Configuration des topologies de mobilité sur les contrôleurs de réseau local sans fil (WLC) Catalyst 9800

Introduction

Ce document décrit différents scénarios de configuration de la mobilité qui couvrent les topologies entre les contrôleurs de réseau local sans fil (WLC) Catalyst 9800 et les WLC AireOS.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Accès CLI ou GUI aux contrôleurs sans fil.

Components Used

• AireOS WLC version 8.10 MR.1 ou ultérieure. Vous pouvez également utiliser les images 8.5 spéciales de l'IRCM (Inter Release Controller Mobility)
  
• WLC 9800, Cisco IOS^® XE v17.3.4
  

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configuration

Diagramme du réseau

Directives et restrictions

1. Le nom du groupe de mobilité sur 9800 est « default ».

 Note:
1) Si vos WLC se trouvent dans des sous-réseaux différents, vous devez vous assurer que le port UDP 16666 et 1667 est ouvert entre eux.
2) Il est recommandé que les deux WLC 9800 exécutent la même version, de sorte que les clients qui circulent en itinérance bénéficient d'une expérience cohérente dans les scénarios d'itinérance de couche 3 et d'ancrage invité.

Tunnel de mobilité entre deux WLC Catalyst 9800

Voici un exemple de base pour configurer la mobilité sur deux contrôleurs 9800. Ceci est couramment utilisé pour l'accès invité (ancrage), ou pour permettre au client de se déplacer entre les contrôleurs, afin de préserver l'identité du client.

Lorsque vous configurez la mobilité sur le C9800, la première chose à choisir est le nom du groupe de mobilité. Le nom du groupe de mobilité prérempli est par défaut, mais vous pouvez le personnaliser à la valeur souhaitée. N'oubliez pas que vous devez configurer le même nom de groupe de mobilité sur tous les contrôleurs, lorsque l'itinérance de couche2 rapide telle que Fast Transition (FT) ou Cisco Centralized Key Management (CCKM) est utilisée. Par défaut, l'adresse MAC Ethernet de base du châssis telle qu'elle apparaît dans la commande show version est reflétée sur l'interface utilisateur graphique pour l'adresse MAC de mobilité. Sur l'interface de ligne de commande, par défaut, le mac de mobilité est 0000.000.000 comme le montre show run all | inc mobilité mac-address. Dans le cas d'un commutateur 9800 associé à la commutation avec état haute disponibilité (HA), si cette configuration est laissée par défaut et que le mac du châssis est utilisé pour former un tunnel de mobilité, lorsque le basculement se produit, le châssis actif et, par conséquent, le tunnel de mobilité tombe en panne. Par conséquent, il est obligatoire de configurer un mac de mobilité pour la paire C9800 HA. 

Étape 1 : Sur l'interface utilisateur graphique, accédez à Configuration > Wireless > Mobility > Global Configuration.

Via l'interface de ligne de commande :

# config t
# wireless mobility mac-address  <AAAA.BBBB.CCCC>
# wireless mobility group name <mobility-group-name>

  

Étape 1. Collectez la configuration de mobilité des deux WLC 9800.

Pour les deux WLC 9800, accédez à Configuration > Wireless > Mobility > Global Configurationet prenez note de son nom de groupe de mobilité et de son adresse MAC de mobilité.

Via l'interface de ligne de commande :

#show wireless mobility summary

Mobility Summary

Wireless Management VLAN: 2652
Wireless Management IP Address: 172.16.51.88
Wireless Management IPv6 Address: 
Mobility Control Message DSCP Value: 48
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: 001e.e67e.75ff
Mobility Domain Identifier: 0x34ac

Étape 2. Ajouter une configuration homologue

Accédez à Configuration > Wireless Mobility > Peer Configuration et complétez les informations du contrôleur homologue. Faites de même pour les deux WLC 9800.

Via l'interface utilisateur graphique :

Via l'interface de ligne de commande :

# config t
# wireless mobility group member mac-address <peer-mac-address> ip <peer-ip-address> group <group-name> [ data-link-encryption ]

Note: Vous pouvez éventuellement activer le chiffrement de liaison de données.

Tunnel de mobilité entre le WLC AireOS et les contrôleurs 9800-CL

Ce scénario est généralement appliqué aux déploiements de type « friches » ou lors de la migration du contrôleur, où nous divisons le réseau dans une zone de points d'accès contrôlée par un contrôleur AireOS, et un autre par un 9800. Il est conseillé que les points d'accès soient distribués entre les contrôleurs par zone physique ou RF, de sorte que les clients ne circulent qu'entre les contrôleurs lorsqu'ils se déplacent. Évitez les scénarios sel et poivre. En option, cette topologie de mobilité peut également être utilisée pour l'ancrage invité, où 9800 agit en tant qu'étranger et un AireOS en tant que contrôleur d'ancrage.

Diagramme du réseau

Configuration du WLC AireOS

Comme précédemment, si vos contrôleurs 9800 sont en haute disponibilité, assurez-vous d'avoir configuré l'adresse MAC de mobilité.

Étape 1. Collectez les informations de mobilité du WLC 9800.

Via l'interface utilisateur graphique :

Accédez à Configuration > Wireless > Mobility > Global Configuration et prenez note du nom du groupe de mobilité et de l'adresse MAC de mobilité.

Via l'interface de ligne de commande :

#show wireless mobility summary

Mobility Summary

Wireless Management VLAN: 2652
Wireless Management IP Address: 172.16.51.88
Wireless Management IPv6 Address: 
Mobility Control Message DSCP Value: 48
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: 001e.e67e.75ff
Mobility Domain Identifier: 0x34ac

Étape 2. Collecter la valeur de hachage à partir du WLC 9800

# show wireless management trustpoint

Trustpoint Name : Jay-9800_WLC_TP
Certificate Info : Available
Certificate Type : SSC
Certificate Hash : d7bde0898799dbfeffd4859108727d3372d3a63d
Private key Info : Available
FIPS suitability : Not Applicable

Étape 3. Ajoutez les informations du WLC 9800 au WLC AireOS.

Via l'interface utilisateur graphique :

Accédez à CONTROLLER > Mobility Management > Mobility Groups > New.

Entrez les valeurs et choisissez Appliquer.

Note: Le hachage n'est requis que dans le cas où le 9800 utilise un certificat auto-signé tel que le C9800-CL. Les appliances matérielles possèdent un certificat SUDI et n'ont pas besoin de hachage, par exemple 9800-40, 9800-L, etc.

Via l'interface de ligne de commande :

>config mobility group member add <9800 mac-address> <9800 WLC-IP> <group-name> encrypt enable
>config mobility group member hash <9800 WLC-IP> <9800 WLC-Hash>  
>config mobility group member data-dtls <9800 mac-address> disable

Configuration du WLC 9800

Étape 1. Collectez les informations de mobilité AireOS.

Via l'interface utilisateur graphique :

Connectez-vous à l'interface utilisateur graphique d'AireOS et accédez à CONTROLLER > Mobility Management > Mobility Groups et prenez note de l'adresse MAC, de l'adresse IP et du nom du groupe.

Via l'interface de ligne de commande :

>show mobility summary

Mobility Protocol Port........................... 16666
Default Mobility Domain.......................... TEST
Multicast Mode .................................. Disabled
Mobility Domain ID for 802.11r................... 0x6ef9
Mobility Keepalive Interval...................... 10
Mobility Keepalive Count......................... 3
Mobility Group Members Configured................ 2
Mobility Control Message DSCP Value.............. 48

Controllers configured in the Mobility Group

 MAC Address        IP Address         Group Name                 Multicast IP                                     Status
08:96:ad:ac:3b:8f   10.88.173.72         TEST                       0.0.0.0                                          Up

Étape 2. Ajouter les informations du WLC AireOS au WLC 9800

Via l'interface utilisateur graphique :

Accédez à Configuration > Wireless > Mobility > Peer Configuration > Add.

Entrez les informations du WLC AireOS.

Note: Sur le WLC 9800, le cryptage du plan de contrôle est toujours activé, ce qui signifie que vous devez avoir la mobilité sécurisée activée côté AireOS. Cependant, le chiffrement de liaison de données est facultatif. Si vous l'activez du côté 9800, activez-le sur AireOS avec : config mobility group member data-dtls enable

Via l'interface de ligne de commande :

# config t
# wireless mobility group member mac-address <peer-mac-address> ip <ip-address> group <group-name> 

Vérification

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Vérification du WLC AireOS

>show mobility summary

Mobility Protocol Port........................... 16666
Default Mobility Domain.......................... TEST
Multicast Mode .................................. Disabled
Mobility Domain ID for 802.11r................... 0x6ef9
Mobility Keepalive Interval...................... 10
Mobility Keepalive Count......................... 3
Mobility Group Members Configured................ 2
Mobility Control Message DSCP Value.............. 48

Controllers configured in the Mobility Group
 MAC Address        IP Address                                       Group Name                        Multicast IP                                     Status
 00:1e:e6:7e:75:ff  172.16.51.88                                      default                            0.0.0.0                                          Up
 08:96:ad:ac:3b:8f  10.88.173.72                                       TEST                              0.0.0.0                                          Up

Vérification du WLC du Catalyst 9800

#show wireless mobility summary
Mobility Summary

Wireless Management VLAN: 2652
Wireless Management IP Address: 172.16.51.88
Mobility Control Message DSCP Value: 48
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: mb-kcg
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: 001e.e67e.75ff

Controllers configured in the Mobility Domain:

 IP               Public Ip         Group Name                       Multicast IPv4    Multicast IPv6                                Status                       PMTU
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
172.16.51.88       N/A               default                           0.0.0.0           ::                                            N/A                          N/A
10.88.173.72      10.88.173.72        TEST                             0.0.0.0           ::                                            Up                           1385

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. Afin de dépanner l'implémentation du tunnel de mobilité, vous pouvez utiliser ces commandes pour déboguer le processus :

WLC AireOS

Étape 1. Activez les débogages de mobilité.

debug mobility handoff enable
debug mobility error enable
debug mobility dtls error enable
debug mobility dtls event enable
debug mobility pmtu-discovery enable
debug mobility config enable
debug mobility directory enable

Étape 2. Reproduire la configuration et vérifier le résultat

Exemple de création réussie d'un tunnel de mobilité sur un WLC AirOS.

*capwapPingSocketTask: Feb 07 09:53:38.507: Client initiating connection on 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.507: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.508: Received DTLS packet from mobility peer 172.16.0.21 bytes: 48
*capwapPingSocketTask: Feb 07 09:53:38.508: mm_dtls2_process_data_rcv_msg:1207 rcvBufLen 48 clr_pkt_len 2048 peer ac100015
*capwapPingSocketTask: Feb 07 09:53:38.508: Record    : type=22, epoch=0, seq=0
*capwapPingSocketTask: Feb 07 09:53:38.508:    Hndshk : type=3, len=23 seq=0, frag_off=0, frag_len=23
*capwapPingSocketTask: Feb 07 09:53:38.508: Handshake in progress for link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.508: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.508: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 48
!
!<--output-omited-->
!
*capwapPingSocketTask: Feb 07 09:53:38.511: dtls2_cert_verify_callback: Forcing Certificate validation as success
*capwapPingSocketTask: Feb 07 09:53:38.511: Peer certificate verified.
*capwapPingSocketTask: Feb 07 09:53:38.511: Handshake in progress for link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.511: Nothing to send on link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.511: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 503
*capwapPingSocketTask: Feb 07 09:53:38.511: Received DTLS packet from mobility peer 172.16.0.21 bytes: 56
*capwapPingSocketTask: Feb 07 09:53:38.511: mm_dtls2_process_data_rcv_msg:1207 rcvBufLen 56 clr_pkt_len 2048 peer ac100015
*capwapPingSocketTask: Feb 07 09:53:38.511: Record    : type=22, epoch=0, seq=6
*capwapPingSocketTask: Feb 07 09:53:38.511:    Hndshk : type=13, len=6 seq=3, frag_off=0, frag_len=6
*capwapPingSocketTask: Feb 07 09:53:38.523: Handshake in progress for link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.524: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.524: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.524: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 56
*capwapPingSocketTask: Feb 07 09:53:38.527: Received DTLS packet from mobility peer 172.16.0.21 bytes: 91
*capwapPingSocketTask: Feb 07 09:53:38.527: mm_dtls2_process_data_rcv_msg:1207 rcvBufLen 91 clr_pkt_len 2048 peer ac100015
*capwapPingSocketTask: Feb 07 09:53:38.527: Record    : type=20, epoch=0, seq=8
*capwapPingSocketTask: Feb 07 09:53:38.527: Connection established for link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.527: ciperspec 1
*capwapPingSocketTask: Feb 07 09:53:38.527: Nothing to send on link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.527: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 91
*mmMobility: Feb 07 09:53:38.527: DTLS Action Result message received
*mmMobility: Feb 07 09:53:38.527:  Key plumb succeeded
*mmMobility: Feb 07 09:53:38.527: mm_dtls2_callback: Connection established with 172.16.0.21:16667
*mmMobility: Feb 07 09:53:38.527: mm_dtls2_db_status_up:895 Connections status up for entry 172.16.0.21:16667
*mmMobility: Feb 07 09:53:38.527: mm_dtls2_callback: DTLS Connection established with 172.16.0.21:16667, Sending update msg to mobility HB

WLC Catalyst 9800

Par défaut, les contrôleurs 9800 consignent en permanence les informations de processus, sans qu'il soit nécessaire de recourir à une procédure de débogage spéciale. Cela permet de se connecter simplement au contrôleur et de récupérer les journaux associés à tout composant sans fil à des fins de dépannage. Les journaux peuvent s'étendre sur plusieurs jours, selon l'occupation du contrôleur. Pour simplifier l'analyse, vous pouvez extraire les journaux avec une plage de temps ou pour les X dernières minutes, l'heure par défaut est définie sur 10 minutes et vous pouvez filtrer par adresse IP ou MAC.

Étape 1. Vérifiez l'heure actuelle du contrôleur afin que vous puissiez suivre les journaux dans le temps remontant au moment où le problème s'est produit.

# show clock

Étape 2. Collectez les journaux du contrôleur, au cas où des informations au niveau de Cisco IOS pourraient être liées au problème.

# show logging

Étape 3. Collectez les traces de niveau de notification toujours présentes pour une adresse spécifique. Vous pouvez utiliser l'adresse IP ou MAC de l'homologue de mobilité pour filtrer.

# show logging profile wireless filter ipv4 to-file bootflash:ra-AAAA.BBBB.CCCC.txt

Cette commande génère des journaux pour les 10 dernières minutes, il est possible d'ajuster cette fois avec la commande show logging profile wireless last 1 heure filter mac AAAA.BBBB.CCCC à bootflash:ra-AAAA.BBBB.CCCC.txt. Vous pouvez afficher le contenu de la session ou copier le fichier sur un serveur TFTP externe.

# more bootflash:always-on-<FILENAME.txt>

or

# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Suivi radio actif 

Si les journaux toujours actifs ne fournissent pas suffisamment d'informations pour savoir ce qui a déclenché un problème lors de la configuration des tunnels, vous pouvez également activer les débogages conditionnels et capturer les traces de Radio Active (RA), ce qui vous donne une activité de processus plus détaillée.

Étape 1. Vérifiez qu'aucune condition de débogage n'est déjà activée.

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop


IOSXE Packet Tracing Configs:




Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

Si vous voyez une condition qui n'est pas liée à l'adresse que vous voulez surveiller, désactivez-la.

Pour supprimer une adresse spécifique :

# no debug platform condition feature wireless { mac <aaaa.bbbb.cccc> | ip <a.b.c.d> }

Pour supprimer toutes les conditions (méthode recommandée) :

  

# clear platform condition all

Étape 2. Ajoutez la condition de débogage pour une adresse que vous voulez surveiller.

# debug platform condition feature wireless ip <a.b.c.d>

Remarque : si vous voulez surveiller plusieurs homologues de mobilité en même temps, vous pouvez le faire. Utilisez la fonction de condition de la plate-forme adebug wireless maccommand par adresse MAC.

Étape 3. Demandez au WLC 9800 de démarrer le contrôle de l'activité d'adresse spécifiée.

# debug platform condition start

Note: La sortie de l'activité de mobilité n'est pas affichée car tout est mis en mémoire tampon en interne pour être collecté ultérieurement.

Étape 4. Reproduisez le problème ou le comportement à surveiller.

Étape 5. Arrêtez les débogages.

# debug platform condition stop

Étape 6. Collectez le résultat de l’activité d’adresse.

# show logging profile wireless filter ipv4 to-file bootflash:ra-AAAA.BBBB.CCCC.txt

Cette commande génère des journaux pour les 10 dernières minutes, il est possible d'ajuster cette fois avec la commande show logging profile wireless last 1 heure filter mac AAAA.BBBB.CCCC à bootflash:ra-AAAA.BBBB.CCCC.txt. Vous pouvez copier le fichier FILENAME.txt sur un serveur externe ou afficher le résultat directement à l'écran.

Copiez le fichier sur un serveur externe :

# copy bootflash:FILENAME.txt tftp://a.b.c.d/ra-FILENAME.txt

Afficher le contenu :

# more bootflash:ra-FILENAME.txt

Étape 7. Si vous n'arrivez toujours pas à trouver la raison d'un échec, collectez le niveau interne des journaux (vous n'avez pas besoin de déboguer à nouveau le client, vous utilisez les journaux qui ont déjà été stockés internes mais collectez une plus grande gamme d'entre eux).

# show logging profile wireless internal filter ipv4 to-file bootflash:raInternal-AAAA.BBBB.CCCC.txt

Vous pouvez copier le fichier FILENAME.txt sur un serveur externe ou afficher le résultat directement à l'écran.

Copiez le fichier sur un serveur externe :

# copy bootflash:FILENAME.txt tftp://a.b.c.d/ra-FILENAME.txt

Afficher le contenu :

# more bootflash:ra-FILENAME.txt

 Étape 8. Supprimez les conditions de débogage.

# clear platform condition all

Note: Assurez-vous de toujours supprimer les conditions de débogage après une session de dépannage.

Exemple de création réussie d'un tunnel de mobilité sur un WLC 9800.

2021/09/28 10:20:50.497612 {mobilityd_R0-0}{1}: [errmsg] [26516]: (info): %MM_NODE_LOG-6-MEMBER_ADDED: Adding Mobility member (IP: IP: 172.16.55.28: default)
2021/09/28 10:20:52.595483 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_data of XID (0) to (ipv4: 172.16.55.28 )
2021/09/28 10:20:52.595610 {mobilityd_R0-0}{1}: [mm-pmtu] [26516]: (debug): Peer IP: 172.16.55.28 PMTU size is 1385 and calculated additional header length is 148
2021/09/28 10:20:52.595628 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_ctrl_req of XID (80578) to (ipv4: 172.16.55.28 )
2021/09/28 10:20:52.595686 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive data packet misssed, total missed packet = 1
2021/09/28 10:20:52.595694 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive ctrl packet misssed, total missed packet = 1
2021/09/28 10:21:02.596500 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_data of XID (0) to (ipv4: 172.16.55.28 )
2021/09/28 10:21:02.596598 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive data packet misssed, total missed packet = 2
2021/09/28 10:21:02.598898 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 001e.e68c.5dff Received keepalive_data, sub type: 0 of XID (0) from (ipv4: 172.16.55.28 )
2021/09/28 10:21:12.597912 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_data of XID (0) to (ipv4: 172.16.55.28 )
2021/09/28 10:21:12.598009 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 Data link set state to UP (was DOWN)
2021/09/28 10:21:12.598361 {mobilityd_R0-0}{1}: [errmsg] [26516]: (note): %MM_NODE_LOG-5-KEEP_ALIVE: Mobility Data tunnel to peer IP: 172.16.55.28 changed state to UP

! !<--output-omited--> !

2021/09/28 10:21:22.604098 {mobilityd_R0-0}{1}: [ewlc-infra-evq] [26516]: (debug): DTLS record type: 22, handshake
2021/09/28 10:21:22.604099 {mobilityd_R0-0}{1}: [ewlc-infra-evq] [26516]: (info): DTLS client hello
2021/09/28 10:21:22.611477 {mobilityd_R0-0}{1}: [ewlc-infra-evq] [26516]: (debug): DTLS record type: 22, handshake
2021/09/28 10:21:22.611555 {mobilityd_R0-0}{1}: [ewlc-infra-evq] [26516]: (debug): DTLS record type: 22, handshake
2021/09/28 10:21:22.611608 {mobilityd_R0-0}{1}: [ewlc-infra-evq] [26516]: (debug): DTLS record type: 22, handshake
2021/09/28 10:21:22.611679 {mobilityd_R0-0}{1}: [ewlc-infra-evq] [26516]: (debug): DTLS record type: 22, handshake
2021/09/28 10:21:22.611933 {mobilityd_R0-0}{1}: [mm-dtls] [26516]: (note): Peer IP: 172.16.55.28 Port: 16666, Local IP: 172.16.51.88 Port: 16666 DTLS_SSC_HASH_VERIFY_CB: SSC hash validation success
2021/09/28 10:21:22.612163 {mobilityd_R0-0}{1}: [ewlc-dtls-sessmgr] [26516]: (info): Remote Host: 172.16.55.28[16666] Completed cert verification, status:CERT_VALIDATE_SUCCESS 

! !<--output-omited--> !

2021/09/28 10:21:52.603200 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 Control link set state to UP (was DOWN)
2021/09/28 10:21:52.604109 {mobilityd_R0-0}{1}: [errmsg] [26516]: (note): %MM_NODE_LOG-5-KEEP_ALIVE: Mobility Control tunnel to peer IP: 172.16.55.28 changed state to UP

Capture de paquets intégrée

La plupart du temps, il est très utile de vérifier les paquets échangés entre les WLC. Il est particulièrement utile de filtrer les captures avec des listes de contrôle d'accès (ACL) afin de limiter le trafic capturé. Il s'agit d'un modèle de configuration pour les captures incorporées sur l'interface de ligne de commande.

Étape 1. Créez la liste de contrôle d'accès du filtre :

conf t
ip access-list extended <ACL_NAME>
10 permit ip host <WLC_IP_ADDR> host <PEER_WLC_IP_ADDR>
20 permit ip host <PEER_WLC_IP_ADDR>host <WLC_IP_ADDR>
end

Étape 2. Définissez les paramètres de capture :

monitor capture <CAPTURE_NAME> access-list <ACL_NAME> buffer size 10 control-plane both interface <INTERFACE_NAME> both limit duration 300

Note: Sélectionner l'interface de gestion pour le paramètre INTERFACE_NAME

Étape 3. Démarrez la capture :

monitor capture <CAPTURE_NAME> start

Étape 4. Arrêtez la capture :

monitor capture <CAPTURE_NAME> stop 

Étape 5. Accédez à Dépannage > Capture de paquets sur l'interface utilisateur graphique pour collecter le fichier de capture de paquets

Scénarios de dépannage courants

Les exemples suivants sont des tunnels formés entre 9800 WLC.

Contrôle et chemin des données vers le bas en raison de problèmes de connectivité

L'activation des connexions permanentes et des captures de paquets intégrées fournit des informations supplémentaires pour le dépannage :

2021/09/28 09:54:22.490625 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_ctrl_req of XID (80552) to (ipv4: 172.16.55.28 )
2021/09/28 09:54:22.490652 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive data packet misssed, total missed packet = 29
2021/09/28 09:54:22.490657 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive ctrl packet misssed, total missed packet = 10
2021/09/28 09:54:32.491952 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_data of XID (0) to (ipv4: 172.16.55.28 )
2021/09/28 09:54:32.492127 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive data packet misssed, total missed packet = 30

Les captures de paquets sont utiles pour confirmer le comportement.

Notez que le débogage et le WLC montrent qu'il n'y a pas de réponse aux requêtes ping de contrôle ou de données. Un scénario courant est que la connectivité IP est autorisée, mais les ports 1666 ou 16667 ne sont pas autorisés à communiquer sur le réseau.

Incompatibilité de configuration entre les WLC

Dans ce cas, nous avons confirmé la connectivité pour tous les ports entre les WLC, mais nous remarquons toujours que les keepalives manquent.

L'activation des connexions permanentes et des captures de paquets intégrées fournit des informations supplémentaires pour le dépannage :

2021/09/28 11:34:22.927477 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_data of XID (0) to (ipv4: 172.16.55.28 )
2021/09/28 11:34:22.928025 {mobilityd_R0-0}{1}: [mm-pmtu] [26516]: (debug): Peer IP: 172.16.55.28 PMTU size is 1385 and calculated additional header length is 148
2021/09/28 11:34:22.928043 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_ctrl_req of XID (80704) to (ipv4: 172.16.55.28 )
2021/09/28 11:34:22.928077 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive data packet misssed, total missed packet = 8
2021/09/28 11:34:22.928083 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive ctrl packet misssed, total missed packet = 3

Les journaux internes sur l'homologue 172.16.55.28 nous aident à confirmer une non-correspondance de configuration

2021/09/28 17:33:22.963 {mobilityd_R0-0}{1}: [mm-keepalive] [27081]: (ERR): Peer IP: 172.16.51.88 Failed to validate endpoint: Invalid argument
2021/09/28 17:33:22.963 {mobilityd_R0-0}{1}: [errmsg] [27081]: (ERR): %MM_NODE_LOG-3-PING_DROPPED: Drop data ping from IP: 172.16.51.88. Failed to validate endpoint

Incompatibilité de configuration courante : nom de groupe incorrect, non-correspondance sur le chiffrement de liaison de données et adresse MAC de mobilité incorrecte.

Journal de non-correspondance de groupe :

2021/09/28 17:33:22.963 {mobilityd_R0-0}{1}: [errmsg] [27081]: (ERR): %MM_INFRA_LOG-3-MSG_PROC_FAILED_GROUP_NAME_HASH: Pkt group name hash: 82FE070E6E9A37A543CEBED96DB0388F Peer group name hash: 3018E2A00F10176849AC824E0190AC86 Failed to validate endpoint. reason: Group name hash mismatch.

Journal de non-correspondance des adresses MAC :

2021/09/28 19:09:33.455 {mobilityd_R0-0}{1}: [errmsg] [27081]: (ERR): %MM_INFRA_LOG-3-MSG_PROC_FAILED_MAC_ADDR: Pkt MAC: 001e.e67e.75fa Peer MAC: 001e.e67e.75ff Failed to validate endpoint. reason: MAC address mismatch.

Problèmes de connexion DTLS

Ce type de problème est lié aux établissements de tunnel DTLS entre les WLC. Il peut s'agir du chemin de données UP, mais le chemin de contrôle reste DOWN.

L'activation des connexions permanentes et des captures de paquets intégrées fournit des informations supplémentaires pour le dépannage :

2021/09/28 19:30:23.534 {mobilityd_R0-0}{1}: [mm-msg] [27081]: (ERR): Peer IP: 172.16.51.88 Port: 16666 DTLS_MSG: DTLS message process failed. Error: Invalid argument
2021/09/28 19:30:23.534 {mobilityd_R0-0}{1}: [errmsg] [27081]: (warn): %MM_NODE_LOG-4-DTLS_HANDSHAKE_FAIL: Mobility DTLS Ctrl handshake failed for 172.16.51.88 HB is down, need to re-initiate DTLS handshake
2021/09/28 19:30:23.534 {mobilityd_R0-0}{1}: [ewlc-capwapmsg-sess] [27081]: (ERR): Source IP:172.16.51.88[16666], DTLS message process failed. length:52

Utilisez les commandes show wireless management trustpoint et show crypto pki trustpoints pour vérifier vos informations de certificat.

Informations connexes

• Configuration de la fonction de mobilité d'ancrage WLAN sur Catalyst 9800

• Support et documentation techniques - Cisco Systems