Re: Ask Me Anything - ワイヤレス: Catalyst 9800やWLCの設計や設定とトラブルシューティング - 3ページ

CiscoJapanModerator · ‎2021-03-08

以下のワイヤレス製品を利用した設計や設定、機能確認、トラブルシューティングでお困りのことはありませんか？ 当 Ask Me Anything (AMA) イベントでは、現役のワイヤレスエキスパートが、皆様の質問にお答えします！

Catalyst 9800
Wireless LAN Controller (WLC)
Wireless Access Point
Identity Services Engine (ISE) ※認証機能などワイヤレス製品と連携機能が対象

なお、当イベントの対象は以下とさせて頂きます。

IOS-XEは、バージョン16.10以降の利用時を前提
AireOSは、バージョン8.0以降の利用時を前提
ISEは、バージョン 2.4以降の利用時を前提
ハードウェア固有の質問は対象外

当イベントは、Cat9800、WLC、アクセスポイントおよびISEについて、エキスパートの知見を得られる良いチャンスです！皆様のご質問をお待ちしております。

なお、当イベントは、ネットワンシステムズ株式会社ビジネス開発本部応用技術部様との共催となります。

このイベントに参加するには、ボタンをクリックして質問してください。

4月5日（月）から23日（金）まで質問を投稿できます。
大変ご好評につき開催期間を1週間延長いたします！

共催会社紹介

ネットワンシステムズ株式会社について

ネットワンシステムズ株式会社は、お客様が利用するビジネスアプリケーションを、プライベートクラウド/パブリッククラウドを包括してセキュアに支える「クラウドシステム」を提供する企業です。そのために、常に世界の最先端技術動向を見極め、その組み合わせを検証して具現化するとともに、実際に自社内で実践することで利活用ノウハウも併せてお届けしています。詳細は https://www.netone.co.jp をご覧ください。

エキスパート紹介

田中政満 (Tanaka Masamitsu)
ネットワンシステムズ株式会社ビジネス開発本部第３応用技術部第３チーム
入社以来無線LANの製品担当SEとして製品や技術の調査、検証評価、及び、提案や導入を支援する業務に従事。現在はキャンパスセキュリティや自動化に力を入れるなど、エンタープライズSDNのエンジニアとして邁進中。

丸田竜一(Maruta Ryuichi)
ネットワンシステムズ株式会社ビジネス開発本部第３応用技術部第３チーム
無線LAN製品担当として、主にCisco WLC, AP, PI, CMX製品評価・検証・技術サポート・提案支援に従事。
DNA Centerやクラウド型無線LAN製品など、新たな製品が増えていくなか、現場での使われ方を念頭に業務にあたっています。

質問をするには Cisco.com ユーザIDでのログインが必要です。Cisco.com ユーザIDの登録や設定、ニックネーム利用方法などについて詳しくは、新Cisco Community: ログインとプロファイル設定方法を参照してください。

なお、質問が多数となる場合、2人では回答が難しくなる場合があります。そのため、おひとり様の質問数は最大3件まで、全体の質問数は先着 20件までとさせていただきます。ご質問数を超える場合は、ワイヤレスのディスカッションボードまでご投稿をお願いいたします。

**役に立ったら「いいね！」ボタンをクリックして参加者を増やしましょう **
質問に対する回答は是非評価をお願いいたします。

isxx-xx · ‎2021-04-14

9800コントローラやWireless LAN Controller 等にJoinしているAPについて教えてください。
JoinしているAPで障害が発生しAPを交換する場合、
APの個別設定（APグループの設定やチャネルの個別設定、Flexconnectモードの設定等）を
どのようにしてもとに戻せばいいのか教えていただけないでしょうか。

JoinしているAPの設定に関してはバックアップできないものと考えており、
何かいい方法があればうれしいです。

ネットワンシステムズ応用技術部 · ‎2021-04-23

Cisco Ask Me Anythingに、ご投稿頂き有難うございます。下記に回答させていただきます。

WLC上ではまとめて設定する方法は知る限りありませんので、新規に接続された未設定APを元のAPと同じように設定していく必要があります。

PIが導入されている環境であれば、PIの機能である「Copy and Replace APs (Configuration > Wireless Technologies > Copy and Replace APs)」を利用することで、障害が起きて取り外したAPの設定を引き継ぐことが可能です。(ジョブ実行後、APが一度WLCより外れ、旧APの設定を引き継いで再度WLCにJoinします)

返答が遅れてしまい失礼いたしました。

nawt · ‎2021-04-15

Cat9800のWeb認証について教えてください。
設定＞セキュリティ＞ウェブ認証＞全般のページに「最大HTTP接続数」といったパラメータがございます。
以下のURLのドキュメントでは「クライアントが除外されるまでの認証失敗数」あります。
または、Cat9800のHelpでは以下のような記載がございます。
内容的に異なるように思うのですが、具体的にどのような設定かご教示いただけますでしょうか。

help）
In the Maximum HTTP Connections field, enter the maximum number of HTTP connections that you want to allow.

最大HTTP接続=クライアントが除外されるまでの認証失敗数
https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series-wireless-controllers/213923-configure-a-web-authentication-ssid-on-c.html

nawt · ‎2021-04-16

Cat9800のWeb認証の設定にある「最大HTTP接続数」について教えてください。
（設定＞セキュリティ＞web認証＞全般のページ）
以下の情報ですと「クライアントが除外されるまでの認証失敗数」と記載がございます。
なお、装置のhelpでは「the maximum number of HTTP connections that you want to allow. 」
とあり、どのような設定か混乱しております。
本設定の具体的な動作についてご教示いただけないでしょうか。

最大HTTP接続=クライアントが除外されるまでの認証失敗数
https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series-wireless-controllers/213923-configure-a-web-authentication-ssid-on-c.html

ネットワンシステムズ応用技術部 · ‎2021-04-23

Cisco Ask Me Anythingに、ご投稿頂き有難うございます。下記に回答させていただきます。

ご質問の件は原文に答えがあります。
https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213923-configure-a-web-authentication-ssid-on-c.html

>Maximum HTTP connections = Number of authentication failures before client gets excluded

と記載がある通り、Excluded Client扱いになるまで許容する認証失敗回数(Web認証失敗回数)となります。

実機でも確認してみましたが、設定した回数失敗したタイミングでExcluded Client扱いとなりました。

直前にも同様の質問を投稿いただいているようですが、重複回答になってしまうためこちらの投稿への回答のみとさせていただきます。
返答が遅れてしまい失礼いたしました。

mayupon0110 · ‎2021-04-16

こんにちは。
素晴らしい機会を頂きありがとうございます。

C9800 コントローラで、SSO 構成を組んでいるときの
Standby 側への CLI アクセスについて質問させてください。

CCO サイト、Community 等では Standby アクセスとして
コンソールを用いた手法を案内しておりますが、実際にこちらで
アクセスは行えるものの、Console のためログ出力に時間がかかる背景からも
Telnet/SSH を行える Active 側から Standby 側に潜り込む方法がないか確認させてください。

(参考) Catalyst 9800 シリーズの冗長構成で Standby 機のコンソールアクセスを有効にする方法

https://community.cisco.com/t5/-/-/ta-p/4003859

Catalyst 等のスイッチである

------------------------------
Switch#session standby ios
Switch-stby>enable
Switch-stby#
------------------------------

このようなセッションコマンドで、Standby に潜り込むといった手法は
C9800 では未実装という認識でよろしいでしょうか。

長いコマンドを実行する際、Standby 側の機器では Cosole しか術がないのかをご教授頂ければと思います。
よろしくお願い致します。

ネットワンシステムズ応用技術部 · ‎2021-04-26

出力が長くなるとき Console では時間がかかりますし、当方としてもお悩みは十分に理解できます。
しかし残念ながら、こちらで把握するかぎり、telnet や ssh で Standby にアクセスする方法はありません。

こちらでも SSO HA の構成を組んで試してみましたが、telnet や ssh でアクセスする方法は見つけられませんでした。
メーカーエンジニアではないため、機器の仕様や実装に関して確たることはコメントできませんが、
公開されているドキュメントに記載がないことから、現時点では未実装と考えていただくほかないと思います。

y-miyata01 · ‎2021-04-20

Catalyst9800において、CAPWAP用のIPアドレスをSVIなどで作るとそのIPアドレスに管理GUIやSSHでの接続ができるかと思いますが、このような管理通信をGigabitEthernet0(SP)のみに限定したいと思っています。何か良い方法はございますでしょうか？

ネットワンシステムズ応用技術部 · ‎2021-04-26

Cisco Ask Me Anythingに、ご投稿頂き有難うございます。下記に回答させていただきます。

先に投稿された質問にもあるように、access-classでの設定はサポートしていないことから、
SP以外の物理ポート/channel-group/SVI等へのACL適用(拡張ACLによるポート指定,ip access-groupコマンド)を行う方法になると思われます。
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-3/config-guide/b_wl_17_3_cg/m_conf_ipv4_acl_ewlc.html

https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-3/cmd-ref/b_wl_17_3_cr/configuration-commands-g-to-z.html#wp4183719364

返答が遅れてしまい失礼いたしました。