Причины неприсоединения LAP к контроллеру
Основные первоочередные проверки
· Возможен ли обмен данными между точкой доступа и WLC?
· Убедитесь в том, что точка доступа получает адрес по протоколу DHCP (проверьте арендные записи DHCP-сервера для MAC-адреса точки доступа).
· Попробуйте отправить эхозапрос точке доступа с контроллера.
· Проверьте, правильно ли настроена конфигурация остовного дерева (STP) на коммутаторе и не блокирует ли она пакеты для сетей VLAN.
· Если эхозапросы проходят успешно, убедитесь в том, что точка доступа может использовать по крайней мере один из возможных методов обнаружения. Подключитесь к контроллеру через консоль WLC или telnet/ssh для выполнения отладочных команд.
Ниже перечислены некоторые из наиболее распространенных проблем, препятствующие присоединению упрощенных точек доступа к WLC.
Если Вы не уверены, что сможете сделать это сами, то закажите ИТ аутсорсинг и это решит ваши вопросы.
Проблема 1. Время на контроллере выходит за пределы срока действия сертификата
Для диагностики и устранения этой проблемы выполните приведенные ниже шаги.
1. Выполните команды debug lwapp errors enable и debug pm pki enable.
В выводе команды debug lwapp event enable отображаются сообщения о сертификации, которыми обмениваются точка доступа и контроллер беспроводной локальной сети. Из этих данных четко ясно, что сертификат отклонен.
Примечание. Обязательно внесите поправку на часовой пояс относительно всемирного времени (UTC).
Команда debug lwapp events enable приводит к отображению следующих выходных данных:
Примечание. Некоторые строки выходных данных в тексте разбиты на две строки из-за ограничений формата страницы.
Thu Jan 1 00:09:46 1970: 00:0b:85:5b:fb:d0 Received LWAPP DISCOVERY REQUEST
from AP 00:0b:85:5b:fb:d0 to ff:ff:ff:ff:ff:ff on port '2'
Thu Jan 1 00:09:46 1970: 00:0b:85:5b:fb:d0 Successful transmission of
LWAPP Discovery-Response to AP 00:0b:85:5b:fb:d0 on Port 2
Thu Jan 1 00:09:57 1970: 00:0b:85:5b:fb:d0 Received LWAPP JOIN REQUEST
from AP 00:0b:85:5b:fb:d0 to 00:0b:85:33:52:81 on port '2'
Thu Jan 1 00:09:57 1970: 00:0b:85:5b:fb:d0 LWAPP Join-Request does not
include valid certificate in CERTIFICATE_PAYLOAD from AP 00:0b:85:5b:fb:d0.
Thu Jan 1 00:09:57 1970: 00:0b:85:5b:fb:d0 Unable to free public key
for AP 00:0B:85:5B:FB:D0
Thu Jan 1 00:09:57 1970: spamProcessJoinRequest : spamDecodeJoinReq failed
Нижеприведенывыходныеданныекомандыdebug pm pki enableнаконтроллере. Эти данные выводятся при выполнении процесса проверки сертификата.
Примечание. Некоторые строки выходных данных в тексте разбиты на две строки из-за ограничений формата страницы.
Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: locking ca cert table
Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: calling x509_alloc() for user cert
Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: calling x509_decode()
Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: <subject> C=US, ST=California,
L=San Jose, O=Cisco Systems, CN=C1200-001563e50c7e, MAILTO=This email address is being protected from spambots. You need JavaScript enabled to view it.
Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: <issuer> O=Cisco Systems,
CN=Cisco Manufacturing CA
Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: Mac Address in subject
is 00:15:63:e5:0c:7e
Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: Cert is issued by Cisco Systems.
.........................
.........................
.........................
..........................
Fri Apr 15 07:55:03 2005: ssphmUserCertVerify: calling x509_decode()
Fri Apr 15 07:55:03 2005: ssphmUserCertVerify: user cert verfied using
>cscoDefaultMfgCaCert<
Fri Apr 15 07:55:03 2005: sshpmGetIssuerHandles: ValidityString (current):
2005/04/15/07:55:03
Fri Apr 15 07:55:03 2005: sshpmGetIssuerHandles: Current time outside
AP cert validity interval: make sure the controller time is set.
Fri Apr 15 07:55:03 2005: sshpmFreePublicKeyHandle: called with (nil)
Эти данные отчетливо свидетельствуют о том, что время на контроллере находится вне пределов периода достоверности сертификата упрощенной точки доступа. Следовательно, точка доступа не может быть зарегистрирована на контроллере. Сертификаты, установленные на точке доступа, имеют заданный срок действия. Необходимо установить время на контроллере таким образом, чтобы оно соответствовало сроку действия сертификата точки доступа.
2. Введите в интерфейсе командной строки контроллера команду show time, чтобы убедиться, что дата и время, установленные на контроллере, соответствуют этому сроку действия. Если время на контроллере находится вне срока действия сертификата, измените время на контроллере, чтобы оно попадало в этот период.
Примечание. Если время на контроллере установлено неверно, выберите Commands (Команды) > Set Time (Установить время) в режиме графического интерфейса контроллера или выполните команду config time в командной строке контроллера для задания времени.
3. На упрощенных точках доступа с интерфейсом командной строки проверьте сертификаты командой show crypto ca certificates из интерфейса командной строки точки доступа.
Эта команда позволяет проверить срок действия сертификата, заданный на точке доступа. Нижепредставленпример:
AP0015.63e5.0c7e#show crypto ca certificates
............................................
............................................
.............................................
................................................
Certificate
Status: Available
Certificate Serial Number: 4BC6DAB80000000517AF
Certificate Usage: General Purpose
Issuer:
cn=Cisco Manufacturing CA
o=Cisco Systems
Subject:
Name: C1200-001563e50c7e
ea=This email address is being protected from spambots. You need JavaScript enabled to view it.
cn=C1200-001563e50c7e
o=Cisco Systems
l=San Jose
st=California
c=US
CRL Distribution Point:
http://www.cisco.com/security/pki/crl/cmca.crl
Validity Date:
start date: 17:22:04 UTC Nov 30 2005
end date: 17:32:04 UTC Nov 30 2015
renew date: 00:00:00 UTC Jan 1 1970
Associated Trustpoints: Cisco_IOS_MIC_cert
..................................
....................................
......................................
Выходные данные приведены не полностью, поскольку в выходных данных этой команды могут присутствовать несколько сроков действия. Необходимо обратить внимание только на срок действия, указанный как Associated Trustpoint: Cisco_IOS_MIC_cert и имеющий соответствующее имя точки доступа в поле имени. В этом примере имя указано как Name: C1200-001563e50c7e. Это и есть период действия сертификата, который необходимо принять во внимание.
Проблема 2. Рассогласование нормативного домена
Команда debug lwapp events enable приводит к отображению следующих выходных данных:
Примечание. Некоторые строки выходных данных в тексте разбиты на две строки из-за ограничений формата страницы.
Wed Oct 24 17:13:20 2007: 00:0b:85:91:c3:c0 Received LWAPP DISCOVERY REQUEST
from AP 00:0b:85:91:c3:c0 to 00:0b:85:33:52:80 on port '2'
Wed Oct 24 17:13:20 2007: 00:0e:83:4e:67:00 Successful transmission of
LWAPP Discovery-Response to AP 00:0b:85:91:c3:c0 on Port 2
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 Received LWAPP JOIN REQUEST
from AP 00:0b:85:91:c3:c0 to 00:0b:85:33:52:81 on port '2'
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 AP ap:91:c3:c0:
txNonce 00:0B:85:33:52:80 rxNonce 00:0B:85:91:C3:C0
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 LWAPP Join-Request MTU path
from AP 00:0b:85:91:c3:c0 is 1500, remote debug mode is 0
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 Successfully added NPU Entry
for AP 00:0b:85:91:c3:c0 (index 48)
Switch IP: 10.77.244.211, Switch Port: 12223, intIfNum 2, vlanId 0
AP IP: 10.77.246.18, AP Port: 7228, next hop MAC: 00:17:94:06:62:88
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 Successfully transmission
of LWAPP Join-Reply to AP 00:0b:85:91:c3:c0
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 Register LWAPP event
for AP 00:0b:85:91:c3:c0 slot 0
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 Register LWAPP event
for AP 00:0b:85:91:c3:c0 slot 1
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 Received LWAPP CONFIGURE REQUEST
from AP 00:0b:85:91:c3:c0 to 00:0b:85:33:52:81
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 Updating IP info for AP 00:0b:85:91:c3:c0 --
static 0, 10.77.246.18/255.255.255.224, gtw 10.77.246.1
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 Updating IP 10.77.246.18 ===> 10.77.246.18
for AP 00:0b:85:91:c3:c0
Wed Oct 24 17:13:47 2007: spamVerifyRegDomain RegDomain set for
slot 0 code 21 regstring -N regDfromCb -AB
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 AP 00:0b:85:91:c3:c0: 80211a Regulatory Domain
(-N) does not match with country (US ) reg. domain -AB for the slot 0
Wed Oct 24 17:13:47 2007: spamVerifyRegDomain RegDomain set for
slot 1 code 21 regstring -N regDfromCb -AB
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 AP 00:0b:85:91:c3:c0: 80211bg Regulatory
Domain (-N) does not match with country (US ) reg. domain -AB for the slot 1
Wed Oct 24 17:13:47 2007: spamVerifyRegDomain AP RegDomain check for the country US failed
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 AP 00:0b:85:91:c3:c0: Regulatory Domain
check Completely FAILED The AP will not be allowed to join
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 apfSpamProcessStateChangeInSpamContext:
Deregister LWAPP event for AP 00:0b:85:91:c3:c0 slot 0
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 apfSpamProcessStateChangeInSpamContext:
Deregister LWAPP event for AP 00:0b:85:91:c3:c0 slot 1
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 Deregister LWAPP event
for AP 00:0b:85:91:c3:c0 slot 0
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 Deregister LWAPP event
for AP 00:0b:85:91:c3:c0 slot 1
Сообщение ясно говорит о наличии рассогласования нормативного домена между LAP и WLC. WLC поддерживает несколько нормативных доменов, но каждый нормативный домен необходимо выбрать, прежде чем из него сможет присоединиться упрощенная точка доступа. Например, если на WLC действует нормативный домен -A, этот контроллер можно использовать только с точками доступа, использующими нормативный домен -A (и т.д.). При приобретении точек доступа и WLC необходимо убедиться в том, что их нормативные домены совпадают. Только в этом случае упрощенные точки доступа могут зарегистрироваться на WLC.
Примечание. Беспроводные каналы 802.1b/g и 802.11a одной упрощенной точки доступа должны находиться в одном и том же нормативном домене.