Configureer de 9800 draadloze LAN-controller mobiliteitstunnel met NAT

Bijgewerkt:16 februari 2024
Document-id:221707

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u 9800 draadloze LAN-controllers (WLC) kunt configureren met een mobiliteitstunnel via Network Address Translation (NAT).

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis van deze onderwerpen te hebben:

    • Statische NAT-configuratie en -concepten (Network Address Translation).
    • 9800 configuratie en concepten voor mobiele tunnels met draadloze LAN-controllers.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Catalyst 9800 draadloze controller Series (Catalyst 9800-L), Cisco IOS® XE Gibraltar 17.9.4
    • Geïntegreerde services routers (ISR), Cisco IOS® XE Gibraltar 17.6.5
    • Catalyst 3560 Series Switch, Cisco IOS® XE Gibraltar 15.2.4E10

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Mobiliteitstunnels worden gecreëerd tussen twee of meer draadloze LAN-controllers (WLC) met de bedoeling om informatie te delen tussen deze controllers, zoals access point informatie, draadloze client informatie, RRM informatie en meer.

    Het kan ook worden gebruikt als een configuratie gebaseerd op Anchor - Foreign designs. Dit document beschrijft hoe u een mobiliteitstunnel kunt configureren tussen draadloze LAN-controllers (WLC) en Network Address Control (NAT).

    De WLC-mobiliteitstunnel kan een van de volgende vier staten hebben:

    • Besturing en gegevenspad omlaag
    • Besturingspad omlaag (dit houdt in dat gegevenspad omhoog is)
    • Gegevenspad omlaag (dit impliceert dat Controle omhoog is)
    • Omhoog

    De laatste en juiste status voor een mobiliteitstunnel is: omhoog, elke andere staat vereist verder onderzoek. Mobiliteitstunnels werken via CAPWAP udp-poorten 16666 en 16667 van waaruit udp-poort 16666 is voor Control Path en 16667 voor Data Path, vanwege dit is het noodzakelijk om ervoor te zorgen dat deze poorten open zijn tussen de WLC's.

    note-icon

    Opmerking: voor de WLC-mobiliteitstunnelconfiguratie zonder NAT kunt u Mobiliteitstypen configureren op Catalyst 9800 draadloze LAN-controllers

    Beperkingen voor NAT-ondersteuning voor Mobiliteitsgroepen

    • Alleen statische NAT (1:1) kan worden geconfigureerd.
    • Meervoudige tunnelpeers met hetzelfde openbare IP-adres worden niet ondersteund.
    • Elk lid moet een uniek privaat IP-adres hebben.
    • De vertaling van het Adres van de poort (PAT) wordt niet ondersteund.
    • Inter-Release Controller Mobility (IRCM) voor draadloze clientprogramma's wordt niet ondersteund.
    • IPv6-adresomzetting wordt niet ondersteund.
    • Network Access Control (NAT) met Mobility Tunnel wordt ondersteund vanuit WLC-codeversie 17.7.1 en hoger.

    Netwerkdiagram

    NATTopolgy

    Configureren

    NAT op router configureren

    In deze configuratie worden routers gebruikt om NAT-mogelijkheden (Network Access Control) te bieden. Elk apparaat dat statische NAT kan uitvoeren, kan echter worden gebruikt. Statische NAT is de NAT-methode die wordt ondersteund voor WLC-mobiliteitstunnels. Dit is de configuratie die wordt gebruikt in het routerconfiguratievoorbeeld. Voor configuratiedoeleinden worden deze routers gebruikt: NAT-A en NAT-B. WLC1 ligt achter router NAT-A en WLC2 ligt achter router NAT-B.

    Router NAT-A configuratie:

    CLI:

    RouterNAT-A#config t
    RouterNAT-A(config)#interface GigabitEthernet0/1/0
    RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
    RouterNAT-A(config-if)#ip nat inside
    RouterNAT-A(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#interface GigabitEthernet0/1/1
    RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
    RouterNAT-A(config-if)#ip nat outside
    RouterNAT-A(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
    RouterNAT-A(config)#end
    RouterNAT-A#

    Router NAT-B configuratie:

    CLI:

    RouterNAT-B#config t
    RouterNAT-B(config)#interface GigabitEthernet0/1/2
    RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
    RouterNAT-B(config-if)#ip nat inside
    RouterNAT-B(config-if)#end
    RouterNAT-A#

    RouterNAT-B#config t
    RouterNAT-B(config)#interface GigabitEthernet0/1/3
    RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
    RouterNAT-B(config-if)#ip nat outside
    RouterNAT-B(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
    RouterNAT-A(config)#end
    RouterNAT-A#

    Mobility configureren met NAT op draadloze LAN-controller

    Dit is de configuratie om tussen WLCs te delen om de mobiliteitstunnel met NAT te creëren:

    • IP-adres voor privé-mobiliteit
    • IP-adres voor openbare mobiliteit
    • Mobiliteitsgroep Mac-adres
    • Naam van Mobiliteitsgroep

    De configuratie van WLC1 wordt toegevoegd aan WLC2 en vice versa, dit kan worden gedaan via CLI of GUI in de WLCs, aangezien de mobiliteitstunnel met NAT het definitieve doel van deze configuratie is het Openbare mobiliteit IP Adres van beide WLCs het NAT IP Adres dat in de statische NAT configuratie in elke router wordt gevormd is.

    WLC1-configuratie:

    GUI:

    SSWLC1-2

    CLI:

    WLC1#config t
    WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
    WLC1(config)#end
    WLC1#

    WLC2-configuratie:

    GUI:

    SSWLC2-2

    CLI:

    WLC2#config t
    WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
    WLC2(config)#end
    WLC2#

    Verifiëren

    Verificatie van routerconfiguratie

    Van de routerkant verifiëren deze opdrachten de NAT-configuratie. NAT-configuratie moet statisch zijn (zoals eerder in het document is vermeld), waardoor de binnen- en buitenconfiguratie voor NAT aanwezig zijn.

    router NAT-A

    RouterNAT-A#show run interface GigabitEthernet0/1/0
    interface GigabitEthernet0/1/0
    ip add 10.0.0.1 255.255.255.0
    ip nat inside
    !
    RouterNAT-A#show run interface GigabitEthernet0/1/1
    interface GigabitEthernet0/1/1
    ip add 20.0.0.1 255.255.255.0
    ip nat outside
    !
    RouterNAT-A#show run | in ip nat inside
    ip nat inside source static 10.0.0.2 20.0.0.2

    Router NAT-B

    RouterNAT-B#show run interface GigabitEthernet0/1/2
    interface GigabitEthernet0/1/2
    ip add 40.0.0.1 255.255.255.0
    ip nat inside
    !
    RouterNAT-B#show run interface GigabitEthernet0/1/3
    interface GigabitEthernet0/1/3
    ip add 30.0.0.1 255.255.255.0
    ip nat outside
    !
    RouterNAT-B#show run | in ip nat inside
    ip nat inside source static 40.0.0.2 30.0.0.2

    Configuratie-verificatie van draadloze LAN-controllers

    Controleer vanuit de WLC GUI en CLI de status van de mobiliteitstunnel, zoals eerder in dit document vermeld, de juiste status om een correcte communicatie tussen de WLC's over mobiliteitstunnel te bevestigen is: Omhoog, elke andere status moet worden onderzocht.

    WLC1

    GUI:

    SSWLC1

    CLI:

    WLC1#show wireless mobility summary
    Mobility Summary

    Wireless Management VLAN: 10
    Wireless Management IP Address: 10.0.0.2
    Wireless Management IPv6 Address:
    Mobility Control Message DSCP Value: 0
    Mobility High Cipher : False
    Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
    Mobility Keepalive Interval/Count: 10/3
    Mobility Group Name: default
    Mobility Multicast Ipv4 address: 0.0.0.0
    Mobility Multicast Ipv6 address: ::
    Mobility MAC Address: f4bd.9e57.d8cb
    Mobility Domain Identifier: 0x34ac

    Controllers configured in the Mobility Domain:

     IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
    --------------------------------------------------------------------------------------------------------------------
    10.0.0.2    N/A           f4bd.9e57.d8cb      default        0.0.0.0            ::                N/A        N/A
    40.0.0.2    30.0.0.2      f4bd.9e56.304b      default        0.0.0.0            ::                Up         1385

    WLC2

    GUI:

    SSWLC2

    CLI:

    WLC2#show wireless mobility summary
    Mobility Summary

    Wireless Management VLAN: 40
    Wireless Management IP Address: 40.0.0.2
    Wireless Management IPv6 Address:
    Mobility Control Message DSCP Value: 0
    Mobility High Cipher : False
    Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
    Mobility Keepalive Interval/Count: 10/3
    Mobility Group Name: default
    Mobility Multicast Ipv4 address: 0.0.0.0
    Mobility Multicast Ipv6 address: ::
    Mobility MAC Address: f4bd.9e56.304b
    Mobility Domain Identifier: 0x34ac

    Controllers configured in the Mobility Domain:

     IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
    --------------------------------------------------------------------------------------------------------------------
    40.0.0.2    N/A            f4bd.9e56.304b     default        0.0.0.0            ::                N/A        N/A
    10.0.0.2    20.0.0.2       f4bd.9e57.d8cb     default        0.0.0.0            ::                Up         1385

    Problemen oplossen

    Probleemoplossing voor routers

    Controleer aan de routerkant of de IP NAT-vertalingen correct worden uitgevoerd.

    IP NAT-vertalingen en statistieken

    Gebruik deze opdrachten om de binnen- en buitenvertalingen te bekijken die in de router worden uitgevoerd en om de NAT-statistieken te controleren. 

    #show ip nat translations
    #show ip nat statistics 

    IP NAT-debug

    Deze opdracht debuteert de NAT-vertaling vanuit het routerperspectief om te begrijpen hoe de NAT plaatsvindt of als er een probleem is terwijl de router de NAT-vertaling uitvoert.

    #debug ip nat 
    #show debug
    note-icon

    Opmerking: elke debug-opdracht op een router kan overbelasting veroorzaken waardoor de router inoperabel wordt. Debugs in routers moeten met extreme voorzichtigheid worden gebruikt, indien mogelijk geen debug op een kritieke productieroutertijdens productietijd uitvoeren, is een onderhoudsvenster gewenst.

    Probleemoplossing voor draadloze LAN-controllers

    De informatie hier kan worden verzameld uit de WLC voor het geval de mobiliteitstunnel een toestand laat zien die niet de juiste staat is die omhoog is.

    Logboeken van mobiliteitsprocessen

    Deze opdracht genereert mobiliteitslogboeken uit het verleden en het heden 

    #show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt

    De verzamelde informatie kan in de WLC zelf worden gelezen met de opdracht

    #more bootflash:mobilitytunnel.txt

    De verzamelde informatie kan ook uit WLC worden geëxporteerd om deze in een externe bron met de opdracht te lezen

    #copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt 

    Mobiliteitsdebugs en -traces

    Debugs en traces kunnen meer gedetailleerde informatie bieden als de logboeken van het mobiliteitsproces niet in staat zijn om informatie te genereren genoeg om het probleem te vinden.

    Wanneer debugs en traces worden verzameld voor mobiliteitstunnel met NAT is het belangrijk om deze informatie in te voeren in de sectie van het spoor om de informatie gelijktijdig te krijgen om het gedrag beter te begrijpen:

    • IP-adres voor openbare mobiliteit van peers
    • IP-adres voor privé-mobiliteit
    • Peer mobility Mac-adres

    In dit voorbeeld is het publieke en private IP-adres samen met het mobiele MAC-adres van WLC1 ingevoerd in WLC2, hetzelfde moet achterwaarts worden gedaan, waar we het private en publieke IP-adres invoeren samen met het mobiele Mac-adres van WLC2 in de RA Trace-sectie van WLC1.

    WLC GUI

    NATtshooting

    Debugs en Traces kunnen zoals getoond worden verzameld uit de GUI.

    GatherDebugsGUI

    WLC CLI

    debug platform condition feature wireless ip 10.0.0.2
    debug platform condition feature wireless ip 20.0.0.2
    debug platform condition feature wireless mac f4bd.9e57.d8cb

    Om de debugs te verzamelen kan deze opdracht worden gebruikt. Verander de tijd van de debugs collectie zoals nodig.

    #show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
    #show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
    #show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt

    Kopieert de bestanden naar een externe bron met een overdrachtprotocol.

    #copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
    #copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
    #copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt

    PacketCapture

    De 9800 WLC heeft de mogelijkheid om ingesloten pakketopnamen te nemen, gebruik deze functie om te controleren welke pakketten tussen WLC's worden uitgewisseld voor de mobiliteitstunnel met NAT.

    In dit voorbeeld wordt het privé IP-adres van WLC1 gebruikt in WLC2 om het pakketvastlegging in te stellen, hetzelfde moet achterwaarts worden gedaan, waar het moet worden gebruikt voor het privé IP-adres van WLC2 in WLC1 voor de pakketvastlegging.

    Om het pakket op te nemen, kan een ACL worden gemaakt om de pakketten te filteren en alleen de pakketten te tonen die we zoeken naar een mobiliteitstunnel met NAT, zodra de ACL is gemaakt, wordt deze als filter aan het pakket vastgemaakt. ACL kan met het mobiliteit privé IP Adres worden tot stand gebracht aangezien die degenen in de pakketheader zijn.

    #config t
    (config)#ip access-list extended Mobility
    (config-ext-nacl)#permit ip host 10.0.0.2 any
    (config-ext-nacl)#permit ip any host 10.0.0.2
    (config-ext-nacl)#end

    #monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both

    Alvorens de opname start, kan deze opdracht worden gebruikt om de configuratie van de monitoropname te controleren.

    #show monitor capture MobilityNAT

    Zodra de monitor klaar is en is gecontroleerd, kan deze worden gestart.

    #monitor capture MobilityNAT start

    Om het tegen te houden kan deze opdracht worden gebruikt.

    #monitor capture MobilityNAT stop

    Zodra de monitor ophoudt met opnemen, kan deze met een overdrachtprotocol naar een externe bron worden geëxporteerd.

    #monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap
    note-icon

    Opmerking: Mobiliteitstunnel met NAT is een functie die een tweerichtingsgesprek tussen WLC's vereist, vanwege de aard van de functie wordt het ten zeerste aanbevolen om de logbestanden, debugs en traces te verzamelen of pakketopnamen van beide WLC's tegelijkertijd om de mobiliteitstunnel met NAT pakketuitwisseling beter te begrijpen.

    debugs, traces en pakketopnamen wissen

    Zodra de benodigde informatie is genomen, kunnen de debugs, traces en ingesloten pakketopnameconfiguratie worden verwijderd uit de WLC zoals hier beschreven.

    Debugs en traces

    #clear platform condition all

    PacketCapture

    #config t
    (config)# no ip access-list extended Mobility
    (config)#end
    #no monitor capture MobilityNAT

    Het is sterk aanbevolen om de probleemoplossing configuratie die werd uitgevoerd in de WLC te wissen zodra de benodigde informatie was verzameld.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    16-Feb-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Tim Padilla
      Technisch adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten