思科室外AP無法註冊到WLC
思科的一些新的室外AP,在購買回來時,有時候會出現無法加入WLC的情況,現象基本是無法加入,或感覺加入了,立馬又掉了。
例如:
AIR-AP1562E-H-K9
AIR-AP1572EAC-H-K9
一、具體的原因分析如下:
1、客戶需要購買的AP是Lightweight AP,但是收到AP後,AP的模式不正確,導致加入WLC存在問題。
2、這類AP出廠可能的模式為bridge或mesh等模式。
通過在CLI debug可能出現的現象:
[........]Failed to decode discovery response.
[........]
[........]Failed to handle capwap control message from controller-status 4
[........]Failed to process unencrypted capwap packet 0x17a6000 from x.x.x.x
[........]Failed to send capwap message 0 to the state machine,Packet already freed.
[........]Discovery Response from x.x.x.x
[........]Discovery response from MWAR 'xxzx' running version 8.2.151.0 is rejected.
[........]Failed to decode discovery response.
[........]CAPWAP SM handler:Failed to process message type 2 state 2.
[........]Failed to handle capwap control message from controller-status 4
[........]Failed to process unencrypted capwap packet 0x1791000 from y.y.y.y
[........]Failed to send capwap message 0 to the state machine,Packet already freed.
[........]IPv4 wtpProcessPacketFromSocket returned 4.
[........]set led_patteren 12
[........]CAPWAP State:DTLS Setup
[........]dtls_load_ca_certs:LSC Root Certificate not present
......
或者在GUI介面觀察:
二、解釋:
在LAP註冊過程中,LAP和WLC使用X.509證書進行相互身份驗證。
X.509證書在出廠AP和WLC上都被刻錄到受保護的其快閃記憶體中。在AP上,出廠安裝的證書稱為製造安裝證書(manufacturing installed certificates,MIC)。 2005年7月18日之後生產的所有思科AP都有MIC。
2005年7月18日之前製造的Cisco Aironet 1200,1130和1240 AP已從自主IOS升級到輕量接入點協議(LWAPP)IOS,在升級過程中生成自簽名證書(self-signed certificate,SSC)。有關如何使用SSC管理AP的資訊,請參閱將自主Cisco Aironet接入點升級到輕量級模式。
https://www.cisco.com/en/US/docs/wireless/access_point/conversion/lwapp/upgrade/guide/lwapnote.html
除了在註冊過程中發生的這種相互認證之外,WLC還可以基於LAP的MAC地址限制向其註冊的LAP。
通過使用LAP的MAC地址以不用太在意密碼的強壯性,WLC在通過RADIUS伺服器授權AP之前會使用MIC來驗證AP。
MIC的使用提供了強大的身份驗證。
LAP授權可以通過兩種方式執行:
1、使用WLC上的內部授權列表
2、在AAA伺服器上使用MAC地址資料庫
LAP的行為因使用的證書而異:
具有SSC的LAP:WLC將僅使用內部授權列表,並且不會將請求轉發到RADIUS伺服器以用於這些LAP。
具有MIC的LAP:可以使用WLC上配置的內部授權列表,也可以使用RADIUS伺服器授權LAP
三、解決方法
一般的,我們可以在WLC上去新增這些AP的MAC地址,以使得LAP可以加入WLC。通過GUI來新增AP的MAC地址:Security>AAA>AP Policies
AP加入後,可以修改其模式,例如,修改為Local。
或者:
我們在使用的AP的時候,直接console到AP的CLI介面,然後輸入capwap ap mode local
將它直接修改為local模式,註冊到對應WLC應該也是沒有問題的。
注意:首先得保證WLC的軟體版本是正常該型號的LAP的!
關於Lightweight Access Point (LAP) Authorization 更詳細的,可以參考思科文件:
https://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/98848-lap-auth-uwn-config.html#conf