無線ドメイン サービスに関する FAQ
内容
概要
このドキュメントでは、Wireless Domain Services(WDS; 無線ドメイン サービス)に関する FAQ の情報を記載しています。
Q. WDSとは何ですか。
A. WDSは、Cisco Structured Wireless Aware Network(SWAN)の一部です。WDSは、WLANクライアントのモビリティを強化し、WLANの導入と管理を簡素化するCisco IOS®ソフトウェアの機能の集合です。WDS は Cisco IOS ソフトウェアのアクセス ポイント(AP)用の新機能で、Cisco Catalyst 6500 シリーズ Wireless LAN Services Module(WLSM; ワイヤレス LAN サービス モジュール)の基盤となっています。WDS は次のような機能を有効にするコア機能です。
Fast secure roaming(FSR; 高速セキュアローミング)
Wireless LAN Solution Engine(WLSE)とのやり取り
Radio Management(RM)
WDS ベースのその他の機能を使用するには、事前に、WDS に参加している AP と、WDS として設定されているデバイスの関係を確立する必要があります。WDS の主な目的の一つは、認証サーバがクライアントを最初に認証し次第、ユーザのクレデンシャルをキャッシュすることです。その後の認証では、WDS は、キャッシュされている情報に基づいてクライアントの認証を行います。
Q. APをWDSとして設定するにはどうすればよいのですか。
A. APをWDSとして設定する方法に関しては、『ワイヤレスドメインサービスの設定』を参照してください。
Q. Cisco Structured Wireless-Aware Network(SWAN)WDSはどのプラットフォームで動作しますか。
A. Cisco Aironet AP、Cisco Catalystスイッチ、またはCiscoルータでSWAN WDSを実行できます。現在 SWAN の WDS をサポートしているプラットフォームは次のとおりです。
Aironet 1230 AG シリーズ AP
Aironet 1240AG シリーズ AP
Aironet 1200 シリーズ AP
Aironet 1130 AG シリーズ AP
Aironet 1100 シリーズ AP
Catalyst 6500 シリーズ ワイヤレス LAN サービス モジュール(WLSM)
Cisco 3800、3700 シリーズは、サービス ルータ(ISR)と、Cisco IOS バージョン 12.3(11)T 以降を実行している 2800 および 2600 シリーズ ISR の一部のモデルを統合します。
Q. APベースのWDSとスイッチベースのWDSの違いは何ですか。
A. APベースのWDSを使用する場合、Cisco SWANは次の機能をサポートします。
レイヤ 2(L2)の Fast Secure Roaming(FSR; 高速セキュアローミング)
スケーラブルな無線 LAN(WLAN)の管理
高度な Radio Management(RM)機能
拡張された無線セキュリティ
スイッチベースの WDS を使用した場合、SWAN では、次の機能がサポートされます。
L2/レイヤ 3(L3)の FSR
高度な RM 機能
エンドツーエンドのセキュリティ
キャンパスに WLAN を展開する場合の、エンドツーエンドの QoS(Quality Of Service)
Q.現在の無線LAN(WLAN)ネットワークでWDSを設定するにはどうすればよいのですか。
A. WDSを設定するには、1つのAPまたはWireless LAN Services Module(WLSM)をWDSとして指定する必要があります。WDS の AP は、WDS のユーザ名とパスワードを使用した認証で、認証サーバとの関係を確立する必要があります。認証サーバとして、外部 Remote Authentication Dial-In User Service(RADIUS)サーバまたは WDS AP のローカル RADIUS サーバ機能のどちらかを使用できます。WLSM はサーバの認証を必要としませんが、認証サーバとの関係は確立しておく必要があります。
Q.無線LAN(WLAN)ネットワークにおけるWDSデバイスの役割は何ですか。
A. WDSデバイスは、WLANで次のタスクを実行します。
WDS の機能をアドバタイズし、WLAN 内での最適な WDS デバイス選出の役割を担います。
WDS を使用するように WLAN を設定する場合は、1 つのデバイスをメインの WDS 候補として設定し、その他の 1 つ以上のデバイスをバックアップの WDS 候補として設定してください。メインの WDS デバイスがオフラインになると、バックアップの WDS デバイスの 1 つが、メインのデバイスの代わりを務めます。
サブネットワークのすべての AP の認証を行い、それぞれの AP とセキュアな通信チャネルを確立します。
サブネットワークの AP から無線データを収集し、このデータを集約して、ネットワークの Wireless LAN Solution Engine(WLSE)デバイスに転送します。
サブネットワークのすべてのクライアント デバイスを登録し、クライアント デバイスのセッション キーを確立して、クライアントのセキュリティ クレデンシャルをキャッシュします。
クライアントが別の AP にローミングした場合、WDS デバイスは、このクライアントのセキュリティ クレデンシャルを新しい AP に転送します。
Q. WDSとWLAN内のインフラストラクチャAPはどのように通信するのですか。
A. WDSとインフラストラクチャAPは、Wireless LAN Context Control Protocol(WLCCP)と呼ばれるマルチキャストプロトコルで通信します。 このマルチキャスト メッセージはルーティングできません。そのため、WDS と、関連するインフラストラクチャ AP は、同じ IP サブネットワーク内および同じ LAN セグメント上に存在している必要があります。WDS と Wireless LAN Solution Engine(WLSE)の間では、WLCCP が Transmission Control Protocol(TCP)と User Datagram Protocol(UDP)をポート 2887 で使用しています。WDS と WLSE が別々のサブネット上に存在する場合は、ネットワーク アドレス変換(NAT)などのプロトコルを使用したパケット変換が実行できません。
Q. 1300 AP/ブリッジをプライマリWDSとして設定できますか。
A. Cisco Aironet 1300 AP/ブリッジをプライマリWDSとして設定できません。1300 AP/ブリッジはこの機能に対応していません。1300 AP/ブリッジは、他のAPまたはWLSMがプライマリWDSとして機能するWDSネットワークに参加できます。
Q. 1つのWDSで管理できるインフラストラクチャAPはいくつですか。
A.無線インターフェイスが無効な場合、1つのWDS APで最大60のインフラストラクチャAPをサポートできます。WDS の AP として機能する AP が、クライアントの関連付けも行う場合は、サポートできる数は 30 に下がります。
Wireless LAN Services Module(WLSM)が搭載されているスイッチでは、最大 300 の AP をサポートします。
Q.高速セキュアローミング(FSR)とは何ですか。
A. FSRは、WDSが提供する機能の1つです。FSR は、Cisco Aironet 1200 および 1100 シリーズ AP と、シスコのクライアント デバイスやシスコ互換のクライアント デバイスの組み合せにより、サポートされます。FSR では、認証済みクライアント デバイスは再関連付け中の遅延を知覚されることなく、ある AP から別の AP へレイヤ 2 で安全にローミングできます。FSR では、遅延の影響を受けやすい次のようなアプリケーションをサポートします。
ワイヤレス Voice over IP(VoIP)
Enterprise Resource Planning(ERP)
Citrix ベースのソリューション
WDS は、接続をドロップせずに高速でセキュアなハンドオフ サービスを AP に提供します。このサービスは、ローミング時間が 150 ミリ秒未満であることが必要となる、音声などのアプリケーションのために用意されています。
Q.レイヤ3(L3)ローミングとは何ですか。
A.レイヤ2(L2)ローミングでは、無線クライアントが有線側の同じサブネットワークの一部である2つのAP間でローミングします。AP ベースの WDS では、この機能が提供されます。AP ベースの WDS を使用する場合は、AP を同じ VLAN 内に設定する必要があります。
L3 ローミングの場合、無線クライアントのローミングは、異なる 2 つのサブネットワークに存在する 2 つの AP 間で実行されます。したがって、クライアントのローミングは、有線側の異なる 2 つの VLAN 間で実行されます。このため、AP ベースの WDS で作成するような、キャンパス全体をカバーする VLAN を作成する必要がありません。クライアント デバイスでは、異なる L3 サブネットワークに存在する AP へのローミングを実行するために、multipoint Generic Routing Encapsulation(mGRE; マルチポイント総称ルーティング カプセル化)トンネルを使用します。ローミングを実行するクライアントは、IP アドレスを変更する必要がなく、ネットワークに接続された状態を保ちます。
Q. WDS対応の無線LAN(WLAN)ネットワークにおけるWireless LAN Solution Engine(WLSE)の役割は何ですか。
A. APおよびオプションで、シスコのクライアントデバイスまたはシスコ互換のクライアントデバイスは、1つのサブネットワーク内で無線周波数(RF)を測定します。Cisco SWAN の WDS では、測定結果を集約し、分析のために CiscoWorks WLSE に転送します。この測定結果を基にして、CiscoWorks WLSE で次の機能が実行できます。
不正な AP や、他のデバイスからの干渉の検出
注:WLSEで表示できる不正の最大数は5000です。WLSE がこの不正制限に到達すると、「Limit of Infrastructure/Ad-hoc rogues tracking」というエラー メッセージが表示されます。これらの不正 AP を WLSE から削除するには、[IDS] > [Manage Rogues] に移動して、[Select *ALL*] と [Delete] オプションを選択します。
環境内の不明(不正)な無線機の数が 5000 を超えた場合は、再度この数に到達すると同じ警告メッセージが表示されます。これを解決する方法は、そのような無線機を管理するか、フレンドリーとしてマークするかのどちらかです。
サイト サーベイの支援
最適なチャネルと電力レベルの設定のための WLAN のセルフヒーリングのサポート
Q. Wireless LAN Services Module(WLSM)でWDSを使用する利点は何ですか。
A.スイッチベースのWDSとWLSMの導入により、レイヤ3(L3)高速セキュアローミング(FSR)が促進され、キャンパス内のL3モビリティに対する拡張性の高いソリューションが提供されます。スイッチベースの WDS では、WLSM ブレードの WDS の機能を中央スイッチで集中管理するため、次の利点があります。
WDS の拡張性の向上:キャンパス無線 LAN(WLAN)ネットワーク全体の拡張性が 300 台の AP と 6000 人のユーザに増加します。
設計と実装の簡易化:VLAN がキャンパス ネットワークに拡張されません。multipoint Generic Routing Encapsulation(mGRE)のアーキテクチャを使用すると、既存のネットワークの有線インフラストラクチャに変更を加える必要がありません。
大規模 WLAN 導入の管理容易性:このソリューションは、セキュリティ ポリシーと Quality of Service(QoS)ポリシーを適用する有線ネットワークへの WLAN 制御とユーザ データの両方の単一入力点を提供します。
フロア間および複数の建物間の L3 モビリティ
Cisco Catalyst 6500 の高度な機能の実現(Cisco Catalyst 6500 には、その他の Catalyst 6500 サービス モジュールも含みます)
Catalyst 6500 プラットフォームとの統合による、エンドツーエンドのセキュリティおよび QoS の機能拡張
Q. WDSのRadio Management(RM)機能とは何ですか。
A. WDS対応のAPは、他のAPからの無線周波数(RF)統計情報のアグリゲータとしても機能します。WDS 対応 AP は、不正な AP を識別するために、この統計情報を Wireless LAN Solution Engine(WLSE)に送信します。RF のモニタを使用すれば、WLSE で無線受信可能範囲のマップを作成できます。また、WLSE では、サイト サーベイを実行したり、カバーされていないエリアを識別するために、既存の AP を使用します。ソフトウェアにフロア プランをインポートして、追加の AP が必要なエリアを簡単に割り出すこともできます。
Q. Cisco Aironet APは、無線/無線周波数(RF)環境をスキャンしながらクライアントをサポートできますか。
A.はい、Cisco APは多機能です。クライアントのサポートに加えて、電波/RF のモニタも行います。WDS として設定された AP に関連付けるクライアントの数を増やさないことをお勧めします。
Q. WDSはアカウンティング機能を実行できますか。
A.いいえ。WDSは認証を実行できますが、アカウンティングは実行できません。アカウンティングは完全に独立しているため、それ専用の RADIUS サーバが必要です。
Q. CCKMを使用してWDSを設定するために、どのような暗号スイートがサポートされますか。Extensible Authentication Protocol-Flexible Authentication through Secured Tunnel(EAP-FAST)は、Cisco CKM と互換性がありますか。どのような組み合せを使用すればよいでしょうか。
A. Cisco CKMを使用するには、暗号スイートを使用する必要があります。次の暗号スイートの組み合わせが CCKM でサポートされます。
encryption mode ciphers wep128
encryption mode ciphers wep40
encryption mode ciphers ckip
encryption mode ciphers ckip-cmic
encryption mode ciphers cmic
encryption mode ciphers tkip
EAP-FAST/Cisco CKM は、Cisco Aironet 350 カードでサポートされていますが、近日中に、Aironet CB21AG カードでもサポートされる予定です。暗号化を有効にするコマンドは、次のとおりです。
encryption vlan 1 mode ciphers tkip wep128EAP-FAST では、設定されている WEP キーは使用されません。EAP-FAST では、ダイナミック キーが使用されます。
Q. authentication key-management cckm optionalコマンドは、高速ローミングチェックが行われたAironetクライアントと、高速ローミングチェックが行われていないAironetクライアントの両方で機能しますか。
A. Cisco Centralized Key Management(CKM)をオプションに設定した場合、この設定は、高速ローミングがチェックされているAironetクライアントと、高速ローミングがチェックされていないクライアントの両方で機能します。
Q. WLSMがユーザクレデンシャルをキャッシュする期間はどのくらいですか。
A.キャッシュ時間はクライアントの種類によって異なります。AP とモバイル ノード(MN)間にキープ アライブが存在します。これは AP 設定とクライアントのタイプによって異なります。シスコ製クライアントの場合は、AP がクライアントの不在を迅速に検出し、そのアソシエーション リストを残します。そのため、クライアントは WDS の MN リストに約 10 分間孤立状態として掲載されます。
サード パーティ製クライアントの場合は、AP でのキープ アライブ タイムアウトが 30 分と非常に長い可能性があります。
基本的に、シスコ製クライアントが 10 分間どの AP の dot11 アソシエーション テーブルにも存在しなかった場合は、再認証が必要です。これは、キャッシュされたユーザに基づいてインフラストラクチャ AP ではなく認証サーバに送信されることを意味します。非シスコ製クライアントが 10 ~ 30 分間どの AP の dot11 アソシエーション テーブルにも存在しなかった場合は、再認証が必要です。
Q. APベースのWDSを使用するWDSに、60を超えるAPを設定できますか。
A. 1つのプライマリWDSで60を超えるAPを使用しないでください。AP が 60 を超えると、CPU 使用率の問題が発生する可能性があります。複数のプライマリWDSを設定できますが、それらは異なるサブネットワーク上にある必要があります。たとえば、次のように配置します。
10.10.10.10の1つのプライマリWDSと30のAP
10.10.20.20の別のプライマリWDSと30のAP
このようなケースでは、WDS ドメイン間で高速ローミングが実行できないという問題があります。
Q. WDSのバックアップ候補はいくつありますか。WDS のバックアップ候補を、WDS の AP として機能させたまま、プライマリ WDS に情報を報告させることはできますか。
A. WDSバックアップ候補の数に制限はありません。はい。バックアップ候補は、プライマリWDSに報告するAPとして機能します。また、プライマリ WDS の AP だけが、WLSE と通信するために、WLSE セキュリティ キーを確立し、WLSE への登録を行います。プライマリ WDS に障害が発生した場合にだけ、バックアップ WDS が、アクティブな WDS の AP の役割を引き継ぎ、WLSE への登録とセキュリティ キーの確立を実行します。プライマリWDSがアクティブである限り、バックアップWDSは、プライマリWDSに報告する通常のAPとして機能します。
Q. WDS APを3台使用していて、すべて障害が発生した場合、WDS情報のみに影響しますか。それとも、すべてのAPとクライアントに影響しますか。つまり、WDS は、無線ネットワークの障害ポイントなのでしょうか。
A.プライマリWDSに障害が発生すると、すべてのAPも障害が発生します。ただし、AP が単独で動作するのに必要なすべての設定が AP に行われている場合は、WDS デバイスで障害が発生すると、WDS を使用せずに機能し始めます。
Q.あるサブネットワークでは、WDSがプライオリティ200に、WDSがプライオリティ100に設定されています。プライオリティ200のプライマリWDSに障害が発生した場合、プライオリティ100のWDSがサブネットワークのプライマリになりますか。
A.この場合、このWDSが同じサブネットワーク上にある場合、プライオリティが100のプライマリWDSがプライマリになります。このWDSが別のサブネットワークにある場合、プライマリになりません。
Q. Cisco 1200 APでshow iapp rogue-ap-listコマンドを実行すると、ワイヤレスLANソリューションエンジン(WLSE)が導入されていない場合に有用な情報が表示されますか。
A.いいえ。このコマンドは、WLSEと組み合わせたり、WLSEでLocation Managerを使用する場合にのみ動作します。
Q. WDS用にCisco AP1200が設定されています。AP がハングして、コンソールや Telnet での応答がなくなり、電源をオフ/オンしないと回復しません。ところが、AP がクラッシュしているわけではありません。なぜ、このような現象が発生するのでしょうか。
A.この問題は、Cisco Bug ID CSCsc01706(登録ユーザ専用)によって発生します。
複数の無線クライアントが関連付けやローミングを実行しようとした場合に、WDS の AP でだけ、この問題が発生します。この問題は、Cisco IOS ソフトウェア リリース 12.3(4)JA 以降で発生しますが、ほとんどのケースは、Cisco IOS ソフトウェア リリース 12.3(7)JA で報告されています。Wireless LAN Solution Engine(WLSE)が MAC スプーフィング イベントで Simple Network Management Protocol(SNMP)クエリを送信すると、この現象が発生します。WDS AP では、2 台以上の AP の MAC スプーフィング イベントの数が記録されます。この問題を解決するには、Cisco IOS ソフトウェア リリース 12.3(8)JA 以降にアップグレードしてください。
複数の無線クライアントが関連付けやローミングを実行しようとした場合に、WDS の AP でだけ、この問題が発生します。この問題は、Cisco IOS ソフトウェア リリース 12.3(4)JA 以降で発生しますが、ほとんどのケースは、Cisco IOS ソフトウェア リリース 12.3(7)JA で報告されています。Wireless LAN Solution Engine(WLSE)が MAC スプーフィング イベントで Simple Network Management Protocol(SNMP)クエリを送信すると、この現象が発生します。WDS AP では、2 台以上の AP の MAC スプーフィング イベントの数が記録されます。この問題を解決するには、Cisco IOS ソフトウェア リリース 12.3(8)JA 以降にアップグレードしてください。
Q.リピータAPはWDSをサポートできますか。
A.リピータアクセスポイントはWDSをサポートしていません。リピータ アクセス ポイントを WDS 候補として設定しないでください。また、WDS アクセス ポイントを、イーサネット障害時にリピータ モードに戻るように設定しないでください。
Q. 350シリーズのAPをWDSアクセスポイントとして設定できますか。
A. 350シリーズのアクセスポイントをWDSアクセスポイントとして設定することはできません。ただし、WDS アクセス ポイントを使用するように 350 シリーズ アクセス ポイントを設定できます。
関連情報
フィードバック