Dieses Dokument enthält Informationen zu den am häufigsten gestellten Fragen (FAQs) zu Fehlermeldungen und Systemmeldungen für die Cisco Wireless LAN (WLAN) Controller (WLCs).
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
Antwort: Sie müssen zusätzliche AP-Manager-Schnittstellen erstellen, um mehr als 48 APs unterstützen zu können. Andernfalls erhalten Sie den folgenden Fehler:
Wed Sep 28 12:26:41 2005 [ERROR] spam_lrad.c 4212: AP cannot join because the maximum number of APs on interface 1 is reached.Konfigurieren mehrerer AP-Manager-Schnittstellen und Konfigurieren von primären/Backup-Ports, die von anderen AP-Manager-Schnittstellen nicht verwendet werden. Sie müssen eine zweite AP-Manager-Schnittstelle erstellen, um zusätzliche APs zu aktivieren. Stellen Sie jedoch sicher, dass sich die Konfigurationen der primären Ports und Backup-Ports für die einzelnen Manager nicht überschneiden. Wenn also AP-Manager 1 Port 1 als primären und Port 2 als Backup verwendet, muss AP-Manager 2 Port 3 als primären und Port 4 als Backup verwenden.
Antwort: Die auf den WLCs gezeigten Schlüssellängen sind tatsächlich die Anzahl der Bits, die im gemeinsamen geheimen Bereich enthalten sind und die 24 Bit des Initialization Vector (IV) nicht enthalten. Viele Produkte, zu denen die Aironet-Produkte gehören, nennen es einen 128-Bit-WEP-Schlüssel. In Wirklichkeit ist es ein 104-Bit-Schlüssel mit 24-Bit IV. Die Schlüsselgröße von 104 Bit muss auf dem WLC für die 128-Bit-WEP-Verschlüsselung aktiviert werden.
Wenn Sie die 128-Bit-Schlüssellänge auf dem WLC auswählen, handelt es sich um eine 152-Bit-WEP-Schlüsselverschlüsselung (128 + 24 IV). Nur Cisco LAPs der Serie 1000 (AP1010, AP1020, AP1030) unterstützen die Verwendung der WLC 128 Bit-WEP-Schlüsseleinstellung.
Antwort: Wenn Sie auf einem Wireless LAN-Controller Static WEP als Sicherheitsmethode für Layer 2 auswählen, stehen Ihnen diese Optionen oder die WEP-Schlüsselgröße zur Verfügung.
nicht festgelegt
40 Bit
104 Bit
128 Bit
Diese Schlüsselgrößenwerte enthalten nicht den 24-Bit-Initialisierungsvektor (IV), der mit dem WEP-Schlüssel verknüpft ist. Für ein 64-Bit-WEP müssen Sie also 40 Bit als WEP-Schlüsselgröße auswählen. Der Controller fügt diesem die 24-Bit-IV hinzu, um einen 64-Bit-WEP-Schlüssel zu erstellen. Wählen Sie für einen 128-Bit-WEP-Schlüssel auch 104 Bit aus.
Controller unterstützen auch 152-Bit-WEP-Schlüssel (128 Bit + 24 Bit IV). Diese Konfiguration wird von den APs des Modells 11xx, 12xx und 13xx nicht unterstützt. Wenn Sie also versuchen, WEP mit 144 Bit zu konfigurieren, gibt der Controller die Meldung aus, dass diese WEP-Konfiguration nicht auf die APs des Modells 11xx, 12xx und 13xx übertragen wird.
Antwort: Dies ist vor allem auf Kompatibilitätsprobleme auf Client-Seite zurückzuführen. Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:
Überprüfen Sie, ob der Client für WPA2 Wi-Fi-zertifiziert ist, und überprüfen Sie die Konfiguration des Clients für WPA2.
Überprüfen Sie im Datenblatt, ob das Client-Dienstprogramm WPA2 unterstützt. Installieren Sie alle vom Anbieter veröffentlichten Patches, um WPA2 zu unterstützen. Wenn Sie das Windows-Dienstprogramm verwenden, stellen Sie sicher, dass Sie den WPA2-Patch von Microsoft installiert haben, um WPA2 zu unterstützen.
Aktualisieren Sie den Treiber und die Firmware des Clients.
Deaktivieren Sie Aironet-Erweiterungen im WLAN.
Antwort: Diese Fehlermeldung wird angezeigt, wenn Frames mit falschen MIC-Werten von MFP-fähigen LAPs erkannt werden. Weitere Informationen zum MFP finden Sie unter Infrastructure Management Frame Protection (MFP) mit WLC und LAP Configuration Example. Gehen Sie wie folgt vor:
Überprüfen und entfernen Sie nicht autorisierte oder ungültige APs oder Clients in Ihrem Netzwerk, die ungültige Frames erzeugen.
Deaktivieren Sie den Infrastruktur-MFP, wenn MFP für andere Mitglieder der Mobilitätsgruppe nicht aktiviert ist, da LAPs Verwaltungs-Frames von LAPs anderer WLCs in der Gruppe hören können, bei denen MFP nicht aktiviert ist. Weitere Informationen zur Mobilitätsgruppe finden Sie in den Häufig gestellten Fragen zu Wireless LAN Controller (WLC) Mobility Groups.
Die Behebung dieser Fehlermeldung ist in den WLC-Versionen 4.2.112.0 und 5.0.148.2 verfügbar. Aktualisieren Sie die WLCs auf eine dieser Versionen.
Versuchen Sie als letzte Option, die LAP, die diese Fehlermeldung generiert, erneut zu laden.
Antwort: Wenn die Client-Karte Roaming ausführen muss, sendet sie eine Authentifizierungsanfrage, behandelt jedoch nicht die Schlüssel (informiert den Access Point/Controller nicht und antwortet nicht auf erneute Authentifizierungen).
Dies ist in der Cisco Bug ID CSCsd02837 dokumentiert (nur registrierte Kunden). Dieser Fehler wurde mit dem Installationsassistenten für Cisco Aironet 802.11a/b/g-Client-Adapter 3.5 behoben.
Im Allgemeinen tritt der Benutzername für mobile Nachrichten nicht mehr gelöscht werden kann auch aus einem der folgenden Gründe auf:
Der spezifische Benutzername wird auf mehr als einem Client-Gerät verwendet.
Die für dieses WLAN verwendete Authentifizierungsmethode hat eine externe anonyme Identität. In PEAP-GTC oder EAP-FAST kann beispielsweise ein generischer Benutzername als externe (sichtbare) Identität definiert werden, und der tatsächliche Benutzername ist im TLS-Tunnel zwischen Client- und Radius-Server verborgen, sodass der Controller ihn nicht sehen und verwenden kann. In solchen Fällen kann diese Meldung angezeigt werden. Dieses Problem tritt häufiger bei einigen Drittanbietern und älteren Firmware-Clients auf.
Antwort: RADIUS- und dot1x-Debug zeigen, dass der WLC eine Zugriffsanforderung sendet, aber keine Antwort vom IAS-Server gibt. Gehen Sie wie folgt vor, um das Problem zu beheben:
- Überprüfen und überprüfen Sie die IAS-Serverkonfiguration.
- Überprüfen Sie die Protokolldatei.
- Installieren Sie Software, wie Ethereal, die Ihnen Authentifizierungsdetails geben kann.
- Beenden und starten Sie den IAS-Dienst.
Antwort: Wenn der Access Point (AP) die LWAPP-Join Request (Lightweight Access Point Protocol) an den WLC sendet, fügt er sein X.509-Zertifikat in die LWAPP-Nachricht ein. Außerdem wird eine zufällige Sitzungs-ID generiert, die in der LWAPP-Join-Anforderung enthalten ist. Wenn der WLC die LWAPP-Join-Anforderung empfängt, validiert er die Signatur des X.509-Zertifikats mit dem öffentlichen Schlüssel der APs und überprüft, ob das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Darüber hinaus werden das Startdatum und die Uhrzeit für das Gültigkeitsintervall der AP-Zertifikate überprüft und das Datum und die Uhrzeit mit dem Datum und der Uhrzeit des Datums verglichen.
Dieses Problem kann durch eine falsche Takteinstellung auf dem WLC auftreten. Um die Uhr auf dem WLC festzulegen, geben Sie die Befehle show time und config time ein.
Antwort: Sie können diese Fehlermeldung erhalten, wenn der LWAPP-Tunnel zwischen dem AP und dem WLC einen Netzwerkpfad mit einer MTU unter 1.500 Byte durchläuft. Dies verursacht die Fragmentierung der LWAPP-Pakete. Dies ist ein bekannter Fehler im Controller. Weitere Informationen finden Sie unter Cisco Bug ID CSCsd39911 (nur registrierte Kunden).
Die Lösung besteht darin, die Controller-Firmware auf 4.0(155) zu aktualisieren.
Antwort: Gast-Tunneling bietet zusätzliche Sicherheit für den Gastzugriff auf das Wireless-Netzwerk des Unternehmens. Dadurch wird sichergestellt, dass Gastbenutzer nicht auf das Unternehmensnetzwerk zugreifen können, ohne zuvor die Firewall des Unternehmens durchlaufen zu haben. Wenn ein Benutzer einem WLAN zuordnet, das als Gast-WLAN festgelegt ist, wird der Benutzerdatenverkehr an den WLAN-Controller getunnelt, der sich außerhalb der Unternehmens-Firewall in der DMZ befindet.
In diesem Szenario kann es mehrere Gründe dafür geben, dass dieses Gasttunnel nicht wie erwartet funktioniert. Wie die Ausgabe des Befehls debug impliziert, liegt das Problem möglicherweise in einer der für dieses WLAN konfigurierten Sicherheitsrichtlinien im internen WLAN sowie in den DMZ-Controllern. Überprüfen Sie, ob die Sicherheitsrichtlinien und andere Einstellungen, z. B. die Timeout-Einstellungen für Sitzungen, zugeordnet wurden.
Ein weiterer häufiger Grund für dieses Problem ist, dass der DMZ-Controller nicht an sich selbst für das jeweilige WLAN verankert ist. Damit ein Gast-Tunneling ordnungsgemäß funktioniert und die DMZ die IP-Adresse des Benutzers (eines Benutzers, der zu einem Gast-WLAN gehört) verwalten kann, muss für dieses WLAN unbedingt eine ordnungsgemäße Verankerung erfolgen.
Antwort: Da Multicast auf den Controllern deaktiviert ist, können die Nachrichten, die diesen Alarm auslösen, ARP-Nachrichten (Address Resolution Protocol) sein. Zwischen den 2000 WLCs und den 4400 WLCs besteht kein Unterschied in der Warteschlangentiefe (512 Pakete). Der Unterschied besteht darin, dass die 4400-NPU ARP-Pakete filtert, während alles in der Software für das Jahr 2006 erfolgt. Dies erklärt, warum der WLC 2006 zwar die Meldungen, aber nicht den 4400 WLC sieht. Ein 44xx-WLC verarbeitet Multicast-Pakete über Hardware (über CPU). Ein 2000 WLC verarbeitet Multicast-Pakete über Software. Die CPU-Verarbeitung ist effizienter als die Software. Daher wird die Warteschlange der 4400 schneller gelöscht, während der WLC des Jahres 2006 ein wenig zu kämpfen hat, wenn er viele dieser Meldungen sieht.
Antwort: Diese Meldung wird angezeigt, wenn der Controller eine DHCP-Anfrage für eine MAC-Adresse empfängt, für die er keinen Statuscomputer hat. Dies wird häufig über eine Bridge oder ein System beobachtet, das eine virtuelle Maschine wie VMWare ausführt. Der Controller überwacht DHCP-Anfragen, da er DHCP-Snooping ausführt, sodass er weiß, welche Adressen Clients mit seinen Access Points (APs) verbunden sind. Der gesamte Datenverkehr für die Wireless-Clients wird über den Controller geleitet. Wenn das Ziel eines Pakets ein Wireless-Client ist, wird es an den Controller weitergeleitet und dann über den LWAPP-Tunnel (Lightweight Access Point Protocol) an den AP und den Client weitergeleitet. Eine Möglichkeit, diese Meldung abzuschwächen, besteht darin, nur die VLANs zuzulassen, die auf dem Controller im Trunk verwendet werden, der zum Controller mit dem Befehl switchport vlan allow auf dem Switch geht.
Antwort: Dies kann auf eine hohe CPU-Last zurückzuführen sein. Wenn die Controller-CPU stark geladen ist, z. B. wenn sie Dateikopien oder andere Aufgaben ausführt, hat sie keine Zeit, alle ACKs zu verarbeiten, die die NPU als Antwort auf Konfigurationsmeldungen sendet. In diesem Fall generiert die CPU Fehlermeldungen. Die Fehlermeldungen wirken sich jedoch nicht auf den Service oder die Funktionalität aus.
Dies ist im Abschnitt Heavily Loaded Controller CPU in den Versionshinweisen für Cisco Wireless LAN Controller und Lightweight Access Points für Version 3.2.116.21 dokumentiert.
Antwort: Wenn alle Ihre Sicherheitskonfigurationen perfekt sind, dann werden die Nachrichten, die Sie gerade erhalten, aufgrund von Bugs angezeigt. Im Controller gibt es einige bekannte Fehler. Informationen hierzu finden Sie in den Cisco Bug-IDs CSCse17260 (nur registrierte Kunden) und CSCse1202 (nur registrierte Kunden), in denen "Der an der Station konfigurierte WEP-Schlüssel ist möglicherweise mit WPA- bzw. TKIP-Clients falsch" angegeben ist. Tatsächlich ist CSCse17260 ein Duplikat von CSCse11202. Die Behebung für CSCse11202 ist bereits in der WLC-Version 3.2.171.5 verfügbar.
Hinweis: Die neuesten WLC-Versionen haben eine Behebung für diese Fehler.
Antwort: Wenn eine Anforderung vom WLC an den RADIUS-Server gesendet wird, verfügt jedes Paket über eine Sequenznummer, auf die der WLC eine Antwort erwartet. Wenn keine Antwort vorliegt, wird eine Meldung angezeigt, dass der Radius-Server nicht reagiert.
Die Standardzeit für die Rückmeldung des WLC vom RADIUS-Server beträgt 2 Sekunden. Diese Einstellung wird in der WLC-GUI unter Sicherheit > Authentication-Server festgelegt. Das Maximum ist 30 Sekunden. Daher kann es hilfreich sein, diesen Timeoutwert auf den Maximalwert festzulegen, um dieses Problem zu beheben.
Manchmal führen die RADIUS-Server "stille Rückwürfe" des Anforderungspakets aus, das vom WLC kommt. Der RADIUS-Server kann diese Pakete aufgrund einer nicht übereinstimmenden Zertifikaten und aus anderen Gründen ablehnen. Dies ist eine gültige Aktion des Servers. In solchen Fällen markiert der Controller außerdem den RADIUS-Server als nicht antworten.
Um das Problem der stillen Rückwürfe zu beheben, deaktivieren Sie die aggressive Failover-Funktion im WLC.
Wenn die aggressive Failover-Funktion in WLC aktiviert ist, ist der WLC zu aggressiv, um den AAA-Server als nicht reagiert zu markieren. Dies sollte jedoch nicht geschehen, da der AAA-Server möglicherweise nicht nur auf diesen Client reagiert (indem er stumm verworfen). Es kann eine Antwort auf andere gültige Clients sein (mit gültigen Zertifikaten). Der WLC kann jedoch weiterhin angeben, dass der AAA-Server nicht reagiert und nicht funktioniert.
Um dies zu vermeiden, deaktivieren Sie die aggressive Failover-Funktion. Führen Sie dazu den Befehl Config RADIUS Aggressive-Failover Disable (aggressiv-Failover-Deaktivierung für den Konfigurationsradius von der Controller-CLI aus. Wenn diese Option deaktiviert ist, wird der Controller nur dann zum nächsten AAA-Server umgeleitet, wenn drei aufeinander folgende Clients keine Antwort vom RADIUS-Server erhalten.
Antwort: Dies ist in der Regel auf ein Problem mit den Intel Adaptern zurückzuführen, die CCX v4 unterstützen, aber eine Client-Paketversion vor 10.5.1.0 ausführen. Wenn Sie die Software auf 10.5.1.0 oder höher aktualisieren, wird dieses Problem behoben. Weitere Informationen zu dieser Fehlermeldung finden Sie unter Cisco Bug ID CSCsi91347 (nur registrierte Kunden).
Antwort: Diese Fehlermeldung wird angezeigt, wenn der Benutzer versucht, eine Verbindung zu einem EAP-geschützten WLAN-Netzwerk herzustellen, und die vorkonfigurierte Anzahl von EAP-Versuchen fehlgeschlagen ist. Wenn der Benutzer sich nicht authentifiziert, schließt der Controller den Client aus, und der Client kann keine Verbindung zum Netzwerk herstellen, bis der Ausschlusszeitgeber abläuft oder vom Administrator manuell überschrieben wird.
Mit Exclusion werden Authentifizierungsversuche eines einzelnen Geräts erkannt. Wenn dieses Gerät eine maximale Anzahl von Ausfällen überschreitet, darf diese MAC-Adresse nicht mehr verknüpft werden.
Ausschluss erfolgt:
Nach 5 aufeinander folgenden Authentifizierungsfehlern für gemeinsam genutzte Authentifizierungen (6. Versuch ist ausgeschlossen)
Nach 5 aufeinander folgenden Verbindungsfehlern für die MAC-Authentifizierung (6. Versuch ist ausgeschlossen)
Nach drei aufeinander folgenden EAP/802.1X-Authentifizierungsfehlern (4. Versuch ist ausgeschlossen)
Alle externen Richtlinienserver-Fehler (NAC)
Beliebige Instanz von IP-Adressen
Nach drei aufeinander folgenden Webauthentifizierungsfehlern (4. Versuch ist ausgeschlossen)
Der Timer für die Ausschlusszeit eines Clients kann konfiguriert werden, und der Ausschluss kann auf Controller- oder WLAN-Ebene aktiviert oder deaktiviert werden.
Antwort: Dies kann an der Cisco Bug-ID CSCsc05495 liegen. Aufgrund dieses Fehlers fügt der Controller regelmäßig ein falsches AV-Pair (Attribut 24, "state") in Authentifizierungsanforderungsnachrichten ein, die gegen einen RADIUS-RFP verstoßen und Probleme bei einigen Authentifizierungsservern verursachen. Dieser Fehler wurde in 3.2.179.6 behoben.
Antwort: Der Status "Rauschprofil FEHLGESCHLAGEN/PASSED" wird nach dem Testergebnis des WLC und im Vergleich zum aktuellen Grenzwert festgelegt. Der Rauschwert ist standardmäßig auf -70 festgelegt. Der FEHLER-Status gibt an, dass der Schwellenwert für diesen bestimmten Parameter oder Access Point (AP) überschritten wurde. Sie können die Parameter im Profil anpassen. Es wird jedoch empfohlen, die Einstellungen zu ändern, nachdem Sie das Netzwerkdesign und dessen Auswirkungen auf die Netzwerkleistung verstanden haben.
Die Grenzwerte für das Radio Resource Management (RRM) PASSED/FAILED (Funkressourcenmanagement, RRM) sind global für alle APs auf den globalen Parametern 802.11a > Auto RF und 802.11b/g Global Parameters > Auto RF-Seiten festgelegt. Die RRM PASSED/FAILED-Grenzwerte für diesen Access Point werden auf der Seite 802.11 AP-Schnittstellen > Leistungsprofil einzeln festgelegt.
Antwort: Ein AP-Manager verfügt über keinen Backup-Port. Früher wurde es in früheren Versionen unterstützt. Seit Version 4.0 und höher wird der Backup-Port für die AP-Manager-Schnittstelle nicht unterstützt. In der Regel sollte an jedem Port ein einzelner AP-Manager konfiguriert werden (keine Backups). Wenn Sie Link Aggregation (LAG) verwenden, gibt es nur einen AP-Manager.
Die statische (oder permanente) AP-Manager-Schnittstelle muss dem Distribution System-Port 1 zugewiesen werden und über eine eindeutige IP-Adresse verfügen. Sie kann keinem Backup-Port zugeordnet werden. Sie wird in der Regel im selben VLAN oder IP-Subnetz wie die Verwaltungsschnittstelle konfiguriert, dies ist jedoch nicht erforderlich.
Antwort: Die in Wi-Fi Protected Access (WPA) integrierte Message Integrity Check (MIC) umfasst einen Frame-Zähler, der einen Man-in-the-Middle-Angriff verhindert. Dieser Fehler bedeutet, dass jemand im Netzwerk versucht, die vom ursprünglichen Client gesendete Nachricht erneut abzuspielen, oder dass der Client fehlerhaft ist.
Wenn ein Client die MIC-Prüfung wiederholt nicht durchführt, deaktiviert der Controller das WLAN auf der AP-Schnittstelle, auf der die Fehler für 60 Sekunden erkannt werden. Der erste MIC-Fehler wird protokolliert, und es wird ein Timer initiiert, um die Durchsetzung der Gegenmaßnahmen zu ermöglichen. Tritt innerhalb von 60 Sekunden nach dem letzten Ausfall ein nachfolgender MIC-Fehler auf, muss sich ein STA, dessen IEEE 802.1X-Einheit als Supplicant fungiert hat, selbst deauthentifizieren oder alle STAs mit einer Sicherheitszuordnung deauthentifizieren, wenn seine IEEE 802.1X-Einheit als Authentifizierer fungiert.
Darüber hinaus empfängt oder übermittelt das Gerät keine TKIP-verschlüsselten Datenframes und empfängt oder übermittelt keine unverschlüsselten Datenframes außer IEEE 802.1X-Nachrichten über einen Zeitraum von mindestens 60 Sekunden, nachdem das Gerät den zweiten Fehler entdeckt hat. Wenn es sich bei dem Gerät um einen Access Point handelt, werden in diesem Zeitraum von 60 Sekunden neue Verknüpfungen mit TKIP deaktiviert. Nach Ablauf des 60-Sekunden-Zeitraums nimmt der Access Point den normalen Betrieb wieder auf und ermöglicht die (erneute) Zuweisung von STAs.
Dadurch wird ein möglicher Angriff auf das Verschlüsselungsschema verhindert. Diese MIC-Fehler können in WLC-Versionen vor 4.1 nicht deaktiviert werden. Bei Wireless LAN Controller ab Version 4.1 gibt es einen Befehl zum Ändern der Abtastzeit bei MIC-Fehlern. Der Befehl lautet config wlan security tkip hold-down <0-60 Sekunden> <wlan id>. Verwenden Sie den Wert 0, um die MIC-Fehlererkennung für Gegenmaßnahmen zu deaktivieren.
Antwort: Diese Fehlermeldungen werden meist angezeigt, wenn der Service-Port des Controllers DHCP aktiviert hat, aber keine IP-Adresse von einem DHCP-Server empfängt.
Standardmäßig ist auf der Schnittstelle des physischen Service-Ports ein DHCP-Client installiert, der über DHCP nach einer Adresse sucht. Der WLC versucht, eine DHCP-Adresse für den Service-Port anzufordern. Wenn kein DHCP-Server verfügbar ist, schlägt eine DHCP-Anfrage für den Service-Port fehl. Dadurch werden die Fehlermeldungen generiert.
Die Lösung besteht darin, eine statische IP-Adresse für den Service-Port zu konfigurieren (selbst wenn der Service-Port getrennt ist) oder einen DHCP-Server zur Verfügung zu haben, um dem Service-Port eine IP-Adresse zuzuweisen. Laden Sie dann den Controller bei Bedarf neu.
Der Service-Port ist für die Out-of-Band-Verwaltung des Controllers und der Systemwiederherstellung sowie für die Wartung bei einem Netzwerkausfall reserviert. Er ist auch der einzige aktive Port, wenn sich der Controller im Startmodus befindet. Der Service-Port kann keine 802.1Q-Tags enthalten. Daher muss es mit einem Access-Port am Nachbarswitch verbunden werden. Die Verwendung des Service-Ports ist optional.
Die Service-Port-Schnittstelle steuert die Kommunikation über und wird dem Service-Port vom System statisch zugeordnet. Sie muss eine IP-Adresse in einem anderen Subnetz als Management, AP-Manager und alle dynamischen Schnittstellen haben. Außerdem kann er nicht einem Backup-Port zugeordnet werden. Der Service-Port kann DHCP verwenden, um eine IP-Adresse abzurufen, oder ihm kann eine statische IP-Adresse zugewiesen werden, aber ein Standard-Gateway kann der Service-Port-Schnittstelle nicht zugewiesen werden. Über den Controller können statische Routen für den Remote-Netzwerkzugriff auf den Service-Port definiert werden.
Antwort: Als Voraussetzung für den Zugriff auf das Medium überprüft die MAC-Schicht den Wert des Netzwerkzuweisungsvektors (NAV). Das NAV ist ein in jeder Station vorhandener Zähler, der die Zeit darstellt, die der vorherige Frame senden muss. Die NAV muss 0 sein, bevor eine Station versuchen kann, einen Frame zu senden. Vor der Übertragung eines Frames berechnet eine Station die zum Senden des Frames benötigte Zeit basierend auf der Länge und der Datenrate des Frames. Die Workstation platziert einen Wert, der diese Zeit im Feld "Dauer" im Header des Frames darstellt. Wenn Stationen den Frame empfangen, überprüfen sie diesen Wert für das Zeitintervall und verwenden ihn als Grundlage für die Festlegung der zugehörigen NAVs. Dieser Prozess reserviert das Medium für die Sendestation.
Ein hoher NAV weist auf einen überhöhten NAV-Wert hin (Virtual Carrier Sense Mechanismus für 802.11). Wenn die gemeldete MAC-Adresse 00:00:00:00:00:00 lautet, wird sie wahrscheinlich getäuscht (möglicherweise ein echter Angriff), und Sie müssen dies durch eine Paketerfassung bestätigen.
Antwort: Dieses Problem kann verschiedene Ursachen haben. Ein häufiger Grund kann die Konfiguration der virtuellen Schnittstelle des Controllers betreffen. Um dieses Problem zu beheben, entfernen Sie die virtuelle Schnittstelle, und generieren Sie sie mit dem folgenden Befehl erneut:
WLC>config interface address virtual 1.1.1.1
Starten Sie anschließend den Controller neu. Nach dem Neustart des Controllers generieren Sie das Webauth-Zertifikat lokal auf dem Controller mit dem folgenden Befehl:
WLC>config certificate generate webauthIn der Ausgabe dieses Befehls sollte folgende Meldung angezeigt werden: Das Webauthentifizierungszertifikat wurde erstellt.
Jetzt sollten Sie beim Neustart auf den sicheren Web-Modus des Controllers zugreifen können.
Antwort: Grund hierfür ist die Cisco Bug ID CSCsg81953 (nur registrierte Kunden) .
IDS DisAssociation Flood-Angriffe auf gültige Clients werden manchmal gemeldet, wenn die MAC-Adresse des Angreifers die eines AP ist, der mit diesem Controller verbunden ist.
Wenn ein Client dem Access Point zugeordnet ist, die Kommunikation jedoch aufgrund der Entfernung der Karte, des Roaming außerhalb der Reichweite usw. zum Access Point beendet wird, wartet der Access Point bis zum Timeout im Leerlauf. Sobald die Zeitüberschreitung im Leerlauf erreicht ist, sendet der Access Point diesem Client einen separaten Frame. Wenn der Client den Trennrahmen nicht bestätigt, überträgt der Access Point den Frame mehrmals (etwa 60 Frames). Das IDS-Subsystem des Controllers hört diese Neuübertragungen und Warnmeldungen mit dieser Nachricht.
Dieser Fehler wurde in Version 4.0.217.0 behoben. Aktualisieren Sie Ihre Controller-Version auf diese Version, um diese Warnmeldung gegen gültige Clients und APs zu überwinden.
Antwort: Tatsächlich weisen Meldungen für fehlende unterstützte Übertragungsrate darauf hin, dass der WLC für bestimmte erforderliche Datenraten unter den Wireless-Einstellungen konfiguriert ist, die NIC-Karte jedoch nicht die erforderliche Rate aufweist.
Wenn für den Controller Datenraten wie 1 und 2M für erforderlich festgelegt sind, die NIC-Karte jedoch nicht über diese Datenraten kommuniziert, können Sie diese Art von Nachrichten empfangen. Dies ist ein Fehlverhalten der Netzwerkkarte. Wenn dagegen der Controller 802.11g aktiviert ist und der Client eine 802.11b(only)-Karte ist, ist dies eine legitime Nachricht. Wenn diese Meldungen keine Probleme verursachen und die Karten immer noch eine Verbindung herstellen können, können diese Meldungen ignoriert werden. Wenn die Meldungen kartenspezifisch sind, stellen Sie sicher, dass der Treiber für diese Karte auf dem neuesten Stand ist.
Antwort: Diese Nachricht wird von den LAPs gesendet. Dies wird angezeigt, wenn Sie die WLAN-Überschreibungsfunktion für ein WLAN konfiguriert haben und dieses WLAN nicht angekündigt wird.
Konfigurieren Sie config ap syslog host global 0.0.0.0.0, um es zu beenden, oder Sie können eine bestimmte IP-Adresse angeben, wenn Sie einen Syslog-Server haben, sodass die Nachricht nur an den Server gesendet wird.
Antwort: Im Allgemeinen weist diese Fehlermeldung darauf hin, dass der Controller Kollisionen für einen Wireless-Client angekündigt hat (d. h. dass separate Access Points ankündigen, dass sie über den Client verfügen), und dass der Controller keine Übergabe von einem Access Point zum nächsten erhalten hat. Es ist kein Netzwerkstatus zu warten. Löschen Sie den Wireless-Client, und lassen Sie den Client es erneut versuchen. Wenn dieses Problem häufig auftritt, kann ein Problem mit der Mobilitätskonfiguration vorliegen. Andernfalls kann es sich um eine Anomalie handeln, die sich auf einen bestimmten Client oder eine bestimmte Bedingung bezieht.
Antwort: Diese Warnmeldung wird ausgelöst, wenn ein Client-Signal-Rausch-Verhältnis (SNR) unter den SNR-Schwellenwert für eine bestimmte Funkeinheit fällt. 12 ist der Standard-SNR-Schwellenwert für die Erkennung von Abdeckungslücken.
Der Algorithmus zur Erkennung und Korrektur von Abdeckungslöchern bestimmt, ob eine Abdeckungslücke besteht, wenn die SNR-Stufen des Clients unter einen bestimmten SNR-Schwellenwert liegen. Dieser SNR-Schwellenwert variiert anhand von zwei Werten: AP-Übertragungsleistung und Controller-Abdeckungsprofilwert.
Der Client-SNR-Grenzwert wird detailliert durch die Übertragungsleistung jedes Access Points (in dBm dargestellt) definiert, abzüglich des konstanten Werts von 17 dBm, abzüglich des vom Benutzer konfigurierbaren Werts für das Abdeckungsprofil (dieser Wert ist standardmäßig auf 12 dB festgelegt).
Client SNR Cutoff-Wert (|dB|) = [AP-Übertragungsleistung (dBm) - Konstante (17 dBm) - Abdeckungsprofil (dB)]
Auf diesen benutzerdefinierten Wert für das Abdeckungsprofil kann wie folgt zugegriffen werden:
Navigieren Sie in der WLC-GUI zur Hauptüberschrift Wireless, und wählen Sie links die Netzwerkoption für den WLAN-Standard (802.11a oder 802.11b/g) aus. Wählen Sie dann oben rechts im Fenster Auto RF (Automatisch) aus.
Auf der Seite "Globale Parameter der automatischen RF-Instanz" finden Sie den Abschnitt "Schwellenwerte für Profile". In diesem Abschnitt finden Sie den Wert Coverage (3 bis 50 dBm). Dieser Wert ist der vom Benutzer konfigurierbare Abdeckungsprofilwert.
Dieser Wert kann bearbeitet werden, um den Client-SNR-Schwellwert zu beeinflussen. Die andere Möglichkeit, diesen SNR-Grenzwert zu beeinflussen, besteht darin, die Übertragungsleistung zu erhöhen und die Abdeckungslöcher-Erkennung auszugleichen.
Antwort: In ACS 4.1 gibt es eine authentifizierungsbezogene Cisco Bug-ID CSCsh62641 (nur registrierte Kunden), in der der ACS die interne Fehlermeldung angibt, die aufgetreten ist.
Dieser Fehler könnte das Problem sein. Für diesen Bug gibt es einen Patch auf der ACS 4.1 Download (nur registrierte Kunden) Seite, der das Problem beheben sollte.
Antwort: Der Grund für diesen Fehler kann ein Hardwareproblem sein. Öffnen Sie ein TAC-Ticket, um dieses Problem weiter zu beheben. Um ein TAC-Ticket zu erstellen, benötigen Sie einen gültigen Vertrag mit Cisco. Wenden Sie sich an den technischen Support, um das Cisco TAC zu kontaktieren.
Antwort: Grund hierfür ist die Cisco Bug-ID CSCsh93980 (nur registrierte Kunden) . Dieser Fehler wurde in WLC Version 4.1.185.0 behoben. Aktualisieren Sie Ihren Controller auf diese Softwareversion oder eine spätere Version, um diese Meldung zu überwinden.
Antwort: Dies kann auftreten, wenn WLAN als DHCP erforderlich markiert ist. In solchen Fällen dürfen nur Stationen, die über DHCP eine IP-Adresse erhalten, eine Verbindung herstellen. Statische Clients dürfen keine Verbindung zu diesem WLAN herstellen. WLC fungiert als DHCP Relay Agent und zeichnet die IP-Adresse aller Stationen auf. Diese Fehlermeldung wird generiert, wenn WLC eine ARP-Anfrage von einer Station empfängt, bevor der WLC DHCP-Pakete von der Station empfangen und die IP-Adresse aufgezeichnet hat.
Antwort: Diese Fehlermeldung tritt auf, wenn es sich bei dem Switch, der den Access Point hochfährt, um einen Pre-Standard Switch handelt, der Access Point jedoch nicht den Pre-Standard Mode of Input Power (Vorstandardmodus für Eingangsleistung) unterstützt.
Bei einem Cisco Pre-Standard Switch handelt es sich um einen Switch, der keine intelligente Energieverwaltung (IPM) unterstützt, aber über ausreichende Leistung für einen Standard Access Point verfügt.
Sie müssen den Pre-Standard-Stromversorgungsmodus des Access Points aktivieren, der dieser Fehlermeldung unterzogen wird. Dies kann über die Controller-CLI mit der Konfigurationsoption "ap power" vor dem Standard {enable} erfolgen. | disable} {all} | Cisco_AP}-Befehl.
Dieser Befehl sollte bei Bedarf bereits konfiguriert werden, wenn Sie von einer früheren Version auf die Softwareversion 4.1 aktualisieren. Es ist jedoch möglich, dass Sie diesen Befehl für neue Installationen oder für das Zurücksetzen des Access Points auf die Werkseinstellungen eingeben müssen.
Diese Cisco Switches sind mit dem Vorstandard 15 Watt erhältlich:
AIR-WLC2106-K9
WS-C3550, WS-C3560, WS-C3750
C1880
2600, 2610, 2611, 2621, 2650, 2651
2610XM, 2611XM, 2621XM, 2650XM, 2651XM, 2691
2811, 2821, 2851
3631-telco, 3620, 3640, 3660
3725, 3745
3825, 3845
Antwort: Während ein Wireless-Client eine ARP-Antwort sendet, muss die Network Processor Unit (NPU) diese Antwort kennen. Die ARP-Antwort wird also an die NPU weitergeleitet, aber die WLC-Software sollte nicht versuchen, diesen Eintrag dem Netzwerkprozessor hinzuzufügen. Wenn dies der Fall ist, werden diese Meldungen generiert. Dies hat keine Auswirkungen auf die Funktionalität des WLC, aber der WLC generiert diese Syslog-Meldung.
Antwort: Der Ausfall eines internen Temperatursensors ist kosmetisch und kann durch ein Upgrade auf die WLC-Version 4.2.61.0 behoben werden.
WLC 2106 und WLC 526, die am oder nach dem 01.07.2007 installiert sind, können den Temperatursensorchip eines anderen Anbieters verwenden. Dieser neue Sensor funktioniert einwandfrei, ist jedoch nicht mit Software nach Version 4.2 kompatibel. Daher kann ältere Software die Temperatur nicht lesen und zeigt diesen Fehler an. Alle anderen Controller-Funktionen sind von diesem Fehler nicht betroffen.
Es gibt eine bekannte Cisco Bug ID CSCsk97299 (nur registrierte Kunden), die mit diesem Problem zusammenhängt. Dieser Fehler wird in der Versionshinweis von WLC Version 4.2 erwähnt.
Antwort: Diese Fehlermeldung bedeutet, dass der Controller nicht in der Lage war, den Standard-Radius-Server zu kontaktieren, oder dass dieser nicht definiert wurde.
Ein möglicher Grund für dieses Verhalten ist die Cisco Bug ID CSCsk08181 (nur registrierte Kunden) , die in Version 4.2 behoben wurde. Aktualisieren Sie Ihren Controller auf Version 4.2.
Antwort: Das bedeutet, dass der Controller einen Fehler hatte, während er ein CPU-Sourcing-Paket schickte.
10. Juli 14:52:21.902 nvstore.c:304 SYSTEM-3-FILE_READ_FAIL: Konfigurationsdatei 'cliWebInitParms.cfg' konnte nicht gelesen werden.
10. Juli 14:52:21.624 nvstore.c:304 SYSTEM-3-FILE_READ_FAIL: Konfigurationsdatei "rfidInitParms.cfg" konnte nicht gelesen werden.
10. Juli 14:52:21.610 nvstore.c:304 SYSTEM-3-FILE_READ_FAIL: Konfigurationsdatei 'dhcpParms.cfg' konnte nicht gelesen werden.
10. Juli 14:52:21.287 nvstore.c:304 SYSTEM-3-FILE_READ_FAIL: Konfigurationsdatei 'bcastInitParms.cfg' konnte nicht gelesen werden.
18. März 16:05:56.753 osapi_file.c:274 OSAPI-5-FILE_DEL_FAILED: Löschen der Datei fehlgeschlagen: sshpmInitParms.cfg. Entfernen der Datei fehlgeschlagen. - Prozess: Name:fp_main_task, ID:11ca7618
18. März 16:05:56.753 osapi_file.c:274 OSAPI-5-FILE_DEL_FAILED: Löschen der Datei fehlgeschlagen: bcastInitParms.cfg. Entfernen der Datei fehlgeschlagen. - Prozess: Name:fp_main_task, ID:11ca7618
Antwort: Diese Meldungen sind Informationsmeldungen und Teil des normalen Bootvorgangs. Diese Meldungen werden angezeigt, weil mehrere verschiedene Konfigurationsdateien nicht gelesen oder gelöscht wurden. Wenn bestimmte Konfigurationsdateien nicht gefunden werden oder die Konfigurationsdatei nicht gelesen werden kann, sendet die Konfigurationssequenz für jeden Prozess diese Meldung, z. B. keine DHCP-Serverkonfiguration, keine Tags (RF-ID) usw. Hierbei handelt es sich um Nachrichten mit geringem Schweregrad, die problemlos ignoriert werden können. Diese Meldungen unterbrechen den Betrieb des Controllers nicht.
Antwort: Dies bedeutet, dass der Access Point, der die Funktion zum Eindämmen in Bedrohungen ausgeführt hat, nicht mehr verfügbar ist und der Controller keinen geeigneten Access Point für die Durchführung der nicht autorisierten Eingrenzung finden kann.
Antwort: Es ist möglich, dass das System ARP-Spoofing oder Vergiftung erkannt hat. Diese Nachricht impliziert jedoch nicht notwendigerweise, dass schädliche ARP-Spoofing-Ereignisse aufgetreten sind. Die Meldung wird angezeigt, wenn diese Bedingungen zutreffen:
Ein WLAN wird mit DHCP Required konfiguriert, und ein Client-Gerät sendet nach der Zuweisung zu diesem WLAN eine ARP-Nachricht, ohne zuvor DHCP auszufüllen. Hierbei kann es sich um ein normales Verhalten handeln. Dies kann z. B. dann passieren, wenn der Client statisch adressiert ist oder wenn der Client über einen gültigen DHCP-Lease aus einer vorherigen Verbindung verfügt. Die Fehlermeldung kann wie im folgenden Beispiel aussehen:
DTL-1-ARP_POISON_DETECTED: STA [00:01:02:0e:54:c4, 0.0.0.0] ARP (op 1) received with invalid SPA 192.168.1.152/TPA 192.168.0.206Diese Bedingung hat zur Folge, dass der Client keinen Datenverkehr senden oder empfangen kann, bis er DHCPs über den WLC durchführt.
Weitere Informationen finden Sie im Abschnitt zu DTL-Nachrichten im Cisco Wireless LAN Controller System Message Guide.
Worum geht es?AP's Interface:1(802.11a) Operation State Down: Base Radio MAC:XX:1X:XX:AA:VV:CD Cause=Low in-line power
Antwort: Dies kann auftreten, wenn die PoE-Einstellungen (Power over Ethernet) nicht richtig konfiguriert wurden. Wenn ein Access Point, der in den Lightweight-Modus umgewandelt wurde, z. B. ein Access Point der Serie AP1131 oder AP1242 oder ein Access Point der Serie 1250, über einen Power Injector mit einem Cisco Pre-Intelligent Power Management (Pre-IPM)-Switch betrieben wird, müssen Sie Power over Ethernet (PoE) konfigurieren.
Weitere Informationen zur Konfiguration von Power over Ethernet (PoE) finden Sie unter Konfiguration von Power over Ethernet (PoE) .
Was bedeutet das?*Mar 05 10:45:21.778: %LWAPP-3-DISC_MAX_AP2: capwap_ac_sm.c:1924 Dropping primary discovery request from AP XX:1X:XX:AA:VV:CD - maximum APs joined 6/6
Antwort: Lightweight Access Points verwenden einen bestimmten Algorithmus, um einen Controller zu finden. Der Vorgang der Erkennung und Verknüpfung wird ausführlich in der Lightweight AP (LAP)-Registrierung bei einem Wireless LAN Controller (WLC) beschrieben.
Diese Fehlermeldung wird auf dem WLC angezeigt, wenn eine Erkennungsanfrage eingeht, nachdem die maximale AP-Kapazität erreicht wurde.
Wenn der primäre Controller für eine LAP nicht konfiguriert ist oder eine neue, sofort einsatzbereite LAP verwendet wird, sendet er LWAPP-Erkennungsanfragen an alle erreichbaren Controller. Wenn die Erkennungsanforderungen einen Controller erreichen, der mit seiner vollen AP-Kapazität ausgeführt wird, erhält der WLC die Anforderungen und stellt fest, dass er die maximale AP-Kapazität erreicht, antwortet nicht auf die Anforderung und gibt diesen Fehler weiter.
Antwort: Weitere Informationen zu den LWAPP-Systemmeldungen finden Sie im Cisco Wireless LAN Controller System Message Guide 4.2.
Antwort: WLC kann kein Paket für benutzerdefinierte Webauthentifizierung/Passthrough laden, wenn eine der gebündelten Dateien mehr als 30 Zeichen im Dateinamen enthält, der die Dateierweiterung enthält. Das angepasste Web-Authentifizierungspaket darf für Dateinamen maximal 30 Zeichen lang sein. Stellen Sie sicher, dass die Dateinamen im Paket nicht größer als 30 Zeichen sind.
Antwort: Die fehlenden AP-Gruppen können angezeigt werden, wenn Sie den Befehl show wlan ap-groups verwenden.
Versuchen Sie, der Liste eine weitere AP-Gruppe hinzuzufügen. Beispielsweise wurden 51 AP-Gruppen bereitgestellt, und die 51. fehlen (Seite 3). Fügen Sie die 52. Gruppe hinzu, und Seite 3 sollte in der Web-GUI angezeigt werden.
Um dieses Problem zu beheben, aktualisieren Sie auf WLC Version 7.0.220.0.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
2.0 |
09-Feb-2023 |
Aktualisiertes Format, korrigierter CCW-Status. Rezertifizierung. |
1.0 |
23-Apr-2007 |
Erstveröffentlichung |