アクセス ポイントは、ブート時にコントローラを検索します。 コントローラが見つかると、そのコントローラに join し、最新のソフトウェア イメージと設定をコントローラからダウンロードして、無線を初期化します。 ダウンロードした設定は不揮発性メモリに保存されて、スタンドアロン モードで使用されます。
(注) |
最新のコントローラ ソフトウェアのダウンロード後に、アクセス ポイントをリブートしたら、アクセス ポイントを FlexConnect モードへ変換する必要があります。 これは、GUI または CLI を使用して行えます。
|
FlexConnect アクセス ポイントは、次のいずれかの方法でコントローラの IP アドレスを認識できます。
-
アクセス ポイントの IP アドレスが DHCP サーバから割り当て済みの場合は、通常の CAPWAP または LWAPP ディスカバリ プロセスを介してコントローラを検出します。
(注) |
OTAP は、6.0.196 以降のコードを使用するコントローラではサポートされなくなりました。
|
-
アクセス ポイントに固定 IP アドレスが割り当てられている場合は、DHCP オプション 43 以外の方法のディスカバリ プロセスを使用してコントローラを検出します。 アクセス ポイントがレイヤ 3 ブロードキャストでコントローラを検出できない場合は、DNS 解決を使用することをお勧めします。 DNS を使用すれば、固定 IP アドレスを持ち DNS サーバを認識しているアクセス ポイントは、最低 1 つのコントローラを見つけることができます。
-
CAPWAP と LWAPP のどちらのディスカバリ メカニズムも使用できないリモート ネットワークにあるコントローラを検出できるようにするには、プライミングを使用してください。 この方法を使用すると、アクセス ポイントの接続先のコントローラを(アクセス ポイントの CLI により)指定できます。
FlexConnect アクセス ポイントがコントローラに到達できるとき(接続モードと呼ばれます)、コントローラはクライアント認証を支援します。 FlexConnect アクセス ポイントがコントローラにアクセスできないとき、アクセス ポイントはスタンドアロン モードに入り、独自にクライアントを認証します。
(注) |
アクセス ポイント上の LED は、デバイスが異なる FlexConnect モードに入るときに変化します。 LED パターンの情報については、アクセス ポイントのハードウェア インストール ガイドを参照してください。
|
クライアントが FlexConnect アクセス ポイントにアソシエートするとき、アクセス ポイントではすべての認証メッセージをコントローラに送信し、WLAN 設定に応じて、クライアント データ パケットをローカルにスイッチする(ローカル スイッチング)か、コントローラに送信(中央スイッチング)します。 クライアント認証(オープン、共有、EAP、Web 認証、および NAC)とデータ パケットに関して、WLAN は、コントローラ接続の設定と状態に応じて、次のいずれかの状態になります。
-
中央認証、中央スイッチング:コントローラがクライアント認証を処理し、すべてのクライアント データはコントローラにトンネルを通じて戻されます。 この状態は、接続済みモードの場合にだけ有効です。
-
中央認証、ローカル スイッチング:コントローラがクライアント認証を処理し、FlexConnect アクセス ポイントがデータ パケットをローカルにスイッチします。 クライアントが認証に成功した後、コントローラは新しいペイロードと共にコンフィギュレーション コマンドを送信し、FlexConnect アクセス ポイントに対して、ローカルにデータ パケットのスイッチを始めるように指示します。 このメッセージはクライアントごとに送信されます。 この状態は接続モードにのみ適用されます。
(注) |
FlexConnect ローカル スイッチング、中央認証導入では、静的 IP アドレスを持つパッシブ クライアントが存在する場合は、[WLAN] > [Advanced] タブで [Learn Client IP Address] 機能を無効にすることをお勧めします。
|
-
ローカル認証、ローカル スイッチング:FlexConnect アクセス ポイントがクライアント認証を処理し、クライアント データ パケットをローカルにスイッチします。 この状態はスタンドアロン モードおよび接続済みモードの場合に有効です。
接続済みモードでは、アクセス ポイントは、ローカルで認証されたクライアントに関する最小限の情報をコントローラに提供します。 次の情報はコントローラでは使用できません。
-
ポリシー タイプ
-
アクセス VLAN
-
VLAN 名
-
サポートされるレート
-
暗号化の暗号
ローカル認証は、ラウンドトリップ遅延が 100 ms を超えず、最大伝送単位(MTU)が 576 バイトを下回らない、最小帯域幅が 128 kbps のリモート オフィス設定を維持できない場合に役立ちます。 ローカル認証で、認証機能はアクセス ポイント自体に存在します。 ローカル認証は、ブランチ オフィスの遅延要件を短縮できます。
(注) |
ローカル認証は、ローカル スイッチング モードの FlexConnect アクセス ポイントの WLAN 上のみで有効にできます。
ローカル認証に関する注意事項は、次のとおりです。
|
-
ゲスト認証は、FlexConnect ローカル認証を有効にした WLAN で実行できません。
-
コントローラ上でのローカル RADIUS はサポートされていません。
-
クライアントが認証されたら、ローミングはグループ内のコントローラおよび他の FlexConnect アクセス ポイントがクライアント情報に更新された後でのみサポートされます。
-
接続モードのローカル認証には、WLAN 設定が必要です。
(注) |
FlexConnect アクセス ポイントに接続している、ローカルにスイッチされたクライアントが IP アドレスを更新し、また join する場合に、クライアントは実行状態のまま残ります。 これらのクライアントはコントローラによって再認証されません。
|
-
認証ダウン、スイッチ ダウン:この状態になると、WLAN は既存クライアントのアソシエーションを解除し、ビーコン要求とプローブ要求の送信を停止します。 この状態はスタンドアロン モードおよび接続済みモードの両方の場合に有効です。
-
認証ダウン、ローカル スイッチング:WLAN は新しいクライアントからの認証の試行をすべて拒否しますが、既存クライアントを保持するために、ビーコン応答とプローブ応答の送信は続けます。 この状態はスタンドアロン モードでのみ有効です。
FlexConnect アクセス ポイントがスタンドアロン モードになると、オープン、共通、WPA-PSK、または WPA2-PSK の認証用に設定された WLAN は、「ローカル認証、ローカル スイッチング」状態になり、新しいクライアント認証を続行します。 コントローラ ソフトウェア リリース 4.2 以降のリリースでは、これは 802.1X、WPA-802.1X、WPA2-802.1X、または CCKM 用に設定された WLAN でも正しい設定です。ただし、これらの認証タイプでは外部の RADIUS サーバが設定されている必要があります。 FlexConnect アクセス ポイントでローカル RADIUS サーバを設定して、スタンドアロン モードで、またはローカル認証と組み合わせて 802.1X をサポートすることもできます。
その他の WLAN は、「認証停止、スイッチング停止」状態(WLAN が中央スイッチング用に設定されている場合)または「認証停止、ローカル スイッチング」状態(WLAN がローカル スイッチング用に設定されている場合)のいずれかになります。
FlexConnect アクセス ポイントがスタンドアロン モードではなく、コントローラに接続されている場合は、コントローラはプライマリ RADIUS サーバを使用します。コントローラがプライマリ RADIUS サーバにアクセスする順序は、[RADIUS Authentication Servers] ページまたは
config radius auth add CLI コマンドで指定されたとおりとなります(WLAN に対して別のサーバ順序が指定されている場合を除く)。 ただし、802.1X EAP 認証を使用する場合は、クライアントを認証するために、スタンドアロン モードの FlexConnect アクセス ポイント用のバックアップ RADIUS サーバが必要となります。
(注) |
コントローラはバックアップ RADIUS サーバを使用しません。 コントローラはローカル認証モードでバックアップ RADIUS サーバを使用します。
|
バックアップ RADIUS サーバは、個々のスタンドアロン モード FlexConnect アクセス ポイントに対して設定することも(コントローラの CLI を使用)、スタンドアロン モード FlexConnect アクセス ポイントのグループに対して設定することも(GUI または CLI を使用)できます。 個々のアクセス ポイントに対して設定されたバックアップ サーバは、FlexConnect に対するバックアップ RADIUS サーバ設定よりも優先されます。
FlexConnect アクセス ポイントがスタンドアロン モードに入ると、中央スイッチング WLAN 上にあるすべてのクライアントのアソシエートが解除されます。 Web 認証 WLAN の場合は、既存クライアントのアソシエートは解除されませんが、アソシエートされているクライアントの数がゼロ(0)に達すると、FlexConnect アクセス ポイントからのビーコン応答の送信が停止します。 また、Web 認証 WLAN にアソシエートしようとする新しいクライアントにアソシエート解除メッセージが送信されます。 ネットワーク アクセス制御(NAC)や Web 認証(ゲスト アクセス)などのコントローラに依存するアクティビティは無効になり、アクセス ポイントは侵入検知システム(IDS)レポートをコントローラに送信しません。 さらに、ほとんどの Radio Resource Management(RRM)機能(ネイバー ディスカバリ、ノイズ、干渉、ロード、およびカバレッジ測定、ネイバー リストの使用、不正阻止および検出)は無効化されます。 ただし、FlexConnect アクセス ポイントは、スタンドアロン モードで動的周波数選択をサポートします。
Web 認証がリモート サイトで FlexConnect のアクセス ポイントに使用されると、クライアントはリモート ローカル サブネットから IP アドレスを取得します。 最初の URL 要求を解決するため、DNS がサブネットのデフォルト ゲートウェイを介してアクセスできます。 コントローラが DNS クエリーの応答パケットを代行受信およびリダイレクトするには、これらのパケットは CAPWAP 接続を介してデータセンターでコントローラにアクセスする必要があります。 Web 認証プロセス中、FlexConnect のアクセス ポイントは DNS と DHCP メッセージのみを許可します。つまり、アクセス ポイントは、クライアントの Web 認証が完了するまで DNS 応答メッセージをコントローラに転送します。 クライアントの Web 認証が完了すると、すべてのトラフィックがローカルでスイッチされます。
(注) |
コントローラが NAC に対して設定されている場合、クライアントはアクセス ポイントが接続モードにある場合にのみアソシエートできます。 NAC が有効の場合、WLAN がローカル スイッチングに設定されている場合でも、有害な(または検疫された)VLAN を作成して、この VLAN に割り当てられているクライアントのデータ トラフィックがコントローラを通過できるようにする必要があります。 クライアントが検疫 VLAN に割り当てられると、そのクライアントのデータ パケットはすべて中央でスイッチングされます。 隔離 VLAN の作成の詳細については、「動的インターフェイスの設定」の項を参照してください。NAC アウトオブバンド サポートの設定の詳細については、「NAC アウトオブバンド統合の設定」の項を参照してください。
|
FlexConnect アクセス ポイントがスタンドアロン モードになると、次のようになります。
アクセス ポイントが ARP を確立できない場合は、次のことが起こります。
-
アクセス ポイントは 5 回の検出を試行し、それでもコントローラを検出できない場合は、新しい DHCP IP を取得するために、イーサネット インターフェイス上で DHCP を更新しようとします。
-
アクセス ポイントが、5 回再試行して失敗した場合、インターフェイスの IP アドレスを再度更新します。これは 3 回試行されます。
-
3 回の試行が失敗した場合、アクセス ポイントは固定 IP に戻ってリブートします(アクセス ポイントが固定 IP を使用して設定されている場合のみ)。
-
リブートの実行により、アクセス ポイントの不明なエラーの可能性が排除されます。
アクセス ポイントがコントローラとの接続を再確立すると、すべてのクライアントをアソシエート解除して、コントローラからの新しい設定情報を適用し、クライアントの接続を再度許可します。