Solucionar problemas de APs COS
Contents
Introduction
Este documento aborda algumas das ferramentas de solução de problemas disponíveis para APs de SO Cheatah também conhecidos como APs COS.
Prerequisites
Requirements
Não existem requisitos específicos para este documento.
Componentes Utilizados
Este documento enfoca os APs COS como os modelos de APs das séries 2800, 3800, 1560 e 4800, bem como os novos APs 11ax Catalyst 91xx.
Este documento concentra-se em vários recursos disponíveis no AireOS 8.8 e posteriores. E também IOS-XE 16.2.2s e posterior.
Pode haver comentários sobre a disponibilidade de determinados recursos em versões anteriores.
Capturar rastreamentos de pacotes (rastreamentos de farejador)
PCAP com fio na porta AP
É possível (a partir de 8.7 com o filtro disponível em 8.8) colocar uma tampa na porta Ethernet AP. Você pode exibir o resultado ao vivo na CLI (com apenas detalhes do pacote resumido) ou salvá-lo como um pcap completo na flash do AP.
A capa com fio captura tudo no lado ethernet (Rx/Tx) e o ponto de toque dentro do AP é imediatamente antes de colocar o pacote no fio. No entanto, ele capturará somente o tráfego do plano da CPU do AP, o que significa tráfego de e para o AP (DHCP do AP, túnel de controle de capwap do AP, ...) e não mostrará o tráfego do cliente.
Observe que o tamanho será muito limitado (limite de tamanho máximo de 5 MB), portanto, talvez seja necessário configurar filtros para capturar apenas o tráfego em que você está interessado.
Certifique-se de interromper a captura de tráfego com "no debug traffic wired ip capture" ou simplesmente "undebug all" antes de tentar copiá-la (caso contrário, a cópia não terminará quando os pacotes ainda estiverem gravados).
Procedimento
Etapa 1. Inicie o pcap selecionando o tipo de tráfego usando "debug traffic wired ip capture":
AP70DB.98E1.3DEC#debug traffic wired ip capture
% Writing packets to "/tmp/pcap/AP70DB.98E1.3DEC_capture.pcap0"
AP70DB.98E1.3DEC#reading from file /dev/click_wired_log, link-type EN10MB (Ethernet)
Etapa 2. Aguarde até que o tráfego flua e pare a captura usando o comando "no debug traffic wired ip capture" ou simplesmente "undebug all":
AP70DB.98E1.3DEC#no debug traffic wired ip capture
Etapa 3. Copie o arquivo para o servidor tftp/scp:
AP70DB.98E1.3DEC#copy pcap AP70DB.98E1.3DEC_capture.pcap0 tftp 192.168.1.100
###################################################################################################################################################################### 100.0%
AP70DB.98E1.3DEC#
Etapa 4. Agora você pode abrir o arquivo no wireshark. O arquivo é pcap0. Altere para pcap de modo que ele se associe automaticamente ao wireshark.
Opções de comando
O comando debug traffic wired tem várias opções que podem ajudá-lo a capturar tráfego específico:
APC4F7.D54C.E77C#debug traffic wired
<0-3> wired debug interface number
filter filter packets with tcpdump filter string
ip Enable wired ip traffic dump
tcp Enable wired tcp traffic dump
udp Enable wired udp traffic dum
Você pode adicionar "verbose" ao final do comando debug para ver o dump hexadecimal do pacote. Esteja ciente de que isso sobrecarregará sua sessão de CLI muito rapidamente se o filtro não for limitado o suficiente.
PCAP com fio usando o filtro
O formato do filtro segue o formato do filtro de captura tcpdump.
| Exemplo de filtro |
Descrição |
|
| Host |
"host 192.168.2.5" |
Isso filtrará a captura de pacotes para coletar somente pacotes que vão para o host 192.168.2.5 ou que vêm dele. |
| "src host 192.168.2.5" |
Isso filtrará a captura de pacotes para coletar somente pacotes provenientes de 192.168.2.5. |
|
| "dst host 192.168.2.5" |
Isso filtrará a captura de pacotes para coletar somente pacotes indo para 192.168.2.5. |
|
| Porta |
“porta 443” |
Isso filtrará a captura de pacotes para coletar apenas pacotes com uma origem ou destino da porta 443. |
| "porta src 1055" |
Isso capturará o tráfego originado da porta 1055. |
|
| "dst port 443" |
Isso capturará o tráfego destinado à porta 443. |
Aqui está um exemplo em que a saída é exibida no console, mas também filtrada para ver apenas pacotes de dados CAPWAP:
APC4F7.D54C.E77C#debug traffic wired filter "port 5246"
APC4F7.D54C.E77C#reading from file /dev/click_wired_log, link-type EN10MB (Ethernet)
12:20:50.483125 IP APC4F7-D54C-E77C.lan.5264 > 192.168.1.15.5246: UDP, length 81
12:20:50.484361 IP 192.168.1.15.5246 > APC4F7-D54C-E77C.lan.5264: UDP, length 97
APC4F7.D54C.E77C#no debug traffic wired filter "port 5246"
APC4F7.D54C.E77C#Killed
APC4F7.D54C.E77C#
Exemplo de saída no arquivo:
APC4F7.D54C.E77C#debug traffic wired filter "port 5246" capture
% Writing packets to "/tmp/pcap/APC4F7.D54C.E77C_capture.pcap0"
APC4F7.D54C.E77C#reading from file /dev/click_wired_log, link-type EN10MB (Ethernet)
APC4F7.D54C.E77C#no debug traffic wired filter "port 5246" capture
APC4F7.D54C.E77C#copy pcap APC4F7.D54C.E77C_capture.pcap0 tftp 192.168.1.100
###################################################################################################################################################################### 100.0%
APC4F7.D54C.E77C#
Abrindo a captura no Wireshark:
Captura de rádio
É possível ativar a captura de pacotes no plano de controle do rádio. Devido ao impacto no desempenho, não é possível capturar no painel de dados do rádio. Isso significa que o fluxo de associação do cliente (sondas, autenticação, associação, eap, arp, pacotes dhcp, bem como pacotes de controle ipv6, icmp e ndp) é visível, mas não os dados que o cliente passa após a mudança para o estado conectado.
Procedimento
Etapa 1. Adicione o endereço mac do cliente rastreado. Vários endereços mac podem ser adicionados. Também é possível executar o comando para todos os clientes, mas isso não é recomendado.
config ap client-trace address add < client-mac> --- Per client debugging. Allows multiple macs.
config ap client-trace all-clients <enable | disable> -- All clients debugging. Not recommended.
Etapa 2. Defina um filtro para registrar apenas protocolos específicos ou todos os protocolos suportados:
config ap client-trace filter <all|arp|assoc|auth|dhcp|eap|icmp|ipv6|ndp|probe> <enable|disable>
Etapa 3. Escolha exibir a saída no console (de forma assíncrona):
configure ap client-trace output console-log enable
Etapa 4. Inicie o rastreamento.
config ap client-trace start
Exemplo:
AP0CD0.F894.46E4#show dot11 clients
Total dot11 clients: 1
Client MAC Slot ID WLAN ID AID WLAN Name RSSI Maxrate WGB
A8:DB:03:08:4C:4A 0 1 1 testewlcwlan -41 MCS92SS No
AP0CD0.F894.46E4#config ap client-trace address add A8:DB:03:08:4C:4A
AP0CD0.F894.46E4#config ap client-trace filter
all Trace ALL filters
arp Trace arp Packets
assoc Trace assoc Packets
auth Trace auth Packets
dhcp Trace dhcp Packets
eap Trace eap Packets
icmp Trace icmp Packets
ipv6 Trace IPv6 Packets
ndp Trace ndp Packets
probe Trace probe Packets
AP0CD0.F894.46E4#config ap client-trace filter all enable
AP0CD0.F894.46E4#configure ap client-trace output console-log enable
AP0CD0.F894.46E4#configure ap client-trace start
AP0CD0.F894.46E4#term mon
Para interromper a captura:
configure ap client-trace stop
configure ap client-trace clear
configure ap client-trace address clear
Verificar
Verificar rastreamento do cliente:
AP70DB.98E1.3DEC#show ap client-trace status
Client Trace Status : Started
Client Trace ALL Clients : disable
Client Trace Address : a8:db:03:08:4c:4a
Remote/Dump Client Trace Address : a8:db:03:08:4c:4a
Client Trace Filter : probe
Client Trace Filter : auth
Client Trace Filter : assoc
Client Trace Filter : eap
Client Trace Filter : dhcp
Client Trace Filter : dhcpv6
Client Trace Filter : icmp
Client Trace Filter : icmpv6
Client Trace Filter : ndp
Client Trace Filter : arp
Client Trace Output : eventbuf
Client Trace Output : console-log
Client Trace Output : dump
Client Trace Output : remote
Remote trace IP : 192.168.1.100
Remote trace dest port : 5688
NOTE - Only VIP packets will be seen on remote if VIP is enabled
Dump packet length : 10
Client Trace Inline Monitor : disable
Client Trace Inline Monitor pkt-attach : disable
Exemplo de uma conexão de cliente bem-sucedida:
As letras entre colchetes ajudam você a entender onde esse quadro foi visto (E para Ethernet, W para Wireless, C para o módulo Click quando é interno para o AP) e em que direção (Upload ou Download). Aqui está uma pequena tabela do significado dessas letras:
U - pacote de uplink (do cliente)
D - downlink packet (pacote de downlink) (clicar)
W - módulo sem fio driver
E - módulo de driver Ethernet
C - module Click
Outras opções
Exibir log de forma assíncrona
Os registros podem ser consultados com o comando: "show ap client-trace events mac xx:xx:xx:xx:xx:xx" (ou substitua o mac por "all")
AP0CD0.F894.46E4#show ap client-trace events mac a8:db:03:08:4c:4a
[*04/06/2020 10:11:54.287675] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v1> [U:W] DOT11_AUTHENTICATION : (.)
[*04/06/2020 10:11:54.288144] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [D:W] DOT11_AUTHENTICATION : (.)
[*04/06/2020 10:11:54.289870] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [U:W] DOT11_ASSOC_REQUEST : (.)
[*04/06/2020 10:11:54.317341] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [D:W] DOT11_ASSOC_RESPONSE : (.)
[*04/06/2020 10:11:54.341370] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [D:W] EAPOL_KEY.M1 : DescType 0x02 KeyInfo 0x008b
[*04/06/2020 10:11:54.374500] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [U:W] EAPOL_KEY.M2 : DescType 0x02 KeyInfo 0x010b
[*04/06/2020 10:11:54.377237] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [D:W] EAPOL_KEY.M3 : DescType 0x02 KeyInfo 0x13cb
[*04/06/2020 10:11:54.390255] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [U:W] EAPOL_KEY.M4 : DescType 0x02 KeyInfo 0x030b
[*04/06/2020 10:11:54.396855] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [U:W] DOT11_ACTION : (.)
[*04/06/2020 10:11:54.416650] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [D:W] DOT11_ACTION : (.)
[*04/06/2020 10:11:54.469089] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [U:W] DOT11_ACTION : (.)
[*04/06/2020 10:11:54.469157] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [D:W] DOT11_ACTION : (.)
[*04/06/2020 10:11:57.921877] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [U:W] DOT11_ACTION : (.)
[*04/06/2020 10:11:57.921942] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [D:W] DOT11_ACTION : (.)
[*04/06/2020 10:15:36.123119] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [D:W] DOT11_DEAUTHENTICATION : (.)
[*04/06/2020 10:15:36.127731] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr1v0> [D:W] DOT11_DISASSOC : (.)
[*04/06/2020 10:17:24.128751] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [U:W] DOT11_AUTHENTICATION : (.)
[*04/06/2020 10:17:24.128870] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v1> [U:W] DOT11_AUTHENTICATION : (.)
[*04/06/2020 10:17:24.129303] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [D:W] DOT11_AUTHENTICATION : (.)
[*04/06/2020 10:17:24.133026] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [U:W] DOT11_ASSOC_REQUEST : (.)
[*04/06/2020 10:17:24.136095] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [D:W] DOT11_ASSOC_RESPONSE : (.)
[*04/06/2020 10:17:24.138732] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [D:W] EAPOL_KEY.M1 : DescType 0x02 KeyInfo 0x008b
[*04/06/2020 10:17:24.257295] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [U:W] EAPOL_KEY.M2 : DescType 0x02 KeyInfo 0x010b
[*04/06/2020 10:17:24.258105] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [D:W] EAPOL_KEY.M3 : DescType 0x02 KeyInfo 0x13cb
[*04/06/2020 10:17:24.278937] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [U:W] EAPOL_KEY.M4 : DescType 0x02 KeyInfo 0x030b
[*04/06/2020 10:17:24.287459] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [U:W] DOT11_ACTION : (.)
[*04/06/2020 10:17:24.301344] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [D:W] DOT11_ACTION : (.)
[*04/06/2020 10:17:24.327482] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [U:W] DOT11_ACTION : (.)
[*04/06/2020 10:17:24.327517] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [D:W] DOT11_ACTION : (.)
[*04/06/2020 10:17:24.430136] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [U:W] DOT11_ACTION : (.)
[*04/06/2020 10:17:24.430202] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [D:W] DOT11_ACTION : (.)
[*04/06/2020 10:19:08.075326] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [U:W] DOT11_PROBE_REQUEST : (.)
[*04/06/2020 10:19:08.075392] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v0> [D:W] DOT11_PROBE_RESPONSE : (.)
[*04/06/2020 10:19:08.075437] [AP0CD0.F894.46E4] [a8:db:03:08:4c:4a] <apr0v1> [U:W] DOT11_PROBE_REQUEST : (.)
Despejar os pacotes em formato hexadecimal
Você pode despejar os pacotes em formato hexadecimal na CLI:
configure ap client-trace output dump address add xx:xx:xx:xx:xx:xx
configure ap client-trace output dump enable x -> Enter the packet dump length value
Em seguida, você pode limpar o despejo hexadecimal e salvar no formato txt e importar para o wireshark:
Como a saída pode ser muito grande e para considerar que a saída menciona apenas que tipo de quadro é visto e não qualquer detalhe interno, pode ser mais eficiente redirecionar a captura de pacote para um laptop que executa um aplicativo de captura (como o wireshark).
Ative o recurso de captura remota para enviar os pacotes para o dispositivo externo com o Wireshark:
config ap client-trace output remote enable <IP-address> <port-no>
O comando significa que o AP encaminha cada quadro capturado pelo filtro client-trace para o laptop em 192.168.68.68 e usando o encapsulamento PEEKREMOTE (assim como os APs no modo sniffer) na porta 5000. Uma limitação é que o notebook de destino deve estar na mesma sub-rede do AP onde esse comando é executado. Você pode alterar o número da porta para acomodar as políticas de segurança em vigor na rede.
Depois de receber todos os pacotes no laptop que executa o Wireshark, clique com o botão direito do mouse no cabeçalho do udp 5000 e escolha decodificar como e selecione PEEKREMOTE como ilustrado nesta figura:
Lista de bugs e aprimoramentos relacionados a este recurso:
CSCvm09020
O DNS não é mais visto pelo rastreamento do cliente na 8.8
CSCvm09015 o rastreamento de cliente mostra muitos ICMP_other com número de sequência nulo
CSCvm02676 O rastreamento de cliente do AP COS não captura pacotes de webauth
CSCvm02613 A saída remota de rastreamento de cliente de AP COS não funciona
CSCvm00855 números SEQ de rastreamento de cliente inconsistentes
Controlando o rastreamento do cliente AP da WLC 9800
Você pode facilmente configurar vários APs para fazer um rastreamento de cliente de rádio e dispará-lo do
Etapa 1. Configurar um perfil de rastreamento de AP que definirá qual tráfego capturar
config term
wireless profile ap trace
filter all no filter probe output console-log
Etapa 2. Adicione o perfil de rastreamento de AP a um perfil de junção de AP usado pelos APs que serão direcionados
ap profile < ap join profile name>
trace
Certifique-se de que este perfil de junção de ap seja aplicado a uma tag de site usada pelos APs de destino
Etapa 4 Iniciar/parar o disparo
ap trace client start ap
client all/
ap trace client stop ap
client all/
ap trace client start site
client all/
ap trace client stop site
client all/
Comandos de verificação:
show wireless profile ap trace summary
show wireless profile ap trace detailed PROF_NAME detail
sh ap trace client summary
show ap trace unsupported-ap summary
APs Catalyst 91xx no modo de farejador
Os novos Catalyst 9115, 9117, 9120 e 9130 podem ser configurados no modo sniffer. O procedimento é semelhante aos modelos de AP anteriores.
Dicas para Troubleshooting
MTU de caminho
Embora a descoberta de MTU de caminho deva cuidar de encontrar o MTU ideal para o AP, é possível substituir essas configurações manualmente.
No AireOS 8.10.130 WLC, o comando "config ap pmtu disable <ap/all> " define uma MTU estática para um ou todos os APs em vez de depender do mecanismo de descoberta dinâmica.
QoS dos clientes
Para verificar se as marcas de QoS são aplicadas, você pode executar "debug capwap client qos".
Exibe o valor UP dos pacotes para clientes sem fio.
Não pode ser filtrado por mac a partir de 8,8 (solicitação de aprimoramento CSCvm08899 ).
labAP#debug capwap client qos [*08/20/2018 09:43:36.3171] chatter: set_qos_up :: SetQosPriority: bridged packet dst: 00:AE:FA:78:36:89 UP: 0 [*08/20/2018 09:43:45.0051] chatter: set_qos_up :: SetQosPriority: bridged packet dst: 00:AE:FA:78:36:89 UP: 0 [*08/20/2018 09:43:45.5463] chatter: set_qos_up :: SetQosPriority: bridged packet dst: 00:AE:FA:78:36:89 UP: 0 [*08/20/2018 09:43:46.5687] chatter: set_qos_up :: SetQosPriority: bridged packet dst: AC:81:12:C7:CD:35 UP: 5 [*08/20/2018 09:43:47.0982] chatter: set_qos_up :: SetQosPriority: bridged packet dst: AC:81:12:C7:CD:35 UP: 5
Você também pode verificar a tabela Qos UP para DSCP no AP, bem como a quantidade total de pacotes marcados, moldados e descartados por Qos:
LabAP#show dot11 qos Qos Policy Maps (UPSTREAM) no policymap Qos Stats (UPSTREAM) total packets: 0 dropped packets: 0 marked packets: 0 shaped packets: 0 policed packets: 0 copied packets: 0 DSCP TO DOT1P (UPSTREAM) Default dscp2dot1p Table Value: [0]->0 [1]->2 [2]->10 [3]->18 [4]->26 [5]->34 [6]->46 [7]->48 Active dscp2dot1p Table Value: [0]->0 [1]->2 [2]->10 [3]->18 [4]->26 [5]->34 [6]->46 [7]->48 Qos Policy Maps (DOWNSTREAM) no policymap Qos Stats (DOWNSTREAM) total packets: 0 dropped packets: 0 marked packets: 0 shaped packets: 0 policed packets: 0 copied packets: 0 DSCP TO DOT1P (DOWNSTREAM) Default dscp2dot1p Table Value: [0]->0 [1]->-1 [2]->1 [3]->-1 [4]->1 [5]->-1 [6]->1 [7]->-1 [8]->-1 [9]->-1 [10]->2 [11]->-1 [12]->2 [13]->-1 [14]->2 [15]->-1 [16]->-1 [17]->-1 [18]->3 [19]->-1 [20]->3 [21]->-1 [22]->3 [23]->-1 [24]->-1 [25]->-1 [26]->4 [27]->-1 [28]->-1 [29]->-1 [30]->-1 [31]->-1 [32]->-1 [33]->-1 [34]->5 [35]->-1 [36]->-1 [37]->-1 [38]->-1 [39]->-1 [40]->-1 [41]->-1 [42]->-1 [43]->-1 [44]->-1 [45]->-1 [46]->6 [47]->-1 [48]->7 [49]->-1 [50]->-1 [51]->-1 [52]->-1 [53]->-1 [54]->-1 [55]->-1 [56]->7 [57]->-1 [58]->-1 [59]->-1 [60]->-1 [61]->-1 [62]->-1 [63]->-1 Active dscp2dot1p Table Value: [0]->0 [1]->-1 [2]->1 [3]->-1 [4]->1 [5]->-1 [6]->1 [7]->-1 [8]->-1 [9]->-1 [10]->2 [11]->-1 [12]->2 [13]->-1 [14]->2 [15]->-1 [16]->-1 [17]->-1 [18]->3 [19]->-1 [20]->3 [21]->-1 [22]->3 [23]->-1 [24]->-1 [25]->-1 [26]->4 [27]->-1 [28]->-1 [29]->-1 [30]->-1 [31]->-1 [32]->-1 [33]->-1 [34]->5 [35]->-1 [36]->-1 [37]->-1 [38]->-1 [39]->-1 [40]->-1 [41]->-1 [42]->-1 [43]->-1 [44]->-1 [45]->-1 [46]->6 [47]->-1 [48]->7 [49]->-1 [50]->-1 [51]->-1 [52]->-1 [53]->-1 [54]->-1 [55]->-1 [56]->7 [57]->-1 [58]->-1 [59]->-1 [60]->-1 [61]->-1 [62]->-1 [63]->-1 LabAP#
Quando as políticas de Qos são definidas na WLC e baixadas no AP do Flexconnect, você pode verificá-las com:
AP780C-F085-49E6#show policy-map
2 policymaps
Policy Map BWLimitAAAClients type:qos client:default
Class BWLimitAAAClients_AVC_UI_CLASS
drop
Class BWLimitAAAClients_ADV_UI_CLASS
set dscp af41 (34)
Class class-default
police rate 5000000 bps (625000Bytes/s)
conform-action
exceed-action
Policy Map platinum-up type:qos client:default
Class cm-dscp-set1-for-up-4
set dscp af41 (34)
Class cm-dscp-set2-for-up-4
set dscp af41 (34)
Class cm-dscp-for-up-5
set dscp af41 (34)
Class cm-dscp-for-up-6
set dscp ef (46)
Class cm-dscp-for-up-7
set dscp ef (46)
Class class-default
no actions
Em caso de limitação de taxa de Qos :
AP780C-F085-49E6#show rate-limit client
Config:
mac vap rt_rate_out rt_rate_in rt_burst_out rt_burst_in nrt_rate_out nrt_rate_in nrt_burst_out nrt_burst_in
A8:DB:03:6F:7A:46 2 0 0 0 0 0 0 0 0
Statistics:
name up down
Unshaped 0 0
Client RT pass 0 0
Client NRT pass 0 0
Client RT drops 0 0
Client NRT drops 0 38621
9 54922 0
Varredura fora do canal
A depuração da varredura fora do canal do AP pode ser útil ao solucionar problemas de detecção de invasão (para validar se e quando o AP vai em um canal específico para digitalizar), mas também pode ser útil na solução de problemas de vídeo em que um fluxo sensível em tempo real obterá interrupções constantes se o recurso "off channel scan defer" não for usado.
debug rrm off-channel defer debug rrm off-channel schedule show trace dot_11 channel enable
[*06/11/2020 09:45:38.9530] wcp/rrm_userspace_0/rrm_schedule :: RRMSchedule process_int_duration_timer_local rrm_is_msmt_schedule_local passive scan on channel 5 bandwidth 20MHz
[*06/11/2020 09:45:39.0550] noise measurement channel 5 noise 89
[*06/11/2020 09:45:43.5490] wcp/rrm_userspace_1/rrm_schedule :: RRMSchedule process_int_duration_timer_local rrm_is_msmt_schedule_local passive scan on channel 140 bandwidth 20MHz
[*06/11/2020 09:45:43.6570] noise measurement channel 140 noise 97
Conectividade do cliente
É possível listar clientes que foram desautenticados pelo ponto de acesso com o último carimbo de data e hora do evento:
LabAP#show dot11 clients deauth
timestamp mac vap reason_code
Mon Aug 20 09:50:59 2018 AC:BC:32:A4:2C:D3 9 4
Mon Aug 20 09:52:14 2018 00:AE:FA:78:36:89 9 4
Mon Aug 20 10:31:54 2018 00:AE:FA:78:36:89 9 4
Na saída acima, o código de razão é o código de motivo da desautenticação, conforme detalhado neste link: https://community.cisco.com/t5/wireless-mobility-documents/802-11-association-status-802-11-deauth-reason-codes/ta-p/3148055.
O vap se refere ao identificador da WLAN dentro do AP (que é diferente do ID da WLAN na WLC !!!). Você pode correlacioná-lo com outras saídas detalhadas abaixo, que sempre mencionarão o vap dos clientes associados. Você pode ver a lista de IDs de VAP com "show controllers Dot11Radio 0/1 wlan".
Quando os clientes ainda estiverem associados, você poderá obter detalhes sobre a conexão deles com:
LabAP#show dot11 clients
Total dot11 clients: 1
Client MAC Slot ID WLAN ID AID WLAN Name RSSI Maxrate WGB
00:AE:FA:78:36:89 1 10 1 TestSSID -25 MCS82SS No
Podem ser obtidos muito mais detalhes sobre a entrada do cliente com:
LabAP#show client summ
Radio Driver client Summary:
==============================
wifi0
[*08/20/2018 11:54:59.5340]
[*08/20/2018 11:54:59.5340] Total STA List Count 0
[*08/20/2018 11:54:59.5340] | NO| MAC|STATE|
[*08/20/2018 11:54:59.5340] -----------------------------
wifi1
[*08/20/2018 11:54:59.5357]
[*08/20/2018 11:54:59.5357] Total STA List Count 1
[*08/20/2018 11:54:59.5357] | NO| MAC|STATE|
[*08/20/2018 11:54:59.5357] -----------------------------
[*08/20/2018 11:54:59.5357] | 1| 0:ffffffae:fffffffa:78:36:ffffff89| 8|
Radio Driver Client AID List:
==============================
wifi0
[*08/20/2018 11:54:59.5415]
[*08/20/2018 11:54:59.5415] Total STA-ID List Count 0
[*08/20/2018 11:54:59.5415] | NO| MAC|STA-ID|
[*08/20/2018 11:54:59.5415] ------------------------------
wifi1
[*08/20/2018 11:54:59.5431]
[*08/20/2018 11:54:59.5431] Total STA-ID List Count 1
[*08/20/2018 11:54:59.5431] | NO| MAC|STA-ID|
[*08/20/2018 11:54:59.5432] ------------------------------
[*08/20/2018 11:54:59.5432] | 1| 0:ffffffae:fffffffa:78:36:ffffff89| 6|
WCP client Summary:
=====================
mac radio vap aid state encr Maxrate is_wgb_wired wgb_mac_addr
00:AE:FA:78:36:89 1 9 1 FWD AES_CCM128 MCS82SS false 00:00:00:00:00:00
NSS client Summary:
=====================
Current Count: 3
| MAC | OPAQUE |PRI POL|VLAN|BR|TN|QCF|BSS|RADID|MYMAC|
|F8:0B:CB:E4:7F:41|00000000| 3| 0| 1| 1| 0| 2| 3| 1|
|F8:0B:CB:E4:7F:40|00000000| 3| 0| 1| 1| 0| 2| 3| 1|
|00:AE:FA:78:36:89|00000003| 1| 0| 1| 1| 0| 9| 1| 0|
Datapath IPv4 client Summary:
===============================
id vap port node tunnel mac seen_ip hashed_ip sniff_ago confirm_ago
00:AE:FA:78:36:89 9 apr1v9 6.228.127.64 - 00:AE:FA:78:36:89 192.168.68.209 10.228.153.45 5.990000 5.980000
Datapath IPv6 client Summary:
===============================
client mac seen_ip6 age scope port
1 00:AE:FA:78:36:89 fe80::2ae:faff:fe78:3689 61 link-local apr1v9
Wired client Summary:
=======================
mac port state local_client detect_ago associated_ago tx_pkts tx_bytes rx_pkts rx_bytes
Os contadores de tráfego podem ser obtidos por cliente com:
LabAP#show client statistics wireless 00:AE:FA:78:36:89 Client MAC address: 00:AE:FA:78:36:89 Tx Packets : 621 Tx Management Packets : 6 Tx Control Packets : 153 Tx Data Packets : 462 Tx Data Bytes : 145899 Tx Unicast Data Packets : 600 Rx Packets : 2910 Rx Management Packets : 13 Rx Control Packets : 943 Rx Data Packets : 1954 Rx Data Bytes : 145699 LabAP#
Mais no nível do rádio, muitas informações podem ser obtidas no "show controllers". Quando você adiciona o endereço mac do cliente, as taxas de dados suportadas, as taxas de dados atuais, os recursos PHY, bem como a quantidade de repetições e txfail, são exibidos:
LabAP#show controllers dot11Radio 0 client 00:AE:FA:78:36:89
mac radio vap aid state encr Maxrate is_wgb_wired wgb_mac_addr
00:AE:FA:78:36:89 0 9 1 FWD AES_CCM128 M15 false 00:00:00:00:00:00
Configured rates for client 00:AE:FA:78:36:89
Legacy Rates(Mbps): 11
HT Rates(MCS):M0 M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 M13 M14 M15
VHT Rates: 1SS:M0-7 2SS:M0-7
HT:yes VHT:yes HE:no 40MHz:no 80MHz:no 80+80MHz:no 160MHz:no
11w:no MFP:no 11h:no encrypt_polocy: 4
_wmm_enabled:yes qos_capable:yes WME(11e):no WMM_MIXED_MODE:no
short_preamble:yes short_slot_time:no short_hdr:yes SM_dyn:yes
short_GI_20M:yes short_GI_40M:no short_GI_80M:yes LDPC:yes AMSDU:yes AMSDU_long:no
su_mimo_capable:yes mu_mimo_capable:no is_wgb_wired:no is_wgb:no
Additional info for client 00:AE:FA:78:36:89
RSSI: -90
PS : Legacy (Sleeping)
Tx Rate: 0 Kbps
Rx Rate: 117000 Kbps
VHT_TXMAP: 0
CCX Ver: 4
Statistics for client 00:AE:FA:78:36:89
mac intf TxData TxMgmt TxUC TxBytes TxFail TxDcrd TxCumRetries RxData RxMgmt RxBytes RxErr TxRt RxRt idle_counter stats_ago expiration
00:AE:FA:78:36:89 apr0v9 8 1 6 1038 1 0 0 31 1 1599 0 0 117000 290 13.952000 0
Per TID packet statistics for client 00:AE:FA:78:36:89
Priority Rx Pkts Tx Pkts Rx(last 5 s) Tx (last 5 s) QID Tx Drops Tx Cur Qlimit
0 899 460 1 1 144 0 0 1024
1 0 0 0 0 145 0 0 1024
2 0 0 0 0 146 0 0 1024
3 59 0 0 0 147 0 0 1024
4 0 0 0 0 148 0 0 1024
5 0 0 0 0 149 0 0 1024
6 0 0 0 0 150 0 0 1024
7 0 0 0 0 151 0 0 1024
Legacy Rate Statistics:
(Mbps : Rx, Tx, Tx-Retries)
11 Mbps : 2, 0, 0
6 Mbps : 0, 9, 0
HT/VHT Rate Statistics:
(Rate/SS/Width : Rx, Rx-Ampdu, Tx, Tx-Ampdu, Tx-Retries)
0/1/20 : 4, 4, 0, 0, 0
6/2/20 : 4, 4, 0, 0, 0
7/2/20 : 5, 5, 0, 0, 0
webauth done:
false
Para acompanhar constantemente a taxa de dados do cliente e/ou o valor de RSSI, você pode executar "debug dot11 client rate address <mac> " e essas informações serão registradas a cada segundo:
LabAP#debug dot11 client rate address 00:AE:FA:78:36:89 [*08/20/2018 14:17:28.0928] MAC Tx-Pkts Rx-Pkts Tx-Rate Rx-Rate RSSI SNR Tx-Retries [*08/20/2018 14:17:28.0928] 00:AE:FA:78:36:89 0 0 12 a8.2-2s -45 53 0 [*08/20/2018 14:17:29.0931] 00:AE:FA:78:36:89 7 18 12 a8.2-2s -45 53 0 [*08/20/2018 14:17:30.0934] 00:AE:FA:78:36:89 3 18 12 a8.2-2s -45 53 0 [*08/20/2018 14:17:31.0937] 00:AE:FA:78:36:89 2 20 12 a8.2-2s -45 53 0 [*08/20/2018 14:17:32.0939] 00:AE:FA:78:36:89 2 20 12 a8.2-2s -45 53 0 [*08/20/2018 14:17:33.0942] 00:AE:FA:78:36:89 2 21 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:34.0988] 00:AE:FA:78:36:89 1 4 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:35.0990] 00:AE:FA:78:36:89 9 23 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:36.0993] 00:AE:FA:78:36:89 3 7 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:37.0996] 00:AE:FA:78:36:89 2 6 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:38.0999] 00:AE:FA:78:36:89 2 14 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:39.1002] 00:AE:FA:78:36:89 2 10 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:40.1004] 00:AE:FA:78:36:89 1 6 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:41.1007] 00:AE:FA:78:36:89 9 20 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:42.1010] 00:AE:FA:78:36:89 0 0 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:43.1013] 00:AE:FA:78:36:89 2 8 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:44.1015] 00:AE:FA:78:36:89 0 0 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:45.1018] 00:AE:FA:78:36:89 0 0 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:46.1021] 00:AE:FA:78:36:89 0 0 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:47.1024] 00:AE:FA:78:36:89 0 0 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:48.1026] 00:AE:FA:78:36:89 7 15 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:49.1029] 00:AE:FA:78:36:89 0 6 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:50.1032] 00:AE:FA:78:36:89 0 0 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:51.1035] 00:AE:FA:78:36:89 1 7 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:52.1037] 00:AE:FA:78:36:89 0 17 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:53.1040] 00:AE:FA:78:36:89 1 19 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:54.1043] 00:AE:FA:78:36:89 2 17 12 a8.2-2s -46 52 0 [*08/20/2018 14:17:55.1046] 00:AE:FA:78:36:89 2 22 12 a8.2-2s -45 53 0 [*08/20/2018 14:17:56.1048] 00:AE:FA:78:36:89 1 18 12 a8.2-2s -45 53 0 [*08/20/2018 14:17:57.1053] 00:AE:FA:78:36:89 2 18 12 a8.2-2s -45 53 0 [*08/20/2018 14:17:58.1055] 00:AE:FA:78:36:89 12 37 12 a8.2-2s -45 53 0
Nesta saída, os contadores de pacotes Tx e Rx são pacotes transmitidos no segundo intervalo desde a última impressão, a mesma coisa para as Tentativas Tx. No entanto, o RSSI, o SNR e a taxa de dados são os valores do último pacote desse intervalo (e não uma média para todos os pacotes nesse intervalo).
Cenários de Flexconnect
Você pode verificar quais ACLs estão atualmente aplicadas a um cliente em um cenário pré-autorização (CWA, por exemplo) ou pós-autenticação:
AP#show client access-lists pre-auth all f48c.507a.b9ad Pre-Auth URL ACLs for Client: F4:8C:50:7A:B9:AD IPv4 ACL: IPv6 ACL: ACTION URL-LIST Resolved IPs for Client: F4:8C:50:7A:B9:AD HIT-COUNT URL ACTION IP-LIST REDIRECT rule 0: allow true and ip proto 17 and src port 53 rule 1: allow true and ip proto 17 and dst port 53 rule 2: allow true and src 10.48.39.161mask 255.255.255.255 rule 3: allow true and dst 10.48.39.161mask 255.255.255.255 rule 4: deny true No IPv6 ACL found AP#show client access-lists post-auth all f48c.507a.b9ad Post-Auth URL ACLs for Client: F4:8C:50:7A:B9:AD IPv4 ACL: IPv6 ACL: ACTION URL-LIST Resolved IPs for Client: F4:8C:50:7A:B9:AD HIT-COUNT URL ACTION IP-LIST post-auth rule 0: deny true and dst 192.0.0.0mask 255.0.0.0 rule 1: deny true and src 192.0.0.0mask 255.0.0.0 rule 2: allow true No IPv6 ACL found
Sistema de arquivos AP
Os APs COS não permitem listar todo o conteúdo do sistema de arquivos como em plataformas unix.
O comando "show filesystems" fornece um detalhe do uso e da distribuição do espaço na partição atual:
2802#show filesystems Filesystem Size Used Available Use% Mounted on /dev/ubivol/storage 57.5M 364.0K 54.1M 1% /storage 2802#
O comando "show flash" lista os arquivos principais na flash do AP. Você também pode anexar a palavra-chave syslog ou core para listar essas pastas específicas.
ap_2802#show flash Directory of /storage/ total 84 -rw-r--r-- 1 root root 0 May 21 2018 1111 -rw-r--r-- 1 root root 6 Apr 15 11:09 BOOT_COUNT -rw-r--r-- 1 root root 6 Apr 15 11:09 BOOT_COUNT.reserve -rw-r--r-- 1 root root 29 Apr 15 11:09 RELOADED_AT_UTC drwxr-xr-x 2 root root 160 Mar 27 13:53 ap-images drwxr-xr-x 4 5 root 2016 Apr 15 11:10 application -rw-r--r-- 1 root root 6383 Apr 26 09:32 base_capwap_cfg_info -rw-r--r-- 1 root root 20 Apr 26 10:31 bigacl -rw-r--r-- 1 root root 1230 Mar 27 13:53 bootloader.log -rw-r--r-- 1 root root 5 Apr 26 09:29 bootloader_verify.shadow -rw-r--r-- 1 root root 18 Jun 30 2017 config -rw-r--r-- 1 root root 8116 Apr 26 09:32 config.flex -rw-r--r-- 1 root root 21 Apr 26 09:32 config.flex.mgroup -rw-r--r-- 1 root root 0 Apr 15 11:09 config.local -rw-r--r-- 1 root root 0 Jul 26 2018 config.mesh.dhcp -rw-r--r-- 1 root root 180 Apr 15 11:10 config.mobexp -rw-r--r-- 1 root root 0 Jun 5 2018 config.oeap -rw-r--r-- 1 root root 2253 Apr 26 09:43 config.wireless drwxr-xr-x 2 root root 160 Jun 30 2017 cores drwxr-xr-x 2 root root 320 Jun 30 2017 dropbear drwxr-xr-x 2 root root 160 Jun 30 2017 images -rw-r--r-- 1 root root 222 Jan 2 2000 last_good_uplink_config drwxr-xr-x 2 root root 160 Jun 30 2017 lists -rw-r--r-- 1 root root 215 Apr 16 11:01 part1_info.ver -rw-r--r-- 1 root root 215 Apr 26 09:29 part2_info.ver -rw-r--r-- 1 root root 4096 Apr 26 09:36 random_seed -rw-r--r-- 1 root root 3 Jun 30 2017 rxtx_mode -rw-r--r-- 1 root root 64 Apr 15 11:11 sensord_CSPRNG0 -rw-r--r-- 1 root root 64 Apr 15 11:11 sensord_CSPRNG1 drwxr-xr-x 3 support root 224 Jun 30 2017 support drwxr-xr-x 2 root root 2176 Apr 15 11:10 syslogs --------------------------------------------------------------------------- Filesystem Size Used Available Use% Mounted on flash 57.5M 372.0K 54.1M 1% /storage
Armazenando e enviando syslogs
A pasta syslog armazena a saída do syslog de reinicializações anteriores. O comando "show log" mostra apenas syslog desde a última reinicialização.
Em cada ciclo de reinicialização, os syslogs são gravados em arquivos incrementais.
artaki# show flash syslogs Directory of /storage/syslogs/ total 128 -rw-r--r-- 1 root root 11963 Jul 6 15:23 1 -rw-r--r-- 1 root root 20406 Jan 1 2000 1.0 -rw-r--r-- 1 root root 313 Jul 6 15:23 1.last_write -rw-r--r-- 1 root root 20364 Jan 1 2000 1.start -rw-r--r-- 1 root root 33 Jul 6 15:23 1.watchdog_status -rw-r--r-- 1 root root 19788 Jul 6 16:46 2 -rw-r--r-- 1 root root 20481 Jul 6 15:23 2.0 -rw-r--r-- 1 root root 313 Jul 6 16:46 2.last_write -rw-r--r-- 1 root root 20422 Jul 6 15:23 2.start --------------------------------------------------------------------------- Filesystem Size Used Available Use% Mounted on flash 57.6M 88.0K 54.5M 0% /storage artaki# show flash cores Directory of /storage/cores/ total 0 --------------------------------------------------------------------------- Filesystem Size Used Available Use% Mounted on flash 57.6M 88.0K 54.5M 0% /storage
A primeira saída após a inicialização será o arquivo 1.0 e um arquivo 1.1 será criado se 1.0 se tornar muito longo. Após a reinicialização, um novo arquivo 2.0 será criado e assim por diante.
Na WLC, você pode configurar o destino de Syslog se quiser que seus APs enviem suas mensagens de syslog unicast para um servidor específico.
Por padrão, os APs enviam seus syslogs para um endereço de broadcast que pode causar bastante tempestade de broadcast, portanto, certifique-se de configurar um Servidor syslog.
O AP enviará por syslog por padrão o que for impresso na saída do console.
No 9800 Controller, você pode alterar essas configurações no perfil Configuration -> AP Join, em Management (Configuração -> Associação de AP).
Você pode alterar o valor da interceptação do log para também enviar depurações através do syslog. Você pode ativar as depurações na CLI do AP e a saída delas será enviada por mensagens de syslog para o servidor configurado .
Devido a CSCvu75017 , somente ao definir o recurso syslog como KERN (o valor padrão) o AP envia mensagens de syslog.
Se você estiver solucionando problemas em que um AP pode perder a conectividade de rede (ou em um WGB, por exemplo), o syslog pode não ser confiável, pois nenhuma mensagem será enviada se o AP perder a conectividade do uplink. Portanto, confiar nos arquivos syslog armazenados na memória flash é uma excelente maneira de depurar e armazenar a saída no próprio AP e depois carregá-la periodicamente mais tarde.
Pacote de suporte AP
Algumas informações de diagnóstico comumente coletadas de vários tipos podem ser disponibilizadas em um único pacote que você pode carregar dos access points.
As informações de diagnóstico que podem ser incluídas no pacote são:
- AP show tech
- syslogs AP
- AP Capwapd Brain logs
- Logs de inicialização e mensagem do AP
- Arquivos AP Coredump
Para obter o pacote de suporte AP, você pode entrar na CLI do AP e inserir o comando "copy support-bundle tftp: x.x.x.x". Depois disso, você pode verificar o arquivo com o nome AP anexado com o support.apversion.date.time.tgz conforme mostrado abaixo:
Ao "descompactar" o arquivo, você pode visualizar os vários arquivos coletados:
Coletar arquivos centrais AP remotamente
Para coletar arquivos centrais AP remotamente, ative o dump central para ser incluído no pacote de suporte e, em seguida, faça upload do pacote de suporte do AP ou envie diretamente para o servidor tftp. Os exemplos a seguir estão usando o servidor tftp 192.168.1.100.
CLI AireOS
GUI do AireOS
CLI IOS-XE
eWLC-9800-01(config)#ap profile TiagoOffice
eWLC-9800-01(config-ap-profile)#core-dump tftp-server 192.168.1.100 file apCores uncompress
GUI do IOS-XE
A partir do IOS-XE 17.3.1, você terá uma guia Pacote de suporte e poderá baixar o AP SB da GUI do WLC.
Tudo o que ele faz é executar o comando "copy support-bundle" no AP e enviá-lo via SCP para a WLC (porque a WLC pode ser um servidor SCP).
E você pode baixá-lo do navegador:
Isso significa que você pode fazer manualmente o mesmo truque nas versões do eWLC antes de 17.3.1:
Copie o pacote de suporte do AP via SCP para o IP do eWLC se você não tiver um servidor TFTP acessível ao AP.
A eWLC é geralmente alcançável via SSH a partir do AP, portanto, esse é um bom truque para o pré-17.3.
Etapa 1. Habilitar SSH em 9800 v17.2.1
Etapa 2. Habilitar SCP no IOS-XE v17.2.1
O exemplo a seguir mostra como configurar a funcionalidade do servidor do SCP. Este exemplo usa um nome de usuário e uma senha definidos localmente:
Etapa 3. Use o comando "copy support-bundle" e precisamos especificar o nome do arquivo a ser criado no servidor SCP.
Dica: Você pode executar o comando uma vez para obter um nome de arquivo significativo e, em seguida, copiar/colar esse nome de arquivo no comando:
Etapa 4. Em seguida, você pode acessar a GUI do eWLC e obter o arquivo abaixo: Administração > Gerenciamento > Gerenciador de arquivos:
Conclusão
Há muitas ferramentas de solução de problemas disponíveis para nos ajudar na resolução de problemas relacionados aos APs COS.
Este documento lista os mais usados e será atualizado regularmente.
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)