使用NAT配置9800無線LAN控制器移動隧道
簡介
本文說明如何使用透過網路位址轉譯(NAT)的行動通道設定9800無線Lan控制器(WLC)。
必要條件
需求
思科建議您瞭解以下主題:
- 靜態網路位址轉譯(NAT)組態和概念。
- 9800無線Lan控制器行動通道組態和概念。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Catalyst 9800無線控制器系列(Catalyst 9800-L),Cisco IOS® XE直布羅陀版17.9.4
- 整合多業務路由器(ISR),Cisco IOS® XE直布羅陀版17.6.5
- Catalyst 3560系列交換機,Cisco IOS® XE直布羅陀版15.2.4E10
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
行動通道是在兩個或多個無線Lan控制器(WLC)之間建立,意圖在這些控制器之間共用資訊,例如存取點資訊、無線使用者端資訊、RRM資訊等。
它還可以用作基於Anchor - Foreign設計的配置。本文說明如何使用網路位址控制(NAT)在無線Lan控制器(WLC)之間設定行動通道。
WLC行動通道可以具有以下四種狀態之一:
- 控制和資料路徑關閉
- 控制路徑關閉(表示資料路徑處於開啟狀態)
- 資料路徑關閉(表示控制已啟動)
- UP
移動隧道的最終和正確狀態是:啟用,任何其他狀態都需要進一步調查。行動化通道在CAPWAP udp連線埠16666和16667上運作,而udp連線埠16666適用於控制路徑,16667適用於資料路徑,因此必須確保這些連線埠在WLC之間是開放的。
註:有關不帶NAT的WLC移動隧道配置,請參閱在Catalyst 9800無線LAN控制器上配置移動拓撲
對移動組的NAT支援的限制
- 只能配置靜態NAT(1:1)。
- 不支援具有相同公共IP地址的多個移動隧道對等體。
- 每個成員都必須具有唯一的私有IP地址。
- 不支援埠地址轉換(PAT)。
- 不支援無線客戶端漫遊的版本間控制器移動(IRCM)。
- 不支援IPv6地址轉換。
- WLC代碼版本17.7.1及更高版本支援具有行動通道的網路存取控制(NAT)。
網路圖表
設定
在路由器上配置NAT
在此配置中使用路由器來提供網路訪問控制(NAT)功能,但是,可以使用任何能夠執行靜態NAT的裝置。靜態NAT是WLC移動隧道支援的NAT方法,這是路由器配置示例中使用的配置。出於配置目的,使用以下路由器:NAT-A和NAT-B。WLC1位於路由器NAT-A之後,WLC2位於路由器NAT-B之後。
路由器NAT-A配置:
CLI:
RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/0
RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat inside
RouterNAT-A(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/1
RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat outside
RouterNAT-A(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#
路由器NAT-B配置:
CLI:
RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/2
RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat inside
RouterNAT-B(config-if)#end
RouterNAT-A#
RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/3
RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat outside
RouterNAT-B(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#
在無線Lan控制器上使用NAT配置移動性
這是在WLC之間共用的配置,用於使用NAT建立移動隧道:
- 專用移動IP地址
- 公共移動IP地址
- 移動組Mac地址
- 移動組名稱
將WLC1的組態新增到WLC2,反之亦然,這可透過WLC中的CLI或GUI完成,因為此組態的最終目標是使用NAT的行動通道,因此兩個WLC的公共行動IP位址是在每台路由器的靜態NAT組態中設定的NAT IP位址。
WLC1的配置:
GUI:
CLI:
WLC1#config t
WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
WLC1(config)#end
WLC1#
WLC2組態:
GUI:
CLI:
WLC2#config t
WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
WLC2(config)#end
WLC2#
驗證
路由器配置驗證
從路由器端,這些命令檢驗NAT配置。NAT配置必須是靜態的(如本文檔前面所述),NAT的內部和外部配置正是由於該靜態配置而存在的。
路由器NAT-A
RouterNAT-A#show run interface GigabitEthernet0/1/0
interface GigabitEthernet0/1/0
ip add 10.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-A#show run interface GigabitEthernet0/1/1
interface GigabitEthernet0/1/1
ip add 20.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-A#show run | in ip nat inside
ip nat inside source static 10.0.0.2 20.0.0.2
路由器NAT-B
RouterNAT-B#show run interface GigabitEthernet0/1/2
interface GigabitEthernet0/1/2
ip add 40.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-B#show run interface GigabitEthernet0/1/3
interface GigabitEthernet0/1/3
ip add 30.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-B#show run | in ip nat inside
ip nat inside source static 40.0.0.2 30.0.0.2
無線LAN控制器組態驗證
從WLC GUI和CLI檢查移動隧道的狀態,如本文檔前面所述,用於確認通過移動隧道的WLC之間的正確通訊的正確狀態是:Up,任何其他狀態都需要調查。
WLC1
GUI:
CLI:
WLC1#show wireless mobility summary
Mobility Summary
Wireless Management VLAN: 10
Wireless Management IP Address: 10.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e57.d8cb
Mobility Domain Identifier: 0x34ac
Controllers configured in the Mobility Domain:
IP Public Ip MAC Address Group Name Multicast IPv4 Multicast IPv6 Status PMTU
--------------------------------------------------------------------------------------------------------------------
10.0.0.2 N/A f4bd.9e57.d8cb default 0.0.0.0 :: N/A N/A
40.0.0.2 30.0.0.2 f4bd.9e56.304b default 0.0.0.0 :: Up 1385
WLC2
GUI:
CLI:
WLC2#show wireless mobility summary
Mobility Summary
Wireless Management VLAN: 40
Wireless Management IP Address: 40.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e56.304b
Mobility Domain Identifier: 0x34ac
Controllers configured in the Mobility Domain:
IP Public Ip MAC Address Group Name Multicast IPv4 Multicast IPv6 Status PMTU
--------------------------------------------------------------------------------------------------------------------
40.0.0.2 N/A f4bd.9e56.304b default 0.0.0.0 :: N/A N/A
10.0.0.2 20.0.0.2 f4bd.9e57.d8cb default 0.0.0.0 :: Up 1385
疑難排解
路由器故障排除
從路由器端檢驗IP NAT轉換是否正確進行。
IP NAT轉換和統計資訊
使用這些命令檢視正在路由器中執行的內部和外部轉換,以及檢查NAT統計資訊。
#show ip nat translations
#show ip nat statistics
IP NAT調試
此命令從路由器的角度調試NAT轉換,以瞭解NAT是如何進行的,或者路由器執行NAT轉換時是否存在任何問題。
#debug ip nat
#show debug
註:路由器上的任何debug命令都可能導致過載,從而導致路由器無法運行。必須謹慎使用路由器中的調試,如果可能,在生產期間不要在關鍵生產路由器上運行任何調試,則需要一個維護視窗。
無線區域網控制器故障排除
如果行動通道顯示的任何狀態不是Up的正確狀態,則可以從該WLC收集此資訊。
移動進程日誌
此命令從過去和現在生成移動日誌
#show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt
您可以使用命令在WLC本身中讀取收集到的資訊
#more bootflash:mobilitytunnel.txt
也可將收集到的資訊從WLC匯出,然後使用指令在外部來源中讀取
#copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt
行動化偵錯和追蹤
如果移動進程日誌不能生成足夠的資訊來發現問題,調試和跟蹤可以提供更詳細的資訊。
當使用NAT為移動隧道收集調試和跟蹤時,必須在跟蹤部分輸入這些資訊,以同時獲取資訊,以便更好地瞭解行為:
- 對等公共移動IP地址
- 對等私有移動IP地址
- 對等移動Mac地址
在本範例中,在WLC2中輸入公共和私人IP位址以及WLC1的行動化MAC位址,也必須反向完成,其中我們在WLC1的RA追蹤部分輸入私人和公共IP位址以及WLC2的行動化MAC位址。
WLC GUI
可以從GUI收集調試和跟蹤,如圖所示。
WLC CLI
debug platform condition feature wireless ip 10.0.0.2
debug platform condition feature wireless ip 20.0.0.2
debug platform condition feature wireless mac f4bd.9e57.d8cb
要收集調試資訊,可以使用此命令。根據需要更改debugs集合的時間。
#show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
#show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
#show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt
使用傳輸協定將檔案複製到外部源。
#copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
#copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
#copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt
封包擷取
9800 WLC能夠擷取內嵌式封包擷取,並使用此功能檢查使用NAT的移動通道的WLC之間交換的封包。
在本範例中,WLC1的私人IP位址在WLC2中用於設定封包擷取,必須反向執行,在此必須使用WLC1中WLC2的私人IP位址來設定封包擷取。
要捕獲資料包,可以建立ACL來過濾資料包,並只顯示我們使用NAT查詢的移動隧道的資料包,建立ACL後,它會作為過濾器附加到資料包捕獲中。您可以使用移動專用IP地址建立ACL,因為這些地址是資料包報頭中的地址。
#config t
(config)#ip access-list extended Mobility
(config-ext-nacl)#permit ip host 10.0.0.2 any
(config-ext-nacl)#permit ip any host 10.0.0.2
(config-ext-nacl)#end
#monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both
在捕獲啟動之前,此命令可用於檢查監控器捕獲配置。
#show monitor capture MobilityNAT
一旦監控器捕獲準備就緒並選中,即可啟動監控器捕獲。
#monitor capture MobilityNAT start
要停止它,可使用以下命令。
#monitor capture MobilityNAT stop
一旦監控器捕獲停止,就可以使用傳輸協定將其匯出到外部源。
#monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap
註:具有NAT的移動隧道是一項需要WLC之間雙向會話的功能,由於該功能的性質,強烈建議同時從兩個WLC收集日誌、調試和跟蹤或資料包捕獲,以便更好地瞭解具有NAT資料包交換的移動隧道。
清除調試、跟蹤和資料包捕獲
擷取所需的資訊後,可以從WLC中移除偵錯、追蹤和嵌入式封包擷取組態,如此處所述。
調試和跟蹤
#clear platform condition all
資料包捕獲
#config t
(config)# no ip access-list extended Mobility
(config)#end
#no monitor capture MobilityNAT
收集完所需資訊後,強烈建議清除WLC中執行的疑難排解組態。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
16-Feb-2024 |
初始版本 |
意見