Catalyst 9800でのWLANアンカーモビリティ機能の設定

はじめに

このドキュメントでは、Catalyst 9800ワイヤレスコントローラを使用した外部/アンカーシナリオでワイヤレスローカルエリアネットワーク(WLAN)を設定する方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• ワイヤレスコントローラへのコマンドラインインターフェイス(CLI)またはグラフィックユーザインターフェイス(GUI)アクセス
• シスコワイヤレスLANコントローラ(WLC)でのモビリティ
• 9800ワイヤレスコントローラ
• AireOS WLC

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• AireOS WLCバージョン8.8 MR2(Inter Release Controller Mobility(IRCM)の特別な8.5イメージを使用することもできます)
  
• 9800 WLC v16.10以降
• 9800 WLCコンフィギュレーションモデル

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

これは通常、クライアントが異なるコントローラや物理的な場所から来ている場合でも、クライアントからのすべてのトラフィックを1つのL3出力点に終端させるゲストアクセスシナリオで使用される機能です。モビリティトンネルは、トラフィックがネットワークを通過するときにトラフィックを分離するメカニズムを提供します。

9800 WLC間の外部/アンカーシナリオ

このシナリオでは、使用されている2台のCatalyst 9800を図示します。

ネットワークダイアグラム：2台のCatalyst 9800 WLC

モビリティゲストシナリオでは、次の2つの主要なコントローラロールがあります。

• 外部コントローラ：このWLCはレイヤ2またはワイヤレス側を所有します。アクセスポイントが接続されている。アンカーされたWLANのすべてのクライアントトラフィックは、モビリティトンネルにカプセル化され、アンカーに送信されます。ローカルには終了しません。
• アンカーコントローラ：これはレイヤ3の出力点です。外部コントローラからモビリティトンネルを受信し、クライアントトラフィックをカプセル化解除するか、または終了して出口(VLAN)に入れます。これは、ネットワーク内でクライアントが認識されるポイントであり、アンカー名になります。

外部WLC上のアクセスポイントはWLAN SSIDをブロードキャストし、WLANプロファイルを適切なポリシープロファイルにリンクするポリシータグが割り当てられています。ワイヤレスクライアントがこのSSIDに接続すると、外部コントローラはクライアント情報の一部としてSSID名とポリシープロファイルの両方をアンカーWLCに送信します。アンカーWLCでは、受信時に自身の設定をチェックして、SSID名およびポリシープロファイル名と一致するかどうかを確認します。アンカーWLCは、一致を見つけると、対応する設定と出力点をワイヤレスクライアントに適用します。したがって、WLANとポリシープロファイルの名前と設定は、ポリシープロファイルの下のVLANを除き、両方の外部9800 WLCとアンカー9800 WLCで一致している必要があります。

注:WLANプロファイル名とポリシープロファイル名は、9800アンカーWLCと9800外部WLCの両方で一致できます。

9800アンカーを使用した9800 Foreignの設定

ステップ 1： 外部9800 WLCとアンカー9800 WLCの間にモビリティトンネルを構築します。

このドキュメントの「Catalyst 9800でのモビリティトポロジの設定」を参照してください。

ステップ 2：両方の9800 WLCで目的のSSIDを作成します。

サポートされるセキュリティ方式：

• 開く
• MACフィルタ
• PSK
• Dot1x
• ローカル/外部Web認証(LWA)
• 中央Web認証(CWA)
  
  

注：両方の9800 WLCは同じ種類の設定である必要があります。そうでない場合、アンカーは機能しません。

ステップ 3：外部9800 WLCにログインし、ポリシープロファイルでアンカー9800 WLCのIPアドレスを定義します。

Configuration > Tags & Profiles > Policy > + Addに移動します。

Mobilityタブで、アンカー9800 WLCのIPアドレスを選択します。

ステップ 4：このWLANにサービスを提供する外部コントローラに関連付けられたAPに割り当てられたポリシータグ内のWLANに、ポリシープロファイルをリンクします。

に移動しConfiguration > Tags & Profiles > Tags  、新しいプロファイルを作成するか、既存のプロファイルを使用します。

ポリシータグUpdate & Apply to Device  に変更を適用することを選択します。

ステップ 5（オプション）：APにポリシータグを割り当てるか、すでに割り当てられていることを確認します。

Configuration > Wireless > Access Points > AP name > Generalに移動します。

注:Update & Apply to Deviceを選択した後でAPタグを変更すると、APはトンネルCAPWAPを再起動するため、9800 WLCとの関連付けが失われ、回復します。

CLI から、



Foreign 9800 WLC

# config t # wireless profile policy anchor-policy # mobility anchor 10.88.173.105 priority 3 # no shutdown # exit # wireless tag policy PT1 # wlan anchor-ssid policy anchor-policy # exit # ap aaaa.bbbb.dddd # site-tag PT1 # exit


手順 6：アンカー9800 WLCにログインし、アンカーポリシープロファイルを作成します。外部9800 WLCで使用したのと同じ名前であることを確認します。

Configuration > Tags & Profiles > Policy > + Addに移動します。 

Mobility  タブに移動し、Export Anchorを有効にします。これにより、9800 WLCに対して、このポリシープロファイルを使用するWLANのアンカー9800 WLCであることが指示されます。外部9800 WLCがアンカー9800 WLCにクライアントを送信すると、クライアントが割り当てられているWLANとポリシープロファイルについて通知するため、アンカー9800 WLCは使用するローカルポリシープロファイルを認識します。

注：モビリティピアの設定とアンカーのエクスポートを同時に行うことはできません。これは無効な設定シナリオです。

注：アクセスポイントのあるコントローラのWLANプロファイルに関連付けられているポリシープロファイルに対しては、エクスポートアンカー設定を使用しないでください。これにより、SSIDがブロードキャストされなくなります。そのため、このポリシーはアンカー機能専用に使用する必要があります。

CLI から、



Anchor 9800 WLC # config t # wireless profile policy <anchor-policy> # mobility anchor # vlan <VLAN-id_VLAN-name> # no shutdown # exit

外部9800 WLC：アンカーAireOS

この設定は、Catalyst 9800 WLCを外部として使用し、AireOS Unified WLCをアンカーとして使用するシナリオを示しています。

Catalyst 9800外部 – AireOSアンカーネットワーク図

AireOSアンカーを使用した9800外部の設定

ステップ 1： 外部9800 WLCとアンカーAireOS WLCの間にモビリティトンネルを構築します。

詳細については、「Catalyst 9800でのモビリティトポロジの設定」

ステップ 2：両方のWLCで必要なWLANを作成します。

サポートされるセキュリティ方式：

• 開く
• MACフィルタ
• PSK
• Dot1x
• ローカル/外部Web認証(LWA)
• 中央Web認証(CWA)
  
  

注:AireOS WLCと9800 WLCの両方に同じ種類の設定が必要です。そうでない場合、アンカーは機能しません。

ステップ 3：9800 WLC（外部として機能）にログインし、アンカーポリシープロファイルを作成します。

Configuration > Tags & Profiles > Policy > + Add に移動します。

Mobility  タブに移動し、アンカーAireOS WLCを選択します。9800 WLCは、このポリシープロファイルに関連付けられたSSIDのトラフィックを、選択されたアンカーに転送します。

ステップ 4：このWLANにサービスを提供する外部コントローラに関連付けられたAPに割り当てられたポリシータグ内のWLANに、ポリシープロファイルをリンクします。

に移動しConfiguration > Tags & Profiles > Tags  、新しいプロファイルを作成するか、既存のプロファイルを使用します。

ポリシータグUpdate & Apply to Device  に変更を適用することを選択します。

ステップ 5（オプション）：サイトをAPに割り当てるか、サイトにすでにサイトがあることを確認します。

Configuration > Wireless > Access Points > AP name > Generalに移動します。

注：選択した後にAPタグを変更するとUpdate & Apply to Device APはトンネルCAPWAPを再起動するため、9800 WLCとの関連付けが失われ、回復します。

CLI から、



# config t # wireless profile policy anchor-policy # mobility anchor 10.88.173.105 priority 3 # no shutdown # exit # wireless tag policy PT1 # wlan anchor-ssid policy anchor-policy # exit # ap aaaa.bbbb.dddd # site-tag PT1 # exit


手順 6：アンカーとしてAireOS WLCを設定します。

AireOSにログインし、WLANs > WLANsに移動します。WLAN行の右端にある矢印を選択し、ドロップダウンメニューに移動して、Mobility Anchorsを選択します。

ローカルアンカーとして設定します。

CLI から、



> config wlan disable <wlan-id> > config wlan mobility anchor add <wlan-id> <AireOS-WLC's-mgmt-interface> > config wlan enable <wlan-id>  

外部AireOS – アンカー9800 WLC

AireOS Foreignと9800アンカーネットワーク図



AireOSアンカーを使用した9800 Foreignの設定

ステップ 1： 外部9800 WLCとアンカーAireOS WLCの間にモビリティトンネルを構築します。

このドキュメントの「Catalyst 9800でのモビリティトポロジの設定」を参照してください。

ステップ 2：両方のWLCで目的のSSIDを作成します。

サポートされるセキュリティ方式：

• 開く
• MACフィルタ
• PSK
• Dot1x
• ローカル/外部Web認証(LWA)
• 中央Web認証(CWA)

注:AireOS WLCと9800 WLCの両方に同じ種類の設定が必要です。そうでない場合、アンカーは機能しません。

ステップ 3：（アンカーとして機能する）9800 WLCにログインし、アンカーポリシープロファイルを作成します。

Configuration > Tags & Profiles > Policy > + Addに移動します。9800のポリシープロファイルの名前が、AireOS WLCのプロファイル名と正確に同じであることを確認します。同じ名前ではない場合、正しく動作しません。

Mobility  タブに移動し、Export Anchorを有効にします。これにより、9800 WLCに対して、このポリシープロファイルを使用するWLANのアンカー9800 WLCであることが指示されます。外部AireOS WLCがクライアントをアンカー9800 WLCに送信すると、クライアントが割り当てられているWLAN名について通知するため、アンカー9800 WLCは使用するローカルWLAN設定を認識し、この名前を使用してどのローカルポリシープロファイルを使用するかを認識します。

注：外部コントローラからのトラフィックを受信するためだけに、このポリシープロファイルを使用するようにしてください。

CLI から、



Anchor 9800 WLC # config t # wireless profile policy <anchor-policy> # mobility anchor # vlan <VLAN-id_VLAN-name> # no shutdown # exit

ステップ 4：AireOS WLCを外部として設定します。

AireOSにログインし、WLANs > WLANs.Navigateに移動して、WLAN行の最後にある矢印に移動し、Mobility Anchorsを選択します。

9800 WLCをこのSSIDのアンカーとして設定します。

CLI から、



> config wlan disable <wlan-id> > config wlan mobility anchor add <wlan-id> <9800 WLC's-mgmt-interface> > config wlan enable <wlan-id>

  

検証

これらのコマンドを使用すると、外部/アンカーSSIDを使用したワイヤレスクライアントの設定と状態を確認できます。 

9800 WLCでの確認



# show run wlan # show wlan summary # show wireless client summary
# show wireless mobility summary
# show ap tag summary
# show ap <ap-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

AireOS WLCでの確認

> show client summary > show client detail <client-mac-addr> > show wlan summary > show wlan <wlan-id>

トラブルシュート

WLC 9800 では、ALWAYS-ON トレース機能を利用できます。これにより、クライアント接続に関連するすべてのエラー、警告、および通知レベルのメッセージが継続的にログに記録され、インシデントまたは障害状態が発生した後でそのイベントを表示できます。



注：生成されるログの量に応じて、数時間から数日に戻ることができます。

9800 WLCがデフォルトで収集したトレースを表示するには、SSH/Telnet経由で9800 WLCに接続し、次の手順を参照します。（セッションは必ずテキストファイルに記録してください）

ステップ 1：コントローラの現在の時刻を確認して、問題が発生した時刻までログを追跡できるようにします。



# show clock


ステップ 2：システム設定に従って、コントローラバッファまたは外部syslogからsyslogを収集します。これにより、システムの健全性とエラーが発生した場合に、その状態をすばやく確認できます。



# show logging 


ステップ 3：特定のMACアドレスまたはIPアドレスのAlways-On Notice Level(AToS)トレースを収集します。モビリティトンネルの問題が疑われる場合、またはワイヤレスクライアントのMACアドレスによって、リモートモビリティピアはこれをフィルタリングできます。



# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 


ステップ 4：セッションで内容を表示するか、ファイルを外部 TFTP サーバーにコピーできます。



# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

条件付きデバッグとラジオアクティブトレース

常時オン状態のトレースでは、調査中の問題のトリガーを判別するのに十分な情報が得られない場合は、条件付きデバッグを有効にして、Radio Active(RA)トレースをキャプチャできます。これにより、指定された条件（この場合はクライアントMACアドレス）と対話するすべてのプロセスにデバッグレベルのトレースが提供されます。条件付きデバッグを有効にするには、次の手順を参照してください。

ステップ 5：有効なデバッグ条件がないことを確認します。



# clear platform condition all

手順 6：監視するワイヤレスクライアントのMACアドレスのデバッグ条件を有効にします。

次のコマンドは、指定された MAC アドレスの 30 分間（1800 秒）のモニターを開始します。必要に応じて、この時間を最大 2085978494 秒まで増やすことができます。



# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>} 

  

注:複数のクライアントを同時にモニタするには、MACアドレスごとにdebug wireless mac <aaaa.bbbb.cccc>コマンドを実行します。

注:ターミナルセッションでは、すべてが後で表示できるように内部でバッファされているため、クライアントアクティビティの出力は表示されません。

手順 7：監視する問題または動作を再現します。

ステップ 8：デフォルトまたは設定されたモニタ時間が経過する前に問題が再現した場合は、デバッグを停止します。



# no debug wireless mac <aaaa.bbbb.cccc>


モニタ時間が経過するか、ワイヤレスのデバッグが停止すると、9800 WLCは次の名前のローカルファイルを生成します。  ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

ステップ 9： MAC アドレスアクティビティのファイルを収集します。   RAトレースを外部サーバにコピーするか、出力を画面に直接表示でき.logます。

RAトレースファイルの名前を確認します。



# dir bootflash: | inc ra_trace


ファイルを外部サーバーにコピーします。



# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt


内容を表示します。



# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log


ステップ 10：根本原因がまだ明らかでない場合は、デバッグレベルのログのより詳細なビューである内部ログを収集します。ログはすでにコントローラメモリに書き込まれているため、クライアントを再度デバッグする必要はなく、ログの詳細ビューを入力するだけで済みます。



# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

注：このコマンド出力は、すべてのプロセスのすべてのログレベルに関するトレースを返し、非常に大量です。これらのトレースの解析をCisco TACに依頼します。

ra-internal-FILENAME.txtを外部サーバにコピーするか、出力を画面に直接表示します。

ファイルを外部サーバーにコピーします。



# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt


内容を表示します。



# more bootflash:ra-internal-<FILENAME>.txt


ステップ 11デバッグ条件を削除します。

  

# clear platform condition all

注：トラブルシューティングセッションの後は、必ずデバッグ条件を削除してください。

AireOS WLCの確認

このコマンドを実行すると、AireOS WLCでワイヤレスクライアントのアクティビティを監視できます。



> debug client <client-mac-add>