ArubaのInstantAP(IAP)を無線コントローラ管理で使用する場合、「RAP」と「CAP」と2つの種類に分かれます。専用のAPを購入する必要はなくIAPのモード変換を行うことでどちらの種類としても使用することが可能です。
デフォルトの状態ではIAPは「CAP」の状態なので、「RAP」への変換方法を解説していきます。
最後に「CAP」への戻し方の説明も行いますので、目的の項目へ目次より移動してさい。
※IAPの初期設定に関しては別の記事「Aruba Instant AP 初期 設定方法-IAPコマンド一覧-」で解説を行っているので、初期設定やapbootモードのコマンドが知りたいという方はこちらからご確認ください。
CAPとは / Campus Accesspoint
ArubaのIAPには管理方法に基づいて2種類の形態がありその1つがCAPです。
CampusAP(キャンパスAP)の略で、主に同じ拠点にWLC(ワイヤレスコントローラー)を設置し集中管理を行う場合や、IAPで全て同じセグメントで使用し仮想コントローラーで管理する場合に利用する形態です。
一般的なAPの形態で、IAPのデフォルトではこのCAPモードになっています。
新品のIAPであれば、電源を立ち上げて初期設定を行い、集中管理で使用するのであれば、マスターとなるコントローラーのIPを指定。
仮想コントローラーで使用するのであれば、IPなどの基本情報を設定しブラウザより詳細設定という方法で構築を行います。
RAPとは / Remote Accesspoint
ArubaのIAPのもう1つの形態がRAPです。
RemoteAP(リモートAP)の略で、主にコントローラーと別のセグメントにAPを設置する、APをWANをまたいだ別拠点に設置するという場合に使用します。
本社にコントローラーを設置し、支社や店舗、自宅などにIAPを設置することで、本社のネットワーク環境を展開することが可能です。
また後述の「ブリッジモード」で詳しく解説しますが、拠点に既存でルータなどが設置されていて本社と別のセグメントを利用している構成場合、そのセグメントを利用するという使い方も可能です。
RAPを利用するメリット
RAPはどんな場面で役立つのか、具体例と共にメリットを解説します。
拠点ごとに利用するSSIDを使い分ける
コントローラーへはAPグループの設定を行う中で、RAPを設定したAPを設置する拠点のためのグループを作成し、そのグループを利用することで本社と拠点で利用する無線の設定を変えておくことも可能です。
(例1)本社(CAPを設置)は来客があるので、ゲスト用Wi-Fiを使用するが、RAP設置の拠点は工場のため来客がない。 このような場合は「工場では来客用のSSIDは使用されることはない」とわかっているのでセキュリティ面でSSIDを利用可能な状態にするべきではありません。そこで、AP-Groupにて本社と工場を分け、グループに参加させるAPを分けることで、工場は無駄なSSIDが設定されることを避けることができます。 AP-Group HONSHA 設定SSID[社員用・来客用] 所属させるAP=本社設置のCAP AP-Group KOUJO 設定SSID[社員用] 所属させるAP=工場のRAP
アンテナ設計や使用電波帯などのAPに関する設定も使い分けも可能
ArubaのAPは個々にアンテナ利得の値や使用電波帯などを行うことが可能で、WLC管理の場合はAP-Groupごとに使用する電波帯の指定が可能です。
※正確には設定ファイル(system-profile)をAP-Groupに割り当てます
例えば本社でAP555を使用し、拠点ではAP304を使用している場合、AP555は「Wi-Fi6やsplit5Ghz」に対応、AP304は非対応です。この2つを同じAP-Groupに参加させた場合、稼働はしますがWLCはAP304にも「Wi-Fi6やsplit5Ghz」を有効にしようとしエラーメッセージがが出力されることがあります。
こういった場合には、AP555とAP304で所属するAP-Groupを分け、AP555が所属するグループにのみ「Wi-Fi6やデュアル5Ghzを使用するプロファイルを割り当てる」といった設定を行うことが可能です。
RAPの仕組み
ArubaのAPは、アクセスポイント自体がVPNを確立する、という機能を持っています。
つまり、コントローラーとRAPの設定を行ったIAPの間で、IPsec-VPN接続を行いコントローラーにAPが帰属するということです。
コントローラー側ではAPの設定情報を保有しているため、事前にAPへRAPの設定を行っていれば コントローラーを設置していない拠点にてそのAPを接続する(RAPとWLCがping疎通できる状態)だけで、即本社と同じネットワーク環境の無線LANを利用することができます。
閉域網やインターネットなどを経由して拠点からコントローラーへアクセス可能な環境であることが前提です。
トンネルモード
デフォルトがこのトンネルモードとなっており、CAPでAPを使用する場合は大体がこのモードで使用すると思います。
トンネルモードはコントローラーとCAPの間にL2トンネルを構築し、通信をカプセル化することで、無線クライアントの通信は全てコントローラーまで一旦送信されてから、本来の宛先に送信されるという形です。
メリットは構築、AP追加の際にtagVALNを上位からAPの接続ポートまで通す必要がなく、untagVLANで管理vlanのみ設定すれば帰属可能で、かつ複数のセグメントのSSIDをその管理vlanからカプセル化を行ったパケットで送受信することで利用可能となります。
(例)管理vlan200 SSID-A:vlan10 SSID-B:vlan20 の場合 コントローラー :管理vlan200(10.1.200.1/24) vlan10(10.1.10.1/24) vlan20(10.1.20.1/24)を設定 CAP :vlan200(10.1.200.2/24)を設定 するとSSID-AとBの利用が可能で、クライアントの取得IPはそれぞれのvlanのセグメントで取得するということです。
これはRAPのAPでも利用可能なモードですが、もちろん場合によっては不便な一面もあります。
もしRAPを設置する拠点が閉域網などで接続しており、本社のL3機器にその拠点のセグメントが設定されていない場合です。
ルータやDHCPサーバなどを設置している既存NWがあり、本社とは別のセグメントを利用している場合に、このトンネルモードを利用したい場合、その拠点のセグメントのIPをコントローラーに新しく設定し、本社のコアスイッチなどへのルーティングの追加が必要となります。
拠点の無線クライアントが、本社のIPを取得するという状態になってしまうからです。
そこで本社、拠点と別のアドレス帯を利用する場合は、下記のブリッジモードを利用します。
ブリッジモード
ブリッジモードはコントローラーとAPの間でカプセル化を行わず、無線クライアントの送信パケットはブリッジモードを設定したAPから送信されます。また上記のトンネルモードでのデメリットとなっていた、本社と拠点が別セグメントの場合ブリッジモードAPに接続したクライアントは、その拠点のIPを取得することができます。
またブリッジモードでは、クライアントがコントローラーまで通信を行わずに送受信を行うので、万が一コントローラーの障害が発生した場合にもクライアントが既に無線接続を完了していれば、拠点内では通信が可能となります。
トンネルモードの場合は無線クライアントの通信はコントローラーから全ての送信しているので、コントローラーに障害があると、通信不可となってしまいます。
CAPからRAPへの変換方法
ここからはArubaIAPをデフォルトのCAPより、RAPへと変換する手順を解説していきます。
まずIAPとして起動する -RAPへの変換-
手順はいくつか存在しますが、まずAPが工場出荷状態の場合は、IAPとして単体で起動してからRAPに変換する方法をお勧めします。
コマンドで初期設定画面(apbootモード)からコマンドを入力しRAPへ変換する方法もありますが、うまくいかなかった場合の切り分けすべきポイントが多くなる他、IAPの画面からの変換がワンクリックで簡単なため、今回はIAPのGUIからの操作を行う方法を解説します。
既にコントローラー配下の集中管理型として利用しているAPを、RAPに変換する場合は、この項目は飛ばしてもらって大丈夫です。
コントローラーへの事前設定 -RAPへの変換前に必要な設定-
CAPを帰属させる場合はコントローラーと通信可能な状態になると即時帰属しますが、RAPの場合はコントローラーとRAP間でVPN接続を構築するので、VPNに関する事前設定が必要となります。
今回はAruba7210(ver.8.7.1.0)を例にコマンドの解説を行います。
ローカルユーザーDBの設定
RAPに変換する際に、WLCとAP間で共通キーが必要となります。
下記をWLCに事前に設定します。
※APの変換時にも同じIDとパスワードを入力するので覚えておきましょう。
local-userdb add username admin password pass1234
RAPが使用するVirtual-apにブリッジの設定を入れる
ブリッジモードを利用する場合のみ入力します。
wlan virtual-ap "SSID-A" forward-mode bridge ! wlan virtual-ap "SSID-B" forward-mode bridge !
session ACLの設定
ブリッジモードで利用する場合は、session ACLの設定を入れておくことを推奨します。
ブリッジモードで利用する際にこのACLを入れていないと、APの有線ポートにデフォルトで設定されているACLの設定が有効となるので予期せぬ通信トラブルの原因となります。
詳しい解説
まずAP本体の有線ポートにはデフォルトで「session-ACL」というACLが備わっています。
トンネルモードの場合、無線クライアントの通信はWLCへ向かってトンネルを通っていくため「クライアントのパケットの出口がWLC」となります。そのためAP自体の有線ポートにsession-ALCが設定されていてもフィルターは動作しません。(制御する場合はWLCで設定を行います)
しかしブリッジモードは、無線クライアントの通信はWLCを経由しないため、AP本体の有線ポートに設定されているsession-ACLが精査を行います。
この、「トンネルモードの場合」と「ブリッジモードの場合」でクライアントの通信の流れが異なることを意識しましょう。
ip access-list session allowall any any any permit ipv6 any any any permit ! user-role authenticated access-list session allowall !
rap用ap-systemプロファイルを作成し、先ほど作成したaclを紐づけます。
ap system-profile "RAP-pro" session-acl "allowall" ipm-enable !
VPNアドレスプールの設定
RAPはコントローラーとVPN接続を行い通信するので、RAPとなるAPにつけるリモートアドレスのプール作成を行います。
ブラウザよりログインし、configuration>services>VPN>GenerlVPN [Address Pools]設定まで移動します。
ここで設定するIPは実際のネットワークに関係のない、ただコントローラーとAP間で使用するだけのIPですのでアドレスは適当で構わないです。
(例) POOL NAME:rap-pool START ADDRESS:192.168.1.10 END ADDRESS:192.168.1.100 (適当で良い)
CAP状態のIAPからRAPへ変換 -操作方法-
IAPにログインを行い、トップページのメンテナンスをクリックします。
[変換]のタブを選択し、 「モビリティコントローラーで管理するキャンパスAP」と コントローラーのIPを入力します。コントローラーをVRRPなどで冗長している場合は仮想IPを入力します。 「モビリティコントローラーで管理するキャンパスAP」を選択する項目で 「コントローラーで管理するリモートAP」という選択肢もあるかと思いますが、一度CAPとしてコントローラーに帰属させてからRAPに変換する本手順をお勧めします。 IAPをコントローラー管理のCAPに変換、それをRAPに変換という2度手間になりますが、ここで直接RAPに変換を選択した場合もし通信エラーなどで変換に失敗した場合、APが再起動を繰り返すことになるのでコンソールでの設定変更が必須となり、最悪そのAPを初期化しないといけない場合もあります。 「モビリティコントローラーで管理するキャンパスAP」を選択しておけば通信エラーなどで変換に失敗してもIAPとして再び自動復帰するので安心です。
集中管理型CAPからRAPへの変換 -操作方法-
コントローラー管理のAPのRAPへ変換を行いますが、前途の[コントローラーへの事前設定 -RAPへの変換前に必要な設定-]で解説したコントローラーへの事前設定を、まだ行っていない方はこちらを先に設定して下さい。
ここの設定が抜けていると変換に失敗し、対象のAPが再起動を繰り返すことになります。
RAPに変換するAPを選択
コントローラーにログインし、configuration>Access Points>Campus APsまで移動します。
[Campus APs]に現在帰属しているCAPが表示されます。
RAPに変換したいAPにチェックを入れ、[provision]をクリックします。(複数の選択は不可)
Provision設定
[provision]をクリックするとAPの設定変更画面が表示されます。
一番新のDeploymentで[Remote]にチェックを入れます。
Provision設定(変換完了)
Deploymentで[Remote]にチェックを入れると下記のような、RAPに関する設定画面が表示されます。 Authentication methodの項目を[Pre-shared Key]を選択し、パスワード情報の入力を行います。
※画面下に表示される[show Advance]の項目より[bridge mode]を選択するとブリッジモードへの切り替えを行うことができます。
IKE PSK:コントローラーのパスワード Confirm IKE PSK:コントローラーのパスワード User name:admin(ローカルユーザーDBの設定で入力したID) password:pass1234(ローカルユーザーDBの設定で入力したパスワード) Confirm password:pass1234(ローカルユーザーDBの設定で入力したパスワード)
これで入力項目は完了ですので、保存し設定の反映を行います。
RAP帰属確認方法
RAPの設定が反映され、APの再起動が完了したら帰属時にはRAPとなってます。
確認方法はCAPの設定変更時の画面と同じconfiguration>Access Points>Campus APから [Remote APs]に表示されます。
RAPに変換さえ完了すればの後のシステムプロファイルなどの設定変更はCAPとまったく同じように行えます。