無線ドメイン サービス(WDS)の設定

ダウンロード オプション

  • PDF     (894.8 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (725.7 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Updated: 2009 年 10 月 19 日
Document ID:44720

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、無線ドメイン サービス(WDS)の概念について説明します。 また、1 つのアクセス ポイントまたは Wireless LAN Services Module(WLSM; ワイヤレス LAN サービス モジュール)を WDS として設定し、別の 1 つ以上のアクセス ポイントをインフラストラクチャ アクセス ポイントとして設定する方法についても説明します。このドキュメントの手順では、正常に機能し、クライアントによる WDS AP またはインフラストラクチャ AP への関連付けを可能にする WDS を説明します。このドキュメントの目的は、高速セキュア ローミングを設定するための基礎を確立すること、または Wireless LAN Solutions Engine(WLSE)をネットワークに導入して、その機能を使用できるようにすることです。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • ワイヤレス ネットワークとワイヤレスのセキュリティ問題に関する全般的な知識

  • 現行の Extensible Authentication Protocol(EAP)セキュリティ方式に関する知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco IOS® ソフトウェアが稼動するアクセス ポイント(AP)

  • Cisco IOS ソフトウェア リリース 12.3(2)JA2 以降

  • Catalyst 6500 シリーズ ワイヤレス LAN サービス モジュール

このマニュアルの情報は、特定のラボ環境に置かれたデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな状態(デフォルト)および BVI1 インターフェイスの IP アドレスを使用して設定作業を始めています。そのため、Cisco IOS ソフトウェアの GUI または Command Line Interface(CLI; コマンド ライン インターフェイス)からユニットにアクセスできます。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

ワイヤレス ドメイン サービス

WDS は Cisco IOS ソフトウェアのアクセス ポイント用の新機能で、Catalyst 6500 シリーズ ワイヤレス LAN サービス モジュールの基盤となっています。WDS は次のような機能を有効にするコア機能です。

  • 高速セキュア ローミング

  • Wireless LAN Solution Engine(WLSE)とのやり取り

  • 無線管理

WDS と WLSM に参加するアクセス ポイント間の関係を確立しなければ、他の WDS ベースの機能は動作しません。WDS の 1 つの目的は、認証サーバでのユーザ クレデンシャルの検証を不要にして、クライアントの認証に要する時間を削減することです。

WDS を使用するためには、1 つのアクセス ポイントまたは WLSM を WDS として指定する必要があります。WDS のアクセス ポイントは、WDS のユーザ名とパスワードを使用した認証を行って、認証サーバと関係を確立する必要があります。認証サーバとしては、外部 RADIUS サーバまたは WDS アクセス ポイントのローカル RADIUS サーバ機能のどちらかを使用できます。WLSM はサーバの認証は必要としませんが、認証サーバとの関係は確立しておく必要があります。

インフラストラクチャ アクセス ポイントと呼ばれる他のアクセス ポイントは WDS と通信します。インフラストラクチャ アクセス ポイントは、登録の前に、自分自身の認証を WDS で完了しておく必要があります。このインフラストラクチャの認証は、WDS のインフラストラクチャ サーバ グループによって定義されています。

クライアントの認証は、WDS の 1 つ以上のクライアント サーバ グループによって定義されています。

クライアントがインフラストラクチャ アクセス ポイントへの関連付けを試みると、インフラストラクチャ アクセス ポイントから WDS にユーザ クレデンシャルが渡されて検証されます。そのクレデンシャルが WDS に初めて渡された場合は、WDS は認証サーバにクレデンシャルの検証を依頼します。次に WDS はそのクレデンシャルをキャッシュに保存し、ユーザが再び認証を試みたときには、認証サーバに依頼しなくてもよいようにします。再認証の例には次のものがあります。

  • 鍵の再作成

  • ローミング

  • ユーザがクライアント デバイスを起動した場合

RADIUS ベースの EAP 認証プロトコルは WDS を使用したトンネリングが可能です。

  • Lightweight EAP(LEAP)

  • Protected EAP(PEAP)

  • EAP-Transport Layer Security(EAP-TLS)

  • EAP-Flexible Authentication through Secure Tunneling(EAP-FAST)

MAC アドレスの認証も、外部認証サーバまたは WDS アドレス ポイントのローカル リストのどちらかにトンネリングできます。WLSM は MAC アドレスの認証をサポートしていません。

WDS とインフラストラクチャ アクセス ポイントは、Wireless LAN Context Control Protocol(WLCCP)というマルチキャスト プロトコルで通信しています。 これらのマルチキャスト メッセージはルーティングできないので、WDS とそれに関連付けられたインフラストラクチャ アクセス ポイントは同じ IP サブネット内および同じ LAN セグメント内に存在する必要があります。WDS と WLSE の間では、WLCCP が TCP と User Datagram Protocol(UDP)をポート 2887 で使用しています。WDS と WLSE が異なるサブネットにあると、Network Address Translation(NAT; ネットワーク アドレス変換)などのプロトコルではパケットを変換できません。

WDS デバイスとして設定された AP は、最大 60 の参加アクセス ポイントをサポートしています。WDS デバイスとして設定された統合サービス ルータ(ISR)は 100 台までの参加アクセス ポイントに対応しています。さらに、WLSM 装備のスイッチは 600 台までの参加アクセス ポイントおよび 240 までのモビリティ グループに対応しています。1 つのアクセス ポイントで 16 までのモビリティ グループに対応しています。

注:インフラストラクチャAPでは、WDSデバイスと同じバージョンのIOSを実行することを推奨します。旧バージョンの IOS を使用する場合、アクセス ポイントが WDS デバイスの認証に失敗する場合があります。さらに、最新バージョンの IOS を使用することを推奨します。最新バージョンの IOS は、ワイヤレス製品のダウンロード ページ(登録ユーザ専用)にあります。

WDS デバイスの役割

WDS デバイスは、ワイヤレス LAN 上で次のようないくつかのタスクを実行します。

  • WDS 機能をアドバタイズして、ご使用のワイヤレス LAN に最適な WDS デバイスを選びます。WDS 用にワイヤレス LAN を設定するときに、1 台のデバイスをメイン WDS 候補に設定し、1 台以上の追加のデバイスをバックアップ WDS 候補に設定します。メイン WDS デバイスがオフラインになると、バックアップ WDS デバイスのいずれかがその役割を引き継ぎます。

  • サブネット内のすべてのアクセス ポイントを認証して、それぞれのアクセス ポイントとのセキュリティ保護された通信チャネルを確立します。

  • サブネット内のアクセス ポイントから無線データを収集し、データを集約して、ネットワーク上の WLSE デバイスに転送します。

  • 参加アクセス ポイントに関連するすべての 802.1x 認証済みクライアント デバイスのパススルーの役割を果たします。

  • 動的な鍵作成を使用するサブネット内のすべてのクライアント デバイスを登録して、それらのセッション鍵を確立して、セキュリティ クレデンシャルをキャッシュします。クライアントが別のアクセス ポイントにローミングするときに、WDS デバイスはそのクライアントのセキュリティ クレデンシャルを新しいアクセス ポイントに転送します。

WDS デバイスを使用するアクセス ポイントの役割

ワイヤレス LAN 上のアクセス ポイントは、次の動作において WDS デバイスと連携します。

  • 最新の WDS デバイスを検出して追跡し、WDS アドバタイズメントをワイヤレス LAN にリレーする。

  • WDS デバイスを認証し、WDS デバイスに対して、セキュリティ保護された通信チャネルを確立する。

  • 関連クライアント デバイスを WDS デバイスに登録する。

  • 無線データを WDS デバイスにレポートする。

コンフィギュレーション

WDS では、整理されたモジュラ形式で設定が表示されます。各コンセプトは、それよりも前のコンセプトの上に構築されています。中心となる内容を明確に示すために、パスワード、リモート アクセス、無線設定など、他の設定項目は WDS から除外されています。

このセクションでは、この文書で説明する機能を設定するために必要な情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。

アクセス ポイントを WDS として指定

まず最初にアクセス ポイントを WDS として指定します。認証サーバとやり取りするのは WDS アクセス ポイントだけです。

アクセス ポイントを WDS として指定するために、次の手順を実行します。

  1. WDS アクセス ポイントで認証サーバを設定するには、[Security] > [Server Manager] の順に選択して、[Server Manager] タブに進みます。

    1. [Corporate Servers] の下で、[Server] フィールドに認証サーバの IP アドレスを入力します。

    2. 共有秘密とポートを指定します。

    3. 適切な認証タイプを使用して、[Default Server Priorities] の下で [Priority 1] フィールドをそのサーバ IP アドレスに設定します。

      WDS_01.gif

      または、CLI で次のコマンドを実行します。

      WDS_AP#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

WDS_AP(config)#aaa group server radius rad_eap


WDS_AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646

WDS_AP(config-sg-radius)#exit

WDS_AP(config)#aaa new-model

WDS_AP(config)#aaa authentication login eap_methods group rad_eap


WDS_AP(config)#radius-server host 10.0.0.3 auth-port 1645
 acct-port 1646 key labap1200ip102

 !--- This command appears over two lines here due to space limitations.


WDS_AP(config)#end

WDS_AP#write memory

  2. 次の手順は、WDS アクセス ポイントを認証サーバで認証、認定、およびアカウンティング(AAA)クライアントとして設定することです。このためには、WDS アクセス ポイントを AAA クライアントとして追加する必要があります。次のステップを実行します。

    注:このドキュメントでは、認証サーバとしてCisco Secure ACSサーバを使用します。

    1. Cisco Secure Access Control Server (ACS)では、この作業は [Network Configuration] ページで行います。WDS アクセス ポイント用に次の属性を定義します。

      • [名前(Name)]

      • IP アドレス

      • 共有秘密

      • 認証方式

        • RADIUS Cisco Aironet

        • RADIUS Internet Engineering Task Force(IETF)

      [Submit] をクリックします。

      ACS 以外の他の認証サーバについては、メーカーのマニュアルを参照してください。

      WDS_02.gif

    2. また、Cisco Secure ACS では、ACS が LEAP の認証を行うように、[System Configuration] - [Global Authentication Setup] ページで必ず設定してください。まず、[System Configuration] をクリックして、次に [Global Authentication Setup] をクリックします。

      WDS-14.gif

    3. 次に、LEAP の設定までページを下にスクロールします。ボックスにチェックマークを付けると、ACS で LEAP の認証が行われます。

      WDS-15.gif

  3. WDS アクセス ポイントで WDS 設定を行うには、WDS アクセス ポイントで [Wireless Services] > [WDS] を選択し、[General Set-Up] タブをクリックします。次のステップを実行します。

    1. [WDS - Wireless Domain Services - Global Properties] で、[Use this AP as Wireless Domain Services] をオンにします。

    2. これが最初の設定なので、[Wireless Domain Services Priority] の値を 254 程度の値に設定します。1 つ以上のアクセス ポイントまたはスイッチを WDS を提供する候補として設定できます。最も優先度の高いデバイスが WDS を提供します。

      WDS_03.gif

      または、CLI で次のコマンドを実行します。

      WDS_AP#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

WDS_AP(config)#wlccp wds priority 254 interface BVI1

WDS_AP(config)#end

WDS_AP#write memory

  4. [Wireless Services] > [WDS] を選択し、[Server Groups] タブに進みます。

    1. 他のアクセス ポイント、インフラストラクチャ グループを認証するサーバ グループ名を定義します。

    2. 前に設定した認証サーバに [Priority 1] を設定します。

    3. [Use Group For: Infrastructure Authentication] ラジオ ボタンをクリックします。

    4. 設定を関連 Service Set Identifier(SSID; サービスセット ID)に適用します。

      WDS_04.gif

      または、CLI で次のコマンドを実行します。

      WDS_AP#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

WDS_AP(config)#wlccp authentication-server infrastructure
method_Infrastructure


WDS_AP(config)#aaa group server radius Infrastructure


WDS_AP(config-sg-radius)#server 10.0.0.3 auth-port 1645
acct-port 1646

WDS_AP(config-sg-radius)#exit

WDS_AP(config)#aaa authentication login method_Infrastructure
group Infrastructure


WDS_AP(config)#end

WDS_AP#write memory


!--- Some of the commands in this table appear over two lines here due to !--- space limitations. Ensure that you enter these commands in a single line.

  5. WDS のユーザ名とパスワードを自分の認証サーバのユーザとして設定します。

    Cisco Secure ACS の場合は、WDS のユーザ名とパスワードを定義する [User Setup] ページでこの作業を行います。ACS 以外の他の認証サーバについては、メーカーのマニュアルを参照してください。

    注:WDSユーザは、多くの権限と権限が割り当てられたグループに含めないでください。WDSでは限られた認証しか必要ありません。

    WDS_05.gif

  6. [Wireless Services] > [AP] の順に選択し、[Participate in SWAN infrastructure] オプションで [Enable] をクリックします。次に WDS のユーザ名とパスワードを入力します。

    WDS のメンバに指定したすべてのデバイスについて、WDS のユーザ名とパスワードを認証サーバに指定しておく必要があります。

    WDS_06.gif

    または、CLI で次のコマンドを実行します。

    WDS_AP#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

WDS_AP(config)#wlccp ap username wdsap password wdsap

WDS_AP(config)#end

WDS_AP#write memory

  7. [Wireless Services] > [WDS] を選択します。WDS アクセス ポイントの [WDS Status] タブで、WDS アクセス ポイントが [WDS Information] エリアにアクティブ状態と表示されているか確認します。アクセス ポイントが [AP Information] エリアに [REGISTERED] と表示される必要があります。

    1. アクセス ポイントが [REGISTERED] または [ACTIVE] と表示されない場合は、認証サーバでエラーや認証の失敗がないか確認してください。

    2. アクセス ポイントが正しく登録されたら、WDS のサービスを使用するためにインフラストラクチャ アクセス ポイントを追加します。

      WDS_07.gif

      または、CLI で次のコマンドを実行します。

      WDS_AP#show wlccp wds ap

    MAC-ADDR       IP-ADDR          STATE         LIFETIME
0005.9a38.429f    10.0.0.102      REGISTERED      261

WDS_AP#show wlccp ap

 WDS = 0005.9a38.429f, 10.0.0.102
 state = wlccp_ap_st_registered
 IN Authenticator = 10.0.0.102
 MN Authenticator = 10.0.0.102

WDS_AP#

      注:クライアント認証にはプロビジョニングが行われていないため、クライアントの関連付けをテストできません。

WLSM を WDS として指定

このセクションでは、WLSM を WDS として設定する方法を説明します。認証サーバとやり取りするデバイスは WDS だけです。

注:これらのコマンドは、Supervisor Engine 720ではなくWLSMのenableコマンドプロンプトで発行します。WLSMのコマンドプロンプトにアクセスするには、Supervisor Engine 720のenableコマンドプロンプトで次のコマンドを発行します。

c6506#session slot x proc 1

 !--- In this command, x is the slot number where the WLSM resides. 
The default escape character is Ctrl-^, then x.
You can also type 'exit' at the remote prompt to end the session
Trying 127.0.0.51 ... Open


User Access Verification

Username: <username>
Password:  <password>

wlan>enable
Password: <enable password>
wlan#

注:WLSMのトラブルシューティングとメンテナンスをより簡単に行うには、WLSMへのTelnetリモートアクセスを設定します。『Telnet によるリモート アクセスの設定』を参照してください。

WLSM を WDS として指定するには次の操作を行います。

  1. WLSM を WDS として指定するには、WLSM の CLI で次のコマンドを実行して、認証サーバとの関係を確立します。

    wlan#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.
wlan(config)#aaa new-model
wlan(config)#aaa authentication login leap-devices group radius
wlan(config)#aaa authentication login default enable
wlan(config)#radius-server host ip_address_of_authentication_server 
 auth-port 1645 acct-port 1646 

!--- This command needs to be on one line.

wlan(config)#radius-server key shared_secret_with_server

wlan(config)#end
wlan#write memory

    注:WLSMには優先制御はありません。ネットワークに複数の WLSM モジュールがある場合、WLSM では冗長設定を使用してプライマリ モジュールが決定されます。

  2. 認証サーバで WLSM を AAA クライアントとして設定します。

    ACS では、この作業は [Network Configuration] ページで行います。WLSM 用に次の属性を定義します。

    • [名前(Name)]

    • IP アドレス

    • 共有秘密

    • 認証方式

      • RADIUS Cisco Aironet

      • RADIUS IETF

    ACS 以外の他の認証サーバについては、メーカーのマニュアルを参照してください。

    WDS_02.gif

    1. また、Cisco Secure ACS では、ACS が LEAP の認証を行うように、[System Configuration] - [Global Authentication Setup] ページで設定してください。まず、[System Configuration] をクリックして、次に [Global Authentication Setup] をクリックします。

      WDS-14.gif

    2. 次に、LEAP の設定までページを下にスクロールします。ボックスにチェックマークを付けると、ACS で LEAP の認証が行われます。

      WDS-15.gif

  3. 他の AP(インフラストラクチャ サーバ グループ)を認証する方法を WLSM で定義します。

    wlan#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.
wlan(config)#wlccp authentication-server infrastructure leap-devices

wlan(config)#end
wlan#write memory

  4. クライアント デバイス(クライアント サーバ グループ)を認証する方法およびそれらのクライアントがどの EAP タイプを使用するかを WLSM で定義します。

    wlan#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.
wlan(config)#wlccp authentication-server client any leap-devices

wlan(config)#end
wlan#write memory

    注:このステップでは、クライアント認証方式の定義プロセスは不要になります。

  5. Supervisor Engine 720 と WLSM の間に独自の VLAN を定義して、WLSM がアクセス ポイントや認証サーバなどの外部エンティティと通信できるようにします。この VLAN はネットワークのどこでも、この目的以外に使用されることはありません。まず Supervisor Engine 720 にこの VLAN を作成してから、次のコマンドを実行します。

    • スーパーバイザ エンジン 720 の場合:

      c6506#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.
c6506(config)#wlan module slot_number allowed-vlan vlan_number

c6506(config)#vlan vlan_number

c6506(config)#interface vlan vlan_number

c6506(config-if)#ip address ip_address subnet_mask

c6506(config-if)#no shut 
c6506(config)#end
c6506#write memory

    • WLSM の場合:

      wlan#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.
wlan(config)#wlan vlan vlan_number

wlan(config)#ipaddr ip_address subnet_mask

wlan(config)#gateway ip_address_of_vlan_interface_on_Sup720_created_above

wlan(config)#ip route 0.0.0.0 0.0.0.0 

 !--- This is typically the same address as the gateway statement.

wlan(config)#admin
wlan(config)#end
wlan#write memory

  6. 次のコマンドを使用して WLSM の機能を確認します。

    • WLSM の場合:

      wlan#show wlccp wds mobility

LCP link status: up
HSRP state: Not Applicable
Total # of registered AP: 0
Total # of registered MN: 0

Tunnel Bindings:
Network ID    Tunnel IP         MTU     FLAGS
==========  ===============  =========  =====
 
             
                    
             
                     1476  T

Flags: T=Trusted, B=IP Broadcast enabled, N=Nonexistent
wlan#

    • スーパーバイザ エンジン 720 の場合:

      c6506#show mobility status
WLAN Module is located in Slot: 5 (HSRP State: Active) 
LCP Communication status      : up
Number of Wireless Tunnels    : 0
Number of Access Points       : 0
Number of Access Points       : 0

アクセス ポイントをインフラストラクチャとして指定

この時点で、少なくとも 1 つのインフラストラクチャ アクセス ポイントを指定して、WDS に関連付ける必要があります。クライアントはインフラストラクチャ AP に関連付けられます。インフラストラクチャ アクセス ポイントは、WDS アクセス ポイントまたは WLSM にクライアントの認証を要求します。

WDS のサービスを使用するインフラストラクチャ AP を追加するには、次の手順を実行します。

注:この設定は、インフラストラクチャAPにのみ適用され、WDS APには適用されません。

  1. [Wireless Services] > [AP] を選択します。インフラストラクチャ アクセス ポイントで、[Wireless Services] オプションの [Enable] を選択します。次に WDS のユーザ名とパスワードを入力します。

    WDS のメンバとなるすべてのデバイスについて、WDS のユーザ名とパスワードを認証サーバに指定しておく必要があります。

    WDS_08.gif

    または、CLI で次のコマンドを実行します。

    WDS_AP#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Infrastructure_AP(config)#wlccp ap username infrastructureap password infrastructureap

Infrastructure_AP(config)#end

Infrastructure_AP#write memory

  2. [Wireless Services] > [WDS] を選択します。WDS アクセス ポイントの [WDS Status] タブで、新しいインフラストラクチャ アクセス ポイントの [WDS Information] エリアの [State] に [ACTIVE] が表示され、[AP Information] エリアの [State] に [REGISTERED] が表示されます。

    1. アクセス ポイントが [ACTIVE] または [REGISTERED] と表示されない場合は、認証サーバでエラーや認証の失敗がないか確認してください。

    2. アクセス ポイントが [ACTIVE] または [REGISTERED] と表示されたら、クライアント認証方式を WDS に追加します。

      WDS_09.gif

      または、CLI で次のコマンドを実行します。

      WDS_AP#show wlccp wds ap

    MAC-ADDR       IP-ADDR          STATE         LIFETIME
000c.8547.b6c7    10.0.0.108      REGISTERED      194
0005.9a38.429f    10.0.0.102      REGISTERED      76

      または、WLSM で次のコマンドを実行します。

      wlan#show wlccp wds ap 
    MAC-ADDR       IP-ADDR          STATE         LIFETIME
000c.8547.b6c7    10.0.0.108      REGISTERED      194
0005.9a38.429f    10.0.0.102      REGISTERED      76
wlan#

      次に、インフラストラクチャ アクセス ポイントで次のコマンドを実行します。

      Infrastructure_AP#show wlccp ap

 WDS = 0005.9a38.429f, 10.0.0.102
 state = wlccp_ap_st_registered
 IN Authenticator = 10.0.0.102
 MN Authenticator = 10.0.0.102

Infrastructure_AP#

      注:クライアント認証にはプロビジョニングが行われていないため、クライアントの関連付けをテストできません。

クライアントの認証方式の定義

最後に、クライアントの認証方式を定義します。

クライアントの認証方式を追加するには、次の手順を実行します。

  1. [Wireless Services] > [WDS] を選択します。WDS アクセス ポイントの [Server Groups] タブで次の手順を実行します。

    1. クライアント(クライアント グループ)の認証を行うサーバ グループを定義します。

    2. 前に設定した認証サーバに [Priority 1] を設定します。

    3. 該当する認証タイプ(LEAP、EAP、MAC など)を設定します。

    4. 設定を関連する SSID に適用します。

      WDS_10.gif

      または、CLI で次のコマンドを実行します。

      WDS_AP#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

WDS_AP(config)#wlccp authentication-server client eap method_Client

WDS_AP(config)#wlccp authentication-server client leap method_Client

WDS_AP(config)#aaa group server radius Client

WDS_AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646

WDS_AP(config-sg-radius)#exit

WDS_AP(config)#aaa authentication login method_Client group Client

WDS_AP(config)#end

WDS_AP#write memory

      注:例のWDS APは専用であり、クライアントの関連付けは受け付けません。

      注:インフラストラクチャAPは処理する要求をWDSに転送するため、サーバグループ用にインフラストラクチャAPを設定しないでください。

  2. インフラストラクチャ アクセス ポイントまたはアクセス ポイントでは、次のようにします。

    1. [Security] > [Encryption Manager] メニューで、使用する認証プロトコルの要件に応じて、[WEP Encryption] または [Cipher] をクリックします。

      WDS_11.gif

    2. [Security] > [SSID Manager] メニューで、使用する認証プロトコルの要件に応じて、認証方式を選択します。

      WDS_12.gif

  3. この時点で、インフラストラクチャ アクセス ポイントでのクライアントの認証が正常にテストできるようになります。[WDS Status] タブ([Wireless Services] >> [WDS] の順で開いたメニュー項目内)の WDS の AP の [Mobile Node Information] エリアには、クライアントが [REGISTERED] 状態になっていることが表示されます。

    クライアントが表示されない場合は、認証サーバでエラーやクライアントによる認証の失敗がないか確認してください。

    WDS_13.gif

    または、CLI で次のコマンドを実行します。

    WDS_AP#show wlccp wds

      MAC: 0005.9a38.429f, IP-ADDR: 10.0.0.102     , Priority: 254
      Interface BVI1, State: Administratively StandAlone - ACTIVE
      AP Count: 2   , MN Count: 1

WDS_AP#show wlccp wds mn

    MAC-ADDR       IP-ADDR          Cur-AP            STATE
0030.6527.f74a  10.0.0.25       000c.8547.b6c7      REGISTERED

WDS_AP#

    注:認証をデバッグする必要がある場合は、WDS APが認証サーバと通信するデバイスであるため、必ずWDS APでデバッグしてください。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシュート

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。以下では、WDS コマンドの使いやすさをさらに明らかにするために、WDS コマンドに関するよくある質問を示しています。

  • 質問:WDS アクセス ポイントで、次の項目の推奨設定はどのようになりますか。

    • radius-server timeout

    • radius-server deadtime

    • Temporal Key Integrity Protocol(TKIP)Message Integrity Check(MIC)障害ホールドオフ タイム

    • クライアント ホールドオフ タイム

    • EAP または MAC 再認証間隔

    • EAP クライアントのタイムアウト(オプション)

    解答:これらの特別な設定に関してはデフォルト設定のままにし、タイミングに問題がある場合にのみ、これらの設定を使用することを推奨します。

    WDS アクセス ポイントの推奨設定は次のとおりです。

    • radius-server timeout を無効にします。これは、アクセス ポイントが要求を再送信するまでに、RADIUS 要求に対する応答を待つ秒数です。デフォルトは、5 秒です。

    • radius-server deadtime を無効にします。RADIUS は、すべてのサーバが障害とマークされない限り、追加の要求によってスキップされます。

    • TKIP MIC 障害ホールドオフ タイムは、デフォルトで 60 秒で有効になっています。ホールドオフ タイムを有効にしている場合、間隔を秒単位で入力できます。アクセス ポイントが 60 秒以内に 2 つの MIC 障害を検出すると、そのインターフェイスのすべての TKIP クライアントをここで指定したホールドオフ タイムの間、ブロックします。

    • クライアント ホールドオフ タイムは、デフォルトでは、無効にする必要があります。ホールドオフを有効にした場合は、認証失敗後、次の認証要求が処理されるまで、アクセス ポイントが待機する秒数を入力します。

    • EAP または MAC 再認証間隔は、デフォルトでは無効になっています。再認証を有効にした場合、間隔を指定するか、認証サーバによって定められた間隔を受け入れることができます。間隔を指定することを選択する場合、アクセス ポイントが認証されたクライアントに再認証を強制するまで待機する間隔を秒単位で入力します。

    • EAP クライアント タイムアウト(オプション)はデフォルトでは、120 秒です。アクセス ポイントで、ワイヤレス クライアントが EAP 認証要求に応答するまで待機する時間を入力します。

  • 質問:TKIP ホールドオフ タイムについて、100 ms に設定すべきで、60 秒に設定すべきではないと書かれているのを読みました。しかし、1 秒が選択できる最小の値なので、1 秒にしか設定できないと思うのですが。

    解答:TKIP ホールドオフ タイムを増やすことが唯一の解決策になる障害が報告されていない限り、この時間を 100 ms に設定するという特定の推奨事項はありません。1 秒が最小設定です。

  • 質問:次の 2 つのコマンドは何らかの方法でクライアント認証に役立ちますか。また、これらのコマンドは WDS またはインフラストラクチャ アクセス ポイントで必要ですか。

    • radius-server attribute 6 on-for-login-auth

    • radius-server attribute 6 support-multiple

    解答:これらのコマンドは、認証プロセスの役には立たず、WDS またはアクセス ポイントでは不要です。

  • 質問:インフラストラクチャ アクセス ポイントで、アクセス ポイントは WDS から情報を受け取るため、サーバ マネージャやグローバル プロパティの設定は必要ないと思います。次の特定のコマンドのいずれかが、インフラストラクチャ アクセス ポイントに必要ですか。

    • radius-server attribute 6 on-for-login-auth

    • radius-server attribute 6 support-multiple

    • radius-server timeout

    • radius-server deadtime

    解答:インフラストラクチャ アクセス ポイントには、サーバ マネージャやグローバル プロパティは不要です。WDS がこれらのタスクを実行するため、次の設定を行う必要はありません。

    • radius-server attribute 6 on-for-login-auth

    • radius-server attribute 6 support-multiple

    • radius-server timeout

    • radius-server deadtime

    radius-server attribute 32 include-in-access-req format %h 設定はデフォルトのまま残り、必要です。

アクセス ポイントは、レイヤ 2 デバイスです。このため、アクセス ポイントが WDS デバイスの役割を果たすように設定されると、アクセス ポイントはレイヤ 3 モビリティに対応しません。WLSM を WDS デバイスとして設定する場合にのみ、レイヤ 3 モビリティを実現できます。詳細については、『Cisco Catalyst 6500シリーズワイヤレスLANサービスモジュール:Cisco Catalyst 6500 シリーズ ワイヤレス LAN サービス モジュール:ホワイト ペーパー』)を参照してください。

このため、アクセス ポイントを WDS デバイスとして設定する場合は、mobility network-id コマンドを使用しないでください。このコマンドはレイヤ 3 モビリティに適用され、レイヤ 3 モビリティを正しく設定するには、WLSM を WDS デバイスとして設定する必要があります。mobility network-id コマンドを誤って使用すると、次のいくつかの症状が現れます。

  • ワイヤレス クライアントを AP と関連付けることができない。

  • ワイヤレス クライアントをアクセス ポイントに関連付けることはできるが、DHCP サーバから IP アドレスを受け取らない。

  • WLAN 上で音声を展開する場合に、無線電話が認証されない。

  • EAP 認証が実行されない。mobility network-id を設定すると、アクセス ポイントが Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)トンネルを構築して、EAP パケットを転送しようとします。トンネルが確立されない場合、EAP パケットはどこにも転送されません。

  • WDS デバイスとして設定されている AP は想定どおりに機能せず、WDS 設定も機能しない。

    注:Cisco Aironet 1300 AP/ブリッジをWDSマスターとして設定することはできません。1300 AP/ブリッジはこの機能に対応していません。1300 AP/ブリッジは、他のいくつかの AP または WLSM が WDS マスターとして設定されているインフラストラクチャ デバイスとして WDS ネットワークに参加します。

トラブルシューティングのためのコマンド

アウトプット インタープリタ ツール(登録ユーザ専用)(OIT)は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug dot11 aaa authenticator all:クライアントが 802.1x または EAP プロセス経由で関連付け、認証するときに実行するさまざまなネゴシエーションを表示します。このデバッグは Cisco IOS ソフトウェア リリース 12.2(15)JA で導入されました。上記以降のリリースでは、このコマンドが debug dot11 aaa dot1x all に代わるコマンドとして使用されています。

  • debug aaa authentication:汎用 AAA パースペクティブからの認証プロセスを表示します。

  • debug wlccp ap:AP が WDS に加入するときに関わる WLCCP ネゴシエーションを表示します。

  • debug wlccp packet:WLCCP ネゴシエーションに関する詳細情報を表示します。

  • debug wlccp leap-client:インフラストラクチャ デバイスが WDS に加入するときに詳細を表示します。

関連情報

更新履歴

改定 発行日 コメント
1.0
19-Oct-2009
初版

提供

  • siarena
    bsolero

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています