Configureer de 9800 draadloze LAN-controller mobiliteitstunnel met NAT
Inhoud
Inleiding
Dit document beschrijft hoe u 9800 draadloze LAN-controllers (WLC) kunt configureren met een mobiliteitstunnel via Network Address Translation (NAT).
Voorwaarden
Vereisten
Cisco raadt u aan kennis van deze onderwerpen te hebben:
- Statische NAT-configuratie en -concepten (Network Address Translation).
- 9800 configuratie en concepten voor mobiele tunnels met draadloze LAN-controllers.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Catalyst 9800 draadloze controller Series (Catalyst 9800-L), Cisco IOS® XE Gibraltar 17.9.4
- Geïntegreerde services routers (ISR), Cisco IOS® XE Gibraltar 17.6.5
- Catalyst 3560 Series Switch, Cisco IOS® XE Gibraltar 15.2.4E10
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Mobiliteitstunnels worden gecreëerd tussen twee of meer draadloze LAN-controllers (WLC) met de bedoeling om informatie te delen tussen deze controllers, zoals access point informatie, draadloze client informatie, RRM informatie en meer.
Het kan ook worden gebruikt als een configuratie gebaseerd op Anchor - Foreign designs. Dit document beschrijft hoe u een mobiliteitstunnel kunt configureren tussen draadloze LAN-controllers (WLC) en Network Address Control (NAT).
De WLC-mobiliteitstunnel kan een van de volgende vier staten hebben:
- Besturing en gegevenspad omlaag
- Besturingspad omlaag (dit houdt in dat gegevenspad omhoog is)
- Gegevenspad omlaag (dit impliceert dat Controle omhoog is)
- Omhoog
De laatste en juiste status voor een mobiliteitstunnel is: omhoog, elke andere staat vereist verder onderzoek. Mobiliteitstunnels werken via CAPWAP udp-poorten 16666 en 16667 van waaruit udp-poort 16666 is voor Control Path en 16667 voor Data Path, vanwege dit is het noodzakelijk om ervoor te zorgen dat deze poorten open zijn tussen de WLC's.
Opmerking: voor de WLC-mobiliteitstunnelconfiguratie zonder NAT kunt u Mobiliteitstypen configureren op Catalyst 9800 draadloze LAN-controllers
Beperkingen voor NAT-ondersteuning voor Mobiliteitsgroepen
- Alleen statische NAT (1:1) kan worden geconfigureerd.
- Meervoudige tunnelpeers met hetzelfde openbare IP-adres worden niet ondersteund.
- Elk lid moet een uniek privaat IP-adres hebben.
- De vertaling van het Adres van de poort (PAT) wordt niet ondersteund.
- Inter-Release Controller Mobility (IRCM) voor draadloze clientprogramma's wordt niet ondersteund.
- IPv6-adresomzetting wordt niet ondersteund.
- Network Access Control (NAT) met Mobility Tunnel wordt ondersteund vanuit WLC-codeversie 17.7.1 en hoger.
Netwerkdiagram
Configureren
NAT op router configureren
In deze configuratie worden routers gebruikt om NAT-mogelijkheden (Network Access Control) te bieden. Elk apparaat dat statische NAT kan uitvoeren, kan echter worden gebruikt. Statische NAT is de NAT-methode die wordt ondersteund voor WLC-mobiliteitstunnels. Dit is de configuratie die wordt gebruikt in het routerconfiguratievoorbeeld. Voor configuratiedoeleinden worden deze routers gebruikt: NAT-A en NAT-B. WLC1 ligt achter router NAT-A en WLC2 ligt achter router NAT-B.
Router NAT-A configuratie:
CLI:
RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/0
RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat inside
RouterNAT-A(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#interface GigabitEthernet0/1/1
RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
RouterNAT-A(config-if)#ip nat outside
RouterNAT-A(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#
Router NAT-B configuratie:
CLI:
RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/2
RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat inside
RouterNAT-B(config-if)#end
RouterNAT-A#
RouterNAT-B#config t
RouterNAT-B(config)#interface GigabitEthernet0/1/3
RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
RouterNAT-B(config-if)#ip nat outside
RouterNAT-B(config-if)#end
RouterNAT-A#
RouterNAT-A#config t
RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
RouterNAT-A(config)#end
RouterNAT-A#
Mobility configureren met NAT op draadloze LAN-controller
Dit is de configuratie om tussen WLCs te delen om de mobiliteitstunnel met NAT te creëren:
- IP-adres voor privé-mobiliteit
- IP-adres voor openbare mobiliteit
- Mobiliteitsgroep Mac-adres
- Naam van Mobiliteitsgroep
De configuratie van WLC1 wordt toegevoegd aan WLC2 en vice versa, dit kan worden gedaan via CLI of GUI in de WLCs, aangezien de mobiliteitstunnel met NAT het definitieve doel van deze configuratie is het Openbare mobiliteit IP Adres van beide WLCs het NAT IP Adres dat in de statische NAT configuratie in elke router wordt gevormd is.
WLC1-configuratie:
GUI:
CLI:
WLC1#config t
WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
WLC1(config)#end
WLC1#
WLC2-configuratie:
GUI:
CLI:
WLC2#config t
WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
WLC2(config)#end
WLC2#
Verifiëren
Verificatie van routerconfiguratie
Van de routerkant verifiëren deze opdrachten de NAT-configuratie. NAT-configuratie moet statisch zijn (zoals eerder in het document is vermeld), waardoor de binnen- en buitenconfiguratie voor NAT aanwezig zijn.
router NAT-A
RouterNAT-A#show run interface GigabitEthernet0/1/0
interface GigabitEthernet0/1/0
ip add 10.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-A#show run interface GigabitEthernet0/1/1
interface GigabitEthernet0/1/1
ip add 20.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-A#show run | in ip nat inside
ip nat inside source static 10.0.0.2 20.0.0.2
Router NAT-B
RouterNAT-B#show run interface GigabitEthernet0/1/2
interface GigabitEthernet0/1/2
ip add 40.0.0.1 255.255.255.0
ip nat inside
!
RouterNAT-B#show run interface GigabitEthernet0/1/3
interface GigabitEthernet0/1/3
ip add 30.0.0.1 255.255.255.0
ip nat outside
!
RouterNAT-B#show run | in ip nat inside
ip nat inside source static 40.0.0.2 30.0.0.2
Configuratie-verificatie van draadloze LAN-controllers
Controleer vanuit de WLC GUI en CLI de status van de mobiliteitstunnel, zoals eerder in dit document vermeld, de juiste status om een correcte communicatie tussen de WLC's over mobiliteitstunnel te bevestigen is: Omhoog, elke andere status moet worden onderzocht.
WLC1
GUI:
CLI:
WLC1#show wireless mobility summary
Mobility Summary
Wireless Management VLAN: 10
Wireless Management IP Address: 10.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e57.d8cb
Mobility Domain Identifier: 0x34ac
Controllers configured in the Mobility Domain:
IP Public Ip MAC Address Group Name Multicast IPv4 Multicast IPv6 Status PMTU
--------------------------------------------------------------------------------------------------------------------
10.0.0.2 N/A f4bd.9e57.d8cb default 0.0.0.0 :: N/A N/A
40.0.0.2 30.0.0.2 f4bd.9e56.304b default 0.0.0.0 :: Up 1385
WLC2
GUI:
CLI:
WLC2#show wireless mobility summary
Mobility Summary
Wireless Management VLAN: 40
Wireless Management IP Address: 40.0.0.2
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 0
Mobility High Cipher : False
Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: f4bd.9e56.304b
Mobility Domain Identifier: 0x34ac
Controllers configured in the Mobility Domain:
IP Public Ip MAC Address Group Name Multicast IPv4 Multicast IPv6 Status PMTU
--------------------------------------------------------------------------------------------------------------------
40.0.0.2 N/A f4bd.9e56.304b default 0.0.0.0 :: N/A N/A
10.0.0.2 20.0.0.2 f4bd.9e57.d8cb default 0.0.0.0 :: Up 1385
Problemen oplossen
Probleemoplossing voor routers
Controleer aan de routerkant of de IP NAT-vertalingen correct worden uitgevoerd.
IP NAT-vertalingen en statistieken
Gebruik deze opdrachten om de binnen- en buitenvertalingen te bekijken die in de router worden uitgevoerd en om de NAT-statistieken te controleren.
#show ip nat translations
#show ip nat statistics
IP NAT-debug
Deze opdracht debuteert de NAT-vertaling vanuit het routerperspectief om te begrijpen hoe de NAT plaatsvindt of als er een probleem is terwijl de router de NAT-vertaling uitvoert.
#debug ip nat
#show debug
Opmerking: elke debug-opdracht op een router kan overbelasting veroorzaken waardoor de router inoperabel wordt. Debugs in routers moeten met extreme voorzichtigheid worden gebruikt, indien mogelijk geen debug op een kritieke productieroutertijdens productietijd uitvoeren, is een onderhoudsvenster gewenst.
Probleemoplossing voor draadloze LAN-controllers
De informatie hier kan worden verzameld uit de WLC voor het geval de mobiliteitstunnel een toestand laat zien die niet de juiste staat is die omhoog is.
Logboeken van mobiliteitsprocessen
Deze opdracht genereert mobiliteitslogboeken uit het verleden en het heden
#show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt
De verzamelde informatie kan in de WLC zelf worden gelezen met de opdracht
#more bootflash:mobilitytunnel.txt
De verzamelde informatie kan ook uit WLC worden geëxporteerd om deze in een externe bron met de opdracht te lezen
#copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt
Mobiliteitsdebugs en -traces
Debugs en traces kunnen meer gedetailleerde informatie bieden als de logboeken van het mobiliteitsproces niet in staat zijn om informatie te genereren genoeg om het probleem te vinden.
Wanneer debugs en traces worden verzameld voor mobiliteitstunnel met NAT is het belangrijk om deze informatie in te voeren in de sectie van het spoor om de informatie gelijktijdig te krijgen om het gedrag beter te begrijpen:
- IP-adres voor openbare mobiliteit van peers
- IP-adres voor privé-mobiliteit
- Peer mobility Mac-adres
In dit voorbeeld is het publieke en private IP-adres samen met het mobiele MAC-adres van WLC1 ingevoerd in WLC2, hetzelfde moet achterwaarts worden gedaan, waar we het private en publieke IP-adres invoeren samen met het mobiele Mac-adres van WLC2 in de RA Trace-sectie van WLC1.
WLC GUI
Debugs en Traces kunnen zoals getoond worden verzameld uit de GUI.
WLC CLI
debug platform condition feature wireless ip 10.0.0.2
debug platform condition feature wireless ip 20.0.0.2
debug platform condition feature wireless mac f4bd.9e57.d8cb
Om de debugs te verzamelen kan deze opdracht worden gebruikt. Verander de tijd van de debugs collectie zoals nodig.
#show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
#show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
#show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt
Kopieert de bestanden naar een externe bron met een overdrachtprotocol.
#copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
#copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
#copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt
PacketCapture
De 9800 WLC heeft de mogelijkheid om ingesloten pakketopnamen te nemen, gebruik deze functie om te controleren welke pakketten tussen WLC's worden uitgewisseld voor de mobiliteitstunnel met NAT.
In dit voorbeeld wordt het privé IP-adres van WLC1 gebruikt in WLC2 om het pakketvastlegging in te stellen, hetzelfde moet achterwaarts worden gedaan, waar het moet worden gebruikt voor het privé IP-adres van WLC2 in WLC1 voor de pakketvastlegging.
Om het pakket op te nemen, kan een ACL worden gemaakt om de pakketten te filteren en alleen de pakketten te tonen die we zoeken naar een mobiliteitstunnel met NAT, zodra de ACL is gemaakt, wordt deze als filter aan het pakket vastgemaakt. ACL kan met het mobiliteit privé IP Adres worden tot stand gebracht aangezien die degenen in de pakketheader zijn.
#config t
(config)#ip access-list extended Mobility
(config-ext-nacl)#permit ip host 10.0.0.2 any
(config-ext-nacl)#permit ip any host 10.0.0.2
(config-ext-nacl)#end
#monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both
Alvorens de opname start, kan deze opdracht worden gebruikt om de configuratie van de monitoropname te controleren.
#show monitor capture MobilityNAT
Zodra de monitor klaar is en is gecontroleerd, kan deze worden gestart.
#monitor capture MobilityNAT start
Om het tegen te houden kan deze opdracht worden gebruikt.
#monitor capture MobilityNAT stop
Zodra de monitor ophoudt met opnemen, kan deze met een overdrachtprotocol naar een externe bron worden geëxporteerd.
#monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap
Opmerking: Mobiliteitstunnel met NAT is een functie die een tweerichtingsgesprek tussen WLC's vereist, vanwege de aard van de functie wordt het ten zeerste aanbevolen om de logbestanden, debugs en traces te verzamelen of pakketopnamen van beide WLC's tegelijkertijd om de mobiliteitstunnel met NAT pakketuitwisseling beter te begrijpen.
debugs, traces en pakketopnamen wissen
Zodra de benodigde informatie is genomen, kunnen de debugs, traces en ingesloten pakketopnameconfiguratie worden verwijderd uit de WLC zoals hier beschreven.
Debugs en traces
#clear platform condition all
PacketCapture
#config t
(config)# no ip access-list extended Mobility
(config)#end
#no monitor capture MobilityNAT
Het is sterk aanbevolen om de probleemoplossing configuratie die werd uitgevoerd in de WLC te wissen zodra de benodigde informatie was verzameld.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
16-Feb-2024 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)