NATを使用した9800ワイヤレスLANコントローラモビリティトンネルの設定
はじめに
このドキュメントでは、ネットワークアドレス変換(NAT)を介したモビリティトンネルで9800ワイヤレスLANコントローラ(WLC)を設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることを推奨しています。
- スタティックネットワークアドレス変換(NAT)の設定と概念。
- 9800ワイヤレスLANコントローラ(WLC)モビリティトンネルの設定と概念
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Catalyst 9800ワイヤレスコントローラシリーズ(Catalyst 9800-L)、Cisco IOS® XE Gibraltar 17.9.4
- サービス統合型ルータ(ISR)、Cisco IOS® XE Gibraltar 17.6.5
- Catalyst 3560シリーズスイッチ、Cisco IOS® XE Gibraltar 15.2.4E10
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
モビリティトンネルは、アクセスポイント情報、ワイヤレスクライアント情報、RRM情報などの情報をコントローラ間で共有するために、2つ以上のワイヤレスLANコントローラ(WLC)間で作成されます。
また、アンカーと外部の設計に基づく設定としても使用できます。このドキュメントでは、ネットワークアドレス制御(NAT)を使用してワイヤレスLANコントローラ(WLC)間にモビリティトンネルを設定する方法について説明します。
WLCモビリティトンネルは、次の4つの状態のいずれかになります。
- 制御およびデータパスダウン
- 制御パスのダウン(これはデータパスがアップしていることを意味します)
- Data Path Down(これは制御がアップしていることを意味します)
- 2013 年以降
モビリティトンネルの最終的で正しい状態は、アップ状態です。その他の状態ではさらに調査が必要です。モビリティトンネルは、CAPWAP UDPポート16666および16667を介して機能します。このUDPポート16666はコントロールパス用で、16667はデータパス用です。このため、これらのポートがWLC間で開いていることを確認する必要があります。
注:NATを使用しないWLCモビリティトンネル設定については、『Catalyst 9800ワイヤレスLANコントローラでのモビリティトポロジの設定』を参照してください。
モビリティグループでのNATサポートに関する制限事項
- スタティックNAT(1:1)のみを設定できます。
- 同じパブリックIPアドレスを持つ複数のモビリティトンネルピアはサポートされません。
- 各メンバーには一意のプライベートIPアドレスが必要です。
- ポートアドレス変換(PAT)はサポートされていません。
- ワイヤレスクライアントローミング用のInter-Release Controller Mobility(IRCM)はサポートされていません。
- IPv6アドレス変換はサポートされていません。
- モビリティトンネルを使用したネットワークアクセスコントロール(NAT)は、WLCコードバージョン17.7.1以降でサポートされています。
ネットワーク図
設定
ルータでのNATの設定
この設定では、ルータを使用してネットワークアクセスコントロール(NAT)機能を提供しますが、スタティックNATを実行できる任意のデバイスを使用できます。スタティックNATはWLCモビリティトンネルでサポートされるNAT方式で、これはルータの設定例で使用される設定です。設定目的で、NAT-AおよびNAT-Bのルータが使用されます。WLC1はルータNAT-Aの背後にあり、WLC2はルータNAT-Bの背後にあります。
ルータNAT-Aの設定:
CLI:
RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/0
RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat inside
RouterNAT-A(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/1
RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat outside
RouterNAT-A(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#
ルータのNAT-B設定:
CLI:
RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/2
RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat inside
RouterNAT-B(config-if)#end
RouterNAT-A#
RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/3
RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat outside
RouterNAT-B(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#
ワイヤレスLANコントローラでのNATによるモビリティの設定
NATを使用してモビリティトンネルを作成するためにWLC間で共有する設定を次に示します。
- プライベートモビリティIPアドレス
- パブリックモビリティIPアドレス
- モビリティグループのMACアドレス
- モビリティ グループの名前
WLC1の設定をWLC2に追加する方法と、WLC2の設定をWLCでCLIまたはGUIを使用して追加する方法があります。これは、NATを使用したモビリティトンネルがこの設定の最終目標であり、両方のWLCのパブリックモビリティIPアドレスは、各ルータのスタティックNAT設定で設定されたNAT IPアドレスであるためです。
WLC1の設定:
GUI:
CLI:
WLC1#config t
WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
WLC1(config)#end
WLC1#
WLC2の設定:
GUI:
CLI:
WLC2#config t
WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
WLC2(config)#end
WLC2#
確認
ルータ設定の確認
ルータ側からこれらのコマンドを使用してNAT設定を確認します。NATの内部と外部の設定が存在するため、NAT設定は(ドキュメントで前述したように)スタティックである必要があります。
ルータNAT-A
RouterNAT-A#show run interface GigabitEthernet0/1/0
interface GigabitEthernet0/1/0
ip add 10.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-A#show run interface GigabitEthernet0/1/1
interface GigabitEthernet0/1/1
ip add 20.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-A#show run | in ip nat inside
ip nat inside source static 10.0.0.2 20.0.0.2
ルータNAT-B
RouterNAT-B#show run interface GigabitEthernet0/1/2
interface GigabitEthernet0/1/2
ip add 40.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-B#show run interface GigabitEthernet0/1/3
interface GigabitEthernet0/1/3
ip add 30.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-B#show run | in ip nat inside
ip nat inside source static 40.0.0.2 30.0.0.2
ワイヤレスLANコントローラの設定の確認
WLCのGUIとCLIでモビリティトンネルのステータスを確認します。前述のとおり、モビリティトンネルを介したWLC間の正しい通信を確認するための正しいステータスは「Up, other status needs investigation」です。
WLC1
GUI:
CLI:
WLC1#show wireless mobility summary
Mobility Summary
Wireless Management VLAN: 10
Wireless Management IP Address: 10.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e57.d8cb
Mobility Domain Identifier: 0x34ac
Controllers configured in the Mobility Domain:
IP Public Ip MAC Address Group Name Multicast IPv4 Multicast IPv6 Status PMTU
--------------------------------------------------------------------------------------------------------------------
10.0.0.2 N/A f4bd.9e57.d8cb default 0.0.0.0 :: N/A N/A
40.0.0.2 30.0.0.2 f4bd.9e56.304b default 0.0.0.0 :: Up 1385
WLC2
GUI:
CLI:
WLC2#show wireless mobility summary
Mobility Summary
Wireless Management VLAN: 40
Wireless Management IP Address: 40.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e56.304b
Mobility Domain Identifier: 0x34ac
Controllers configured in the Mobility Domain:
IP Public Ip MAC Address Group Name Multicast IPv4 Multicast IPv6 Status PMTU
--------------------------------------------------------------------------------------------------------------------
40.0.0.2 N/A f4bd.9e56.304b default 0.0.0.0 :: N/A N/A
10.0.0.2 20.0.0.2 f4bd.9e57.d8cb default 0.0.0.0 :: Up 1385
トラブルシュート
ルータのトラブルシューティング
ルータ側から、IP NAT変換が正しく行われていることを確認します。
IP NAT変換および統計情報
次のコマンドを使用して、ルータで実行されている内部および外部変換を確認し、NAT統計情報をチェックします。
#show ip nat translations
#show ip nat statistics
IP NATのデバッグ
このコマンドは、ルータの観点からNAT変換をデバッグして、NATの仕組みを理解したり、ルータがNAT変換を行う間に問題が発生したかどうかを理解したりします。
#debug ip nat
#show debug
注:ルータでdebugコマンドを実行すると過負荷が発生し、ルータが動作不能になる可能性があります。ルータのデバッグは細心の注意を払って使用する必要があります。可能であれば、実稼働時に重要な実稼働ルータでデバッグを実行しないでください。メンテナンスウィンドウが必要です。
ワイヤレスLanコントローラのトラブルシューティング
ここに示す情報は、モビリティトンネルで正しい状態ではない状態(アップ状態)が示された場合に、WLCから収集できます。
モビリティプロセスログ
このコマンドは、過去と現在の時刻からモビリティログを生成します
#show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt
収集された情報は、コマンドを使用してWLC自体で読み取ることができます
#more bootflash:mobilitytunnel.txt
収集した情報は、WLCからエクスポートして、コマンドで外部ソースに読み込むこともできます
#copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt
モビリティのデバッグとトレース
デバッグとトレースは、モビリティプロセスのログが問題を見つけるのに十分な情報を生成できない場合に、より詳細な情報を提供できます。
NATを使用したモビリティトンネル用にデバッグとトレースを収集する場合は、トレースのセクションに次の情報を入力して情報を同時に取得し、動作についての理解を深めることが重要です。
- ピアパブリックモビリティIPアドレス
- ピアプライベートモビリティIPアドレス
- ピアモビリティMACアドレス
この例では、パブリックおよびプライベートIPアドレスとWLC1のモビリティMACアドレスをWLC2に入力します。同じことを逆に行う必要があります。ここでは、WLC1のRAトレースセクションで、プライベートおよびパブリックIPアドレスとWLC2のモビリティMACアドレスを入力します。
WLC GUI
デバッグとトレースは、次に示すようにGUIから収集できます。
WLCのCLI
debug platform condition feature wireless ip 10.0.0.2
debug platform condition feature wireless ip 20.0.0.2
debug platform condition feature wireless mac f4bd.9e57.d8cb
デバッグを収集するには、このコマンドを使用できます。必要に応じて、デバッグコレクションの時刻を変更します。
#show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
#show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
#show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt
転送プロトコルを使用してファイルを外部ソースにコピーします。
#copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
#copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
#copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt
パケット キャプチャ
9800 WLCには、組み込みパケットキャプチャを取得する機能があります。この機能を使用して、NATを使用したモビリティトンネルのためにWLC間で交換されるパケットを確認します。
この例では、WLC1のプライベートIPアドレスをWLC2で使用してパケットキャプチャをセットアップします。同じことを逆に行い、WLC1のWLC2のプライベートIPアドレスを使用してパケットキャプチャをセットアップする必要があります。
パケットキャプチャを取得するために、ACLを作成してパケットをフィルタリングし、NATを使用してモビリティトンネルを検索するパケットだけを表示できます。ACLが作成されると、フィルタとしてパケットキャプチャに添付されます。モビリティプライベートIPアドレスはパケットヘッダー内のアドレスであるため、ACLを作成できます。
#config t
(config)#ip access-list extended Mobility
(config-ext-nacl)#permit ip host 10.0.0.2 any
(config-ext-nacl)#permit ip any host 10.0.0.2
(config-ext-nacl)#end
#monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both
キャプチャを開始する前に、このコマンドを使用してモニタのキャプチャ設定を確認できます。
#show monitor capture MobilityNAT
モニタキャプチャの準備が整い、チェックが完了したら、キャプチャを開始できます。
#monitor capture MobilityNAT start
これを停止するには、このコマンドを使用できます。
#monitor capture MobilityNAT stop
モニタキャプチャが停止すると、転送プロトコルを使用して外部ソースにエクスポートできます。
#monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap
注:NATを使用したモビリティトンネルは、WLC間で双方向の通信を必要とする機能です。この機能の性質上、両方のWLCからログ、デバッグ、トレース、またはパケットキャプチャを同時に収集して、NATパケット交換を使用したモビリティトンネルの理解を深めることを強くお勧めします。
デバッグ、トレース、およびパケットキャプチャのクリア
必要な情報を取得したら、デバッグ、トレース、および組み込みパケットキャプチャ設定をWLCから削除できます(次を参照)。
デバッグとトレース
#clear platform condition all
パケット キャプチャ
#config t
(config)# no ip access-list extended Mobility
(config)#end
#no monitor capture MobilityNAT
必要な情報を収集したら、WLCで実行されたトラブルシューティング設定をクリアすることを強く推奨します。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
16-Feb-2024 |
初版 |
フィードバック