Configurazione del tunnel di mobilità del controller LAN wireless 9800 con NAT

Opzioni per il download

  • PDF     (788.1 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (654.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (437.3 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:27 gennaio 2025
ID documento:221707

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come configurare i Wireless Lan Controller (WLC) 9800 con un tunnel mobile su Network Address Translation (NAT).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Configurazione e concetti di Static Network Address Translation (NAT).
    • Configurazione E Concetti Del Tunnel Di Mobilità Del Controller Lan Wireless 9800.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Catalyst serie 9800 Wireless Controller (Catalyst 9800-L), Cisco IOS® XE Gibraltar 17.9.4
    • ISR (Integrated Services Router), Cisco IOS® XE Gibraltar 17.6.5
    • Catalyst serie 3560 Switch, Cisco IOS® XE Gibraltar 15.2.4E10

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    I tunnel di mobilità vengono creati tra due o più Wireless Lan Controller (WLC) con l'intenzione di condividere informazioni tra di essi, come ad esempio informazioni sugli access point, informazioni sui client wireless, informazioni sui gestori delle reti wireless e altro ancora.

    Può essere utilizzato anche come configurazione basata su progetti Anchor - Foreign. Questo documento descrive come configurare un tunnel per la mobilità tra i Wireless Lan Controller (WLC) con Network Address Control (NAT).

    Il tunnel di mobilità WLC può avere uno dei quattro stati seguenti:

    1. Percorso controllo e dati non attivo
    2. Percorso di controllo inattivo (ciò implica che il percorso dei dati è attivo)
    3. Percorso dati inattivo (ciò implica che il controllo è attivo)
    4. Attivo

    Lo stato finale e corretto per un tunnel mobile è Attivo. Qualsiasi altro stato richiede ulteriori indagini. I tunnel di mobilità funzionano sulle porte UDP CAPWAP 1666 e 1667 dalle quali la porta UDP 1666 è per Control Path e la porta UDP 1667 per Data Path. Per questo motivo, è necessario verificare che queste porte siano aperte tra i WLC.

    note-icon

    Nota: Per la configurazione del tunnel per la mobilità WLC senza NAT, fare riferimento alla sezione Configurazione delle topologie di mobilità sui controller LAN wireless Catalyst 9800

    Restrizioni per il supporto NAT sui gruppi di mobilità

    • È possibile configurare solo un NAT statico (1:1).
    • Non sono supportati più peer del tunnel di mobilità con lo stesso indirizzo IP pubblico.
    • Ogni membro deve disporre di un indirizzo IP privato univoco.
    • Port Address Translation (PAT) non supportato.
    • IRCM (Inter-Release Controller Mobility) per roaming client wireless non supportato.
    • La conversione degli indirizzi IPv6 non è supportata.
    • Il controllo degli accessi alla rete (NAT) con Mobility Tunnel è supportato dal codice WLC versione 17.7.1 o successive.

    Esempio di rete

    NAT TopologyEsempio di rete

    Configurazione

    Configurazione di NAT sul router

    In questa configurazione vengono utilizzati i router per fornire le funzionalità NAT (Network Access Control). Tuttavia, è possibile utilizzare qualsiasi dispositivo in grado di eseguire NAT statico. NAT statico è il metodo NAT supportato per i tunnel di mobilità WLC. Questa è la configurazione utilizzata nell'esempio di configurazione dei router. Ai fini della configurazione, vengono utilizzati i seguenti router: NAT-A e NAT-B. Il WLC1 è dietro il router NAT-A e il WLC2 è dietro il router NAT-B.

    Configurazione NAT-A router:

    CLI:

    RouterNAT-A#config t
    RouterNAT-A(config)#interface GigabitEthernet0/1/0
    RouterNAT-A(config-if)#ip add 10.0.0.1 255.255.255.0
    RouterNAT-A(config-if)#ip nat inside
    RouterNAT-A(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#interface GigabitEthernet0/1/1
    RouterNAT-A(config-if)#ip add 20.0.0.1 255.255.255.0
    RouterNAT-A(config-if)#ip nat outside
    RouterNAT-A(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#ip nat inside source static 10.0.0.2 20.0.0.2
    RouterNAT-A(config)#end
    RouterNAT-A#

    Configurazione NAT-B router:

    CLI:

    RouterNAT-B#config t
    RouterNAT-B(config)#interface GigabitEthernet0/1/2
    RouterNAT-B(config-if)#ip add 40.0.0.1 255.255.255.0
    RouterNAT-B(config-if)#ip nat inside
    RouterNAT-B(config-if)#end
    RouterNAT-A#

    RouterNAT-B#config t
    RouterNAT-B(config)#interface GigabitEthernet0/1/3
    RouterNAT-B(config-if)#ip add 30.0.0.1 255.255.255.0
    RouterNAT-B(config-if)#ip nat outside
    RouterNAT-B(config-if)#end
    RouterNAT-A#

    RouterNAT-A#config t
    RouterNAT-A(config)#ip nat inside source static 40.0.0.2 30.0.0.2
    RouterNAT-A(config)#end
    RouterNAT-A#

    Configurazione della mobilità con NAT sul controller LAN wireless

    Questa è la configurazione da condividere tra i WLC per creare il tunnel per la mobilità con NAT.

    • Indirizzo IP mobilità privata
    • Indirizzo IP mobilità pubblica
    • Indirizzo Mac del gruppo di mobilità
    • Nome gruppo di mobilità

    La configurazione di WLC1 viene aggiunta al WLC2 e viceversa. Questa operazione può essere eseguita tramite CLI o GUI nei WLC poiché il tunnel per la mobilità con NAT è l'obiettivo finale di questa configurazione. L'indirizzo IP pubblico della mobilità di entrambi i WLC è l'indirizzo IP NAT configurato nella configurazione NAT statica in ciascun router.

    Configurazione WLC1:

    GUI:

    Mobility NAT Config WLC1Mobility NAT Config WLC1

    CLI:

    WLC1#config t
    WLC1(config)#wireless mobility group member mac-address f4bd.9e56.304b ip 40.0.0.2 public-ip 30.0.0.2 group default
    WLC1(config)#end
    WLC1#

    Configurazione WLC2:

    GUI:

    Mobility NAT Config WLC2Configurazione Mobility NAT WLC2

    CLI:

    WLC2#config t
    WLC2(config)#wireless mobility group member mac-address f4bd.9e57.d8cb ip 10.0.0.2 public-ip 20.0.0.2 group default
    WLC2(config)#end
    WLC2#

    Verifica

    Verifica della configurazione del router

    Dal lato router, questi comandi verificano la configurazione NAT. La configurazione NAT deve essere statica (come accennato in precedenza nel documento) a causa della quale sono presenti la configurazione interna ed esterna di NAT.

    RouterNAT-A

    RouterNAT-A#show run interface GigabitEthernet0/1/0
    interface GigabitEthernet0/1/0
    ip add 10.0.0.1 255.255.255.0
    ip nat inside
    !
    RouterNAT-A#show run interface GigabitEthernet0/1/1
    interface GigabitEthernet0/1/1
    ip add 20.0.0.1 255.255.255.0
    ip nat outside
    !
    RouterNAT-A#show run | in ip nat inside
    ip nat inside source static 10.0.0.2 20.0.0.2

    RouterNAT-B

    RouterNAT-B#show run interface GigabitEthernet0/1/2
    interface GigabitEthernet0/1/2
    ip add 40.0.0.1 255.255.255.0
    ip nat inside
    !
    RouterNAT-B#show run interface GigabitEthernet0/1/3
    interface GigabitEthernet0/1/3
    ip add 30.0.0.1 255.255.255.0
    ip nat outside
    !
    RouterNAT-B#show run | in ip nat inside
    ip nat inside source static 40.0.0.2 30.0.0.2

    Verifica della configurazione del controller LAN wireless

    Controllare lo stato del tunnel per la mobilità nell'interfaccia utente grafica del WLC e nella CLI. Come accennato in precedenza in questo documento, lo stato corretto per confermare una corretta comunicazione tra i WLC sul tunnel mobile è Attivo. Qualsiasi altro stato richiede un'indagine.

    WLC1

    GUI:

    Mobility NAT Verification WLC1Verifica Mobility NAT WLC1

    CLI:

    WLC1#show wireless mobility summary
    Mobility Summary

    Wireless Management VLAN: 10
    Wireless Management IP Address: 10.0.0.2
    Wireless Management IPv6 Address:
    Mobility Control Message DSCP Value: 0
    Mobility High Cipher : False
    Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
    Mobility Keepalive Interval/Count: 10/3
    Mobility Group Name: default
    Mobility Multicast Ipv4 address: 0.0.0.0
    Mobility Multicast Ipv6 address: ::
    Mobility MAC Address: f4bd.9e57.d8cb
    Mobility Domain Identifier: 0x34ac

    Controllers configured in the Mobility Domain:

     IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
    --------------------------------------------------------------------------------------------------------------------
    10.0.0.2    N/A           f4bd.9e57.d8cb      default        0.0.0.0            ::                N/A        N/A
    40.0.0.2    30.0.0.2      f4bd.9e56.304b      default        0.0.0.0            ::                Up         1385

    WLC2

    GUI:

    Mobility NAT Verification WLC2Verifica Mobility NAT WLC2

    CLI:

    WLC2#show wireless mobility summary
    Mobility Summary

    Wireless Management VLAN: 40
    Wireless Management IP Address: 40.0.0.2
    Wireless Management IPv6 Address:
    Mobility Control Message DSCP Value: 0
    Mobility High Cipher : False
    Mobility DTLS Supported Ciphers: TLS_ECDHE_RSA_AES128_GCM_SHA256, TLS_RSA_AES256_GCM_SHA384, TLS_RSA_AES128_CBC_SHA
    Mobility Keepalive Interval/Count: 10/3
    Mobility Group Name: default
    Mobility Multicast Ipv4 address: 0.0.0.0
    Mobility Multicast Ipv6 address: ::
    Mobility MAC Address: f4bd.9e56.304b
    Mobility Domain Identifier: 0x34ac

    Controllers configured in the Mobility Domain:

     IP          Public Ip     MAC Address         Group Name     Multicast IPv4     Multicast IPv6   Status     PMTU
    --------------------------------------------------------------------------------------------------------------------
    40.0.0.2    N/A            f4bd.9e56.304b     default        0.0.0.0            ::                N/A        N/A
    10.0.0.2    20.0.0.2       f4bd.9e57.d8cb     default        0.0.0.0            ::                Up         1385

    Risoluzione dei problemi

    Risoluzione dei problemi del router

    Verificare dal lato router che le conversioni IP NAT abbiano luogo correttamente.

    Traduzioni e statistiche IP NAT

    Utilizzare questi comandi per verificare che le conversioni interna ed esterna siano in esecuzione sul router, nonché per controllare le statistiche NAT. 

    #show ip nat translations
    #show ip nat statistics 

    Debug IP NAT

    Questo comando esegue il debug della traduzione NAT dalla prospettiva del router per comprendere come NAT sta avvenendo o se esiste un problema durante la traduzione NAT da parte del router.

    #debug ip nat 
    #show debug
    note-icon

    Nota: Qualsiasi comando debug su un router potrebbe causare un sovraccarico che renderebbe il router inutilizzabile. I debug sui router devono essere usati con estrema cautela. Se possibile, non eseguire il debug su un router di produzione critico durante il tempo di produzione. Si desidera una finestra di manutenzione.

    Risoluzione Dei Problemi Del Controller Lan Wireless

    Le informazioni possono essere raccolte dal WLC nel caso in cui il tunnel per la mobilità mostri uno stato non corretto che è Attivo.

    Log dei processi di mobilità

    Questo comando genera registri di mobilità dal tempo passato e presente.

    #show logging process mobilityd start last 1 days to-file bootflash:mobilitytunnel.txt

    Le informazioni raccolte possono essere lette nel WLC stesso con il comando.

    #more bootflash:mobilitytunnel.txt

    Le informazioni raccolte possono anche essere esportate dal WLC per leggerle in un'origine esterna con il comando.

    #copy bootflash:mobilitytunnel.txt tftp://<TFTP IP ADD>/mobilitytunnel.txt 

    Debug e tracce della mobilità

    Debug e tracce possono fornire informazioni più dettagliate nel caso in cui i registri dei processi di mobilità non siano in grado di generare informazioni sufficienti per individuare il problema.

    Quando si raccolgono i debug e le tracce per il tunnel di mobilità con NAT, è importante immettere queste informazioni nella sezione di traccia per ottenere le informazioni simultaneamente e capire meglio il comportamento:

    • Indirizzo IP mobilità pubblica peer
    • Indirizzo IP mobilità privata peer
    • Indirizzo Mac per mobilità peer

    In questo esempio, gli indirizzi IP pubblici e privati insieme all'indirizzo MAC mobile di WLC1 vengono immessi nel WLC2. Lo stesso deve essere fatto al contrario, in cui l'indirizzo IP pubblico e privato insieme all'indirizzo Mac mobile di WLC2 vengono immessi nella sezione RA Trace di WLC1.

    GUI WLC

    NAT ShootingDebug WLC

    è possibile raccogliere i debug e le tracce dalla GUI, come mostrato.

    Gather Debugs GUIRaccolta di debug WLC

    CLI WLC

    debug platform condition feature wireless ip 10.0.0.2
    debug platform condition feature wireless ip 20.0.0.2
    debug platform condition feature wireless mac f4bd.9e57.d8cb

    Per raccogliere i debug, è possibile usare questo comando. Modificare l'ora dell'insieme debugs in base alle esigenze.

    #show logging profile wireless last 30 minutes filter mac f4bd.9e57.d8cb to-file bootflash:mobilityf4bd9e57d8cb.txt
    #show logging profile wireless last 30 minutes filter ip 10.0.0.2 to-file bootflash:mobility10002.txt
    #show logging profile wireless last 30 minutes filter ip 20.0.0.2 to-file bootflash:mobility20002.txt

    Copiare i file in un'origine esterna con un protocollo di trasferimento.

    #copy bootflash:mobilityf4bd9e57d8cb.txt tftp://<TFTP IP ADD>/mobilityf4bd9e57d8cb.txt
    #copy bootflash:mobility10002.txt tftp://<TFTP IP ADD>/mobility10002.txt
    #copy bootflash:mobility20002.txt tftp://<TFTP IP ADD>/mobility20002.txt

    Acquisizioni pacchetti

    Il 9800 WLC ha la capacità di acquisire pacchetti integrati. Utilizzare questa funzionalità per verificare quali pacchetti vengono scambiati tra i WLC per il tunnel per la mobilità con NAT.

    Nell'esempio, l'indirizzo IP privato del WLC1 viene usato nel WLC2 per configurare l'acquisizione del pacchetto. Lo stesso deve essere fatto al contrario, quando deve essere usato l'indirizzo IP privato del WLC2 nel WLC1 per configurare l'acquisizione del pacchetto.

    Per acquisire il pacchetto, è possibile creare un ACL per filtrare i pacchetti e visualizzare solo i pacchetti necessari per il tunnel di mobilità con NAT. Una volta creato, l'ACL viene collegato all'acquisizione del pacchetto come filtro. È possibile creare l'ACL con l'indirizzo IP privato di mobilità, in quanto sono quelli nell'intestazione del pacchetto.

    #config t
    (config)#ip access-list extended Mobility
    (config-ext-nacl)#permit ip host 10.0.0.2 any
    (config-ext-nacl)#permit ip any host 10.0.0.2
    (config-ext-nacl)#end

    #monitor capture MobilityNAT interface <Physical Interface/Port-Channel number> both access-list Mobility buffer size 80 control-plane both

    Questo comando può essere utilizzato per controllare la configurazione di acquisizione del monitor.

    #show monitor capture MobilityNAT

    Una volta che l'acquisizione è pronta e verificata, è possibile avviarla.

    #monitor capture MobilityNAT start

    Per arrestarlo, è possibile utilizzare questo comando.

    #monitor capture MobilityNAT stop

    Una volta terminata l'acquisizione del monitor, è possibile esportarlo su una sorgente esterna con un protocollo di trasferimento.

    #monitor capture MobilityNAT export tftp://<TFTP IP ADD>/MobilityNat.pcap
    tip-icon

    Suggerimento: Il tunnel di mobilità con NAT è una funzione che richiede una conversazione a due vie tra i WLC. A causa della natura della funzione, si consiglia di raccogliere i log, i debug e le tracce o le acquisizioni dei pacchetti da entrambi i WLC contemporaneamente per comprendere meglio il tunnel di mobilità con lo scambio di pacchetti NAT.

    Cancella debug, tracce e acquisizioni pacchetti

    Una volta acquisite le informazioni necessarie, è possibile eliminare dal WLC i debug, le tracce e la configurazione dell'acquisizione dei pacchetti incorporata, come descritto di seguito.

    Debug e tracce

    #clear platform condition all

    Acquisizione pacchetti

    #config t
    (config)# no ip access-list extended Mobility
    (config)#end
    #no monitor capture MobilityNAT

    Si consiglia di cancellare la configurazione di risoluzione dei problemi eseguita nel WLC una volta raccolte le informazioni necessarie.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    27-Jan-2025
    Testo alternativo, requisiti di stile e formattazione aggiornati.
    1.0
    16-Feb-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Tim Padilla
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti