この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
この機能により、ネットワーク管理者は Lightweight アクセス ポイント全体に対して、最大 512 の WLAN を制御できます。 各 WLAN には識別子である(1~512)WLAN ID、プロファイル名、および WLAN SSID があります。 すべてのコントローラは接続している各アクセス ポイントに対して最大 16 の WLAN を公開しますが、管理しやすくするため、最大 512 の WLAN を作成し、これらの WLAN を異なるアクセス ポイントに選択的に公開する(アクセス ポイント グループを使用)ことができます。
異なるサービス セット ID(SSID)または同じ SSID で WLAN を設定できます。 SSID は、コントローラがアクセスする必要がある特定の無線ネットワークを識別します。
(注) |
Static WEP と 802.1X は両方とも、ビーコン応答とプローブ応答で同じビットによってアドバタイズされるので、クライアントはこれらを区別できません。 したがって、同じ SSID を持つ複数の WLAN では、Static WEP と 802.1X の両方を使用できません。 |
注意 |
一部のクライアントが複数のセキュリティ ポリシーで同じ SSID を検出すると WLAN に正しく接続できない場合があります。 この機能を使用する際は、十分注意してください。 |
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | また、[WLANs] ページから、有効化または無効化する WLAN の左側のチェックボックスをオンにして、ドロップダウン リストから [Enable Selected] または [Disable Selected] を選択し、[Go] をクリックすることで、WLAN を有効化または無効化します。 |
ステップ 3 | [Apply] をクリックします。 |
(注) |
ssid を指定しない場合、 profile_name パラメータがプロファイル名と SSID の両方に対して使用されます。 |
(注) |
設定ウィザードで WLAN 1 を作成した場合、これは有効にされた状態で作成されています。 設定が完了するまでは、無効にしてください。 config wlan create コマンドを使用して WLAN を新しく作成する場合は、無効モードで作成されます。 設定が終了するまでは、無効のままにしてください。 |
(注) |
有線ゲスト ユーザ用にゲスト LAN を作成する場合は、有線ゲスト アクセスの設定(CLI)セクションの手順に従ってください。 |
(注) |
アクセス ポイント グループに割り当てられている WLAN を削除しようとすると、エラー メッセージが表示されます。 そのまま続行すると、アクセス ポイント グループとアクセス ポイントの無線から WLAN が削除されます。 |
次のコマンドを入力して、WLAN を有効にします(たとえば、WLAN に対する変更が終了した後)。
config wlan enable {wlan_id | foreign_ap | all}
(注) |
コマンドが失敗した場合は、エラー メッセージ(「Request failed for wlan 10 - Static WEP key size does not match 802.1X WEP key size」など)が表示されます。 |
次のコマンドを入力して、WLAN を無効にします(たとえば、WLAN を変更する前)。 config wlan disable {wlan_id | foreign_ap | all}
foreign_ap は、サードパーティ アクセス ポイントです。
(注) |
管理インターフェイスおよび AP マネージャ インターフェイスが同じポートにマップされており、いずれも同じ VLAN のメンバである場合は、WLAN を無効にしてから、ポートマッピングをいずれかのインターフェイスに変更する必要があります。 管理インターフェイスと AP マネージャ インターフェイスが別々の VLAN に割り当てられている場合は、WLAN を無効にする必要はありません。 |
ステップ 1 | [WLANs] ページで、[Change Filter] をクリックします。 [Add WLANs] ダイアログボックスが表示されます。 | ||
ステップ 2 | 次のいずれかの操作を行います。 | ||
ステップ 3 |
[Find]
をクリックします。 検索条件に一致した WLAN だけが [WLANs] ページに表示され、ページの上部の [Current Filter] フィールドに、リストを生成するために使用された検索条件(たとえば、None、Profile Name:user1、SSID:test1、Status:disabled)が指定されます。
|
WLAN に接続できるクライアントの数に制限を設定できます。これは、コントローラに接続できるクライアントの数に制限があるシナリオで役立ちます。 たとえば、コントローラが WLAN 上の最大 256 個のクライアントに対応でき、これらのクライアントが企業ユーザ(従業員)およびゲスト ユーザ間で共有される場合について考えます。 特定の WLAN にアクセス可能なゲスト クライアントの数に制限を設定できます。 WLAN ごとに設定できるクライアントの数は、使用しているプラットフォームによって異なります。
(注) |
サポートされているクライアント数の詳細については、コントローラの製品データ シートを参照してください。 |
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | クライアント数を制限する WLAN の ID 番号をクリックします。 [WLANs > Edit] ページが表示されます。 |
ステップ 3 |
[Advanced] タブで、[Maximum Allowed Clients] テキスト ボックスに入力します。 プラットフォームごとのサポートされるクライアントの最大数については、「注意事項および制約事項」の項を参照してください。 |
ステップ 4 | [Apply] をクリックします。 |
ステップ 1 | 次のコマンドを入力して、最大クライアント数を設定する WLAN ID を確認します。 |
ステップ 2 |
次のコマンドを入力して、WLAN ごとの最大クライアント数を設定します。 config wlan max-associated-clients max-clients wlan-id |
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | クライアント数を制限する WLAN の ID 番号をクリックします。 [WLANs > Edit] ページが表示されます。 |
ステップ 3 | [Advanced] タブで、アクセス ポイント無線あたり使用できるクライアントの最大数を [Maximum Allowed Clients Per AP Radio] テキスト ボックスに入力します。 最大 200 のクライアントを設定できます。 |
ステップ 4 | [Apply] をクリックして、変更を確定します。 |
ステップ 1 |
次のコマンドを入力して、無線ごとの最大クライアント数を設定する WLAN ID を確認します。 show wlan summary リストから WLAN ID を取得します。 |
ステップ 2 |
次のコマンドを入力して、WLAN ごとの最大クライアント数を設定します。 config wlan max-radio-clients client_count 最大 200 のクライアントを設定できます。 |
ステップ 3 | 設定されているアソシエートされたクライアントの最大数を表示するには、show 802.11a コマンドを使用します。 |
WLAN では、同じ Dynamic Host Configuration Protocol (DHCP) サーバまたは異なる DHCP サーバを使用するか、または DHCP サーバを使用しないように設定できます。 DHCP サーバには、内部 DHCP サーバと外部 DHCP サーバの 2 つのタイプがあります。
コントローラは、内部 DHCP サーバを持っています。 このサーバは、一般的に、DHCP サーバを持たないブランチ オフィスで使用されます。 無線ネットワークには、通常、コントローラと同じ IP サブネット上にある 10 台以下のアクセス ポイントが含まれます。 内部サーバは、ワイヤレス クライアント、ダイレクトコネクト アクセス ポイント、およびアクセス ポイントからリレーされた DHCP 要求に対して DHCP アドレスを提供します。 Lightweight アクセス ポイントのみサポートされています。 内部 DHCP サーバを使用する場合は、コントローラの管理インターフェイスの IP アドレスを DHCP サーバの IP アドレスとして設定する必要があります。
内部サーバでは、DHCP オプション 43 はサポートされていません。 したがって、アクセス ポイントは、ローカル サブネット ブロードキャスト、DNS、またはプライミングなどの別の方法を使用してコントローラの管理インターフェイスの IP アドレスを見つける必要があります。
内部 DHCP サーバ プールは、そのコントローラの無線クライアントだけをサポートし、他のコントローラのクライアントはサポートしません。 また、内部 DHCP サーバは、無線クライアントだけをサポートし、有線クライアントをサポートしません。
クライアントがコントローラの内部 DHCP サーバを使用する場合、IP アドレスは、再起動後には保持されません。 その結果、複数のクライアントに同じ IP アドレスが割り当てられることがあります。 IP アドレスの競合を解決するには、クライアントは既存の IP アドレスを解放し、新しいアドレスを要求する必要があります。
(注) |
クライアントが認証解除または削除された場合、DHCP Required 状態が原因でトラフィックが適切に転送されない場合があります。 この問題に対処するには、DHCP Required 状態が常に無効になるようにします。 |
(注) |
DHCPv6 は内部 DHCP サーバではサポートされません。 |
オペレーティング システムは、DHCP リレーをサポートする業界標準の外部 DHCP サーバを使用することにより、ネットワークに対しては DHCP リレーとして機能し、クライアントに対しては DHCP サーバとして機能するように設計されています。これは、各コントローラは、DHCP サーバに対しては DHCP リレー エージェントとして機能し、無線クライアントに対しては仮想 IP アドレスでの DHCP サーバとして機能することを意味します。
コントローラは DHCP サーバから取得したクライアント IP アドレスをキャプチャするため、コントローラ内、コントローラ間、およびサブネット間でのクライアント ローミング時に、各クライアントに対して同じ IP アドレスが保持されます。
(注) |
DHCP はインターフェイスごとに、または WLAN ごとに設定できます。 特定のインターフェイスに割り当てられたプライマリ DHCP サーバのアドレスを使用することが推奨されます。
個々のインターフェイスに DHCP サーバを割り当てることができます。 管理インターフェイス、AP マネージャ インターフェイス、動的インターフェイスはプライマリおよびセカンダリ DHCP サーバに設定でき、サービス ポート インターフェイスは DHCP サーバを有効または無効にするように設定できます。
高度なセキュリティが必要な場合は、すべてのクライアントが DHCP サーバから IP アドレスを取得するように設定してください。 この要件を適用するためには、すべての WLAN を DHCP Addr. Assignment Required 設定で設定して、クライアントの固定 IP アドレスが禁止されるようにします。 DHCP Addr. Assignment Required が選択されている場合、クライアントは DHCP を使って IP アドレスを取得する必要があります。 固定 IP アドレスを持つクライアントはすべて、ネットワーク上で許可されなくなります。 クライアントの DHCP プロキシとして動作するコントローラが、DHCP トラフィックを監視します。
(注) |
無線による管理をサポートする WLAN では、管理(デバイスサービシング)クライアントが DHCP サーバから IP アドレスを取得できるようにする必要があります。 |
セキュリティが多少劣ってもかまわない場合は、DHCP Addr. Assignment Required を無効に設定して WLAN を作成できます。 その後クライアントは、固定 IP アドレスを使用するか、指定された DHCP サーバの IP アドレスを取得するかを選択できます。
(注) |
DHCP アドレス 有線ゲスト LAN に対する Assignment Required は、サポートされていません。 |
また、DHCP Addr. Assignment Required を無効に設定して WLAN を作成できます。 これは、コントローラの DHCP プロキシがイネーブルの場合だけです。 プライマリおよびセカンダリ DHCP サーバを定義する必要はありません。 このような WLAN では、すべての DHCP 要求がドロップするため、クライアントは固定 IP アドレスを使用しなければなりません。 これらの WLAN は、無線接続による管理をサポートしていません。
内部 DHCP サーバを使用する場合は、コントローラの管理インターフェイスの IP アドレスを DHCP サーバの IP アドレスとして設定する必要があります。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 | ||||||
ステップ 2 | インターフェイスを割り当てる WLAN の ID 番号をクリックします。 [WLANs > Edit]([General])ページが表示されます。 | ||||||
ステップ 3 | [General] タブの [Status] チェックボックスをオフにし、[Apply] をクリックして WLAN を無効にします。 | ||||||
ステップ 4 | WLAN の ID 番号を再度クリックします。 | ||||||
ステップ 5 | [General] タブの [Interface] ドロップダウン リストから、この WLAN で使用するプライマリ DHCP サーバを設定したインターフェイスを選択します。 | ||||||
ステップ 6 | [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。 | ||||||
ステップ 7 |
WLAN 上で、WLAN に割り当てられたインターフェイスの DHCP サーバ アドレスを上書きする DHCP サーバを定義する場合、[DHCP Server Override]
チェックボックスをオンにして、[DHCP Server IP Addr]
テキスト ボックスに目的の DHCP サーバの IP アドレスを入力します。 チェックボックスはデフォルトでは、無効になっています。
|
||||||
ステップ 8 |
すべてのクライアントが DHCP サーバから IP アドレスを取得するよう設定するには、[DHCP Addr. Assignment Required]
チェックボックスをオンにします。 この機能が有効になっている場合、固定 IP アドレスを持つクライアントはネットワーク上で許可されません。 デフォルト値は [disabled] です。
|
||||||
ステップ 9 | [Apply] をクリックして、変更を確定します。 | ||||||
ステップ 10 | [General] タブの [Status] チェックボックスをオンにし、[Apply] をクリックして WLAN をもう一度有効にします。 | ||||||
ステップ 11 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 | 次のコマンドを入力して、WLAN を無効にします。 | ||||
ステップ 2 | この WLAN で使用するプライマリ DHCP サーバを設定したインターフェイスを指定するには、次のコマンドを入力します。 | ||||
ステップ 3 |
WLAN 上で、WLAN に割り当てられたインターフェイスの DHCP サーバ アドレスを上書きする DHCP サーバを定義するには、次のコマンドを入力します。 config wlan dhcp_server wlan-id dhcp_server_ip_address
|
||||
ステップ 4 | 次のコマンドを入力して、WLAN を再び有効にします。 |
コントローラには組み込みの DHCP リレー エージェントがあります。 ただし、別個の DHCP サーバを持たないネットワーク セグメントを求められる場合、コントローラに IP アドレスとサブネット マスクを無線クライアントに割り当てる組み込みの DHCP スコープを設定できます。 一般に、1 つのコントローラには、それぞれある範囲の IP アドレスを指定する複数の DHCP スコープを設定できます。
DHCP スコープは内部 DHCP が機能するために必要となります。 コントローラで DHCP が定義された後、管理インターフェイス、AP マネージャ インターフェイス、動的インターフェイスのプライマリ DHCP サーバの IP アドレスをコントローラの管理インターフェイスにポイントできます。
ステップ 1 |
[Controller]
> [Internal DHCP Server]
> [DHCP Scope]
を選択して、[DHCP Scopes] ページを開きます。 このページには、これまでに設定されたすべての DHCP スコープが表示されます。
|
||
ステップ 2 | 新しい DHCP スコープを追加するには、[New] をクリックします。 [DHCP Scope > New] ページが表示されます。 | ||
ステップ 3 | [Scope Name] テキスト ボックスに、新しい DHCP スコープの名前を入力します。 | ||
ステップ 4 | [Apply] をクリックします。 DHCP Scopes ページが再度表示されたら、新しいスコープの名前をクリックします。 [DHCP Scope > Edit] ページが表示されます。 | ||
ステップ 5 |
[Pool Start Address] テキスト ボックスに、クライアントに割り当てられた範囲の開始 IP アドレスを入力します。
|
||
ステップ 6 |
[Pool End Address] テキスト ボックスに、クライアントに割り当てられた範囲の終了 IP アドレスを入力します。
|
||
ステップ 7 | [Network] テキスト ボックスに、この DHCP スコープの対象となるネットワークの名前を入力します。 この IP アドレスは、[Interfaces] ページで設定されている、ネットマスクが適用された管理インターフェイスによって使用されます。 | ||
ステップ 8 | [Netmask] テキスト ボックスに、すべての無線クライアントに割り当てられたサブネット マスクを入力します。 | ||
ステップ 9 | [Lease Time] テキスト ボックスに、IP アドレスをクライアントに対して許可する時間(0 ~ 65536 秒)を入力します。 | ||
ステップ 10 | [Default Routers] テキスト ボックスに、コントローラに接続しているオプション ルータの IP アドレスを入力します。 各ルータには、DHCP フォワーディング エージェントを含める必要があります。これにより、単一コントローラで複数のコントローラのクライアントを処理できます。 | ||
ステップ 11 | [DNS Domain Name] テキスト ボックスに、1 つまたは複数の DNS サーバで使用する、この DHCP スコープのオプションのドメイン ネーム システム(DNS)ドメイン名を入力します。 | ||
ステップ 12 | [DNS Servers] テキスト ボックスに、オプションの DNS サーバの IP アドレスを入力します。 各 DNS サーバは、この DHCP スコープで割り当てられた IP アドレスと一致するように、クライアントの DNS エントリを更新できる必要があります。 | ||
ステップ 13 | [Netbios Name Servers] テキスト ボックスに、Internet Naming Service(WINS)サーバなど、オプションの Microsoft Network Basic Input Output System(NetBIOS)ネーム サーバの IP アドレスを入力します。 | ||
ステップ 14 | [Status] ドロップダウン リストから、[Enabled] を選択してこの DHCP スコープを有効にするか、または [Disabled] を選択して無効にします。 | ||
ステップ 15 | [Apply] をクリックして、変更を確定します。 | ||
ステップ 16 | [Save Configuration] をクリックして、変更を保存します。 | ||
ステップ 17 | [DHCP Allocated Leases] を選択して、無線クライアントの残りのリース時間を表示します。 [DHCP Allocated Lease] ページが表示され、無線クライアントの MAC アドレス、IP アドレス、および残りのリース時間が示されます。 |
ステップ 1 |
次のコマンドを入力して、新しい DHCP スコープを作成します。 config dhcp create-scope scope
|
||
ステップ 2 |
クライアントに割り当てられた範囲の開始および終了 IP アドレスを指定するには、次のコマンドを入力します。 config dhcp address-pool scope start end
|
||
ステップ 3 | この DHCP スコープの対象となるネットワーク(ネットマスクが適用された管理インターフェイスによって使用される IP アドレス)およびすべての無線クライアントに割り当てられたサブネット マスクを指定するには、次のコマンドを入力します。 | ||
ステップ 4 | 次のコマンドを入力して、クライアントに IP アドレスを許容する時間(0 ~ 65536 秒)を指定します。 | ||
ステップ 5 |
コントローラに接続されているオプション ルータの IP アドレスを指定するには、次のコマンドを入力します。 config dhcp default-router scope router_1 [ router_2] [ router_3] 各ルータには、DHCP フォワーディング エージェントを含める必要があります。これにより、単一コントローラで複数のコントローラのクライアントを処理できます。 |
||
ステップ 6 | 次のコマンドを入力して、1 つまたは複数の DNS サーバで使用する、この DHCP スコープのオプションのドメイン ネーム システム(DNS)ドメイン名を指定します。 | ||
ステップ 7 |
次のコマンドを入力して、オプションの DNS サーバの IP アドレスを指定します。 config dhcp dns-servers scope dns1 [ dns2] [ dns3] 各 DNS サーバは、この DHCP スコープで割り当てられた IP アドレスと一致するように、クライアントの DNS エントリを更新できる必要があります。 |
||
ステップ 8 |
次のコマンドを入力して、Internet Naming Service(WINS)サーバなど、オプションの Microsoft Network Basic Input Output System(NetBIOS)ネーム サーバの IP アドレスを指定します。 config dhcp netbios-name-server scope wins1 [ wins2] [ wins3] |
||
ステップ 9 | 次のコマンドを入力して、この DHCP スコープを有効または無効にします。 | ||
ステップ 10 | 次のコマンドを入力して、変更を保存します。 | ||
ステップ 11 |
次のコマンドを入力して、設定されている DHCP スコープのリストを表示します。 Scope Name Enabled Address Range Scope 1 No 0.0.0.0 -> 0.0.0.0 Scope 2 No 0.0.0.0 -> 0.0.0.0 |
||
ステップ 12 |
次のコマンドを入力して、特定のスコープの DHCP 情報を表示します。 Enabled....................................... No Lease Time.................................... 0 Pool Start.................................... 0.0.0.0 Pool End...................................... 0.0.0.0 Network....................................... 0.0.0.0 Netmask....................................... 0.0.0.0 Default Routers............................... 0.0.0.0 0.0.0.0 0.0.0.0 DNS Domain.................................... DNS........................................... 0.0.0.0 0.0.0.0 0.0.0.0 Netbios Name Servers.......................... 0.0.0.0 0.0.0.0 0.0.0.0 |
クライアント認可または管理者認可に MAC フィルタリングを使用する場合は、WLAN レベルで先に有効にしておく必要があります。 任意の WLAN でローカル MAC アドレス フィルタリングを使用する予定がある場合は、この項のコマンドを使用して WLAN の MAC フィルタリングを設定します。
WLAN 上で MAC フィルタリングを有効にするには、次のコマンドを使用します。
MAC フィルタリングを有効にすると、WLAN に追加した MAC アドレスにのみ WLAN への join が許可されます。 追加されていない MAC アドレスは、WLAN への join が許可されません。
コントローラには MAC フィルタリング機能が組み込まれています。これは、RADIUS authorization サーバで提供されるものとよく似ています。 GUI または CLI を使用して MAC フィルタを設定できます。
無効なクライアントに対してタイムアウトを設定できます。 アソシエートしようとした際に認証で 3 回失敗したクライアントは、それ以降のアソシエーションの試みでは自動的に無効にされます。 タイムアウト期間が経過すると、クライアントは認証の再試行を許可され、アソシエートすることができます。このとき、認証に失敗すると再び排除されます。 無効なクライアントに対してタイムアウトを設定するには、次のコマンドを使用します。
802.11a/n ネットワークおよび 802.11b/g/n ネットワークの場合、Lightweight アクセス ポイントは、Delivery Traffic Indication Map(DTIM)と同期する一定間隔でビーコンをブロードキャストします。 アクセス ポイントでビーコンがブロードキャストされると、DTIM period で設定した値に基づいて、バッファされたブロードキャスト フレームおよびマルチキャスト フレームが送信されます。 この機能により、ブロードキャスト データやマルチキャスト データが予想されると、適切なタイミングで省電力クライアントを再起動できます。
通常、DTIM の値は 1(ブロードキャスト フレームおよびマルチキャスト フレームはビーコンのたびに送信)または 2(ビーコン 1 回おきに送信)のいずれかに設定されます。 たとえば、802.11a/n または 802.11b/g/n のネットワークのビーコン期間が 100ms で DTIM 値が 1 に設定されていると、アクセス ポイントは、バッファされたブロードキャスト フレームおよびマルチキャスト フレームを毎秒 10 回送信します。 ビーコン期間が 100ms で DTIM 値が 2 に設定されていると、アクセス ポイントは、バッファされたブロードキャスト フレームおよびマルチキャスト フレームを毎秒 5 回送信します。 ブロードキャスト フレームおよびマルチキャスト フレームの頻度を考慮して、VoIP を含むアプリケーションに適したいずれかの設定を使用できます。
ただし、802.11a/n または 802.11b/g/n のすべてのクライアントで省電力モードが有効になっている場合は、DTIM 値を最大 255 まで設定できます(ブロードキャスト フレームおよびマルチキャスト フレームは 255 回のビーコンで 1 回送信)。 クライアントは DTIM 期間に達したときのみリッスンする必要があるため、ブロードキャストとマルチキャストをリッスンする頻度を少なく設定することで、結果的にバッテリー寿命を長くできます。 たとえば、ビーコン周期が 100 ms で DTIM 値が 100 に設定されていると、アクセス ポイントは、バッファされたブロードキャスト フレームおよびマルチキャスト フレームを 10 秒おきに送信するので、省電力クライアントを再起動してブロードキャストとマルチキャストをリッスンするまでのスリープ時間が長くなり、結果的にバッテリ寿命が長くなります。
(注) |
ビーコン期間は、コントローラでミリ秒単位で指定され、ソフトウェアによって、802.11 単位時間(TU)(1 TU = 1.024 ミリ秒)に、内部的に変換されます。 Cisco の 802.11n アクセス ポイントでは、この値は直近の 17 TU の倍数に丸められます。 このため、たとえば、100 ミリ秒に設定されたビーコン期間は、実際には、104 ms のビーコン期間になります。 |
多くのアプリケーションでは、ブロードキャスト メッセージとマルチキャスト メッセージとの間隔を長くすると、プロトコルとアプリケーションのパフォーマンスが低下します。 省電力クライアントをサポートしている 802.11a/n ネットワークおよび 802.11b/g/n ネットワークでは、DTIM 値を小さく設定することを推奨します。
コントローラ ソフトウェア リリース 5.0 以降では、特定の WLAN 上の 802.11a/n および 802.11b/g/n 無線ネットワークの DTIM 期間を設定できます。 以前のソフトウェア リリースでは、DTIM period は無線ネットワークごとにのみ設定され、WLAN ごとに設定できませんでした。 この変更により、各 WLAN に異なる DTIM period を設定できるようになりました。 たとえば、音声 WLAN とデータ WLAN に異なる DTIM 値を設定できます。
コントローラ ソフトウェアをリリース 5.0 以降にアップグレードすると、無線ネットワークに対して設定されていた DTIM 期間が、そのコントローラのすべての既存の WLAN にコピーされます。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | DTIM period を設定する WLAN の ID 番号をクリックします。 |
ステップ 3 | [Status] チェックボックスをオフにしてこの WLAN を無効にします。 |
ステップ 4 | [Apply] をクリックして、変更を確定します。 |
ステップ 5 | [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。 |
ステップ 6 | DTIM Period の下の 802.11a/n テキスト ボックスと 802.11b/g/n テキスト ボックスに 1 ~ 255 までの値を入力します。 デフォルト値は 1(ブロードキャスト フレームおよびマルチキャスト フレームはビーコンのたびに送信)です。 |
ステップ 7 | [Apply] をクリックして、変更を確定します。 |
ステップ 8 | [General] タブを選択して、[WLANs > Edit]([General])ページを開きます。 |
ステップ 9 | [Status] チェックボックスをオンにして、この WLAN を再び有効にします。 |
ステップ 10 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 | 次のコマンドを入力して、WLAN を無効にします。 |
ステップ 2 |
次のコマンドを入力して、特定の WLAN 上の 802.11a/n または 802.11b/g/n の無線ネットワークのいずれかに DTIM period を設定します。 config wlan dtim { 802.11a | 802.11b} dtim wlan_id dtim の値は、1 ~ 255(両端の値を含む)です。 デフォルト値は 1(ブロードキャスト フレームおよびマルチキャスト フレームはビーコンのたびに送信)です。 |
ステップ 3 | 次のコマンドを入力して、WLAN を再び有効にします。 |
ステップ 4 |
次のコマンドを入力して、変更を保存します。 save config |
ステップ 5 |
次のコマンドを入力して、DTIM period を確認します。 WLAN Identifier.................................. 1 Profile Name..................................... employee1 Network Name (SSID).............................. employee Status........................................... Enabled ... DTIM period for 802.11a radio.................... 1 DTIM period for 802.11b radio.................... 1 Local EAP Authentication...................... Disabled ... |
ローカル スイッチングの WLAN にアソシエートされたクライアントに対して、ピアツーピアブロッキングがサポートされます。 WLAN ごとに、ピアツーピア設定がコントローラによって FlexConnect AP にプッシュされます。
4.2 以前のコントローラのソフトウェア リリースでは、ピアツーピア ブロッキングはすべての WLAN 上のすべてのクライアントにグローバルに適用され、それによって同じ VLAN 上の 2 つのクライアント間のトラフィックが、コントローラでブリッジされるのではなく、アップストリーム VLAN に転送されていました。 この動作の結果、スイッチはパケットを受け取ったのと同じポートからパケットを転送しないため、通常アップストリーム スイッチでトラフィックがドロップされます。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 | ||||
ステップ 2 | ピアツーピア ブロッキングを設定する WLAN の ID 番号をクリックします。 | ||||
ステップ 3 | [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。 | ||||
ステップ 4 |
[P2P Blocking] ドロップダウン リストから、次のオプションのいずれかを選択します。
|
||||
ステップ 5 | [Apply] をクリックして、変更を確定します。 | ||||
ステップ 6 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 |
WLAN のピアツーピア ブロッキングを設定するには、次のコマンドを入力します。 config wlan peer-blocking { disable | drop | forward-upstream} wlan_id |
ステップ 2 | 次のコマンドを入力して、変更を保存します。 |
ステップ 3 |
次のコマンドを入力して、WLAN のピアツーピア ブロッキングのステータスを参照します。 WLAN Identifier.................................. 1 Profile Name..................................... test Network Name (SSID).............................. test Status........................................... Enabled ... ... ... Peer-to-Peer Blocking Action..................... Disabled Radio Policy..................................... All Local EAP Authentication...................... Disabled |
コントローラでは、アクセス ポイント上で Static WEP キーを制御できます。 WLAN の Static WEP を設定するには、次のコマンドを使用します。
コントローラでは、アクセス ポイント上で Extensible Authentication Protocol(EAP; 拡張認証プロトコル)を使用する 802.1X Dynamic WEP キーを制御できます。また、WLAN の 802.1X ダイナミック キー設定をサポートしています。
(注) |
Lightweight アクセス ポイントとワイヤレス クライアントで LEAP を使用するには、CiscoSecure Access Control Server(ACS)を設定する際に RADIUS サーバ タイプとして [Cisco-Aironet] を選択することを確認します。 |
高速ローミングの IEEE 標準である 802.11r は、クライアントがターゲット AP にローミングする前でも、新しい AP との最初のハンドシェイクが実行される、高速移行(FT)と呼ばれるローミングの新しい概念が導入されています。 初期ハンドシェイクによって、クライアントと AP が事前に Pairwise Transient Key(PTK)計算をできるようになります。 これらの PTK キーは、クライアントが新しいターゲット AP の再アソシエーション要求または応答の交換をした後で、クライアントと AP に適用されます。
FT キー階層は、クライアントが各 AP での再認証なしで、AP 間の高速 BSS 移行ができるように設計されています。 WLAN 設定には、FT(高速移行)と呼ばれる、新しい認証キー管理(AKM)タイプが含まれています。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | WLAN ID をクリックして、[WLANs > Edit] ページを開きます。 |
ステップ 3 | [Security] > [Layer 2] タブを選択します。 |
ステップ 4 |
[Layer 2 Security] ドロップダウン リストから、[WPA+WPA2] を選択します。 高速移行の認証キーの管理パラメータが表示されます。 |
ステップ 5 | [Fast Transition] チェックボックスを選択または選択解除して、WLAN の高速移行を有効または無効にします。 |
ステップ 6 |
[Over the DS] チェックボックスを選択または選択解除して、分散システム経由の高速移行を有効または無効にします。 このオプションは、高速移行を有効にした場合だけ使用できます。 |
ステップ 7 |
[Reassociation Timeout] ボックスに、AP へのクライアントの再アソシエーション試行がタイムアウトになる秒数を入力します。 有効範囲は 1 ~ 100 秒です。 このオプションは、高速移行を有効にした場合だけ使用できます。 |
ステップ 8 | 認証キー管理の場合は、[FT 802.1X] 、または [FT PSK] を選択します。 対応するチェックボックスを選択するかまたは選択解除して、キーを有効または無効にします。 [FT PSK] チェックボックスを選択する場合、[PSK Format] ドロップダウン リストから [ASCII] または [Hex] を選択して、キー値を入力します。 |
ステップ 9 | [WPA gtk-randomize State] ドロップダウン リストで [Enable] または [Disable] を選択して、WPA グループの一時的なキー(GTK)randomize state を設定します。 |
ステップ 10 | [Apply] をクリックして設定値を保存します。 |
ステップ 1 |
802.11r 高速移行パラメータを有効または無効にするには、config wlan security ft {enable | disable} wlan-id コマンドを使用します。 デフォルトで、高速移行は無効です。 |
ステップ 2 |
分散システム上の 802.11r 高速移行パラメータを有効または無効にするには、config wlan security ft over-the-ds {enable | disable} wlan-id コマンドを使用します。 デフォルトで、分散システム上の高速移行は無効です。 |
ステップ 3 |
事前共有キー(PSK)を使用した高速移行の認証キー管理を有効または無効にするには、config wlan security wpa akm ft-psk {enable | disable} wlan-id コマンドを使用します。 デフォルトで、PSK を使用した認証キー管理は無効です。 |
ステップ 4 |
802.1X を使用した高速移行の認証キー管理を有効または無効にするには、config wlan security wpa akm ft-802.1X {enable | disable} wlan-id コマンドを使用します。 デフォルトで、802.1X を使用した認証キー管理は無効です。 |
ステップ 5 |
802.11r 高速移行の再アソシエーション タイムアウトを有効または無効にするには、config wlan security ft reassociation-timeouttimeout-in-seconds wlan-id コマンドを使用します。 有効範囲は 1 ~ 100 秒です。 再アソシエーション タイムアウトのデフォルト値は 20 秒です。 |
ステップ 6 |
分散システム上の高速移行の認証キー管理を有効または無効にするには、config wlan security wpa akm ft over-the-ds {enable | disable} wlan-id コマンドを使用します。 デフォルトで、分散システム上の高速移行の認証キー管理は無効です。 |
ステップ 7 | クライアントの高速移行の設定を表示するには、show client detailed client-mac コマンドを使用します。 |
ステップ 8 | WLAN の高速移行の設定を表示するには、show wlan wlan-id コマンドを使用します。 |
ステップ 9 | 高速移行イベントのデバッグを有効または無効にするには、debug ft events {enable | disable} コマンドを使用します。 |
ステップ 10 | 高速移行のキー生成のデバッグを有効または無効にするには、debug ft keys {enable | disable} コマンドを使用します。 |
症状 | 解決策 |
---|---|
非 802.11r レガシー クライアントはすでに接続していません。 | WLAN で FT が有効であるかどうかを確認します。 その場合、非 FT WLAN が作成される必要があります。 |
WLAN を設定する場合、FT 設定オプションは表示されません。 | WPA2 を使用されているかどうかを確認します(802.1x/PSK)。 FT は WPA2 SSID およびオープン SSID だけでサポートされます。 |
802.11r クライアントは、新しいコントローラにレイヤ 2 のローミングを実行するときに、再認証するとおもわれます。 | コントローラの GUI で、[WLANs] > [WLAN Name] > [Security] > [Layer 2] と移動して、再認証タイムアウトがデフォルトの 20 よりも小さくなっているかどうか確認します。 |
クライアントに対する Static WEP による MAC 認証が失敗したときに、802.1X 認証を開始するようにコントローラを設定できます。 RADIUS サーバが、クライアントを認証解除する代わりにクライアントからのアクセス要求を拒否した場合、コントローラは 802.1X 認証を受けることをクライアントに強制できます。 クライアントが 802.1X 認証にも失敗した場合、クライアントは認証解除されます。
MAC 認証が成功し、クライアントが 802.1X 認証を要求する場合、クライアントがデータ トラフィックの送信を許可されるには、802.1X 認証をパスする必要があります。 クライアントが 802.1X 認証を選択しない場合、クライアントが MAC 認証にパスすれば、クライアントは認証を宣言されます。
ステップ 1 |
を選択して、[WLANs > Edit] ページを開きます。 |
ステップ 2 | [Security] タブで、[Layer 2] タブをクリックします。 |
ステップ 3 | [MAC Filtering] チェックボックスを選択します。 |
ステップ 4 | [Mac Auth or Dot1x] チェックボックスをオンにします。 |
config wlan security 802.1X on-macfilter-failure {enable | disable} wlan-id |
Static WEP キーをサポートする WLAN は 4 つまで設定できます。また、これらすべての Static WEP WLAN に Dynamic WEP も設定できます。 Static WEP と Dynamic WEP を両方サポートする WLAN を設定する際の留意事項は次のとおりです。
Wi-Fi 保護アクセス(WPA または WPA1)および WPA2 は、無線 LAN システム用のデータ保護とアクセス コントロールを提供する Wi-Fi Alliance の規格ベースのセキュリティ ソリューションです。 WPA1 は、IEEE 802.11i 規格に準拠していますが、規格の承認前に実装されたものです。これに対して、WPA2 は、承認された IEEE 802.11i 規格が Wi-Fi Alliance によって実装されています。
WPA1 のデフォルトでは、データの保護に Temporal Key Integrity Protocol(TKIP)および Message Integrity Check(MIC)が使用されますが、WPA2 では Counter Mode with Cipher Block Chaining Message Authentication Code Protocol を使用したより強力な Advanced Encryption Standard 暗号化アルゴリズム(AES-CCMP)が使用されます。 WPA1 および WPA2 のデフォルトでは、両方とも 802.1X を使用して認証キー管理を行います。 ただし、次のオプションも使用できます。
単一の WLAN では、WPA1、WPA2、および 802.1X/PSK/CCKM/802.1X+CCKM のクライアントに join を許可できます。 このような WLAN のアクセス ポイントはいずれも、ビーコンとプローブ応答で WPA1、WPA2、および 802.1X/PSK/CCKM/ 802.1X+CCKM 情報要素をアドバタイズします。 WPA1 または WPA2、あるいは両方を有効にした場合は、データ トラフィックを保護するために設計された 1 つまたは 2 つの暗号方式(暗号化アルゴリズム)を有効にすることもできます。 具体的には、WPA1 または WPA2、あるいはその両方に対して、AES または TKIP、またはその両方を有効にすることができます。 TKIP は WPA1 のデフォルト値で、AES は WPA2 のデフォルト値です。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 | ||||
ステップ 2 | 必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。 | ||||
ステップ 3 | [Security] タブおよび [Layer 2] タブを選択して、[WLANs > Edit]([Security] > [Layer 2])ページを開きます。 | ||||
ステップ 4 | [Layer 2 Security] ドロップダウン リストから [WPA+WPA2] を選択します。 | ||||
ステップ 5 |
[WPA+WPA2 Parameters] で、[WPA Policy]
チェックボックスをオンにして WPA1 を有効にするか、[WPA2 Policy]
チェックボックスをオンにして WPA2 を有効にするか、または両方のチェックボックスをオンにして WPA1 と WPA2 を両方有効にします。
|
||||
ステップ 6 | WPA1、WPA2、またはその両方に対して、AES データ暗号化を有効にする場合は [AES] チェックボックスをオンにし、TKIP データ暗号化を有効にする場合は [TKIP] チェックボックスをオンにします。 WPA1 および WPA2 のデフォルト値は、それぞれ TKIP および AES です。 | ||||
ステップ 7 |
[Auth
Key Mgmt]
ドロップダウン リストから、[802.1X]、[CCKM]、[PSK]、または
[802.1X+CCKM]
のいずれかのキー管理方式を選択します。
|
||||
ステップ 8 |
ステップ 7 で [PSK] を選択した場合は、[PSK Format] ドロップダウン リストから [ASCII]
または [HEX]
を選択し、空のテキスト ボックスに事前共有キーを入力します。 WPA の事前共有キーには、8 ~ 63 個の ASCII テキスト文字、または 64 桁の 16 進数文字が含まれている必要があります。
|
||||
ステップ 9 | [Apply] をクリックして、変更を確定します。 | ||||
ステップ 10 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 | 次のコマンドを入力して、WLAN を無効にします。 | ||
ステップ 2 | 次のコマンドを入力して、WLAN の WPA を有効または無効にします。 | ||
ステップ 3 | 次のコマンドを入力して、WLAN の WPA1 を有効または無効にします。 | ||
ステップ 4 | WLAN の WPA2 を有効または無効にするには、次のコマンドを入力します。 | ||
ステップ 5 | WPA1 または WPA2 に対して AES または TKIP データ暗号化を有効または無効にするには、次のコマンドを入力します。 | ||
ステップ 6 |
802.1X、PSK、または CCKM 認証キー管理を有効または無効にするには、次のコマンドを入力します。 config wlan security wpa akm { 802.1X | psk | cckm} { enable | disable} wlan_id |
||
ステップ 7 |
ステップ 6 で PSK を有効にした場合は、次のコマンドを入力して事前共有キーを指定します。 config wlan security wpa akm psk set-key { ascii | hex} psk-key wlan_id WPA の事前共有キーには、8 ~ 63 個の ASCII テキスト文字、または 64 桁の 16 進数文字が含まれている必要があります。 |
||
ステップ 8 |
高速移行に対して認証キー管理スイートを有効または無効にするには、次のコマンドを入力します。 config wlan security wpa akm ft {802.1X | psk} {enable | disable} wlan_id
|
||
ステップ 9 |
AP とクライアント間のグループの一時的キー(GTK)のランダム化を有効または無効にするには、次のコマンドを入力します。 config wlan security wpa gtk-random {enable | disable} wlan_id |
||
ステップ 10 |
802.1X 認証キー管理で WPA2、または CCKM 認証キー管理で WPA1 または WPA2 を有効にした場合、必要に応じて、PMK キャッシュ ライフタイム タイマーを使用して、クライアントでの再認証をトリガーします。 タイマーは、AAA サーバから受信したタイムアウト値または WLAN のセッション タイムアウト設定に基づきます。 タイマーが切れるまでに残されている時間を確認するには、次のコマンドを入力します。 PMK-CCKM Cache Entry Type Station Lifetime VLAN Override IP Override ------ ------------------- -------- ------------------ --------------- CCKM 00:07:0e:b9:3a:1b 150 0.0.0.0 802.1X 認証キー管理で WPA2 を有効にした場合、コントローラは opportunistic PMKID キャッシュと sticky(non-opportunistic)PMKID キャッシュの両方をサポートします。 sticky PMKID キャッシュ(SKC)で、クライアントは、アソシエートする AP ごとに異なる、複数の PMKID を保存します。 opportunistic PMKID キャッシュ(OKC)は、クライアントあたり 1 つの PMKID だけを保存します。 デフォルトで、コントローラは OKC をサポートします。 |
||
ステップ 11 | WLAN を有効にするには、次のコマンドを入力します。 | ||
ステップ 12 | 次のコマンドを入力して、設定を保存します。 |
リリース 7.2 以降のリリースから、コントローラは sticky PMKID キャッシュ(SKC)をサポートします。 sticky PMKID キャッシュにより、クライアントは、アソシエートする AP ごとに異なる PMKID を受信し、保存します。 AP も、クライアントに発行される PMKID のデータベースを維持します。
PKC(Proactive Key Caching)とも呼ばれる SKC では、クライアントは Pairwise Master Key Security Association(PMKSA)に対して各 Pairwise Master Key(PMK)ID(PMKID)を保存します。 クライアントがそれに対する PMKSA を保持する AP を見つけた場合、アソシエーション要求内で PMKID を AP に送信します。 PMKSA が AP で稼働している場合は、AP は、高速ローミングをサポートします。 SKC では、クライアントがアソシエートする新しい AP に関して完全な認証が実行され、すべての AP とアソシエートされる PMKSA をクライアントが維持しなければなりません。 SKC の場合、PMKSA はクライアントが保存する AP のキャッシュごとであり、新しい AP の BSSID に基づいて事前に計算されます。
ステップ 1 | 次のコマンドを入力して、WLAN を無効にします。 | ||
ステップ 2 |
Sticky PMKID キャッシュを有効にするには、次のコマンドを入力します。 config wlan security wpa wpa2 skc-cache enable wlan_id デフォルトで、Sticky PMKID キャッシュ(SKC)は無効であり、Opportunistic PMKID キャッシュ(OKC)は有効です。
SKC が有効かどうかを確認するには、次のコマンドを入力します。 show wlan wlan_id 以下に類似した情報が表示されます。 WLAN Identifier.................................. 2 Profile Name..................................... new Network Name (SSID).............................. new Status........................................... Disabled MAC Filtering.................................... Disabled Security 802.11 Authentication:........................ Open System Static WEP Keys............................... Disabled 802.1X........................................ Disabled Wi-Fi Protected Access (WPA/WPA2)............. Enabled WPA (SSN IE)............................... Disabled WPA2 (RSN IE).............................. Enabled TKIP Cipher............................. Disabled AES Cipher.............................. Enabled Auth Key Management 802.1x.................................. Disabled PSK..................................... Enabled CCKM.................................... Disabled FT(802.11r)............................. Disabled FT-PSK(802.11r)......................... Disabled SKC Cache Support......................... Enabled FT Reassociation Timeout................... 20 FT Over-The-Air mode....................... Enabled FT Over-The-Ds mode........................ Enabled CCKM tsf Tolerance............................... 1000 Wi-Fi Direct policy configured................ Disabled EAP-Passthrough............................... Disabled |
||
ステップ 3 |
WLAN を有効にするには、次のコマンドを入力します。 config wlan enable wlan_id |
||
ステップ 4 |
次のコマンドを入力して、設定を保存します。 save config |
Cisco Key Integrity Protocol(CKIP)は、IEEE 802.11 メディアを暗号化するためのシスコ独自のセキュリティ プロトコルです。 CKIP では、インフラストラクチャ モードでの 802.11 セキュリティを強化するために、キーの置換、メッセージの整合性チェック(MIC)、およびメッセージ シーケンス番号が使用されています。 ソフトウェア リリース 4.0 以降では、静的キーを使用した CKIP をサポートしています。 この機能を正常に動作させるには、WLAN に対して Aironet 情報要素(IE)を有効にする必要があります。
Lightweight アクセス ポイントは、ビーコンおよびプローブ応答パケットに Aironet IE を追加し、CKIP ネゴシエーション ビット(キー置換およびマルチモジュラ ハッシュ メッセージ整合性チェック [MMH MIC])の一方または両方を設定することにより、CKIP のサポートをアドバタイズします。 キー置換は、基本の暗号キーおよび現在の初期ベクトル(IV)を使用して新しいキーを作成するデータ暗号化技術です。 MMH MIC では、ハッシュ関数を使用してメッセージ整合性コードを計算することにより、暗号化されたパケットでのパケット改ざん攻撃を回避します。
WLAN で指定された CKIP の設定は、アソシエートを試みるすべてのクライアントに必須です。 WLAN で CKIP のキー置換および MMH MIC の両方が設定されている場合、クライアントは両方をサポートする必要があります。 WLAN がこれらの機能の 1 つだけに設定されている場合は、クライアントではその CKIP 機能だけをサポートする必要があります。
(注) |
CKIP は Static WEP での使用についてのみサポートされています。 Dynamic WEP での使用はサポートされていません。 したがって、Dynamic WEP で CKIP を使用するように設定された無線クライアントは、CKIP 用に設定されている WLAN にアソシエートできません。 CKIP なしで Dynamic WEP を使用する(安全性がより低い)か、または TKIP または AES で WPA/WPA2 を使用する(安全性がより高い)ことを推奨します。 |
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | 必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。 |
ステップ 3 | [Advanced] タブを選択します。 |
ステップ 4 | [Aironet IE] チェックボックスをオンにして、この WLAN に対する Aironet IE を有効にし、[Apply] をクリックします。 |
ステップ 5 | [General] タブを選択します。 |
ステップ 6 | [Status] チェックボックスがオンになっている場合は、これをオフにしてこの WLAN を無効にし、[Apply] をクリックします。 |
ステップ 7 | [Security] タブおよび [Layer 2] タブを選択して、[WLANs > Edit]([Security] > [Layer 2])ページを開きます。 |
ステップ 8 | [Layer 2 Security] ドロップダウン リストから [CKIP] を選択します。 |
ステップ 9 | [CKIP Parameters] で、[Key Size] ドロップダウン リストから CKIP 暗号キーの長さを選択します。その範囲は、[Not Set]、[40 bits]、または [104 bits] です。デフォルトは、[Not Set] です。 |
ステップ 10 | [Key Index] ドロップダウン リストからこのキーに割り当てる番号を選択します。 キーは、最高 4 つまで設定できます。 |
ステップ 11 | [Key Format] ドロップダウン リストから、[ASCII] または [HEX] を選択し、[Encryption Key] テキスト ボックスに暗号化キーを入力します。 40 ビットキーには、ASCII テキスト文字が 5 文字と 16 進数文字が 10 文字必要です。 104 ビットキーには、ASCII テキスト文字が 13 文字と 16 進数文字が 26 文字必要です。 |
ステップ 12 | この WLAN に対して MMH MIC データ保護を有効にする場合は、[MMH Mode] チェックボックスをオンにします。 デフォルト値では無効(またはオフ)になっています。 |
ステップ 13 | この形式の CKIP データ保護を有効にする場合は、[Key Permutation] チェックボックスをオンにします。 デフォルト値では無効(またはオフ)になっています。 |
ステップ 14 | [Apply] をクリックして、変更を確定します。 |
ステップ 15 | [General] タブを選択します。 |
ステップ 16 | [Status] チェックボックスをオンにして、この WLAN を有効にします。 |
ステップ 17 | [Apply] をクリックして、変更を確定します。 |
ステップ 18 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 | 次のコマンドを入力して、WLAN を無効にします。 |
ステップ 2 | この WLAN の Aironet IE を有効にするには、次のコマンドを入力します。 |
ステップ 3 | WLAN の CKIP を有効または無効にするには、次のコマンドを入力します。 |
ステップ 4 |
WLAN に対して CKIP 暗号化キーを指定するには、次のコマンドを入力します。 config wlan security ckip akm psk set-key wlan_id { 40 | 104} { hex | ascii} key key_index |
ステップ 5 |
WLAN に対して CKIP MMH MIC を有効または無効にするには、次のコマンドを入力します。 config wlan security ckip mmh-mic { enable | disable} wlan_id |
ステップ 6 | WLAN に対して CKIP キー置換を有効または無効にするには、次のコマンドを入力します。 |
ステップ 7 | WLAN を有効にするには、次のコマンドを入力します。 |
ステップ 8 | 次のコマンドを入力して、設定を保存します。 |
WLAN にセッション タイムアウトを設定できます。 セッション タイムアウトとは、クライアント セッションが再認証を要求することなくアクティブである最大時間を指します。
[Session Timeout] テキスト ボックスに、300 ~ 86400 秒の値を入力して、クライアント セッションの期間を指定します。 デフォルト値は、レイヤ 2 セキュリティ タイプが [802.1X]、[Static WEP+802.1X]、[WPA+WPA2 with 802.1X]、[CCKM]、または [802.1X+CCKM] 認証キー管理の場合は 1800 秒、その他すべてのレイヤ 2 セキュリティ タイプ([Open WLAN]/[CKIP]/[Static WEP])については 0 秒です。 値 0 はタイムアウトなしに相当します。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | セッション タイムアウトを割り当てる WLAN の ID 番号をクリックします。 |
ステップ 3 | [WLANs > Edit] ページが表示されたら、 [Advanced] タブを選択します。 [WLANs > Edit]([Advanced])ページが表示されます。 |
ステップ 4 | この WLAN のセッション タイムアウトを設定するには、[ Enable Session Timeout] チェックボックスをオンにします。 それ以外の場合は、このチェックボックスをオフにします。 デフォルト値はオンです。 |
ステップ 5 | [Apply] をクリックして、変更を確定します。 |
ステップ 6 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 |
WLAN の無線クライアントにセッション タイムアウトを設定するには、次のコマンドを入力します。 config wlan session-timeout wlan_id timeout デフォルト値は、レイヤ 2 セキュリティ タイプが [802.1X]、[Static WEP+802.1X]、[WPA+WPA2 with 802.1X]、[CCKM]、または [802.1X+CCKM] 認証キー管理の場合は 1800 秒、その他すべてのレイヤ 2 セキュリティ タイプ([Open WLAN]/[CKIP]/[Static WEP])については 0 秒です。 値 0 はタイムアウトなしに相当します。 |
ステップ 2 | 次のコマンドを入力して、変更を保存します。 |
ステップ 3 |
WLAN の現在のセッション タイムアウト値を表示するには、次のコマンドを入力します。 WLAN Identifier.................................. 9 Profile Name..................................... test12 Network Name (SSID)........................... test12 ... Number of Active Clients......................... 0 Exclusionlist Timeout............................ 60 seconds Session Timeout............................... 1800 seconds ... |
コントローラは、VPN パススルー、つまり VPN クライアントから送信されるパケットの「通過」をサポートします。 VPN パススルーの例として、ラップトップから本社オフィスの VPN サーバへの接続が挙げられます。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | VPN パススルーを設定する WLAN の ID 番号をクリックします。 [WLANs > Edit] ページが表示されます。 |
ステップ 3 | [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit]([Security] > [Layer 3])ページを開きます。 |
ステップ 4 | [Layer 3 Security] ドロップダウン リストから、[VPN Pass-Through] を選択します。 |
ステップ 5 | [VPN Gateway Address] テキスト ボックスに、クライアントにより開始され、コントローラを通過した VPN トンネルを終端しているゲートウェイ ルータの IP アドレスを入力します。 |
ステップ 6 | [Apply] をクリックして、変更を確定します。 |
ステップ 7 | [Save Configuration] をクリックして設定を保存します。 |
コントローラで VPN パススルーが有効になっていない場合に限り、WLAN では Web 認証を使用できます。 Web 認証は、セットアップも使用方法も簡単で、SSL とともに使用することで WLAN 全体のセキュリティを向上させることができます。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | Web 認証を設定する WLAN の ID 番号をクリックします。 [WLANs > Edit] ページが表示されます。 |
ステップ 3 | [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit]([Security] > [Layer 3])ページを開きます。 |
ステップ 4 | [Web Policy] チェックボックスをオンにします。 |
ステップ 5 | [Authentication] オプションが選択されていることを確認します。 |
ステップ 6 | [Apply] をクリックして、変更を確定します。 |
ステップ 7 | [Save Configuration] をクリックして設定を保存します。 |
ステップ 1 | 特定の WLAN で Web 認証を有効または無効にするには、次のコマンドを入力します。 |
ステップ 2 |
Web 認証ポリシーのタイマーが切れたときにゲスト ユーザの IP アドレスを解放して、ゲスト ユーザが 3 分間 IP アドレスを取得しないようにするには、次のコマンドを入力します。 config wlan webauth-exclude wlan_id { enable | disable} デフォルト値は [disabled] です。 コントローラに内部 DHCP スコープを設定するときに、このコマンドを適用できます。 デフォルトでは、ゲスト ユーザは、Web 認証のタイマーが切れた場合、別のゲスト ユーザがその IP アドレスを取得する前に、ただちに同じ IP アドレスに再アソシエートできます。 ゲスト ユーザの数が多い場合、または DHCP プールの IP アドレスが限れられている場合、一部のゲスト ユーザが IP アドレスを取得できなくなる可能性があります。 ゲスト WLAN でこの機能を有効にした場合、Web 認証ポリシーのタイマーが切れると、ゲスト ユーザの IP アドレスが解放され、このゲスト ユーザは 3 分間 IP アドレスの取得から除外されます。 その IP アドレスは、別のゲスト ユーザが使用できます。 3 分経つと、除外されていたゲスト ユーザは、可能であれば、再アソシエートし、IP アドレスを取得できるようになります。 |
ステップ 3 |
次のコマンドを入力して、Web 認証のステータスを表示します。 WLAN Identifier.................................. 1 Profile Name..................................... cj Network Name (SSID).............................. cj Status........................................... Disabled MAC Filtering.................................... Disabled Broadcast SSID................................... Enabled AAA Policy Override.............................. Disabled Network Admission Control NAC-State...................................... Disabled Quarantine VLAN................................ 0 Number of Active Clients......................... 0 Exclusionlist Timeout............................ 60 seconds Session Timeout.................................. 1800 seconds CHD per WLAN.................................. Enabled Webauth DHCP exclusion........................... Disabled Interface........................................ management WLAN ACL......................................... unconfigured DHCP Server...................................... Default DHCP Address Assignment Required.............. Disabled ... Web Based Authentication......................... Disabled Web-Passthrough............................... Disabled ... |
WISPr は、ユーザが異なるワイヤレス サービス プロバイダー間をローミングできるようにするドラフト プロトコルです。 一部のデバイス(Apple iOS デバイスなど)には、指定の URL に対する HTTP WISPr 要求に基づいて、デバイスがインターネットに接続するかどうかを決定するときに使用するメカニズムが搭載されています。 このメカニズムを使用すると、ユーザは、インターネットにアクセスするために資格情報を入力する必要がある場合に、Web ブラウザを起動できます。実際の認証は、デバイスが新規の SSID に接続するたびに、バックグラウンドで行われます。
この HTTP 要求は、他のページ要求がワイヤレス クライアントによって実行されると、コントローラでの webauth 代行受信をトリガーします。 この代行受信によって webauth プロセスが発生し、プロセスは正常に完了します。 webauth がいずれかのコントローラ スプラッシュ ページ機能で使用されていると(設定された RADIUS サーバが URL を指定)、WISPr 要求が非常に短い間隔で発信されるので、スプラッシュ ページが表示されることはなく、いずれかのクエリーが指定のサーバに到達できるとただちに、バックグラウンドで実行されている Web リダイレクションまたはスプラッシュ ページ表示プロセスが中断されます。そして、デバイスによってページ要求が処理され、スプラッシュ ページ機能は中断されます。
現在、WISPr 検出プロセスをバイパスするようにコントローラを設定できるようになりました。それによって、ユーザが、ユーザ コンテキストでスプラッシュ ページ ロードを引き起こす Web ページを要求したときに、バックグラウンドで WISPr 検出を実行することなく、webauth 代行受信だけが行われるようにすることができます。
レイヤ 2 およびレイヤ 3 セキュリティを組み合わせたフォールバック ポリシー メカニズムを設定できます。 MAC フィルタリングおよび Web 認証の両方が設定されているシナリオで、MAC フィルタ(RADIUS サーバ)を使用して WLAN への接続を試行する場合、クライアントが認証に失敗すると、Web 認証にフォール バックできるように認証を設定できます。 クライアントが MAC フィルタ認証をパスすると、Web 認証が省略され、クライアントは WLAN に接続されます。 この機能を使用して、MAC フィルタ認証エラーのみに基づいたアソシエーション解除を回避できます。
(注) |
フォールバック ポリシーを設定する前に、MAC フィルタリングを有効にする必要があります。 |
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 | ||
ステップ 2 | Web 認証に対してフォールバック ポリシーを設定する WLAN の ID 番号をクリックします。 [WLANs > Edit] ページが表示されます。 | ||
ステップ 3 | [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit]([Security] > [Layer 3])ページを開きます。 | ||
ステップ 4 | [Layer 3 Security] ドロップダウン リストから、[None] を選択します。 | ||
ステップ 5 |
[Web
Policy] チェックボックスをオンにします。
|
||
ステップ 6 | [On MAC Filter Failure] をクリックします。 | ||
ステップ 7 | [Apply] をクリックして、変更を確定します。 | ||
ステップ 8 | [Save Configuration] をクリックして設定を保存します。 |
(注) |
フォールバック ポリシーを設定する前に、MAC フィルタリングを有効にする必要があります。 MAC フィルタリングを有効にする方法については、「WLAN の MAC フィルタリングについて」の項を参照してください。 |
ステップ 1 | 特定の WLAN で Web 認証を有効または無効にするには、次のコマンドを入力します。 |
ステップ 2 |
Web 認証ステータスを表示するには、次のコマンドを入力します。 FT Over-The-Ds mode.............................. Enabled CKIP ......................................... Disabled IP Security................................... Disabled IP Security Passthru.......................... Disabled Web Based Authentication...................... Enabled-On-MACFilter-Failure ACL............................................. Unconfigured Web Authentication server precedence: 1............................................... local 2............................................... radius 3............................................... ldap |
Cisco UWN ソリューション WLAN では、Platinum/音声、Gold/ビデオ、Silver/ベスト エフォート(デフォルト)、Bronze/バックグラウンドの 4 つのレベルの QoS をサポートしています。 音声転送 WLAN で Platinum QoS を使用するよう設定したり、低帯域幅 WLAN で Bronze QoS を使用するよう割り当てたり、その他すべてのトラフィックに残りの QoS レベルを割り当てたりすることができます。
WLAN QoS レベルは、無線トラフィックの特定の 802.11e User Priority(UP)を定義します。 この UP は、WMM 以外の有線トラフィックの優先順位を導出すると同時に、さまざまな優先レベルの WMM トラフィックを管理する際の上限値としても機能します。
ワイヤレス レート制限は、アップストリームおよびダウンストリーム トラフィックの両方に定義できます。 レート制限は SSID ごとに定義するか、または最大レート制限としてすべてのクライアントに対して指定できます(あるいは両方を行えます)。 これらのレート制限は個別に設定できます。
(注) |
表に記載されていない DSCP 値に対する IEEE 802.11e UP 値は、DSCP の上位(MSB)3 ビットを考慮して算出されます。 たとえば、DSCP 32(バイナリ 100 000)に対する IEEE 802.11e UP 値は、10 進数に相当する MSB(100)値で、これは 4 になります。 DSCP 32 の 802.11e UP 値は 4 です。 |
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | QoS プロファイルを割り当てる WLAN の ID 番号をクリックします。 |
ステップ 3 | [WLANs > Edit] ページが表示されたら、[QoS] タブを選択します。 |
ステップ 4 | [Quality of Service(QoS)] ドロップダウン リストから、次のいずれかを選択します。 |
ステップ 5 |
データ レートをユーザ単位で定義するには、次の手順を実行します。
|
ステップ 6 |
データ レートを SSID 単位で定義するには、次の手順を実行します。
|
ステップ 7 | [Apply] をクリックして、変更を確定します。 |
ステップ 8 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 |
QoS プロファイルを WLAN に割り当てるには、次のコマンドを入力します。 config wlan qos wlan_id { bronze | silver | gold | platinum} |
ステップ 2 | save config コマンドを入力します。 |
ステップ 3 |
QoS プロファイルを WLAN に適切に割り当てたことを確認するには、次のコマンドを入力します。 WLAN Identifier.................................. 1 Profile Name..................................... test Network Name (SSID).............................. test Status........................................... Enabled MAC Filtering.................................... Disabled Broadcast SSID................................... Enabled AAA Policy Override.............................. Disabled Number of Active Clients......................... 0 Exclusionlist.................................... Disabled Session Timeout.................................. 0 Interface........................................ management WLAN ACL......................................... unconfigured DHCP Server...................................... 1.100.163.24 DHCP Address Assignment Required................. Disabled Quality of Service............................... Silver (best effort) WMM.............................................. Disabled ... |
QoS Enhanced Basis Service Set(QBSS)情報要素(IE)により、アクセス ポイントはそのチャネル使用率をワイヤレス デバイスに通知できます。 チャネル使用率が高いアクセス ポイントではリアルタイム トラフィックを効率的に処理できないため、7921 または 7920 電話では、QBSS 値を使用して、他のアクセス ポイントにアソシエートするべきかどうかが判断されます。 次の 2 つのモードで QBSS を有効にできます。
Cisco 7921 および 7920 Wireless IP Phone をコントローラで使用する場合は、次のガイドラインに従ってください。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 | ||
ステップ 2 | WMM モードを設定する WLAN の ID 番号をクリックします。 | ||
ステップ 3 | [WLANs] > [Edit] ページが表示されたら、[QoS] タブを選択して [WLANs > Edit(QoS)] ページを開きます。 | ||
ステップ 4 | 7921 電話および WMM 規格を満たすその他のデバイスに対して WMM モードを有効にするかどうかに応じて、[WMM Policy] ドロップダウン リストから次のオプションのいずれかを選択してください。 | ||
ステップ 5 | アクセス ポイントで制御される CAC を必要とする電話で 7920 サポート モードを有効にする場合は、[7920 AP CAC] チェックボックスをオンにします。 デフォルト値はオフです。 | ||
ステップ 6 |
クライアントで制御される CAC を必要とする電話で 7920 サポート モードを有効にする場合は、[7920 Client CAC]
チェックボックスをオンにします。 デフォルト値はオフです。
|
||
ステップ 7 | [Apply] をクリックして、変更を確定します。 | ||
ステップ 8 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 | QBSS サポートを追加する WLAN の ID 番号を決定するには、次のコマンドを入力します。 | ||
ステップ 2 | 次のコマンドを入力して、WLAN を無効にします。 | ||
ステップ 3 | 7921 電話および WMM 規格を満たすその他のデバイスで WMM モードを設定するには、次のコマンドを入力します。 | ||
ステップ 4 |
クライアントで制御される CAC を必要とする電話で 7920 サポート モードを有効または無効にするには、次のコマンドを入力します。 config wlan 7920-support client-cac-limit { enable | disable} wlan_id
|
||
ステップ 5 |
アクセス ポイントで制御される CAC を必要とする電話で 7920 サポート モードを有効または無効にするには、次のコマンドを入力します。 config wlan 7920-support ap-cac-limit { enable | disable} wlan_id |
||
ステップ 6 | 次のコマンドを入力して、WLAN を再び有効にします。 | ||
ステップ 7 | 次のコマンドを入力して、変更を保存します。 | ||
ステップ 8 | WLAN が有効であり、[Dot11-Phone Mode (7920)] テキスト ボックスがコンパクト モードに設定されていることを確認するには、次のコマンドを入力します。 |
この機能により、アクセス ポイントは Session Initiation Protocol(SIP)の音声コールの確立、終了、および失敗を検出し、それをコントローラおよび WCS にレポートできます。 VoIP スヌーピングおよびレポートは、WLAN ごとに有効または無効にできます。
VoIP MSA スヌーピングが有効であると、この WLAN をアドバタイズするアクセス ポイント無線は、SIP RFC 3261 に準拠する SIP 音声パケットを検索します。 非 RFC 3261 準拠の SIP 音声パケットや Skinny Call Control Protocol(SCCP)音声パケットは検索しません。 ポート番号 5060 に宛てた、またはポート番号 5060 からの SIP パケット(標準的な SIP シグナリング ポート)はいずれも、詳細検査の対象として考慮されます。 アクセス ポイントでは、Wi-Fi Multimedia(WMM)クライアントと非 WMM クライアントがコールを確立している段階、コールがアクティブになった段階、コールの終了処理の段階を追跡します。 両方のクライアント タイプのアップストリーム パケット分類は、アクセス ポイントで行われます。 ダウンストリーム パケット分類は、WMM クライアントはコントローラで、非 WMM クライアントはアクセス ポイントで行われます。 アクセス ポイントは、コールの確立、終了、失敗など、主要なコール イベントをコントローラと WCS に通知します。
VoIP MSA コールに関する詳細な情報がコントローラによって提供されます。 コールが失敗した場合、コントローラはトラブルシューティングで有用なタイムスタンプ、障害の原因(GUI で)、およびエラー コード(CLI で)が含まれるトラップ ログを生成します。 コールが成功した場合、追跡用にコール数とコール時間を表示します。 WCS は、失敗した VoIP コールに関する情報を [Events] ページに表示します。
コントローラ ソフトウェア リリース 6.0 以降では、Voice over IP(VoIP)Media Session Aware(MSA)スヌーピングおよびレポートをサポートしています。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | メディア セッション スヌーピングを設定する WLAN の ID 番号をクリックします。 |
ステップ 3 | [WLANs > Edit] ページで [Advanced] タブをクリックします。 |
ステップ 4 | [Voice] の下の [Media Session Snooping] チェックボックスをオンしてメディア セッション スヌーピングを有効にするか、オフにしてこの機能を無効にします。 デフォルト値はオフです。 |
ステップ 5 | [Apply] をクリックして、変更を確定します。 |
ステップ 6 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 7 |
次の手順で、アクセス ポイント無線の VoIP 統計情報を表示します。
|
ステップ 8 |
[Management]
> [SNMP]
> [Trap Logs]
の順に選択して、コールが失敗した場合に生成されるトラップを表示します。 [Trap Logs] ページが表示されます。 たとえば、図のログ 0 はコールが失敗したことを示しています。 ログでは、コールの日時、障害の内容、障害発生の原因が示されます。 |
ステップ 1 | 特定の WLAN で VoIP スヌーピングを有効または無効にするには、次のコマンドを入力します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 2 | 次のコマンドを入力して、変更を保存します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 3 |
特定の WLAN のメディア セッション スヌーピングのステータスを表示するには、次のコマンドを入力します。 WLAN Identifier.................................. 1 Profile Name..................................... wpa2-psk Network Name (SSID).............................. wpa2-psk Status........................................... Enabled ... FlexConnect Local Switching........................ Disabled FlexConnect Learn IP Address....................... Enabled Infrastructure MFP protection.............. Enabled (Global Infrastructure MFP Disabled) Client MFP.................................... Optional Tkip MIC Countermeasure Hold-down Timer....... 60 Call Snooping.................................. Enabled |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 4 |
メディア セッション スヌーピングが有効であり、コールがアクティブである場合の MSA クライアントのコール情報を表示するには、次のコマンドを入力します。 show call-control client callInfo client_MAC_address Uplink IP/port...................................... 192.11.1.71 / 23870 Downlonk IP/port.................................... 192.12.1.47 / 2070 UP.................................................. 6 Calling Party....................................... sip:1054 Called Party........................................ sip:1000 Call ID............................................. 58635b00-850161b7-14853-1501a8 Number of calls for given client is.............. 1 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 5 |
コールが成功した場合のメトリックまたはコールが失敗した場合に生成されるトラップを表示するには、次のコマンドを入力します。 show call-control ap { 802.11a | 802.11b} Cisco_AP { metrics | traps} show call-control ap { 802.11a | 802.11b} Cisco_AP metrics と入力すると、次のような情報が表示されます。 Total Call Duration in Seconds................... 120 Number of Calls.................................. 10 show call-control ap { 802.11a | 802.11b} Cisco_AP traps と入力すると、次のような情報が表示されます。 Number of traps sent in one min.................. 2 Last SIP error code.............................. 404 Last sent trap timestamp...................... Jun 20 10:05:06 トラブルシューティングに役立つように、このコマンドの出力には失敗したコールすべてのエラー コードが示されます。 次の表では、失敗したコールの考えられるエラー コードについて説明します。
|
Key Telephone System-based CAC は、NEC MH240 ワイヤレス IP 電話で使用されるプロトコルです。 KTS-based SIP クライアントで CAC をサポートし、そのようなクライアントからの帯域幅要求メッセージを処理し、AP 無線で要求された帯域幅を割り当て、プロトコルの一部であるその他のメッセージを処理するように、コントローラを設定できます。
コールが開始されると、KTS-based CAC クライアントが帯域幅要求メッセージを送信し、それに対してコントローラが、帯域幅が割り当てられるかどうかを示す帯域幅確認メッセージで応答します。 帯域幅が利用可能な場合のみ、コールが許可されます。 クライアントは、AP から別の AP にローミングする場合、別の帯域幅要求メッセージをコントローラに送信します。
帯域幅の割り当ては、帯域幅要求メッセージからのデータ レートとパケット化間隔を使用して計算されるメディア時間によって異なります。 KTS-based CAC クライアントの場合、パケット化間隔が 20 ミリ秒の G.711 コーデックが、メディア時間の計算に使用されます。
コントローラは、クライアントからの帯域幅リリース メッセージを受信したあと、帯域幅を解放します。 コントローラ内ローミングとコントローラ間ローミングのいずれの場合も、クライアントが別の AP にローミングすると、コントローラは前の AP の帯域幅を解放し、新規の AP に帯域幅を割り当てます。 クライアントのアソシエーションが解除された場合、または非アクティブの状態が 120 秒間続いた場合、コントローラは帯域幅を解放します。 クライアントの非アクティビティまたはディスアソシエーションによって、クライアント用の帯域幅が解放された場合、コントローラからクライアントへの通知はありません。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | KTS-based CAC ポリシーを設定する WLAN の ID 番号をクリックします。 |
ステップ 3 | [WLANs > Edit] ページで [Advanced] タブをクリックします。 |
ステップ 4 | [Voice] の下の [KTS based CAC Policy] チェックボックスをオンまたはオフにして、WLAN に対する KTS-based CAC を有効または無効にします。 |
ステップ 5 | [Apply] をクリックして、変更を確定します。 |
ステップ 1 | WLAN に対して KTS-based CAC を有効にするには、次のコマンドを入力します。 |
ステップ 2 |
KTS-based CAC 機能を有効にするには、次の作業を行ってください。
|
Client MAC Address............................... 00:60:b9:0d:ef:26 Client Username ................................. N/A AP MAC Address................................... 58:bc:27:93:79:90 QoS Level........................................ Platinum 802.1P Priority Tag.............................. disabled KTS CAC Capability............................... Yes WMM Support...................................... Enabled Power Save....................................... ON
音声クライアントが、最も適切で最も近くの使用可能コントローラにアンカーされるようにすることができます。この機能は、コントローラ間ローミングが発生したときに役立ちます。 この機能を使用することにより、トラフィックの伝送に外部コントローラとアンカー コントローラ間のトンネルを使用せずに済み、ネットワークから不要なトラフィックを削除できます。
ローミング中のコールは影響を受けず、問題なく継続できます。 トラフィックは、外部コントローラとアンカー コントローラ間に確立される適切なトンネルを通過します。 アソシエーション解除は、コールの終了後のみに行われ、その後、クライアントは新規のコントローラに再アソシエートされます。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | ローミングしている音声クライアントのリアンカーを設定する WLAN の ID 番号をクリックします。 |
ステップ 3 | [WLANs > Edit] ページが表示されたら、[Advanced] タブを選択して [WLANs > Edit]([Advanced])ページを開きます。 |
ステップ 4 | [Voice] エリアで、[Re-anchor Roamed Clients] チェックボックスを選択します。 |
ステップ 5 | [Apply] をクリックして、変更を確定します。 |
ステップ 6 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 |
特定の WLAN に対して、ローミングしている音声クライアントのリアンカーを有効または無効にするには、次のコマンドを入力します。 config wlan roamed-voice-client re-anchor { enable | disable } wlan id |
ステップ 2 | 次のコマンドを入力して、変更を保存します。 |
ステップ 3 |
特定の WLAN におけるローミングしている音声クライアントのリアンカーのステータスを表示するには、次のコマンドを入力します。 WLAN Identifier.................................. 1 Profile Name..................................... wpa2-psk Network Name (SSID).............................. wpa2-psk Status........................................... Enabled ... Call Snooping.................................... Enabled Roamed Call Re-Anchor Policy..................... Enabled Band Select...................................... Disabled Load Balancing................................... Disabled |
ステップ 4 | 次のコマンドを入力して、変更を保存します。 |
インターネット プロトコル バージョン 6(IPv6)は、プロトコルの TCP/IP スイートのバージョン 4(IPv4)の後継となることを意図された次世代のネットワーク層インターネット プロトコルです。 この新しいバージョンでは、一意なグローバル IP アドレスを必要とするユーザとアプリケーションを収容するためのインターネット グローバル アドレス空間が拡張されています。 IPv6 は、128 ビットの送信元アドレスおよび宛先アドレスを組み込むことにより、32 ビットの IPv4 アドレスよりも格段に多くのアドレスを提供します。
コントローラをまたいだ IPv6 クライアントをサポートするには、IPv6 クライアントが同じレイヤ 3 ネットワーク上にとどまるように、ICMPv6 メッセージを特別に処理する必要があります。 コントローラは、ICMPv6 メッセージを代行受信することで IPv6 クライアントを追跡し、シームレスなモビリティを提供して、ネットワーク攻撃からネットワークを保護します。 ICMPv6 パケットは、マルチキャストからユニキャストに変換され、クライアントごとに個別に配信されます。 このプロセスによって、より詳細な制御が可能になります。 特定のクライアントは、特定のネイバー ディスカバリ パケットおよびルータ アドバタイズメント パケットを受信することで IPv6 アドレス指定が適切であることを確認し、不要なマルチキャスト トラフィックを回避します。
IPv6 モビリティの設定は、IPv4 モビリティと同一であり、シームレスなローミングを実現するためにクライアント側で別個のソフトウェアを使用する必要はありません。 コントローラは、同じモビリティ グループに属している必要があります。 IPv4 と IPv6 の両クライアント モビリティが、デフォルトで有効になります。
(注) |
現在、DHCPv6 は Windows Vista クライアントでの使用についてのみサポートされています。 これらのクライアントについては、VLAN がクライアントによって変更された後で DHCPv6 IP アドレスを手動で更新する必要があります。 |
(注) |
IPv6 のダイナミック VLAN 機能はサポートされていません。 |
IPv6 クライアントは、IPv6 アドレスを設定し、IPv6 ルータ アドバタイズメント(RA)パケットに基づいてルータ テーブルにデータを入力します。 RA ガード機能は、有線ネットワークの RA ガード機能に類似しています。 RA ガードは、ワイヤレス クライアントから発信される不要な、または不正な RA パケットをドロップすることによって、IPv6 ネットワークのセキュリティを強化します。 この機能が設定されていないと、悪意のある IPv6 クライアントが、それ自体をネットワークのルータとして通知する可能性があり、そのため、正規の IPv6 ルータよりも優先されることになります。
RA ガードは、コントローラで実行されます。 アクセス ポイントまたはコントローラで RA メッセージをドロップするように、コントローラを設定できます。 デフォルトでは、RA ガードはアクセス ポイントで設定され、コントローラでも有効になります。 すべての IPv6 RA メッセージがドロップされ、それによって他のワイヤレス クライアントおよびアップストリーム有線ネットワークが悪意のある IPv6 クライアントから保護されます。
ステップ 1 | [Controller] > [IPv6] > [RA Guard] を選択して、[IPv6 RA Guard] ページを開きます。 デフォルトでは、[IPv6 RA Guard on AP] が有効になります。 |
ステップ 2 | RA ガードを無効にするには、ドロップダウン リストから、[Disable] を選択します。 コントローラは、RA パケットの送信側として識別されたクライアントも表示します。 |
ステップ 3 | [Apply] をクリックして、変更を確定します。 |
ステップ 4 | [Save Configuration] をクリックして、変更を保存します。 |
RA スロットリングは、コントローラがワイヤレス ネットワーク宛ての RA パケットを強制的に制限できるようにします。 RA スロットリングを有効にすることにより、多数の RA パケットを送信するルータを最小限の頻度に調整することができ、その場合も IPv6 クライアントの接続は維持されます。 クライアントが RS パケットを送信すると、RA がクライアントに返送されます。 これは、コントローラを通過でき、クライアントにユニキャストされます。 このプロセスによって、新しいクライアントやローミング クライアントが RA スロットリングの影響を受けないようにすることができます。
ステップ 1 | [Controll] > [IPv6] > [RA Throttle Policy] ページを選択します。 デフォルトでは、[IPv6 RA Throttle Policy] が無効になります。 このチェックボックスをオフにして、RA スロットリング ポリシーを無効にします。 | ||
ステップ 2 |
次のパラメータを設定します。
|
||
ステップ 3 | [Apply] をクリックして、変更を確定します。 | ||
ステップ 4 | [Save Configuration] をクリックして、変更を保存します。 |
config ipv6 neigbhor-binding ra-throttle {allow at-least at-least-value | enable | disable | interval-option { ignore | passthrough | throttle} | max-through { max-through-value | no-limit}
IPv6 ネイバー ディスカバリとは、近隣のノード間の関係を決定するメッセージとプロセスのことです。 ネイバー ディスカバリは、IPv4 で使用されていた ARP、ICMP ルータ探索、および ICMP リダイレクトに代わるものです。
信頼できるバインディング テーブル データベースを構築するために、IPv6 ネイバー ディスカバリ検査によってネイバー ディスカバリ メッセージが分析され、準拠しない IPv6 ネイバー ディスカバリ パケットはドロップされます。 コントローラ内のネイバー バインディング テーブルでは、各 IPv6 アドレスと、アソシエートされた MAC アドレスが追跡されます。 クライアントは、ネイバー バインディング タイマーに従って、テーブルから消去されます。
ステップ 1 | [Controller] > [IPv6] > [Neighbor Binding Timers] ページを選択します。 |
ステップ 2 | 次のタイマーを設定します。 |
ステップ 3 | [Apply] をクリックして、変更を確定します。 |
ステップ 4 | [Save Configuration] をクリックして、変更を保存します。 |
config ipv6 neighbor-binding timers {down-lifetime | reachable-lifetime | stale-lifetime} {enable | disable}.
Cisco Client Extensions(CCX)ソフトウェアは、サードパーティ製クライアント デバイスの製造業者およびベンダーに対してライセンスされます。 これらのクライアント上の CCX コードにより、サードパーティ製クライアント デバイスは、シスコ製のアクセス ポイントと無線で通信できるようになり、セキュリティの強化、パフォーマンスの向上、高速ローミング、優れた電源管理などの、他のクライアント デバイスがサポートしていないシスコの機能もサポートできるようになります。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | 必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。 |
ステップ 3 | [Advanced] タブを選択して、[WLANs > Edit]([Advanced] タブ)ページを開きます。 |
ステップ 4 | この WLAN で Aironet IE のサポートを有効にする場合は、[Aironet IE] チェックボックスをオンにします。 有効にしない場合には、このチェックボックスをオフにします。 デフォルト値が有効(オン)になっています。 |
ステップ 5 | [Apply] をクリックして、変更を確定します。 |
ステップ 6 | [Save Configuration] をクリックして、変更を保存します。 |
クライアント デバイスは、アソシエーション要求パケットに CCX バージョンを格納してアクセス ポイントに送信します。 コントローラは、クライアントの CCX バージョンをデータベースに格納し、これを使用してこのクライアントの機能を制限します。 たとえば、クライアントが CCX バージョン 2 をサポートしている場合、コントローラは、CCX バージョン 4 の機能を使用することをクライアントに許可しません。
ステップ 1 | [Monitor] > [Clients] の順に選択して、[Clients] ページを開きます。 |
ステップ 2 |
目的のクライアント デバイスの MAC アドレスをクリックして、[Clients > Detail] ページを開きます。 [CCX Version] テキスト ボックスに、このクライアント デバイスでサポートされる CCX バージョンが表示されます。 クライアントで CCX がサポートされていない場合は、 Not Supported が表示されます。 |
ステップ 3 | 前の画面に戻るには、[Back] をクリックします。 |
ステップ 4 | 他のクライアント デバイスでサポートされる CCX バージョンを表示するには、この手順を繰り返します。 |
コントローラの CLI を使用して、特定のクライアント デバイスでサポートされる CCX バージョンを表示するには、次のコマンドを入力します。
ステップ 1 |
[WLANs]
を選択して、[WLANs] ページを開きます。 このページでは、コントローラ上で現在設定されているすべての WLAN およびリモート LAN が表示されます。 各 WLAN について、WLAN/リモート LAN ID、プロファイル名、タイプ、SSID、ステータス、およびセキュリティ ポリシーを表示できます。 WLAN/リモート LAN の合計数がページの右上隅に表示されます。 WLAN/リモート LAN のリストが複数ページにわたる場合は、ページ番号のリンクをクリックすることで、目的のページにアクセスできます。
|
||
ステップ 2 | ドロップダウン リストから [Create New] を選択し、[Go] をクリックして新規の Remote-LAN を作成します。 [WLANs > New] ページが表示されます。 | ||
ステップ 3 | [Type] ドロップダウン リストから、[Remote LAN] を選択してリモート LAN を作成します。 | ||
ステップ 4 | [Profile Name] テキスト ボックスに、このリモート WLAN に割り当てるプロファイル名に対する最大 32 文字の英数字を入力します。 プロファイル名は固有である必要があります。 | ||
ステップ 5 | [WLAN ID] ドロップダウン リストから、この WLAN の ID 番号を選択します。 | ||
ステップ 6 |
[Apply]
をクリックして、変更を確定します。 [WLANs > Edit] ページが表示されます。
|
||
ステップ 7 | [General] タブ、[Security] タブ、および [Advanced] タブ上でパラメータを使用してこのリモート LAN を設定します。 特定の機能を設定する手順については、この章の後の項を参照してください。 | ||
ステップ 8 |
[General] タブの [Status]
チェックボックスをオンにして、このリモート LAN を有効にします。 リモート LAN に対する設定変更が終了するまで、チェックボックスをオフにしておいてください。
|
||
ステップ 9 | [Apply] をクリックして、変更を確定します。 | ||
ステップ 10 | [Save Configuration] をクリックして、変更を保存します。 |
(注) |
リモート LAN 上の暗号化は、常に「none」になります。 |
コントローラ上に最大 512 の WLAN を作成した後では、さまざまなアクセス ポイントに WLAN を選択的に公開(アクセス ポイント グループを使用して)することで、ワイヤレス ネットワークをより適切に管理できます。 一般的な展開では、WLAN 上のすべてのユーザはコントローラ上の 1 つのインターフェイスにマップされます。 したがって、その WLAN にアソシエートされたすべてのユーザは、同じサブネットまたは VLAN 上にあります。 しかし、複数のインターフェイス間で負荷を分散すること、またはアクセス ポイント グループを作成して、個々の部門(たとえばマーケティング部門)などの特定の条件に基づくグループ ユーザへと負荷を分配することを選択できます。 さらに、ネットワーク管理を簡素化するために、これらのアクセス ポイント グループを別個の VLAN で設定できます。
図では、3 つの設定された動的インターフェイスが、3 つの異なる VLAN(VLAN 61、VLAN 62、および VLAN 63)にマップされています。 3 つのアクセス ポイント グループが定義されており、各グループは異なる VLAN のメンバですが、すべてのグループが同じ SSID のメンバとなっています。 無線 SSID 内のクライアントには、そのアクセス ポイントがメンバとなっている VLAN サブネットから IP アドレスが割り当てられています。 たとえば、アクセス ポイント グループ VLAN 61 のメンバであるアクセス ポイントにアソシエートする任意のユーザには、そのサブネットから IP アドレスが割り当てられます。
前述の図の例では、コントローラはアクセス ポイント間のローミングをレイヤ 3 ローミング イベントとして内部で処理します。 こうすることで、WLAN クライアントは元の IP アドレスを保持します。
すべてのアクセス ポイントがコントローラに join された後は、アクセス ポイント グループを作成して、最大 16 の WLAN を各グループに割り当てることができます。 各アクセス ポイントは、有効化されている WLAN のうち、そのアクセス ポイント グループに属する WLAN だけをアドバタイズします。 アクセス ポイント グループで無効化されている WLAN または別のグループに属する WLAN はアドバタイズしません。
(注) |
アクセス ポイント グループ内の OfficeExtend アクセス ポイントを持つコントローラは、パーソナルな SSID に対して割り当てられる WLAN が 1 つであるため、接続されている各 OfficeExtend アクセス ポイントに最大 15 の WLAN を公開します。 |
ステップ 1 | 適切な動的インターフェイスを設定し、必要な VLAN にマップします。 たとえば、「アクセス ポイント グループについて」セクションで説明するネットワークを設定するには、コントローラに VLAN 61、62、および 63 の動的インターフェイスを作成します。 動的インターフェイスを設定する方法の詳細については、「動的インターフェイスの設定」の項を参照してください。 |
ステップ 2 | アクセス ポイント グループを作成します。 「アクセス ポイント グループの作成」の項を参照してください。 |
ステップ 3 | RF プロファイルを作成します。 「RF プロファイルの作成」の項を参照してください。 |
ステップ 4 | 適切なアクセス ポイント グループにアクセス ポイントを割り当てます。 「アクセス ポイント グループの作成」の項を参照してください。 |
ステップ 5 | AP グループの RF プロファイルを適用します。 「AP グループへの RF プロファイルの適用」の項を参照してください。 |
ステップ 1 |
[WLANs]
> [Advanced]
> [AP Groups]
の順に選択して、[AP Groups] ページを開きます。 このページには、コントローラで現在作成されているすべてのアクセス ポイント グループが表示されます。 デフォルトでは、アクセス ポイントは、他のアクセス ポイント グループに割り当てられない限り、すべて、デフォルトのアクセス ポイント グループ「default-group」に属します。
|
||||||
ステップ 2 | [Add Group] をクリックして、新しいアクセス ポイント グループを作成します。 [Add New AP Group] のセクションがページ上部に表示されます。 | ||||||
ステップ 3 | [AP Group Name] テキスト ボックスに、グループの名前を入力します。 | ||||||
ステップ 4 | [Description] テキスト ボックスに、グループの説明を入力します。 | ||||||
ステップ 5 | [NAS-ID] テキスト ボックスに、AP グループのネットワーク アクセス サーバの ID を入力します。 | ||||||
ステップ 6 |
[Add]
をクリックします。 新たに作成したアクセス ポイント グループが、[AP Groups] ページのアクセス ポイント グループのリストに表示されます。
|
||||||
ステップ 7 | グループの名前をクリックして、この新しいグループを編集します。 [AP Groups > Edit]([General])ページが表示されます。 | ||||||
ステップ 8 | このアクセス ポイント グループの説明を変更するには、[AP Group Description] テキスト ボックスに新しいテキストを入力して、[Apply] をクリックします。 | ||||||
ステップ 9 | [WLANs] タブを選択して、[AP Groups > Edit]([WLANs])ページを開きます。 このページでは、このアクセス ポイント グループに現在割り当てられている WLAN が表示されます。 | ||||||
ステップ 10 | [Add New] をクリックして、このアクセス ポイント グループに WLAN を割り当てます。 [Add New] のセクションがページ上部に表示されます。 | ||||||
ステップ 11 | [WLAN SSID] ドロップダウン リストから、この WLAN の SSID を選択します。 | ||||||
ステップ 12 |
[Interface Name] ドロップダウン リストから、アクセス ポイント グループをマップするインターフェイスを選択します。 Network Admission Control(NAC;ネットワーク アドミッション コントロール)のアウトオブバンドのサポートを有効にする場合は、隔離 VLAN を選択します。
|
||||||
ステップ 13 | [NAC State] チェックボックスをオンして、このアクセス ポイント グループに対する NAC アウトオブバンドのサポートを有効にします。 NAC アウトオブバンドのサポートを無効にするには、チェックボックスをオフ(デフォルト値)のままとします。 NAC の詳細については、「NAC アウトオブバンド統合の設定」の項を参照してください。 | ||||||
ステップ 14 |
[Add]
をクリックして、この WLAN をアクセス ポイント グループに追加します。 この WLAN が、このアクセス ポイント グループに割り当てられている WLAN のリストに表示されます。
|
||||||
ステップ 15 | ステップ 9 ~ ステップ 13 を繰り返して、このアクセス ポイント グループに WLAN をさらに追加します。 | ||||||
ステップ 16 | [APs] タブを選択して、このアクセス ポイント グループにアクセス ポイントを割り当てます。 [AP Groups > Edit]([APs])ページには、このグループに現在割り当てられているアクセス ポイントと、グループへの追加が可能なアクセス ポイントが一覧されます。 アクセス ポイントがグループに現在割り当てられていない場合、そのアクセス ポイントのグループ名は「default-group」として表示されます。 | ||||||
ステップ 17 |
アクセス ポイント名の左側にあるチェック ボックスをオンにして [Add APs]
をクリックし、このアクセス ポイント グループにアクセス ポイントを追加します。 すると、該当するアクセス ポイントが、このアクセス ポイント グループに現在属しているアクセス ポイントのリストに表示されます。
|
||||||
ステップ 18 | [Save Configuration] をクリックします。 |
ステップ 1 |
アクセス ポイント グループを作成するには、次のコマンドを入力します。
|
||
ステップ 2 | アクセス ポイント グループに説明を追加するには、次のコマンドを入力します。 | ||
ステップ 3 |
アクセス ポイント グループに WLAN を割り当てるには、次のコマンドを入力します。 config wlan apgroup interface-mapping add group_name wlan_id interface_name
|
||
ステップ 4 |
このアクセス ポイント グループに対して、NAC アウトオブバンドのサポートを有効または無効にするには、次のコマンドを入力します。 config wlan apgroup nac { enable | disable} group_name wlan_id |
||
ステップ 5 |
次のコマンドを入力して、アクセス ポイント グループで WLAN 無線ポリシーを設定します。 config wlan apgroup wlan-radio-policy apgroup_name wlan_id {802.11a-only | 802.11bg | 802.11g-only | all} |
||
ステップ 6 |
アクセス ポイントをアクセス ポイント グループに割り当てるには、次のコマンドを入力します。 config ap group-name group_name Cisco_AP
|
||
ステップ 7 | 次のコマンドを入力して、変更を保存します。 |
アクセス ポイント グループについて情報を表示する、またはトラブルシューティングするには、次のコマンドを使用します。
Site Name........................................ AP2 Site Description................................. Access Point 2 WLAN ID Interface Network Admission Control ------- ----------- -------------------------- 1 management Disabled 2 management Disabled 3 management Disabled 4 management Disabled 9 management Disabled 10 management Disabled 11 management Disabled 12 management Disabled 13 management Disabled 14 management Disabled 15 management Disabled 16 management Disabled 18 management Disabled AP Name Slots AP Model Ethernet MAC Location Port Country Priority GroupName ------- ---- -------------- ----------------- ------- ---- ------- -------- --------- AP1242 2 AP1242AG-A-K9 00:14:1c:ed:23:9a default 1 US 1 AP2 ...
Site Name........................................ AP3 Site Description................................. Access Point 3 WLAN ID Interface BSSID ------- ------------ ------------------- 10 management 00:14:1b:58:14:df
Cisco AP Identifier.............................. 166 Cisco AP Name................................. AP2 ... Station Configuration Configuration ............................. AUTOMATIC Number Of WLANs ........................... 2 ...
RF プロファイルを使用すると、共通のカバレッジ ゾーンを共有する AP グループを調整し、そのカバレッジ ゾーン内の AP に対する RRM の動作を選択的に変更できます。
たとえば、多くのユーザが集まる、または会合するエリアに、大学が高密度の AP を展開する場合があります。 この場合は、同一チャネル干渉を管理しながら、セル密度に対処するために、データ レートと電力の両方を操作する必要があります。 隣接エリアでは、通常のカバレッジが提供されますが、そのような操作によってカバレッジが失われます。
RF プロファイルと AP グループを使用すると、異なる環境やカバレッジ ゾーンで動作する AP グループに対する RF 設定を最適化できます。 RF プロファイルは、802.11b/g/n 無線または 802.11a/n 無線に対して作成されます。 RF プロファイルは、AP グループに属するすべての AP に適用され、そのグループ内のすべての AP に同じプロファイルが設定されます。
RF プロファイルを使用して、データ レートおよび電力(TPC)値を制御できます。
(注) |
RF プロファイルの適用によって、RRM 内の AP のステータスが変わることはありません。 ステータスは、RRM によって制御されるグローバル コンフィギュレーション モードのままです。 |
(注) |
この機能を有効にした後に無効にすると、アウトオブザボックス AP グループへの新しい AP のサブスクリプションだけが停止します。 アウトオブザボックス AP グループへサブスクライブされたすべての AP が、この AP グループに残ります。 ネットワーク管理者は、ネットワークのコンバージェンスの際に、このような AP をデフォルト グループまたはカスタム AP グループに移動できます。 |
いったん AP グループを作成して RF プロファイルを適用するか、既存の AP グループを変更すると、新しい設定が有効になり、次のルールが有効になります。
ステップ 1 | の順に選択して [RF Profiles] ページを開きます。 |
ステップ 2 | すべての RF プロファイルのアウトオブボックス ステータスを設定するには、[Enable Out Of Box] チェックボックスをオンまたはオフにします。 |
ステップ 3 | [New] をクリックします。 |
ステップ 4 | [RF Profile Name] を入力し、無線帯域を選択します。 |
ステップ 5 | [Apply] をクリックして、電力およびデータ レート パラメータのカスタマイズを設定します。 |
ステップ 6 | [General] タブで、[Description] テキスト ボックスに RF プロファイルの説明を入力します。 |
ステップ 7 | [802.11] タブで、このプロファイルの AP に適用するデータ レートを設定します。 |
ステップ 8 |
[RRM] タブでは、次のことを実行できます。
|
ステップ 9 | [High Density] タブでは、次のことを実行できます。 |
ステップ 10 |
[Client Distribution] タブでは、次のことを実行できます。
|
ステップ 11 | [Apply] をクリックして、変更を確定します。 |
ステップ 12 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 |
すべての RF プロファイルのアウトオブボックス ステータスを設定するには、次のコマンドを入力します。 config rf-profile out-of-box {enable | disable} |
ステップ 2 |
RF プロファイルを作成または削除するには、次のコマンドを入力します。 config rf-profile {create {802.11a | 802.11b} | delete} profile-name |
ステップ 3 |
RF プロファイルの説明を指定するには、次のコマンドを入力します。 config rf-profile description text profile-name |
ステップ 4 |
このプロファイルの AP にデータ レートが適用されるように設定するには、次のコマンドを入力します。 config rf-profile data-rates {802.11a | 802.11b} {disabled | mandatory | supported} rate profile-name |
ステップ 5 |
最大電力レベル割り当ておよび最小電力レベル割り当て(この RF プロファイル内の AP が使用できる最大電力と最小電力)を設定するには、次のコマンドを入力します。 config rf-profile {tx-power-max | tx-power-min} power-value profile-name |
ステップ 6 |
TPC のバージョン 1 またはバージョン 2 に対するカスタム TPC 電力しきい値を設定するには、次のコマンドを入力します。 config rf-profile {tx-power-control-thresh-v1 | tx-power-control-thresh-v2} power-threshold profile-name |
ステップ 7 |
カバレッジ ホール検出パラメータを設定する
|
ステップ 8 |
AP 無線ごとに許可されるクライアントの最大数を設定するには、次のコマンドを入力します。 config rf-profile max-clients num-of-clients profile-name |
ステップ 9 |
クライアント トラップしきい値を設定するには、次のコマンドを入力します。 config rf-profile client-trap-threshold threshold-value profile-name |
ステップ 10 |
マルチキャストを設定するには、次のコマンドを入力します。 config rf-profile multicast data-rate rate profile-name |
ステップ 11 |
ロード バランシングを設定するには、次のコマンドを入力します。 config rf-profile load-balancing {window num-of-clients | denial value} profile-name |
ステップ 12 |
帯域選択を設定する
|
ステップ 1 | の順に選択して、[AP Groups] ページを開きます。 | ||
ステップ 2 | [AP Group Name] をクリックして、[AP Groups > Edit] ページを開きます。 | ||
ステップ 3 |
[RF Profile] タブをクリックし、RF プロファイルの詳細を設定します。 各帯域(802.11a/802.11b)の RF プロファイルを選択することも、このグループに適用する 1 つのプロファイルまたは [none] を選択することもできます。
|
||
ステップ 4 | [APs] タブをクリックし、AP グループに追加する AP を選択します。 | ||
ステップ 5 |
[Add APs] をクリックし、選択した AP を AP グループに追加します。 AP グループがリブートし、AP がコントローラに再 join することを示す、警告メッセージが表示されます。
|
||
ステップ 6 | [Apply] をクリックします。 AP が、AP グループに追加されます。 |
802.1X 認証が正常に完了した後に、ユーザを特定の Web ページにリダイレクトするように WLAN を設定できます。 Web リダイレクトを設定して、ユーザにネットワークへの部分的または全面的なアクセス権を与えることができます。
条件付き Web リダイレクトを有効にすると、802.1X 認証が正常に完了した後に、ユーザは条件付きで特定の Web ページにリダイレクトされます。 RADIUS サーバ上で、リダイレクト先のページとリダイレクトが発生する条件を指定できます。 条件には、ユーザのパスワードの有効期限が近づいている場合、または使用を継続するためにユーザが料金を支払う必要がある場合などがあります。
RADIUS サーバが Cisco AV ペア「url-redirect」を返す場合、ユーザがブラウザを開くと指定された URL へリダイレクトされます。 さらにサーバから Cisco AV ペア「url-redirect-acl」も返された場合は、指定されたアクセス コントロール リスト(ACL)が、そのクライアントの事前認証 ACL としてインストールされます。 クライアントはこの時点で完全に認証されていないと見なされ、事前認証 ACL によって許可されるトラフィックのみを送信できます。
指定された URL(たとえば、パスワードの変更、請求書の支払い)でクライアントが特定の操作を完了すると、クライアントの再認証が必要になります。 RADIUS サーバから「url-redirect」が返されない場合、クライアントは完全に認証されたものと見なされ、トラフィックを渡すことを許可されます。
(注) |
条件付き Web リダイレクト機能は、802.1X または WPA+WPA2 レイヤ 2 セキュリティに対して設定されている WLAN でのみ利用できます。 |
RADIUS サーバを設定した後は、コントローラ GUI または CLI のいずれかを使用して、コントローラ上で条件付き Web リダイレクトを設定できます。
スプラッシュ ページ Web リダイレクトを有効にすると、802.1X 認証が正常に完了した後に、ユーザは特定の Web ページにリダイレクトされます。 ユーザは、リダイレクト後、ネットワークに完全にアクセスできます。 RADIUS サーバでリダイレクト ページを指定できます。 RADIUS サーバが Cisco AV ペア「url-redirect」を返す場合、ユーザがブラウザを開くと指定された URL へリダイレクトされます。 クライアントは、この段階で完全に認証され、RADIUS サーバが「url-redirect」を返さなくても、トラフィックを渡すことができます。
(注) |
スプラッシュ ページ Web リダイレクト機能は、802.1x キー管理を使用する 802.1X または WPA+WPA2 レイヤ 2 セキュリティに対して設定されている WLAN でのみ利用できます。 事前共有キー管理は、レイヤ 2 セキュリティ方式ではサポートされません。 |
RADIUS サーバを設定した後は、コントローラ GUI または CLI のいずれかを使用して、コントローラ上でスプラッシュ ページ Web リダイレクトを設定できます。
(注) |
次の手順は、CiscoSecure ACS 固有の手順ですが、その他の RADIUS サーバでも同様の手順を使用します。 |
ステップ 1 | CiscoSecure ACS メイン メニューから、[Group Setup] を選択します。 |
ステップ 2 | [Edit Settings] をクリックします。 |
ステップ 3 | [Jump To] ドロップダウン リストから [RADIUS (Cisco IOS/PIX 6.0)] を選択します。 |
ステップ 4 | [[009\001] cisco-av-pair] チェックボックスをオンにします。 |
ステップ 5 | [[009\001] cisco-av-pair] 編集ボックスに次の Cisco AV ペアを入力して、ユーザをリダイレクトする URL を指定するか、条件付き Web リダイレクトを設定する場合は、ダイレクトが発生する条件をそれぞれ指定します。 |
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | 必要な WLAN の ID 番号をクリックします。 [WLANs > Edit] ページが表示されます。 |
ステップ 3 | [Security] タブおよび [Layer 2] タブを選択して、[WLANs > Edit]([Security] > [Layer 2])ページを開きます。 |
ステップ 4 | [Layer 2 Security] ドロップダウン リストから、[802.1X] または [WPA+WPA2] を選択します。 |
ステップ 5 | 802.1X または WPA+WPA2 に対して任意の追加パラメータを設定します。 |
ステップ 6 | [Layer 3] タブを選択して、[WLANs > Edit]([Security > Layer 3])ページを開きます。 |
ステップ 7 | [Layer 3 Security] ドロップダウン リストから、[None] を選択します。 |
ステップ 8 | [Web Policy] チェックボックスをオンにします。 |
ステップ 9 | 条件付き Web リダイレクトまたはスプラッシュ ページ Web リダイレクトを有効化するオプションとして、[Conditional Web Redirect] または [Splash Page Web Redirect] のいずれかを選択します。 デフォルトでは、両方のパラメータが無効になっています。 |
ステップ 10 | ユーザをコントローラ外部のサイトにリダイレクトする場合、[Preauthentication ACL] ドロップダウン リストから RADIUS サーバ上で設定された ACL を選択します。 |
ステップ 11 | [Apply] をクリックして、変更を確定します。 |
ステップ 12 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 |
条件付き Web リダイレクトを有効または無効にするには、次のコマンドを入力します。 config wlan security cond-web-redir { enable | disable} wlan_id |
ステップ 2 |
スプラッシュ ページ Web リダイレクトを有効または無効にするには、次のコマンドを入力します。 config wlan security splash-page-web-redir { enable | disable} wlan_id |
ステップ 3 | 次のコマンドを入力して、設定を保存します。 |
ステップ 4 |
特定の WLAN の Web リダイレクト機能のステータスを表示するには、次のコマンドを入力します。 WLAN Identifier.................................. 1 Profile Name..................................... test Network Name (SSID).............................. test ... Web Based Authentication......................... Disabled Web-Passthrough.................................. Disabled Conditional Web Redirect......................... Disabled Splash-Page Web Redirect......................... Enabled ... |
(注) |
アカウンティング サーバを無効にすると、すべてのアカウンティング動作が無効となり、コントローラが WLAN に対するデフォルトの RADIUS サーバにフォールバックしなくなります。 |
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | 変更する WLAN の ID 番号をクリックします。 [WLANs > Edit] ページが表示されます。 |
ステップ 3 | [Security] タブおよび [AAA Servers] タブを選択して、[WLANs > Edit]([Security > AAA Servers])ページを開きます。 |
ステップ 4 | [Accounting Servers] の [Enabled] チェックボックスをオフにします。 |
ステップ 5 | [Apply] をクリックして、変更を確定します。 |
ステップ 6 | [Save Configuration] をクリックして、変更を保存します。 |
(注) |
カバレッジ ホールの検出は、コントローラでグローバルに有効になっています。 |
(注) |
WLAN ごとにカバレッジ ホールの検出を無効にできます。 WLAN でカバレッジ ホールの検出を無効にした場合、カバレッジ ホールの警告はコントローラに送信されますが、カバレッジ ホールを解消するためのそれ以外の処理は行われません。 この機能については、ゲストのネットワーク接続時間は短く、モビリティが高いと考えられるようなゲスト WLAN に有用です。 |
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 | ||
ステップ 2 | 変更する WLAN のプロファイル名をクリックします。 [WLANs > Edit] ページが表示されます。 | ||
ステップ 3 | [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを表示します。 | ||
ステップ 4 |
[Coverage Hole Detection Enabled] チェックボックスをオフにします。
|
||
ステップ 5 | [Apply] をクリックします。 | ||
ステップ 6 | [Save Configuration] をクリックします。 |
ステップ 1 |
カバレッジ ホールの検出を無効にするには、次のコマンドを入力します。 config wlan chd wlan-id disable
|
||
ステップ 2 | 次のコマンドを入力して、設定を保存します。 | ||
ステップ 3 |
特定の WLAN のカバレッジ ホールの検出ステータスを表示するには、次のコマンドを入力します。 WLAN Identifier.................................. 2 Profile Name..................................... wlan2 Network Name (SSID).............................. 2 . . . CHD per WLAN.................................. Disabled |
Cisco NAC アプライアンス(Cisco Clean Access(CCA)とも呼ばれます)は、ネットワーク管理者がユーザにネットワークへの接続を許可する前に、有線および無線経由のユーザ、リモートのユーザおよびそのマシンを認証、承認、評価、感染修復する Network Admission Control(NAC)製品です。 Cisco NAC アプライアンスは、マシンがセキュリティ ポリシーに準拠しているかどうかを判別し、脆弱性を修復してから、ネットワークへのアクセスを許可します。 NAC アプライアンスは、インバンド モードとアウトオブバンド モードの 2 つのモードで利用できます。 お客様は、必要ならば両方のモードを導入して、それぞれが特定のタイプのアクセスを担当するようにすることもできます。たとえば、インバンドで無線接続ユーザをサポートし、アウトオブバンドで有線接続ユーザを担当するといった構成も可能です。
コントローラ上に NAC アウトオブバンド機能を実装するには、WLAN またはゲスト LAN 上で NAC のサポートを有効にしてから、この WLAN またはゲスト LAN を、隔離 VLAN(信頼できない VLAN)およびアクセス VLAN(信頼できる VLAN)で設定されたインターフェイスにマッピングする必要があります。 クライアントは、アソシエートしてレイヤ 2 認証を完了すると、アクセス VLAN サブネットから IP アドレスを取得しますが、クライアントの状態は Quarantine となります。 NAC アウトオブバンド機能の導入中は、コントローラが接続されたレイヤ 2 スイッチと NAC アプライアンスとの間でのみ隔離 VLAN が許可されること、および NAC アプライアンスが一意の隔離 - アクセス VLAN マッピングで設定されていることを確認します。 クライアントのトラフィックは、NAC アプライアンスにトランクされた隔離 VLAN に渡されます。 ポスチャ検証が終了すると、クライアントは修復のための処置を実行するように促されます。 クリーニングが完了すると、NAC アプライアンスはコントローラを更新してクライアントの状態を Quarantine から Access へ変更します。
コントローラとスイッチとの間のリンクをトランクとして設定することにより、隔離 VLAN(110)とアクセス VLAN(10)を有効にしています。 レイヤ 2 スイッチ上では、隔離トラフィックが NAC アプライアンスにトランクされ、アクセス VLAN トラフィックがレイヤ 3 スイッチに直接送信されます。 NAC アプライアンス上の隔離 VLAN に到達するトラフィックは、静的なマッピング設定に基づいてアクセス VLAN にマップされます。
(注) |
設定手順については、Cisco NAC アプライアンス設定ガイドを参照してください。http://www.cisco.com/en/US/products/ps6128/products_installation_and_configuration_guides_list.html |
ステップ 1 |
次の手順で、動的インターフェイスに対して隔離 VLAN を設定します。
|
ステップ 2 |
次の手順で、WLAN またはゲスト LAN に対して NAC アウトオブバンドのサポートを設定します。
|
ステップ 3 |
次の手順で、特定のアクセス ポイント グループに対して NAC アウトオブバンドのサポートを設定します。
|
ステップ 4 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 5 |
次の手順で、クライアントの現在の状態(Quarantine または Access)を表示します。
|
ステップ 1 |
動的インターフェイスに対して隔離 VLAN を設定するには、次のコマンドを入力します。 config interface quarantine vlan interface_name vlan_id
|
||
ステップ 2 |
WLAN またはゲスト LAN に対して NAC アウトオブバンド サポートを有効または無効にするには、次のコマンドを入力します。 config {wlan | guest-lan} nac {enable | disable} {wlan_id | guest_lan_id} |
||
ステップ 3 |
特定のアクセス ポイント グループに対して NAC アウトオブバンド サポートを有効または無効にするには、次のコマンドを入力します。 config wlan apgroup nac { enable | disable} group_name wlan_id |
||
ステップ 4 | 次のコマンドを入力して、変更を保存します。 | ||
ステップ 5 |
NAC 状態など、WLAN またはゲスト LAN の構成を表示するには、次のコマンドを入力します。 show { wlan wlan_ id | guest-lan guest_lan_id} WLAN Identifier.................................. 1 Profile Name..................................... wlan Network Name (SSID).............................. wlan Status........................................... Disabled MAC Filtering.................................... Disabled Broadcast SSID................................... Enabled AAA Policy Override.............................. Disabled Network Admission Control NAC-State...................................... Enabled Quarantine VLAN............................. 110 ... |
||
ステップ 6 |
クライアントの現在の状態(Quarantine または Access)を表示するには、次のコマンドを入力します。 show client detailed client_mac Client’s NAC state.................................. QUARANTINE
|
パッシブ クライアントとは、固定 IP アドレスが設定されている、スケールやプリンタなどのワイヤレス デバイスです。 これらのクライアントは、アクセス ポイントにアソシエートするとき、IP アドレス、サブネット マスク、およびゲートウェイ情報などの IP 情報を送信しません。 その結果、パッシブ クライアントが使用された場合、それらのクライアントが DHCP を使用しない限り、コントローラではその IP アドレスは認識されません。
現在、Wireless LAN Controller は ARP 要求のプロキシとして動作します。 ARP 要求を受信すると、コントローラは、クライアントに直接要求を渡す代わりに、ARP 応答で応答します。 このシナリオには、次の 2 つの利点があります。
ワイヤレス コントローラには、パッシブ クライアントに関する IP 関連の情報がないため、ARP 要求に応答できません。 現在の動作では、ARP 要求のパッシブ クライアントへの転送は許可されていません。 パッシブ クライアントへのアクセスを試みるアプリケーションは、失敗します。
パッシブ クライアント機能は、有線クライアントとワイヤレス クライアント間の ARP 要求および応答の交換を可能にします。 この機能が有効である場合、コントローラは、目的のワイヤレス クライアントが RUN 状態になるまで、有線クライアントからワイヤレス クライアントへ ARP 要求を渡すことができます。
パッシブ クライアントを設定するには、マルチキャスト-マルチキャストまたはマルチキャスト-ユニキャスト モードをイネーブルにする必要があります。
マルチキャスト-マルチキャスト モードの有効化(GUI)
ステップ 1 | [Controller] > [General] の順に選択して、[General] ページを開きます。 |
ステップ 2 | [AP Multicast Mode] ドロップダウン リストで、次のいずれかのオプションを選択します。 |
ステップ 3 | [AP Multicast Mode] ドロップダウン リストから [Multicast] を選択します。 [Multicast Group Address] テキスト ボックスが表示されます。 |
ステップ 4 | [Multicast Group Address] テキスト ボックスに、マルチキャスト グループの IP アドレスを入力します。 |
ステップ 5 | [Apply] をクリックして、変更を確定します。 |
ステップ 6 | [Multicast] をクリックして、グローバル マルチキャスト モードを有効にします。 |
パッシブ クライアントを設定するには、マルチキャスト-マルチキャストまたはマルチキャスト-ユニキャスト モードをイネーブルにする必要があります。
ステップ 1 |
[Controller]
> [General]
の順に選択して、[General] ページを開きます。
|
||
ステップ 2 | [AP Multicast Mode] ドロップダウン リストで、次のいずれかのオプションを選択します。 | ||
ステップ 3 |
[AP Multicast Mode]
ドロップダウン リストから [Multicast] を選択します。 [Multicast Group Address] テキスト ボックスが表示されます。
|
||
ステップ 4 | [Multicast Group Address] テキスト ボックスに、マルチキャスト グループの IP アドレスを入力します。 | ||
ステップ 5 | [Apply] をクリックして、変更を確定します。 | ||
ステップ 6 | [Multicast] をクリックして、グローバル マルチキャスト モードを有効にします。 |
ステップ 1 |
[Controller]
> [Multicast]
の順に選択して [Multicast] ページを開きます。
|
||
ステップ 2 |
[Enable Global Multicast Mode]
チェックボックスをオンにして、マルチキャスト モードを有効にします。 この手順では、マルチキャスト方法を使用してマルチキャスト パケットを CAPWAP マルチキャスト グループに送信するようにコントローラを設定します。
|
||
ステップ 3 | [Enable IGMP Snooping] チェックボックスをオンにして、IGMP スヌーピングを有効にします。 デフォルト値は [disabled] です。 | ||
ステップ 4 | IGMP タイムアウトを設定するための [IGMP Timeout] テキスト ボックスに、30 ~ 7200 秒の値を入力します。 | ||
ステップ 5 | [Apply] をクリックして、変更を確定します。 |
ステップ 1 | [WLAN] > [WLANs] > [WLAN ID] を選択し、[WLANs > Edit] ページを開きます。 デフォルトでは、[General] タブが表示されます。 |
ステップ 2 | [Advanced] タブを選択します。 |
ステップ 3 | [Passive Client] チェックボックスをオンにして、パッシブ クライアント機能を有効にします。 |
ステップ 4 | [Apply] をクリックして、変更を確定します。 |
ステップ 1 | コントローラ上でマルチキャストを有効にするには、次のコマンドを入力します。 |
ステップ 2 |
マルチキャストを使用して、アクセス ポイントにマルチキャストを送信するようにコントローラを設定するには、次のコマンドを入力します。 config network multicast mode multicast multicast_group_IP_address |
ステップ 3 | 無線 LAN でパッシブ クライアントを設定するには、次のコマンドを入力します。 |
ステップ 4 | WLAN を設定するには、次のコマンドを入力します。 |
ステップ 5 | 次のコマンドを入力して、変更を保存します。 |
ステップ 6 | 特定の WLAN のパッシブ クライアント情報を表示するには、次のコマンドを入力します。 |
ステップ 7 | パッシブ クライアントが AP に正しくアソシエートされているかどうか、およびパッシブ クライアントがコントローラで DHCP Required 状態に移行したかどうかを確認するには、次のコマンドを入力します。 |
ステップ 8 | クライアントの詳細情報を表示するには、次のコマンドを入力します。 |
ステップ 9 | 有線クライアントがクライアントとの接続を試みたときに、クライアントが RUN 状態に移行したかどうかをチェックするには、次のコマンドを入力します。 |
ステップ 10 | ARP 要求が有線側からワイヤレス側に転送されるかどうかを設定してチェックするには、次のコマンドを入力します。 |
クライアントが WLAN にアソシエートしようとする場合、プロセスで受信した情報からクライアント タイプを決定することができます。 コントローラは情報のコレクタとして機能し、必要なデータとともに最適な形式で ISE を送信します。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | [WLAN ID] をクリックします。 [WLANs > Edit] ページが表示されます。 |
ステップ 3 | [Advanced] タブをクリックします。 |
ステップ 4 | [Client Profiling] 領域では、次のことを実行できます。 |
ステップ 5 | [Apply] をクリックして、変更を確定します。 |
ステップ 6 | [Save Configuration] をクリックします。 |
(注) |
DHCP と HTTP の両方に基づいたクライアント プロファイルを設定するには、all パラメータを使用します。 |
デフォルトでは、コントローラは、管理インターフェイス上の IP アドレスからすべての RADIUS トラフィックを送信します。 つまり、WLAN にグローバル リストではなく、特定の RADIUS サーバが設定されている場合でも、使用される Identity は管理インターフェイスの IP アドレスです。
ユーザ別の WLAN フィルタリングを実行する場合は、APMAC:SSID 形式になるように RFC 3580 によって設定された callStationID を使用できます。 また、NAS-IP-Address 属性を使用することで、認証サーバ上のフィルタリングを WLAN ごとの送信元インターフェイス上にまで拡張できます。
WLAN ごとの RADIUS 送信元サポートを有効にすると、コントローラは、設定されている動的インターフェイスを使用して特定の WLAN のすべての RADIUS トラフィックを送信します。 また、それに応じて、RADIUS 属性が Identity に一致するように変更されます。 この機能は、各 WLAN が別個の L3 Identity を持つ可能性がある場合に、WLAN ごとの RADIUS トラフィックでコントローラを効果的に仮想化します。 この機能は、ACS ネットワーク アクセス制限、ネットワーク アクセス プロファイルなどで役立ちます。
この機能を通常の RADIUS トラフィック送信元や、アドレス送信元として管理インターフェイスを使用する一部の WLAN、および WLAN ごとの動的インターフェイスを使用するその他の WLAN に統合することができます。
AP グループまたは AAA オーバーライドが使用されると、送信元インターフェイスは WLAN インターフェイスのままとなり、新規の AP グループまたは RADIUS プロファイルの設定で指定されたインターフェイスにはなりません。
ステップ 1 | config wlan disable wlan-id コマンドを入力して、WLAN を無効にします。 | ||
ステップ 2 |
次のコマンドを入力して、WLAN ごとの RADIUS 送信元サポートを有効または無効にします。 config wlan radius_server overwrite-interface { enable | disable} wlan-id
|
||
ステップ 3 |
config wlan enable
wlan-id コマンドを入力して、WLAN を有効にします。
|
機能が有効または無効かどうかを確認するには、次のコマンドを入力します。
例次の例は、WLAN ごとの RADIUS 送信元サポートが WLAN 1 で有効であることを示しています。
WLAN Identifier.................................. 4 Profile Name..................................... example Network Name (SSID).............................. example Status........................................... Enabled MAC Filtering.................................... Disabled Broadcast SSID................................... Enabled AAA Policy Override.............................. Disabled Network Admission Control ... Radius Servers Authentication................................ Global Servers Accounting.................................... Global Servers Overwrite Sending Interface................... Enabled Local EAP Authentication......................... Disabled
ステップ 1 |
[WLANs]
を選択して、[WLANs] ページを開きます。 このページでは、コントローラ上で現在設定されているすべての WLAN およびリモート LAN が表示されます。 各 WLAN について、WLAN/リモート LAN ID、プロファイル名、タイプ、SSID、ステータス、およびセキュリティ ポリシーを表示できます。 WLAN/リモート LAN の合計数がページの右上隅に表示されます。 WLAN/リモート LAN のリストが複数ページにわたる場合は、ページ番号のリンクをクリックすることで、目的のページにアクセスできます。
|
||
ステップ 2 | ドロップダウン リストから [Create New] を選択し、[Go] をクリックして新規の Remote-LAN を作成します。 [WLANs > New] ページが表示されます。 | ||
ステップ 3 | [Type] ドロップダウン リストから、[Remote LAN] を選択してリモート LAN を作成します。 | ||
ステップ 4 | [Profile Name] テキスト ボックスに、このリモート WLAN に割り当てるプロファイル名に対する最大 32 文字の英数字を入力します。 プロファイル名は固有である必要があります。 | ||
ステップ 5 | [WLAN ID] ドロップダウン リストから、この WLAN の ID 番号を選択します。 | ||
ステップ 6 |
[Apply]
をクリックして、変更を確定します。 [WLANs > Edit] ページが表示されます。
|
||
ステップ 7 | [General] タブ、[Security] タブ、および [Advanced] タブ上でパラメータを使用してこのリモート LAN を設定します。 特定の機能を設定する手順については、この章の後の項を参照してください。 | ||
ステップ 8 |
[General] タブの [Status]
チェックボックスをオンにして、このリモート LAN を有効にします。 リモート LAN に対する設定変更が終了するまで、チェックボックスをオフにしておいてください。
|
||
ステップ 9 | [Apply] をクリックして、変更を確定します。 | ||
ステップ 10 | [Save Configuration] をクリックして、変更を保存します。 |
(注) |
リモート LAN 上の暗号化は、常に「none」になります。 |