| A Shared Block | |||||
|---|---|---|---|---|---|
| |||||
|
Оглавление
| Примечание | ||
|---|---|---|
Чтобы повысить точность диагностики, рекомендуется временно отключать firewall на всех интерфейсах. Для этого используйте команду ip firewall disable на каждом интерфейсе. Траблшутинг правил firewall не будет описываться в рамках данного раздела. Начиная с версии 1.36.1 firewall можно отключить глобально:
|
...
- Active – точка доступа подключена, сконфигурирована и находится в работе;
- Failed – в процессе работы точки доступа что-то пошло не так, NETCONF-соединение при этом может присутствовать;
- Applying cfg – NETCONF-соединение установлено и точка в данный момент применяет конфигурацию, сгенерированную контроллером;
- Cfg Failed – конфигурация для точки доступа предоставлена с ошибками. Подробнее можно посмотреть командой show wlc configuration warnings;
- Ready – точка доступа содержит актуальную версию программного обеспечения, установила пароль из конфигурации и готова к установлению NETCONF-соединения, ожидает подключения со стороны контроллера;
- Rebooting – точка доступа перезагружается по запросу администратора;
- Reconnecting – точка доступа прекратила NETCONF-соединение и пытается снова подключиться;
- Registering – точка доступа прошла регистрацию и получила сертификат;
- Sandboxed – NETCONF-соединение установлено, но на WLC нет конфигурации для данной точки;
- Updating creds – точка доступа обновляет пароль, NETCONF-соединение разорвано;
- Upgrading FW – точка доступа обновляет программное обеспечение;
- Pre-configured – точка доступа присутствует в конфигурации, но не на устройстве;
- Lost – точка доступа отключена или до нее потерян доступ, NETCONF-соединение отсутствует.
...
Для корректной регистрации точек доступа на контроллере требуется синхронизация времени. Настройте NTP-сервер, чтобы контроллер получил актуальное время от вышестоящего сервера (пример настройки представлен в разделе Настройка NTP-сервера). Затем укажите адрес контроллера в качестве NTP-сервера для точек доступа в 42 опции DHCP (пример настройки представлен в разделе Настройка DHCP-сервера), чтобы точки доступа также смогли получить актуальное время.
...
Версия ТД не совместима с версией контроллера, поэтому ТД не может пройти регистрацию. Необходимо загрузить ПО точек доступа на контроллер для их обновления (команды для обновления точек доступа представлены в разделе Обновление точек доступа). Просмотреть информацию о минимальной поддерживаемой версии ПО для каждой модели точки доступа, а также о загруженных на контроллере актуальных файлах ПО ТД можно командой:
...
1. Проверьте, получила ли точка доступа адрес.
2. Проверьте корректное написание 43 опции 15 подопции в конфигурации DHCP-сервера, необходимой для того, чтобы точка доступа автоматически пришла на контроллер и включилась в работу под его управлением. Опция содержит HTTPS URL контроллера и , имеет вид https://192.168.1.1:8043/ и не должна содержать пробелы или другие лишние символы.
...
| Блок кода |
|---|
wlc# show running-config aaa radius-server host 127.0.0.1 key ascii-text encrypted 8CB5107EA7005AFF exit aaa radius-profile default_radius radius-server host 127.0.0.1 exit |
Точка доступа не регистрируется на контроллере с цикличной сменой статусов в service-activator
...
1. Для диагностирования проблемы проверьте журнал точек доступа на контроллере WLC: циклическая смена статусов в service-activator указывает на проблему подключения.
...
Проверьте syslog.log на точках доступа: . Для этого можно подключиться к ней по ssh и проверить наличие ошибок SSL-соединения свидетельствует , свидетельствующих о сбое при установлении соединения с контроллером.
2. Узнайте выданный точке доступа IP-адрес с помощью команды show wlc service-activator aps.
| Блок кода |
|---|
Aprwlc# 10 03:43:41 WEP-550K daemon.info WLC-SA[10709]: Successfully connected to https://192.168.1.1:8043/ott/register/ap Apr 10 03:43:41 WEP-550K daemon.info WLC-SA[10709]: Received SA_SERVER_CODE_AUTH_REQUIRED from https://192.168.1.1:8043 Apr 10 03:43:42 WEP-550K daemon.info WLC-SA[10720]: Successfully connected to https://192.168.1.1:8043/ott/wait/ap Apr 10 03:43:42 WEP-550K daemon.info SA_SERVER[10719]: 192.168.1.1 successfully connected to the SA Server Apr 10 03:43:42 WEP-550K daemon.info SA_SERVER[10719]: Received a certificate from 192.168.1.1 Apr 10 03:43:43 WEP-550K daemon.err WLC-SA[10739]: Connection to https://192.168.1.1:8044/ott/register/ap failed SSL connect error: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed, reason: Hostname mismatch |
2. Проверьте корректное написание 43 опции 15 подопции в конфигурации DHCP-сервера, необходимой для того, чтобы точка доступа автоматически пришла на контроллер и включилась в работу под его управлением. Опция содержит HTTPS URL контроллера и имеет вид https://192.168.1.1:8043/ и не должна содержать пробелы или другие лишние символы.
| Блок кода |
|---|
wlc# show running-config dhcp server pool ap-pool
vendor-specific
suboption 15 ascii-text "https://192.168.1.1:8043"
exit |
3. Убедитесь, что параметр outside-address в конфигурации WLC совпадает с адресом, указанным в 43 опции 15 подопции DHCP-сервера. Только при этом условии точка доступа сможет корректно зарегистрироваться на контроллере.
| Блок кода |
|---|
wlc# sh running-config wlc
wlc
outside-address 192.168.1.1 |
Клиент не получает адрес при подключении к точке доступа
Клиент не получает адрес при подключении к точке доступа – схема с SoftGRE-туннелями
1. Проверьте, что локация работает в режиме туннелирования. Должен быть включен режим mode tunnel:
| Блок кода |
|---|
wlc# show running-config wlc ap-location default-location
ap-location default-location
description "default-location"
mode tunnel
ap-profile default-ap
airtune-profile default_airtune
ssid-profile default-ssid
exit |
2. Проверьте блок настроек ssid-profile. В нем должен быть клиентский VLAN в команде vlan-id.
| Блок кода |
|---|
wlc# show running-config wlc ssid-profile
ssid-profile default-ssid
description "default-ssid"
ssid "default-ssid"
radius-profile default-radius
vlan-id 3
security-mode WPA2_1X
802.11kv
band 2g
band 5g
enable
exit |
3. Проверьте блок настроек softgre-controller. В нем должен быть клиентский VLAN в команде service-vlan.
| Блок кода |
|---|
wlc# show running-config softgre-controller
softgre-controller
nas-ip-address 127.0.0.1
data-tunnel configuration wlc
aaa radius-profile default_radius
keepalive-disable
service-vlan add 3
enable
exit |
Scroll Pagebreak
4. Проверьте, включен ли функционал автоматического поднятия SoftGRE-туннелей:
| Блок кода |
|---|
wlc# show running-config tunnels
tunnel softgre 1
mode data
local address 192.168.1.1
default-profile
enable
exit |
5. Проверьте, что 12 подопция 43 опции, необходимая для построения SoftGRE data-туннелей, задана корректно: не должно быть пробелов, точек и других символов.
| Блок кода |
|---|
wlc# show running-config dhcp server pool ap-pool
vendor-specific
suboption 12 ascii-text "192.168.1.1"
exit |
6. Убедитесь, что создан бридж для терминации клиентского трафика и указан пользовательский VLAN.
| Блок кода |
|---|
wlc# show running-config bridges
bridge 3
vlan 3
mtu 1458
security-zone users
ip address 192.168.2.1/24
no spanning-tree
enable
exit |
...
show wlc service-activator aps
MAC address Status IP address Board type SW version HW version Serial number
----------------- ------------- --------------- ---------------- ---------------- ----------- --------------
0c:ee:20:00:10:40 Join-auto 192.168.1.2 WEP-550K 1.3.0 build 99 1v2 WP61000031 |
3. Перейдите по ssh на точку доступа (пароль по умолчанию – admin/password) и воспользуйтесь командой monitoring events.
| Блок кода |
|---|
wlc# ssh admin 192.168.1.2
admin@192.168.1.2's password:
WEP-550K(root):/# monitoring events
Apr 10 03:43:41 WEP-550K daemon.info WLC-SA[10709]: Successfully connected to https://192.168.1.1:8043/ott/register/ap
Apr 10 03:43:41 WEP-550K daemon.info WLC-SA[10709]: Received SA_SERVER_CODE_AUTH_REQUIRED from https://192.168.1.1:8043
Apr 10 03:43:42 WEP-550K daemon.info WLC-SA[10720]: Successfully connected to https://192.168.1.1:8043/ott/wait/ap
Apr 10 03:43:42 WEP-550K daemon.info SA_SERVER[10719]: 192.168.1.1 successfully connected to the SA Server
Apr 10 03:43:42 WEP-550K daemon.info SA_SERVER[10719]: Received a certificate from 192.168.1.1
Apr 10 03:43:43 WEP-550K daemon.err WLC-SA[10739]: Connection to https://192.168.1.1:8044/ott/register/ap failed SSL connect error: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed, reason: Hostname mismatch |
| Примечание |
|---|
Наличие ошибкиfailed SSL connect error: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed, reason: Hostname mismatchсигнализирует о несовпадении адресов в 43 опции 15 подопции DHCP-сервера и outside-address в блоке конфигурации wlc. |
4. Проверьте корректное написание 43 опции 15 подопции в конфигурации DHCP-сервера, необходимой для того, чтобы точка доступа автоматически пришла на контроллер и включилась в работу под его управлением. Опция содержит HTTPS URL контроллера, имеет вид https://192.168.1.1:8043/ и не должна содержать пробелы или другие лишние символы.
| Блок кода |
|---|
wlc# show running-config dhcp server pool ap-pool
ip dhcp-server pool ap-pool
network 192.168.1.0/24
address-range 192.168.1.2-192.168.1.254
default-router 192.168.1.1
dns-server 192.168.1.1
option 42 ip-address 192.168.1.1
vendor-specific
suboption 12 ascii-text "192.168.1.1"
suboption 15 ascii-text "https://192.168.1.1:8043" <------------------------
exit
exit |
5. Убедитесь, что параметр outside-address в конфигурации WLC совпадает с адресом, указанным в 43 опции 15 подопции DHCP-сервера. Только при этом условии точка доступа сможет корректно зарегистрироваться на контроллере.
| Блок кода |
|---|
wlc# sh running-config wlc
wlc
outside-address 192.168.1.1 |
Клиент не получает адрес при подключении к точке доступа
Клиент не получает адрес при подключении к точке доступа – схема с SoftGRE-туннелями
1. Проверьте, что локация работает в режиме туннелирования. Должен быть включен режим mode tunnel:
| Блок кода |
|---|
wlc# show running-config wlc ap-location default-location
ap-location default-location
description "default-location"
mode tunnel
ap-profile default-ap
airtune-profile default_airtune
ssid-profile default-ssid
exit |
2. Проверьте блок настроек ssid-profile. В нем должен быть клиентский VLAN в команде vlan-id.
| Блок кода |
|---|
wlc# show running-config wlc ssid-profile
ssid-profile default-ssid
description "default-ssid"
ssid "default-ssid"
radius-profile default-radius
vlan-id 3
security-mode WPA2_1X
802.11kv
band 2g
band 5g
enable
exit |
3. Проверьте блок настроек softgre-controller. В нем должен быть клиентский VLAN в команде service-vlan.
| Блок кода |
|---|
wlc# show running-config softgre-controller
softgre-controller
nas-ip-address 127.0.0.1
data-tunnel configuration wlc
aaa radius-profile default_radius
keepalive-disable
service-vlan add 3
enable
exit |
Scroll Pagebreak
4. Проверьте, включен ли функционал автоматического поднятия SoftGRE-туннелей:
| Блок кода |
|---|
wlc# show running-config tunnels
tunnel softgre 1
mode data
local address 192.168.1.1
default-profile
enable
exit |
5. Проверьте, что 12 подопция 43 опции, необходимая для построения SoftGRE data-туннелей, задана корректно: не должно быть пробелов, точек и других символов.
| Блок кода |
|---|
wlc# show running-config dhcp server pool ap-pool
ip dhcp-server pool ap-pool
network 192.168.1.0/24
address-range 192.168.1.2-192.168.1.254
default-router 192.168.1.1
dns-server 192.168.1.1
option 42 ip-address 192.168.1.1
vendor-specific
suboption 12 ascii-text "192.168.1.1" <------------------------
suboption 15 ascii-text "https://192.168.1.1:8043"
exit
exit |
6. Убедитесь, что создан бридж для терминации клиентского трафика и указан пользовательский VLAN.
| Блок кода |
|---|
wlc# show running-config bridges
bridge 3
vlan 3
mtu 1458
security-zone users
ip address 192.168.2.1/24
no spanning-tree
enable
exit |
7. Проверьте, что параметр force-up, назначен для vlan с пользовательским трафиком.
| Блок кода |
|---|
wlc# show running-config vlans
vlan 3
force-up <--------------------------
exit
vlan 2
exit |
Scroll Pagebreak
8. Убедитесь, что бридж для терминации клиентского трафика в состоянии up.
| Блок кода |
|---|
wlc# show interfaces status
Interface Admin Link MTU MAC address Last change Mode
State State (d,h:m:s)
-------------------- ---------- ----- ----- ----------------- ------------- ------------
gi1/0/1 Up Up 1500 90:54:b7:3a:35:21 00,03:47:21 switchport
gi1/0/2 Up Down 1500 90:54:b7:3a:35:22 03,17:28:58 routerport
gi1/0/3 Up Up 1500 90:54:b7:3a:35:23 00,01:29:28 switchport
gi1/0/4 Up Down 1500 90:54:b7:3a:35:24 03,17:28:58 routerport
gi1/0/5 Up Down 1500 90:54:b7:3a:35:25 03,17:28:58 routerport
gi1/0/6 Up Down 1500 90:54:b7:3a:35:26 03,17:28:58 routerport
br1 Up Up 1500 90:54:b7:3a:35:20 00,03:47:18 routerport
br2 Up Up 1500 90:54:b7:3a:35:20 00,03:47:18 routerport
br3 Up Up 1458 90:54:b7:3a:35:20 03,17:28:48 routerport <-------------------------- |
Клиент не получает адрес при подключении к точке доступа – схема Local switching
| Примечание |
|---|
Local switching – режим VAP для точек доступа Eltex, который работает только в схеме с GRE-туннелированием и позволяет выпускать трафик клиентов отдельного SSID с точки доступа во VLAN без туннеля. |
Ниже приведен пример настройки для выпуска клиентского трафика с точки доступа по L2 с терминации на WLC.
1. Убедитесь, что в настройках SSID включен режим local-switching и указан номер VLAN для передачи пользовательского трафика.
| Блок кода |
|---|
wlc# show running-config wlc ssid-profile default-ssid ssid ssid-profile default-ssid description "default-ssid" ssid "default-ssid" radius-profile default-radius vlan-id 3 security-mode WPA2_1X local-switching 802.11kv band 2g band 5g enable exitexit |
Scroll Pagebreak
2. Проверьте, что на интерфейсе для подключения в сторону точек доступа настроен вывод прием пользовательского трафика с тегомVLAN, заданный в SSID.
| Блок кода |
|---|
wlc# show running-config interfaces interface gigabitethernet 1/0/3 mode switchport switchport mode trunk switchport trunk allowed vlan add 3 exit |
...
| Блок кода |
|---|
wlc# show running-config bridges bridge 3 vlan 3 mtu 1458 security-zone users ip address 192.168.2.1/24 no spanning-tree enable exit |
Scroll Pagebreak
5. Проверьте, что на коммутаторе настроен VLAN для передачи пользовательского трафика. Например:
| Блок кода |
|---|
Настройка порта в сторону точек доступа: MES2324P#configure MES2324P(config)#interface GigabitEthernet 1/0/3 MES2324P(config-if)#switchport mode trunk MES2324P(config-if)#switchport trunk allowed vlan add 3 # VLAN 3 — для передачи пользовательского трафика MES2324P(config-if)#switchport trunk native vlan 5 # VLAN 5 — VLAN управления точкой доступа MES2324P(config-if)#exit Настройка портупорта в сторону WLC: MES2324P(config)#interface GigabitEthernet 1/0/5 MES2324P(config-if)# switchport mode trunk MES2324P(config-if)#switchport trunk allowed vlan add 3,5 MES2324P(config-if)#exit |
...
| Блок кода |
|---|
wlc# show running-config wlc ap-location default-location ap-location default-location description default-location radio-2g-profile default_2g radio-5g-profile default_5g ap-profile default-ap ssid-profile default-ssid exit |
Scroll Pagebreak
3. Убедитесь, что в настройках SSID SSID отключен режим local-switching и указан номер VLAN для передачи пользовательского трафика.
...
| Блок кода |
|---|
wlc# show running-config interfaces interface gigabitethernet 1/0/3 mode switchport switchport mode trunk switchport trunk allowed vlan add 3 exit |
Scroll Pagebreak
5. Проверьте, что создан бридж для терминации клиентского трафика и указан пользовательский VLAN.
| Блок кода |
|---|
wlc# show running-config bridges bridge 3 vlan 3 mtu 1458 security-zone users ip address 192.168.2.1/24 no spanning-tree enable exit |
6. Также рекомендуем рекомендуется удалить настройки для конфигурации SoftGRE-туннелей.
| Блок кода |
|---|
wlc(config)# no tunnel softgre 1 wlc(config)# no softgre-controller |
Scroll Pagebreak
7. Проверьте, что на коммутаторе настроен VLAN для передачи пользовательского трафика. Например:
...
| Примечание |
|---|
Актуально только для устройств WLC-30 и ESR-30 на версии 1.26 и выше, для остальных устройств WLC команда доступна с версии 1.30. |
Введите команды date reset для сброса даты и reset для перезагрузки устройства.
...
Для всех остальных устройств введите команды для сброса даты, конфигурации и команды для очистки раздела data clear_mtd_data и reset для перезагрузки устройства. , если версия ПО 1.26 или ниже.
| Блок кода |
|---|
u-boot> clear_mtd_data u-boot> reset |
...
Проблема 4: После применения скорости все равно не поднимаются интерфейсы.
Одна из возможных причин – кабель/sfp-трансивер. Помимо физической исправности необходимо перепроверить, на какую скорость он рассчитан.
...