Sem fio/Mobilidade : LAN Wireless (WLAN)

Troubleshooting básico remoto híbrido do Access point da borda (H-REAP)

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

O Hybrid Remote Edge Access Point (H-REAP) é uma solução para implementações em escritórios de filial ou remotos. Permite clientes de configurar e controlar dois ou três Access point (AP) em um ramo ou em um escritório remoto do escritório corporativo através de um link do Wide Area Network (WAN) sem a necessidade de distribuir um controlador em cada escritório. Este documento discute alguns dos problemas comuns que podem ocorrer em um ambiente H-REAP. Este documento igualmente fornece a informação em como pesquisar defeitos estas edições. Refira o projeto e o guia de distribuição H-REAP para considerações de projeto H-REAP quando você distribui H-REAP e configurando o híbrido COLHA para as etapas de configuração.

Pré-requisitos

Requisitos

  • Conhecimento funcional de H-REAP e de seus modos operacionais

  • Conhecimento do processo de registro de pouco peso do Access point (REGAÇO) a um controlador

  • Conhecimento do protocolo de pouco peso do Access point (LWAPP)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Controladores do Wireless LAN do Cisco e Series (WLC) essa versão 5.1 da corrida

  • AG 1130AG AP, 1240 AP de Cisco, e 1250 AP

  • Cisco 2800 e 3800 Series Router que executam a versão 12.4

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Estas são as limitações a recordar quando você usar H-REAP.

  • REAP híbrida é apoiada somente no 1130AG, nos 1140, nos 1240, nos 1250, nos 1260, no AP801, no AP 802, 1040, e no AP3550 AP e em Cisco WiSM, Cisco 5500, 4400, 2100, 2500, de 7500 Series do cabo flexível controladores, o interruptor integrado 3750G do controlador do Wireless LAN do catalizador, e o módulo de rede do controlador para o Roteadores dos Serviços integrados.

  • Qualquer tipo da Segurança que exigir o controle sobre o trajeto de dados, tal como o VPN, não trabalha com tráfego em WLAN localmente comutados porque o controlador não pode exercitar o controle sobre os dados que não são escavados um túnel de volta a ele. Algum outro tipo trabalhos da Segurança WLAN em centralmente ou localmente comutados, contanto que o trajeto entre o H-REAP e o controlador está acima. Quando esta conduíte estiver para baixo, simplesmente um subconjunto destas opções de segurança permite que os clientes novos conectem aos WLAN localmente comutados.

  • Quando um Access point H-REAP entra o modo independente, a autenticação WLAN que são configurados para aberto, compartilhado, WPA-PSK, ou WPA2-PSK incorporam “autenticação local, o estado do switching local” e continuam authenticações do cliente novas.

    No Software Release 4.2 ou Mais Recente do controlador, isto é igualmente verdadeiro para os WLAN que são configurados para o 802.1X, o WPA-802.1X, o WPA2-802.1X, ou o gerenciamento chave centralizado Cisco (CCKM). Contudo, estes tipos do autenticação exigem que um servidor de raio externo esteja configurado. Outros WLAN incorporam “autenticação para baixo, comutando abaixo” do estado (se o WLAN foi configurado para o interruptor central) ou “autenticação para baixo, o estado do switching local” (se o WLAN foi configurado para o switching local).

  • Com o H-REAP no modo conectado, o controlador está livre impor a exclusão do cliente/põr para impedir que alguns clientes associem com seus AP. Esta função pode ocorrer na forma automatizada ou manual. Com respeito a global e às configurações por-WLAN, os clientes podem ser excluídos para um host das razões, que variam das tentativas repetidas da autenticação falha ao roubo IP, assim como para qualquer dada quantia de tempo. Os clientes podem igualmente ser inscritos nesta lista da exclusão manualmente. O uso desta característica é somente possível quando o AP reagir do modo conectado. Os clientes que foram colocados nesta lista da exclusão permanecem incapazes de conectar ao AP, mesmo quando reagir do modo independente

  • Os WLAN que usam a autenticação de MAC (local ou rio acima) já não permitem authenticações do cliente adicionais quando o AP reage do modo independente, que é idêntico à maneira um o WLAN similarmente configurado com 802.1X ou WebAuth se opera no mesmo modo.

  • As versões 4.2.61.0 e mais recente WLC apoiam rapidamente o CCKM de utilização vagueando seguro. O modo H-REAP apoia a camada 2 rapidamente CCKM de utilização vagueando seguro. Esta característica impede a necessidade para a autenticação de EAP completa do RAIO enquanto o cliente vagueia de um AP a outro. A fim usar vaguear rápido CCKM com Access point H-REAP, você precisa de configurar grupos H-REAP.

Troubleshooting H-REAP

Há alguns cenários comuns e situações que elevaram e impedem a configuração lisa e a conectividade de cliente H-REAP. Estas são apenas algumas tais situações com seus passos de Troubleshooting sugeridos.

H-REAP não se junta ao WLC

Estas são as razões básicas para um H-REAP não se juntar ao WLC:

  • H-REAP é incapaz de obter um endereço IP de Um ou Mais Servidores Cisco ICM NT a se, ou foi atribuído com um endereço IP de Um ou Mais Servidores Cisco ICM NT incorreto.

  • Não há nenhuma Conectividade da camada 3 entre H-REAP e o WLC.

  • Não há uma Conectividade de pouco peso do protocolo do Access point (LWAPP) entre o H-REAP e o WLC.

  • Outras razões são os H-REAP que juntam-se a um controlador diferente, à má combinação do certificado, ao problema com WLC ou H-REAP próprio, etc.

Execute estas etapas para pesquisar defeitos estes problemas:

  1. Verifique que H-REAP AP está atribuído um endereço IP de Um ou Mais Servidores Cisco ICM NT.

    Se o DHCP é usado através do console do AP, verifique que o AP obtém um endereço com este comando:

    .

    AP_CLI#show dhcp lease
    

    Se a saída deste comando não é nenhuma, implica que o endereçamento de DHCP não está usado para este AP.

    Agora, assegure-se de que o endereço IP estático esteja atribuído ao AP em uma maneira apropriada. Isto pode ser verificado com este comando:

    AP_CLI#show lwapp ip config
    
    LWAPP Static IP Configuration
    IP Address         10.77.244.222
    IP netmask         255.255.0.0
    Default Gateway    10.77.244.220

    A saída indica um endereço IP estático de 10.77.244.222 atribuiu ao AP. Se este não é o endereço IP de Um ou Mais Servidores Cisco ICM NT pretendido a ser atribuído, corrija o endereço IP de Um ou Mais Servidores Cisco ICM NT.

  2. Verifique a conectividade IP entre o AP e a interface de gerenciamento do controlador.

    Uma vez que o endereço IP de Um ou Mais Servidores Cisco ICM NT foi verificado, sibile o endereço IP de gerenciamento do controlador para certificar-se de que o AP pode se comunicar com o controlador. Use o comando ping através do console do AP com esta sintaxe:

    AP_CLI#ping 10.77.244.210
    
    
    !--- 10.77.244.210/27 is the example management interface IP address of the controller.
    
    

    Se o sibilo não é bem sucedido, indica que há um problema na conectividade IP entre o AP e o controlador. Assegure-se de que a rede upstream esteja configurada corretamente e que o acesso WAN de volta à rede corporativa está acima. Verifique que o controlador é operacional e não é atrás de nenhuns limites NAT/PAT. Sibile do controlador ao AP com a mesma sintaxe. Certifique-se que o MTU para o trajeto entre o controlador e o H-REAP está em um mínimo de 1500. Isto pode ser verificado com o sibilo - l 1500 IP de gerenciamento > comando <WLC de um computador no lado H-REAP de WAN.

    Está aqui um exemplo de saída do comando de ping bem-sucedido:

    ping -l 1500 10.77.244.210
    
    Pinging 10.77.244.204 with 1500 bytes of data:
    
    Reply from 10.77.244.210: bytes=1500 time=6ms TTL=252
    Reply from 10.77.244.210: bytes=1500 time=6ms TTL=252
    Reply from 10.77.244.210: bytes=1500 time=6ms TTL=252
    Reply from 10.77.244.210: bytes=1500 time=6ms TTL=252
    
    Ping statistics for 10.77.244.204:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 6ms, Maximum =  6ms, Average =  6ms
  3. Verifique a Conectividade LWAPP entre o AP e o controlador.

    Uma vez a conectividade IP entre o H-REAP e o controlador foi verificada, executa o LWAPP debuga no controlador para confirmar que as mensagens LWAPP estão comunicadas através de WAN e para identificar problemas relacionados. No controlador, crie primeiramente um filtro MAC para limitar o espaço do resultado do debug. Use este comando limitar a saída do comando subsequente a um único AP:

    AP_CLI#debug mac addr <AP’s wired MAC address>
    .

    Uma vez que isto é ajustado para limitar o resultado do debug, gire sobre a eliminação de erros LWAPP com este comando:

    Controller_CLI#debug lwapp events enable
    

    Você vê para debugar as mensagens similares a estes:

    ------------------------------------------------
           -------------------------------------------------
           ----------------------------------------------------
           Thu Mar 15 15:07:56 2007: 00:12:44:b2:ae:d0 
    Received LWAPP DISCOVERY REQUEST from AP 00:12:44:b2:ae:d0 
    to ff:ff:ff:ff:ff:ff on port '1'
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0 
    Received LWAPP JOIN REQUEST from AP 00:12:44:b2:ae:d0 
    to 00:0b:85:33:84:a0 on port '1'
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0
     AP AP0012.d92b.3a5e: txNonce  00:0B:85:33:84:A0 rxNonce  00:12:44:B2:AE:D0 
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0 
    LWAPP Join-Request MTU path from AP 00:12:44:b2:ae:d0 
    is 1500, remote debug mode is 0
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0 Successfully added NPU Entry 
    for AP 00:12:44:b2:ae:d0 (index 50)Switch IP: 10.77.244.211, 
    Switch Port: 12223, intIfNum 1, vlanId 0AP IP: 172.16.1.10, AP Port: 45989, 
            next hop MAC: 0 0:12:d9:2b:3a:5e
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0 
    Successfully transmission of LWAPP Join-Reply to AP 00:12:44:b2:ae:d0
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0
     Register LWAPP event for AP 00:12:44:b2:ae:d0 slot 0
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0 
    Register LWAPP event for AP 00:12:44:b2:ae:d0 slot 1
           Thu Mar 15 15:08:08 2007: 00:12:44:b2:ae:d0 
    Received LWAPP CONFIGURE REQUEST from AP 00:12:44:b2:ae:d0 to  00:0b:85:33:84:a0
           -----------------------------------------------------
           -----------------------------------------------------
           -----------------------------------------------------

    Este resultado do debug indica uma transmissão bem-sucedida de mensagens LWAPP entre o controlador e o AP, seguida por um bem sucedido junte-se ao pedido do AP e a paralela junta-se à resposta do controlador. Mais tarde o AP obtém registrado com o controlador.

    Se nenhum tal LWAPP debuga as mensagens estão consideradas, asseguram-se de que o H-REAP tenha pelo menos um método por que um controlador pode ser descoberto. Se tais métodos são no lugar (como a transmissão da sub-rede local, a opção de DHCP 43, ou o DNS), verifique que estão configurados corretamente. Se nenhum outro método heurístico é no lugar, assegure-se de que o endereço IP de Um ou Mais Servidores Cisco ICM NT do controlador esteja incorporado manualmente no AP através do console CLI.

    AP_CLI#lwapp ap controller ip address
    		  <management interface Ip address of controller>
    
    
  4. Se você configurou manualmente o H-REAP, certifique-se de você informação do controlador previamente associada clara quando você move seu AP para um lugar diferente em sua rede. Isto permite que seu AP associe com o controlador no lugar novo. A fim cancelar a configuração precedente, emita o comando da privado-configuração do lwapp AP CLI#clear. Então, verifique mesmo se o AP se junta ao controlador correto.

    A fim verificar com que controladores o AP comunica, emita o comando debug ip udp ao AP CLI. Da saída deste comando, veja os endereços de rementente e destinatário de cada pacote que atravessa a pilha de IP do AP.

    Este é um exemplo:

    IP udp de AP_CLI#debug

    *Mar 15 16:41:47.999: UDP: sent src=10.77.244.222(45989), dst=10.77.244.211(12223)
    , length=60
    *Mar 15 16:41:47.999: UDP: sent src=10.77.244.222(45989), dst=10.77.244.210(12223)
    , length=75
    *Mar 15 16:41:48.000: UDP: rcvd src=10.77.244.211(12223), dst=10.77.244.222(45989)
    , length=22 
    *Mar 15 16:41:48.000: UDP: rcvd src=10.77.244.210(12223), dst=10.77.244.222(45989)
    , length=49 
    *Mar 15 16:41:57.778: UDP: sent src=10.77.244.222(45989), dst=10.77.244.211(12223)
    , length=76
    *Mar 15 16:41:57.779: UDP: rcvd src=10.77.244.211(12223), dst=10.77.244.222(45989)
    , length=22

    Desta saída, você pode ver que os pacotes de UDP são originado do AP e que alcançam a relação da interface de gerenciamento (10.77.244.210) e do gerente AP (10.77.244.211) do controlador.

  5. Pesquise defeitos edições do certificado se as tentativas AP de se juntar ao controlador mas falham.

    Se as mensagens LWAPP estão consideradas no controlador, mas o AP não se junta, este é provável uma edição do certificado. Para mais dicas de Troubleshooting LWAPP, que incluem edições do certificado do Troubleshooting, refira a ferramenta de upgrade LWAPP pesquisam defeitos pontas.

  6. Outra uma razão que H-REAP AP não se juntam a WLC é se o proxy ARP é desabilitado no gateway para o H-REAP AP. Do console AP, esta mensagem é registrada:

    *Jul 29 14:04:10.897: LWAPP_CLIENT_ERROR_DEBUG:  
    Retransmission count for packet exceeded more than max(CHANGE_STATE_EVENT , 1)

    Isto pode ser causado pela identificação de bug Cisco CSCse92856. Este problema aplica-se somente a AP1130 e a AP1240. Este problema não se aplica a AP1000s, a AP1100, ou a AP1200.

    Este problema ocorre quando estas circunstâncias são estadas conformes:

    1. O modo HREAP é usado no WLAN. O modo local não é afetado por esta edição. O mapeamento do VLAN nativo é exigido.

    2. Os AP têm que estar em uma sub-rede diferente IP do que o gerente AP dos WLC.

    3. O proxy ARP é desabilitado no gateway padrão para o AP.

    4. O H-REAP AP obtém o gateway padrão de um servidor DHCP.

    A fim resolver esta edição, permita o proxy ARP no roteador do gateway padrão do AP.

Verificação do modo H-REAP de operação

Uma vez que o H-REAP se juntou ao controlador correto, você pode verificar mesmo se o H-REAP AP está conectado ao controlador a qualquer hora. Ou seja você pode verificar em que modo o H-REAP AP funciona. Isto pode ser verificado com o lwapp da mostra colhe o comando status do AP CLI.

O lwapp de AP_CLI#show colhe o estado

 AP Mode:        REAP, Connected
                 Radar detected on:  

Esta saída diz que o H-REAP AP reage do modo H-REAP e o modo conectado. Ou seja o link MACILENTO entre o AP e o controlador está ACIMA (conectado), e o modo operacional é H-REAP.

O lwapp de AP_CLI#show colhe o estado

AP Mode:        REAP, Standalone
                Radar detected on: 

Esta saída diz que o AP reage do modo independente, assim que significa que o link MACILENTO entre o AP e o controlador está para baixo. O modo operacional AP é COLHE. Isto significa que os WLAN que são configurados para o switching local com autenticação local são funcionais e permitem clientes novos a este WLAN. Refira o modo H-REAP de exemplo de configuração da operação a fim compreender os modos operacionais diferentes de H-REAP.

Os comandos console de H-REAP não são operacionais e retornam um erro

Todos os comandos configuration (ajuste ou esclarecimento da configuração) executaram com o retorno H-REAP CLI o ERRO!!! O comando é mensagem desabilitada. Isto pode ocorrer para uma de duas razões:

  • H-REAP AP que reagem do modo conectado (registrado ao controlador) não permitem que nenhuma configurações sejam ajustadas ou canceladas através do console. Quando o AP está neste estado, as configurações devem ser feitas através da relação do controlador. Se o acesso aos comandos configuration no AP é exigido, assegure-se de que o AP reaja do modo independente antes que você tente inscrever todos os comandos configuration.

  • Uma vez que um AP conectou ou se registrou a um controlador em qualquer momento, assegure-se de que o padrão permita a senha de H-REAP, Cisco, está mudado. Se esta senha padrão não é mudada, você não pode alcançar o console CLI do H-REAP está movido para o modo independente. Permita a senha pode somente ser ajustado com o CLI do controlador a que o AP é conectado. Esta sintaxe de comando pode ser usada no controlador para ajustar a senha de console de um AP individual ou a senha a todos os AP do controlador: (WLC_CLI)>config ap username <user-id> password <passwd> {all | <AP name>}.

    Aqui está um exemplo:

    WLC-1>config ap username hreap
    		password hreap all
    

    Nota: Se você está executando a versão 5.0 e mais recente WLC, use este comando: o mgmtuser ap da configuração adiciona o segredo secreto da senha senha do nome de usuário nome de usuário {tudo | Nome AP}

    Nota: Para um AP que não tenha suas senhas de console ajustadas, esteja ciente que esta configuração está enviada somente ao AP quando o comando é incorporado no controlador. Todos os AP que se juntarem subseqüentemente ao WLC exigem o comando ser entrado outra vez.

    Nota: Trabalho destes comandos sobre fora de - A caixa H-colhe mesmo quando a senha padrão não é mudada:

    • <name> do hostname ap do lwapp

    • endereço IP de Um ou Mais Servidores Cisco ICM NT do endereço IP de Um ou Mais Servidores Cisco ICM NT <AP ap do lwapp > < máscara de sub-rede >

    • o endereço IP de Um ou Mais Servidores Cisco ICM NT dos <Gateway do gateway padrão ap IP do lwapp >

    • endereço IP de Um ou Mais Servidores Cisco ICM NT do endereço IP de Um ou Mais Servidores Cisco ICM NT <WLC do controlador ap do lwapp >

    • cancele a privado-configuração do lwapp

  • Nota: A fim retornar completamente o AP aos padrões de fábrica, em cima da bota AP, pressiona o botão mode até que a luz dos Ethernet gire o âmbar. Nos 1131, esta luz está perto do botão mode e é identificada claramente por meio de Ethernet. Nos 1242, isto está sob a fachada plástica branca e notated com um E. Liberação o botão mode e deixou a bota AP. O AP é retornado à relação, que está disponível com a imagem de recuperação IO do AP. Esteja ciente que se os comandos configuration novos são desejados, o AP precisa de executar o Software Release 12.3(11)JX1 ou Mais Recente do ½ do ¿  de Cisco IOSïÂ. Isto pode ser verificado através do console do AP inscrevendo o comando show version.

    Nota: Todos os comandos show and debug continuam a trabalhar sem uma senha padrão que está sendo ajustada e quando o AP reagir do modo conectado.

    Somente neste momento podem todas as configurações LWAPP ser feitas.

Os clientes não podem conectar a H-REAP

Se os clientes Wireless não podem conectar a H-REAP, execute estas etapas:

  1. Assegure-se de que o link MACILENTO entre o controlador e o H-REAP esteja acima.

  2. Verifique que o AP se juntou corretamente ao controlador e que o controlador tem pelo menos um (e permitido) WLAN corretamente configurado. Assegure-se de que o H-REAP esteja no estado permitido para WLAN localmente comutados

  3. No controlador, configurar o WLAN para transmitir seu SSID para ajudar a pesquisar defeitos este processo. Na extremidade de cliente, verifique se o cliente pode encontrar o AP com o SSID. Espelhe o nome SSID e a configuração de segurança do WLAN no cliente. As configurações de segurança do lado do cliente são onde a grande maioria dos problemas de conectividade reside.

  4. Assegure-se de que os clientes em WLAN localmente comutados sejam corretamente IP endereçado. Se o DHCP é usado, certifique-se que um servidor DHCP ascendente está configurado corretamente e isso fornece endereços aos clientes. Se o endereçamento estático é usado, assegure-se de que os clientes estejam configurados corretamente para a sub-rede correta.

  5. Assegure-se de que as portas 12222 e 12223 UDP estejam abertas em todos os Firewall intermediários.

  6. A fim pesquisar defeitos mais edições da conectividade de cliente na porta de Console do H-REAP, emita este comando:

    AP_CLI#show lwapp reap association
    
  7. A fim debugar os problemas de conectividade do 802.11 de um cliente, emita este comando:

    AP_CLI#debug dot11 state enable
    
  8. A fim debugar o processo de autenticação do 802.1X e as falhas de um cliente, emita este comando:

    AP_CLI#debug dot1x events enable
    

Contagens incorretas do cliente dos relatórios wireless do sistema de controle (WCS) ao AP no modo H-REAP

Se seu ambiente Wireless está controlado pelo sistema de controle wireless (WCS), às vezes este WCS pode relatar clientes incorretos ao H-REAP AP, ao contrário das contagens corretas do cliente especificadas pelo controlador.

Este problema é devido à identificação de bug Cisco CSCsg48059 (clientes registrados somente). O WCS relata as contagens do cliente que são demasiado altas quando H-REAP é permitido no controlador. Esta é a ação alternativa.

  1. A fim encontrar quantos clientes são associados aos AP ou ao controlador dado, use a característica do monitor > dos clientes WCS.

  2. Procure pelo AP ou pelo controlador, que são limitados pelo tipo de rádio, para evitar duplicatas.

  3. Use o número total de artigos encontrados como seu número de população verdadeiro.

    Você pode igualmente usar o WLC para encontrar a contagem correta do cliente.

Esta edição é resolvida na liberação 4.0.206.0 do controlador do Wireless LAN.


Informações Relacionadas


Document ID: 83417