排除轻型 AP 无法加入 WLC 的问题

简介

本文档简要介绍 AireOS 无线局域网控制器 (WLC) 发现和加入过程。 

先决条件

要求

Cisco 建议您了解以下主题：

• 有关配置轻量级无线接入点 (LAP) 和 Cisco AireOS WLC 的基础知识

• 轻量级无线接入点协议 (CAPWAP) 的基础知识

使用的组件

本文档主要介绍 AireOS WLC，不涉及 Catalyst 9800，但两者的加入过程基本相似。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

WLC 发现和加入过程概述

在 Cisco 统一无线网络中，LAP 必须首先发现并加入 WLC 才能用于无线客户端。

但是，这会产生一个问题：当控制器位于不同的子网中时，LAP 如何找到控制器的管理 IP 地址？

如果您不通过 DHCP 选项 43、 的域名系统 (DNS) 解析向 LAP 通告控制器的位置，或者对其进行静态配置，则 LAP 不知道在网络中的哪个位置可以找到控制器的管理接口。Cisco-capwap-controller.local_domain

除这些方法之外，LAP 会自动在本地子网上查找使用 255.255.255.255 这一本地广播地址的控制器。此外，LAP会记住其控制器的管理IP地址，即使重新启动后，控制器也会显示为移动对等体。但是，当AP加入另一个WLC时，它只记住该新WLC及其移动对等体的IP，而不记住之前的WLC。因此，如果先将 LAP 加入管理接口的本地子网，LAP 就会查找控制器管理接口并记住该地址。这称为引爆。如果您在稍后替换 LAP，此过程不会帮助您找到控制器。因此，思科建议使用 DHCP 选项 43 或 DNS 方法。

LAP 始终会首先使用发现请求连接至控制器的管理接口地址。然后，控制器会向 LAP 告知第 3 层 AP 管理器接口（默认情况下也可以是管理接口）的 IP 地址，以便 LAP 随后可以将加入请求发送至 AP 管理器接口。

AP 在启动时会经历以下过程：

1. LAP 启动并使用 DHCP 协议获取一个 IP 地址（如果之前未分配静态 IP 地址）。
2. LAP 通过各种发现算法向控制器发送发现请求，构建一个控制器列表。本质上，LAP 可以通过以下选项了解控制器列表的尽可能多的管理接口地址：
   1. DHCP 选项 43（适用于办事处和控制器分布于不同大洲的全球性公司）。
   2. 的 DNS 条目（适用于本地企业 - 也可用于查找全新 AP 加入的位置）。如果使用 CAPWAP，请确保有 的 DNS 条目。cisco-capwap-controllercisco-capwap-controller
   3. LAP 之前记住的控制器的管理 IP 地址.
   4. 子网上的第 3 层广播.
   5. 静态配置的信息.
   6. 控制器出现在 AP 最后加入的 WLC 的移动组中.

   在此列表中，最简单的部署方法是将 LAP 放在与控制器管理接口相同的子网中，并允许 LAP 第 3 层广播查找控制器。此方法主要用于网络规模较小且没有本地 DNS 服务器的公司。

   第二简单的部署方法是将 DNS 条目与 DHCP 结合使用。可以为同一 DNS 名称建立多个条目。这样一来，LAP 就能发现多个控制器。此方法主要用于将所有控制器放在一个位置并拥有本地 DNS 服务器的公司。或者，拥有多个 DNS 后缀，各控制器由后缀分隔的公司。

   DHCP 选项 43 主要供大型公司用于通过 DHCP 对信息进行本地化。此方法适用于拥有单个 DNS 后缀的大型企业。例如，Cisco 在欧洲、澳大利亚和美国拥有办公楼。为确保 LAP 仅在本地加入控制器，Cisco 不能使用 DNS 条目，必须使用 DHCP option 43 信息告诉 LAP 本地控制器的管理 IP 地址是什么。

   最后，静态配置用于不含 DHCP 服务器的网络。您可以通过控制台端口和 AP CLI 静态配置加入控制器所需的信息。有关如何使用 AP CLI 静态配置控制器信息的信息，请使用以下命令：

   AP#capwap ap primary-base <WLCName> <WLCIP>

   有关如何在 DHCP 服务器上配置 DHCP 选项 43，请参阅 DHCP 选项 43 配置示例
3. 向列表中的每个控制器发送发现请求，并等待控制器发现应答，其中包含系统名称、AP 管理器 IP 地址、已连接到每个 AP 管理器接口的 AP 数以及控制器的总体剩余容量。
4. 查看控制器列表并按以下顺序向控制器发送加入请求（仅在 AP 收到控制器的发现回应后进行）：
   1. 主控制器系统名称（之前已在 LAP 上配置）。
   2. 辅助控制器系统名称（之前已在 LAP 上配置）。
   3. 三级控制器系统名称（之前已在 LAP 上配置）。
   4. 主控制器（如果 LAP 之前未配置任何主控制器、辅助控制器或三级控制器名称。用于随时了解哪个控制器是全新的 LAP 加入）。
   5. 如果上述条件均未出现，则使用发现响应中的剩余容量值在控制器之间进行负载均衡。

      如果两个控制器的过剩能力相同，则向通过发现响应响应发现请求的第一个控制器发送加入请求。如果单个控制器在多个接口上有多个 AP-manager，请选择包含 AP 数量最少的 AP-manager 接口。

      控制器无需证书检查或 AP 凭证即可响应所有发现请求。但是，加入请求必须具有有效的证书才能从控制器获取加入响应。如果 LAP 未从其选择的控制器收到加入响应，则 LAP 会尝试列表中的下一个控制器，但已配置的控制器（主控制器/辅控制器/三级控制器）除外。

5. 如果收到加入回应，AP 将进行检查以确保它与控制器具有相同的映像。否则，AP 将从控制器下载映像并重新启动以加载此新映像，然后从步骤 1 开始重新执行该过程。
6. 如果它有同一个软件映像，将向控制器请求配置并在控制器上转入已注册状态。

   下载配置后，AP 可以再次重新加载以应用新配置。因此，可能会发生额外的重新加载，这是正常行为。

从控制器进行调试

控制器上提供了一些  命令，可用于在 CLI 上查看此整个过程：debug

• debug capwap events enable:显示发现数据包和加入数据包。

• debug capwap packet enable:显示发现和加入数据包的数据包级别信息。

• debug pm pki enable:显示证书验证过程。

• debug disable-all:关闭调试。

使用可将输出捕获到日志文件的终端应用，在控制台中或通过安全外壳 (SSH)/Telnet 连接至控制器，并输入以下命令：

    config session timeout 120
    config serial timeout 120
    show run-config     (and spacebar thru to collect all)
 
    debug mac addr 
    (in xx:xx:xx:xx:xx format)
    debug client 

    debug capwap events enable
    debug capwap errors enable
    debug pm pki enable

捕获调试后，使用  命令禁用所有调试。debug disable-all

以下几个部分显示了 LAP 向控制器注册时这些  命令的输出。debug

debug capwap events enable

此命令提供有关 CAPWAP 发现和加入过程中发生的 CAPWAP 事件和错误的信息。

以下是与 WLC 具有相同映像的 LAP 的  命令输出：debug capwap events enable

注意：由于空间限制，输出的某些行已移至第二行。

debug capwap events enable

*spamApTask7: Jun 16 12:37:36.038: 00:62:ec:60:ea:20 Discovery Request from 172.16.17.99:46317

!--- CAPWAP discovery request sent to the WLC by the LAP.

*spamApTask7: Jun 16 12:37:36.039: 00:62:ec:60:ea:20 Discovery Response sent to 172.16.17.99 port 46317

!--- WLC responds to the discovery request from the LAP.

*spamApTask7: Jun 16 12:38:43.469: 00:62:ec:60:ea:20 Join Request from 172.16.17.99:46317

!--- LAP sends a join request to the WLC.
*spamApTask7: Jun 16 12:38:33.039: 00:62:ec:60:ea:20 Join Priority Processing status = 0, Incoming Ap's Priority 1, MaxLrads = 75, joined Aps =0
*spamApTask7: Jun 16 12:38:43.469: 00:62:ec:60:ea:20 Join Request from 172.16.17.99:46317

*spamApTask7: Jun 16 12:38:43.472: 00:62:ec:60:ea:20 Join Version: = 134256640

*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 apType = 46 apModel: AIR-CAP2702I-E-K9

*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 Join resp: CAPWAP Maximum Msg element len = 90

*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 Join Response sent to 172.16.17.99:46317
*spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 CAPWAP State: Join

!--- WLC responds with a join reply to the LAP.
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Configuration Status from 172.16.17.99:46317

*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 CAPWAP State: Configure

!--- LAP requests for the configuration information from the WLC.


*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Updating IP info for AP 00:62:ec:60:ea:20 -- static 0, 172.16.17.99/255.255.254.0, gtw 172.16.16.1
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Updating IP 172.16.17.99 ===> 172.16.17.99 for AP 00:62:ec:60:ea:20
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Running spamDecodeVlanProfMapPayload for00:62:ec:60:ea:20
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Setting MTU to 1485
*spamApTask7: Jun 16 12:38:44.019: 00:62:ec:60:ea:20 Configuration Status Response sent to 172:16:17:99


!--- WLC responds by providing all the necessary configuration information to the LAP.

*spamApTask7: Jun 16 12:38:46.882: 00:62:ec:60:ea:20 Change State Event Request from 172.16.17.99:46317

*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Radio state change for slot: 0 state: 2 cause: 0 detail cause: 69
*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Change State Event Response sent to 172.16.17.99:46317
.
.
.
.

*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 CAPWAP State: Run

*spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Sending the remaining config to AP 172.16.17.99:46317! 
.
.
.
.

!--- LAP is up and ready to service wireless clients.

*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmInterferenceCtrl payload sent to 172:16:17:99

*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmNeighbourCtrl payload sent to 172.16.17.99

*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmReceiveCtrl payload sent to 172:16:17:99

*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for CcxRmMeas payload sent to 172.16.17.99


!--- WLC sends all the RRM and other configuration parameters to the LAP.

如之前部分中所述，一旦 LAP 向 WLC 进行注册，它将会检查以确定自己是否与控制器具有相同的映像。如果 LAP 上的映像与 WLC 上的映像不同，那么 LAP 将首先从 WLC 中下载新映像。如果 LAP 与 WLC 具有相同的映像，它将继续从 WLC 中下载配置和其他参数。

如果 LAP 在注册过程中从控制器下载映像，则会在  命令输出中看到以下消息：debug capwap events enable

*spamApTask6: Jun 17 14:23:28.677: 00:62:ec:60:ea:20 Sending image data block of length 1324 and msgLength = 1327

*spamApTask6: Jun 17 14:23:28.677: 00:62:ec:60:ea:20 Image Data Request sent to 172.16.17.201:46318

*spamApTask6: Jun 17 14:23:28.693: 00:62:ec:60:ea:20 Image data Response from 172.16.17.201:46318

映像下载完成后，LAP 会重新启动并运行发现，并再次加入算法。

debug pm pki enable

在加入过程中，WLC 会通过确认每个 LAP 的证书是否有效，来对其进行身份验证。

当向 WLC 发送 CAPWAP 加入请求时，AP 会将其 X.509 证书嵌入到 CAPWAP 消息中。AP 还会生成一个随机会话 ID，该会话 ID 也包含在 CAPWAP 加入请求中。当收到 CAPWAP 加入请求时，WLC 会使用 AP 公钥验证 X.509 证书的签名，并检查证书是否由受信任的证书颁发机构颁发。

它还会查看 AP 证书有效期的开始日期和时间，并将该日期和时间与其自己的日期和时间进行比较（因此，控制器时钟需要设置为接近当前日期和时间）。 如果 X.509 证书通过验证，WLC 将生成一个随机的 AES 加密密钥。WLC 将 AES 密钥插入其加密引擎，以便未来对与 AP 交换的 CAPWAP 控制消息进行加密和解密。请注意，数据包在 LAP 与控制器之间的 CAPWAP 隧道中以明文形式发送。

  命令显示控制器上加入阶段发生的认证验证过程。debug pm pki enable如果 AP 具有由 LWAPP 转换程序创建的自签名证书 (SSC)，则  命令还会在加入过程中显示 AP 散列密钥。debug pm pki enable如果 AP 具有制造商安装的证书 (MIC)，则不会显示散列密钥。

注意：2006 年 6 月之后制造的所有 AP 都有 MIC。

以下是具有 MIC 的 LAP 加入控制器时  命令的输出：debug pm pki enable

注意：由于空间限制，输出的某些行已移至第二行。

*spamApTask4: Mar 20 11:05:15.687: [SA] OpenSSL Get Issuer Handles: locking ca cert table

*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: x509 subject_name /C=US/ST=California/L=San Jose/O=Cisco Systems/
CN=AP3G2-1005cae83a42/emailAddress=support@cisco.com
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuer_name /O=Cisco Systems/CN=Cisco Manufacturing CA
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: CN AP3G2-1005cae83a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuerCertCN Cisco Manufacturing CA
*spamApTask4: Mar 20 11:05:15.688: [SA] GetMac: MAC: 1005.cae8.3a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: openssl Mac Address in subject is 10:05:ca:e8:3a:42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: CN AP3G2-1005cae83a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuerCertCN Cisco Manufacturing CA
*spamApTask4: Mar 20 11:05:15.688: [SA] GetMac: MAC: 1005.cae8.3a42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: openssl Mac Address in subject is 10:05:ca:e8:3a:42
*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Cert Name in subject is AP3G2-1005cae83a42

*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Extracted cert issuer from subject name.


*spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Cert is issued by Cisco Systems.

*spamApTask4: Mar 20 11:05:15.688: [SA] Retrieving x509 cert for CertName cscoDefaultMfgCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: called to evaluate <cscoDefaultMfgCaCert>
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: Found matching CA cert cscoDefaultMfgCaCert in row 5
*spamApTask4: Mar 20 11:05:15.688: [SA] Found CID 260e5e69 for certname cscoDefaultMfgCaCert

*spamApTask4: Mar 20 11:05:15.688: [SA] CACertTable: Found matching CID cscoDefaultMfgCaCert in row 5 x509 0x2cc7c274

*spamApTask4: Mar 20 11:05:15.688: [SA] Retrieving x509 cert for CertName cscoDefaultNewRootCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: called to evaluate <cscoDefaultNewRootCaCert>
*spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: Found matching CA cert cscoDefaultNewRootCaCert in row 4

*spamApTask4: Mar 20 11:05:15.688: [SA] Found CID 28d7044e for certname cscoDefaultNewRootCaCert
*spamApTask4: Mar 20 11:05:15.688: [SA] CACertTable: Found matching CID cscoDefaultNewRootCaCert in row 4 x509 0x2cc7c490
*spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: X509 Cert Verification return code: 1
*spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: X509 Cert Verification result text: ok
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: called to evaluate <cscoDefaultMfgCaCert>
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: Found matching CA cert cscoDefaultMfgCaCert in row 5

*spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: OPENSSL X509_Verify: AP Cert Verfied Using >cscoDefaultMfgCaCert<

*spamApTask4: Mar 20 11:05:15.691: [SA] OpenSSL Get Issuer Handles: Check cert validity times (allow expired NO)
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: called to evaluate <cscoDefaultIdCert>
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: Found matching ID cert cscoDefaultIdCert in row 2
*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmFreePublicKeyHandle: called with 0x1b0b9380

*spamApTask4: Mar 20 11:05:15.691: [SA] sshpmFreePublicKeyHandle: freeing public key

从 AP 进行调试

如果控制器调试未指示加入请求，在 AP 具有控制台端口的情况下，您可以从 AP 调试该过程。您可以使用以下命令查看 AP 启动过程，但必须先进入启用模式（默认密码为 Cisco）。

• debug dhcp detail :显示 DHCP 选项 43 信息。

• debug ip udp:显示AP接收和传输的所有UDP数据包。

• debug capwap client event :显示 AP 的 capwap 事件。

• debug capwap client error:显示 AP 的 capwap 错误。
• debug dtls client event:显示 AP 的 DTLS 事件。
• debug dtls error enable:显示 AP 的 DTLS 错误。

• undebug all:在 AP 上禁用调试。

以下是命令输出的示debug capwap例。此部分输出提供了 AP 在启动过程中发送的用于发现和加入控制器的数据包的信息。

AP can discover the WLC via one of these options :

!--- AP discovers the WLC via option 43

*Jun 28 08:43:05.839: %CAPWAP-5-DHCP_OPTION_43: Controller address 10.63.84.78 obtained through DHCP
*Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 10.63.84.78 with discovery type set to 2

!--- capwap Discovery Request using the statically configured controller information.

*Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 10.63.84.32 with discovery type set to 1

!--- Capwap Discovery Request sent using subnet broadcast.

*Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 255.255.255.255 with discovery type set to 0

!--- capwap Join Request sent to AP-Manager interface on DHCP discovered controller.

*Jun 28 08:40:29.031: %CAPWAP-5-SENDJOIN: sending Join Request to 10.63.84.78

LAP 未加入控制器的原因是什么？

先从基本原因查起

• AP 能否与 WLC 通信？

• 确保 AP 从 DHCP 获取地址（检查 AP 的 MAC 地址的 DHCP 服务器租用）。

• 从控制器对 AP 执行 ping 操作。

• 检查交换机上的 STP 配置是否正确，以避免发往 VLAN 的数据包被阻止。

• 如果 ping 成功，确保 AP 至少可以通过一种方法发现至少一个可进入控制器的单个 WLC 控制台或 telnet/ssh 以运行调试。

• 每次重新启动时，AP 都会启动 WLC 发现序列并尝试定位 AP。重新启动 AP 并检查其是否加入 WLC。

下面列出了 LAP 未加入 WLC 的一些常见原因。

Field Notice：证书到期 - FN63942

硬件中嵌入的证书的有效期为自制造之日起 10 年。如果您的 AP 或 WLC 已超过 10 年，则过期的证书可能会导致 AP 加入问题。有关此问题的更多信息，请参阅以下问题信息通告：Field Notice：FN63942。

要查找的潜在问题：Examples

问题 1：控制器时间不在证书有效间隔内

要对此问题进行故障排除，请完成以下步骤：

1. 在 AP 上发出 命令：debug dtls client error + debug dtls client event
   
   

   
   *Jun 28 09:21:25.011: DTLS_CLIENT_EVENT: dtls_process_Certificate: Processing...Peer certificate verification failed 001A
   *Jun 28 09:21:25.031: DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:509 Certificate verified failed!
   *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Bad certificate Alert
   *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_client_process_record: Error processing Certificate.
   *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_disconnect: Disconnecting DTLS connection 0x8AE7FD0
   *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_free_connection: Free Called... for Connection 0x8AE7FD0
   *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Close notify Alert
   
   

   上方信息清楚地显示控制器时间超出了 AP 的证书有效期。因此，AP 无法注册到控制器。AP 上安装的证书具有预定义的有效间隔。控制器时间必须设置为在 AP 证书的证书有效期内。

2. 从控制器 CLI 发出 命令，以验证控制器上设置的日期和时间是否在此有效期内。show time如果控制器时间不在此有效间隔内，则请更改控制器时间使其处在有效间隔内。
   
   
   

   注意：如果控制器上的时间设置不正确，请在控制器GUI模式中选择Commands > Set Time，或在控制器CLI中发出config time命令以设置控制器时间。

   
   
   

3. 在具有 CLI 访问权限的 AP 上，在 AP CLI 中使用 命令验证证书。show crypto ca certificates

   通过此命令，您可以确认 AP 上的证书有效间隔设置。以下是一个示例：

   AP00c1.649a.be5c#show crypto ca cert
   ............................................
   ............................................
   .............................................
   ................................................
   Certificate
   Status: Available
   Certificate Serial Number (hex): 7D1125A900000002A61A
   Certificate Usage: General Purpose
   Issuer:
   cn=Cisco Manufacturing CA SHA2
   o=Cisco
   Subject:
   Name: AP1G2-00c1649abe5c
   e=support@cisco.com
   cn=AP1G2-00c1649abe5c
   o=Cisco Systems
   l=San Jose
   st=California
   c=US
   CRL Distribution Points:
   http://www.cisco.com/security/pki/crl/cmca2.crl
   Validity Date:
   start date: 01:05:37 UTC Mar 24 2016
   end date: 01:15:37 UTC Mar 24 2026
   Associated Trustpoints: Cisco_IOS_M2_MIC_cert
   Storage:
   ..................................
   ....................................
   ......................................

   未列出整个输出，因为可能有许多与此命令的输出关联的有效期。仅考虑关联信任点指定的有效时间间隔：Cisco_IOS_MIC_cert 以及名称字段中的相关 AP 名称指定的有效间隔。在本示例输出中，它是Name:C1200-001563e50c7e。这是要考虑的实际证书有效间隔。

4. 请参阅思科 CSCuq19142 漏洞 LAP/WLC MIC 或 SSC 生命周期到期导致 DTLS 故障：思科 CSCuq19142 漏洞。

问题 2：在管理域中不匹配

在  命令输出中看到以下消息：debug capwap events enable

*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Setting MTU to1485
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Regulatory Domain Mismatch: AP 00:cc:fc:13:e5:e0 not allowed to join. Allowed domains: 802.11bg:-A
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Finding DTLS connection to delete for AP (192:168:47:29/60390)
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Disconnecting DTLS Capwap-Ctrl session 0x1d4df620 for AP (192:168:47:29/60390). Notify(true)
*spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 acDtlsPlumbControlPlaneKeys: lrad:192.168.47.29(60390) mwar:10.63.84.78(5246)


WLC msglog show these messages :

*spamApTask5: Jun 28 11:52:06.536: %CAPWAP-3-DTLS_CLOSED_ERR: capwap_ac_sm.c:7095 00:cc:fc:13:e5:e0: DTLS connection 
closed forAP 192:168:47:28 (60389), Controller: 10:63:84:78 (5246) Regulatory Domain Mismatch

此消息清楚地表明 LAP 和 WLC 的监管域不匹配。WLC 支持多个监管域，但需要先选择每个监管域，然后无线接入点才能从该监管域加入。例如，使用管理域 A 的 WLC 只能与使用管理域 A 的 AP 结合使用（以此类推）。 在购买 AP 时，请确保它们共用相同的监管域。只有这样 AP 才能登记到 WLC。

注意：对于单个AP，802.1b/g和802.11a无线电必须在同一管制域中。

问题 3：在 WLC 上启用了 AP 授权列表；LAP 未在授权列表中列出

在这种情况下，您会在控制器上的    命令的输出中看到以下消息：debug capwap events enable

Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Received CAPWAP DISCOVERY REQUEST 
from AP 00:0b:85:51:5a:e0 to 00:0b:85:33:52:80 on port '1'
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Successful transmission of 
CAPWAP Discovery-Response to AP 00:0b:85:51:5a:e0 on Port 1
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Received LWAPP DISCOVERY REQUEST 
from AP 00:0b:85:51:5a:e0 to ff:ff:ff:ff:ff:ff on port '1'
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Successful transmission of 
CAPWAP Discovery-Response to AP 00:0b:85:51:5a:e0 on Port 1
Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 Received CAPWAP JOIN REQUEST 
from AP 00:0b:85:51:5a:e0 to 00:0b:85:33:52:80 on port '1'
Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 AP ap:51:5a:e0: txNonce  00:0B:85:33:52:80 
rxNonce  00:0B:85:51:5A:E0 
Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 CAPWAP Join-Request MTU path from 
AP 00:0b:85:51:5a:e0 is 1500, remote debug mode is 0
Wed Sep 12 17:42:50 2007: spamRadiusProcessResponse: AP Authorization failure
for 00:0b:85:51:5a:e0

如果您使用具有控制台端口的 LAP，则在发出    命令时会看到以下消息：debug capwap client error

AP001d.a245.a2fb#
*Mar  1 00:00:52.267: LWAPP_CLIENT_ERROR_DEBUG: spamHandleJoinTimer: Did not receive the
Join response
*Mar  1 00:00:52.267: LWAPP_CLIENT_ERROR_DEBUG: No more AP manager IP addresses remain.

这再次清楚地表明 LAP 不是控制器上 AP 授权列表的一部分。

您可以使用以下命令查看 AP 授权列表的状态：

(Cisco Controller) >show auth-list

Authorize APs against AAA ....................... enabled
Allow APs with Self-signed Certificate (SSC) .... disabled

要将 LAP 添加到 AP 授权列表中，请使用    命令。config auth-list add mic 有关如何配置 LAP 授权的更多信息，请参阅思科统一无线网络配置示例中的轻量级无线接入点 (LAP) 授权。

问题 4：AP 上存在证书或公钥损坏的情况

由于证书存在问题，LAP 不会加入控制器。

发出    和   命令。debug capwap errors enabledebug pm pki enable您将看到指出证书或密钥损坏的消息。

注意：由于空间有限，此输出的一些行被拆分为两行显示。

Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0
 CAPWAP Join Request does not include valid certificate in CERTIFICATE_PAYLOAD
 from AP 00:0f:24:a9:52:e0.
Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0
 Deleting and removing AP 00:0f:24:a9:52:e0 from fast path
Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0 Unable to free public key for AP

使用以下两个选项之一来解决此问题：

• MIC AP - 请求退货授权 (RMA)。
• LSC AP - 重新调配 LSC 证书.

问题 5：控制器在错误的 VLAN 上收到 AP 发现消息（您可以看到发现消息调试，但不是响应）

在  命令输出中看到以下消息：debug capwap events enable

Received a Discovery Request with subnet broadcast with wrong AP IP address (A.B.C.D)!

此消息表示控制器通过广播 IP 地址收到发现请求，但其源 IP 地址不在控制器上的任何已配置子网中。这也意味着控制器会丢弃数据包。

问题在于 AP 不是向管理 IP 地址发送发现请求的设备。控制器报告来自控制器上未配置的 VLAN 的广播发现请求。当中继允许 VLAN 且未将其限制为无线 VLAN 时，通常会发生这种情况。

要解决此问题，请完成以下步骤：

1. 如果控制器位于另一个子网中，则 AP 必须为控制器 IP 地址做好准备，或者 AP 必须使用其中一种发现方法接收控制器 IP 地址。
2. 将交换机配置为允许某些不在控制器上的 VLAN。在 trunk 上限制允许的 VLAN。

问题 6：AP 无法加入 WLC，防火墙阻塞必要的端口

如果企业网络中使用了防火墙，请确保在防火墙中启用以下端口，以便 LAP 可以加入控制器并与之通信。

您必须启用以下端口：

• 为 CAPWAP 流量启用以下 UDP 端口：

  • 数据 - 5247

  • 控制 - 5246

• 为移动性流量启用如下 UDP 端口：

  • 16666 - 16666

  • 16667 - 16667

• 为 CAPWAP 流量启用 UDP 端口 5246 和 5247。

• 用于 SNMP 的 TCP 161 和 162（适用于 Wireless Control System [WCS]）

可选择启用以下端口（取决于您的要求）：

• UDP 69，用于 TFTP

• TCP 80 和/或 443，用于通过 HTTP 或 HTTPS 的 GUI 访问

• TCP 23 和/或 22，用于通过 Telnet 或 SSH 的 CLI 访问

问题 7：网络中存在重复的 IP 地址

这是 AP 尝试加入 WLC 时常遇到的另一个问题。当 AP 尝试加入控制器时，您可能会看到此错误消息。

No more AP manager IP addresses remain

导致出现此错误消息的一个原因是，网络中存在与 AP manager IP 地址完全一致的重复的 IP 地址。在这种情况下，LAP 会持续重启并且无法加入控制器。

调试显示 WLC 从 AP 接收 LWAPP 发现请求，并向 AP 传输 LWAPP 发现响应。

不过，WLC 不会接收 AP 发出的 LWAPP 加入请求。

为了对此问题进行故障排除，请从 AP manager 所在 IP 子网上的一台有线主机对 AP manager 执行 ping 操作。然后，请检查 ARP 缓存。如果发现重复的 IP 地址，请删除具有重复 IP 地址的设备，或更改设备上的 IP 地址，使其在网络中具有唯一的 IP 地址。

然后，AP 就可以加入 WLC 了。

问题 8：具有网状网映像的 LAP 无法加入 WLC

轻量级无线接入点不会向 WLC 注册。日志显示此错误消息:

AAA Authentication Failure for UserName:5475xxx8bf9c User
	 Type: WLAN USER

如果轻量级无线接入点随附网状网映像并处于桥接模式，则可能会发生此问题。如果 LAP 与网状网软件一同订购，则需要将 LAP 添加到 AP 授权列表中。依次选择安全性 > AP 策略，并将 AP 添加到授权列表中。然后，AP 必须加入 ，从控制器下载映像，并在桥接模式下向 WLC 注册。然后，您需要将 AP 更改为本地模式。LAP 下载映像、重新启动并在本地模式下重新向控制器注册。

问题 9：错误地址Microsoft DHCP

尝试加入WLC时，接入点可以快速更新其IP地址，这可以导致Windows DHCP服务器将这些IP标记为BAD_ADDRESS，从而快速耗尽DHCP池。有关详细信息，请参阅Cisco无线控制器配置指南8.2版的“客户端漫游”一章。

相关信息

• 思科技术支持和下载
• Catalyst 9800 的 AP 加入过程