Einleitung
In diesem Dokument wird die Konfiguration der 9800 Wireless LAN Controller (WLC) mit einem Mobility Tunnel über Network Address Translation (NAT) beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in den folgenden Bereichen verfügen:
- Statische Network Address Translation (NAT)-Konfiguration und -Konzepte
- Konfiguration und Konzepte des Wireless LAN Controller 9800 Mobility Tunnels.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Catalyst Wireless Controller der Serie 9800 (Catalyst 9800-L), Cisco IOS® XE Gibraltar 17.9.4
- Integrated Services Router (ISR), Cisco IOS® XE Gibraltar 17.6.5
- Catalyst Switch der Serie 3560, Cisco IOS® XE Gibraltar 15.2.4E10
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Mobility-Tunnel werden zwischen zwei oder mehr Wireless LAN Controllern (WLC) erstellt, um Informationen wie Access Point-Informationen, Wireless Client-Informationen, RRM-Informationen und mehr untereinander auszutauschen.
Es kann auch als eine Konfiguration für Anchor - Fremde Designs verwendet werden. Dieses Dokument beschreibt die Konfiguration eines Mobility-Tunnels zwischen Wireless LAN Controllern (WLC) mit Network Address Control (NAT).
Der WLC-Mobility-Tunnel kann einen der folgenden vier Status haben:
- Steuerungs- und Datenpfad nach unten
- Control Path Down (dies impliziert, dass der Datenpfad aktiv ist)
- Datenpfad nach unten (dies impliziert, dass die Steuerung aktiviert ist)
- Up
Der endgültige und korrekte Status für einen Mobility-Tunnel lautet "Up" (Aufwärts). Jeder andere Staat muss weiter untersucht werden. Mobility-Tunnel arbeiten über die CAPWAP-UDP-Ports 16666 und 16667, von denen der UDP-Port 16666 für Control Path und 16667 für Data Path steht. Aus diesem Grund muss sichergestellt werden, dass diese Ports zwischen den WLCs offen sind.
Einschränkungen für NAT-Unterstützung für Mobilitätsgruppen
- Nur statische NAT (1:1) kann konfiguriert werden.
- Mehrere Mobility Tunnel-Peers mit derselben öffentlichen IP-Adresse werden nicht unterstützt.
- Jedes Mitglied muss über eine eindeutige private IP-Adresse verfügen.
- Port Address Translation (PAT) wird nicht unterstützt.
- Inter-Release Controller Mobility (IRCM) für Wireless-Client-Roaming wird nicht unterstützt.
- IPv6-Adressumwandlung wird nicht unterstützt.
- Network Access Control (NAT) mit Mobility Tunnel wird ab WLC Code Version 17.7.1 unterstützt.
Netzwerkdiagramm
Netzwerkdiagramm
Konfigurieren
Konfigurieren von NAT auf dem Router
In dieser Konfiguration werden Router verwendet, um Funktionen für die Netzwerkzugriffskontrolle (NAT) bereitzustellen. Es kann jedoch jedes Gerät verwendet werden, das statische NAT ausführen kann. Static NAT ist die für WLC-Mobility-Tunnel unterstützte NAT-Methode. Dies ist die im Konfigurationsbeispiel "Router" verwendete Konfiguration. Zu Konfigurationszwecken werden folgende Router verwendet: NAT-A und NAT-B. Der WLC1 befindet sich hinter Router NAT-A und der WLC2 hinter Router NAT-B.
Router-NAT-A-Konfiguration:
CLI:
RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/0
RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat inside
RouterNAT-A(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/1
RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat outside
RouterNAT-A(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#
Router-NAT-B-Konfiguration:
CLI:
RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/2
RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat inside
RouterNAT-B(config-if)#end
RouterNAT-A#
RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/3
RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat outside
RouterNAT-B(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#
Konfigurieren von Mobilität mit NAT auf dem Wireless LAN-Controller
Dies ist die Konfiguration, die von WLCs gemeinsam genutzt werden muss, um den Mobility Tunnel mit NAT zu erstellen.
- Private Mobility-IP-Adresse
- IP-Adresse für öffentliche Mobilität
- Mobilitätsgruppe MAC-Adresse
- Name der Mobilitätsgruppe
Die Konfiguration von WLC1 wird zu WLC2 hinzugefügt und umgekehrt. Dies kann in den WLCs über die CLI oder die GUI erfolgen, da der Mobility Tunnel mit NAT das letzte Ziel dieser Konfiguration ist. Die öffentliche Mobility-IP-Adresse beider WLCs ist die NAT-IP-Adresse, die in der statischen NAT-Konfiguration jedes Routers konfiguriert wurde.
WLC1-Konfiguration:
GUI:
Mobility NAT-Konfiguration WLC1
CLI:
WLC1#config t
WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
WLC1(config)#end
WLC1#
WLC2-Konfiguration:
GUI:
Mobility NAT-Konfiguration WLC2
CLI:
WLC2#config t
WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
WLC2(config)#end
WLC2#
Überprüfung
Überprüfung der Router-Konfiguration
Auf der Routerseite überprüfen diese Befehle die NAT-Konfiguration. Die NAT-Konfiguration muss statisch sein (wie in diesem Dokument bereits erwähnt), da sowohl die interne als auch die externe NAT-Konfiguration vorhanden ist.
RouterNAT-A
RouterNAT-A#show run interface GigabitEthernet0/1/0
interface GigabitEthernet0/1/0
ip add 10.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-A#show run interface GigabitEthernet0/1/1
interface GigabitEthernet0/1/1
ip add 20.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-A#show run | in ip nat inside
ip nat inside source static 10.0.0.2 20.0.0.2
RouterNAT-B
RouterNAT-B#show run interface GigabitEthernet0/1/2
interface GigabitEthernet0/1/2
ip add 40.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-B#show run interface GigabitEthernet0/1/3
interface GigabitEthernet0/1/3
ip add 30.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-B#show run | in ip nat inside
ip nat inside source static 40.0.0.2 30.0.0.2
Konfigurationsverifizierung des Wireless LAN-Controllers
Überprüfen Sie die grafische Benutzeroberfläche (GUI) des WLC und die CLI auf den Status des Mobilitätstunnels. Wie in diesem Dokument bereits erwähnt, lautet der korrekte Status für die Bestätigung einer korrekten Kommunikation zwischen den WLCs über den Mobility Tunnel "Up" (Aktiviert). Jeder andere Status muss untersucht werden.
WLC1
GUI:
Mobility NAT-Verifizierung WLC1
CLI:
WLC1#show wireless mobility summary
Mobility Summary
Wireless Management VLAN: 10
Wireless Management IP Address: 10.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e57.d8cb
Mobility Domain Identifier: 0x34ac
Controllers configured in the Mobility Domain:
IP Public Ip MAC Address Group Name Multicast IPv4 Multicast IPv6 Status PMTU
--------------------------------------------------------------------------------------------------------------------
10.0.0.2 N/A f4bd.9e57.d8cb default 0.0.0.0 :: N/A N/A
40.0.0.2 30.0.0.2 f4bd.9e56.304b default 0.0.0.0 :: Up 1385
WLC 2
GUI:
Mobility NAT-Verifizierung WLC2
CLI:
WLC2#show wireless mobility summary
Mobility Summary
Wireless Management VLAN: 40
Wireless Management IP Address: 40.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e56.304b
Mobility Domain Identifier: 0x34ac
Controllers configured in the Mobility Domain:
IP Public Ip MAC Address Group Name Multicast IPv4 Multicast IPv6 Status PMTU
--------------------------------------------------------------------------------------------------------------------
40.0.0.2 N/A f4bd.9e56.304b default 0.0.0.0 :: N/A N/A
10.0.0.2 20.0.0.2 f4bd.9e57.d8cb default 0.0.0.0 :: Up 1385
Fehlerbehebung
Router-Fehlerbehebung
Überprüfen Sie auf der Routerseite, ob die IP NAT-Übersetzungen korrekt durchgeführt wurden.
IP NAT - Umwandlungen und Statistiken
Verwenden Sie diese Befehle, um zu überprüfen, ob die internen und externen Übersetzungen im Router ausgeführt werden, und um die NAT-Statistiken zu überprüfen.
#show ip nat translations
#show ip nat statistics
IP NAT-Fehlerbehebung
Mit diesem Befehl wird die NAT-Übersetzung aus der Router-Perspektive gedebuggt, um zu ermitteln, wie die NAT durchgeführt wird, oder ob ein Problem vorliegt, während der Router die NAT-Übersetzung durchführt.
#debug ip nat
#show debug
Anmerkung: Jeder Debugging-Befehl auf einem Router kann zu Überlastung führen, wodurch der Router funktionsuntüchtig wird. Bei der Verwendung von Routerdebugs ist äußerste Vorsicht geboten. Führen Sie möglichst während der Produktionszeit kein Debugging auf einem kritischen Produktionsrouter aus. Ein Wartungsfenster ist erwünscht.
Wireless LAN Controller-Fehlerbehebung
Die Informationen hierzu können vom WLC abgerufen werden, falls der Mobilitätstunnel einen Status anzeigt, der nicht der richtige ist, nämlich "Up" (aktiv).
Protokolle für Mobilitätsprozesse
Mit diesem Befehl werden Mobilitätsprotokolle aus der Vergangenheit und der Gegenwart erstellt.
#show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt
Die gesammelten Informationen können mit dem Befehl im WLC selbst gelesen werden.
#more bootflash:mobilitytunnel.txt
Die gesammelten Informationen können auch vom WLC exportiert werden, um sie mithilfe des Befehls in einer externen Quelle zu lesen.
#copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt
Mobilitätsdebugs und -nachverfolgung
Debugs und Traces können detailliertere Informationen bereitstellen, falls die Mobilitätsprozessprotokolle nicht in der Lage sind, ausreichend Informationen zu generieren, um das Problem zu finden.
Wenn Debugs und Traces für einen Mobility-Tunnel mit NAT erfasst werden, ist es wichtig, diese Informationen in den Ablaufverfolgungsabschnitt einzugeben, um die Informationen gleichzeitig abzurufen und das Verhalten besser zu verstehen:
- Öffentliche Peer-Mobility-IP-Adresse
- Private Mobility-IP-Adresse des Peers
- Mac-Adresse für Peer-Mobilität
In diesem Beispiel werden die öffentlichen und privaten IP-Adressen zusammen mit der Mobility-MAC-Adresse von WLC1 in WLC2 eingegeben. Dasselbe muss rückwärts erfolgen, wobei die private und die öffentliche IP-Adresse zusammen mit der Mobility-MAC-Adresse von WLC2 in den RA Trace-Abschnitt von WLC1 eingegeben werden.
WLC-Benutzeroberfläche
WLC-Fehlerbehebung
Debugs und Traces können wie dargestellt über die GUI gesammelt werden.
WLC-Fehlersuche
WLC-CLI
debug platform condition feature wireless ip 10.0.0.2
debug platform condition feature wireless ip 20.0.0.2
debug platform condition feature wireless mac f4bd.9e57.d8cb
Um die Debugs zu sammeln, kann dieser Befehl verwendet werden. Ändern Sie den Zeitpunkt der debugs-Auflistung nach Bedarf.
#show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
#show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
#show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt
Kopieren Sie die Dateien mithilfe eines Übertragungsprotokolls in eine externe Quelle.
#copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
#copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
#copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt
Paketerfassung
Der 9800 WLC kann eingebettete Paketerfassungen übernehmen. Mit dieser Funktion können Sie überprüfen, welche Pakete zwischen WLCs für den Mobility Tunnel mit NAT ausgetauscht werden.
In diesem Beispiel wird die private IP-Adresse von WLC1 in WLC2 verwendet, um die Paketerfassung einzurichten. Dasselbe muss rückwärts gemacht werden, wobei die private IP-Adresse des WLC2 im WLC1 für die Einrichtung der Paketerfassung verwendet werden muss.
Für die Paketerfassung kann eine ACL erstellt werden, um die Pakete zu filtern und nur die Pakete anzuzeigen, die für einen Mobility-Tunnel mit NAT erforderlich sind. Sobald die ACL erstellt wurde, wird sie als Filter an die Paketerfassung angefügt. Die ACL kann mit der privaten Mobility-IP-Adresse erstellt werden, da diese im Paket-Header enthalten ist.
#config t
(config)#ip access-list extended Mobility
(config-ext-nacl)#permit ip host 10.0.0.2 any
(config-ext-nacl)#permit ip any host 10.0.0.2
(config-ext-nacl)#end
#monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both
Mit diesem Befehl kann die Konfiguration der Monitorerfassung überprüft werden.
#show monitor capture MobilityNAT
Sobald die Monitorerfassung bereit und aktiviert ist, kann sie gestartet werden.
#monitor capture MobilityNAT start
Um es zu beenden, kann dieser Befehl verwendet werden.
#monitor capture MobilityNAT stop
Sobald die Monitorerfassung beendet wird, kann sie mithilfe eines Übertragungsprotokolls in eine externe Quelle exportiert werden.
#monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap
Tipp: Mobility Tunnel mit NAT ist eine Funktion, die ein bidirektionales Gespräch zwischen WLCs erfordert. Aufgrund der Merkmale der Funktion wird dringend empfohlen, Protokolle, Debugging-Meldungen und Ablaufverfolgungen bzw. Paketerfassungen von beiden WLCs gleichzeitig zu erfassen, um den Mobility-Tunnel mit NAT Packet Exchange besser zu verstehen.
Debuggen, Ablaufverfolgungen und Paketerfassungen löschen
Nach der Erfassung der erforderlichen Informationen können die Debug-Meldungen, Ablaufverfolgungen und die Konfiguration der integrierten Paketerfassung wie hier beschrieben aus dem WLC gelöscht werden.
Debugs und Ablaufverfolgungen
#clear platform condition all
Paketerfassung
#config t
(config)# no ip access-list extended Mobility
(config)#end
#no monitor capture MobilityNAT
Es wird dringend empfohlen, die im WLC durchgeführte Fehlerbehebungskonfiguration zu löschen, nachdem die erforderlichen Informationen gesammelt wurden.