Een Lightweight AP troubleshooten dat niet wordt verbonden met een WLC

Inleiding

In dit document wordt het proces voor het opsporen en aansluiten van de draadloze LAN-controller (WLC) van AireOS beschreven. 

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Basiskennis van de configuratie van Lightweight Access Points (LAP's) en Cisco AireOS WLC's

• Basiskennis van het Lightweight Access Point Protocol (CAPWAP)

Gebruikte componenten

Dit document richt zich op WLC's van AireOS en heeft geen betrekking op Catalyst 9800, hoewel het join-proces grotendeels vergelijkbaar is.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Overzicht van het WLC Discovery and Join-proces

In een Cisco Unified Wireless-netwerk moeten de LAP's eerst een WLC ontdekken en eraan deelnemen voordat ze draadloze clients kunnen bedienen.

Dit werpt echter een vraag op: hoe hebben de LAP's het IP-beheeradres van de controller gevonden wanneer deze zich op een ander subnet bevindt?

Als u de LAP niet vertelt waar de controller zich bevindt via DHCP-optie 43, DNS-resolutie (Domain Name System) vanCisco-capwap-controller.local_domainof statisch configureert, weet de LAP niet waar in het netwerk de beheerinterface van de controller te vinden is.

Naast deze methoden zoekt de LAP automatisch naar het lokale subnet voor controllers met een 255.255.255.255.255 lokale uitzending. Ook onthoudt de LAP het IP-adres van zijn controller en de controllers die aanwezig zijn als mobiliteitspeers, zelfs bij reboots. Zodra de AP echter lid wordt van een andere WLC, onthoudt deze alleen het IP van die nieuwe WLC en zijn mobiliteitsgenoten en niet van de vorige. Als u de LAP eerst op het lokale subnet van de beheerinterface plaatst, vindt deze de beheerinterface van de controller en onthoudt het adres. Dit wordt priming genoemd. Dit helpt niet om de controller te vinden als u later een LAP vervangt. Daarom beveelt Cisco het gebruik van de DHCP optie 43 of DNS methoden.

De LAP's maken altijd eerst verbinding met het beheerinterfaceadres van de controller met een detectieverzoek. De controller vertelt de LAP vervolgens het Layer 3 AP-manager-interface (die ook standaard het beheer kan zijn) IP-adres, zodat de LAP vervolgens een join-verzoek naar de AP-manager-interface kan sturen.

De AP doorloopt dit proces bij het opstarten:

1. De LAP-boots en DHCP's krijgen een IP-adres als er niet eerder een statisch IP-adres aan is toegewezen.
2. De LAP stuurt detectieverzoeken naar controllers via de verschillende detectiealgoritmen en bouwt een controllerlijst op. In wezen leert de LAP zoveel mogelijk beheerinterfaceadressen voor de controllerlijst via:
   1. DHCP optie 43 (goed voor wereldwijde bedrijven waar kantoren en controllers zich op verschillende continenten bevinden).
   2. DNS-vermelding voor cisco-capwap-controller (goed voor lokale bedrijven - kan ook worden gebruikt om te vinden waar gloednieuwe AP's zich aansluiten) Als u CAPWAP gebruikt, moet u ervoor zorgen dat er een DNS-vermelding voor cisco-capwap-controlleris.
   3. Beheer IP-adressen van controllers die de LAP eerder onthoudt.
   4. Een Layer 3-uitzending op het subnet.
   5. Statistisch geconfigureerde informatie.
   6. Controllers die aanwezig zijn in de mobiliteitsgroep van de WLC hebben zich het laatst aangesloten bij de AP.

   In deze lijst is de eenvoudigste methode voor implementatie de LAP's op hetzelfde subnet te plaatsen als de beheerinterface van de controller en de LAP's Layer 3-uitzending in staat te stellen de controller te vinden. Deze methode moet worden gebruikt voor bedrijven die een klein netwerk hebben en geen lokale DNS-server bezitten.

   De volgende eenvoudigste methode voor implementatie is het gebruik van een DNS-vermelding met DHCP. U kunt meerdere items met dezelfde DNS-naam gebruiken. Hierdoor kan de LAP meerdere controllers ontdekken. Deze methode moet worden gebruikt door bedrijven die al hun controllers op één locatie hebben en een lokale DNS-server bezitten. Of, als het bedrijf meerdere DNS-achtervoegsels heeft en de controllers zijn gescheiden door achtervoegsel.

   DHCP optie 43 wordt gebruikt door grote bedrijven om de informatie te lokaliseren door de DHCP. Deze methode wordt gebruikt door grote bedrijven die één DNS-achtervoegsel hebben. Cisco is bijvoorbeeld eigenaar van gebouwen in Europa, Australië en de Verenigde Staten. Om ervoor te zorgen dat de LAP's alleen lokaal verbinding maken met controllers, kan Cisco geen DNS-vermelding gebruiken en moet het DHCP-optie 43-informatie gebruiken om de LAP's te vertellen wat het IP-beheeradres van hun lokale controller is.

   Tot slot wordt statische configuratie gebruikt voor een netwerk dat geen DHCP-server heeft. U kunt de informatie die nodig is om lid te worden van een controller statisch configureren via de consolepoort en de APs CLI. Gebruik deze opdracht voor informatie over het statisch configureren van controllerinformatie met behulp van de AP CLI:

   AP#capwap ap primary-base <WLCName> <WLCIP>

   Raadpleeg het configuratievoorbeeld van DHCP optie 43 voor informatie over het configureren van DHCP optie 43 op een DHCP-server
3. Stuur een detectieverzoek naar elke controller in de lijst en wacht op het controllerdetectieantwoord met de systeemnaam, IP-adressen van de AP-manager, het aantal AP's dat al is aangesloten op elke AP-beheerinterface en de totale overcapaciteit voor de controller.
4. Bekijk de controllerlijst en stuur een verzoek tot samenvoeging naar een controller in deze volgorde (alleen als het toegangspunt een ontdekkingsantwoord heeft ontvangen):
   1. Systeemnaam primaire controller (eerder geconfigureerd op LAP).
   2. Systeemnaam secundaire controller (eerder geconfigureerd op LAP).
   3. Systeemnaam tertiaire controller (eerder geconfigureerd op LAP).
   4. Primaire controller (als de LAP niet eerder is geconfigureerd met een primaire, secundaire of tertiaire controllernaam). Gebruikt om altijd te weten welke controller een gloednieuwe LAP's is (lid worden).
   5. Als geen van de voorgaande omstandigheden wordt waargenomen, wordt de werklast over de controllers verdeeld door gebruik te maken van de waarde voor overcapaciteit in de detectierespons.

      Als twee controllers dezelfde overcapaciteit hebben, verzendt u het join-verzoek naar de eerste controller die op het discovery-verzoek heeft gereageerd met een detectierespons. Als een enkele controller meerdere AP-managers op meerdere interfaces heeft, kiest u de AP-manager-interface met het minste aantal AP's.

      De controller reageert op alle detectieverzoeken zonder certificaatcontrole of AP-referenties. Deelnameverzoeken moeten echter een geldig certificaat hebben om een joinantwoord van de controller te krijgen. Als de LAP geen join-reactie van zijn keuze ontvangt, probeert de LAP de volgende controller in de lijst, tenzij de controller een geconfigureerde controller is (primair/secundair/tertiair).

5. Wanneer het antwoord op de join wordt ontvangen, controleert het toegangspunt of het hetzelfde image heeft als dat van de controller. Zo niet, dan downloadt het toegangspunt het image van de controller en start het opnieuw op om het nieuwe image te laden en start het proces opnieuw vanaf stap 1.
6. Als het dezelfde software-image heeft, vraagt het om de configuratie van de controller en gaat het naar de geregistreerde status op de controller.

   Nadat u de configuratie hebt gedownload, kan het toegangspunt opnieuw laden om de nieuwe configuratie toe te passen. Daarom kan een extra herlading optreden en is een normaal gedrag.

Foutopsporing van de controller

Er zijn een paar debug opdrachten op de controller die u kunt gebruiken om dit hele proces op de CLI te zien:

• debug capwap events enable: Toont ontdekkingspakketten en join-pakketten.

• debug capwap packet enable: Toont informatie over pakketniveau van de discovery- en join-pakketten.

• debug pm pki enable: Geeft het proces voor certificaatvalidatie weer.

• debug disable-all: Debugs uitschakelen.

Met een terminaltoepassing die uitvoer naar een logbestand, console in of secure shell (SSH)/Telnet naar uw controller kan vastleggen en deze opdrachten invoert:

    config session timeout 120
    config serial timeout 120
    show run-config     (and spacebar thru to collect all)
 
    debug mac addr 
    (in xx:xx:xx:xx:xx format)
    debug client 

    debug capwap events enable
    debug capwap errors enable
    debug pm pki enable

Nadat de debugs zijn vastgelegd, gebruikt u de opdrachtdebug disable-allom alle debugs uit te schakelen.

De volgende secties tonen de uitvoer van deze debug opdrachten wanneer de LAP zich registreert bij de controller.

Foutopsporingsgebeurtenissen inschakelen

Deze opdracht geeft informatie over de CAPWAP-gebeurtenissen en -fouten die optreden bij het proces voor het opsporen en aansluiten van CAPWAP.

Dit is de debug capwap events enable opdrachtuitvoer voor een LAP met hetzelfde beeld als de WLC:

Opmerking: Sommige lijnen van de uitvoer zijn verplaatst naar de tweede regel vanwege ruimtebeperkingen.

debug capwap events enable

*spamApTask7: Jun 16 12:37:36.038: 00:62:ec:60:ea:20 Discovery Request from 172.16.17.99:46317

!--- CAPWAP discovery request sent to the WLC by the LAP.

*spamApTask7: Jun 16 12:37:36.039: 00:62:ec:60:ea:20 Discovery Response sent to 172.16.17.99 port 46317

!--- WLC responds to the discovery request from the LAP.

*spamApTask7: Jun 16 12:38:43.469: 00:62:ec:60:ea:20 Join Request from 172.16.17.99:46317

!--- LAP sends a join request to the WLC.
*spamApTask7: Jun 16 12:38:33.039: 00:62:ec:60:ea:20 Join Priority Processing status = 0, Incoming Ap's Priority 1, MaxLrads = 75, joined Aps =0
*spamApTask7: Jun 16 12:38:43.469: 00:62:ec:60:ea:20 Join Request from 172.16.17.99:46317

*spamApTask7: Jun 16 12:38:43.472: 00:62:ec:60:ea:20 Join Version: = 134256640

*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 apType = 46 apModel: AIR-CAP2702I-E-K9

*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 Join resp: CAPWAP Maximum Msg element len = 90

*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 Join Response sent to 172.16.17.99:46317
*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 CAPWAP State: Join

!--- WLC responds with a join reply to the LAP.
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Configuration Status from 172.16.17.99:46317

*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 CAPWAP State: Configure

!--- LAP requests for the configuration information from the WLC.


*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Updating IP info for AP 00:62:ec:60:ea:20 -- static 0, 172.16.17.99/255.255.254.0, gtw 172.16.16.1
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Updating IP 172.16.17.99 ===> 172.16.17.99 for AP 00:62:ec:60:ea:20
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Running spamDecodeVlanProfMapPayload for00:62:ec:60:ea:20
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Setting MTU to 1485
*spamApTask7: Jun 16 12:38:44.019: 00:62:ec:60:ea:20 Configuration Status Response sent to 172:16:17:99


!--- WLC responds by providing all the necessary configuration information to the LAP.

*spamApTask7: Jun 16 12:38:46.882: 00:62:ec:60:ea:20 Change State Event Request from 172.16.17.99:46317

*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Radio state change for slot: 0 state: 2 cause: 0 detail cause: 69
*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Change State Event Response sent to 172.16.17.99:46317
.
.
.
.

*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 CAPWAP State: Run

*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Sending the remaining config to AP 172.16.17.99:46317! 
.
.
.
.

!--- LAP is up and ready to service wireless clients.

*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmInterferenceCtrl payload sent to 172:16:17:99

*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmNeighbourCtrl payload sent to 172.16.17.99

*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmReceiveCtrl payload sent to 172:16:17:99

*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for CcxRmMeas payload sent to 172.16.17.99


!--- WLC sends all the RRM and other configuration parameters to the LAP.

Zoals vermeld in de vorige sectie, zodra een LAP zich registreert bij de WLC, controleert deze om te zien of deze hetzelfde beeld heeft als de controller. Als de afbeeldingen op de LAP en de WLC anders zijn, downloaden de LAP's eerst de nieuwe afbeelding van de WLC. Als het LAP hetzelfde image heeft, blijft het de configuratie en andere parameters downloaden van de WLC.

U ziet deze berichten in de opdrachtuitvoer debug capwap events enable als de LAP een afbeelding van de controller downloadt als onderdeel van het registratieproces:

*spamApTask6: Jun 17 14:23:28.677: 00:62:ec:60:ea:20 Sending image data block of length 1324 and msgLength = 1327

*spamApTask6: Jun 17 14:23:28.677: 00:62:ec:60:ea:20 Image Data Request sent to 172.16.17.201:46318

*spamApTask6: Jun 17 14:23:28.693: 00:62:ec:60:ea:20 Image data Response from 172.16.17.201:46318

Zodra het downloaden van het image is voltooid, start de LAP opnieuw op en voert de detectie uit en wordt opnieuw lid van het algoritme.

Foutopsporing PM PKI inschakelen

Als onderdeel van het join-proces verifieert de WLC elk LAP door te bevestigen dat het certificaat geldig is.

Wanneer het toegangspunt het CAPWAP-join-verzoek naar de WLC verzendt, sluit het het X.509-certificaat in het CAPWAP-bericht in. Het toegangspunt genereert ook een willekeurige sessie-ID die ook is opgenomen in het CAPWAP-join-verzoek. Wanneer de WLC het CAPWAP Join Request ontvangt, valideert deze de handtekening van het X.509-certificaat met de openbare sleutel van het toegangspunt en controleert of het certificaat is uitgegeven door een vertrouwde certificeringsinstantie.

Het kijkt ook naar de startdatum en -tijd voor het AP-certificaatgeldigheidsinterval en vergelijkt die datum en tijd met zijn eigen datum en tijd (daarom moet de controllerklok dicht bij de huidige datum en tijd worden ingesteld). Als het X.509-certificaat is gevalideerd, genereert de WLC een willekeurige AES-coderingssleutel. De WLC loodgiet de AES-sleutels in zijn crypto-engine, zodat het toekomstige CAPWAP-controleberichten kan coderen en decoderen die zijn uitgewisseld met de AP. Houd er rekening mee dat gegevenspakketten worden verzonden in de vrije ruimte in de CAPWAP-tunnel tussen de LAP en de controller.

De opdracht debug pm pki enable toont het certificeringsvalidatieproces dat plaatsvindt in de join-fase op de controller. De debug pm pki enable opdracht geeft ook de AP-hashkey weer bij het join-proces, als het AP een zelf ondertekend certificaat (SSC) heeft dat is gemaakt door het LWAPP-conversieprogramma. Als het toegangspunt een gefabriceerd geïnstalleerd certificaat (MIC) heeft, ziet u geen hashkey.

Opmerking: Alle toegangspunten die na juni 2006 zijn vervaardigd, hebben een MIC.

Hier is de uitvoer van de debug pm pki enable opdracht wanneer de LAP met een MIC zich bij de controller voegt:

Opmerking: Sommige lijnen van de uitvoer zijn verplaatst naar de tweede regel vanwege ruimtebeperkingen.

*spamApTask4: Mar 20 11:05:15.687: [SA] OpenSSL Get Issuer Handles: locking ca cert table

*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: x509 subject_name /C=US/ST=California/L=San Jose/O=Cisco Systems/
CN=AP3G2-1005cae83a42/emailAddress=support@cisco.com
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuer_name /O=Cisco Systems/CN=Cisco Manufacturing CA
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: CN AP3G2-1005cae83a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuerCertCN Cisco Manufacturing CA
*spamApTask4: Mar 20 11:05:15.688: [SA] GetMac: MAC: 1005.cae8.3a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: openssl Mac Address in subject is 10:05:ca:e8:3a:42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: CN AP3G2-1005cae83a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuerCertCN Cisco Manufacturing CA
*spamApTask4: Mar 20 11:05:15.688: [SA] GetMac: MAC: 1005.cae8.3a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: openssl Mac Address in subject is 10:05:ca:e8:3a:42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Cert Name in subject is AP3G2-1005cae83a42

*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Extracted cert issuer from subject name.


*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Cert is issued by Cisco Systems.

*spamApTask4: Mar 20 11:05:15.688: [SA] Retrieving x509 cert for CertName cscoDefaultMfgCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: called to evaluate <cscoDefaultMfgCaCert>
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: Found matching CA cert cscoDefaultMfgCaCert in row 5
*spamApTask4: Mar 20 11:05:15.688: [SA] Found CID 260e5e69 for certname cscoDefaultMfgCaCert

*spamApTask4: Mar 20 11:05:15.688: [SA] CACertTable: Found matching CID cscoDefaultMfgCaCert in row 5 x509 0x2cc7c274

*spamApTask4: Mar 20 11:05:15.688: [SA] Retrieving x509 cert for CertName cscoDefaultNewRootCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: called to evaluate <cscoDefaultNewRootCaCert>
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: Found matching CA cert cscoDefaultNewRootCaCert in row 4

*spamApTask4: Mar 20 11:05:15.688: [SA] Found CID 28d7044e for certname cscoDefaultNewRootCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] CACertTable: Found matching CID cscoDefaultNewRootCaCert in row 4 x509 0x2cc7c490
*spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: X509 Cert Verification return code: 1
*spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: X509 Cert Verification result text: ok
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: called to evaluate <cscoDefaultMfgCaCert>
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: Found matching CA cert cscoDefaultMfgCaCert in row 5

*spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: OPENSSL X509_Verify: AP Cert Verfied Using >cscoDefaultMfgCaCert<

*spamApTask4: Mar 20 11:05:15.691: [SA] OpenSSL Get Issuer Handles: Check cert validity times (allow expired NO)
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: called to evaluate <cscoDefaultIdCert>
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: Found matching ID cert cscoDefaultIdCert in row 2
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmFreePublicKeyHandle: called with 0x1b0b9380

*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmFreePublicKeyHandle: freeing public key

Foutopsporing vanaf het toegangspunt

Als de controllerfouten geen join-verzoek aangeven, kunt u het proces van het toegangspunt debuggen als het toegangspunt een consolepoort heeft. U kunt het opstartproces van het toegangspunt zien met deze opdrachten, maar u moet eerst in de activeringsmodus gaan (standaardwachtwoord is Cisco).

• debug dhcp detail : Geeft informatie over DHCP-optie 43 weer.

• debug ip udp: Geeft alle UDP-pakketten weer die door het toegangspunt zijn ontvangen en verzonden.

• debug capwap client event : Geeft capwap-gebeurtenissen voor het toegangspunt weer.

• debug capwap client error: Toont capwap-fouten voor AP.
• debug dtls client event: Geeft DTLS-evenementen voor de AP weer.
• debug dtls error enable: Geeft DTLS-fouten voor het toegangspunt weer.

• undebug all: Hiermee schakelt u foutmeldingen op het toegangspunt uit.

Hier is een voorbeeld van de uitvoer van dedebug capwapopdrachten. Deze partiële uitvoer geeft een idee van de pakketten die door het toegangspunt tijdens het opstartproces worden verzonden om een controller te ontdekken en eraan deel te nemen.

AP can discover the WLC via one of these options :

!--- AP discovers the WLC via option 43

*Jun 28 08:43:05.839: %CAPWAP-5-DHCP_OPTION_43: Controller address 10.63.84.78 obtained through DHCP
*Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 10.63.84.78 with discovery type set to 2

!--- capwap Discovery Request using the statically configured controller information.

*Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 10.63.84.32 with discovery type set to 1

!--- Capwap Discovery Request sent using subnet broadcast.

*Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 255.255.255.255 with discovery type set to 0

!--- capwap Join Request sent to AP-Manager interface on DHCP discovered controller.

*Jun 28 08:40:29.031: %CAPWAP-5-SENDJOIN: sending Join Request to 10.63.84.78

LAP sluit zich niet aan bij de controller, waarom?

Check eerst de basics

• Kunnen de AP en de WLC communiceren?

• Zorg ervoor dat het toegangspunt een adres van DHCP krijgt (controleer de DHCP-serverleases voor het MAC-adres van het toegangspunt).

• Ping het toegangspunt vanaf de controller.

• Controleer of de STP-configuratie op de switch juist is, zodat pakketten naar de VLAN's niet worden geblokkeerd.

• Als pings succesvol zijn, moet u ervoor zorgen dat het toegangspunt ten minste één methode heeft om ten minste één WLC-console of telnet/ssh in de controller te detecteren om fouten uit te voeren.

• Telkens wanneer het toegangspunt opnieuw wordt opgestart, wordt de detectiesequentie voor WLC gestart en wordt geprobeerd het toegangspunt te vinden. Start het toegangspunt opnieuw op en controleer of het zich aansluit bij de WLC.

Hier zijn enkele van de meest voorkomende problemen als gevolg waarvan de LAP's niet deelnemen aan de WLC.

Bericht ter plaatse: verlopen certificaten - FN63942

Certificaten die in de hardware zijn ingebed, zijn geldig voor een periode van 10 jaar na de productie. Als uw toegangspunten of WLC meer dan 10 jaar oud zijn, kunnen verlopen certificaten problemen veroorzaken met de aansluiting van toegangspunten. Meer informatie over dit probleem is beschikbaar in dit bericht: Veldbericht: FN63942.

Mogelijke problemen om naar te zoeken: Voorbeelden

Probleem 1: De controllertijd valt buiten het geldigheidinterval van het certificaat

Voer de volgende stappen uit om dit probleem op te lossen:

1. Geefdebug dtls client error + debug dtls client eventopdrachten op het toegangspunt op:
   
   

   
   *Jun 28 09:21:25.011: DTLS_CLIENT_EVENT: dtls_process_Certificate: Processing...Peer certificate verification failed 001A
   *Jun 28 09:21:25.031: DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:509 Certificate verified failed!
   *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Bad certificate Alert
   *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_client_process_record: Error processing Certificate.
   *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_disconnect: Disconnecting DTLS connection 0x8AE7FD0
   *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_free_connection: Free Called... for Connection 0x8AE7FD0
   *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Close notify Alert
   
   

   Deze informatie laat duidelijk zien dat de verwerkingstijd buiten de geldigheidsperiode van het certificaat van het toegangspunt valt. Daarom kan de AP zich niet registreren bij de controller. Certificaten die in het toegangspunt zijn geïnstalleerd, hebben een vooraf gedefinieerde geldigheidsperiode. De controllertijd moet zo worden ingesteld dat deze binnen het certificaatgeldigheidsinterval van het AP-certificaat valt.

2. Geef het show time commando van de controller CLI om te controleren of de datum en tijd die op uw controller zijn ingesteld, binnen dit geldigheidsinterval vallen. Als de controllertijd hoger of lager is dan dit certificeringsgeldigheidsinterval, wijzigt u de controllertijd om binnen dit interval te vallen.
   
   
   

   Opmerking: Als de tijd niet correct is ingesteld op de controller, kiest uCommands > Set Timein de GUI-modus van de controller of geeft u de opdracht voor de configuratietijd in de CLI van de controller uit om de controllertijd in te stellen.

   
   
   

3. Controleer de certificaten op toegangspunten met CLI-toegang met de opdracht show crypto ca certificates van de CLI van het toegangspunt.

   Met deze opdracht kunt u de geldigheid van het certificaat controleren die is ingesteld in het toegangspunt. Hierna volgt een voorbeeld:

   AP00c1.649a.be5c#show crypto ca cert
   ............................................
   ............................................
   .............................................
   ................................................
   Certificate
   Status: Available
   Certificate Serial Number (hex): 7D1125A900000002A61A
   Certificate Usage: General Purpose
   Issuer:
   cn=Cisco Manufacturing CA SHA2
   o=Cisco
   Subject:
   Name: AP1G2-00c1649abe5c
   e=support@cisco.com
   cn=AP1G2-00c1649abe5c
   o=Cisco Systems
   l=San Jose
   st=California
   c=US
   CRL Distribution Points:
   http://www.cisco.com/security/pki/crl/cmca2.crl
   Validity Date:
   start date: 01:05:37 UTC Mar 24 2016
   end date: 01:15:37 UTC Mar 24 2026
   Associated Trustpoints: Cisco_IOS_M2_MIC_cert
   Storage:
   ..................................
   ....................................
   ......................................

   De volledige uitvoer wordt niet vermeld omdat er veel validiteitsintervallen kunnen zijn die zijn gekoppeld aan de uitvoer van deze opdracht. Overweeg alleen het validiteitsinterval dat is opgegeven door het geassocieerde Trustpoint: Cisco_IOS_MIC_cert met de relevante AP-naam in het naamveld. In dit voorbeeld uitvoer, het is Naam: C1200-001563e50c7e. Dit is de werkelijke geldigheidsperiode van het certificaat.

4. Raadpleeg Cisco bug ID CSCuq19142 Levensduur van LAP/WLC MIC of SSC veroorzaakt DTLS-fout: Cisco bug ID CSCuq19142.

Probleem 2: Mismatch in regelgevingsdomein

U ziet dit bericht in de debug capwap events enable opdrachtuitvoer:

*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Setting MTU to1485
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Regulatory Domain Mismatch: AP 00:cc:fc:13:e5:e0 not allowed to join. Allowed domains: 802.11bg:-A
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Finding DTLS connection to delete for AP (192:168:47:29/60390)
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Disconnecting DTLS Capwap-Ctrl session 0x1d4df620 for AP (192:168:47:29/60390). Notify(true)
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 acDtlsPlumbControlPlaneKeys: lrad:192.168.47.29(60390) mwar:10.63.84.78(5246)


WLC msglog show these messages :

*spamApTask5: Jun 28 11:52:06.536: %CAPWAP-3-DTLS_CLOSED_ERR: capwap_ac_sm.c:7095 00:cc:fc:13:e5:e0: DTLS connection 
closed forAP 192:168:47:28 (60389), Controller: 10:63:84:78 (5246) Regulatory Domain Mismatch

Het bericht geeft duidelijk aan dat er een mismatch is in het regelgevende domein van de LAP en de WLC. De WLC ondersteunt meerdere regelgevingsdomeinen, maar elk regelgevingsdomein moet worden geselecteerd voordat een toegangspunt vanaf dat domein kan toetreden. De WLC die bijvoorbeeld regelgevingsdomein -A gebruikt, kan alleen worden gebruikt met toegangspunten die regelgevingsdomein -A gebruiken (enzovoort). Wanneer u AP's koopt, moet u ervoor zorgen dat ze hetzelfde regelgevingsdomein delen. Alleen dan kunnen de AP's zich registreren bij de WLC.

Opmerking: zowel 802.1b/g- als 802.11a-radio's moeten zich in hetzelfde regelgevingsdomein bevinden voor één toegangspunt.

Probleem 3: AP-autorisatielijst ingeschakeld op de WLC; LAP niet in de autorisatielijst

In dergelijke gevallen ziet u dit bericht op de controller in de uitvoer van dedebug capwap events enableopdracht:

Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Received CAPWAP DISCOVERY REQUEST 
from AP 00:0b:85:51:5a:e0 to 00:0b:85:33:52:80 on port '1'
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Successful transmission of 
CAPWAP Discovery-Response to AP 00:0b:85:51:5a:e0 on Port 1
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Received LWAPP DISCOVERY REQUEST 
from AP 00:0b:85:51:5a:e0 to ff:ff:ff:ff:ff:ff on port '1'
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Successful transmission of 
CAPWAP Discovery-Response to AP 00:0b:85:51:5a:e0 on Port 1
Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 Received CAPWAP JOIN REQUEST 
from AP 00:0b:85:51:5a:e0 to 00:0b:85:33:52:80 on port '1'
Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 AP ap:51:5a:e0: txNonce  00:0B:85:33:52:80 
rxNonce  00:0B:85:51:5A:E0 
Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 CAPWAP Join-Request MTU path from 
AP 00:0b:85:51:5a:e0 is 1500, remote debug mode is 0
Wed Sep 12 17:42:50 2007: spamRadiusProcessResponse: AP Authorization failure
for 00:0b:85:51:5a:e0

Als u een LAP gebruikt met een consolepoort, ziet u dit bericht wanneer u de opdracht geeftdebug capwap client error:

AP001d.a245.a2fb#
*Mar  1 00:00:52.267: LWAPP_CLIENT_ERROR_DEBUG: spamHandleJoinTimer: Did not receive the
Join response
*Mar  1 00:00:52.267: LWAPP_CLIENT_ERROR_DEBUG: No more AP manager IP addresses remain.

Dit is opnieuw een duidelijke indicatie dat het LAP geen deel uitmaakt van de AP-autorisatielijst op de controller.

Met deze opdracht kunt u de status van de lijst met toegangsrechten bekijken:

(Cisco Controller) >show auth-list

Authorize APs against AAA ....................... enabled
Allow APs with Self-signed Certificate (SSC) .... disabled

Gebruik de opdracht om een LAP toe te voegen aan de lijst met AP-config auth-list add mic autorisaties. Raadpleeg voor meer informatie over het configureren van LAP-autorisatie de machtiging voor Lightweight Access Point (LAP) in een voorbeeld van een Cisco Unified Wireless Network Configuration.

Probleem 4: Er is een certificaat of een openbare sleutel corruptie op het toegangspunt

De LAP maakt geen deel uit van een controller vanwege een certificaatkwestie.

Geef dedebug capwap errors enableen  debug pm pki enable commando's. U ziet berichten die aangeven welke certificaten of sleutels beschadigd zijn.

Opmerking: Sommige lijnen van de uitvoer zijn verplaatst naar tweede lijnen vanwege ruimtebeperkingen.

Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0
 CAPWAP Join Request does not include valid certificate in CERTIFICATE_PAYLOAD
 from AP 00:0f:24:a9:52:e0.
Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0
 Deleting and removing AP 00:0f:24:a9:52:e0 from fast path
Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0 Unable to free public key for AP

Gebruik een van deze twee opties om het probleem op te lossen:

• MIC AP - Verzoek om een vergunning voor retourmaterialen (RMA).
• LSC AP - Herbevoorrading van uw LSC-certificaat.

Probleem 5: Controller ontvangt AP-detectiebericht op verkeerde VLAN (u ziet het foutopsporingsbericht, maar niet de reactie)

U ziet dit bericht in dedebug capwap events enableopdrachtuitvoer:

Received a Discovery Request with subnet broadcast with wrong AP IP address (A.B.C.D)!

Dit bericht betekent dat de controller een detectieverzoek heeft ontvangen van een uitzend-IP-adres met een bron-IP-adres dat zich niet in geconfigureerde subnetten op de controller bevindt. Dit betekent ook dat de controller degene is die het pakket laat vallen.

Het probleem is dat het toegangspunt niet is wat het opsporingsverzoek naar het IP-adres van het beheer heeft verzonden. De controller rapporteert een broadcast discovery-verzoek van een VLAN dat niet is geconfigureerd op de controller. Dit gebeurt meestal wanneer trunks VLAN's hebben toegestaan en deze niet hebben beperkt tot draadloze VLAN's.

Voer de volgende stappen uit om dit probleem op te lossen:

1. Als de controller zich in een ander subnet bevindt, moeten de toegangspunten worden voorbereid voor het IP-adres van de controller, of moeten de toegangspunten het IP-adres van de controller ontvangen met behulp van een van de detectiemethoden.
2. De switch is zodanig geconfigureerd dat sommige VLAN's niet op de controller kunnen worden gebruikt. Beperk de toegestane VLAN's op de trunks.

Probleem 6: AP kan niet deelnemen aan de WLC, firewall blokkeert noodzakelijke poorten

Als een firewall wordt gebruikt in het bedrijfsnetwerk, moet u ervoor zorgen dat deze poorten zijn ingeschakeld in de firewall zodat de LAP kan deelnemen en communiceren met de controller.

U moet deze poorten inschakelen:

• Schakel deze UDP-poorten in voor CAPWAP-verkeer:

  • Gegevens - 5247

  • Controle - 5246

• Schakel deze UDP-poorten in voor mobiliteitsverkeer:

  • 16666 - 16666

  • 16667 - 16667

• UDP-poorten 5246 en 5247 inschakelen voor CAPWAP-verkeer.

• TCP 161 en 162 voor SNMP (voor het draadloze besturingssysteem [WCS])

Deze poorten zijn optioneel (afhankelijk van uw behoeften):

• UDP 69 voor TFTP

• TCP 80 en/of 443 voor HTTP of HTTPS voor GUI-toegang

• TCP 23 en/of 22 voor Telnet of SSH voor CLI-toegang

Probleem 7: IP-adres dupliceren in het netwerk

Dit is een andere veel voorkomende kwestie gezien wanneer de AP probeert toe te treden tot de WLC. U kunt deze foutmelding zien wanneer het toegangspunt zich probeert aan te sluiten bij de controller.

No more AP manager IP addresses remain

Een van de redenen voor deze foutmelding is wanneer er een dubbel IP-adres op het netwerk is dat overeenkomt met het IP-adres van de AP-beheerder. In een dergelijk geval behoudt de LAP de startpunten voor de stroomcyclus en kan deze niet worden aangesloten bij de controller.

De foutmeldingen tonen dat de WLC LWAPP-detectieverzoeken van de toegangspunten ontvangt en een LWAPP-detectierespons naar de toegangspunten verzendt.

WLC's ontvangen echter geen LWAPP-join-verzoeken van de AP's.

Om dit probleem op te lossen, pingt u de AP-manager vanaf een bekabelde host op hetzelfde IP-subnet als de AP-manager. Controleer vervolgens de ARP-cache. Als een dubbel IP-adres wordt gevonden, verwijdert u het apparaat met het dubbele IP-adres of wijzigt u het IP-adres op het apparaat zodat het een uniek IP-adres in het netwerk heeft.

De AP kan zich vervolgens aansluiten bij de WLC.

Probleem 8: LAP's met een vermaasde afbeelding kunnen niet deelnemen aan WLC

Het lichtgewicht toegangspunt registreert zich niet bij de WLC. In het logboek wordt de volgende foutmelding weergegeven:

AAA Authentication Failure for UserName:5475xxx8bf9c User
	 Type: WLAN USER

Dit kan gebeuren als het lichtgewicht toegangspunt is geleverd met een mesh-afbeelding en in de brugmodus staat. Als de LAP is besteld met mesh-software erop, moet u de LAP toevoegen aan de AP-autorisatielijst. Kies Beveiliging > AP-beleid en voeg AP toe aan de autorisatielijst. Het toegangspunt moet zich vervolgens aanmelden, de afbeelding downloaden van de controller en zich vervolgens registreren bij de WLC in de brugmodus. Vervolgens moet u het toegangspunt wijzigen in de lokale modus. De LAP downloadt het image, start het opnieuw op en registreert het opnieuw op de controller in de lokale modus.

Probleem 9: Ongeldig adres Microsoft DHCP

Toegangspunten kunnen hun IP-adressen snel vernieuwen wanneer een poging wordt gedaan om deel te nemen aan een WLC, waardoor Windows DHCP-servers deze IP's als BAD_ADDRESS kunnen markeren, waardoor de DHCP-pool snel kan worden uitgeput. Raadpleeg voor meer informatie het hoofdstuk Client Roaming van de configuratiehandleiding voor draadloze controllers van Cisco, versie 8.2.

Gerelateerde informatie

• Cisco Technical Support en downloads
• AP-join-proces met Catalyst 9800