Introducción
Este documento describe cómo configurar 9800 Wireless Lan Controllers (WLC) con un túnel de movilidad a través de la traducción de direcciones de red (NAT).
Prerequisites
Requirements
Cisco recomienda tener conocimientos de estos temas:
- Configuración y conceptos de traducción de direcciones de red (NAT) estática.
- Configuración y conceptos del túnel de movilidad del controlador de LAN inalámbrica 9800.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Catalyst serie 9800 Wireless Controller (Catalyst 9800-L), Cisco IOS® XE Gibraltar 17.9.4
- Routers de servicios integrados (ISR), Cisco IOS® XE Gibraltar 17.6.5
- Switch Catalyst serie 3560, Cisco IOS® XE Gibraltar 15.2.4E10
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Los túneles de movilidad se crean entre dos o más controladores de LAN inalámbrica (WLC) con la intención de compartir información entre ellos, como información del punto de acceso, información del cliente inalámbrico, información de RRM y más.
También se puede utilizar como una configuración basada en diseños de anclaje externos. Este documento describe cómo configurar un túnel de movilidad entre controladores de LAN inalámbrica (WLC) con el control de direcciones de red (NAT).
El túnel de la movilidad del WLC puede tener uno de estos cuatro estados:
- Control y ruta de datos hacia abajo
- Ruta de control descendente (esto implica que la ruta de datos está activa)
- Ruta de datos inactiva (esto implica que el control está activo)
- En funcionamiento
El estado final y correcto de un túnel de movilidad es Activo. Cualquier otro estado requiere más investigación. Los túneles de movilidad funcionan sobre los puertos udp CAPWAP 16666 y 16667, de los cuales el puerto udp 16666 es para la trayectoria de control y 16667 para la trayectoria de datos. Debido a esto, es necesario asegurarse de que estos puertos estén abiertos entre los WLC.
Restricciones de NAT Support on Mobility Groups
- Solo se puede configurar la NAT estática (1:1).
- No se admiten varios peers del túnel de movilidad con la misma dirección IP pública.
- Cada miembro debe tener una dirección IP privada única.
- No se admite la traducción de direcciones de puerto (PAT).
- No se admite Inter-Release Controller Mobility (IRCM) para roaming de clientes inalámbricos.
- No se admite la traducción de direcciones IPv6.
- El control de acceso a la red (NAT) con túnel de movilidad es compatible a partir de la versión 17.7.1 del código WLC.
Diagrama de la red
Diagrama de la red
Configurar
Configuración de NAT en el router
Los routers se utilizan en esta configuración para proporcionar capacidades de control de acceso a la red (NAT); sin embargo, se puede utilizar cualquier dispositivo capaz de realizar NAT estática. La NAT estática es el método NAT soportado para los túneles de movilidad WLC, esta es la configuración utilizada en el ejemplo de configuración de los routers. Con fines de configuración, estos routers se utilizan: NAT-A y NAT-B El WLC1 está detrás del router NAT-A y el WLC2 está detrás del router NAT-B.
Configuración NAT-A del router:
CLI:
RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/0
RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat inside
RouterNAT-A(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/1
RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat outside
RouterNAT-A(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#
Configuración NAT-B del router:
CLI:
RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/2
RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat inside
RouterNAT-B(config-if)#end
RouterNAT-A#
RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/3
RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat outside
RouterNAT-B(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#
Configuración de la movilidad con NAT en el controlador de LAN inalámbrica
Esta es la configuración a compartir entre los WLCs para crear el túnel de movilidad con NAT.
- Dirección IP de movilidad privada
- Dirección IP de movilidad pública
- Dirección Mac del grupo de movilidad
- Nombre del grupo de movilidad
La configuración del WLC1 se agrega al WLC2 y viceversa. Esto se puede hacer a través de CLI o GUI en los WLC ya que el túnel de movilidad con NAT es el objetivo final de esta configuración. La dirección IP de movilidad pública de ambos WLC es la dirección IP de NAT configurada en la configuración de NAT estática en cada router.
Configuración de WLC1:
GUI:
WLC1 de configuración NAT de movilidad
CLI:
WLC1#config t
WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
WLC1(config)#end
WLC1#
Configuración de WLC2:
GUI:
Configuración de NAT de movilidad WLC2
CLI:
WLC2#config t
WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
WLC2(config)#end
WLC2#
Verificación
Verificación de configuración del router
Desde el lado del router, estos comandos verifican la configuración de NAT. La configuración de NAT debe ser estática (como se mencionó anteriormente en el documento) debido a lo cual la configuración interna y externa para NAT está presente.
RouterNAT-A
RouterNAT-A#show run interface GigabitEthernet0/1/0
interface GigabitEthernet0/1/0
ip add 10.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-A#show run interface GigabitEthernet0/1/1
interface GigabitEthernet0/1/1
ip add 20.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-A#show run | in ip nat inside
ip nat inside source static 10.0.0.2 20.0.0.2
RouterNAT-B
RouterNAT-B#show run interface GigabitEthernet0/1/2
interface GigabitEthernet0/1/2
ip add 40.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-B#show run interface GigabitEthernet0/1/3
interface GigabitEthernet0/1/3
ip add 30.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-B#show run | in ip nat inside
ip nat inside source static 40.0.0.2 30.0.0.2
Verificación de la configuración del controlador LAN inalámbrico
Verifique el estado del túnel de movilidad en la GUI y CLI del WLC. Como se mencionó anteriormente en este documento, el estado correcto para confirmar una comunicación correcta entre los WLC sobre el túnel de la movilidad es encendido. Cualquier otra situación requiere investigación.
WLC1
GUI:
Verificación de NAT de movilidad WLC1
CLI:
WLC1#show wireless mobility summary
Mobility Summary
Wireless Management VLAN: 10
Wireless Management IP Address: 10.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e57.d8cb
Mobility Domain Identifier: 0x34ac
Controllers configured in the Mobility Domain:
IP Public Ip MAC Address Group Name Multicast IPv4 Multicast IPv6 Status PMTU
--------------------------------------------------------------------------------------------------------------------
10.0.0.2 N/A f4bd.9e57.d8cb default 0.0.0.0 :: N/A N/A
40.0.0.2 30.0.0.2 f4bd.9e56.304b default 0.0.0.0 :: Up 1385
WLC2
GUI:
Verificación de NAT de movilidad WLC2
CLI:
WLC2#show wireless mobility summary
Mobility Summary
Wireless Management VLAN: 40
Wireless Management IP Address: 40.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e56.304b
Mobility Domain Identifier: 0x34ac
Controllers configured in the Mobility Domain:
IP Public Ip MAC Address Group Name Multicast IPv4 Multicast IPv6 Status PMTU
--------------------------------------------------------------------------------------------------------------------
40.0.0.2 N/A f4bd.9e56.304b default 0.0.0.0 :: N/A N/A
10.0.0.2 20.0.0.2 f4bd.9e57.d8cb default 0.0.0.0 :: Up 1385
Troubleshoot
Resolución de problemas del router
Verifique desde el lado del router que las traducciones de NAT IP se estén realizando correctamente.
Traducciones y Estadísticas de IP NAT
Utilice estos comandos para revisar que las traducciones internas y externas se estén realizando en el router, así como para verificar las estadísticas de NAT.
#show ip nat translations
#show ip nat statistics
Depuración de NAT IP
Este comando depura la traducción NAT desde la perspectiva del router para comprender cómo se produce la NAT o si hay algún problema mientras el router realiza la traducción NAT.
#debug ip nat
#show debug
Nota: Cualquier comando debug en un router puede causar sobrecarga que hace que el router deje de funcionar. Las depuraciones de los routers se deben utilizar con extrema precaución. Si es posible, no ejecute ninguna depuración en un router de producción crítico durante el tiempo de producción. Se desea una ventana de mantenimiento.
Troubleshooting Del Controlador Lan Inalámbrico
La información aquí se puede recolectar del WLC en caso de que el túnel de la movilidad muestre cualquier estado que no sea el estado correcto que es activo.
Registros de procesos de movilidad
Este comando genera registros de movilidad del tiempo pasado y presente.
#show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt
La información recopilada se puede leer en el propio WLC con el comando.
#more bootflash:mobilitytunnel.txt
La información recopilada también se puede exportar desde el WLC para leerla en una fuente externa con el comando.
#copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt
Depuraciones y seguimientos de movilidad
Las depuraciones y los seguimientos pueden proporcionar información más detallada en caso de que los registros del proceso de movilidad no puedan generar información suficiente para encontrar el problema.
Cuando se recopilan depuraciones y seguimientos para el túnel de movilidad con NAT, es importante ingresar esta información en la sección de seguimiento para obtener la información simultáneamente y entender mejor el comportamiento:
- Dirección IP de movilidad pública del par
- Dirección IP de movilidad privada del mismo nivel
- Dirección Mac de movilidad de pares
En este ejemplo, las direcciones IP públicas y privadas junto con la dirección MAC de movilidad de WLC1 se ingresan en WLC2. Lo mismo debe hacerse al revés, donde la dirección IP privada y pública junto con la dirección MAC de movilidad de WLC2 se ingresan en la sección de seguimiento RA de WLC1.
GUI de WLC
Depuraciones de WLC
Las depuraciones y los seguimientos se pueden recolectar de la GUI como se muestra.
Colección de depuración WLC
CLI WLC
debug platform condition feature wireless ip 10.0.0.2
debug platform condition feature wireless ip 20.0.0.2
debug platform condition feature wireless mac f4bd.9e57.d8cb
Para recopilar las depuraciones, se puede utilizar este comando. Cambie la hora de la colección de depuraciones según sea necesario.
#show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
#show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
#show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt
Copie los archivos a un origen externo con un protocolo de transferencia.
#copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
#copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
#copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt
Capturas de paquetes
El WLC 9800 tiene la capacidad de tomar capturas de paquetes embebidas. Utilice esta función para verificar qué paquetes se intercambian entre los WLC para el túnel de movilidad con NAT.
En este ejemplo, la dirección IP privada del WLC1 se utiliza en el WLC2 para configurar la captura del paquete. Lo mismo debe hacerse al revés, donde tiene que ser utilizado la dirección IP privada del WLC2 en el WLC1 para la captura de paquetes configurada.
Para tomar la captura de paquetes, se puede crear una ACL para filtrar los paquetes y mostrar solamente los paquetes que se necesitan para el túnel de movilidad con NAT. Una vez creada la ACL, se adjunta a la captura de paquetes como filtro. La ACL se puede crear con la dirección IP privada de movilidad, ya que son las que se encuentran en el encabezado del paquete.
#config t
(config)#ip access-list extended Mobility
(config-ext-nacl)#permit ip host 10.0.0.2 any
(config-ext-nacl)#permit ip any host 10.0.0.2
(config-ext-nacl)#end
#monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both
Este comando se puede utilizar para verificar la configuración de captura de monitor.
#show monitor capture MobilityNAT
Una vez que la captura del monitor esté lista y verificada, se puede iniciar.
#monitor capture MobilityNAT start
Para detenerlo, se puede utilizar este comando.
#monitor capture MobilityNAT stop
Una vez que se detiene la captura del monitor, se puede exportar a una fuente externa con un protocolo de transferencia.
#monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap
Consejo: El túnel de movilidad con NAT es una característica que requiere una conversación bidireccional entre los WLC. Debido a la naturaleza de la función, se recomienda recopilar los registros, las depuraciones y los seguimientos o las capturas de paquetes de ambos WLC al mismo tiempo para comprender mejor el túnel de movilidad con el intercambio de paquetes NAT.
Borrar depuraciones, seguimientos y capturas de paquetes
Una vez que se toma la información necesaria, los debugs, los seguimientos, y la configuración embebida de la captura del paquete se pueden borrar del WLC como se describe aquí.
Depuraciones y seguimientos
#clear platform condition all
Captura de paquete
#config t
(config)# no ip access-list extended Mobility
(config)#end
#no monitor capture MobilityNAT
Se recomienda encarecidamente borrar la configuración del troubleshooting que se realizó en el WLC una vez que se reunió la información necesaria.