Catalyst 9800 ワイヤレスコントローラの FlexConnect について
内容
はじめに
このドキュメントでは、9800 ワイヤレスコントローラの FlexConnect 機能とその一般的な設定について説明します。
背景説明
FlexConnect とは、ワイヤレスクライアントからのトラフィックを AP レベルでネットワークに直接ルーティングするか(ローカルスイッチング)、9800 コントローラに集中させるか(中央スイッチング)を決定するアクセスポイント(AP)の機能です。
前提条件
要件
このドキュメントに関する特定の要件はありません。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Catalyst 9800ワイヤレスコントローラとCisco IOS®-XE Gibraltar v17.9.x
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
ネットワーク図
このドキュメントは、次のトポロジに基づいています。
コンフィギュレーション
次の図は、このドキュメントのシナリオを完了するために必要な設定を視覚的に配置したものです。
FlexConnect ローカル スイッチング サービスセット識別子(SSID)を設定するための一般的な手順は、次のとおりです。
- WLAN プロファイルの作成/変更
- ポリシープロファイルの作成/変更
- ポリシータグの作成/変更
- Flex プロファイルの作成/変更
- サイトタグの作成/変更
- AP へのポリシータグの割り当て
以下のセクションでは、それぞれの設定方法について順を追って説明します。
WLAN プロファイルの作成/変更
次の手順に従うと、3 つの SSID を作成できます。
ポリシープロファイルの作成/変更
ステップ 1:Configuration > Tags & Profiles > Policyに移動します。既存のポリシーの名前を選択するか、[+追加(+ Add)] をクリックして新しいポリシーを追加します。
プロファイルFlex1
ディセーブルにすると、この警告メッセージが表示されます。Central SwitchingYes をクリックして、設定を続行します。
ステップ 2:Access Policiesタブに移動し、VLANを入力します(このVLANは9800 WLCに存在しないため、ドロップダウンリストに表示されません)。その後、Save & Apply to Deviceをクリックします。
ステップ 3:PolicyProfileFlex2 について、同じ手順を繰り返します。
プロファイルFlex2
ステップ 4:中央でスイッチングされる SSID の場合、必要な VLAN が 9800 WLC に存在することを確認し、存在しない場合は作成します。
ステップ 5:中央 SSID のポリシープロファイルを作成します。
Configuration > Tags & Profiles > Policyに移動します。既存の名前を選択するか、をクリックして新しい名前を追加します+ Add。
縦断セントラル1
結果として、3 つのポリシープロファイルが存在します。
CLI:
# config t
# vlan 2660
# exit # wireless profile policy PolicyProfileFlex1 # no central switching # vlan 2685 # no shutdown # exit # wireless profile policy PolicyProfileFlex2 # no central switching # vlan 2686 # no shutdown # exit # wireless profile policy PolicyProfileCentral1 # vlan VLAN2660 # no shutdown # end
ポリシータグの作成/変更
ポリシータグは、どの SSID がどのポリシープロファイルに関連付けられるかを指定できる要素です。
ステップ 1:Configuration > Tags & Profiles > Tags > Policyに移動します。 既存の名前を選択するか、をクリックして新しい名前を追加します+ Add。
ステップ 2:Policy Tag内で+Addをクリックし、ドロップダウンリストからPolicy Tagに追加するWLAN Profile名とリンク先のPolicy Profileを選択します。その後、チェックマークをクリックします。
3つのSSIDに対してこの手順を繰り返し、続いてSave & Apply to Deviceをクリックします。
CLI:
# config t # wireless tag policy PolicyTag1 # wlan Flex1 policy PolicyProfileFlex1 # wlan Flex2 policy PolicyProfileFlex2 # wlan Central1 policy PolicyProfileCentral1 # end
Flex プロファイルの作成/変更
このドキュメントで使用されるトポロジでは、ローカルスイッチングに 2 つの異なる VLAN による 2 つの SSID があることに注意してください。 Flex プロファイルでは、AP の VLAN(ネイティブ VLAN)と、その AP が認識する必要のある他の VLAN(この場合は SSID によって使用される VLAN)を指定します。
ステップ 1:Configuration > Tags & Profiles > Flexに移動し、新しいプロファイルを作成するか、既存のプロファイルを変更します。
ステップ 2:Flex プロファイルの名前を定義し、AP の VLAN(ネイティブ VLAN ID)を指定します。
ステップ 3:「VLAN」タブに移動し、必要なVLANを指定します。
このシナリオでは、VLAN 2685 と VLAN 2686 にクライアントが存在します。これらの VLAN は 9800 WLC には存在しません。これらの VLAN を Flex プロファイルに追加して AP に存在させます。
必要な VLAN について、同じ手順を繰り返します。
中央スイッチングに使用される VLAN は、AP がそれを認識する必要がないため、追加されていないことに注意してください。
CLI:
# config t
# wireless profile flex FlexProfileLab # native-vlan-id 2601 # vlan-name VLAN2685 # vlan-id 2685 # vlan-name VLAN2686 # vlan-id 2686 # end
サイトタグの作成/変更
サイトタグは、AP に割り当てられる AP Join または Flex プロファイルを指定できる要素です。
ステップ 1:Configuration > Tags & Profiles > Tags > Siteに移動します。 既存の名前を選択するか、をクリックして新しい名前を追加します+ Add。
ステップ 2:Site Tag内で、Enable Local Siteオプションを無効にします(Enable Local Siteオプションが無効な状態でSite Tagを受信するすべてのAPは、FlexConnectモードに変換されます)。ディセーブルにすると、Flex Profileも選択できます。その後、Save & Apply to Deviceをクリックします。
CLI:
# config t # wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site
AP へのポリシータグの割り当て
ポリシータグを AP に直接割り当てるか、同じポリシータグを AP のグループに同時に割り当てることができます。どちらでも自由に選択できます。
AP ごとのポリシータグの割り当て
Configuration > Wireless > Access Points > AP name > General > Tagsに移動します。「Site」ドロップダウンリストから目的のタグを選択し、「Update & Apply to Device」をクリックします。
CLI:
# config t # ap <ethernet-mac-addr> # site-tag <site-tag-name> # end
複数の AP へのポリシータグの割り当て
Configuration > Wireless Setup > Advanced > Start Nowに移動します。
Tag APs:=アイコンをクリックし、その後、タグを割り当てるAPのリストを選択します(AP name [または他のフィールド]の横の下向き矢印をクリックすると、APのリストをフィルタリングできます)。
目的の AP を選択したら、[+ APのタグ付け(+ Tag APs)] をクリックします。
APに割り当てるタグを選択して、Save & Apply to Deviceをクリックします。
CLI:
同じタグを複数の AP に割り当てる CLI オプションはありません。
FlexConnect ACL
ローカルでスイッチされる WLAN がある場合は、ACL をクライアントに適用する方法を考慮する必要があります。
中央でスイッチされる WLAN の場合、すべてのトラフィックは WLC で解放されるため、ACL を AP にプッシュする必要はありません。しかし、トラフィックがローカルでスイッチされる場合(Flex Connect:ローカルスイッチング)、トラフィックは AP で解放されるため、ACL(コントローラで定義)を AP にプッシュする必要があります。これは、ACL を Flex プロファイルに追加するときに実行されます。
FlexConnect ACLは、出力方向と入力方向の両方に適用されます。これには、クライアントサブネットのトラフィックを許可または拒否する際に明確に指定する必要があります。ACLを十分に明示的に指定せずにクライアントがゲートウェイにアクセスするのをブロックするのは、一般的な誤りです。詳細は、Cisco Bug ID CSCuv93592の注意事項を参照してください。 
.
中央でスイッチされる WLAN
中央でスイッチされる WLAN に接続されているクライアントに ACL を適用するには、次の手順を実行します。
手順 1:ACL をポリシープロファイルに適用します。[設定(Configuration)] > [タグとプロファイル(Tags & Profiles)] > [ポリシー(Policy)] の順に選択し、中央でスイッチされる WLAN に関連付けられているポリシープロファイルを選択します。[アクセスポリシー(Access Policies)] > [WLAN ACL] セクションで、クライアントに適用する ACL を選択します。
中央でスイッチングされるWLANに中央Web認証を設定する場合、APがローカルモードであるかのように、9800にリダイレクトACLを作成できます。これは、この場合すべてがWLCで一元的に処理されるためです。
ローカルでスイッチされる WLAN
ローカルでスイッチされる WLAN に接続されているクライアントに ACL を適用するには、次の手順を実行します。
手順 1:ACL をポリシープロファイルに適用します。Configuration > Tags & Profiles > Policyの順に進み、ローカルにスイッチされるWLANに関連付けられたポリシープロファイルを選択します。[アクセスポリシー(Access Policies)] > [WLAN ACL] セクションで、クライアントに適用する ACL を選択します。
手順 2:ACL を Flex プロファイルに適用します。[設定(Configuration)] > [タグとプロファイル(Tags & Profiles)] > [Flex] に移動し、Flex Connect AP に割り当てられている Flex プロファイルを選択します。[ポリシー ACL(Policy ACL)] セクションで、ACL を追加し、[保存(Save)] をクリックします。
ACL が適用されているかどうかの確認
ACL がクライアントに適用されているかどうかを確認するには、[モニタリング(Monitoring)] > [ワイヤレス(Wireless)] > [クライアント(Clients)] の順に選択し、確認するクライアントを選択します。[全般(General)] > [セキュリティ情報(Security Information)] セクションで、[サーバーポリシー(Server Policies)] セクションの「Filter-ID」の名前を確認します。これが、適用される ACL に対応している必要があります。
Flex Connect(ローカルスイッチング)AP の場合、その AP 自体で「#show ip access-lists」コマンドを入力することにより、ACL が AP に接続されているかどうかを確認できます。
検証
以下のコマンドを使用すると設定を確認できます。
VLAN/インターフェイス設定
# show vlan brief # show interfaces trunk
# show run interface <interface-id>
WLAN 設定
# show wlan summary
# show run wlan [wlan-name] # show wlan { id <wlan-id> | name <wlan-name> | all }
AP の設定
# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }
# show ap name <ap-name> tag detail
AP Name : AP2802-01 AP Mac : 0896.ad9d.143e Tag Type Tag Name ----------------------------- Policy Tag PT1 RF Tag default-rf-tag Site Tag default-site-tag Policy tag mapping ------------------ WLAN Profile Name Policy Name VLAN Central Switching IPv4 ACL IPv6 ACL ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- psk-pbl-ewlc ctrl-vl2602 VLAN0210 ENABLED Not Configured Not Configured Site tag mapping ---------------- Flex Profile : default-flex-profile AP Profile : default-ap-profile Local-site : Yes RF tag mapping -------------- 5ghz RF Policy : Global Config 2.4ghz RF Policy : Global Config
タグ設定
# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>
プロファイル設定
# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
6.0 |
22-May-2024 |
スクリーンショットから中央関連付けを削除 |
5.0 |
22-May-2024 |
適用される方向に関するFlex ACLの注記を追加 |
4.0 |
28-Feb-2023 |
ACLセクションを追加 |
3.0 |
11-Aug-2022 |
この記事は再認定のために作成されたもので、現在のシスコおよびCCWの基準に準拠するように編集および改訂されています。 |
1.0 |
07-Dec-2018 |
初版 |
フィードバック