FlexConnect ワイヤレスブランチコントローラ導入ガイド

ダウンロードオプション

PDF (6.6 MB)
Adobe Reader を使ってさまざまなデバイスで表示

Updated: 2018 年 8 月 10 日

Document ID:1461239948577212

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

FlexConnect ワイヤレスブランチコントローラ導入ガイド

Table of Contents

FlexConnect ワイヤレスブランチコントローラ導入ガイド

はじめに

サポートされるアクセスポイント

FlexConnect のアーキテクチャ

FlexConnect モードをサポートしているコントローラ

アクセスポイントの制御トラフィックを中央で集中管理する利点

クライアントデータトラフィックを分散する利点

FlexConnect の動作モード

WAN の要件

ワイヤレスブランチネットワークの設計

主要な設計要件

概要

利点

ブランチネットワーク設計に対応する機能

機能マトリックス

AP グループ数

WLC からの設定

まとめ

FlexConnect グループ

FlexConnect グループの主な目的

バックアップ RADIUS サーバのフェールオーバー

ローカル認証

ローカル EAP（ローカル認証の続行）

CCKM/OKC 高速ローミング

WLC からの FlexConnect グループの設定

CLI を使用した検証

FlexConnect VLAN オーバーライド

まとめ

手順

制限事項

FlexConnect VLAN に基づく中央スイッチング

まとめ

手順

制限事項

FlexConnect ACL

まとめ

手順

制限事項

FlexConnect スプリットトンネリング

まとめ

手順

制限事項

耐障害性

まとめ

制限事項

WLAN ごとのクライアント制限

主な目的

制限事項

WLC の設定

Cisco Prime 経由の設定

ピアツーピアブロック

まとめ

手順

制限事項

AP イメージの事前ダウンロード

まとめ

手順

制限事項

FlexConnect AP イメージのスマートアップグレード

まとめ

手順

制限事項

FlexConnect モードでの自動 AP 変換

手動モード

自動変換モード

ローカルスイッチング WLAN のための FlexConnect WGB/uWGB サポート

まとめ

手順

制限事項

RADIUS サーバを増設した場合のサポート

まとめ

手順

制限事項

拡張ローカルモード（ELM）

FlexConnect でのゲストアクセスサポート

PEAP、EAP-TLS 認証のサポート

EAP-TLS

EAP-TLS の証明書の生成

FlexConnect AP での EAP-TLS の設定

AP 上の証明書ファイル

クライアント設定

クライアント証明書

show コマンド

EAP-PEAP

ユーザの作成

クライアント設定

show コマンド

FlexConnect AP での PEAP と EAP-TLS の CLI サポート

ガイドライン

FlexConnect グループレベルでの WLAN-VLAN マッピング

WLAN-VLAN マッピングの継承

GUI の設定

CLI 設定

ガイドライン

クライアント ACL サポート

クライアント ACL の概要

クライアント ACL を設定する手順

CLI 設定

ガイドライン

FlexConnect ローカルスイッチングの VideoStream

はじめに

使用されるコンポーネント

サポートされているワイヤレスハードウェアおよびソフトウェア

動作理論

VideoStream

ストリームアドミッション

マルチキャストからユニキャストへ

クライアントに対する高度なビデオの拡張性

スイッチの設定

コントローラの設定

メディアストリーム設定の追加

VideoStream の有効化：WLAN

VideoStream 機能の確認

制限事項

show コマンド：コントローラ

Show コマンドと Debug コマンド：AP

FlexConnect の展開までの時間の短縮

FlexConnect + ブリッジモード

デフォルト FlexConnect グループ

はじめに

デフォルトの FlexConnect グループでサポートされている機能

デフォルトの FlexConnect グループでサポートされていない機能

PnP でのデフォルトの FlexConnect グループ

デイゼロセットアップのシナリオ

デイ 1 の参加シナリオ

FlexConnect グループのデフォルトの Web UI

アップグレードまたはダウングレードの動作

CLI コマンド

Flex Connect AP での IPv4 DNS フィルタリング

機能の説明と機能の動作

GUI からの設定手順

次のコントローラ CLI を使用して ACL を設定します。

IPv6 Flex Connect の事前認証 ACL と DNS サポート（リリース 8.8）

Flex Connect IPv6 ACL の GUI 設定手順

Flex Connect IPv6 ACL CLI の設定コマンド：

リリース 8.8 の Auto-LAG 機能の概要

Auto LAG 機能の設定手順

WLC の設定

8.8 Auto LAG 機能の管理

SNMP

Web リンク

用語

FAQ

シスコサポートコミュニティ：話題のトピック

関連情報

FlexConnect ワイヤレスブランチコントローラ導入ガイド

最終更新日：2018 年 7 月

はじめに

このドキュメントでは、Cisco Flex Connect AP を導入する方法について説明します。このドキュメントの目的は以下のとおりです。

Cisco FlexConnect ソリューションのさまざまなネットワークエレメントを、それらの通信フローとともに説明する。

Cisco FlexConnect ワイヤレスブランチソリューションを設計するための一般的な導入ガイドラインを提供する。

Cisco WLC では、最大 2000 のブランチロケーションにある Flex Connect ワイヤレスアクセスポイントを管理可能です。IT マネージャはデータセンターから、最大 6000 のアクセスポイント（AP）および最大 64,000 のクライアントを設定、管理、トラブルシューティングできます。Cisco Flex Connect を導入すると、セキュアなゲストアクセス、Payment Card Industry（PCI）コンプライアンスに対する違反者の検出、およびインブランチ（ローカルでスイッチされる）Wi-Fi 音声およびビデオがサポートされます。

次の表に、Flex 3504、5520、8540、Mobility Express および vWLC コントローラでの FC スケーラビリティの違いを示します。

サポートされるアクセスポイント

アクセスポイント

Wave-1 AP：3700、2700、1700、702、702W、1530、1570

Wave-2 AP：1800 シリーズ、2800 シリーズ、3800 シリーズ、4800 シリーズ（リリース 8.7.5 以降）、1540、1560

FlexConnect のアーキテクチャ

図 1 一般的なワイヤレスブランチのトポロジ

FlexConnect は、ブランチオフィスとリモートオフィスに導入されるワイヤレスソリューションです。

FlexConnect ソリューションでは、次の作業を行うことができます。

データセンターからの AP のトラフィックの集中制御および管理。

各ブランチオフィスでのクライアントデータトラフィックの分散。

– 最も効率的な方法で各トラフィックを宛先まで送信します。

FlexConnect モードをサポートしているコントローラ

Cisco WLC 3504、5520、8500 シリーズ、vWLC

アクセスポイントの制御トラフィックを中央で集中管理する利点

モニタリングとトラブルシューティングの単一ペイン。

管理の容易さ。

データセンターのリソースへのセキュアで、シームレスなモバイルアクセス。

ブランチの占有面積の削減。

運用コスト節減の向上。

クライアントデータトラフィックを分散する利点

WAN リンクが完全に停止した場合や、コントローラが使用不能になった場合でも、運用上のダウンタイムが生じない（サバイバビリティ）。

WAN リンクで障害が発生した場合の、ブランチ内のモビリティの回復力。

ブランチの拡張性の向上最大 100 ヵ所の AP および 250,000 平方フィート（AP あたり 5000 平方フィート）まで拡張できるブランチの規模をサポート。

Cisco FlexConnect ソリューションは、中央クライアントデータトラフィックもサポートしますが、ゲストデータトラフィックのみに制限されます。次の表に、データトラフィックが中央のデータセンターでもスイッチングされる非ゲストクライアントにのみ適用される WLAN L2 セキュリティタイプの制限を示します。

表 1 中央でスイッチングされる非ゲストユーザに対する L2 セキュリティサポート

WLAN L2 セキュリティ

タイプ

結果

なし

該当なし

許可

WPA + WPA2

802.1x

許可

CCKM

許可

802.1x + CCKM

許可

PSK

許可

802.1x

WEP

許可

Static WEP

WEP

許可

WEP + 802.1x

WEP

許可

CKIP

-

許可

（注）これらの認証の制限は、データトラフィックが各ブランチに分散されるクライアントには適用されません。

表 2 中央およびローカルでスイッチングされるユーザに対する L3 セキュリティサポート

WLAN L3 セキュリティ

タイプ

結果

Web 認証

内部

許可

外部

許可

カスタマイズ

許可

Web パススルー

内部

許可

外部

許可

カスタマイズ

許可

Conditional Web リダイレクト

外部

許可

Splash Page Web リダイレクト

外部

許可

FlexConnect の外部 WebAuth の展開に関する詳細については、『 Flexconnect External WebAuth Deployment Guide』を参照してください。

HREAP/FlexConnect AP の状態とデータトラフィックスイッチングオプションの詳細については、『 Configuring FlexConnect』を参照してください。

FlexConnect の動作モード

FlexConnect モード

説明

接続済み

FlexConnect は、コントローラの後ろにある CAPWAP コントロールプレーンが正常に動作しているときに接続モード、つまり、WAN リンクがダウンしていない状態にあるといわれています。

スタンドアロン

スタンドアロンモードは、コントローラへの接続がなくなったときに FlexConnect が開始する動作状態と指定されています。スタンドアロンモードの FlexConnect AP は、電源障害や WLC または WAN 障害が発生した場合でも、直前の既知の設定によって動作し続けます。

FlexConnect の動作理論の詳細については、『 H-Reap/FlexConnect Design and Deployment Guide 』を参照してください。

WAN の要件

FlexConnect AP はブランチサイトに展開され、WAN リンクを介してデータセンターから管理されます。最大伝送ユニット（MTU）は、500 バイト以上にする必要があります。

展開タイプ

WAN 帯域幅（最小）

WAN RTT 遅延

(最大)

ブランチあたりの最大 AP 数

ブランチあたりの最大クライアント数

データ

64 Kbps

300 ミリ秒

5

25

データ

640 Kbps

300 ミリ秒

50

1000

データ

1.44 Mbps

1 秒

50

1000

データ + 音声

128 Kbps

100 ミリ秒

5

25

データ + 音声

1.44 Mbps

100 ミリ秒

50

1000

モニタ

64 Kbps

2 秒

5

該当なし

モニタ

640 Kbps

2 秒

50

該当なし

（注）ラウンドトリップ遅延が、データ展開の場合は 300 ミリ秒、データ + 音声展開の場合は 100 ミリ秒を超えない状態で、最小帯域幅の制限を AP あたり 12.8 Kbps のままにすることを強く推奨します。

ブランチあたりの最大 AP 数 = 100 で、ブランチあたりの最大クライアント数 = 2000 の規模での大型展開の場合。

主な機能

適応型 wIPS、コンテキスト認識型（RFID）、不正 AP 検出、中央 802.1X 認証および CleanAir を備えたクライアント。

テスト結果

100 AP、2000 クライアント、1000 RFID、500 不正 AP、および 2500 不正クライアントの場合（上記の機能はオン）：

推奨 BW = 1.54 Mbps

推奨 RTT 遅延 = 400 ミリ秒

テスト結果

100 AP、2000 クライアント、不正なし、RFID なしの場合：（上記の機能はオフ）

推奨 BW = 1.024 Mbps

推奨遅延 = 300 ミリ秒

ワイヤレスブランチネットワークの設計

このドキュメントの残りの部分ではガイドラインに着目し、保護された分散型ブランチネットワークを実装するためのベストプラクティスについて説明します。これらの設計要件を満たすワイヤレスブランチネットワークを実現するには、FlexConnect アーキテクチャを推奨します。

主要な設計要件

最大 100 ヵ所の AP および 250,000 平方フィート（AP あたり 5000 平方フィート）まで拡張できるブランチ規模

一元的な管理およびトラブルシューティング

運用上のダウンタイムなし

クライアントベースのトラフィックセグメンテーション

コーポレートリソースへのシームレスで、セキュアなワイヤレス接続

PCI 準拠

ゲストのサポート

図 2 ワイヤレスブランチネットワークの設計

概要

ブランチの顧客は、すべての機能を搭載したスケーラブルでセキュアなネットワークサービスを地理的な場所全体に実装するのは困難になる一方であり、コストがかかると思っています。顧客をサポートするため、シスコは FlexConnect 導入モードを採用することで、これらの課題に対処しています。

FlexConnect ソリューションは、データセンター内の複雑なセキュリティ、管理、設定、トラブルシューティング処理を仮想化し、これらのサービスを各ブランチに透過的に拡張します。FlexConnect を使用した導入では、IT の設定、管理がより簡単になりますが、最も重要なことは拡大縮小がより簡単になることです。

利点

6000 ヵ所のAP をサポートすることによりスケーラビリティを増強。

FlexConnect の耐障害性を利用して復元力を増強。

FlexConnect（中央およびローカルスイッチング）を使用してトラフィックのセグメンテーションを強化。

AP グループと FlexConnect グループを使用したストア設計の複製による管理の容易さ。

ブランチネットワーク設計に対応する機能

このガイドの残りの項では、図 2 に示すネットワーク設計を実現するための機能の使用法と推奨事項について説明します。

表 3 機能

主な機能

ハイライト

AP グループ数

複数のブランチサイト処理時に簡単に運用/管理できるようにします。また、類似するブランチサイトの設定を柔軟に複製できるようにします。

FlexConnect グループ

FlexConnect グループはローカルバックアップ RADIUS、CCKM/OKC 高速ローミング、およびローカル認証の機能を提供します。

耐障害性

ワイヤレスブランチの復元力を向上させ、運用上のダウンタイムを発生させません。

ELM（適用型 wIPS 用の拡張ローカルモード）

クライアントへのサービス提供時に、クライアントのパフォーマンスに影響を与えずに適用型 wIPS の機能を提供します。

WLAN ごとのクライアント制限

ブランチネットワーク上のゲストクライアントの総数を制限します。

AP イメージの事前ダウンロード

ブランチアップグレード時のダウンタイムを軽減します。

FlexConnect での自動 AP 変換

ブランチの FlexConnect で AP を自動変換する機能です。

ゲストアクセス

シスコの既存のゲストアクセスアーキテクチャを FlexConnect で引き続き使用できます。

（注） WIPS モードで実装された FlexConnect AP は、AP が検出しているアクティビティに基づいて帯域幅使用率を大幅に引き上げます。ルールで調査が有効になっている場合、リンク使用率が平均で約 100 Kbps 上昇することがあります。

機能マトリックス

FlexConnect 機能の機能マトリックスについては、『 FlexConnect Feature Matrix 』を参照してください。

AP グループ数

コントローラ上に WLAN を作成した後は、WLAN をさまざまなアクセスポイントに選択的に（アクセスポイントグループを使用して）公開することで、ワイヤレスネットワークをより適切に管理できます。一般的な展開では、WLAN 上のすべてのユーザはコントローラ上の 1 つのインターフェイスにマップされます。したがって、その WLAN にアソシエートされたすべてのユーザは、同じサブネットまたは VLAN 上にあります。しかし、複数のインターフェイス間で負荷を分散すること、またはアクセスポイントグループを作成して、個々の部門（たとえばマーケティング部門、エンジニアリング部門、運用部門）などの特定の条件に基づくグループユーザへと負荷を分配することを選択できます。さらに、ネットワーク管理を簡素化するために、これらのアクセスポイントグループを別個の VLAN で設定できます。

このドキュメントでは、地理的な複数の場所にまたがって複数のストアを管理する際にネットワーク管理をシンプルにするためにAP グループを使用します。運用を容易にするため、このドキュメントでは、次の要件を満たすようにストアごとに 1 つの AP グループを作成します。

ローカルストアマネージャの管理アクセス用にすべてのストアにまたがる、中央でスイッチングされる SSID データセンター。

携帯スキャナのすべてのストアのさまざまな WPA2-PSK キーでローカルにスイッチングされる SSID ストア。

図 3 AP グループを使用したワイヤレスネットワーク設計のリファレンス

WLC からの設定

次の手順を実行します。

ステップ 1 [WLANs] の [New page] で、[Profile Name] フィールドに「Store1」と入力し、[SSID] フィールドに「store」と入力してから、[ID] ドロップダウンリストで [17] を選択します。

（注） WLAN ID の1 ～ 16 は、デフォルトグループの一部であり、削除できません。別の WPA2-PSK で同じストアごとの SSID ストアを使用する要件を満たすには、WLAN ID 17 以上を使用する必要があります。これらはデフォルトグループの一部ではなく、ストアごとに限定できるためです。

ステップ 2 [WLAN] > [Security] で、[Auth Key Mgmt] ドロップダウンリストから [PSK] を選択し、[PSK Format] ドロップダウンリストから [ASCII] を選択して [Apply] をクリックします。

ステップ 3 [WLAN] > [General] をクリックし、セキュリティポリシーの変更を確認した後、[Status] ボックスをオンにして WLAN を有効にします。

ステップ 4 新しい WLAN プロファイルの Store2 に手順 1、2、3 を繰り返します。このとき、SSID は store、ID は 18 を使用します。

ステップ 5 プロファイル名 DataCenter、SSID DataCenter、ID 1 で WLAN プロファイルを作成し、有効にします。

（注）作成時に、WLAN ID 1 ～ 16 は自動的にデフォルトの AP グループの一部になります。

ステップ 6 WLAN で、WLAN ID 1、17、および 18 のステータスを確認します。

ステップ 7 [WLAN] > [Advanced] > [AP group] > [Add Group] をクリックします。

ステップ 8 WLAN プロファイル Store1 と同じ AP グループ名 Store1 と、ストアの場所としての [Description] を追加します。この例では、ストアの場所として「California」を使用しています。

ステップ 9 完了したら [Add] をクリックします。

ステップ 10 [Add Group] をクリックし、AP グループ名を Store2、説明を New York として作成します。

ステップ 11 [Add] をクリックします。

ステップ 12 [WLAN] > [Advanced] > [AP Groups] に移動します。

ステップ 13 AP グループ名 [Store1] をクリックして WLAN を追加または編集します。

ステップ 14 [Add New] をクリックし、WLAN を選択します。

ステップ 15 [WLAN] で、[WLAN SSID] ドロップダウンリストから [WLAN ID 17 store(17)] を選択します。

ステップ 16 [WLAN ID 17] を選択した後、[Add] をクリックします。

ステップ 17 手順（14 ～ 16）を WLAN ID 1 DataCenter(1) に繰り返します。この手順はオプションです。リモートリソースアクセスを許可する場合にのみ必要となります。

ステップ 18 [WLAN] > [Advanced] > [AP Groups] 画面に戻ります。

ステップ 19 AP グループ名 [Store2] をクリックして WLAN を追加または編集します。

ステップ 20 [Add New] をクリックし、WLAN を選択します。

ステップ 21 [WLAN] で、[WLAN SSID] ドロップダウンリストから [WLAN ID 18 store(18)] を選択します。

ステップ 22 [WLAN ID 18] を選択した後、[Add] をクリックします。

ステップ 23 手順 14 ～ 16 を WLAN ID 1 DataCenter(1) に繰り返します。

（注）単一の AP グループに同じ SSID を持つ複数の WLAN プロファイルを追加することはできません。

（注）このドキュメントでは AP グループへの AP の追加は扱いませんが、クライアントはネットワークサービスにアクセスする必要があります。

まとめ

AP グループによりネットワーク管理がシンプルになります。

ブランチ単位の精度でトラブルシューティングが容易になります。

柔軟性が向上します。

FlexConnect グループ

最も一般的なブランチ展開では、クライアント 802.1X 認証はデータセンターで一元的に行われることは容易に予測できます。上記のシナリオは完全に妥当であることから、次の関心事項が生じます。

WLC で障害が発生した場合、ワイヤレスクライアントはどのようにして 802.1X 認証を行い、データセンターのサービスにアクセスすればいいですか。

ブランチとデータセンターの間の WAN リンクで障害が発生した場合、ワイヤレスクライアントはどのようにして 802.1X 認証を行えばいいですか。

WAN で障害が発生した場合、ブランチのモビリティに影響がありますか。

FlexConnect ソリューションでは、ブランチの運用上のダウンタイムがなくなるのですか。

FlexConnect グループは、主にこれらの課題に対処するように設計し、作成する必要があります。さらに、各ブランチサイトの編成を容易にします。これは、各ブランチサイトのすべての FlexConnect アクセスポイントが単一の FlexConnect グループに含まれているためです。

（注） FlexConnect グループは、AP グループに類似するものではありません。

FlexConnect グループの主な目的

バックアップ RADIUS サーバのフェールオーバー

スタンドアロンモードの FlexConnect アクセスポイントがバックアップ RADIUS サーバに対して完全な 802.1X 認証を実行できるように、コントローラを設定することができます。ブランチの復元力を高めるために、管理者はプライマリバックアップ RADIUS サーバ、またはプライマリおよびセカンダリバックアップ RADIUS サーバの両方を設定できます。このバックアップサーバが使用されるのは、FlexConnect アクセスポイントがコントローラに接続されていない場合のみです。

（注）バックアップ RADIUS アカウンティングはサポートされません。

ローカル認証

7.0.98.0 コードのリリース前は、WAN リンクの障害時にクライアント接続への影響を排除するために FlexConnect がスタンドアロンモードの場合にのみ、ローカル認証がサポートされていました。7.0.116.0 リリースでは、FlexConnect アクセスポイントが接続モードの場合でもこの機能がサポートされるようになりました。

図 4 中央 Dot1X 認証（FlexConnect AP はオーセンティケータとして機能）

図 4 に示すように、ブランチクライアントは FlexConnect ブランチ AP が WLC との接続を失った場合も引き続き 802.1X 認証を実行できます。RADIUS/ACS サーバにブランチサイトから到達可能な限り、ワイヤレスクライアントは、引き続き認証とワイヤレスサービスへのアクセスを行います。つまり、RADIUS/ACS がブランチ内部にあれば、クライアントは WAN が停止している間でも、認証とワイヤレスサービスへのアクセスを行います。

（注）ローカル認証がオンになっていれば、接続モードであっても、AP は常にクライアントをローカルで認証します。ローカル認証が無効になっている場合、FlexConnect AP が接続モードのときは、コントローラは中央 RADIUS サーバにクライアントを認証します。AP がスタンドアロンモードの場合、AP は FlexConnect グループに設定されている AP のローカル RADIUS/ローカル EAP にクライアントを認証します。

（注）この機能は、FlexConnect バックアップ RADIUS サーバ機能と組み合わせて使用できます。FlexConnect グループがバックアップ RADIUS サーバとローカル認証の両方で設定されている場合、FlexConnect アクセスポイントは、必ず最初にプライマリバックアップ RADIUS サーバを使用してクライアントの認証を試みます。その後、セカンダリバックアップ RADIUS サーバを試行し（プライマリに接続できない場合）、最後に FlexConnect アクセスポイント上のローカル EAP サーバ自身の認証を試行します（プライマリとセカンダリの両方に接続できない場合）。

ローカル EAP（ローカル認証の続行）

図 5 Dot1X 認証（FlexConnect AP はローカル EAP サーバとして機能）

スタンドアロンモードまたは接続モードの FlexConnect AP が、最大 100 人の静的に設定されたユーザに対して LEAP または EAP-FAST 認証を実行できるように、コントローラを設定できます。コントローラは、それぞれの FlexConnect アクセスポイントがコントローラに参加すると、ユーザ名とパスワードのスタティックリストをその特定の FlexConnect グループの FlexConnect アクセスポイントに送信します。グループ内の各アクセスポイントは、そのアクセスポイントにアソシエートされたクライアントのみを認証します。

この機能が適しているのは、企業が自律アクセスポイントネットワークから Lightweight FlexConnect アクセスポイントネットワークに移行するときに、大きなユーザデータベースを保持したくない場合、または自律アクセスポイントの持つ RADIUS サーバ機能の代わりとなる別のハードウェアデバイスを追加したくない場合です。

図 5 に示すように、データセンター内の RADIUS/ACS サーバに到達できない場合、FlexConnect AP は自動的にローカル EAP サーバとして機能し、ワイヤレスブランチクライアントに Dot1X 認証を実行します。

CCKM/OKC 高速ローミング

CCKM/OKC 高速ローミングで FlexConnect アクセスポイントを使用するには、FlexConnect グループが必要となります。高速ローミングは、完全な EAP 認証で使用されたマスターキーの派生キーをキャッシュすることにより実現します。これにより、ワイヤレスクライアントが別のアクセスポイントにローミングする際に、簡単かつ安全にキー交換できるようになります。この機能により、クライアントをあるアクセスポイントから別のアクセスポイントへローミングする際に、完全な RADIUS EAP 認証を実行する必要がなくなります。FlexConnect アクセスポイントでは、アソシエートする可能性のあるすべてのクライアントに対する CCKM/OKC キャッシュ情報を取得する必要があります。これにより、キャッシュ情報をコントローラに送り返すことなく、すばやく処理できます。しかし、たとえば 300 のアクセスポイントを持つコントローラと、アソシエートする可能性のある 100 台のクライアントがある場合、100 台すべてのクライアントに対する CCKM/OKC キャッシュを送信することは現実的ではありません。限定した数のアクセスポイントから成る FlexConnect グループを作成すれば（たとえば、1 つのリモートオフィス内の 4 つのアクセスポイントのグループを作成）、クライアントはその 4 つのアクセスポイント間でのみローミングします。CCKM/OKC キャッシュがその 4 つのアクセスポイント間で配布されるのは、クライアントがそのいずれかにアソシエートするときだけとなります。

この機能とバックアップ RADIUS およびローカル認証（ローカル EAP）により、ブランチサイトの運用上のダウンタイムがなくなります。

（注） FlexConnect アクセスポイントと FlexConnect 以外のアクセスポイントとの間の CCKM/OKC 高速ローミングはサポートされていません。

図 6 FlexConnect グループを使用したワイヤレスネットワーク設計のリファレンス

WLC からの FlexConnect グループの設定

FlexConnect が接続モードまたはスタンドアロンモードのいずれかになっているときに、LEAP を使用してローカル認証をサポートするように FlexConnect グループを設定するには、この項の手順を実行します。図 6 の設定例は、AP グループと FlexConnect グループ間の目標の差異と 1 対 1 のマッピングを示しています。

ステップ 1 [Wireless] > [FlexConnect Groups] で [New] をクリックします。

ステップ 2 図 6 に示した設定例のように、グループ名に Store 1 を割り当てます。

ステップ 3 グループ名を設定したら、[Apply] をクリックします。

ステップ 4 作成したグループの名前の [Store 1] をクリックし、さらに設定を続けます。

ステップ 5 [Add AP] をクリックします。

ステップ 6 AP がスタンドアロンモードのときにローカル認証を有効にするには、[Enable AP Local Authentication] ボックスをオンにします。

（注）手順 20 に、接続モードの AP にローカル認証を有効にする方法を示します。

ステップ 7 [AP Name] ドロップダウンメニューを有効にするには、[Select APs from current controller] ボックスをオンにします。

ステップ 8 この FlexConnect グループに含める必要がある AP をドロップダウンから選択します。

ステップ 9 AP をドロップダウンから選択した後、[Add] をクリックします。

ステップ 10 手順 7 と 8 を繰り返し、AP グループ Store 1 の一部でもあるこの FlexConnect グループにすべての AP を追加します。AP グループと FlexConnect グループ間の 1 対 1 のマッピングについては、図 6 を参照してください。

ストアあたり 1 つの AP グループを作成した場合（図 3）、理想としては、その AP グループのすべての AP をこの FlexConnect グループに含めます（図 6）。AP グループと FlexConnect グループ間の比率を 1 対 1 に維持することにより、ネットワーク管理を簡略化できます。

ステップ 11 [Local Authentication] > [Protocols] をクリックし、[Enable LEAP Authentication] ボックスをオンにします。

ステップ 12 チェックボックスを設定した後、[Apply] をクリックします。

（注）バックアップコントローラがある場合は、双方の FlexConnect グループが同一であり、FlexConnect グループごとに AP の MAC アドレスエントリが含まれていることを確認します。

ステップ 13 [Local Authentication] の [Local Users] をクリックします。

ステップ 14 AP 上にあるローカル EAP サーバ内にユーザエントリを作成するには、[UserName]、[Password]、および [Confirm Password] フィールドを設定し、[Add] をクリックします。

ステップ 15 ローカルユーザ名リストがなくなるまで手順 13 を繰り返します。100 人を超えるユーザを設定または追加することはできません。

ステップ 16 手順 14 の完了後に [Apply] をクリックし、ユーザ数のカウントを確認します。

ステップ 17 上部ペインで [WLANs] をクリックします。

ステップ 18 [WLAN ID 17] をクリックします。これは、AP グループの作成時に作成されました。図 3 を参照してください。

ステップ 19 [WLAN] > WLAN ID 17 の [Edit] で、[Advanced] をクリックします。

ステップ 20 接続モードでローカル認証を有効にするには、[FlexConnect Local Auth] ボックスをオンにします。

（注）ローカル認証は、ローカルスイッチングを使用する FlexConnect のみでサポートされます。

（注） WLAN でローカル認証を有効にする前に、必ず FlexConnect グループを作成してください。

また、次に示すように、NCS と Cisco Prime にもローカル認証を接続モードで有効にするための [FlexConnect Local Auth] チェックボックスがあります。

次に示すように、NCS と Cisco Prime は FlexConnect ローカル認証されたクライアントをフィルタ処理したり、モニタする機能も提供しています。

CLI を使用した検証

クライアント認証状態とスイッチングモードは、WLC 上で次の CLI を使用してすばやく確認できます。

(Cisco Controller) >show client detail 00:24:d7:2b:7c:0c

Client MAC Address............................... 00:24:d7:2b:7c:0c

Client Username ................................. N/A

AP MAC Address................................... d0:57:4c:08:e6:70

Client State..................................... Associated

H-REAP Data Switching............................ Local

H-REAP Authentication............................ Local

FlexConnect VLAN オーバーライド

現在の FlexConnect アーキテクチャでは、WLAN から VLAN への厳密なマッピングがあるため、FlexConnect AP 上で特定の WLAN に関連付けられたクライアントは、それにマッピングされる VLAN に従う必要があります。この方式は、異なる VLAN ベースのポリシーを継承するためにクライアントを異なる SSID に関連付ける必要があるので、さまざまな制約があります。

リリース 7.2 以降では、ローカルスイッチングが設定された個々の WLAN に対する、VLAN の AAA オーバーライドがサポートされています。AP には、動的に VLAN を割り当てるために、個別の FlexConnect AP の既存の WLAN-VLAN マッピングを使用するか、または FlexConnect グループの ACL-VLAN マッピングを使用した設定に基づいて事前に作成された、VLAN 用のインターフェイスがあります。AP でサブインターフェイスを事前作成するために、WLC が使用されます。

まとめ

AAA VLAN オーバーライドは、中央およびローカル認証モードでローカルスイッチングが設定された WLAN に対し、リリース 7.2 からサポートされています。

AAA オーバーライドは、ローカルスイッチングが設定された WLAN 上で有効にする必要があります。

FlexConnect AP には、動的な VLAN 割り当て用に、WLC から VLAN が事前に作成されている必要があります。

AAA オーバーライドから返された VLAN が AP クライアント上にない場合、IP は AP のデフォルト VLAN インターフェイスから取得されます。

手順

次の手順を実行します。

ステップ 1 802.1x 認証用の WLAN を作成します。

ステップ 2 WLC でローカルスイッチング WLAN の AAA オーバーライドサポートを有効にします。[WLAN GUI] > [WLAN] > [WLAN ID] > [Advance] タブに移動します。

ステップ 3 802.1x 認証のコントローラで、AAA サーバの詳細を追加します。AAA サーバを追加するには、[WLC GUI] > [Security] > [AAA] > [Radius] > [Authentication] > [New] に移動します。

ステップ 4 AP はデフォルトでローカルモードになっているため、モードを FlexConnect モードに変換します。ローカルモードの AP を FlexConnect モードに変換するには、[Wireless] > [All APs] に移動し、[Individual AP] をクリックします。

ステップ 5 FlexConnect AP を FlexConnect グループに追加します。

[WLC GUI] > [Wireless] > [FlexConnect Groups] に移動し、[FlexConnect Group] > [General] タブ > [Add AP] を選択します。

ステップ 6 FlexConnect AP をトランクポート上で接続し、WLAN がマップされた VLAN と AAA オーバーライド VLAN をそのトランクポートで使用できるようにする必要があります。

（注）この設定では、VLAN 109 を WLAN VLAN マッピングに使用し、VLAN 3 を AAA オーバーライドに使用します。

ステップ 7 FlexConnect AP の WLAN から VLAN へのマッピングを設定します。この設定に基づき、AP に VLAN 用のインターフェイスが備わります。AP が VLAN 設定を受け取ると、対応する dot11 とイーサネットサブインターフェイスが作成され、ブリッジグループに追加されます。この WLAN 上でクライアントを関連付け、クライアントが加わると、その VLAN（デフォルト、WLAN-VLAN まピングに基づく）が割り当てられます。

WLAN GUI から [Wireless] > [All APs] に移動し、特定の [AP] > [FlexConnect] タブをクリックした後、[VLAN Mapping] をクリックします。

ステップ 8 AAA サーバでユーザを作成し、IETF RADIUS 属性の VLAN ID を返すユーザを設定します。

ステップ 9 AP には、動的に VLAN を割り当てるために、個別の FlexConnect AP の既存の WLAN-VLAN マッピングを使用するか、または FlexConnect グループの ACL-VLAN マッピングを使用した設定に基づいて事前に作成された、動的 VLAN 用のインターフェイスがあります。

AAA VLAN を FlexConnect AP で設定するには、[WLC GUI] > [Wireless] > [FlexConnect Group] に移動し、特定の [FlexConnect group] > [VLAN-ACL mapping] をクリックして、[Vlan ID] フィールドに VLAN を入力します。

ステップ 10 AAA VLAN を返すには、AAA サーバで設定したユーザ名を使用して、この WLAN 上でクライアントを関連付けて認証します。

ステップ 11 クライアントは、AAA サーバを介して返された動的 VLAN から IP アドレスを受け取ります。

ステップ 12 確認するには、[WLC GUI] > [Monitor] > [Client] をクリックし、特定の MAC アドレスをクリックしてクライアントの詳細を確認します。

制限事項

Cisco Airespace 固有の属性はサポートされません。IETF 属性は VLAN ID のみがサポートされます。

個々の FlexConnect AP を経由するか、または FlexConnect グループで ACL-VLAN マッピングを使用して、AP 設定ごとに最大 16 の VLAN を設定できます。

FlexConnect VLAN に基づく中央スイッチング

コントローラソフトウェアリリース 7.2 では、ローカルにスイッチングされる WLAN に対する VLAN の AAA オーバーライド（ダイナミック VLAN 割り当て）により、ワイヤレスクライアントが AAA サーバで提供される VLAN に配置されます。AAA サーバから提供された VLAN が AP に存在しない場合、クライアントはその AP 上で WLAN からマッピングされた VLAN に配置され、トラフィックはその VLAN でローカルにスイッチングされます。さらに、7.3 より前のリリースでは、FlexConnect AP からの特定の WLAN のトラフィックは、WLAN の設定に応じて中央またはローカルでスイッチングされます。

リリース 7.3 以降、FlexConnect AP からのトラフィックは、FlexConnect AP 上に VLAN が存在するかどうかに応じて、中央またはローカルでスイッチングされます。

まとめ

Flex AP が接続モードの場合に、ローカルスイッチング用に設定された WLAN 上のトラフィックフローは、次のようになります。

VLAN が AAA 属性の 1 つとして返され、その VLAN が Flex AP データベースに存在しない場合、トラフィックは中央でスイッチングされ、VLAN が WLC 上に存在する限り、AAA サーバから返されたこの VLAN とインターフェイスがクライアントに割り当てられます。

VLAN が AAA 属性の 1 つとして返され、その VLAN が Flex AP データベースに存在しない場合、トラフィックは中央でスイッチングされます。その VLAN が WLC にも存在しない場合、クライアントには WLC 上で WLAN にマッピングされた VLAN とインターフェイスが割り当てられます。

VLAN が AAA 属性の 1 つとして返され、その VLAN が FlexConnect AP データベースに存在する場合、トラフィックはローカルにスイッチングされます。

AAA サーバから VLAN が返されない場合、クライアントには、その FlexConnect AP 上で WLAN にマッピングされた VLAN が割り当てられ、トラフィックはローカルにスイッチングされます。

Flex AP がスタンドアロンモードの場合に、ローカルスイッチング用に設定された WLAN 上のトラフィックフローは、次のようになります。

AAA サーバによって返された VLAN が Flex AP データベースに存在しない場合、クライアントはデフォルト VLAN（つまり、Flex AP 上で WLAN にマッピングされた VLAN）に配置されます。AP が接続モードに戻ると、このクライアントは認証を解除され、トラフィックが中央でスイッチングされます。

AAA サーバによって返された VLAN が Flex AP データベースに存在する場合、クライアントは返された VLAN に配置され、トラフィックはローカルにスイッチングされます。

AAA サーバから VLAN が返されない場合、クライアントには、その FlexConnect AP 上で WLAN にマッピングされた VLAN が割り当てられ、トラフィックはローカルにスイッチングされます。

手順

次の手順を実行します。

ステップ 1 ローカルスイッチング用の WLAN を設定し、AAA オーバーライドを有効にします。

ステップ 2 新たに作成した WLAN で [Vlan based Central Switching] を有効にします。

ステップ 3 [AP Mode] を [FlexConnect] に設定します。

ステップ 4 特定の Flex AP の WLAN-VLAN マッピングまたは Flex グループの VLAN 設定のいずれかを介して、FlexConnect AP にはサブインターフェイスがそのデータベースにあることを確認します。次の例では、VLAN 63 は Flex AP 上の WLAN VLAN マッピングに設定されます。

ステップ 5 次の例では、VLAN 62 は WLC で動的インターフェイスの 1 つとして設定され、WLC 上では WLAN にマッピングされていません。WLC の WLAN は、管理 VLAN（つまり、VLAN 61）にマッピングされます。

ステップ 6 この Flex AP に手順 1 で設定した WLAN に対してクライアントを関連付け、AAA サーバから VLAN 62 を返します。VLAN 62 はこの Flex AP に存在しませんが、WLC には動的インターフェイスとして存在します。そのため、トラフィックは中央でスイッチングされ、クライアントには WLC の VLAN 62 が割り当てられます。ここでキャプチャされる出力では、クライアントに VLAN 62 が割り当てられており、[Data Switching] と [Authentication] は [Central] に設定されています。

（注） WLAN がローカルスイッチング用に設定されているとしても、このクライアントの [Data Switching] フィールドは、VLAN があるために [Central] となることがわかります（つまり、AAA サーバから返された VLAN 62 は AP データベースには存在しません）。

ステップ 7 作成したこの WLAN の同じ AP に別のユーザが割り当てられており、AP だけでなく WLC にも存在しない AAA サーバから何らかの VLAN が返された場合、トラフィックは中央でスイッチングされ、クライアントには WLC の WLAN マッピングのインターフェイス（つまり、この設定例では VLAN 61）が割り当てられます。これは、WLAN が VLAN 61 に設定されている管理インターフェイスにマッピングされるためです。

（注） WLAN がローカルスイッチング用に設定されているとしても、VLAN があるために、このクライアントの [Data Switching] フィールドは [Central] となっています。つまり、AAA サーバから返された VLAN 61 は AP データベースには存在せず、WLC データベースにも存在しません。その結果、クライアントにはデフォルトのインターフェイス VLAN/WLAN にマッピングされているインターフェイスが割り当てられます。次の例では、WLAN は管理インターフェイス（VLAN 61）にマッピングされます。つまり、クライアントは VLAN 61 から IP アドレスを受け取っています。

ステップ 8 作成したこの WLAN に別のユーザが割り当てられていて、（この Flex AP 上に存在する）AAA サーバから VLAN 63 が返された場合、クライアントには VLAN 63 が割り当てられ、トラフィックはローカルにスイッチングされます。

制限事項

VLAN ベースの中央スイッチングは、中央認証とローカルスイッチング用に設定された WLAN 上でのみサポートされます。

AP サブインターフェイス（つまり、VLAN マッピング）は FlexConnect AP 上で設定する必要があります。

FlexConnect ACL

FlexConnect 上での ACL の導入にともない、AP からローカルにスイッチングされるデータトラフィックの保護と整合性のために、FlexConnect AP でのアクセスコントロールの必要性を満たすメカニズムがあります。FlexConnect ACL を WLC 上で作成し、FlexConnect AP か、AAA オーバーライド VLAN 用の VLAN-ACL マッピングを使用した FlexConnect グループ上に存在する VLAN を使用して設定する必要があります。これらの ACL は AP にプッシュされます。

まとめ

コントローラ上に FlexConnect ACL を作成します。

この ACL を、AP レベルでの VLAN ACL マッピングに基づき、FlexConnect AP 上に存在する VLAN に適用します。

VLAN-ACL マッピングの下で、FlexConnect グループに存在する VLAN に適用できます（一般に AAA オーバーライドされた VLAN に対して行います）。

VLAN に対して ACL を適用する際に、その方向として、「ingress」、「egress」、または「ingress and egress」を選択します。

手順

次の手順を実行します。

ステップ 1 WLC で FlexConnect ACL を作成します。[WLC GUI] > [Security] > [Access Control Lists] > [FlexConnect ACLs] に移動します。

ステップ 2 [New] をクリックします。

ステップ 3 ACL 名を設定します。

ステップ 4 [Apply] をクリックします。

ステップ 5 各 ACL にルールを作成します。ルールを作成するには、[WLC GUI] > [Security] > [Access Control List] > [FlexConnect ACLs] に移動し、上記で作成した ACL をクリックします。

ステップ 6 [Add New Rule] をクリックします。

（注）要件に従ってルールを設定します。permit any rule を末尾に設定しないと、暗黙の deny となり、すべてのトラフィックがブロックされます。

ステップ 7 FlexConnect ACL が作成されると、個々の FlexConnect AP 下の WLAN-VLAN にマッピングできるようになります。または、FlexConnect グループでの VLAN-ACL に適用できるようになります。

ステップ 8 上記で設定した FlexConnect ACL を、個々の FlexConnect AP への VLAN マッピングに従った個々の VLAN に AP レベルでマップします。[WLAN GUI] > [Wireless] > [All AP] に移動し、特定の [AP] > [FlexConnect] タブ > [VLAN Mapping] をクリックします。

ステップ 9 FlexConnect ACL は、FlexConnect グループでの VLAN-ACL マッピングにも適用できます。FlexConnect グループでの VLAN-ACL マッピングで作成された VLAN は、主に動的 VLAN オーバーライドに使用されます。

制限事項

1 つの WLC には、最大 512 個の FlexConnect ACL を設定できます。

個々の ACL には 64 個のルールを設定できます。

FlexConnect グループまたは FlexConnect AP あたり最大 32 個の ACL をマッピングできます。

FlexConnect AP 上には、一度に最大 16 の VLAN と 32 個の ACL を設定できます。

FlexConnect スプリットトンネリング

7.3 より前の WLC リリースでは、中央でスイッチングされる WLAN に関連付けられた FlexConnect AP 上で接続するクライアントが、ローカルサイト/ネットワークに存在するデバイスへ一部のトラフィックを送信する必要がある場合、CAPWAP を介して WLC にトラフィックを送信してから、CAPWAP を介して、または何らかのオフバンド接続を使用して、その同じトラフィックをローカルサイトに戻す必要があります。

リリース 7.3 以降は、スプリットトンネリングにより、クライアントによって送信されたトラフィックを、Flex ACL を使用して、パケットの内容に基づいて分類するメカニズムが導入されました。一致するパケットは Flex AP からローカルにスイッチングされ、残りのパケットは CAPWAP を介して中央でスイッチングされます。

このガイドの冒頭に記載されているように、リリース 8.8 以降ではスプリットトンネリングも Wave-2 802.11ac ベースの AP でサポートされています。一致するパケットは Flex AP からローカルにスイッチングされ、残りのパケットは CAPWAP を介して中央でスイッチングされます。

スプリットトンネリング機能には、企業の SSID 上のクライアントがローカルネットワーク上のデバイス（プリンタ、リモート LAN ポート上の有線マシン、またはパーソナル SSID 上のワイヤレスデバイス）と直接通信でき、CAPWAP を介してパケットを送信することで WAN 帯域幅を消費することがないという、OEAP AP 設定に対するさらなるメリットがあります。OEAP 600 AP では Split Tunneling はサポートされていません。Flex ACL は、ローカルサイトまたはネットワークに存在するすべてのデバイスを許可するために、ルールを使用して作成できます。企業の SSID 上のワイヤレスクライアントからのパケットが、OEAP AP 上で設定されている Flex ACL のルールに一致した場合、そのトラフィックはローカルにスイッチングされ、残りのトラフィック（つまり暗黙的に拒否されたトラフィック）は、CAPWAP を介して中央でスイッチングされます。

スプリットトンネリングソリューションでは、中央サイトのクライアントに関連付けられているサブネットまたは VLAN がローカルサイトに存在しないことを前提としています（つまり、中央サイトにあるサブネットから IP アドレスを受け取るクライアントのトラフィックは、ローカルにスイッチングできません）。スプリットトンネリング機能は、WAN の帯域幅の使用を避けるために、ローカルサイトに属するサブネットに対してトラフィックをローカルにスイッチングするように設計されています。Flex ACL ルールに一致するトラフィックはローカルでスイッチングされ、NAT 動作が実行され、クライアントの送信元 IP アドレスが、ローカルサイト/ネットワークでルーティング可能な Flex AP の BVI インターフェイス IP アドレスに変更されます。

まとめ

スプリットトンネリング機能は、Flex AP のみによってアドバタイズされる、中央でのスイッチングが設定された WLAN 上でサポートされます。

スプリットトンネリングを設定した WLAN 上では、必要な DHCP を有効化する必要があります。

スプリットトンネリングの設定は、Flex AP ごとか、FlexConnect グループ内のすべての Flex AP に対して、中央のスイッチングが設定された WLAN ごとに適用されます。

手順

次の手順を実行します。

ステップ 1 中央スイッチング用の WLAN を設定します（つまり、Flex ローカルスイッチングは無効にする必要があります）。

ステップ 2 [DHCP Address Assignment] を [Required] に設定します。

ステップ 3 [AP Mode] を [FlexConnect] に設定します。

ステップ 4 中央スイッチ WLAN 上でローカルにスイッチングされるトラフィックに permit ルールを使用して、FlexConnect ACL を設定します。次の例では、FlexConnect ACL ルールは、9.6.61.0 サブネット上（つまり、セントラルサイトに存在）のすべてのクライアントから 9.1.0.150 への ICMP トラフィックを、NAT 操作が Flex AP で適用された後にローカルにスイッチングするように通知するよう設定されています。残りのトラフィックは、暗黙の deny ルールが適用され、CAPWAP を介して中央でスイッチングされます。

ステップ 5 作成したこの FlexConnect ACL はスプリットトンネル ACL として個々の Flex AP にプッシュするか、または FlexConnect グループ内のすべての Flex AP にプッシュすることもできます。

ローカルスプリット ACL として個々の Flex AP に Fleｘ ACL をプッシュするには、次の手順を実行します。

a. [Local Split ACLs] をクリックします。

b. スプリットトンネル機能を有効にする必要がある [WLAN ID] を選択し、[Flex-ACL] を選択して [Add] をクリックします。

c. Flex-ACL は、ローカルスプリット ACL として Flex AP にプッシュされます。

ローカルスプリット ACL として FlexConnect グループにプッシュするには、次の手順を実行します。

a. スプリットトンネリング機能を有効にする必要がある WLAN ID を選択します。[WLAN-ACL mapping] タブで、特定の Flex AP を追加する FlexConnect グループから FlexConnect ACL を選択し、[Add] をクリックします。

b. Flex-ACL は、その Flex グループ内の Flex AP にローカルスプリット ACL としてプッシュされます。

制限事項

Flex ACL ルールは、同じサブネットを送信元および宛先とする permit/deny 文を使用して設定できません。

スプリットトンネリングが設定された、中央でスイッチングされる WLAN 上のトラフィックをローカルにスイッチングできるのは、ワイヤレスクライアントがローカルサイト上にあるホスト宛のトラフィックを送信した場合のみです。トラフィックが、ローカルサイト上のクライアントまたはホストにより、これらの設定された WLAN 上のワイヤレスクライアントに送信された場合、宛先に到達できません。

マルチキャストまたはブロードキャストトラフィックについては、スプリットトンネリングはサポートされていません。マルチキャストトラフィックまたはブロードキャストトラフィックは、Flex ACL に一致しても中央でスイッチングされます。

耐障害性

FlexConnect の耐障害性では、次の状態が生じたときに、ブランチクライアントへのワイヤレスアクセスとサービスが可能です。

FlexConnect ブランチ AP がプライマリコントローラとの接続を失った。

FlexConnect ブランチ AP がセカンダリコントローラにスイッチングされている。

FlexConnect ブランチ AP がプライマリコントローラへの接続を再確立している。

FlexConnect の耐障害性は、上記で概説したローカル EAP と、リリース 7.5 による FlexConnect AP での PEAP/EAP-TLS 認証とともに、ネットワーク停止時にブランチダウンタイムゼロを実現します。この機能はデフォルトで有効であり、無効にすることはできません。つまり、コントローラまたは AP での設定は不要です。ただし、耐障害性が円滑に機能し適用可能であるためには、次の条件を満たす必要があります。

WLAN の順序と設定は、プライマリおよびバックアップコントローラで同じであることが必要です。

VLAN マッピングは、プライマリおよびバックアップコントローラで同じであることが必要です。

モビリティドメイン名は、プライマリおよびバックアップコントローラで同じであることが必要です。

まとめ

コントローラの設定を変更しない限り、FlexConnect AP が同じコントローラに再接続する場合、クライアントが切断されることはありません。

設定に変更がなく、バックアップコントローラがプライマリコントローラと同じである限り、FlexConnect AP がバックアップコントローラに接続する場合、クライアントが切断されることはありません。

コントローラの設定に変更がない限り、FlexConnect AP がプライマリコントローラに再接続する場合、その無線はリセットされません。

制限事項

ローカルスイッチングによる、中央またはローカルの認証を使用する FlexConnect のみでサポートされます。

FlexConnect AP がスタンドアロンモードから接続モードに切り替わる前にクライアントセッションタイマーが切れた場合、中央で認証されるクライアントの完全な再認証が必要です。

FlexConnect のプライマリおよびバックアップコントローラは、同じモビリティドメインに属している必要があります。

WLAN ごとのクライアント制限

トラフィックのセグメンテーションとともに、ワイヤレスサービスにアクセスするクライアントの総数を制限する必要が生じます。たとえば、データセンターに戻るブランチトンネリングのゲストクライアントの総数を制限します。

この課題に対処するため、シスコは WLAN 機能ごとのクライアント制限機能を導入し、WLAN 単位で許可する総クライアント数を制限できるようにしています。

主な目的

最大クライアント数に関する設定制限

運用の容易さ

（注）これは QoS の 1 つではありません。

デフォルトでは、この機能は無効になっており、制限を適用しません。

制限事項

この機能は、スタンドアロン状態で FlexConnect が運用されている場合はクライアント制限を適用しません。

次のいずれかでの WLC 全体にわたる設定の不一致によって、AP で無線がリセットされることになります。

1. FlexConnect グループ（考えられるすべての設定）

2. AP/AP グループ/WLAN ごとの WLAN 間マッピング

3. 無線関連の設定（レート/出力）など

4. WLAN の設定

WLC の設定

次の手順を実行します。

ステップ 1 中央でスイッチングされる WLAN ID 1 と、SSID [DataCenter] を選択します。この WLAN は、AP グループの作成時に作成されました。図 3 を参照してください。

ステップ 2 WLAN ID 1 の [Advanced] タブをクリックします。

ステップ 3 [Maximum Allowed Clients] テキストフィールドにクライアントの制限値を設定します。

ステップ 4 [Maximum Allowed Clients] テキストフィールドを設定したら、[Apply] をクリックします。

[Maximum Allowed Clients] はデフォルトで 0 に設定されます。つまり、制限はなく、機能は無効になっています。

Cisco Prime 経由の設定

Cisco Prime からこの設定を有効にするには、[Configure] > [Controllers] > [Controller IP] > [WLANs] > [WLAN Configuration] > [WLAN Configuration Details] に移動します。

ピアツーピアブロック

7.2 より前のコントローラソフトウェアリリースでは、中央スイッチング WLAN の場合はピアツーピア（P2P）ブロッキングのみがサポートされていました。次の 3 つのアクションのいずれかで、WLAN 上にピアツーピアブロッキングを設定できます。

[Disabled]：ピアツーピアブロッキングを無効にし、同じサブネット内のクライアント宛のトラフィックをコントローラ内でローカルにブリッジします。これはデフォルト値です。

[Drop]：コントローラは同じサブネット内のクライアント宛のパケットをドロップします。

[Forward Up-Stream]：パケットがアップストリーム VLAN に転送されるようにします。コントローラ上のデバイスは、パケットに関して実行すべきアクションを決定します。

リリース 7.2 以降、ローカルスイッチング VLAN 上で関連付けられているクライアントに対してピアツーピアがサポートされています。WLAN ごとに、ピアツーピア設定がコントローラによって FlexConnect AP にプッシュされます。

まとめ

ピアツーピアブロッキングは、WLAN ごとに設定します。

WLAN ごとのピアツーピアブロッキングの設定は、WLC によって FlexConnect AP にプッシュされます。

WLAN 上でドロップまたはアップストリーム転送として設定されたピアツーピアブロッキングアクションは、FlexConnect AP で有効にされたピアツーピアブロッキングとして扱われます。

手順

次の手順を実行します。

ステップ 1 FlexConnect ローカルスイッチング用に設定された WLAN で、ピアツーピアブロッキングを [Drop] として有効にします。

ステップ 2 ローカルスイッチング用に設定された WLAN で P2P ブロッキングアクションを [Drop] または [Forward-Upstream] に設定すると、その設定は WLC から FlexConnect AP にプッシュされます。FlexConnect AP は、この情報をフラッシュ内の reap コンフィギュレーションファイルに保存します。これにより、FlexConnect AP がスタンドアロンモードであっても、P2P 設定を対応するサブインターフェイスに適用できます。

制限事項

FlexConnect では、特定の FlexConnect AP または AP のサブセットのみにソリューションの P2P ブロッキング設定を適用することはできません。これは、SSID をブロードキャストするすべての FlexConnect AP に適用されます。

中央スイッチングクライアントのための統一ソリューションは、P2P アップストリーム転送をサポートしています。しかし、これは FlexConnect ソリューションではサポートされません。これは、P2P ドロップとして扱われ、クライアントパケットは、次のネットワークノードに転送されずにドロップされます。

中央スイッチングクライアント用の統一ソリューションは、異なる AP にアソシエートされたクライアントに対する P2P ブロッキングをサポートしています。ただし、このソリューションでは、同一の AP に接続するクライアントだけがターゲットとなります。FlexConnect ACL は、この制限の回避策として使用できます。

AP イメージの事前ダウンロード

この機能を使用すると、AP は動作中にコードをダウンロードできます。AP イメージの事前ダウンロードは、ソフトウェアメンテナンスやアップグレード時に極めて役に立ちます。

まとめ

ソフトウェア管理の容易さ

ストアごとのアップグレードスケジュール：これを達成するには、NCS または Cisco PRIME が必要です。

ダウンタイムの短縮

手順

次の手順を実行します。

ステップ 1 プライマリコントローラとバックアップコントローラでイメージをアップグレードします。

[WLC GUI] > [Commands] > [Download File] に移動し、ダウンロードを開始します。

ステップ 2 コントローラで設定を保存します。ただし、コントローラをリブートしないでください。

ステップ 3 プライマリコントローラから AP イメージの事前ダウンロードコマンドを発行します。

a. [WLC GUI] > [Wireless] > [Access Points] > [All APs] に移動し、イメージの事前ダウンロードを開始するアクセスポイントを選択します。

b. アクセスポイントを選択したら、[Advanced] タブをクリックします。

c. [Download Primary] をクリックしてイメージの事前ダウンロードを開始します。

ステップ 4 すべての AP イメージがダウンロードされたら、コントローラをリブートします。

これで AP はコントローラがリブートするまでスタンドアロンモードにフォールバックします。

（注）スタンドアロンモードでは、耐障害性でクライアントの関連付けを保持します。

コントローラがリブートすると、AP は事前にダウンロードしたイメージで自動的にリブートします。AP はリブート後、プライマリコントローラに再度参加し、クライアントのサービスを再開します。

制限事項

CAPWAP AP のみで動作

FlexConnect AP イメージのスマートアップグレード

イメージのプレダウンロード機能は、ダウンタイムをある程度削減する効果があります。しかし、すべての FlexConnect AP は WAN リンク経由でそれぞれの AP イメージをプレダウンロードしなければならないため、大幅な遅延が発生します。

効率的な AP イメージアップグレードでは、個々の FlexConnect AP のダウンタイムが削減されます。基本的な原理は、各 AP モデルにつき、それぞれ 1 つの AP のみがコントローラからイメージをダウンロードし、マスター（サーバ）として機能します。同モデルのその他の AP はスレーブ（クライアント）となり、マスターから AP イメージをプレダウンロードします。サーバからクライアントへの AP イメージの配布はローカルネットワーク上で行われるため、WAN リンクで遅延が発生しません。この結果、プロセスの実行時間が短縮されます。

まとめ

FlexConnect グループごとに、各 AP モデルのマスター AP とスレーブ AP が選択されます。

マスターは WLC からイメージをダウンロードします。

スレーブはマスター AP からイメージをダウンロードします。

ダウンタイムが短縮され、WAN 帯域幅が節約されます。

手順

次の手順を実行します。

ステップ 1 コントローラ上でイメージをアップグレードします。

[WLC GUI] > [Commands] > [Download File] に移動し、ダウンロードを開始します。

ステップ 2 コントローラで設定を保存します。ただし、コントローラをリブートしないでください。

ステップ 3 FlexConnect AP を FlexConnect グループに追加します。

[WLC GUI] > [Wireless] > [FlexConnect Groups] に移動し、[Select FlexConnect Group] > [General] タブ > [Add AP] を選択します。

ステップ 4 [FlexConnect AP Upgrade] チェックボックスをクリックして、効率的に AP イメージをアップグレードします。

[WLC GUI] > [Wireless] > [FlexConnect Groups] に移動し、[FlexConnect Group] > [Image Upgrade] タブを選択します。

ステップ 5 マスター AP は手動でも、自動でも選択できます。

a. マスター AP を手動で選択するには、[WLC GUI] > [Wireless] > [FlexConnect Groups] に移動し、[FlexConnect Group] > [Image Upgrade] タブ > [FlexConnect Master APs] を選択し、ドロップダウンリストから [AP] を選択し、[Add Master] をクリックします。

（注）モデルごとに AP 1 つのみをマスター AP として設定できます。マスター AP を手動で設定する場合、[Manual] フィールドは [yes] で更新されます。

b. マスター AP を自動的に選択するには、[WLC GUI] > [Wireless] > [FlexConnect Groups] に移動し、[FlexConnect Group] > [Image Upgrade] タブを選択し、[FlexConnect Upgrade] をクリックします。

（注）マスター AP を自動で選択する場合、[Manual] フィールドは [no] で更新されます。

ステップ 6 特定の FlexConnect グループで効率的なイメージアップグレードを開始するには、[FlexConnect Upgrade] をクリックします。

[WLC GUI] > [Wireless] > [FlexConnect Groups] に移動し、[FlexConnect Group] > [Image Upgrade] タブを選択し、[FlexConnect Upgrade] をクリックします。

（注） [Slave Maximum Retry Count] は、マスター AP からイメージをダウンロードするためにスレーブ AP が試行する回数です（デフォルトでは 44）。その回数の試行後に、WLC からのイメージのダウンロードにフォールバックします。WLC からの新しいイメージのダウンロードは 20 回試行されます。その回数の試行後は、管理者がダウンロードプロセスを再度開始する必要があります。

ステップ 7 FlexConnect のアップグレードが開始されると、マスター AP のみが WLC からイメージをダウンロードします。[All AP] ページで、[Upgrade Role] が [Master/Central] として更新されます。つまり、マスター AP が中央の場所にある WLC からイメージをダウンロードしたことになります。スレーブ AP はローカルサイトにあるマスター AP からイメージをダウンロードします。これが、[All AP] ページの [Upgrade Role] が [Slave/Local] で更新される理由です。

これを確認するには、[WLC GUI] > [Wireless] に移動します。

ステップ 8 すべての AP イメージがダウンロードされたら、コントローラをリブートします。これで AP はコントローラがリブートするまでスタンドアロンモードにフォールバックします。

（注）スタンドアロンモードでは、耐障害性でクライアントの関連付けを保持します。

コントローラがリブートすると、AP は事前にダウンロードしたイメージで自動的にリブートします。AP はリブート後、プライマリコントローラに再度参加し、クライアントのサービスを再開します。

制限事項

マスター AP の選択は、FlexConnect グループおよび各グループの AP モデルごとに行われます。

同じモデルのスレーブ AP 3 つのみがそれらのマスター AP から同時にアップグレードでき、残りのスレーブ AP はランダムバックオフタイマーを使用してマスター AP に対して AP イメージのダウンロードを再試行します。

スレーブ AP が何らかの理由でマスター AP からイメージをダウンロードできなかった場合は、新しいイメージを取得するために WLC に移動します。

これは CAPWAP AP でのみ機能します。

スマート AP イメージアップグレードは、マスター AP が CAPWAPv6 に接続されている場合は機能しません。

FlexConnect モードでの自動 AP 変換

WLC には、AP モードを FlexConnect に変換するためのオプションが 2 つ備わってます。

手動モード

自動変換モード

手動モード

このモードは、すべてのプラットフォームで使用でき、変更は AP 単位でのみ実行できます。

1. [WLC GUI] > [Wireless] > [All APs] に移動し、AP を選択します。

2. [FlexConnect] に [AP Mode] を選択し、[Apply] をクリックします。

3. AP モードの変更によって、AP はリブートされます。

また、このオプションは現在のすべての WLC プラットフォームで使用できます。

自動変換モード

このモードは、接続されたすべての AP の変更をトリガーします。FlexConnect WLC は、この CLI を有効にする前に、既存の WLC キャンパスコントローラではなく、別のモビリティドメインに展開することをお勧めします。

また、この機能は 8510、5520、および 8540 コントローラでもサポートされています。

(Cisco Controller) >config ap autoconvert ?

disable............Disables auto conversion of unsupported mode APs to supported modes when AP joins

flexconnect........Converts unsupported mode APs to flexconnect mode when AP joins monitor............Converts unsupported mode APs to monitor mode when AP joins

(Cisco Controller) >

ステップ 1 自動変換機能はデフォルトで無効になっています。これは、次の show コマンドを使用して確認できます。

(Cisco Controller) >show ap autoconvert

AP Autoconvert .................................. Disabled

サポート対象外の AP モード = ローカルモード、スニファ、不正 AP 検知、およびブリッジ。

このオプションは、現在 CLI 経由でのみ使用できます。

ステップ 2 config ap autoconvert flexconnect CLI を実行すると、サポート対象外の AP モードのネットワーク内のすべての AP を FlexConnect モードに変換します。すでに FlexConnect モードまたはモニタモードになっている AP には影響しません。

(Cisco Controller) >config ap autoconvert flexconnect

(Cisco Controller) >show ap autoconvert

AP Autoconvert .................................. FlexConnect

(Cisco Controller) >

ステップ 3 config ap autoconvert monitor CLI を実行すると、サポート対象外の AP モードのネットワーク内のすべての AP をモニタモードに変換します。すでに FlexConnect モードまたはモニタモードになっている AP には影響しません。

(Cisco Controller >config ap autoconvert monitor

(Cisco Controller) >show ap autoconvert

AP Autoconvert ................................. Monitor

config ap autoconvert flexconnect と config ap autoconvert monitor の両方を同時に実行するオプションはありません。

ローカルスイッチング WLAN のための FlexConnect WGB/uWGB サポート

リリース 7.3 以降、WGB/uWGB および WGB の背後にある有線またはワイヤレスクライアントがサポートされ、ローカルスイッチングが設定された WLAN 上の通常のクライアントとして動作するようになります。

関連付けの後、WGB はその各有線またはワイヤレスクライアントについて IAPP メッセージを送信し、Flex AP は次のように動作します。

Flex AP が接続モードの場合、すべての IAPP メッセージをコントローラに転送し、コントローラはローカルモード AP と同様に IAPP メッセージを処理します。有線またはワイヤレスクライアント宛のトラフィックは、Flex AP からローカルにスイッチングされます。

AP がスタンドアロンモードの場合、IAPP メッセージを処理し、WGB 上の有線またはワイヤレスクライアントは登録と登録解除を行える必要があります。Flex AP は、接続モードに遷移するときに、有線クライアントの情報をコントローラに送り返します。Flex AP がスタンドアロンモードから接続モードに遷移するとき、WGB は登録メッセージを 3 回送信します。

有線またはワイヤレスクライアントは WGB の設定を継承します。つまり、AAA 認証、AAA オーバーライド、FlexConnect ACL などの個別の設定は、WGB の背後にあるクライアントについては不要です。

まとめ

Flex AP 上で WGB をサポートするための、WLC 上での特別な設定は不要です。

耐障害性は、WGB および WGB の背後にあるクライアントに対してサポートされています。

WGB は IOS AP（3700、2700、1700、702、702w、1530、1570）でサポートされています。

リリース 8.8 以降は、Wave-2 AP 2800、3800、および 1562 で WGB がサポートされます。

手順

次の手順を実行します。

ステップ 1 WGB としてローカルスイッチング用に設定された FlexConnect AP で WGB/uWGB サポートを有効にするには、特殊な設定は必要ありません。また、WGB の背後にあるクライアントは、Flex AP によってローカルスイッチング用に設定された WLAN 上で通常のクライアントとして処理されます。WLAN 上で [FlexConnect Local Switching] を有効にします。

ステップ 2 [AP Mode] を [FlexConnect] に設定します。

ステップ 3 この設定済みの WLAN の背後にある優先クライアントと WGB を関連付けます。

ステップ 4 WGB の詳細を確認するには、[Monitor] > [Clients] に移動し、クライアントのリストから [WGB] を選択します。

ステップ 5 WGB の背後にある有線/ワイヤレスクライアントの詳細を確認するには、[Monitor] > [Clients] に移動し、クライアントを選択します。

制限事項

WGB の背後にある有線クライアントは、常に WGN 自体と同じ VLAN にあります。WGB の背後にあるクライアントに対する複数 VLAN のサポートは、ローカルスイッチングが設定された WLAN について、Flex AP 上でサポートされていません。

ローカルスイッチング用に設定された WLAN 上の Flex AP に関連付けられている場合、WGB の背後では、最大 20 台のクライアント（有線またはワイヤレス）がサポートされています。この数は、ローカルモード AP 上で現在 WGP サポートでの数と同じです。

ローカルスイッチング用に設定された WLAN に関連付けられている WGB の背後にあるクライアントについては、Web Auth はサポートされません。

RADIUS サーバを増設した場合のサポート

リリース 7.4 より前は、FlexConnect グループでの RADIUS サーバの設定は、コントローラ上の RADIUS サーバのグローバルリストから行っていました。RADIUS サーバの最大数、つまり、このグローバルリストで設定可能な数は 17 です。ブランチオフィスが増えるとともに、ブランチサイトごとに RADIUS サーバを設定できることが必要になりました。リリース 7.4 以降、コントローラに設定された 17 の RADIUS 認証サーバのグローバルリストに含まれているかどうかは関係なく、FlexConnect グループごとのプライマリ RADIUS サーバとバックアップ RADIUS サーバの設定が可能になります。

RADIUS サーバ用の AP 固有の設定もサポートされます。FlexConnect グループの設定よりも AP 固有の設定が優先されます。

コントローラ上のグローバル RADIUS サーバリスト内の RADIUS サーバのインデックスを必要とする、FlexConnect グループでの既存のコンフィギュレーションコマンドは廃止され、サーバの IP アドレスと共有秘密を使用して FlexConnect グループで設定するコンフィギュレーションコマンドに代わる予定です。

まとめ

FlexConnect グループごとのプライマリおよびバックアップ RADIUS サーバの設定のサポート。RADIUS 認証サーバのグローバルリストにあるかどうかは関係ありません。

WLC に追加可能な固有の RADIUS サーバの最大数は、所定のプラットフォームに設定可能な FlexConnect グループの数の 2 倍です。一例として、FlexConnect グループごとにプライマリ RADIUS サーバ 1 台、セカンダリ RADIUS サーバ 1 台です。

以前のリリースからリリース 7.4 へのソフトウェアアップグレードによって RADIUS の設定が失われることはありません。

セカンダリ RADIUS サーバを削除せずにプライマリ RADIUS サーバを削除できます。これは、RADIUS サーバの現在の FlexConnect グループ設定と一致します。

手順

ステップ 1 リリース 7.4 より前の設定のモード。

最大 17 台の RADIUS サーバを AAA 認証設定に設定できます。

ステップ 2 プライマリ RADIUS サーバとセカンダリ RADIUS サーバは、[AAA Authentication] ページで設定した RADIUS サーバから構成されるドロップダウンリストを使用して FlexConnect グループと関連付けることができます。

ステップ 3 リリース 7.4 の FlexConnect グループでの設定のモード。

プライマリ RADIUS サーバとセカンダリ RADIUS サーバは、IP アドレス、ポート番号、および共有秘密を使用して、FlexConnect グループに設定できます。

制限事項

リリース 7.4 からそれよりも前のリリースへのソフトウェアダウングレードでは設定は保持されますが、いくつかの制限事項があります。

以前のものが設定されている場合にプライマリ/セカンダリ RADIUS サーバを設定すると、古いエントリが新しいエントリに置換されます。

拡張ローカルモード（ELM）

ELM は、FlexConnect ソリューション上でサポートされています。詳細については、ELM のベストプラクティスガイドを参照してください。

FlexConnect でのゲストアクセスサポート

図 7 FlexConnect でのゲストアクセスサポート

FlexConnect WLC では、DMZ のゲストアンカーコントローラへの EoIP トンネルの作成をサポートでき、それが継続されます。ワイヤレスゲストアクセスソリューションでのベストプラクティスについては、『Guest Deployment Guide』を参照してください。

PEAP、EAP-TLS 認証のサポート

FlexConnect AP は LEAP および EAP-FAST クライアント認証用の RADIUS サーバとして設定できます。スタンドアロンモードであり、WLAN 上でローカル認証機能が有効にされている場合は、FlexConnect AP はローカル RADIUS を使用して、AP 自身の dot1x（802.1X）認証を行います。リリース 7.5 のコントローラでは、PEAP、EAP-TLS の EAP 方式もサポートされます。

EAP-TLS

EAP-TLS の証明書の生成

EAP-TLS 認証を使用してクライアントを FlexConnect AP に認証するには、WLC 上で次の手順を実行します。

WLC 上：

1. WLC のデバイスの証明書を生成します。

2. CA サーバによって署名されたデバイスの証明書を取得します。

3. CA サーバから CA 証明書を生成します。

4. デバイスと CA 証明書を .pem 形式で WLC にインポートします。

クライアント上：

1. クライアント証明書を生成します。

2. CA サーバによって署名されたクライアント証明書を取得します。

3. CA サーバから CA 証明書を生成します。

4. クライアントと CA 証明書をクライアントにインストールします。

上記手順の実行方法についての詳細な手順については、ドキュメント 100590（ http://www.cisco.com/en/US/products/ps6366/products_configuration_example09186a008093f1b9.shtml ）を参照してください。

図 8 ドキュメント 100590

FlexConnect AP での EAP-TLS の設定

1. ローカルスイッチングとローカル認証用の WLAN を作成します。

次の例では、2 つの WLAN が作成されています。1 つは EAP-TLS 用、もう 1 つは PEAP 認証用です。

図 9 PEAP および EAP-TLS 用の WLAN の設定

2. [FlexConnect Local Switching] と [FlexConnect Local Auth] を有効にします。

図 10 ローカルスイッチングとローカル認証用の WLAN

3. AP ローカル認証を有効にします。

[FlexConnect groups] 編集ページの [Enable AP Local Authentication] チェックボックスをオンにします。FlexConnect グループの RADIUS サーバは [Unconfigured] である必要があります。FlexConnect グループ上で RADIUS サーバが設定されている場合は、AP は最初に RADIUS サーバを使用してワイヤレスクライアントを認証しようとします。AP ローカル認証は、RADIUS サーバがタイムアウトしていたり、RADIUS サーバが設定されていない場合など、RADIUS サーバが見つからない場合にのみ試行されます。

図 11 AP ローカル認証用の FlexConnect グループの設定

4. 現在、EAP メソッドを選択するオプションが 2 つ増えました。FlexConnect グループでの PEAP および EAP-TLS オプションと、既存の LEAP および EAP-FAST オプションです。

a. 現在のコントローラリリースでは、コントローラへの EAP デバイスとルート（CA）証明書のダウンロードがサポートされており、フラッシュ上に PEM 形式で保存できます。

図 12 ベンダーデバイス証明書のダウンロード

図 13 ベンダー CA 証明書のダウンロード

b. リリース 7.5 では、EAP-TLS を使用したクライアント認証にこれらの証明書が使用されます。EAP-TLS メソッドが有効で、それをクライアントを認証するために AP で使用する場合は、デバイス証明書とルート証明書の両方が FlexConnect グループ内のすべての FlexConnect AP にダウンロードされます。

c. 新しい AP をグループに参加させる場合は、証明書が他の設定とともに AP にプッシュされます。ユーザは、FlexConnect グループで EAP-TLS を有効にする前に、EAP デバイス証明書とルート証明書をコントローラにダウンロードする必要があります。

d. コントローラから証明書メッセージを受信すると、AP はそれらの証明書をインポートし、メモリに保存し、クライアントの認証に使用します。

e. 更新された証明書を AP にプッシュするために [EAP TLS Certificate Download] オプションが提供されています。

図 14 FlexConnect グループでの AP ローカル認証時の PEAP と EAP TLS の有効化

AP 上の証明書ファイル

EAP-TLS が有効になっている場合は、4 つのファイルが AP にダウンロードされます。

eapdev.pem.ca：CA（ルート）証明書です。

eapdev.pem.crt：デバイスのパブリック証明書です。

eapdev.pem.prv：デバイスの RSA 秘密キーです。

eapdevpwd：秘密キーを保護するためのパスワードファイルです。

図 15 AP 上のフラッシュに保存されたファイル

クライアント設定

EAP タイプとして [EAP-TLS] を選択し、信頼されたルート認証局とクライアント証明書を指定して、EAP-TLS のワイヤレスプロファイルを設定します。

図 16 EAP-TLS のワイヤレスプロファイル

図 17 サーバ ID の検証

クライアントが接続されると、サーバベースの認証が EAP TLS を反映します。

図 18 EAP-TLS を使用したクライアント認証

クライアント証明書

次のように、信頼されたルート証明書およびクライアント証明書を表示できます（これらは前述で生成した証明書）。

図 19 クライアント上の証明書

図 20 クライアント上の信頼されたルート（CA）証明書

図 21 信頼されたクライアント証明書

show コマンド

クライアントの EAP タイプが WLC に反映され、show client detail の出力で確認できます。

図 22 EAP-TLS を使用して認証されたクライアントの EAP タイプ

EAP-PEAP

PEAP（EAP-MSCHAPv2 および EAP-GTC）EAP タイプはリリース 7.5 でサポートされており、次に示すようにユーザを WLC に追加する必要があります。FlexConnect グループごとに最大 100 人のユーザを追加できます。

ユーザの作成

図 23 ローカル認証用のユーザの追加

クライアント設定

EAP タイプに EAP-MSCHAPv2 または GTC を選択すると、EAP-PEAP のワイヤレスプロファイルを設定できます。

図 24 EAP PEAP（EAP-MSCHAPv2）のワイヤレスプロファイル

コントローラで作成されたユーザはクライアント上で設定する必要があります。

図 25 PEAP のユーザ名とパスワード

図 26 Cisco Aironet デスクトップユーティリティプロファイル管理

クライアントが接続されると、サーバベースの認証が PEAP（EAP-MSCHAPv2）を反映します。

図 27 PEAP（EAP-MSCHAPv2）を使用したクライアント認証

クライアントが認証されると、[Client Detail] ページで EAP タイプを確認できます。

図 28 Web GUI クライアントの詳細

show コマンド

クライアントの EAP タイプが WLC に反映され、show client detail の出力で確認できます。

図 29 PEAP を使用して認証されたクライアントの EAP タイプ

FlexConnect AP での PEAP と EAP-TLS の CLI サポート

コントローラから PEAP と EAP-TLS を設定するため、新たに 2 つの CLI が追加されました。

config flexconnect group <groupName> radius ap peap <enable | disable>

config flexconnect group <groupName> radius ap eap-tls <enable | disable>

証明書をダウンロードするための CLI も追加されています。

config flexconnect group <groupName> radius ap eap-cert download

AP での設定はコンソールから確認できます。

図 30 AP コンソールで CLI コマンド

次のコマンドを使用してこの機能をトラブルシュートできます。

debug eap all

debug aaa authentication

debug dot11 aaa authenticator all

debug aaa api

debug aaa subsys

debug dot11 aaa dispatcher

debug aaa protocol local

debug radius

debug aaa dead-criteria transaction

ガイドライン

FlexConnect AP は、スタンドアロンモードになっているか、またはローカル認証に設定されている必要があります。

機能させるには、EAP-TLS 用の AP に証明書が存在する必要があります。

FlexConnect グループレベルでの WLAN-VLAN マッピング

リリース 7.5 より前では、WLAN-VLAN マッピングは AP 単位で行われていました。

導入環境内での AP 数の増加にともない、FlexConnect グループグループから WLAN-VLAN マップを追加する機能を提供する必要性が生じています。リリース 7.5 でこれがサポートされます。

WLAN-VLAN マッピングは、FlexConnect グループに存在するすべての AP にプッシュされます。FlexConnect レベルの設定は、WLAN 上で設定された WLAN-VLAN よりも優先されます。

WLAN-VLAN マッピングの継承

WLAN レベルの WLAN-VLAN マッピングは最も低い優先順位です。

高い優先順位のマッピングがそれよりも低い優先順位のマッピングをオーバーライドします。

AP レベルの WLAN-VLAN マッピングは最も高い優先順位です。

より高い優先順位のマッピングを削除すると、その次に高い優先順位のマッピングが有効になります。

次の図に、WLAN、FlexConnect グループ、および AP での WLAN-VLAN マッピングと呼ばれる、優先順を示します。

図 31 継承のフロー

GUI の設定

1. ローカルスイッチング用の WLAN の作成

図 32 ローカルスイッチング用の WLAN

図 33 FlexConnect ローカルスイッチング

WLAN は管理 VLAN 56 にマッピングされます。

図 34 VLAN 56 管理インターフェイスにマッピングされた WLAN

図 35 WLAN 固有のマッピングに従って VLAN 56 にマッピングされた WLAN

この WLAN にクライアントが接続すると、そのクライアントは VLAN 56 の IP を取得します。

図 36 VLAN 56 のクライアント

2. FlexConnect グループで WLAN-VLAN マッピングを作成します。この機能は、リリース 7.5 での新機能です。

図 37 FlexConnect グループの VLAN 57 にマッピングされた WLAN

[VLAN Mappings] ページから、AP ごとに WLAN-VLAN マッピングを表示できます。

図 38 AP での VLAN マッピング

この例では、FlexConnect グループの VLAN 57 に WLAN がマッピングされます。これは、グループ固有のマッピングが WLAN 固有のマッピングよりも優先されるためです。

図 39 グループ固有の設定の継承に従った VLAN 57 にマッピングされた WLAN 1

クライアントには VLAN 57 内の IP アドレスが割り当てられます。

図 40 VLAN 57 のクライアント

3. AP で WLAN-VLAN マッピングを作成するには、[VLAN Mappings] で [Make AP Specific] を選択します。

完了すると、WLAN は VLAN 58 にマッピングされます。これは、AP 固有のマッピングがグループ固有のマッピングと WLAN 固有のマッピングよりも優先されるためです。

図 41 AP 固有のマッピング継承に従って VLAN 58 にマッピングされた WLAN

クライアントには VLAN 58 内の IP アドレスが割り当てられます。

図 42 VLAN 58 のクライアント

CLI 設定

次の CLI がこの機能の一部として追加されています。

config flexconnect group <group> wlan-vlan wlan <wlan-id> add vlan <vlan-id>

config flexconnect group <group> wlan-vlan wlan <wlan-id> delete

config ap flexconnect vlan remove wlan <wlan_id> <ap_name>

図 43 CLI からの FlexConnect グループでの WLAN-VLAN 設定

show flexconnect group detail コマンドを使用して、FlexConnect グループへの WLAN-VLAN マッピングを確認できます。

図 44 show flexconnect group detail 出力

show ap config general <AP name> コマンドを使用して、AP ごとに WLAN-VLAN マッピングを表示できます。

図 45 show ap config general 出力

次のコマンドを使用してこの機能をトラブルシュートできます。

WLC 上：

debug flexconnect wlan-vlan <enable | disable>

AP 上：

debug capwap flexconnect wlan-vlan

ガイドライン

WLAN は、ローカルスイッチングである必要があります。

この設定は、WLAN がその AP でブロードキャストされる場合にのみ、AP にプッシュされます。

クライアント ACL サポート

リリース 7.5 よりも前では、VLAN で FlexConnect ACL をサポートしています。また、VLAN の AAA オーバーライドもサポートしています。クライアントに対して VLAN の AAA オーバーライドが行われた場合、このクライアントはオーバーライドされた VLAN 上に配置され、この VLAN の ACL が適用されます。ローカルでスイッチングされるクライアントの場合に AAA から ACL を受け取る場合は、これを無視します。リリース 7.5 ではこの制限に対処し、ローカルでスイッチングされる WLAN のクライアントベースの ACL がサポートされます。

クライアント ACL の概要

a. この機能を使用すると、ローカルにスイッチングされる WLAN にクライアントごとの ACL を適用できます。

b. クライアント ACL は、Airespace RADIUS 属性の一部であるクライアント L2 認証/Web 認証が成功したときに AAA サーバから返されます。

c. AP での ACL の事前作成にはコントローラが使用されます。AP は、ACL 設定を受け取ると、対応する IOS ACL を作成します。AAA サーバが ACL を提供すると、クライアント構造はこの情報で更新されます。

d. FlexConnect グループごと、および AP ごとに設定があります。FlexConnect グループ用に最大 16 個の ACL を作成でき、AP ごとに最大 16 個の ACL を設定できます。

e. AAA オーバーライドクライアントの高速ローミング（CCKM/PMK）をサポートするため、これらの ACL はキャッシュ内に保持され、FlexConnect グループの一部であるすべての AP にプッシュされます。

f. 中央認証の場合、AAA サーバから ACL を受け取ると、コントローラは ACL 名をクライアントの AP に送信します。ローカルに認証されたクライアントの場合、CCKM/PMK キャッシュの一部として ACL が AP からコントローラに送信され、その後、FlexConnect グループに所属するすべての AP に分配されます。

g. FlexConnect グループごとに最大 16 個のクライアント ACL、AP ごとに最大 16 個のクライアント ACL

h. 合計で 96 個の ACL を AP 上に設定でき（32 個の VLAN-ACL、16 個の WLAN-ACL、16 個のスプリットトンネル、16 個の AP クライアント ACL）、それぞれの ACL に 64 個のルールがあります。

i. ACL は、問題のクライアントの dot11 側に適用されます。AP のイーサネットインターフェイスの VLAN に適用された VLAN ACL に加えて、この ACL が適用されます。

j. VLAN-ACL に加えてクライアント ACL が適用されると、その両方が同時に存在でき、逐次適用されます。

クライアント ACL を設定する手順

1. 中央でスイッチングされるか、またはローカルでスイッチングされるローカルスイッチング WLAN を作成します。

図 46 ローカルスイッチング WLAN の作成

2. WLAN に対する AAA オーバーライドをオンします。

AAA オーバーライドを有効にします。

3. FlexConnect ACL を作成します。

FlexConnect ACL は、[Security] ページだけでなく、[Wireless] ページからも設定できます。

図 47 FlexConnect ACL の設定

4. FlexConnect グループまたは AP に、FlexConnect ACL を割り当てます。

図 48 FlexConnect グループでの ACL マッピング

図 49 AP での ACL マッピング

5. RADIUS/Cisco ACS サーバ/ISE 上で Airespace 属性を設定します。

図 50 Cisco ACS サーバ上の Aire-ACL 名

図 51 ISE 上の Airespace ACL 名

6. クライアントを認証します。

CLI 設定

クライアント ACL は show access-list コマンドと show controllers dot11Radio コマンドを使用して AP 上に表示できます。

図 52 show access-lists の出力

図 53 AP 上のクライアント ACL

http://www.cisco.com/en/US/products/ps11635/products_tech_note09186a0080b7f141.shtml

ガイドライン

AAA がクライアント ACL を送信する前に、グループまたは AP 上で ACL を事前に作成しておく必要があります。ACL は client join 時に AP に動的にダウンロードされません。

最大 96 個の ACL を AP で設定できます。

各 ACL には最大 64 のルールが設定されます。

クライアントがすでに認証されていて、RADIUS 上で ACL 名が変更されている場合、クライアントは完全な認証を再度実行して正しいクライアント ACL を取得する必要があります。

ACL はコントローラではキャッシュに保存されていないため、AP がリブート/クラッシュした場合はそのキャッシュは更新されません。クライアントは完全な認証を実行して正しいクライアント ACL を適用する必要があります。

AAA サーバから ACL が返されてはいるものの、対応する ACL が AP にない場合、クライアントの認証が解除されます。AP と WLC コンソールでログメッセージが生成されます。

AP 上：

*Mar 4 09:20:43.255: %LWAPP-3-CLIENT_ACL_ENTRY_NOT_EXIST: Deleting Mobile for 0040.96b8.d4be: CLIENT ACL not exist on AP

WLC 上：

*spamApTask7: Mar 04 14:51:03.989: #HREAP-3-CLIENT_ACL_ENTRY_NOT_EXIST: spam_lrad.c:36670 The client 00:40:96:b8:d4:be could not join AP : 34:a8:4e:e7:5b:c0 for slot 1, Reason: acl returned from RADIUS/local policy not present at AP

さまざまなシナリオを次の表に示します。

AP 上にある ACL

AAA から返された ACL

動作

非対応

非対応

該当なし

非対応

対応

クライアントの認証が解除されます。

対応

非対応

正常な L2 認証。

ACL は適用されません。

対応

対応

クライアント ACL で L2 認証が適用されます。

FlexConnect ローカルスイッチングの VideoStream

はじめに

Cisco Unified Wireless Network（CUWN）リリース 8.0 には、ローカルスイッチング用およびブランチオフィス展開環境用の新機能である VideoStream が導入されました。この機能により、現行のエンタープライズ環境での展開と同様に、各ブランチにマルチキャストビデオストリームを展開するワイヤレスアーキテクチャが実現します。この機能は、ブランチネットワーク内でビデオストリームとクライアントの規模を拡大する場合に、ビデオ配信の質が低下するという欠点を補います。VideoStream は、ワイヤレスクライアントに対するビデオマルチキャストの信頼性を高め、ブランチ内のワイヤレス帯域幅の使用効率を向上させます。

使用されるコンポーネント

ローカルスイッチング用の VideoStream 機能は、CUWN ソフトウェアバージョン 8.0 で使用できます。この機能は、すべてのワイヤレス LAN コントローラ（WLAN）、および新世代の屋内用アクセスポイント（AP）でサポートされています。この機能は、Autonomous アクセスポイントでは使用できません。

サポートされているワイヤレスハードウェアおよびソフトウェア

VideoStream は、次のすべての Cisco Wireless LAN Controller でサポートされています。

Cisco 5500 Controller

Cisco 7510 Controller

Cisco 8510 Controller

Cisco WiSM-2 Controller

Cisco 2504 Controller

vWLC

IGMPv2 は、すべてのコントローラでサポートされているバージョンです。

VideoStream は、Cisco Aironet 1140、1250、1260、1520、1530、1550、1600、2600、3500、3600 シリーズの AP から構成される 802.11n モデルと、3700 および 2700 シリーズ AP の 802.11ac モデルでサポートされています。

動作理論

VideoStream 機能の詳細に進む前に、Wi-Fi マルチキャストでいくつかの欠けている点を理解しておく必要があります。802.11n は、屋内のワイヤレス展開でとりわけよく検討されるワイヤレステクノロジーです。エンタープライズおよびブランチネットワークにおいては、マルチメディアサービス、特にビデオにおいて顕著な要件が同様に見られます。マルチキャストでは、マルチキャストフレームおよびブロードキャストフレームでの MAC レイヤリカバリは提供されません。マルチキャストパケットおよびブロードキャストパケットには確認応答（ACK）はなく、すべてのパケット配信がベストエフォートになります。802.11a/b/g/n によるワイヤレス経由のマルチキャストでは、信頼性の高い伝送メカニズムは提供されません。

ワイヤレス展開では、干渉や高いチャネル使用率、セルのエッジでの低 SNR などが見られる傾向にあります。また、多くのクライアントが同じチャネルを共有していても、クライアントごとにチャネル条件、電力制限、およびクライアント処理能力が異なることもあります。したがって、マルチキャストは同じチャネル内のすべてのクライアントに対する伝送プロトコルとしては高い信頼性は望めません。各クライアントのチャネル条件が異なるためです。

ワイヤレスマルチキャストでは、ビデオサーバによって DiffServ コードポイント（DSCP）としてマークされたとしても、ビデオトラフィックは優先されません。アプリケーションは、ACK がないことでパケット損失を確認し、配信の再試行は適切でないと判断します。信頼性の高いマルチキャストパケットの伝送を行うには、ネットワークでキューを分類し、Quality of Service（QoS）を使用してプロビジョニングすることが必要です。これにより、パケットをマーキングして適切なキューにソートし、ドロップパケットとホストへのパケットの遅延を排除することで、信頼性の低さの問題は実質的に解消されます。

802.11n、および現在は 802.11ac のネットワークとクライアントの両方での適応が本格化しているとしても、ワイヤレスマルチキャストは 802.11n および 802.11ac のデータレートを使用することができませんでした。このことも、ワイヤレスマルチキャスト伝播に代わるメカニズムが必要とされる要因の 1 つとなってきました。

VideoStream

VideoStream は、マルチキャストグループに参加しているクライアントがあるかどうかに関係なく、AP 上のすべての WLAN にマルチキャストパケットをブロードキャストする必要性を解消することで、帯域幅を効率的に使用します。この制限を回避するには、AP はクライアントが参加している WLAN 上でのみ、クライアントが参加しているデータレートで、ユニキャスト転送を使用してマルチキャストトラフィックをホストに送信できる必要があります。

VideoStream は、コントローラ上でグローバルに有効にできます。また、この機能は WLAN レベルでも有効にすることができ、管理者がマルチキャストダイレクト機能の特定のビデオストリームを特定するための管理を強化します。

ストリームアドミッション

前述のとおり、ビデオは効率的で、影響力が強い通信手段ですが、帯域幅には高い負荷がかかります。またご存じのとおり、すべてのビデオコンテンツが一律に優先順位付けされるわけでもありません。上記で説明したように、企業がビジネスにビデオを活用する場合、ビジネスに不可欠なメディアがネットワーク帯域幅を先に使用するように優先順位をつける必要があります。

マルチキャストからユニキャストへ

802.11n データレートを有効にし、パケットエラーを修正することで、Cisco VideoStream のマルチキャストツーユニキャスト機能は、Wi-Fi 経由でのストリーミングビデオ配信の信頼性を、従来のワイヤレスネットワークのベストエフォート機能よりも向上させています。

ワイヤレスクライアントアプリケーションは、IGMP join メッセージを送信することで IP マルチキャストストリームをサブスクライブします。信頼できるマルチキャストによって、インフラストラクチャは要求をスヌーピングし、IGMP メッセージのデータを収集できます。AP がストリームサブスクリプションと設定を確認します。ストリームが着信したら信頼性の高いマルチキャストを開始するため、AP に接続されたワイヤレスクライアントに応答が送信されます。マルチキャストパケットが着信すると、AP はマルチキャストフレームを複製して、802.11 ユニキャストフレームに変換します。最後に、信頼性の高いマルチキャストサービスによって、ビデオストリームはユニキャストとしてクライアントに直接配信されます。

クライアントに対する高度なビデオの拡張性

Cisco VideoStream テクノロジーを使用すると、すべてのレプリケーションが（AP の）エッジで実行されるため、ネットワーク全体を効率的に使用できます。どの時点でも、ネットワークを通過する設定済みメディアストリームは 1 つだけです。ビデオストリームはクライアントが開始した IGMP 要求に基づいて AP でユニキャストに変換されるためです。他のベンダーでもマルチキャストからユニキャストに変換する同様の処理を行っていますが、ストリームをサポートする有線ネットワークにかかる負荷が高いため、非効率的です。

スイッチの設定

VideoStream は、ブランチ全体に展開されている既存の有線ネットワークおよびワイヤレスネットワークに展開できます。ワイヤレスネットワークを利用するビデオは、実装とメンテナンスコストの総額が大幅に削減されます。展開の前提は、有線ネットワークがマルチキャスト対応であることです。アクセススイッチがレイヤ 3 ネットワークの一部であることを確認するには、クライアントマシンをスイッチポートに接続して、クライアントマシンがマルチキャストフィードに参加できるかどうかを確認します。

Show run | include multicast は、レイヤ 3 スイッチでマルチキャストが有効になっているかどうかを表示し、マルチキャストに対して有効になっていない場合は、次のコマンドをスイッチで有効にすることによってマルチキャストを有効にできます。

L3_Switch#show run | include multicast

ip multicast-routing distributed

有線ネットワークの Protocol Independent Routing（PIM）設定のタイプに応じて、レイヤ 3 スイッチを、PIM スパースモードまたは PIM デンスモードのいずれかに設定します。また、PIM スパース - デンスモードという、広く使用されているハイブリッドモードもあります。

interface Vlan56

ip address 9.5.56.1 255.255.255.0

ip helper-address 9.1.0.100

ip pim sparse-dense-mode

end

show ip igmp interfaces は、IGMP メンバーシップに参加している SVI インターフェイスを表示します。このコマンドは、スイッチまたはルータ上で設定されている IGMP のバージョンを表示します。インターフェイス上の IGMP アクティビティは、クライアントからの IGMP join および leave の形式でも確認できます。

L3_Switch#show ip igmp interface

Vlan56 is up, line protocol is up

Internet address is 9.5.56.1/24

IGMP is enabled on interface

Current IGMP host version is 2

Current IGMP router version is 2

IGMP query interval is 60 seconds

IGMP configured query interval is 60 seconds

IGMP querier timeout is 120 seconds

IGMP configured querier timeout is 120 seconds

IGMP max query response time is 10 seconds

Last member query count is 2

Last member query response interval is 1000 ms

Inbound IGMP access group is not set

IGMP activity: 6 joins, 3 leaves

Multicast routing is enabled on interface

Multicast TTL threshold is 0

Multicast designated router (DR) is 9.5.56.1 (this system)

IGMP querying router is 9.5.56.1 (this system)

Multicast groups joined by this system (number of users):

224.0.1.40(1)

上記の設定は、レイヤ 3 スイッチ上で show ip mroute コマンドを実行することで確認できます。上記の設定には、調べる必要がある特定のエントリが含まれています。特殊表記の（Source, Group）で、Source の「S」はマルチキャストサーバの送信元 IP アドレスを、Group の「G」はクライアントが参加を要求したマルチキャストグループアドレスを示します。ネットワーク上に多くの送信元がある場合には、それぞれの送信元 IP アドレスとマルチキャストグループアドレスについて（S,G）とルータに表示されます。次に示す出力にも、発信インターフェイスと着信インターフェイスの情報が含まれています。

L3_Switch#show ip mroute

IP Multicast Routing Table

Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected,

L - Local, P - Pruned, R - RP-bit set, F - Register flag,

T - SPT-bit set, J - Join SPT, M - MSDP created entry, E - Extranet,

X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement,

U - URD, I - Received Source Specific Host Report,

Z - Multicast Tunnel, z - MDT-data group sender,

Y - Joined MDT-data group, y - Sending to MDT-data group,

V - RD & Vector, v - Vector

Outgoing interface flags: H - Hardware switched, A - Assert winner

Timers: Uptime/Expires

Interface state: Interface, Next-Hop or VCD, State/Mode

(*, 239.255.255.250), 4d20h/00:02:35, RP 0.0.0.0, flags: DC

Incoming interface: Null, RPF nbr 0.0.0.0

Outgoing interface list:

Vlan56, Forward/Sparse-Dense, 4d20h/stopped

(*, 229.77.77.28), 4d15h/00:02:36, RP 0.0.0.0, flags: DC

Incoming interface: Null, RPF nbr 0.0.0.0

Outgoing interface list:

Vlan56, Forward/Sparse-Dense, 00:24:34/stopped

(*, 224.0.1.40), 5d17h/00:02:41, RP 0.0.0.0, flags: DCL

Incoming interface: Null, RPF nbr 0.0.0.0

Outgoing interface list:

Vlan56, Forward/Sparse-Dense, 5d17h/stopped

コントローラの設定

VideoStream の有効化：グローバル

次に示すように、グローバルマルチキャストモードおよび IGMP スヌーピングをコントローラ上で有効にします。

図 54 WLC の設定

(Cisco Controller) >config network multicast global enable

(Cisco Controller) >config network multicast igmp snooping enable

コントローラ上で VideoStream をグローバルに有効にするには、[Wireless] > [Media Stream] > [General] に移動し、[Multicast Direct Feature] チェックボックスをオンにします。ここでこの機能を有効にすると、コントローラ上の VideoStream 用の一部の設定パラメータに値が入力されます。

図 55 VideoStream の有効化：グローバル

(Cisco Controller) >config media-stream multicast-direct ?

enable Enable Global Multicast to Unicast Conversion

disable Disable Global Multicast to Unicast Conversion

[WLAN] > [QoS] で [Multicast Direct] ボタンは、機能がグローバルに有効である場合に表示されます。

これによって、SSID ごとに VideoStream を有効にする柔軟性が提供されます。これについては、このドキュメントの後の部分で説明します。

[WLAN] > [Advanced] の下にある [Local Switching] をオンにして、この設定内の AP が FlexConnect モードになるようにします。

図 56 WLAN でのローカルスイッチングの有効化

図 57 AP モードから FlexConnect への変更

メディアストリーム設定の追加

マルチキャストストリームをコントローラに追加するには、[Wireless] > [Media Stream] > [Streams] に移動し、[Add New] をクリックします。

図 58 メディアストリームの設定

設定するには、CLI を使用します。

configure media-stream add multicast-direct <media-stream-name> <start-IP> <end-IP> [template | detail <bandwidth> <packet-size> <Re-evaluation> video <priority> <drop|fallback>]

前述のとおり、管理者はコントローラを通じてビデオ特有のストリーミングを認識する必要があります。ストリームの設定が追加されるときには、正しくバランスが取れている必要があります。たとえば、ストリームのビットレートが 1200 ～ 1500 Kbps の範囲で変動する場合は、ストリームの帯域幅は 1500 Kbps に設定されている必要があります。ストリームを 3000 Kbps に設定すると、AP でサービスを提供できるビデオクライアントは少なくなります。同様に、1000 Kbps に設定すると、ピクセリゼーション、音質の低下、ユーザエクスペリエンスの低下につながります。

図 58 に示すように、マルチキャストの宛先の開始 IP アドレスと終了 IP アドレスは、同じアドレスにできます。また、コントローラ上でマルチキャストアドレスの範囲を設定することもできます。マルチキャストアドレスのエントリ数、または AP にプッシュされるストリームエントリ数には、100 という制限があります。

VideoStream の有効化：WLAN

設定済みの WLAN/SSID の 1 つまたはすべてを、VideoStream を使用したビデオのストリーミング用に有効にできます。これは、VideoStream 機能の有効化を制御できる、もう 1 つの設定手順です。VideoStream 機能の有効化または無効化は、非破壊的です。[WLAN] > [<WLAN ID>] > [QoS] をクリックします。

図 59 VideoStream の有効化：WLAN

QoS 値 Gold（4）でワイヤレスクライアントにビデオをストリーミングするように、[Quality of Service (QoS)] を [Gold (video)] に設定します。これは、コントローラ上の設定済みストリームに参加しているワイヤレスクライアントに対する、ビデオの Quality of Service のみを有効にします。その他のクライアントに対しては、適切な QoS が有効になります。WLAN 上でマルチキャストダイレクトを有効にするには、図 59 に示すように [Multicast Direct] チェックボックスをオンにします。これにより、WLAN はワイヤレスクライアントに対して、VideoStream 機能を使用してサービスを提供できるようになります。

(Cisco Controller) > config wlan media-stream multicast-direct 1 ?

enable Enables Multicast-direct on the WLAN

disable Disables Multicast-direct on the WLAN.

ストリームへの参加を要求しているすべてのワイヤレスクライアントには、アドミッション時にビデオの QoS 優先順位が割り当てられます。WLAN でこの機能を有効にする前にビデオをストリーミングしていたワイヤレスクライアントは、通常のマルチキャストを使用してストリーミングすることになります。この機能を有効にすると、次回の IGMP スヌーピング間隔のときに、クライアントは自動的にマルチキャストダイレクトに切り替わります。[Multicast Direct] 機能をオフにしておくと、WLAN 上でレガシーマルチキャストを有効にできます。これは、ビデオをストリーミングしているワイヤレスクライアントが、通常マルチキャストモードであることを示します。

VideoStream 機能の確認

ワイヤレスクライアントがアクセスポイントに関連付けられており、正しいインターフェイスに対して設定されていることを確認します。図 60 に示すように、3 つのクライアントが 1 つの AP に関連付けられています。3 つのクライアントのすべてに VLAN 56 からの IP アドレスがあります（SSID 名：enjoy）。関連付けられているクライアントには IP アドレスと AP への良好なアップリンク接続があります。

図 60 Client Summary

設定済みマルチキャストアドレス 229.77.77.28 を使用してビデオサーバに接続し、有線側のストリーミングを有効にします。ビデオサーバからのストリーミング方法については、 https://wiki.videolan.org/Documentation:Streaming_HowTo_New/#Streaming_using_the_GUI を参照してください。

次の手順を実行します。

ステップ 1 ワイヤレスクライアントをマルチキャストストリーミングビデオに参加させます。

（注） VLC プレーヤーを使用してビデオをストリーミングし、視聴します。

ステップ 2 デスクトップ上の [VLC] アイコンをダブルクリックします。[Media] > [Open Network stream] をクリックします。Choose プロトコル = UDP、アドレス = 229.77.77.28、ポート = 1234（udp://@229.77.77.28:1234）形式）

ステップ 3 [Play] をクリックします。

L3_Switch#show ip mroute

IP Multicast Routing Table

Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected,

L - Local, P - Pruned, R - RP-bit set, F - Register flag,

T - SPT-bit set, J - Join SPT, M - MSDP created entry, E - Extranet,

X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement,

U - URD, I - Received Source Specific Host Report,

Z - Multicast Tunnel, z - MDT-data group sender,

Y - Joined MDT-data group, y - Sending to MDT-data group,

V - RD & Vector, v - Vector

Outgoing interface flags: H - Hardware switched, A - Assert winner

Timers: Uptime/Expires

Interface state: Interface, Next-Hop or VCD, State/Mode

(*, 239.255.255.250), 4d20h/00:02:47, RP 0.0.0.0, flags: DC

Incoming interface: Null, RPF nbr 0.0.0.0

Outgoing interface list:

Vlan56, Forward/Sparse-Dense, 4d19h/stopped

(*, 229.77.77.28), 4d15h/00:02:44, RP 0.0.0.0, flags: DC

Incoming interface: Null, RPF nbr 0.0.0.0

Outgoing interface list:

Vlan56, Forward/Sparse-Dense, 00:17:24/stopped

(*, 224.0.1.40), 5d17h/00:02:53, RP 0.0.0.0, flags: DCL

Incoming interface: Null, RPF nbr 0.0.0.0

Outgoing interface list:

Vlan56, Forward/Sparse-Dense, 5d17h/stopped

ワイヤレスクライアントの MAC アドレスが [Multicast-Direct Allowed] の状態であることが確認できます。

図 61 FlexConnect VideoStream のクライアント

クライアント上での Wireshark キャプチャは、マルチキャストからユニキャストへのビデオストリームを表示します。イーサネットヘッダーには、宛先 MAC アドレスとしてクライアントの MAC アドレス（例：7c:d1:c3:86:7e:dc）が含まれています。

図 62 mc2uc を示す Wireshark キャプチャ

制限事項

この機能範囲の制限には以下が含まれます。

1. ローカルにスイッチングされるクライアントのマルチキャストビデオ要求にはアドミッションコントロールはありません。つまり、設定したビデオストリームのサブスクリプションは常に mc2uc として承認されます。

2. CAPWAP ペイロード長の制限により、このリリースでは、コントローラから AP へ最初の 100 のメディアストリームのみがプッシュされます。次に例を示します。
config media-stream add multicast-direct stream1 225.0.0.1 225.0.0.10 template coarse , は 1 つのエントリと見なされます。

3. ローミングサポートは、モバイルペイロードの追加に限定されています。クライアントが別の AP にローミングする場合は常に、WLC が mc2uc テーブル内のクライアントにエントリを追加します。つまり、この機能では FlexConnect AP のスタンドアロンモードでのローミングはサポートされません。

4. 現在、この機能では IPv4 のみがサポートされています。

show コマンド：コントローラ

一部の show コマンドは、このドキュメントで前述されています。次の項は、参照用です。

(Cisco Controller) >show ap summary

Number of APs.................................... 5

Global AP User Name.............................. Not Configured

Global AP Dot1x User Name........................ Not Configured

AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients DSE Location

------------------ ----- -------------------- ----------------- ---------------- ---------- ----------- -------- --------------

AP1142 2 AIR-LAP1142N-A-K9 f0:f7:55:f1:75:20 default location IN 9.5.56.109 0 [0 ,0 ,0 ]

AP_2600 2 AIR-CAP2602E-N-K9 fc:99:47:d9:86:90 default location IN 9.5.56.110 0 [0 ,0 ,0 ]

AP3700 2 AIR-CAP3702E-N-K9 7c:ad:74:ff:6b:46 default location IN 9.5.56.116 0 [0 ,0 ,0 ]

AP_3600-2 2 AIR-CAP3602I-N-K9 a4:4c:11:f0:e9:dc default location IN 9.5.56.111 0 [0 ,0 ,0 ]

AP_1600 2 AIR-CAP1602I-N-K9 6c:20:56:13:f6:23 default location IN 9.5.56.105 2 [0 ,0 ,0 ]

(Cisco Controller) >show client summary

Number of Clients................................ 2

Number of PMIPV6 Clients......................... 0

GLAN/

RLAN/

MAC Address AP Name Slot Status WLAN Auth Protocol Port Wired PMIPV6 Role

----------------- ----------------- ---- ------------- ----- ---- ---------------- ---- ----- ------- ----------------

88:cb:87:bd:0c:ab AP_1600 1 Associated 1 Yes 802.11a 1 No No Local

d8:96:95:02:7e:b4 AP_1600 1 Associated 1 Yes 802.11a 1 No No Local

(Cisco Controller) >show media-stream multicast-direct state

Multicast-direct State........................... enable

Allowed WLANs.................................... 1

(Cisco Controller) >show media-stream group summary

Stream Name Start IP End IP Operation Status

------------- --------------------------------------- --------------------------------------- ----------------

Media1 239.1.1.1 239.2.2.2 Multicast-direct

Media2 229.77.77.28 229.77.77.28 Multicast-direct

(Cisco Controller) >show media-stream group detail Media2

Media Stream Name................................ Media2

Start IP Address................................. 229.77.77.28

End IP Address................................... 229.77.77.28

RRC Parmmeters

Avg Packet Size(Bytes).......................... 1200

Expected Bandwidth(Kbps)........................ 500

Policy.......................................... Admit

RRC re-evaluation............................... periodic

QoS............................................. Video

Status.......................................... Multicast-direct

Usage Priority.................................. 1

Violation....................................... fallback

(Cisco Controller) >show flexconnect media-stream client summary

Client Mac Stream Name Multicast IP AP-Name VLAN Type

----------------- -------------------- --------------- ------------------------- ----- ----------------

7c:d1:c3:86:7e:dc Media2 229.77.77.28 AP_1600 0 Multicast Direct

88:cb:87:bd:0c:ab Media2 229.77.77.28 AP_1600 0 Multicast Direct

d8:96:95:02:7e:b4 Media2 229.77.77.28 AP_1600 0 Multicast Direct

(Cisco Controller) >show flexconnect media-stream client Media2

Media Stream Name................................ Media2

IP Multicast Destination Address (start)......... 229.77.77.28

IP Multicast Destination Address (end)........... 229.77.77.28

Client Mac Multicast IP AP-Name VLAN Type

----------------- --------------- ------------------------- ----- ----------------

7c:d1:c3:86:7e:dc 229.77.77.28 AP_1600 0 Multicast Direct

88:cb:87:bd:0c:ab 229.77.77.28 AP_1600 0 Multicast Direct

d8:96:95:02:7e:b4 229.77.77.28 AP_1600 0 Multicast Direct

Show コマンドと Debug コマンド：AP

Debug ip igmp snooping group

Debug capw mcast

Show capwap mcast flexconnect clients

Show capwap mcast flexconnect groups

AP_1600#show capwap mcast flexconnect clients

======

Bridge Group: 1

=======

Multcast Group Address 229.77.77.28::

MCUC List:

Number of MCUC Client: 3

88cb.87bd.0cab(Bridge Group = 1 Vlan = 0)

7cd1.c386.7edc(Bridge Group = 1 Vlan = 0)

d896.9502.7eb4(Bridge Group = 1 Vlan = 0)

--------

MC Only List:

Number of MC Only Client: 0

--------

AP_1600#show capwap mcast flexconnect groups

WLAN mc2uc configuration:

WLAN ID 1 , Enabled State 1

WLAN ID 2 , Enabled State 0

WLAN ID 3 , Enabled State 0

WLAN ID 4 , Enabled State 0

WLAN ID 5 , Enabled State 0

WLAN ID 6 , Enabled State 0

WLAN ID 7 , Enabled State 0

WLAN ID 8 , Enabled State 0

WLAN ID 9 , Enabled State 0

WLAN ID 10, Enabled State 0

WLAN ID 11, Enabled State 0

WLAN ID 12, Enabled State 0

WLAN ID 13, Enabled State 0

WLAN ID 14, Enabled State 0

WLAN ID 15, Enabled State 0

WLAN ID 16, Enabled State 0

Video Group Configuration:

Group startIp 239.1.1.1 endIp 239.2.2.2

Group startIp 229.77.77.28 endIp 229.77.77.28

FlexConnect の展開までの時間の短縮

ローカルモードから FlexConnect モードへの変換時に既存のシステムはリブートする必要があります。AP が起動すると、コントローラに再度参加し、その後ですべての FlexConnect 設定が AP にプッシュされます。このプロセスによって、ブランチでの FlexConnect ソリューションの展開にかかる合計時間が長くなります。展開までの時間は、すべてのブランチ展開にとって重大な差別化要因です。

リリース 8.0 でのこの機能では、AP を FlexConnect モードに変換する際のリブートの必要性が排除されています。コントローラが AP モード変更メッセージを送信するときに AP は FlexConnect モードに変換されます。リロードする必要はありません。また、AP がコントローラから AP サブモードペイロード情報を受け取った場合は、AP サブモードも設定されます。このアプローチでは、AP エントリがコントローラで維持され、AP 関連付け解除は行われません。

ローカルモードから FlexConnect モードへの変換のみがサポートされており、その他のモード変更の場合は AP のリブートが必要になります。同様に、AP サブモードから WIPS への変更にはリブートは必要ありませんが、残りのサブモード設定では AP のリブートが必要です。

図 63 FlexConnect への変換：リブート不要

FlexConnect + ブリッジモード

8.0 リリース以降、FlexConnect + ブリッジモードではメッシュ AP の全体にわたって Flexconnect 機能が使用できます。Flex + ブリッジモードは、メッシュ（ブリッジモード）AP 上での Flexconnect 機能を有効にするために使用されます。詳細については、『Cisco Wireless LAN Controller Configuration Guide, Release 8.0』の「 Information about FlexConnect plus Bridge Mode 」の項を参照してください。

デフォルト FlexConnect グループ

はじめに

初期展開時、顧客がステージングコントローラからすべてのアクセスポイントを設定します。8.3 よりも前では、FlexConnect アクセスポイントのデイゼロ設定がありません。したがって、ユーザは FlexConnect グループを作成し、リモートサイトのポリシーを作成し、各グループに AP を手動で配置する必要があります。デフォルトでは、新たに作成した FlexConnect グループでの VLAN サポートとネイティブ VLAN 設定が無効になっています。つまり、リモートクライアントトラフィックは AP VLAN に配置され、内部の安全なリソースにアクセスできます。また、グループ内でサポートされる AP の数についても制限があります。これにより、初期展開時のすべての FlexConnect グループでの generic catch の作成が防止されます。

これらの課題を克服し、デイゼロ設定をより簡単にし、高速化するために、デフォルト FlexConnect グループの概念がリリース 8.3 に導入されました。

コントローラが起動すると、「default-flex-group」がデフォルトで作成されます。このグループを手動で削除、追加することはできません。同様に、default-flex-group に対してアクセスポイントを手動で追加したり、削除することはできません。

このグループには、作成時に FlexConnect グループのデフォルト設定があり、グループに含めることができる AP の最大数の制限はありません。設定の変更はこのグループに含まれているすべての AP に伝達され、グループの設定はリセットされても保持されます。

管理者が設定した FlexConnect グループに含まれない FlexConnect モードである AP がコントローラに接続すると、AP は default-flex-group に属することになり、このグループから設定を取得します。

Cisco Flex 7500 シリーズコントローラなどのコントローラでは、自動変換モードが「flexconnect」に設定されている場合、AP join 時に AP は FlexConnect モードに変換され、default-flex-group から設定が継承されます。つまり、ゼロタッチ設定がサポートされています。

同様に、管理者が設定した FlexConnect グループが削除されるか、または AP がそのようなグループから手動で削除されると、その AP は default-flex-group のいち部となり、このデフォルトグループから設定を継承します。

デフォルトの FlexConnect グループでサポートされている機能

VLAN サポート、ネイティブ VLAN、WLAN-VLAN マッピング

VLAN ACL マッピング

Web 認証、Webpolicy、ローカルスプリット ACL

ローカル認証ユーザ

RADIUS 認証

中央 DHCP/NAT-PAT

Flex AVC

VLAN 名 ID のマッピング

マルチキャストオーバーライド

デフォルトの FlexConnect グループでサポートされていない機能

Efficient Image のアップグレード

PMK キャッシュ配布

PnP でのデフォルトの FlexConnect グループ

ゼロタッチ導入の一環として、PnP サーバは設定情報を AP にプッシュします。8.2 現在、設定には WLC IP、WLC 名、AP モード、および AP グループ名が含まれています。この設定は、リリース 8.3 以降、FlexConnect グループ名を含めるように拡張されています。

この機能は PnP が有効になっている次の AP でサポートされています。

AP 700、1600、1700、2600、2700、3600、3700、1832、1852、2802、3802、1810

AP が WLC に参加すると、AP はこの FlexConnect グループ名を WLC に提示します。次に、WLC は FlexConnect グループの既存の設定と AP カウントを比較した後、AP を適切なグループに配置します。AP グループを配置する FlexConnect グループの決定にはさまざまなシナリオがあります。次に、default-flex-group の一部として AP を配置する場合のシナリオについて具体的に説明します。

デイゼロセットアップのシナリオ

1. AP が起動し、PnP サーバに連絡します。PnP サーバには、設定されている属性の一部として FlexConnect グループの設定がありません。また、AP は WLC 上の FlexConnect グループの一部として設定されていません。この場合、AP は default-flex-group に配置されます。

2. AP が起動し、PnP サーバに連絡します。PnP サーバは、FlexConnect グループの設定を返します。FlexConnect グループは、WLC 上に存在していますが、AP カウントについては最大容量に到達していました。この場合、AP は default-flex-group に配置されます。

デイ 1 の参加シナリオ

1. AP が WLC に参加しており、その AP には WLC 上での AP から FlexConnect グループへのマッピングがありません。

2. AP が WLC に参加します。AP には FlexConnect グループの設定はありますが、WLC に FlexConnect グループが設定されていません。

3. AP には FlexConnect グループの設定はありますが、FlexConnect グループは AP の数についてはその制限に到達していました。

FlexConnect グループのデフォルトの Web UI

ステップ 1 デフォルトの FlexConnect グループを表示するには、[WIRELESS] > [FlexConnect Groups] > [default-flex-group] を選択します。

ステップ 2 default-flex-group の一部である AP を表示するには、[General] タブの [FlexConnect AP] リンクをクリックします。

ステップ 3 AP は default-flex-group から管理者が設定した FlexConnect グループに移動できます。[New Group Name] ドロップダウンメニューから [Group] を選択し、リストから AP を選択して [Move] をクリックします。

アップグレードまたはダウングレードの動作

リリース 8.3 から低いバージョンにへのダウングレード時に、コントローラは default-flex-group の設定を保持します。このグループは、管理者が設定できるその他の FlexConnect グループとして処理されます。つまり、削除と追加が可能で、AP はグループから手動で追加または削除でき、AP 数の最大限度が適用されます。以前のリリースでは default-flex-group 機能のサポートは存在しないため、デフォルトでは FlexConnect AP はこのグループに参加しません。

リリース 8.3 にアップグレードすると、FlexConnect グループの一部ではない FlexConnect AP は default-flex-group に参加し、関連するデフォルト設定を取得します。継承のルールが引き続き適用されるため、デフォルトの FlexConnect グループの設定によって AP 固有の FlexConnect の設定が上書きされることはありません。

CLI コマンド

既存の show コマンドは、default-flex-group とその一部である AP の設定を表示します。

show flexconnect group detail default-flex-group

このデフォルトグループの一部であるすべての AP については、次に示すように、「show ap config general <apname>」コマンドがデフォルトの FlexConnect グループを反映します。

FlexConnect Group................................ default-flex-group

特定のグループの一部である AP のみを表示するための、次に示す新しい CLI コマンドが導入されました。

(Cisco Controller) >show flexconnect group detail default-flex-group aps

Number of APs in Group: 1

AP Ethernet MAC Name Status Mode Type Conflict with PnP
----------- ----------- ------------ ---------------- -------- -----------------

7c:0e:ce:f5:b2:a4 AP7c0e.cef5.b2a4 Joined Flexconnect Manual No

新しいグループの作成時に既存の FlexConnect グループから設定をコピーできるように、次に示す新しい CLI コマンドが導入されました。– VERIFY ?

config flexconnect group newGrpname add copy oldGrpName

default-flex-group は手動で作成または削除できません。同様に、AP は default-flex-group に手動で追加または削除できません。そのため、次のコマンドを実行するとエラーが発生します。

(Cisco Controller) >config flexconnect group default-flex-group add
Group default-flex-group has already been configured
(Cisco Controller) >config flexconnect group default-flex-group delete
Group default-flex-group cannot be deleted manually
(Cisco Controller) >config flexconnect group default-flex-group ap add 23:2f:d2:ff:12:7d
AP cannot be manually added to the default-flex-group.
(Cisco Controller) >config flexconnect group default-flex-group ap delete 23:2f:d2:ff:12:7d
AP cannot be manually deleted from the default-flex-group.

FlexConnect 向け Application Visibility and Control リリース 8.1 ～ 8.8

AVC は、ワイヤレスネットワークでのアプリケーション対応制御を可能にし、管理性と生産性を向上させます。AVC は、ASR、ISR G2 および WLC プラットフォーム上ですでにサポートされています。これはエンドツーエンドのソリューションであるため、FlexConnect AP に組み込まれている AVC のサポートもエンドツーエンドまで拡大されます。ネットワークのアプリケーションが完全に可視化されるため、管理者はアプリケーションに対してアクションを実行できます。

AVC には次のコンポーネントがあります。

Network Based Application Recognition（NBAR2）と呼ばれる次世代ディープパケットインスペクション（DPI）テクノロジーが、アプリケーションの識別と分類を可能にします。NBAR は、ステートフル L4 ～ L7 分類をサポートし、Cisco IOS ベースのプラットフォームで利用できるディープパケットインスペクションテクノロジーです。NBAR2 は NBAR に基づいており、NBAR を使用するすべての IOS 機能に共通のフローテーブルを提供するなどの追加の要件を満たしています。NBAR2 はアプリケーションを認識し、その情報を Quality of Service（QoS）やアクセスコントロールリスト（ACL）などの機能に渡すことで、分類に基づくアクションが実行されます。

QoS、ドロップおよびレート制限アプリケーションを使用してマーキングを適用できます。

NBAR AVC の主な使用例として、キャパシティプランニング、ネットワーク使用量のベースライン化、帯域幅を消費するアプリケーションのより適切な把握などがあります。アプリケーションの使用状況の傾向を把握できるため、ネットワーク管理者は、ネットワークインフラストラクチャのアップグレードを計画したり、ネットワーク上で輻輳が生じた場合に帯域幅消費の激しいアプリケーションから主要なアプリケーションを保護することで Quality of Experience を改善したりすることができます。さらに、特定のアプリケーショントラフィックの優先順位を変更したり、ドロップしたりすることもできます。

AVC は、リリース 7.4 以降のローカルモードおよび FlexConnect モード（中央スイッチング用に構成された WLAN の場合のみ）の 5520、8540、2500、5508、7500、8500、および WiSM2 コントローラでサポートされています。リリース 8.1 では、5508、7500、75100、WiSM2、および vWLC 上の FlexConnect AP で、ローカルスイッチング WLAN 向けの Application Visibility and Control がサポートされています。

リリース 8.3 では、プロトコルパックと NBAR エンジンが Flex Connect アプリケーション向けにアップグレードされ、プロトコルパック 14 および NBAR エンジン 23 がサポートされて、サポートされるアプリケーションの合計数が 1327 になりました。

リリース 8.8 では、プロトコルパックと NBAR エンジンが Flex Connect アプリケーション向けにアップグレードされ、プロトコルパック 37 および NBAR エンジン 31 がサポートされて、サポートされるアプリケーションの合計数が 1408 になりました。

リリース 8.6 から、AVC は 3504、5520、8540 シリーズのコントローラでサポートされ、vWLC でも FC モードの AVC のみがサポートされます。

注： AVC フェーズ 6（リリース 8.8）では、3504、5520、および 8540 シリーズのコントローラで最新の NBAR2 とプロトコルパックがサポートされ、vWLC は Flex Connect AP 向けの AVC のみをサポートします。リリース 8.8 の PP は、Wave-2 COS ベースの AP のみをサポートします。

AVC の仕様および制限

FlexConnect AP の AVC では、1000 種類以上のアプリケーションを分類し、アクションを実行できます。

FlexConnect AP で稼働するプロトコルパックは、WLC 上で稼働するプロトコルパックとは異なります。

AVC による GUI の統計情報は、デフォルトでは上位 10 のアプリケーションに対して表示されます。これを、上位 20 または 30 のアプリケーションに変更することもできます。

FlexConnect グループ内のローミングがサポートされます。

IPv6 トラフィックを分類することはできません。

AVC プロファイルの AAA オーバーライドはサポートされません。

マルチキャストトラフィックは、AVC アプリケーションではサポートされません。

FlexConnect AVC の Netflow エクスポートはサポートされていません。

アプリケーションの可視性の設定

アプリケーションの可視性を設定するには、次の手順を実行します。

有線ラップトップで Web ブラウザを開き、WLC の IP アドレスを入力します。

命名規則を使用して、「FlexDemo」などのオープン WLAN を作成します。

WLAN で [FlexConnect Local Switching] を有効にして、[Apply] をクリックします。

この WLAN に接続された AP がこの機能に対してサポートされているアクセスポイントのリスト内に存在することを確認します。

[AP Mode] ドロップダウンメニューで [FlexConnect] を選択して AP を FlexConnect モードに切り替え、[Apply] をクリックします。リブートしなくてもモードが FlexConnect に変わります。

FlexConnect グループを作成して、AP をその FlexConnect グループに追加します。次の例では、「FlexGroup」という FlexConnect グループにアクセスポイント AP3600 を追加します。

識別、分類、および制御が可能なアプリケーションが、[Wireless] > [Application Visibility and Control] > [FlexConnect AVC Applications] に一覧表示されます。アクセスポイントは、プロトコルパックバージョン 8.0 と NBAR エンジンバージョン 16 をサポートします。

[Wireless] > [Application Visibility And Control] > [FlexConnect AVC Profiles] > [New] で、「Drop_youtube」という名前の AVC プロファイルを作成します。次に [Apply] をクリックします。

新しい名前「Drop_youtube」で AVC プロファイルが作成されます。

プロファイル名をクリックして、[Add New Rule] をクリックします。[Application Group]、[Application Name]、および [Action] を選択して、[Apply] をクリックします。

次の図に示すように、ルールが追加されたことを確認します。

この時点の FlexConnect AVC プロファイルのステータスは、[Modified] です。

プロファイルを適用して有効化するには、プロファイルを選択して [Apply] をクリックします。

プロファイルを適用して有効化するには、プロファイルを選択して [Apply] をクリックします。

FlexConnect AVC プロファイルのステータスが、[Applied] に変わります。

[Wireless] > [FlexConnect Group] > [FlexConnect Group name] > [WLAN AVC Mapping] で、[WLAN ID] を選択してドロップダウンメニューから [Enable] を選択し、FlexConnect グループでアプリケーションの可視性を有効にします。

[Flex AVC Profile] ドロップダウンメニューから、前の設定で作成したプロファイルを選択して、FlexConnect AVC プロファイルを適用します。[Add]、[Apply] の順にクリックします。

FlexConnect グループで AVC を有効にすると、関連付けられているワイヤレスクライアントから、Cisco Jabber/Web Ex Connect、Skype、Yahoo Messenger、HTTP、HTTPS/SSL、Microsoft Messenger、Ping、トレースルートなどの（すでにインストールされている）アプリケーションを使用するさまざまなタイプのトラフィックが開始されます。

ワイヤレスクライアントからトラフィックが開始されると、FlexConnect グループ単位およびクライアント単位でさまざまなトラフィックの可視性を確認できます。これにより、管理者はネットワーク帯域幅の使用状況やネットワーク内のトラフィックのタイプについて、クライアント単位およびブランチサイト単位で確認できます。

FlexConnect グループ上のすべての WLAN の可視性をグローバルにチェックするには、[Monitor] > [Applications] > [FlexConnect] > [FlexConnect Groups] をクリックし、先に作成した FlexConnect グループを選択します。

次の画面には、その特定の FlexConnect グループで実行されている上位 10 のアプリケーションに関する集約データが一覧表示されます。

このページでは、FlexConnect グループごとのよりきめ細かな可視性が提供され、過去 90 秒の上位 10 のアプリケーションと、上位 10 のアプリケーションの累積統計情報が表示されます。同じページに FlexConnect グループごとのアップストリーム統計情報とダウンストリーム統計情報を個別に表示するには、[Upstream] タブと [Downstream] タブをクリックします。

注：このページの [Max Number of Records] フィールドを変更すると、このページに表示されるアプリケーションの数を 20 または 30 に増やすことができます。デフォルト値は 10 です。

AVC の可視性が有効になっている特定のローカルスイッチング WLAN で、クライアントごとの上位 10 のアプリケーションについてより詳細に表示するには、[Monitor] > [Applications] > [FlexConnect Group] > [FlexConnect Group name] > [Clients] をクリックします。次に、そのページに表示された個別のクライアント MAC エントリをクリックします。

個別のクライアント MAC エントリをクリックすると、クライアントの詳細ページが表示されます。

このページでは、WLAN 自体で、またはこの例のように FlexConnect グループで AVC の可視性が有効になっているローカルスイッチング WLAN に関連付けられたクライアントごとの詳細な統計情報が提供されます。過去 90 秒の上位 10 のアプリケーションと、上位 10 のアプリケーションの累積統計情報がページに表示されます。

同じページでクライアントごとのアップストリーム統計情報とダウンストリーム統計情報を個別に表示するには、[Upstream] タブと [Downstream] タブをクリックします。

注：このページの [Max Number of Records] フィールドを変更すると、このページに表示されるアプリケーションの数を 20 または 30 に増やすことができます。デフォルト値は 10 です。

特定のクライアントの AVC 統計情報をクリアするには、[Clear AVC Stats] ボタンをクリックします。

これで、ワイヤレスクライアントから YouTube を開いた場合に、そのクライアントで YouTube ビデオを再生できなくなります。また、該当する場合は、Facebook アカウントを開いて YouTube ビデオを開いてみてください。YouTube ビデオを再生できないことが確認できます。YouTube をブロックする FlexConnect AVC プロファイルが FlexConnect グループの WLAN にマッピングされているため、ブラウザ経由でも、YouTube アプリケーションを使用しても、他の Web サイトからも YouTube ビデオにアクセスすることはできません。

注：ブラウザですでに Youtube が開いている場合、AVC プロファイルを有効にするには、ブラウザを更新してください。

Flex Connect AP での IPv4 DNS フィルタリング

機能の説明と機能の動作

これは 8.7 の機能であり、ルール内で既存の IP アドレスの他にインターネットドメイン名を承認するように Flex Connect ACL を拡張します。DNS ベースの ACL は、クライアントデバイスに使用されます。この機能の使用例の 1 つは CMX Connect ソーシャルログイン機能を正しく設定するためのものであり、Web サイトをウォールドガーデンに追加する必要があります。これは主に、認証がソーシャルネットワークの Web サイト上で直接実行され、コントローラでパスワードを保存したり、処理したりしないためです。ソーシャルログインは、プロバイダーとして Facebook を使用するように設定されます。

これらのデバイスを使用する場合、デバイスが接続する権利を持つ範囲を特定するために Cisco WLC に事前認証 ACL を設定できます。このような使用例をサポートするため、現在の実装では、URL ベースのルールを FlexConnect に追加し、許可する URL を指定するオプションがユーザに提供されています。したがって、この実装では、IP ベースのルールの他に、URL ベースのルールか、またはそれらのどちらかを設定するオプションがあります。

DNS ベースの ACL によって、登録フェーズ中のクライアントは、設定された URL のみへの接続を許可されます。WLC には ACL 名が設定されます。この ACL 名は、事前認証 ACL が適用されるように AAA サーバによって返されます。ACL 名が AAA サーバによって返されると、ACL は Web リダイレクト用にクライアントに適用されます。クライアント認証フェーズでは、ISE サーバが事前認証 ACL（url-redirect acl）を返します。

登録が完了するまで、各クライアントの AP 上で DNS スヌーピングが実行されます。URL で設定された ACL を WLC で受け取ると、CAPWAP ペイロードが AP にプッシュされ、COS ベースの AP 内で維持されているデータベースに設定が保存されます。クライアントが関連付けられ、ACL が適用されると、クライアント上で DNS スヌーピングが有効になります。適切なスヌーピングにより、AP は DNS 応答で解決済みドメイン名の IP アドレスを学習します。設定された URL にドメイン名が一致すると、DNS 応答が IP アドレスについて解析され、ローカルにスイッチングされるトラフィックの ACL で IP アドレスが使用できるようになります。

GUI からの設定手順

ステップ 1 WLC で FC ACL を設定します。

ステップ 2 URL ルールを設定します。

ステップ 3 URL ルールを設定します。

ステップ 4 中央 WebAuth の場合、ACL ポリシーを FlexConnect グループに追加します。

ステップ 5 CWA と ISE に MAC フィルタリングを有効にした WLAN を設定します。

ステップ 6 CWA と ISE に MAC フィルタリングを有効にした WLAN を設定します。

次のコントローラ CLI を使用して ACL を設定します。

ACL を作成します（既存の CLI）。

config flexconnect acl create <acl-name>

ACL に URL を追加します。

config flexconnect acl url-domain add <acl-name> <index>

config flexconnect acl url-domain url <acl-name> <index> <url-name>

このコマンドを使用して、所定の FlexConnect ACL 名の所定のインデックスに新しい URL ドメインルールのエントリを追加します。デフォルト値が URL 名とアクションに追加されます。

ACL から URL を削除します。

config flexconnect acl url-domain delete <acl-name> <index>

このコマンドを使用して、所定の FlexConnect ACL から URL ドメインルールを削除します。

リストタイプを設定します。

config flexconnect acl url-domain list-type <acl-name> <whitelist/blacklist>

このコマンドを使用して、所定の FlexConnect ACL 上に設定されているすべての URL のリストのタイプを設定/変更します。所定の ACL 内のすべての URL のアクションが同じになります。デフォルトのリストタイプはブラックリストになります。

ACL を適用します（既存の CLI）。

config flexconnect group <group-name> policy acl add <acl-name>

config flexconnect acl apply <acl-name>

Web 認証のレベルで WLAN に ACL を適用します。

config flexconnect group <group-name> web-auth wlan <wlan-id> acl <acl-name> <enable/disable>

Show コマンドとデバッグ:

show flexconnect acl summary

show flexconnect acl detailed <acl-name>

debug flexconnect acl enable

debug capwap payload enable

IPv6 Flex Connect の事前認証 ACL と DNS サポート（リリース 8.8）

この機能は最初にリリース 8.7 で導入され、IPv4 のみがサポートされていました。リリース 8.8 では、この機能によって Flex Connect IPv6 ACL が拡張され、ルール内の IPv6 アドレスに加えてインターネットドメイン名も承認されます。

この機能は、ルール内の既存の IPv4 および IPv6 アドレスに加えてインターネットドメイン名も承認するように IPv6 Flex Connect ACL を拡張します。DNS ベースの ACL は、クライアントデバイスに使用されます。この機能には CMX Connect ソーシャルログイン機能を正しく設定するという用途があるため、Web サイトをウォールドガーデンに追加する必要があります。これは主に、認証がソーシャルネットワークの Web サイト上で直接実行され、コントローラでパスワードを保存したり、処理したりしないためです。ソーシャルログインは、プロバイダーとして Facebook を使用するように設定されます。

これらのデバイスを使用する場合、デバイスが接続する権利を持つ範囲を特定するために Cisco WLC に事前認証 ACL を設定できます。このような使用をサポートするため、現在の実装では、URL ベースのルールを FlexConnect に追加し、許可する URL を指定するオプションがユーザに提供されています。したがってこの実装では、IP ベースのルールおよび URL ベースのルール、またはそのいずれかを設定できます。

DNS ベースの ACL によって、登録フェーズ中のクライアントは、設定された URL のみへの接続を許可されます。WLC には ACL 名が設定されます。この ACL 名は、事前認証 ACL が適用されるように AAA サーバによって返されます。ACL 名が AAA サーバによって返されると、ACL は Web リダイレクト用にクライアントに適用されます。クライアント認証フェーズでは、ISE サーバが事前認証 ACL（url-redirect acl）を返します。

登録が完了するまで、各クライアントの AP 上で DNS スヌーピングが実行されます。URL で設定された ACL を WLC で受け取ると、CAPWAP ペイロードが AP にプッシュされ、COS ベースの AP 内で維持されているデータベースに設定が保存されます。クライアントが関連付けられ、ACL が適用されると、クライアント上で DNS スヌーピングが有効になります。適切なスヌーピングにより、AP は DNS 応答で解決済みドメイン名の IP アドレスを学習します。設定された URL にドメイン名が一致すると、DNS 応答が IP アドレスについて解析され、ローカルにスイッチングされるトラフィックの ACL で IP アドレスが使用できるようになります。

1. CAPWAP プロトコルを使用して AP データパスに DNS 名が伝達されます

2. AP データパスは DNS 要求/応答をモニタして設定された DNS 名の IP アドレスを学習し、学習した IP アドレスのトラフィックを事前認証フェーズで許可します

3. ACL に対して最大 20 個の URL が許可されます

4. クライアントが 1 つの AP から別の AP に移動すると（ローミング）、AP コードによってコントローラ経由のコンテキスト転送が有効化されます

5. コントローラと AP の間で接続が切断された場合の移行シナリオがサポートされています

6. URL 設定のサブストリングの照合がサポートされます（例：URL ACL として「google」が設定されている場合、play.google.com、google.com、google.in、abcgoogle.xyz の DNS 応答が一致します）

この機能は、Flex Connect モードで動作している AP 向けなので、AP で DNS ベースの ACL が実際に有効である必要があります。URL を含む ACL を適用すると、ACL の一部として設定されている他のルールと TLV 形式の新しい CAPWAP ペイロードとして、コントローラからそれぞれの設定情報が AP に届きます。AP への TLV ペイロードには、URL ごとのアクションが含まれています。

サポートされる ACL のスケール番号とそのサイズは以下のとおりです。

AireOS の 512 個の IPv6 ACL

AireOS と ME の ACL あたり 20 個の URL ルール

ME の 32 個の IPv6 ACL

各 URL のサイズ：255 文字

クライアントあたり最大 64 の DNS スヌーピング IP

Flex Connect IPv6 ACL の GUI 設定手順

1. WLC で IPv6 FC ACL を設定します。

2. IPv6 ACL ルールを作成して適用します。

3. 同じ方法で、次の例に示すように URL ルールを作成して適用します。

4. 上記で作成した事前認証 ACL をローカル Web 認証に設定します。

5. 中央 Web 認証の場合は、ACL ポリシーを Flex Connect グループに追加します。

6. CWA と ISE の MAC フィルタリングを有効にして WLAN を設定します。

7. CWA および ISE が必要なポリシーを FC AP にプッシュするように、AAA オーバーライドの詳細オプションを WLAN に設定します。ISE NAC 状態も有効にする必要があります。

エグゼクティブサマリーに示すように、リリース 8.8 では IPv6 のサポートが Flex Connect ACL だけでなくすべての IP および DNS ACL ルールに追加されました。

Flex Connect IPv6 ACL CLI の設定コマンド：

config flexconnect ipv6 acl apply <acl_name>
config flexconnect ipv6 acl create <acl_name>
config flexconnect ipv6 acl delete <acl_name>
config flexconnect ipv6 acl rule action <acl_name> <index> permit
config flexconnect ipv6 acl rule action <acl_name> <index> deny
config flexconnect ipv6 acl rule add <acl_name> <index>
config flexconnect ipv6 acl rule add change index acl_name <old_index> <new_index>
config flexconnect ipv6 acl rule delete <acl_name> <index>
config flexconnect ipv6 acl rule source port range <acl_name> <index> <start_port> <end_port>
config flexconnect ipv6 acl rule source address <acl_name> <index> <ipv6_addr> <prefix_len>
config flexconnect ipv6 acl rule destination port range <acl_name> <index> <start_port> <end_port>
config flexconnect ipv6 acl rule destination address <acl_name> <index> <ipv6_addr> <prefix_len>
config flexconnect ipv6 acl rule protocol <acl_name> <index> <protocol>
config flexconnect ipv6 acl rule swap index <acl_name> <index1> <index2>
config flexconnect ipv6 acl rule dscp acl_name index <0-63/any>

WLAN マッピング

config wlan security web-auth ipv6 flexacl <wlan_id> <acl_name>
show cli コマンド：

show flexconnect ipv6 acl summary
show flexconnect ipv6 acl detailed <acl_name>

show コマンドの出力例

(Cisco Controller) >show flexconnect ipv6 acl summary
ACL Name Status
-------------------------------- -------
ipv6_flex Applied
v6acl Modified
(Cisco Controller)> show flexconnect ipv6 acl detailed v6acl
Rule Index....................................... 1
IPv6 source prefix............................... fe80::c664:13ff:fe8f:a6a0/128
IPv6 destination prefix.......................... ::/0
Protocol......................................... Any
Source Port Range................................ 0-65535
Destination Port Range........................... 0-65535
DSCP............................................. 4
Action........................................... Permit
Rule Index....................................... 2
IPv6 source prefix............................... ::/0
IPv6 destination prefix.......................... fe80::c664:13ff:fe8f:a6a1/128
Protocol......................................... Any
Source Port Range................................ 0-65535
Destination Port Range........................... 0-65535
DSCP............................................. Any
Action........................................... Deny

リリース 8.8 の Auto-LAG 機能の概要

AP Flexconnect モードの動作では、2 種類のデータスイッチングモデル（中央スイッチングまたはローカルスイッチング）のいずれかを WLAN に関連付けることができます。中央スイッチングの場合、クライアント WLAN データが CAPWAP トンネルで WLC に転送され、WLC はデータを適切な VLAN に切り替える処理を行います。ローカルスイッチングの場合、クライアント WLAN データを適切な VLAN に切り替えるのは AP の役割であり、WLC はバイパスされます。この仕様の目的は、LAG とともにこれらの両方のモードをサポートすることです。

前述のように、このモードでは WLC を使用してクライアント WLAN データを適切な VLAN に切り替えます。これを実現するために、AP は WLC への CAPWAP セッションを確立する必要があります。このセッションが確立されると、AP は Flexconnect「接続」モードになります。LAG が有効になっている場合、既存の LAG 実装と同じ方法で、クライアント WLAN データが 2 つの AP イーサーネットポート間で負荷分散されます。

Auto-LAG 機能により、Cisco Wave-2 アクセスポイントは Flex Connect モードのときにレイヤ 4 以外の LB スイッチを使用して Auto-LAG を実行できます。現在 LAG は 3000 および 4000 シリーズスイッチでのみサポートされています。この新しい機能はその依存関係を無くし、レイヤ 4 以外の LB（負荷分散）スイッチ（FC 中央スイッチングモードおよびローカルスイッチングモードの 3650 など）での Auto-LAG を可能にします。

シスコで実行した Miercom レポートといくつかの社内テストによると、チャネル幅 80 MHz の 5 GHz で両方の無線（マイクロ/マクロ）を使用して 1.2 ギガビット以上のスループットを達成できます。この設定により、各 AP の約 30 人のユーザで 1 人あたり最大 35 ～ 37 Mbps を実現できます。

Auto LAG 機能の設定手順

LAG 接続に使用される 2 つの AP イーサーネットポートの設定を、既存の LAG 実装のように「switchport mode access」ポートとして設定することも、既存の FC 実装のように「switchport mode trunk」ポートとして設定することもできます。

WLAN がローカルスイッチングに変更されないように、クライアント WLAN で中央スイッチングのみを使用する場合は、2 つの AP イーサーネットポートを「switchport mode access」ポートとして設定し、ネイティブ VLAN を WLC VLAN に関連付けられた VLAN ID に設定する必要があります。これにより、AP はクライアント WLAN データをタグ付けせずに（たとえば、802.1Q VLAN ヘッダーを挿入せずに）CAPWAP トンネルで WLC に送信し、スイッチがそれらを WLC と同じ VLAN に切り替えます。

クライアント WLAN が今後ローカルスイッチングモードに変わる可能性がある場合は、2 つの AP イーサーネットポートを「switchport mode trunk」ポートとして設定してネイティブ VLAN を WLC VLAN に関連付けられた VLAN ID に設定し、サポートされているクライアント WLAN ごとに VLAN ID を追加する必要があります。トランクポートとして定義されますが、動作は「switchport mode access」と同じで、AP はタグなし CAPWAP を WLC に送信します。

8.8 より前のリリースの LAG 実装では、「switchport mode access」ポートのみが設定可能でした。

現在、リリース 8.8 では FC/LAG 機能の追加によって「switchport mode trunk」ポートも設定および使用できるようになりました。クライアント WLAN に関連付けられている Flexconnect スイッチングモードによって選択肢は異なります。ローカルスイッチングの場合は「switchport mode trunk」ポートが必要ですが、中央スイッチングでは上記の項で説明したようにどちらのモードも使用可能です。

機能を設定するには、LAG および Flex Connect の既存の設定方法を使用します。

WLC の設定

config lag enable
config ap lag-mode support enable <ap-name>

ローカルスイッチング AP モードのスイッチポートの設定例

! interface Port-channel12
switchport trunk native vlan 110
switchport trunk allowed vlan 110-120
switchport mode trunk
spanning-tree portfast trunk
interface TenGigabitEthernet1/0/7
switchport trunk native vlan 110
switchport trunk allowed vlan 110-120
switchport mode trunk
channel-group 12 mode active

8.8 Auto LAG 機能の管理

次のコマンドを使用すると、NSS にプログラムされたほとんどの設定が表示され、LAG 関連の情報は強調表示されます。

ap#show controllers nss status
出力例 ：

NSS 状態は有効です

Wired0 の設定：

|ID:0|TYPE:0|STATE:1| |OPT:0x0000003F|MTU:1500|TPID:0x8100|NVLAN:0|POL:0|
Wired1 の設定：

|ID:1|TYPE:0|STATE:1| |OPT:0x0000003F|MTU:1500|TPID:0x8100|NVLAN:0|POL:0|
QoS の設定：

Policy Name: Background
Direction: Ingress
Default Priority: 2, Type: L2_L3
L2 to Priority Mapping:
PCP | 0 1 2 3 4 5 6 7
Priority | 0 1 2 3 4 5 6 7
L3 と優先順位のマッピング

DSCP | Priority
0-15 | 0 0 1 0 1 0 1 0 1 1 2 1 2 1 2 1
16-31 | 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2
32-47 | 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2
48-63 | 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2
方向：Egress

Priority | 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
UP | 0 1 2 3 4 5 6 7 0 0 0 0 0 0 0 0
DSCP | 0 2 10 18 26 34 46 48 0 0 0 0 0 0 0 0
PCP | 0 1 2 3 4 5 6 7 0 0 0 0 0 0 0 0
LAG の設定：

|ID:33|TYPE:1|STATE:1|
|LINKS:0x00000003|HASHPROF:1|
ハッシュプロファイルの設定：

|ID:1|TCP-UDP:0x00000F00|IP:0x00001300|NON-IP:0x000000FC| |KNEE0:0x80000000|KNEE1:0xFFFFFFFF|KNEE2:0x00000000|

CAPWAP の設定：

|ID:34|TYPE:3|STATE:1|
|GATEWAY-MAC:F8:72:EA:67:7C:4D|AP-MAC:58:AC:78:DC:B2:50|
|RADIO-BASE-MAC:58:AC:78:DF:74:B0|PMTU:576|
|WLC-IP:1.4.8.2|AP-IP:1.4.8.236|WLC-PORT:5247|AP-PORT:5256|
|DEST-PORT:33|PROTO:0|TTL:250|FLBL:0|DTLS-ID:65535|
|VLAN-ID:0|OPT:0x0000000C|UQOSP:0|MQOSP:0|CSUM:1|
|L4RXBITS: 3|L4TXBITS: 3|L4HASHPROF: 1|

クライアントの設定：現在の数：4

|MAC | OPAQUE |PRI POL|VLAN|BR|TN|QCF|BSS|RADID|MYMAC| |58:AC:78:DC:B2:50|00000000| 3| 0| 1| 1| 0| 2| 3| 1| |58:AC:78:DC:B2:51|00000000| 3| 0| 1| 1| 0| 2| 3| 1| |00:71:C0:A8:01:0C|B10B7BB4| 3| 0| 1| 1| 0| 0| 1| 0| |00:71:C0:A8:01:0D|B10B7BB4| 3| 0| 1| 1| 0| 0| 1| 0|
次のコマンドを使用すると、NSS の累積統計情報と 5 秒間の統計情報、および例外カウンタが表示され、LAG 関連の情報は強調表示されます。

ap#show controllers nss stats

出力例：

NSS Statistics (Cumulative Total/Last 5 Seconds)
Wired0 のポート統計情報：

ID : 0 TYPE : 0
RX PKTS : 616/13 TX PKTS : 67115/66964
RX OCTETS : 97862/1280 TX OCTETS : 26832505/26785264
RX ERR : 0/0 TX ERR : 0/0
Wired1 Port Statistics:
ID : 1 TYPE : 0
RX PKTS : 179/8 TX PKTS : 44643/44629
RX OCTETS : 18004/512 TX OCTETS : 17853919/17851328
RX ERR : 0/0 TX ERR : 0/0

CAPWAP のポート統計情報：

ID : 34 TYPE : 3
RX PKTS : 3/0 TX PKTS : 148850/148800
RX OCTETS : 345/0 TX OCTETS : 81851372/81840000
RX ERR : 0/0 TX ERR : 0/0
LAG Port Statistics:
ID : 33 TYPE : 1
RX PKTS : 448/22 TX PKTS : 111634/111609
RX OCTETS : 55786/1856 TX OCTETS : 44650157/44643600
RX ERR : 0/0 TX ERR : 0/0
Wired0 の例外統計情報：

UNKNOWN : 0/0
OUTER_MACSEC_MISSING : 0/0
OUTER_MACSEC_BAD_SA : 0/0
OUTER_MACSEC_FAILED : 0/0
OUTER_VLAN_TAG_MISSING : 0/0
OUTER_VLAN_PORT_BLOCK : 0/0
OUTER_VLAN_ANY_BLOCK : 0/0
OUTER_SANITY_FAILED : 0/0
OUTER_DTLS_MISSING : 0/0
OUTER_DTLS_UNEXPECTED : 0/0
OUTER_DTLS_FAILED : 0/0
INNER_SANITY_FAILED : 0/0
OUTER_UCAST_DST_UKNOWN : 0/0
OUTER_UCAST_BRIDGE_BLOCK : 0/0
OUTER_UCAST_VLAN_BLOCK : 0/0
OUTER_MCAST_TYPE_BLOCK : 0/0
INNER_UCAST_DST_UKNOWN : 0/0
INNER_UCAST_BLOCK : 0/0
INNER_MGID_UNKNOWN : 0/0
INNER_CAPWAP_ERROR : 0/0
INNER_VLAN_TAG_BLOCK : 0/0
INNER_UCAST_SRC_UNKNOWN : 0/0
INNER_CAPWAP_REASM_FAILED : 0/0

Wired1 の例外統計情報：

UNKNOWN : 0/0
OUTER_MACSEC_MISSING : 0/0
OUTER_MACSEC_BAD_SA : 0/0
OUTER_MACSEC_FAILED : 0/0
OUTER_VLAN_TAG_MISSING : 0/0
OUTER_VLAN_PORT_BLOCK : 0/0
OUTER_VLAN_ANY_BLOCK : 0/0
OUTER_SANITY_FAILED : 0/0
OUTER_DTLS_MISSING : 0/0
OUTER_DTLS_UNEXPECTED : 0/0
OUTER_DTLS_FAILED : 0/0
INNER_SANITY_FAILED : 0/0
OUTER_UCAST_DST_UKNOWN : 0/0
OUTER_UCAST_BRIDGE_BLOCK : 0/0
OUTER_UCAST_VLAN_BLOCK : 0/0
OUTER_MCAST_TYPE_BLOCK : 0/0
INNER_UCAST_DST_UKNOWN : 0/0
INNER_UCAST_BLOCK : 0/0
INNER_MGID_UNKNOWN : 0/0
INNER_CAPWAP_ERROR : 0/0
INNER_VLAN_TAG_BLOCK : 0/0
INNER_UCAST_SRC_UNKNOWN : 0/0
INNER_CAPWAP_REASM_FAILED : 0/0
Decap 統計情報：

UC MGMT KEEPALIVE MC MC_OTHER FWD0 FWD1 FWD FAIL FALL_THROUGH DROP
0 1 2 0 0 611 179 0 0 0 0
Encap 統計情報：

DATA MGMT KEEPALIVE FWD0 FWD1 FAIL
39993 5 2 125 11 0

SNMP

CISCO-LWAPP-REAP_MIB 内の既存のテーブルの cLReapGroupConfigTable と cLReapGroupApConfigTable はそれぞれ default-flex-group と参加している AP を返します。

Web リンク

Cisco WLAN コントローラ情報： http://www.cisco.com/c/en/us/products/wireless/4400-series-wireless-lan-controllers/index.html http://www.cisco.com/c/en/us/products/wireless/2000-series-wireless-lan-controllers/index.html

Cisco NCS 管理ソフトウェア情報： http://www.cisco.com/c/en/us/products/wireless/prime-network-control-system-series-appliances/index.html

Cisco MSE 情報： http://www.cisco.com/c/en/us/products/wireless/mobility-services-engine/index.html

Cisco LAP ドキュメンテーション： http://www.cisco.com/c/en/us/products/wireless/aironet-3500-series/index.html

用語

APM：AP マネージャインターフェイス

Dyn：ダイナミックインターフェイス

管理：管理インターフェイス

ポート：物理 Gbps ポート

WiSM-2：ワイヤレスサービスモジュール

AP：アクセスポイント

LAG：リンク集約

SPAN：スイッチポートアナライザ

RSPAN：リモート SPAN

VACL：VLAN アクセスコントロールリスト

DEC：分散型 EtherChannel

DFC：分散型フォワーディングカード

OIR：活性挿抜

VSL：仮想スイッチリンク

ISSU：インサービスソフトウェアアップグレード

MEC：マルチシャーシイーサチャネル

VSS：仮想スイッチシステム

WCS：ワイヤレス制御システム

NAM：ネットワーク分析モジュール

IDSM：侵入検知サービスモジュール

FWSM：ファイアウォールサービスモジュール

STP：スパニングツリープロトコル

VLAN：仮想 LAN

SSO：ステートフルスイッチオーバー

WCP：ワイヤレス制御プロトコル

WiSM 2：ワイヤレスサービスモジュール 2

FAQ

Q. FlexConnect のようにリモートの場所に LAP を設定する場合、その LAP にプライマリコントローラやセカンダリコントローラを提供できますか。

例：サイト A にプライマリコントローラがあり、サイト B にセカンダリコントローラがあります。サイト A のコントローラに障害が発生した場合、LAP ではサイト B のコントローラにフェールオーバーしません。両方のコントローラが使用できない場合、LAP作成は FlexConnect スタンドアロンモードになりますか。

はい。最初に LAP はセカンダリにフェールオーバーします。ローカルにスイッチングされるすべての WLAN に変更はなく、中央でスイッチングされるすべての WLAN ではトラフィックが新しいコントローラに移動します。また、セカンダリに障害が発生した場合、ローカルスイッチング（オープン/事前共有キー認証/AP 認証を実行中）としてマークされた WLAN は起動状態を保ちます。

Q. ローカルモードに設定されているアクセスポイントは、FlexConnect ローカルスイッチングが設定された WLAN をどのように扱うのですか。

ローカルモードのアクセスポイントはこれらの WLAN を通常の WLAN として扱います。認証とデータトラフィックは、WLC にトンネリングされます。WAN リンク障害発生時に、この WLAN は完全にダウンし、WLC への接続が復元されるまで、この WLAN 上にアクティブなクライアントは存在しません。

Q. ローカルスイッチングで Web 認証を実行できますか。

はい。Web 認証を有効にした状態で SSID を取得でき、Web 認証後にトラフィックをローカルにドロップできます。ローカルスイッチングでの Web 認証は正常に動作します。

Q. H REAP によってローカルに処理される SSID にコントローラ上のゲストポータルを使用できますか。使用できる場合、コントローラへの接続を失った場合はどうなりますか。現在のクライアントはすぐにドロップしますか。

はい。この WLAN はローカルにスイッチングされるため、WLAN は使用できますが、Web ページが使用できないため、新しいクライアントは認証できません。ただし、既存のクライアントはドロップされません。

Q. FlexConnect は PCI コンプライアンスを保証できますか。

はい。FlexConnect ソリューションは PCI コンプライアンスを満たすために不正 AP 検出をサポートしています。

シスコサポートコミュニティ：話題のトピック

シスコサポートコミュニティは、ユーザが質問を投稿したり、質問に回答したり、またお勧め情報を共有するためのフォーラムで、ユーザ同士のコラボレーションを実現します。以下に最新のトピックと現時点で話題になっている関連トピックの一部を示します。

関連情報

HREAP Design and Deployment Guide [英語]

Cisco 4400 シリーズワイヤレス LAN コントローラ [英語]

Cisco 2000 シリーズワイヤレス LAN コントローラ [英語]

Cisco Wireless Control System [英語]

Cisco 3300 シリーズモビリティサービスエンジン [英語]

Cisco Aironet 3500 シリーズ [英語]

Cisco Secure Access Control System [英語]

テクニカルサポートとドキュメント：Cisco Systems [英語]

表 1 中央でスイッチングされる非ゲストユーザに対する L2 セキュリティサポート
WLAN L2 セキュリティ	タイプ	結果
なし	該当なし	許可
WPA + WPA2	802.1x	許可
CCKM	許可
802.1x + CCKM	許可
PSK	許可
802.1x	WEP	許可
Static WEP	WEP	許可
WEP + 802.1x	WEP	許可
CKIP	-	許可

表 2 中央およびローカルでスイッチングされるユーザに対する L3 セキュリティサポート
WLAN L3 セキュリティ	タイプ	結果
Web 認証	内部	許可
外部	許可
カスタマイズ	許可
Web パススルー	内部	許可
外部	許可
カスタマイズ	許可
Conditional Web リダイレクト	外部	許可
Splash Page Web リダイレクト	外部	許可

FlexConnect モード	説明
接続済み	FlexConnect は、コントローラの後ろにある CAPWAP コントロールプレーンが正常に動作しているときに接続モード、つまり、WAN リンクがダウンしていない状態にあるといわれています。
スタンドアロン	スタンドアロンモードは、コントローラへの接続がなくなったときに FlexConnect が開始する動作状態と指定されています。スタンドアロンモードの FlexConnect AP は、電源障害や WLC または WAN 障害が発生した場合でも、直前の既知の設定によって動作し続けます。

展開タイプ	WAN 帯域幅（最小）	WAN RTT 遅延 (最大)	ブランチあたりの最大 AP 数	ブランチあたりの最大クライアント数
データ	64 Kbps	300 ミリ秒	5	25
データ	640 Kbps	300 ミリ秒	50	1000
データ	1.44 Mbps	1 秒	50	1000
データ + 音声	128 Kbps	100 ミリ秒	5	25
データ + 音声	1.44 Mbps	100 ミリ秒	50	1000
モニタ	64 Kbps	2 秒	5	該当なし
モニタ	640 Kbps	2 秒	50	該当なし

表 3 機能
主な機能	ハイライト
AP グループ数	複数のブランチサイト処理時に簡単に運用/管理できるようにします。また、類似するブランチサイトの設定を柔軟に複製できるようにします。
FlexConnect グループ	FlexConnect グループはローカルバックアップ RADIUS、CCKM/OKC 高速ローミング、およびローカル認証の機能を提供します。
耐障害性	ワイヤレスブランチの復元力を向上させ、運用上のダウンタイムを発生させません。
ELM（適用型 wIPS 用の拡張ローカルモード）	クライアントへのサービス提供時に、クライアントのパフォーマンスに影響を与えずに適用型 wIPS の機能を提供します。
WLAN ごとのクライアント制限	ブランチネットワーク上のゲストクライアントの総数を制限します。
AP イメージの事前ダウンロード	ブランチアップグレード時のダウンタイムを軽減します。
FlexConnect での自動 AP 変換	ブランチの FlexConnect で AP を自動変換する機能です。
ゲストアクセス	シスコの既存のゲストアクセスアーキテクチャを FlexConnect で引き続き使用できます。

AP 上にある ACL	AAA から返された ACL	動作
非対応	非対応	該当なし
非対応	対応	クライアントの認証が解除されます。
対応	非対応	正常な L2 認証。 ACL は適用されません。
対応	対応	クライアント ACL で L2 認証が適用されます。