Cisco 880 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイド

Cisco Express 設定

自律ワイヤレス デバイスを設定するには、次の手順に示すように、Web ブラウザ ツールを使用します。

ステップ 1 ワイヤレス デバイスとのコンソール接続を確立し、 show interface bvi1 Cisco IOS コマンドを入力して、ブリッジ グループ仮想インターフェイス（BVI）IP アドレスを取得します。

ステップ 2 ブラウザのウィンドウを開き、ブラウザ ウィンドウのアドレス行にこの BVI IP アドレスを入力します。Enter を押します。[Enter Network Password] ウィンドウが表示されます。

ステップ 3 ユーザ名を入力します。 Cisco はデフォルトのユーザ名です。

ステップ 4 ワイヤレス デバイスのパスワードを入力します。デフォルトのパスワードは Cisco です。[Summary Status] ページが表示されます。Web ブラウザの設定ページの使用方法の詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/wireless/access_point/12.4_10b_JA/configuration/guide/scg12410b-chap4-first.html#wp1103336

Cisco IOS コマンドライン インターフェイス

自律ワイヤレス デバイスを設定するには、Cisco IOS CLI ツールを使用して次の作業を行います。

• 「無線の設定」

• 「無線セキュリティ設定の実行」

• 「無線 QoS の設定」（任意）

無線の設定

自律モードまたは Cisco Unified モードで信号を伝送するために、ワイヤレス デバイスの無線パラメータを設定します。特定の設定手順については、「無線の設定」を参照してください。

無線セキュリティ設定の実行

• 「認証の設定」

• 「ローカル認証システムとしてのアクセス ポイント設定」

• 「WEP および暗号スイートの設定」

• 「無線 VLAN の設定」

• 「SSID の割り当て」

認証の設定

認証の種類は、Service Set Identifiers（SSID; サービス セット識別子）に準拠します。SSID はアクセス ポイントに設定されます。同一のアクセス ポイントを持つ複数の種類のクライアント デバイスで使用するために、複数の SSID を設定します。

アクセス ポイントを介したワイヤレス クライアント デバイスとネットワークとの通信を開始する前に、クライアント デバイスは、公開キーまたは共用キーによる認証によってアクセス ポイントを認証する必要があります。安全性を最大限にするために、クライアント デバイスは MAC アドレスまたは Extensible Authentication Protocol（EAP; 拡張認証プロトコル）認証を使用してネットワークも認証する必要があります。いずれの認証タイプもネットワークの認証サーバを信頼します。

認証タイプを選択するには、 http://www.cisco.com/en/US/docs/routers/access/wireless/software/guide/SecurityAuthenticationTypes.html の『 Authentication Types for Wireless Devices 』を参照してください。

最大限のセキュリティ環境を設定するには、 http://www.cisco.com/en/US/docs/routers/access/wireless/software/guide/SecurityRadiusTacacs_1.html の『 RADIUS and TACACS+ Servers in a Wireless Environment 』を参照してください。

ローカル認証システムとしてのアクセス ポイント設定

ローカルの認証サービスまたはバックアップ認証サービスを障害が発生した WAN リンクまたはサーバに提供するために、アクセス ポイントをローカルの認証サーバとして機能するように設定できます。アクセス ポイントは、Lightweight Extensible Authentication Protocol（LEAP）認証、Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling（EAP-FAST）認証または MAC ベースの認証を使用して最大 50 のワイヤレス クライアント デバイスを認証することができます。このアクセス ポイントは毎秒最大 5 つの認証を実行できます。

ローカル オーセンティケータでのアクセス ポイントの設定は、クライアントのユーザ名とパスワードを使用して手動で行います。これは、ローカル オーセンティケータのデータベースが RADIUS サーバと同期化されないためです。クライアントが使用できる VLAN および SSID のリストを指定できます。

ワイヤレス デバイスにこの機能をセットアップする詳細については、 http://www.cisco.com/en/US/docs/routers/access/wireless/software/guide/SecurityLocalAuthent.html の『 Using the Access Point as a Local Authenticator 』を参照してください。

WEP および暗号スイートの設定

Wired Equivalent Privacy（WEP）暗号はワイヤレス デバイス間での伝送データをスクランブルして、通信機密を保持します。ワイヤレス デバイスおよびそのワイヤレス クライアント デバイスは、同一の WEP キーを使用してデータの暗号化および複合化を行います。WEP キーは、ユニキャストおよびマルチキャストの両方のメッセージを暗号化します。ユニキャスト メッセージとは、ネットワーク上の 1 個のデバイスに向けて送信されるメッセージです。マルチキャスト メッセージは、ネットワーク上の複数のデバイスに送信されます。

暗号スイートは、無線 LAN 上の無線通信を保護するように設計された暗号と完全性アルゴリズムのセットです。Wi-Fi Protected Access（WPA）または Cisco Centralized Key Management（CCKM）をイネーブルにするには、暗号スイートを使用する必要があります。

Temporal Key Integrity Protocol（TKIP）を含む暗号スイートは無線 LAN にとって最適な安全性を提供します。WEP だけしか含まない暗号化スイートでは、最低限のセキュリティしかありません。

暗号化の手順については、 http://www.cisco.com/en/US/docs/routers/access/wireless/software/guide/SecurityCipherSuitesWEP.html の『 Configuring WEP and Cipher Suites 』を参照してください。

無線 VLAN の設定

無線 LAN で VLAN を使用し、SSID を VLAN に割り当てると、「セキュリティの種類」で定義されている 4 種類のセキュリティ設定のいずれかを使用して複数の SSID を作成できます。VLAN は、定義されたスイッチのセット内に存在するブロードキャスト ドメインと考えることができます。VLAN は、単一のブリッジング ドメインに接続されている複数のエンド システム（ホスト、またはブリッジやブリッジやルータなどのネットワーク装置）で構成されます。ブリッジング ドメインは、さまざまなネットワーク機器によりサポートされます。ネットワーク機器には、各 VLAN 用の別個のプロトコル グループとともに、ブリッジング プロトコルをそれらの間で動作させる LAN スイッチなどがあります。

無線 VLAN アーキテクチャの詳細については、 http://www.cisco.com/en/US/docs/routers/access/wireless/software/guide/wireless_vlans.html の『 Configuring Wireless VLANs 』を参照してください。

（注） 無線 LAN で VLAN を使用しないと、SSID に割り当てることができるセキュリティ オプションが制限されます。これは、Express Security ページで暗号化設定と認証タイプが対応付けられているためです。

SSID の割り当て

アクセス ポイントとして機能するワイヤレス デバイスには最大 16 個の SSID を設定できます。また、SSID ごとに一意のパラメータ セットを設定できます。たとえば、ある SSID ではネットワーク アクセスだけを利用者に許可し、別の SSID では認証したユーザであれば機密データへのアクセスを許可するといった利用法が可能です。

複数の SSID の作成の詳細については、 http://www.cisco.com/en/US/docs/routers/access/wireless/software/guide/ServiceSetID.html の『 Service Set Identifiers 』を参照してください。

（注） VLAN を使用しない場合、暗号化設定（WEP と暗号）が 2.4GHz 無線などのインターフェイスに適用されるため、1 つのインターフェイスで複数の暗号化設定を使用することはできません。たとえば、VLAN がディセーブルの状態でスタティック WEP を使用する SSID を作成した場合は、WPA 認証を使用する SSID を別途作成できません。使用される暗号化設定が異なるためです。ある SSID のセキュリティ設定と、別の SSID の設定が競合していた場合、1 つ以上の SSID を削除して競合を解消できます。

セキュリティの種類

表 4-1 は、SSID に割り当てられる 4 つのセキュリティ タイプについて説明しています。

無線 QoS の設定

Quality of Service（QoS）を設定すると、特定のトラフィックを他のトラフィックよりも優先的に処理できます。QoS がない場合、デバイスは各パケットに最善のサービスを提供します（パケットの内容やサイズは問いません）。信頼性、遅延限度、またはスループットに関して保証することなく、スイッチはパケットを送信します。ワイヤレス デバイスに QoS を設定するには、 http://www.cisco.com/en/US/docs/routers/access/wireless/software/guide/QualityOfService.html の『 Quality of Service in a Wireless Environment 』を参照してください。

アップグレードの準備

アップグレードを準備するには次の作業を行います。

• 「アクセス ポイントの IP アドレスの保護」

• 「モード設定がイネーブルになっていることの確認」

アクセス ポイントの IP アドレスの保護

アクセス ポイントの IP アドレスを保護することにより、アクセス ポイントは WLC と通信でき、起動時に Unified イメージをダウンロードできます。ホスト ルータは、DHCP プールを通じてアクセス ポイント DHCP サーバ機能を提供します。このアクセス ポイントは WLC と通信し、DHCP プール コンフィギュレーションのコントローラ IP アドレスのオプション 43 を設定します。以下に設定サンプルを示します。

WLC 検出プロセスの詳細については、 http://www.cisco.com/en/US/docs/wireless/controller/4.0/configuration/guide/ccfig40.html の 『Cisco Wireless LAN Configuration Guide』を参照してください。

モード設定がイネーブルになっていることの確認

モード設定がイネーブルになっていることを確認するには、次の手順に従います。

ステップ 1 ルータから WLC サーバに ping を実行し、接続を確認します。

ステップ 2 service-module wlan-ap 0 session コマンドを実行し、アクセス ポイントへのセッションを確立します。

ステップ 3 アクセス ポイントが自律起動イメージを動作させているか確認します。

ステップ 4 show boot コマンドを入力してアクセス ポイントのモード設定がイネーブルになっていることを確認します。次に、コマンドの出力例を示します。

アップグレードの実行

自律ソフトウェアを Cisco Unified ソフトウェアにアップグレードするには、次の手順に従います。

ステップ 1 アクセス ポイントの起動イメージを Cisco Unified アップグレード イメージ（ リカバリ イメージ とも呼びます）に変更するには、グローバル コンフィギュレーション モードで service-module wlan-ap 0 bootimage unified コマンドを実行します。

（注） service-module wlan-ap 0 bootimage unified コマンドが実行されない場合、advipservices または advipsevices_npe ソフトウェア ライセンスがイネーブルになっているかどうかを確認してください。

アクセス ポイントの起動イメージのパスを識別するには、アクセス ポイントのコンソールから EXEC モードで show boot コマンドを使用します。

ステップ 2 正規の手順でシャットダウンを行ってアクセス ポイントをリブートし、アップグレード プロセスを完了するには、特権 EXEC モードで service-module wlan-ap 0 reload コマンドを実行します。アクセス ポイントとのセッションを確立し、アップグレード プロセスを監視します。

AP から自律モードへアップグレードまたは復帰する際のトラブルシューティング

Q. 私のアクセス ポイントでは、自律ソフトウェアから Cisco Unified ソフトウェアへのアップグレードに失敗し、リカバリ モードに陥ったままになっているようです。どうすればいいでしょうか。

A. アクセス ポイントで自律ソフトウェアから Unified ソフトウェアにアップグレードできなかった場合は、次の操作を実行してください。

– リカバリ イメージを起動する前に、自律アクセス ポイントのスタティック IP アドレスが BVI インターフェイスに設定されていないことを確認します。

– ルータ/アクセス ポイントと WLC 間で ping を実行して、接続が確立されているか確認します。

– アクセス ポイントと WLC クロック（時刻と日付）が正しく設定されているか確認します。

Q. アクセス ポイントが起動を試行しているのですが、何度やってもうまくいきません。どうしてですか。
またアクセス ポイントがリカバリ イメージでスタックしたまま、Unified ソフトウェアにアップグレードしません。どうしてですか。

A. アクセス ポイントでは、起動を試みて失敗したり、リカバリ モードに陥ってしまい、Unified ソフトウェアにアップグレードできない場合があります。このいずれかの状態になった場合は、 service-module wlan-ap0 reset bootloader コマンドを実行してアクセス ポイントをブートローダに戻し、手動でイメージを復帰させてください。

AP ブートローダのアップグレード

AP802 では、ホスト ルータ イメージの一部としてブートローダを使用できます。ブートローダをアップグレードするには、次の手順を実行します。

ステップ 1 show platform version コマンドを使用して、最初のコアで実行されているホスト ルータ イメージにバンドルされている WLAN AP ブートローダを確認します。

ステップ 2 ルータと WLAN AP の間でセッションを開きます。

ルータとアクセス ポイントの間でセッションを開く方法については、「無線コンフィギュレーション セッションの開始」を参照してください。

ステップ 3 WLAN AP ブートローダのバージョンを確認します。

WLAN AP ブートローダでは、 version コマンドを使用します。

WLAN AP IOS で show version コマンドを使用します。

ステップ 4 次のコマンドを使用してブートローダをアップグレードします。

アクセス ポイントへのソフトウェアのダウンロード

直前の自律イメージにアクセス ポイントの起動をリセットするには、最初のコアで実行されているホスト ルータで、特権 EXEC モードで service-module wlan-ap0 bootimage autonomous コマンドを使用します。自律ソフトウェア イメージをアクセス ポイントにリロードするには、 service-module wlan-ap 0 reload コマンドを使用します。

アクセス ポイントでのソフトウェア リカバリ

アクセス ポイントのイメージをリカバリするには、特権 EXEC モードで service-module wlan-ap0 reset bootloader コマンドを使用します。このコマンドを使用すると、アクセス ポイントがブートローダに戻り、手動でイメージをリカバリできるようになります。