リモート導入用のアクセスポイントイメージアップグレードについて

はじめに

このドキュメントでは、WAN経由でCisco APイメージを効率的にアップグレードし、遅延と信頼性の課題に対処する方法について説明します。

Ciscoアクセスポイントイメージアップグレード方式

シスコのアクセスポイント(AP)では定期的なイメージアップグレードが不可欠ですが、このようなアップグレードを高遅延のワイドエリアネットワーク(WAN)リンク経由でリモートサイトに対して実行するのは困難な場合があります。標準のCAPWAPイメージダウンロード方式は、ローカルネットワークでは効果的ですが、低速で、WAN経由での信頼性が低い可能性があります。このセクションでは、この問題が発生する理由を説明し、効率的なリモートアップグレードのために設計された代替および強化された方法の概要を示します。

課題：WAN経由での標準的なCAPWAPイメージのダウンロード

CAPWAPによるAPイメージのアップグレードの基本的なプロセスは、RFC 5415のセクション9.1で定義されています。このメカニズムにより、ワイヤレスLANコントローラ(WLC)は、CAPWAPトンネルを介して、接続されたAPに新しいAPイメージを直接提供できます。  ファームウェアデータのチャンクを含むImage Data Request（RFC 5415、セクション9.1.1）ごとに、WLCは、次のチャンクを送信する前に、APからの対応するImage Data Response Acknowledgment（RFC 5415、セクション9.1.2）を待機します。

次の図は、APがrun状態の間のAPとWLCの間のイメージ転送プロセスを示しています。

APイメージ転送のプロセスフロー

観察されたように、WLCはファームウェアイメージデータのチャンクを含むイメージデータ要求メッセージを送信します。APは、Image Data Response(IDR)メッセージを送信して、これらのチャンクの受信を確認応答します。この交換は、イメージ全体が転送されるまで続きます。

各画像データ要求メッセージに対して、対応する画像データ応答メッセージが確認応答として期待されます。つまり、APは各イメージパケットが到着するのを待ち、確認応答を行い、次のパケットを待つ必要があります。これにより、WAN環境でのイメージダウンロードの速度が低下します。

たとえば、APとWLCの間のラウンドトリップ時間(RTT)が100ミリ秒の場合、これによって転送レートが実質的に1秒あたり約10パケットに制限されます。各パケットサイズが1000バイトの場合、最大スループットは10 KB/秒になります。APイメージが50MBの場合、転送を完了するための理論上の最小時間は約5120秒です。このことは、たとえ十分な帯域幅が使用可能であっても、このSTOP-AND-WAIT確認応答メカニズムのためにCAPWAPイメージのダウンロードが遅いと感じる場合があることを示しています。この影響は、WLCとAPが同じキャンパスネットワークの一部であり、遅延が最小限であるローカルイメージ転送では目立ちません。

注意：パケット損失の起こりやすいWANリンクは、イメージの破損を引き起こす可能性があります。Cisco Bug IDCSCwf09053を参照してください   を参照してください。

特に高遅延または帯域幅に制約のあるWAN環境において、標準のCAPWAP制御パス転送メカニズムに内在するこれらの制限を緩和するために、3つの機能拡張が導入されました。

1. CAPWAPウィンドウ拡張機能は、マルチパケットスライディングウィンドウを実装することで、CAPWAP制御パス自体を改善します。これにより、確認応答が必要になる前に複数のデータパケットを送信できるようになり、CAPWAPフレームワーク内の高遅延リンクのスループットが向上します。
2. FlexConnectモードでのEfficient Image Upgradeは、WAN帯域幅が限られているブランチオフィスで頻繁に導入されるFlexConnect AP用に設計された最適化方式です。この方法では、イメージのダウンロードタスクを配布することにより、WANの負荷を最小限に抑えます。
3. アウトオブバンドHTTPsベースのAPイメージのダウンロード方式では、イメージ転送のためにコントローラ上の専用Webサーバで実行される、独立した、より効率的なHTTPsプロトコルを活用し、限定的なCAPWAP制御トンネルの外部に移動させることで、この問題に対処しています。

CAPWAPイメージダウンロードウィンドウの機能拡張

この機能により、Office Extend Access Points(OEAP)またはテレワーカーAP専用のCAPWAPベースのイメージダウンロードの速度が向上します。これは、単一のウィンドウを持つ標準のCAPWAP制御チャネルの制限に対処するもので、次のパケットを送信する前にすべてのパケットに対して確認応答が必要になるため、高遅延リンクでの転送が遅くなります。この機能拡張により、制御パケットに対する複数のスライディングウィンドウのサポートが追加されました。

CAPWAPウィンドウサイズの影響

制御チャネルでのCAPWAPイメージダウンロードプロセスの効率は、設定されたウィンドウサイズ（特に高遅延リンク間）によって大きく影響されます。

CAPWAPウィンドウサイズ= 1（デフォルト/標準）：パケットフローは厳密なstop-and-wait動作を示します。WLCから送信されたImage Data Request(MDRQ)パケットごとに、WLCは一時停止し、APからのImage Data Response確認応答を待機してから、次のパケットを送信します。

ウィンドウサイズ1のCAPWAPイメージアップグレードフロー

CAPWAPウィンドウサイズ= N（たとえば20）：パケットフローはスライディングウィンドウメカニズムを示します。確認応答を要求する前に複数のパケットがリンク上を通過できるようにすることで、スライディングウィンドウは遅延を効果的にマスクします。

ウィンドウサイズが20のCAPWAPイメージアップグレードフロー

プロセスの概要

1. OEAP/テレワーカーAP専用のAPプロファイルを設定します。
2. このプロファイル内でCAPWAPウィンドウサイズを1より大きく設定します。
3. このAPプロファイルをOEAP/テレワーカーAPに関連付けます。
4. APの加入プロセス中に、設定されたウィンドウサイズが適用されます。
5. 以降のCAPWAPイメージのダウンロードでは、より大きなウィンドウサイズが使用され、スループットが向上します。

設定(CLI)

APプロファイルを設定し、CAPWAPウィンドウサイズを設定します。

configure terminal ap-profile capwap window size  <- Between 3 to 20 
end

APプロファイルをサイトタグに関連付け、APに適用します（「効率的なイメージアップグレード」のステップ2および3と同様に、正しいAPプロファイルがサイトタグを介してリンクされていることを確認します）。

検証(CLI)

show ap profile name detailed | in indo <- View CAPWAP window size in an AP profile
show capwap client rcb | in Window <- View CAPWAP status and modes for a specific AP(Look for CAPWAP Sliding Window and Active Window Size)
show ap config general | in indo <- View AP configuration details(Shows Capwap Active Window Size) 

制限事項/考慮事項

• この拡張機能は、OEAPプロファイルでのみサポートされます。
• ウィンドウサイズは、AP加入プロセス中にのみAPで更新されます。
• 最新のアップグレードイメージがAPにすでに存在している場合、プレダウンロードはトリガーされません。

注：この機能拡張は、主にOEAP向けに文書化されていますが、通常のFlexConnect APでも機能することが確認されています。ただし、これはFlexConnectの導入に対して完全にテスト/サポートされていません。

FlexConnectモードでの効率的なイメージアップグレード

Efficient Image Upgradeは、FlexConnect AP用に設計された最適化方式で、特にWAN帯域幅に制限のあるブランチオフィスへの導入に役立ちます。この方法では、サイトタグ内のプライマリAPを指定してコントローラからイメージをダウンロードした後、同じサイトタグ内の他の下位APがTFTPを介してプライマリAPからイメージをダウンロードできるようにすることで、WANの負荷を最小限に抑えます。プライマリAPは、サイトタグごとのモデルごとに1つのAPです。

プロセスの概要

1. 新しいAPイメージがWLCでステージングされます。
2. FlexConnect APは、効率的なイメージアップグレードのために設定されたサイトタグに割り当てられます。
3. WLCは、サイトタグ内のモデルごとに1つのAPをプライマリAPとして選択します。
4. プライマリAPは、WANリンク経由（通常はCAPWAP経由）でWLCからイメージをダウンロードします。
5. プライマリAPにイメージが割り当てられると、同じサイトタグ内の下位APは、ローカルネットワーク経由でTFTPを使用してプライマリAPからイメージをダウンロードします。
6. 最大3つの下位APがプライマリAPから同時にダウンロードできます。
7. ダウンロード後、APは新しいイメージを実行するためにリロードします。

利点

• プライマリAPのみがWAN経由でイメージをダウンロードするようにすることで、WANの帯域幅使用量を削減します。
• 下位のAPへのイメージ配信に、より高速なローカルネットワークリンク（TFTP経由）を利用します。

設定(CLI)

Enable Predownload in Flex Profile:
configure terminal 
wireless profile flex 
predownload <- Enables the Efficient Image Upgrade option.
end

Configure a Site Tag and Associate Flex Profile:
configure terminal 
wireless tag site 
flex-profile  <- Ensure 'no local-site' is configured if not already, for Flexconnect mode 
end

Attach Policy Tag and Site Tag to AP(s):
configure terminal 
ap  <- Use wired MAC address 
policy-tag 
site-tag 
rf-tag  
end

Trigger Predownload to a Site Tag:
enable 
ap image predownload site-tag  start 

検証(CLI)

show ap primary list <- Display list of primary APs
show ap image <- Display predownload status of APs: (Initially shows 'Predownloading', then 'Complete')
show ap name  image <- Display image details for a specific AP
show capwap client rcb <- Check if Flex efficient image upgrade is enabled on the AP console 

制限事項/考慮事項

• サイトタグを使用して参加するAPは、効率的なローカルTFTP転送のために物理的に同じ場所に配置する必要があります。
• リスナーサービスにTCPポート8443を使用します（クライアントデバッグバンドルやClean Airファイルなどの他の機能にも使用されます）。 このポートは、機能が無効になっても開いたままになります。
• WLCがインストールモードである必要があります。

アウトオブバンドHTTPsベースのAPイメージのダウンロード

OOB HTTPsベースAPイメージのダウンロードは、標準のCAPWAP制御パスの外部にイメージを転送することによってAPイメージのアップグレードパフォーマンスを向上させるために、Cisco IOS® XE Dublin 17.11.1で導入された拡張方式です。 主な利点とセーフティネットは、HTTPのダウンロードが失敗した場合に、標準のインバンドCAPWAPダウンロードに自動的にフォールバックすることです。

OOB HTTPs方式では、標準TCPとHTTPを使用してイメージを転送します。CAPWAP制御チャネルのstop-and-waitメカニズムとは異なり、TCPでは本質的にスライディングウィンドウメカニズムが使用され、高遅延リンク上での効率的なバルクデータ転送が可能になります。

この方式では、コントローラ上で実行されているWebサーバ(nginx)を使用して、HTTP経由でAPにAPイメージを直接提供します。これにより、大容量ファイルの転送に関するCAPWAP制御パスの制限が回避され、より高速で柔軟なダウンロードメカニズムが提供されます。

使用例

この方法は、APイメージのアップグレードを高速化する場合に有効です。特に、CAPWAP制御トンネルの遅延と帯域幅の制限により、従来のインバンドダウンロードに時間がかかる可能性がある、大規模な展開やリモートサイトで有効です。

プロセスの概要

1. 新しいAPイメージがWLCでステージングされます。
2. OOB HTTPsアップグレード方式は、コントローラで有効にされ、設定されます。
3. APは、OOB方式をサポートする場合、設定されたポート上のHTTPを介して、コントローラ上のnginx Webサーバから必要なイメージをダウンロードしようとします。
4. HTTPのダウンロードが成功すると、APではアップグレードプロセスが続行されます。
5. HTTPのダウンロードが失敗すると、APは自動的に標準のインバンドCAPWAPダウンロード方式にフォールバックします。

パケットキャプチャは、WLCがHTTPsサーバとして機能し、APがHTTPsクライアントとして機能して、ポート8443経由の標準TCP接続とファイルのダウンロードを開始していることを示しています。

HTTPSベースのイメージアップグレードパケットフロー

設定(CLI)

Enable the HTTPS upgrade method:
configure terminal
ap upgrade method https
end 

Configure a custom HTTPS port (Optional - default is 8443):
configure terminal
ap file-transfer https port 
end 

設定(GUI)

1. Configuration > Wireless > Wireless Globalの順に移動します。
2. APイメージアップグレードセクションで、HTTPsメソッドを有効にします。
3. （オプション）HTTPs Portフィールドに値を入力します。
4. Apply to Deviceをクリックします。

検証(CLI)

show ap upgrade method <- Check global HTTPS method status
show ap file-transfer https summary <- View configured and operational HTTPS file transfer port
show ap name  config general | sec Upgrade <- Check if a specific AP supports OOB capability (Look for "AP Upgrade Out-Of-Band Capability : Enabled")
show wireless stats ap image-download <- View the method used for recent downloads (Check the Method column)
show platform software yang-management process <- Verify nginx server status 

制限事項/考慮事項

• Cisco IOS® XEダブリン17.11.1以降が必要。
• Cisco Embedded Wireless ControllerまたはCisco Wave 1アクセスポイントではサポートされません。
• コントローラでグローバルHTTPS設定を有効にする必要があります。
• nginxサーバがコントローラ上で実行されている必要があります。
• 設定されたポートは、コントローラとAPの間で到達可能である必要があります。
• HTTPSサーバのトラストポイントにCA証明書のチェーンがある場合、アップグレードが失敗する可能性があります。
• Cisco IOS® XE 17.11.1より前のバージョンにダウングレードする前に、無効にする必要があります（APアップグレード方式httpsなし）。
• ポート443は予約済みです。他の標準ポートや既知のポートは使用しないでください。
• デフォルトポート8443の競合：コントローラのGUI HTTPSアクセスも8443を使用する場合、APファイル転送またはGUIアクセス用に別のポートを設定します。

注意:Cisco IOS XEワイヤレスコントローラソフトウェアの任意のファイルアップロードの脆弱性など、ファイルのアップロードに関するセキュリティアドバイザリを認識することが重要です。WLCソフトウェアが最新のセキュリティパッチで常に最新の状態であることを確認してください。

TFTP/SFTPによる個々のAPの手動アップグレード

この方法では、コンソールまたはSSH経由でAP CLIに直接アクセスし、TFTPまたはSFTPサーバからイメージのダウンロードを開始します。これは、特定のAPのトラブルシューティング、現在コントローラに加入していないAPのアップグレード、またはTACが提供するデバッグイメージのロードに役立ちます。

APイメージを検索します。

このプロセスは、実際にはAPイメージをAPに直接ロードします。WLCベースのアップグレードの場合、WLCはWLCイメージバンドルからAPに適したイメージを選択します。ここでは、手動で選択する必要があります。

APイメージのバージョンでは、WLCイメージの命名規則とは異なる命名規則が使用されます。

Cisco Catalyst 9800シリーズWireless Controllerソフトウェアリリースのリンクサポート対象アクセスポイントに移動します

Cisco Catalyst 9800シリーズワイヤレスコントローラソフトウェアリリースでサポートされているアクセスポイント

ワイヤレスAPの互換性マトリクス

最初の列では、9800 WLCのCCOイメージについて説明します。3列目には対応するイメージバージョンが、4列目にはそのバージョンでサポートされるアクセスポイントが表示されます。バージョン17.12.4のAP 9130にAPイメージをインストールする必要があると仮定します。表を確認すると、APイメージ名が15.3(3)JPQ3であることがわかります。また、9130はサポート対象モデルとして記載されています。

次の手順では、software.cisco.comに移動し、APダウンロードフォルダからイメージを取得します。

Downloads Home/Wireless/Access Points/Catalyst 9130AXシリーズアクセスポイント/Catalyst 9130AXIアクセスポイント/Lightweight APソフトウェア – 15.3.3-JPQ3(ED)

ソフトウェアダウンロード – Catalyst 9130AXIアクセスポイント

APイメージロケーション

警告：ダウンロードパスは、APモデルとAPイメージのバージョンによって異なります。

プロセスの概要

1. アクセス可能なTFTPまたはSFTPサーバにターゲットAPイメージファイルをステージングします。
2. APのCLI（コンソールまたはSSH）にアクセスします。
3. archive download-swコマンドを実行して、サーバとイメージファイルのパスを指定します。
4. APがイメージをダウンロードします。
5. ダウンロードが完了したら、CAPWAPプロセスを再起動するか、APをリロードして新しいイメージを有効にします。

設定(AP CLI)

archive download-sw /no-reload tftp:/// <- Using TFTP:
archive download-sw /no-reload sftp:/// Username:  Password:  <- Using SFTP:
reload <- Restart CAPWAP process after download: 

検証

• TFTP/SFTPサーバのログを監視して、ダウンロードを確認します。
• APコンソールで、ダウンロードの進行状況と完了を確認します。
• 再起動/リロード後、AP CLIまたはWLCで新しいイメージのバージョンを確認します。

制限事項/考慮事項

• 各APへの直接CLIアクセスが必要。
• 多数のAPを個別にアップグレードする拡張性がない（スクリプトはオプション）。
• TFTPのパフォーマンスは遅延の影響を受けやすい。SFTP（TCPを使用）は高遅延パスよりもパフォーマンスが高いが、インタラクティブ認証（ユーザ名/パスワード）が必要。
• /no-reloadoptionを指定すると、ダウンロード直後のAPのリロードが防止され、再起動/リロードタイミングを手動で制御できます。
• APをAireOSから9800に移行する場合、9800に参加する前に、修正を含む特定のAireOSバージョン（8.10.190.0以降）にAPをアップグレードすることをお勧めします。

ヒント:WLAN Pollerは、複数のAPを手動でアップグレードするスクリプトを作成するために使用できるツールです。この場所でWLANポーラーを見つけます。WLANポーラー

使用する方式

• 高遅延リンク上のOEAPまたはテレワーカーAPの場合：
  CAPWAPイメージダウンロード時間機能拡張を有効にします。これは、スライディングウィンドウを使用してCAPWAPフレームワーク内の遅延の問題に直接対処することで、これらの導入タイプのCAPWAPパフォーマンスを向上させることを目的としています。
• WAN帯域幅が制限されたブランチオフィスのFlexConnect APの場合：
  FlexConnectモードで効率的なイメージアップグレードを利用します。この方法は、TFTP経由でローカル配信にプライマリAPを使用して内部ネットワークの速度を高速化することでWANの負荷を大幅に軽減するため、強く推奨されます。
• ローカルモードAP（または、前述の方式が適用されないか十分でない場合はFlexConnect/OEAP）の場合、サポートされているプラットフォーム(Cisco IOS® XE 17.11.1+)で次の手順を実行します。
  アウトオブバンドHTTPsベースのAPイメージのダウンロードを検討してください。この方式では、バルク転送にTCP/HTTPを使用します。これは、標準のCAPWAPよりも高遅延リンク上で効率的です。また、OOB転送が失敗した場合の標準CAPWAPへのフォールバックも提供します。
• 単一APのトラブルシューティング、WLCに加入していないAPのアップグレード、または緊急時のシナリオ：
  TFTP/SFTP経由で個々のAPの手動アップグレードを実行する。これにより、特定のデバイスのアップグレードプロセスを直接制御できますが、自動化されていない大規模な導入には実用的ではありません。SFTPはTCPを使用するため、高遅延パスよりもパフォーマンスが優れているため、一般にTFTPよりもSFTPの方が優先されます。
• 標準のCAPWAPアップグレード：デフォルトの方法ですが、一般的には、高遅延WANリンク経由でリモートAPをアップグレードするための主要な方法としてはお勧めできません。これは、以前のリリースでは転送が遅くなり、信頼性の問題が発生する可能性があるという、停止して待機するメカニズムが備わっていることが原因です。リモートサイトについては、可能な限り次に示す最適化された方法を使用してください。

APの動作モード、ネットワークの状態、WLCソフトウェアのバージョン、およびアップグレード操作の規模に最も適した方法を選択して、リモートAPの円滑かつ効率的なプロセスを保証します。

結論

標準のCAPWAPイメージのダウンロード方式はローカルネットワークに適していますが、WANリンク経由のリモートAP展開では、最適化されたアップグレード技術により大きなメリットが得られます。高遅延に対する標準CAPWAPの制限を理解することは、適切なアプローチの選択に役立ちます。CAPWAPイメージダウンロード時間機能拡張は、OEAP/テレワーカーAPのパフォーマンスを向上させ、効率的なイメージアップグレードは、WANの負荷を軽減することでFlexConnectの導入を最適化し、アウトオブバンドHTTPは、サポートされているプラットフォーム向けにより高速な代替を提供します。手動のTFTP/SFTP方式は、トラブルシューティングや特定のシナリオに役立つツールです。

参考資料

効率的なイメージアップグレード

アウトオブバンドAPイメージのダウンロード

APイメージのダウンロード時間の改善（OEAPまたはテレワーカーのみ）

Cisco Wireless Controllerプラットフォームソフトウェアリリースでサポートされているシスコアクセスポイント

WLANポーラー

AireOS WLCからWLANPollerを使用したCatalyst 9800への移行