Solucionar problemas de acesso definido por software sem fio no Cisco DNA Center

Introdução

Este documento descreve as perguntas frequentes sobre redes sem fio e como solucionar problemas de acesso definido por software no Cisco DNA Center.

Command Cheat Sheet para Fabric

Estas são as folhas de comandos para a estrutura no nó de controle, nó de borda, controlador de LAN sem fio (WLC) e ponto de acesso (AP).

Nó de controle:

• show lisp instance-id <L2 ap instance id> servidor ethernet - Mapeamento MAC para Identificação de Ponto de Extremidade (EID)
• show lisp instance-id <L3 ap instance id> servidor ipv4 - Mapeamento de IP para EID
• show lisp instance-id 8188 ethernet server address-resolution - Mapeamento de MAC para IP para uma ID de instância específica
• show lisp site
• show tech-support
• show tech-support lisp

Nó de borda:

• show lisp instance-id <L2 ap instance id> wlc de banco de dados ethernet
• show lisp instance-id <ID da instância do cliente L2> ethernet database wlc
• show access-tunnel summary
• show platform software fed switch ative ifm interfaces access-tunnel
• show platform software access-tunnel switch ative R0
• show platform software access-tunnel switch ative R0 statistics
• show platform software access-tunnel switch ative F0
• show platform software access-tunnel switch ative F0 statistics
• show platform software object-manager switch ative F0 statistics
• show platform software object-manager switch ative F0 pending-issue-update
• show platform software object-manager switch ative F0 pending-ack-update
  
• show platform software object-manager switch ative F0 error-object
• show tech-support
• show tech-support lisp

WLC (AireOS):

• show fabric ap summary
• show fabric summary
• show fabric map-server summary
• show run-config
• comandos show run-config
• show tech

WLC (IOS-XE)

• show ap summary
• show fabric ap summary
• show wireless fabric summary
• show wireless client summary
• show tech-support wireless
• show tech-support wireless fabric
• show tech-support lisp (Se Fabric em uma caixa ou Embedded wireless em execução em 9300/9400/9500)
• show tech-support (Se Fabric em uma caixa ou Embedded wireless executado em 9300/9400/9500)

Ponto de acesso: 

• show ip tunnel fabric
• show tech-support

AireOS WLC Config Push do Cisco DNA Center 

Aqui, ele mostra o envio de configuração do AireOS WLC do Cisco DNA Center após o provisionamento (Observação: Usando Reference como 3504 WLC).

show radius summary after WLC Provisioning:

(sdawlc3504) >show radius summary 

Vendor Id Backward Compatibility................. Disabled
Call Station Id Case............................. lower
Accounting Call Station Id Type.................. Mac Address
Auth Call Station Id Type........................ AP's Radio MAC Address:SSID
Extended Source Ports Support.................... Enabled
Aggressive Failover.............................. Disabled
Keywrap.......................................... Disabled
Fallback Test:
    Test Mode.................................... Passive
    Probe User Name.............................. cisco-probe
    Interval (in seconds)........................ 300
MAC Delimiter for Authentication Messages........ hyphen
MAC Delimiter for Accounting Messages............ hyphen
RADIUS Authentication Framed-MTU................. 1300 Bytes

Authentication Servers

Idx  Type  Server Address    Port    State     Tout  MgmtTout  RFC3576  IPSec - state/Profile Name/RadiusRegionString
---  ----  ----------------  ------  --------  ----  --------  -------  -------------------------------------------------------
1  * NM    192.168.2.193     1812    Enabled   2     5         Enabled   Disabled - /none
2    M     172.27.121.193    1812    Enabled   2     5         Enabled   Disabled - /none

O envio de configuração de WLAN é visto em show wlan summary.

(sdawlc3504) >show wlan summary 

Number of WLANs.................................. 7

WLAN ID  WLAN Profile Name / SSID                                                 Status    Interface Name        PMIPv6 Mobility
-------  -----------------------------------------------------------------------  --------  --------------------  ---------------
1        Test / Test                                                              Enabled   management            none        
17       dnac_guest_F_global_5dfbd_17 / dnac_guest_206                            Disabled  management            none        
18       dnac_psk_2_F_global_5dfbd_18 / dnac_psk_206                              Disabled  management            none        
19       dnac_wpa2__F_global_5dfbd_19 / dnac_wpa2_206                             Enabled   management            none        
20       dnac_open__F_global_5dfbd_20 / dnac_open_206                             Enabled   management            none        
21       Test!23_F_global_5dfbd_21 / Test!23                                      Disabled  management            none 

Envio de configuração de WLC do Cisco DNA Center

Aqui, ele mostra o envio de configuração da WLC do Cisco DNA Center depois que a WLC é adicionada à estrutura.

Como verificar se o servidor de mapas está acessível?

show fabric map-server summary depois que a WLC é adicionada à estrutura.

(sdawlc3504) >show fabric map-server summary 

MS-IP     Connection status 

--------------------------------

192.168.4.45    UP                   

192.168.4.66    UP 

Debug Fabric Map-Server Connectivity (Depurar conectividade do servidor de mapa de estrutura)

A conectividade do plano de controle (CP) pode ficar inativa ou inativa devido a vários motivos.

• Se o PC ficar inativo. (o que não acontece neste caso)
• Nós intermediários sendo desativados que estão conectando a WLC ao PC, por exemplo, roteador de fusão.
• Se a conectividade do PC com a WLC foi desativada devido à inatividade do link. Isso pode ser WLC para um vizinho imediato ou CP para um vizinho imediato para WLC.

show fabric map-server detailed

show fabric TCP creation-history <Map-Server IP>

Depurações que podem fornecer mais informações

debug fabric lisp map-server tcp enable

debug fabric lisp map-server all enable

Como verificar se a estrutura está ativada e qual é a saída esperada?

show fabric summary depois que a WLC é adicionada à estrutura.

(sdawlc3504) >show fabric summary 

Fabric Support................................... enabled

Enterprise Control Plane MS config
--------------------------------------

Primary Active MAP Server
IP Address....................................... 192.168.4.45

Secondary Active MAP Server
IP Address....................................... 192.168.4.66

Guest Control Plane MS config
-------------------------------

Fabric TCP keep alive config
----------------------------

Fabric MS TCP retry count configured ............ 3
Fabric MS TCP timeout configured ................ 10
Fabric MS TCP keep alive interval configured .... 10
Fabric Interface name configured .............. management

Fabric Clients registered ..................... 0

Fabric wlans enabled .......................... 3

Fabric APs total Registration sent ............ 30

Fabric APs total DeRegistration sent .......... 9

Fabric AP RLOC reguested ...................... 15

Fabric AP RLOC response received .............. 30

Fabric AP RLOC send to standby ................ 0

Fabric APs registered by WLC .................. 6

VNID Mappings configured: 4 

Name                              L2-Vnid     L3-Vnid     IP Address/Subnet         
--------------------------------  ----------  ----------  ---------------------------------
182_10_50_0-INFRA_VN              8188        4097        182.10.50.0 / 255.255.255.128
10_10_10_0-Guest_Area             8190        0           0.0.0.0 / 0.0.0.0
182_10_100_0-DEFAULT_VN           8191        0           0.0.0.0 / 0.0.0.0
182_11_0_0-DEFAULT_VN             8189        0           0.0.0.0 / 0.0.0.0

Fabric Flex-Acl-tables           Status
-------------------------------- -------
DNAC_FABRIC_FLEX_ACL_TEMPLATE    Applied

Fabric Enabled Wlan summary
WLAN ID  SSID                              Type  L2 Vnid     SGT     RLOC IP          Clients  VNID Name 
-------  --------------------------------  ----  ----------  ------  ---------------  -------  -------------------------------- 
 19      dnac_wpa2_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN           
 20      dnac_open_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN   

Envio de configuração de WLAN do Cisco DNA Center

O envio de configuração de WLAN do Cisco DNA Center é visto em show fabric wlan summary depois que a WLC é adicionada à estrutura e o pool de IP do cliente é atribuído à LAN sem fio de estrutura (WLAN) em Provision > Fabric > Host Onboarding.

show fabric wlan summary após o provisionamento de estrutura.

(sdawlc3504) >show fabric wlan summary 

WLAN ID  SSID                              Type  L2 Vnid     SGT     RLOC IP          Clients  VNID Name 
-------  --------------------------------  ----  ----------  ------  ---------------  -------  -------------------------------- 
 19      dnac_wpa2_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN           
 20      dnac_open_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN 

Debug Wireless Issues (Depurar problemas sem fio)

AP Join Debugging/Access Tunnel Formation Debugging

1. Verifique se o AP obteve o endereço IP.

show ip dhcp snooping binding → On Fabric Edge

Se ele não mostrar um IP para a interface do AP anexado, habilite essas depurações no Switch e verifique se o AP está obtendo o IP ou não.

debug ip dhcp snooping packet

debug ip dhcp snooping event

Exemplo de arquivo de log anexado abaixo → 

Exemplo:

Floor_Edge-6#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
0C:75:BD:0D:46:60 182.10.50.7 670544 dhcp-snooping 1021 GigabitEthernet1/0/7 → AP interface should be having an IP

2. Verifique se o AP ingressa na WLC.

• show ap summary → On WLC
• show ap join stat summary → On WLC

Se o AP nunca tiver ingressado na WLC, habilite essas depurações na WLC.

• debug capwap events enable
• debug capwap errors enable

3. Se o AP formar CAPWAP, mas nenhum túnel de acesso for formado entre o AP e o Switch, execute estas verificações

Etapa 1. Os APs na WLC têm ou não IPs RLOC? Caso contrário, verifique o ponto 1 aqui.

1. Para tornar o protocolo de plano de controle de estrutura mais resiliente, é importante que uma rota específica para a WLC esteja presente na tabela de roteamento global de cada nó de estrutura. A rota para o endereço IP da WLC deve ser redistribuída no protocolo IGP subjacente na borda ou configurada estaticamente em cada nó. Em outras palavras, a WLC não deve estar acessível por meio da rota padrão.

Etapa 2. Se os APs na WLC mostrarem os RLOCs corretos e, em show fabric summary, mostrar o RLOC solicitado com o RLOC recebido em boas condições, verifique estes passos

2. Verifique o nó Plano de controle, show lisp instance-id <L2 ap instance id> ethernet server→ Ele deve conter o MAC do Rádio Base para AP.

    Verifique o nó Fabric Edge, show lisp instance-id <L2 ap instance id> ethernet database wlc → Ele deve conter o MAC de Rádio Base para AP e não o MAC ethernet do AP.

Se os 2 comandos acima não mostrarem Base Radio MAC of AP e os túneis de acesso não estiverem se formando. Habilite debug lisp control-plane all no plano de controle e procure por Base Radio MAC no registro.

Note: debug lisp control-plane all on Control plane é realmente tagarela, desative o registro do console antes de ativar as depurações.

Se você vir uma falha de autenticação como mostrado aqui, verifique a chave de autenticação entre o nó WLC e CP.

Dec  7 17:42:01.655: LISP-0: MS Site EID IID 8188 prefix any-mac SVC_VLAN_IAF_MAC site site_uci, Registration failed authentication for more specific 2c0b.e9c6.ec80/48

Dec  7 17:42:01.659: LISP-0: Building reliable registration message registration-rejected for IID 8188  EID 2c0b.e9c6.ec80/48 , Rejection Code: authentication failure/2.

Como verificar a chave de autenticação na configuração de estrutura entre WLC e CP.

Na WLC, verifique a GUI em Controller > Fabric Configuration > Control Plane > (Pre Shared Key)

On CP, please check on switch using sh running-config | b map-server session CP#sh running-config | b map-server session map-server session passive-open WLC site site_uci description map-server configured from apic-em authentication-key (Ensure that the Pre shared key on WLC should match with this authentication key on CP)

Note: Geralmente, o Cisco DNA Center envia essa chave para que não a altere, a menos que seja necessário, e saiba o que está configurado no CP/WLC]

4. Verificações gerais e comandos show para túneis de acesso.

• show access-tunnel summary

Floor_Edge-6#sh access-tunnel summary 

Access Tunnels General Statistics:
 Number of AccessTunnel Data Tunnels = 5 


Name SrcIP SrcPort DestIP DstPort VrfId 
------ --------------- ------- --------------- ------- ----
Ac4 192.168.4.68 N/A 182.10.50.6 4789 0 
Ac24 192.168.4.68 N/A 182.10.50.5 4789 0 
Ac19 192.168.4.68 N/A 182.10.50.8 4789 0 
Ac15 192.168.4.68 N/A 182.10.50.7 4789 0 
Ac14 192.168.4.68 N/A 182.10.50.2 4789 0 


Name IfId Uptime 
------ ---------- --------------------
Ac4 0x00000037 2 days, 20:35:29 
Ac24 0x0000004C 1 days, 21:23:16 
Ac19 0x00000047 1 days, 21:20:08 
Ac15 0x00000043 1 days, 21:09:53 
Ac14 0x00000042 1 days, 21:03:20 

• show platform software fed switch ative ifm interfaces access-tunnel
  

Floor_Edge-6#show platform software fed switch active ifm interfaces access-tunnel 
Interface                   IF_ID               State             
----------------------------------------------------------------
Ac4                         0x00000037          READY             
Ac14                        0x00000042          READY             
Ac15                        0x00000043          READY             
Ac19                        0x00000047          READY             
Ac24                        0x0000004c          READY             

Floor_Edge-6#

Se os túneis de acesso sob o comando b) forem maiores que a), isso é um problema. Aqui, as entradas de Fed não foram limpas corretamente pelo Fabric Edge e, portanto, há várias entradas de túnel de acesso no Fed em comparação com o IOS. Compare o IP do Destino após executar o comando mostrado aqui. Se vários túneis de acesso compartilharem o mesmo IP de destino, esse é o problema com a programação.

• show platform software fed switch ative ifm if-id <Each AP IF-ID> 

Note: Cada IF-ID pode ser obtido do comando anterior.

Floor_Edge-6#show platform software fed switch active ifm if-id 0x00000037  
Interface IF_ID         : 0x0000000000000037
Interface Name          : Ac4
Interface Block Pointer : 0xffc0b04c58
Interface State         : READY
Interface Status        : ADD
Interface Ref-Cnt       : 2
Interface Type          : ACCESS_TUNNEL
        Tunnel Type       : L2Lisp
        Encap Type        : VxLan
        IF_ID             : 0x37

        Port Information
        Handle ............ [0x2e000094]
        Type .............. [Access-tunnel]
        Identifier ........ [0x37]
        Unit .............. [55]
        Access tunnel Port Logical Subblock
                Access Tunnel id  : 0x37
                Switch Num        : 1
                Asic Num          : 0
                PORT LE handle    : 0xffc0b03c58
                L3IF LE handle    : 0xffc0e24608
                DI handle         : 0xffc02cdf48
                RCP service id    : 0x0
                HTM handle decap  : 0xffc0e26428
                RI handle decap   : 0xffc0afb1f8
                SI handle decap   : 0xffc0e26aa8
                RCP opq info      : 0x1
                L2 Brdcast RI handle  : 0xffc0e26808
                GPN               : 3201
                Encap type        : VXLAN
                L3 protocol       : 17
                Src IP            : 192.168.4.68
                Dest IP           : 182.10.50.6
                Dest Port         : 4789
                Underlay VRF      : 0
                XID cpp handle    : 0xffc03038f8
        Port L2 Subblock
                Enabled ............. [No]
                Allow dot1q ......... [No]
                Allow native ........ [No]
                Default VLAN ........ [0]
                Allow priority tag ... [No]
                Allow unknown unicast  [No]
                Allow unknown multicast[No]
                Allow unknown broadcast[No]
                Allow unknown multicast[Enabled]
                Allow unknown unicast  [Enabled]
                IPv4 ARP snoop ....... [No]
                IPv6 ARP snoop ....... [No]
                Jumbo MTU ............ [0]
                Learning Mode ........ [0]
        Port QoS Subblock
                Trust Type .................... [0x7]
                Default Value ................. [0]
                Ingress Table Map ............. [0x0]
                Egress Table Map .............. [0x0]
                Queue Map ..................... [0x0]
        Port Netflow Subblock
        Port CTS Subblock
                Disable SGACL .................... [0x0]
                Trust ............................ [0x0]
                Propagate ........................ [0x1]
        %Port SGT .......................... [-180754391]
Ref Count : 2 (feature Ref Counts + 1)
IFM Feature Ref Counts
        FID : 91, Ref Count : 1
No Sub Blocks Present

• show platform software access-tunnel switch ative R0

Floor_Edge-6#show platform software access-tunnel switch active R0        
Name     SrcIp            DstIp             DstPort   VrfId    Iif_id  
---------------------------------------------------------------------
Ac4      192.168.4.68     182.10.50.6        0x12b5  0x0000  0x000037  
Ac14     192.168.4.68     182.10.50.2        0x12b5  0x0000  0x000042  
Ac15     192.168.4.68     182.10.50.7        0x12b5  0x0000  0x000043  
Ac19     192.168.4.68     182.10.50.8        0x12b5  0x0000  0x000047  
Ac24     192.168.4.68     182.10.50.5        0x12b5  0x0000  0x00004c  

•   show platform software access-tunnel switch ative R0 statistics

Floor_Edge-6#show platform software access-tunnel switch active R0 statistics 
Access Tunnel Counters   (Success/Failure)
------------------------------------------
Create                  6/0
Create Obj Download     6/0
Delete                  3/0
Delete Obj Download     3/0
NACK                    0/0

• show platform software access-tunnel switch ative F0

Floor_Edge-6#show platform software access-tunnel switch active F0 
Name     SrcIp            DstIp             DstPort  VrfId    Iif_id    Obj_id  Status        
--------------------------------------------------------------------------------------------
Ac4      192.168.4.68     182.10.50.6        0x12b5  0x000  0x000037  0x00d270  Done          
Ac14     192.168.4.68     182.10.50.2        0x12b5  0x000  0x000042  0x03cbca  Done          
Ac15     192.168.4.68     182.10.50.7        0x12b5  0x000  0x000043  0x03cb9b  Done          
Ac19     192.168.4.68     182.10.50.8        0x12b5  0x000  0x000047  0x03cb6b  Done          
Ac24     192.168.4.68     182.10.50.5        0x12b5  0x000  0x00004c  0x03caf4  Done  

•   show platform software access-tunnel switch ative F0 statistics

Floor_Edge-6#show platform software access-tunnel switch active F0 statistics 
Access Tunnel Counters   (Success/Failure)
------------------------------------------
Create                  0/0
Delete                  3/0
HW Create               6/0
HW Delete               3/0
Create Ack              6/0
Delete Ack              3/0
NACK Notify             0/0

• show platform software object-manager switch ative f0 statistics

Floor_Edge-6#show platform software object-manager switch active f0 statistics        
Forwarding Manager Asynchronous Object Manager Statistics

Object update: Pending-issue: 0, Pending-acknowledgement: 0
Batch begin:   Pending-issue: 0, Pending-acknowledgement: 0
Batch end:     Pending-issue: 0, Pending-acknowledgement: 0
Command:       Pending-acknowledgement: 0
Total-objects: 987
Stale-objects: 0
Resolve-objects: 3
Error-objects: 1
Paused-types: 0

• show platform software object-manager switch ative f0 pending-issue-update
• show platform software object-manager switch ative f0 pending-ack-update
• show platform software object-manager switch ative f0 error-object

5. Rastreamentos e Depurações que precisam ser coletados.

Etapa 1. Coletar logs de arquivamento antes de ativar rastreamentos/depurações

request platform software trace archive target flash:<Filename>

Floor_Edge-6#request platform software trace archive target flash:Floor_Edge-6_12_14_18
Waiting for trace files to get rotated.
Creating archive file [flash:Floor_Edge-6_12_14_18.tar.gz]
Done with creation of the archive file: [flash:Floor_Edge-6_12_14_18.tar.gz]

Etapa 2.  Aumente o buffer de registro e desative o console.

Floor_Edge-6(config)#logging buffered 214748364
Floor_Edge-6(config)#no logging console 

Etapa 3. Definir Rastreamentos.

• set platform software trace forwarding switch ative R0 access-tunnel verbose
• set platform software trace forwarding switch ative F0 access-tunnel verbose
• set platform software trace fed switch ative ifm_main debug
• set platform software trace fed switch ative access_tunnel verbose
• set platform software trace forwarding-manager switch ative F0 aom verbose

Etapa 4. Habilitar depurações.

• debug l2lisp all
• debug lisp control-plane all
• debug platform software l2lisp events

Etapa 5.  porta de interface shut/no shut onde o AP está conectado.

Etapa 6. Coletar logs de Arquivamento, como na Etapa 1., com um nome de arquivo diferente.

Passo 7.  Redirecionar arquivo de log para flash.

Floor_Edge-6#show logging | redirect flash:<Filename>

Floor_Edge-6#show logging | redirect flash:console_logs_Floor_Edge-6_12_14_18

Depuração de cliente

A depuração de problemas do cliente Wireless no SDA FEW pode se tornar complicada.

Siga este fluxo de trabalho para eliminar um dispositivo de cada vez.

1. WLC

2. Borda da malha

3. Ponto de acesso (se a depuração no Fabric Edge apontar para o AP)

4. Nó intermediário/de fronteira. (Se houver problemas no caminho de dados)

5. Nó do plano de controle. (Se problema no caminho de controle)

Depuração de WLC

Para problemas de conectividade do cliente, comece a depuração coletando informações sobre a WLC que incluem comandos show e depurações.

Comandos show do AireOS WLC:

• show run-config
• show tech
• show wlan summary
• show wlan <id> —> Colete essa saída para todos os SSIDs, pelo menos 1 para funcionamento e inoperante
• show fabric summary
• show fabric map-server summary
• show client summary
• show client detail <mac_id>

Comandos de depuração do AireOS WLC:

• debug client <mac1> —> Client assoc, roaming, debugs.
• debug fabric client detail enable —> Isso fornece mensagens de registro da estrutura de informações

Depuração de borda de malha

Depois de depurado no WLC e observado, não há problemas relacionados ao caminho do plano de controle para o cliente. O cliente sai de Assoc, Authentication e executa o estado com a marcação SGT correta ou com parâmetros AAA, avance para esta etapa para isolar ainda mais o problema.

Outra coisa a verificar é que a programação do túnel de acesso está correta, conforme descrito na seção de depuração de AP acima.

comandos show para verificar:

Localizar ID da instância L2 lisp em (mostrar detalhe do cliente <mac_id> acima)

show lisp instance-id  ethernet database wlc --> This lists all WLC associated clients for that specific L2 lisp instance ID. A number of sources should match the number of Control plane nodes in the network
show lisp instance-id  ethernet database wlc  --> This shows the detail for the specific client
show device-tracking database | i Vl --> Find Specific SVI where the client is connected and needs to be present.
show device-tracking database | i  --> Find the client entry, should be against correct VLAN, Interface, State, and Age.
show mac address-table dynamic vlan  --> The entry for the mac should match the device-tracking database, if it does please check mac address entry on FED
show ip dhcp snooping binding vlan 
show ip arp vrf 
show mac address-table vlan 
show platform software fed switch active matm macTable vlan  --> If this is correct, programming for wireless client is happening correctly on local switch.
show platform software matm switch active F0 mac 

Comandos de depuração no Fabric Edge

É necessário coletar rastreamentos de Fed se houver um problema na programação da entrada do cliente na Borda da Estrutura. Há duas maneiras de fazer o mesmo depois de ativar essas depurações.

Os comandos debug e set precisam ser ativados independentemente do método.

• set platform software trace fed switch ative all-modules emergency
• set platform software trace fed switch ative l2_fib_entry verbose
• set platform software trace fed switch ative l2_fib_adj verbose
• set platform software trace fed switch ative inject verbose
• set platform software trace fed switch ative matm verbose

debug (Certifique-se de desativar o registro de console e aumentar o buffer de registro)

• debug device-tracking
• debug lisp control-plane all
• debug platform fhs all
• debug platform software l2lisp events
• debug matm all

Método 1. Colete logs de rastreamento ativo de rádio para o cliente específico após habilitar depurações.

Note: se for um problema de DHCP, não use este método]

Aguarde até que o problema seja reproduzido

• debug platform condition mac <mac-id> control-plane
• debug platform condition start
• debug platform condition stop
• request plat soft trace filter-binary wireless context mac <mac-id>

Redirecione os registros do console para a memória flash depois que o problema for reproduzido.

Método 2. Colete logs de rastreamento de arquivo após habilitar depurações.

Aguarde até que o problema seja reproduzido

solicitar arquivo de rastreamento de software de plataforma

Colete o arquivo para decodificar os logs e analise os logs de feed, ios e fman para o mac do cliente.

Redirecione os registros do console para a memória flash depois que o problema for reproduzido.

Depuração de Ponto de Acesso

Depurações em modelos AP 2800/3800/1562:

Para os problemas do lado do AP, certifique-se de coletar todos os comandos show e logs do WLC antes de coletar os logs do lado do AP e anexar ao SR.

Siga estas etapas para depurar problemas relacionados a dados no lado do cliente.

1. Colete os comandos show do AP: (2-3 vezes, antes e depois da conclusão dos ensaios)

• show clock
• term len 0
• term mon
• show tech
• show logging
• show controllers nss stats show controllers nss status
• show ip tunnel fabric

Em caso de problema com o CWA, colete os logs abaixo, além dos comandos principais. Os comandos abaixo precisam ser coletados uma vez antes e depois da conclusão do teste.

• show client access-lists pre-auth all <client mac>
• show client access-lists post-auth all <client mac>
• show ip access-lists
• show controller d [0/1] client
• show capwap cli detailrcb
• show tech support

2. Depurações de AP (filtrar por endereço MAC)

Problemas do CWA:

• debug capwap client avc all
• debug capwap client acl
• debug client <client mac>
• debug dot11 client level info address <mac>
• debug dot11 client level events address <mac>
• debug flexconnect pmk

Depuração de caso de uso

Depuração do CWA do cliente

Itens a observar:

• Ao implantar o CWA no SDA, sempre use o DNAC para implantar a configuração.
• Depois de implantados usando o DNAC, a política de autorização, a política de autenticação e o perfil de autorização também serão implantados no ISE pelo DNAC.
• As identidades para autenticação precisam ser configuradas manualmente como feito para Dot1x

Descubra em que estágio o problema é observado.

Etapa 1. O cliente está obtendo um endereço IP e mudando para Webauth pendente?

1. Em caso afirmativo, vá para a próxima etapa.
2. Em caso negativo, o problema está na etapa inicial de adesão.
3. Verifique a configuração na WLC e no AP.
4. Verifique se a ACL está sendo empurrada no AP e corresponde ao que está na WLC
5. Se a ACL não for enviada corretamente, recarregue o AP e certifique-se de que seja um estado temporário onde a configuração não seja enviada. Uma vez confirmado em 1 AP, certifique-se de que o Provisionamento de APs seja feito através do DNAC.

Etapa 2. O cliente pode carregar a página de redirecionamento?

1. Em caso afirmativo, vá para a próxima etapa.
2. Se não, o problema pode estar em vários lugares.
3. Verifique a configuração na WLC e no AP.
4. Verifique se a ACL está sendo empurrada no AP e corresponde ao que está na WLC
5. Se a ACL não for enviada corretamente, recarregue o AP e certifique-se de que seja um estado temporário onde a configuração não seja enviada. Uma vez confirmado em 1 AP, certifique-se de que o Provisionamento de APs seja feito através do DNAC.
6. Verificar o alcance da WLC ao ISE e ao Switch onde o AP está conectado ao ISE. Certifique-se de que não haja nenhum firewall entre eles
7. Verifique se o DNS está configurado corretamente.

Etapa 3. O cliente consegue ver a página da Web, mas o problema está no login e na transição para o sucesso?

1. Verifique as configurações das Etapas 1 e 2.
2. Verifique se o perfil de Autorização, a política de autenticação e a política de autorização estão corretos.
3. Verificar logs do ISE Live
4. Verifique se o nome de usuário/senha está configurado corretamente nas identidades do ISE.
5. Colete depurações em WLC e AP como abaixo se tudo parecer bom.

1. Depurações no WLC:

• Colete abaixo os comandos show para AireOS e Polaris, respectivamente:

AireOS:

• show run-config
• show wlan summary
• show wlan <id_for_Guest>
• show flexconnect acl summary
• show flexconnect acl detailed <ACl_from_previous_command>

Polaris

• show running
• show tech-support wireless
• show tech-support wireless fabric 
• show wlan summary
• show wlan id <id_for_guest>
• show ap name <AP_name> config general
• show running-config | sec ACL
• show wireless profile flex summary
• show wireless profile flex detailed <profile_name_from_above>
  
  
• Ative essas depurações no AireOS e no Polaris.
  
  

AireOS: 

• debug client <client_mac>
• debug aaa all enable
• Reproduza o problema
• Coletar registros de console/ssh/telnet

Polares (9300/9400/9500):

set platform software trace wncd switch ative r0 all-modules debug

Reproduza o problema

show platform software trace message wncd switch ative R0 reverse | redirect flash:<filename>

solicitar arquivo de rastreamento de software de plataforma

Coletar ambos os arquivos da memória flash

2. Depurações no AP:

Coletar informações da ACL:

show ip access-lists

Colete as depurações abaixo do AP:

• debug capwap client avc all
• debug capwap client acl
• debug client <client mac>
• debug dot11 client level info address <mac>
• debug dot11 client level events address <mac>
• debug flexconnect pmk

Depuração DHCP do cliente

Alguns problemas podem ser depurados usando essas depurações.

1. Não está vendo as mensagens de Descoberta de DHCP no Switch.

2. O Cliente Sem Fio não está recebendo a Oferta DHCP de volta. A Descoberta de DHCP é observada em debug ip dhcp snooping packet logs.

3. Colete a captura de pacotes na porta conectada ao AP, a porta de uplink e a porta conectada ao servidor DHCP no lado da fusão.

Depurações/comandos show que podem ser:  

1. Verifique no Cisco DNA Center se o SSID está atribuído ao pool de IPs.

2. Verifique se a WLAN está habilitada no WLC.

3. Verifique se os rádios estão habilitados e se as redes 802.11a e 802.11b estão habilitadas.

Depuração de desempenho do cliente no AP

1. Limite o problema à rede com fio ou sem fio ou a ambas as redes afetadas. Teste o mesmo tráfego em um cliente conectado à rede sem fio no mesmo VNID e teste o mesmo tráfego com fio no mesmo VNID.

2. Se os clientes com fio em Fabric na mesma VPN não estiverem tendo problemas, mas os clientes sem fio estiverem, o problema estará no lado do AP.

3. Para depurar no lado do AP para qualquer problema relacionado ao desempenho do cliente ou ao tráfego, certifique-se de que a conectividade do cliente não seja o problema, para começar.

4. Certifique-se de usar debug client no WLC que o cliente esteja observando degradação durante roaming, tempo limite de sessão ou conexão estável para o mesmo AP.

5. Depois de reduzir que o problema está no mesmo AP, siga estas etapas para coletar depurações em APs 3800/2800/4800 junto com a captura de pacotes no switch conectado ao AP e as capturas de pacotes no ar.

Etapa 1. Certifique-se de que o tráfego usado para reproduzir o problema esteja realmente imitando o problema.

Etapa 2. A captura de pacote pelo ar precisa ser configurada no lado do cliente onde o teste foi realizado.

Instructions for collecting over-the-air packet captures:

Here you find the guide how to set up an Over-The-Air packet capture, you can use a windows client machine, apple client machine or configure a sniffer mode AP (suggested).
https://www.cisco.com/c/en/us/support/docs/wireless-mobility/80211/200527-Fundamentals-of-802-11-Wireless-Sniffing.html
 
There are few things we need to consider:
+Use an Open L2/L3 security SSID to avoid encryption on the packets through the air.
+Set client-serving-AP and sniffer AP on the same channel.
+Sniffer AP should be close enough to capture what serving-client-AP is receiving or sending.
 
SPAN session should be taken at the same time than OTA pcap for a proper analysis, how to configure a SPAN session (swport traffic mirroring):
 
Nexus switches:
https://www.cisco.com/c/en/us/support/docs/switches/nexus-7000-series-switches/113038-span-nexus-config.html
IOS switches:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/network_management/configuration_guide/b_nm_15ex_2960-x_cg/b_nm_15ex_2960-x_cg_chapter_0111.html

Etapa 3. Depurar o cliente da WLC e a captura de pacotes do switch onde o AP está conectado. As capturas de EPC do switch podem ser aproveitadas para capturar esses registros.

Etapa 4. Depurações da sessão 3800 AP ssh/telnet

Logs to be collected from 3800 AP:

A) Run following commands once before starting the test. [Once all commands are tested, copy all commands in a text file so that it is easy to copy and paste on devshell, we would need multiple iterations of this command outputs during the test]

Step A
Devshell commands on AP - Use SSH.
--------------------------------------------------
1) To Get wired0 input packet count

date
cd /click/fromdev_wired0/
cat icounts ocounts calls

2) Fabric gateway and clients

cat /click/client_ip_table/cli_fabric_clients
cd /click/fabric_tunnel/
cat show_fabric_gw

3) Tunnel Decap stats

cd /click/tunnel_decap/
cat icounts ocounts tunnel_decap_stats tunnel_decap_no_match decap_vxlan_stats
cat tunnel_decap_list

4) Tunnel Encap stats

cd /click/tunnel_encap/
cat icounts ocounts tunnel_encap_stats encap_vxlan_stats tunnel_encap_discard
cat get_mtu eogre_encap_list


5) Wireless client stats

Note: é necessário emitir o último conjunto de comandos na combinação de vap de rádio correta. Por exemplo, se o cliente estiver no rádio 1, vap 1: cat /click/client_ip_table/list = Na saída, verifique a porta/interface conectada do cliente aprXvY, use o mesmo para obter a saída abaixo. cd /click/fromdev_ apr1v3/ cat icounts chamadas cd /click/todev_ apr1v3/ cat icounts chamadas Etapas B - E B) Iniciar o OTA entre AP. Cliente. E inicie o PCAP com fio (Spanning AP port onde o cliente está conectado). (O pcap com e sem fio é necessário para a análise.) C) Use a WLAN de autenticação aberta (sem segurança para analisar o pcap OTA). Inicie o teste iperf e mantenha-o em execução por 10-15mins, continuamente. D) Repita a Etapa A a cada dois minutos usando o comando date. Tome 5 ou mais iterações. E) Após a conclusão do teste - Colete show tech do AP.

Integração de AP

Método/Etapas Tradicionais:

Considera-se que o escopo de VLAN do AP tem a opção 43 ou a opção 60 apontando para a WLC.

1. Selecione Autenticação como Sem Autenticação.

2. Configure Infra_VN com AP IP Pool e Default_VN com Wireless Client IP Pool.

3. Configure as Portas de Interface de Borda onde os APs estão conectados com Infra_VN.

4. Uma vez que o AP obtém o IP e ingressa na WLC, ele é descoberto no inventário de dispositivos.

5. Selecione o AP e atribua-o a um local específico e provisione o AP.

6. Uma vez provisionado, o AP é atribuído ao grupo de AP criado durante a adição da WLC à estrutura.

Provisionamento de AP Plug and Play/Zero-Touch

Considera-se que o escopo de VLAN do AP tem a opção 43 apontando para o Cisco DNA Center. Siga o guia DNAC para configurar o AP PNP

Lado da borda da malha:

Ative essas depurações.

• debug ip dhcp snooping packet
• debug ip dhcp snooping event
  

Informações Relacionadas

• Guias de configuração sem fio para cada versão
• Guia de implantação sem fio SD
• Guia de práticas recomendadas sem fio
• Documentos de referência técnica para wireless
• Matriz de Compatibilidade para SDA
• Guias do usuário do Cisco DNA Center para cada versão