Resolución de problemas de acceso definido por software inalámbrico en Cisco DNA Center

Introducción

Este documento describe las preguntas frecuentes sobre redes inalámbricas y cómo resolver problemas de acceso definido por software en Cisco DNA Center.

Hoja de referencia de comandos para fabric

Éstas son la hoja de referencia de comandos para el fabric en el nodo de control, el nodo perimetral, el controlador de LAN inalámbrica (WLC) y el punto de acceso (AP).

Nodo de control:

• show lisp instance-id <L2 ap instance id> ethernet server - Asignación de identificación de MAC a terminal (EID)
• show lisp instance-id <L3 ap instance id> ipv4 server - Asignación de IP a EID
• show lisp instance-id 8188 ethernet server address-Resolution - MAC to IP Mapping for a specific instance ID
• show lisp site
• show tech-support
• show tech-support lisp

Nodo de borde:

• show lisp instance-id <L2 ap instance id> ethernet database wlc
• show lisp instance-id <L2 client instance id> ethernet database wlc
• show access-tunnel summary
• show platform software fed switch active ifm interfaces access-tunnel
• show platform software access-tunnel switch active R0
• show platform software access-tunnel switch active R0 statistics
• show platform software access-tunnel switch active F0
• show platform software access-tunnel switch active F0 statistics
• show platform software object-manager switch active F0 statistics
• show platform software object-manager switch active F0 pending-issue-update
• show platform software object-manager switch active F0 pending-ack-update
  
• show platform software object-manager switch active F0 error-object
• show tech-support
• show tech-support lisp

WLC (AireOS):

• show fabric ap summary
• show fabric summary
• show fabric map-server summary
• show run-config
• show run-config
• show tech

WLC (IOS-XE)

• show ap summary
• show fabric ap summary
• show wireless fabric summary
• show wireless client summary
• show tech-support wireless
• show tech-support wireless fabric
• show tech-support lisp (si Fabric en una caja o Inalámbrico integrado que se ejecuta en 9300/9400/9500)
• show tech-support (si Fabric en una caja o Inalámbrico integrado que se ejecuta en 9300/9400/9500)

Punto de Acceso: 

• show ip tunnel fabric
• show tech-support

AireOS WLC Config Push de Cisco DNA Center 

Aquí se muestra la configuración de AireOS WLC de Cisco DNA Center después del aprovisionamiento (Nota: Uso de Referencia como 3504 WLC).

show radius summary after WLC Provisioning:

(sdawlc3504) >show radius summary 

Vendor Id Backward Compatibility................. Disabled
Call Station Id Case............................. lower
Accounting Call Station Id Type.................. Mac Address
Auth Call Station Id Type........................ AP's Radio MAC Address:SSID
Extended Source Ports Support.................... Enabled
Aggressive Failover.............................. Disabled
Keywrap.......................................... Disabled
Fallback Test:
    Test Mode.................................... Passive
    Probe User Name.............................. cisco-probe
    Interval (in seconds)........................ 300
MAC Delimiter for Authentication Messages........ hyphen
MAC Delimiter for Accounting Messages............ hyphen
RADIUS Authentication Framed-MTU................. 1300 Bytes

Authentication Servers

Idx  Type  Server Address    Port    State     Tout  MgmtTout  RFC3576  IPSec - state/Profile Name/RadiusRegionString
---  ----  ----------------  ------  --------  ----  --------  -------  -------------------------------------------------------
1  * NM    192.168.2.193     1812    Enabled   2     5         Enabled   Disabled - /none
2    M     172.27.121.193    1812    Enabled   2     5         Enabled   Disabled - /none

WLAN Config Push se ve en show wlan summary.

(sdawlc3504) >show wlan summary 

Number of WLANs.................................. 7

WLAN ID  WLAN Profile Name / SSID                                                 Status    Interface Name        PMIPv6 Mobility
-------  -----------------------------------------------------------------------  --------  --------------------  ---------------
1        Test / Test                                                              Enabled   management            none        
17       dnac_guest_F_global_5dfbd_17 / dnac_guest_206                            Disabled  management            none        
18       dnac_psk_2_F_global_5dfbd_18 / dnac_psk_206                              Disabled  management            none        
19       dnac_wpa2__F_global_5dfbd_19 / dnac_wpa2_206                             Enabled   management            none        
20       dnac_open__F_global_5dfbd_20 / dnac_open_206                             Enabled   management            none        
21       Test!23_F_global_5dfbd_21 / Test!23                                      Disabled  management            none 

Transferencia de configuración de WLC desde Cisco DNA Center

Aquí muestra la entrada de configuración del WLC desde Cisco DNA Center después de que el WLC se agrega al Fabric.

¿Cómo se comprueba si se puede acceder a Map-Server?

show fabric map-server summary después de que el WLC se agrega al entramado.

(sdawlc3504) >show fabric map-server summary 

MS-IP     Connection status 

--------------------------------

192.168.4.45    UP                   

192.168.4.66    UP 

Debug Fabric Map-Server Connectivity

La conectividad del plano de control (CP) puede interrumpirse o permanecer inactiva por diversos motivos.

• Si CP se cayó. (lo que no ocurre en este caso)
• Los nodos intermedios que se desactivan están conectando el WLC con el CP, por ejemplo, el router de fusión.
• Si la conectividad CP con el WLC se desactivó debido al link inactivo. Esto puede ser WLC a un vecino inmediato o CP a un vecino inmediato hacia el WLC.

show fabric map-server detailed

show fabric TCP create-history <Map-Server IP>

Depuraciones que pueden proporcionar más información

debug fabric lisp map-server tcp enable

debug fabric lisp map-server all enable

¿Cómo se comprueba que el fabric está habilitado y cuál es el resultado esperado?

show fabric summary después de agregar el WLC al entramado.

(sdawlc3504) >show fabric summary 

Fabric Support................................... enabled

Enterprise Control Plane MS config
--------------------------------------

Primary Active MAP Server
IP Address....................................... 192.168.4.45

Secondary Active MAP Server
IP Address....................................... 192.168.4.66

Guest Control Plane MS config
-------------------------------

Fabric TCP keep alive config
----------------------------

Fabric MS TCP retry count configured ............ 3
Fabric MS TCP timeout configured ................ 10
Fabric MS TCP keep alive interval configured .... 10
Fabric Interface name configured .............. management

Fabric Clients registered ..................... 0

Fabric wlans enabled .......................... 3

Fabric APs total Registration sent ............ 30

Fabric APs total DeRegistration sent .......... 9

Fabric AP RLOC reguested ...................... 15

Fabric AP RLOC response received .............. 30

Fabric AP RLOC send to standby ................ 0

Fabric APs registered by WLC .................. 6

VNID Mappings configured: 4 

Name                              L2-Vnid     L3-Vnid     IP Address/Subnet         
--------------------------------  ----------  ----------  ---------------------------------
182_10_50_0-INFRA_VN              8188        4097        182.10.50.0 / 255.255.255.128
10_10_10_0-Guest_Area             8190        0           0.0.0.0 / 0.0.0.0
182_10_100_0-DEFAULT_VN           8191        0           0.0.0.0 / 0.0.0.0
182_11_0_0-DEFAULT_VN             8189        0           0.0.0.0 / 0.0.0.0

Fabric Flex-Acl-tables           Status
-------------------------------- -------
DNAC_FABRIC_FLEX_ACL_TEMPLATE    Applied

Fabric Enabled Wlan summary
WLAN ID  SSID                              Type  L2 Vnid     SGT     RLOC IP          Clients  VNID Name 
-------  --------------------------------  ----  ----------  ------  ---------------  -------  -------------------------------- 
 19      dnac_wpa2_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN           
 20      dnac_open_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN   

Transferencia de configuración WLAN desde Cisco DNA Center

La inserción de configuración de WLAN de Cisco DNA Center se ve en show fabric wlan summary después de que el WLC se agregue al entramado y el conjunto de IP del cliente se asigne a la LAN inalámbrica de fabric (WLAN) en Provisioning > Fabric > Host Onboarding.

show fabric wlan summary después del aprovisionamiento de fabric.

(sdawlc3504) >show fabric wlan summary 

WLAN ID  SSID                              Type  L2 Vnid     SGT     RLOC IP          Clients  VNID Name 
-------  --------------------------------  ----  ----------  ------  ---------------  -------  -------------------------------- 
 19      dnac_wpa2_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN           
 20      dnac_open_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN 

Depurar problemas inalámbricos

Depuración de la Formación de Túnel de Acceso/Depuración de Conexión de AP

1. Verifique si el AP obtuvo la dirección IP.

show ip dhcp snooping binding → On Fabric Edge

Si no muestra una IP para la interfaz AP conectada, habilite estos debugs en el Switch y verifique si AP está obteniendo IP o no.

debug ip dhcp snooping packet

debug ip dhcp snooping event

Archivo de registro de ejemplo adjunto a continuación → 

Ejemplo:

Floor_Edge-6#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
0C:75:BD:0D:46:60 182.10.50.7 670544 dhcp-snooping 1021 GigabitEthernet1/0/7 → AP interface should be having an IP

2. Verifique si el AP se une al WLC.

• show ap summary → En el WLC
• show ap Join stat summary → En WLC

Si el AP nunca se ha unido al WLC, habilite estos debugs en el WLC.

• debug capwap events enable
• debug capwap errors enable

3. Si el AP forma CAPWAP pero no se forman túneles de acceso entre el AP y el Switch, realice estas verificaciones

Paso 1. Los APs en el WLC tienen IPs RLOC o no, si no, por favor, el punto de control 1 aquí.

1. Para hacer que el protocolo del plano de control del entramado sea más resistente, es importante que una ruta específica al WLC esté presente en la tabla de ruteo global de cada nodo de entramado. La ruta a la dirección IP del WLC debe redistribuirse en el protocolo IGP subyacente en el Borde o configurarse estáticamente en cada nodo. En otras palabras, el WLC no debería ser accesible a través de la ruta predeterminada.

Paso 2. Si los AP en el WLC muestran los RLOC correctos y bajo show fabric summary muestra que el RLOC solicitado con RLOC recibido todo bien, por favor verifique estos pasos

2. Verifique en el nodo del Plano de Control, show lisp instance-id <L2 ap instance id> ethernet server → Debe contener Base Radio MAC para AP.

    Verifique en el nodo del borde del entramado, show lisp instance-id <L2 ap instance id> ethernet database wlc → Debe contener Base Radio MAC para AP y no Ethernet MAC de AP.

Si los 2 comandos anteriores no muestran Base Radio MAC de AP y los túneles de acceso no se están formando. Habilite debug lisp control-plane all en el plano de control y busque Base Radio MAC en el registro.

Nota: debug lisp control-plane all en el plano de control está realmente parloteado, por favor inhabilite el registro de la consola antes de activar los debugs.

Si ve una falla de autenticación como se muestra aquí, verifique la clave de autenticación entre el WLC y el nodo CP.

Dec  7 17:42:01.655: LISP-0: MS Site EID IID 8188 prefix any-mac SVC_VLAN_IAF_MAC site site_uci, Registration failed authentication for more specific 2c0b.e9c6.ec80/48

Dec  7 17:42:01.659: LISP-0: Building reliable registration message registration-rejected for IID 8188  EID 2c0b.e9c6.ec80/48 , Rejection Code: authentication failure/2.

Cómo verificar la clave de autenticación en la configuración del entramado entre el WLC y el CP.

En el WLC, por favor verifique la GUI bajo Controlador > Configuración del entramado > Plano de control > (Clave previamente compartida)

On CP, please check on switch using sh running-config | b map-server session CP#sh running-config | b map-server session map-server session passive-open WLC site site_uci description map-server configured from apic-em authentication-key (Ensure that the Pre shared key on WLC should match with this authentication key on CP)

Nota: Por lo general, Cisco DNA Center impulsa esta clave para que no la cambie a menos que sea necesario y sepa lo que está configurado en CP/WLC]

4. General verifica y muestra los comandos para los túneles de acceso.

• show access-tunnel summary

Floor_Edge-6#sh access-tunnel summary 

Access Tunnels General Statistics:
 Number of AccessTunnel Data Tunnels = 5 


Name SrcIP SrcPort DestIP DstPort VrfId 
------ --------------- ------- --------------- ------- ----
Ac4 192.168.4.68 N/A 182.10.50.6 4789 0 
Ac24 192.168.4.68 N/A 182.10.50.5 4789 0 
Ac19 192.168.4.68 N/A 182.10.50.8 4789 0 
Ac15 192.168.4.68 N/A 182.10.50.7 4789 0 
Ac14 192.168.4.68 N/A 182.10.50.2 4789 0 


Name IfId Uptime 
------ ---------- --------------------
Ac4 0x00000037 2 days, 20:35:29 
Ac24 0x0000004C 1 days, 21:23:16 
Ac19 0x00000047 1 days, 21:20:08 
Ac15 0x00000043 1 days, 21:09:53 
Ac14 0x00000042 1 days, 21:03:20 

• show platform software fed switch active ifm interfaces access-tunnel
  

Floor_Edge-6#show platform software fed switch active ifm interfaces access-tunnel 
Interface                   IF_ID               State             
----------------------------------------------------------------
Ac4                         0x00000037          READY             
Ac14                        0x00000042          READY             
Ac15                        0x00000043          READY             
Ac19                        0x00000047          READY             
Ac24                        0x0000004c          READY             

Floor_Edge-6#

Si los túneles de acceso bajo el comando b) son mayores que a), eso es un problema. Aquí las entradas de la Fed no fueron borradas correctamente por el borde del fabric y, por lo tanto, hay varias entradas de túnel de acceso en la Fed en comparación con el IOS. Compare IP de destino después de ejecutar el comando que se muestra aquí. Si varios túnel de acceso comparten la misma IP de destino, ese es el problema con la programación.

• show platform software fed switch active ifm if-id <Every AP IF-ID> 

Nota: Cada IF-ID se puede obtener del comando anterior.

Floor_Edge-6#show platform software fed switch active ifm if-id 0x00000037  
Interface IF_ID         : 0x0000000000000037
Interface Name          : Ac4
Interface Block Pointer : 0xffc0b04c58
Interface State         : READY
Interface Status        : ADD
Interface Ref-Cnt       : 2
Interface Type          : ACCESS_TUNNEL
        Tunnel Type       : L2Lisp
        Encap Type        : VxLan
        IF_ID             : 0x37

        Port Information
        Handle ............ [0x2e000094]
        Type .............. [Access-tunnel]
        Identifier ........ [0x37]
        Unit .............. [55]
        Access tunnel Port Logical Subblock
                Access Tunnel id  : 0x37
                Switch Num        : 1
                Asic Num          : 0
                PORT LE handle    : 0xffc0b03c58
                L3IF LE handle    : 0xffc0e24608
                DI handle         : 0xffc02cdf48
                RCP service id    : 0x0
                HTM handle decap  : 0xffc0e26428
                RI handle decap   : 0xffc0afb1f8
                SI handle decap   : 0xffc0e26aa8
                RCP opq info      : 0x1
                L2 Brdcast RI handle  : 0xffc0e26808
                GPN               : 3201
                Encap type        : VXLAN
                L3 protocol       : 17
                Src IP            : 192.168.4.68
                Dest IP           : 182.10.50.6
                Dest Port         : 4789
                Underlay VRF      : 0
                XID cpp handle    : 0xffc03038f8
        Port L2 Subblock
                Enabled ............. [No]
                Allow dot1q ......... [No]
                Allow native ........ [No]
                Default VLAN ........ [0]
                Allow priority tag ... [No]
                Allow unknown unicast  [No]
                Allow unknown multicast[No]
                Allow unknown broadcast[No]
                Allow unknown multicast[Enabled]
                Allow unknown unicast  [Enabled]
                IPv4 ARP snoop ....... [No]
                IPv6 ARP snoop ....... [No]
                Jumbo MTU ............ [0]
                Learning Mode ........ [0]
        Port QoS Subblock
                Trust Type .................... [0x7]
                Default Value ................. [0]
                Ingress Table Map ............. [0x0]
                Egress Table Map .............. [0x0]
                Queue Map ..................... [0x0]
        Port Netflow Subblock
        Port CTS Subblock
                Disable SGACL .................... [0x0]
                Trust ............................ [0x0]
                Propagate ........................ [0x1]
        %Port SGT .......................... [-180754391]
Ref Count : 2 (feature Ref Counts + 1)
IFM Feature Ref Counts
        FID : 91, Ref Count : 1
No Sub Blocks Present

• show platform software access-tunnel switch active R0

Floor_Edge-6#show platform software access-tunnel switch active R0        
Name     SrcIp            DstIp             DstPort   VrfId    Iif_id  
---------------------------------------------------------------------
Ac4      192.168.4.68     182.10.50.6        0x12b5  0x0000  0x000037  
Ac14     192.168.4.68     182.10.50.2        0x12b5  0x0000  0x000042  
Ac15     192.168.4.68     182.10.50.7        0x12b5  0x0000  0x000043  
Ac19     192.168.4.68     182.10.50.8        0x12b5  0x0000  0x000047  
Ac24     192.168.4.68     182.10.50.5        0x12b5  0x0000  0x00004c  

•   show platform software access-tunnel switch active R0 statistics

Floor_Edge-6#show platform software access-tunnel switch active R0 statistics 
Access Tunnel Counters   (Success/Failure)
------------------------------------------
Create                  6/0
Create Obj Download     6/0
Delete                  3/0
Delete Obj Download     3/0
NACK                    0/0

• show platform software access-tunnel switch active F0

Floor_Edge-6#show platform software access-tunnel switch active F0 
Name     SrcIp            DstIp             DstPort  VrfId    Iif_id    Obj_id  Status        
--------------------------------------------------------------------------------------------
Ac4      192.168.4.68     182.10.50.6        0x12b5  0x000  0x000037  0x00d270  Done          
Ac14     192.168.4.68     182.10.50.2        0x12b5  0x000  0x000042  0x03cbca  Done          
Ac15     192.168.4.68     182.10.50.7        0x12b5  0x000  0x000043  0x03cb9b  Done          
Ac19     192.168.4.68     182.10.50.8        0x12b5  0x000  0x000047  0x03cb6b  Done          
Ac24     192.168.4.68     182.10.50.5        0x12b5  0x000  0x00004c  0x03caf4  Done  

•   show platform software access-tunnel switch active F0 statistics

Floor_Edge-6#show platform software access-tunnel switch active F0 statistics 
Access Tunnel Counters   (Success/Failure)
------------------------------------------
Create                  0/0
Delete                  3/0
HW Create               6/0
HW Delete               3/0
Create Ack              6/0
Delete Ack              3/0
NACK Notify             0/0

• show platform software object-manager switch active f0 statistics

Floor_Edge-6#show platform software object-manager switch active f0 statistics        
Forwarding Manager Asynchronous Object Manager Statistics

Object update: Pending-issue: 0, Pending-acknowledgement: 0
Batch begin:   Pending-issue: 0, Pending-acknowledgement: 0
Batch end:     Pending-issue: 0, Pending-acknowledgement: 0
Command:       Pending-acknowledgement: 0
Total-objects: 987
Stale-objects: 0
Resolve-objects: 3
Error-objects: 1
Paused-types: 0

• show platform software object-manager switch active f0 pending-issue-update
• show platform software object-manager switch active f0 pending-ack-update
• show platform software object-manager switch active f0 error-object

5. Rastreos y depuraciones que deben recopilarse.

Paso 1. Recopilar registros de archivo antes de habilitar seguimientos/depuraciones

request platform software trace archive target flash:<Filename>

Floor_Edge-6#request platform software trace archive target flash:Floor_Edge-6_12_14_18
Waiting for trace files to get rotated.
Creating archive file [flash:Floor_Edge-6_12_14_18.tar.gz]
Done with creation of the archive file: [flash:Floor_Edge-6_12_14_18.tar.gz]

Paso 2.  Aumente el búfer de registro y desactive la consola.

Floor_Edge-6(config)#logging buffered 214748364
Floor_Edge-6(config)#no logging console 

Paso 3. Establecer seguimientos.

• set platform software trace forwarding switch active R0 access-tunnel verbose
• set platform software trace forwarding switch active F0 access-tunnel verbose
• set platform software trace fed switch active ifm_main debug
• set platform software trace fed switch active access_tunnel verbose
• set platform software trace forwarding-manager switch active F0 aom verbose

Paso 4. Habilitar Depuraciones.

• debug l2lisp all
• debug lisp control-plane all
• debug platform software l2lisp events

Paso 5.  puerto de interfaz shut/no shut donde AP está conectado.

Paso 6. Recolectar registros de archivo igual que el paso 1. con un nombre de archivo diferente.

Paso 7.  Redireccione el archivo de registro a flash.

Floor_Edge-6#show logging | redireccionar flash:<Nombre de archivo>

Floor_Edge-6#show logging | redirect flash:console_logs_Floor_Edge-6_12_14_18

Depuración del cliente

Los problemas del cliente inalámbrico de depuración en SDA POCOS pueden volverse complicados.

Siga este flujo de trabajo para eliminar un dispositivo a la vez.

1. WLC

2. Perímetro de fabric

3. Punto de acceso (si la depuración en Fabric Edge apunta a AP)

4. Nodo intermedio/borde. (Si el problema de ruta de datos)

5. Nodo del plano de control. (Si el problema de ruta de control)

Depuración WLC

Para problemas de conectividad del cliente, comience la depuración recolectando información en el WLC que incluye comandos show y debugs.

Comandos show del WLC de AireOS:

• show run-config
• show tech
• show wlan summary
• show wlan <id> —> Recopile esta salida para todos los SSID, al menos 1 para los que trabajan y no trabajan
• show fabric summary
• show fabric map-server summary
• show client summary
• show client detail <mac_id>

Comandos Debug del WLC de AireOS:

• debug client <mac1> —> Client assoc, roaming, debugs.
• debug fabric client detail enable —> Esto proporciona mensajes de registro del entramado de información

Depuración del perímetro del fabric

Una vez depurado en el WLC y observado no hay problemas relacionados con la trayectoria del plano de control para el cliente. El cliente se mueve de Assoc, Authentication, y ejecuta el estado con el etiquetado SGT correcto o parámetros AAA, pase a este paso para aislar el problema aún más.

Otra cosa que se debe verificar es que la programación del túnel de acceso es correcta, como se describe en la sección anterior de debugging AP.

comandos show para verificar:

Buscar ID de instancia de L2 lisp de (show client detail <mac_id> de arriba)

show lisp instance-id 
     
     
       ethernet database wlc 
      --> This lists all WLC associated clients for that specific L2 lisp instance ID. A number of sources should match the number of Control plane nodes in the network
show lisp instance-id 
     
     
       ethernet database wlc 
       
      --> This shows the detail for the specific client
show device-tracking database | i Vl --> Find Specific SVI where the client is connected and needs to be present.
show device-tracking database | i 
     
      --> Find the client entry, should be against correct VLAN, Interface, State, and Age.
show mac address-table dynamic vlan 
     
      --> The entry for the mac should match the device-tracking database, if it does please check mac address entry on FED
show ip dhcp snooping binding vlan 
     
     
       show ip arp vrf 
      
        show mac address-table vlan 
       
         show platform software fed switch active matm macTable vlan 
        
          --> If this is correct, programming for wireless client is happening correctly on local switch. show platform software matm switch active F0 mac 
          
         
        
       
     

Comandos de depuración en Fabric Edge

Necesidad de recopilar seguimientos de la Reserva Federal si hay algún problema en la programación de la entrada del cliente en Fabric Edge. Hay dos maneras de hacer lo mismo después de habilitar estas depuraciones.

Las depuraciones y los comandos set deben habilitarse independientemente del método.

• set platform software trace fed switch active all-module Emergency
• set platform software trace fed switch active l2_fib_entry verbose
• set platform software trace fed switch active l2_fib_adj verbose
• set platform software trace fed switch active inject verbose
• set platform software trace fed switch active matm verbose

debug (Asegúrese de inhabilitar el registro de la consola y aumentar el buffer de registro)

• debug device-track
• debug lisp control-plane all
• debug platform fhs all
• debug platform software l2lisp events
• debug matm all

Método 1. Recopile los registros de seguimiento activos de radio para un cliente específico después de habilitar las depuraciones.

Nota: si se produce un problema con DHCP, no utilice este método]

Espere a que se vuelva a producir el problema

• debug platform condition mac <mac-id> control plane
• debug platform condition start
• debug platform condition stop
• request plat soft trace filter-binario wireless context mac <mac-id>

Redirija los registros de la consola a flash después de que se reproduzca el problema.

Método 2. Recopile registros de seguimiento de archivo después de habilitar las depuraciones.

Espere a que se vuelva a producir el problema

Request Platform Software Trace Archive

Recopile el archivo decodificar los registros y analice los registros de envío, ios y fman para el mac cliente.

Redirija los registros de la consola a flash después de que se reproduzca el problema.

Depuración del punto de acceso

Depuraciones en los Modelos AP 2800/3800/1562:

Para los problemas del lado AP, asegúrese de recolectar todos los comandos show y registros del WLC antes de recolectar los registros del lado AP y conectar al SR.

Siga estos pasos para depurar los problemas relacionados con los datos en el lado del cliente.

1. Recolectar comandos show AP: (2-3 veces, antes y después de la finalización de los ensayos)

• show clock
• term len 0
• term mon
• show tech
• show logging
• show controllers nss stats show controllers nss status
• show ip tunnel fabric

Si se produce un problema con CWA, recopile a continuación los registros además de los comandos principales. Los siguientes comandos se deben recopilar una vez antes y después de completar la prueba.

• show client access-lists pre-auth all <client mac>
• show client access-lists post-auth all <client mac>
• show ip access-lists
• show controller d [0/1] client
• show capwap cli detail rcb
• show tech-support

2. Depuraciones de AP (filtro por dirección MAC)

Problemas de CWA:

• debug capwap client avc all
• debug capwap client acl
• debug client <client mac>
• debug dot11 client level info address <mac>
• debug dot11 client level events address <mac>
• debug flexconnect pmk

Depuración de casos de uso

Depuración de CWA del cliente

Aspectos a tener en cuenta:

• Al implementar CWA en SDA, utilice siempre DNAC para implementar la configuración.
• Una vez implementados mediante DNAC, DNAC también implementaría la política de autorización, la política de autenticación y el perfil de autorización en ISE.
• Las identidades para la autenticación se deben configurar manualmente como se hace con Dot1x

Descubra en qué etapa se observa el problema.

Paso 1. ¿Está el cliente obteniendo una dirección IP y migrando a Webauth Pendiente?

1. En caso afirmativo, vaya al paso siguiente.
2. En caso negativo, el problema se encuentra en la fase inicial de adhesión.
3. Verifique la configuración en WLC y AP.
4. La ACL de verificación se está impulsando en el AP y coincide con lo que está en el WLC
5. Si la ACL no se envía correctamente, recargue el AP y asegúrese de que sea un estado provisional donde la configuración no se envía. Una vez confirmado en 1 AP, asegúrese de que el Aprovisionamiento de AP se realice a través de DNAC.

Paso 2. ¿El cliente puede cargar la página de redirección?

1. En caso afirmativo, vaya al paso siguiente.
2. En caso negativo, el problema puede estar en varios lugares.
3. Verifique la configuración en WLC y AP.
4. La ACL de verificación se está impulsando en el AP y coincide con lo que está en el WLC
5. Si la ACL no se envía correctamente, recargue el AP y asegúrese de que sea un estado provisional donde la configuración no se envía. Una vez confirmado en 1 AP, asegúrese de que el Aprovisionamiento de AP se realice a través de DNAC.
6. Verifique la disponibilidad del WLC al ISE y del Switch donde el AP está conectado al ISE. Asegúrese de que no haya ningún firewall entre
7. Verifique que el DNS esté configurado correctamente.

Paso 3. ¿El cliente puede ver la página web pero el problema es que el inicio de sesión se ha iniciado correctamente?

1. Asegúrese de verificar dos veces las configuraciones de los pasos 1 y 2.
2. Asegúrese de que el perfil de autorización, la política de autenticación y la política de autorización sean correctos.
3. Comprobar registros en directo de ISE
4. Asegúrese de que el nombre de usuario/contraseña esté correctamente configurado en las identidades ISE.
5. Recopile los debugs en el WLC y AP como se muestra a continuación si todo se ve bien.

1. Depuraciones en WLC:

• Recopile los siguientes comandos show para AireOS y Polaris respectivamente:

AireOS:

• show run-config
• show wlan summary
• show wlan <id_for_Guest>
• show flexconnect acl summary
• show flexconnect acl detailed <AC_l_from_previously_command>

Polaris:

• show running
• show tech-support wireless
• show tech-support wireless fabric 
• show wlan summary
• show wlan id <id_for_guest>
• show ap name <AP_name> config general
• show running-config | sec ACL
• show wireless profile flex summary
• show wireless profile flex detailed <profile_name_from_above>
  
  
• Habilite estas depuraciones en AireOS y Polaris.
  
  

AireOS: 

• debug client <client_mac>
• debug aaa all enable
• Reproduzca el problema
• Recopilar registros de consola/ssh/telnet

(9300/9400/9500):

set platform software trace wncd switch active r0 all-module debug

Reproduzca el problema

show platform software trace message wncd switch active R0 reverse | redireccionar flash:<filename>

Request Platform Software Trace Archive

Recolectar ambos archivos desde Flash

2. Depuraciones en AP:

Recolectar información de ACL:

show ip access-lists

Recopile las siguientes depuraciones desde AP:

• debug capwap client avc all
• debug capwap client acl
• debug client <client mac>
• debug dot11 client level info address <mac>
• debug dot11 client level events address <mac>
• debug flexconnect pmk

Depuración DHCP del cliente

Algunos problemas se pueden depurar utilizando estas depuraciones.

1. No se ven los mensajes DHCP Discover en el switch.

2. El cliente inalámbrico no obtiene la oferta DHCP de nuevo. DHCP Discover se observa en los registros debug ip dhcp snooping packet.

3. Recopile la captura de paquetes en el puerto conectado al AP, el puerto de link ascendente y el puerto conectado al servidor DHCP en el lado de fusión.

Comandos Debugs/Show que pueden ser:  

1. Verifique Cisco DNA Center si SSID está asignado al grupo IP.

2. Verifique si la WLAN está habilitada en el WLC.

3. Compruebe si las radios están habilitadas y si las redes 802.11a y 802.11b están habilitadas.

Depuración del rendimiento del cliente en AP

1. Reduzca el problema a la red por cable o inalámbrica o afecte a ambos. Pruebe el mismo tráfico en un cliente conectado a la red inalámbrica en el mismo VNID y pruebe el mismo tráfico en el mismo VNID.

2. Si los clientes conectados por cable en Fabric en el mismo VN no experimentan problemas pero los clientes inalámbricos sí lo están, el problema está en el lado AP.

3. Para depurar en el lado AP para cualquier problema relacionado con el tráfico o el rendimiento del cliente, asegúrese de que la conectividad del cliente no sea el problema, para empezar.

4. Asegúrese de utilizar debug client en el WLC que el cliente observa la degradación durante el roaming, el tiempo de espera de sesión o la conexión estable al mismo AP.

5. Una vez que se haya reducido que el problema se encuentra en el mismo AP, siga estos pasos para recolectar debugs en 3800/2800/4800 AP junto con la captura de paquetes en el switch conectado al AP y las capturas de paquetes en el aire.

Paso 1. Asegúrese de que el tráfico utilizado para reproducir el problema se está imitando realmente al problema.

Paso 2. La captura de paquetes en el aire debe configurarse en el lado del cliente donde se realiza la prueba.

Instructions for collecting over-the-air packet captures:

Here you find the guide how to set up an Over-The-Air packet capture, you can use a windows client machine, apple client machine or configure a sniffer mode AP (suggested).
https://www.cisco.com/c/en/us/support/docs/wireless-mobility/80211/200527-Fundamentals-of-802-11-Wireless-Sniffing.html
 
There are few things we need to consider:
+Use an Open L2/L3 security SSID to avoid encryption on the packets through the air.
+Set client-serving-AP and sniffer AP on the same channel.
+Sniffer AP should be close enough to capture what serving-client-AP is receiving or sending.
 
SPAN session should be taken at the same time than OTA pcap for a proper analysis, how to configure a SPAN session (swport traffic mirroring):
 
Nexus switches:
https://www.cisco.com/c/en/us/support/docs/switches/nexus-7000-series-switches/113038-span-nexus-config.html
IOS switches:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/network_management/configuration_guide/b_nm_15ex_2960-x_cg/b_nm_15ex_2960-x_cg_chapter_0111.html

Paso 3. Depurar el cliente del WLC y la captura de paquetes del switch donde el AP está conectado. Las capturas de EPC del switch se pueden aprovechar para capturar estos registros.

Paso 4. Depuraciones de la sesión 3800 AP ssh/telnet

Logs to be collected from 3800 AP:

A) Run following commands once before starting the test. [Once all commands are tested, copy all commands in a text file so that it is easy to copy and paste on devshell, we would need multiple iterations of this command outputs during the test]

Step A
Devshell commands on AP - Use SSH.
--------------------------------------------------
1) To Get wired0 input packet count

date
cd /click/fromdev_wired0/
cat icounts ocounts calls

2) Fabric gateway and clients

cat /click/client_ip_table/cli_fabric_clients
cd /click/fabric_tunnel/
cat show_fabric_gw

3) Tunnel Decap stats

cd /click/tunnel_decap/
cat icounts ocounts tunnel_decap_stats tunnel_decap_no_match decap_vxlan_stats
cat tunnel_decap_list

4) Tunnel Encap stats

cd /click/tunnel_encap/
cat icounts ocounts tunnel_encap_stats encap_vxlan_stats tunnel_encap_discard
cat get_mtu eogre_encap_list


5) Wireless client stats

Nota: necesita ejecutar este último conjunto de comandos en la combinación radio vap correcta. Por ejemplo, si el cliente está en la radio 1, vap 1: cat /click/client_ip_table/list = En el resultado, Verifique el puerto/interfaz conectado por el cliente aprXvY, utilice lo mismo para obtener el resultado siguiente. cd /click/fromdev_ apr1v3/ cat cuenta las llamadas cd /click/todev_ apr1v3/ cat cuenta las llamadas Pasos B - E B) Iniciar OTA entre AP. Cliente. Y inicie PCAP por cable(puerto AP de expansión donde está conectado el cliente). (Se necesita tanto pcap por cable como inalámbrico para el análisis). C) Utilice WLAN de autenticación abierta (sin seguridad para analizar el pcap de OTA). Inicie la prueba de iperf y manténgala en funcionamiento durante 10-15 minutos de forma continua. D) Repita el paso A cada dos minutos con el comando date. Realice 5 o más iteraciones. E) Después de completar la prueba - Recopile show tech del AP.

Incorporación de punto de acceso

Método/Pasos Tradicionales:

Se considera que AP Vlan Scope tiene la opción 43 o la opción 60 apuntando al WLC.

1. Seleccione Authentication as No Authentication.

2. Configure Infra_VN con AP IP Pool y Default_VN con Wireless Client IP Pool.

3. Configure los Puertos de Interfaz de Borde donde los AP están conectados con Infra_VN.

4. Una vez que el AP obtiene la IP y se une al WLC, se detecta en el inventario del dispositivo.

5. Seleccione el AP y asígnelo a un sitio específico y aprovisione AP.

6. Una vez aprovisionado, el AP se asigna al grupo AP creado durante la adición del WLC al entramado.

Aprovisionamiento de AP Plug and Play/sin intervención

Se considera AP Vlan Scope tiene la opción 43 apuntando a Cisco DNA Center. Siga la guía DNAC para configurar AP PNP

Lado del perímetro del fabric:

Habilite estos debugs.

• debug ip dhcp snooping packet
• debug ip dhcp snooping event
  

Información Relacionada

• Guías de configuración inalámbrica para cada versión
• Guía de implementación inalámbrica SD
• Guía de prácticas recomendadas para redes inalámbricas
• Documentos de referencia técnica para tecnología inalámbrica
• Matriz de compatibilidad para SDA
• Guías de usuario de Cisco DNA Center para cada versión