NATを使用した9800ワイヤレスLANコントローラモビリティトンネルの設定

はじめに

このドキュメントでは、ネットワークアドレス変換(NAT)を介したモビリティトンネルを使用して9800ワイヤレスLANコントローラ(WLC)を設定する方法について説明します。

前提条件

要件

次の項目に関する知識があることを推奨しています。

• スタティックネットワークアドレス変換(NAT)の設定と概念。
• 9800ワイヤレスLANコントローラ(WLC)モビリティトンネルの設定と概念

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Catalyst 9800ワイヤレスコントローラシリーズ(Catalyst 9800-L)、Cisco IOS® XE Gibraltar 17.9.4
• サービス統合型ルータ(ISR)、Cisco IOS® XE Gibraltar 17.6.5
• Catalyst 3560シリーズスイッチ、Cisco IOS® XE Gibraltar 15.2.4E10

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

モビリティトンネルは、アクセスポイント情報、ワイヤレスクライアント情報、RRM情報などの情報をコントローラ間で共有するために、2つ以上のワイヤレスLANコントローラ(WLC)間で作成されます。

また、アンカーと外部の設計に基づく設定としても使用できます。このドキュメントでは、ネットワークアドレス制御(NAT)を使用してワイヤレスLANコントローラ(WLC)間にモビリティトンネルを設定する方法について説明します。

WLCモビリティトンネルは、次の4つの状態のいずれかになります。

1. 制御およびデータパスダウン
2. Control Path Down（これはData path is upを意味します）
3. Data Path Down（これはControlがアップであることを意味します）
4. 2013 年以降

モビリティトンネルの最終的で正しい状態はUpです。その他の状態については、さらなる調査が必要です。モビリティトンネルはCAPWAP udpポート16666および16667を介して機能しますが、これらのポートからのudpポート16666はコントロールパス用で、16667はデータパス用です。このため、WLC間でこれらのポートが開いていることを確認する必要があります。

モビリティグループでのNATサポートに関する制限事項

• スタティックNAT(1:1)のみを設定できます。
• 同じパブリックIPアドレスを持つ複数のモビリティトンネルピアはサポートされません。
• 各メンバには一意のプライベートIPアドレスが必要です。
• ポートアドレス変換(PAT)はサポートされていません。
• ワイヤレスクライアントローミング用のInter-Release Controller Mobility(IRCM)はサポートされていません。
• IPv6アドレス変換はサポートされていません。
• モビリティトンネルを使用したネットワークアクセスコントロール(NAT)は、WLCコードバージョン17.7.1以降でサポートされています。

ネットワーク図

ネットワーク図

設定

ルータでのNATの設定

この設定では、ネットワークアクセスコントロール(NAT)機能を提供するためにルータが使用されますが、スタティックNATを実行できる任意のデバイスを使用できます。スタティックNATはWLCモビリティトンネルでサポートされるNAT方式で、これはルータの設定例で使用される設定です。設定の目的で、NAT-AおよびNAT-Bのルータが使用されます。WLC1はルータNAT-Aの背後にあり、WLC2はルータNAT-Bの背後にあります。

ルータNAT-Aの設定：

CLI：

RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/0
RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat inside
RouterNAT-A(config-if)#end
RouterNAT-A#

RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/1
RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat outside
RouterNAT-A(config-if)#end
RouterNAT-A#

RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#

ルータNAT-Bの設定：

CLI：

RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/2
RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat inside
RouterNAT-B(config-if)#end
RouterNAT-A#

RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/3
RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat outside
RouterNAT-B(config-if)#end
RouterNAT-A#

RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#

ワイヤレスLANコントローラでのNATによるモビリティの設定

これは、NATを使用してモビリティトンネルを作成するためにWLC間で共有する設定です。

• プライベートモビリティIPアドレス
• パブリックモビリティIPアドレス
• モビリティグループのMACアドレス
• モビリティ グループの名前

WLC1の設定をWLC2に追加します。その逆も同様です。NATを使用したモビリティトンネルはこの設定の最終目標であるため、これはWLCでCLIまたはGUIを使用して実行できます。両方のWLCのパブリックモビリティIPアドレスは、各ルータのスタティックNAT設定で設定されたNAT IPアドレスです。

WLC1の設定

GUI：

モビリティNAT設定WLC1

CLI：

WLC1#config t
WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
WLC1(config)#end
WLC1#

WLC2設定：

GUI：

モビリティNAT設定WLC2

CLI：

WLC2#config t
WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
WLC2(config)#end
WLC2#

確認

ルータ設定の確認

ルータ側から、次のコマンドを使用してNAT設定を確認します。NATの内部と外部の設定が存在するため、NAT設定は（ドキュメントで前述したように）スタティックである必要があります。

ルータNAT-A

RouterNAT-A#show run interface GigabitEthernet0/1/0
interface GigabitEthernet0/1/0
ip add 10.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-A#show run interface GigabitEthernet0/1/1
interface GigabitEthernet0/1/1
ip add 20.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-A#show run | in ip nat inside
ip nat inside source static 10.0.0.2 20.0.0.2

ルータNAT-B

RouterNAT-B#show run interface GigabitEthernet0/1/2
interface GigabitEthernet0/1/2
ip add 40.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-B#show run interface GigabitEthernet0/1/3
interface GigabitEthernet0/1/3
ip add 30.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-B#show run | in ip nat inside
ip nat inside source static 40.0.0.2 30.0.0.2

ワイヤレスLANコントローラ(WLC)の設定の確認

WLC GUIおよびCLIでモビリティトンネルのステータスを確認します。このドキュメントで前述したように、モビリティトンネルを介したWLC間の正しい通信を確認するための正しいステータスはUpです。その他のステータスについては、調査が必要です。

WLC1

GUI：

モビリティNAT検証WLC1

CLI：

WLC1#show wireless mobility summary
Mobility Summary

Wireless Management VLAN: 10
Wireless Management IP Address: 10.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e57.d8cb
Mobility Domain Identifier: 0x34ac

Controllers configured in the Mobility Domain:

 IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
--------------------------------------------------------------------------------------------------------------------
10.0.0.2    N/A           f4bd.9e57.d8cb      default        0.0.0.0            ::                N/A        N/A
40.0.0.2    30.0.0.2      f4bd.9e56.304b      default        0.0.0.0            ::                Up         1385

WLC2

GUI：

モビリティNAT検証WLC2

CLI：

WLC2#show wireless mobility summary
Mobility Summary

Wireless Management VLAN: 40
Wireless Management IP Address: 40.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e56.304b
Mobility Domain Identifier: 0x34ac

Controllers configured in the Mobility Domain:

 IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
--------------------------------------------------------------------------------------------------------------------
40.0.0.2    N/A            f4bd.9e56.304b     default        0.0.0.0            ::                N/A        N/A
10.0.0.2    20.0.0.2       f4bd.9e57.d8cb     default        0.0.0.0            ::                Up         1385

トラブルシュート

ルータのトラブルシューティング

ルータ側から、IP NAT変換が正しく行われていることを確認します。

IP NAT変換と統計情報

次のコマンドを使用して、InsideとOutsideの変換がルータで実行されていることを確認し、NAT統計情報をチェックします。 

#show ip nat translations
#show ip nat statistics 

IP NATのデバッグ

このコマンドは、ルータの観点からNAT変換をデバッグし、NATがどのように行われているか、またはルータによるNAT変換の実行中に問題が発生したかどうかを把握します。

#debug ip nat 
#show debug

ワイヤレスLanコントローラ(Wlc)のトラブルシューティング

ここに示す情報は、正しい状態ではないアップ状態がモビリティトンネルで表示される場合に、WLCから収集できます。

モビリティプロセスログ

このコマンドは、過去と現在の時刻からモビリティログを生成します。

#show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt

収集した情報は、コマンドを使用してWLC自体で読み取ることができます。

#more bootflash:mobilitytunnel.txt

収集した情報は、WLCからエクスポートして、コマンドを使用して外部ソースで読み取ることもできます。

#copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt 

モビリティのデバッグとトレース

デバッグとトレースは、モビリティプロセスログが問題を見つけるのに十分な情報を生成できない場合に、より詳細な情報を提供できます。

NATを使用したモビリティトンネルに関するデバッグおよびトレースを収集する際には、動作についてより深く理解するために、トレースセクションに次の情報を入力し、情報を同時に取得することが重要です。

• ピアパブリックモビリティIPアドレス
• ピアプライベートモビリティIPアドレス
• ピアモビリティMacアドレス

この例では、パブリックIPアドレスとプライベートIPアドレス、およびWLC1のモビリティMACアドレスをWLC2に入力します。逆に同じことを逆に行う必要があります。ここでは、WLC2のプライベートIPアドレスとパブリックIPアドレスを、WLC1のRAトレースセクションに入力します。

WLC GUI

WLCのデバッグ

デバッグとトレースは、次に示すようにGUIから収集できます。

WLCデバッグ収集

WLCのCLI

debug platform condition feature wireless ip 10.0.0.2
debug platform condition feature wireless ip 20.0.0.2
debug platform condition feature wireless mac f4bd.9e57.d8cb

デバッグを収集するには、次のコマンドを使用できます。必要に応じて、デバッグコレクションの時刻を変更します。

#show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
#show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
#show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt

転送プロトコルを使用してファイルを外部ソースにコピーします。

#copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
#copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
#copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt

パケット キャプチャ

9800 WLCには、組み込みパケットキャプチャを取得する機能があります。この機能を使用して、NATを使用したモビリティトンネル用にWLC間で交換されるパケットを確認します。

この例では、WLC2でWLC1のプライベートIPアドレスを使用して、パケットキャプチャを設定します。これと同じことを逆に行う必要があります。ここでは、パケットキャプチャのセットアップのために、WLC1のWLC2のプライベートIPアドレスを使用する必要があります。

パケットキャプチャを取得するには、パケットをフィルタリングし、NATを使用したモビリティトンネルに必要なパケットだけを表示するACLを作成できます。ACLが作成されると、フィルタとしてパケットキャプチャに添付されます。モビリティプライベートIPアドレスはパケットヘッダー内のアドレスであるため、ACLを作成する際にこれらのアドレスを使用できます。

#config t
(config)#ip access-list extended Mobility
(config-ext-nacl)#permit ip host 10.0.0.2 any
(config-ext-nacl)#permit ip any host 10.0.0.2
(config-ext-nacl)#end

#monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both

このコマンドは、モニタキャプチャ設定の確認に使用できます。

#show monitor capture MobilityNAT

モニタキャプチャの準備が整い、チェックが終わったら、開始できます。

#monitor capture MobilityNAT start

これを停止するには、次のコマンドを使用できます。

#monitor capture MobilityNAT stop

モニタキャプチャが停止したら、転送プロトコルを使用して外部ソースにエクスポートできます。

#monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap

デバッグ、トレース、パケットキャプチャのクリア

必要な情報を取得したら、次に説明するように、デバッグ、トレース、および組み込みパケットキャプチャ(EPC)設定をWLCから削除できます。

デバッグとトレース

#clear platform condition all

パケット キャプチャ

#config t
(config)# no ip access-list extended Mobility
(config)#end
#no monitor capture MobilityNAT

必要な情報が収集されたら、WLCで実行されたトラブルシューティング設定をクリアすることを強く推奨します。