Dépannage des problèmes de réseau Wi-Fi maillé du Catalyst 9800

Introduction

Ce document décrit différentes méthodes de dépannage des environnements maillés 9800.

Conditions préalables

Exigences

Cisco recommande que vous ayez des connaissances sur le contrôleur sans fil ainsi que sur le déploiement de maillage.

1. Portée et applicabilité

S'applique à : Ces problèmes pour l'environnement portuaire et minier de la mer se sont posés.

* Contrôleurs LAN sans fil Catalyst 9800-L / 9800-CL / 9800-40

* Déploiements extérieurs de réseaux maillés (RAP-MAP)

* WLAN bibande (2,4 GHz / 5 GHz)

* Environnements avec :

  * Liaisons maillées longue distance

  * Bruit RF élevé / zones industrielles (ports, terminaux, chantiers)

2. Symptômes courants signalés par le client

Symptômes de maillage/point d'accès

1. Le point d'accès maillé indique Rejoint sur WLC mais aucun client ne se connecte

  * Aucun trafic client ou en amont

  * La requête ping échoue jusqu'au redémarrage du point d'accès.

2. Liaison RAP-MAP

  * Volets par intermittence.

  * Le MAP se déplace vers un autre RAP/MAP de manière inattendue.

  * Le point d'accès maillé se déconnecte du WLC et nécessite un redémarrage manuel.

3. Symptômes de connectivité client

* Le client est resté indéfiniment en état d'authentification.

* Le client se déplace sur les points d'accès mais reste non authentifié.

* Le client se connecte uniquement après :

  * Forcer la suppression du WLC ou le redémarrage AP

  * Pertes client fréquentes sur 2,4 GHz

3. Catégories de causes premières à probabilité élevée

Catégorie	Problèmes typiques
RF / Conception	Recouvrement de canaux, largeur de canal importante, mauvais alignement de l'antenne
Contrôle de maillage	Instabilité de la sélection parent, SNR de liaison faible
Configuration	Débits de données mixtes, plusieurs BGN, alimentation statique
le logiciel Cisco IOS	processus wncd bloqué, état client obsolète
Évolutivité/chargement	Nombre excessif d'appels d'authentification, décalage du minuteur EAPOL

4. Validation obligatoire de la conception et de la configuration

4.1 Liaison maillée (critique)

Point d'accès racine (RAP)

• Largeur de canal : 20 MHz uniquement
• Canaux ne se chevauchant pas entre RAP
• Nom de groupe de ponts identique (BGN)
• Attribution de canal statique
• Ligne de mire vers MAP

Éviter

• Mélange 20/40 MHz sur RAP
• Même canal sur tous les RAP
• Plusieurs BGN dans la même zone

4.2 Antenne et montage

• Antenne omnidirectionnelle 5 GHz :
• Monté perpendiculairement au sol
• Radio 5 GHz dédiée pour liaison maillée
• Antenne directionnelle préférée pour les MAP longue portée
• Éliminer les obstacles (métal, grues, conteneurs)

5. Meilleures pratiques RF et WLAN

5.1 Débits de données (fortement recommandés)

2,4 GHz

Obligatoire: 12 Mbit/s

Désactiver : 6, 9 Mbit/s

Autres: Pris en charge

5 GHz

Obligatoire: 12 Mbit/s

Désactiver : 6, 9 Mbit/s

Autres: Pris en charge

Incidence:

• Réduction des clients rémanents
• Améliore la stabilité de l'itinérance et de l'authentification

5.2 Alimentation et RRM

• Évitez l'alimentation TX statique au niveau du point d'accès
• Utiliser RRM global
• Puissance TX minimale :
• 2,4 GHz : ≥ 12 dBm

Éviter les modifications agressives du DCA en heures de production

Dépannage d'un problème de connectivité client

Description du problème

Dans les zones reliées par un maillage :

• Les clients s'associent correctement aux MAP.
• L'authentification démarre mais ne se termine jamais.
• Le client reste à l'état Authentification sur le WLC.
• Le client peut se déplacer entre les points d'accès tout en s'authentifiant.
• L'authentification réussit uniquement après : Le client est manuellement supprimé du WLC ou le MAP est redémarré.

Ce comportement est intermittent, difficile à reproduire à la demande et ne fait pas partie du flux d'authentification normal.

Symptômes observés

• Show wireless client summary affiche les clients bloqués dans Authenticating.
• Les clients génèrent des tentatives d'authentification répétées.
• Aucun échec ou rejet d'authentification explicite détecté.
• Le client reste bloqué même après plusieurs événements d'itinérance.
• Problème principalement observé lorsque les clients sont connectés via des MAP.
• Émettre des augmentations de fréquence pendant la charge de fonctionnement.

Facteurs contributifs clés dans les déploiements maillés pour les problèmes de connexion client

1. Instabilité de liaison maillée

• RSSI/SNR fluctuant entre RAP et MAP.
• MAP resélectionnant le parent pendant l'authentification.
• Latence de maillage entraînant un dépassement de délai EAP ou une retransmission.
• MAP acheminant temporairement le trafic, mais pas de manière cohérente

Incidence:

• L'ordinateur d'état d'authentification ne se termine pas.
• Le client reste bloqué dans l'authentification.

2. Itinérance pendant l’authentification

• Les clients se déplacent entre les MAP ou entre les MAP et les RAP.
• Le contexte d'authentification n'est pas entièrement transféré.
• Le client continue à se déplacer tout en conservant l'état Authentification

Incidence:

• L'authentification redémarre plusieurs fois.
• Le client n'atteint jamais l'état EXÉCUTÉ.

3. Débits de données faibles sur la radio de service client (2,4 GHz)

• 6 ou 9 Mbits/s obligatoires activés.
• Tentatives excessives et consommation de temps d'antenne.
• Trames d’authentification retardées ou abandonnées.

Incidence:

• L'échange EAP devient peu fiable sur le maillage.
• L'authentification semble bloquée sans échec explicite.

4. Liaison maillée et trafic client partageant les mêmes contraintes RF

• Utilisation élevée sur les liaisons maillées.
• Le trafic d'authentification client est en concurrence avec :
• Trafic de données
• Contrôler le trafic
• Les paquets d'authentification sont petits mais sensibles au temps.

Incidence:

• L'authentification se termine uniquement après de nouvelles tentatives ou réinitialisations

Comment identifier le problème (authentification maillée bloquée)

Le problème est considéré comme résolu lorsque toutes les conditions mentionnées sont observées simultanément dans un déploiement maillé :

Indicateurs de comportement des clients

• Le client reste à l'état Authentification pendant plus de 60 à 120 secondes.
• Le client ne passe pas automatiquement à l'état EXÉCUTÉ.
• Le client se connecte correctement uniquement après :
• Suppression forcée du client du WLC
• Redémarrage du point d'accès maillé
• Le client peut se déplacer entre les MAP ou les RAP tout en restant à l'état Authentification.

Indicateurs WLC

commande :

show wireless client summary

Indicateurs :

• Même MAC client répertorié en permanence sous Authentification.
• L'entrée du client ne vieillit pas naturellement.

Cochez cette commande si le client est connecté pendant plus de 10 minutes :

show wireless client mac <client-mac>

Indicateurs spécifiques au maillage

Commandes :

show ap mesh parent

show ap mesh link

Indicateurs :

• Changement ou instabilité du parent pendant l'authentification du client
• Valeurs RSSI/SNR fluctuantes
• Tentatives accrues ou perte de paquets sur une liaison maillée

Collecte obligatoire des journaux (pendant la fenêtre d'échec)

Les journaux doivent être collectés lorsque le client est bloqué dans l'état Authentification.
Les journaux collectés après le redémarrage ou la suppression du client ne sont pas utiles pour la cause racine.

1. Journaux de ligne de base du contrôleur

show tech wireless

show clock

Objectif:

• Capturer l'état WLC global
• Corréler les horodatages entre les journaux

2. Journaux de validation d'état client

show wireless client summary

show wireless client summary | inclure Authentification

show wireless client mac <client-mac>

3. Journaux internes WNCD (critique)

Activer le suivi détaillé :

set platform software trace wncd chassis active r0 all verbose

Collecter les journaux (30 dernières minutes) :

show logging process wncd internal last 30 minutes

Journaux filtrés spécifiques au client :

show logging process wncd start last 30 minutes filter mac <client-mac> to-file bootflash:wncd_client.log

4. Suivi radio actif (RA) - par client

À partir de la GUI :

• Contrôle > Sans fil > Client > Dépannage
• Ajoutez l'adresse MAC du client affecté.
• Démarrez RA Trace.
• Reproduisez le problème.

5. Journaux de validation de liaison maillée

show ap mesh link

show ap mesh parent

show ap mesh statistics

6. Facultatif (Si Disponible) - Journaux du serveur d'authentification

• Journaux d'authentification RADIUS pour le client affecté
• Latence d'authentification et retransmissions

Dépannage du problème de déconnexion MAP-RAP

Description du problème

Perte intermittente et imprévisible de la connectivité de liaison maillée sur plusieurs MAP IW9167, entraînant des disjonctions d'AP, des échecs d'authentification maillée, des AP inaccessibles et un blackholing du trafic client. La récupération nécessitait souvent un redémarrage AP ou une intervention WLC.

Symptômes

• Le MAP se dissocie du RAP parent
• MAP associé mais ne peut pas transmettre le trafic
• MAP inaccessible à partir du WLC, du RAP et de la passerelle
• Clients associés mais pas d'accessibilité en amont
• Interruptions en cascade lors d'itinéraires MAP ou RAP parents

Messages/indicateurs d'erreur

ERROR-MeshSecurity : Délai expiré

CRIT-MeshSecurity : Échec de l'authentification de la sécurité maillée avec le parent

CRIT-MeshAwppAdj : Supprimer comme parent

mlme_ext_vap_down : VAP (mon1) est désactivé

ieee80211_ucfg_mesh_add_client() : Noeud introuvable

DTLS fermer les alertes

Délai de pulsation CAPWAP

Identification du problème rencontré (problème de connexion RAP-MAP)

1. Le plan de contrôle de maillage apparaît sain

Les commandes mentionnées peuvent sembler normales et ne peuvent pas être utilisées seules pour valider le transfert du trafic :

show ap summary

show wireless mesh ap tree

show capwap client rcb

Ces commandes confirment uniquement l'état du plan de contrôle.

Identification des défaillances du plan de données maillé

MAP : afficher l'état du maillage

Il s'agit de l'indicateur principal de l'intégrité du transfert de maillage.

Sortie saine

Adresse MAC du point d'accès parent : 24:D7:9C:04:79:B1

État du lien maillé : ASCENDANT

État de transfert : ACTIVÉE

Sortie de blocage du trafic

Adresse MAC du point d'accès parent : 24:D7:9C:04:79:B1

État du lien maillé : ASCENDANT

État de transfert : DÉSACTIVÉ

Interprétation :
La contiguïté de maillage existe, mais le point d'accès ne transfère pas le trafic.

2. MAP : afficher l'historique du maillage

Les transitions parentes répétées sans rechargement AP indiquent un état de transfert instable :

CRIT-MeshAwppAdj : Supprimer comme parent

CRIT-MeshAwppAdj : Définir comme parent

CRIT-MeshAwppAdj : Supprimer comme parent

Ce modèle laisse souvent le point d'accès dans un état de non-transmission.

3. Symptômes de MAP Syslog

Messages syslog courants observés pendant le blackholing du trafic :

ieee80211_ucfg_mesh_add_client() : Noeud introuvable

CLSM : Ignorer la programmation de clé en raison de la clé Null

Elles indiquent que le contexte de sécurité du maillage est incomplet, ce qui empêche le transfert de trafic chiffré.

4. WLC show ap name <AP> mesh path

Cette commande confirme l'affichage du chemin de données par le contrôleur.

Sain

État du chemin : Actif

Chemin des données : Terminer

Blackholing Du Trafic

État du chemin : Actif

Chemin des données : Incomplet

interprétation :
Le chemin de maillage existe, mais le transfert de données n'est pas établi.

5. Indicateurs relatifs au protocole ARP

Dans les déploiements où l'interface SVI VLAN réside sur le WLC :

• Il existe des entrées ARP pour les clients et le point d'accès.
• Le trafic client échoue.
• La suppression du protocole ARP restaure immédiatement la connectivité.

Ce comportement confirme l'échec du transfert du plan de données, et non l'instabilité RF ou CAPWAP.

Collecte obligatoire des journaux (pendant la fenêtre d'échec)

Phase 0 - Préparation obligatoire (avant le problème)

IMPORTANT : les journaux collectés après le redémarrage ne sont pas suffisants pour le RCA maillé.

Activer les débogages persistants sur RAP et MAP

Sur RAP

longueur de borne 0

debug mesh events

debug mesh adjacency child

debug mesh adjacency packet

debug mesh adjacency channel

debug mesh security

debug mesh forwarding packet

debug capwap client events (débogage des événements clients capwap)

debug capwap client error

moniteur de terminal

Sur la carte

longueur de borne 0

debug mesh events

debug mesh adjacency parent

debug mesh adjacency packet

debug mesh adjacency channel

debug mesh security

debug capwap client events (débogage des événements clients capwap)

debug capwap client error

moniteur de terminal

Laissez les débogages activés jusqu'à la reproduction du problème.

Phase 1 - Collecte des journaux pendant le problème (CRITIQUE)

NE PAS REDÉMARRER LES AP AVANT DE COLLECTER LES JOURNAUX

 Journaux du MAP affecté (immédiatement en cas de problème)

show mesh status

show mesh history older

show mesh history

show flash syslogs

autres syslog <date>

Journaux de RAP (parent précédent et nouveau)

show mesh history older

show mesh status

Journaux du WLC (Au moment de la défaillance)

show wireless mesh ap tree

show wireless mesh neighbor

show ap name <AP-NAME> mesh path

show ap name <AP-NAME> config general

show tech-support wireless

Facultatif (valeur élevée) :

show logging process wncd start last 2 days level verbose

Corrélation entre le client et le trafic (recommandée)

Exécuter une requête ping continue pendant la fenêtre d'échec :

ping -t <ip_passerelle>

Phase 2 - Validation RF et de la configuration (post-capture)

Validation RF (WLC)

show ap dot11 5ghz summary

show ap dot11 24ghz summary

show ap name <AP> config dot11 5ghz

show ap name <AP> config dot11 24ghz

Validation ARP / Forwarding (si blocage du trafic)

Si SVI est hébergé sur WLC :

clear arp-cache

 Si le trafic est restauré → la gestion ARP est un facteur contributif.

Phase 3 - Mesures de stabilisation (validées)

Contrôles de topologie maillée 

• Activez Bloquer les enfants sur les MAP, le cas échéant.
• Forcer les MAP à se connecter au RAP le plus proche.
• Réduire le nombre de sauts maillés.

Optimisation RF 

• Réduisez la puissance de transmission RAP.
• Verrouiller les canaux de liaison 5 GHz.
• Standardiser les canaux 2,4 GHz (1/6/11).

Tous les problèmes mentionnés sont très intermittents dans le déploiement de maillage et difficile à obtenir, donc le déploiement d'un script rapide pour capturer les journaux peut obtenir la résolution plus rapide.

Voici un exemple de script EEM qui peut être exécuté sur le WLC pour le problème d'authentification du client :

Script EEM complet (appliquer via l'interface CLI WLC)
::cisco::eem::event_register_timer watchdog time 900 maxrun 240
importation de l'espace de noms ::cisco::eem::*
importation de l'espace de noms ::cisco::lib::*
#----------------------------
# Proc : Convertir la chaîne de temps WLC en secondes
# Prise en charge : "X jours Xh:Xm:Xs", "Xh:Xm:Xs", "Xm:Xs", "Xs"
#----------------------------
proc time_to_seconds {time_str} {
set total 0
if {[regexp {([0-9]+)\s+days?\s+([0-9]+)\s+h:([0-9]+)\s+m:([0-9]+)\s+s} $time_str -> d h m s]} {
set total [expr {$d*86400 + $h*3600 + $m*60 + $s}]
} elseif {[regexp {([0-9]+)\s+h:([0-9]+)\s+m:([0-9]+)\s+s} $time_str -> h m s]} {
set total [expr {$h*3600 + $m*60 + $s}]
} elseif {[regexp {([0-9]+)\s+m:([0-9]+)\s+s} $time_str -> m s]} {
set total [expr {$m*60 + $s}]
} elseif {[regexp {([0-9]+)\s+s} $time_str -> s]} {
définir le total $s
}
retourner $total
}
#----------------------------
# Proc : Suivre le nombre total d'instances de collecte de journaux (2 max.)
#----------------------------
proc get_log_count {0} {
si {[le fichier existe /bootflash/auth_log_count.txt]} {
set fd [open /bootflash/auth_log_count.txt r]
set count [read $fd]
fermer $fd
Retourner $count
} else {
renvoi 0
}
}
proc set_log_count {count} {
set fd [open /bootflash/auth_log_count.txt w]
met $fd $count
fermer $fd
}
#----------------------------
# Exécution EEM principale
#----------------------------
if {[catch {cli_open} result]} {
sortie 1
}
array set cli $result
set fd $cli(fd)
cli_exec $fd "enable"
cli_exec $fd "longueur de terminal 0"
cli_exec $fd "largeur de terminal 0"
# Obtenir le nombre actuel de collectes de journaux
set log_count [get_log_count]
set max_log_instances 2
# Tirer tous les clients en état d'authentification
set summary [cli_exec $fd "show wireless client summary | include Authentification »]
définir des lignes [split $summary "\n"]
foreach line $lines {
# Correspondance du format MAC xxxx.xxxx.xxxx
if {[regexp {([0-9a-fA-F]{4}\.[0-9a-fA-F]{4}\.[0-9a-fA-F]{4})} $line -> mac]} {
set detail [cli_exec $fd "show wireless client mac-address $mac detail"]

# Extraire la chaîne d'heure « Connecté pour »
if {[regexp {Connected For[[:space:]]*:[:space:]]*(.+)} $detail -> conn_time]} {
set seconds [time_to_seconds $conn_time]

# Vérifier si coincé > 15 minutes (900 secondes)
if {$seconds > 900} {
action_syslog msg "EEM : Client $mac bloqué dans Authentification pour $conn_time (>$seconds)"

# Collecter les journaux uniquement si sous la limite d'instance maximale
si {$log_count < $max_log_instances} {
action_syslog msg "EEM : Collecte des journaux WLC + client (Instance [expr {$log_count + 1}]/$max_log_instances)"
set log_file "/bootflash/auth_stuck_eem.log"

set fd_log [open $log_file a]

Nombre de journaux par client
met $fd_log "\n=== [format horloge [secondes horloge]] | Client $mac | Coincé $conn_time ==="
met $fd_log "\n— Détail du client —"
met $fd_log $detail
met $fd_log "\n— Résumé client —"
met $fd_log [cli_exec $fd "show wireless client summary | include $mac"]

Nombre de journaux WLC
puts $fd_log "\n— Journaux WNCD WLC (30m) —"
puts $fd_log [cli_exec $fd "show logging process wncd start last 30 minutes"]
met $fd_log "\n— WLC Show Tech Wireless —"
puts $fd_log [cli_exec $fd "show tech wireless"]

fermer $fd_log
set log_count [expr {$log_count + 1}]
set_log_count $log_count
} else {
action_syslog msg "EEM : Nombre maximal d'instances de journal ($max_log_instances) atteint. La collection de journaux est ignorée."
}

# Toujours désauthentifier le client bloqué
cli_exec $fd "adresse mac du client sans fil $mac deauthenticate"
action_syslog msg "EEM : Client déauthentifié « $mac »
}
}
}
}
cli_close $fd
sortie 0
—
#### Principales caractéristiques du script
1. **Intervalle de 15 minutes** : Minuteur de surveillance défini sur 900 secondes (15 minutes) comme demandé
2. **Seuil de blocage** : Déclencheurs uniquement sur les clients bloqués > 15 minutes (900 secondes)
3. **Limite du journal** : Collecte les journaux WLC + par client pour un total **maximum de 2 instances**, puis ignore la collecte des journaux (désauthentifie toujours les clients)
4. **Collection de journaux WLC** : Inclut :
- Détail/résumé par client
- Journaux de processus WNCD (fenêtre de 30 minutes)
- Complet `show tech wireless`
5. **Compteur persistant** : Suit les instances de journal via `/bootflash/auth_log_count.txt` sur les exécutions de script EEM

Déploiement et vérification
1. Appliquez le script au WLC :
WLC# configure terminal
WLC(config)# event manager applet AuthStuckHandler
WLC(config-applet)# event timer watchdog time 900
WLC(config-applet)# action 1 cli command "sh bootflash:auth_stuck_eem.tcl"
WLC(config-applet)# end
(Ou collez le script Tcl complet directement dans la configuration WLC EEM.)

2. Vérifiez l'enregistrement EEM :
WLC# show event manager policy registered

3. Récupérez les journaux collectés :
WLC# copy bootflash:auth_stuck_eem.log ftp:
WLC# copy bootflash:auth_log_count.txt ftp:

4. Réinitialisez le compteur du journal pour réactiver la collecte (si nécessaire) :
WLC# delete bootflash:auth_log_count.txt

Conclusion

Ce document regroupe les méthodologies validées du centre d'assistance technique et des études de cas concrètes afin de résoudre les problèmes de réseau maillé Wi-Fi les plus répandus sur le Catalyst 9800 : liaison instable, clients bloqués dans l'état Authentification et trafic non transmis.

L'un des points essentiels à retenir est que 90 % des défaillances de maillage signalées ne sont pas des défaillances isolées du matériel ou du client, mais des symptômes de non-concordance de l'état du plan de contrôle et du plan de données, d'une topologie de maillage instable ou d'une conception RF sous-optimale.

Historique de révision

Révision	Date de publication	Commentaires
1.0	23-Jun-2026	Première publication