Catalyst 9800におけるPolicy ProfileのVLANの指定方法は vlan-name (名称指定) と vlan-id (番号指定) の2通りあります。

Configuration GuideではMode別 (Local modeとFlexConnect mode)で動作が異なるような書き方になっております。 しかし、FlexConnectの技術要素を細分化するとCentral SwitchingとLocal Switchingの通信方式があります。 そのため、Mode別と言うよりかは通信方式で動作が異なると認識した方が覚えやすいかもしれません。

条件によってVLANの割り当てが変わると混乱しやすくなるので、関連する設定などを含めて情報を整理しました。 なお、本記事の実機検証による裏付けはCatalyst 9800-CLの v17.13.1 で確認を行っております。

• 重要な点
• 動作の整理
  • 通信方式: Central Switching
  • 通信方式: Local Switching
• 要素別の整理
  • VLAN ID 1 (default) の名称は変更不可
  • 通信方式とVLANの定義
    • WLC側のVLAN定義
    • 無線AP側のVLAN定義
  • Policy ProfileでのVLANの参照
  • 通信方式がCentral Switching且つWMIがRouted Portの場合
• 動作が異なる故の利点
  • WMIと同じVLANになる動作の利点
  • Flex ProfileのNative VLAN IDと同じになる動作の利点
• 無線LAN端末へのVLAN IDの割り当ての確認方法
• 情報源
  • Best Practices
  • Configuration Guide
  • Bug Search Toolより関連情報

重要な点

混乱を避けるために重要な点を先ず記載します。

• Policy Profileの VLAN/VLAN Group の設定項目は、通信方式がCentral Switchingの場合はWLC側 (CLIの vlan コマンド)のVLAN定義を、Local Switchingの場合は無線AP側 (Flex Profile)のVLAN定義を参照します。

• 意図しないVLANの割り当て避けたいのであれば vlan-name (名称)を指定するのが確実的です。

• Local modeとFlexConnect modeのCentral Switchingは、ともに無線LAN端末の通信がWLCを介するため、VLANの割り当ては同じ動作に分類されます。

動作の整理

表形式で情報を整理しました。表が崩れないように画像データとして下記に掲載します。

文字情報としても下記に同様の内容を記載します。

通信方式: Central Switching

• 対象Mode: Local mode & FlexConnect mode Central Switching

• vlan-name: default

  • default の名称と対応する VLAN 1 が割り当たります。
  • VLAN 1 の名称が default で固定となり、他のIDへの変更は不可です。
  • Flex Profileの方に default の名称でVLAN定義をしても参照されません。

• vlan-name: VLAN123 ※default 以外の名称指定

  • vlan-name の名称と対応するVLAN IDが割り当たります。

• vlan-id: 1

  • WMI (Wireless Management Interface)と同じVLANが割り当たります。
  • 例えば、WMIがSVIの Vlan123 であれば VLAN 123 が割り当たります。

通信方式: Local Switching

• 対象Mode: FlexConnect mode Local Switching

• vlan-name

  • Flex Profileに vlan-name と同じ名称でVLANの定義が必要です。
  • Flex ProfileのVLAN定義の名称に対応したVLAN IDが割り当たります。
  • Tagged/Untaggedの判断はFlex ProfileのNative VLAN IDに依存します。
  • Native VLAN IDと同じ場合はFlex Profileの VLAN タブでの定義は不要です。

• vlan-id: 1

  • Flex ProfileのNative VLAN IDが割り当たります。
  • Flex ProfileにVLANの定義は不要です。

要素別の整理

VLANの割り当てに影響する要素を設定画面と一緒に整理します。

VLAN ID 1 (default) の名称は変更不可

vlan 1 の vlan-name (名称)は default で変更は不可です。そのため vlan-name: default と表記して特別視しています。

Web UIの画面キャプチャだと VLAN ID 1 が変更不可になっているのが分かりにくいため、CLIのログを掲載しておきます。

wlc01# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
wlc01(config)#
wlc01(config)# vlan 1
wlc01(config-vlan)# name RENAME_TEST
%Default VLAN 1 may not have its name changed.
wlc01(config-vlan)#

通信方式とVLANの定義

Cisco IOS/IOS-XE系の経験者には vlan コマンドでSwitchingに必要なVLANを定義するのは馴染み深いと思います。

Catalyst 9800もIOS-XE系ではありますが、WLC側と無線AP側の2つのVLANを定義する個所が出てきます。 そしてCentral/Local Switchingの通信方式の違いによって、VLANの定義が必要な個所も異なります。

WLC側のVLAN定義

Central Switchingの通信方式の場合は、WLCを介する通信となるためWLC側にVLAN定義が必要になります。 設定としては、メニュー: Configuration > Layer2 > VLAN が該当します。 CLIではCisco IOS/IOS-XE系で馴染み深い vlan コマンドに該当します。

無線AP側のVLAN定義

Local Switchingの通信方式の場合は、無線APから直接通信が出ていくため無線AP側にVLAN定義が必要になります。
設定としてはFlex Profileで無線AP側のVLANを定義します。

SSIDと紐付くPolicy ProfileのVLAN IDがNative VLAN IDと同じ場合は、Flex Profileの VLAN タブでの設定は不要です。

Flex Profileの VLAN タブに、
* Native VLAN IDを定義しているDefinedな場合は、Policy Profileから対象のVLANを指定しても動作します。
* Native VLAN IDを定義していないNot definedな場合は、Policy Profileで vlan-id: 1 を指定します。

Policy ProfileでのVLANの参照

Policy Profileの VLAN/VLAN Group のドロップダウン リストではWLC側のVLAN定義しか選択候補に表れないので注意してください。

通信方式がCentral Switching且つWMIがRouted Portの場合

Central Switchingの通信方式の際に、Policy Profileに vlan-id: 1 を指定するとWMI (Wireless Management Interface)のVLAN IDが参照されます。 そして、WMIはSVI (Switch Virtual Interface)だけでなくRouted Portも設定可能な点に留意してください。

WMIがRouted Portの場合は VLAN ID 0 (Zero) の扱いとなって無線LAN接続に失敗しました。下記はその時のログです。

Dec 28 2023 23:13:24.392 JST: %SESSION_MGR-5-FAIL: Chassis 1 R0/0: wncd: Authorization failed or unapplied for client (****.****.****) on Interface capwap_90000005 AuditSessionID 000000000000002BB0C5D482. Failure Reason: VLAN Failure. Failed attribute name 0.

Failure Reason: VLAN Failure. Failed attribute name 0. の部分より VLAN ID 0 (Zero) を割り当てようとして失敗しているのが分かります。

ちなみに、一部の例外を除いてCatalyst 9800のWMIにはSVIの使用がBest Practicesで推奨されています。

Cisco Catalyst 9800 Series Configuration Best Practices - Cisco
https://www.cisco.com/c/en/us/products/collateral/wireless/catalyst-9800-series-wireless-controllers/guide-c07-743627.html#Wirelessmanagementinterface

It is recommended that you use a Switched VLAN Interface (SVI) as the WMI for all deployments, including Foreign -Anchor for guest traffic. The only exceptions would be for C9800-CL in a public cloud, where it is mandatory to use a Layer 3 port for wireless management; and for the embedded wireless in Cisco Catalyst 9000 switches, where a loopback interface is recommended.

動作が異なる故の利点

動作が異なる故の利点で、筆者が思い浮かぶものを記載しておきます。
利点の一例を挙げてるだけで活用を推奨してるわけではありません。 混乱の元にもなり得るので活用する場合は十分に検討してください。

WMIと同じVLANになる動作の利点

Central Switchingの場合に vlan-id: 1 を指定するとWMIと同じVLANが割り当たります。 Policy Profileの VLAN/VLAN Group のデフォルト値は vlan-id: 1 となるため、明示的に設定変更しなくても最低限の設定で使える状態になるのが利点です。

Flex ProfileのNative VLAN IDと同じになる動作の利点

Local Switchingの場合に vlan-id: 1 を指定すると無線APのNative VLAN IDが割り当たります。 Native VLAN IDはどのような値であってもUntaggedとなってID情報が付与されないため、Uplink側のSwitchでは無線APの管理通信と同じように処理されます。
また、Native VLAN IDはFlex Profileの VLAN タブでVLAN定義が不要な利点があります。

システム内でのVLAN重複を避ける設計だと、拠点別に無線APのNative VLAN IDが異なってくるため、VLAN情報が異なるPolicy Profileを拠点別に作成する必要があります。 しかし本動作を利用するとUntaggedで通信するSSIDに限れば、わざわざ拠点数に比例してPolicy Profileを作成する労力が不要になります。 ただし、複数のSSIDでVLANを分けて通信を分離する必要が出てくると、設計が破綻しかねないので留意してください。

無線LAN端末へのVLAN IDの割り当ての確認方法

無線LAN端末にどのVLAN IDが割り当てられたかは下記のコマンドで確認ができます。

show wireless client vlan summary

実行例を記載します。VLAN と VLAN name の項目を参照してください。

wlc01# show wireless client vlan summary
Number of Clients: 1

MAC Address    AP Name                                        Type ID   State             Method     Role       VLAN VLAN name
-----------------------------------------------------------------------------------------------------------------------------------------
****.****.**** ap01                                           WLAN 1    Run               None       Local      102  VLAN102          

wlc01#

情報源

Best Practices

Best Practicesの Use of VLAN 1 in a Policy Profile のセクションの記述が、後述のConfiguration Guideより明確な情報が書かれています。
特に強調すべき点は、Local ModeとFlexConnect Central Switchingが同等な点がBest Practicesでは明記されています。

Cisco Catalyst 9800 Series Configuration Best Practices - Cisco
https://www.cisco.com/c/en/us/products/collateral/wireless/catalyst-9800-series-wireless-controllers/guide-c07-743627.html#UseofVLAN1inaPolicyProfile

The behavior is different depending on the AP mode. For an AP in local mode/Flex Central switching:

● Specifying vlan-name = default, client is assigned to VLAN 1

● Using vlan-id 1, a client is assigned to the wireless management VLAN

There is a warning to remind a user of this.

For an AP in FlexConnect local switching mode:

● Specifying vlan-name = default, client is assigned to VLAN 1

● Using vlan-id 1, a client is assigned to the FlexConnect native VLAN

By default, if the user does not configure anything under the policy profile, the WLC assigns vlan-id 1 so clients will use the wireless management VLAN in local mode and the AP native VLAN for FlexConnect.

Configuration Guide

Configuration Guideでは対象Versionの Restrictions for VLANs を参照してください。下記は 17.13.x のドキュメントです。

Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE 17.13.x - VLANs [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-13/config-guide/b_wl_17_13_cg/m_config_vlan_ewlc_cg.html#id_109551

• The behavior of VLAN 1 changes depending on the AP mode. These scenarios are described below:

  • Local mode AP: If you use vlan-name, clients are assigned to VLAN 1. However, if you use vlan-id 1, clients are assigned to the wireless management interface.

  • FlexConnect mode AP: If you use vlan-name, clients are assigned to VLAN 1. However, if you use vlan-id 1, clients are assigned to the native VLAN defined in the flex profile.

vlan-name は default を前提とした書き方になっています。 特筆すべきなのは、どちらのModeであっても vlan-id: 1 を指定した際の動作が「他の設定に依存」する特殊な点です。

Bug Search Toolより関連情報

本件に関連する事象の情報があるため書き残しておきます。 Bugというより仕様の明確化に分類される情報だと思われます。

• CSCvu25924 Client is assigned to native VLAN defined in Flex profile instead of vlan-id 1
  https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvu25924

• CSCwa93208 FlexConnect WLAN VLAN mapping disappears if using VLAN name defined in the FlexProfile
  https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwa93208

ThinkPad X13 Gen 4をWindows 11 HomeからProへUpgradeした際の情報を書き残します。

特にメーカーやモデルに依存する手順はないですが、初めてのUpgrade作業であったので必要な情報をまとめおきたい意図で書いております。

背景

ThinkPad X13 Gen 4 (第13世代Intel vPro)を購入する際に、Windows 11 Proにカスタマイズ可能なモデルが高価格帯でありました。 そのため、Windows 11 Homeのモデルで購入して、Windows 11 Proのパッケージ版のプロダクト キーを用いてUpgradを行いました。

Windows 11のUpgradeに関する情報源

下記のドキュメントに記載がありますが、Windows 11のHomeからProへのUpgradeはプロダクト キーの変更のみで可能でした。
Microsoft Store経由の手順もありましたがアカウントへのログインが必須となるため、ProへのUpgrade後に不必要な情報が残っていない状態でイメージ バックアップを取得したいケースを鑑みて避けるようにしました。

• 英語ドキュメント

  support.microsoft.com

• 日本語ドキュメント

  support.microsoft.com

Windows 11 Proの購入

筆者はWindows 11 Proのパッケージ版を購入しました。パッケージ版の内容物を一度見ておきたかったためです。 ThinkPadは日本語版を選んだので、パッケージ版も日本語のものを選択しております。

パッケージ版にはインストール メディアであるUSB Memoryが付属しております。しかし、プロダクト キーの変更のみでUpgradeが可能であったため、USB Memoryは実質的に未使用となりました。

Windows OSは格安の偽物が出回っている話も見かけるので、価格の確認用途も兼ねて公式サイトのリンクを掲載しておきます。

www.microsoft.com

Windows 11 Homeとしての初回セットアップ

初回セットアップはHome版として進めることに留意してください。Windows 11のHome版は執拗にMicrosoftアカウントのセットアップが求められるため、無効なアカウントを入力して手順をスキップし、ローカル アカウントを作成しました。
また、ProへのUpgrade前に回復ドライブの作成も事前に行っておくのが安全です。

Upgradeの手順

• 設定 (英語版: Settings)より システム > ライセンス認証 (英語版: System > Activation)からプロダクト キーの変更が可能です。

  

• Windows 11 Proのプロダクト キーを入力します。

  

• 表示内容をよく読んだ上で 開始 ボタンを押下します。

  

• ライセンス認証画面でWindows 11 Proに変化していればUpgradeが完了です。

  

Catalyst 9800ではWeb UIよりTagやProfileの紐付けが視覚的に確認できます。
機能名称は AP Operational Configuration Viewer と呼ばれております。 本機能は比較的に小さなアイコンで表示されており、初見では気づき難かったので該当箇所を書き留めておきます。

Web UIの該当箇所

• メニュー: Configuration > Wireless > Access Points に移動します。

  

• AP Name の欄にあるサイトマップのようなアイコンを押下すると AP Operational Configuration Viewer が表示されます。備考: アイコンの箇所のソース コードを見ると fa-sitemap の名称のようだったのでサイトマップと表現しております。

  

• Tagに紐付くProfileまで連鎖的に確認できるのが特徴です。

  

CLIの相当コマンド

CLIでは show ap tag summary コマンドが相当します。 しかしながら、Tagに紐付くProfileまでは確認できないので適宜使い分けてください。

wlc01#show ap tag summary
Number of APs: 3

AP Name                           AP Mac           Site Tag Name                     Policy Tag Name                   RF Tag Name                       Misconfigured    Tag Source
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ap01                              ****.****.****   default-site-tag                  default-policy-tag                default-rf-tag                    No               Default
ap02                              ****.****.****   default-site-tag                  default-policy-tag                default-rf-tag                    No               Default
ap03                              ****.****.****   default-site-tag                  default-policy-tag                default-rf-tag                    No               Default

wlc01#

情報源

情報源はCatalyst 9800のBest Practicesの Assigning tags セクションになります。

www.cisco.com

AP Operational Configuration Viewer は v16.12.2s 以上で実装されております。
本記事の検証については v17.12.1 で行っております。