Catalyst 9800 ワイヤレス プラットフォームは 16.10 以降を実行している必要があります。

Aireos のワイヤレス LAN コントローラは Aireos 8.8 MR1 以降を実行する必要があります。

（注）	この機能は、3504、5520、および 8540 コントローラでのみ動作します。

Cisco Catalyst 9800 ワイヤレス コントローラは、モビリティのために CAPWAP ベースのトンネルを使用します。モビリティ制御チャネルは暗号化されます。また、モビリティ データ チャネルは必要に応じて暗号化できます。これをセキュア モビリティと呼びます。

AireOS は、モビリティのために EoIP トンネルを使用します。CAPWAP ベースの暗号化モビリティ（セキュア モビリティ）のサポートが導入されました。ただし、Catalyst 9800 ワイヤレス コントローラによる IRCM は 8.8 MR1 以降でのみサポートされます。

（注）	暗号化 CAPWAP/セキュア モビリティは新しいモビリティ/階層型モビリティではありません。 8.5 MR1 は別の AireOS コントローラ上でのみ暗号モビリティをサポートするグローバル設定です。つまり、いったん有効にすると、EoIP を使用して別のピアと通信できなくなります。また、Catalyst 9800 ワイヤレス コントローラとの IRCM 互換性はありません。

導入および使用例：

1. Catalyst 9800 ワイヤレス コントローラおよび AireOS コントローラ上でのローミング

2. Catalyst 9800 ワイヤレス/AireOS をエクスポート アンカーとして使用するゲスト アンカーとしての AireOS コントローラ

3. AireOS/Catalyst 9800 ワイヤレスをエクスポート アンカーとして使用するゲスト アンカーとしての Cisco Catalyst 9800 ワイヤレス コントローラ

1. AireOS コントローラと Catalyst 9800 ワイヤレス コントローラ上でのローミング

   

   WLC-1：8.2/8.3/8.5 を実行する AireOS コントローラ

   WLC-2：8.8MR1 以降が実行されている AireOS 5520/8540 または 3504 コントローラ

   WLC-3：Catalyst 9800 ワイヤレス コントローラ

   WLC-1 は EoIP を実行できるコントローラとのみペアにできます。

   WLC-3 はセキュア モビリティを実行できるコントローラとのみペアにできます。

   8.8 MR 1 以降を実行する WLC-2 は、EoIP またはピア ベースでのセキュア モビリティのいずれかを実行できます。

   WLC-1 と WLC-2 間のシームレスなクライアント ローミングは L2 と L3 ローミングの両方が可能な場合に許可されます（既存の AireOS モビリティのシナリオ）。

   WLC-2 と WLC-3 間のシームレスなクライアント ローミングは許可されますが、L3 ローミングのみとなります（既存の AireOS WLC と Catalyst 9800 ワイヤレスを使用してモビリティのための IRCM 既存環境サポート）。

   WLC-1 と WLC-3 間のシームレスなローミングは許可されません。

   （注）	セキュア モビリティ トンネルでは、モビリティ制御トンネルが常に暗号化されます。クライアント トラフィックをトンネリングするために使用するデータ トンネルも必要に応じて暗号化されます。

2. Catalyst 9800 ワイヤレス コントローラ/AireOS をエクスポート アンカーとして使用するゲスト アンカーとしての AireOS コントローラ

   

   これは、既存のワイヤレス ネットワークに Catalyst 9800 ワイヤレス コントローラを導入する予定で、すでにゲスト アンカー ソリューションを備えている既存環境ワイヤレスのお客様に対する主要な導入となります。

   アンカー コントローラをアップグレードし、同じモビリティ グループに含まれている Catalyst 9800 ワイヤレスとペアにできるようにする必要があります。

   WLC-1：8.2/8.3/8.5 を実行する AireOS コントローラ

   WLC-2：8.8 MR1 以降が実行されている AireOS 5520/8540 または 3504 コントローラ

   WLC-3：Cisco Catalyst 9800 ワイヤレス コントローラ

   上の図では、WLC-1 は EIOP を使用して WLC-2 とペアにでき、WLC-2 はセキュア モビリティにより WLC-3 とペアにできます。

   ただし、WLC-1 は WLC 3 とペアにすることはできません。

   WLC-2 は DMZ で WLC-1 と WLC-3 のゲスト アンカーとして機能できます。

   （注）	セキュア モビリティ トンネルでは、モビリティ制御トンネルが常に暗号化されます。クライアント トラフィックをトンネリングするために使用するデータ トンネルも必要に応じて暗号化されます。

3. AireOS/Catalyst 9800 ワイヤレスをエクスポート アンカーとして使用するゲスト アンカーとしての Catalyst 9800 ワイヤレス コントローラ

   

   WLC-3：Catalyst 9800 ワイヤレス コントローラ..

   WLC-2：Catalyst 9800 ワイヤレス コントローラ

   WLC-1：8.8 MR1 以降が実行されている AireOS 5520/8540 または 3504 コントローラ

   ここではすべてのコントローラがセキュア モビリティに参加でき、ピアでトンネルが確立されます。

   ここでは、WLC-2 は WLC-1 と WLC3 の両方のゲスト アンカーとして機能できます。

   また、このセットアップでは、WLC-1（Catalyst 9800 ワイヤレス コントローラ）と WLC-3（AireOS）間でもゲスト ローミングをサポートします。

セキュア モビリティを実現するためのモビリティ ピアの追加

EoIP モビリティを実現するためのモビリティ ピアの追加：

（注）	セキュア モビリティは無効にする必要があります。また、データ暗号化は適用されません。

以前の AireOS ビルドでは、[Add Mobility Member] ページにセキュア モビリティのオプションは表示されません。

Catalyst 9800 ワイヤレス コントローラにはセキュア モビリティのみがあります。必要に応じてデータの暗号化を有効にできます。

設定例：

config mobility group domain ircm
config mobility group member add 00:0c:29:a8:d5:77 172.20.227.73 ircm  encrypt enable

• ピア Catalyst 9800 ワイヤレス コントローラが仮想の場合は、次のコマンドを使用してハッシュを設定します。

  config mobility group member hash 172.20.227.73 3f93a86cee2039e9c3aada1822ad74b89fea30c1

• 必要に応じて、次のコマンドを使用してデータ トンネルの暗号化を有効にします。

  config mobility group member data-dtls 00:0c:29:a8:d5:77 enable/disable

上のハッシュ設定は、Catalyst 9800 ワイヤレス コントローラ上で次のコマンドを実行すると取得できます。

show wireless management trustpoint
Trustpoint Name : ewlc-tp1
Certificate Info : Available
Certificate Type : SSC
Certificate Hash : 3f93a86cee2039e9c3aada1822ad74b89fea30c1
Private key Info : Available

wireless mobility group name ircm

wireless mobility mac-address 000c.29a8.d577

wireless mobility group member mac-address 5061.bf56.fd00 ip 172.20.227.71 public-ip 172.20.227.71 group ircm data-link-encryption