| Оглавление |
|---|
| Примечание |
|---|
Рекомендуется отключать firewall на всех интерфейсах на время диагностики командой ip firewall disable (индивидуально для каждого интерфейса), так диагностика будет более эффективна. Траблшутинг правил firewall не будет описываться в рамках данного раздела. |
Точка доступа не регистрируется на контроллере
Посмотреть статус и другую информацию о точках доступа, обслуживаемых контроллером, можно с помощью команды show wlc ap.
| Блок кода |
|---|
wlc-30# show wlc ap
MAC address Status IP address SW version Hostname Ap-location Uptime Clients(2g/5g/all)
----------------- ---------------- --------------- ---------------- ------------------------------ ------------------------------ ---------------- ------------------
68:13:e2:35:e9:d0 Active 192.168.1.2 2.6.2 build 58 WEP-30L default-location 02,22:53:42 0/0/0
cc:9d:a2:c2:96:c0 Active 192.168.1.5 1.15.0 build 5 WEP-3ax default-location 00,18:53:00 0/0/0 |
Описание статусов:
- Active – точка доступа подключена, сконфигурирована и находится в работе;
- Failed – точка доступа отключена или до нее потерян доступ;
- Applying cfg – соединение по протоколу netconf установлено и точка в данный момент применяет конфигурацию, сгенерированную WLC;
- Cfg Failed – конфигурация для точки предоставлена с ошибками. Подробнее можно посмотреть командой show wlc configuration warnings;
- Ready – точка доступа содержит актуальную версию программного обеспечения, установила пароль из конфигурации и готова к соединению по протоколу netconf;
- Rebooting – точка доступа перезагружается по запросу администратора;
- Reconnecting – точка доступа прекратила netconf-соединение и пытается снова подключиться;
- Registering – точка доступа прошла регистрацию и получила сертификат;
- Sandboxed – соединение по netconf установлено, но на WLC нет конфигурации для данной точки;
- Updating creds – в данный момент точка обновляет пароль, netconf-соединение разорвано;
- Upgrading FW – на точке доступа происходит обновление программного обеспечения.
| Примечание |
|---|
Необходимо обязательно синхронизировать время на контроллере и точках доступа, т. к. корректное время позволяет пройти проверку валидности сертификатов. |
Для корректной регистрации точек доступа на контроллере требуется синхронизация времени. Настройте NTP-сервер, чтобы контроллер получил актуальное время от вышестоящего сервера (пример настройки представлен в разделе Настройка NTP-сервера) . Затем укажите адрес контроллера в качестве NTP-сервера для точек доступа в 42 опции DHCP (пример настройки представлен в разделе Настройка DHCP-сервера), чтобы точки доступа также смогли получить актуальное время.
Точка доступа не регистрируется на контроллере с ошибкой: AP enter to Failed state, desc: 'data-tunnel:status=can-not-create-tunnel'
1. Проверяем, что radius-server local включен.
| Блок кода |
|---|
wlc# show running-config radius-server local
radius-server local
virtual-server default
enable
exit
enable
exit |
2. Ключ в host должен совпадать с ключом, указанным для nas local в radius-server local - эта связка обязательна для поднятия туннелей.
| Блок кода |
|---|
wlc# show running-config aaa
radius-server local
nas local
key ascii-text encrypted 8CB5107EA7005AFF
network 127.0.0.1/32
exit
enable
exit
radius-server host 127.0.0.1
key ascii-text encrypted 8CB5107EA7005AFF
exit |
3. После устранения проблем перерегистрировать ТД на контроллере командой:
| Блок кода |
|---|
wlc# clear wlc ap |
Точка доступа не регистрируются на контроллере с ошибкой: no firmware image for upgrade
Версия ТД не совместима с версией контроллера, поэтому ТД не может пройти регистрацию, необходимо загрузить ПО точек доступа на контроллер для их обновления (команды для обновления точек доступа представлены в разделе Обновление точек доступа). Просмотреть информацию о минимальной поддерживаемой версии ПО для каждой модели точки доступа, а также о загруженных на WLC актуальных файлах ПО ТД можно командой:
| Блок кода |
|---|
wlc# show wlc ap firmware |
Точка доступа не регистрируются на контроллере с ошибкой: authentication error: failed to connect AP
1. Проверить, получила ли точка доступа адрес.
2. Проверить корректное написание 43 опции 15 подопции в конфигурации DHCP-сервера, необходимой для того, чтобы точка доступа автоматически пришла на контроллер и включилась в работу под его управлением. Опция содержит HTTPS URL контроллера и имеет вид https://192.168.1.1:8043/ и не должна содержать пробелы или другие лишние символы.
| Блок кода |
|---|
wlc# show running-config dhcp server pool ap-pool
vendor-specific
suboption 15 ascii-text "https://192.168.1.1:8043"
exit |
3. Если в блоке ip-pool настроена подсеть отличная от дефолтного значения 0.0.0.0/0, убедитесь, что ТД входят в список разрешенных IP-адресов.
| Блок кода |
|---|
wlc# show running-config wlc ip-pool default-ip-pool
ip-pool default-ip-pool
description "default-ip-pool"
ap-location default-location
network 0.0.0.0/0 |
Точка доступа не регистрируются на контроллере с ошибкой: AP enter to Failed state, desc: 'CoA timeout expired
1.Убедитесь, что точки доступа получают 42 опцию DHCP с адресом NTP-сервера и на них актуальное время.
| Блок кода |
|---|
WEP-200L(root):/# date
Mon Aug 11 14:35:31 WIT 2025 |
2. Проверьте, что в softgre-controller в качестве nas-ip-address указано 127.0.0.1.
| Блок кода |
|---|
wlc# show running-config softgre-controller
softgre-controller
nas-ip-address 127.0.0.1
data-tunnel configuration wlc
aaa radius-profile default_radius
keepalive-disable
service-vlan add 3
enable
exit |
3. Для организации туннеля точка доступа - контроллер, требуется Radius-авторизация на контроллере, она не проксируется на внешний Radius, поэтому в блоке профиля "aaa radius-profile default_radius" параметр "radius-server host" должен быть "127.0.0.1". Убедитесь, что данный блок настроен верно.
| Блок кода |
|---|
wlc# show running-config aaa
radius-server host 127.0.0.1
key ascii-text encrypted 8CB5107EA7005AFF
exit
aaa radius-profile default_radius
radius-server host 127.0.0.1
exit |
Клиент не получает адрес при подключении к точке доступа
Клиент не получает адрес при подключении к точке доступа - схема с SoftGRE-туннелями
1. Проверьте, что локация работает в режиме туннелирования, должен быть включен режим mode tunnel:
| Блок кода |
|---|
wlc# show running-config wlc ap-location default-location
ap-location default-location
description "default-location"
mode tunnel
ap-profile default-ap
airtune-profile default_airtune
ssid-profile default-ssid
exit |
2. Проверить блок настроек ssid-profile, в нем должен быть клиентский VLAN в команде vlan-id.
| Блок кода |
|---|
wlc# show running-config wlc ssid-profile
ssid-profile default-ssid
description "default-ssid"
ssid "default-ssid"
radius-profile default-radius
vlan-id 3
security-mode WPA2_1X
802.11kv
band 2g
band 5g
enable
exit |
3. Проверить блок настроек softgre-controller, в нем должен быть клиентский VLAN в команде service-vlan.
| Блок кода |
|---|
wlc# show running-config softgre-controller
softgre-controller
nas-ip-address 127.0.0.1
data-tunnel configuration wlc
aaa radius-profile default_radius
keepalive-disable
service-vlan add 3
enable
exit |
4. Проверить, включен ли функционал автоматического поднятия SoftGRE-туннелей:
| Блок кода |
|---|
wlc# show running-config tunnels
tunnel softgre 1
mode data
local address 192.168.1.1
default-profile
enable
exit |
5. Проверить, что 12 подопция 43 опции, необходимую для построения SoftGRE data туннелей, задана корректна, не должно быть пробелов, точек и других символов.
| Блок кода |
|---|
wlc# show running-config dhcp server pool ap-pool
vendor-specific
suboption 12 ascii-text "192.168.1.1"
exit |
6. Убедиться, что создан бридж для терминации клиентского трафика и указан пользовательский vlan.
| Блок кода |
|---|
wlc# show running-config bridges
bridge 3
vlan 3
mtu 1458
security-zone users
ip address 192.168.2.1/24
no spanning-tree
enable
exit |
Клиент не получает адрес при подключении к точке доступа - схема Local switching
| Примечание |
|---|
Local switching - режим VAP для точек доступа Eltex, который работает только в схеме с GRE-туннелированием, и позволяет выпускать трафик клиентов отдельного SSID с точки доступа во VLAN без туннеля. Не используется в схеме без GRE. |
1. Убедиться, что в настройках SSID включен режим local-switching и указан номер VLAN для передачи пользовательского трафика.
| Блок кода |
|---|
wlc# show running-config wlc ssid-profile default-ssid
ssid ssid-profile default-ssid
description "default-ssid"
ssid "default-ssid"
radius-profile default-radius
vlan-id 3
security-mode WPA2_1X
local-switching
802.11kv
band 2g
band 5g
enable
exit |
2. Проверить, что на интерфейсе для подключения точек доступа настроен вывод пользовательского трафика с тегом.
| Блок кода |
|---|
wlc# show running-config interfaces
interface gigabitethernet 1/0/3
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3
exit |
4. Проверить, что создан бридж для клиентского трафика и указан пользовательский vlan.
| Блок кода |
|---|
wlc# show running-config bridges
bridge 3
vlan 3
mtu 1458
security-zone users
ip address 192.168.2.1/24
no spanning-tree
enable
exit |
5. Проверить, что на коммутаторе настроен VLAN для передачи пользовательского трафика. Например:
| Блок кода |
|---|
Настройка порта в сторону точек доступа:
MES2324P#configure
MES2324P(config)#interface GigabitEthernet 1/0/3
MES2324P(config-if)#switchport mode trunk
MES2324P(config-if)#switchport trunk allowed vlan add 3 # VLAN 3 — для передачи пользовательского трафика
MES2324P(config-if)#switchport trunk native vlan 5 # VLAN 5 — VLAN управления точкой доступа
MES2324P(config-if)#exit
Настройка порту в сторону WLC:
MES2324P(config)#interface GigabitEthernet 1/0/5
MES2324P(config-if)# switchport mode trunk
MES2324P(config-if)#switchport trunk allowed vlan add 3,5
MES2324P(config-if)#exit |
Клиент не получает адрес при подключении к точке доступа - схема без GRE туннелирования
| Примечание |
|---|
Если не используется схема с туннелированием (точкам доступа не выдается 12 подопция DHCP), то не требуется указывать local-switching в настройках ssid. |
1. Убедиться, что точкам доступа не выдается 12 подопция 43 опции, необходимая для построения SoftGRE data туннелей. После удаления опции необходимо перезагрузить точку доступа.
| Блок кода |
|---|
wlc# show running-config dhcp server pool ap-pool
ip dhcp-server pool ap-pool
vendor-specific
suboption 15 ascii-text "https://192.168.1.1:8043"
exit |
2. Проверить, что в локации отключен режим mode tunnel:
| Блок кода |
|---|
wlc# show running-config wlc ap-location default-location
ap-location default-location
description default-location
radio-2g-profile default_2g
radio-5g-profile default_5g
ap-profile default-ap
ssid-profile default-ssid
exit |
3. Убедиться, что в настройках SSID отключен режим local-switching и указан номер VLAN для передачи пользовательского трафика.
| Блок кода |
|---|
wlc# show running-config interfaces
ssid ssid-profile default-ssid
description "default-ssid"
ssid "default-ssid"
radius-profile default-radius
vlan-id 3
security-mode WPA2_1X
802.11kv
band 2g
band 5g
enable
exit |
4. Проверить, что на интерфейсе для подключения точек доступа настроен вывод пользовательского трафика с тегом.
| Блок кода |
|---|
wlc# show running-config interfaces
interface gigabitethernet 1/0/3
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3
exit |
5. Проверить, что создан бридж для терминации клиентского трафика и указан пользовательский vlan.
| Блок кода |
|---|
wlc# show running-config bridges
bridge 3
vlan 3
mtu 1458
security-zone users
ip address 192.168.2.1/24
no spanning-tree
enable
exit |
6. Также рекомендуем удалить настройки для конфигурации SoftGRE-туннелей.
| Блок кода |
|---|
wlc(config)# no tunnel softgre 1
wlc(config)# no softgre-controller |
7. Проверить, что на коммутаторе настроен VLAN для передачи пользовательского трафика. Например:
| Блок кода |
|---|
Настройка порта в сторону точек доступа:
MES2324P#configure
MES2324P(config)#interface GigabitEthernet 1/0/3
MES2324P(config-if)#switchport mode trunk
MES2324P(config-if)#switchport trunk allowed vlan add 3 # VLAN 3 — для передачи пользовательского трафика
MES2324P(config-if)#switchport trunk native vlan 5 # VLAN 5 — VLAN управления точкой доступа
MES2324P(config-if)#exit
Настройка порту в сторону WLC:
MES2324P(config)#interface GigabitEthernet 1/0/5
MES2324P(config-if)# switchport mode trunk
MES2324P(config-if)#switchport trunk allowed vlan add 3,5
MES2324P(config-if)#exit |
Ошибка сертификатов: error - certificate is not yet valid
| Блок кода |
|---|
wlc(change-expired-password)# commit
error - certificate is not yet valid
check radius: got 1 errors during validation
check cert and ca in radius local: certificate does not match ca
error - can't commit configuration.
|
Если дата и время установлены некорректно, при commit может появиться ошибка "error - certificate is not yet valid". Для решения этой проблемы необходимо установить дату и время через u-boot.
Зайдите в загрузчик через консольный интерфейс. В процессе загрузки устройства после появления сообщения:
| Блок кода |
|---|
Autobooting in 5 seconds, enter to command line available now
u-boot>
|
Введите слово stop.
| Примечание |
|---|
Актуально только для устройств WLC-30 и ESR-30. |
Ввведите команды date reset для сброса даты и reset для перезагрузки устройства.
| Блок кода |
|---|
u-boot> date reset
u-boot> reset |
Для всех остальных устройств введите команды для сброса даты, конфигурации и reset для перезагрузки устройства.
| Блок кода |
|---|
u-boot> clear_mtd_data
u-boot> reset |