Túneis de construção da mobilidade em controladores wireless do catalizador 9800

Introdução

Este documento explica como construir um túnel da mobilidade com os controladores elásticos do Wireless LAN (9800 WLC).

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Acesso do comando line interface(cli) ou da interface gráfica de usuário (GUI) aos controladores wireless.

Componentes Utilizados

• Versão 8.8 MR1 de AireOS WLC
• 9800 WLC v16.10

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Túnel da mobilidade entre dois 9800 WLC

Diagrama de Rede

Nota: Caso que, seus WLC estão em sub-redes diferentes, você precisa de certificar-se de que a porta UDP 16666 e 16667 está aberta entre elas.

Configurações

Se seus 9800 WLC são ajustados em um par HA é imperativo configurar um MAC address da mobilidade.

O nome do grupo da mobilidade do padrão é “padrão” mas pode personalizar a um valor desejado. Recorde que você deve configurar o mesmo nome do grupo da mobilidade em 9800 WLC onde vagueia entre eles é esperado.

GUI:

Navegue o toConfiguration > o Sem fio > a mobilidade > a configuração global

CLI:

# config t
# wireless mobility mac-address  <AAAA.BBBB.CCCC>
# wireless mobility group name <mobility-group-name>

  

Etapa 1. Recolha a configuração da mobilidade de ambos os 9800 WLC.

Para ambos os 9800 WLC, navegue o toConfiguration > o Sem fio > a mobilidade > Configurationand global tomam a nota do MAC address da mobilidade de Nameand do grupo do itsMobility.

CLI:

#show wireless mobility summary

Mobility Summary

Wireless Management VLAN: 2601
Wireless Management IP Address: 172.16.0.21
Mobility Control Message DSCP Value: 48
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: mb-kcg
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: 001e.7a46.39ff

Etapa 2. Adicionar a configuração de peer

Navegue à configuração > mobilidade wireless > configuração de peer e encha a informação do controlador do par. Faça o mesmos para ambos os 9800 WLC.

GUI:

CLI:

# config t
# wireless mobility group member mac-address <peer-mac-address> ip <peer-ip-address> group <group-name> [ data-link-encryption ]

Nota: Opcionalmente você pode permitir a criptografia do link de dados.

Túnel da mobilidade entre AireOS WLC e 9800 virtuais WLC

Diagrama de Rede

Configuração de AireOS WLC

Se seus 9800 WLC são ajustados em um par HA, é imperativo configurar um MAC address da mobilidade.

O nome do grupo da mobilidade do padrão é “padrão” mas pode personalizar a um valor desejado. Recorde que você deve configurar o mesmo nome do grupo da mobilidade em 9800 WLC onde vagueia entre eles é esperado.

GUI:

Navegue o toConfiguration > o Sem fio > a mobilidade > a configuração global

CLI:

# config t
# wireless mobility mac-address  <AAAA.BBBB.CCCC>
# wireless mobility group name <mobility-group-name>

Etapa 1. Recolha a informação da mobilidade de 9800 WLC.

GUI:

Navegue à configuração > ao Sem fio > à mobilidade > à configuração global e tome a nota do MAC address do nome do grupo da mobilidade e da mobilidade.

CLI:

#show wireless mobility summary

Mobility Summary

Wireless Management VLAN: 2601
Wireless Management IP Address: 172.16.0.21
Mobility Control Message DSCP Value: 48
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: mb-kcg
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: 001e.7a46.39ff

Etapa 2. Recolha o valor de hash dos 9800 WLC

# show wireless management trustpoint

Trustpoint Name  : ewlc-tp1
Certificate Info : Available
Certificate Type : SSC
Certificate Hash : 99459418731eb69f234058da4ebb10fddc9f939c
Private key Info : Available
FIPS suitability : Not Applicable

Etapa 3. Adicionar a informação de 9800 WLC no AireOS WLC.

GUI:

Navegue ao CONTROLADOR > ao Gerenciamento > aos Grupos de mobilidade de mobilidade > novo.

Incorpore os valores e o clique aplica-se.

Nota: a mistura é exigida somente caso que os 9800 usam um certificado auto-assinado tal como o C9800-CL. Os dispositivos têm um certificado MIC e não precisam uma mistura.

CLI:

>config mobility group member add <9800 mac-address> <9800 WLC-IP> <group-name> encrypt enable
>config mobility group member hash <9800 WLC-IP> <9800 WLC-Hash>  
>config mobility group member data-dtls <9800 mac-address> disable

Configuração de 9800 WLC

Etapa 1. Recolha a informação da mobilidade de AireOS.

GUI:

Entre a AireOS GUI e navegue ao CONTROLADOR > ao Gerenciamento > aos Grupos de mobilidade de mobilidade e tome a nota do MAC address, do endereço IP de Um ou Mais Servidores Cisco ICM NT e do nome do grupo.

CLI:

>show mobility summary

Mobility Protocol Port........................... 16666
Default Mobility Domain.......................... TEST
Multicast Mode .................................. Disabled
Mobility Domain ID for 802.11r................... 0x6ef9
Mobility Keepalive Interval...................... 10
Mobility Keepalive Count......................... 3
Mobility Group Members Configured................ 2
Mobility Control Message DSCP Value.............. 48

Controllers configured in the Mobility Group

 MAC Address        IP Address         Group Name                 Multicast IP                                     Status
00:59:dc:c3:d0:00  172.16.0.5             TEST                      0.0.0.0                                          Up

Etapa 2. Adicionar a informação de AireOS WLC nos 9800 WLC

GUI:

Navegue ao > Add da configuração > do Sem fio > da mobilidade > da configuração de peer

Incorpore a informação de AireOS WLC.

Nota: Nos 9800 WLC, a criptografia plana do controle é permitida sempre, assim que significa que você precisa de ter a mobilidade segura permitida no lado de AireOS. Contudo, a criptografia do link de dados é opcional. Se você a permite no lado 9800, você precisará de permiti-lo em AireOS com o membro de grupo de mobilidade DATA-DTL da configuração <mac-adiciona Cat9800> permite.

CLI:

# config t
# wireless mobility group member mac-address <peer-mac-address> ip <ip-address> group <group-name> 

  

Verificar

Verificação de AireOS WLC

>show mobility summary

Mobility Protocol Port........................... 16666
Default Mobility Domain.......................... TEST
Multicast Mode .................................. Disabled
Mobility Domain ID for 802.11r................... 0x6ef9
Mobility Keepalive Interval...................... 10
Mobility Keepalive Count......................... 3
Mobility Group Members Configured................ 2
Mobility Control Message DSCP Value.............. 48

Controllers configured in the Mobility Group
 MAC Address        IP Address                                       Group Name                        Multicast IP                                     Status
 00:1e:7a:46:39:ff  172.16.0.21                                      mb-kcg                            0.0.0.0                                          Up
 00:59:dc:c3:d0:00  172.16.0.5                                       TEST                              0.0.0.0                                          Up

Verificação de 9800 WLC

#show wireless mobility summary
Mobility Summary

Wireless Management VLAN: 2601
Wireless Management IP Address: 172.16.0.21
Mobility Control Message DSCP Value: 48
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: mb-kcg
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: 001e.7a46.39ff

Controllers configured in the Mobility Domain:

 IP               Public Ip         Group Name                       Multicast IPv4    Multicast IPv6                                Status                       PMTU
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
172.16.0.21       N/A               mb-kcg                           0.0.0.0           ::                                            N/A                          N/A
172.16.0.5        172.16.0.5        TEST                             0.0.0.0           ::                                            Up                           1385

Troubleshooting

A fim pesquisar defeitos a aplicação do túnel da mobilidade, você pode usar estes comandos debugar o processo:

AireOS WLC

Etapa 1. Permita a mobilidade debuga.

>debug mobility handoff enable
>debug mobility error enable
>debug mobility dtls error enable
>debug mobility dtls event enable
>debug mobility pmtu-discovery enable
>debug mobility config enable
>debug mobility directory enable

Etapa 2. Reproduza a configuração e verifique a saída

Exemplo de uma criação de túnel bem sucedida da mobilidade

*capwapPingSocketTask: Feb 07 09:53:38.507: Client initiating connection on 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.507: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.508: Received DTLS packet from mobility peer 172.16.0.21 bytes: 48
*capwapPingSocketTask: Feb 07 09:53:38.508: mm_dtls2_process_data_rcv_msg:1207 rcvBufLen 48 clr_pkt_len 2048 peer ac100015
*capwapPingSocketTask: Feb 07 09:53:38.508: Record    : type=22, epoch=0, seq=0
*capwapPingSocketTask: Feb 07 09:53:38.508:    Hndshk : type=3, len=23 seq=0, frag_off=0, frag_len=23
*capwapPingSocketTask: Feb 07 09:53:38.508: Handshake in progress for link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.508: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.508: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 48
!
!<--output-omited-->
!
*capwapPingSocketTask: Feb 07 09:53:38.511: dtls2_cert_verify_callback: Forcing Certificate validation as success
*capwapPingSocketTask: Feb 07 09:53:38.511: Peer certificate verified.
*capwapPingSocketTask: Feb 07 09:53:38.511: Handshake in progress for link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.511: Nothing to send on link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.511: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 503
*capwapPingSocketTask: Feb 07 09:53:38.511: Received DTLS packet from mobility peer 172.16.0.21 bytes: 56
*capwapPingSocketTask: Feb 07 09:53:38.511: mm_dtls2_process_data_rcv_msg:1207 rcvBufLen 56 clr_pkt_len 2048 peer ac100015
*capwapPingSocketTask: Feb 07 09:53:38.511: Record    : type=22, epoch=0, seq=6
*capwapPingSocketTask: Feb 07 09:53:38.511:    Hndshk : type=13, len=6 seq=3, frag_off=0, frag_len=6
*capwapPingSocketTask: Feb 07 09:53:38.523: Handshake in progress for link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.524: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.524: Sending packet to 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.524: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 56
*capwapPingSocketTask: Feb 07 09:53:38.527: Received DTLS packet from mobility peer 172.16.0.21 bytes: 91
*capwapPingSocketTask: Feb 07 09:53:38.527: mm_dtls2_process_data_rcv_msg:1207 rcvBufLen 91 clr_pkt_len 2048 peer ac100015
*capwapPingSocketTask: Feb 07 09:53:38.527: Record    : type=20, epoch=0, seq=8
*capwapPingSocketTask: Feb 07 09:53:38.527: Connection established for link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.527: ciperspec 1
*capwapPingSocketTask: Feb 07 09:53:38.527: Nothing to send on link 172.16.0.5:16667 <-> 172.16.0.21:16667
*capwapPingSocketTask: Feb 07 09:53:38.527: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 91
*mmMobility: Feb 07 09:53:38.527: DTLS Action Result message received
*mmMobility: Feb 07 09:53:38.527:  Key plumb succeeded
*mmMobility: Feb 07 09:53:38.527: mm_dtls2_callback: Connection established with 172.16.0.21:16667
*mmMobility: Feb 07 09:53:38.527: mm_dtls2_db_status_up:895 Connections status up for entry 172.16.0.21:16667
*mmMobility: Feb 07 09:53:38.527: mm_dtls2_callback: DTLS Connection established with 172.16.0.21:16667, Sending update msg to mobility HB

9800 WLC

Registra constantemente a atividade dos clientes e dos Access point, assim se um problema que ocorreram no passado (como poucos horas ou talvez dias há) é relatado, nós pode ainda recolher a informação desse tempo que poderia explicar o que aconteceu.

Para fazê-lo assim pode conectar por SSH/Telnet aos 9800 WLC e seguir estas etapas (se assegure de que você esteja registrando a sessão a um arquivo de texto).

Etapa1. As horas atual assim que você do controlador da verificação podem seguir entram o tempo de volta a quando a edição aconteceu.

# show clock

Etapa 2. Recolha os logs do controlador.

# show logging

Etapa 3. Verifique se não havia debugar as circunstâncias já permitidas.

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop


IOSXE Packet Tracing Configs:




Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

se você vê qualquer circunstância, desabilite-a.

# clear platform condition all

Etapa 4. Recolha sempre-em traços do nível da observação para um endereço específico.

# show logging profile wireless filter ip <a.b.c.d> to-file always-on-<FILENAME.txt> 

Você pode ou indicar o índice na sessão ou você pode copiar o arquivo a um servidor TFTP externo.

# more bootflash:always-on-<FILENAME.txt>

or

# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Traçado de rádio do Active 

Se sempre-em logs não lhe dê bastante informação para conhecer o que provocou a introdução do túnel, você pode permitir o debugging condicional e capturar o traço (RA) ativo de rádio, que lhe dá uma atividade de cliente mais detalhada. Para fazer assim, siga estas etapas.

Etapa 1. Verifique que não há debugar as circunstâncias já permitidas.

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop


IOSXE Packet Tracing Configs:




Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

se você vê qualquer circunstância que não estiver relacionada ao endereço que você quer monitorar o desabilitação ele.

Para remover um cliente específico:

# no debug platform condition feature wireless { mac <aaaa.bbbb.cccc> | ip <a.b.c.d> }

Para remover todas as circunstâncias:

  

# clear platform condition all

Etapa 2. Adicionar a condição debugar para um endereço que você queira monitorar.

# debug platform condition feature wireless ip <a.b.c.d>

Nota: Se você quer monitorar mais de um cliente ao mesmo tempo você pode fazê-la. Use o maccommand wireless da característica da condição da plataforma do adebug pelo MAC address.

Etapa 3. Tenha os 9800 WLC para começar o monitor da atividade do endereço especificado.

# debug platform condition start

Nota: Você não vê a saída da atividade de cliente, porque tudo é protegido internamente para ser recolhido mais tarde.

Etapa 4. Reproduza a edição ou o comportamento que você quer monitorar.

Etapa 5. Pare debuga.

# debug platform condition stop

Etapa 6. Recolha a saída da atividade do endereço

# show logging profile wireless filter ip <a.b.c.d> to-file ra-<FILENAME.txt>

Você pode uma ou outra cópia FILENAME.txt a um servidor interno ou para indicar a saída diretamente na tela.

Copie o arquivo a um servidor interno:

# copy bootflash:FILENAME.txt tftp://a.b.c.d/ra-FILENAME.txt

Indique o índice:

# more bootflash:ra-FILENAME.txt

Etapa 6. Se você ainda não capaz de encontrar a razão de uma falha, recolhe o nível interno dos logs (você não precisa de debugar outra vez o cliente, você usa os logs que eram já internos armazenado mas recolhe uma escala mais larga deles).

# show logging profile wireless internal filter  ip <a.b.c.d> to-file ra-internal-<FILENAME.txt>

Você pode uma ou outra cópia FILENAME.txt a um servidor interno ou para indicar a saída diretamente na tela.

Copie o arquivo a um servidor interno:

# copy bootflash:FILENAME.txt tftp://a.b.c.d/ra-FILENAME.txt

Indique o índice:

# more bootflash:ra-FILENAME.txt

 Etapa 7. Remova as condições debugar.

# clear platform condition all

Nota: Assegure-se de que você remova sempre as condições debugar após uma sessão de Troubleshooting.