Tunnels de construction de mobilité sur des contrôleurs sans-fil du Catalyst 9800

Introduction

Ce document explique comment construire un tunnel de mobilité avec les contrôleurs LAN Sans fil élastiques (9800 WLC).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Accès de l'interface de ligne de commande (CLI) ou de l'interface utilisateur graphique (GUI) aux contrôleurs sans-fil.

Composants utilisés

• Version 8.8 MR1 d'AireOS WLC
• 9800 WLC v16.10

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Tunnel de mobilité entre deux 9800 WLCs

Diagramme du réseau

Note: Au cas où, votre WLCs seraient dans les différents sous-réseaux, vous devez s'assurer que l'UDP 16666 et 16667 de port est ouvert entre eux.

Configurations

Si vos 9800 WLCs sont placés dans une paire ha il est obligatoire de configurer une adresse MAC de mobilité.

Le nom de groupe de mobilité par défaut est « par défaut » mais peut personnaliser à une valeur désirée. Souvenez-vous que vous devez configurer le même nom de groupe de mobilité sur 9800 WLCs où erre entre eux est prévu.

GUI :

Naviguez le toConfiguration > la radio > la mobilité > la configuration globale

CLI :

# config t
# wireless mobility mac-address  <AAAA.BBBB.CCCC>
# wireless mobility group name <mobility-group-name>

  

Étape 1. Collectez la configuration de mobilité des deux 9800 WLCs.

Pour les deux 9800 WLCs, naviguez le toConfiguration > la radio > la mobilité > Configurationand global notent l'adresse MAC de mobilité de Nameand de groupe d'itsMobility.

CLI :

#show wireless mobility summary

Mobility Summary

Wireless Management VLAN: 2601
Wireless Management IP Address: 172.16.0.21
Mobility Control Message DSCP Value: 48
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: mb-kcg
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: 001e.7a46.39ff

Étape 2. Ajoutez la configuration de homologue

Naviguez vers la configuration > la mobilité sans fil > la configuration de homologue et remplissez informations de contrôleur de pair. Faites la même chose pour les deux 9800 WLCs.

GUI :

CLI :

# config t
# wireless mobility group member mac-address <peer-mac-address> ip <peer-ip-address> group <group-name> [ data-link-encryption ]

Note: Sur option vous pouvez activer le cryptage de liaison de données.

Tunnel de mobilité entre AireOS WLC et 9800 WLC virtuels

Diagramme du réseau

Configuration d'AireOS WLC

Si vos 9800 WLCs sont placés dans une paire ha, il est obligatoire de configurer une adresse MAC de mobilité.

Le nom de groupe de mobilité par défaut est « par défaut » mais peut personnaliser à une valeur désirée. Souvenez-vous que vous devez configurer le même nom de groupe de mobilité sur 9800 WLCs où erre entre eux est prévu.

GUI :

Naviguez le toConfiguration > la radio > la mobilité > la configuration globale

CLI :

# config t
# wireless mobility mac-address  <AAAA.BBBB.CCCC>
# wireless mobility group name <mobility-group-name>

Étape 1. Collectez les informations de mobilité 9800 WLC.

GUI :

Naviguez vers la configuration > la radio > la mobilité > la configuration globale et notez le nom de groupe de mobilité et l'adresse MAC de mobilité.

CLI :

#show wireless mobility summary

Mobility Summary

Wireless Management VLAN: 2601
Wireless Management IP Address: 172.16.0.21
Mobility Control Message DSCP Value: 48
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: mb-kcg
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: 001e.7a46.39ff

Étape 2. Collectez la valeur de hachage des 9800 WLC

# show wireless management trustpoint

Trustpoint Name  : ewlc-tp1
Certificate Info : Available
Certificate Type : SSC
Certificate Hash : 99459418731eb69f234058da4ebb10fddc9f939c
Private key Info : Available
FIPS suitability : Not Applicable

Étape 3. Ajoutez les informations 9800 WLC dans l'AireOS WLC.

GUI :

Naviguez vers le CONTRÔLEUR > la gestion de la mobilité > les Groupes de mobilité > nouveau.

Écrivez les valeurs et cliquez sur Apply.

Note: les informations parasites sont seulement exigées au cas où les 9800 utiliserait un certificat auto-signé tel que le C9800-CL. Les appliances ont un certificat MIC et n'ont pas besoin des informations parasites.

CLI :

>config mobility group member add <9800 mac-address> <9800 WLC-IP> <group-name> encrypt enable
>config mobility group member hash <9800 WLC-IP> <9800 WLC-Hash>  
>config mobility group member data-dtls <9800 mac-address> disable

Configuration 9800 WLC

Étape 1. Collectez les informations de mobilité d'AireOS.

GUI :

Ouvrez une session au GUI d'AireOS et naviguez vers le CONTRÔLEUR > la gestion de la mobilité > les Groupes de mobilité et notez le nom d'adresse MAC, d'adresse IP et de groupe.

CLI :

>show mobility summary

Mobility Protocol Port........................... 16666
Default Mobility Domain.......................... TEST
Multicast Mode .................................. Disabled
Mobility Domain ID for 802.11r................... 0x6ef9
Mobility Keepalive Interval...................... 10
Mobility Keepalive Count......................... 3
Mobility Group Members Configured................ 2
Mobility Control Message DSCP Value.............. 48

Controllers configured in the Mobility Group

 MAC Address        IP Address         Group Name                 Multicast IP                                     Status
00:59:dc:c3:d0:00  172.16.0.5             TEST                      0.0.0.0                                          Up

Étape 2. Ajoutez les informations d'AireOS WLC dans les 9800 WLC

GUI :

Naviguez vers la configuration > la radio > la mobilité > la configuration de homologue > ajoutent

Écrivez les informations d'AireOS WLC.

Note: Sur les 9800 WLC, le cryptage plat de contrôle est toujours activé, ainsi il signifie que vous devez avoir la mobilité sécurisée activée du côté d'AireOS. Cependant, le cryptage de liaison de données est facultatif. Si vous l'activez du côté 9800, vous devrez l'activer sur AireOS avec les données-dtls de config mobility group member <mac-ajoutent l'enable Cat9800>.

CLI :

# config t
# wireless mobility group member mac-address <peer-mac-address> ip <ip-address> group <group-name> 

  

Vérifiez

Vérification d'AireOS WLC

>show mobility summary

Mobility Protocol Port........................... 16666
Default Mobility Domain.......................... TEST
Multicast Mode .................................. Disabled
Mobility Domain ID for 802.11r................... 0x6ef9
Mobility Keepalive Interval...................... 10
Mobility Keepalive Count......................... 3
Mobility Group Members Configured................ 2
Mobility Control Message DSCP Value.............. 48

Controllers configured in the Mobility Group
 MAC Address        IP Address                                       Group Name                        Multicast IP                                     Status
 00:1e:7a:46:39:ff  172.16.0.21                                      mb-kcg                            0.0.0.0                                          Up
 00:59:dc:c3:d0:00  172.16.0.5                                       TEST                              0.0.0.0                                          Up

Vérification 9800 WLC

#show wireless mobility summary
Mobility Summary

Wireless Management VLAN: 2601
Wireless Management IP Address: 172.16.0.21
Mobility Control Message DSCP Value: 48
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: mb-kcg
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: 001e.7a46.39ff

Controllers configured in the Mobility Domain:

 IP               Public Ip         Group Name                       Multicast IPv4    Multicast IPv6                                Status                       PMTU
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
172.16.0.21       N/A               mb-kcg                           0.0.0.0           ::                                            N/A                          N/A
172.16.0.5        172.16.0.5        TEST                             0.0.0.0           ::                                            Up                           1385

Dépanner

Afin de dépanner l'implémentation de tunnel de mobilité, vous pouvez utiliser ces commandes de mettre au point le processus :

AireOS WLC

Étape 1. Activez la mobilité met au point.

>debug mobility handoff enable
>debug mobility error enable
>debug mobility dtls error enable
>debug mobility dtls event enable
>debug mobility pmtu-discovery enable
>debug mobility config enable
>debug mobility directory enable

Étape 2. Reproduisez la configuration et vérifiez la sortie

Exemple d'une création réussie de tunnel de mobilité

*capwapPingSocketTask: Feb 07 09:53:38.507: Client initiating connection on 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.507: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.508: Received DTLS packet from mobility peer 172.16.0.21 bytes: 48
*capwapPingSocketTask: Feb 07 09:53:38.508: mm_dtls2_process_data_rcv_msg:1207 rcvBufLen 48 clr_pkt_len 2048 peer ac100015
*capwapPingSocketTask: Feb 07 09:53:38.508: Record    : type=22, epoch=0, seq=0
*capwapPingSocketTask: Feb 07 09:53:38.508:    Hndshk : type=3, len=23 seq=0, frag_off=0, frag_len=23
*capwapPingSocketTask: Feb 07 09:53:38.508: Handshake in progress for link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.508: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.508: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 48
!
!<--output-omited-->
!
*capwapPingSocketTask: Feb 07 09:53:38.511: dtls2_cert_verify_callback: Forcing Certificate validation as success
*capwapPingSocketTask: Feb 07 09:53:38.511: Peer certificate verified.
*capwapPingSocketTask: Feb 07 09:53:38.511: Handshake in progress for link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.511: Nothing to send on link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.511: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 503
*capwapPingSocketTask: Feb 07 09:53:38.511: Received DTLS packet from mobility peer 172.16.0.21 bytes: 56
*capwapPingSocketTask: Feb 07 09:53:38.511: mm_dtls2_process_data_rcv_msg:1207 rcvBufLen 56 clr_pkt_len 2048 peer ac100015
*capwapPingSocketTask: Feb 07 09:53:38.511: Record    : type=22, epoch=0, seq=6
*capwapPingSocketTask: Feb 07 09:53:38.511:    Hndshk : type=13, len=6 seq=3, frag_off=0, frag_len=6
*capwapPingSocketTask: Feb 07 09:53:38.523: Handshake in progress for link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.524: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.524: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.524: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 56
*capwapPingSocketTask: Feb 07 09:53:38.527: Received DTLS packet from mobility peer 172.16.0.21 bytes: 91
*capwapPingSocketTask: Feb 07 09:53:38.527: mm_dtls2_process_data_rcv_msg:1207 rcvBufLen 91 clr_pkt_len 2048 peer ac100015
*capwapPingSocketTask: Feb 07 09:53:38.527: Record    : type=20, epoch=0, seq=8
*capwapPingSocketTask: Feb 07 09:53:38.527: Connection established for link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.527: ciperspec 1
*capwapPingSocketTask: Feb 07 09:53:38.527: Nothing to send on link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.527: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 91
*mmMobility: Feb 07 09:53:38.527: DTLS Action Result message received
*mmMobility: Feb 07 09:53:38.527:  Key plumb succeeded
*mmMobility: Feb 07 09:53:38.527: mm_dtls2_callback: Connection established with 172.16.0.21:16667
*mmMobility: Feb 07 09:53:38.527: mm_dtls2_db_status_up:895 Connections status up for entry 172.16.0.21:16667
*mmMobility: Feb 07 09:53:38.527: mm_dtls2_callback: DTLS Connection established with 172.16.0.21:16667, Sending update msg to mobility HB

9800 WLC

Se connecte constamment l'activité des clients et des Points d'accès, ainsi si un problème qui se sont produits dans le passé (comme il y a peu d'heures ou peut-être de jours) est signalé, nous peut collecter toujours des informations de ce temps qui pourrait expliquer ce qui s'est produit.

Pour vous faire ainsi peut se connecter par SSH/Telnet aux 9800 WLC et suivre ces étapes (assurez que vous vous connectez la session à un fichier texte).

Étape 1. Le temps en cours ainsi vous du contrôleur de contrôle peut dépister les logins le temps de nouveau à quand la question s'est produite.

# show clock

Étape 2. Collectez les logs du contrôleur.

# show logging

Étape 3. Vérifiez s'il n'y avait pas des debugs condition déjà activés.

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop


IOSXE Packet Tracing Configs:




Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

si vous voyez n'importe quelle condition, désactivez-la.

# clear platform condition all

Étape 4. Collectez les suivis illimités de niveau d'avis pour une adresse spécifique.

# show logging profile wireless filter ip <a.b.c.d> to-file always-on-<FILENAME.txt> 

Vous pouvez ou afficher le contenu sur la session ou vous pouvez copier le fichier sur un serveur externe TFTP.

# more bootflash:always-on-<FILENAME.txt>

or

# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Suivi actif par radio 

Si les logs illimités ne te fournissent pas assez d'informations pour savoir ce qui a déclenché la question du tunnel, vous pouvez activer l'élimination des imperfections conditionnelle et capturer le suivi actif par radio (de RA), qui te donne une activité plus détaillée de client. Pour faire ainsi, suivez ces étapes.

Étape 1. Vérifiez là ne sont pas des debugs condition déjà activés.

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop


IOSXE Packet Tracing Configs:




Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

si vous voyez n'importe quelle condition qui n'est pas liée à l'adresse que vous voulez surveiller le débronchement il.

Pour retirer un client spécifique :

# no debug platform condition feature wireless { mac <aaaa.bbbb.cccc> | ip <a.b.c.d> }

Pour retirer toutes les conditions :

  

# clear platform condition all

Étape 2. Ajoutez le debug condition pour une adresse que vous voulez surveiller.

# debug platform condition feature wireless ip <a.b.c.d>

Note: Si vous voulez surveiller plus d'un client en même temps vous pouvez le faire. Utilisez le maccommand Sans fil de caractéristique d'état de plate-forme d'adebug par MAC address.

Étape 3. Ayez les 9800 WLC pour commencer le moniteur de l'activité d'adresse spécifiée.

# debug platform condition start

Note: Vous ne voyez pas la sortie de l'activité de client, car tout est mis en mémoire tampon intérieurement pour être collecté plus tard.

Étape 4. Reproduisez la question ou le comportement que vous voulez surveiller.

Étape 5. Arrêtez met au point.

# debug platform condition stop

Étape 6. Collectez la sortie de l'activité d'adresse

# show logging profile wireless filter ip <a.b.c.d> to-file ra-<FILENAME.txt>

Vous pouvez copier FILENAME.txt sur un serveur externe ou afficher la sortie directement sur l'écran.

Copiez le fichier sur un serveur externe :

# copy bootflash:FILENAME.txt tftp://a.b.c.d/ra-FILENAME.txt

Affichez le contenu :

# more bootflash:ra-FILENAME.txt

Étape 6. Si vous toujours non capable trouver la raison d'une panne, collectez le niveau interne des logs (vous n'avez pas besoin de mettre au point de nouveau le client, vous utilisez les logs qui étaient déjà internes enregistré mais collectez une plus grande plage de eux).

# show logging profile wireless internal filter  ip <a.b.c.d> to-file ra-internal-<FILENAME.txt>

Vous pouvez copier FILENAME.txt sur un serveur externe ou afficher la sortie directement sur l'écran.

Copiez le fichier sur un serveur externe :

# copy bootflash:FILENAME.txt tftp://a.b.c.d/ra-FILENAME.txt

Affichez le contenu :

# more bootflash:ra-FILENAME.txt

 Étape 7. Retirez les debugs condition.

# clear platform condition all

Note: Assurez que vous retirez toujours les debugs condition après une session de dépannage.