CONBU流 Cisco vWLC(Virtual Wireless LAN Controller)セットアップ・運用マニュアル
VMware ESXi向けにはovaファイル(例: AIR-CTVM-K9-8-0-152-0.ova)を用いてインストール作業をします。
手順はシンプルですが、対話式初期設定がスキップできなかったり、(バグのため)少しのミスで再インストールからやり直すことになったり、タイミング良くキーを押せないと再インストールからやり直しになったりします……。
Press any key to use this terminal as the default terminal
が数回表示される。さくらのクラウドの場合、ovaファイルを利用するのではなくisoイメージからvwlcを作成します。isoイメージはCisco公式から落とすことができます。(要:Ciscoの会員登録)2017/03現在 WLCダウンロード画面 ここから必要なisoイメージをダウンロードしておいてください。
仮想コア | 1 |
メモリ | 3 GB |
新規ディスクを作成 | |
ディスクプラン | SSDプラン |
ディスクソース | ブランク |
ディスクサイズ | 20GB |
ISOイメージを使う | ここは各自アップロードした物を選択 |
別ストレージに収容する | チェック・オフ |
準仮想化 モードを使う(Virtio) | チェック・オフ |
切断 | |
準仮想化 モードを使う(Virtio) | チェック・オフ |
作成後すぐ起動のチェックはオフする
できた仮想マシンを選択し NIC タブから新規NIC を作成し、 管理セグメントの Switchを接続し仮想マシーンを起動する。
参考値を記載する。
Description | |
---|---|
ホスト名 |
ホスト名 例: 18b-cc-vwlc01 |
${共通ユーザ名} |
Projectユーザー名 例: mekabu |
${共通パスワード} |
Project パスワード 例; conbu |
Service Interface IP Address: | 設定しないと進めないため、ドキュメントIPアドレスを利用 |
Service Interface Netmask: | 設定しないと進めないため、 /30 設定 |
${マネジメントセグメントIPv4アドレス} |
例: 10.20.0.21 |
${マネジメントセグメントのネットマスク} |
例: 255.255.255.0 |
${マネジメントセグメントのゲートウェイアドレス} |
例: 10.20.0.4 |
${マネジメントセグメントの適当なアドレス} |
設定しないと進めないため、設定 WLC前後のアドレスを利用するとわかりやすい あとで 0.0.0.0 に変更する例: 10.20.0.22 |
Virtual Gateway IP Address: | Webログイン認証用ダミーIPアドレスCONBUでは利用しないため、ドキュメントIPアドレスを使用 例: 203.0.113.1 |
Mobility/RF Group Name: | WLCを複数連携する時に必要いなるが、vWLCではHA構成を取れないため適当に設定 例: CONBU01 |
Network Name (SSID): | Installer 中で入力が必須のため設定するが、あとで変更することも可能 例: CONBU |
${現在の日付} |
時刻設定は後でNTPで設定するが、合わせておく 例: 06/23/18 |
${現在の時刻} |
時刻設定は後でNTPで設定するが、合わせておく 例: 13:56:00 |
これ以降は対話インストールを行う。入力を間違えたら "-" で戻れると表示があるが、バグのため実際には壊れてしまい、次回起動時にクラッシュループするようになるので、- は使えない。間違えたら ova デプロイやインストールをやり直す。
Would you like to terminate autoinstall? [yes]: yes
System Name [Cisco_07:fc:3e] (31 characters max): ホスト名
Enter Administrative User Name: ${共通ユーザ名}
Enter Administrative Password: ${共通パスワード}
@
を入力する際は別の記号として入力されるかもしれない。Service Interface IP Address Configration [static][DHCP]: static
static
で設定する。Service Interface IP Address: 192.0.2.1
Service Interface Netmask: 255.255.255.252
Management Interface IP Address: ${マネジメントセグメントIPv4アドレス}
Management Interface Netmask: ${マネジメントセグメントのネットマスク}
Management Interface Default Router: ${マネジメントセグメントのゲートウェイアドレス}
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 1]: 1
Management Interface DHCP Server IP Address: ${マネジメントセグメントの適当なアドレス}
Management Interface
と同じ、ネットワーク内のアドレスを適当にアサインする。Virtual Gateway IP Address: 203.0.113.1
Mobility/RF Group Name: CONBU01
Network Name (SSID): CONBU
Configure DHCP Bridging Mode [yes][NO]: no
Allow Static IP Addresses [YES][no]: yes
Configure a RADIUS Server now? [YES][no]: no
Enter Country Code list (enter 'help' for a list of countries) [US]: J2,J4
J2
J4
Enable Auto-RF [YES][no]: yes
Configure a NTP server now? [YES][no]: no
no
Configure the system time now? [YES][no]: yes
Enter the date in MM/DD/YY format: ${現在の日付}
Enter the time in HH:MM:SS format: ${現在の時刻}
would you like to configure IPv6 parameters [YES][no]: no
Configureation correct? IF yes, system will save it and reset. [yes][NO]: yes
自動的に再起動される
再起動が完了したらWebブラウザから https://10.55.255.51ントのvWLC用IPv4アドレス}`
(e.g. https://10.55.255.51 ) にアクセスしてみる
インターフェイス1
と インターフェイス2
を逆にして確認する。ovaのデプロイからやり直す場合は、vWLCのインスタンスを右クリックして「ディスクから削除(K)」を行ったあと 2 からの手順を行います。
WLC デフォルトライセンスでは、 12台以上の AP(Access Point) を Join することができないため評価版ライセンスを有効化する必要があります。
また、再起動しないと反映されないため、インストール直後にやるとこを推奨します。
APをJOINさせるには国コードを合わせる必要があります。国コードを変更するには一度無線を停波しないとできないため、ここで実施する。
また、 WLCインストール共通手順 で実施しているため確認になる。
webGUI上部メニューから「WIRELESS」を選択し、次に左メニューから 802.11a/n/ac
をプルダウンし、「Network」を選択する。
Generalの項目の 802.11a Network Status
の「Enabled」チェックボックスを外し、無効化します。外したら右上の「Apply
」をクリックして設定適用してください。
手順2.と同じ手順を 802.11b/g/n
の「Network」で実施し、無効化します。
左メニューから「Contry」の項目を選択し、国コードを設定します。 J2,J4 の両方を選択してください。選択したら右上の「Apply
」をクリックして設定適用します。
手順2.手順3で無効化したインターフェイスを有効化します。
CONBU では、Flexconnect Mode を利用しているため、 IPアドレスは設定上必要なため設定するが、実際は、 VLAN ID の設定ができれば何でも良い。
ドキュメントとして記載するため、また(1.1.1.1で問題になったため)ドキュメントIPアドレスを利用する。
参考までに、 Erlang & Elixir Fest 2018 の設定情報を記載する。
Floor | Interface Name | VLAN Identifier | IP Address | Netmask | Gateway |
---|---|---|---|---|---|
2F | venue_2f_mgmt | 2200 | 192.51.100.1 | 255.255.255.252 | 192.51.100.2 |
venue_2f_user | 2216 | 198.51.100.5 | 255.255.255.252 | 192.51.100.6 | |
5F | venue_5f_mgmt | 2500 | 192.51.100.33 | 255.255.255.252 | 192.51.100.34 |
venue_5f_user | 2516 | 198.51.100.37 | 255.255.255.252 | 192.51.100.37 |
カンファレンスネットワークは一部屋に多くの Client (150-200)を接続する環境のため、 TPC の設定を最適化しておく。
version | Description |
---|---|
TPCv1 |
通常電力を低く維持することでキャパシティを増やし、干渉を減らします。 Cisco WLC は、3番目に送信電力の強いネイバーによるアクセス ポイントの認識に応じて、アクセス ポイントの送信電力の調整を試行します。 |
TPCv2 |
高密度のネットワークに適しています。 このモードでは、ローミングの遅延およびカバレッジ ホールのインシデントが多く発生する可能性があります。 |
WLAN ID は 1
は デフォルトでCLI設定時に作成されるので 1-9
を利用しないようにした。
それから、11-512
まで利用可能。
階ごとに、WLANを作成することもあるため階ごとに10の位を分けるのがオススメ。
また、mgmtは最初に作成使用するため、 x1
で作成するのがオススメ。
Floor | WLAN ID | Profile Name | WLAN SSID |
---|---|---|---|
2F | 11 | conbu-staff | conbu-staff |
12 | user-wifi | user-wifi | |
5F | 21 | conbu-staff | conbu-staff |
22 | user-wifi | user-wifi |
プロファイルを変更し、対象イベント用に設定する。
作成したプロファイルはSSIDに紐づける必要がある。 WebGUI上部メニューから「WLANs」を選択し、SSIDを作成もしくは編集する。
2.4GHz(802.11g)か5GHz(802.11a)かあるいは両方(All)かを状況に応じて選択する。
SSID、PSK等を設定する。PSK設定は対象プロファイルのSecurityタブ > Layer2 タブ内の下部にある。
はまりポイントとして、Advancedタブの以下の項目について確認していく。
低帯域のbitrateでクライアントが接続すると、そのクライアントがボトルネックとなり、Wifi全体が遅くなるため、低bitrateのクライアント接続を絞る。 設定のステータスには3種類あり、それぞれの説明は以下になる。
Clientが接続するさいに接続される bitrate の下限値が Mandatory
でありサポートしていれば、 Supported
までの bitrate で接続する。
Disabled |
通信に使用するデータレートは、クライアントが指定します。 |
Mandatory |
クライアントは、このコントローラ上のアクセスポイントにアソシエートするにはこのデータレートをサポートしている必要があります。 |
Supported |
アソシエートしたクライアントは、このデータレートをサポートしていれば、このレートを使用してアクセス ポイントと通信することができます。 ただし、クライアントがこのレートを使用できなくても、アソシエートは可能です。 |
最近のCONBUでは下記の設定をしている
RF-Low:
disable
: 1, 2, 5.5, 6, 9, 11, 12, 18mandatory
: 24, 36supported
: 48, 54RF-High:
disable
: 1, 2, 5.5, 6, 9, 11, 12, 18, 24mandatory
: 36,supported
: 48, 54参考: Cisco Aironet 3600 シリーズ アクセス ポイント - Cisco
上部メニュー「WIRELESS」から左メニューで「RF Profile」画面を開き、右上の「New」を選択しProfileを作成する。
作成後、同画面にて作成したProfileを選択し、「802.11」タブを選択。接続させたくない帯域を「disabled」に変更する。 なお「Mandatory」は接続対応必須、「supported」はクライアント側がその帯域に対応しているのならば、クライアントに選択肢として提示するという設定。
このRF Profile設定は後述するAP-Group設定で使用することになる。
IPv6をユーザに提供する場合、RA Guardを外す必要がある。
802.11a/n/ac
と 802.11b/g/n
ともに CleanAir を有効化しておく。
CleanAir
右の Enabled
をチェックApply
する。 ついでに Save Configuration
もしとこう。Event Driven RRM
右の (Change Settings)
をクリックして RRM 設定に入るAvoid Persistent Non-WiFi Interference
を有効にするEvent Driven RRM
項目の DERRM
を Enabled
にチェックSensitivity Threshold
は Medium
設定Apply
する。 ついでに Save Configuration
もしとこう。WLCのバージョンにより、CleanAir Admin Status
が有効でない場合があるので確認する
802.11a/n/ac
と 802.11b/g/n
ともに確認しよう。▼
をクリックして、 Configure
をクリックCleanAir Admin Status
が Enabled
であることを確認する。802.11a/n/ac
と 802.11b/g/n
両方確認する。APへ以下の設定を行います。 AP内に登録されている旧証明書をクリアして新証明書をAPに導入させる必要があります。DHCPの場合はこの手順だけでもOK。
Cisco デフォルトの username
と password
は下記となります
username | Cisco |
password | Cisco |
enable secret | Cisco |
なおenableモードに入れない場合、工場出荷状態に初期化する必要があります。AP電源投入直後に"#####"とファームウェアが展開されている時にEscキーを押すことでrommonモードに入ることが出来ます。ここで以下の様に入力して設定を消し飛ばしましょう("ap:"はプロンプトです)。
ap: delete flash:private-multiple-fs
ap: reset
enableモードで以下を実行します。
enable
clear capwap ap ip address
clear capwap ap ip default-gateway
clear capwap ap controller ip address
clear capwap private-config
その後、以下の様にreloadコマンドで再起動させます
reload
再起動後、show capwap ip config
を実行すると、WLCの接続先設定が初期化されているのがわかります。
APからログを収集する場合は、このタイミングで HOSTNAME
を指定することをオススメします。
(通常だと、AP:aaaa.bbbb.cccc
の AP
+ MACアドレス になります。)
接続先WLCのアドレスを設定します。これにより、WLCへ接続しに行き、対応するOSのdownloadと適用処理が開始します。
capwap ap controller ip address
CAPWAPの設定コマンドが一部変更されています。
接続先WLCの指定コマンドであるcapwap ap controller ip address
は、以下のコマンドで実施してください。
capwap ap primary-base <host名> <IP address>
例:
capwap ap primary-base WLC01 10.255.255.51
AP の Join 方法は二通りあります
DHCPサーバが準備中の場合など、静的アドレスによる指定を行う場合はenableモードで以下を入力します。
capwap ap hostname ${AP_hostname}
capwap ap controller ip address ${WLC_address}
capwap ap ip address ${AP_address} ${AP_netmask}
capwap ap ip default-gateway ${GATEWAY_address}
このコマンドは write の必要はありません。 このAPから controller への疎通が取れるまで JOIN を試行し続けます。
DHCPサーバが既にデプロイされている場合はIPアドレスおよびゲートウェイアドレスの入力は不要です。 APにてこれらをDHCPで取得してくれるため、コントローラのアドレスのみを指定します。
capwap ap hostname <AP Name>
capwap ap controller ip address 10.255.255.51
それぞれこの設定におけるマネジメントネットワークの想定は以下の通りです。
静的アドレス利用時同様にwriteの必要はありません。
上方「WIRELESS」のタブ→左メニューから「All AP」→対象APを選択し、JOINしたAPの諸設定をする。
Applyを推して適用後、以下を実行する
APごとの__VLAN Support__が正しく設定されていないと、全てのトラフィックが上流にタグ無しで出て行く場合がある。 "その1"で述べた内容が大丈夫でも事象が継続する場合、接続中のAPの当該項目を確認すること。
WLCにおけるこれまでの設定順序を逸脱した場合やWLANsにてSSIDの増減をAP登録後に行った場合に、USER用SSIDに接続しているにも関わらずMGMTセグメントのアドレスが降ってくるor疎通ができてしまうなど、VLAN-SSIDのマッピングが崩れたような事象が発生することがある。このような場合、FlexConnect Groupsを設定して修正できる。
本来は事前に設定したInterfaceとSSIDの設定にしたがってマッピングが作成されるが、SSIDの削除/再追加などを行うとこれが崩れる場合がある。この様な場合にこの手順を踏む。
Client Load Balancing 機能が悪い方向に働いている可能性があります。 WLANs以下のSSIDに対応するプロファイルの「Client Load Balancing」のチェックボックスを外すと改善する場合があります。 ただし設定変更時には一度すべてのクライアントの接続が切れるので注意。
上記の画面において、LoadProfileがFailedと表示されることがあります。 これは以下の「Client」の数値が閾値となっていて、各APでこの閾値を超えると「LoadProfile: Failed」と表示されてしまいます。
管理用VLAN用のSSIDを用意した場合であってもWLCのGUIにアクセスできない場合は、Management Via Wireless項にあるEnable Controller Management to be accessible from Wireless Clientsのチェックを入れる。
MANAGEMENT -> Management Via Wireless
結論としてはdefault gateway設定の見直しとdefault gatewayに指定されているVPCルータのstatic route設定が必要。
事象が発生している場合、以下のようなメッセージがAPのシリアルコンソール上に表示されている。
%CAPWAP-3-DHCP_RENEW: Could not discover WLC. Either IP address is not assigned or assigned IP is wrong. Renewing DHCP IP.
%LWAPP-3-LWAPP_INTERFACE_GOT_IP_ADDRESS: Interface BVI1 obtained IP from DHCP...
%DHCP-6-ADDRESS_ASSIGN: Interface BVI1 assigned DHCP address 10.25.0.134, mask 255.255.255.0, hostname 18b-ve5-ap04
WLCからAPに向けてpingが届くか確認する。Webインターフェイスの右上からpingコマンドを実行できる。 pingが届かない場合、APへのrouteが無いことがわかる。
ただし、WLCのManagement設定にstatic routeを記述しようとすると、「gateway need to be on service port subnet」というエラーが出る。 このエラーが出た時の環境は、会場が2Fと5Fの2つに分かれている会場で、各フロアのAPをそれぞれ別のmgmtネットワークにて管理しjoinさせる構成だった。 (1フロア分のmgmtネットワークについては疎通、2フロア目のmgmtネットワークについては不通という状態であった。)
この場合、おそらく現在のバージョンのWLCの仕様と思われるが、同一インターフェイス上で2つのmgmtネットワークについて通信させる場合に、static routeを設定するために必要とされている"service port"というものの追加設定ができない。 回避する方法として、VPCルータを1hop挟むことになるが、VPCルータ上に2つの会場向けのstatic routeを記述し、WLCのdefault gatewayはVPCルータに向けることで事象が解決した。
[*11/07/2019 20:50:04.0001] CAPWAP State: DTLS Setup
[*11/07/2019 20:50:04.7120] display_verify_cert_status: Verify Cert: FAILED at 0 depth: certificate has expired
[*11/07/2019 20:50:04.7145] dtls_verify_con_cert: Controller certificate verification error
[*11/07/2019 20:50:04.7145] dtls_process_packet: Controller certificate verification failed
[*11/07/2019 20:50:04.7149] sendPacketToDtls: DTLS: Closing connection 0x54d54e00.
[*11/07/2019 20:50:04.7151] Restarting CAPWAP State Machine.
[*11/07/2019 20:50:04.7152]
[*11/07/2019 20:50:04.7153] CAPWAP State: DTLS Teardown
[*11/07/2019 20:50:04.7330] Aborting image download(0x0): Dtls cleanup,
[*11/07/2019 20:50:04.8561] do ABORT, part2 is active part
[*11/07/2019 20:50:04.8818] upgrade.sh: Cleanup tmp files ...
Nov 7 22:21:01.009: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: 5B8054D800000008B5E2) has expired. Validity period ended on 04:31:05 UTC Sep 27 2019Peer certificate verification failed 001A
この場合、WLCのdevice certificateの有効期限が切れてしまっているようです。 一時的な対処方法はWLC内の時刻を有効期間内に変える。(ただしNTPなどで時間が修正されると元の木阿弥。かつSNMP等で取得したデータの日時も当然ながら正確ではなくなる。) それ以外の根本的な解決法については調査中。