Рекомендуется отключать firewall на всех интерфейсах на время диагностики для более эффективной диагностики. Для отключения firewall используйте команду ip firewall disable (индивидуально для каждого интерфейса).
Траблшутинг правил firewall не будет описываться в рамках данного раздела.
Начиная с версии 1.36.1 firewall можно отключить глобально:
wlc-30(config)# ip firewall disable
Точка доступа не регистрируется на контроллере
Посмотреть статус и другую информацию о всех точках доступа, обслуживаемых контроллером, можно с помощью команды show wlc ap all.
wlc# show wlc ap all
MAC address Status IP address SW version Hostname Ap-location Uptime Clients
(2g/5g/6g/all)
----------------- ---------------- --------------- ---------------- ------------------------------ ------------------------------ ---------------- -------------------
68:13:e2:35:e9:d0 Active 192.168.1.2 2.9.0 build 842 WEP-30L default-location 02,22:53:42 0/0/-/0
cc:9d:a2:c2:96:c0 Active 192.168.1.5 1.15.0 build 42 WEP-3ax default-location 00,18:53:00 0/0/-/0
Описание статусов:
- Active – точка доступа подключена, сконфигурирована и находится в работе;
- Failed – в процессе работы точки доступа что-то пошло не так, NETCONF-соединение при этом может присутствовать;
- Applying cfg – NETCONF-соединение установлено и точка в данный момент применяет конфигурацию, сгенерированную контроллером;
- Cfg Failed – конфигурация для точки доступа предоставлена с ошибками. Подробнее можно посмотреть командой show wlc configuration warnings;
- Ready – точка доступа содержит актуальную версию программного обеспечения, установила пароль из конфигурации и готова к установлению NETCONF-соединения, ожидает подключения со стороны контроллера;
- Rebooting – точка доступа перезагружается по запросу администратора;
- Reconnecting – точка доступа прекратила NETCONF-соединение и пытается снова подключиться;
- Registering – точка доступа прошла регистрацию и получила сертификат;
- Sandboxed – NETCONF-соединение установлено, но на WLC нет конфигурации для данной точки;
- Updating creds – точка доступа обновляет пароль, NETCONF-соединение разорвано;
- Upgrading FW – точка доступа обновляет программное обеспечение;
- Pre-configured – точка доступа присутствует в конфигурации, но не на устройстве;
- Lost – точка доступа отключена или до нее потерян доступ, NETCONF-соединение отсутствует.
Необходимо обязательно синхронизировать время на контроллере и точках доступа, т. к. корректное время позволяет пройти проверку валидности сертификатов.
Для корректной регистрации точек доступа на контроллере требуется синхронизация времени. Настройте NTP-сервер, чтобы контроллер получил актуальное время от вышестоящего сервера (пример настройки представлен в разделе Настройка NTP-сервера). Затем укажите адрес контроллера в качестве NTP-сервера для точек доступа в 42 опции DHCP (пример настройки представлен в разделе Настройка DHCP-сервера), чтобы точки доступа также смогли получить актуальное время.
Точка доступа не регистрируется на контроллере с ошибкой: AP enter to Failed state, desc: 'data-tunnel:status=can-not-create-tunnel'
1. Проверьте, что radius-server local включен.
wlc# show running-config radius-server local radius-server local virtual-server default enable exit enable exit
2. Ключ в host должен совпадать с ключом, указанным для nas local в radius-server local. Эта связка обязательна для поднятия туннелей.
wlc# show running-config aaa radius-server local nas local key ascii-text encrypted 8CB5107EA7005AFF network 127.0.0.1/32 exit enable exit radius-server host 127.0.0.1 key ascii-text encrypted 8CB5107EA7005AFF exit
3. После устранения проблем перерегистрируйте ТД на контроллере:
wlc# renew wlc ap failed
Точка доступа не регистрируется на контроллере с ошибкой: no firmware image for upgrade
Версия ТД не совместима с версией контроллера, поэтому ТД не может пройти регистрацию. Необходимо загрузить ПО точек доступа на контроллер для их обновления (команды для обновления точек доступа представлены в разделе Обновление точек доступа). Просмотреть информацию о минимальной поддерживаемой версии ПО для каждой модели точки доступа, а также о загруженных на контроллере актуальных файлах ПО ТД можно командой:
wlc# show wlc ap firmware
Точка доступа не регистрируются на контроллере с ошибкой: authentication error: failed to connect AP
1. Проверьте, получила ли точка доступа адрес.
2. Проверьте корректное написание 43 опции 15 подопции в конфигурации DHCP-сервера, необходимой для того, чтобы точка доступа автоматически пришла на контроллер и включилась в работу под его управлением. Опция содержит HTTPS URL контроллера и имеет вид https://192.168.1.1:8043/ и не должна содержать пробелы или другие лишние символы.
wlc# show running-config dhcp server pool ap-pool vendor-specific suboption 15 ascii-text "https://192.168.1.1:8043" exit
3. Если в блоке ip-pool настроена подсеть, отличная от дефолтного значения 0.0.0.0/0, убедитесь, что ТД входят в список разрешенных IP-адресов.
wlc# show running-config wlc ip-pool default-ip-pool ip-pool default-ip-pool description "default-ip-pool" ap-location default-location network 0.0.0.0/0
Точка доступа не регистрируется на контроллере с ошибкой: AP enter to Failed state, desc: 'CoA timeout expired
1. Убедитесь, что точки доступа получают 42 опцию DHCP с адресом NTP-сервера и на них актуальное время.
WEP-200L(root):/# date Mon Aug 11 14:35:31 WIT 2025
2. Проверьте, что в softgre-controller в качестве nas-ip-address указано 127.0.0.1.
wlc# show running-config softgre-controller softgre-controller nas-ip-address 127.0.0.1 data-tunnel configuration wlc aaa radius-profile default_radius keepalive-disable service-vlan add 3 enable exit
3. Для организации туннеля точка доступа–контроллер, требуется RADIUS-авторизация на контроллере. Она не проксируется на внешний RADIUS, поэтому в блоке профиля "aaa radius-profile default_radius" параметр "radius-server host" должен быть "127.0.0.1". Убедитесь, что данный блок настроен верно.
wlc# show running-config aaa radius-server host 127.0.0.1 key ascii-text encrypted 8CB5107EA7005AFF exit aaa radius-profile default_radius radius-server host 127.0.0.1 exit
Клиент не получает адрес при подключении к точке доступа
Клиент не получает адрес при подключении к точке доступа – схема с SoftGRE-туннелями
1. Проверьте, что локация работает в режиме туннелирования. Должен быть включен режим mode tunnel:
wlc# show running-config wlc ap-location default-location
ap-location default-location
description "default-location"
mode tunnel
ap-profile default-ap
airtune-profile default_airtune
ssid-profile default-ssid
exit
2. Проверьте блок настроек ssid-profile. В нем должен быть клиентский VLAN в команде vlan-id.
wlc# show running-config wlc ssid-profile ssid-profile default-ssid description "default-ssid" ssid "default-ssid" radius-profile default-radius vlan-id 3 security-mode WPA2_1X 802.11kv band 2g band 5g enable exit
3. Проверьте блок настроек softgre-controller. В нем должен быть клиентский VLAN в команде service-vlan.
wlc# show running-config softgre-controller softgre-controller nas-ip-address 127.0.0.1 data-tunnel configuration wlc aaa radius-profile default_radius keepalive-disable service-vlan add 3 enable exit
4. Проверьте, включен ли функционал автоматического поднятия SoftGRE-туннелей:
wlc# show running-config tunnels tunnel softgre 1 mode data local address 192.168.1.1 default-profile enable exit
5. Проверьте, что 12 подопция 43 опции, необходимая для построения SoftGRE data-туннелей, задана корректно: не должно быть пробелов, точек и других символов.
wlc# show running-config dhcp server pool ap-pool vendor-specific suboption 12 ascii-text "192.168.1.1" exit
6. Убедитесь, что создан бридж для терминации клиентского трафика и указан пользовательский VLAN.
wlc# show running-config bridges bridge 3 vlan 3 mtu 1458 security-zone users ip address 192.168.2.1/24 no spanning-tree enable exit
Клиент не получает адрес при подключении к точке доступа – схема Local switching
Local switching – режим VAP для точек доступа Eltex, который работает только в схеме с GRE-туннелированием и позволяет выпускать трафик клиентов отдельного SSID с точки доступа во VLAN без туннеля.
1. Убедитесь, что в настройках SSID включен режим local-switching и указан номер VLAN для передачи пользовательского трафика.
wlc# show running-config wlc ssid-profile default-ssid ssid ssid-profile default-ssid description "default-ssid" ssid "default-ssid" radius-profile default-radius vlan-id 3 security-mode WPA2_1X local-switching 802.11kv band 2g band 5g enable exit
2. Проверьте, что на интерфейсе для подключения точек доступа настроен вывод пользовательского трафика с тегом.
wlc# show running-config interfaces interface gigabitethernet 1/0/3 mode switchport switchport mode trunk switchport trunk allowed vlan add 3 exit
4. Проверьте, что создан бридж для клиентского трафика и указан пользовательский VLAN.
wlc# show running-config bridges bridge 3 vlan 3 mtu 1458 security-zone users ip address 192.168.2.1/24 no spanning-tree enable exit
5. Проверьте, что на коммутаторе настроен VLAN для передачи пользовательского трафика. Например:
Настройка порта в сторону точек доступа: MES2324P#configure MES2324P(config)#interface GigabitEthernet 1/0/3 MES2324P(config-if)#switchport mode trunk MES2324P(config-if)#switchport trunk allowed vlan add 3 # VLAN 3 — для передачи пользовательского трафика MES2324P(config-if)#switchport trunk native vlan 5 # VLAN 5 — VLAN управления точкой доступа MES2324P(config-if)#exit Настройка порту в сторону WLC: MES2324P(config)#interface GigabitEthernet 1/0/5 MES2324P(config-if)# switchport mode trunk MES2324P(config-if)#switchport trunk allowed vlan add 3,5 MES2324P(config-if)#exit
Клиент не получает адрес при подключении к точке доступа – схема без GRE-туннелирования
Если не используется схема с туннелированием (точкам доступа не выдается 12 подопция DHCP), то не требуется указывать local-switching в настройках ssid.
1. Убедитесь, что точкам доступа не выдается 12 подопция 43 опции, необходимая для построения SoftGRE data-туннелей. После удаления опции необходимо перезагрузить точку доступа.
wlc# show running-config dhcp server pool ap-pool ip dhcp-server pool ap-pool vendor-specific suboption 15 ascii-text "https://192.168.1.1:8043" exit
2. Проверьте, что в локации отключен режим mode tunnel:
wlc# show running-config wlc ap-location default-location ap-location default-location description default-location radio-2g-profile default_2g radio-5g-profile default_5g ap-profile default-ap ssid-profile default-ssid exit
3. Убедитесь, что в настройках SSID отключен режим local-switching и указан номер VLAN для передачи пользовательского трафика.
wlc# show running-config interfaces ssid ssid-profile default-ssid description "default-ssid" ssid "default-ssid" radius-profile default-radius vlan-id 3 security-mode WPA2_1X 802.11kv band 2g band 5g enable exit
4. Проверьте, что на интерфейсе для подключения точек доступа настроен вывод пользовательского трафика с тегом.
wlc# show running-config interfaces interface gigabitethernet 1/0/3 mode switchport switchport mode trunk switchport trunk allowed vlan add 3 exit
5. Проверьте, что создан бридж для терминации клиентского трафика и указан пользовательский VLAN.
wlc# show running-config bridges bridge 3 vlan 3 mtu 1458 security-zone users ip address 192.168.2.1/24 no spanning-tree enable exit
6. Также рекомендуем удалить настройки для конфигурации SoftGRE-туннелей.
wlc(config)# no tunnel softgre 1 wlc(config)# no softgre-controller
7. Проверьте, что на коммутаторе настроен VLAN для передачи пользовательского трафика. Например:
Настройка порта в сторону точек доступа: MES2324P#configure MES2324P(config)#interface GigabitEthernet 1/0/3 MES2324P(config-if)#switchport mode trunk MES2324P(config-if)#switchport trunk allowed vlan add 3 # VLAN 3 — для передачи пользовательского трафика MES2324P(config-if)#switchport trunk native vlan 5 # VLAN 5 — VLAN управления точкой доступа MES2324P(config-if)#exit Настройка порту в сторону WLC: MES2324P(config)#interface GigabitEthernet 1/0/5 MES2324P(config-if)# switchport mode trunk MES2324P(config-if)#switchport trunk allowed vlan add 3,5 MES2324P(config-if)#exit
Ошибка сертификатов: error – certificate is not yet valid
wlc(change-expired-password)# commit error - certificate is not yet valid check radius: got 1 errors during validation check cert and ca in radius local: certificate does not match ca error - can't commit configuration.
Если дата и время установлены некорректно, при commit может появиться ошибка "error – certificate is not yet valid". Для решения этой проблемы необходимо установить дату и время через u-boot.
Зайдите в загрузчик через консольный интерфейс. В процессе загрузки устройства после появления сообщения:
Autobooting in 5 seconds, enter to command line available now u-boot>
Введите слово stop.
Актуально только для устройств WLC-30 и ESR-30.
Введите команды date reset для сброса даты и reset для перезагрузки устройства.
u-boot> date reset u-boot> reset
Для всех остальных устройств введите команды для сброса даты, конфигурации и reset для перезагрузки устройства.
u-boot> clear_mtd_data u-boot> reset