Поиск неисправностей в беспроводных сетях,...
TRANSCRIPT
Поиск неисправностей в беспроводных сетях, управляемых контроллерами
Платов Виктор, инженер-консультант, mobility
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 2
• Инструментарий • Основы траблшутинга • Отладка проблем, связанных с клиентами • Подключение ТД к контроллеру
Поиск неисправностей в беспроводных сетях, управляемых контроллерами
Инструментарий
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 4
Инструментарий
Инструментарий контроллера БЛВС § Методы управления § Использование графического интерфейса § Важные Show команды (CLI) § Важные Debugs (CLI) § Рекомендации
Инструментарий точки доступа § Методы доступа к ТД § Важные Show команды
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 5
Инструментарий контроллера БЛВС
Методы управления • Графический интерфейс
HTTPS (Вкл) / HTTP (Выкл) • Интерфейс командной строки
Console SSH (Вкл) / Telnet (Выкл)
• SNMP
V1 (Выкл) / V2 (Вкл) – Измените community! V3 (Вкл) – Измените имя пользователя!
Замечание: Management Via Wireless Clients (Выкл)
По умолчанию (Вкл)=Включено (Выкл)=Выключено
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 6
Инструментарий контроллера БЛВС
Использование графического интерфейса
§ Monitor AP/Radio Statistics WLC Statistics Client Details Trap Log
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 7
Инструментарий контроллера БЛВС
Использование графического интерфейса § Wireless > All APs
В списке отображается физический uptime ТД отсортированы по времени ассоциации с контроллером Последние изменения в списке точек доступа – смотрите внизу Выделите нужную ТД, чтобы увидеть длительность ассоциации с контроллером
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 8
Инструментарий контроллера БЛВС
Использование графического интерфейса
§ Management
SNMP Config Logs Tech Support
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 9
Важные Show команды (CLI) § Show run-config
Нужно использовать! Без вариантов! “show run-config commands” (аналог IOS show running-config) “show run-config no-ap” (без информации о ТД)
§ Show tech-support
§ Совет по использованию CLI Ведите лог сессии Config Paging Disable
Инструментарий контроллера БЛВС
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 10
Важные Debugs (CLI) § Debug client <client mac address>
Проблема с клиентом? Обязательно! Без вариантов!
§ Debug capwap <event/error/detail/info> enable
§ Советы по использованию CLI Логируйте вывод сессии Debugs привязаны к сессии, при обрыве сессии дебаги отключаются
“Config session timeout 60”, 60 минутный idle timeout Debug mac addr <mac address> используйте для фильтрации дебагов по определенному MAC Debug disable-all (отключает все debugs)
Инструментарий контроллера БЛВС
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 11
Инструментарий контроллера БЛВС
Рекомендации § Смените параметры SNMP по умолчанию
§ Настройте Syslog для контроллера БЛВС и точек доступа
§ Включите Coredump для контроллера БЛВС и точек доступа
§ Всегда используйте NTP сервер для синхронизации времени
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 12
Инструментарий точек доступа
Методы доступа к ТД § Консоль § Telnet (Выкл) / SSH (Выкл) § Графический интерфейс отсутствует § AP Remote Commands
Включение Telnet/SSH § WLC CLI: config ap [telnet/ssh] enable <ap name> § WLC GUI: Wireless > All APs > Выбрать ТД > вкладка Advanced § Выбрать опцию [telnet/ssh] > кликнуть Apply
По умолчанию (Вкл)=Включено (Выкл)=Выключено
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 13
AP Remote Commands (CLI контроллера БЛВС) § Debug AP enable <Имя ТД>
Включает удаленно debug на ТД ТД должна быть ассоциирована с контроллером Перенаправляет вывод консоли ТД в сессию CLI контроллера
§ Debug AP command “<command>” <AP name> Вывод перенаправляется в сессию CLI контроллера ТД работают под управлением IOS, доступны некоторые базовые IOS команды
Инструментарий точек доступа
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 14
Show Команды (CLI ТД или WLC Remote Cmd) § Show controller Do[0/1] (или Show Tech)
Нужно! До/Во время/После события
§ Show log
§ WLC: show ap eventlog <имя ТД>
§ Show capwap client <?>
§ Рекомендации по использованию CLI Debug capwap console client Debug capwap client no-reload
Инструментарий точек доступа
Основы траблшутинга
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 16
10 ключевых точек сбора информации
IP
WLC
WLC
IP
IP
ACS CAPWAP E
OIP
802.11 Data 802.11 Management
CAPWAP 802.11 Management
RADIUS
Supp.
Driver
Radio
EAP
Логи саппликанта
а Дебаги драйвера/ информация адаптера
chan. 1
Перехват пакетов в эфире
Дебаги ТД
Проводн пакеты
Дебаги контроллера
Wired Sniff
Логи RADIUS
DHCP
Логи DHCP
NTP
Анализ спектра
Основы траблшутинга
Troubleshooting 101 § Точно определите проблему § Выделите все триггеры § Сформулируйте ожидаемое поведение § Добейтесь устойчивой повторяемости
Рекомендуемые инструменты § Анализатор спектра § Анализаторы пакетов в проводном и беспроводном сегментах
Описание проблемы
Вопросы
Тестирование
Решение
Анализ
Рекомендуемые инструменты
§ Беспроводной анализатор пакетов — Пример: Linksys USB600N и Omnipeek или AirMagnet WiFi Analyzer — TAC может расшарить Omnipeek-RA если у вас есть совместимый адаптер
§ Сбор пакетов в проводном сегменте — Пример: Wireshark — Используется на «зеркалах» портов контроллера или ТД
§ Анализатор спектра — Spectrum Expert с адаптером или CleanAir ТД
Отладка проблем, связанных с клиентом
Отладка проблем, связанных с клиентом
§ Это макрос, включающий сразу несколько debug (Cisco Controller) >debug client 00:16:EA:B2:04:36 (Cisco Controller) >show debug MAC address ................................ 00:16:ea:b2:04:36 Debug Flags Enabled:
dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled pem events enabled pem state enabled CCKM client debug enabled
debug client <mac address>
Этапы установления соединения 802.11
1. Listen for Beacons 2. Probe Request 3. Probe Response 4. Authentication Request 5. Authentication Response
6. Association Request 7. Association Response
8. (опционально: EAPOL Authentication) 9. (опционально: Encrypt Data) 10. Move User Data
Состояние 1: Unauthenticated,
Unassociated
Состояние 2: Authenticated, Unassociated
Состояние 3: Authenticated,
Associated
802.11 Assoc Complete
802.11
ТД
WLC
802.11 Auth Complete,
Not Mandatory
Модель состояний клиента
Имя Описание 8021X_REQD Ожидание окончания 802.1x (L2) аутентификации DHCP_REQD Ожидание получения IP адреса WEBAUTH_REQD Ожидание окончания Web (L3) аутентификации RUN Рабочее состояние
(Cisco Controller) >show client detail 00:16:ea:b2:04:36 Client MAC Address............................... 00:16:ea:b2:04:36 ….. Policy Manager State............................. WEBAUTH_REQD
00:16:ea:b2:04:36 10.10.1.103 DHCP_REQD (7) Change state to RUN (20) last state RUN (20)
Отладка проблем, связанных с клиентом - Обзор
§ Association (Начало)
§ L2 Authentication (8021X_REQD)
§ Client Address Learning (DHCP_REQD)
§ L3 Authentication (WEBAUTH_REQD)
§ Клиент полностью подключен (RUN)
§ Deauth/Disassoc
§ Советы и рекомендации
Отладка проблем, связанных с клиентом - Ассоциация
(Cisco Controller) >debug client 00:16:EA:B2:04:36 (Cisco Controller) > (Cisco Controller) > Association received from mobile on AP 00:26:cb:94:44:c0 0.0.0.0 START (0) Changing ACL 'none' (ACL ID 0) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:1621) Applying site-specific IPv6 override for station 00:16:ea:b2:04:36 - vapId 1, site 'default-group', interface '3' Applying IPv6 Interface Policy for station 00:16:ea:b2:04:36 - vlan 3, interface id 8, interface '3‘ STA - rates (12): 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0 Processing RSN IE type 48, length 22 for mobile 00:16:ea:b2:04:36 0.0.0.0 START (0) Initializing policy 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0.0.0.0 8021X_REQD (3) DHCP Not required on AP 00:26:cb:94:44:c0 vapId 1 apVapId 1for this client 0.0.0.0 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 00:26:cb:94:44:c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 00:16:ea:b2:04:36 on AP 00:26:cb:94:44:c0 from Idle to Associated Scheduling deletion of Mobile Station: (callerId: 49) in 1800 seconds Sending Assoc Response to station on BSSID 00:26:cb:94:44:c0 (status 0) ApVapId 1 Slot 0
Ассоциация
Ассоциация
Association received § Получен Association Request, клиент не делает роуминг (Reassociate) § MAC адрес радиоинтерфейса ТД= 00:26:cb:94:44:c0
vapId 1, site 'default-group', interface '3‘ § vapId = WLAN # (Wlan 1) § site = AP Group (default-group) § Interface = Dynamic Interface name (3)
vlan 3 § Vlan = Vlan # of Dynamic Interface
Association received from mobile on AP 00:26:cb:94:44:c0 0.0.0.0 START (0) Changing ACL 'none' (ACL ID 0) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:1621) Applying site-specific IPv6 override for station 00:16:ea:b2:04:36 - vapId 1, site 'default-group', interface '3' Applying IPv6 Interface Policy for station 00:16:ea:b2:04:36 - vlan 3, interface id 8, interface '3'
Ассоциация
STA - rates § Madatory Rates (>128) = (#-128)/2 § Supported Rates (<128) = #/2 § 1m,2m,5.5m,11m,6s,9s,12s,18s,24s,36s,48s,54s
Processing RSN IE type 48 § WPA2-AES § Processing WPA IE type 221 = WPA-TKIP
STA - rates (12): 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0 Processing RSN IE type 48, length 22 for mobile 00:16:ea:b2:04:36
Ассоциация
0.0.0.0 START § 0.0.0.0 = IP адрес клиента (в данном случае адреса пока нет)
Change state to 8021X_REQD § Ассоциация успешна, переходим в следующее состояние:
8021X_REQD
Scheduling deletion § Session Time on WLAN (1800 секунд в нашем случае)
0.0.0.0 START (0) Initializing policy 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0.0.0.0 8021X_REQD (3) DHCP Not required on AP 00:26:cb:94:44:c0 vapId 1 apVapId 1for this client 0.0.0.0 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 00:26:cb:94:44:c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 00:16:ea:b2:04:36 on AP 00:26:cb:94:44:c0 from Idle to Associated Scheduling deletion of Mobile Station: (callerId: 49) in 1800 seconds
Ассоциация
Slot 0 = B/G(2.4) Radio § Slot 1 = A(5) Radio
Sending Assoc Response Status 0 = Success § Любое значение, отличное от 0, означает «провал» ;-)
Sending Assoc Response to station on BSSID 00:26:cb:94:44:c0 (status 0) ApVapId 1 Slot 0
Наиболее часто встречающиеся коды ошибок ассоциации: 1 – Unknown Reason – Все, что не соответствует определенным причинам 12 – Неизвестный или выключенный SSID 17 – Ресурсы ТД полностью исчерпаны 18 – Клиент предлагает использовать неподдерживаемый datarate 35 – WLAN требует использования WMM, а клиент это не поддерживает 201 – Голосовой клиент хочет подключиться к non-platinum WLAN 202 – Недостаточно пропускной способности для голосового вызова(CAC Rejection)
Ассоциация – FSR
FSR aIOS CUWN CCKM - WPA yes yes
CCKM - WPA2 yes yes
WPA2 PKC no yes
WPA2 "Sticky" yes yes
Processing WPA IE type 221, length 22 for mobile 00:16:ea:b2:04:36 CCKM: Mobile is using CCKM CCKM: Processing REASSOC REQ IE Including CCKM Response IE (length 62) in Assoc Resp to mobile Sending Assoc Response to station on BSSID 00:26:cb:94:44:c0 (status 0) Vap Id 6 Slot 1 OR Processing RSN IE type 48, length 22 for mobile 00:16:ea:b2:04:36 Received RSN IE with 1 PMKIDs from mobile 00:16:ea:b2:04:36 Received PMKID: (16) [0000] cb bc 27 82 88 14 92 fd 3b 88 de 6a eb 49 be c8 Found an entry in the global PMK cache for station Computed a valid PMKID from global PMK cache for mobile
Ассоциация - Резюме
• Association vs. Reassociation • Debug отображают
ТД, Радио, AP-Group, WLAN ID, Interface, Data Rates, тип шифрования
Association Response Подтверждает, что клиент ассоциирован Определяет причину, если нет
Дальнейший траблшутинг Может потребовать анализ пакетов в эфире или на порту ТД Если клиент не отсылает Assoc Request, надо спрашивать самого клиента Можно попробовать отключить advanced WLAN фичи (Aironet IE, МFP, CCKM, 802.11 и т.д.)
Отладка проблем, связанных с клиентом – L2 Аутентификация
Аутентификация 802.1X
Server
EAP-ID-Request
Остальные сообщения EAP
Radius-Access-Accept
(Key) EAP-Success
EAP-ID-Response RADIUS (EAP-ID_Response)
Supplicant Authenticator
Саппликант вычисляет Session Key из User Password или Certificate и
Authentication Exchange Session
Key
WPA2-AES-802.1X
Sending Assoc Response to station on BSSID 00:26:cb:94:44:c0 (status 0) ApVapId 1 Slot 0 Station 00:16:ea:b2:04:36 setting dot1x reauth timeout = 1800 dot1x - moving mobile 00:16:ea:b2:04:36 into Connecting state Sending EAP-Request/Identity to mobile 00:16:ea:b2:04:36 (EAP Id 1) Received EAPOL EAPPKT from mobile 00:16:ea:b2:04:36 Username entry (cisco) created for mobile Received Identity Response (count=1) from mobile 00:16:ea:b2:04:36 EAP State update from Connecting to Authenticating for mobile 00:16:ea:b2:04:36 dot1x - moving mobile 00:16:ea:b2:04:36 into Authenticating state ………………….. Entering Backend Auth Req state (id=3) for mobile 00:16:ea:b2:04:36 Sending EAP Request from AAA to mobile 00:16:ea:b2:04:36 (EAP Id 3) Received EAPOL EAPPKT from mobile 00:16:ea:b2:04:36 Received EAP Response from mobile 00:16:ea:b2:04:36 (EAP Id 3, EAP Type 25) ........................... Received EAP Response from mobile 00:16:ea:b2:04:36 (EAP Id 10, EAP Type 25) Entering Backend Auth Response state for mobile 00:16:ea:b2:04:36 Processing Access-Challenge for mobile 00:16:ea:b2:04:36 Entering Backend Auth Req state (id=11) for mobile 00:16:ea:b2:04:36 Sending EAP Request from AAA to mobile 00:16:ea:b2:04:36 (EAP Id 11) Received EAPOL EAPPKT from mobile 00:16:ea:b2:04:36 Received EAP Response from mobile 00:16:ea:b2:04:36 (EAP Id 11, EAP Type 25) Entering Backend Auth Response state for mobile 00:16:ea:b2:04:36 Processing Access-Accept for mobile 00:16:ea:b2:04:36 ***OR*** Processing Access-Reject for mobile 00:16:ea:b2:04:36
Часто встречающиеся типы EAP
1 – Identity 2 – Notification 3 – NAK 4 – MD5 5 – OTP 6 – Generic Token 13 – EAP TLS 17 – LEAP 18 – EAP SIM 21 – EAP TTLS 25 – PEAP 43 – EAP-FAST
Sending EAP Request from AAA to mobile 00:16:ea:b2:04:36 (EAP Id 3) Received EAPOL EAPPKT from mobile 00:16:ea:b2:04:36 Received EAP Response from mobile 00:16:ea:b2:04:36 (EAP Id 3, EAP Type 25)
802.1X (продолжение) (WPA2-AES-PSK) Sending Assoc Response to station on BSSID 00:26:cb:94:44:c0 (status 0) ApVapId 1 Slot 0 Creating a PKC PMKID Cache entry for station 00:16:ea:b2:04:36 (RSN 2) Adding BSSID 00:26:cb:94:44:c0 to PMKID cache for station 00:16:ea:b2:04:36 New PMKID: (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd Initiating RSN PSK to mobile 00:16:ea:b2:04:36 dot1x - moving mobile 00:16:ea:b2:04:36 into Force Auth state Skipping EAP-Success to mobile 00:16:ea:b2:04:36 Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd Starting key exchange to mobile 00:16:ea:b2:04:36, data packets will be dropped Sending EAPOL-Key Message to mobile 00:16:ea:b2:04:36
state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00 Received EAPOL-Key from mobile 00:16:ea:b2:04:36 Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 00:16:ea:b2:04:36 Received EAPOL-key in PTK_START state (message 2) from mobile 00:16:ea:b2:04:36 Stopping retransmission timer for mobile 00:16:ea:b2:04:36 Sending EAPOL-Key Message to mobile 00:16:ea:b2:04:36
state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01 Received EAPOL-Key from mobile 00:16:ea:b2:04:36 Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 00:16:ea:b2:04:36 Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 00:16:ea:b2:04:36 apfMs1xStateInc 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
WPA2-AES-PSK - Failed
Starting key exchange to mobile 00:1e:8c:0f:a4:57, data packets will be dropped Sending EAPOL-Key Message to mobile 00:1e:8c:0f:a4:57 state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00 Received EAPOL-Key from mobile 00:1e:8c:0f:a4:57 Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 00:1e:8c:0f:a4:57 Received EAPOL-key in PTK_START state (message 2) from mobile 00:1e:8c:0f:a4:57 Received EAPOL-key M2 with invalid MIC from mobile 00:1e:8c:0f:a4:57 802.1x 'timeoutEvt' Timer expired for station 00:1e:8c:0f:a4:57 Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 00:1e:8c:0f:a4:57 Received EAPOL-Key from mobile 00:1e:8c:0f:a4:57 Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 00:1e:8c:0f:a4:57 Received EAPOL-key in PTK_START state (message 2) from mobile 00:1e:8c:0f:a4:57 Received EAPOL-key M2 with invalid MIC from mobile 00:1e:8c:0f:a4:57 802.1x 'timeoutEvt' Timer expired for station 00:1e:8c:0f:a4:57 Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 00:1e:8c:0f:a4:57 ………………… 802.1x 'timeoutEvt' Timer expired for station 00:1e:8c:0f:a4:57 Retransmit failure for EAPOL-Key M1 to mobile 00:1e:8c:0f:a4:57,
retransmit count 3, mscb deauth count 3 Blacklisting (if enabled) mobile 00:1e:8c:0f:a4:57 apfBlacklistMobileStationEntry2 (apf_ms.c:4192) Changing state for mobile 00:1e:8c:0f:a4:57 on
AP 00:16:9c:4b:c4:c0 from Associated to Exclusion-list (1)
EAP Таймеры
Show advanced eap Config advanced eap <timer name> <value>
L2 Аутентификация - Резюме
• 8021X_REQD значит ожидание L2 Аутентификации Authentication/Encryption has not be established
• PSK - это 802.1X, ключ шифрования получается из PSK, а не от AAA • Если “Processing Access-Reject”
§ AAA/RADIUS отклонил пользователя (не контроллер) • Если “Processing Access-Accept”
§ AAA/Radius успешно аутентифицировал пользователя § Начинается обмен пакетами 4-way handshake M1-M4
• Дальнейшая отладка § Debug aaa [all/event/detail/packet] enable § Debug dot1x [aaa/packet] enable
Отладка проблем, связанных с клиентом – Состояние IP Learning
Client DHCP
00:16:ea:b2:04:36 Received EAPOL-key in PTKINITNEGOTIATING state 00:16:ea:b2:04:36 apfMs1xStateInc 00:16:ea:b2:04:36 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) 00:16:ea:b2:04:36 0.0.0.0 L2AUTHCOMPLETE (4) DHCP Not required on AP 00:26:cb:94:44:c0 vapId 3 apVapId 3for this client 00:16:ea:b2:04:36 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 00:26:cb:94:44:c0 vapId 3 apVapId 3 00:16:ea:b2:04:36 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) 00:16:ea:b2:04:36 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 4755, Adding TMP rule 00:16:ea:b2:04:36 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (ACL ID 255) 00:16:ea:b2:04:36 Stopping retransmission timer for mobile 00:16:ea:b2:04:36 *pemReceiveTask: 00:16:ea:b2:04:36 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0 ................... 00:16:ea:b2:04:36 DHCP received op BOOTREQUEST (1) (len 308,vlan 0, port 29, encap 0xec03) ................... 00:16:ea:b2:04:36 DHCP received op BOOTREPLY (2) (len 308,vlan 0, port 29, encap 0xec00) ................... 00:16:ea:b2:04:36 10.10.1.103 DHCP_REQD (7) Change state to RUN (20) last state RUN (20) 00:16:ea:b2:04:36 10.10.1.103 Added NPU entry of type 1, dtlFlags 0x0
Client DHCP
• Client в состоянии DHCP_REQD • Proxy включен:
§ DHCP Relay/Proxy § Между WLC и Сервером § Требуется для Internal DHCP
Proxy выключен: § Между клиентом и сервером § DHCP отправляется широковещательно в
VLAN § Требуется IP helper, если сервер не является частью VLAN
Client State = “DHCP_REQD“
DHCP Proxy Включен
Client DHCP Discover юникастом до DHCP
Сервера(ов)
DHCP Offer от сервера
DHCP ACK от сервера
IP адрес получен
Client DHCP Request
DHCP Proxy Выключен
Client DHCP Discover бриджуется в VLAN
DHCP Proxy включен – DHCP Discover
*pemReceiveTask: 00:16:ea:b2:04:36 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0 32.151: 00:16:ea:b2:04:36 DHCP received op BOOTREQUEST (1) (len 312,vlan 0, port 29, encap 0xec03) 32.151: 00:16:ea:b2:04:36 DHCP selecting relay 1 - control block settings:
dhcpServer: 0.0.0.0, dhcpNetmask: 0.0.0.0, dhcpGateway: 0.0.0.0, dhcpRelay: 0.0.0.0 VLAN: 0
32.151: 00:16:ea:b2:04:36 DHCP selected relay 1 - 10.10.1.1 (local address 10.10.1.4, gateway 10.10.1.1, VLAN 0, port 29)
32.151: 00:16:ea:b2:04:36 DHCP transmitting DHCP DISCOVER (1) 32.151: 00:16:ea:b2:04:36 DHCP op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1 32.151: 00:16:ea:b2:04:36 DHCP xid: 0x91014db0 (2432781744), secs: 0, flags: 0 32.152: 00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 32.152: 00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 0.0.0.0 32.152: 00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 10.10.1.4 32.152: 00:16:ea:b2:04:36 DHCP requested ip: 10.99.76.147 32.152: 00:16:ea:b2:04:36 DHCP sending REQUEST to 10.10.1.1 (len 346, port 29, vlan 0) 32.152: 00:16:ea:b2:04:36 DHCP selecting relay 2 - control block settings:
dhcpServer: 0.0.0.0, dhcpNetmask: 0.0.0.0, dhcpGateway: 0.0.0.0, dhcpRelay: 10.10.1.4 VLAN: 0
32.152: 00:16:ea:b2:04:36 DHCP selected relay 2 - NONE
DHCP Proxy включен – DHCP Offer
34.166: 00:16:ea:b2:04:36 DHCP received op BOOTREPLY (2) (len 308,vlan 0, port 29, encap 0xec00) 34.166: 00:16:ea:b2:04:36 DHCP setting server from OFFER (server 10.10.1.3, yiaddr 10.10.1.103) 34.167: 00:16:ea:b2:04:36 DHCP sending REPLY to STA (len 414, port 29, vlan 0) 34.167: 00:16:ea:b2:04:36 DHCP transmitting DHCP OFFER (2) 34.167: 00:16:ea:b2:04:36 DHCP op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 34.167: 00:16:ea:b2:04:36 DHCP xid: 0x91014db0 (2432781744), secs: 0, flags: 0 34.167: 00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 34.167: 00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 10.10.1.103 34.167: 00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 34.168: 00:16:ea:b2:04:36 DHCP server id: 1.1.1.1 rcvd server id: 10.10.1.3
DHCP Proxy включен – DHCP Request
38.169: 00:16:ea:b2:04:36 DHCP received op BOOTREQUEST (1) (len 316,vlan 0, port 29, encap 0xec03) 38.169: 00:16:ea:b2:04:36 DHCP selecting relay 1 - control block settings:
dhcpServer: 10.10.1.3, dhcpNetmask: 0.0.0.0, dhcpGateway: 0.0.0.0, dhcpRelay: 10.10.1.4 VLAN: 0
38.169: 00:16:ea:b2:04:36 DHCP selected relay 1 - 10.10.1.3 (local address 10.10.1.4, gateway 10.10.1.3, VLAN 0, port 29)
38.169: 00:16:ea:b2:04:36 DHCP transmitting DHCP REQUEST (3) 38.169: 00:16:ea:b2:04:36 DHCP op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1 38.170: 00:16:ea:b2:04:36 DHCP xid: 0x91014db0 (2432781744), secs: 0, flags: 0 38.170: 00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 38.170: 00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 0.0.0.0 38.170: 00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 10.10.1.4 38.170: 00:16:ea:b2:04:36 DHCP requested ip: 10.10.1.103 38.170: 00:16:ea:b2:04:36 DHCP server id: 10.10.1.3 rcvd server id: 1.1.1.1 38.170: 00:16:ea:b2:04:36 DHCP sending REQUEST to 10.10.1.3 (len 354, port 29, vlan 0) 38.170: 00:16:ea:b2:04:36 DHCP selecting relay 2 - control block settings:
dhcpServer: 10.10.1.3, dhcpNetmask: 0.0.0.0, dhcpGateway: 0.0.0.0, dhcpRelay: 10.10.1.4 VLAN: 0
38.171: 00:16:ea:b2:04:36 DHCP selected relay 2 - NONE
DHCP Proxy Включен – DHCP Ack
38.172: 00:16:ea:b2:04:36 DHCP received op BOOTREPLY (2) (len 308,vlan 0, port 29, encap 0xec00) 38.173: 00:16:ea:b2:04:36 10.10.1.103 DHCP_REQD (7) Change state to RUN (20) last state RUN (20) 38.173: 00:16:ea:b2:04:36 10.10.1.103 RUN (20) Reached PLUMBFASTPATH: from line 5273 38.173: 00:16:ea:b2:04:36 10.10.1.103 RUN (20) Replacing Fast Path rule 38.173: 00:16:ea:b2:04:36 Assigning Address 10.10.1.103 to mobile 38.173: 00:16:ea:b2:04:36 DHCP success event for client. Clearing dhcp failure count for interface management. 38.174: 00:16:ea:b2:04:36 DHCP sending REPLY to STA (len 414, port 29, vlan 0) 38.174: 00:16:ea:b2:04:36 DHCP transmitting DHCP ACK (5) 38.174: 00:16:ea:b2:04:36 DHCP op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 38.174: 00:16:ea:b2:04:36 DHCP xid: 0x91014db0 (2432781744), secs: 0, flags: 0 38.174: 00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 38.174: 00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 10.10.1.103 38.174: 00:16:ea:b2:04:36 DHCP siaddr: 10.10.1.30, giaddr: 0.0.0.0 38.174: 00:16:ea:b2:04:36 DHCP server id: 1.1.1.1 rcvd server id: 10.10.1.3 38.179: 00:16:ea:b2:04:36 10.10.1.103 Added NPU entry of type 1, dtlFlags 0x0
DHCP Proxy Выключен – Discover/Offer
*pemReceiveTask: 00:16:ea:b2:04:36 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0 *00:16:ea:b2:04:36 DHCP received op BOOTREQUEST (1) (len 312,vlan 0, port 29, encap 0xec03) *00:16:ea:b2:04:36 DHCP processing DHCP DISCOVER (1) *00:16:ea:b2:04:36 DHCP op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 0 *00:16:ea:b2:04:36 DHCP xid: 0x18a596d9 (413505241), secs: 1024, flags: 0 *00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 *00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 0.0.0.0 *00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *00:16:ea:b2:04:36 DHCP requested ip: 10.10.3.86 *00:16:ea:b2:04:36 DHCP successfully bridged packet to DS *00:16:ea:b2:04:36 DHCP received op BOOTREPLY (2) (len 308,vlan 3, port 29, encap 0xec00) *00:16:ea:b2:04:36 DHCP processing DHCP OFFER (2) *00:16:ea:b2:04:36 DHCP op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 *00:16:ea:b2:04:36 DHCP xid: 0x18a596d9 (413505241), secs: 0, flags: 0 *00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 *00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 10.10.3.86 *00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *00:16:ea:b2:04:36 DHCP server id: 10.10.3.3 rcvd server id: 10.10.3.3 *00:16:ea:b2:04:36 DHCP successfully bridged packet to STA
DHCP Proxy Выключен – Request/Ack
*00:16:ea:b2:04:36 DHCP received op BOOTREQUEST (1) (len 316,vlan 0, port 29, encap 0xec03) *00:16:ea:b2:04:36 DHCP processing DHCP REQUEST (3) *00:16:ea:b2:04:36 DHCP op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 0 *00:16:ea:b2:04:36 DHCP xid: 0x18a596d9 (413505241), secs: 1024, flags: 0 *00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 *00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 0.0.0.0 *00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *00:16:ea:b2:04:36 DHCP requested ip: 10.10.3.86 *00:16:ea:b2:04:36 DHCP server id: 10.10.3.3 rcvd server id: 10.10.3.3 *00:16:ea:b2:04:36 DHCP successfully bridged packet to DS *00:16:ea:b2:04:36 DHCP received op BOOTREPLY (2) (len 308,vlan 3, port 29, encap 0xec00) *00:16:ea:b2:04:36 DHCP processing DHCP ACK (5) *00:16:ea:b2:04:36 DHCP op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 *00:16:ea:b2:04:36 DHCP xid: 0x18a596d9 (413505241), secs: 0, flags: 0 *00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 *00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 10.10.3.86 *00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *00:16:ea:b2:04:36 DHCP server id: 10.10.3.3 rcvd server id: 10.10.3.3 *00:16:ea:b2:04:36 10.10.3.86 DHCP_REQD (7) Change state to RUN (20) last state RUN (20) *00:16:ea:b2:04:36 Assigning Address 10.10.3.86 to mobile *00:16:ea:b2:04:36 DHCP successfully bridged packet to STA *00:16:ea:b2:04:36 10.10.3.86 Added NPU entry of type 1, dtlFlags 0x0
Как контроллер узнает ip адрес клиента без DHCP
• Контроллер может узнать IP адрес клиента не только из DHCP обмена § Клиент отсылает gratuitous ARP или ARP Request (Static Client) § Клиент отправляет IP пакет (Orphan Packet), мы учим IP § Кто-то шлет пакет клиенту, мы учим IP из этого пакета
• Некоторые клиенты начинают отсылать пакеты до окончания DHCP • Клиент должен сам понять, что его адрес не подходит для данной подсети • Настройка DHCP Required на WLAN защищает от этого
*Orphan Packet from 10.99.76.147 on mobile *0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (ACL ID 255) *Installing Orphan Pkt IP address 10.99.76.147 for station *10.99.76.147 DHCP_REQD (7) Change state to RUN (20) last state RUN (20)
Client DHCP - Резюме
• DHCP_REQD означает состояние получения ip адреса Только если опция “Required” включена на контроллере
• Если Proxy включен Убедитесь, что DHCP сервер на интерфейсе (или Wlan) настроен правильно DHCP сервер может не отвечать WLC Proxy (межсетевые экраны?)
• Если Proxy выключен, DHCP работает аналогично проводному • Дальнейшая отладка
Проверьте состояние дел на стороне DHCP сервера Если WLC не отображает BOOTREQUEST, убедитесь, что клиентский запрос приходит на контроллер и уходит с него корректно Если Вы все еще верите, что дело в WLC: debug dhcp message enable
Отладка проблем, связанных с клиентом – L3 Authentication
Webauth
*apfReceiveTask: 00:16:ea:b2:04:36 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (ACL ID 255) *pemReceiveTask: 00:16:ea:b2:04:36 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0 *DHCP Proxy DTL Recv Task: 00:16:ea:b2:04:36 DHCP received op BOOTREQUEST (1) (len 312,vlan 0, port 29, encap 0xec03) ……………………………... *DHCP Proxy DTL Recv Task: 00:16:ea:b2:04:36 10.10.3.86 DHCP_REQD (7) Change state to WEBAUTH_REQD (8) last state WEBAUTH_REQD (8) *DHCP Proxy DTL Recv Task: 00:16:ea:b2:04:36 10.10.3.86 WEBAUTH_REQD (8) pemAdvanceState2 5170, Adding TMP rule *DHCP Proxy DTL Recv Task: 00:16:ea:b2:04:36 10.10.3.86 WEBAUTH_REQD (8) Successfully plumbed mobile rule (ACL ID 255) *DHCP Proxy DTL Recv Task: 00:16:ea:b2:04:36 Assigning Address 10.10.3.86 to mobile *pemReceiveTask: 00:16:ea:b2:04:36 10.10.3.86 Added NPU entry of type 2, dtlFlags 0x0 *pemReceiveTask: 00:16:ea:b2:04:36 Sent an XID frame *apfReceiveTask: 00:16:ea:b2:04:36 Orphan Packet from 10.10.3.86 on mobile *apfReceiveTask: 00:16:ea:b2:04:36 Orphan Packet from 10.10.3.86 on mobile *apfReceiveTask: 00:16:ea:b2:04:36 Orphan Packet from 10.10.3.86 on mobile ……………………………… *emWeb: 00:16:ea:b2:04:36 Username entry (cisco) created for mobile *emWeb: 00:16:ea:b2:04:36 10.10.3.86 WEBAUTH_REQD (8) Change state to WEBAUTH_NOL3SEC (14) last state WEBAUTH_NOL3SEC (14) *emWeb: 00:16:ea:b2:04:36 10.10.3.86 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state RUN (20) *emWeb: 00:16:ea:b2:04:36 Session Timeout is 1800 - starting session timer for the mobile *emWeb: 00:16:ea:b2:04:36 10.10.3.86 RUN (20) Reached PLUMBFASTPATH: from line 5063 *emWeb: May 17 22:25:16.564: 00:16:ea:b2:04:36 10.10.3.86 RUN (20) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 5006 IPv6 Vlan = 3, IPv6 intf id = 8 *emWeb: May 17 22:25:16.564: 00:16:ea:b2:04:36 10.10.3.86 RUN (20) Successfully plumbed mobile rule (ACL ID 255) *pemReceiveTask: May 17 22:25:16.578: 00:16:ea:b2:04:36 10.10.3.86 Added NPU entry of type 1, dtlFlags 0x0
Webauth Redirect
• Клиент в состоянии WEBAUTH_REQD • Отработали ARP и DNS • Пользователь открывает web браузер • WLC “перехватывает” запрос • Клиент перенаправляется на виртуальный интерфейс
• Установление SSL сессии • Отображается страница веб аутентификации
• Пользователь аутентифицируется
Webauth
Client State = “WEBAUTH_REQD“
Работают ARP и DNS
3-Way Handshake HTTP
HTTP GET 200 Response
3-Way Handshake
HTTP(S) GET
Успешная аутентификация
Состояние клиента = “RUN“
Webauth Page Displayed
Убедитесь, что ARP и DNS Работают ARP и DNS
Анализ пакетов с беспроводного адаптера
Webauth Redirect WLC отвечает
SYN, ACK
WLC отвечает с SYN, ACK
Адрес редиректа клиента (Virtual IP/
Name)
Редирект на виртуальный интерфейс
Обмен между клиентом и Webauth….
3-Way Handshake
HTTP GET 200 Response
3-Way Handshake HTTP(S) GET
Webauth Page Displayed
Webauth - Резюме
• Если WEBAUTH_REQD, то клиент еще не аутентифицирован Контроллер пропускает только DHCP, ARP, DNS, Pre-Auth ACL, IPv6*
• Если не сработал редирект, доступен ли клиенту виртуальный IP? • Проблема с сертификатом? Попробуйте выключить HTTPS для HTTP
webauth • Самая распространенная проблема в ARP/DNS
Необзодимо убедиться в том, что клиент на самом деле отправляет TCP SYN (http)
• Если установлено, что TCP SYN отправлен, и WLC не отвечает SYN ACK, тогда это может быть проблемой на стороне WLC § Debug webauth enable <client ip address> § debug client <MAC Address> § debug pm ssh-appgw enable § debug pm ssh-tcp enable
Отладка проблем, связанных с клиентом – Состояние Run
Состояние Run
§ Состояние RUN - это состояние, в котором клиенту разрешено передавать свой трафик
§ Клиент подключен и должен работать
10.10.3.82 DHCP_REQD (7) Change state to RUN (20) last state RUN (20) 10.10.3.82 RUN (20) Reached PLUMBFASTPATH: from line 5273 10.10.3.82 Added NPU entry of type 1, dtlFlags 0x0 или 10.10.3.86 WEBAUTH_REQD (8) Change state to WEBAUTH_NOL3SEC (14) 10.10.3.86 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state RUN (20) Session Timeout is 1800 - starting session timer for the mobile 10.10.3.86 RUN (20) Reached PLUMBFASTPATH: from line 5063 10.10.3.86 Added NPU entry of type 1, dtlFlags 0x0
Отладка клиента– Deauth/Disassoc
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 60
Отключение клиентов
§ Idle Timeout Срабатывает, если от клиента не было трафика Значение по умолчанию 300 секунд
Received Idle-Timeout from AP 00:26:cb:94:44:c0, slot 0 for STA 00:1e:8c:0f:a4:57 apfMsDeleteByMscb Scheduling mobile for deletion with deleteReason 4, reasonCode 4 Scheduling deletion of Mobile Station: (callerId: 30) in 1 seconds apfMsExpireCallback (apf_ms.c:608) Expiring Mobile! Sent Deauthenticate to mobile on BSSID 00:26:cb:94:44:c0 slot 0(caller apf_ms.c:5094)
§ Session Timeout Срабатывает в заранее определенные промежутки времени (по умолчанию 1800 секунд) Заставит WEBAUTH пользователей заново вводить логин/пароль
apfMsExpireCallback (apf_ms.c:608) Expiring Mobile! apfMsExpireMobileStation (apf_ms.c:5009) Changing state for mobile 00:1e:8c:0f:a4:57 on
AP 00:26:cb:94:44:c0 from Associated to Disassociated Scheduling deletion of Mobile Station: (callerId: 45) in 10 seconds apfMsExpireCallback (apf_ms.c:608) Expiring Mobile! Sent Deauthenticate to mobile on BSSID 00:26:cb:94:44:c0 slot 0(caller apf_ms.c:5094)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 61
§ Ручное отключение Из GUI: Remove Client Из CLI: config client deauthenticate <mac address>
Отключение клиентов
§ Смена WLAN Модифицирование настроек WLAN всегда отключает и включает WLAN
apfSendDisAssocMsgDebug (apf_80211.c:1855) Changing state for mobile 00:1e:8c:0f:a4:57 on AP 00:26:cb:94:44:c0 from Associated to Disassociated
Sent Disassociate to mobile on AP 00:26:cb:94:44:c0-0 (reason 1, caller apf_ms.c:4983) Sent Deauthenticate to mobile on BSSID 00:26:cb:94:44:c0 slot 0(caller apf_ms.c:5094)
apfMsDeleteByMscb Scheduling mobile for deletion with deleteReason 6, reasonCode 1 Scheduling deletion of Mobile Station: (callerId: 30) in 1 seconds apfMsExpireCallback (apf_ms.c:608) Expiring Mobile! apfMsExpireMobileStation (apf_ms.c:5009) Changing state for mobile 00:1e:8c:0f:a4:57 on
AP 00:26:cb:94:44:c0 from Associated to Disassociated Sent Deauthenticate to mobile on BSSID 00:26:cb:94:44:c0 slot 0(caller apf_ms.c:5094)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 62
Отключение устройства
Retransmit failure for EAPOL-Key M3 to mobile 00:1e:8c:0f:a4:57, retransmit count 3, mscb deauth count 0 Sent Deauthenticate to mobile on BSSID 00:26:cb:94:44:c0 slot 0(caller 1x_ptsm.c:534)
§ Тайм-аут аутентификации Auth или Key Exchange max-retransmissions
Cleaning up state for STA 00:1e:8c:0f:a4:57 due to event for AP 00:26:cb:94:44:c0(0) apfSendDisAssocMsgDebug (apf_80211.c:1855) Changing state for mobile
00:1e:8c:0f:a4:57 on AP 00:26:cb:94:44:c0 from Associated to Disassociated Sent Disassociate to mobile on AP 00:26:cb:94:44:c0-0 (reason 1, caller apf_ms.c:4983)
§ Перезагрузка ТД (радио)(Мощность/Канал) ТД де-ассоциирует клиентов, но WLC запись о них не удаляет
Отключение устройств - Резюме
§ Клиенты могут быть отключены по несколькими причинам Изменение настроек WLAN, изменение настроек ТД, настроенные интервалы
§ Начните с Client Debug, чтобы понять причину де-аутентификации клиента
§ Дальнейшая отладка Client debug должен дать понимание того, какой тип аутентификации срабатывает Для определения точной причины может потребоваться пакетный дамп или логи клиента
Отладка проблем, связанных с клиентом – Резюме
Client Connectivity
Unified Wireless Network: Troubleshoot Client Issues Document ID: 107585 • Ошибки настройки
Несовпадение SSID Несовпадение настроек безопасности Выключенные WLAN Неподдерживаемые Data-Rates Disabled Clients Radio Preambles
• Функционал Cisco – проблемы со сторонними клиентами Aironet IE MFP
Скорости 802.11n
Troubleshoot 802.11n Speeds Document ID: 112055 Проблемы с настройкой
§ 11n Support Enabled § WMM настроен Allowed или Required § Open или WPA2-AES § Ширина 5ГГЦ каналов § 2.4ГГЦ не поддерживает 40МГц каналы
Подключение ТД к контроллеру
Подключение ТД к контроллеру
ТД запускает алгоритм Hunting для поиска
контроллеров
ТД – процесс поиска контроллеров
§ Discovery Req отсылаются всем контроллерам § Broadcast
§ Доходит до контроллеров, расположенных в одном с ТД VLAN § Используйте “ip helper-address <ip>” с “ip forward-protocol udp”
§ Dynamic DNS: cisco-capwap-controller.domain DHCP: Option 43
§ Configured (nvram) High Availability WLCs – Pri/Sec/Ter/Backup Последний WLC Все контроллеры одной с последним WLC мобилити группы Настроенный вручную на ТД - “capwap ap controller ip address <ip>”
Процесс поиска контроллеров
Точка доступа отсылает discovery request всем контроллерам
X
broadcast
§ Каждый контроллер, получивший Discovery request, отсылает ТД Discover Response
Выбор контроллера/подключение
• Контроллеры отсылают Discovery Response точке доступа Имя, Емкость, Число ТД, Master?, AP-MGR, Нагрузка на AP-MGR
• ТД выбирает одного наилучшего кандидата из High Availability Config: Primary/Secondary/Tertiary/Backup Master Controller С наибольшей емкостью С максимальным соотношением общей емкости к текущей
• ТД отсылает Join Request выбранному кандидату Контроллер отвечает Join Response ТД подключается и получает конфигурацию (или загружает ПО в случае несовпадения)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 72
Отладка подключения ТД
• “Lightweight AP (LAP) Registration to a Wireless LAN Controller (WLC)”, Document ID 70333
• Убедитесь в правильности установки времени на контроллере! • Со стороны ТД:
Debug ip udp Debug capwap client events
• Со стороны контроллера Debug mac addr <AP ethernet mac> Debug capwap [event/error/packet] enable Debug pm pki enable
Заключение
Заключение
Client WLC - show run-config, debug client <mac>, debug dhcp message enable,
debug dot1x <?> enable, debug aaa <?> enable, AP - Show tech, show controller D<0/1> Data - Driver/Supplicant Logs, Wireless Capture, AAA Logs, DHCP Logs
Webauth WLC - (Client debugs), debug webauth enable <IP>, debug pm ssh-appgw enable,
debug pm ssh-tcp enable Client - local capture
Mobility WLC - debug mobility handoff enable, debug mobility keepalive enable <IP> Data - Wired capture
AP Join WLC - debug capwap [events/error/packet] enable AP - debug capwap client events, debug ip udp Data - Wired capture
RRM WLC - show run-config, debug airewave-director <?> AP - debug capwap rm measurements, debug capwap rm rogue
Multicast/Broadcast AP - show capwap mcast, show capwap mcast mgid all Data - Infrastructure Configuration
Voice WLC - (Client debugs), debug cac all enable Data – Wireless capture, Phone traces
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 75
Заключение
Полезные ссылки § Understanding Debug Client on Wireless LAN Controllers (WLCs) Document ID:
100260
§ Unified Wireless Network: Troubleshoot Client Issues Document ID: 107585
§ Troubleshoot 802.11n Speeds Document ID: 112055
§ Troubleshoot a Lightweight Access Point Not Joining a Wireless LAN Controller Document ID: 99948
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKEWN-3011 76
Ваше мнение очень важно для нас!!!