Konfigurieren des 9800 Wireless LAN Controller Mobility Tunnel mit NAT

Download-Optionen

  • PDF     (790.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (654.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (436.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:27. Januar 2025
Dokument-ID:221707

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Konfiguration der 9800 Wireless LAN Controller (WLC) mit einem Mobility Tunnel über Network Address Translation (NAT) beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in den folgenden Bereichen verfügen:

    • Statische Network Address Translation (NAT)-Konfiguration und -Konzepte
    • Konfiguration und Konzepte des Wireless LAN Controller 9800 Mobility Tunnels.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Catalyst Wireless Controller der Serie 9800 (Catalyst 9800-L), Cisco IOS® XE Gibraltar 17.9.4
    • Integrated Services Router (ISR), Cisco IOS® XE Gibraltar 17.6.5
    • Catalyst Switch der Serie 3560, Cisco IOS® XE Gibraltar 15.2.4E10

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Mobility-Tunnel werden zwischen zwei oder mehr Wireless LAN Controllern (WLC) erstellt, um Informationen wie Access Point-Informationen, Wireless Client-Informationen, RRM-Informationen und mehr untereinander auszutauschen.

    Es kann auch als eine Konfiguration für Anchor - Fremde Designs verwendet werden. Dieses Dokument beschreibt die Konfiguration eines Mobility-Tunnels zwischen Wireless LAN Controllern (WLC) mit Network Address Control (NAT).

    Der WLC-Mobility-Tunnel kann einen der folgenden vier Status haben:

    1. Steuerungs- und Datenpfad nach unten
    2. Control Path Down (dies impliziert, dass der Datenpfad aktiv ist)
    3. Datenpfad nach unten (dies impliziert, dass die Steuerung aktiviert ist)
    4. Up

    Der endgültige und korrekte Status für einen Mobility-Tunnel lautet "Up" (Aufwärts). Jeder andere Staat muss weiter untersucht werden. Mobility-Tunnel arbeiten über die CAPWAP-UDP-Ports 16666 und 16667, von denen der UDP-Port 16666 für Control Path und 16667 für Data Path steht. Aus diesem Grund muss sichergestellt werden, dass diese Ports zwischen den WLCs offen sind.

    note-icon

    Anmerkung: Informationen zur Konfiguration von WLC-Mobility-Tunneln ohne NAT finden Sie unter Konfigurieren von Mobilitätstopologien auf Catalyst 9800 Wireless LAN-Controllern.

    Einschränkungen für NAT-Unterstützung für Mobilitätsgruppen

    • Nur statische NAT (1:1) kann konfiguriert werden.
    • Mehrere Mobility Tunnel-Peers mit derselben öffentlichen IP-Adresse werden nicht unterstützt.
    • Jedes Mitglied muss über eine eindeutige private IP-Adresse verfügen.
    • Port Address Translation (PAT) wird nicht unterstützt.
    • Inter-Release Controller Mobility (IRCM) für Wireless-Client-Roaming wird nicht unterstützt.
    • IPv6-Adressumwandlung wird nicht unterstützt.
    • Network Access Control (NAT) mit Mobility Tunnel wird ab WLC Code Version 17.7.1 unterstützt.

    Netzwerkdiagramm

    NAT TopologyNetzwerkdiagramm

    Konfigurieren

    Konfigurieren von NAT auf dem Router

    In dieser Konfiguration werden Router verwendet, um Funktionen für die Netzwerkzugriffskontrolle (NAT) bereitzustellen. Es kann jedoch jedes Gerät verwendet werden, das statische NAT ausführen kann. Static NAT ist die für WLC-Mobility-Tunnel unterstützte NAT-Methode. Dies ist die im Konfigurationsbeispiel "Router" verwendete Konfiguration. Zu Konfigurationszwecken werden folgende Router verwendet: NAT-A und NAT-B. Der WLC1 befindet sich hinter Router NAT-A und der WLC2 hinter Router NAT-B.

    Router-NAT-A-Konfiguration:

    CLI:

    RouterNAT-A#config t
    RouterNAT-A(config)#interface GigabitEthernet0/1/0
    RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
    RouterNAT-A(config-if)#ip nat inside
    RouterNAT-A(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#interface GigabitEthernet0/1/1
    RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
    RouterNAT-A(config-if)#ip nat outside
    RouterNAT-A(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
    RouterNAT-A(config)#end
    RouterNAT-A#

    Router-NAT-B-Konfiguration:

    CLI:

    RouterNAT-B#config t
    RouterNAT-B(config)#interface GigabitEthernet0/1/2
    RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
    RouterNAT-B(config-if)#ip nat inside
    RouterNAT-B(config-if)#end
    RouterNAT-A#

    RouterNAT-B#config t
    RouterNAT-B(config)#interface GigabitEthernet0/1/3
    RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
    RouterNAT-B(config-if)#ip nat outside
    RouterNAT-B(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
    RouterNAT-A(config)#end
    RouterNAT-A#

    Konfigurieren von Mobilität mit NAT auf dem Wireless LAN-Controller

    Dies ist die Konfiguration, die von WLCs gemeinsam genutzt werden muss, um den Mobility Tunnel mit NAT zu erstellen.

    • Private Mobility-IP-Adresse
    • IP-Adresse für öffentliche Mobilität
    • Mobilitätsgruppe MAC-Adresse
    • Name der Mobilitätsgruppe

    Die Konfiguration von WLC1 wird zu WLC2 hinzugefügt und umgekehrt. Dies kann in den WLCs über die CLI oder die GUI erfolgen, da der Mobility Tunnel mit NAT das letzte Ziel dieser Konfiguration ist. Die öffentliche Mobility-IP-Adresse beider WLCs ist die NAT-IP-Adresse, die in der statischen NAT-Konfiguration jedes Routers konfiguriert wurde.

    WLC1-Konfiguration:

    GUI:

    Mobility NAT Config WLC1Mobility NAT-Konfiguration WLC1

    CLI:

    WLC1#config t
    WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
    WLC1(config)#end
    WLC1#

    WLC2-Konfiguration:

    GUI:

    Mobility NAT Config WLC2Mobility NAT-Konfiguration WLC2

    CLI:

    WLC2#config t
    WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
    WLC2(config)#end
    WLC2#

    Überprüfung

    Überprüfung der Router-Konfiguration

    Auf der Routerseite überprüfen diese Befehle die NAT-Konfiguration. Die NAT-Konfiguration muss statisch sein (wie in diesem Dokument bereits erwähnt), da sowohl die interne als auch die externe NAT-Konfiguration vorhanden ist.

    RouterNAT-A

    RouterNAT-A#show run interface GigabitEthernet0/1/0
    interface GigabitEthernet0/1/0
    ip add 10.0.0.1 255.255.255.0
    ip nat inside
    !
    RouterNAT-A#show run interface GigabitEthernet0/1/1
    interface GigabitEthernet0/1/1
    ip add 20.0.0.1 255.255.255.0
    ip nat outside
    !
    RouterNAT-A#show run | in ip nat inside
    ip nat inside source static 10.0.0.2 20.0.0.2

    RouterNAT-B

    RouterNAT-B#show run interface GigabitEthernet0/1/2
    interface GigabitEthernet0/1/2
    ip add 40.0.0.1 255.255.255.0
    ip nat inside
    !
    RouterNAT-B#show run interface GigabitEthernet0/1/3
    interface GigabitEthernet0/1/3
    ip add 30.0.0.1 255.255.255.0
    ip nat outside
    !
    RouterNAT-B#show run | in ip nat inside
    ip nat inside source static 40.0.0.2 30.0.0.2

    Konfigurationsverifizierung des Wireless LAN-Controllers

    Überprüfen Sie die grafische Benutzeroberfläche (GUI) des WLC und die CLI auf den Status des Mobilitätstunnels. Wie in diesem Dokument bereits erwähnt, lautet der korrekte Status für die Bestätigung einer korrekten Kommunikation zwischen den WLCs über den Mobility Tunnel "Up" (Aktiviert). Jeder andere Status muss untersucht werden.

    WLC1

    GUI:

    Mobility NAT Verification WLC1Mobility NAT-Verifizierung WLC1

    CLI:

    WLC1#show wireless mobility summary
    Mobility Summary

    Wireless Management VLAN: 10
    Wireless Management IP Address: 10.0.0.2
    Wireless Management IPv6 Address:
    Mobility Control Message DSCP Value: 0
    Mobility High Cipher : False
    Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
    Mobility Keepalive Interval/Count: 10/3
    Mobility Group Name: default
    Mobility Multicast Ipv4 address: 0.0.0.0
    Mobility Multicast Ipv6 address: ::
    Mobility MAC Address: f4bd.9e57.d8cb
    Mobility Domain Identifier: 0x34ac

    Controllers configured in the Mobility Domain:

     IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
    --------------------------------------------------------------------------------------------------------------------
    10.0.0.2    N/A           f4bd.9e57.d8cb      default        0.0.0.0            ::                N/A        N/A
    40.0.0.2    30.0.0.2      f4bd.9e56.304b      default        0.0.0.0            ::                Up         1385

    WLC 2

    GUI:

    Mobility NAT Verification WLC2Mobility NAT-Verifizierung WLC2

    CLI:

    WLC2#show wireless mobility summary
    Mobility Summary

    Wireless Management VLAN: 40
    Wireless Management IP Address: 40.0.0.2
    Wireless Management IPv6 Address:
    Mobility Control Message DSCP Value: 0
    Mobility High Cipher : False
    Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
    Mobility Keepalive Interval/Count: 10/3
    Mobility Group Name: default
    Mobility Multicast Ipv4 address: 0.0.0.0
    Mobility Multicast Ipv6 address: ::
    Mobility MAC Address: f4bd.9e56.304b
    Mobility Domain Identifier: 0x34ac

    Controllers configured in the Mobility Domain:

     IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
    --------------------------------------------------------------------------------------------------------------------
    40.0.0.2    N/A            f4bd.9e56.304b     default        0.0.0.0            ::                N/A        N/A
    10.0.0.2    20.0.0.2       f4bd.9e57.d8cb     default        0.0.0.0            ::                Up         1385

    Fehlerbehebung

    Router-Fehlerbehebung

    Überprüfen Sie auf der Routerseite, ob die IP NAT-Übersetzungen korrekt durchgeführt wurden.

    IP NAT - Umwandlungen und Statistiken

    Verwenden Sie diese Befehle, um zu überprüfen, ob die internen und externen Übersetzungen im Router ausgeführt werden, und um die NAT-Statistiken zu überprüfen. 

    #show ip nat translations
    #show ip nat statistics 

    IP NAT-Fehlerbehebung

    Mit diesem Befehl wird die NAT-Übersetzung aus der Router-Perspektive gedebuggt, um zu ermitteln, wie die NAT durchgeführt wird, oder ob ein Problem vorliegt, während der Router die NAT-Übersetzung durchführt.

    #debug ip nat 
    #show debug
    note-icon

    Anmerkung: Jeder Debugging-Befehl auf einem Router kann zu Überlastung führen, wodurch der Router funktionsuntüchtig wird. Bei der Verwendung von Routerdebugs ist äußerste Vorsicht geboten. Führen Sie möglichst während der Produktionszeit kein Debugging auf einem kritischen Produktionsrouter aus. Ein Wartungsfenster ist erwünscht.

    Wireless LAN Controller-Fehlerbehebung

    Die Informationen hierzu können vom WLC abgerufen werden, falls der Mobilitätstunnel einen Status anzeigt, der nicht der richtige ist, nämlich "Up" (aktiv).

    Protokolle für Mobilitätsprozesse

    Mit diesem Befehl werden Mobilitätsprotokolle aus der Vergangenheit und der Gegenwart erstellt.

    #show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt

    Die gesammelten Informationen können mit dem Befehl im WLC selbst gelesen werden.

    #more bootflash:mobilitytunnel.txt

    Die gesammelten Informationen können auch vom WLC exportiert werden, um sie mithilfe des Befehls in einer externen Quelle zu lesen.

    #copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt 

    Mobilitätsdebugs und -nachverfolgung

    Debugs und Traces können detailliertere Informationen bereitstellen, falls die Mobilitätsprozessprotokolle nicht in der Lage sind, ausreichend Informationen zu generieren, um das Problem zu finden.

    Wenn Debugs und Traces für einen Mobility-Tunnel mit NAT erfasst werden, ist es wichtig, diese Informationen in den Ablaufverfolgungsabschnitt einzugeben, um die Informationen gleichzeitig abzurufen und das Verhalten besser zu verstehen:

    • Öffentliche Peer-Mobility-IP-Adresse
    • Private Mobility-IP-Adresse des Peers
    • Mac-Adresse für Peer-Mobilität

    In diesem Beispiel werden die öffentlichen und privaten IP-Adressen zusammen mit der Mobility-MAC-Adresse von WLC1 in WLC2 eingegeben. Dasselbe muss rückwärts erfolgen, wobei die private und die öffentliche IP-Adresse zusammen mit der Mobility-MAC-Adresse von WLC2 in den RA Trace-Abschnitt von WLC1 eingegeben werden.

    WLC-Benutzeroberfläche

    NAT ShootingWLC-Fehlerbehebung

    Debugs und Traces können wie dargestellt über die GUI gesammelt werden.

    Gather Debugs GUIWLC-Fehlersuche

    WLC-CLI

    debug platform condition feature wireless ip 10.0.0.2
    debug platform condition feature wireless ip 20.0.0.2
    debug platform condition feature wireless mac f4bd.9e57.d8cb

    Um die Debugs zu sammeln, kann dieser Befehl verwendet werden. Ändern Sie den Zeitpunkt der debugs-Auflistung nach Bedarf.

    #show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
    #show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
    #show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt

    Kopieren Sie die Dateien mithilfe eines Übertragungsprotokolls in eine externe Quelle.

    #copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
    #copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
    #copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt

    Paketerfassung

    Der 9800 WLC kann eingebettete Paketerfassungen übernehmen. Mit dieser Funktion können Sie überprüfen, welche Pakete zwischen WLCs für den Mobility Tunnel mit NAT ausgetauscht werden.

    In diesem Beispiel wird die private IP-Adresse von WLC1 in WLC2 verwendet, um die Paketerfassung einzurichten. Dasselbe muss rückwärts gemacht werden, wobei die private IP-Adresse des WLC2 im WLC1 für die Einrichtung der Paketerfassung verwendet werden muss.

    Für die Paketerfassung kann eine ACL erstellt werden, um die Pakete zu filtern und nur die Pakete anzuzeigen, die für einen Mobility-Tunnel mit NAT erforderlich sind. Sobald die ACL erstellt wurde, wird sie als Filter an die Paketerfassung angefügt. Die ACL kann mit der privaten Mobility-IP-Adresse erstellt werden, da diese im Paket-Header enthalten ist.

    #config t
    (config)#ip access-list extended Mobility
    (config-ext-nacl)#permit ip host 10.0.0.2 any
    (config-ext-nacl)#permit ip any host 10.0.0.2
    (config-ext-nacl)#end

    #monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both

    Mit diesem Befehl kann die Konfiguration der Monitorerfassung überprüft werden.

    #show monitor capture MobilityNAT

    Sobald die Monitorerfassung bereit und aktiviert ist, kann sie gestartet werden.

    #monitor capture MobilityNAT start

    Um es zu beenden, kann dieser Befehl verwendet werden.

    #monitor capture MobilityNAT stop

    Sobald die Monitorerfassung beendet wird, kann sie mithilfe eines Übertragungsprotokolls in eine externe Quelle exportiert werden.

    #monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap
    tip-icon

    Tipp: Mobility Tunnel mit NAT ist eine Funktion, die ein bidirektionales Gespräch zwischen WLCs erfordert. Aufgrund der Merkmale der Funktion wird dringend empfohlen, Protokolle, Debugging-Meldungen und Ablaufverfolgungen bzw. Paketerfassungen von beiden WLCs gleichzeitig zu erfassen, um den Mobility-Tunnel mit NAT Packet Exchange besser zu verstehen.

    Debuggen, Ablaufverfolgungen und Paketerfassungen löschen

    Nach der Erfassung der erforderlichen Informationen können die Debug-Meldungen, Ablaufverfolgungen und die Konfiguration der integrierten Paketerfassung wie hier beschrieben aus dem WLC gelöscht werden.

    Debugs und Ablaufverfolgungen

    #clear platform condition all

    Paketerfassung

    #config t
    (config)# no ip access-list extended Mobility
    (config)#end
    #no monitor capture MobilityNAT

    Es wird dringend empfohlen, die im WLC durchgeführte Fehlerbehebungskonfiguration zu löschen, nachdem die erforderlichen Informationen gesammelt wurden.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    27-Jan-2025
    Aktualisierter Alternativer Text, Stilanforderungen und Formatierung.
    1.0
    16-Feb-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Tim Padilla
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.