[index] AT-AR3050S/AT-AR4050S/AT-AR4050S-5G コマンドリファレンス 5.5.5

設定例集#84: 無線LANコントローラー（チャンネルブランケット併用）（CLI編）

Note

本設定例はAT-AR4050S、AT-AR4050S-5Gでのみサポートです。AT-AR3050Sでは使用できません（チャンネルブランケットの設定をサポートしていないため）。

構成

設定開始前に

自動設定の確認と削除

• ネットワークケーブルを接続せずに起動する。
  起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
  ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
  
  
• 自動設定を手動で削除してから設定を行う。
  前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。
  

システム時刻の設定

• 手動で設定する方法 - 「運用・管理」/「システム」
  
• NTPで自動設定する方法 - 「運用・管理」/「NTP」
  

事前準備

Note

無線AP単独でのIPアドレス設定、工場出荷状態への初期化については、各APのリファレンスマニュアルをご参照ください。

必要ライセンス

ルーターの設定

Note

無線LANコントローラー機能において、チャンネルブランケットをサポートしているファームウェアは以下のとおりです。

ARシリーズ F/W

v5.4.9-1.3 以降

1. 無線LANコントローラーとAP間で通信可能なインターフェースにIPアドレスを設定します。
   これには、ip addressコマンドを使います。
   

   interface vlan1
    ip address 192.168.1.1/24
   

2. チャンネルブランケット内のユーザーVLAN「10」とセル型ネットワーク内のユーザーVLAN「20」を作成します。
   

   vlan database
    vlan 10 name cb_user
    vlan 20 name cell_user
   

3. VLAN「10」と「20」にIPアドレスを指定します。
   

   interface vlan10
    ip address 192.168.10.1/24
   interface vlan20
    ip address 192.168.20.1/24
   

4. NTPサーバーのIPアドレスを設定します。これには、ntp serverコマンドを使います。
   AWCを使用するには、管理下APでNTPクライアント機能を有効にしておく必要があります。本製品の初期設定では、無線LANコントローラーの管理IPアドレスがNTPサーバーのアドレスとしてAPにNTP設定が行われ、時刻同期するよう設定されます。そのため本製品をNTPサーバーとして動作するよう設定しておく必要があります。ここでは、本製品が上位のNTPサーバーに同期するよう設定します。
   なお、APが時刻同期するNTPサーバーはntp designated-serverコマンドで変更可能です。
   

   ntp server 10.110.110.1
   

5. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
   スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
   

   no spanning-tree rstp enable
   

6. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
   PPPの詳細は「PPP」/「一般設定」をご覧ください。
   

   interface eth1
    encapsulation ppp 0
   

7. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
   
   ・LCP EchoによるPPP接続状態の確認（keepalive）
   ・IPCPによるIPアドレスの取得要求（ip address negotiated）
   ・ユーザー名（ppp username）
   ・パスワード（ppp password）
   ・MSS書き換え（ip tcp adjust-mss）
   
   PPPの詳細は「PPP」/「一般設定」をご覧ください。
   

   interface ppp0
    keepalive
    ip address negotiated
    ppp username user@isp
    ppp password isppasswd
    ip tcp adjust-mss pmtu
   

8. ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
   エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
   
   内部ネットワークを表すゾーン「private」を作成します。
   これには、zone、network、ip subnet、host、ip addressの各コマンドを使います。
   

   zone private
    network dhcp
     ip subnet 0.0.0.0/0 interface vlan1
    network lan
     ip subnet 192.168.1.0/24
     host ap
      ip address 192.168.1.101
      ip address 192.168.1.102
      ip address 192.168.1.103
    network wireless_user
     ip subnet 192.168.10.0/24
     ip subnet 192.168.20.0/24
   

9. 外部ネットワークを表すゾーン「public」を作成します。
   

   zone public
    network wan
     ip subnet 0.0.0.0/0 interface ppp0
     host ppp0
      ip address dynamic interface ppp0
   

10. ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、application、protocol、dportの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
    
    DHCPパケットを表すカスタムアプリケーション「dhcp」を定義します。
    

    application dhcp
     protocol udp
     dport 67 to 68
    

11. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewall、rule、protectの各コマンドを使います。
    
    ・rule 10 - 内部でのDHCPによる通信を許可します
    ・rule 20 - 内部から内部への通信を許可します（ここでは本製品・無線AP間の通信）
    ・rule 30 - 内部から外部への通信を許可します
    ・rule 40 - 本製品のWAN側インターフェースから外部へのDNS通信を許可します
    ・rule 50 - ユーザーからアクセスポイントへの通信を破棄します
    
    ※アクセスリストなどのフィルタリング機能併用時は、無線LANコントローラーと管理下AP間の通信が遮断されないようにご注意ください。
    ※無線端末からアクセスポイントへの通信を遮断するような設定を行っていますが、不要な場合は rule 50 を削除してください。
    
    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    

    firewall
     rule 10 permit dhcp from private.dhcp to private.dhcp
     rule 20 permit any from private.lan to private.lan
     rule 30 permit any from private to public
     rule 40 permit dns from public.wan.ppp0 to public.wan
     rule 50 deny any from private.wireless_user to private.lan.ap
     protect
    

12. NAT機能の設定を行います。
    これには、nat、rule、enableの各コマンドを使います。
    
    ・rule 10 - ゾーン「private」のコンピューターがダイナミックENAT機能を使用できるようにします
    
    NATの詳細は「UTM」/「NAT」をご覧ください。
    

    nat
     rule 10 masq any from private to public
     enable
    

13. DNSリレー機能の転送先DNSサーバーアドレスを手動設定します。これには、ip name-serverコマンドを使います。
    

    ip name-server 10.100.100.100
    

14. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    

    ip dns forwarding
    

15. デフォルト経路をPPPインターフェースppp0に向けます。これにはip routeコマンドを使います。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    

    ip route 0.0.0.0/0 ppp0
    

16. DHCPサーバー機能の設定を行います。
    DHCPサーバー機能の詳細は「IP付加機能」/「DHCPサーバー」をご覧ください。
    
    これには、ip dhcp poolコマンドでDHCPプールを作成し、以下の情報を設定します。
    
    ・サブネット（network）
    ・リースするIPアドレス（range）
    ・デフォルトゲートウェイ（default-router）
    ・DNSサーバーアドレス（dns-server）
    ・リース時間（lease）
    

    ip dhcp pool pool1
     network 192.168.10.0/24
     range 192.168.10.201 192.168.10.210
     default-router 192.168.10.1
     subnet-mask 255.255.255.0
    ip dhcp pool pool2
     network 192.168.20.0/24
     range 192.168.20.201 192.168.20.210
     default-router 192.168.20.1
     subnet-mask 255.255.255.0
    

17. DHCPサーバーを有効化します。これには、service dhcp-serverコマンドを使います。
    

    service dhcp-server
    

18. 無線LANコントローラーの管理IPアドレス（APとの通信に使用するIPアドレス）を指定し、無線LANコントローラー機能を有効にします。
    これには、wireless、management address、enableの各コマンドを使います。
    

    wireless
     management address 192.168.1.1
     enable
    

19. ここから、無線セキュリティーの設定を行います。
    
    最初に、APがWPAエンタープライズで使用するRADIUSサーバーとして、本製品のローカルRADIUSサーバーを設定します。
    ローカルRADIUSサーバーを有効にし、APのIPアドレスをRADIUSクライアント（NAS）として登録します。APのIPアドレスとアクセス時の共有パスワードを設定してください。ここでは共有パスワードをnas123456として登録します。
    
    ここには示していませんが、下記の設定後、WPAエンタープライズの認証で使用するユーザーをローカルRADIUSサーバーに登録してください。
    

    radius-server local
     nas 192.168.1.101 key nas123456
     nas 192.168.1.102 key nas123456
     nas 192.168.1.103 key nas123456
     server enable
    

20. 次に、APが使用すべきRADIUSサーバーの設定を行います。この設定は管理下のAPに送られる設定です。
    

    radius-server host 192.168.1.1 key nas123456
    aaa group server radius wpa4login
     server 192.168.1.1
    

21. WPAパーソナル用のセキュリティー設定「1」を作成します。
    

    wireless
     security 1 mode wpa-personal
      key passphrase_for_wnet
    

22. WPAエンタープライズ用のセキュリティー設定「2」を作成します。
    

     security 2 mode wpa-enterprise
      radius authentication group wpa4login
      radius accounting group wpa4login
      no dynamic-vlan enable
    

23. 無線ネットワーク「1」「2」を作成します。
    無線ネットワーク「1」のSSIDは「wnet10」、セキュリティー方式はWPAパーソナルで、
    無線ネットワーク「2」のSSIDは「wnet20」、セキュリティー方式はWPAエンタープライズとします。
    

     network 1
      vlan 10
      ssid wnet10
      security 1
     network 2
      vlan 20
      ssid wnet20
      security 2
    

24. APプロファイル「1」を作成します。
    無線1（2.4GHz）のVAP「0」でネットワーク「1」をチャンネルブランケットとして、
    無線2（5GHz W52/W53）のVAP「0」でネットワーク「2」をセル型として運用するものとします。
    また、channel-blanketコマンドを使用してチャンネルブランケット設定を行います。ここでは無線1の5chを使用します。
    

     ap-profile 1
      hwtype at-tq5403
      radio 1
       enable
       vap 0 network 1 channel-blanket
      radio 2
       enable
       vap 0 network 2
      channel-blanket
       control-vlan 100
       designated-ap 1
       cb-channel radio 1 channel 5
    

25. AP「1」「2」「3」を登録します。
    

     ap 1
      enable
      profile 1
      ip-address 192.168.1.101
      mac-address 0000.5e00.5301
     ap 2
      enable
      profile 1
      ip-address 192.168.1.102
      mac-address 0000.5e00.5302
     ap 3
      enable
      profile 1
      ip-address 192.168.1.103
      mac-address 0000.5e00.5303
    

26. 毎日15:00にAWC計算を実行するタスク「1」を作成します。
    

     task 1
      time 15:00
      type power-channel ap all calculate
      enable
    

27. 毎日3:00にAWC計算結果を適用するタスク「2」を作成します。
    
    ※AWC機能はセル型の無線バンドのみ対象となります。
    

     task 2
      time 03:00
      type power-channel ap all apply
      enable
    

28. スイッチを接続するポートの設定を行います。
    

    interface port1.0.1
     switchport mode trunk
     switchport trunk allowed vlan add 10,20
    

29. ルーターへの設定は以上です。
    

    end
    

Note

Web GUIでは初期設定でタスクが設定されており、AWCの計算開始タスク「1000」が毎日 15:00、計算結果適用タスク「1001」が毎日 03:00 に設定されています。そのため、CLIでタスク設定後にWeb GUIで無線LANコントローラーにアクセスした場合、タスク「1000」と「1001」が自動で追加されます。Web GUIでAP管理を行う場合は、AWCのスケジュールはGUI上から登録してください。

スイッチの設定

1. チャンネルブランケット内のユーザーVLAN「10」とセル型ネットワーク内のユーザーVLAN「20」、チャンネルブランケット用管理VLAN「100」を作成します。
   

   vlan database
    vlan 10 name cb_user
    vlan 20 name cell_user
    vlan 100 name cb_control
   

2. 無線LANコントローラーに接続するポートの設定を行います。
   

   interface port1.0.1
    switchport mode trunk
    switchport trunk allowed vlan add 10,20
   

3. 無線APを接続するスイッチのポートに前述のチャンネルブランケット用管理VLANをタグ付きポートとして設定します。
   ポート1.0.3～1.0.5にAPを接続する場合、下記の設定を行ってください。
   さらに、チャンネルブランケット用管理VLANを設定するポートでは、MACアドレススラッシングプロテクション機能を無効にします。
   

   interface port1.0.3-1.0.5
    thrash-limiting action none
    switchport mode trunk
    switchport trunk allowed vlan add 10,20,100
   

4. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
   

   no spanning-tree rstp enable
   

5. スイッチへの設定は以上です。ルーターとスイッチへの設定が完了したらルーター、スイッチ、無線APを接続してください。
   

   end
   

設定の保存

awplus# copy running-config startup-config ↓
Building configuration...
[OK]

awplus# write memory ↓
Building configuration...
[OK]

備考

管理下APのステータス確認

awplus# show wireless ap status ↓
ID    Model        FW ver     Manage rup Config   c Clnt Uptime
----- ------------ ---------- ---------- ---------- ---- ---------------
    1 AT-TQ5403    5.4.0.B05  Managd --- Succeed  -    0             350
    2 AT-TQ5403    5.4.0.B05  Managd --- Succeed  -    0             312
    3 AT-TQ5403    5.4.0.B05  Managd --- Succeed  -    0             300

チャンネルブランケットのステータス確認

awplus# show wireless channel-blanket ap status ↓
AP: 1
Last Update Time: 2019-10-25 16:43:56
Number of CB member: 3
AP    MAC Address
----- --------------
    1 0000.5e00.5301
    2 0000.5e00.5302
    3 0000.5e00.5303

AP: 2
Last Update Time: 2019-10-25 16:43:35
Number of CB member: 3
AP    MAC Address
----- --------------
    1 0000.5e00.5301
    2 0000.5e00.5302
    3 0000.5e00.5303

AP: 3
Last Update Time: 2019-10-25 16:42:36
Number of CB member: 3
AP    MAC Address
----- --------------
    1 0000.5e00.5301
    2 0000.5e00.5302
    3 0000.5e00.5303

awplus# show wireless channel-blanket ap-profile all status ↓
AP Profile: 1
AP    Member TimeStamp
----- ------ -------------------
    1      3 2019-10-25 16:43:56
    2      3 2019-10-25 16:43:35
    3      3 2019-10-25 16:42:36

ルーターのコンフィグ

!
interface vlan1
 ip address 192.168.1.1/24
!
vlan database
 vlan 10 name cb_user
 vlan 20 name cell_user
!
interface vlan10
 ip address 192.168.10.1/24
interface vlan20
 ip address 192.168.20.1/24
!
ntp server 10.110.110.1
!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ip address negotiated
 ppp username user@isp
 ppp password isppasswd
 ip tcp adjust-mss pmtu
!
zone private
 network dhcp
  ip subnet 0.0.0.0/0 interface vlan1
 network lan
  ip subnet 192.168.1.0/24
  host ap
   ip address 192.168.1.101
   ip address 192.168.1.102
   ip address 192.168.1.103
 network wireless_user
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
!
application dhcp
 protocol udp
 dport 67 to 68
!
firewall
 rule 10 permit dhcp from private.dhcp to private.dhcp
 rule 20 permit any from private.lan to private.lan
 rule 30 permit any from private to public
 rule 40 permit dns from public.wan.ppp0 to public.wan
 rule 50 deny any from private.wireless_user to private.lan.ap
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
ip name-server 10.100.100.100
!
ip dns forwarding
!
ip route 0.0.0.0/0 ppp0
!
ip dhcp pool pool1
 network 192.168.10.0/24
 range 192.168.10.201 192.168.10.210
 default-router 192.168.10.1
 subnet-mask 255.255.255.0
ip dhcp pool pool2
 network 192.168.20.0/24
 range 192.168.20.201 192.168.20.210
 default-router 192.168.20.1
 subnet-mask 255.255.255.0
!
service dhcp-server
!
wireless
 management address 192.168.1.1
 enable
!
radius-server local
 nas 192.168.1.101 key nas123456
 nas 192.168.1.102 key nas123456
 nas 192.168.1.103 key nas123456
 server enable
!
radius-server host 192.168.1.1 key nas123456
aaa group server radius wpa4login
 server 192.168.1.1
!
wireless
 security 1 mode wpa-personal
  key passphrase_for_wnet
!
 security 2 mode wpa-enterprise
  radius authentication group wpa4login
  radius accounting group wpa4login
  no dynamic-vlan enable
!
 network 1
  vlan 10
  ssid wnet10
  security 1
 network 2
  vlan 20
  ssid wnet20
  security 2
!
 ap-profile 1
  hwtype at-tq5403
  radio 1
   enable
   vap 0 network 1 channel-blanket
  radio 2
   enable
   vap 0 network 2
  channel-blanket
   control-vlan 100
   designated-ap 1
   cb-channel radio 1 channel 5
!
 ap 1
  enable
  profile 1
  ip-address 192.168.1.101
  mac-address 0000.5e00.5301
 ap 2
  enable
  profile 1
  ip-address 192.168.1.102
  mac-address 0000.5e00.5302
 ap 3
  enable
  profile 1
  ip-address 192.168.1.103
  mac-address 0000.5e00.5303
!
 task 1
  time 15:00
  type power-channel ap all calculate
  enable
!
 task 2
  time 03:00
  type power-channel ap all apply
  enable
!
interface port1.0.1
 switchport mode trunk
 switchport trunk allowed vlan add 10,20
!
end

スイッチのコンフィグ

!
vlan database
 vlan 10 name cb_user
 vlan 20 name cell_user
 vlan 100 name cb_control
!
interface port1.0.1
 switchport mode trunk
 switchport trunk allowed vlan add 10,20
!
interface port1.0.3-1.0.5
 thrash-limiting action none
 switchport mode trunk
 switchport trunk allowed vlan add 10,20,100
!
no spanning-tree rstp enable
!
end

(C) 2015 - 2025 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.BF