CHAPTER
1
概要
この章では、Cisco Wireless LAN Solution のコンポーネントと特長について説明します。この章の内
容は、次のとおりです。
• Cisco Wireless LAN Solution の概要(P. 1-2 )
• オペレーティング システム ソフトウェア(P. 1-6)
• オペレーティング システムのセキュリティ(P. 1-6 )
• Radio Resource Management(RRM )(P. 1-9 )
• Cisco Wireless LAN Controller (P. 1-10 )
• クライアント ローミング(P. 1-11 )
• 外部 DHCP サーバ(P. 1-13 )
• Cisco WLAN Solution のモビリティ グループ(P. 1-15 )
• Cisco WLAN Solution の有線接続(P. 1-17 )
• Cisco WLAN Solution 無線 LAN (P. 1-18 )
• アクセス コントロール リスト(P. 1-18)
• ID ネットワーキング( P. 1-19)
• 動的周波数選択(P. 1-21 )
• ファイル転送(P. 1-22 )
• Power over Ethernet (P. 1-22 )
• ピコ セル機能(P. 1-23 )
• Intrusion Detection Service
• Cisco Wireless LAN Controller (P. 1-25 )
• Lightweight アクセス ポイント(P. 1-39 )
• Autonomous アクセス ポイントの Lightweight モードへの変換( P. 1-46)
• 不正なアクセス ポイント(P. 1-51 )
• Web ユーザ インターフェイスと CLI( P. 1-53)
• Cisco Wireless Control System (P. 1-54 )
• Cisco 2700 シリーズ Location Appliance (P. 1-59 )
(IDS; 侵入検知サービス)(P. 1-24 )
OL-7955-01-J
Cisco Wireless LAN Solution 3.1 製品ガイド
1-1
Cisco Wireless LAN Solution の概要
Cisco Wireless LAN Solution の概要
Cisco Wireless LAN Solution は、企業およびサービス プロバイダーに 802.11 無線ネットワーキング
ソリューションを提供するように設計されています。Cisco Wireless LAN Solution を使用すると、大
規模無線 LAN の展開および管理が簡素化され、他に類のないクラス最高のセキュリティ インフラ
ストラクチャを実現できます。オペレーティング システムによって、すべてのデータ クライアン
ト、通信、およびシステム管理機能の管理、Radio Resource Management(RRM)機能の実行、オペ
レーティング システム Security ソリューションを使用したシステム全体のモビリティ ポリシーの
管理、およびオペレーティング システム Security フレームワークを使用したすべてのセキュリティ
機能の調整が行われます。
Cisco Wireless LAN Solution は、 Cisco Wireless LAN Controller とそのアソシエートされている
Lightweight アクセス ポイントから構成されます。これらは、オペレーティング システムで制御さ
れ、次のいずれかまたはすべてのオペレーティング システム ユーザ インターフェイスによってす
べて同時に管理されます。
• Cisco Wireless LAN Controller によってホストされる、HTTP または HTTPS あるいはその両方の
全機能を備えた Web ユーザ インターフェイス。個々のコントローラを設定して監視するとき
に使用できます。「Web ユーザ インターフェイスと CLI 」の項(P.1-53 )を参照してください。
• 全機能を備えた Command-line Interface(CLI; コマンドライン インターフェイス)。個々の Cisco
Wireless LAN Controller を設定して監視するときに使用できます。「Web ユーザ インターフェイ
スと CLI」の項( P.1-53) を参照してください。
• 「Cisco Wireless Control System 」の項( P.1-54 ) では、1 つ以上の Cisco Wireless LAN Controller と
アソシエート先のアクセス ポイントを設定し監視するために使用する、Cisco Wireless Control
System (WCS )について説明しています。WCS には、大規模システムの監視と制御を容易に
するツールが備わっています。WCS は、Windows 2000 、Windows Server 2003、および Red Hat
Enterprise Linux ES サーバ上で動作します。
• 業界標準の SNMP V1 、 V2c 、および V3 インターフェイスであれば、 SNMP 準拠のサードパー
ティ製ネットワーク管理システムと併用できます。
第 1 章 概要
Cisco Wireless LAN Solution は、クライアント データ サービス、クライアントの監視と制御、およ
びすべての不正なアクセス ポイントの検出、監視、および阻止機能をサポートします。Cisco Wireless
LAN Solution では、Lightweight アクセス ポイント、Cisco Wireless LAN Controller、およびオプショ
ンの Cisco WCS を使用して、企業とサービス プロバイダーに無線サービスを提供します。
Cisco WCS アプリケーションには次の 2 つのバージョンがあります。
• Cisco WCS Base:最も近い Lightweight アクセス ポイントに対する、クライアント、不正なア
クセス ポイント、不正なアクセス ポイント クライアント、Radio Frequency ID(RFID; 無線周
波数 ID)タグ ロケーションもサポートします。
• Cisco WCS Location:10m 以内のクライアント、不正なアクセス
イント クライアント、RFID タグ ロケーションもサポートします。
詳細は、「Cisco WCS Base 」の項(P.1-55 )と「Cisco WCS Location 」の項(P.1-56 )を参照してください。
Cisco WCS Location を使用している場合、Cisco Wireless LAN Solution のエンド ユーザは、 Cisco 2700
シリーズ Location Appliance を展開することもできます。これについては、第10 章「Location Appliance
を設定および使用する方法」を参照してください。Location Appliance は、履歴ロケーション デー
タを計算、収集、および格納し、このデータを Cisco WCS に表示することにより、高精度な組み込
み Cisco WCS Location 機能を拡張します。この場合、Location Appliance は 1 つまたは複数の Cisco
WCS サーバに対するサーバとして機能し、そのアソシエートされているコントローラのデータを
収集、格納、および受け渡しします。
ポイント、不正なアクセス ポ
1-2
Cisco Wireless LAN Solution 3.1 製品ガイド
OL-7955-01-J
第 1 章 概要
(注) 本書では、Cisco Wireless LAN Controller 全体を説明します。特に記載されていない限り、本書の説
Cisco Wireless LAN Solution の概要
明は、 Cisco 2000 シリーズ Wireless LAN Controller 、 Cisco 4100 シリーズ Wireless LAN Controller 、
Cisco 4400 シリーズ Wireless LAN Controller などの、すべての Cisco Wireless LAN Controller に適用
されます。
図 1-1 は、複数のフロアとビルディングに同時に展開できる Cisco Wireless LAN Solution コンポーネ
ントを示しています。
図 1-1 Cisco WLAN Solution コンポーネント
シングルコントローラ展開
スタンドアロンの Cisco Wireless LAN Controller では、複数のフロアとビルディングに配置されてい
る Lightweight アクセス ポイントを同時にサポートすることができます。サポートされている機能
は、次のとおりです。
• ネットワークに追加された Lightweight アクセス ポイントの自動検出と自動設定。
• Lightweight アクセス ポイントの完全制御。
• 最大 16 までの Lightweight アクセス ポイント無線 LAN (SSID )ポリシーの完全制御。
• ネットワークを介したコントローラへの Lightweight アクセス ポイントの接続。ネットワーク
機器では、アクセス ポイントに Power over Ethernet を提供してもしなくてもかまいません。
一部の Cisco Wireless LAN Controller では、1 つのネットワークに障害が発生した場合、冗長ギガ
ビット イーサネット接続を使用してこれを迂回します。常に 1 つの冗長ギガビット イーサネット
接続がアクティブで、もう一方はパッシブです。ネットワークに障害が発生すると、アクティブな
接続がパッシブになり、パッシブな接続がアクティブになります。
(注) 一部のコントローラは、複数の物理ポートを使用して、ネットワークの複数のサブネットに接続で
きます。この機能は、Cisco WLAN Solution オペレータが複数の VLAN を別々のサブネットに限定
する場合などに役立ちます。
OL-7955-01-J
Cisco Wireless LAN Solution 3.1 製品ガイド
1-3
Cisco Wireless LAN Solution の概要
図 1-2 は、一般的なシングルコントローラ展開を示しています。
図 1-2 シングルコントローラ展開
第 1 章 概要
マルチコントローラ展開
すべての Cisco Wireless LAN Controller は、複数のフロアとビルディングに配置されている
Lightweight アクセス ポイントを同時にサポートできます。ただし、 Cisco Wireless LAN Solution の
全機能が実現されるのは、複数のコントローラが使用さ れている 場合で す。マルチ Cisco Wireless
LAN Controller システムには、次の追加の機能があります。
• ネットワークに追加された Cisco Wireless LAN Controller の RF パラメータの自 動検 出と自 動設 定。
• 同一コントローラ(レイヤ 2 )でのローミングと サブネット間(レイヤ 3 )でのローミング。
• 未使用ポートがある任意の冗長コントローラへのアクセス ポイントの自動フェールオーバー
(「Cisco Wireless LAN Controller のフェールオーバーの保護」の項(P.1-33 )を参照)。
次の図は、一般的なマルチコントローラ展開を示しています。また、この図では、オプションの専
用管理ネットワークと、ネットワークとコントローラ間の 3 つの物理接続タイプも示しています。
1-4
Cisco Wireless LAN Solution 3.1 製品ガイド
OL-7955-01-J
第 1 章 概要
Cisco Wireless LAN Solution の概要
図 1-3 一般的なマルチコントローラ展開
OL-7955-01-J
Cisco Wireless LAN Solution 3.1 製品ガイド
1-5
オペレーティング
システム ソフトウェア
オペレーティング システム ソフトウェア
オペレーティング システム ソフトウェアは、 Cisco Wireless LAN Controller と Cisco 1000 シリーズ
Lightweight アクセス ポイントを制御します。このソフトウェアには、オペレーティング システム
のセキュリティ機能と Radio Resource Management( RRM)機能がすべて組み込まれています。
オペレーティング システムのセキュリティ
オペレーティング システムのセキュリティ機能により、レイヤ 1、レイヤ 2、およびレイヤ 3 のセ
キュリティ コンポーネントを、Cisco WLAN Solution 全体の簡単な Policy Manager に組み込みます。
この Policy Manager は、最大 16 の無線 LAN それぞれに対して、独立したセキュリティ ポリシーを
作成する管理ツールです(「Cisco WLAN Solution 無線 LAN」の項(P.1-18)を参照してください)。
802.11 静的 WEP の脆弱性は、次のような強化された業界標準のセキュリティ ソリューションを使
用することで克服できます。
• Extensible Authentication Protocol (EAP; 拡張認証プロトコル)使用による 802.1X 動的キー。
• Wi-Fi Protected Access (WPA )動的キー。Cisco WLAN Solution の WPA 実装には、次のものが
含まれます。
− Temporal Key Integrity Protocol(TKIP )+ Message Integrity Code Checksum(Michael )動的キー、
または
− WEP キー(事前共有キーのパスフレーズの有無を問わない)
• RSN (事前共有キーの有無を問わない)
• Cranite FIPS140-2 準拠パススルー
• Fortress FIPS140-2 準拠パススルー
• オプションの MAC フィルタリング
第 1 章 概要
WEP 問題は、次のような業界標準のレイヤ 3 セキュリティ ソリューションを使用すると、さらに
進んだ解決が可能です。
• 終端されるパススルー VPN
• 終端されるパススルー Layer Two Tunneling Protocol(
L2TP は IP Security(IPSec; IP セキュリティ)プロトコルを使用します。
• 終端されるパススルー IPSec プロトコル。終端される Cisco WLAN Solution の IPSec 実装には、
次のものが含まれます。
− Internet Key Exchange(IKE; インターネット キー エクスチェンジ)
− Diffie-Hellman (D-H; ディッフィーヘルマン)グループ
− ANSI X.3.92 Data Encryption Standard(データ暗号規格 ; ANSI X.3.92 データ暗号化規格)、
ANSI X9.52-1998 Data Encryption Standard (3DES; ANSI X9.52-1998 データ暗号化規格)、ま
たは Advanced Encryption Standard/Cipher Block Chaining(AES/CBC; 高度暗号化規格 / 暗号
ブロック連鎖)の 3 つのオプション レベルの暗号化。
Cisco WLAN Solution IPSec 実装には、次のアルゴリズムを使用した業界標準認証も含まれます。
− Message Digest 5 (MD5; メッセージ ダイジェスト 5 )アルゴリズム
− Secure Hash Algorithm-1 (SHA-1 )
• Cisco Wireless LAN Solution では、ローカルおよび RADIUS Media Access Control(RADIUS MAC;
RADIUS メディア アクセス制御)アドレス フィルタリングがサポートされています。
• Cisco Wireless LAN Solution は、ローカルおよび RADIUS ユーザ / パスワード認証をサポートし
ます。
L2TP; レイヤ 2 トンネリング プロトコル)。
1-6
Cisco Wireless LAN Solution 3.1 製品ガイド
OL-7955-01-J
第 1 章 概要
• また、Cisco Wireless LAN Solution は、手動および自動による無効化を使用して、ネットワーク
サービスへのアクセスをブロックします。手動で無効化するときは、オペレータがクライアン
トの MAC アドレスを使用してアクセスをブロックします。自動による無効化は常にアクティ
ブであり、クライアントが一定の回数の認証を繰り返し試みて失敗すると、オペレーティング
システム ソフトウェアにより、オペレータが設定した時間だけネットワーク サービスへのア
クセスが自動的にブロックされます。この無効化を使用すると、Brute-Force ログイン アタック
を阻止できます。
これらとその他のセキュリティ機能は、業界標準の許可および認証方式を使用して、ビジネスクリ
ティカルな無線 LAN トラフィックに対する最高のセキュリティを実現します。
Cisco WLAN Solution の有線セキュリティ
従来のアクセス ポイン ト ベンダーの多くは、「オペレーティング システムのセキュリティ」の項
(P.1-6 )で説明したような無線インターフェイスのセキュリティ対策に集中しています。ただし、
オペレーティング システムには、Cisco Wireless LAN Controller サービス インターフェイス、アク
セス ポイントに対する Cisco Wireless LAN Controller のセキュリティ、デバイス サービシング時と
クライアントのローミング時の Cisco Wireless LAN Controller 間通信のセキュリティを確保するた
めのセキュリティ機能が組み込まれています。
オペレーティング
システムのセキュリティ
製造されるすべての Cisco Wireless LAN Controller と Cisco 1000 シリーズ Lightweight アクセス ポイ
ントには、固有の署名付き X.509 証明書が添付されます。この証明書は、デバイス間の IPSec トン
ネルの認証に使用されます。認証された IPSec トンネルにより、モビリティおよびデバイス サービ
シングでの安全な通信が保証されます。
また、Cisco Wireless LAN Controller と Cisco 1000 シリーズ Lightweight アクセス ポイントは、署名
付き証明書を使用して、ダウンロードしたコードを読み込む前に確認することで、ハッカーによっ
て Cisco Wireless LAN Controller や Cisco 1000 シリーズ Lightweight アクセス ポイントに悪意のある
コードがダウンロードされないようにしています。
OL-7955-01-J
Cisco Wireless LAN Solution 3.1 製品ガイド
1-7
第 1 章 概要
レイヤ
2 およびレイヤ 3 の Lightweight Access Point protocol( LWAPP)動作
レイヤ 2 およびレイヤ 3 の Lightweight Access Point protocol(LWAPP )
動作
Cisco Wireless LAN Controller と Cisco 1000 シリーズ Lightweight アクセス ポイント間の LWAPP 通
信は、ISO データリンク レイヤ 2 またはネットワーク レイヤ 3 で実行されます。
動作上の要件
レイヤ 2 LWAPP 通信の要件として、Cisco Wireless LAN Controller と Cisco 1000 シリーズ Lightweight
アクセス ポイントは同一サブネット上のレイヤ 2 デバイスを使用して相互接続されている必要が
あります。これが、Cisco Wireless LAN Solution のデフォルトの操作モードです。Cisco Wireless LAN
Controller と Cisco 1000 シリーズ Lightweight アクセス ポイントが異な るサブ ネット上 にある とき
は、デバイスはレイヤ 3 モードで動作しなければならないことに注意してください。
レイヤ 3 LWAPP 通信の要件として、Cisco Wireless LAN Controller と Cisco 1000 シリーズ Lightweight
アクセス ポイントは、同一サブネットではレイヤ 2 デバイスを使用して接続し、異なるサブネット
間ではレイヤ 3 デバイスを使用して接続する必要があります。
設定上の要件
1 つのモビリティ グループに含まれる Cisco Wireless LAN Controller はすべて、同じ LWAPP レイヤ
2 またはレイヤ 3 モードを使用する必要があり、使用しないと、モビリティ ソフトウェアのアルゴ
リズムが無効になります。
レイヤ 2 モードで Cisco Wireless LAN Solution を稼働している場合は、レイヤ 2 通信を制御するよ
う管理インターフェイスを設定する必要があります。
レイヤ 3 モードで Cisco Wireless LAN Solution を稼働している場合は、レイヤ 2 通信を制御するよ
う管理インターフェイスを設定し、Cisco 1000 シリーズ Lightweight アクセス ポイントと Cisco
Wireless LAN Controller 間のレイヤ 3 通信を制御するよう AP マネージャ インターフェイスを設定
する必要があります。
1-8
Cisco Wireless LAN Solution 3.1 製品ガイド
OL-7955-01-J
第 1 章 概要
Radio Resource Management (RRM )
Radio Resource Management(RRM)を使用すると、Cisco Wireless LAN Controller は、次の情報につ
いてそのアソシエートされている Cisco 1000 シリーズ Lightweight アクセス ポイントを継続的に監
視することができます。
• トラフィックの負荷:トラフィックの送受信に使用される帯域幅の合計量。これにより、無線
LAN 管理者は、クライアントの需要よりも先に、ネットワークの成長を追跡して計画を立てる
ことができます。
• 干渉:他の 802.11 発信元から送られてくるトラフィック量。
• ノイズ:現在割り当てられているチャネルと干渉している 802.11 以外のノイズ量。
• カバレッジ:すべてのクライアントの Received Signal Strength Indicator (RSSI; 受信信号強度イ
ンジケータ)と Signal to Noise Ratio (SNR; 信号対雑音比)。
• 近くにあるアクセス ポイント。
RRM は、収集した情報を使用して、オペレータが定義した制限内で、最も効率が良くなるように
802.11 RF ネットワークを定期的に再設定できます。そのために、RRM では次の処理を行います。
• 同じ Cisco Wireless LAN Controller 内と、複数の Cisco Wireless LAN Controller 間の双方におい
て、動的なチャネルの再割り当てを行い、キャパシティを増大させてパフォーマンスを向上さ
せます。
• 同じ Cisco Wireless LAN Controller 内と、複数の Cisco Wireless LAN Controller 間の双方におい
て、送信電力を調整して、カバレッジとキャパシティのバランスを取ります。
• オペレータが近くの Cisco 1000 シリーズ Lightweight アクセス ポイントをグループに割り当て
て、Radio Resource Management アルゴリズムの処理を効率的に行えるようにします。
• 各 Cisco Wireless LAN Controller にレポートするグループ化された Cisco 1000 シリーズ
Lightweight アクセス ポイント間で新しいクライアントをロード バランシングします。RRM は
自動的に一部の登録者を近くのアクセス ポイントにアソシエートして、すべてのクライアント
のスループットを高めることができるので、多数のクライアントが 1 個所にコンバージしてい
る場合に(会議室や講堂など)、この処理が特に重要になります。
• 新しい
• 新しい Cisco Wireless LAN Controller がネットワークに追加されると、自動的に検出して設定を
• クライアントが非常に低い信号強度で Cisco 1000 シリーズ Lightweight アクセス ポイントに常
• オペレータが定義したモビリティ グループ内で、自動的に Cisco Wireless LAN Controller グルー
Cisco 1000 シリーズ Lightweight アクセス ポイント がネットワークに追加されると、自
動的に検出して設定を行いま す。RRM は、ア ソシエートされている Cisco 1000 シリーズ
Lightweight アクセス ポイントを自動的に分散して、カバレッジとキャパシティを最大限に活用
します。
行います。RRM は、アソシエートされている Cisco 1000 シリーズ Lightweight アクセス ポイン
トを自動的に分散して、カバレッジとキャパシティを最大限に活用します。
時接続しているカバレッジ ホールを検出してレポートします。
プを定義します。
Radio Resource Management( RRM)
OL-7955-01-J
このように、RRM ソリューションを使用すると、オペレータは、面倒な履歴データの解釈と個々
の Cisco 1000 シリーズ IEEE 802.11a/b/g Lightweight アクセス ポイントの再設定にかかる負担を避け
ることができます。RRM の電力制御機能 によってク ライアント の要望が満た され、Cisco 1000 シ
リーズ Lightweight アクセス ポイントを追加(または再配置)する必要があることがカバレッジ ホー
ル検出機能によってオペレータにアラートされます。
RRM では展開されているネットワーク 802.11a および 802.11b/802.11g のそれぞれに対して、別々
の監視と制御を使用します。また、RRM は自動的に有効になりますが、個々の Cisco 1000 シリー
ズ Lightweight アクセス ポイントについてカスタマイズしたり無効にしたりすることも可能です。
さらに、簡単な手動による設定を希望するオペレータに対して、RRM では最適な Cisco Radio 設定
を推奨し、これらの設定をオペレータ コマンドに割り当てることができます。
Cisco Wireless LAN Solution 3.1 製品ガイド
1-9
Cisco Wireless LAN Controller
RRM の制御によって、最適なキャパシティ、パフォーマンス、および信頼性を備えたネットワー
クが構築されます。また、RRM 機能により、オペレータは、一過性でトラブルシューティングが
困難なノイズおよび干渉問題の発生を確認するために常時ネットワークを監視する必要から開放
されます。最終的に、RRM の制御によって、クライアントは Cisco WLAN Solution 802.11 ネット
ワーク経由による、シームレスで円滑な接続を利用できるようになります。
Cisco Wireless LAN Controller
Cisco 1000 シリーズ Lightweight アクセス ポイントをマルチ Cisco Wireless LAN Controller 展開ネッ
トワークに追加する場合、すべての Cisco 1000 シリーズ Lightweight アクセス ポイントを、同一サ
ブネット上の 1 つのマスター コントローラにアソシエートすると便利です。こうすると、オペレー
タは複数のコントローラにログインして、新たに追加された Cisco 1000 シリーズ Lightweight アク
セス ポイントがアソシエートしているコントローラを検索する必要はありません。
Lightweight アクセス ポイントを追加するとき、各サブネット内の 1 つのコントローラをマスター
コントローラとして割り当てることができます。同一サブネット上のマスター コントローラがアク
ティブである限り、プライマリ、セカンダリ、ターシャリ コントローラが割り当てられていない新
しいアクセス ポイントはすべて、マスター Cisco Wireless LAN Controller とのアソシエートを自動
的に試みます。このプロセスについては、「Cisco Wireless LAN Controller のフェールオーバーの保
護」の項(P.1-33 )を参照してください。
第 1 章 概要
オペレータは、WCS Web ユーザ インターフェイスを使用して、マスター コントローラを監視し、
アクセス ポイントがマスター コントローラにアソシエートするのを確認できます。そして、オペ
レータは、アクセス ポイント設定を確認して、プライマリ、セカンダリ、ターシャリ コントロー
ラをアクセス ポイントに割り当てて、プライマリ、セカンダリ、またはターシャリ コントローラ
に再アソシエートするように、アクセス ポイントを再度ブートします。
(注) Lightweight アクセス ポイントでは、プライマリ、セカンダリ、またはターシャリ コントローラが
割り当てられていない場合、リブート時には必ずマスター コントローラが最初に検索されます。マ
スター コントローラ経由による Lightweight アクセス ポイントを追加したら、プライマリ、セカン
ダリ、またはターシャリ コントローラを各アクセス ポイントに割り当ててください。シスコでは、
初期設定後にすべてのコントローラのマスター設定を無効にすることを推奨しています。
プライマリ、セカンダリ、ターシャリ コントローラ
マルチコントローラ ネットワークでは、Lightweight アクセス ポイントは同じサブネット上の任意
のコントローラにアソシエートできます。確実にすべてのアクセス ポイントを特定のコントローラ
にアソシエートするために、オペレータは、プライマ リ、セカンダリ、およびターシ ャリ コント
ローラをアクセス ポイントに割り当てることができます。
アクセス ポイントはネットワークに追加さ れる と、プライマリ、セカンダリ、およびターシャリ
コントローラをまず検索してから、使用可能なアクセス ポイント ポートを持つ、最も負荷の少な
いコントローラを検索します。詳細は、「Cisco Wireless LAN Controller のフェールオーバーの保護」
の項(P.1-33 )を参照してください。
1-10
Cisco Wireless LAN Solution 3.1 製品ガイド
OL-7955-01-J
第 1 章 概要
クライアント ローミング
Cisco Wireless LAN Solution は、同じ Cisco Wireless LAN Controller で管理されている Cisco 1000 シ
リーズ Lightweight アクセス ポイント間、同一サブネット上の同じ Cisco WLAN Solution モビリティ
グループに属している Cisco Wireless LAN Controller 間、および異なるサブネット上の同じモビリ
ティ グループに属しているコントローラ間での、シームレスなクライアント ローミングをサポー
トします。
同一コントローラ(レイヤ 2 )でのローミング
すべての Cisco Wireless LAN Controller は、同じコントローラで管理されているアクセス ポイント
間での同一コントローラ クライアント ローミングをサポートします。セッションはそのまま持続
され、クライアントは同じ DHCP 割り当てまたはクライアント割り当て IP アドレスを引き続き使
用するため、このローミングはクライアントには透過的に行われます。コントローラには、リレー
機能を備えている DHCP 機能があります。同一コントローラ ローミングは、シングルコントロー
ラ展開とマルチコントローラ展開でサポートされています。
クライアント
ローミング
コントローラ間(レイヤ 2 )ローミング
同様に、マルチコントローラ展開の Cisco Wireless LAN Solution では、同一モビリティ グループ内
および同一サブネット上のコントローラによって管理されるア クセス ポイント間のクライ アント
ローミングをサポートします。セッションがアクティブである限り、セッションはそのまま持続さ
れ、コントローラ間のトンネルによって、クライアントは同じ DHCP 割り当てまたはクライアント
割り当て IP アドレスを引き続き使用できるため、このローミングもクライアントには透過的に行
われます。クライアントが 0.0.0.0 というクライアント IP アドレス、または 169.254.*.* というクラ
イアント 自動 IP アドレスを持つ DHCP Discover を送信するか、オペレータが設定したセッション
のタイムアウトが過ぎた場合には、トンネルがティアダウンし、クライアントは再認証を行わなけ
ればなりません。
リモート ロケーションにある Cisco 1030 リモート エッジ Lightweight アクセス ポイントがローミン
グをサポートするには、同一サブネット上になければならないことに注意してください。
サブネット間(レイヤ 3 )でのローミング
同様に、マルチコントローラ展開の Cisco Wireless LAN Solution では、異なるサブネット上の同一
モビリティ グループ内のコントローラによって管理されるアクセス ポイント間のクライアント
ローミングをサポートします。セッションがアクティブである限り、セッションはそのまま持続さ
れ、コントローラ間のトンネルによって、クライアントは同じ DHCP 割り当てまたはクライアント
割り当て IP アドレスを引き続き使用できるため、このローミングはクライアントには透過的に行
われます。クライアントが 0.0.0.0 というクライアント IP アドレス、または 169.254.*.* というクラ
イアント 自動 IP アドレスを持つ DHCP Discover を送信するか、オペレータが設定したセッション
のタイムアウトが過ぎた場合には、トンネルがティアダウンし、クライアントは再認証を行わなけ
ればなりません。
OL-7955-01-J
リモート ロケーションにある Cisco 1030 リモート エッジ Lightweight アクセス ポイントがローミン
グをサポートするには、同一サブネット上になければならないことに注意してください。
Cisco Wireless LAN Solution 3.1 製品ガイド
1-11
クライアント
ローミング
特殊なケース:VoIP による通話ローミング
802.11 VoIP 通話は、積極的に最強の RF 信号とのア ソシ エーシ ョンを見 つけ 出す こと で、最適な
QoS(Quality of Service)と最高のスループットを約束します。Cisco Wireless LAN Solution の平均ハ
ンドオーバー遅延時間は 9 ミリ秒以下なので、20 ミリ秒という最短の VoIP 通話要件や、ローミン
グ ハンドオーバーの遅延時間の短縮は簡単に実現されます。
この短い遅延時間は、個々のアクセス ポイントにローミング ハンドオーバーのネゴシエートを許
可せずに、Cisco Wireless LAN Controller によって制御されます。
Cisco Wireless LAN Solution では、Cisco Wireless LAN Controller が同一のモビリティ グループに属
している場合、異なる サブネット上のコントロー ラによって管理される Cisco 1000 シリーズ
Lightweight アクセス ポイント間での 802.11 VoIP 通話ローミングをサポートします。セッションが
アクティブである限り、セッションはそのまま持続され、コントローラ間のトンネルによって、VoIP
通話は同じ DHCP 割り当て IP アドレスを引き続き使用できるため、このローミングはクライアン
トには透過的に行われます。クライアントが 0.0.0.0 という VoIP 通話 IP アドレス、または 169.254.*.*
という VoIP 通話自動 IP アドレスを持つ DHCP Discover を送信するか、オペレータが設定したセッ
ションのタイムアウトが過ぎた場合には、トンネルがティアダウンして、VoIP クライアントは再
認証を行わなければならないことに注意してください。
第 1 章 概要
クライアント ロケーション
Cisco Wireless LAN Solution では、クライアント、不正なアクセス ポイント、不正なアクセス ポイ
ント クライアント、無線周波数 ID(RFID)タグ ロケーションを定期的に特定し、Cisco WCS デー
タベースにそのロケーションを保存します。クライアントのロケーション履歴を表示するには、
Cisco WCS Monitor Client < クライアント > - < ベンダーの MAC アドレス> ページを参照して、Recent
Map( High Resolution)または Present Map( High Resolution)を選択します。 Cisco WCS Base では、
最も近いアクセス ポイントへのロケーションをサポートします。Cisco WCS Location では、10m 以
内のロケーションをサポートします。
Cisco WCS Location を使用している場合、Cisco Wireless LAN Solution のエンド ユーザは、 Cisco 2700
シリーズ Location Appliance(Location Appliance)を展開することもできます。これについては、
「Cisco 2700 シリーズ Location Appliance 」の 項( P.1-59 )を参照してください。Location Appliance は、
履歴ロケーション デー タを計算、収集、および格納することで、高精度な組み込み Cisco WCS
Location 機能を拡張して、このデータを Cisco WCS に表示することができます。この場合、Location
Appliance は 1 つまたは複数の Cisco WCS サーバに対するサーバとして機能し、そのアソシエート
されているコントローラのデータを収集、格納、および受け渡しします。
1-12
Cisco Wireless LAN Solution 3.1 製品ガイド
OL-7955-01-J
第 1 章 概要
外部 DHCP サーバ
オペレーティング システムは、ネットワークに対しては DHCP リレーとして、そして業界標準の
外部 DHCP サーバが DHCP リレーをサポートする場合は、クライアントに対する DHCP サーバと
して表示されるように設計されています。つまり、各 Cisco Wireless LAN Controller は、DHCP サー
バに対する DHCP リレー エージェントとして表示されます。これは、Cisco Wireless LAN Controller
が、無線クライアントに対しては、仮想 IP アドレスにある DHCP サーバとして表示されることも
意味します。
Cisco Wireless LAN Controller は DHCP サーバから取得したクライアント IP アドレスをキャプチャ
するので、同一 Cisco Wireless LAN Controller 、Cisco Wireless LAN Controller 間、およびサブネット
間でのクライアント ローミング時に、そのクライアントの同一 IP アドレスを保持します。
無線 LAN ごとの割り当て
Cisco WLAN Solution 無線 LAN はすべて、同じ DHCP サーバまたは異なる DHCP サーバを使用する
か、または DHCP サーバを使用しないようにするかを設定できます。これにより、オペレータはか
なり柔軟に無線 LAN を設定できるようになります。詳細は、「Cisco WLAN Solution 無線 LAN 」の
項(P.1-18 )を参照してください。
外部
DHCP サーバ
無線による管理をサポートする Cisco WLAN Solution の無線 LAN では、管理(デバイス サービシ
ング)クライアントが DHCP サーバから IP アドレスを取得できるようにする必要があります。無
線による管理の設定方法は、「無線による管理の使用」の項(P.3-17 )を参照してください。
インターフェイスごとの割り当て
個々のインターフェイスに DHCP サーバを割り当てることができます。
• レイヤ 2 管理インターフェイスは、プライマリおよびセカンダリ DHCP サーバに設定できます。
管理インターフェイスの詳細は、「管理インターフェイスについて」の項(P.1-29 )を参照して
ください。
• レイヤ 3 AP マネージャ インターフェイスは、プライマリおよびセカンダリ DHCP サーバに設
定できます。AP マネージャ インターフェイスの詳細は、「AP マネージャ インターフェイス」
の項(P.1-30 )を参照してください。
• 各オペレータ定義インターフェイスは、プライマリおよびセカンダリ DHCP サーバに設定でき
ます。オペレータ定義インターフェイスの詳細は、「オペレータ定義インターフェイス」の項
(P.1-30 )を参照してください。
• 仮想インターフェイスは、DHCP サーバを使用しません。仮想インターフェイスの詳細は、「仮
想インターフェイス」の項(P.1-31 )を参照してください。
• サービス ポート インターフェイスは、 DHCP サーバを有効または無効にするように設定できま
す。サービス ポート インターフェイスの詳細は、「サービス ポート」の項(P.1-31)を参照し
てください。
OL-7955-01-J
Cisco Wireless LAN Solution 3.1 製品ガイド
1-13
外部
DHCP サーバ
セキュリティ上の考慮事項
高度なセキュリティが必要な場合は、すべてのクライアントに対して DHCP サーバの IP アドレス
の取得を要求することを推奨します。この要件を適用するためには、すべての無線 LAN を、DHCP
Required に設定して、有効な DHCP サーバの IP アドレスを入力するように設定し、クライアント
の固定 IP アドレスが禁止されるようにします。DHCP Required に設定されている 無線 LAN にアソ
シエートするクライアントは、指定した DHCP サーバの IP アドレスを取得しないと、どのネット
ワーク サービスへのアクセスも許可されません。
DHCP Required が選択されている場合、クライアントは DHCP を使って IP アドレスを取得しなけ
ればならないことに注意してください。固定 IP アドレスを持つクライアントはすべて、ネットワー
ク上で許可されなくなります。クライアントの DHCP プロキシとして動作する Cisco Wireless LAN
Controller が、DHCP トラフィックを監視します。
セキュリティが多少劣ってもかまわない場合は、DHCP Required を無効に設定し、有効な DHCP
サーバの IP アドレスを指定して、無線 LAN を作成することができます。その後クライアントは、
固定 IP アドレスを使用するか、指定された DHCP サーバの IP アドレスを取得するかを選択できま
す。
また、オペレータは、DHCP Required を無効に設定し、DHCP サーバの IP アドレス を 0.0.0.0 に指
定した無線 LAN を別に作成することもできます。このような無線 LAN では、すべての DHCP 要求
がドロップするため、クライアントは固定 IP アドレスを使用しなければなりません。これらの無
線 LAN は、無線接続による管理をサポートしていないことに注意してください。
第 1 章 概要
1-14
Cisco Wireless LAN Solution 3.1 製品ガイド
OL-7955-01-J
第 1 章 概要
Cisco WLAN Solution のモビリティ グループ
Cisco Wireless LAN Solution オペレータは、コントローラのグループ間でのクライアント ローミン
グを許可するようモビリティ グループを定義できます。マルチコントローラ展開 のコント ローラ
は、ネットワーク全体および無線で相互検出を行うことができるため、企業、公共機関、および無
線インターネット サービス プロバイダーは、使用しているコントローラを切り離すことが重要で
す。オペレーティング システムでは、オペレータがコントローラにモビリティ グループ名を割り
当てることで、この切り離しを簡単に実行できるようにしています。この割り当てを実行するには、
Web ユーザ インターフェイス、WCS、または CLI を使用できます。
クライアントは、本来の、つまりアンカーである Cisco Wireless LAN Controller に自動的にアソシ
エートされた後で、ローミングできるようになります。このアンカーの Cisco Wireless LAN Controller
は、クライアント セッション期間中、クライアント情報を保持し、クライアントがすべてのハンド
オフにおいて同じ IP アドレスで接続された状態を維持するようにします。
モビリティ グループに含まれるすべてのコントローラでは、同一のレイヤ 2 および レイヤ 3
LWAPP 動作を使用する必要があり、使用しないと、モビリティ ソフトウェア アルゴリズムを無視
することになるので注意が必要です。
図 1-4 は、2 つのグループの Cisco Wireless LAN Controller について、モビリティ グループ名を作成
した結果を示しています。ABC モビリティ グループの Cisco Wireless LAN Controller は、そのアク
セス ポイントと共有サブネットを経由して、互いに認識し、相互通信を行いますが、ABC モビリ
ティ グループは、XYZ アクセス ポイントを不正なアクセス ポイントとしてタグ付けします。同様
に、XYZ モビリティ グループのコントローラは、ABC モビリティ グループのコントローラを認識
せず、通信を行いません。この機能により、ネットワークでのモビリティ グループの切り離しが確
実に行われます。
Cisco WLAN Solution のモビリティ グループ
図 1-4 一般的なモビリティ グループ名の適用
OL-7955-01-J
Cisco Wireless LAN Solution 3.1 製品ガイド
1-15
Cisco WLAN Solution のモビリティ グループ
(注) コントローラが正常に VLAN トラフィックをルーティングするように、無線 LAN と管理インター
フェイスにはそれぞれ別の VLAN セットを割り当てることをお勧めします。
Cisco WLAN Solution モビリティ グループ機能を使用して、異なるモビリティ グループ名を同じ無
線ネットワーク内の異なる Cisco Wireless LAN Controller に割り当て、1 つの企業内の異なるフロア、
ビルディング、キャンパス間でのローミングを制限することもできます。
Radio Resource Management (RRM )動作は、有効の場合、個々の Cisco WLAN Solution モビリティ
グループ内に制約されます。RRM の詳細は、「Radio Resource Management (RRM )」の項(P.1-9 )
を参照してください。
(注) コントローラは同じモビリティ グループ内で相互通信を行うため、ネットワーク上の不要なトラ
フィックを増やさないように、シスコでは、物理的に分離されているコントローラを同じスタ
ティック モビリティ グループに追加しないようにすることを推奨しています。
第 1 章 概要
1-16
Cisco Wireless LAN Solution 3.1 製品ガイド
OL-7955-01-J
第 1 章 概要
Cisco WLAN Solution の有線接続
Cisco Wireless LAN Solution コンポーネントは、業界標準のイーサネット ケーブルとコネクタを使
用して相互に通信します。次の項では、Cisco WLAN Solution の有線接続について説明します。
• Cisco 2000 シリーズ Wireless LAN Controller をネットワークに接続するときは、 1 〜 4 本の
10/100BASE-T イーサネット ケーブルを使用します。
• Cisco 4100 シリーズ Wireless LAN Controller をネットワークに接続するときは、 1 〜 2 本の光
ファイバ ギガビット イーサネット ケーブルを使用します。2 つの冗長ギガビット イーサネッ
ト接続によって、1 つのネットワークに発生した障害を迂回することができます。常に 1 つの
Cisco 4100 シリーズ Wireless LAN Controller ギガビット イーサネット接続がアクティブで、も
う一方はパッシブです。ネットワークに障害が発生すると、アクティブな接続がパッシブにな
り、パッシブな接続がアクティブになります。
• 4402 Cisco 4400 シリーズ Wireless LAN Controller をネットワークに接続するときは、 1 〜 2 本の
光ファイバ ギガビット イーサネット ケーブルを使用し、4404 Cisco 4400 シリーズ Wireless LAN
Controller をネットワークに接続するときは、1 〜 4 本の光ファイバ ギガビット イーサネット
ケーブルを使用します。2 つの冗長ギガビット イーサネット接続によって、1 つのネットワー
クに発生した障害を迂回することができます。常に各ペアの 1 つの Cisco 4400 シリーズ Wireless
LAN Controller ギガビット イーサネット接続がアクティブで、もう一方はパッシブです。ネッ
トワークに障害が発生すると、アクティブな接続がパッシブになり、パッシブな接続がアク
ティブになります。
•
Cisco 1000 シリーズ Lightweight アクセス ポイントをネットワークに接続するときは、
10/100BASE-T イーサネット ケーブルを使用します。 Power over Ethernet( PoE)機能が搭載さ
れているネットワーク デバイスから Cisco 1000 シリーズ Lightweight アクセス ポイントの電力
を供給するときは、標準の CAT-5 ケーブルを使用することもできます。この電源分配プランを
使用すると、個々の AP 電源供給と接続用ケーブルにかかるコストを軽減できます。
Cisco WLAN Solution の有線接続
OL-7955-01-J
Cisco Wireless LAN Solution 3.1 製品ガイド
1-17
Cisco WLAN Solution 無線 LAN
Cisco WLAN Solution 無線 LAN
Cisco Wireless LAN Solution では、Lightweight アクセス ポイントについて、最大 16 の無線 LAN を
制御できます。各無線 LAN は、別々の無線 LAN ID(1 〜 16)、別々の無線 LAN SSID(無線 LAN
名)を持ち、固有のセキュリティ ポリシーを割り当てることができます。
Cisco 1000 シリーズ Lightweight アクセス ポイントは、すべてのアクティブな Cisco WLAN Solution
無線 LAN SSID をブロードキャストし、各無線 LAN に定義されているポリシーを適用します。
(注) コントローラが正常に VLAN トラフィックをルーティングするように、無線 LAN と管理インター
フェイスにはそれぞれ別の VLAN セットを割り当てることをお勧めします。
Cisco Wireless LAN Solution で無線による管理を有効にすると、オペレータは CLI と Telnet、
http/https、および SNMP を使用して、有効になった無線 LAN 全体のシステムを管理できるように
なります。
Cisco WLAN Solution 無線 LAN を設定するには、第5 章「無線 LAN の設定」 を参照してください。
第 1 章 概要
アクセス コントロール リスト
オペレーティング システムでは、標準的なでは、標準的なファイアウォールのアクセス コントロー
ル リストと同様に、64 個までの Access Control List(ACL; アクセス コントロール リスト)を定義
できます。各 ACL には、64 個までのルール(フィルタ)を含めることができます。
オペレータは、ACL を使用して、指定した無線 LAN 内の複数の VPN サーバにアクセスするようク
ライアントを制御できます。無線 LAN 上のすべてのクライアントが 1 つの VPN サーバにアクセス
する必要がある場合は、「セキュリティ概要」の項(P.3-2 )に示す IPSec または VPN ゲートウェイ
のパススル―設定を使用してください。
定義した ACL は、管理インターフェイス、AP マネージャ インターフェイス、または任意のオペ
レータ定義インターフェイスに適用できます。
アクセス コントロール リストの設定方法は、『Web User Interface Online Help』の Access Control Lists
> New を参照してください。
1-18
Cisco Wireless LAN Solution 3.1 製品ガイド
OL-7955-01-J