Catalyst 9800 コントローラのアップグレードとダウングレード：ヒントとテクニック

はじめに

このドキュメントでは、Catalyst 9800ワイヤレスLANコントローラ(WLC)をアップグレードまたはダウングレードする際に注意する点について説明します。

続行する前に

このドキュメントは、アップグレード時に必ず使用するドキュメントである必要があるリリースノートの置き換えを目的とするものではありません。この目的は、複数のリリース間で最も影響の大きい変更点を明確に示すことで、アップグレードを円滑に進めることです。

このドキュメントは、ターゲットソフトウェアリリースのリリースノートを読む方法に代わるものではありません。アップグレードを進める前に、設定をバックアップし、必要な予防措置をすべて講じてください。

デフォルトでは、9800のHTTPサーバは、アップグレード後に変更を引き起こす可能性がある特定の証明書/トラストポイントに静的にマッピングされません。 アップグレードの前に、設定でHTTPサーバを静的トラストポイント（目的に発行した証明書、またはその他のMIC証明書が望ましい）に設定します。

エンジニアリング特別バージョンの特別なケース

エンジニアリングスペシャルビルドでは、これらのビルドからのISSUアップグレードはサポートされていません。このドキュメントでは、Cisco.comに公開されたパブリックリリースのみを対象としています。そのため、エンジニアリングスペシャルビルドをご利用の場合は、リリースノートも併せてご覧いただき、アップグレードに関する疑問をすべて解決してください。

アップグレード

目的の宛先ソフトウェアバージョンの下のメモを直接読むことができます。いくつかのリリースで適用可能なヒントが、利便性のために毎回繰り返されます。一度に3つ以上のリリースを使用してアップグレードしないでください。たとえば、16.12.1から17.3.2へのアップグレードについては、このドキュメントで説明しますが、16.12から17.4へのアップグレードについては説明しません。このようなシナリオでは、17.3に移動して17.3セクションの下の注を確認し、アップグレードを実行した後、17.4セクションを確認して2回目のアップグレードを準備します。結論として、中間メジャーリリースに進むとドキュメントは想定しているため、3つのメジャーリリースがリリースされた後は、有効な場合でも上記のヒントは繰り返しません。

ジブラルタル

16.12.2

• Cisco IOS® XE Gibraltar 16.12.2sからは、デフォルトポリシータグの下にあるデフォルトポリシープロファイルへの自動WLANマッピングが削除されました。Cisco IOS XE Gibraltar 16.12.2sよりも前のリリースからアップグレードする場合、ワイヤレスネットワークでデフォルトのポリシータグが使用されていると、デフォルトのマッピング変更によりネットワークがダウンします。ネットワークの動作を復元するには、必要なWLANをデフォルトポリシータグの下のポリシーマッピングに追加します。

• AP名には31文字を超える文字を使用しないでください。AP名が32文字以上の場合、コントローラがクラッシュする可能性があります。

• OVAファイルをVMware ESXi 6.5に直接導入しないでください。OVFツールを使用してOVAファイルを導入することを推奨します。

16.12.3

• 16.12.3は、ドキュメントにサポート対象として記載されているSFPのみのサポートを強制する最初のリリースです。SFPがリストされていない場合は、ポートダウン状態になります。 サポートされているSFPのリストを確認し、アップグレード後にデータポートがダウンするのを防ぐために、ご使用のSFPに互換性があることを確認します。
• 16.12.1リリースの場合、このリリースのアップグレードファイルはHTTPアップロードには大きすぎる可能性があります（Web UIのアップグレード時）。別の転送方法を使用するか、16.12.2に進みます。16.12.2では、Web UIを介してアップロードされる、より大きなファイルがサポートされています。
• Cisco IOS XE Gibraltar 16.12.2sからは、デフォルトポリシータグの下にあるデフォルトポリシープロファイルへの自動WLANマッピングが削除されました。Cisco IOS XE Gibraltar 16.12.2sよりも前のリリースからアップグレードする場合、ワイヤレスネットワークでデフォルトのポリシータグが使用されていると、デフォルトのマッピング変更によりネットワークがダウンします。ネットワークの動作を復元するには、必要なWLANをデフォルトポリシータグの下のポリシーマッピングに追加します。

• AP名には31文字を超える文字を使用しないでください。AP名が32文字以上の場合、コントローラがクラッシュする可能性があります。

• OVAファイルをVMware ESXi 6.5に直接導入しないでください。OVAファイルを導入するには、OVFツールを使用することをお勧めします。

16.12.4

• 16.12.3と17.2.1は、ドキュメントにサポート対象として記載されているSFPのみのサポートを強制する最初のリリースです。SFPがリストされていない場合は、ポートダウン状態になります。サポートされているSFPのリストを確認し、アップグレード後にデータポートがダウンするのを防ぐために、ご使用のSFPに互換性があることを確認します。
• 16.12.1リリースの場合、このリリースのアップグレードファイルはHTTPアップロードには大きすぎる可能性があります（Web UIのアップグレード時）。別の転送方法を使用するか、16.12.2に進みます。16.12.2では、Web UIを介してアップロードされる、より大きなファイルがサポートされています。
• Cisco IOS XE Gibraltar 16.12.2sからは、デフォルトポリシータグの下にあるデフォルトポリシープロファイルへの自動WLANマッピングが削除されました。Cisco IOS XE Gibraltar 16.12.2sよりも前のリリースからアップグレードする場合、ワイヤレスネットワークでデフォルトのポリシータグが使用されていると、デフォルトのマッピング変更によりネットワークがダウンします。ネットワークの動作を復元するには、必要なWLANをデフォルトポリシータグの下のポリシーマッピングに追加します。

• AP名には31文字を超える文字を使用しないでください。AP名が32文字以上の場合、コントローラがクラッシュする可能性があります。

• OVAファイルをVMware ESXi 6.5に直接導入しないでください。OVAファイルを導入するには、OVFツールを使用することをお勧めします。

16.12.5、16.12.6a、および16.12.7

16.12.4リリースと同じです。

アムステルダム

17.1.1

• 16.12.1リリースの場合、このリリースのアップグレードファイルはHTTPアップロードには大きすぎる可能性があります（Web UIのアップグレード時）。別の転送方法を使用するか、16.12.2に進みます。16.12.2では、Web UIを介してアップロードされる、より大きなファイルがサポートされています。
• Cisco IOS XE Gibraltar 16.12.2sからは、デフォルトポリシータグの下にあるデフォルトポリシープロファイルへの自動WLANマッピングが削除されました。Cisco IOS XE Gibraltar 16.12.2sより前のリリースからアップグレードする場合、ワイヤレスネットワークでデフォルトのポリシータグが使用されていると、デフォルトのマッピング変更が原因でネットワークがダウンします。ネットワークの動作を復元するには、必要なWLANをデフォルトポリシータグの下のポリシーマッピングに追加します。
• このリリースから、新しいゲートウェイ到達可能性チェックが導入されました。APは、接続を確認するために、定期的にICMPエコー要求(ping)をデフォルトゲートウェイに送信します。APとデフォルトゲートウェイ間でICMP pingを許可するには、APとデフォルトゲートウェイ（ACLなど）間のトラフィックフィルタリングを確認する必要があります。これらのpingがブロックされると、コントローラとAP間の接続がアクティブであっても、APは4時間間隔でリロードします。

17.2.1

• 16.12.3と17.2.1は、ドキュメントにサポート対象として記載されているSFPのみのサポートを強制する最初のリリースです。SFPがリストされていない場合は、ポートダウン状態になります。サポートされているSFPのリストを確認し、アップグレード後にデータポートがダウンするのを防ぐために、ご使用のSFPに互換性があることを確認します。
• 16.12.1リリースの場合、このリリースのアップグレードファイルはHTTPアップロードには大きすぎる可能性があります（Web UIのアップグレード時）。別の転送方法を使用するか、16.12.2に進みます。16.12.2では、Web UIを介してアップロードされる、より大きなファイルがサポートされています。
• Cisco IOS XE Gibraltar 16.12.2sからは、デフォルトポリシータグの下にあるデフォルトポリシープロファイルへの自動WLANマッピングが削除されました。Cisco IOS XE Gibraltar 16.12.2sよりも前のリリースからアップグレードする場合、ワイヤレスネットワークでデフォルトのポリシータグが使用されていると、デフォルトのマッピング変更によりネットワークがダウンする可能性があります。ネットワークの動作を復元するには、必要なWLANをデフォルトポリシータグの下のポリシーマッピングに追加します。
• 17.1以降では、新しいゲートウェイ到達可能性チェックが導入されています。APは、接続を確認するために、定期的にICMPエコー要求(ping)をデフォルトゲートウェイに送信します。APとデフォルトゲートウェイ間でICMP pingを許可するには、APとデフォルトゲートウェイ（ACLなど）間のトラフィックフィルタリングを確認する必要があります。これらのpingがブロックされると、コントローラとAP間の接続がアクティブであっても、APは4時間間隔でリロードします。

17.3.1

• ドキュメントにサポート対象として記載されているSFPのみのサポートを強制する最初のリリースは16.12.3と17.2.1です。SFPがリストされていない場合は、ポートダウン状態になります。サポートされているSFPのリストを確認し、アップグレード後にデータポートがダウンするのを防ぐために、ご使用のSFPに互換性があることを確認します。
• 16.12.1リリースの場合、このリリースのアップグレードファイルはHTTPアップロードには大きすぎる可能性があります（Web UIのアップグレード時）。別の転送方法を使用するか、16.12.2に進みます。16.12.2では、Web UIを介してアップロードされる、より大きなファイルがサポートされています。
• Cisco IOS XE Gibraltar 16.12.2sからは、デフォルトポリシータグの下にあるデフォルトポリシープロファイルへの自動WLANマッピングが削除されました。Cisco IOS XE Gibraltar 16.12.2sより前のリリースからアップグレードする場合、ワイヤレスネットワークでデフォルトのポリシータグが使用されていると、デフォルトのマッピング変更が原因でネットワークがダウンします。ネットワークの動作を復元するには、必要なWLANをデフォルトポリシータグの下のポリシーマッピングに追加します。
• 17.1以降では、新しいゲートウェイ到達可能性チェックが導入されています。APは、接続を確認するために、定期的にICMPエコー要求(ping)をデフォルトゲートウェイに送信します。APとデフォルトゲートウェイ間でICMP pingを許可するには、APとデフォルトゲートウェイ（ACLなど）間のトラフィックフィルタリングを確認する必要があります。これらのpingがブロックされると、コントローラとAP間の接続がアクティブであっても、APは4時間間隔でリロードします。
• FIPSモードを設定した場合は、Cisco IOS XE Amsterdam 17.3.xを以前のバージョンからアップグレードする前に、すべてのWLANからsecurity wpa wpa1 cipher tkipの設定を削除してください。この操作を行わないと、FIPSモードではサポートされていないWLANセキュリティがTKIPに設定されます。アップグレード後、AESを使用してWLANを再設定する必要があります。
• Cisco IOS XE Amsterdam 17.3.1以降のCisco Catalyst 9800-CLワイヤレスコントローラでは、新規導入に16 GBのディスク領域が必要です。17.3イメージを再インストールする場合のみ、ディスク領域のサイズを増やすことができます。
• Cisco IOS XE Amsterdam 17.3.1以降では、AP名は最大32文字まで使用できます。
• （クライアントまたはAPの）ローカルMACアドレス認証では、17.3.1の時点でaaaabbbbcccc形式(セパレータなし)のみがサポートされています。これは、Web UIまたはCLIで区切り文字を使用してMACアドレスを追加すると、認証が失敗することを意味します。
• このリリース以降、APがWLCに接続できず、ゲートウェイにpingできず、ゲートウェイにARPを実行できない場合、APは4時間後にリロードされます（APのリブートには3つすべてのAPが失敗する必要があります）。 これは、以前のリリースからの以前のICMP専用ゲートウェイ検証に対する機能拡張(Cisco Bug ID CSCvt89970)です。
• 17.3.1以降では、アクセスポイントの国コードを設定する新しい方法として、Wireless country <1 country code>コマンドが追加されました。このコマンドを異なる国コードで複数回繰り返すことができます。これにより、国コードの最大量を20を超えて増やすことができます。コマンドap countryは引き続き存在し、引き続き機能しますが、将来のバージョンではWireless countryコマンドが廃止されるため、ap countryコマンドへの変更を検討します。

17.3.2

• 16.12.3と17.2.1は、ドキュメントにサポート対象として記載されているSFPのみのサポートを強制する最初のリリースです。SFPがリストされていない場合は、ポートダウン状態になります。サポートされているSFPのリストを確認し、アップグレード後にデータポートがダウンするのを防ぐために、ご使用のSFPに互換性があることを確認します。
• 16.12.1リリースの場合、このリリースのアップグレードファイルはHTTPアップロードには大きすぎる可能性があります（Web UIのアップグレード時）。別の転送方法を使用するか、16.12.2に進みます。16.12.2では、Web UIを介してアップロードされる、より大きなファイルがサポートされています。
• Cisco IOS XE Gibraltar 16.12.2sからは、デフォルトポリシータグの下にあるデフォルトポリシープロファイルへの自動WLANマッピングが削除されました。Cisco IOS XE Gibraltar 16.12.2sより前のリリースからアップグレードする場合、ワイヤレスネットワークでデフォルトのポリシータグが使用されていると、デフォルトのマッピング変更が原因でネットワークがダウンします。ネットワークの動作を復元するには、必要なWLANをデフォルトポリシータグの下のポリシーマッピングに追加します。
• 17.1以降では、新しいゲートウェイ到達可能性チェックが導入されています。APは、接続を確認するために、定期的にICMPエコー要求(ping)をデフォルトゲートウェイに送信します。APとデフォルトゲートウェイ間でICMP pingを許可するには、APとデフォルトゲートウェイ（ACLなど）間のトラフィックフィルタリングを確認する必要があります。これらのpingがブロックされると、コントローラとAP間の接続がアクティブであっても、APは4時間間隔でリロードします。
• FIPSモードを設定した場合は、Cisco IOS XE Amsterdam 17.3.xを以前のバージョンからアップグレードする前に、すべてのWLANからsecurity wpa wpa1 cipher tkipの設定を削除してください。この操作を行わないと、FIPSモードではサポートされていないWLANセキュリティがTKIPに設定されます。アップグレード後、AESを使用してWLANを再設定する必要があります。
• Cisco IOS XE Amsterdam 17.3.1以降のCisco Catalyst 9800-CLワイヤレスコントローラでは、新規導入に16 GBのディスク領域が必要です。17.3イメージを再インストールする場合のみ、ディスク領域のサイズを増やすことができます。
• Cisco IOS XE Amsterdam 17.3.1以降では、AP名は最大32文字までしか使用できません。
• （クライアントまたはAPの）ローカルMACアドレス認証では、17.3.1の時点でaaaabbbbcccc形式(セパレータなし)のみがサポートされています。これは、Web UIまたはCLIで区切り文字を使用してMACアドレスを追加すると、認証が失敗することを意味します。
• 17.3.1以降では、APがWLCに接続できず、ゲートウェイにpingできず、ゲートウェイにARPを実行できない場合、APは4時間後にリロードされます（APのリブートには3つすべてのAPが失敗する必要があります）。 これは、以前のリリースからの以前のICMP専用ゲートウェイ検証に対する機能拡張(Cisco Bug ID CSCvt89970)です。
• 17.3.1以降では、アクセスポイントの国コードを設定する新しい方法として、Wireless country <1 country code>コマンドが追加されました。このコマンドを異なる国コードで複数回繰り返すことができます。これにより、国コードの最大数を20より多く増やすことができます。コマンドap countryは引き続き存在し、実行中ですが、将来のバージョンで廃止されるWireless countryap country コマンドに変更することを検討してください。

17.3.3

• 16.12.3と17.2.1は、ドキュメントにサポート対象として記載されているSFPのみのサポートを強制する最初のリリースです。SFPがリストされていない場合は、ポートダウン状態になります。サポートされているSFPのリストを確認し、アップグレード後にデータポートがダウンするのを防ぐために、ご使用のSFPに互換性があることを確認します。
• 16.12.1リリースの場合、このリリースのアップグレードファイルはHTTPアップロードには大きすぎる可能性があります（Web UIのアップグレード時）。別の転送方法を使用するか、16.12.2に進みます。16.12.2では、Web UIを介してアップロードされる、より大きなファイルがサポートされています。
• Cisco IOS XE Gibraltar 16.12.2sからは、デフォルトポリシータグの下にあるデフォルトポリシープロファイルへの自動WLANマッピングが削除されました。Cisco IOS XE Gibraltar 16.12.2sより前のリリースからアップグレードする場合、ワイヤレスネットワークでデフォルトポリシータグを使用すると、デフォルトマッピングの変更によりネットワークがダウンします。ネットワークの動作を復元するには、必要なWLANをデフォルトポリシータグの下のポリシーマッピングに追加します。
• 17.1以降では、新しいゲートウェイ到達可能性チェックが導入されています。APは、接続を確認するために、定期的にICMPエコー要求(ping)をデフォルトゲートウェイに送信します。APとデフォルトゲートウェイ間でICMP pingを許可するには、APとデフォルトゲートウェイ（ACLなど）間のトラフィックフィルタリングを確認する必要があります。これらのpingがブロックされると、コントローラとAP間の接続がアクティブであっても、APは4時間間隔でリロードします。
• FIPSモードを設定した場合は、Cisco IOS XE Amsterdam 17.3.xを以前のバージョンからアップグレードする前に、すべてのWLANからsecurity wpa wpa1 cipher tkipの設定を削除してください。この操作を行わないと、FIPSモードではサポートされていないWLANセキュリティがTKIPに設定されます。アップグレード後、AESを使用してWLANを再設定する必要があります。
• Cisco IOS XE Amsterdam 17.3.1以降のCisco Catalyst 9800-CLワイヤレスコントローラでは、新規導入に16 GBのディスク領域が必要です。17.3イメージを再インストールする場合のみ、ディスク領域のサイズを増やすことができます。
• Cisco IOS XE Amsterdam 17.3.1以降では、AP名は最大32文字まで使用できます。
• （クライアントまたはAPの）ローカルMACアドレス認証では、17.3.1の時点でaaaabbbbcccc形式(セパレータなし)のみがサポートされています。これは、Web UIまたはCLIで区切り文字を使用してMACアドレスを追加すると、認証が失敗することを意味します。
• 17.3.1以降では、APがWLCに接続できず、ゲートウェイにpingできず、ゲートウェイにARPを実行できない場合、APは4時間後にリロードされます（APのリブートには3つすべてのAPが失敗する必要があります）。 これは、以前のリリースからの以前のICMP専用ゲートウェイ検証の拡張機能(Cisco Bug ID CSCvt89970)です。
• 17.3.1以降では、アクセスポイントの国コードを設定する新しい方法として、Wireless country <1 country code>コマンドが追加されました。このコマンドを異なる国コードで複数回繰り返すことができます。これにより、国コードの最大量を20を超えて増やすことができます。コマンドap countryは引き続き存在し、機能しますが、将来のバージョンではWireless countryコマンドが廃止されるため、ap countryコマンドへの変更を検討します。
• APのホスト名が32文字を超える場合、WLCがクラッシュする可能性があります(Cisco Bug ID CSCvy11981)。

17.3.4

• ドキュメントにサポート対象として記載されているSFPのみのサポートを強制する最初のリリースは16.12.3と17.2.1です。SFPがリストされていない場合は、ポートダウン状態になります。サポートされているSFPのリストを確認し、アップグレード後にデータポートがダウンするのを防ぐために、ご使用のSFPに互換性があることを確認します。
• 16.12.1リリースの場合、このリリースのアップグレードファイルはHTTPアップロードには大きすぎる可能性があります（Web UIのアップグレード時）。別の転送方法を使用するか、16.12.2に進みます。16.12.2では、Web UIを介してアップロードされる、より大きなファイルがサポートされています。
• Cisco IOS XE Gibraltar 16.12.2sからは、デフォルトポリシータグの下にあるデフォルトポリシープロファイルへの自動WLANマッピングが削除されました。Cisco IOS XE Gibraltar 16.12.2sより前のリリースからアップグレードする場合、ワイヤレスネットワークでデフォルトのポリシータグが使用されていると、デフォルトのマッピング変更が原因でネットワークがダウンします。ネットワークの動作を復元するには、必要なWLANをデフォルトポリシータグの下のポリシーマッピングに追加します。
• 17.1以降では、新しいゲートウェイ到達可能性チェックが導入されています。APは、接続を確認するために定期的にICMPエコー要求(ping)をデフォルトゲートウェイに送信します。APとデフォルトゲートウェイ間でICMP pingを許可するには、APとデフォルトゲートウェイ（ACLなど）間のトラフィックフィルタリングを確認する必要があります。これらのpingがブロックされると、コントローラとAP間の接続がアクティブであっても、APは4時間間隔でリロードします。
• FIPSモードを設定した場合は、Cisco IOS XE Amsterdam 17.3.xを以前のバージョンからアップグレードする前に、すべてのWLANからsecurity wpa wpa1 cipher tkipの設定を削除してください。この操作を行わないと、FIPSモードではサポートされていないWLANセキュリティがTKIPに設定されます。アップグレード後、AESを使用してWLANを再設定する必要があります。
• Cisco IOS XE Amsterdam 17.3.1以降のCisco Catalyst 9800-CLワイヤレスコントローラでは、新規導入に16 GBのディスク領域が必要です。17.3イメージを再インストールする場合のみ、ディスク領域のサイズを増やすことができます。
• Cisco IOS XE Amsterdam 17.3.1以降では、AP名は最大32文字までしか使用できません。
• （クライアントまたはAPの）ローカルMACアドレス認証では、17.3.1の時点でaaaabbbbcccc形式(セパレータなし)のみがサポートされています。これは、Web UIまたはCLIで区切り文字を使用してMACアドレスを追加すると、認証が失敗することを意味します。
• 17.3.1以降では、APslはWLCに参加できず、ゲートウェイにpingできず、ゲートウェイにARPを実行できない場合、4時間後にリロードされます（APのリブートには3つすべての手順が失敗する必要があります）。 これは、以前のリリースからの以前のICMP専用ゲートウェイ検証に対する機能拡張(Cisco Bug ID CSCvt89970)です。
• 17.3.1以降、アクセスポイントの国コードを設定する新しい方法は、Wireless country <1 country code>コマンドです。このコマンドを異なる国コードで複数回繰り返すことができます。これにより、国コードの最大量を20を超えて増やすことができます。コマンドap countryは引き続き存在し、機能しますが、将来のバージョンで廃止される予定で、Wireless countryap country コマンドへの変更を検討してください。
• 17.3.4以降にアップグレードする場合は、適用可能なコントローラ(9800-80)に16.12.5rブートローダ/rommonをインストールすることをお勧めします。 （9800-40には現時点でROMMON 16.12.5rがないため、ROMMONのアップグレードは必要ありません）。
• Cisco IOS XEベンガルール17.3.xからISSUを使用する任意のリリースへのコントローラのアップグレードは、 snmp-server enable traps hsrpコマンドが設定されている。Cisco IOS XEベンガルル17.4.xからsnmp-server enable traps hsrpコマンドが削除されるため、ISSUアップグレードを開始する前に、必ず設定からsnmp-server enable traps hsrpコマンドを削除してください。

• Cisco IOS XE 17.3.x以降のリリースにアップグレードする際にip http active-session-modules noneコマンドが有効になっていると、HTTPSを使用してコントローラのGUIにアクセスできません。HTTPSを使用してGUIにアクセスするには、次のコマンドを実行します。

  • ip http session-module-list pkilist OPENRESTY_PKI

  • ip http active-session-modules pkilist

17.3.5

• Cisco Bug ID CSCwb13784が原因で、パスMTUが1500バイトより小さい場合は、APが加入できない可能性があります。この問題を修正するには、17.3.5で使用可能なSMUパッチをダウンロードします。
• ドキュメントにサポート対象として記載されているSFPのみのサポートを強制する最初のリリースは16.12.3と17.2.1です。SFPがリストされていない場合は、ポートダウン状態になります。サポートされているSFPのリストを確認し、アップグレード後にデータポートがダウンするのを防ぐために、ご使用のSFPに互換性があることを確認します。
• 16.12.1リリースの場合、このリリースのアップグレードファイルはHTTPアップロードには大きすぎる可能性があります（Web UIのアップグレード時）。別の転送方法を使用するか、16.12.2に進みます。16.12.2では、Web UIを介してアップロードされる、より大きなファイルがサポートされています。
• Cisco IOS XE Gibraltar 16.12.2sからは、デフォルトポリシータグの下にあるデフォルトポリシープロファイルへの自動WLANマッピングが削除されました。Cisco IOS XE Gibraltar 16.12.2sより前のリリースからアップグレードする場合、ワイヤレスネットワークでデフォルトのポリシータグが使用されていると、デフォルトのマッピング変更が原因でネットワークがダウンします。ネットワークの動作を復元するには、必要なWLANをデフォルトポリシータグの下のポリシーマッピングに追加します。
• 17.1以降では、新しいゲートウェイ到達可能性チェックが導入されています。APは、接続を確認するために、定期的にICMPエコー要求(ping)をデフォルトゲートウェイに送信します。APとデフォルトゲートウェイ間でICMP pingを許可するには、APとデフォルトゲートウェイ（ACLなど）間のトラフィックフィルタリングを確認する必要があります。これらのpingがブロックされると、コントローラとAP間の接続がアクティブであっても、APは4時間間隔でリロードします。
• FIPSモードを設定した場合は、Cisco IOS XE Amsterdam 17.3.xを以前のバージョンからアップグレードする前に、すべてのWLANからsecurity wpa wpa1 cipher tkipの設定を削除してください。この操作を行わないと、FIPSモードではサポートされていないWLANセキュリティがTKIPに設定されます。アップグレード後、AESを使用してWLANを再設定する必要があります。
• Cisco IOS XE Amsterdam 17.3.1以降のCisco Catalyst 9800-CLワイヤレスコントローラでは、新規導入に16 GBのディスク領域が必要です。17.3イメージを再インストールする場合のみ、ディスク領域のサイズを増やすことができます。
• Cisco IOS XE Amsterdam 17.3.1以降では、AP名は最大32文字まで使用できます。
• （クライアントまたはAPの）ローカルMACアドレス認証では、17.3.1の時点でaaaabbbbcccc形式(セパレータなし)のみがサポートされています。これは、Web UIまたはCLIで区切り文字を使用してMACアドレスを追加すると、認証が失敗することを意味します。
• 17.3.1以降では、APslはWLCに参加できず、ゲートウェイにpingできず、ゲートウェイにARPを実行できない場合、4時間後にリロードされます（APのリブートには3つすべての手順が失敗する必要があります）。 これは、以前のリリースからの以前のICMP専用ゲートウェイ検証に対する機能拡張(Cisco Bug ID CSCvt89970)です。
• 17.3.1以降、アクセスポイントの国コードを設定する新しい方法は、Wireless country <1 country code>コマンドです。このコマンドを異なる国コードで複数回繰り返すことができます。これにより、国コードの最大量を20を超えて増やすことができます。コマンドap countryは引き続き存在し、機能しますが、将来のバージョンで廃止される予定で、Wireless countryap country コマンドへの変更を検討してください。
• 17.3.4以降にアップグレードする場合は、適用可能なコントローラ(9800-80)に16.12.5rブートローダ/rommonをインストールすることをお勧めします。 （9800-40には現時点でROMMON 16.12.5rがないため、ROMMONのアップグレードは必要ありません）。
• Cisco IOS XEベンガルール17.3.xからISSUを使用する任意のリリースへのコントローラのアップグレードは、 snmp-server enable traps hsrpコマンドが設定されている。Cisco IOS XEベンガルル17.4.xからsnmp-server enable traps hsrpコマンドが削除されるため、ISSUアップグレードを開始する前に、必ず設定からsnmp-server enable traps hsrpコマンドを削除してください。

• Cisco IOS XE 17.3.x以降のリリースにアップグレードする際にip http active-session-modules noneコマンドが有効になっていると、HTTPSを使用してコントローラのGUIにアクセスできません。HTTPSを使用してGUIにアクセスするには、次のコマンドを実行します。

  • ip http session-module-list pkilist OPENRESTY_PKI

  • ip http active-session-modules pkilist

ベンガルル

17.4.1

• 17.4.1以降では、Wave 1 Cisco IOSベースのAP(1700、2700、3700、1570)は、IW3700を除きサポートされなくなりました。
• 非WPA（ゲスト、オープン、またはCWA SSID）でAdaptive FTが設定されているWLANは、アップグレード後にシャットダウンできます。解決策は、アップグレードの前に適応型FT設定を削除することです(Cisco Bug ID CSCvx34349)。 適応型FT設定は非WPA SSIDでは意味がないため、削除しても何も失われません。
• APのホスト名が32文字を超える場合(Cisco Bug ID CSCvy11981)、WLCがクラッシュする可能性があります。

17.5.1

• 17.4.1以降では、Wave 1 Cisco IOSベースのAP(1700、2700、3700、1570)は、IW3700を除きサポートされなくなりました。
• Cisco IOS XEバンガロールRelease 17.4.1以降では、テレメトリソリューションは、テレメトリデータのIPアドレスではなく、受信者アドレスの名前を提供します。これは追加オプションです。コントローラのダウングレードとそれに続くアップグレード中に、新しく名前を付けたレシーバを使用するアップグレードバージョンに問題がある可能性があり、これらがダウングレードで認識されません。新しい設定は拒否され、その後のアップグレードで失敗します。Cisco DNA Centerからアップグレードまたはダウングレードを実行すると、設定の消失を回避できます。
• 非WPA（ゲスト、オープン、またはCWA SSID）でAdaptive FTが設定されているWLANは、アップグレード後にシャットダウンできます。解決策は、アップグレードの前に適応型FT設定を削除することです(Cisco Bug ID CSCvx34349)。 適応型FT設定は非WPA SSIDでは意味がないため、削除しても何も失われません。
• APのホスト名が32文字を超える場合(Cisco Bug ID CSCvy11981)、WLCがクラッシュする可能性があります。
• GUIをあるリリースから別のリリースにアップグレードする場合は、すべてのGUIページが正しくリロードされるようにブラウザキャッシュをクリアすることをお勧めします。

• Cisco IOS XE 17.3.x以降のリリースにアップグレードする際にip http active-session-modules noneコマンドが有効になっていると、HTTPSを使用してGUIにアクセスできません。HTTPSを使用してGUIにアクセスするには、次のコマンドを実行します。

  • ip http session-module-list pkilist OPENRESTY_PKI

  • ip http active-session-modules pkilist

• リブートまたはシステムクラッシュの後、GUIから「ERR_SSL_VERSION_OR_CIPHER_MISMATCH」エラーが表示された場合は、トラストポイント証明書を再生成することをお勧めします。
• 新しい自己署名トラストポイントを生成する手順は、次のとおりです。

configure terminal
no crypto pki trustpoint 
no ip http server
no ip http secure-server
ip http server
ip http secure-server
ip http authentication 
! use local or aaa as applicable.

17.6.1

• 17.4.1以降では、Wave 1 Cisco IOSベースのAP(1700、2700、3700、1570)は、IW3700を除きサポートされなくなりました。
• Cisco IOS XEバンガロールRelease 17.4.1以降では、テレメトリソリューションは、テレメトリデータのIPアドレスではなく、受信者アドレスの名前を提供します。これは追加オプションです。コントローラのダウングレードとそれに続くアップグレード中に、新しく名前を付けたレシーバを使用するアップグレードバージョンに問題がある可能性があり、これらがダウングレードで認識されません。新しい設定は拒否され、その後のアップグレードで失敗します。Cisco DNA Centerからアップグレードまたはダウングレードを実行すると、設定の消失を回避できます。
• 非WPA（ゲスト、オープン、またはCWA SSID）でAdaptive FTが設定されているWLANは、アップグレード後にシャットダウンできます。解決策は、アップグレードの前に適応型FT設定を削除することです(Cisco Bug ID CSCvx34349)。 適応型FT設定は非WPA SSIDでは意味がないため、削除しても何も失われません。
• GUIをあるリリースから別のリリースにアップグレードする場合は、すべてのGUIページが正しくリロードされるようにブラウザキャッシュをクリアすることをお勧めします。
• 17.6.1以降のWLCに加入したAPは、8.10.162以降または8.5.176.2以降の8.5コードを実行しない限り、AireOS WLCに加入できなくなりました。
• 17.6.1以降にアップグレードする場合は、適用可能なコントローラ(9800-80)に16.12.5rブートローダ/rommonをインストールすることをお勧めします。 （9800-40には現時点でROMMON 16.12.5rがないため、ROMMONのアップグレードは必要ありません）。
• Cisco IOS XEベンガルール17.3.xからISSUを使用する任意のリリースへのコントローラのアップグレードは、 snmp-server enable traps hsrpコマンドが設定されている。Cisco IOS XEベンガルル17.4.xからsnmp-server enable traps hsrpコマンドが削除されるため、ISSUアップグレードを開始する前に、必ず設定からsnmp-server enable traps hsrpコマンドを削除してください。

• Cisco IOS XE 17.3.x以降のリリースにアップグレードする際にip http active-session-modules noneコマンドが有効になっていると、コントローラのGUIへのHTTPSアクセスが機能しません。HTTPSを使用してGUIにアクセスするには、次のコマンドを実行します。

  • ip http session-module-list pkilist OPENRESTY_PKI

  • ip http active-session-modules pkilist

• リブートまたはシステムクラッシュの後、GUIから「ERR_SSL_VERSION_OR_CIPHER_MISMATCH」エラーが表示された場合は、トラストポイント証明書を再生成することをお勧めします。
• 新しい自己署名トラストポイントを生成する手順は、次のとおりです。

configure terminal
no crypto pki trustpoint 
no ip http server
no ip http securffwe-server
ip http server
ip http secure-server
ip http authentication 
! use local or aaa as applicable.

17.6.2

• 17.4.1以降では、Wave 1 Cisco IOSベースのAP(1700、2700、3700、1570)は、IW3700を除きサポートされなくなりました。
• Cisco IOS XEバンガロールRelease 17.4.1以降では、テレメトリソリューションは、テレメトリデータのIPアドレスではなく、受信者アドレスの名前を提供します。これは追加オプションです。コントローラのダウングレードとそれに続くアップグレード中に、新しく名前を付けたレシーバを使用するアップグレードバージョンに問題がある可能性があり、これらがダウングレードで認識されません。新しい設定は拒否され、その後のアップグレードで失敗します。Cisco DNA Centerからアップグレードまたはダウングレードを実行すると、設定の消失を回避できます。
• 非WPA（ゲスト、オープン、またはCWA SSID）でAdaptive FTが設定されているWLANは、アップグレード後にシャットダウンできます。解決策は、アップグレードの前に適応型FT設定を削除することです(Cisco Bug ID CSCvx34349)。 適応型FT設定は非WPA SSIDでは意味がないため、削除しても何も失われません。
• GUIをあるリリースから別のリリースにアップグレードする場合は、すべてのGUIページが正しくリロードされるようにブラウザキャッシュをクリアすることをお勧めします。
• 17.6.1以降のWLCに加入したAPは、8.10.162以降または8.5.176.2以降の8.5コードを実行しない限り、AireOS WLCに加入できなくなりました。
• 17.6.1以降にアップグレードする場合は、適用可能なコントローラ(9800-80)に16.12.5rブートローダ/rommonをインストールすることをお勧めします。 （9800-40には現時点でrommon 16.12.5rがないため、rommonのアップグレードは必要ありません）。
• Cisco IOS XEベンガルール17.3.xからISSUを使用する任意のリリースへのコントローラのアップグレードは、 snmp-server enable traps hsrpコマンドが設定されている。Cisco IOS XEベンガルル17.4.xからsnmp-server enable traps hsrpコマンドが削除されるため、ISSUアップグレードを開始する前に、必ず設定からsnmp-server enable traps hsrpコマンドを削除してください。

• Cisco IOS XE 17.3.x以降のリリースにアップグレードする際にip http active-session-modules noneコマンドが有効になっていると、HTTPSコントローラのGUIアクセスが機能しません。HTTPSを使用してGUIにアクセスするには、次のコマンドを実行します。

  • ip http session-module-list pkilist OPENRESTY_PKI

  • ip http active-session-modules pkilist

• AP名には31文字を超える文字を使用しないでください。AP名が32文字以上の場合、コントローラがクラッシュする可能性があります。

• リブートまたはシステムクラッシュの後、GUIから「ERR_SSL_VERSION_OR_CIPHER_MISMATCH」エラーが表示された場合は、トラストポイント証明書を再生成することをお勧めします。

• 新しい自己署名トラストポイントを生成する手順は、次のとおりです。

configure terminal
no crypto pki trustpoint 
no ip http server
no ip http secure-server
ip http server
ip http secure-server
ip http authentication 
! use local or aaa as applicable.

クパチーノ

このセクションでは、17.6.1以降からCupertinoリリースにアップグレードすることを前提としています。（サポート可能な）以前のリリースから直接アップグレードする場合は、17.3および17.6のセクションの警告を参照してください。

17.7.1

• AP名には31文字を超える文字を使用しないでください。AP名が32文字以上の場合、コントローラがクラッシュする可能性があります。
• 17.7.1 AP joinプロファイルでAP国コードを設定する必要がある
• Cisco Bug ID CSCvu22886が原因で、9130または9124 APを使用している場合は、17.3.4よりも前のリリースから17.7.1以降にアップグレードするときは、17.3.5aを通過する必要があります。
• Cisco IOS XE Cupertino 17.7.1以降では、Cisco Catalyst 9800-CL Wireless Controllerに対してResource Utilization Measurement(RUM)レポートを完了し、製品インスタンスで少なくとも1回はACKが使用可能になっていることを確認してください。これは、正しく最新の使用状況情報がCisco Smart Software Manager(CSSM)に反映されることを確実にするためです。 これを行わないと、ライセンスレポートがACKされるまで、最大50台のAPが9800-CLに参加することになります。
• GUIをあるリリースから別のリリースにアップグレードする場合は、すべてのGUIページが正しくリロードされるようにブラウザキャッシュをクリアすることをお勧めします。

17.8.1

• AP名には31文字を超える文字を使用しないでください。AP名が32文字以上の場合、コントローラがクラッシュする可能性があります。
• 17.7.1 AP joinプロファイルでAP国コードを設定する必要がある
• Cisco Bug ID CSCvu22886が原因で、9130または9124 APを使用している場合は、17.3.4よりも前のリリースから17.7.1以降にアップグレードするときは17.3.5aを通過する必要があります。
• Cisco Catalyst 9800-CL Wireless ControllerのCisco IOS XE Cuppertino 17.7.1以降では、RUMレポートを完了し、製品インスタンスで少なくとも1回はACKが使用可能になっていることを確認します。これは、正確で最新の使用状況の情報がCSSMに確実に反映されるようにするためです。これを行わないと、ライセンスレポートがACKされるまで、最大50台のAPが9800-CLに参加することになります。
• GUIをあるリリースから別のリリースにアップグレードする場合は、すべてのGUIページが正しくリロードされるようにブラウザキャッシュをクリアすることをお勧めします。

17.9.x

• Cisco IOS-XE 17.9.3を実行するAPでは、/tmpディレクトリのスペースが不十分なためにソフトウェアをアップグレードしようとすると問題が発生する可能性があります。APの/tmpスペースがいっぱいになると、新しいAPイメージのダウンロードが阻止されます。このような場合は、APをリブートすることを推奨します。

• WANリンク経由でソフトウェアをアップグレードすると、11AC Wave 2 APがブートループに陥る可能性があります。詳細については、https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/220443-how-to-avoid-boot-loop-due-to-corrupted.htmlを参照してください。

• 17.9.3以降のリリースでは、Cisco IOSベースのアクセスポイント（x700シリーズおよび1570）のサポートが復活しています。 17.4と17.9.2の間ではサポートされていません。これらのAPのサポートは、通常の製品ライフサイクルサポートを超えるものではありません。個々のサポート終了速報については、Cisco.comを参照してください。
• domainコマンドを設定すると、ISSUを使用したCisco IOS XE Bengaluru 17.3.xからCisco IOS XE Bengaluru 17.6.xまたはCisco IOS XE Cuppertino 17.9.x以降へのコントローラアップグレードが失敗する場合があります。domainコマンドはCisco IOS XEバンガロール17.6.xから削除されているため、ISSUのアップグレードを開始する前に、必ずno domainコマンドを実行してください。
• Cisco Catalyst 9800-CL Wireless ControllerのCisco IOS XE Cuppertino 17.7.1以降では、RUMレポートを完了し、製品インスタンスで少なくとも1回はACKが使用可能になっていることを確認します。これは、正確で最新の使用状況の情報がCSSMに確実に反映されるようにするためです。これを行わないと、ライセンスレポートがACKされるまで、最大50台のAPが9800-CLに参加することになります。
• 1500未満のフラグメンテーションは、Gi0(OOB)インターフェイスでワイヤレスクライアントによって生成されるRADIUSパケットではサポートされません。
• 17.3以降では、9800-CLが正常に機能するには16 GBのディスク領域が必要です。WLCインスタンスが8 GBのOVA（17.3より前）で開始された場合、サイズを動的に増やすことはできません。 唯一の方法は、17.3より後の日付のOVAから新しいWLCを作成することです。
• GUIをあるリリースから別のリリースにアップグレードする場合は、すべてのGUIページが正しくリロードされるようにブラウザキャッシュをクリアすることをお勧めします。
• Cisco Catalyst 9800-Lワイヤレスコントローラは、ブート時にコンソールポートで受信したブレーク信号に応答できなくなり、ユーザがrommonにアクセスできなくなる場合があります。この問題は、2019年11月まで製造されたコントローラで発生し、コンフィギュレーションレジスタのデフォルト設定は0x2102です。この問題は、config-registerを0x2002に設定すると回避できます。この問題は、Cisco Catalyst 9800-LワイヤレスコントローラのROMmon 16.12(3r)で修正されています。rommonをアップグレードする方法の詳細については、『Cisco Catalyst 9800シリーズワイヤレスコントローラのField Programmable Hardware Devicesのアップグレード』の「Upgrading rommon for Cisco Catalyst 9800-L Wireless Controllers」のセクションを参照してください。

• リブートまたはシステムクラッシュの後にこのエラーメッセージが表示された場合は、トラストポイント証明書を再生成することをお勧めします。

   ERR_SSL_VERSION_OR_CIPHER_MISMATCH

  新しい自己署名トラストポイント証明書を生成するには、次のコマンドを指定された順序で使用します。

  1. device# configure terminal

  2. device(config)# no crypto pki trustpoint trustpoint_name

  3. device(config)# no ip http server

  4. device(config)# no ip http secure-server

  5. device(config)# ip http server

  6. device(config)# ip http secure-server

  7. device(config)# ip http authentication local/aaa

• wireless mobility mac-addressコマンドを使用して、モビリティMACアドレスが設定されていることを確認します。
• 現在、これらのプロトコルは17.9のサービスポートでサポートされています。

  • Cisco DNA Center

  • Cisco Smart Software Manager

  • Cisco Prime Infrastructure

  • Telnet

  • コントローラGUI

  • DNS

  • ファイル転送

  • GNMI

  • HTTP

  • HTTPS

  • [LDAP]

  • CSSMと通信するためのスマートライセンス機能のライセンス

  • Netconf

  • NetFlow

  • NTP

  • RADIUS（CoAを含む）

  • Restconf

  • SNMP

  • SSH

  • SYSLOG

  • TACACS+

• 17.9用のAPイメージが、最初に許可されたAPフラッシュよりも大きい。17.9イメージをダウンロードする際に、十分なスペースがないという苦情がAPに出る場合は、おそらく、リリースノートで推奨されている17.3.5までのアップグレードパスを尊重しなかったか、APで古いAireOSイメージが稼働していることが原因と考えられます。17.3.5以降のWLCを経由して移行するか、AireOSイメージを最新のものにアップグレードすると、APフラッシュのサイズが変更され、17.9イメージのダウンロードが可能になります。

ダブリン

17.10.1

• Cisco Centralized Key Management(CCKM)機能は、Cisco IOS XE Dublin 17.10.xでは廃止されています。
• Smart Call Homeは、ライセンスに関してSmart Transportを推奨しないため、使用されなくなっています。

• Cisco IOS-XE 17.9.3以降を実行するAPでは、/tmpディレクトリのスペース不足が原因で、ソフトウェアのアップグレードを試みると問題が発生する可能性があります。APの/tmpスペースがいっぱいになると、新しいAPイメージのダウンロードが阻止されます。このような場合は、APをリブートすることを推奨します。

  WANリンク経由でソフトウェアをアップグレードすると、Wave 2 APがブートループに陥る可能性があります。詳細については、https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/220443-how-to-avoid-boot-loop-due-to-corrupted.htmlを参照してください。

• Cisco IOS XE Cupertino 17.7.1以降から、Cisco Catalyst 9800-CLワイヤレスコントローラに対して、RUMレポートを完了し、製品インスタンスで少なくとも1回はACKが利用可能であることを確認します。これは、正確で最新の使用状況の情報がCSSMに確実に反映されるようにするためです。これを行わないと、ライセンスレポートがACKされるまで、最大50台のAPが9800-CLに参加することになります。
• GUIをあるリリースから別のリリースにアップグレードする場合は、すべてのGUIページが正しくリロードされるようにブラウザキャッシュをクリアすることをお勧めします。
• 1500未満のフラグメンテーションは、Gi0(OOB)インターフェイスでワイヤレスクライアントによって生成されるRADIUSパケットではサポートされません。
• 17.3以降では、9800-CLが正常に機能するには16 GBのディスク領域が必要です。WLCインスタンスが8 GBのOVA（17.3より前）で開始された場合、サイズを動的に増やすことはできません。 唯一の方法は、17.3より後の日付のOVAから新しいWLCを作成することです。
• Cisco Catalyst 9800-Lワイヤレスコントローラは、ブート時にコンソールポートで受信したBREAK信号への応答に失敗し、ユーザがrommonにアクセスできなくなる可能性があります。この問題は、2019年11月まで製造されたコントローラで発生し、コンフィギュレーションレジスタのデフォルト設定は0x2102です。この問題は、config-registerを0x2002に設定すると回避できます。この問題は、Cisco Catalyst 9800-LワイヤレスコントローラのROMmon 16.12(3r)で修正されています。rommonをアップグレードする方法の詳細については、『Cisco Catalyst 9800シリーズワイヤレスコントローラのField Programmable Hardware Devicesのアップグレード』の「Cisco Catalyst 9800-Lワイヤレスコントローラのrommonのアップグレード」セクションを参照してください。

• リブートまたはシステムクラッシュの後にこのエラーメッセージが表示された場合は、トラストポイント証明書を再生成することをお勧めします。

   ERR_SSL_VERSION_OR_CIPHER_MISMATCH

  新しい自己署名トラストポイント証明書を生成するには、次のコマンドを指定された順序で使用します。

  1. device# configure terminal

  2. device(config)# no crypto pki trustpoint trustpoint_name

  3. device(config)# no ip http server

  4. device(config)# no ip http secure-server

  5. device(config)# ip http server

  6. device(config)# ip http secure-server

  7. device(config)# ip http authentication local/aaa

• wireless mobility mac-addressコマンドを使用して、モビリティMACアドレスが設定されていることを確認します。
• 現在、これらのプロトコルは17.9のサービスポートでサポートされています。

  • Cisco DNA Center

  • Cisco Smart Software Manager

  • Cisco Prime Infrastructure

  • Telnet

  • コントローラGUI

  • DNS

  • ファイル転送

  • GNMI

  • HTTP

  • HTTPS

  • [LDAP]

  • CSSMと通信するためのスマートライセンス機能のライセンス

  • Netconf

  • NetFlow

  • NTP

  • RADIUS（CoAを含む）

  • Restconf

  • SNMP

  • SSH

  • SYSLOG

  • TACACS+

• 17.9用のAPイメージが、最初に許可されたAPフラッシュよりも大きい。17.9イメージのダウンロード時にAPに十分なスペースがないという苦情が出た場合は、リリースノートで推奨されている17.3.5へのアップグレードパスを尊重しなかったか、APで古いAireOSイメージが稼働していることが原因と考えられます。17.3.5以降のWLCを経由して移行するか、AireOSイメージを最新のものにアップグレードすると、APフラッシュのサイズが変更されて、17.9イメージのダウンロードが可能になります。

17.11.1

• CCKM機能は、Cisco IOS XE Dublin 17.10.xでは廃止されています。
• Smart Call Homeは、ライセンスに関してSmart Transportを推奨しないため廃止される
• GUIをあるリリースから別のリリースにアップグレードする場合は、すべてのGUIページが正しくリロードされるようにブラウザキャッシュをクリアすることをお勧めします。

• Cisco IOS-XE 17.9.3以降を実行するAPでは、/tmpディレクトリのスペース不足が原因で、ソフトウェアのアップグレードを試みると問題が発生する可能性があります。APの/tmpスペースがいっぱいになると、新しいAPイメージのダウンロードが阻止されます。このような場合は、APをリブートすることを推奨します。

  WANリンク経由でソフトウェアをアップグレードすると、Wave 2 APがブートループに陥る可能性があります。詳細については、https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/220443-how-to-avoid-boot-loop-due-to-corrupted.htmlを参照してください。

• Cisco Catalyst 9800-CL Wireless ControllerのCisco IOS XE Cuppertino 17.7.1以降では、RUMレポートを完了し、製品インスタンスで少なくとも1回はACKが利用可能になっていることを確認します。これは、正確で最新の使用状況の情報がCSSMに確実に反映されるようにするためです。これを行わないと、ライセンスレポートがACKされるまで、最大50台のAPが9800-CLに参加することになります。
• 1500未満のフラグメンテーションは、Gi0(OOB)インターフェイスでワイヤレスクライアントによって生成されるRADIUSパケットではサポートされません。
• 17.3以降では、9800-CLが正常に機能するには16 GBのディスク領域が必要です。WLCインスタンスが8 GBのOVA（17.3より前）で開始された場合、サイズを動的に増やすことはできません。 唯一の方法は、17.3より後の日付のOVAから新しいWLCを作成することです。
• Cisco Catalyst 9800-Lワイヤレスコントローラは、ブート時にコンソールポートで受信したブレーク信号に応答できなくなり、ユーザがrommonにアクセスできなくなる場合があります。この問題は、2019年11月まで製造されたコントローラで発生し、コンフィギュレーションレジスタのデフォルト設定は0x2102です。config-registerを0x2002に設定すると回避できます。この問題は、Cisco Catalyst 9800-LワイヤレスコントローラのROMmon 16.12(3r)で修正されています。rommonをアップグレードする方法の詳細については、『Cisco Catalyst 9800シリーズワイヤレスコントローラのField Programmable Hardware Devicesのアップグレード』の「Cisco Catalyst 9800-Lワイヤレスコントローラのrommonのアップグレード」セクションを参照してください。

• リブートまたはシステムクラッシュの後にこのエラーメッセージが表示された場合は、トラストポイント証明書を再生成することをお勧めします。
  
  

   ERR_SSL_VERSION_OR_CIPHER_MISMATCH

  
  新しい自己署名トラストポイント証明書を生成するには、次のコマンドを指定された順序で使用します。

  1. device# configure terminal

  2. device(config)# no crypto pki trustpoint trustpoint_name

  3. device(config)# no ip http server

  4. device(config)# no ip http secure-server

  5. device(config)# ip http server

  6. device(config)# ip http secure-server

  7. device(config)# ip http authentication local/aaa

• wireless mobility mac-addressコマンドを使用して、モビリティMACアドレスが設定されていることを確認します。
• 現在、これらのプロトコルは17.9のサービスポートでサポートされています。

  • Cisco DNA Center

  • Cisco Smart Software Manager

  • Cisco Prime Infrastructure

  • Telnet

  • コントローラGUI

  • DNS

  • ファイル転送

  • GNMI

  • HTTP

  • HTTPS

  • [LDAP]

  • CSSMと通信するためのスマートライセンス機能のライセンス

  • Netconf

  • NetFlow

  • NTP

  • RADIUS（CoAを含む）

  • Restconf

  • SNMP

  • SSH

  • SYSLOG

  • TACACS+

• 17.9用のAPイメージが、最初に許可されたAPフラッシュよりも大きい。17.9イメージのダウンロード時にAPに十分なスペースがないという苦情が出た場合は、リリースノートで推奨されている17.3.5へのアップグレードパスを尊重しなかったか、APで古いAireOSイメージが稼働していることが原因と考えられます。17.3.5以降のWLCを経由して移行するか、AireOSイメージを最新のものにアップグレードすると、APフラッシュのサイズが変更されて、17.9イメージのダウンロードが可能になります。

17.12.1

• CCKM機能は、Cisco IOS XE Dublin 17.10.xでは廃止されています。
• Smart Call Homeは、ライセンスに関してSmart Transportを推奨しないため、使用されなくなっています。
• GUIをあるリリースから別のリリースにアップグレードする場合は、すべてのGUIページが正しくリロードされるようにブラウザキャッシュをクリアすることをお勧めします。

• Cisco IOS-XE 17.9.3以降を実行するAPでは、/tmpディレクトリのスペース不足が原因で、ソフトウェアのアップグレードを試みると問題が発生する可能性があります。APの/tmpスペースがいっぱいになると、新しいAPイメージのダウンロードが阻止されます。このような場合は、APをリブートすることを推奨します。

  WANリンク経由でソフトウェアをアップグレードすると、Wave 2 APがブートループに陥る可能性があります。詳細については、https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/220443-how-to-avoid-boot-loop-due-to-corrupted.htmlを参照してください。

• 17.12.1以降のリリースでは、Cisco IOSベースのアクセスポイント（x700シリーズおよび1570）のサポートが復活しています。 17.4と17.9.2の間ではサポートされていません。これらのAPのサポートは、通常の製品ライフサイクルサポートを超えるものではありません。個々のサポート終了速報については、Cisco.comを参照してください。 
• Cisco Catalyst 9800-CL Wireless ControllerのCisco IOS XE Cuppertino 17.7.1以降では、RUMレポートを完了し、製品インスタンスで少なくとも1回はACKが使用可能になっていることを確認します。これは、正確で最新の使用状況の情報がCSSMに確実に反映されるようにするためです。これを行わないと、ライセンスレポートがACKされるまで、最大50台のAPが9800-CLに参加することになります。
• 1500未満のフラグメンテーションは、Gi0(OOB)インターフェイスでワイヤレスクライアントによって生成されるRADIUSパケットではサポートされません。
• 17.3以降では、9800-CLが正常に機能するには16 GBのディスク領域が必要です。WLCインスタンスが8 GBのOVA（17.3より前）で開始された場合、サイズを動的に増やすことはできません。 唯一の方法は、17.3より後の日付のOVAから新しいWLCを作成することです。
• Cisco Catalyst 9800-Lワイヤレスコントローラは、ブート時にコンソールポートで受信したブレーク信号に応答できなくなり、ユーザがrommonにアクセスできなくなる場合があります。この問題は、2019年11月まで製造されたコントローラで発生し、コンフィギュレーションレジスタのデフォルト設定は0x2102です。この問題は、config-registerを0x2002に設定すると回避できます。この問題は、Cisco Catalyst 9800-LワイヤレスコントローラのROMmon 16.12(3r)で修正されています。rommonをアップグレードする方法の詳細については、『Cisco Catalyst 9800シリーズワイヤレスコントローラのField Programmable Hardware Devicesのアップグレード』の「Cisco Catalyst 9800-Lワイヤレスコントローラのrommonのアップグレード」セクションを参照してください。

• リブートまたはシステムクラッシュの後にこのエラーメッセージが表示された場合は、トラストポイント証明書を再生成することをお勧めします。
  
  

   ERR_SSL_VERSION_OR_CIPHER_MISMATCH

  
  新しい自己署名トラストポイント証明書を生成するには、次のコマンドを指定された順序で使用します。

  1. device# configure terminal

  2. device(config)# no crypto pki trustpoint trustpoint_name

  3. device(config)# no ip http server

  4. device(config)# no ip http secure-server

  5. device(config)# ip http server

  6. device(config)# ip http secure-server

  7. device(config)# ip http authentication local/aaa

• wireless mobility mac-addressコマンドを使用して、モビリティMACアドレスが設定されていることを確認します。
• 現在、これらのプロトコルは17.9のサービスポートでサポートされています。

  • Cisco DNA Center

  • Cisco Smart Software Manager

  • Cisco Prime Infrastructure

  • Telnet

  • コントローラGUI

  • DNS

  • ファイル転送

  • GNMI

  • HTTP

  • HTTPS

  • [LDAP]

  • CSSMと通信するためのスマートライセンス機能のライセンス

  • Netconf

  • NetFlow

  • NTP

  • RADIUS（CoAを含む）

  • Restconf

  • SNMP

  • SSH

  • SYSLOG

  • TACACS+

• 17.9用のAPイメージが、最初に許可されたAPフラッシュよりも大きい。17.9イメージのダウンロード時にAPに十分なスペースがないという苦情が出た場合は、リリースノートで推奨されている17.3.5へのアップグレードパスを尊重しなかったか、APで古いAireOSイメージが稼働していることが原因と考えられます。17.3.5以降のWLCを経由して移行するか、AireOSイメージを最新のものにアップグレードすると、APフラッシュのサイズが変更され、17.9イメージのダウンロードが可能になります。
• APを17.12以降のリリースにアップグレードすると、そのコンソールボーレートはすぐには変更されません。ただし、工場出荷時の設定にリセットした場合（または新しいAPが17.12以降のWLCに接続した場合）は、デフォルトで115200コンソールボーレートが使用されます。

ダウングレード

ダウングレードは公式にはサポートされておらず、新しい機能の設定が失われる可能性があります。ただし、ダウングレードは実際の環境で発生する可能性があるため、このドキュメントでは、ダウングレードを回避するための最も一般的なトラップのリストを引き続き示します。必要な情報を見つけるには、ダウングレードするバージョン（ダウングレード前のバージョン）を確認します。

ジブラルタル

16.12.2

• ここで指摘すべきことは何もありません。

16.12.3

• Cisco Catalyst 9800ワイヤレスコントローラが17.xから16.12.4aにダウングレードされると、連続的なリロードが発生します。Cisco IOS XE Gibraltar 16.12.4aではなく、16.12.5にダウングレードすることを推奨します。

16.12.4

• Cisco Bug ID CSCvt69990/Cisco Bug ID CSCvv87417でテレメトリが設定されている場合は、このリリースからより低いリリースにダウングレードすると、WLCでブートループが発生する可能性があります。
• Cisco Catalyst 9800ワイヤレスコントローラは、17.xから16.12.4aにダウングレードするとリロードする可能性があります。これを回避するには、16.12.4aではなくCisco IOS XE Gibraltar 16.12.5にダウングレードすることを推奨します。

アムステルダム

17.1.1

• このリリースからより低いリリースにダウングレードする場合、Cisco Bug ID CSCvt69990/CSCvv8741が原因でテレメトリが設定されていると、WLCでブートループが発生する可能性があります。
• Cisco Catalyst 9800ワイヤレスコントローラが17.xから16.12.4aにダウングレードされると、連続的なリロードが発生します。Cisco IOS XE Gibraltar 16.12.4aではなく、16.12.5にダウングレードすることを推奨します。

17.2.1

• このリリースからより低いリリースにダウングレードする場合、Cisco Bug ID CSCvt6990/Cisco Bug ID CSCvv87417によりテレメトリが設定されていると、WLCでブートループが発生する可能性があります。
• Cisco IOS XE Amsterdam 17.3.1からそれ以前のリリースにダウングレードすると、4よりも高い範囲で設定されているポートチャネルが表示されなくなります。
• Cisco Catalyst 9800ワイヤレスコントローラが17.xから16.12.4aにダウングレードされると、連続的なリロードが発生します。Cisco IOS XE Gibraltar 16.12.4aではなく、16.12.5にダウングレードすることを推奨します。

17.3.1

• このリリースからより低いリリースにダウングレードする場合、Cisco Bug ID CSCvt69990が原因でテレメトリが設定されていると、WLCがブートループに陥る可能性があります

  /CSCvv8741

• Cisco IOS XE Amsterdam 17.3.1からそれよりも前のリリースにダウングレードすると、より高い範囲で設定されているポートチャネルが消失します。
• Cisco IOS XE Amsterdam 17.3.1から以前のリリースにダウングレードする場合、17.3より前には存在しなかった「wireless country」コマンドを設定すると、再びday-0 wizardが発生する可能性があります。
• Cisco Catalyst 9800ワイヤレスコントローラが17.xから16.12.4aにダウングレードされると、連続的なリロードが発生します。Cisco IOS XE Gibraltar 16.12.4aではなく、16.12.5にダウングレードすることを推奨します。
• Cisco IOS XE Amsterdam 17.3.x（ローカルスイッチングIPv6 AVCをサポート）からCisco IOS XE Gibraltar 16.12.x（ローカルスイッチングIPv6 AVCをサポートしない）にダウングレードする場合、WLANポリシープロファイルをシャットダウンすることはできません。 このような場合は、既存のWLANポリシープロファイルを削除し、新しいプロファイルを作成することをお勧めします。

17.3.2

• このリリースからより低いリリースにダウングレードする場合、Cisco Bug ID CSCvt6990/Cisco Bug ID CSCvv87417によりテレメトリが設定されていると、WLCはブートループに陥ります。
• Cisco IOS XE Amsterdam 17.3.1からそれよりも前のリリースにダウングレードすると、より高い範囲で設定されているポートチャネルが消失します。
• Cisco IOS XE Amsterdam 17.3.1から以前のリリースにダウングレードする場合、17.3より前には存在しなかった「wireless country」コマンドを設定すると、再びday-0 wizardが発生する可能性があります。
• Cisco Catalyst 9800ワイヤレスコントローラが17.xから16.12.4aにダウングレードされると、連続的なリロードが発生します。Cisco IOS XE Gibraltar 16.12.4aではなく、16.12.5にダウングレードすることを推奨します。
• Cisco IOS XE Amsterdam 17.3.x（ローカルスイッチングIPv6 AVCをサポート）からCisco IOS XE Gibraltar 16.12.x（ローカルスイッチングIPv6 AVCをサポートしない）にダウングレードする場合、WLANポリシープロファイルをシャットダウンすることはできません。 このような場合は、既存のWLANポリシープロファイルを削除し、新しいプロファイルを作成することをお勧めします。

17.3.3

• このリリースからより低いリリースにダウングレードする場合、Cisco Bug ID CSCvt6990/Cisco Bug ID CSCvv87417によりテレメトリが設定されていると、WLCでブートループが発生する可能性があります。
• Cisco IOS XE Amsterdam 17.3.1からそれよりも前のリリースにダウングレードすると、より高い範囲で設定されているポートチャネルが消失します。
• Cisco IOS XE Amsterdam 17.3.1から以前のリリースにダウングレードする場合、17.3より前には存在しなかった「wireless country」コマンドを設定すると、再びday-0 wizardが発生する可能性があります。
• Cisco Catalyst 9800ワイヤレスコントローラが17.xから16.12.4aにダウングレードされると、連続的なリロードが発生します。Cisco IOS XE Gibraltar 16.12.4aではなく、16.12.5にダウングレードすることを推奨します。
• Cisco IOS XE Amsterdam 17.3.x（ローカルスイッチングIPv6 AVCをサポート）からCisco IOS XE Gibraltar 16.12.x（ローカルスイッチングIPv6 AVCをサポートしない）にダウングレードする場合、WLANポリシープロファイルをシャットダウンすることはできません。 このような場合は、既存のWLANポリシープロファイルを削除し、新しいプロファイルを作成することをお勧めします。

17.4.1

• Cisco IOS XE Amsterdam 17.4.1から17.3より前のリリースにダウングレードする場合、17.3より前には存在しなかったため、「wireless country」コマンドを設定すると、再度「day-0」ウィザードが表示されることがあります。
• Cisco IOS XE Amsterdam 17.4.1から以前のリリースにダウングレードすると、17.4が以前のバージョンでサポートされていない名前付きテレメトリ接続先を使用するため、テレメトリ接続が失われます。テレメトリ接続を再作成する必要があります。
• Cisco Catalyst 9800ワイヤレスコントローラが17.xから16.12.4aにダウングレードされると、連続的なリロードが発生します。Cisco IOS XE Gibraltar 16.12.4aではなく、16.12.5にダウングレードすることを推奨します。

17.5.1

• Cisco IOS XE Amsterdam 17.4.1から17.3より前のリリースにダウングレードする場合、17.3より前には存在しなかったため、「wireless country」コマンドを設定すると、再度「day-0」ウィザードが表示されることがあります。
• Cisco IOS XE Amsterdam 17.4.1から以前のリリースにダウングレードすると、17.4が以前のバージョンでサポートされていない名前付きテレメトリ接続先を使用するため、テレメトリ接続が失われます。テレメトリ接続を再作成する必要があります。
• Cisco Catalyst 9800ワイヤレスコントローラが17.xから16.12.4aにダウングレードされると、連続的なリロードが発生します。Cisco IOS XE Gibraltar 16.12.4aではなく、16.12.5にダウングレードすることを推奨します。

17.9.x

• 802.1xパスワードは暗号化されているため、このリリースではクリアテキストで表示されません。暗号化されたパスワードをサポートしていない以前のイメージにダウングレードすると、APがスタックし、クレデンシャルが誤っているためにdot1x認証が繰り返し失敗します。クリアテキストのパスワードを設定する前に、APがコントローラに加入できるように、APスイッチポートで802.1xをディセーブルにする必要があります。

17.10.1

• 802.1xパスワードは暗号化されているため、このリリースではクリアテキストで表示されません。暗号化されたパスワードをサポートしていない以前のイメージにダウングレードすると、APがスタックし、クレデンシャルが誤っているためにdot1x認証が繰り返し失敗します。クリアテキストのパスワードを設定する前に、APがコントローラに加入できるように、APスイッチポートで802.1xをディセーブルにする必要があります。

17.11.1

• 802.1xパスワードは暗号化されているため、このリリースではクリアテキストで表示されません。暗号化されたパスワードをサポートしていない以前のイメージにダウングレードすると、APがスタックし、クレデンシャルが誤っているためにdot1x認証が繰り返し失敗します。クリアテキストのパスワードを設定する前に、APがコントローラに加入できるように、APスイッチポートで802.1xをディセーブルにする必要があります。

17.12.x

• 802.1xパスワードは暗号化されているため、このリリースではクリアテキストで表示されません。暗号化されたパスワードをサポートしていない以前のイメージにダウングレードすると、APがスタックし、クレデンシャルが誤っているためにdot1x認証が繰り返し失敗します。クリアテキストのパスワードを設定する前に、APがコントローラに加入できるように、APスイッチポートで802.1xをディセーブルにする必要があります。

関連情報

• 17.1ホットパッチおよびローリングAPアップグレードガイド
• 17.3ホットパッチおよびISSUアップグレードガイド
• シスコのテクニカルサポートとダウンロード