設定例集#122: 無線LANコントローラー(スマートコネクト)(GUI編)
無線LANコントローラー機能では、弊社独自のAP間無線接続技術であるAWC-SC(AWC-Smart Connect)の設定・管理をサポートしています。
本設定例では、具体的な構成を例に、Web GUIから無線LANコントローラーの基本設定を行う手順を説明します。
構成
本設定例では、無線1(2.4GHz)をセル型、無線2(5GHz W52)をスマートコネクト型として使用します。
| ISP接続用ユーザー名 | user@isp |
| ISP接続用パスワード | isppasswd |
| PPPoEサービス名 | 指定なし |
| WAN側IPアドレス | 10.1.1.1/32 |
| DNSサーバー | 10.100.100.100 |
| WAN側物理インターフェース | eth1 |
| WAN側(ppp0)IPアドレス | 10.1.1.1/32 |
| LAN側(vlan1)IPアドレス | 192.168.1.1/24 |
| 管理IPアドレス(VLAN ID) | 192.168.1.1(1) |
| NTPサーバー機能 | 有効 |
| DHCPサーバー機能 | 有効 |
| 1 | AT-TQ5403 | 固定:192.168.1.101(1) | 0000.5e00.5301 | ルートAP |
| 2 | AT-TQ5403 | DHCP:192.168.1.102(1) | 0000.5e00.5302 | サテライトAP |
| 3 | AT-TQ5403 | DHCP:192.168.1.103(1) | 0000.5e00.5303 | サテライトAP |
| 1 | 192.168.1.0/24 | 無線LANコントローラーと管理下APの通信に使用する管理用VLAN |
| 10 | 192.168.10.0/24 | ユーザーVLAN。無線ネットワーク wnet10 はこのVLANに所属する |
| 20 | 192.168.20.0/24 | ユーザーVLAN。無線ネットワーク wnet20 はこのVLANに所属する |
| 1 | wnet10 | 10 | 1 | WPAパーソナル | WPA2 | CCMP(AES) | passphrase_for_wnet |
| 2 | wnet20 | 20 | 2 | WPAエンタープライズ | WPA2 | CCMP(AES) | ローカルRADIUSサーバーへユーザーごとに登録 |
設定開始前に
自動設定の確認と削除
本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。
ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。
これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。
- ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
- 自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。
事前準備
APの準備
無線LANコントローラーで無線管理を行うための準備として、無線LANアクセスポイント(AP)にIPアドレスを設定し、MACアドレスを確認します。また、無線LANコントローラーの解説編で、APの機種、ファームウェアバージョンが無線コントローラーのサポート対象になっているかどうかも確認してください。
ルーターの準備
本製品のWeb GUIにアクセスするため、本製品に対してIPアドレスの設定とWebサーバーの有効化を行います。- LAN側インターフェースにIPアドレスを設定し、Webサーバー機能を有効化します。
awplus(config)# interface vlan1 awplus(config-if)# ip address 192.168.1.1/24 awplus(config-if)# exit awplus(config)# service http
- Webブラウザー Chrome または Firefox で「192.168.1.1」にアクセスし、管理者のユーザー名、パスワードでログインします。
システム時刻の設定
ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。
- 手動で設定する方法 - 「運用・管理」/「システム」
- NTPで自動設定する方法 - 「運用・管理」/「NTP」
本設定例では、NTPで自動設定する方法を使用します。
- タイムゾーン(UTCからのオフセット)を設定します。NTPから得られる時刻情報はUTC(協定世界時)なので、必ずオフセットを指定してください。
日本標準時(JST)はUTCより9時間進んでいるので、次のように設定します。
本設定はコマンド入力が必要なため、「システム」>「CLI」画面にアクセスして行います。
awplus> enable awplus# configure terminal awplus(config)# clock timezone JST plus 09:00 awplus(config)# end
- Web GUIの「システム」>「日付と時刻」画面で「NTPの同期先を追加」をクリックします。
- 「NTPの同期先を追加」ダイアログでNTPサーバーの設定を行います。
「アドレス」にNTPサーバーのアドレスを入力、「種類」は「Server」を選択、「バージョン」は「4」を選択し、「適用」をクリックします。
必要ライセンス
無線LANコントローラーでスマートコネクトの設定・管理を行うためにはライセンスが必要です。必要なライセンスや管理可能なAP台数については、スマートコネクト解説編の「必要ライセンス」をご参照ください。
ルーターの設定
- スマートコネクト内のユーザーVLAN「10」とセル型ネットワーク内のユーザーVLAN「20」を作成します。
「ネットワーク基本設定」>「インターフェース管理」画面で「インターフェース追加」をクリックします。
なお、VLAN作成は「VLAN」ページから行うこともできます。
「インターフェース種別」から「VLAN」を選択し、「VLAN ID」に「10」、「VLAN名」に「vlan10」と入力し、「適用」をクリックします。
同様にしてVLAN「20」も作成してください。
- VLAN「10」と「20」にIPアドレスを指定します。
「ネットワーク基本設定」>「インターフェース管理」画面で「vlan10」の右側にある「編集」をクリックします。
「固定IP」が選択された状態で、「IPアドレス」に「192.168.10.1/24」と入力し、「適用」をクリックします。
同様にしてVLAN「20」にIPアドレス「192.168.20.1/24」を設定してください。
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。
本設定はコマンド入力が必要なため、「システム」>「CLI」画面にアクセスして行います。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
awplus> enable awplus# configure terminal awplus(config)# no spanning-tree rstp enable
この後もコマンド入力が必要な手順がありますので、「CLI」画面(タブ)は開いたままにしておくと便利です。
これ以降、コマンド入力の説明箇所では、本手順で開いた「CLI」画面を引き続き使う前提でコマンドモードの移動などを記述します。
- WANポートeth1上にPPPoEインターフェースppp0を作成します。
「ネットワーク基本設定」>「インターフェース管理」画面で「インターフェース追加」をクリックすると表示される「インターフェース追加」画面において、「インターフェース種別」から「PPPoE」を、「Ethernetインターフェース」から「eth1」を選択します。
また、「ユーザー名」に「user@isp」、「パスワード」に「isppasswd」を入力し、「適用」をクリックします。
- ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
最初に内部ネットワークを表すゾーン「private」を作成します。
「セキュリティー」>「エンティティー」画面で「ゾーン追加」をクリックしてください。
ゾーン名「private」を入力し、「適用」をクリックします。
作成されたゾーン「private」に以下の3つのネットワークを追加します。
表 8:ネットワーク 名称 IPv4サブネットアドレス インターフェース dhcp 0.0.0.0/0 vlan1 lan 192.168.1.0/24 なし wireless_user 192.168.10.0/24 なし 192.168.20.0/24 なし
ゾーン「private」の「ネットワーク追加」をクリックしてください。
ネットワーク「dhcp」を追加するには、「名称」に「dhcp」を入力し、「IPv4サブネットアドレス」の「サブネット追加」からIPアドレス「0.0.0.0/0」を入力します。また、インターフェース欄をクリックして「vlan1」を選択し、最後に「保存」をクリックします。
同様にして、ネットワーク「lan」と「wireless_user」も追加してください。
作成したネットワーク「lan」に次の3つのホストを追加します。
表 9:ホスト 名称 IP ap1 192.168.1.101 ap2 192.168.1.102 ap3 192.168.1.103
ゾーン「private」画面の「lan」の右向き矢印をクリックし、下の画面で「ホスト追加」をクリックしてください。
ホスト「ap1」を追加するには、「名称」に「ap1」、「IP」に「192.168.1.101」を入力し、「保存」をクリックします。
同様にして、ホスト「ap2」と「ap3」も追加してください。
- 同じようにして外部ネットワークを表すゾーン「public」を作成します。
「セキュリティー」>「エンティティー」画面で「ゾーン追加」をクリックして「ゾーン追加」画面を開き、ゾーン名「public」を入力して「適用」をクリックしてください。
作成したゾーン「public」にネットワーク「wan」を追加します。IPv4サブネットアドレスは「0.0.0.0/0」、インターフェースは「ppp0」で設定します。
本設定はコマンド入力が必要なため、「システム」>「CLI」画面から行います。
awplus(config)# zone public awplus(config-zone)# network wan awplus(config-network)# ip subnet 0.0.0.0/0 interface ppp0
続けて、作成したネットワーク「wan」にホスト「ppp0」を追加します。
こちらもコマンド入力が必要なため、前の設定に続いて「システム」>「CLI」画面から以下のコマンドを実行してください。
awplus(config-network)# host ppp0 awplus(config-host)# ip address dynamic interface ppp0 awplus(config-host)# exit awplus(config-network)# exit awplus(config-zone)# exit
- ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
「セキュリティー」>「アプリケーション」画面で「カスタムアプリケーション追加」をクリックします。
「アプリケーション」に「dhcp」、「プロトコル」に「UDP」を入力し、候補から選択します。
「宛先ポート(オプション)」の「ポート追加」からポート「67-68」を設定し、「適用」をクリックしてください。
- 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
ここでは次のルールを設定します。
表 10:ファイアウォールルール ルール アクション アプリケーション 送信元エンティティー 宛先エンティティー 説明 10 許可 dhcp private.dhcp private.dhcp 内部でのDHCPによる通信を許可します 20 許可 any private.lan private.lan 内部から内部への通信を許可します(ここでは本製品・無線AP間の通信) 30 許可 any private public 内部から外部への通信を許可します 40 許可 dns public.wan.ppp0 public.wan 本製品のWAN側インターフェースから外部へのDNS通信を許可します 50 拒否 any private.wireless_user private.lan.ap1 ユーザーからアクセスポイント1への通信を破棄します 60 拒否 any private.wireless_user private.lan.ap2 ユーザーからアクセスポイント2への通信を破棄します 70 拒否 any private.wireless_user private.lan.ap3 ユーザーからアクセスポイント3への通信を破棄します
「セキュリティー」>「ファイアウォール」画面で「ルール追加」をクリックします。
ルール10を追加するには、「アクション」に「許可」、「アプリケーション」に「dhcp」、「送信元エンティティー」に「private / dhcp」(ゾーン「private」のネットワーク「dhcp」)、「宛先エンティティー」に「private / dhcp」を選択し、「適用」をクリックします。
同様にして残りのルール(20~70)も設定してください。
ファイアウォールの設定が終わったら、「セキュリティー」>「ファイアウォール」画面右上のスイッチをクリックしてファイアウォールを有効にしてください。
- NATルールを追加します。「セキュリティー」>「NAT」画面の「ルール追加」をクリックしてください。
「アクション」に「マスカレード」、「アプリケーション」に「any」、「送信元エンティティー」に「private」、「宛先エンティティー」に「public」を指定し、「保存」をクリックします。
NATルールを設定したら、「セキュリティー」>「NAT」画面右上のスイッチをクリックしてNATを有効にしてください。
- DNSリレー機能の転送先DNSサーバーアドレスを手動設定します。
「ネットワーク基本設定」>「DNSクライアント」画面で「サーバー追加」をクリックし、表示された下記の画面でIPアドレスに「10.100.100.100」を入力し、「適用」をクリックしてください。
- DNSリレー機能を有効にします。
本設定はコマンド入力が必要なため、「システム」>「CLI」画面から行います。
awplus(config)# ip dns forwarding
- デフォルト経路をPPPインターフェースppp0に向けます。
「ネットワーク基本設定」>「スタティック経路」画面で「スタティック経路の追加」をクリックし、表示された下記の画面で「宛先ネットワーク」に「0.0.0.0/0」、「ゲートウェイ/インターフェース」に「ppp0」を指定し、「適用」をクリックします。
- DHCPサーバー機能の設定を行います。
「ネットワークサービス」>「DHCPサーバー」画面で「新規DHCPプール」をクリックし、表示された下記の画面でDHCPプールを設定します。
下記の表にしたがい3つのDHCPプールを設定してください。
表 11:DHCPプール DHCPプール名 ネットワーク デフォルトゲートウェイ リース時間 IPアドレス範囲 DNSサーバー 開始 終了 pool1 192.168.1.0/24 なし 任意 192.168.1.101 192.168.1.110 なし user1 192.168.10.0/24 192.168.10.1 任意 192.168.10.201 192.168.10.210 なし user2 192.168.20.0/24 192.168.20.1 任意 192.168.20.201 192.168.20.210 なし
作成したプール「pool1」にホストを追加します。
本設定はコマンド入力が必要なため、「システム」>「CLI」画面から以下のコマンドを実行してください。
awplus(config)# ip dhcp pool pool1 awplus(dhcp-config)# host 192.168.1.101 0000.5e00.5301 awplus(dhcp-config)# host 192.168.1.102 0000.5e00.5302 awplus(dhcp-config)# host 192.168.1.103 0000.5e00.5303
設定が終わったら、「ネットワークサービス」>「DHCPサーバー」画面右上のスイッチをクリックして、DHCPサーバーを有効化してください。
- APがWPAエンタープライズで使用するRADIUSサーバーとして、本製品のローカルRADIUSサーバーを設定します。
「ネットワークサービス」>「RADIUSサーバー」画面右上のスイッチをクリックして、RADIUSサーバーを有効化してください。
各APをRADIUSクライアント(NAS)として登録します。
「NAS」セクションの「NAS追加」をクリックしてください。
NASを登録するには、「NAS」追加画面で下記の表のように設定し、「適用」をクリックします。
表 12:NAS NAS 共有パスワード 192.168.1.101 nas123456 192.168.1.102 nas123456 192.168.1.103 nas123456
ここには示していませんが、上記の設定後、WPAエンタープライズの認証で使用するユーザーをローカルRADIUSサーバーに登録してください。
- APが使用すべきRADIUSサーバーの設定を行います。
「ネットワークサービス」>「RADIUSクライアント」画面で「サーバー追加」をクリックします。
「RADIUSサーバー」に「192.168.1.1」、「共有パスワード」に「nas123456」を指定し、「適用」をクリックします。
次に、サーバーグループを追加します。
「ネットワークサービス」>「RADIUSクライアント」画面で「グループ追加」をクリックし、表示された下記の画面で「グループ」に「wpa4login」、「サーバー」に「192.168.1.1」を指定して、「適用」をクリックします。
- ルーター自身を権威あるNTPサーバーとして動作させます。
本設定はコマンド入力が必要なため、「システム」>「CLI」画面から行います。
awplus(config)# ntp master
- ここから、無線管理のセットアップを開始します。
無線LANコントローラーの管理IPアドレス(APとの通信に使用するIPアドレス)を指定し、無線LANコントローラー機能を有効にします。
「無線管理」>「セットアップ」画面で「管理IPアドレス」から「192.168.1.1」を選択したのち、画面右上のスイッチをクリックして無線管理を有効化してください。
次に、無線ネットワーク「1」「2」を作成します。
無線ネットワーク「1」のSSIDは「wnet10」、セキュリティー方式はWPAパーソナルで、
無線ネットワーク「2」のSSIDは「wnet20」、セキュリティー方式はWPAエンタープライズとします。
「無線管理」>「セットアップ」画面で「ネットワーク」タブを選択し、右上の「ネットワーク追加」をクリックします。
無線ネットワーク「1」を作成するには、以下のように設定します。
表 13:ネットワーク1 SSID wnet10 説明 任意 ステータス 通常 セキュリティー WPAパーソナル キー passphrase_for_wnet
「拡張設定」をクリックし、「VLAN ID」に「10」を入力して、「保存」をクリックします。
同様にして、無線ネットワーク「2」を以下のように設定し、「保存」をクリックします。
表 14:ネットワーク2 SSID wnet20 説明 任意 ステータス 通常 セキュリティー WPAエンタープライズ RADIUS 認証グループ wpa4login RADIUS アカウンティンググループ wpa4login ダイナミックVLAN 無効 VLAN ID(拡張設定) 20
- 次に、SCプロファイル「1」を作成します。
ここでは無線2を使用します。
「無線管理」>「セットアップ」画面で「アクセスポイント」タブをクリックし、「スマートコネクトプロファイル追加」をクリックしてください。
以下のように設定します。
表 15:SCプロファイル 名前 smart-connect-profile 1 SSID awc-smart-connect キー 1234567890abcdef 無線 2 チャンネル Auto
- 次に、APプロファイル「1」を作成します。
無線1(2.4GHz)のVAP「0」でネットワーク「1」を、VAP「1」でネットワーク「2」をセル型として運用するものとします。
また、スマートコネクト設定を行います。
「無線管理」>「セットアップ」画面で「アクセスポイント」タブをクリックし、「プロファイル追加」をクリックしてください。
「一般」タブでは以下のように設定します。
表 16:プロファイル 一般 名前 ap-profile 1 モデル AT-TQ5403 カントリーコード Japan 無線1 有効 wnet10 - Channel Blanket OFF wnet20 - Channel Blanket OFF
「スマートコネクト」タブを選択し、以下のように設定します。
上記のとおり設定したら、「適用」をクリックします。
- 次に、「スマートコネクト」タブを選択し、「編集」ボタンをクリックしてスマートコネクトダイアログを開き、チャンネルに「48」を指定します。
上記のとおり設定したら、「適用」をクリックします。
- AP「1」「2」「3」を登録します。
本設定例では、手動でアクセスポイントを追加します。
自動セットアップ機能を利用する場合は、「Web GUI」/「無線管理」の「セットアップ / スタート / 自動セットアップ」をご参照ください。
「無線管理」>「セットアップ」画面で「アクセスポイント」タブをクリックし、「アクセスポイント追加」ををクリックしてください。
それぞれ以下のように設定し、「適用」をクリックして各APを追加してください。
表 17:アクセスポイント アクセスポイント 名前 MACアドレス IPアドレス プロファイル AP1 ap1 0000.5e00.5301 192.168.1.101 ap-profile 1 AP2 ap2 0000.5e00.5302 192.168.1.102 ap-profile 1 AP3 ap3 0000.5e00.5303 192.168.1.103 ap-profile 1
- AWC機能を有効にします。Web GUIの左メニューから「Visa Manager mini」>「無線管理」>「AWC管理」をクリックします。
初期設定ではAWCの計算開始は毎日 15:00、計算結果適用は毎日 03:00 に設定されています。
「AWC管理」画面を開くと、その時点で初期設定がコンフィグレーションに反映されます。
- スイッチを接続するポートの設定を行います。
ここではポート1をスイッチと接続するものとします。
「ネットワーク基本設定」>「VLAN」画面を開きます。
「VLAN」から「VLAN10」を選択した状態で、左図の「ポート1」部分を2回クリックします(タグVLANとして設定します)。
「ポート1」部分が「VLAN10」の色の「T」マークになったのを確認し、「適用」をクリックしてください。
同様にして、「VLAN20」を選択した状態で、左図の「ポート1」部分をクリックし、「適用」をクリックします(タグVLANとして設定します)。
「ポート1」部分にカーソルを合わせて、「VLAN10」と「VLAN20」が表示されることを確認します。
ルーターへの設定は以上です。
スイッチの設定
- スイッチのWeb GUIにアクセスするため、スイッチのCLIからLAN側インターフェースにIPアドレスを設定します。
awplus(config)# interface vlan1 awplus(config-if)# ip address 192.168.1.2/24 awplus(config-if)# exit
- Webブラウザー Chrome または Firefox で「192.168.1.2」にアクセスし、管理者のユーザー名、パスワードでログインします。
- セル型ネットワーク内のユーザーVLAN「10」とVLAN「20」を作成します。
スイッチのGUIにアクセスし、「ネットワーク基本設定」>「VLAN」画面を開きます。
「VLAN追加」をクリックし、それぞれ以下のように設定し、適用をクリックします。
表 18:スイッチ上に作成するVLAN インターフェース種別 VLAN ID VLAN名 VLAN 10 cell_user1 VLAN 20 cell_user2
- 無線コントローラーに接続するポートの設定を行います。
ここではポート1を使用します。
「ネットワーク基本設定」>「VLAN」画面を開き、ルーターの設定と同様にして、ポート1にVLAN「10」と「20」をタグ付きポートとして設定します。
- 無線APを接続するスイッチのポートに前述のスマートコネクト用管理VLANを設定します。
ポート3にAPを接続する場合、ポート3にタグVLANとして、VLAN「10」、VLAN「20」を設定します。
- スマートコネクト用管理VLANを設定するポートでは、MACアドレススラッシングプロテクション機能を無効にします。
本設定はコマンド入力が必要なため、「システム」>「CLI」画面にアクセスして行います。
awplus(config)# interface port1.0.3 awplus(config-if)# thrash-limiting action none awplus(config-if)# exit
次の手順でもコマンド入力が必要ですので、「CLI」画面(タブ)は開いたままにしておきます。
- スイッチポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。
本設定はコマンド入力が必要なため、「システム」>「CLI」画面から行います。
awplus(config)# no spanning-tree rstp enable
- スイッチへの設定は以上です。ルーターとスイッチへの設定が完了したらルーター、スイッチ、無線APを接続してください。
APの接続
設定が完了したら、次の手順でAPを接続し、スマートコネクトネットワークを構築します。- 最初にルートAPを有線ネットワークに接続してください。
- ルートAPが管理下に入ったことを確認したら、サテライトAPを工場出荷状態で起動してください。
設定の保存
設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。各機器のGUI画面右上「保存」を押すと、保存できます。
備考
無線LANコントローラーでは下記のステータスを確認できます。管理下APのステータス確認
登録したAPのステータスは、「無線管理」>「監視」画面で確認できます。
スマートコネクトのステータス確認
スマートコネクトAPの状態は「監視」画面の「スマートコネクト」タブで確認できます。