排除轻型 AP 无法加入 WLC 的问题

已更新: 2022 年 11 月 3 日
文档 ID:119286

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍AireOS无线局域网控制器(WLC)发现和加入过程。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 了解轻量接入点 (LAP) 和 Cisco WLC 配置的基础知识

    • 轻量级无线接入点协议 (CAPWAP) 的基础知识

    规则

    有关文档规则的详细信息,请参阅 Cisco 技术提示规则。

    WLC发现和加入过程概述

    在 Cisco 统一无线网络中,LAP 必须首先发现并加入 WLC 才能用于无线客户端。

    但是,这会带来一个问题:当控制器位于不同的子网时,LAP如何找到其管理IP地址?

    如果不通过DHCP选项43告诉LAP控制器位于何处,则域名系统(DNS)解析为 Cisco-capwap-controller.local_domain或者静态配置时,LAP不知道在网络中的哪个位置可以找到控制器的管理接口。

    除这些方法之外,LAP 会自动在本地子网上查找使用 255.255.255.255 这一本地广播地址的控制器。此外,LAP 会记住其在重新启动过程中加入的所有控制器的管理 IP 地址。因此,如果您先将LAP放在管理接口的本地子网上,它将查找控制器管理接口并记住该地址。这称为引爆。如果您在稍后替换 LAP,此过程不会帮助您找到控制器。因此,Cisco建议使用DHCP选项43或DNS方法。

    LAP 始终会首先使用发现请求连接至控制器的管理接口地址。然后,控制器会向 LAP 告知第 3 层 AP 管理器接口(默认情况下也可以是管理接口)的 IP 地址,以便 LAP 随后可以将加入请求发送至 AP 管理器接口。

    AP 在启动时会经历以下过程:

    1. LAP 启动并使用 DHCP 协议获取一个 IP 地址(如果之前未分配静态 IP 地址)。
    2. LAP 通过各种发现算法向控制器发送发现请求,构建一个控制器列表。本质上,LAP 可以通过以下选项了解控制器列表的尽可能多的管理接口地址:
      1. DHCP选项43(适用于位于不同大陆的办公室和控制器的全球公司)。
      2. 的DNS条目 cisco-capwap-controller (适用于本地企业 — 也可用于查找新的AP加入的位置)如果使用CAPWAP,请确保为以下项提供DNS条目 cisco-capwap-controller.
      3. LAP 之前记住的控制器的管理 IP 地址.
      4. 子网上的第 3 层广播.
      5. 静态配置的信息.
      6. 控制器出现在 AP 最后加入的 WLC 的移动组中.

      在此列表中,最简单的部署方法是将 LAP 放在与控制器管理接口相同的子网中,并允许 LAP 第 3 层广播查找控制器。此方法必须用于拥有小型网络且没有本地DNS服务器的公司。

      第二简单的部署方法是将 DNS 条目与 DHCP 结合使用。可以为同一 DNS 名称建立多个条目。这样一来,LAP 就能发现多个控制器。此方法必须由所有控制器位于同一位置并拥有本地DNS服务器的公司使用。或者,拥有多个 DNS 后缀,各控制器由后缀分隔的公司。

      大型公司使用DHCP选项43通过DHCP对信息进行本地化。此方法适用于拥有单个 DNS 后缀的大型企业。例如,Cisco 在欧洲、澳大利亚和美国拥有办公楼。为确保 LAP 仅在本地加入控制器,Cisco 不能使用 DNS 条目,必须使用 DHCP option 43 信息告诉 LAP 本地控制器的管理 IP 地址是什么。

      最后,静态配置用于不含 DHCP 服务器的网络。您可以通过控制台端口和AP CLI静态配置加入控制器所需的信息。有关如何使用AP CLI静态配置控制器信息的信息,请使用以下命令:

      AP#capwap ap primary-base <WLCName> <WLCIP>
      有关如何在DHCP服务器上配置DHCP选项43的信息,请参阅DHCP选项43配置示例
    3. 向列表中的每个控制器发送发现请求,并等待控制器发现应答,该应答包含系统名称、AP管理器IP地址、已连接到每个AP管理器接口的AP数量以及控制器的整体过剩容量。
    4. 查看控制器列表并按以下顺序向控制器发送加入请求(仅在 AP 收到控制器的发现回应后进行):
      1. 主控制器系统名称(之前在LAP上配置)。
      2. 辅助控制器系统名称(先前在LAP上配置)。
      3. 三级控制器系统名称(先前在LAP上配置)。
      4. 主控制器(如果LAP之前未配置任何主控制器、辅助控制器或第三控制器名称。用于始终知道哪个控制器是全新LAP加入)。
      5. 如果看不到之前的任何情况,请使用发现响应中的超额容量值在控制器之间实现负载均衡。

        如果两个控制器的过剩能力相同,则向通过发现响应响应发现请求的第一个控制器发送加入请求。如果单个控制器在多个接口上有多个 AP-manager,请选择包含 AP 数量最少的 AP-manager 接口。

        控制器响应所有发现请求,无需证书检查或AP凭证。但是,加入请求必须具有有效证书才能从控制器获取加入响应。如果LAP没有从其选择接收加入响应,则LAP会尝试列表中的下一个控制器,除非控制器是已配置的控制器(主/次/第三)。

    5. 如果收到加入回应,AP 将进行检查以确保它与控制器具有相同的映像。否则,AP 将从控制器下载映像并重新启动以加载此新映像,然后从步骤 1 开始重新执行该过程。
    6. 如果它有同一个软件映像,将向控制器请求配置并在控制器上转入已注册状态。

      下载配置后,AP可以再次重新加载以应用新配置。因此,可能会发生额外的重新加载,这是正常行为。

    从控制器进行调试

    有几个 debug 命令可用于在CLI上查看此整个过程:

    • debug capwap events enable:显示发现数据包和加入数据包。

    • debug capwap packet enable:显示发现和加入数据包的数据包级别信息。

    • debug pm pki enable:显示证书验证过程。

    • debug disable-all:关闭调试。

    使用可将输出捕获到日志文件的终端应用,在控制台中或通过安全外壳 (SSH)/Telnet 连接至控制器,并输入以下命令:

        config session timeout 120
    config serial timeout 120
    show run-config     (and spacebar thru to collect all)
 
    debug mac addr  
       
    (in xx:xx:xx:xx:xx format)
    debug client  
       

    debug capwap events enable
    debug capwap errors enable
    debug pm pki enable

    捕获调试后,使用 debug disable-all 命令禁用所有调试。

    下一部分显示这些命令的输出 debug 命令。

    debug capwap events enable

    此命令提供有关CAPWAP发现和加入过程中发生的CAPWAP事件和错误的信息。

    这是 debug capwap events enable 具有与WLC相同的映像的LAP的命令输出:

    note-icon

    :由于空间限制,输出的某些行已移至第二行。

    debug capwap events enable

*spamApTask7: Jun 16 12:37:36.038: 00:62:ec:60:ea:20 Discovery Request from 172.16.17.99:46317

!--- CAPWAP discovery request sent to the WLC by the LAP.

*spamApTask7: Jun 16 12:37:36.039: 00:62:ec:60:ea:20 Discovery Response sent to 172.16.17.99 port 46317

!--- WLC responds to the discovery request from the LAP.

*spamApTask7: Jun 16 12:38:43.469: 00:62:ec:60:ea:20 Join Request from 172.16.17.99:46317
    
!--- LAP sends a join request to the WLC.
    *spamApTask7: Jun 16 12:38:33.039: 00:62:ec:60:ea:20 Join Priority Processing status = 0, Incoming Ap's Priority 1, MaxLrads = 75, joined Aps =0
    *spamApTask7: Jun 16 12:38:43.469: 00:62:ec:60:ea:20 Join Request from 172.16.17.99:46317

    *spamApTask7: Jun 16 12:38:43.472: 00:62:ec:60:ea:20 Join Version: = 134256640

    *spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 apType = 46 apModel: AIR-CAP2702I-E-K9

    *spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 Join resp: CAPWAP Maximum Msg element len = 90

    *spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 Join Response sent to 172.16.17.99:46317
    *spamApTask7: Jun 16 12:38:43.473: 00:62:ec:60:ea:20 CAPWAP State: Join
    
!--- WLC responds with a join reply to the LAP.
    *spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Configuration Status from 172.16.17.99:46317
    
*spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 CAPWAP State: Configure

!--- LAP requests for the configuration information from the WLC.


    *spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Updating IP info for AP 00:62:ec:60:ea:20 -- static 0, 172.16.17.99/255.255.254.0, gtw 172.16.16.1
    *spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Updating IP 172.16.17.99 ===> 172.16.17.99 for AP 00:62:ec:60:ea:20
    *spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Running spamDecodeVlanProfMapPayload for00:62:ec:60:ea:20
    *spamApTask7: Jun 16 12:38:43.964: 00:62:ec:60:ea:20 Setting MTU to 1485
    *spamApTask7: Jun 16 12:38:44.019: 00:62:ec:60:ea:20 Configuration Status Response sent to 172:16:17:99

    
!--- WLC responds by providing all the necessary configuration information to the LAP.

*spamApTask7: Jun 16 12:38:46.882: 00:62:ec:60:ea:20 Change State Event Request from 172.16.17.99:46317

    *spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Radio state change for slot: 0 state: 2 cause: 0 detail cause: 69
    *spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Change State Event Response sent to 172.16.17.99:46317
    .
    .
    .
    .

    *spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 CAPWAP State: Run

    *spamApTask7: Jun 16 12:38:46.883: 00:62:ec:60:ea:20 Sending the remaining config to AP 172.16.17.99:46317! 
    .
    .
    .
    .

!--- LAP is up and ready to service wireless clients.

*spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmInterferenceCtrl payload sent to 172:16:17:99

    *spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmNeighbourCtrl payload sent to 172.16.17.99

    *spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for RrmReceiveCtrl payload sent to 172:16:17:99

    *spamReceiveTask: Jun 16 12:38:46.897: 00:62:ec:60:ea:20 Configuration update request for CcxRmMeas payload sent to 172.16.17.99
    

!--- WLC sends all the RRM and other configuration parameters to the LAP.

    如之前部分中所述,一旦 LAP 向 WLC 进行注册,它将会检查以确定自己是否与控制器具有相同的映像。如果 LAP 上的映像与 WLC 上的映像不同,那么 LAP 将首先从 WLC 中下载新映像。如果 LAP 与 WLC 具有相同的映像,它将继续从 WLC 中下载配置和其他参数。

    您可在以下位置查看这些消息: debug capwap events enable 命令输出,如果LAP在注册过程中从控制器下载映像:


    *spamApTask6: Jun 17 14:23:28.677: 00:62:ec:60:ea:20 Sending image data block of length 1324 and msgLength = 1327

    *spamApTask6: Jun 17 14:23:28.677: 00:62:ec:60:ea:20 Image Data Request sent to 172.16.17.201:46318

    *spamApTask6: Jun 17 14:23:28.693: 00:62:ec:60:ea:20 Image data Response from 172.16.17.201:46318

    映像下载完成后,LAP将重新启动并再次运行发现并加入算法。

    debug pm pki enable

    作为加入过程的一部分,WLC通过确认每个LAP的证书有效对其进行身份验证。

    当向 WLC 发送 CAPWAP 加入请求时,AP 会将其 X.509 证书嵌入到 CAPWAP 消息中。AP 还会生成一个随机会话 ID,该会话 ID 也包含在 CAPWAP 加入请求中。当WLC收到CAPWAP加入请求时,它将使用AP公钥验证X.509证书的签名,并检查证书是否由受信任的证书颁发机构颁发。

    它还查看AP证书有效间隔的开始日期和时间,并将该日期和时间与其自己的日期和时间进行比较(因此,控制器时钟需要设置为接近当前日期和时间)。如果 X.509 证书通过验证,WLC 将生成一个随机的 AES 加密密钥。WLC将AES密钥插入其加密引擎,以便可以加密和解密与AP交换的未来CAPWAP控制消息。请注意,数据包在 LAP 与控制器之间的 CAPWAP 隧道中以明文形式发送。

    此 debug pm pki enable 命令显示控制器上加入阶段发生的认证验证过程。此 debug pm pki enable 如果AP具有由LWAPP转换程序创建的自签名证书(SSC),则此命令还会在加入过程中显示AP散列密钥。如果AP具有已制造安装证书(MIC),则看不到哈希密钥。

    note-icon

    注:2006年6月以后生产的所有AP都带有MIC。

    以下是 debug pm pki enable 命令,当带有MIC的LAP加入控制器时:

    note-icon

    :由于空间限制,输出的某些行已移至第二行。

    *spamApTask4: Mar 20 11:05:15.687: [SA] OpenSSL Get Issuer Handles: locking ca cert table

    *spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: x509 subject_name /C=US/ST=California/L=San Jose/O=Cisco Systems/
    CN=AP3G2-1005cae83a42/emailAddress=support@cisco.com
    *spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuer_name /O=Cisco Systems/CN=Cisco Manufacturing CA
    *spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: CN AP3G2-1005cae83a42
    *spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuerCertCN Cisco Manufacturing CA
    *spamApTask4: Mar 20 11:05:15.688: [SA] GetMac: MAC: 1005.cae8.3a42
    *spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: openssl Mac Address in subject is 10:05:ca:e8:3a:42
    *spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: CN AP3G2-1005cae83a42
    *spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: issuerCertCN Cisco Manufacturing CA
    *spamApTask4: Mar 20 11:05:15.688: [SA] GetMac: MAC: 1005.cae8.3a42
    *spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: openssl Mac Address in subject is 10:05:ca:e8:3a:42
    *spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Cert Name in subject is AP3G2-1005cae83a42

    *spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Extracted cert issuer from subject name.


    *spamApTask4: Mar 20 11:05:15.688: [SA] OpenSSL Get Issuer Handles: Cert is issued by Cisco Systems.

    *spamApTask4: Mar 20 11:05:15.688: [SA] Retrieving x509 cert for CertName cscoDefaultMfgCaCert
    *spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: called to evaluate <cscoDefaultMfgCaCert>
    *spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: Found matching CA cert cscoDefaultMfgCaCert in row 5
    *spamApTask4: Mar 20 11:05:15.688: [SA] Found CID 260e5e69 for certname cscoDefaultMfgCaCert

    *spamApTask4: Mar 20 11:05:15.688: [SA] CACertTable: Found matching CID cscoDefaultMfgCaCert in row 5 x509 0x2cc7c274

    *spamApTask4: Mar 20 11:05:15.688: [SA] Retrieving x509 cert for CertName cscoDefaultNewRootCaCert
    *spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: called to evaluate <cscoDefaultNewRootCaCert>
    *spamApTask4: Mar 20 11:05:15.688: [SA] sshpmGetCID: Found matching CA cert cscoDefaultNewRootCaCert in row 4

    *spamApTask4: Mar 20 11:05:15.688: [SA] Found CID 28d7044e for certname cscoDefaultNewRootCaCert
    *spamApTask4: Mar 20 11:05:15.688: [SA] CACertTable: Found matching CID cscoDefaultNewRootCaCert in row 4 x509 0x2cc7c490
    *spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: X509 Cert Verification return code: 1
    *spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: X509 Cert Verification result text: ok
    *spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: called to evaluate <cscoDefaultMfgCaCert>
    *spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: Found matching CA cert cscoDefaultMfgCaCert in row 5

    *spamApTask4: Mar 20 11:05:15.691: [SA] Verify User Certificate: OPENSSL X509_Verify: AP Cert Verfied Using >cscoDefaultMfgCaCert<

    *spamApTask4: Mar 20 11:05:15.691: [SA] OpenSSL Get Issuer Handles: Check cert validity times (allow expired NO)
    *spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: called to evaluate <cscoDefaultIdCert>
    *spamApTask4: Mar 20 11:05:15.691: [SA] sshpmGetCID: Found matching ID cert cscoDefaultIdCert in row 2
    *spamApTask4: Mar 20 11:05:15.691: [SA] sshpmFreePublicKeyHandle: called with 0x1b0b9380

    *spamApTask4: Mar 20 11:05:15.691: [SA] sshpmFreePublicKeyHandle: freeing public key

    从 AP 进行调试

    如果控制器调试不指示加入请求,则如果AP具有控制台端口,您可以从AP调试进程。  您可以使用这些命令查看AP启动过程,但必须首先进入启用模式(默认密码为Cisco)。

    • debug dhcp detail:显示 DHCP 选项 43 信息。

    • debug ip udp:显示AP接收和传输的所有UDP数据包。

    • debug capwap client event:显示 AP 的 capwap 事件。

    • debug capwap client error:显示 AP 的 capwap 错误。
    • debug dtls client event:显示 AP 的 DTLS 事件。
    • debug dtls error enable:显示 AP 的 DTLS 错误。

    • undebug all:在 AP 上禁用调试。

    以下是一个输出示例 debug capwap 命令.此部分输出提供了在引导过程中由AP发送的数据包,以发现和加入控制器。

    AP can discover the WLC via one of these options :

    !--- AP discovers the WLC via option 43

    *Jun 28 08:43:05.839: %CAPWAP-5-DHCP_OPTION_43: Controller address 10.63.84.78 obtained through DHCP
    *Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 10.63.84.78 with discovery type set to 2

    !--- capwap Discovery Request using the statically configured controller information.

    *Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 10.63.84.32 with discovery type set to 1

    !--- Capwap Discovery Request sent using subnet broadcast.

    *Jun 28 08:43:15.963: %CAPWAP-3-EVENTLOG: Discovery Request sent to 255.255.255.255 with discovery type set to 0

    !--- capwap Join Request sent to AP-Manager interface on DHCP discovered controller.

    *Jun 28 08:40:29.031: %CAPWAP-5-SENDJOIN: sending Join Request to 10.63.84.78

    LAP 未加入控制器的原因是什么?

    先从基本原因查起

    • AP 能否与 WLC 通信?

    • 确保AP从DHCP获取地址(检查DHCP服务器租用AP的MAC地址)。

    • 从控制器ping AP。

    • 检查交换机上的STP配置是否正确,以便不会阻止发往VLAN的数据包。

    • 如果 ping 成功,确保 AP 至少可以通过一种方法发现至少一个可进入控制器的单个 WLC 控制台或 telnet/ssh 以运行调试。

    • 每次重新启动时,AP 都会启动 WLC 发现序列并尝试定位 AP。重新启动 AP 并检查其是否加入 WLC。

    下面列出了 LAP 未加入 WLC 的一些常见原因。

    现场通知:证书过期 — FN63942

    硬件中嵌入的证书的有效期为自制造之日起 10 年。如果您的AP或WLC的期限超过10年,过期的证书可能会导致AP加入问题。有关此问题的更多信息,请参阅以下问题信息通告:

    https://www.cisco.com/c/en/us/support/docs/field-notices/639/fn63942.html

    要查找的潜在问题:示例

    问题1:控制器时间超出了证书有效间隔

    要对此问题进行故障排除,请完成以下步骤:

    1. 问题 debug dtls client error + debug dtls client event ap上的命令:


      *Jun 28 09:21:25.011: DTLS_CLIENT_EVENT: dtls_process_Certificate: Processing...Peer certificate verification failed 001A
      *Jun 28 09:21:25.031: DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:509 Certificate verified failed!
      *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Bad certificate Alert
      *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_client_process_record: Error processing Certificate.
      *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_disconnect: Disconnecting DTLS connection 0x8AE7FD0
      *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_free_connection: Free Called... for Connection 0x8AE7FD0
      *Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Close notify Alert

      此信息清楚地显示控制器时间在AP的证书有效间隔之外。因此,AP 无法注册到控制器。AP 上安装的证书具有预定义的有效间隔。必须设置控制器时间,使其在AP证书的证书有效间隔内。

    2. 发出 show time 命令,以验证在控制器上设置的日期和时间是否在此有效间隔内。如果控制器时间不在此有效间隔内,则请更改控制器时间使其处在有效间隔内。

      note-icon

      :如果在控制器上未正确设置时间,请选择 Commands > Set Time 在控制器GUI模式下,或者在控制器CLI中发出config time命令以设置控制器时间。



    3. 在具有CLI访问权限的AP上,使用 show crypto ca certificates 命令。

      通过此命令,您可以确认 AP 上的证书有效间隔设置。示例如下:

      AP00c1.649a.be5c#show crypto ca cert
      ............................................
      ............................................
      .............................................
      ................................................
      Certificate
      Status: Available
      Certificate Serial Number (hex): 7D1125A900000002A61A
      Certificate Usage: General Purpose
      Issuer:
      cn=Cisco Manufacturing CA SHA2
      o=Cisco
      Subject:
      Name: AP1G2-00c1649abe5c
      e=support@cisco.com
      cn=AP1G2-00c1649abe5c
      o=Cisco Systems
      l=San Jose
      st=California
      c=US
      CRL Distribution Points:
      http://www.cisco.com/security/pki/crl/cmca2.crl
      Validity Date:
      start date: 01:05:37 UTC Mar 24 2016
      end date: 01:15:37 UTC Mar 24 2026
      Associated Trustpoints: Cisco_IOS_M2_MIC_cert
      Storage:
      ..................................
      ....................................
      ......................................

      未列出整个输出,因为可能存在许多与此命令输出关联的有效时间间隔。仅考虑关联信任点Cisco_IOS_MIC_cert指定的有效间隔,并在名称字段中使用相关AP名称。在本示例输出中,它是Name: C1200-001563e50c7e。这是要考虑的实际证书有效间隔。

    4. 请参阅思科漏洞ID CSCuq19142 LAP/WLC MIC或SSC有效期到期会导致DTLS故障:

    https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuq19142

    问题2:管制范围不匹配

    您将在 debug capwap events enable 命令输出:

    *spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
    *spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
    *spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Setting MTU to1485
    *spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 AP 00:cc:fc:13:e5:e0: Country code is not configured(BE ).
    *spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Regulatory Domain Mismatch: AP 00:cc:fc:13:e5:e0 not allowed to join. Allowed domains: 802.11bg:-A
    *spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Finding DTLS connection to delete for AP (192:168:47:29/60390)
    *spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 Disconnecting DTLS Capwap-Ctrl session 0x1d4df620 for AP (192:168:47:29/60390). Notify(true)
    *spamApTask7: Jun 28 11:56:49.177: 00:cc:fc:13:e5:e0 acDtlsPlumbControlPlaneKeys: lrad:192.168.47.29(60390) mwar:10.63.84.78(5246)


    WLC msglog show these messages :

    *spamApTask5: Jun 28 11:52:06.536: %CAPWAP-3-DTLS_CLOSED_ERR: capwap_ac_sm.c:7095 00:cc:fc:13:e5:e0: DTLS connection 
    closed forAP 192:168:47:28 (60389), Controller: 10:63:84:78 (5246) Regulatory Domain Mismatch

    此消息清楚地表明LAP和WLC的管制域不匹配。WLC支持多个管制域,但必须先选择每个管制域,AP才能从该域加入管制域。例如,使用管理域 A 的 WLC 只能与使用管理域 A 的 AP 结合使用(以此类推)。购买AP时,请确保它们共享相同的管制域。只有这样 AP 才能登记到 WLC。

    note-icon

    意:对于单个AP,802.1b/g和802.11a无线电必须在同一管制域中。

    问题3:WLC上启用了AP授权列表;LAP不在授权列表中

    在这种情况下,您会在控制器的输出中看到以下消息 debug capwap events enable 指令:

    Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Received CAPWAP DISCOVERY REQUEST 
from AP 00:0b:85:51:5a:e0 to 00:0b:85:33:52:80 on port '1'
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Successful transmission of 
CAPWAP Discovery-Response to AP 00:0b:85:51:5a:e0 on Port 1
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Received LWAPP DISCOVERY REQUEST 
from AP 00:0b:85:51:5a:e0 to ff:ff:ff:ff:ff:ff on port '1'
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Successful transmission of 
CAPWAP Discovery-Response to AP 00:0b:85:51:5a:e0 on Port 1
Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 Received CAPWAP JOIN REQUEST 
from AP 00:0b:85:51:5a:e0 to 00:0b:85:33:52:80 on port '1'
Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 AP ap:51:5a:e0: txNonce  00:0B:85:33:52:80 
rxNonce  00:0B:85:51:5A:E0 
Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 CAPWAP Join-Request MTU path from 
AP 00:0b:85:51:5a:e0 is 1500, remote debug mode is 0
Wed Sep 12 17:42:50 2007: spamRadiusProcessResponse: AP Authorization failure
for 00:0b:85:51:5a:e0

    如果您使用具有控制台端口的LAP,当您发出 debug capwap client error 指令:

    AP001d.a245.a2fb#
*Mar  1 00:00:52.267: LWAPP_CLIENT_ERROR_DEBUG: spamHandleJoinTimer: Did not receive the
Join response
*Mar  1 00:00:52.267: LWAPP_CLIENT_ERROR_DEBUG: No more AP manager IP addresses remain.

    这再次明确表明LAP不是控制器上AP授权列表的一部分。

    您可以使用以下命令查看AP授权列表的状态:

    (Cisco Controller) >show auth-list

Authorize APs against AAA ....................... enabled
Allow APs with Self-signed Certificate (SSC) .... disabled

    要将LAP添加到AP授权列表,请使用 config auth-list add mic 命令。有关如何配置 LAP 授权的更多信息,请参阅思科统一无线网络配置示例中的轻量级无线接入点 (LAP) 授权

    问题4:AP上的证书或公钥损坏

    由于证书存在问题,LAP 不会加入控制器。

    发出  debug capwap errors enable 和 debug pm pki enable 命令。您将看到指出证书或密钥损坏的消息。

    note-icon

    注意:由于空间限制,输出的部分内容已移至第二行。

    Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0
 CAPWAP Join Request does not include valid certificate in CERTIFICATE_PAYLOAD
 from AP 00:0f:24:a9:52:e0.
Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0
 Deleting and removing AP 00:0f:24:a9:52:e0 from fast path
Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0 Unable to free public key for AP

    使用以下两个选项之一来解决此问题:

    • MIC AP — 请求退货许可(RMA)。
    • LSC AP - 重新调配 LSC 证书.

    问题5:控制器在错误的VLAN上收到AP发现消息(您会看到发现消息debug,但没有响应)

    您将在 debug capwap events enable 命令输出:

    Received a Discovery Request with subnet broadcast with wrong AP IP address (A.B.C.D)!

    此消息表示控制器收到来自广播IP地址的发现请求,该广播IP地址的源IP地址不在控制器上配置的任何子网中。这也意味着控制器是丢弃数据包的控制器。

    问题在于AP不是将发现请求发送到管理IP地址的设备。控制器报告来自控制器上未配置的VLAN的广播发现请求。当TRUNK允许VLAN而不将其限制为无线VLAN时,通常会发生这种情况。

    要解决此问题,请完成以下步骤:

    1. 如果控制器位于另一个子网上,则必须为AP准备控制器IP地址的prime,否则AP必须使用其中一种发现方法接收控制器IP地址。
    2. 交换机配置为允许一些VLAN不在控制器上。在 trunk 上限制允许的 VLAN。

    问题6:AP无法加入WLC,防火墙阻止必要的端口

    如果企业网络中使用了防火墙,请确保在防火墙上启用这些端口,以便LAP加入控制器并与控制器通信。

    您必须启用以下端口:

    • 为 CAPWAP 流量启用以下 UDP 端口:

      • 数据 - 5247

      • 控制 - 5246

    • 为移动性流量启用如下 UDP 端口:

      • 16666 - 16666

      • 16667 - 16667

    • 为 CAPWAP 流量启用 UDP 端口 5246 和 5247。

    • 用于 SNMP 的 TCP 161 和 162(适用于 Wireless Control System [WCS])

    这些端口是可选的(取决于您的要求):

    • UDP 69,用于 TFTP

    • TCP 80 和/或 443,用于通过 HTTP 或 HTTPS 的 GUI 访问

    • TCP 23 和/或 22,用于通过 Telnet 或 SSH 的 CLI 访问

    问题7:网络中的IP地址重复

    这是AP尝试加入WLC时出现的另一个常见问题。当AP尝试加入控制器时,您可以看到此错误消息。

    No more AP manager IP addresses remain

    导致出现此错误消息的一个原因是,网络中存在与 AP manager IP 地址完全一致的重复的 IP 地址。在这种情况下,LAP将保持重新通电启动且无法加入控制器。

    调试显示WLC从AP接收LWAPP发现请求,并将LWAPP发现响应传输到AP。

    不过,WLC 不会接收 AP 发出的 LWAPP 加入请求。

    为了对此问题进行故障排除,请从 AP manager 所在 IP 子网上的一台有线主机对 AP manager 执行 ping 操作。然后,请检查 ARP 缓存。如果找到重复的IP地址,请删除具有重复IP地址的设备,或更改设备的IP地址,使其在网络中具有唯一的IP地址。

    然后,AP 就可以加入 WLC 了。

    问题8:具有网状映像的LAP无法加入WLC

    轻量级无线接入点不会向 WLC 注册。日志显示此错误消息:

    AAA Authentication Failure for UserName:5475xxx8bf9c User
	 Type: WLAN USER

    如果轻量级无线接入点随附网状网映像并处于桥接模式,则可能会发生此问题。如果 LAP 与网状网软件一同订购,则需要将 LAP 添加到 AP 授权列表中。选择 Security > AP Policies 并将AP添加到授权列表。然后,AP必须加入,从控制器下载映像,然后在桥接模式下向WLC注册。然后,您需要将 AP 更改为本地模式。LAP下载映像、重新启动并在本地模式下注册回控制器。

    问题9:地址“Microsoft DHCP”错误

    尝试加入WLC时,接入点可以快速更新其IP地址,这可以导致Windows DHCP服务器将这些IP标记为“BAD_ADDRESS”,从而快速耗尽DHCP池。

    有关详细信息,请参阅:章节:客户端漫游

    修订历史记录

    版本 发布日期 备注
    5.0
    03-Nov-2022
    更新了文档样式和内容,以符合当前的Cisco.com发布标准。
    1.0
    31-Jul-2015
    初始版本
    TAC Authored

    由思科工程师提供

    • Nicolas Darchis
      思科TAC工程师
    • Israa Othman
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品