Solucionar problemas de acesso definido por software sem fio no Cisco DNA Center

Introduction

Este documento descreve as perguntas frequentes sobre conexões sem fio e como solucionar problemas de acesso definido por software no Cisco DNA Center.

Planilha de Chats de Comando para Estrutura

Estas são as folhas de comandos para malha em nó de controle, nó de borda, controlador de LAN sem fio (WLC) e ponto de acesso (AP).

Nó de controle:

• show lisp instance-id <L2 ap instance id> ethernet server - Mapeamento MAC to Endpoint Identification (EID)
• show lisp instance-id <L3 ap instance id> ipv4 server - Mapeamento de IP para EID
• show lisp instance-id 8188 ethernet server address-resolution - MAC to IP Mapping para um ID de instância específico
• show lisp site
• show tech-support
• show tech-support lisp

Nó de borda:

• show lisp instance-id <L2 ap instance id> ethernet database wlc
• show lisp instance-id <L2 client instance id> ethernet database wlc
• show access-tunnel summary
• show platform software fed switch ative ifm interfaces access-tunnel
• show platform software access-tunnel switch ative R0
• show platform software access-tunnel switch ative R0 statistics
• show platform software access-tunnel switch ative F0
• show platform software access-tunnel switch ative F0 statistics
• show platform software object-manager switch ative F0 statistics
• show platform software object-manager switch ative F0 pending-issue-update
• show platform software object-manager switch ative F0 pending-ack-update
  
• show platform software object-manager switch ative F0 error-object
• show tech-support
• show tech-support lisp

WLC (AireOS):

• show fabric ap summary
• show fabric summary
• show fabric map-server summary
• show run-config
• comandos show run-config
• show tech

WLC (IOS-XE)

• show ap summary
• show fabric ap summary
• show wireless fabric summary
• show wireless client summary
• show tech-support wireless
• show tech-support wireless fabric
• show tech-support lisp (se Fabric in a box ou Embedded wireless rodando em 9300/9400/9500)
• show tech-support (se Fabric in a box ou Embedded wireless rodando em 9300/9400/9500)

Ponto de acesso: 

• show ip tunnel fabric
• show tech-support

AireOS WLC Config Push do Cisco DNA Center 

Aqui ele mostra o envio de configuração da WLC do AireOS do Cisco DNA Center após o provisionamento (Observação: Usando a referência como 3504 WLC).

show radius summary após o provisionamento de WLC:

(sdawlc3504) >show radius summary 

Vendor Id Backward Compatibility................. Disabled
Call Station Id Case............................. lower
Accounting Call Station Id Type.................. Mac Address
Auth Call Station Id Type........................ AP's Radio MAC Address:SSID
Extended Source Ports Support.................... Enabled
Aggressive Failover.............................. Disabled
Keywrap.......................................... Disabled
Fallback Test:
    Test Mode.................................... Passive
    Probe User Name.............................. cisco-probe
    Interval (in seconds)........................ 300
MAC Delimiter for Authentication Messages........ hyphen
MAC Delimiter for Accounting Messages............ hyphen
RADIUS Authentication Framed-MTU................. 1300 Bytes

Authentication Servers

Idx  Type  Server Address    Port    State     Tout  MgmtTout  RFC3576  IPSec - state/Profile Name/RadiusRegionString
---  ----  ----------------  ------  --------  ----  --------  -------  -------------------------------------------------------
1  * NM    192.168.2.193     1812    Enabled   2     5         Enabled   Disabled - /none
2    M     172.27.121.193    1812    Enabled   2     5         Enabled   Disabled - /none

WLAN Config Push é visto em show wlan summary.

(sdawlc3504) >show wlan summary 

Number of WLANs.................................. 7

WLAN ID  WLAN Profile Name / SSID                                                 Status    Interface Name        PMIPv6 Mobility
-------  -----------------------------------------------------------------------  --------  --------------------  ---------------
1        Test / Test                                                              Enabled   management            none        
17       dnac_guest_F_global_5dfbd_17 / dnac_guest_206                            Disabled  management            none        
18       dnac_psk_2_F_global_5dfbd_18 / dnac_psk_206                              Disabled  management            none        
19       dnac_wpa2__F_global_5dfbd_19 / dnac_wpa2_206                             Enabled   management            none        
20       dnac_open__F_global_5dfbd_20 / dnac_open_206                             Enabled   management            none        
21       Test!23_F_global_5dfbd_21 / Test!23                                      Disabled  management            none 

Envio de configuração de WLC do Cisco DNA Center

Aqui ele mostra o envio de configuração da WLC do Cisco DNA Center após a adição da WLC à estrutura.

Como verificar se o Map-Server está acessível?

show fabric map-server summary após a adição da WLC à estrutura.

(sdawlc3504) >show fabric map-server summary 

MS-IP     Connection status 

--------------------------------

192.168.4.45    UP                   

192.168.4.66    UP 

Debug Fabric Map-Server Connectivity

A conectividade com o plano de controle (CP) pode ficar inativa ou inativa devido a vários motivos.

• Se a CP desceu. (o que não acontece neste caso)
• Nós intermediários que estão se desconectando e conectando WLC ao CP, por exemplo, roteador de fusão.
• Se a conectividade do CP com a WLC ficou inoperante devido ao link inoperante. Isso pode ser WLC para um vizinho imediato ou CP para um vizinho imediato em direção à WLC.

show fabric map-server detailed

show fabric TCP create-history <Map-Server IP>

Depurações que podem fornecer informações adicionais

debug fabric lisp map-server tcp enable

debug fabric lisp map-server all enable

Como verificar se a estrutura está ativada e qual é a saída esperada?

show fabric summary depois que a WLC é adicionada à estrutura.

(sdawlc3504) >show fabric summary 

Fabric Support................................... enabled

Enterprise Control Plane MS config
--------------------------------------

Primary Active MAP Server
IP Address....................................... 192.168.4.45

Secondary Active MAP Server
IP Address....................................... 192.168.4.66

Guest Control Plane MS config
-------------------------------

Fabric TCP keep alive config
----------------------------

Fabric MS TCP retry count configured ............ 3
Fabric MS TCP timeout configured ................ 10
Fabric MS TCP keep alive interval configured .... 10
Fabric Interface name configured .............. management

Fabric Clients registered ..................... 0

Fabric wlans enabled .......................... 3

Fabric APs total Registration sent ............ 30

Fabric APs total DeRegistration sent .......... 9

Fabric AP RLOC reguested ...................... 15

Fabric AP RLOC response received .............. 30

Fabric AP RLOC send to standby ................ 0

Fabric APs registered by WLC .................. 6

VNID Mappings configured: 4 

Name                              L2-Vnid     L3-Vnid     IP Address/Subnet         
--------------------------------  ----------  ----------  ---------------------------------
182_10_50_0-INFRA_VN              8188        4097        182.10.50.0 / 255.255.255.128
10_10_10_0-Guest_Area             8190        0           0.0.0.0 / 0.0.0.0
182_10_100_0-DEFAULT_VN           8191        0           0.0.0.0 / 0.0.0.0
182_11_0_0-DEFAULT_VN             8189        0           0.0.0.0 / 0.0.0.0

Fabric Flex-Acl-tables           Status
-------------------------------- -------
DNAC_FABRIC_FLEX_ACL_TEMPLATE    Applied

Fabric Enabled Wlan summary
WLAN ID  SSID                              Type  L2 Vnid     SGT     RLOC IP          Clients  VNID Name 
-------  --------------------------------  ----  ----------  ------  ---------------  -------  -------------------------------- 
 19      dnac_wpa2_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN           
 20      dnac_open_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN   

Envio de configuração de WLAN do Cisco DNA Center

Envio de configuração de WLAN do Cisco DNA Center é visto em show fabric wlan summary depois que a WLC é adicionada à estrutura e o Client IP Pool é atribuído à LAN sem fio de estrutura (WLAN) em Provision > Fabric > Host Onboarding.

show fabric wlan summary após o provisionamento da estrutura.

(sdawlc3504) >show fabric wlan summary 

WLAN ID  SSID                              Type  L2 Vnid     SGT     RLOC IP          Clients  VNID Name 
-------  --------------------------------  ----  ----------  ------  ---------------  -------  -------------------------------- 
 19      dnac_wpa2_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN           
 20      dnac_open_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN 

Depurar problemas sem fio

Depuração de participação de AP/Depuração de formação de túnel de acesso

1. Verifique se o AP recebeu o endereço IP.

show ip dhcp snooping binding → On Fabric Edge

Se ele não mostrar um IP para a interface AP conectada, ative essas depurações no Switch e verifique se o AP está recebendo IP ou não.

debug ip dhcp snooping packet

debug ip dhcp snooping event

Exemplo de arquivo de log anexado abaixo → 

Exemplo:

Floor_Edge-6#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
0C:75:BD:0D:46:60 182.10.50.7 670544 dhcp-snooping 1021 GigabitEthernet1/0/7 → AP interface should be having an IP

2. Verifique se o AP entra na WLC.

• show ap summary → No WLC
• show ap join stat summary → No WLC

Se o AP nunca se juntou à WLC, ative essas depurações na WLC.

• debug capwap events enable
• debug capwap errors enable

3. Se o AP forma CAPWAP, mas nenhum túnel de acesso é formado entre o AP e o Switch, faça estas verificações

Etapa 1. Se os APs na WLC têm IPs de RLOC ou não, por favor, marque o ponto 1 aqui.

1. Para tornar o protocolo do plano de controle de estrutura mais resiliente, é importante que uma rota específica para a WLC esteja presente na tabela de roteamento global de cada nó de estrutura. A rota para o endereço IP da WLC deve ser redistribuída no protocolo IGP básico na borda ou configurada estaticamente em cada nó. Em outras palavras, a WLC não deve ser alcançável por meio da rota padrão.

Etapa 2. Se os APs na WLC mostrarem RLOCs corretos e em show fabric summary ele mostrar que RLOC solicitado com RLOC recebido de forma satisfatória, verifique estas etapas

2. Verifique o nó Plano de Controle, show lisp instance-id <L2 ap instance id> ethernet server → Ele deve conter o MAC do rádio base para AP.

    Verifique no nó de borda de estrutura, show lisp instance-id <L2 ap instance id> ethernet database wlc → Ele deve conter MAC de rádio base para AP e não o MAC Ethernet do AP.

Se os dois comandos acima não mostrarem o MAC do rádio base do AP e os túneis de acesso não estiverem se formando. Ative debug lisp control-plane, tudo no plano Control e procure por Base Radio MAC no registro.

Note: debug lisp control-plane all on Control plane está realmente conversando. Desative o registro do console antes de ativar as depurações.

Se você vir uma falha de autenticação como mostrado aqui, verifique a chave de autenticação entre o nó WLC e CP.

Dec  7 17:42:01.655: LISP-0: MS Site EID IID 8188 prefix any-mac SVC_VLAN_IAF_MAC site site_uci, Registration failed authentication for more specific 2c0b.e9c6.ec80/48

Dec  7 17:42:01.659: LISP-0: Building reliable registration message registration-rejected for IID 8188  EID 2c0b.e9c6.ec80/48 , Rejection Code: authentication failure/2.

Como verificar a chave de autenticação na configuração de estrutura entre WLC e CP.

Na WLC, verifique a GUI em Controller > Fabric Configuration > Control Plane > (Pre Shared Key)

On CP, please check on switch using sh running-config | b map-server session CP#sh running-config | b map-server session map-server session passive-open WLC site site_uci description map-server configured from apic-em authentication-key (Ensure that the Pre shared key on WLC should match with this authentication key on CP)

Note: Geralmente, o Cisco DNA Center envia essa chave, portanto, não a altere a menos que seja necessário e saiba o que está configurado no CP/WLC]

4. Verificações gerais e comandos show para túneis de acesso.

• show access-tunnel summary

Floor_Edge-6#sh access-tunnel summary 

Access Tunnels General Statistics:
 Number of AccessTunnel Data Tunnels = 5 


Name SrcIP SrcPort DestIP DstPort VrfId 
------ --------------- ------- --------------- ------- ----
Ac4 192.168.4.68 N/A 182.10.50.6 4789 0 
Ac24 192.168.4.68 N/A 182.10.50.5 4789 0 
Ac19 192.168.4.68 N/A 182.10.50.8 4789 0 
Ac15 192.168.4.68 N/A 182.10.50.7 4789 0 
Ac14 192.168.4.68 N/A 182.10.50.2 4789 0 


Name IfId Uptime 
------ ---------- --------------------
Ac4 0x00000037 2 days, 20:35:29 
Ac24 0x0000004C 1 days, 21:23:16 
Ac19 0x00000047 1 days, 21:20:08 
Ac15 0x00000043 1 days, 21:09:53 
Ac14 0x00000042 1 days, 21:03:20 

• show platform software fed switch ative ifm interfaces access-tunnel
  

Floor_Edge-6#show platform software fed switch active ifm interfaces access-tunnel 
Interface                   IF_ID               State             
----------------------------------------------------------------
Ac4                         0x00000037          READY             
Ac14                        0x00000042          READY             
Ac15                        0x00000043          READY             
Ac19                        0x00000047          READY             
Ac24                        0x0000004c          READY             

Floor_Edge-6#

Se os túneis de acesso sob o comando b) forem maiores que a), isso é um problema. Aqui as entradas do Fed não foram limpas corretamente pela Borda da malha e, portanto, há várias entradas de túnel de acesso no Fed em comparação com o IOS. Compare o Dest IP após executar o comando mostrado aqui. Se vários túneis de acesso compartilharem o mesmo IP de destino, esse é o problema com a programação.

• show platform software fed switch ative ifm if-id <Cada AP IF-ID> 

Note: Cada IF-ID pode ser buscado do comando anterior.

Floor_Edge-6#show platform software fed switch active ifm if-id 0x00000037  
Interface IF_ID         : 0x0000000000000037
Interface Name          : Ac4
Interface Block Pointer : 0xffc0b04c58
Interface State         : READY
Interface Status        : ADD
Interface Ref-Cnt       : 2
Interface Type          : ACCESS_TUNNEL
        Tunnel Type       : L2Lisp
        Encap Type        : VxLan
        IF_ID             : 0x37

        Port Information
        Handle ............ [0x2e000094]
        Type .............. [Access-tunnel]
        Identifier ........ [0x37]
        Unit .............. [55]
        Access tunnel Port Logical Subblock
                Access Tunnel id  : 0x37
                Switch Num        : 1
                Asic Num          : 0
                PORT LE handle    : 0xffc0b03c58
                L3IF LE handle    : 0xffc0e24608
                DI handle         : 0xffc02cdf48
                RCP service id    : 0x0
                HTM handle decap  : 0xffc0e26428
                RI handle decap   : 0xffc0afb1f8
                SI handle decap   : 0xffc0e26aa8
                RCP opq info      : 0x1
                L2 Brdcast RI handle  : 0xffc0e26808
                GPN               : 3201
                Encap type        : VXLAN
                L3 protocol       : 17
                Src IP            : 192.168.4.68
                Dest IP           : 182.10.50.6
                Dest Port         : 4789
                Underlay VRF      : 0
                XID cpp handle    : 0xffc03038f8
        Port L2 Subblock
                Enabled ............. [No]
                Allow dot1q ......... [No]
                Allow native ........ [No]
                Default VLAN ........ [0]
                Allow priority tag ... [No]
                Allow unknown unicast  [No]
                Allow unknown multicast[No]
                Allow unknown broadcast[No]
                Allow unknown multicast[Enabled]
                Allow unknown unicast  [Enabled]
                IPv4 ARP snoop ....... [No]
                IPv6 ARP snoop ....... [No]
                Jumbo MTU ............ [0]
                Learning Mode ........ [0]
        Port QoS Subblock
                Trust Type .................... [0x7]
                Default Value ................. [0]
                Ingress Table Map ............. [0x0]
                Egress Table Map .............. [0x0]
                Queue Map ..................... [0x0]
        Port Netflow Subblock
        Port CTS Subblock
                Disable SGACL .................... [0x0]
                Trust ............................ [0x0]
                Propagate ........................ [0x1]
        %Port SGT .......................... [-180754391]
Ref Count : 2 (feature Ref Counts + 1)
IFM Feature Ref Counts
        FID : 91, Ref Count : 1
No Sub Blocks Present

• show platform software access-tunnel switch ative R0

Floor_Edge-6#show platform software access-tunnel switch active R0        
Name     SrcIp            DstIp             DstPort   VrfId    Iif_id  
---------------------------------------------------------------------
Ac4      192.168.4.68     182.10.50.6        0x12b5  0x0000  0x000037  
Ac14     192.168.4.68     182.10.50.2        0x12b5  0x0000  0x000042  
Ac15     192.168.4.68     182.10.50.7        0x12b5  0x0000  0x000043  
Ac19     192.168.4.68     182.10.50.8        0x12b5  0x0000  0x000047  
Ac24     192.168.4.68     182.10.50.5        0x12b5  0x0000  0x00004c  

•   show platform software access-tunnel switch ative R0 statistics

Floor_Edge-6#show platform software access-tunnel switch active R0 statistics 
Access Tunnel Counters   (Success/Failure)
------------------------------------------
Create                  6/0
Create Obj Download     6/0
Delete                  3/0
Delete Obj Download     3/0
NACK                    0/0

• show platform software access-tunnel switch ative F0

Floor_Edge-6#show platform software access-tunnel switch active F0 
Name     SrcIp            DstIp             DstPort  VrfId    Iif_id    Obj_id  Status        
--------------------------------------------------------------------------------------------
Ac4      192.168.4.68     182.10.50.6        0x12b5  0x000  0x000037  0x00d270  Done          
Ac14     192.168.4.68     182.10.50.2        0x12b5  0x000  0x000042  0x03cbca  Done          
Ac15     192.168.4.68     182.10.50.7        0x12b5  0x000  0x000043  0x03cb9b  Done          
Ac19     192.168.4.68     182.10.50.8        0x12b5  0x000  0x000047  0x03cb6b  Done          
Ac24     192.168.4.68     182.10.50.5        0x12b5  0x000  0x00004c  0x03caf4  Done  

•   show platform software access-tunnel switch ative F0 statistics

Floor_Edge-6#show platform software access-tunnel switch active F0 statistics 
Access Tunnel Counters   (Success/Failure)
------------------------------------------
Create                  0/0
Delete                  3/0
HW Create               6/0
HW Delete               3/0
Create Ack              6/0
Delete Ack              3/0
NACK Notify             0/0

• show platform software object-manager switch ative f0 statistics

Floor_Edge-6#show platform software object-manager switch active f0 statistics        
Forwarding Manager Asynchronous Object Manager Statistics

Object update: Pending-issue: 0, Pending-acknowledgement: 0
Batch begin:   Pending-issue: 0, Pending-acknowledgement: 0
Batch end:     Pending-issue: 0, Pending-acknowledgement: 0
Command:       Pending-acknowledgement: 0
Total-objects: 987
Stale-objects: 0
Resolve-objects: 3
Error-objects: 1
Paused-types: 0

• show platform software object-manager switch ative f0 pending-issue-update
• show platform software object-manager switch ative f0 pending-ack-update
• show platform software object-manager switch ative f0 error-object

5. Rastreios e depurações que precisam ser coletados.

Etapa 1. Coletar registros de arquivo antes de ativar rastreamentos/depurações

request platform software trace archive target flash:<Filename>

Floor_Edge-6#request platform software trace archive target flash:Floor_Edge-6_12_14_18
Waiting for trace files to get rotated.
Creating archive file [flash:Floor_Edge-6_12_14_18.tar.gz]
Done with creation of the archive file: [flash:Floor_Edge-6_12_14_18.tar.gz]

Etapa 2.  Aumente o buffer de registro e desative o console.

Floor_Edge-6(config)#logging buffered 214748364
Floor_Edge-6(config)#no logging console 

Etapa 3. Definir Rastreamentos.

• set platform software trace forwarding switch ativo R0 access-tunnel verbose
• set platform software trace forwarding switch ative F0 access-tunnel verbose
• set platform software trace fed switch ative ifm_main debug
• set platform software trace fed switch ative access_tunnel verbose
• set platform software trace forwarding-manager switch ative F0 aom verbose

Etapa 4. Habilitar depurações.

• debug l2lisp all
• debug lisp control-plane all
• debug platform software l2lisp events

Etapa 5.  shut/no shut interface port onde o AP está conectado.

Etapa 6. Colete os logs de arquivamento como na Etapa 1. com um nome de arquivo diferente.

Passo 7.  Redirecione o arquivo de registro para flash.

Floor_Edge-6#show logging | flash de redirecionamento:<Filename>

Floor_Edge-6#show logging | redirect flash:console_logs_Floor_Edge-6_12_14_18

Depuração de cliente

Debug Wireless client's issues on SDA FEW pode se tornar complicado.

Siga este fluxo de trabalho para eliminar um dispositivo de cada vez.

1. WLC

2. Borda da estrutura

3. Ponto de acesso (se a depuração na borda da estrutura apontar para AP)

4. Nó Intermediário/Borda. (Se ocorrer um problema no caminho dos dados)

5. Nó do plano de controle. (Se problema no caminho do controle)

Depuração de WLC

Para problemas de conectividade do cliente, comece a depuração coletando informações sobre a WLC, que inclui comandos show e depurações.

Comandos show do AireOS WLC:

• show run-config
• show tech
• show wlan summary
• show wlan <id> —> Colete essa saída para todos os SSIDs, pelo menos 1 para trabalhar e não funcionar
• show fabric summary
• show fabric map-server summary
• show client summary
• show client detail <mac_id>

Comandos de depuração do AireOS WLC:

• debug client <mac1> —> assoc, roaming e depurações do cliente.
• debug fabric client detail enable —> Isso fornece mensagens de registro da estrutura de informações

Depuração da borda da estrutura

Depois de depurado na WLC e observado, não há problemas relacionados ao caminho do plano de controle para o cliente. O cliente sai de Assoc, Authentication, e executa o estado com a marcação SGT correta ou parâmetros AAA, vá para esta etapa para isolar ainda mais o problema.

Outra coisa a ser verificada é que a programação do túnel de acesso está correta conforme descrito na seção de depuração de AP acima.

comandos show para verificar:

Localizar a ID da instância de lista L2 de (mostrar detalhe do cliente <mac_id> acima)

show lisp instance-id 
     
     
       ethernet database wlc 
      --> This lists all WLC associated clients for that specific L2 lisp instance ID. A number of sources should match the number of Control plane nodes in the network
show lisp instance-id 
     
     
       ethernet database wlc 
       
      --> This shows the detail for the specific client
show device-tracking database | i Vl --> Find Specific SVI where the client is connected and needs to be present.
show device-tracking database | i 
     
      --> Find the client entry, should be against correct VLAN, Interface, State, and Age.
show mac address-table dynamic vlan 
     
      --> The entry for the mac should match the device-tracking database, if it does please check mac address entry on FED
show ip dhcp snooping binding vlan 
     
     
       show ip arp vrf 
      
        show mac address-table vlan 
       
         show platform software fed switch active matm macTable vlan 
        
          --> If this is correct, programming for wireless client is happening correctly on local switch. show platform software matm switch active F0 mac 
          
         
        
       
     

Comandos de depuração na Borda da estrutura

É necessário coletar rastreamentos do Fed se houver um problema na programação da entrada do cliente no Fabric Edge. Há duas maneiras de fazer o mesmo depois de habilitar essas depurações.

As depurações e os comandos set precisam ser ativados independentemente do método.

• set platform software trace fed switch ative all-modules emergência
• set platform software trace fed switch ative l2_fib_entry verbose
• set platform software trace fed switch ative l2_fib_adj verbose
• set platform software trace fed switch ative inject verbose
• set platform software trace fed switch ative matm verbose

debug (Certifique-se de desabilitar o registro de console e aumentar o buffer de registro)

• debug device-tracing
• debug lisp control-plane all
• debug platform fhs all
• debug platform software l2lisp events
• debug matm all

Método 1. Coletar registros de rastreamento ativos de rádio para um cliente específico após habilitar depurações.

Note: se ocorrer um problema de DHCP, não use este método]

Aguarde até que o problema seja reproduzido

• debug platform condition mac <mac-id> control-plane
• debug platform condition start
• debug platform condition stop
• request plat soft trace filter-binary wireless context mac <mac-id>

Redirecione os registros do console para a memória flash depois que o problema for reproduzido.

Método 2. Coletar logs de rastreamento de arquivo após habilitar depurações.

Aguarde até que o problema seja reproduzido

request platform software trace archive

Colete o arquivo para decodificar os registros e analisar registros alimentados, ios e fman para o mac do cliente.

Redirecione os registros do console para a memória flash depois que o problema for reproduzido.

Depuração do ponto de acesso

Depurações nos modelos de AP 2800/3800/1562:

Para problemas relacionados ao AP, certifique-se de coletar todos os comandos show e registros da WLC antes de coletar os registros do lado do AP e anexar ao SR.

Siga estas etapas para depurar problemas relacionados a dados no lado do cliente.

1. Coletar comandos show do AP: (2-3 vezes, antes e após a conclusão dos ensaios)

• show clock
• term len 0
• term mon
• show tech
• show logging
• show controllers nss stats show controllers nss status
• show ip tunnel fabric

Se tiver problemas com o CWA, colete também os registros abaixo, além dos comandos principais. Os comandos abaixo precisam ser coletados uma vez antes e depois da conclusão do teste.

• show client access-lists pre-auth all <client mac>
• show client access-lists post-auth all <client mac>
• show ip access-lists
• show controller d [0/1] client
• show capwap cli detail
• show tech support

2. depurações de AP (filtro por endereço MAC)

Problemas do CWA:

• debug capwap client avc all
• debug capwap client acl
• debug client <client mac>
• debug dot11 client level info address <mac>
• debug dot11 client level events address <mac>
• debug flexconnect pmk

Depuração de caso de uso

Depuração do cliente CWA

Aspectos a observar:

• Ao implantar o CWA no SDA, sempre use o DNAC para implantar a configuração.
• Depois de implantado usando o DNAC, a política de autorização, a política de autenticação e o perfil de autorização também seriam implantados no ISE pelo DNAC.
• As identidades para autenticação precisam ser configuradas manualmente, como feito para Dot1x

Descubra em que estágio o problema é observado.

Etapa 1. O cliente está obtendo um endereço IP e mudando para Webauth Pending?

1. Em caso afirmativo, vá para a próxima etapa.
2. Em caso negativo, o problema está na fase inicial de adesão.
3. Verifique a configuração em WLC e AP.
4. Verificar se a ACL está sendo enviada para o AP e corresponde ao que está na WLC
5. Se a ACL não for enviada corretamente, recarregue o AP e verifique se é um estado temporário onde a configuração não é enviada. Depois de confirmado em 1 AP, certifique-se de que o provisionamento de APs seja feito por meio do DNAC.

Etapa 2. O cliente pode carregar a página de redirecionamento?

1. Em caso afirmativo, vá para a próxima etapa.
2. Se não, o problema pode estar em vários lugares.
3. Verifique a configuração em WLC e AP.
4. Verificar se a ACL está sendo enviada para o AP e corresponde ao que está na WLC
5. Se a ACL não for enviada corretamente, recarregue o AP e verifique se é um estado temporário onde a configuração não é enviada. Depois de confirmado em 1 AP, certifique-se de que o provisionamento de APs seja feito por meio do DNAC.
6. Verifique a acessibilidade de WLC para ISE e Switch onde o AP está conectado ao ISE. Certifique-se de que nenhum firewall entre
7. Verificar se o DNS está configurado corretamente.

Etapa 3. O cliente pode ver a página da Web, mas o problema é fazer login e migrar para o sucesso?

1. Verifique as configurações das Etapas 1 e 2.
2. Verifique se o perfil de autorização, a política de autenticação e a política de autorização estão corretos.
3. Verificar registros do ISE Live
4. Verifique se o nome de usuário/senha está configurado corretamente nas identidades do ISE.
5. Colete depurações em WLC e AP como abaixo se tudo parecer bem.

1. Depurações na WLC:

• Colete abaixo os comandos show para AireOS e Polaris, respectivamente:

AireOS:

• show run-config
• show wlan summary
• show wlan <id_for_Guest>
• show flexconnect acl summary
• show flexconnect acl detailed <ACl_from_previous_command>

Polaris:

• show running
• show tech-support wireless
• show tech-support wireless fabric 
• show wlan summary
• show wlan id <id_for_guest>
• show ap name <AP_name> config general
• show running-config | s ACL
• show wireless profile flex summary
• show wireless profile flex detailed <profile_name_from_above>
  
  
• Ative essas depurações no AireOS e no Polaris.
  
  

AireOS: 

• debug client <client_mac>
• debug aaa all enable
• Reproduza o problema
• Coletar logs de console/ssh/telnet

Polares (9300/9400/9500):

set platform software trace wncd switch ative r0 all-modules debug

Reproduza o problema

show platform software trace message wncd switch ative R0 reverse | flash de redirecionamento:<filename>

request platform software trace archive

Coletar ambos os arquivos da memória flash

2. Depurações no AP:

Coletar informações da ACL:

show ip access-lists

Coletar abaixo depurações do AP:

• debug capwap client avc all
• debug capwap client acl
• debug client <client mac>
• debug dot11 client level info address <mac>
• debug dot11 client level events address <mac>
• debug flexconnect pmk

Depuração de DHCP do cliente

Alguns problemas podem ser depurados usando essas depurações.

1. Não vendo mensagens de descoberta de DHCP no Switch.

2. Cliente sem fio não recuperando a oferta DHCP. DHCP Discover é observado em debug ip dhcp snooping packet logs.

3. Colete a captura de pacotes na porta conectada ao AP, à porta de uplink e à porta conectada ao servidor DHCP no lado de fusão.

Depurações/comandos show que podem ser:  

1. Verifique o Cisco DNA Center se SSID está atribuído ao Pool IP.

2. Verifique se a WLAN está habilitada na WLC.

3. Verifique se os rádios estão ativados e se as redes 802.11a e 802.11b estão ativadas.

Depuração do desempenho do cliente no AP

1. Reduza o problema à rede com fio ou sem fio ou a ambos afetados. Teste o mesmo tráfego em um cliente conectado à rede sem fio no mesmo VNID e teste o mesmo tráfego na rede com fio no mesmo VNID.

2. Se os clientes com fio na malha na mesma VLAN não estiverem enfrentando problemas, mas os clientes sem fio estiverem, o problema está no lado do AP.

3. Para depurar no lado do AP para qualquer problema relacionado ao desempenho do cliente ou ao tráfego, verifique se a conectividade do cliente não é o problema, para começar.

4. Certifique-se de que, usando o cliente de depuração na WLC, o cliente esteja observando a degradação durante o roaming, o tempo limite da sessão ou a conexão estável ao mesmo AP.

5. Depois de reduzir o problema no mesmo AP, siga estas etapas para coletar depurações em APs 3800/2800/4800 junto com a captura de pacotes no switch conectado ao AP e capturas de pacotes pelo ar.

Etapa 1. Verifique se o tráfego usado para reproduzir o problema está realmente imitando o problema.

Etapa 2. A captura de pacotes no ar precisa ser configurada no lado do cliente onde o teste foi realizado.

Instructions for collecting over-the-air packet captures:

Here you find the guide how to set up an Over-The-Air packet capture, you can use a windows client machine, apple client machine or configure a sniffer mode AP (suggested).
https://www.cisco.com/c/en/us/support/docs/wireless-mobility/80211/200527-Fundamentals-of-802-11-Wireless-Sniffing.html
 
There are few things we need to consider:
+Use an Open L2/L3 security SSID to avoid encryption on the packets through the air.
+Set client-serving-AP and sniffer AP on the same channel.
+Sniffer AP should be close enough to capture what serving-client-AP is receiving or sending.
 
SPAN session should be taken at the same time than OTA pcap for a proper analysis, how to configure a SPAN session (swport traffic mirroring):
 
Nexus switches:
https://www.cisco.com/c/en/us/support/docs/switches/nexus-7000-series-switches/113038-span-nexus-config.html
IOS switches:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/network_management/configuration_guide/b_nm_15ex_2960-x_cg/b_nm_15ex_2960-x_cg_chapter_0111.html

Etapa 3. Depurar o cliente da WLC e a captura de pacotes do switch onde o AP está conectado. As capturas de EPC do switch podem ser aproveitadas para capturar esses logs.

Etapa 4. Depurações da sessão 3800 AP ssh/telnet

Logs to be collected from 3800 AP:

A) Run following commands once before starting the test. [Once all commands are tested, copy all commands in a text file so that it is easy to copy and paste on devshell, we would need multiple iterations of this command outputs during the test]

Step A
Devshell commands on AP - Use SSH.
--------------------------------------------------
1) To Get wired0 input packet count

date
cd /click/fromdev_wired0/
cat icounts ocounts calls

2) Fabric gateway and clients

cat /click/client_ip_table/cli_fabric_clients
cd /click/fabric_tunnel/
cat show_fabric_gw

3) Tunnel Decap stats

cd /click/tunnel_decap/
cat icounts ocounts tunnel_decap_stats tunnel_decap_no_match decap_vxlan_stats
cat tunnel_decap_list

4) Tunnel Encap stats

cd /click/tunnel_encap/
cat icounts ocounts tunnel_encap_stats encap_vxlan_stats tunnel_encap_discard
cat get_mtu eogre_encap_list


5) Wireless client stats

Note: precisa emitir esse último conjunto de comandos na combinação correta de vap de rádio. Por exemplo, se o cliente estiver no rádio 1, vap 1: cat /click/client_ip_table/list = Da saída, Check client connected port/interface aprXvY, use o mesmo para obter a saída abaixo. cd /click/fromdev_ apr1v3/ cat contem chamadas cd /click/todev_ apr1v3/ cat contem chamadas Etapas B - E B) Iniciar OTA entre AP. Cliente. E Start Wired PCAP (Spanning AP port onde o cliente está conectado). (Pcap com e sem fio necessárias para análise.) C) Use a WLAN Open-Auth (sem segurança para analisar a Pcap OTA). Inicie o teste do iperf e mantenha-o em funcionamento por 10 a 15 minutos, continuamente. D) Repita a Etapa A a cada dois minutos usando o comando date. Faça 5 ou mais iterações. E) Após a conclusão do teste - Colete o comando show tech da AP.

Integração de AP

Método/etapas tradicionais:

Considera-se que o AP Vlan Scope tem a opção 43 ou a opção 60 apontando para a WLC.

1. Selecione Autenticação como Sem Autenticação.

2. Configure Infra_VN com AP IP Pool e Default_VN com Wireless Client IP Pool.

3. Configure as portas da interface de borda onde os APs estão conectados com Infra_VN.

4. Quando o AP obtém o IP e se une à WLC, ele é descoberto no inventário do dispositivo.

5. Selecione o AP e atribua-o a um local específico e provisione o AP.

6. Depois de provisionado, o AP é atribuído ao grupo de AP criado durante a adição de WLC à estrutura.

Provisionamento de AP plug and play/zero-touch

Ele é considerado o AP Vlan Scope tem a opção 43 que aponta para o Cisco DNA Center. Siga o guia DNAC para configurar o AP PNP

Lado da borda da estrutura:

Ative essas depurações.

• debug ip dhcp snooping packet
• debug ip dhcp snooping event
  

Informações Relacionadas

• Guias de configuração sem fio para cada versão
• Guia de implantação de rede sem fio SD
• Guia de melhores práticas para conexões sem fio
• Documentos de referência técnica para redes sem fio
• Matriz de compatibilidade para SDA
• Guias do usuário do Cisco DNA Center para cada versão