|
◆ Cisco WLCにおけるRadiusサーバのフォールバック機能
Fallback機能は、以下のようにWLCにRadiusサーバを複数指定している場合に適用できる設定となります。
プライマリのRADIUSサーバ(index 1)が使用不能になると、デフォルトで次にアクティブなバックアップ
RADIUSサーバに動的にフェールオーバーします。この動作は問題ないですが、WLCはプライマリのRADIUS
サーバ(index 1)が使用可能な状態になっても、引き続いてセカンダリのRADIUSサーバを使用し続けます。
Fallback機能を使用することで、プライマリサーバが使用可能かどうかを確認しプライマリRADIUSサーバが
使用可能になるとプライマリRADIUSサーバに自動的に切り替わります。Fallback機能は、アクティブモード
とパッシブモードの2種類があります。実装内容からして、アクティブモードを使用することをお勧めします。
| Fallback機能のモード |
説明 |
| アクティブモード |
@ RadiusサーバがWLC認証要求に応答しなかった場合に停止状態としてマーキングして
非アクティブなサーバプールにサーバを移動して、サーバが応答するまでプローブを送る。
※ サーバがWLC認証要求に応答しなかった場合、300秒後にプローブメッセージの送信開始。
A プローブメッセージに応答した場合、WLCは停止状態のサーバをアクティブなプールに
移動して、プローブメッセージの送信を停止して、WLCはアクティブなプールから最も低い
Server Indexのサーバを常に選択するようになる。
|
| パッシブモード |
@ RadiusサーバがWLC認証要求に応答しなかった場合にサーバを非アクティブキューに
移動してタイマーを設定する。タイマーの時間切れとなると、WLCはサーバの現在の状態に
関係なく、サーバをアクティブキューに移動する。(これでは不安定なシステムになるかと)
A WLCは認証要求を受信すると、WLCはアクティブキューから最も低いServer Indexの
サーバを選択する(アクティブキューには非アクティブなサーバが含まれている場合あり)
B サーバが応答しない場合、WLCはそのサーバを非アクティブとしてマーキングして、
タイマーを設定して、次に優先度の高いサーバに移動する。このプロセスはCisco WLCが
アクティブなRADIUSサーバを見つけるまで続行する。
|
パッシブモードの場合は、以前にRADIUSサーバから応答がなかった場合には、WLCがタイムアウト後には
サーバがアクティブになっていると仮定しサーバをアクティブキューに移動します。それでも応答がない場合
認証要求を受信すると、次のタイムアウトまで待機して再試行します。タイムアウト値はデフォルトで300秒。
◆ Cisco WLCにおけるRadiusサーバのフォールバック機能の設定 - GUI
フォールバック機能は「Security」⇒「AAA」⇒「RADIUS」⇒「Fallback」で設定を行います。設定例は
フォールバックモードを「active」、プローブのユーザ名を「cisco-probe」、プローブ送信間隔「180」秒。
設定例で紹介したプローブメッセージのユーザ名の cisco-probe はWLCにおけるデフォルト値です。
CLIでshow radius summaryと入力すれば分かるかと思いますが、デフォルトではこの値が存在します。
また、RadiusサーバにCisco ISEを使用する場合、デフォルトのユーザ名を使用することをお勧めします。
◆ Cisco WLCにおけるRadiusサーバのフォールバック機能の設定 - CLI
◆ フォールバックモードの選択
| WLC> config radius fallback-test mode { active/ passive / off } |
◆ アクティブモードのプローブ間隔、またはパッシブモードの非アクティブ時間を指定する間隔を設定
| WLC> config radius fallback-test mode interval { 180 - 3600 } |
◆ アクティブモードの場合、RADIUSサーバに送信するプローブ要求内で使用されるユーザ名を設定
| WLC> config radius fallback-test username { usename } |
設定するユーザ名はプローブメッセージ送信に使用される情報であるため、パスワードを設定する
必要はありません。設定が正常に動作しているかは、show radius summaryコマンドにより確認。
デフォルトは以下の通り、Fallback機能が無効化
されているので、上記のとおりFallback Modeを
Activeモードに設定することをお勧めします。
|
|
|