minto.tech スマホ(Android/iPhone)・PC(Mac/Windows)の便利情報をお届け! 月間アクセス160万PV!スマートフォン、タブレット、パソコン、地デジに関する素朴な疑問や、困ったこと、ノウハウ、コツなどが満載のお助け記事サイトはこちら!
※本ページにはプロモーション(広告)が含まれています
Cisco Catalyst 9800ワイヤレスコントローラーのローミング再認証問題を完全解決
Cisco Catalyst 9800シリーズワイヤレスコントローラー(WLC)を使用した無線LAN環境で、クライアントがアクセスポイント間をローミングするたびに再認証(ログイン画面の再表示や802.1X認証の再実行)が求められるという問題は、エンタープライズWi-Fiの現場で頻繁に報告されています。
特にWindows 11・iOS・Androidクライアントが混在する環境や、RADIUS認証サーバーと9800コントローラーの設定が噛み合っていない場合に顕著です。このローミング再認証問題はユーザー体験を著しく損なうだけでなく、業務効率の低下にも直結します。この記事では原因の体系的な分析から、IOS-XEベースの9800固有の設定対処法まで詳しく解説します。
この記事を読むとわかること
- Catalyst 9800でローミング再認証が発生する根本原因
- Fast Transition(FT/802.11r)の設定と注意点
- OKCおよびCCKM設定のチェック手順
- RADIUSセッションタイムアウト設定の最適化
- PMKキャッシュ・スティッキークライアントの設定方法
- show コマンドを使ったローミングのデバッグ手順
Catalyst 9800のローミング機能の概要
Cisco Catalyst 9800はIOS-XEベースのワイヤレスコントローラーです。旧来のAireOS(3504/5520など)とはアーキテクチャが大きく異なり、Flexible Radio Assignment(FRA)やmDNS Gateway、Python APIによる自動化が特徴です。
9800のローミングアーキテクチャ
Catalyst 9800では、APはすべて「FlexConnect」または「Local Mode」で動作します。Local ModeではすべてのトラフィックがWLC経由でトンネリングされるため、AP間ローミング時もWLC上でクライアントセッションが管理されます。
ローミングの種類は以下の3つです。
- Intra-Controller ローミング:同じWLCに接続されたAP間のローミング。最も単純で再認証は原則不要
- Inter-Controller ローミング:異なるWLC間のローミング。モビリティグループの設定が必要
- Inter-VLAN ローミング:異なるVLANをまたぐローミング。L3モビリティが必要
802.11r(Fast Transition)の役割
802.11r(Fast BSS Transition)はローミング時の再認証遅延を最小化するためのプロトコルです。PMKキャッシュを事前に配布することで、AP間の切り替わり時に完全な802.1X認証シーケンスを省略します。9800でこれが正しく設定されていないと、ローミングのたびに完全な認証が走り、数秒〜数十秒の接続断が発生します。
ローミング再認証が発生する主な原因
原因1:802.11r(Fast Transition)が無効または誤設定
9800のポリシープロファイルで802.11rが無効になっていると、ローミングのたびに完全な802.1X認証(EAP Exchange)が実行されます。これが最も一般的な原因です。
原因2:PMKキャッシュの有効期限が短すぎる
PMK(Pairwise Master Key)のキャッシュ有効期限がセッション継続時間よりも短い場合、次のローミング時にキャッシュが無効になっており再認証が必要になります。デフォルト値が短い場合(例:43200秒未満)はローミング再認証の原因になります。
原因3:RADIUSセッションタイムアウトの設定ミス
RADIUSサーバー(Cisco ISEなど)がセッションタイムアウト(Session-Timeout属性)を短い値で送信している場合、クライアントのセッションが定期的に切断されて再認証が要求されます。これはローミングとは無関係に発生するケースもあります。
原因4:モビリティグループの設定不備(Inter-Controller ローミング)
複数の9800コントローラーが存在する環境で、モビリティグループ(Mobility Group)が正しく設定されていない場合、2台目のコントローラー配下のAPにローミングした際にセッションが引き継がれず再認証が発生します。
原因5:クライアントのPMKIDキャッシュ非対応
古いクライアントドライバー(特にIntelワイヤレスアダプター)がPMKID Cachingに対応していない場合、サーバー側がキャッシュを保持していてもクライアント側が利用できず再認証が発生します。
原因6:OKC(Opportunistic Key Caching)が無効
OKCはWPA2-Enterpriseのローミング最適化機能ですが、9800のデフォルト設定では無効になっている場合があります。OKCが無効だと802.11rが使えない環境(一部のIoTデバイスなど)でローミング時に完全認証が必要になります。
対処法:設定確認と修正の手順
対処法1:現在の設定状態を確認する(show コマンド)
まず以下のコマンドで現在の設定状態を確認します。9800のCLIにSSHまたはコンソールで接続して実行します。
! ポリシープロファイルの確認 show wireless profile policy summary show wireless profile policy detail 対象ポリシー名 ! セキュリティ設定の確認 show wireless profile policy detail 対象ポリシー名 | include 80211r show wireless profile policy detail 対象ポリシー名 | include OKC ! モビリティの確認 show wireless mobility summary show wireless mobility peer ! クライアントのローミング状態確認 show wireless client summary show wireless client detail mac-address クライアントMACアドレス
対処法2:802.11r(Fast Transition)を有効化する
WLCの管理GUI または CLIからFast Transitionを有効にします。
CLIでの設定手順(IOS-XE):
! コンフィギュレーションモードへ configure terminal ! ポリシープロファイルの編集 wireless profile policy 対象ポリシー名 ! FT(Fast Transition)を有効化 dot11r ft ! FTモードの設定(Over-the-Air または Over-the-DS) dot11r ft over-the-air ! または dot11r ft over-the-ds ! 設定を保存 end write memory
GUIでの設定手順:
- 9800の管理画面(HTTPS)にログインする
- 「Configuration」→「Tags and Profiles」→「Policy」を選択する
- 対象のポリシープロファイルをクリックして編集モードに入る
- 「Advanced」タブを選択する
- 「11r Fast Transition」セクションで「Enabled」にチェックを入れる
- 「FT over the Air」または「FT over the DS」を選択する
- 「Update Apply」をクリックして保存する
対処法3:OKC(Opportunistic Key Caching)を有効化する
configure terminal wireless profile policy 対象ポリシー名 no shutdown okc end write memory
対処法4:PMKキャッシュの有効期限を延長する
configure terminal wireless profile policy 対象ポリシー名 ! PMKキャッシュタイムアウトを86400秒(24時間)に設定 security dot1x authentication-list default pmk-cache 86400 end write memory
対処法5:RADIUSサーバーのSession-Timeoutを確認・調整する
Cisco ISEを使用している場合:
- ISE管理画面にログインする
- 「Policy」→「Policy Sets」で対象のポリシーを開く
- 認証ポリシーの「Authorization」セクションを確認する
- 適用されているAuthorization Profileを開く
- 「RADIUS Attributes」で「Session-Timeout」の値を確認する
- Session-Timeoutが短い値(例:1800秒以下)の場合は86400秒程度に延長する
- またはSession-Timeout属性自体を削除してセッション期限を無効にする
対処法6:モビリティグループを正しく設定する(複数WLC環境)
! モビリティグループ名の確認と設定 configure terminal wireless mobility group name モビリティグループ名 ! ピアWLCの追加 wireless mobility peer ip-address ピアWLCのIPアドレス public-ip ピアのパブリックIP dtls-mode ! モビリティの確認 show wireless mobility summary show wireless mobility peer end write memory
対処法7:スティッキークライアント機能を無効化する
「スティッキークライアント」機能が有効だと、クライアントが別のAPに移動しようとしてもWLCが強制的に元のAPに維持しようとします。これがローミングの失敗と再認証の原因になることがあります。
configure terminal wireless profile policy 対象ポリシー名 no roaming aggressive-load-balancing end write memory
対処法8:ローミングのデバッグログを取得する
問題が継続する場合は以下のデバッグコマンドでログを取得してCiscoに提供します。
! ローミングのデバッグ有効化 debug wireless client mac-address クライアントMACアドレス debug wireless dtls-data enable ! ログの確認 show logging ! デバッグ無効化(必ず実行すること) no debug wireless client mac-address クライアントMACアドレス no debug wireless dtls-data enable
設定チェックリストと推奨値
| 設定項目 | 推奨値 | 確認コマンド |
|---|---|---|
| 802.11r Fast Transition | 有効 | show wireless profile policy detail |
| FTモード | Over-the-Air(通常) | show wireless profile policy detail |
| OKC | 有効 | show wireless profile policy detail |
| PMKキャッシュタイムアウト | 86400秒(24時間) | show wireless profile policy detail |
| RADIUSセッションタイムアウト | 86400秒以上または未設定 | show radius statistics |
| モビリティグループ | 全WLCで同一名称 | show wireless mobility summary |
ローミング方式の比較
| ローミング方式 | 認証方式 | 切り替え遅延 | デバイス互換性 |
|---|---|---|---|
| フル再認証(802.1X) | 毎回EAP | 1〜5秒 | すべて |
| OKC(PMKキャッシュ) | PMK再利用 | 200〜400ms | WPA2対応端末 |
| 802.11r Over-the-Air | FT認証 | 50〜100ms | 802.11r対応端末 |
| 802.11r Over-the-DS | FT認証(DS経由) | 50〜150ms | 802.11r対応端末 |
この記事に関連するおすすめ商品
法人向けWi-Fi 6対応 ワイヤレスアクセスポイント
約40,000円〜
802.11rシームレスローミング対応、企業ネットワーク向けエンタープライズAP
Cisco Catalyst ネットワーク技術書(IOS-XE設計・運用ガイド)
約5,000円〜
Catalyst 9800の設計・運用・トラブルシューティングを体系的に解説
ネットワーク診断ツール(Wi-Fiアナライザー・パケットキャプチャ対応)
約15,000円〜
ローミングのデバッグに必須のWi-Fi診断・アナライザーツール
※ 価格は変動します。最新価格はリンク先でご確認ください
よくある質問(FAQ)
- Q. 802.11rを有効にするとiPhoneでの接続に問題が出ますか?
- A. iOS 13以降のiPhoneは802.11r(FT over-the-Air)に対応しており、基本的に問題なく動作します。ただし古いiPhone(iOS 12以前)やAndroid端末の一部では802.11rとの互換性問題が報告されています。FT over-the-Airに問題がある場合はFT over-the-DSに切り替えることで改善することがあります。
- Q. OKCと802.11rは同時に有効にできますか?
- A. Catalyst 9800ではOKCと802.11rを同時に有効にすることが推奨されています。802.11rに対応したクライアントはFTを使用し、非対応のクライアントはOKCによるPMKキャッシュを使用するため、異機種混在環境でも最適なローミング性能が得られます。
- Q. ISEを使用していない場合のRADIUSタイムアウト設定はどこで確認しますか?
- A. FreeRADIUSを使用している場合は、radiusd.conf または sites-available/default の「session-timeout」属性を確認してください。Windows NPS(Network Policy Server)の場合は「ネットワークポリシー」の「セッション設定」で「セッションタイムアウト」の値を確認してください。
- Q. モビリティグループの設定が正しいか確認するコマンドを教えてください。
- A. 「show wireless mobility summary」コマンドでモビリティグループ名とピアの情報を確認できます。ピアの「Data Path Status」が「Up」になっていれば正常です。「Down」の場合はIPアドレスの疎通確認(ping)とDTLS通信の確認(UDP 16666ポートが疎通しているか)を行ってください。
- Q. Catalyst 9800とAireOSのWLCが混在する環境でモビリティは機能しますか?
- A. 9800とAireOS間のモビリティ(Inter-Release Controller Mobility: IRCM)はCisco公式でサポートされていますが、バージョン要件があります。9800側はIOS-XE 16.10.1以降、AireOS側は8.9以降が必要です。また、設定方法が通常のモビリティグループとは異なる点に注意してください。
- Q. ローミング時にVoIPが切断される問題も同じ対処法で解決できますか?
- A. VoIPのローミング切断には802.11rの有効化が最も効果的です。VoIP通話では数十ミリ秒の遅延も品質に影響するため、FT over-the-Air(50〜100ms)の使用を推奨します。さらにQoSポリシープロファイルでACM(Admission Control)を設定してVoIPトラフィックを優先させることも重要です。
まとめ:Cisco Catalyst 9800 ローミング再認証問題の完全解決チェックリスト
Cisco Catalyst 9800のローミング再認証問題は、802.11rの設定不備、PMKキャッシュの有効期限切れ、RADIUSのセッションタイムアウト設定の組み合わせによって発生することがほとんどです。以下のチェックリストを順番に確認することで問題を特定し解決できます。
- show コマンドでポリシープロファイルの現在の設定を確認する
- ポリシープロファイルで802.11r(Fast Transition)を有効化する
- OKCを有効化してWPA2非対応端末も保護する
- PMKキャッシュタイムアウトを86400秒(24時間)以上に設定する
- RADIUSサーバーのSession-Timeoutを確認して適切な値に修正する
- 複数WLC環境ではモビリティグループの設定を全WLCで統一する
- スティッキークライアント設定を無効にしてローミングを妨げていないか確認する
- 問題が継続する場合はdebug wireless コマンドでログを取得してCiscoサポートに提供する
エンタープライズ環境でのシームレスなローミングはユーザー生産性に直結します。上記の設定最適化により、AP間を移動しても認証を要求されない快適なWi-Fi環境を実現してください。
