ダイナミックVLAN割り当てのRADIUSサーバとWLCの設定

ダウンロード オプション

  • PDF     (1.1 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.1 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.9 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2012 年 9 月 24 日
Document ID:71683

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、ダイナミック VLAN 割り当ての概念について説明します。このドキュメントでは、ワイヤレス LAN(WLAN)クライアントを特定の VLAN に動的に割り当てるようにワイヤレス LAN コントローラ(WLC)および RADIUS サーバを設定する方法について説明します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • WLC および Lightweight アクセス ポイント(LAP)に関する基本的な知識があること

  • AAA サーバに関する実務的な知識があること

  • ワイヤレス ネットワークとワイヤレスのセキュリティ問題に関する全般的な知識があること

  • Lightweight AP Protocol(LWAPP; Lightweight AP プロトコル)に関する基本的な知識があること

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • ファームウェア リリース 5.2 が稼動している Cisco 4400 WLC

  • Cisco 1130 シリーズ LAP

  • ファームウェア リリース 4.4 が稼動している Cisco 802.11a/b/g ワイヤレス クライアント アダプタ

  • バージョン 4.4 が稼動している Cisco Aironet Desktop Utility(ADU)

  • バージョン 4.1 が稼動している CiscoSecure Access Control Server(ACS)

  • Cisco 2950 シリーズ スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

RADIUS サーバによるダイナミック VLAN 割り当て

一般的な WLAN システムでは、Service Set Identifier(SSID)(コントローラの用語では WLAN)に関連付けられたすべてのクライアントに適用されるスタティックなポリシーが各 WLAN に存在します。この方法は強力ですが、異なる QoS ポリシーやセキュリティ ポリシーを継承するために各クライアントを異なる SSID に関連付ける必要があるので、さまざまな制約があります。

一方、Cisco WLAN ソリューションでは、アイデンティティ ネットワーキングがサポートされています。この場合、ネットワーク上で 1 つの SSID のみをアドバタイズすることにより、特定のユーザはユーザ クレデンシャルに基づいて異なる QoS ポリシーやセキュリティ ポリシーを継承できるようになります。

ダイナミック VLAN 割り当ては、ユーザが入力したクレデンシャルに基づいてワイヤレス ユーザを特定の VLAN に割り当てる機能です。ユーザを特定のVLANに割り当てるこの作業は、CiscoSecure ACSなどのRADIUS認証サーバによって処理されます。たとえば、この機能を利用すると、キャンパス ネットワーク内を移動するワイヤレス ホストを同じ VLAN に割り当てることができます。

したがって、クライアントがコントローラに登録済みの LAP への関連付けを試みると、LAP から RADIUS サーバにユーザのクレデンシャルが渡されて検証されます。認証に成功すると、RADIUS サーバからユーザに特定の Internet Engineering Task Force(IETF)アトリビュートが渡されます。これらの RADIUS アトリビュートにより、ワイヤレス クライアントに割り当てられる VLAN ID が決定されます。ユーザはこの事前設定済みの VLAN ID に常に割り当てられるので、クライアントの SSID(WLC の用語では WLAN)は無視されます。

VLAN ID の割り当てに使用される RADIUS ユーザ アトリビュートは次のとおりです。

  • IETF 64(Tunnel Type):これを VLAN に設定します。

  • IETF 65(Tunnel Medium Type):これを 802 に設定します。

  • IETF 81(Tunnel Private Group ID):これを VLAN ID に設定します。

VLAN ID は 12 ビットで、1 ~ 4094 の値(両端を含む)を取ります。Tunnel-Private-Group-IDは文字列型であるため、RFC2868 でIEEE 802.1Xで使用するように定義されているため、VLAN IDの整数値は文字列としてエンコードされます。これらのトンネル アトリビュートが送信される際には、Tag フィールドの値を設定する必要があります。

RFC2868 のセクション 3.1 で述べられているように、 Tag フィールドは 1 オクテットの長さを持ち、同じトンネルを参照する同じパケット内の属性をグループ化する手段を提供することを目的としています。このフィールドで有効な値は、0x01 ~ 0x1F(両端を含む)です。Tag フィールドを使用しない場合は、このフィールドをゼロ(0x00)に設定する必要があります。 すべての RADIUS 属性の詳細は、RFC 2868 を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

ネットワーク図

このドキュメントでは、次のネットワーク セットアップを使用します。

dynamicvlan-config-1.gif

この図で使用されているコンポーネントの設定の詳細は、次のとおりです。

  • ACS(RADIUS)サーバの IP アドレスは 172.16.1.1 です。

  • WLC の管理インターフェイス アドレスは 172.16.1.30 です。

  • WLC の AP マネージャ インターフェイス アドレスは 172.16.1.31 です。

  • DHCPサーバアドレス172.16.1.1は、LWAPPにIPアドレスを割り当てるために使用されます。コントローラの内部 DHCP サーバは、ワイヤレス クライアントに IP アドレスを割り当てる目的に使用されます。

  • VLAN10 および VLAN11 は、この設定全体を通じて使用されます。RADIUS サーバにより user1 は VLAN10 に割り当てられ、user2 は VLAN11 に割り当てられるように設定されています。

    注意:このドキュメントでは、user1に関連するすべての構成情報のみが表示されます。user2に関するこのドキュメントで説明されている手順と同じ手順を実行してください。

  • このドキュメントでは、セキュリティ メカニズムとして 802.1x と LEAP を使用します。

    注:WLANを保護するために、EAP-FASTやEAP-TLS認証などの高度な認証方式を使用することを推奨します。このドキュメントでは、説明を簡単にするため、LEAP を使用しています。

コンフィギュレーション

このドキュメントでは、設定を開始する前に LAP が WLC にすでに登録されていることが前提となっています。詳細は、『ワイヤレス LAN コントローラと Lightweight アクセス ポイントの基本設定例』を参照してください。必要な登録手順については、『ワイヤレス LAN コントローラ(WLC)への Lightweight AP(LAP)の登録』を参照してください。

設定手順

この設定は、次の 4 つのカテゴリに分類されます。

  1. RADIUS サーバの設定

  2. 複数の VLAN を使用するためのスイッチの設定

  3. WLC の設定

  4. Wireless Client Utility の設定

RADIUS サーバの設定

設定には次の手順が必要です。

RADIUS サーバでの WLC の AAA クライアントの設定

この手順では、WLC から RADIUS サーバにユーザ クレデンシャルを渡せるように、RADIUS サーバで AAA クライアントとして WLC を追加する方法について説明します。

次のステップを実行します。

  1. ACS の GUI で、[Network Configuration] をクリックします。

  2. [AAA Clients] フィールドの下にある [Add Entry] セクションをクリックします。

  3. AAA クライアントの IP アドレスとキーを入力します。

    ここで入力する IP アドレスは、WLC の管理インターフェイスの IP アドレスと一致している必要があります。

    ここで入力するキーは、[セキュリティ] ウィンドウで WLC に対して設定されているキーと一致している必要があります。これは AAA クライアント(WLC)と RADIUS サーバの間の通信で使用される秘密キーです。

  4. [Authenticate Using] フィールドで、認証タイプとして [RADIUS (Cisco Airespace)] を選択します。

    dynamicvlan-config-2.gif

RADIUS サーバでのダイナミック VLAN 割り当てに使用するユーザと RADIUS(IETF)アトリビュートの設定

この手順では、RADIUS サーバのユーザと、それらのユーザに VLAN ID を割り当てるための RADIUS(IETF)アトリビュートを設定する方法について説明します。

次のステップを実行します。

  1. ACS の GUI で、[User Setup] をクリックします。

  2. [User Setup] ウィンドウで、[User] フィールドにユーザ名を入力し、[Add/Edit] をクリックします。

    dynamicvlan-config-3.gif

  3. [Edit] ページで、図に示すように必要なユーザ情報を入力します。

    dynamicvlan-config-4.gif

    User Setup セクションで入力したパスワードと、ユーザ認証時にクライアント側で入力するパスワードは一致している必要があります。

  4. [Edit] ページを下にスクロールして、[IETF RADIUS Attributes] フィールドを探します。

  5. [IETF RADIUS Attributes] フィールドで、3 つのトンネル アトリビュートの横にあるチェック ボックスにチェックマークを付け、図に示すようにアトリビュート値を設定します。

    dynamicvlan-config-5.gif

    注:ACSサーバの初期設定では、IETF RADIUS属性が表示されない場合があります。

    1. IETF アトリビュートを有効にするために、ユーザ設定ウィンドウで [Interface Configuration] > [RADIUS (IETF)] の順に選択します。

    2. 次に、アトリビュート 64、65、および 81 の [User] 列と [Group] 列のチェック ボックスにチェックマークを付けます。

      dynamicvlan-config-6.gif

      注:RADIUSサーバがクライアントを特定のVLANに動的に割り当てるため、RADIUSサーバのIETF 81(Tunnel-Private-Group-ID)フィールドで設定されたVLAN-IDがWLCに上に上にに存在します。

    3. RADIUS サーバでユーザごとの設定を有効にするために、[Interface Configuration] > [Advanced Options] の順に選択し、[Per User TACACS+/RADIUS] アトリビュート チェック ボックスをオンにします。

    4. また、認証プロトコルとして LEAP を使用するので、図に示すように RADIUS サーバの [System Configuration] ウィンドウで LEAP が有効になっていることを確認します。

      dynamicvlan-config-7.gif

ダイナミック VLAN 割り当て用の Cisco Airespace VSA アトリビュートによる ACS の設定

ACS の最新バージョンでは、Cisco Airespace [VSA (Vendor-Specific)] アトリビュートを使用し、ACS のユーザ設定に基づいて、認証に成功したユーザを(VLAN ID ではなく)VLAN インターフェイス名に割り当てます。これを実現するには、このセクションで説明する手順を実行する必要があります。

注:このセクションでは、ACS 4.1バージョンを使用してCisco Airespace VSA属性を設定します。

Cisco Airespace VSA アトリビュート オプションを使用した ACS グループの設定

次のステップを実行します。

  1. ACS 4.1 の GUI で、ナビゲーション バーから [Interface Configuration] をクリックします。次に、Cisco Airespace アトリビュート オプションを設定するために、[Interface Configuration] ページで [RADIUS (Cisco Airespace)]を選択します。

  2. [RADIUS (Cisco Airespace)] ウィンドウで、[User Edit] ページで表示するために、[Aire-Interface-Name] の横の [User] チェック ボックス(必要に応じて [Group] チェック ボックス)をオンにします。次に [Submit] をクリックします。

    dynamicvlan-config-8.gif

  3. user1 の Edit ページに移動します。

  4. [User Edit] ページで、[Cisco Airespace RADIUS Attributes] セクションまで下にスクロールします。[Aire-Interface-Name] アトリビュートの横のチェック ボックスにチェックマークを付け、ユーザ認証が成功した場合に割り当てるダイナミック インターフェイスの名前を指定します。

    次の例では、ユーザを admin VLAN に割り当てています。

    dynamicvlan-config-9.gif

  5. [Submit] をクリックします。

複数の VLAN を使用するためのスイッチの設定

複数の VLAN がスイッチを通過できるようにするには、次のコマンドを発行して、コントローラに接続されたスイッチ ポートを設定する必要があります。

  1. Switch(config-if)#switchport mode trunk

  2. Switch(config-if)#switchport trunk encapsulation dot1q

注:デフォルトでは、ほとんどのスイッチはトランクポートを介してスイッチ上で作成されたすべてのVLANを許可します。

これらのコマンドは、Catalyst オペレーティング システム(CatOS)スイッチによって異なります。

スイッチに有線ネットワークが接続されている場合は、有線ネットワークに接続されたスイッチ ポートに対しても同じ設定を適用できます。これにより、有線ネットワークとワイヤレス ネットワークの同じ VLAN 間での通信が可能になります。

注:このドキュメントでは、VLAN間通信については説明しません。これはこのドキュメントの範囲外です。VLAN 間ルーティングを行うには、レイヤ 3 スイッチまたは VLAN およびトランキングが適切に設定された外部ルータが必要になります。VLAN 間ルーティングの設定に関して説明しているドキュメントはいくつかあります。

WLC の設定

設定には次の手順が必要です。

WLC での認証サーバの詳細設定

WLC と RADIUS サーバの間でクライアントの認証やその他のトランザクションを行えるように、WLC を設定する必要があります。

次のステップを実行します。

  1. コントローラの GUI で、[Security] をクリックします。

  2. RADIUS サーバの IP アドレスと、RADIUS サーバと WLC の間で使用する共有秘密キーを入力します。

    この共有秘密キーは、RADIUS サーバの [Network Configuration] > [AAA Clients] > [Add Entry] で設定されたキーと一致している必要があります。WLC のウィンドウの例を次に示します。

    dynamicvlan-config-10.gif

ダイナミック インターフェイス(VLAN)の設定

この手順では、WLC でダイナミック インターフェイスを設定する方法について説明します。このドキュメントですでに説明したように、RADIUS サーバの Tunnel-Private-Group ID 属性で指定された VLAN ID が WLC 内にも存在している必要があります。

この例では、user1 の Tunnel-Private-Group ID は RADIUS サーバ上で 10(VLAN =10)に設定されています。user1 の [User Setup] ウィンドウの [IETF RADIUS Attributes] セクションを参照してください。

この例では、WLC でも同じダイナミック インターフェイス(VLAN=10)が設定されていることを確認できます。ダイナミック インターフェイスの設定は、コントローラの GUI の Controller > Interfaces ウィンドウで行います。

dynamicvlan-config-11.gif

  1. このウィンドウで [Apply]をクリックします。

    このダイナミック インターフェイス(この例では VLAN 10)の [Edit] ウィンドウが開きます。

  2. このダイナミック インターフェイスの IP アドレスとデフォルト ゲートウェイを入力します。

    dynamicvlan-config-12.gif

    注:このドキュメントではコントローラの内部DHCPサーバを使用するため、このウィンドウのプライマリDHCPサーバフィールドはWLC自体の管理インターフェイスを指しています。ワイヤレス クライアントに対する DHCP サーバとしては、外部 DHCP サーバ、ルータ、または RADIUS サーバ自体を使用することもできます。その場合、プライマリ DHCP サーバのフィールドには、DHCP サーバとして使用するデバイスの IP アドレスを指定します。詳細については、DHCP サーバのマニュアルを参照してください。

  3. [Apply] をクリックします。

    これで WLC にダイナミック インターフェイスが設定されます。同様の方法で、WLC に複数のダイナミック インターフェイスを設定することもできます。ただし、クライアントに割り当てる特定の VLAN の VLAN ID が RADIUS サーバ内にも存在している必要があります。

WLAN(SSID)の設定

この手順では、WLC で WLAN を設定する方法について説明します。

次のステップを実行します。

  1. 新規の WLAN を作成するには、コントローラの GUI で [WLANs] > [New] の順に選択します。

    新規の WLAN のウィンドウが表示されます。

  2. WLAN ID と WLAN SSID 情報を入力します。

    WLAN SSID には任意の名前を入力できます。この例では、WLAN SSID として VLAN10 を使用しています。

    dynamicvlan-config-13.gif

  3. [Apply] をクリックして WLAN SSID10 の [Edit] ウィンドウに移動します。

    dynamicvlan-config-14.gif

    dynamicvlan-config-15.gif

    通常、ワイヤレス LAN コントローラでは、WLAN に属する特定のユーザが特定の VLAN に割り当てられるように、各 WLAN が特定の VLAN(SSID)にマッピングされます。通常、このマッピングは [WLAN SSID] ウィンドウの [Interface Name] フィールドで行います。

    dynamicvlan-config-16.gif

    この例では、認証の成功後にワイヤレス クライアントを特定の VLAN に割り当てるタスクは RADIUS サーバによって処理されます。WLAN は WLC 上で特定のダイナミック インターフェイスにマッピングされている必要はありません。WLC で WLAN がダイナミック インターフェイスにマッピングされている場合でも、RADIUS サーバはこのマッピングを無視し、その WLAN からアクセスしているユーザを、RADIUS サーバでそのユーザの [Tunnel-Group-Private-ID] フィールドに指定されている VLAN に割り当てます。

  4. WLC の設定を RADIUS サーバで無視するために、[Allow AAA Override] チェック ボックスをオンにします。

  5. 設定されている WLAN(SSID)ごとにコントローラで Allow AAA Override を有効にします。

    dynamicvlan-config-17.gif

    AAA Override を有効にしていて、クライアントの AAA とコントローラの WLAN の認証パラメータが競合する場合は、クライアント認証は AAA(RADIUS)サーバで実行されます。この認証の一環として、オペレーティング システムにより、AAA サーバから返された VLAN にクライアントが移動されます。これはコントローラ インターフェイス設定で事前に定義されています。

    たとえば、VLAN 2 に割り当てられた管理インターフェイスが企業 WLAN でメインとして使用されていて、AAA Override により VLAN 100 へのリダイレクトが返された場合は、VLAN 100 が割り当てられている物理ポートが使用できない場合でも、オペレーティング システムにより、すべてのクライアント通信が VLAN 100 にリダイレクトされます。AAA Override を無効にすると、コントローラの認証パラメータ設定がすべてのクライアント認証においてデフォルトで使用され、コントローラ WLAN にクライアント固有の認証パラメータがない場合は、AAA サーバのみによって認証が実行されます。

Wireless Client Utility の設定

このドキュメントでは、ユーザ プロファイルを設定するためのクライアント ユーティリティとして ADU を使用します。さらに、この設定では認証プロトコルとして LEAP を使用します。このセクションで説明するとおりに ADU を設定してください。

新規のプロファイルを作成するには、ADU のメニューバーで [Profile Management] > [New] の順に選択します。

例のクライアントは、SSID VLAN10の一部として設定されています。次の図は、クライアントにユーザプロファイルを設定する方法を示しています。

dynamicvlan-config11.gif

dynamicvlan-config13.gif

dynamicvlan-config12.gif

確認

ADU で設定したユーザ プロファイルをアクティブにします。設定に基づいて、ユーザ名とパスワードの入力を求められます。ADU に対して Windows ユーザ名とパスワードを認証に使用するように指示することもできます。クライアントが認証を受けるためのオプションはいくつか用意されています。これらのオプションは、作成したユーザ プロファイルの [Security] > [Configure] タブで設定できます。

上の例では、RADIUS サーバで指定されているとおりに、user1 は VLAN10 に割り当てられます。

この例では、クライアントの認証と RADIUS サーバによる VLAN への割り当てを実行するために、クライアント側からの次のユーザ名とパスワードを使用します。

  • ユーザ名 = user1

  • パスワード = user1

この例は、SSID VLAN10 がどのようにユーザ名とパスワードの入力を求められるかを示しています。この例では、ユーザ名とパスワードがすでに入力されています。

dynamicvlan-config14.gif

認証と確認に成功すると、成功のステータス メッセージが返されます。

次に、送信された RADIUS アトリビュートに従ってクライアントが適切な VLAN に割り当てられたことを確認する必要があります。これを行うには、次の手順を実行します。

  1. コントローラの GUI で、[Wireless] > [AP] の順に選択します。

  2. [Access Points (APs)] ウィンドウの左隅にある [Clients] をクリックします。

    クライアントの統計情報が表示されます。

    dynamicvlan-config-18.gif

  3. このクライアントの IP アドレスや、このクライアントが割り当てられている VLAN などの詳細を確認するには、[Details] をクリックします。

    この例では、クライアント user1 の詳細が表示されています。

    dynamicvlan-config-19.gif

    このウィンドウでは、RADIUS サーバに設定された RADIUS アトリビュートに従って、このクライアントが VLAN10 に割り当てられたかどうかを確認できます。

    注:ダイナミックVLAN割り当てがCisco Airespace VSA属性の設定に基づいている場合は、クライアントの詳細ページでは、この例に従ってインターフェイス名がadminとして表示されます。

ここでは、設定が正常に機能しているかどうかを確認します。

  • debug aaa events enable:このコマンドを使用すると、コントローラを介して RADIUS アトリビュートがクライアントに正常に転送されたことを確認できます。デバッグ出力に次の部分が含まれている場合は、RADIUS アトリビュートの転送に成功したことを意味しています。

    Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[0]: 
attribute 64, vendorId 0, valueLen 4
Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[1]: 
attribute 65, vendorId 0, valueLen 4
Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[2]: 
attribute 81, vendorId 0, valueLen 3
Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[3]: 
attribute 79, vendorId 0, valueLen 32
Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 Received EAP Attribute 
(code=2, length=32,id=0) for mobile 00:40:96:ac:e6:57
Fri Jan 20 02:25:08 2006: 00000000: 02 00 00 20 11 01 00 18  
4a 27 65 69 6d e4 05 f5  
........J'eim...00000010: d0 98 0c cb 1a 0c 8a 3c    
........44 a9 da 6c 36 94 0a f3  <D..l6...
Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[4]: 
attribute 1, vendorId 9, valueLen 16
Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[5]: 
attribute 25, vendorId 0, valueLen 28
Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[6]: 
attribute 80, vendorId 0, valueLen 16
Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 Tunnel-Type 16777229 
should be 13 for STA 00:40:96:ac:e6:57
Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 Tunnel-Medium-Type 16777222 
should be 6 for STA 00:40:96:ac:e6:57
Fri Jan 20 02:30:00 2006: 00:40:96:ac:e6:57 Station 00:40:96:ac:e6:57 
setting dot1x reauth timeout = 1800

  • 次のコマンドも使用できます。

    • debug dot1x aaa enable

    • debug aaa packets enable

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。

注:ダイナミックVLAN割り当ては、WLCからのWeb認証では機能しません。

関連情報

更新履歴

改定 発行日 コメント
1.0
01-Dec-2013
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています