Cisco WLC - tanisobe note

Cisco WLC

https://www.infraexpert.com/study/wireless29.html

Ciscoの無線APコントローラー

管理用のservice portと無線接続用のwiless portがある

設定モデル

https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series-wireless-controllers/213911-understand-catalyst-9800-wireless-contro.html#toc-hId--1166207

APにはタグを適用して制御

ポリシータグ

https://gyazo.com/10e08a5fc31d56d295525f213d88233f

WLANプロファイルとポリシープロファイルのマッピング情報

無線LAN SSIDとネットワークのVLAN mapping

WLANプロファイル

WLAN(SSID)、セキュリティタイプ(WPA2,PSK,AES,MAC FIltering等)の設定

ポリシープロファイル

VLAN,ACL、アイドルタイムアウト等の設定

サイトタグ

https://gyazo.com/3c966f8e30ad09f2f24ae69d7d5a87e9

AP join profle, Flex profileをまとめた情報

Local SIteの有効化のenable,disable設定でFlexConnectになるかどうか決まる

AP join profle

CAPWAP timer, APへんremote access 方法

Flex profile

ARP cache , vlan/ACL mapping

LocalSwitchingするVLANを設定

APでのLocalSwitching VLANはWLC側でのVLAN定義は本来不要

ただ入力の簡易さ等のために定義しても良い

RF(無線周波数)タグ

https://gyazo.com/103959bc52f1e5cd8ac0d79ad961272b

任意のRF profile(2.4GHz, 5GHz)を使用するかグローバル(default)RFを設定するかの選択

2.4GHz prfofile

5GHz profile

Zero Wait DFSやチャンネル幅の設定もできる

Zero Wait DFS

DCAチャンネルの設定とか

CAPWAP

Control and Provisioning Wireless Access Points

APのprovisioningと制御をする。APとコントローラーを紐づけるためのプロトコル

https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9120axe-access-point/221056-understand-the-ap-join-process-with-the.html

AP イメージをWLCからimage downloadする

APの通信先となるWLCのIPを設定する必要がある。

またAP自身のIPも設定する必要がある。

WLCのIPはローカルサブネットブロードキャスト、DHCP、またはstaticで設定する

DHCPのoption43,52での通知

同セグメントだとブロードキャストによってWLCにIP通知をしている

DNSでCISCO-CAPWAP-CONTROLLER.localdomainが引けるなら、そこにJOINしにいく

staticで設定した方が簡単で楽。

configuration

capwap ap ip <AP-IP> <netmask> <gateway-IP>

設定するとbroadcast, DHCP discoverでWLCの探索をする

capwap ap primary-base <wlc-hostname> <wlc-IP-address>

WLC Web認証ポータルカスタマイズ

https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series-wireless-controllers/216121-custom-web-authentication-on-catalyst-98.html

tar ballをWLCにアップロード後に

Configuration > Security > Web Auth

troubleshoot AP join

https://www.infraexpert.com/study/wireless29.5.html

APがjoinしないよくある例

https://www.cisco.com/c/ja_jp/support/docs/wireless/5500-series-wireless-controllers/119286-lap-notjoin-wlc-tshoot.html#toc-hId-1879698345

組込み証明書の期限切れ

AP,WLC内臓の証明書は製造から10年が期限

workaoround

https://www.cisco.com/c/en/us/support/docs/field-notices/639/fn63942.html

1 NTPを無効化して時間をずらして誤魔化す。

2 config ap cert-expiry-ignore {mic|ssc} enableで期限の無視

AP認証が有効だが、許可リストにAPがない

show auth-list

WLCのサブネットとしてもたないブロードキャストIPからのディスカバリ要求

ファイアーウォールで必要なcapwapのUDPがブロックされている

UDP ポート:5246, 5247

code:command

#From the WLC

show ap summary

debug capwap error

debug capwap packet

#From Wave 2 and Catalyst 11ax APs

debug capwap client events

debug capwap client error

debug dtls client error

debug dtls client event

debug capwap client keepalive

test capwap restart

capwap ap erase all

#From Wave 1 APs

debug capwap console cli

debug capwap client no-reload

show dtls stats

clear cawap ap all-config

WLC VM install

https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/9800-cloud/installation/b-c9800-cl-install-guide/installing-controller-on-hyperv.html

show platform software vnic-if interface-mappingでinterface とnicのマッピングがわかる。

wireless mgmt-via-wirelessを設定すると

FlexConnet AP setup

https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series-wireless-controllers/213945-understand-flexconnect-on-9800-wireless.html

FlexConnect ローカルスイッチングサービスセット識別子（SSID）を設定するための一般的な手順

WLAN プロファイルの作成/変更

ポリシープロファイルの作成/変更

ポリシータグの作成/変更

Flex プロファイルの作成/変更

サイトタグの作成/変更

AP へのポリシータグの割り当て

Country codeに注意

国ごとに許可される電波は違う。

wlcとAPはそれぞれCounty Codeというものを持つ

APで許可されたCounty Codeを持つwlcにjoinしないと実際には電波は吹かない

そもそもjoinしないケースとjoinはするが電波を吹かない2ケースがあるっぽい

検証用WLC9800はcounty code USだったりするのでJ4に変えること。

ACS

通常は自動チャネル選択により各APの電波が干渉しないように制御されている

しかし手動で特定のAPのチャネルを手動制御もできる。

手動はAP数が少なかったり、あくまで検証や特殊な事情以外では推奨しない

SSID単位で使うチャネルの制限も可能。

RRM

Radio Resource Management

電波干渉等