Configurar o túnel de mobilidade da controladora Wireless LAN 9800 com NAT

Atualizado:16 de fevereiro de 2024
ID do documento:221707

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar os 9800 Wireless Lan Controllers (WLC) com um túnel de mobilidade sobre Network Address Translation (NAT).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você conheça estes tópicos:

    • Configuração e conceitos de conversão de endereço de rede estático (NAT).
    • 9800 Configuração e conceitos de túnel de mobilidade do Wireless Lan Controller.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Catalyst 9800 Wireless Controller Series (Catalyst 9800-L), Cisco IOS® XE Gibraltar 17.9.4
    • Roteadores de Serviços Integrados (ISR), Cisco IOS® XE Gibraltar 17.6.5
    • Switch Catalyst 3560 Series, Cisco IOS® XE Gibraltar 15.2.4E10

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Os túneis de mobilidade são criados entre dois ou mais controladores de LAN sem fio (WLC) com a intenção de compartilhar informações entre eles, como informações de Ponto de acesso, informações de Cliente sem fio, informações de RRM e muito mais.

    Ele também pode ser usado como uma configuração baseada para projetos Âncora - Estrangeira. Este documento descreve como configurar um túnel de mobilidade entre controladores de LAN sem fio (WLC) com controle de endereço de rede (NAT).

    O túnel de mobilidade da WLC pode ter um destes quatro estados:

    • Controle e caminho de dados inativos
    • Caminho de Controle Inativo (isso implica que o caminho de Dados está ativo)
    • Caminho de dados inativo (isso implica que o controle está ativo)
    • Para cima

    O estado final e correto para um túnel de mobilidade é: Ativo, qualquer outro estado requer investigação adicional. Os túneis de mobilidade funcionam sobre as portas udp CAPWAP 16666 e 16667, das quais a porta udp 16666 é para o caminho de controle e 16667 para o caminho de dados, por isso é necessário garantir que essas portas estejam abertas entre as WLCs.

    note-icon

    Observação: para a configuração do túnel de mobilidade da WLC sem NAT, consulte Configurar Topologias de Mobilidade em Catalyst 9800 Wireless LAN Controllers

    Restrições para suporte de NAT em grupos de mobilidade

    • Somente o NAT estático (1:1) pode ser configurado.
    • Não há suporte para vários pares de túnel de mobilidade com o mesmo endereço IP público.
    • Cada membro deve ter um endereço IP privado exclusivo.
    • A conversão de endereço de porta (PAT) não é suportada.
    • Não há suporte para IRCM (Inter-Release Controller Mobility) para roaming de cliente sem fio.
    • Não há suporte para conversão de endereço IPv6.
    • O Controle de Acesso à Rede (NAT - Network Access Control) com Túnel de Mobilidade é suportado a partir do código WLC versão 17.7.1 e superior.

    Diagrama de Rede

    NATTopolgy

    Configurar

    Configurar NAT no roteador

    Os roteadores são usados nessa configuração para fornecer recursos de controle de acesso à rede (NAT); no entanto, qualquer dispositivo capaz de fazer NAT estático pode ser usado. O NAT estático é o método NAT suportado para túneis de mobilidade de WLC; essa é a configuração usada no exemplo de configuração de roteadores. Para fins de configuração, esses roteadores são usados: NAT-A e NAT-B. A WLC1 está atrás do roteador NAT-A e a WLC2 está atrás do roteador NAT-B.

    Configuração de NAT-A do roteador:

    CLI:

    RouterNAT-A#config t
    RouterNAT-A(config)#interface GigabitEthernet0/1/0
    RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
    RouterNAT-A(config-if)#ip nat inside
    RouterNAT-A(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#interface GigabitEthernet0/1/1
    RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
    RouterNAT-A(config-if)#ip nat outside
    RouterNAT-A(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
    RouterNAT-A(config)#end
    RouterNAT-A#

    Configuração do roteador NAT-B:

    CLI:

    RouterNAT-B#config t
    RouterNAT-B(config)#interface GigabitEthernet0/1/2
    RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
    RouterNAT-B(config-if)#ip nat inside
    RouterNAT-B(config-if)#end
    RouterNAT-A#

    RouterNAT-B#config t
    RouterNAT-B(config)#interface GigabitEthernet0/1/3
    RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
    RouterNAT-B(config-if)#ip nat outside
    RouterNAT-B(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
    RouterNAT-A(config)#end
    RouterNAT-A#

    Configurar a mobilidade com NAT no controlador de LAN sem fio

    Esta é a configuração a ser compartilhada entre WLCs para criar o túnel de mobilidade com NAT:

    • Endereço IP de mobilidade privada
    • Endereço IP de mobilidade pública
    • Endereço Mac do grupo de mobilidade
    • Nome do grupo de mobilidade

    A configuração da WLC1 é adicionada à WLC2 e vice-versa, isso pode ser feito via CLI ou GUI nas WLCs, já que o túnel de mobilidade com NAT é o objetivo final dessa configuração. O endereço IP de mobilidade pública de ambas as WLCs é o endereço IP de NAT configurado na configuração de NAT estático em cada roteador.

    Configuração da WLC1:

    GUI:

    SSWLC1-2

    CLI:

    WLC1#config t
    WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
    WLC1(config)#end
    WLC1#

    Configuração da WLC2:

    GUI:

    SSWLC2-2

    CLI:

    WLC2#config t
    WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
    WLC2(config)#end
    WLC2#

    Verificar

    Verificação da configuração do roteador

    No lado do roteador, esses comandos verificam a configuração do NAT. A configuração do NAT deve ser estática (como mencionado anteriormente no documento) devido à qual a configuração interna e externa do NAT está presente.

    RoteadorNAT-A

    RouterNAT-A#show run interface GigabitEthernet0/1/0
    interface GigabitEthernet0/1/0
    ip add 10.0.0.1 255.255.255.0
    ip nat inside
    !
    RouterNAT-A#show run interface GigabitEthernet0/1/1
    interface GigabitEthernet0/1/1
    ip add 20.0.0.1 255.255.255.0
    ip nat outside
    !
    RouterNAT-A#show run | in ip nat inside
    ip nat inside source static 10.0.0.2 20.0.0.2

    RoteadorNAT-B

    RouterNAT-B#show run interface GigabitEthernet0/1/2
    interface GigabitEthernet0/1/2
    ip add 40.0.0.1 255.255.255.0
    ip nat inside
    !
    RouterNAT-B#show run interface GigabitEthernet0/1/3
    interface GigabitEthernet0/1/3
    ip add 30.0.0.1 255.255.255.0
    ip nat outside
    !
    RouterNAT-B#show run | in ip nat inside
    ip nat inside source static 40.0.0.2 30.0.0.2

    Verificação de Configuração de Controlador de LAN Sem Fio

    Verifique na GUI e na CLI da WLC o status do túnel de mobilidade, como mencionado anteriormente neste documento, o status correto para confirmar uma comunicação correta entre as WLCs sobre o túnel de mobilidade é: Ativo, qualquer outro status requer investigação.

    WLC1

    GUI:

    SSWLC1

    CLI:

    WLC1#show wireless mobility summary
    Mobility Summary

    Wireless Management VLAN: 10
    Wireless Management IP Address: 10.0.0.2
    Wireless Management IPv6 Address:
    Mobility Control Message DSCP Value: 0
    Mobility High Cipher : False
    Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
    Mobility Keepalive Interval/Count: 10/3
    Mobility Group Name: default
    Mobility Multicast Ipv4 address: 0.0.0.0
    Mobility Multicast Ipv6 address: ::
    Mobility MAC Address: f4bd.9e57.d8cb
    Mobility Domain Identifier: 0x34ac

    Controllers configured in the Mobility Domain:

     IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
    --------------------------------------------------------------------------------------------------------------------
    10.0.0.2    N/A           f4bd.9e57.d8cb      default        0.0.0.0            ::                N/A        N/A
    40.0.0.2    30.0.0.2      f4bd.9e56.304b      default        0.0.0.0            ::                Up         1385

    WLC2

    GUI:

    SSWLC2

    CLI:

    WLC2#show wireless mobility summary
    Mobility Summary

    Wireless Management VLAN: 40
    Wireless Management IP Address: 40.0.0.2
    Wireless Management IPv6 Address:
    Mobility Control Message DSCP Value: 0
    Mobility High Cipher : False
    Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
    Mobility Keepalive Interval/Count: 10/3
    Mobility Group Name: default
    Mobility Multicast Ipv4 address: 0.0.0.0
    Mobility Multicast Ipv6 address: ::
    Mobility MAC Address: f4bd.9e56.304b
    Mobility Domain Identifier: 0x34ac

    Controllers configured in the Mobility Domain:

     IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
    --------------------------------------------------------------------------------------------------------------------
    40.0.0.2    N/A            f4bd.9e56.304b     default        0.0.0.0            ::                N/A        N/A
    10.0.0.2    20.0.0.2       f4bd.9e57.d8cb     default        0.0.0.0            ::                Up         1385

    Troubleshooting

    Solução de problemas do roteador

    Verifique se, no lado do Roteador, as conversões de NAT IP estão ocorrendo corretamente.

    Conversões e estatísticas de NAT IP

    Use esses comandos para revisar as conversões internas e externas que estão sendo executadas no roteador, bem como para verificar as estatísticas de NAT. 

    #show ip nat translations
    #show ip nat statistics 

    IP NAT debug

    Esse comando depura a tradução NAT da perspectiva do roteador para entender como o NAT está ocorrendo ou se há algum problema enquanto o roteador faz a tradução NAT.

    #debug ip nat 
    #show debug
    note-icon

    Observação: qualquer comando debug em um roteador pode causar sobrecarga, o que faz com que o roteador se torne inoperante. As depurações em roteadores devem ser usadas com extremo cuidado. Se possível, não execute nenhuma depuração em um roteador de produção crítico durante o tempo de produção; uma janela de manutenção é desejada.

    Solução De Problemas Do Controlador De Lan Sem Fio

    As informações aqui podem ser coletadas da WLC caso o túnel de mobilidade mostre qualquer estado que não seja o estado correto, que é Ativo.

    Logs do processo de mobilidade

    Esse comando gera logs de mobilidade do tempo passado e presente 

    #show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt

    As informações reunidas podem ser lidas na própria WLC com o comando

    #more bootflash:mobilitytunnel.txt

    As informações reunidas também podem ser exportadas da WLC para serem lidas em uma fonte externa com o comando

    #copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt 

    Depurações e rastreamentos de mobilidade

    As depurações e os rastreamentos podem fornecer informações mais detalhadas caso os logs do processo de mobilidade não consigam gerar informações suficientes para encontrar o problema.

    Quando depurações e rastreamentos são reunidos para o túnel de mobilidade com NAT, é importante inserir essas informações na seção de rastreamento para obter as informações simultaneamente para entender melhor o comportamento:

    • Endereço IP de mobilidade público de mesmo nível
    • Endereço IP de mobilidade particular de mesmo nível
    • Endereço Mac de mobilidade de mesmo nível

    Neste exemplo, o endereço IP público e privado junto com o endereço MAC de mobilidade da WLC1 é inserido na WLC2, o mesmo deve ser feito de trás para frente, onde inserimos o endereço IP público e privado junto com o endereço MAC de mobilidade da WLC2 na seção de rastreamento de RA da WLC1.

    GUI da WLC

    NATtshooting

    As depurações e os rastreamentos podem ser coletados da GUI conforme mostrado.

    GatherDebugsGUI

    CLI WLC

    debug platform condition feature wireless ip 10.0.0.2
    debug platform condition feature wireless ip 20.0.0.2
    debug platform condition feature wireless mac f4bd.9e57.d8cb

    Para coletar as depurações, esse comando pode ser usado. Altere a hora da coleta de depurações conforme necessário.

    #show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
    #show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
    #show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt

    Copie os arquivos para uma fonte externa com um protocolo de transferência.

    #copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
    #copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
    #copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt

    Capturas de pacotes

    A WLC 9800 tem a capacidade de capturar pacotes incorporados. Use esse recurso para verificar quais pacotes são trocados entre as WLCs pelo túnel de mobilidade com NAT.

    Neste exemplo, o endereço IP privado da WLC1 é usado na WLC2 para configurar a captura de pacotes, o mesmo tem que ser feito de trás para frente, onde tem que ser usado o endereço IP privado da WLC2 na WLC1 para a configuração da captura de pacotes.

    Para fazer a captura de pacotes, uma ACL pode ser criada para filtrar os pacotes e mostrar apenas os pacotes que procuramos pelo túnel de mobilidade com NAT. Depois que a ACL é criada, ela é anexada à captura de pacotes como um filtro. A ACL pode ser criada com o endereço IP privado de mobilidade, já que esses são os que estão no cabeçalho do pacote.

    #config t
    (config)#ip access-list extended Mobility
    (config-ext-nacl)#permit ip host 10.0.0.2 any
    (config-ext-nacl)#permit ip any host 10.0.0.2
    (config-ext-nacl)#end

    #monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both

    Antes do início da captura, esse comando pode ser usado para verificar a configuração de captura do monitor.

    #show monitor capture MobilityNAT

    Depois que a captura do monitor estiver pronta e marcada, ela poderá ser iniciada.

    #monitor capture MobilityNAT start

    Para pará-lo, este comando pode ser usado.

    #monitor capture MobilityNAT stop

    Quando a captura do monitor é interrompida, ela pode ser exportada para uma fonte externa com um protocolo de transferência.

    #monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap
    note-icon

    Observação: o túnel de mobilidade com NAT é um recurso que requer uma conversação bidirecional entre WLCs, devido à natureza do recurso, é altamente recomendável reunir os logs, depurações e rastreamentos ou capturas de pacotes de ambas as WLCs ao mesmo tempo para entender melhor o túnel de mobilidade com a troca de pacotes NAT.

    Limpar depurações, rastreamentos e capturas de pacotes

    Depois que as informações necessárias são obtidas, as depurações, os rastreamentos e a configuração de captura de pacotes incorporada podem ser excluídos da WLC, conforme descrito aqui.

    Depurações e rastreamentos

    #clear platform condition all

    Captura do pacote

    #config t
    (config)# no ip access-list extended Mobility
    (config)#end
    #no monitor capture MobilityNAT

    É altamente recomendável limpar a configuração de solução de problemas que foi executada na WLC depois que as informações necessárias foram coletadas.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    16-Feb-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Tim Padilla
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos