De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt het proces voor het opsporen en aansluiten van de draadloze LAN-controller (WLC) van AireOS beschreven.
Cisco raadt kennis van de volgende onderwerpen aan:
Basiskennis van de configuratie van Lightweight Access Points (LAP's) en Cisco AireOS WLC's
Basiskennis van het Lightweight Access Point Protocol (CAPWAP)
Dit document richt zich op WLC's van AireOS en heeft geen betrekking op Catalyst 9800, hoewel het join-proces grotendeels vergelijkbaar is.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
In een Cisco Unified Wireless-netwerk moeten de LAP's eerst een WLC ontdekken en eraan deelnemen voordat ze draadloze clients kunnen bedienen.
Dit werpt echter een vraag op: hoe hebben de LAP's het IP-beheeradres van de controller gevonden wanneer deze zich op een ander subnet bevindt?
Als u de LAP niet vertelt waar de controller zich bevindt via DHCP-optie 43, DNS-resolutie (Domain Name System) van
of statisch configureert, weet de LAP niet waar in het netwerk de beheerinterface van de controller te vinden is.Cisco-capwap-controller.local_domain
Naast deze methoden zoekt de LAP automatisch naar het lokale subnet voor controllers met een 255.255.255.255.255 lokale uitzending. Ook onthoudt de LAP het IP-adres van zijn controller en de controllers die aanwezig zijn als mobiliteitspeers, zelfs bij reboots. Zodra de AP echter lid wordt van een andere WLC, onthoudt deze alleen het IP van die nieuwe WLC en zijn mobiliteitsgenoten en niet van de vorige. Als u de LAP eerst op het lokale subnet van de beheerinterface plaatst, vindt deze de beheerinterface van de controller en onthoudt het adres. Dit wordt priming genoemd. Dit helpt niet om de controller te vinden als u later een LAP vervangt. Daarom beveelt Cisco het gebruik van de DHCP optie 43 of DNS methoden.
De LAP's maken altijd eerst verbinding met het beheerinterfaceadres van de controller met een detectieverzoek. De controller vertelt de LAP vervolgens het Layer 3 AP-manager-interface (die ook standaard het beheer kan zijn) IP-adres, zodat de LAP vervolgens een join-verzoek naar de AP-manager-interface kan sturen.
De AP doorloopt dit proces bij het opstarten:
cisco-capwap-controller
(goed voor lokale bedrijven - kan ook worden gebruikt om te vinden waar gloednieuwe AP's zich aansluiten) Als u CAPWAP gebruikt, moet u ervoor zorgen dat er een DNS-vermelding voor cisco-capwap-controller
is.In deze lijst is de eenvoudigste methode voor implementatie de LAP's op hetzelfde subnet te plaatsen als de beheerinterface van de controller en de LAP's Layer 3-uitzending in staat te stellen de controller te vinden. Deze methode moet worden gebruikt voor bedrijven die een klein netwerk hebben en geen lokale DNS-server bezitten.
De volgende eenvoudigste methode voor implementatie is het gebruik van een DNS-vermelding met DHCP. U kunt meerdere items met dezelfde DNS-naam gebruiken. Hierdoor kan de LAP meerdere controllers ontdekken. Deze methode moet worden gebruikt door bedrijven die al hun controllers op één locatie hebben en een lokale DNS-server bezitten. Of, als het bedrijf meerdere DNS-achtervoegsels heeft en de controllers zijn gescheiden door achtervoegsel.
DHCP optie 43 wordt gebruikt door grote bedrijven om de informatie te lokaliseren door de DHCP. Deze methode wordt gebruikt door grote bedrijven die één DNS-achtervoegsel hebben. Cisco is bijvoorbeeld eigenaar van gebouwen in Europa, Australië en de Verenigde Staten. Om ervoor te zorgen dat de LAP's alleen lokaal verbinding maken met controllers, kan Cisco geen DNS-vermelding gebruiken en moet het DHCP-optie 43-informatie gebruiken om de LAP's te vertellen wat het IP-beheeradres van hun lokale controller is.
Tot slot wordt statische configuratie gebruikt voor een netwerk dat geen DHCP-server heeft. U kunt de informatie die nodig is om lid te worden van een controller statisch configureren via de consolepoort en de APs CLI. Gebruik deze opdracht voor informatie over het statisch configureren van controllerinformatie met behulp van de AP CLI:
AP#capwap ap primary-base <WLCName> <WLCIP>Raadpleeg het configuratievoorbeeld van DHCP optie 43 voor informatie over het configureren van DHCP optie 43 op een DHCP-server
Als twee controllers dezelfde overcapaciteit hebben, verzendt u het join-verzoek naar de eerste controller die op het discovery-verzoek heeft gereageerd met een detectierespons. Als een enkele controller meerdere AP-managers op meerdere interfaces heeft, kiest u de AP-manager-interface met het minste aantal AP's.
De controller reageert op alle detectieverzoeken zonder certificaatcontrole of AP-referenties. Deelnameverzoeken moeten echter een geldig certificaat hebben om een joinantwoord van de controller te krijgen. Als de LAP geen join-reactie van zijn keuze ontvangt, probeert de LAP de volgende controller in de lijst, tenzij de controller een geconfigureerde controller is (primair/secundair/tertiair).
Nadat u de configuratie hebt gedownload, kan het toegangspunt opnieuw laden om de nieuwe configuratie toe te passen. Daarom kan een extra herlading optreden en is een normaal gedrag.
Er zijn een paar debug
opdrachten op de controller die u kunt gebruiken om dit hele proces op de CLI te zien:
debug capwap events enable
: Toont ontdekkingspakketten en join-pakketten.
debug capwap packet enable
: Toont informatie over pakketniveau van de discovery- en join-pakketten.
debug pm pki enable
: Geeft het proces voor certificaatvalidatie weer.
debug disable-all
: Debugs uitschakelen.
Met een terminaltoepassing die uitvoer naar een logbestand, console in of secure shell (SSH)/Telnet naar uw controller kan vastleggen en deze opdrachten invoert:
config session timeout 120 config serial timeout 120 show run-config (and spacebar thru to collect all) debug mac addr(in xx:xx:xx:xx:xx format) debug client debug capwap events enable debug capwap errors enable debug pm pki enable
Nadat de debugs zijn vastgelegd, gebruikt u de opdrachtdebug disable-all
om alle debugs uit te schakelen.
De volgende secties tonen de uitvoer van deze debug
opdrachten wanneer de LAP zich registreert bij de controller.
Deze opdracht geeft informatie over de CAPWAP-gebeurtenissen en -fouten die optreden bij het proces voor het opsporen en aansluiten van CAPWAP.
Dit is de debug capwap events enable
opdrachtuitvoer voor een LAP met hetzelfde beeld als de WLC:
Opmerking: Sommige lijnen van de uitvoer zijn verplaatst naar de tweede regel vanwege ruimtebeperkingen.
debug capwap events enable *spamApTask7: Jun 16 12:37:36.038: 00:62:ec:60:ea:20 Discovery Request from 172.16.17.99:46317 !--- CAPWAP discovery request sent to the WLC by the LAP. *spamApTask7: Jun 16 12:37:36.039: 00:62:ec:60:ea:20 Discovery Response sent to 172.16.17.99 port 46317 !--- WLC responds to the discovery request from the LAP. *spamApTask7: Jun 16 12:38:43.469: 00:62:ec:60:ea:20 Join Request from 172.16.17.99:46317
!--- LAP sends a join request to the WLC.
*spamApTask7: Jun 16 12:38:33.039: 00:62:ec:60:ea:20 Join Priority Processing status = 0, Incoming Ap's Priority 1, MaxLrads = 75, joined Aps =0
*spamApTask7: Jun 16 12:38:43.469: 00:62:ec:60:ea:20 Join Request from 172.16.17.99:46317
*spamApTask7: Jun 16 12:38:43.472: 00:62:ec:60:ea:20 Join Version: = 134256640
*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 apType = 46 apModel: AIR-CAP2702I-E-K9
*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 Join resp: CAPWAP Maximum Msg element len = 90
*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 Join Response sent to 172.16.17.99:46317
*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 CAPWAP State: Join
!--- WLC responds with a join reply to the LAP.
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Configuration Status from 172.16.17.99:46317
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 CAPWAP State: Configure !--- LAP requests for the configuration information from the WLC.
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Updating IP info for AP 00:62:ec:60:ea:20 -- static 0, 172.16.17.99/255.255.254.0, gtw 172.16.16.1
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Updating IP 172.16.17.99 ===> 172.16.17.99 for AP 00:62:ec:60:ea:20
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Running spamDecodeVlanProfMapPayload for00:62:ec:60:ea:20
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Setting MTU to 1485
*spamApTask7: Jun 16 12:38:44.019: 00:62:ec:60:ea:20 Configuration Status Response sent to 172:16:17:99
!--- WLC responds by providing all the necessary configuration information to the LAP. *spamApTask7: Jun 16 12:38:46.882: 00:62:ec:60:ea:20 Change State Event Request from 172.16.17.99:46317
*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Radio state change for slot: 0 state: 2 cause: 0 detail cause: 69
*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Change State Event Response sent to 172.16.17.99:46317
.
.
.
.
*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 CAPWAP State: Run
*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Sending the remaining config to AP 172.16.17.99:46317!
.
.
.
. !--- LAP is up and ready to service wireless clients. *spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmInterferenceCtrl payload sent to 172:16:17:99
*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmNeighbourCtrl payload sent to 172.16.17.99
*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmReceiveCtrl payload sent to 172:16:17:99
*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for CcxRmMeas payload sent to 172.16.17.99
!--- WLC sends all the RRM and other configuration parameters to the LAP.
Zoals vermeld in de vorige sectie, zodra een LAP zich registreert bij de WLC, controleert deze om te zien of deze hetzelfde beeld heeft als de controller. Als de afbeeldingen op de LAP en de WLC anders zijn, downloaden de LAP's eerst de nieuwe afbeelding van de WLC. Als het LAP hetzelfde image heeft, blijft het de configuratie en andere parameters downloaden van de WLC.
U ziet deze berichten in de opdrachtuitvoer debug capwap events enable
als de LAP een afbeelding van de controller downloadt als onderdeel van het registratieproces:
*spamApTask6: Jun 17 14:23:28.677: 00:62:ec:60:ea:20 Sending image data block of length 1324 and msgLength = 1327
*spamApTask6: Jun 17 14:23:28.677: 00:62:ec:60:ea:20 Image Data Request sent to 172.16.17.201:46318
*spamApTask6: Jun 17 14:23:28.693: 00:62:ec:60:ea:20 Image data Response from 172.16.17.201:46318
Zodra het downloaden van het image is voltooid, start de LAP opnieuw op en voert de detectie uit en wordt opnieuw lid van het algoritme.
Als onderdeel van het join-proces verifieert de WLC elk LAP door te bevestigen dat het certificaat geldig is.
Wanneer het toegangspunt het CAPWAP-join-verzoek naar de WLC verzendt, sluit het het X.509-certificaat in het CAPWAP-bericht in. Het toegangspunt genereert ook een willekeurige sessie-ID die ook is opgenomen in het CAPWAP-join-verzoek. Wanneer de WLC het CAPWAP Join Request ontvangt, valideert deze de handtekening van het X.509-certificaat met de openbare sleutel van het toegangspunt en controleert of het certificaat is uitgegeven door een vertrouwde certificeringsinstantie.
Het kijkt ook naar de startdatum en -tijd voor het AP-certificaatgeldigheidsinterval en vergelijkt die datum en tijd met zijn eigen datum en tijd (daarom moet de controllerklok dicht bij de huidige datum en tijd worden ingesteld). Als het X.509-certificaat is gevalideerd, genereert de WLC een willekeurige AES-coderingssleutel. De WLC loodgiet de AES-sleutels in zijn crypto-engine, zodat het toekomstige CAPWAP-controleberichten kan coderen en decoderen die zijn uitgewisseld met de AP. Houd er rekening mee dat gegevenspakketten worden verzonden in de vrije ruimte in de CAPWAP-tunnel tussen de LAP en de controller.
De opdracht debug pm pki enable
toont het certificeringsvalidatieproces dat plaatsvindt in de join-fase op de controller. De debug pm pki enable
opdracht geeft ook de AP-hashkey weer bij het join-proces, als het AP een zelf ondertekend certificaat (SSC) heeft dat is gemaakt door het LWAPP-conversieprogramma. Als het toegangspunt een gefabriceerd geïnstalleerd certificaat (MIC) heeft, ziet u geen hashkey.
Opmerking: Alle toegangspunten die na juni 2006 zijn vervaardigd, hebben een MIC.
Hier is de uitvoer van de debug pm pki enable
opdracht wanneer de LAP met een MIC zich bij de controller voegt:
Opmerking: Sommige lijnen van de uitvoer zijn verplaatst naar de tweede regel vanwege ruimtebeperkingen.
*spamApTask4: Mar 20 11:05:15.687: [SA] OpenSSL Get Issuer Handles: locking ca cert table
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: x509 subject_name /C=US/ST=California/L=San Jose/O=Cisco Systems/
CN=AP3G2-1005cae83a42/emailAddress=support@cisco.com
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuer_name /O=Cisco Systems/CN=Cisco Manufacturing CA
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: CN AP3G2-1005cae83a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuerCertCN Cisco Manufacturing CA
*spamApTask4: Mar 20 11:05:15.688: [SA] GetMac: MAC: 1005.cae8.3a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: openssl Mac Address in subject is 10:05:ca:e8:3a:42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: CN AP3G2-1005cae83a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuerCertCN Cisco Manufacturing CA
*spamApTask4: Mar 20 11:05:15.688: [SA] GetMac: MAC: 1005.cae8.3a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: openssl Mac Address in subject is 10:05:ca:e8:3a:42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Cert Name in subject is AP3G2-1005cae83a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Extracted cert issuer from subject name.
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Cert is issued by Cisco Systems.
*spamApTask4: Mar 20 11:05:15.688: [SA] Retrieving x509 cert for CertName cscoDefaultMfgCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: called to evaluate <cscoDefaultMfgCaCert>
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: Found matching CA cert cscoDefaultMfgCaCert in row 5
*spamApTask4: Mar 20 11:05:15.688: [SA] Found CID 260e5e69 for certname cscoDefaultMfgCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] CACertTable: Found matching CID cscoDefaultMfgCaCert in row 5 x509 0x2cc7c274
*spamApTask4: Mar 20 11:05:15.688: [SA] Retrieving x509 cert for CertName cscoDefaultNewRootCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: called to evaluate <cscoDefaultNewRootCaCert>
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: Found matching CA cert cscoDefaultNewRootCaCert in row 4
*spamApTask4: Mar 20 11:05:15.688: [SA] Found CID 28d7044e for certname cscoDefaultNewRootCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] CACertTable: Found matching CID cscoDefaultNewRootCaCert in row 4 x509 0x2cc7c490
*spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: X509 Cert Verification return code: 1
*spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: X509 Cert Verification result text: ok
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: called to evaluate <cscoDefaultMfgCaCert>
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: Found matching CA cert cscoDefaultMfgCaCert in row 5
*spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: OPENSSL X509_Verify: AP Cert Verfied Using >cscoDefaultMfgCaCert<
*spamApTask4: Mar 20 11:05:15.691: [SA] OpenSSL Get Issuer Handles: Check cert validity times (allow expired NO)
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: called to evaluate <cscoDefaultIdCert>
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: Found matching ID cert cscoDefaultIdCert in row 2
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmFreePublicKeyHandle: called with 0x1b0b9380
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmFreePublicKeyHandle: freeing public key
Als de controllerfouten geen join-verzoek aangeven, kunt u het proces van het toegangspunt debuggen als het toegangspunt een consolepoort heeft. U kunt het opstartproces van het toegangspunt zien met deze opdrachten, maar u moet eerst in de activeringsmodus gaan (standaardwachtwoord is Cisco).
debug dhcp detail
: Geeft informatie over DHCP-optie 43 weer.
debug ip udp
: Geeft alle UDP-pakketten weer die door het toegangspunt zijn ontvangen en verzonden. debug capwap client event
: Geeft capwap-gebeurtenissen voor het toegangspunt weer.
debug capwap client error
: Toont capwap-fouten voor AP. debug dtls client event
: Geeft DTLS-evenementen voor de AP weer. debug dtls error enable
: Geeft DTLS-fouten voor het toegangspunt weer. undebug all
: Hiermee schakelt u foutmeldingen op het toegangspunt uit.
Hier is een voorbeeld van de uitvoer van dedebug capwap
opdrachten. Deze partiële uitvoer geeft een idee van de pakketten die door het toegangspunt tijdens het opstartproces worden verzonden om een controller te ontdekken en eraan deel te nemen.
AP can discover the WLC via one of these options :
!--- AP discovers the WLC via option 43
*Jun 28 08:43:05.839: %CAPWAP-5-DHCP_OPTION_43: Controller address 10.63.84.78 obtained through DHCP
*Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 10.63.84.78 with discovery type set to 2
!--- capwap Discovery Request using the statically configured controller information.
*Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 10.63.84.32 with discovery type set to 1
!--- Capwap Discovery Request sent using subnet broadcast.
*Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 255.255.255.255 with discovery type set to 0
!--- capwap Join Request sent to AP-Manager interface on DHCP discovered controller.
*Jun 28 08:40:29.031: %CAPWAP-5-SENDJOIN: sending Join Request to 10.63.84.78
Kunnen de AP en de WLC communiceren?
Zorg ervoor dat het toegangspunt een adres van DHCP krijgt (controleer de DHCP-serverleases voor het MAC-adres van het toegangspunt).
Ping het toegangspunt vanaf de controller.
Controleer of de STP-configuratie op de switch juist is, zodat pakketten naar de VLAN's niet worden geblokkeerd.
Als pings succesvol zijn, moet u ervoor zorgen dat het toegangspunt ten minste één methode heeft om ten minste één WLC-console of telnet/ssh in de controller te detecteren om fouten uit te voeren.
Telkens wanneer het toegangspunt opnieuw wordt opgestart, wordt de detectiesequentie voor WLC gestart en wordt geprobeerd het toegangspunt te vinden. Start het toegangspunt opnieuw op en controleer of het zich aansluit bij de WLC.
Hier zijn enkele van de meest voorkomende problemen als gevolg waarvan de LAP's niet deelnemen aan de WLC.
Certificaten die in de hardware zijn ingebed, zijn geldig voor een periode van 10 jaar na de productie. Als uw toegangspunten of WLC meer dan 10 jaar oud zijn, kunnen verlopen certificaten problemen veroorzaken met de aansluiting van toegangspunten. Meer informatie over dit probleem is beschikbaar in dit bericht: Veldbericht: FN63942.
Voer de volgende stappen uit om dit probleem op te lossen:
debug dtls client error + debug dtls client event
opdrachten op het toegangspunt op:
*Jun 28 09:21:25.011: DTLS_CLIENT_EVENT: dtls_process_Certificate: Processing...Peer certificate verification failed 001A
*Jun 28 09:21:25.031: DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:509 Certificate verified failed!
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Bad certificate Alert
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_client_process_record: Error processing Certificate.
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_disconnect: Disconnecting DTLS connection 0x8AE7FD0
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_free_connection: Free Called... for Connection 0x8AE7FD0
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Close notify Alert
Deze informatie laat duidelijk zien dat de verwerkingstijd buiten de geldigheidsperiode van het certificaat van het toegangspunt valt. Daarom kan de AP zich niet registreren bij de controller. Certificaten die in het toegangspunt zijn geïnstalleerd, hebben een vooraf gedefinieerde geldigheidsperiode. De controllertijd moet zo worden ingesteld dat deze binnen het certificaatgeldigheidsinterval van het AP-certificaat valt.
show time
commando van de controller CLI om te controleren of de datum en tijd die op uw controller zijn ingesteld, binnen dit geldigheidsinterval vallen. Als de controllertijd hoger of lager is dan dit certificeringsgeldigheidsinterval, wijzigt u de controllertijd om binnen dit interval te vallen.Opmerking: Als de tijd niet correct is ingesteld op de controller, kiest uCommands > Set Time
in de GUI-modus van de controller of geeft u de opdracht voor de configuratietijd in de CLI van de controller uit om de controllertijd in te stellen.
show crypto ca certificates
van de CLI van het toegangspunt.
Met deze opdracht kunt u de geldigheid van het certificaat controleren die is ingesteld in het toegangspunt. Hierna volgt een voorbeeld:
AP00c1.649a.be5c#show crypto ca cert
............................................
............................................
.............................................
................................................
Certificate
Status: Available
Certificate Serial Number (hex): 7D1125A900000002A61A
Certificate Usage: General Purpose
Issuer:
cn=Cisco Manufacturing CA SHA2
o=Cisco
Subject:
Name: AP1G2-00c1649abe5c
e=support@cisco.com
cn=AP1G2-00c1649abe5c
o=Cisco Systems
l=San Jose
st=California
c=US
CRL Distribution Points:
http://www.cisco.com/security/pki/crl/cmca2.crl
Validity Date:
start date: 01:05:37 UTC Mar 24 2016
end date: 01:15:37 UTC Mar 24 2026
Associated Trustpoints: Cisco_IOS_M2_MIC_cert
Storage:
..................................
....................................
......................................
De volledige uitvoer wordt niet vermeld omdat er veel validiteitsintervallen kunnen zijn die zijn gekoppeld aan de uitvoer van deze opdracht. Overweeg alleen het validiteitsinterval dat is opgegeven door het geassocieerde Trustpoint: Cisco_IOS_MIC_cert met de relevante AP-naam in het naamveld. In dit voorbeeld uitvoer, het is Naam: C1200-001563e50c7e. Dit is de werkelijke geldigheidsperiode van het certificaat.
U ziet dit bericht in de debug capwap events enable
opdrachtuitvoer:
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Setting MTU to1485
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Regulatory Domain Mismatch: AP 00:cc:fc:13:e5:e0 not allowed to join. Allowed domains: 802.11bg:-A
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Finding DTLS connection to delete for AP (192:168:47:29/60390)
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Disconnecting DTLS Capwap-Ctrl session 0x1d4df620 for AP (192:168:47:29/60390). Notify(true)
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 acDtlsPlumbControlPlaneKeys: lrad:192.168.47.29(60390) mwar:10.63.84.78(5246)
WLC msglog show these messages :
*spamApTask5: Jun 28 11:52:06.536: %CAPWAP-3-DTLS_CLOSED_ERR: capwap_ac_sm.c:7095 00:cc:fc:13:e5:e0: DTLS connection
closed forAP 192:168:47:28 (60389), Controller: 10:63:84:78 (5246) Regulatory Domain Mismatch
Het bericht geeft duidelijk aan dat er een mismatch is in het regelgevende domein van de LAP en de WLC. De WLC ondersteunt meerdere regelgevingsdomeinen, maar elk regelgevingsdomein moet worden geselecteerd voordat een toegangspunt vanaf dat domein kan toetreden. De WLC die bijvoorbeeld regelgevingsdomein -A gebruikt, kan alleen worden gebruikt met toegangspunten die regelgevingsdomein -A gebruiken (enzovoort). Wanneer u AP's koopt, moet u ervoor zorgen dat ze hetzelfde regelgevingsdomein delen. Alleen dan kunnen de AP's zich registreren bij de WLC.
Opmerking: zowel 802.1b/g- als 802.11a-radio's moeten zich in hetzelfde regelgevingsdomein bevinden voor één toegangspunt.
In dergelijke gevallen ziet u dit bericht op de controller in de uitvoer van dedebug capwap events enable
opdracht:
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Received CAPWAP DISCOVERY REQUEST from AP 00:0b:85:51:5a:e0 to 00:0b:85:33:52:80 on port '1' Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Successful transmission of CAPWAP Discovery-Response to AP 00:0b:85:51:5a:e0 on Port 1 Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Received LWAPP DISCOVERY REQUEST from AP 00:0b:85:51:5a:e0 to ff:ff:ff:ff:ff:ff on port '1' Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Successful transmission of CAPWAP Discovery-Response to AP 00:0b:85:51:5a:e0 on Port 1 Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 Received CAPWAP JOIN REQUEST from AP 00:0b:85:51:5a:e0 to 00:0b:85:33:52:80 on port '1' Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 AP ap:51:5a:e0: txNonce 00:0B:85:33:52:80 rxNonce 00:0B:85:51:5A:E0 Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 CAPWAP Join-Request MTU path from AP 00:0b:85:51:5a:e0 is 1500, remote debug mode is 0 Wed Sep 12 17:42:50 2007: spamRadiusProcessResponse: AP Authorization failure for 00:0b:85:51:5a:e0
Als u een LAP gebruikt met een consolepoort, ziet u dit bericht wanneer u de opdracht geeftdebug capwap client error
:
AP001d.a245.a2fb# *Mar 1 00:00:52.267: LWAPP_CLIENT_ERROR_DEBUG: spamHandleJoinTimer: Did not receive the Join response *Mar 1 00:00:52.267: LWAPP_CLIENT_ERROR_DEBUG: No more AP manager IP addresses remain.
Dit is opnieuw een duidelijke indicatie dat het LAP geen deel uitmaakt van de AP-autorisatielijst op de controller.
Met deze opdracht kunt u de status van de lijst met toegangsrechten bekijken:
(Cisco Controller) >show auth-list Authorize APs against AAA ....................... enabled Allow APs with Self-signed Certificate (SSC) .... disabled
Gebruik de opdracht om een LAP toe te voegen aan de lijst met AP-config auth-list add mic
autorisaties. Raadpleeg voor meer informatie over het configureren van LAP-autorisatie de machtiging voor Lightweight Access Point (LAP) in een voorbeeld van een Cisco Unified Wireless Network Configuration.
De LAP maakt geen deel uit van een controller vanwege een certificaatkwestie.
Geef dedebug capwap errors enable
en debug pm pki enable
commando's. U ziet berichten die aangeven welke certificaten of sleutels beschadigd zijn.
Opmerking: Sommige lijnen van de uitvoer zijn verplaatst naar tweede lijnen vanwege ruimtebeperkingen.
Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0 CAPWAP Join Request does not include valid certificate in CERTIFICATE_PAYLOAD from AP 00:0f:24:a9:52:e0. Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0 Deleting and removing AP 00:0f:24:a9:52:e0 from fast path Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0 Unable to free public key for AP
Gebruik een van deze twee opties om het probleem op te lossen:
U ziet dit bericht in dedebug capwap events enable
opdrachtuitvoer:
Received a Discovery Request with subnet broadcast with wrong AP IP address (A.B.C.D)!
Dit bericht betekent dat de controller een detectieverzoek heeft ontvangen van een uitzend-IP-adres met een bron-IP-adres dat zich niet in geconfigureerde subnetten op de controller bevindt. Dit betekent ook dat de controller degene is die het pakket laat vallen.
Het probleem is dat het toegangspunt niet is wat het opsporingsverzoek naar het IP-adres van het beheer heeft verzonden. De controller rapporteert een broadcast discovery-verzoek van een VLAN dat niet is geconfigureerd op de controller. Dit gebeurt meestal wanneer trunks VLAN's hebben toegestaan en deze niet hebben beperkt tot draadloze VLAN's.
Voer de volgende stappen uit om dit probleem op te lossen:
Als een firewall wordt gebruikt in het bedrijfsnetwerk, moet u ervoor zorgen dat deze poorten zijn ingeschakeld in de firewall zodat de LAP kan deelnemen en communiceren met de controller.
U moet deze poorten inschakelen:
Schakel deze UDP-poorten in voor CAPWAP-verkeer:
Gegevens - 5247
Controle - 5246
Schakel deze UDP-poorten in voor mobiliteitsverkeer:
16666 - 16666
16667 - 16667
UDP-poorten 5246 en 5247 inschakelen voor CAPWAP-verkeer.
TCP 161 en 162 voor SNMP (voor het draadloze besturingssysteem [WCS])
Deze poorten zijn optioneel (afhankelijk van uw behoeften):
UDP 69 voor TFTP
TCP 80 en/of 443 voor HTTP of HTTPS voor GUI-toegang
TCP 23 en/of 22 voor Telnet of SSH voor CLI-toegang
Dit is een andere veel voorkomende kwestie gezien wanneer de AP probeert toe te treden tot de WLC. U kunt deze foutmelding zien wanneer het toegangspunt zich probeert aan te sluiten bij de controller.
No more AP manager IP addresses remain
Een van de redenen voor deze foutmelding is wanneer er een dubbel IP-adres op het netwerk is dat overeenkomt met het IP-adres van de AP-beheerder. In een dergelijk geval behoudt de LAP de startpunten voor de stroomcyclus en kan deze niet worden aangesloten bij de controller.
De foutmeldingen tonen dat de WLC LWAPP-detectieverzoeken van de toegangspunten ontvangt en een LWAPP-detectierespons naar de toegangspunten verzendt.
WLC's ontvangen echter geen LWAPP-join-verzoeken van de AP's.
Om dit probleem op te lossen, pingt u de AP-manager vanaf een bekabelde host op hetzelfde IP-subnet als de AP-manager. Controleer vervolgens de ARP-cache. Als een dubbel IP-adres wordt gevonden, verwijdert u het apparaat met het dubbele IP-adres of wijzigt u het IP-adres op het apparaat zodat het een uniek IP-adres in het netwerk heeft.
De AP kan zich vervolgens aansluiten bij de WLC.
Het lichtgewicht toegangspunt registreert zich niet bij de WLC. In het logboek wordt de volgende foutmelding weergegeven:
AAA Authentication Failure for UserName:5475xxx8bf9c User Type: WLAN USER
Dit kan gebeuren als het lichtgewicht toegangspunt is geleverd met een mesh-afbeelding en in de brugmodus staat. Als de LAP is besteld met mesh-software erop, moet u de LAP toevoegen aan de AP-autorisatielijst. Kies Beveiliging > AP-beleid en voeg AP toe aan de autorisatielijst. Het toegangspunt moet zich vervolgens aanmelden, de afbeelding downloaden van de controller en zich vervolgens registreren bij de WLC in de brugmodus. Vervolgens moet u het toegangspunt wijzigen in de lokale modus. De LAP downloadt het image, start het opnieuw op en registreert het opnieuw op de controller in de lokale modus.
Toegangspunten kunnen hun IP-adressen snel vernieuwen wanneer een poging wordt gedaan om deel te nemen aan een WLC, waardoor Windows DHCP-servers deze IP's als BAD_ADDRESS kunnen markeren, waardoor de DHCP-pool snel kan worden uitgeput. Raadpleeg voor meer informatie het hoofdstuk Client Roaming van de configuratiehandleiding voor draadloze controllers van Cisco, versie 8.2.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
8.0 |
17-May-2024
|
een verklaring bijgewerkt over de WLC die een AP onthoudt bij het opnieuw opstarten |
7.0 |
12-Jan-2024
|
Een verwijzing toegevoegd naar 9800 ap join |
6.0 |
11-Dec-2023
|
definitieve hercertificering |
5.0 |
03-Nov-2022
|
Bijgewerkte documentstijlen en -inhoud om te voldoen aan de huidige publicatienormen van Cisco.com. |
1.0 |
31-Jul-2015
|
Eerste vrijgave |