ワイヤレス管理インターフェイス

ワイヤレス管理インターフェイスについて

ワイヤレス管理インターフェイス(WMI)は、Cisco Catalyst 9800 ワイヤレスコントローラの必須レイヤ 3 インターフェイスです。これは、コントローラとアクセスポイント間のすべての通信に使用されます。また、すべての CAPWAP またはコントローラ間のモビリティメッセージングおよびトンネリングトラフィックにも使用されます。

WMI は、インバンド管理および企業サービス(AAA、syslog、SNMP など)への接続用のデフォルトインターフェイスでもあります。WMI IP アドレスを使用して、SSH または Telnet でデバイスにリモート接続する(または)ブラウザのアドレスフィールドにコントローラのワイヤレス管理インターフェイス IP アドレスを入力して、HTTP または HTTPS を使用してグラフィカル ユーザー インターフェイス(GUI)にアクセスすることができます。

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラは、リリース 17.6.1 以降の以下の管理/コントロール プレーン プロトコルにイーサネットサービスポート(SP)(管理インターフェイス VRF/GigabitEthernet 0)を使用できる必要があります。

  • SNMP

  • RADIUS(ボックスへのユーザー認証とワイヤレスクライアント承認の両方)

  • TACACS

  • Syslog

  • NTP

  • SSH/NETCONF/HTTPS

  • NetFlow

ワイヤレス管理インターフェイスに関する推奨事項

ワイヤレス管理インターフェイスはレイヤ 3 インターフェイスであり、単一の IP アドレス(IPv4 または IPv6)またはデュアルスタック設定を使用してのみ設定できます。

ワイヤレス管理 VLAN を使用し、WMI をスイッチド VLAN インターフェイス(SVI)として設定することを常に推奨します。ネクストホップスイッチへのアップリンクポートまたはポートチャネルが dot1q トランクとして設定されている場合、ワイヤレス管理 VLAN はトランクでの許可されるタグ付き VLAN の 1 つになります。

次の例外を除き、AP の展開モード(ローカル、FlexConnect、または SDA)に関係なく、この推奨事項が適用されます。

  • パブリッククラウド環境に展開された Cisco Catalyst 9800 ワイヤレスコントローラでは、WMI が L3 ポートとして設定されます。

  • Cisco Catalyst 9000 スイッチの組み込みワイヤレスコントローラでは、WMI がループバック インターフェイスとして設定されます。

WMI で IPv6 アドレスを静的に割り当て、ipv6 auto-config コマンドを使用して設定しないことを推奨します。


(注)  

VLAN A から VLAN B に移行する場合は、最初に VLAN B と SVI B を作成し、SVI B をワイヤレス管理インターフェイス(WMI)に関連付けてから、VLAN A と SVI A を削除します。この順序により、マルチキャストトラフィックの問題が回避され、WGB の背後にあるものも含めて、すべてのデバイスがマルチキャストトラフィックを正しく受信できます。

制約事項

  • ipv6 auto-config コマンドはサポートされていません。

  • WMI と呼ばれる Cisco Catalyst 9800 ワイヤレスコントローラの 1 つの AP マネージャインターフェイスのみを使用して、CAPWAP トラフィックを終端できます。

  • コントローラのワイヤレス管理インターフェイス(WMI)は 1 つだけあります。

  • レイヤ 3 インターフェイスは、Cisco Catalyst 9800-CL クラウド ワイヤレス コントローラ ゲスト アンカーのシナリオではサポートされていません。

    代わりに、WMI にレイヤ 2 インターフェイスと SVI を使用することを推奨します。

    いくつかの制限があるため、オンプレミスではなく、パブリッククラウドの展開にのみレイヤ 3 インターフェイスを使用することを推奨します。

    次に、レイヤ 3 およびレイヤ 2 インターフェイスの設定例を示します。

    レイヤ 3 インターフェイス設定

    
interface GigabitEthernet2
no switchport
ip address <ip_address> <mask>
negotiation auto
no mop enabled
no mop sysid
end

    レイヤ 2 インターフェイス設定

    
interface GigabitEthernet2
switchport trunk allowed vlan 25,169,504
switchport mode trunk
negotiation auto
no mop enabled
no mop sysid
end
    RMI が設定されている場合に WMI インターフェイスを変更するには、次の手順を実行します。

    1. RMI の設定を解除して、write memory コマンドを使用して変更を保存し、コントローラをリロードします。

    2. WMI インターフェイスを変更します。

    3. WMI と同じインターフェイスで RMI を再設定して、write memory コマンドを使用して変更を保存し、コントローラをリロードします。

ワイヤレス管理インターフェイスを使用したコントローラの設定(CLI)

CLI を使用してワイヤレス管理インターフェイスを設定するには、物理コンソールに直接アクセスするか(Cisco Catalyst 9800 アプライアンスの場合)、仮想コンソールを使用します(Cisco Catalyst 9800-CL クラウド ワイヤレス コントローラの場合)。


(注)  

この例では、次のように想定しています。

  • Cisco Catalyst 9800-CL クラウド ワイヤレス コントローラがあり、GigabitEthernet 2 がアップリンクスイッチのトランクインターフェイスに接続されています。

  • 複数の VLAN を設定し、1 つをワイヤレス管理インターフェイス専用にします。

手順

ステップ 1

選択したハイパーバイザから VGA またはモニターコンソールを使用して CLI にアクセスします。

ステップ 2

設定ウィザードを終了します。


Would you like to enter the initial configuration dialog? [yes/no]: 
no
Would you like to terminate autoinstall? [yes]:
yes

ステップ 3

コンフィギュレーション モードを開始し、次のコマンドを使用してログイン情報を追加します。


Device# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Device(config)# username <name> privilege 15 password <yourpwd>

ステップ 4

(任意)ホスト名を設定します。

Device(config)# hostname C9800

ステップ 5

ワイヤレス管理インターフェイスの VLAN を設定します。


Device(config)# vlan 201
Device(config-vlan)# name wireless_management

ステップ 6

ワイヤレス管理インターフェイスの L3 SVI を設定します。


Device(config)# int vlan 201
Device(config-if)# description wireless-management-interface
Device(config-if)# ip address 172.16.201.21 255.255.255.192
Device(config-if)# no shutdown

ステップ 7

インターフェイス GigabitEthernet 2 をトランクとして設定し、ワイヤレス管理 VLAN を許可します。


Device(config-if)# interface GigabitEthernet2   
Device(config-if)# switchport mode trunk
Device(config-if)# switchport trunk allowed vlan 201,210,211
Device(config-if)# shut
Device(config-if)# no shut

(注)  

 

クライアントトラフィックを伝送するために、VLAN 210 および 211 がトランクに追加されます。

ステップ 8

デバイスに到達するデフォルトのルート(またはもっと具体的なルート)を設定します。


Device(config-if)# ip route 0.0.0.0 0.0.0.0 172.16.201.1

この時点で、SSH または Telnet、または GUI を使用してデバイスにアクセスするか、Cisco Catalyst Center または Cisco Prime を使用して DAY 0 設定を続行することができます。

ワイヤレス管理インターフェイス設定の確認

レイヤ 3 インターフェイスが正しく設定されているかどうかを確認するには、次のコマンドを使用します。

Device# show run int vlan 201

Building configuration...

Current configuration : 128 bytes
!
interface Vlan201
 description wireless-management-interface
 ip address 172.16.201.21 255.255.255.0
 no mop enabled
 no mop sysid
end

ワイヤレス管理 VLAN がネットワークへのアップリンクでアクティブかどうかを確認するには、次のコマンドを使用します。この場合、アップリンクはトランクインターフェイスであるため、VLAN はアクティブで転送の状態である必要があります。

Device# show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan  
Gi2         on               802.1q         trunking      1
.....
Port        Vlans allowed on trunk
Gi2         201,210-211
.....
Port        Vlans allowed and active in management domain
Gi2         201,210-211
....
Port        Vlans in spanning tree forwarding state and not pruned
Gi2         201,210-211
....

ワイヤレス管理インターフェイスが稼働しているかどうかを確認するには、次のコマンドを使用します。


Device# show ip int brief | i Vlan201
Vlan201   172.16.201.21  YES NVRAM  up  up

選択したインターフェイスがワイヤレス管理として設定されているかどうかを確認するには、次のコマンドを使用します。

Device# show wireless interface summary

Wireless Interface Summary

Interface Name Interface Type VLAN ID IP Address     IP Netmask   NAT-IP Address MAC Address
--------------------------------------------------------------------------------------------------
Vlan201       Management       201   172.16.201.21  255.255.255.0  0.0.0.0      001e.e51c.a7ff

ネットワークアドレス変換(NAT)について

NAT によって、登録されていない IP アドレスを使用するプライベート IP ネットワークをインターネットに接続できます。NAT はデバイス上で動作し、通常は 2 つのネットワークを接続します。パケットが別のネットワークに転送される前に、NAT は内部ネットワークのプライベート(グローバルに一意ではない)アドレスをパブリックアドレスに変換します。NAT は、内部ネットワーク全体で少数のアドレスのみを外部にアドバタイズするように設定できます。この機能により、プライベートネットワークの詳細を効果的に隠すことができ、セキュリティが強化されます。


(注)  

NAT を実行する特定の ISP ルータは、同じパブリック送信元ポートを異なる AP に割り当てる場合があります。これにより、WLC は同じ IP:PORT の異なる AP から CAPWAP トラフィックを受信します。パケット A が DATA 用で、パケット B が CTRL 用であっても、コントローラは異なる AP からのパケットを区別できません。コントローラは、同じ SRC IP:PORT を使用した NAT の後ろにある異なる AP からの CAPWAP 接続をサポートしていません。

Cisco Catalyst 9800 ワイヤレスコントローラをプライベートネットワークに展開し、インターネットから到達可能にする場合は、ルータ、ファイアウォール、または 1 対 1 のマッピング ネットワーク アドレス変換(NAT)を使用するその他のゲートウェイデバイスの後ろにコントローラを用意する必要があります。

そのためには次の手順を実行します。

  • ワイヤレス管理インターフェイスの IP アドレス(プライベート IP)を、NAT デバイスに設定された一意の外部(パブリック)IP アドレスに 1:1 でスタティックマッピングし、NAT デバイスを設定します。

  • ワイヤレスコントローラで NAT 機能を有効にし、その外部パブリック IP アドレスを指定します。このパブリック IP は AP へのディスカバリ応答で使用されるため、AP は正しい接続先に CAPWAP パケットを送信できます。

  • 外部 AP が DHCP、DNS、または PnP を使用してコントローラのパブリック IP を検出していることを確認します。


(注)  

Cisco Catalyst 9800 ワイヤレスコントローラがパブリックアドレスを使用して展開されている場合は、NAT を有効にする必要はありません。代わりに、ワイヤレス管理インターフェイス(WMI)でパブリック IP を直接設定する必要があります。

CAPWAP ディスカバリについて

CAPWAP 環境では、Lightweight アクセスポイントは CAPWAP ディスカバリメカニズムを使用してワイヤレスコントローラを検知してから、コントローラに CAPWAP 参加要求を送信します。これに対し、コントローラはアクセスポイントに CAPWAP 参加応答を返し、アクセスポイントはコントローラに参加できるようになります。

ワイヤレスコントローラが NAT デバイスの背後にある場合、コントローラは次の方法でディスカバリ応答に応答します。

  • パブリック IP を使用する。

  • プライベート IP を使用する。

  • パブリック IP とプライベート IP を使用する。

パブリック IP は、NAT 変換を実行するルータまたはファイアウォールで静的な 1 対 1 の NAT 設定を使用して、コントローラのプライベート IP にマッピングする必要があります。

ワイヤレスコントローラがパブリックインターネット経由で到達可能なアクセスポイント(外部 AP)のみを管理している場合は、ディスカバリ応答でパブリック IP のみを使用して応答するようにコントローラを設定する必要があります。

ワイヤレスコントローラが内部 AP と外部 AP の両方を管理している場合は、ディスカバリ応答でパブリック IP とプライベート IP の両方を使用して応答するようにコントローラを設定する必要があります。


(注)  

NAT 展開では、内部および外部で実行されている AP は、CAPWAP ディスカバリのプライベートとパブリックを個別に有効にした異なる AP 参加プロファイルを使用する必要があります。この動作は 17.9.5 リリースから導入され、Cisco IOS XE 17.9.5、17.9.6、17.9.m(m>=5)、17.12.n(n>=1)以降のリリースにアップグレードされた AP に適用されます。

NAT パブリック IP でのワイヤレス管理インターフェイスの設定(CLI)

最初の手順では、パブリック NAT IP を使用するようにコントローラを設定します(これは、WMI のプライベート IP アドレスを 1 対 1 で静的にマッピングするために NAT デバイスに設定されているパブリック IP です)。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless management interface interface-type interface-number

例:

Device(config)# wireless management interface vlan 20

管理インターフェイスを定義します。

ここで、各変数は次のように定義されます。

  • interface-type:VLAN、ギガビット、またはループバックタイプを指します。

  • interface-number:インターフェイスの番号です。

ステップ 3

public-ip external-public-ip

例:

Device(config-mgmt-interface)# public-ip 2.2.2.2

外部 NAT またはパブリック IP を定義します。

ステップ 4

end

例:

Device(config-mgmt-interface)# end

特権 EXEC モードに戻ります。

パブリックまたはプライベート IP のみに応答する CAPWAP ディスカバリの設定(CLI)


(注)  

デフォルトでは、ワイヤレス管理インターフェイスがパブリック IP で設定されている場合、コントローラは CAPWAP ディスカバリ応答でパブリック IP とプライベート IP の両方に応答します。

ディスカバリ応答に含める IP(プライベートまたはパブリック)を決定する設定は、AP 参加プロファイルで使用できます。

パブリック IP のみに応答するコントローラの設定(CLI)

コマンドを使用して、パブリック IP のみに応答するコントローラを設定します。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ap profile profile-name

例:

Device(config)# ap profile xyz-ap-profile

AP プロファイルを設定し、AP プロファイル コンフィギュレーション モードを開始します。

ステップ 3

no capwap-discovery private

例:

Device(config-ap-profile)# no capwap-discovery private

内部 IP に応答しないようにコントローラに指示します。AP がパブリック IP 経由でのみコントローラに参加できるようにします。

ステップ 4

end

例:

Device(config-ap-profile)# end

特権 EXEC モードに戻ります。

プライベート IP のみに応答するコントローラの設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ap profile profile-name

例:

Device(config)# ap profile xyz-ap-profile

AP プロファイルを設定し、AP プロファイル コンフィギュレーション モードを開始します。

ステップ 3

no capwap-discovery public

例:

Device(config-ap-profile)# no capwap-discovery public

パブリック IP に応答しないようにコントローラに指示します。AP がプライベート IP 経由でのみコントローラに参加できるようにします。

ステップ 4

end

例:

Device(config-ap-profile)# end

特権 EXEC モードに戻ります。

NAT 設定の確認

コマンドを使用して NAT 設定を確認します。

Device# show wireless interface summary

Wireless Interface Summary

Interface Name Interface Type VLAN ID IP Address     IP Netmask     NAT-IP Address   MAC Address
--------------------------------------------------------------------------------------------------
Vlan20         Management     20      10.58.20.25    255.255.255.0  2.2.2.2    001e.4963.1cff

AP 参加プロファイルの設定を確認するには、次のコマンドを使用します。

Device# show run | b ap profile

ap profile default-ap-profile
 no capwap-discovery private
 description "default ap profile"
...