error - certificate is not yet valid check radius: got 1 errors during validation check cert and ca in radius local: certificate does not match ca |
Если дата и время установлены некорректные, при commit может появиться ошибка "error - certificate is not yet valid". Для решения этой проблемы нужно установить дату и время через u-boot .
Актуально только для устройств WLC-30 и ESR-30 |
Зайдите в загрузчик через консольный интерфейс в процессе загрузки устройства, после появления сообщения
Autobooting in 5 seconds, enter to command line available now u-boot> |
Введите слово stop.
Далее внесите команды date reset для сброса даты и reset для перезагрузки устройства.
u-boot> date reset u-boot> reset |
Соседство успешно устанавливается, но в записи маршрутов в RIB отказано
%ROUTING-W-KERNEL: Can not install route. Reached the maximum number of BGP routes in the RIB
Необходимо выделить ресурс RIB для VRF, по умолчанию он равен нулю. Делаем это в режиме конфигурирования VRF:
wlc(config)# ip vrf <NAME> wlc(config-vrf)# ip protocols ospf max-routes 12000 wlc(config-vrf)# ip protocols bgp max-routes 1200000 wlc(config-vrf)# end |
Для поддержания сессии активной необходимо настроить передачу keepalive-пакетов. Опция отправки keepalive настраивается в клиенте SSH, например, для клиента PuTTY раздел “Соединение”.
В свою очередь, на контроллере можно выставить время ожидания до закрытия неактивных сессий TCP (в примере выставлен 1 час):
wlc(config)# ip firewall sessions tcp-estabilished-timeout 3600 |
На интерфейсе был отключен firewall (ip firewall disable). После внесения этого интерфейса в security zone, удаления из конфигурации ip firewall disable и применения изменений – доступ для активных сессий с данного порта не закрылся согласно правилам security zone-pair
Изменения в конфигурации Firewall будут действовать только для новых сессий, сброса активных сессий в Firewall не происходит. Очистить активные сессии в firewall можно командой:
wlc# clear ip firewall session |
Очистка конфигурации происходит путем копирования пустой конфигурации в candidate-config и применения его в running-config.
wlc# copy system:default-config system:candidate-config |
Процесс сброса на заводскую конфигурацию аналогичен.
wlc# copy system:factory-config system:candidate-config |
При создании саб-интерфейса VLAN создается и привязывается автоматически (прямая зависимость индекс sub – VID).
wlc(config)# interface gigabitethernet 1/0/1.100 |
После применения можно наблюдать информационные сообщения:
2016-07-14T012:46:24+00:00 %VLAN: creating VLAN 100 |
В контроллерах WLC реализована возможность анализировать трафик на интерфейсах из CLI. Сниффер запускается командой monitor:
wlc# monitor gigabitethernet 1/0/1 |
Ниже приведен пример конфигурации префикс-листа, разрешающего прием маршрута по умолчанию:
wlc(config)# ip prefix-list eltex wlc(config-pl)# permit default-route |
В случае организации сети с асинхронной маршрутизацией, Firewall будет запрещать "неправильный (ошибочный)" входящий трафик (не открывающий новое соединение и не принадлежащий никакому установленному соединению) из соображений безопасности.
Разрешающее правило в Firewall не решит поставленную задачу для подобных схем. Решить задачу можно, отключив Firewall на входном интерфейсе:
wlc(config-if-gi)# ip firewall disable |
Если необходимо скопировать текущую running или candidate – конфигурацию на самом контроллере – можно воспользоваться командой copy с указанием в качестве источника копирования "system:running-config" или "system:candidate-config", а в качестве назначения – файл в разделе "flash:data/".
wlc# copy system:candidate-config flash:data/temp.txt |
Также существует возможность копирования ранее сохраненных конфигурационных файлов (автоматически из раздела flash:backup/ или вручную из раздела flash:data/) в candidate-конфигурацию:
wlc# copy flash:data/temp.txt system:candidate-config wlc# copy flash:backup/config_20190918_164455 system:candidate-config |