Cisco Wireless LAN Controller コンフィギュレー ション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: WLAN の設定
- WLAN の概要
- WLAN の設定
- WLAN の作成
- WLAN の検索
- DHCP の設定
- WLAN の MAC フィルタリングの設定
- インターフェイスへの WLAN の割り当て
- DTIM 期間の設定
- ピアツーピア ブロッキングの設定
- レイヤ 2 セキュリティの設定
- セッション タイムアウトの設定
- レイヤ 3 セキュリティの設定
- WLAN への QoS プロファイルの割り当て
- QoS Enhanced BSS の設定
- VoIP スヌーピングの設定
- IPv6 ブリッジの設定
- Cisco Client Extensions の設定
- アクセス ポイント グループの設定
- 802.1X 認証を使用した Web リダイレクトの設定
- WLAN ごとのアカウンティング サーバの無効化
- WLAN ごとのカバレッジ ホールの検出の無効化
- NAC アウトオブバンド統合の設定
WLAN の設定
この章では、Cisco UWN Solution に最大 512 の WLAN を設定する方法について説明します。この章の内容は、次のとおりです。
WLAN の概要
Cisco UWN Solution では、Lightweight アクセス ポイントについて、最大 512 の WLAN を制御できます。各 WLAN には、それぞれ異なる WLAN ID(1 ~ 512)、それぞれ異なるプロファイル名、および WLAN SSID が割り当てられます。また、一意のセキュリティ ポリシーを割り当てることもできます。すべてのコントローラは接続されている各アクセス ポイントに対して最大 16 の WLAN を公開しますが、管理しやすくするため、最大 512 の WLAN を作成し、これらの WLAN を異なるアクセス ポイントに選択的に公開する(アクセス ポイント グループを使用)ことができます。
(注) Cisco 2106、2112、および 2125 コントローラは、最大 16 の WLAN しかサポートしません。
(注) OfficeExtend アクセス ポイントはすべて同じアクセス ポイント グループ内にあり、このグループに含まれる WLAN は最大 15 にする必要があります。アクセス ポイント グループ内の OfficeExtend アクセス ポイントを持つコントローラは、パーソナルな SSID に対して割り当てられる WLAN が 1 つであるため、接続されている各 OfficeExtend アクセス ポイントに最大 15 の WLAN しか公開しません。
最大 16 の WLAN を各アクセス ポイント グループにアソシエートし、各グループに個々のアクセス ポイントを割り当てることができます。各アクセス ポイントは、有効化されている WLAN のうち、そのアクセス ポイント グループに属する WLAN だけをアドバタイズします。アクセス ポイント グループで無効化されている WLAN または別のグループに属する WLAN はアドバタイズしません。アクセス ポイント グループの詳細は、「アクセス ポイント グループの作成」を参照してください。
(注) 5.2 以前のコントローラのソフトウェア リリースでは、最大 16 の WLAN のみをサポートします。WLAN および有線ゲスト LAN に矛盾が生じる恐れがあるため、ソフトウェア リリース 5.2 以降からそれよりも前のリリースへのコントローラのダウングレードはサポートしていません。このため、WLAN、モビリティ アンカー、および有線 LAN を再設定する必要があります。
(注) コントローラが VLAN トラフィックを正常にルーティングできるよう、WLAN と管理インターフェイスにはそれぞれ別の VLAN セットを割り当てることをお勧めします。
WLAN の設定
•
「Cisco Client Extensions の設定」
• 「802.1X 認証を使用した Web リダイレクトの設定」
WLAN の作成
この項では、コントローラの GUI または CLI を使用して最大 512 の WLAN を作成する手順について説明します。
異なる Service Set Identifier(SSID; サービス セット ID)または同じ SSID で WLAN を設定できます。SSID は、コントローラがアクセスする必要がある特定の無線ネットワークを識別します。同じ SSID で WLAN を作成すると、同じ無線 LAN 内で異なるレイヤ 2 セキュリティ ポリシーを割り当てることができます。同じ SSID を持つ WLAN を区別するには、各 WLAN に対して一意のプロファイル名を作成する必要があります。
同じ SSID を持つ WLAN は、ビーコン応答とプローブ応答でアドバタイズされる情報に基づいてクライアントが WLAN を選択できるように、一意のレイヤ 2 セキュリティ ポリシーを使用している必要があります。利用できるレイヤ 2 セキュリティ ポリシーは次のとおりです。
(注) 静的 WEP と 802.1X は両方とも、ビーコン応答とプローブ応答で同じビットによってアドバタイズされるので、クライアントはこれらを区別できません。したがって、同じ SSID を持つ複数の WLAN では、静的 WEP と 802.1X の両方を使用できません。
(注) 同じ SSID を持つ複数の WLAN で WPA と WPA2 の両方を使用することはできませんが、同じ SSID を持つ 2 つの WLAN は、PSK を使用する WPA/TKIP と 802.1X を使用する WPA/TKIP でそれぞれ設定するか、802.1X を使用する WPA/TKIP または 802.1X を使用する WPA/AES でそれぞれ設定することができます。
GUI を使用した WLAN の作成
GUI を使用して WLAN を作成する手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます(図 6-1 を参照)。
このページでは、コントローラ上で現在設定されているすべての WLAN が表示されます。各 WLAN について、WLAN ID、プロファイル名、タイプ、SSID、ステータス、およびセキュリティ ポリシーを表示できます。
WLAN の合計数がページの右上隅に表示されます。WLAN のリストが複数ページに渡る場合は、ページ番号のリンクをクリックすることで、目的のページにアクセスできます。
(注) WLAN を削除する場合は、カーソルを目的の WLAN の青のドロップダウン矢印の上に置いて、[Remove] を選択するか、または目的の WLAN の左側のチェックボックスをオンにして、ドロップダウン ボックスから [Remove Selected] を選択して、[Go] をクリックします。決定を確認するメッセージが表示されます。作業を続行すると、割り当てられているアクセス ポイント グループおよびアクセス ポイント無線からその WLAN が削除されます。
ステップ 2 新しい WLAN を作成するには、ドロップダウン ボックスから [Create New] を選択して、[Go] をクリックします。[WLANs > New] ページが表示されます(図 6-2 を参照)。
ステップ 3 [Type] ドロップダウン ボックスから、[WLAN] を選択して WLAN を作成します。
(注) 有線ゲスト ユーザ用にゲスト LAN を作成する場合は、[Guest LAN] を選択し、「有線ゲスト アクセスの設定」の手順に従ってください。
ステップ 4 [Profile Name] フィールドに、この WLAN に割り当てるプロファイル名に対する最大 32 文字の英数字を入力します。プロファイル名は一意にする必要があります。
ステップ 5 [WLAN SSID] フィールドに、この WLAN に割り当てる SSID に対する最大 32 文字の英数字を入力します。
ステップ 6 [WLAN ID] ドロップダウン ボックスから、この WLAN の ID 番号を選択します。
ステップ 7 [Apply] をクリックして、変更を適用します。[WLANs > Edit] ページが表示されます(図 6-3 を参照)。
(注) 編集する WLAN の ID 番号をクリックすることにより、[WLANs] ページから [WLANs > Edit] ページを開くこともできます。
ステップ 8 [General] タブ、[Security] タブ、[QoS] タブおよび [Advanced] タブ上でパラメータを使用してこの WLAN を設定します。WLAN の特定の機能を設定する手順については、この章の後の項を参照してください。
ステップ 9 [General] タブの [Status] チェックボックスをオンにして、この WLAN を有効にします。WLAN に対する設定変更が終了するまで、チェックボックスをオフにしておいてください。
(注) また、[WLANs] ページから、有効化または無効化する WLAN の左側のチェックボックスをオンにして、ドロップダウン ボックスから [Enable Selected] または [Disable Selected] を選択し、[Go] をクリックすることでも、WLAN を有効化または無効化できます。
ステップ 10 [Apply] をクリックして、変更を適用します。
ステップ 11 [Save Configuration] をクリックして、変更を保存します。
CLI を使用した WLAN の作成
CLI を使用して WLAN を作成するには、次のコマンドを使用します。
1. 既存の WLAN のリストを表示して、有効か無効かを確認するには、次のコマンドを入力します。
2. 新しい WLAN を作成するには、次のコマンドを入力します。
config wlan create wlan_id {profile_name | foreign_ap} ssid
(注) ssid を指定しない場合、profile_name パラメータがプロファイル名と SSID の両方に対して使用されます。
(注) 設定ウィザードで WLAN 1 を作成した場合、これは有効モードで作成されています。設定が完了するまでは、無効にしてください。config wlan create コマンドを使用して WLAN を新しく作成する場合は、無効モードで作成されます。この場合は、設定が完了するまで無効のままにします。
(注) 有線ゲスト ユーザ用にゲスト LAN を作成する場合は、「有線ゲスト アクセスの設定」の手順に従ってください。
3. WLAN を無効にするには(たとえば、WLAN に任意の変更を行う前)、次のコマンドを入力します。
config wlan disable {wlan_id | foreign_ap | all}
• wlan_id は、WLAN ID(1 ~ 512)です。
• foreign_ap は、サードパーティ アクセス ポイントです。
(注) 管理インターフェイスと AP マネージャ インターフェイスが同じポートにマッピングされており、同じ VLAN のメンバである場合は、これらのインターフェイスのポート マッピングを変更する前に WLAN を無効にする必要があります。管理インターフェイスと AP マネージャ インターフェイスがそれぞれ別の VLAN に割り当てられている場合は、WLAN を無効にする必要はありません。
4. WLAN を有効にするには(たとえば、WLAN に対する変更が終了した後)、次のコマンドを入力します。
config wlan enable {wlan_id | foreign_ap | all}
(注) コマンドが失敗した場合は、エラー メッセージ(たとえば、「Request failed for wlan 10 - Static WEP key size does not match 802.1X WEP key size」)が表示されます。
config wlan delete {wlan_id | foreign_ap}
(注) アクセス ポイント グループに割り当てられている WLAN を削除しようとした場合、エラー メッセージが表示されます。作業を続行すると、アクセス ポイント グループおよびアクセス ポイント無線からその WLAN が削除されます。
WLAN の検索
WLANs ページの最大 512 の WLAN のリストから特定の WLAN を検索できます。この機能は、WLAN が複数のページにわたり、一度にすべての WLAN を表示できない場合に特に便利です。
コントローラの GUI を使用して WLAN を検索する手順は、次のとおりです。
ステップ 1 [WLANs] ページで、[Change Filter] をクリックします。[Search WLANs] ウィンドウが表示されます(図 6-4を参照)。
• プロファイル名に基づいて WLAN を検索するには、[Profile Name] チェックボックスをオンにして、目的のプロファイル名を編集ボックスに入力します。
• SSID に基づいて WLAN を検索するには、[SSID] チェックボックスをオンにして、目的の SSID を編集ボックスに入力します。
• ステータスに基づいて WLAN を検索するには、[Status] チェックボックスをオンにして、ドロップダウン ボックスから [Enabled] または [Disabled] を選択します。
• 変更を行わずに [Search WLANs] ウィンドウを閉じるには、右上隅にある [X] をクリックします。
ステップ 3 [Find] をクリックします。検索条件に一致した WLAN だけが [WLANs] ページに表示され、ページの上部の [Current Filter] フィールドに、リストを生成するために使用された検索条件(たとえば、None、Profile Name:user1、SSID:test1、Status:disabled)が指定されます。
(注) 設定されている検索条件をクリアして、WLAN の全リストを表示するには、[Clear Filter] をクリックします。
DHCP の設定
WLAN では、同じ Dynamic Host Configuration Protocol (DHCP) サーバまたは異なる DHCP サーバを使用するか、または DHCP サーバを使用しないように設定できます。DHCP サーバには、内部 DHCP サーバと外部 DHCP サーバの 2 つのタイプがあります。
内部 DHCP サーバ
コントローラには、内部 DHCP サーバが含まれます。このサーバは、一般的に、DHCP サーバを持たない支社で使用されます。無線ネットワークには、通常、コントローラと同じ IP サブネット上にある 10 個以下のアクセス ポイントが含まれます。内部サーバは、無線クライアント、ダイレクトコネクト アクセス ポイント、管理インターフェイス上のアプライアンスモード アクセス ポイント、およびアクセス ポイントからリレーされた DHCP 要求に対して DHCP アドレスを提供します。Lightweight アクセス ポイントのみサポートされています。内部 DHCP サーバを使用する場合は、コントローラの管理インターフェイスの IP アドレスを DHCP サーバの IP アドレスとして設定する必要があります。
内部サーバでは、DHCP オプション 43 はサポートされていません。したがって、アクセス ポイントは、ローカル サブネット ブロードキャスト、DNS、プライミング、または無線検出などの別の方法を使用してコントローラの管理インターフェイスの IP アドレスを見つける必要があります。
(注) アクセス ポイントがコントローラを見つける方法の詳細は、 または次の URL からアクセスできる『Controller Deployment Guide』を参照してください。
http://www.cisco.com/en/US/products/ps6366/prod_technical_reference_list.html
外部 DHCP サーバ
オペレーティング システムは、DHCP リレーをサポートする業界標準の外部 DHCP サーバを使用することにより、ネットワークに対しては DHCP リレーとして機能し、クライアントに対しては DHCP サーバとして機能するように設計されています。つまり、各コントローラは、DHCP サーバにとっての DHCP リレー エージェントとなります。これはコントローラが、無線クライアントに対しては、仮想 IP アドレスでの DHCP サーバとして機能することも意味します。
コントローラは DHCP サーバから取得したクライアント IP アドレスをキャプチャするため、コントローラ内、コントローラ間、およびサブネット間でのクライアント ローミング時に、各クライアントに対して同じ IP アドレスが保持されます。
DHCP の割り当て
DHCP はインターフェイスごとに、または WLAN ごとに設定できます。特定のインターフェイスに割り当てられたプライマリ DHCP サーバのアドレスを使用することが推奨されます。
インターフェイスごとの割り当て
個々のインターフェイスに DHCP サーバを割り当てることができます。管理インターフェイス、AP マネージャ インターフェイス、動的インターフェイスはプライマリおよびセカンダリ DHCP サーバに設定でき、サービス ポート インターフェイスは DHCP サーバを有効または無効にするように設定できます。
(注) コントローラのインターフェイスの設定方法については、 を参照してください。
WLAN ごとの割り当て
WLAN で DHCP サーバを定義することもできます。このサーバは、WLAN に割り当てられたインターフェイス上の DHCP サーバのアドレスを無効にします。
セキュリティ上の考慮事項
高度なセキュリティが必要な場合は、すべてのクライアントが DHCP サーバから IP アドレスを取得するように設定してください。この要件を適用するためには、すべての WLAN を DHCP Addr.Assignment Required 設定で設定して、クライアントの固定 IP アドレスが禁止されるようにします。DHCP Addr.Assignment Required が選択されている場合、クライアントは DHCP を使って IP アドレスを取得する必要があります。固定 IP アドレスを持つクライアントはすべて、ネットワーク上で許可されなくなります。クライアントの DHCP プロキシとして動作するコントローラが、DHCP トラフィックを監視します。
(注) 無線による管理をサポートする WLAN では、管理(デバイスサービシング)クライアントが DHCP サーバから IP アドレスを取得できるようにする必要があります。無線による管理の設定方法については、「無線による管理機能の使用」を参照してください。
セキュリティが多少劣ってもかまわない場合は、DHCP Addr. Assignment Required を無効に設定して WLAN を作成できます。その後クライアントは、固定 IP アドレスを使用するか、指定された DHCP サーバの IP アドレスを取得するかを選択できます。
また、DHCP Addr.Assignment Required を無効に設定し、DHCP サーバの IP アドレスを 0.0.0.0 に指定した WLAN を別に作成することもできます。このような WLAN では、すべての DHCP 要求がドロップするため、クライアントは固定 IP アドレスを使用しなければなりません。これらの WLAN は、無線接続による管理をサポートしていないことに注意してください。
(注) DHCP プロキシをグローバルに設定する方法については、 を参照してください。
(注) DHCP サーバで自動的に割り当てるのではなく、アクセス ポイントに固定 IP アドレスを指定する場合の詳細は、「Lightweight アクセス ポイントでの固定 IP アドレスの設定」を参照してください。
GUI を使用した DHCP の設定
GUI を使用して DHCP を設定する手順は、次のとおりです。
ステップ 1 WLAN に割り当てられる管理インターフェイス、AP マネージャ インターフェイス、または動的インターフェイスにプライマリ DHCP サーバを設定するには、「GUI を使用した管理、AP マネージャ、仮想、およびサービス ポートの各インターフェイスの設定」または「GUI を使用した動的インターフェイスの設定」の手順に従います。
(注) 内部 DHCP サーバを使用する場合は、コントローラの管理インターフェイスの IP アドレスを DHCP サーバの IP アドレスとして設定する必要があります。
ステップ 2 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 3 インターフェイスを割り当てる WLAN の ID 番号をクリックします。[WLANs > Edit (General)] ページが表示されます。
ステップ 4 [General] タブの [Status] チェックボックスをオフにし、[Apply] をクリックして WLAN を無効にします。
ステップ 5 WLAN の ID 番号を再度クリックします。
ステップ 6 General タブの [Interface] ドロップダウン ボックスから、この WLAN で使用するプライマリ DHCP サーバを設定したインターフェイスを選択します。
ステップ 7 [Advanced] タブを選択して、[WLANs > Edit] ([Advanced])ページを開きます。
ステップ 8 WLAN 上で、WLAN に割り当てられたインターフェイスの DHCP サーバ アドレスを無効にする DHCP サーバを定義する場合、[DHCP Server Override] チェックボックスをオンにして、[DHCP Server IP Addr] 編集ボックスに目的の DHCP サーバの IP アドレスを入力します。チェックボックスはデフォルトでは、無効になっています。
(注) DHCP を設定する際、DHCP サーバを無効にするのではなく、特定のインターフェイスに割り当てられたプライマリ DHCP サーバのアドレスを使用することが推奨されます。
ステップ 9 すべてのクライアントが DHCP サーバから IP アドレスを取得するよう設定するには、[DHCP Addr.Assignment Required] チェックボックスをオンにします。この機能が有効になっている場合、固定 IP アドレスを持つクライアントはネットワーク上で許可されません。デフォルト値は無効(disable)です。
ステップ 10 [Apply] をクリックして、変更を適用します。
ステップ 11 General タブの [Status] チェックボックスをオンにし、[Apply] をクリックして WLAN を再度有効にします。
ステップ 12 [Save Configuration] をクリックして、変更を保存します。
CLI を使用した DHCP の設定
CLI を使用して DHCP を設定する手順は、次のとおりです。
ステップ 1 WLAN に割り当てられる管理インターフェイス、AP マネージャ インターフェイス、または動的インターフェイスにプライマリ DHCP サーバを設定するには、「GUI を使用した管理、AP マネージャ、仮想、およびサービス ポートの各インターフェイスの設定」または「GUI を使用した動的インターフェイスの設定」の手順に従います。
ステップ 2 WLAN を無効するには、次のコマンドを入力します。
ステップ 3 この WLAN で使用するプライマリ DHCP サーバを設定したインターフェイスを指定するには、次のコマンドを入力します。
config wlan interface wlan_id interface_name
ステップ 4 WLAN 上で、WLAN に割り当てられたインターフェイスの DHCP サーバ アドレスを無効にする DHCP サーバを定義するには、次のコマンドを入力します。
config wlan dhcp_server wlan_id dhcp_server_ip_address
(注) DHCP を設定する際、DHCP サーバを無効にするのではなく、特定のインターフェイスに割り当てられたプライマリ DHCP サーバのアドレスを使用することが推奨されます。オーバーライド機能を有効にした場合、show wlan コマンドを使用して DHCP サーバが WLAN に割り当てられていることを確認できます。
ステップ 5 WLAN を再度有効にするには、次のコマンドを入力します。
CLI を使用した DHCP のデバッグ
次の CLI コマンドを使用して、デバッグ情報を取得します。
• debug dhcp packet {enable | disable}:DHCP パケットのデバッグを有効または無効にします。
• debug dhcp message {enable | disable}:DHCP エラー メッセージのデバッグを有効または無効にします。
• debug dhcp service-port {enable | disable}:サービス ポート上の DHCP パケットのデバッグを有効または無効にします。
DHCP スコープの設定
コントローラには組み込みの DHCP リレー エージェントがあります。ただし、ネットワーク管理者が別個の DHCP サーバを持たないネットワーク セグメントを求める場合、コントローラに IP アドレスとサブネット マスクを無線クライアントに割り当てる組み込みの DHCP スコープを設定できます。一般に、1 つのコントローラには、それぞれある範囲の IP アドレスを指定する複数の DHCP スコープを設定できます。
DHCP スコープは内部 DHCP が機能するために必要となります。コントローラで DHCP が定義された後、管理インターフェイス、AP マネージャ インターフェイス、動的インターフェイスのプライマリ DHCP サーバの IP アドレスをコントローラの管理インターフェイスにポイントできます。コントローラの GUI または CLI を使用して、最大 16 の DHCP スコープを設定できます。
GUI を使用した DHCP スコープの設定
GUI を使用して DHCP スコープを設定する手順は、次のとおりです。
ステップ 1 [Controller] > [Internal DHCP Server] > [DHCP Scope] を選択して、[DHCP Scopes] ページ(図 6-5 を参照)を開きます。
このページには、これまでに設定されたすべての DHCP スコープが表示されます。
(注) 既存の DHCP スコープを削除するには、そのスコープの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。
ステップ 2 新しい DHCP スコープを追加するには、[New] をクリックします。[DHCP Scope > New] ページが表示されます。
ステップ 3 [Scope Name] フィールドに、新しい DHCP スコープの名前を入力します。
ステップ 4 [Apply] をクリックします。DHCP Scopes ページが再度表示されたら、新しいスコープの名前をクリックします。[DHCP Scope > Edit] ページが表示されます(図 6-6 を参照)。
ステップ 5 [Pool Start Address] フィールドに、クライアントに割り当てられた範囲の開始 IP アドレスを入力します。
(注) このプールは、各 DHCP スコープで一意でなければならず、ルータまたは他のサーバの固定 IP アドレスを含めることはできません。
ステップ 6 [Pool End Address] フィールドに、クライアントに割り当てられた範囲の終了 IP アドレスを入力します。
(注) このプールは、各 DHCP スコープで一意でなければならず、ルータまたは他のサーバの固定 IP アドレスを含めることはできません。
ステップ 7 [Network] フィールドに、この DHCP スコープの対象となるネットワークの名前を入力します。これは、[Interfaces] ページで設定されている、ネットマスクが適用された管理インターフェイスが使用する IP アドレスです。
ステップ 8 [Netmask] フィールドに、すべての無線クライアントに割り当てられたサブネット マスクを入力します。
ステップ 9 [Lease Time] フィールドに、IP アドレスをクライアントに対して許可する時間(0 ~ 65536 秒)を入力します。
ステップ 10 [Default Routers] フィールドに、コントローラに接続しているオプション ルータの IP アドレスを入力します。各ルータには、DHCP フォワーディング エージェントを含める必要があります。これにより、単一コントローラで複数のコントローラのクライアントを処理できます。
ステップ 11 [DNS Domain Name] フィールドに、1 つまたは複数の DNS サーバで使用する、この DHCP スコープのオプションの Domain Name System (DNS)ドメイン名を入力します。
ステップ 12 [DNS Servers] フィールドに、オプションの DNS サーバの IP アドレスを入力します。各 DNS サーバは、この DHCP スコープで割り当てられた IP アドレスと一致するように、クライアントの DNS エントリを更新できる必要があります。
ステップ 13 [Netbios Name Servers] フィールドに、Windows Internet Naming Service(WINS)サーバなど、オプションの Microsoft NetBIOS ネーム サーバの IP アドレスを入力します。
ステップ 14 [Status] ドロップダウン ボックスから、[Enabled] を選択してこの DHCP スコープを有効にするか、または [Disabled] を選択して無効にします。
ステップ 15 [Apply] をクリックして、変更を適用します。
ステップ 16 [Save Configuration] をクリックして、変更を保存します。
ステップ 17 無線クライアントの残りのリース時間を表示するには、[DHCP Allocated Leases] を選択します。[DHCP Allocated Lease] ページが表示され(図 6-7を参照)、無線クライアントの MAC アドレス、IP アドレス、および残りのリース時間が示されます。
図 6-7 [DHCP Allocated Lease] ページ
CLI を使用した DHCP スコープの設定
CLI を使用して DHCP スコープを設定する手順は、次のとおりです。
ステップ 1 DHCP スコープを作成するには、次のコマンドを入力します。
config dhcp create-scope scope
(注) DHCP スコープを削除する場合は、次のコマンドを入力します。config dhcp delete-scope scope。
ステップ 2 クライアントに割り当てられた範囲の開始および終了 IP アドレスを指定するには、次のコマンドを入力します。
config dhcp address-pool scope start end
(注) このプールは、各 DHCP スコープで一意でなければならず、ルータまたは他のサーバの固定 IP アドレスを含めることはできません。
ステップ 3 この DHCP スコープの対象となるネットワーク(ネットマスクが適用された管理インターフェイスによって使用される IP アドレス)およびすべての無線クライアントに割り当てられたサブネット マスクを指定するには、次のコマンドを入力します。
config dhcp network scope network netmask
ステップ 4 クライアントに IP アドレスを許容する時間(0 ~ 65536 秒)を指定するには、次のコマンドを入力します。
config dhcp lease scope lease_duration
ステップ 5 コントローラに接続されているオプション ルータの IP アドレスを指定するには、次のコマンドを入力します。
config dhcp default-router scope router_1 [ router_2 ] [ router_3 ]
各ルータには、DHCP フォワーディング エージェントを含める必要があります。これにより、単一コントローラで複数のコントローラのクライアントを処理できます。
ステップ 6 1 つまたは複数の DNS サーバで使用する、この DHCP スコープのオプションの Domain Name System(DNS)ドメイン名を指定するには、次のコマンドを入力します。
config dhcp domain scope domain
ステップ 7 オプションの DNS サーバの IP アドレスを指定するには、次のコマンドを入力します。
config dhcp dns-servers scope dns1 [ dns2 ] [ dns3 ]
各 DNS サーバは、この DHCP スコープで割り当てられた IP アドレスと一致するように、クライアントの DNS エントリを更新できる必要があります。
ステップ 8 Windows Internet Naming Service(WINS)サーバなど、オプションの Microsoft NetBIOS ネーム サーバの IP アドレスを指定するには、次のコマンドを入力します。
config dhcp netbios-name-server scope wins1 [ wins2 ] [ wins3 ]
ステップ 9 この DHCP スコープを有効または無効にするには、次のコマンドを入力します。
config dhcp { enable | disable } scope
ステップ 10 変更を保存するには、次のコマンドを入力します。
ステップ 11 設定されている DHCP スコープのリストを表示するには、次のコマンドを入力します。
ステップ 12 特定のスコープの DHCP 情報を表示するには、次のコマンドを入力します。
WLAN の MAC フィルタリングの設定
クライアント認可または管理者認可に MAC フィルタリングを使用する場合は、WLAN レベルで先に有効にしておく必要があります。任意の WLAN でローカル MAC アドレス フィルタリングを使用する予定がある場合は、この項のコマンドを使用して WLAN の MAC フィルタリングを設定します。
MAC フィルタリングの有効化
WLAN 上で MAC フィルタリングを有効にするには、次のコマンドを使用します。
• config wlan mac-filtering enable wlan_id コマンドを入力して、MAC フィルタリングを有効にします。
• show wlan コマンドを入力して、WLAN の MAC フィルタリングが有効になっていることを確認します。
MAC フィルタリングを有効にすると、WLAN に追加した MAC アドレスにのみ WLAN への接続が許可されます。追加されていない MAC アドレスは、WLAN への接続が許可されません。
ローカル MAC フィルタの作成
コントローラには MAC フィルタリング機能が組み込まれています。これは、RADIUS 認可サーバで提供されるものとよく似ています。
WLAN MAC フィルタに MAC アドレスを追加するには、次のコマンドを使用します。
• config macfilter add mac_addr wlan_id [ interface_name ] [ description ] [ IP_addr ] を入力して、コントローラに MAC フィルタ エントリを作成します。ここで、次のパラメータはオプションです。
– description:インターフェイスの簡単な説明。二重引用符で囲みます(たとえば、「Interface1」)。
– IP_addr:ローカル MAC フィルタ データベースの IP アドレス。
• config macfilter ip-address mac_addr IP_addr を入力して IP アドレスを既存の MAC フィルタ エントリに割り当てます(config macfilter add コマンドで割り当てられていない場合)。
無効なクライアントのタイムアウトの設定
無効なクライアントに対してタイムアウトを設定できます。アソシエートしようとした際に認証で 3 回失敗したクライアントは、それ以降のアソシエーションの試みでは自動的に無効にされます。タイムアウト期間が経過すると、クライアントは認証の再試行を許可され、アソシエートすることができます。このとき、認証に失敗すると再び排除されます。無効なクライアントに対してタイムアウトを設定するには、次のコマンドを使用します。
• 無効なクライアントのタイムアウトを設定するには、config wlan exclusionlist wlan_id timeout コマンドを入力します。1 ~ 65,535 秒のタイムアウトを入力するか、または 0 を入力して永続的にクライアントを無効にします。
インターフェイスへの WLAN の割り当て
WLAN をインターフェイスに割り当てるには、次のコマンドを使用します。
• 次のコマンドを入力して、WLAN をインターフェイスに割り当てます。
config wlan interface {wlan_id | foreignAp} interface_id
– WLAN を特定のインターフェイスに割り当てるには、 interface_id オプションを使用します。
DTIM 期間の設定
802.11a/n ネットワークおよび 802.11b/g/n ネットワークの場合、Lightweight アクセス ポイントは、Delivery Traffic Indication Map (DTIM)と同期する一定間隔でビーコンをブロードキャストします。アクセス ポイントでビーコンがブロードキャストされると、DTIM 期間で設定した値に基づいて、バッファされたブロードキャスト フレームおよびマルチキャスト フレームが送信されます。この機能により、ブロードキャスト データやマルチキャスト データが予想されると、適切なタイミングで省電力クライアントを再起動できます。
通常、DTIM の値は 1 (ブロードキャスト フレームおよびマルチキャスト フレームはビーコンのたびに送信)または 2 (ビーコン 1 回おきに送信)のいずれかに設定されます。たとえば、802.11a/n または 802.11b/g/n のネットワークのビーコン期間が 100ms で DTIM 値が 1 に設定されていると、アクセス ポイントは、バッファされたブロードキャスト フレームおよびマルチキャスト フレームを毎秒 10 回送信します。ビーコン期間が 100ms で DTIM 値が 2 に設定されていると、アクセス ポイントは、バッファされたブロードキャスト フレームおよびマルチキャスト フレームを毎秒 5 回送信します。ブロードキャスト フレームおよびマルチキャスト フレームの頻度を考慮して、VoIP を含むアプリケーションに適したいずれかの設定を使用できます。
ただし、802.11a/n または 802.11b/g/n のすべてのクライアントで省電力モードが有効になっている場合は、DTIM 値を最大 255 まで設定できます(ブロードキャスト フレームおよびマルチキャスト フレームは 255 回のビーコンで 1 回送信)。クライアントは DTIM 期間に達したときのみリッスンする必要があるため、ブロードキャストとマルチキャストをリッスンする頻度を少なく設定することで、結果的にバッテリー寿命を長くできます。たとえば、ビーコン期間が 100ms で DTIM 値が 100 に設定されていると、アクセス ポイントは、バッファされたブロードキャスト フレームおよびマルチキャスト フレームを 10 秒おきに送信するので、省電力クライアントを再起動してブロードキャストとマルチキャストをリッスンするまでのスリープ時間が長くなり、結果的にバッテリー寿命が長くなります。
多くのアプリケーションでは、ブロードキャスト メッセージとマルチキャスト メッセージとの間隔を長くすると、プロトコルとアプリケーションのパフォーマンスが低下します。省電力クライアントをサポートしている 802.11a/n ネットワークおよび 802.11b/g/n ネットワークでは、DTIM 値を小さく設定ことをお勧めします。
コントローラ ソフトウェア リリース 5.0 以降では、特定の WLAN 上の 802.11a/n および 802.11b/g/n 無線ネットワークの DTIM 期間を設定できます。以前のソフトウェア リリースでは、DTIM 期間は無線ネットワークごとにのみ設定され、WLAN ごとに設定できませんでした。この変更により、各 WLAN に異なる DTIM 期間を設定できるようになりました。たとえば、音声 WLAN とデータ WLAN に異なる DTIM 値を設定できます。
(注) コントローラ ソフトウェアをリリース 5.0 以降にアップグレードすると、無線ネットワークに対して設定されていた DTIM 期間が、そのコントローラのすべての既存の WLAN にコピーされます。
GUI を使用した DTIM 期間の設定
GUI を使用して WLAN の DTIM 期間を設定する次の手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 DTIM 期間を設定する WLAN の ID 番号をクリックします。
ステップ 3 [Status] チェックボックスをオフにしてこの WLAN を無効にします。
ステップ 4 [Apply] をクリックして、変更を適用します。
ステップ 5 [Advanced] タブを選択して、[WLANs > Edit] ([Advanced])ページを開きます(図 6-8 を参照)。
図 6-8 [WLANs > Edit] ([Advanced])ページ
ステップ 6 DTIM Period の下の 802.11a/n フィールドと 802.11b/g/n フィールドに 1 ~ 255 までの値を入力します。デフォルト値は 1 (ブロードキャスト フレームおよびマルチキャスト フレームはビーコンのたびに送信)です。
ステップ 7 [Apply] をクリックして、変更を適用します。
ステップ 8 [General] タブを選択して、[WLANs > Edit] ([General])ページを開きます。
ステップ 9 [Status] チェックボックスをオンにしてこの WLAN を再度有効にします。
ステップ 10 [Save Configuration] をクリックして、変更を保存します。
CLI を使用した DTIM 期間の設定
CLI を使用して WLAN の DTIM 期間を設定する手順は、次のとおりです。
ステップ 1 WLAN を無効するには、次のコマンドを入力します。
ステップ 2 特定の WLAN 上の 802.11a/n または 802.11b/g/n の無線ネットワークのいずれかに DTIM 期間を設定するには、次のコマンドを入力します。
config wlan dtim { 802.11a | 802.11b } dtim wlan_id
dtim の値は、1 ~ 255 (両端の値を含む)です。デフォルト値は 1 (ブロードキャスト フレームおよびマルチキャスト フレームはビーコンのたびに送信)です。
ステップ 3 WLAN を再度有効にするには、次のコマンドを入力します。
ステップ 4 変更を保存するには、次のコマンドを入力します。
ステップ 5 DTIM 期間を確認するには、次のコマンドを入力します。
...
ピアツーピア ブロッキングの設定
4.2 以前のコントローラのソフトウェア リリースでは、ピアツーピア ブロッキングはすべての WLAN 上のすべてのクライアントにグローバルに適用され、それによって同じ VLAN 上の 2 つのクライアント間のトラフィックが、コントローラでブリッジされるのではなく、アップストリーム VLAN に転送されていました。この動作の結果、スイッチはパケットを受け取ったのと同じポートからパケットを転送しないため、通常アップストリーム スイッチでトラフィックがドロップされます。
コントローラのソフトウェア リリース 4.2 以降では、ピアツーピア ブロッキングが個別の WLAN に対して適用され、各クライアントが、アソシエート先の WLAN のピアツーピア ブロッキング設定を継承します。4.2 以降では、トラフィックがダイレクトされる方法をより詳細に制御することもできます。たとえば、トラフィックがコントローラ内でローカルにブリッジされたり、コントローラによってドロップされたり、またはアップストリーム VLAN へ転送されるように選択することができます。図 6-9は、各オプションを示しています。
ピアツーピア ブロッキングを使用する際のガイドライン
ピアツーピア ブロッキングを使用する場合には、次のガイドラインに従ってください。
• 4.2 以前のコントローラのソフトウェア リリースでは、コントローラはアドレス解決プロトコル(ARP)要求ストリームを転送します(他のすべてのトラフィックと同様)。コントローラのソフトウェア リリース 4.2 以降では、ARP 要求は、ピアツーピア ブロッキングに設定された動作に従ってダイレクトされます。
• ピアツーピア ブロッキングは、マルチキャスト トラフィックには適用されません。
• ローカルにスイッチされる Hybrid REAP WLAN およびスタンドアロン モードでの Hybrid REAP アクセス ポイントは、ピアツーピア ブロッキングをサポートしません。
• 以前のリリースから、グローバル ピアツーピア ブロッキングをサポートしているコントローラ ソフトウェア リリース 4.2 以降にアップグレードすると、各 WLAN はトラフィックをアップストリーム VLAN に転送するピアツーピア ブロッキング処理で設定されます。
GUI を使用したピアツーピア ブロッキングの設定
GUI を使用して WLAN のピアツーピア ブロッキングを設定する手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 ピアツーピア ブロッキングを設定する WLAN の ID 番号をクリックします。
ステップ 3 [Advanced] タブを選択して、[WLANs > Edit] ([Advanced])ページを開きます(図 6-10 を参照)。
図 6-10 [WLANs > Edit] ([Advanced])ページ
ステップ 4 [P2P Blocking] ドロップダウン ボックスから、次のオプションのいずれかを選択します。
• Disabled --ピアツーピア ブロッキングを無効にして、可能な場合にはコントローラ内でトラフィックをローカルにブリッジします。これはデフォルト値です。
(注) コントローラ内の VLAN でトラフィックがブリッジされることはありません。
• Drop --コントローラでパケットを破棄するようにします。
• Forward-UpStream --パケットがアップストリーム VLAN に転送されるようにします。コントローラ上のデバイスに応じて、パケットに関して実行される処理が決まります。
ステップ 5 [Apply] をクリックして、変更を適用します。
ステップ 6 [Save Configuration] をクリックして、変更を保存します。
CLI を使用したピアツーピア ブロッキングの設定
CLI を使用して WLAN のピアツーピア ブロッキングを設定する手順は、次のとおりです。
ステップ 1 WLAN のピアツーピア ブロッキングを設定するには、次のコマンドを入力します。
config wlan peer-blocking { disable | drop | forward-upstream } wlan_id
(注) 各パラメータの詳細は、上記の「GUI を使用したピアツーピア ブロッキングの設定」の項を参照してください。
ステップ 2 変更を保存するには、次のコマンドを入力します。
ステップ 3 WLAN のピアツーピア ブロッキングのステータスを参照するには、次のコマンドを入力します。
レイヤ 2 セキュリティの設定
静的 WEP キー
コントローラでは、アクセス ポイント上で静的 WEP キーを制御できます。WLAN の静的 WEP を設定するには、次のコマンドを使用します。
• 802.1X 暗号化を無効にするには、次のコマンドを入力します。
config wlan security 802.1X disable wlan_id
• 40/64 ビットまたは 104/128 ビット WEP キーを設定するには、次のコマンドを入力します。
config wlan security static-wep-key encryption wlan_id {40 | 104} {hex | ascii} key key_index
– 40/64 ビットまたは 104/128 ビット暗号化を指定するには、40 または 104 オプションを使用します。デフォルトの設定は、104/128 です。
– WEP キーの文字形式を指定するには、hex または ascii オプションを使用します。
– 40 ビット/64 ビット WEP キーの場合は 10 桁の 16 進数(0 ~ 9、a ~ f、または A ~ F の組み合わせ)または印刷可能な 5 つの ASCII 文字を入力します。または、104 ビット/128 ビット キーの場合は 26 桁の 16 進数または 13 の ASCII 文字を入力します。
802.1X 動的キーおよび認可
コントローラでは、アクセス ポイント上で Extensible Authentication Protocol(EAP; 拡張認証プロトコル)を使用する 802.1X 動的 WEP キーを制御できます。また、WLAN の 802.1X 動的キー設定をサポートしています。
(注) Lightweight アクセス ポイントと無線クライアントで LEAP を使用するには、CiscoSecure Access Control Server(ACS)を設定する際に RADIUS サーバ タイプとして [Cisco-Aironet] を選択することを確認します。
• 各 WLAN のセキュリティ設定を確認するには、show wlan wlan_id と入力します。新しい WLAN のデフォルトのセキュリティ設定は、動的キーが有効な 802.1X です。レイヤ 2 の堅牢なポリシーを維持するには、802.1X を WLAN 上で設定したままにします。
• 802.1X 認証を無効または有効にするには、次のコマンドを使用します。
config wlan security 802.1X {enable | disable} wlan_id
802.1X 認証を有効にした後、コントローラから、無線クライアントと認証サーバとの間で EAP 認証パケットが送信されます。このコマンドにより、すべての EAP タイプのパケットは、コントローラとの送受信が可能になります。
• WLAN の 802.1X の暗号化レベルを変更するには、次のコマンドを使用します。
config wlan security 802.1X encryption wlan_id [ 0 | 40 | 104]
– 802.1X 暗号化なしを指定するには、0 オプションを使用します。
– 40/64 ビット暗号化を指定するには、40 オプションを使用します。
– 104/128 ビット暗号化を指定するには、104 オプションを使用します (これは、デフォルトの暗号化設定です)。
静的 WEP と動的 WEP の両方をサポートする WLAN の設定
静的 WEP キーをサポートする WLAN は 4 つまで設定できます。また、これらすべての静的 WEP WLAN に動的 WEP も設定できます。静的 WEP と動的 WEP を両方サポートする WLAN を設定する際の留意事項は次のとおりです。
• 静的 WEP キーおよび動的 WEP キーは、同じ長さである必要があります。
• 静的 WEP と動的 WEP の両方をレイヤ 2 セキュリティ ポリシーとして設定する場合は、他のセキュリティ ポリシーを指定できません。つまり、Web 認証を設定できません。ただし、静的 WEP と動的 WEP のいずれかをレイヤ 2 セキュリティ ポリシーとして設定する場合は、Web 認証を設定できます。
WPA1 と WPA2
Wi-Fi 保護アクセス(WPA または WPA1)および WPA2 は、無線 LAN システム用のデータ保護とアクセス コントロールを提供する Wi-Fi Alliance の規格ベースのセキュリティ ソリューションです。WPA1 は、IEEE 802.11i 規格に準拠していますが、規格の承認前に実装されたものです。これに対して、WPA2 は、承認された IEEE 802.11i 規格が Wi-Fi Alliance によって実装されています。
WPA1 のデフォルトでは、データの保護に Temporal Key Integrity Protocol(TKIP)および Message Integrity Check(MIC)が使用されますが、WPA2 では Counter Mode with Cipher Block Chaining Message Authentication Code Protocol を使用したより強力な Advanced Encryption Standard 暗号化アルゴリズム(AES-CCMP)が使用されます。WPA1 および WPA2 のデフォルトでは、両方とも 802.1X を使用して認証キー管理を行います。ただし、次に説明する PSK、CCKM、および 802.1X+CCKM の各オプションも利用できます。
• 802.1X --IEEE によって定義された無線 LAN セキュリティの規格。802.1X for 802.11、または単に 802.1X と呼ばれます。802.1X をサポートするアクセス ポイントは、無線ネットワークを介して通信を行う相手となる無線クライアントおよび認証サーバ(RADIUS サーバなど)との間のインターフェイスとして機能します。[802.1X] が選択されている場合は、802.1X クライアントのみがサポートされます。
• PSK--PSK(WPA 事前共有キーまたは WPA パスフレーズとも呼ばれます)を選択した場合は、事前共有キー(またはパスフレーズ)を設定する必要があります。このキーは、クライアントと認証サーバの間で Pairwise Master Key(PMK; ペアワイズ マスター キー)として使用されます。
• CCKM--Cisco Centralized Key Management(CCKM)では、迅速なキーの再生成技術を使用しています。この技術を使用すると、クライアントは、通常 150 ミリ秒(ms)以下で、コントローラを経由せずにあるアクセス ポイントから別のアクセス ポイントにローミングできます。CCKM により、クライアントが新しいアクセス ポイントと相互に認証を行い、再アソシエーション時に新しいセッション キーを取得するために必要な時間が短縮されます。CCKM の迅速かつ安全なローミングでは、無線 VoIP、Enterprise Resource Planning(ERP)、Citrix ベースのソリューションなどの時間依存型のアプリケーションにおいて、認識できるほどの遅延は発生しません。CCKM は、CCXv4 に準拠する機能です。CCKM が選択されている場合は、CCKM クライアントのみがサポートされます。
(注) コントローラ ソフトウェア リリース 4.2 以降では、CCX バージョン 1 ~ 5 をサポートしています。CCX サポートは、コントローラ上の各 WLAN について自動的に有効となり、無効にできません。コントローラは、クライアント データベースにクライアントの CCX バージョンを格納し、これを使用してクライアントの機能を制限します。CCKM を使用するには、クライアントで CCXv4 または v5 をサポートする必要があります。CCX の詳細は、「Cisco Client Extensions の設定」を参照してください。
• 802.1X+CCKM--通常の動作状態の間、802.1X が有効になっているクライアントは、主要な RADIUS サーバとの通信を含む完全な 802.1X 認証を実行することにより、新しいアクセス ポイントとの相互認証を行います。ただし、802.1X および CCKM の迅速で安全なローミング用に WLAN を設定した場合、CCKM が有効になっているクライアントは、RADIUS サーバに対して再認証せずに、あるアクセス ポイントから別のアクセス ポイントに安全にローミングを行います。このオプションが選択されている場合、CCKM クライアントと非 CCKM クライアントの両方がサポートされるため、802.1X+CCKM はオプションの CCKM と見なされます。
単一の WLAN では、WPA1、WPA2、および 802.1X/PSK/CCKM/802.1X+CCKM のクライアントに接続を許可できます。このような WLAN 上のすべてのアクセス ポイントは、WPA1、WPA2、および 802.1X/PSK/CCKM/802.1X+CCKM の情報要素をビーコン応答とプローブ応答でアドバタイズします。WPA1 または WPA2、あるいは両方を有効にした場合は、データ トラフィックを保護するために設計された 1 つまたは 2 つの暗号方式(暗号化アルゴリズム)を有効にすることもできます。具体的には、WPA1 または WPA2、あるいはその両方に対して、AES または TKIP、またはその両方を有効にすることができます。TKIP は WPA1 のデフォルト値で、AES は WPA2 のデフォルト値です。
GUI を使用した WPA1 と WPA2 の設定
コントローラ GUI を使用して WLAN の WPA1 と WPA2 を設定する手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。
ステップ 3 [Security] タブおよび [Layer 2] タブを選択して、[WLANs > Edit] ([Security] > [Layer 2])ページを開きます(図 6-11 を参照)。
図 6-11 [WLANs > Edit] ([Security] > [Layer 2])ページ
ステップ 4 [Layer 2 Security] ドロップダウン ボックスから [WPA+WPA2] を選択します。
ステップ 5 [WPA+WPA2 Parameters] で、[WPA Policy] チェックボックスをオンにして WPA1 を有効にするか、[WPA2 Policy] チェックボックスをオンにして WPA2 を有効にするか、または両方のチェックボックスをオンにして WPA1 と WPA2 を両方有効にします。
(注) WPA1 および WPA2 のデフォルト値は、両方とも無効になっています。WPA1 と WPA2 を両方とも無効のままにすると、アクセス ポイントは、ステップ 7で選択する認証キー管理方式に対してのみ情報要素をビーコンおよびプローブ応答でアドバタイズします。
ステップ 6 WPA1、WPA2、またはその両方に対して、AES データ暗号化を有効にする場合は [AES] チェックボックスをオンにし、TKIP データ暗号化を有効にする場合は [TKIP] チェックボックスをオンにします。WPA1 および WPA2 のデフォルト値は、それぞれ TKIP および AES です。
ステップ 7 [Auth Key Mgmt] ドロップダウン ボックスから、[802.1X]、[CCKM]、[PSK]、または [802.1X+CCKM] のいずれかのキー管理方式を選択します。
ステップ 8 ステップ 7で [PSK] を選択した場合は、[PSK Format] ドロップダウン ボックスから [ASCII] または [HEX] を選択し、空のフィールドに事前共有キーを入力します。WPA の事前共有キーには、8 ~ 63 個の ASCII テキスト文字、または 64 桁の 16 進数文字が含まれている必要があります。
ステップ 9 [Apply] をクリックして、変更を適用します。
ステップ 10 [Save Configuration] をクリックして、変更を保存します。
CLI を使用した WPA1 と WPA2 の設定
コントローラ CLI を使用して WLAN の WPA1 と WPA2 を設定する手順は、次のとおりです。
ステップ 1 次のコマンドを入力して WLAN を無効にします。
ステップ 2 次のコマンドを入力して、WLAN に対して WPA を有効または無効にします。
config wlan security wpa {enable | disable} wlan_id
ステップ 3 次のコマンドを入力して、WLAN に対して WPA1 を有効または無効にします。
config wlan security wpa wpa1 {enable | disable} wlan_id
ステップ 4 次のコマンドを入力して、WLAN に対して WPA2 を有効または無効にします。
config wlan security wpa wpa2 {enable | disable} wlan_id
ステップ 5 次のコマンドを入力して WPA1 または WPA2 に対して AES または TKIP データ暗号化を有効または無効にします。
• config wlan security wpa wpa1 ciphers {aes | tkip} {enable | disable} wlan_id
• config wlan security wpa wpa2 ciphers {aes | tkip} {enable | disable} wlan_id
WPA1 および WPA2 のデフォルト値は、それぞれ TKIP および AES です。
ステップ 6 次のコマンドを入力して、802.1X、PSK、または CCKM の認証キー管理を有効または無効にします。
config wlan security wpa akm {802.1X | psk | cckm} {enable | disable} wlan_id
ステップ 7 ステップ 6で PSK を有効にした場合は、次のコマンドを入力して事前共有キーを指定します。
config wlan security wpa akm psk set-key {ascii | hex} psk-key wlan_id
WPA の事前共有キーには、8 ~ 63 個の ASCII テキスト文字、または 64 桁の 16 進数文字が含まれている必要があります。
ステップ 8 802.1X 認証キー管理で WPA2、または CCKM 認証キー管理で WPA1 または WPA2 を有効にした場合、必要に応じて、PMK キャッシュ ライフタイム タイマーを使用して、クライアントでの再認証をトリガします。タイマーは、AAA サーバから受信したタイムアウト値または WLAN のセッション タイムアウト設定に基づきます。タイマーが切れるまでに残されている時間を確認するには、次のコマンドを入力します。
802.1X 認証キー管理で WPA2 を有効にした場合、コントローラは opportunistic PMKID キャッシュをサポートしますが、sticky(non-opportunistic)PMKID キャッシュはサポートしません。sticky PMKID キャッシュでは、クライアントは複数の PMKID を格納します。この方式は、新しい各アクセス ポイントに対して完全な認証が必要となる上、あらゆる状況で機能することが保証されていないため、現実的ではありません。これに対して、opportunistic PMKID キャッシュは、クライアントごとに PMKID を 1 つだけしか格納せず、sticky PMK キャッシュの制限を受けることはありません。
ステップ 9 次のコマンドを入力して WLAN を有効にします。
CKIP
Cisco Key Integrity Protocol(CKIP)は、IEEE 802.11 メディアを暗号化するためのシスコ独自のセキュリティ プロトコルです。CKIP では、インフラストラクチャ モードでの IEEE 802.11 セキュリティを強化するために、キーの置換、メッセージの整合性チェック(MIC)、およびメッセージ シーケンス番号が使用されています。ソフトウェア リリース 4.0 以降では、静的キーを使用した CKIP をサポートしています。この機能を正常に動作させるには、WLAN に対して Aironet 情報要素(IE)を有効にする必要があります。
Lightweight アクセス ポイントは、ビーコンおよびプローブ応答パケットに Aironet IE を追加し、CKIP ネゴシエーション ビット [キー置換およびマルチモジュラ ハッシュ メッセージ整合性チェック(MMH MIC)] の一方または両方を設定することにより、CKIP のサポートをアドバタイズします。キー置換は、基本の暗号キーおよび現在の初期ベクトル(IV)を使用して新しいキーを作成するデータ暗号化技術です。MMH MIC では、ハッシュ関数を使用してメッセージ整合性コードを計算することにより、暗号化されたパケットでのパケット改ざん攻撃を回避します。
WLAN で指定された CKIP の設定は、アソシエートを試みるすべてのクライアントに必須です。WLAN で CKIP のキー置換および MMH MIC の両方が設定されている場合、クライアントは両方をサポートする必要があります。WLAN でこれらの機能の一方のみが設定されている場合、クライアントはこの CKIP 機能のみをサポートするだけでかまいません。
CKIP では、5 バイトおよび 13 バイトの暗号キーは 16 バイトのキーに拡張される必要があります。キーを拡張するためのアルゴリズムは、アクセス ポイントで発生します。キーは、長さが 16 バイトに達するまで、そのキー自体に繰り返し追加されます。Lightweight アクセス ポイントはすべて CKIP をサポートしています。
GUI を使用した CKIP の設定
コントローラ GUI を使用して WLAN の CKIP を設定する手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。
ステップ 4 [Aironet IE] チェックボックスをオンにして、この WLAN に対する Aironet IE を有効にし、[Apply] をクリックします。
ステップ 6 [Status] チェックボックスがオンになっている場合は、これをオフにしてこの WLAN を無効にし、[Apply] をクリックします。
ステップ 7 [Security] タブおよび [Layer 2] タブを選択して、[WLANs > Edit] ([Security] > [Layer 2])ページを開きます(図 6-12 を参照)。
図 6-12 [WLANs > Edit] ([Security] > [Layer 2])ページ
ステップ 8 [Layer 2 Security] ドロップダウン ボックスから [CKIP] を選択します。
ステップ 9 [CKIP Parameters] で、[Key Size] ドロップダウン ボックスから CKIP 暗号キーの長さを選択します。
範囲: Not Set、40 bits、または 104 bits
ステップ 10 [Key Index] ドロップダウン ボックスからこのキーに割り当てる番号を選択します。キーは、最高 4 つまで設定できます。
ステップ 11 [Key Format] ドロップダウン ボックスから [ASCII] または [HEX] を選択し、[Encryption Key] フィールドに暗号キーを入力します。40 ビットのキーには、5 個の ASCII テキスト文字または 10 桁の 16 進数文字が含まれている必要があります。104 ビットのキーには、13 個の ASCII テキスト文字または 26 桁の 16 進数文字が含まれている必要があります。
ステップ 12 この WLAN に対して MMH MIC データ保護を有効にする場合は、[MMH Mode] チェックボックスをオンにします。デフォルト値は、無効になっています(オフになっています)。
ステップ 13 この形式の CKIP データ保護を有効にする場合は、[Key Permutation] チェックボックスをオンにします。デフォルト値は、無効になっています(オフになっています)。
ステップ 14 [Apply] をクリックして、変更を適用します。
ステップ 16 [Status] チェックボックスをオンにしてこの WLAN を有効にします。
ステップ 17 [Apply] をクリックして、変更を適用します。
ステップ 18 [Save Configuration] をクリックして、変更を保存します。
CLI を使用した CKIP の設定
コントローラ CLI を使用して WLAN の CKIP を設定する手順は、次のとおりです。
ステップ 1 次のコマンドを入力して WLAN を無効にします。
ステップ 2 次のコマンドを入力して、この WLAN に対して Aironet IE を有効にします。
config wlan ccx aironet-ie enable wlan_id
ステップ 3 次のコマンドを入力して WLAN に対して CKIP を有効または無効にします。
config wlan security ckip {enable | disable} wlan_id
ステップ 4 次のコマンドを入力して、WLAN に対して CKIP の暗号キーを指定します。
config wlan security ckip akm psk set-key wlan_id {40 | 104} {hex | ascii} key key_index
ステップ 5 次のコマンドを入力して WLAN に対して CKIP の MMH MIC を有効または無効にします。
config wlan security ckip mmh-mic {enable | disable} wlan_id
ステップ 6 次のコマンドを入力して WLAN に対して CKIP のキー置換を有効または無効にします。
config wlan security ckip kp {enable | disable} wlan_id
ステップ 7 次のコマンドを入力して WLAN を有効にします。
セッション タイムアウトの設定
コントローラの GUI または CLI を使用して、WLAN の無線クライアントにセッション タイムアウトを設定できます。セッション タイムアウトとは、クライアント セッションが再認証を要求することなくアクティブである最大時間を指します。
GUI を使用したセッション タイムアウトの設定
コントローラの GUI を使用して WLAN の無線クライアントにセッション タイムアウトを設定する手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 セッション タイムアウトを割り当てる WLAN の ID 番号をクリックします。
ステップ 3 [WLANs >Edit] ページが表示されたら、[Advanced] タブを選択します。[WLANs > Edit] ([Advanced])ページが表示されます。
ステップ 4 この WLAN のセッション タイムアウトを設定するには、[Enable Session Timeout] チェックボックスをオンにします。有効にしない場合は、このチェックボックスをオフにします。デフォルト値はオンです。
ステップ 5 [Session Timeout] フィールドに、300 ~ 86400 秒の値を入力して、クライアント セッションの期間を指定します。デフォルト値は、802.1X、静的 WEP+802.1X、および 802.1X、CCKM、または 802.1X+CCKM 認証キー管理の WPA+WPA2 の Layer 2 セキュリティ タイプでは、1800 秒です。それ以外のすべての Layer 2 セキュリティ タイプでは 0 秒です。値 0 はタイムアウトなしに相当します。
ステップ 6 [Apply] をクリックして、変更を適用します。
ステップ 7 [Save Configuration] をクリックして、変更を保存します。
CLI を使用したセッション タイムアウトの設定
コントローラの CLI を使用して WLAN の無線クライアントにセッション タイムアウトを設定する手順は、次のとおりです。
ステップ 1 WLAN の無線クライアントにセッション タイムアウトを設定するには、次のコマンドを入力します。
config wlan session-timeout wlan_id timeout
デフォルト値は、802.1X、静的 WEP+802.1X、および 802.1X、CCKM、または 802.1X+CCKM 認証キー管理の WPA+WPA2 の Layer 2 セキュリティ タイプでは、1800 秒です。それ以外のすべての Layer 2 セキュリティ タイプでは 0 秒です。値 0 はタイムアウトなしに相当します。
ステップ 2 変更を保存するには、次のコマンドを入力します。
ステップ 3 WLAN の現在のセッション タイムアウト値を表示するには、次のコマンドを入力します。
...
Number of Active Clients......................... 0
...
レイヤ 3 セキュリティの設定
この項では、コントローラ上の WLAN に対してレイヤ 3 セキュリティを設定する方法について説明します。
(注) Layer 2 Tunneling Protocol(L2TP;レイヤ 2 トンネリング プロトコル)と IPSec は、ソフトウェア リリース 4.0 以降を実行しているコントローラでサポートされていません。
VPN パススルー
コントローラは、VPN パススルー、つまり VPN クライアントから送信されるパケットの「通過」をサポートします。VPN パススルーの例として、ラップトップから本社オフィスの VPN サーバへの接続が挙げられます。
(注) VPN パススルー オプションは、5500 シリーズおよび 2100 シリーズのコントローラでは使用できません。ただし、ACL を使用してオープン WLAN を作成することで、5500 または 2100 シリーズ コントローラでこの機能をレプリケートできます。
GUI を使用した VPN パススルーの設定
コントローラの GUI を使用して WLAN の VPN パススルーを設定する手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 VPN パススルーを設定する WLAN の ID 番号をクリックします。[WLANs > Edit] ページが表示されます。
ステップ 3 [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit] ([Security] > [Layer 3])ページを開きます(図 6-13 を参照)。
図 6-13 [WLANs > Edit] ([Security] > [Layer 3])ページ
ステップ 4 [Layer 3 Security] ドロップダウン ボックスから [VPN Pass-Through] を選択します。
ステップ 5 [VPN Gateway Address] フィールドに、クライアントにより開始され、コントローラを通過した VPN トンネルを終端しているゲートウェイ ルータの IP アドレスを入力します。
ステップ 6 [Apply] をクリックして、変更を適用します。
ステップ 7 [Save Configuration] をクリックして、設定を保存します。
CLI を使用した VPN パススルーの設定
コントローラ CLI を使用して WLAN の VPN パススルーを設定するには、次のコマンドを入力します。
• config wlan security passthru {enable | disable} wlan_id gateway
Web 認証
コントローラで VPN パススルーが有効になっていない場合に限り、WLAN では Web 認証を使用できます。Web 認証は、セットアップも使用方法も簡単で、SSL とともに使用することで WLAN 全体のセキュリティを向上させることができます。
(注) Web 認証はレイヤ 2 セキュリティ ポリシー(オープン認証、オープン認証 + WEP、WPA-PSK)でのみサポートされています。802.1X での使用はサポートされていません。
(注) コントローラでは、HTTP(HTTP over TCP)サーバへの Web 認証リダイレクトのみがサポートされています。HTTPS(HTTP over SSL)サーバへの Web 認証リダイレクトはサポートしていません。
(注) Web 認証を有効にする前に、すべてのプロキシ サーバがポート 53 以外のポートに対して設定されていることを確認してください。
(注) WLAN の Web 認証を有効にする場合、コントローラが無線クライアントで送受信されるトラフィックを転送することを示すメッセージが認証前に表示されます。シスコでは、DNS トラフィックを規制し、DNS トンネリング攻撃を検出および予防するために、ゲスト VLAN の背後にファイアウォールまたは Intrusion Detection System(IDS; 侵入検知システム)を設置することをお勧めします。
GUI を使用した Web 認証の設定
コントローラの GUI を使用して WLAN の Web 認証を設定する手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 Web 認証を設定する WLAN の ID 番号をクリックします。[WLANs > Edit] ページが表示されます。
ステップ 3 [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit] ([Security] > [Layer 3])ページを開きます。
ステップ 4 [Web Policy] チェックボックスをオンにします。
ステップ 5 [Authentication] オプションが選択されていることを確認します。
ステップ 6 [Apply] をクリックして、変更を適用します。
ステップ 7 [Save Configuration] をクリックして、設定を保存します。
ステップ 8 Web 認証の使用の詳細は、 を参照してください。
CLI を使用した Web 認証の設定
コントローラの CLI を使用して WLAN の Web 認証を設定する手順は、次のとおりです。
ステップ 1 特定の WLAN で Web 認証を有効または無効にするには、次のコマンドを入力します。
config wlan security web-auth {enable | disable} wlan_id
ステップ 2 Web 認証ポリシーのタイマーが切れたときにゲスト ユーザの IP アドレスを解放して、ゲスト ユーザが 3 分間 IP アドレスを取得しないようにするには、次のコマンドを入力します。
config wlan webauth-exclude wlan_id {enable | disable}
デフォルト値は無効(disable)です。このコマンドは、コントローラで内部 DHCP スコープを設定するときに使用できます。デフォルトでは、ゲスト ユーザは、Web 認証のタイマーが切れた場合、別のゲスト ユーザがその IP アドレスを取得する前に、ただちに同じ IP アドレスに再アソシエートできます。ゲスト ユーザの数が多い場合、または DHCP プールの IP アドレスが限れられている場合、一部のゲスト ユーザが IP アドレスを取得できなくなる可能性があります。
ゲスト WLAN でこの機能を有効にした場合、Web 認証ポリシーのタイマーが切れると、ゲスト ユーザの IP アドレスが解放され、このゲスト ユーザは 3 分間 IP アドレスの取得から除外されます。これによって、別のゲスト ユーザがこの IP アドレスを使用できます。3 分経つと、除外されていたゲスト ユーザは、可能であれば、再アソシエートし、IP アドレスを取得できるようになります。
ステップ 3 Web 認証のステータスを表示するには、次のコマンドを入力します。
Webauth DHCP exclusion........................... Disabled
...
Web Based Authentication......................... Disabled
...
ステップ 4 Web 認証の使用については、 を参照してください。
WLAN への QoS プロファイルの割り当て
Cisco UWN Solution WLAN では、Platinum/音声、Gold/ビデオ、Silver/ベスト エフォート(デフォルト)、Bronze/バックグラウンドの 4 つのレベルの QoS をサポートしています。音声転送 WLAN で Platinum QoS を使用するよう設定したり、低帯域幅 WLAN で Bronze QoS を使用するよう割り当てたり、その他すべてのトラフィックに残りの QoS レベルを割り当てたりすることができます。
WLAN QoS レベルは、無線トラフィックの特定の 802.11e User Priority(UP)を定義します。この UP は、WMM 以外の有線トラフィックの優先順位を導出すると同時に、さまざまな優先レベルの WMM トラフィックを管理する際の上限値としても機能します。アクセス ポイントは、 表 6-1 の値に従ってこの QoS プロファイル固有の UP を使用することで、無線 LAN 上で確認可能な IP DSCP 値を導出します。
|
|
|
|
|
|
|---|---|---|---|---|
GUI を使用した WLAN への QoS プロファイルの割り当て
コントローラの GUI を使用して WLAN へ QoS プロファイルを割り当てる手順は、次のとおりです。
ステップ 1 まだ設定していない場合は、「GUI を使用した QoS プロファイルの設定」の指示に従って 1 つ以上の QoS プロファイルを設定してください。
ステップ 2 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 3 QoS プロファイルを割り当てる WLAN の ID 番号をクリックします。
ステップ 4 [WLANs >Edit] ページが表示されたら、[QoS] タブを選択します。
ステップ 5 [Quality of Service(QoS)] ドロップダウン ボックスから、次のいずれかを選択します。
(注) Silver(ベスト エフォート)がデフォルト値です。
ステップ 6 [Apply] をクリックして、変更を適用します。
ステップ 7 [Save Configuration] をクリックして、変更を保存します。
CLI を使用した WLAN への QoS プロファイルの割り当て
コントローラ CLI を使用して WLAN へ QoS プロファイルを割り当てる手順は、次のとおりです。
ステップ 1 まだ設定していない場合は、「CLI を使用した QoS プロファイルの設定」の指示に従って 1 つ以上の QoS プロファイルを設定してください。
ステップ 2 QoS プロファイルを WLAN に割り当てるには、次のコマンドを入力します。
config wlan qos wlan_id {bronze | silver | gold | platinum}
ステップ 3 変更を保存するには、次のコマンドを入力します。
ステップ 4 QoS を WLAN に適切に割り当てたことを確認するには、次のコマンドを入力します。
QoS Enhanced BSS の設定
QoS Enhanced Basis Service Set(QBSS)情報要素(IE)により、アクセス ポイントはそのチャネル使用率を無線デバイスに通知できます。チャネル使用率が高いアクセス ポイントではリアルタイム トラフィックを効率的に処理できないため、7921 または 7920 電話では、QBSS 値を使用して、他のアクセス ポイントにアソシエートするべきかどうかが判断されます。次の 2 つのモードで QBSS を有効にできます。
• 802.11E QBSS 規格を満たすデバイス(Cisco 7921 IP Phone など)をサポートしている、Wi-Fi Multimedia(WMM)モード
• 802.11b/g ネットワーク上で Cisco 7920 IP Phone をサポートしている 7920 サポート モード
7920 サポート モードには、次の 2 つのオプションが含まれています。
– Call Admission Control(CAC; コール アドミッション制御)がクライアント デバイス上で設定され、クライアント デバイスによってアドバタイズされている必要がある 7920 電話のサポート(通常、旧式の 7920 電話)
– CAC がアクセス ポイント上で設定され、アクセス ポイントによってアドバタイズされている必要がある 7920 電話のサポート(通常、新式の 7920 電話)
アクセス ポイントで制御される CAC が有効になっている場合、アクセス ポイントは、シスコが所有する CAC Information Element(IE;情報要素)を送信し、標準の QBSS IE を送信しません。
コントローラの GUI または CUI を使用して QBSS を設定できます。デフォルトで、QBSS は無効になっています。
QBSS を設定する際のガイドライン
WLAN で QBSS を設定する場合には、次のガイドラインに従ってください。
• 7920 電話は、CAC 機能が制限された、非 WMM 電話です。電話は、アソシエート先のアクセス ポイントのチャネル使用率を確認し、それをアクセス ポイントによりビーコンされたしきい値と比較します。チャネル使用率がしきい値より低い場合は、7920 は電話をかけます。対照的に、7921 電話は、完全な機能を備えた WMM 電話で、Traffic Specifications (TSPEC)を使用して、電話をかける前に音声キューにアクセスします。7921 電話は、負荷ベースの CAC と適切に連動します。負荷ベースの CAC では、音声に取り分けられたチャネルの割合を使用して、それに応じて通話を制限しようとします。
7921 電話は WMM をサポートし、7920 電話はサポートしないため、これらの電話を混合環境で使用する場合に両方の電話を適切に設定していないと、キャパシティと音声品質の問題が生じる可能性があります。7921 および 7920 電話の両方を有効にして同じネットワーク上で共存させるには、負荷ベースの CAC と 7920 AP CAC の両方がコントローラで有効にされ、WMM Policy が Allowed に設定されていることを確認してください。7921 ユーザより、7920 ユーザの方が多い場合に、これは特に重要になります。
(注) 負荷ベースの CAC の詳細および設定の手順は、 を参照してください。
7921 および 7920 Wireless IP Phone を使用する際の追加のガイドライン
Cisco 7921 および 7920 Wireless IP Phone をコントローラで使用する場合は、次のガイドラインに従ってください。
• 各コントローラで、アグレッシブなロード バランシングが無効にされている必要があります。無効化されていない場合、電話による初期ローミングが失敗し、オーディオ パスが中断されることがあります。
• Dynamic Transmit Power Control(DTPC)情報要素(IE)が、 config 802.11b dtpc enable コマンドを使用して有効にされている必要があります。DTPC IE は、アクセス ポイントがその送信電力で情報をブロードキャストすることを可能にする、ビーコンおよびプローブの情報要素です。7921 または 7920 電話は、この情報を使用して、その送信電力を、アソシエート先のアクセス ポイントと同じレベルに自動的に調整します。このようにして、両方のデバイスが同じレベルで送信するようになります。
• 7921 と 7920 電話のおよびコントローラの両方で、Cisco Centralized Key Management(CCKM)高速ローミングがサポートされます。
• WEP を設定する際、コントローラおよび 7921 または 7920 電話によって、用語上の違いがあります。7921 または 7920 で 128 ビット WEP を使用する場合は、コントローラを 104ビットに設定してください。
• スタンドアロンの 7921 電話では、負荷ベースの CAC が有効にされ、また WLAN 上で WMM Policy が Required に設定されている必要があります。
• コントローラでは、ファームウェア バージョン 1.1.1 を使用して 7921 電話から送られるトラフィック分類(TCLAS)がサポートされます。この機能により、7921 電話への音声ストリームを正しく分類することができます。
• 1242 シリーズ アクセス ポイントの 802.11a 無線で 7921 電話を使用する場合は、24-Mbps データ レートを Supported に設定して、それよりも小さい Mandatory データ レート(12 Mbps など)を選択します。さもないと、電話の音声品質が低下する恐れがあります。
GUI を使用した QBSS の設定
コントローラの GUI を使用して QBSS を設定する手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 WMM モードを設定する WLAN の ID 番号をクリックします。
ステップ 3 [WLANs > Edit] ページが表示されたら、[QoS] タブを選択して [WLANs > Edit] ([QoS])ページを開きます(図 6-14を参照)。
図 6-14 [WLANs > Edit] ([QoS])ページ
ステップ 4 7921 電話および WMM 規格を満たすその他のデバイスに対して WMM モードを有効にするかどうかに応じて、[WMM Policy] ドロップダウン ボックスから次のオプションのいずれかを選択してください。
• Disabled --WLAN 上で WMM を無効にします。これはデフォルト値です。
• Allowed --WLAN 上でクライアント デバイスに WMM の使用を許可します。
• Required --クライアント デバイスで WMM の使用を必須にします。WMM をサポートしていないデバイスは WLAN に接続できません。
ステップ 5 アクセス ポイントで制御される CAC を必要とする電話で 7920 サポート モードを有効にする場合は、[7920 AP CAC] チェックボックスをオンにします。デフォルトではオフになっています。
ステップ 6 クライアントで制御される CAC を必要とする電話で 7920 サポート モードを有効にする場合は、[7920 Client CAC] チェックボックスをオンにします。デフォルトではオフになっています。
(注) WLAN 上で、WMM モードおよびクライアントで制御される CAC モードの両方を有効にすることはできません。
ステップ 7 [Apply] をクリックして、変更を適用します。
ステップ 8 [Save Configuration] をクリックして、変更を保存します。
CLI を使用した QBSS の設定
コントローラの CLI を使用して QBSS を設定する手順は、次のとおりです。
ステップ 1 QBSS サポートを追加する WLAN の ID 番号を決定するには、次のコマンドを入力します。
ステップ 2 WLAN を無効するには、次のコマンドを入力します。
ステップ 3 7921 電話および WMM 規格を満たすその他のデバイスで WMM モードを設定するには、次のコマンドを入力します。
config wlan wmm {disabled | allowed | required} wlan_id
• disabled パラメータは、WLAN 上で WMM モードを無効にします。
• allowed パラメータは、WLAN 上でクライアント デバイスに WMM の使用を許可します。
• required パラメータは、クライアント デバイスに WMM の使用を要求します。WMM をサポートしていないデバイスは WLAN に接続できません。
ステップ 4 クライアントで制御される CAC を必要とする電話で 7920 サポート モードを有効または無効にするには、次のコマンドを入力します。
config wlan 7920-support client-cac-limit {enable | disable} wlan_id
(注) WLAN 上で、WMM モードおよびクライアントで制御される CAC モードの両方を有効にすることはできません。
ステップ 5 アクセス ポイントで制御される CAC を必要とする電話で 7920 サポート モードを有効または無効にするには、次のコマンドを入力します。
config wlan 7920-support ap-cac-limit {enable | disable} wlan_id
ステップ 6 WLAN を再度有効にするには、次のコマンドを入力します。
ステップ 7 変更を保存するには、次のコマンドを入力します。
ステップ 8 WLAN が有効にされており、かつ [Dot11-Phone Mode (7920)] フィールドが互換モードに設定されていることを確認するには、次のコマンドを入力します。
VoIP スヌーピングの設定
コントローラ ソフトウェア リリース 6.0 では、Voice over IP(VoIP) Media Session Aware(MSA)スヌーピングおよびレポートをサポートしています。この機能により、アクセス ポイントは Session Initiation Protocol(SIP)の音声コールの確立、終了、および失敗を検出し、それをコントローラおよび WCS にレポートできます。WLAN ごとに有効化または無効化できます。
VoIP MSA スヌーピングが有効であると、この WLAN をアドバタイズするアクセス ポイント無線は、SIP RFC-3261 に準拠する SIP 音声パケットを検索します。非 RFC-3261 準拠の SIP 音声パケットや Skinny Call Control Protocol(SCCP)音声パケットは検索しません。ポート番号 5060 に宛てた、またはポート番号 5060 からの SIP パケット(標準的な SIP シグナリング ポート)はいずれも、詳細検査の対象として考慮されます。アクセス ポイントでは、Wi-Fi Multimedia(WMM)クライアントと非 WMM クライアントがコールを確立している段階、コールがアクティブになった段階、コールの終了処理の段階を追跡します。両クライアント タイプに関するアップストリーム パケットの分類は、アクセス ポイントで行われます。一方、ダウンストリーム パケットの分類は、WMM クライアントの場合はコントローラで、非 WMM クライアントの場合はアクセス ポイントで行われます。アクセス ポイントは、コールの確立、終了、失敗など、主要なコール イベントをコントローラと WCS に通知します。
VoIP MSA コールに関する詳細な情報がコントローラによって提供されます。コールが失敗した場合、コントローラはトラブルシューティングで有用なタイムスタンプ、障害の原因(GUI で)、およびエラー コード(CLI で)が含まれるトラップ ログを生成します。コールが成功した場合、追跡用にコール数とコール期間を表示します。WCS は、失敗した VoIP コールに関する情報を [Events] ウィンドウに表示します。
GUI を使用した VoIP スヌーピングの設定
コントローラの GUI を使用して VoIP スヌーピングを設定する手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 VoIP スヌーピングを設定する WLAN の ID 番号をクリックします。
ステップ 3 [WLANs > Edit] ページが表示されたら、[Advanced] タブを選択して [WLANs > Edit] ([Advanced])ページを開きます(図 6-15 を参照)。
図 6-15 [WLANs > Edit] ([Advanced])ページ
ステップ 4 VoIP スヌーピングを有効にする場合は [VoIP Snooping and Reporting] チェックボックスをオンにします。この機能を無効にする場合は、オフにします。デフォルトではオフになっています。
ステップ 5 [Apply] をクリックして、変更を適用します。
ステップ 6 [Save Configuration] をクリックして、変更を保存します。
ステップ 7 アクセス ポイント無線の VoIP 統計を表示する手順は、次のとおりです。
a. [Monitor] > [Access Points] > [Radios] > [802.11a/n] または [802.11b/g/n] の順に選択して、802.11a/n (または 802.11b/g/n)Radios ページを開きます。
b. 右にスクロールし、VoIP 統計を表示したいアクセス ポイントの [Detail] リンクをクリックします。[Radio > Statistics] ページが表示されます(図 6-16を参照)。
図 6-16 [Radio > Statistics] ページ
[VoIP Stats] セクションには、このアクセスポイント無線について、音声コールの累積の数と長さが表示されます。音声コールが正常に発信されるとエントリが自動的に追加され、コントローラからアクセス ポイントが解除されるとエントリが削除されます。
ステップ 8 コールが失敗した場合に生成されるトラップを表示するには、[Management] > [SNMP] > [Trap Logs] を選択します。[Trap Logs] ページが表示されます(図 6-17)。
たとえば、図 6-17 のログ 0 はコールが失敗したことを示しています。ログでは、コールの日時、障害の内容、障害発生の原因が示されます。
CLI を使用した VoIP スヌーピングの設定
コントローラの CLI を使用して VoIP スヌーピングを設定する手順は、次のとおりです。
ステップ 1 特定の WLAN で VoIP スヌーピングを有効または無効にするには、次のコマンドを入力します。
config wlan call-snoop { enable | disable } wlan_id
ステップ 2 変更を保存するには、次のコマンドを入力します。
ステップ 3 特定の WLAN で VoIP スヌーピングのステータスを表示するには、次のコマンドを入力します。
Disabled)
ステップ 4 VoIP スヌーピングが有効であり、かつコールがアクティブである場合、MSA クライアントのコール情報を表示するには、このコマンドを入力します。
show call-control client callInfo client_MAC_address
ステップ 5 コールが成功した場合のメトリックまたはコールが失敗した場合に生成されるトラップを表示するには、次のコマンドを入力します。
show call-control ap { 802.11a | 802.11b } Cisco_AP { metrics | traps }
show call-control ap { 802.11a | 802.11b } Cisco_AP metrics と入力すると、次のような情報が表示されます。
show call-control ap { 802.11a | 802.11b } Cisco_AP traps と入力すると、次のような情報が表示されます。
このコマンドの出力では、トラブルシューティングで役に立つように、失敗したコールのエラーコードを示します。 表 6-2 ではコールが失敗した場合に、考えられるエラー コードを説明します。
(注) VoIP スヌーピングに関する問題が発生した場合は、コマンド debug call-control {all | event} {enable | disable}を入力してすべての VoIP メッセージまたはイベントをデバッグしてください。
IPv6 ブリッジの設定
インターネット プロトコル バージョン 6(IPv6)は、プロトコルの TCP/IP スイートのバージョン 4(IPv4)の後継となることを意図された次世代のネットワーク レイヤ インターネット プロトコルです。この新しいバージョンでは、一意なグローバル IP アドレスを必要とするユーザとアプリケーションを収容するためのインターネット グローバル アドレス空間が拡張されています。IPv6 は、128 ビットの発信元アドレスおよび宛先アドレスを組み込むことにより、32 ビットの IPv4 アドレスよりも格段に多くのアドレスを提供します。コントローラの GUI または CLI のいずれかを使用して、WLAN を IPv6 ブリッジ用に設定するには、この項の手順に従ってください。
IPv6 ブリッジを使用する際のガイドライン
IPv6 ブリッジを使用する場合には、次のガイドラインに従ってください。
• IPv6 ブリッジを使用するには、コントローラでマルチキャストが有効でなければなりません。
• 中央スイッチングを使用する Hybrid REAP は IPv6 ブリッジとの共用がサポートされています。ローカル スイッチングを使用する Hybrid REAP はサポートされていません。
• 自動アンカー モビリティは、IPv6 ブリッジと共には使用できません。
• シンメトリック モビリティ トンネリングが有効にされている場合は、クライアントとの間のすべての IPv4 トラフィックは双方向でトンネルされますが、IPv6 クライアント トラフィックはローカルでブリッジされます。
• クライアントは、スタティック ステートレス自動設定(Windows XP クライアントなど)またはステートフル DHCPv6 IP アドレス指定(Windows Vista クライアントなど)のいずれかで IPv6 をサポートする必要があります。
(注) 現在、DHCPv6 は Windows Vista クライアントでの使用についてのみサポートされています。これらのクライアントについては、VLAN がクライアントによって変更された後で DHCPv6 IP アドレスを手動で更新する必要があります。
• ステートフル DHCPv6 IP アドレス指定が正常に動作するためには、DHCP for IPv6 機能をサポートするスイッチまたはルータ(Cisco Catalyst 3750 スイッチなど)で DHCPv6 サーバのように機能するように設定されたもの、またはビルトイン DHCPv6 サーバを伴う Windows 2008 サーバなどの専用のサーバが必要です。
(注) Cisco Catalyst 3750 スイッチに SDM IPv6 テンプレートをロードするには、コマンド sdm prefer dual-ipv4-and-v6 defaultを入力してからスイッチをリセットします。詳細は、『Cisco Catalyst 3750 switch configuration guide for Cisco IOS Release 12.2(46)SE』を参照してください。
• コントローラ ソフトウェア リリース 4.2 以降では、同じ WLAN 上で IPv6 ブリッジと IPv4 Web 認証を有効にできます。この組み合わせは、以前はサポートされていませんでした。コントローラは WLAN 上のすべてのクライアントからの IPv6 トラフィックをブリッジするのに対し、IPv4 トラフィックは通常の Web 認証プロセスを経由します。コントローラは、IPv4 クライアントの Web 認証が完了する前でも、クライアントがアソシエートするとすぐに IPv6 のブリッジを開始します。IPv6 ブリッジおよび Web 認証が有効にされている場合に、WLAN 上でその他のレイヤ 2 またはレイヤ 3 セキュリティ ポリシー設定はサポートされません。図 6-18 は、IPv6 ブリッジおよび IPv4 Web 認証が同じ WLAN 上で使用される方法を示しています。
• コントローラのソフトウェア リリース 6.0 では、WLAN 上で IPv6 ブリッジを有効にすると、すべてのレイヤ 2 セキュリティ ポリシーがサポートされ、設定可能となります。
図 6-18 IPv6 ブリッジおよび IPv4 Web 認証
(注) コントローラの GUI と CLI の両方にある [Security Policy Completed] フィールドには、Web 認証が完了するまで、「No for IPv4 (bridging allowed for IPv6)」と表示されます。このフィールドは、GUI の [Clients > Detail] ページまたは show client detail CLI コマンドを使用して表示できます。
GUI を使用した IPv6 ブリッジの設定
GUI を使用して WLAN の IPv6 ブリッジを設定する手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。
ステップ 3 [Advanced] タブを選択して、[WLANs > Edit] ([Advanced] タブ)ページを開きます(図 6-19を参照)。
図 6-19 [WLANs > Edit] ([Advanced])ページ
ステップ 4 この WLAN に接続するクライアントで、IPv6 パケットを受け入れるようにする場合は、[IPv6 Enable] チェックボックスをオンにします。それ以外の場合は、このチェックボックスをオフのままにします(デフォルト値)。
ステップ 5 [Apply] をクリックして、変更を適用します。
ステップ 6 [Save Configuration] をクリックして、変更を保存します。
CLI を使用した IPv6 ブリッジの設定
CLI を使用して WLAN の IPv6 ブリッジを設定するには、次のコマンドを入力します。
Cisco Client Extensions の設定
Cisco Client Extensions(CCX)ソフトウェアは、サードパーティ製クライアント デバイスの製造業者およびベンダーに対してライセンスされます。これらのクライアント上の CCX コードにより、サードバーティ製クライアント デバイスは、シスコ製のアクセス ポイントと無線で通信できるようになり、セキュリティの強化、パフォーマンスの向上、迅速なローミング、優れた電源管理などの、他のクライアント デバイスがサポートしていないシスコの機能もサポートできるようになります。
コントローラ ソフトウェアのリリース 4.2 以降では、CCX バージョン 1 ~ 5 をサポートしています。これにより、コントローラおよびそのアクセス ポイントは、CCX をサポートするサードパーティ製のクライアント デバイスと無線で通信できるようになります。CCX サポートは、コントローラ上の各 WLAN について自動的に有効となり、無効にできません。ただし、WLAN ごとに特定の CCX の機能を設定することができます。この機能は、Aironet 情報要素(IE)です。
Aironet IE のサポートが有効になっている場合、アクセス ポイントは、Aironet IE 0x85(アクセス ポイント名、ロード、アソシエートされたクライアントの番号などを含む)をこの WLAN のビーコンやプローブ応答に格納して送信します。また、アクセス ポイントが再アソシエーション要求内の Aironet IE 0x85 を受信する場合、コントローラは、Aironet IEs 0x85 および 0x95(コントローラの管理 IP アドレスおよびアクセス ポイントの IP アドレスを含む)を再アソシエーション要求に格納して送信します。
GUI または CLI のいずれかを使用して CCX Aironet IE 機能を使用するように WLAN を設定したり、特定のクライアント デバイスでサポートされる CCX のバージョンを確認するには、この項の手順に従ってください。
GUI を使用した CCX Aironet IE の設定
GUI を使用して WLAN の CCX Aironet IE を設定する手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。
ステップ 3 [Advanced] タブを選択して、[WLANs > Edit] ([Advanced] タブ)ページを開きます(図 6-19を参照)。
ステップ 4 この WLAN で Aironet IE のサポートを有効にする場合は、[Aironet IE] チェックボックスをオンにします。有効にしない場合には、このチェックボックスをオフにします。デフォルト値は、有効になっています(オンになっています)。
ステップ 5 [Apply] をクリックして、変更を適用します。
ステップ 6 [Save Configuration] をクリックして、変更を保存します。
GUI を使用したクライアントの CCX バージョンの表示
クライアント デバイスは、アソシエーション要求パケットに CCX バージョンを格納してアクセス ポイントに送信します。コントローラは、クライアントの CCX バージョンをデータベースに格納し、これを使用してこのクライアントの機能を制限します。たとえば、クライアントが CCX バージョン 2 をサポートしている場合、コントローラは、CCX バージョン 4 の機能を使用することをクライアントに許可しません。GUI を使用して特定のクライアント デバイスでサポートされている CCX バージョンを表示する手順は、次のとおりです。
ステップ 1 [Monitor] > [Clients] を選択して、[Clients] ページを開きます。
ステップ 2 必要なクライアント デバイスの MAC アドレスをクリックして、[Clients > Detail] ページを開きます(図 6-20 を参照)。
[CCX Version] フィールドに、このクライアント デバイスでサポートされる CCX バージョンが表示されます。クライアントで CCX がサポートされていない場合は、Not Supported が表示されます。
ステップ 3 前の画面に戻るには、[Back] をクリックします。
ステップ 4 他のクライアント デバイスでサポートされる CCX バージョンを表示するには、この手順を繰り返します。
CLI を使用した CCX Aironet IE の設定
特定の WLAN の Aironet IE のサポートを有効または無効にするには、次のコマンドを入力します。
CLI を使用したクライアントの CCX バージョンの表示
アクセス ポイント グループの設定
コントローラ上に最大 512 の WLAN を作成した後では、さまざまなアクセス ポイントに WLAN を選択的に公開(アクセス ポイント グループを使用して)することで、ワイヤレス ネットワークをより適切に管理できます。一般的な展開では、WLAN 上のすべてのユーザはコントローラ上の 1 つのインターフェイスにマップされます。したがって、その WLAN にアソシエートされたすべてのユーザは、同じサブネットまたは VLAN 上にあります。しかし、複数のインターフェイス間で負荷を分散すること、または アクセス ポイン グループ を作成して、個々の部門(たとえばマーケティング部門)などの特定の条件に基づくグループ ユーザへと負荷を分配することを選択できます。さらに、図 6-21に示すように、ネットワーク管理を簡素化するために、これらのアクセス ポイント グループを別個の VLAN で設定できます。
(注) VLAN またはサブネットにサービスを提供するルータ上で、必要なアクセス コントロール リスト(ACL)を定義する必要があります。
(注) アクセス ポイント グループ VLAN では、マルチキャスト トラフィックはサポートされません。ただし、クライアントがあるアクセス ポイントから別のアクセス ポイントにローミングする場合、IGMP スヌーピングが有効になっていないと、クライアントによってマルチキャスト トラフィックの受信が停止されることがあります。
図 6-21では、3 つの設定された動的インターフェイスが、3 つの異なる VLAN (VLAN 61、VLAN 62、および VLAN 63)にマップされています。3 つのアクセス ポイント グループが定義されており、各グループは異なる VLAN のメンバですが、すべてのグループが同じ SSID のメンバとなっています。無線 SSID 内のクライアントには、そのアクセス ポイントがメンバとなっている VLAN サブネットから IP アドレスが割り当てられています。たとえば、アクセス ポイント グループ VLAN 61 のメンバであるアクセス ポイントにアソシエートする任意のユーザには、そのサブネットから IP アドレスが割り当てられます。
図 6-21の例では、コントローラはアクセス ポイント間のローミングをレイヤ 3 ローミング イベントとして内部で処理します。こうすることで、WLAN クライアントは元の IP アドレスを保持します。
アクセス ポイント グループを設定するには、次のトップレベルの手順に従います。
1. 適切な動的インターフェイスを設定し、必要な VLAN にマップします。
たとえば、図 6-21 でネットワークを実装するには、コントローラ上で VLAN 61、62、および 63 に対する動的インターフェイスを作成します。動的インターフェイスの構成方法の詳細は、 を参照してください。
2. アクセス ポイント グループを作成します。次の 「アクセス ポイント グループの作成」 の項を参照してください。
3. 適切なアクセス ポイント グループにアクセス ポイントを割り当てます。次の 「アクセス ポイント グループの作成」 の項を参照してください。
アクセス ポイント グループの作成
すべてのアクセス ポイントがコントローラに接続された後は、アクセス ポイント グループを作成して、最大 16 の WLAN を各グループに割り当てることができます。各アクセス ポイントは、有効化されている WLAN のうち、そのアクセス ポイント グループに属する WLAN だけをアドバタイズします。アクセス ポイント グループで無効化されている WLAN または別のグループに属する WLAN はアドバタイズしません。
2100 シリーズのコントローラおよびコントローラ ネットワーク モジュールの場合は最大 50 のアクセス ポイント グループを作成でき、4400 シリーズのコントローラ、5500 シリーズ コントローラ、Cisco WiSM、および 3750G ワイヤレス LAN コントローラ スイッチの場合は最大 192 のアクセス ポイント グループを作成できます。
(注) OfficeExtend アクセス ポイントはすべて同じアクセス ポイント グループ内にあり、このグループに含まれる WLAN は最大 15 にする必要があります。アクセス ポイント グループ内の OfficeExtend アクセス ポイントを持つコントローラは、パーソナルな SSID に対して割り当てられる WLAN が 1 つであるため、接続されている各 OfficeExtend アクセス ポイントに最大 15 の WLAN しか公開しません。
(注) コントローラ上の設定をクリアすると、アクセス ポイント グループのすべてが非表示となります。ただし、デフォルトのアクセス ポイント グループである「default-group」(自動的に作成される)は例外です。
GUI を使用したアクセス ポイント グループの作成
コントローラの GUI を使用してアクセス ポイント グループを作成する手順は、次のとおりです。
ステップ 1 [WLANs] > [Advanced] > [AP Groups] の順に選択して、[AP Groups] ページを開きます (図 6-22 を参照)。
このページには、コントローラで現在作成されているすべてのアクセス ポイント グループが表示されます。デフォルトでは、アクセス ポイントは、他のアクセス ポイント グループに割り当てられない限り、すべて、デフォルトのアクセス ポイント グループ「default-group」に属します。
(注) コントローラのソフトウェア リリース 5.2 以降にアップグレードすると、コントローラによって default-group アクセス ポイント グループが作成され、その中に、最初の 16 の WLAN(1 ~ 16 の ID を持つ WLAN、設定された WLAN の数が 16 に満たない場合は、さらに少なくなる)が自動的に入力されます。このデフォルトのグループは変更できません(このグループに WLAN を追加したり、このグループから WLAN を削除することはできません)。先頭の 16 の WLAN が追加または削除されるたびに、グループの内容は動的に更新されます。アクセス ポイントは、アクセス ポイント グループに属していない場合には、デフォルト グループに割り当てられ、そのデフォルト グループ内の WLAN を使用します。アクセス ポイントは、未定義のアクセス ポイント グループ名を有するコントローラと接続した場合、そのグループ名を保持しますが、default-group アクセス ポイント グループ内の WLAN を使用します。
ステップ 2 [Add Group] をクリックして、新しいアクセス ポイント グループを作成します。[Add New AP Group] のセクションがページ上部に表示されます。
ステップ 3 [AP Group Name] フィールドに、グループの名前を入力します。
ステップ 4 [Description] フィールドに、グループの説明を入力します。
ステップ 5 [Add] をクリックします。 新たに作成したアクセス ポイント グループが、[AP Groups] ページのアクセス ポイント グループのリストに表示されます。
(注) このグループを削除するには、そのグループの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。少なくとも 1 つのアクセス ポイントで使用されているアクセス ポイント グループを削除しようとした場合、エラー メッセージが表示されます。コントローラ ソフトウェア リリース 6.0 では、アクセス ポイント グループを削除する前に、そのグループ内のすべてのアクセス ポイントを別のグループに移動させます。以前のリリースのように、アクセス ポイントが default-group のアクセス ポイント グループに移動されることはありません。
ステップ 6 この新しいグループを編集するには、グループの名前をクリックします。[AP Groups > Edit] ([General])ページが表示されます(図 6-23 を参照)。
図 6-23 [AP Groups > Edit] ([General])ページ
ステップ 7 このアクセス ポイント グループの説明を変更するには、[AP Group Description] フィールドに新しいテキストを入力して、[Apply] をクリックします。
ステップ 8 [WLANs] タブを選択して、[AP Groups > Edit] ([WLANs])ページを開きます。このページでは、このアクセス ポイント グループに現在割り当てられている WLAN が表示されます。
ステップ 9 [Add New] をクリックして、このアクセス ポイント グループに WLAN を割り当てます。[Add New] のセクションがページ上部に表示されます(図 6-24を参照)。
図 6-24 [AP Groups > Edit] ([WLAN])ページ
ステップ 10 [WLAN SSID] ドロップダウン ボックスから、この WLAN の SSID を選択します。
ステップ 11 [Interface Name] ドロップダウン ボックスから、アクセス ポイント グループをマップするインターフェイスを選択します。Network Admission Control(NAC;ネットワーク アドミッション コントロール)のアウトオブバンドのサポートを有効にする場合は、検疫 VLAN を選択します。
(注) default-group アクセス ポイント グループ内のインターフェイス名は、WLAN インターフェイスと一致します。
ステップ 12 このアクセス ポイント グループに対して NAC アウトオブバンドのサポートを有効にするには、[NAC State] チェックボックスをオンにします。NAC アウトオブバンドのサポートを無効にするには、チェックボックスをオフ(デフォルト値)のままとします。NAC の詳細は、「NAC アウトオブバンド統合の設定」を参照してください。
ステップ 13 [Add] をクリックして、この WLAN をアクセス ポイント グループに追加します。 この WLAN が、このアクセス ポイント グループに割り当てられている WLAN のリストに表示されます。
(注) この WLAN をアクセス ポイント グループから削除する場合は、カーソルをこの WLAN の青のドロップダウン矢印の上に置いて、[Remove] を選択します。
ステップ 14 ステップ 9 ~ ステップ 13 を繰り返して、このアクセス ポイント グループに WLAN をさらに追加します。
ステップ 15 [APs] タブを選択して、このアクセス ポイント グループにアクセス ポイントを割り当てます。[AP Groups > Edit] ([APs])ページには、このグループに現在割り当てられているアクセス ポイントと、グループへの追加が可能なアクセス ポイントが一覧されます。アクセス ポイントがグループに現在割り当てられていない場合、そのアクセス ポイントのグループ名は「default-group」として表示されます( 図 6-25 を参照)。
図 6-25 [AP Groups > Edit] ([APs])ページ
ステップ 16 このアクセス ポイント グループにアクセス ポイントを追加するには、アクセス ポイント名の左側のチェックボックスをオンにして、[Add APs] をクリックします。すると、該当するアクセス ポイントが、このアクセス ポイント グループに現在属しているアクセス ポイントのリストに表示されます。
(注) 使用可能なアクセス ポイントを一度にすべて選択するには、[AP Name] チェックボックスをオンにします。これで、すべてのアクセス ポイントが選択されます。
(注) グループからアクセス ポイントを削除する場合は、アクセス ポイント名の左側のチェックボックスをオンにし、[Remove APs] をクリックします。一度にすべてのアクセス ポイントを選択するには、[AP Name] チェックボックスをオンにします。これで、このグループからすべてのアクセス ポイントが削除されます。
(注) アクセス ポイントが属するアクセス ポイント グループを変更する場合は、[Wireless] > [Access Points] > [All APs] > [ap_name] > [Advanced] タブを選択し、[AP Group Name] ドロップダウン ボックスから別のアクセス ポイント グループの名前を選択し、[Apply] をクリックします。
ステップ 17 [Save Configuration] をクリックして、変更を保存します。
CLI を使用したアクセス ポイント グループの作成
コントローラの CLI を使用してアクセス ポイント グループを作成する手順は、次のとおりです。
ステップ 1 アクセス ポイント グループを作成するには、次のコマンドを入力します。
config wlan apgroup add group_name
(注) アクセス ポイント グループを削除するには、次のコマンドを入力します。config wlan apgroup delete group_name。少なくとも 1 つのアクセス ポイントで使用されているアクセス ポイント グループを削除しようとした場合、エラー メッセージが表示されます。コントローラ ソフトウェア リリース 6.0 では、アクセス ポイント グループを削除する前に、そのグループ内のすべてのアクセス ポイントを別のグループに移動させます。以前のリリースのように、アクセス ポイントが default-group のアクセス ポイント グループに移動されることはありません。グループ内のアクセス ポイントを表示するには、show wlan apgroups と入力します。アクセス ポイントを別のグループに移動させるには、config ap group-name group_name Cisco_AP と入力します。
ステップ 2 アクセス ポイント グループに説明を追加するには、次のコマンドを入力します。
config wlan apgroup description group_name description
ステップ 3 アクセス ポイント グループに WLAN を割り当てるには、次のコマンドを入力します。
config wlan apgroup interface-mapping add group_name wlan_id interface_name
(注) アクセス ポイント グループから WLAN を削除するには、次のコマンドを入力します。config wlan apgroup interface-mapping delete group_name wlan_id。
ステップ 4 このアクセス ポイント グループに対して、NAC アウトオブバンドのサポートを有効または無効にするには、次のコマンドを入力します。
config wlan apgroup nac {enable | disable} group_name wlan_id
ステップ 5 アクセス ポイントをアクセス ポイント グループに割り当てるには、次のコマンドを入力します。
config ap group-name group_name Cisco_AP
(注) アクセス ポイント グループからアクセス ポイントを削除するには、このコマンドを再度入力して、そのアクセス ポイントを別のグループに割り当てます。
ステップ 6 変更を保存するには、次のコマンドを入力します。
CLI を使用したアクセス ポイント グループの表示
アクセス ポイント グループに関する情報の表示またはトラブルシューティングを行うには、次の CLI コマンドを使用します。
1. コントローラのすべてのアクセス ポイント グループのリストを表示するには、次のコマンドを入力します。
2. アクセス ポイント グループに割り当てられている各 WLAN の BSSID を表示するには、次のコマンドを入力します。
show ap wlan { 802.11a | 802.11b } Cisco_AP
3. アクセス ポイント グループに対して有効になっている WLAN の数を表示するには、次のコマンドを入力します。
show ap config { 802.11a | 802.11b } Cisco_AP
...
Station Configuration
...
4. アクセス ポイント グループのデバッグを有効または無効にするには、次のコマンドを入力します。
debug group { enable | disable }
802.1X 認証を使用した Web リダイレクトの設定
802.1X 認証が正常に完了した後に、ユーザを特定の Web ページにリダイレクトするように WLAN を設定できます。Web リダイレクトを設定して、ユーザにネットワークへの部分的または全面的なアクセス権を与えることができます。
条件付き Web リダイレクト
条件付き Web リダイレクトを有効にすると、802.1X 認証が正常に完了した後に、ユーザは条件付きで特定の Web ページにリダイレクトされます。RADIUS サーバ上で、リダイレクト先のページとリダイレクトが発生する条件を指定できます。条件には、ユーザのパスワードの有効期限が近づいている場合、または使用を継続するためにユーザが料金を支払う必要がある場合などがあります。
RADIUS サーバが Cisco AV ペア「url-redirect」を返す場合、ユーザがブラウザを開くと指定された URL へリダイレクトされます。サーバが Cisco AV ペア「url-redirect-acl」も返す場合は、指定されたアクセス コントロール リスト(ACL)が、このクライアントの事前認証 ACL としてインストールされています。クライアントはこの時点で完全に認証されていないと見なされ、事前認証 ACL によって許可されるトラフィックのみを送信できます。
指定された URL (たとえば、パスワードの変更、請求書の支払い)でクライアントが特定の操作を完了すると、クライアントの再認証が必要になります。RADIUS サーバが 「url-redirect」を返さない場合、クライアントは完全に認証されたと見なされ、トラフィックの送信が許可されます。
(注) 条件付き Web リダイレクト機能は、802.1X または WPA+WPA2 レイヤ 2 セキュリティに対して設定されている WLAN でのみ利用できます。
RADIUS サーバを設定した後は、コントローラ GUI または CLI のいずれかを使用して、コントローラ上で条件付き Web リダイレクトを設定できます。
スプラッシュ ページ Web リダイレクト
スプラッシュ ページ Web リダイレクトを有効にすると、802.1X 認証が正常に完了した後に、ユーザは特定の Web ページにリダイレクトされます。ユーザは、リダイレクト後、ネットワークに完全にアクセスできます。RADIUS サーバでリダイレクト ページを指定できます。RADIUS サーバが Cisco AV ペア「url-redirect」を返す場合、ユーザがブラウザを開くと指定された URL へリダイレクトされます。クライアントは、この段階で完全に認証され、RADIUS サーバが「url-redirect」を返さなくても、トラフィックを渡すことができます。
(注) スプラッシュ ページ Web リダイレクト機能は、802.1X または WPA+WPA2 レイヤ 2 セキュリティに対して設定されている WLAN でのみ利用できます。
RADIUS サーバを設定した後は、コントローラ GUI または CLI のいずれかを使用して、コントローラ上でスプラッシュ ページ Web リダイレクトを設定できます。
RADIUS サーバの設定
(注) 次の手順は、CiscoSecure ACS 固有の手順ですが、その他の RADIUS サーバでも同様の手順を使用します。
ステップ 1 CiscoSecure ACS メイン メニューから、[Group Setup] を選択します。
ステップ 2 [Edit Settings] をクリックします。
ステップ 3 [Jump To] ドロップダウン ボックスから [RADIUS (Cisco IOS/PIX 6.0)] を選択します。図 6-26 に示すウィンドウが表示されます。
ステップ 4 [[009\001] cisco-av-pair] チェックボックスをオンにします。
ステップ 5 [[009\001] cisco-av-pair] 編集ボックスに次の Cisco AV ペアを入力して、ユーザをリダイレクトする URL を指定するか、条件付 Web リダイレクトを設定する場合は、ダイレクトが発生する条件をそれぞれ指定します。
GUI を使用した Web リダイレクトの設定
コントローラの GUI を使用して条件付き Web リダイレクトまたはスプラッシュ ページ Web リダイレクトを設定する手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 必要な WLAN の ID 番号をクリックします。[WLANs > Edit] ページが表示されます。
ステップ 3 [Security] タブおよび [Layer 2] タブを選択して、[WLANs > Edit] ([Security] > [Layer 2])ページを開きます。
ステップ 4 [Layer 2 Security] ドロップダウン ボックスから [802.1X] または [WPA+WPA2] を選択します。
ステップ 5 802.1X または WPA+WPA2 に対して任意の追加パラメータを設定します。
ステップ 6 [Layer 3] タブを選択して、[WLANs > Edit] ([Security] > [Layer 3])ページを開きます(図 6-27を参照)。
図 6-27 [WLANs > Edit] ([Security] > [Layer 3])ページ
ステップ 7 [Layer 3 Security] ドロップダウン ボックスから [None] を選択します。
ステップ 8 [Web Policy] チェックボックスをオンにします。
ステップ 9 条件付き Web リダイレクトまたはスプラッシュ ページ Web リダイレクトを有効化するオプションとして、[Conditional Web Redirect] または [Splash Page Web Redirect] のいずれかを選択します。デフォルトでは、両方のパラメータが無効になっています。
ステップ 10 ユーザをコントローラ外部のサイトにリダイレクトする場合、[Preauthentication ACL] ドロップダウン リストから RADIUS サーバ上で設定された ACL を選択します。
ステップ 11 [Apply] をクリックして、変更を適用します。
ステップ 12 [Save Configuration] をクリックして、変更を保存します。
CLI を使用した Web リダイレクトの設定
コントローラの CLI を使用して条件付き Web リダイレクトまたはスプラッシュ ページ Web リダイレクトを設定する手順は、次のとおりです。
ステップ 1 条件付き Web リダイレクトを有効または無効にするには、次のコマンドを入力します。
config wlan security cond-web-redir {enable | disable} wlan_id
ステップ 2 スプラッシュ ページ Web リダイレクトを有効または無効にするには、次のコマンドを入力します。
config wlan security splash-page-web-redir {enable | disable} wlan_id
ステップ 3 設定を保存するには、次のコマンドを入力します。
ステップ 4 特定の WLAN の Web リダイレクト機能の状態を表示するには、次のコマンドを入力します。
WLAN ごとのアカウンティング サーバの無効化
この項では、WLAN 上のすべてのアカウンティング サーバを無効にする手順について説明します。アカウンティング サーバを無効にすると、すべてのアカウンティング動作が無効となり、コントローラが WLAN に対するデフォルトの RADIUS サーバにフォールバックしなくなります。
RADIUS 認証サーバのすべてのアカウンティング サーバを無効にする手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 変更する WLAN の ID 番号をクリックします。[WLANs > Edit] ページが表示されます。
ステップ 3 [Security] タブおよび [AAA Servers] タブを選択して、[WLANs > Edit] ([Security] > [AAA Servers])ページを開きます(図 6-28を参照)。
図 6-28 [WLANs > Edit] ([Security] > [AAA Servers])ページ
ステップ 4 Accounting Servers の [Enabled] チェックボックスをオフにします。
ステップ 5 [Apply] をクリックして、変更を適用します。
ステップ 6 [Save Configuration] をクリックして、変更を保存します。
WLAN ごとのカバレッジ ホールの検出の無効化
この項では、WLAN でカバレッジ ホールの検出を無効にする手順について説明します。
カバレッジ ホールの検出は、コントローラでグローバルに有効になっています。詳細は、「カバレッジ ホールの検出と修正」および「GUI を使用したカバレッジ ホールの検出の設定」を参照してください。
ソフトウェア リリース 5.2 以降では、WLAN ごとに カバレッジ ホールの検出を無効にできます。WLAN でカバレッジ ホールの検出を無効にした場合、カバレッジ ホールの警告はコントローラに送信されますが、カバレッジ ホールを解消するためのそれ以外の処理は行われません。この機能については、ゲストのネットワーク接続時間は短く、モビリティが高いと考えられるようなゲスト WLAN に有用です。
GUI を使用した WLAN でのカバレッジ ホールの検出の無効化
コントローラの GUI を使用して WLAN でカバレッジ ホールの検出を無効にする手順は、次のとおりです。
ステップ 1 [WLANs] を選択して、[WLANs] ページを開きます。
ステップ 2 変更する WLAN のプロファイル名をクリックします。[WLANs > Edit] ページが表示されます。
ステップ 3 [Advanced] タブを選択して、[WLANs > Edit] ([Advanced])ページを開きます(図 6-29を参照)。
図 6-29 [WLANs > Edit] ([Advanced])ページ
ステップ 4 [Coverage Hole Detection Enabled] チェックボックスをオフにします。
ステップ 5 [Apply] をクリックして、変更を適用します。
ステップ 6 [Save Configuration] をクリックして、変更を保存します。
CLI を使用した WLAN でのカバレッジ ホールの検出の無効化
コントローラの CLI を使用して WLAN でカバレッジ ホールの検出を無効にする手順は、次のとおりです。
ステップ 1 WLAN でカバレッジ ホールの検出を無効にするには、次のコマンドを入力します。
config wlan chd wlan_id disable
ステップ 2 設定を保存するには、次のコマンドを入力します。
ステップ 3 特定の WLAN のカバレッジ ホールの検出ステータスを表示するには、次のコマンドを入力します。
NAC アウトオブバンド統合の設定
Cisco NAC アプライアンス(Cisco Clean Access (CCA)とも呼ばれます)は、ネットワーク管理者がユーザにネットワークへの接続を許可する前に、有線および無線経由のユーザ、リモートのユーザおよびそのマシンを認証、承認、評価、感染修復するNetwork Admission Control(NAC)製品です。Cisco NAC アプライアンスは、マシンがセキュリティ ポリシーに準拠しているかどうかを判別し、脆弱性を修復してから、ネットワークへのアクセスを許可します。NAC アプライアンスは、インバンド モードとアウトオブバンド モードの 2 つのモードで利用できます。お客様は、必要ならば両方のモードを導入して、それぞれが特定のタイプのアクセスを担当するようにすることもできます。たとえば、インバンドで無線接続ユーザをサポートし、アウトオブバンドで有線接続ユーザを担当するといった構成も可能です。
コントローラの 5.1 以前のソフトウェア リリースでは、コントローラはインバンド モードでのみ NAC アプライアンスと統合します。この場合、NAC アプライアンスはデータ パス内になければなりません。インバンド モードでは、各認証場所で(たとえば、各ブランチで、またはコントローラごとに)、NAC アプライアンスが必要であり、すべてのトラフィックが NAC 適用ポイントを通過する必要があります。コントローラのソフトウェア リリース 5.1 以降では、コントローラはアウトオブバンド モードで NAC アプライアンスと統合できます。この場合、NAC アプライアンスは、クライアントが解析およびクリーニングされるまでデータ パスに保持されます。アウトオブバンド モードでは NAC アプライアンスのトラフィック負荷が削減されるので、NAC 処理の集中化が可能になります。
コントローラ上に NAC アウトオブバンド機能を実装するには、WLAN またはゲスト LAN 上で NAC のサポートを有効にしてから、この WLAN またはゲスト LAN を、検疫 VLAN(信頼できない VLAN)およびアクセス VLAN(信頼できる VLAN)で設定されたインターフェイスにマッピングする必要があります。クライアントは、アソシエートしてレイヤ 2 認証を完了すると、アクセス VLAN サブネットから IP アドレスを取得するが、クライアントの状態は Quarantine となります。NAC アウトオブバンド機能の導入中は、コントローラが接続されたレイヤ 2 スイッチと NAC アプライアンスとの間でのみ検疫 VLAN が許可されること、および NAC アプライアンスが一意の検疫 - アクセス VLAN マッピングで設定されていることを確認します。クライアントのトラフィックは、NAC アプライアンスにトランクされた検疫 VLAN に渡されます。ポスチャ検証が終了すると、クライアントは修復のための処置を実行するように促されます。クリーニングが完了すると、NAC アプライアンスはコントローラを更新してクライアントの状態を Quarantine から Access へ変更します。図 6-30 に NAC アウトオブバンド統合の例を示します。
図 6-30 では、コントローラとスイッチとの間のリンクをトランクとして設定することにより、検疫 VLAN(110)とアクセス VLAN(10)を有効にしています。レイヤ 2 スイッチ上では、検疫トラフィックが NAC アプライアンスにトランクされ、アクセス VLAN トラフィックがレイヤ 3 スイッチに直接送信されます。NAC アプライアンス上の検疫 VLAN に到達するトラフィックは、静的なマッピング設定に基づいてアクセス VLAN にマップされます。
この項の手順を実行することにより、コントローラの GUI または CLI のいずれかを使用して NAC アウトオブバンド統合を設定できます。
NAC アウトオブバンド統合の使用に関するガイドライン
NAC アウトオブバンド統合を使用する場合は、次のガイドラインに従ってください。
• NAC アプライアンスは最大 3,500 のユーザをサポートし、コントローラは最大 5,000 のユーザをサポートします。したがって、複数の NAC アプライアンスの導入を必要とする場合があります。
• NAC アウトオブバンド統合には、CCA のソフトウェア リリース 4.5 以降が必要です。
• NAC アプライアンスでは静的な VLAN マッピングがサポートされているため、コントローラ上で設定されているインターフェイスごとに一意の検疫 VLAN を設定する必要があります。たとえば、コントローラ 1 で 110 という検疫 VLAN を設定し、コントローラ 2 で 120 という検疫 VLAN を設定します。ただし、2 つの WLAN またはゲスト LAN は、同じ分散システム インターフェイスを使用している場合、ネットワーク内に導入された NAC アプライアンスが 1 つならば、同じ検疫 VLAN を使用する必要があります。NAC アプライアンスは、一意の検疫 - アクセス VLAN マッピングをサポートします。
• セッションの失効に基づくポスチャ再評価の場合、NAC アプライアンスと WLAN の両方にセッション タイムアウトを設定し、WLAN でのセッションの失効が NAC アプライアンスでの失効より大きいことを確認します。
• オープン WLAN でセッション タイムアウトが設定されると、Quarantine 状態にあるクライアントのタイムアウトは NAC アプライアンスのタイマーによって判定されます。Web 認証を使用する WLAN においてセッションがタイムアウトすると、クライアントはコントローラから認証解除されるので、ポスチャ検証を再度実行する必要があります。
• NAC アウトオブバンド統合がサポートされるのは、WLAN が Hybrid REAP の中央スイッチングを行うように設定されている場合だけです。Hybrid REAP のローカル スイッチングを行うように設定されている WLAN での使用はサポートされていません。
(注) Hybrid-REAP の詳細は、 を参照してください。
• アクセス ポイント グループ VLAN 上で NAC を有効にする場合は、WLAN で NAC をまず有効にする必要があります。アクセス ポイント グループ VLAN では、NAC を有効または無効にすることができます。WLAN で NAC を無効にすることに決めた場合は、アクセス ポイント グループ VLAN でも NAC を必ず無効にします。
• NAC アウトオブバンド統合は、WLAN AAA Override 機能では使用できません。
• レイヤ 2 およびレイヤ 3 認証はすべて、検疫 VLAN で実行されます。外部 Web 認証を使用するには、外部 Web サーバからの HTTP トラフィックおよび外部 Web サーバへの HTTP トラフィックを許可するとともに、検疫 VLAN でのリダイレクト URL を許可するように NAC アプライアンスを設定する必要があります。
(注) 設定手順については、Cisco NAC アプライアンス設定ガイドを参照してください。http://www.cisco.com/en/US/products/ps6128/products_installation_and_configuration_guides_list.html
GUI を使用した NAC アウトオブバンド統合の設定
コントローラの GUI を使用して NAC アウトオブバンド統合を設定する手順は、次のとおりです。
ステップ 1 動的インターフェイスに検疫 VLAN を設定する手順は、次のとおりです。
a. [Controller] > [Interfaces] の順に選択して、[Interfaces] ページを開きます。
b. [New] をクリックして、新たに動的インターフェイスを作成します。
c. [Interface Name] フィールドに、「quarantine」など、このインターフェイスの名前を入力します。
d. [VLAN ID] フィールドでは、アクセス VLAN ID にゼロ以外の値(「10」など)を入力してください。
e. [Apply] をクリックして、変更を適用します。[Interfaces > Edit] ページが表示されます(図 6-31 を参照)。
図 6-31 [Interfaces > Edit] ページ
f. [Quarantine] チェックボックスをオンにして、検疫 VLAN ID としてゼロ以外の値(「110」など)を入力します。
(注) ネットワーク全体で一意の 検疫 VLAN を設定することをお勧めします。同じモビリティ グループ内に複数のコントローラが設定されており、すべてのコントローラのアクセス インターフェイスが同じサブネット内にある場合、ネットワークに NAC アプリケーションが 1 つだけならば、同じ検疫 VLAN を保持する必要があります。同じモビリティ グループ内に複数のコントローラが設定されており、すべてのコントローラのアクセス インターフェイスが別々のサブネット内にある場合、ネットワークに NAC アプリケーションが 1 つだけならば、別々の検疫 VLAN を保持する必要があります。
g. このインターフェイスの残りのフィールド(IP アドレス、ネットマスク、デフォルト ゲートウェイなど)を設定します。
ステップ 2 WLAN またはゲスト LAN で NAC アウトオブバンド サポートを設定する手順は、次のとおりです。
a. [WLANs] を選択して、[WLANs] ページを開きます。
b. 必要な WLAN またはゲスト LAN の ID 番号をクリックします。[WLANs > Edit] ページが表示されます。
c. [Advanced] タブを選択して、[WLANs > Edit] ([Advanced])ページを開きます(図 6-32 を参照)。
図 6-32 [WLANs > Edit] ([Advanced])ページ
d. この WLAN またはゲスト LAN に対して NAC アウトオブバンド サポートを設定するには、[NAC State] チェックボックスをオンにします。NAC アウトオブバンドのサポートを無効にするには、チェックボックスをオフ(デフォルト値)のままとします。
ステップ 3 特定のアクセス ポイント グループに対して NAC アウトオブバンド サポートを設定する手順は、次のとおりです。
a. [WLANs] > [Advanced] > [AP Groups] の順に選択して、[AP Groups] ページを開きます (図 6-33 を参照)。
b. 目的のアクセス ポイント グループの名前をクリックします。
c. [WLANs] タブを選択して、[AP Groups > Edit] ([WLANs])ページを開きます。
d. [Add New] をクリックして、このアクセス ポイント グループに WLAN を割り当てます。[Add New] のセクションがページ上部に表示されます(図 6-34を参照)。
図 6-34 [AP Groups > Edit] ([WLAN])ページ
e. [WLAN SSID] ドロップダウン ボックスから、この WLAN の SSID を選択します。
f. [Interface Name] ドロップダウン ボックスから、アクセス ポイント グループをマップするインターフェイスを選択します。NAC アウトオブバンドのサポートを有効にする場合は、検疫 VLAN を選択します。
g. このアクセス ポイント グループに対して NAC アウトオブバンドのサポートを有効にするには、[NAC State] チェックボックスをオンにします。NAC アウトオブバンドのサポートを無効にするには、チェックボックスをオフ(デフォルト値)のままとします。
h. [Add] をクリックして、この WLAN をアクセス ポイント グループに追加します。 この WLAN が、このアクセス ポイント グループに割り当てられている WLAN のリストに表示されます。
(注) この WLAN をアクセス ポイント グループから削除する場合は、カーソルをこの WLAN の青のドロップダウン矢印の上に置いて、[Remove] を選択します。
ステップ 4 [Save Configuration] をクリックして、変更を保存します。
ステップ 5 クライアントの現在の状態(Quarantine または Access)を表示する手順は、次のとおりです。
a. [Monitor] > [Clients] を選択して、[Clients] ページを開きます。
b. 目的のクライアントの MAC アドレスをクリックして、[Clients > Detail] ページを開きます。NAC 状態が、[Security Information] のセクションに表示されます。
(注) クライアントがプロービングを行っている場合、クライアントが WLAN にまだアソシエートされていない場合、またはクライアントがレイヤ 2 認証を完了できない場合、クライアントの状態は「Invalid」として表示されます。
CLI を使用した NAC アウトオブバンド統合の設定
コントローラ CLI を使用して NAC アウトオブバンド統合を設定する手順は次のとおりです。
ステップ 1 動的インターフェイスに対して検疫 VLAN を設定するには、次のコマンドを入力します。
config interface quarantine vlan interface_name vlan_id
(注) コントローラ上のインターフェイスごとに一意の検疫 VLAN を設定する必要があります。
(注) インターフェイスで検疫 VLAN を無効にするには、VLAN ID に 0 を入力します。
ステップ 2 WLAN またはゲスト LAN に対して NAC アウトオブバンド サポートを有効または無効にするには、次のコマンドを入力します。
config { wlan | guest-lan } nac { enable | disable } { wlan_id | guest_lan_id }
ステップ 3 特定のアクセス ポイント グループに対して NAC アウトオブバンド サポートを有効または無効にするには、次のコマンドを入力します。
config wlan apgroup nac { enable | disable } group_name wlan_id
ステップ 4 変更を保存するには、次のコマンドを入力します。
ステップ 5 NAC 状態など、WLAN またはゲスト LAN の構成を表示するには、次のコマンドを入力します。
show { wlan wlan_ id | guest-lan guest_lan_id }
...
ステップ 6 クライアントの現在の状態(Quarantine または Access)を表示するには、次のコマンドを入力します。
show client detailed client_mac
Client's NAC state.................................. QUARANTINE
(注) クライアントがプロービングを行っている場合、クライアントが WLAN にまだアソシエートされていない場合、またはクライアントがレイヤ 2 認証を完了できない場合、クライアントの状態は「Invalid」として表示されます。
フィードバック