HA(High Abailability)の設定

HAの設定方法について
2パターンある。
VRRP
LMS-BackupLMS

ネットワークであるが、VRRPの場合、WLCはどちらも同一セグメントが条件。
一方、LMS-BackupLMSならば、違ってもいい。
一般的にはVRRPが多いだろう。

VRRP
WLC1とWLC2がVRRPで仮想のIPアドレスを持つ。
無線APからすると、WLCは1台のWLCがあるように見えている。
WLCのマスターがダウンすると、WLCのセカンダリーにWLCの機能が引き継ぐ。無線APからすると、この切り替わりは意識せず、常にWLCの仮想IPに対して通信を行う。
img003
■WebUIの設定■
Advanced Services > Redundancy から行う。
Configは同期される

CLIの設定

(Aruba650) #configure t
(Aruba650) (config) #master-redundancy
(Aruba650) (config-master-redundancy)#master-vrrp 20
(Aruba650) (config-master-redundancy)#peer-ip-address 10.1.1.2 ipsec key

※これで両者の通信はipsecで実施することにし、keyを入れる。これは両者で合わせる。
Secondaryの方は、これらの設定だけ入れれば、無線LANの設定を入れずに設定情報を共有できる。

VRRP設定の確認

(Aruba650) (config-master-redundancy)#show switches
All Switches
————
IP Address Name Location Type Version Status Configuration State Config Sync Time (sec) Config ID
———- —- ——– —- ——- —— ——————- ———————- ———
10.1.1.1 Aruba650 Building1.floor1 master 6.1.3.7_37112 up UPDATE SUCCESSFUL 0 1

※今回は1つしかないので、1つしか情報が無いので、あしからず。

LMS-BackupLMSの場合
無線APにて、WLCを2台指定する。
LMS(マスターとなるWLC)にアクセスできなかった場合に、BackupLMS(バックアップのWLC)にアクセスする。
img004
ap system ProfileのLMSとBackup LMS IPにて指定する。
設定はGUIの場合
Configuration > AP Group > Edit “test1”
設定画面は図を参照ha

802.11nの設定

設定ファイル
802.11nの設定は、High-throughput SSID Profileにて設定する。
また、電波関連は、HT Radio Profileで設定するが、こちらを設定することはそれほど無いだろう。

11nの有効化と無効化
「High Throughput Enable」のチェックボックスをONにして、11nを有効にする。チェックを外せばOFFになる。
通常はこのプロファイルが自動で適用され、デフォルトでONになっている。
http://www.viva-musen.net/archives/24880449.html

MIMOに関してはデフォルトでONになっている。「rf ht-radio-profile」の設定によりMIMOを無効にすることも可能。

チャネルボンディングの設定
「40 MHz channel usage」のチェックボックスをONにする。
http://www.viva-musen.net/archives/24880449.html
[補足]
・特定の周波数帯(11gや11a)のみのチャネルボンディングを有効にするには、ARM Profileの「40MHz-allowed-bands」にて、「All」「 None」「a-only」「g-only」にて設定する。
・ARMが無効の場合は、Radio Profileにて、チャネルボンディングするチャネルを指定する。

GIの設定
「short-guard-intvl-20MHz」「short-guard-intvl-40MHz」で設定する。
※ただし、AP135のみ40Mhzと20MHZの両方のGIが有効になる。それ以外のAPは40MHzのみ。
http://www.viva-musen.net/archives/25025285.html

MIMO 
MIMOはアンテナでの動作なので、MIMOを有効にする、しないの設定をすることは無いだろう。
デフォルトでMIMOが有効になっている。
「rf ht-radio-profile」の設定にて、MIMOを無効にすることができる。
具体的には、Radio Profileのsingle-chain-legacyの設定をすると、アンテナ一本のみの使用となる。ただし、使用するアンテナの指定はできない。

APに固定でチャンネルを割り当てる

チャンネル設計はARMによる自動が推奨である。

e
個別に割り当てることもできますか?
自動設定の挙動に不安を感じるSEが多いと思います。
うまく切り替わらない可能性があるので、固定の方が安心と考えることもあるでしょう。

APに固定でチャンネルを割り当てる方法は2つある。

AP Groupを複数作る方法
 例えば、チャンネルを1ch、6ch、11chに割り当てる場合、AP Groupをそれぞれ(つまり3つ)作成する

ap-nameで指定する方法
 AP Groupは1つであるが、APの個別設定をAP毎に設定する。
こちらのほうが多いだろう。

■設定の方法
どちらも、AP ConfigrationのAP Specificから設定する。
ap2

RF Managementで802.11g radio ProfileのChannelを固定で設定する。

ap4

ただし、①の場合はARMをOFFにする必要あり。
②の場合はARMをOFFにする必要がない。AP GroupでARMの設定をしていたとしても、APごとに個別設定ができる。AP Specificに設定した内容がAP Groupに設定した内容より優先して適用される。こうすれば、ap-nameで指定した特定のAPだけを固定にし、それ以外はARMで自動設定になる。
このように、基本はARMによる自動にし、理由があって個別に割り当てたいものだけ個別チャンネルというほうがいいだろう。

Control Plane Security(CPsec)

Arubaの無線LANでは、WLCの「Control Plane Security」がデフォルトで有効になっている。これは、不正な無線APが接続されても、有効に機能させないための設定である。必要に応じてDiableに設定する。

参考ではあるが、このCPsecを有効にすると、管理用パケット(PAPI)の通信が暗号化
される。

WebUI
Network > Controller >Control Plane Securityを開き、disableにする。
※デフォルトではEnable
wlc4

CLIの設定

(Aruba650) (config) #control-plane-security
(Aruba650) (Control Plane Security Profile) #no cpsec-enable

g

でも、Disableにしてしまうと、不正APが接続可能になりますよね。
Enableにすべきでは?

確かにそうである。Control Plane SecurityをEnableにしたまま、無線APを個別にホワイトリストで有効にするのがよいだろう。
具体的には、「Campus AP Whitelist」のタブにて、該当するAPをチェックボックスで選択し、Cert Type(証明書のタイプ)を「factory-cert」、State(状態)をcertified-factory-certにする。
plane

メッシュ(Mesh)の設定

※まだメモレベルです。ごめんなさい。
無線APを有線ではなく、無線LANで接続する。
建物の構造上であったり、美観の問題から有線配線ができない場合がある。そんなとき、無線AP同士を無線で接続する機能である。
mesh3

meshの無線APには、親となるMesh Portalとその親にぶら下がっているAPであるMesh Pointがある。

WebUIの設定
一番下のAdvancedからかな。
・mesh Cluster profileを作成
Encriptionなどは、Meshのための認証や暗号を選択する。
・RF Bandにバックボーンとする規格を選ぶ。
APをmesh Clusterでグループ化する。グループ内は全て同じチャンネルを利用する。
次にMesh Radio profile
AP GroupにMeshの割り当て
ap group xxx
 mesh-cluster-profile xxx priority 16
 mesh-radio-profile xxx

最後にAPに適用する。
Ap InstracitonのMesh roleにてmesh Pointなどを割り当てる。

Configration > Wireless > AP Installation の画面から、Mesh Roleにて設定する。
mesh2

高度な認証

多段認証
たとえば、MACアドレス認証をかけて、そのあとPEAPの認証をするなどの、多段認証ができる。

複数の認証先
複数の認証先を指定することができる。
認証サーバAがダウンしたら、サーバBに接続できる。
※この場合は、サーバAが生きていれば、サーバBに問い合わせることはない。

一方で、server group allow-fail-throughで、サーバAにユーザがいなければ、次のサーバBに問い合わせる設定も可能だ。

i 

大学の場合、教育系と事務系でそれぞれの認証サーバがあるようです。
教育系はAサーバ、事務系はBサーバに問い合わせるという設定は可能ですか?

できる。まあ、この場合は教育系と事務系でSSIDを分けるのが手っ取り早いだろう。

Air Monitor機能 [Arubaの設定]

ArubaのAir Monitor機能により、不正APを検出することができる。
下位機種の場合、Air Monitor用のAPと普通のAPを分ける必要がある。つまり、Air Monitorをしたいなら専用にAPを準備しなくてはいけない。
一方、130シリーズの上位機種であれば、両方を混在できる。

以下は設定のメモ
AP ConfigrationのAP Specificから設定する。
RF Managementで802.11g radio ProfileのMode am-modeにする。
ap-modeでも部分的にAir Monitorができる。でも、これはArubaの場合はAir Monitorとは読んでおらず、Air Monitorの画面から確認はできない(と思う)。また、不正APなどの発見も遅い。spectrum-modeだと、非Wi-Fi端末の検知もできる。

オープンスペースでの認証

多くの人が来場するようなオープンスペースの場合、無線LANの認証はどうするべきか?
g 
無線LANのセキュリティを保つために、きんとした認証をした方がいいのではないのですか?
理想はEAP-TLSやPEAPですかね?
あ、でも面倒か。

その通り、一般の来場者に証明書を発行するのは大変。また、一般の人にパソコンやタブレットにて証明書を設定してもらったり、複雑な設定をさせるのはナンセンス。
「そんな面倒だったら要らない」と言われるのがオチである。
なので、セキュリティをかけないことも方法の一つである。

しかし、有料サービスか無料サービスかもポイントの一つ。
無線LANを含むサービスを、有料で提供しているのであれば、タダ乗りをさせない仕組みを作らないと、お金を払っていただいている人に失礼である。

では、どうするか。
公衆無線LANサービスのフレッツスポットの場合はMAC認証とIDパスワードによる認証である。利用者に複雑な設定はお願いできないだろうから、WPA-PSKくらいがよいかもしれない。

Arubaでは、WLCにて期限つきのパスワードが発行できる。ゲスト用に使えるかな。