Fehlerbehebung bei Wireless-Netzwerken - Software Defined Access auf Cisco DNA Center

Einleitung

In diesem Dokument werden häufig gestellte Fragen zum Wireless-Netzwerk und zur Fehlerbehebung für Software-Defined Access im Cisco DNA Center beschrieben.

Kurzreferenz für Fabric

Dies ist die Kurzreferenz für Fabric auf Control Node, Edge Node, Wireless LAN Controller (WLC) und Access Point (AP).

Steuerungsknoten:

• show lisp instance-id <L2 ap instance id> Ethernet-Server - Zuordnung von MAC zu Endpoint Identification (EID)
• show lisp instance-id <L3 ap instance id> ipv4 server - Zuordnung von IP zu EID
• show lisp instance-id 8188 Ethernet-Server-Adressauflösung - MAC-zu-IP-Zuordnung für eine bestimmte Instanz-ID
• Show LSP-Site
• show tech-support
• Anzeigen von technischen Support-Listen

Kantenknoten:

• show lisp instanz-id <L2 ap instanz id> ethernet database wlc
• show lisp instanz-id <L2 client instance id> ethernet database wlc
• Übersicht über den Zugriffstunnel anzeigen
• show platform software fed switch active ifm interfaces access-tunnel
• show platform software access-tunnel switch active R0
• show platform software access-tunnel switch active R0 statistics
• show platform software access-tunnel switch active F0
• show platform software access-tunnel switch active F0 statistics
• show platform software object-manager switch active F0 statistics
• show platform software object-manager switch active F0 pending-issue-update
• show platform software object-manager switch active F0 pending-ack-update
  
• show platform software object-manager switch active F0 error-object
• show tech-support
• Anzeigen von technischen Support-Listen

WLC (AireOS):

• Fabric AP-Zusammenfassung anzeigen
• Fabric-Zusammenfassung anzeigen
• Fabric Map-Server - Übersicht anzeigen
• show run-config
• show run-config-Befehle
• Showtech

WLC (IOS-XE)

• show ap summary
• Fabric AP-Zusammenfassung anzeigen
• Wireless Fabric-Übersicht anzeigen
• Übersicht über Wireless-Clients anzeigen
• Show tech-support wireless
• Wireless-Fabric mit Tech-Support anzeigen
• Show tech-support lisp (If Fabric in a Box or Embedded wireless running on 9300/9400/9500)
• Show tech-support (If Fabric in a Box or Embedded wireless running on 9300/9400/9500)

Access Point: 

• IP-Tunnelstruktur anzeigen
• show tech-support

AireOS WLC-Konfigurations-Push aus Cisco DNA Center 

Hier sehen Sie den AireOS WLC-Konfigurations-Push vom Cisco DNA Center nach der Bereitstellung (Hinweis: Using Reference as 3504 WLC).

Zusammenfassung des Radius nach WLC-Bereitstellung:

(sdawlc3504) >show radius summary 

Vendor Id Backward Compatibility................. Disabled
Call Station Id Case............................. lower
Accounting Call Station Id Type.................. Mac Address
Auth Call Station Id Type........................ AP's Radio MAC Address:SSID
Extended Source Ports Support.................... Enabled
Aggressive Failover.............................. Disabled
Keywrap.......................................... Disabled
Fallback Test:
    Test Mode.................................... Passive
    Probe User Name.............................. cisco-probe
    Interval (in seconds)........................ 300
MAC Delimiter for Authentication Messages........ hyphen
MAC Delimiter for Accounting Messages............ hyphen
RADIUS Authentication Framed-MTU................. 1300 Bytes

Authentication Servers

Idx  Type  Server Address    Port    State     Tout  MgmtTout  RFC3576  IPSec - state/Profile Name/RadiusRegionString
---  ----  ----------------  ------  --------  ----  --------  -------  -------------------------------------------------------
1  * NM    192.168.2.193     1812    Enabled   2     5         Enabled   Disabled - /none
2    M     172.27.121.193    1812    Enabled   2     5         Enabled   Disabled - /none

WLAN Config Push (WLAN-Konfig.-Push) wird unter "WLAN-Zusammenfassung anzeigen" angezeigt.

(sdawlc3504) >show wlan summary 

Number of WLANs.................................. 7

WLAN ID  WLAN Profile Name / SSID                                                 Status    Interface Name        PMIPv6 Mobility
-------  -----------------------------------------------------------------------  --------  --------------------  ---------------
1        Test / Test                                                              Enabled   management            none        
17       dnac_guest_F_global_5dfbd_17 / dnac_guest_206                            Disabled  management            none        
18       dnac_psk_2_F_global_5dfbd_18 / dnac_psk_206                              Disabled  management            none        
19       dnac_wpa2__F_global_5dfbd_19 / dnac_wpa2_206                             Enabled   management            none        
20       dnac_open__F_global_5dfbd_20 / dnac_open_206                             Enabled   management            none        
21       Test!23_F_global_5dfbd_21 / Test!23                                      Disabled  management            none 

WLC-Konfigurations-Push von Cisco DNA Center

Hier sehen Sie den WLC-Konfigurations-Push von Cisco DNA Center, nachdem WLC zu Fabric hinzugefügt wurde.

Wie kann ich überprüfen, ob Map-Server erreichbar ist?

eine Fabric Map Server-Zusammenfassung nach dem Hinzufügen von WLC zum Fabric anzeigen.

(sdawlc3504) >show fabric map-server summary 

MS-IP     Connection status 

--------------------------------

192.168.4.45    UP                   

192.168.4.66    UP 

Debuggen der Fabric Map-Server-Verbindung

Die Verbindungen auf der Kontrollebene (CP) können aus verschiedenen Gründen ausfallen oder ausfallen.

• Wenn CP abstürzte. (in diesem Fall nicht)
• Absteigende Zwischenknoten, die WLC mit CP verbinden, z. B. Fusion-Router.
• Wenn die CP-Verbindung zum WLC aufgrund einer unterbrochenen Verbindung unterbrochen wurde. Dies kann ein WLC zu einem unmittelbaren Nachbarn oder ein CP zu einem unmittelbaren Nachbarn zu einem WLC sein.

Fabric Map-Server im Detail anzeigen

show fabric TCP-Erstellungsverlauf <Map-Server IP>

Fehlerbehebungen, die weitere Informationen liefern können

debugging Fabric LISP Map-Server tcp enable

debugging Fabric LISP Map-Server all enable

Überprüfen, ob Fabric aktiviert ist, und was ist die erwartete Ausgabe?

Fabric-Zusammenfassung anzeigen, nachdem WLC zur Fabric hinzugefügt wurde.

(sdawlc3504) >show fabric summary 

Fabric Support................................... enabled

Enterprise Control Plane MS config
--------------------------------------

Primary Active MAP Server
IP Address....................................... 192.168.4.45

Secondary Active MAP Server
IP Address....................................... 192.168.4.66

Guest Control Plane MS config
-------------------------------

Fabric TCP keep alive config
----------------------------

Fabric MS TCP retry count configured ............ 3
Fabric MS TCP timeout configured ................ 10
Fabric MS TCP keep alive interval configured .... 10
Fabric Interface name configured .............. management

Fabric Clients registered ..................... 0

Fabric wlans enabled .......................... 3

Fabric APs total Registration sent ............ 30

Fabric APs total DeRegistration sent .......... 9

Fabric AP RLOC reguested ...................... 15

Fabric AP RLOC response received .............. 30

Fabric AP RLOC send to standby ................ 0

Fabric APs registered by WLC .................. 6

VNID Mappings configured: 4 

Name                              L2-Vnid     L3-Vnid     IP Address/Subnet         
--------------------------------  ----------  ----------  ---------------------------------
182_10_50_0-INFRA_VN              8188        4097        182.10.50.0 / 255.255.255.128
10_10_10_0-Guest_Area             8190        0           0.0.0.0 / 0.0.0.0
182_10_100_0-DEFAULT_VN           8191        0           0.0.0.0 / 0.0.0.0
182_11_0_0-DEFAULT_VN             8189        0           0.0.0.0 / 0.0.0.0

Fabric Flex-Acl-tables           Status
-------------------------------- -------
DNAC_FABRIC_FLEX_ACL_TEMPLATE    Applied

Fabric Enabled Wlan summary
WLAN ID  SSID                              Type  L2 Vnid     SGT     RLOC IP          Clients  VNID Name 
-------  --------------------------------  ----  ----------  ------  ---------------  -------  -------------------------------- 
 19      dnac_wpa2_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN           
 20      dnac_open_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN   

WLAN-Konfig.-Push von Cisco DNA Center

Die WLAN-Konfigurationsübertragung vom Cisco DNA Center wird unter "Show Fabric WLAN Summary" angezeigt, nachdem WLC zum Fabric hinzugefügt wurde und der Client-IP-Pool dem Fabric Wireless LAN (WLAN) unter "Provisioning" (Bereitstellung) > "Fabric" > "Host Onboarding" zugewiesen wurde.

Fabric-WLAN-Zusammenfassung nach Fabric-Bereitstellung

(sdawlc3504) >show fabric wlan summary 

WLAN ID  SSID                              Type  L2 Vnid     SGT     RLOC IP          Clients  VNID Name 
-------  --------------------------------  ----  ----------  ------  ---------------  -------  -------------------------------- 
 19      dnac_wpa2_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN           
 20      dnac_open_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN 

Debuggen von Wireless-Problemen

Debuggen von AP-Joins/Debuggen von Access Tunnel Formation

1. Überprüfen Sie, ob der Access Point über eine IP-Adresse verfügt.

show ip dhcp snooping binding → Am Fabric-Edge

Wenn keine IP-Adresse für die angeschlossene AP-Schnittstelle angezeigt wird, aktivieren Sie diese Debug-Funktionen auf Switch, und überprüfen Sie, ob der Access Point die IP-Adresse erhält.

debug ip dhcp snooping packet

debug ip dhcp snooping event

Beispiel-Protokolldatei unten angehängt → 

Beispiel:

Floor_Edge-6#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
0C:75:BD:0D:46:60 182.10.50.7 670544 dhcp-snooping 1021 GigabitEthernet1/0/7 → AP interface should be having an IP

2. Überprüfen Sie, ob AP zum WLC hinzugefügt wird.

• show ap summary → Auf WLC
• show ap join stat summary → Auf WLC

Wenn AP noch nie WLC beigetreten ist, aktivieren Sie diese Debug-Funktionen auf WLC.

• debug capwap events enable
• debug capwap errors enable

3. Wenn AP CAPWAP bildet, aber keine Zugriffstunnel zwischen AP und Switch gebildet werden, führen Sie diese Prüfungen durch.

Schritt 1: Haben APs im WLC RLOC IPs oder nicht, falls nicht, überprüfen Sie hier Punkt 1.

1. Um die Ausfallsicherheit des Fabric-Kontrollebenenprotokolls zu erhöhen, ist es wichtig, dass in der globalen Routing-Tabelle jedes Fabric-Knotens eine bestimmte Route zum WLC vorhanden ist. Die Route zur IP-Adresse des WLC muss entweder im Border in das Underlay-IGP-Protokoll neu verteilt oder statisch an jedem Knoten konfiguriert werden. Mit anderen Worten, der WLC sollte nicht über die Standardroute erreichbar sein.

Schritt 2: Wenn APs im WLC korrekte RLOCs anzeigen und unter "Fabric-Zusammenfassung anzeigen" wird angezeigt, dass RLOC angefordert wurde und RLOC erhalten wurde, überprüfen Sie diese Schritte.

2. Aktivieren Sie den Knoten "Kontrollebene", zeigen Sie die LISP-Instanz-ID <L2 ap instance id> Ethernet-Server an→ Er sollte Base Radio MAC für AP enthalten.

    Überprüfen Sie den Fabric Edge-Knoten, und zeigen Sie die LISP-Instanz-ID <L2 ap instance id> der Ethernet-Datenbank wlc → Diese sollte die Basis-Funkeinheit-MAC für den Access Point und nicht die Ethernet-MAC des Access Points enthalten.

Wenn die beiden obigen Befehle nicht Base Radio MAC des AP anzeigen, bilden sich keine Access-Tunnel. Aktivieren Sie die Kontrollebene der Debug-LISP auf der Kontrollebene, und suchen Sie bei der Protokollierung nach Base Radio MAC.

Anmerkung: debug lisp Control-Plane all on Control Plane ist wirklich chatty, deaktivieren Sie bitte die Konsolenprotokollierung, bevor Sie die Debug-Meldungen einschalten.

Wenn Sie einen Authentifizierungsfehler sehen, wie hier gezeigt, überprüfen Sie den Authentifizierungsschlüssel zwischen dem WLC- und dem CP-Knoten.

Dec  7 17:42:01.655: LISP-0: MS Site EID IID 8188 prefix any-mac SVC_VLAN_IAF_MAC site site_uci, Registration failed authentication for more specific 2c0b.e9c6.ec80/48

Dec  7 17:42:01.659: LISP-0: Building reliable registration message registration-rejected for IID 8188  EID 2c0b.e9c6.ec80/48 , Rejection Code: authentication failure/2.

Prüfung des Authentifizierungsschlüssels bei der Fabric-Konfiguration zwischen WLC und CP

Aktivieren Sie auf dem WLC die GUI unter Controller > Fabric Configuration > Control Plane > (Pre-Shared Key).

On CP, please check on switch using sh running-config | b map-server session CP#sh running-config | b map-server session map-server session passive-open WLC site site_uci description map-server configured from apic-em authentication-key (Ensure that the Pre shared key on WLC should match with this authentication key on CP)

Anmerkung: Im Allgemeinen wird dieser Schlüssel von Cisco DNA Center weitergegeben. Ändern Sie ihn also nicht, es sei denn, Sie wissen, welche Einstellungen auf dem CP/WLC vorgenommen wurden.]

4. Allgemeine Prüfungen und Befehle für Access-Tunnel anzeigen.

• Übersicht über den Zugriffstunnel anzeigen

Floor_Edge-6#sh access-tunnel summary 

Access Tunnels General Statistics:
 Number of AccessTunnel Data Tunnels = 5 


Name SrcIP SrcPort DestIP DstPort VrfId 
------ --------------- ------- --------------- ------- ----
Ac4 192.168.4.68 N/A 182.10.50.6 4789 0 
Ac24 192.168.4.68 N/A 182.10.50.5 4789 0 
Ac19 192.168.4.68 N/A 182.10.50.8 4789 0 
Ac15 192.168.4.68 N/A 182.10.50.7 4789 0 
Ac14 192.168.4.68 N/A 182.10.50.2 4789 0 


Name IfId Uptime 
------ ---------- --------------------
Ac4 0x00000037 2 days, 20:35:29 
Ac24 0x0000004C 1 days, 21:23:16 
Ac19 0x00000047 1 days, 21:20:08 
Ac15 0x00000043 1 days, 21:09:53 
Ac14 0x00000042 1 days, 21:03:20 

• show platform software fed switch active ifm interfaces access-tunnel
  

Floor_Edge-6#show platform software fed switch active ifm interfaces access-tunnel 
Interface                   IF_ID               State             
----------------------------------------------------------------
Ac4                         0x00000037          READY             
Ac14                        0x00000042          READY             
Ac15                        0x00000043          READY             
Ac19                        0x00000047          READY             
Ac24                        0x0000004c          READY             

Floor_Edge-6#

Wenn Access-Tunnel unter Befehl b) höher als a) sind, ist dies ein Problem. In diesem Fall wurden die Einträge der Fed von Fabric Edge nicht richtig gelöscht, und daher gibt es bei Fed im Vergleich zu IOS mehrere Zugriffstunneleinträge. Vergleichen Sie die Ziel-IP nach dem Ausführen des hier gezeigten Befehls. Wenn mehrere Zugangstunnel dieselbe Ziel-IP-Adresse verwenden, ist dies das Problem mit der Programmierung.

• show platform software fed switch active ifm if-id <Each AP IF-ID> 

Anmerkung: Jede IF-ID kann aus dem vorherigen Befehl abgerufen werden.

Floor_Edge-6#show platform software fed switch active ifm if-id 0x00000037  
Interface IF_ID         : 0x0000000000000037
Interface Name          : Ac4
Interface Block Pointer : 0xffc0b04c58
Interface State         : READY
Interface Status        : ADD
Interface Ref-Cnt       : 2
Interface Type          : ACCESS_TUNNEL
        Tunnel Type       : L2Lisp
        Encap Type        : VxLan
        IF_ID             : 0x37

        Port Information
        Handle ............ [0x2e000094]
        Type .............. [Access-tunnel]
        Identifier ........ [0x37]
        Unit .............. [55]
        Access tunnel Port Logical Subblock
                Access Tunnel id  : 0x37
                Switch Num        : 1
                Asic Num          : 0
                PORT LE handle    : 0xffc0b03c58
                L3IF LE handle    : 0xffc0e24608
                DI handle         : 0xffc02cdf48
                RCP service id    : 0x0
                HTM handle decap  : 0xffc0e26428
                RI handle decap   : 0xffc0afb1f8
                SI handle decap   : 0xffc0e26aa8
                RCP opq info      : 0x1
                L2 Brdcast RI handle  : 0xffc0e26808
                GPN               : 3201
                Encap type        : VXLAN
                L3 protocol       : 17
                Src IP            : 192.168.4.68
                Dest IP           : 182.10.50.6
                Dest Port         : 4789
                Underlay VRF      : 0
                XID cpp handle    : 0xffc03038f8
        Port L2 Subblock
                Enabled ............. [No]
                Allow dot1q ......... [No]
                Allow native ........ [No]
                Default VLAN ........ [0]
                Allow priority tag ... [No]
                Allow unknown unicast  [No]
                Allow unknown multicast[No]
                Allow unknown broadcast[No]
                Allow unknown multicast[Enabled]
                Allow unknown unicast  [Enabled]
                IPv4 ARP snoop ....... [No]
                IPv6 ARP snoop ....... [No]
                Jumbo MTU ............ [0]
                Learning Mode ........ [0]
        Port QoS Subblock
                Trust Type .................... [0x7]
                Default Value ................. [0]
                Ingress Table Map ............. [0x0]
                Egress Table Map .............. [0x0]
                Queue Map ..................... [0x0]
        Port Netflow Subblock
        Port CTS Subblock
                Disable SGACL .................... [0x0]
                Trust ............................ [0x0]
                Propagate ........................ [0x1]
        %Port SGT .......................... [-180754391]
Ref Count : 2 (feature Ref Counts + 1)
IFM Feature Ref Counts
        FID : 91, Ref Count : 1
No Sub Blocks Present

• show platform software access-tunnel switch active R0

Floor_Edge-6#show platform software access-tunnel switch active R0        
Name     SrcIp            DstIp             DstPort   VrfId    Iif_id  
---------------------------------------------------------------------
Ac4      192.168.4.68     182.10.50.6        0x12b5  0x0000  0x000037  
Ac14     192.168.4.68     182.10.50.2        0x12b5  0x0000  0x000042  
Ac15     192.168.4.68     182.10.50.7        0x12b5  0x0000  0x000043  
Ac19     192.168.4.68     182.10.50.8        0x12b5  0x0000  0x000047  
Ac24     192.168.4.68     182.10.50.5        0x12b5  0x0000  0x00004c  

•   show platform software access-tunnel switch active R0 statistics

Floor_Edge-6#show platform software access-tunnel switch active R0 statistics 
Access Tunnel Counters   (Success/Failure)
------------------------------------------
Create                  6/0
Create Obj Download     6/0
Delete                  3/0
Delete Obj Download     3/0
NACK                    0/0

• show platform software access-tunnel switch active F0

Floor_Edge-6#show platform software access-tunnel switch active F0 
Name     SrcIp            DstIp             DstPort  VrfId    Iif_id    Obj_id  Status        
--------------------------------------------------------------------------------------------
Ac4      192.168.4.68     182.10.50.6        0x12b5  0x000  0x000037  0x00d270  Done          
Ac14     192.168.4.68     182.10.50.2        0x12b5  0x000  0x000042  0x03cbca  Done          
Ac15     192.168.4.68     182.10.50.7        0x12b5  0x000  0x000043  0x03cb9b  Done          
Ac19     192.168.4.68     182.10.50.8        0x12b5  0x000  0x000047  0x03cb6b  Done          
Ac24     192.168.4.68     182.10.50.5        0x12b5  0x000  0x00004c  0x03caf4  Done  

•   show platform software access-tunnel switch active F0 statistics

Floor_Edge-6#show platform software access-tunnel switch active F0 statistics 
Access Tunnel Counters   (Success/Failure)
------------------------------------------
Create                  0/0
Delete                  3/0
HW Create               6/0
HW Delete               3/0
Create Ack              6/0
Delete Ack              3/0
NACK Notify             0/0

• show platform software object-manager switch active f0 statistics

Floor_Edge-6#show platform software object-manager switch active f0 statistics        
Forwarding Manager Asynchronous Object Manager Statistics

Object update: Pending-issue: 0, Pending-acknowledgement: 0
Batch begin:   Pending-issue: 0, Pending-acknowledgement: 0
Batch end:     Pending-issue: 0, Pending-acknowledgement: 0
Command:       Pending-acknowledgement: 0
Total-objects: 987
Stale-objects: 0
Resolve-objects: 3
Error-objects: 1
Paused-types: 0

• show platform software object-manager switch active f0 pending-issue-update
• show platform software object-manager switch active f0 pending-ack-update
• show platform software object-manager switch active f0 error-object

5. Ablaufverfolgungen und Debugs, die gesammelt werden müssen.

Schritt 1: Archivierungsprotokolle sammeln, bevor Traces/Debug aktiviert werden

request platform software trace target flash:<Dateiname>

Floor_Edge-6#request platform software trace archive target flash:Floor_Edge-6_12_14_18
Waiting for trace files to get rotated.
Creating archive file [flash:Floor_Edge-6_12_14_18.tar.gz]
Done with creation of the archive file: [flash:Floor_Edge-6_12_14_18.tar.gz]

Schritt 2:  Erhöhen Sie den Protokollierungspuffer, und deaktivieren Sie die Konsole.

Floor_Edge-6(config)#logging buffered 214748364
Floor_Edge-6(config)#no logging console 

Schritt 3: Traces festlegen.

• set platform software trace forwarding switch active R0 access-tunnel verbose
• set platform software trace forwarding switch active F0 access-tunnel verbose
• set plattform software trace fed switch active ifm_main debug
• set plattform software trace fed switch active access_tunnel verbose
• set platform software trace forwarding-manager switch active F0 aom verbose

Schritt 4: Aktivieren Sie Debuggen.

• debuggen l2lisp alle
• debug lisp control-plane all
• debugging plattform software l2lisp events

Schritt 5:  shutdown/no shutdown-Schnittstellenport, an dem der AP angeschlossen ist

Schritt 6. Sammeln Archiv Protokolle wie Schritt 1. mit einem anderen Dateinamen.

Schritt 7.  Protokolldatei zum Flash umleiten.

Floor_Edge-6#Protokollierung anzeigen | Flash-Umleitung:<Dateiname>

Floor_Edge-6#show logging | redirect flash:console_logs_Floor_Edge-6_12_14_18

Client-Debugging

Debug Wireless Client Probleme auf SDA FEW kann schwierig werden.

Befolgen Sie diesen Workflow, um ein Gerät nach dem anderen zu eliminieren.

1. WLC

2. Fabric-Edge

3. Access Point (wenn das Debuggen auf Fabric Edge auf AP verweist)

4. Zwischen-/Grenzknoten. (Bei Datenpfadproblemen)

5. Steuerungsebenenknoten (Bei Problemen mit dem Steuerungspfad)

WLC-Debugging

Bei Client-Verbindungsproblemen beginnen Sie mit dem Debuggen, indem Sie Informationen zu WLC sammeln, die Befehle zum Anzeigen und Debuggen enthalten.

AireOS WLC show-Befehle:

• show run-config
• Showtech
• show wlan summary
• show wlan <id> —> Diese Ausgabe wird für alle SSIDs gesammelt, mindestens 1 für funktionsfähig und nicht funktionsfähig.
• Fabric-Zusammenfassung anzeigen
• Fabric Map-Server - Übersicht anzeigen
• show client summary
• show client detail <mac_id>

AireOS WLC-Debugbefehle:

• debug client <mac1> —> Client assoc, roaming, debugs.
• debug fabric client detail enable —> Stellt Informationen zu Fabric-Registrierungsmeldungen bereit

Fabric-Edge-Debugging

Nach dem Debuggen auf dem WLC traten auf dem Client keine Probleme im Zusammenhang mit dem Control-Plane-Pfad auf. Der Client wechselt von Assoc, Authentication, und führt den Status mit den richtigen SGT-Tagging- oder AAA-Parametern aus. Fahren Sie dann mit diesem Schritt fort, um das Problem weiter zu isolieren.

Außerdem muss überprüft werden, ob die Zugriffstunnel-Programmierung korrekt ist, wie im obigen Abschnitt zum Debuggen von Access Points beschrieben.

show-Befehle zur Überprüfung:

L2-Listeninstanz-ID von suchen (Client-Details <mac_id> von oben anzeigen)

show lisp instance-id  ethernet database wlc --> This lists all WLC associated clients for that specific L2 lisp instance ID. A number of sources should match the number of Control plane nodes in the network
show lisp instance-id  ethernet database wlc  --> This shows the detail for the specific client
show device-tracking database | i Vl --> Find Specific SVI where the client is connected and needs to be present.
show device-tracking database | i  --> Find the client entry, should be against correct VLAN, Interface, State, and Age.
show mac address-table dynamic vlan  --> The entry for the mac should match the device-tracking database, if it does please check mac address entry on FED
show ip dhcp snooping binding vlan 
show ip arp vrf 
show mac address-table vlan 
show platform software fed switch active matm macTable vlan  --> If this is correct, programming for wireless client is happening correctly on local switch.
show platform software matm switch active F0 mac 

Debugbefehle am Fabric-Edge

Es müssen Fed-Ablaufverfolgungen erfasst werden, wenn bei der Programmierung des Client-Eintrags auf Fabric Edge ein Problem auftritt. Es gibt zwei Möglichkeiten, das Gleiche zu tun, nachdem diese Debugs aktiviert wurden.

Debuggen und Festlegen von Befehlen müssen unabhängig von der Methode aktiviert werden.

• set plattform software trace fed switch active all-modules notruf
• set plattform software trace fed switch active l2_fib_entry verbose
• set plattform software trace fed switch active l2_fib_adj verbose
• set plattform software trace feed switch active inject verbose
• set plattform software trace feed switch active matm verbose

debug (Deaktivieren Sie die Konsolenprotokollierung, und erhöhen Sie den Protokollierungspuffer.)

• Nachverfolgung von Fehlerbehebungsgeräten
• debug lisp control-plane all
• debug plattform fhs all
• debugging plattform software l2lisp events
• debug matm all

Methode 1. Sammeln Sie nach dem Aktivieren von Debugs aktive Protokollierungen für bestimmte Clients.

Anmerkung: Bei DHCP-Problem diese Methode nicht verwenden]

Warten Sie, bis sich das Problem reproduziert hat.

• debug plattform condition mac <mac-id> Kontrollebene
• debug platform condition start
• debug platform condition stop
• request plat soft trace filter-binary wireless context mac <mac-id>

Leiten Sie die Konsolenprotokolle nach der Problembehebung zum Flash-Speicher um.

Methode 2. Nach dem Aktivieren von Debug-Vorgängen werden Archiv-Ablaufverfolgungsprotokolle gesammelt.

Warten Sie, bis sich das Problem reproduziert hat.

Anforderungsplattform Software-Ablaufverfolgungsarchiv

Erfassen Sie die Datei, dekodieren Sie die Protokolle und analysieren Sie gefütterte, ios, fman-Protokolle für die Client-Mac.

Leiten Sie die Konsolenprotokolle nach der Problembehebung zum Flash-Speicher um.

Access Point-Debugging

Fehlerbehebungen für die AP-Modelle 2800/3800/1562:

Bei AP-seitigen Problemen müssen Sie sicherstellen, dass Sie alle WLC-show-Befehle und -Protokolle sammeln, bevor Sie AP-seitige Protokolle sammeln und das Protokoll an den SR anhängen.

Befolgen Sie diese Schritte, um datenbezogene Probleme auf der Clientseite zu debuggen.

1. Sammeln Sie die AP-Anzeigebefehle: (2-3 Mal, vor und nach Abschluss der Tests)

• show clock
• term len 0
• Laufzeit
• Showtech
• show logging
• Controller anzeigen NSS-Status Controller anzeigen NSS-Status anzeigen
• IP-Tunnelstruktur anzeigen

Bei einem CWA-Problem müssen zusätzlich zu den wichtigsten Befehlen auch die unten aufgeführten Protokolle erfasst werden. Die folgenden Befehle müssen vor und nach Abschluss des Tests einmalig erfasst werden.

• show client access-lists pre-auth all <Client-Mac>
• show client access-lists post-auth all <Client-Mac>
• IP-Zugriffslisten anzeigen
• show controller d [0/1] client
• Capwap-CLI-Details anzeigen rcb
• Technischen Support anzeigen

2. AP-Debugging (Filter nach MAC-Adresse)

CWA-Probleme:

• debug capwap client avc all
• debug capwap client acl
• debug client <client mac>
• debug dot11 Info-Adresse auf Client-Ebene <mac>
• debug dot11-Ereignisadresse auf Clientebene <mac>
• debug flexconnect pmk

Debuggen von Anwendungsfällen

Client-CWA-Debugging

Wichtige Punkte:

• Verwenden Sie bei der Bereitstellung von CWA in SDA immer DNAC, um die Konfiguration bereitzustellen.
• Nach der Bereitstellung mit DNAC werden die Autorisierungsrichtlinie, die Authentifizierungsrichtlinie und das Autorisierungsprofil von DNAC auch auf der ISE bereitgestellt.
• Identitäten für die Authentifizierung müssen wie für Dot1x manuell konfiguriert werden.

Finden Sie heraus, in welchem Stadium das Problem aufgetreten ist.

Schritt 1: Bekommt der Client eine IP-Adresse und wechselt zu Webauth Pending?

1. Falls ja, fahren Sie mit dem nächsten Schritt fort.
2. Falls nein, liegt das Problem in der Anfangsphase des Beitritts.
3. Überprüfen Sie die Konfiguration des WLC und des AP.
4. Überprüfen, ob die ACL auf den AP verschoben wird und mit der auf dem WLC übereinstimmt
5. Wenn die ACL nicht richtig per Push übermittelt wird, laden Sie den Access Point neu, und stellen Sie sicher, dass es sich um einen Zwischenzustand handelt, in dem die Konfiguration nicht per Push übermittelt wird. Nachdem die Bereitstellung der Access Points auf einem AP bestätigt wurde, stellen Sie sicher, dass die Access Points über DNAC bereitgestellt werden.

Schritt 2. Kann der Client die Umleitungsseite laden?

1. Falls ja, fahren Sie mit dem nächsten Schritt fort.
2. Wenn nein, kann das Problem an mehreren Stellen auftreten.
3. Überprüfen Sie die Konfiguration des WLC und des AP.
4. Überprüfen, ob die ACL auf den AP verschoben wird und mit der auf dem WLC übereinstimmt
5. Wenn die ACL nicht richtig per Push übermittelt wird, laden Sie den Access Point neu, und stellen Sie sicher, dass es sich um einen Zwischenzustand handelt, in dem die Konfiguration nicht per Push übermittelt wird. Nachdem die Bereitstellung der Access Points auf einem AP bestätigt wurde, stellen Sie sicher, dass die Access Points über DNAC bereitgestellt werden.
6. Überprüfung der Erreichbarkeit vom WLC zur ISE und zum Switch, an dem der AP mit der ISE verbunden ist Keine Firewall zwischendurch
7. Überprüfen Sie, ob DNS richtig konfiguriert ist.

Schritt 3. Kann der Kunde die Webseite sehen, aber das Problem besteht darin, sich anzumelden und erfolgreich zu sein?

1. Überprüfen Sie unbedingt die Konfigurationen für Schritt 1 und Schritt 2.
2. Stellen Sie sicher, dass das Autorisierungsprofil, die Authentifizierungsrichtlinie und die Autorisierungsrichtlinie korrekt sind.
3. ISE-Live-Protokolle überprüfen
4. Stellen Sie sicher, dass Benutzername/Kennwort in ISE-Identitäten richtig konfiguriert ist.
5. Sammeln Sie die Fehlerbehebungen für WLC und AP wie unten beschrieben, wenn alles gut aussieht.

1. Debugger auf WLC:

• Nachstehend werden die Befehle für AireOS und Polaris angezeigt:

AireOS:

• show run-config
• show wlan summary
• show wlan <ID_für_Gast>
• Flexconnect ACL-Übersicht anzeigen
• show flexconnect acl detail <ACl_from_previous_command>

Polaris:

• Schauspiel
• Show tech-support wireless
• Wireless-Fabric mit Tech-Support anzeigen 
• show wlan summary
• show wlan id <id_for_guest>
• show ap name <AP_Name> Allgemeine Konfiguration
• show running-config | s ACL
• Drahtlosprofil-Flex-Zusammenfassung anzeigen
• Wireless-Profilflex anzeigen (detailliert) <profile_name_from_above>
  
  
• Aktivieren Sie diese Debugs auf AireOS und Polaris.
  
  

AireOS: 

• debug client <client_mac>
• debug aaa all enable
• Reproduzieren des Problems
• Konsolen-/SSH-/Telnet-Protokolle erfassen

Polair (9300/9400/9500):

set plattform software trace wncd switch active r0 alle module debug

Reproduzieren des Problems

show platform software trace message wncd switch active R0 reverse | Flash-Umleitung:<Dateiname>

Anforderungsplattform Software-Ablaufverfolgungsarchiv

Beide Dateien aus dem Flash-Speicher sammeln

2. Debugger auf AP:

ACL-Informationen sammeln:

IP-Zugriffslisten anzeigen

Sammeln Sie unten Debugs vom Access Point:

• debug capwap client avc all
• debug capwap client acl
• debug client <client mac>
• debug dot11 Info-Adresse auf Client-Ebene <mac>
• debug dot11-Ereignisadresse auf Clientebene <mac>
• debug flexconnect pmk

Client-DHCP-Debugging

Einige Probleme können mit diesen Debugs gedebuggt werden.

1. Keine DHCP Discover-Meldungen auf Switch angezeigt.

2. Der Wireless-Client erhält das DHCP-Angebot nicht zurück. DHCP Discover wird unter debug ip dhcp snooping packet logs beobachtet.

3. Sammeln Sie die Paketerfassung am Port, der mit dem Access Point verbunden ist, am Uplink-Port und am Port, der mit dem DHCP-Server auf der Fusion-Seite verbunden ist.

Debuggen/Anzeigen von Befehlen, die Folgendes sein können:  

1. Überprüfen Sie Cisco DNA Center, ob die SSID dem IP-Pool zugewiesen ist.

2. Überprüfen Sie, ob WLAN auf dem WLC aktiviert ist.

3. Überprüfen Sie, ob Funkmodule und sowohl 802.11a- als auch 802.11b-Netzwerke aktiviert sind.

Debuggen der Clientleistung auf dem Access Point

1. Schränken Sie das Problem auf kabelgebundene oder Wireless-Netzwerke ein, oder wirken Sie sich auf beide aus. Testen Sie den gleichen Datenverkehr auf einem Client, der mit dem Wireless-Netzwerk verbunden ist, mit derselben VNID, und testen Sie den gleichen Datenverkehr mit dem kabelgebundenen Netzwerk mit derselben VNID.

2. Wenn bei den kabelgebundenen Clients in Fabric im selben VPN keine Probleme auftreten, bei den Wireless-Clients jedoch, liegt das Problem auf der AP-Seite.

3. Stellen Sie zunächst sicher, dass bei Problemen mit der Client-Leistung oder dem Datenverkehr nicht die Client-Konnektivität das Problem ist, um das Problem auf der AP-Seite zu beheben.

4. Stellen Sie sicher, dass der WLC-Debug-Client während des Roaming, des Sitzungszeitüberschreitens oder der stabilen Verbindung mit demselben WAP eine Verschlechterung feststellt.

5. Nachdem Sie das Problem auf denselben Access Point eingegrenzt haben, führen Sie die folgenden Schritte aus, um die Fehlerbeseitigung auf den 3800/2800/4800-Access Points zusammen mit der Paketerfassung auf dem mit dem Access Point verbundenen Switch und der drahtlosen Paketerfassung zu erfassen.

Schritt 1: Stellen Sie sicher, dass der Datenverkehr, der zur Reproduktion des Problems verwendet wird, das Problem tatsächlich imitiert.

Schritt 2: Die Over-the-Air-Paketerfassung muss auf der Seite des Kunden eingerichtet werden, auf der der Test durchgeführt wird.

Instructions for collecting over-the-air packet captures:

Here you find the guide how to set up an Over-The-Air packet capture, you can use a windows client machine, apple client machine or configure a sniffer mode AP (suggested).
https://www.cisco.com/c/en/us/support/docs/wireless-mobility/80211/200527-Fundamentals-of-802-11-Wireless-Sniffing.html
 
There are few things we need to consider:
+Use an Open L2/L3 security SSID to avoid encryption on the packets through the air.
+Set client-serving-AP and sniffer AP on the same channel.
+Sniffer AP should be close enough to capture what serving-client-AP is receiving or sending.
 
SPAN session should be taken at the same time than OTA pcap for a proper analysis, how to configure a SPAN session (swport traffic mirroring):
 
Nexus switches:
https://www.cisco.com/c/en/us/support/docs/switches/nexus-7000-series-switches/113038-span-nexus-config.html
IOS switches:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/network_management/configuration_guide/b_nm_15ex_2960-x_cg/b_nm_15ex_2960-x_cg_chapter_0111.html

Schritt 3: Client vom WLC debuggen und Paketerfassung vom Switch, an den der AP angeschlossen ist Die Switch-EPC-Erfassung kann zur Erfassung dieser Protokolle verwendet werden.

Schritt 4. Debuggt von 3800 AP ssh/telnet session

Logs to be collected from 3800 AP:

A) Run following commands once before starting the test. [Once all commands are tested, copy all commands in a text file so that it is easy to copy and paste on devshell, we would need multiple iterations of this command outputs during the test]

Step A
Devshell commands on AP - Use SSH.
--------------------------------------------------
1) To Get wired0 input packet count

date
cd /click/fromdev_wired0/
cat icounts ocounts calls

2) Fabric gateway and clients

cat /click/client_ip_table/cli_fabric_clients
cd /click/fabric_tunnel/
cat show_fabric_gw

3) Tunnel Decap stats

cd /click/tunnel_decap/
cat icounts ocounts tunnel_decap_stats tunnel_decap_no_match decap_vxlan_stats
cat tunnel_decap_list

4) Tunnel Encap stats

cd /click/tunnel_encap/
cat icounts ocounts tunnel_encap_stats encap_vxlan_stats tunnel_encap_discard
cat get_mtu eogre_encap_list


5) Wireless client stats

Anmerkung: müssen diese letzten Befehle in der richtigen Radio-VAP-Kombination ausgeben. Beispiel: Wenn der Client über Funk 1 verbunden ist, vap 1: cat /click/client_ip_table/list = Überprüfen Sie anhand der Ausgabe den mit dem Client verbundenen Port/die Schnittstelle aprXvY, und verwenden Sie denselben Parameter, um die unten angezeigte Ausgabe zu erhalten. cd /click/fromdev_ apr1v3/ cat icounts calls cd /click/todev_ apr1v3/ cat icounts calls calls Steps B - E B) Start OTA between AP. Kunde. Und starten Sie kabelgebundenes PCAP (Spanning-AP-Port, an dem der Client angeschlossen ist). (Für die Analyse sind sowohl kabelgebundene als auch drahtlose pcap-Netzwerke erforderlich.) C) Verwenden Sie Open-Auth-WLAN (keine Sicherheit für die Analyse von OTA pcap). Starten Sie den iperf-Test, und halten Sie ihn 10-15 Minuten lang ohne Unterbrechung am Laufen. D) Wiederholen Sie Schritt A alle zwei Minuten mit dem Befehl date. 5 oder mehr Iterationen. E) Nach Abschluss des Tests - Sammeln Sie Show-Tech vom AP.

AP-Integration

Herkömmliche Methode/Schritte:

Es wird davon ausgegangen, dass der AP-VLAN-Bereich über die Option 43 oder die Option 60 verfügt, die auf den WLC verweist.

1. Wählen Sie Authentication (Authentifizierung) als No Authentication (Keine Authentifizierung).

2. Konfigurieren Sie Infra_VN mit dem AP-IP-Pool und Default_VN mit dem Wireless-Client-IP-Pool.

3. Konfigurieren Sie Edge-Schnittstellen-Ports, an denen APs mit Infra_VN verbunden sind.

4. Sobald der Access Point die IP erhält und dem WLC beitritt, wird er im Gerätebestand erkannt.

5. Wählen Sie den Access Point, weisen Sie ihn einem bestimmten Standort zu, und stellen Sie den Access Point bereit.

6. Nach der Bereitstellung wird der Access Point der Access Point-Gruppe zugewiesen, die beim Hinzufügen des WLC zur Fabric erstellt wird.

Plug-and-Play/AP-Bereitstellung ohne Benutzereingriffe

AP VLAN Scope weist die Option 43 auf und verweist auf Cisco DNA Center. Konfigurieren von AP PNP mithilfe des DNAC-Handbuchs

Fabric-Edge-Seite:

Aktivieren Sie diese Debugs.

• debug ip dhcp snooping packet
• debug ip dhcp snooping event
  

Zugehörige Informationen

• Wireless-Konfigurationsanleitungen für jede Version
• SD Wireless-Bereitstellungsleitfaden
• Wireless Best Practice-Leitfaden
• Technische Referenzdokumente für Wireless-Netzwerke
• Kompatibilitätsmatrix für SDA
• Cisco DNA Center-Benutzerhandbücher für jede Version