- 参考リンク・資料
- 前提とする環境
- 動作環境ごとのインストール手順
- vWLCインストール共通手順
- ライセンス
- 国コード
- VLAN追加設定
- Tx Power Control(TPC) version の設定
- SSIDの設定と注意点
- IPv6のサポート/非サポート
- CleanAir の有効化
- NTP設定
- APの初期化
- APのWLC上の設定
- AP-Groupとの紐付け処理
- トラブルシュート虎の巻
- 複数台の AP(Cisco Aironet) 配置する構成を取る場合。
VMware ESXi向けにはovaファイル(例: AIR-CTVM-K9-8-0-152-0.ova)を用いてインストール作業をします。
手順はシンプルですが、対話式初期設定がスキップできなかったり、(バグのため)少しのミスで再インストールからやり直すことになったり、タイミング良くキーを押せないと再インストールからやり直しになったりします……。
- WindowsマシンからvSphere ClientでESXiホストへ接続する
- ファイル(F) → ovfテンプレートのデプロイ(D)... → vWLCの ova を選択
- 名前は適当につける。
- シック・プロビジョニング(Lazy)を選択
- ネットワークのマッピングはとりあえずそのまま
- デプロイ後にパワーオンはしない
- ネットワーク構成の確認
- 概要: vWLCにはネットワークアダプタが2つあり、両方とも何かをアサインせねばならない。
vWLCはローカルモード(全トラフィックがWLC経由)をサポートしないため、実質管理用インタフェイスが一つあればよいのだが、2つアサインしなければ進まない - デプロイしたvWLCを右クリックして 設定の編集
- ネットワーク アダプタ1 と アダプタ2 があり、アダプタ1 は管理セグメントに接続、 アダプタ2 はダミーの仮想スイッチに接続する。
1. ネットワークアダプタ設定は アダプタ1 と アダプタ2 が逆になってしまうこともある。
手順9まで進んでもpingが通らない場合には逆にして確認する。 - コンソールタブを表示させて vWLC をパワーオンする
- 初回起動、自動的にディスクへのインストーラが走り(約1分)、完了すると自動的にリブート
- 次回起動
Press any key to use this terminal as the default terminalが数回表示される。
このときにすかさず何かキーを押す(あらかじめvSphere上でコンソールにフォーカスしておくとよい)。もしここで押せないと、ova デプロイからやり直しになる。
さくらのクラウドの場合、ovaファイルを利用するのではなくisoイメージからvwlcを作成します。isoイメージはCisco公式から落とすことができます。(要:Ciscoの会員登録)2017/03現在 WLCダウンロード画面 ここから必要なisoイメージをダウンロードしておいてください。
- さくらのクラウドにログインするさくらのクラウドにログインする
- Ciscoから落としたisoイメージをさくらのクラウドにアップします。手順はこちらを参照してください。ISOディスクアップロード
- サーバを作成します。シンプルモードではなく詳細モードで作成します。
| 仮想コア | 1 |
| メモリ | 3 GB |
| 新規ディスクを作成 | |
| ディスクプラン | SSDプラン |
| ディスクソース | ブランク |
| ディスクサイズ | 20GB |
| ISOイメージを使う | ここは各自アップロードした物を選択 |
| 別ストレージに収容する | チェック・オフ |
| 準仮想化 モードを使う(Virtio) | チェック・オフ |
| 切断 | |
| 準仮想化 モードを使う(Virtio) | チェック・オフ |
作成後すぐ起動のチェックはオフする
できた仮想マシンを選択し NIC タブから新規NIC を作成し、 管理セグメントの Switchを接続し仮想マシーンを起動する。
参考値を記載する。
| Description | |
|---|---|
ホスト名 |
ホスト名 例: 18b-cc-vwlc01 |
${共通ユーザ名} |
Projectユーザー名 例: mekabu |
${共通パスワード} |
Project パスワード 例; conbu |
| Service Interface IP Address: | 設定しないと進めないため、ドキュメントIPアドレスを利用 |
| Service Interface Netmask: | 設定しないと進めないため、 /30 設定 |
${マネジメントセグメントIPv4アドレス} |
例: 10.20.0.21 |
${マネジメントセグメントのネットマスク} |
例: 255.255.255.0 |
${マネジメントセグメントのゲートウェイアドレス} |
例: 10.20.0.4 |
${マネジメントセグメントの適当なアドレス} |
設定しないと進めないため、設定 WLC前後のアドレスを利用するとわかりやすい あとで 0.0.0.0 に変更する例: 10.20.0.22 |
| Virtual Gateway IP Address: | Webログイン認証用ダミーIPアドレスCONBUでは利用しないため、ドキュメントIPアドレスを使用 例: 203.0.113.1 |
| Mobility/RF Group Name: | WLCを複数連携する時に必要いなるが、vWLCではHA構成を取れないため適当に設定 例: CONBU01 |
| Network Name (SSID): | Installer 中で入力が必須のため設定するが、あとで変更することも可能 例: CONBU |
${現在の日付} |
時刻設定は後でNTPで設定するが、合わせておく 例: 06/23/18 |
${現在の時刻} |
時刻設定は後でNTPで設定するが、合わせておく 例: 13:56:00 |
これ以降は対話インストールを行う。入力を間違えたら "-" で戻れると表示があるが、バグのため実際には壊れてしまい、次回起動時にクラッシュループするようになるので、- は使えない。間違えたら ova デプロイやインストールをやり直す。
-
Would you like to terminate autoinstall? [yes]:
yes- これを早めに入力しないと autoinstall が勝手に走ってしまう!
-
System Name [Cisco_07:fc:3e] (31 characters max):
ホスト名 -
Enter Administrative User Name:
${共通ユーザ名} -
Enter Administrative Password:
${共通パスワード}- キーボードがUS配列になっているので、JISキーボードを使って
@を入力する際は別の記号として入力されるかもしれない。
わからなくならなければWeb画面から変更できるので大丈夫
- キーボードがUS配列になっているので、JISキーボードを使って
-
Service Interface IP Address Configration [static][DHCP]:
static- このインタフェイスは使わない が、NICを同一ネットワークに刺してると問題になる可能性があるため
staticで設定する。
- このインタフェイスは使わない が、NICを同一ネットワークに刺してると問題になる可能性があるため
-
Service Interface IP Address:
192.0.2.1 -
Service Interface Netmask:
255.255.255.252 -
Management Interface IP Address:
${マネジメントセグメントIPv4アドレス}- このインタフェイスに AP が JOIN する。Web / CLI もここ
-
Management Interface Netmask:
${マネジメントセグメントのネットマスク} -
Management Interface Default Router:
${マネジメントセグメントのゲートウェイアドレス} -
Management Interface VLAN Identifier (0 = untagged):
0 -
Management Interface Port Num [1 to 1]:
1 -
Management Interface DHCP Server IP Address:
${マネジメントセグメントの適当なアドレス}- 使わない
Management Interfaceと同じ、ネットワーク内のアドレスを適当にアサインする。
- 使わない
-
Virtual Gateway IP Address:
203.0.113.1- Webログイン認証用ダミー IPアドレス。
-
Mobility/RF Group Name:
CONBU01 -
Network Name (SSID):
CONBU- 後で変更するのでここではなんでもよい
-
Configure DHCP Bridging Mode [yes][NO]:
no -
Allow Static IP Addresses [YES][no]:
yes- DHCP で IPアドレス を配布するが、 Static IP も許容するか。
-
Configure a RADIUS Server now? [YES][no]:
no -
Enter Country Code list (enter 'help' for a list of countries) [US]:
J2,J4- P型番の AP は
J2
Q型番の AP はJ4
- P型番の AP は
-
Enable Auto-RF [YES][no]:
yes -
Configure a NTP server now? [YES][no]:
no- 後ほど、 WebGUI で設定するのでとりあえず
no
- 後ほど、 WebGUI で設定するのでとりあえず
-
Configure the system time now? [YES][no]:
yes -
Enter the date in MM/DD/YY format:
${現在の日付} -
Enter the time in HH:MM:SS format:
${現在の時刻} -
would you like to configure IPv6 parameters [YES][no]:
no -
Configureation correct? IF yes, system will save it and reset. [yes][NO]:
yes- ここで no を選ぶと次回起動時にクラッシュループするので間違えた場合は ova デプロイからやり直す)
-
自動的に再起動される
-
再起動が完了したらWebブラウザから https://
${マネジメントセグメントのvWLC用IPv4アドレス}
(e.g. https://10.55.255.51 ) にアクセスしてみる- ping を実行する。 ping 10.55.255.51 が通らない場合にはネットワークアダプタ設定を確認し、
インターフェイス1とインターフェイス2を逆にして確認する。
- ping を実行する。 ping 10.55.255.51 が通らない場合にはネットワークアダプタ設定を確認し、
ovaのデプロイからやり直す場合は、vWLCのインスタンスを右クリックして「ディスクから削除(K)」を行ったあと 2 からの手順を行います。
WLC デフォルトライセンスでは、 12台以上の AP(Access Point) を Join することができないため評価版ライセンスを有効化する必要があります。
また、再起動しないと反映されないため、インストール直後にやるとこを推奨します。
- Web からログインする
- 「MANAGEMENT」 -> Software Activation -> Licenses
- ap_count (か何か最初から入っているもの) をクリック、activate にして Set Status ボタンを押す
- EULAが表示されるので Accept
- Apply
- ライセンスを有効にするために WLC を再起動する。
- COMMANDS -> Reboot -> Save and Reboot
- 再起動のタイミングでインストール手順6と同様に、コンソールで何かキーを押すことを忘れずに。。
- 再起動後、Summary 画面に “200 Access Point Supported” と表示されていればOK
APをJOINさせるには国コードを合わせる必要があります。国コードを変更するには一度無線を停波しないとできないため、ここで実施する。
また、 WLCインストール共通手順 で実施しているため確認になる。
-
webGUI上部メニューから「WIRELESS」を選択し、次に左メニューから
802.11a/n/acをプルダウンし、「Network」を選択する。 -
Generalの項目の
802.11a Network Statusの「Enabled」チェックボックスを外し、無効化します。外したら右上の「Apply」をクリックして設定適用してください。
-
手順2.と同じ手順を
802.11b/g/nの「Network」で実施し、無効化します。 -
左メニューから「Contry」の項目を選択し、国コードを設定します。 J2,J4 の両方を選択してください。選択したら右上の「
Apply」をクリックして設定適用します。
-
手順2.手順3で無効化したインターフェイスを有効化します。
CONBU では、Flexconnect Mode を利用しているため、 IPアドレスは設定上必要なため設定するが、実際は、 VLAN ID の設定ができれば何でも良い。
ドキュメントとして記載するため、また(1.1.1.1で問題になったため)ドキュメントIPアドレスを利用する。
参考までに、 Erlang & Elixir Fest 2018 の設定情報を記載する。
| Floor | Interface Name | VLAN Identifier | IP Address | Netmask | Gateway |
|---|---|---|---|---|---|
| 2F | venue_2f_mgmt | 2200 | 192.51.100.1 | 255.255.255.252 | 192.51.100.2 |
| venue_2f_user | 2216 | 198.51.100.5 | 255.255.255.252 | 192.51.100.6 | |
| 5F | venue_5f_mgmt | 2500 | 192.51.100.33 | 255.255.255.252 | 192.51.100.34 |
| venue_5f_user | 2516 | 198.51.100.37 | 255.255.255.252 | 192.51.100.37 |
- webGUI上部メニューから「CONTROLLER」を選択、左メニューから「Interfaces」を選択。Interfaceに新規にユーザ用VLANを追加します。
- ユーザ用VLAN番号はイベント指定の番号を追加。
- 設定項目ではIPアドレス、netmask、Gatewayの割り当てを設定する。
カンファレンスネットワークは一部屋に多くの Client (150-200)を接続する環境のため、 TPC の設定を最適化しておく。
| version | Description |
|---|---|
TPCv1 |
通常電力を低く維持することでキャパシティを増やし、干渉を減らします。 Cisco WLC は、3番目に送信電力の強いネイバーによるアクセス ポイントの認識に応じて、アクセス ポイントの送信電力の調整を試行します。 |
TPCv2 |
高密度のネットワークに適しています。 このモードでは、ローミングの遅延およびカバレッジ ホールのインシデントが多く発生する可能性があります。 |
- 「WIRELESS」=> 「802.11a/n/ac」=> 「RRM」=>「TPC」
- Interference Optimal Mode (TPCv2) に変更
- 同様に、「802.11b/g/n」も実施する
WLAN ID は 1 は デフォルトでCLI設定時に作成されるので 1-9 を利用しないようにした。
それから、11-512 まで利用可能。
階ごとに、WLANを作成することもあるため階ごとに10の位を分けるのがオススメ。
また、mgmtは最初に作成使用するため、 x1 で作成するのがオススメ。
| Floor | WLAN ID | Profile Name | WLAN SSID |
|---|---|---|---|
| 2F | 11 | conbu-staff | conbu-staff |
| 12 | user-wifi | user-wifi | |
| 5F | 21 | conbu-staff | conbu-staff |
| 22 | user-wifi | user-wifi |
プロファイルを変更し、対象イベント用に設定する。
- WebGUI上部メニューからWLANs > 左メニューから「WLANs」を選択。
作成したプロファイルはSSIDに紐づける必要がある。 WebGUI上部メニューから「WLANs」を選択し、SSIDを作成もしくは編集する。
2.4GHz(802.11g)か5GHz(802.11a)かあるいは両方(All)かを状況に応じて選択する。
SSID、PSK等を設定する。PSK設定は対象プロファイルのSecurityタブ > Layer2 タブ内の下部にある。
はまりポイントとして、Advancedタブの以下の項目について確認していく。
- 「Client Exclusion」 の項目についてはEnabledのチェックを外す
- 「P2P Blocking Action」をDropにする
- これが無いと、同一APのSSIDに接続しているクライアント間の通信が遮断できない - 但しマネジメントセグメントでは無効にしておく
- 「FlexConnect Local Switching」の項目にチェックを入れ、enabledとする。
- 「DHCP Addr. Assignment」の Required の項目にチェックが入ってないことを確認する。 (有効になっているとIPv6のRAを妨げてしまうため)
- 「Client Load Balancing」は、複数AP間でクライアントを融通しあい極端にどこかのAPにクライアント数が偏らないようにしてくれる設定なので、基本的には入れておく。
- 手動でクライアント数のバランシングを行うオペレーションが不要になる
- 但し後述するように稀に接続断の頻発という事象を引き起こす場合がある
- 「Clinent Band Select」の項目は2.4GHz/5GHz両方からSSIDを提供するときに、5GHz(802.11a)に優先して接続する設定なので、SSIDの設定状況に応じて選択する。
- 2.4GHzと5GHzとでSSIDを分けた場合は不要、それ以外の場合は基本的に有効にしておくこと
低帯域のbitrateでクライアントが接続すると、そのクライアントがボトルネックとなり、Wifi全体が遅くなるため、低bitrateのクライアント接続を絞る。 設定のステータスには3種類あり、それぞれの説明は以下になる。
Clientが接続するさいに接続される bitrate の下限値が Mandatory でありサポートしていれば、 Supported までの bitrate で接続する。
Disabled |
通信に使用するデータレートは、クライアントが指定します。 |
Mandatory |
クライアントは、このコントローラ上のアクセスポイントにアソシエートするにはこのデータレートをサポートしている必要があります。 |
Supported |
アソシエートしたクライアントは、このデータレートをサポートしていれば、このレートを使用してアクセス ポイントと通信することができます。 ただし、クライアントがこのレートを使用できなくても、アソシエートは可能です。 |
最近のCONBUでは下記の設定をしている
-
RF-Low:
disable: 1, 2, 5.5, 6, 9, 11, 12, 18mandatory: 24, 36supported: 48, 54
-
RF-High:
disable: 1, 2, 5.5, 6, 9, 11, 12, 18, 24mandatory: 36,supported: 48, 54
参考: Cisco Aironet 3600 シリーズ アクセス ポイント - Cisco
上部メニュー「WIRELESS」から左メニューで「RF Profile」画面を開き、右上の「New」を選択しProfileを作成する。
作成後、同画面にて作成したProfileを選択し、「802.11」タブを選択。接続させたくない帯域を「disabled」に変更する。 なお「Mandatory」は接続対応必須、「supported」はクライアント側がその帯域に対応しているのならば、クライアントに選択肢として提示するという設定。
このRF Profile設定は後述するAP-Group設定で使用することになる。
- APのチャンネルと電波出力が固定になっていないか、確認する。(前回利用時に固定設定している場合がある)
- 数値は1がMAX、6がMIN、* は自動出力調整で運用されている。必要に応じて出力を下げる。ただし、出力設定変更した場合にはAPは再起動するので、そのAPに接続したユーザは切断されることに注意する。
IPv6をユーザに提供する場合、RA Guardを外す必要がある。
802.11a/n/ac と 802.11b/g/n ともに CleanAir を有効化しておく。
CleanAir右のEnabledをチェックApplyする。 ついでにSave Configurationもしとこう。Event Driven RRM右の(Change Settings)をクリックして RRM 設定に入る
Avoid Persistent Non-WiFi Interferenceを有効にする
Cisco WLC が継続的な WiFi 以外の干渉を無視できるようにします。Event Driven RRM項目のDERRMをEnabledにチェックSensitivity ThresholdはMedium設定
干渉しきい値は以下の通りになってる。- low: 35
- medium: 50
- high: 60
Applyする。 ついでにSave Configurationもしとこう。
WLCのバージョンにより、CleanAir Admin Status が有効でない場合があるので確認する
802.11a/n/acと802.11b/g/nともに確認しよう。
- 画面右側の
▼をクリックして、Configureをクリック
CleanAir Admin StatusがEnabledであることを確認する。- 同様に、
802.11a/n/acと802.11b/g/n両方確認する。
- WebGUI上部メニューから「CONTROLLER」を選択、左メニューから「NTP」をプルダウンし、「server」を選択。
- サーバIPアドレスとして、マネジメントセグメント内のNTPサーバアドレスを設定します。
APへ以下の設定を行います。 AP内に登録されている旧証明書をクリアして新証明書をAPに導入させる必要があります。DHCPの場合はこの手順だけでもOK。
Cisco デフォルトの username と password は下記となります
| username | Cisco |
| password | Cisco |
| enable secret | Cisco |
なおenableモードに入れない場合、工場出荷状態に初期化する必要があります。AP電源投入直後に"#####"とファームウェアが展開されている時にEscキーを押すことでrommonモードに入ることが出来ます。ここで以下の様に入力して設定を消し飛ばしましょう("ap:"はプロンプトです)。
ap: delete flash:private-multiple-fs
ap: reset
enableモードで以下を実行します。
enable
clear capwap ap ip address
clear capwap ap ip default-gateway
clear capwap ap controller ip address
clear capwap private-config
その後、以下の様にreloadコマンドで再起動させます
reload
再起動後、show capwap ip config を実行すると、WLCの接続先設定が初期化されているのがわかります。
APからログを収集する場合は、このタイミングで HOSTNAME を指定することをオススメします。
(通常だと、AP:aaaa.bbbb.cccc の AP + MACアドレス になります。)
接続先WLCのアドレスを設定します。これにより、WLCへ接続しに行き、対応するOSのdownloadと適用処理が開始します。
capwap ap controller ip address
CAPWAPの設定コマンドが一部変更されています。
接続先WLCの指定コマンドであるcapwap ap controller ip addressは、以下のコマンドで実施してください。
capwap ap primary-base <host名> <IP address>
例:
capwap ap primary-base WLC01 10.255.255.51
AP の Join 方法は二通りあります
- APに静的アドレスを指定する方法
- DHCP による IPアドレス 取得と Join
DHCPサーバが準備中の場合など、静的アドレスによる指定を行う場合はenableモードで以下を入力します。
capwap ap hostname ${AP_hostname}
capwap ap controller ip address ${WLC_address}
capwap ap ip address ${AP_address} ${AP_netmask}
capwap ap ip default-gateway ${GATEWAY_address}
このコマンドは write の必要はありません。 このAPから controller への疎通が取れるまで JOIN を試行し続けます。
DHCPサーバが既にデプロイされている場合はIPアドレスおよびゲートウェイアドレスの入力は不要です。 APにてこれらをDHCPで取得してくれるため、コントローラのアドレスのみを指定します。
capwap ap hostname <AP Name>
capwap ap controller ip address 10.255.255.51
それぞれこの設定におけるマネジメントネットワークの想定は以下の通りです。
- ネットワーク: 10.255.1.0/24
- デフォルトゲートウェイのアドレス: 10.255.1.1
- WLCのアドレス: 10.255.255.51
静的アドレス利用時同様にwriteの必要はありません。
上方「WIRELESS」のタブ→左メニューから「All AP」→対象APを選択し、JOINしたAPの諸設定をする。
- まず、AP High Availability のNameに何かしら文字列を入力する必要がある
- 入れないと各種設定でエラーになる
- AP名とAP modeをそれぞれ変更する。
- AP名はそれぞれのイベントでの命名規則に沿って設定する。
- AP modeをFlexConnectに変更する。
- なおAPをWLCに接続した直後にファームウェアの更新が走る場合がある。この場合、AP modeを変更できない。更新が終了し、再度WLCに接続されるまで待つこと。
- VLAN support のチェックを入れる。
Applyを推して適用後、以下を実行する
- flex connect のチェックが入っていることを確認
- 左メニューのAdvancedから「AP groups」を選択。
- 会場レイアウトに合わせて、AP Groupを作成する。(例:ホール前方=hall-front, ホール後方=hall-backなど)
- 対象のAP-groupを選択し、WLANsのタブでそのAP-Groupから出力したいSSIDを登録する。
- RF profileと紐付けて、bitrate制限をしたい場合には、前述のRF Profile作成手順で作成したProfileをこのRF Profileタブで紐付けする。
- 対象のAP-groupを選択し、APsのタブを開き、そのAP-Groupに所属させたいAPを登録する。
APごとの__VLAN Support__が正しく設定されていないと、全てのトラフィックが上流にタグ無しで出て行く場合がある。 "その1"で述べた内容が大丈夫でも事象が継続する場合、接続中のAPの当該項目を確認すること。
WLCにおけるこれまでの設定順序を逸脱した場合やWLANsにてSSIDの増減をAP登録後に行った場合に、USER用SSIDに接続しているにも関わらずMGMTセグメントのアドレスが降ってくるor疎通ができてしまうなど、VLAN-SSIDのマッピングが崩れたような事象が発生することがある。このような場合、FlexConnect Groupsを設定して修正できる。
- FlexConnect Groupを作成する
- WIRELESS – FlexConnect Groups にてNew..ボタンを押しグループを新規作成する(以下は作成済み)
- APをFlexConnect Groupに登録する
- 全APを登録すること。漏れていると一部APに事象が残る。
- WLAN-VLAN Mappingを設定する
- SSIDと上流VLAN IDの組合せをAddする
本来は事前に設定したInterfaceとSSIDの設定にしたがってマッピングが作成されるが、SSIDの削除/再追加などを行うとこれが崩れる場合がある。この様な場合にこの手順を踏む。
Client Load Balancing 機能が悪い方向に働いている可能性があります。 WLANs以下のSSIDに対応するプロファイルの「Client Load Balancing」のチェックボックスを外すと改善する場合があります。 ただし設定変更時には一度すべてのクライアントの接続が切れるので注意。
上記の画面において、LoadProfileがFailedと表示されることがあります。 これは以下の「Client」の数値が閾値となっていて、各APでこの閾値を超えると「LoadProfile: Failed」と表示されてしまいます。
管理用VLAN用のSSIDを用意した場合であってもWLCのGUIにアクセスできない場合は、Management Via Wireless項にあるEnable Controller Management to be accessible from Wireless Clientsのチェックを入れる。
MANAGEMENT -> Management Via Wireless
結論としてはdefault gateway設定の見直しとdefault gatewayに指定されているVPCルータのstatic route設定が必要。
事象が発生している場合、以下のようなメッセージがAPのシリアルコンソール上に表示されている。
%CAPWAP-3-DHCP_RENEW: Could not discover WLC. Either IP address is not assigned or assigned IP is wrong. Renewing DHCP IP.
%LWAPP-3-LWAPP_INTERFACE_GOT_IP_ADDRESS: Interface BVI1 obtained IP from DHCP...
%DHCP-6-ADDRESS_ASSIGN: Interface BVI1 assigned DHCP address 10.25.0.134, mask 255.255.255.0, hostname 18b-ve5-ap04
WLCからAPに向けてpingが届くか確認する。Webインターフェイスの右上からpingコマンドを実行できる。 pingが届かない場合、APへのrouteが無いことがわかる。
ただし、WLCのManagement設定にstatic routeを記述しようとすると、「gateway need to be on service port subnet」というエラーが出る。 このエラーが出た時の環境は、会場が2Fと5Fの2つに分かれている会場で、各フロアのAPをそれぞれ別のmgmtネットワークにて管理しjoinさせる構成だった。 (1フロア分のmgmtネットワークについては疎通、2フロア目のmgmtネットワークについては不通という状態であった。)
この場合、おそらく現在のバージョンのWLCの仕様と思われるが、同一インターフェイス上で2つのmgmtネットワークについて通信させる場合に、static routeを設定するために必要とされている"service port"というものの追加設定ができない。 回避する方法として、VPCルータを1hop挟むことになるが、VPCルータ上に2つの会場向けのstatic routeを記述し、WLCのdefault gatewayはVPCルータに向けることで事象が解決した。
[*11/07/2019 20:50:04.0001] CAPWAP State: DTLS Setup
[*11/07/2019 20:50:04.7120] display_verify_cert_status: Verify Cert: FAILED at 0 depth: certificate has expired
[*11/07/2019 20:50:04.7145] dtls_verify_con_cert: Controller certificate verification error
[*11/07/2019 20:50:04.7145] dtls_process_packet: Controller certificate verification failed
[*11/07/2019 20:50:04.7149] sendPacketToDtls: DTLS: Closing connection 0x54d54e00.
[*11/07/2019 20:50:04.7151] Restarting CAPWAP State Machine.
[*11/07/2019 20:50:04.7152]
[*11/07/2019 20:50:04.7153] CAPWAP State: DTLS Teardown
[*11/07/2019 20:50:04.7330] Aborting image download(0x0): Dtls cleanup,
[*11/07/2019 20:50:04.8561] do ABORT, part2 is active part
[*11/07/2019 20:50:04.8818] upgrade.sh: Cleanup tmp files ...
Nov 7 22:21:01.009: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: 5B8054D800000008B5E2) has expired. Validity period ended on 04:31:05 UTC Sep 27 2019Peer certificate verification failed 001A
この場合、WLCのdevice certificateの有効期限が切れてしまっているようです。 一時的な対処方法はWLC内の時刻を有効期間内に変える。(ただしNTPなどで時間が修正されると元の木阿弥。かつSNMP等で取得したデータの日時も当然ながら正確ではなくなる。) それ以外の根本的な解決法については調査中。