Tecnología inalámbrica / Movilidad : LAN inalámbrica (WLAN)

Resolución de problemas básicos de punto de acceso de extremo remoto híbrido (H-REAP)

17 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (30 Octubre 2008) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Convenciones
Antecedentes
Resolución de problemas de H-REAP
      H-REAP no se conecta al WLC
      Verificación del modo de funcionamiento H-REAP
      Los comandos de la consola de H-REAP no funcionan y devuelven un error
      Los clientes no se pueden conectar a H-REAP
      El sistema de control inalámbrico (WCS) ofrece recuentos incorrectos de clientes al AP en modo de H-REAP
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

El punto de acceso de extremo remoto híbrido (H-REAP) es una solución para las implementaciones en sucursales y oficinas remotas. Permite a los clientes configurar y controlar dos o tres puntos de acceso en una sucursal u oficina remota desde la oficina corporativa, a través de un enlace de red de área ancha (WAN) sin necesidad de implementar un controlador en cada oficina. Este documento trata algunos de los problemas comunes que se producen en un entorno de H-REAP. Este documento también proporciona información sobre cómo resolver estos problemas. Consulte H-REAP Design and Deployment Guide (Guía de implementación y diseño de REAP híbrido) para obtener las consideraciones de diseño relacionadas con H-REAP para su implementación y Configuring Hybrid REAP on Cisco Wireless LAN Controllers (Configuración de REAP híbrido en controladores para redes LAN inalámbricas de Cisco) para obtener los pasos de configuración.

Requisitos previos

Requerimientos

  • Tener conocimiento del funcionamiento de H-REAP y sus modos de funcionamiento

  • Tener conocimiento del proceso de registro de LAP (Punto de acceso ligero) en un controlador

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Controlador para redes LAN inalámbricas de las series 4400 y 2006 de Cisco que utilizan la versión 4.0.179.8

  • Puntos de acceso 1130AG y 1240AG de Cisco

  • Routers de la serie 2800 de Cisco que utilizan la versión 12.4

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Antecedentes

Éstas son las restricciones que hay que tener en cuenta durante el uso de H-REAP.

  • H-REAP sólo es compatible con los puntos de acceso 1130AG y 1240AG, así como con los controladores unificados de las series 2100, 2000 y 4400 de Cisco, el switch del controlador para redes LAN inalámbricas integradas Catalyst 3750G, Cisco WiSM y el módulo de red de controlador para routers de servicios integrados.

  • Cualquier tipo de seguridad que requiera controlar la ruta de datos, como la VPN, no funciona con tráfico en redes WLAN conmutadas localmente, ya que el controlador no puede controlar los datos que no se tunelizan de nuevo a él. Cualquier otro tipo de seguridad funciona en redes WLAN conmutadas local o centralmente, siempre que la ruta entre el H-REAP y el controlador esté activa. Cuando este conducto está inactivo, sólo un subconjunto de estas opciones de seguridad permite que nuevos clientes se conecten a las redes WLAN conmutadas localmente.

    Tipo de seguridad

    Modo conectado (conmutada centralmente)

    Modo conectado (conmutada localmente)

    Modo independiente (conmutada localmente)

    Abierta

    Compartida

    WPA-PSK

    WPA2-PSK

    Exclusión/listas negras de clientes

    No1

    Autenticación de direcciones MAC (incorporada o ascendente)

    Sin autenticaciones nuevas

    WEP dinámica (802.1X)

    Sin autenticaciones nuevas

    WPA (802.1X)

    Sin autenticaciones nuevas

    WPA2 (802.1X)

    Sin autenticaciones nuevas

    Servicios de red basados en identidad (IBNS)

    No soportados

    No soportados

    NAC

    Sin autenticaciones nuevas

    WebAuth (incorporada o ascendente)

    Sin autenticaciones nuevas

    VPN (incorporada o ascendente)

    No admitida2

    No admitida2

    Cranite

    No admitido2

    No admitido2

    AirFortress

    No admitido2

    No admitido2

  • Con H-REAP en modo conectado, el controlador puede imponer la exclusión o listas negras de clientes para evitar que algunos clientes se asocien a sus puntos de acceso. Esta función se puede realizar en estilo automático o manual. En relación con las configuraciones globales y de cada WLAN, se puede excluir a clientes por una gran cantidad de razones, que incluyen desde repetidos intentos de autenticación fallidos a robos de IP, y ello durante un período de tiempo determinado. Se puede incluir a los clientes en estas listas de exclusión manualmente. El uso de esta función sólo es posible mientras el punto de acceso está en modo conectado. Los clientes incluidos en la lista de exclusión no pueden conectarse al punto de acceso, aunque esté en modo independiente.

  • Las redes WLAN que utilizan la autenticación MAC (local o ascendente) no permiten más autenticaciones de clientes adicionales cuando el punto de acceso está en modo independiente; esto es idéntico a la forma en que una WLAN con 802.1X o WebAuth configurada funciona en el mismo modo.

  • No se admite Cisco Centralized Key Management (CCKM) ni Proactive Key Caching (PKC) en redes WLAN de H-REAP conmutadas central o localmente.

Resolución de problemas de H-REAP

Hay algunos escenarios y situaciones comunes que se pueden dar y que no permiten una configuración de H-REAP ni una conectividad de clientes correctas. Éstas son algunas de las posibles situaciones con los pasos sugeridos para la resolución de problemas.

H-REAP no se conecta al WLC

Éstas son las razones básicas para que H-REAP no se conecte al WLC:

  • H-REAP no puede obtener una dirección IP para sí mismo, o bien se le ha asignado una dirección IP incorrecta.

  • No hay ninguna conectividad de la capa-3 entre H-REAP y WLC.

  • No hay conectividad de LWAPP entre H-REAP y WLC.

  • Otras razones son la conexión de H-REAP a un controlador diferente, la discordancia de certificados, un problema con el WLC o con el propio H-REAP, etc.

Siga estos pasos para resolver los problemas:

  1. Verifique que el AP de H-REAP tiene asignada una dirección IP.

    Si DHCP se utiliza a través de la consola del punto de acceso, verifique que el punto de acceso obtenga una dirección IP con el siguiente comando:

    AP_CLI#show dhcp lease

    Si este comando no produce ningún resultado, se debe a que el direccionamiento de DHCP no se ha utilizado para este AP.

    Ahora, asegúrese de que la dirección IP estática está asignada a un AP correctamente. Esto se puede verificar con el siguiente comando:

    AP_CLI#show lwapp ip config

    LWAPP Static IP Configuration
    IP Address         10.77.244.222
    IP netmask         255.255.0.0
    Default Gateway    10.77.244.220  

    El resultado muestra la dirección IP estática 10.77.244.222 asignada al AP.

    Si ésta no es la dirección IP que se desea asignar, corrija la dirección con el valor deseado.

  2. Verifique la conectividad IP entre el AP y la interfaz de administración del controlador.

    Una vez que haya verificado la dirección IP, haga ping en la dirección IP de administración del controlador para asegurarse de que el AP puede comunicarse con el controlador. Utilice el comando ping a través de la consola del AP con esta sintaxis:

    AP_CLI#ping 10.77.244.210

    !--- 10.77.244.210/27 es la dirección IP de la interfaz de administración de ejemplo del controlador.

    Si el ping no funciona correctamente, hay un problema en la conectividad IP entre el AP y el controlador. Asegúrese de que la red ascendente está configurada correctamente y de que el acceso WAN de vuelta a la red corporativa está activado. Verifique que el controlador funciona y que no reside detrás de ninguno de los límites de NAT/PAT. Asegúrese de que los puertos UDP 12222 y 12223 están abiertos en algún firewall intermediario. Haga ping al controlador desde el punto de acceso con la misma sintaxis.

  3. Verifique la conectividad de LWAPP entre el AP y el controlador.

    Una vez que se ha verificado la conectividad IP entre H-REAP y el controlador, realice depuraciones de LWAPP en el controlador para confirmar que los mensajes de LWAPP se comunican a través de WAN y para identificar posibles problemas relacionados. En el controlador, primero cree un filtro MAC para limitar el alcance del resultado de la depuración. Utilice este comando para limitar el resultado de los comandos posteriores a un único punto de acceso:

    AP_CLI#debug mac addr <dirección MAC alámbrica de AP>

    Después de establecerlo para limitar el resultado de la depuración, active la depuración LWAPP.

    Controller_CLI#debug lwapp events enable

    Aparecen mensajes de depuración parecidos a éstos:

    ------------------------------------------------
           -------------------------------------------------
           ----------------------------------------------------
           Thu Mar 15 15:07:56 2007: 00:12:44:b2:ae:d0
    Received LWAPP DISCOVERY REQUEST from AP 00:12:44:b2:ae:d0
    to ff:ff:ff:ff:ff:ff on port '1'
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0
    Received LWAPP JOIN REQUEST from AP 00:12:44:b2:ae:d0 
    
    to 00:0b:85:33:84:a0 on port '1'
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0
     AP AP0012.d92b.3a5e: txNonce  00:0B:85:33:84:A0 rxNonce  00:12:44:B2:AE:D0
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0
    LWAPP Join-Request MTU path from AP 00:12:44:b2:ae:d0
    is 1500, remote debug mode is 0
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0 Successfully added NPU Entry
    for AP 00:12:44:b2:ae:d0 (index 50)Switch IP: 10.77.244.211,
    Switch Port: 12223, intIfNum 1, vlanId 0AP IP: 172.16.1.10, AP Port: 45989,
            next hop MAC: 0 0:12:d9:2b:3a:5e
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0
    Successfully transmission of LWAPP Join-Reply to AP 00:12:44:b2:ae:d0
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0
     Register LWAPP event for AP 00:12:44:b2:ae:d0 slot 0
           Thu Mar 15 15:08:06 2007: 00:12:44:b2:ae:d0
    Register LWAPP event for AP 00:12:44:b2:ae:d0 slot 1
           Thu Mar 15 15:08:08 2007: 00:12:44:b2:ae:d0
    Received LWAPP CONFIGURE REQUEST from AP 00:12:44:b2:ae:d0 to  00:0b:85:33:84:a0
           -----------------------------------------------------
           -----------------------------------------------------
           -----------------------------------------------------

    Este resultado de depuración indica una transmisión correcta de los mensajes de LWAPP entre el controlador y el AP, seguida de una solicitud de conexión correcta del AP y la respuesta de conexión paralela del controlador. Posteriormente el AP se registra con el controlador.

    Si estos mensajes de depuración de LWAPP no aparecen, asegúrese de que H-REAP tenga al menos un método a través del cual se pueda detectar un controlador. Si estos métodos existen (como la difusión de subred local, DHCP opción 43 o DNS), verifique que estén correctamente configurados. Si no hay ningún método de detección, asegúrese de que la dirección IP del controlador se introduce en el punto de acceso a través de la CLI de la consola.

    AP_CLI#lwapp ap controller ip address <dirección IP de la interfaz de administración del controlador>

  4. Verifique si el punto de acceso se conecta o no al controlador correcto.

    En ocasiones, el punto de acceso intenta conectarse a un controlador diferente en lugar del deseado. Para verificar con qué controladores se comunica el punto de acceso, ejecute el comando debug ip udp en la CLI del AP. En el resultado de este comando, vea las direcciones de origen y de destino de cada paquete que atraviesa la pila IP del punto de acceso. Aquí, tiene un ejemplo:

    AP_CLI#debug ip udp

    *Mar 15 16:41:47.999: UDP: sent src=10.77.244.222(45989), dst=10.77.244.211(12223)
    , length=60
    *Mar 15 16:41:47.999: UDP: sent src=10.77.244.222(45989), dst=10.77.244.210(12223)
    , length=75
    *Mar 15 16:41:48.000: UDP: rcvd src=10.77.244.211(12223), dst=10.77.244.222(45989)
    , length=22
    *Mar 15 16:41:48.000: UDP: rcvd src=10.77.244.210(12223), dst=10.77.244.222(45989)
    , length=49
    *Mar 15 16:41:57.778: UDP: sent src=10.77.244.222(45989), dst=10.77.244.211(12223)
    , length=76
    *Mar 15 16:41:57.779: UDP: rcvd src=10.77.244.211(12223), dst=10.77.244.222(45989)
    , length=22
    *Mar 15 16:41:57.779: UDP: rcvd src=10.77.244.211(12223), dst=10.77.244.222(45989)
    , length=51
    *Mar 15 16:41:57.779: UDP: sent src=10.77.244.222(45989), dst=10.77.244.211(12223)
    , length=48

    En este resultado, se puede ver que los paquetes UDP se envían desde el AP y que alcanzan la interfaz de administración (10.77.244.210) y la interfaz del administrador del AP (10.77.244.211) del controlador.

  5. Resuelva los problemas de certificados si el punto de acceso intenta conectarse al controlador, pero no puede.

    Si ve mensajes de LWAPP en el controlador, pero el punto de acceso no se puede conectar, es posible que haya un problema de certificados. Para obtener más consejos sobre la resolución de problemas de LWAPP, entre los que se incluye la resolución de problemas de certificados, consulte Consejos de resolución de problemas de la herramienta de actualización de LWAPP (en inglés).

Otra razón de que los AP de HREAP no se conecten a los WLC es que el Proxy ARP esté desactivado en la puerta de enlace de los AP de HREAP. En la consola de AP, aparece el siguiente mensaje:

*Jul 29 14:04:10.897: LWAPP_CLIENT_ERROR_DEBUG:
Retransmission count for packet exceeded more than max(CHANGE_STATE_EVENT , 1)

Puede deberse al error de funcionamiento CSCse92856. Este problema sólo se aplica a AP1130 y AP1240. No se aplica a AP1000s, AP1100 ni a AP1200.

Este problema se produce cuando se cumplen las siguientes condiciones:

  1. El modo HREAP se utiliza en la WLAN. El modo local no se ve afectado por este problema. La asignación de VLAN nativa es necesaria.

  2. Los AP tienen que estar en una subred IP diferente a la del administrador de AP de los WLC.

  3. El ARP de proxy está desactivado en la puerta de enlace predeterminada del AP.

  4. El AP de HREAP obtiene la puerta de enlace predeterminada del servidor DHCP.

Con el fin de resolver este problema, active el ARP de proxy en el router de la puerta de enlace predeterminada del AP.

Verificación del modo de funcionamiento H-REAP

Una vez que H-REAP se ha conectado al controlador correcto, puede verificar en cualquier momento si el AP de H-REAP está conectado o no al controlador. En otras palabras, puede verificar el modo en que funciona el AP de H-REAP. Esto se puede verificar con el comando show lwapp reap status desde la CLI del AP.

AP_CLI#show lwapp reap status

 AP Mode:        REAP, Connected
                 Radar detected on:  

El resultado indica que el AP de H-REAP está en modo H-REAP y en modo conectado. En otras palabras, el enlace WAN entre el AP y el controlador está ACTIVO (conectado) y el modo de funcionamiento es H-REAP.

AP_CLI#show lwapp reap status

AP Mode:        REAP, Standalone
                Radar detected on: 

Este resultado muestra que el AP está en modo independiente, lo que significa que el enlace WAN entre el AP y el controlador está inactivo. El modo de funcionamiento del AP es REAP. Esto significa que las redes WLAN que están configuradas para la conmutación local mediante autenticación local son funcionales y permiten a los nuevos clientes acceder a esta WLAN. Consulte Ejemplo de configuración de modos de funcionamiento H-REAP para conocer los diferentes modos de funcionamiento de H-REAP.

Los comandos de la consola de H-REAP no funcionan y devuelven un error

Cualquier comando de configuración (configuración de valores o eliminación de la configuración) ejecutado a través de la CLI de H-REAP devuelve el mensaje ERROR!!! Command is disabled (ERROR: El comando está desactivado). Esto puede ocurrir por uno de los dos motivos siguientes:

  • Los puntos de acceso de H-REAP que están en modo conectado no permiten que se establezca ni se elimine ninguna configuración mediante la consola. Cuando el punto de acceso está en este estado, las configuraciones se deben realizar a través de la interfaz del controlador. Si el acceso a los comandos de configuración es necesario, asegúrese de que el punto de acceso está en modo independiente antes de intentar introducir cualquier comando de configuración.

  • Una vez que el punto de acceso se haya conectado al controlador en algún punto (incluso si H-REAP ha vuelto al modo independiente), la consola del punto de acceso no admite los comandos de configuración hasta que se establezca una nueva contraseña. Es necesario cambiar la contraseña de cada H-REAP. Ésta sólo se puede establecer a través de la CLI del controlador al que está conectado el punto de acceso. La siguiente sintaxis de comandos se puede utilizar en el controlador para establecer la contraseña de la consola de un punto de acceso individual o la contraseña de todos los puntos de acceso del controlador: (WLC_CLI)>config ap username <id usuario> password <contraseña> {all | <nombre de AP>}

    A continuación se muestra un ejemplo.

    WLC-1>config ap username hreap password hreap all

    Nota: Para un punto de acceso en el que no se han establecido las contraseñas de la consola, tenga en cuenta que la configuración sólo se envía al punto de acceso cuando se introduce el comando en el controlador. Cualquier otro punto de acceso que se conecte posteriormente al WLC requerirá que se vuelva a introducir el comando.

  • Incluso cuando se ha asignado una contraseña no predeterminada al punto de acceso y éste está en modo independiente, el punto de acceso no permite el acceso a estos comandos. Para realizar cambios en la configuración de H-REAP, es necesario eliminar las configuraciones existentes del direccionamiento IP estático y de la dirección IP del controlador. Esta configuración se denomina LWAPP Private Configuration (Configuración privada de LWAPP) y es necesario eliminarla antes de introducir algún comando nuevo en la CLI del punto de acceso. Para ello, introduzca este comando: AP_CLI#clear lwapp private-config.

    Nota: Para restaurar completamente el punto de acceso a la configuración predeterminada de fábrica, una vez que se inicie el punto de acceso, presione el botón Mode (Modo) hasta que la luz de Ethernet cambie a ámbar. En el dispositivo 1131, está luz se encuentra cerca del botón Mode (Modo) y está marcada claramente con Ethernet. En el 1242, se encuentra debajo del frontal blanco de plástico y está marcada con una E. Libere el botón Mode (Modo) y permita que se inicie el punto de acceso. El punto de acceso se devuelve a la interfaz, que está disponible a través de la imagen de recuperación de IOS del punto de acceso. Tenga en cuenta que si desea introducir nuevos comandos de configuración, es necesario que el punto de acceso utilice el software Cisco IOS® versión 12.3(11)JX1 o posteriores. Esto se puede verificar mediante la consola del punto de acceso, escribiendo show version.

    Nota: Todos los comandos de visualización y depuración funcionan sin que se establezca una contraseña predeterminada y mientras el AP esté en modo conectado.

    Sólo en este momento, se puede realizar cualquier configuración de LWAPP.

Los clientes no se pueden conectar a H-REAP

Si los clientes inalámbricos no se pueden conectar a H-REAP, siga estos pasos:

  1. Verifique que el punto de acceso se ha conectado correctamente al controlador y que el controlador tiene al menos una WLAN configurada correctamente (y activada); asegúrese de que H-REAP está en estado activo.

  2. En el extremo cliente, verifique que el SSID de la WLAN esté disponible. En el controlador, configure la WLAN para difundir el SSID con el fin de facilitar la resolución de problemas de este proceso. Replique la configuración de seguridad de la WLAN en el cliente. En las configuraciones de seguridad del lado cliente están la mayoría de los problemas de conectividad.

  3. Asegúrese de que los clientes en las redes WLAN conmutadas localmente presentan un direccionamiento IP correcto. Si se utiliza DHCP, asegúrese de que el servidor DHCP ascendente esté configurado correctamente y de que proporciona direcciones a los clientes. Si se utiliza un direccionamiento estático, asegúrese de que los clientes estén correctamente configurados para la subred correcta.

  4. Para resolver problemas de conectividad del cliente en el puerto de la consola del H-REAP, introduzca este comando:

    AP_CLI#show lwapp reap association
    		
    
  5. Para depurar los problemas de conectividad de 802.11 de un cliente, utilice este comando:

    AP_CLI#debug dot11 state
    		enable
    
  6. Para depurar el proceso y los fallos de autenticación de 802.1X de un cliente, utilice este comando:

    AP_CLI#debug dot1x events
    		enable
    

El sistema de control inalámbrico (WCS) ofrece recuentos incorrectos de clientes al AP en modo de H-REAP

Si el entorno inalámbrico está administrado por un sistema de control inalámbrico (WCS), en ocasiones este WCS puede presentar clientes incorrectos al AP de H-REAP, en lugar de los recuentos de clientes correctos especificados por el controlador.

Este problema se debe al error de funcionamiento de Cisco CSCsg48059 (sólo para clientes registrados). WCS informa de recuentos de clientes demasiado altos cuando H-REAP se activa en el controlador. Ésta es la solución alternativa.

  1. Para averiguar cuántos clientes están asociados a los AP o a un controlador determinado, utilice la función WCS Monitor > Clients (Monitor de WCS > Clientes).

  2. Busque por AP o por controlador, que se limita por el tipo de radio, para evitar duplicados.

  3. Utilice el número total de elementos encontrados como el número de población verdadera.

    También puede utilizar el WLC para encontrar el recuento de clientes correcto.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 83417