Проблема 3. Сообщение об ошибке: «AP cannot join because the maximum number of APs on interface 2 is reached» (Точка доступа не может быть добавлена, т.к. достигнуто максимальное количество точек доступа на интерфейсе 2)
Когда точка доступа пробует присоединиться к контроллеру, может возникнуть следующее сообщение об ошибке:
Fri May 19 16:18:06 2006 [ERROR] spam_lrad.c 1553: spamProcessJoinRequest :
spamDecodeJoinReq failed
Fri May 19 16:18:06 2006 [ERROR] spam_lrad.c 4498: AP cannot join
because the maximum number of APs on interface 2 is reached.
По умолчанию контроллеры серии 4400 поддерживают до 48 точек доступа на каждом порту. При подключении более чем 48 точек доступа к контроллеру при заказе абонентского обслуживания компьютеров появляется это сообщение об ошибке. Тем не менее контроллер серии 4400 можно настроить и так, чтобы он поддерживал большее число точек доступа на одном интерфейсе (в порту). Этого можно добиться несколькими способами:
· агрегирование каналов (для контроллеров в режиме 3-го уровня);
· организация нескольких интерфейсов диспетчера точек доступа (для контроллеров в режиме 3-го уровня);
· подсоединение дополнительных портов (для контроллеров в режиме 2-го уровня).
Проблема 4. При использовании точек доступа с сертификатом SSC отключается политика точек доступа SSC
Если на контроллере отключена политика SSC, то команды debug lwapp events enable и debug pm pki enable на контроллере выдают следующие сведения:
Wed Aug 9 17:20:21 2006 [ERROR] spam_lrad.c 1553: spamProcessJoinRequest :
spamDecodeJoinReq failed
Wed Aug 9 17:20:21 2006 [ERROR] spam_crypto.c 1509: Unable to free public key for
AP 00:12:44:B3:E5:60
Wed Aug 9 17:20:21 2006 [ERROR] spam_lrad.c 4880: LWAPP Join-Request does not
include valid certificate in CERTIFICATE_PAYLOAD from AP 00:12:44:b3:e5:60.
Wed Aug 9 17:20:21 2006 [CRITICAL] sshpmPkiApi.c 1493: Not configured to
accept Self-signed AP cert
Для диагностики и устранения этой проблемы выполните приведенные ниже шаги.
Выполните одно из следующих двух действий.
· Введите в интерфейсе командной строки команду show auth-list, чтобы убедиться, что контроллер настроен для обслуживания точек доступа с протоколами SSC.
Ниже показан пример выходных данных.
#show auth-list
Authorize APs against AAA ....................... disabled
Allow APs with Self-signed Certificate (SSC) .... enabled
Mac Addr Cert Type Key Hash
----------------------- ---------- ------------------------------------------
00:09:12:2a:2b:2c SSC 1234567890123456789012345678901234567890
· Выберите в графическом пользовательском интерфейсе Security (Безопасность) > AP Policies (Политики точек доступа).
a. Убедитесь, что установлен флажок Accept Self Signed Certificate (Принимать самоподписанные сертификаты). Если флажок снят, установите его.
b. Выберите в качестве типа сертификата SSC.
c. Добавьте точку доступа, ее mac-адрес и хеш-ключ к списку авторизации.
Этот хеш-ключ выводится в данных команды debug pm pki enable. ИТ аутсорсингом в наше время пользуются многие компании.
Проблема 5. На контроллере включен список авторизации точек доступа, в котором отсутствует локальная точка доступа
В таких случаях по команде debug lwapp events enable контроллер будет выводить следующие сведения:
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Received LWAPP DISCOVERY REQUEST
from AP 00:0b:85:51:5a:e0 to 00:0b:85:33:52:80 on port '1'
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Successful transmission of
LWAPP Discovery-Response to AP 00:0b:85:51:5a:e0 on Port 1
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Received LWAPP DISCOVERY REQUEST
from AP 00:0b:85:51:5a:e0 to ff:ff:ff:ff:ff:ff on port '1'
Wed Sep 12 17:42:39 2007: 00:0b:85:51:5a:e0 Successful transmission of
LWAPP Discovery-Response to AP 00:0b:85:51:5a:e0 on Port 1
Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 Received LWAPP JOIN REQUEST
from AP 00:0b:85:51:5a:e0 to 00:0b:85:33:52:80 on port '1'
Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 AP ap:51:5a:e0: txNonce 00:0B:85:33:52:80
rxNonce 00:0B:85:51:5A:E0
Wed Sep 12 17:42:50 2007: 00:0b:85:51:5a:e0 LWAPP Join-Request MTU path from
AP 00:0b:85:51:5a:e0 is 1500, remote debug mode is 0
Wed Sep 12 17:42:50 2007: spamRadiusProcessResponse: AP Authorization failure
for 00:0b:85:51:5a:e0
При использовании упрощенных точек доступа с консольным портом команда debug lwapp client error будет приводить к появлению следующего сообщения:
AP001d.a245.a2fb#
*Mar 1 00:00:52.267: LWAPP_CLIENT_ERROR_DEBUG: spamHandleJoinTimer: Did not receive the
Join response
*Mar 1 00:00:52.267: LWAPP_CLIENT_ERROR_DEBUG: No more AP manager IP addresses remain.
Это снова свидетельствует о том, что упрощенная точка доступа не входит в список авторизации точек доступа на контроллере.
Состояние списка авторизации точек доступа можете просмотреть следующей командой:
(Cisco Controller) >show auth-list
Authorize APs against AAA ....................... enabled
Allow APs with Self-signed Certificate (SSC) .... disabled
Для добавления упрощенной точки доступа в список авторизации точек доступа используйте команду config auth-list add mic <MAC-адрес точки доступа>.
Проблема 6. Открытый хеш-ключ SSC неверен или отсутствует
Для диагностики и устранения этой проблемы выполните приведенные ниже шаги.
1. Введитекомандуdebug lwapp events enable.
Она позволяет проверить, имела ли место попытка подсоединения со стороны точки доступа.
2. Введите команду show auth-list.
Эта команда отображает открытый хеш-ключ, хранящийся в контроллере.
3. Введите команду debug pm pki enable.
Эта команда отображает реальный открытый хеш-ключ. Реальный открытый хеш-ключ должен соответствовать открытому хеш-ключу, хранящемуся в контроллере. При их расхождении возникает проблема. Ниже приведен пример вывода этого сообщения отладки:
Примечание. Некоторые строки выходных данных в тексте разбиты на две строки из-за ограничений формата страницы.
(Cisco Controller) > debug pm pki enable
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: getting (old) aes ID cert handle...
Mon May 22 06:34:10 2006: sshpmGetCID: called to evaluate <bsnOldDefaultIdCert>
Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 0,
CA cert >bsnOldDefaultCaCert<
Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 1,
CA cert bsnDefaultRootCaCert<
Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 2,
CA cert >bsnDefaultCaCert<
Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 3,
CA cert >bsnDefaultBuildCert<
Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 4,
CA cert >cscoDefaultNewRootCaCert<
Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 5,
CA cert cscoDefaultMfgCaCert<
Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 0,
ID cert >bsnOldDefaultIdCert<
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Calculate SHA1 hash on
Public Key Data
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 30820122 300d06092a864886 f70d0101
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 01050003 82010f003082010a 02820101
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 00c805cd 7d406ea0cad8df69 b366fd4c
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 82fc0df0 39f2bff7ad425fa7 face8f15
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data f356a6b3 9b87625143b95a34 49292e11
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 038181eb 058c782e56f0ad91 2d61a389
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data f81fa6ce cd1f400bb5cf7cef 06ba4375
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data dde0648e c4d63259774ce74e 9e2fde19
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 0f463f9e c77b79ea65d8639b d63aa0e3
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 7dd485db 251e2e079cd31041 b0734a55
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data 463fbacc 1a61502dc54e75f2 6d28fc6b
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data 82315490 881e3e3102d37140 7c9c865a
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data 9ef3311b d514795f7a9bac00 d13ff85f
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data 97e1a693 f9f6c5cb88053e8b 7fae6d67
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data ca364f6f 76cf78bcbc1acc13 0d334aa6
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data 031fb2a3 b5e572df2c831e7e f765b7e5
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data fe64641f de2a6fe323311756 8302b8b8
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data 1bfae1a8 eb076940280cbed1 49b2d50f
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data f7020301 0001
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
SSC Key Hash is 9e4ddd8dfcdd8458ba7b273fc37284b31a384eb9
!--- This is the actual SSC key-hash value.
Mon May 22 06:34:14 2006: LWAPP Join-Request MTU path from
AP 00:0e:84:32:04:f0 is 1500, remote debug mode is 0
Mon May 22 06:34:14 2006: spamRadiusProcessResponse:
AP Authorization failure for 00:0e:84:32:04:f0
Чтобы устранить данную проблему, выполните следующие действия.
1. Скопируйте открытый хеш-ключ из выходных данных команды debug pm pki enable и замените им открытый хеш-ключ в списке авторизации.
2. Введите команду config auth-list add ssc MAC-адрес_точки_доступа ключ_точки_доступа для добавления MAC-адреса и хеш-ключа точки доступа к списку аутентификации.
Ниже приведен пример выходных данных этой команды:
Примечание. Некоторые строки выходных данных в тексте разбиты на две строки из-за ограничений формата страницы.
(Cisco Controller)>config auth-list add ssc 00:0e:84:32:04:f0
9e4ddd8dfcdd8458ba7b273fc37284b31a384eb9