設定例集#59: 無線LANコントローラー（GUI編）

構成

事前準備

APの準備

ルーターの準備

無線LANコントローラーは、無線LANアクセスポイント（AP）を本製品から一括で設定、管理する機能です。
一元管理により無線LANの運用を効率化するだけでなく、管理下APの使用チャンネルや送信出力を周囲の環境変化に応じて自律的に調整するAWC（Autonomous Wave Control）によって電波干渉の影響を軽減します。

本設定例では、具体的な構成を例に、Web GUIから無線LANコントローラーの基本設定を行う手順を説明します。

Note
一部の設定はコマンドラインインターフェース（CLI）から行う必要があります。なお、CLIにはWeb GUIの「システム」＞「CLI」メニューからアクセスすることもできます。

構成

ここでは、以下の構成を例にします。
無線LANコントローラー配下のAPに同一のSSIDとセキュリティー設定を行うことでAP間のローミングを可能にし、またAWCによって管理下の各APにとって最適な送信出力とチャンネルを適用します。

表 1：ISPから提供された情報
ISP接続用ユーザー名	user@isp
ISP接続用パスワード	isppasswd
PPPoEサービス名	指定なし
WAN側IPアドレス	動的割り当て（IPCP）
DNSサーバー	10.100.100.100

表 2：無線LANコントローラー
管理IPアドレス（vlan1）	192.168.1.1
NTPサーバー機能	有効
上位NTPサーバー	10.110.110.1
ローカルRADIUSサーバー	有効

表 3：アクセスポイント
番号	機種名	IPアドレス（VLAN ID）	MACアドレス
1	AT-TQ1402	192.168.1.101（1）	001A.EB39.87C0
2	AT-TQ5403	192.168.1.102（1）	001A.EBA1.E0C7
3	AT-TQ6602	192.168.1.103（1）	88DC.9637.C8A0

表 4：無線ネットワーク
番号	SSID	VLAN ID	セキュリティー設定
番号	SSID	VLAN ID	番号	セキュリティー方式	WPAバージョン	暗号プロトコル	セキュリティーキー
1	Area1	1	1	WPAエンタープライズ	WPA2	CCMP(AES)	ローカルRADIUSサーバーにユーザーごとに登録

事前準備

APの準備

無線LANコントローラーで無線管理を行うための準備として、無線LANアクセスポイント（AP）にIPアドレスを設定し、MACアドレスを確認します。各APにPCを接続してIPアドレスを変更し、MACアドレスを控えてください。

また、無線LANコントローラーの解説編で、APの機種、ファームウェアバージョンが無線コントローラーのサポート対象になっているかどうかも確認してください。

Note
無線AP単独でのIPアドレス設定、工場出荷状態への初期化については、各APのリファレンスマニュアルをご参照ください。

ルーターの準備

本製品のWeb GUIにアクセスするため、本製品に対してIPアドレスの設定とWebサーバーの有効化を行います。

Note
Web GUIの画面、メニュー構成、機能などは、製品機種やファームウェア、GUIファイルのバージョンによって異なる可能性があります。

LAN側インターフェースにIPアドレスを設定し、Webサーバー機能を有効化します。
```
awplus(config)# interface vlan1 ↓
awplus(config-if)# ip address 192.168.1.1/24 ↓
awplus(config-if)# exit ↓
awplus(config)# service http ↓
```
Note
起動時に、AMFネットワーク未検出時の拡張動作が機能した場合、本製品には一時的なIPアドレス「192.168.1.1」が自動設定されます。また、Webサーバー機能も自動的に有効化されるため、本手順なしにWeb GUIにアクセスできます。詳細は「Web GUIを使用するための準備」をご参照ください。
Webブラウザー Chrome または Firefox で「192.168.1.1」にアクセスし、管理者のユーザー名、パスワードでログインします。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

手動で設定する方法 - 「運用・管理」/「システム」
NTPで自動設定する方法 - 「運用・管理」/「NTP」

本設定例では、NTPで自動設定する方法を使用します。

タイムゾーン（UTCからのオフセット）を設定します。NTPから得られる時刻情報はUTC（協定世界時）なので、必ずオフセットを指定してください。
日本標準時（JST）はUTCより9時間進んでいるので、次のように設定します。
本設定はコマンド入力が必要なため、「システム」＞「CLI」画面にアクセスして行います。
```
awplus> enable ↓
awplus# configure terminal ↓
awplus(config)# clock timezone JST plus 09:00 ↓
awplus(config)# end ↓
```
Web GUIの「システム」＞「日付と時刻」画面で「NTPの同期先を追加」をクリックします。
「NTPの同期先を追加」ダイアログでNTPサーバーの設定を行います。
「アドレス」にNTPサーバーのアドレスを入力、「種類」は「Server」を選択、「バージョン」は「4」を選択し、「適用」をクリックします。

ルーターの設定

LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。
本設定はコマンド入力が必要なため、「システム」＞「CLI」画面にアクセスして行います。
RSTPを無効化するには、spanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
```
awplus> enable ↓
awplus# configure terminal ↓
awplus(config)# no spanning-tree rstp enable ↓
```
この後もコマンド入力が必要な手順がありますので、「CLI」画面（タブ）は開いたままにしておくと便利です。
これ以降、コマンド入力の説明箇所では、本手順で開いた「CLI」画面を引き続き使う前提でコマンドモードの移動などを記述します。
WANポートeth1上にPPPoEインターフェースppp0を作成します。
「ネットワーク基本設定」＞「インターフェース管理」画面で「インターフェース追加」をクリックすると表示される「インターフェース追加」画面において、「インターフェース種別」から「PPPoE」を、「Ethernetインターフェース」から「eth1」を選択します。
また、「ユーザー名」に「user@isp」、「パスワード」に「isppasswd」を入力し、「適用」をクリックします。
Note
以下の項目は自動で設定されます。
- LCP EchoによるPPP接続状態の確認（keepalive）
- IPCPによるIPアドレスの取得要求（ip address negotiated）
- MSS書き換え（ip tcp adjust-mss）
ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

最初に内部ネットワークを表すゾーン「private」を作成します。

「セキュリティー」＞「エンティティー」画面で「ゾーン追加」をクリックしてください。

ゾーン名「private」を入力し、「適用」をクリックします。

作成されたゾーン「private」に以下の2つのネットワークを追加します。

表 5：ネットワーク
名称 IPv4サブネットアドレス インターフェース

dhcp 0.0.0.0/0 vlan1

lan 192.168.1.0/24 なし

ゾーン「private」の「ネットワーク追加」をクリックしてください。

ネットワーク「dhcp」を追加するには、「名称」に「dhcp」を入力し、「IPv4サブネットアドレス」の「サブネット追加」からIPアドレス「0.0.0.0/0」を入力します。また、インターフェース欄をクリックして「vlan1」を選択し、最後に「保存」をクリックします。
同様にして、ネットワーク「lan」も追加してください。
同じようにして外部ネットワークを表すゾーン「public」を作成します。
「セキュリティー」＞「エンティティー」画面で「ゾーン追加」をクリックして「ゾーン追加」画面を開き、ゾーン名「public」を入力して「適用」をクリックしてください。

作成したゾーン「public」にネットワーク「wan」を追加します。IPv4サブネットアドレスは「0.0.0.0/0」、インターフェースは「ppp0」で設定します。
本設定はコマンド入力が必要なため、「システム」＞「CLI」画面から行います。
```
awplus(config)# zone public ↓
awplus(config-zone)# network wan ↓
awplus(config-network)# ip subnet 0.0.0.0/0 interface ppp0 ↓
```
Note
Web GUIでは、「ネットワーク追加」でIPv4サブネットアドレスを追加する際、インターフェースとしてPPPインターフェースやトンネルインターフェースを指定することができません。

続けて、作成したネットワーク「wan」にホスト「ppp0」を追加します。
こちらもコマンド入力が必要なため、前の設定に続いて「システム」＞「CLI」画面から以下のコマンドを実行してください。
```
awplus(config-network)# host ppp0 ↓
awplus(config-host)# ip address dynamic interface ppp0 ↓
awplus(config-host)# exit ↓
awplus(config-network)# exit ↓
awplus(config-zone)# exit ↓
```
Note
Web GUIでは、「ホスト追加」でインターフェースとしてPPPインターフェースやトンネルインターフェースを指定することができません。
ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

「セキュリティー」＞「アプリケーション」画面で「カスタムアプリケーション追加」をクリックします。

「アプリケーション」に「dhcp」、「プロトコル」に「UDP」を入力し、候補から選択します。
「宛先ポート（オプション）」の「ポート追加」からポート「67-68」を設定し、「適用」をクリックしてください。

表 5：ネットワーク
名称	IPv4サブネットアドレス	インターフェース
dhcp	0.0.0.0/0	vlan1
lan	192.168.1.0/24	なし

外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
ここでは次のルールを設定します。

表 6：ファイアウォールルール
ルール	アクション	アプリケーション	送信元エンティティー	宛先エンティティー	説明
10	許可	dhcp	private.dhcp	private.dhcp	内部でのDHCPによる通信を許可します
20	許可	any	private.lan	private.lan	内部から内部への通信を許可します（ここでは本製品・無線AP間の通信）
30	許可	any	private	public	内部から外部への通信を許可します
40	許可	dns	public.wan.ppp0	public.wan	本製品のWAN側インターフェースから外部へのDNS通信を許可します

Note
無線LANコントローラーと管理下AP間の通信が遮断されないようにご注意ください。

Note
Web GUI上ではエンティティーの区切り文字がピリオド（.）ではなくスラッシュ（/）になっています。
たとえば、ルール50の宛先エンティティー「private.lan」は「private / lan」のように表示されますが、意味は同じです。

「セキュリティー」＞「ファイアウォール」画面で「ルール追加」をクリックします。

ルール10を追加するには、「アクション」に「許可」、「アプリケーション」に「dhcp」、「送信元エンティティー」に「private / dhcp」(ゾーン「private」のネットワーク「dhcp」)、「宛先エンティティー」に「private / dhcp」を選択し、「適用」をクリックします。
同様にして残りのルール（20～40）も設定してください。

Note
Web GUIでファイアウォールルールを設定する場合、ルール番号を指定できないため、必ずルール番号順に設定してください。

ファイアウォールの設定が終わったら、「セキュリティー」＞「ファイアウォール」画面右上のスイッチをクリックしてファイアウォールを有効にしてください。

Note
ファイアウォールを有効にするときは、事前にWeb GUIへのアクセスを許可するルールが設定されていることを確認してください。

NATルールを追加します。「セキュリティー」＞「NAT」画面の「ルール追加」をクリックしてください。

「アクション」に「マスカレード」、「アプリケーション」に「any」、「送信元エンティティー」に「private」、「宛先エンティティー」に「public」を指定し、「保存」をクリックします。

NATルールを設定したら、「セキュリティー」＞「NAT」画面右上のスイッチをクリックしてNATを有効にしてください。
DNSリレー機能の転送先DNSサーバーアドレスを手動設定します。
「ネットワーク基本設定」＞「DNSクライアント」画面で「サーバー追加」をクリックし、表示された下記の画面でIPアドレスに「10.100.100.100」を入力し、「適用」をクリックしてください。
DNSリレー機能を有効にします。
本設定はコマンド入力が必要なため、「システム」＞「CLI」画面から行います。
```
awplus(config)# ip dns forwarding ↓
```
デフォルト経路をPPPインターフェースppp0に向けます。
「ネットワーク基本設定」＞「スタティック経路」画面で「スタティック経路の追加」をクリックし、表示された下記の画面で「宛先ネットワーク」に「0.0.0.0/0」、「ゲートウェイ/インターフェース」に「ppp0」を指定し、「適用」をクリックします。

DHCPサーバー機能の設定を行います。
「ネットワークサービス」＞「DHCPサーバー」画面で「新規DHCPプール」をクリックし、表示された下記の画面でDHCPプールを設定します。
下記の表にしたがい「pool1」を設定してください。

表 7：DHCPプール
DHCPプール名	ネットワーク	デフォルトゲートウェイ	リース時間	IPアドレス範囲		DNSサーバー
				開始	終了
pool1	192.168.1.0/24	192.168.1.1	任意	192.168.1.201	192.168.1.210	なし

設定が終わったら、「ネットワークサービス」＞「DHCPサーバー」画面右上のスイッチをクリックして、DHCPサーバーを有効化してください。

APがWPAエンタープライズで使用するRADIUSサーバーとして、本製品のローカルRADIUSサーバーを設定します。
「ネットワークサービス」＞「RADIUSサーバー」画面右上のスイッチをクリックして、RADIUSサーバーを有効化してください。

各APをRADIUSクライアント（NAS）として登録します。

「NAS」セクションの「NAS追加」をクリックしてください。

NASを登録するには、「NAS」追加画面で下記の表のように設定し、「適用」をクリックします。

表 8：NAS
NAS 共有パスワード

192.168.1.101 nas123456

192.168.1.102 nas123456

192.168.1.103 nas123456

ここには示していませんが、上記の設定後、WPAエンタープライズの認証で使用するユーザーをローカルRADIUSサーバーに登録してください。
APが使用すべきRADIUSサーバーの設定を行います。
「ネットワークサービス」＞「RADIUSクライアント」画面で「サーバー追加」をクリックします。

「RADIUSサーバー」に「192.168.1.1」、「共有パスワード」に「nas123456」を指定し、「適用」をクリックします。

次に、サーバーグループを追加します。
「ネットワークサービス」＞「RADIUSクライアント」画面で「グループ追加」をクリックし、表示された下記の画面で「グループ」に「wpa4login」、「サーバー」に「192.168.1.1」を指定して、「適用」をクリックします。
ルーター自身を権威あるNTPサーバーとして動作させます。
本設定はコマンド入力が必要なため、「システム」＞「CLI」画面から行います。
```
awplus(config)# ntp master ↓
```

表 8：NAS
NAS	共有パスワード
192.168.1.101	nas123456
192.168.1.102	nas123456
192.168.1.103	nas123456

ここから、無線管理のセットアップを開始します。
無線LANコントローラーの管理IPアドレス（APとの通信に使用するIPアドレス）を指定し、無線LANコントローラー機能を有効にします。
「Vista manager mini」＞「無線管理」＞「セットアップ」画面で「管理IPアドレス」から「192.168.1.1」を選択したのち、画面右上のスイッチをクリックして無線管理を有効化してください。

次に、無線ネットワーク「1」を作成します。
無線ネットワーク「1」のSSIDは「Area1」、セキュリティー方式はWPAエンタープライズとします。

「Vista manager mini」＞「無線管理」＞「セットアップ」画面で「ネットワーク」タブを選択し、右上の「ネットワーク追加」をクリックします。

無線ネットワーク「1」を作成するには、以下のように設定して「保存」をクリックします。

表 9：ネットワーク1
SSID	Area1
説明	任意
ステータス	通常
トリガー	なし
セキュリティー	WPAエンタープライズ
ブロードキャストキー更新間隔	0
RADIUS認証グループ	wpa4login
RADIUSアカウンティンググループ	wpa4login
ダイナミックVLAN	無効
事前認証	無効

次に、APプロファイル「wprof1」を作成します。
無線1（2.4GHz）と無線2（5GHz W52）のVAP「0」でネットワーク「1」を運用するものとします。
「Vista manager mini」＞「無線管理」＞「セットアップ」画面で「アクセスポイント」タブをクリックし、「プロファイル追加」をクリックしてください。

「一般」タブでは以下のように設定します。

表 10：APプロファイル一般
名前	モデル	無線1		無線2
wprof1	AT-TQ1402	無効	Area1	無効	Area1
wprof2	AT-TQ5503	無効	Area1 - Channel Blanket OFF	無効	Area1 - Channel Blanket OFF
wprof3	AT-TQ6602	無効	Area1 - Channel Blanket OFF	無効	Area1 - Channel Blanket OFF

上記のとおり設定したら、「適用」をクリックします。
同様にして、APプロファイル「wprof2」、「wprof3」も追加してください。

AP「1」「2」「3」を登録します。
本設定例では、手動でアクセスポイントを追加します。
自動セットアップ機能を利用する場合は、「Web GUI」/「Vista Manager mini - 無線管理」の「セットアップ / スタート / 自動セットアップ」をご参照ください。

「Vista manager mini」＞「無線管理」＞「セットアップ」画面で「アクセスポイント」タブをクリックし、「アクセスポイント追加」ををクリックしてください。

それぞれ以下のように設定し、「適用」をクリックして各APを追加してください。

表 11：アクセスポイント
アクセスポイント	名前	MACアドレス	IPアドレス	プロファイル
1	wap1	001A.EB39.87C0	192.168.1.101	wprof1
2	wap2	001A.EBA1.E0C7	192.168.1.102	wprof1
3	wap3	88DC.9637.C8A0	192.168.1.103	wprof1

AWC機能を有効にします。Web GUIの左メニューから「Visa Manager mini」＞「無線管理」＞「AWC管理」をクリックします。

初期設定ではAWCの計算開始は毎日 15:00、計算結果適用は毎日 03:00 に設定されています。
「AWC管理」画面を開くと、その時点で初期設定がコンフィグレーションに反映されます。

Note
AWC機能はセル型の無線バンドのみ対象となります。

Note
GUIから自動設定されるAWCスケジュールの初期設定は、AWC計算を実行するためのタスクが「1000」、AWC計算結果を適用するためのタスクが「1001」としてRunning-config上に自動登録されます。AWC機能を使用しない場合は、「計算タスク編集」を選択し、「AWC 計算」ダイアログから「状態」を「無効」にしてください。
ルーターへの設定は以上です。

設定の保存

設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。
各機器のGUI画面右上「保存」を押すと、保存できます。

備考

無線LANコントローラーでは下記のステータスを確認できます。

管理下APのステータス確認

登録したAPのステータスは、「Vista Manager mini」＞「無線管理」＞「監視」画面で確認できます。

PN: 613-002107 Rev.AT