Flex 7500 ワイヤレスブランチコントローラ導入ガイド

ダウンロードオプション

PDF (2.7 MB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (3.0 MB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (5.4 MB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2012 年 12 月 20 日

Document ID:112973

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

Flex 7500ワイヤレスブランチコントローラ導入ガイド

内容

概要

前提条件

要件

使用するコンポーネント

表記法

製品概要

製品仕様

データシート

プラットフォーム機能

Flex 7500 の起動

Flex 7500 のライセンス

AP ベースカウントライセンス

AP アップグレードライセンス

ソフトウェアリリースサポート

サポートされるアクセスポイント

FlexConnect のアーキテクチャ

アクセスポイント制御トラフィックを集中化する利点

クライアントデータトラフィックを分散する利点

FlexConnect の動作モード

WAN 要件

ワイヤレスブランチネットワーク設計

主な設計要件

概要

長所

ブランチネットワーク設計に対処する機能

IPv6 サポート一覧

機能マトリクス

AP グループ

WLC からの設定

要約

FlexConnect グループ

FlexConnect グループの主な目的

WLC からの FlexConnect グループの設定

CLI を使用した確認

FlexConnect VLAN オーバーライド

要約

手順

制限

FlexConnect VLAN に基づく中央スイッチング

要約

手順

制限

FlexConnect ACL

要約

手順

制限

FlexConnect スプリットトンネリング

要約

手順

制限

耐障害性

要約

制限

WLAN ごとのクライアント制限

主な目的

制限

WLC の設定

NCS の設定

ピアツーピアブロッキング

要約

手順

制限

AP 事前イメージのダウンロード

要約

手順

制限

FlexConnect スマート AP イメージアップグレード

要約

手順

制限

FlexConnect モードでの自動変換 AP

手動モード

自動変換モード

ローカルスイッチング WLAN のための FlexConnect WGB/uWGB サポート

要約

手順

制限

Radiusサーバ数の増加のサポート

要約

手順

制限

拡張ローカルモード（ELM）

Flex 7500 のゲストアクセスサポート

NCS からの WLC 7500 の管理

FAQ

概要

このドキュメントでは、Cisco Flex 7500 ワイヤレスブランチコントローラを導入する方法について説明しています。このドキュメントでは、次のことを目的としています。

FlexConnect ソリューションのさまざまなネットワーク要素と、その通信フローについて説明する。
Cisco FlexConnect ワイヤレスブランチソリューションを設計するための、一般的な導入ガイドラインを提供する。
製品に関する情報ベースを支える、7.2.103.0 コードリリースのソフトウェア機能について説明する。

注：7.2より前のFlexConnectはHybrid REAP(HREAP)と呼ばれていました。現在は FlexConnect と呼ばれています。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコテクニカルティップスの表記法』を参照してください。

製品概要

図 1：Cisco Flex 7500

Cisco Flex 7500 シリーズ Cloud Controller は、複数のサイトでのワイヤレスの導入に適した、スケーラビリティの高いブランチオフィス用コントローラです。Cisco Flex 7500 シリーズのコントローラをプライベートクラウドに導入すれば、分散しているブランチオフィスにワイヤレスサービスを拡大し、集中管理できるので、総運用コストが削減されます。

Cisco Flex 7500 シリーズ（図 1）によって、最大 500 ヵ所のブランチオフィスのワイヤレスアクセスポイントを管理でき、IT 管理者は、最大 3000 台のアクセスポイント（AP）と 30,000 のクライアントの設定、管理、およびトラブルシューティングをデータセンターから行うことができます。Cisco Flex 7500 シリーズのコントローラは、セキュアなゲストアクセス、Payment Card Industry（PCI）基準に準拠した不正検出、ブランチ（ローカルでスイッチングが行われる）オフィスでの Wi-Fi による音声およびビデオに対応しています。

この表は、Flex 7500、WiSM2、WLC 5500 コントローラの拡張性の違いを示しています。

拡張性	Flex 7500	WiSM2	WLC 5500
アクセスポイントの総数	6,000	1,000	500
クライアントの総数	64,000	15,000	7,000
最大 FlexConnect グループ	2000	100	100
FlexConnect グループあたりの最大 AP 数	100	25	25
最大 AP グループ数	6000	1,000	500

製品仕様

データシート

http://www.cisco.com/en/US/prod/collateral/wireless/ps6302/ps8322/ps11635/data_sheet_c78-650053.html を参照してください。

プラットフォーム機能

図 2：Flex 7500 の背面図

ネットワークインターフェイスポート

インターフェイスポート	用途
ファストイーサネット	統合管理モジュール（IMM）
ポート 1：1G	WLC サービスポート
ポート 2：1G	WLC リダンダンシーポート（RP）
ポート 1：10G	WLC 管理インターフェイス
ポート 2：10G	WLC バックアップ管理インターフェイスポート（ポート障害）
オプションの Gb イーサネットポート	N/A

注：

2x10Gインターフェイスに対するLAGサポートにより、高速フェールオーバーリンク冗長性を備えたアクティブ – アクティブリンク動作が可能になります。LAGを備えた追加のアクティブな10Gリンクは、コントローラのワイヤレススループットを変更しません。
2x10G インターフェイス
2x10G インターフェイスは、SFP 製品番号 SFP-10G-SR の光ファイバケーブルのみをサポートしています。
スイッチ側 SFP 製品番号 X2-10GB-SR

システム MAC アドレス

ポート 1：10G（管理インターフェイス）	システムまたはベース MAC アドレス
ポート 2：10G（バックアップ管理インターフェイス）	ベース MAC アドレス + 5
ポート 1：1G（サービスポート）	ベース MAC アドレス + 1
ポート 2：1G（リダンダンシーポート）	ベース MAC アドレス + 3

シリアルコンソールリダイレクト

WLC 7500 では、デフォルトでボーレート 9600 でのコンソールのリダイレクトが可能になっており、フロー制御なしの Vt100 端末をシミュレートします。

インベントリ情報

図 3：WLC 7500 コンソール

(Cisco Controller) >show inventory

Burned-in MAC Address............................ E4:1F:13:65:DB:6C
Maximum number of APs supported.................. 2000
NAME: "Chassis"    , DESCR: "Cisco Wireless Controller"
PID: AIR-CT7510-K9,  VID: V01,  SN: KQZZXWL

デスクトップ管理インターフェイス（DMI）テーブルには、サーバハードウェアと BIOS の情報が格納されています。

WLC 7500 は、BIOS のバージョン、PID と VID、およびシリアル番号をインベントリの一部として表示します。

Flex 7500 の起動

ソフトウェアメンテナンス用のシスコブートローダオプションは、シスコの既存のコントローラプラットフォームと同じです。

図 4：起動順序

図 5：WLC 設定ウィザード

注：Flex 7500のブートアップシーケンスは同等であり、既存のコントローラプラットフォームと一貫性があります。最初の起動には、ウィザードを使用した WLC の設定が必要です。

Flex 7500 のライセンス

AP ベースカウントライセンス

AP ベースカウント SKU

300

500

1,000

2000

3,000

6000

AP アップグレードライセンス

AP アップグレード SKU

100

250

500

1,000

ベースカウントとアップグレードカウントを除き、注文、インストール、表示を含むライセンス取得手順全体は、シスコの既存の WLC 5508 と同じです。

ライセンス取得手順全体を網羅している WLC 7.3 コンフィギュレーションガイドを参照してください。

ソフトウェアリリースサポート

Flex 7500 は、WLC コードバージョン 7.0.116.x 以降のみをサポートしています。

サポートされるアクセスポイント

アクセスポイント 1040、1130、1140、1550、3500、3600、2600、1250、1260、1240、OEAP 600、ISR 891、および ISR 881 が Flex 7500 でサポートされます。

FlexConnect のアーキテクチャ

図 6：一般的なワイヤレスブランチトポロジ

FlexConnect は、ブランチオフィスおよびリモートオフィスでの導入に向けた無線ソリューションです。Hybrid REAP ソリューションとも呼びますが、このドキュメントでは FlexConnect と呼びます。

FlexConnect ソリューションを使用すると、お客様は次のことが可能になります。

データセンターからの AP のトラフィックの制御と管理を集中化する。
- 制御トラフィックを図 6 の赤い破線で示します。
各ブランチオフィスでクライアントデータトラフィックを分散させる。
- データトラフィックを図 6 の青、緑、紫の破線で示します。
- 各トラフィックフローは、最も効率の良い方法で最終的な宛先に向かいます。

アクセスポイント制御トラフィックを集中化する利点

1 ヵ所からの監視とトラブルシューティング
管理が容易
データセンターリソースへのセキュアでシームレスなモバイルアクセス
ブランチ設置プランにおける削減
運用費用のさらなる節約

クライアントデータトラフィックを分散する利点

WAN リンクの完全な障害やコントローラの使用不能による運用上のダウンタイムなし（持続性）
WAN リンク障害時のブランチ内でのモビリティの復元力
ブランチの拡張性の向上。最大 100 AP および 250,000 平方フィート（AP あたり 5000平方フィート）まで拡張可能な規模のブランチをサポートします。

Cisco FlexConnect ソリューションは、セントラルクライアントデータトラフィックもサポートしていますが、ゲストデータトラフィックのみに限定することを推奨します。次の表では、データトラフィックが中央のデータセンターでもスイッチングされる非ゲストクライアントのみについての、WLAN L2 セキュリティタイプに対する制限事項を示します。

中央でスイッチングされる非ゲストユーザに対する L2 セキュリティのサポート

WLAN L2 セキュリティ	Type	結果
なし	N/A	許可
WPA + WPA2	802.1x	許可
	CCKM	許可
	802.1x + CCKM	許可
	PSK	許可
802.1x	WEP	許可
スタティック WEP	WEP	許可
WEP + 802.1x	WEP	許可
CKIP		許可

注：これらの認証制限は、データトラフィックがブランチに分散されているクライアントには適用されません。

中央およびローカルでスイッチングされるユーザに対する L3 セキュリティのサポート

WLAN L3セキュリティ	Type	結果
Web 認証	内部	許可
	外部	許可
	カスタマイズ	許可
Web パススルー	内部	許可
	外部	許可
	カスタマイズ	許可
条件付き Web リダイレクト	外部	許可
スプラッシュページ Web リダイレクト	外部	許可

FlexConnect 外部 Webauth の導入の詳細については、『FlexConnect 外部 WebAuth 導入ガイド』を参照してください。

HREAP/FlexConnect AP の状態とデータトラフィックスイッチングオプションの詳細については、『FlexConnect の設定』を参照してください。

FlexConnect の動作モード

FlexConnect のモード	説明
接続中	FlexConnect は、コントローラの背後にある CAPWAP コントロールプレーンが稼働しているとき、つまり WAN リンクが停止していないときに接続モードになります。
スタンドアロン	これに対して、スタンドアロンモードとは、FlexConnect がコントローラに接続されずに稼働しているときの状態です。スタンドアロンモードの FlexConnect AP は、停電や WLC または WAN の障害が発生した場合でも、直近の設定で機能し続けます。

FlexConnect の動作原理の詳細については、『H-Reap / FlexConnect 設計および導入ガイド』を参照してください。

WAN 要件

FlexConnect AP はブランチサイトに導入され、WAN リンクを介してデータセンターから管理されます。最小帯域幅制限である AP あたり 12.8 kbps を満たし、ラウンドトリップ遅延が、データ用の導入の場合は 300 ms を超えず、データと音声の導入の場合は 100 ms を超えないようにすることを強く推奨します。最大伝送単位（MTU）は、500 バイト以上であることが必要です。

導入タイプ	WAN 帯域幅（最小）	WAN RTT 遅延（最大）	ブランチあたりの最大 AP 数	ブランチあたりの最大クライアント数
Data	64 Kbps	300 ms	5	25
データ + 音声	128 kbps	100 ms	5	25
モニタ	64 Kbps	2 秒	5	N/A
Data	640 Kbps	300 ms	50	1,000
データ + 音声	1.44 Mbps	100 ms	50	1,000
モニタ	640 Kbps	2 秒	50	N/A

ワイヤレスブランチネットワーク設計

このドキュメントの残りの部分では、セキュアな分散ブランチネットワークを実装するためのガイドラインとベストプラクティスについて説明します。FlexConnect アーキテクチャは、次の設計要件を満たすワイヤレスブランチネットワークに推奨します。

主な設計要件

最大 100 AP および 250,000 平方フィート（AP あたり 5000平方フィート）まで拡張可能な規模のブランチ
中央での管理とトラブルシューティング
運用上のダウンタイムなし
クライアントベースのトラフィックセグメンテーション
企業リソースに対するシームレスでセキュアなワイヤレス接続
PCI 準拠
ゲストのサポート

図 7：ワイヤレスブランチネットワーク設計

概要

ブランチユーザが、豊富な機能を備え、拡張性が高くセキュアなネットワークサービスを、地理的に離れた複数の場所にまたがって提供するのは、ますます困難かつ高価になっています。お客様を支援するため、シスコは、Flex 7500 を導入することでこれらの課題に対処します。

Flex 7500 ソリューションは、複雑なセキュリティ、管理、設定、トラブルシューティング作業をデータセンター内に仮想化し、それらのサービスを各ブランチに透過的に拡張します。Flex 7500 を使用した導入では、IT 担当者が容易に設定、管理でき、最も重要なことに、容易に拡張できます。

長所

6000 台の AP のサポートによる高い拡張性
FlexConnect Fault Tolerance を使用した高い復元力
FlexConnect（中央およびローカルスイッチング）を使用したトラフィックのセグメンテーションの促進
AP グループと FlexConnect グループを使用した店舗設計の複製による容易な管理。

ブランチネットワーク設計に対処する機能

このガイドの残りのセクションでは、図 7 に示すネットワーク設計を実現するための機能の使用と推奨事項について説明します。

機能

主な機能	ハイライト
AP グループ	複数のブランチサイトを扱うときに、運用と管理が容易になります。また、似たブランチサイトについて設定を柔軟に複製できます。
FlexConnect グループ	FlexConnect グループは、ローカルバックアップ Radius、CCKM/OKC 高速ローミング、ローカル認証の機能を提供します。
耐障害性	ワイヤレスブランチの復元力を高め、運用上のダウンタイムをなくします。
ELM（Adaptive wIPS 用の拡張ローカルモード）	クライアントにサービスを提供するときに、クライアントのパフォーマンスに影響を与えることなく、Adaptive wIPS 機能を提供します。
WLAN ごとのクライアント制限	ブランチネットワーク上のゲストクライアントの総数を制限します。
AP 事前イメージのダウンロード	ブランチをアップグレードするときのダウンタイムを削減します。
FlexConnect における AP の自動変換	ブランチの FlexConnect の AP を自動的に変換するための機能。
ゲストアクセス	シスコの既存のゲストアクセスアーキテクチャを FlexConnect で引き続き使用できます。

IPv6 サポート一覧

機能	中央スイッチング			ローカルスイッチング
機能		5500 / WiSM-2	Flex 7500	5500 / WiSM-2	Flex 7500
IPv6（クライアントモビリティ）	サポート対象		Not Supported	Not Supported	Not Supported
IPv6 RA ガード	サポート対象		サポート対象	サポート対象	サポート対象
IPv6 DHCP ガード	サポート対象		Not Supported	Not Supported	Not Supported
IPv6 ソースガード	サポート対象		Not Supported	Not Supported	Not Supported
RA スロットリングとレート制限	サポート対象		Not Supported	Not Supported	Not Supported
IPv6 ACL	サポート対象		Not Supported	Not Supported	Not Supported
IPv6 クライアント可視性	サポート対象		Not Supported	Not Supported	Not Supported
IPv6 ネイバー探索キャッシング	サポート対象		Not Supported	Not Supported	Not Supported
IPv6 ブリッジング	サポート対象		Not Supported	サポート対象	サポート対象

機能マトリクス

FlexConnect の機能マトリクスについては、『FlexConnect 機能マトリクス』を参照してください。

AP グループ

コントローラで WLAN を作成した後、アクセスポイントグループを使用して WLAN を別々のアクセスポイントに選択的に公開し、ワイヤレスネットワークをより効率的に管理できます。一般的な導入では、WLAN 上のすべてのユーザはコントローラ上の 1 個のインターフェイスにマッピングされます。したがって、その WLAN にアソシエーションされたすべてのユーザは、同じサブネットまたは VLAN 上にあります。ただし、複数のインターフェイス間で負荷を分散したり、アクセスポイントグループを作成して、個々の部門（たとえばマーケティング部門、技術部門、運用部門）などの特定の条件に基づいてユーザグループに負荷を分散できます。さらに、ネットワーク管理を簡素化するために、これらのアクセスポイントグループを別個の VLAN で設定できます。

このドキュメントでは、地理的に離れた場所にまたがる複数の店舗を管理するときに、複数の AP グループを使用してネットワーク管理を単純化します。運用を容易にするために、このドキュメントでは、店舗ごとに 1 つの AP グループを作成して、次の要件を満たします。

ローカル店舗責任者の管理アクセスのための、全店舗にまたがる、中央でスイッチングされる SSID Datacenter。
ハンドヘルドスキャナ用の、全店舗にまたがる、異なる WPA2-PSK キーを持つ、ローカルでスイッチングされる SSID Store。

図 8：AP グループを使用したワイヤレスネットワーク設計リファレンス

WLC からの設定

次のステップを実行します。

[WLANs] > [New] ページで、[Profile Name] フィールドに Store1 と入力し、[SSID] フィールドに store と入力し、[ID] ドロップダウンリストから [17] を選択します。

注：WLAN ID 1 ～ 16はデフォルトグループの一部であり、削除できません。異なる WPA2-PSK を使用した店舗ごとに同じ SSID store を使用するという要件を満たすために、WLAN ID 17 以降を使用する必要があります。というのは、これらはデフォルトグループに属しておらず、各店舗に制限できるからです。
[WLAN] > [Security] で、[Auth Key Mgmt] ドロップダウンリストから [PSK] を選択し、[PSK Format] ドロップダウンリストから [ASCII] を選択して、[Apply] をクリックします。
[WLAN] > [General] をクリックし、セキュリティポリシーの変更内容を確認し、[Status] ボックスをオンにして、WLAN をイネーブルにします。
新しい WLAN プロファイル Store2 についてステップ 1、2、3 を繰り返します。SSID は store、ID は 18 にします。
[Profile Name] を DataCenter、SSID を DataCenter、ID を 1 にして WLAN プロファイルを作成し、イネーブルにします。

注：作成時に、1 ～ 16のWLAN IDは自動的にdefault-ap-groupの一部になります。
[WLAN] の下で、WLAN ID 1、17、および 18 のステータスを確認します。
[WLAN] > [Adavanced] > [AP group] > [Add Group] の順にクリックします。
AP グループ名 Store1 を追加します。これは、WLAN プロファイル Store1 と同じ名前です。[Description] は店舗の場所にします。この例では、店舗の場所として California を使用しています。
入力を終えたら [Add] をクリックします。
[Add Group] をクリックし、[AP Group Name] に Store2、[Description] に New York と入力してグループを作成します。
[Add] をクリックします。
[WLAN] > [Advanced] > [AP Groups] の順にクリックしてグループが作成されたことを確認します。
AP グループ名 Store1 をクリックして、WLAN を追加または編集します。
[Add New] をクリックし、WLAN を選択します。
[WLAN] の下で、[WLAN SSID] ドロップダウンから [WLAN ID 17 store(17)] を選択します。
WLAN ID 17 を選択した後で [Add] をクリックします。
WLAN ID 1 DataCenter(1) について、ステップ 14 ～ 16 を繰り返します。このステップはオプションであり、リモートリソースアクセスを許可する場合のみ必要です。
[WLAN] > [Advanced] > [AP Groups] 画面に戻ります。
AP グループ名 Store2 をクリックして、WLAN を追加または編集します。
[Add New] をクリックし、WLAN を選択します。
[WLAN] の下で、[WLAN SSID] ドロップダウンから [WLAN ID 18 store(18)] を選択します。
WLAN ID 18 を選択した後で [Add] をクリックします。
WLAN ID 1 DataCenter(1) について、ステップ 14 ～ 16 を繰り返します。

注：1つのAPグループに同じSSIDを持つ複数のWLANプロファイルを追加することはできません。

注：APグループへのAPの追加は、このドキュメントでは取り上げませんが、クライアントがネットワークサービスにアクセスするために必要です。

要約

AP グループによりネットワーク管理が簡単になります。
ブランチごとの粒度による容易なトラブルシューティング
柔軟性の向上

FlexConnect グループ

図 9：中央の Dot1X 認証（Flex 7500 がオーセンティケータとして動作）

ほとんどの一般的なブランチ展開では、図9に示すように、クライアント802.1X認証がデータセンターで中央で行われることが容易に予測できます。上記のシナリオは完全に有効であるため、次の問題が発生します。

Flex 7500 が障害になった場合、クライアントはどのようにして 802.1X 認証を行いデータセンターのサービスにアクセスすれば良いのか。
ブランチとデータセンターの間の WAN リンクが障害になった場合、ワイヤレスクライアントは 802.1X 認証をどのようにして行えば良いのか。
WAN 障害の際にブランチのモビリティに影響があるか。
FlexConnect ソリューションではブランチの運用上のダウンタイムがなくなるのか。

FlexConnect グループは、これらの課題に対処することを主な目的としており、そのために作成する必要があります。また、各ブランチサイトを容易に整理できるようになります。これは、各ブランチサイトのすべての FlexConnect アクセスポイントが 1 つの FlexConnect グループに属するためです。

注：FlexConnectグループは、APグループに類似していません。

FlexConnect グループの主な目的

バックアップ RADIUS サーバのフェールオーバー

スタンドアロンモードの FlexConnect アクセスポイントがバックアップ RADIUS サーバに対して完全な 802.1X 認証を実行できるように、コントローラを設定することができます。管理者は、ブランチの復元力を高めるために、プライマリバックアップ RADIUS サーバか、プライマリとセカンダリの両方のバックアップ RADIUS サーバを構成できます。このバックアップサーバが使用されるのは、FlexConnect アクセスポイントがコントローラに接続されていないときだけです。

注：バックアップRADIUSアカウンティングはサポートされていません。

ローカル認証

7.0.98.0 コードリリースの前は、WAN リンクの障害時にクライアントの接続が影響を受けないように、ローカル認証は FlexConnect がスタンドアロンモードの場合のみサポートされていました。7.0.116.0 リリースにより、FlexConnect アクセスポイントが接続モードの場合においても、この機能がサポートされるようになりました。
図 10：中央の Dot1X 認証（FlexConnect AP がオーセンティケータとして動作）

図 10 に示すように、FlexConnect ブランチ AP が Flex 7500 に接続できない場合でも、ブランチクライアントは引き続き 802.1X 認証を実行できます。RADIUS/ACS サーバにブランチサイトから到達可能な限り、ワイヤレスクライアントは、引き続き認証とワイヤレスサービスへのアクセスを行います。言い換えれば、RADIUS/ACS がブランチの中にある場合、クライアントは WAN が停止している間でも認証とワイヤレスサービスへのアクセスを行います。

注：この機能は、FlexConnectバックアップRADIUSサーバ機能と組み合わせて使用できます。FlexConnect グループがバックアップ RADIUS サーバとローカル認証の両方で設定されている場合、FlexConnect アクセスポイントは、まずプライマリバックアップ RADIUS サーバを使用してクライアントの認証を試行します。その後、セカンダリバックアップ RADIUS サーバを試行し（プライマリに接続できない場合）、最後に FlexConnect アクセスポイント自身のローカルな EAP サーバを試行します（プライマリとセカンダリの両方に接続できない場合）。

ローカル EAP（ローカルでの認証の継続）

図 11：Dot1X 認証（FlexConnect AP がローカルな EAP サーバとして動作）

スタンドアロンモードまたは接続モードの FlexConnect AP が最大 100 人の静的に設定されたユーザに対して LEAP または EAP-FAST 認証を実行できるように、コントローラを設定できます。コントローラは、それぞれの FlexConnect アクセスポイントがコントローラに加入すると、ユーザ名とパスワードのスタティックリストをその特定の FlexConnect グループの FlexConnect アクセスポイントに送信します。グループ内の各アクセスポイントは、そのアクセスポイントにアソシエートされたクライアントのみを認証します。
この機能が適しているのは、企業が自律アクセスポイントネットワークから軽量な FlexConnect アクセスポイントネットワークに移行するときに、大きなユーザデータベースを保持したくない場合や、自律アクセスポイントの持つ RADIUS サーバ機能の代わりとなる別のハードウェアデバイスを追加したくない場合です。
図 11 に示すように、データセンターの RADIUS/ACS サーバが到達不能な場合、FlexConnect AP は自動的にローカル EAP サーバとして振る舞い、ワイヤレスブランチクライアントの Dot1X 認証を行います。

CCKM/OKC 高速ローミング

FlexConnect グループは、FlexConnect アクセスポイントと共に使用する CCKM/OKC 高速ローミングで必要となります。高速ローミングは、無線クライアントを別のアクセスポイントにローミングする際に簡単かつ安全にキー交換できるように、完全な EAP 認証が実行されたマスターキーの派生キーをキャッシュすることにより実現します。この機能により、クライアントをあるアクセスポイントから別のアクセスポイントへローミングする際に、完全な RADIUS EAP 認証を実行する必要がなくなります。FlexConnect アクセスポイントでは、アソシエートする可能性のあるすべてのクライアントに対する CCKM/OKC キャッシュ情報を取得する必要があります。それにより、CCKM キャッシュ情報をコントローラに送り返さずに、すばやく処理できます。たとえば、300 個のアクセスポイントを持つコントローラと、アソシエートする可能性のある 100 台のクライアントがある場合、100 台すべてのクライアントに対して CCKM/OKC キャッシュを送信することは現実的ではありません。限定されたいくつかのアクセスポイントからなる FlexConnect グループを作成すれば（たとえば、同じリモートオフィス内の 4 個のアクセスポイントのグループを作成）、クライアントはその 4 個のアクセスポイント間でのみローミングします。CCKM/OKC キャッシュがその 4 個のアクセスポイント間で配布されるのは、クライアントが 1 個のアクセスポイントにアソシエートするときだけとなります。
この機能とバックアップ Radius およびローカル認証（ローカル EAP）により、ブランチサイトの運用上のダウンタイムがなくなります。

注：FlexConnectと非FlexConnectアクセスポイント間のCCKM/OKC高速ローミングはサポートされていません。
図 12：FlexConnect グループを使用したワイヤレスネットワーク設計リファレンス

WLC からの FlexConnect グループの設定

FlexConnect が接続モードまたはスタンドアロンモードのときに、LEAP を使用したローカル認証をサポートするように FlexConnect グループを設定するには、このセクションの手順を実行します。図 12 の設定例は、AP グループと FlexConnect グループの客観的な違いと 1 対 1 マッピングを示しています。

[Wireless] > [FlexConnect Groups] の下の [New] をクリックします。
図 12 に示す設定例と同様に、グループ名 Store 1 を割り当てます。
グループ名を設定したら [Apply] をクリックします。
作成したグループ名 Store 1 をクリックし、さらに設定します。
[Add AP] をクリックします。
AP がスタンドアロンモードのときにローカル認証をイネーブルにするには、[Enable AP Local Authentication] ボックスをオンにします。

注：ステップ20は、接続モードAPのローカル認証を有効にする方法を示しています。
[AP Name] ドロップダウンメニューを有効にするには、[Select APs from current controller] ボックスをオンにします。
この FlexConnect グループに含める必要がある AP をドロップダウンから選択します。
AP をドロップダウンから選択した後、[Add] をクリックします。
手順7と8を繰り返して、APグループストア1にも含まれるこのFlexConnectグループにすべてのAPを追加します。APグループとFlexConnectグループの1:1マッピングについて図12を参照してください。

店舗ごとに AP グループを作成した場合は（図 8）、その AP グループのすべての AP がこの FlexConnect グループに属するのが理想です（図 12）。 AP グループと FlexConnect グループの比率を 1 対 1 に保つことにより、ネットワーク管理が簡単になります。
[Local Authentication] > [Protocols] をクリックし、[Enable LEAP Authentication] ボックスをオンにします。
チェックボックスを設定した後、[Apply] をクリックします。

注：バックアップコントローラがある場合は、FlexConnectグループが同一で、AP MACアドレスエントリがFlexConnectグループごとに含まれていることを確認してください。
[Local Authentication] の [Local Users] をクリックします。
AP 上にあるローカル EAP サーバ内にユーザエントリを作成するには、[Username]、[Password]、および [Confirm Password] フィールドを設定し、[Add] をクリックします。
ローカルユーザ名リストがなくなるまでステップ 13 を繰り返します。100 人を超えるユーザの設定や追加はできません。
ステップ 14 が完了したら [Apply] をクリックし、[No of Users] の数を確認します。
上部のペインで [WLANs] をクリックします。
[WLAN ID 17]をクリックします。これはAPグループの作成時に作成されたものです。図 8 を参照してください。
[WLAN] > [Edit for WLAN ID 17] の下で、[Advanced] をクリックします。
接続モードでローカル認証をイネーブルにするには、[FlexConnect Local Auth] ボックスをオンにします。

注：ローカル認証は、ローカルスイッチングを使用するFlexConnectでのみサポートされます。

注：WLANでローカル認証を有効にする前に、必ずFlexConnectグループを作成してください。

NCS には、次に示すように、接続モードでローカル認証をイネーブルにするための [FlexConnect Local Auth] チェックボックスもあります。

NCS は、次に示すように、FlexConnect でローカルに認証されたクライアントをフィルタおよびモニタするための機能も備えています。

CLI を使用した確認

クライアント認証状態とスイッチングモードは、WLC 上で次の CLI を使用してすばやく確認できます。

(Cisco Controller) >show client detail 00:24:d7:2b:7c:0c
Client MAC Address............................... 00:24:d7:2b:7c:0c
Client Username ................................. N/A
AP MAC Address................................... d0:57:4c:08:e6:70
Client State..................................... Associated
H-REAP Data Switching............................ Local
H-REAP Authentication............................ Local

FlexConnect VLAN オーバーライド

現在の FlexConnect アーキテクチャでは、WLAN から VLAN への厳密なマッピングがあるため、FlexConnect AP 上で特定の WLAN にアソシエーションされたクライアントは、それにマッピングされる VLAN に従う必要があります。この方式は、異なる VLAN ベースのポリシーを継承するために各クライアントを異なる SSID にアソシエーションする必要があるので、さまざまな制約があります。

7.2 リリースより、ローカルスイッチングが設定された個々の WLAN に対する、VLAN の AAA オーバーライドがサポートされています。AP には、動的に VLAN を割り当てるために、個別の FlexConnect AP の既存の WLAN-VLAN マッピングを使用するか、FlexConnect グループの ACL-VLAN マッピングを使用した設定に基づいて事前に作成された、VLAN 用のインターフェイスがあります。WLC は、AP でサブインターフェイスを事前作成するために使用されます。

要約

AAA VLAN オーバーライドは、中央およびローカル認証モードでローカルスイッチングが設定された WLAN について、リリース 7.2 からサポートされています。
AAA オーバーライドは、ローカルスイッチングが設定された WLAN 上でイネーブルにする必要があります。
FlexConnect AP には、ダイナミック VLAN 割り当て用に、WLC から VLAN が事前に作成されている必要があります。
AAA オーバーライドから返された VLAN が AP クライアント上にない場合は、VLAN の IP は AP のデフォルト VLAN インターフェイスから取得されます。

手順

次のステップを実行します。

802.1x 認証用の WLAN を作成します。
WLC 上のローカルスイッチング WLAN 用に AAA オーバーライドのサポートをイネーブルにします。[WLAN GUI] > [WLAN] > [WLAN ID] > [Advance] タブに移動します。
802.1x 認証用に AAA サーバの詳細をコントローラに追加します。AAA サーバを追加するためには、[WLC GUI] > [Security] > [AAA] > [Radius] > [Authentication] > [New] に移動します。
AP はデフォルトでローカルモードになっているため、モードを FlexConnect モードに変換します。[Wireless] > [All APs] を選択し、[Individual AP] をクリックすることで、ローカルモードの AP を FlexConnect モードに変換できます。
FlexConnect AP を FlexConnect グループに追加します。

[WLC GUI] > [Wireless] > [FlexConnect Groups] > FlexConnect グループを選択 > [General] タブ > [Add AP] に移動します。
FlexConnect AP は、トランクポート上で接続され、WLAN にマッピングされた VLAN と AAA オーバーライドされた VLAN がトランクポート上で許可されている必要があります。

注：この設定では、WLAN VLANマッピングにvlan 109が使用され、AAAオーバーライドにvlan 3が使用されます。
FlexConnect AP の WLAN から VLAN へのマッピングを設定します。この設定に基づき、AP に VLAN 用のインターフェイスが設定されます。AP が VLAN の設定を受信すると、対応する dot11 およびイーサネットサブインターフェイスが作成され、ブリッジグループに追加されます。この WLAN 上にクライアントをアソシエーションします。クライアントがアソシエーションされるときに、その VLAN（デフォルト、WLAN-VLAN マッピングに基づきます）が割り当てられます。

[WLAN GUI] > [Wireless] > [All APs] > 特定の AP をクリック > [FlexConnect] タブに移動し、[VLAN Mapping] をクリックします。
AAA サーバでユーザを作成し、IETF Radius 属性の中で VLAN ID を返すようにユーザを設定します。
AP には、動的に VLAN を割り当てるために、個別の FlexConnect AP の既存の WLAN-VLAN マッピングを使用するか、FlexConnect グループの ACL-VLAN マッピングを使用した設定に基づいて事前に作成された、ダイナミック VLAN 用のインターフェイスがあります。

FlexConnect AP 上で AAA VLAN を設定するために、[WLC GUI] > [Wireless] > [FlexConnect Group] > 特定の FlexConnect グループをクリック > [VLAN-ACL mapping] に移動し、[Vlan ID] フィールドに VLAN を入力します。
AAA VLAN を返すために、この WLAN にクライアントをアソシエーションし、AAA サーバで設定したユーザ名を使用して認証します。
クライアントは、AAA サーバを通じて返されたダイナミック VLAN から IP アドレスを取得します。
確認のため、[WLC GUI] > [Monitor] > [Client] > 特定のクライアントの MAC アドレスをクリックして、クライアントの詳細を確認します。

制限

Cisco Airespace 固有の属性はサポートされず、IETF 属性 VLAN ID のみがサポートされます。
個別の FlexConnect AP の WLAN-VLAN マッピングを通じて、または FlexConnect グループの ACL-VLAN マッピングを使用して、AP 設定ごとに最大 16 個の VLAN を設定できます。

FlexConnect VLAN に基づく中央スイッチング

コントローラソフトウェアリリース 7.2 では、ローカルにスイッチングされる WLAN に対する VLAN の AAA オーバーライド（ダイナミック VLAN 割り当て）により、ワイヤレスクライアントが AAA サーバで提供される VLAN に配置されます。AAA サーバから渡された VLAN が AP に存在しない場合、クライアントはその AP 上で WLAN からマッピングされた VLAN に配置され、トラフィックはその VLAN でローカルにスイッチングされます。さらに、7.3 よりも前のリリースでは、FlexConnect AP からの特定の WLAN のトラフィックは、WLAN の設定に応じて中央またはローカルでスイッチングされます。

リリース 7.3 から、FlexConnect AP からのトラフィックは、FlexConnect AP 上に VLAN が存在するかどうかに応じて、中央またはローカルでスイッチングされます。

要約

Flex AP が接続モードの場合に、ローカルスイッチングが設定された WLAN 上のトラフィックフローは、次のようになります。

VLAN が AAA 属性の 1 つとして返され、その VLAN が Flex AP データベースに存在しない場合、トラフィックは中央でスイッチングされ、VLAN が WLC 上に存在する限り、AAA サーバから返されたこの VLAN とインターフェイスがクライアントに割り当てられます。
VLAN が AAA 属性の 1 つとして返され、その VLAN が Flex AP データベースに存在しない場合、トラフィックは中央でスイッチングされます。その VLAN が WLC にも存在しない場合、クライアントには WLC 上で WLAN にマッピングされた VLAN とインターフェイスが割り当てられます。
VLAN が AAA 属性の 1 つとして返され、その VLAN が FlexConnect AP データベースに存在する場合、トラフィックはローカルにスイッチングされます。
AAA サーバから VLAN が返されない場合、クライアントには、その FlexConnect AP 上で WLAN にマッピングされた VLAN が割り当てられ、トラフィックはローカルにスイッチングされます。

Flex AP がスタンドアロンモードの場合に、ローカルスイッチングが設定された WLAN 上のトラフィックフローは、次のようになります。

AAA サーバによって返された VLAN が Flex AP データベースに存在しない場合、クライアントはデフォルト VLAN（つまり、Flex AP 上で WLAN にマッピングされた VLAN）に配置されます。 AP が接続するとき、このクライアントは認証を解除され、トラフィックが中央でスイッチングされます。
AAA サーバによって返された VLAN が Flex AP データベースに存在する場合、クライアントは返された VLAN に配置され、トラフィックはローカルにスイッチングされます。
AAA サーバから VLAN が返されない場合、クライアントには、その FlexConnect AP 上で WLAN にマッピングされた VLAN が割り当てられ、トラフィックはローカルにスイッチングされます。

手順

次のステップを実行します。

WLAN でローカルスイッチングを設定し、AAA オーバーライドをイネーブルにします。
新たに作成した WLAN に対して [Vlan based Central Switching] をイネーブルにします。
[AP Mode] を [FlexConnect] に設定します。
特定の Flex AP 上の WLAN-VLAN マッピングか、Flex グループからの VLAN の設定を通じて、FlexConnect AP のデータベースにいくつかのサブインターフェイスがあることを確認します。この例で、VLAN 63 が Flex AP 上の WLAN-VLAN マッピングで設定されています。
この例で、VLAN 62 がダイナミックインターフェイスの 1 つとして WLC 上で設定されており、WLC 上で WLAN にマッピングされていません。WLC 上の WLAN は、管理 VLAN（つまり VLAN 61）にマッピングされています。
この Flex AP 上でステップ 1 で設定した WLAN にクライアントをアソシエーションし、AAA サーバから VLAN 62 を返します。VLAN 62 はこの Flex AP に存在しませんが、WLC 上にダイナミックインターフェイスとして存在するため、トラフィックは中央でスイッチングされ、クライアントには WLC 上の VLAN 62 が割り当てられます。次に示す出力で、クライアントには VLAN 62 が割り当てられ、[Data Switching] と [Authentication] は [Central] に設定されています。

注：WLANはローカルスイッチング用に設定されていますが、このクライアントの[Data Switching]フィールドはVLANの存在に基づいて中央に配置されています（つまり、AAAサーバから返されるVLAN 62はAPデータベースに存在しません）。
別のユーザがこの作成した WLAN 上で同じ AP にアソシエーションされ、AP にも WLC にも存在しないくつかの VLAN が AAA サーバから返された場合、トラフィックは中央でスイッチングされ、クライアントには WLC 上で WLAN にマッピングされたインターフェイスが割り当てられます（この例では VLAN 61）。これは、WLAN が、VLAN 61 が設定されている管理インターフェイスにマッピングされるためです。

注：WLANがローカルスイッチング用に設定されているが、このクライアントの[Data Switching]フィールドがVLANの存在に基づいて中央であることを確認します。つまり、AAA サーバから返される VLAN 61 が AP データベースに存在しないものの、WLC データベースにも存在しません。その結果、クライアントには、WLAN にマッピングされているデフォルトインターフェイスの VLAN とインターフェイスが割り当てられます。この例で、WLAN は管理インターフェイス（つまり VLAN 61）にマッピングされているため、クライアントは VLAN 61 から IP アドレスを取得しました。
別のユーザがこの作成された WLAN 上でそれにアソシエーションされ、AAA サーバ（この Flex AP 上に存在）から VLAN 63 が返された場合、クライアントには VLAN 63 が割り当てられ、トラフィックはローカルにスイッチングされます。

制限

VLAN ベースの中央スイッチングは、中央認証とローカルスイッチングが設定された WLAN のみでサポートされています。
AP サブインターフェイス（つまり VLAN マッピング）が FlexConnect AP 上で設定されている必要があります。

FlexConnect ACL

FlexConnect 上での ACL の導入に伴い、AP からのローカルにスイッチングされるデータトラフィックの保護と整合性のために、FlexConnect AP でアクセスコントロールの必要性を満たすメカニズムがあります。FlexConnect ACL を WLC 上で作成し、FlexConnect AP か、AAA オーバーライド VLAN 用の VLAN-ACL マッピングを使用した FlexConnect グループ上に存在する VLAN を使用して設定する必要があります。これらの ACL は AP にプッシュされます。

要約

コントローラで FlexConnect ACL を作成します。
同じことを、AP レベル VLAN ACL マッピングの下で、FlexConnect AP 上に存在する VLAN に適用します。
VLAN-ACL マッピングの下で、FlexConnect グループに存在する VLAN に適用できます（一般に AAA オーバーライドされた VLAN に対して行います）。
VLAN に対して ACL を適用する際に、適用する方向として「ingress」、「egress」、または「ingress and egress」を選択します。

手順

次のステップを実行します。

WLC 上で FlexConnect ACL を作成します。[WLC GUI] > [Security] > [Access Control List] > [FlexConnect ACLs] に移動します。
[New] をクリックします。
ACL 名を設定します。
[Apply] をクリックします。
各 ACL のルールを作成します。ルールを作成するには、[WLC GUI] > [Security] > [Access Control List] > [FlexConnect ACLs] に移動し、上で作成した ACL をクリックします。
[Add New Rule] をクリックします。

注：要件に従ってルールを設定します。最後で permit any any ルールが設定されていない場合、すべてのトラフィックをブロックする暗黙的な拒否があります。
FlexConnect ACL を作成すると、個別の FlexConnect AP の下で WLAN-VLAN マッピング用にマッピングしたり、FlexConnect グループに対する VLAN-ACL マッピングに適用できます。
個々の FlexConnect AP に対し、VLAN マッピングの下の個々の VLAN について、上で設定した FlexConnect ACL を AP レベルでマッピングします。[WLC GUI] > [Wireless] > [All AP] > 特定の AP をクリック > [FlexConnect] タブ > [VLAN Mapping] に移動します。
FlexConnect ACL は、FlexConnect グループ内の VLAN-ACL マッピングに適用することもできます。FlexConnect グループ内の VLAN-ACL マッピングの下で作成された VLAN は、主にダイナミック VLAN オーバーライドに使用されます。

制限

最大 512 個の FlexConnect ACL を WLC に対して設定できます。
個々の ACL には 64 個のルールを設定できます。
FlexConnect グループまたは FlexConnect AP あたり最大 32 個の ACL をマッピングできます。
最大 16 個の VLAN と 32 個の ACL が FlexConnect AP 上に同時に存在できます。

FlexConnect スプリットトンネリング

7.3 よりも前の WLC リリースでは、中央でスイッチングされる WLAN にアソシエーションされている FlexConnect AP に接続しているクライアントが、ローカルなサイトまたはネットワークにあるデバイスに何らかのトラフィックを送信する必要がある場合、CAPWAP 経由で WLC にトラフィックを送信し、同じトラフィックを CAPWAP 経由かオフバンド接続を使用してローカルサイトに戻す必要がありました。

リリース 7.3 以降、スプリットトンネリングにより、クライアントによって送信されたトラフィックを、Flex ACL を使用し、パケットの内容に基づいて分類するメカニズムが導入されました。一致するパケットは Flex AP からローカルにスイッチングされ、残りのパケットは CAPWAP を介して中央でスイッチングされます。

スプリットトンネリング機能には、会社の SSID 上のクライアントがローカルネットワーク上のデバイス（プリンタ、リモート LAN ポート上の有線マシン、またはパーソナル SSID 上のワイヤレスデバイス）と直接通信でき、CAPWAP を介してパケットを送信することで WAN 帯域幅を消費することがないという、OEAP AP 構成に対するさらなるメリットがあります。スプリットトンネリングは OEAP 600 AP ではサポートされていません。Flex ACL は、ローカルサイトまたはネットワークに存在するすべてのデバイスを許可するために、ルールを使用して作成できます。会社の SSID 上のワイヤレスクライアントからのパケットが、OEAP AP 上で設定されている Flex ACL のルールに一致した場合、そのトラフィックはローカルにスイッチングされ、残りのトラフィック（つまり暗黙的に拒否されたトラフィック）は、CAPWAP を介して中央でスイッチングされます。

スプリットトンネリングソリューションでは、中央サイトのクライアントにアソシエーションされているサブネットまたは VLAN がローカルサイトにないことを前提としています（つまり、中央サイトにあるサブネットから IP アドレスを受け取るクライアントのトラフィックは、ローカルにスイッチングできません）。スプリットトンネリング機能は、WAN の帯域幅の使用を避けるために、ローカルサイトに属するサブネットについてトラフィックをローカルにスイッチングすることを目的としています。Flex ACL ルールに一致するトラフィックはローカルにスイッチングされ、NAT 操作が実行され、クライアントの送信元 IP アドレスが、ローカルサイトまたはネットワークでルーティング可能な Flex AP の BVI インターフェイス IP アドレスに変更されます。

要約

スプリットトンネリング機能は、Flex AP のみによってアドバタイズされる、中央でのスイッチングが設定された WLAN 上でサポートされます。
必要な DHCP を、スプリットトンネリングが設定された WLAN 上でイネーブルにする必要があります。
スプリットトンネリングの設定は、Flex AP ごとか、FlexConnect グループ内のすべての Flex AP に対して、中央のスイッチングが設定された WLAN ごとに適用されます。

手順

次のステップを実行します。

WLAN で中央でのスイッチングを設定します（つまり、[Flex Local Switching] をイネーブルにしません）。
[DHCP Address Assignment] を [Required] に設定します。
[AP Mode] を [FlexConnect] に設定します。
中央でスイッチングされる WLAN 上でローカルにスイッチングする必要があるトラフィックに対し、許可ルールを使用して FlexConnect ACL を設定します。この例で、FlexConnect ACL ルールは、9.6.61.0 サブネット上にある（つまり中央のサイトに存在する）すべてのクライアントから、9.1.0.150 への ICMP トラフィックについて、Flex AP 上で NAT 操作を適用した後でローカルなスイッチングについてアラートを発行するよう設定されています。残りのトラフィックは暗黙的な拒否ルールに一致し、CAPWAP 経由で中央でスイッチングされます。
この作成された FlexConnect ACL は、スプリットトンネル ACL として個々の Flex AP にプッシュするか、FlexConnect グループ内のすべての Flex AP にプッシュできます。

Flex ACL をローカルスプリット ACL として個々の Flex AP にプッシュするには、次の手順を実行します。
1. [Local Split ACLs] をクリックします。
2. スプリットトンネリング機能をイネーブルにする WLAN Id を選択し、[Flex-ACL] を選択して [Add] をクリックします。
3. Flex-ACL は、ローカルスプリット ACL として Flex AP にプッシュされます。
Flex ACL をローカルスプリット ACL として FlexConnect グループにプッシュするには、次の手順を実行します。
1. スプリットトンネリング機能をイネーブルにする WLAN Id を選択します。[WLAN-ACL mapping] タブで、特定の Flex AP を追加する FlexConnect グループから FlexConnect ACL を選択し、[Add] をクリックします。
2. Flex-ACL がローカルスプリット ACL としてその Flex グループ内の Flex AP にプッシュされます。

制限

Flex ACL ルールは、同じサブネットを送信元および宛先とする permit/deny 文を使用して設定できません。
スプリットトンネリングが設定された、中央でスイッチングされる WLAN 上のトラフィックをローカルにスイッチングできるのは、ワイヤレスクライアントがローカルサイト上にあるホスト宛のトラフィックを送信した場合のみです。トラフィックが、ローカルサイト上のクライアントまたはホストにより、これらの設定された WLAN 上のワイヤレスクライアントに送信された場合、宛先に到達できません。
マルチキャストまたはブロードキャストトラフィックについては、スプリットトンネリングはサポートされていません。マルチキャストまたはブロードキャストトラフィックは、Flex ACL に一致しても中央でスイッチングされます。

耐障害性

FlexConnect Fault Tolerance を使用すると、次の場合に、ブランチクライアントに対するワイヤレスアクセスとサービスが可能です。

FlexConnect Branch AP がプライマリ Flex 7500 コントローラへの接続を失った場合。
FlexConnect Branch AP はセカンダリ Flex 7500 コントローラに切り換えます。
FlexConnect Branch AP は、プライマリ Flex 7500 コントローラへの接続を再確立します。

FlexConnect Fault Tolerance は、上で説明したローカル EAP と共に、ネットワーク停止時のゼロブランチダウンタイムを提供します。この機能はデフォルトでイネーブルになっており、ディセーブルにできません。コントローラまたは AP での設定は不要です。ただし、Fault Tolerance が円滑に機能し適用可能であるためには、次の条件を満たす必要があります。

WLAN の順序と設定は、プライマリとバックアップの Flex 7500 コントローラで同じであることが必要です。
VLAN マッピングは、プライマリとバックアップの Flex 7500 コントローラで同じであることが必要です。
モビリティドメイン名は、プライマリとバックアップの Flex 7500 コントローラで同じであることが必要です。
Flex 7500 をプライマリとバックアップのコントローラとして使用することを推奨します。

要約

FlexConnect は、コントローラの設定が変更されない限り、AP が同じコントローラに接続するときにクライアントを切断しません。
FlexConnect は、設定に変更がなく、バックアップコントローラがプライマリコントローラと同じである限り、バックアップコントローラに接続するときにクライアントを切断しません。
FlexConnect は、コントローラの設定に変更がない限り、元のプライマリコントローラに接続するときに、その無線をリセットしません。

制限

ローカルスイッチングと、中央またはローカルの認証を使用した FlexConnect のみでサポートされます。
FlexConnect AP がスタンドアロンモードから接続モードに切り換わる前にクライアントセッションタイマーが切れた場合、中央で認証されるクライアントの完全な再認証が必要です。
Flex 7500 プライマリおよびバックアップコントローラは、同じモビリティドメインに属している必要があります。

WLAN ごとのクライアント制限

トラフィックのセグメンテーションに加えて、ワイヤレスサービスにアクセスするクライアントの総数を制限する必要性が生じます。

例：ブランチトンネリングからデータセンターへのゲストクライアントの総数を制限する。

この課題に対処するため、シスコは WLAN ごとのクライアント制限機能を導入しています。この機能を使用すると、許可されるクライアントの総数を WLAN ごとに制限できます。

主な目的

最大クライアント数に対して制限を設定する
運用を容易にする

注：これはQoSの形式ではありません。

この機能はデフォルトでディセーブルになっており、制限は適用されません。

制限

FlexConnect がスタンドアロン動作状態の場合には、クライアントの上限が適用されません。

WLC の設定

次のステップを実行します。

SSID が DataCenter の、中央でスイッチングされている WLAN ID 1 を選択します。この WLAN は、AP グループの作成時に作成したものです。図 8 を参照してください。
WLAN ID 1 の [Advanced] タブをクリックします。
[Maximum Allowed Clients] テキストフィールドにクライアントの上限値を設定します。
[Maximum Allowed Clients] のテキストフィールドに設定した後、[Apply] をクリックします。

[Maximum Allowed Clients] のデフォルトは 0 に設定されています。これは、制限がなく、機能がディセーブルになっていることを示します。

NCS の設定

NCS からこの機能をイネーブルにするには、[Configure] > [Controllers] > [Controller IP] > [WLANs] > [WLAN Configuration] > [WLAN Configuration Details] に移動します。

ピアツーピアブロッキング

7.2 よりも前のコントローラソフトウェアリリースでは、ピアツーピア（P2P）ブロッキングは中央でスイッチングされる WLAN に対してのみサポートされていました。ピアツーピアブロッキングでは、WLAN に対して次の 3 つのいずれかの動作を設定できます。

[Disabled]：ピアツーピアブロッキングをディセーブルにし、同じサブネット内のクライアント宛のトラフィックをコントローラ内でローカルにブリッジします。これがデフォルト値です。
[Drop]：コントローラは同じサブネット内のクライアント宛のパケットをドロップします。
[Forward Up-Stream]：パケットはアップストリーム VLAN に転送されます。コントローラ上のデバイスは、パケットに関して実行すべきアクションを決定します。

リリース 7.2 より、ピアツーピアブロッキングは、ローカルスイッチング WLAN にアソシエーションされたクライアントに対してサポートされています。WLAN ごとのピアツーピア設定は、コントローラによって FlexConnect AP にプッシュされます。

要約

ピアツーピアブロッキングは、WLAN ごとに設定します。
WLAN ごとのピアツーピアブロッキングの設定は、WLC によって FlexConnect AP にプッシュされます。
WLAN 上でドロップまたはアップストリーム転送として設定されたピアツーピアブロッキングアクションは、FlexConnect AP でイネーブルにされたピアツーピアブロッキングとして扱われます。

手順

次のステップを実行します。

FlexConnect ローカルスイッチングが設定された WLAN 上で、ピアツーピアブロッキングアクションを [Drop] としてイネーブルにします。
ローカルスイッチングが設定された WLAN で P2P ブロッキングアクションを [Drop] または [Forward-Upstream] として設定すると、WLC から FlexConnect AP にプッシュされます。FlexConnect AP はこの情報をフラッシュ内の REAP コンフィギュレーションファイルに保存します。これにより、FlexConnect AP がスタンドアロンモードの場合でも、P2P 設定を対応するサブインターフェイスに適用できます。

制限

FlexConnect では、ソリューション P2P ブロッキング設定を特定の FlexConnect AP または AP のサブセットのみに適用できません。SSID をブロードキャストするすべての FlexConnect AP に適用されます。
中央スイッチングクライアントのための統一ソリューションは、P2P アップストリーム転送をサポートしています。ただし、これは FlexConnect ソリューションでサポートされません。これは、P2P ドロップとして扱われ、クライアントパケットは、次のネットワークノードに転送されずにドロップされます。
中央スイッチングクライアント用の統一ソリューションは、異なる AP にアソシエーションされたクライアントに対する P2P ブロッキングをサポートしています。ただし、このソリューションは、同じ AP に接続されたクライアントのみを対象としています。FlexConnect ACL は、この制限の回避策として使用できます。

AP 事前イメージのダウンロード

この機能を使用すると、AP は動作中にコードをダウンロードできます。AP 事前イメージのダウンロードは、ソフトウェアのメンテナンスやアップグレードの際のネットワークのダウンタイムを削減するうえできわめて有効です。

要約

ソフトウェア管理の容易化
店舗アップグレードごとのスケジュール実現には NCS が必要
ダウンタイムの削減

手順

次のステップを実行します。

プライマリおよびバックアップコントローラでイメージをアップグレードします。

[WLC GUI] > [Commands] > [Download File] に移動し、ダウンロードを開始します。
コントローラに設定を保存しますが、コントローラをリブートしないでください。
プライマリコントローラから AP 事前イメージダウンロードコマンドを実行します。
1. [WLC GUI] > [Wireless] > [Access Points] > [All APs] に移動し、事前イメージのダウンロードを開始するアクセスポイントを選択します。
2. アクセスポイントを選択したら、[Advanced] タブをクリックします。
3. [Download Primary] をクリックして事前イメージのダウンロードを開始します。
すべての AP イメージをダウンロードした後、コントローラをリブートします。

コントローラがリブートするまで、AP はスタンドアロンモードにフォールバックします。

注：スタンドアロンモードでは、耐障害性によってクライアントが関連付けられたままになります。

コントローラが起動すると、AP は事前にダウンロードされたイメージで自動的にリブートします。

リブート後、AP はプライマリコントローラに接続し、クライアントのサービスを再開します。

制限

CAPWAP AP のみで動作します。

FlexConnect スマート AP イメージアップグレード

事前のイメージダウンロード機能により、ダウンタイムがある程度短縮されますが、すべての FlexConnect AP が、それぞれの AP イメージを、WAN リンクを介し高い遅延で事前にダウンロードする必要があります。

Efficient AP Image Upgrade は、各 FlexConnect AP のダウンタイムを短縮します。基本的な考え方は、AP モデルごとに 1 台の AP のみがコントローラからイメージをダウンロードし、マスターまたはサーバとして振る舞い、同じモデルの残りの AP はスレーブまたはクライアントとして動作し、マスターから AP イメージを事前にダウンロードします。サーバからクライアントへの AP イメージの配布はローカルネットワーク上で行われ、WAN リンクのような遅延が発生しません。その結果、処理が高速になります。

要約

マスターとスレーブの AP を、FlexConnect グループごとに各 AP モデルに対して選択します。
マスターが WLC からイメージをダウンロードします。
スレーブがマスター AP からイメージをダウンロードします。
ダウンタイムを削減し WAN の帯域幅を節約します。

手順

次のステップを実行します。

コントローラでイメージをアップグレードします。

ダウンロードを開始するため、[WLC GUI] > [Commands] > [Download File] に移動します。
コントローラに設定を保存しますが、コントローラをリブートしないでください。
FlexConnect AP を FlexConnect グループに追加します。

[WLC GUI] > [Wireless] > [FlexConnect Groups] > FlexConnect グループを選択 > [General] タブ > [Add AP] に移動します。
効率的な AP イメージのアップグレードを実現するには、[FlexConnect AP Upgrade] チェックボックスをオンにします。

[WLC GUI] > [Wireless] > [FlexConnect Groups] > FlexConnect グループを選択 > [Image Upgrade] タブに移動します。
マスター AP は手動または自動で選択できます。
1. マスター AP を手動で選択するには、[WLC GUI] > [Wireless] > [FlexConnect Groups] > [FlexConnect Group] > [Image Upgrade] タブ > [FlexConnect Master APs] に移動し、ドロップダウンリストから AP を選択し、[Add Master] をクリックします。
  
  注：マスターAPとして設定できるのは、モデルごとに1つのAPだけです。マスター AP を手動で設定した場合、[Manual] フィールドが [yes] になります。
2. マスター AP を自動で選択するには、[WLC GUI] > [Wireless] > [FlexConnect Groups] > [FlexConnect Group] > [Image Upgrade] タブを選択し、[FlexConnect Upgrade] をクリックします。
  
  注：[マスタAP]が自動的に選択されている場合、[Manual]フィールドは[no]に更新されます。
特定の FlexConnect グループに属するすべての AP について効率的な AP イメージのアップグレードを開始するには、[FlexConnect Upgrade] をクリックします。

[WLC GUI] > [Wireless] > [FlexConnect Groups] > FlexConnect グループを選択 > [Image Upgrade] タブに移動し、[FlexConnect Upgrade] をクリックします。

注：Slave Maximum Retry Countは、マスターAPからイメージをダウンロードするためにスレーブAPが実行する試行回数（デフォルトでは44）です。この試行回数を超えると、スレーブAPはWLCからイメージをダウンロードします。新しいイメージをダウンロードするために WLC に対して 20 回試行します。20 回を超えた場合、管理者はダウンロードプロセスを再度開始する必要があります。
FlexConnect アップグレードを開始すると、マスター AP のみが WLC からイメージをダウンロードします。[All AP] ページで、[Upgrade Role] は [Master/Central] として更新されます。これは、マスター AP が中央にある WLC からイメージをダウンロードしたことを意味します。スレーブ AP はローカルサイトにあるマスター AP からイメージをダウンロードします。[All AP] ページの [Upgrade Role] が [Slave/Local] に更新されるのはこのためです。

これを確認するには、[WLC GUI] > [Wireless] に移動します。
すべての AP イメージをダウンロードした後、コントローラをリブートします。コントローラがリブートするまで、AP はスタンドアロンモードにフォールバックします。

注：スタンドアロンモードでは、耐障害性によってクライアントが関連付けられたままになります。

コントローラが起動すると、AP は事前にダウンロードされたイメージで自動的にリブートします。

リブート後、AP はプライマリコントローラに接続し、クライアントのサービスを再開します。

制限

マスター AP の選択は、FlexConnect グループごと、各グループの AP モデルごとに行われます。
同じモデルの 3 台のスレーブ AP のみがそのマスター AP から同時にアップグレードでき、残りのスレーブ AP は、AP イメージをダウンロードするためにランダムなバックオフタイマーを使用してマスター AP に再試行します。
スレーブ AP が何らかの理由でマスター AP からイメージをダウンロードできない場合、WLC から新しいイメージを取得します。
この機能は、CAPWAP AP のみで動作します。

FlexConnect モードでの自動変換 AP

Flex 7500 には、AP モードを FlexConnect に変換するための次の 2 つのオプションがあります。

手動モード
自動変換モード

手動モード

このモードは、すべてのプラットフォームで使用でき、AP ごとにのみ変更を行うことができます。

[WLC GUI] > [Wireless] > [All APs] に移動し、AP を選択します。
[AP Mode] で [FlexConnect] を選択し、[Apply] をクリックします。
AP モードを変更すると AP がリブートします。

このオプションは、現在のすべての WLC プラットフォームでも使用できます。

自動変換モード

このモードは Flex 7500 コントローラのみで使用でき、CLI の使用のみがサポートされています。このモードでは、接続されているすべての AP で変更が起動されます。この CLI をイネーブルにする前に、既存の WLC キャンパスコントローラとは異なるモビリティドメインに Flex 7500 を導入することを推奨します。

(Cisco Controller) >config ap autoconvert ?

disable        Disables auto conversion of unsupported mode APs to supported 
                 modes when AP joins
flexconnect    Converts unsupported mode APs to flexconnect mode when AP joins
monitor        Converts unsupported mode APs to monitor mode when AP joins

(Cisco Controller) >

自動変換機能はデフォルトでディセーブルになっており、次の show コマンドで確認できます。
```
(Cisco Controller) >show ap autoconvert

AP Autoconvert .................................. Disabled
```
サポートされない AP モードは、Local Mode、Sniffer、Rogue Detector、および Bridge です。

このオプションは、現在 CLI のみで使用できます。

これらの CLI は、WLC 7500 のみで使用できます。
config ap autoconvert flexconnect CLI を実行すると、ネットワーク内のサポートされない AP モードのすべての AP が FlexConnect モードに変換されます。すでに FlexConnect または Monitor モードになっている AP は影響を受けません。
```
(Cisco Controller) >config ap autoconvert flexconnect


(Cisco Controller) >show ap autoconvert

AP Autoconvert .................................. FlexConnect

(Cisco Controller) >
```
config ap autoconvert monitor CLI を実行すると、ネットワーク内のサポートされない AP モードのすべての AP が Monitor モードに変換されます。すでに FlexConnect または Monitor モードになっている AP は影響を受けません。
```
(Cisco Controller >config ap autoconvert monitor


(Cisco Controller) >show ap autoconvert

AP Autoconvert ................................. Monitor
```
config ap autoconvertflexconnect と config ap autoconvert monitor を同時に実行するオプションはありません。

ローカルスイッチング WLAN のための FlexConnect WGB/uWGB サポート

リリース 7.3 から、WGB/uWGB および WGB の背後にある有線またはワイヤレスクライアントがサポートされ、ローカルスイッチングが設定された WLAN 上の通常のクライアントとして動作します。

アソシエーションの後、WGB はその各有線またはワイヤレスクライアントについて IAPP メッセージを送信し、Flex AP は次のように振る舞います。

Flex AP が接続モードの場合、すべての IAPP メッセージをコントローラに転送し、コントローラはローカルモード AP と同様に IAPP メッセージを処理します。有線またはワイヤレスクライアント宛のトラフィックは、Flex AP からローカルにスイッチングされます。
AP がスタンドアロンモードの場合、AP が IAPP メッセージを処理し、WGB 上の有線またはワイヤレスクライアントは登録と登録解除を行うことができる必要があります。Flex AP は、接続モードに遷移するときに、有線クライアントの情報をコントローラに送信します。Flex AP がスタンドアロンモードから接続モードに遷移するとき、WGB は登録メッセージを 3 回送信します。

有線またはワイヤレスクライアントは WGB の設定を引き継ぎます。つまり、AAA 認証、AAA オーバーライド、FlexConnect ACL などの個別の設定は、WGB の背後にあるクライアントについては不要です。

要約

Flex AP 上で WGB をサポートするために、WLC 上で特別な設定は不要です。
Fault Tolerance は、WGB および WGB の背後にあるクライアントに対してサポートされています。
WGB がサポートされている IOS AP は、1240、1130、1140、1260、1250 です。

手順

次のステップを実行します。

WGB としてローカルスイッチングが設定された WLAN について、FlexConnect AP 上で WGB または uWGB のサポートをイネーブルにするために、特別な設定は不要です。また、WGB の背後にあるクライアントは、Flex AP により、ローカルスイッチングが設定された WLAN 上の通常のクライアントとして扱われます。WLAN で [FlexConnect Local Switching] をイネーブルにします。
[AP Mode] を [FlexConnect] に設定します。
WGB を、この設定された WLAN の背後にある有線クライアントにアソシエーションします。
WGB の詳細を確認するには、[Monitor] > [Clients] に移動し、クライアントのリストから [WGB] を選択します。
WGB の背後にある有線またはワイヤレスクライアントの詳細を確認するには、[Monitor] > [Clients] に移動し、クライアントを選択します。

制限

WGB の背後にある有線クライアントは、常に WGN 自体と同じ VLAN にあります。WGB の背後にあるクライアントに対する複数 VLAN のサポートは、ローカルスイッチングが設定された WLAN について、Flex AP 上でサポートされていません。
ローカルスイッチングが設定された WLAN 上の Flex AP にアソシエーションされている場合、WGB の背後では、最大 20 台のクライアント（有線またはワイヤレス）がサポートされています。この数は、現在のローカルモード AP での WGB のサポートと同じです。
ローカルスイッチングが設定された WLAN にアソシエーションされている WGB の背後にあるクライアントについては、Web Auth はサポートされません。

Radiusサーバ数の増加のサポート

リリース7.4より前では、FlexConnectグループでのRADIUSサーバの設定は、コントローラ上のRADIUSサーバのグローバルリストから行われました。このグローバルリストで設定できるRADIUSサーバの最大数は17です。ブランチオフィスの数が増えるにつれて、ブランチサイトごとにRADIUSサーバを設定できることが必要になります。リリース7.4以降では、FlexConnectグループごとにプライマリおよびバックアップRADIUSサーバを設定できます。コントローラで設定された17台のRADIUS認証サーバのグローバルリストに含まれる場合とそうでない場合があります。

RADIUSサーバのAP固有の設定もサポートされます。AP固有の設定は、FlexConnectグループ設定よりも優先度が高くなります。

コントローラのグローバルRADIUSサーバリストにRADIUSサーバのインデックスが必要なFlexConnectグループの既存の設定コマンドは廃止され、サーバのIPアドレスと共有秘密を使用してFlexconnectグループのRADIUSサーバを設定する設定コマンドに置置置ききき換きく。

要約

FlexConnectグループごとのプライマリおよびバックアップRADIUSサーバの設定のサポート。RADIUS認証サーバのグローバルリストに含まれる場合と含まれない場合があります。
WLCに追加できる一意のRADIUSサーバの最大数は、特定のプラットフォームで設定できるFlexConnectグループの数を2倍にします。たとえば、FlexConnectグループごとに1つのプライマリRADIUSサーバと1つのセカンダリRADIUSサーバがあります。
以前のリリースからリリース7.4へのソフトウェアアップグレードでは、RADIUS設定が失われることはありません。
プライマリRADIUSサーバの削除は、セカンダリRADIUSサーバを削除しなくても許可されます。これは、RADIUSサーバの現在のFlexConnectグループ設定と一致します。

手順

リリース7.4より前の設定モード。

AAA認証設定では、最大17台のRADIUSサーバを設定できます。
プライマリおよびセカンダリRADIUSサーバは、[AAA Authentication]ページで設定されたRADIUSサーバで構成されるドロップダウンリストを使用して、FlexConnectグループに関連付けることができます。
リリース7.4のFlexConnectグループの設定モード。

プライマリおよびセカンダリRADIUSサーバは、IPアドレス、ポート番号、および共有秘密を使用して、FlexConnectグループの下で設定できます。

制限

リリース7.4から以前のリリースへのソフトウェアダウングレードでは、設定は保持されますが、いくつかの制限があります。
以前のRADIUSサーバを設定すると、古いエントリが新しいエントリに置き換えられます。

拡張ローカルモード（ELM）

FlexConnect ソリューションでは ELM がサポートされています。詳細については、ELM に関するベストプラクティスガイドを参照してください。

Flex 7500 のゲストアクセスサポート

図 13：Flex 7500 のゲストアクセスサポート

Flex 7500 では、DMZ にあるゲストアンカーコントローラへの EoIP トンネルを使用でき、その作成が引き続きサポートされています。ワイヤレスゲストアクセスソリューションのベストプラクティスについては、『ゲスト導入ガイド』を参照してください。

NCS からの WLC 7500 の管理

NCS からの WLC 7500 の管理は、シスコの既存の WLC と同じです。

WLC の管理とテンプレートの検出の詳細については、『Cisco Wireless Control System コンフィギュレーションガイド、リリース 7.0.172.0』を参照してください。

FAQ

Q. FlexConnect のようにリモートの場所に LAP を設定する場合、その LAP にプライマリコントローラやセカンダリコントローラを提供できますか。

例：サイトAにプライマリコントローラがあり、サイトBにセカンダリコントローラがあります。サイトAのコントローラに障害が発生すると、LAPはサイトBのコントローラにフェールオーバーします。両方のコントローラが使用できない場合、LAPはFlexConnectスタンドアロンモードになりますか。

A.はい。まず、LAP は、そのセカンダリにフェールオーバーします。ローカルでスイッチングされるすべての WLAN に変更はなく、中央でスイッチングされるすべての WLAN はトラフィックを新しいコントローラに送信します。また、セカンダリに障害が発生した場合、ローカルスイッチング用とマークされたすべての WLAN（およびオープン/事前共有鍵認証/ユーザが AP オーセンティケータである）はアップ状態のままです。

Q. ローカルモードで設定されているアクセスポイントは、FlexConnect ローカルスイッチングで設定された WLAN をどのように扱うのですか。

A.ローカルモードアクセスポイントはこれらのWLANを通常のWLANとして扱います。認証とデータトラフィックは WLC にトンネリングして戻されます。WAN リンクの障害が発生しているとき、この WLAN は完全にダウンしており、WLC への接続が回復するまでこの WLAN のクライアントはアクティブになりません。

Q. ローカルスイッチングで Web 認証を実行できますか。

A.はい。Web認証が有効なSSIDを持ち、Web認証後にローカルでトラフィックをドロップできます。ローカルスイッチングを伴う Web 認証は問題なく動作します。

Q. H REAP によってローカルで処理される SSID 用にコントローラで自分のゲストポータルを使用できますか。使用できる場合、コントローラへの接続が失われたときにはどうなりますか。現在のクライアントは即座にドロップしますか。

A.はい。この WLAN はローカルでスイッチングされるため、WLAN は利用可能ですが、Web ページは利用可能ではないため新しいクライアントは認証できません。しかし、既存のクライアントはドロップされません。

Q. FlexConnect は PCI コンプライアンスを保証できますか。

A.はい。FlexConnect ソリューションは、PCI コンプライアンスを満たすために不正検出をサポートしています。

Flex 7500 ワイヤレス ブランチ コントローラ導入ガイド

ダウンロード オプション

偏向のない言語

翻訳について

内容

要約

手順

制限

要約

手順

制限

要約

手順

制限

要約

手順

制限

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

Flex 7500 ワイヤレスブランチコントローラ導入ガイド

ダウンロードオプション