電新ネットワーク技術株式会社 電新ネットワーク技術株式会社
ローディングアニメーション
トップ お知らせ/記事 【Cisco Systems】Wi-Fi 7の構成と留意事項

News お知らせ/記事

  • 技術情報
最終更新日
  • 6 GHz
  • 802.11be
  • 802.1X
  • C9800-CL
  • Cisco Systems
  • CW9178
  • IOS-XE
  • Wi-Fi 7
  • Wireless
  • WPA3

【Cisco Systems】Wi-Fi 7の構成と留意事項

【2025/9/12追記】IOS-XE 17.15.4について

この記事で取り上げているC9800-CLのIOS-XE Version 17.15.4ですが、mDNSに関連する不具合(Bug ID: CSCwr09565)によって非公開となりました。修正版のリリースが予定されていますが、最新の情報はCisco.comの関連ページでご確認下さい。

※Bug Search Toolで詳細を閲覧するには、Cisco.com IDでのログインが必要です。

Bug Search Tool
https://bst.cisco.com/quickview/bug/CSCwr09565
bst.cisco.com

当社の環境においてはmDNSを使用しておらず、この不具合の影響を受けていません。しかし、Cisco.comで非公開となったReleaseを継続使用することへのリスクから、運用バージョンを17.15.3へロールバックしています

はじめに

前回(2025年7月23日)の記事では、Cisco Systems社がリリースしているWi-Fi 7 APのモデルやライセンス、管理形態について取り上げました。

【Cisco Systems】Wi-Fi 7 AP モデルとライセンス
🕒️2025年7月23日
はじめに2024年11月よりWi-Fi 7 対応のCisco Wireless製品の受注が始まり、既に多くの注文分が出荷されています。Cisco Systems社のワイヤレス製品については、当社へも構築作業や保守などのご用命を多く頂くことから、ナレッジの蓄積のために自社環境での検証と運用を開始しています。そして、製品とライセンスが納品された2025年5月より、単体での検証や一連の動作確認を経て、現在では既に大きな問題もなくマイグレーションが完了しており、現用環境での安定した稼働へ至っています。今回の記事では、基本的な情報として製品モデル...
電新ネットワーク技術株式会社

今回の記事では、当社の自社環境で検証や運用を行う中で得られたナレッジから、具体的にWi-Fi 7としてセットアップする際に留意すべき情報や、設計に影響する事項についてお送りさせて頂きます。

Wi-Fi 7の構成環境

当社では、以下の環境でCisco WirelessをWi-Fi 7で運用しています。

【2025/9/12追記】IOS-XE Versionを17.15.3へロールバック

  • ・【コントローラ】Cisco Catalyst 9800-CL (IOS-XE Version: 17.15.4 17.15.3)
  • ・【アクセスポイント】CW9178I

この記事の記載内容についても、IOS-XE バージョンは17.15.4 17.15.3を対象といる点にご留意下さい。

※この記事の執筆時点(2025年8月28日)において、IOS-XE 17.15.4は17.15.xの最新かつ最初のMDリリースですが、TACの推奨ビルドは”Cisco IOS XE 17.15.3 with APSP and SMU”となっています。IOS-XE 17.15.4のRelease NoteのWhat’s NewやOpen Issues、そしてResolved Issuesなどを確認し、当社の環境においてはいち早くこのMDリリースへ移行することのメリットが大きいと判断したことから、TACの推奨に先行してこのリリースを採用しています。2025/9/12:IOX-XE 17.15.4がCisco.comで非公開となったため、17.15.3へロールバックしました。

Wi-Fi 7の有効化

デフォルトではWi-Fi 7のサポートはグローバルで無効となっています。有効化するには各周波数帯でEnable 11beを選択する必要があります。

・2.4 GHz帯

クリックで拡大/縮小(Configuration > Radio Configurations > High Throughput)

・5 GHz帯

クリックで拡大/縮小(Configuration > Radio Configurations > High Throughput)

・6 GHz帯

クリックで拡大/縮小(Configuration > Radio Configurations > High Throughput)

また、CLIでは以下のコマンドとなります。

全周波数でWi-Fi 7を有効化する例
C9800-CL(config)#ap dot11 24ghz dot11be
C9800-CL(config)#ap dot11 5ghz dot11be
C9800-CL(config)#ap dot11 6ghz dot11be
C9800-CL IOS-XE

【留意事項】Wi-Fi 7の有効化による影響

17.15.3以降のIOS-XE 17.15.xでは、セキュリティ設定などに関係なくグローバルでWi-Fi 7が有効になっている場合、全てのWLANがWi-Fi 7 SSIDとしてブロードキャストされます。これによって、クライアント端末ではセキュリティ設定がWi-Fi 7の要件を満たさないWLANもWi-Fi 7と識別されるが、暗号化などのセキュリティはサポートされていない状態となり、Wi-Fi 7に対応しているクライアントは、同じ配下の非Wi-Fi 7 WLANなどへ接続できない問題が発生します。

この問題に対処するには、直近の2025年8月6日にリリースされた、17.18.1以降のIOS-XEリリースを採用する必要があります。17.18.1以降ではWLAN設定でAKM (Authentication and Key Managemenet)などセキュリティ要件を満たしている場合にのみ、WLANをWi-Fi 7対応としてアドバタイズします。また、17.18.xでは802.11be Profileが導入されたため、Wi-Fi 7の有効化をSSID単位や無線単位で制御可能となりました。

Release Notes for Cisco Catalyst 9800 Series Wireless Controller, Cisco IOS X...
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-18/release-notes/rn-17-18-9800.html#Newsoftwarefeatures
Release Notes for Cisco Catalyst 9800 Series Wireless Controller, Cisco IOS XE 17.18.x
Cisco

しかしIOS-XE 17.18はリリースされたばかり、17.15.xも17.15.4がMDとなったばかり2025/9/12:IOX-XE 17.15.4がCisco.comで非公開となっている)の状況です。このため、非Wi-Fi 7クライアントやWPA3に対応しない旧来のクライアントへの下位互換が必要な場合、WLANの設計と併せて慎重な計画が求められます。

【WLAN設計】802.1Xで認証するWi-Fi 7

Wi-Fi 6Eから使用可能となった6 GHzですが、クライアント端末の普及状態などから、要件に含まれるようになったWi-Fi 7と併せて導入を開始される環境も多いかと思います。

802.1Xを使用するWLANにおいては、WPA3とWi-Fi 7に対する以下の3点を満たすことでWi-Fi 7を有効化できます。

  • 【条件1】Wi-Fi 7の要件である、PMF (Protected Management Frame)のサポートを必須にする
  • 【条件2】Wi-Fi 7の要件である、Beacon Protectionを有効にする
  • 【条件3】Wi-Fi 7の要件である、AKMで802.1X-SHA256とFT + 802.1Xを有効にする

また、これに対してWPA2の802.1X (SHA1)の共存が認められています。つまり、クライアントデバイスの全てが802.11w (PMF)に対応していれば、単一のSSIDで収容可能となっています。このため、パスフレーズを使用するIoTやパーソナル向けなネットワークと比較して、容易に移行が可能となっています。

GUIの設定で該当する部分は以下の通りです。

クリックで拡大/縮小(Configuration > Tags & Profiles > WLANs より、WLANのSecurity > Layer2)

【WLAN設計】パスフレーズで認証するWi-Fi 7

RADIUSサーバーの用意が困難であったり、IoTデバイスなど802.1Xに対応できないクライアントを収容する必要があるなど、多くの環境でいまだにパスフレーズを使用するPersonalなWLANも需要があります。

パスフレーズを使用するWLANにおいては、WPA3とWi-Fi 7に対する以下の4点を満たすことでWi-Fi 7を有効化できます。

  • ・【条件1】Wi-Fi 7の要件である、PMF (Protected Management Frame)のサポートを必須にする
  • ・【条件2】Wi-Fi 7の要件である、Beacon Protectionを有効にする
  • ・【条件3】WPA3をパスフレーズで認証する要件のために、AKMでSAEとFT + SAEを有効にする
  • ・【条件4】Wi-Fi 7の要件である、GCMP256の暗号化とAKMにSAE-EXT-KEYとFT + SAE-EXT-KEYを追加する

また、Apple社など一部のデバイスではFTが有効な場合にのみSAEを使用し、使用できない場合は接続を拒否する動作をするため、パスフレーズ認証のAKMでSAEを使用する場合、FTを有効にすることが強く推奨されます

GUIの設定で該当する部分は以下の通りです。

クリックで拡大/縮小(Configuration > Tags & Profiles > WLANs より、WLANのSecurity > Layer2)

このように、【条件1】と【条件2】はWi-Fi 7の要件であり802.1Xで認証する場合と差異はありません。しかし、【条件4】によって、パスフレーズで認証する単一のWLANでは、Wi-Fi 7の完全なパフォーマンスと古いクライアントデバイスへの互換性を両立することができません

これらへ対処として、Wi-Fi 7への完全な適合をせず、WPA3 Transition Mode(WPA2とWPA3の共存)を選択することもできます。WPA3 Transition Modeを使用する場合、以下のようにAKMにPSKとFT + PSKを追加し、PMFをOptionalとします。

クリックで拡大/縮小(Configuration > Tags & Profiles > WLANs より、WLANのSecurity > Layer2)

しかし、これは1つのSSIDに6個のAKMが存在する状態となるため、厳格に動作するクライアントでは問題が発生する可能性があります。このため、ご利用の端末に応じたテストが推奨されます

もう1つの単純な解決策は、レガシーなWPA2用のWLANと別に、Wi-Fi 7/Wi-Fi 6Eに対応するWPA3専用のWLANを個別に作成することです。特に、レガシーなデバイスが残存している場合に有力な選択肢となります。しかし、SSIDの数だけプローブの応答とビーコンが必要となるため、多くのSSIDを使用する環境では実際のトラフィックに使用可能なRFスペースを圧迫してしまうことに注意が必要です。

【WLAN設計】オープンなWLANでのWi-Fi 7

ゲスト用ネットワークなど、WLANへの接続そのものは認証をせず、スプラッシュページやキャプティブポータルを経由してトラフィックを認可するネットワークにおいて、Wi-Fi 7を利用する場合には以下を満たす必要があります。

  • ・【条件1】Wi-Fi 7の要件である、PMF (Protected Management Frame)のサポートを必須にする
  • ・【条件2】Wi-Fi 7の要件である、Beacon Protectionを有効にする
  • ・【条件3】6 GHz帯をオープンで使用する要件である、AKMのOWEを有効にする

GUIの設定で該当する部分は以下の通りです。

クリックで拡大/縮小(Configuration > Tags & Profiles > WLANs より、WLANのSecurity > Layer2)

また、Open(非暗号化)とEnhanced Open(クライアントデバイスとAP間の暗号化)のTransition ModeはWi-Fi 7ではサポートされていないため、解決策となりません。レガシーなオープンWLANの互換性を維持するために、Wi-Fi 7をオープン認証な環境で使用する場合は別に専用のWLANを作成することが推奨されます。

また、SSIDが多くなってしまうなど運用に懸念が生じる環境においては、Wi-Fi 7/Wi-Fi 6Eへの対応を行わずに、6 GHzを除外してTransition Modeを使用することや、レガシーなOpenのみを継続提供することも1つの選択肢ではないでしょうか。

【留意事項】SSIDの数について

パスフレーズの項でも触れましたが、SSIDが存在する数だけプローブの応答とビーコンが必要となるため、多くのSSIDを使用する環境では実際のトラフィックに使用可能なRFスペースが圧迫されてしまいます

RFスペースは環境で異なるため、一概に数量の基準を申し上げることはできませんが、C9800のBest Practicesを例に挙げると4以下の場合に適切とマークされます。

そこで、「Wi-Fi 7に対応するクライアントへは、可能な限りのパフォーマンスを提供する」を前提として、ここまでに列挙してきたWLANの構成から一般的なエンタープライズ環境の例を考えてみます。

No.用途の例認証適合NW割り当てその他
1社内
管理デバイス用		WPA2 + WPA3
EPA-TLS		Wi-Fi 7
+ 下位互換		802.1X証明書展開を前提
PMFに対応を前提
2社内
BYODなど用		WPA2 + WPA3
EAP-PEAP		Wi-Fi 7
+ 下位互換		802.1XPMFに対応を前提
3パスフレーズ
Wi-Fi 7用		WPA3
Passphrase		Wi-Fi 7
+ Wi-Fi 6E		Static VLANWPA3専用
4パスフレーズ
レガシー用		WPA2
Passphrase		下位互換Static VLANWPA2専用
5ゲスト
Wi-Fi 7用		Enhanced OpenWi-Fi 7
+ Wi-Fi 6E		Static VLANポータル等で認可
6ゲスト
Wi-Fi 6基準用		Enhanced Open
Transition Mode		Wi-Fi 6Static VLANポータル等で認可
※LEANとOpenのそれぞれで同一名のSSIDを使用(SSIDは2つ)
7ゲスト
レガシー用		Open下位互換Static VLANポータル等で認可

このように、Wi-Fi 7と下位互換をそれぞれ考慮するだけでも、軽く4つを超えてしまいます。また、上図では社内用でEAP-TLS(社内デバイス)とEAP-PEAP(BYODなど)のみを区別していますが、RADIUSサーバーが無くパスフレーズのみを使用する環境では、用途に応じて更に多くのSSIDが必要になることも十分に考えられます。

Wi-Fi 7など新規格の導入においては、単純なパフォーマンスを追及したり互換性を維持するのみでは、予期せずユーザー体験に悪影響を及ぼしてしまう可能性があります。単純な電波強度のみではなく、RFスペースを含めた十分に考慮した設計が重要ではないでしょうか。

全くの余談ですが、当社環境では上記の「No. 1, 2, 4と、一部で6」のみを展開しています。

まとめ

いかがだったでしょうか。

前回の記事に続いて、Cisco Systems社のWi-Fi 7に対応したワイヤレスについてお送りさせて頂きました。

Wi-Fi 7の導入については、Wi-Fi 6Eから6 GHzを使用する要件となったWPA3や、Wi-Fi 7として新たに追加された要件など、下位互換やパフォーマンスに影響する要素が多く存在しています。さらにはRFスペースなど様々な事象も考慮する必要があるため、十分な設計や測量、そして事前検証を頂くことを弊社では推奨させて頂いております

しかし、6 GHzやMLO (Multi-Link Operation)による安定した通信や低レイテンシ、320 MHzの広帯域や4K-QAMによる高スループットなど、Wi-Fi 7を採用することには多くのメリットが存在します。また、サポート終了が2025年10月14日に迫っているWindows 10の入替などによって、Wi-Fi 7へ対応するクライアントデバイスの配置が進んでいるエンドユーザー様も、より多くなってきているかと感じています。

当社へも既に一定数のエンドユーザー様に関するご用命を頂戴しております。ご検討については十分な見識でご案内を頂ける、ご懇意のリセラー様やディストリビューター様などへのご相談からいかがでしょうか。是非、皆様の環境でもこの進化をご体感頂けることを願っております。

この記事が、ご覧いただいた皆様へ少しでもお役に立てば幸いです。

  • ※この記事は筆者個人の見解によるものであり、各メーカー様や当社としての意見や見解を示すものではありません。
  • ※この記事に含まれる情報については、その内容について当社として何らの保証をするものではありません。
  • ※この記事に含まれる情報を利用したことに起因する、利用者又は第三者が被る直接的及び間接的損害に関して、当社はその責任を一切負いません。

Recruit 採用情報

技能に誇りをもった技術者の皆様を歓迎いたします。
市場価値以上の待遇と、更なる探究の環境を、必ずお約束いたします。

矢印

Contact お問い合わせ

当社の業務などに関するお問い合わせを受け付けています。

※エンドユーザー様から直接のご依頼は、原則として受け付けておりません。全てのお問い合わせにお答えできない場合がございますので、ご了承ください。

矢印