Your SlideShare is downloading. ×
 Поиск неисправностей в беспроводных сетях, управляемых контроллерами
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Поиск неисправностей в беспроводных сетях, управляемых контроллерами

922
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
922
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
17
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Поиск неисправностей в беспроводных сетях, управляемых контроллерами Платов Виктор, инженер-консультант, mobility
  • 2. Поиск неисправностей в беспроводных сетях, управляемых контроллерами •  •  •  •  Инструментарий Основы траблшутинга Отладка проблем, связанных с клиентами Подключение ТД к контроллеру BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
  • 3. Инструментарий
  • 4. Инструментарий Инструментарий контроллера БЛВС §  §  §  §  §  Методы управления Использование графического интерфейса Важные Show команды (CLI) Важные Debugs (CLI) Рекомендации Инструментарий точки доступа §  Методы доступа к ТД §  Важные Show команды BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
  • 5. Инструментарий контроллера БЛВС Методы управления По умолчанию (Вкл)=Включено (Выкл)=Выключено •  Графический интерфейс HTTPS (Вкл) / HTTP (Выкл) •  Интерфейс командной строки Console SSH (Вкл) / Telnet (Выкл) •  SNMP V1 (Выкл) / V2 (Вкл) – Измените community! V3 (Вкл) – Измените имя пользователя! Замечание: Management Via Wireless Clients (Выкл) BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
  • 6. Инструментарий контроллера БЛВС Использование графического интерфейса §  Monitor AP/Radio Statistics WLC Statistics Client Details Trap Log BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
  • 7. Инструментарий контроллера БЛВС Использование графического интерфейса §  Wireless > All APs В списке отображается физический uptime ТД отсортированы по времени ассоциации с контроллером Последние изменения в списке точек доступа – смотрите внизу Выделите нужную ТД, чтобы увидеть длительность ассоциации с контроллером BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
  • 8. Инструментарий контроллера БЛВС Использование графического интерфейса §  Management SNMP Config Logs Tech Support BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
  • 9. Инструментарий контроллера БЛВС Важные Show команды (CLI) §  Show run-config Нужно использовать! Без вариантов! “show run-config commands” (аналог IOS show running-config) “show run-config no-ap” (без информации о ТД) §  Show tech-support §  Совет по использованию CLI Ведите лог сессии Config Paging Disable BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
  • 10. Инструментарий контроллера БЛВС Важные Debugs (CLI) §  Debug client <client mac address> Проблема с клиентом? Обязательно! Без вариантов! §  Debug capwap <event/error/detail/info> enable §  Советы по использованию CLI Логируйте вывод сессии Debugs привязаны к сессии, при обрыве сессии дебаги отключаются “Config session timeout 60”, 60 минутный idle timeout Debug mac addr <mac address> используйте для фильтрации дебагов по определенному MAC Debug disable-all (отключает все debugs) BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
  • 11. Инструментарий контроллера БЛВС Рекомендации §  Смените параметры SNMP по умолчанию §  Настройте Syslog для контроллера БЛВС и точек доступа §  Включите Coredump для контроллера БЛВС и точек доступа §  Всегда используйте NTP сервер для синхронизации времени BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
  • 12. Инструментарий точек доступа Методы доступа к ТД §  §  §  §  Консоль Telnet (Выкл) / SSH (Выкл) Графический интерфейс отсутствует AP Remote Commands По умолчанию (Вкл)=Включено (Выкл)=Выключено Включение Telnet/SSH §  WLC CLI: config ap [telnet/ssh] enable <ap name> §  WLC GUI: Wireless > All APs > Выбрать ТД > вкладка Advanced §  Выбрать опцию [telnet/ssh] > кликнуть Apply BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
  • 13. Инструментарий точек доступа AP Remote Commands (CLI контроллера БЛВС) §  Debug AP enable <Имя ТД> Включает удаленно debug на ТД ТД должна быть ассоциирована с контроллером Перенаправляет вывод консоли ТД в сессию CLI контроллера §  Debug AP command “<command>” <AP name> Вывод перенаправляется в сессию CLI контроллера ТД работают под управлением IOS, доступны некоторые базовые IOS команды BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
  • 14. Инструментарий точек доступа Show Команды (CLI ТД или WLC Remote Cmd) §  Show controller Do[0/1] (или Show Tech) Нужно! До/Во время/После события §  Show log §  WLC: show ap eventlog <имя ТД> §  Show capwap client <?> §  Рекомендации по использованию CLI Debug capwap console client Debug capwap client no-reload BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
  • 15. Основы траблшутинга
  • 16. 10 ключевых точек сбора информации Radio Driver Supp. chan. 1 EAP 802.11 Data 802.11 Management Логи саппликанта а информация адаптера Дебаги ТД Перехват пакетов в эфире Проводн пакеты ACS IP DHCP WLC Дебаги контроллера Анализ спектра RADIUS WLC EOIP IP CAPWAP 802.11 Management Дебаги драйвера/ IP CAPWAP Wired Sniff Логи DHCP Логи RADIUS NTP BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
  • 17. Основы траблшутинга Troubleshooting 101 §  §  §  §  Точно определите проблему Выделите все триггеры Сформулируйте ожидаемое поведение Добейтесь устойчивой повторяемости Рекомендуемые инструменты §  Анализатор спектра §  Анализаторы пакетов в проводном и беспроводном сегментах Описание проблемы Вопросы Тестирование Анализ Решение
  • 18. Рекомендуемые инструменты §  Беспроводной анализатор пакетов —  Пример: Linksys USB600N и Omnipeek или AirMagnet WiFi Analyzer —  TAC может расшарить Omnipeek-RA если у вас есть совместимый адаптер §  Сбор пакетов в проводном сегменте —  Пример: Wireshark —  Используется на «зеркалах» портов контроллера или ТД §  Анализатор спектра —  Spectrum Expert с адаптером или CleanAir ТД
  • 19. Отладка проблем, связанных с клиентом
  • 20. Отладка проблем, связанных с клиентом debug client <mac address> §  Это макрос, включающий сразу несколько debug (Cisco Controller) >debug client 00:16:EA:B2:04:36 (Cisco Controller) >show debug MAC address ................................ 00:16:ea:b2:04:36 Debug Flags Enabled: dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled pem events enabled pem state enabled CCKM client debug enabled
  • 21. Этапы установления соединения 802.11 802.11 Состояние 1: Unauthenticated, Unassociated Состояние 2: Authenticated, Unassociated 1.  2.  3.  4.  5.  Listen for Beacons Probe Request Probe Response Authentication Request Authentication Response 6.  Association Request 7.  Association Response ТД plete th Com Au 802.11 datory ot Man N c Com 1 Asso 802.1 WLC Состояние 3: Authenticated, Associated 8.  (опционально: EAPOL Authentication) 9.  (опционально: Encrypt Data) 10.  Move User Data plete ,
  • 22. Модель состояний клиента Имя Описание 8021X_REQD Ожидание окончания 802.1x (L2) аутентификации DHCP_REQD Ожидание получения IP адреса WEBAUTH_REQD RUN Ожидание окончания Web (L3) аутентификации Рабочее состояние (Cisco Controller) >show client detail 00:16:ea:b2:04:36 Client MAC Address............................... 00:16:ea:b2:04:36 ….. Policy Manager State............................. WEBAUTH_REQD 00:16:ea:b2:04:36 10.10.1.103 DHCP_REQD (7) Change state to RUN (20) last state RUN (20)
  • 23. Отладка проблем, связанных с клиентом - Обзор §  Association (Начало) §  L2 Authentication (8021X_REQD) §  Client Address Learning (DHCP_REQD) §  L3 Authentication (WEBAUTH_REQD) §  Клиент полностью подключен (RUN) §  Deauth/Disassoc §  Советы и рекомендации
  • 24. Отладка проблем, связанных с клиентом Ассоциация
  • 25. Ассоциация (Cisco Controller) >debug client 00:16:EA:B2:04:36 (Cisco Controller) > (Cisco Controller) > Association received from mobile on AP 00:26:cb:94:44:c0 0.0.0.0 START (0) Changing ACL 'none' (ACL ID 0) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:1621) Applying site-specific IPv6 override for station 00:16:ea:b2:04:36 - vapId 1, site 'default-group', interface '3' Applying IPv6 Interface Policy for station 00:16:ea:b2:04:36 - vlan 3, interface id 8, interface '3‘ STA - rates (12): 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0 Processing RSN IE type 48, length 22 for mobile 00:16:ea:b2:04:36 0.0.0.0 START (0) Initializing policy 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0.0.0.0 8021X_REQD (3) DHCP Not required on AP 00:26:cb:94:44:c0 vapId 1 apVapId 1for this client 0.0.0.0 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 00:26:cb:94:44:c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 00:16:ea:b2:04:36 on AP 00:26:cb:94:44:c0 from Idle to Associated Scheduling deletion of Mobile Station: (callerId: 49) in 1800 seconds Sending Assoc Response to station on BSSID 00:26:cb:94:44:c0 (status 0) ApVapId 1 Slot 0
  • 26. Ассоциация Association received from mobile on AP 00:26:cb:94:44:c0 0.0.0.0 START (0) Changing ACL 'none' (ACL ID 0) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:1621) Applying site-specific IPv6 override for station 00:16:ea:b2:04:36 - vapId 1, site 'default-group', interface '3' Applying IPv6 Interface Policy for station 00:16:ea:b2:04:36 - vlan 3, interface id 8, interface '3' Association received §  Получен Association Request, клиент не делает роуминг (Reassociate) §  MAC адрес радиоинтерфейса ТД= 00:26:cb:94:44:c0 vapId 1, site 'default-group', interface '3‘ §  vapId = WLAN # (Wlan 1) §  site = AP Group (default-group) §  Interface = Dynamic Interface name vlan 3 §  Vlan = Vlan # of Dynamic Interface (3)
  • 27. Ассоциация STA - rates (12): 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0 Processing RSN IE type 48, length 22 for mobile 00:16:ea:b2:04:36 STA - rates §  Madatory Rates (>128) = (#-128)/2 §  Supported Rates (<128) = #/2 §  1m,2m,5.5m,11m,6s,9s,12s,18s,24s,36s,48s,54s Processing RSN IE type 48 §  WPA2-AES §  Processing WPA IE type 221 = WPA-TKIP
  • 28. Ассоциация 0.0.0.0 START (0) Initializing policy 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0.0.0.0 8021X_REQD (3) DHCP Not required on AP 00:26:cb:94:44:c0 vapId 1 apVapId 1for this client 0.0.0.0 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 00:26:cb:94:44:c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 00:16:ea:b2:04:36 on AP 00:26:cb:94:44:c0 from Idle to Associated Scheduling deletion of Mobile Station: (callerId: 49) in 1800 seconds 0.0.0.0 START §  0.0.0.0 = IP адрес клиента (в данном случае адреса пока нет) Change state to 8021X_REQD §  Ассоциация успешна, переходим в следующее состояние: 8021X_REQD Scheduling deletion §  Session Time on WLAN (1800 секунд в нашем случае)
  • 29. Ассоциация Sending Assoc Response to station on BSSID 00:26:cb:94:44:c0 (status 0) ApVapId 1 Slot 0 Slot 0 = B/G(2.4) Radio §  Slot 1 = A(5) Radio Sending Assoc Response Status 0 = Success §  Любое значение, отличное от 0, означает «провал» ;-) Наиболее часто встречающиеся коды ошибок ассоциации: 1 – Unknown Reason – Все, что не соответствует определенным причинам 12 – Неизвестный или выключенный SSID 17 – Ресурсы ТД полностью исчерпаны 18 – Клиент предлагает использовать неподдерживаемый datarate 35 – WLAN требует использования WMM, а клиент это не поддерживает 201 – Голосовой клиент хочет подключиться к non-platinum WLAN 202 – Недостаточно пропускной способности для голосового вызова(CAC Rejection)
  • 30. Ассоциация – FSR Processing WPA IE type 221, length 22 for mobile 00:16:ea:b2:04:36 CCKM: Mobile is using CCKM CCKM: Processing REASSOC REQ IE Including CCKM Response IE (length 62) in Assoc Resp to mobile Sending Assoc Response to station on BSSID 00:26:cb:94:44:c0 (status 0) Vap Id 6 Slot 1 OR Processing RSN IE type 48, length 22 for mobile 00:16:ea:b2:04:36 Received RSN IE with 1 PMKIDs from mobile 00:16:ea:b2:04:36 Received PMKID: (16) [0000] cb bc 27 82 88 14 92 fd 3b 88 de 6a eb 49 be c8 Found an entry in the global PMK cache for station Computed a valid PMKID from global PMK cache for mobile FSR CCKM - WPA aIOS yes CUWN yes CCKM - WPA2 yes yes WPA2 PKC no yes WPA2 "Sticky" yes yes
  • 31. Ассоциация - Резюме •  Association vs. Reassociation •  Debug отображают ТД, Радио, AP-Group, WLAN ID, Interface, Data Rates, тип шифрования Association Response Подтверждает, что клиент ассоциирован Определяет причину, если нет Дальнейший траблшутинг Может потребовать анализ пакетов в эфире или на порту ТД Если клиент не отсылает Assoc Request, надо спрашивать самого клиента Можно попробовать отключить advanced WLAN фичи (Aironet IE, МFP, CCKM, 802.11 и т.д.)
  • 32. Отладка проблем, связанных с клиентом – L2 Аутентификация
  • 33. Аутентификация 802.1X Supplicant Authenticator Server EAP-ID-Request EAP-ID-Response RADIUS (EAP-ID_Response) Остальные сообщения EAP EAP-Success Саппликант вычисляет Session Key из User Password или Certificate и Authentication Exchange Radius-Access-Accept (Key) Session Key
  • 34. WPA2-AES-802.1X Sending Assoc Response to station on BSSID 00:26:cb:94:44:c0 (status 0) ApVapId 1 Slot 0 Station 00:16:ea:b2:04:36 setting dot1x reauth timeout = 1800 dot1x - moving mobile 00:16:ea:b2:04:36 into Connecting state Sending EAP-Request/Identity to mobile 00:16:ea:b2:04:36 (EAP Id 1) Received EAPOL EAPPKT from mobile 00:16:ea:b2:04:36 Username entry (cisco) created for mobile Received Identity Response (count=1) from mobile 00:16:ea:b2:04:36 EAP State update from Connecting to Authenticating for mobile 00:16:ea:b2:04:36 dot1x - moving mobile 00:16:ea:b2:04:36 into Authenticating state ………………….. Entering Backend Auth Req state (id=3) for mobile 00:16:ea:b2:04:36 Sending EAP Request from AAA to mobile 00:16:ea:b2:04:36 (EAP Id 3) Received EAPOL EAPPKT from mobile 00:16:ea:b2:04:36 Received EAP Response from mobile 00:16:ea:b2:04:36 (EAP Id 3, EAP Type 25) ........................... Received EAP Response from mobile 00:16:ea:b2:04:36 (EAP Id 10, EAP Type 25) Entering Backend Auth Response state for mobile 00:16:ea:b2:04:36 Processing Access-Challenge for mobile 00:16:ea:b2:04:36 Entering Backend Auth Req state (id=11) for mobile 00:16:ea:b2:04:36 Sending EAP Request from AAA to mobile 00:16:ea:b2:04:36 (EAP Id 11) Received EAPOL EAPPKT from mobile 00:16:ea:b2:04:36 Received EAP Response from mobile 00:16:ea:b2:04:36 (EAP Id 11, EAP Type 25) Entering Backend Auth Response state for mobile 00:16:ea:b2:04:36 Processing Access-Accept for mobile 00:16:ea:b2:04:36 ***OR*** Processing Access-Reject for mobile 00:16:ea:b2:04:36
  • 35. Часто встречающиеся типы EAP 1 – Identity 2 – Notification 3 – NAK 4 – MD5 5 – OTP 6 – Generic Token 13 – EAP TLS 17 – LEAP 18 – EAP SIM 21 – EAP TTLS 25 – PEAP 43 – EAP-FAST Sending EAP Request from AAA to mobile 00:16:ea:b2:04:36 (EAP Id 3) Received EAPOL EAPPKT from mobile 00:16:ea:b2:04:36 Received EAP Response from mobile 00:16:ea:b2:04:36 (EAP Id 3, EAP Type 25)
  • 36. 802.1X (продолжение) (WPA2-AES-PSK) Sending Assoc Response to station on BSSID 00:26:cb:94:44:c0 (status 0) ApVapId 1 Slot 0 Creating a PKC PMKID Cache entry for station 00:16:ea:b2:04:36 (RSN 2) Adding BSSID 00:26:cb:94:44:c0 to PMKID cache for station 00:16:ea:b2:04:36 New PMKID: (16) [0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd Initiating RSN PSK to mobile 00:16:ea:b2:04:36 dot1x - moving mobile 00:16:ea:b2:04:36 into Force Auth state Skipping EAP-Success to mobile 00:16:ea:b2:04:36 Including PMKID in M1 (16) [0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd Starting key exchange to mobile 00:16:ea:b2:04:36, data packets will be dropped Sending EAPOL-Key Message to mobile 00:16:ea:b2:04:36 state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00 Received EAPOL-Key from mobile 00:16:ea:b2:04:36 Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 00:16:ea:b2:04:36 Received EAPOL-key in PTK_START state (message 2) from mobile 00:16:ea:b2:04:36 Stopping retransmission timer for mobile 00:16:ea:b2:04:36 Sending EAPOL-Key Message to mobile 00:16:ea:b2:04:36 state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01 Received EAPOL-Key from mobile 00:16:ea:b2:04:36 Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 00:16:ea:b2:04:36 Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 00:16:ea:b2:04:36 apfMs1xStateInc 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
  • 37. WPA2-AES-PSK - Failed Starting key exchange to mobile 00:1e:8c:0f:a4:57, data packets will be dropped Sending EAPOL-Key Message to mobile 00:1e:8c:0f:a4:57 state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00 Received EAPOL-Key from mobile 00:1e:8c:0f:a4:57 Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 00:1e:8c:0f:a4:57 Received EAPOL-key in PTK_START state (message 2) from mobile 00:1e:8c:0f:a4:57 Received EAPOL-key M2 with invalid MIC from mobile 00:1e:8c:0f:a4:57 802.1x 'timeoutEvt' Timer expired for station 00:1e:8c:0f:a4:57 Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 00:1e:8c:0f:a4:57 Received EAPOL-Key from mobile 00:1e:8c:0f:a4:57 Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 00:1e:8c:0f:a4:57 Received EAPOL-key in PTK_START state (message 2) from mobile 00:1e:8c:0f:a4:57 Received EAPOL-key M2 with invalid MIC from mobile 00:1e:8c:0f:a4:57 802.1x 'timeoutEvt' Timer expired for station 00:1e:8c:0f:a4:57 Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 00:1e:8c:0f:a4:57 ………………… 802.1x 'timeoutEvt' Timer expired for station 00:1e:8c:0f:a4:57 Retransmit failure for EAPOL-Key M1 to mobile 00:1e:8c:0f:a4:57, retransmit count 3, mscb deauth count 3 Blacklisting (if enabled) mobile 00:1e:8c:0f:a4:57 apfBlacklistMobileStationEntry2 (apf_ms.c:4192) Changing state for mobile 00:1e:8c:0f:a4:57 on AP 00:16:9c:4b:c4:c0 from Associated to Exclusion-list (1)
  • 38. EAP Таймеры Show advanced eap Config advanced eap <timer name> <value>
  • 39. L2 Аутентификация - Резюме •  8021X_REQD значит ожидание L2 Аутентификации Authentication/Encryption has not be established •  PSK - это 802.1X, ключ шифрования получается из PSK, а не от AAA •  Если “Processing Access-Reject” §  AAA/RADIUS отклонил пользователя (не контроллер) •  Если “Processing Access-Accept” §  AAA/Radius успешно аутентифицировал пользователя §  Начинается обмен пакетами 4-way handshake M1-M4 •  Дальнейшая отладка §  Debug aaa [all/event/detail/packet] enable §  Debug dot1x [aaa/packet] enable
  • 40. Отладка проблем, связанных с клиентом – Состояние IP Learning
  • 41. Client DHCP 00:16:ea:b2:04:36 Received EAPOL-key in PTKINITNEGOTIATING state 00:16:ea:b2:04:36 apfMs1xStateInc 00:16:ea:b2:04:36 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) 00:16:ea:b2:04:36 0.0.0.0 L2AUTHCOMPLETE (4) DHCP Not required on AP 00:26:cb:94:44:c0 vapId 3 apVapId 3for this client 00:16:ea:b2:04:36 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 00:26:cb:94:44:c0 vapId 3 apVapId 3 00:16:ea:b2:04:36 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) 00:16:ea:b2:04:36 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 4755, Adding TMP rule 00:16:ea:b2:04:36 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (ACL ID 255) 00:16:ea:b2:04:36 Stopping retransmission timer for mobile 00:16:ea:b2:04:36 *pemReceiveTask: 00:16:ea:b2:04:36 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0 ................... 00:16:ea:b2:04:36 DHCP received op BOOTREQUEST (1) (len 308,vlan 0, port 29, encap 0xec03) ................... 00:16:ea:b2:04:36 DHCP received op BOOTREPLY (2) (len 308,vlan 0, port 29, encap 0xec00) ................... 00:16:ea:b2:04:36 10.10.1.103 DHCP_REQD (7) Change state to RUN (20) last state RUN (20) 00:16:ea:b2:04:36 10.10.1.103 Added NPU entry of type 1, dtlFlags 0x0
  • 42. Client DHCP Client State = “DHCP_REQD“ DHCP Proxy Включен •  Client в состоянии DHCP_REQD •  Proxy включен: §  DHCP Relay/Proxy §  Между WLC и Сервером §  Требуется для Internal DHCP DHCP Proxy Выключен Client DHCP Discover юникастом до DHCP Сервера(ов) Client DHCP Discover бриджуется в VLAN Proxy выключен: §  Между клиентом и сервером §  DHCP отправляется широковещательно в VLAN §  Требуется IP helper, если сервер не является частью VLAN DHCP Offer от сервера Client DHCP Request DHCP ACK от сервера IP адрес получен
  • 43. DHCP Proxy включен – DHCP Discover *pemReceiveTask: 00:16:ea:b2:04:36 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0 32.151: 00:16:ea:b2:04:36 DHCP received op BOOTREQUEST (1) (len 312,vlan 0, port 29, encap 0xec03) 32.151: 00:16:ea:b2:04:36 DHCP selecting relay 1 - control block settings: dhcpServer: 0.0.0.0, dhcpNetmask: 0.0.0.0, dhcpGateway: 0.0.0.0, dhcpRelay: 0.0.0.0 VLAN: 0 32.151: 00:16:ea:b2:04:36 DHCP selected relay 1 - 10.10.1.1 (local address 10.10.1.4, gateway 10.10.1.1, VLAN 0, port 29) 32.151: 00:16:ea:b2:04:36 DHCP transmitting DHCP DISCOVER (1) 32.151: 00:16:ea:b2:04:36 DHCP op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1 32.151: 00:16:ea:b2:04:36 DHCP xid: 0x91014db0 (2432781744), secs: 0, flags: 0 32.152: 00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 32.152: 00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 0.0.0.0 32.152: 00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 10.10.1.4 32.152: 00:16:ea:b2:04:36 DHCP requested ip: 10.99.76.147 32.152: 00:16:ea:b2:04:36 DHCP sending REQUEST to 10.10.1.1 (len 346, port 29, vlan 0) 32.152: 00:16:ea:b2:04:36 DHCP selecting relay 2 - control block settings: dhcpServer: 0.0.0.0, dhcpNetmask: 0.0.0.0, dhcpGateway: 0.0.0.0, dhcpRelay: 10.10.1.4 VLAN: 0 32.152: 00:16:ea:b2:04:36 DHCP selected relay 2 - NONE
  • 44. DHCP Proxy включен – DHCP Offer 34.166: 00:16:ea:b2:04:36 DHCP received op BOOTREPLY (2) (len 308,vlan 0, port 29, encap 0xec00) 34.166: 00:16:ea:b2:04:36 DHCP setting server from OFFER (server 10.10.1.3, yiaddr 10.10.1.103) 34.167: 00:16:ea:b2:04:36 DHCP sending REPLY to STA (len 414, port 29, vlan 0) 34.167: 00:16:ea:b2:04:36 DHCP transmitting DHCP OFFER (2) 34.167: 00:16:ea:b2:04:36 DHCP op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 34.167: 00:16:ea:b2:04:36 DHCP xid: 0x91014db0 (2432781744), secs: 0, flags: 0 34.167: 00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 34.167: 00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 10.10.1.103 34.167: 00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 34.168: 00:16:ea:b2:04:36 DHCP server id: 1.1.1.1 rcvd server id: 10.10.1.3
  • 45. DHCP Proxy включен – DHCP Request 38.169: 00:16:ea:b2:04:36 DHCP received op BOOTREQUEST (1) (len 316,vlan 0, port 29, encap 0xec03) 38.169: 00:16:ea:b2:04:36 DHCP selecting relay 1 - control block settings: dhcpServer: 10.10.1.3, dhcpNetmask: 0.0.0.0, dhcpGateway: 0.0.0.0, dhcpRelay: 10.10.1.4 VLAN: 0 38.169: 00:16:ea:b2:04:36 DHCP selected relay 1 - 10.10.1.3 (local address 10.10.1.4, gateway 10.10.1.3, VLAN 0, port 29) 38.169: 00:16:ea:b2:04:36 DHCP transmitting DHCP REQUEST (3) 38.169: 00:16:ea:b2:04:36 DHCP op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1 38.170: 00:16:ea:b2:04:36 DHCP xid: 0x91014db0 (2432781744), secs: 0, flags: 0 38.170: 00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 38.170: 00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 0.0.0.0 38.170: 00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 10.10.1.4 38.170: 00:16:ea:b2:04:36 DHCP requested ip: 10.10.1.103 38.170: 00:16:ea:b2:04:36 DHCP server id: 10.10.1.3 rcvd server id: 1.1.1.1 38.170: 00:16:ea:b2:04:36 DHCP sending REQUEST to 10.10.1.3 (len 354, port 29, vlan 0) 38.170: 00:16:ea:b2:04:36 DHCP selecting relay 2 - control block settings: dhcpServer: 10.10.1.3, dhcpNetmask: 0.0.0.0, dhcpGateway: 0.0.0.0, dhcpRelay: 10.10.1.4 VLAN: 0 38.171: 00:16:ea:b2:04:36 DHCP selected relay 2 - NONE
  • 46. DHCP Proxy Включен – DHCP Ack 38.172: 00:16:ea:b2:04:36 DHCP received op BOOTREPLY (2) (len 308,vlan 0, port 29, encap 0xec00) 38.173: 00:16:ea:b2:04:36 10.10.1.103 DHCP_REQD (7) Change state to RUN (20) last state RUN (20) 38.173: 00:16:ea:b2:04:36 10.10.1.103 RUN (20) Reached PLUMBFASTPATH: from line 5273 38.173: 00:16:ea:b2:04:36 10.10.1.103 RUN (20) Replacing Fast Path rule 38.173: 00:16:ea:b2:04:36 Assigning Address 10.10.1.103 to mobile 38.173: 00:16:ea:b2:04:36 DHCP success event for client. Clearing dhcp failure count for interface management. 38.174: 00:16:ea:b2:04:36 DHCP sending REPLY to STA (len 414, port 29, vlan 0) 38.174: 00:16:ea:b2:04:36 DHCP transmitting DHCP ACK (5) 38.174: 00:16:ea:b2:04:36 DHCP op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 38.174: 00:16:ea:b2:04:36 DHCP xid: 0x91014db0 (2432781744), secs: 0, flags: 0 38.174: 00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 38.174: 00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 10.10.1.103 38.174: 00:16:ea:b2:04:36 DHCP siaddr: 10.10.1.30, giaddr: 0.0.0.0 38.174: 00:16:ea:b2:04:36 DHCP server id: 1.1.1.1 rcvd server id: 10.10.1.3 38.179: 00:16:ea:b2:04:36 10.10.1.103 Added NPU entry of type 1, dtlFlags 0x0
  • 47. DHCP Proxy Выключен – Discover/Offer *pemReceiveTask: 00:16:ea:b2:04:36 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0 *00:16:ea:b2:04:36 DHCP received op BOOTREQUEST (1) (len 312,vlan 0, port 29, encap 0xec03) *00:16:ea:b2:04:36 DHCP processing DHCP DISCOVER (1) *00:16:ea:b2:04:36 DHCP op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 0 *00:16:ea:b2:04:36 DHCP xid: 0x18a596d9 (413505241), secs: 1024, flags: 0 *00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 *00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 0.0.0.0 *00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *00:16:ea:b2:04:36 DHCP requested ip: 10.10.3.86 *00:16:ea:b2:04:36 DHCP successfully bridged packet to DS *00:16:ea:b2:04:36 DHCP received op BOOTREPLY (2) (len 308,vlan 3, port 29, encap 0xec00) *00:16:ea:b2:04:36 DHCP processing DHCP OFFER (2) *00:16:ea:b2:04:36 DHCP op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 *00:16:ea:b2:04:36 DHCP xid: 0x18a596d9 (413505241), secs: 0, flags: 0 *00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 *00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 10.10.3.86 *00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *00:16:ea:b2:04:36 DHCP server id: 10.10.3.3 rcvd server id: 10.10.3.3 *00:16:ea:b2:04:36 DHCP successfully bridged packet to STA
  • 48. DHCP Proxy Выключен – Request/Ack *00:16:ea:b2:04:36 DHCP received op BOOTREQUEST (1) (len 316,vlan 0, port 29, encap 0xec03) *00:16:ea:b2:04:36 DHCP processing DHCP REQUEST (3) *00:16:ea:b2:04:36 DHCP op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 0 *00:16:ea:b2:04:36 DHCP xid: 0x18a596d9 (413505241), secs: 1024, flags: 0 *00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 *00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 0.0.0.0 *00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *00:16:ea:b2:04:36 DHCP requested ip: 10.10.3.86 *00:16:ea:b2:04:36 DHCP server id: 10.10.3.3 rcvd server id: 10.10.3.3 *00:16:ea:b2:04:36 DHCP successfully bridged packet to DS *00:16:ea:b2:04:36 DHCP received op BOOTREPLY (2) (len 308,vlan 3, port 29, encap 0xec00) *00:16:ea:b2:04:36 DHCP processing DHCP ACK (5) *00:16:ea:b2:04:36 DHCP op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 *00:16:ea:b2:04:36 DHCP xid: 0x18a596d9 (413505241), secs: 0, flags: 0 *00:16:ea:b2:04:36 DHCP chaddr: 00:16:ea:b2:04:36 *00:16:ea:b2:04:36 DHCP ciaddr: 0.0.0.0, yiaddr: 10.10.3.86 *00:16:ea:b2:04:36 DHCP siaddr: 0.0.0.0, giaddr: 0.0.0.0 *00:16:ea:b2:04:36 DHCP server id: 10.10.3.3 rcvd server id: 10.10.3.3 *00:16:ea:b2:04:36 10.10.3.86 DHCP_REQD (7) Change state to RUN (20) last state RUN (20) *00:16:ea:b2:04:36 Assigning Address 10.10.3.86 to mobile *00:16:ea:b2:04:36 DHCP successfully bridged packet to STA *00:16:ea:b2:04:36 10.10.3.86 Added NPU entry of type 1, dtlFlags 0x0
  • 49. Как контроллер узнает ip адрес клиента без DHCP *Orphan Packet from 10.99.76.147 on mobile *0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (ACL ID 255) *Installing Orphan Pkt IP address 10.99.76.147 for station *10.99.76.147 DHCP_REQD (7) Change state to RUN (20) last state RUN (20) •  Контроллер может узнать IP адрес клиента не только из DHCP обмена §  Клиент отсылает gratuitous ARP или ARP Request (Static Client) §  Клиент отправляет IP пакет (Orphan Packet), мы учим IP §  Кто-то шлет пакет клиенту, мы учим IP из этого пакета •  Некоторые клиенты начинают отсылать пакеты до окончания DHCP •  Клиент должен сам понять, что его адрес не подходит для данной подсети •  Настройка DHCP Required на WLAN защищает от этого
  • 50. Client DHCP - Резюме •  DHCP_REQD означает состояние получения ip адреса Только если опция “Required” включена на контроллере •  Если Proxy включен Убедитесь, что DHCP сервер на интерфейсе (или Wlan) настроен правильно DHCP сервер может не отвечать WLC Proxy (межсетевые экраны?) •  Если Proxy выключен, DHCP работает аналогично проводному •  Дальнейшая отладка Проверьте состояние дел на стороне DHCP сервера Если WLC не отображает BOOTREQUEST, убедитесь, что клиентский запрос приходит на контроллер и уходит с него корректно Если Вы все еще верите, что дело в WLC: debug dhcp message enable
  • 51. Отладка проблем, связанных с клиентом – L3 Authentication
  • 52. Webauth *apfReceiveTask: 00:16:ea:b2:04:36 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (ACL ID 255) *pemReceiveTask: 00:16:ea:b2:04:36 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0 *DHCP Proxy DTL Recv Task: 00:16:ea:b2:04:36 DHCP received op BOOTREQUEST (1) (len 312,vlan 0, port 29, encap 0xec03) ……………………………... *DHCP Proxy DTL Recv Task: 00:16:ea:b2:04:36 10.10.3.86 DHCP_REQD (7) Change state to WEBAUTH_REQD (8) last state WEBAUTH_REQD (8) *DHCP Proxy DTL Recv Task: 00:16:ea:b2:04:36 10.10.3.86 WEBAUTH_REQD (8) pemAdvanceState2 5170, Adding TMP rule *DHCP Proxy DTL Recv Task: 00:16:ea:b2:04:36 10.10.3.86 WEBAUTH_REQD (8) Successfully plumbed mobile rule (ACL ID 255) *DHCP Proxy DTL Recv Task: 00:16:ea:b2:04:36 Assigning Address 10.10.3.86 to mobile *pemReceiveTask: 00:16:ea:b2:04:36 10.10.3.86 Added NPU entry of type 2, dtlFlags 0x0 *pemReceiveTask: 00:16:ea:b2:04:36 Sent an XID frame *apfReceiveTask: 00:16:ea:b2:04:36 Orphan Packet from 10.10.3.86 on mobile *apfReceiveTask: 00:16:ea:b2:04:36 Orphan Packet from 10.10.3.86 on mobile *apfReceiveTask: 00:16:ea:b2:04:36 Orphan Packet from 10.10.3.86 on mobile ……………………………… *emWeb: 00:16:ea:b2:04:36 Username entry (cisco) created for mobile *emWeb: 00:16:ea:b2:04:36 10.10.3.86 WEBAUTH_REQD (8) Change state to WEBAUTH_NOL3SEC (14) last state WEBAUTH_NOL3SEC (14) *emWeb: 00:16:ea:b2:04:36 10.10.3.86 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state RUN (20) *emWeb: 00:16:ea:b2:04:36 Session Timeout is 1800 - starting session timer for the mobile *emWeb: 00:16:ea:b2:04:36 10.10.3.86 RUN (20) Reached PLUMBFASTPATH: from line 5063 *emWeb: May 17 22:25:16.564: 00:16:ea:b2:04:36 10.10.3.86 RUN (20) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 5006 IPv6 Vlan = 3, IPv6 intf id = 8 *emWeb: May 17 22:25:16.564: 00:16:ea:b2:04:36 10.10.3.86 RUN (20) Successfully plumbed mobile rule (ACL ID 255) *pemReceiveTask: May 17 22:25:16.578: 00:16:ea:b2:04:36 10.10.3.86 Added NPU entry of type 1, dtlFlags 0x0
  • 53. Webauth Redirect Webauth Client State = “WEBAUTH_REQD“ Работают ARP и DNS •  •  •  •  •  Клиент в состоянии WEBAUTH_REQD Отработали ARP и DNS Пользователь открывает web браузер WLC “перехватывает” запрос Клиент перенаправляется на виртуальный интерфейс •  Установление SSL сессии •  Отображается страница веб аутентификации •  Пользователь аутентифицируется 3-Way Handshake HTTP HTTP GET 200 Response 3-Way Handshake HTTP(S) GET Webauth Page Displayed Успешная аутентификация Состояние клиента = “RUN“
  • 54. Убедитесь, что ARP и DNS Работают ARP и DNS
  • 55. Анализ пакетов с беспроводного адаптера 3-Way Handshake HTTP GET 200 Response 3-Way Handshake HTTP(S) GET Webauth Page Displayed Webauth Redirect WLC отвечает SYN, ACK Редирект на виртуальный интерфейс WLC отвечает с SYN, ACK Обмен между клиентом и Webauth…. Адрес редиректа клиента (Virtual IP/ Name)
  • 56. Webauth - Резюме •  Если WEBAUTH_REQD, то клиент еще не аутентифицирован Контроллер пропускает только DHCP, ARP, DNS, Pre-Auth ACL, IPv6* •  Если не сработал редирект, доступен ли клиенту виртуальный IP? •  Проблема с сертификатом? Попробуйте выключить HTTPS для HTTP webauth •  Самая распространенная проблема в ARP/DNS Необзодимо убедиться в том, что клиент на самом деле отправляет TCP SYN (http) •  Если установлено, что TCP SYN отправлен, и WLC не отвечает SYN ACK, тогда это может быть проблемой на стороне WLC §  §  §  §  Debug webauth enable <client ip address> debug client <MAC Address> debug pm ssh-appgw enable debug pm ssh-tcp enable
  • 57. Отладка проблем, связанных с клиентом – Состояние Run
  • 58. Состояние Run 10.10.3.82 DHCP_REQD (7) Change state to RUN (20) last state RUN (20) 10.10.3.82 RUN (20) Reached PLUMBFASTPATH: from line 5273 10.10.3.82 Added NPU entry of type 1, dtlFlags 0x0 или 10.10.3.86 WEBAUTH_REQD (8) Change state to WEBAUTH_NOL3SEC (14) 10.10.3.86 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state RUN (20) Session Timeout is 1800 - starting session timer for the mobile 10.10.3.86 RUN (20) Reached PLUMBFASTPATH: from line 5063 10.10.3.86 Added NPU entry of type 1, dtlFlags 0x0 §  Состояние RUN - это состояние, в котором клиенту разрешено передавать свой трафик §  Клиент подключен и должен работать
  • 59. Отладка клиента– Deauth/Disassoc
  • 60. Отключение клиентов §  Idle Timeout Срабатывает, если от клиента не было трафика Значение по умолчанию 300 секунд Received Idle-Timeout from AP 00:26:cb:94:44:c0, slot 0 for STA 00:1e:8c:0f:a4:57 apfMsDeleteByMscb Scheduling mobile for deletion with deleteReason 4, reasonCode 4 Scheduling deletion of Mobile Station: (callerId: 30) in 1 seconds apfMsExpireCallback (apf_ms.c:608) Expiring Mobile! Sent Deauthenticate to mobile on BSSID 00:26:cb:94:44:c0 slot 0(caller apf_ms.c:5094) §  Session Timeout Срабатывает в заранее определенные промежутки времени (по умолчанию 1800 секунд) Заставит WEBAUTH пользователей заново вводить логин/пароль apfMsExpireCallback (apf_ms.c:608) Expiring Mobile! apfMsExpireMobileStation (apf_ms.c:5009) Changing state for mobile 00:1e:8c:0f:a4:57 on AP 00:26:cb:94:44:c0 from Associated to Disassociated Scheduling deletion of Mobile Station: (callerId: 45) in 10 seconds apfMsExpireCallback (apf_ms.c:608) Expiring Mobile! Sent Deauthenticate to mobile on BSSID 00:26:cb:94:44:c0 slot 0(caller apf_ms.c:5094) BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 60
  • 61. Отключение клиентов §  Смена WLAN Модифицирование настроек WLAN всегда отключает и включает WLAN apfSendDisAssocMsgDebug (apf_80211.c:1855) Changing state for mobile 00:1e:8c:0f:a4:57 on AP 00:26:cb:94:44:c0 from Associated to Disassociated Sent Disassociate to mobile on AP 00:26:cb:94:44:c0-0 (reason 1, caller apf_ms.c:4983) Sent Deauthenticate to mobile on BSSID 00:26:cb:94:44:c0 slot 0(caller apf_ms.c:5094) §  Ручное отключение Из GUI: Remove Client Из CLI: config client deauthenticate <mac address> apfMsDeleteByMscb Scheduling mobile for deletion with deleteReason 6, reasonCode 1 Scheduling deletion of Mobile Station: (callerId: 30) in 1 seconds apfMsExpireCallback (apf_ms.c:608) Expiring Mobile! apfMsExpireMobileStation (apf_ms.c:5009) Changing state for mobile 00:1e:8c:0f:a4:57 on AP 00:26:cb:94:44:c0 from Associated to Disassociated Sent Deauthenticate to mobile on BSSID 00:26:cb:94:44:c0 slot 0(caller apf_ms.c:5094) BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 61
  • 62. Отключение устройства §  Тайм-аут аутентификации Auth или Key Exchange max-retransmissions Retransmit failure for EAPOL-Key M3 to mobile 00:1e:8c:0f:a4:57, retransmit count 3, mscb deauth count 0 Sent Deauthenticate to mobile on BSSID 00:26:cb:94:44:c0 slot 0(caller 1x_ptsm.c:534) §  Перезагрузка ТД (радио)(Мощность/Канал) ТД де-ассоциирует клиентов, но WLC запись о них не удаляет Cleaning up state for STA 00:1e:8c:0f:a4:57 due to event for AP 00:26:cb:94:44:c0(0) apfSendDisAssocMsgDebug (apf_80211.c:1855) Changing state for mobile 00:1e:8c:0f:a4:57 on AP 00:26:cb:94:44:c0 from Associated to Disassociated Sent Disassociate to mobile on AP 00:26:cb:94:44:c0-0 (reason 1, caller apf_ms.c:4983) BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 62
  • 63. Отключение устройств - Резюме §  Клиенты могут быть отключены по несколькими причинам Изменение настроек WLAN, изменение настроек ТД, настроенные интервалы §  Начните с Client Debug, чтобы понять причину деаутентификации клиента §  Дальнейшая отладка Client debug должен дать понимание того, какой тип аутентификации срабатывает Для определения точной причины может потребоваться пакетный дамп или логи клиента
  • 64. Отладка проблем, связанных с клиентом – Резюме
  • 65. Client Connectivity Unified Wireless Network: Troubleshoot Client Issues Document ID: 107585 •  Ошибки настройки Несовпадение SSID Несовпадение настроек безопасности Выключенные WLAN Неподдерживаемые Data-Rates Disabled Clients Radio Preambles •  Функционал Cisco – проблемы со сторонними клиентами Aironet IE MFP
  • 66. Скорости 802.11n Troubleshoot 802.11n Speeds Document ID: 112055 Проблемы с настройкой §  §  §  §  §  11n Support Enabled WMM настроен Allowed или Required Open или WPA2-AES Ширина 5ГГЦ каналов 2.4ГГЦ не поддерживает 40МГц каналы
  • 67. Подключение ТД к контроллеру
  • 68. Подключение ТД к контроллеру ТД запускает алгоритм Hunting для поиска контроллеров
  • 69. ТД – процесс поиска контроллеров §  Discovery Req отсылаются всем контроллерам §  Broadcast §  Доходит до контроллеров, расположенных в одном с ТД VLAN §  Используйте “ip helper-address <ip>” с “ip forward-protocol udp” §  Dynamic DNS: cisco-capwap-controller.domain DHCP: Option 43 §  Configured (nvram) High Availability WLCs – Pri/Sec/Ter/Backup Последний WLC Все контроллеры одной с последним WLC мобилити группы Настроенный вручную на ТД - “capwap ap controller ip address <ip>”
  • 70. Процесс поиска контроллеров Точка доступа отсылает discovery request всем контроллерам X broadcast §  Каждый контроллер, получивший Discovery request, отсылает ТД Discover Response
  • 71. Выбор контроллера/подключение •  Контроллеры отсылают Discovery Response точке доступа Имя, Емкость, Число ТД, Master?, AP-MGR, Нагрузка на AP-MGR •  ТД выбирает одного наилучшего кандидата из High Availability Config: Primary/Secondary/Tertiary/Backup Master Controller С наибольшей емкостью С максимальным соотношением общей емкости к текущей •  ТД отсылает Join Request выбранному кандидату Контроллер отвечает Join Response ТД подключается и получает конфигурацию (или загружает ПО в случае несовпадения)
  • 72. Отладка подключения ТД •  “Lightweight AP (LAP) Registration to a Wireless LAN Controller (WLC)”, Document ID 70333 •  Убедитесь в правильности установки времени на контроллере! •  Со стороны ТД: Debug ip udp Debug capwap client events •  Со стороны контроллера Debug mac addr <AP ethernet mac> Debug capwap [event/error/packet] enable Debug pm pki enable BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 72
  • 73. Заключение
  • 74. Заключение Client WLC - show run-config, debug client <mac>, debug dhcp message enable, debug dot1x <?> enable, debug aaa <?> enable, AP - Show tech, show controller D<0/1> Data - Driver/Supplicant Logs, Wireless Capture, AAA Logs, DHCP Logs Webauth WLC - (Client debugs), debug webauth enable <IP>, debug pm ssh-appgw enable, debug pm ssh-tcp enable Client - local capture Mobility WLC - debug mobility handoff enable, debug mobility keepalive enable <IP> Data - Wired capture AP Join WLC - debug capwap [events/error/packet] enable AP - debug capwap client events, debug ip udp Data - Wired capture RRM WLC - show run-config, debug airewave-director <?> AP - debug capwap rm measurements, debug capwap rm rogue Multicast/Broadcast AP - show capwap mcast, show capwap mcast mgid all Data - Infrastructure Configuration Voice WLC - (Client debugs), debug cac all enable Data – Wireless capture, Phone traces
  • 75. Заключение Полезные ссылки §  Understanding Debug Client on Wireless LAN Controllers (WLCs) Document ID: 100260 §  Unified Wireless Network: Troubleshoot Client Issues Document ID: 107585 §  Troubleshoot 802.11n Speeds Document ID: 112055 §  Troubleshoot a Lightweight Access Point Not Joining a Wireless LAN Controller Document ID: 99948 BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 75
  • 76. Ваше мнение очень важно для нас!!! BRKEWN-3011 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 76

×