Введение
Этот документ объясняет методы, которые можно использовать, чтобы вручную добавить подписанные сертификаты (SSCs) к LAN беспроводной связи Ciscо (WLAN) Контроллер (WLC).
SSC точки доступа (AP) должен существовать на всех WLC в сети, к которой AP имеет разрешения для регистрации. Как правило примените SSC ко всем WLC в той же мобильной группе. Когда добавление SSC к WLC не происходит через утилиту обновления, необходимо вручную добавить SSC к WLC с использованием процедуры в этом документе. Вы также требуете этой процедуры, когда AP перемещен в другую сеть или когда дополнительные WLC добавлены к существующей сети. Лучше предоставить эту работу компании занимающийся ИТ-аутсерсингом.
Когда Легковесный Протокол AP (LWAPP) - преобразованный AP не связывается к WLC, можно распознать эту проблему. При устранении неисправностей проблемы сопоставления вы видите эти выходные данные при издании этих отладок:
· При издании команды enable pki debug pm вы видите:
· (Cisco Controller) >debug pm pki enable
· Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: locking ca cert table
· Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: calling x509_alloc() for user cert
· Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: calling x509_decode()
· Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: <subject> L=San Jose, ST=
· California, C=US, O=Cisco Systems, MAILTO=This email address is being protected from spambots. You need JavaScript enabled to view it., CN=C1130-00146a1b3744
· Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: <issuer> L=San Jose, ST=
· California, C=US, O=Cisco Systems, MAILTO=This email address is being protected from spambots. You need JavaScript enabled to view it., CN=C1130-00146a1b3744
· Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: Mac Address in subject is
· 00:XX:XX:XX:XX
· Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: Cert is issued by Cisco Systems.
· Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: SSC is not allowed by config;
· bailing...
· Thu Jan 26 20:22:50 2006: sshpmFreePublicKeyHandle: called with (nil)
Thu Jan 26 20:22:50 2006: sshpmFreePublicKeyHandle: NULL argument.
· При издании команды enable событий debug lwapp вы видите:
· (Cisco Controller) >debug lwapp errors enable
· ....
· Thu Jan 26 20:23:27 2006: Received LWAPP DISCOVERY REQUEST from AP
· 00:13:5f:f8:c3:70 to ff:ff:ff:ff:ff:ff on port '1'
· Thu Jan 26 20:23:27 2006: Successful transmission of LWAPP Discovery-Response to
· AP 00:13:5f:f8:c3:70 on Port 1
· Thu Jan 26 20:23:27 2006: Received LWAPP JOIN REQUEST from AP 00:13:5f:f9:dc:b0 to
· 06:0a:10:10:00:00 on port '1'
· Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: locking ca cert table
· Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: calling x509_alloc() for user cert
· Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: calling x509_decode()
· Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: <subject> L=San Jose, ST=
· California, C=US, O=Cisco Systems, MAILTO=This email address is being protected from spambots. You need JavaScript enabled to view it., CN=C1130-00146a1b321a
· Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: <issuer> L=San Jose, ST=
· California, C=US, O=Cisco Systems, MAILTO=This email address is being protected from spambots. You need JavaScript enabled to view it., CN=C1130-00146a1b321a
· Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: Mac Address in subject is
· 00:14:6a:1b:32:1a
·
· Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: Cert is issued by Cisco Systems.
· Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: SSC is not allowed by config;
· bailing...
· Thu Jan 26 20:23:27 2006: LWAPP Join-Request does not include valid certificate
· in CERTIFICATE_PAYLOAD from AP 00:13:5f:f9:dc:b0.
· Thu Jan 26 20:23:27 2006: sshpmFreePublicKeyHandle: called with (nil)
· Thu Jan 26 20:23:27 2006: sshpmFreePublicKeyHandle: NULL argument.
· Thu Jan 26 20:23:27 2006: Unable to free public key for AP 00:13:5F:F9:DC:B0
· Thu Jan 26 20:23:27 2006: spamDeleteLCB: stats timer not initialized for AP
· 00:13:5f:f9:dc:b0
· Thu Jan 26 20:23:27 2006: spamProcessJoinRequest : spamDecodeJoinReq failed
Предварительные условия
Требования
Рассматриваемая процедура настройки предполагает выполнение следующих условий:
· WLC не содержит SSC, который генерировала утилита обновления.
· AP содержат SSC.
· Telnet включен на WLC и AP.
· Минимальный номер версии Программного кода pre-LWAPP Cisco IOS® находится на AP, который будет обновлен.
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:
· 2006 WLC Cisco, который выполняет микропрограммное обеспечение 3.2.116.21 без установленного SSC
· Cisco Aironet 1230 AP Серии с SSC
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Условные обозначения
Общие сведения
В Cisco Централизованная архитектура WLAN AP работают в облегченном режиме. AP связываются к WLC Cisco с использованием LWAPP. LWAPP является протоколом проекта инженерной группы по развитию Интернета (IETF), который определяет контроль, обменивающийся сообщениями для настройки и аутентификации пути и операций во время выполнения. Протокол LWAPP также определяет механизм туннелирования потока данных.
Легковесный AP (LAP) обнаруживает WLC с использованием механизмов обнаружения LWAPP. LAP тогда передает WLC, который запрашивает соединение LWAPP. WLC передает LAP ответ соединения LWAPP, который позволяет LAP присоединяться к WLC. Когда LAP соединен с WLC, LAP загружает программное обеспечение WLC, если не совпадают пересмотры на LAP и WLC. Впоследствии, LAP полностью находится под контролем WLC.
LWAPP защищает связь контроля между AP и WLC посредством безопасного распределения ключей. Безопасное распределение ключей уже требует обеспеченных цифровых сертификатов X.509 и на LAP и на WLC. Установленные при производстве сертификаты обозначаются термином "MIC", что представляет собой сокращение термина "Сертификат, установленный при производстве" (англ.: Manufacturing Installed Certificate). AP Aironet, которые поставили до 18 июля 2005, не имеют MIC. Таким образом, эти AP создают SSC, когда они преобразованы для работы в облегченном режиме. Контроллеры запрограммированы на принятие SSC для аутентификации определенных AP. По вопросам обслуживания компьютеров вы сможете обратиться к нам.
Это - процесс обновления:
1. Пользователь выполняет утилиту обновления, которая принимает входной файл со списком AP и их IP-адресов, в дополнение к их учетным данным входа в систему.
2. Утилита устанавливает сеансы Telnet с AP и передает серию Программных команд Cisco IOS во входном файле, чтобы подготовить AP к обновлению. Эти команды включают команды для создания SSCs. Кроме того, утилита устанавливает сеанс Telnet с WLC, чтобы программировать устройство для разрешения авторизации определенных AP SSC.
3. Утилита тогда загружает Cisco IOS Software Release 12.3 (7) JX на AP так, чтобы AP мог присоединиться к WLC.
4. После того, как AP присоединяется к WLC, AP загружает завершенную версию программного обеспечения Cisco IOS от WLC. Утилита обновления генерирует выходной файл, который включает список AP и соответствующих значений хэша - ключа SSC, которые могут быть импортированы в программное обеспечение для управления Беспроводной системы управления (WCS).
5. WCS может тогда передать эту информацию другим WLC в сети.
После того, как AP присоединяется к WLC, вы можете reassign AP к любому WLC в вашей сети при необходимости.