註冊、1131、WLC、CISCO

前幾天用戶打來電話說是行政樓的無線網絡不好用了，所有AP都亮紅燈！很奇怪，因為前一天使用都正常，怎麽全部都不好用了呢？

趕到用戶現場登錄WLC，發現WLC上了少了很多AP，而這些AP都是1131的，其它的型號的1142、1602都工作正常，難道真的都壞了？

查看WLC日誌，看到日誌，恍惚記得以前看到過一篇文章，說是AP因為使用證書問題不能註意到控制器上，為了驗證這個問題，我找到了一個確認好用的AP接入到網絡中，發現這個好用的AP仍然不能註冊到控制器上。看來真是那個證書過期問題了。

進一步查閱文檔發現：AP在出廠的時候，內部會有一個證書，當使用時間超出了證書的有效時間時，AP是不能再join到WLC的，這個時間一般是10年，與用戶一起回憶了一下，這批1131的AP也的確差不多是10年前部署的。

查看思科官方的文檔發現這算是一個BUG：CSCuq19142

在WLC上查看日誌，會有如下類似信息：

*osapiBsnTimer: Oct 29 11:05:04.571: #DTLS-3-HANDSHAKE_FAILURE: openssl_dtls.c:2962 Failed to complete DTLS handshake with peer 192.168.202.8。

我控制器上的日誌信息沒有保存，不過跟顯示一樣。

確認證書有效時間的方法如下：

在控制器上運行show ap inventory all

*********************************以下內容摘自思科官網*********************************************

(Cisco Controller) >show ap inventory all
Inventory for lap1130-sw3-9
NAME: "Cisco AP" , DESCR: "Cisco Wireless Access Point"
PID: AIR-LAP1131AG-E-K9, VID: V01, SN: FCZ1128Q0PE
NAME: "Dot11Radio0" , DESCR: "802.11G Radio"
PID: UNKNOWN, VID: , SN: GAM112706LC
NAME: "Dot11Radio1" , DESCR: "802.11A Radio"

PID: UNKNOWN, VID: , SN: ALP112706LC
The AP chassis SN is in the first section of the output, for example: PID: AIR-LAP1131AG-E-K9, VID: V01, SN: FCZ1128Q0PE
The serial number format is: "LLLYYWWSSSS"; where "YY" is the year of manufacture and "WW" is the week of manufacture. The date code can be found in the 4 middle digits of the serial number.
Manufacturing Year Codes:
01 = 1997 06 = 2002 11 = 2007 16 = 2012
02 = 1998 07 = 2003 12 = 2008 17 = 2013
03 = 1999 08 = 2004 13 = 2009 18 = 2014
04 = 2000 09 = 2005 14 = 2010
05 = 2001 10 = 2006 15 = 2011

Manufacturing Week Codes:
1-5 : January 15-18 : April 28-31 : July 41-44 : October
6-9 : February 19-22 : May 32-35 : August 45-48 : November
10-14 : March 23-27 : June 36-40 : September 49-52 : December

Example: SN FCZ1128Q0PE has year code 11, meaning it was manufactured in 2007. The week code is 12, meaning it was manufactured in March.
The SN can also be found using Prime Infrastructure Reporting to find SNs for all of the APs.

********************************************************************************************************************

我查看了一下我控制器中AP的信息如下：
NAME: "Cisco AP" , DESCR: "Cisco Wireless Access Point"
PID: AIR-LAP1131AG-C-K9, VID: V01, SN: FOC12172U3Q
NAME: "Dot11Radio0" , DESCR: "802.11G Radio"
PID: UNKNOWN, VID: , SN: GAM12172U3Q
NAME: "Dot11Radio1" , DESCR: "802.11A Radio"
PID: UNKNOWN, VID: , SN: ALP12172U3Q

NAME: "Cisco AP" , DESCR: "Cisco Wireless Access Point"
PID: AIR-LAP1131AG-C-K9, VID: V01, SN: FOC12174E38
NAME: "Dot11Radio0" , DESCR: "802.11G Radio"
PID: UNKNOWN, VID: , SN: GAM12174E38
NAME: "Dot11Radio1" , DESCR: "802.11A Radio"
PID: UNKNOWN, VID: , SN: ALP12174E38

通過對照發現我的AP是在2008年4月制造出廠的。

真沒有想到竟然趕上了AP了生死大劫！

目前這種問題的處理方法有兩種：

（1）升級無線控制器，目前一些新的版本已經禁用了MIC和SSC的生存周期有效性檢查，允許具有10年以上MIC或SSC的AP 加入。但是升級有可能面臨一個問題，那就升級後的WLC不支持一些老型號的AP了。這點需要慎重考慮。

（2）修改WLC的時間，往前修改，但是不要往前太久了，不然有一些新的AP就不被支持了。

在這裏我們的解決方法是修改WLC的時間，把時間向前調了4年，調完後，再觀察WLC，發現一會兒那些掉線的AP都正常註冊上來了。至此，故障解決了！

Cisco 1131AP掉線問題處理