Cisco DNA CenterのワイヤレスSoftware Defined Accessのトラブルシューティング
ダウンロード オプション
偏向のない言語
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
翻訳について
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
内容
はじめに
このドキュメントでは、ワイヤレスに関するFAQと、Cisco DNA Centerでのソフトウェア定義アクセス(SDA)のトラブルシューティング方法について説明します。
ファブリックのコマンドチートシート
これらは、コントロールノード、エッジノード、ワイヤレスLANコントローラ(WLC)、およびアクセスポイント(AP)上のファブリックのコマンドチートシートです。
制御ノード:
- show lisp instance-id <L2 ap instance id> ethernet server - MACからエンドポイントID(EID)へのマッピング
- show lisp instance-id <L3 ap instance id> ipv4 server - IPからEIDへのマッピング
- show lisp instance-id 8188 ethernet server address-resolution:特定のインスタンスIDのMACからIPへのマッピング
- LISPサイトを表示
- show tech-support
- show tech-support lisp(登録ユーザ専用)
エッジノード:
- show lisp instance-id <L2 ap instance id>イーサネットデータベースwlc
- show lisp instance-id <L2クライアントインスタンスid>イーサネットデータベースwlc
- show access-tunnel summary(トンネルの概要を表示)
- show platform software fed switch active ifm interfaces access-tunnel
- show platform software access-tunnel switch active R0
- show platform software access-tunnel switch active R0 statistics(プラットフォームのソフトウェアのアクセスとトンネルスイッチのアクティブなR0の統計情報の表示)
- show platform software access-tunnel switch active F0
- show platform software access-tunnel switch active F0 statistics
- show platform software object-manager switch active F0 statistics(登録ユーザ専用)
- show platform software object-manager switch active F0 pending-issue-update
- show platform software object-manager switch active F0 pending-ack-update
- show platform software object-manager switch active F0 error-object
- show tech-support
- show tech-support lisp(登録ユーザ専用)
WLC(AireOS):
- show fabric ap summary(ダウンロード)
- show fabric summary(必要な場合)
- show fabric map-server summary(オプション)
- show run-config
- show run-configコマンド
- show tech
WLC(IOS-XE)
- show ap summary(WLCで実行)
- show fabric ap summary(ダウンロード)
- show wireless fabric summary(ワイヤレスファブリックの概要を表示)
- show wireless client summary(ワイヤレスクライアントの概要を表示)
- show tech-support wireless(登録ユーザ専用)
- show tech-supportワイヤレスファブリック
- show tech-support lisp(9300/9400/9500で稼働する組み込み型ワイヤレスまたはボックス内ファブリックの場合)
- show tech-support(ファブリックインボックスまたは9300/9400/9500で動作する組み込みワイヤレスの場合)
アクセス ポイント:
- show ip tunnel fabric(すべてのインターフェイス)
- show tech-support
Cisco DNA CenterからのAireOS WLC設定のプッシュ
ここでは、プロビジョニング後のCisco DNA CenterからのAireOS WLC設定のプッシュを示します(注:3504 WLCとして参照を使用)。
WLCプロビジョニング後のshow radius summary:
(sdawlc3504) >show radius summary
Vendor Id Backward Compatibility................. Disabled
Call Station Id Case............................. lower
Accounting Call Station Id Type.................. Mac Address
Auth Call Station Id Type........................ AP's Radio MAC Address:SSID
Extended Source Ports Support.................... Enabled
Aggressive Failover.............................. Disabled
Keywrap.......................................... Disabled
Fallback Test:
Test Mode.................................... Passive
Probe User Name.............................. cisco-probe
Interval (in seconds)........................ 300
MAC Delimiter for Authentication Messages........ hyphen
MAC Delimiter for Accounting Messages............ hyphen
RADIUS Authentication Framed-MTU................. 1300 Bytes
Authentication Servers
Idx Type Server Address Port State Tout MgmtTout RFC3576 IPSec - state/Profile Name/RadiusRegionString
--- ---- ---------------- ------ -------- ---- -------- ------- -------------------------------------------------------
1 * NM 192.168.2.193 1812 Enabled 2 5 Enabled Disabled - /none
2 M 172.27.121.193 1812 Enabled 2 5 Enabled Disabled - /none
WLAN Config Pushは、show wlan summaryの下に表示されます。
(sdawlc3504) >show wlan summary Number of WLANs.................................. 7 WLAN ID WLAN Profile Name / SSID Status Interface Name PMIPv6 Mobility ------- ----------------------------------------------------------------------- -------- -------------------- --------------- 1 Test / Test Enabled management none 17 dnac_guest_F_global_5dfbd_17 / dnac_guest_206 Disabled management none 18 dnac_psk_2_F_global_5dfbd_18 / dnac_psk_206 Disabled management none 19 dnac_wpa2__F_global_5dfbd_19 / dnac_wpa2_206 Enabled management none 20 dnac_open__F_global_5dfbd_20 / dnac_open_206 Enabled management none 21 Test!23_F_global_5dfbd_21 / Test!23 Disabled management none
Cisco DNA CenterからのWLC設定のプッシュ
ここでは、WLCがファブリックに追加された後のCisco DNA CenterからのWLC設定のプッシュを示します。
マップサーバが到達可能かどうかを確認する方法
WLCがファブリックに追加された後のshow fabric map-server summary。
(sdawlc3504) >show fabric map-server summary MS-IP Connection status -------------------------------- 192.168.4.45 UP 192.168.4.66 UP
ファブリックマップサーバ接続のデバッグ
コントロールプレーン(CP)接続は、さまざまな理由でダウンしたり、ダウンしたままになったりします。
- CPがダウンした場合。(この場合は含まれません)。
- WLCをCPに接続している中間ノード(たとえば、fusionルータ)。
- リンクのダウンによりWLCへのCP接続がダウンした場合。これは、WLCから直接ネイバーへ、またはCPからWLCに対する直接ネイバーへの場合があります。
show fabric map-server detailed(必要に応じて)
show fabric TCP creation-history <マップサーバIP>
詳細な情報を提供する可能性のあるデバッグ
debug fabric lisp map-server tcp enable(オプション)
debug fabric lisp map-server allを有効にする
ファブリックが有効になっていることを確認する方法と予想される出力
WLCがファブリックに追加された後のshow fabric summary。
(sdawlc3504) >show fabric summary Fabric Support................................... enabled Enterprise Control Plane MS config -------------------------------------- Primary Active MAP Server IP Address....................................... 192.168.4.45 Secondary Active MAP Server IP Address....................................... 192.168.4.66 Guest Control Plane MS config ------------------------------- Fabric TCP keep alive config ---------------------------- Fabric MS TCP retry count configured ............ 3 Fabric MS TCP timeout configured ................ 10 Fabric MS TCP keep alive interval configured .... 10 Fabric Interface name configured .............. management Fabric Clients registered ..................... 0 Fabric wlans enabled .......................... 3 Fabric APs total Registration sent ............ 30 Fabric APs total DeRegistration sent .......... 9 Fabric AP RLOC reguested ...................... 15 Fabric AP RLOC response received .............. 30 Fabric AP RLOC send to standby ................ 0 Fabric APs registered by WLC .................. 6 VNID Mappings configured: 4 Name L2-Vnid L3-Vnid IP Address/Subnet -------------------------------- ---------- ---------- --------------------------------- 182_10_50_0-INFRA_VN 8188 4097 182.10.50.0 / 255.255.255.128 10_10_10_0-Guest_Area 8190 0 0.0.0.0 / 0.0.0.0 182_10_100_0-DEFAULT_VN 8191 0 0.0.0.0 / 0.0.0.0 182_11_0_0-DEFAULT_VN 8189 0 0.0.0.0 / 0.0.0.0 Fabric Flex-Acl-tables Status -------------------------------- ------- DNAC_FABRIC_FLEX_ACL_TEMPLATE Applied Fabric Enabled Wlan summary WLAN ID SSID Type L2 Vnid SGT RLOC IP Clients VNID Name ------- -------------------------------- ---- ---------- ------ --------------- ------- -------------------------------- 19 dnac_wpa2_206 WLAN 8189 0 0.0.0.0 0 182_11_0_0-DEFAULT_VN 20 dnac_open_206 WLAN 8189 0 0.0.0.0 0 182_11_0_0-DEFAULT_VN
Cisco DNA CenterからのWLAN設定のプッシュ
Cisco DNA CenterからのWLAN設定のプッシュは、WLCがファブリックに追加され、クライアントIPプールがファブリックワイヤレスLAN(WLAN)のProvision > Fabric > Host Onboardingの下に割り当てられると、show fabric wlan summaryの下に表示されます。
ファブリックプロビジョニング後のshow fabric wlan summary。
(sdawlc3504) >show fabric wlan summary WLAN ID SSID Type L2 Vnid SGT RLOC IP Clients VNID Name ------- -------------------------------- ---- ---------- ------ --------------- ------- -------------------------------- 19 dnac_wpa2_206 WLAN 8189 0 0.0.0.0 0 182_11_0_0-DEFAULT_VN 20 dnac_open_206 WLAN 8189 0 0.0.0.0 0 182_11_0_0-DEFAULT_VN
ワイヤレスの問題のデバッグ
AP Join Debugging/Access Tunnel Formationデバッグ
1. APがIPアドレスを取得したかどうかを確認します。
ファブリックエッジ上のshow ip dhcp snooping binding →
接続されているAPインターフェイスのIPが表示されない場合は、スイッチでこれらのデバッグを有効にして、APがIPを取得しているかどうかを確認してください。
debug ip dhcp snooping packet
debug ip dhcp snooping event(登録ユーザ専用)
以下に添付されるサンプルログファイル→
例:
Floor_Edge-6#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
0C:75:BD:0D:46:60 182.10.50.7 670544 dhcp-snooping 1021 GigabitEthernet1/0/7 → AP interface should be having an IP
2. APがWLCに加入するかどうかを確認します。
- WLCでのshow ap summary→マンド
- show ap join stat summary:WLCの→
APがWLCに一度も参加したことがない場合は、WLCで次のデバッグを有効にします。
- debug capwap events enable
- debug capwap errors enable
3. APがCAPWAPを形成していても、APとスイッチの間にアクセストンネルが形成されていない場合は、次のチェックを実行してください
ステップ 1:WLC内のAPにRLOC IPが割り当てられているかどうかを確認します。そうでない場合は、ここでチェックポイント1を確認してください。
1. ファブリックコントロールプレーンプロトコルの復元力を高めるには、各ファブリックノードのグローバルルーティングテーブルにWLCへの特定のルートが存在することが重要です。WLCのIPアドレスへのルートは、境界のアンダーレイIGPプロトコルに再配布するか、各ノードで静的に設定する必要があります。つまり、デフォルトルートを介してWLCに到達できないようにする必要があります。
ステップ 2:WLC内のAPで正しいRLOCが示され、show fabric summaryの下に、RLOC requested with RLOC received all goodが示される場合、次の手順を確認します
2. コントロールプレーンノードでshow lisp instance-id <L2 ap instance id> ethernet serverをチェックします→AP用のベースRadio MACが含まれている必要があります。
Fabric Edgeノードでshow lisp instance-id <L2 ap instance id> ethernet database wlc→ これはAPのイーサネットMACではなく、APのベースRadio MACを含む必要があります。
上記の2つのコマンドでAPのベースRadio MACが表示されず、アクセストンネルが形成されない場合。コントロールプレーンでdebug lisp control-plane allを有効にし、ロギングでBase Radio MACを検索します。
注:コントロールプレーン上のdebug lisp control-plane allは実際にはおしゃべりなので、デバッグをオンにする前にコンソールロギングを無効にしてください。
次に示すように認証の失敗が見られる場合は、WLCとCPノード間の認証キーを確認してください。
Dec 7 17:42:01.655: LISP-0: MS Site EID IID 8188 prefix any-mac SVC_VLAN_IAF_MAC site site_uci, Registration failed authentication for more specific 2c0b.e9c6.ec80/48
Dec 7 17:42:01.659: LISP-0: Building reliable registration message registration-rejected for IID 8188 EID 2c0b.e9c6.ec80/48 , Rejection Code: authentication failure/2.WLCとCP間のファブリック設定で認証キーを確認する方法
WLCで、GUIのController > Fabric Configuration > Control Plane > (Pre Shared Key)を確認してください。
On CP, please check on switch using sh running-config | b map-server session
CP#sh running-config | b map-server session
map-server session passive-open WLC
site site_uci
description map-server configured from apic-em
authentication-key
注:通常、Cisco DNA Centerはこのキーをプッシュするため、CP/WLCの設定内容を把握し、必要でない限り変更しないでください。]
4. アクセストンネルの一般的なチェックとshowコマンド。
- show access-tunnel summary(トンネルの概要を表示)
Floor_Edge-6#sh access-tunnel summary Access Tunnels General Statistics: Number of AccessTunnel Data Tunnels = 5 Name SrcIP SrcPort DestIP DstPort VrfId ------ --------------- ------- --------------- ------- ---- Ac4 192.168.4.68 N/A 182.10.50.6 4789 0 Ac24 192.168.4.68 N/A 182.10.50.5 4789 0 Ac19 192.168.4.68 N/A 182.10.50.8 4789 0 Ac15 192.168.4.68 N/A 182.10.50.7 4789 0 Ac14 192.168.4.68 N/A 182.10.50.2 4789 0 Name IfId Uptime ------ ---------- -------------------- Ac4 0x00000037 2 days, 20:35:29 Ac24 0x0000004C 1 days, 21:23:16 Ac19 0x00000047 1 days, 21:20:08 Ac15 0x00000043 1 days, 21:09:53 Ac14 0x00000042 1 days, 21:03:20
- show platform software fed switch active ifm interfaces access-tunnel
Floor_Edge-6#show platform software fed switch active ifm interfaces access-tunnel Interface IF_ID State ---------------------------------------------------------------- Ac4 0x00000037 READY Ac14 0x00000042 READY Ac15 0x00000043 READY Ac19 0x00000047 READY Ac24 0x0000004c READY Floor_Edge-6#
コマンドb)の下のAccess-tunnelsがa)よりも高い場合、問題が発生しています。ここでは、Fedエントリがファブリックエッジによって正しくクリアされていないため、IOSと比較してFedに複数のアクセストンネルエントリがあります。次に示すコマンドを実行した後、宛先IPを比較します。複数のアクセストンネルが同じ宛先IPを共有する場合は、プログラミングの問題です。
- show platform software fed switch active ifm if-id <各AP IF-ID>
注:各IF-IDは前のコマンドからフェッチできます。
Floor_Edge-6#show platform software fed switch active ifm if-id 0x00000037
Interface IF_ID : 0x0000000000000037
Interface Name : Ac4
Interface Block Pointer : 0xffc0b04c58
Interface State : READY
Interface Status : ADD
Interface Ref-Cnt : 2
Interface Type : ACCESS_TUNNEL
Tunnel Type : L2Lisp
Encap Type : VxLan
IF_ID : 0x37
Port Information
Handle ............ [0x2e000094]
Type .............. [Access-tunnel]
Identifier ........ [0x37]
Unit .............. [55]
Access tunnel Port Logical Subblock
Access Tunnel id : 0x37
Switch Num : 1
Asic Num : 0
PORT LE handle : 0xffc0b03c58
L3IF LE handle : 0xffc0e24608
DI handle : 0xffc02cdf48
RCP service id : 0x0
HTM handle decap : 0xffc0e26428
RI handle decap : 0xffc0afb1f8
SI handle decap : 0xffc0e26aa8
RCP opq info : 0x1
L2 Brdcast RI handle : 0xffc0e26808
GPN : 3201
Encap type : VXLAN
L3 protocol : 17
Src IP : 192.168.4.68
Dest IP : 182.10.50.6
Dest Port : 4789
Underlay VRF : 0
XID cpp handle : 0xffc03038f8
Port L2 Subblock
Enabled ............. [No]
Allow dot1q ......... [No]
Allow native ........ [No]
Default VLAN ........ [0]
Allow priority tag ... [No]
Allow unknown unicast [No]
Allow unknown multicast[No]
Allow unknown broadcast[No]
Allow unknown multicast[Enabled]
Allow unknown unicast [Enabled]
IPv4 ARP snoop ....... [No]
IPv6 ARP snoop ....... [No]
Jumbo MTU ............ [0]
Learning Mode ........ [0]
Port QoS Subblock
Trust Type .................... [0x7]
Default Value ................. [0]
Ingress Table Map ............. [0x0]
Egress Table Map .............. [0x0]
Queue Map ..................... [0x0]
Port Netflow Subblock
Port CTS Subblock
Disable SGACL .................... [0x0]
Trust ............................ [0x0]
Propagate ........................ [0x1]
%Port SGT .......................... [-180754391]
Ref Count : 2 (feature Ref Counts + 1)
IFM Feature Ref Counts
FID : 91, Ref Count : 1
No Sub Blocks Present
- show platform software access-tunnel switch active R0
Floor_Edge-6#show platform software access-tunnel switch active R0 Name SrcIp DstIp DstPort VrfId Iif_id --------------------------------------------------------------------- Ac4 192.168.4.68 182.10.50.6 0x12b5 0x0000 0x000037 Ac14 192.168.4.68 182.10.50.2 0x12b5 0x0000 0x000042 Ac15 192.168.4.68 182.10.50.7 0x12b5 0x0000 0x000043 Ac19 192.168.4.68 182.10.50.8 0x12b5 0x0000 0x000047 Ac24 192.168.4.68 182.10.50.5 0x12b5 0x0000 0x00004c
- show platform software access-tunnel switch active R0 statistics(プラットフォームのソフトウェアのアクセスとトンネルスイッチのアクティブなR0の統計情報の表示)
Floor_Edge-6#show platform software access-tunnel switch active R0 statistics Access Tunnel Counters (Success/Failure) ------------------------------------------ Create 6/0 Create Obj Download 6/0 Delete 3/0 Delete Obj Download 3/0 NACK 0/0
- show platform software access-tunnel switch active F0
Floor_Edge-6#show platform software access-tunnel switch active F0 Name SrcIp DstIp DstPort VrfId Iif_id Obj_id Status -------------------------------------------------------------------------------------------- Ac4 192.168.4.68 182.10.50.6 0x12b5 0x000 0x000037 0x00d270 Done Ac14 192.168.4.68 182.10.50.2 0x12b5 0x000 0x000042 0x03cbca Done Ac15 192.168.4.68 182.10.50.7 0x12b5 0x000 0x000043 0x03cb9b Done Ac19 192.168.4.68 182.10.50.8 0x12b5 0x000 0x000047 0x03cb6b Done Ac24 192.168.4.68 182.10.50.5 0x12b5 0x000 0x00004c 0x03caf4 Done
- show platform software access-tunnel switch active F0 statistics
Floor_Edge-6#show platform software access-tunnel switch active F0 statistics Access Tunnel Counters (Success/Failure) ------------------------------------------ Create 0/0 Delete 3/0 HW Create 6/0 HW Delete 3/0 Create Ack 6/0 Delete Ack 3/0 NACK Notify 0/0
- show platform software object-manager switch active f0 statistics(登録ユーザ専用)
Floor_Edge-6#show platform software object-manager switch active f0 statistics Forwarding Manager Asynchronous Object Manager Statistics Object update: Pending-issue: 0, Pending-acknowledgement: 0 Batch begin: Pending-issue: 0, Pending-acknowledgement: 0 Batch end: Pending-issue: 0, Pending-acknowledgement: 0 Command: Pending-acknowledgement: 0 Total-objects: 987 Stale-objects: 0 Resolve-objects: 3 Error-objects: 1 Paused-types: 0
- show platform software object-manager switch active f0 pending-issue-update
- show platform software object-manager switch active f0 pending-ack-update
- show platform software object-manager switch active f0 error-object
5. 収集する必要があるトレースおよびデバッグ。
ステップ 1:トレース/デバッグを有効にする前にアーカイブログを収集する
request platform software trace archive target flash:<ファイル名>
Floor_Edge-6#request platform software trace archive target flash:Floor_Edge-6_12_14_18 Waiting for trace files to get rotated. Creating archive file [flash:Floor_Edge-6_12_14_18.tar.gz] Done with creation of the archive file: [flash:Floor_Edge-6_12_14_18.tar.gz]
ステップ2:ロギングバッファを増やし、コンソールを無効にします。
Floor_Edge-6(config)#logging buffered 214748364 Floor_Edge-6(config)#no logging console
ステップ 3:トレースの設定
- set platform software trace forwarding switch active R0 access-tunnel verbose
- set platform software trace forwarding switch active F0 access-tunnel verbose
- set platform software trace fed switch active ifm_main debug
- set platform software trace fed switch active access_tunnel verbose
- set platform software trace forwarding-manager switch active F0 aom verbose
ステップ 4:デバッグを有効にします。
- debug l2lisp all(隠しコマンド)
- debug lisp control-plane all(すべてのLISPコントロールプレーンをデバッグ)
- debug platform software l2lispイベント
ステップ5:APが接続されているインターフェイスポートをshut/no shutにします。
手順 6:ステップ1.と同じアーカイブログを別のファイル名で収集します。
ステップ7:ロギングファイルをフラッシュにリダイレクトします。
Floor_Edge-6#show logging | redirect flash:<ファイル名>
Floor_Edge-6#show logging | redirect flash:console_logs_Floor_Edge-6_12_14_18
クライアントデバッグ
SDA上の無線クライアントの問題をデバッグする注意が必要になる可能性のある問題はほとんどありません。
このワークフローに従って、デバイスを1つずつ削除してください。
1. WLC
2. ファブリックエッジ
3. アクセスポイント(APへのファブリックエッジポイントでデバッグする場合)
4. 中間/境界ノード。(データパスに問題がある場合)
5. コントロールプレーンノード(制御パスの問題の場合)
WLCのデバッグ
クライアント接続の問題の場合は、showコマンドとデバッグを含むWLCの情報を収集して、デバッグを開始してください。
AireOS WLCのshowコマンド
- show run-config
- show tech
- show wlan summary
- show wlan <id> —>この出力をすべてのSSIDについて収集します。少なくとも1つは動作しているSSIDと動作していないSSIDです。
- show fabric summary(必要な場合)
- show fabric map-server summary(オプション)
- show client summary
- show client detail <mac_id>
AireOS WLCデバッグコマンド:
- debug client <mac1> —>クライアントのアソシエーション、ローミング、デバッグ。
- debug fabric client detail enable —>ファブリック登録メッセージに関する情報を提供します
ファブリックエッジデバッグ
WLCでデバッグを行い、クライアントのコントロールプレーンパス関連の問題が見つかると、クライアントはアソシエーション認証から移行し、正しいSGTタギングまたはAAAパラメータを使用して状態を実行し、この手順に進んで問題をさらに切り分けます。
もう1つ確認すべきことは、上記の「APのデバッグ」セクションで説明したアクセストンネルプログラミングが正しいことです。
確認するshowコマンド:
L2 lispインスタンスIDの検索先(上記のshow client detail <mac_id>)
show lisp instance-idethernet database wlc --> This lists all WLC associated clients for that specific L2 lisp instance ID. A number of sources should match the number of Control plane nodes in the network show lisp instance-idethernet database wlc --> This shows the detail for the specific client show device-tracking database | i Vl --> Find Specific SVI where the client is connected and needs to be present. show device-tracking database | i--> Find the client entry, should be against correct VLAN, Interface, State, and Age. show mac address-table dynamic vlan --> The entry for the mac should match the device-tracking database, if it does please check mac address entry on FED show ip dhcp snooping binding vlan show ip arp vrf show mac address-table vlan show platform software fed switch active matm macTable vlan --> If this is correct, programming for wireless client is happening correctly on local switch. show platform software matm switch active F0 mac
ファブリックエッジ上のdebugコマンド
ファブリックエッジ上のクライアントエントリのプログラミングに問題がある場合、Fedトレースを収集する必要があります。これらのデバッグを有効にした後で同じことを行う方法は2つあります。
debugコマンドとsetコマンドは、方式に関係なく有効にする必要があります。
- set platform software trace fed switch active all-modules emergency(プラットフォームソフトウェアのトレース供給スイッチのアクティブ全モジュールの緊急事態)
- set platform software trace fed switch active l2_fib_entry verbose
- set platform software trace fed switch active l2_fib_adj verbose
- set platform software trace fed switch active inject verbose
- set platform software trace fedスイッチactive matm verbose
debug(必ずコンソールロギングをディセーブルにして、ロギングバッファを増やします)
- デバッグデバイストラッキング
- debug lisp control-plane all(すべてのLISPコントロールプレーンをデバッグ)
- debug platform fhs all(プラットフォームのFHSすべて)
- debug platform software l2lispイベント
- debug matm all(隠しコマンド)
方式 1. デバッグを有効にした後、特定のクライアントの無線アクティブトレースログを収集します。
注:DHCPに問題がある場合は、この方法を使用しないでください]
問題が再現されるまで待ちます
- debug platform condition mac <mac-id>コントロールプレーン
- debug platform condition start(プラットフォーム条件の開始をデバッグ)
- debug platform condition stop(プラットフォームの状態をデバッグ)
- request plat soft trace filter-binary wireless context mac <mac-id>(platソフトトレースフィルタ – バイナリワイヤレスコンテキストmac <mac-id>)
問題が再発した後、コンソールログをフラッシュにリダイレクトします。
方式 2. デバッグを有効にした後で、アーカイブのトレースログを収集します。
問題が再現されるまで待ちます
要求プラットフォームソフトウェアトレースアーカイブ
ファイルを収集してログをデコードし、クライアントmacのfed、ios、fmanログを分析します。
問題が再発した後、コンソールログをフラッシュにリダイレクトします。
アクセスポイントのデバッグ
2800/3800/1562 APモデルのデバッグ:
AP側の問題の場合、AP側のログを収集してSRにアタッチする前に、必ずすべてのWLC showコマンドとログを収集してください。
クライアント側でデータ関連の問題をデバッグするには、次の手順を実行します。
1. APのshowコマンドの収集:(テストの前後に2 ~ 3回)
- show clock
- term len 0(期間長0)
- 「mon」という用語
- show tech
- show logging
- show controllers nss stats:コントローラのnssステータスの表示
- show ip tunnel fabric(すべてのインターフェイス)
CWA問題の場合は、上のコマンドに加えて、以下のログも収集してください。以下のコマンドは、テストの前後に1回収集する必要があります。
- show client access-lists pre-auth all <client mac>
- show client access-lists post-auth all <client mac>
- show ip access-lists(隠しコマンド)
- show controller d [0/1] client
- show capwap cliの詳細
- show tech support
2. APデバッグ(MACアドレスごとにフィルタリング)
クライアントデータパスの問題:
- debug dot11 client datapath eapol addr <mac>
- debug dot11 client datapath dhcp addr <mac>
- debug dot11 client datapath arp addr <mac>
クライアントAPトレース:
- config ap client-trace address add <mac>(オプション)
- config ap client-trace output console-log enable
- config ap client-trace filter all enable
- config ap client-trace filter probe disable(オプション)
- config ap client-trace start
- 「mon」という用語
- exec-timeout 0 0
CWAの問題:
- debug capwap client avc all(オプション)
- CAPWAPクライアントACLのデバッグ
- debug client <client mac>
- debug dot11 client level info address <mac>(クライアントのMACアドレス)
- debug dot11 client level events address <mac>
- FlexConnect PMKのデバッグ
ユースケースのデバッグ
クライアントCWAのデバッグ
注意事項:
- SDAにCWAを導入するときは、常にDNACを使用して設定を導入してください。
- DNACを使用して導入されると、認可ポリシー、認証ポリシー、および認可プロファイルは、DNACによってISEにも導入されます。
- 認証のIDは、Dot1xと同様に手動で設定する必要があります
問題が発生した段階を確認します。
ステップ 1:クライアントがIPアドレスを取得し、Webauth Pendingに移行していますか。
- はいの場合は、次の手順に進みます。
- 「いいえ」の場合、問題は最初の参加段階にあります。
- WLCとAPの設定を確認します。
- ACLがAPにプッシュされ、WLCの内容と一致することを確認します。
- ACLが正しくプッシュされない場合は、APをリロードし、configがプッシュされない暫定的な状態であることを確認します。1つのAPで確認されたら、APのプロビジョニングがDNACを介して実行されていることを確認します。
ステップ 2:クライアントはリダイレクトページをロードできますか。
- はいの場合は、次の手順に進みます。
- そうでない場合は、問題が複数の場所に存在する可能性があります。
- WLCとAPの設定を確認します。
- ACLがAPにプッシュされ、WLCの内容と一致することを確認します。
- ACLが正しくプッシュされない場合は、APをリロードし、configがプッシュされない暫定的な状態であることを確認します。1つのAPで確認されたら、APのプロビジョニングがDNACを介して実行されていることを確認します。
- WLCからISEへの到達可能性、およびAPがISEに接続されているスイッチを確認します。間にファイアウォールがないことを確認する
- DNSが正しく設定されていることを確認します。
ステップ 3:クライアントはWebページを表示できますが、問題はログインと成功への移行にありますか。
- ステップ1とステップ2の設定を再確認してください。
- 認可プロファイル、認証ポリシー、および認可ポリシーが正しいことを確認します。
- ISEライブログの確認
- ユーザ名/パスワードがISE IDで正しく設定されていることを確認します。
- 問題がなければ、次のようにWLCとAPのデバッグを収集します。
1. WLCでのデバッグ:
- AireOS用とPolaris用の各showコマンドを次にまとめます。
AireOS:
- show run-config
- show wlan summary
- show wlan <id_for_Guest>(ゲスト用のshow wlan)
- show flexconnect aclの概要
- show flexconnect acl detailed <ACl_from_previous_command>
北極星:
- show running
- show tech-support wireless(登録ユーザ専用)
- show tech-supportワイヤレスファブリック
- show wlan summary
- show wlan id <id_for_guest>
- show ap name <AP_name> config general
- show running-config | sec ACL(セキュリティACL)
- show wireless profile flex summary(ワイヤレスプロファイルの柔軟性の要約を表示)
- show wireless profile flex detailed <profile_name_from_above>(ワイヤレスプロファイルの詳細を表示)
- AireOSおよびPolarisで次のデバッグを有効にします。
AireOS:
- debug client <client_mac>(クライアントモード)
- debug aaa all enable
- 問題を再現します。
- コンソール/ssh/telnetログの収集
Polares(9300/9400/9500):
set platform software trace wncd switch active r0 all-modules debug
問題を再現します。
show platform software trace message wncd switch active R0 reverse | redirect flash:<filename>
要求プラットフォームソフトウェアトレースアーカイブ
フラッシュから両方のファイルを収集します。
2. APでのデバッグ:
ACL情報を収集します。
show ip access-lists(隠しコマンド)
APから次のデバッグを収集します。
- debug capwap client avc all(オプション)
- CAPWAPクライアントACLのデバッグ
- debug client <client mac>
- debug dot11 client level info address <mac>(クライアントのMACアドレス)
- debug dot11 client level events address <mac>
- FlexConnect PMKのデバッグ
クライアントDHCPデバッグ
一部の問題は、次のデバッグを使用してデバッグできます。
1. スイッチでDHCP Discoverメッセージが表示されない。
2. ワイヤレスクライアントがDHCPオファーを取得しない。DHCP Discoverはdebug ip dhcp snooping packetログで観測されます。
3. APに接続されたポート、アップリンクポート、およびFusion側のDHCPサーバに接続されたポートで、パケットキャプチャを収集します。
デバッグ/表示コマンド。次のうちいずれかにすることができます。
1. SSIDがIPプールに割り当てられているかどうかをCisco DNA Centerで確認します。
2. WLCでWLANが有効になっているかどうかを確認します。
3. 無線が有効で、802.11aと802.11bの両方のネットワークが有効になっていることを確認します。
APでのクライアントパフォーマンスデバッグ
1. 問題を有線または無線に絞り込むか、両方に該当する同じVNIDでワイヤレスに接続しているクライアントで同じトラフィックをテストし、同じVNIDで有線の同じトラフィックをテストします。
2. 同じVN上のファブリック内の有線クライアントで問題が発生していないが、無線クライアントでは問題が発生している場合、問題はAP側にあります。
3. クライアントのパフォーマンスまたはトラフィック関連の問題をAP側でデバッグするには、まずクライアントの接続が問題ではないことを確認します。
4. WLCでdebug clientを使用して、ローミング中、セッションタイムアウト中、または同じAPへの安定した接続中に、クライアントでパフォーマンスの低下が観測されていることを確認します。
5. 問題が同じAPで発生することを絞り込んだら、次の手順に従って、APに接続されているスイッチでのパケットキャプチャおよびOver-the-Airパケットキャプチャとともに3800/2800/4800 APでのデバッグを収集します。
ステップ 1:問題の再現に使用されるトラフィックが実際に問題を模倣していることを確認します。
ステップ 2:テストを実行するお客様側で、Over-the-Air(OTA)パケットキャプチャを設定する必要があります。
Instructions for collecting over-the-air packet captures:
Here you find the guide how to set up an Over-The-Air packet capture, you can use a windows client machine, apple client machine or configure a sniffer mode AP (suggested). https://www.cisco.com/c/en/us/support/docs/wireless-mobility/80211/200527-Fundamentals-of-802-11-Wireless-Sniffing.html There are few things we need to consider: +Use an Open L2/L3 security SSID to avoid encryption on the packets through the air. +Set client-serving-AP and sniffer AP on the same channel. +Sniffer AP should be close enough to capture what serving-client-AP is receiving or sending. SPAN session should be taken at the same time than OTA pcap for a proper analysis, how to configure a SPAN session (swport traffic mirroring): Nexus switches: https://www.cisco.com/c/en/us/support/docs/switches/nexus-7000-series-switches/113038-span-nexus-config.html IOS switches: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/network_management/configuration_guide/b_nm_15ex_2960-x_cg/b_nm_15ex_2960-x_cg_chapter_0111.html
ステップ 3:WLCからのクライアントのデバッグと、APが接続されているスイッチからのパケットキャプチャスイッチEPCキャプチャを利用して、これらのログをキャプチャできます。
ステップ 4:3800 AP ssh/telnetセッションからのデバッグ
Logs to be collected from 3800 AP: A) Run following commands once before starting the test. [Once all commands are tested, copy all commands in a text file so that it is easy to copy and paste on devshell, we would need multiple iterations of this command outputs during the test] Step A Devshell commands on AP - Use SSH. -------------------------------------------------- 1) To Get wired0 input packet count date cd /click/fromdev_wired0/ cat icounts ocounts calls 2) Fabric gateway and clients cat /click/client_ip_table/cli_fabric_clients cd /click/fabric_tunnel/ cat show_fabric_gw 3) Tunnel Decap stats cd /click/tunnel_decap/ cat icounts ocounts tunnel_decap_stats tunnel_decap_no_match decap_vxlan_stats cat tunnel_decap_list 4) Tunnel Encap stats cd /click/tunnel_encap/ cat icounts ocounts tunnel_encap_stats encap_vxlan_stats tunnel_encap_discard cat get_mtu eogre_encap_list 5) Wireless client stats
注:正しいradio vap comboで最後のコマンドセットを発行する必要があります。たとえば、クライアントが無線1上にある場合、vap 1: cat /click/client_ip_table/list = From the output, Check client connected port/interface aprXvY, use the same to obtain below output. cd /click/fromdev_ apr1v3/ cat icounts calls cd /click/todev_ apr1v3/ cat icounts calls Steps B - E B) AP間のOTAを開始します。クライアント.有線PCAP(クライアントが接続されているAPポートのスパニング)を開始します。 (分析には有線と無線の両方のpcapが必要です)。C)オープン認証WLANを使用します(OTA pcapの分析にセキュリティはありません)。 iperfテストを開始し、10 ~ 15分間連続して実行します。D) dateコマンドを使用して、2分ごとにステップAを繰り返します。5回以上繰り返します。E)テストの完了後、APからshow techを収集します。
APオンボーディング
従来の方法/手順:
AP VLANスコープには、WLCを指すオプション43またはオプション60があると見なされます。
1. 「認証」に「認証なし」を選択します。
2. AP IPプールを使用してInfra_VNを、ワイヤレスクライアントIPプールを使用してDefault_VNを設定します。
3. APがInfra_VNに接続されているエッジインターフェイスポートを設定します。
4. APがIPを取得してWLCに参加すると、デバイスインベントリで検出されます。
5. APを選択して特定のサイトに割り当て、APをプロビジョニングします。
6. プロビジョニングが完了すると、APは、ファブリックへのWLCの追加中に作成されたAPグループに割り当てられます。
プラグアンドプレイ/ゼロタッチAPプロビジョニング
AP VLANスコープには、Cisco DNA Centerを指すオプション43が含まれるものと見なされます。DNACガイドに従ってAP PNPを設定する
ファブリックエッジ側:
次のデバッグを有効にします。
- debug ip dhcp snooping packet
- debug ip dhcp snooping event(登録ユーザ専用)
フィードバック