Tweet
Tweet

Slide 1

Slide 1 text

Catalyst 9800の FlexConnectの設定例 初版作成日: 2024/01/05 作成者: MyHomeNWLab

Slide 2

Slide 2 text

概要 • 筆者自身が検証で流用しやすいFlexConnectの設定例が欲しかった ため、スライド ベースでWeb UIとCLIの情報を併記しながら情報を整理 しました。 • VLAN情報など環境に応じて変動しやすい要素は、本手順の最初に整 理を行います。

Slide 3

Slide 3 text

検証時の情報 & 前提事項 • 検証は Catalyst 9800-CL (vSphere版) で行っています。 • 検証時のVersion: v17.13.1 • 本手順はWi-Fi 6Eの設定も例示するため、日本の規制ドメイン (J4)でWi- Fi 6E対応の v17.12.1 以上を前提とします。

Slide 4

Slide 4 text

想定シナリオ

Slide 5

Slide 5 text

例示用設定の想定シナリオ • 「業務系」と「ゲスト」の用途の2種類のSSIDを設定するシナリオを想定し ました。 • 「業務系」は次期更改でWi-Fi 6E対応の業務端末を導入する想定と します。 • 「ゲスト」は不特定多数に提供する都合で、Wi-Fi 6EとWPA3が非対 応な端末が居る想定とします。 FlexConnectの方式 SSID名 用途の想定 利用帯域 認証方式 Local Switching OFFICE 執務室での従業員の業務利用 2,4GHz, 5GHz, 6GHz WPA3 Central Switching GUEST ゲスト ユーザーへのInternet接続の提供 2.4GHz, 5GHz WPA+WPA2

Slide 6

Slide 6 text

設定の観点 • FlexConnectのCentral SwitchingおよびLocal Switchingの2つの通信方式を同時 に実現します。 • Central Switchingの設定例: ゲスト向けシナリオ • ゲスト向けのInternetを提供するものの、社内LANへのアクセスはさせたくないため、 WLCを介するようにしてData Center側で通信を集約するシナリオを想定します。 • Local Switchingの設定例: 業務系向けシナリオ • 拠点内にあるPrinter (複合機)などへのアクセスが必要であり、WLCを介したWANの往 復を避けたいシナリオを想定します。

Slide 7

Slide 7 text

拠点 Data Center 省略 想定シナリオのイメージ化 Internet 業務端末 (制御配下) 無線AP ゲスト端末 (不特定多数) Printer (複合機) L2 Switch WLC CAPWAP Central Switching Local Switching

Slide 8

Slide 8 text

設定情報の整理

Slide 9

Slide 9 text

サブネットとVLAN設計に関する補足 • SSIDに紐付くVLAN IDは「全ての拠点で共通化」する想定とします。 • 拠点別にVLANの読み替えが発生するのを避ける意図です。 • 例: 業務系 = VLAN ID: 3002 を全ての拠点で共通化 • WAN Routerで拠点内のセグメントが終端されるため、サブネットさえ拠点別に一意にすれば VLAN ID自体の重複は他拠点へ影響を及ぼさない想定です。 • 同様に、無線APが所属する管理系のNative VLAN IDも共通化する想定とします。 • 拠点別にVLANを一意にするパターンだと「設定例なのにシンプルさを保てない」と考えての設 計案ですが、管理・運用上の理由でVLAN IDの使い回しが許されない環境だと、本想定が 適さない場合があります。

Slide 10

Slide 10 text

サブネットとVLAN設計のイメージ化 東京DC 大阪支店 沖縄支店 東京本社 閉域網 Internet PoE L2 Switch Access Point Laptop WAN Router WLC L3 Switch Firewall Native VLAN ID: 3001 ゲスト向けSSID: VLAN 3002 VLAN 3001: 10.1.1.0/24 VLAN 3002: 10.1.2.0/24 Native VLAN ID: 3001 ゲスト向けSSID: VLAN 3002 VLAN 3001: 10.2.1.0/24 VLAN 3002: 10.2.2.0/24 Native VLAN ID: 3001 ゲスト向けSSID: VLAN 3002 VLAN 3001: 10.3.1.0/24 VLAN 3002: 10.3.2.0/24 VLAN IDを全ての拠点で統一しても、 サブネット自体は一意にして WAN Routerでセグメントを終端しています。

Slide 11

Slide 11 text

設定の命名規則の整理 • 色々な設定があると混乱する一因になるため、設定の種別と命名規則を整理します。 項目 命名規則 Flex Profile FlexProf_Common Policy Profile PolProf_<用途>_Flex_ WLAN Profile WLAN_<用途> Policy Tag PolTag_Common Site Tag SiteTag_<拠点名> 読み替え対象 候補 拠点名 Tokyo, Osaka 用途 業務系: OFFICE, ゲスト向け: GUEST FlexConnect方式 Central, Local

Slide 12

Slide 12 text

VLAN Nameの命名規則 • 「Central Switching用途 (WLC側)」と「Local Switching (無線AP側)」のど ちらで利用すべきVLANであるかの識別のために、命名規則を設けます。 • 無線AP側 (Flex Profile)のVLANは vlan コマンドによる定義は本来不要です。し かし、Policy ProfileとFlex ProfileからVLAN Nameを参照できるようにするために 意図的に vlan コマンドで定義します。 項目 命名規則 命名の例 vlan コマンドのState WLC側のVLAN WLC_v WLC_v12 , WLC_v3001 ACTIVATED 無線AP側のVLAN FLX_v FLX_v34 , FLX_v4001 SUSPENDED

Slide 13

Slide 13 text

例示用のVLAN ID • 本手順の例示に用いるVLANを整理します。読み替え表などを作成して 環境に適した値に書き換えてください。 項目 VLAN ID → 読み替え後 (自環境) • Central Switching • ゲスト向け 2001 → 無線APのNative VLAN ID 3001 → • Local Switching • 業務系向け 3002 →

Slide 14

Slide 14 text

CLIの環境依存 • CLIで簡単に流し込みを行えるようにするにあたり、環境に応じて書き換 えが必要な項目をリストします。 設定項目 例示での値 WLAN Profile ID #1 (業務系) 98 WLAN Profile ID #2 (ゲスト) 99 Pre-Shared Key #1 (業務系) TODO_CHANGE_PASSWORD Pre-Shared Key #2 (ゲスト) TODO_CHANGE_PASSWORD VLAN 前述のスライドを参照してください。

Slide 15

Slide 15 text

設定手順 ここから設定手順のスライドが開始です。

Slide 16

Slide 16 text

VLAN • メニュー: Configuration > Layer2 > VLAN の VLAN タブ • WLC側で利用するVLAN / Central Switching向け • 無線AP側で利用するVLAN / Local Switching向け 設定項目 設定値 備考 VLAN ID 2001 ※環境依存 Name WLC_v2001 ※環境依存 State ACTIVATED 設定項目 設定値 備考 VLAN ID 3002 ※環境依存 Name FLX_v3002 ※環境依存 State SUSPENDED 明示的に無効化します。 移動直後では SVI タブが表示されるため、 VLAN タブへの移動を忘れないでください。

Slide 17

Slide 17 text

CLI: VLAN • WLC側で利用するVLAN (必須) • 無線AP側で利用するVLAN (任意) vlan 3002 name FLX_v3002 state suspend exit configure terminal vlan 2001 name WLC_v2001 exit 不要な設定を極力避けたい場合は、無線AP側だけ実行しないでください。 実行有無に関わらず、後続の手順に影響はありません。 (Web UIでVLAN Nameの参照ができなくなるだけです。)

Slide 18

Slide 18 text

VLAN タブに切り替えます。

Slide 19

Slide 19 text

WLC側で利用するのVLAN設定 設定項目 設定値 VLAN ID 2001 ※環境依存 Name WLC_v2001 ※環境依存 State ACTIVATED

Slide 20

Slide 20 text

無線AP側で利用するVLAN設定 無線AP向けのVLANを定義する場合は、 Stateを SUSPENDED します。 設定項目 設定値 VLAN ID 3002 ※環境依存 Name FLX_v3002 ※環境依存 State SUSPENDED 不必要な設定があるのを極力避けたい場合は本来行わない設定です。 無線AP向けのVLANを定義する際に、VLAN Nameの参照できるように意図的に設定を行っています。 もし Port Members を設定すると、 対象PortがAccess Modeになります。

Slide 21

Slide 21 text

Central Switching向けのInterface • メニュー: Configuration > Interface > Ethernet • Central SwitchingでWLCを介して通信するためのInterfaceで、 VLANが許可されているか確認してください。 設定項目 設定値 備考 Switchport Mode 例: Trunk Central Switching用のSSIDを複数扱えるように、基本的に Trunkになっている想定です。 Allowed VLAN 例: All 使用するVLANのみに明示的に限定するか、Allで全許可します。

Slide 22

Slide 22 text

【CLI上】 interface GigabitEthernet2 switchport switchport mode trunk switchport trunk native vlan 4094 switchport trunk allowed vlan all no shutdown ! Central Switching向け (ゲスト通信向け) のVLANを許可します。 WLC側で利用するのVLAN設定

Slide 23

Slide 23 text

Flex Profile • メニュー: Configuration > Tags & Profiles > Flex • General タブ • VLAN タブ 設定項目 設定値 備考 Name FlexProf_Common Native VLAN ID 3001 ※環境依存 設定項目 設定値 備考 VLAN Name FLX_v3002 ※環境依存 Local Switching向けのVLANを指 定します。 VLAN ID 3002 ※環境依存

Slide 24

Slide 24 text

CLI: Flex Profile wireless profile flex FlexProf_Common native-vlan-id 3001 vlan-name FLX_v3002 vlan-id 3002

Slide 25

Slide 25 text

無線APのUplinkにあるSwitchと、 Native VLAN IDを一致させます。 デフォルトは「1」になっています。 【簡易イメージ図】 PoE L2 Switch Access Point Mode: Trunk Native VLAN ID: 3001 Laptop 設定項目 設定値 Name FlexProf_Common Native VLAN ID 3001 ※環境依存

Slide 26

Slide 26 text

【簡易イメージ図】 PoE L2 Switch Access Point Mode: Trunk Native VLAN ID: 3001 【無線APのVLAN】 • VLAN 3002 Laptop 所属VLAN: 3002 所属VLAN: 3002 Local Switching向けのVLANを定義します。 本手順ではゲスト通信向けの1つのVLANしか該当しませんが、 環境によっては簡易イメージ図のように複数のVLANが該当する場合もあります。 設定項目 設定値 VLAN Name FLX_v3002 ※環境依存 VLAN ID 3002 ※環境依存

Slide 27

Slide 27 text

Policy Profile - 業務系 • メニュー: Configuration > Tags & Profiles > Policy • General タブ • Access Policies タブ 設定項目 設定値 備考 VLAN/VLAN Group FLX_v3002 ※環境依存 FlexConnect Local Switching用 (業務系通信) Policy Profileです。 Tags 配下のPolicy Tagとの混同に注意します。 設定項目 設定値 備考 Name PolProf_OFFICE_Flex_Local Status ENABLED Statusの有効化を忘れないでください。 Central Switching DISABLED Local Switchingのため無効化します。 Central Authentication ENABLED Central DHCP DISABLED Local Switchingのため無効化します。

Slide 28

Slide 28 text

CLI: Policy Profile - 業務系 wireless profile policy PolProf_OFFICE_Flex_Local no central dhcp no central switching vlan FLX_v3002 no shutdown FlexConnect Local Switching用 (業務系通信)

Slide 29

Slide 29 text

「Policy」が「Policy Profile」です。 Tags 配下のPolicy Tagとの混同に注意します。

Slide 30

Slide 30 text

Statusの有効化を忘れないでください。 Local Switching向け (業務系通信向け)では 一部を DISABLED に切り替えます。 設定項目 設定値 Name PolProf_OFFICE_Flex_Local Status ENABLED Central Switching DISABLED Central Authentication ENABLED Central DHCP DISABLED FlexConnect Local Switching用 (業務系通信)

Slide 31

Slide 31 text

FlexConnect Local Switching用 (業務系通信) 設定項目 設定値 VLAN/VLAN Group FLX_v3002 ※環境依存 Local Switchingでは、 無線AP側 (Flex Profile)のVLANを指定します。

Slide 32

Slide 32 text

Policy Profile - ゲスト向け • メニュー: Configuration > Tags & Profiles > Policy • General タブ • Access Policies タブ 設定項目 設定値 備考 VLAN/VLAN Group WLC_v2001 ※環境依存 FlexConnect Central Switching用 (ゲスト通信) Policy Profileです。 Tags 配下のPolicy Tagとの混同に注意します。 設定項目 設定値 備考 Name PolProf_GUEST_Flex_Central Status ENABLED Statusの有効化を忘れないでください。 Central Switching ENABLED Central Switchingでは有効化します。 Central Authentication ENABLED Central DHCP ENABLED

Slide 33

Slide 33 text

CLI: Policy Profile - ゲスト向け wireless profile policy PolProf_GUEST_Flex_Central central dhcp central switching vlan WLC_v2001 no shutdown FlexConnect Central Switching用 (ゲスト通信)

Slide 34

Slide 34 text

FlexConnect Central Switching用 (ゲスト通信) Statusの有効化を忘れないでください。 Central Switching向けは 全て ENABLED のままです。 設定項目 設定値 Name PolProf_GUEST_Flex_Central Status ENABLED Central Switching ENABLED Central Authentication ENABLED Central DHCP ENABLED

Slide 35

Slide 35 text

FlexConnect Central Switching用 (ゲスト通信) 設定項目 設定値 VLAN/VLAN Group WLC_v2001 ※環境依存 Central Switchingでは、 WLC側 (vlan コマンド)のVLANを指定します。

Slide 36

Slide 36 text

WLAN - 業務系向け (1/2) • メニュー: Configuration > Tags & Profiles > WLANs • General タブ 設定項目 設定値 備考 Profile Name WLAN_OFFICE SSID OFFICE Profile Nameが自動入力されるため、書き換える のを忘れないでください。 WLAN ID 自動採番 or 任意のID CLIでは 98 Status ENABLED Statusの有効化を忘れないでください。 6 GHz ENABLED 業務系では社員に配布する端末を制御できるため、 6GHz帯を積極的に利用します。 5 GHz ENABLED 2.4 GHz ENABLED FlexConnect Local Switching用 (業務系通信) 次のスライドに続きます。

Slide 37

Slide 37 text

WLAN - 業務系向け (2/2) • メニュー: Configuration > Tags & Profiles > WLANs • Security タブ > Layer 2 タブ 設定項目 設定値 備考 認証方式 WPA3 Wi-Fi 6E (6GHz帯)を利用する際は、 WPA3が必要になります。 Fast TransitionのStatus Disabled WPA3のSAE使用時は無効化します。 Auth Key Mgmt SAEのみをチェック Pre-Shared Key 強固なパスワードを指定 FlexConnect Local Switching用 (業務系通信)

Slide 38

Slide 38 text

CLI: WLAN - 業務系向け wlan WLAN_OFFICE 98 OFFICE shutdown radio policy dot11 24ghz radio policy dot11 5ghz radio policy dot11 6ghz no security ft adaptive no security wpa wpa2 security wpa psk set-key ascii 0 TODO_CHANGE_PASSWORD no security wpa akm dot1x security wpa akm sae security wpa wpa3 security pmf mandatory no shutdown FlexConnect Local Switching用 (業務系通信) Pre-Shared Keyを修正してください。 WLAN ProfileのIDは適宜修正してください。

Slide 39

Slide 39 text

業務系は 6 GHz を有効化します。 設定項目 設定値 Profile Name WLAN_OFFICE SSID OFFICE WLAN ID 自動採番 or 任意のID Status ENABLED 6 GHz ENABLED 5 GHz ENABLED 2.4 GHz ENABLED FlexConnect Local Switching用 (業務系通信)

Slide 40

Slide 40 text

FlexConnect Local Switching用 (業務系通信) 画面をスクロールして Pre-Shared Keyも設定します。 設定項目 設定値 認証方式 WPA3 Fast TransitionのStatus Disabled Auth Key Mgmt SAEのみをチェック Pre-Shared Key 強固なパスワードを指定

Slide 41

Slide 41 text

WLAN - ゲスト向け (1/2) • メニュー: Configuration > Tags & Profiles > WLANs • General タブ 設定項目 設定値 備考 Profile Name WLAN_GUEST SSID GUEST Profile Nameが自動入力されるため、書き換えるのを 忘れないでください。 WLAN ID 自動採番 or 任意のID CLIでは 99 Status ENABLED Statusの有効化を忘れないでください。 6 GHz DISABLED 不特定多数の端末が繋がるため、新しめのWi-Fi 6Eは トラブルを避けるために無効化します。 5 GHz ENABLED 2.4 GHz ENABLED FlexConnect Central Switching用 (ゲスト通信) 次のスライドに続きます。

Slide 42

Slide 42 text

WLAN - ゲスト向け (2/2) • メニュー: Configuration > Tags & Profiles > WLANs • Security タブ > Layer 2 タブ 設定項目 設定値 備考 認証方式 WPA+WPA2 不特定多数が繋がるゲスト向けとなるため、普及して いる認証方式を選んでいます。 Auth Key Mgmt PSKのみをチェック Pre-Shared Key 強固なパスワードを指定 FlexConnect Central Switching用 (ゲスト通信)

Slide 43

Slide 43 text

CLI: WLAN - ゲスト向け wlan WLAN_GUEST 99 GUEST shutdown radio policy dot11 24ghz radio policy dot11 5ghz no radio policy dot11 6ghz security wpa psk set-key ascii 0 TODO_CHANGE_PASSWORD no security wpa akm dot1x security wpa akm psk no shutdown Pre-Shared Keyを修正してください。 WLAN ProfileのIDは適宜修正してください。

Slide 44

Slide 44 text

FlexConnect Central Switching用 (ゲスト通信) 2024年初頭時点でWi-Fi 6E (6GHz帯)は普及しきっていないので、 不特定多数に提供するゲスト向けは 6 GHz を無効化します。 設定項目 設定値 Profile Name WLAN_GUEST SSID GUEST WLAN ID 自動採番 or 任意のID Status ENABLED 6 GHz DISABLED 5 GHz ENABLED 2.4 GHz ENABLED

Slide 45

Slide 45 text

FlexConnect Central Switching用 (ゲスト通信) 画面をスクロールして Pre-Shared Keyも設定します。 設定項目 設定値 認証方式 WPA+WPA2 Auth Key Mgmt SAEのみをチェック Pre-Shared Key 強固なパスワードを指定

Slide 46

Slide 46 text

Policy Tag • メニュー: Configuration > Tags & Profiles > Tags > Policy • General タブ • WLAN-POLICY Maps 設定項目 設定値 備考 Name PolTag_Common WLAN Profile ←→ Policy Profile 備考 WLAN_OFFICE ←→ PolProf_OFFICE_Flex_Local WLAN_GUEST ←→ PolProf_GUEST_Flex_Central Tags の配下にあるのが Policy Tag です。 Tags & Profiles 直下にある方は Policy Profile です。

Slide 47

Slide 47 text

CLI: Policy Tag wireless tag policy PolTag_Common wlan WLAN_OFFICE policy PolProf_OFFICE_Flex_Local wlan WLAN_GUEST policy PolProf_GUEST_Flex_Central

Slide 48

Slide 48 text

Tags の配下に「Policy Tag」があります。 混同注意: 「Policy」は「Policy Profile」です。

Slide 49

Slide 49 text

No content

Slide 50

Slide 50 text

WLAN ProfileとPolicy Profileを マッピングして追加します。 WLAN Profile ←→ Policy Profile WLAN_OFFICE ←→ PolProf_OFFICE_Flex_Local WLAN_GUEST ←→ PolProf_GUEST_Flex_Central

Slide 51

Slide 51 text

参考: 設定完了後のマッピング状態です。

Slide 52

Slide 52 text

Site Tag • メニュー: Configuration > Tags & Profiles > Tags > Site 設定項目 設定値 備考 Name • SiteTag_Tokyo • SiteTag_Osaka 設定対象の拠点に応じて、複数作成します。 AP Join Profile default-ap-profile デフォルトのProfileを流用します。 Enabled Local Site チェックの解除 (Uncheck) Flex Profile FlexProf_Common

Slide 53

Slide 53 text

CLI: Site Tag • 拠点 #1: 東京 (Tokyo)向け • 拠点 #2: 大阪 (Osaka)向け wireless tag site SiteTag_Tokyo ap-profile default-ap-profile no local-site flex-profile FlexProf_Common exit wireless tag site SiteTag_Osaka ap-profile default-ap-profile no local-site flex-profile FlexProf_Common exit exit して「wireless tag site」から抜けておかないと、 次の「(config)# ap ####.####.####」コマンドの連続流し込みが失敗します。 「no local-site」で先にFlexConnect Modeにしたうえで、 Flex Profileを指定する必要があります。

Slide 54

Slide 54 text

No content

Slide 55

Slide 55 text

Enable Local Site のチェックを外すと、 Flex Profile の選択ボックスが表示されます。 設定項目 設定値 Name • SiteTag_Tokyo • SiteTag_Osaka AP Join Profile default-ap-profile Enabled Local Site チェックの解除 (Uncheck) Flex Profile FlexProf_Common

Slide 56

Slide 56 text

必要な拠点分を作成します。

Slide 57

Slide 57 text

無線APへのTagの割り当て • メニュー: Configuration > Wireless > Access Point • 設定対象のAccess Pointを選択してTagの割り当てを変更します。 • Tagの割り当てを変更すると再Joinが発生します。 • 本設定は、メニュー: Configuration > Tags & Profiles > Tags > AP > Static に 保存されます。 設定項目 設定値 備考 Policy Tag Name PolTag_Common Site Tag Name • SiteTag_Tokyo • SiteTag_Osaka 設置拠点に紐付くSite Tagを指定します。 RF Tag Name default-rf-tag デフォルトのRF Tagを流用します。 後述の6GHz帯のIn Band方式の設定が紐付いています。

Slide 58

Slide 58 text

CLI: 無線APへのTagの割り当て ap ####.####.#### policy-tag PolTag_Common rf-tag default-rf-tag site-tag SiteTag_Tokyo 設定対象の無線APのMACアドレスを指定します。

Slide 59

Slide 59 text

Web UIからの無線APのTagの割り当ての変更は、 Wireless配下のAccess Pointsのメニューからできます。

Slide 60

Slide 60 text

設定対象のAccess Point分だけTagの割り当てを変更します。

Slide 61

Slide 61 text

設定項目 設定値 Policy Tag Name PolTag_Common Site Tag Name • SiteTag_Tokyo • SiteTag_Osaka RF Tag Name default-rf-tag • 各種Tagの割り当てを変更します。 • RF: default-rf-tag は後述の 6GHz設定に関わってきます。

Slide 62

Slide 62 text

先ほどの設定変更は、本設定画面に反映されます。

Slide 63

Slide 63 text

6GHzのIn Band方式 • メニュー: Tags & Profiles > Tags > RF/Radio > RF • Name: default-rf-profile-6ghz の 802.11ax タブ 設定項目 設定値 備考 6 GHz Discovery Frames 設計に応じて適宜変更します。 • Broadcast Probe Response もしくは • FILS Discovery デフォルト: None

Slide 64

Slide 64 text

RF Tagのデフォルト設定から、 RF Profileのデフォルト設定を参照しています。 RF Tag RF Profile 目的の設定はデフォルトのRF Profileの 802.11ax タブにあります。

Slide 65

Slide 65 text

CLI: 6GHzのIn Band方式 • 設計に応じて 6 GHz Discovery Frames を変更します。どちらか一 方を適宜設定してください。 • Broadcast Probe Response • FILS Discovery ap dot11 6ghz rf-profile default-rf-profile-6ghz dot11ax bcast-probe-response ap dot11 6ghz rf-profile default-rf-profile-6ghz dot11ax fils-discovery

Slide 66

Slide 66 text

AP Operational Configuration Viewer • 本設定時のTagやProfileの紐付きの視覚化のために、参考情報として 掲載します。

Slide 67

Slide 67 text

設定の保存 • 設定が想定通り動作しているのを確認したら、設定の保存を忘れないよ うにしてください。

Slide 68

Slide 68 text

End Of File 本スライドが資料の最後です。