無線コンフィギュレーション セッションの開始
(注) ルータのセットアップでワイヤレス デバイスを設定する前に、後述の手順に従ってルータとアクセス ポイントとの間でセッションを開く必要があります。
以下のコマンドを、グローバル コンフィギュレーション モードでルータの Cisco IOS コマンドライン インターフェイス(CLI)に入力します。
手順の概要
1. interface wlan-ap0
2. ip address subnet mask
3. no shut
4. interface vlan1
5. ip address subnet mask
6. exit
7. exit
8. service-module wlan-ap 0 session
手順の詳細
|
|
|
ステップ 1 |
interface wlan-ap0
Router(config)# interface wlan-ap0
|
ワイヤレス デバイスへの、ルータのコンソール インターフェイスを定義します。 • このインターフェイスは、ルータのコンソールとワイヤレス デバイス間の通信に使用します。 (注) 常にポート 0 を使用します。 • 次のメッセージが表示されます。
The wlan-ap 0 interface is used for managing the embedded AP. Please use the service-module wlan-ap 0 session command to console into the embedded AP.
|
ステップ 2 |
ip address subnet mask
Router(config-if)# ip address
10.21.0.20 255.255.255.0
Router(config-if)#
ip unnumbered vlan1
|
インターフェイス IP アドレスとサブネット マスクを指定します。 (注) この IP アドレスは、ip unnumbered vlan1 コマンドを使用することで、Cisco ISR に割り当てられた IP アドレスと共有できます。 |
ステップ 3 |
no shut
Router(config-if)# no shut
|
内部インターフェイス接続を開いた状態を維持するように指定します。 |
ステップ 4 |
interface vlan1
Router(config-if)# interface vlan1
|
データ通信のために、内部 Gigabit Ethernet(GE0; ギガビット イーサネット)0 ポート上で仮想 LAN インターフェイスを別のインターフェイスに指定します。 • Cisco 860 シリーズ、Cisco 880 シリーズ、および Cisco 890 シリーズの ISR では、すべてのスイッチ ポートがデフォルトの vlan1 インターフェイスを継承します。 |
ステップ 5 |
ip address subnet mask
Router(config-if)# ip address 10.10.0.30 255.255.255.0
|
インターフェイス IP アドレスとサブネット マスクを指定します。 |
ステップ 6 |
exit
|
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
ステップ 7 |
exit
|
グローバル コンフィギュレーション モードを終了します。 |
ステップ 8 |
service-module wlan-ap 0 session
Router# service-module wlan-ap0 session
Trying 10.21.0.20, 2002 ... Open
|
ワイヤレス デバイスとルータのコンソール間の接続をオープンにします。 |
ヒント ワイヤレス デバイスとのセッションを開始するコンソールに Cisco IOS ソフトウェア エイリアスを作成する場合は、EXEC プロンプトから alias exec dot11radio service-module wlan-ap 0 session コマンドを入力します。このコマンドを入力すると、Cisco IOS ソフトウェアの dot11 radio レベルに自動的にスキップします。
セッションの終了
ワイヤレス デバイスとルータのコンソールとの間のセッションを閉じるには、次の手順に従います。
ワイヤレス デバイス
1. Control-Shift-6 x
ルータ
2. disconnect
3. Enter キーを 2 回押します。
無線環境の設定
(注) ワイヤレス デバイスを初めて設定する場合は、基本のワイヤレス設定の前に、アクセス ポイントとルータとの間でコンフィギュレーション セッションを開始する必要があります。「無線コンフィギュレーション セッションの開始」を参照してください。
ワイヤレス デバイスのソフトウェアに適合するツールを使用してデバイスを設定します。
• 「Cisco IOS コマンドライン インターフェイス」:自律ソフトウェア
• 「Cisco Express 設定」:ユニファイド ソフトウェア
(注) 自律モードから Unified モードにアップグレードするには、アップグレード手順について、「Cisco Unified ソフトウェアへのアップグレード」を参照してください。
Cisco Unified Wireless ソフトウェアへのアップグレード終了後、Web ブラウザのツールを使ってデバイスを設定します。手順については次の URL を参照してください。
http://cisco.com/en/US/docs/wireless/access_point/12.4_10b_JA/configuration/guide/scg12410b-chap2-gui.html
Cisco Express 設定
Unified ワイヤレス デバイスを設定するには、次の手順に示すように、Web ブラウザ ツールを使用します。
ステップ 1 ワイヤレス デバイスとのコンソール接続を確立し、 show interface bvi1 Cisco IOS コマンドを入力して、Bridge-Group Virtual Interface(BVI; ブリッジ グループ仮想インターフェイス)IP アドレスを取得します。
ステップ 2 ブラウザのウィンドウを開き、ブラウザ ウィンドウのアドレス行にこの BVI IP アドレスを入力します。Enter を押します。[Enter Network Password] ウィンドウが表示されます。
ステップ 3 ユーザ名を入力します。デフォルトのユーザ名は Cisco です。
ステップ 4 ワイヤレス デバイスのパスワードを入力します。デフォルトのパスワードは Cisco です。[Summary Status] ページが表示されます。Web ブラウザの設定ページの使用方法の詳細については、次の URL を参照してください。
http://cisco.com/en/US/docs/wireless/access_point/12.4_10b_JA/configuration/guide/scg12410b-chap4-first.html#wp1103336
無線の設定
Autonomous モードまたは Cisco Unified モードで信号を伝送するために、ワイヤレス デバイスの無線パラメータを設定します。特定の設定手順については、「 「無線の設定」」を参照してください。
WEP および暗号スイートの設定
Wired Equivalent Privacy(WEP)暗号はワイヤレス デバイス間での伝送データをスクランブルして、通信機密を保持します。ワイヤレス デバイスおよびそのワイヤレス クライアント デバイスは、同一の WEP キーを使用してデータの暗号化および複合化を行います。WEP キーは、ユニキャストおよびマルチキャストの両方のメッセージを暗号化します。ユニキャスト メッセージとは、ネットワーク上の 1 個のデバイスに向けて送信されるメッセージです。マルチキャスト メッセージは、ネットワーク上の複数のデバイスに送信されます。
暗号スイートは、無線 LAN 上の無線通信を保護するように設計された、暗号と完全性アルゴリズムのセットです。Wi-Fi Protected Access(WPA)または Cisco Centralized Key Management(CCKM)を有効にするには、暗号スイートを使用する必要があります。
Temporal Key Integrity Protocol(TKIP)を含む暗号スイートは無線 LAN にとって最適な安全性を提供します。WEP だけしか含まない暗号化スイートでは、最低限のセキュリティしかありません。
暗号化の手順については、次の URL で『 Configuring WEP and Cipher Suites 』を参照してください。
http://www.cisco.com/en/US/docs/routers/access/wireless/software/guide/SecurityCipherSuitesWEP.html
無線 VLAN の設定
無線 LAN で VLAN を使用し、SSID を VLAN に割り当てると、「セキュリティの種類」で定義されている 4 種類のセキュリティ設定のいずれかを使用して複数の SSID を作成できます。VLAN は、定義されたスイッチのセット内に存在するブロードキャスト ドメインと考えることができます。VLAN は、単一のブリッジング ドメインに接続されている複数のエンド システム(ホスト、またはブリッジやブリッジやルータなどのネットワーク装置)で構成されます。ブリッジング ドメインは、さまざまなネットワーク機器によりサポートされます。ネットワーク機器には、各 VLAN 用の別個のプロトコル グループとともに、ブリッジング プロトコルをそれらの間で動作させる LAN スイッチなどがあります。
無線 VLAN アーキテクチャの詳細については、次の URL で『 Configuring Wireless VLANs 』を参照してください。
http://www.cisco.com/en/US/docs/routers/access/wireless/software/guide/wireless_vlans.html
(注) 無線 LAN で VLAN を使用しないと、SSID に割り当てることができるセキュリティ オプションが制限されます。これは、Express Security ページで暗号化設定と認証タイプが対応付けられているためです。
SSID の割り当て
アクセス ポイントとして機能するワイヤレス デバイスには最大 16 個の SSID を設定できます。また、SSID ごとに一意のパラメータ セットを設定できます。たとえば、ある SSID ではネットワーク アクセスだけを利用者に許可し、別の SSID では認証したユーザであれば機密データへのアクセスを許可するといった利用法が可能です。
複数の SSID の作成の詳細については、次の URL で『 Service Set Identifiers 』を参照してください。
http://www.cisco.com/en/US/docs/routers/access/wireless/software/guide/ServiceSetID.html
Read VLAN を使用しない場合、暗号化設定(WEP と暗号)が 2.4GHz 無線などのインターフェイスに適用されるため、1 つのインターフェイスで複数の暗号化設定を使用することはできません。たとえば、VLAN がディセーブルの状態でスタティック WEP を使用する SSID を作成した場合は、WPA 認証を使用する SSID を別途作成できません。使用される暗号化設定が異なるためです。SSID のセキュリティ設定が別の SSID の設定と競合する場合、競合を解消するために 1 つ以上の SSID を削除します。
セキュリティの種類
表 8-1 は、SSID に割り当てられる 4 つのセキュリティ タイプについて説明しています。
表 8-1 SSID セキュリティの種類
|
|
|
セキュリティなし |
これは安全性が最も低いオプションです。このオプションは、パブリック スペースで SSID を使用する場合に限定して使用し、ネットワークへのアクセスを制限する VLAN に割り当てる必要があります。 |
なし。 |
スタティック WEP キー |
このオプションは、「セキュリティなし」よりは安全です。ただし、スタティック WEP キーは攻撃に対して脆弱です。この設定を行う場合は、MAC アドレスに基づいてワイヤレス デバイスにアソシエーションを制限する必要があります。 http://www.cisco.com/en/US/docs/routers/access/wireless/software/guide/SecurityCipherSuitesWEP.html の『 Cipher Suites and WEP 』を参照してください。 または ネットワーク内に RADIUS サーバがない場合、アクセス ポイントをローカル認証サーバとして使用するかを検討してください。 手順については、 http://www.cisco.com/en/US/docs/routers/access/wireless/software/guide/SecurityLocalAuthent.html の『 Using the Access Point as a Local Authenticator 』を参照してください。 |
WEP が必須。ワイヤレス デバイス キーに合う WEP キーがないと、この SSID を使用してもクライアント デバイスをアソシエートできません。 |
EAP 認証 |
このオプションは、802.1X 認証(LEAP、PEAP、EAP-TLS、EAP-FAST、EAP-TTLS、EAP-GTC、EAP-SIM、およびその他の 802.1X/EAP ベースの製品)がイネーブルになります。 この設定は、必須の暗号化、WEP、オープン認証プラス EAP、ネットワーク EAP 認証を使用し、キー管理なしで RADIUS サーバ認証ポート 1645 を使用します。 ネットワーク上の認証サーバの IP アドレスと共有秘密キーを入力する必要があります(サーバ認証ポート 1645)。802.1x 認証ではダイナミック暗号キーが提供されるため、WEP キーを入力する必要がありません。 |
必須の 802.1X 認証。この SSID を使用してアソシエートするクライアント デバイスは、802.1X 認証を実行する必要があります。 ワイヤレス クライアントで EAP-FAST を使用する認証が設定されている場合は、Open 認証 + EAP も設定する必要があります。EAP によるオープン認証を設定していない場合、以下の警告メッセージが表示されます。
SSID CONFIG WARNING: [SSID]: If radio clients are using EAP-FAST, AUTH OPEN with EAP should also be configured.
|
WPA |
このオプションは、データベース認証されたユーザにワイヤレス アクセスを許可します。アクセスは認証サーバのサービスを通じて行います。ユーザの IP トラフィックは WEP で使用されるものより強力なアルゴリズムで暗号化されます。 この設定では暗号キー、TKIP、オープン認証プラス EAP、ネットワーク EAP 認証、必須のキー管理 WPA、および RADIUS サーバ認証ポート 1645 を使用します。 EAP 認証の場合と同じように、ネットワーク上の認証サーバの IP アドレスと共有秘密キーを入力する必要があります(サーバ認証ポート 1645)。 |
WPA 認証が必須。この SSID を使用して対応付けを行うクライアント デバイスは WPA 対応でなければなりません。 ワイヤレス クライアントで EAP-FAST を使用する認証が設定されている場合は、Open 認証 + EAP も設定する必要があります。EAP によるオープン認証を設定していない場合、以下の警告メッセージが表示されます。
SSID CONFIG WARNING: [SSID]: If radio clients are using EAP-FAST, AUTH OPEN with EAP should also be configured.
|
Cisco Unified ソフトウェアへのアップグレード
アクセス ポイントを Cisco Unified モードで実行するには、次の手順に従ってソフトウェアをアップグレードする必要があります。
• 「アップグレードの準備」
• 「アップグレードの実行」
• 「アクセス ポイントへのソフトウェアのダウンロード」
• 「アクセス ポイントでのソフトウェア リカバリ」
ソフトウェア前提条件
• アクセス ポイントが組み込まれた Cisco 890 シリーズ ISR は、IP Base フィーチャ セットと Cisco IOS 12.4(22)YB ソフトウェアを実行している場合、自律ソフトウェアから Cisco Unified ソフトウェアにアップグレードできます。
• アクセス ポイントが組み込まれた Cisco 880 シリーズ ISR は、advipservices フィーチャ セットと Cisco IOS 12.4(20)T ソフトウェアを実行している場合、自律ソフトウェアから Cisco Unified ソフトウェアにアップグレードできます。
• Cisco Unified アーキテクチャの中で組み込み型アクセス ポイントを使用するには、バージョン 5.1 以降のシスコ Wireless LAN Configuration(WLC)を実行している必要があります。
アクセス ポイントの IP アドレスの保護
アクセス ポイントの IP アドレスを保護することにより、アクセス ポイントは WLC と通信でき、起動時に Unified イメージをダウンロードできます。ホスト ルータは、DHCP プールを通じてアクセス ポイント DHCP サーバ機能を提供します。このアクセス ポイントは WLC と通信し、DHCP プール コンフィギュレーションのコントローラ IP アドレスのオプション 43 を設定します。次の例は、設定サンプルを示しています。
ip dhcp pool embedded-ap-pool
network 60.0.0.0 255.255.255.0
dns-server 171.70.168.183
option 43 hex f104.0a0a.0a0f (single WLC IP address(10.10.10.15) in hex format)
ip address 60.0.0.1 255.255.255.0
WLC 検出プロセスの詳細については、 http://www.cisco.com/en/US/docs/wireless/controller/4.0/configuration/guide/ccfig40.html の『 Cisco Wireless LAN Configuration Guide』を参照してください。
モード設定がイネーブルになっていることの確認
モードの設定が有効になっていることを確認するには、次の手順を実行します。
ステップ 1 ルータから WLC サーバに ping を実行し、接続を確認します。
ステップ 2 service-module wlan-ap 0 session コマンドを実行し、アクセス ポイントへのセッションを確立します。
ステップ 3 アクセス ポイントが自律起動イメージを動作させているか確認します。
ステップ 4 show boot コマンドを入力してアクセス ポイントのモード設定がイネーブルになっていることを確認します。コマンドの出力例を示します。
BOOT path-list: flash:ap801-k9w7-mx.124-10b.JA3/ap801-k9w7-mx.124-10b.JA3
Config file: flash:/config.txt
Private Config file: flash:/private-config
アップグレードの実行
自律ソフトウェアを Cisco Unified ソフトウェアにアップグレードするには、次の手順に従います。
ステップ 1 アクセス ポイントの起動イメージを Cisco Unified アップグレード イメージ( 回復イメージ とも呼びます)に変更するには、グローバル コンフィギュレーション モードで service-module wlan-ap 0 bootimage unified コマンドを実行します。
Router(config)# service-module wlan-ap 0 bootimage unified
(注) service-module wlan-ap 0 bootimage unified コマンドを実行しても正しく処理されない場合は、ソフトウェア ライセンスがまだ有効であるか確認してください。
アクセス ポイントの起動イメージのパスを識別するには、アクセス ポイントのコンソールから EXEC モードで show boot コマンドを使用します。
autonomous-AP# show boot
BOOT path-list: flash:/ap801-rcvk9w8-mx/ap801-rcvk9w8-mx
ステップ 2 グレースフル シャットダウンを行ってアクセス ポイントをリブートし、アップグレード プロセスを完了するには、グローバル コンフィギュレーション モードで service-module wlan-ap 0 reload コマンドを実行します。アクセス ポイントとのセッションを確立し、アップグレード プロセスをモニタします。
GUI の設定ページを使用したワイヤレス デバイスのセットアップの詳細については、「Cisco Express 設定」を参照してください。
AP から自律モードへアップグレードまたは復帰する際のトラブルシューティング
Q. 私のアクセス ポイントでは、自律ソフトウェアから Cisco Unified ソフトウェアへのアップグレードに失敗し、回復モードに陥ったままになっているようです。どうすればいいでしょうか。
A. アクセス ポイントで自律ソフトウェアから Unified ソフトウェアにアップグレードできなかった場合は、次の操作を実行してください。
– 回復イメージを起動する前に、自律アクセス ポイントのスタティック IP アドレスが BVI インターフェイスに設定されていないことを確認します。
– ルータ/アクセス ポイントと WLC 間で ping を実行して、接続が確立されているか確認します。
– アクセス ポイントと WLC クロック(時刻と日付)が正しく設定されているか確認します。
Q. アクセス ポイントが起動を試行しているのですが、何度やってもうまくいきません。どうしてですか。
またアクセス ポイントがリカバリ イメージでスタックしたまま、Unified ソフトウェアにアップグレードしません。どうしてですか。
A. アクセス ポイントでは、起動を試みて失敗したり、回復モードに陥ってしまい、Unified ソフトウェアにアップグレードできない場合があります。このいずれかの状態になった場合は、 service-module wlan-ap0 reset bootloader コマンドを実行してアクセス ポイントをブートローダに戻し、手動でイメージを復帰させてください。
アクセス ポイントへのソフトウェアのダウンロード
アクセス ポイントの起動イメージを直前の自律イメージにリセットするには、グローバル コンフィギュレーション モードで service-module wlan-ap0 bootimage autonomous コマンドを使用します。自律ソフトウェア イメージをアクセス ポイントにリロードするには、 service-module wlan-ap 0 reload コマンドを使用します。
アクセス ポイントでのソフトウェア リカバリ
アクセス ポイントにイメージを回復するには、グローバル コンフィギュレーション モードで service-module wlan-ap0 reset bootloader コマンドを使用します。このコマンドを使用すると、アクセス ポイントがブートローダに戻り、手動でイメージをリカバリできるようになります。
注意 このコマンドの使用に当たっては、十分注意してください。この操作では通常のシャットダウンが実行されないことから、実行中のファイル操作に影響が生じる場合があります。このコマンドは、シャットダウンまたは障害状態から回復する目的に限り使用してください。