Configurazione del tunnel di mobilità del controller LAN wireless 9800 con NAT

Opzioni per il download

  • PDF     (787.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (654.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (437.1 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:16 febbraio 2024
ID documento:221707

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come configurare i Wireless Lan Controller (WLC) 9800 con un tunnel mobile su Network Address Translation (NAT).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Configurazione e concetti di Static Network Address Translation (NAT).
    • Configurazione E Concetti Del Tunnel Di Mobilità Del Controller Lan Wireless 9800.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Catalyst serie 9800 Wireless Controller (Catalyst 9800-L), Cisco IOS® XE Gibraltar 17.9.4
    • ISR (Integrated Services Router), Cisco IOS® XE Gibraltar 17.6.5
    • Catalyst serie 3560 Switch, Cisco IOS® XE Gibraltar 15.2.4E10

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    I tunnel di mobilità vengono creati tra due o più Wireless Lan Controller (WLC) con l'intenzione di condividere informazioni tra di essi, come ad esempio informazioni sugli access point, informazioni sui client wireless, informazioni sui gestori delle reti wireless e altro ancora.

    Può essere utilizzato anche come configurazione basata su progetti Anchor - Foreign. Questo documento descrive come configurare un tunnel per la mobilità tra i Wireless Lan Controller (WLC) con Network Address Control (NAT).

    Il tunnel di mobilità WLC può avere uno dei seguenti quattro stati:

    • Percorso controllo e dati non attivo
    • Percorso di controllo inattivo (ciò implica che il percorso dei dati è attivo)
    • Percorso dati inattivo (ciò implica che il controllo è attivo)
    • Su

    Lo stato finale e corretto per un tunnel di mobilità è: Su, qualsiasi altro stato richiede ulteriori indagini. I tunnel di mobilità funzionano sulle porte udp CAPWAP 1666 e 1667 da cui la porta udp 1666 è per Control Path e 1667 per Data Path. Per questo motivo è necessario verificare che queste porte siano aperte tra i WLC.

    note-icon

    Nota: per la configurazione del tunnel per la mobilità WLC senza NAT, fare riferimento a Configurazione delle topologie di mobilità sui controller LAN wireless Catalyst 9800

    Restrizioni per il supporto NAT sui gruppi di mobilità

    • È possibile configurare solo un NAT statico (1:1).
    • Non sono supportati più peer del tunnel di mobilità con lo stesso indirizzo IP pubblico.
    • Ogni membro deve disporre di un indirizzo IP privato univoco.
    • Port Address Translation (PAT) non supportato.
    • IRCM (Inter-Release Controller Mobility) per roaming client wireless non supportato.
    • La conversione degli indirizzi IPv6 non è supportata.
    • Il controllo degli accessi alla rete (NAT) con Mobility Tunnel è supportato dal codice WLC versione 17.7.1 e successive.

    Esempio di rete

    NATopoli

    Configurazione

    Configurazione di NAT sul router

    In questa configurazione vengono utilizzati i router per fornire le funzionalità NAT (Network Access Control). Tuttavia, è possibile utilizzare qualsiasi dispositivo in grado di eseguire NAT statico. NAT statico è il metodo NAT supportato per i tunnel di mobilità WLC. Questa è la configurazione utilizzata nell'esempio di configurazione dei router. Per scopi di configurazione, vengono usati questi router: NAT-A e NAT-B. Il WLC1 è dietro il router NAT-A e il WLC2 è dietro il router NAT-B.

    Configurazione NAT-A router:

    CLI:

    RouterNAT-A#config t
    RouterNAT-A(config)#interface GigabitEthernet0/1/0
    RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
    RouterNAT-A(config-if)#ip nat inside
    RouterNAT-A(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#interface GigabitEthernet0/1/1
    RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
    RouterNAT-A(config-if)#ip nat outside
    RouterNAT-A(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
    RouterNAT-A(config)#end
    RouterNAT-A#

    Configurazione NAT-B router:

    CLI:

    RouterNAT-B#config t
    RouterNAT-B(config)#interface GigabitEthernet0/1/2
    RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
    RouterNAT-B(config-if)#ip nat inside
    RouterNAT-B(config-if)#end
    RouterNAT-A#

    RouterNAT-B#config t
    RouterNAT-B(config)#interface GigabitEthernet0/1/3
    RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
    RouterNAT-B(config-if)#ip nat outside
    RouterNAT-B(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
    RouterNAT-A(config)#end
    RouterNAT-A#

    Configurazione della mobilità con NAT sul controller LAN wireless

    Questa è la configurazione da condividere tra i WLC per creare il tunnel per la mobilità con NAT:

    • Indirizzo IP mobilità privata
    • Indirizzo IP mobilità pubblica
    • Indirizzo Mac del gruppo di mobilità
    • Nome gruppo di mobilità

    La configurazione del WLC1 viene aggiunta al WLC2 e viceversa, questa operazione può essere effettuata tramite CLI o GUI nei WLC, poiché il tunnel per la mobilità con NAT è l'obiettivo finale di questa configurazione. L'indirizzo IP per la mobilità pubblica di entrambi i WLC è l'indirizzo IP NAT configurato nella configurazione NAT statica in ciascun router.

    Configurazione WLC1:

    GUI:

    SSWLC1-2

    CLI:

    WLC1#config t
    WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
    WLC1(config)#end
    WLC1#

    Configurazione WLC2:

    GUI:

    SSWLC2-2

    CLI:

    WLC2#config t
    WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
    WLC2(config)#end
    WLC2#

    Verifica

    Verifica della configurazione del router

    Dal lato router, questi comandi verificano la configurazione NAT. La configurazione NAT deve essere statica (come accennato in precedenza nel documento) a causa della quale sono presenti la configurazione interna ed esterna di NAT.

    RouterNAT-A

    RouterNAT-A#show run interface GigabitEthernet0/1/0
    interface GigabitEthernet0/1/0
    ip add 10.0.0.1 255.255.255.0
    ip nat inside
    !
    RouterNAT-A#show run interface GigabitEthernet0/1/1
    interface GigabitEthernet0/1/1
    ip add 20.0.0.1 255.255.255.0
    ip nat outside
    !
    RouterNAT-A#show run | in ip nat inside
    ip nat inside source static 10.0.0.2 20.0.0.2

    RouterNAT-B

    RouterNAT-B#show run interface GigabitEthernet0/1/2
    interface GigabitEthernet0/1/2
    ip add 40.0.0.1 255.255.255.0
    ip nat inside
    !
    RouterNAT-B#show run interface GigabitEthernet0/1/3
    interface GigabitEthernet0/1/3
    ip add 30.0.0.1 255.255.255.0
    ip nat outside
    !
    RouterNAT-B#show run | in ip nat inside
    ip nat inside source static 40.0.0.2 30.0.0.2

    Verifica della configurazione del controller LAN wireless

    Verificare dallo GUI e dalla CLI del WLC lo stato del tunnel per la mobilità, come accennato in precedenza in questo documento, lo stato corretto per confermare una comunicazione corretta tra i WLC sul tunnel per la mobilità è: Attivo, qualsiasi altro stato richiede un'indagine.

    WLC1

    GUI:

    SSWLC1

    CLI:

    WLC1#show wireless mobility summary
    Mobility Summary

    Wireless Management VLAN: 10
    Wireless Management IP Address: 10.0.0.2
    Wireless Management IPv6 Address:
    Mobility Control Message DSCP Value: 0
    Mobility High Cipher : False
    Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
    Mobility Keepalive Interval/Count: 10/3
    Mobility Group Name: default
    Mobility Multicast Ipv4 address: 0.0.0.0
    Mobility Multicast Ipv6 address: ::
    Mobility MAC Address: f4bd.9e57.d8cb
    Mobility Domain Identifier: 0x34ac

    Controllers configured in the Mobility Domain:

     IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
    --------------------------------------------------------------------------------------------------------------------
    10.0.0.2    N/A           f4bd.9e57.d8cb      default        0.0.0.0            ::                N/A        N/A
    40.0.0.2    30.0.0.2      f4bd.9e56.304b      default        0.0.0.0            ::                Up         1385

    WLC2

    GUI:

    SSWLC2

    CLI:

    WLC2#show wireless mobility summary
    Mobility Summary

    Wireless Management VLAN: 40
    Wireless Management IP Address: 40.0.0.2
    Wireless Management IPv6 Address:
    Mobility Control Message DSCP Value: 0
    Mobility High Cipher : False
    Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
    Mobility Keepalive Interval/Count: 10/3
    Mobility Group Name: default
    Mobility Multicast Ipv4 address: 0.0.0.0
    Mobility Multicast Ipv6 address: ::
    Mobility MAC Address: f4bd.9e56.304b
    Mobility Domain Identifier: 0x34ac

    Controllers configured in the Mobility Domain:

     IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
    --------------------------------------------------------------------------------------------------------------------
    40.0.0.2    N/A            f4bd.9e56.304b     default        0.0.0.0            ::                N/A        N/A
    10.0.0.2    20.0.0.2       f4bd.9e57.d8cb     default        0.0.0.0            ::                Up         1385

    Risoluzione dei problemi

    Risoluzione dei problemi del router

    Verificare dal lato router che le conversioni IP NAT abbiano luogo correttamente.

    Traduzioni e statistiche IP NAT

    Utilizzare questi comandi per esaminare le conversioni interne ed esterne effettuate sul router e per controllare le statistiche NAT. 

    #show ip nat translations
    #show ip nat statistics 

    debug IP NAT

    Questo comando esegue il debug della conversione NAT dal punto di vista del router per comprendere come il NAT sta avvenendo o se esiste un problema durante la traduzione NAT.

    #debug ip nat 
    #show debug
    note-icon

    Nota: qualsiasi comando debug su un router potrebbe causare un sovraccarico che renderebbe il router inutilizzabile. I debug sui router devono essere usati con estrema cautela; se possibile, non eseguire alcun debug su un router di produzione critico durante il tempo di produzione; è necessaria una finestra di manutenzione.

    Risoluzione Dei Problemi Del Controller Lan Wireless

    Le informazioni possono essere raccolte dal WLC nel caso in cui il tunnel per la mobilità mostri uno stato non corretto che è Attivo.

    Log dei processi di mobilità

    Questo comando genera registri di mobilità dal tempo passato e presente 

    #show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt

    Le informazioni raccolte possono essere lette nel WLC stesso con il comando

    #more bootflash:mobilitytunnel.txt

    Le informazioni raccolte possono anche essere esportate dal WLC per leggerle in un'origine esterna con il comando

    #copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt 

    Debug e tracce della mobilità

    Debug e tracce possono fornire informazioni più dettagliate nel caso in cui i registri dei processi di mobilità non siano in grado di generare informazioni sufficienti per individuare il problema.

    Quando si raccolgono i debug e le tracce per il tunnel di mobilità con NAT, è importante immettere queste informazioni nella sezione di traccia per ottenere le informazioni simultaneamente e capire meglio il comportamento:

    • Indirizzo IP mobilità pubblica peer
    • Indirizzo IP mobilità privata peer
    • Indirizzo Mac per mobilità peer

    In questo esempio l'indirizzo IP pubblico e privato insieme all'indirizzo MAC mobile di WLC1 viene immesso in WLC2, lo stesso deve essere fatto a ritroso, dove si immette l'indirizzo IP pubblico e privato insieme all'indirizzo Mac mobile di WLC2 nella sezione RA Trace di WLC1.

    GUI WLC

    Riprese NAT

    è possibile raccogliere i debug e le tracce dalla GUI, come mostrato.

    Interfaccia grafica GatherDebugs

    CLI WLC

    debug platform condition feature wireless ip 10.0.0.2
    debug platform condition feature wireless ip 20.0.0.2
    debug platform condition feature wireless mac f4bd.9e57.d8cb

    Per raccogliere i debug, è possibile usare questo comando. Modificare l'ora dell'insieme debugs in base alle esigenze.

    #show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
    #show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
    #show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt

    Copiare i file in un'origine esterna con un protocollo di trasferimento.

    #copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
    #copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
    #copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt

    Acquisizioni pacchetti

    Il 9800 WLC ha la capacità di acquisire pacchetti incorporati; utilizzare questa funzione per controllare quali pacchetti vengono scambiati tra i WLC per il tunnel di mobilità con NAT.

    In questo esempio, l'indirizzo IP privato del WLC1 viene usato nel WLC2 per configurare l'acquisizione del pacchetto; lo stesso deve essere fatto al contrario, dove deve essere usato l'indirizzo IP privato del WLC2 nel WLC1 per configurare l'acquisizione del pacchetto.

    Per acquisire il pacchetto, è possibile creare un ACL per filtrare i pacchetti e mostrare solo i pacchetti che cerchiamo per il tunnel di mobilità con NAT. Una volta creato l'ACL, l'ACL viene collegato all'acquisizione del pacchetto come filtro. È possibile creare l'ACL con l'indirizzo IP privato di mobilità, in quanto sono quelli nell'intestazione del pacchetto.

    #config t
    (config)#ip access-list extended Mobility
    (config-ext-nacl)#permit ip host 10.0.0.2 any
    (config-ext-nacl)#permit ip any host 10.0.0.2
    (config-ext-nacl)#end

    #monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both

    Prima dell'avvio dell'acquisizione, questo comando può essere utilizzato per controllare la configurazione dell'acquisizione del monitor.

    #show monitor capture MobilityNAT

    Una volta che la cattura è pronta e verificata, è possibile avviarla.

    #monitor capture MobilityNAT start

    Per arrestarlo, è possibile utilizzare questo comando.

    #monitor capture MobilityNAT stop

    Una volta interrotta l'acquisizione del monitor, è possibile esportarlo su una sorgente esterna con un protocollo di trasferimento.

    #monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap
    note-icon

    Nota: il tunnel della mobilità con NAT è una funzione che richiede una conversazione a due vie tra i WLC, a causa della natura della funzione, si consiglia di raccogliere i log, i debug e le tracce o le acquisizioni dei pacchetti da entrambi i WLC contemporaneamente per comprendere meglio il tunnel della mobilità con lo scambio di pacchetti NAT.

    Cancella debug, tracce e acquisizioni di pacchetti

    Una volta acquisite le informazioni necessarie, le tracce e la configurazione dell'acquisizione dei pacchetti integrata possono essere eliminate dal WLC, come descritto di seguito.

    Debug e tracce

    #clear platform condition all

    Acquisizione pacchetti

    #config t
    (config)# no ip access-list extended Mobility
    (config)#end
    #no monitor capture MobilityNAT

    Si consiglia di cancellare la configurazione di risoluzione dei problemi eseguita nel WLC una volta raccolte le informazioni necessarie.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    16-Feb-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Tim Padilla
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti