Pour les partenaires
Vous êtes déjà partenaire?
ConnexionAvez-vous un compte?
Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit différents scénarios de configuration de la mobilité qui couvrent les topologies entre les contrôleurs de réseau local sans fil (WLC) Catalyst 9800 et les WLC AireOS.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Note:
1) Si vos WLC se trouvent dans des sous-réseaux différents, vous devez vous assurer que le port UDP 16666 et 1667 est ouvert entre eux.
2) Il est recommandé que les deux WLC 9800 exécutent la même version, de sorte que les clients qui circulent en itinérance bénéficient d'une expérience cohérente dans les scénarios d'itinérance de couche 3 et d'ancrage invité.
Voici un exemple de base pour configurer la mobilité sur deux contrôleurs 9800. Ceci est couramment utilisé pour l'accès invité (ancrage), ou pour permettre au client de se déplacer entre les contrôleurs, afin de préserver l'identité du client.
Lorsque vous configurez la mobilité sur le C9800, la première chose à choisir est le nom du groupe de mobilité. Le nom du groupe de mobilité prérempli est par défaut, mais vous pouvez le personnaliser à la valeur souhaitée. N'oubliez pas que vous devez configurer le même nom de groupe de mobilité sur tous les contrôleurs, lorsque l'itinérance de couche2 rapide telle que Fast Transition (FT) ou Cisco Centralized Key Management (CCKM) est utilisée. Par défaut, l'adresse MAC Ethernet de base du châssis telle qu'elle apparaît dans la commande show version est reflétée sur l'interface utilisateur graphique pour l'adresse MAC de mobilité. Sur l'interface de ligne de commande, par défaut, le mac de mobilité est 0000.000.000 comme le montre show run all | inc mobilité mac-address. Dans le cas d'un commutateur 9800 associé à la commutation avec état haute disponibilité (HA), si cette configuration est laissée par défaut et que le mac du châssis est utilisé pour former un tunnel de mobilité, lorsque le basculement se produit, le châssis actif et, par conséquent, le tunnel de mobilité tombe en panne. Par conséquent, il est obligatoire de configurer un mac de mobilité pour la paire C9800 HA.
Étape 1 : Sur l'interface utilisateur graphique, accédez à Configuration > Wireless > Mobility > Global Configuration.
Via l'interface de ligne de commande :
# config t # wireless mobility mac-address <AAAA.BBBB.CCCC>
# wireless mobility group name <mobility-group-name>
Pour les deux WLC 9800, accédez à Configuration > Wireless > Mobility > Global Configurationet prenez note de son nom de groupe de mobilité et de son adresse MAC de mobilité.
Via l'interface de ligne de commande :
#show wireless mobility summary Mobility Summary Wireless Management VLAN: 2652
Wireless Management IP Address: 172.16.51.88
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 48
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: 001e.e67e.75ff
Mobility Domain Identifier: 0x34ac
Accédez à Configuration > Wireless Mobility > Peer Configuration et complétez les informations du contrôleur homologue. Faites de même pour les deux WLC 9800.
Via l'interface utilisateur graphique :
Via l'interface de ligne de commande :
# config t # wireless mobility group member mac-address <peer-mac-address> ip <peer-ip-address> group <group-name> [ data-link-encryption ]
Note: Vous pouvez éventuellement activer le chiffrement de liaison de données.
Ce scénario est généralement appliqué aux déploiements de type « friches » ou lors de la migration du contrôleur, où nous divisons le réseau dans une zone de points d'accès contrôlée par un contrôleur AireOS, et un autre par un 9800. Il est conseillé que les points d'accès soient distribués entre les contrôleurs par zone physique ou RF, de sorte que les clients ne circulent qu'entre les contrôleurs lorsqu'ils se déplacent. Évitez les scénarios sel et poivre. En option, cette topologie de mobilité peut également être utilisée pour l'ancrage invité, où 9800 agit en tant qu'étranger et un AireOS en tant que contrôleur d'ancrage.
Comme précédemment, si vos contrôleurs 9800 sont en haute disponibilité, assurez-vous d'avoir configuré l'adresse MAC de mobilité.
Via l'interface utilisateur graphique :
Accédez à Configuration > Wireless > Mobility > Global Configuration et prenez note du nom du groupe de mobilité et de l'adresse MAC de mobilité.
Via l'interface de ligne de commande :
#show wireless mobility summary Mobility Summary Wireless Management VLAN: 2652
Wireless Management IP Address: 172.16.51.88
Wireless Management IPv6 Address:
Mobility Control Message DSCP Value: 48
Mobility Keepalive Interval/Count: 10/3
Mobility Group Name: default
Mobility Multicast Ipv4 address: 0.0.0.0
Mobility Multicast Ipv6 address: ::
Mobility MAC Address: 001e.e67e.75ff
Mobility Domain Identifier: 0x34ac
# show wireless management trustpoint
Trustpoint Name : Jay-9800_WLC_TP
Certificate Info : Available
Certificate Type : SSC
Certificate Hash : d7bde0898799dbfeffd4859108727d3372d3a63d
Private key Info : Available
FIPS suitability : Not Applicable
Via l'interface utilisateur graphique :
Accédez à CONTROLLER > Mobility Management > Mobility Groups > New.
Entrez les valeurs et choisissez Appliquer.
Note: Le hachage n'est requis que dans le cas où le 9800 utilise un certificat auto-signé tel que le C9800-CL. Les appliances matérielles possèdent un certificat SUDI et n'ont pas besoin de hachage, par exemple 9800-40, 9800-L, etc.
Via l'interface de ligne de commande :
>config mobility group member add <9800 mac-address> <9800 WLC-IP> <group-name> encrypt enable
>config mobility group member hash <9800 WLC-IP> <9800 WLC-Hash>
>config mobility group member data-dtls <9800 mac-address> disable
Via l'interface utilisateur graphique :
Connectez-vous à l'interface utilisateur graphique d'AireOS et accédez à CONTROLLER > Mobility Management > Mobility Groups et prenez note de l'adresse MAC, de l'adresse IP et du nom du groupe.
Via l'interface de ligne de commande :
>show mobility summary Mobility Protocol Port........................... 16666 Default Mobility Domain.......................... TEST Multicast Mode .................................. Disabled Mobility Domain ID for 802.11r................... 0x6ef9 Mobility Keepalive Interval...................... 10 Mobility Keepalive Count......................... 3 Mobility Group Members Configured................ 2 Mobility Control Message DSCP Value.............. 48 Controllers configured in the Mobility Group MAC Address IP Address Group Name Multicast IP Status 08:96:ad:ac:3b:8f 10.88.173.72 TEST 0.0.0.0 Up
Via l'interface utilisateur graphique :
Accédez à Configuration > Wireless > Mobility > Peer Configuration > Add.
Entrez les informations du WLC AireOS.
Note: Sur le WLC 9800, le cryptage du plan de contrôle est toujours activé, ce qui signifie que vous devez avoir la mobilité sécurisée activée côté AireOS. Cependant, le chiffrement de liaison de données est facultatif. Si vous l'activez du côté 9800, activez-le sur AireOS avec : config mobility group member data-dtls enable
Via l'interface de ligne de commande :
# config t # wireless mobility group member mac-address <peer-mac-address> ip <ip-address> group <group-name>
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
>show mobility summary Mobility Protocol Port........................... 16666 Default Mobility Domain.......................... TEST Multicast Mode .................................. Disabled Mobility Domain ID for 802.11r................... 0x6ef9 Mobility Keepalive Interval...................... 10 Mobility Keepalive Count......................... 3 Mobility Group Members Configured................ 2 Mobility Control Message DSCP Value.............. 48 Controllers configured in the Mobility Group MAC Address IP Address Group Name Multicast IP Status 00:1e:e6:7e:75:ff 172.16.51.88 default 0.0.0.0 Up 08:96:ad:ac:3b:8f 10.88.173.72 TEST 0.0.0.0 Up
#show wireless mobility summary Mobility Summary Wireless Management VLAN: 2652 Wireless Management IP Address: 172.16.51.88 Mobility Control Message DSCP Value: 48 Mobility Keepalive Interval/Count: 10/3 Mobility Group Name: mb-kcg Mobility Multicast Ipv4 address: 0.0.0.0 Mobility Multicast Ipv6 address: :: Mobility MAC Address: 001e.e67e.75ff Controllers configured in the Mobility Domain: IP Public Ip Group Name Multicast IPv4 Multicast IPv6 Status PMTU ----------------------------------------------------------------------------------------------------------------------------------------------------------------------- 172.16.51.88 N/A default 0.0.0.0 :: N/A N/A 10.88.173.72 10.88.173.72 TEST 0.0.0.0 :: Up 1385
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. Afin de dépanner l'implémentation du tunnel de mobilité, vous pouvez utiliser ces commandes pour déboguer le processus :
Étape 1. Activez les débogages de mobilité.
debug mobility handoff enable debug mobility error enable debug mobility dtls error enable debug mobility dtls event enable debug mobility pmtu-discovery enable debug mobility config enable debug mobility directory enable
Étape 2. Reproduire la configuration et vérifier le résultat
Exemple de création réussie d'un tunnel de mobilité sur un WLC AirOS.
*capwapPingSocketTask: Feb 07 09:53:38.507: Client initiating connection on 172.16.0.5:16667 <-> 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.507: Sending packet to 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.508: Received DTLS packet from mobility peer 172.16.0.21 bytes: 48 *capwapPingSocketTask: Feb 07 09:53:38.508: mm_dtls2_process_data_rcv_msg:1207 rcvBufLen 48 clr_pkt_len 2048 peer ac100015 *capwapPingSocketTask: Feb 07 09:53:38.508: Record : type=22, epoch=0, seq=0 *capwapPingSocketTask: Feb 07 09:53:38.508: Hndshk : type=3, len=23 seq=0, frag_off=0, frag_len=23 *capwapPingSocketTask: Feb 07 09:53:38.508: Handshake in progress for link 172.16.0.5:16667 <-> 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.508: Sending packet to 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.508: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 48 ! !<--output-omited--> ! *capwapPingSocketTask: Feb 07 09:53:38.511: dtls2_cert_verify_callback: Forcing Certificate validation as success *capwapPingSocketTask: Feb 07 09:53:38.511: Peer certificate verified. *capwapPingSocketTask: Feb 07 09:53:38.511: Handshake in progress for link 172.16.0.5:16667 <-> 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.511: Nothing to send on link 172.16.0.5:16667 <-> 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.511: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 503 *capwapPingSocketTask: Feb 07 09:53:38.511: Received DTLS packet from mobility peer 172.16.0.21 bytes: 56 *capwapPingSocketTask: Feb 07 09:53:38.511: mm_dtls2_process_data_rcv_msg:1207 rcvBufLen 56 clr_pkt_len 2048 peer ac100015 *capwapPingSocketTask: Feb 07 09:53:38.511: Record : type=22, epoch=0, seq=6 *capwapPingSocketTask: Feb 07 09:53:38.511: Hndshk : type=13, len=6 seq=3, frag_off=0, frag_len=6 *capwapPingSocketTask: Feb 07 09:53:38.523: Handshake in progress for link 172.16.0.5:16667 <-> 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.523: Sending packet to 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.524: Sending packet to 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.524: Sending packet to 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.524: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 56 *capwapPingSocketTask: Feb 07 09:53:38.527: Received DTLS packet from mobility peer 172.16.0.21 bytes: 91 *capwapPingSocketTask: Feb 07 09:53:38.527: mm_dtls2_process_data_rcv_msg:1207 rcvBufLen 91 clr_pkt_len 2048 peer ac100015 *capwapPingSocketTask: Feb 07 09:53:38.527: Record : type=20, epoch=0, seq=8 *capwapPingSocketTask: Feb 07 09:53:38.527: Connection established for link 172.16.0.5:16667 <-> 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.527: ciperspec 1 *capwapPingSocketTask: Feb 07 09:53:38.527: Nothing to send on link 172.16.0.5:16667 <-> 172.16.0.21:16667 *capwapPingSocketTask: Feb 07 09:53:38.527: DTLS consumed packet from mobility peer 172.16.0.21 bytes: 91 *mmMobility: Feb 07 09:53:38.527: DTLS Action Result message received *mmMobility: Feb 07 09:53:38.527: Key plumb succeeded *mmMobility: Feb 07 09:53:38.527: mm_dtls2_callback: Connection established with 172.16.0.21:16667 *mmMobility: Feb 07 09:53:38.527: mm_dtls2_db_status_up:895 Connections status up for entry 172.16.0.21:16667 *mmMobility: Feb 07 09:53:38.527: mm_dtls2_callback: DTLS Connection established with 172.16.0.21:16667, Sending update msg to mobility HB
Par défaut, les contrôleurs 9800 consignent en permanence les informations de processus, sans qu'il soit nécessaire de recourir à une procédure de débogage spéciale. Cela permet de se connecter simplement au contrôleur et de récupérer les journaux associés à tout composant sans fil à des fins de dépannage. Les journaux peuvent s'étendre sur plusieurs jours, selon l'occupation du contrôleur. Pour simplifier l'analyse, vous pouvez extraire les journaux avec une plage de temps ou pour les X dernières minutes, l'heure par défaut est définie sur 10 minutes et vous pouvez filtrer par adresse IP ou MAC.
Étape 1. Vérifiez l'heure actuelle du contrôleur afin que vous puissiez suivre les journaux dans le temps remontant au moment où le problème s'est produit.
# show clock
Étape 2. Collectez les journaux du contrôleur, au cas où des informations au niveau de Cisco IOS pourraient être liées au problème.
# show logging
Étape 3. Collectez les traces de niveau de notification toujours présentes pour une adresse spécifique. Vous pouvez utiliser l'adresse IP ou MAC de l'homologue de mobilité pour filtrer.
# show logging profile wireless filter ipv4 to-file bootflash:ra-AAAA.BBBB.CCCC.txt
Cette commande génère des journaux pour les 10 dernières minutes, il est possible d'ajuster cette fois avec la commande show logging profile wireless last 1 heure filter mac AAAA.BBBB.CCCC à bootflash:ra-AAAA.BBBB.CCCC.txt. Vous pouvez afficher le contenu de la session ou copier le fichier sur un serveur TFTP externe.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Si les journaux toujours actifs ne fournissent pas suffisamment d'informations pour savoir ce qui a déclenché un problème lors de la configuration des tunnels, vous pouvez également activer les débogages conditionnels et capturer les traces de Radio Active (RA), ce qui vous donne une activité de processus plus détaillée.
Étape 1. Vérifiez qu'aucune condition de débogage n'est déjà activée.
# show debugging IOSXE Conditional Debug Configs: Conditional Debug Global State: Stop IOSXE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------
Si vous voyez une condition qui n'est pas liée à l'adresse que vous voulez surveiller, désactivez-la.
Pour supprimer une adresse spécifique :
# no debug platform condition feature wireless { mac <aaaa.bbbb.cccc> | ip <a.b.c.d> }
Pour supprimer toutes les conditions (méthode recommandée) :
# clear platform condition all
Étape 2. Ajoutez la condition de débogage pour une adresse que vous voulez surveiller.
# debug platform condition feature wireless ip <a.b.c.d>
Remarque : si vous voulez surveiller plusieurs homologues de mobilité en même temps, vous pouvez le faire. Utilisez la fonction de condition de la plate-forme adebug wireless maccommand par adresse MAC.
Étape 3. Demandez au WLC 9800 de démarrer le contrôle de l'activité d'adresse spécifiée.
# debug platform condition start
Note: La sortie de l'activité de mobilité n'est pas affichée car tout est mis en mémoire tampon en interne pour être collecté ultérieurement.
Étape 4. Reproduisez le problème ou le comportement à surveiller.
Étape 5. Arrêtez les débogages.
# debug platform condition stop
Étape 6. Collectez le résultat de l’activité d’adresse.
# show logging profile wireless filter ipv4 to-file bootflash:ra-AAAA.BBBB.CCCC.txt
Cette commande génère des journaux pour les 10 dernières minutes, il est possible d'ajuster cette fois avec la commande show logging profile wireless last 1 heure filter mac AAAA.BBBB.CCCC à bootflash:ra-AAAA.BBBB.CCCC.txt. Vous pouvez copier le fichier FILENAME.txt sur un serveur externe ou afficher le résultat directement à l'écran.
Copiez le fichier sur un serveur externe :
# copy bootflash:FILENAME.txt tftp://a.b.c.d/ra-FILENAME.txt
Afficher le contenu :
# more bootflash:ra-FILENAME.txt
Étape 7. Si vous n'arrivez toujours pas à trouver la raison d'un échec, collectez le niveau interne des journaux (vous n'avez pas besoin de déboguer à nouveau le client, vous utilisez les journaux qui ont déjà été stockés internes mais collectez une plus grande gamme d'entre eux).
# show logging profile wireless internal filter ipv4 to-file bootflash:raInternal-AAAA.BBBB.CCCC.txt
Vous pouvez copier le fichier FILENAME.txt sur un serveur externe ou afficher le résultat directement à l'écran.
Copiez le fichier sur un serveur externe :
# copy bootflash:FILENAME.txt tftp://a.b.c.d/ra-FILENAME.txt
Afficher le contenu :
# more bootflash:ra-FILENAME.txt
Étape 8. Supprimez les conditions de débogage.
# clear platform condition all
Note: Assurez-vous de toujours supprimer les conditions de débogage après une session de dépannage.
Exemple de création réussie d'un tunnel de mobilité sur un WLC 9800.
2021/09/28 10:20:50.497612 {mobilityd_R0-0}{1}: [errmsg] [26516]: (info): %MM_NODE_LOG-6-MEMBER_ADDED: Adding Mobility member (IP: IP: 172.16.55.28: default)
2021/09/28 10:20:52.595483 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_data of XID (0) to (ipv4: 172.16.55.28 )
2021/09/28 10:20:52.595610 {mobilityd_R0-0}{1}: [mm-pmtu] [26516]: (debug): Peer IP: 172.16.55.28 PMTU size is 1385 and calculated additional header length is 148
2021/09/28 10:20:52.595628 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_ctrl_req of XID (80578) to (ipv4: 172.16.55.28 )
2021/09/28 10:20:52.595686 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive data packet misssed, total missed packet = 1
2021/09/28 10:20:52.595694 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive ctrl packet misssed, total missed packet = 1
2021/09/28 10:21:02.596500 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_data of XID (0) to (ipv4: 172.16.55.28 )
2021/09/28 10:21:02.596598 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive data packet misssed, total missed packet = 2
2021/09/28 10:21:02.598898 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 001e.e68c.5dff Received keepalive_data, sub type: 0 of XID (0) from (ipv4: 172.16.55.28 )
2021/09/28 10:21:12.597912 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_data of XID (0) to (ipv4: 172.16.55.28 )
2021/09/28 10:21:12.598009 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 Data link set state to UP (was DOWN)
2021/09/28 10:21:12.598361 {mobilityd_R0-0}{1}: [errmsg] [26516]: (note): %MM_NODE_LOG-5-KEEP_ALIVE: Mobility Data tunnel to peer IP: 172.16.55.28 changed state to UP
! !<--output-omited--> !
2021/09/28 10:21:22.604098 {mobilityd_R0-0}{1}: [ewlc-infra-evq] [26516]: (debug): DTLS record type: 22, handshake
2021/09/28 10:21:22.604099 {mobilityd_R0-0}{1}: [ewlc-infra-evq] [26516]: (info): DTLS client hello
2021/09/28 10:21:22.611477 {mobilityd_R0-0}{1}: [ewlc-infra-evq] [26516]: (debug): DTLS record type: 22, handshake
2021/09/28 10:21:22.611555 {mobilityd_R0-0}{1}: [ewlc-infra-evq] [26516]: (debug): DTLS record type: 22, handshake
2021/09/28 10:21:22.611608 {mobilityd_R0-0}{1}: [ewlc-infra-evq] [26516]: (debug): DTLS record type: 22, handshake
2021/09/28 10:21:22.611679 {mobilityd_R0-0}{1}: [ewlc-infra-evq] [26516]: (debug): DTLS record type: 22, handshake
2021/09/28 10:21:22.611933 {mobilityd_R0-0}{1}: [mm-dtls] [26516]: (note): Peer IP: 172.16.55.28 Port: 16666, Local IP: 172.16.51.88 Port: 16666 DTLS_SSC_HASH_VERIFY_CB: SSC hash validation success
2021/09/28 10:21:22.612163 {mobilityd_R0-0}{1}: [ewlc-dtls-sessmgr] [26516]: (info): Remote Host: 172.16.55.28[16666] Completed cert verification, status:CERT_VALIDATE_SUCCESS
! !<--output-omited--> !
2021/09/28 10:21:52.603200 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 Control link set state to UP (was DOWN)
2021/09/28 10:21:52.604109 {mobilityd_R0-0}{1}: [errmsg] [26516]: (note): %MM_NODE_LOG-5-KEEP_ALIVE: Mobility Control tunnel to peer IP: 172.16.55.28 changed state to UP
La plupart du temps, il est très utile de vérifier les paquets échangés entre les WLC. Il est particulièrement utile de filtrer les captures avec des listes de contrôle d'accès (ACL) afin de limiter le trafic capturé. Il s'agit d'un modèle de configuration pour les captures incorporées sur l'interface de ligne de commande.
Étape 1. Créez la liste de contrôle d'accès du filtre :
conf t
ip access-list extended <ACL_NAME>
10 permit ip host <WLC_IP_ADDR> host <PEER_WLC_IP_ADDR>
20 permit ip host <PEER_WLC_IP_ADDR>host <WLC_IP_ADDR>
end
Étape 2. Définissez les paramètres de capture :
monitor capture <CAPTURE_NAME> access-list <ACL_NAME> buffer size 10 control-plane both interface <INTERFACE_NAME> both limit duration 300
Note: Sélectionner l'interface de gestion pour le paramètre INTERFACE_NAME
Étape 3. Démarrez la capture :
monitor capture <CAPTURE_NAME> start
Étape 4. Arrêtez la capture :
monitor capture <CAPTURE_NAME> stop
Étape 5. Accédez à Dépannage > Capture de paquets sur l'interface utilisateur graphique pour collecter le fichier de capture de paquets
Les exemples suivants sont des tunnels formés entre 9800 WLC.
L'activation des connexions permanentes et des captures de paquets intégrées fournit des informations supplémentaires pour le dépannage :
2021/09/28 09:54:22.490625 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_ctrl_req of XID (80552) to (ipv4: 172.16.55.28 )
2021/09/28 09:54:22.490652 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive data packet misssed, total missed packet = 29
2021/09/28 09:54:22.490657 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive ctrl packet misssed, total missed packet = 10
2021/09/28 09:54:32.491952 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_data of XID (0) to (ipv4: 172.16.55.28 )
2021/09/28 09:54:32.492127 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive data packet misssed, total missed packet = 30
Les captures de paquets sont utiles pour confirmer le comportement.
Notez que le débogage et le WLC montrent qu'il n'y a pas de réponse aux requêtes ping de contrôle ou de données. Un scénario courant est que la connectivité IP est autorisée, mais les ports 1666 ou 16667 ne sont pas autorisés à communiquer sur le réseau.
Dans ce cas, nous avons confirmé la connectivité pour tous les ports entre les WLC, mais nous remarquons toujours que les keepalives manquent.
L'activation des connexions permanentes et des captures de paquets intégrées fournit des informations supplémentaires pour le dépannage :
2021/09/28 11:34:22.927477 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_data of XID (0) to (ipv4: 172.16.55.28 )
2021/09/28 11:34:22.928025 {mobilityd_R0-0}{1}: [mm-pmtu] [26516]: (debug): Peer IP: 172.16.55.28 PMTU size is 1385 and calculated additional header length is 148
2021/09/28 11:34:22.928043 {mobilityd_R0-0}{1}: [mm-client] [26516]: (debug): MAC: 0000.0000.0000 Sending keepalive_ctrl_req of XID (80704) to (ipv4: 172.16.55.28 )
2021/09/28 11:34:22.928077 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive data packet misssed, total missed packet = 8
2021/09/28 11:34:22.928083 {mobilityd_R0-0}{1}: [mm-keepalive] [26516]: (note): Peer IP: 172.16.55.28 keepalive ctrl packet misssed, total missed packet = 3
Les journaux internes sur l'homologue 172.16.55.28 nous aident à confirmer une non-correspondance de configuration
2021/09/28 17:33:22.963 {mobilityd_R0-0}{1}: [mm-keepalive] [27081]: (ERR): Peer IP: 172.16.51.88 Failed to validate endpoint: Invalid argument
2021/09/28 17:33:22.963 {mobilityd_R0-0}{1}: [errmsg] [27081]: (ERR): %MM_NODE_LOG-3-PING_DROPPED: Drop data ping from IP: 172.16.51.88. Failed to validate endpoint
Incompatibilité de configuration courante : nom de groupe incorrect, non-correspondance sur le chiffrement de liaison de données et adresse MAC de mobilité incorrecte.
Journal de non-correspondance de groupe :
2021/09/28 17:33:22.963 {mobilityd_R0-0}{1}: [errmsg] [27081]: (ERR): %MM_INFRA_LOG-3-MSG_PROC_FAILED_GROUP_NAME_HASH: Pkt group name hash: 82FE070E6E9A37A543CEBED96DB0388F Peer group name hash: 3018E2A00F10176849AC824E0190AC86 Failed to validate endpoint. reason: Group name hash mismatch.
Journal de non-correspondance des adresses MAC :
2021/09/28 19:09:33.455 {mobilityd_R0-0}{1}: [errmsg] [27081]: (ERR): %MM_INFRA_LOG-3-MSG_PROC_FAILED_MAC_ADDR: Pkt MAC: 001e.e67e.75fa Peer MAC: 001e.e67e.75ff Failed to validate endpoint. reason: MAC address mismatch.
Ce type de problème est lié aux établissements de tunnel DTLS entre les WLC. Il peut s'agir du chemin de données UP, mais le chemin de contrôle reste DOWN.
L'activation des connexions permanentes et des captures de paquets intégrées fournit des informations supplémentaires pour le dépannage :
2021/09/28 19:30:23.534 {mobilityd_R0-0}{1}: [mm-msg] [27081]: (ERR): Peer IP: 172.16.51.88 Port: 16666 DTLS_MSG: DTLS message process failed. Error: Invalid argument
2021/09/28 19:30:23.534 {mobilityd_R0-0}{1}: [errmsg] [27081]: (warn): %MM_NODE_LOG-4-DTLS_HANDSHAKE_FAIL: Mobility DTLS Ctrl handshake failed for 172.16.51.88 HB is down, need to re-initiate DTLS handshake
2021/09/28 19:30:23.534 {mobilityd_R0-0}{1}: [ewlc-capwapmsg-sess] [27081]: (ERR): Source IP:172.16.51.88[16666], DTLS message process failed. length:52
Utilisez les commandes show wireless management trustpoint et show crypto pki trustpoints pour vérifier vos informations de certificat.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
14-Sep-2021 |
Première publication |