ワイヤレスゲストアクセス FAQ

ワイヤレスゲストアクセス FAQ
質問
概要
セキュリティで保護されていないネットワークエリアへの Ethernet over IP（EoIP）トンネルとは何ですか。
ゲストアンカーコントローラとして導入する適切なコントローラを選択するにはどうすればよいのですか。
ゲストアンカーコントローラではいくつの Ethernet over IP（EoIP）トンネルを終端させることができますか。
異なるソフトウェアバージョンを実行するコントローラ間に Ethernet over IP（EoIP）トンネルを作成できますか。
Cisco 2100/2500 シリーズワイヤレス LAN コントローラはセキュリティで保護されていないネットワークエリアの
ゲストアンカーコントローラとして使用できますか。
サービス統合型ルータ用の Cisco ワイヤレス LAN コントローラモジュール（WLCM または WLCM2）はセキュリティで
保護されていないネットワークエリアのゲストアンカーコントローラとして使用できますか。
セキュリティで保護されていないネットワークエリアのゲストアクセスをサポートするには、どのコントローラを使
用できますか。
ゲストアンカーコントローラがファイアウォールの外側で使用される場合、正しく動作するにはどのファイアウォー
ルポートをゲストアクセスに対してオープンにしますか。
Network Address Translation（NAT）が設定されたファイアウォールをゲストトラフィックは通過できますか。
アンカーと外部 WLC のシナリオでは、どちらの WLC が RADIUS アカウンティングを送信しますか。
内部コントローラとアンカーコントローラの間のゲストトンネルに障害が発生します。 WLC に次のログが表示され
ます。 mm_listen.c:5373 MM-3-INVALID_PKT_RECVD: Received an invalid packet from 10. 40.220.18. Source
member:0.0.0.0. source member unknown... これは、なぜですか。
ワイヤレスゲストアクセスの設定で、クライアントが DHCP サーバから IP アドレスを取得しません。「Thu Jan
22 16:39:09 2009: XX: XX: XX: XX: XX: XX DHCP dropping REPLY from Export-Foreign STA」エラーメッセージが
内部コントローラに表示されます。これは、なぜですか。
ゲストトラフィックがセキュリティで保護されていないネットワーク領域にトンネリングされている場合、ゲストク
ライアントはどこから IP アドレスを取得しますか。
Cisco ワイヤレス LAN コントローラでは、ゲスト認証用の Web ポータルがサポートされていますか。
Web ポータルをカスタマイズするにはどうすればよいのですか。
ゲストのクレデンシャルはどのように管理されるのですか。
Cisco ワイヤレス LAN コントローラでは、Wireless Control System（WCS）や NCS に加えて Lobby Ambassador 機能
を使用できますか。
外部の認証、許可、およびアカウンティング（AAA）サーバを使用してゲストを認証することはできますか。
ゲストがログインすると、何が起こりますか。
ゲストのユーザ認証を省略し、Web ページの免責事項オプションだけを表示することはできますか。
リモートコントローラとゲストアンカーコントローラを同じモビリティグループにする必要がありますか。
複数のゲスト SSID がある場合、それぞれの WLAN（SSID）を一意の Web ページポータルにダイレクトすることはで
きますか。
WLC リリース 7.0 の新しい設定、MAC フィルタ障害時の WebAuth の機能とは何ですか。
ブラウザでプロキシサーバが設定されている場合、クライアントは正しく動作しますか。
ワイヤレスゲストアクセスの導入ガイドはありますか。
有線およびワイヤレスゲストアクセスのデザインガイドはありますか。
関連情報
概要
このドキュメントでは、Cisco Unified Wireless Network の一部であるワイヤレスゲストアクセス機能に関するよく寄せられ
る質問（FAQ）について説明します。
ドキュメント表記の詳細は、『シスコテクニカルティップスの表記法』を参照してください。
Q. セキュリティで保護されていないネットワークエリアへの Ethernet over IP（EoIP）トンネルとは何で
すか。
A. ゲストトラフィック専用のコントローラの使用が推奨されます。このコントローラはゲストアンカーコントロ
ーラと呼ばれます。
ゲストアンカーコントローラは通常、非武装地帯（DMZ）と呼ばれるセキュリティで保護されていないネットワーク
エリアにあります。トラフィックの発信元である他の内部 WLAN コントローラは、企業の LAN 上にあります。企業
のデータトラフィックからのゲストトラフィックのパス分離を確実にするために、内部 WLAN コントローラとゲスト
アンカーコントローラとの間に EoIP トンネルが確立されます。パス分離は、ゲストアクセスに向けた重要なセキ
ュリティ管理機能です。この機能は、セキュリティと Quality of Service（QoS）ポリシーを分離し、ゲストトラフ
ィックと企業または内部トラフィックとの間で区別されることを確実にします。
Cisco Unified Wireless Network アーキテクチャの重要な機能は、ネットワーク内の特定のゲストアンカーコント
ローラに 1 つ以上のプロビジョニングされた WLAN（つまり、SSID）を静的にマップするために 1 つの EoIP トンネ
ルを使用できることです。マッピングされた WLAN で送受信されるすべてのトラフィックは、リモートコントローラ
とゲストアンカーコントローラの間に確立される静的な EoIP トンネルを通過します。
この方法を使用し、関連付けられたすべてのゲストトラフィックを企業ネットワークからセキュリティで保護されて
いないネットワークエリアに存在するゲストアンカーコントローラに透過的に転送できます。
Q. ゲストアンカーコントローラとして導入する適切なコントローラを選択するにはどうすればよいのです
か。
A. ゲストアンカーコントローラの選択は、アクティブなゲストクライアントセッションの数によって定義されて
いるか、またはコントローラ上のアップリンクインターフェイスの容量によって定義されているか、あるいはその両
方で定義されたとおりのゲストトラフィック量に依存します。
ゲストアンカーコントローラあたりの総スループットとクライアントの制限は次のとおりです。
Cisco
Cisco
Cisco
Cisco
2504 ワイヤレス LAN コントローラ：4 個の 1 Gbps インターフェイスと 1000 個のゲストクライアント
5508 ワイヤレス LAN コントローラ（WLC）：8 Gbps と 7,000 個のゲストクライアント
Catalyst 6500 シリーズ Wireless Services Module（WiSM-2）：20 Gbps と 15,000 個のクライアント
8500 ワイヤレス LAN コントローラ（WLC）：10 Gbps と 64,000 個のクライアント
注：Cisco 7500 WLC をゲストのアンカーコントローラとして設定することはできません。ゲストのアンカー機能を
サポートする WLC のリストについては、「セキュリティで保護されていないネットワークエリアのゲストアクセス
をサポートするには、どのコントローラを使用できますか。」を参照してください。
各コントローラのデータベースには、最大 2048 件のゲストユーザ名とパスワードを保存できます。したがって、ア
クティブなゲストのクレデンシャルの総数がこの数を超える場合は、複数のコントローラが必要です。また、ゲスト
のクレデンシャルは外部 RADIUS サーバに保存できます。
ネットワーク内のアクセスポイントの数は、ゲストアンカーコントローラの選択には影響しません。
Q. ゲストアンカーコントローラではいくつの Ethernet over IP（EoIP）トンネルを終端させることができ
ますか。
A. 1 つのゲストアンカーコントローラは、内部 WLAN コントローラから最大 71 個の EoIP トンネルを終端できま
す。このキャパシティは WLC- 2504 を除く、Cisco ワイヤレス LAN コントローラのどのモデルで同じです。 2504
コントローラは、最大 15 個の EoIP トンネルを終端できます。追加のトンネルが必要な場合は、複数のゲストアン
カーコントローラを設定できます。
EoIP トンネルは、各 EoIP でトンネリングされた WLAN や Secure Set Identifier（SSID）の数とは関係なく、WLAN
コントローラごとにカウントされます。
ゲストアンカーコントローラと内部の各コントローラとの間には、ゲストクライアントの関連付けに使用するアク
セスポイントをサポートする 1 つの EoIP トンネルが設定されます。
Q. 異なるソフトウェアバージョンを実行するコントローラ間に Ethernet over IP（EoIP）トンネルを作成
できますか。
A. すべてのワイヤレス LAN コントローラのソフトウェアバージョンで EoIP がサポートされているわけではありま
せん。そのような場合は、リモートコントローラとアンカーコントローラで同じバージョンの WLC ソフトウェアを
実行する必要があります。ただし、最新のソフトウェアバージョンではリモートコントローラとアンカーコントロ
ーラが異なるバージョンを持つことができます。
次の表に、EoIP トンネルを作成できるワイヤレス LAN コントローラのソフトウェアバージョンを示します。
Q. Cisco 2100/2500 シリーズワイヤレス LAN コントローラはセキュリティで保護されていないネットワー
クエリアのゲストアンカーコントローラとして使用できますか。
A. はい。Cisco Unified Wireless Network ソフトウェアリリース 7.4 以降、Cisco 2500 シリーズワイヤレス
LAN コントローラはファイアウォールの外側のゲストトラフィックを終端できます（最大 15 個の EoIP トンネ
ル）。 Cisco 2000 シリーズワイヤレス LAN コントローラは、ゲストトンネルを開始できるだけです。
Q. サービス統合型ルータ用の Cisco ワイヤレス LAN コントローラモジュール（WLCM または WLCM2）はセ
キュリティで保護されていないネットワークエリアのゲストアンカーコントローラとして使用できます
か。
A. いいえ。WLCM または WLCM2 はゲストトンネルを終端できません。 WLCM はゲストトンネルを開始できるだけで
す。
Q. セキュリティで保護されていないネットワークエリアのゲストアクセスをサポートするには、どのコン
トローラを使用できますか。
A. EoIP トンネルの終端、Web 認証、およびゲストクライアントのアクセス制御を含む、ゲストトンネルのアンカー
機能は、次のバージョン 4.0 以降のソフトウェアイメージの Cisco ワイヤレス LAN コントローラプラットフォー
ムでサポートされています。
Cisco
Cisco
Cisco
Cisco
Cisco
Catalyst 6500 シリーズ Wireless Services Module（WiSM2）
WiSM-2 シリーズワイヤレス LAN コントローラ
Catalyst 3750G 統合ワイヤレス LAN コントローラ
5508 シリーズワイヤレス LAN コントローラ
2500 シリーズワイヤレス LAN コントローラ（サポート導入はソフトウェアリリース 7.4）
Q. ゲストアンカーコントローラがファイアウォールの外側で使用される場合、正しく動作するにはどのフ
ァイアウォールポートをゲストアクセスに対してオープンにしますか。
A. ゲストアンカーコントローラとリモートコントローラの間にあるファイアウォールで、次のポートをオープンす
る必要があります。
ユーザのデータトラフィック用の IP プロトコル 97
トンネルコントロールトラフィック用の UDP ポート
オプションで管理するため、次のファイアウォールポートをオープンする必要があります。
SSH/Telnet：TCP ポート 22/23
TFTP：UDP ポート 69
NTP：UDP ポート 123
SNMP：UDP ポート 161（取得と設定）および 162（トラップ）
HTTPS/HTTP：TCP ポート 443/80
Syslog：TCP ポート 514
RADIUS 認証/アカウント：UDP ポート 1812 および 1813
Q. Network Address Translation（NAT）が設定されたファイアウォールをゲストトラフィックは通過できま
すか。
A. ファイアウォールを通過する EoIP トンネルでは、1 対 1 の NAT を使用する必要があります。
Q. アンカーと外部 WLC のシナリオでは、どちらの WLC が RADIUS アカウンティングを送信しますか。
A. このシナリオでは、認証は必ずアンカー WLC で行われます。したがって、RADIUS のアカウンティングはアンカー
WLC によって送信されます。
Q. 内部コントローラとアンカーコントローラの間のゲストトンネルに障害が発生します。 WLC に次のログ
が表示されます。 mm_listen.c:5373 MM-3-INVALID_PKT_RECVD: Received an invalid packet from 10.
40.220.18. Source member:0.0.0.0. source member unknown... これは、なぜですか。
A. [WLANs] ページで WLC GUI からのトンネルの状態をチェックします。 WLAN の近くにあるドロップダウンボック
スをクリックし、コントロールとデータパスの状態を含む [Mobility Anchors] を選択します。エラーメッセージ
が表示される原因としては、次のいずれかが考えられます。
1. アンカーコントローラと内部コントローラのコードのバージョンが異なります。これらが同じバージョンのコ
ードを実行していることを確認します。
2. モビリティアンカーの設定が間違っています。 DMZ でモビリティアンカーとして DMZ が設定されていること
を確認し、内部 WLC にモビリティアンカーとして DMZ WLC が設定されていることを確認します。モビリティ
アンカーを設定する方法の詳細については、『Cisco ワイヤレス LAN コントローラコンフィギュレーションガ
イド、リリース 7.0』の「自動アンカーモビリティの設定」セクションを参照してください。この結果、ゲス
トユーザはトラフィックを渡すことができなくなります。
Q. ワイヤレスゲストアクセスの設定で、クライアントが DHCP サーバから IP アドレスを取得しません。
「Thu Jan 22 16:39:09 2009: XX: XX: XX: XX: XX: XX DHCP dropping REPLY from Export-Foreign STA」エ
ラーメッセージが内部コントローラに表示されます。これは、なぜですか。
A. ワイヤレスゲストアクセスの設定では、ゲストアンカーコントローラと内部コントローラの DHCP プロキシ設
定が一致する必要があります。そうでない場合、クライアントからの DHCP 要求がドロップされて、次のエラーメッ
セージが内部コントローラに表示されます。
Thu Jan 22 16:39:09 2009: XX:XX:XX:XX:XX:XX
DHCP dropping REPLY from Export-Foreign STA
WLC で DHCP プロキシ設定を変更するには、次のコマンドを使用します。
(Cisco Controller) >config dhcp proxy ?
enable
disable
Enable DHCP processing's proxy style behaviour.
Disable DHCP processing's proxy style behaviour.
両方のコントローラで show dhcp proxy コマンドを使用し、両方のコントローラの DHCP プロキシ設定が同じことを
確認します。
(Cisco Controller) >show dhcp proxy
DHCP Proxy Behaviour: enabled
(Cisco Controller) >
Q. ゲストトラフィックがセキュリティで保護されていないネットワーク領域にトンネリングされている場
合、ゲストクライアントはどこから IP アドレスを取得しますか。
A. ゲストトラフィックは、EoIP 経由のレイヤ 3 で企業内で転送されます。したがって、ダイナミックホストコ
ンフィギュレーションプロトコル（DHCP）サービスをローカルに実装できる最初のポイントはゲストアンカーコン
トローラか、またはゲストアンカーコントローラは外部サーバにクライアントの DHCP 要求をリレーできます。こ
れは、ドメインネームシステム（DNS）のアドレス解決が処理される方法でもあります。
Q. Cisco ワイヤレス LAN コントローラでは、ゲスト認証用の Web ポータルがサポートされていますか。
A. Cisco ワイヤレス LAN コントローラ、ソフトウェアバージョン 3.2 以降では、免責事項およびアクセプタブル
ユースポリシー情報を表示する機能とともに、認証のためにゲストクレデンシャルを取得して、簡単なブランド化機
能を提供する組み込みの Web ポータルが提供されています。
Q. Web ポータルをカスタマイズするにはどうすればよいのですか。
A. Web ポータルをカスタマイズする方法の詳細については、「Web 認証のログインページを選択する」を参照してく
ださい。
Q. ゲストのクレデンシャルはどのように管理されるのですか。
A. ゲストのクレデンシャルは、Cisco Wireless Control System（WCS）バージョン 7.0 または Network Control
System（NCS）ver 1.0 を使用して作成および一元的に管理できます。ネットワーク管理者はゲストのクレデンシャル
を作成するために、「Lobby Ambassador」アクセスを許可する限られた特権の管理者アカウントを設定できます。
WCS または NCS では、Lobby Ambassador アカウントのユーザは、ゲストアンカーコントローラとして機能するコン
トローラのゲストのクレデンシャルを作成、割り当て、監視、削除することができます。
Lobby Ambassador はゲストのユーザ名（またはユーザ ID）とパスワードを入力するか、またはクレデンシャルを自動
生成できます。すべてのゲストが 1 種類のユーザ名とパスワードを使用できるようにするか、または各ゲストが一意
のユーザ名とパスワードを使用できるようにするグローバル設定パラメータがあります。
WCS で Lobby Ambassador アカウントを設定するには、『Cisco Wireless Control System コンフィギュレーション
ガイド、リリース 7.0』の「ゲストユーザアカウントの作成」セクションをを参照してください。
Q. Cisco ワイヤレス LAN コントローラでは、Wireless Control System（WCS）や NCS に加えて Lobby
Ambassador 機能を使用できますか。
A. はい。 WCS または NCS が導入されていない場合、ネットワーク管理者はゲストアンカーコントローラで Lobby
Ambassador アカウントを作成できます。 Lobby Ambassador アカウントを使用してゲストアンカーコントローラに
ログインするユーザは、ゲストユーザの管理機能にだけアクセスできます。
複数のゲストアンカーコントローラがある場合、複数のゲストアンカーコントローラでユーザ名を同時に設定する
には、WCS または NCS を使用する必要があります。
ワイヤレス LAN コントローラを使用して Lobby Ambassador アカウントを作成する方法の詳細については、『Cisco
ワイヤレス LAN コントローラコンフィギュレーションガイド、リリース 7.0』の「Lobby Ambassador アカウントの
作成」セクションを参照してください。
Q. 外部の認証、許可、およびアカウンティング（AAA）サーバを使用してゲストを認証することはできます
か。
A. はい。ゲストの認証要求は外部 RADIUS サーバにリレーできます。
Q. ゲストがログインすると、何が起こりますか。
A. ワイヤレスゲストが Web ポータルを介してログインすると、ゲストアンカーコントローラは、次の手順を実行
して認証を処理します。
1. ゲストアンカーコントローラは、ユーザ名とパスワードがローカルデータベースがあるかどうかをチェック
し、それらがある場合はアクセスを許可します。
2. ユーザクレデンシャルがゲストアンカーコントローラのローカルに存在しない場合、ゲストアンカーコント
ローラは外部 RADIUS サーバがゲスト WLAN に設定されているかどうかを確認するため WLAN 設定を確認しま
す。そのように設定されている場合は、コントローラが、そのユーザ名とパスワードで RADIUS アクセス要求パ
ケットを作成し、選択された RADIUS サーバに転送して認証します。
3. 特定の RADIUS サーバが WLAN に設定されていない場合、コントローラはグローバルの RADIUS サーバの設定を
チェックします。「ネットワークユーザ」を認証するオプションが設定されたすべての外部 RADIUS サーバが
ゲストユーザのクレデンシャルを使用してクエリーされます。「ネットワークユーザ」が選択されたサーバが
存在せず、ステップ 1 またはステップ 2 でユーザが認証されない場合、認証に失敗します。
Q. ゲストのユーザ認証を省略し、Web ページの免責事項オプションだけを表示することはできますか。
A. はい。ワイヤレスゲストアクセスの別の設定オプションは、ユーザ認証をすべて省略して、オープンアクセス
を可能にすることです。ただし、アクセスを許可する前に、ゲストにアクセプタブルユースポリシーおよび免責事
項のページを表示する必要がある場合があります。これを行うには、Web ポリシーのパススルーをゲスト WLAN に設
定できます。このシナリオでは、ゲストユーザが、免責情報を含む Web ポータルページにリダイレクトされます。
ゲストユーザを識別できるようにするため、パススルーモードには接続前に電子メールアドレスをユーザが入力す
るオプションもあります。
Q. リモートコントローラとゲストアンカーコントローラを同じモビリティグループにする必要がありま
すか。
A. いいえ。ゲストアンカーコントローラとリモートコントローラには、異なるモビリティグループを指定できま
す。
Q. 複数のゲスト SSID がある場合、それぞれの WLAN（SSID）を一意の Web ページポータルにダイレクトす
ることはできますか。
A. はい。単一または複数のいずれでも WLAN 上のすべてのゲストトラフィックは、1 つの Web ページにリダイレク
トされます。 WLC バージョン 4.2 以降では、それぞれの WLAN を一意の Web ポータルページにダイレクトすること
ができます。詳細については、『Cisco ワイヤレス LAN コントローラコンフィギュレーションガイド、リリース
7.0』の「WLAN ごとのログインページ、ログイン失敗ページ、ログアウトページの割り当て」セクションを参照して
ください。
Q. WLC リリース 7.0 の新しい設定、MAC フィルタ障害時の WebAuth の機能とは何ですか。
A. WLAN にレイヤ 2（mac-filter）およびレイヤ 3（webauth-on-macfilter-failure）セキュリティの両方が設定され
ている場合、クライアントはいずれかに適合すると、RUN の状態になります。また、レイヤ 2 セキュリティ（macfilter）で失敗すると、クライアントはレイヤ 3 セキュリティ（webauth-on-macfilter-failure）に移行します。
Q. ブラウザでプロキシサーバが設定されている場合、クライアントは正しく動作しますか。
A. リリース 7.0 より前では、クライアントはブラウザでプロキシサーバが設定されているときは TCP 接続を確立で
きませんでした。リリース 7.0 以降では、WebAuth プロキシサーバのサポートが追加され、プロキシサーバの IP
アドレスとポートをコントローラで設定できるようになりました。
Q. ワイヤレスゲストアクセスの導入ガイドはありますか。
A. 以下は、導入ガイドのリンクです。
導入ガイド： Cisco ワイヤレス LAN コントローラを使用した Cisco ゲストアクセス
Q. 有線およびワイヤレスゲストアクセスのデザインガイドはありますか。
A. 以下は、デザインガイドのリンクです。
Cisco ユニファイドワイヤレスゲストアクセスサービス
Cisco WLAN Controller を使用した有線ゲストアクセスの設定例
関連情報
Cisco WLAN Controller を使用した有線ゲストアクセスの設定例
Q&A
1992 - 2014 Cisco Systems, Inc. All rights reserved.
Updated: 2014 年 12 月 24 日
http://www.cisco.com/cisco/web/support/JP/106/1065/1065338_wga-faq.html
Document ID: 107458

Download Report