Cisco Wireless LAN Controller コンフィギュレー ション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: モビリティ グループの設定
モビリティ グループの設定
この章では、モビリティ グループについてと、コントローラでのモビリティ グループの設定方法を説明します。この章の内容は、次のとおりです。
モビリティの概要
モビリティ(ローミング)は、できるだけ遅れることなく、確実かつスムーズに、あるアクセス ポイントから別のアクセス ポイントへアソシエーションを維持する無線 LAN クライアントの機能です。この項では、コントローラが無線ネットワークに存在する場合のモビリティの動作について説明します。
ある無線クライアントがアクセス ポイントにアソシエートして認証すると、アクセス ポイントのコントローラは、クライアント データベースにそのクライアントに対するエントリを設定します。このエントリには、クライアントの MAC アドレス、IP アドレス、セキュリティ コンテキストおよびアソシエーション、Quality of Service (QoS)コンテキスト、WLAN、およびアソシエートされたアクセス ポイントが含まれます。コントローラはこの情報を使用してフレームを転送し、無線クライアントで送受信されるトラフィックを管理します。図 12-1 には、2 つのアクセス ポイントが同一のコントローラに接続されている場合の両アクセス ポイント間における無線クライアント ローミングの様子が示されています。
無線クライアントがそのアソシエーションをあるアクセス ポイントから別のアクセス ポイントへ移動する場合、コントローラはクライアントのデータベースを新たにアソシエートするアクセス ポイントでアップデートするだけです。必要に応じて、新たなセキュリティ コンテキストとアソシエーションも確立されます。
しかし、クライアントが 1 つのコントローラに接続されたアクセス ポイントから別のコントローラに接続されたアクセス ポイントにローミングする際には、プロセスはより複雑になります。また、同一のサブネット上でこれらのコントローラが動作しているかどうかによっても異なります。図 12-2 は、コントローラの無線 LAN インターフェイスが同じ IP サブネット上に存在する場合に発生するコントローラ間ローミングを表したものです。
クライアントが新たなコントローラに接続されたアクセス ポイントへアソシエートする場合、新たなコントローラはモビリティ メッセージを元のコントローラと交換し、クライアントのデータベース エントリは新たなコントローラに移動されます。新たなセキュリティ コンテキストとアソシエーションが必要に応じて確立され、クライアントのデータベース エントリは新たなアクセス ポイントに対してアップデートされます。このプロセスは、ユーザには透過的に行われます。
(注) 802.1X/Wi-Fi Protected Access(WPA)セキュリティで設定したすべてのクライアントは、IEEE 標準に準拠するために完全な認証を行います。
図 12-3 は、コントローラの無線 LAN インターフェイスが異なる IP サブネット上に存在する場合に発生するサブネット間ローミングを表したものです。
サブネット間ローミングは、コントローラがクライアントのローミングに関するモビリティ メッセージを交換する点でコントローラ間ローミングと似ています。ただし、クライアントのデータベース エントリを新しいコントローラに移動するのではなく、元のコントローラのクライアント データベース内で該当クライアントに「アンカー」エントリのマークが付けられます。このデータベース エントリが新しいコントローラのクライアント データベースにコピーされ、新しいコントローラ内で「外部」エントリのマークが付けられます。ローミングは無線クライアントには透過的なまま行われ、クライアントは元の IP アドレスを保持します。
サブネット間ローミングのあと、無線クライアントに出入りするデータはアシンメトリック トラフィック パスで転送されます。クライアントからネットワークへのトラフィックは、外部コントローラでネットワークへ直接転送されます。クライアントへのトラフィックはアンカー コントローラに到達し、ここで EtherIP トンネルで外部コントローラへ転送されます。外部コントローラは、そのデータをクライアントへ転送します。無線クライアントが新たな外部コントローラへローミングする場合、クライアントのデータベース エントリは元の外部コントローラから新しい外部コントローラへ移動されますが、元のアンカー コントローラは常に保持されます。クライアントは元のコントローラに戻ると、再びローカルになります。
サブネット間ローミングでは、アンカーと外部の両コントローラの WLAN に同一のネットワーク アクセス権限を設定し、ソースベースのルーティングやソースベースのファイアウォールを設定しないでおく必要があります。そのように設定してない場合、ハンドオフ後クライアントにネットワーク接続上の問題が発生することがあります。
(注) 現時点では、サブネット間ローミングの際にマルチキャスト トラフィックは伝送できません。この点を考慮して、サブネット間ネットワークの設計には Push-to-Talk を使用する際にマルチキャスト トラフィックを送信する必要のある Spectralink の電話を組み込まないようにします。
モビリティ グループの概要
モビリティ グループは、同じモビリティ グループ名で定義されるコントローラのセットで、無線クライアントのローミングをシームレスに行う範囲を定義します。モビリティ グループを作成すると、ネットワーク内で複数のコントローラを有効化して、コントローラ間またはサブネット間のローミングが発生した際に、動的に情報を共有してデータ トラフィックを転送できるようになります。同じモビリティ グループ内のコントローラは、相互のアクセス ポイントを不正なデバイスとして認識しないように、クライアント デバイスのコンテキストと状態およびアクセス ポイントのリストを共有できます。この情報を使用して、ネットワークはコントローラ間無線 LAN ローミングとコントローラの冗長性をサポートできます。図 12-4 には、モビリティ グループの例が示されています。
(注) 1 つのモビリティ グループのメンバとなるコントローラは、同じモデルである必要はありません。モビリティ グループは、コントローラ プラットフォームの任意の組み合わせで構成できます。
図示したように、各コントローラはモビリティ グループの別メンバーのリストを使用して設定されています。新たなクライアントがコントローラに追加されると、コントローラはユニキャスト メッセージをそのモビリティ グループの全コントローラに送信します。クライアントが以前に接続されていたコントローラは、クライアントのステータスを送信します。コントローラ間のすべてのモビリティ メッセージ交換が UDP パケットを使用して 16666 番ポートで実行されます。IPSec 暗号化もコントローラ間モビリティ メッセージに対して設定されます。この場合は、16667 番ポートが使用されます。
コントローラ ソフトウェア リリース 5.1 以降では、1 つのモビリティ グループにつき最大 24 このコントローラがサポートされます。モビリティ グループでサポートされるアクセス ポイントの数は、そのグループのコントローラの数とタイプによって決まります。
1.
4404-100 コントローラは、最大 100 個のアクセス ポイントをサポートします。したがって、24 個の 4404-100 コントローラで構成されているモビリティ グループは、最大 2400 個のアクセス ポイント(24 * 100 = 2400 アクセス ポイント)をサポートします。
2. 4402-25 コントローラは最大 25 個のアクセス ポイントをサポートし、4402-50 コントローラは最大 50 個のアクセス ポイントをサポートします。したがって、12 個の 4402-25 コントローラと 12 個の 4402-50 コントローラで構成されたモビリティ グループは最大 900 個のアクセス ポイント(12 * 25 + 12 * 50 = 300 + 600 = 900 アクセス ポイント)をサポートします。
異なるモビリティ グループ名を同じ無線ネットワーク内の異なるコントローラに割り当てると、モビリティ グループによって、1 つの企業内の異なるフロア、ビルディング、キャンパス間でのローミングを制限できます。図 12-5 には、2 つのコントローラ グループに異なるモビリティ グループ名を作成した結果が示されています。
ABC モビリティ グループのコントローラは、アクセス ポイントと共有サブネットを使用して相互に認識しあい、通信します。ABC モビリティ グループのコントローラは、異なるモビリティ グループの XYZ コントローラを認識せず、通信を行いません。同様に、XYZ モビリティ グループのコントローラは、ABC モビリティ グループのコントローラを認識せず、通信を行いません。この機能により、ネットワークでのモビリティ グループの切り離しが確実に行われます。
コントローラ同士が相互のモビリティ リストに含まれている場合は、モビリティ グループ間のコントローラで通信を行うことができ、クライアントは異なるモビリティ グループのアクセス ポイント間でローミングを行うことができます。モビリティ リストは、コントローラに設定されたコントローラのリストのことで、異なるモビリティ グループのメンバを指定します。次の例のコントローラ 1 はコントローラ 2 または 3 と通信できますが、コントローラ 2 およびコントローラ 3 はコントローラ 1 だけと通信し、相互には通信できません。クライアントは同様に、コントローラ 1 とコントローラ 2 の間またはコントローラ 1 とコントローラ 3 の間はローミングを行うことができますが、コントローラ 2 とコントローラ 3 の間でローミングを行うことはできません。
コントローラ ソフトウェア リリース 5.1 以降では、1 つのコントローラのモビリティ リスト内で最大 72 個のコントローラがサポートされ、複数のモビリティ グループ間でのシームレスなローミングが可能です。シームレスなローミングでは、クライアントは異なるモビリティ グループでも同じ IP アドレスを維持します。ただし、Cisco Centralized Key Management(CCKM)および Public Key Cryptography(PKC)は、モビリティ グループ内ローミングの場合だけ、サポートされています。ローミング中にモビリティ グループの境界を越える場合、クライアントは完全に認証されますが、IP アドレスは維持され、レイヤ 3 ローミングの EtherIP トンネルが開始されます。
(注) コントローラ ソフトウェア リリース 5.0 以降では、1 つのモビリティ リストで最大 48 個のコントローラがサポートされます。
モビリティ グループにコントローラを追加するタイミングの判断
ネットワーク内の無線クライアントが、あるコントローラに接続したアクセス ポイントから、別のコントローラに接続したアクセス ポイントへローミングできるとしたら、どちらのコントローラも同じモビリティ グループに属しているはずです。
モビリティ グループ内でのメッセージング
コントローラでは、モビリティ メッセージを他のメンバ コントローラに送信することにより、クライアントにサブネット間モビリティが提供されます。コントローラ ソフトウェア リリース 5.0 以降では、モビリティ メッセージングに対して 2 つの改良が行われました。どちらも、モビリティ メンバの全リストにメッセージを送信する場合に役立ちます。
• Mobile Announce メッセージを、まず同じグループ内に送信してから、リスト内の他のグループに送信する
コントローラは、新しいクライアントがアソシエートされるたびに、モビリティ リスト内のメンバに Mobile Announce メッセージを送信します。5.0 より前のコントローラ ソフトウェア リリースでは、コントローラは所属グループに関係なく、このメッセージをリスト内のすべてのメンバに送信します。しかし、コントローラ ソフトウェア リリース 5.0 以降では、コントローラは自分と同じグループ(ローカル グループ)に属するメンバに対してのみメッセージを送信し、その後、再試行を送信する際に他のメンバをすべて加えます。
• ユニキャストではなくマルチキャストを使用して Mobile Annouce メッセージを送信する
5.0 より前のコントローラ ソフトウェア リリースでは、コントローラはユニキャスト モードを使用して、すべてのモビリティ メッセージを送信しますが、これには、すべてのモビリティ メンバにメッセージのコピーを送信する必要があります。多くのメッセージ(Mobile Announce、PMK Update、AP List Update、IDS Shun など)はグループ内のすべてのメンバに向けられたものなので、この動作は効率的ではありません。コントローラ ソフトウェア リリース 5.0 以降では、マルチキャストを使用して Mobile Announce メッセージを送信するようにコントローラを設定できます。これにより、コントローラからネットワークに送られるメッセージは 1 コピーのみになります。このコピーはモビリティ メンバすべてを含むマルチキャスト グループに宛てて送られます。マルチキャスト メッセージングを最大限生かすには、グループ メンバすべてに対してこの機能を有効化することをお勧めします。
NAT デバイスでのモビリティ グループの使用
4.2 より前のコントローラ ソフトウェア リリースでは、同じモビリティ グループ内の コントローラ間のモビリティは、コントローラのいずれかが Network Address Translation(NAT; ネットワーク アドレス変換)デバイスの背後にある場合には機能しません。この動作により、1 台のコントローラがファイアウォールの外側にあると考えられるゲストのアンカー機能では、問題が発生します。
モビリティ メッセージのペイロードは、ソース コントローラに関する IP アドレス情報を伝達します。この IP アドレスは、IP ヘッダーのソース IP アドレスで検証されます。この動作により、NAT デバイスがネットワークに導入される場合に問題が発生します。これは、IP ヘッダー内でソース IP アドレスが変更されるためです。したがって、ゲスト WLAN 機能では、NAT デバイス経由でルーティングされているモビリティ パケットはすべて、IP アドレスの不一致のためにドロップされます。
コントローラ ソフトウェア リリース 4.2 以降では、ソース コントローラの MAC アドレスを使用するようにモビリティ グループの検索が変更されています。NAT デバイスのマッピングに従ってソース IP アドレスが変更されるため、要求元のコントローラの IP アドレスを取得するために応答が送信される前に、モビリティ グループのデータベースが検索されます。これは、要求元のコントローラの MAC アドレスを使用して実行されます。
NAT が有効になっているネットワークのモビリティ グループを設定する際に、コントローラの管理インターフェイス IP アドレスではなく、NAT デバイスからからコントローラに送信される IP アドレスを入力します。さらに、PIX などのファイアウォールを使用している場合には、ファイアウォールで次のポートが開いていることを確認します。
• UDP 16666:トンネル コントロール トラフィック用
(注) コントローラ間のクライアント モビリティは、自動アンカー モビリティ(ゲスト トンネリングとも呼ばれる)またはシンメトリック モビリティ トンネリングが有効になっている場合にのみ機能します。アシンメトリック トンネリングは、モビリティ コントローラが NAT デバイスの背後にある場合にはサポートされません。これらのモビリティ オプションの詳細については、「自動アンカー モビリティの設定」および「シンメトリック モビリティ トンネリングの使用」の項を参照してください。
図 12-6 は、NAT デバイスを使用したモビリティ グループの設定例を示しています。この例では、すべてのパケットが NAT デバイスを通過します(つまり、送信元から宛先、およびその逆方向に送信されるパケット)。図 12-7 は、2 台の NAT デバイスを使用したモビリティ グループの設定例を示しています。この例では、送信元とゲートウェイとの間に 1 台の NAT デバイスを使用し、宛先とゲートウェイとの間にもう 1 台の NAT デバイスを使用しています。
図 12-6 1 台の NAT デバイスを使用したモビリティ グループの設定
図 12-7 2 台の NAT デバイスを使用したモビリティ グループの設定
モビリティ グループの設定
この項では、GUI または CLI を使用してコントローラのモビリティ グループを設定する手順について説明します。
(注) Cisco Wireless Control System(WCS)を使用してモビリティ グループを設定することもできます。手順については、『Cisco Wireless Control System Configuration Guide』を参照してください。
必須条件
コントローラをモビリティ グループに追加する前に、グループに追加するコントローラすべてについて、次の要件が満たされていることを確認する必要があります。
• すべてのコントローラの管理インターフェイス間に IP 接続が存在する必要があります。
(注) コントローラを ping すると、IP 接続を確認できます。
• すべてのコントローラは、同じモビリティ グループ名で設定する必要があります。
(注) 通常、モビリティ グループ名は展開時にスタートアップ ウィザードを使用して設定されます。ただし、必要に応じて、[Controller] > [General] ページの [Default Mobility Domain Name] フィールドで変更できます。モビリティ グループ名では、大文字と小文字が区別されます。
(注) Cisco WiSM の場合、300 のアクセス ポイント間のルーティングをシームレスにするために両方のコントローラを同じモビリティ グループ名で設定してください。
• モビリティ リスト内のコントローラで別のソフトウェア リリース(4.2、5.0、5.1、5.2、6.0 など)が実行されている場合、レイヤ 2 またはレイヤ 3 のクライアント ローミングはそれらのコントローラ間ではサポートされません。同じリリースが実行されているコントロール間でのみ、サポートされています。
• ゲスト トンネリングは、同じソフトウェア リリースが実行されているコントローラ間またはソフトウェア リリース 4.2 が実行されているコントローラとそれ以降のソフトウェア リリースが実行されているコントローラ間(たとえば、4.2 と 5.0、4.2 と 5.1、4.2 と 5.2、または 4.2 と 6.0)のみで動作します。ゲスト トンネリングは、その他のソフトウェアの組み合わせが実行されているコントロール間では動作しません。
(注) ソフトウェア リリース 5.2 以降が実行されているコントローラに別のソフトウェア リリース(4.2、5.0、5.1 など)が実行されているフェールオーバー コントローラを誤って設定すると、アクセス ポイントがフェールオーバー コントローラに接続するのに長い時間がかかることがあります。アクセス ポイントが検出プロセスを CAPWAP で開始してから、LWAPP 検出に変更するからです。
• すべてのコントローラは、同じ仮想インターフェイス IP アドレスで設定する必要があります。
(注) 必要に応じて、仮想インターフェイス IP アドレスを変更するには、[Controller] > [Interfaces] ページで仮想インターフェイス名を編集します。コントローラの仮想インターフェイスの詳細については、 を参照してください。
(注) モビリティ グループ内のすべてのコントローラが同じ仮想インターフェイスを使用していない場合、コントローラ間ローミングが動作しているように見えても、ハンドオフが完了せず、クライアントの接続はしばらくの間切断されます。
• モビリティ グループに追加するコントローラごとに、MAC アドレスと IP アドレスを収集しておく必要があります。この情報が必要となるのは、他の全モビリティ グループ メンバの MAC アドレスと IP アドレスを使用してすべてのコントローラを設定するからです。
(注) モビリティ グループに追加する他のコントローラの MAC アドレスと IP アドレスは、各コントローラの GUI の [Controller] > [Mobility Groups] ページにあります。
• サード パーティのファイアウォール、Cisco PIX、または Cisco ASA を使用してモビリティ グループを設定する際に、セキュア モビリティ グループを使用していない場合は、ポート 16666、16667、12222、および 12223、IP プロトコル 50 および 97、および UDP ポート 500 を開く必要があります。Encapsulating Security Payload(ESP)を採用したセキュリティ モビリティ グループを使用している場合は、UDP ポート 500 を開くことにより、Internet Security Association and Key Management Protocol(ISAKMP)がファイアウォールを通過できるようにする必要があります。また、IP プロトコル 50 を使用して、暗号化されたデータがファイアウォールを通過できるようにする必要もあります。ポート 16666 および 16667 上のモビリティ データは ESP でカプセル化されます。したがって、ポート 16666 と 16667 を許可するように ACL を作成する必要はありません。これは、これらのポートがすでに ESP 内でカプセル化されているからです。
(注) ファイアウォール上では Port Address Translation(PAT; ポート アドレス変換)は実行できません。1 対 1 の Network Address Translation(NAT; ネットワーク アドレス変換)を設定する必要があります。
GUI を使用したモビリティ グループの設定
GUI を使用してモビリティ グループを設定する手順は、次のとおりです。
(注) CLI を使用してモビリティ グループを設定する場合は、「CLI を使用したモビリティ グループの設定」を参照してください。
ステップ 1 [Controller] > [Mobility Management] > [Mobility Groups] の順に選択して、[Static Mobility Group Members] ページを開きます(図 12-8 を参照)。
図 12-8 [Static Mobility Group Members] ページ
このページでは、[Default Mobility Group] フィールドにモビリティ グループ名が表示され、現在モビリティ グループのメンバである各コントローラの MAC アドレスと IP アドレスが示されます。最初のエントリはローカル コントローラで、これを削除することはできません。
(注) モビリティ グループからいずれかのリモート コントローラを削除するには、そのコントローラの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。
ステップ 2 次のいずれかを実行して、コントローラをモビリティ グループに追加します。
• コントローラを 1 つだけ追加する場合、または別々に複数のコントローラを追加する場合、[New] をクリックしてステップ 3 に進みます。
• 複数のコントローラを追加する場合、それらを一括で追加するには、[EditAll] をクリックしてステップ 4 へ進みます。
(注) [EditAll] オプションを使用すると、現在のモビリティ グループ メンバのすべての MAC アドレスと IP アドレスを入力した後で、すべてのエントリをモビリティ グループの 1 つのコントローラから別のコントローラにコピーして貼り付けることができます。
ステップ 3 [Mobility Group Member > New] ページが表示されます(図 12-9 を参照)。
図 12-9 [Mobility Group Member > New] ページ
次の手順に従って、コントローラをモビリティ グループに追加します。
a. [Member IP Address] フィールドに、追加するコントローラの管理インターフェイスの IP アドレスを入力します。
(注) Network Address Translation(NAT; ネットワーク アドレス変換)が有効になっているネットワークのモビリティ グループを設定する際に、コントローラの管理インターフェイス IP アドレスではなく、NAT デバイスからコントローラに送信される IP アドレスを入力します。そうしないと、モビリティ グループ内のコントローラ間でモビリティが失敗します。
b. [Member MAC Address] フィールドに、追加するコントローラの MAC アドレスを入力します。
c. [Group Name] フィールドに、モビリティ グループ名を入力します。
(注) モビリティ グループ名では、大文字と小文字が区別されます。
d. [Apply] をクリックして、変更を適用します。新しいコントローラが、[Static Mobility Group Members] ページのモビリティ グループ メンバのリストに追加されます。
e. [Save Configuration] をクリックして、変更を保存します。
f. [Member IP Address] フィールドに、追加するコントローラの管理インターフェイスの IP アドレスを入力します。 ~[Save Configuration] をクリックして、変更を保存します。 を繰り返して、すべてのコントローラをモビリティ グループに追加します。
g. モビリティ グループに追加するすべてのコントローラごとに、この手順を繰り返します。モビリティ グループ内のすべてのコントローラでは、他のすべてのモビリティ グループ メンバの MAC アドレスと IP アドレスを設定する必要があります。
ステップ 4 [Mobility Group Members > Edit All] ページ(図 12-10 を参照)に現在モビリティ グループにあるすべてのコントローラの MAC アドレス、IP アドレス、およびモビリティ グループ名(オプション)が表示されます。コントローラのリストは、先頭にローカルのコントローラが表示され、1 行に 1 つずつ表示されます。
(注) 必要に応じて、リストのコントローラを編集または削除できます。
図 12-10 [Mobility Group Member > Edit All] ページ
次の手順に従って、さらにコントローラをモビリティ グループに追加します。
b. MAC アドレス、管理インターフェイスの IP アドレス、および追加するコントローラのモビリティ グループ名を入力します。
(注) これらの値は 1 行に入力し、1 つまたは 2 つのスペースで区切ってください。
(注) モビリティ グループ名では、大文字と小文字が区別されます。
c. モビリティ グループに追加するコントローラごとに、編集ボックス内をクリックして、新たな行を開始します。 およびMAC アドレス、管理インターフェイスの IP アドレス、および追加するコントローラのモビリティ グループ名を入力します。 を繰り返します。
d. 編集ボックス内のエントリ全体を強調表示して、コピーします。
e. [Apply] をクリックして、変更を適用します。新しいコントローラが、[Static Mobility Group Members] ページのモビリティ グループ メンバのリストに追加されます。
f. [Save Configuration] をクリックして、変更を保存します。
g. リストをモビリティ グループ内の他のすべてのコントローラの [Mobility Group Members > Edit All] ページにある編集ボックスに貼り付けて、[Apply] と [Save Configuration] をクリックします。
ステップ 5 [Multicast Messaging] を選択して、[Mobility Multicast Messaging] ページを開きます(図 12-11 を参照)。
図 12-11 [Mobility Multicast Messaging] ページ
現在、設定されているモビリティ グループすべての名前がページの中央に表示されます。
ステップ 6 [Mobility Multicast Messaging] ページで、[Enable Multicast Messaging] チェックボックスをオンにすると、Mobile Announce メッセージをモビリティ メンバに送信するために、コントローラでマルチキャスト モードを使用できるようになります。このチェックボックスをオフにしておくと、Mobile Announce メッセージはユニキャスト モードで送信されます。デフォルトではオフになっています。
ステップ 7 前の手順でマルチキャスト メッセージングを有効化した場合は、[Local Group Multicast IP Address] フィールドに、ローカル モビリティ グループのマルチキャスト グループ IP アドレスを入力します。このアドレスは、マルチキャスト モビリティ メッセージングに使用されます。
(注) マルチキャスト メッセージングを使用するには、ローカル モビリティ グループの IP アドレスを設定する必要があります。
ステップ 8 [Apply] をクリックして、変更を適用します。
ステップ 9 必要に応じて、モビリティ リスト内にあるローカル以外のグループのマルチキャスト グループ IP アドレスを設定することもできます。このためには、ローカル以外のモビリティ グループの名前をクリックして、[Mobility Multicast Messaging > Edit] ページ(図 12-12 を参照)を開き、[Multicast IP Address] フィールドにローカル以外のモビリティ グループのマルチキャスト グループ IP アドレスを入力します。
(注) ローカル以外のグループにマルチキャスト IP アドレスが設定されていない場合、コントローラはこのグループのメンバに対して、ユニキャスト モードでモビリティ メッセージを送信します。
図 12-12 [Mobility Multicast Messaging > Edit] ページ
ステップ 10 [Apply] をクリックして、変更を適用します。
ステップ 11 [Save Configuration] をクリックして、変更を保存します。
CLI を使用したモビリティ グループの設定
CLI を使用してモビリティ グループを設定する手順は、次のとおりです。
ステップ 1 現在のモビリティ設定を確認するには、次のコマンドを入力します。
ステップ 2 モビリティ グループを作成するには、次のコマンドを入力します。
config mobility group domain domain_name
(注) グループ名には、最大 31 文字の ASCII 文字列を使用できます。大文字と小文字が区別されます。モビリティ グループ名には、スペースは使用できません。
ステップ 3 グループ メンバを追加するには、次のコマンドを入力します。
config mobility group member add mac_address ip_address
(注) Network Address Translation(NAT; ネットワーク アドレス変換)が有効になっているネットワークのモビリティ グループを設定する際に、コントローラの管理インターフェイス IP アドレスではなく、NAT デバイスからコントローラに送信される IP アドレスを入力します。そうしないと、モビリティ グループ内のコントローラ間でモビリティが失敗します。
(注) グループ メンバを削除するには、config mobility group member delete mac_address と入力します。
ステップ 4 マルチキャスト モビリティ モードを有効または無効にするには、次のコマンドを入力します。
config mobility multicast-mode {enable | disable} local_group_multicast_address
ここで、local_group_multicast_address は、ローカル モビリティ グループのマルチキャスト グループ IP アドレスです。このアドレスは、マルチキャスト モビリティ メッセージングに使用されます。
マルチキャスト モビリティ モードを有効にした場合、Mobile Announce メッセージはマルチキャスト モードでローカル グループに送信されます。マルチキャスト モビリティ モードを無効にした場合、Mobile Announce メッセージはユニキャスト モードでローカル グループに送信されます。デフォルト値は無効(disable)です。
ステップ 5 必要に応じて、モビリティ リスト内にあるローカル以外のグループのマルチキャスト グループ IP アドレスを設定することもできます。そのためには、次のコマンドを入力します。
config mobility group multicast-address group_name IP_address
ローカル以外のグループにマルチキャスト IP アドレスが設定されていない場合、コントローラはこのグループのメンバに対して、ユニキャスト モードでモビリティ メッセージを送信します。
ステップ 6 モビリティ設定を確認するには、次のコマンドを入力します。
ステップ 7 設定を保存するには、次のコマンドを入力します。
ステップ 8 モビリティ グループに追加するすべてのコントローラごとに、この手順を繰り返します。モビリティ グループ内のすべてのコントローラでは、他のすべてのモビリティ グループ メンバの MAC アドレスと IP アドレスを設定する必要があります。
ステップ 9 モビリティ メッセージのマルチキャスト使用のデバッグを有効または無効にするには、次のコマンドを入力します。
debug mobility multicast { enable | disable }
モビリティ グループの統計の表示
コントローラの GUI から次の 3 種類のモビリティ グループの統計を表示できます。
• Global Mobility Statistics:すべてのモビリティ トランザクションに影響します。
• Mobility Initiator Statistics:モビリティ イベントを開始するコントローラによって生成されます。
• Mobility Responder Statistics:モビリティ イベントに応答するコントローラによって生成されます。
コントローラの GUI または CLI を使用して、モビリティ グループの統計を表示できます。
GUI を使用したモビリティ グループの統計の表示
コントローラの GUI を使用して、モビリティ グループの統計を表示する手順は、次のとおりです。
ステップ 1 [Monitor] > [Statistics] > [Mobility Statistics] の順に選択して、[Mobility Statistics] ページを開きます(図 12-13 を参照)。
図 12-13 [Mobility Statistics] ページ
ステップ 2 各統計の説明については、 表 12-1 を参照してください。
ステップ 3 現在のモビリティ統計をクリアする場合は、[Clear Stats] をクリックします。
CLI を使用したモビリティ グループの統計の表示
コントローラの CLI を使用して、モビリティ グループの統計を表示する手順は、次のとおりです。
ステップ 1 モビリティ グループの統計を表示するには、次のコマンドを入力します。
ステップ 2 各統計の説明については、 表 12-1 を参照してください。
ステップ 3 現在のモビリティ統計をクリアする場合は、次のコマンドを入力します。
自動アンカー モビリティの設定
無線 LAN 上でローミング クライアントの負荷分散とセキュリティを向上させるために、自動アンカー モビリティ( ゲスト トンネリング とも呼ばれる)を使用できます。通常のローミング状態では、クライアント デバイスは無線 LAN に接続され、最初に接触するコントローラにアンカーされます。クライアントが異なるサブネットにローミングする場合、クライアントのローミング先のコントローラは、クライアント用にアンカー コントローラとの外部セッションを設定します。ただし、自動アンカー モビリティ機能を使用して、無線 LAN 上のクライアントのアンカー ポイントとしてコントローラまたはコントローラのセットを指定できます。
自動アンカー モビリティ モードでは、モビリティ グループのサブセットは WLAN のアンカー コントローラとして指定されます。クライアントのネットワークへのエントリ ポイントに関係なく、この機能を使用して WLAN を単一のサブネットに制限できます。それにより、クライアントは企業全体にわたりゲスト WLAN にアクセスできますが、引き続き特定のサブネットに制限されます。WLAN は建物の特定のセクション(ロビー、レストランなど)を表すことができるため、自動アンカー モビリティで地理的負荷分散も提供でき、WLAN のホーム コントローラのセットを効果的に作成できます。モバイル クライアントがたまたま最初に接触するコントローラにアンカーされるのではなく、特定の圏内にあるアクセス ポイントを制御するコントローラにモバイル クライアントをアンカーできます。
クライアントが WLAN のモビリティ アンカーとして事前設定されているモビリティ グループのコントローラに最初にアソシエートすると、クライアントはローカルでそのコントローラにアソシエートし、クライアントのローカル セッションが作成されます。クライアントは、WLAN の事前設定されたアンカー コントローラにのみアンカーできます。指定された WLAN の場合、モビリティ グループのすべてのコントローラ上で同じセットのアンカー コントローラを設定する必要があります。
クライアントが WLAN のモビリティ アンカーとして設定されていないモビリティ グループのコントローラに最初にアソシエートすると、クライアントはローカルでそのコントローラにアソシエートし、クライアントのローカル セッションが作成され、そのクライアントがモビリティ リスト内の別のコントローラに通知されます。その通知に対する回答がない場合、コントローラは WLAN に設定されたいずれかのアンカー コントローラに接触して、ローカルスイッチ上のクライアントに対する外部セッションを作成します。クライアントからのパケットは EtherIP を使用してモビリティ トンネルを介してカプセル化され、アンカー コントローラに送信されます。ここでカプセルを解除されて有線ネットワークへ配信されます。クライアントへのパケットは、アンカー コントローラで受信され、EtherIP を使用してモビリティ トンネルを介して外部コントローラへ転送されます。外部コントローラはパケットのカプセルを解除し、クライアントへ転送します。
4.1 より前のコントローラ ソフトウェア リリースでは、モビリティ グループ内に到着不能になったコントローラがあるかどうか自動で判断する方法はありませんでした。そのため、到着不能なアンカー コントローラに外部コントローラが新たなクライアント要求を送信し続け、セッションがタイムアウトするまでクライアントがこの到着不能なコントローラに接続し続けることがありました。コントローラ ソフトウェア リリース 4.1 以降では、モビリティ リストのメンバ同士が ping 要求をお互いに送信し合い、データを確認してそのデータのパスを管理することで、到着不能なメンバがいないかを調べてクライアントを再ルーティングできます。それぞれのアンカー コントローラに送信する ping 要求の数と間隔は、設定可能です。この機能には、ゲスト トンネリングのほか、通常のモビリティでモビリティ フェールオーバーを実行できるよう、ゲスト N+1 冗長性が備わっています。
ゲスト N+1 冗長性を利用すると、到着不能なアンカーを検出できます。到着不能なアンカー コントローラが検出されると、このコントローラに接続していたすべてのクライアントが認証解除され、すぐに別のコントローラに接続できるようになります。この機能は、モビリティ フェールオーバーによって通常のモビリティ クライアントにも使用されます。この機能によって、モビリティ グループのメンバは到着不能なメンバを検出してクライアントを再ルーティングできます。
(注) 2100 シリーズ コントローラは、WLAN のアンカーとして指定できません。ただし、2100 シリーズ コントローラ上に作成された WLAN に 4400 シリーズ コントローラをアンカーとして指定できます。
(注) IPSec および L2TP レイヤ 3 セキュリティ ポリシーは、モビリティ アンカーで設定された WLAN には使用できません。
自動アンカー モビリティを使用する際のガイドライン
自動アンカー モビリティを設定するためのガイドラインは、次のとおりです。
• コントローラを WLAN のモビリティ アンカーとして指定するには、そのコントローラをモビリティ グループ メンバ リストに追加する必要があります。
• WLAN のモビリティ アンカーとして、複数のコントローラを設定できます。
• WLAN のモビリティ アンカーを設定する前に、WLAN を無効にする必要があります。
• 自動アンカー モビリティは、Web 認可をサポートしていますが、その他のレイヤ 3 セキュリティ タイプをサポートしていません。
• 外部コントローラ上の WLAN とアンカー コントローラ上の WLAN は、両方ともモビリティ アンカーを使用して設定する必要があります。アンカー コントローラ上で、アンカー コントローラ自体をモビリティ アンカーとして設定します。外部コントローラ上で、アンカーをモビリティ アンカーとして設定します。
• 自動アンカー モビリティは、DHCP オプション 82 と共には使用できません。
• ゲスト N+1 冗長性とモビリティ フェールオーバー機能にファイアウォールを組み合わせて使用する場合は、次のポートに空きがあることを確認してください。
GUI を使用した自動アンカー モビリティの設定
GUI を使用して WLAN の新たなモビリティ アンカーを作成する手順は、次のとおりです。
(注) CLI を使用して自動アンカー モビリティを設定する場合は、「CLI を使用した自動アンカー モビリティの設定」を参照してください。
ステップ 1 モビリティ グループ内に到着不能なアンカー コントローラがないかを検出するには、次の手順でコントローラを設定してください。
a. [Controller] > [Mobility Management] > [Mobility Anchor Config] の順に選択して、[Mobility Anchor Config] ページを開きます(図 12-14 を参照)。
図 12-14 [Mobility Anchor Config] ページ
b. [Keep Alive Count] フィールドに、そのアンカーが到着不能と判断するまでにアンカー コントローラに ping 要求を送信する回数を入力します。有効な範囲は 3 ~ 20 で、デフォルト値は 3 です。
c. [Keep Alive Interval] フィールドには、アンカー コントローラに送信する各 ping 要求の間隔を秒単位で入力します。有効な範囲は 1 ~ 30 秒で、デフォルト値は 10 秒です。
ステップ 2 [WLANs] を選択して、[WLANs] ページを開きます(図 12-15 を参照)。
ステップ 3 目的の WLAN または有線ゲスト LAN の青いドロップダウン矢印をクリックして、[Mobility Anchors] を選択します。[Mobility Anchors] ページが表示されます(図 12-16 を参照)。
図 12-16 [Mobility Anchors] ページ
このページには、すでにモビリティ アンカーとして設定されているコントローラが一覧表示されるほか、そのデータと管理パスの現状が表示されます。モビリティ グループ内のコントローラは、well-known UDP ポート上で管理情報をお互いに通信し合い、Ethernet-over-IP(EoIP)トンネルを通じてデータ トラフィックを交換します。具体的には、mping を送信して、モビリティ制御パケットの到着可能性を管理インターフェイスのモビリティ UDP ポート 16666 によってテストします。また、eping を送信して、モビリティ データ トラフィックを管理インターフェイスの EoIP ポート 97 によってテストします。[Control Path] フィールドは、mping が成功した(up)か失敗した(down)かを表示します。[Data Path] フィールドは、eping が成功した(up)か失敗した(down)かを表示します。[Data Path] フィールドまたは [Control Path] フィールドに「down」が表示された場合は、モビリティ アンカーが到着できず、接続できないと考えられます。
ステップ 4 モビリティ アンカーに指定されたコントローラの IP アドレスを、[Switch IP Address (Anchor)]ドロップダウン ボックスで選択します。
ステップ 5 [Mobility Anchor Create] をクリックします。選択したコントローラが、この WLAN または有線ゲスト LAN のアンカーになります。
(注) WLAN または有線ゲスト LAN のモビリティ アンカーを削除するには、アンカーの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。
ステップ 6 [Save Configuration] をクリックして、変更を保存します。
ステップ 7 ステップ 4 およびステップ 6 を繰り返し、他のコントローラをこの WLAN または有線ゲスト LAN のモビリティ アンカーとして設定します。
ステップ 8 モビリティ グループのすべてのコントローラに同じセットのモビリティ アンカーを設定します。
CLI を使用した自動アンカー モビリティの設定
CLI を使用して自動アンカー モビリティを設定するには、これらのコマンドを使用します。
(注) CLI コマンドで使用されるパラメータの有効範囲およびデフォルト値については、「GUI を使用した自動アンカー モビリティの設定」を参照してください。
1. コントローラは、到着不能なモビリティ リスト メンバを常に検出するようにプログラムされます。モビリティ メンバ間で ping を交換するためのパラメータを変更するには、次のコマンドを入力します。
• config mobility group keepalive count count :そのメンバが到着不能と判断されるまでにモビリティ リスト メンバに送信する ping 要求の回数。有効な範囲は 3 ~ 20 で、デフォルト値は 3 です。
• config mobility group keepalive interval seconds :モビリティ リスト メンバに送信する各 ping 要求の間隔(秒単位)。有効な範囲は 1 ~ 30 秒で、デフォルト値は 10 秒です。
2. config {wlan | guest-lan} disable {wlan_id | guest_lan_id} と入力し、モビリティ アンカーを設定している WLAN または有線ゲスト LAN を無効にします。
3. WLAN または有線ゲスト LAN の新たなモビリティ アンカーを作成するには、次のコマンドのいずれかを入力します。
• config mobility group anchor add {wlan | guest-lan} {wlan_id | guest_lan_id} anchor_controller_ip_address
• config {wlan | guest-lan} mobility anchor add {wlan_id | guest_lan_id} anchor_controller_ip_address
(注) wlan_id または guest_lan_id は、存在しているが無効になっており、anchor_controller_ip_address は、デフォルトのモビリティ グループのメンバである必要があります。
(注) WLAN または有線ゲスト LAN の自動アンカー モビリティは、最初のモビリティ アンカーを設定する際に有効になります。
4. WLAN または有線ゲスト LAN のモビリティ アンカーを削除するには、次のコマンドのいずれかを入力します。
• config mobility group anchor delete {wlan | guest-lan} {wlan_id | guest_lan_id} anchor_controller_ip_address
• config {wlan | guest-lan} mobility anchor delete {wlan_id | guest_lan_id} anchor_controller_ip_address
(注) wlan_id または guest_lan_id は存在し、無効になっている必要があります。
(注) 最後のアンカーを削除すると、自動アンカー モビリティ機能が無効化され、新たなアソシエーションに対して通常のモビリティが再開されます。
6. 特定の WLAN または有線ゲスト LAN のモビリティ アンカーとして設定されたコントローラのリストとステータスを表示するには、次のコマンドを入力します。
show mobility anchor {wlan | guest-lan} {wlan_id | guest_lan_id}
(注) wlan_id パラメータと guest_lan_id パラメータはオプションであり、リストを特定の WLAN またはゲスト LAN のアンカーに制限します。システムのすべてのモビリティ アンカーを表示するには、show mobility anchor と入力します。
たとえば、show mobility anchor コマンドに対しては、次のような情報が表示されます。
Status フィールドには、次のうちいずれかの値が表示されます。
• UP:コントローラは到達可能で、データを伝送することができます。
• CNTRL_PATH_DOWN:mping の送信に失敗しました。この制御パスでは到達できず、障害が発生すると考えられます。
• DATA_PATH_DOWN:eping の送信に失敗しました。この制御パスでは到達できず、障害が発生すると考えられます。
• CNTRL_DATA_PATH_DOWN:mping と eping の両方の送信に失敗しました。この制御パスでは到達できず、障害が発生すると考えられます。
7. すべてのモビリティ グループ メンバのステータスを確認するには、次のコマンドを入力します。
8. モビリティの問題のトラブルシューティングを行うには、次のコマンドを入力します。
• debug mobility handoff { enable | disable }:モビリティのハンドオフの問題をデバッグします。
• debug mobility keep-alive { enable | disable } all :すべてのモビリティ アンカーの keepalive パケットをダンプします。
• debug mobility keep-alive { enable | disable } IP_address :特定のモビリティ アンカーの keepalive パケットをダンプします。
WLAN モビリティ セキュリティの値
すべてのアンカーまたはモビリティのイベントでは、各コントローラの WLAN セキュリティ ポリシーの値は一致する必要があります。これらの値はコントローラのデバッグで検証することができます。 表 12-2 に、WLAN モビリティ セキュリティの値およびそれらに対応するセキュリティ ポリシーのリストを示します。
|
|
|
|---|---|
シンメトリック モビリティ トンネリングの使用
コントローラ ソフトウェア リリース 4.1 ~ 5.1 は、アシンメトリック モビリティ トンネリングとシンメトリック モビリティ トンネリングの両方をサポートしています。コントローラ ソフトウェア リリース 5.2 以降は、シンメトリック モビリティ トンネリングのみをサポートしており、デフォルトでは常に有効です。
アシンメトリック トンネリングでは、図 12-17 に示すとおり、有線ネットワークへのクライアント トラフィックは外部コントローラから直接ルーティングされます。
図 12-17 アシンメトリック トンネリングまたは単一指向性トンネリング
アシンメトリック トンネリングは、上流のルータに Reverse Path Filtering(RPF; 逆方向パス転送)が有効に設定されている場合、切断されます。この場合、RPF チェックによって、ソース アドレスに戻るパスとパケットの着信先パスを一致させるため、クライアント トラフィックがルータでドロップされます。シンメトリック モビリティ トンネリングを有効に設定すると、図 12-18 に示すように、すべてのクライアント トラフィックがアンカー コントローラに送信され、RPF チェックを正常に通過します。
図 12-18 シンメトリック モビリティ トンネリングまたは双方向性トンネリング
シンメトリック モビリティ トンネリングは、次の場合にも便利です。
• 送信元 IP アドレスがパケットの受信先サブネットと一致しないため、クライアント パケット パス内のファイアウォールでパケットがドロップされる場合。
• アンカー コントローラ上のアクセス ポイント グループ VLAN が、外部コントローラ上の WLAN インターフェイス VLAN とは異なる場合。この場合、モビリティ イベント中に、クライアント トラフィックが誤った VLAN に送信される可能性があります。
(注) 自動アンカー モビリティを使用中の場合、2100 シリーズ コントローラは WLAN のアンカーとして指定できませんが、シンメトリック モビリティ トンネリングではアンカーとして指定して、外部コントローラからトンネリングされている上流のクライアント データ トラフィックを処理して転送できます。
コントローラ GUI と CLI は両方とも、シンメトリック モビリティ トンネリングがコントローラで有効であることを示します。
• コントローラ GUI を使用して、シンメトリック モビリティ トンネリングが有効であることを検証するには、[Controller] > [Mobility Management] > [Mobility Anchor Config] の順に選択して、[Mobility Anchor Config] ページを開きます(図 12-19 を参照)。[Symmetric Mobility Tunneling Mode] フィールドに [Enabled] と表示されます。
図 12-19 [Mobility Anchor Config] ページ
• コントローラ CLI を使用して、シンメトリック モビリティ トンネリングが有効であることを検証するには、次のコマンドを入力します。
モビリティ ping テストの実行
1 つのモビリティ リスト内のコントローラは、well-known UDP ポート上で情報を制御し、Ethernet-over-IP(EoIP)トンネルを通じてデータ トラフィックを交換することにより、お互いに通信します。UDP と EoIP は信頼できる転送メカニズムではないため、モビリティ コントロール パケットまたはデータ パケットがモビリティ ピアに配信される保証はありません。ファイアウォールによる UDP ポートや EoIP パケットのフィルタリング、あるいはルーティングの問題のために、モビリティ パケットが転送中に消失する可能性があります。
コントローラ ソフトウェア リリース 4.0 以降を使用すると、モビリティ ping テストを実行することにより、モビリティ通信環境をテストできます。これらのテストを使用して、モビリティ グループ(ゲスト コントローラを含む)のメンバ間の接続を検証できます。次の 2 つの ping テストが利用できます。
• UDP でのモビリティ ping:このテストは、モビリティ UDP ポート 16666 上で実行されます。管理インターフェイスでモビリティ コントロール パケットが到達できるかどうかをテストします。
• EoIP でのモビリティ ping:このテストは EoIP 上で実行されます。管理インターフェイス上で、モビリティ データ トラフィックをテストします。
各コントローラにつき、実行できるモビリティ ping テストは 1 度に 1 回だけです。
(注) これらの ping テストは、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)ベースではありません。「ping」という用語は、エコー要求とエコー応答メッセージを示すために使用されます。
コントローラ CLI を使用してモビリティ ping テストを実行するには、次のコマンドを使用します。
1. 2 つのコントローラ間でモビリティ UDP コントロール パケット通信をテストするには、次のコマンドを入力します。
mping mobility_peer_IP_address
mobility_peer_IP_address パラメータは、モビリティ リストに属するコントローラの IP アドレスにする必要があります。
2. 2 つのコントローラ間でモビリティ EoIP データ パケット通信をテストするには、次のコマンドを入力します。
eping mobility_peer_IP_address
mobility_peer_IP_address パラメータは、モビリティ リストに属するコントローラの IP アドレスにする必要があります。
3. モビリティ ping に対するコントローラのトラブルシューティングを行うには、次のコマンドを入力します。
config logging buffered debugging
UDP でのモビリティ ping に対するコントローラのトラブルシューティングを行うには、次のコマンドを入力します。
(注) トラブルシューティングを行う際には、Ethereal トレース キャプチャを使用することをお勧めします。
フィードバック