Cisco DNA Center에서 무선- 소프트웨어 정의 액세스 문제 해결
다운로드 옵션
편견 없는 언어
본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
이 번역에 관하여
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
목차
소개
이 문서에서는 무선 FAQ와 Cisco DNA Center에서 소프트웨어 정의 액세스 문제를 해결하는 방법에 대해 설명합니다.
패브릭용 명령 치트 시트
다음은 제어 노드, 에지 노드, WLC(Wireless Lan Controller) 및 AP(Access Point)의 패브릭에 대한 명령 치트 시트입니다.
제어 노드:
- show lisp instance-id <L2 ap instance id> 이더넷 서버 - MAC에서 EID(엔드포인트 ID) 매핑
- show lisp instance-id <L3 ap instance id> ipv4 server - IP-EID 매핑
- show lisp instance-id 8188 ethernet server address-resolution - 특정 인스턴스 ID에 대한 MAC-IP 매핑
- lisp 사이트 표시
- show tech-support
- show tech-support lisp
에지 노드:
- show lisp instance-id <L2 ap instance id> 이더넷 데이터베이스 wlc
- show lisp instance-id <L2 client instance id> ethernet database wlc
- show access-tunnel 요약
- show platform software fed switch active ifm interface access-tunnel
- show platform software access-tunnel switch active R0
- show platform software access-tunnel switch active R0 통계
- show platform software access-tunnel switch active F0
- show platform software access-tunnel switch active F0 통계
- show platform software object-manager switch active F0 statistics
- show platform software object-manager switch active F0 pending-issue-update
- show platform software object-manager switch active F0 pending-ack-update
- show platform software object-manager switch active F0 error-object
- show tech-support
- show tech-support lisp
WLC (AireOS):
- show fabric ap summary
- 패브릭 요약 표시
- show fabric map-server 요약
- show run-config
- show run-config 명령
- show tech
WLC(IOS-XE)
- ap 요약 표시
- show fabric ap summary
- show wireless fabric 요약
- 무선 클라이언트 요약 표시
- show tech-support wireless
- show tech-support wireless fabric
- show tech-support lisp(9300/9400/9500에서 Fabric in a box 또는 Embedded 무선이 실행되는 경우)
- show tech-support(9300/9400/9500에서 Fabric in a box 또는 Embedded 무선이 실행되는 경우)
액세스 포인트:
- show ip tunnel fabric
- show tech-support
Cisco DNA Center의 AireOS WLC 구성 푸시
여기에서는 프로비저닝 후 Cisco DNA Center에서 AireOS WLC 컨피그레이션 푸시를 보여줍니다(참고: 참조를 3504 WLC로 사용).
show radius summary after WLC Provisioning:
(sdawlc3504) >show radius summary
Vendor Id Backward Compatibility................. Disabled
Call Station Id Case............................. lower
Accounting Call Station Id Type.................. Mac Address
Auth Call Station Id Type........................ AP's Radio MAC Address:SSID
Extended Source Ports Support.................... Enabled
Aggressive Failover.............................. Disabled
Keywrap.......................................... Disabled
Fallback Test:
Test Mode.................................... Passive
Probe User Name.............................. cisco-probe
Interval (in seconds)........................ 300
MAC Delimiter for Authentication Messages........ hyphen
MAC Delimiter for Accounting Messages............ hyphen
RADIUS Authentication Framed-MTU................. 1300 Bytes
Authentication Servers
Idx Type Server Address Port State Tout MgmtTout RFC3576 IPSec - state/Profile Name/RadiusRegionString
--- ---- ---------------- ------ -------- ---- -------- ------- -------------------------------------------------------
1 * NM 192.168.2.193 1812 Enabled 2 5 Enabled Disabled - /none
2 M 172.27.121.193 1812 Enabled 2 5 Enabled Disabled - /none
WLAN Config Push(WLAN 컨피그레이션 푸시)는 show wlan summary(wlan 요약 표시)에 표시됩니다.
(sdawlc3504) >show wlan summary Number of WLANs.................................. 7 WLAN ID WLAN Profile Name / SSID Status Interface Name PMIPv6 Mobility ------- ----------------------------------------------------------------------- -------- -------------------- --------------- 1 Test / Test Enabled management none 17 dnac_guest_F_global_5dfbd_17 / dnac_guest_206 Disabled management none 18 dnac_psk_2_F_global_5dfbd_18 / dnac_psk_206 Disabled management none 19 dnac_wpa2__F_global_5dfbd_19 / dnac_wpa2_206 Enabled management none 20 dnac_open__F_global_5dfbd_20 / dnac_open_206 Enabled management none 21 Test!23_F_global_5dfbd_21 / Test!23 Disabled management none
Cisco DNA Center에서 WLC 컨피그레이션 푸시
여기에서는 WLC가 패브릭에 추가된 후 Cisco DNA Center에서 WLC 컨피그레이션 푸시를 보여줍니다.
맵 서버에 연결할 수 있는지 확인하는 방법
show fabric map-server summary는 WLC가 패브릭에 추가된 후에 표시됩니다.
(sdawlc3504) >show fabric map-server summary MS-IP Connection status -------------------------------- 192.168.4.45 UP 192.168.4.66 UP
Debug Fabric Map-Server 연결
CP(Control Plane) 연결은 여러 가지 이유로 인해 중단되거나 중단될 수 있습니다.
- CP가 다운된 경우 (이 경우에는 해당 없음)
- WLC를 CP에 연결하는 중간 노드(예: fusion router)가 중단됩니다.
- WLC에 대한 CP 연결이 링크 다운으로 인해 다운된 경우 이는 WLC를 직접 인접 디바이스에 연결하거나 WLC를 직접 인접 디바이스에 연결할 수 있습니다.
show fabric map-server detailed
show fabric TCP creation-history <맵 서버 IP>
추가 정보를 제공할 수 있는 디버그
debug fabric lisp map-server tcp enable
debug fabric lisp map-server all enable
패브릭이 활성화되었는지 확인하는 방법 및 예상 출력은 무엇입니까?
패브릭에 WLC를 추가한 후 패브릭 요약을 표시합니다.
(sdawlc3504) >show fabric summary Fabric Support................................... enabled Enterprise Control Plane MS config -------------------------------------- Primary Active MAP Server IP Address....................................... 192.168.4.45 Secondary Active MAP Server IP Address....................................... 192.168.4.66 Guest Control Plane MS config ------------------------------- Fabric TCP keep alive config ---------------------------- Fabric MS TCP retry count configured ............ 3 Fabric MS TCP timeout configured ................ 10 Fabric MS TCP keep alive interval configured .... 10 Fabric Interface name configured .............. management Fabric Clients registered ..................... 0 Fabric wlans enabled .......................... 3 Fabric APs total Registration sent ............ 30 Fabric APs total DeRegistration sent .......... 9 Fabric AP RLOC reguested ...................... 15 Fabric AP RLOC response received .............. 30 Fabric AP RLOC send to standby ................ 0 Fabric APs registered by WLC .................. 6 VNID Mappings configured: 4 Name L2-Vnid L3-Vnid IP Address/Subnet -------------------------------- ---------- ---------- --------------------------------- 182_10_50_0-INFRA_VN 8188 4097 182.10.50.0 / 255.255.255.128 10_10_10_0-Guest_Area 8190 0 0.0.0.0 / 0.0.0.0 182_10_100_0-DEFAULT_VN 8191 0 0.0.0.0 / 0.0.0.0 182_11_0_0-DEFAULT_VN 8189 0 0.0.0.0 / 0.0.0.0 Fabric Flex-Acl-tables Status -------------------------------- ------- DNAC_FABRIC_FLEX_ACL_TEMPLATE Applied Fabric Enabled Wlan summary WLAN ID SSID Type L2 Vnid SGT RLOC IP Clients VNID Name ------- -------------------------------- ---- ---------- ------ --------------- ------- -------------------------------- 19 dnac_wpa2_206 WLAN 8189 0 0.0.0.0 0 182_11_0_0-DEFAULT_VN 20 dnac_open_206 WLAN 8189 0 0.0.0.0 0 182_11_0_0-DEFAULT_VN
Cisco DNA Center에서 WLAN 컨피그레이션 푸시
Cisco DNA Center의 WLAN 컨피그레이션 푸시는 WLC가 패브릭에 추가되고 클라이언트 IP 풀이 Provision(프로비저닝) > Fabric(패브릭) > Host Onboarding(호스트 온보딩)에서 Fabric Wireless LAN(WLAN)에 할당된 후 show fabric wlan summary(패브릭 wlan 요약 표시)에 표시됩니다.
패브릭 프로비저닝 후 패브릭 wlan 요약을 표시합니다.
(sdawlc3504) >show fabric wlan summary WLAN ID SSID Type L2 Vnid SGT RLOC IP Clients VNID Name ------- -------------------------------- ---- ---------- ------ --------------- ------- -------------------------------- 19 dnac_wpa2_206 WLAN 8189 0 0.0.0.0 0 182_11_0_0-DEFAULT_VN 20 dnac_open_206 WLAN 8189 0 0.0.0.0 0 182_11_0_0-DEFAULT_VN
무선 문제 디버그
AP 조인 디버깅/액세스 터널 형성 디버깅
1. AP에 IP 주소가 있는지 확인합니다.
show ip dhcp snooping binding → on Fabric Edge
연결된 AP 인터페이스에 대한 IP가 표시되지 않으면 스위치에서 이러한 디버그를 활성화하고 AP가 IP를 받는지 확인하십시오.
debug ip dhcp snooping 패킷
debug ip dhcp snooping event
아래 첨부된 샘플 로그 →
예:
Floor_Edge-6#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
0C:75:BD:0D:46:60 182.10.50.7 670544 dhcp-snooping 1021 GigabitEthernet1/0/7 → AP interface should be having an IP
2. AP가 WLC에 조인하는지 확인합니다.
- wlc의 ap 요약 → 표시
- show ap join stat summary on WLC →
AP가 WLC에 조인하지 않은 경우 WLC에서 이러한 디버그를 활성화합니다.
- debug capwap events enable
- 디버그 capwap 오류 활성화
3. AP가 CAPWAP를 형성하지만 AP와 스위치 사이에 액세스 터널이 형성되지 않은 경우 다음 검사를 수행하십시오
1단계. WLC의 AP에 RLOC IP가 있는지 여부(없는 경우) 여기서 체크포인트 1을 확인하십시오.
1. 패브릭 컨트롤 플레인 프로토콜의 복원력을 높이려면 각 패브릭 노드의 전역 라우팅 테이블에 WLC에 대한 특정 경로가 있어야 합니다. WLC의 IP 주소에 대한 경로는 Border(경계)에서 언더레이 IGP 프로토콜로 재배포하거나 각 노드에서 정적으로 구성해야 합니다. 즉, 기본 경로를 통해 WLC에 연결할 수 없습니다.
2단계. WLC의 AP에 올바른 RLOC가 표시되고 show fabric summary에 RLOC로 요청된 RLOC가 정상으로 수신된 것으로 표시되면 다음 단계를 확인하십시오
2. Control Plane(컨트롤 플레인) 노드, show lisp instance-id <L2 ap instance id> ethernet server(AP에 대한 기본 무선 MAC 포함)를 확인합니다→
패브릭 에지 노드에서 show lisp instance-id <L2 ap instance id> ethernet database wlc → AP의 이더넷 MAC이 아니라 AP용 Base Radio MAC을 포함해야 합니다.
위의 두 명령이 AP의 Base Radio MAC을 표시하지 않고 액세스 터널이 생성되지 않는 경우 제어 평면에서 debug lisp control-plane all을 활성화하고 로깅에서 Base Radio MAC을 검색합니다.
참고: debug lisp control-plane all on Control plane은 정말 수다스럽습니다. 디버그를 켜기 전에 콘솔 로깅을 비활성화하십시오.
여기에 표시된 인증 실패가 표시되면 WLC와 CP 노드 간의 인증 키를 확인하십시오.
Dec 7 17:42:01.655: LISP-0: MS Site EID IID 8188 prefix any-mac SVC_VLAN_IAF_MAC site site_uci, Registration failed authentication for more specific 2c0b.e9c6.ec80/48
Dec 7 17:42:01.659: LISP-0: Building reliable registration message registration-rejected for IID 8188 EID 2c0b.e9c6.ec80/48 , Rejection Code: authentication failure/2.WLC와 CP 간의 패브릭 컨피그레이션에서 인증 키를 확인하는 방법.
WLC에서 Controller(컨트롤러) > Fabric Configuration(패브릭 컨피그레이션) > Control Plane(컨트롤 플레인) > (Pre Shared Key(사전 공유 키) 아래의 GUI를 확인하십시오.
On CP, please check on switch using sh running-config | b map-server session
CP#sh running-config | b map-server session
map-server session passive-open WLC
site site_uci
description map-server configured from apic-em
authentication-key
참고: 일반적으로 Cisco DNA Center는 이 키를 푸시하므로 필요한 경우가 아니면 변경하지 말고 CP/WLC에 무엇이 구성되어 있는지 알고 있어야 합니다.]
4. Access-tunnels에 대한 일반 검사 및 표시 명령
- show access-tunnel 요약
Floor_Edge-6#sh access-tunnel summary Access Tunnels General Statistics: Number of AccessTunnel Data Tunnels = 5 Name SrcIP SrcPort DestIP DstPort VrfId ------ --------------- ------- --------------- ------- ---- Ac4 192.168.4.68 N/A 182.10.50.6 4789 0 Ac24 192.168.4.68 N/A 182.10.50.5 4789 0 Ac19 192.168.4.68 N/A 182.10.50.8 4789 0 Ac15 192.168.4.68 N/A 182.10.50.7 4789 0 Ac14 192.168.4.68 N/A 182.10.50.2 4789 0 Name IfId Uptime ------ ---------- -------------------- Ac4 0x00000037 2 days, 20:35:29 Ac24 0x0000004C 1 days, 21:23:16 Ac19 0x00000047 1 days, 21:20:08 Ac15 0x00000043 1 days, 21:09:53 Ac14 0x00000042 1 days, 21:03:20
- show platform software fed switch active ifm interface access-tunnel
Floor_Edge-6#show platform software fed switch active ifm interfaces access-tunnel Interface IF_ID State ---------------------------------------------------------------- Ac4 0x00000037 READY Ac14 0x00000042 READY Ac15 0x00000043 READY Ac19 0x00000047 READY Ac24 0x0000004c READY Floor_Edge-6#
b) 명령의 Access-tunnels가 a) 보다 높으면 문제가 됩니다. 여기서 Fed 항목은 Fabric Edge에서 올바르게 지워지지 않았으므로 IOS와 비교하여 Fed에 여러 개의 액세스 터널 항목이 있습니다. 여기에 표시된 명령을 실행한 후 대상 IP를 비교합니다. 여러 액세스 터널이 동일한 대상 IP를 공유하는 경우 프로그래밍의 문제가 됩니다.
- show platform software fed switch active ifm if-id <각 AP IF-ID>
참고: 각 IF-ID는 이전 명령에서 가져올 수 있습니다.
Floor_Edge-6#show platform software fed switch active ifm if-id 0x00000037
Interface IF_ID : 0x0000000000000037
Interface Name : Ac4
Interface Block Pointer : 0xffc0b04c58
Interface State : READY
Interface Status : ADD
Interface Ref-Cnt : 2
Interface Type : ACCESS_TUNNEL
Tunnel Type : L2Lisp
Encap Type : VxLan
IF_ID : 0x37
Port Information
Handle ............ [0x2e000094]
Type .............. [Access-tunnel]
Identifier ........ [0x37]
Unit .............. [55]
Access tunnel Port Logical Subblock
Access Tunnel id : 0x37
Switch Num : 1
Asic Num : 0
PORT LE handle : 0xffc0b03c58
L3IF LE handle : 0xffc0e24608
DI handle : 0xffc02cdf48
RCP service id : 0x0
HTM handle decap : 0xffc0e26428
RI handle decap : 0xffc0afb1f8
SI handle decap : 0xffc0e26aa8
RCP opq info : 0x1
L2 Brdcast RI handle : 0xffc0e26808
GPN : 3201
Encap type : VXLAN
L3 protocol : 17
Src IP : 192.168.4.68
Dest IP : 182.10.50.6
Dest Port : 4789
Underlay VRF : 0
XID cpp handle : 0xffc03038f8
Port L2 Subblock
Enabled ............. [No]
Allow dot1q ......... [No]
Allow native ........ [No]
Default VLAN ........ [0]
Allow priority tag ... [No]
Allow unknown unicast [No]
Allow unknown multicast[No]
Allow unknown broadcast[No]
Allow unknown multicast[Enabled]
Allow unknown unicast [Enabled]
IPv4 ARP snoop ....... [No]
IPv6 ARP snoop ....... [No]
Jumbo MTU ............ [0]
Learning Mode ........ [0]
Port QoS Subblock
Trust Type .................... [0x7]
Default Value ................. [0]
Ingress Table Map ............. [0x0]
Egress Table Map .............. [0x0]
Queue Map ..................... [0x0]
Port Netflow Subblock
Port CTS Subblock
Disable SGACL .................... [0x0]
Trust ............................ [0x0]
Propagate ........................ [0x1]
%Port SGT .......................... [-180754391]
Ref Count : 2 (feature Ref Counts + 1)
IFM Feature Ref Counts
FID : 91, Ref Count : 1
No Sub Blocks Present
- show platform software access-tunnel switch active R0
Floor_Edge-6#show platform software access-tunnel switch active R0 Name SrcIp DstIp DstPort VrfId Iif_id --------------------------------------------------------------------- Ac4 192.168.4.68 182.10.50.6 0x12b5 0x0000 0x000037 Ac14 192.168.4.68 182.10.50.2 0x12b5 0x0000 0x000042 Ac15 192.168.4.68 182.10.50.7 0x12b5 0x0000 0x000043 Ac19 192.168.4.68 182.10.50.8 0x12b5 0x0000 0x000047 Ac24 192.168.4.68 182.10.50.5 0x12b5 0x0000 0x00004c
- show platform software access-tunnel switch active R0 통계
Floor_Edge-6#show platform software access-tunnel switch active R0 statistics Access Tunnel Counters (Success/Failure) ------------------------------------------ Create 6/0 Create Obj Download 6/0 Delete 3/0 Delete Obj Download 3/0 NACK 0/0
- show platform software access-tunnel switch active F0
Floor_Edge-6#show platform software access-tunnel switch active F0 Name SrcIp DstIp DstPort VrfId Iif_id Obj_id Status -------------------------------------------------------------------------------------------- Ac4 192.168.4.68 182.10.50.6 0x12b5 0x000 0x000037 0x00d270 Done Ac14 192.168.4.68 182.10.50.2 0x12b5 0x000 0x000042 0x03cbca Done Ac15 192.168.4.68 182.10.50.7 0x12b5 0x000 0x000043 0x03cb9b Done Ac19 192.168.4.68 182.10.50.8 0x12b5 0x000 0x000047 0x03cb6b Done Ac24 192.168.4.68 182.10.50.5 0x12b5 0x000 0x00004c 0x03caf4 Done
- show platform software access-tunnel switch active F0 통계
Floor_Edge-6#show platform software access-tunnel switch active F0 statistics Access Tunnel Counters (Success/Failure) ------------------------------------------ Create 0/0 Delete 3/0 HW Create 6/0 HW Delete 3/0 Create Ack 6/0 Delete Ack 3/0 NACK Notify 0/0
- show platform software object-manager switch active f0 statistics
Floor_Edge-6#show platform software object-manager switch active f0 statistics Forwarding Manager Asynchronous Object Manager Statistics Object update: Pending-issue: 0, Pending-acknowledgement: 0 Batch begin: Pending-issue: 0, Pending-acknowledgement: 0 Batch end: Pending-issue: 0, Pending-acknowledgement: 0 Command: Pending-acknowledgement: 0 Total-objects: 987 Stale-objects: 0 Resolve-objects: 3 Error-objects: 1 Paused-types: 0
- show platform software object-manager switch active f0 pending-issue-update
- show platform software object-manager switch active f0 pending-ack-update
- show platform software object-manager switch active f0 error-object
5. 수거가 필요한 흔적 및 디버거(디버거)
1단계. 추적/디버그를 활성화하기 전에 아카이브 로그 수집
요청 플랫폼 소프트웨어 추적 아카이브 대상 플래시:<파일 이름>
Floor_Edge-6#request platform software trace archive target flash:Floor_Edge-6_12_14_18 Waiting for trace files to get rotated. Creating archive file [flash:Floor_Edge-6_12_14_18.tar.gz] Done with creation of the archive file: [flash:Floor_Edge-6_12_14_18.tar.gz]
2단계. 로깅 버퍼를 늘리고 콘솔을 비활성화합니다.
Floor_Edge-6(config)#logging buffered 214748364 Floor_Edge-6(config)#no logging console
3단계. 추적을 설정합니다.
- 플랫폼 소프트웨어 추적 포워딩 스위치 활성 R0 access-tunnel verbose 설정
- 플랫폼 소프트웨어 추적 전달 스위치 활성 F0 access-tunnel verbose 설정
- 플랫폼 소프트웨어 추적 fed 스위치 활성 ifm_main 디버그 설정
- 플랫폼 소프트웨어 추적 fed 스위치 active access_tunnel verbose 설정
- set platform software trace forwarding-manager switch active F0 aom verbose
4단계. 디버그를 활성화합니다.
- 모두 l2lisp 디버그
- lisp 컨트롤 플레인 모두 디버그
- 플랫폼 소프트웨어 l2lisp 이벤트 디버그
5단계. AP가 연결된 인터페이스 포트를 닫거나 닫지 않습니다.
6단계. 1단계와 동일한 아카이브 로그를 다른 파일 이름으로 수집합니다.
7단계. 로깅 파일을 플래시로 리디렉션합니다.
Floor_Edge-6#로깅 표시 | 플래시 리디렉션:<파일 이름>
Floor_Edge-6#show logging | redirect flash:console_logs_Floor_Edge-6_12_14_18
클라이언트 디버깅
SDA에서 무선 클라이언트의 문제를 몇 가지 까다로운 될 수 있습니다.
이 워크플로를 따라 한 번에 하나의 디바이스를 제거하십시오.
1. WLC
2. 패브릭 에지
3. 액세스 포인트(패브릭 에지 포인트에서 AP로 디버깅하는 경우)
4. 중간·경계 노드 (데이터 경로에 문제가 있는 경우)
5. 컨트롤 플레인 노드 (제어 경로 문제인 경우)
WLC 디버깅
클라이언트 연결 문제의 경우 show 명령 및 디버그가 포함된 WLC에 대한 정보를 수집하여 디버깅을 시작하십시오.
AireOS WLC show 명령:
- show run-config
- show tech
- wlan 요약 표시
- show wlan <id> —> 모든 SSID에 대해 이 출력을 수집합니다(작동 및 비작동 시 최소 1개).
- 패브릭 요약 표시
- show fabric map-server 요약
- 클라이언트 요약 표시
- 클라이언트 세부 정보 표시 <mac_id>
AireOS WLC 디버그 명령:
- debug client <mac1> —> 클라이언트 연결, 로밍, 디버그
- debug fabric client detail enable —> 패브릭 등록 메시지에 대한 정보를 제공합니다
패브릭 에지 디버깅
WLC에서 디버깅한 후 클라이언트에 대해 제어 평면 경로 관련 문제가 없음을 확인했습니다. 클라이언트는 Assoc, Authentication에서 이동하여 올바른 SGT 태깅 또는 AAA 매개변수로 상태를 실행합니다. 문제를 더 격리하려면 이 단계로 이동하십시오.
또 다른 확인은 위의 AP 디버깅 섹션에 설명된 대로 액세스 터널 프로그래밍이 올바르다는 것입니다.
show 명령을 사용하여 확인합니다.
에서 L2 lisp 인스턴스 ID 찾기(위의 show client detail <mac_id>)
show lisp instance-idethernet database wlc --> This lists all WLC associated clients for that specific L2 lisp instance ID. A number of sources should match the number of Control plane nodes in the network show lisp instance-idethernet database wlc --> This shows the detail for the specific client show device-tracking database | i Vl --> Find Specific SVI where the client is connected and needs to be present. show device-tracking database | i--> Find the client entry, should be against correct VLAN, Interface, State, and Age. show mac address-table dynamic vlan --> The entry for the mac should match the device-tracking database, if it does please check mac address entry on FED show ip dhcp snooping binding vlan show ip arp vrf show mac address-table vlan show platform software fed switch active matm macTable vlan --> If this is correct, programming for wireless client is happening correctly on local switch. show platform software matm switch active F0 mac
패브릭 에지의 디버그 명령
Fabric Edge에서 클라이언트 항목의 프로그래밍에 문제가 있는 경우 Fed 추적을 수집해야 합니다. 이러한 디버그를 활성화한 후 동일한 작업을 수행하는 방법에는 두 가지가 있습니다.
디버깅 및 set 명령은 메서드와 상관없이 활성화해야 합니다.
- set platform software trace fed switch active all-module emergency
- 플랫폼 소프트웨어 추적 fed 스위치 활성 l2_fib_entry verbose 설정
- 플랫폼 소프트웨어 추적 fed 스위치 활성 l2_fib_adj verbose 설정
- set platform software trace fed switch active inject verbose
- 플랫폼 소프트웨어 추적 fed 스위치 active matm verbose 설정
debug(콘솔 로깅을 비활성화하고 로깅 버퍼를 높여야 함)
- 디바이스 추적 디버그
- lisp 컨트롤 플레인 모두 디버그
- 플랫폼 fhs 모두 디버그
- 플랫폼 소프트웨어 l2lisp 이벤트 디버그
- 모두 디버그
메서드 1. 디버그를 활성화한 후 특정 클라이언트에 대한 무선 활성 추적 로그를 수집합니다.
참고: dhcp 문제가 있는 경우 이 방법을 사용하지 마십시오.]
문제가 다시 발생할 때까지 대기
- 디버그 플랫폼 조건 mac <mac-id> 컨트롤 플레인
- 디버그 플랫폼 조건 시작
- 디버그 플랫폼 조건 중지
- 요청 플랫폼 소프트 추적 필터-이진 무선 컨텍스트 mac <mac-id>
문제가 재현된 후 콘솔 로그를 플래시로 리디렉션합니다.
메서드 2. 디버그를 활성화한 후 아카이브 추적 로그를 수집합니다.
문제가 다시 발생할 때까지 대기
플랫폼 소프트웨어 추적 아카이브 요청
파일을 수집하여 로그를 디코딩하고 클라이언트 mac에 대한 fed, ios, fman 로그를 분석합니다.
문제가 재현된 후 콘솔 로그를 플래시로 리디렉션합니다.
액세스 포인트 디버깅
2800/3800/1562 AP 모델에서 디버깅:
AP 측 문제의 경우, AP 측 로그를 수집하고 SR에 연결하기 전에 모든 WLC show 명령 및 로그를 수집해야 합니다.
클라이언트 측에서 데이터 관련 문제를 디버깅하려면 다음 단계를 수행하십시오.
1. AP show 명령을 수집합니다. (테스트 완료 전후로 2~3회)
- 시계 표시
- 기간 len 0
- 학기 월
- show tech
- 로깅 표시
- show controller nss stats show controller nss status
- show ip tunnel fabric
CWA 문제인 경우 상위 명령 외에 아래 로그도 수집하십시오. 아래 명령은 테스트 완료 전후에 한 번 수집해야 합니다.
- show client access-lists 사전 인증 all <client mac>
- show client access-lists post-auth all <client mac>
- ip 액세스 목록 표시
- show controller d [0/1] client
- show capwap cli detailrcb
- 기술 지원 표시
2. AP 디버그(MAC 주소당 필터)
클라이언트 데이터 경로 문제:
- debug dot11 클라이언트 데이터 경로 eapol addr <mac>
- debug dot11 클라이언트 데이터 경로 dhcp addr <mac>
- debug dot11 클라이언트 데이터 경로 arp addr <mac>
클라이언트 AP 추적:
- config ap client-trace address add <mac>
- config ap client-trace output console-log enable
- config ap client-trace filter all enable
- config ap client-trace filter 프로브 비활성화
- config ap client-trace start
- 학기 월
- exec-timeout 0 0
CWA 문제:
- debug capwap client avc all
- debug capwap 클라이언트 acl
- debug client <client mac>
- debug dot11 클라이언트 수준 정보 주소 <mac>
- debug dot11 client level events address <mac>
- flexconnect pmk 디버그
활용 사례 디버깅
클라이언트 CWA 디버깅
참고 사항:
- SDA에서 CWA를 구축할 때는 항상 DNAC를 사용하여 컨피그레이션을 구축합니다.
- DNAC를 사용하여 구축되면 권한 부여 정책, 인증 정책 및 권한 부여 프로필도 DNAC에서 ISE에 구축됩니다.
- Dot1x에 대해 수행한 것처럼 인증용 ID를 수동으로 구성해야 합니다.
문제가 어느 단계에서 관찰되는지 알아보십시오.
1단계. 클라이언트가 IP 주소를 얻고 Webauth로 이동하는 것이 보류 중입니까?
- 대답이 "예"인 경우 다음 단계로 이동합니다.
- 대답이 "아니요"일 경우 문제는 가입 초기 단계에 있습니다.
- WLC 및 AP의 컨피그레이션을 확인합니다.
- ACL이 AP에서 푸시되고 있는지 확인하고 WLC의 내용과 일치
- ACL이 올바르게 푸시되지 않으면 AP를 다시 로드하고, 컨피그레이션이 푸시되지 않는 중간 상태인지 확인합니다. 1개 AP에서 확인했으면 DNAC를 통해 AP 프로비저닝이 완료되었는지 확인합니다.
2단계. 클라이언트가 리디렉션 페이지를 로드할 수 있습니까?
- 대답이 "예"인 경우 다음 단계로 이동합니다.
- 대답이 "아니요"일 경우 여러 곳에서 문제가 발생할 수 있습니다.
- WLC 및 AP의 컨피그레이션을 확인합니다.
- ACL이 AP에서 푸시되고 있는지 확인하고 WLC의 내용과 일치
- ACL이 올바르게 푸시되지 않으면 AP를 다시 로드하고, 컨피그레이션이 푸시되지 않는 중간 상태인지 확인합니다. 1개 AP에서 확인했으면 DNAC를 통해 AP 프로비저닝이 완료되었는지 확인합니다.
- WLC에서 ISE 및 AP가 ISE에 연결된 스위치로의 연결성을 확인합니다. 그 사이에 방화벽이 없는지 확인
- DNS가 올바르게 구성되었는지 확인하십시오.
3단계. 클라이언트가 웹 페이지를 볼 수 있지만 로그인 및 성공으로 이동하는 데 문제가 있습니까?
- 1단계와 2단계 구성을 다시 확인합니다.
- 권한 부여 프로파일, 인증 정책 및 권한 부여 정책이 올바른지 확인합니다.
- ISE 라이브 로그 확인
- 사용자 이름/비밀번호가 ISE ID에 올바르게 구성되어 있는지 확인합니다.
- WLC와 AP에서 모든 것이 좋아 보이는 경우 아래와 같이 디버그를 수집합니다.
1. WLC에서 디버깅:
- Collect below는 각각 AireOS 및 Polaris에 대한 명령을 보여줍니다.
AireOS:
- show run-config
- wlan 요약 표시
- show wlan <id_for_Guest>
- show flexconnect acl 요약
- show flexconnect acl detailed <ACl_from_previous_command>
폴라리스:
- 실행 중 표시
- show tech-support wireless
- show tech-support wireless fabric
- wlan 요약 표시
- show wlan id <id_for_guest>
- show ap name <AP_name> config general
- show running-config | 초 ACL
- show wireless profile flex summary
- show wireless profile flex detailed <profile_name_from_above>
- AireOS 및 Polaris에서 이러한 디버그를 활성화합니다.
AireOS:
- 디버그 클라이언트 <client_mac>
- debug aaa all enable
- 문제 재현
- 콘솔/ssh/텔넷 로그 수집
폴란드어(9300/9400/9500):
set platform software trace wncd switch active r0 all-modules 디버그
문제 재현
show platform software trace message(플랫폼 소프트웨어 추적 메시지) wncd switch active R0 reverse | 플래시 리디렉션:<파일 이름>
플랫폼 소프트웨어 추적 아카이브 요청
플래시에서 두 파일 모두 수집
2. AP에서 디버깅:
ACL 정보 수집:
ip 액세스 목록 표시
AP에서 아래 디버그를 수집합니다.
- debug capwap client avc all
- debug capwap 클라이언트 acl
- debug client <client mac>
- debug dot11 클라이언트 수준 정보 주소 <mac>
- debug dot11 client level events address <mac>
- flexconnect pmk 디버그
클라이언트 DHCP 디버깅
이러한 디버그를 사용하여 일부 문제를 디버깅할 수 있습니다.
1. 스위치에 DHCP Discover 메시지가 표시되지 않습니다.
2. 무선 클라이언트가 DHCP 제안을 받지 않습니다. DHCP Discover(DHCP 검색)는 debug ip dhcp snooping 패킷 로그에서 관찰됩니다.
3. AP에 연결된 포트, 업링크 포트 및 퓨전 측의 DHCP 서버에 연결된 포트에서 패킷 캡처를 수집합니다.
디버깅/표시 명령은 다음과 같을 수 있습니다.
1. SSID가 IP 풀에 할당된 경우 Cisco DNA Center를 확인합니다.
2. WLAN이 WLC에서 활성화되어 있는지 확인합니다.
3. 무선 장치가 활성화되어 있고 802.11a 및 802.11b 네트워크가 모두 활성화되어 있는지 확인합니다.
AP의 클라이언트 성능 디버깅
1. 문제를 유선 또는 무선으로 좁히거나 둘 다에 영향을 줍니다. 동일한 VNID의 무선에 연결된 클라이언트에서 동일한 트래픽을 테스트하고 동일한 VNID의 유선에서 동일한 트래픽을 테스트합니다.
2. 동일한 VN에 있는 패브릭의 유선 클라이언트에 문제가 없지만 무선 클라이언트에 문제가 있는 경우, 문제는 AP측에 있습니다.
3. 클라이언트 성능 또는 트래픽 관련 문제에 대해 AP 측에서 디버깅하려면 먼저 클라이언트 연결이 문제가 아닌지 확인하십시오.
4. 클라이언트가 로밍 중, 세션 시간 초과 또는 동일한 AP에 안정적인 연결 중에 성능 저하를 관찰하고 있는지 WLC에서 디버그 클라이언트를 사용하십시오.
5. 문제가 동일한 AP에 있는 것으로 좁히면 다음 단계에 따라 3800/2800/4800 AP에 대한 디버그를 수집하고 AP에 연결된 스위치의 패킷 캡처 및 OTA(over-the-air) 패킷 캡처를 수집합니다.
1단계. 문제를 재현하는 데 사용되는 트래픽이 실제로 문제를 모방하는지 확인합니다.
2단계. 테스트를 수행한 고객 측에서 OTA(Over-the-Air) 패킷 캡처를 설정해야 합니다.
Instructions for collecting over-the-air packet captures:
Here you find the guide how to set up an Over-The-Air packet capture, you can use a windows client machine, apple client machine or configure a sniffer mode AP (suggested). https://www.cisco.com/c/en/us/support/docs/wireless-mobility/80211/200527-Fundamentals-of-802-11-Wireless-Sniffing.html There are few things we need to consider: +Use an Open L2/L3 security SSID to avoid encryption on the packets through the air. +Set client-serving-AP and sniffer AP on the same channel. +Sniffer AP should be close enough to capture what serving-client-AP is receiving or sending. SPAN session should be taken at the same time than OTA pcap for a proper analysis, how to configure a SPAN session (swport traffic mirroring): Nexus switches: https://www.cisco.com/c/en/us/support/docs/switches/nexus-7000-series-switches/113038-span-nexus-config.html IOS switches: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/network_management/configuration_guide/b_nm_15ex_2960-x_cg/b_nm_15ex_2960-x_cg_chapter_0111.html
3단계. WLC에서 클라이언트를 디버깅하고 AP가 연결된 스위치에서 패킷 캡처를 수행합니다. 스위치 EPC 캡처를 활용하여 이러한 로그를 캡처할 수 있습니다.
4단계. 3800 AP ssh/텔넷 세션에서 디버깅
Logs to be collected from 3800 AP: A) Run following commands once before starting the test. [Once all commands are tested, copy all commands in a text file so that it is easy to copy and paste on devshell, we would need multiple iterations of this command outputs during the test] Step A Devshell commands on AP - Use SSH. -------------------------------------------------- 1) To Get wired0 input packet count date cd /click/fromdev_wired0/ cat icounts ocounts calls 2) Fabric gateway and clients cat /click/client_ip_table/cli_fabric_clients cd /click/fabric_tunnel/ cat show_fabric_gw 3) Tunnel Decap stats cd /click/tunnel_decap/ cat icounts ocounts tunnel_decap_stats tunnel_decap_no_match decap_vxlan_stats cat tunnel_decap_list 4) Tunnel Encap stats cd /click/tunnel_encap/ cat icounts ocounts tunnel_encap_stats encap_vxlan_stats tunnel_encap_discard cat get_mtu eogre_encap_list 5) Wireless client stats
참고: 올바른 radio vap combo에서 이러한 마지막 명령 집합을 실행해야 합니다. 예를 들어 클라이언트가 라디오 1에 있는 경우 vap 1: cat /click/client_ip_table/list = 출력에서 Check client connected port/interface aprXvY, same를 사용하여 아래 출력을 가져옵니다. cd /click/fromdev_ apr1v3/ cat icounts ocounts calls cd /click/todev_ apr1v3/ cat icounts ocounts calls 단계 B - E B) AP 간에 OTA를 시작합니다. 클라이언트. 유선 PCAP(클라이언트가 연결된 스패닝 AP 포트)를 시작합니다. (분석에 유선 및 무선 pcap 모두 필요) C) Open-Auth WLAN(OTA pcap를 분석할 보안 없음)을 사용합니다. iperf 테스트를 시작하고 10-15분 동안 계속 실행합니다. D) date 명령을 사용하여 2분마다 A단계를 반복합니다. 5회 이상 반복하십시오. E) 테스트 완료 후 - AP에서 show tech를 수집합니다.
AP 온보딩
기존 방법/단계:
AP Vlan Scope에는 WLC를 가리키는 옵션 43 또는 옵션 60이 있는 것으로 간주됩니다.
1. 인증 없음을 선택합니다.
2. Infra_VN을 AP IP 풀로 구성하고 Default_VN을 무선 클라이언트 IP 풀로 구성합니다.
3. AP가 Infra_VN과 연결되는 에지 인터페이스 포트를 구성합니다.
4. AP가 IP를 얻고 WLC에 연결되면 디바이스 인벤토리에서 검색됩니다.
5. AP를 선택하여 특정 사이트에 할당하고 AP를 프로비저닝합니다.
6. 프로비저닝되면 WLC를 패브릭에 추가하는 동안 생성된 AP 그룹에 AP가 할당됩니다.
플러그 앤 플레이/제로 터치 AP 프로비저닝
AP Vlan Scope에는 Cisco DNA Center를 가리키는 옵션 43이 있는 것으로 간주됩니다. DNAC 지침에 따라 AP PNP 구성
패브릭 에지 측면:
이러한 디버그를 활성화합니다.
- debug ip dhcp snooping 패킷
- debug ip dhcp snooping event
피드백