この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章では、コントローラの構成要素と機能について説明します。 この章の内容は、次のとおりです。
Cisco Unified Wireless Network(Cisco UWN)ソリューションは、企業およびサービス プロバイダーに 802.11 無線ネットワーキング ソリューションを提供するように設計されています。 Cisco UWN ソリューションを使用すると、大規模無線 LAN の展開および管理が簡素化され、他に類のないクラス最高のセキュリティ インフラストラクチャを実現できます。 オペレーティング システムによって、すべてのデータ クライアント、通信、およびシステム管理機能の管理、Radio Resource Management(RRM)機能の実行、オペレーティング システムのセキュリティ ソリューションを使用したシステム全体のモビリティ ポリシーの管理、およびオペレーティング システムのセキュリティ フレームワークを使用したすべてのセキュリティ機能の調整が行われます。
Cisco UWN ソリューションは、Cisco ワイヤレス LAN コントローラとそれにアソシエートされている Lightweight アクセス ポイントで構成されます。これらはすべてオペレーティング システムによって制御され、次のいずれか、またはすべてのオペレーティング システムのユーザ インターフェイスによって同時に管理されます。
(注) |
NCS ソフトウェア リリース 1.1 は、コントローラ ソフトウェア リリース 7.2 を実行するコントローラとともに使用する必要があります。 |
Cisco UWN ソリューションは、クライアント データ サービス、クライアントの監視と制御、すべての不正なアクセス ポイントの検出、監視、および阻止機能をサポートします。 これによって、Lightweight アクセス ポイント、Cisco ワイヤレス LAN コントローラ、およびオプションの Cisco NCS を使用して、企業やサービス プロバイダーに無線サービスを提供します。
(注) |
このマニュアル内では、特に記載されていない限り、すべての Cisco ワイヤレス LAN コントローラをコントローラと呼び、すべての Cisco Lightweight アクセス ポイントをアクセス ポイントと呼びます。 |
スタンドアロンのコントローラでは、複数のフロアとビルディングに配置されている Lightweight アクセス ポイントを同時にサポートすることができます。サポートされている機能は、次のとおりです。
一部のコントローラでは、1 つのネットワークに障害が発生した場合、冗長ギガビット イーサネット接続を使用してこれを迂回します。
(注) |
一部のコントローラは、複数の物理ポートを使用して、ネットワークの複数のサブネットに接続できます。 この機能は、複数の VLAN を別々のサブネットに限定する場合などに役立ちます。 |
すべてのコントローラは、複数のフロアとビルディングに配置されている Lightweight アクセス ポイントを同時にサポートできます。 ただし、Cisco ワイヤレス LAN ソリューションの全機能が発揮されるのは、複数のコントローラが使用されている場合です。 マルチコントローラ システムには、次の追加の機能があります。
次の図は、一般的なマルチコントローラ展開を示しています。 また、この図では、オプションの専用管理ネットワークと、ネットワークとコントローラ間の 3 つの物理接続タイプも示しています。
オペレーティング システム ソフトウェアは、コントローラと Lightweight アクセス ポイントを制御します。 このソフトウェアには、オペレーティング システムのセキュリティ機能と Radio Resource Management(RRM)機能がすべて組み込まれています。
オペレーティング システムのセキュリティ機能は、レイヤ 1、レイヤ 2、およびレイヤ 3 のセキュリティ コンポーネントを、Cisco WLAN ソリューション全体を対象とするシンプルなポリシー マネージャに統合したものです。ポリシー マネージャは、最大 16 の無線 LAN それぞれに対して、独立したセキュリティ ポリシーを作成する管理ツールです
802.11 Static WEP の脆弱性は、次のような強固な業界標準のセキュリティ ソリューションを使用することで克服できます。
WEP の問題は、次のような業界標準のレイヤ 3 セキュリティ ソリューションを使用すると、さらに進んだ解決が可能です。
これらとその他のセキュリティ機能は、業界標準の認可および認証方式を使用して、ビジネスクリティカルな無線 LAN トラフィックに対する最高のセキュリティを実現します。
コントローラと Lightweight アクセス ポイントには、それぞれ固有の署名付き X.509 証明書が添付されます。 この署名付き証明書は、ダウンロードしたコードを読み込む前の検証に使用され、悪意のあるコードがハッカーによってコントローラや Lightweight アクセス ポイントにダウンロードされることを防ぎます。
また、コントローラと Lightweight アクセス ポイントでは、ダウンロードしたコードを、署名付き証明書を使用して検証してから読み込むことで、ハッカーが Cisco Wireless Controller や Lightweight アクセス ポイントに悪意のあるコードをダウンロードできないようにしています。
コントローラと Lightweight アクセス ポイント間の Lightweight アクセス ポイント プロトコル(LWAPP)通信は、レイヤ 2 またはレイヤ 3 で実行できます。 コントローラと Lightweight アクセス ポイント間の Control and Provisioning of Wireless Access Points プロトコル(CAPWAP)通信は、レイヤ 3 で実行されます。 レイヤ 2 モードでは CAPWAP はサポートしていません。
レイヤ 3 LWAPP 通信を行う場合、コントローラと Lightweight アクセス ポイントが同一サブネットにあるときには、それらをレイヤ 2 デバイスを使用して接続します。異なるサブネットにある場合は、レイヤ 3 デバイスを使用して接続します。 また、アクセス ポイントの IP アドレスが外部 DHCP サーバを介して静的または動的に割り当てられていることも必要です。
レイヤ 3 CAPWAP 通信を行う場合、コントローラと Lightweight アクセス ポイントが同一サブネットにあるときには、それらをレイヤ 2 デバイスを使用して接続します。異なるサブネットにある場合は、レイヤ 3 デバイスを使用して接続します。
レイヤ 2 モードで Cisco ワイヤレス LAN ソリューションを稼働させている場合は、レイヤ 2 通信を制御するよう管理インターフェイスを設定する必要があります。
レイヤ 3 モードで Cisco ワイヤレス LAN ソリューションを稼働させている場合は、Lightweight アクセス ポイントおよびレイヤ 2 モード用に設定された管理インターフェイスを制御するよう AP 管理インターフェイスを設定する必要があります。
コントローラが複数展開されたネットワークに Lightweight アクセス ポイントを追加する場合、すべての Lightweight アクセス ポイントを、同一サブネット上の 1 つのマスター コントローラにアソシエートさせると便利です。 そうすれば、複数のコントローラにログインして、新たに追加された Lightweight アクセス ポイントがアソシエートされているコントローラを検索する必要はなくなります。
Lightweight アクセス ポイントを追加するとき、各サブネット内の 1 つのコントローラをマスター コントローラとして割り当てることができます。 同一サブネット上のマスター コントローラがアクティブである限り、プライマリ、セカンダリ、およびターシャリ コントローラが割り当てられていない新しいアクセス ポイントはすべて、マスター コントローラとのアソシエートを自動的に試みます。 このプロセスについては、Cisco Wireless LAN Controller のフェールオーバーの保護で説明します。
WCS Web ユーザ インターフェイスを使用して、マスター コントローラを監視し、アクセス ポイントがマスター コントローラにアソシエートするのを確認できます。 その後、アクセス ポイント設定を確認して、プライマリ、セカンダリ、ターシャリ コントローラをアクセス ポイントに割り当てて、プライマリ、セカンダリ、またはターシャリ コントローラに再アソシエートするように、アクセス ポイントをリブートできます。
Cisco ワイヤレス LAN ソリューションで Cisco Prime Infrastructure を使用する場合、コントローラは、クライアント、不正なアクセス ポイント、不正なアクセス ポイント クライアント、無線周波数 ID(RFID)タグ ロケーションを定期的にチェックし、そのロケーションを Cisco Prime Infrastructure のデータベースに保存します。
コントローラは、802.11a/n プロトコルおよび 802.11b/g/n プロトコルをサポートする、企業向けの高性能無線スイッチング プラットフォームです。 Radio Resource Management(RRM)機能が搭載されているオペレーティング システムの制御下でコントローラを稼働することにより、802.11 RF 環境でのリアルタイムの変化に自動対応する Cisco UWN ソリューションが実現されます。 コントローラは、高性能なネットワークおよびセキュリティ ハードウェアを中心に設計されており、他に例のないセキュリティを備えた信頼性の高い 802.11 企業ネットワークを実現します。
Cisco 2500 シリーズ Wireless Controller は、Cisco Lightweight アクセス ポイントおよび Cisco Prime Infrastructure と組み合わせて使用することで、システム全体を対象とする無線 LAN 機能を提供します。 Cisco 2500 シリーズのコントローラは Cisco Unified Wireless Network(CUWN)のコンポーネントであり、ワイヤレス アクセス ポイントと他のデバイスとの間でリアルタイムの通信を行い、中央集中型セキュリティ ポリシー、ゲスト アクセス、ワイヤレス侵入防御システム(wIPS)、Context Aware(ロケーション)、RF 管理、音声やビデオなどのモビリティ サービスの QoS、およびテレワーカー ソリューションに対する OEAP のサポートなどの機能を備えています。
Cisco 2500 シリーズ Wireless Controller は、5 台および 25 台の単位で、最大 50 台の Lightweight アクセス ポイントをサポートします。最小構成は 5 台です。
Cisco 2500 シリーズのコントローラは、802.11 a/b/g の強力なカバレッジを提供します。また、802.11n とシスコの次世代のワイヤレス ソリューションおよび Cisco Enterprise Wireless Mesh を使用して信頼性を向上させます。
(注) |
Cisco WiSM2 と Cisco 5500 シリーズ コントローラでサポートされていない機能は、Cisco 2500 シリーズ コントローラでもサポートされません。 |
現在、Cisco 5500 シリーズ Wireless LAN Controller には 1 つのモデル(5508)があります。 5508 コントローラは、最大 500 台の Lightweight アクセス ポイントと 7000 台のワイヤレス クライアント(クライアント ロケーション機能を使用する場合は、5000 台のワイヤレス クライアントと 2500 個の RFID タグ)をサポートする、大企業や高密度アプリケーションに最適なコントローラです。
Cisco 5500 シリーズ コントローラには、電源装置を 1 つまたは 2 つ装着できます。 コントローラに電源装置を 2 つ装着しておけば、電源装置が冗長構成になり、一方の電源装置に障害が発生しても、もう一方の電源装置から引き続きコントローラに電力を供給できます。
(注) |
ACL を使用してオープン WLAN を作成すると、この機能を Cisco 5500 シリーズ コントローラで再現できます。 |
(注) |
Cisco 5500 シリーズ コントローラはデフォルトでこれらのパケットをブリッジ処理します。 必要に応じて、ACL を使用してこれらのプロトコルのブリッジングをブロックすることができます。 |
Cisco FLEX 7500 シリーズ コントローラを使用すると、地理的に分散したサイトを対象として、スケーラブルで安全なフル機能を持った FlexConnect ネットワーク サービスを展開できます。 Cisco Flex 7500 シリーズ コントローラは、データセンター内の複雑なセキュリティ、管理、設定、およびトラブルシューティング処理を仮想化し、これらのサービスを各ストアに透過的に拡張します。 展開に Cisco FLEX 7500 シリーズ コントローラを使用すれば、設定、管理、拡張が容易になります。
Cisco Flex 7500 シリーズ コントローラは、ブランチ ネットワーク内に FlexConnect ソリューションを導入する際のスケーリング要件を満たすように設計されています。 Cisco Unified Wireless ソリューションでは、FlexConnect とモニタ モードという主要な 2 種類の導入モデルをサポートしています。 FlexConnect は、アクセス ポイントが中央のコントローラによって制御および管理されながら、データはローカルにスイッチングできるようにすることで、ワイヤレス ブランチ ネットワークをサポートするように設計されています。 これは、規模が大きいときにコスト効率の良い FlexConnect ソリューションを実現することを目指しています。
(注) |
Cisco 7500 シリーズ コントローラの場合は、AP マネージャ インターフェイスを設定する必要はありません。 管理インターフェイスはデフォルトで、AP マネージャ インターフェイスのように動作するので、アクセス ポイントはこのインターフェイスで join できます。 |
(注) |
IPv6 クライアント ブリッジングおよび Router Advertisement Guard がサポートされています。 |
(注) |
ローカル モードで Cisco FLEX 7500 シリーズ コントローラに関連付けられた AP は、FlexConnect モードに自動的に変換されます。 |
Cisco 8500 シリーズ コントローラは、ローカル モード、FlexConnect モード、およびメッシュ モードをサポートして 7.3 リリースで導入されました。 Cisco 8500 シリーズ コントローラは、AP を 6000、クライアントを 64000、FlexConnect グループを 2000、FlexConnect グループごとの AP を 100、AP グループを 6000、さらに VLAN を最大 4095 までサポートします。
(注) |
8510 コントローラは DC 電源を使用するため、各国固有の電源コードでは使用できません。 そのため、12 ゲージ線を使用して、DC 電源に接続することを推奨します。 |
(注) |
Virtual Wireless LAN Controller のスナップショットを取得すると、VMware によってアクティビティが約 15 秒間一時停止されます。 この間、AP は Virtual Wireless LAN Controller から切断されます。 |
(注) |
AP1552 などの屋外 AP は、FlexConnect モードで、AP がメッシュ導入で使用されていない場合にサポートされます。 |
(注) |
2500 シリーズ コントローラに直接接続する場合は、ローカル モードの AP のみサポートされます。 |
Cisco Services Ready Engine(SRE)の Cisco Wireless Controller アプリケーションを利用すると、中小企業やブランチ オフィスのシステム全体の規模でワイヤレス機能を活用できます。 SRE の Cisco Wireless Controller はエントリ レベルのコントローラであり、802.11n のパフォーマンスとスケーラビリティを備えています。既存のネットワークとシームレスに統合できるため、総所有コストを抑え、投資を保護することができます。 Cisco SRE モジュールは、Cisco Integrated Services Routers Generation 2(ISR G2)用のルータ ブレードであり、モジュールの Cisco Wireless Controller アプリケーションをリモートからいつでもプロビジョニングすることができます。 この機能は、ワイヤレスをオンデマンドで迅速に導入し、運用コストを抑制し、ブランチ オフィスのインフラストラクチャを統合するのに役立ちます。
このコントローラは、Cisco Unified Wireless Network のコンポーネントとして、Cisco Aironet アクセス ポイント、Cisco Prime Infrastructure、および Cisco Mobility Services Engine(MSE)間のリアルタイム通信を提供し、中央集中型セキュリティ ポリシー、Wireless Intrusion Prevention System(wIPS)機能、受賞歴のある RF 管理機能、ロケーション トラッキングのための Context Aware 機能、音声とビデオのための Quality of Service(QoS)を備えています。
Cisco SRE の Cisco Wireless LAN Controller では、5 ~ 50 のアクセス ポイントをサポートします。またアクセス ポイントは 5 または 25 の単位で追加することができます。 ライセンス構成では、基本機能セットの一部としてエンタープライズ ワイヤレス メッシュなどさまざまなビジネス向けのモビリティのニーズに対応します。このため、物理的に有線ネットワークに接続することは困難または不可能な場所においても、アクセス ポイントがワイヤレス接続を動的に確立できるようになります。
Cisco Wireless Controller アプリケーションのライセンスと導入オプションは柔軟性が高く、Cisco SRE Internal Service Module(ISM)300 および Cisco SRE Service Module(SM)700 および SM 900 で使用できます。
Cisco UWN ソリューションでは、Lightweight アクセス ポイント全体に対して、最大 512 の WLAN を制御できます。 各 WLAN には、それぞれ異なる WLAN ID(1 ~ 512)、それぞれ異なるプロファイル名、および WLAN SSID が割り当てられます。また、一意のセキュリティ ポリシーを割り当てることもできます。 Lightweight アクセス ポイントでは、すべてのアクティブな Cisco UWN ソリューション WLAN SSID をブロードキャストし、各 WLAN に定義されているポリシーを適用します。
(注) |
コントローラが最適な性能と容易な管理で動作できるよう、無線 LAN と管理インターフェイスにはそれぞれ別の VLAN セットを割り当てることをお勧めします。 |
Cisco UWN ソリューションで無線による管理を有効にすると、CLI と Telnet、http/https、および SNMP を使用して、有効になった無線 LAN 全体のシステムを管理できるようになります。
オペレーティング システムのコード、設定、および証明書ファイルは、GUI、CLI、、または Cisco Prime Infrastructure を使用して、コントローラにアップロードしたり、コントローラからダウンロードしたりできます。
Lightweight アクセス ポイントは、イーサネット ケーブルを介して、802.3af 準拠の Power over Ethernet(PoE)デバイスから電力供給を受けることができます。これにより、個々のデバイスへの電力供給や、余分な配線、コンジット、コンセントにかかるコストが低減され、設置時間を短縮できます。 PoE 機能を使用すると、AC コンセントの近くに Lightweight アクセス ポイントやその他の電力供給を要する装置を取り付ける必要がなくなるため、アクセス ポイントをより柔軟に配置して、最大限のカバレッジを得ることができます。
PoE を使用している場合は、1 本の CAT-5 ケーブルで各 Lightweight アクセス ポイントから PoE 機能が搭載されているネットワーク要素(PoE 電源ハブや、Cisco WLAN ソリューションのシングルライン PoE インジェクタなど)に接続します。 PoE 機器で Lightweight アクセス ポイントが PoE 対応であると判断された場合は、使用されていないイーサネット ケーブル ペアを使って、48 VDC の電力が Lightweight アクセス ポイントに供給されます。
PoE ケーブルの長さは、100BASE-T 仕様では 100 m、10BASE-T 仕様では 200 m に制限されています。
Lightweight アクセス ポイントは、802.3af 準拠デバイスまたは外部電源装置から電力供給を受けることができます。
コントローラには 2 種類のメモリが搭載されています。揮発性 RAM には、現在のアクティブなコントローラ設定が保持され、NVRAM(非揮発性 RAM)にはリブート設定が保持されます。 コントローラのオペレーティング システムを設定すると、揮発性 RAM の内容が変更されます。したがって、揮発性 RAM の設定を NVRAM に保存し、コントローラが現在の設定でリブートされるようにする必要があります。
インストール時に、すべての Lightweight アクセス ポイントを専用のコントローラに接続して、正式な運用のために各 Lightweight アクセス ポイントを設定することをお勧めします。 この手順では、プライマリ、セカンダリ、ターシャリ コントローラについてそれぞれの Lightweight アクセス ポイントを設定し、設定したモビリティ グループ情報を格納できるようにします。
マルチコントローラの導入では、1 台のコントローラに障害が発生した場合、アクセス ポイントは次のことを行います。
十分なコントローラが展開されている場合には、1 台のコントローラに障害が発生しても、アクティブなアクセス ポイントのクライアント セッションがただちにドロップする一方で、ドロップしたアクセス ポイントが別のコントローラにアソシエートするため、クライアント デバイスはすぐに再アソシエートと再認証を行うことができます。
ハイ アベイラビリティの詳細については、http://www.cisco.com/en/US/products/ps6366/products_tech_note09186a00809a3f5d.shtml を参照してください。