|
Чтобы повысить точность диагностики, рекомендуется временно отключать firewall на всех интерфейсах. Для этого используйте команду ip firewall disable на каждом интерфейсе. Траблшутинг правил firewall не будет описываться в рамках данного раздела. Начиная с версии 1.36.1 firewall можно отключить глобально:
|
Посмотреть статус и другую информацию о всех точках доступа, обслуживаемых контроллером, можно с помощью команды show wlc ap all.
wlc# show wlc ap all
MAC address Status IP address SW version Hostname Ap-location Uptime Clients
(2g/5g/6g/all)
----------------- ---------------- --------------- ---------------- ------------------------------ ------------------------------ ---------------- -------------------
68:13:e2:35:e9:d0 Active 192.168.1.2 2.9.0 build 842 WEP-30L default-location 02,22:53:42 0/0/-/0
cc:9d:a2:c2:96:c0 Active 192.168.1.5 1.15.0 build 42 WEP-3ax default-location 00,18:53:00 0/0/-/0 |
Описание статусов:
Необходимо обязательно синхронизировать время на контроллере и точках доступа, т. к. корректное время позволяет пройти проверку валидности сертификатов. |
Для корректной регистрации точек доступа на контроллере требуется синхронизация времени. Настройте NTP-сервер, чтобы контроллер получил актуальное время от вышестоящего сервера (пример настройки представлен в разделе Настройка NTP-сервера). Затем укажите адрес контроллера в качестве NTP-сервера для точек доступа в 42 опции DHCP (пример настройки представлен в разделе Настройка DHCP-сервера), чтобы точки доступа также смогли получить актуальное время.
1. Проверьте, что radius-server local включен.
wlc# show running-config radius-server local radius-server local virtual-server default enable exit enable exit |
2. Ключ в host должен совпадать с ключом, указанным для nas local в radius-server local. Эта связка обязательна для поднятия туннелей.
wlc# show running-config aaa radius-server local nas local key ascii-text encrypted 8CB5107EA7005AFF network 127.0.0.1/32 exit enable exit radius-server host 127.0.0.1 key ascii-text encrypted 8CB5107EA7005AFF exit |
3. После устранения проблем перерегистрируйте ТД на контроллере:
wlc# renew wlc ap failed |
Версия ТД не совместима с версией контроллера, поэтому ТД не может пройти регистрацию. Необходимо загрузить ПО точек доступа на контроллер для их обновления (команды для обновления точек доступа представлены в разделе Обновление точек доступа). Просмотреть информацию о минимальной поддерживаемой версии ПО для каждой модели точки доступа, а также о загруженных на контроллере актуальных файлах ПО ТД можно командой:
wlc# show wlc ap firmware |
1. Проверьте, получила ли точка доступа адрес.
2. Проверьте корректное написание 43 опции 15 подопции в конфигурации DHCP-сервера, необходимой для того, чтобы точка доступа автоматически пришла на контроллер и включилась в работу под его управлением. Опция содержит HTTPS URL контроллера, имеет вид https://192.168.1.1:8043/ и не должна содержать пробелы или другие лишние символы.
wlc# show running-config dhcp server pool ap-pool vendor-specific suboption 15 ascii-text "https://192.168.1.1:8043" exit |
3. Если в блоке ip-pool настроена подсеть, отличная от дефолтного значения 0.0.0.0/0, убедитесь, что ТД входят в список разрешенных IP-адресов.
wlc# show running-config wlc ip-pool default-ip-pool ip-pool default-ip-pool description "default-ip-pool" ap-location default-location network 0.0.0.0/0 |
1. Убедитесь, что точки доступа получают 42 опцию DHCP с адресом NTP-сервера и на них актуальное время.
WEP-200L(root):/# date Mon Aug 11 14:35:31 WIT 2025 |
2. Проверьте, что в softgre-controller в качестве nas-ip-address указано 127.0.0.1.
wlc# show running-config softgre-controller softgre-controller nas-ip-address 127.0.0.1 data-tunnel configuration wlc aaa radius-profile default_radius keepalive-disable service-vlan add 3 enable exit |
3. Для организации туннеля точка доступа–контроллер, требуется RADIUS-авторизация на контроллере. Она не проксируется на внешний RADIUS, поэтому в блоке профиля "aaa radius-profile default_radius" параметр "radius-server host" должен быть "127.0.0.1". Убедитесь, что данный блок настроен верно.
wlc# show running-config aaa radius-server host 127.0.0.1 key ascii-text encrypted 8CB5107EA7005AFF exit aaa radius-profile default_radius radius-server host 127.0.0.1 exit |
1. Для диагностирования проблемы проверьте журнал точек доступа на контроллере WLC: циклическая смена статусов в service-activator указывает на проблему подключения.
2026-04-10T10:55:18+07:00 AP 0c:ee:20:00:10:40 status awaited, AP model: WEP-550K, SW version: 1.3.0 build 99, IP address: 192.168.1.2, description: 'SA_FREE: start tracking AP with path [/wait/ap]' 2026-04-10T10:55:18+07:00 AP 0c:ee:20:00:10:40 status awaited, AP model: WEP-550K, SW version: 1.3.0 build 99, IP address: 192.168.1.2, description: 'SA_FREE: connection path /register/ap, valid AP json' 2026-04-10T10:55:18+07:00 AP 0c:ee:20:00:10:40 status awaited, AP model: WEP-550K, SW version: 1.3.0 build 99, IP address: 192.168.1.2, description: 'SA_FREE: authenticating' 2026-04-10T10:55:18+07:00 AP 0c:ee:20:00:10:40 status join-auto, AP model: WEP-550K, SW version: 1.3.0 build 99, IP address: 192.168.1.2, description: 'SA_FREE: auto authenticate enabled' 2026-04-10T10:55:18+07:00 AP 0c:ee:20:00:10:40 status join-auto, AP model: WEP-550K, SW version: 1.3.0 build 99, IP address: 192.168.1.2, description: 'SA_FREE: AP removed from unauthorized' 2026-04-10T10:55:18+07:00 AP 0c:ee:20:00:10:40 status join-auto, AP model: WEP-550K, SW version: 1.3.0 build 99, IP address: 192.168.1.2, description: 'SA_FREE: remove from tracking' 2026-04-10T10:55:19+07:00 AP 0c:ee:20:00:10:40 status registering, AP model: WEP-550K, SW version: 1.3.0 build 99, IP address: 192.168.1.2, description: 'SA_FREE: connection path /register/ap, valid AP json' 2026-04-10T10:55:19+07:00 AP 0c:ee:20:00:10:40 status awaited, AP model: WEP-550K, SW version: 1.3.0 build 99, IP address: 192.168.1.2, description: 'SA_FREE: start tracking AP with path [/wait/ap]' |
Проверьте syslog.log на точках доступа. Для этого можно подключиться к ней по ssh и проверить наличие ошибок SSL-соединения, свидетельствующих о сбое при установлении соединения с контроллером.
2. Узнайте выданный точке доступа IP-адрес с помощью команды show wlc service-activator aps.
wlc# show wlc service-activator aps MAC address Status IP address Board type SW version HW version Serial number ----------------- ------------- --------------- ---------------- ---------------- ----------- -------------- 0c:ee:20:00:10:40 Join-auto 192.168.1.2 WEP-550K 1.3.0 build 99 1v2 WP61000031 |
3. Перейдите по ssh на точку доступа (пароль по умолчанию – admin/password) и воспользуйтесь командой monitoring events.
wlc# ssh admin 192.168.1.2 admin@192.168.1.2's password: WEP-550K(root):/# monitoring events Apr 10 03:43:41 WEP-550K daemon.info WLC-SA[10709]: Successfully connected to https://192.168.1.1:8043/ott/register/ap Apr 10 03:43:41 WEP-550K daemon.info WLC-SA[10709]: Received SA_SERVER_CODE_AUTH_REQUIRED from https://192.168.1.1:8043 Apr 10 03:43:42 WEP-550K daemon.info WLC-SA[10720]: Successfully connected to https://192.168.1.1:8043/ott/wait/ap Apr 10 03:43:42 WEP-550K daemon.info SA_SERVER[10719]: 192.168.1.1 successfully connected to the SA Server Apr 10 03:43:42 WEP-550K daemon.info SA_SERVER[10719]: Received a certificate from 192.168.1.1 Apr 10 03:43:43 WEP-550K daemon.err WLC-SA[10739]: Connection to https://192.168.1.1:8044/ott/register/ap failed SSL connect error: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed, reason: Hostname mismatch |
Наличие ошибкиfailed SSL connect error: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed, reason: Hostname mismatchсигнализирует о несовпадении адресов в 43 опции 15 подопции DHCP-сервера и outside-address в блоке конфигурации wlc. |
4. Проверьте корректное написание 43 опции 15 подопции в конфигурации DHCP-сервера, необходимой для того, чтобы точка доступа автоматически пришла на контроллер и включилась в работу под его управлением. Опция содержит HTTPS URL контроллера, имеет вид https://192.168.1.1:8043/ и не должна содержать пробелы или другие лишние символы.
wlc# show running-config dhcp server pool ap-pool
ip dhcp-server pool ap-pool
network 192.168.1.0/24
address-range 192.168.1.2-192.168.1.254
default-router 192.168.1.1
dns-server 192.168.1.1
option 42 ip-address 192.168.1.1
vendor-specific
suboption 12 ascii-text "192.168.1.1"
suboption 15 ascii-text "https://192.168.1.1:8043" <------------------------
exit
exit |
5. Убедитесь, что параметр outside-address в конфигурации WLC совпадает с адресом, указанным в 43 опции 15 подопции DHCP-сервера. Только при этом условии точка доступа сможет корректно зарегистрироваться на контроллере.
wlc# sh running-config wlc wlc outside-address 192.168.1.1 |
1. Проверьте, что локация работает в режиме туннелирования. Должен быть включен режим mode tunnel:
wlc# show running-config wlc ap-location default-location
ap-location default-location
description "default-location"
mode tunnel
ap-profile default-ap
airtune-profile default_airtune
ssid-profile default-ssid
exit |
2. Проверьте блок настроек ssid-profile. В нем должен быть клиентский VLAN в команде vlan-id.
wlc# show running-config wlc ssid-profile ssid-profile default-ssid description "default-ssid" ssid "default-ssid" radius-profile default-radius vlan-id 3 security-mode WPA2_1X 802.11kv band 2g band 5g enable exit |
3. Проверьте блок настроек softgre-controller. В нем должен быть клиентский VLAN в команде service-vlan.
wlc# show running-config softgre-controller softgre-controller nas-ip-address 127.0.0.1 data-tunnel configuration wlc aaa radius-profile default_radius keepalive-disable service-vlan add 3 enable exit |
4. Проверьте, включен ли функционал автоматического поднятия SoftGRE-туннелей:
wlc# show running-config tunnels tunnel softgre 1 mode data local address 192.168.1.1 default-profile enable exit |
5. Проверьте, что 12 подопция 43 опции, необходимая для построения SoftGRE data-туннелей, задана корректно: не должно быть пробелов, точек и других символов.
wlc# show running-config dhcp server pool ap-pool
ip dhcp-server pool ap-pool
network 192.168.1.0/24
address-range 192.168.1.2-192.168.1.254
default-router 192.168.1.1
dns-server 192.168.1.1
option 42 ip-address 192.168.1.1
vendor-specific
suboption 12 ascii-text "192.168.1.1" <------------------------
suboption 15 ascii-text "https://192.168.1.1:8043"
exit
exit |
6. Убедитесь, что создан бридж для терминации клиентского трафика и указан пользовательский VLAN.
wlc# show running-config bridges bridge 3 vlan 3 mtu 1458 security-zone users ip address 192.168.2.1/24 no spanning-tree enable exit |
7. Проверьте, что параметр force-up, назначен для vlan с пользовательским трафиком.
wlc# show running-config vlans vlan 3 force-up <-------------------------- exit vlan 2 exit |
8. Убедитесь, что бридж для терминации клиентского трафика в состоянии up.
wlc# show interfaces status
Interface Admin Link MTU MAC address Last change Mode
State State (d,h:m:s)
-------------------- ---------- ----- ----- ----------------- ------------- ------------
gi1/0/1 Up Up 1500 90:54:b7:3a:35:21 00,03:47:21 switchport
gi1/0/2 Up Down 1500 90:54:b7:3a:35:22 03,17:28:58 routerport
gi1/0/3 Up Up 1500 90:54:b7:3a:35:23 00,01:29:28 switchport
gi1/0/4 Up Down 1500 90:54:b7:3a:35:24 03,17:28:58 routerport
gi1/0/5 Up Down 1500 90:54:b7:3a:35:25 03,17:28:58 routerport
gi1/0/6 Up Down 1500 90:54:b7:3a:35:26 03,17:28:58 routerport
br1 Up Up 1500 90:54:b7:3a:35:20 00,03:47:18 routerport
br2 Up Up 1500 90:54:b7:3a:35:20 00,03:47:18 routerport
br3 Up Up 1458 90:54:b7:3a:35:20 03,17:28:48 routerport <-------------------------- |
Local switching – режим VAP для точек доступа Eltex, который работает только в схеме с GRE-туннелированием и позволяет выпускать трафик клиентов отдельного SSID с точки доступа во VLAN без туннеля. |
Ниже приведен пример настройки для выпуска клиентского трафика с точки доступа по L2 с терминации на WLC.
1. Убедитесь, что в настройках SSID включен режим local-switching и указан номер VLAN для передачи пользовательского трафика.
wlc# show running-config wlc ssid-profile default-ssid ssid ssid-profile default-ssid description "default-ssid" ssid "default-ssid" radius-profile default-radius vlan-id 3 security-mode WPA2_1X local-switching 802.11kv band 2g band 5g enable exit |
2. Проверьте, что на интерфейсе в сторону точек доступа настроен прием пользовательского трафика VLAN, заданный в SSID.
wlc# show running-config interfaces interface gigabitethernet 1/0/3 mode switchport switchport mode trunk switchport trunk allowed vlan add 3 exit |
4. Проверьте, что создан бридж для клиентского трафика и указан пользовательский VLAN.
wlc# show running-config bridges bridge 3 vlan 3 security-zone users ip address 192.168.2.1/24 no spanning-tree enable exit |
5. Проверьте, что на коммутаторе настроен VLAN для передачи пользовательского трафика. Например:
Настройка порта в сторону точек доступа: MES2324P#configure MES2324P(config)#interface GigabitEthernet 1/0/3 MES2324P(config-if)#switchport mode trunk MES2324P(config-if)#switchport trunk allowed vlan add 3 # VLAN 3 — для передачи пользовательского трафика MES2324P(config-if)#switchport trunk native vlan 5 # VLAN 5 — VLAN управления точкой доступа MES2324P(config-if)#exit Настройка порта в сторону WLC: MES2324P(config)#interface GigabitEthernet 1/0/5 MES2324P(config-if)# switchport mode trunk MES2324P(config-if)#switchport trunk allowed vlan add 3,5 MES2324P(config-if)#exit |
Если не используется схема с туннелированием (точкам доступа не выдается 12 подопция DHCP), то не требуется указывать local-switching в настройках ssid. |
1. Убедитесь, что точкам доступа не выдается 12 подопция 43 опции, необходимая для построения SoftGRE data-туннелей. После удаления опции необходимо перезагрузить точку доступа.
wlc# show running-config dhcp server pool ap-pool ip dhcp-server pool ap-pool vendor-specific suboption 15 ascii-text "https://192.168.1.1:8043" exit |
2. Проверьте, что в локации отключен режим mode tunnel:
wlc# show running-config wlc ap-location default-location ap-location default-location description default-location radio-2g-profile default_2g radio-5g-profile default_5g ap-profile default-ap ssid-profile default-ssid exit |
3. Убедитесь, что в настройках SSID отключен режим local-switching и указан номер VLAN для передачи пользовательского трафика.
wlc# show running-config interfaces ssid ssid-profile default-ssid description "default-ssid" ssid "default-ssid" radius-profile default-radius vlan-id 3 security-mode WPA2_1X 802.11kv band 2g band 5g enable exit |
4. Проверьте, что на интерфейсе для подключения точек доступа настроен вывод пользовательского трафика с тегом.
wlc# show running-config interfaces interface gigabitethernet 1/0/3 mode switchport switchport mode trunk switchport trunk allowed vlan add 3 exit |
5. Проверьте, что создан бридж для терминации клиентского трафика и указан пользовательский VLAN.
wlc# show running-config bridges bridge 3 vlan 3 mtu 1458 security-zone users ip address 192.168.2.1/24 no spanning-tree enable exit |
6. Также рекомендуется удалить настройки для конфигурации SoftGRE-туннелей.
wlc(config)# no tunnel softgre 1 wlc(config)# no softgre-controller |
7. Проверьте, что на коммутаторе настроен VLAN для передачи пользовательского трафика. Например:
Настройка порта в сторону точек доступа: MES2324P#configure MES2324P(config)#interface GigabitEthernet 1/0/3 MES2324P(config-if)#switchport mode trunk MES2324P(config-if)#switchport trunk allowed vlan add 3 # VLAN 3 — для передачи пользовательского трафика MES2324P(config-if)#switchport trunk native vlan 5 # VLAN 5 — VLAN управления точкой доступа MES2324P(config-if)#exit Настройка порту в сторону WLC: MES2324P(config)#interface GigabitEthernet 1/0/5 MES2324P(config-if)# switchport mode trunk MES2324P(config-if)#switchport trunk allowed vlan add 3,5 MES2324P(config-if)#exit |
wlc(change-expired-password)# commit error - certificate is not yet valid check radius: got 1 errors during validation check cert and ca in radius local: certificate does not match ca error - can't commit configuration. |
Если дата и время установлены некорректно, при commit может появиться ошибка "error – certificate is not yet valid". Для решения этой проблемы необходимо установить дату и время через u-boot.
Зайдите в загрузчик через консольный интерфейс. В процессе загрузки устройства после появления сообщения:
Autobooting in 5 seconds, enter to command line available now u-boot> |
Введите слово stop.
Актуально только для устройств WLC-30 на версии 1.26 и выше, для остальных устройств WLC команда доступна с версии 1.30. |
Введите команды date reset для сброса даты и reset для перезагрузки устройства.
u-boot> date reset u-boot> reset |
Для всех остальных устройств введите команды для очистки раздела data clear_mtd_data и reset для перезагрузки устройства, если версия ПО 1.26 или ниже.
u-boot> clear_mtd_data u-boot> reset |
Проблема 1: После применения конфигурации агрегированного интерфейса нет прохождения трафика.
wlc# configure wlc(config)# interface port-channel 1 wlc(config-port-channel)# ip firewall disable wlc(config-port-channel)# ip address 192.0.2.1/24 wlc(config-port-channel)# exit wlc(config)# interface tengigabitethernet 1/0/1 wlc(config-if-te)# mode switchport wlc(config-if-te)# channel-group 1 mode auto wlc(config-if-te)# exit wlc(config)# interface tengigabitethernet 1/0/2 wlc(config-if-te)# mode switchport wlc(config-if-te)# channel-group 1 mode auto wlc(config-if-te)# do commit wlc(config-if-te)# do confirm |
В выводе статуса физические интерфейсы и агрегированный в статусе down.
wlc# show interfaces status
Interface Admin Link MTU MAC address Last change Mode
State State (d,h:m:s)
-------------------- ---------- ----- ----- ----------------- ------------- ------------
te1/0/1 Up Down 1500 a8:f9:4b:ab:0e:39 00,00:00:26 switchport
te1/0/2 Up Down 1500 a8:f9:4b:ab:0e:39 00,00:00:27 switchport
po1 Up Down 1500 a8:f9:4b:ab:0e:39 00,00:00:23 routerport |
Решение: По умолчанию интерфейс port-channel поднимается со значением скорости, равной 1G. Для того чтобы на интерфейсах, отличных от gigabitethernet, поднялись линки, необходимо вручную прописать идентичную скорость для агрегированного интерфейса:
wlc(config-if-port-channel)# speed 10G |
Проблема 2: Физический интерфейс не добавляется в port-channel.
wlc(config)# interface port-channel 3 wlc(config-if-port-channel)# mode routerport wlc(config-if-port-channel)# exit wlc(config)# interface gigabitethernet 1/0/5 wlc(config-if-gi)# channel-group 3 mode auto error - Can not set channel-group on interface gigabitethernet 1/0/5, set mode switchport or hybrid first |
Ошибка заложена в понимании конфигурации. Режим routerport можно выбрать только для port-channel, но не для физического интерфейса. При добавлении в агрегированный интерфейс, физический интерфейс всегда должен быть в режиме switchport.
Проблема 3: Не работают интерфейсы XG(10G) на скорости 1G. Применимо к моделям WLC-3200/3250/3350.
Для работы interface tengigabitethernet на скорости 1G необходимо перевести диапазон необходимых интерфейсов на скорость 1G и перезагрузить маршрутизатор.
wlc# configure wlc(config)# interface tengigabitethernet 1/0/1-4 wlc(config-if-te)# speed 1000M wlc(config-if-te)# do commit wlc(config-if-te)# do confirm wlc(config-if-gi)# end wlc# reload system Do you really want to reload system now? (y/N): y |
Проблема 4: После применения скорости все равно не поднимаются интерфейсы.
Одна из возможных причин – кабель/sfp-трансивер. Помимо физической исправности необходимо перепроверить, на какую скорость он рассчитан.
2026-01-22T04:00:21+00:00 %LINK-I-UP: twentyfivegigabitethernet 1/0/1 changed state to up, speed 1000M full-duplex |
Решение: Поменять кабель или применить именно эту скорость к port-channel.