Catalyst 9800-CL (vSphere版)をvCenterからOVAファイルでデプロイ ～検証目的の物理版寄せの設定～/Deploying_Catalyst 9800-CL_vSphere_Edition_via_vCenter_with_a_Physical-like_Configuration_for_Lab_Use

Transcript

1. Catalyst 9800-CL (vSphere版)を vCenterからOVAファイルでデプロイ ～検証目的の物理版寄せの設定～ 初版作成日: 2025/10/26 作成者: MyHomeNWLab

2. 本資料に関して • Catalyst 9800-CL (vSphere版)のセットアップをvCenterからOVAファイ ルのデプロイで行うための参考手順です。 • 特記事項として、仮想版であるC9800-CLを物理版に寄せる設定を行いま す。本番環境は物理版で、検証環境は仮想版のケースがあるため、「管理 Interface」を対象に仮想版で物理版に近い設定を再現します。その背景

   も前提知識として本資料の中で扱っております。 • 注意事項として、物理版寄せの設定は、公式のドキュメントでは紹介されて いないため、一般的ではありません。本資料ではあくまでも検証目的で物理 版に似せるようにします。

3. ターゲットの整理 • 仮想基盤のデプロイ方法 • vSphere • vCenter • OVA ←

   本資料のデプロイ方法 • ISO • ESXi • OVA • ISO • KVM, Microsoft Hyper-V, etc. • C9800-CL (vSphere版)の構成 • 仮想版の一般的な構成 (管理系のVRF無し) • 物理版寄せの設定 ← 本資料の構成 ※注記: 一般的ではありません!!

4. vCenterとESXiでのデプロイの違い vCenterからのOVAファイルのデプロイでは、代表的なパラメータを指定可能です。ESXiではカスタマイズはできません。 管理系IPアドレスやルーティングを予め指定しておけば、デプロイ直後からSSHやWeb UIで接続できるようになります。 そのため、基本的にはvCenterからデプロイの方が扱いやすいです。

5. トピック • 本資料で扱うトピックをリストします。 1. 前提知識 2. vCenterからのOVAファイルのデプロイ 3. Day 0

   Express Setupのスキップ 4. 物理版寄せの設定 5. WLCとしての基本設定

6. 本手順の検証時の環境 • vSphere vCenter Version: 7.0.3.00700 • vSphere ESXi Version:

   7.0 Update 3 • C9800-CL Version: 17.15.3

7. 前提知識

8. C9800-CL (vSphere版)をデプロイする上での前提知識 • Catalyst 9800シリーズは物理版と仮想版で特徴が異なります。更に 同じ仮想版の中でも、vSphere版に体表されるPrivate Cloudと、 AWSやAzureに代表されるPublic Cloudの種別でも特徴が異なりま す。

   • 本資料では前提知識として、vSphere版のデプロイに必要な要素を紹 介します。

9. C9800-CLとNetwork Adapterのマッピング • vSphere版のCatalyst 9800-CLをOVAからデプロイすると、3つのInterfaceが搭載されます。 vSphere ESXi Virtual Machine: C9800-CL

   GigabitEthernet1 GigabitEthernet2 GigabitEthernet3 Network Adapter 1 Network Adapter 2 Network Adapter 3 vSphereのVirtual Machine ←→ C9800-CL Network Adapter 1 ←→ GigabitEthernet1 Network Adapter 2 ←→ GigabitEthernet2 Network Adapter 3 ←→ GigabitEthernet3

10. vCenterからOVAデプロイ時のNetwork関連設定 C9800-CL ←→ vSphereのVirtual Machine vSphereのPort Group GigabitEthernet1 ←→ Network

    adapter 1 環境に応じたものを指定 GigabitEthernet2 ←→ Network adapter 2 環境に応じたものを指定 GigabitEthernet3 ←→ Network adapter 3 環境に応じたものを指定 「Destination Network」は「Port Group」に該当します。 vSphereからデプロイする際のNetworkのマッピングの設定画面です。 事前にC9800-CL構築担当者と仮想基盤担当者で認識合わせや調整が必要な個所です。

11. C9800-CLのInterfaceと役割について • C9800-CLの3つのInterfaceにどのような役割を割り当てるかを事前 に設計しておく必要があります。 • 本資料ではドキュメント上にも載っている典型的な例で構築します。 • また後述のスライドで各役割について個別解説も行います。

12. C9800-CLのInterfaceに持たせる役割の典型的な例 役割 用途 Out Of Band (OOB) / 管理系Interface 物理版のService

    Port (SP)に相当します。 WMI (Wireless Management Interface) 無線APとCAPWAPで通信する役割を持ちます。 Central Switching WLCを介するデータ通信を転送します、 HA Interface 物理版のRedundancy Port (RP)に相当します。 C9800-CL 割り当ての例 GigabitEthernet1 (Network Adapter 1) 役割: Out of Band / 管理系Interface Port種別: Routed Port GigabitEthernet2 (Network Adapter 2) 役割: WMI & Central Switching Port種別: Switch Port GigabitEthernet3 (Network Adapter 3) 役割: HA Interface Port種別: RP (Redundancy Port) 一般的な割り当て方の例 2つの役割を兼任

13. 仮想版にあえて「物理版寄せ」の設定をする背景 • 仮想版と物理版で管理系Interfaceの扱いが異なっています。 • 物理版には管理系VRFがあるため、ルーティング テーブルが分離されている特徴があります、しかし、 仮想版には管理系VRFはありません。 • 本資料では検証環境のC9800-CLを検証用途だと割り切って、「本番環境の物理版に寄せるために 管理系VRFを設定する」のが主旨です。

    仮想版C9800-CL C9800-CL# show running-config <snip> interface GigabitEthernet1 no switchport ip address 192.0.2.241 255.255.255.0 negotiation auto ! <snip> ip route 172.16.0.0 255.255.0.0 198.51.100.254 <snip> C9800-40# show running-config <snip> interface GigabitEthernet0 ip vrf forwarding Mgmt-intf ip address 192.0.2.241 255.255.255.0 negotiation auto ! <snip> ip route 0.0.0.0 0.0.0.0 198.51.100.254 ip route vrf Mgmt-intf 0.0.0.0 0.0.0.0 192.0.2.254 <snip> 物理版C9800-40 物理版には管理系VRFがあります!!

14. 物理版と仮想版の管理系ポートの違い 拡大 物理版C9800-40の実機画像 (BX Public Collectionより) 仮想版C9800-CL C9800-CL# show running-config

    <snip> interface GigabitEthernet1 no switchport ip address 192.0.2.241 255.255.255.0 negotiation auto ! <snip> ip route 172.16.0.0 255.255.0.0 198.51.100.254 <snip> C9800-40# show running-config <snip> interface GigabitEthernet0 ip vrf forwarding Mgmt-intf ip address 192.0.2.241 255.255.255.0 negotiation auto ! <snip> ip route 0.0.0.0 0.0.0.0 198.51.100.254 ip route vrf Mgmt-intf 0.0.0.0 0.0.0.0 192.0.2.254 <snip> 物理版C9800-40 • 基本的にはSwitch PortをRouted Port化します。 • 管理系VRFが無しです。VRFの設定自体はできます。 • Routed Portになっています。 • 管理系VRFがあります。 SP = Service Port = GigabitEthernet0

15. 管理系VRFの有無に伴うルーティングの考慮 仮想版C9800-CL Gi1 Gi3 Gi2 SVI /WMI 作業端末 無線LAN端末 サービス系

    L3 Device 管理系 L3 Device 無線AP ip route 172.16.0.0 255.255.0.0 172.16.0.254 ip route 0.0.0.0 0.0.0.0 10.0.0.254 管理系NW 172.16.0.0/16 拠点NW 10.0.0.0/8 Internet Internet 0.0.0.0/0 【仮想アプライアンス】 物理版C9800-40 Gi0 RP Po1 VRF SVI /WMI 作業端末 無線LAN端末 サービス系 L3 Device 管理系 L3 Device 無線AP ip route 0.0.0.0 0.0.0.0 172.16.0.254 ip route vrf Mgmt-intf 0.0.0.0 0.0.0.0 10.0.0.254 管理系NW 172.16.0.0/16 拠点NW 10.0.0.0/8 Internet Internet 0.0.0.0/0 【物理アプライアンス】 VRFなし 宛先「0.0.0.0/0」をVRFあり・なしで設定しています。 VRFなしのため、ルートの重複を避けています。

16. 同一InterfaceにおけるWMIとCentral Switchingの役割の兼任 • WMI (Wireless Management Interface)は無線APを収容する役割を持ちます。vSphere版のC9800-CLの場合はSVI (Switched Virtual Interface)に役割を持たせるのがBest

    Practicesです。そのため、Switch Portが必要になります。 • Central Switchingは複数のVLANに跨るデータ通信をWLCを介して通す必要があるため、Switch Portが必要になります。 仮想版C9800-CL Gi2 Switch Port SVI /WMI 無線LAN端末 無線AP Internet SVIのWMIで無線APを収容しつつ、 Central Switchingされたデータ通信を通しています。 SSID: FreeWi-Fi VLAN: 111 SSID: VIP-Lounge VLAN: 222

17. HA Interface (RP相当)とvSphereのvSwitch • 仮想版であるC9800-CLのHA Interfaceは、物理版でのRP相当の 役割となります。 • HA Interface向けのvSwitchは専用に用意するのが推奨されてい

    ます。 • 検証環境の用途でも、構成的に実現が可能であれば、本番環境に相 当する障害試験を実施できるように予めvSwitchを分けるのを検討する のが良いです。 ※PR: Redundancy Port

18. vSphereのvSwitchの観点 vSphere ESXi Virtual Machine: C9800-CL GigabitEthernet1 GigabitEthernet2 GigabitEthernet3 Network

    adapter 1 Network adapter 2 Network adapter 3 Port Group [ Management ] Port Group [ Service ] Port Group [ HA ] vSwitch0 vSwitch1 vmnic0 vmnic1 HA Interface HA Interface用のvSwitchは 専用に用意するのが推奨されます。 別々のvSwitch

19. 参考情報: HA Interface (RP)のvSwitchを別にする観点 - 英語 • Configure High Availability

    SSO on Catalyst 9800 | Quick Start Guide - Cisco • https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless- controllers/220277-configure-high-availability-sso-on-catal.html • Along with the configuration of these parameters, another optimization can help with such a behavior in the HA SSO stack. For physical appliance, hardware allows to connect a chassis to another usually using a single wire. In a virtual environment, the interconnection of the RP port for each chassis must be made by a virtual switch (vSwitch), which can once again introduce latency compared to physical connections. Using a dedicated vSwitch to create the RP link is another optimization that can prevent HA keepalives lost due to latency. This is also documented in the Cisco Catalyst 9800-CL Wireless Controller for Cloud Deployment Guide. Therefore, the best is to use a dedicated vSwitch for RP link between the 9800-CL VMs and make sure no other traffic interferes with it.

20. 参考情報: HA Interface (RP)のvSwitchを別にする観点 - 日本語翻訳 • Catalyst 9800でのハイアベイラビリティSSOの設定|クイックスタートガイド -

    Cisco • https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series- wireless-controllers/220277-configure-high-availability-sso-on-catal.html • これらのパラメータの設定に加えて、別の最適化を行うことで、HA SSOスタックでこのような動作を実現 できます。物理アプライアンスでは、ハードウェアにより、通常は1本のワイヤを使用してシャーシを別の シャーシに接続できます。仮想環境では、各シャーシのRPポートの相互接続は仮想スイッチ (vSwitch)で行う必要があり、物理接続と比較して遅延が再び発生する可能性があります。専用 のvSwitchを使用してRPリンクを作成する方法も、遅延によるHAキープアライブの喪失を防ぐた めの最適化です。これは『クラウド向けCisco Catalyst 9800-CLワイヤレスコントローラ導入ガイド』に も記載されています。したがって、9800-CL VM間のRPリンク専用のvSwitchを使用し、他のトラフィッ クがこのリンクに干渉しないようにするのが最善の方法です。

21. Catalyst 9800の管理系Interface (OOB) • 物理アプライアンスは「Service Port (SP)」として「GigabitEthernet0」が 「VRF: Mgmt-intf」として割り当たっています。 •

    しかし、仮想アプライアンスのC9800-CL (vSphere版)は、専用の管理系 Interfaceを予め持っていません。そのため、任意のInterfaceに管理系の役割を持 たせます。 • またC9800-CLはデフォルトでVRFが設定されないため、「0.0.0.0/0」のルーティン グを管理系とサービス系で設定しようとすると、ルートが重複するため留意が必要です。 ※OOB: Out Of Band

22. 仮想版C9800-CLにおけるRP (Redundancy Port) 拡大 物理版C9800-40の実機画像 (BX Public Collectionより) 仮想版C9800-CLの設定画面 仮想版のC9800-CLにはRPがないため、

    InterfaceのいずれかをHA Interfaceとして動作させます。 物理版にはRPがあります。

23. C9800-CLにおけるHA Interface設定時の挙動 • 仮想版C9800-CLのHA Interfaceは物理版のRedundancy Port (RP)に相当します。 • HA Interfaceを適用すると、RPポートの扱いとなり「running-config」からInterfaceが消えます。

    • HA Interfaceの指定例: WLC# show running-config <snip> interface GigabitEthernet1 no switchport ip vrf forwarding Mgmt-intf ip address 192.0.2.241 255.255.255.0 negotiation auto ! interface GigabitEthernet2 switchport trunk native vlan 4094 switchport mode trunk negotiation auto ! interface GigabitEthernet3 negotiation auto ! <snip> WLC# show running-config <snip> interface GigabitEthernet1 no switchport ip vrf forwarding Mgmt-intf ip address 192.0.2.241 255.255.255.0 negotiation auto ! interface GigabitEthernet2 switchport trunk native vlan 4094 switchport mode trunk negotiation auto ! interface GigabitEthernet3 negotiation auto ! <snip> WLC# chassis redundancy ha-interface GigabitEthernet3 HA Interfaceの指定前 (Before) HA Interfaceの指定後 (After) HA Interfaceは非表示になります。

24. vSwitchとPort GroupのSecurity設定 • 「WMI向けのSVI」や「Central Switching」の用途を持つInterfaceは、ト ラフィックを捌けるようにSecurityの次の設定を「Accept」にします。 • vSwitch & Port

    Group a) Promiscuous mode: Accept b) Forged transmits: Accept

25. vSwitchとPort GroupのSecurityの設定例 ※ESXi側での設定画面 Port Group vSwitch 「Inherit from vSwitch」の場合は、 その名称の名の通りに、vSwitchの設定を引き継ぎます。

    本例の場合は結果的に「Accept」となります。

26. 参考情報: vSphere Doc v7.0 • Promiscuous Mode Operation • https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-

    security-7-0/securing-vsphere-networking/securing-vsphere-standard- switches/promiscuous-mode-operation.html • MAC Address Changes • https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere- security-7-0/securing-vsphere-networking/securing-vsphere-standard-switches/mac- address-changes.html • Forged Transmits • https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere- security-7-0/securing-vsphere-networking/securing-vsphere-standard-switches/forged- transmissions.html

27. C9800-CLのSizing • 仮想版のC9800-CLは、利用規模に応じたOVA template sizeを選択する必要があります。 1) まず前提として、必要な無線AP数と端末数 (Client)を収容できるものを選定します。 2) 注意点として、Ultra-Low

    Profile (100 Aps, 1K Clients)は制限があるため、特段の理由が無い 限りは選びません。 3) 検証用途の場合は、WNCd数の考慮要素も加わります。 ← Ultra-Low Profile (制約あり)

28. Ultra-Low Profile • Ultra-Low Profileには制約があります。特に代表的な制約は下記になります。 • Ultra-Low ProfileではLocal modeはサポートされていません。FlexConnect modeの

    Local Switchingのみがサポートされています。 • 冗長化のHA SSOはサポートされていません。 • Ultra-Low Profileは明確な理由がある場合のみ選択するようにしてください。 • 検証環境のリソースが少なくて、妥協的にUltra-Low Profileを選択せざるを得ないケースもありうるか もしれません。しかし、本番導入のプロジェクトに関係あるならば、リスク低減のために検証環境に追 加投資するように稟議を通すべきです。 【関連ドキュメント】 Cisco Catalyst 9800-CL Cloud Wireless Controller Installation Guide - Overview of Cisco Catalyst 9800 Wireless Controller for Cloud [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/9800-cloud/installation/b-c9800-cl-install- guide/controller_overview.html#reference_z4m_wv1_gyb

29. 意図しないUltra-Low Profileでのデプロイ 若手メンバー C9800初心者 v17.15.1: Ultra-Low Profileサポート済み 検証環境だからリソース消費が少ない方が良いはずだ!! 100 APs,

    1K Clients!! 君に決めた!! 意図しない Ultra-Low Profileの選択 ベテラン 経験を積むためにC9800-CLのデプロイは若手に任せよう。 社内資料に参考手順 (Ultra-Low Profile考慮済み)もあるし。 【要件】 ・FlexConnect mode Central & Local Switching ・HA SSO ... ＼ 私はUltra-Low Profileです。 ／

30. C9800-CLのSizingの考慮点 • C9800-CLを検証用途で利用する場合は、検証環境のリソースが限られているので特に性 能を重視しない可能性が想定されます。 • しかし、Catalyst 9800のアーキテクチャにはWNCd (Wireless Network Control

    daemon)と呼ばれるデーモン (プロセス)の数が関わってきます。 • WNCdの数は物理版だとモデルによって異なり、仮想版のC9800-CLはSizingによって異な ります。 • 検証目的のC9800-CLのSizingにおいては、 「WNCdが1つ」と「WNCdが複数」の観点 が重要になります。 • 本番環境はC9800-40 (WNCd数: 4)を導入するものの、検証環境は予算の関係で C9800-CLを採用するようなケースの場合、「WNCdが複数」になるようにサイジングするかを 検討してください。

31. WNCd (Wireless Network Control daemon) • Catalyst 9800にはWNCdと呼ばれるデーモン (プロセス)があります。 •

    モデルによってWNCdのプロセス数は異なり、WNCdプロセスが1つしかないモデルもあります。 • 複数のWNCdプロセスを跨ぐ通信となるとローミング性能に影響が出るため、同一拠点内の 無線APは同じWNCdのプロセスに割り当てられるように設計します。 • WNCdには複数の要素が関係するため、詳細はBest Practicesのドキュメントを読んでくだ さい。 • URL: https://www.cisco.com/c/en/us/products/collateral/wireless/catalyst -9800-series-wireless-controllers/guide-c07-743627.html

32. Catalyst 9800のWNCdの数 Model WNCd C9800-L 1 C9800-CL (Small) 1 C9800-CL

    (Medium) 3 C9800-40 5 CW9800M 5 C9800-CL (Large) 7 C9800-80 8 CW9800H1 8 CW9800H2 8 仮想アプライアンスのC9800-CLは、サイジングによってWNCdの数が異なります。 検証用途だと、無線AP数が端末数が少なくなるので、 a) リソースの節約の観点では Small が良いかもしれません。 b) しかし、WNCdを意識した検証をするのであれば、 Medium や Large を検討すべきです。

33. vSphere版Catalyst 9800-CLのWNCd数 wlc01#show platform software system all Controller Details: =================

    VM Template: medium Throughput Profile: low AP Scale: 3000 Client Scale: 32000 WNCD instances: 3 <snip> OVA template size VM Template Throughput Profile WNCD instances Ultra-Low ultra-low low 1 Small (Low Throughput) small low 1 Small (High Throughput) small high 1 Medium (Low Throughput) medium low 3 Medium (High Throughput) medium high 3 Large (Low Throughput) large low 7 Large (High Throughput) large high 7 Large (App Heavy) large high 7 Large (App Heavy High Throughput) large high 7 VM Template / Scale WNCD instances Small 1 Medium 3 Large 7

34. C9800-CLのSizing (Version 17.15.3) Sizing Description VM Template 備考 100 APs,

    1K Clients 注記: Ultra-Low Profileで制限あり 2 vCPU, 6 GB RAM, 3 VNICs, 32 GB Disk ultra-low Ultra-Low Profileに該当します。 制約があるため、特段の理由が無い限りは 選ばないでください。 1K APs, 10K Clients 4 vCPU, 8 GB RAM, 3 VNICs, 32 GB Disk small WNCd数:1 1K APs, 10K Clients, High Throughput 7 vCPU, 8 GB RAM, 3 VNICs, 32 GB Disk small WNCd数:1 3K APs, 32K Clients 6 vCPUs, 16 GB RAM, 3 VNICs, 32 GB Disk medium WNCd数:3 3K APs, 32K Clients, High Throughput 9 vCPUs, 16 GB RAM, 3 VNICs, 32 GB Disk medium WNCd数:3 6K APs, 64K Clients 10 vCPUs, 32 GB RAM, 3 VNICs, 32 GB Disk large WNCd数:7 6K APs, 64K Clients, High Throughput 13 vCPUs, 32 GB RAM, 3 VNICs, 32 GB Disk large WNCd数:7 6K APs, 64K Clients, App Heavy 16 vCPUs, 40 GB RAM, 3 VNICs, 32 GB Disk large WNCd数:7 6K APs, 64K Clients, App Heavy High Throughput 19 vCPUs, 40 GB RAM, 3 VNICs, 32 GB Disk large WNCd数:7

35. vCenterからのOVAファイルのデプロイ

36. OVAファイルのダウンロード • Software DownloadからOVA (拡張子 .ova)ファイルをダウンロードします。 • Downloads Home /

    Wireless / Wireless LAN Controller / Standalone Controllers / Catalyst 9800 Wireless Controllers for Cloud / Catalyst 9800-CL Wireless Controller for Cloud • https://software.cisco.com/download/home/286322605/type/28204 6477/ • 本資料では下記のOVAファイルを利用しています。 File Information File Name Cisco Catalyst 9800 Wireless Controller for Cloud - Hyper-V / ESXi / KVM C9800-CL-universalk9.17.15.03.ova

37. OVAデプロイ時の設定項目 • OVAファイルからのデプロイ時に考慮が必要な設定項目をリストします。 設定項目 設定値 備考 Virtual Machine Name 例:

    C9800-CL_v17.15.3_wlc01 仮想マシン名を指定します。 筆者の場合は、検証用途で複数のVersionを構築するため、 Version情報を付与しています。 Select a location for the virtual machine. 例: Datacenter 保存先のFolderを指定します。 Select a compute resource 例: esxi01.lab.test 仮想マシンを稼働させるためのESXiホストを選択します。 Select a deployment configuration 例: 1K APs, 10K Clients (VM Template: small) チーム内で認識合わせたした上で、デプロイしてください。 Ultra-Low Profileは制約がある点に留意してください。 Select storage 例: datastore01 ストレージの種別 (例: Local Disk, iSCSI)や、残りの容量を留 意して選択します。 Select virtual disk format 例: Thin Provision 検証目的の場合は、容量節約の観点でThin Provisionにするの を検討します。 GigabitEthernet1 例: PortGroup_Mgmt Gi1は一般的に管理系Interfaceの役割を担います。 GigabitEthernet2 例: PortGroup_Trunk Gi2は一般的にWMI & Central Switchingの役割を担います。 GigabitEthernet3 例: PortGroup_WLC_RP Gi3は一般的にRPの役割を担います。 本項目とは別に、C9800-CLのコンフィグ (startup-config/running-config)に影響する「Customize template」もあり、別スライドに記載しています。

38. Step 1. Deploy OVF Template 「Deploy OVF Template」よりOVAファイルのデプロイを開始します。

39. 本例ではOVAファイルを作業端末からアップロードしています。 Step 2. Select an OVF template

40. 仮想マシン名を指定します。 任意のFolderを指定します。 Step 3. Select a name and folder

41. 仮想マシンを稼働させるためのESXiホストを指定します。 Step 4. Select a compute resource

42. Step 5. Review details • Versionが意図したものか確認します。 • Size on diskの情報より容量が足りそうか確認します。

43. Step 5. Select a deployment configuration Sizingに応じて適切なものを指定します。 ← Ultra-Low Profile

    (制約あり)

44. 「100 APs, 1K Clients」(Ultra-Low Profile)を選んだ方へ • 本当にUltra-Low Profileを使うんだな!? • 制約を把握した上で、意図的に指定しているんだな？

    • チーム内で確認したんだな？ • いいのか!? この先は戻れなくなるぞ!! • 最悪、再構築だ...検討を祈る!! Ultra-Low Profileには制約があり、 • FlexConnect modeのLocal Switchingのみがサポートされています。 • 冗長化のHA SSOはサポートされていません。

45. Step 6. Select storage ① ② ② 検証用途の場合は、ディスク容量の節約のために 必要に応じて「Thin Provision」を選択します。

    ① 仮想マシンがデプロイされるDatastoreを選択します。

46. Step 7. Select networks C9800-CL ←→ vSphereのVirtual Machine vSphereのPort Group

    GigabitEthernet1 ←→ Network adapter 1 環境に応じたものを指定 GigabitEthernet2 ←→ Network adapter 2 環境に応じたものを指定 GigabitEthernet3 ←→ Network adapter 3 環境に応じたものを指定 環境に応じたものを指定します。 【参考情報】

47. vCenterからOVAデプロイ時のCustomize template 1. Basic Management Setup hostname wlc01 enable secret

    9 $9$uuBPcmagcVXP0.$DxZJGIxiKny4Bmn6fsydsO9jfs1gNnUBQYd8w4s7Gvc 1.1 Hostname 例: wlc01 Hostname of this wireless lan controller 1.1 Hostname 例: wlc01 WLCのHostnameを指定します。 1.2 Enable Password 例: Pa$$w0rd 特権モードになるためのパスワードを指定します。 SCRYPT HASHEDで格納されます。 ↓ 1.2 ← 1.1 【コンフィグとの関連性】 【参考情報】 (config)#enable secret ? 0 Specifies an UNENCRYPTED password will follow 5 Specifies a MD5 HASHED secret will follow 8 Specifies a PBKDF2 HASHED secret will follow 9 Specifies a SCRYPT HASHED secret will follow <0-9> Encryption types not explicitly specified LINE The UNENCRYPTED (cleartext) 'enable' secret level Set exec level password (config)#

48. vCenterからOVAデプロイ時のCustomize template 2. Device Management/Service Interface Configuration interface GigabitEthernet1 no

    switchport ip address 192.0.2.241 255.255.255.0 negotiation auto ! ip route 0.0.0.0 0.0.0.0 GigabitEthernet1 192.0.2.254 設定項目 設定値 備考 2.1 Device Management/Service Interface デフォルト値: GigabitEthernet1 管理系Interface / Out Of Band (OOB) / Service Port を指定します。 一般的にはデフォルト値のままにします。 2.2 Device Management/Service Interface IPv4 Address/Netmask 例: 192.0.2.241/24 例: 192.0.2.241 255.255.255.0 「2.1」のInterfaceに割り当てるIPv4 Addressと Netmaskを指定します。 DHCPの場合は「dhcp」を指定します。 2.3 Device Management/Service Interface IPv4 Gateway 例: 192.0.2.254 「2.1」のInterfaceに対応するGatewayを指定しま す。 2.4 Remote Device Management/Service Network Route/Netmask 例: 0.0.0.0 例: 0.0.0.0/0 「2.1」に対するルーティングを指定します。 Default RouteはNetmask部分が未指定の 「0.0.0.0」も受け入れるようになっています。 ↓ 2.4 ↓ 2.1 ↓ 2.3 ← 2.2 ← 2.1 【コンフィグとの関連性】 「VRFなし」のためルーティング設計に留意が必要です。 対象のInterfaceが「no switchport」(Routed Port)に設定されます。 (vCenterではなく、)ESXiからデプロイする場合はデフォルトはSwitch Portのため差異となります。

49. vCenterからOVAデプロイ時のCustomize template 3. User login Configuration username admin privilege 15

    secret 9 $9$zMJ6LlJmZIudDk$jFL3t1ikuXSR3PqEgsNYJ2OCy4wABKFofTTPfxanVVw license udi pid C9800-CL-K9 sn 94TSWI79AYW pnp profile pnp_cco_profile transport https host devicehelper.cisco.com port 443 remotecert RXC_Trustpool pnp auth-token 0 Pa$$w0rd 設定項目 設定値 備考 3.1 Login Username 例: admin WLCのLogin Userを指定します。 privilege 15 のUserとして作成されます。 3.2 Login Password 例: Pa$$w0rd WLCのLogin Passwordを指定します。 Serial Number for the C9800-CL Instance 基本的には「指定を無し (ランダム)」にします。 代表的なユース ケースとしては、仮想マシンの再構築時にSerial Numberを引き継ぎたい場合に、明示的に指定します。 PnP Token 基本的にはWLCでPnPは利用しないため、指定は無しにします。 ← Serial Number ↑ 3.1 ↑ 3.2 【コンフィグとの関連性】 ← PnP Token PnP Tokenの指定時のみ

50. Step 8-1. Customize template 先のスライドを参考に情報を整理して入力します。 例: wlc01 例: Pa$$w0rd ※再入力

51. Step 8-2. Customize template 先のスライドを参考に情報を整理して入力します。 例: 192.0.2.241/24 例: 192.0.2.254 例:

    0.0.0.0/0 ← 一般的にデフォルト値のまま

52. Step 8-3. Customize template 先のスライドを参考に情報を整理して入力します。 例: admin 例: Pa$$w0rd ※再入力

53. Step 9. Ready to complete 全体的に設定を見直します。

54. 任意: OVAデプロイ直後の仮想マシンのSnapshotの取得 • 検証環境の場合は、OVAデプロイ直後の時点に戻せるようにSnapshot を適宜取得します。 • この後に控えている「物理版寄せの設定」の手順では、手動で設定変更 が必要になる箇所があるため、Typoなどを含めて失敗した場合に、作業 前の状態に戻せるようにしておきます。

55. 任意:『OVAデプロイ直後』の仮想マシンのSnapshotの取得 • Snapshotを取得する際は、「Name」や「Description」を分かりやすい記載をしてください。 • 後からSnapshotを戻そうとしても、どの時点に戻すか判断できないと意味が薄れてしまうため。

56. Step 10. Virtual Machine デプロイが完了したら、必要に応じてSnapshotを取っておき、 デプロイ完了時点までに戻せるようにしておくと検証がしやすいです。 ※備考: SnapshotはBackupではありません。 Snapshotの取得を任意で実行後は、仮想マシンを起動させます。

57. OVAデプロイ直後の設定のバックアップ • 次の手順を行う前に、SSHで接続して現状の設定情報を控えておくと、 次の手順で差分比較が行いやすくなります。 terminal length 0 show running-config terminal

    no length

58. Day 0 Express Setupのスキップ

59. Day 0 Express Setupのスキップ • Day 0 Express Setupはセットアップ ウィザードの形式で基本的な設

    定ができます。まず慣れないうちはスキップしないのが無難です。 • 何故なら、C9800-CLの場合は物理版と異なって、AP Certificateの 生成が必要であり、Day 0 Express Setupの中で生成する手順があ るためです。 • しかしながら、本手順は「物理版寄せ手順」をシンプルにするためにスキッ プします。

60. 参考情報: Day 0 Express Setupのスキップ • 特に何も設定していない状態だと、Web UIに接続した際に「Day 0 Express

    Setup」の 簡易セットアップ ウィザードが表示されます。 • 手順をシンプルにするため本参考手順ではスキップします。 「Configuration Setup Wizard」 = 「Day 0 Express Setup」 ログイン直後

61. Day 0 Express SetupのスキップのCLI設定 v17.3.1以上 (最近のVersion) v17.3.1以前 (古いVersion) configure terminal

    wireless country J4 end configure terminal ap dot11 5ghz shutdown y ap dot11 24ghz shutdown y ap country J4 y no ap dot11 5ghz shutdown no ap dot11 24ghz shutdown end Day 0 Express SetupをスキップのトリガーになるCLI設定はVersionによって異なります。 スキップのトリガー自体は「ap country」コマンドだけですが、 設定条件を満たすために”一時的”に他の設定を変更して、 それを元に戻す手順にしています。 ↓ 本資料では v17.15.3 を想定しているため、v17.3.1以上の手順を実施します。

62. 物理版寄せの設定

63. 物理版寄せの設定 • 物理版では管理系Interfaceに「VRF: Mgmt-intf」が設定されてい ます。しかしながら、仮想版ではVRFは設定されていません。 • そのため、本番環境は物理版で、検証環境は仮想版の場合は、VRFの 設定を似せたくなるケースがあります。 • 本手順は物理版に寄せるための設定です。

64. 現状の設定の確認 • 現状の設定に依存するため、事前に設定状況を確認します。 show running-config interface GigabitEthernet1 show running-config |

    include ip route wlc01# show running-config interface GigabitEthernet1 Building configuration... Current configuration : 107 bytes ! interface GigabitEthernet1 no switchport ip address 192.0.2.241 255.255.255.0 negotiation auto end wlc01# wlc01# show running-config | include ip route ip route 0.0.0.0 0.0.0.0 GigabitEthernet1 192.0.2.254 wlc01# ← 本手順では管理系が「Gi1」である前提になっています。 ← 「ip vrf forwarding」の設定がなく、「VRFなし」の状態です。 ← 「VRFなし」のルーティングです。「VRFあり」に書き換えます。 赤字の部分がOVAデプロイ時の指定によって異なります。

65. 物理版寄せの管理系VRFの設定 configure terminal ip vrf Mgmt-intf ip route vrf Mgmt-intf

    0.0.0.0 0.0.0.0 #.#.#.# interface GigabitEthernet1 ip vrf forwarding Mgmt-intf ip address #.#.#.# #.#.#.# no shutdown ! no ip route #.#.#.# #.#.#.# GigabitEthernet1 #.#.#.# end write memory ← 管理系用のVRFを作成します。 ← 予め「VRFあり」の管理系用のルーティングを追加します。 ← 「ip vrf forwarding」を設定した段階で、 「ip address」の設定が消えるため再設定します。 ← 「VRFなし」の古いルーティングを削除します。

66. WLCとしての基本設定

67. WMIの設定 configure terminal interface GigabitEthernet2 switchport switchport mode trunk switchport

    trunk native vlan 4094 switchport trunk allowed vlan all no shutdown ! vlan ### interface Vlan### ip address #.#.#.# #.#.#.# no shutdown ! ip route 0.0.0.0 0.0.0.0 #.#.#.# wireless management interface Vlan### end ← 本手順では「WMI」と「Central Switching」の役割が 「Gi2」である前提になっています。 ← Native VLANは適宜指定します。 筆者はセキュリティ面で未使用のVLANを割り当てています。 ← WMI用のVLANを作成します。 ← WMI用のSVIを作成します。 ← WMI用のIPアドレスとサブネットを指定します。 ← WMI側 (サービス側)のルーティングを設定します。 ← WMIとなるInterfaceとして、先ほど作成したSVIを指定します。

68. WMI設定後の状態確認 • WMIの設定後は、StatusのProtocolの状態が「Up」しているのを確認します。 • 筆者の経験談ですが、設定が正しいのにも関わらず、WMI用のSVIが「Protocol: down」している ケースがありました。その場合は、WMIに関連するGigabitEthernetの「shutdown -> no shutdown」を試します。

    WLC# show ip interface brief Interface IP-Address OK? Method Status Protocol GigabitEthernet1 #.#.#.# YES NVRAM up up GigabitEthernet2 unassigned YES unset up up GigabitEthernet3 unassigned YES unset up up Vlan1 unassigned YES NVRAM administratively down down Vlan### #.#.#.# YES NVRAM up up WLC# 本例では「Gi2」が WMI用のSVIを通しています。

69. WMIのSVIが「Protocol: down」している場合 • 筆者の経験談ですが、設定が正しいのにも関わらず、WMI用のSVIが「Protocol: down」しているケースがあり ました。その場合は、WMIに関連するGigabitEthernetの「shutdown -> no shutdown」を試します。 WLC#

    show ip interface brief Interface IP-Address OK? Method Status Protocol GigabitEthernet1 #.#.#.# YES NVRAM up up GigabitEthernet2 unassigned YES unset up up GigabitEthernet3 unassigned YES unset up up Vlan1 unassigned YES NVRAM administratively down down Vlan### #.#.#.# YES NVRAM up down WLC# configure terminal interface GigabitEthernet2 shutdown no shutdown end show ip interface brief 本例では「Gi2」が WMI用のSVIを通しています。 WMI用のSVIを通しているInterfaceを指定します。 WMI用のSVIが 「Up」していません。

70. 時刻関連の設定 configure terminal clock timezone JST 9 0 !! MFEED

    ntp server 210.173.160.27 prefer ntp server 210.173.160.57 ntp server 210.173.160.87 end show ntp associations ← 日本標準時のTimezoneを指定しています。 ← MFEEDのNTP Serverを指定しています。 環境に応じて読み替えてください。 「VRFの有無」も必要に応じて調整してください。 FQDNで指定する場合は、名前解決の設定も必要です。 ← 出力結果に * (Asterisk)マークが付いて同期しているか確認します。 【参考: MFEEDのNTP ServerのIPアドレス情報】 INTERNET MULTIFEED CO. https://www.mfeed.ad.jp/ntp/detail.html

71. AP Certificate ※C9800-CL向け • C9800-CLではAP Certificateの作成が必要です。 • 物理版には向上出荷次点でMIC (Manufacturing Installed

    Certificate)がインストールされておりますが、仮想版では無いためです。 • AP Certificateの作成は、特権モードで下記のコマンドを実行します。 wireless config vwlc-ssc key-size 4096 signature-algo sha384 password 0 CertificatePassw0rd1234 ↑ ↑ ↑ それぞれの引数は適宜変更してください。 ※補足: AP CertificateはWeb UIからも生成が可能です。

72. AP Certificateの確認 • AP Certificateの作成に失敗するケースがあるため、処理が正常に完 了したかを確認します。 WLC# show wireless management

    trustpoint Trustpoint Name : wlc01_WLC_TP Certificate Info : Available Certificate Type : SSC Certificate Hash : 6cef2e9b487f028d174ad80469562035f4b64303 Private key Info : Available FIPS suitability : Not Applicable WLC#

73. 【AP Certificateの作成が成功】 【AP Certificateの作成が失敗】 もしも作成に失敗している場合は、 「Generate」ボタンから再度生成します。 証明書の情報がありません。 比較 参考情報: AP

    Certificateの生成状態の確認

74. 参考情報: AP Certificateの作成が失敗するケース • AP Certificateの作成時に「WMIのIPアドレス」に対する疎通性がないと、証明書の生成に 失敗します。 • 筆者の経験だと、SVIがProcotol: downであり、WMIに紐づくInterface

    (例: Gi2)を 「shutdown -> no shutdown」 するとLink Upしたケースがあります。 WLC# show logging <snip> .Oct 13 2025 16:34:23.714 JST: %SYS-5-CONFIG_I: Configured from console by on vty1 (EEM:Mandatory.crypto_pki_vwlc_ssc_config) .Oct 13 2025 16:34:24.476 JST: %SYS-5-CONFIG_I: Configured from console by on vty1 (EEM:Mandatory.crypto_pki_vwlc_ssc_config) .Oct 13 2025 16:34:35.038 JST: %HA_EM-6-LOG: Mandatory.crypto_pki_vwlc_ssc_config.tcl: ERROR: Command: 'ping 198.51.100.241',

75. 無線APのログイン情報の設定 • 無線APがWLCにJoinすると、デフォルトのログイン情報ではログインできなくなる ため、明示的に設定します。 configure terminal ap profile default-ap-profile mgmtuser

    username admin password 0 Pa$$w0rd secret 0 Pa$$w0rd ssh end ← デフォルトのAP Join Profileに設定します。 ← 無線APのログイン情報を指定します。

76. 補足: 無線APのログインに関する注意点 • 無線APのログイン情報は、WLCのJoin前の初期状態では下記のようになっています。 • Username: Cisco • Password: Cisco

    • Enable Password: Cisco • しかし、WLCの管理下に入るとAP Join Profileの設定で上書きされます。デフォルト値は「ログイン情報なし」 のため、そのままだと下記のメッセージが繰り返し表示されて、ロックアウトされてしまいます。そのため明示的に設定 する必要があります。 • 注意点として v16.12.2s より、デフォルト値と同じ「Cisco」は使えません。 WLC(config-ap-profile)# mgmtuser username Cisco password 0 Cisco secret 0 Cisco % node-1:dbm:wireless:AP SSH access enable config is not allowed with AP user management credentials set to default WLC(config-ap-profile)# No valid user found, please configure a valid user from Controller Login failed, lockout for 4 seconds % Authentication failed

77. 参考情報: Web UIでの無線APのログイン情報の設定個所 先のCLIの手順の内容は、本設定に反映されます。

78. 作業完了後の設定の保存 • 作業完了後は、設定の保存を忘れないようにしてください。 write memory

79. 作業完了後の設定のバックアップ • SSHで接続して、最終状態の設定を控えておきます。 terminal length 0 show running-config terminal no

    length

80. 一連の作業完了後の仮想マシンのSnapshot取得 • ここまでの作業で一連の作業が完了しました。 • 特に検証目的の場合は、本時点の状態まで戻せるようにしておくと、再 現検証がしやすくなります。 • そのため、必要に応じて仮想マシンのSnapshotを取得するようにします。 • Snapshot取得のために仮想マシンを停止したら、起動を忘れないように

    してください。

81. C9800-CL (vSphere版)の電源の停止方法 • 必要に応じてSnapshotを取得するために、仮想マシンを停止して静止点を作ります。 • 作業対象を間違えないように注意してください。 • C9800-CLを安全に停止するには、「reload pause」を実行して待機状態にしてから「Power Off」します。

    WLC# reload pause Reload command is being issued on Active unit, this will reload the whole stack Proceed with reload? [confirm] 作業対象を間違えないこと!! 作業対象を改めて確認すること!! Enter

82. 任意: 『初期セットアップ完了状態』の仮想マシンのSnapshotの取得 • Snapshotを取得する際は、「Name」や「Description」を分かりやすい記載をしてください。 • 後からSnapshotを戻そうとしても、どの時点に戻すか判断できないと意味が薄れてしまうため。

83. Snapshot取得後の仮想マシンの起動 • Snapshot取得のために仮想マシンを停止した場合は、忘れずに起動し直します。

84. 最後に • ここまで作業すれば、WLCとしての初期セットアップは完了しました。 • この後は、無線APをJoinさせたり、Local modeやFlexConnect modeを意識しながらSSIDを設定する流れが想定されます。 • その中でも、無線APが正常にJoinできる設定になっているかは早めに確 認されるのが良いです。

85. End Of File 本スライドが資料の最後です。