本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本檔案介紹有關思科無線區域網路(WLAN)控制器(WLC)的錯誤訊息和系統訊息的常見問題(FAQ)。
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
問:開始使用Cisco 4404 WLC將200多個接入點(AP)從Cisco IOS®軟體轉換為輕量AP協定(LWAPP)。48個AP的轉換已完成,WLC上接收的消息顯示: [錯誤] spam_lrad.c 4212: AP無法加入,因為介面1上的AP已達到最大數量。 為什麼會發生錯誤?
答:您必須建立其他AP管理器介面才能支援超過48個AP。否則,您會收到如下所示的錯誤:
Wed Sep 28 12:26:41 2005 [ERROR] spam_lrad.c 4212: AP cannot join because the maximum number of APs on interface 1 is reached.配置多個AP-manager介面,並配置其他AP-manager介面不使用的主/備用埠。您必須建立第二個AP管理器介面才能啟動其他AP。但是請確保每個Manager的主埠和備份埠配置不會重疊。換句話說,如果AP-manager 1使用埠1作為主埠,使用埠2作為備份,則AP-manager 2必須使用埠3作為主埠,使用埠4作為備份。
問:我有一個無線LAN控制器(WLC)4402,我使用1240個輕量型存取點(LAP)。已在WLC上啟用128位加密。在WLC上選擇128位WEP加密時,我收到一個錯誤,指出1240s不支援128位: [ERROR] spam_lrad.c 12839:由於不支援WEP128位,因此未在CISCO AP xx:xx:xx:xx:xx:xx:xx:xx上建立SSID模式。為什麼會收到此錯誤?
A.WLC上顯示的金鑰長度實際是共用金鑰中的位數,不包括初始化向量(IV)的24位。許多產品(包括Aironet產品)將其稱為128位WEP金鑰。實際上,它是24位IV的104位金鑰。104位元的金鑰大小是您必須在WLC上啟用128位WEP加密的金鑰大小。
如果您選擇WLC上的128位金鑰大小,實際上是152位(128 + 24 IV)WEP金鑰加密。只有Cisco 1000系列LAP(AP1010、AP1020、AP1030)支援使用WLC 128位WEP金鑰設定。
問:為什麼在11xx、12xx和13xx型號AP上不支援128位的WEP金鑰大小。無法將WLAN推送到這些存取點。當我嘗試在WLC上設定WEP時,會出現錯誤訊息?
答:在無線LAN控制器上,如果選擇Static WEP作為第2層安全方法,則可以使用這些選項或WEP Key Size。
未設定
40位
104位
128位
這些金鑰大小值不包括與WEP金鑰連線的24位初始化向量(IV)。因此,對於64位WEP,您需要選擇40位作為WEP金鑰大小。控制器將24位IV新增到此中,以製作64位WEP金鑰。同樣,對於128位WEP金鑰,請選擇104位。
控制器也支援152位WEP金鑰(128位+ 24位IV)。11xx、12xx和13xx型號AP不支援此配置。因此,當您嘗試使用144位配置WEP時,控制器會發出一條消息,指出此WEP配置未推送到11xx、12xx和13xx型號AP。
Q.客戶端無法向配置為WPA2的WLAN進行身份驗證,並且控制器顯示apf_80211.c:1923 APF-1-PROC_RSN_WARP_IE_FAILED:無法處理RSN和WARP IE。在需要RSN的WLAN上不使用RSN(WPA2)的站。MobileStation:00:0c:f1:0c:51:22, SSID:<SSID>錯誤消消息。為什麼會收到此錯誤?
A.這主要是客戶端不相容引起的。嘗試以下步驟以解決此問題:
檢查客戶端是否通過Wi-Fi的WPA2認證,並檢查客戶端的WPA2配置。
檢查資料表,檢視客戶端實用程式是否支援WPA2。安裝供應商發佈的任何補丁以支援WPA2。如果使用Windows實用程式,請確保已安裝來自Microsoft的WPA2補丁以支援WPA2。如需詳細資訊,請參閱Microsoft支援。
升級客戶端驅動程式和韌體。
關閉WLAN上的Aironet擴展。
問:重新啟動WLC後,我獲得Mon Jul 17 15:23:28 2006 MFP Anomaly Detected - 3023 Invalid MIC event(s)Found(s)Obviolation by the radio 00:XX:XX:XX:XX:XX,and the dot11 interface at slot 0 of AP 00:XX:XX:XX在300秒內觀察探測響應、信標幀錯誤消息時。為什麼會出現此錯誤?如何消除此錯誤?
答:當啟用MFP的LAP檢測到具有錯誤MIC值的幀時,將顯示此錯誤消息。有關MFP的詳細資訊,請參閱使用WLC和LAP的基礎設施管理幀保護(MFP)配置示例。完成以下四個步驟之一:
檢查並刪除網路中生成無效幀的所有欺詐或無效AP或客戶端。
如果在移動組的其他成員上未啟用MFP,則禁用基礎架構MFP,因為LAP可以偵聽來自組中未啟用MFP的其他WLC的LAP的管理幀。如需行動化組的詳細資訊,請參閱無線LAN控制器(WLC)行動化組常見問題。
WLC 4.2.112.0和5.0.148.2版中提供了此錯誤消息的修復程式。將WLC升級為以下任一版本。
最後一個選項是嘗試重新載入產生此錯誤訊息的LAP。
Q.客戶端AIR-PI21AG-E-K9已成功與採用可擴展身份驗證協定 — 通過安全隧道的靈活身份驗證(EAP-FAST)的接入點(AP)關聯。但是,當關聯的AP關閉時,客戶端不會漫遊到另一個AP。此消息持續出現在控制器消息日誌中:"Fri Jun 2 14:48:49 2006 [SECURITY] 1x_auth_pae.c 1922:無法允許使用者進入系統 — 可能使用者已登入到系統?2006年6月2日星期五14:48:49 [安全] apf_ms.c 2557:無法刪除移動使用者名稱00:40:96:ad:75:f4"。為什麼?
A.當客戶端卡需要漫遊時,它會傳送身份驗證請求,但無法正確處理金鑰(不通知AP/控制器,不響應重新身份驗證)。
這記錄在Cisco錯誤IDCSCsd02837中。此錯誤已使用Cisco Aironet 802.11a/b/g客戶端介面卡安裝嚮導3.5修復。
通常,由於以下任何原因,也會出現Unable to delete username for mobilemessage:
特定使用者名稱用於多個客戶端裝置。
用於WLAN的身份驗證方法具有外部匿名身份。例如,在PEAP-GTC或EAP-FAST中,可以將通用使用者名稱定義為外部(可見)身份,而實際使用者名稱隱藏在客戶端和radius伺服器之間的TLS隧道中,因此控制器看不到它並無法使用。在這種情況下,系統會顯示此訊息。對於某些第三方和某些舊韌體客戶端,此問題更為常見。
附註:只有註冊思科使用者才能存取內部思科錯誤資訊和工具。
問:當我在6509交換機中安裝新的無線服務模組(WiSM)刀片並使用Microsoft IAS伺服器實施受保護的可擴展身份驗證協定(PEAP)時,我收到以下錯誤: *Mar 1 00:00:23.526: %LWAPP-5-CHANGED: LWAPP將狀態更改為DISCOVERY *Mar 1 00:00:23.700: %SYS-5-RELOAD:LWAPP客戶端請求重新載入.重灌原因:加密初始化失敗。 *3月1日00:00:23.700: %LWAPP-5-CHANGED: LWAPP狀態更改為關閉*3月1日00:00:23.528: %LWAPP-5-CHANGED: LWAPP狀態更改為發現*3月1日00:00:23.557: LWAPP_CLIENT_ERROR_DEBUG:lwapp_cryinit_init keys_and_certs在SSC專用檔案中無證書*Mar 1 00:00:23.557: LWAPP_CLIENT_ERROR_DEBUG: *Mar 1 00:00:23.557: lwapp_crypto_init: PKI_StartSession failed *Mar 1 00:00:23.706: %SYS-5-RELOAD: LWAPP CLIENT請求重新載入。 .為什麼?
A.RADIUS和dot1x偵錯結果顯示WLC傳送存取要求,但沒有IAS伺服器的回應。完成以下步驟即可解決此問題:
- 檢查並驗證IAS伺服器配置。
- 檢查日誌檔案。
- 安裝Ethereal等軟體,該軟體可以提供身份驗證詳細資訊。
- 停止並啟動IAS服務。
問:輕量型存取點(LAP)沒有在控制器上註冊。問題可能是什麼?我在控制器上看到以下錯誤消息: Thu Feb 3 03:20:47 2028: LWAPP Join-Request does not include valid certificate in CERTIFICATE_PAYLOAD from AP 00:0b:85:68:f4:f0。Thu Feb 3 03:20:47 2028:無法釋放AP 00:0B:85:68:F4:F0的公鑰。
A.存取點(AP)將輕量型存取點通訊協定(LWAPP)加入要求傳送到WLC時,會將其X.509憑證嵌入LWAPP訊息。它還會生成LWAPP加入請求中包含的隨機會話ID。WLC收到LWAPP加入請求時,會使用AP公鑰驗證X.509證書的簽名,並檢查證書是否由受信任的證書頒發機構頒發。它還檢視AP證書有效性間隔的開始日期和時間,並將該日期和時間與其自己的日期和時間進行比較。
發生此問題的原因可能是WLC上的時鐘設定不正確。若要設定WLC上的時鐘,請發出
show time
和config time
指令。
Q.輕量型存取點通訊協定(LWAPP)AP無法加入其控制器。無線LAN控制器(WLC)日誌顯示類似以下內容的消息: LWAPP Join-Request does not include valid certificate in CERTIFICATE_PAYLOAD from AP 00:0b:85:68:ab:01。為什麼?
答:如果AP和WLC之間的LWAPP隧道經過的MTU小於1500位元組的網路路徑,您可能會收到此錯誤消息。這會導致LWAPP資料包分段。這是控制器中的已知錯誤。請參閱Cisco錯誤IDCSCsd39911。
解決方案是將控制器韌體升級到4.0(155)。
附註:只有註冊思科使用者才能存取內部思科錯誤資訊和工具。
問:我想在我的內部控制器與非軍事區(DMZ)上的虛擬錨點控制器之間建立訪客隧道。但是,當使用者嘗試與訪客SSID關聯時,使用者無法如預期那樣從DMZ接收IP地址。因此,使用者流量不會通過通道傳輸到DMZ上的控制器。debug mobile handoff命令的輸出顯示類似以下消息:WLAN <Wlan ID>的安全策略不匹配。來自交換機IP的錨點匯出請求: <控制器Ip地址>已忽略。有什麼問題?
A.訪客隧道為訪客使用者訪問公司無線網路提供額外的安全性。這有助於確保訪客使用者在沒有先通過公司防火牆的情況下無法訪問公司網路。當使用者與指定為訪客WLAN的WLAN相關聯時,使用者流量通過隧道傳輸到位於企業防火牆之外的DMZ上的WLAN控制器。
考慮到此情境,此訪客通道可能會有幾個原因無法按預期運作。如debugcommand輸出所示,問題可能在於內部和DMZ控制器中為該特定WLAN配置的任何安全策略不匹配。檢查安全策略以及其他設定(如會話超時設定)是否匹配。
此問題的另一個常見原因是,對於該特定WLAN,DMZ控制器並未與其自身錨定。為使訪客通道正常運作,並讓DMZ管理使用者(屬於訪客WLAN的使用者)的IP位址,務必為該特定WLAN執行適當的錨定。
問:我在2006無線LAN控制器(WLC)上看到很多「控制器上的CPU接收組播隊列已滿」消息,但4400 WLC上沒有。為什麼?我已禁用控制器上的組播。2006和4400 WLC平台之間的組播隊列限制有何差異?
答:因為控制器上禁用了組播,導致此警報的消息可能是地址解析協定(ARP)消息。2000 WLC和4400 WLC之間的佇列深度(512封包)沒有差異。不同之處在於,4400 NPU過濾ARP資料包,而所有操作均在2006上的軟體中完成。這解釋了為何2006 WLC會看到報文,但不會看到4400 WLC。44xx WLC透過硬體(透過CPU)處理多點傳送封包。2000 WLC透過軟體處理多點傳送封包。CPU處理比軟體更有效。因此,清除4400的佇列會更快,而2006 WLC看到許多此類訊息時會遇到一點困難。
問:我看到「[SECURITY] apf_foreignap.c 763: STA [00:0A:E4:36:1F:9B]在埠1上收到一個資料包,但沒有為此埠配置外部AP。」我的一個控制器中出現錯誤消息。此錯誤表示什麼意思,我該採取什麼步驟來解決它?
A.當控制器收到DHCP要求其MAC地址(該地址沒有狀態機)時,會顯示此消息。這通常在網橋或運行VMWare等虛擬機器的系統中看到。控制器偵聽DHCP請求,因為它執行DHCP監聽,以便知道哪些地址與連線到其接入點(AP)的客戶端相關聯。無線使用者端的所有流量都會通過控制器。封包的目的地是無線使用者端時,它會前往控制器,然後透過輕量型存取點通訊協定(LWAPP)通道到AP,再離開到使用者端。為了緩解此訊息,可以採取的措施之一是,在交換器上使用switchport vlan allowcommand時,僅允許控制器上使用的VLAN連線到前往控制器的主幹上。
問:為什麼在控制檯上看到以下錯誤消息:Msg 'Set Default Gateway' of System Table failed, Id = 0x0050b986 error value = 0xfffffffffc?
A.這可能是由於CPU負載高。當控制器CPU負載較重時(例如當它執行檔案複製或其他任務時),它沒有時間處理NPU響應配置消息而傳送的所有ACK。發生這種情況時,CPU會生成錯誤消息。但是,錯誤消息不會影響服務或功能。
如需詳細資訊,請參閱Cisco無線LAN控制器。
問:我在無線控制系統(WCS)上收到以下有線等效保密(WEP)金鑰錯誤資訊:站點配置的WEP金鑰可能錯誤。站MAC地址為'xx:xx:xx:xx:xx:xx',AP基礎無線電MAC為'xx:xx:xx:xx:xx',插槽ID為'1'。但是,我不使用WEP作為網路中的安全引數。我只使用Wi-Fi保護訪問(WPA)。為什麼會收到這些WEP錯誤消息?
答:如果您的所有安全相關配置都是完全的,則您現在收到的消息是由於錯誤造成的。控制器中有一些已知錯誤。請參閱Cisco錯誤IDCSCse17260和Cisco,但ID CSCse11202說明「在此站上配置的WEP金鑰可能分別與WPA和TKIP客戶端錯誤」。實際上,思科錯誤ID CSCse17260是思科錯誤ID CSCse11202的副本。WLC 3.2.171.5版已提供Cisco but ID CSCse11202的修復程式。
附註:最新WLC版本已修正這些錯誤。
注意:只有註冊的思科使用者才能訪問內部思科錯誤資訊和工具。
問:我使用外部RADIUS伺服器透過控制器驗證無線使用者端。控制器定期傳送此錯誤消息:無radius伺服器響應。為什麼會看到這些錯誤消息?
A.當要求從WLC傳出RADIUS伺服器時,每個封包都有一個序號,WLC預期會對其作出回應。如果沒有回應,則會顯示showRADIUS-server not responding訊息。
WLC收到RADIUS伺服器傳回的預設時間是2秒。這是在WLC GUI的Security > authentication-server下設定的。最大值為30秒。因此,將此超時值設定為最大值,對解決此問題非常有用。
有時,RADIUS伺服器會對來自WLC的要求封包執行「靜默式捨棄」。由於憑證不相符和其他幾個原因,RADIUS伺服器可能拒絕這些封包。這是伺服器執行的有效操作。此外,在這些情況下,控制器可以將RADIUS伺服器標籤為未回應
為了克服靜默式放棄問題,請在WLC中停用進階的容錯移轉功能。
如果在WLC中啟用了主動故障切換功能,則WLC過於主動,無法將AAA伺服器標籤為不響應。但是,這不能完成,因為AAA伺服器不能只響應該特定客戶端(它執行靜默丟棄)。它可以是對其他有效客戶端(具有有效證書)的響應。但是,WLC仍可以將AAA伺服器標籤為不響應且無法正常工作。
為了克服此問題,請停用進取的故障轉移功能。從控制器CLI發出config radius aggressive-failover disabled命令以執行此操作。如果此選項處於禁用狀態,則僅當有3個連續客戶端無法從RADIUS伺服器接收響應時,控制器才會故障切換到下一個AAA伺服器。
問:多個客戶端無法與LWAPP關聯,並且控制器記錄了IAPP-3-MSGTAG015: iappSocketTask: iappRecvPkt返回的錯誤消息。為什麼會發生這種情況?
答:這主要是由於支援CCX v4但運行低於10.5.1.0的客戶端捆綁版本的英特爾介面卡出現問題。如果將軟體升級到10.5.1.0或更新版本,則會解決此問題。如需此錯誤訊息的詳細資訊,請參閱Cisco錯誤IDCSCsi91347。
注意:只有註冊的思科使用者才能訪問內部思科錯誤資訊和工具。
問:我在無線LAN控制器(WLC)上看到以下錯誤消息:Reached Max EAP-Identity Request retries(21) for STA 00:05:4e:42:ad:c5。為什麼?
A.當使用者嘗試連線到受EAP保護的WLAN網路且未通過預配置的EAP嘗試次數時,會出現此錯誤消息。當使用者無法進行身份驗證時,控制器將排除客戶端,客戶端無法連線到網路,直到排除計時器過期或被管理員手動覆蓋。
排除檢測單個裝置進行的身份驗證嘗試。當裝置超過最大故障數時,不再允許該MAC地址關聯。
發生排除:
在共用身份驗證連續出現5次身份驗證失敗後(排除第6次嘗試)
連續5次MAC身份驗證關聯失敗後(排除第6次嘗試)
經過3次連續的EAP/802.1X身份驗證失敗後(排除第4次嘗試)
任何外部策略伺服器故障(NAC)
任何IP地址重複例項
連續3次Web驗證失敗後(排除了第4次嘗試)
可以配置客戶端排除時間的計時器,並且可以在控制器或WLAN級別啟用或禁用排除。
問:我在無線LAN控制器(WLC)上看到以下錯誤訊息:交換器WLCSCH01/10.0.16.5產生嚴重級別為1的類別交換器警告。該警告訊息是控制器'10.0.16.5'。RADIUS伺服器未響應身份驗證請求。問題是什麼?
A.這可能是因為思科錯誤ID CSCsc05495。由於此錯誤,控制器會定期將錯誤的AV配對(屬性24,「狀態」)注入到違反RADIUS RFP的身份驗證請求消息中,從而導致某些身份驗證伺服器出現問題。此錯誤已在3.2.179.6中修正。
注意:只有註冊的思科使用者才能訪問內部思科錯誤資訊和工具。
問:我收到「Monitor > 802.11b/g Radio(監控> 802.11b/g無線電)」下的「Noise Profile failure(雜訊配置檔案故障)」消息。我想瞭解為什麼看到此失敗消息?
A.在WLC完成測試結果之後,並與當前設定的閾值進行比較,設定Noise Profile FAILED/PASSED狀態。預設情況下,「雜訊」值設定為–70。FAILED狀態表示已超過該特定引數或接入點(AP)的閾值。可以調整配置檔案中的引數,但建議您在對網路設計及其如何影響網路效能有清晰的理解之後更改設定。
在802.11a Global Parameters > Auto RFand 802.11b/g Global Parameters > Auto RFpages上,為所有AP全域性設定Radio Resource Management(RRM)PASSED/FAILED閾值。在「802.11 AP Interfaces」>「Performance Profilepage」上為此接入點單獨設定RRM PASSED/FAILED閾值。
問:我不能將埠2設定為AP管理器介面的備份埠。返回的錯誤消息是Could not set port configuration。我可以將埠2設定為管理介面的備份埠。兩個介面的當前活動埠是埠1。為什麼?
A.AP管理器沒有備份埠。在早期版本中,它曾經是受支援的。自4.0及更高版本起,不支援AP-manager介面的備份埠。通常,必須在每個埠上配置一個AP管理器(無備份)。如果使用鏈路聚合(LAG),則只有一個AP管理器。
靜態(或永久)AP管理器介面必須分配給分佈系統埠1,並且必須具有唯一的IP地址。無法將其對映到備份埠。它通常配置在與管理介面相同的VLAN或IP子網上,但這不是要求。
問:我看到以下錯誤消息:AP '00:0b:85:67:6b:b0'從站'00:13:02:8d:f6:41'收到協定'1'上的WPA MIC錯誤。計數器已啟用,流量已暫停60秒。為什麼?
A.消息完整性檢查(MIC)包含在Wi-Fi保護訪問(WPA)中,可防止中間人攻擊的幀計數器。此錯誤表示網路中有人想要重播原始使用者端傳送的訊息,也可能表示使用者端發生錯誤。
如果客戶端重複未通過MIC檢查,控制器將禁用AP介面上的WLAN,在該介面上檢測錯誤60秒。記錄第一個MIC故障,並啟動計時器以便實施對策。如果在最近一次失敗後的60秒內發生後續MIC故障,則其IEEE 802.1X實體充當請求方的STA如果其IEEE 802.1X實體充當驗證方,則該STA應使自身無效或使具有安全關聯的所有STA失效。*
此外,該裝置在檢測到第二故障後至少60秒的時間內,不接收或傳輸任何TKIP加密的資料幀,並且不接收或傳輸任何對等體除IEEE 802.1X消息之外的任何未加密的資料幀。如果裝置是AP,則在此60秒時間內不允許與TKIP進行新的關聯;在60秒時段結束時,AP將恢復正常操作並允許STA進行(重新)關聯。
這樣可防止對加密方案發起可能的攻擊。無法在4.1之前的WLC版本中關閉這些MIC錯誤。在無線LAN控制器4.1版及更高版本中,有一個命令可更改MIC錯誤的掃描時間。isconfig wlan security tkip hold-down <0-60 seconds> <wlan id>指令。使用值0可禁用MIC故障檢測以採取對策。
*無效:結束身份驗證。
Q.此錯誤消息出現在我的控制器日誌中: [ERROR] dhcp_support.c 357: dhcp_bind(): servPort dhcpstate failed。為什麼?
A.當控制器的服務連線埠啟用DHCP但未從DHCP伺服器收到IP位址時,最容易看到這些錯誤訊息。
預設情況下,物理服務埠介面已安裝DHCP客戶端,並通過DHCP查詢地址。WLC會嘗試為服務連線埠請求DHCP位址。如果沒有DHCP伺服器可用,則服務埠的DHCP請求失敗。因此,此操作將生成錯誤消息。
因應措施是為服務連線埠設定靜態IP位址(即使服務連線埠已斷開連線),或讓一個DHCP伺服器可用以將IP位址指定給服務連線埠。然後,如有必要,重新載入控制器。
服務埠實際上是為控制器的帶外管理、系統恢復以及網路故障時的維護而保留的。也是控制器處於開機模式時唯一作用中連線埠。服務埠不能承載802.1Q標籤。因此,必須將其連線到鄰居交換機上的接入埠。服務埠的使用是可選的。
服務埠介面控制通訊通過,並由系統靜態對映到服務埠。它必須與管理、AP管理器和任何動態介面位於不同的子網中。此外,它無法對映到備份埠。服務埠可以使用DHCP來獲取IP地址,也可以為其分配靜態IP地址,但無法將預設網關分配給服務埠介面。可以通過控制器定義靜態路由,用於遠端網路訪問服務埠。
問:我的無線客戶端無法連線到無線LAN(WLAN)網路。接入點(AP)所連線的WiSM報告以下消息:Big NAV Dos attack from AP with Base Radio MAC 00:0g:23:05:7d:d0, Slot ID 0, Source MAC 00:00:00:00:00:000。這意味著什麼?
A.作為訪問介質的條件,MAC層檢查其網路分配向量(NAV)的值。NAV是駐留在每個站台上的計數器,它表示前一個幀傳送其幀所需的時間量。NAV必須為零,站台才能嘗試傳送幀。在傳輸幀之前,站點基於幀長度和資料速率計算傳送幀所需的時間量。站點在幀頭的duration欄位中放置一個表示此時間的值。當站點收到幀時,會檢查此持續時間欄位值,並將其用作設定其對應的NAV的基礎。此過程為傳送站保留介質。
高NAV表示存在膨脹的NAV值(802.11的虛擬載波偵聽機制)。如果報告的MAC地址為00:00:00:00:00:00,則它可能是偽裝的(可能是真正的攻擊),您需要通過資料包捕獲來確認這一點。
問:在配置控制器並重新啟動它後,我無法以安全Web(https)模式訪問控制器。當我嘗試訪問控制器安全Web模式時收到此錯誤消息: Secure Web: Web Authentication Certificate not found(錯誤)。此問題的原因是什麼?
答:有幾個原因與此問題相關。一個常見原因可能與控制器的虛擬介面配置有關。為了解決此問題,請移除虛擬介面,然後使用以下命令重新產生虛擬介面:
WLC>config interface address virtual 1.1.1.1
然後重新啟動控制器。控制器重新開機後,使用以下命令在控制器本機上重新產生webauth憑證:
WLC>config certificate generate webauth在此命令的輸出中,您可以看到以下訊息:已產生Web驗證憑證。
重新啟動後,您便可訪問控制器的安全Web模式。
Q.控制器有時針對有效的客戶端報告此IDS Disassociation Flood Signature攻擊警報消息,其中攻擊者MAC地址是加入該控制器的接入點(AP)的地址:警報: IDS 'Disassoc flood'在控制器'x.x.x.x'上的AP '<AP名稱>'協定'802.11b/g'上檢測到簽名攻擊。簽名描述為「Disassociation flood」,優先為「x」。攻擊者MAC地址為'hh:hh:hh:hh:hh',通道號為'x',檢測次數為'x'。為什麼會發生這種情況?
A.這是因為思科錯誤IDCSCsg81953。
注意:只有註冊的思科使用者才能訪問內部思科錯誤資訊和工具。
有時會報告針對有效客戶端的IDS解除關聯泛洪攻擊,其中攻擊者MAC地址是加入該控制器的AP的MAC地址。
當客戶端與AP關聯但因移除卡而停止通訊時,它會漫遊到範圍之外,以此類推,到AP時,AP會等待空閒超時。達到空閒超時後,AP會向該客戶端傳送一個取消關聯的幀。如果客戶端不確認取消關聯幀,則AP會多次重新傳輸該幀(大約60幀)。控制器的IDS子系統會聽到這些重新傳輸消息並發出警報。
此錯誤在4.0.217.0版中已解決。將控制器版本升級到此版本,以克服針對有效客戶端和AP的此警報消息。
問:我在控制器的系統日誌中收到此錯誤消息: [警告] apf_80211.c 2408:從工作站<xx:xx:xx:xx:xx:xx:xx> [錯誤] apf_utils.c 198:缺少支援速率。為什麼?
A.實際上,「Missing Supported Rate」消息表明WLC在無線設定下配置為某些所需資料速率,但NIC卡缺少所需速率。
如果在控制器上設定了所需的資料速率(如1和2M),但NIC卡不能根據這些資料速率進行通訊,則您可以收到此類消息。這是NIC卡錯誤。另一方面,如果您的控制器已啟用802.11g,且使用者端是802.11b(僅限)卡,則這是合法訊息。如果這些消息未導致任何問題,並且卡仍然可以連線,則可以忽略這些消息。如果消息特定於卡,則確保此卡的驅動程式是最新的。
問:此系統日誌AP:001f.ca26.bfb4: %LWAPP-3-CLIENTERRORLOG:解碼消息:無法匹配WLAN ID <id>錯誤消息在我們的網路上廣播。為什麼會發生這種情況,如何阻止呢?
A.此消息由LAP廣播。當您已為WLAN設定WLAN覆寫功能,但並未通告該特定WLAN時,就會發生這種情況。
配置ap syslog host global 0.0.0.0以停止它,或者,如果您有系統日誌伺服器,可以設定一個特定的IP地址,以便只向伺服器廣播消息。
問:我在無線區域網控制器(WLC)上收到以下錯誤消息: [錯誤]檔案: apf_mm.c :行: 581 :通知移動00:90:7a:05:56:8a的衝突,正在刪除。為什麼?
答:通常,此錯誤消息表示控制器已通告無線客戶端的衝突(即,獨立AP通告它們擁有該客戶端),並且控制器沒有收到從一個AP到下一個的AP的切換。沒有要維護的網路狀態。請刪除無線客戶端,然後讓客戶端重試。如果此問題經常發生,則可能是移動配置有問題。否則,它可能是與特定客戶端或條件相關的異常。
問:我的控制器發出此警報消息:已違反「12」的覆蓋閾值。此錯誤是什麼?如何解決?
A.當客戶端訊雜比(SNR)下降到小於特定無線電的SNR閾值的值時,發出此警報消息。12是覆蓋空洞檢測的預設SNR閾值。
當客戶的SNR水準小於給定的SNR閾值時,覆蓋空洞檢測和校正演算法確定是否存在覆蓋空洞。此SNR閾值取決於兩個值:AP發射功率和控制器覆蓋範圍配置檔案值。
具體而言,客戶端SNR閾值由每個AP的發射功率(以dBm表示)減去常數值17dBm減去使用者可配置的覆蓋配置檔案值(該值預設為12 dB)來定義。
客戶端SNR截止值(|dB|)= [AP發射功率(dBm) — 常數(17 dBm) — 覆蓋配置檔案(dB)]
可通過以下方式訪問此使用者可配置的覆蓋範圍配置檔案值:
在WLC GUI中,前往無線的主標題,並為左側選擇的WLAN標準(802.11a或802.11b/g)選擇Network選項。然後,在視窗右上角選擇Auto RF。
在「自動RF全域性引數」頁中,查詢「概要檔案閾值」部分。在此部分中,您可以找到覆蓋範圍(3到50 dbm)值。此值是使用者可配置的覆蓋範圍配置檔案值。
可以編輯此值以影響客戶端SNR閾值。影響該SNR閾值的另一種方法是增加發射功率和補償覆蓋空洞檢測。
問:我使用ACS v 4.1和4402無線區域網控制器(WLC)。當WLC嘗試對ACS 4.1的無線客戶端進行MAC身份驗證時,ACS無法使用ACS作出響應並報告以下錯誤消息:「Internal error has occurred」。我所有的配置都正確。為什麼會發生此內部錯誤?
答:ACS 4.1中存在與身份驗證相關的Cisco錯誤IDCSCsh62641,其中ACS顯示Internal error has occurrerror消息。
此錯誤可能是問題。ACS 4.1下載站點上有一個可用於此錯誤的補丁程序可以修復此問題。
注意:只有註冊的思科使用者才能訪問內部思科錯誤資訊和工具。
問:Cisco 4400系列無線LAN控制器(WLC)無法開機。控制器上接收到此錯誤消息: **無法使用ide 0:4進行負載加**錯誤(無IRQ)dev 0 blk 0:狀態0x51錯誤reg: 10 **無法從裝置0讀取。為什麼?
A.此錯誤的原因可能是硬體問題。建立TAC案例以進一步解決此問題。若要開啟TAC案例,您需要與思科具有有效的合約。請參閱技術支援以聯絡Cisco TAC。
問:無線LAN控制器(WLC)遇到記憶體緩衝區問題。記憶體緩衝區滿後,控制器會崩潰,需要重新啟動才能使其重新聯機。以下錯誤消息顯示在消息日誌中: Mon Apr 9 10:41:03 2007 [ERROR] dtl_net.c 506: Out of System buffers Apr 9 10:41:03 2007 [ERROR] sysapi_if_net.c 537:無法分配新的Mbuf。Mon Apr 9 10:41:03 2007 [ERROR] sysapi_if_net.c 219: MbufGet:沒有可用的Mbuf。為什麼?
A.這是由Cisco錯誤IDCSCsh93980所致。WLC 4.1.185.0版中已解決此錯誤。將控制器升級到此軟體版本或更新版本,以便克服此訊息。
注意:只有註冊的思科使用者才能訪問內部思科錯誤資訊和工具。
問:我執行將無線區域網控制器(WLC)4400升級到4.1代碼的過程,系統日誌被大量消息轟炸,例如: May
03 03:55:49.591 dtl_net.c:1191 DTL-1-ARP_POISON_DETECTED: STA [00:17:f2:43:26:93, 0.0.0.0] ARP(op 1)收到無效SPA 192.168.1.233/TPA 192.168.1.233。這些消息表示什麼?
A.當WLAN標籤為需要DHCP時,可能會發生這種情況。在這種情況下,只允許通過DHCP接收IP地址的工作站進行關聯。不允許靜態客戶端與此WLAN關聯。WLC充當DHCP中繼代理並記錄所有站的IP地址。當WLC在WLC從站台收到DHCP封包並記錄其IP位址之前,收到站台的ARP要求時,就會產生此錯誤訊息。
問:在Cisco 2106無線LAN控制器上使用乙太網供電(PoE)時,AP無線電功能未啟用。AP無法驗證是否有足夠的線內電源。已禁用無線電插槽。出現錯誤消息。如何修復此問題?
A.當為接入點供電的交換機是預標準交換機,而AP不支援預標準輸入電源模式時,會出現此錯誤消息。
Cisco標準前交換機不支援智慧電源管理(IPM),但具有標準接入點所需的足夠功率。
在出現此錯誤消息的AP上,必須啟用前標準電源模式。這可以在控制器CLI上完成,同時使用config ap power pre-standard {enable |禁用} {all | Cisco_AP}命令。
如果從先前版本升級到軟體版本4.1,則如有需要,必須已配置此命令。但是,可能需要為新安裝輸入此命令,或者如果您將AP重置為出廠預設設定。
以下思科準標準15瓦交換機可用:
AIR-WLC2106-K9
WS-C3550、WS-C3560、WS-C3750
C1880
2600、2610、2611、2621、2650、2651
2610XM、2611XM、2621XM、2650XM、2651XM、2691
2811、2821、2851
3631-telco、3620、3640、3660
3725、3745
3825、3845
問:控制器生成dtl_arp.c:2003 DTL-3-NPUARP_ADD_FAILED:無法將xx:xx.-xxx.x的ARP條目新增到網路處理器。該條目不存在。與此類似的系統日誌消息。此系統日誌消息意味著什麼?
A.某些無線客戶端傳送ARP應答時,網路處理器單元(NPU)需要知道該應答。因此,ARP應答會被轉發到NPU,但WLC軟體不得嘗試將此條目新增到網路處理器。如果這樣做,則生成這些消息。因此,WLC上的功能沒有受到影響,但WLC確實產生此系統日誌訊息。
問:我安裝並配置了一個新的Cisco 2106 WLC。WLC表示溫度感測器出現故障。當您在「controller summary」下登入Web介面時,內部溫度旁邊會顯示「sensor failed」。其他一切似乎都運轉正常。
答:內部溫度感測器故障只是表面故障,可以通過升級到WLC 4.2.61.0版來解決。
WLC 2106和WLC 526在2007年7月1日或之後可使用其他供應商的溫度感測器晶片。此新感測器工作正常,但是與4.2版之後的軟體不相容。因此,舊版軟體無法讀取溫度並顯示此錯誤。所有其他控制器功能均不受此缺陷的影響。
存在與此問題相關的Cisco錯誤IDCSCsk97299。WLC版本4.2的版本說明中提到了此錯誤。
注意:只有註冊的思科使用者才能訪問內部思科錯誤資訊和工具。
問:我收到radius_db.c:1823 AAA-5-RADSERVER_NOT_FOUND:找不到WLAN <WLAN ID>的適當RADIUS伺服器 — 無法找到所有SSID的預設伺服器"消息。即使對於不使用AAA伺服器的SSID,也會出現此消息。
A.此錯誤訊息表示控制器無法連線到預設的radius伺服器,或者該伺服器未定義。
此行為的一個可能原因是思科錯誤IDCSCsk08181,已在版本4.2中解決。將控制器升級至4.2版。
問:Jul 10 17:55:00.725 sim.c:1061 SIM-3-MACADDR_GET_FAIL:未找到介面1的源MAC地址。無線區域網控制器(WLC)上出現錯誤消息。這表示什麼?
A.這表示控制器在傳送來源為CPU的封包時發生錯誤。
問:無線LAN控制器(WLC)上會顯示以下錯誤訊息:
7月10日14:52:21.902 nvstore.c:304 SYSTEM-3-FILE_READ_FAIL:無法讀取配置檔案「cliWebInitParms.cfg」
7月10日14:52:21.624 nvstore.c:304 SYSTEM-3-FILE_READ_FAIL:無法讀取配置檔案「rfidInitParms.cfg」
7月10日14:52:21.610 nvstore.c:304 SYSTEM-3-FILE_READ_FAIL:無法讀取配置檔案「dhcpParms.cfg」
7月10日14:52:21.287 nvstore.c:304 SYSTEM-3-FILE_READ_FAIL:無法讀取配置檔案「bcastInitParms.cfg」
3月18日16:05:56.753 osapi_file.c:274 OSAPI-5-FILE_DEL_FAILED:未能刪除檔案:sshpmInitParms.cfg。檔案刪除失敗。 — 進程:名稱:fp_main_task,Id:11ca7618
3月18日16:05:56.753 osapi_file.c:274 OSAPI-5-FILE_DEL_FAILED:未能刪除檔案:bcastInitParms.cfg。檔案刪除失敗。 — 進程:名稱:fp_main_task,Id:11ca7618
問題: 這些錯誤消息指示什麼?
A.這些消息是資訊性消息,是正常啟動過程的一部分。由於讀取或刪除多個不同配置檔案失敗,這些消息出現。如果沒有找到特定的配置檔案或無法讀取配置檔案,則每個進程的配置序列都會發出此消息,例如no DHCP server config、no tags(RF ID)config等。這些是可以安全忽略的低嚴重性消息。這些訊息不會中斷控制器的運作。
Q. HE6-WLC01,local0,alert,2008-07-25,12:48:18,apf_rogue.c:740 APF-1-UNABLE_TO_KEEP_ROUGE_CONTAIN:無法使惡意00:14:XX:02:XX:XX處於包含狀態 — 沒有可用的AP可包含。出現錯誤消息。這表示什麼?
A.這意味著執行欺詐遏制功能的AP不再可用,並且控制器找不到任何合適的AP來執行欺詐遏制。
Q.無線LAN控制器上出現DTL-1-ARP_POISON_DETECTED: STA [00:01:02:0e:54:c4, 0.0.0.0] ARP(op 1)received with invalid SPA 192.168.1.152/TPA 192.168.0.206 system消息。此消息暗示什麼?
答:系統可能檢測到ARP欺騙或中毒。但是此消息並不一定意味著發生了任何惡意ARP欺騙。當以下條件為真時,系統會顯示此消息:
WLAN配置了DHCP Required,客戶端裝置在與WLAN關聯後傳送ARP消息而不首先完成DHCP。這可能是正常行為;例如,當客戶端靜態定址時,或者當客戶端持有來自先前關聯的有效DHCP租約時。錯誤訊息可能如下所示:
DTL-1-ARP_POISON_DETECTED: STA [00:01:02:0e:54:c4, 0.0.0.0] ARP (op 1) received with invalid SPA 192.168.1.152/TPA 192.168.0.206此情況的作用是使用者端無法傳送或接收任何資料流量,直到它通過WLC進行DHCP為止。
如需詳細資訊,請參閱思科無線LAN控制器系統訊息指南的DTL訊息一節。
問:LAP不使用乙太網供電(POE)來接通電源。我看到無線LAN控制器上的日誌:
AP's Interface:1(802.11a) Operation State Down: Base Radio MAC:XX:1X:XX:AA:VV:CD Cause=Low in-line power
問題: 問題是什麼?
A.如果乙太網供電(POE)設定配置不正確,可能會發生這種情況。當已轉換為輕量模式的接入點(例如AP1131或AP1242)或1250系列接入點由連線到思科預智慧電源管理(pre-IPM)交換機的饋電器供電時,您需要配置乙太網供電(PoE),也稱為內聯電源。
如需詳細資訊,請參閱設定乙太網路供電、乙太網路支援。
問:在無線LAN控制器(WLC)上看到以下訊息:
*Mar 05 10:45:21.778: %LWAPP-3-DISC_MAX_AP2: capwap_ac_sm.c:1924 Dropping primary discovery request from
AP XX:1X:XX:AA:VV:CD - maximum APs joined 6/6
這表示什麼意思?
A.輕量接入點跟蹤特定演算法以查詢控制器。輕量AP(LAP)註冊到無線LAN控制器(WLC)中會詳細介紹發現和加入過程。
當WLC在達到最大AP容量後收到發現請求時,WLC上會顯示此錯誤消息。
如果LAP的主控制器未配置,或者其新的開箱即用LAP,則它向所有可到達控制器傳送LWAPP發現請求。如果發現請求到達的控制器以其AP完全容量運行,WLC會收到請求並意識到它已達到最大AP容量,因此不會響應請求並發出此錯誤。
問:在哪裡可以找到有關LWAPP系統消息的更多資訊?
答:有關LWAPP系統消息的詳細資訊,請參閱Cisco無線LAN控制器系統消息指南4.2(已停用)。
問:無線LAN控制器(WLC)上顯示「Error extracting webauth files」錯誤訊息。這表示什麼?
如果任何繫結檔案的檔名(包括副檔名)超過30個字元,則A.WLC無法載入自定義Web身份驗證/直通捆綁包。自訂web驗證套件組合最多只能具有30個字元用於檔案名稱。請確保套件組合中的檔案名稱不超過30個字元。
問:無線LAN控制器(WLC)運行5.2或6.0代碼並且有大量AP組,Web GUI不顯示所有已配置的AP組。問題是什麼?
A.如果使用CLI,可以看到缺失的AP組
show wlan ap-groups
指令。嘗試向清單中新增一個其他AP組。例如,部署了51個AP組,但缺少第51個(第3頁)。新增第52組,第3頁必須顯示在Web GUI中。
若要解決此問題,請升級到WLC 7.0.220.0版。
修訂 | 發佈日期 | 意見 |
---|---|---|
2.0 |
09-Feb-2023 |
更新格式,更正CCW。重新認證。 |
1.0 |
23-Apr-2007 |
初始版本 |