Catalyst 9800のFlexConnectの設定例/Catalyst_9800_FlexConnect_Configuration_Example

Transcript

1. Catalyst 9800の FlexConnectの設定例 初版作成日: 2024/01/05 作成者: MyHomeNWLab

2. 概要 • 筆者自身が検証で流用しやすいFlexConnectの設定例が欲しかった ため、スライド ベースでWeb UIとCLIの情報を併記しながら情報を整理 しました。 • VLAN情報など環境に応じて変動しやすい要素は、本手順の最初に整 理を行います。

3. 検証時の情報 & 前提事項 • 検証は Catalyst 9800-CL (vSphere版) で行っています。 •

   検証時のVersion: v17.13.1 • 本手順はWi-Fi 6Eの設定も例示するため、日本の規制ドメイン (J4)でWi- Fi 6E対応の v17.12.1 以上を前提とします。

4. 想定シナリオ

5. 例示用設定の想定シナリオ • 「業務系」と「ゲスト」の用途の2種類のSSIDを設定するシナリオを想定し ました。 • 「業務系」は次期更改でWi-Fi 6E対応の業務端末を導入する想定と します。 • 「ゲスト」は不特定多数に提供する都合で、Wi-Fi

   6EとWPA3が非対 応な端末が居る想定とします。 FlexConnectの方式 SSID名 用途の想定 利用帯域 認証方式 Local Switching OFFICE 執務室での従業員の業務利用 2,4GHz, 5GHz, 6GHz WPA3 Central Switching GUEST ゲスト ユーザーへのInternet接続の提供 2.4GHz, 5GHz WPA+WPA2

6. 設定の観点 • FlexConnectのCentral SwitchingおよびLocal Switchingの2つの通信方式を同時 に実現します。 • Central Switchingの設定例: ゲスト向けシナリオ

   • ゲスト向けのInternetを提供するものの、社内LANへのアクセスはさせたくないため、 WLCを介するようにしてData Center側で通信を集約するシナリオを想定します。 • Local Switchingの設定例: 業務系向けシナリオ • 拠点内にあるPrinter (複合機)などへのアクセスが必要であり、WLCを介したWANの往 復を避けたいシナリオを想定します。

7. 拠点 Data Center 省略 想定シナリオのイメージ化 Internet 業務端末 (制御配下) 無線AP ゲスト端末

   (不特定多数) Printer (複合機) L2 Switch WLC CAPWAP Central Switching Local Switching

8. 設定情報の整理

9. サブネットとVLAN設計に関する補足 • SSIDに紐付くVLAN IDは「全ての拠点で共通化」する想定とします。 • 拠点別にVLANの読み替えが発生するのを避ける意図です。 • 例: 業務系 =

   VLAN ID: 3002 を全ての拠点で共通化 • WAN Routerで拠点内のセグメントが終端されるため、サブネットさえ拠点別に一意にすれば VLAN ID自体の重複は他拠点へ影響を及ぼさない想定です。 • 同様に、無線APが所属する管理系のNative VLAN IDも共通化する想定とします。 • 拠点別にVLANを一意にするパターンだと「設定例なのにシンプルさを保てない」と考えての設 計案ですが、管理・運用上の理由でVLAN IDの使い回しが許されない環境だと、本想定が 適さない場合があります。

10. サブネットとVLAN設計のイメージ化 東京DC 大阪支店 沖縄支店 東京本社 閉域網 Internet PoE L2 Switch

    Access Point Laptop WAN Router WLC L3 Switch Firewall Native VLAN ID: 3001 ゲスト向けSSID: VLAN 3002 VLAN 3001: 10.1.1.0/24 VLAN 3002: 10.1.2.0/24 Native VLAN ID: 3001 ゲスト向けSSID: VLAN 3002 VLAN 3001: 10.2.1.0/24 VLAN 3002: 10.2.2.0/24 Native VLAN ID: 3001 ゲスト向けSSID: VLAN 3002 VLAN 3001: 10.3.1.0/24 VLAN 3002: 10.3.2.0/24 VLAN IDを全ての拠点で統一しても、 サブネット自体は一意にして WAN Routerでセグメントを終端しています。

11. 設定の命名規則の整理 • 色々な設定があると混乱する一因になるため、設定の種別と命名規則を整理します。 項目 命名規則 Flex Profile FlexProf_Common Policy Profile

    PolProf_<用途>_Flex_<FlexConnect方式> WLAN Profile WLAN_<用途> Policy Tag PolTag_Common Site Tag SiteTag_<拠点名> 読み替え対象 候補 拠点名 Tokyo, Osaka 用途 業務系: OFFICE, ゲスト向け: GUEST FlexConnect方式 Central, Local

12. VLAN Nameの命名規則 • 「Central Switching用途 (WLC側)」と「Local Switching (無線AP側)」のど ちらで利用すべきVLANであるかの識別のために、命名規則を設けます。 •

    無線AP側 (Flex Profile)のVLANは vlan コマンドによる定義は本来不要です。し かし、Policy ProfileとFlex ProfileからVLAN Nameを参照できるようにするために 意図的に vlan コマンドで定義します。 項目 命名規則 命名の例 vlan コマンドのState WLC側のVLAN WLC_v<id> WLC_v12 , WLC_v3001 ACTIVATED 無線AP側のVLAN FLX_v<id> FLX_v34 , FLX_v4001 SUSPENDED

13. 例示用のVLAN ID • 本手順の例示に用いるVLANを整理します。読み替え表などを作成して 環境に適した値に書き換えてください。 項目 VLAN ID → 読み替え後

    (自環境) • Central Switching • ゲスト向け 2001 → 無線APのNative VLAN ID 3001 → • Local Switching • 業務系向け 3002 →

14. CLIの環境依存 • CLIで簡単に流し込みを行えるようにするにあたり、環境に応じて書き換 えが必要な項目をリストします。 設定項目 例示での値 WLAN Profile ID #1

    (業務系) 98 WLAN Profile ID #2 (ゲスト) 99 Pre-Shared Key #1 (業務系) TODO_CHANGE_PASSWORD Pre-Shared Key #2 (ゲスト) TODO_CHANGE_PASSWORD VLAN 前述のスライドを参照してください。

15. 設定手順 ここから設定手順のスライドが開始です。

16. VLAN • メニュー: Configuration > Layer2 > VLAN の VLAN

    タブ • WLC側で利用するVLAN / Central Switching向け • 無線AP側で利用するVLAN / Local Switching向け 設定項目 設定値 備考 VLAN ID 2001 ※環境依存 Name WLC_v2001 ※環境依存 State ACTIVATED 設定項目 設定値 備考 VLAN ID 3002 ※環境依存 Name FLX_v3002 ※環境依存 State SUSPENDED 明示的に無効化します。 移動直後では SVI タブが表示されるため、 VLAN タブへの移動を忘れないでください。

17. CLI: VLAN • WLC側で利用するVLAN (必須) • 無線AP側で利用するVLAN (任意) vlan 3002

    name FLX_v3002 state suspend exit configure terminal vlan 2001 name WLC_v2001 exit 不要な設定を極力避けたい場合は、無線AP側だけ実行しないでください。 実行有無に関わらず、後続の手順に影響はありません。 (Web UIでVLAN Nameの参照ができなくなるだけです。)

18. VLAN タブに切り替えます。

19. WLC側で利用するのVLAN設定 設定項目 設定値 VLAN ID 2001 ※環境依存 Name WLC_v2001 ※環境依存

    State ACTIVATED

20. 無線AP側で利用するVLAN設定 無線AP向けのVLANを定義する場合は、 Stateを SUSPENDED します。 設定項目 設定値 VLAN ID 3002

    ※環境依存 Name FLX_v3002 ※環境依存 State SUSPENDED 不必要な設定があるのを極力避けたい場合は本来行わない設定です。 無線AP向けのVLANを定義する際に、VLAN Nameの参照できるように意図的に設定を行っています。 もし Port Members を設定すると、 対象PortがAccess Modeになります。

21. Central Switching向けのInterface • メニュー: Configuration > Interface > Ethernet •

    Central SwitchingでWLCを介して通信するためのInterfaceで、 VLANが許可されているか確認してください。 設定項目 設定値 備考 Switchport Mode 例: Trunk Central Switching用のSSIDを複数扱えるように、基本的に Trunkになっている想定です。 Allowed VLAN 例: All 使用するVLANのみに明示的に限定するか、Allで全許可します。

22. 【CLI上】 interface GigabitEthernet2 switchport switchport mode trunk switchport trunk native

    vlan 4094 switchport trunk allowed vlan all no shutdown ! Central Switching向け (ゲスト通信向け) のVLANを許可します。 WLC側で利用するのVLAN設定

23. Flex Profile • メニュー: Configuration > Tags & Profiles >

    Flex • General タブ • VLAN タブ 設定項目 設定値 備考 Name FlexProf_Common Native VLAN ID 3001 ※環境依存 設定項目 設定値 備考 VLAN Name FLX_v3002 ※環境依存 Local Switching向けのVLANを指 定します。 VLAN ID 3002 ※環境依存

24. CLI: Flex Profile wireless profile flex FlexProf_Common native-vlan-id 3001 vlan-name

    FLX_v3002 vlan-id 3002

25. 無線APのUplinkにあるSwitchと、 Native VLAN IDを一致させます。 デフォルトは「1」になっています。 【簡易イメージ図】 PoE L2 Switch Access

    Point Mode: Trunk Native VLAN ID: 3001 Laptop 設定項目 設定値 Name FlexProf_Common Native VLAN ID 3001 ※環境依存

26. 【簡易イメージ図】 PoE L2 Switch Access Point Mode: Trunk Native VLAN

    ID: 3001 【無線APのVLAN】 • VLAN 3002 Laptop 所属VLAN: 3002 所属VLAN: 3002 Local Switching向けのVLANを定義します。 本手順ではゲスト通信向けの1つのVLANしか該当しませんが、 環境によっては簡易イメージ図のように複数のVLANが該当する場合もあります。 設定項目 設定値 VLAN Name FLX_v3002 ※環境依存 VLAN ID 3002 ※環境依存

27. Policy Profile - 業務系 • メニュー: Configuration > Tags &

    Profiles > Policy • General タブ • Access Policies タブ 設定項目 設定値 備考 VLAN/VLAN Group FLX_v3002 ※環境依存 FlexConnect Local Switching用 (業務系通信) Policy Profileです。 Tags 配下のPolicy Tagとの混同に注意します。 設定項目 設定値 備考 Name PolProf_OFFICE_Flex_Local Status ENABLED Statusの有効化を忘れないでください。 Central Switching DISABLED Local Switchingのため無効化します。 Central Authentication ENABLED Central DHCP DISABLED Local Switchingのため無効化します。

28. CLI: Policy Profile - 業務系 wireless profile policy PolProf_OFFICE_Flex_Local no

    central dhcp no central switching vlan FLX_v3002 no shutdown FlexConnect Local Switching用 (業務系通信)

29. 「Policy」が「Policy Profile」です。 Tags 配下のPolicy Tagとの混同に注意します。

30. Statusの有効化を忘れないでください。 Local Switching向け (業務系通信向け)では 一部を DISABLED に切り替えます。 設定項目 設定値 Name

    PolProf_OFFICE_Flex_Local Status ENABLED Central Switching DISABLED Central Authentication ENABLED Central DHCP DISABLED FlexConnect Local Switching用 (業務系通信)

31. FlexConnect Local Switching用 (業務系通信) 設定項目 設定値 VLAN/VLAN Group FLX_v3002 ※環境依存

    Local Switchingでは、 無線AP側 (Flex Profile)のVLANを指定します。

32. Policy Profile - ゲスト向け • メニュー: Configuration > Tags &

    Profiles > Policy • General タブ • Access Policies タブ 設定項目 設定値 備考 VLAN/VLAN Group WLC_v2001 ※環境依存 FlexConnect Central Switching用 (ゲスト通信) Policy Profileです。 Tags 配下のPolicy Tagとの混同に注意します。 設定項目 設定値 備考 Name PolProf_GUEST_Flex_Central Status ENABLED Statusの有効化を忘れないでください。 Central Switching ENABLED Central Switchingでは有効化します。 Central Authentication ENABLED Central DHCP ENABLED

33. CLI: Policy Profile - ゲスト向け wireless profile policy PolProf_GUEST_Flex_Central central

    dhcp central switching vlan WLC_v2001 no shutdown FlexConnect Central Switching用 (ゲスト通信)

34. FlexConnect Central Switching用 (ゲスト通信) Statusの有効化を忘れないでください。 Central Switching向けは 全て ENABLED のままです。

    設定項目 設定値 Name PolProf_GUEST_Flex_Central Status ENABLED Central Switching ENABLED Central Authentication ENABLED Central DHCP ENABLED

35. FlexConnect Central Switching用 (ゲスト通信) 設定項目 設定値 VLAN/VLAN Group WLC_v2001 ※環境依存

    Central Switchingでは、 WLC側 (vlan コマンド)のVLANを指定します。

36. WLAN - 業務系向け (1/2) • メニュー: Configuration > Tags &

    Profiles > WLANs • General タブ 設定項目 設定値 備考 Profile Name WLAN_OFFICE SSID OFFICE Profile Nameが自動入力されるため、書き換える のを忘れないでください。 WLAN ID 自動採番 or 任意のID CLIでは 98 Status ENABLED Statusの有効化を忘れないでください。 6 GHz ENABLED 業務系では社員に配布する端末を制御できるため、 6GHz帯を積極的に利用します。 5 GHz ENABLED 2.4 GHz ENABLED FlexConnect Local Switching用 (業務系通信) 次のスライドに続きます。

37. WLAN - 業務系向け (2/2) • メニュー: Configuration > Tags &

    Profiles > WLANs • Security タブ > Layer 2 タブ 設定項目 設定値 備考 認証方式 WPA3 Wi-Fi 6E (6GHz帯)を利用する際は、 WPA3が必要になります。 Fast TransitionのStatus Disabled WPA3のSAE使用時は無効化します。 Auth Key Mgmt SAEのみをチェック Pre-Shared Key 強固なパスワードを指定 FlexConnect Local Switching用 (業務系通信)

38. CLI: WLAN - 業務系向け wlan WLAN_OFFICE 98 OFFICE shutdown radio

    policy dot11 24ghz radio policy dot11 5ghz radio policy dot11 6ghz no security ft adaptive no security wpa wpa2 security wpa psk set-key ascii 0 TODO_CHANGE_PASSWORD no security wpa akm dot1x security wpa akm sae security wpa wpa3 security pmf mandatory no shutdown FlexConnect Local Switching用 (業務系通信) Pre-Shared Keyを修正してください。 WLAN ProfileのIDは適宜修正してください。

39. 業務系は 6 GHz を有効化します。 設定項目 設定値 Profile Name WLAN_OFFICE SSID

    OFFICE WLAN ID 自動採番 or 任意のID Status ENABLED 6 GHz ENABLED 5 GHz ENABLED 2.4 GHz ENABLED FlexConnect Local Switching用 (業務系通信)

40. FlexConnect Local Switching用 (業務系通信) 画面をスクロールして Pre-Shared Keyも設定します。 設定項目 設定値 認証方式

    WPA3 Fast TransitionのStatus Disabled Auth Key Mgmt SAEのみをチェック Pre-Shared Key 強固なパスワードを指定

41. WLAN - ゲスト向け (1/2) • メニュー: Configuration > Tags &

    Profiles > WLANs • General タブ 設定項目 設定値 備考 Profile Name WLAN_GUEST SSID GUEST Profile Nameが自動入力されるため、書き換えるのを 忘れないでください。 WLAN ID 自動採番 or 任意のID CLIでは 99 Status ENABLED Statusの有効化を忘れないでください。 6 GHz DISABLED 不特定多数の端末が繋がるため、新しめのWi-Fi 6Eは トラブルを避けるために無効化します。 5 GHz ENABLED 2.4 GHz ENABLED FlexConnect Central Switching用 (ゲスト通信) 次のスライドに続きます。

42. WLAN - ゲスト向け (2/2) • メニュー: Configuration > Tags &

    Profiles > WLANs • Security タブ > Layer 2 タブ 設定項目 設定値 備考 認証方式 WPA+WPA2 不特定多数が繋がるゲスト向けとなるため、普及して いる認証方式を選んでいます。 Auth Key Mgmt PSKのみをチェック Pre-Shared Key 強固なパスワードを指定 FlexConnect Central Switching用 (ゲスト通信)

43. CLI: WLAN - ゲスト向け wlan WLAN_GUEST 99 GUEST shutdown radio

    policy dot11 24ghz radio policy dot11 5ghz no radio policy dot11 6ghz security wpa psk set-key ascii 0 TODO_CHANGE_PASSWORD no security wpa akm dot1x security wpa akm psk no shutdown Pre-Shared Keyを修正してください。 WLAN ProfileのIDは適宜修正してください。

44. FlexConnect Central Switching用 (ゲスト通信) 2024年初頭時点でWi-Fi 6E (6GHz帯)は普及しきっていないので、 不特定多数に提供するゲスト向けは 6 GHz

    を無効化します。 設定項目 設定値 Profile Name WLAN_GUEST SSID GUEST WLAN ID 自動採番 or 任意のID Status ENABLED 6 GHz DISABLED 5 GHz ENABLED 2.4 GHz ENABLED

45. FlexConnect Central Switching用 (ゲスト通信) 画面をスクロールして Pre-Shared Keyも設定します。 設定項目 設定値 認証方式

    WPA+WPA2 Auth Key Mgmt SAEのみをチェック Pre-Shared Key 強固なパスワードを指定

46. Policy Tag • メニュー: Configuration > Tags & Profiles >

    Tags > Policy • General タブ • WLAN-POLICY Maps 設定項目 設定値 備考 Name PolTag_Common WLAN Profile ←→ Policy Profile 備考 WLAN_OFFICE ←→ PolProf_OFFICE_Flex_Local WLAN_GUEST ←→ PolProf_GUEST_Flex_Central Tags の配下にあるのが Policy Tag です。 Tags & Profiles 直下にある方は Policy Profile です。

47. CLI: Policy Tag wireless tag policy PolTag_Common wlan WLAN_OFFICE policy

    PolProf_OFFICE_Flex_Local wlan WLAN_GUEST policy PolProf_GUEST_Flex_Central

48. Tags の配下に「Policy Tag」があります。 混同注意: 「Policy」は「Policy Profile」です。

49. None

50. WLAN ProfileとPolicy Profileを マッピングして追加します。 WLAN Profile ←→ Policy Profile WLAN_OFFICE

    ←→ PolProf_OFFICE_Flex_Local WLAN_GUEST ←→ PolProf_GUEST_Flex_Central

51. 参考: 設定完了後のマッピング状態です。

52. Site Tag • メニュー: Configuration > Tags & Profiles >

    Tags > Site 設定項目 設定値 備考 Name • SiteTag_Tokyo • SiteTag_Osaka 設定対象の拠点に応じて、複数作成します。 AP Join Profile default-ap-profile デフォルトのProfileを流用します。 Enabled Local Site チェックの解除 (Uncheck) Flex Profile FlexProf_Common

53. CLI: Site Tag • 拠点 #1: 東京 (Tokyo)向け • 拠点

    #2: 大阪 (Osaka)向け wireless tag site SiteTag_Tokyo ap-profile default-ap-profile no local-site flex-profile FlexProf_Common exit wireless tag site SiteTag_Osaka ap-profile default-ap-profile no local-site flex-profile FlexProf_Common exit exit して「wireless tag site」から抜けておかないと、 次の「(config)# ap ####.####.####」コマンドの連続流し込みが失敗します。 「no local-site」で先にFlexConnect Modeにしたうえで、 Flex Profileを指定する必要があります。
54. None

55. Enable Local Site のチェックを外すと、 Flex Profile の選択ボックスが表示されます。 設定項目 設定値 Name

    • SiteTag_Tokyo • SiteTag_Osaka AP Join Profile default-ap-profile Enabled Local Site チェックの解除 (Uncheck) Flex Profile FlexProf_Common

56. 必要な拠点分を作成します。

57. 無線APへのTagの割り当て • メニュー: Configuration > Wireless > Access Point •

    設定対象のAccess Pointを選択してTagの割り当てを変更します。 • Tagの割り当てを変更すると再Joinが発生します。 • 本設定は、メニュー: Configuration > Tags & Profiles > Tags > AP > Static に 保存されます。 設定項目 設定値 備考 Policy Tag Name PolTag_Common Site Tag Name • SiteTag_Tokyo • SiteTag_Osaka 設置拠点に紐付くSite Tagを指定します。 RF Tag Name default-rf-tag デフォルトのRF Tagを流用します。 後述の6GHz帯のIn Band方式の設定が紐付いています。

58. CLI: 無線APへのTagの割り当て ap ####.####.#### policy-tag PolTag_Common rf-tag default-rf-tag site-tag SiteTag_Tokyo

    設定対象の無線APのMACアドレスを指定します。

59. Web UIからの無線APのTagの割り当ての変更は、 Wireless配下のAccess Pointsのメニューからできます。

60. 設定対象のAccess Point分だけTagの割り当てを変更します。

61. 設定項目 設定値 Policy Tag Name PolTag_Common Site Tag Name •

    SiteTag_Tokyo • SiteTag_Osaka RF Tag Name default-rf-tag • 各種Tagの割り当てを変更します。 • RF: default-rf-tag は後述の 6GHz設定に関わってきます。

62. 先ほどの設定変更は、本設定画面に反映されます。

63. 6GHzのIn Band方式 • メニュー: Tags & Profiles > Tags >

    RF/Radio > RF • Name: default-rf-profile-6ghz の 802.11ax タブ 設定項目 設定値 備考 6 GHz Discovery Frames 設計に応じて適宜変更します。 • Broadcast Probe Response もしくは • FILS Discovery デフォルト: None

64. RF Tagのデフォルト設定から、 RF Profileのデフォルト設定を参照しています。 RF Tag RF Profile 目的の設定はデフォルトのRF Profileの

    802.11ax タブにあります。

65. CLI: 6GHzのIn Band方式 • 設計に応じて 6 GHz Discovery Frames を変更します。どちらか一

    方を適宜設定してください。 • Broadcast Probe Response • FILS Discovery ap dot11 6ghz rf-profile default-rf-profile-6ghz dot11ax bcast-probe-response ap dot11 6ghz rf-profile default-rf-profile-6ghz dot11ax fils-discovery

66. AP Operational Configuration Viewer • 本設定時のTagやProfileの紐付きの視覚化のために、参考情報として 掲載します。

67. 設定の保存 • 設定が想定通り動作しているのを確認したら、設定の保存を忘れないよ うにしてください。

68. End Of File 本スライドが資料の最後です。