أستكشاف أخطاء اتصال CMX وإصلاحها باستخدام WLC

المقدمة

يصف هذا المستند أساليب أستكشاف أخطاء الاتصال الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) وإصلاحها، والتي يتم توحيدها وتجميعها باستخدام تجربة Connected Mobile (CMX).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بعملية التكوين ودليل النشر.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• CMX 10.2.3-34
• WLC 2504 / 8.2.141.0
• Virtual WLC 8.3.102.0
• الوصول المجمع WLC3650-24TS / 03.06.05E

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

ملاحظة: إذا كنت تستخدم CMX 10.6، فأنت بحاجة إلى تثبيت حزمة خاصة من أجل التبديل إلى المستخدم الجذري. اتصل ب Cisco TAC لتثبيته. 

أيضا، في بعض الحالات حتى مع تصحيح جذر، تحتاج إلى تنفيذ الأمر باستخدام المسار الكامل، على سبيل المثال. "/bin/snmpwalk ..." في حالة عدم عمل "snmpwalk".

معلومات أساسية

تركز هذه المقالة على الحالات التي تتم فيها إضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى CMX ويفشل، أو تظهر عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) على أنها غير صحيحة أو غير نشطة. بشكل أساسي عند عدم ظهور نفق بروتوكول خدمة تنقل الشبكة (NMSP) أو عندما تظهر إتصالات NMSP على أنها غير نشطة.

يحدث الاتصال بين WLC و CMX باستخدام NMSP.

تعمل NMSP على منفذ TCP 16113 باتجاه عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) واستنادا إلى TLS، والذي يتطلب تبادل شهادة (تجزئة المفتاح) بين محرك خدمات التنقل (MSE)/CMX ووحدة التحكم. يتم بدء نفق أمان طبقة النقل/طبقة مآخذ التوصيل الآمنة (TLS/SSL) بين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) و CMX بواسطة وحدة التحكم.

أستكشاف سيناريوهات الأعطال المحتملة وإصلاحها

الموضع الأول الذي سيتم البدء به هو مخرج الأمر هذا.

قم بتسجيل الدخول إلى سطر أوامر CMX وقم بتشغيل الأمر cmxctl config controllers show.

** To troubleshoot INACTIVE/INVALID controllers verify that:
the controller is reachable
the controller's time is same or ahead of MSE time
the SNMP port(161) is open on the controller
the NMSP port(16113) is open on the controller
the controller version is correct
the correct key hash is pushed across to the controller by referring the following:
+-------------------+-----------------------------------------------------------------------+
| MAC Address       | 00:50:56:99:47:61                                                     |                                                   |
+-------------------+-----------------------------------------------------------------------+
| SHA1 Key          | f216b284ba16ac827313ea2aa5f4dec1817f1069                              |
+-------------------+-----------------------------------------------------------------------+
| SHA2 Key          | 2e359bd5e83f32c230b03ed8172b33652ce96c978e2733a742aaa3d47a653a02      |
+-------------------+-----------------------------------------------------------------------+

أيضا، ال CMX {upper}mac address و hash-key يستطيع كنت أسست من الإنتاج:

يظهر الإخراج، عندما يكون هناك على الأقل واحد غير نشط، قائمة إختيار:

1. قابلية الوصول
2. الوقت
3. بروتوكول إدارة الشبكات البسيط (SNMP) 161 منفذ
4. منفذ NMSP 16113
5. الإصدار
6. تجزئة صحيحة تم دفعها على وحدة التحكم

التحقق من إمكانية الوصول

للتحقق من إمكانية الوصول إلى وحدة التحكم، قم بتشغيل إختبار اتصال من CMX إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

مزامنة الوقت

أفضل ممارسة هي الإشارة إلى كل من CMX و WLC إلى خادم بروتوكول وقت الشبكة (NTP) نفسه.

في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الموحد (AireOS)، يتم تعيين ذلك باستخدام الأمر:

config time ntp server <index> <IP address of NTP>

في برنامج Converged Access IOS-XE، قم بتشغيل الأمر:

(config)#ntp server <IP address of NTP>

لتغيير عنوان IP الخاص بخادم NTP في CMX (قبل CMX 10.6):

الخطوة 1. قم بتسجيل الدخول إلى سطر الأوامر على هيئة CMXADMIN، والتبديل إلى المستخدم الجذري <su root>.

الخطوة 2. قم بإيقاف جميع خدمات CMX باستخدام الأمر cmxctl stop -a.

الخطوة 3. قم بإيقاف تحديد NTP باستخدام توقف خدمة الأوامر ntpd.

الخطوة 4. بمجرد إيقاف كل العملية، قم بتشغيل الأمر vi /etc/ntp.conf. طقطقت i أن يحول أن يدرج أسلوب ويغير العنوان، بعد ذلك طقطقت esc وطبعت :wq أن يحفظ التشكيل.

الخطوة 5. بمجرد تغيير المعلمة، قم بتشغيل الأمر service ntpd start.

الخطوة 6. تحقق من إمكانية الوصول إلى خادم NTP باستخدام الأمر ntpdate -d <عنوان IP الخاص بخادم NTP>.

الخطوة 7. السماح بخمس دقائق على الأقل، لإعادة تشغيل خدمة NTP والتحقق منها باستخدام الأمر ntpstat.

الخطوة 8. بمجرد مزامنة خادم NTP مع CMX، قم بتشغيل الأمر cmxctl restart لإعادة تشغيل خدمات CMX والتبديل مرة أخرى إلى مستخدم cmxadmin.

بعد CMX 10. 6، يمكنك التحقق من تكوين CMX NTP وتغييره بهذه الطريقة :

الخطوة 1. تسجيل الدخول إلى سطر الأوامر على هيئة CMXADMIN

الخطوة 2. التحقق من مزامنة NTP باستخدام NTP الخاصة بصحة CMXOS

الخطوة 3.  إذا كنت ترغب في إعادة تكوين خادم NTP، فيمكنك إستخدام CMXOS ntp clear ثم cmxos ntp type.

الخطوة 4. بمجرد مزامنة خادم NTP مع CMX، قم بتشغيل الأمر cmxctl restart لإعادة تشغيل خدمات CMX والتبديل مرة أخرى إلى مستخدم cmxadmin.

إمكانية الوصول إلى SNMP

للتحقق من إمكانية وصول CMX إلى SNMP إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، قم بتشغيل الأمر في CMX:

Snmpwalk -c <name of community> -v 2c <IP address of WLC>.

يفترض هذا الأمر أن WLC يشغل الإصدار 2 الافتراضي من SNMP. في الإصدار 3، يبدو الأمر كما يلي :

snmpwalk -v3  -l authPriv -u <snmpadmin> -a SHA -A <password>  -x AES -X <PRIvPassWord> 127.0.0.1:161 system

إذا لم يتم تمكين بروتوكول SNMP، أو اسم المجتمع خطأ، فتكون المهلة قائمة. إذا نجح، فيمكنك مشاهدة محتوى قاعدة بيانات SNMP بالكامل الخاص بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC).

ملاحظة: لن يتم إنشاء الاتصال بين CMX و WLC إذا كان CMX في الشبكة الفرعية نفسها الخاصة بمنفذ خدمة WLC.

قابلية الوصول إلى NMSP

للتحقق من إمكانية وصول CMX إلى NMSP إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، قم بتشغيل الأوامر:

في CMX:

 netstat -a | grep 16113

في عنصر التحكم في الشبكة المحلية اللاسلكية:

show nmsp status
show nmsp subscription summary

توافق الإصدار

تحقق من توافق الإصدار مع أحدث مستند.

http://www.cisco.com/c/en/us/td/docs/wireless/compatibility/matrix/compatibility-matrix.html#pgfId-229490

تجزئة صحيحة تم دفعها على وحدة التحكم

التجزئة غير موجودة على AireOS من جانب وحدة التحكم

عادة، تضيف عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) شاحا 2 واسم المستخدم تلقائيا. يمكن التحقق من المفاتيح باستخدام الأمر show auth-list.

(Cisco Controller) >show auth-list


Authorize MIC APs against Auth-list or AAA ...... disabled
Authorize LSC APs against Auth-List ............. disabled
APs Allowed to Join
 AP with Manufacturing Installed Certificate.... yes
 AP with Self-Signed Certificate................ no
 AP with Locally Significant Certificate........ no

Mac Addr                  Cert Type    Key Hash
-----------------------   ----------   ------------------------------------------
00:50:56:99:6a:32     LBS-SSC-SHA256    7aa0d8facc0aa4a5a65b374f7d16972d142f4bb4823d91b7bc143811c7534e32

إذا لم يكن مفتاح التجزئة وعنوان MAC ل CMX موجودين في الجدول، بعد ذلك من الممكن إضافته يدويا في WLC:

config auth-list add sha256-lbs-ssc <mac addr of CMX> <sha2key>

التجزئة غير موجودة على جانب وحدة التحكم في الوصول المجمع IOS-XE

في وحدات تحكم NGWC، يلزمك تشغيل الأوامر يدويا كما يلي:

nmsp enable
username<cmx mac-addr> mac aaa attribute list <list name>
aaa attribute list CMX
attribute type password <CMX sha2 key >

ملاحظة: يجب إضافة CMX mac-addr بدون علامة ترقيم نقطتين (:)

لاستكشاف أخطاء مفتاح التجزئة وإصلاحها:

 Switch#show trace messages nmsp connection

[12/19/16 14:57:50.389 UTC 4dd 8729] sslConnectionInit: SSL_do_handshake for conn ssl 587c85e0, conn state: INIT, SSL state: HANDSHAKING
[12/19/16 14:57:50.395 UTC 4de 8729] Peer certificate Validation Done for conn ssl 587c85e0, calling authlist..
[12/19/16 14:57:50.396 UTC 4df 8729] Client Cert Hash Key [2e359bd5e83f32c230b03ed8172b33652ce96c978e2733a742aaa3d47a653a02]
[12/19/16 14:57:50.397 UTC 4e0 8729] Authlist authentication failed for conn ssl 587c85e0
[12/19/16 14:57:51.396 UTC 4e1 8729] Peer Not Validated against the AuthList

إذا كنت لا تزال تواجه أي مشاكل، فارجع منتديات دعم Cisco للحصول على المساعدة. يمكن أن تساعدك المخرجات والقائمة المرجعية المذكورة في هذه المقالة بالتأكيد في تقليل مشكلتك على المنتديات أو يمكنك فتح طلب دعم TAC.