この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、ネットワークに Cisco 1500 シリーズ メッシュ アクセス ポイントを接続する方法について説明します。
ワイヤレス メッシュは、有線ネットワークの 2 地点で終端します。1 つ目は、RAP が有線ネットワークに接続されているロケーションで、そこではすべてのブリッジ トラフィックが有線ネットワークに接続しています。2 つ目は、CAPWAP コントローラが有線ネットワークに接続するロケーションです。そのロケーションでは、メッシュ ネットワークからの WLAN クライアント トラフィックが有線ネットワークに接続しています(図 1 を参照)。CAPWAP からの WLAN クライアント トラフィックはレイヤ 2 でトンネルされ、WLAN のマッチングは、コントローラがコロケーション(共同設置)されている同じスイッチ VLAN で終端する必要があります。メッシュ上の各 WLAN のセキュリティとネットワークの設定は、コントローラが接続されているネットワークのセキュリティ機能によって異なります。
(注) | HSRP 設定がメッシュ ネットワークで動作中の場合は、入出力マルチキャスト モードを設定することを推奨します。マルチキャスト設定の詳細については、「Enabling Multicast on the Network (CLI)」の項を参照してください。 |
新しいコントローラ ソフトウェア リリースへのアップグレードの詳細については、http://www.cisco.com/en/US/products/ps10315/prod_release_notes_list.html の『Release Notes for Cisco Wireless LAN Controllers and Lightweight Access Points』を参照してください。
メッシュとコントローラ ソフトウェアのリリースおよび互換性のあるアクセス ポイントの詳細については、http://www.cisco.com/en/US/docs/wireless/controller/5500/tech_notes/Wireless_Software_Compatibility_Matrix.html の『Cisco Wireless Solutions Software Compatibility Matrix』を参照してください。
この章の内容は、次のとおりです。
この項では、コントローラがネットワーク内でアクティブで、レイヤ 3 モードで動作していることを前提としています。
(注) | メッシュ アクセス ポイントが接続するコントローラ ポートは、タグなしでなければなりません。 |
メッシュ ネットワーク内で使用するメッシュ アクセス ポイントは、すべての無線 MAC アドレスを適切なコントローラに入力する必要があります。コントローラは、許可リストに含まれる屋外 AP からの discovery request にだけ応答します。コントローラでは MAC フィルタリングがデフォルトで有効になっているため、設定する必要があるのは MAC アドレスだけです。アクセス ポイントが SSC を持ち、AP 認可リストに追加された場合は、AP の MAC アドレスを MAC フィルタリング リストに追加する必要がありません。
GUI と CLI のどちらを使用しても、メッシュ アクセス ポイントを追加できます。
(注) | メッシュ アクセス ポイントの MAC アドレスのリストは、ダウンロードして、Cisco Prime Infrastructure を使用してコントローラにプッシュすることもできます。 |
コントローラの GUI を使用してコントローラのメッシュ アクセス ポイントの MAC フィルタ エントリを追加する手順は、次のとおりです。
コントローラの CLI を使用してコントローラのメッシュ アクセス ポイントの MAC フィルタ エントリを追加する手順は、次のとおりです。
AP1500 でデフォルトの無線のロールは MAP です。RAP として動作させるには、メッシュ アクセス ポイントを再設定する必要があります。
MAP は常にイーサネット ポートをプライマリ バックホールとして設定し(イーサネット ポートがアップ リンクである場合)、802.11a/n/ac 無線をセカンダリとして設定します。これによって、当初はメッシュ アクセス ポイントを RAP として再設定できる時間を確保できます。ネットワークでのコンバージェンスを高速にするため、メッシュ ネットワークに参加するまではイーサネット デバイスを MAP に接続しないことをお勧めします。
アップ リンクのイーサネット ポートでコントローラへの接続に失敗した MAP は、802.11a/n/ac 無線をプライマリ バックホールとして設定します。MAP がネイバーを見つけられなかった場合、またはネイバーを介してコントローラに接続できなかった場合、イーサネット ポートは再びプライマリ バックホールとして設定されます。
イーサネット ポートを介してコントローラに接続されている MAP は、(RAP とは違って)メッシュ トポロジをビルドしません。
イーサネット ポートが RAP で DOWN の場合、または RAP が UP イーサネット ポートでコントローラに接続できない場合は、802.11a/n/ac 無線が 15 分間プライマリ バックホールとして設定されます。ネイバーを見つけられなかった場合、または 802.11a/n/ac 無線上でネイバーを介してコントローラに接続できない場合は、プライマリ バックホールがスキャン状態になります。プライマリ バックホールは、イーサネット ポートでスキャンを開始します。
組み込みの Cisco IOS DHCP サーバを使用して、メッシュ アクセス ポイント用に DHCP オプション 43 および 60 を設定する手順は、次のとおりです。
ステップ 1 | Cisco IOS の CLI でコンフィギュレーション モードに切り替えます。 |
ステップ 2 | DHCP プール(デフォルトのルータやネーム サーバなどの必要なパラメータを含む)を作成します。DHCP プールの作成に使用するコマンドは次のとおりです。
ip dhcp pool pool name network IP Network Netmask default-router Default router dns-server DNS Server pool name is the name of the DHCP pool, such as AP1520 IP Network is the network IP address where the controller resides, such as 10.0.15.1 Netmask is the subnet mask, such as 255.255.255.0 Default router is the IP address of the default router, such as 10.0.0.1 DNS Server is the IP address of the DNS server, such as 10.0.10.2 |
ステップ 3 | 次の構文を使用してオプション 60 の行を追加します。
option 60 ascii “VCI string” VCI 文字列の場合は、次のいずれかの値を使用します。引用符は必ず含める必要があります。 For Cisco 1570 series access points, enter “Cisco AP c1570” For Cisco 1560 series access points, enter “Cisco AP c1560” For Cisco 1530 series access points, enter “Cisco AP c1530” For Cisco 1540 series access points, enter “Cisco AP c1540” |
ステップ 4 | 次の構文を使用してオプション 43 の行を追加します。
option 43 hex hex string 16 進文字列には、次の TLV 値を組み合わせて指定します。 型は、常に f1(16 進数)です。長さは、コントローラ管理 IP アドレスの個数の 4 倍の値を 16 進数で表したものです。値は、一覧表示されるコントローラの IP アドレスを順番に 16 進数で表したものです。 たとえば、管理インターフェイスの IP アドレス 10.126.126.2 および 10.127.127.2 を持ったコントローラが 2 つあるとします。型は、f1(16 進数)です。長さは、2 X 4 = 8 = 08(16 進数)です。IP アドレスは、0a7e7e02 および 0a7f7f02 に変換されます。文字列を組み合わせると f1080a7e7e020a7f7f02 になります。 DHCP スコープに追加された結果の Cisco IOS コマンドは、次のとおりです。 option 43 hex f1080a7e7e020a7f7f02 |
中央にあるコントローラは、ローカル リージョンにあるプライマリ コントローラとメッシュ アクセス ポイントとの接続が失われたときに、バックアップ コントローラとして機能できます。中央およびリージョンのコントローラは、同じモビリティ グループに存在する必要はありません。コントローラの GUI または CLI を使用してバックアップ コントローラの IP アドレスを指定できるため、メッシュ アクセス ポイントは Mobility Group の外部にあるコントローラに対してフェール オーバーすることができます。
コントローラに接続されているすべてのアクセス ポイントに対してプライマリとセカンダリのバックアップ コントローラ(プライマリ、セカンダリ、ターシャリのコントローラが指定されていないか応答がない場合に使用される)や、ハートビート タイマーやディスカバリ要求タイマーなどの各種タイマーを設定することもできます。
(注) | ファスト ハートビート タイマーはブリッジ モードのアクセス ポイントではサポートされていません。ファスト ハートビート タイマーは、ローカルおよび FlexConnect モードのアクセス ポイントでのみ設定されます。 |
メッシュ アクセス ポイントは、バックアップ コントローラのリストを保守し、定期的に Primary discovery request をリストの各エントリに対して送信します。メッシュ アクセス ポイントがコントローラから新規の discovery response を受信すると、バックアップ コントローラのリストが更新されます。Primary discovery request に 2 回連続で応答できなかったコントローラはすべて、リストから削除されます。メッシュ アクセス ポイントのローカル コントローラが失敗した場合は、バックアップ コントローラのリストから使用可能なコントローラが選択されます。選択される順序は、プライマリ コントローラ、セカンダリ コントローラ、ターシャリ コントローラ、プライマリ バックアップ、およびセカンダリ バックアップです。メッシュ アクセス ポイントは、バックアップのリストで最初に使用可能なコントローラからの discovery response を待ち、プライマリ ディスカバリ要求タイマーに設定された時間内に応答を受信した場合はそのコントローラに join します。時間の制限に達すると、メッシュ アクセス ポイントは、コントローラに join できなかったと見なし、リストで次に使用可能なコントローラからの discovery response を待ちます。
(注) | メッシュ アクセス ポイントのプライマリ コントローラがオンラインに復帰すると、メッシュ アクセス ポイントはバックアップ コントローラとのアソシエーションを解除し、プライマリ コントローラに再接続します。メッシュ アクセス ポイントは、設定されているセカンダリ コントローラではなく、プライマリ コントローラにフォール バックします。たとえばプライマリ、セカンダリ、およびターシャリのコントローラを持つメッシュ アクセス ポイントが設定されている場合、プライマリとセカンダリのコントローラが応答なしになると、ターシャリ コントローラにフェール オーバーします。その後、プライマリ コントローラがオンラインに復帰するまで待って、プライマリ コントローラにフォール バックします。セカンダリ コントローラがオンラインに復帰しても、メッシュ アクセス ポイントはターシャリ コントローラからセカンダリ コントローラにフォール バックせず、プライマリ コントローラが復帰するまでターシャリ コントローラに接続したままになります。 |
リリース 7.0 以降では、Cisco ACS(4.1 以降)や ISE などの RADIUS サーバを使用した、メッシュ アクセス ポイントの外部認証および認可がサポートされています。RADIUS サーバは、クライアント認証タイプとして、証明書を使用する EAP-FAST をサポートする必要があります。
メッシュ ネットワーク内で外部認証を使用する前に、次の変更を行う必要があります。
RADIUS サーバで EAP-FAST を設定し、証明書をインストールします。802.11a インターフェイスを使用してメッシュ アクセス ポイントをコントローラに接続する場合には、EAP-FAST 認証が必要です。外部 RADIUS サーバは、Cisco Root CA 2048 を信頼する必要があります。CA 証明書のインストールと信頼については、「RADIUS サーバの設定」の項を参照してください。
(注) | ファスト イーサネットまたはギガビット イーサネット インターフェイスを使用してメッシュ アクセス ポイントをコントローラ接続する場合は、MAC 認可だけが必要です。 |
(注) | また、この機能は、コントローラ上のローカル EAP および PSK 認証をサポートしています。 |
ステップ 1 | 次の場所から Cisco Root CA 2048 の CA 証明書をダウンロードします。 |
ステップ 2 | 次のように証明書をインストールします。 |
ステップ 3 | 次のように外部 RADIUS サーバを設定して、CA 証明書を信頼するようにします。
|
ステップ 1 | [Wireless] > [Mesh] を選択します。[Mesh] ページが表示されます(図 1 を参照)。
|
ステップ 2 | セキュリティ セクションで、[Security Mode] ドロップダウン リストから [EAP] オプションを選択します。 |
ステップ 3 | [External MAC Filter Authorization] オプションと [Force External Authentication] オプションの [Enabled] チェックボックスをオンにします。 |
ステップ 4 | [Apply] をクリックします。 |
ステップ 5 | [Save Configuration] をクリックします。 |
メッシュ アクセス ポイントの RADIUS 認証を有効にする前に、外部 RADIUS サーバによって認可および認証されるメッシュ アクセス ポイントの MAC アドレスをサーバのユーザ リストに追加します。
リモート認可および認証の場合、EAP-FAST は製造元の証明書(CERT)を使用して、子メッシュ アクセス ポイントを認証します。CERT ベースの ID は、ユーザの検証時にメッシュ アクセス ポイントのユーザ名として機能します。
Cisco IOS ベースのメッシュ アクセス ポイントの場合は、MAC アドレスをユーザ リストに追加するだけでなく、platform_name_string–MAC_address 文字列をユーザ リストに入力する必要があります(たとえば、c1240-001122334455)。コントローラは最初に MAC アドレスをユーザ名として送信します。この初回の試行が失敗すると、コントローラは platform_name_string–MAC_address 文字列をユーザ名として送信します。
(注) | 認証 MAC アドレスは屋内と屋外の AP で異なります。屋外 AP は、屋内 AP が AP のギガビット イーサネット MAC アドレスを使用する場合、AP の BVI MAC アドレスを使用します。 |
(注) | AP1552 プラットフォームは c1550 のプラットフォーム名を使用します。AP1572 は c1570 のプラットフォーム名を使用します。 |
CLI を使用してメッシュ アクセス ポイントのセキュリティ統計を表示するには、次のコマンドを入力します。
show mesh security-stats Cisco_AP
このコマンドを使用すると、指定のアクセス ポイントとその子アクセス ポイントのパケット エラー統計、エラー数、タイムアウト数、アソシエーションと認証の成功数、再アソシエーション数、および再認証数が表示されます。
Cisco Mesh の導入時に、いずれの導入でもワイルドカードの MAC フィルタリングで AAA を使用し MAP アソシエーションを許可する場合、メッシュ アクセス ポイント(MAP)が現在 join 中のネットワークを終了し、別のメッシュ ネットワークへ join します。メッシュ AP のセキュリティが EAP-FAST を使用する可能性があるため、この動作を制御できません。EAP セキュリティでは AP の MAC アドレスとタイプの組み合わせが使用されるため、制御設定を使用できないためです。PSK オプションでデフォルトのパスフレーズを使用すると、セキュリティ リスクとハイジャックの危険性が伴います。この問題は、MAP が移動車両(公共交通機関、フェリー、船など)に使用されるときに、2 つの異なる SP のオーバーラップ導入で顕著に現れます。この場合、MAP は SP のメッシュ ネットワークに固定される必要がなくなるため、MAP を別の SP ネットワークによってハイジャック/使用できます。このため導入環境では SP の対象顧客にサービスを提供できなくなります。
8.2 リリースで導入された新しい機能は、メッシュ導入を制御し、現在使用されているデフォルトの「cisco」PSK を超える MAP のセキュリティの強化に役立つ(WLC からプロビジョニングできる)PSK 機能を有効にします。この新機能によって、カスタム PSK で設定した MAP は、RAP および WLC を使用して認証を行う場合に強化されたキーを使用します。コントローラ ソフトウェア リリース 8.1 以下をアップグレードするかリリース 8.2 からダウンロードする場合は、特別な注意が必要です。管理者は MAP ソフトウェアで PSK を有効化/無効化する際の影響を理解する必要があります。
管理者はセキュリティ モードを PSK として設定する必要があります。また任意で新しい PSK を設定します。PSK が設定されていない場合、MAP をデフォルト PSK キー「cisco」と組み合わせることはできません。
ステップ 1 | 本ガイドで先述したように、コントローラに RAP を接続します。下記の設定の図の例のように、2 つの 1532 MAP が
RAP 1572 に接続されます。
本ガイドに示すように、MAP の初期接続のオプションの 1 つでは、MAP の MAC アドレスを、RAP
に接続される(スクリーン ショットを参照)コントローラに入力する必要があります。 | ||||
ステップ 2 | [Wireless]
> [Mesh] メニューから、PSK として [Security Mode] を選択し、[PSK Provisioning] を有効化します。
リリース 8.2 MAC 以前のワイルド カード文字を含む AAA 認証または EAP 認証には、EAP をデフォルトの内部認証と共に使用する 3 通りの方法しかありませんでした。一部の場合(特に、異なる顧客からメッシュのインストールが重複する場合)は MAC アドレス プロビジョニングが十分に信頼できず、メッシュ AP が別のメッシュ ネットワークから偶然にも乗っ取られる高い危険性がありました。これにより、メッシュ導入における問題やカバレッジ ホールを生じる可能性もありました。そのため、リリース 8.2 では PSK MAP プロビジョニングが導入されました。上記のように PSK キーをワイヤレス コントローラに作成する必要があります。
| ||||
ステップ 3 | 例に示すようにプロビジョニング キーを入力して [ADD] を押し、入力された値を適用します。
キーの値は一覧に表示されませんが、キーがコントローラにプロビジョニングされる際はタイム スタンプ付きのキーのインデックスだけが表示されます。最大 5 つのキーをプロビジョニングに使用される MAP のコントローラに入力できます。これら 5 つのキーはコントローラのフラッシュに常時保存されており、MAP によるプロビジョニングではいずれかを使用できます。プロビジョニングされた PSK が MD5 暗号化アルゴリズム(128-bit)により暗号化され、新しいキーの設定時に AP に送信されます。
| ||||
ステップ 4 | 設定および有効化された
PSK キーがコントローラに提供されると、キーは RAP にプロビジョニングされ、その RAP に接続されたすべての MAP
に伝播されます。同じキーは、メッシュ ネットワーク内の他の子 MAP すべてに伝播されます。MAP 上で PSK キーの受信と RAP/MAP
ネットワークへの認証を行うのに、必要な操作はありません。
例に示すように、RAP に接続された 1 つの特定の MAP を [Mesh] タブで確認する場合、インデックス 1 および 8 月 19 日からのタイム スタンプ付きの PSK キーを使用して MAP がプロビジョニングされていることを確認できます。
| ||||
ステップ 5 | PSK
キーがコントローラ上で失われたか、または意図的に削除された場合、プロビジョニングされた PSK キーは MAP または RAP から 削除できます。
| ||||
ステップ 6 | このため、MAP
が誤ったネットワークに接続してキーを取得した場合でも、管理者は誤った PSK キーを削除できます。さらに、EAP セキュリティで join
した場合でも、WLC GUI インターフェイスで PSK タイムスタンプの [Delete PSK] を使用すれば、AP からプロビジョニング済み PSK
を削除できます。このオプションは、AP が陳腐化して孤立状態になるか、無効な PSK/EAP セキュリティを使用して孤立状態のメッシュ AP に再 join
した場合に、メッシュ AP リカバリ手段として利用できます。PSK キーが MAP から削除されると、デフォルト PSK キーが「cisco」に戻ります。
ただし、PSK キーがすでにコントローラおよび RAP/MAP で設定されている場合、一致する PSK キーが無い MAP はメッシュ ネットワークに接続できません。プロビジョニングされていない MAP を、PSK が有効化されたメッシュ ネットワークにコントローラから接続するには、[Provisioning] ウィンドウが有効化されている必要があります。 例に示すように、[Provisioning] ウィンドウを手動で有効化すると、デフォルトの「cisco」PSK キーを使用して MAP を接続可能になり、同時に新しい PSK キーを取得します。
|
モビリティ グループで RAP が設定されている場合、モビリティ グループの全コントローラに対して同じ PSK キーを使用するか、または 5 つの認可 PSK キーのうちの 1 つを使用することが常に推奨されます。この方法により、異なるコントローラからの MAP でも認証できます。PSK のスタンプを見れば、MAP および PSK キーの作成元を確認できます。
この項では、メッシュ アクセス ポイントをコントローラに接続するための設定手順について、次の順に説明します。
必要なメッシュ パラメータは、GUI と CLI のどちらからでも設定できます。パラメータはすべてグローバルに適用されます。
ステップ 1 | [Wireless] > [Mesh] を選択します。 | ||||||||||||||||||||||||||||||||||||||||||
ステップ 2 | 必要に応じて、メッシュ パラメータを修正します。
| ||||||||||||||||||||||||||||||||||||||||||
ステップ 3 | [Apply] をクリックします。 | ||||||||||||||||||||||||||||||||||||||||||
ステップ 4 | [Save Configuration] をクリックします。 |
コントローラの CLI を使用して認証方式を含むグローバル メッシュ パラメータを設定する手順は、次のとおりです。
(注) | CLI コマンドで使用されるパラメータの説明、有効範囲およびデフォルト値については、「グローバル メッシュ パラメータの設定(GUI)」の項を参照してください。 |
ステップ 1 | ネットワークの全メッシュ アクセス ポイントの最大レンジをフィート単位で指定するには、次のコマンドを入力します。 |
ステップ 2 | バックホールのすべてのトラフィックに関して IDS レポートを有効または無効にするには、次のコマンドを入力します。 |
ステップ 3 | バックホール インターフェイスでのアクセス ポイント間のデータ共有レート(Mbps 単位)を指定するには、次のコマンドを入力します。 |
ステップ 4 | メッシュ アクセス ポイントのプライマリ バックホール(802.11a)でクライアント アソシエーションを有効または無効にするには、次のコマンドを入力します。 config mesh client-access {enable | disable} |
ステップ 5 | VLAN トランスペアレントを有効または無効にするには、次のコマンドを入力します。 config mesh ethernet-bridging VLAN-transparent {enable | disable} |
ステップ 6 | メッシュ アクセス ポイントのセキュリティ モードを定義するには、次のいずれかのコマンドを入力します。 |
ステップ 7 | 変更を保存するには、次のコマンドを入力します。 |
グローバル メッシュ設定の情報を取得するには、次のコマンドを入力します。
show mesh client-access:バックホール クライアント アクセスが有効な場合は、無線バックホールを介したワイヤレス クライアント アソシエーションが許可されます。無線バックホールには、大部分のメッシュ アクセス ポイントで 5 GHz 帯が使用されます。このため無線バックホールは、バックホール トラフィックとクライアント トラフィックの両方を伝送できます。
バックホール クライアント アクセスが無効な場合は、バックホール トラフィックのみが無線バックホールを介して送信され、クライアント アソシエーションは 2 番目の無線のみを介して送信されます。
(Cisco Controller)> show mesh client-access Backhaul with client access status: enabled
show mesh ids-state:バックホールの IDS レポートの状態が有効か無効かを示します。
(Cisco Controller)> show mesh ids-state Outdoor Mesh IDS(Rogue/Signature Detect): .... Disabled
show mesh config:グローバル設定を表示します。
(Cisco Controller)> show mesh config Mesh Range....................................... 12000 Mesh Statistics update period.................... 3 minutes Backhaul with client access status............... disabled Background Scanning State........................ enabled Backhaul Amsdu State............................. disabled Mesh Security Security Mode................................. EAP External-Auth................................. disabled Use MAC Filter in External AAA server......... disabled Force External Authentication................. disabled Mesh Alarm Criteria Max Hop Count................................. 4 Recommended Max Children for MAP.............. 10 Recommended Max Children for RAP.............. 20 Low Link SNR.................................. 12 High Link SNR................................. 60 Max Association Number........................ 10 Association Interval.......................... 60 minutes Parent Change Numbers......................... 3 Parent Change Interval........................ 60 minutes Mesh Multicast Mode.............................. In-Out Mesh Full Sector DFS............................. enabled Mesh Ethernet Bridging VLAN Transparent Mode..... enabled
リリース 8.2 以前のワイヤレス メッシュ バックホールは 5 GHz でのみサポートされていました。リリース 8.2 ではワイヤレス メッシュ バックホールは、5 GHz および 2.4 GHz でサポートされます。
特定の国では 5 GHz のバックホール ネットワークのメッシュ ネットワークを使用できません。5 GHz 帯が許可されている国でも、より大きいメッシュやブリッジ距離を達成するために 2.4 GHz 帯が優先される場合があります。
RAP が 5 GHz から 2.4 GHz へ設定の変更を取得すると、その変更内容は RAP からすべての MAP に送信され、5 GHz ネットワークから切り離されて 2.4 GHz 帯に再接続されます。2.4 GHz を設定する場合は、2.4 GHz のバックホールが認識されるよう、すべてのコントローラでリリース 8.2 を実行してください。
(注) | RAP だけが 5 GHz または 2.4 GHz のバックホール周波数に対応します。RAP が設定されると、この周波数選択がすべての MAP にブランチを伝播します。 |
ステップ 1 | コントローラから一回の簡単な操作でメッシュ バックホールを 2.4 GHz に設定できます。図に示すように RAP ダウンリンク バックホールを 2.4 GHz に設定して [Enable] を押します。
CLI から「show mesh ap tree」と「show mesh backhaul <ap-name>」を発行してバックホール接続を表示できます。 | ||
ステップ 2 | RAP でチャネルを 2.4 GHz に変更し、チャネルを自ら選択する必要があります。ここでの変更内容はすべての MAP と、RAP のブランチの「子」に伝播されます。
チャネルがカスタム オプションで選択された後、そのチャネルは RAP バックホールに使用されます。
次の例に示すように、RAP でチャネルを変更した後は、MAP のチャネルが 2.4 GHz 帯の CH11 に 変更されています。 MAP の CLI コマンドの例:show mesh backhaul <ap-name> たとえば MAP のバックホール チャネルを変更しようとすると、この機能は MAP でサポートされていないため、エラー メッセージが表示されます。MAP および「MAP の子」はアップストリームの親 RAP からチャネルが割り当てられます。MAP からのエラー メッセージの例を示します。 |
バックホール クライアント アクセスが有効な場合は、無線バックホールを介したワイヤレス クライアント アソシエーションが許可されます。無線バックホールでは 5 GHz 帯が使用されます。このため無線バックホールは、バックホール トラフィックとクライアント トラフィックの両方を伝送できます。
バックホール クライアント アクセスが無効な場合は、バックホール トラフィックのみが無線バックホールを介して送信され、クライアント アソシエーションは 2 番目の無線のみを介して送信されます。
(注) | バックホール クライアント アクセスはデフォルトで無効になります。この機能を有効にすると、デイジーチェーン導入のスレーブ AP と子 AP を除くすべてのメッシュ アクセス ポイントは再起動します。 |
この機能は、2 つの無線を使用するメッシュ アクセス ポイント(1552、1532、1540、1560、1572、およびブリッジ モードの屋内 AP)に適用されます。
この図は、GUI を使用してバックホール クライアント アクセスを有効にする方法を示しています。バックホール クライアント アクセスを有効にすると、AP をリブートするよう求められます。
次のコマンドを使用して、バックホール クライアント アクセスを有効にします。
(Cisco Controller)> config mesh client-access enable
All Mesh APs will be rebooted Are you sure you want to start? (y/N)
グローバル メッシュ パラメータを設定したら、ネットワークで使用中の機能について次のローカル メッシュ パラメータを設定する必要があります。
バックホール データ レート。「無線バックホールのデータ レートの設定」の項を参照してください。
イーサネット ブリッジング。「イーサネット ブリッジングの設定」の項を参照してください。
ブリッジ グループ名。「イーサネット ブリッジングの設定」の項を参照してください。
ワークグループ ブリッジ。「ワークグループ ブリッジの設定」の項を参照してください。
電源およびチャネル設定。「電力およびチャネルの設定」の項を参照してください。
アンテナ利得設定。「アンテナ利得の設定」の項を参照してください。
動的チャネル割り当て。「動的チャネル割り当ての設定」の項を参照してください。
バックホールは、アクセス ポイント間でワイヤレス接続のみを作り出すために使用されます。バックホール インターフェイスは、アクセス ポイントによって、802.11a/n/ac レートが異なります。利用可能な RF スペクトラムを効果的に使用するにはレート選択が重要です。レートはクライアント デバイスのスループットにも影響を与えることがあり、スループットはベンダー デバイスを評価するために業界出版物で使用される重要なメトリックです。
Dynamic Rate Adaptation(DRA)には、パケット伝送のために最適な伝送レートを推測するプロセスが含まれます。レートを正しく選択することが重要です。レートが高すぎると、パケット伝送が失敗し、通信障害が発生します。レートが低すぎると、利用可能なチャネル幅が使用されず、品質が低下し、深刻なネットワーク輻輳および障害が発生する可能性があります。
データ レートは、RF カバレッジとネットワーク パフォーマンスにも影響を与えます。低データ レート(6 Mbps など)が、高データ レート(1300 Mbps など)よりもアクセス ポイントからの距離を延長できます。結果として、データ レートはセル カバレッジと必要なアクセス ポイントの数に影響を与えます。異なるデータ レートは、ワイヤレス リンクで冗長度の高い信号を送信することにより(これにより、データをノイズから簡単に復元できます)、実現されます。1 Mbps のデータ レートでパケットに対して送信されるシンボル数は、11 Mbps で同じパケットに使用されたシンボル数より多くなります。したがって、低ビット レートでのデータの送信には、高ビット レートでの同じデータの送信よりも時間がかり、スループットが低下します。
コントローラ リリース 5.2 では、メッシュ 5 GHz バックホールのデフォルト データ レートは 24 Mbps です。これは、6.0 および 7.0 コントローラ リリースでも同じです。
6.0 コントローラ リリースでは、メッシュ バックホールに「Auto」データ レートを設定できます。設定後に、アクセス ポイントは、最も高いレートを選択します(より高いレートは、すべてのレートに影響を与える状況のためではなくそのレートに適切でない状況のため、使用できません)。つまり、設定後は、各リンクが、そのリンク品質に最適なレートに自動的に設定されます。
メッシュ バックホールは「Auto」に設定することをお勧めします。
たとえば、メッシュ バックホールが 48 Mbps を選択した場合は、54 Mbps に対して十分な SNR がないため 54 Mbps を使用できないことが確認されています。電子レンジの使用はすべてのレートに影響を与えるため考慮されません。
低ビット レートでは MAP 間の距離を長く取れますが、WLAN クライアント カバレッジにギャップが生じる可能性が高く、バックホール ネットワークのキャパシティが低下します。バックホール ネットワークのビット レートを増加させる場合は、より多くの MAP が必要となるか、MAP 間の SNR が低下し、メッシュの信頼性と相互接続性が制限されます。
この図では、RAP が「Auto」バックホール データ レートを使用しており、子 MAP との間では 54 Mbps を使用していることを示しています。
(注) | データ レートは、AP ごとにバックホールで設定できます。これはグローバル コマンドではありません。 |
以下のコマンドを使用してバックホールに関する情報を取得します。
config ap bhrate:Cisco ブリッジ バックホール送信レートを設定します。
(controller) > config ap bhrate backhaul-rate ap-name
(注) | 各 AP に対して設定済みのデータ レート(RAP=18 Mbps、MAP1=36 Mbps)は、6.0 以降のソフトウェア リリースへのアップグレード後も保持されます。6.0 リリースにアップグレードする前に、データ レートに設定されるバックホール データ レートがある場合は、その設定が保持されます。 次の例は、RAP でバックホール レートを 36000 Kbps に設定する方法を示しています。 (controller) > config ap bhrate 36000 HPRAP1 |
show ap bhrate:Cisco ブリッジ バックホール レートを表示します。
(controller) > show ap bhrate ap-name
show mesh neigh summary:バックホールで現在使用されているレートを含むリンク レート概要を表示します。
(controller) > show mesh neigh summary HPRAP1 AP Name/Radio Channel Rate Link-Snr Flags State --------------- -------- -------- ------- ----- ----- 00:0B:85:5C:B9:20 0 auto 4 0x10e8fcb8 BEACON 00:0B:85:5F:FF:60 0 auto 4 0x10e8fcb8 BEACON DEFAULT 00:0B:85:62:1E:00 165 auto 4 0x10e8fcb8 BEACON OO:0B:85:70:8C:A0 0 auto 1 0x10e8fcb8 BEACON HPMAP1 165 54 40 0x36 CHILD BEACON HJMAP2 0 auto 4 0x10e8fcb8 BEACON
バックホールのキャパシティとスループットは AP のタイプ(802.11a/n の併用、802.11a 専用、無線バックホールの数など)によって異なります。
セキュリティ上の理由により、デフォルトではすべての MAP でイーサネット ポートが無効になっています。有効にするには、ルートおよび各 MAP でイーサネット ブリッジングを設定します。
(注) | レイヤ 2 のループの発生を防止するために、接続されているすべてのスイッチ ポート上でスパニング ツリー プロトコル(STP)を有効にします。 |
イーサネット ブリッジングは、次の 2 つの場合に有効にする必要があります。
メッシュ ノードをブリッジとして使用する場合(図 1 を参照)。
(注) | ポイントツーポイントおよびポイントツーマルチポイント ブリッジング導入でイーサネット ブリッジングを使用するのに、VLAN タギングを設定する必要はありません。 |
MAP でイーサネット ポートを使用して任意のイーサネット デバイス(ビデオ カメラなど)を接続する場合。VLAN タギングを有効にするときの最初の手順です。
ステップ 1 | [Wireless] > [All APs] を選択します。 |
ステップ 2 | イーサネット ブリッジングを有効にするメッシュ アクセス ポイントの AP 名のリンクをクリックします。 |
ステップ 3 | 詳細ページで、[Mesh] タブを選択します(図 1を参照してください)。 |
ステップ 4 | [AP Role] ドロップダウン リストから [RootAP] または [MeshAP] を選択します(すでに選択されていない場合)。 |
ステップ 5 | イーサネット ブリッジングを有効にする場合は、[Ethernet Bridging] チェックボックスをオンにします。この機能を無効にする場合は、このチェックボックスをオフにします。 |
ステップ 6 | [Apply] をクリックして、変更を確定します。ページの最下部の [Ethernet Bridging] セクションに、メッシュ アクセス ポイントの各イーサネット ポートが一覧表示されます。 |
ステップ 7 | 該当するメッシュ AP からコントローラへのパスを取る各親メッシュ AP に対してイーサネット ブリッジングを有効にします。たとえば、2 ホップの MAP2 でイーサネット ブリッジングを有効にする場合は、MAP1(親 MAP)と、コントローラに接続している RAP の両方でイーサネット ブリッジングを有効にする必要があります。 |
(注) | 8.0 以前は、有線バックホールのネイティブ VLAN は VLAN 1 に設定されていました。8.0 リリース以降では、ネイティブ VLAN を設定できます。 |
(注) | 8.0 以前は、有線バックホールのネイティブ VLAN は VLAN 1 に設定されていました。8.0 リリース以降では、ネイティブ VLAN を設定できます。 |
ブリッジ グループ名(BGN)は、メッシュ アクセス ポイントのアソシエーションを制御します。BGN を使用して周波数帯を論理的にグループ分けしておけば、同じチャネルにある 2 つのネットワークが相互に通信することを防止できます。この設定はまた、同一セクター(領域)のネットワーク内に複数の RAP がある場合にも便利です。BGN は最大 10 文字までの文字列です。
NULL VALUE という BGN は、工場で設定されているデフォルトです。装置自体にブリッジ グループ名は表示されていませんが、このグループ名を使用することで、ネットワーク固有の BGN を割り当てる前に、メッシュ アクセス ポイントをネットワークに参加させることができます。
同一セクターのネットワーク内に(より大きなキャパシティを得るために)RAP が 2 つある場合は、別々のチャネルで 2 つの RAP に同じ BGN を設定することをお勧めします。
ステップ 1 | ブリッジ グループ名(BGN)を設定するには、次のコマンドを入力します。 config ap bridgegroupname set group-name ap-name
| ||||
ステップ 2 | BGN を確認するには、次のコマンドを入力します。 |
バックホール チャネル(802.11a/n)は、RAP 上で設定できます。MAP は、RAP チャネルに合わされます。ローカル アクセスは、MAP とは無関係に設定できます。
ステップ 1 | [Wireless] > [Access Points] > [802.11a/n] を選択します。
| ||
ステップ 2 | 802.11 a/n 無線の [Antenna] ドロップダウン リストで、[Configure] を選択します。[Configure] ページが表示されます。 | ||
ステップ 3 | ワイヤレス チャネルを割り当てます(グローバルおよびカスタムの割り当て方式)。 | ||
ステップ 4 | 無線の Tx Power Level を割り当てます。
AP1500 の 802.11a バックホールでは、選択可能な 5 つの電力レベルがあります。
| ||
ステップ 5 | 電力およびチャネルの割り当てが完了したら、[Apply] をクリックします。 | ||
ステップ 6 | [802.11a/n Radios] ページで、チャネルの割り当てが正しく行われたことを確認します。 |
コントローラの GUI または CLI を使用して、取り付けられているアンテナのアンテナ利得と一致するように、メッシュ アクセス ポイントのアンテナ利得を設定する必要があります。
ステップ 1 | [Wireless] > [Access Points] > [Radio] > [802.11a/n] の順に選択して、[802.11a/n Radios] ページを開きます。 | ||
ステップ 2 | 設定するメッシュ アクセス ポイントのアンテナについて、一番右の青色の矢印にマウスを移動してアンテナのオプションを表示します。[Configure] を選択します。
| ||
ステップ 3 | [Antenna Parameters] セクションで、アンテナ利得を入力します。 利得は 0.5 dBm 単位で入力します。たとえば、2.5 dBm = 5 です。
| ||
ステップ 4 | [Apply] および [Save Configuration] をクリックして、変更を保存します。 |
コントローラの CLI を使用して 802.11a 無線バックホールのアンテナ利得を設定するには、次のコマンドを入力します。
RRM スキャンに使用されるチャネルを選択する際に、次の手順でコントローラの GUI を使用することで、動的チャネル割り当て(DCA)アルゴリズムが使用するチャネルを指定できます。この機能は、クライアント側の制約(デバイスが古い、特定の制約がある、など)により特定のチャネルがサポートされない場合に役立ちます。
ステップ 1 | 802.11a/n または 802.11b/g/n ネットワークを無効にする手順は、次のとおりです。 | ||||||||||||
ステップ 2 | [Wireless] > [802.11a/n] または [802.11b/g/n] > [RRM] > [DCA] の順に選択して、[802.11a(または 802.11b/g)> RRM > Dynamic Channel Assignment (DCA)] ページを開きます。 | ||||||||||||
ステップ 3 | [Channel Assignment Method] ドロップダウン リストから次のオプションのいずれかを選択して、コントローラの DCA モードを指定します。
| ||||||||||||
ステップ 4 | [Interval] ドロップダウン リストで、[10 minutes]、[1 hour]、[2 hours]、[3 hours]、[4 hours]、[6 hours]、[8 hours]、[12 hours]、または [24 hours] のいずれかのオプションを選択し、DCA アルゴリズムを実行する間隔を指定します。デフォルト値は 10 分です。 | ||||||||||||
ステップ 5 | [AnchorTime] ドロップダウン リストで、DCA アルゴリズムの開始時刻を指定する数値を選択します。オプションは、0 ~ 23 の数値(両端の値を含む)で、午前 12 時~午後 11 時の時刻を表します。 | ||||||||||||
ステップ 6 | [Avoid Foreign AP Interference] チェックボックスをオンにすると、コントローラの RRM アルゴリズムによって、Lightweight アクセス ポイントにチャネルを割り当てるときに、外部アクセス ポイント(ワイヤレス ネットワークに含まれないアクセス ポイント)からの 802.11 トラフィックが考慮されます。この機能を無効にする場合は、このチェックボックスをオフにします。たとえば RRM では、外部アクセス ポイントに近いチャネルをアクセス ポイントが回避するようにチャネル割り当てを調整できます。デフォルト値はオンです。 | ||||||||||||
ステップ 7 | [Avoid Cisco AP Load] チェックボックスをオンにすると、コントローラの RRM アルゴリズムによって、チャネルを割り当てるときに、ワイヤレス ネットワーク内の Cisco Lightweight アクセス ポイントからの 802.11 トラフィックが考慮されます。この機能を無効にする場合は、このチェックボックスをオフにします。たとえば RRM では、トラフィックの負荷が高いアクセス ポイントに適切な再利用パターンを割り当てることができます。デフォルト値はオフです。 | ||||||||||||
ステップ 8 | [Avoid Non-802.11a (802.11b) Noise] チェックボックスをオンにすると、コントローラの RRM アルゴリズムによって、Lightweight アクセス ポイントにチャネルを割り当てるときに、チャネルのノイズ(802.11 以外のトラフィック)が考慮されます。この機能を無効にする場合は、このチェックボックスをオフにします。たとえば RRM では、アクセス ポイント以外の干渉源(電子レンジなど)から大きく影響されるチャネルを、アクセス ポイントに回避させることができます。デフォルト値はオンです。 | ||||||||||||
ステップ 9 | [DCA Channel Sensitivity] ドロップダウン リストから、次のオプションのいずれかを選択して、チャネル変更の判断材料となる環境要因(信号、負荷、ノイズ、干渉など)に対する DCA アルゴリズムの感度を指定します。
| ||||||||||||
ステップ 10 | 802.11a/n ネットワークの場合のみ、次のいずれかの [Channel Width] オプションを選択し、5 GHz 帯の 802.11n/a/ac すべてがサポートするチャネル幅を指定します。
| ||||||||||||
ステップ 11 | [DCA Channel List] の [DCA Channels] フィールドには、現在選択されているチャネルが表示されます。チャネルを選択するには、[Select] カラムでそのチャネルのチェックボックスをオンにします。チャネルを除外するには、チャネルのチェックボックスをオフにします。
範囲:802.11a:36、40、44、48、52、56、60、64、100、104、108、112、116、132、136、140、149、153、157、161、165、190、196、802.11b/g:1、2、3、4、5、6、7、8、9、10、11 デフォルト:802.11a:36、40、44、48、52、56、60、64、100、104、108、112、116、132、136、140、149、153、157、161、802.11b/g:1、6、11
| ||||||||||||
ステップ 12 | ネットワークで AP1500 を使用している場合は、4.9 GHz チャネルが動作する 802.11a 周波数帯で 4.9 GHz チャネルを設定する必要があります。4.9 GHz 帯は、Public Safety に関わるクライアント アクセス トラフィック専用です。4.9 GHz チャネルを選択するには、[Select] カラムでチェックボックスをオンにします。チャネルを除外するには、チャネルのチェックボックスをオフにします。
範囲:802.11a:1、2、3、4、5、6、7、8、9、10、11、12、13、14、15、16、17、18、19、20、21、22、23、24、25、26 | ||||||||||||
ステップ 13 | [Apply] をクリックして、変更を確定します。 | ||||||||||||
ステップ 14 | 802.11a または 802.11b/g ネットワークを再び有効にする手順は、次のとおりです。 | ||||||||||||
ステップ 15 | [Save Configuration] をクリックして、変更を保存します。
|
Radio Resource Management(RRM)は、次の場合に、ブリッジ モード アクセス ポイントの無線バックホールで有効にできます。
これらの条件が満たされている場合、完全な RRM が確立されます。この中には、伝送電力制御(TPC)、動的チャネル割り当て(DCA)、カバレッジ ホールの検出と緩和(CHDM)が含まれます。メッシュ AP が RRM に参加する RAP に再度参加する必要がある場合、RAP は、すべての RRM 機能をただちに停止します。
config mesh backhaul rrm <enable|disable>:メッシュ 無線バックホールの RRM を有効にします。
Config mesh backhaul rrm <auto-rf global|off>:動的チャネル割り当てのみを有効/無効にします。
イーサネット VLAN タギングを使用すると、ワイヤレス メッシュ ネットワーク内で特定のアプリケーション トラフィックをセグメント化して、有線 LAN に転送(ブリッジング)するか(アクセス モード)、別のワイヤレス メッシュ ネットワークにブリッジングすることができます(トランク モード)。
イーサネット VLAN タギングを使用した一般的な Public Safety アクセス アプリケーションは、市内のさまざまな屋外の場所へのビデオ監視カメラの設置を前提にしたものです。これらのビデオ カメラはすべて MAP に有線で接続されています。また、これらのカメラのビデオはすべて無線バックホールを介して有線ネットワークにある中央の指令本部にストリーミングされます。
イーサネット VLAN タギングを使用すると、屋内と屋外の両実装で、イーサネット ポートをノーマル、アクセス、またはトランクとして設定できます。
(注) | VLAN トランスペアレント モードが無効な場合、デフォルトのイーサネット ポートはノーマル モードになります。VLAN タギングを使用し、イーサネット ポートの設定を許可するには、VLAN トランスペアレント モードを無効にする必要があります。グローバル パラメータである VLAN トランスペアレント モードを無効にするには、「グローバル メッシュ パラメータの設定」の項を参照してください。
|
イーサネット VLAN タギングは、バックホールとして使用されていないイーサネット ポートで動作します。
(注) | コントローラの 7.2 よりも前のリリースでは、ルート アクセス ポイント(RAP)のネイティブ VLAN は、メッシュ イーサネット ブリッジングと VLAN トランスペアレントを有効にしたメッシュ アクセス ポイント(MAP)のイーサネット ポートから転送されます。 7.2 および 7.4 リリースでは、ルート アクセス ポイント(RAP)のネイティブ VLAN は、メッシュ イーサネット ブリッジングと VLAN トランスペアレントを有効にしたメッシュ アクセス ポイント(MAP)のイーサネット ポートから転送されません。この動作は 7.6 から変更されます。ネイティブ VLAN は、VLAN トランスペアレントが有効になると MAP により転送されます。 この動作の変更は信頼性を向上し、メッシュ バックホールの転送ループの発生を最小限に抑えます。 |
メッシュ アクセス ポイントで VLAN をサポートするには、すべてのアップリンク メッシュ アクセス ポイントが、異なる VLAN に属するトラフィックを分離できるよう同じ VLAN をサポートする必要があります。メッシュ アクセス ポイントが VLAN 要件を通信して親からの応答を得る処理は「VLAN レジストレーション」と呼ばれます。
(注) | VLAN レジストレーションは自動的に行われます。ユーザの操作は必要ありません。 |
メッシュ アクセス ポイントのイーサネット ポートが VLAN で設定されている場合は、ポートから親へ VLAN のサポートを要求します。
親が要求をサポートできる場合、その VLAN のブリッジ グループを作成し、要求をさらにその親へ伝搬します。この伝搬は RAP に達するまで続きます。
要求が RAP に達すると、RAP は VLAN リクエストをサポートできるかどうかを確認します。サポートできる場合、RAP は VLAN リクエストをサポートするために、ブリッジ グループとサブインターフェイスをアップリンク イーサネット インターフェイスで作成します。
メッシュ アクセス ポイントのいずれかの子で VLAN リクエストをサポートできない場合、メッシュ アクセス ポイントはネガティブ応答を返します。この応答は、VLAN を要求したメッシュ アクセス ポイントに達するまでダウンストリーム メッシュ アクセス ポイントに伝搬されます。
親からのネガティブ応答を受信した要求元メッシュ アクセス ポイントは、VLAN の設定を延期します。ただし、将来試みるときのために設定は保存されます。メッシュの動的な特性を考慮すると、ローミング時や CAPWAP 再接続時に、別の親とそのアップリンク メッシュ アクセス ポイントがその設定をサポートできることがあります。
安全上の理由により、メッシュ アクセス ポイント(RAP および MAP)にあるイーサネット ポートはデフォルトで無効になっています。このイーサネット ポートは、メッシュ アクセス ポイント ポートでイーサネット ブリッジングを設定することにより、有効になります。
イーサネット VLAN タギングが動作するには、メッシュ ネットワーク内の全メッシュ アクセス ポイントでイーサネット ブリッジングが有効である必要があります。
VLAN モードは、非 VLAN トランスペアレントに設定する必要があります(グローバル メッシュ パラメータ)。「グローバル メッシュ パラメータの設定(CLI)」の項を参照してください。VLAN トランスペアレントは、デフォルトで有効になっています。非 VLAN トランスペアレントとして設定するには、[Wireless] > [Mesh] ページで [VLAN transparent] オプションをオフにする必要があります。
バックホール インターフェイス(802.11a)は、プライマリ イーサネット インターフェイスとして機能します。バックホールはネットワーク内のトランクとして機能し、無線ネットワークと有線ネットワークとの間のすべての VLAN トラフィックを伝送します。プライマリ イーサネット インターフェイスに必要な設定はありません。
屋内メッシュ ネットワークの場合、VLAN タギング機能は、屋外メッシュ ネットワークの場合と同様に機能します。バックホールとして動作しないアクセス ポートはすべてセカンダリであり、VLAN タギングに使用できます。
RAP にはセカンダリ イーサネット ポートがないため、VLAN タギングを RAP 上で実装できず、プライマリ ポートがバックホールとして使用されます。ただし、イーサネット ポートが 1 つの MAP では VLAN タギングを有効できます。これは、MAP のイーサネット ポートがバックホールとして機能せず、結果としてセカンダリ ポートになるためです。
設定の変更は、バックホールとして動作するイーサネット インターフェイスに適用されません。バックホールの設定を変更しようとすると警告が表示されます。設定は、インターフェイスがバックホールとして動作しなくなった後に適用されます。
メッシュ ネットワーク内の任意の 802.11a バックホール イーサネット インターフェイスで VLAN タギングをサポートするための設定は必要ありません。
AP1500 のポート 02(ケーブル モデム ポート)では、VLAN を設定できません(該当する場合)。ポート 0(PoE 入力)、1(PoE 出力)、および 3(光ファイバ)では VLAN を設定できます。
各セクターでは、最大 16 個の VLAN がサポートされています。したがって、RAP の子(MAP)によってサポートされている VLAN の累積的な数は最大 16 です。
メッシュ アクセス ポイントが CAPWAP RUN 状態であり、VLAN トランスペアレント モードが無効な場合にのみ、設定は有効です。
ステップ 1 | イーサネット ブリッジングを有効にしてから、[Wireless] > [All APs] を選択します。 | ||||||
ステップ 2 | VLAN タギングを有効にするメッシュ アクセス ポイントの AP 名のリンクをクリックします。 | ||||||
ステップ 3 | 詳細ページで、[Mesh] タブを選択します。 | ||||||
ステップ 4 | [Ethernet Bridging] チェックボックスをオンにしてこの機能を有効にし、[Apply] をクリックします。 ページの最下部の [Ethernet Bridging] セクションに、メッシュ アクセス ポイントの 4 つのイーサネット ポートそれぞれが一覧表示されます。
| ||||||
ステップ 5 | [Apply] をクリックします。 | ||||||
ステップ 6 | [Save Configuration] をクリックして、変更を保存します。 |
MAP アクセス ポートを設定するには、次のコマンドを入力します。
config ap ethernet 1 mode access enable AP1500-MAP 50
ここで、AP1500-MAP は可変の AP 名であり、50 は可変のアクセス VLAN ID です。
RAP または MAP のトランク ポートを設定するには、次のコマンドを入力します。
config ap ethernet 0 mode trunk enable AP1500-MAP 60
ここで、AP1500-MAP は可変の AP 名であり、60 は可変のネイティブ VLAN ID です。
VLAN をネイティブ VLAN の VLAN 許可リストに追加するには、次のコマンドを入力します。
特定のメッシュ アクセス ポイント(AP Name)またはすべてのメッシュ アクセス ポイント(summary)のイーサネット インターフェイスの VLAN 設定の詳細を表示するには、次のコマンドを入力します。
show ap config ethernet ap-name
VLAN トランスペアレント モードが有効と無効のどちらであるかを確認するには、次のコマンドを入力します。
show mesh config
ワークグループ ブリッジ(WGB)は、イーサネット対応デバイスにワイヤレス インフラストラクチャ接続を提供できる小さいスタンドアロン ユニットです。ワイヤレス ネットワークに接続するためにワイヤレス クライアント アダプタを備えていないデバイスは、イーサネット ポート経由で WGB に接続できます。WGB は、ワイヤレス インターフェイスを介してルート AP にアソシエートされます。つまり、有線クライアントはワイヤレス ネットワークにアクセスできます。
WGB は、メッシュ アクセス ポイントに、WGB の有線セグメントにあるすべてのクライアントを IAPP メッセージで通知することにより、単一ワイヤレス セグメントを介して有線ネットワークに接続するために使用されます。WGB クライアントのデータ パケットでは、802.11 ヘッダー(4 つの MAC ヘッダー(通常は 3 つの MAC データ ヘッダー))内に追加 MAC アドレスが含まれます。ヘッダー内の追加 MAC は、WGB 自体のアドレスです。この追加 MAC アドレスは、クライアントと送受信するパケットをルーティングするために使用されます。
WGB アソシエーションは、各メッシュ アクセス ポイントの AP 全機でサポートされます。
現在のアーキテクチャでは、Autonomous AP がワークグループ ブリッジとして機能しますが、1 つの無線インターフェイスだけがコントローラ接続、有線クライアント接続用イーサネット インターフェイス、およびワイヤレス クライアント接続の他の無線インターフェイスに使用されます。コントローラ(メッシュ インフラストラクチャを使用)および有線クライアントのイーサネット インターフェイスに接続するには、dot11radio 1(5 GHz)を使用できます。dot11radio 0(2.4 GHz)はワイヤレス クライアント接続に使用できます。要件に応じて、クライアント アソシエーションまたはコントローラ接続に dot11radio 1 または dot11radio 0 を使用できます。
7.0 リリースでは、ワイヤレス インフラへのアップリンクが失われた場合や、ローミング環境で稼働する場合でも、2 台目の AP(WGB として設定)に接続されたワイヤレス クライアントが切断されずに済みます。
2 つの AP を使用する場合、1 台をクライアント アクセスに使用し、もう 1 台をアクセス ポイントとして使用できます。2 つの独立した AP が 2 つの独立した機能を実行するため、遅延の制御が向上し、遅延が低下します。また、アップリンクが失われた場合や、ローミング環境で稼働する場合でも、2 台目の AP(WGB として設定)に接続されたワイヤレス クライアントが切断されずに済みます。その場合、1 台はルート AP(無線の役割)として設定し、もう 1 台は WGB(無線の役割)として設定する必要があります。
(注) | 1 台を WGB として設定した場合、もう 1 台は WGB またはリピータとして設定できません。 |
ワークグループ ブリッジ(WGB)は、メッシュ アクセス ポイントに、WGB の有線セグメントにあるすべてのクライアントを IAPP メッセージで通知することにより、単一ワイヤレス セグメントを介して有線ネットワークに接続するために使用されます。IAPP 制御メッセージの他にも、WGB クライアントのデータ パケットでは 802.11 ヘッダー(4 つの MAC ヘッダー(通常は 3 つの MAC データ ヘッダー))内に追加 MAC アドレスが含まれます。ヘッダー内の追加 MAC は、ワークグループ ブリッジ自体のアドレスです。この追加 MAC アドレスは、クライアントと送受信するパケットをルーティングするときに使用されます。
WGB アソシエーションは、すべての Cisco AP で 2.4 GHz 帯(802.11b/g)および 5 GHz 帯(802.11a)の両方でサポートされます。
WGB はメッシュ アクセス ポイントに関連付けることができるため、設定されたサポートされるプラットフォームは自律 1600、1700、2600、2700、3600、3700、1530、1550、および 1570 です。設定手順については、『Cisco Wireless LAN Controller Configuration Guide』の「Cisco Workgroup Bridges」の項を参照してください。その場所は次のとおりです。 https://www.cisco.com/c/en/us/support/wireless/8500-series-wireless-controllers/products-installation-and-configuration-guides-list.html
WGB として設定された自律アクセス ポイントでは Cisco IOS リリース 12.4.25d-JA 以降が実行されている必要があります。
(注) | メッシュ アクセス ポイントが 2 チャネルの同時使用に対応している場合、いずれかのチャネルのみでワークグループ ブリッジ モードを設定できます。2 番目のチャネルは無効にすることをお勧めします。3 チャネルの同時使用に対応するアクセス ポイントは、ワークグループ ブリッジ モードをサポートしません。 |
クライアント モード WGB(BSS)はサポートされていますが、インフラストラクチャ WGB はサポートされていません。クライアント モード WGB では VLAN をトランクできませんが、インフラストラクチャ WGB ではトランクできます。
ACK がクライアントから返されないため、マルチキャスト トラフィックは WGB に確実に転送されるわけではありません。マルチキャスト トラフィックがインフラストラクチャ WGB にユニキャストされると、ACK が返されます。
Cisco IOS アクセス ポイントで一方の周波数帯が WGB として設定された場合、他方の周波数帯は WGB やリピータにできません。
メッシュ アクセス ポイントでは、アソシエートされた WGB の背後で、ワイヤレス クライアント、WGB、および有線クライアントを含む、最大 200 台のクライアントをサポートできます。
WLAN が WPA1(TKIP)+WPA2(AES)で設定され、対応する WGB インターフェイスがこれらの暗号化の 1 つ(WPA1 または WPA2)で設定された場合、WGB はメッシュ アクセス ポイントとアソシエートできません。
メッシュ アクセス ポイントで利用可能な 2 つの 5 GHz 帯で強力なクライアント アクセスを利用できるよう、メッシュ AP インフラストラクチャへのアップリンクには 5 GHz 帯を使用することをお勧めします。5 GHz 帯では Effective Isotropic Radiated Power(EIRP)が向上するため、通信品質が劣化しにくくなります。2 つの周波数帯を使用できる WGB では、5 GHz 帯(無線 1)モードを WGB として設定します。この周波数帯は、メッシュ インフラストラクチャにアクセスするために使用されます。2 番目の周波数帯となる 2.4 GHz 帯(無線 0)モードは、クライアント アクセスのルートとして設定します。
自律アクセス ポイントでは、SSID を 1 つだけネイティブ VLAN に割り当てることができます。自律 AP では、1 つの SSID で複数の VLAN を使用できません。SSID と VLAN のマッピングは、異なる VLAN でトラフィックを分離するために一意である必要があります。Unified アーキテクチャでは、複数の VLAN を 1 つの WLAN(SSID)に割り当てることができます。
アクセス ポイント インフラストラクチャへ WGB をワイヤレス アソシエーションする際は、1 つの WLAN(SSID)だけがサポートされます。この SSID はインフラストラクチャ SSID として設定し、ネイティブ VLAN にマッピングする必要があります。
アクセス ポイントの 2 番目の周波数帯(2.4 GHz)ではクライアント アクセスを設定する必要があります。両方の周波数帯で同じ SSID を使用し、ネイティブ VLAN にマッピングする必要があります。異なる SSID を作成しても、VLAN と SSID のマッピングに一意性が求められるため、その SSID をネイティブ VLAN にマッピングすることはできません。SSID を別の VLAN にマッピングしようとしても、ワイヤレス クライアントは複数の VLAN をサポートしません。
WGB でのワイヤレス クライアント アソシエーションでは、WLAN(SSID)に対してすべてのレイヤ 2 セキュリティ タイプがサポートされます。
この機能は AP プラットフォームに依存しません。コントローラ側では、メッシュ AP および非メッシュ AP の両方がサポートされます。
WGB では、クライアント台数の制限(20 台まで)があります。この制限には、有線クライアントとワイヤレス クライアントの両方が含まれます。WGB が自律アクセス ポイントと対話する場合、クライアント台数の制限は非常に高くなります。
コントローラは、WGB の背後にあるワイヤレス クライアントと有線クライアントを同様に扱います。コントローラからワイヤレス WGB クライアントに対する MAC フィルタリングやリンク テストなどの機能は、サポートされません。
WGB の背後にあるワイヤレス クライアントおよび有線クライアントに対してローミングがサポートされます。アップリンクが失われた場合や、ローミング中の場合は、他の周波数帯上にあるワイヤレス クライアントが WGB によってアソシエート解除されません。
無線 0(2.4 GHz)をルート(自律 AP の 1 つの動作モード)として設定し、無線 1(5 GHz)を WGB として設定することをお勧めします。
単一ブリッジ グループに両方の無線のサブインターフェイスをマッピングすること。
(注) | ネイティブ VLAN は、デフォルトで常にブリッジ グループ 1 にマッピングされます。他の VLAN の場合、ブリッジ グループ番号は VLAN 番号に一致します。たとえば、VLAN 46 の場合、ブリッジ グループは 46 です。 |
次の例では、両方の無線で 1 つの SSID(WGBTEST)が使用され、SSID は NATIVE VLAN 51 にマッピングされたインフラストラクチャ SSID です。すべての無線インターフェイスは、ブリッジ グループ -1 にマッピングされます。
WGB1#config t WGB1(config)#interface Dot11Radio1.51 WGB1(config-subif)#encapsulation dot1q 51 native WGB1(config-subif)#bridge-group 1 WGB1(config-subif)#exit WGB1(config)#interface Dot11Radio0.51 WGB1(config-subif)#encapsulation dot1q 51 native WGB1(config-subif)#bridge-group 1 WGB1(config-subif)#exit WGB1(config)#dot11 ssid WGBTEST WGB1(config-ssid)#VLAN 51 WGB1(config-ssid)#authentication open WGB1(config-ssid)#infrastructiure-ssid WGB1(config-ssid)#exit WGB1(config)#interface Dot11Radio1 WGB1(config-if)#ssid WGBTEST WGB1(config-if)#station-role workgroup-bridge WGB1(config-if)#exit WGB1(config)#interface Dot11Radio0 WGB1(config-if)#ssid WGBTEST WGB1(config-if)#station-role root WGB1(config-if)#exit
また、自律 AP の GUI を使用して設定することもできます。この GUI から VLAN が定義された後に、サブインターフェイスは自動的に作成されます。
コントローラと WGB のアソシエーションおよび WGB とワイヤレス クライアントのアソシエーションの両方は、自律 AP で show dot11 associations client コマンドを入力して確認できます。
WGB#show dot11 associations client 802.11 Client Stations on Dot11Radio1: SSID [WGBTEST] :
MAC Address |
IP Address |
Device |
Name |
Parent |
State |
0024.130f.920e |
209.165.200.225 |
LWAPP-Parent |
RAPSB |
- |
Assoc |
コントローラで、[Monitor] > [Clients] を選択します。WGB と、WGB の背後にあるワイヤレス/有線クライアントは更新され、ワイヤレス/有線クライアントが WGB クライアントとして表示されます。
リンク テストは、コントローラの CLI から次のコマンドを使用して実行することもできます。
(Cisco Controller) > linktest client mac-address
コントローラからのリンク テストは WGB にのみ制限され、コントローラから、WGB に接続された有線またはワイヤレス クライアントに対して WGB 外部で実行することはできません。WGB 自体から WGB に接続されたワイヤレス クライアントのリンク テストを実行するには、次のコマンドを使用します。
ap#dot11 dot11Radio 0 linktest target client-mac-address Start linktest to 0040.96b8.d462, 100 512 byte packets ap#
POOR (4% lost) |
Time (msec) |
Strength (dBm) |
SNR Quality |
Retries |
|||
In |
Out |
In |
Out |
In |
Out |
||
Sent: 100 |
Avg. 22 |
-37 |
-83 |
48 |
3 |
Tot. 34 |
35 |
Lost to Tgt: 4 |
Max. 112 |
-34 |
-78 |
61 |
10 |
Max. 10 |
5 |
Lost to Src: 4 |
Min. 0 |
-40 |
-87 |
15 |
3 |
Rates (Src/Tgt) 24Mb 0/5 36Mb 25/0 48Mb 73/0 54Mb 2/91 Linktest Done in 24.464 msec
また、次のコマンドを使用して、WGB と、Cisco Lightweight アクセス ポイントにアソシエートされたクライアントの概要を確認することもできます。
(Cisco Controller) > show wgb summary Number of WGBs................................... 2
MAC Address |
IP Address |
AP Name |
Status |
WLAN |
Auth |
Protocol |
Clients |
00:1d:70:97:bd:e8 |
209.165.200.225 |
c1240 |
Assoc |
2 |
Yes |
802.11a |
2 |
00:1e:be:27:5f:e2 |
209.165.200.226 |
c1240 |
Assoc |
2 |
Yes |
802.11a |
5 |
(Cisco Controller) > show client summary Number of Clients................................ 7
MAC Address |
AP Name |
Status |
WLAN/Guest-Lan |
Auth |
Protocol |
Port |
Wired |
00:00:24:ca:a9:b4 |
R14 |
Associated |
1 |
Yes |
N/A |
29 |
No |
00:24:c4:a0:61:3a |
R14 |
Associated |
1 |
Yes |
802.11a |
29 |
No |
00:24:c4:a0:61:f4 |
R14 |
Associated |
1 |
Yes |
802.11a |
29 |
No |
00:24:c4:a0:61:f8 |
R14 |
Associated |
1 |
Yes |
802.11a |
29 |
No |
00:24:c4:a0:62:0a |
R14 |
Associated |
1 |
Yes |
802.11a |
29 |
No |
00:24:c4:a0:62:42 |
R14 |
Associated |
1 |
Yes |
802.11a |
29 |
No |
00:24:c4:a0:71:d2 |
R14 |
Associated |
1 |
Yes |
802.11a |
29 |
No |
(Cisco Controller) > show wgb detail 00:1e:be:27:5f:e2 Number of wired client(s): 5
MAC Address |
IP Address |
AP Name |
Mobility |
WLAN |
Auth |
00:16:c7:5d:b4:8f |
Unknown |
c1240 |
Local |
2 |
No |
00:21:91:f8:e9:ae |
209.165.200.232 |
c1240 |
Local |
2 |
Yes |
00:21:55:04:07:b5 |
209.165.200.234 |
c1240 |
Local |
2 |
Yes |
00:1e:58:31:c7:4a |
209.165.200.236 |
c1240 |
Local |
2 |
Yes |
00:23:04:9a:0b:12 |
Unknown |
c1240 |
Local |
2 |
No |
Cisco Compatible Extension(CX)バージョン 4(v4)クライアントによる高速ローミングでは、屋外メッシュ展開において最大 70 mph の速度がサポートされます。ユース ケースとしては、メッシュ パブリック ネットワーク内を移動する緊急車両内の端末との通信などが考えられます。
次に挙げる 3 つの Cisco CX v4 レイヤ 2 クライアント ローミング拡張機能がサポートされています。
アクセス ポイント経由ローミング:クライアントによるスキャン時間が短縮されます。Cisco CX v4 クライアントがアクセス ポイントにアソシエートする際、新しいアクセス ポイントには、以前のアクセス ポイントの特徴を含む情報パケットを送信します。各クライアントがアソシエートされていた以前のアクセス ポイントと、アソシエーション直後にクライアントに送信(ユニキャスト)されていた以前のアクセス ポイントをすべて集約したリストがクライアントによって認識および使用されると、ローミング時間が短縮します。アクセス ポイントのリストには、チャネル、クライアントの現在の SSID をサポートするネイバー アクセス ポイントの BSSID、およびアソシエーション解除からの経過時間が含まれます。
拡張ネイバー リスト:音声アプリケーションを中心に、Cisco CX v4 クライアントのローミング能力とネットワーク エッジのパフォーマンスを向上させます。アクセス ポイントは、ネイバー リストのユニキャスト更新メッセージを使用して、アソシエートされたクライアントのネイバーに関する情報を提供します。
ローミング理由レポート:Cisco CX v4 クライアントが新しいアクセス ポイントにローミングした理由を報告できます。また、ネットワーク管理者はローミング履歴を作成およびモニタできるようになります。
(注) | クライアント ローミングはデフォルトでは有効です。詳細については、『Enterprise Mobility Design Guide』(http://www.cisco.com/en/US/docs/solutions/Enterprise/Mobility/emob41dg/eMob4.1.pdf)を参照してください。 |
WGB でのローミングの設定:WGB がモバイルである場合は、親アクセス ポイントまたはブリッジへのより良好な無線接続をスキャンするよう設定できます。ap(config-if)mobile station period 3 threshold 50 コマンドを使用して、ワークグループ ブリッジをモバイル ステーションとして設定します。
この設定を有効にすると、受信信号強度表示(RSSI)の数値が低いこと、電波干渉が多いこと、またはフレーム損失率が高いことが検出された場合に、WGB は新しい親アソシエーションをスキャンします。これらの基準を使用して、モバイル ステーションとして設定された WGB は新しい親アソシエーションを検索し、現在のアソシエーションが失われる前に新しい親にローミングします。モバイル ステーションの設定が無効な場合(デフォルト設定)、WGB は現在のアソシエーションが失われるまで新しいアソシエーションを検索しません。
WGB での限定チャネル スキャンの設定:鉄道などのモバイル環境では、WGB はすべてのチャネルをスキャンする代わりに、限定チャネルのセットのみをスキャンするよう制限されます。これにより、WGB のローミングが 1 つのアクセス ポイントから別のアクセス ポイントに切り替わるときにハンドオフによる遅延が減少します。チャネル数を制限することにより、WGB は必要なチャネルのみをスキャンします。モバイル WGB では、高速かつスムーズなローミングとともに継続的なワイヤレス LAN 接続が実現され、維持されます。この限定チャネル セットは、ap(config-if)#mobile station scan set of channels を使用して設定されます。
このコマンドにより、すべてのチャネルまたは指定されたチャネルに対するスキャンが実行されます。設定できるチャネルの最大数に制限はありません。設定できるチャネルの最大数は、無線がサポートできるチャネル数に制限されます。実行時に、WGB はこの限定チャネル セットのみをスキャンします。この限定チャネルの機能は、WGB が現在アソシエートされているアクセス ポイントから受け取る既知のチャネル リストにも影響します。チャネルは、チャネルが限定チャネル セットに含まれる場合にのみ、既知のチャネル リストに追加されます。
単一ブリッジ グループに両方の無線のサブインターフェイスをマッピングすること。
(注) | ネイティブ VLAN は、デフォルトで常にブリッジ グループ 1 にマッピングされます。他の VLAN の場合、ブリッジ グループ番号は VLAN 番号に一致します。たとえば、VLAN 46 の場合、ブリッジ グループは 46 です。 |
次の例では、両方の無線で 1 つの SSID(WGBTEST)が使用され、SSID は NATIVE VLAN 51 にマッピングされたインフラストラクチャ SSID です。すべての無線インターフェイスは、ブリッジ グループ -1 にマッピングされます。
WGB1#config t WGB1(config)#interface Dot11Radio1.51 WGB1(config-subif)#encapsulation dot1q 51 native WGB1(config-subif)#bridge-group 1 WGB1(config-subif)#exit WGB1(config)#interface Dot11Radio0.51 WGB1(config-subif)#encapsulation dot1q 51 native WGB1(config-subif)#bridge-group 1 WGB1(config-subif)#exit WGB1(config)#dot11 ssid WGBTEST WGB1(config-ssid)#VLAN 51 WGB1(config-ssid)#authentication open WGB1(config-ssid)#infrastructiure-ssid WGB1(config-ssid)#exit WGB1(config)#interface Dot11Radio1 WGB1(config-if)#ssid WGBTEST WGB1(config-if)#station-role workgroup-bridge WGB1(config-if)#exit WGB1(config)#interface Dot11Radio0 WGB1(config-if)#ssid WGBTEST WGB1(config-if)#station-role root WGB1(config-if)#exit
また、自律 AP の GUI を使用して設定することもできます。この GUI から VLAN が定義された後に、サブインターフェイスは自動的に作成されます。
ワイヤレス クライアントが WGB にアソシエートされていない場合は、次の手順を実行して問題をトラブルシューティングします。
自律 AP で show bridge コマンドの出力を確認し、AP が適切なインターフェイスからクライアント MAC アドレスを参照していることを確認します。
異なるインターフェイスの特定の VLAN に対応するサブインターフェイスが同じブリッジ グループにマッピングされていることを確認します。
必要に応じて、clear bridge コマンドを使用してブリッジ エントリをクリアします(注:このコマンドは、WGB 内のアソシエートされているすべての有線および無線クライアントを削除し、それらのクライアントを再度アソシエートします)。
show dot11 association コマンドの出力を確認し、WGB がコントローラにアソシエートされていることを確認します。
通常のシナリオでは、show bridge コマンドの出力と show dot11 association コマンドの出力が期待されたものである場合、ワイヤレス クライアントのアソシエーションは成功です。
メッシュ ネットワークにおける音声およびビデオの品質を管理するために、コントローラでコール アドミッション制御(CAC)および QoS を設定できます。
屋内メッシュ アクセス ポイントは 802.11e 対応であり、QOS は、2.4 および 5 GHz のローカル AP、2.4 および 5 GHz の AP、2.4 および 5 GHz の無線バックホールでサポートされます。CAC は、バックホールおよび CCXv4 クライアントでサポートされています(メッシュ アクセス ポイントとクライアント間の CAC を提供)。
(注) | 音声は、屋内メッシュ ネットワークだけでサポートされます。音声は、メッシュ ネットワークの屋外においてベストエフォート方式でサポートされます。 |
コール アドミッション制御(CAC)を使用すると、ワイヤレス LAN で輻輳が発生した際でも、メッシュ アクセス ポイントで定義された QoS を維持できます。CCX v3 で展開される Wi-Fi Multimedia(WMM)プロトコルにより、無線 LAN に輻輳が発生しない限り十分な QoS が保証されます。ただし、さまざまなネットワーク負荷で QoS を維持するには、CCXv4 以降の CAC が必要です。
(注) | CAC は Cisco Compatible Extensions(CCX)v4 以降でサポートされています。『Cisco Wireless LAN Controller Configuration Guide, Release 7.0』(http://www.cisco.com/en/US/docs/wireless/controller/7.0/configuration/guide/c70sol.html)の第 6 章を参照してください。 |
アクセスポイントには、帯域幅ベースの CAC と、load-based の CAC という 2 種類の CAC が利用できます。メッシュ ネットワーク上のコールはすべて帯域幅ベースであるため、メッシュ アクセス ポイントは帯域幅ベースの CAC だけを使用します。
帯域幅に基づく、静的な CAC を使用すると、クライアントで新しいコールを受信するために必要な帯域幅または共有メディア時間を指定できます。各アクセス ポイントは、使用可能な帯域幅を確認して特定のコールに対応できるかどうかを判断し、そのコールに必要な帯域幅と比較します。品質を許容できる最大可能コール数を維持するために十分な帯域幅が使用できない場合、メッシュ アクセス ポイントはコールを拒否します。
ローカル アクセスとバックホールでは、802.11e がサポートされています。メッシュ アクセス ポイントでは、分類に基づいて、ユーザ トラフィックの優先順位が付けられるため、すべてのユーザ トラフィックがベストエフォートの原則で処理されます。
メッシュのユーザが使用可能なリソースは、メッシュ内の位置によって異なり、ネットワークの 1 箇所に帯域幅制限を適用する設定では、ネットワークの他の部分でオーバーサブスクリプションが発生することがあります。
同様に、クライアントの RF の割合を制限することは、メッシュ クライアントに適していません。制限するリソースはクライアント WLAN ではなく、メッシュ バックホールで使用可能なリソースです。
有線イーサネット ネットワークと同様に、802.11 WLAN では、キャリア検知多重アクセス(CSMA)が導入されます。ただし、WLAN は、衝突検出(CD)を使用する代わりに衝突回避(CA)を使用します。つまり、メディアが空いたらすぐに各ステーションが伝送を行う代わりに、WLAN デバイスは衝突回避メカニズムを使用して複数のステーションが同時に伝送を行うのを防ぎます。
衝突回避メカニズムでは、CWmin と CWmax という 2 つの値が使用されます。CW はコンテンション ウィンドウ(Contention Window)を表します。CW は、インターフレーム スペース(IFS)の後、パケットの転送に参加するまで、エンドポイントが待機する必要がある追加の時間を指定します。Enhanced Distributed Coordination Function(EDCF)は、遅延に影響を受けるマルチメディア トラフィックのあるエンド デバイスが、CWmin 値と CWmax 値を変更して、メディアに統計的に大きい(および頻繁な)アクセスを行えるようにするモデルです。
シスコのアクセス ポイントは EDCF に似た QoS をサポートします。これは最大 8 つの QoS のキューを提供します。
これらのキューは、次のようにいくつかの方法で割り当てることができます。
AP1500 は Cisco コントローラとともに、コントローラで最小の統合サービス機能(クライアント ストリームに最大帯域幅の制限がある)と、IP DSCP 値と QoS WLAN 上書きに基づいたより堅牢なディファレンシエーテッド サービス(diffServ)機能を提供します。
キュー容量に達すると、追加のフレームがドロップされます(テール ドロップ)。
メッシュ システムでは複数のカプセル化が使用されます。これらのカプセル化には、コントローラと RAP 間、メッシュ バックホール経由、メッシュ アクセス ポイントとそのクライアント間の CAPWAP 制御とデータが含まれます。バックホール経由のブリッジ トラフィック(LAN からの非コントローラ トラフィック)のカプセル化は CAPWAP データのカプセル化と同じです。
コントローラと RAP 間には 2 つのカプセル化があります。1 つは CAPWAP 制御のカプセル化であり、もう 1 つは CAPWAP データのカプセル化です。制御インスタンスでは、CAPWAP は制御情報とディレクティブのコンテナとして使用されます。CAPWAP データのインスタンスでは、イーサネットと IP ヘッダーを含むパケット全体が CAPWAP コンテナ内で送信されます
バックホールの場合、メッシュ トラフィックのカプセル化のタイプは 1 つだけです。ただし、2 つのタイプのトラフィック(ブリッジ トラフィックと CAPWAP 制御およびデータ トラフィック)がカプセル化されます。どちらのタイプのトラフィックもプロプライエタリ メッシュ ヘッダーにカプセル化されます。
ブリッジ トラフィックの場合、パケットのイーサネット フレーム全体がメッシュ ヘッダーにカプセル化されます。
すべてのバックホール フレームが MAP から MAP、RAP から MAP、または MAP から RAP でも関係なく適切に処理されます。
(注) | メッシュ データ DTLS 暗号化は、1540 および 1560 モデルなどの Wave 2 メッシュ AP でのみサポートされます。 |
メッシュ アクセス ポイントは高速の CPU を使用して、入力フレーム、イーサネット、およびワイヤレスを先着順に処理します。これらのフレームは、適切な出力デバイス(イーサネットまたはワイヤレスのいずれか)への伝送のためにキューに格納されます。出力フレームは、802.11 クライアント ネットワーク、802.11 バックホール ネットワーク、イーサネットのいずれかを宛先にすることができます。
AP1500 は、ワイヤレス クライアント伝送用に 4 つの FIFO をサポートします。これらの FIFO は 802.11e Platinum、Gold、Sliver、Bronze キューに対応し、これらのキューの 802.11e 伝送ルールに従います。FIFO では、キューの深さをユーザが設定できます。
バックホール(別の屋外メッシュ アクセス ポイント宛のフレーム)では、4 つの FIFO を使用しますが、ユーザ トラフィックは、Gold、Siliver、および Bronze に制限されます。Platinum キューは、CAPWAP 制御トラフィックと音声だけに使用され、CWmin や CWmax などの標準 802.11e パラメータから変更され、より堅牢な伝送を提供しますが、遅延が大きくなります。
Gold キューの CWmin や CWmax などの 802.11e パラメータは、遅延が少なくなるように変更されています。ただし、エラー レートとアグレッシブが若干増加します。これらの変更の目的は、ビデオ アプリケーションから使いやすいチャネルを提供することです。
イーサネット宛のフレームは FIFO として、使用可能な最大伝送バッファ プール(256 フレーム)までキューに格納されます。レイヤ 3 IP Differentiated Services Code Point(DSCP)がサポートされ、パケットのマーキングもサポートされます。
データ トラフィックのコントローラから RAP へのパスでは、外部 DSCP 値が着信 IP フレームの DSCP 値に設定されます。インターフェイスがタグ付きモードである場合、コントローラは、802.1Q VLAN ID を設定し、802.1p UP 着信と WLAN のデフォルトの優先度上限から 802.1p UP(外部)を派生させます。VLAN ID 0 のフレームはタグ付けされません。
CAPWAP 制御トラフィックの場合、IP DSCP 値は 46 に設定され、802.1p ユーザ優先度(UP)は 7 に設定されます。バックホール経由のワイヤレス フレームの伝送の前に、ノードのペア化(RAP/MAP)や方向に関係なく、外部ヘッダーの DSCP 値を使用して、バックホール優先度が判断されます。次の項で、メッシュ アクセス ポイントで使用される 4 つのバックホール キューとバックホール パス QoS に示される DSCP 値のマッピングについて説明します。
(注) | Platinum バックホール キューは CAPWAP 制御トラフィック、IP 制御トラフィック、音声パケット用に予約されています。DHCP、DNS、および ARP 要求も Platinum QoS レベルで伝送されます。メッシュ ソフトウェアは、各フレームを調査し、それが CAPWAP 制御フレームであるか、IP 制御フレームであるかを判断して、Platinum キューが CAPWAP 以外のアプリケーションに使用されないようにします。 |
MAP からクライアントへのパスの場合、クライアントが WMM クライアントか通常のクライアントかに応じて、2 つの異なる手順が実行されます。クライアントが WMM クライアントの場合、外部フレームの DSCP 値が調査され、802.11e プライオリティ キューが使用されます。
クライアントが WMM クライアントでない場合、WLAN の上書き(コントローラで設定された)によって、パケットが伝送される 802.11e キュー(Bronze、Gold、Platinum、または Silver)が決定されます。
メッシュ アクセス ポイントのクライアントの場合、メッシュ バックホールまたはイーサネットでの伝送に備えて、着信クライアント フレームが変更されます。WMM クライアントの場合、MAP が着信 WMM クライアント フレームから外部 DSCP 値を設定する方法を示します。
着信 802.11e ユーザ優先度および WLAN の上書き優先度の最小値が、表 3 に示された情報を使用して変換され、IP フレームの DSCP 値が決定されます。たとえば、着信フレームの優先度の値が Gold 優先度を示しているが、WLAN が Silver 優先度に設定されている場合は、最小優先度の Silver を使用して DSCP 値が決定されます。
着信 WMM 優先度がない場合、デフォルトの WLAN 優先度を使用して、外部ヘッダーの DSCP 値が生成されます。フレームが(APで)生成された CAPWAP 制御フレームの場合は、46 の DSCP 値が外部ヘッダーに配置されます。
5.2 コード拡張では、DSCP 情報が AWPP ヘッダーに保持されます。
Platinum キューを経由する DHCP/DNS パケットと ARP パケットを除き、すべての有線クライアント トラフィックは 5 の最大 802.1p UP 値に制限されます。
WMM 以外のワイヤレス クライアント トラフィックは、その WLAN のデフォルトの QoS 優先度を取得します。WMM ワイヤレス クライアント トラフィックには 802.11e の最大値の 6 を設定することができますが、それらはその WLAN に設定された QoS プロファイル未満である必要があります。アドミッション制御を設定した場合、WMM クライアントは TSPEC シグナリングを使用し、CAC によって許可されている必要があります。
CAPWAPP データ トラフィックはワイヤレス クライアント トラフィックを伝送し、ワイヤレス クライアント トラフィックと同じ優先度を持ち、同じように扱われます。
DSCP 値が決定されたので、さらに、RAP から MAP へのバックホール パスの先述したルールを使用して、フレームを伝送するバックホール キューが決定されます。RAP からコントローラに伝送されるフレームはタグ付けされません。外部 DSCP 値は最初に作成されているため、そのままになります。
ブリッジ サービスの処理は通常のコントローラベースのサービスと少し異なります。ブリッジ パケットは、CAPWAP カプセル化されないため、外部 DSCP 値がありません。そのため、メッシュ アクセス ポイントによって受信された IP ヘッダーの DSCP 値を使用して、メッシュ アクセス ポイントからメッシュ アクセス ポイント(バックホール)までのパスに示されたようにテーブルがインデックス化されます。
LAN 上のステーションから受信されたパケットは、決して変更されません。LAN 優先度の上書き値はありません。したがって、LAN では、ブリッジ モードで適切に保護されている必要があります。メッシュ バックホールに提供されている唯一の保護は、Platinum キューにマップされる CAPWAP 以外の制御フレームは Gold キューに降格されます。
パケットはメッシュへの着信時にイーサネット入口で受信されるため、LAN に正確に伝送されます。
AP1500 上のイーサネット ポートと 802.11a 間の QoS を統合する唯一の方法は、DSCP によってイーサネット パケットをタグ付けすることです。AP1500 は DSCP を含むイーサネット パケットを取得し、それを適切な 802.11e キューに格納します。
AP1500 は、入力ポートで DSCP タグを確認し、イーサネット フレームをカプセル化して、対応する 802.11e 優先度を適用します。
AP1500 は、出力ポートでイーサネット フレームのカプセル化を解除し、DSCP フィールドをそのままにして、そのフレームを回線上に配置します。
ビデオ カメラなどのイーサネット デバイスは、QoS を使用するために、DSCP 値でビットをマークする機能を持つ必要があります。
(注) | QoS は、ネットワーク上で輻輳が発生したときにだけ関連します。 |
メッシュ ネットワークで音声を使用する場合は、次のガイドラインに従います。
音声は、屋内メッシュ ネットワークだけでサポートされます。屋外の場合、音声は、メッシュ インフラストラクチャにおいてベストエフォート方式でサポートされます。
音声がメッシュ ネットワークで動作している場合、コールは 3 ホップ以上を通過しない必要があります。音声で 3 ホップ以上を必要としないように、各セクターを設定する必要があります。
[802.11a/n/ac] または [802.11b/g/n] > [Global] パラメータ ページで、次のことを行う必要があります。
[802.11a/n/ac] または [802.11b/g/n] > [Voice] パラメータ ページで、次のことを行う必要があります。
[802.11a/n/ac] または [802.11b/g/n] > [EDCA] パラメータ ページで、次のことを行う必要があります。
コントローラ CLI を使用して 3 種類のメッシュ マルチキャスト モードを設定し、すべてのメッシュ アクセス ポイントでビデオ カメラ ブロードキャストを管理できます。有効になっている場合、これらのモードは、メッシュ ネットワーク内の不要なマルチキャスト送信を減少させ、バックホール帯域幅を節約します。
メッシュ マルチキャスト モードは、ブリッジング対応アクセス ポイント MAP および RAP が、メッシュ ネットワーク内のイーサネット LAN 間でマルチキャストを送信する方法を決定します。メッシュ マルチキャスト モードは非 CAPWAP マルチキャスト トラフィックのみを管理します。CAPWAP マルチキャスト トラフィックは異なるメカニズムで管理されます。
regular モード:データは、ブリッジ対応の RAP および MAP によってメッシュ ネットワーク全体とすべてのセグメントにマルチキャストされます。
in-only モード:MAP がイーサネットから受信するマルチキャスト パケットは RAP のイーサネット ネットワークに転送されます。追加の転送は行われず、これにより、RAP によって受信された CAPWAP 以外のマルチキャストはメッシュ ネットワーク内の MAP イーサネット ネットワーク(それらの発信ポイント)に返送されず、MAP から MAP へのマルチキャストはフィルタで除去されるため発生しません。
(注) | HSRP 設定がメッシュ ネットワークで動作中の場合は、in-out マルチキャスト モードを設定することをお勧めします。 |
in-out モード:RAP と MAP は別々の方法でマルチキャストを行います。
マルチキャスト パケットが、イーサネット経由で MAP で受信されると、それらは RAP に送信されますが、それらはイーサネット経由で他の MAP に送信されず、MAP から MAP へのパケットは、マルチキャストからフィルタで除去されます。
マルチキャスト パケットがイーサネット経由で RAP で受信された場合、すべての MAP およびその個々のイーサネットワークに送信されます。in-out モードで動作中の場合、1 台の RAP によって送信されるマルチキャストを同じイーサネット セグメント上の別の RAP が受信してネットワークに送り戻さないよう、ネットワークを適切に分割する必要があります。
(注) | 802.11b クライアントが CAPWAP マルチキャストを受信する必要がある場合、マルチキャストをメッシュ ネットワーク上だけでなく、コントローラ上でグローバルに有効にする必要があります(config network multicast global enable CLI コマンドを使用)。マルチキャストをメッシュ ネットワーク外の 802.11b クライアントに伝送する必要がない場合、グローバルなマルチキャスト パラメータを無効にする必要があります(config network multicast global disable CLI コマンドを使用)。 |
各 RAP での音声コールの合計数と音声コールに使用された帯域幅を表示するには、次のコマンドを入力します。
AP Name Slot# Radio BW Used/Max Calls ------------ ------- ----- ----------- ----- SB_RAP1 0 11b/g 0/23437 0 1 11a 0/23437 2 SB_MAP1 0 11b/g 0/23437 0 1 11a 0/23437 0 SB_MAP2 0 11b/g 0/23437 0 1 11a 0/23437 0 SB_MAP3 0 11b/g 0/23437 0 1 11a 0/23437 0?
ネットワークのメッシュ ツリー トポロジおよび各メッシュ アクセス ポイントと、ワイヤレス音声コール/ビデオ リンクの帯域幅使用率(使用中/最大)を表示するには、次のコマンドを入力します。
show mesh cac bwused {voice | video} AP_name
AP Name Slot# Radio BW Used/Max ------------- ------- ----- ----------- SB_RAP1 0 11b/g 1016/23437 1 11a 3048/23437 |SB_MAP1 0 11b/g 0/23437 1 11a 3048/23437 || SB_MAP2 0 11b/g 2032/23437 1 11a 3048/23437 ||| SB_MAP3 0 11b/g 0/23437 1 11a 0/23437
(注) | [AP Name] フィールドの左側の縦棒(|)は、MAP のその RAP からのホップ数を示します。 |
(注) | 無線タイプが同じ場合、各ホップでのバックホール帯域幅使用率(bw 使用/最大)は同じです。たとえば、メッシュ アクセス ポイント map1、map2、map3、および rap1 はすべて同じ無線バックホール(802.11a)上にあるので、同じ帯域幅(3048)を使用しています。コールはすべて同じ干渉ドメインにあります。そのドメインから発信されたコールは、いずれも他のコールに影響を与えます。 |
ネットワークのメッシュ ツリー トポロジを表示し、メッシュ アクセス ポイントごとに処理中の音声コール数を確認するには、次のコマンドを入力します。
Information similar to the following appears: AP Name Slot# Radio Calls ------------- ------- ----- ----- SB_RAP1 0 11b/g 0 1 11a 0 | SB_MAP1 0 11b/g 0 1 11a 0 || SB_MAP2 0 11b/g 1 1 11a 0 ||| SB_MAP3 0 11b/g 0 1 11a 0
(注) | 無線 LAN アクセス ポイントが 1 件のコールを受信するごとに、該当するコール サマリーのカラムの値も 1 ずつ増加します。たとえば、map2 の 802.11b/g がコールを受信すると、802.11b/gの calls カラムにある既存の値が 1 増加します。上記の例では、map2 の 802.11b/g でアクティブなコールは、新しいコールだけです。新しいコールの受信時に 1 件のコールがアクティブである場合、値は 2 になります。 |
ネットワークのメッシュ ツリー トポロジを表示し、動作中の音声コールを表示するには、次のコマンドを入力します。
show mesh cac callpath AP_name
Information similar to the following appears: AP Name Slot# Radio Calls ------------- ------- ----- ----- SB_RAP1 0 11b/g 0 1 11a 1 | SB_MAP1 0 11b/g 0 1 11a 1 || SB_MAP2 0 11b/g 1 1 11a 1 ||| SB_MAP3 0 11b/g 0 1 11a 0
(注) | コール パス内にある各メッシュ アクセス ポイントの Calls カラムは 1 ずつ増加します。たとえば、map2(show mesh cac call path SB_MAP2)で発信され、map1 を経由して rap1 で終端するコールの場合、1 件のコールが map2 802.11b/g と 802.11a の calls カラムに加わり、1 件のコールが map1 802.11a 無線バックホールの calls カラムに加わり、1 件のコールが rap1 802.11a 無線バックホールの calls カラムに加わります。 |
ネットワークのメッシュ ツリー トポロジ、帯域幅の不足のためメッシュ アクセス ポイントで拒否される音声コール、および拒否が発生した無線 LAN アクセス ポイントを表示するには、次のコマンドを入力します。
show mesh cac rejected AP_name
AP Name Slot# Radio Calls ------------- ------- ----- ----- SB_RAP1 0 11b/g 0 1 11a 0 | SB_MAP1 0 11b/g 0 1 11a 0 || SB_MAP2 0 11b/g 1 1 11a 0 ||| SB_MAP3 0 11b/g 0 1 11a 0
(注) | コールが map2 802.11b/g で拒否された場合、calls カラムは 1 ずつ増加します。 |
指定のアクセス ポイントでアクティブな Bronze、Silver、Gold、Platinum、および管理キューの数を表示するには、次のコマンドを入力します。各キューのピークおよび平均長と、オーバーフロー数が表示されます。
Queue Type Overflows Peak length Average length ---------- --------- ----------- -------------- Silver 0 1 0.000 Gold 0 4 0.004 Platinum 0 4 0.001 Bronze 0 0 0.000 Management 0 0 0.000
Overflows:キュー オーバーフローによって破棄されたパケットの総数。
メッシュ ネットワークでマルチキャスト モードを有効にしてメッシュ ネットワーク外からのマルチキャストを受信するには、次のコマンドを入力します。
config network multicast global enable
config mesh multicast {regular | in | in-out}
メッシュ ネットワークのみでマルチキャスト モードを有効にする(マルチキャストはメッシュ ネットワーク外の 802.11b クライアントに伝送する必要がない)には、次のコマンドを入力します。
config network multicast global disable
config mesh multicast {regular | in | in-out}
(注) | コントローラ GUI を使用してメッシュ ネットワークのマルチキャストを有効にすることはできません。 |
IGMP スヌーピングを使用すると、特別なマルチキャスト転送により、RF 使用率が向上し、音声およびビデオ アプリケーションでのパケット転送が最適化されます。
メッシュ アクセス ポイントは、クライアントがマルチキャスト グループに登録されているメッシュ アクセス ポイントに関連付けられている場合にだけ、マルチキャスト パケットを伝送します。そのため、IGMP スヌーピングが有効な場合、指定したホストに関連するマルチキャスト トラフィックだけが転送されます。
コントローラ上で IGMP スヌーピングを有効にするには、次のコマンドを入力します。
configure network multicast igmp snooping enable
クライアントは、メッシュ アクセス ポイントを経由してコントローラに転送される IGMP join を送信します。コントローラは、join を代行受信し、マルチキャスト グループ内のクライアントのテーブル エントリを作成します。次にコントローラはアップストリーム スイッチまたはルータを経由して、IGMP join をプロキシします。
次のコマンドを入力して、ルータで IGMP グループのステータスをクエリーできます。
router# show ip gmp groups IGMP Connected Group Membership Group Address Interface Uptime Expires Last Reporter 233.0.0.1 Vlan119 3w1d 00:01:52 10.1.1.130
レイヤ 3 ローミングの場合、IGMP クエリーはクライアントの WLAN に送信されます。コントローラはクライアントの応答を転送する前に変更し、ソース IP アドレスをコントローラの動的インターフェイス IP アドレスに変更します。
ネットワークは、コントローラのマルチキャスト グループの要求をリッスンし、マルチキャストを新しいコントローラに転送します。
『Video Surveillance over Mesh Deployment Guide』: http://www.cisco.com/en/US/tech/tk722/tk809/technologies_tech_note09186a0080b02511.shtml
『Cisco Unified Wireless Network Solution: VideoStream Deployment Guide』: http://www.cisco.com/en/US/products/ps10315/products_tech_note09186a0080b6e11e.shtml
7.0 リリースまでは、メッシュ AP は、コントローラを認証したり、コントローラに join するためコントローラから認証を受けたりする際に、製造元がインストールした証明書(MIC)しかサポートしていませんでした。そのため一部の場合は、CA の制御、ポリシーの定義、有効な期間の定義、生成された証明書の制限および使用方法の定義、および AP とコントローラでインストールされたこれらの証明書を取得するには、独自の公開鍵インフラストラクチャ(PKI)を用意する必要がありました。これらのユーザ生成証明書またはローカルで有効な証明書(LSC)が AP とコントローラにある場合、デバイスはこれらの LSC を使用して join、認証、およびセッション キーの派生を行います。5.2 リリース以降では通常の AP がサポートされ、7.0 リリース以降ではメッシュ AP もサポートされるようになりました。
AP が LSC 証明書を使用してコントローラに join できない場合の MIC へのグレースフル フォールバック:ローカル AP は、コントローラで設定された回数(デフォルト値は 3)、コントローラに join しようとします。これらの試行後に、AP は LSC を削除し、MIC を使用してコントローラに join しようとします。
メッシュ AP は、孤立タイマーが切れ、AP がリブートされるまで LSC を使用してコントローラに join しようとします。孤立タイマーは 40 分に設定されます。リブート後に、AP は MIC を使用してコントローラに join しようとします。40 分後に AP が MIC を使用して再びコントローラに join できない場合は、AP がリブートされ、LSC を使用してコントローラに join しようとします。
(注) | メッシュ AP の LSC は削除されません。LSC は、コントローラで無効な場合にのみメッシュ AP で削除され、その結果、AP がリブートされます。 |
メッシュ AP に LSC を使用する場合は、次のガイドラインに従います。
この機能により、AP からどの既存の証明書も削除されません。AP では LSC 証明書と MIC 証明書の両方を使用できます。
AP が LSC を使用してプロビジョニングされると、AP は起動時に MIC 証明書を読み取りません。LSC から MIC に変更するには、AP をリブートする必要があります。AP は、LSC を使用して join できない場合に、フォールバックのためにこの変更を行います。
AP で LSC をプロビジョニングするために、AP で無線をオフにする必要はありません。このことは OTA(over-the-air)でプロビジョニングできるメッシュ AP にとって重要です。
メッシュ AP には dot1x 認証が必要なため、CA および ID 証明書をコントローラ内のサーバにインストールする必要があります。
LSC プロビジョニングは、MAP の場合、イーサネットと OTA を介して実行できます。その場合は、イーサネットを介してコントローラにメッシュ AP を接続し、LSC 証明書をプロビジョニングする必要があります。LSC がデフォルトになると、AP は LSC 証明書を使用して OTA でコントローラに接続できます。
CAPWAP AP は、AP モードに関係なく、join 時に LSC を使用して DTLS のセットアップを行います。メッシュ AP でもメッシュ セキュリティに証明書が使用されます。これには、親 AP を介したコントローラの dot1x 認証が含まれます。LSC を使用してメッシュ AP がプロビジョニングされたら、この目的のために LSC を使用する必要があります。これは、MIC が読み込まれないためです。
メッシュ AP は、静的に設定された dot1x プロファイルを使用して認証します。
このプロファイルは、証明書の発行元として「cisco」を使用するようハードコーディングされています。このプロファイルは、メッシュ認証にベンダー証明書を使用できるよう設定可能にする必要があります(config local-auth eap-profile cert-issuer vendor "prfMaP1500LlEAuth93" コマンドを入力します)。
メッシュ AP の LSC を有効または無効にするには、config mesh lsc enable/disable コマンドを入力する必要があります。このコマンドを実行すると、すべてのメッシュ AP がリブートされます。
(注) | 7.0 リリースでは、メッシュの LSC は、非常に限定された石油およびガス業界のお客様向けに当初は隠し機能として提供されています。config mesh lsc enable/disable は隠しコマンドです。また、config local-auth eap-profile cert-issuer vendor "prfMaP1500LlEAuth93" コマンドは通常のコマンドですが、"prfMaP1500LlEAuth93" プロファイルは隠しプロファイルであり、コントローラに格納されず、コントローラのリブート後に失われます。 |
LSC でプロビジョニングされた AP には LSC 証明書と MIC 証明書の両方が含まれますが、デフォルトの証明書は LSC 証明書になります。検証プロセスは次の 2 つの手順から構成されます。
LSC を設定するには、まず適切な証明書を収集してコントローラにインストールする必要があります。Microsoft 2003 Server を CA サーバとして使用して、この設定を行う手順を次に示します。
ステップ 1 | CA サーバ(http://<ip address of caserver/crtsrv)にアクセスしてログインします。 |
ステップ 2 | 次の手順で、CA 証明書を取得します。 |
ステップ 3 | コントローラで証明書を使用するには、ダウンロードした証明書を PEM 形式に変換します。次のコマンドを使用して、Linux マシンでこれを変換することができます。 # openssl x509 -in <input.cer> -inform DER -out <output.cer> -outform PEM |
ステップ 4 | 次の手順で、コントローラに CA 証明書を設定します。 |
ステップ 5 | WLC にデバイス証明書をインストールするには、手順 1 に従い CA サーバにログインして、次の手順を実行します。 |
ステップ 6 | ステップ 5 で取得したデバイス証明書を変換します。証明書を取得するには、インターネット ブラウザのオプションを使用して、ファイルにエクスポートします。使用しているブラウザのオプションに従い、実行します。ここで設定するパスワードは覚えておく必要があります。 |
ステップ 7 | コントローラの GUI で、[Command] > [Download File] を選択します。[File Type] ドロップダウン リストから [Vendor Device Certificate] を選択します。証明書が保存されている TFTP サーバの情報および前の手順で設定したパスワードを使用して残りのフィールドを更新し、[Download] をクリックします。 |
ステップ 8 | コントローラをリブートして、証明書が使用できるようにします。 |
ステップ 9 | 次のコマンドを使用して、コントローラに証明書が正常にインストールされていることを確認できます。 |
ステップ 1 | LSC を有効にし、コントローラで LSC CA 証明書をプロビジョニングします。 |
ステップ 2 | 次のコマンドを入力します。 config local-auth eap-profile cert-issuer vendor prfMaP1500LlEAuth93 |
ステップ 3 | 次のコマンドを入力して、機能をオンにします。 |
ステップ 4 | イーサネットを介してメッシュ AP に接続し、LSC 証明書のためにプロビジョニングします。 |
ステップ 5 | メッシュ AP で証明書を取得し、LSC 証明書を使用してコントローラに join します。 |
config certificate lsc ca-server url-path ip-address
次に、Microsoft 2003 Server 使用時の URL の例を示します。
http:<ip address of CA>/sertsrv/mscep/mscep.dll
このコマンドは、証明書を取得するために CA サーバへの URL を設定します。URL には、ドメイン名または IP アドレスのいずれか、ポート番号(通常は 80)、および CGI-PATH が含まれます。
config certificate lsc subject-params Country State City Orgn Dept Email
このコマンドは、コントローラと AP で作成およびインストールされるデバイス証明書のパラメータを設定します。
これらすべての文字列は、最大 3 バイトを使用する国を除き 64 バイトです。Common Name は、イーサネット MAC アドレスを使用して自動的に生成されます。Common Name は、コントローラ デバイス証明書要求を作成する前に提供する必要があります。
上記のパラメータは LWAPP ペイロードとして AP に送信されるため、AP はこれらのパラメータを使用して certReq を生成できます。CN は、現在の MIC/SSC の「Cxxxx-MacAddr」形式を使用して AP で自動的に生成されます。ここで、xxxx は製品番号です。
config certificate lsc ap-provision {enable | disable}
このコマンドは、AP が SSC/MIC を使用して join した場合に、AP で LSC のプロビジョニングを有効または無効にします。有効な場合は、join 済みで LSC がない AP がすべてプロビジョニングされます。
config certificate lsc ra-cert {add | delete}
このコマンドの使用は、CA サーバが Cisco IOS CA サーバである場合にお勧めします。コントローラで RA を使用して証明書要求を暗号化すれば、通信をセキュアにできます。RA 証明書は現在、MSFT などの他の外部 CA サーバによりサポートされていません。
config auth-list ap-policy lsc {enable | disable}
LSC の取得後に、AP はコントローラに join を試みます。AP がコントローラに join を試みるには、その前にコントローラ コンソールで次のコマンドを入力する必要があります。デフォルトでは、config auth-list ap-policy lsc コマンドは無効な状態にあり、AP は LSC を使用してコントローラに join できません。
config auth-list ap-policy mic {enable | disable}
MIC の取得後に、AP はコントローラに join を試みます。AP がコントローラに join を試みるには、その前にコントローラ コンソールで次のコマンドを入力する必要があります。デフォルトでは、config auth-list ap-policy mic コマンドは有効な状態にあります。AP が有効なため join できない場合は、コントローラ側に「LSC/MIC AP is not allowed to join」というログ メッセージが表示されます。
show certificate lsc summary
このコマンドは、WLC にインストールされた LSC 証明書を表示します。RA 証明書もすでにインストールされている場合は、CA 証明書、デバイス証明書、および RA 証明書(オプション)を表示します。また、LSC が有効であるか有効でないかも示されます。
show certificate lsc ap-provision
このコマンドは、AP のプロビジョニングのステータス、プロビジョニングが有効であるか無効であるか、プロビジョニング リストが存在するか存在しないかを表示します。
show certificate lsc ap-provision details
このコマンドは、AP プロビジョニング リストに存在する MAC アドレスのリストを表示します。
この設定は機能に直接関連しませんが、LSC を使用してプロビジョニングされた AP で必要な設定をするのに役立つことがあります。
ローカル認証を使用する場合は、ベンダーの CA およびデバイス証明書を使用してコントローラをインストールする必要があります。
外部 AAA サーバを使用する場合は、ベンダーの CA およびデバイス証明書を使用してコントローラをインストールする必要があります。
MAP は、バックアップ コントローラにフォール バックするときに LSC から MIC に切り替わることができません。
メッシュ AP の LSC を有効または無効にするには、config mesh lsc {enable | disable} コマンドを入力する必要があります。このコマンドを実行すると、すべてのメッシュ AP がリブートされます。