Ошибка "error - certificate is not yet valid" при comit
error - certificate is not yet valid check radius: got 1 errors during validation check cert and ca in radius local: certificate does not match ca
Если дата и время установлены некорректно, при commit может появиться ошибка "error - certificate is not yet valid". Для решения этой проблемы необходимо установить дату и время через u-boot.
Актуально только для устройств WLC-30 и ESR-30.
Зайдите в загрузчик через консольный интерфейс. В процессе загрузки устройства после появления сообщения:
Autobooting in 5 seconds, enter to command line available now u-boot>
Введите слово stop.
Далее внесите команды date reset для сброса даты и reset для перезагрузки устройства.
u-boot> date reset u-boot> reset
Как снизить MTU на ТД
ТД может получить значение MTU через DHCP option 26. Снижение MTU требуется, если ТД работает на канале с заниженным MTU, например через VPN. Значение в option 26 нужно задавать в HEX. Пример настройки MTU 1400 DEC (0578 HEX):
ip dhcp-server pool ap-pool
network 192.168.1.0/24
address-range 192.168.1.2-192.168.1.254
default-router 192.168.1.1
dns-server 192.168.1.1
option 26 hex-bytes 0578
option 42 ip-address 192.168.1.1
vendor-specific
suboption 12 ascii-text "192.168.1.1"
suboption 15 ascii-text "https://192.168.1.1:8043"
exit
exit
ТД применит новое значение MTU после перезагрузки. Пример команды:
reload wlc ap <mac>
Для схемы с туннелированием клиентского трафика, нужно настроить в профиле SoftGRE туннеля, аналогичное MTU как на ТД. Пример настройки:
tunnel softgre 1 mode data local address 192.168.1.1 default-profile mtu 1400 enable exit
Туннель SoftGRE применит новое значение MTU после переподнятия. Пример команды для одной ТД и для всех:
clear wlc ap <mac> clear wlc ap
Перезагрузка ТД и переподнятие туннеля вызовет перерыв сервиса у клиентов
Не удалось получить маршруты по BGP и/или OSPF, сконфигурированных в VRF
Соседство успешно устанавливается, но в записи маршрутов в RIB отказано:
%ROUTING-W-KERNEL: Can not install route. Reached the maximum number of BGP routes in the RIB
Необходимо выделить ресурс RIB для VRF, по умолчанию он равен нулю. Делаем это в режиме конфигурирования VRF:
wlc(config)# ip vrf <NAME> wlc(config-vrf)# ip protocols ospf max-routes 12000 wlc(config-vrf)# ip protocols bgp max-routes 1200000 wlc(config-vrf)# end
Закрываются сессии SSH/Telnet, проходящие через контроллер WLC
Для поддержания сессии активной необходимо настроить передачу keepalive-пакетов. Опция отправки keepalive настраивается в клиенте SSH, например, для клиента PuTTY раздел «Соединение».
В свою очередь, на контроллере можно выставить время ожидания до закрытия неактивных сессий TCP (в примере выставлен 1 час):
wlc(config)# ip firewall sessions tcp-estabilished-timeout 3600
На интерфейсе был отключен firewall (ip firewall disable). После внесения этого интерфейса в security zone, удаления из конфигурации ip firewall disable и применения изменений – доступ для активных сессий с данного порта не закрылся согласно правилам security zone-pair.
Изменения в конфигурации Firewall будут действовать только для новых сессий, сброса активных сессий в Firewall не происходит. Очистить активные сессии в firewall можно командой:
wlc# clear ip firewall session
Как полностью очистить конфигурация WLC и как сбросить на заводскую конфигурацию?
Очистка конфигурации происходит путем копирования пустой конфигурации в candidate-config и применения его в running-config.
wlc# copy system:default-config system:candidate-config
Процесс сброса на заводскую конфигурацию аналогичен.
wlc# copy system:factory-config system:candidate-config
Как привязать subinterface к созданным VLAN?
При создании саб-интерфейса VLAN создается и привязывается автоматически (прямая зависимость индекс sub – VID).
wlc(config)# interface gigabitethernet 1/0/1.100
После применения можно наблюдать информационные сообщения:
2016-07-14T012:46:24+00:00 %VLAN: creating VLAN 100
Есть ли функционал в контроллерах WLC для анализа трафика?
В контроллерах WLC реализована возможность анализировать трафик на интерфейсах из CLI. Сниффер запускается командой monitor:
wlc# monitor gigabitethernet 1/0/1
Как настроить ip prefix-list 0.0.0.0/0?
Ниже приведен пример конфигурации префикс-листа, разрешающего прием маршрута по умолчанию:
wlc(config)# ip prefix-list eltex wlc(config-pl)# permit default-route
Проблема прохождения асинхронного трафика
В случае организации сети с асинхронной маршрутизацией, Firewall будет запрещать "неправильный (ошибочный)" входящий трафик (не открывающий новое соединение и не принадлежащий никакому установленному соединению) из соображений безопасности.
Разрешающее правило в Firewall не решит поставленную задачу для подобных схем. Решить задачу можно, отключив Firewall на входном интерфейсе:
wlc(config-if-gi)# ip firewall disable
Как можно сохранить локальную копию конфигурации контроллера?
Если необходимо скопировать текущую running или candidate – конфигурацию на самом контроллере – можно воспользоваться командой copy с указанием в качестве источника копирования "system:running-config" или "system:candidate-config", а в качестве назначения – файл в разделе "flash:data/".
wlc# copy system:candidate-config flash:data/temp.txt
Также существует возможность копирования ранее сохраненных конфигурационных файлов (автоматически из раздела flash:backup/ или вручную из раздела flash:data/) в candidate-конфигурацию:
wlc# copy flash:data/temp.txt system:candidate-config wlc# copy flash:backup/config_20190918_164455 system:candidate-config