无线/移动 : "无线, LAN (WLAN)"

混合远程边缘接入点 (H-REAP) 基本故障排除

2016 年 10 月 25 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

混合的远程边缘接入点(H-REAP)是分支机构和远程办公室部署的一解决方案。它在一分组或远程办公室使客户配置和控制两或三接入点(AP)从公司办公室通过广域网(WAN)链路,不用需要部署一个控制器在每个办公室。本文讨论在H-REAP环境能发生的某些常见问题。本文也提供信息关于怎样排除故障这些问题。参考的H-REAP设计和部署指南H-REAP设计注意事项的,当您部署H-REAP和配置混合时为配置步骤收割

先决条件

要求

  • H-REAP和其操作模式功能知识

  • 轻量级接入点(LAP)注册过程知识对控制器的

  • 知识轻量级接入点协议 (LWAPP)

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco 4400和2100系列无线局域网控制器(WLCs)该运行5.1

  • 思科1130AG AP, 1240 AG AP和1250 AP

  • Cisco 2800和3800系列路由器该运行12.4

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

当您使用H-REAP时,这些是记住的限制。

  • 1130AG仅支持混合的REAP, 1140, 1240, 1250, 1260, AP801, AP 802, 1040,并且在Cisco WiSM的AP3550 AP和, Cisco 5500, 4400, 2100, 2500,屈曲7500系列控制器、Catalyst 3750G集成的无线局域网控制器交换机和控制器网络模块集成服务路由器的。

  • 要求对数据路径的控制,例如VPN的任何安全类型,不与流量一起使用在本地交换的WLAN,因为控制器不能练习对没有被建立隧道回到它的数据的控制。在H-REAP和控制器之间的路径是UP条件下,其他安全类型在中央工作或本地交换的WLAN。当此conduit发生故障,只有这些安全选项的一子集允许新的客户端连接到本地交换的WLAN。

  • 当H-REAP接入点输入独立模式,为开放,共享, WPA-PSK或者WPA2-PSK验证回车配置“本地认证的WLAN时,本地交换”状态和继续新的客户端验证。

    在控制器软件版本4.2或以上中,这也是可靠对于为802.1X、WPA-802.1X、WPA2-802.1X或者Cisco Centralized Key Management (CCKM)配置的WLAN。然而,这些认证类型要求外部RADIUS服务器配置。其他WLAN回车下来“验证,交换在”状态下(如果WLAN为中央交换配置)或“下来验证,本地交换”状态(如果WLAN为本地交换配置)。

  • 使用在已连接模式的H-REAP,控制器是自由强加客户端排除/列入黑名单防止一些客户端关联与其AP。此功能在自动化的或手工的方式能发生。关于全局和每个WLAN配置,客户端可以被排除为许多原因,范围自被重复的失败的认证尝试到IP盗窃,以及为任何给定的时间。也可以通过手动方式使客户端进入排除列表。当AP在已连接模式时,使用此功能只是可能的。在此排除列表被放置了的客户端保持无法连接到AP,均等,当在独立模式时

  • WLAN (使用MAC验证的本地或上行)不再允许另外的客户端验证,当AP在独立模式时,与方式是相同的每类似与802.1X的已配置的WLAN或Webauth在同一个模式运行。

  • WLC版本4.2.61.0和以上支持快速安全漫游使用CCKM。H-REAP模式支持Layer2快速安全漫游使用CCKM。当客户端从一个AP漫游到另一个,此功能防止对全双工RADIUS EAP验证的需要。为了以H-REAP接入点使用CCKM快速地漫游,您需要配置H-REAP组。

H-REAP排除故障

有些常见的情形和状况会妨碍顺利配置 H-REAP 和连接客户端。这些是与他们的建议的故障排除步骤的一些个这样情况。

H-REAP不加入WLC

这些是H-REAP的基本原因不加入WLC :

  • H-REAP无法获取IP地址到本身,或者分配与错误的IP地址。

  • 没有在H-REAP和WLC之间的所有第3层连通性。

  • 没有H-REAP和WLC之间的一轻量级接入点协议(LWAPP)连接。

  • 其他原因是H-REAP加入对一个不同的控制器的,证书不匹配、问题与WLC或H-REAP等等。

执行这些步骤排除故障这些问题:

  1. 验证H-REAP AP分配IP地址。

    如果DHCP通过AP的控制台使用,请验证AP得到一个地址用此命令:

    .。

    AP_CLI#show dhcp lease
    

    如果此命令输出是无,暗示DHCP寻址没有使用此AP。

    现在,请保证静态IP地址在某一方面正确方式分配到AP。这可以用此命令验证:

    AP_CLI#show lwapp ip config
    
    LWAPP Static IP Configuration
    IP Address         10.77.244.222
    IP netmask         255.255.0.0
    Default Gateway    10.77.244.220

    输出显示10.77.244.222静态IP地址分配到AP。如果这不是将分配的打算的IP地址,请更正IP地址。

  2. 验证在AP和控制器的管理接口的之间IP连通性。

    一旦IP地址验证,请ping控制器的管理IP地址确保, AP能与控制器联络。通过AP的控制台请使用ping命令与此语法:

    AP_CLI#ping 10.77.244.210
    
    
    !--- 10.77.244.210/27 is the example management interface IP address of the controller.
    
    

    如果ping不是成功的,表明有在IP连通性的一问题在AP和控制器之间。保证上行网络适当地配置,并且回到公司网络的WAN接入是UP。验证控制器是可操作的并且不是在任何NAT/PAT限定范围后。从控制器ping到与同一个语法的AP。确保路径的MTU控制器和H-REAP之间在最小限度于1500。这可以检查与ping - l 1500 <WLC管理IP >命令从在广域网的H-REAP侧的一台计算机。

    这是ping成功命令的样例输出:

    ping -l 1500 10.77.244.210
    
    Pinging 10.77.244.204 with 1500 bytes of data:
    
    Reply from 10.77.244.210: bytes=1500 time=6ms TTL=252
    Reply from 10.77.244.210: bytes=1500 time=6ms TTL=252
    Reply from 10.77.244.210: bytes=1500 time=6ms TTL=252
    Reply from 10.77.244.210: bytes=1500 time=6ms TTL=252
    
    Ping statistics for 10.77.244.204:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 6ms, Maximum =  6ms, Average =  6ms
  3. 验证AP和控制器之间的LWAPP连接。

    一旦在H-REAP和控制器之间的IP连通性验证,请执行在控制器的LWAPP调试确认LWAPP消息在广域网间被传达和识别相关问题。在控制器上,首先创建一个 MAC 过滤器以限制调试输出的范围。请使用此命令对单个AP限制随后的命令的输出:

    AP_CLI#debug mac addr <AP’s wired MAC address>
    .

    一旦这设置限制debug输出,请用此命令打开LWAPP调试:

    Controller_CLI#debug lwapp events enable
    

    您看到调试消息类似于这些:

    ------------------------------------------------
           -------------------------------------------------
           ----------------------------------------------------
           Thu Mar 15 15:07:56 2007: 00:12:44:b2:ae:d0 
    Received LWAPP DISCOVERY REQUEST from AP 00:12:44:b2:ae:d0 
    to ff:ff:ff:ff:ff:ff on port '1'
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0 
    Received LWAPP JOIN REQUEST from AP 00:12:44:b2:ae:d0 
    to 00:0b:85:33:84:a0 on port '1'
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0
     AP AP0012.d92b.3a5e: txNonce  00:0B:85:33:84:A0 rxNonce  00:12:44:B2:AE:D0 
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0 
    LWAPP Join-Request MTU path from AP 00:12:44:b2:ae:d0 
    is 1500, remote debug mode is 0
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0 Successfully added NPU Entry 
    for AP 00:12:44:b2:ae:d0 (index 50)Switch IP: 10.77.244.211, 
    Switch Port: 12223, intIfNum 1, vlanId 0AP IP: 172.16.1.10, AP Port: 45989, 
            next hop MAC: 0 0:12:d9:2b:3a:5e
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0 
    Successfully transmission of LWAPP Join-Reply to AP 00:12:44:b2:ae:d0
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0
     Register LWAPP event for AP 00:12:44:b2:ae:d0 slot 0
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0 
    Register LWAPP event for AP 00:12:44:b2:ae:d0 slot 1
           Thu Mar 15 15:08:08 2007: 00:12:44:b2:ae:d0 
    Received LWAPP CONFIGURE REQUEST from AP 00:12:44:b2:ae:d0 to  00:0b:85:33:84:a0
           -----------------------------------------------------
           -----------------------------------------------------
           -----------------------------------------------------

    此debug输出指示LWAPP消息成功的发送在控制器和AP之间的,跟随由从AP的一成功的加入请求和从控制器的并行加入回复。以后AP用控制器得到登记。

    如果这样LWAPP调试消息没有被看到,请保证H-REAP有控制器可以是已发现至少的一个方法。如果这样方法到位(类似本地子网广播、DHCP选项43或者DNS),请验证他们适当地配置。如果其他发现方法不到位,请保证控制器的IP地址手工被输入到AP通过控制台CLI。

    AP_CLI#lwapp ap controller ip address
    		  <management interface Ip address of controller>
    
    
  4. 如果手工配置H-REAP,请确保您清除以前相关的控制器信息,当您搬到您的AP您的网络的时一个不同的位置。这在新的位置允许您的AP产生关联与控制器。为了清除先前配置,请发出AP CLI#clear lwapp私有设置命令。然后,请验证AP是否加入正确控制器。

    为了验证与哪些控制器AP传达,请发出debug ip udp命令对AP CLI。从此命令输出,请查看横断AP的IP协议栈每数据包的源地址和目的地址。

    示例如下:

    AP_CLI-debug IP UDP

    *Mar 15 16:41:47.999: UDP: sent src=10.77.244.222(45989), dst=10.77.244.211(12223)
    , length=60
    *Mar 15 16:41:47.999: UDP: sent src=10.77.244.222(45989), dst=10.77.244.210(12223)
    , length=75
    *Mar 15 16:41:48.000: UDP: rcvd src=10.77.244.211(12223), dst=10.77.244.222(45989)
    , length=22 
    *Mar 15 16:41:48.000: UDP: rcvd src=10.77.244.210(12223), dst=10.77.244.222(45989)
    , length=49 
    *Mar 15 16:41:57.778: UDP: sent src=10.77.244.222(45989), dst=10.77.244.211(12223)
    , length=76
    *Mar 15 16:41:57.779: UDP: rcvd src=10.77.244.211(12223), dst=10.77.244.222(45989)
    , length=22

    从此输出,您能看到UDP数据包从AP被发出,并且他们到达管理接口(10.77.244.210)和AP管理器接口(10.77.244.211)控制器。

  5. 如果AP尝试加入控制器,但是失败,请排除故障证书问题。

    如果LWAPP消息在控制器被看到,但是AP不能加入,这是可能的证书问题。对于更多LWAPP故障排除提示,包括故障排除证书问题,参考的LWAPP升级工具排除故障提示

  6. 其他一个原因H-REAP AP不加入WLCs是,如果代理ARP在H-REAP的AP网关禁用。从AP控制台,此消息被记录:

    *Jul 29 14:04:10.897: LWAPP_CLIENT_ERROR_DEBUG:  
    Retransmission count for packet exceeded more than max(CHANGE_STATE_EVENT , 1)

    这可以由Cisco Bug ID CSCse92856造成。此问题仅适用于AP1130和AP1240。此问题不适用于AP1000s、AP1100或者AP1200。

    当这些情况符合时,此问题发生:

    1. HREAP模式用于WLAN。本地传送方式没有影响的是受此问题的。本地VLAN映射要求。

    2. AP比WLCs的AP管理器必须在一个不同的IP子网。

    3. 代理ARP在AP的默认网关禁用。

    4. H-REAP AP从DHCP服务器获得默认网关。

    为了解决此问题,在AP的默认网关路由器的enable (event)代理ARP。

H-REAP操作模式的验证

一旦H-REAP加入正确控制器,您能验证H-REAP AP是否在任何时间连接到控制器。换句话说,您在哪个模式能验证H-REAP AP作用。这可以验证与显示lwapp收割status命令从AP CLI。

AP_CLI-show lwapp收割状态

 AP Mode:        REAP, Connected
                 Radar detected on:  

此输出说H-REAP AP在H-REAP模式和已连接模式。换句话说,在AP和控制器之间的广域网链路是UP (连接),并且操作模式是H-REAP。

AP_CLI-show lwapp收割状态

AP Mode:        REAP, Standalone
                Radar detected on: 

此输出说AP在独立模式,因此意味着在AP和控制器之间的广域网链路发生故障。AP操作模式是收割。这意味着为与本地认证的本地交换配置请是工作并且允许新的客户端对此WLAN的该WLAN。参考的H-REAP操作模式配置示例为了了解H-REAP不同的操作模式。

H-REAP控制台命令不是可操作的并且返回错误

通过 H-REAP CLI 执行的任何配置命令(不管是设置配置还是清除配置)都返回 ERROR!!!Command is disabled 消息。这能为两个原因之一发生:

  • H-REAP在已连接模式的AP (注册对控制器)不允许通过控制台将设置或被清除的任何配置。当AP在此状态时,必须通过控制器接口执行配置。如果对配置命令的访问在AP要求,请保证AP在独立模式,在您尝试输入所有配置命令前。

  • 一旦AP在任意时候连接或注册到控制器,请保证H-REAP默认特权密码,思科,更改。如果此默认密码没有更改,您不能访问H-REAP的控制台CLI移动向独立模式。特权密码可能通过AP连接控制器的CLI只设置。此命令语法可以用于在控制器设置个人AP的控制台密码或密码为控制器的所有AP :(WLC_CLI)>config ap username <user-id> password <passwd> {all|<AP name>}。

    示例如下:

    WLC-1>config ap username hreap
    		password hreap all
    

    注意: 如果运行WLC版本5.0和以上,请使用此命令:设置ap mgmtuser添加用户名用户名password password秘密机密{全部|AP名称}

    注意: 对于没有的AP其控制台密码设置,知道此配置只发送对AP,当命令被输入在控制器时。随后加入WLC的所有AP要求命令再被输入。

    注意: 这些命令工作在外面-方框H-REAPs,既使当默认密码没有更改:

    • lwapp ap主机名<name>

    • lwapp ap IP地址<AP的IP地址> <子网掩码>

    • lwapp ap ip default-gateway <Gateway的IP地址>

    • lwapp ap controller ip address <WLC IP地址>

    • 清楚lwapp私有设置

  • 注意: 为了完全返回AP对出厂默认设置,在AP启动,按Mode按钮,直到以太网灯启用琥珀色。在1131,此灯在Mode按钮附近和清楚地标记用以太网。在1242,这在白色塑料门面下,并且与E. Release的notated Mode按钮和让AP启动。AP返回对接口,通过AP的IOS恢复镜像是可用的。注意,如果新的配置命令希望, AP需要运行Cisco IOSï ¿  ½软件版本12.3(11)JX1或以上。这可以通过AP的控制台验证通过输入show version命令

    注意: 所有显示并且调试continue命令工作,不用设置的默认密码,并且,当AP在已连接模式时。

    可能所有LWAPP配置这时只被做。

客户端不能连接到H-REAP

如果无线客户端不能连接到H-REAP,请执行这些步骤:

  1. 保证在控制器和H-REAP之间的广域网链路是UP。

  2. 验证AP适当地加入控制器,并且控制器有至少一适当地配置的(和启用) WLAN。保证H-REAP在本地交换的WLAN的允许状态

  3. 在控制器,请配置WLAN广播其SSID帮助排除故障此进程。在客户端,如果客户端能查找与SSID的AP请验证。反映WLAN的SSID名称和安全配置在客户端的。客户端安全配置是发生各种连接问题的根源。

  4. 保证本地交换的WLAN的客户端适当地是寻址的IP。如果使用DHCP,请确保一个上行DHCP服务器适当地配置,并且那提供对客户端的地址。如果使用静态地址,请保证客户端为正确子网适当地配置。

  5. 确保 UDP 端口 12222 和 12223 已在任何中间防火墙上开放。

  6. 为了在H-REAP的控制台端口进一步排除故障客户端连通性问题,请发出此命令:

    AP_CLI#show lwapp reap association
    
  7. 为了调试客户端的802.11连通性问题,请发出此命令:

    AP_CLI#debug dot11 state enable
    
  8. 为了调试客户端的802.1X认证过程和失败,请发出此命令:

    AP_CLI#debug dot1x events enable
    

无线对AP的控制系统(WCS)报告不正确客户端统计在H-REAP模式

如果您的无线环境由无线控制系统(WCS)管理,此WCS能有时不正确客户端向H-REAP AP报告,与控制器指定的正确客户端计数相对。

此问题由 Cisco Bug ID CSCsg48059(仅限注册用户)所致。WCS报告太高的客户端计数,当H-REAP在控制器时启用。这是应急方案。

  1. 为了欲知多少个客户端关联到AP或给的控制器,请使用WCS监视器>客户端特性。

  2. 由AP或控制器搜索,由无线电类型限制,避免重复项。

  3. 请使用作为您真的人口数目被找到的项目的总数。

    您能也使用 WLC 查找正确客户端计数。

此问题在无线局域网控制器版本4.0.206.0被解决。


相关信息


Document ID: 83417