Беспроводные сети / Мобильные решения : "Беспроводные сети, LAN (WLAN)"

Советы по устранению неисправностей средства обновления LWAPP

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (12 августа 2009) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Средство обновления – основные действия
Типы сертификатов
Проблема
      Симптом
Решения
      Причина 1
      Причина 2
      Причина 3
      Причина 4
      Причина 5
      Причина 6
      Причина 7
      Причина 8
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе обсуждаются некоторые из основных проблем, которые могут возникнуть при использовании средства обновления при обновлении автономных точек доступа для использования облегченного режима. В нем также содержатся рекомендации по решениию этих проблем.

Предварительные условия

Требования

До начала обновления на точке доступа необходимо установить программное обеспечение Cisco IOS® версии 12.3(7)JA или выше.

На контроллерах Cisco должно использоваться программное обеспечении версии не ниже 3.1.

В системе контроля беспроводной сети Cisco (если она используется) должно использоваться ПО версии не ниже 3.1.

Утилита обновления поддерживается на платформах Windows 2000 и Windows XP. Необходимо использовать одну из этих версий операционной системы Windows.

Используемые компоненты

Сведения в этом документе приводятся для контроллеров беспроводной локальной сети серии 4400 и 2006, модуля контроллера беспроводной локальной сети (WLCM), модуля обслуживания беспроводной сети (WiSM) и интегрированных контроллеров беспроводной локальной сети 3750G, которые поддерживают обновление автономных точек доступа до облегченного режима.

Это обновление поддерживается для следующих точек доступа:

  • Все точки доступа 1130AG

  • Все точки доступа 1240 AG

  • Все платформы модульных точек доступа серии 1200 на базе Cisco IOS (обновление программного обеспечения 1200/1220 Cisco IOS, 1210 и 1230 AP) это зависит от радиостандарта:

    • –поддерживаются ли 802.11G, MP21G и MP31G

    • –поддерживаются ли 802.11A, RM21A и RM22A

  • Точки доступа серии 1200 можно обновлять при любой комбинации поддерживаемых радиостандартов: только G, только A, а также при сочетании G и A.

Условные обозначения

См. дополнительные сведения об условных обозначениях в документе Технические советы Cisco. условные обозначения.

Средство обновления – основные действия

Это средство обновления используется для обновления автономных точек доступа до облегченного режима при условии, что точка доступа совместима с таким обновлением. Средство обновления выполняет основные задания, необходимые для обновления с автономного до облегченного режима. Выполняются следующие действия:

  • Проверка основных условий — Проверяет, поддерживается ли точка доступа, используется ли на ней программное обеспечение минимальной версии и поддерживается ли тип радиоканала.

  • Подготовка автономной точки доступа для обновления — Добавляет конфигурацию инфраструктуры открытого ключа (PKI) и иерархию сертификатов, чтобы выполнить аутентификацию точки доступа для контроллеров Cisco и сформировать для точки доступа самостоятельно подписанные сертификаты (сертификаты SSC). Если на точке доступа имеются установленные производителем сертификаты (сертификаты MIC), то сертификаты SSC не используются.

  • Загружает образ обновления из автономного в облегченный режим (например, 12.3(11)JX1 или 12.3(7)JX.), который позволяет установить беспроводное соединение между точкой доступа и контроллером. После успешной загрузки происходит перезагрузка точки доступа.

  • Генерирует файл выходных данных, содержащий MAC-адреса точки доступа, тип сертификата и безопасный хеш-ключ, а затем автоматически обновляет контроллер. Файл выходных данных можно импортировать в систему контроля беспроводной сети и экспортировать на другие контроллеры.

См. дополнительные сведения в разделе Процедура обновления в документе Обновление автономных точек доступа Cisco Aironet до облегченного режима.

Типы сертификатов

Существует два вида точек доступа:

  • Точки доступа с сертификатом MIC

  • Точки доступа, для которых необходим сертификат SSC

Необходимо рассматривать точки доступа Cisco Aironet MIC, использующие протокол Lightweight Access Point Protocol (LWAPP) (например, точки доступа Aironet 1000) и устранять неисправности соответствующим образом. Другими словами, проверьте подсоединение по протоколу IP, произведите отладку блока состояний LWAPP, а затем проверьте шифрование.

Журнал средства обновления содержит сведения о том, использует ли точка доступа протокол MIC или SSC. Ниже приведен пример подробного журнала средства обновления.

2006/08/21 16:59:07 INFO  	172.16.1.60 	 Term Length configured. 
2006/08/21 16:59:07 INFO  	172.16.1.60 	 Upgrade Tool supported AP 
2006/08/21 16:59:07 INFO  	172.16.1.60 	 AP has two radios 
2006/08/21 16:59:07 INFO  	172.16.1.60 	 AP has Supported Radio 
2006/08/21 16:59:07 INFO  	172.16.1.60 	 AP  has 12.3(7)JA Image or greater 
2006/08/21 16:59:07 INFO  	172.16.1.60 	 Station role is  Root AP 
2006/08/21 16:59:07 INFO  	172.16.1.60 	 MIC is already configured in the AP
2006/08/21 16:59:07 INFO  	172.16.1.60      Hardware is PowerPC405GP Ethernet,  
                                         address is 0015.63e5.0c7e (bia 0015.63e5.0c7e)  
2006/08/21 16:59:08 INFO  	172.16.1.60 	 Inside Shutdown function 
2006/08/21 16:59:10 INFO  	172.16.1.60 	 Shutdown the Dot11Radio1 
2006/08/21 16:59:11 INFO  	172.16.1.60 	 Shutdown the Dot11Radio0 
2006/08/21 16:59:12 INFO  	172.16.1.60 	 Updating the AP with Current System Time 
2006/08/21 16:59:13 INFO  	172.16.1.60 	 Saving the configuration into memory 
2006/08/21 16:59:13 INFO  	172.16.1.60 	 Getting  AP Name 
2006/08/21 16:59:58 INFO  	172.16.1.60 	 Successfully Loaded the LWAPP Recovery 
                                         Image on to the AP 
2006/08/21 16:59:58 INFO  	172.16.1.60 	 Executing Write Erase Command  
2006/08/21 17:00:04 INFO  	172.16.1.60 	 Flash contents are logged 
2006/08/21 17:00:06 INFO  	172.16.1.60 	 Environmental Variables are logged 
2006/08/21 17:00:06 INFO  	172.16.1.60 	 Reloading the AP  
2006/08/21 17:00:08 INFO  	172.16.1.60 	 Successfully executed the Reload command

В этом журнале в выделенной строке указано, что на точке доступа установлен сертификат MIC. См. дополнительные сведения о сертификатах и процессе обновления в разделе Обзор процедуры обновления в документе Обновление автономных точек доступа Cisco Aironet до облегченного режима.

В случае если точки доступа используют сертификат SSC, на контроллере сертификат не создается. Средство обновления подает на точку доступа команду на генерацию пары ключей Rivest, Shamir и Adelman (RSA), используемой для подписи самостоятельно сгенерированного сертификата (сертификата SSC). Средство обновления добавляет запись к списку аутентфикации контроллера, в которой содержится MAC-адрес точки доступа и открытый хеш-ключ. Открытый хеш-ключ используется контроллером для проверки подписи SSC.

Если такая запись не была добавлена к контроллеру, проверьте файл CSV выходных данных. В нем должны быть записи для каждой точки доступа. Если такая запись найдена, импортируйте этот файл на контроллер. При использовании интерфейса командной строки контроллера (с использованием команды config auth-list) или веб-коммутатора необходимо импортировать одни файл за раз. При использовании системы контроля беспроводной сети можно импортировать весь файл CSV как шаблон.

Кроме того, проверьте регуляторный домен.

Проблема

Симптом

Беспроводное соединение между точкой доступа и контроллером не устанавливается. В разделе Решения данного документа предложены причины в порядке уменьшения их вероятности.

Решения

Используйте этот раздел для решения проблемы.

Причина 1

Точка доступа не может обнаружить контроллер с использованием механизма обнаружения LWAPP или не может с ним соединиться.

Устранение неполадок

Выполните следующие действия:

  1. Введите в командной строке контроллера команду debug lwapp events enable.

    Найдите последовательность ответных реакций (LWAPP discovery > discovery response > join request > join). Отсутствие ответной реакции на LWAPP discovery означает, что точка доступа не может найти или не находит контроллер.

    Ниже приведен пример успешного ответа от контроллера беспроводной локальной сети на попытку подсоединения, полученного на точке доступа, преобразованной для использования облегченного режима. Команда debug lwapp events enable приводит к отображению следующих выходных данных:

    Thu May 25 06:53:54 2006: Received LWAPP DISCOVERY REQUEST from AP 
                              00:15:63:e5:0c:7e to 00:0b:85:33:84:a0 on port '1'
    Thu May 25 06:53:54 2006: Successful transmission of LWAPP Discovery-Response to AP 
                              00:15:63:e5:0c:7e on Port 1
    Thu May 25 06:53:54 2006: Received LWAPP DISCOVERY REQUEST from AP 00:15:63:e5:0c:7e
                              to 00:0b:85:33:84:a0 on port '1'
    Thu May 25 06:53:54 2006: Successful transmission of LWAPP Discovery-Response to AP
                              00:15:63:e5:0c:7e on Port 1
    Thu May 25 06:53:54 2006: Received LWAPP DISCOVERY REQUEST from AP 00:15:63:e5:0c:7e 
                              to ff:ff:ff:ff:ff:ff on port '1'
    Thu May 25 06:53:54 2006: Successful transmission of LWAPP Discovery-Response to 
                              AP 00:15:63:e5:0c:7e on Port 1
    Thu May 25 06:54:05 2006: Received LWAPP JOIN REQUEST from AP 00:15:63:e5:0c:7e 
                              to 00:0b:85:33:84:a0 on port '1'
    Thu May 25 06:54:05 2006: LWAPP Join-Request MTU path from AP 00:15:63:e5:0c:7e  
                              is 1500, remote debug mode is 0
    Thu May 25 06:54:05 2006: Successfully added NPU Entry for AP 00:15:63:e5:0c:7e 
                              (index 51)Switch IP: 172.16.1.11, Switch Port: 12223,  
                              intIfNum 1, vlanId 0AP IP: 172.16.1.60, AP Port: 20679, 
                              next hop MAC: 00:15:63:e5:0c:7e
    Thu May 25 06:54:05 2006: Successfully transmission of LWAPP Join-Reply to AP 
                              00:15:63:e5:0c:7e
    ..........................................
    ..............................................
    .............................................. // выходные данные отладки продолжают выводится 
    на протяжении всей процедуры регистрации.
  2. Проверьте подсоединение по протоколу IP между сетью точек доступа и контроллером. Если контроллер и точка доступа расположены в одной и той же подсети, убедитесь, что они соединены правильно. Если они расположены в разных подсетях, убедитесь, что между ними используется маршрутизатор, который обеспечивает правильную маршрутизацию между двумя подсетями.

  3. Проверьте, правильно ли настроен механизм обнаружения.

    Если для обнаружения контроллера беспроводной локальной сети используется система доменных имен (DNS), убедитесь, что сервер DNS правильно настроен и сопоставляет домен CISCO-LWAPP-CONTROLLER.local-domain с IP-адресом контроллера. Следовательно, если точка доступа может определить имя, с нее на определенный IP-адрес отправляется сообщение о подсоединении по протоколу LWAPP.

    Если в качестве параметра обнаружения используется Option 43, убедитесь, что он на сервере DHCP он настроен правильно.

    См. дополнительные сведения о процедуре и последовательности обнаружения в разделе Регистрация "облегченной" точки доступа на контроллере беспроводной локальной сети.

    См. дополнительные сведения о настройке параметра 43 DHCP в разделе Настройка параметра 43 DHCP.

    Примечание: При преобразовании точек доступа со статическими адресами можно использовать единственный механизм обнаружения уровня 3, а именно DNS, поскольку статические адреса сохраняются во время обновления.

    На точке доступа можно ввести команду debug lwapp client events и команду debug ip udp для получения сведений, достаточных для определения того, что происходит. Следует просмотреть последовательность пакетов протокола датаграмм пользователя (UDP), а именно:

    1. Переданную с IP-адреса точки доступа на IP-адрес интерфейса управления контроллером.

    2. Переданную с IP-адреса менеджера точки доступа контроллера на IP-адрес точки доступа.

    3. Набор пакетов, полученных с IP-адреса точки доступа на IP-адрес менеджера точки доступа.

      Примечание: В некоторых ситуациях может использоваться более одного контроллера, поэтому точка доступа может попытаться подсоединиться к другому контроллеру на основании блока состояния обнаружения и алгоритмов LWAPP. Такая ситуация может произойти из-за динамической балансировки нагрузки на точки доступа, которую контроллер выполняет по умолчанию. Эту ситуацию следует исследовать.

      Примечание: Ниже приведен пример выходных данных команды debug ip udp:

      Dec 16 00:32:08.228: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12222), 
                            length=78
      *Dec 16 00:32:08.777: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223), 
                            length=60
      *Dec 16 00:32:08.777: UDP: sent src=172.16.1.60(20679), dst=172.16.1.10(12223), 
                            length=75
      *Dec 16 00:32:08.778: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679), 
                            length=22
      *Dec 16 00:32:08.779: UDP: rcvd src=172.16.1.10(12223), dst=172.16.1.60(20679), 
                            length=59
      *Dec 16 00:32:09.057: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223), 
                            length=180
      *Dec 16 00:32:09.059: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679), 
                            length=22
      *Dec 16 00:32:09.075: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223), 
                            length=89
      *Dec 16 00:32:09.077: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679), 
                            length=22
      *Dec 16 00:32:09.298: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223), 
                            length=209
      *Dec 16 00:32:09.300: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679), 
                            length=22
      *Dec 16 00:32:09.300: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223), 
                            length=164
      *Dec 16 00:32:09.301: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679), 
                            length=22
      *Dec 16 00:32:09.302: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223), 
                            length=209
      *Dec 16 00:32:09.303: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679), 
                            length=22
      *Dec 16 00:32:09.303: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223), 
                            length=287
      *Dec 16 00:32:09.306: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679), 
                            length=22
      *Dec 16 00:32:09.306: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223), 
                            length=89
      *Dec 16 00:32:09.308: UDP: rcvd src=172.16.1.11(12223), dst=172.16.1.60(20679), 
                            length=22
      *Dec 16 00:32:09.308: UDP: sent src=172.16.1.60(20679), dst=172.16.1.11(12223), 
                            length=222

Устранение

Выполните следующие действия:

  1. Изучите руководство.

  2. Исправьте ошибки инфраструктуры, чтобы она правильно поддерживала механизм обнаружения LWAPP.

  3. Переместите точку доступа в ту же самую подсеть, в которой находится контроллер, чтобы он получил приоритет при установлении соединения.

  4. При необходимости введите в интерфейсе командной строки точки доступа команду lwapp ap controller ip address A.B.C.D, чтобы вручную задать IP контроллера.

    В этой команде A.B.C.D означает IP-адрес управляющего интерфейса контроллера беспроводной локальной сети.

Причина 2

Время на контроллере находится вне пределов периода достоверности сертификата

Устранение неполадок

Выполните следующие действия:

  1. Введите команды debug lwapp errors enable и debug pm pki enable.

    Эти команды отладки отображают сведения о сообщениях о сертификации, которыми обмениваются точка доступа и контроллер беспроводной локальной сети. Эти команды ясно выводят сообщение о том, что сертификат отклонен по причине того, что его дата не соответствует периоду достоверности.

    Примечание: Обязательно внесите поправку на универсальное координатное время (UTC).

    Ниже приведены выходные данные команды debug pm pki enable на контроллере:

    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: locking ca cert table
    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: calling x509_alloc() for user cert
    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: calling x509_decode()
    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles:  C=US, ST=California,  
                              L=San Jose, O=Cisco Systems, CN=C1200-001563e50c7e, 
                              MAILTO=support@cisco.com
    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles:   O=Cisco Systems, 
                              CN=Cisco Manufacturing CA
    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: Mac Address in subject is 
                              00:15:63:e5:0c:7e
    Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: Cert is issued by Cisco Systems.
    .........................
    .........................
    ..........................
    ..........................
    Fri Apr 15 07:55:03 2005: ssphmUserCertVerify: calling x509_decode()
    Fri Apr 15 07:55:03 2005: ssphmUserCertVerify: user cert verfied using 
                              >cscoDefaultMfgCaCert<
    Fri Apr 15 07:55:03 2005: sshpmGetIssuerHandles: ValidityString (current): 
                              2005/04/15/07:55:03
    Fri Apr 15 07:55:03 2005: sshpmGetIssuerHandles: Current time outside AP cert 
                              validity interval: make sure the controller time is set.
    Fri Apr 15 07:55:03 2005: sshpmFreePublicKeyHandle: called with (nil)

    В этих выходных данных обратите внимание на выделенные сведения. Эти данные отчетливо свидетельствуют о том, что время на контроллере находится вне пределов периода достоверности сертификата точки доступа. Следовательно, точка доступа не может быть зарегистрирована на контроллере. Сертификаты, установленные на точке доступа, имеют заданный период достоверности. Необходимо установить время на контроллере таким образом, чтобы оно соответствовало периоду достоверности сертификата точки доступа.

  2. Введите в интерфейсе командной строки точки доступа команду show crypto ca certificates, чтобы проверить, какой период действия сертификата установлен на точке доступа.

    Ниже представлен пример:

    AP0015.63e5.0c7e#show crypto ca certificates
    ............................................
    ............................................
    .............................................
    ................................................
    Certificate
      Status: Available
      Certificate Serial Number: 4BC6DAB80000000517AF
      Certificate Usage: General Purpose
      Issuer:
        cn=Cisco Manufacturing CA
        o=Cisco Systems
      Subject:
        Name: C1200-001563e50c7e
        ea=support@cisco.com
        cn=C1200-001563e50c7e
        o=Cisco Systems
        l=San Jose
        st=California
        c=US
      CRL Distribution Point:
        http://www.cisco.com/security/pki/crl/cmca.crl
      Validity Date:
        start date: 17:22:04 UTC Nov 30 2005
        end   date: 17:32:04 UTC Nov 30 2015
        renew date: 00:00:00 UTC Jan 1 1970
      Associated Trustpoints: Cisco_IOS_MIC_cert
    ....................................
    ....................................
    ......................................

    Выходные данные приведены не полностью, поскольку в выходных данных этой команды могут присутствовать несколько периодов достоверности. Необходимо обратить внимание только на период достоверности, указанный как Associated Trustpoint: Cisco_IOS_MIC_cert и имеющий соответствующее имя точки доступа в поле имени (здесь, Name: C1200-001563e50c7e), как выделено в данном примере. Это и есть период достоверности сертификата, который необходимо принять во внимание.

  3. Введите в интерфейсе командной строки контроллера команду show time, чтобы убедиться, что дата и время, установленные на контроллере, соответствуют этому периоду достоверности.

    Если время на контроллере находится все периода достоверности сертификата, измените время на контроллере, чтобы оно попадало в этот период.

Устранение

Выполните следующее действие:

Выберите в режиме графического пользовательского интерфейса контроллера Commands > Set Time или введите в интерфейсе командной строки контроллера команду config time, чтобы задать время на контроллере.

Причина 3

При использовании точек доступа с сертификатом SSC, политика точек доступа SSC отключена.

Устранение неполадок

В таких случаях на контроллере выводится сообщение об ошибке:

Wed Aug  9 17:20:21 2006  [ERROR] spam_lrad.c 1553: spamProcessJoinRequest 
                          :spamDecodeJoinReq failed 
Wed Aug  9 17:20:21 2006  [ERROR] spam_crypto.c 1509: Unable to free public key for 
                          AP 00:12:44:B3:E5:60 
Wed Aug  9 17:20:21 2006  [ERROR] spam_lrad.c 4880: LWAPP Join-Request does not include 
                          valid certificate in CERTIFICATE_PAYLOAD from AP 00:12:44:b3:e5:60.
Wed Aug  9 17:20:21 2006  [CRITICAL] sshpmPkiApi.c 1493: Not configured to accept  
                          Self-signed AP cert

Выполните следующие действия:

Выполните одно из следующих двух действий:

  • Введите в интерфейсе командной строки команду show auth-list, чтобы убедиться, что контроллер настроен таким образом, чтобы обслуживать точки доступа с протоколами SSC.

    Ниже приведен пример выходных данных команды show auth-list:

    #show auth-list
    
    
    
    Authorize APs against AAA ....................... disabled
    
    Allow APs with Self-signed Certificate (SSC) .... enabled
    
    
    Mac Addr                  Cert Type    Key Hash
    
    -----------------------   ----------   ------------------------------------------
    
    00:09:12:2a:2b:2c         SSC          1234567890123456789012345678901234567890
  • Выберите в графическом пользовательском интерфейсе Security > AP Policies.

  1. Убедитесь, что установлен флажок Accept Self Signed Certificate. В противном случае установите его.

  2. Выберите в качестве типа сертификата SSC.

  3. Добавьте точку доступа, ее mac-адрес и хеш-ключ к списку аутентификации.

    Этот хеш-ключ выводится в данных команды debug pm pki enable. См. сведения о получении хеш-ключа в разделе Причина 4.

Причина 4

Неверный открытый хеш-ключ SSC, или он отсутствует.

Устранение неполадок

Выполните следующие действия:

  1. Введите команду debug lwapp events enable.

    Убедитесь, что точка доступа делает попытки подсоединиться.

  2. Введите команду show auth-list.

    Эта команда отображает открытый хеш-ключ, хранящийся в контроллере.

  3. Введите команду debug pm pki enable.

    Эта команда отображает реальный открытый хеш-ключ. Реальный открытый хеш-ключ должен соответствовать открытому хеш-ключу, хранящемуся в контроллере. При их расхождении возникает проблема. Ниже приведен пример вывода этого сообщения отладки:

    (Cisco Controller) >
    debug pm pki enable
    
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: getting (old) aes ID cert handle...
    Mon May 22 06:34:10 2006: sshpmGetCID: called to evaluate 
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 0, CA cert 
    >bsnOldDefaultCaCert<
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 1, CA cert 
    >bsnDefaultRootCaCert<
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 2, CA cert 
    >bsnDefaultCaCert<
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 3, CA cert 
    >bsnDefaultBuildCert<
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 4, CA cert 
    >cscoDefaultNewRootCaCert<
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 5, CA cert 
    >cscoDefaultMfgCaCert<
    Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 0, ID cert 
    >bsnOldDefaultIdCert<
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Calculate SHA1 hash on Public Key 
    Data
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  30820122 300d0609 
    2a864886 f70d0101 
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  01050003 82010f00 
    3082010a 02820101 
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  00c805cd 7d406ea0 
    cad8df69 b366fd4c 
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  82fc0df0 39f2bff7 
    ad425fa7 face8f15 
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  f356a6b3 9b876251 
    43b95a34 49292e11 
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  038181eb 058c782e 
    56f0ad91 2d61a389 
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  f81fa6ce cd1f400b 
    b5cf7cef 06ba4375 
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  dde0648e c4d63259 
    774ce74e 9e2fde19 
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  0f463f9e c77b79ea 
    65d8639b d63aa0e3 
    Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  7dd485db 251e2e07 
    9cd31041 b0734a55 
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  463fbacc 1a61502d 
    c54e75f2 6d28fc6b 
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  82315490 881e3e31 
    02d37140 7c9c865a 
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  9ef3311b d514795f 
    7a9bac00 d13ff85f 
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  97e1a693 f9f6c5cb 
    88053e8b 7fae6d67 
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  ca364f6f 76cf78bc 
    bc1acc13 0d334aa6 
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  031fb2a3 b5e572df 
    2c831e7e f765b7e5 
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  fe64641f de2a6fe3 
    23311756 8302b8b8 
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  1bfae1a8 eb076940 
    280cbed1 49b2d50f 
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  f7020301 0001
    Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: SSC Key Hash is 
    9e4ddd8dfcdd8458ba7b273fc37284b31a384eb9
    
    !--- Это реальное значение хеш-ключа SSC.
    
    Mon May 22 06:34:14 2006: LWAPP Join-Request MTU path from AP 00:0e:84:32:04:f0 
    is 1500, remote debug mode is 0
    Mon May 22 06:34:14 2006: spamRadiusProcessResponse: AP Authorization failure for 
    00:0e:84:32:04:f0
    

Устранение

Выполните следующие действия:

  1. Скопируйте открытый хеш-ключ из выходных данных команды debug pm pki enable и замените им открытый хеш-ключ в списке аутентификации.

  2. Введите команду config auth-list add ssc AP_MAC AP_key для добавления MAC-адреса и хеш-ключа точки доступа к списку аутентификации.

    Ниже приведен пример выходных данных этой команды:

    (Cisco Controller)>config auth-list add ssc 00:0e:84:32:04:f0 
    9e4ddd8dfcdd8458ba7b273fc37284b31a384eb9
    
    
    !--- Эта команда должна быть на одной строке.
    
    

Причина 5

На точке доступа поврежден сертификат или открытый ключ.

Устранение неполадок

Выполните следующее действие:

Введите команды debug lwapp errors enable и debug pm pki enable.

Отображаются сообщения о повреждении сертификатов или ключей.

Устранение

Для устранения этой проблемы выберите один из двух вариантов действия:

  • Точка доступа MIC—Затребуйте разрешение на возврат материалов (RMA).

  • Точка доступа SSC—Понизьте версию программного обеспечения Cisco IOS до выпуска 12.3(7)JA.

    Выполните следующие шаги для понижения версии:

  1. Используйте кнопку сброса.

  2. Очистите настройки контроллера.

  3. Повторно выполните обновление.

Причина 6

Возможно, контроллер работает в режиме уровня 2.

Устранение неполадок

Выполните следующее действие:

Проверьте режим работы контроллера.

Преобразованные точки доступа поддерживают только механизмы обнаружения уровня 3. Преобразованные точки доступа не поддерживают механизмы обнаружения уровня 2.

Устранение

Выполните следующие действия:

  1. Установите на контроллере беспроводной локальной сети режим уровня 3.

  2. Выполните перезагрузку и присвойте интерфейсу менеджера точки доступа IP-адрес в той же подсети, где расположен управляющий интерфейс.

    При наличии сервисного порта (например, сервисного порта в модели 4402 или 4404) необходимо использовать его в суперсети, отличной от той, где расположен менеджер точки доступа и управляющие интерфейсы.

Причина 7

Во время процесса обновления отображается следующее сообщение:

FAILED   Unable to Load  the LWAPP Recovery Image on to the AP

Устранение неполадок

Для устранения этой ошибки выполните следующие действия:

  1. Убедитесь, что сервер TFTP настроен правильно.

    При использовании средства обновления, встроенного в сервер TFTP, обычно причиной ошибки является персональный брандмауэр, блокирующий входящий TFTP.

  2. Убедитесь, что для обновления используется правильный образ.

    Обновление до облегченного режима требует использовать специальный образ и не выполняется с обычными образами обновления.

Причина 8

После преобразования на точке доступа отображается следующее сообщение об ошибке:

*Mar 1 00:00:23.535: %LWAPP-5-CHANGED: LWAPP changed state to DISCOVERY 
*Mar 1 00:00:23.550: LWAPP_CLIENT_ERROR_DEBUG: lwapp_crypto_init_ssc_keys_and_
                     certs no certs in the SSC Private File 
*Mar 1 00:00:23.550: LWAPP_CLIENT_ERROR_DEBUG: 
*Mar 1 00:00:23.551: lwapp_crypto_init: PKI_StartSession failed 
*Mar 1 00:00:23.720: %SYS-5-RELOAD: Reload requested by LWAPP CLIENT. 
                     Reload Reason: FAILED CRYPTO INIT. 
*Mar 1 00:00:23.721: %LWAPP-5-CHANGED: LWAPP changed state to DOWN 

Точка доступа перезагружается через 30 секунд, и процесс начинается сначала.

Устранение

Выполните следующее действие:

Используется точка доступа SSC. После преобразования в точку доступа LWAPP добавьте SSC и его MAC-адрес в список аутентификации точки доступа на контроллере.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 69339