はじめに
Inter-Release Controller Mobility(IRCM)は、異なるソフトウェアやコントローラ上で実行する各種ワイヤレス LAN コントローラでのシームレスなモビリティとサービスをサポートします。
このドキュメントでは特に、Catalyst 9800 ワイヤレス コントローラ間の IRCM サポートと AireOS コントローラとの相互運用性について説明します。次のケースを扱います。
-
ネットワーク内に既存の AireOS コントローラがあり、新たに Catalyst 9800 ワイヤレス コントローラを追加するお客様(既存顧客)
-
ゲスト アンカーとして導入した AireOS コントローラがあり、新たに Catalyst 9800 ワイヤレス コントローラを追加したお客様
-
複数の Catalyst 9800 ワイヤレス コントローラを導入するお客様(新規顧客)
前提条件
Catalyst 9800 ワイヤレス プラットフォームは 16.10 以降を実行している必要があります。
Aireos のワイヤレス LAN コントローラは Aireos 8.8 MR1 以降を実行する必要があります。
(注) |
この機能は、3504、5520、および 8540 コントローラでのみ動作します。 |
概要
Cisco Catalyst 9800 ワイヤレス コントローラは、モビリティのために CAPWAP ベースのトンネルを使用します。モビリティ制御チャネルは暗号化されます。また、モビリティ データ チャネルは必要に応じて暗号化できます。これをセキュア モビリティと呼びます。
AireOS は、モビリティのために EoIP トンネルを使用します。CAPWAP ベースの暗号化モビリティ(セキュア モビリティ)のサポートが導入されました。ただし、Catalyst 9800 ワイヤレス コントローラによる IRCM は 8.8 MR1 以降でのみサポートされます。
(注) |
|
導入および使用例:
-
Catalyst 9800 ワイヤレス コントローラおよび AireOS コントローラ上でのローミング
-
Catalyst 9800 ワイヤレス/AireOS をエクスポート アンカーとして使用するゲスト アンカーとしての AireOS コントローラ
-
AireOS/Catalyst 9800 ワイヤレスをエクスポート アンカーとして使用するゲスト アンカーとしての Cisco Catalyst 9800 ワイヤレス コントローラ
-
AireOS コントローラと Catalyst 9800 ワイヤレス コントローラ上でのローミング
WLC-1:8.2/8.3/8.5 を実行する AireOS コントローラ
WLC-2:8.8MR1 以降が実行されている AireOS 5520/8540 または 3504 コントローラ
WLC-3:Catalyst 9800 ワイヤレス コントローラ
WLC-1 は EoIP を実行できるコントローラとのみペアにできます。
WLC-3 はセキュア モビリティを実行できるコントローラとのみペアにできます。
8.8 MR 1 以降を実行する WLC-2 は、EoIP またはピア ベースでのセキュア モビリティのいずれかを実行できます。
WLC-1 と WLC-2 間のシームレスなクライアント ローミングは L2 と L3 ローミングの両方が可能な場合に許可されます(既存の AireOS モビリティのシナリオ)。
WLC-2 と WLC-3 間のシームレスなクライアント ローミングは許可されますが、L3 ローミングのみとなります(既存の AireOS WLC と Catalyst 9800 ワイヤレスを使用してモビリティのための IRCM 既存環境サポート)。
WLC-1 と WLC-3 間のシームレスなローミングは許可されません。
(注)
セキュア モビリティ トンネルでは、モビリティ制御トンネルが常に暗号化されます。クライアント トラフィックをトンネリングするために使用するデータ トンネルも必要に応じて暗号化されます。
-
Catalyst 9800 ワイヤレス コントローラ/AireOS をエクスポート アンカーとして使用するゲスト アンカーとしての AireOS コントローラ
これは、既存のワイヤレス ネットワークに Catalyst 9800 ワイヤレス コントローラを導入する予定で、すでにゲスト アンカー ソリューションを備えている既存環境ワイヤレスのお客様に対する主要な導入となります。
アンカー コントローラをアップグレードし、同じモビリティ グループに含まれている Catalyst 9800 ワイヤレスとペアにできるようにする必要があります。
WLC-1:8.2/8.3/8.5 を実行する AireOS コントローラ
WLC-2:8.8 MR1 以降が実行されている AireOS 5520/8540 または 3504 コントローラ
WLC-3:Cisco Catalyst 9800 ワイヤレス コントローラ
上の図では、WLC-1 は EIOP を使用して WLC-2 とペアにでき、WLC-2 はセキュア モビリティにより WLC-3 とペアにできます。
ただし、WLC-1 は WLC 3 とペアにすることはできません。
WLC-2 は DMZ で WLC-1 と WLC-3 のゲスト アンカーとして機能できます。
(注)
セキュア モビリティ トンネルでは、モビリティ制御トンネルが常に暗号化されます。クライアント トラフィックをトンネリングするために使用するデータ トンネルも必要に応じて暗号化されます。
-
AireOS/Catalyst 9800 ワイヤレスをエクスポート アンカーとして使用するゲスト アンカーとしての Catalyst 9800 ワイヤレス コントローラ
WLC-3:Catalyst 9800 ワイヤレス コントローラ..
WLC-2:Catalyst 9800 ワイヤレス コントローラ
WLC-1:8.8 MR1 以降が実行されている AireOS 5520/8540 または 3504 コントローラ
ここではすべてのコントローラがセキュア モビリティに参加でき、ピアでトンネルが確立されます。
ここでは、WLC-2 は WLC-1 と WLC3 の両方のゲスト アンカーとして機能できます。
また、このセットアップでは、WLC-1(Catalyst 9800 ワイヤレス コントローラ)と WLC-3(AireOS)間でもゲスト ローミングをサポートします。
AireOS 8.8 MR1 での設定ガイド
セキュア モビリティを実現するためのモビリティ ピアの追加
EoIP モビリティを実現するためのモビリティ ピアの追加:
(注) |
セキュア モビリティは無効にする必要があります。また、データ暗号化は適用されません。 |
AireOS 8.2/8.3/8.5 CCO での設定ガイド
以前の AireOS ビルドでは、[Add Mobility Member] ページにセキュア モビリティのオプションは表示されません。
Catalyst 9800 ワイヤレス コントローラでの設定ガイド
Catalyst 9800 ワイヤレス コントローラにはセキュア モビリティのみがあります。必要に応じてデータの暗号化を有効にできます。
設定例:
AireOS でのモビリティ ピアの CLI 設定
config mobility group domain ircm
config mobility group member add 00:0c:29:a8:d5:77 172.20.227.73 ircm encrypt enable
-
ピア Catalyst 9800 ワイヤレス コントローラが仮想の場合は、次のコマンドを使用してハッシュを設定します。
config mobility group member hash 172.20.227.73 3f93a86cee2039e9c3aada1822ad74b89fea30c1
-
必要に応じて、次のコマンドを使用してデータ トンネルの暗号化を有効にします。
config mobility group member data-dtls 00:0c:29:a8:d5:77 enable/disable
上のハッシュ設定は、Catalyst 9800 ワイヤレス コントローラ上で次のコマンドを実行すると取得できます。
show wireless management trustpoint
Trustpoint Name : ewlc-tp1
Certificate Info : Available
Certificate Type : SSC
Certificate Hash : 3f93a86cee2039e9c3aada1822ad74b89fea30c1
Private key Info : Available
Catalyst 9800 ワイヤレスでのモビリティ ピアの CLI 設定
wireless mobility group name ircm
wireless mobility mac-address 000c.29a8.d577
wireless mobility group member mac-address 5061.bf56.fd00 ip 172.20.227.71 public-ip 172.20.227.71 group ircm data-link-encryption