はじめに

IOS XE ベースの Cisco Cloud ワイヤレス LAN コントローラは、世界で最も利用されているネットワーキング ワイヤレス プラットフォームを Amazon Web Services(AWS)に導入することで、AWS クラウドに最高のパフォーマンスを備えた Infrastructure as a Service(IaaS)セキュア ワイヤレス ネットワーク サービスの基準を確立しました。

Cisco Cloud ワイヤレス LAN コントローラ(C9800-CL)は、AWS パブリック クラウドの利点と柔軟性、および通常はオンプレミス展開で利用されるカスタマイズなどの豊富な機能を兼ね備えています。Catalyst 9800 は、AWS GovCloud に導入された最初のワイヤレス コントローラです。

C9800-CL は初回リリースで、ゼロ タッチ AP プロビジョニング、高可用性、アプリケーションの可視化と制御など、エンタープライズ クラスのあらゆる差別化機能により、1000 の AP と 10000 のクライアントにスケールアップしました。ソフトウェアのコストはまったくかかりません。

この導入ガイドでは、AWS パブリック クラウドに C9800 ワイヤレス コントローラを導入する方法について説明します。パブリック クラウドと利用可能なサービス モデルについて簡単に解説し、主要なクラウド ネットワーク構築を取り上げ、Managed VPN 導入モデルおよび FCS でのサポート対象について説明します。その後、以下の手順を説明します。

  • オンプレミス ルータから AWS クラウド内の VPC への VPN 接続を作成する

  • CloudFormation テンプレートを使用して AWS で C9800-CL インスタンスを起動する

  • Amazon マシン イメージ(AMI)から C9800-CL インスタンスを直接起動する

パブリック クラウドの概要

現在、クラウド コンピューティングはデジタル変革戦略の重要な要素と見なされており、多くの企業がイノベーションおよび競合他社との差別化を実現する戦略として、すでにパブリック クラウドを採用しています。しかし、「パブリック クラウドの採用」とは実際どのような意味なのでしょうか。まずは、この基本的な点を明確にしましょう。

パブリック クラウド サービス モデル

米国国立標準技術研究所(NIST)の Special Publication 800-145 に従って、3 つのクラウド サービス モデルが一般的に使用できます。

  • Software as a Service(SaaS)

  • サービスとしてのプラットフォーム(PaaS)

  • Infrastructure as a Service(IaaS)

次の図では、最も重要なスタック コンポーネント、クラウド プロバイダーと使用者間の責任の範囲、これらのサービスを利用しているコンシューマを強調して、サービス モデルの例が表されています。

SaaS モデルは、最もレベルの高い抽象化と簡素化を実現します。インフラストラクチャからアプリケーション レベルに至るまで、「サービス」スタック全体がクラウド サービス プロバイダーによって提供されます。お客様として、ユーザ Web インターフェイスまたはアプリケーション プログラミング インターフェイス(API)からサービスに直接アクセスします。その一方で、使用者は基盤となるクラウド インフラストラクチャの管理と制御を行いません。Cisco Meraki ではこのモデルが活用されています。

PaaS モデルでは、クラウド サービス プロバイダーが、お客様が独自のアプリケーションを実行するために必要なプラットフォームのすべてのコンポーネントを提供します。これには、基盤となるクラウド インフラストラクチャのネットワーキングとセキュリティに加えて、データベースやモニタリング ツールなどのサービスが含まれます。

最後の IaaS モデルでは、コンピューティング リソース、ストレージおよびネットワー キング コンポーネント(ルータやファイアウォールなど)が提供され、アプリケーションとサービスの導入はお客様が行います。このモデルの場合、お客様は最高レベルの制御と高い柔軟性を確保できますが、ある一定の統合作業が必要になります。クラウド上では Catalyst 9800 ワイヤレス コントローラ向けに IaaS モデルが選択されます。

IaaS としての Cisco Catalyst 9800 ワイヤレス コントローラ

クラウド向け Cisco Catalyst 9800 で選択されるパブリック クラウド モデルは、Infrastructure as a Service(IaaS)です。つまり、お客様はネットワーキング、コンピューティング、セキュリティ インフラストラクチャの提供についてはパブリック クラウド ベンダーに依頼できますが、C9800 はクラウドでの仮想マシンとして完全に管理および制御することになります。

お客様が IaaS モデルを使用してクラウドへの C9800 の導入を検討すべき主な理由は次の 2 つです。

  1. パブリック クラウドの利点の活用

  2. 通常はオンプレミスのコントローラで実現されるカスタマイズと制御の維持

パブリック クラウドの採用には多くの利点がありますが、ここでは C9800 で最も重要となるポイントをご紹介します。

  • 機敏性:AWS で C9800 インスタンスを生成するには数分しかかかりません。その後は、ワイヤレス コントローラを起動して新機能をテストし、完了するプロセスを非常に簡単に実行できます。

  • 拡張性:パブリック クラウドには物理的な制限がないため、追加の AP またはクライアントの要件が増大するにしたがって、新しいインスタンスを追加できます。

  • グローバルな占有領域:遅延だけでなくセキュリティおよびプライバシー ポリシーにとっても重要です。パブリック クラウド プロバイダーにはそのようなグローバルな占有領域があるため、AP を設置する任意の場所から 50 ミリ秒未満でクラウド内の C9800-CL に到達できます。お客様によっては、ユーザのデータおよびトラフィックを特定のリージョン内に留める必要性を定めた厳格なセキュリティ ポリシーを適用しています。したがって、パブリック クラウド プロバイダーは地理的地域ごとにデータ センターを用意しています。

  • コスト効率:データセンターの占有領域とインフラストラクチャのコストを軽減します。設備投資(先行投資)モデルから運用コスト(従量制)モデルに移行します。

お客様にとっては、実行するソフトウェア イメージ、オンまたはオフにする機能、適用する設定など、Catalyst ワイヤレス コントローラの構成を完全に制御することが可能になります。この点では、オンプレミスでのワイヤレス コントローラの導入と同じです。

IaaS モデルを使用して導入し、クラウド内で独自のインスタンスを管理します。つまり、お客様は、クラウド インフラストラクチャとの C9800 の統合をさらに行います。次に、重要なクラウド ネットワーキングの概念を紹介し、AWS で C9800-CL を導入する方法について説明します。

パブリック クラウド ネットワーキング

パブリック クラウドに C9800-CL を導入するには、リージョン、可用性ゾーン、VPC などの新しい概念を十分に理解する必要があります。このガイドの目的は、これらの概念を簡単に説明し、利用可能な AWS ドキュメントを使用してユーザが再確認できるようにすることです。

AWS コンソール(https://console.aws.amazon.com)の初回ログイン時に、インスタンスをインストールするリージョンを選択する必要があります。リージョンとは、世界中にある分散型データ センターの場所です。各リージョンは独立していて分離されています。AWS では、次に示す世界中の 15 の異なるリージョンを利用できます(前述のグローバルな占有領域の利点)。

ユーザは AP を導入する場所に最も近いリージョンを選択します。

リージョン内に可用性ゾーンがあります。これらはリージョン内にある耐障害性エリアで、すべて相互接続されています。インスタンスの起動時に、可用性ゾーンを選択することも、AWS で自動選択することもできます。ここでは、リージョンと可用性ゾーンをわかりやすく視覚化しています。

もう 1 つの重要な概念は、仮想プライベート クラウド(VPC)です。これはクラウド内のプライベート ネットワークを表します。オンプレミス ネットワークをクラウドに拡張したものです。すべてのリージョンにデフォルト VPC があり、C9800-CL を導入する際は、デフォルト VPC を使用するか、カスタム VPC を作成することができます。カスタム VPC を作成すると、サブネット、ゲートウェイ、セキュリティ グループなど、ネットワーキングのすべての部分を定義できるため、総合的な柔軟性が確保されます。

VPC を定義した後は、VPC 内でサブネットを作成してこれらのネットワーク間のルートを定義し、さらに VPC のインスタンスにアクセスするためのセキュリティ ルールを指定できます。これがパブリック クラウド内のプライベート ネットワークです。VPC の詳細については、AWS のドキュメントを参照してください。

https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html

Catalyst 9800 のパブリック クラウド導入モード

VPC で C9800-CL を作成した後は、クラウド インスタンスとオンプレミスの AP 間の接続を確立する必要があります。これには、次の 2 つの方法があります。

  • AP ロケーションとパブリック クラウド間に仮想プライベート ネットワーク(VPN)を作成する

  • インターネットとパブリック IP アドレスを利用してクラウドのワイヤレス コントローラに接続する

最初は、AWS クラウドの C9800-CL でサポートされる唯一の導入モデルが Managed VPN となります。

パブリック IP モデルに関する注意点:パブリック IP を使用して AP を参加させることはサポートされていませんが、お客様は、簡単に管理するために C9800-CL インスタンスにパブリック IP を割り当てることもできます。これは FCS では公式にサポートされていません。したがって、お客様の責任において、インターネット ゲートウェイへのデフォルト ルートと、パブリック IP を使用して C9800-CL コントローラに到達するすべての CAPWAP トラフィックをブロックするセキュリティ グループを VPC に適切に設定してください。

Managed VPN 導入モード

この最初のリリース(16.10)で Cisco Cloud ワイヤレス LAN コントローラがサポートしている導入シナリオでは、Managed VPN を介してお客様のエンタープライズ ネットワークに接続された AWS 仮想プライベート ネットワーク(VPC)で C9800-CL を使用します。VPN は、AWS ゲートウェイ ルータ、またはお客様が採用している AWS ベースのルータ(Cisco CSR クラウド ルータなど)で終端できます。

企業の DC からの VPN トンネルを確立し、すべての AP ロケーションで C9800-CL へのアクセスに VPN トンネルを利用するか、各 AP ロケーション(支店など)でクラウドへの VPN トンネルを確立する必要があります。

次のセッションで説明するように、AWS 提供の VPN ゲートウェイへの VPN トンネルは簡単に確立できます。ただし、いくつかの制限があります。サポートされるリモート VPN 接続は 10 のみで、IPSEC トンネルのみがサポートされます。

VPN の他のオプション(IPSec、DMVPN、FlexVPN、GETVPN、EZVPN)および大規模な導入が必要な場合は、Cisco CSRv ルータを VPN 終端の代替として使用できます。詳細: https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/aws/b_csraws.html

トンネルが確立されると、C9800-CL は VPC のプライベート サブネットの IP アドレスを取得します。このサブネットは、AP が存在するオンプレミス ネットワークにルーティングされる必要があります。前述のように、VPC はオンプレミス ネットワークを拡張したものにすぎないため、適切なルーティングを確立する必要があります。次に簡単な例を示します。

この例に示す VPC サブネットは 10.10.10.0/24 です。VPN-GW 経由でルーティングされて AP サブネット(10.100.0.0/24)に到達します。クラウド ネット ワーキングに関する重要な考慮事項は次のとおりです。

  • パブリック クラウド内のすべてのインターフェイスはレイヤ 3 です。トランク インターフェイスの概念はありません。

  • パブリック クラウド IP の割り当ては、DHCP を使用して行われます。お客様はコントローラのインスタンスに割り当てる IP を決定できますが、その場合も DHCP を使用します。

  • AWS の Catalyst 9800 クラウド ワイヤレス コントローラでは、1 つのインターフェイスのみの導入がサポートされます。これは、デバイス管理/サービス インターフェイスとワイヤレス管理インターフェイスが同じであることを意味します。

  • FCS では、AP の初回接続時(初回のみ)に、ダウンロード時間が通常(W2 AP で 30 ~ 40 分)よりも長くなる可能性があります。これは、VPN トンネルが小さいサイズの MTU を採用するためです。

パブリック クラウドを使用した AP 導入モード

ワイヤレス コントローラのインスタンスをパブリック クラウドで展開するため、クライアント トラフィックは AP の配置場所に対してローカルに維持することが理にかなっています。また、AP の動作モードを決める際は、パブリック インターネットに起因する遅延を考慮する必要があります。

これらの理由から、AWS クラウドの C9800-CL でサポートされる AP 導入モードは、Flex 中央認証と、IPv4 および IPv6 クライアントのローカル スイッチング(クラウド コントローラへのリンクが利用できなくなった場合はローカル認証にフォールバックする)のみです。

AAA サーバはオンプレミスと想定されるため、検証されている設定でありサポート対象です。

これは、クライアントを完全認証するために次のような高レベルのトラフィック フローが発生することを意味します。

  1. EAP トラフィックが AP によって受信されて WLC に送信される

  2. WLC が ISE/AAA との Radius 通信を行う

  3. ISE が認証結果で応答する

  4. WLC が AP に応答を送信する

  5. AP がクライアントに認証フレームをリレーする

  6. AP でトラフィックがローカルにスイッチされる

高速ローミングがサポートされている場合(802.11r など)は、ネットワークに対して初めてクライアントが認証されるときにのみこの交換が行われます。後続のローミングはすべて AP でローカルに処理されるため、AAA サーバと通信する必要はありません。

デバイスで低速ローミングのみがサポートされている場合、前述のフローが各ローミングで発生します。


(注)  

これは FlexConnect 導入であるため、WAN/インターネットに関する推奨事項と要件が同様に適用されます。詳細については、Flex 導入ガイドを参照してください。 https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-7/Flex_7500_DG.html#pgfId-43317

パブリック クラウド上の C9800-CL の高可用性

パブリック クラウド内の C9800-CL でサポートされる高可用性(HA)は、AP を登録するプライマリ コントローラ、セカンダリ コントローラ、およびオプションのターシャリ コントローラをユーザが定義する N+1 可用性です。

すべての SSID に FlexConnect ローカル スイッチングが設定されているため、プライマリ コントローラで障害が発生しても、N+1 HA によってネットワークのダウンタイムが回避されます。AP は既存のクライアント接続を維持したままスタンドアロン モードに移行し、セカンダリ コントローラに接続します。

冗長性を確保するために、セカンダリ コントローラを別の可用性ゾーンでインスタンス化することを推奨します。これは、異なるサブネットにセカンダリ コントローラを展開してサブネットを異なる可用性ゾーンに割り当てることで実現できます。その後、AP のプライマリ/セカンダリを設定する必要があります。

この設定は、サイト タグとサイト タグ内の参加プロファイル設定を使用してロケーション レベルで行うことができます。

または AP で直接設定することもでき、この場合はターシャリ コントローラを定義することも可能です。

パブリック クラウド上の C9800-CL の管理

Cisco Catalyst 9800 ワイヤレス コントローラは、統合された Web グラフィカル ユーザ インターフェイス(GUI)とプログラム可能なインターフェイスの両方で管理できます。

GUI には、ボックスの初期設定を簡単にする DAY 0 インターフェイスと、他のすべての可能な設定に使用できる直感的な DAY 1 インターフェイスがあります。Catalyst 9800 ワイヤレス コントローラでは、次の 2 つのガイド付き設定ワークフローを利用できます。

  • 基本:設定の詳細を省いて、指示に沿って 3 つの簡単な手順でリモートまたはローカル サイトを作成できるインテント ベースの設定フローです。

  • 詳細:関連するすべての構成要素(プロファイルとタグ)を設定できるガイド付きワークフローです。

C9800-CL は、標準的な方法で管理できるようにする NETCONF インターフェイスを追加設定なしでサポートします。YANG データ モデルは、設定およびストリーミング テレメトリに利用できるデータを定義します。Catalyst 9800 シリーズのプログラマビリティの詳細については、関連する導入ガイドを参照してください。

AWS クラウド上の Catalyst 9800 ワイヤレス コントローラの起動

AWS での Cisco Catalyst 9800 の起動に関する情報

Cisco Catalyst 9800 の Amazon マシン イメージ(AMI)の起動は、AWS Marketplace から直接実行します。Cisco Catalyst 9800 は、Amazon VPC インスタンス内の Amazon EC2 インスタンスに導入されます。

サポートされている AMI タイプおよびスケーリング

クラウド向け Cisco Catalyst 9800 ワイヤレス コントローラの初回リリースでは、次のインスタンス タイプがサポートされます。

  • C5.xlarge:4 つの vCPU、8 GB の RAM、1 つの vNIC を備えた 8 GB のディスク

割り当てられたリソースを使って、インスタンスを 1,000 の AP と 10,000 のクライアントにスケーリングできます。

ライセンス

AWS 向けの Cisco Catalyst 9800 ワイヤレス コントローラは、ライセンス持ち込み(BYOL)AMI モデルを使用して AWS Marketplace で Amazon Machine Image(AMI)として購入および起動します。AWS に C9800-CL を導入した後は、スマート ライセンス モデルを使用して AP の DNA サブスクリプション ライセンスを購入する必要があります。

暗号化された Elastic Block Storage(EBS)

AWS Marketplace から Cisco Catalyst 9800 を起動するときに、暗号化された Elastic Block Storage(EBS)を選択することはできません。ただし、暗号化された Elastic Block Storage を使用する AMI の作成手順を実行できます。このプロセスの概要は次のとおりです。

  • AWS Marketplace から Cisco Catalyst 9800 インスタンスを作成する

  • この Cisco Catalyst 9800 インスタンスのスナップショットを作成する

  • スナップショットに基づいてプライベート AMI を作成する

  • プライベート AMI を新しい AMI にコピーし、[Encrypt target EBS snapshots] を選択する

AWS クラウド内のシスコ ワイヤレス 9800 インスタンスを起動するさまざまな方法

FCS で AWS パブリック クラウド内の C9800-CL をスピンアップする方法は 3 つあります。

  • CloudFormation テンプレートを使用して AWS Marketplace から C9800-CL インスタンスを起動する

  • AMI を使用して AWS Marketplace から C9800-CL インスタンスを起動する

  • AWS コンソールから C9800-CL インスタンスを起動する

AWS コンソールを使って各設定パラメータを手動で制御する手順から、CloudFormation テンプレートを使用する完全なガイド付きフローまで、さまざまなプロセスが用意されているため、それぞれの要件を満たす最適な方法を選択できます。

前述したように、FCS で新しいコントローラのクラウドへの導入モードとしてサポートされるのは、Managed VPN のみです。これは、AP のオンプレミス ロケーションと AWS クラウド内にある VPC 間の VPN トンネルが安定している必要があることを意味します。

したがって、AWS パブリック クラウド内の Catalyst 9800 ワイヤレス コントローラを起動する手順の前に、この VPN トンネルを作成するために必要な手順について説明します。

AWS VPN ルータを使用した VPN 接続の確立

前述したように、FCS シスコでサポートされるのは、Managed VPN 導入モードを利用した AWS クラウドへの C9800 の導入だけです。

エンタープライズ ルータから AWS ゲートウェイへの VPN 接続の作成

エンタープライズ ルータから VPC の AWS ゲートウェイへの VPN 接続を作成するには、次の手順を実行します。

手順

ステップ 1

AWS コンソールにログインして VPC ダッシュボードに移動します。
ステップ 2

左側のメニューで [VPN Connections] > [Customer Gateways] に移動します。
ステップ 3

[create customer gateway] をクリックします。
ステップ 4

下記のウィンドウが表示されます。VPN ルータの名前を入力し、この VPN でダイナミック ルーティングするかスタティック ルーティングするかを選択し、ルータ/ファイアウォールのインターネット ルーティング可能な外部アドレスを指定します。[create customer gateway] をクリックします。

ステップ 5

次に AWS 仮想プライベート ゲートウェイを作成します。VPC ダッシュボードで [VPN Connections] > [Virtual Private Gateway] に移動し、[create Virtual Private Gateway] をクリックします。

ステップ 6

下記のウィンドウが表示されます。名前(AWS VPN ルータ名)を入力します。ASN を選択するか、Amazon によって選択されているデフォルトのままにします。
ステップ 7

作成が完了すると、AWS VPN ゲートウェイのステータスが [detached] と表示されるので、VPC に接続する必要あります。
ステップ 8

[Actions] をクリックして [Attach to VPC] を選択します。

ステップ 9

ポップアップ ウィンドウで VPC を選択します。
ステップ 10

これで顧客ゲートウェイと AWS VPN ゲートウェイの両方が定義されたので、次は VPN 接続を作成します。VPC ダッシュボードで [VPN Connections] > [VPN Connections] に移動し、[create VPN connection] をクリックします。

ステップ 11

ポップアップ ウィンドウが表示されたら、すべての情報を入力する必要があります。VPN 接続の名前(名前のみ)を入力し、前のステップ 5 ~ 9 で作成した AWS VPN ゲートウェイを選択してください。顧客ゲートウェイについては、最初にステップ 4 で設定したゲートウェイを選択します。ルートの交換に使用するルーティング オプションを選択します。この例では、わかりやすいように [Static] が選択されています。VPN 経由で到達可能なリモート サブネットを設定します。これは、オンプレミスで AP を設置するリモート ネットワークです。

ステップ 12

必要に応じて、IPSEC VPN のトンネル インターフェイスにサブネットとキーを割り当てることができます。AWS では、冗長性を確保するために常に 2 つのトンネル インターフェイスが作成されます。空白のままにすると、AWS がこれらの設定を自動的に選択します。
ステップ 13

[Create VPN Connection] をクリックします。「Create VPN Connection Request Succeed」というメッセージが表示されます。
ステップ 14

接続が設定されて、ステータスが [pending] から...

[available] に変わるまでには数分かかります。
ステップ 15

保留中の状態でも、設定をダウンロードしてオンプレミス VPN ルータに導入できます。[Download Configuration] ボタンをクリックします。ポップアップ ウィンドウで、ブランド、および VPN ルータ/ファイアウォールのタイプを選択します。

[Download] をクリックしてファイルをコンピュータにダウンロードします。このファイルには、VPN 接続の設定に必要なすべてのコマンドが含まれています。VPC 用に選択したリモート サブネットを入力してルートを変更し、ルータ/ファイアウォールに貼り付ける必要があります。

(注)   

VPN ルータが NAT の背後にある場合は、AWS ファイルのパブリック IP を置き換えて、ローカル プライベート アドレスを使用するようにダウンロード済みの設定を変更する必要があります。たとえば Cisco IOS ルータの場合、この影響は crypto local-address とトンネル送信元設定の両方に及びます。

ステップ 16

VPN ゲートウェイを指すリモート サブネットに到達するルートが VPC 内にあることを確認します。次の例のリモート サブネットは 10.100.0.0/24 です。

(注)   

インターネットから VPC に到達する場合は、0.0.0.0./0 ルートが必要です。AP と管理アクセスは VPN 接続を経由するため、このルートは任意です。これは FCS でもサポートされていません。c9800-CL コントローラとのすべての通信は VPN トンネルを介する必要があります。

CloudFormation テンプレートを使用した AWS Marketplace からの C9800-CL の起動

これは AWS の C9800-CL インスタンスをスピンアップする最も簡単な方法なので、最初にこの方法について説明します。

前提条件

  1. 社内ネットワークから VPC への Managed VPN 接続が作成されている

  2. VPC が C9800 ワイヤレス管理インターフェイス向けに目的のサブネットで作成されている

  3. C9800 CloudFormation テンプレート。CloudFormation テンプレートは起動手順で自動的に統合されるため、手動で扱う必要はありません。必要に応じて、製品の AWS Marketplace ページから CloudFormation テンプレート ファイルをダウンロードして確認することもできます。

  4. 目的の 9800 ソフトウェア リリース用の Amazon マシン インスタンス ID(AMI-ID)。AMI は AWS Marketplace で入手できます。

  5. キー ペアがない場合は、EC2 ダッシュボードで [Network & Security] > [Key pairs] に移動し、[Create Key Pair] をクリックしてキー ペアを作成します。

CloudFormation テンプレートを使用して AWS Marketplace から C9800-CL を起動する手順

始める前に

手順

ステップ 1

AWS Marketplace にサインインします: https://aws.amazon.com/marketplace/
ステップ 2

Catalyst 9800 または C9800-CL を検索し、検索結果からクラウド向け Cisco Catalyst 9800-CL ワイヤレス コントローラのページをクリックします。
ステップ 3

製品概要ページが表示されます。

このページで製品、サポート、ライセンスに関するすべての情報を確認し、さまざまな AWS リージョンで C9800-CL を導入する場合のコストを概算できます。

このページを下にスクロールすると、次の図に示すようにトポロジと CloudFormation テンプレートに関する情報が表示されます。

ファイル(メモ帳タイプのすべてのプログラムで開くことができます)を確認する場合は、[Download CloudFormation Template] をクリックします。
ステップ 4

右上隅の [Continue to Subscribe] をクリックします。

次に [Continue to Configuration] をクリックします。
ステップ 5

次のページで履行オプションをクリックし、[CloudFormation] を選択します。

下にスクロールして、C9800-CL インスタンスを作成するリージョンを選択します。

[Continue to Launch] をクリックします。
ステップ 6

これで起動の準備ができたので、表示されたページで [Launch] をクリックします。
ステップ 7

自動的に AWS コンソールの CloudFormation サービスにリダイレクトされ、次のページが表示されます。

上記のようにテンプレートがすでに選択されています。[Next] をクリックします。

(注)   

デフォルト テンプレートの変更が必要な固有の要件がある場合は、[Upload a template to Amazon S3] セクションをクリックしてアップロードするファイルを選択すれば、別の特定のテンプレートをアップロードできます。
ステップ 8

次のページでスタックとインスタンスの詳細を入力します。スタック名は単なる名前なので、自由に指定してください。C9800 ホスト名を入力し、以前に作成したキー ペアを選択します。
ステップ 9

ネットワークの詳細を入力します。ワイヤレス管理インターフェイスに割り当てるサブネットとセキュリティ グループをドロップダウン ボックスから選択してください。重要:選択したサブネットとセキュリティ グループは、選択済みの同じ VPC に属している必要があります。

必要に応じて、選択したサブネット内の C9800 インスタンスに割り当てる IP アドレスを入力できます。選択したサブネットに属している、使用されていない特定の IP であることを確認してください。それ以外の IP ではスタックの作成が失敗します。
ステップ 10

インスタンスにリモート接続するためのユーザ名とパスワードを入力します。この手順は任意です。ユーザ名とパスワードを設定しなくても、デフォルト AWS ユーザ(ec2-user)と上記の手順で指定したインスタンスのキー ペアを使用して ssh 経由でログインできます。スケールに合わせてインスタンス タイプを選択します。FCS では、サポート対象のスケール(1,000 の AP、10,000 のクライアント)に対応する c5.xlarge のみがサポートされます。これはデフォルト値です。

[Next] をクリックします。
ステップ 11

オプション ページはデフォルトのままにして [Next] をクリックします。
ステップ 12

設定内容を確認して [Create] をクリックします。
ステップ 13

ステータスが [CREATE_IN_PROGRESS] から [CREATE_CMPLETE] に変わるまで数秒待ちます。

何らかの理由でスタックの作成が失敗し、ステータスが [ROLLBACK COMPLETE] と表示された場合は、スタック名をクリックして失敗の理由を確認してください。下の例では、すでに割り当てられた IP アドレスが選択されています。
ステップ 14

EC2 ダッシュボードに移動して [Running Instances] をクリックします。
ステップ 15

新しいインスタンスは、[Status Checks](システム ステータス チェックおよびインスタンス ステータス チェック)が [Initializing] と表示されます。緑色に変わるまで数分待ちます。

FCS でサポートされるモードであるため、インスタンスには要求されたプライベート IP(10.10.20.8)があってパブリック IP がないことに注意してください。これで、Catalyst 9800 ワイヤレス コントローラのクラウド インスタンスを使用する準備ができました。VPN 接続を介してアクセス可能になっています。
(注)   

セキュリティ上の理由でインスタンスへのアクセスを制限できます。たとえば特定の IP 範囲の CAPWAP のみを許可して、これらの AP のみがコントローラに登録できるようにします。インバウンドおよびアウトバウンドで有効にする必要があるプロトコルのリストを次に示します。

AMI を使用した AWS Marketplace からの C9800-CL の起動

このメソッドでは、ガイド付き Web インターフェイスを使用して AWS Marketplace から C9800-CL コントローラをインスタンス化できます。CloudFormation テンプレートに比べると必要なユーザ入力が増えますが、さまざまなクラウド設定の観点から詳細な制御が可能です。

前提条件

  1. 社内ネットワークから VPC への Managed VPN 接続が作成されている

  2. VPC が C9800 ワイヤレス管理インターフェイス向けに目的のサブネットで作成されている

  3. C9800 CloudFormation テンプレート。CloudFormation テンプレートは起動手順で自動的に統合されるため、手動で扱う必要はありません。必要に応じて、製品の AWS Marketplace ページから CloudFormation テンプレート ファイルをダウンロードして確認することもできます。

  4. 目的の 9800 ソフトウェア リリース用の Amazon マシン インスタンス ID(AMI-ID)。AMI は AWS Marketplace で入手できます。

  5. キー ペアがない場合は、EC2 ダッシュボードで [Network & Security] > [Key pairs] に移動し、[Create Key Pair] をクリックしてキー ペアを作成します。

AMI を使用して AWS Marketplace から C9800-CL を起動する手順

手順

ステップ 1

AWS Marketplace にサインインします: https://aws.amazon.com/marketplace/

ステップ 2

Catalyst 9800 または C9800-CL を検索し、検索結果からクラウド向け Cisco Catalyst 9800-CL ワイヤレス コントローラのページをクリックします。
ステップ 3

製品概要ページが表示されます。

このページで製品、サポート、ライセンスに関するすべての情報を確認し、さまざまな AWS リージョンで C9800-CL を導入する場合のコストを概算できます。

ステップ 4

右上隅の [Continue to Subscribe] をクリックします。

次に [Continue to Configuration] をクリックします。
ステップ 5

次のページで履行オプションをクリックし、[Amazon Machine Image] を選択します。

表示されたページを下にスクロールし、C9800-CL インスタンスを作成するリージョンを選択します。

[Continue to Launch] をクリックします。
ステップ 6

次のソフトウェア起動ページで、[Choose Action] を選択して [Launch from Website] に設定します。または、次の項で説明する [Launch through EC2] に設定すると、AWS コンソールにリダイレクトされます。

このページで必要な情報を入力します。[EC2 Instance Type] はデフォルトのままにしてください。VPC とサブネットを選択します。[Security Group Settings] まで下にスクロールして、キー ペアを入力します。

完了したら [Launch] をクリックします。
ステップ 7

インスタンスが正常に起動したことを示すメッセージが表示されます。
ステップ 8

EC2 ダッシュボードに移動して [Running Instances] をクリックします。
ステップ 9

新しいインスタンスは、[Status Checks](システム ステータス チェックおよびインスタンス ステータス チェック)が [Initializing] と表示されます。緑色に変わるまで数分待ちます。

初回リリースでサポートされるモードであるため、インスタンスにパブリック IP がないことに注意してください。

これで、Catalyst 9800 ワイヤレス コントローラのクラウド インスタンスを使用する準備ができました。VPN 接続を介してアクセス可能になっています。

(注)   

セキュリティ上の理由でインスタンスへのアクセスを制限できます。たとえば特定の IP 範囲の CAPWAP のみを許可して、これらの AP のみがコントローラに登録できるようにします。インバウンドおよびアウトバウンドを有効にする必要があるプロトコルのリストを次に示します。

AWS コンソールから C9800-CL インスタンスを直接起動する

ここでは、AWS コンソールからインスタンスを直接起動する方法について説明します。

前提条件

  1. 社内ネットワークから VPC への Managed VPN 接続が作成されている

  2. VPC が C9800 ワイヤレス管理インターフェイス向けに目的のサブネットで作成されている

  3. C9800 CloudFormation テンプレート。CloudFormation テンプレートは起動手順で自動的に統合されるため、手動で扱う必要はありません。必要に応じて、製品の AWS Marketplace ページから CloudFormation テンプレート ファイルをダウンロードして確認することもできます。

  4. 目的の 9800 ソフトウェア リリース用の Amazon マシン インスタンス ID(AMI-ID)。AMI は AWS Marketplace で入手できます。

  5. キー ペアがない場合は、EC2 ダッシュボードで [Network & Security] > [Key pairs] に移動し、[Create Key Pair] をクリックしてキー ペアを作成します。

AWS コンソールから C9800-CL インスタンスを直接起動する手順

ここでは、Amazon マシン イメージ(AMI)から WLC インスタンスを直接起動する手順について詳しく説明します。FCS の後は、C9800-CL を検索してイメージを選択すれば、AWS Marketplace で AMI を直接選択できます。

始める前に

手順

ステップ 1

AWS Marketplace にサインインします: https://aws.amazon.com/marketplace/
ステップ 2

Catalyst 9800 または C9800-CL を検索し、検索結果からクラウド向け Cisco Catalyst 9800-CL ワイヤレス コントローラのページをクリックします。
ステップ 3

製品概要ページが表示されます。

このページで製品、サポート、ライセンスに関するすべての情報を確認し、さまざまな AWS リージョンで C9800-CL を導入する場合のコストを概算できます。

ステップ 4

右上隅の [Continue to Subscribe] をクリックします。

次に [Continue to Configuration] をクリックします。
ステップ 5

次のページで履行オプションをクリックし、[CloudFormation] を選択します。

下にスクロールして、C9800-CL インスタンスを作成するリージョンを選択します。

[Continue to Launch] をクリックします。
ステップ 6

次のソフトウェア起動ページで、[Choose Action] を選択して [Launch through EC2] に設定すると、AWS コンソールにリダイレクトされます。
ステップ 7

AWS コンソールの最初の EC2 画面でインスタンス タイプを選択します。初回リリースでサポートされるタイプは c5.xlarge、c5.2xlarge、および c54xlarge のみです。必要なコンピューティング リソースを含む 1,000 の AP と 10,000 のクライアントに対応しているため、c5.xlarge が推奨されます。[Next: Configure Instance Details] をクリックします。

ステップ 8

インスタンスの詳細を設定します。VPC を選択し、VPC 内のサブネットを選択してください。

デフォルトで、[Auto-assign Public IP] フィールドに [Use subnet setting] と表示されていますが、FCS ではパブリック IP がサポートされていないため、無効に設定することをお勧めします。

インスタンスにリモート管理用のパブリック IP を割り当てる必要がある場合は、この設定を変更できます。その場合は、お客様の責任においてデフォルト ルートを設定し、インターネット ゲートウェイを使用して VPC に接続してください。また、シスコではパブリック IP アドレスを使用して AP を C9800-CL に参加させる方法をサポートしていないため、CAPWAP トラフィックをフィルタ処理するセキュリティ グループを VPC に設定することもお客様の責任になります。

最後に [Shutdown behavior] として [Stop] または [Terminate](インスタンスの「停止」または「終了」)を選択します。デフォルトは [Stop] です。
ステップ 9

ネットワーク インターフェイスの詳細を設定します。デフォルトのままにして DHCP によって自動割り当て IP をインスタンスに割り当てることも、使用する DHCP 固有のアドレスを入力することもできます。以前に選択した同じサブネットに属する未使用のアドレスを指定してください。それ以外のアドレスではエラーが表示されます。

(注)   

AWS への WLC 導入では 1 つのインターフェイスのみがサポートされます。

ステップ 10

[Advanced Details] セクションでユーザ データを追加します。ここでは、インスタンスの起動に使用する IOS コマンドを入力できます。たとえば、後で ssh を使用してアクセスするためのホスト名、ユーザ名、パスワードを指定します。[Next] をクリックします。

(注)   

特定の Cisco IOS コマンドを入力する場合は、ios-config-x="<コンフィギュレーション モードで入力する IOS コマンド>" の形式を使用してください(x は一意のシーケンス番号です)。

例:

ios-config-1="username cisco priv 15 pass ciscoxyz"
ios-config-2="hostname myc9800-CL"
(注)   

C9800 コードでは https、ssh、scp サーバ、および netconf-yang がデフォルトで有効になっているため、ここで手動で有効にする必要はありません。

ステップ 11

必要なストレージのタイプを選択します。SSD の使用が推奨されます。
ステップ 12

セキュリティ グループを選択するか新規で作成し、[Review and Launch] をクリックします。

(注)   

セキュリティ上の理由でインスタンスへのアクセスを制限できます。たとえば特定の IP 範囲の CAPWAP のみを許可して、これらの AP のみがコントローラに登録できるようにします。インバウンドおよびアウトバウンドを有効にする必要があるプロトコルのリストを次に示します。
ステップ 13

確認して [Launch] をクリックします。キー ペアを選択するか新規で作成してキー ペアにアクセスできることを確認するよう求められます。その後、[Launch Instances] をクリックします。

数分後には、Catalyst 9800 ワイヤレス コントローラのクラウド インスタンスを使用できるようになります。

AWS 内の C9800-CL への接続

この時点で、クラウドで C9800 ワイヤレス コントローラを使用する準備ができています。 https://<ワイヤレス管理インターフェイスの IP> にアクセスして DAY 0 GUI を起動するか、ボックスに ssh 接続できます。IP は、AWS によって自動的に割り当てられたプライベート IP か、ユーザが CloudFormation テンプレートまたは AWS コンソールで予約したプライベート IP です。

ssh 接続には、次の 2 つの方法があります。

  1. インスタンスの作成時に指定したユーザ名とパスワードを使用する

  2. .pem ファイルを使用して証明書で認証する

    • chmod 400 <file>.pem

    • issh -i “file name.pem” ec2-user@<c9800-CL IP>


(注)  

パブリック IP でインスタンスに到達できるようにする場合は、上記の「AWS VPN ルータを使用した VPN 接続の確立」で説明したように、VPC ルート テーブルにデフォルト ルートが含まれている必要があります。セキュリティ グループがパブリック IP で目的のプロトコルのみを許可することを確認してください。

パブリック クラウド上の C9800-CL の DAY 0 設定

DAY 0 Web グラフィカル ユーザ インターフェイス(GUI)の目的は、最初の Catalyst 9800 ワイヤレス コントローラの設定を簡単にして、AP とクライアントの接続に必要な設定が含まれているインスタンスを提供することです。DAY 0 GUI は、ワイヤレス コントローラが規制国ドメインで設定されていないため使用できない場合に毎回起動されます。

DAY 0 GUI に接続するには、https を使用して定義済みのデバイス管理/ワイヤレス管理インターフェイスにログインします。

ログインには、前の項で C9800 インスタンスを作成する際に指定したクレデンシャル(ユーザ名とパスワード)を使用します。

ログインすると、基本的なパラメータを設定してコントローラを正常に動作させるためのシンプルな設定フローが提示されます。

最初のページで、必要な情報を入力します。

入力する項目は、国コード、日付と時刻、NTP(任意)、AAA サーバ(任意)です。1 つのインターフェイスのみがサポートされるため、インターフェイス ギガビット 1 のみがボックスに存在していることがわかります。[Next] をクリックします。

次のページでは、クライアントが接続できるように WLAN(任意)を追加できます。この例では PSK ダイアログが表示されています。

次のページで、基本的な RF パラメータと AP 証明書を設定できます。

一般に、トラストポイントとは信頼できる認証局のことであり、暗黙的に信頼される認証局であるため、「トラストポイント」と呼ばれています。トラストポイントの証明書は自己署名証明書です。他の誰かまたは第三者による信頼には依存しないため、トラストポイントという名前になっています。AP が C9800-CL に参加するにはトラストポイントが必要になるため、ユーザは DAY 0 にトラストポイントが自動生成されるように設定できます。または、[Generate Certificate] を [NO] に切り替えた場合は、AP が参加できるように DAY 1 に独自の認証局を設定する必要があります。

[Summary] をクリックして設定を確認してから、[Finish] をクリックします。設定とトラストポイントがデバイスにプッシュされ、ユーザはログアウトされます。9800-CL コントローラは再起動しませんが、ユーザに再ログイン(同じクレデンシャルの入力)を求めるプロンプトが表示されるのに約 60 秒かかります。

今回は初期設定がすでに完了しているため DAY 0 のページがスキップされ、ユーザはメインのダッシュボードにリダイレクトされます。

CLI を使用した C9800-CL の設定:DAY 0 のガイド付きフローをスキップする

DAY 0 の Web ベースのガイド付きフローをスキップし、CLI を使用して基本設定を行う場合は、次の手順を実行します。次の手順を実行すると、DAY 1 設定用の GUI にアクセスできます。

AWS クラウド上の C9800-CL で使用できるインターフェイスは GigabitEthernet 1 のみで、このインターフェイスには次の特徴があります。

  • レイヤ 3 インターフェイスです(AWS はこのタイプのインターフェイスのみをサポートしています)

  • IP アドレスは DHCP を使用して取得します

C9800-CL 用のワイヤレス CLI ウィザードがないため、次の手順は手動で行ってください。

手順

ステップ 1

前の項で説明したように、ssh を使用して CLI にアクセスします。

.pem ファイルを使用して証明書で認証する

  1. chmod 400 <file>.pem

  2. ssh -i “file name.pem” ec2-user@<c9800-CL IP>
ステップ 2

必要に応じてホスト名を設定します。

WLC(config)#hostname C9800
ステップ 3

コンフィギュレーション モードを開始し、次のコマンドを使用してログイン クレデンシャルを追加します。

C9800(config)#username <name> privilege 15 password <yourpwd>
ステップ 4

GigabitEthernet 1 の設定と IP アドレスを確認します。インターフェイスが DHCP 用に設定されていることがわかります。

c9800#sh run int gig 1
Building configuration...
Current configuration : 99 bytes
!
interface GigabitEthernet1
ip address dhcp
negotiation auto
no mop enabled
no mop sysid
end
c9800#sh ip int brief
Interface   IP-Address  OK? Method Status  Protocol
GigabitEthernet1       10.10.30.231    YES DHCP   up  up      
Vlan1  unassigned      YES unset  administratively down down
ステップ 5

ワイヤレス ネットワークを無効にして国コードを設定します。

C9800(config)#ap dot11 5ghz shutdown 
Disabling the 802.11a network may strand mesh APs.
Are you sure you want to continue? (y/n)[y]: y
C9800(config)#ap dot11 24ghz shutdown 
Disabling the 802.11b network may strand mesh APs.
Are you sure you want to continue? (y/n)[y]: y
ステップ 6

AP の国ドメインを設定します。C9800 が動作するには国コードが必要なため、この設定によって GUI がトリガーされて DAY 0 フローがスキップされます。

C9800(config)# c9800-10-30(config)#ap country ?
  WORD  Enter the country code (e.g. US,MX,IN) upto a maximum of 20 countries
ステップ 7

AP が仮想 C9800 に参加するには、証明書が必要です。この証明書は DAY 0 フローで自動作成するか、次のコマンドを使用して手動で作成できます。

  • インターフェイスをワイヤレス管理インターフェイスとして指定します。

    C9800(config)#wireless management interface gig 1

  • EXEC モードで次のコマンドを発行します。

    C9800#wireless config vwlc-ssc key-size 2048 signature-algo sha256 password 0 <pwd> 
Configuring vWLC-SSC…
Script is completed

    これは、証明書全体の作成を自動化するスクリプトです。

  • 証明書のインストールを確認します。

    C9800#show wireless management trustpoint
Trustpoint Name : ewlc-default-tp
Certificate Info : Available
Certificate Type : SSC
Certificate Hash : e55e61b683181ff0999ef317bb5ec7950ab86c9e
Private key Info : Available
(注)   

証明書およびトラストポイントの設定は省略できますが、その場合は AP が参加できなくなります。GUI に移動し、目的の証明書をインポートして設定する必要があります。

メインのダッシュボードにアクセスするには、https://<ワイヤレス管理インターフェイスの IP> に移動します。以前に入力したクレデンシャルを使用します。すでに国コードが設定されているため、GUI は DAY 0 のページをスキップし、DAY 1 設定用のメインのダッシュボードを表示します。

C9800-CL の工場出荷時状態へのリセット

AWS クラウド内の C9800-CL 上ではコンソール アクセスを使用できません。インスタンスへの唯一のアクセス方法はネットワークを使用することです(つまりブートストラップ時に設定した IP とクレデンシャルを使用して)。設定を完全に消去するとユーザがロックアウトされ、回復する方法がないことは明白です。

つまり、インスタンスを工場出荷時状態にリセットしたり(「wr erase」など)、startup-config を無視するようにコンフィギュレーション レジスタを設定したりする従来の IOS-XE 方式は使用できないということです。

工場出荷時設定のインスタンスを取得する唯一の方法は、新しく生成することです。