Présentation de la commande debug client sur des contrôleurs de réseau local sans fil (WLC)
Contenu
Introduction
Ce document fournit les informations détaillées au sujet de la sortie de commande de client de débogage sur les contrôleurs de réseau local sans fil.
Ce document couvre ces thèmes :
-
Comment un client sans fil est manipulé
-
Dépannage des questions d'association de base et d'authentification
La sortie à analyser couvre le scénario pour un réseau principal pré-partagé WPA (WPA-PSK).
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
-
Comment configurer le contrôleur LAN Sans fil (WLC) et le point d'accès léger (LAP) pour le fonctionnement de base
-
Point d'accès léger Protocol (LWAPP) et méthodes de sécurité sans fil
-
Comment l'authentification de 802.11 et le travail de processus d'association
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
-
Gamme Cisco 2000/2100/4400 WLC qui exécute les micrologiciels 4.1 ou 4.2
-
Points d'accès basés sur LWAPP
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Client de debug
La commande mettent au point le client <MACADDRESS > est une macro-instruction qui active huit commandes de débogage, plus un filtre sur l'adresse MAC fournie, ainsi seulement les messages qui contiennent l'adresse MAC spécifiée sont affichés. Les huit commandes de débogage affichent les détails les plus importants sur l'association et l'authentification de client. Le filtre aide avec des situations où il y a de plusieurs clients sans fil. Des situations comme quand trop de sortie est générée ou le contrôleur est surchargées quand le débogage est activé sans filtre.
Détails de couvertures des informations collectées les importants au sujet de l'association et de l'authentification de client (à deux exceptions mentionnées plus tard dans ce document).
Les commandes qui sont activées sont affichées dans cette sortie :
(Cisco Controller) >show debug MAC address ................................ 00:00:00:00:00:00 Debug Flags Enabled: dhcp packet enabled. dot11 mobile enabled. dot11 state enabled. dot1x events enabled. dot1x states enabled. pem events enabled. pem state enabled.
Négociation d'adresse de couverture de ces commandes, ordinateur d'état de client de 802.11, authentification de 802.1x, module d'application de stratégie (PEM), et négociation d'adresse (DHCP).
Variations de client de debug
Pour la plupart des scénarios, les <MACAddress > la commande de client de débogage est assez pour obtenir les informations requises. Cependant, voici deux importantes situations où l'élimination des imperfections supplémentaire est nécessaire :
-
Mobilité (itinérance de client entre les contrôleurs)
Mobilité
Dans cette situation, la mobilité met au point le besoin d'être activé après que les <MACAddress > la commande de client de débogage ait été introduits afin d'obtenir les informations complémentaires sur l'interaction de protocole de mobilité entre les contrôleurs.
Note: Des détails sur cette sortie seront couverts dans de futurs documents.
Afin d'activer la mobilité met au point, utilise les <MACAddress de client de débogage >, et puis utilise la commande d'enable de transfert de debug mobility :
(Cisco Controller) >debug client 00:00:00:00:00:00 (Cisco Controller) >debug mobility handoff enable (Cisco Controller) >show debug MAC address ................................ 00:00:00:00:00:00 Debug Flags Enabled: dhcp packet enabled. dot11 mobile enabled. dot11 state enabled dot1x events enabled. dot1x states enabled. mobility handoff enabled. pem events enabled. pem state enabled.
Dépannage d'authentification EAP
Afin de dépanner l'interaction entre le WLC et le serveur d'authentification (RADIUS externe ou serveur interne d'EAP), utilisez le debug aaa de commande tout l'enable, qui affiche les détails exigés. Cette commande devrait être utilisée après que les <MACAddress > la commande de client de débogage et peut être combinée avec d'autres commandes de débogage comme nécessaire (par exemple, transfert).
(Cisco Controller) >debug client 00:00:00:00:00:00 (Cisco Controller) >debug aaa all enable (Cisco Controller) >show debug MAC address ................................ 00:00:00:00:00:00 Debug Flags Enabled: aaa detail enabled. aaa events enabled. aaa packet enabled. aaa packet enabled. aaa ldap enabled. aaa local-auth db enabled. aaa local-auth eap framework errors enabled. aaa local-auth eap framework events enabled. aaa local-auth eap framework packets enabled. aaa local-auth eap framework state machine enabled. aaa local-auth eap method errors enabled. aaa local-auth eap method events enabled. aaa local-auth eap method packets enabled. aaa local-auth eap method state machine enabled. aaa local-auth shim enabled. aaa tacacs enabled. dhcp packet enabled. dot11 mobile enabled. dot11 state enabled dot1x events enabled dot1x states enabled. mobility handoff enabled. pem events enabled. pem state enabled.
Connexion client
Aux fins de ce document, la connexion client est le processus pour qu'un client sans fil traverse ces étapes :
Section de 802.11
-
Sondage, pour trouver AP valide pour s'associer.
-
Authentification : Peut être ouvert (null) ou a partagé. Normalement, Open est sélectionné.
-
Association : Demande des services de données à AP.
Section des stratégies L2
-
Aucun ; PSK ou authentification EAP a lieu selon la configuration.
-
Négociation principale, si une méthode de cryptage est sélectionnée.
Section des stratégies L3
-
Autoapprentissage d'adresse.
-
Authentification Web, si sélectionné.
Note: Ces étapes représentent un sous-ensemble ou un résumé du plein processus. Ce document décrit un scénario simplifié qui couvre le 802.11 et les stratégies L2 et utilise le WPA-PSK, plus l'autoapprentissage d'adresse. Aucun AAA ou stratégie L3 externe pour l'authentification ne sont utilisés.
Processus de contrôleur
Dans chaque section, le contrôleur emploie des processus séparés afin de maintenir l'état du client à chaque moment. Les processus interagissent entre eux pour s'assurer que le client est ajouté à la table de connexion (par stratégies de sécurité configurées). Afin de comprendre les étapes de connexion client au contrôleur, voici un petit résumé des processus les plus appropriés :
-
Module d'application de stratégie (PEM) — Contrôle l'état de client et le force par chacune des stratégies de sécurité sur la configuration WLAN.
-
Fonctions de Point d'accès (APF) — Fondamentalement, l'ordinateur d'état de 802.11.
-
Dot1x — Implémente l'ordinateur d'état pour le 802.1x, l'authentification PSK, et la clé manipulant pour les clients sans fil.
-
Mobilité — Dépiste l'interaction avec d'autres contrôleurs sur le même groupe de mobilité.
-
Couche de transformation de données (DTL) — Se repose entre les composants logiciels et l'accélération de matériel réseau (NPU) ; contrôle les informations d'ARP.
Module d'application de stratégie (PEM)
Basé sur la configuration WLAN, le client traverse une gamme d'étapes. Le PEM s'assure que ceci est fait pour qu'il soit conforme aux stratégies de sécurité L2 et L3 exigées.
Voici un sous-ensemble des états PEM appropriés pour l'analyse d'un client mettent au point :
-
DÉBUT — État initial pour la nouvelle entrée de client.
-
AUTHCHECK — Le WLAN a une stratégie d'authentification L2 à imposer.
-
8021X_REQD — Le client doit se terminer l'authentification de 802.1x.
-
L2AUTHCOMPLETE — Le client a avec succès terminé la stratégie L2. Le processus peut maintenant poursuivre aux stratégies L3 (autoapprentissage d'adresse, Web authentique, etc.). Le contrôleur envoie ici l'annonce de mobilité pour apprendre les informations L3 d'autres contrôleurs si c'est un client d'itinérance au même groupe de mobilité.
-
WEP_REQD — Le client doit se terminer l'authentification WEP.
-
DHCP_REQD — Le contrôleur doit apprendre l'adresse L3 du client, qui est fait par demande d'ARP, requête DHCP ou renouvelle, ou par les informations apprises de l'autre contrôleur au groupe de mobilité. Si le DHCP exigé est marqué sur le WLAN, seulement les informations DHCP ou de mobilité sont utilisées.
-
WEBAUTH_REQD — Le client doit se terminer l'authentification Web. (Stratégie L3)
-
EXÉCUTEZ-VOUS — Le client s'est avec succès terminé les stratégies L2 et L3 priées et peut maintenant transmettre le trafic au réseau.
Cette figure affiche un ordinateur d'état simplifié PEM avec les transitions de client jusqu'à ce qu'elle atteigne l'état de PASSAGE, où le client peut maintenant envoyer le trafic au réseau :
Note: Cette figure ne couvre pas tous les transitions et états possibles. Quelques étapes intermédiaires ont été retirées pour la clarté.
Expédition du trafic de client
Entre l'état de DÉBUT et avant l'état de PASSAGE final, le trafic de client n'est pas expédié au réseau, mais est passé à la CPU principale sur le contrôleur pour l'analyse. Les informations qui sont expédiées dépendent de l'état et des stratégies en place ; par exemple, si le 802.1x est activé, le trafic EAPOL est expédié à la CPU. Un autre exemple est si le Web authentique est utilisé, alors le HTTP et les DN est permis et intercepté par la CPU pour faire la redirection de Web et pour obtenir des qualifications d'authentification client.
Quand le client atteint l'état de PASSAGE, les informations de client sont envoyées au NPU afin d'activer la commutation de FastPath, qui fait une transmission de câble-débit du trafic d'utilisateur au client VLAN et libère la CPU centrale des tâches d'expédition de données d'utilisateur.
Le trafic qui est expédié dépend du type de client qui est appliqué au NPU. Cette table décrit les types les plus appropriés :
| Type | Description |
|---|---|
| 1 | Expédition normal du trafic de client. |
| 9 | IP apprenant l'état. Un paquet de ce client est envoyé à la CPU afin d'apprendre l'adresse IP utilisée. |
| 2 | Intercommunication d'ACL. Utilisé quand le WLAN est un ACL configuré pour informer le NPU. |
Le Point d'accès fonctionne (l'APF)
Ce processus manipule l'état du client par l'état d'ordinateur de 802.11 et interagit avec le code de mobilité afin de valider les différents scénarios d'itinérance. Ce document ne couvre pas les détails de mobilité ou ses états.
Le tableau suivant affiche les déclarer de client plus appropriés qui sont écrits dedans pendant une association de client au contrôleur :
| Nom | Description |
|---|---|
| Inactif | Nouveau client ou état provisoire sur quelques situations. |
| AAA en suspens | Client attendant l'authentification d'adresse MAC. |
| Authentifié | Ouvrez l'état réussi ou intermédiaire d'authentification dans certaines situations. |
| Associé | Processus authentiques authentiques et ouverts de MAC avec succès passé de client. |
| Dissocié | Le client a envoyé la dissassociation/deauthentication, ou le temporisateur d'association a expiré. |
| Pour supprimer | Client marqué pour être supprimé (normalement après temporisateur d'exclusion a expiré). |
| Sonde | Demande de sonde reçue pour le nouveau client. |
| Exclu/mis sur la liste noire | Le client a été marqué en tant qu'exclu. Normalement associé aux stratégies WPS. |
| Non valide | Erreur sur l'état de client. |
Cette figure représente une transition d'ordinateur d'état et affiche seulement les la plupart des états appropriés et transitions :
authentification de 802.1x (dot1x)
Le processus de dot1x est responsable de l'authentification et de la gestion des clés de 802.1x pour le client. Ceci signifie que, même sur les WLAN qui n'ont pas une stratégie d'EAP exigeant le 802.1x, le dot1x participe pour manipuler la création et la négociation principales avec le client et également pour la manipulation cachée de clé (PMK ou CCKM).
Cet ordinateur d'état affiche les pleines transitions de 802.1x :
Analyse de client de debug
APF Process
Wed Oct 31 10:46:13 2007: 00:1b:77:42:07:69 Adding mobile on LWAPP AP
00:1c:0j:ca:5f:c0(0)
!--- A new station is received. After validating type, it is added to the !--- AP that received it. This can happen both on processing association !--- request or probe requests
Wed Oct 31 10:46:13 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 23) in 5 seconds
!--- Sets an expiration timer for this entry in case it does not progress !--- beyond probe status. 5 Seconds corresponds to Probe Timeout. This message !--- might appear with other time values since, during client processing, !--- other functions might set different timeouts depending on state.
Wed Oct 31 10:46:13 2007: 00:1b:77:42:07:69 apfProcessProbeReq
(apf_80211.c:4057) Changing state for mobile 00:1b:77:42:07:69 on AP
00:1c:0j:ca:5f:c0 from Idle to Probe
!--- APF state machine is updated.
Wed Oct 31 10:46:13 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
!--- New Probe request update sent AP about client. IMPORTANT: !--- Access points do not forward all probe requests to the controller; they !--- summarize per time interval (by default 500 msec). This information is !--- used later by location and load balancing processes.
Wed Oct 31 10:46:14 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
!--- New Probe request update sent AP about client.
Wed Oct 31 10:46:14 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
!--- New Probe request update sent AP about client.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
!--- New Probe request update sent AP about client.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Association received from
mobile on AP 00:1c:0j:ca:5f:c0
!--- Access point reports an association request from the client. !--- When the process reaches this point, the client is not excluded and not !--- in mobility intermediate state
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 STA - rates (8): 140 18 152
36 176 72 96 108 0 0 0 0 0 0 0 0
!--- Controller saves the client supported rates into its connection table. !--- Units are values of 500 kbps, basic (mandatory) rates have the Most Significant bit (MSb) set. !--- The above would be 6mbps basic, 9, 12 basic, 18, 24 basic, 36, 48, 54
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Processing WPA IE type 221,
length 24 for mobile 00:1b:77:42:07:69
!--- Controller validates the 802.11i security information element.
PEM Process
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 0.0.0.0 START (0) Deleted mobile
LWAPP rule on AP [00:1c:0j:ca:5f:c0]
!--- As the client requests new association, APF requests to PEM to delete the !--- client state and remove any traffic forwarding rules that it could have.
APF Process
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Updated location for station old
AP 00:00:00:00:00:00-0, new AP 00:1c:0j:ca:5f:c0-1
!--- APF updates where this client is located. For example, this client is !--- a new addition; therefore, no value exists for the old location.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 0.0.0.0 START (0) Initializing
policy
!--- PEM notifies that this is a new user. Security policies are checked !--- for enforcement.
PEM Process
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 0.0.0.0 START (0) Change state
to AUTHCHECK (2) last state AUTHCHECK (2)
!--- PEM marks as authentication check needed.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 0.0.0.0 AUTHCHECK (2) Change
state to 8021X_REQD (3) last state 8021X_REQD
!--- After the WLAN configuration is checked, the client will need either !--- 802.1x or PSK authentication
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 0.0.0.0 8021X_REQD (3) Plumbed
mobile LWAPP rule on AP 00:1c:0j:ca:5f:c0
!--- PEM notifies the LWAPP component to add the new client on the AP with !--- a list of negotiated capabilities, rates, Qos, etc.
APF Process
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 apfPemAddUser2 (apf_policy.c:209)
Changing state for mobile 00:1b:77:42:07:69 on AP 00:1c:0j:ca:5f:c0 from
Probe to Associated
!--- APF notifies that client has been moved successfully into associated !--- state.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Stopping deletion of Mobile
Station: (callerId: 48)
!--- The expiration timer for client is removed, as now the session timeout !--- is taking place. This is also part of the above notification !--- (internal code callerId: 48).
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Sending Assoc Response to
station on BSSID 00:1c:0j:ca:5f:c0 (status 0)
!--- APF builds and sends the association response to client.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 apfProcessAssocReq
(apf_80211.c:3838) Changing state for mobile 00:1b:77:42:07:69 on AP
00:1c:0j:ca:5f:c0 from Associated to Associated
!--- The association response was sent successfully; now APF keeps the !--- client in associated state and sets the association timestamp on this point.
Dot1x Process
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Creating a new PMK Cache Entry
for station 00:1b:77:42:07:69 (RSN 0)
!--- APF calls Dot1x to allocate a new PMK cached entry for the client. !--- RSN is disabled (zero value).
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Initiating WPA PSK to mobile
00:1b:77:42:07:69
!--- Dot1x signals a new WPA or WPA2 PSK exchange with mobile.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 dot1x - moving mobile
00:1b:77:42:07:69 into
Force Auth state
!--- As no EAPOL authentication takes place, the client port is marked as !--- forced Auth. Dot1x performs key negotiation with PSK clients only.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Skipping EAP-Success to mobile
00:1b:77:42:07:69
!--- For PSK, CCKM or RSN, the EAP success is not sent to client, as there !--- was no EAPOL authentication taking place.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Sending EAPOL-Key Message to
mobile
00:1b:77:42:07:69
state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
!--- Dot1x starts the exchange to arrive into PTK. PMK is known, as this !--- is PSK auth. First message is ANonce.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Received EAPOL-Key from mobile
00:1b:77:42:07:69
!--- Message received from client.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Received EAPOL-key in PKT_START
state (message 2) from mobile 00:1b:77:42:07:69
!--- This signals the start of the validation of the second message !--- from client (SNonce+MIC). No errors are shown, so process continues. !--- Potential errors at this point could be: deflection attack (ACK bit !--- not set on key), MIC errors, invalid key type, invalid key length, etc.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Stopping retransmission timer
for mobile 00:1b:77:42:07:69
!--- Dot1x got an answer for message 1, so retransmission timeout is stopped.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Sending EAPOL-Key Message to
mobile 00:1b:77:42:07:69
state PTKINITNEGOTIATING (message 3), replay counter
00.00.00.00.00.00.00.01
!--- Derive PTK; send GTK + MIC.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Received EAPOL-Key from mobile
00:1b:77:42:07:69
!--- Message received from client.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 Received EAPOL-key in
PTKINITNEGOTIATING state (message 4) from mobile 00:1b:77:42:07:69
!--- This signals the start of validation of message 4 (MIC), which !--- means client installed the keys. Potential errors after this message !--- are MIC validation errors, invalid key types, etc.
PEM Process
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 0.0.0.0 8021X_REQD (3) Change
state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
!--- PEM receives notification and signals the state machine to change to L2 !--- authentication completed.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 0.0.0.0 L2AUTHCOMPLETE (4)
Plumbed mobile LWAPP rule on AP 00:1c:0j:ca:5f:c0
!--- PEM pushes client status and keys to AP through LWAPP component.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 0.0.0.0 L2AUTHCOMPLETE (4)
Change state to DHCP_REQD (7) last state DHCP_REQD (7)
!--- PEM sets the client on address learning status.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 0.0.0.0 DHCP_REQD (7)
pemAdvanceState2 4238, Adding TMP rule
!--- PEM signals NPU to allow DHCP/ARP traffic to be inspected by controller !--- for the address learning.
Wed Oct 31 10:46:15 2007: 00:1b:77:42:07:69 0.0.0.0 DHCP_REQD (7)
Adding Fast Path rule
type = Airespace AP - Learn IP address
on AP 00:1c:0j:ca:5f:c0, slot 1, interface = 1, QOS = 0
ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006
!--- Entry is built for client and prepared to be forwarded to NPU. !--- Type is 9 (see the table in the Client Traffic Forwarding section of !--- this document) to allow controller to learn the IP address.
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 0.0.0.0 DHCP_REQD (7)
Successfully plumbed mobile rule (ACL ID 255)
!--- A new rule is successfully sent to internal queue to add the client !--- to the NPU.
Dot1x Process
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 Stopping retransmission timer
for mobile 00:1b:77:42:07:69
!--- Dot1x received message from client.
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 Sending EAPOL-Key Message to
mobile 00:1b:77:42:07:69
state PTKINITDONE (message 5 - group), replay counter
00.00.00.00.00.00.00.02
!--- Group key update prepared for client.
PEM Process
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 0.0.0.0 Added NPU entry of type 9
!--- NPU reports that entry of type 9 is added (learning address state). !--- See the table in the Client Traffic Forwarding section of this document.
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 Sent an XID frame
!--- No address known yet, so the controller sends only XID frame !--- (destination broadcast, source client address, control 0xAF).
Dot1x Process
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 Sent EAPOL-Key M5 for mobile
00:1b:77:42:07:69
!--- Key update sent.
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 Received EAPOL-Key from mobile
00:1b:77:42:07:69
!--- Key received.
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 Received EAPOL-key in
REKEYNEGOTIATING state (message 6) from mobile 00:1b:77:42:07:69
!--- Successfully received group key update.
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 Stopping retransmission timer
for mobile 00:1b:77:42:07:69
!--- Group key timeout is removed.
DHCP Process
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 DHCP received op BOOTREQUEST
(1) (len 308, port 1, encap 0xec03)
!--- First DHCP message received from client.
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 DHCP dropping packet due to
ongoing mobility handshake exchange, (siaddr 0.0.0.0, mobility
state = 'apfMsMmQueryRequested'
PEM Process
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 0.0.0.0 DHCP_REQD (7) mobility
role update request from Unassociated to Local
Peer = 0.0.0.0, Old Anchor = 0.0.0.0, New Anchor = 192.168.100.11
!--- NPU is notified that this controller is the local anchor, so to !--- terminate any previous mobility tunnel. As this is a new client, !--- old address is empty.
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 0.0.0.0 DHCP_REQD (7) State
Update from Mobility-Incomplete to Mobility-Complete, mobility
role=Local
!--- Role change was successful.
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 0.0.0.0 DHCP_REQD (7)
pemAdvanceState2 3934, Adding TMP rule
!--- Adding temporary rule to NPU for address learning now with new mobility !--- role as local controller.
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 0.0.0.0 DHCP_REQD (7)
Replacing Fast Path rule
type = Airespace AP - Learn IP address
on AP 00:1c:0j:ca:5f:c0, slot 1, interface = 1, QOS = 0
ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006
!--- Entry is built.
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 0.0.0.0 DHCP_REQD (7)
Successfully plumbed mobile rule (ACL ID 255)
!--- A new rule is successfully sent to internal queue to add the !--- client to the NPU.
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 0.0.0.0 Added NPU entry of type 9
!--- Client is on address learning state; see the table in the !--- Client Traffic Forwarding section of this document. Now mobility !--- has finished.
Wed Oct 31 10:46:19 2007: 00:1b:77:42:07:69 Sent an XID frame
!--- No address known yet, so controller sends only XID frame (destination !--- broadcast, source client address, control 0xAF).
DHCP Process
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP received op BOOTREQUEST
(1) (len 308, port 1, encap 0xec03)
!--- DHCP request from client.
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP selecting relay 1 -
control block settings:
dhcpServer: 0.0.0.0, dhcpNetmask: 0.0.0.0,
dhcpGateway: 0.0.0.0, dhcpRelay: 0.0.0.0 VLAN: 0
!--- Based on the WLAN configuration, the controller selects the identity to !--- use to relay the DHCP messages.
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP selected relay 1 -
192.168.100.254 (local address 192.168.100.11, gateway 192.168.100.254,
VLAN 100, port 1)
!--- Interface selected.
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP
transmitting DHCP DISCOVER (1)
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP
op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP
xid: 0xd3d3b6e9 (3553867497), secs: 1024, flags: 0
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP
chaddr: 00:1b:77:42:07:69
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP
ciaddr: 0.0.0.0, yiaddr: 0.0.0.0
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP
siaddr: 0.0.0.0, giaddr: 192.168.100.11
!--- Debug parsing of the frame sent. The most important fields are included.
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP sending REQUEST to
192.168.100.254 (len 350, port 1, vlan 100)
!--- DHCP request forwarded.
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP selecting relay 2 -
control block settings:
dhcpServer: 0.0.0.0, dhcpNetmask: 0.0.0.0,
dhcpGateway: 0.0.0.0, dhcpRelay: 192.168.100.11 VLAN: 100
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP selected relay 2 ? NONE
!--- No secondary server configured, so no additional DHCP request are !--- prepared (configuration dependant).
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP received op BOOTREPLY (2)
(len 308, port 1, encap 0xec00)
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP setting server from OFFER
(server 192.168.100.254, yiaddr 192.168.100.105)
!--- DHCP received for a known server. Controller discards any offer not on !--- the DHCP server list for the WLAN/Interface.
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP sending REPLY to STA
(len 416, port 1, vlan 100)
!--- After building the DHCP reply for client, it is sent to AP for forwarding.
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP transmitting DHCP OFFER (2)
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP
op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP
xid: 0xd3d3b6e9 (3553867497), secs: 0, flags: 0
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP
chaddr: 00:1b:77:42:07:69
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP
ciaddr: 0.0.0.0, yiaddr: 192.168.100.105
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP
siaddr: 0.0.0.0, giaddr: 0.0.0.0
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP
server id: 1.1.1.1 rcvd server id: 192.168.100.254
!--- Debug parsing of the frame sent. The most important fields are included.
Wed Oct 31 10:46:21 2007: 00:1b:77:42:07:69 DHCP received op BOOTREQUEST (1)
(len 316, port 1, encap 0xec03)
!--- Client answers
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP selecting relay 1 -
control block settings:
dhcpServer: 192.168.100.254, dhcpNetmask: 0.0.0.0,
dhcpGateway: 0.0.0.0, dhcpRelay: 192.168.100.11 VLAN: 100
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP selected relay 1 -
192.168.100.254 (local address 192.168.100.11, gateway 192.168.100.254,
VLAN 100, port 1)
!--- DHCP relay selected per WLAN config
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP transmitting DHCP REQUEST (3)
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP
op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP
xid: 0xd3d3b6e9 (3553867497), secs: 1024, flags: 0
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP
chaddr: 00:1b:77:42:07:69
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP
ciaddr: 0.0.0.0, yiaddr: 0.0.0.0
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP
siaddr: 0.0.0.0, giaddr: 192.168.100.11
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP
requested ip: 192.168.100.105
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP
server id: 192.168.100.254 rcvd server id: 1.1.1.1
!--- Debug parsing of the frame sent. The most important fields are included.
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP sending REQUEST to
192.168.100.254 (len 358, port 1, vlan 100)
!--- Request sent to server.
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP selecting relay 2 -
control block settings:
dhcpServer: 192.168.100.254, dhcpNetmask: 0.0.0.0,
dhcpGateway: 0.0.0.0, dhcpRelay: 192.168.100.11 VLAN: 100
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP selected relay 2 ? NONE
!--- No other DHCP server configured.
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP received op BOOTREPLY
(2) (len 308, port 1, encap 0xec00)
!--- Server sends a DHCP reply, most probably an ACK (see below).
PEM Process
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 192.168.100.105 DHCP_REQD
(7) Change state to RUN (20) last state RUN (20)
!--- DHCP negotiation successful, address is now known, and client !--- is moved to RUN status.
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 192.168.100.105 RUN (20)
Reached PLUMBFASTPATH: from line 4699
!--- No L3 security; client entry is sent to NPU.
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 192.168.100.105 RUN (20)
Replacing Fast Path rule
type = Airespace AP Client
on AP 00:1c:0j:ca:5f:c0, slot 1, interface = 1, QOS = 0
ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 192.168.100.105 RUN (20)
Successfully plumbed mobile rule (ACL ID 255)
DHCP Process
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 Assigning Address
192.168.100.105 to mobile
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP sending REPLY to STA
(len 416, port 1, vlan 100)
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP transmitting DHCP ACK (5)
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP
op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP
xid: 0xd3d3b6e9 (3553867497), secs: 0, flags: 0
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP
chaddr: 00:1b:77:42:07:69
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP
ciaddr: 0.0.0.0, yiaddr: 192.168.100.105
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP
siaddr: 0.0.0.0, giaddr: 0.0.0.0
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 DHCP
server id: 1.1.1.1 rcvd server id: 192.168.100.254
PEM Process
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 192.168.100.105 Added NPU
entry of type 1
!--- Client is now successfully associated to controller. !--- Type is 1; see the table in the Client Traffic Forwarding !--- section of this document.
Wed Oct 31 10:46:25 2007: 00:1b:77:42:07:69 Sending a gratuitous ARP for
192.168.100.105, VLAN Id 100
!--- As address is known, gratuitous ARP is sent to notify.
Dépannage des exemples
Configuration fausse de chiffrement de client
Cet exemple affiche un client avec différentes capacités à AP. Le client sonde pour le SSID, mais pendant que la demande de sonde affiche quelques paramètres non pris en charge, le client ne poursuit jamais aux phases d'authentification/association. En particulier, le problème introduit était une non-concordance entre le client utilisant le WPA, et AP annonçant seulement le support WPA2 :
Wed Oct 31 10:51:37 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 23) in 5 seconds
Wed Oct 31 10:51:37 2007: 00:1b:77:42:07:69 apfProcessProbeReq
(apf_80211.c:4057) Changing state for mobile 00:1b:77:42:07:69 on AP
00:1c:b0:ea:5f:c0 from Idle to Probe
!--- Controller adds the new client, moving into probing status
Wed Oct 31 10:51:37 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
Wed Oct 31 10:51:38 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
Wed Oct 31 10:51:38 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
!--- AP is reporting probe activity every 500 ms as configured
Wed Oct 31 10:51:41 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
Wed Oct 31 10:51:41 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
Wed Oct 31 10:51:41 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
Wed Oct 31 10:51:41 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
Wed Oct 31 10:51:44 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
Wed Oct 31 10:51:44 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
Wed Oct 31 10:51:44 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
Wed Oct 31 10:51:44 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
Wed Oct 31 10:51:49 2007: 00:1b:77:42:07:69 apfMsExpireCallback (apf_ms.c:433)
Expiring Mobile!
Wed Oct 31 10:51:49 2007: 00:1b:77:42:07:69 0.0.0.0 START (0) Deleted mobile
LWAPP rule on AP [00:1c:b0:ea:5f:c0]
Wed Oct 31 10:51:49 2007: 00:1b:77:42:07:69 Deleting mobile on AP
00:1c:b0:ea:5f:c0(0)
!--- After 5 seconds of inactivity, client is deleted, never moved into !--- authentication or association phases.
Clé pré-partagée fausse
Ceci affiche le client essayant d'authentifier par WPA-PSK à l'infrastructure, mais manquer devant mal adapter de la clé pré-partagée entre le client et le contrôleur, résultant sur mettre certain du client sur la liste noire :
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Adding mobile on LWAPP AP
00:1c:b0:ea:5f:c0(0)
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 23) in 5 seconds
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 apfProcessProbeReq (apf_80211.c:
4057) Changing state for mobile 00:1b:77:42:07:69 on AP 00:1c:b0:ea:5f:c0
from Idle to Probe
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 24) in 5 seconds
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Association received from mobile
on AP 00:1c:b0:ea:5f:c0
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 STA - rates (8): 130 132 139 150
12 18 24 36 0 0 0 0 0 0 0 0
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 STA - rates (12): 130 132 139 150
12 18 24 36 48 72 96 108 0 0 0 0
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Processing WPA IE type 221,
length 24 for mobile 00:1b:77:42:07:69
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 0.0.0.0 START (0)
Initializing policy
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 0.0.0.0 START (0) Change state to
AUTHCHECK (2) last state AUTHCHECK (2)
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 0.0.0.0 AUTHCHECK (2) Change
state to 8021X_REQD (3) last state 8021X_REQD (3)
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 0.0.0.0 8021X_REQD (3) Plumbed
mobile LWAPP rule on AP 00:1c:b0:ea:5f:c0
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 apfPemAddUser2 (apf_policy.c:209)
Changing state for mobile 00:1b:77:42:07:69 on AP 00:1c:b0:ea:5f:c0 from
Probe to Associated
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Stopping deletion of Mobile
Station: (callerId: 48)
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Sending Assoc Response to station
on BSSID 00:1c:b0:ea:5f:c0 (status 0)
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 apfProcessAssocReq (apf_80211.c:
3838) Changing state for mobile 00:1b:77:42:07:69 on AP 00:1c:b0:ea:5f:c0
from Associated to Associated
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Creating a new PMK Cache Entry
for station 00:1b:77:42:07:69 (RSN 0)
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Initiating WPA PSK to mobile
00:1b:77:42:07:69
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 dot1x - moving mobile
00:1b:77:42:07:69 into Force Auth state
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Skipping EAP-Success to mobile
00:1b:77:42:07:69
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Sending EAPOL-Key Message to
mobile 00:1b:77:42:07:69
state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Received EAPOL-Key from mobile
00:1b:77:42:07:69
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Received EAPOL-key in PKT_START
state (message 2) from mobile 00:1b:77:42:07:69
Wed Oct 31 10:55:55 2007: 00:1b:77:42:07:69 Received EAPOL-key M2 with
invalid MIC from mobile 00:1b:77:42:07:69
Wed Oct 31 10:55:56 2007: 00:1b:77:42:07:69 802.1x 'timeoutEvt' Timer expired
for station 00:1b:77:42:07:69
Wed Oct 31 10:55:56 2007: 00:1b:77:42:07:69 Retransmit 1 of EAPOL-Key M1
(length 99) for mobile 00:1b:77:42:07:69
Wed Oct 31 10:55:56 2007: 00:1b:77:42:07:69 Received EAPOL-Key from mobile
00:1b:77:42:07:69
Wed Oct 31 10:55:56 2007: 00:1b:77:42:07:69 Received EAPOL-key in PKT_START
state (message 2) from mobile 00:1b:77:42:07:69
Wed Oct 31 10:55:56 2007: 00:1b:77:42:07:69 Received EAPOL-key M2 with invalid
MIC from mobile 00:1b:77:42:07:69
!--- MIC error due to wrong preshared key
Wed Oct 31 10:55:57 2007: 00:1b:77:42:07:69 802.1x 'timeoutEvt' Timer expired
for station 00:1b:77:42:07:69
Wed Oct 31 10:55:57 2007: 00:1b:77:42:07:69 Retransmit 2 of EAPOL-Key M1
(length 99) for mobile 00:1b:77:42:07:69
Wed Oct 31 10:55:57 2007: 00:1b:77:42:07:69 Received EAPOL-Key from mobile
00:1b:77:42:07:69
Wed Oct 31 10:55:57 2007: 00:1b:77:42:07:69 Received EAPOL-key in PKT_START
state (message 2) from mobile 00:1b:77:42:07:69
Wed Oct 31 10:55:57 2007: 00:1b:77:42:07:69 Received EAPOL-key M2 with invalid
MIC from mobile 00:1b:77:42:07:69
Wed Oct 31 10:55:58 2007: 00:1b:77:42:07:69 802.1x 'timeoutEvt' Timer expired
for station 00:1b:77:42:07:69
Wed Oct 31 10:55:58 2007: 00:1b:77:42:07:69 Retransmit failure for EAPOL-Key
M1 to mobile 00:1b:77:42:07:69, retransmit count 3, mscb deauth count 0
Wed Oct 31 10:55:58 2007: 00:1b:77:42:07:69 Sent Deauthenticate to mobile on
BSSID 00:1c:b0:ea:5f:c0 slot 0(caller 1x_ptsm.c:462)
!--- Client is deauthenticated, after three retries
!--- The process is repeated three times, until client is blacklisted
Wed Oct 31 10:56:10 2007: 00:1b:77:42:07:69 Blacklisting (if enabled) mobile
00:1b:77:42:07:69
Wed Oct 31 10:56:10 2007: 00:1b:77:42:07:69 apfBlacklistMobileStationEntry2
(apf_ms.c:3560) Changing state for mobile 00:1b:77:42:07:69 on AP
00:1c:b0:ea:5f:c0 from Associated to Exclusion-list (1)
Wed Oct 31 10:56:10 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 44) in 10 seconds
Wed Oct 31 10:56:10 2007: 00:1b:77:42:07:69 0.0.0.0 8021X_REQD (3) Change
state to START (0) last state 8021X_REQD (3)
Wed Oct 31 10:56:10 2007: 00:1b:77:42:07:69 0.0.0.0 START (0) Reached FAILURE:
from line 3522
Wed Oct 31 10:56:10 2007: 00:1b:77:42:07:69 Scheduling deletion of Mobile
Station: (callerId: 9) in 10 seconds
Informations connexes
- Point d'accès léger - Forum Aux Questions
- Dépannage du contrôleur LAN sans fil (WLC) - FAQ
- Module du contrôleur LAN sans fil Cisco - Questions/réponses
- Contrôleur de réseau local sans fil (WLC) - Forum Aux Questions
- Gestion des ressources radio sous des réseaux sans fil unifiés
- Assistance sur la technologie du LAN sans fil (WLAN)
- Support et documentation techniques - Cisco Systems
CommentairesLaissez-nous vous aider
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)