Configuración del túnel de movilidad del controlador de LAN inalámbrica 9800 con NAT

Actualizado:16 de febrero de 2024
ID del documento:221707

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar 9800 Wireless Lan Controllers (WLC) con un túnel de movilidad a través de la traducción de direcciones de red (NAT).

    Prerequisites

    Requirements

    Cisco recomienda tener conocimientos de estos temas:

    • Configuración y conceptos de traducción de direcciones de red (NAT) estática.
    • Configuración y conceptos del túnel de movilidad del controlador de LAN inalámbrica 9800.

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Catalyst serie 9800 Wireless Controller (Catalyst 9800-L), Cisco IOS® XE Gibraltar 17.9.4
    • Routers de servicios integrados (ISR), Cisco IOS® XE Gibraltar 17.6.5
    • Switch Catalyst serie 3560, Cisco IOS® XE Gibraltar 15.2.4E10

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Los túneles de movilidad se crean entre dos o más controladores de LAN inalámbrica (WLC) con la intención de compartir información entre ellos, como información del punto de acceso, información del cliente inalámbrico, información de RRM y más.

    También se puede utilizar como una configuración basada en diseños de anclaje externos. Este documento describe cómo configurar un túnel de movilidad entre controladores de LAN inalámbrica (WLC) con el control de direcciones de red (NAT).

    El túnel de la movilidad del WLC puede tener uno de estos cuatro estados:

    • Control y ruta de datos hacia abajo
    • Ruta de control descendente (esto implica que la ruta de datos está activa)
    • Ruta de datos inactiva (esto implica que el control está activo)
    • En funcionamiento

    El estado final y correcto de un túnel de movilidad es: Activo, cualquier otro estado requiere investigación adicional. Los túneles de movilidad funcionan sobre los puertos udp CAPWAP 16666 y 16667 desde los cuales el puerto udp 16666 es para la trayectoria de control y 16667 para la trayectoria de datos, debido a esto es necesario asegurarse de que estos puertos estén abiertos entre los WLC.

    note-icon

    Nota: Para la configuración del túnel de movilidad WLC sin NAT, consulte Configuración de Topologías de Movilidad en los Controladores de LAN Inalámbrica Catalyst 9800

    Restricciones de NAT support on Mobility Groups

    • Solo se puede configurar la NAT estática (1:1).
    • No se admiten varios peers del túnel de movilidad con la misma dirección IP pública.
    • Cada miembro debe tener una dirección IP privada única.
    • No se admite la traducción de direcciones de puerto (PAT).
    • No se admite Inter-Release Controller Mobility (IRCM) para roaming de clientes inalámbricos.
    • No se admite la traducción de direcciones IPv6.
    • El control de acceso a la red (NAT) con túnel de movilidad es compatible con el código WLC versión 17.7.1 y posterior.

    Diagrama de la red

    NATTopolgy

    Configurar

    Configuración de NAT en el router

    Los routers se utilizan en esta configuración para proporcionar capacidades de control de acceso a la red (NAT); sin embargo, se puede utilizar cualquier dispositivo capaz de realizar NAT estática. La NAT estática es el método NAT soportado para los túneles de movilidad WLC, esta es la configuración utilizada en el ejemplo de configuración de los routers. Para fines de configuración, se utilizan estos routers: NAT-A y NAT-B. El WLC1 está detrás del router NAT-A y el WLC2 está detrás del router NAT-B.

    Configuración del router NAT-A:

    CLI:

    RouterNAT-A#config t
    RouterNAT-A(config)#interface GigabitEthernet0/1/0
    RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
    RouterNAT-A(config-if)#ip nat inside
    RouterNAT-A(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#interface GigabitEthernet0/1/1
    RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
    RouterNAT-A(config-if)#ip nat outside
    RouterNAT-A(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
    RouterNAT-A(config)#end
    RouterNAT-A#

    Configuración del router NAT-B:

    CLI:

    RouterNAT-B#config t
    RouterNAT-B(config)#interface GigabitEthernet0/1/2
    RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
    RouterNAT-B(config-if)#ip nat inside
    RouterNAT-B(config-if)#end
    RouterNAT-A#

    RouterNAT-B#config t
    RouterNAT-B(config)#interface GigabitEthernet0/1/3
    RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
    RouterNAT-B(config-if)#ip nat outside
    RouterNAT-B(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
    RouterNAT-A(config)#end
    RouterNAT-A#

    Configuración de la movilidad con NAT en el controlador de LAN inalámbrica

    Esta es la configuración a compartir entre los WLC para crear el túnel de movilidad con NAT:

    • Dirección IP de movilidad privada
    • Dirección IP de movilidad pública
    • Dirección Mac del grupo de movilidad
    • Nombre del grupo de movilidad

    La configuración del WLC1 se agrega al WLC2 y viceversa, esto se puede hacer a través de CLI o GUI en los WLC, ya que el túnel de movilidad con NAT es el objetivo final de esta configuración. La dirección IP de movilidad pública de ambos WLC es la dirección IP de NAT configurada en la configuración de NAT estática en cada router.

    Configuración del WLC1:

    GUI:

    SSWLC1-2

    CLI:

    WLC1#config t
    WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
    WLC1(config)#end
    WLC1#

    Configuración de WLC2:

    GUI:

    SSWLC2-2

    CLI:

    WLC2#config t
    WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
    WLC2(config)#end
    WLC2#

    Verificación

    Verificación de configuración del router

    Desde el lado del router, estos comandos verifican la configuración de NAT. La configuración de NAT debe ser estática (como se mencionó anteriormente en el documento) debido a lo cual la configuración interna y externa para NAT está presente.

    RouterNAT-A

    RouterNAT-A#show run interface GigabitEthernet0/1/0
    interface GigabitEthernet0/1/0
    ip add 10.0.0.1 255.255.255.0
    ip nat inside
    !
    RouterNAT-A#show run interface GigabitEthernet0/1/1
    interface GigabitEthernet0/1/1
    ip add 20.0.0.1 255.255.255.0
    ip nat outside
    !
    RouterNAT-A#show run | in ip nat inside
    ip nat inside source static 10.0.0.2 20.0.0.2

    RouterNAT-B

    RouterNAT-B#show run interface GigabitEthernet0/1/2
    interface GigabitEthernet0/1/2
    ip add 40.0.0.1 255.255.255.0
    ip nat inside
    !
    RouterNAT-B#show run interface GigabitEthernet0/1/3
    interface GigabitEthernet0/1/3
    ip add 30.0.0.1 255.255.255.0
    ip nat outside
    !
    RouterNAT-B#show run | in ip nat inside
    ip nat inside source static 40.0.0.2 30.0.0.2

    Verificación de la configuración del controlador LAN inalámbrico

    Verifique desde el WLC GUI y CLI el estado del túnel de movilidad, como se mencionó anteriormente en este documento, el estado correcto para confirmar una comunicación correcta entre los WLC sobre el túnel de movilidad es: Up, cualquier otro estado necesita investigación.

    WLC1

    GUI:

    SSWLC1

    CLI:

    WLC1#show wireless mobility summary
    Mobility Summary

    Wireless Management VLAN: 10
    Wireless Management IP Address: 10.0.0.2
    Wireless Management IPv6 Address:
    Mobility Control Message DSCP Value: 0
    Mobility High Cipher : False
    Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
    Mobility Keepalive Interval/Count: 10/3
    Mobility Group Name: default
    Mobility Multicast Ipv4 address: 0.0.0.0
    Mobility Multicast Ipv6 address: ::
    Mobility MAC Address: f4bd.9e57.d8cb
    Mobility Domain Identifier: 0x34ac

    Controllers configured in the Mobility Domain:

     IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
    --------------------------------------------------------------------------------------------------------------------
    10.0.0.2    N/A           f4bd.9e57.d8cb      default        0.0.0.0            ::                N/A        N/A
    40.0.0.2    30.0.0.2      f4bd.9e56.304b      default        0.0.0.0            ::                Up         1385

    WLC2

    GUI:

    SSWLC2

    CLI:

    WLC2#show wireless mobility summary
    Mobility Summary

    Wireless Management VLAN: 40
    Wireless Management IP Address: 40.0.0.2
    Wireless Management IPv6 Address:
    Mobility Control Message DSCP Value: 0
    Mobility High Cipher : False
    Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
    Mobility Keepalive Interval/Count: 10/3
    Mobility Group Name: default
    Mobility Multicast Ipv4 address: 0.0.0.0
    Mobility Multicast Ipv6 address: ::
    Mobility MAC Address: f4bd.9e56.304b
    Mobility Domain Identifier: 0x34ac

    Controllers configured in the Mobility Domain:

     IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
    --------------------------------------------------------------------------------------------------------------------
    40.0.0.2    N/A            f4bd.9e56.304b     default        0.0.0.0            ::                N/A        N/A
    10.0.0.2    20.0.0.2       f4bd.9e57.d8cb     default        0.0.0.0            ::                Up         1385

    Troubleshoot

    Resolución de problemas del router

    Verifique desde el router que las traducciones de NAT IP se estén realizando correctamente.

    Traducciones y estadísticas de IP NAT

    Utilice estos comandos para revisar las traducciones internas y externas que se realizan en el router, así como para verificar las estadísticas de NAT. 

    #show ip nat translations
    #show ip nat statistics 

    IP NAT debug

    Este comando depura la traducción NAT desde la perspectiva del router para comprender cómo se produce la NAT o si hay algún problema mientras el router realiza la traducción NAT.

    #debug ip nat 
    #show debug
    note-icon

    Nota: Cualquier comando debug en un router puede causar sobrecarga que hace que el router deje de funcionar. Las depuraciones de los routers se deben utilizar con extrema precaución; si es posible, no ejecute ninguna depuración en un router de producción crítico durante el tiempo de producción; se desea una ventana de mantenimiento.

    Troubleshooting Del Controlador Lan Inalámbrico

    La información aquí se puede recolectar del WLC en caso de que el túnel de la movilidad muestre cualquier estado que no sea el estado correcto que es activo.

    Registros de procesos de movilidad

    Este comando genera registros de movilidad del tiempo pasado y presente 

    #show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt

    La información recopilada se puede leer en el propio WLC con el comando

    #more bootflash:mobilitytunnel.txt

    La información recopilada también se puede exportar desde el WLC para leerla en una fuente externa con el comando

    #copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt 

    Depuraciones y seguimientos de movilidad

    Las depuraciones y los seguimientos pueden proporcionar información más detallada en caso de que los registros del proceso de movilidad no puedan generar información suficiente para encontrar el problema.

    Cuando se recopilan depuraciones y seguimientos para el túnel de movilidad con NAT, es importante introducir esta información en la sección de seguimiento para obtener la información simultáneamente y entender mejor el comportamiento:

    • Dirección IP de movilidad pública del par
    • Dirección IP de movilidad privada del mismo nivel
    • Dirección Mac de movilidad de pares

    En este ejemplo, la dirección IP pública y privada junto con la dirección MAC de movilidad del WLC1 se ingresa en el WLC2, lo mismo debe hacerse hacia atrás, donde ingresamos la dirección IP privada y pública junto con la dirección MAC de movilidad del WLC2 en la sección de seguimiento de RA del WLC1.

    GUI de WLC

    NATtshooting

    Las depuraciones y los seguimientos se pueden recolectar de la GUI como se muestra.

    GatherDebugsGUI

    CLI WLC

    debug platform condition feature wireless ip 10.0.0.2
    debug platform condition feature wireless ip 20.0.0.2
    debug platform condition feature wireless mac f4bd.9e57.d8cb

    Para recopilar las depuraciones, se puede utilizar este comando. Cambie la hora de la colección de depuraciones según sea necesario.

    #show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
    #show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
    #show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt

    Copie los archivos a un origen externo con un protocolo de transferencia.

    #copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
    #copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
    #copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt

    Capturas de paquetes

    El WLC 9800 tiene la capacidad de tomar capturas de paquetes embebidas, utilice esta característica para verificar qué paquetes se intercambian entre los WLC para el túnel de movilidad con NAT.

    En este ejemplo, la dirección IP privada del WLC1 se utiliza en el WLC2 para configurar la captura de paquetes, lo mismo se debe hacer hacia atrás, donde se debe utilizar la dirección IP privada del WLC2 en el WLC1 para la captura de paquetes configurada.

    Para tomar la captura de paquetes, se puede crear una ACL para filtrar los paquetes y mostrar solamente los paquetes que buscamos para el túnel de movilidad con NAT, una vez que se crea la ACL se adjunta a la captura de paquetes como filtro. La ACL se puede crear con la dirección IP privada de movilidad, ya que son las que se encuentran en el encabezado del paquete.

    #config t
    (config)#ip access-list extended Mobility
    (config-ext-nacl)#permit ip host 10.0.0.2 any
    (config-ext-nacl)#permit ip any host 10.0.0.2
    (config-ext-nacl)#end

    #monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both

    Antes de que se inicie la captura, este comando se puede utilizar para verificar la configuración de la captura del monitor.

    #show monitor capture MobilityNAT

    Una vez que la captura del monitor esté lista y verificada, se puede iniciar.

    #monitor capture MobilityNAT start

    Para detenerlo, se puede utilizar este comando.

    #monitor capture MobilityNAT stop

    Una vez que se detiene la captura del monitor, se puede exportar a una fuente externa con un protocolo de transferencia.

    #monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap
    note-icon

    Nota: El túnel de movilidad con NAT es una función que requiere una conversación bidireccional entre los WLC, debido a la naturaleza de la función, se recomienda recopilar los registros, los debugs y los seguimientos o las capturas de paquetes de ambos WLC al mismo tiempo para comprender mejor el túnel de movilidad con el intercambio de paquetes NAT.

    Borrar depuraciones, seguimientos y capturas de paquetes

    Una vez que se toma la información necesaria, las depuraciones, los seguimientos y la configuración de captura de paquetes incrustada se pueden eliminar del WLC como se describe aquí.

    Depuraciones y seguimientos

    #clear platform condition all

    Captura de paquete

    #config t
    (config)# no ip access-list extended Mobility
    (config)#end
    #no monitor capture MobilityNAT

    Se recomienda encarecidamente borrar la configuración del troubleshooting que se realizó en el WLC una vez que se reunió la información necesaria.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    16-Feb-2024
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Tim Padilla
      Ingeniero de consultoría técnica

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos