ワイヤレス LAN コントローラ（WLC）における RADIUS サーバ
フォールバック機能の設定例
目次
概要
前提条件
要件
使用するコンポーネント
表記法
RADIUS サーバ フォールバック機能
フォールバック モード
アクティブ モード
パッシブ モード
オフ モード
コマンドライン インターフェイス（CLI）の使用による RADIUS
サーバ フォールバック機能の設定
グラフィカル ユーザ インターフェイス（GUI）の使用による
RADIUS サーバ フォールバック機能の設定
確認
トラブルシューティング
トラブルシューティングのためのコマンド
関連情報
概要
このドキュメントでは、ワイヤレス LAN コントローラ（WLC）を使用した RADIUS サーバ フォールバック機能の設定方法につい
て説明しています。
前提条件
要件
この設定を行う前に、次の要件が満たされていることを確認します。
Lightweight アクセス ポイント（LAP）および Cisco WLC の設定に関する基礎知識
Lightweight アクセス ポイント プロトコル（LWAPP）に関する基礎知識
Wireless Security Solutions についての基本的な知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
ファームウェア リリース 5.0 が稼働している Cisco 4400 WLC
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべて
のデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのよう
な作業についても、その潜在的な影響について確実に理解しておく必要があります。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
RADIUS サーバ フォールバック機能
5.0 よりも前の WLC ソフトウェア バージョンでは、RADIUS サーバ フォールバック メカニズムはサポートされていません。プ
ライマリ RADIUS サーバが使用不能になると、WLC は次にアクティブなバックアップ RADIUS サーバにフェールオーバーします。
WLC は、プライマリ サーバが使用可能になっても、永続的にセカンダリ RADIUS サーバを使用し続けます。通常、プライマリ サ
ーバはパフォーマンスが高く、優先サーバとなっています。
WLC 5.0 では、WLC は RADIUS サーバ フォールバック機能をサポートしています。この機能を使用すると、プライマリ サーバが
使用可能かどうかを確認し、プライマリ RADIUS サーバが使用可能になったらプライマリ サーバに切り替わるように、WLC を設
定できます。このために、WLC はパッシブとアクティブの 2 つの新しいモードをサポートし、RADIUS サーバの状態を確認しま
す。WLC は、指定されたタイムアウト値を過ぎると、最も優先度の高いサーバに切り替わります。
フォールバック モード
アクティブ モード
アクティブ モードでは、サーバが WLC 認証要求に応答しなかった場合に、WLC はサーバを停止状態としてマーキングし、非アク
ティブなサーバ プールにサーバを移動し、サーバが応答するまで定期的にプローブ メッセージを送り始めます。サーバが応答し
た場合、WLC は停止状態のサーバをアクティブなプールに移動し、プローブ メッセージの送信を停止します。このモードでは、
認証要求を受信すると、WLC は RADIUS サーバのアクティブなプールから最も低いインデックス（最優先）のサーバを常に選択し
ます。
以前にサーバから応答がなかった場合には、WLC はタイムアウト（デフォルトは 300 秒）後にプローブ パケットを送信し、サー
バの状態を判断します。
パッシブ モード
パッシブ モードでは、サーバが WLC 認証要求に応答しなかった場合に、WLC はサーバを非アクティブ キューに移動し、タイマ
ーを設定します。タイマーが時間切れになると、WLC はサーバの現在の状態に関係なく、サーバをアクティブ キューに移動しま
す。’認証要求を受信すると、WLC はアクティブ キューから最も低いインデックス（最優先）のサーバを選択します（この際、
アクティブ キューには非アクティブなサーバが含まれている場合があります）。サーバが応答しない場合、WLC はそのサーバを
非アクティブとしてマーキングし、タイマーを設定して、次に優先度の高いサーバに移動します。このプロセスは、WLC がアクテ
ィブな RADIUS サーバを見つけるか、アクティブなサーバ プールがなくなるまで続行されます。
以前にサーバから応答がなかった場合には、WLC はタイムアウト（デフォルトは 300 秒）後にサーバがアクティブになっている
と仮定します。それでもまだ応答がない場合、認証要求を受信すると、WLC は次のタイムアウトまで待機して再試行します。
オフ モード
オフ モードでは、WLC はフェールオーバーのみサポートします。つまり、フォールバックが無効化されます。プライマリ
RADIUS サーバがダウンすると、WLC は次にアクティブなバックアップ RADIUS サーバにフェールオーバーします。WLC は、プラ
イマリ サーバが使用可能になっても、永続的にセカンダリ RADIUS サーバを使用し続けます。
コマンドライン インターフェイス（CLI）の使用による RADIUS サーバ フォールバッ
ク機能の設定
注：このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool（登録ユーザ専用）を使用してくださ
い。
WLC CLI から次のコマンドを使用して、WLC 上で RADIUS サーバ フォールバック機能を有効化します。
最初の手順では、RADIUS サーバ フォールバックのモードを選択します。すでに述べたように、WLC ではアクティブ モードとパ
ッシブ モードのフォールバックをサポートしています。
フォールバックのモードを選択するには、次のコマンドを使用します。
WLC1 > config radius fallback-test mode {active/passive/off}
active停止状態のサーバにプローブを送信し、テスト状態に遷移させます。
passive最新のトランザクションに基づいて、サーバ状態を設定します。
offサーバ フォールバック テストを無効化します（デフォルト）。
次の手順では、アクティブ モードのプローブ間隔またはパッシブ動作モードの非アクティブ時間を指定する間隔を選択します。
間隔を設定するには、次のコマンドを使用します。
WLC1 > config radius fallback-test mode interval {180 - 3600}
<180 3600>プローブ間隔または非アクティブ時間を秒単位で入力します（デフォルトは 300）。
間隔は、アクティブ モード フォールバックの場合はプローブ間隔を、パッシブ モード フォールバックの場合は非アクティブ時
間を指定します。
アクティブ動作モードの場合は、RADIUS サーバに送信するプローブ要求内で使用されるユーザ名を設定する必要があります。
ユーザ名を設定するには、次のコマンドを使用します。
WLC1 >config radius fallback-test username {username}
<username>最大 16 文字の英数字（デフォルトは「cisco-probe」）を入力します。
注：独自のユーザ名を入力しても、デフォルトのままにしておいてもかまいません。デフォルトのユーザ名は “cisco-probe”
です。このユーザ名はプローブ メッセージの送信に使用されるため、パスワードを設定する必要はありません。
グラフィカル ユーザ インターフェイス（GUI）の使用による RADIUS サーバ フォー
ルバック機能の設定
GUI を使用して WLC を設定するには、次の手順を実行します。
1. 最初の手順では、RADIUS サーバ フォールバックのモードを設定します。このためには、WLC GUI から [Security] >
[RADIUS] > [Fallback] の順に選択します。
[RADIUS] > [Fallback Parameters] ページが表示されます。
2. [Fallback Mode] プルダウン メニューから、フォールバックのモードを選択します。選択できるオプションは [active]、
[passive]、および [off] です。
次のスクリーンショットは、アクティブ フォールバック モードの設定例を示しています。
3. アクティブ動作モードの場合、[Username] フィールドにユーザ名を入力します。
4. プローブ間隔値を [Interval in sec.] フィールドに入力します。
5. [Apply] をクリックします。
確認
このセクションでは、設定が正常に動作していることを確認します。
Output Interpreter Tool（OIT）（登録ユーザ専用）では、特定の show コマンドがサポートされています。OIT を使用して、
show コマンド出力の解析を表示できます。
次の show コマンドを使用して、フォールバック設定を確認できます。
show radius summary
次に例を示します。
WLC1 >show radius summary
Vendor Id Backward Compatibility.................
Call Station Id Type.............................
Aggressive Failover..............................
Keywrap..........................................
Disabled
IP Address
Enabled
Disabled
Fallback Test:
Test Mode.................................... Active
Probe User Name.............................. testaccount
Interval (in seconds)........................ 180
Authentication Servers
Idx
--1
Type
---NM
Server Address
---------------10.1.1.12
Port
-----1812
State
-------Enabled
Tout
---2
RFC3576 IPSec - AuthMode/Phase1/Group/Lifetime/Auth/Encr
------- -----------------------------------------------Disabled Disabled - none/unknown/group-0/0 none/none
Accounting Servers
Idx
--1
Type
---N
Server Address
---------------10.1.1.12
Port
-----1813
State
Tout
-------- ---Enabled
2
RFC3576
------N/A
IPSec - AuthMode/Phase1/Group/Lifetime/Auth/E
-----------------------------------------------Disabled - none/unknown/group-0/0 none/nonen
トラブルシューティング
このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。
トラブルシューティングのためのコマンド
debug dot1x events enable：802.1X イベントのデバッグを設定します。
debug aaa events enable：すべての AAA イベントのデバッグを設定します。
関連情報
WLAN コントローラ（WLC）での EAP 認証の設定例（英語）
ワイヤレス LAN コントローラ（WLC）への Lightweight AP（LAP）の登録（英語）
セキュリティ ソリューションの設定（英語）
RADIUS サーバおよびワイヤレス LAN コントローラを使用したダイナミック VLAN 割り当ての設定例（英語）
テクニカルサポートとドキュメント：シスコ
1992 - 2014 Cisco Systems, Inc. All rights reserved.
Updated: 2013 年 4 月 19 日
http://www.cisco.com/cisco/web/support/JP/111/1117/1117534_radius-fbkftr-wlc-config-j.html
Document ID: 106258