はじめに
このドキュメントでは、AireOSワイヤレスLANコントローラ(WLC)のモビリティグループについて説明し、よく寄せられる質問(FAQ)を通じて情報を提供します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
表記法
ドキュメント表記の詳細は、『シスコテクニカルティップスと表記法』を参照してください。
背景説明
モビリティグループは、Cisco Unified Wireless LAN環境に適用される概念です。
Q.モビリティグループとは何ですか。
A.モビリティグループとは、ネットワーク内にあり、同じモビリティグループ名を持つワイヤレスLANコントローラ(WLC)のグループのことです。これらのWLCは、クライアントデバイスのコンテキストと状態、WLCのロード情報を動的に共有でき、相互にデータトラフィックを転送できるため、コントローラ間のワイヤレスLANローミングとコントローラの冗長性が実現します。詳細については、『Cisco Wireless LAN Controllerコンフィギュレーションガイド、リリース8.10』の「モビリティグループ」セクションを参照してください。
Q. モビリティグループの制限事項
A.モビリティグループの制限事項については、『Cisco Wireless LAN Controllerコンフィギュレーションガイド、リリース8.10』の「モビリティグループの設定」の章の「ガイドラインと制限事項」のセクションを参照してください。
Q. モビリティ グループの前提要件はどのようなものですか。
A.モビリティグループにコントローラを追加する前に、グループに含まれるすべてのコントローラについて特定の要件が満たされていることを確認する必要があります。要件のリストについては、「モビリティ グループの設定」の「前提条件」セクションを参照してください。
Q. WLCでモビリティグループを設定する方法
A.モビリティグループは手動で設定します。同じモビリティ グループに属するワイヤレス LAN コントローラ(WLC)の IP アドレスと MAC アドレスは、WLC ごとに個々に設定されます。モビリティ グループは、CLI または GUI のいずれでも設定できます。CLIおよびGUIの設定の詳細な手順については、『モビリティグループのGUIおよびCLIの設定』を参照してください。
Q. Prime Infrastructureでモビリティグループを設定する方法
A.モビリティグループは、Prime Infrastructure(PI)でも設定できます。この方法は、多数の WLC を導入する際に便利です。WCSでモビリティグループを設定する方法の詳細については、『Cisco Prime Infrastructure 3.10ユーザガイド』の「モビリティグループの設定」セクションを参照してください。
Q. 複数のモビリティグループでWLCを設定できますか。
A.いいえ。ワイヤレスLANコントローラ(WLC)は、1つのモビリティグループでのみ設定できます。
Q. APは、現在関連付けられているモビリティグループとは異なるモビリティグループに属するWLCに加入できますか。
A. あります。デフォルトでは、WLCがダウンすると、LAPがフェールオーバー用に設定されている場合、このWLCに登録されているAPは同じモビリティグループの別のWLCにフェールオーバーします。ただし、バックアップコントローラサポートが設定されている場合は、モビリティグループ外の任意のWLCを使用でき、アクセスポイントはモビリティグループ外のコントローラにもフェールオーバーします。詳細については、『N+1ハイアベイラビリティ導入ガイド』を参照してください。
Q.モビリティメッセージはWLC間でどのように交換されますか。
A.コントローラは他のメンバコントローラにモビリティメッセージを送信し、それによってクライアントにサブネット間モビリティを提供します。モビリティメッセージは、ユニキャストメッセージまたはマルチキャストメッセージとして送信できます。この場合、モビリティメッセージの1つのコピーだけが、モビリティグループ内のすべてのWLCに到達するために送信されます。
モバイルアナウンスメッセージは、まず同じグループ内で送信され、次にリスト内の他のグループに送信されます。
Q. WLC 間のモビリティ通信のトラブルシューティングを行うためのコマンドはありますか。
A.ワイヤレスLANコントローラ(WLC)では、モビリティpingテストを使用してモビリティ通信環境をテストできます。このテストを使用して、ゲスト WLC を含むモビリティ グループのメンバー間の接続を検証できます。次の 2 つの ping テストが利用できます。
同じモビリティ グループ内で WLC が設定されており、モビリティ ping を使用して WLC に対して ping を実行できることを確認してください。
詳細については、『Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.10』の「モビリティ ping テストの実行」を参照してください。
Q. モビリティ グループに含めることができるコントローラの数はいくつですか。
A.モビリティグループには、任意のタイプのWLCを24台まで含めることができます。モビリティ グループでサポートされるアクセス ポイントの数は、そのグループの WLC の数とタイプによって決まります。
たとえば、コントローラが6000個のアクセスポイントをサポートする場合、このようなコントローラを24個含むモビリティグループでは、最大144,000個のアクセスポイントがサポートされます(24 X 6000 = 144,000アクセスポイント)。
異なるモビリティ グループ内にアンカーできるモビリティ アンカーに使用されるモビリティ リストには、異なるモビリティ グループのモビリティ メンバーを追加できます。このリストには最大 72 のメンバーを含めることができます。また、このリストに含めることができる 1 つのモビリティ グループのメンバーの数は 24 までです。
モビリティリストでは、次のモビリティグループとメンバの組み合わせが許可されます。
-
3つのモビリティグループ(各グループに24人のメンバー)
-
12のモビリティグループ(各グループに6人のメンバー)
-
24のモビリティグループ(各グループに3人のメンバー)
-
72のモビリティグループがあり、各グループに1人のメンバーが含まれる
Q.モビリティ リストとは何ですか。特定のコントローラのモビリティ リストに含めることができるコントローラの数はいくつですか。
A.モビリティリストとは、1つのコントローラ上に設定されたコントローラのグループで、異なるモビリティグループのメンバを指定するものです。コントローラが各モビリティリストに含まれている場合、コントローラはモビリティグループ間で通信でき、クライアントは異なるモビリティグループ内のアクセスポイント間でローミングできます。このセクションの例では、コントローラ 1 はコントローラ 2 または 3 と通信できますが、コントローラ 2 とコントローラ 3 はそれぞれコントローラ 1 だけと通信し、相互には通信できません。クライアントは同様に、コントローラ 1 とコントローラ 2 の間またはコントローラ 1 とコントローラ 3 の間でローミングを行うことができますが、コントローラ 2 とコントローラ 3 の間でローミングを行うことはできません。
Example:
Controller 1 Controller 2 Controller 3
Mobility group: A Mobility group: B Mobility group: C
Mobility list: Mobility list: Mobility list:
Controller 1 (group A) Controller 1 (group A) Controller 1 (group A)
Controller 2 (group B) Controller 2 (group B) Controller 3 (group C)
Controller 3 (group C)
WLCは、コントローラのモビリティリストで最大72台のコントローラをサポートし、複数のモビリティグループ間でシームレスにローミングします。シームレスなローミングにより、クライアントはすべてのモビリティグループでIPアドレスを維持します。ただし Cisco Centralized Key Management(CCKM)と Proactive Key Caching(PKC)はモビリティ グループ内のローミングでのみサポートされています。ローミング中にクライアントがモビリティグループの境界を越えると、クライアントは完全に認証されますが、IPアドレスは維持され、レイヤ3ローミングのためにEtherIPトンネリングが開始されます。
Q. WLC間で交換されるモビリティメッセージを保護または暗号化する方法
A.ワイヤレスLANコントローラ(WLC)間で交換されるモビリティメッセージを保護するために、CAPWAP DTLSプロトコルによってデータが暗号化されるセキュアリンクを、アンカーと外部コントローラの間で確立できます。このセキュリティ保護されたリンクは、暗号化されたモビリティトンネルと呼ばれます。
暗号化されたモビリティトンネルがイネーブル状態の場合、データトラフィックは暗号化され、コントローラはEoIPではなくUDPポート16667を使用してデータトラフィックを送信します。
このため、config mobility secure-mode enable コマンドを実行します。
ファイアウォールを使用している場合は、UDP ポート 16667 がオープンしていることを確認してください。
このモードが有効であることを確認するため、show mobility summary コマンドの出力でモビリティ プロトコル ポートを確認してください。
ポート 16667 はセキュア モード(暗号化)であることを示します。ポート 16666 は非セキュア モード(暗号化なし)であることを示します。
Q.暗号化されたモビリティトンネルを有効にするための制限事項
A.暗号化されたモビリティトンネルを有効にする制限事項については、『Cisco Wireless LAN Controllerコンフィギュレーションガイド、リリース8.10』の「暗号化されたモビリティトンネルの制限事項」を参照してください。
Q.モビリティアンカーとは
A.モビリティアンカーは、ゲストトンネリングまたは自動アンカーモビリティとも呼ばれ、WLAN(特にゲストWLAN)に属するすべてのクライアントトラフィックが、その特定のWLANのアンカーとして設定されている事前定義されたWLCまたはコントローラセットにトンネリングされる機能です。この機能は、クライアントを特定のサブネットに限定し、ユーザ トラフィックのコントロールを強化する場合に役立ちます。この機能の詳細については『Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.10』の「オート アンカー モビリティの設定」を参照してください。
Q. RF グループとモビリティ グループの違いは何ですか。
A.
モビリティ グループ:
無線周波数(RF)グループ:
Q. NATデバイスの背後に1つ以上のコントローラがある場合、モビリティグループはWLC間で機能しますか。
A. あります。これは、送信元コントローラについての IP アドレス情報が、モビリティ メッセージ ペイロードで伝送されるためです。この IP アドレスは、IP ヘッダーの送信元 IP アドレスにより検証されます。この動作により、ネットワークアドレス変換(NAT)デバイスがネットワークに導入されると、IPヘッダーの送信元IPアドレスが変更されるため、問題が発生します。このため、ゲスト WLAN 機能では、NAT デバイス経由でルーティングされるモビリティ パケットは、IP アドレスの不一致によりドロップされます。
WLCでは、ソースコントローラのMACアドレスを使用するようにモビリティグループのルックアップが変更されます。送信元IPアドレスはNATデバイスで作成されたマップによって変更されるため、要求を行うコントローラのIPアドレスを取得するための応答が送信される前に、モビリティグループデータベースが検索されます。これは、要求を生成するコントローラの MAC アドレスで実行されます。
NATが有効になっているネットワークでモビリティグループを設定する場合は、コントローラ管理インターフェイスのIPアドレスではなく、NATデバイスからコントローラに送信されるIPアドレスを入力します。
また、PIXなどのファイアウォールを使用する場合は、次のポートがファイアウォールで開いていることを確認します。
詳細は、『NAT デバイスでのモビリティ グループの使用』を参照してください。
関連情報
フィードバック