Introdução
Este documento descreve como configurar os 9800 Wireless Lan Controllers (WLC) com um túnel de mobilidade sobre Network Address Translation (NAT).
Pré-requisitos
Requisitos
A Cisco recomenda que você conheça estes tópicos:
- Configuração e conceitos de conversão de endereço de rede estático (NAT).
- 9800 Configuração e conceitos de túnel de mobilidade do Wireless Lan Controller.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Catalyst 9800 Wireless Controller Series (Catalyst 9800-L), Cisco IOS® XE Gibraltar 17.9.4
- Roteadores de Serviços Integrados (ISR), Cisco IOS® XE Gibraltar 17.6.5
- Switch Catalyst 3560 Series, Cisco IOS® XE Gibraltar 15.2.4E10
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
Os túneis de mobilidade são criados entre dois ou mais controladores de LAN sem fio (WLC) com a intenção de compartilhar informações entre eles, como informações de Ponto de acesso, informações de Cliente sem fio, informações de RRM e muito mais.
Ele também pode ser usado como uma configuração baseada para projetos Âncora - Estrangeira. Este documento descreve como configurar um túnel de mobilidade entre controladores de LAN sem fio (WLC) com controle de endereço de rede (NAT).
O túnel de mobilidade da WLC pode ter um destes quatro estados:
- Controle e caminho de dados inativos
- Caminho de Controle Inativo (isso implica que o caminho de Dados está ativo)
- Caminho de dados inativo (isso implica que o controle está ativo)
- Para cima
O estado final e correto de um túnel de mobilidade é Up (ativo). Qualquer outro estado requer investigação adicional. Os túneis de mobilidade funcionam nas portas udp do CAPWAP 16666 e 16667, das quais a porta udp 16666 é para o caminho de controle e 16667 para o caminho de dados. Devido a isso, é necessário garantir que essas portas estejam abertas entre as WLCs.
Restrições para suporte de NAT em grupos de mobilidade
- Somente o NAT estático (1:1) pode ser configurado.
- Não há suporte para vários pares de túnel de mobilidade com o mesmo endereço IP público.
- Cada membro deve ter um endereço IP privado exclusivo.
- A conversão de endereço de porta (PAT) não é suportada.
- Não há suporte para IRCM (Inter-Release Controller Mobility) para roaming de cliente sem fio.
- Não há suporte para conversão de endereço IPv6.
- O Controle de Acesso à Rede (NAT - Network Access Control) com Túnel de Mobilidade é suportado a partir do código WLC versão 17.7.1.
Diagrama de Rede
Diagrama de Rede
Configurar
Configurar NAT no roteador
Os roteadores são usados nessa configuração para fornecer recursos de controle de acesso à rede (NAT); no entanto, qualquer dispositivo capaz de fazer NAT estático pode ser usado. O NAT estático é o método NAT suportado para túneis de mobilidade de WLC; essa é a configuração usada no exemplo de configuração de roteadores. Para fins de configuração, esses roteadores são usados: NAT-A e NAT-B. A WLC1 está atrás do roteador NAT-A e a WLC2 está atrás do roteador NAT-B.
Configuração do NAT-A do roteador:
CLI:
RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/0
RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat inside
RouterNAT-A(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/1
RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat outside
RouterNAT-A(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#
Configuração NAT-B do roteador:
CLI:
RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/2
RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat inside
RouterNAT-B(config-if)#end
RouterNAT-A#
RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/3
RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat outside
RouterNAT-B(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#
Configurar a mobilidade com NAT no controlador de LAN sem fio
Esta é a configuração a ser compartilhada entre WLCs para criar o túnel de mobilidade com NAT.
- Endereço IP de mobilidade privada
- Endereço IP de mobilidade pública
- Endereço Mac do grupo de mobilidade
- Nome do grupo de mobilidade
A configuração da WLC1 é adicionada à WLC2 e vice-versa. Isso pode ser feito via CLI ou GUI nas WLCs, já que o túnel de mobilidade com NAT é o objetivo final dessa configuração. O endereço IP de mobilidade pública de ambas as WLCs é o endereço IP de NAT configurado na configuração de NAT estático em cada roteador.
Configuração da WLC1:
GUI:
Mobility NAT Config WLC1
CLI:
WLC1#config t
WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
WLC1(config)#end
WLC1#
Configuração da WLC2:
GUI:
Mobility NAT Configuration WLC2
CLI:
WLC2#config t
WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
WLC2(config)#end
WLC2#
Verificar
Verificação da configuração do roteador
No lado do roteador, esses comandos verificam a configuração do NAT. A configuração do NAT deve ser estática (como mencionado anteriormente no documento) devido à qual a configuração interna e externa do NAT está presente.
RoteadorNAT-A
RouterNAT-A#show run interface GigabitEthernet0/1/0
interface GigabitEthernet0/1/0
ip add 10.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-A#show run interface GigabitEthernet0/1/1
interface GigabitEthernet0/1/1
ip add 20.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-A#show run | in ip nat inside
ip nat inside source static 10.0.0.2 20.0.0.2
RoteadorNAT-B
RouterNAT-B#show run interface GigabitEthernet0/1/2
interface GigabitEthernet0/1/2
ip add 40.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-B#show run interface GigabitEthernet0/1/3
interface GigabitEthernet0/1/3
ip add 30.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-B#show run | in ip nat inside
ip nat inside source static 40.0.0.2 30.0.0.2
Verificação de Configuração de Controlador de LAN Sem Fio
Verifique a GUI e a CLI da WLC sobre o status do túnel de mobilidade. Como mencionado anteriormente neste documento, o status correto para confirmar uma comunicação correta entre as WLCs sobre o túnel de mobilidade é Ativo. Qualquer outro status precisa ser investigado.
WLC1
GUI:
Verificação de NAT de mobilidade WLC1
CLI:
WLC1#show wireless mobility summary
Mobility Summary
Wireless Management VLAN: 10
Wireless Management IP Address: 10.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e57.d8cb
Mobility Domain Identifier: 0x34ac
Controllers configured in the Mobility Domain:
IP Public Ip MAC Address Group Name Multicast IPv4 Multicast IPv6 Status PMTU
--------------------------------------------------------------------------------------------------------------------
10.0.0.2 N/A f4bd.9e57.d8cb default 0.0.0.0 :: N/A N/A
40.0.0.2 30.0.0.2 f4bd.9e56.304b default 0.0.0.0 :: Up 1385
WLC2
GUI:
Verificação de NAT de mobilidade WLC2
CLI:
WLC2#show wireless mobility summary
Mobility Summary
Wireless Management VLAN: 40
Wireless Management IP Address: 40.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e56.304b
Mobility Domain Identifier: 0x34ac
Controllers configured in the Mobility Domain:
IP Public Ip MAC Address Group Name Multicast IPv4 Multicast IPv6 Status PMTU
--------------------------------------------------------------------------------------------------------------------
40.0.0.2 N/A f4bd.9e56.304b default 0.0.0.0 :: N/A N/A
10.0.0.2 20.0.0.2 f4bd.9e57.d8cb default 0.0.0.0 :: Up 1385
Troubleshooting
Solução de problemas do roteador
Verifique pelo lado do Roteador se as conversões de NAT IP estão ocorrendo corretamente.
Traduções e estatísticas de NAT IP
Use esses comandos para verificar se as conversões interna e externa estão sendo executadas no roteador, bem como para verificar as estatísticas de NAT.
#show ip nat translations
#show ip nat statistics
IP NAT Debug
Esse comando depura a tradução NAT da perspectiva do roteador para entender como o NAT está ocorrendo ou se há algum problema enquanto o roteador faz a tradução NAT.
#debug ip nat
#show debug
Note: Qualquer comando debug em um roteador pode causar sobrecarga, fazendo com que o roteador se torne inoperante. As depurações nos roteadores devem ser usadas com extremo cuidado. Se possível, não execute nenhuma depuração em um roteador de produção crítico durante o tempo de produção. Uma janela de manutenção é desejada.
Solução De Problemas Do Controlador De Lan Sem Fio
As informações aqui podem ser coletadas da WLC caso o túnel de mobilidade mostre qualquer estado que não seja o estado correto, que é Ativo.
Logs do processo de mobilidade
Esse comando gera logs de mobilidade do tempo passado e do tempo presente.
#show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt
As informações reunidas podem ser lidas na própria WLC com o comando.
#more bootflash:mobilitytunnel.txt
As informações reunidas também podem ser exportadas da WLC para serem lidas em uma fonte externa com o comando.
#copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt
Depurações e rastreamentos de mobilidade
As depurações e os rastreamentos podem fornecer informações mais detalhadas caso os logs do processo de mobilidade não consigam gerar informações suficientes para encontrar o problema.
Quando depurações e rastreamentos são reunidos para o túnel de mobilidade com NAT, é importante inserir essas informações na seção de rastreamento para obter as informações simultaneamente para entender melhor o comportamento:
- Endereço IP de mobilidade público de mesmo nível
- Endereço IP de mobilidade particular de mesmo nível
- Endereço Mac de mobilidade de mesmo nível
Neste exemplo, os endereços IP públicos e privados, juntamente com o endereço MAC de mobilidade da WLC1, são inseridos na WLC2. O mesmo deve ser feito de trás para frente, onde o endereço IP público e privado, juntamente com o endereço MAC de mobilidade da WLC2, são inseridos na seção Rastreamento RA da WLC1.
GUI da WLC
Depurações de WLC
As depurações e os rastreamentos podem ser coletados da GUI conforme mostrado.
Coleção de depuração de WLC
CLI WLC
debug platform condition feature wireless ip 10.0.0.2
debug platform condition feature wireless ip 20.0.0.2
debug platform condition feature wireless mac f4bd.9e57.d8cb
Para coletar as depurações, esse comando pode ser usado. Altere a hora da coleta de depurações conforme necessário.
#show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
#show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
#show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt
Copie os arquivos para uma fonte externa com um protocolo de transferência.
#copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
#copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
#copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt
Capturas de pacotes
A WLC 9800 tem a capacidade de capturar pacotes incorporados. Use esse recurso para verificar quais pacotes são trocados entre as WLCs pelo túnel de mobilidade com NAT.
Neste exemplo, o endereço IP privado da WLC1 é usado na WLC2 para configurar a captura de pacotes. O mesmo deve ser feito de trás para frente, onde deve ser usado o endereço IP privado da WLC2 na WLC1 para a configuração da captura de pacotes.
Para capturar o pacote, uma ACL pode ser criada para filtrar os pacotes e mostrar apenas os pacotes necessários para o túnel de mobilidade com NAT. Depois que a ACL é criada, ela é anexada à captura de pacotes como um filtro. A ACL pode ser criada com o endereço IP privado de mobilidade, já que esses são os que estão no cabeçalho do pacote.
#config t
(config)#ip access-list extended Mobility
(config-ext-nacl)#permit ip host 10.0.0.2 any
(config-ext-nacl)#permit ip any host 10.0.0.2
(config-ext-nacl)#end
#monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both
Esse comando pode ser usado para verificar a configuração de captura do monitor.
#show monitor capture MobilityNAT
Quando a captura do monitor estiver pronta e marcada, ela poderá ser iniciada.
#monitor capture MobilityNAT start
Para interrompê-lo, esse comando pode ser usado.
#monitor capture MobilityNAT stop
Quando a captura do monitor for interrompida, ela poderá ser exportada para uma fonte externa com um protocolo de transferência.
#monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap
Tip: O túnel de mobilidade com NAT é um recurso que requer uma conversação bidirecional entre WLCs. Devido à natureza do recurso, é altamente recomendável reunir os logs, as depurações e os rastreamentos ou as capturas de pacotes de ambas as WLCs ao mesmo tempo para entender melhor o túnel de mobilidade com a troca de pacotes NAT.
Limpar depurações, rastreamentos e capturas de pacotes
Depois que as informações necessárias forem obtidas, as depurações, os rastreamentos e a configuração de captura de pacotes incorporada podem ser excluídos da WLC, conforme descrito aqui.
Depurações e rastreamentos
#clear platform condition all
Captura do pacote
#config t
(config)# no ip access-list extended Mobility
(config)#end
#no monitor capture MobilityNAT
É altamente recomendável limpar a configuração de solução de problemas que foi executada na WLC depois que as informações necessárias foram coletadas.