1. ホーム
  2. CCNA対策
  3. ネットワークアクセス
  4. Cisco無線LAN

Cisco無線LAN

ネットワークアクセス
目次

Cisco無線LANソリューションの基本

Ciscoの無線LANには、大きく分けて「分散管理型」と「集中管理型」という二つの設計方式があります。どちらを選ぶかは、ネットワークの規模や運用方法に大きく関係してきます。試験でもこの違いはよく問われるので、しっかり理解しておきましょう。

分散管理型の特徴

分散管理型は、アクセスポイント(AP)が単体で動作する仕組みです。つまり、それぞれのAPが無線LANクライアントを直接管理します。会議室や小さなオフィスに数台だけ設置するようなケースでは、この方式が適しています。なぜなら、無線LANスイッチ(WLC)が不要なのでコストを抑えられるからです。

ただし、APを1台ずつ設定する必要があるため、10台以上のAPを導入するような環境では管理が大変になります。規模が小さいうちはシンプルで低コストですが、大規模化すると運用が複雑になる点が弱点です。

集中管理型の特徴

集中管理型では、APは「電波の送受信と簡単な暗号化処理」だけを担当します。認証や電波の出力調整、ローミング(移動時の接続切り替え)などの高度な機能は、無線LANコントローラ(WLC)が一括で管理します。以前は「Lightweight AP」と呼ばれていたのはこのタイプです。

この方式では、WLCに設定を行うだけで複数のAPをまとめて制御できるため、大規模ネットワークの管理コストを大幅に減らすことができます。また、セキュリティ機能や電波干渉の調整も強化されるため、安定した運用が可能になります。試験では「大規模環境では集中管理型が有効」と問われることが多いので覚えておきましょう。

FlexConnectによる柔軟な運用

集中管理型には一つ弱点があります。それは、基本的にすべての無線トラフィックがWLCを経由する必要がある点です。もしWLCとAPの通信が途切れてしまうと、通常ならクライアントの利用に影響が出てしまいます。

そこで役立つのが「FlexConnect」です。この仕組みを使うと、WAN越しに本社のWLCで管理しつつ、各拠点のAPはローカルでトラフィックを処理できます。例えば支社にWLCを置かずに、本社だけに導入して全体を集中管理するといった構成に最適です。WLCと接続できない状態でも、認証やデータ転送をローカルで処理できるので業務を止めずに済みます。

トラフィック処理の違い

自律型APでは、AP自体がSSIDとVLANをマッピングして直接トラフィックを処理します。これに対して、集中管理型ではVLANとSSIDのマッピングをWLCが担当します。つまり「処理をどこで行うか」が両者の決定的な違いです。ここも試験で出題されやすいポイントです。

集中管理型における接続方式

WLCとAPの接続方法には「直接接続」と「間接接続」の2種類があります。直接接続はシンプルですが、WLCが故障すると接続しているすべてのAPも停止してしまうため、実際の運用では推奨されません。

一般的には「間接接続」が使われます。これはAPとWLCがIP到達性を持っていればよいため、WANをまたいだ構成も可能です。さらにWLCを冗長化して障害に備えることができるため、安定性の面でも優れています。APも1台のスイッチに集中させず、複数のスイッチに分散して接続するのが基本的な設計の考え方です。

Split MACとLocal MACの違い

集中管理型の根本的な仕組みが「Split MACアーキテクチャ」です。これは、無線通信に関わる処理をAPとWLCに分ける仕組みで、APは電波関連や暗号処理だけを担当し、残りの制御処理はWLCに任せます。

一方で、FlexConnectモードで動作させた場合は「Local MACアーキテクチャ」と呼ばれます。この場合、APがある程度の機能を持ち、データトラフィックをWLCに戻さずに処理できます。WAN越しにAPを配置するような環境で特に効果を発揮するため、どの場面でSplit MACかLocal MACかを選ぶのかを理解しておくことが大切です。

CAPWAPとは

CAPWAP(Control And Provisioning of Wireless Access Points)は集中管理型のアクセスポイント(AP)と無線LANコントローラ(WLC)との間で使用される制御プロトコルであり、Cisco独自のLWAPP(Lightweight Access Point Protocol)を基に標準化されたものです。APとWLCはCAPWAPトンネルを形成し、その上で制御情報やデータをやり取りします。無線LANクライアントからのデータはCAPWAPでカプセル化されて転送されます。

CAPWAPのトラフィック種類

CAPWAPで扱うトラフィックは大きく制御メッセージとデータに分かれます。制御メッセージはAPとWLC間でDiscoveryやJoinといった制御用のやり取りを行うもので、AES-CCMPによって暗号化されます。データは無線LANクライアントからの通信をカプセル化して転送するもので、暗号化は行われません。

CAPWAPのセキュリティ

CiscoのAPには出荷時点でX.509証明書が組み込まれており、この証明書を使ってWLCとの認証を行います。さらに暗号鍵は動的に生成されるため、不正なAPがWLCに参加して偽装することはできません。集中管理環境において信頼性を確保するための仕組みとして重要です。

CAPWAPで使用されるポート番号

CAPWAPではUDPが使用され、制御メッセージとデータでポート番号が異なります。制御メッセージはUDP 5246、データはUDP 5247を使用します。LWAPPでは制御が12223、データが12222だった点と区別して覚える必要があります。

APが無線LAN通信できるまでの流れ

APは電源投入からWLCとの接続、設定反映を経て無線LANサービスを提供できるようになります。この手順は試験で頻出するため正確に押さえておくことが重要です。まずAPが起動し、PoEまたは電源から給電されます。次にDHCPサーバからIPアドレスを取得し、固定アドレスが設定されている場合は不要です。その後、APはWLCを探索し、Discovery Requestを送信します。WLCがDiscovery Responseで応答し、APは候補から接続先を選定します。選定したWLCに対してAPがJoin Requestを送信し、WLCが証明書を確認したうえでJoin Responseを返し、APを管理下に置きます。この時点でAPの状態はJoinとなります。続いてWLCとAPのファームウェアバージョンが異なる場合は、WLCからイメージが配布され、APはImage Dataの状態になります。その後、WLCから設定情報をダウンロードし、APの状態はConfigとなります。最終的にAPが無線LANクライアントにSSIDを提供し、認証やAssociationが始まることで無線通信が可能になります。

APの状態遷移

CAPWAP(旧LWAPP)では、APとWLCの関係をいくつかの「状態」で定義しています。これにより、APがどの段階にあるのかを把握でき、トラブルシューティングにも役立ちます。状態は次の通りです。

  • Discovery:APがWLCを探索している状態
  • Join:APがWLCとセキュアな接続を確立し、CAPWAPトンネルを構築している状態
  • Image Data:WLCからOSイメージをダウンロードしている状態
  • Config:WLCから設定情報をダウンロードしている状態
  • Run:APが正常に稼働し、クライアントに無線LANサービスを提供している状態
  • Reset:APがリセットされ、初期状態に戻る状態

Discoveryの詳細

APが最初に行うのはWLCの探索です。これにより、接続先となるWLCのIPアドレスを特定します。L3 CAPWAPでの探索手順は以下の通りです。

  1. CLIコマンドでWLCのIPアドレスを静的に設定
  2. ローカルサブネット内でのCAPWAP Discovery Requestのブロードキャスト送信
  3. OTAP(Over-the-Air Provisioning)による無線経由での探索
  4. DHCPのオプション43を利用してWLCのManagement InterfaceのIPアドレスを取得
  5. DNSで「Cisco-CAPWAP-Controller.localdomain」を解決し、Management InterfaceのIPを得る
  6. 1〜5の方法で見つからなければ、再度1へ戻り繰り返す

WLCの選定基準

複数のWLC候補が見つかった場合、APは次の優先順位に従ってどのWLCにJoinするかを決めます。この基準はWLCからのDiscovery Responseに含まれる情報を基にします。

  1. APにプライマリ、セカンダリ、ターシャリのWLCが設定されている場合、その順序に従う(sysNameに格納)
  2. Master Controllerフラグが有効なWLCを優先する
  3. 最も多くの空きキャパシティを持つWLCを選択する(APキャパシティ情報を参照)

Join後の処理

APがWLCを選定すると、CAPWAP Join Requestを送信します。WLCが証明書認証を行い、問題がなければJoin Responseを返します。これによりCAPWAPトンネルが形成されます。次に、WLCが保持するファームウェアのバージョンとAP自身のバージョンを比較し、異なっていればWLCからOSイメージをダウンロードします(状態:Image Data)。続いて、WLCから設定情報が配布され(状態:Config)、最後にAPがRun状態となり、クライアントへの無線LANサービス提供を開始します。

運用時の制御メッセージ

無線LAN通信が可能な状態になった後も、WLCとAPの間では定期的に制御メッセージのやり取りが行われます。WLCはCAPWAP制御メッセージを使ってAPから統計情報(RRM、アラーム、レポートなど)を取得します。また、APは30秒ごとにCAPWAP Heartbeat Control Messageを送信し、WLCはCAPWAP Acknowledgementを返すことで正常動作を確認します。

SSIDとVLANのマッピング

Ciscoのアクセスポイントでは1台あたり最大16個(機種により異なる)のSSIDを設定できます。そして各SSIDに対して異なる無線LANポリシー(認証方式、暗号化方式、使用する周波数帯)を割り当てたり、VLANを関連付けることが可能です。1つのSSIDに割り当てられるVLANは1つであるため、1台のAPは最大16のVLANを扱えます。

これにより、同じ無線LAN環境でもSSIDごとに利用者や用途を分けることができます。例えば「社員用SSID」と「ゲスト用SSID」を用意し、それぞれ異なるVLANにマッピングすれば、社員ネットワークとゲストネットワークを論理的に分離できます。さらにL3スイッチでアクセスリストを設定することで、ゲストから社内への通信を遮断するといったセキュリティ制御も実現できます。

集中管理型の基本構成

自律型APではなく集中管理型APを利用する場合、推奨される基本構成があります。APは複数のL2スイッチに分散して接続し、WLCは冗長化したうえで異なるL3スイッチに接続します。これにより、特定のスイッチやWLCに障害が発生しても無線LAN全体が停止するリスクを軽減できます。WAN側に設置されるAPを本社のWLCに収容する場合は、FlexConnectモードを利用するのが一般的です。

WLCにおけるインターフェース

WLCで扱うインターフェースには「スタティックインターフェース」と「ダイナミックインターフェース」があります。

スタティックインターフェース(system-defined)

出荷時点でWLCに定義されているインターフェースです。

  • management:APとのCAPWAPトンネル確立に利用するインターフェース。APはこのIPアドレスに向けて接続します。
  • service-port:WLCへの管理アクセス専用のローカルポート。
  • Virtual:Mobility Group、DHCP Proxy、VPN/Web認証などで宛先として使われる仮想インターフェース。

ダイナミックインターフェース(user-defined)

管理者が必要に応じて作成するVLANインターフェースで、SSIDに関連付けられるVLAN番号がここで定義されます。無線LANクライアントが接続する際、このインターフェースに基づいてVLANが割り当てられます。

IPアドレッシングと通信の流れ

WLCのインターフェース構成を理解すると、無線LANクライアントに適切なIPアドレスを割り当てられるようになります。重要な点は、無線LANクライアントのデフォルトゲートウェイはWLCではなく、通常はL3スイッチなどのルーティングデバイスになるという点です。WLCはCAPWAPトンネルのカプセル化・解除を担当するだけであり、L3ルーティングは行いません。

APとスイッチの接続はアクセスポートに設定します。一見すると複数VLANを扱うためトランクが必要に思えますが、実際はCAPWAPトンネルによりすべてのトラフィックがWLCへ送られるため、AP側でのトランク設定は不要です。WLCが受け取った後にトラフィックをVLANごとに分離し、スイッチとの接続部分でトランクとして転送します。

例えば、クライアントPC「192.168.10.5/24」からL3スイッチ「192.168.10.254/24」にPINGを実行する場合、送信パケットも応答パケットも必ずWLCを経由します。これが集中管理型の大きな特徴であり、WLCがすべての無線通信を制御していることを示しています。

AutonomousモードからCAPWAPモードへの変更手順

Ciscoのアクセスポイント(AP)は、自律型(Autonomousモード)として単独で動作するものと、集中管理型(CAPWAPモード)としてWLCに収容されるものがあります。試験や実務では、自律型APをCAPWAPモードに変換してWLCに参加させる作業が必要になることがあります。

CAPWAPイメージの種類

APをCAPWAPモードに変換するためには、まずCiscoの公式サイトからAPに対応したCAPWAPファイルを入手します。ファイルには次の2種類があります。

  • k9w8イメージ(完全版CAPWAPファイル)
    このイメージで起動すると、APは完全にCAPWAPモードで動作し、すぐにWLCにJoinして設定を受け取ることができます。
  • rcvk9w8イメージ(リカバリ用CAPWAPファイル)
    このイメージは軽量版で、APはWLCにJoinできますが、その後WLCから完全版イメージをダウンロードして再起動します。再起動後は完全版CAPWAPイメージで稼働し、WLCから設定を受け取る流れになります。

変換手順

  1. Cisco公式サイトからCAPWAPファイルをダウンロード
    APのモデルに対応したCAPWAPファイルを入手します。ファイル名に「k9w8」または「rcvk9w8」が含まれている点で区別できます。
  2. FTPサーバを準備
    管理用PCなどでFTPサーバを起動し、ダウンロードしたCAPWAPファイルを配置します。APはこのFTPサーバからイメージを取得します。
  3. APでFTP接続設定を行う
    APのグローバルコンフィギュレーションモードで、FTPユーザー名とパスワードを指定します。 ap# configure terminal ap(config)# ip ftp username cisco ap(config)# ip ftp password Cisco123 ap(config)# exit
  4. イメージのダウンロードと書き換え
    archive download-sw コマンドを使用して、FTPサーバからCAPWAPイメージを取得します。
    /overwrite は既存のAutonomousイメージを置き換えるオプション、/force-reload は変換後に自動再起動するオプションです。 ap# archive download-sw /force-reload /overwrite ftp://192.168.1.10/ap3g2-rcvk9w8-tar.152-4.JB6.tar
  5. APが再起動してCAPWAPモードに移行
    再起動後、APはCAPWAPモードで起動し、WLCを探索してJoinを試みます。その後は通常のCAPWAPフローに従ってWLCから設定情報を受け取り、Run状態になります。

ポイント

  • rcvk9w8ファイルを使うと、必ずWLCから完全版CAPWAPファイルをダウンロードして再起動する流れになるため、WLCが利用可能であることが前提条件になります。
  • k9w8ファイルを使えば、直接CAPWAPモードで起動できるため、WLCへの参加がスムーズです。
  • 実機試験やトラブルシューティングでは「どのイメージを使うか」「FTPサーバの設定」「コマンドオプション」が問われやすい部分です。

CAPWAPモードからAutonomousモードへの変更手順

CiscoのアクセスポイントはCAPWAPモードでWLCに収容される形で運用されますが、場合によってはスタンドアロンで動作するAutonomousモードへ切り替える必要があります。その際はAPのOSを置き換える作業を行います。以下に標準的な手順をまとめます。

手順

  1. Autonomous IOSをダウンロード
    Cisco公式サイトから対象APモデルに対応したAutonomous IOSを取得します。ファイル名には「k9w7」などが含まれているのが特徴です。
  2. TFTPサーバを準備
    管理用PCでTFTPサーバを起動し、ダウンロードしたAutonomous IOSを配置します。
  3. CAPWAPモードのAPのホスト名を確認
    WLCに登録されている対象APのホスト名を確認します。TFTP経由でIOSを転送する際にこのホスト名を指定するため、事前に控えておきます。
  4. WLCにログイン
    CLIでWLCにアクセスします。
  5. TFTPダウングレードコマンドを実行
    次の形式でコマンドを入力し、APにAutonomous IOSを転送します。 (WLC)# config ap tftp-downgrade tftp-server-ipaddress filename ap-name
    • tftp-server-ipaddress:TFTPサーバのIPアドレス
    • filename:ダウンロードしたAutonomous IOSのファイル名
    • ap-name:対象APのホスト名(WLCに登録されている名前)
  6. APの再起動と初期設定
    IOSのダウンロードが完了するとAPは自動的に再起動します。再起動後はデフォルトでホスト名が ap、パスワードが Cisco にリセットされています。その後はCLIまたはGUIから必要な設定を行います。

注意点

  • CAPWAPモード時に使用していたIOSがAP内部に残っていると、再起動後にCAPWAPモードで立ち上がる可能性があります。この場合は delete flash:rmdir flash: で不要なIOSを削除してから利用します。ただし削除はAPの動作を確認したうえで自己責任で実施する必要があります。
  • Autonomousモードへ切り替えると、WLCによる集中管理は利用できなくなるため、APごとに個別設定が必要になります。

この流れを理解しておくと、試験では「どのコマンドでCAPWAPからAutonomousへ切り替えるか」「再起動後の初期状態はどうなるか」といった出題に対応できるようになります。

◆まとめスライド

Cisco無線LAN
ネットワークアクセス
目次