Catalyst 9800におけるHA SSO (High Availability Stateful Switchover)の設定で肝となる要素を整理します。

前提条件を含む「初期セットアップからHA SSOの設定まで」の一連の流れは、下記のスライド資料にまとまっています。 本記事はHA SSOの設定部分を参照しやすいように個別に切り出しています。

speakerdeck.com

• HA SSOの前提条件
• HA SSOの関連知識
  • HA SSOの方式
  • 仮想アプライアンス版に特有の観点
  • RPとRMIに関して
  • RMIとWMIのIPアドレスの関係性
  • RPのIPアドレス
  • HA SSO構成時のActive機とStandby機のIPアドレス
  • 設計要素: Chassis NumberとPriority
• 前提条件の確認
  • IOS-XEのVersion確認
  • ROMMONのVersion確認
• 設定手順
  • RPポートの一時的な抜線
  • HA SSOの設定項目
  • 実際のHA SSOの設定の流れ (画面遷移)
    • HA SSOの設定 - Step 1: 「Redundancy Configuration」の有効化
    • HA SSOの設定 - Step 2: 両号機で共通の部分
    • HA SSOの設定 - Step 3a: #1号機 (Active機)
    • HA SSOの設定 - Step 3b: #2号機機 (Standby機)
    • HA SSOの設定 - Step 4: Apply時のメッセージの違い
    • HA SSOの設定 - Step 5: 両号機の再起動前の状態
    • HA SSOの設定 - Step 6: 設定を保存して再起動
  • RPポートの結線
  • HA SSOの同期状態の確認
• 関連ドキュメント
  • Quick Start Guide
    • 英語
    • 日本語翻訳
• High AvailabilityのWhite Paper
• Cisco CommunityのHA SSO関連トピック

HA SSOの前提条件

HA SSOを組む際に、両号機で一致が必要な要素があります。

• Installation modeの一致
  Install modeとBundle modeのどちらかで一致している必要があります。Best PracticesとしてはInstall modeが推奨です。

• IOS-XEのVersionの一致

また任意ではありますが、物理アプライアンスではROMMONのVersionが一致しているかも確認しておくのが好ましいです。

前提条件を合わせる際には、下記の関連する記事を適宜参照してください。

Catalyst 9800のInstall modeへの変更 - My Home NW Lab
https://myhomenwlab.hatenablog.com/entry/2024/11/10/143053

Catalyst 9800のBundle modeへの変更 - My Home NW Lab
https://myhomenwlab.hatenablog.com/entry/2024/10/28/000500

Catalyst 9800におけるROMMONのアップグレード - My Home NW Lab
https://myhomenwlab.hatenablog.com/entry/2025/03/01/225507

HA SSOの関連知識

HA SSOの設定に必要な関連知識をまず整理します。

HA SSOの方式

HA SSOには「RMI+RP」と「RP」の2つの方式があります。

• RMI+RP

• RP

RMIとRPは下記の略語です。

• RMI: Redundancy Management Interface

• RP: Redundancy Port

RMIはv17.1.xから導入されており、Split Brain対策の側面で「RMI+RP」が推奨されています。 そのため、本記事の設定も「RMI+RP」の方式を採用します。

仮想アプライアンス版に特有の観点

2025年03月時点で仮想アプライアンスであるC9800-CLはvSphere版のみHA SSOに対応しています。

詳細は下記の記事で扱っています。

Catalyst 9800-CLにおけるPublic/Private Cloudでの冗長化方式のサポート状況 - My Home NW Lab
https://myhomenwlab.hatenablog.com/entry/2023/07/20/000500

RPとRMIに関して

• RP (Redundancy Port)
  物理アプライアンスではRPは専用ポートとして提供されています。
  なお、仮想アプライアンスのC9800-CLではInterface (vSphere視点ではNetwork Adapter)のひとつをHA InterfaceとしてRPの扱いにします。

  

• RMI (Redundancy Management Interface)
  RMIは専用ポートがありません。WMI (Wireless Management Interface)と関連付くポートが利用されます。

RMIとWMIのIPアドレスの関係性

• HA SSOでRMIに割り当てるIPアドレスは、WMIと同じサブネットに所属します。

• HA SSOを組むとWMIのIPアドレスは正系と副系で共通化します。キッティング時はセットアップに必要になるので、副系 (#2号機)のWMIにもIPアドレスを仮割り当てします。

RPのIPアドレス

• RPのIPアドレス (Local IP & Remote IP)は、RMIの第3～4オクテットから自動生成されます。

HA SSO構成時のActive機とStandby機のIPアドレス

HA SSOは論理的に同一筐体として扱う都合上、GigiabitEthernet0 (VRF: Mgmt-intf)やWMIのIPアドレスは共通化されます。

Standby機にアクセスしたい場合は、RMI IPに対して接続します。詳細は下記を参照してください。

Catalyst 9800におけるHA SSO構成のStandby機へのログイン - My Home NW Lab
https://myhomenwlab.hatenablog.com/entry/2025/02/25/202858

設計要素: Chassis NumberとPriority

C9800でHA SSOを組む際に、#1号機と#2号機のChassis NumberとPriorityは意図した値に設定します。 Chassis Numberは一意 (Unique)に設定します。

前提条件の確認

IOS-XEのVersion確認

両号機でVersionが一致しているのを確認します。

show version | include Cisco IOS XE Software, Version

下記は表示例です。

wlc01#show version | include Cisco IOS XE Software, Version
Cisco IOS XE Software, Version 17.14.01
wlc01#

ROMMONのVersion確認

物理アプライアンスにはROMMONがあるため、両号機でVersionが一致しているのを確認します。 仮想アプライアンスのC9800-CLの場合は表示されません。

show rom-monitor chassis active r0

下記はC9800-40での表示例です。

wlc01#show rom-monitor chassis active r0
==========================================================
System Bootstrap, Version 17.12(1r), RELEASE SOFTWARE
Copyright (c) 1994-2023 by cisco Systems, Inc.
wlc01#

設定手順

RPポートの一時的な抜線

物理版のアプライアンスの場合は、HA SSOを設定をすると(再起動前でも)同期のプロセスが開始されるようでした。 そのため、中途半端な状態で同期が開始しないように、事前にRPポートを抜線しておくのが安全です。

HA SSOの設定項目

両号機でメニュー「Administration > Device > Redundancy」に移動します。

下記の画像を参考に、#1号機と#2号機をそれぞれ設定します。

文字ベースの設定表も併記します。

* 1号機と#2号機で異なるのは Chassis Renumber と Active Chassis Priority になります。

• 仮想アプライアンスであるC9800-CLでは HA Interface の設定項目が表示されます。

  

実際のHA SSOの設定の流れ (画面遷移)

一例の画面遷移を掲載します。

HA SSOの設定 - Step 1: 「Redundancy Configuration」の有効化

HA SSOの設定 - Step 2: 両号機で共通の部分

HA SSOの設定 - Step 3a: #1号機 (Active機)

注記: #1号機 (Active機) での設定例です。

HA SSOの設定 - Step 3b: #2号機機 (Standby機)

注記: #2号機機 (Standby機) での設定例です。

HA SSOの設定 - Step 4: Apply時のメッセージの違い

HA SSOの設定 - Step 5: 両号機の再起動前の状態

HA SSOの設定 - Step 6: 設定を保存して再起動

RPポートの結線

物理版のアプライアンスの場合は、(事前にRPポートを抜線しておいたため、)再起動を実行してからRPポートを結線しなおします。

HA SSOの同期状態の確認

HA SSOの状態を下記のコマンドで確認します。同期が完了すると Ready になります。

show chassis

関連ドキュメント

Quick Start Guide

Quick Start Guideに個別トピックとしてHA SSOの情報がまとまっています。

英語

Configure High Availability SSO on Catalyst 9800 | Quick Start Guide - Cisco
https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/220277-configure-high-availability-sso-on-catal.html

日本語翻訳

Catalyst 9800でのハイアベイラビリティSSOの設定|クイックスタートガイド - Cisco
https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series-wireless-controllers/220277-configure-high-availability-sso-on-catal.html

High AvailabilityのWhite Paper

より詳細な情報は Technical References の配下に各Version向けの High Availability のドキュメントがあります。

Cisco Catalyst 9800 Series Wireless Controllers - Technical References - Cisco
https://www.cisco.com/c/en/us/support/wireless/catalyst-9800-series-wireless-controllers/products-technical-reference-list.html

例として v17.6 の冗長化に関するドキュメント (PDFのみ)は下記になります。2025年03月時点で v17.6 向けのが最新の情報です。

High Availability SSO Deployment Guide for Cisco Catalyst 9800 Series Wireless Controllers, Cisco IOS XE Bengaluru 17.6
https://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/9800/17-6/deployment-guide/c9800-ha-sso-deployment-guide-rel-17-6.pdf

Cisco CommunityのHA SSO関連トピック

C9800 HA SSO 構成のバージョンアップ - Cisco Community
https://community.cisco.com/t5/-/-/ta-p/4602776

Catalyst 9800 HA SSO 障害時の機器交換(Active機障害) - Cisco Community
https://community.cisco.com/t5/-/-/ta-p/5271197

Catalyst 9800 HA SSO 障害時の機器交換(Standby機障害) - Cisco Community
https://community.cisco.com/t5/-/-/ta-p/5271214/

Catalyst 9800がHA SSO構成で冗長化されている際に、Standby機へログインするには standby console enable の設定が必要になります。
なお、Standby機側で操作可能な項目は限られているため、基本的にはActive機で作業を行います。

備考: 検証はC9800-CLのv17.14.1で行っております。

設定方法

SSHやSerial ConsoleでActive機にログインして下記のコマンドを実行します。

configure terminal

redundancy
 main-cpu
  standby console enable

end

write memory

Standby機へのログイン時の挙動

挙動の違いを比較しやすくするためにイメージを掲載します。

Standby機のConsoleログイン不可時

CLIだとログイン不可時は Standby console disabled のメッセージが表示されます。

Standby機のConsoleの有効化時 (standby console enable)

Standby機へのリモート ログイン

Standby機にSSHやWeb UIでIPアドレス レベルのアクセスをしたい場合は、Standby機のRMI IPに対して接続を試みます。

Standby機のRMI IPは redun-management コマンドの chassis 2 address の情報より確認できます。

show running-config | include redun-management

関連ドキュメント

Configure Catalyst 9800 WLC in HA SSO in Cisco IOS XE 16.12 - Cisco
https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213915-configure-catalyst-9800-wireless-control.html#toc-hId-2115279766
Enable Console Access to Standby 9800 WLC のセクションに記載があります。

Cisco Communityの関連トピック

Catalyst 9800 シリーズの冗長構成で Standby 機のコンソールアクセスを有効にする方法 - Cisco Community
https://community.cisco.com/t5/-/-/ta-p/4003859

9800 HA SSO構成でstandby WLCのインターフェイスに関する説明 - Cisco Community
https://community.cisco.com/t5/-/-/ta-p/5231669

関連記事

Catalyst 9800のHA SSOの設定 - My Home NW Lab
https://myhomenwlab.hatenablog.com/entry/2025/03/03/184529

Catalyst 9800においてBannerはWeb UIとCLIの両方に表示されます。
またWeb UI向けとCLI向けでBannerの内容は共通化されており、別々の内容にはできません。

備考: 検証は C9800-CL の v17.15.1 で行っております。

設定方法

Web UIとCLIの2通りの設定方法を紹介します。

Web UI

メニュー: Administration > Device > General の Banner で設定します。

必要に応じて、フロッピー ディスクのアイコンより設定を保存してください。

CLI

Cisco IOS/IOS-XE系でお馴染みの banner login コマンドで設定します。

先頭の一文字目は、Bannerの終端を決める区切り文字 (delimiting character)を指定します。本例では終端の区切り文字を ^ にしています。
内容の部分は適宜修正してください。

configure terminal

banner login ^***********************
** This is a banner. **
***********************^

end

必要に応じて write memory で保存してください。

補足ですが show running-config で表示すると、Bannerの区切り文字が ^C (キーストロークのCtrl-V→Ctrl-C相当)になります。

wlc01#show running-config
<snip>
banner login ^C***********************
** This is a banner. **
***********************^C
!
<snip>

また show running-config で表示されるコマンドを改めてそのまま流し込みすると、余分な文字が入り込むので注意してください。

備考: ^C をキーストロークのCtrl-V→Ctrl-Cとして流し込むべきものを、単なるテキストとして流し込んだためです。

関連ドキュメント

Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE 17.15.x - Login Banner [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-15/config-guide/b_wl_17_15_cg/m_login_banner.html

Catalyst 9800ではAP Filterの機能により、無線AP名 (ホスト名)を条件にしてTagの割り当てが可能です。

本記事ではAP Filter利用時の「設計の観点」と「実際の設定方法」に関して解説します。

• 検証時の情報
• 設計の観点
  • 無線APのホスト名の命名規則
  • AP Filter利用時の個別チューニング
  • 設定
  • 各種Tagの事前設定
    • CLIからのAP Filterの設定
  • Web UIからのAP Filterの設定
• 確認コマンド
  • show ap filters all
  • show ap filters active
  • show ap tag summary
• 関連ドキュメント
  • v17.16.x
  • v17.15.x
  • v17.14.x
  • v17.13.x
  • v17.12.x
  • v17.11.x
  • v17.10.x
  • v17.9.x
  • v16.10.x (日本語翻訳あり)
  • v16.10.xの日本語翻訳

検証時の情報

検証は下記の環境で行いました。

• Cisco Catalyst C9800-CL v17.15.1

• Cisco Catalyst CW9162I-Q

設計の観点

無線APのホスト名の命名規則

AP Filterが無線APのホスト名の情報に基づいて動作する都合上、命名規則の整備が必要になります。

一般的に本番環境の導入では命名規則を用意するので考慮漏れはないとは思いますが、ホスト名を手動 (capwap ap hostname)もしくはDHCP Option 12を用いて割り当てる運用フローの確立も忘れないようにしてください。

ap name-regex で条件式を指定する際には「部分一致」と「完全一致」を意識して設定します。

条件式の「部分一致」と「完全一致」が影響するシナリオ例としては、無線APの故障被疑で、既存機器を様子見のまま"残置"しつつ、予備機を"併設"する場合にホスト名を暫定設定するケースが考えられます。
具体的には、号機番号の情報を残したままにしたくて、併設する予備機に暫定的な接尾辞 (-New)をつけると運用だと、(例外的にStaticで割り当てるか、)条件式でそのケアをするかの検討が必要です。

AP Filter利用時の個別チューニング

実際に運用して見ると、特定の無線APに対して個別チューニングが必要なケースが想定されます。 デフォルトでは「Static」が「AP Filter (Filter)」より優先度が高いため、個別チューニングする際はStaticで上書きする運用方法が考えられます。

Tagの割り当ては優先度が決まられており、show ap tag sources で確認が可能です。

wlc01# show ap tag sources
Priority         Tag source
--------------------------------
0                Static
1                Location
2                Filter
3                AP
4                Default

wlc01#

設定

各種Tagの事前設定

無線APに割り当てるための各種Tagの設定を事前に行っておきます。
(AP Filterから参照される設定を事前に作っておきます。)

下記は検証時に「動作確認するための設定例」です。後の設定から参照しています。

configure terminal

wireless tag policy PolTag_Custom

wireless tag rf RFTag_Custom

wireless tag site SiteTag_Custom

end

CLIからのAP Filterの設定

CLIでは
1. ap filter name <Name> で条件や割り当てるTagを定義して。
2. ap filter priority <Number> filter-name <Name> で適用します。

下記はCLIからの設定例です。

configure terminal

ap filter name APFil_Test
 ap name-regex testap.*
 tag policy PolTag_Custom
 tag rf RFTag_Custom
 tag site SiteTag_Custom

ap filter priority 10 filter-name APFil_Test

end

動作確認後は write memory での設定の保存を忘れないようにします。

Web UIからのAP Filterの設定

メニュー: Configuration > Tags & Profiles > Tags より AP > Filter がAP Filterの設定画面です。

要件に沿って必要な分だけ設定を投入していきます。
下記は設定の一例です。

設定後は保存を忘れないようにしてください。

確認コマンド

show ap filters all

show ap filters all では無効化されているFilterも表示されます。

下記の例では、「無効化したFilter (Filter Name: APFil_Inactive)」が表示されるのを確認しています。

wlc01#show ap filters all
Filter Name                       regex                               Policy Tag                        RF Tag                            Site Tag              
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
APFil_Test                        testap.*                            PolTag_Custom                     RFTag_Custom                      SiteTag_Custom        
APFil_Inactive                    Inactive                            default-policy-tag                default-rf-tag                    default-site-tag      

wlc01#

show ap filters active

show ap filters active では有効化されているFilterに絞って表示されます。 先の例にあった Filter Name: APFil_Inactive は無効化されているため表示されていません。

wlc01# show ap filters active
Priority   Filter Name                       regex                               Policy Tag                        RF Tag                            Site Tag   
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10         APFil_Test                        testap.*                            PolTag_Custom                     RFTag_Custom                      SiteTag_Custom

wlc01#

show ap tag summary

実際に適用されているかは show ap tag summary で確認します。

wlc01# show ap tag summary
Number of APs: 2

AP Name                           AP Mac           Site Tag Name                     Policy Tag Name                   RF Tag Name                       Misconfigured    Tag Source
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
testap01                          ****.****.****   SiteTag_Custom                    PolTag_Custom                     RFTag_Custom                      No               Filter
otherap01                         ****.****.****   default-site-tag                  default-policy-tag                default-rf-tag                    No               Default

wlc01#

AP Filterによって適用されていると Tag Source が Filter の表示になります。

関連ドキュメント

2025年01月頃時点で主要なVersionのドキュメントへのリンクを記載します。

v17.16.x

Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE 17.16.x - New Configuration Model [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-16/config-guide/b_wl_17_16_cg/m_config_model.html#d100276e6593a1635

v17.15.x

Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE 17.15.x - New Configuration Model [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-15/config-guide/b_wl_17_15_cg/m_config_model.html#d100374e6593a1635

v17.14.x

Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE 17.14.x - New Configuration Model [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-14/config-guide/b_wl_17_14_cg/m_config_model.html#d97827e6523a1635

v17.13.x

Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE 17.13.x - New Configuration Model [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-13/config-guide/b_wl_17_13_cg/m_config_model.html#d96823e6587a1635

v17.12.x

Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE Dublin 17.12.x - New Configuration Model [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-12/config-guide/b_wl_17_12_cg/m_config_model.html#d96721e6587a1635

v17.11.x

Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE Dublin 17.11.x - New Configuration Model [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-11/config-guide/b_wl_17_eleven_cg/m_config_model.html#d93401e6523a1635

v17.10.x

Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE Dublin 17.10.x - New Configuration Model [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-10/config-guide/b_wl_17_10_cg/m_config_model.html#d93401e6523a1635

v17.9.x

Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE Cupertino 17.9.x - New Configuration Model [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-9/config-guide/b_wl_17_9_cg/m_config_model.html#d79238e6572a1635

v16.10.x (日本語翻訳あり)

Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE Gibraltar 16.10.x - System Configuration [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/config-guide/b_wl_16_10_cg/new-configuration-model.html#d102224e4944a1635

v16.10.xの日本語翻訳

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ（Cisco IOS XE Gibraltar 16.10.x）ソフトウェア コンフィギュレーション ガイド - システム設定 [Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ] - Cisco
https://www.cisco.com/c/ja_jp/td/docs/wireless/controller/9800/config-guide/b_wl_16_10_cg/b_wl_16_10_cg_chapter_010.html#d251e3027a1635