Catalyst 9100 アクセスポイントの Embedded Wireless Controller への変換

はじめに

このドキュメントでは、Lightweight Cisco Catalyst 9000 シリーズ アクセスポイント（AP）を Embedded Wireless Controller（EWC）に変換する方法について説明します。

前提条件

要件

この記事に示されている手順は、AP が Lightweight CAPWAP イメージを実行しており、機能している TFTP サーバーがこの AP に到達可能であることを前提としています。 また、AP へのシリアル接続も必要です。 

使用するコンポーネント

スマートフォンアプリまたは Web UI ウィザードでは、Catalyst AP に Cisco EWC を簡単に展開する方法を説明する他のガイドを利用できます。このドキュメントでは、主に CLI アプローチおよび変換のヒントとテクニックに焦点を当てています。

注：EWC は、Cisco 9105AXW およびすべての Wi-Fi 6E アクセスポイントでサポートされていません。

使用するコンポーネント：

• 9120 AP
• EWC イメージバージョン 17.1.1s
• TFTP サーバ
• コンソール ケーブル

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

Catalyst AP の EWC の概要

Catalyst AP 上の Cisco EWC は、展開と管理が容易な Wi-Fi 6 ネットワークのオプションを提供します。制御機能は Cisco Catalyst AP に組み込まれているため、物理アプライアンスを追加する必要はありません。

これは、堅牢なセキュリティ、シスコの信頼性、Wi-Fi 6 の容量とパフォーマンスといったエンタープライズクラスの機能をすぐに利用できることを意味します。新しいワイヤレスネットワークの展開と管理には、ネットワークの知識や IT サポートはほとんど必要ないため、IT リソースが限られている組織のシングルサイトまたはマルチサイト展開に最適です。セッティングが完了したら、それ以上の操作は不要です。

Catalyst AP 上の Cisco EWC は、Cisco Catalyst 9800 シリーズ ワイヤレスコントローラと同様の Cisco IOS^® XE コードを実行して、復元力、安全性、およびインテリジェントを実現します。EWC を使用すると、コントローラアプライアンスに投資することなく、エンタープライズ機能の利点を得ることができます。

さらに、ニーズが進化しても、Cisco Catalyst AP への投資が保護されます。EWC は、必要に応じて、クラウドベースの展開または物理コントローラベースの展開に移行することができます。

Catalyst AP 上の EWC に関する制限事項

• EWC では、Gig 0 インターフェイスをトランクとして設定することはできません。
• EWCはWi-Fi 6EおよびWi-Fi 7 APではサポートされていません
• EWC はスイッチ仮想インターフェイス（SVI）をサポートしていません。
• EWC は中央スイッチングを実行できません。
• Gig 0 が、ワイヤレスマネージャとして使用できる唯一のインターフェイスです。
• すべての EWC トラフィックは、Gig 0 インターフェイス（RADIUS、Control and Provisioning of Wireless Access Points（CAPWAP）制御、ライセンストラフィックなどを含む）から送信される必要があります。
• EWC は組み込みパケットキャプチャを実行できません。
• EWC は、スニファモードの AP をサポートしていません。
• 同じブロードキャストドメインに別の EWC、AireOS、または 9800 ワイヤレス LAN コントローラ（WLC）がある場合、EWC イメージは起動しません。AP は、他の WLC がネットワークから削除されるまで、通常の Lightweight CAPWAP AP として機能し続けます。
• 混合 AP モデルによる展開で EWC を変換またはアップグレードする場合は、TFTP サーバーが機能している必要があります。
• EWCはパケットをフラグメント化できません(Cisco Bug ID CSCwc95321 ）。

展開

スイッチの設定

EWC AP が接続されるポートは、管理 VLAN であるネイティブ VLAN とのトランクポートである必要があります。 

スイッチの設定例:

configure terminal
  interface gigabitEthernet 0/1
  switchport mode trunk
  switchport trunk native vlan 10

初期設定へのリセット

AP を変換する前に、そのアクセスポイントが新品であっても、出荷時の設定にリセットすることをお勧めします。

1. AP を電源から外します。
2. コンソールケーブルを接続し、PC でシリアルセッションを開きます。
3. APのMode/Resetボタンを押し続けます。
4. Mode/Resetボタンを押し続けながら、APを電源に再接続します。
5. シリアルセッションのプロンプトが表示されるまで、「Mode/Reset」ボタンを押し続けます。

コンソールセッションは、「Mode/Reset」ボタンが押された時間の長さを書き出します。 完全な再起動には、20 秒以上必要です。AP が起動したら、デフォルトのログイン情報（Cisco/Cisco）を使用して CLI にログインできます（Web インターフェイスのログイン情報は webui/Cisco です）。

Network Topology

EWC イメージは、zip ファイル形式で提供されます。 この zip ファイルには次のものが含まれています。

• EWC .bin イメージ（例：C9800-AP-iosxe-wlc.bin）
• EWC に参加できるすべての AP の AP イメージ（例：ap1g4、ap1g7）
• イメージと AP モデルの対応関係が示された Readme.txt ファイル

注：必ず、zip アーカイブの内容を TFTP サーバーに解凍してください。AP はこれらのファイルに直接アクセスする必要があり、アーカイブされたままでは、それらを取得できません。

次の表に、すべてのイメージと、対応する AP モデルを示します。

注：EWC コードを実行できるのは Cisco Catalyst 9000 シリーズ AP のみです。上記の表にある他のすべての AP は、EWC への参加のみが可能です。

解凍した zip ファイルの内容を TFTP サーバーにコピーする必要があります。

イメージをアップグレードする前に、イメージの名前を変更し、静的 IP アドレス、ネットマスク、およびデフォルトゲートウェイを割り当てます。

Username: Cisco
Password: Cisco
AP2CF8.9B5F.8628>enable
Password: Cisco
AP2CF8.9B5F.8628#capwap ap hostname AP1
Please note that if AP is already associated to WLC,
the new hostname will only reflect on WLC after AP
 dis-associates and rejoins.
AP1#capwap ap ip 192.168.1.14 255.255.255.0 192.168.1.1

TFTP サーバーは IP アドレス 192.168.1.25 にあります。Mobility Express とは異なり、2 つの異なるイメージを指定する必要があります。1 つは AP 用、もう 1 つは EWC 用です。イメージの変換は、次のコマンドで実行されます。

AP1#ap-type ewc-ap tftp://192.168.1.25/ap1g7 tftp://192.168.1.25/C9800-AP-iosxe-wlc.bin
Starting download eWLC image tftp://192.168.1.25/C9800-AP-iosxe-wlc.bin ...
It may take a few minutes. If longer, please abort command, check network and try again.
It may take a few minutes. If longer, please abort command, check network and try again.
######################################################################## 100.0%
Upgrading ...

AP CLI のサジェスチョン機能（? を使用）では、サポートされているプロトコルとして TFTP と SFTP のみが提示されます。ただし、HTTP や HTTPS などの他のプロトコルもサポートされています（これらは、最も一般的に使用される TFTP よりもはるかに高速です）。 このドキュメントの執筆時点では、FTP を介してアップグレードすることはできません。HTTP と HTTPS を含むように CLI サジェスチョンを変更するために、Cisco bug ID CSCvy36161 - 「9100 AP の ap-type ewc コマンドではサポートされているプロトコルとして TFTP と SFTP のみが表示される」が登録されています。

AP-1#ap-type ewc-ap ?
WORD URL of AP image <tftp|sftp>://<server_ip>/<file_path>

イメージがアップグレードされると、AP がリブートします。デフォルトのログイン情報（Cisco/Cisco）を使用してログインします。アップグレードが成功すると、show versionコマンドの出力は次のようになります。

AP1#show version
.
...
AP Image type    : EWC-AP IMAGE
AP Configuration : EWC-AP CAPABLE

コードの EWC 部分が起動します。初めて起動する場合は、最大 15 分かかる場合があります。

重要：同じブロードキャストドメイン（VLAN）内に既存の AireOS、9800、Mobility Express、または EWC コントローラがある場合、AP の EWC プロセスは起動しません。

オプション 1 初期 CLI 設定

EWC パーティションが起動すると、初期設定ウィザードの起動を求めるプロンプトが表示されます。この記事では、Catalyst Wireless アプリまたは Web ブラウザウィザードを使用せずに、最初から手動で設定する方法について説明します。

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no

Would you like to terminate autoinstall? [yes]: no

WLC2CF8.9B5F.8628#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
WLC2CF8.9B5F.8628(config)#hostname EWC

######## Cteates local user admin ######## 
EWC(config)#user-name admin
EWC(config-user-name)#privilege 15
EWC(config-user-name)#password 0 Cisco123
EWC(config-user-name)#exit

######## Specifies credentials used to log into APs joined to this EWC ######## 
EWC(config)#ap profile default-ap-profile
EWC(config-ap-profile)#mgmtuser username admin password 0 Cisco123 secret 0 Cisco123
EWC(config-ap-profile)#exit

######## Configures management interface IP address and subnet######## 
EWC(config)#interface gigabitEthernet 0
EWC(config-if)#ip address 192.168.1.15 255.255.255.0
EWC(config-if)#exit

######## Specify WMI ######## 
EWC-WLC(config)#wireless management interface gigabitEthernet 0 

######## Default gateway IP address ######## 
EWC-WLC(config)#ip route 0.0.0.0 0.0.0.0 gigabitEthernet 0

######## Enables web interface of EWC ######## 
EWC(config)#ip http server
EWC(config)#ip http secure-server

#####Specify a country code######
EWC-WLC(config)#wireless country <2 letter country code> 

######## Write to memory ########
EWC(config)#end
EWC#write memory

注：設定を保存し、プリインストールされたday-zero設定をクリアするには、write memoryコマンドを入力する必要があります。これを実行しないと、後述するように、EWC の GUI にアクセスできなくなります。

9800 コントローラとは異なり、EWC のフラッシュメモリには、すべての AP イメージを保存するための十分な容量がありません。 すべての AP イメージは、外部 TFTP または SFTP サーバーでホストされる必要があります。2 つ目の AP が参加しようとすると、EWC は、それを外部サーバーにアクセスさせます。次のコマンドを実行しないと、他の AP はそれに参加できません。

EWC(config)#wireless profile image-download default
EWC(config-wireless-image-download-profile)#image-download-mode tftp
EWC(config-wireless-image-download-profile-tftp)#tftp-image-server 192.168.1.25
EWC(config-wireless-image-download-profile-tftp)#tftp-image-path /

EWC#write memory
Building configuration...
[OK]

https://<EWC management IP address> で Web インターフェイスにアクセスできるようになりました。

注：HTTP と HTTPS の両方が有効になっている場合、EWC は、常に、HTTPS Web インターフェイスをユーザーに提供します。HTTP を有効にすることは、Web 認証などの一部の機能にとって不可欠であるため、有効にすることをお勧めします。

オプション 2 Web UI ウィザード

AP は、EWC モードでリブートすると、MAC アドレスの最後の桁で終わるプロビジョニング サービス セット識別子（SSID）をブロードキャストします。「password」という PSK を使用してそれに接続できます。

次にブラウザを開くと、mywifi.cisco.com にリダイレクトされ、AP Web UI に移動します。「webui」というユーザー名と「cisco」というパスワードで接続してください。

注：EWC 構成ポータルへの Web リダイレクションは、プロビジョニング SSID に接続している場合にのみ機能します。また、これはラップトップが別の Wi-Fi ネットワークまたは有線ネットワークに接続されている場合は機能しません。Day 0 ウィザード プロビジョニング モードのときに EWC の IP アドレスを入力しても、有線ネットワークから AP を設定することはできません。

オプション 3 スマートフォンアプリ

Apple の App Store および Android の Play ストアで、Cisco Catalyst Wireless アプリを入手することができます。このアプリをインストールすると、手動接続または QR コードを介して組み込みコントローラを簡単にプロビジョニングすることができます。

ヒントとテクニック

他の AP の EWC への参加

最大 100 の AP を EWC に参加させることができます。EWC に参加している AP は、FlexConnect モードの場合にのみ機能します。EWCは、フラッシュメモリ内のすべてのAPイメージをホストすることはできません。また、wireless profile image-download defaultコマンドで指定する必要のあるTFTPサーバまたはSFTPサーバが必要です。

EWC が配置されているサイトに、永続的な TFTP サーバーをホストするインフラストラクチャがない場合は、標準のラップトップを一時的に使用できます。AP イメージが保存された TFTP サーバーは、初期展開およびアップグレード時にのみサイトに存在する必要があります。

注:EWCモードでは、内部APはネットワーク内の他のコントローラに加入しません。EWCは、他の設定済みプライマリWLCよりも優先されます。

EWC（旧称 apciscoshell）からの AP コンソールへのアクセス

EWC イメージを実行している AP にコンソールケーブルを接続すると、デフォルトで EWC プロンプトが表示されます。何らかの理由で、基盤となる AP シェルへのアクセスが必要な場合は、次のコマンドで実行できます。

EWC#wireless ewc-ap ap shell username admin
admin@192.168.129.1's password: Cisco123

注：AP 管理ユーザー名とパスワードが AP プロファイルで指定されていない場合は、代わりにデフォルトのユーザー名 Cisco とパスワード Cisco を使用します。

このコマンドは、以前Mobility Expressコントローラで使用できたapciscoshellコマンドと同じです。

終了して EWC シェルに戻るには、次のように入力します。

AP1>logout
Connection to 192.168.129.1 closed.
EWC#

EWC の Lightweight CAPWAP モードへの変換

EWC モードで動作している AP を変換して Lightweight CAPWAP モードに戻す必要がある場合は、次のコマンドで実行できます。

AP1#ap-type capwap
AP is the Master AP, system will need a reboot when ap type is changed to CAPWAP
. Do you want to proceed? (y/N) y

重要：このコマンドでは、AP パーティションと EWC パーティションの両方で完全な出荷時設定へのリセットが実行されます。変換する前に、必ず現在の EWC 設定をバックアップしてください。

オプション43を使用したEWCのCAPWAPへの変換

DHCPオプション43はベンダー固有のオプションで、アクセスポイントにWLCのIPアドレスを提供するために使用されます。オプション43と特定のサブタイプオプションを使用して、EWCをCAPWAPに変換し、WLCアプライアンスまたは仮想コントローラに参加させることができます。ブートアップ時にAPがDHCPオプション43およびサブタイプ0xF2を受信すると、APタイプはCAPWAPに変換され、APは通常の加入プロセスに従います。

形式は、F2の「1+提供されたWLC IPの数+4」を掛けた形式です（WLC IPを1つだけ提供したため、以降の例では5です）。その後、WLCのIPアドレスが16進数に変換されます。

例：f205c0a88202によってWLCのIPアドレスが192.168.130.2に設定され、APがCAPWAPモードに変換される

EWC CLI からの出荷時設定へのリセット

EWC をリセットして出荷時設定に戻すには、EWC CLI プロンプトから次のコマンドを使用します。

EWC#wireless ewc-ap factory-reset

エキスパートモードへのアクセス

デフォルトでは、EWC の Web インターフェイスには、その高度な機能のすべてが表示されるわけではありません。高度な機能を有効にするには、右上隅にある歯車アイコンをクリックし、エキスパートモードをオンにします。

管理インターフェイス証明書およびトラストポイントの生成

EWC では、すべての機能に、製造元でインストールされる証明書（MIC）が使用されます。自己署名証明書を生成しないでください。この記事に示されているコマンドだけで、EWC を稼働させ、AP をそれに参加させることができます。

VLAN の作成

EWC は、EWC の Cisco IOS XE コードでの複数の SVI の設定をサポートしていません。WLAN で使用する VLAN を追加する場合は、コントローラ側ではなく、メンバー AP の Flex プロファイルで VLAN を作成する必要があります。

関連情報

• Cisco Embedded Wireless Controller on Catalyst Access Points コンフィギュレーション ガイド
• テクニカル サポートとドキュメント - Cisco Systems