FlexConnect ローカル スイッチングを使用した外部 Web 認証の導入ガイド

ダウンロード オプション

  • PDF     (330.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (305.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (439.8 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2017 年 12 月 8 日
Document ID:113605

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、さまざまな Web ポリシーに対して、外部 Web サーバと FlexConnect ローカル スイッチングを使用する方法について説明します。

    前提条件

    要件

    この設定を行う前に、次の要件が満たされていることを確認します。

    • FlexConnect アーキテクチャとアクセス ポイント(AP)に関する基本的な知識

    • 外部 Web サーバのセットアップと設定の方法に関する知識

    • DHCP サーバと DNS サーバのセットアップと設定の方法に関する知識

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • ファームウェア リリース 7.2.110.0 が稼働する Cisco 7500 シリーズ ワイヤレス LAN コントローラ(WLC)

    • Cisco 3500 シリーズ Lightweight アクセス ポイント(LAP)

    • Web 認証ログイン ページをホストする外部 Web サーバ

    • ワイヤレス クライアントに対するアドレス解決と IP アドレス割り当てに使用するローカル サイト上の DNS サーバおよび DHCP サーバ

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。この導入ガイドでは 7500 シリーズ WLC が使用されますが、この機能は 2500、5500、WiSM-2 のそれぞれの WLC でサポートされます。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

    表記法

    ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

    機能の概要

    この機能は、FlexConnect モードで AP から外部 Web サーバに対して Web 認証を実行する機能を、ローカルにスイッチングされるトラフィックを持つ WLAN(FlexConnect – ローカル スイッチング)を対象に拡張します。 WLC リリース 7.2.110.0 以前は、外部サーバに対する Web 認証は、一元的にスイッチングされるトラフィックを持つ WLAN(FlexConnect – 一元的スイッチング)を対象として、ローカル モードまたは FlexConnect モードの AP に対してサポートされていました。

    外部 Web 認証としても知られるこの機能は、FlexConnect ローカル スイッチング WLAN を対象に機能を拡張してコントローラが現在提供しているすべてのレイヤ 3 Web リダイレクト セキュリティ タイプをサポートしています。

    • Web 認証

    • Web パススルー

    • 条件付き Web リダイレクト

    • スプラッシュ ページ Web リダイレクト

    Web 認証とローカル スイッチング用に設定した WLAN について考えると、この機能の背景には、認証前用の FlexConnect アクセス コントロール リスト(ACL)を WLC レベルではなく AP レベルで直接配布および適用するというロジックがあります。この方法で、AP は、ACL によってローカルに許可されるワイヤレス クライアントから発信されるパケットをスイッチします。許可されないパケットは、CAPWAP トンネル経由で WLC に送信されます。一方、AP が有線インターフェイス経由でトラフィックを受信するとき、ACL が許可する場合は、ワイヤレス クライアントにそのトラフィックが転送されます。設定されている場合、パケットはドロップされます。クライアントが認証済みおよび承認済みになると、認証前用の FlexConnect ACL は削除され、すべてのクライアント データ トラフィックが許可され、ローカルでスイッチングされます。

    注:この機能は、クライアントがローカルにスイッチされるVLANから外部サーバに到達できることを前提として動作します。

    ewa-flex-guide-01.gif

    要約:

    • FlexConnect ローカル スイッチングと L3 のセキュリティのために設定された WLAN

    • FlexConnect ACL は認証前用の ACL として使用されます。

    • FlexConnect ACL を設定したら、Flex グループまたは個々の AP 経由で AP データベースにプッシュする必要があります。または、WLAN に適用することができます。

    • AP は、認証前用の ACL と一致するすべてのトラフィックをローカルにスイッチングすることを許可します。

    手順:

    この機能を設定するには、次の手順を実行します。

    1. FlexConnect ローカル スイッチング用に WLAN を設定します。

      ewa-flex-guide-02.gif

    2. 外部 Web 認証を有効にするには、ローカルにスイッチングされる WLAN のセキュリティ ポリシーとして Web ポリシーを設定する必要があります。これには次の 4 つのオプションのうちの 1 つが含まれます。

      • [Authentication]

      • パススルー

      • 条件付き Web リダイレクト

      • スプラッシュ ページ Web リダイレクト

      このドキュメントでは、次の Web 認証の例で説明します。

      ewa-flex-guide-03.gif

      最初の 2 つの方式は類似しており、設定の観点から見て、Web 認証方式としてグループ化できます。その後の 2 つ(条件付きリダイレクトおよびスプラッシュ ページ リダイレクト)は、Web ポリシーであり、Web ポリシー方式としてグループ化できます。

    3. ワイヤレス クライアントが外部サーバの IP アドレスに到達することを許可するように、認証前用の FlexConnect ACL を設定する必要があります。ARP、DHCP、および DNS トラフィックは自動的に許可されるため、指定する必要はありません。[Security] > [Access Control List] で、[FlexConnect ACLs]を選択します。次に、[Add]をクリックし、通常のコントローラ ACL として名前とルールを定義します。

      ewa-flex-guide-04.gif

      注:トラフィックのリバースルールを毎回作成する必要があります。

    4. FlexConnect ACL を作成したら適用する必要があります。これは、次の異なるレベルで適用できます。AP、FlexConnect グループおよび WLAN。最後のオプション(WLAN レベルでの Flex ACL)は、条件付きリダイレクトやスプラッシュ リダイレクトなどの Web ポリシー下における他の 2 つの方式の Web 認証と Web パススルー専用です。ACL は AP または Flex グループに適用できます。AP のレベルで割り当てられる ACL の例を次に示します。[Wireless] > [Select AP]を選択し、[FlexConnect] タブをクリックします。

      ewa-flex-guide-05.gif

      [External WebAuthentication ACLs]のリンクをクリックします。次に、特定の WLAN ID として ACL を選択します。

      ewa-flex-guide-06.gif

      同様に、Web ポリシーの ACL(たとえば、条件付きリダイレクトまたはスプラッシュ ページ リダイレクト)については、同じ [External WebAuthentication ACLs] リンクをクリックした後に、[WebPolicies] で [Flex Connect ACL] を選択します。これは、以下に示されています。

      ewa-flex-guide-07.gif

    5. ACL は、FlexConnect グループ レベルでも適用できます。これを行うには、[FlexConnect Group] の設定画面で、[WLAN-ACL mapping]タブを選択します。次に、適用したい WLAN ID と ACL を選択します。[Add] をクリックします。これは、AP のグループの ACL を定義するときに便利です。

      ewa-flex-guide-08.gif

      同様に、Web ポリシーの ACL(条件付きおよびスプラッシュページ Web リダイレクト)については、[WebPolicies]タブを選択する必要があります。

      ewa-flex-guide-09.gif

    6. Web 認証および Web パススルーの Flex ACL は、WLAN にも適用できます。これを行うには、[WLAN] > [Security] の [Layer 3] タブで [WebAuth FlexACL]のドロップダウンから [ACL] を選択します。

      ewa-flex-guide-10.gif

    7. 外部 Web 認証については、リダイレクト URL を定義する必要があります。これはグローバル レベルまたは WLAN レベルでできます。WLAN レベルの場合は、[Over-ride Global Config]のチェックマークをクリックし、URL を挿入します。グローバル レベルでは、[Security] > [Web Auth] > [Web Login Page]を選択します。

      ewa-flex-guide-11.gif

      制限:

      • Web 認証(内部または対外部サーバ)では、Flex AP が接続モードである必要があります。Web 認証は Flex AP がスタンドアロン モードの場合サポートされません。

      • Web 認証(内部または対外部サーバ)は、中央認証でのみサポートされます。ローカル スイッチング用に設定された WLAN にローカル認証が設定されている場合は、Web 認証を実行できません。

      • すべての Web リダイレクションは WLC レベルで実行され、AP レベルでは実行されません。

    関連情報

    TAC Authored

    シスコ エンジニア提供

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています