O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve o processo de descoberta e ingresso no AireOS Wireless LAN Controller (WLC).
A Cisco recomenda que você tenha conhecimento destes tópicos:
Conhecimento básico da configuração de Lightweight Access Points (LAPs) e Cisco AireOS WLCs
Conhecimento básico do Lightweight Access Point Protocol (CAPWAP)
Este documento se concentra nos AireOS WLCs e não abrange o Catalyst 9800, embora o processo de ingresso seja semelhante.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Em uma rede sem fio unificada da Cisco, os LAPs devem primeiro detectar e se juntarem ao WLC para poderem atender os clientes sem fio.
No entanto, isso apresenta uma pergunta: como os LAPs encontraram o endereço IP de gerenciamento do controlador quando ele estava em uma sub-rede diferente?
Se você não informar ao LAP onde o controlador está por meio da opção 43 do DHCP, resolução de Domain Name System (DNS) de , ou se configurá-lo estaticamente, o LAP não saberá onde encontrar a interface de gerenciamento do controlador na rede.Cisco-capwap-controller.local_domain
Além desses métodos, o LAP procura automaticamente na sub-rede local os controladores com um broadcast local de 255.255.255.255. Além disso, o LAP lembra do endereço IP de gerenciamento do controlador e dos controladores presentes como pares de mobilidade, mesmo durante as reinicializações. No entanto, assim que o AP ingressa em outro WLC, ele lembra apenas do IP desse novo WLC e de seus pares de mobilidade, e não dos anteriores. Portanto, se você colocar o LAP primeiro na sub-rede local da interface de gerenciamento, ele encontrará a interface de gerenciamento do controlador e lembrará do endereço. Isso é chamado de fornecimento. Isso não ajudará a encontrar o controlador se você substituir um LAP posteriormente. Portanto, a Cisco recomenda o uso da opção 43 do DHCP ou dos métodos DNS.
Os LAPs sempre se conectam ao endereço da interface de gerenciamento do controlador primeiro com uma solicitação de descoberta. O controlador informa ao LAP o endereço IP da interface do gerenciador de AP da Camada 3 (que também pode ser o gerenciamento por padrão) para que o LAP possa enviar uma solicitação de ingresso para a interface do gerenciador de AP em seguida.
O AP passa por este processo na inicialização:
cisco-capwap-controller
cisco-capwap-controller
Nessa lista, o método mais fácil de usar para implantação é ter os LAPs na mesma sub-rede que a interface de gerenciamento do controlador e permitir que a transmissão da Camada 3 dos LAPs encontre o controlador. Esse método deve ser usado para empresas que têm uma rede pequena e não possuem um servidor DNS local.
O próximo método de implantação mais fácil é usar uma entrada de DNS com DHCP. Você pode ter entradas múltiplas do mesmo nome de DNS. Isso permite que o LAP detecte vários controladores. Esse método deve ser usado por empresas que têm todos os controladores em um único local e possuem um servidor DNS local. Ou, se a empresa tiver vários sufixos DNS e os controladores estiverem segregados por sufixo.
A opção 43 do DHCP é usada por grandes empresas para localizar as informações pelo DHCP. Esse método é usado por grandes empresas que possuem um sufixo DNS único. Por exemplo, a Cisco possui edifícios na Europa, na Austrália e nos Estados Unidos. Para garantir que os LAPS se juntem apenas a controladores localmente, a Cisco não pode usar uma entrada de DNS e deve usar as informações da opção 43 de DCHP para informar os LAPs qual é o endereço IP de gerenciamento de seu controlador local.
Finalmente, a configuração estática é usada para uma rede que não tenha um servidor DHCP. Você pode configurar as informações necessárias estaticamente para ingressar em um controlador pela porta do console e pela CLI dos APs. Para obter informações sobre como configurar os dados do controlador estaticamente usando a CLI do AP, use este comando:
AP#capwap ap primary-base <WLCName> <WLCIP>Para obter informações sobre como configurar a opção 43 do DHCP em um servidor DHCP, consulte o exemplo de configuração da opção 43 do DHCP
Se dois controladores tiverem a mesma capacidade excedente, envie a solicitação de junção para o primeiro controlador que respondeu à solicitação de detecção com uma resposta de detecção. Se um único controlador tiver vários gerenciadores AP em várias interfaces, escolha a interface do gerenciador AP com o menor número de APs.
O controlador responde a todas as solicitações de descoberta sem uma verificação de certificado ou credenciais de AP. No entanto, as solicitações de ingresso devem ter um certificado válido para obter uma resposta de ingresso do controlador. Se o LAP não receber uma resposta de ingresso de sua escolha, o LAP tentará acessar o próximo controlador na lista, a menos que esse seja um controlador configurado (primário/secundário/terciário).
Depois de baixar a configuração, o AP pode ser recarregado para aplicar a nova configuração. Portanto, um recarregamento extra poderá ocorrer. Isso é um comportamento normal.
Há alguns comandos no controlador que você pode usar para ver todo esse processo na CLI:debug
debug capwap events enable
: mostra os pacotes de descoberta e de ingresso.
debug capwap packet enable
: mostra informações no nível do pacote de descoberta e de ingresso.
debug pm pki enable
: mostra o processo de validação do certificado.
debug disable-all
: desativa as depurações.
Com um aplicativo de terminal que possa capturar a saída para um arquivo de registro, acesse o console ou secure shell (SSH)/Telnet para o controlador e insira estes comandos:
config session timeout 120 config serial timeout 120 show run-config (and spacebar thru to collect all) debug mac addr(in xx:xx:xx:xx:xx format) debug client debug capwap events enable debug capwap errors enable debug pm pki enable
Depois que as depurações forem capturadas, use o comando para desativar todas as depurações.debug disable-all
As próximas seções mostram a saída desses comandos quando o LAP é registrado com o controlador.debug
Esse comando fornece informações sobre os eventos e erros de CAPWAP que ocorrem no processo de descoberta e de ingresso no CAPWAP.
Esta é a saída do comando para um LAP que tem a mesma imagem do WLC:debug capwap events enable
Note: Algumas linhas da saída foram movidas para a segunda linha devido a restrições de espaço.
debug capwap events enable *spamApTask7: Jun 16 12:37:36.038: 00:62:ec:60:ea:20 Discovery Request from 172.16.17.99:46317 !--- CAPWAP discovery request sent to the WLC by the LAP. *spamApTask7: Jun 16 12:37:36.039: 00:62:ec:60:ea:20 Discovery Response sent to 172.16.17.99 port 46317 !--- WLC responds to the discovery request from the LAP. *spamApTask7: Jun 16 12:38:43.469: 00:62:ec:60:ea:20 Join Request from 172.16.17.99:46317
!--- LAP sends a join request to the WLC.
*spamApTask7: Jun 16 12:38:33.039: 00:62:ec:60:ea:20 Join Priority Processing status = 0, Incoming Ap's Priority 1, MaxLrads = 75, joined Aps =0
*spamApTask7: Jun 16 12:38:43.469: 00:62:ec:60:ea:20 Join Request from 172.16.17.99:46317
*spamApTask7: Jun 16 12:38:43.472: 00:62:ec:60:ea:20 Join Version: = 134256640
*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 apType = 46 apModel: AIR-CAP2702I-E-K9
*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 Join resp: CAPWAP Maximum Msg element len = 90
*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 Join Response sent to 172.16.17.99:46317
*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 CAPWAP State: Join
!--- WLC responds with a join reply to the LAP.
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Configuration Status from 172.16.17.99:46317
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 CAPWAP State: Configure !--- LAP requests for the configuration information from the WLC.
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Updating IP info for AP 00:62:ec:60:ea:20 -- static 0, 172.16.17.99/255.255.254.0, gtw 172.16.16.1
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Updating IP 172.16.17.99 ===> 172.16.17.99 for AP 00:62:ec:60:ea:20
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Running spamDecodeVlanProfMapPayload for00:62:ec:60:ea:20
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Setting MTU to 1485
*spamApTask7: Jun 16 12:38:44.019: 00:62:ec:60:ea:20 Configuration Status Response sent to 172:16:17:99
!--- WLC responds by providing all the necessary configuration information to the LAP. *spamApTask7: Jun 16 12:38:46.882: 00:62:ec:60:ea:20 Change State Event Request from 172.16.17.99:46317
*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Radio state change for slot: 0 state: 2 cause: 0 detail cause: 69
*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Change State Event Response sent to 172.16.17.99:46317
.
.
.
.
*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 CAPWAP State: Run
*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Sending the remaining config to AP 172.16.17.99:46317!
.
.
.
. !--- LAP is up and ready to service wireless clients. *spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmInterferenceCtrl payload sent to 172:16:17:99
*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmNeighbourCtrl payload sent to 172.16.17.99
*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmReceiveCtrl payload sent to 172:16:17:99
*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for CcxRmMeas payload sent to 172.16.17.99
!--- WLC sends all the RRM and other configuration parameters to the LAP.
Como mencionado na seção anterior, quando um LAP tiver se registrado com um WLC, ele verificará para saber se tem a mesma imagem que o controlador. Se as imagens no LAP e no WLC forem diferentes, os LAPs farão o download da nova imagem a partir do WLC primeiro. Se o LAP tiver a mesma imagem, ele continuará a fazer o download da configuração e de outros parâmetros a partir do WLC.
Essas mensagens serão exibidas na saída do comando se o LAP baixar uma imagem do controlador como parte do processo de registro:debug capwap events enable
*spamApTask6: Jun 17 14:23:28.677: 00:62:ec:60:ea:20 Sending image data block of length 1324 and msgLength = 1327
*spamApTask6: Jun 17 14:23:28.677: 00:62:ec:60:ea:20 Image Data Request sent to 172.16.17.201:46318
*spamApTask6: Jun 17 14:23:28.693: 00:62:ec:60:ea:20 Image data Response from 172.16.17.201:46318
Quando o download da imagem é concluído, o LAP é reinicializado, executa a descoberta e ingressa no algoritmo novamente.
Como parte do processo de ingresso, o WLC autentica cada LAP confirmando que o certificado é válido.
Quando o AP envia a solicitação de ingresso no CAPWAP para o WLC, ele incorpora o certificado X.509 na mensagem CAPWAP. O AP também gera uma ID de sessão aleatória que também está incluída na solicitação de ingresso no CAPWAP. Quando o WLC recebe a solicitação de ingresso no CAPWAP, confirma a assinatura do certificado X.509 com a chave pública do AP e verifica se o certificado foi emitido por uma autoridade de certificação confiável.
Também analisa a data e a hora de início do intervalo de validade do certificado do AP e compara essa data e hora com sua própria data e hora (portanto, o relógio do controlador precisa ser definido próximo da data e hora atuais). Se o certificado X.509 for validado, o WLC gerará uma chave de criptografia AES aleatória. O WLC examina as chaves AES no mecanismo de criptografia para que possa criptografar e descriptografar as futuras mensagens de controle do CAPWAP trocadas com o AP. Observe que os pacotes de dados são enviados de forma transparente no túnel do CAPWAP entre o LAP e o controlador.
O comando mostra o processo de validação da certificação que ocorre na fase de ingresso no controlador.debug pm pki enable
O comando também exibirá a chave de hash do AP no processo de ingresso se o AP tiver um certificado autoassinado (SSC) criado pelo programa de conversão do LWAPP.debug pm pki enable
Se o AP tiver um certificado instalado fabricado (MIC), uma chave de hash não será exibida.
Note: Todos os APs que foram fabricados após junho de 2006 possuem um MIC.
Esta é a saída do comando quando o LAP com um MIC ingressa no controlador:debug pm pki enable
Note: Algumas linhas da saída foram movidas para a segunda linha devido a restrições de espaço.
*spamApTask4: Mar 20 11:05:15.687: [SA] OpenSSL Get Issuer Handles: locking ca cert table
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: x509 subject_name /C=US/ST=California/L=San Jose/O=Cisco Systems/
CN=AP3G2-1005cae83a42/emailAddress=support@cisco.com
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuer_name /O=Cisco Systems/CN=Cisco Manufacturing CA
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: CN AP3G2-1005cae83a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuerCertCN Cisco Manufacturing CA
*spamApTask4: Mar 20 11:05:15.688: [SA] GetMac: MAC: 1005.cae8.3a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: openssl Mac Address in subject is 10:05:ca:e8:3a:42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: CN AP3G2-1005cae83a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuerCertCN Cisco Manufacturing CA
*spamApTask4: Mar 20 11:05:15.688: [SA] GetMac: MAC: 1005.cae8.3a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: openssl Mac Address in subject is 10:05:ca:e8:3a:42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Cert Name in subject is AP3G2-1005cae83a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Extracted cert issuer from subject name.
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Cert is issued by Cisco Systems.
*spamApTask4: Mar 20 11:05:15.688: [SA] Retrieving x509 cert for CertName cscoDefaultMfgCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: called to evaluate <cscoDefaultMfgCaCert>
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: Found matching CA cert cscoDefaultMfgCaCert in row 5
*spamApTask4: Mar 20 11:05:15.688: [SA] Found CID 260e5e69 for certname cscoDefaultMfgCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] CACertTable: Found matching CID cscoDefaultMfgCaCert in row 5 x509 0x2cc7c274
*spamApTask4: Mar 20 11:05:15.688: [SA] Retrieving x509 cert for CertName cscoDefaultNewRootCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: called to evaluate <cscoDefaultNewRootCaCert>
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: Found matching CA cert cscoDefaultNewRootCaCert in row 4
*spamApTask4: Mar 20 11:05:15.688: [SA] Found CID 28d7044e for certname cscoDefaultNewRootCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] CACertTable: Found matching CID cscoDefaultNewRootCaCert in row 4 x509 0x2cc7c490
*spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: X509 Cert Verification return code: 1
*spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: X509 Cert Verification result text: ok
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: called to evaluate <cscoDefaultMfgCaCert>
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: Found matching CA cert cscoDefaultMfgCaCert in row 5
*spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: OPENSSL X509_Verify: AP Cert Verfied Using >cscoDefaultMfgCaCert<
*spamApTask4: Mar 20 11:05:15.691: [SA] OpenSSL Get Issuer Handles: Check cert validity times (allow expired NO)
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: called to evaluate <cscoDefaultIdCert>
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: Found matching ID cert cscoDefaultIdCert in row 2
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmFreePublicKeyHandle: called with 0x1b0b9380
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmFreePublicKeyHandle: freeing public key
Se as depurações do controlador não indicarem uma solicitação de ingresso, você poderá depurar o processo no AP, se o AP tiver uma porta de console. Você pode ver o processo de inicialização do AP com esses comandos, mas primeiro deve entrar no modo de ativação (a senha padrão é Cisco).
debug dhcp detail
: mostra as informações da opção 43 do DHCP.
debug ip udp
: mostra todos os pacotes UDP recebidos e transmitidos pelo AP. debug capwap client event
: mostra eventos do CAPWAP para o AP.
debug capwap client error
: mostra erros do CAPWAP para o AP. debug dtls client event
: mostra eventos do DTLS para o AP. debug dtls error enable
: mostra erros do DTLS para o AP. undebug all
: desativa as depurações no AP.
Este é um exemplo da saída dos comandos .debug capwap
Essa saída parcial fornece uma ideia dos pacotes enviados pelo AP no processo de inicialização para descobrir e ingressar em um controlador.
AP can discover the WLC via one of these options :
!--- AP discovers the WLC via option 43
*Jun 28 08:43:05.839: %CAPWAP-5-DHCP_OPTION_43: Controller address 10.63.84.78 obtained through DHCP
*Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 10.63.84.78 with discovery type set to 2
!--- capwap Discovery Request using the statically configured controller information.
*Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 10.63.84.32 with discovery type set to 1
!--- Capwap Discovery Request sent using subnet broadcast.
*Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 255.255.255.255 with discovery type set to 0
!--- capwap Join Request sent to AP-Manager interface on DHCP discovered controller.
*Jun 28 08:40:29.031: %CAPWAP-5-SENDJOIN: sending Join Request to 10.63.84.78
O AP e o WLC podem se comunicar?
Verifique se o AP recebe um endereço do DHCP (verifique as locações do servidor DHCP para obter o endereço MAC do AP).
Faça ping no AP no controlador.
Verifique se a configuração do STP no switch está correta, para que os pacotes para as VLANs não sejam bloqueados.
Se os pings forem bem sucedidos, assegure-se de que o AP tenha pelo menos um método pelo qual detectar pelo menos um console WLC único ou use telnet/ssh no controlador para executar a depuração.
Cada vez que é reinicializado, o AP inicia a sequência de descoberta do WLC e tenta localizar o AP. Reinicie o AP e verifique se ele ingressa no WLC.
Aqui estão alguns dos problemas mais comuns encontrados devido aos quais os LAPs não se juntarão ao WLC.
Os certificados integrados no hardware são válidos por um período de 10 anos após a fabricação. Se o AP ou o WLC tiver mais de 10 anos, os certificados expirados poderão causar problemas de ingresso no AP. Mais informações sobre esse problema estão disponíveis neste field notice: Nota de campo: FN63942
Conclua estas etapas para solucionar esse problema:
debug dtls client error + debug dtls client event
*Jun 28 09:21:25.011: DTLS_CLIENT_EVENT: dtls_process_Certificate: Processing...Peer certificate verification failed 001A
*Jun 28 09:21:25.031: DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:509 Certificate verified failed!
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Bad certificate Alert
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_client_process_record: Error processing Certificate.
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_disconnect: Disconnecting DTLS connection 0x8AE7FD0
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_free_connection: Free Called... for Connection 0x8AE7FD0
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Close notify Alert
Essas informações mostram claramente que o tempo do controlador está fora do intervalo de validade do certificado do AP. Portanto, o AP não pode ser registrado no controlador. Os certificados instalados no AP têm um intervalo de validade predefinido. A hora do controlador deve ser definida para que esteja dentro do intervalo de validade do certificado do AP.
show time
Se a hora do controlador for maior ou menor do que esse intervalo de validade do certificado, altere a hora do controlador para que fique dentro desse intervalo.Note: Se a hora não estiver definida corretamente na controladora, escolhaCommands > Set Time
no modo GUI da controladora ou execute o comando config time na CLI da controladora para definir a hora da controladora.
show crypto ca certificates
Esse comando permite que você verifique o intervalo de validade do certificado definido no AP. Este é um exemplo:
AP00c1.649a.be5c#show crypto ca cert
............................................
............................................
.............................................
................................................
Certificate
Status: Available
Certificate Serial Number (hex): 7D1125A900000002A61A
Certificate Usage: General Purpose
Issuer:
cn=Cisco Manufacturing CA SHA2
o=Cisco
Subject:
Name: AP1G2-00c1649abe5c
e=support@cisco.com
cn=AP1G2-00c1649abe5c
o=Cisco Systems
l=San Jose
st=California
c=US
CRL Distribution Points:
http://www.cisco.com/security/pki/crl/cmca2.crl
Validity Date:
start date: 01:05:37 UTC Mar 24 2016
end date: 01:15:37 UTC Mar 24 2026
Associated Trustpoints: Cisco_IOS_M2_MIC_cert
Storage:
..................................
....................................
......................................
A saída inteira não está listada porque pode haver muitos intervalos de validade associados à saída desse comando. Considere somente o intervalo de validade especificado pelo Ponto de Confiança Associado: Cisco_IOS_MIC_cert com o nome do AP relevante no campo de nome. Neste exemplo, a saída é Nome: C1200-001563e50c7e. Esse é o intervalo de validade do certificado real a ser considerado.
Você verá esta mensagem na saída do comando :debug capwap events enable
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Setting MTU to1485
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Regulatory Domain Mismatch: AP 00:cc:fc:13:e5:e0 not allowed to join. Allowed domains: 802.11bg:-A
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Finding DTLS connection to delete for AP (192:168:47:29/60390)
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Disconnecting DTLS Capwap-Ctrl session 0x1d4df620 for AP (192:168:47:29/60390). Notify(true)
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 acDtlsPlumbControlPlaneKeys: lrad:192.168.47.29(60390) mwar:10.63.84.78(5246)
WLC msglog show these messages :
*spamApTask5: Jun 28 11:52:06.536: %CAPWAP-3-DTLS_CLOSED_ERR: capwap_ac_sm.c:7095 00:cc:fc:13:e5:e0: DTLS connection
closed forAP 192:168:47:28 (60389), Controller: 10:63:84:78 (5246) Regulatory Domain Mismatch
A mensagem indica claramente que há uma incompatibilidade no domínio regulatório do LAP e do WLC. O WLC é compatível com vários domínios regulatórios, mas cada domínio regulatório deve ser selecionado antes que um AP possa ingressar nesse domínio. Por exemplo, o WLC que usa o domínio regulatório -A somente pode ser usado com APs que usam o domínio regulatório -A (e assim por diante). Ao comprar APs, verifique se eles compartilham o mesmo domínio regulatório. Somente assim os APs podem se registrar com a WLC.
Note: Os rádios 802.1b/g e 802.11a devem estar no mesmo domínio regulatório para um único AP.
Nesses casos, esta mensagem é exibida no controlador na saída do comando :debug capwap events enable
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Received CAPWAP DISCOVERY REQUEST from AP 00:0b:85:51:5a:e0 to 00:0b:85:33:52:80 on port '1' Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Successful transmission of CAPWAP Discovery-Response to AP 00:0b:85:51:5a:e0 on Port 1 Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Received LWAPP DISCOVERY REQUEST from AP 00:0b:85:51:5a:e0 to ff:ff:ff:ff:ff:ff on port '1' Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Successful transmission of CAPWAP Discovery-Response to AP 00:0b:85:51:5a:e0 on Port 1 Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 Received CAPWAP JOIN REQUEST from AP 00:0b:85:51:5a:e0 to 00:0b:85:33:52:80 on port '1' Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 AP ap:51:5a:e0: txNonce 00:0B:85:33:52:80 rxNonce 00:0B:85:51:5A:E0 Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 CAPWAP Join-Request MTU path from AP 00:0b:85:51:5a:e0 is 1500, remote debug mode is 0 Wed Sep 12 17:42:50 2007: spamRadiusProcessResponse: AP Authorization failure for 00:0b:85:51:5a:e0
Se você usar um LAP que tenha uma porta de console, esta mensagem será exibida ao executar o comando :debug capwap client error
AP001d.a245.a2fb# *Mar 1 00:00:52.267: LWAPP_CLIENT_ERROR_DEBUG: spamHandleJoinTimer: Did not receive the Join response *Mar 1 00:00:52.267: LWAPP_CLIENT_ERROR_DEBUG: No more AP manager IP addresses remain.
Mais uma vez, essa é uma indicação clara de que o LAP não faz parte da lista de autorização de AP no controlador.
Você pode visualizar o status da lista de autorização de AP com este comando:
(Cisco Controller) >show auth-list Authorize APs against AAA ....................... enabled Allow APs with Self-signed Certificate (SSC) .... disabled
Para adicionar um LAP à lista de autorização do AP, use o comando .config auth-list add mic
Para obter mais informações sobre como configurar a autorização do LAP, consulte Lightweight Access Point (LAP) Authorization in a Cisco Unified Wireless Network Configuration Example.
O LAP não se junta a um controlador por causa de um problema de certificado.
Execute os comandos e .debug capwap errors enable
debug pm pki enable
Você vê mensagens que indicam os certificados ou as chaves que estão corrompidos.
Note: Algumas linhas da saída foram movidas para a segunda linha devido a limitações de espaço.
Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0 CAPWAP Join Request does not include valid certificate in CERTIFICATE_PAYLOAD from AP 00:0f:24:a9:52:e0. Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0 Deleting and removing AP 00:0f:24:a9:52:e0 from fast path Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0 Unable to free public key for AP
Use uma destas duas opções para resolver o problema:
Você verá esta mensagem na saída do comando :debug capwap events enable
Received a Discovery Request with subnet broadcast with wrong AP IP address (A.B.C.D)!
Esta mensagem significa que o controlador recebeu uma solicitação de descoberta de um endereço IP de transmissão com um endereço IP de origem que não está em uma sub-rede configurada no controlador. Isso também significa que o controlador descarta o pacote.
O problema é que não foi o AP que enviou a solicitação de descoberta para o endereço IP de gerenciamento. O controlador relata uma solicitação de descoberta de transmissão de uma VLAN que não está configurada no controlador. Isso normalmente ocorre quando os troncos permitiram VLANs e não as restringiram a VLANs sem fio.
Conclua estas etapas para resolver o problema:
Se um firewall for usado na rede empresarial, verifique se essas portas estão ativadas no firewall para que o LAP ingresse e se comunique com o controlador.
Você deve ativar estas portas:
Ative estas portas UDP para o tráfego CAPWAP:
Dados - 5247
Controle - 5246
Ative estas portas UDP para o tráfego de mobilidade:
16666 - 16666
16667 - 16667
Ative as portas UDP 5246 e 5247 para o tráfego CAPWAP.
TCP 161 e 162 para o SNMP (para o Wireless Control System [WCS])
Essas portas são opcionais (dependendo dos seus requisitos):
UDP 69 para o TFTP
TCP 80 e/ou 443 para o HTTP ou o HTTPS para o acesso a GUI
TCP 23 e/ou 22 para o Telnet ou o SSH para o acesso a CLI
Esse é outro problema comum observado quando o AP tenta ingressar no WLC. Você pode ver essa mensagem de erro quando o AP tenta ingressar no controlador.
No more AP manager IP addresses remain
Uma das razões para essa mensagem de erro é quando há um endereço IP duplicado na rede que corresponde ao endereço IP do gerenciador AP. Nesse caso, o LAP mantém as iniciações do ciclo de energia e não pode ingressar no controlador.
As depurações mostram que o WLC recebe solicitações de descoberta do LWAPP dos APs e transmite uma resposta de descoberta do LWAPP aos APs.
Contudo, os WLC não recebem solicitações de junção do LWAPP a partir dos APs.
Para solucionar esse problema, execute ping no gerenciador AP de um host com fio na mesma sub-rede IP que o gerenciador AP. Depois, verifique o cachê ARP. Se um endereço IP duplicado for encontrado, remova o dispositivo com o endereço IP duplicado ou altere o endereço IP no dispositivo para que ele tenha um endereço IP exclusivo na rede.
O AP poderá então juntar-se ao WLC.
O Lightweight Access Point não é registrado no WLC. O registro exibe esta mensagem de erro:
AAA Authentication Failure for UserName:5475xxx8bf9c User Type: WLAN USER
Isso pode acontecer se o Lightweight Access Point foi fornecido com uma imagem de malha e está no modo de ponte. Se o LAP foi solicitado com o software de malha, você precisa adicionar o LAP à lista de autorização de AP. Escolha Segurança > Políticas de AP e adicione AP à lista de autorização. O AP deve ingressar, baixar a imagem do controlador e ser registrado no WLC no modo de ponte. Em seguida, você precisa alterar o AP para o modo local. O LAP baixa a imagem, reinicializa e é registrado novamente no controlador no modo local.
Os pontos de acesso podem renovar seus endereços IP rapidamente quando é feita uma tentativa de ingressar em uma WLC, o que pode fazer com que os servidores DHCP do Windows marquem esses IPs como BAD_ADDRESS, o que pode rapidamente esgotar o pool DHCP. Verifique mais informações no capítulo Client Roaming do Cisco Wireless Controller Configuration Guide, Release 8.2.
Revisão | Data de publicação | Comentários |
---|---|---|
8.0 |
17-May-2024
|
Atualizou uma instrução sobre a WLC que um AP lembra na reinicialização |
7.0 |
12-Jan-2024
|
Adicionada uma referência à junção 9800 ap |
6.0 |
11-Dec-2023
|
Recertificação final |
5.0 |
03-Nov-2022
|
Estilos e conteúdo de documentos atualizados para atender aos padrões de publicação Cisco.com. |
1.0 |
31-Jul-2015
|
Versão inicial |