5 キャンパス向けモビリティアーキテクチャ
5.1 W-SeriesコントローラベースのWLAN
5.1.2 WLANメインキャンパスの構成
WLANの設計と構成は、アクセスとセキュリティという2つの主要領域に分類できます。ユーザーが望むの は、業務遂行に必要なアプリケーションとリソースに、信頼性の高い方法でアクセスできることです。ITマ ネージャは、ネットワークを安全にし、保守が容易になるようにする必要があります。この基本的な例で は、両方の領域の主な機能を使って、どのようにしてDell Networkingがキャンパスネットワークの導入に対 応するのかについて説明します。
メモ: 以降のセクションで説明する設定は、本書の添付資料として付属している、W-Seriesコントローラ の実行設定に基づいています。このセクションは、W-Seriesコントローラの設定手順を示すことを目的と はしていません。本書の内容には、すべての設定が記載されているわけではありません。
メモ: マスターコントローラでの設定の多くは、スタンバイコントローラと同期されます。以降の設定の 一部には、マスターコントローラでの設定のみを示しているものがあります。これは、設定がスタンバイ コントローラと同一であるためです。著しい違いがある機能については、両方の設定を示します。
5.1.2.2 マスターVRRPベースの冗長性
WLANネットワークは変遷し、今日のビジネス環境では、極めて重要なシステムとなりました。このリファ レンスアーキテクチャの主な目的の1つに、耐障害性機能とトポロジを通じて信頼性の高い接続を提供するこ とがあります。
W-Seriesコントローラの冗長性は、高可用性とVRRPベースの冗長性により実現します。それぞれのタイプの フェイルオーバには利点がありますが、このリファレンスアーキテクチャでは、リモートAPをサポートする ためにVRRPベースの冗長性を利用します。図22は、コントローラとVRRP IP設定を示しています。
図22 VRRP IP設定
リファレンスアーキテクチャでは、2つのマスターコントローラを使用します。その際、一方をアクティブ、
もう一方をスタンバイにします。図23には、優先するマスターを設定してVRRPベースの冗長性を実現する CLIコマンドを示しています。
master-redundancy master-vrrp 99
peer-ip-address 10.1.100.12 ipsec
04e416a543f7b1018c15f886a0b3d54cd9898e4ed7932291
!vrrp 99 priority 120
authentication password ip address 10.1.100.3
description "Preferred-Master"
vlan 100 no shutdown
図23 VRRPのための優先するマスターの設定
図24には、スタンバイを設定してVRRPベースの冗長性を実現するCLIコマンドを示しています。
master-redundancy master-vrrp 99
peer-ip-address 10.1.100.11 ipsec
9231d00edf8b5207e5b982f3ce710c3f4b9a2c0a1080e496
!vrrp 99
authentication password ip address 10.1.100.3
description "Backup-Master"
vlan 100 no shutdown
図24 VRRPのためのスタンバイの設定
5.1.2.3 一元化されたライセンス管理
W-Seriesコントローラには、一元化されたライセンス管理を利用できる機能があります。これにより、コン トローラはネットワークの各コントローラにインストールされたライセンスのプールを共有できます。この リファレンスアーキテクチャでは、特定の時間に稼働状態にあるアクティブなコントローラは1台だけです。
障害が発生した場合、スタンバイコントローラは、優先するマスターにインストールされたライセンスを使 用できます。この機能は、スタンバイコントローラにライセンスをインストールするコストを削減します。
図25に、一元化されたライセンス管理を有効にするコマンドを示します。
license profile
centralized-licensing-enable 図25 一元化されたライセンス管理
メモ: 一元化されたライセンス管理の詳細については、デルのサポートサイトで『AOS 6.3 User Guide
(AOS 6.3ユーザーガイド)』を参照してください。
トポロジが専用のアクティブコントローラと冗長なスタンバイコントローラで構成されている場合、プライ マリライセンスサーバとバックアップライセンスサーバが自動的に設定されます。
5.1.2.4 LACPとポートチャネル
W-Seriesコントローラは、10 GbE DACまたはオプティカルケーブルにより、コア/集約レイヤに接続されて います。各コントローラは、両方のDell Networking N4000スイッチMLAGピアと接続されています。2台の 集約スイッチのMLAG構成は、コントローラから1台のスイッチとして見なされるようになっています。複数 の障害が発生したときにMLAGが信頼性の高いデータトラフィックを実現する方法の詳細については「キャ ンパス向けスイッチングアーキテクチャ」のセクションを参照してください。
以下のCLI設定(図26)は、集約レイヤに対する接続のインターフェイス設定を示しています。マスターコ ントローラとスタンバイコントローラの設定は、互いに類似しています。
interface gigabitethernet 0/0/2 description "GE0/0/2"
trusted
trusted vlan 1-4094 switchport mode trunk
switchport trunk native vlan 100
switchport trunk allowed vlan 1,5-7,57,100 lacp group 2 mode active
interface gigabitethernet 0/0/3 description "GE0/0/3"
trusted
trusted vlan 1-4094 switchport mode trunk
switchport trunk native vlan 100
switchport trunk allowed vlan 1,5-7,57,100 lacp group 2 mode active
switchport access vlan 99
switchport trunk native vlan 100
switchport trunk allowed vlan 1-172,174-4094 図26 集約スイッチ接続に対するコントローラの設定
5.1.2.5 VLAN割り当て
VLANを割り当てるための設定と方法は、セクション4の有線スイッチと同じです。ユーザーがネットワーク に接続すると、役割が適用され、ポリシー適用によりVLANが割り当てられます。このリファレンスアーキテ クチャでは、W-ClearPassとW-Seriesコントローラによりポリシー適用が行われます。
CRAでは、VLANを使用して、いくつかの事前定義したカテゴリに基づいてトラフィックを分離します。
• VLAN 5 – エンジニアリングのVLAN
• VLAN 6 – 財務のVLAN
• VLAN 7 – ゲストのVLAN
• VLAN 57 – ネットワーク管理とWindows Server VLAN
• VLAN 100 – ネイティブVLANとW-ClearPass
図27は、VLANを設定して割り当てるコマンドを示しています。
vlan 5 vlan 6 vlan 7 vlan 57 vlan 100
interface vlan 100
ip address 10.1.100.11 255.255.255.0 interface vlan 1
ip address 10.1.1.3 255.255.255.0 interface vlan 57
ip address 10.1.57.4 255.255.255.0 interface vlan 5
ip address 10.1.5.4 255.255.255.0 interface vlan 6
ip address 10.1.6.4 255.255.255.0 interface vlan 7
ip address 10.1.7.4 255.255.255.0 図27 VLAN設定
5.1.2.6 DHCP
この設計では、DHCPサーバは、W-Seriesコントローラ内で設定されます。図28は、各サブネットのDHCP 設定を示します。
メモ: このリファレンスアーキテクチャでは、DHCPサーバの構成と場所は、検証しやすくするように設定 しています。ベストプラクティスは、外部のDHCPサーバを利用することです。ITマネージャは、独自の DHCPサーバソリューションをこのトポロジ内に適合するよう導入し、固有の要件と目的を満たすことが できます。
ip dhcp pool Guest
default-router 10.1.7.77 dns-server 10.1.57.127 domain-name cra.lab lease 1 0 0 0
network 10.1.7.0 255.255.255.0 authoritative
!ip dhcp pool Eng
default-router 10.1.5.10
dns-server 10.1.57.127 172.25.10.1 domain-name cra.lab
lease 1 0 0 0
network 10.1.5.0 255.255.255.0 authoritative
!ip dhcp pool Finance default-router 10.1.6.10
dns-server 10.1.57.127 172.25.10.1 domain-name cra.lab
lease 1 0 0 0
network 10.1.6.0 255.255.255.0 authoritative
!ip dhcp pool CRA
default-router 10.1.100.3
dns-server 10.1.57.127 172.25.10.1 domain-name cra.lab
lease 1 0 0 0
network 10.1.100.0 255.255.255.0 authoritative
!service dhcp
図28 DHCP設定
5.1.2.7 WLAN APグループ
また、このリファレンスアーキテクチャでは、APグループ内の設定の多くをデフォルトのままにします。こ れらの設定には、RF管理、APインターフェイス、規制範囲、QOS、およびIDS設定などがあります。これら のデフォルト設定は、このリファレンスアーキテクチャで使用されている機能の相互運用性に影響を与えず に、IT組織に合わせて変更できます。
APグループ「CRA_Employee」には、以下の設定があります。
ap-group
最上位レベルのap-group設定(図29)では、2つの仮想APを定義します。1つは従業員のアクセスを定義す る「CRA_Employee」で、もう1つはゲストアクセスを定義する「CRA_Guest-vap_prof」です。
ap-group "CRA_Employee"
virtual-ap "CRA_Employee"
virtual-ap "CRA_Guest-vap_prof"
図29 ap-group設定
メモ: ゲストアクセスのvirtual-ap変数の「vap_prof」拡張子は、管理者がAPウィザードをWeb GUIで使用 すると自動的に追加されます。追加されたテキストは、設定のタイプを識別するために使用され、テキス トベースの設定ファイルを確認する場合に役立つことがあります。
wlan virtual-ap
wlan virtual-ap設定(図30)は、SSIDとAAAに定義されたプロファイルを関連付け、仮想APに接続するとき にユーザーが割り当てられるVLANを定義します。
wlan virtual-ap "CRA_Employee"
aaa-profile "CP_dot1x_profile"
ssid-profile "CRA_Employee"
vlan 100
!wlan virtual-ap "CRA_Guest-vap_prof"
aaa-profile "CP_Guest_profile"
ssid-profile "CRA_Guest-ssid_prof"
vlan 7 図30 wlan virtual ap設定
wlan ssid-profile
wlan ssid-profile設定(図31)は、各WLANに使用するESSIDと認証/暗号化を定義します。このアーキテク チャでは、802.1x用のWPA2-AESを従業員SSIDに対して使用し、ゲストSSIDはオープンにしています。
wlan ssid-profile "CRA_Employee"
essid "CRA_Employee"
opmode wpa2-aes
wlan ssid-profile "CRA_Guest-ssid_prof"
essid "CRA_Guest"
図31 wlan sidプロファイル設定
5.1.2.8 WLANセキュリティ – AAA
W-Seriesコントローラには、プロファイル、ユーザー役割、および認証設定が含まれており、すべてのワ イヤレスユーザーに対してポリシー適用を有効化します。このリファレンスアーキテクチャの例では、
W-SeriesコントローラはW-ClearPassを認証サーバとして利用します。認証サーバの他のソースも含めるこ とができます。RADIUS、AD(Active Directory)、LDAP(Lightweight Directory Access Protocol)、およ びTACACSを含めることができますが、これら以外も対象となります。
ユーザー役割は、ファイアウォールポリシーのグループで、ネットワークへのアクセスに利用するユーザー とデバイスのステータスおよび属性に基づいて割り当てられます。W-Seriesコントローラにはユーザー役割 が含まれており、W-ClearPassポリシーマネージャによって割り当てられます。
このセクションでは、W-Seriesコントローラの設定を説明します。ユーザーを評価し、ユーザー役割を割り 当てる方法の全体像については、「W-ClearPass Access Management」を参照してください。
aaaサーバ設定
図32のaaaサーバ設定は、この例でW-ClearPassを802.1XサーバおよびRADIUSサーバとして設定するプロ ファイルとサーバ設定を示しています。
aaa authentication dot1x "cra-CRA_Employee"
timer reauth-period 32400 max-requests 2
timer wpa-key-period 3000 timer wpa2-key-delay 100 timer wpa-groupkey-delay 100 reauthentication
aaa authentication-server radius "cra-CRA_Employee"
host "10.1.100.128"
key 0a6efcd6079b7850ba2ea65c0a9ccff6c2ae8fa08960dae2 nas-identifier "CRAcontroller"
nas-ip 10.1.100.3 mac-lowercase 図32 aaaサーバ設定
dot1x aaaプロファイル、ユーザー役割、およびアクセスリスト
「CRA_Employee」のSSIDに、「wlan virtual-ap」のセクションで説明したaaaプロファイル「CP_dot1x_
profile」(図31)が割り当てられました。図33は、プロファイルを示しています。aaaプロファイルの下に あるinitial-role設定に注意してください。ユーザーがネットワークにログインすると、ユーザーにはinitial-roleが割り当てられ、認証されるまでユーザーのアクセスは制限されます。この例では、initial-roleは
「CRA_Employee-logon」です。
aaa profile "CP_dot1x_profile"
initial-role "CRA_Employee-logon"
authentication-dot1x "cra-CRA_Employee"
dot1x-server-group "clearpasscra"