Dépannage de l'accès sans fil défini par logiciel sur Cisco DNA Center

Introduction

Ce document décrit les FAQ sans fil et comment dépanner Software-Defined Access sur Cisco DNA Center.

Fiche technique de commande pour le fabric

Il s'agit de la feuille de tricherie des commandes pour le fabric sur le noeud de contrôle, le noeud de périphérie, le contrôleur de réseau local sans fil (WLC) et le point d'accès (AP).

Noeud de contrôle :

• show lisp instance-id <L2 ap instance id> ethernet server - Mappage d'identification de point de terminaison (EID) MAC
• show lisp instance-id <L3 ap instance id> serveur ipv4 - mappage IP/EID
• show lisp instance-id 8188 ethernet server address-Resolution - Mappage MAC vers IP pour un ID d'instance spécifique
• show lisp site
• show tech-support
• show tech-support lisp

Noeud de périphérie :

• show lisp instance-id <L2 ap instance id> ethernet database wlc
• show lisp instance-id <L2 client instance id> ethernet database wlc
• show access-tunnel summary
• show platform software fed switch active ifm interfaces access-tunnel
• show platform software access-tunnel switch active R0
• show platform software access-tunnel switch active R0 statistics
• show platform software access-tunnel switch active F0
• show platform software access-tunnel switch active F0 statistics
• show platform software object-manager switch active F0 statistics
• show platform software object-manager switch active F0 en attente-issue-update
• show platform software object-manager switch active F0 en attente-ack-update
  
• show platform software object-manager switch active F0 error-object
• show tech-support
• show tech-support lisp

WLC (AireOS) :

• show fabric ap summary
• show fabric summary
• show fabric map-server summary
• show run-config
• Commandes show run-config
• show tech

WLC (IOS-XE)

• show ap summary
• show fabric ap summary
• show wireless fabric summary
• show wireless client summary
• show tech-support wireless
• show tech-support wireless fabric
• show tech-support lisp (si Fabric in a box ou Embedded wireless running on 9300/9400/9500)
• show tech-support (si Fabric dans un boîtier ou Embedded wireless exécution on 9300/9400/9500)

Point d'accès: 

• show ip tunnel fabric
• show tech-support

Push de configuration AireOS WLC de Cisco DNA Center 

Ici, il affiche la commande de configuration AireOS WLC de Cisco DNA Center après l'approvisionnement (Remarque : Utilisation de Reference en tant que WLC 3504).

show radius summary après le provisionnement WLC :

(sdawlc3504) >show radius summary 

Vendor Id Backward Compatibility................. Disabled
Call Station Id Case............................. lower
Accounting Call Station Id Type.................. Mac Address
Auth Call Station Id Type........................ AP's Radio MAC Address:SSID
Extended Source Ports Support.................... Enabled
Aggressive Failover.............................. Disabled
Keywrap.......................................... Disabled
Fallback Test:
    Test Mode.................................... Passive
    Probe User Name.............................. cisco-probe
    Interval (in seconds)........................ 300
MAC Delimiter for Authentication Messages........ hyphen
MAC Delimiter for Accounting Messages............ hyphen
RADIUS Authentication Framed-MTU................. 1300 Bytes

Authentication Servers

Idx  Type  Server Address    Port    State     Tout  MgmtTout  RFC3576  IPSec - state/Profile Name/RadiusRegionString
---  ----  ----------------  ------  --------  ----  --------  -------  -------------------------------------------------------
1  * NM    192.168.2.193     1812    Enabled   2     5         Enabled   Disabled - /none
2    M     172.27.121.193    1812    Enabled   2     5         Enabled   Disabled - /none

Le mode de configuration WLAN est affiché sous show wlan summary.

(sdawlc3504) >show wlan summary 

Number of WLANs.................................. 7

WLAN ID  WLAN Profile Name / SSID                                                 Status    Interface Name        PMIPv6 Mobility
-------  -----------------------------------------------------------------------  --------  --------------------  ---------------
1        Test / Test                                                              Enabled   management            none        
17       dnac_guest_F_global_5dfbd_17 / dnac_guest_206                            Disabled  management            none        
18       dnac_psk_2_F_global_5dfbd_18 / dnac_psk_206                              Disabled  management            none        
19       dnac_wpa2__F_global_5dfbd_19 / dnac_wpa2_206                             Enabled   management            none        
20       dnac_open__F_global_5dfbd_20 / dnac_open_206                             Enabled   management            none        
21       Test!23_F_global_5dfbd_21 / Test!23                                      Disabled  management            none 

Push de configuration WLC de Cisco DNA Center

Ici, il montre la commande de configuration WLC à partir de Cisco DNA Center après l'ajout du WLC au fabric.

Comment vérifier si Map-Server est accessible ?

show fabric map-server summary après l'ajout du WLC à Fabric.

(sdawlc3504) >show fabric map-server summary 

MS-IP     Connection status 

--------------------------------

192.168.4.45    UP                   

192.168.4.66    UP 

Déboguer la connectivité du serveur de mappage de fabric

La connectivité du plan de contrôle (CP) peut être interrompue ou interrompue pour diverses raisons.

• Si le CP a baissé. (ce qui n'est pas le cas ici)
• Les noeuds intermédiaires qui descendent et qui connectent le WLC à CP, par exemple, le routeur de fusion.
• Si la connectivité du CP au WLC a été interrompue en raison de la liaison interrompue. Il peut s'agir d'un WLC vers un voisin immédiat ou d'un CP vers un voisin immédiat vers le WLC.

show fabric map-server detail

show fabric TCP create-history <Map-Server IP>

Débogues pouvant fournir des informations supplémentaires

debug fabric lisp map-server tcp enable

debug fabric lisp map-server all enable

Comment vérifier que le fabric est activé et quel est le résultat attendu ?

show fabric summary après l'ajout du WLC à Fabric.

(sdawlc3504) >show fabric summary 

Fabric Support................................... enabled

Enterprise Control Plane MS config
--------------------------------------

Primary Active MAP Server
IP Address....................................... 192.168.4.45

Secondary Active MAP Server
IP Address....................................... 192.168.4.66

Guest Control Plane MS config
-------------------------------

Fabric TCP keep alive config
----------------------------

Fabric MS TCP retry count configured ............ 3
Fabric MS TCP timeout configured ................ 10
Fabric MS TCP keep alive interval configured .... 10
Fabric Interface name configured .............. management

Fabric Clients registered ..................... 0

Fabric wlans enabled .......................... 3

Fabric APs total Registration sent ............ 30

Fabric APs total DeRegistration sent .......... 9

Fabric AP RLOC reguested ...................... 15

Fabric AP RLOC response received .............. 30

Fabric AP RLOC send to standby ................ 0

Fabric APs registered by WLC .................. 6

VNID Mappings configured: 4 

Name                              L2-Vnid     L3-Vnid     IP Address/Subnet         
--------------------------------  ----------  ----------  ---------------------------------
182_10_50_0-INFRA_VN              8188        4097        182.10.50.0 / 255.255.255.128
10_10_10_0-Guest_Area             8190        0           0.0.0.0 / 0.0.0.0
182_10_100_0-DEFAULT_VN           8191        0           0.0.0.0 / 0.0.0.0
182_11_0_0-DEFAULT_VN             8189        0           0.0.0.0 / 0.0.0.0

Fabric Flex-Acl-tables           Status
-------------------------------- -------
DNAC_FABRIC_FLEX_ACL_TEMPLATE    Applied

Fabric Enabled Wlan summary
WLAN ID  SSID                              Type  L2 Vnid     SGT     RLOC IP          Clients  VNID Name 
-------  --------------------------------  ----  ----------  ------  ---------------  -------  -------------------------------- 
 19      dnac_wpa2_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN           
 20      dnac_open_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN   

Diffusion de la configuration WLAN à partir de Cisco DNA Center

La commande push de configuration WLAN de Cisco DNA Center apparaît sous show fabric wlan summary après l'ajout du WLC au fabric et l'attribution du pool IP client au LAN sans fil de fabric (WLAN) sous Provisionnement > Fabric > Host Onboarding.

show fabric wlan summary after Fabric Provisioning.

(sdawlc3504) >show fabric wlan summary 

WLAN ID  SSID                              Type  L2 Vnid     SGT     RLOC IP          Clients  VNID Name 
-------  --------------------------------  ----  ----------  ------  ---------------  -------  -------------------------------- 
 19      dnac_wpa2_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN           
 20      dnac_open_206                     WLAN  8189        0       0.0.0.0          0         182_11_0_0-DEFAULT_VN 

Déboguer les problèmes sans fil

Débogage de jointure AP/Débogage de formation de tunnel d'accès

1. Vérifiez si le point d'accès a une adresse IP.

show ip dhcp snooping binding → On Fabric Edge

S'il n'affiche pas d'adresse IP pour l'interface de point d'accès connectée, activez ces débogages sur le commutateur et vérifiez si le point d'accès obtient ou non une adresse IP.

debug ip dhcp snooping packet

debug ip dhcp snooping event

Exemple de fichier journal ci-dessous → 

Exemple :

Floor_Edge-6#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
0C:75:BD:0D:46:60 182.10.50.7 670544 dhcp-snooping 1021 GigabitEthernet1/0/7 → AP interface should be having an IP

2. Vérifier si l'AP rejoint le WLC.

• show ap summary → Sur WLC
• show ap join stat summary → Sur WLC

Si AP n'a jamais rejoint WLC, activez ces débogages sur WLC.

• debug capwap events enable
• debug capwap errors enable

3. Si AP forme CAPWAP mais qu'aucun tunnel d'accès n'est formé entre AP et Switch, veuillez effectuer ces vérifications

Étape 1. Les points d'accès dans le WLC ont-ils des adresses IP RLOC ou non, si ce n'est pas le cas, vérifiez le point 1 ici.

1. Afin de rendre le protocole du plan de contrôle de fabric plus résilient, il est important qu'une route spécifique vers le WLC soit présente dans la table de routage globale de chaque noeud de fabric. La route vers l'adresse IP du WLC doit être redistribuée dans le protocole IGP de base à la frontière ou configurée de manière statique sur chaque noeud. En d'autres termes, le WLC ne doit pas être accessible via la route par défaut.

Étape 2. Si les points d'accès dans le WLC affichent les RLOC corrects et sous show fabric summary, ils affichent RLOC demandé avec RLOC reçu toutes les bonnes réponses, veuillez vérifier ces étapes

2. Vérifiez sur le noeud du plan de contrôle, show lisp instance-id <L2 ap instance id> ethernet server→ Il doit contenir l’adresse MAC radio de base pour AP.

    Vérifiez sur le noeud Périphérie de fabric, show lisp instance-id <L2 ap instance id> ethernet database wlc → Il doit contenir l'adresse MAC de base pour l'AP et non l'adresse MAC Ethernet de l'AP.

Si les 2 commandes ci-dessus n'affichent pas la radio de base MAC de l'AP et les tunnels d'accès ne se forment pas. Activez le plan de contrôle de la liste de débogage sur le plan de contrôle et recherchez Base Radio MAC dans la journalisation.

Note: debug lisp control-plane all on Control plane is vraiment chatty, veuillez désactiver la journalisation de console avant d'activer les débogages.

Si vous voyez un échec d'authentification comme indiqué ici, vérifiez la clé d'authentification entre le noeud WLC et CP.

Dec  7 17:42:01.655: LISP-0: MS Site EID IID 8188 prefix any-mac SVC_VLAN_IAF_MAC site site_uci, Registration failed authentication for more specific 2c0b.e9c6.ec80/48

Dec  7 17:42:01.659: LISP-0: Building reliable registration message registration-rejected for IID 8188  EID 2c0b.e9c6.ec80/48 , Rejection Code: authentication failure/2.

Comment vérifier la clé d'authentification sur la configuration du fabric entre WLC et CP.

Sur le WLC, vérifiez l'interface graphique sous Controller > Fabric Configuration > Control Plane > (Pre Shared Key)

On CP, please check on switch using sh running-config | b map-server session CP#sh running-config | b map-server session map-server session passive-open WLC site site_uci description map-server configured from apic-em authentication-key (Ensure that the Pre shared key on WLC should match with this authentication key on CP)

Note: En règle générale, Cisco DNA Center appuie sur cette clé afin de ne pas la modifier, sauf si nécessaire, et de savoir ce qui est configuré sur CP/WLC]

4. Contrôles généraux et commandes show pour Access-tunnels.

• show access-tunnel summary

Floor_Edge-6#sh access-tunnel summary 

Access Tunnels General Statistics:
 Number of AccessTunnel Data Tunnels = 5 


Name SrcIP SrcPort DestIP DstPort VrfId 
------ --------------- ------- --------------- ------- ----
Ac4 192.168.4.68 N/A 182.10.50.6 4789 0 
Ac24 192.168.4.68 N/A 182.10.50.5 4789 0 
Ac19 192.168.4.68 N/A 182.10.50.8 4789 0 
Ac15 192.168.4.68 N/A 182.10.50.7 4789 0 
Ac14 192.168.4.68 N/A 182.10.50.2 4789 0 


Name IfId Uptime 
------ ---------- --------------------
Ac4 0x00000037 2 days, 20:35:29 
Ac24 0x0000004C 1 days, 21:23:16 
Ac19 0x00000047 1 days, 21:20:08 
Ac15 0x00000043 1 days, 21:09:53 
Ac14 0x00000042 1 days, 21:03:20 

• show platform software fed switch active ifm interfaces access-tunnel
  

Floor_Edge-6#show platform software fed switch active ifm interfaces access-tunnel 
Interface                   IF_ID               State             
----------------------------------------------------------------
Ac4                         0x00000037          READY             
Ac14                        0x00000042          READY             
Ac15                        0x00000043          READY             
Ac19                        0x00000047          READY             
Ac24                        0x0000004c          READY             

Floor_Edge-6#

Si Access-tunnels sous la commande b) est supérieur à a), c'est un problème. Ici, les entrées Fed n'ont pas été correctement effacées par Fabric Edge et il y a donc plusieurs entrées de tunnel d'accès sur Fed par rapport à IOS. Comparez l'adresse IP de destination après avoir exécuté la commande indiquée ici. Si plusieurs tunnels d'accès partagent la même adresse IP de destination, c'est le problème de la programmation.

• show platform software fed switch active ifm if-id <Chaque AP IF-ID> 

Note: Chaque IF-ID peut être extrait de la commande précédente.

Floor_Edge-6#show platform software fed switch active ifm if-id 0x00000037  
Interface IF_ID         : 0x0000000000000037
Interface Name          : Ac4
Interface Block Pointer : 0xffc0b04c58
Interface State         : READY
Interface Status        : ADD
Interface Ref-Cnt       : 2
Interface Type          : ACCESS_TUNNEL
        Tunnel Type       : L2Lisp
        Encap Type        : VxLan
        IF_ID             : 0x37

        Port Information
        Handle ............ [0x2e000094]
        Type .............. [Access-tunnel]
        Identifier ........ [0x37]
        Unit .............. [55]
        Access tunnel Port Logical Subblock
                Access Tunnel id  : 0x37
                Switch Num        : 1
                Asic Num          : 0
                PORT LE handle    : 0xffc0b03c58
                L3IF LE handle    : 0xffc0e24608
                DI handle         : 0xffc02cdf48
                RCP service id    : 0x0
                HTM handle decap  : 0xffc0e26428
                RI handle decap   : 0xffc0afb1f8
                SI handle decap   : 0xffc0e26aa8
                RCP opq info      : 0x1
                L2 Brdcast RI handle  : 0xffc0e26808
                GPN               : 3201
                Encap type        : VXLAN
                L3 protocol       : 17
                Src IP            : 192.168.4.68
                Dest IP           : 182.10.50.6
                Dest Port         : 4789
                Underlay VRF      : 0
                XID cpp handle    : 0xffc03038f8
        Port L2 Subblock
                Enabled ............. [No]
                Allow dot1q ......... [No]
                Allow native ........ [No]
                Default VLAN ........ [0]
                Allow priority tag ... [No]
                Allow unknown unicast  [No]
                Allow unknown multicast[No]
                Allow unknown broadcast[No]
                Allow unknown multicast[Enabled]
                Allow unknown unicast  [Enabled]
                IPv4 ARP snoop ....... [No]
                IPv6 ARP snoop ....... [No]
                Jumbo MTU ............ [0]
                Learning Mode ........ [0]
        Port QoS Subblock
                Trust Type .................... [0x7]
                Default Value ................. [0]
                Ingress Table Map ............. [0x0]
                Egress Table Map .............. [0x0]
                Queue Map ..................... [0x0]
        Port Netflow Subblock
        Port CTS Subblock
                Disable SGACL .................... [0x0]
                Trust ............................ [0x0]
                Propagate ........................ [0x1]
        %Port SGT .......................... [-180754391]
Ref Count : 2 (feature Ref Counts + 1)
IFM Feature Ref Counts
        FID : 91, Ref Count : 1
No Sub Blocks Present

• show platform software access-tunnel switch active R0

Floor_Edge-6#show platform software access-tunnel switch active R0        
Name     SrcIp            DstIp             DstPort   VrfId    Iif_id  
---------------------------------------------------------------------
Ac4      192.168.4.68     182.10.50.6        0x12b5  0x0000  0x000037  
Ac14     192.168.4.68     182.10.50.2        0x12b5  0x0000  0x000042  
Ac15     192.168.4.68     182.10.50.7        0x12b5  0x0000  0x000043  
Ac19     192.168.4.68     182.10.50.8        0x12b5  0x0000  0x000047  
Ac24     192.168.4.68     182.10.50.5        0x12b5  0x0000  0x00004c  

•   show platform software access-tunnel switch active R0 statistics

Floor_Edge-6#show platform software access-tunnel switch active R0 statistics 
Access Tunnel Counters   (Success/Failure)
------------------------------------------
Create                  6/0
Create Obj Download     6/0
Delete                  3/0
Delete Obj Download     3/0
NACK                    0/0

• show platform software access-tunnel switch active F0

Floor_Edge-6#show platform software access-tunnel switch active F0 
Name     SrcIp            DstIp             DstPort  VrfId    Iif_id    Obj_id  Status        
--------------------------------------------------------------------------------------------
Ac4      192.168.4.68     182.10.50.6        0x12b5  0x000  0x000037  0x00d270  Done          
Ac14     192.168.4.68     182.10.50.2        0x12b5  0x000  0x000042  0x03cbca  Done          
Ac15     192.168.4.68     182.10.50.7        0x12b5  0x000  0x000043  0x03cb9b  Done          
Ac19     192.168.4.68     182.10.50.8        0x12b5  0x000  0x000047  0x03cb6b  Done          
Ac24     192.168.4.68     182.10.50.5        0x12b5  0x000  0x00004c  0x03caf4  Done  

•   show platform software access-tunnel switch active F0 statistics

Floor_Edge-6#show platform software access-tunnel switch active F0 statistics 
Access Tunnel Counters   (Success/Failure)
------------------------------------------
Create                  0/0
Delete                  3/0
HW Create               6/0
HW Delete               3/0
Create Ack              6/0
Delete Ack              3/0
NACK Notify             0/0

• show platform software object-manager switch active f0 statistics

Floor_Edge-6#show platform software object-manager switch active f0 statistics        
Forwarding Manager Asynchronous Object Manager Statistics

Object update: Pending-issue: 0, Pending-acknowledgement: 0
Batch begin:   Pending-issue: 0, Pending-acknowledgement: 0
Batch end:     Pending-issue: 0, Pending-acknowledgement: 0
Command:       Pending-acknowledgement: 0
Total-objects: 987
Stale-objects: 0
Resolve-objects: 3
Error-objects: 1
Paused-types: 0

• show platform software object-manager switch active f0 en attente-issue-update
• show platform software object-manager switch active f0 en attente-ack-update
• show platform software object-manager switch active f0 error-object

5. Traces et débogages qui doivent être collectés.

Étape 1. Collecter les journaux d'archivage avant d'activer les traces/débogages

Demander plate-forme trace archive cible flash:<Filename>

Floor_Edge-6#request platform software trace archive target flash:Floor_Edge-6_12_14_18
Waiting for trace files to get rotated.
Creating archive file [flash:Floor_Edge-6_12_14_18.tar.gz]
Done with creation of the archive file: [flash:Floor_Edge-6_12_14_18.tar.gz]

Étape 2.  Augmentez la mémoire tampon de journalisation et désactivez la console.

Floor_Edge-6(config)#logging buffered 214748364
Floor_Edge-6(config)#no logging console 

Étape 3. Définir des traces.

• set platform software trace forwarding switch active R0 access-tunnel verbose
• set platform software trace forwarding switch active F0 access-tunnel verbose
• set platform software trace fed switch active ifm_main debug
• set platform software trace fed switch active access_tunnel verbose
• set platform software trace forwarding-manager switch active F0 aom verbose

Étape 4. Activer les débogages.

• debug l2lisp all
• debug lisp control-plane all
• debug platform software l2lisp events

Étape 5.  fermeture/non fermeture du port d'interface où le point d'accès est connecté.

Étape 6. Collectez les journaux d'archivage comme à l'étape 1. avec un nom de fichier différent.

Étape 7.  Rediriger le fichier de journalisation vers flash.

Floor_Edge-6#show logging | flash de redirection : <Nom du fichier>

Floor_Edge-6#show logging | redirect flash:console_logs_Floor_Edge-6_12_14_18

Débogage client

Déboguer les problèmes du client sans fil sur SDA FEW peut devenir délicat.

Suivez ce workflow pour éliminer un périphérique à la fois.

1. WLC

2. Périphérie de fabric

3. Point d'accès (si le débogage sur les points d'extrémité du fabric vers le point d'accès)

4. Noeud Intermédiaire/Bordure. (En cas de problème de chemin de données)

5. Noeud du plan de contrôle. (En cas de problème de chemin d'accès au contrôle)

Débogage WLC

Pour les problèmes de connectivité client, commencez le débogage en collectant des informations sur le WLC qui incluent les commandes show et les débogages.

Commandes show du WLC AireOS :

• show run-config
• show tech
• show wlan summary
• show wlan <id> —> Collectez cette sortie pour tous les SSID, au moins 1 pour les travaux et les travaux non effectués
• show fabric summary
• show fabric map-server summary
• show client summary
• show client detail <mac_id>

Commandes de débogage du WLC AireOS :

• debug client <mac1> —> Client assoc, roaming, debugs.
• debug fabric client detail enable —> Ceci fournit des messages d'enregistrement de fabric d'informations

Débogage de périphérie de fabric

Une fois débogué sur le WLC et observé, il n'y a aucun problème lié au chemin du plan de contrôle pour le client. Le client passe d'Assoc, Authentication, et exécute l'état avec le marquage SGT ou les paramètres AAA corrects, passez à cette étape pour isoler davantage le problème.

Une autre chose à vérifier est que la programmation du tunnel d'accès est correcte comme décrit dans la section de débogage de l'AP ci-dessus.

commandes show à vérifier :

Rechercher l'ID de l'instance de liste L2 à partir de (show client detail <mac_id> from top)

show lisp instance-id 
     
     
       ethernet database wlc 
      --> This lists all WLC associated clients for that specific L2 lisp instance ID. A number of sources should match the number of Control plane nodes in the network
show lisp instance-id 
     
     
       ethernet database wlc 
       
      --> This shows the detail for the specific client
show device-tracking database | i Vl --> Find Specific SVI where the client is connected and needs to be present.
show device-tracking database | i 
     
      --> Find the client entry, should be against correct VLAN, Interface, State, and Age.
show mac address-table dynamic vlan 
     
      --> The entry for the mac should match the device-tracking database, if it does please check mac address entry on FED
show ip dhcp snooping binding vlan 
     
     
       show ip arp vrf 
      
        show mac address-table vlan 
       
         show platform software fed switch active matm macTable vlan 
        
          --> If this is correct, programming for wireless client is happening correctly on local switch. show platform software matm switch active F0 mac 
          
         
        
       
     

Commandes de débogage sur la périphérie de fabric

Nécessité de collecter les traces Fed en cas de problème dans la programmation de l'entrée client sur Fabric Edge. Il y a 2 façons de faire la même chose après avoir activé ces débogages.

Les débogages et les commandes set doivent être activés quelle que soit la méthode utilisée.

• set platform software trace fed switch active all-modules urgence
• set platform software trace fed switch active l2_fib_entry verbose
• set platform software trace fed switch active l2_fib_adj verbose
• set platform software trace fed switch active inject verbose
• set platform software trace fed switch active matm verbose

debug (assurez-vous de désactiver la journalisation de console et d'augmenter la mémoire tampon de journalisation)

• debug device-tracking
• debug lisp control-plane all
• debug platform fhs all
• debug platform software l2lisp events
• debug matm all

Méthode 1. Collectez les journaux de suivi actifs radio pour un client spécifique après avoir activé les débogages.

Note: si un problème DHCP survient, veuillez ne pas utiliser cette méthode]

Attendre que le problème se reproduise

• debug platform condition mac <mac-id> control-plane
• debug platform condition start
• debug platform condition stop
• request plat soft trace filter-binary wireless context mac <mac-id>

Redirigez les journaux de la console vers la mémoire Flash une fois le problème reproduit.

Méthode 2. Collecter les journaux de suivi des archives après avoir activé les débogages.

Attendre que le problème se reproduise

archive trace logicielle de la plate-forme de demande

Collecter le fichier décoder les journaux et analyser les journaux fed, ios, fman pour le mac client.

Redirigez les journaux de la console vers la mémoire Flash une fois le problème reproduit.

Débogage du point d'accès

Débogues sur les modèles AP 2800/3800/1562 :

Pour les problèmes côté AP, assurez-vous de collecter toutes les commandes show et les journaux WLC avant de collecter les journaux côté AP et de vous connecter à SR.

Suivez ces étapes afin de déboguer les problèmes liés aux données côté client.

1. Collecter les commandes show des points d'accès : (2 à 3 fois, avant et après la fin des essais)

• show clock
• durée 0
• term mon
• show tech
• show logging
• show controllers nss stats show controllers nss status
• show ip tunnel fabric

Si CWA Problème, veuillez collecter les journaux ci-dessous en plus des commandes supérieures. Les commandes ci-dessous doivent être collectées une fois avant et après la fin du test.

• show client access-lists pre-auth all <client mac>
• show client access-lists post-auth all <client mac>
• show ip access-lists
• show controller d [0/1] client
• show capwap cli detail rcb
• show tech support

2. Débogues AP (filtre par adresse MAC)

Problèmes CWA :

• debug capwap client avc all
• debug capwap client acl
• debug client <client mac>
• debug dot11 client level info address <mac>
• debug dot11 client events address <mac>
• debug flexconnect pmk

Débogage de cas d'utilisation

Débogage CWA du client

À noter :

• Lors du déploiement de CWA dans SDA, utilisez toujours DNAC pour déployer la configuration.
• Une fois déployé à l'aide de DNAC, la stratégie d'autorisation, la stratégie d'authentification et le profil d'autorisation seront également déployés sur ISE par DNAC.
• Les identités d'authentification doivent être configurées manuellement comme pour Dot1x

Déterminez à quelle étape le problème est observé.

Étape 1. Le client obtient-il une adresse IP et passe-t-il à Webauth en attente ?

1. Si oui, passez à l'étape suivante.
2. Dans la négative, la question est à l'étape initiale de l'adhésion.
3. Vérifiez la configuration sur WLC et AP.
4. Vérifier que la liste de contrôle d'accès est poussée sur le point d'accès et correspond à ce qui se trouve sur le WLC
5. Si la liste de contrôle d’accès n’est pas correctement poussée, rechargez le point d’accès et assurez-vous qu’il s’agit d’un état intermédiaire où la configuration n’est pas poussée. Une fois confirmé sur 1 point d'accès, assurez-vous que le provisionnement des points d'accès est effectué via DNAC.

Étape 2. Le client peut-il charger la page de redirection ?

1. Si oui, passez à l'étape suivante.
2. Si non, le problème peut se trouver à plusieurs endroits.
3. Vérifiez la configuration sur WLC et AP.
4. Vérifier que la liste de contrôle d'accès est poussée sur le point d'accès et correspond à ce qui se trouve sur le WLC
5. Si la liste de contrôle d’accès n’est pas correctement poussée, rechargez le point d’accès et assurez-vous qu’il s’agit d’un état intermédiaire où la configuration n’est pas poussée. Une fois confirmé sur 1 point d'accès, assurez-vous que le provisionnement des points d'accès est effectué via DNAC.
6. Vérifiez l'accessibilité du WLC à ISE et du commutateur où le point d'accès est connecté à ISE. Assurez-vous qu'aucun pare-feu n'est présent entre les
7. Vérifiez que DNS est configuré correctement.

Étape 3. Le client peut-il voir la page Web, mais le problème est de se connecter et de passer à la réussite ?

1. Vérifiez deux fois les configurations des étapes 1 et 2.
2. Assurez-vous que le profil d'autorisation, la stratégie d'authentification et la stratégie d'autorisation sont corrects.
3. Vérifier les journaux ISE Live
4. Vérifiez que le nom d'utilisateur/mot de passe est correctement configuré dans les identités ISE.
5. Collectez les débogages sur WLC et AP comme ci-dessous si tout semble correct.

1. Débogues sur WLC :

• Collectez les commandes show ci-dessous pour AireOS et Polaris respectivement :

AireOS :

• show run-config
• show wlan summary
• show wlan <id_for_Guest>
• show flexconnect acl summary
• show flexconnect acl detail <ACl_from_Previous_command>

Polaris :

• show running
• show tech-support wireless
• show tech-support wireless fabric 
• show wlan summary
• show wlan id <id_for_guest>
• show ap name <AP_name> config general
• show running-config | ACL sec
• show wireless profile flex summary
• show wireless profile flex detail <nom_profil_d_au_dessus>
  
  
• Activez ces débogages sur AireOS et Polaris.
  
  

AireOS : 

• debug client <client_mac>
• debug aaa all enable
• Reproduisez le problème
• Collecter les journaux de console/ssh/telnet

Polaires (9300/9400/9500) :

set platform software trace wncd switch active r0 all-modules debug

Reproduisez le problème

show platform software trace message wncd switch active R0 marche inverse | redirect flash:<nom du fichier>

archive trace logicielle de la plate-forme de demande

Collecter les deux fichiers à partir de la mémoire Flash

2. Débogues sur AP :

Collecter les informations ACL :

show ip access-lists

Collecter les débogages ci-dessous à partir de AP :

• debug capwap client avc all
• debug capwap client acl
• debug client <client mac>
• debug dot11 client level info address <mac>
• debug dot11 client events address <mac>
• debug flexconnect pmk

Débogage DHCP du client

Certains problèmes peuvent être débogués à l'aide de ces débogages.

1. Messages de détection DHCP invisibles sur le commutateur.

2. Le client sans fil ne reçoit pas l'offre DHCP. DHCP Discover est observé sous les journaux de paquets de surveillance debug ip dhcp.

3. Collectez la capture de paquets sur le port connecté au point d'accès, le port de liaison ascendante et le port connecté au serveur DHCP du côté fusion.

Débogues/Afficher les commandes qui peuvent être :  

1. Vérifiez le Cisco DNA Center si le SSID est attribué au pool d'adresses IP.

2. Vérifiez si WLAN est activé sur WLC.

3. Vérifiez si les radios sont activées et si les réseaux 802.11a et 802.11b sont activés.

Débogage des performances du client sur AP

1. Réduisez le problème sur les réseaux filaires ou sans fil ou affectez les deux. Testez le même trafic sur un client connecté au réseau sans fil sur le même VNID et testez le même trafic sur le même VNID câblé.

2. Si les clients filaires du fabric sur le même réseau virtuel ne rencontrent pas de problèmes mais que les clients sans fil le sont, le problème se situe du côté du point d'accès.

3. Pour déboguer côté AP pour tout problème de performances client ou de trafic, assurez-vous que la connectivité client n'est pas le problème, pour commencer.

4. Assurez-vous d'utiliser le client de débogage sur le WLC que le client observe une dégradation lors de l'itinérance, de la session-timeout ou de la connexion stable au même AP.

5. Une fois que le problème est résolu sur le même point d'accès, suivez ces étapes pour collecter les débogages sur les points d'accès 3800/2800/4800, ainsi que la capture de paquets sur le commutateur connecté au point d'accès et les captures de paquets en direct.

Étape 1. Assurez-vous que le trafic utilisé pour reproduire le problème imite le problème.

Étape 2. La capture de paquets en direct doit être configurée du côté du client où le test a été effectué.

Instructions for collecting over-the-air packet captures:

Here you find the guide how to set up an Over-The-Air packet capture, you can use a windows client machine, apple client machine or configure a sniffer mode AP (suggested).
https://www.cisco.com/c/en/us/support/docs/wireless-mobility/80211/200527-Fundamentals-of-802-11-Wireless-Sniffing.html
 
There are few things we need to consider:
+Use an Open L2/L3 security SSID to avoid encryption on the packets through the air.
+Set client-serving-AP and sniffer AP on the same channel.
+Sniffer AP should be close enough to capture what serving-client-AP is receiving or sending.
 
SPAN session should be taken at the same time than OTA pcap for a proper analysis, how to configure a SPAN session (swport traffic mirroring):
 
Nexus switches:
https://www.cisco.com/c/en/us/support/docs/switches/nexus-7000-series-switches/113038-span-nexus-config.html
IOS switches:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/network_management/configuration_guide/b_nm_15ex_2960-x_cg/b_nm_15ex_2960-x_cg_chapter_0111.html

Étape 3. Déboguer le client à partir du WLC et capturer les paquets à partir du commutateur où le point d'accès est connecté. Les captures EPC du commutateur peuvent être exploitées pour capturer ces journaux.

Étape 4. Débogues de la session ssh/telnet 3800 AP

Logs to be collected from 3800 AP:

A) Run following commands once before starting the test. [Once all commands are tested, copy all commands in a text file so that it is easy to copy and paste on devshell, we would need multiple iterations of this command outputs during the test]

Step A
Devshell commands on AP - Use SSH.
--------------------------------------------------
1) To Get wired0 input packet count

date
cd /click/fromdev_wired0/
cat icounts ocounts calls

2) Fabric gateway and clients

cat /click/client_ip_table/cli_fabric_clients
cd /click/fabric_tunnel/
cat show_fabric_gw

3) Tunnel Decap stats

cd /click/tunnel_decap/
cat icounts ocounts tunnel_decap_stats tunnel_decap_no_match decap_vxlan_stats
cat tunnel_decap_list

4) Tunnel Encap stats

cd /click/tunnel_encap/
cat icounts ocounts tunnel_encap_stats encap_vxlan_stats tunnel_encap_discard
cat get_mtu eogre_encap_list


5) Wireless client stats

Note: vous devez émettre ces dernières commandes sur la liste déroulante radio vap appropriée. Par exemple, si le client est sur radio 1, vap 1 : cat /click/client_ip_table/list = Dans le résultat, vérifiez le port/l'interface du client connecté aprXvY, utilisez le même pour obtenir le résultat ci-dessous. cd /click/fromdev_ apr1v3/ nombre de numéros de chat compte appels cd /click/todev_ apr1v3/ nombre de numéros de chat compte appels Étapes B - E B) Démarrer OTA entre AP. Client. Et démarrez le protocole PCAP filaire (port du point d'accès étendu où le client est connecté). (Pcap filaire et sans fil requis pour l’analyse.) C) Utiliser le WLAN Open-Auth (pas de sécurité pour analyser le pcap OTA). Démarrez le test iperf et continuez à fonctionner pendant 10 à 15 minutes, en continu. D) Répétez l'étape A toutes les deux minutes à l'aide de la commande date. Prenez 5 itérations ou plus. E) Une fois le test terminé - Collectez show tech à partir de AP.

Intégration des points d'accès

Méthode/Étapes traditionnelles :

Il est considéré que AP Vlan Scope a l'option 43 ou l'option 60 pointant vers WLC.

1. Sélectionnez Authentification comme No Authentication.

2. Configurez Infra_VN avec le pool d'adresses IP AP et Default_VN avec le pool d'adresses IP du client sans fil.

3. Configurez les ports d'interface de périphérie où les points d'accès sont connectés avec Infra_VN.

4. Une fois que le point d'accès obtient l'adresse IP et rejoint le WLC, il est découvert dans l'inventaire des périphériques.

5. Sélectionnez le point d'accès et attribuez-le à un site spécifique et approvisionnez le point d'accès.

6. Une fois provisionné, le point d'accès est attribué au groupe AP créé lors de l'ajout du WLC au fabric.

Approvisionnement des points d'accès Plug-and-Play/Zero-Touch

Il est considéré que AP Vlan Scope a l'option 43 pointant vers Cisco DNA Center. Suivez le guide DNAC pour configurer le PNP AP

Côté périphérie du fabric :

Activez ces débogages.

• debug ip dhcp snooping packet
• debug ip dhcp snooping event
  

Informations connexes

• Guides de configuration sans fil pour chaque version
• Guide de déploiement sans fil SD
• Guide pratique sans fil
• Documents de référence technique pour les réseaux sans fil
• Matrice de compatibilité pour SDA
• Guides d'utilisation de Cisco DNA Center pour chaque version