使用NAT配置9800无线局域网控制器移动隧道

下载选项

PDF (898.0 KB)
在各种设备上使用 Adobe Reader 查看
ePub (647.9 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (428.9 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2025 年 1 月 27 日

文档 ID:221707

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何使用网络地址转换(NAT)移动隧道配置9800无线局域网控制器(WLC)。

先决条件

要求

Cisco 建议您了解以下主题：

静态网络地址转换(NAT)配置和概念。
9800无线Lan控制器移动隧道配置和概念。

使用的组件

本文档中的信息基于以下软件和硬件版本：

Catalyst 9800无线控制器系列(Catalyst 9800-L)、Cisco IOS® XE Gibralto 17.9.4
集成多业务路由器(ISR),Cisco IOS® XE Gibraltar 17.6.5
Catalyst 3560系列交换机，Cisco IOS® XE Gibraltar 15.2.4E10

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

在两个或多个无线局域网控制器(WLC)之间创建移动隧道，目的是在它们之间共享信息，例如接入点信息、无线客户端信息、RRM信息等。

它还可以用作基于锚点 — 外部设计的配置。本文档介绍如何使用网络地址控制(NAT)在无线局域网控制器(WLC)之间配置移动隧道。

WLC移动隧道可以具有以下四种状态之一：

控制和数据路径关闭
控制路径关闭（这意味着数据路径处于打开状态）
数据路径关闭（这意味着控制已启用）
Up

移动隧道的最终正确状态为Up。任何其他州都需要进一步调查。移动隧道在CAPWAP udp端口16666和16667上工作，从这些端口16666用于控制路径，16667用于数据路径。因此，有必要确保这些端口在WLC之间处于打开状态。

注意：有关不使用NAT的WLC移动隧道配置，请参阅在Catalyst 9800无线LAN控制器上配置移动拓扑

对移动组的NAT支持限制

只能配置静态NAT(1:1)。
不支持具有相同公有IP地址的多个移动隧道对等体。
每个成员都必须具有唯一的私有IP地址。
不支持端口地址转换(PAT)。
不支持用于无线客户端漫游的版本间控制器移动(IRCM)。
不支持IPv6地址转换。
从WLC代码版本17.7.1开始，支持具有移动隧道的网络访问控制(NAT)。

网络图

NAT Topology 网络图

配置

在路由器上配置NAT

在此配置中使用路由器来提供网络访问控制(NAT)功能，但是，可以使用任何能够执行静态NAT的设备。静态NAT是WLC移动隧道支持的NAT方法，这是路由器配置示例中使用的配置。出于配置目的，使用以下路由器：NAT-A和NAT-B。WLC1位于路由器NAT-A之后，WLC2位于路由器NAT-B之后。

路由器NAT-A配置：

CLI：

RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/0
RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat inside
RouterNAT-A(config-if)#end
RouterNAT-A#

RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/1
RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat outside
RouterNAT-A(config-if)#end
RouterNAT-A#

RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#

路由器NAT-B配置：

CLI：

RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/2
RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat inside
RouterNAT-B(config-if)#end
RouterNAT-A#

RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/3
RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat outside
RouterNAT-B(config-if)#end
RouterNAT-A#

RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#

在无线局域网控制器上使用NAT配置移动性

这是要在WLC之间共享的配置，以使用NAT创建移动隧道。

专用移动IP地址
公共移动IP地址
移动组Mac地址
移动组名称

WLC1的配置会添加到WLC2，反之亦然。这可以通过WLC中的CLI或GUI完成，因为使用NAT的移动隧道是此配置的最终目标。两个WLC的公共移动IP地址是在每台路由器的静态NAT配置中配置的NAT IP地址。

WLC1配置：

GUI:

Mobility NAT Config WLC1 移动NAT配置WLC1

CLI：

WLC1#config t
WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
WLC1(config)#end
WLC1#

WLC2配置：

GUI:

Mobility NAT Config WLC2 移动NAT配置WLC2

CLI：

WLC2#config t
WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
WLC2(config)#end
WLC2#

验证

路由器配置验证

从路由器端，这些命令检验NAT配置。NAT配置必须为静态（如本文档前面所述），因此存在NAT的内部和外部配置。

路由器NAT-A

RouterNAT-A#show run interface GigabitEthernet0/1/0
interface GigabitEthernet0/1/0
ip add 10.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-A#show run interface GigabitEthernet0/1/1
interface GigabitEthernet0/1/1
ip add 20.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-A#show run | in ip nat inside
ip nat inside source static 10.0.0.2 20.0.0.2

路由器NAT-B

RouterNAT-B#show run interface GigabitEthernet0/1/2
interface GigabitEthernet0/1/2
ip add 40.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-B#show run interface GigabitEthernet0/1/3
interface GigabitEthernet0/1/3
ip add 30.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-B#show run | in ip nat inside
ip nat inside source static 40.0.0.2 30.0.0.2

无线LAN控制器配置验证

检查WLC GUI和CLI移动隧道的状态。如本文档前面所述，用于确认WLC之间通过移动隧道进行正确通信的正确状态为Up。任何其他状态都需要调查。

WLC1

GUI:

Mobility NAT Verification WLC1 移动NAT验证WLC1

CLI：

WLC1#show wireless mobility summary
Mobility Summary

Wireless Management VLAN: 10
Wireless Management IP Address: 10.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e57.d8cb
Mobility Domain Identifier: 0x34ac

Controllers configured in the Mobility Domain:

 IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
--------------------------------------------------------------------------------------------------------------------
10.0.0.2    N/A           f4bd.9e57.d8cb      default        0.0.0.0            ::                N/A        N/A
40.0.0.2    30.0.0.2      f4bd.9e56.304b      default        0.0.0.0            ::                Up         1385

WLC2

GUI:

Mobility NAT Verification WLC2 移动NAT验证WLC2

CLI：

WLC2#show wireless mobility summary
Mobility Summary

Wireless Management VLAN: 40
Wireless Management IP Address: 40.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e56.304b
Mobility Domain Identifier: 0x34ac

Controllers configured in the Mobility Domain:

 IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
--------------------------------------------------------------------------------------------------------------------
40.0.0.2    N/A            f4bd.9e56.304b     default        0.0.0.0            ::                N/A        N/A
10.0.0.2    20.0.0.2       f4bd.9e57.d8cb     default        0.0.0.0            ::                Up         1385

故障排除

路由器故障排除

从路由器端检验IP NAT转换是否正确进行。

IP NAT转换和统计信息

使用这些命令检查内部和外部转换是否正在路由器中执行，以及检查NAT统计信息。

#show ip nat translations
#show ip nat statistics

IP NAT调试

此命令从路由器的角度调试NAT转换，以了解NAT是如何发生的，或者路由器执行NAT转换时是否存在任何问题。

#debug ip nat 
#show debug

注意：路由器上的任何debug命令都可能导致过载，从而导致路由器无法运行。在路由器上执行调试时必须特别小心。如果可能，在生产期间，不要在关键的生产路由器上运行任何调试。需要维护窗口。

无线局域网控制器故障排除

如果移动隧道显示的任何状态都不正确（处于Up状态），可以从WLC收集此处的信息。

移动进程日志

此命令会生成过去和当前的移动日志。

#show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt

使用命令可在WLC本身读取收集到的信息。

#more bootflash:mobilitytunnel.txt

也可以从WLC导出收集的信息，以使用命令在外部源中读取该信息。

#copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt

移动调试和跟踪

调试和跟踪可以提供更详细的信息，以防移动进程日志无法生成足够的信息来查找问题。

当使用NAT为移动隧道收集调试和跟踪时，必须在trace部分输入此信息以同时获取信息，以便更好地了解行为：

对等体公共移动IP地址
对等体专用移动IP地址
对等移动Mac地址

在本示例中，在WLC2中输入WLC1的公有IP地址和私有IP地址以及移动MAC地址。同样需要向后执行，其中在WLC1的RA Trace部分中输入WLC2的私有IP地址和公有IP地址以及移动MAC地址。

WLC GUI

NAT Shooting WLC调试

调试和跟踪可以从GUI收集，如下所示。

Gather Debugs GUI WLC调试集合

WLC CLI

debug platform condition feature wireless ip 10.0.0.2
debug platform condition feature wireless ip 20.0.0.2
debug platform condition feature wireless mac f4bd.9e57.d8cb

要收集调试，可使用此命令。根据需要更改调试收集的时间。

#show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
#show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
#show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt

使用传输协议将文件复制到外部源。

#copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
#copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
#copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt

数据包捕获

9800 WLC能够捕获嵌入式数据包捕获。使用此功能检查使用NAT的移动隧道的WLC之间交换的数据包。

在本示例中，WLC2使用WLC1的专用IP地址来设置数据包捕获。这同样需要向后完成，在此过程中，必须使用WLC1中WLC2的专用IP地址设置数据包捕获。

要捕获数据包，可以创建ACL来过滤数据包，并仅显示使用NAT的移动隧道所需的数据包。创建ACL后，它会作为过滤器附加到数据包捕获中。可以使用移动专用IP地址创建ACL，因为这些地址是数据包报头中的地址。

#config t
(config)#ip access-list extended Mobility
(config-ext-nacl)#permit ip host 10.0.0.2 any
(config-ext-nacl)#permit ip any host 10.0.0.2
(config-ext-nacl)#end

#monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both

此命令可用于检查监控器捕获配置。

#show monitor capture MobilityNAT

一旦监控器捕获准备就绪并选中，即可启动监控器捕获。

#monitor capture MobilityNAT start

要停止它，可以使用此命令。

#monitor capture MobilityNAT stop

一旦监控器捕获停止，即可使用传输协议将其导出到外部源。

#monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap

提示：使用NAT的移动隧道是一项需要WLC之间双向会话的功能。由于该功能的性质，强烈建议同时从两个WLC收集日志、调试、跟踪或数据包捕获，以便更好地了解使用NAT数据包交换的移动隧道。

清除调试、跟踪和数据包捕获

获取所需信息后，可以按此处所述从WLC中删除调试、跟踪和嵌入式数据包捕获配置。

调试和跟踪

#clear platform condition all

数据包捕获

#config t
(config)# no ip access-list extended Mobility
(config)#end
#no monitor capture MobilityNAT

强烈建议在收集所需信息后清除WLC中执行的故障排除配置。

修订历史记录

版本	发布日期	备注
2.0	27-Jan-2025	更新的Alt文本、样式要求和格式。
1.0	16-Feb-2024	初始版本

由思科工程师提供

蒂姆·帕迪拉
技术咨询工程师

此文档是否有帮助?

反馈

联系我们

提交支持案例
(需要思科服务合同)

本文档适用于以下产品

Catalyst 9800 Series Wireless Controllers

使用NAT配置9800无线局域网控制器移动隧道

下载选项

非歧视性语言

关于此翻译

目录

简介

先决条件

要求

使用的组件

背景信息

对移动组的NAT支持限制

网络图

配置

在路由器上配置NAT

在无线局域网控制器上使用NAT配置移动性

验证

路由器配置验证

无线LAN控制器配置验证

故障排除

路由器故障排除

IP NAT转换和统计信息

IP NAT调试

无线局域网控制器故障排除

移动进程日志

移动调试和跟踪

数据包捕获

清除调试、跟踪和数据包捕获

修订历史记录

由思科工程师提供

此文档是否有帮助?

联系我们

本文档适用于以下产品