して設定されたバックアップサーバは、FlexConnect に対するバックアップ RADIUS サーバ設定よりも優先されます。
Web 認証がリモートサイトで FlexConnect のアクセスポイントに使用されると、クライアントはリモートローカルサブネットから IP アドレスを取得します。最初の URL 要求を解決するため、DNS がサブネットのデフォルトゲートウェイを介してアクセスできます。コントローラが DNS クエリーの応答パケットを代行受信およびリダイレクトするには、これらのパケットは CAPWAP 接続を介してデータセンターでコントローラにアクセスする必要があります。Web 認証プロセス中、FlexConnect のアクセスポイントは DNS と DHCP メッセージのみを許可します。つまり、アクセスポイントは、クライアントの Web 認証が完了するまで DNS 応答メッセージをコントローラに転送します。クライアントの Web 認証が完了すると、すべてのトラフィックがローカルでスイッチされます。
(注) |
コントローラが NAC に対して設定されている場合、クライアントはアクセスポイントが接続モードにある場合にのみアソシエートできます。NAC が有効の場合、WLAN がローカルスイッチングに設定されている場合でも、有害な(または検疫された)VLAN を作成して、この VLAN に割り当てられているクライアントのデータトラフィックがコントローラを通過できるようにする必要があります。クライアントが検疫 VLAN に割り当てられると、そのクライアントのデータパケットはすべて中央でスイッチングされます。隔離 VLAN の作成の詳細については、「動的インターフェイスの設定」の項を参照してください。NAC アウトオブバンドサポートの設定の詳細については、「NAC アウトオブバンド統合の設定」の項を参照してください。 |
FlexConnect アクセスポイントがスタンドアロンモードになると、次のようになります。
-
アクセスポイントは、ARP 経由でデフォルトゲートウェイに到達できるかどうかを確認します。その場合、アクセスポイントはコントローラへの到達を試行し続けます。
アクセスポイントが ARP を確立できない場合は、次のことが起こります。
-
アクセスポイントは 5 回の検出を試行し、それでもコントローラを検出できない場合は、新しい DHCP IP を取得するために、イーサネットインターフェイス上で DHCP を更新しようとします。
-
アクセスポイントが、5 回再試行して失敗した場合、インターフェイスの IP アドレスを再度更新します。これは 3 回試行されます。
-
3 回の試行が失敗した場合、アクセスポイントは固定 IP に戻ってリブートします(アクセス ポイントが固定 IP を使用して設定されている場合のみ)。
-
リブートの実行により、アクセス ポイントの不明なエラーの可能性が排除されます。
アクセスポイントがコントローラとの接続を再確立すると、すべてのクライアントをアソシエート解除して、コントローラからの新しい設定情報を適用し、クライアントの接続を再度許可します。