|
◆ SSIDに対するVLANのマッピング
Cisco APでは1つのアクセスポイントごとに最大16のSSIDを設定できます。( 機種により異なります )
そしてSSIDごとに異なる無線LANポリシー(認証方式、暗号化方式、周波数)を適用したり、VLANを
マッピングできます。1つのSSIDにマッピングできるVLANは1つなのでAPは最大16のVLANをサポート。
「複数のSSIDのサポートとSSIDごとの無線LANポリシーやVLANマッピング」をサポートしていることで
Ciscoの無線LANネットワークでは、柔軟なセキュリティ制御や通信制御を実現しています。下図のように
ゲスト用のSSIDと社内用のSSIDを分離することで、ゲスト用のVLANと社内用のVLANを分離できるので、
L3スイッチのアクセスリストで制限することで社内ネットワークにアクセスできないように制限できます。
◆ 集中管理型 - Cisco無線LANの基本構成
分散管理型のAutonomous APではなく集中管理型のアクセスポイントを導入する場合、以下の構成が
基本構成となります。APは複数のL2スイッチに分散接続し、無線LANコントローラは冗長化して異なる
L3スイッチに分散接続することにより、無線LANシステム全体のダウンを回避する構成にするのが推奨。
※ WAN側に位置するAPにもWLC配下にしたい場合、一般的にそのAPをFlexConnectモードにします。
◆ 集中管理型 - WLCにおけるインターフェース用語
WLCで設定するI/Fは大きく2つあります。1つはスタティックインターフェース(system-defined)で
もう1つはダイナミックインターフェース(user-defined)です。これらのインターフェースの意味は以下。
| WLC - 2種類のインターフェース |
| スタティックインターフェース |
WLCシステム内部でデフォルトで保持する3つのインターフェース。
@ management、A service-port、B Virtual |
| ダイナミックインターフェース |
管理者が定義したVLANインターフェース。ネットワーク構成に応じて
必要な分だけ作成する。ここで設定されたVLAN番号が無線デバイスに付与される。
|
| スタティックインターフェース - 3つのインターフェース |
| management |
L3 CAPWAPモードにおいて、アクセスポイントと通信する時に使用するインターフェース。
つまり、APがWLCとCAPWAPトンネルを構築する時はここで設定するIPアドレス宛てとなる。 |
| service-port |
WLCへ管理アクセスするためのローカルポート。
|
| Virtual |
Mobility Group、DHCP Proxy、VPN/Web認証の宛先アドレスとして利用するインターフェース。 |
◆ 集中管理型 - Cisco無線LANにおけるIPアドレッシング例
WLCのインターフェースとIPの位置づけが理解できれば、適切なIPアドレッシングができるかと思います。
注意点として、無線LANクライアントPCで設定するデフォルトゲートウェイはWLCのIPアドレスではなく、
L3スイッチ等のルーティングデバイスとなります。CAPWAPの仕組みが理解できれば分かるかと思います。
APとL2/L3スイッチとの間はトランクポートではなくアクセスポートにします。AP配下に複数のVLANが存在
することから、一見、トランク接続が必要なように見えますが、CAPWAPトンネルでこれらのトラフィックが
転送されるので、APとWLCのManagement InterfaceのIPアドレスに通信できればOKなので上図の通りです。
WLCのI/Fは、CAPWAPのカプセル解除後にトラフィック転送を行う必要があるのでトランクポートにします。
下図は、WLAN端末「192.168.10.5/24」からL3スイッチ「192.168.10.254/24」にPINGを実行した際の
フロー。集中管理型のネットワークでは下図のようにパケットの行きも帰りもWLCを介した通信となります。
|