Catalyst 9800では無線AP (Access Point)に対してSerial Numberベースによる認可が行えるため、意図しない無線APからのJoinを弾けます。 認可を有効化する際は、障害などでの無線AP交換によるSerial Number変更の運用的な考慮を忘れないようにしてください。
本記事ではSerial Numberベースによる認可を扱っていますが、MACアドレス ベースによる認可に関しては下記の記事を参考にしてください。
検証時の情報
Catalyst 9800-CLの Version 17.6.5 で検証しています。
設定
CLIとWeb UIからの設定方法を記載します。運用方法に適したものを選んでください。
環境に応じて修正が必要な個所
下記の項目は環境に応じて書き換えてください。
| 設定項目 | 設定値 | 備考 |
|---|---|---|
| Method List Name | METHOD_AP_POLICY | 任意の名称を指定します。 |
| Serial Number | AP-SERIAL-NUMBER | 設定例として例示用のSerial Numberを設定しています。 |
Serial Numberは無線AP側で show version を実行すると Top Assembly Serial Number の情報から確認できます。
CLIでの設定
- Serial Numberは無線APに依存するため書き換えを忘れないようにしてください。
configure terminal aaa new-model aaa authorization credential-download METHOD_AP_POLICY local ap auth-list authorize-serialNum ap auth-list method-list METHOD_AP_POLICY username AP-SERIAL-NUMBER serial-number end
- 動作確認が完了したら設定の保存を忘れないようにしてください。
write memory
Web UIでの設定
メニュー:
Configuration > Security セクション > AAAに移動します。
メニュー: Configuration > Security セクション > AAA AAA設定からAAA Method ListタブのAuthorizationを開いてAddボタンを押下します。
AuthorizationのAAA Method Listの追加 下記のようにAuthorizationのAAA Method Listを設定します。
設定項目 設定値 備考 Method List Name METHOD_AP_POLICY 任意の名称を指定します。 Type credential-download Group Type local WLC本体内 (ローカル内)に保存されている username database (username コマンド) の情報を元に認可を行います。 
AuthorizationのAAA Method Listの設定 AAA設定からAAA AdvancedタブのDevice AuthenticationのSerial Numberタブを開いてAddボタンを押下します。
無線APのSerial Numberの追加 Quick Setup: Serial Numberの画面でSerial Numberに正規の無線APのSerial Numberを登録します。
無線APのSerial Numberの登録 AAA設定からAAA AdvancedタブのAP Policyを開いて、下記のように設定します。設定項目 設定値 備考 Authorize APs against Serial Number ENABLED 無線APに対するSerial Numberによる認可を有効化します。 Authorization Method List METHOD_AP_POLICY 先に設定した Method List Name(任意名称)を指定します。
AP Policyの設定 動作確認が完了したら設定の保存を忘れないようにしてください。
設定の保存
参考情報: 無線APの認可失敗時
無線APの認可に失敗すると AP Auth Failure と表示されます。
- CLI (
show logging)
%CAPWAPAC_SMGR_TRACE_MESSAGE-5-AP_JOIN_DISJOIN: Chassis 1 R0/0: wncd: AP Event: AP Name: ap01 Mac: ****.****.**** Session-IP: 192.0.2.254[5248] 192.0.2.241[5246] Disjoined AP Auth Failure
- Web UI (メニュー:
Monitroing > Wireless セクション > AP StatisticsのJoin Statisticsタブ)
関連ドキュメント
Configuration Guides
Cisco Catalyst 9800 Series Wireless Controllers - Configuration Guides - Cisco
https://www.cisco.com/c/en/us/support/wireless/catalyst-9800-series-wireless-controllers/products-installation-and-configuration-guides-list.html
Configuration Guidesから Authorizing Access Points Using Serial Numbers の該当箇所を下記に抜粋します。
Version 17.6.x の Authorizing Access Points Using Serial Numbers のドキュメント
筆者が検証に用いた Version 17.6.x の該当ドキュメントは下記になります。
Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE Bengaluru 17.6.x - Converting Autonomous Access Points to Lightweight Mode [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-6/config-guide/b_wl_17_6_cg/m_ap_convert-autonomousaps_cg.html#d35629e1899a1635
