解決済み: WLCでMac Filtering利用時にRadiusサーバへの通信がタイムアウトした場合の回避方法。

yara · ‎2018-12-18

現在、下記の構成でMac Filteringを行なっています。

・WLC（AIR-CT2504-K9）

・AP（AIR-CAP1702I-Q-K9）

・Radius（AWS上のfreeRadius）

Mac Filteringは、問題なく動作しているのですが

AWS上に配置しているRadiusサーバのため

回線が遮断された場合や

Radiusサーバが何らかの原因でダウンした場合に

タイムアウトすると無線に接続不可となるため

その際は、Mac Filteringをスルーさせても可としたいのですが

そのような設定を調べたのですが、分かりません。

Mac Filteringに失敗した場合

Web認証に逃す設定は試しましたが

Mac FilteringでRadiusサーバから

Rejectされた場合でもWeb認証に流されて

その場合、SSIDの接続キーとWeb認証のID/PWを

知っていると接続出来るようになるため

セキュリティ強度が低くなるので避けたいです。

Radiusサーバへ通信不可となった場合に

Web認証、またはMac Filteringをスルー

とするような設定方法はないのでしょうか。

以上、よろしくお願いします。

satwatan · ‎2018-12-20

Mac filtering をスルーさせることはできなさそうです、代替案として Radius server がダウンした際に WLC ローカルデータベースで認証させることはできると思います。その場合デフォルトでは WLC ローカルデータベースが最初に参照されるので、Radius が優先されるよう WLAN の設定変更が必要になります。

元の投稿で解決策を見る

satwatan · ‎2018-12-20

Mac filtering をスルーさせることはできなさそうです、代替案として Radius server がダウンした際に WLC ローカルデータベースで認証させることはできると思います。その場合デフォルトでは WLC ローカルデータベースが最初に参照されるので、Radius が優先されるよう WLAN の設定変更が必要になります。

yara · ‎2018-12-20

satwatanさん、ご回答ありがとうございます。

やはり無理そうですか。

有線のMac認証と無線のMac認証で2重管理となるのを避けたかったのですが

非常時用としては、ローカルデータベース参照で仕方なしとしますかね...

ありがとうございます！

Hideyuki Osaki · ‎2018-12-20

satwatan のアドバイスのように WLC のローカルデータベースを使うようにするか、あるいは Flexconnect mode + Flexconnect Group の設定を使って Local Authentication とするのも良いかもしれません。これはまさに WAN がダウンした場合などを想定して AP が備えている機能です。AWS がダウンするというよりは回線ダウンというシナリオに重点を置いた場合の話です。

以下ご参考までに。

https://www.cisco.com/c/en/us/td/docs/wireless/controller/8-8/config-guide/b_cg88/flexconnect.html

yara · ‎2018-12-20

Hideyuki Osakiさん、回答ありがとうございます。

頂いたURLを確認しましたが、今回はAPと同一セグメントに

WLCも存在するためWLCのローカルデータベースによる認証とする予定です。

ありがとうございました！