シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

[CUWN] FlexConnect Local Switching + Dynamic VLAN 環境でマルチキャストを流す設定

     

    概要

    FlexConnect Local Switching の WLAN で Dynamic VLAN を有効にしていると、初期値ではマルチキャストは無線クライアントに対して流れません。マルチキャストを無線クライアントに受信させたい場合は、下記の特定のコマンドを WLC にて入力する必要があります。

     

    config flexconnect group group_name multicast overridden-interface enable

     

    詳細と技術背景

    FlexConnect Local Switching の WLAN において、WLAN で AAA Override を有効にしていると、同じ SSID を使いながらも、例えばユーザ単位でそれぞれ異なる VLAN をアサインすることが可能になります。この機能は一般的には Dynamic VLAN 等と呼ばれます。

     

    Dynamic VLAN では AP や WLC が RADIUS 認証サーバ等に認証リクエスト (Access-Request) を送信し、その結論としてネットワーク接続を許可されたユーザに対する Access-Accept の返事をもらいます。RADIUS 認証サーバは、この Access-Accept の中に当該ユーザが所属するべき VLAN の ID を含めることができます。WLAN の設定で AAA Override にチェックが入って有効となっていると、この認証サーバから受信した VLAN ID が当該ユーザが実際にトラフィックの送受信に使う VLAN ということになります。

     

    このとき WLAN が FlexConnect Local Switching に設定されていると、AP では次のように ユーザ、SSID (WLAN)、Bridge Group, VLAN のマッピングがなされます。

     

    ユーザの MAC アドレス - SSID - WLAN ID - VLAN ID - Wireless Bridge Group - Ethernet  Bridge Group - VLAN ID - 802.1Q - 有線のサブインターフェイス

     

    こうすることで当該ユーザのトラフィックについては、指定された VLAN ID を 802.1Q のタグとして持ったパケットが有線インターフェイスで送受信されるようになります。このときブロードキャストとマルチキャストに関しては一つ問題が発生します。

     

    前述のように有線部分については 802.1Q タグによって明示的にレイヤ 2 ドメインが区切られており、ブロードキャストとマルチキャストはその境界に従うことが期待されます。一方で無線については 802.1Q や VLAN という概念が元々は存在しておらず、SSID 単位 (正確には BSSID 単位) でのブロードキャスト、あるいはマルチキャストという捉え方をします。

     

    したがって、Dynamic VLAN により同一 SSID 内に VLAN の異なるユーザが複数いると、有線から流れてきたマルチキャストを特定の VLAN に属するユーザだけに送信するということが、IEEE 802.11 の規格上できません。その結果、マルチキャストはどのユーザに対しても送信されず、AP の内部で破棄されます。

     

    これは期待される動作の結果ではありますが、FlexConnect Local Switching + Dynamic VLAN 環境においてもマルチキャストをローカルで使いたいという需要があるため、弊社では次のコマンドを用意しています。

     

    config flexconnect group group_name multicast overridden-interface enable

     

    このコマンドは FlexConnect Group に対して有効となりますので、FlexConnect Group を設定して、グループの中に AP を参加させておく必要があります。

    コマンドを入れることで、同一 SSID 内に異なる VLAN ID に属する複数ユーザがいる場合でも、VLAN による区別をすることなく、全ての無線クライアントに対してブロードキャストとマルチキャストを送信するように AP の動きが変わります。

     

    この設定には以下の注意が必要です。

    VLAN というレイヤ 2 の境を越えて同じマルチキャストトラフィックを受信することが可能になりますので、機密性の高いストリーミング情報等を同一の L2 ドメイン内部に留めておくことができず、セキュリティ上の問題となる恐れがあります。

    また、一つの AP 配下で1台のユーザがマルチキャストの受信を開始してしまうと、その他の VLAN に属するユーザが利用可能な無線容量を消費してしまい、スループットの低下を招く恐れがあります。

     

    554
    閲覧回数
    5
    いいね!
    0
    コメント