Flex Mesh 機能は、リリース 8.8 以前でも IOS ベースのメッシュ AP でサポートされていますが、リリース 8.8 では、この機能が COS ベースのメッシュ AP で公式サポートされ、リリース 8.8 以降で TAC のサポート対象になりました。また、IPv6
も COS ベースのメッシュ AP でサポートされるようになりました。
1542 には、2 つの新しい SKU が開発されています。8.5 でリリースされた AP1540 シリーズは、ほとんどの技術要件を満たしていますが、外部アンテナはありません。AP1542E2 および AP1542E4 は 1541D/I AP
のハードウェア異型です。1542E2 はデュアル バンド モード AP で、2.4 GHz(802.11b/g/n、20 MHz)と 5 GHz(802.11a/n/acW2、20/40/80 MHz)のデュアル無線、デュアルバンドです。1542E4
はシングル バンド モード AP で、2.4 G をサポートするアンテナ A と B、5 G をサポートするアンテナ C と D を備えています。これら AP は、少なくとも 2 TX & 2 RX チェーン、2 つの空間ストリームをサポートします。AP
は、TX あたり、最小 22 dBm(2.4 GHz)および 24 dBm(5 GHz)の伝導送信送出電力をサポートすることが求められています。この新しいプラットフォーム用の新しい基本 PID の追加とパワー テーブルの変更は、AP と WLC
の両方で実行されます。外部アンテナを備えた -D(INDIA)のパワー テーブルが新しくなっています。
Flex Mesh COS AP は、接続モードまたはスタンドアロン モードで実行できます。FlexConnect のスタンドアロン モードには、メッシュ ネットワークのスタンドアロン機能を継承するために変更が行われます。また、本ガイドのこのセクションの下で説明する「放棄」モードと呼ばれる別のモードもあります。
接続モード
COS Flex Mesh AP(ルート AP または子のメッシュ AP)は、WLC にアクセスして接続し、WLC とキープアライブ メッセージを定期的に交換できる場合、接続モードであると見なされます。このモードでは、Flex Mesh AP
はローカルおよび中央でスイッチされる WLAN をサポートできます。これによって、通常のクライアントと子のメッシュ AP に接続を許可します。
スタンドアロン モード
COS Flex Mesh AP は、コントローラへの接続が失われてもローカル ゲートウェイにアクセスできる場合は、スタンドアロン モードにあると見なされます。このモードの COS Flex+Mesh AP は、中央でスイッチされるすべての WLAN
を無効にし、ローカルにスイッチされた WLAN を起動および実行された状態に維持します。また、認証サーバがローカル ネットワークで到達可能である限り、ローカル認証を使用して、新しいクライアントがローカルにスイッチされた WLAN に接続するのを許可します。子のメッシュ
AP は、このモードでの接続を許可されません。
放棄モードまたは永続 SSID モード
COS Flex+Mesh AP は、ゲートウェイ IP にアクセスできなくなり、ローカル ネットワークに接続していない状態になると、放棄モードになります。考えられるシナリオは次のとおりです。
AP がいずれの有線またはワイヤレスのアップリンクにも接続されていない。
ワイヤレス アップリンクは確立されているが、認証されていない。
アップリンクは確立および認証されており、IP アドレスは設定されているがゲートウェイ IP は設定されていない。
アップリンクは確立および認証されており、IP アドレスとゲートウェイ IP も設定されているが、1 分以上たってもゲートウェイに到達できない。
子のメッシュ AP とクライアントのどちらも、このモードでの接続は許可されません。ローカルおよび中央でスイッチされる WLAN は無効になります。AP はこのモードでもアップリングをスキャニングする可能性があり、この間にビーコンは送信されません。
(注)
Flex Mesh COS AP では、放棄モードで再起動タイマーが有効になるため、スタンドアロン モードと接続モードのいずれにも移行しなければ、AP は 40 分後に再起動します。
Flex Mesh COS AP のモード/状態の遷移
Flex Mesh モードの COS AP は常に放棄モードで起動します。このモードでは、アップリンク(有線または無線)をスキャンする必要があります。
初期段階またはゲートウェイ ローミングのシナリオ時のいずれかで新しいアップリンクが選択されると、認証に合格することが期待されるため、CAPWAP 接続を 2 分以内に確立する必要があり、そうでない場合、選択した親はブラックリストに記載されます。この機能は、通常の
Mesh モード COS AP と同じです。
Flex Mesh AP に有効な CAPWAP 接続があり、CAPWAP 接続が失われると、スタンドアロン モードに移行し、ゲートウェイが到達可能である限りスタンドアロン モードのままになります。Flex Mesh AP は、最後に成功した
CAPWAP 接続に使用した IP モード(IPV6 または IPV4)およびその IP モードの GW の到達可能性を追跡します。
スタンドアロン モードの Flex Mesh AP では、Mesh コントロールがタイマー(20 秒)を開始し、GW IP(IPV4 または IPV6)の ARP エントリを定期的に更新するほか、GW の到達可能性ステータスを Path Control
Protocol(パス制御プロトコル)に問い合わせます。PCP は、対象の AP から得られたゲートウェイの到達可能性ステータスを保持しますが、これは PCP メッセージ経由でルート AP によって報告されたステータス、または対象 AP がルート
AP 自身の場合はゲートウェイ IP アドレスの ARP ルックアップを実行して報告されたステータスです。GW が 1 分以上到達不能の場合、Flex Mesh AP は親をブラック リストに記載し、放棄モードに移行して新しいアップリンクを再スキャンします。
Flex AP はスタンドアロン モードの場合、同じ親を継続し、より適切なネイバー(それが優先される親であっても)を検出することも、ローミングすることもありません。これは、セキュリティが新しい親に引き継がれることやローミングの成功が保証されていないことが理由です。セキュリティに失敗すると、候補の親が不必要にブラックリストに記載される可能性があります。スタンドアロンのローミングは、今後の設計の機能強化でスタンドアロン時のセキュリティがメッシュ
AP でサポートされるようになってから検討する方がよいでしょう。
BGN タイマーは、スタンドアロン モードでは停止します。したがって、子のメッシュ AP がスタンドアロン モードの状態で、異なる BGN の親に接続し、その後またスタンドアロン モードに戻る場合は、BGN タイマーが停止するため、子のメッシュ
AP は 15 分後(BGN タイマーの有効期限)に再スキャン モードになりません。
(Cisco Controller) >show flexconnect lawful-interception ?
summary Display Lawful-Interception summary.
Example of the LI show command on the controller:
(Cisco Controller) >show flexconnect lawful-interception sum
Lawful Interception Status: Disabled
Lawful Interception Timer: 60
Lawful Interception IPv4 Addr: 192.201.1.1
Lawful Interception IPv6 Addr: Not Configured
(注)
AP に設定されている LI サーバの IP とステータスを表示する show コマンドが追加されます。
AP 上の show LI コマンドの例。
AP-2802#show lawful-intercept
Enable: false
Interval(sec): 60
AP IPv4 Address: 1.5.39.108
AP IPv6 Address: ::
Max records: 15
syslog src ip: 192.201.1.2
syslog src ipv6: ::syslog
src mac: 00:01:02:03:04:09
extlog server ip: 0.0.0.0
extlog server ipv6: ::
extlog server mac: 00:8E:73:56:24:C7
ap name: AP-2802
LI の GUI 設定
コントローラ GUI インターフェイスから合法的傍受を設定するには、次の手順を実行します。
手順
ステップ 1
コントローラの [Management] タブの [Logs] > [Config] でログ サーバの IP アドレスを設定します。
ステップ 2
[Controller] タブで [Lawful Intercept] を選択し、設定したログ サーバの IP アドレスで有効化します。[Apply] をクリックします。
リリース 8.8 での特定の URL のホワイトリスト作成
コントローラまたは AP で特定の URL のホワイトリスト機能を使用すると、ユーザはインターネットに接続せずに特定のサイトにアクセスできます。ホワイトリストに含まれている URL にアクセスする際に認証は必須ではありません。
顧客デバイスを「XXXX」SSID に関連付ける
クライアントが IP アドレスを取得して、HTTP および HTTPS サイトの「webauth」required 状態に移行する
クライアントは、認証なしでもホワイトリストの Web サイトにアクセスできる(たとえば、ユーザにロケーション固有の情報やその他の詳細情報を提供することができます)
特定の GP の(flex グループに基づく)一意のホワイトリスト URL はローカルの地域ポリシーに基づく
ユーザがホワイトリスト ウォールド ガーデン プロファイルに設定されていない他の Web サイトに移動しようとすると、ログイン ページにリダイレクトされる
ユーザは、認証された後はインターネット(ホワイトリストに含まれていない Web サイト)にアクセスできる
上記の機能は、8.7 リリース(DNS ACL)で実装された DNS-PreAuth ACL 機能で対処されていました。最大 20 のドメイン名を設定できます。スヌーピングされた IP アドレス(最大 64 個)は WLC に送信され、webauth_reqd
状態の AP 間でのクライアント ローミングに利用されます。クライアントは認証なしでこれらの URL を使用するため、事前設定済み URL のスヌーピングされた IP 間で送受信されるデータ トラフィックが AP で許可されます。
暗号化された HTTPS パケットは、クライアントが webauth_reqd 状態の場合にアクセスを許可または拒否するクリアテキスト URL 名を提供しないので、この要件に対応するには IP アドレス スヌーピングが必要です。