Sem fio/Mobilidade : LAN Wireless (WLAN)

Dicas de Troubleshooting da LWAPP Upgrade Tool

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (12 Agosto 2009) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Upgrade Tool - Operação Básica
      Notas Importantes
Tipos de Certificados
Problema
      Sintoma
Soluções
      Causa 1
      Causa 2
      Causa 3
      Causa 4
      Causa 5
      Causa 6
      Causa 7
      Causa 8
Dicas de Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento discute alguns dos principais problemas que podem ocorrer durante o uso da Upgrade Tool para atualizar pontos de acesso (APs) autônomos para o modo lightweight. Este documento também fornece informações sobre como corrigir esses problemas.

Pré-requisitos

Requisitos

Os APs devem executar o Cisco IOS® Software Release 12.3(7)JA ou posterior para que você possa fazer o upgrade.

As controladoras Cisco devem executar no mínimo a versão 3.1 do software.

O Cisco Wireless Control System (WCS) deve executar no mínimo a versão 3.1 do software (caso seja utilizado).

O utilitário de upgrade é compatível com as plataformas Windows 2000 e Windows XP. Qualquer uma dessas versões de sistemas operacionais Windows pode ser usada.

Componentes Utilizados

As informações neste documento são baseadas nos Cisco 4400 Series Wireless LAN Controllers, Cisco 2100 Series Wireless LAN Controllers e Cisco 2006 Wireless LAN Controller Series, Wireless LAN Controller Module (WLCM), Wireless Services Module (WiSM) e 3750G Integrated Wireless LAN Controllers que oferecem suporte a APs autônomos atualizados para o modo lightweight.

Os APs que oferecem suporte a essa migração são:

  • Todos os APs 1130AG

  • Todos os APs 1240 AG

  • Para todas as plataformas 1200 Series Modular AP baseadas no Cisco IOS (upgrade do 1200/1220 Cisco IOS Software, 1210 e 1230 AP), isso depende do rádio:

    • – Se houver suporte a 802.11G, MP21G e MP31G

    • – Se houver suporte a 802.11A, RM21A e RM22A

  • Os 1200 Series APs podem ser atualizados com qualquer combinação de rádios compatíveis: somente G, somente A ou G e A.

  • Todos os pontos de acesso 1310 AG

  • Cisco C3201 Wireless Mobile Interface Card (WMIC)

    Nota: Na Cisco C3201WMIC, os pontos de acesso devem executar o Cisco IOS Software versão 12.3(8)JK ou posterior para que você possa fazer o upgrade.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Upgrade Tool - Operação Básica

A Upgrade Tool é utilizada no upgrade de um AP autônomo para o modo lightweight, desde que o AP seja compatível com esse upgrade. A Upgrade Tool realiza as tarefas básicas necessárias para fazer o upgrade do modo autônomo para o lightweight. Essas tarefas incluem:

  • Verificação da condição básica — Verifica se o AP é de um modelo compatível, se ele está executando uma revisão de software mínima e se os tipos de rádio são suportados.

  • Preparação do AP autônomo para a conversão — Adiciona a configuração e a hierarquia de certificados de Public Key Infrastructure (PKI) de modo que a autenticação do AP nas controladoras Cisco possa ocorrer e os certificados autoassinados (SSCs) possam ser gerados para o AP. Se o AP possuir um certificado instalado pelo fabricante (MIC), os SSCs não serão utilizados.

  • Baixa uma imagem de upgrade do modo autônomo para o lightweight, tal como a 12.3(11)JX1 ou a 12.3(7)JX, o que permite ao AP se unir a uma controladora. Após um download bem-sucedido, o AP é reinicializado.

  • Gera um arquivo de saída que consiste nos endereços MAC do AP, o tipo de certificado e um hash de chave seguro, e atualiza automaticamente a controladora. O arquivo de saída pode ser importado para o WCS e exportado para outras controladoras.

Consulte a seção Procedimento de Upgrade de Atualizando os Pontos de Acesso Autônomos Cisco Aironet para o Modo Lightweight para obter mais informações.

Notas Importantes

Antes de usar este utilitário, leve em consideração estas importantes notas:

  • Os pontos de acesso convertidos com esta ferramenta não irão se conectar a controladoras 40xx, 41xx ou 3500.

  • Você não pode fazer o upgrade em pontos de acesso com rádios somente 802.11b ou 802.11a de primeira geração.

  • Se desejar reter o endereço IP estático, a máscara de rede, o nome do host e o gateway padrão dos pontos de acesso após a conversão e a reinicialização, você precisará carregar uma destas imagens autônomas nos pontos de acesso antes de convertê-los para LWAPP:

    • 12.3(7)JA

    • 12.3(7)JA1

    • 12.3(7)JA2

    • 12.3(7)JA3

    • 12.3(7)JA4

    • 12.3(8)JA

    • 12.3(8)JA1

    • 12.3(8)JA2

    • 12.3(8)JEA

    • 12.3(8)JEA1

    • 12.3(8)JEA2

    • 12.3(8)JEB

    • 12.3(8)JEB1

    • 12.4(3g) JA

    • 12.4(3g) JA1

  • Se você atualizar os pontos de acesso para LWAPP a partir de uma destas imagens autônomas, o ponto de acesso convertido não reterá seu endereço IP estático, máscara de rede, nome de host e gateway padrão:

    • 12.3(11)JA

    • 12.3(11)JA1

    • 12.3(11)JA2

    • 12.3(11)JA3

Tipos de Certificados

Há dois tipos diferentes de APs:

  • APs com um MIC

  • APs que precisam ter um SSC

Os certificados instalados de fábrica são conhecidos pelo termo MIC, que é um acrônimo de Manufacturing Installed Certificate. Os pontos de acesso Cisco Aironet fabricados antes de 18 de julho de 2005 não possuem MICs e, portanto, criam um certificado autoassinado quando são atualizados para operar no modo lightweight. As controladoras são programadas para aceitar certificados autoassinados na autenticação de pontos de acesso específicos.

Você precisa tratar dos APs Cisco Aironet MIC que utilizam o Lightweight Access Point Protocol (LWAPP), tais como os APs Aironet 1000, e fazer o troubleshooting de acordo. Em outras palavras, verifique a conectividade de IP, depure a máquina de estados do LWAPP e, em seguida, verifique a criptografia.

Os logs da Upgrade Tool indicam se o AP é um AP MIC ou um AP SSC. Este é um exemplo de um log detalhado da Upgrade Tool:

2006/08/21 16:59:07 INFO  	172.16.1.60 	 Term Length configured.
2006/08/21 16:59:07 INFO  	172.16.1.60 	 Upgrade Tool supported AP
2006/08/21 16:59:07 INFO  	172.16.1.60 	 AP has two radios
2006/08/21 16:59:07 INFO  	172.16.1.60 	 AP has Supported Radio
2006/08/21 16:59:07 INFO  	172.16.1.60 	 AP  has 12.3(7)JA Image or greater
2006/08/21 16:59:07 INFO  	172.16.1.60 	 Station role is  Root AP
2006/08/21 16:59:07 INFO  	172.16.1.60 	 MIC is already configured in the AP
2006/08/21 16:59:07 INFO  	172.16.1.60      Hardware is PowerPC405GP Ethernet,
                                         address is 0015.63e5.0c7e (bia 0015.63e5.0c7e)
2006/08/21 16:59:08 INFO  	172.16.1.60 	 Inside Shutdown function
2006/08/21 16:59:10 INFO  	172.16.1.60 	 Shutdown the Dot11Radio1
2006/08/21 16:59:11 INFO  	172.16.1.60 	 Shutdown the Dot11Radio0
2006/08/21 16:59:12 INFO  	172.16.1.60 	 Updating the AP with Current System Time
2006/08/21 16:59:13 INFO  	172.16.1.60 	 Saving the configuration into memory
2006/08/21 16:59:13 INFO  	172.16.1.60 	 Getting  AP Name
2006/08/21 16:59:58 INFO  	172.16.1.60 	 Successfully Loaded the LWAPP Recovery
                                         Image on to the AP
2006/08/21 16:59:58 INFO  	172.16.1.60 	 Executing Write Erase Command
2006/08/21 17:00:04 INFO  	172.16.1.60 	 Flash contents are logged
2006/08/21 17:00:06 INFO  	172.16.1.60 	 Environmental Variables are logged
2006/08/21 17:00:06 INFO  	172.16.1.60 	 Reloading the AP
2006/08/21 17:00:08 INFO  	172.16.1.60 	 Successfully executed the Reload command

Nesse log, a linha realçada especifica que o AP possui um MIC instalado. Consulte a seção Visão Geral do Procedimento de Upgrade de Atualizando os Pontos de Acesso Autônomos Cisco Aironet para o Modo Lightweight para obter mais informações sobre certificados e o processo de upgrade.

No caso dos APs SSC, nenhum certificado é criado na controladora. A Upgrade Tool faz com que o AP gere um par de chaves Rivest, Shamir and Adelman (RSA) que será utilizado na assinatura de um certificado autogerado (o SSC). A Upgrade Tool adiciona uma entrada à lista de autenticação da controladora com o endereço MAC do AP e o hash de chave pública. A controladora precisa do hash de chave pública para validar a assinatura do SSC.

Se a entrada não foi adicionada à controladora, verifique o arquivo CSV de saída. Deve haver entradas para cada AP. Se você localizar a entrada, importe esse arquivo na controladora. Se você utilizar a interface de linha de comando (CLI) da controladora (com a utilização do comando config auth-list) ou a Web do switch, terá de importar um arquivo por vez. Com um WCS, você poderá importar todo o arquivo CSV como um modelo.

Verifique também o domínio regulatório.

Problema

Sintoma

O AP não se une à controladora. A seção de Soluções deste documento apresenta as causas em ordem de probabilidade.

Soluções

Use esta seção para resolver este problema.

Causa 1

O AP não consegue localizar a controladora por meio da descoberta de LWAPP, ou o AP não consegue alcançar a controladora.

Troubleshooting

Execute estes passos:

  1. Execute o comando debug lwapp events enable na CLI da controladora.

    Procure pela sequência de LWAPP discovery > discovery response > join request > join response. Se você não localizar a solicitação de descoberta do LWAPP, isso significa que o AP não pode ou não consegue localizar a controladora.

    Aqui está um exemplo de JOIN REPLY bem sucedido da Wireless LAN Controller (WLC) até o AP Lightweight (LAP) convertido. Esta é a saída do comando debug lwapp events enable:

    Thu May 25 06:53:54 2006: Received LWAPP DISCOVERY REQUEST from AP
                              00:15:63:e5:0c:7e to 00:0b:85:33:84:a0 on port '1'
    Thu May 25 06:53:54 2006: Successful transmission of LWAPP Discovery-Response to AP
                              00:15:63:e5:0c:7e on Port 1
    Thu May 25 06:53:54 2006: Received LWAPP DISCOVERY REQUEST from AP 00:15:63:e5:0c:7e
                              to 00:0b:85:33:84:a0 on port '1'
    Thu May 25 06:53:54 2006: Successful transmission of LWAPP Discovery-Response to AP
                              00:15:63:e5:0c:7e on Port 1
    Thu May 25 06:53:54 2006: Received LWAPP DISCOVERY REQUEST from AP 00:15:63:e5:0c:7e
                              to ff:ff:ff:ff:ff:ff on port '1'
    Thu May 25 06:53:54 2006: Successful transmission of LWAPP Discovery-Response to
                              AP 00:15:63:e5:0c:7e on Port 1
    Thu May 25 06:54:05 2006: Received LWAPP JOIN REQUEST from AP 00:15:63:e5:0c:7e
                              to 00:0b:85:33:84:a0 on port '1'
    Thu May 25 06:54:05 2006: LWAPP Join-Request MTU path from AP 00:15:63:e5:0c:7e
                              is 1500, remote debug mode is 0
    Thu May 25 06:54:05 2006: Successfully added NPU Entry for AP 00:15:63:e5:0c:7e
                              (index 51)Switch IP: 172.16.1.11, Switch Port: 12223,
                              intIfNum 1, vlanId 0AP IP: 172.16.1.60, AP Port: 20679,
                              next hop MAC: 00:15:63:e5:0c:7e
    Thu May 25 06:54:05 2006: Successfully transmission of LWAPP Join-Reply to AP
                              00:15:63:e5:0c:7e
    ..........................................
    ..............................................
    .............................................. // the debug output continues for
    full registration process.
  2. Verifique a conectividade de IP entre a rede do AP e a controladora. Se a controladora e o AP estiverem na mesma sub-rede, certifique-se de que eles estejam corretamente interconectados. Se eles estiverem em sub-redes diferentes, certifique-se de que um roteador seja utilizado entre eles e que o roteamento esteja funcionando corretamente entre as duas sub-redes.

  3. Verifique se o mecanismo de descoberta está configurado corretamente.

    Se a opção Domain Name System (DNS) for utilizada para a descoberta da WLC, certifique-se de que o servidor de DNS esteja corretamente configurado para mapear CISCO-LWAPP-CONTROLLER.local-domain com o endereço IP da WLC. Se o AP puder resolver o nome, ele emitirá uma mensagem de junção LWAPP ao endereço IP resolvido.

    Se a opção 43 for utilizada como opção de descoberta, certifique-se de que ela esteja corretamente configurada no servidor DHCP.

    Consulte Registro do LAP na WLC para obter mais informações sobre o processo e a sequência de descoberta.

    Consulte Exemplo de Configuração da Opção 43 do DHCP para os Pontos de Acesso Cisco Aironet Lightweight para obter mais informações sobre como configurar a opção 43 do DHCP.

    Nota: Lembre-se que, quando os APs com endereços estáticos são convertidos, o único mecanismo de descoberta da Camada 3 que funcionará é o DNS, pois o endereço estático é preservado durante o upgrade.

    No AP, você pode executar os comandos debug lwapp client events e debug ip udp para receber informações suficientes e poder determinar exatamente o que ocorre. Você deve observar uma sequência de pacotes de User Datagram Protocol (UDP) como esta:

    1. Com origem no IP do AP com o IP da interface de gerenciamento da controladora.

    2. Com origem no IP do gerenciador da controladora do AP até o IP do AP.

    3. Séries de pacotes com origem no IP do AP até o IP do gerenciador do AP.

      Nota: Em algumas situações, pode haver mais de uma controladora e o AP pode tentar se unir a uma controladora diferente com base na máquina de estados de descoberta e nos algoritmos do LWAPP. Essa situação pode ocorrer devido ao balanceamento de carga dinâmico padrão do AP executado pela controladora. Essa situação pode merecer atenção.

      Nota: Este é um exemplo de saída do comando debug ip udp:

      Dec 16 00:32:08.228: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12222),
                            length=78
      *Dec 16 00:32:08.777: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223),
                            length=60
      *Dec 16 00:32:08.777: UDP: sent src=172.16.1.60(20679), dst=172.16.1.10(12223),
                            length=75
      *Dec 16 00:32:08.778: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679),
                            length=22
      *Dec 16 00:32:08.779: UDP: rcvd src=172.16.1.10(12223), dst=172.16.1.60(20679),
                            length=59
      *Dec 16 00:32:09.057: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223),
                            length=180
      *Dec 16 00:32:09.059: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679),
                            length=22
      *Dec 16 00:32:09.075: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223),
                            length=89
      *Dec 16 00:32:09.077: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679),
                            length=22
      *Dec 16 00:32:09.298: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223),
                            length=209
      *Dec 16 00:32:09.300: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679),
                            length=22
      *Dec 16 00:32:09.300: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223),
                            length=164
      *Dec 16 00:32:09.301: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679),
                            length=22
      *Dec 16 00:32:09.302: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223),
                            length=209
      *Dec 16 00:32:09.303: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679),
                            length=22
      *Dec 16 00:32:09.303: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223),
                            length=287
      *Dec 16 00:32:09.306: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679),
                            length=22
      *Dec 16 00:32:09.306: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223),
                            length=89
      *Dec 16 00:32:09.308: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679),
                            length=22
      *Dec 16 00:32:09.308: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223),
                            length=222

Resolução

Execute estes passos:

  1. Examine o manual.

  2. Corrija a infraestrutura para ela ofereça suporte correto à descoberta do LWAPP.

  3. Mova o AP para a mesma sub-rede da controladora para verificá-lo.

  4. Caso seja necessário, execute o comando lwapp ap controller ip address A.B.C.D para definir manualmente o IP da controladora na CLI do AP.

    O trecho A.B.C.D do comando é o endereço IP da interface de gerenciamento da WLC.

    Nota: Esse comando da CLI pode ser usado em um AP que nunca se registrou em uma controladora ou em um AP que teve a sua senha de modo enable padrão alterada ao ingressar em uma controladora anterior. Consulte Redefinindo a Configuração de LWAPP em um AP Lightweight (LAP) para obter mais informações.

Causa 2

A hora da controladora está fora do intervalo de validade do certificado.

Troubleshooting

Execute estes passos:

  1. Execute os comandos debug lwapp errors enable e debug pm pki enable.

    Esses comandos debug mostram a depuração das mensagens de certificado que são trocadas entre o AP e a WLC. Os comandos mostram claramente uma mensagem indicando que o certificado foi rejeitado por estar fora do intervalo de validade.

    Nota: Certifique-se de utilizar o desvio de Hora Universal Coordenada (UTC).

    Esta é a saída do comando debug pm pki enable na controladora:

    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: locking ca cert table
    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: calling x509_alloc() for user cert
    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: calling x509_decode()
    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: <subject> C=US, ST=California,
                              L=San Jose, O=Cisco Systems, CN=C1200-001563e50c7e,
                              MAILTO=support@cisco.com
    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: <issuer>  O=Cisco Systems,
                              CN=Cisco Manufacturing CA
    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: Mac Address in subject is
                              00:15:63:e5:0c:7e
    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: Cert is issued by Cisco Systems.
    .........................
    .........................
    ..........................
    ..........................
    Fri Apr 15 07:55:03 2005: ssphmUserCertVerify: calling x509_decode()
    Fri Apr 15 07:55:03 2005: ssphmUserCertVerify: user cert verfied using
                              >cscoDefaultMfgCaCert<
    Fri Apr 15 07:55:03 2005: sshpmGetIssuerHandles: ValidityString (current):
                              2005/04/15/07:55:03
    Fri Apr 15 07:55:03 2005: sshpmGetIssuerHandles: Current time outside AP cert
                              validity interval: make sure the controller time is set.
    Fri Apr 15 07:55:03 2005: sshpmFreePublicKeyHandle: called with (nil)

    Nessa saída, observe as informações realçadas. Essas informações mostram claramente que o controller time is outside the certificate validity interval of the AP. Assim, o AP não pode se registrar na controladora. Os certificados instalados no AP possuem um intervalo de validade predefinido. A hora da controladora deve ser definida de tal forma que esteja dentro do intervalo de validade do certificado do AP.

  2. Execute o comando show crypto ca certificates na CLI do AP para verificar o intervalo de validade do certificado definido no AP.

    Exemplo:

    AP0015.63e5.0c7e#show crypto ca certificates
    ............................................
    ............................................
    .............................................
    ................................................
    Certificate
      Status: Available
      Certificate Serial Number: 4BC6DAB80000000517AF
      Certificate Usage: General Purpose
      Issuer:
        cn=Cisco Manufacturing CA
        o=Cisco Systems
      Subject:
        Name: C1200-001563e50c7e
        ea=support@cisco.com
        cn=C1200-001563e50c7e
        o=Cisco Systems
        l=San Jose
        st=California
        c=US
      CRL Distribution Point:
        http://www.cisco.com/security/pki/crl/cmca.crl
      Validity Date:
        start date: 17:22:04 UTC Nov 30 2005
        end   date: 17:32:04 UTC Nov 30 2015
        renew date: 00:00:00 UTC Jan 1 1970
      Associated Trustpoints: Cisco_IOS_MIC_cert
    ....................................
    ....................................
    ......................................

    A saída completa não é listada, pois pode haver diversos intervalos de validade associados à saída desse comando. Você precisa considerar somente o intervalo de validade especificado por Associated Trustpoint: Cisco_IOS_MIC_cert com o nome do AP relevante no campo de nome (Aqui, Name: C1200-001563e50c7e), conforme realçado na saída do exemplo. Esse é o intervalo de validade real do certificado a ser considerado.

  3. Execute o comando show time na CLI da controladora para verificar se a data e a hora definidas em sua controladora estão dentro desse intervalo de validade.

    Se a hora da controladora estiver acima ou abaixo do intervalo de validade desse certificado, altere-a para que ela fique dentro desse intervalo.

Resolução

Execute este passo:

Selecione Commands > Set Time no modo GUI da controladora ou execute o comando config time na CLI da controladora para definir sua hora.

Causa 3

Nos APs SSC, a política SSC AP está desabilitada.

Troubleshooting

Nesses casos, você verá esta mensagem de erro na controladora:

Wed Aug  9 17:20:21 2006  [ERROR] spam_lrad.c 1553: spamProcessJoinRequest
                          :spamDecodeJoinReq failed
Wed Aug  9 17:20:21 2006  [ERROR] spam_crypto.c 1509: Unable to free public key for
                          AP 00:12:44:B3:E5:60
Wed Aug  9 17:20:21 2006  [ERROR] spam_lrad.c 4880: LWAPP Join-Request does not include
                          valid certificate in CERTIFICATE_PAYLOAD from
                          AP 00:12:44:b3:e5:60.
Wed Aug  9 17:20:21 2006  [CRITICAL] sshpmPkiApi.c 1493: Not configured to accept
                          Self-signed AP cert

Execute estes passos:

Execute uma destas duas ações:

  • Execute o comando show auth-list na CLI da controladora para verificar se a controladora está configurada para aceitar APs com SSCs.

    Este é um exemplo de saída do comando show auth-list:

    #show auth-list
    
    
    
    Authorize APs against AAA ....................... disabled
    
    Allow APs with Self-signed Certificate (SSC) .... enabled
    
    
    Mac Addr                  Cert Type    Key Hash
    
    -----------------------   ----------   ------------------------------------------
    
    00:09:12:2a:2b:2c         SSC          1234567890123456789012345678901234567890
  • Selecione Security > AP Policies na GUI.

  1. Verifique se a caixa de seleção Accept Self Signed Certificate está marcada. Se não estiver, marque-a.

  2. Selecione SSC como o tipo do certificado.

  3. Adicione AP à lista de autorização com o endereço MAC e o hash de chave.

    Esse hash de chave pode ser obtido na saída do comando debug pm pki enable. Consulte a Causa 4 para obter informações sobre como obter o valor do hash de chave.

Causa 4

O hash de chave pública de SSC está errado ou ausente.

Troubleshooting

Execute estes passos:

  1. Execute o comando debug lwapp events enable.

    Verifique se o AP tenta ingressar.

  2. Execute o comando show auth-list.

    Esse comando mostra o hash de chave pública que a controladora possui no armazenamento.

  3. Execute o comando debug pm pki enable.

    Esse comando exibe o hash de chave pública real. O hash de chave pública real deve corresponder ao hash de chave pública que a controladora possui no armazenamento. Discrepâncias causam o problema. Este é um exemplo de saída dessa mensagem de depuração:

    (Cisco Controller) >
    debug pm pki enable
    
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: getting (old) aes ID cert handle...
    Mon May 22 06:34:10 2006: sshpmGetCID: called to evaluate <bsnOldDefaultIdCert>
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 0, CA cert
    >bsnOldDefaultCaCert<
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 1, CA cert
    >bsnDefaultRootCaCert<
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 2, CA cert
    >bsnDefaultCaCert<
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 3, CA cert
    >bsnDefaultBuildCert<
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 4, CA cert
    >cscoDefaultNewRootCaCert<
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 5, CA cert
    >cscoDefaultMfgCaCert<
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 0, ID cert
    >bsnOldDefaultIdCert<
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Calculate SHA1 hash on Public Key
    Data
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  30820122 300d0609
    2a864886 f70d0101
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  01050003 82010f00
    3082010a 02820101
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  00c805cd 7d406ea0
    cad8df69 b366fd4c
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  82fc0df0 39f2bff7
    ad425fa7 face8f15
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  f356a6b3 9b876251
    43b95a34 49292e11
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  038181eb 058c782e
    56f0ad91 2d61a389
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  f81fa6ce cd1f400b
    b5cf7cef 06ba4375
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  dde0648e c4d63259
    774ce74e 9e2fde19
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  0f463f9e c77b79ea
    65d8639b d63aa0e3
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  7dd485db 251e2e07
    9cd31041 b0734a55
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  463fbacc 1a61502d
    c54e75f2 6d28fc6b
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  82315490 881e3e31
    02d37140 7c9c865a
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  9ef3311b d514795f
    7a9bac00 d13ff85f
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  97e1a693 f9f6c5cb
    88053e8b 7fae6d67
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  ca364f6f 76cf78bc
    bc1acc13 0d334aa6
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  031fb2a3 b5e572df
    2c831e7e f765b7e5
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  fe64641f de2a6fe3
    23311756 8302b8b8
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  1bfae1a8 eb076940
    280cbed1 49b2d50f
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  f7020301 0001
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: SSC Key Hash is
    9e4ddd8dfcdd8458ba7b273fc37284b31a384eb9
    
    !--- Este é o valor de hash-chave SSC real.
    
    Mon May 22 06:34:14 2006: LWAPP Join-Request MTU path from AP 00:0e:84:32:04:f0
    is 1500, remote debug mode is 0
    Mon May 22 06:34:14 2006: spamRadiusProcessResponse: AP Authorization failure for
    00:0e:84:32:04:f0
    

Resolução

Execute estes passos:

  1. Copie o hash de chave pública da saída do comando debug pm pki enable e utilize-o para substituir o hash de chave pública da lista de autenticação.

  2. Execute o comando config auth-list add ssc AP_MAC AP_key para adicionar o endereço MAC do AP e o hash de chave à lista de autorização:

    Este é um exemplo desse comando:

    (Cisco Controller)>config auth-list add ssc 00:0e:84:32:04:f0
    9e4ddd8dfcdd8458ba7b273fc37284b31a384eb9
    
    
    !--- Este comando deve estar em uma única linha.
    
    

Causa 5

Há um certificado ou uma chave pública corrompida no AP.

Troubleshooting

Execute este passo:

Execute os comandos debug lwapp errors enable e debug pm pki enable.

Você verá mensagens que indicam os certificados ou as chaves corrompidas.

Resolução

Utilize uma destas duas opções para resolver esse problema:

  • MIC AP — Solicite uma autorização de devolução de materiais (RMA).

  • SSC AP — Faça um downgrade para o Cisco IOS Software Release 12.3(7)JA.

    Execute estes passos para fazer o downgrade:

  1. Use a opção do botão de redefinição.

  2. Limpe as configurações da controladora.

  3. Faça o upgrade novamente.

Causa 6

A controladora pode estar trabalhando no modo da Camada 2.

Troubleshooting

Execute este passo:

Verifique o modo de operação da controladora.

Os APs convertidos suportam somente a descoberta da Camada 3. Os APs convertidos não suportam a descoberta da Camada 2.

Resolução

Execute estes passos:

  1. Configure a WLC para o modo da Camada 3.

  2. Reinicialize e atribua um endereço IP à interface do gerenciador do AP na mesma sub-rede da interface de gerenciamento.

    Se você possuir uma porta de serviço, tal como a porta de serviço de um 4402 ou 4404, você deverá mantê-la em uma rede diferente das interfaces do gerenciador do AP e de gerenciamento.

Causa 7

Esta mensagem de erro é exibida durante o upgrade:

FAILED   Unable to Load  the LWAPP Recovery Image on to the AP

Troubleshooting

Ao ver essa mensagem de erro, execute estes passos:

  1. Verifique se o seu servidor TFTP está configurado corretamente.

    Se você usa o servidor TFTP interno da Upgrade Tool, um culpado frequente é o software de firewall pessoal que pode bloquear o TFTP de entrada.

  2. Verifique se você está utilizando a imagem correta para o upgrade.

    O upgrade para o modo lightweight necessita de uma imagem especial e não funciona com as imagens de upgrade normais.

Causa 8

Você recebe esta mensagem de erro no AP após a conversão:

*Mar 1 00:00:23.535: %LWAPP-5-CHANGED: LWAPP changed state to DISCOVERY
*Mar 1 00:00:23.550: LWAPP_CLIENT_ERROR_DEBUG: lwapp_crypto_init_ssc_keys_and_
                     certs no certs in the SSC Private File
*Mar 1 00:00:23.550: LWAPP_CLIENT_ERROR_DEBUG:
*Mar 1 00:00:23.551: lwapp_crypto_init: PKI_StartSession failed
*Mar 1 00:00:23.720: %SYS-5-RELOAD: Reload requested by LWAPP CLIENT.
                     Reload Reason: FAILED CRYPTO INIT.
*Mar 1 00:00:23.721: %LWAPP-5-CHANGED: LWAPP changed state to DOWN

O AP é reinicializado após 30 segundos e o processo se inicia novamente.

Resolução

Execute este passo:

Você possui um AP SSC. Após fazer a conversão para um AP LWAPP, adicione o SSC e seu endereço MAC à lista de autenticação de AP na controladora.

Dicas de Troubleshooting

Estas dicas podem ser utilizadas no upgrade do modo autônomo para LWAPP:

  • Se a NVRAM não estiver vazia quando a controladora tentar escrever nela após a conversão, problemas poderão ocorrer. A Cisco recomenda que você limpe a configuração antes de converter um AP para LWAPP. Para limpar a configuração:

    • Na GUI do IOS — Vá para System Software > System Configuration > Reset to Defaults ou Reset to Defaults Except IP.

    • Na CLI — Execute os comandos write erase e reload na CLI e não permita que a configuração seja salva quando for perguntado.

      Isso também faz com que o arquivo de texto dos APs seja convertido pela Upgrade Tool para um formato de criação mais simples, pois as entradas tornam-se <endereço IP>,Cisco,Cisco,Cisco.

  • A Cisco recomenda o uso do tftp32. Você pode baixar o servidor TFTPD mais recente em http://tftpd32.jounin.net/ leavingcisco.com.

  • Se você usa o servidor TFTP interno da Upgrade Tool, um culpado frequente é o software de firewall pessoal que pode bloquear o TFTP de entrada. Certifique-se de que ele esteja desligado.

  • Verifique duas vezes a imagem para a qual você está tentando fazer o upgrade. As imagens de upgrade de IOS para LWAPP são diferentes das imagens de IOS normais.

    Em My Documents/My Computer--> Tools--> Folder Options, certifique-se de desmarcar a caixa de seleção Hide file extensions for known file types.

  • Certifique-se sempre de utilizar a última versão disponível da Upgrade Tool e da imagem de recuperação de upgrade. As versões mais recentes estão disponíveis no Cisco Wireless Software Center.

  • Um AP não pode inicializar um arquivo de imagem .tar. Ele é um pacote similar aos arquivos zip. Você precisa desempacotar o arquivo .tar na flash do AP com o comando archive download ou extrair a imagem inicializável do arquivo tar antes de colocar a imagem inicializável na flash do AP.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 69339