はじめに
このエントリでは、構築済みのWLCにSSIDを設定して、利用できるまでを記載します。
WLC構築、AP帰属は関連エントリで記載します。
コマンド編も追加しました。
Cisco WLCにSSIDを作成する(802.1X/PSK) コマンド編+よくつかうコマンド
関連するエントリ
Cisco Virtual Wireless LAN Contorller (vWLC) を OVAからデプロイして使えるようにするまで
Cisco Virtual Wireless LAN Contorller (vWLC) に Aironetアクセスポイントを帰属させる
対象機器および環境
- Cisco Virtual WLC(Ver.8.2.x)
- AIR-CAP3502I-Q-K9
- AIR-LAP1142N-P-K9
このエントリを読むとできること
- SSIDを設定を
- 構築済みWLCに設定させて
- 無線ネットワークに接続できるようになる
はず。
ケーススタディ
以下の無線LAN環境をこうちくします。
APの設定は右上にある、APhq01-02F01とします。
DataCenter
- WLC/DHCP/RADIUSサーバが設置
| ホスト名 | 役割 | アドレス |
|---|---|---|
| VMwlc01 | WLC | 10.254.10.201 |
| VMnetserv01 | DHCP,RADIUS | 10.254.10.251 |
HeadQuarter
- 2Fは事務所
- 1Fは会議室
- 1Fはスマホ/タブレットなど接続用にPSK認証を用意
- 接続台数が多いので、1F/2Fでセグメントを分割
| フロア | AP管理セグ | SSID(vlan) |
|---|---|---|
| 2F | V2020 | IntraGeneral(V2029) |
| 1F | V2010 | IntraGeneral(V2019) IntraStrict(V2002) |
BranchOffice
- 1F/2Fは事務所
- 接続台数が少ないので、1F/2Fでセグメントを共有
| フロア | AP管理セグ | SSID(vlan) |
|---|---|---|
| 1F/2F | V3010 | IntraGeneral(V3019) |
集中管理型無線LANの設計における役割分担
アクセスポイント
localモード
すべてのトラフィックをCAPWAPトンネル経由とし、WLCで終端させます。
古いバージョンでは、localモードしかなかったようなので、これを利用していたようです。
今回は利用しません。
FlexConnectモード
参考:FlexConnectの設定
FlexConnectはブランチオフィスに展開可能なソリューションで、WLCを各拠点に置かずとも、ブランチオフィスに設置されたアクセスポイントを管理できるようにします。
localモードでは、WLCでトラフィックが終端しますが、FlexConnectのローカルスイッチを利用すると、WANエッジルータでトラフィックを終端できます。
WANが切断された際には、「スタンドアロンモード」というのに切り替わって、AP自身で端末認証する、などで、WAN障害により切り離されたとしても、通信を継続させることができます。
(実際には、DHCPのリース期限などの問題もありますが。。。)
WLAN
WLANはWLCでSSIDの設定に利用します。
今回は以下のSSIDを作ります。
| SSID | 認証方式 | スイッチング方式 | 役割 | 制約 |
|---|---|---|---|---|
| IntraGeneral | 中央/802.1X | ローカル | 業務SSID | 制約なし |
| IntraStrict | 中央/PSK | ローカル | 制限SSID | 特定セグメントのみ通信許可 |
APグループ
APグループは複数のアクセスポイントをグループ化し、有効にするSSIDやRFプロファイルをまとめて管理することができる管理単位です。
今回の例では、利用場所でSSIDが異なるため、SSIDをまとめる単位として考えています。
| 拠点 | フロア | APグループ | SSID |
|---|---|---|---|
| HeadQuarter | 2F | APG_hq01_02F | IntraGeneral |
| HeadQuarter | 1F | APG_hq01_01F | IntraGeneral IntraStrict |
| BranchOffice | 1F/2F | APG_branch01 | IntraGeneral |
FlexConnectグループ
FlexConnectグループは複数のアクセスポイントをグループ化し、WLAN⇔VLANの紐づけ、バックアップRADIUSサーバやローカル認証の設定情報をまとめて管理することができる管理単位です。
今回の例では、利用場所でセグメントが異なるため、セグメントをまとめる単位として考えています。
| 拠点 | フロア | FCグループ | SSID⇔VLAN対応 |
|---|---|---|---|
| HeadQuarter | 2F | FCG_hq01_02F | IntraGeneral⇔V2029 |
| HeadQuarter | 1F | FCG_hq01_01F | IntraGeneral⇔V2019 IntraStrict⇔V2002 |
| BranchOffice | 1F/2F | FCG_branch01 | IntraGeneral⇔V3019 |
実装方法
ネットワーク構成図のなかの、APhq01-02F01を対象にして、設定を仕込んでいきます。
APモード変更
上部メニューの「WIRELESS」から設定対象のAPをクリックする。
APがWLCに帰属していること、AP管理アドレスが想定通りになっていること、を確認する。
今回の対象は、 APc464.1338.c5a2 をHeadQuarterの2FのAPに設定する。
想定するアドレスはV2020となる、10.1.20.0/24なので、これでOK。
下記の APc464.1338.c5a2 をクリックする。
「AP Name」→APhq01-02F01 と入力
「AP Mode」→FlexConnect をプルダウンから選択
画面右上の「Apply」をクリックすると、「APモードを変えると、APをリブートするぞ」的なメッセージが出るのでOKする。
RADIUSサーバの設定
802.1X認証のSSIDを構成する際には、RADIUS設定が必要となるので、先にそっちの設定をしておきます。
上部メニューの「SECURITY」をクリックして、左メニューバーから「AAA」→「RADIUS」→「Authentication」を選択すると、RADIUSサーバの一覧が表示される。
(すでに構築済みなので、設定が入っています。)
画面右上の「New」をクリックすると、RADIUSサーバ新規追加画面になります。
以下は必須項目ですが、それ以外はデフォルトで特に問題なさそうです。
| 項目 | 値 |
|---|---|
| Server IP Address(Ipv4/Ipv6) | RADIUSサーバのアドレス |
| Shared Secret | RADIUSシークレット |
| Confirm Shared Secret | RADIUSシークレット(再入力) |
WLAN作成
上部メニューの「WLAN」をクリックすると、現在のWLAN(SSID)一覧が表示される。
(すでに構築済みなので、SSIDが入っています。)
画面右上のプルダウンメニューで「Create New」を選択し、「Go」をクリックすると、WLAN新規追加画面になります。
WLAN新規追加画面に入ったら、ProfileNameとSSIDに作成したいSSID文字列を入力して右上の「Apply」をクリック。(ProfileNameとSSIDは同じでよいです。)
WLANが作成されると、WLANに対する詳細設定画面に遷移します。
Generalタブ
基本的な使い方をするだけなら、以下の項目の設定のみでよいです。
- 「Status」:チェックを入れるとこのSSIDが有効になります。
- 「Radio Policy」:どの周波数帯を利用するか選択します。
- 「Interface/Interface Group」デフォルトの所属IFを選択します。(FlexConnect設定でVLANを上書きするので、どれでも同じです)
次の手順に進む前に、画面右上の「Apply」をクリックします。
Securityタブ
詳細設定画面の「Security」タブをクリックすると、認証設定画面に遷移します。
802.1X認証の場合
デフォルトで802.1X認証設定になっているので、画面内の「AAA Servers」の子タブをクリックします。
「Authentication Servers」のチェックボックスにチェックを入れ、プルダウンメニューから、先に登録しておいたRADIUSサーバを選択します。
次の手順に進む前に、画面右上の「Apply」をクリックします。
PSK認証の場合
デフォルトの認証方式が802.1X認証なので、チェックを外し、PSKにチェックを入れます。
「PSK Format」が文字列ならASCIIを選択し、テキストボックスにPSK文字列を入力します。
次の手順に進む前に、画面右上の「Apply」をクリックします。
Advancedタブ
詳細設定画面の「Advanced」タブをクリックすると、詳細設定画面に遷移します。
特に変更の必要はないため、そのままでよいです。
(session Timeoutのチェックを外しておくと、再認証要求が頻繁に出なくなるため、IP電話などの環境では、外しておくとよいかも)
次の手順に進む前に、画面右上の「Apply」をクリックします。
ここまででSSIDの作成まで完了しました。
APグループ設定
APグループの設定で、どのAPにどのSSIDを吹かせるかを一括管理します。
上部メニューの「WLANs」をクリックして、左メニューバーから「Advanced」→「AP Groups」を選択すると、APグループの一覧が表示される。
(すでに構築済みなので、設定が入っています。)
画面右上の「Add Group」をクリックすると、APグループ新規追加画面になります。
APグループ新規追加画面に入ったら、「AP Group Name」と「Description」に作成したいAPグループ名を入力して、下部の「Add」をクリック。(「AP Group Name」と「Description」は同じでよいです。)
すると、元の画面(APグループ一覧)に戻るので、作成したAPグループ名をクリックする。
WLANsタブ
ここで、当該APグループでどのSSIDを吹かせるか決めます。
「Add New」をクリックすると、WLAN追加画面に遷移します。
「WLAN SSID」で追加したいSSIDをプルダウンメニューから選択(追加済みのものは表示されません)
「Interface/InterfaceGroup」でIF名をプルダウンメニューから選択(FlexConnectの場合は、FlexConnect設定でInterfaceを上書きするので、どれでもよいです)
下部の「Add」をクリックすると、そのSSIDが追加されます。
APsタブ
ここで、当該APグループにどのAPを所属させるかを決めます。
APはWLCに帰属すると、default-groupに所属するため、右側チェックボックスで選択し、「Add APs」をクリックします。すると、「APグループを変えると、APをリブートするぞ」的なメッセージが出るのでOKする。
APリブート後は下記のような状態になっている。
FlexConnectグループ設定
FlexConnectグループの設定で、バックアップRADIUSサーバ、ローカル認証、APのSSIDに対するVLAN割り当て、を一括管理します。
今回は、同じSSIDでも場所によってセグメント(VLAN)が異なるため、グループごとにSSIDに対するVLAN設定を割り当てていきます。
上部メニューの「WIRELESS」をクリックして、左メニューバーから「FlexConnect Groups」を選択すると、FlexConnectグループの一覧が表示される。
(すでに構築済みなので、設定が入っています。)
右上の「New...」をクリックすると、FlexConnectグループ新規追加画面に遷移するの。
FlexConnectグループ新規追加画面に入ったら、「Group Name」に作成したいFlexConnectグループ名を入力して、右上の「Apply」をクリック。
すると、元の画面(APグループ一覧)に戻るので、作成したAPグループ名をクリックする。
Generalタブ
ここで、当該FlexConnectグループにどのAPを所属させるかを決めます。
APはWLCに帰属すると、どのFlexConnectグループにも所属していない状態になります。
「Add AP」ボタンをクリックすると、AP追加の表示に切り替わります。
「Ethernet MAC」にMACアドレスを手入力して、「Add」ボタンをクリックすると、追加できますが、WLCに帰属していて、他FlexConnectグループに所属していないAPであれば、「Select APs from current controller」にチェックを入れると、一覧から選択できるようになります。
一覧からAPを選択して、「Add」を選択すれば、APをFlexConnectグループに所属させることができます。
WLAN VLAN mappingタグ
ここで、当該FLexConnectグループのSSIDに対するVLANを割り当てます。
「VLAN Support」にチェックを入れると、「Native VLAN ID」のテキストボックスが表示されるので、AP管理セグのVLANを入力します。(今回はV2020)
「WLAN Id」に対する「Vlan ID」を入力して「Add」をクリックします。
(WLAN Idは、上部メニュ「WLANs」から確認できます)
今回は「WLAN ID」が1、「Vlan ID」が2029です。
設定確認
上部メニューの「WIRELESS」から「APhq01-02F01」をクリックする。
Generalタブが表示されるので、FlexConnectタブをクリックする。
このとき、InheritanceLevelがGroup-Specificとなっていれば、FlexConnectグループでの設定が継承されている状態となっている。
先ほどの画面で、「VLAN Mappings」をクリックすると、以下画面になる。
ここで、FlexConnectグループで設定した、SSIDに対するVLANが正しいか、確認する。
InheritanceがGroup-specificになっていれば、FlexConnectグループ設定が継承されている。(ここで個別の設定をすれば、FlexConnectグループ設定を、さらに上書きすることも可能)
有線機器の設定
APはNativeVLANのDHCPで自アドレスの取得とWLCアドレスの割り当てを受けます。
端末のトラフィックはFlexConnectグループで設定した「WLAN VLAN Mappint」の通りのtrunkに流れていきます。
PoEスイッチがインテリものの場合には、接続IFをTrunkポートとし、NativeVLANをFlexConnectグループの設定と合わせておく必要があります。
PoEスイッチがノンインテリものの場合は、その上流のL3デバイスでPoEスイッチ接続ポートにおいて、同様のことが必要です。
おわりに
感想
WLAN、APグループ、FlexConnectグループ、と、設定項目が多岐にわたるので、とっちらかってしまいました。とはいえ、分割するとわけわからんくなるし。。。
整理の仕方も勉強が必要と感じました。
出典
だいたいのことは公式ドキュメントに記載されています。
Cisco Wireless Controller コンフィギュレーション ガイド、リリース 8.2