- はじめに
- アクセス ポイント機能の概要
- Web ブラウザ インターフェイスの使用方法
- コマンドライン インターフェイスの使用
- アクセス ポイントの最初の設定
- アクセス ポイントの管理
- 無線の設定
- 複数の SSID の設定
- スパニングツリー プロトコルの設定
- ローカル認証サーバとしてのアクセス ポイ ントの設定
- WLAN 認証および暗号化の設定
- 認証タイプの設定
- その他のサービスの設定
- RADIUS サーバと TACACS+ サーバの設定
- VLAN の設定
- QoS の設定
- フィルタの設定
- CDP の設定
- SNMP の設定
- リピータ/スタンバイ アクセス ポイントお よびワークグループ ブリッジ モードの設定
- ファームウェアと設定の管理
- SCEP の設定
- LLDP の設定
- L2TPv3 over UDP/IP の設定
- Ethernet over GRE の設定
- システム メッセージ ロギングの設定
- トラブルシューティング
- その他の AP 固有の設定
- プロトコル フィルタ
- サポート対象 MIB
- エラー メッセージおよびイベント メッ セージ
自律 Aironet アクセス ポイント Cisco IOS コンフィギュレーション ガイド - Cisco IOS リリース 15.3(3)JE 以降
偏向のない言語
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月17日水曜日
章のタイトル: アクセス ポイントの管理
アクセス ポイントの管理
MODE ボタンの無効化
コンソール ポートを搭載したアクセス ポイントの MODE ボタンは、[no] boot mode-button グローバル コンフィギュレーション コマンドで無効にできます。このコマンドを使用するとパスワードによるリカバリを防ぎ、権限のないユーザがアクセス ポイントの CLI にアクセスできないようにします。
このコマンドは、パスワードによるリカバリを無効にします。このコマンドを入力した後、アクセス ポイントの特権 EXEC モードのパスワードを紛失してしまうと、アクセス ポイントの CLI にアクセスし直すには、シスコの Technical Assistance Center(TAC)に連絡する必要があります。
MODE ボタンはデフォルトで有効に設定されています。特権 EXEC モードから、次の手順に従ってアクセス ポイントの MODE ボタンを無効にします。
|
|
|
|
|---|---|---|
MODE ボタンのステータスをチェックするには、特権 EXEC モードから show boot または show boot mode-button コマンドを実行します。設定の実行時には、ステータスが表示されません。show boot と show boot mode-button コマンドを実行すると、通常次のような応答が表示されます。
BOOT path-list: flash:/ap3g2-k9w7-mx.152-4.JA1/ap3g2-k9w7-mx.152-4.JA1
(注) 特権 EXEC のパスワードがわかっていれば、グローバル コンフィギュレーション コマンド boot mode-button を使用して、MODE ボタンを通常動作に復旧できます。
アクセス ポイントへの不正アクセスの防止
権限のないユーザがワイヤレス デバイスの設定を変更したり、設定情報を表示したりするのを防ぐことができます。通常は、ネットワーク管理者からワイヤレス デバイスへのアクセスを許可し、ローカル ネットワーク内の端末またはワークステーションから接続するユーザのアクセスは制限します。
ワイヤレス デバイスへの不正なアクセスを防ぐには、次のいずれかのセキュリティ機能を設定してください。
- ワイヤレス デバイスでローカルに保存されるユーザ名とパスワードの組み合わせ。この組み合わせによって、各ユーザはワイヤレス デバイスにアクセスする前に認証されます。また、特定の特権レベル(読み取り専用または読み取り/書き込み)をユーザ名とパスワードのそれぞれの組み合わせに指定できます。詳細については、“ユーザ名とパスワードのペアの設定” sectionを参照してください。デフォルトのユーザ名は Cisco、デフォルトのパスワードは Cisco です。ユーザ名とパスワードでは、大文字と小文字が区別されます。
(注) TAB、?、$、+、および [ は、パスワードには無効な文字です。
- RADIUS または TACACS+ セキュリティ サーバのデータベースに集中的に保存されたユーザ名とパスワードの組み合わせ。詳細については、“RADIUS によるアクセス ポイントへのアクセスの制御” sectionおよび“TACACS+ によるアクセス ポイントへのアクセスの制御” sectionを参照してください。
特権 EXEC コマンドへのアクセスの保護
ネットワークで端末のアクセス コントロールを行う簡単な方法は、パスワードを使用して権限レベルを割り当てることです。パスワード保護によって、ネットワークまたはネットワーク デバイスへのアクセスが制限されます。特権レベルは、ユーザがネットワーク デバイスにログインした後に発行できるコマンドを定義します。
(注) この項で使用されるコマンドの構文と使用方法の詳細については、リリース 12.3 の『Cisco IOS Security Command Reference』を参照してください。
この項では、コンフィギュレーション ファイルと特権 EXEC コマンドへのアクセスを制御する方法について説明します。内容は次のとおりです。
- デフォルトのパスワードおよび権限レベル設定
- スタティック イネーブル パスワードの設定または変更
- 暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
- ユーザ名とパスワードのペアの設定
- 複数の特権レベルの設定
デフォルトのパスワードおよび権限レベル設定
表 5-1 に、デフォルトのパスワードおよび権限レベル設定を示します。
|
|
|
|---|---|
デフォルトのパスワードは Cisco です。デフォルトはレベル 15 です(特権 EXEC レベル)。パスワードはコンフィギュレーション ファイルで暗号化されます。 |
|
デフォルトのイネーブル パスワードは Cisco です。デフォルトはレベル 15 です(特権 EXEC レベル)。パスワードは、暗号化されてからコンフィギュレーション ファイルに書き込まれます。 |
|
スタティック イネーブル パスワードの設定または変更
イネーブル パスワードは、特権 EXEC モードへのアクセスを制御します。
(注) グローバル コンフィギュレーション コマンド no enable password は、イネーブル パスワードを削除しますが、このコマンドを使用する場合は十分な注意が必要です。イネーブル パスワードを削除すると、EXEC モードからロックアウトされます。
スタティック イネーブル パスワードを設定または変更するには、特権 EXEC モードで次の手順を実行します。
次に、イネーブル パスワードを l1u2c3k4y5 に変更する例を示します。パスワードは暗号化されておらず、レベル 15 のアクセスが与えられます(従来の特権 EXEC モード アクセス)。
暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
セキュリティ レベルを強化するために、特にネットワークを超えるパスワードや Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバに保存されたパスワードについて、グローバル コンフィギュレーション コマンド enable password または enable secret を使用できます。コマンドの作用はどちらも同じです。このコマンドにより、暗号化されたパスワードを設定できます。特権 EXEC モード(デフォルト設定)または特定の権限レベルにアクセスするユーザは、このパスワードを入力する必要があります。
より高度な暗号化アルゴリズムが使用されるので、 enable secret コマンドを使用することを推奨します。
enable secret コマンドを設定した場合、このコマンドは enable password コマンドよりも優先されます。同時に 2 つのコマンドを有効にはできません。
イネーブルおよびイネーブル シークレット パスワードに暗号化を設定するには、特権 EXEC モードで次の手順を実行します。
イネーブルおよびイネーブル シークレット パスワードの両方が定義されている場合、ユーザはイネーブル シークレット パスワードを入力する必要があります。
特定の権限レベルのパスワードを定義する場合は、 level キーワードを使用します。レベルを指定してパスワードを設定したあと、特権レベルにアクセスする必要のあるユーザだけに、パスワードを通知してください。さまざまなレベルでアクセス可能なコマンドを指定する場合は、 privilege level グローバル コンフィギュレーション コマンドを使用します。詳細については、“複数の特権レベルの設定” sectionを参照してください。
パスワードの暗号化をイネーブルにすると、ユーザ名パスワード、認証キー パスワード、イネーブル コマンド パスワード、コンソールおよび仮想端末回線パスワードなど、すべてのパスワードに適用されます。
パスワードとレベルを削除するには、 no enable password [ level level ] または no enable secret [ level level ] グローバル コンフィギュレーション コマンドを使用します。パスワードの暗号化をディセーブルにするには、 no service password-encryption グローバル コンフィギュレーション コマンドを使用します。
次に、権限レベル 2 に対して暗号化パスワード $1$FaD0$Xyti5Rkls3LoyxzS8 を設定する例を示します。
ユーザ名とパスワードのペアの設定
ユーザ名とパスワードの組み合わせを設定できます。これは、ワイヤレス デバイスでローカルに保存されます。ユーザ名とパスワードの組み合わせは、回線またはインターフェイスに割り当てられ、各ユーザがワイヤレス デバイスにアクセスする際の認証に使用されます。権限レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定の権限レベルを、対応する権利および権限とともに割り当てることもできます。
ユーザ名ベースの認証システムを設定するには、特権 EXEC モードで次の手順を実行します。この認証システムでは、ログイン ユーザ名とパスワードが要求されます。
特定ユーザのユーザ名認証をディセーブルにするには、 no username name グローバル コンフィギュレーション コマンドを使用します。
パスワード チェックをディセーブルにし、パスワードなしでの接続を可能にするには、 no login ライン コンフィギュレーション コマンドを使用します。
(注) ユーザ名は少なくとも 1 つ設定する必要があります。また、ワイヤレス デバイスに対して Telnet セッションを開くように login local を設定する必要があります。no username コマンドでユーザ名だけを入力すると、ワイヤレス デバイスからロックアウトされることがあります。
あるいは、ライン コンフィギュレーション コマンド no login を使用して、Telnet でのユーザ名の検証を無効にすることもできます。その場合、ユーザ検証を行う AP にログインしてから、enable password(または enable secret)コマンドで特権 EXEC レベルを取得する必要があります。このレベルを Telnet ラインに対してデフォルトで取得することもできます。それには、コマンド privilege level 15 を使用します。
(注) no login コマンドと privilege level 15 コマンドの両方を使用すると、AP に接続するすべての Telnet クライアントに AP に対する完全な特権アクセスが割り当てられることになります。
複数の特権レベルの設定
デフォルトでは、Cisco IOS ソフトウェアにはユーザ EXEC モードと特権 EXEC モードという 2 つのパスワード セキュリティのモードがあります。各モードに、最大 16 個の階層レベルからなるコマンドを設定できます。複数のパスワードを設定することにより、ユーザ グループ別に特定のコマンドへのアクセスを許可することができます。
たとえば、多くのユーザに clear line コマンドへのアクセスを許可する場合、レベル 2 のセキュリティを割り当て、レベル 2 のパスワードを広範囲のユーザに配布できます。また、 configure コマンドへのアクセス制限を強化する場合は、レベル 3 のセキュリティを割り当て、そのパスワードを限られたユーザ グループに配布することもできます。
コマンドの特権レベルの設定
コマンド モードの権限レベルを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
コマンドをある権限レベルに設定すると、構文がそのコマンドのサブセットであるコマンドはすべて、そのレベルに設定されます。たとえば、 show ip route コマンドをレベル 15 に設定すると、個別に異なるレベルに設定しない限り、 show コマンドと show ip コマンドも自動的に特権レベル 15 に設定されます。
特定のコマンドについて、デフォルトの権限に戻すには、 no privilege mode level level command グローバル コンフィギュレーション コマンドを使用します。
configure コマンドを権限レベル 14 に設定し、レベル 14 のコマンドを使用する場合にユーザが入力するパスワードとして SecretPswd14 を定義する例を示します。
権限レベルへのログインおよび終了
指定した権限レベルにログインする、または指定した権限レベルを終了するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
[Easy Setup] の設定
[Easy Setup] を使用すると、一つの画面でネットワークと無線を設定できます。
ネットワーク設定を使用してアクセス ポイントを設定するには、次のフィールドに値を入力します。
- Hostname
- Server protocol(DHCP / Static)
- IP Address
- IP Subnet
- デフォルト ゲートウェイ
- IPv6 Protocol(DHCP / Autoconfig / Static IP)
- IPV6 address
- Username
- Password
- SNMP Community
- Current SSID list(アクセス ポイントに設定された SSID リスト)
無線設定を使用してアクセス ポイントを設定するには、次のフィールドを設定します。
– [Access point]:ルート デバイス。この設定は、どのアクセス ポイントにも適用できます。
– [Repeater]:非ルート デバイス。この設定も、どのアクセス ポイントにも適用できます。
– [Root Bridge]:この設定は、どのアクセス ポイントにも適用できます。
– [Non-Root Bridge]:この設定は、どのアクセス ポイントにも適用できます。
– [Workgroup Bridge]:この設定は、どのアクセス ポイントにも適用できます。
– [Scanner]:アクセス ポイントはネットワーク モニタリング デバイスとして機能します。継続的にスキャンを行い、このモードで無線 LAN に接続中の他の無線デバイスから検出した無線トラフィックをレポートします。すべてのアクセス ポイントは、スキャナとして設定できます。
– [Spectrum]:Spectrum Expert モードの設定を参照してください。
- [Optimize Radio Network]:無線デバイスの無線に対する事前設定を選択するか、設定をカスタマイズできます。
- [Aironet Extensions]:無線 LAN 上に Cisco Aironet 無線デバイスがある場合にのみ、この設定を有効にできます。
- チャネル
- 電源
工場出荷時設定にアクセス ポイントをリセットするには、[Factory Reset] をクリックします。アクセス ポイントのイメージをリロードするには、[Reboot AP] をクリックします。
Spectrum Expert モードの設定
Spectrum Expert モードは、AP3500、AP3600、AP2600、AP1550 シリーズなどのすべての CleanAir 対応のアクセス ポイントでサポートされます。専用スペクトル センサーとして設定すると、Spectrum Expert Connect 自律アクセス ポイントは Cisco Spectrum Expert に接続できます。Spectrum Expert モードは、独立したモードであり、モニタ モードのサブセットではありません。
Spectrum Expert モードを有効にするには、次の手順を実行します。
ステップ 1 [Spectrum Expert] アイコンをクリックします。
ステップ 2 [Network] > [Network Interface] を選択します。
ステップ 3 [Radio0-802.11n 2G.Hz] または [Radio0-802.11n 5G.Hz] をクリックします。
ステップ 5 [Spectrum] オプション ボタンをクリックします。
Spectrum Expert モードは、AP3500、AP3600、AP2600、AP1550 シリーズなどのすべての CleanAir 対応のアクセス ポイントでサポートされます。
アクセス ポイントを Spectrum Expert として設定するには、次のコマンドを使用します。
- AP(config)# interface dot11Radio 0
- AP(config-if)# station-role spectrum
- AP(config-if)# no shutdown
- AP# show spectrum status
Spectrum Expert は、Internet Explorer でのみサポートされます。Spectrum Expert を起動にする前に、次の設定を変更します。
ステップ 1 [Tools] > [Internet options] > [Security] > [custom level] > [ActiveX Controls & plug-ins] > [Initialize and script ActiveX controls not marked as safe for scripting] を選択します。
ステップ 2 [Enable] オプション ボタンをクリックします。
Your current security settings put computer at risk.
RADIUS によるアクセス ポイントへのアクセスの制御
この項では、Remote Authentication Dial-In User Service(RADIUS)を使用して、ワイヤレス デバイスの管理者アクセス権を制御する手順について説明します。RADIUS をサポートするようにワイヤレス デバイスを設定する手順の詳細は、Chapter13, “RADIUS サーバと TACACS+ サーバの設定”を参照してください。
RADIUS は詳細なアカウンティング情報を提供し、認証と許可のプロセスを柔軟に管理します。RADIUS は、AAA を介して実装され、AAA コマンドを使用してのみイネーブルにできます。
(注) この項で使用されるコマンドの構文と使用方法の詳細については、リリース 12.3 の『Cisco IOS Security Command Reference』を参照してください。
- RADIUS のデフォルト設定
- RADIUS ログイン認証の設定(必須)
- AAA サーバ グループの定義(任意)
- ユーザ特権アクセスおよびネットワーク サービスに関する RADIUS 許可の設定(任意)
- RADIUS の設定の表示
RADIUS のデフォルト設定
RADIUS および AAA は、デフォルトではディセーブルに設定されています。
セキュリティの失効を防止するため、ネットワーク管理アプリケーションを使用して RADIUS を設定することはできません。RADIUS を有効にすると、CLI 経由でワイヤレス デバイスにアクセスするユーザを認証できます。
RADIUS ログイン認証の設定
AAA 認証を設定するには、認証方式の名前付きリストを定義し、そのリストを各種のインターフェイスに適用します。この方式リストは、実行される認証のタイプと実行順序を定義したものです。定義されたいずれかの認証方式が実行されるようにするには、この方式リストを特定のインターフェイスに適用しておく必要があります。唯一の例外はデフォルトの方式リスト(偶然に default と名前が付けられている)です。デフォルトの方式リストは、明示的に定義された名前付きの方式リストを持つインターフェイスを除くすべてのインターフェイスに自動的に適用されます。
方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。認証に使用する 1 つまたは複数のセキュリティ プロトコルを指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。この処理のある時点で認証が失敗した場合(つまり、セキュリティ サーバまたはローカルのユーザ名データベースがユーザ アクセスを拒否すると応答した場合)、認証プロセスは停止し、それ以上認証方式が試行されることはありません。
ログイン認証を設定するには、特権 EXEC モードで次の手順を実行します。この手順は必須です。
|
|
|
|
|---|---|---|
aaa authentication login { default | list-name } method1 [ method2... ] |
|
|
line [ console | tty | vty ] line-number [ ending-line-number ] |
||
AAA をディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。AAA 認証をディセーブルにするには、 no aaa authentication login {default | list-name } method1 [ method2... ] グローバル コンフィギュレーション コマンドを使用します。ログインに関する RADIUS 認証をディセーブルにする、あるいはデフォルト値に戻すには、 no login authentication { default | list-name } ライン コンフィギュレーション コマンドを使用します。
AAA サーバ グループの定義
認証時用に AAA サーバ グループを使用して既存のサーバ ホストをグループ化するようにワイヤレス デバイスを設定できます。設定済みのサーバ ホストのサブセットを選択して、それを特定のサービスに使用します。サーバ グループは、選択されたサーバ ホストの IP アドレスのリストを含むグローバルなサーバ ホスト リストとともに使用されます。
サーバ グループには、同じサーバの複数のホスト エントリを含めることもできますが、各エントリが一意の ID(IP アドレスと UDP ポート番号の組み合わせ)を持っていることが条件です。この場合、個々のポートをそれぞれ特定の AAA サービスを提供する RADIUS ホストとして定義できます。同一の RADIUS サーバにアカウンティングなど同じサービスを実行する 2 つのホスト エントリを設定すると、2 番目に設定されたホスト エントリは最初のホスト エントリのフェールオーバー時のバックアップとして機能します。
定義したグループ サーバに特定のサーバを対応付けるには、 server グループ サーバ コンフィギュレーション コマンドを使用します。サーバを IP アドレスで特定することもできますし、任意指定の auth-port および acct-port キーワードを使用して複数のホスト インスタンスまたはエントリを特定することもできます。
AAA サーバ グループを定義し、そのグループに特定の RADIUS サーバを対応付けるには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ] [ timeout seconds ] [ retransmit retries ] [ key string ] |
リモート RADIUS サーバ ホストの IP アドレスまたはホスト名を指定します。
(注) キーは、RADIUS サーバで使用する暗号化キーに一致するテキスト ストリングでなければなりません。キーは常に radius-server host コマンドの最後のアイテムとして設定してください。先頭のスペースは無視されますが、キーの中間および末尾のスペースは使用されます。キーにスペースを使用する場合は、引用符がキーの一部分である場合を除き、引用符でキーを囲まないでください。 ワイヤレス デバイスが単一の IP アドレスと関連付けられた複数のホスト エントリを認識するように設定するには、このコマンドを必要な回数だけ入力します。その際、各 UDP ポート番号が異なっていることを確認してください。ワイヤレス デバイス ソフトウェアは、指定された順序でホストを検索します。各 RADIUS ホストで使用するタイムアウト、再送信回数、および暗号キーの値をそれぞれ設定してください。 |
|
特定の RADIUS サーバを定義済みのサーバ グループに対応付けます。AAA サーバ グループの RADIUS サーバごとに、このステップを繰り返します。 |
||
RADIUS ログイン認証をイネーブルにします。“RADIUS ログイン認証の設定”を参照してください。 |
特定の RADIUS サーバを削除するには、 no radius-server host { hostname | ip-address } グローバル コンフィギュレーション コマンドを使用します。サーバ グループをコンフィギュレーション リストから削除するには、 no aaa group server radius group-name グローバル コンフィギュレーション コマンドを使用します。RADIUS サーバの IP アドレスを削除するには、 no server ip-address サーバ グループ コンフィギュレーション コマンドを使用します。
次の例では、ワイヤレス デバイスは異なる 2 つの RADIUS グループ サーバ( group1 と group2 )を認識するように設定されます。group1 では、同じ RADIUS サーバ上の異なる 2 つのホスト エントリを、同じサービス用に設定しています。2 番目のホスト エントリが、最初のエントリのフェールオーバー バックアップとして動作します。
ユーザ特権アクセスおよびネットワーク サービスに関する RADIUS 許可の設定
AAA 認証によってユーザが使用できるサービスが制限されます。AAA 許可がイネーブルの場合、ワイヤレス デバイスはローカル ユーザ データベースまたはセキュリティ サーバ上にあるユーザ プロファイルから取得した情報を使用して、ユーザ セッションを設定します。ユーザは、ユーザ プロファイル内の情報で認められている場合に限り、要求したサービスのアクセスが認可されます。
グローバル コンフィギュレーション コマンド aaa authorization と radius キーワードを使用すると、ユーザのネットワーク アクセスを特権 EXEC モードに制限するパラメータを設定できます。
aaa authorization exec group radius local コマンドは、次の許可パラメータを設定します。
(注) 許可が設定されていても、CLI を使用してログインし、認証されたユーザに対しては、許可は省略されます。
特権 EXEC アクセスおよびネットワーク サービスに関する RADIUS 許可を指定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
ネットワーク関連のすべてのサービス要求に対して、ユーザが RADIUS 許可を受けるようにワイヤレス デバイスを設定します。 |
||
ユーザの RADIUS 許可でユーザの特権 EXEC アクセス権の有無を判断するように、ワイヤレス デバイスを設定します。 exec キーワードを指定すると、ユーザ プロファイル情報( autocommand 情報など)が返される場合があります。 |
||
許可をディセーブルにするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。
RADIUS の設定の表示
TACACS+ によるアクセス ポイントへのアクセスの制御
この項では、Terminal Access Controller Access Control System Plus(TACACS+)を使用してワイヤレス デバイスの管理者アクセス権を制御する手順について説明します。TACACS+ をサポートするようにワイヤレス デバイスを設定する手順の詳細は、Chapter13, “RADIUS サーバと TACACS+ サーバの設定”を参照してください。
TACACS+ は詳細なアカウンティング情報を提供し、認証と許可のプロセスを柔軟に管理します。TACACS+ は、AAA を介して実装され、AAA コマンドを使用してのみ有効にできます。
(注) この項で使用されるコマンドの構文および使用方法の詳細については、『Cisco IOS Security Command Reference』を参照してください。
TACACS+ のデフォルト設定
TACACS+ および AAA は、デフォルトではディセーブルに設定されています。
セキュリティ上の危険を回避するため、ネットワーク管理アプリケーションから TACACS+ を設定することはできません。TACACS+ を有効にすると、CLI 経由でワイヤレス デバイスにアクセスする管理者を認証できます。
TACACS+ ログイン認証の設定
AAA 認証を設定するには、認証方式の名前付きリストを定義し、そのリストを各種のインターフェイスに適用します。この方式リストは、実行される認証のタイプと実行順序を定義したものです。定義されたいずれかの認証方式が実行されるようにするには、この方式リストを特定のインターフェイスに適用しておく必要があります。唯一の例外はデフォルトの方式リスト(偶然に default と名前が付けられている)です。デフォルトの方式リストは、明示的に定義された名前付きの方式リストを持つインターフェイスを除くすべてのインターフェイスに自動的に適用されます。定義済みの方式リストは、デフォルトの方式リストに優先します。
方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。認証に使用する 1 つまたは複数のセキュリティ プロトコルを指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。ソフトウェアは、まずリストの最初の方式を使用してユーザを認証します。その方式が失敗すれば、方式リストの次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。この処理のある時点で認証が失敗した場合(つまり、セキュリティ サーバまたはローカルのユーザ名データベースがユーザ アクセスを拒否すると応答した場合)、認証プロセスは停止し、それ以上認証方式が試行されることはありません。
ログイン認証を設定するには、特権 EXEC モードで次の手順を実行します。この手順は必須です。
|
|
|
|
|---|---|---|
aaa authentication login { default | list-name } method1 [ method2... ] |
||
line [ console | tty | vty ] line-number [ ending-line-number ] |
||
AAA をディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。AAA 認証をディセーブルにするには、 no aaa authentication login {default | list-name } method1 [ method2... ] グローバル コンフィギュレーション コマンドを使用します。ログインに関する TACACS+ 認証をディセーブルにする、あるいはデフォルト値に戻すには、 no login authentication { default | list-name } ライン コンフィギュレーション コマンドを使用します。
特権 EXEC アクセスおよびネットワーク サービス用の TACACS+ 許可の設定
AAA 認証によってユーザが使用できるサービスが制限されます。AAA 許可がイネーブルの場合、ワイヤレス デバイスはローカル ユーザ データベースまたはセキュリティ サーバ上にあるユーザ プロファイルから取得した情報を使用して、ユーザ セッションを設定します。ユーザは、ユーザ プロファイル内の情報で認められている場合に限り、要求したサービスのアクセスが認可されます。
グローバル コンフィギュレーション コマンド aaa authorization と tacacs+ キーワードを使用すると、ユーザのネットワーク アクセスを特権 EXEC モードに制限するパラメータを設定できます。
aaa authorization exec group tacacs+ local コマンドは、次の許可パラメータを設定します。
(注) 許可が設定されていても、CLI を使用してログインし、認証されたユーザに対しては、許可は省略されます。
特権 EXEC アクセスおよびネットワーク サービスに関する TACACS+ 許可を指定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
ネットワーク関連のすべてのサービス要求に対して、ユーザが TACACS+ 許可を受けるようにワイヤレス デバイスを設定します。 |
||
ユーザの TACACS+ 許可でユーザの特権 EXEC アクセス権の有無を判断するように、ワイヤレス デバイスを設定します。 exec キーワードを指定すると、ユーザ プロファイル情報( autocommand 情報など)が返される場合があります。 |
||
許可をディセーブルにするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。
TACACS+ 設定の表示
イーサネットの速度およびデュプレックスの設定
ワイヤレス デバイスのイーサネット ポートに速度およびデュプレックスの設定を割り当てることができます。ワイヤレス デバイスのイーサネット ポート上の速度設定とデュプレックス設定のどちらについても、デフォルト設定の auto を使用することを推奨します。ワイヤレス デバイスがスイッチからインライン電源を受け取ったときに、速度設定またはデュプレックス設定が変更されるとイーサネット リンクがリセットされ、ワイヤレス デバイスがリブートします。ワイヤレス デバイスの接続先のスイッチのポートが auto に設定されていない場合、ワイヤレス デバイスのポートを half または full に変更してデュプレックスの不一致を修正することができます。これによってイーサネット リンクはリセットされなくなります。ただし、half または full から auto に戻すと、リンクがリセットされ、ワイヤレス デバイスがスイッチからインライン電源を受け取ると、そのワイヤレス デバイスはリブートします。
(注) ワイヤレス デバイスのイーサネット ポート上の速度およびデュプレックスの設定は、ワイヤレス デバイスの接続先のポート上のイーサネット設定と一致させる必要があります。ワイヤレス デバイスの接続先のポート上の設定を変更する場合は、これと一致するようにワイヤレス デバイスのイーサネット ポート上の設定も変更します。
イーサネットの速度とデュプレックスは、デフォルトでは auto に設定されています。特権 EXEC モードから、次の手順に従ってイーサネットの速度とデュプレックスを設定します。
|
|
|
|
|---|---|---|
アクセス ポイントの無線ネットワーク管理の設定
ワイヤレス デバイスを無線ネットワーク管理に対して有効にできます。無線ネットワーク マネージャ(WNM)は無線 LAN 上のデバイスを管理します。
ワイヤレス デバイスが WNM と対話するように設定するには、次のコマンドを入力します。
WDS アクセス ポイントと WNM の間の認証ステータスをチェックするには、次のコマンドを入力します。
not authenticated、authentication in progress、authentication fail、authenticated、security keys setup のいずれかのステータスをとります。
アクセス ポイントのローカル認証および許可の設定
サーバを介さずに AAA を操作できるように設定するには、ローカル モードで AAA を実装するようにワイヤレス デバイスを設定します。ワイヤレス デバイスは、認証と許可を処理します。この設定ではアカウンティング機能は使用できません。
(注) ワイヤレス デバイスを 802.1x 対応のクライアント デバイス用のローカル認証サーバとして設定し、メイン サーバのバックアップを提供したり、RADIUS サーバのないネットワーク上で認証サービスを提供したりできます。ワイヤレス デバイスをローカル認証サーバとして設定する方法の詳細は、“ローカル認証サーバとしてのアクセス ポイントの設定,”を参照してください。
特権 EXEC モードから、次の手順に従ってローカル AAA にワイヤレス デバイスを設定します。
AAA をディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。許可をディセーブルにするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。
認証キャッシュとプロファイルの設定
認証キャッシュとプロファイル機能を使用すると、アクセス ポイントがユーザのために認証/許可応答をキャッシュできるようになります。このため、次回の認証/許可要求を AAA サーバに送信しなくて済むようになります。
(注) この機能は、アクセス ポイントの Admin 認証だけにサポートされています。
この機能をサポートする次のコマンドが、Cisco IOS Release 12.3(7) に用意されています。
(注) これらのコマンドについては、『Command Reference for Cisco Aironet Access Points and Bridges』を参照してください。
次の例は、Admin 認証用に設定したアクセス ポイントの設定例です。認証キャッシュを有効に設定した状態の TACACS+ を使用しています。この例では TACACS サーバを使用していますが、アクセス ポイントは RADIUS を使用して Admin 認証用に設定できます。
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
username Cisco password 7 123A0C041104
username admin privilege 15 password 7 01030717481C091D25
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.134.229 auth-port 1645 acct-port 1646
!
aaa group server radius rad_mac
server 192.168.134.229 auth-port 1645 acct-port 1646
!
aaa group server radius rad_acct
server 192.168.134.229 auth-port 1645 acct-port 1646
!
aaa group server radius rad_admin
server 192.168.134.229 auth-port 1645 acct-port 1646
cache expiry 1
cache authorization profile admin_cache
cache authentication profile admin_cache
!
aaa group server tacacs+ tac_admin
server 192.168.133.231
cache expiry 1
cache authorization profile admin_cache
cache authentication profile admin_cache
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login default local cache tac_admin group tac_admin
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local cache tac_admin group tac_admin
aaa accounting network acct_methods start-stop group rad_acct
aaa cache profile admin_cache
all
!
aaa session-id common
!
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.133.207 255.255.255.0
no ip route-cache
!
ip http server
ip http authentication aaa
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
tacacs-server host 192.168.133.231 key 7 105E080A16001D1908
tacacs-server directed-request
radius-server attribute 32 include-in-access-req format %h
radius-server host 192.168.134.229 auth-port 1645 acct-port 1646 key 7 111918160405041E00
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
transport preferred all
transport output all
line vty 0 4
transport preferred all
transport input all
transport output all
line vty 5 15
transport preferred all
transport input all
transport output all
!
end
DHCP サービスを提供するためのアクセス ポイント の設定
次の項では、ワイヤレス デバイスを DHCP サーバとして機能させる方法について説明します。
DHCP サーバの設定
デフォルトでは、アクセス ポイントは、ネットワーク上の DHCP サーバから IP 設定を受信するように設定されています。アクセス ポイントを DHCP サーバとして機能するように設定し、IP 設定を、有線 LAN と無線 LAN 両方のデバイスに割り当てることもできます。
(注) アクセス ポイントを DHCP サーバとして設定すると、IP アドレスがそのサブネット上のデバイスに割り当てられます。このデバイスは、サブネット上の他のデバイスと通信しますが、それ以上先とは通信しません。サブネットより先にデータを送信する必要がある場合は、デフォルトのルータを割り当てる必要があります。デフォルト ルータの IP アドレスには、DHCP サーバとして設定したアクセス ポイントと同じサブネット上のものを設定してください。
DHCP 関連のコマンドとオプションの詳細は、リリース 12.3 の『Cisco IOS IP Configuration Guide』の「Configuring DHCP」の章を参照してください。「Configuring DHCP」の章を参照するには、次の URL をクリックしてください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fipr_c/ipcprt1/1cfdhcp.htm
特権 EXEC モードから、次の手順に従って、アクセス ポイントが DHCP サービスを提供するように設定し、デフォルト ルータを指定します。
デフォルト設定に戻すには、これらのコマンドの no 形式を使用します。
この例では、ワイヤレス デバイスを DHCP サーバとして設定する方法を示しています。IP アドレスの範囲は省略し、デフォルト ルータを割り当てています。
DHCP サーバ アクセス ポイントのモニタリングと維持
show コマンド
DHCP サーバとしてのワイヤレス デバイスに関する情報を表示するには、EXEC モードで 表 5-2 中のコマンドを入力します。
|
|
|
|---|---|
特定の DHCP サーバによって記録されているすべてのアドレス競合のリストを表示します。ワイヤレス デバイスの IP アドレスを入力すると、ワイヤレス デバイスによって記録されている競合が表示されます。 |
|
clear コマンド
DHCP サーバ変数を消去するには、特権 EXEC モードで 表 5-3 中のコマンドを使用します。
debug コマンド
DHCP サーバのデバッグを有効にするには、特権 EXEC モードで次のコマンドを使用します。
アクセス ポイントのセキュア シェルの設定
この項では、セキュア シェル(SSH)機能の設定方法について説明します。
(注) この項で使用されるコマンドの構文と使用方法の詳細は、『Cisco IOS Security Command Reference for Release 12.3』の「Secure Shell Commands」の項を参照してください。
SSH の概要
SSH は、レイヤ 2 デバイスまたはレイヤ 3 デバイスに安全なリモート接続を提供するプロトコルです。SSH には、SSH バージョン 1 と SSH バージョン 2 の 2 種類のバージョンがあります。このソフトウェア リリースでは、どちらの SSH バージョンもサポートします。バージョン番号を指定しないと、アクセス ポイントがデフォルトのバージョン 2 になります。
SSH はデバイスの認証時に強力な暗号化を行うため、Telnet よりもリモート接続の安全性が高くなります。SSH 機能では SSH サーバと SSH 統合クライアントを使用します。クライアントは次のユーザ認証方式をサポートしています。
- RADIUS(詳細については、“RADIUS によるアクセス ポイントへのアクセスの制御” sectionを参照してください)
- ローカル認証および許可(詳細については、“アクセス ポイントのローカル認証および許可の設定” sectionを参照)
SSH の詳細については、次の URL にある『Secure Shell Configuration Guide』を参照してください。
http://www.cisco.com/en/US/docs/ios-xml/ios/security/config_library/12-4t/secuser-12-4t-library.html
(注) このソフトウェア リリースの SSH 機能は IP Security(IPsec)をサポートしていません。
SSH の設定
SSH を設定する前に、Cisco.com から暗号ソフトウェア イメージをダウンロードします。詳細は、このリリースのリリース ノートを参照してください。
SSH の設定方法と SSH 設定の表示方法の詳細については、次の URL にある『Secure Shell Configuration Guide』を参照してください。
http://www.cisco.com/en/US/docs/ios-xml/ios/security/config_library/12-4t/secuser-12-4t-library.html
セキュア コピー プロトコルのサポート
セキュア コピー プロトコル(SCP)は、セキュリティのためにセキュア シェル(SSH)を使用してネットワーク上のホスト間のファイル転送をサポートします。Cisco IOS リリース 15.2(2)JB は、アクセス ポイント自体へのログイン中に、アクセス ポイントとの間の SCP ファイル転送をサポートします。
AAA 認証を使用してデータ転送が制限されます。SCP では、AAA 認証を使用してユーザ名とパスワードを確認して、転送中のデータの完全性と機密性を確保できます。
クライアント ARP キャッシングの設定
アソシエートされたクライアント デバイスの Address Resolution Protocol(ARP; アドレス レゾリューション プロトコル)キャッシュを保持するように、ワイヤレス デバイスを設定できます。ワイヤレス デバイスで ARP キャッシュを保持すると、無線 LAN のトラフィック負荷が軽減されます。ARP キャッシングはデフォルトで無効に設定されています。
クライアント ARP キャッシングの概要
ワイヤレス デバイスでの ARP キャッシングは、クライアント デバイスへの ARP 要求をワイヤレス デバイスで止めることによって、無線 LAN 上のトラフィックを軽減します。ワイヤレス デバイスは、ARP 要求をクライアント デバイスへ転送する代わりに、アソシエートされたクライアント デバイスに代わって ARP 要求に応答します。
ARP キャッシングを無効にすると、ワイヤレス デバイスはすべての ARP 要求をアソシエートされたクライアントに無線ポート経由で転送し、ARP 要求を受け取ったクライアントが応答します。一方、ARP キャッシングを有効にすると、ワイヤレス デバイスはアソシエートされたクライアントに代わって ARP 要求に応答し、クライアントへは要求を転送しません。ワイヤレス デバイスがキャッシュにない IP アドレスに向けた ARP 要求を受け取ると、ワイヤレス デバイスはその要求をドロップして転送しません。ワイヤレス デバイスは、ビーコンに情報エレメントを追加して、バッテリの寿命を延ばすためのブロードキャスト メッセージを安全に無視できることをクライアント デバイスに通知します。
オプションの ARP キャッシング
アクセス ポイントにシスコ製以外のクライアント デバイスがアソシエートされ、そのデバイスがデータを通さない場合、ワイヤレス デバイスがそのクライアントの IP アドレスを認識していない可能性があります。無線 LAN でこの状況が頻発する場合は、オプションの ARP キャッシングを有効にできます。ARP キャッシングがオプションの場合、ワイヤレス デバイスはワイヤレス デバイスに既知の IP アドレスのクライアントについては、その代理として応答しますが、不明なクライアント宛ての ARP 要求はすべて無線ポートから転送します。アソシエートされた全クライアントの IP アドレスを記憶すると、ワイヤレス デバイスはそれらのアソシエートされたクライアント以外に対する ARP 要求をドロップします。
ARP キャッシングの設定
特権 EXEC モードから、次の手順に従って、アソシエートされたクライアントの ARP キャッシュを保持するようにワイヤレス デバイスを設定します。
|
|
|
|
|---|---|---|
次の例に、アクセス ポイントで ARP キャッシングを設定する方法の例を示します。
システム日時の管理
ワイヤレス デバイスのシステムの時刻と日付は、Simple Network Time Protocol(SNTP; 簡易ネットワーク タイム プロトコル)を使用して自動的に管理することも、ワイヤレス デバイスに時刻と日付を設定して手動で管理することもできます。
(注) この項で使用されるコマンドの構文と使用方法の詳細は、リリース 12.3 の『Cisco IOS Configuration Fundamentals Command Reference』を参照してください。
Simple Network Time Protocol の概要
簡易ネットワーク タイム プロトコル(SNTP)とは、クライアント専用バージョンの簡易版 NTP です。SNTP は、NTP サーバから時間を受信するだけで、他のシステムに時刻サービスを提供することはできません。通常、SNTP は 100 ミリ秒以内の精度で時刻を提供しますが、NTP のような複雑なフィルタリングや統計メカニズムは提供しません。
SNTP は、設定済みのサーバからパケットを要求して受け入れるように設定するか、任意の送信元から NTP ブロードキャスト パケットを受け入れるように設定できます。複数の送信元が NTP パケットを送信している場合、最適な層にあるサーバが選択されますNTP とストラタムの詳細は、次の URL をクリックしてください。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_configuration_guide_chapter09186a00800ca66f.html#1001131
複数のサーバのストラタムが同じだった場合は、ブロードキャスト サーバよりも設定済みサーバが優先されます。これらの両方を満たすサーバが複数ある場合は、時刻パケットを最初に送信したサーバが選択されます。現在選択中のサーバからパケット受信が途絶えたり、または上記の基準に基づいてより最適なサーバが検出されたりしない限り、SNTP が新たにサーバを選択することはありません。
SNTP の設定
SNTP は、デフォルトでディセーブルになっています。アクセス ポイントで SNTP をイネーブルにするには、 表 5-4 に示すコマンドのいずれか、または両方をグローバル コンフィギュレーション モードで使用します。
|
|
|
|---|---|
各 NTP サーバについて、sntp server コマンドを 1 回入力します。NTP サーバは、アクセス ポイントからの SNTP メッセージに応答できるよう設定しておく必要があります。
sntp server コマンドと sntp broadcast client コマンドの両方を入力した場合、アクセス ポイントはブロードキャスト サーバからの時間を受け付けますが、同一のストラタムと判断して設定済みサーバからの時間の方を優先します。SNTP に関する情報を表示するには、show sntp EXEC コマンドを使用します。
手動での日時の設定
時刻ソースが利用できない場合は、システムの再起動後に手動で時刻と日付を設定できます。時刻は、次にシステムを再起動するまで正確です。手動設定は最後の手段としてのみ使用することを推奨します。ワイヤレス デバイスが同期できる外部ソースがある場合は、システム クロックを手動で設定する必要はありません。
システム クロックの設定
ネットワーク上に、NTP サーバなどの時刻サービスを提供する外部ソースがある場合、手動でシステム クロックを設定する必要はありません。
システム クロックを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
次に、システム クロックを手動で 2001 年の 7 月 23 日午後 1 時 32 分に設定する例を示します。
日時設定の表示
日時の設定を表示するには、 show clock [ detail ] 特権 EXEC コマンドを使用します。
システム クロックは、信頼性がある(正確であると信じられる)かどうかを示す authoritative フラグを維持します。システム クロックがタイミング ソースによって設定されている場合は、フラグを設定します。時刻が信頼性のないものである場合は、表示目的でのみ使用されます。クロックが信頼できず、 authoritative フラグも設定されていなければ、ピアの時刻が無効でも、フラグはピアがクロックと同期しないようにします。
タイム ゾーンの設定
手動でタイム ゾーンを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
| ワイヤレス デバイスは内部時間を協定世界時(UTC)で維持するため、このコマンドは表示専用で、時刻を手動で設定するときだけに使用されます。 |
||
clock timezone グローバル コンフィギュレーション コマンドの minutes-offset 変数は、現地のタイム ゾーンと UTC との時差が分単位である場合に使用できます。たとえば、カナダ大西洋沿岸のある区域のタイム ゾーン(大西洋標準時(AST))は UTC-3.5 です。この場合、3 は 3 時間、.5 は 50 % を意味します。この場合、必要なコマンドは clock timezone AST -3 30 です。
時刻を UTC に設定するには、 no clock timezone グローバル コンフィギュレーション コマンドを使用します。
夏時間の設定
毎年特定の曜日に夏時間が開始して終了する地域に夏時間を設定するには、特権 EXEC モードで次の手順を実行します。
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番目の部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月より後の場合は、システムでは南半球にいると見なされます。
次に、夏時間が 4 月の第一日曜の 2 時に始まり、10 月の最終日曜の 2 時に終わるように指定する例を示します。
ユーザの居住地域の夏時間が定期的なパターンに従わない(次の夏時間のイベントの正確な日時を設定する)場合は、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
clock summer-time zone date [ month date year hh : mm month date year hh : mm [ offset ]] clock summer-time zone date [ date month year hh : mm date month year hh : mm [ offset ]] |
||
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番目の部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月より後の場合は、システムでは南半球にいると見なされます。
夏時間をディセーブルにするには、 no clock summer-time グローバル コンフィギュレーション コマンドを使用します。
次に、夏時間が 2013 年 10 月 12 日の 2 時に始まり、2014 年 4 月 26 日の 2 時に終わるように設定する例を示します。
HTTP アクセスの定義
デフォルトでは、80 が HTTP アクセスに使用され、ポート 443 が HTTPS アクセスに使用されます。この値は、ユーザがカスタマイズできます。GUI を使用して HTTP アクセスを定義するには、次の手順に従います。
ステップ 1 アクセス ポイントの GUI から、[Services] > [HTTP] の順にクリックします。[Service: HTTP-Web server] 画面が表示されます。
ステップ 2 この画面に、目的の HTTP と HTTPS のポート番号を入力します。このポート番号フィールドに値を入力しないと、デフォルト値が使用されます。
CLI を使用して HTTP アクセスを定義するには、次の手順に従います。
ステップ 2 AP(config)# ip http port value
ステップ 3 AP(config)# ip http secure-port value
システム名とプロンプトの設定
ワイヤレス デバイスを識別するシステム名を設定します。デフォルトでは、システム名とプロンプトは ap です。
システム プロンプトを設定していない場合は、システム名の最初の 20 文字をシステム プロンプトとして使用します。大なり記号(>)が追加されます。プロンプトは、システム名が変更されると必ず更新されますが、グローバル コンフィギュレーション コマンド prompt を使用して手動でプロンプトを設定している場合は更新されません。
(注) この項で使用されるコマンドの構文と使用方法の詳細については、『Cisco IOS Configuration Fundamentals Command Reference』および『Cisco IOS IP and IP Routing Command Reference』ガイドを参照してください。
デフォルトのシステム名およびプロンプトの設定
システム名の設定
手動でシステム名を設定するには、特権 EXEC モードで次の手順を実行します。
DNS の概要
ドメイン ネーム システム(DNS)プロトコルは、DNS 分散型データベースを制御し、これによりホスト名を IP アドレスに対応付けできます。ワイヤレス デバイスに DNS を設定すると、 ping 、 telnet 、 connect 、などすべての IP コマンドおよび関連する Telnet サポート操作で、IP アドレスの代わりにホスト名を使用できます。
IP によって定義される階層型の命名方式では、デバイスを場所またはドメインで特定できます。ドメイン名は、ピリオド(.)を区切り文字として使用して構成されています。たとえば、シスコは、IP で com というドメイン名に分類される商業組織なので、ドメイン名は cisco.com となります。このドメイン内の File Transfer Protocol(FTP)システムなどの個々のデバイスは ftp.cisco.com のように識別されます。
IP ではドメイン名をトラッキングするために、ドメイン ネーム サーバという概念が定義されています。ドメイン ネーム サーバの役割は、名前から IP アドレスへのマッピングをキャッシュ(またはデータベース)に保存することです。ドメイン名を IP アドレスにマッピングするには、まずホスト名を特定し、ネットワーク上に存在するネーム サーバを指定し、DNS を有効にします。
DNS のデフォルト設定
表 5-5 に、DNS のデフォルト設定を示します。
|
|
|
|---|---|
DNS の設定
特権 EXEC モードから、次の手順に従って DNS を使用するようにワイヤレス デバイスを設定します。
ワイヤレス デバイスの IP アドレスをホスト名として使用する場合、この IP アドレスが使用されるため DNS クエリは作成されません。ピリオド(.)を含まないホスト名を設定すると、名前を IP アドレスにマッピングする DNS クエリが作成される前に、ホスト名の後にピリオドとデフォルトのドメイン名が追加されます。デフォルトのドメイン名は、グローバル コンフィギュレーション コマンド ip domain-name で設定される値です。ホスト名にピリオド(.)が含まれている場合、Cisco IOS ソフトウェアはホスト名にデフォルトのドメイン名を追加せずに、IP アドレスを検索します。
ドメイン名を削除するには、 no ip domain-name name グローバル コンフィギュレーション コマンドを使用します。ネームサーバのアドレスを削除するには、 no ip name-server server-address グローバル コンフィギュレーション コマンドを使用します。ワイヤレス デバイスで DNS を無効にするには、グローバル コンフィギュレーション コマンド no ip domain-lookup を使用します。
DNS の設定の表示
DNS 設定情報を表示するには、 show running-config 特権 EXEC コマンドを使用します。
(注) ワイヤレス デバイスに DNS が設定されている場合、show running-config コマンドを実行すると、サーバの名前ではなく IP アドレスが表示される場合があります。
バナーの作成
今日のお知らせ(MOTD)バナーとログイン バナーを設定できます。MOTD バナーはログイン時に、接続されたすべての端末に表示されます。すべてのネットワーク ユーザに影響するメッセージ(差し迫ったシステム シャットダウンの通知など)を送信する場合に便利です。
ログイン バナーも接続されたすべての端末に表示されます。表示されるのは、MoTD バナーの後で、ログイン プロンプトが表示される前です。
(注) この項で使用されるコマンドの構文と使用方法の詳細は、リリース 12.3 の『Cisco IOS Configuration Fundamentals Command Reference』を参照してください。
バナーのデフォルト設定
Message-of-the-Day ログイン バナーの設定
ワイヤレス デバイスにログインしたときに画面に表示される 1 行以上の行のメッセージ バナーを作成できます。
MoTD ログイン バナーを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
| c にはポンド記号(#)など希望する区切り文字を入力し、Return キーを押します。区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字の後ろの文字は廃棄されます。 |
||
MoTD バナーを削除するには、 no banner motd グローバル コンフィギュレーション コマンドを使用します。
次の例は、開始および終了区切り文字にポンド記号(#)を使用して、ワイヤレス デバイスに MOTD バナーを設定する方法を示しています。
ログイン バナーの設定
接続したすべての端末に表示されるログイン バナーを設定できます。バナーが表示されるのは、MoTD バナーの後で、ログイン プロンプトが表示される前です。
ログイン バナーを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
| c にはポンド記号(#)など希望する区切り文字を入力し、Return キーを押します。区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字の後ろの文字は廃棄されます。 |
||
ログイン バナーを削除するには、 no banner login グローバル コンフィギュレーション コマンドを使用します。
次の例は、開始および終了区切り文字にドル記号($)を使用して、ワイヤレス デバイスにログイン バナーを設定する方法を示しています。
自律 Cisco Aironet アクセス ポイントを Lightweight モードにアップグレードする方法
(注) GUI または CLI を使用して自律アクセス ポイントの Cisco IOS イメージのみをアップグレードする方法については、次の URL を参照してください。
http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a00809f0e94.shtml.
ネットワーク上で無線 LAN コントローラと通信できるよう、自律 Cisco Aironet アクセス ポイントを Lightweight モードにアップグレードするユーティリティが用意されています。アップグレード ユーティリティの使用方法の詳細については、次の URL にある『Upgrading Autonomous Cisco Aironet Access Points to Lightweight Mode』を参照してください。
http://www.cisco.com/en/US/docs/wireless/access_point/conversion/lwapp/upgrade/guide/lwapnote.html
自律アクセス ポイントを Lightweight モードに変換するには、アクセス ポイントに Telnet し、次のコマンドを実行します。
archive download-sw {/overwrite | /reload} tftp: //location/image-name
フィードバック