Resolución de problemas de NMSP en MSE y acceso convergente(5760/3850/3650/4500s8e)

Opciones de descarga

  • PDF     (589.2 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (349.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (378.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de octubre de 2015
ID del documento:200206

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Network Mobility Services Protocol (NMSP) gestiona la comunicación entre Mobility Services Engine (MSE) y el Wireless LAN Controller (WLC).


NMSP es un protocolo bidireccional que se puede ejecutar sobre un transporte orientado a la conexión o sin conexión. Los switches sensibles al contexto pueden utilizar NMSP para comunicarse con uno o más MSE. NMSP se basa en un sistema bidireccional de solicitudes y respuestas entre el MSE y el controlador de acceso. Ahora veamos cómo habilitar esta comunicación entre MSE y WLC.


Aquí hemos utilizado 3850 (WLC basado en IOS) y MSE para este post.

Problema:

Problemas al establecer el túnel NMSP entre 3850 y MSE.

Dispositivos utilizados:

MSE: MSE virtual 8.0.110 (MR1)

WLC: 3850 3.3.5SE

Prime Infrastructure (PI): 2.2.1

Dado que NMSP funciona a través de SSL (Secure Socket Layer), debe configurar las credenciales MSE en el WLC. MSE utiliza su dirección MAC y Hash de clave, por lo que el WLC debe ser consciente de estos dos parámetros. Puede obtener este detalle a través de la CLI de MSE como se muestra a continuación

[root@robin ~]# cmdshell

cmd> show server-auth-info
comando de invocación: com.aes.server.cli.CmdGetServerAuthInfo
Marca alta de cola AesLog: 50000
Marca baja de cola AesLog: 500

Información de autenticación del servidor

Dirección MAC: 00:50:56:9c:34:89
Hash de clave SHA1: e0afbe2e2abeed5a2f9ffc75f059da6a1bf2bfa0
Hash de clave SHA2: 6ab919e20afc103d025aaf210c2a9dda151af9403ef52e80a35ae1ecb6d3c177
Tipo de certificado: SSC

Ahora está configurando la configuración de NMSP en una plataforma de acceso convergente (5760/3850/3650).
Aquí hemos utilizado 3850 para este ejemplo. Tenemos que configurar la dirección MAC de MSE como nombre de usuario y hash de clave como contraseña. Nota: La versión que se ejecuta en mi 3850 es 3.3.5 SE & SHA2 encryption se utiliza en IOS-XE.

Comandos usados:

3850c(config)#username 0050569c3489 aaa attribute list NMSP
3850c(config)#aaa attribute list NMSP
3850c(config)#attribute type password 6ab919e20afc103d025aaf210c2a9dda151af9403ef52e80a35ae1ecb6d3c 177
3850c(config)#aaa authorization credential-download wcm_loc_serv_cert local

En Prime Infrastructure, haga clic en: Servicios > Servicios de movilidad > Sincronizar servicios
Seleccione el 3850 y haga clic en el botón "Cambiar asignación de MSE".
A continuación, debe seleccionar el MSE y los servicios adecuados que desea sincronizar entre WLC (3850) y MSE.

Controle lo siguiente:

Después de completar los servicios de sincronización, puede verificarlo desde la GUI de WLC, MSE o PI.

A través de la CLI 3850:

Vía MSE GUI

Para MSE v8.0 o superior, vaya a: (https://<MSE_IP>/mseui/ )

Troubleshoot:

Si todavía NMSP está inactivo:

1) Compruebe el hash de la clave y, si no coincide, introduzca manualmente el hash como se muestra arriba

2) La sincronización del tiempo NTP debe estar entre MSE y WLC

Depuraciones:

Escenario de falla:

Fallo en la validación de la clave hash:

3850c#set trace nmsp connection level debug
3850c#show trace messages nmsp

[06/03/15 22:28:10.762 UTC a27 10241] Se asignó nueva conexión NMSP 0

[06/03/15 22:28:10.762 UTC a28 10241] sslConnectionInit: SSL_new() conn ssl b3f8a8d0
[06/03/15 22:28:10.762 UTC a29 10241] sslConnectionInit: SSL_do_handshake para conn ssl b3f8a8d0, estado de conn: INIT, estado SSL: HANDSHAKING
[06/03/15 22:28:10.762 UTC a2a 10241] Estado SSL = 0x6000; donde = 0x10; ret = 0x1
[06/03/15 22:28:10.762 UTC a2b 10241] ret_type_string=desconocido
[06/03/15 22:28:10.762 UTC a2c 10241] ret_desc_string=desconocido
[06/03/15 22:28:10.762 UTC a2d 10241] SSL_state_string=antes/aceptar inicialización
[06/03/15 22:28:10.762 UTC a2e 10241] Estado SSL = 0x6000; donde = 0x2001; ret = 0x1
[06/03/15 22:28:10.762 UTC a2f 10241] ret_type_string=desconocido
[06/03/15 22:28:10.762 UTC a30 10241] ret_desc_string=desconocido
[06/03/15 22:28:10.762 UTC a31 10241] SSL_state_string=antes/aceptar inicialización
[06/03/15 22:28:10.762 UTC a32 10241] Estado SSL = 0x2111; donde = 0x2002; ret = 0xffffffffff
[06/03/15 22:28:10.762 UTC a33 10241] ret_type_string=desconocido
[06/03/15 22:28:10.762 UTC a34 10241] ret_desc_string=desconocido
[06/03/15 22:28:10.762 UTC a35 10241] SSL_state_string=SSLv3 leer cliente hello B
—Más— ¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿???????? ???????[06/03/15 22:28:10.762 UTC a36 10241] — devuelve WANT_READ para conn ssl b3f8a8d0
[06/03/15 22:28:10.762 UTC a37 10241] sslConnectionInit() correcto con el estado de conexión: INIT, estado SSL: HANDSHAKING
[06/03/15 22:28:10.768 UTC a38 10241] doSSLRecvLoop: El intercambio de señales no se ha completado para conn 0
[06/03/15 22:28:10.768 UTC a39 10241] sslConnectionInit: SSL_do_handshake para conn ssl b3f8a8d0, estado de conn: INIT, estado SSL: HANDSHAKING
[06/03/15 22:28:10.768 UTC a3a 10241] Estado SSL = 0x2111; donde = 0x2001; ret = 0x1
[06/03/15 22:28:10.768 UTC a3b 10241] ret_type_string=desconocido
[06/03/15 22:28:10.768 UTC a3c 10241] ret_desc_string=desconocido
[06/03/15 22:28:10.768 UTC a3d 10241] SSL_state_string=SSLv3 leer cliente hello B
[06/03/15 22:28:10.768 UTC a3e 10241] Estado SSL = 0x2130; donde = 0x2001; ret = 0x1
[06/03/15 22:28:10.768 UTC a3f 10241] ret_type_string=desconocido
[06/03/15 22:28:10.768 UTC a40 10241] ret_desc_string=desconocido
[06/03/15 22:28:10.768 UTC a41 10241] SSL_state_string=hello del servidor de escritura SSLv3 A
[06/03/15 22:28:10.768 UTC a42 10241] Estado SSL = 0x2140; donde = 0x2001; ret = 0x1
[06/03/15 22:28:10.768 UTC a43 10241] ret_type_string=desconocido
[06/03/15 22:28:10.768 UTC a44 10241] ret_desc_string=desconocido
[06/03/15 22:28:10.768 UTC a45 10241] SSL_state_string=Certificado de escritura A SSLv3
—Más— ¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿???????? ????????[06/03/15 22:28:10.768 UTC a46 10241] Estado SSL = 0x2160; donde = 0x2001; ret = 0x1
[06/03/15 22:28:10.768 UTC a47 10241] ret_type_string=desconocido
[06/03/15 22:28:10.768 UTC a48 10241] ret_desc_string=desconocido
[06/03/15 22:28:10.768 UTC a49 10241] SSL_state_string=Solicitud de certificado de escritura SSLv3 A
[06/03/15 22:28:10.768 UTC a4a 10241] Estado SSL = 0x2100; donde = 0x2001; ret = 0x1
[06/03/15 22:28:10.768 UTC a4b 10241] ret_type_string=desconocido
[06/03/15 22:28:10.768 UTC a4c 10241] ret_desc_string=desconocido
[06/03/15 22:28:10.768 UTC a4d 10241] SSL_state_string=datos de vaciado SSLv3
[06/03/15 22:28:10.768 UTC a4e 10241] Estado SSL = 0x2180; donde = 0x2002; ret = 0xffffffffff
[06/03/15 22:28:10.768 UTC a4f 10241] ret_type_string=desconocido
[06/03/15 22:28:10.768 UTC a50 10241] ret_desc_string=desconocido
[06/03/15 22:28:10.768 UTC a51 10241] SSL_state_string=SSLv3 leer certificado de cliente A
[06/03/15 22:28:10.768 UTC a52 10241] — devuelve WANT_READ para conn ssl b3f8a8d0
[06/03/15 22:28:11.068 UTC a53 10241] doSSLRecvLoop: El intercambio de señales no se ha completado para conn 0
[06/03/15 22:28:11.068 UTC a54 10241] sslConnectionInit: SSL_do_handshake para conn ssl b3f8a8d0, estado de conn: INIT, estado SSL: HANDSHAKING
[06/03/15 22:28:11.069 UTC a55 10241] Validación de certificado de par realizada para conn ssl b3f8a8d0, llamando a authlist..
—Más— ¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿???????? ????????[06/03/15 22:28:11.070 UTC a56 10241] Error de autenticación de la lista de autores para conn ssl b3f8a8d0
[06/03/15 22:28:12.070 UTC a57 10241] Peer no validado con la AuthList
[06/03/15 22:28:12.070 UTC a58 10241] Estado SSL = 0x2182; donde = 0x4008; ret = 0x22e
[06/03/15 22:28:12.070 UTC a59 10241] ret_type_string=fatal
[06/03/15 22:28:12.070 UTC a5a 10241] ret_desc_string=certificado desconocido
[06/03/15 22:28:12.070 UTC a5b 10241] SSL_state_string=SSLv3 leer certificado de cliente C
[06/03/15 22:28:12.070 UTC a5c 10241] Estado SSL = 0x2182; donde = 0x2002; ret = 0xffffffffff
[06/03/15 22:28:12.070 UTC a5d 10241] ret_type_string=desconocido
[06/03/15 22:28:12.070 UTC a5e 10241] ret_desc_string=desconocido
[06/03/15 22:28:12.070 UTC a5f 10241] SSL_state_string=SSLv3 leer certificado de cliente C
[06/03/15 22:28:12.070 UTC a60 10241] — el intercambio de señales falló para conn ssl b3f8a8d0, error ssl_err 1 = error:140890B2:rutinas SSL:SSL3_GET_CLIENT_CERTIFICATE: no se devolvió ningún certificado
[06/03/15 22:28:12.070 UTC a61 10241] liberación de Nmsp conn ssl b3f8a8d0, conn id 0

Situación de éxito:

[06/06/15 17:47:53.600 UTC 4f2 10205] Enviando NMSP_APP_MEAS_NOTIFY_MSG a LocServer 0
[06/06/15 17:56:34.305 UTC 4f3 10205] Se asignó nueva conexión NMSP 0
—Más— ¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿???????? ????????[06/06/15 17:56:34.306 UTC 4f4 10205] sslConnectionInit: SSL_new() conn ssl 590a6048
[06/06/15 17:56:34.306 UTC 4f5 10205] sslConnectionInit: SSL_do_handshake para conn ssl 590a6048, estado de conn: INIT, estado SSL: HANDSHAKING
[06/06/15 17:56:34.306 UTC 4f6 10205] Estado SSL = 0x6000; donde = 0x10; ret = 0x1
[06/06/15 17:56:34.306 UTC 4f7 10205] ret_type_string=desconocido
[06/06/15 17:56:34.306 UTC 4f8 10205] ret_desc_string=desconocido
[06/06/15 17:56:34.307 UTC 4f9 10205] SSL_state_string=antes/aceptar inicialización
[06/06/15 17:56:34.307 UTC 4fa 10205] Estado SSL = 0x6000; donde = 0x2001; ret = 0x1
[06/06/15 17:56:34.307 UTC 4fb 10205] ret_type_string=desconocido
[06/06/15 17:56:34.307 UTC 4fc 10205] ret_desc_string=desconocido
[06/06/15 17:56:34.307 UTC 4fd 10205] SSL_state_string=antes/aceptar inicialización
[06/06/15 17:56:34.307 UTC 4fe 10205] Estado SSL = 0x2111; donde = 0x2002; ret = 0xffffffffff
[06/06/15 17:56:34.307 UTC 4ff 10205] ret_type_string=desconocido
[06/06/15 17:56:34.307 UTC 500 10205] ret_desc_string=desconocido
[06/06/15 17:56:34.307 UTC 501 10205] SSL_state_string=SSLv3 leer cliente hello B
[06/06/15 17:56:34.307 UTC 502 10205] — devuelve WANT_READ para conn ssl 590a6048
[06/06/15 17:56:34.307 UTC 503 10205] sslConnectionInit() correcto con el estado de conexión: INIT, estado SSL: HANDSHAKING
—Más— ¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿???????? ????????[06/06/15 17:56:34.309 UTC 504 10205] doSSLRecvLoop: El intercambio de señales no se ha completado para conn 0
[06/06/15 17:56:34.309 UTC 505 10205] sslConnectionInit: SSL_do_handshake para conn ssl 590a6048, estado de conn: INIT, estado SSL: HANDSHAKING
[06/06/15 17:56:34.309 UTC 506 10205] Estado SSL = 0x2111; donde = 0x2001; ret = 0x1
[06/06/15 17:56:34.309 UTC 507 10205] ret_type_string=desconocido
[06/06/15 17:56:34.309 UTC 508 10205] ret_desc_string=desconocido
[06/06/15 17:56:34.309 UTC 509 10205] SSL_state_string=SSLv3 leer cliente hello B
[06/06/15 17:56:34.309 UTC 50a 10205] Estado SSL = 0x2130; donde = 0x2001; ret = 0x1
[06/06/15 17:56:34.309 UTC 50b 10205] ret_type_string=desconocido
[06/06/15 17:56:34.309 UTC 50c 10205] ret_desc_string=desconocido
[06/06/15 17:56:34.309 UTC 50d 10205] SSL_state_string=hello del servidor de escritura SSLv3 A
[06/06/15 17:56:34.310 UTC 50e 10205] Estado SSL = 0x2140; donde = 0x2001; ret = 0x1
[06/06/15 17:56:34.310 UTC 50f 10205] ret_type_string=desconocido
[06/06/15 17:56:34.310 UTC 510 10205] ret_desc_string=desconocido
[06/06/15 17:56:34.310 UTC 511 10205] SSL_state_string=Certificado de escritura A SSLv3
[06/06/15 17:56:34.310 UTC 512 10205] Estado SSL = 0x2160; donde = 0x2001; ret = 0x1
[06/06/15 17:56:34.310 UTC 513 10205] ret_type_string=desconocido
—Más— ¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿???????? ????????[06/06/15 17:56:34.310 UTC 514 10205] ret_desc_string=desconocido
[06/06/15 17:56:34.310 UTC 515 10205] SSL_state_string=Solicitud de certificado de escritura SSLv3 A
[06/06/15 17:56:34.310 UTC 516 10205] Estado SSL = 0x2100; donde = 0x2001; ret = 0x1
[06/06/15 17:56:34.310 UTC 517 10205] ret_type_string=desconocido
[06/06/15 17:56:34.310 UTC 518 10205] ret_desc_string=desconocido
[06/06/15 17:56:34.310 UTC 519 10205] SSL_state_string=Datos de vaciado de SSLv3
[06/06/15 17:56:34.310 UTC 51a 10205] Estado SSL = 0x2180; donde = 0x2002; ret = 0xffffffffff
[06/06/15 17:56:34.310 UTC 51b 10205] ret_type_string=desconocido
[06/06/15 17:56:34.310 UTC 51c 10205] ret_desc_string=desconocido
[06/06/15 17:56:34.310 UTC 51d 10205] SSL_state_string=SSLv3 leer certificado de cliente A
[06/06/15 17:56:34.310 UTC 51e 10205] — devuelve WANT_READ para conn ssl 590a6048
[06/06/15 17:56:34.610 UTC 51f 10205] doSSLRecvLoop: El intercambio de señales no se ha completado para conn 0
[06/06/15 17:56:34.610 UTC 520 10205] sslConnectionInit: SSL_do_handshake para conn ssl 590a6048, estado de conn: INIT, estado SSL: HANDSHAKING
[06/06/15 17:56:34.616 UTC 521 10205] Validación de certificado de par realizada para conn ssl 590a6048, llamando a authlist.
[06/06/15 17:56:34.622 UTC 522 10205] Autenticación de lista de autores exitosa para conn ssl 590a6048
¿¿¿¿¿¿¿¿¿¿¿¿???????????? ????????[06/06/15 17:56:35.616 UTC 523 10205] Peer validado contra la AuthList
[06/06/15 17:56:35.616 UTC 524 10205] Estado SSL = 0x2180; donde = 0x2001; ret = 0x1
[06/06/15 17:56:35.616 UTC 525 10205] ret_type_string=desconocido
[06/06/15 17:56:35.616 UTC 526 10205] ret_desc_string=desconocido
[06/06/15 17:56:35.616 UTC 527 10205] SSL_state_string=SSLv3 leer certificado de cliente A
[06/06/15 17:56:35.633 UTC 528 10205] Estado SSL = 0x2190; donde = 0x2001; ret = 0x1
[06/06/15 17:56:35.633 UTC 529 10205] ret_type_string=desconocido
[06/06/15 17:56:35.633 UTC 52a 10205] ret_desc_string=desconocido
[06/06/15 17:56:35.633 UTC 52b 10205] SSL_state_string=SSLv3 read client key exchange A
[06/06/15 17:56:35.635 UTC 52c 10205] Estado SSL = 0x21a0; donde = 0x2001; ret = 0x1
[06/06/15 17:56:35.636 UTC 52d 10205] ret_type_string=desconocido
[06/06/15 17:56:35.636 UTC 52e 10205] ret_desc_string=desconocido
[06/06/15 17:56:35.636 UTC 52f 10205] SSL_state_string=Certificado de lectura SSLv3 verificar A
[06/06/15 17:56:35.636 UTC 530 10205] Estado SSL = 0x21c0; donde = 0x2001; ret = 0x1
[06/06/15 17:56:35.636 UTC 531 10205] ret_type_string=desconocido
[06/06/15 17:56:35.636 UTC 532 10205] ret_desc_string=desconocido
—Más— ¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿???????? ????????[06/06/15 17:56:35.636 UTC 533 10205] SSL_state_string=SSLv3 leído A
[06/06/15 17:56:35.636 UTC 534 10205] Estado SSL = 0x21d0; donde = 0x2001; ret = 0x1
[06/06/15 17:56:35.636 UTC 535 10205] ret_type_string=desconocido
[06/06/15 17:56:35.636 UTC 536 10205] ret_desc_string=desconocido
[06/06/15 17:56:35.636 UTC 537 10205] SSL_state_string=SSLv3 write change cipher spec A
[06/06/15 17:56:35.636 UTC 538 10205] Estado SSL = 0x21e0; donde = 0x2001; ret = 0x1
[06/06/15 17:56:35.636 UTC 539 10205] ret_type_string=desconocido
[06/06/15 17:56:35.636 UTC 53a 10205] ret_desc_string=desconocido
[06/06/15 17:56:35.636 UTC 53b 10205] SSL_state_string=SSLv3 write A finalizado
[06/06/15 17:56:35.637 UTC 53c 10205] Estado SSL = 0x2100; donde = 0x2001; ret = 0x1
[06/06/15 17:56:35.637 UTC 53d 10205] ret_type_string=desconocido
[06/06/15 17:56:35.637 UTC 53e 10205] ret_desc_string=desconocido
[06/06/15 17:56:35.637 UTC 53f 10205] SSL_state_string=datos de vaciado SSLv3
[06/06/15 17:56:35.637 UTC 540 10205] Estado SSL = 0x3; donde = 0x20; ret = 0x1
[06/06/15 17:56:35.637 UTC 541 10205] ret_type_string=desconocido
[06/06/15 17:56:35.637 UTC 542 10205] ret_desc_string=desconocido
[06/06/15 17:56:35.637 UTC 543 10205] SSL_state_string=La negociación SSL ha finalizado correctamente
[06/06/15 17:56:35.637 UTC 544 10205] Estado SSL = 0x3; donde = 0x2002; ret = 0x1
—Más— ¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿???????? ????????[06/06/15 17:56:35.637 UTC 545 10205] ret_type_string=desconocido
[06/06/15 17:56:35.637 UTC 546 10205] ret_desc_string=desconocido
[06/06/15 17:56:35.637 UTC 547 10205] SSL_state_string=La negociación SSL ha finalizado correctamente
[06/06/15 17:56:35.637 UTC 548 10205] SSL_do_handshake() sucedió con conn ssl 590a6048
[06/06/15 17:56:35.637 UTC 549 10205] Conexión NMSP satisfactoria. para conn 0

TAC Authored

Con la colaboración de ingenieros de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos