Cisco DNA Centerでのワイヤレス – ソフトウェア定義アクセスのトラブルシューティング
ダウンロード オプション
偏向のない言語
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
翻訳について
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
内容
概要
このドキュメントでは、ワイヤレスFAQと、Cisco DNA Centerのソフトウェア定義アクセスのトラブルシューティング方法について説明します。
ファブリック用コマンドチートシート
これらは、コントロールノード、エッジノード、ワイヤレスLANコントローラ(WLC)、アクセスポイント(AP)上のファブリックのコマンドチートシートです。
制御ノード:
- show lisp instance-id <L2 ap instance id> ethernet server - MAC to Endpoint Identification(EID)マッピング
- show lisp instance-id <L3 ap instance id> ipv4 server - IPからEIDへのマッピング
- show lisp instance-id 8188 ethernet server address-resolution:特定のインスタンスIDのMACからIPへのマッピング
- show lisp site
- show tech-support
- show tech-support lisp
エッジノード:
- show lisp instance-id <L2 ap instance id> ethernet database wlc
- show lisp instance-id <L2 client instance id> ethernet database wlc
- show access-tunnel summary
- show platform software fed switch active ifm interfaces access-tunnel
- show platform software access-tunnel switch active R0
- show platform software access-tunnel switch active R0統計情報
- show platform software access-tunnel switch active F0
- show platform software access-tunnel switch active F0統計情報
- show platform software object-manager switch active F0統計情報
- show platform software object-manager switch active F0 pending-issue-update
- show platform software object-manager switch active F0 pending-ack-update
- show platform software object-manager switch active F0 error-object
- show tech-support
- show tech-support lisp
WLC(AireOS):
- show fabric ap summary
- show fabric summary
- show fabric map-server summary
- show run-config
- show run-configコマンド
- show tech
WLC(IOS-XE)
- show ap summary
- show fabric ap summary
- show wireless fabric summary
- show wireless client summary
- show tech-support wireless
- show tech-support wireless fabric
- show tech-support lisp(9300/9400/9500で稼働するボックス内のファブリックまたは組み込みワイヤレスの場合)
- show tech-support(9300/9400/9500で稼働するボックス内のファブリックまたは組み込みワイヤレスの場合)
アクセス ポイント:
- show ip tunnel fabric
- show tech-support
Cisco DNA CenterからのAireOS WLC Config Push
次に、プロビジョニング後のCisco DNA CenterからのAireOS WLC設定プッシュを示します(注:Using Reference as 3504 WLC)。
WLCプロビジョニング後のshow radius summary:
(sdawlc3504) >show radius summary
Vendor Id Backward Compatibility................. Disabled
Call Station Id Case............................. lower
Accounting Call Station Id Type.................. Mac Address
Auth Call Station Id Type........................ AP's Radio MAC Address:SSID
Extended Source Ports Support.................... Enabled
Aggressive Failover.............................. Disabled
Keywrap.......................................... Disabled
Fallback Test:
Test Mode.................................... Passive
Probe User Name.............................. cisco-probe
Interval (in seconds)........................ 300
MAC Delimiter for Authentication Messages........ hyphen
MAC Delimiter for Accounting Messages............ hyphen
RADIUS Authentication Framed-MTU................. 1300 Bytes
Authentication Servers
Idx Type Server Address Port State Tout MgmtTout RFC3576 IPSec - state/Profile Name/RadiusRegionString
--- ---- ---------------- ------ -------- ---- -------- ------- -------------------------------------------------------
1 * NM 192.168.2.193 1812 Enabled 2 5 Enabled Disabled - /none
2 M 172.27.121.193 1812 Enabled 2 5 Enabled Disabled - /none
WLAN Config Pushがshow wlan summaryの下に表示されます。
(sdawlc3504) >show wlan summary Number of WLANs.................................. 7 WLAN ID WLAN Profile Name / SSID Status Interface Name PMIPv6 Mobility ------- ----------------------------------------------------------------------- -------- -------------------- --------------- 1 Test / Test Enabled management none 17 dnac_guest_F_global_5dfbd_17 / dnac_guest_206 Disabled management none 18 dnac_psk_2_F_global_5dfbd_18 / dnac_psk_206 Disabled management none 19 dnac_wpa2__F_global_5dfbd_19 / dnac_wpa2_206 Enabled management none 20 dnac_open__F_global_5dfbd_20 / dnac_open_206 Enabled management none 21 Test!23_F_global_5dfbd_21 / Test!23 Disabled management none
Cisco DNA CenterからのWLC設定のプッシュ
次に、WLCをファブリックに追加した後のCisco DNA CenterからのWLC設定プッシュを示します。
マップサーバが到達可能かどうかを確認する方法
WLCをファブリックに追加した後のshow fabric map-server summary
(sdawlc3504) >show fabric map-server summary MS-IP Connection status -------------------------------- 192.168.4.45 UP 192.168.4.66 UP
ファブリックマップサーバ接続のデバッグ
コントロールプレーン(CP)接続は、さまざまな理由によりダウンしたり、ダウンしたままになることがあります。
- CPがダウンした場合。(この場合は該当しません)
- WLCをCPに接続している中間ノード(たとえば、fusionルータ)。
- WLCへのCP接続がリンクダウンのためにダウンした場合。これは、WLCから隣接するネイバー、またはWLCに向かう隣接するCPです。
show fabric map-server detailed
show fabric TCP creation-history <Map-Server IP>
詳細な情報を提供できるデバッグ
debug fabric lisp map-server tcp enable
debug fabric lisp map-server all enable
ファブリックが有効であることを確認する方法と予想される出力
WLCをファブリックに追加した後のshow fabric summary
(sdawlc3504) >show fabric summary Fabric Support................................... enabled Enterprise Control Plane MS config -------------------------------------- Primary Active MAP Server IP Address....................................... 192.168.4.45 Secondary Active MAP Server IP Address....................................... 192.168.4.66 Guest Control Plane MS config ------------------------------- Fabric TCP keep alive config ---------------------------- Fabric MS TCP retry count configured ............ 3 Fabric MS TCP timeout configured ................ 10 Fabric MS TCP keep alive interval configured .... 10 Fabric Interface name configured .............. management Fabric Clients registered ..................... 0 Fabric wlans enabled .......................... 3 Fabric APs total Registration sent ............ 30 Fabric APs total DeRegistration sent .......... 9 Fabric AP RLOC reguested ...................... 15 Fabric AP RLOC response received .............. 30 Fabric AP RLOC send to standby ................ 0 Fabric APs registered by WLC .................. 6 VNID Mappings configured: 4 Name L2-Vnid L3-Vnid IP Address/Subnet -------------------------------- ---------- ---------- --------------------------------- 182_10_50_0-INFRA_VN 8188 4097 182.10.50.0 / 255.255.255.128 10_10_10_0-Guest_Area 8190 0 0.0.0.0 / 0.0.0.0 182_10_100_0-DEFAULT_VN 8191 0 0.0.0.0 / 0.0.0.0 182_11_0_0-DEFAULT_VN 8189 0 0.0.0.0 / 0.0.0.0 Fabric Flex-Acl-tables Status -------------------------------- ------- DNAC_FABRIC_FLEX_ACL_TEMPLATE Applied Fabric Enabled Wlan summary WLAN ID SSID Type L2 Vnid SGT RLOC IP Clients VNID Name ------- -------------------------------- ---- ---------- ------ --------------- ------- -------------------------------- 19 dnac_wpa2_206 WLAN 8189 0 0.0.0.0 0 182_11_0_0-DEFAULT_VN 20 dnac_open_206 WLAN 8189 0 0.0.0.0 0 182_11_0_0-DEFAULT_VN
Cisco DNA CenterからのWLAN設定のプッシュ
WLCをファブリックに追加し、クライアントIPプールをファブリックワイヤレスLAN(WLAN)に割り当てた後、Cisco DNA CenterからのWLAN設定のプッシュが[Provision] > [Fabric] > [Host Onboarding]で表示されます。
ファブリックのプロビジョニング後のshow fabric wlan summary
(sdawlc3504) >show fabric wlan summary WLAN ID SSID Type L2 Vnid SGT RLOC IP Clients VNID Name ------- -------------------------------- ---- ---------- ------ --------------- ------- -------------------------------- 19 dnac_wpa2_206 WLAN 8189 0 0.0.0.0 0 182_11_0_0-DEFAULT_VN 20 dnac_open_206 WLAN 8189 0 0.0.0.0 0 182_11_0_0-DEFAULT_VN
ワイヤレスの問題のデバッグ
AP参加デバッグ/アクセストンネル形成デバッグ
1. APがIPアドレスを取得しているかどうかを確認します。
show ip dhcp snooping binding → On Fabric Edge
接続されているAPインターフェイスのIPが表示されない場合は、スイッチでこれらのデバッグを有効にし、APがIPを取得しているかどうかを確認してください。
debug ip dhcp snooping packet
debug ip dhcp snooping event
以下に添付されているサンプルログファイル→
例:
Floor_Edge-6#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
0C:75:BD:0D:46:60 182.10.50.7 670544 dhcp-snooping 1021 GigabitEthernet1/0/7 → AP interface should be having an IP
2. APがWLCに加入するかどうかを確認します。
- show ap summary → WLC上
- show ap join stat summary → WLC上
APがWLCに参加していない場合は、WLCで次のデバッグを有効にします。
- debug capwap events enable
- debug capwap errors enable
3. APがCAPWAPを形成するが、APとスイッチの間にアクセストンネルが形成されない場合は、次のチェックを行ってください
ステップ1:WLCのAPにRLOC IPがあるかどうかを確認します。確認できない場合は、ここで1をチェックポイントしてください。
1.ファブリックコントロールプレーンプロトコルの復元力を高めるには、各ファブリックノードのグローバルルーティングテーブルにWLCへの特定のルートが存在することが重要です。WLCのIPアドレスへのルートは、境界でアンダーレイIGPプロトコルに再配布するか、各ノードで静的に設定する必要があります。つまり、デフォルトルートを通じてWLCに到達できないということです。
ステップ2:WLCのAPで正しいRLOCが表示され、show fabric summaryの下にRLOCで要求されたRLOCがすべて正しく表示される場合は、次の手順を確認してください
2.コントロールプレーンノードでshow lisp instance-id <L2 ap instance id> ethernet serverをチェックします→ APのBase Radio MACが含まれている必要があります。
ファブリックエッジノードでshow lisp instance-id <L2 ap instance id> ethernet database wlc → APのイーサネットMACではなく、APのベース無線MACが含まれている必要があります。
上記の2つのコマンドで、APとアクセストンネルの基本無線MACが表示されない場合。コントロールプレーンでdebug lisp control-plane allを有効にし、ロギングでベース無線MACを検索します。
注:debug lisp control-plane all on Control plane is chatty, please disable console logging before turning on the debugs.」
次に示すように認証の失敗が表示される場合は、WLCとCPノード間の認証キーを確認してください。
Dec 7 17:42:01.655: LISP-0: MS Site EID IID 8188 prefix any-mac SVC_VLAN_IAF_MAC site site_uci, Registration failed authentication for more specific 2c0b.e9c6.ec80/48
Dec 7 17:42:01.659: LISP-0: Building reliable registration message registration-rejected for IID 8188 EID 2c0b.e9c6.ec80/48 , Rejection Code: authentication failure/2.WLCとCP間のファブリック設定で認証キーを確認する方法。
WLCで、GUIの[Controller] > [Fabric Configuration] > [Control Plane] > (事前共有キー)を確認してください
On CP, please check on switch using sh running-config | b map-server session CP#sh running-config | b map-server session map-server session passive-open WLC site site_uci description map-server configured from apic-em authentication-key
注:一般に、Cisco DNA Centerはこのキーをプッシュするため、必要な場合やCP/WLCで設定されている内容を知らない限り、キーを変更しないでください]
4.アクセストンネルの一般的なチェックとshowコマンド
- show access-tunnel summary
Floor_Edge-6#sh access-tunnel summary Access Tunnels General Statistics: Number of AccessTunnel Data Tunnels = 5 Name SrcIP SrcPort DestIP DstPort VrfId ------ --------------- ------- --------------- ------- ---- Ac4 192.168.4.68 N/A 182.10.50.6 4789 0 Ac24 192.168.4.68 N/A 182.10.50.5 4789 0 Ac19 192.168.4.68 N/A 182.10.50.8 4789 0 Ac15 192.168.4.68 N/A 182.10.50.7 4789 0 Ac14 192.168.4.68 N/A 182.10.50.2 4789 0 Name IfId Uptime ------ ---------- -------------------- Ac4 0x00000037 2 days, 20:35:29 Ac24 0x0000004C 1 days, 21:23:16 Ac19 0x00000047 1 days, 21:20:08 Ac15 0x00000043 1 days, 21:09:53 Ac14 0x00000042 1 days, 21:03:20
- show platform software fed switch active ifm interfaces access-tunnel
Floor_Edge-6#show platform software fed switch active ifm interfaces access-tunnel Interface IF_ID State ---------------------------------------------------------------- Ac4 0x00000037 READY Ac14 0x00000042 READY Ac15 0x00000043 READY Ac19 0x00000047 READY Ac24 0x0000004c READY Floor_Edge-6#
コマンドb)の下のAccess-tunnelsがa)よりも大きい場合、これは問題です。ここでは、Fedエントリがファブリックエッジによって正しくクリアされていないため、FEDにはIOSと比較して複数のアクセストンネルエントリがあります。次に示すコマンドを実行した後、宛先IPを比較します。複数のaccess-tunnelが同じ宛先IPを共有する場合、これはプログラミングの問題です。
- show platform software fed switch active ifm if-id <各AP IF-ID>
注:各IF-IDは、前のコマンドから取得できます。
Floor_Edge-6#show platform software fed switch active ifm if-id 0x00000037
Interface IF_ID : 0x0000000000000037
Interface Name : Ac4
Interface Block Pointer : 0xffc0b04c58
Interface State : READY
Interface Status : ADD
Interface Ref-Cnt : 2
Interface Type : ACCESS_TUNNEL
Tunnel Type : L2Lisp
Encap Type : VxLan
IF_ID : 0x37
Port Information
Handle ............ [0x2e000094]
Type .............. [Access-tunnel]
Identifier ........ [0x37]
Unit .............. [55]
Access tunnel Port Logical Subblock
Access Tunnel id : 0x37
Switch Num : 1
Asic Num : 0
PORT LE handle : 0xffc0b03c58
L3IF LE handle : 0xffc0e24608
DI handle : 0xffc02cdf48
RCP service id : 0x0
HTM handle decap : 0xffc0e26428
RI handle decap : 0xffc0afb1f8
SI handle decap : 0xffc0e26aa8
RCP opq info : 0x1
L2 Brdcast RI handle : 0xffc0e26808
GPN : 3201
Encap type : VXLAN
L3 protocol : 17
Src IP : 192.168.4.68
Dest IP : 182.10.50.6
Dest Port : 4789
Underlay VRF : 0
XID cpp handle : 0xffc03038f8
Port L2 Subblock
Enabled ............. [No]
Allow dot1q ......... [No]
Allow native ........ [No]
Default VLAN ........ [0]
Allow priority tag ... [No]
Allow unknown unicast [No]
Allow unknown multicast[No]
Allow unknown broadcast[No]
Allow unknown multicast[Enabled]
Allow unknown unicast [Enabled]
IPv4 ARP snoop ....... [No]
IPv6 ARP snoop ....... [No]
Jumbo MTU ............ [0]
Learning Mode ........ [0]
Port QoS Subblock
Trust Type .................... [0x7]
Default Value ................. [0]
Ingress Table Map ............. [0x0]
Egress Table Map .............. [0x0]
Queue Map ..................... [0x0]
Port Netflow Subblock
Port CTS Subblock
Disable SGACL .................... [0x0]
Trust ............................ [0x0]
Propagate ........................ [0x1]
%Port SGT .......................... [-180754391]
Ref Count : 2 (feature Ref Counts + 1)
IFM Feature Ref Counts
FID : 91, Ref Count : 1
No Sub Blocks Present
- show platform software access-tunnel switch active R0
Floor_Edge-6#show platform software access-tunnel switch active R0 Name SrcIp DstIp DstPort VrfId Iif_id --------------------------------------------------------------------- Ac4 192.168.4.68 182.10.50.6 0x12b5 0x0000 0x000037 Ac14 192.168.4.68 182.10.50.2 0x12b5 0x0000 0x000042 Ac15 192.168.4.68 182.10.50.7 0x12b5 0x0000 0x000043 Ac19 192.168.4.68 182.10.50.8 0x12b5 0x0000 0x000047 Ac24 192.168.4.68 182.10.50.5 0x12b5 0x0000 0x00004c
- show platform software access-tunnel switch active R0統計情報
Floor_Edge-6#show platform software access-tunnel switch active R0 statistics Access Tunnel Counters (Success/Failure) ------------------------------------------ Create 6/0 Create Obj Download 6/0 Delete 3/0 Delete Obj Download 3/0 NACK 0/0
- show platform software access-tunnel switch active F0
Floor_Edge-6#show platform software access-tunnel switch active F0 Name SrcIp DstIp DstPort VrfId Iif_id Obj_id Status -------------------------------------------------------------------------------------------- Ac4 192.168.4.68 182.10.50.6 0x12b5 0x000 0x000037 0x00d270 Done Ac14 192.168.4.68 182.10.50.2 0x12b5 0x000 0x000042 0x03cbca Done Ac15 192.168.4.68 182.10.50.7 0x12b5 0x000 0x000043 0x03cb9b Done Ac19 192.168.4.68 182.10.50.8 0x12b5 0x000 0x000047 0x03cb6b Done Ac24 192.168.4.68 182.10.50.5 0x12b5 0x000 0x00004c 0x03caf4 Done
- show platform software access-tunnel switch active F0統計情報
Floor_Edge-6#show platform software access-tunnel switch active F0 statistics Access Tunnel Counters (Success/Failure) ------------------------------------------ Create 0/0 Delete 3/0 HW Create 6/0 HW Delete 3/0 Create Ack 6/0 Delete Ack 3/0 NACK Notify 0/0
- show platform software object-manager switch active f0 statistics
Floor_Edge-6#show platform software object-manager switch active f0 statistics Forwarding Manager Asynchronous Object Manager Statistics Object update: Pending-issue: 0, Pending-acknowledgement: 0 Batch begin: Pending-issue: 0, Pending-acknowledgement: 0 Batch end: Pending-issue: 0, Pending-acknowledgement: 0 Command: Pending-acknowledgement: 0 Total-objects: 987 Stale-objects: 0 Resolve-objects: 3 Error-objects: 1 Paused-types: 0
- show platform software object-manager switch active f0 pending-issue-update
- show platform software object-manager switch active f0 pending-ack-update
- show platform software object-manager switch active f0 error-object
5.収集が必要なトレースとデバッグ
ステップ1:トレース/デバッグを有効にする前に、アーカイブログを収集する
request platform software trace archive target flash:<ファイル名>
Floor_Edge-6#request platform software trace archive target flash:Floor_Edge-6_12_14_18 Waiting for trace files to get rotated. Creating archive file [flash:Floor_Edge-6_12_14_18.tar.gz] Done with creation of the archive file: [flash:Floor_Edge-6_12_14_18.tar.gz]
ステップ 2: ロギングバッファを増やし、コンソールを無効にします。
Floor_Edge-6(config)#logging buffered 214748364 Floor_Edge-6(config)#no logging console
ステップ3:トレースの設定
- set platform software trace forwarding switch active R0 access-tunnel verbose
- set platform software trace forwarding switch active F0 access-tunnel verbose
- set platform software trace fed switch active ifm_main debug
- set platform software trace fed switch active access_tunnel verbose
- set platform software trace forwarding-manager switch active F0 aom verbose
ステップ4:デバッグを有効にします。
- debug l2lisp all
- debug lisp control-plane all
- debug platform software l2lisp events
ステップ 5: shut/no shut interface port(APが接続されているインターフェイスポート)。
ステップ6:別のファイル名でステップ1.と同じアーカイブログを収集します。
手順 7: ロギングファイルをフラッシュにリダイレクトします。
Floor_Edge-6#show logging |リダイレクトフラッシュ:<ファイル名>
Floor_Edge-6#show logging | redirect flash:console_logs_Floor_Edge-6_12_14_18
クライアントデバッグ
SDAでの無線クライアントの問題のデバッグが複雑になる可能性があります。
このワークフローに従って、一度に1つのデバイスを削除してください。
1. WLC
2.ファブリックエッジ
3.アクセスポイント(ファブリックエッジポイントでAPをデバッグする場合)
4.中間/境界ノード。(データパスに問題がある場合)
5.コントロールプレーンノード。(制御パスに問題がある場合)
WLCのデバッグ
クライアント接続の問題については、showコマンドやデバッグを含むWLCの情報を収集してデバッグを開始してください。
AireOS WLCのshowコマンド:
- show run-config
- show tech
- show wlan summary
- show wlan <id> —>すべてのSSIDに対してこの出力を収集します。少なくとも1つは動作中および非動作中です
- show fabric summary
- show fabric map-server summary
- show client summary
- show client detail <mac_id>
AireOS WLCのデバッグコマンド:
- debug client <mac1> —>クライアントのアソシエーション、ローミング、デバッグ。
- debug fabric client detail enable —>情報ファブリック登録メッセージを表示します
ファブリックエッジデバッグ
WLCでデバッグを行い、クライアントにコントロールプレーンパス関連の問題がないことを確認した後。クライアントはアソシエート、認証から移動し、正しいSGTタギングまたはAAAパラメータを使用して状態を実行し、この手順に進んで問題をさらに切り分けます。
もう1つの確認すべき点は、上記の「APのデバッグ」セクションで説明されているように、アクセストンネルプログラミングが正しいということです。
確認するshowコマンド:
L2 LISPインスタンスIDを検索する(上記のshow client detail <mac_id>)
show lisp instance-id
ethernet database wlc
--> This lists all WLC associated clients for that specific L2 lisp instance ID. A number of sources should match the number of Control plane nodes in the network
show lisp instance-id
ethernet database wlc
--> This shows the detail for the specific client
show device-tracking database | i Vl --> Find Specific SVI where the client is connected and needs to be present.
show device-tracking database | i
show ip arp vrf
show mac address-table vlan
show platform software fed switch active matm macTable vlan
--> If this is correct, programming for wireless client is happening correctly on local switch. show platform software matm switch active F0 mac
ファブリックエッジでのdebugコマンド
ファブリックエッジでのクライアントエントリのプログラミングに問題がある場合は、Fedトレースを収集する必要があります。これらのデバッグを有効にした後で同じことを行う方法は2つあります。
方法に関係なく、デバッグとsetコマンドを有効にする必要があります。
- set platform software trace fed switch active all-modules emergency
- set platform software trace fed switch active l2_fib_entry verbose
- set platform software trace fed switch active l2_fib_adj verbose
- set platform software trace fed switch active inject verbose
- set platform software trace fed switch active matm verbose
debug(コンソールロギングを無効にし、ロギングバッファを増やします)
- debug device-tracking
- debug lisp control-plane all
- debug platform fhs all
- debug platform software l2lisp events
- debug matm all
方法1.デバッグを有効にした後に、特定のクライアントの無線アクティブトレースログを収集します。
注:DHCPに問題がある場合は、この方法を使用しないでください)
問題が再現されるまで待ちます
- debug platform condition mac <mac-id> control-plane
- debug platform condition start
- debug platform condition stop
- request plat soft trace filter-binary wireless context mac <mac-id>
問題が再現されたら、コンソールログをフラッシュにリダイレクトします。
方法2.デバッグを有効にした後にアーカイブのトレースログを収集します。
問題が再現されるまで待ちます
Request Platform Software Trace Archive
ファイルを収集してログをデコードし、fed、ios、fmanのログをクライアントmac用に分析します。
問題が再現されたら、コンソールログをフラッシュにリダイレクトします。
アクセスポイントのデバッグ
2800/3800/1562 APモデルのデバッグ:
AP側の問題については、AP側のログを収集してSRに接続する前に、すべてのWLCのshowコマンドとログを収集してください。
クライアント側でデータ関連の問題をデバッグするには、次の手順に従ってください。
1. APのshowコマンドを収集します。(試験の終了前後2~3回)
- show clock
- term len 0
- term mon
- show tech
- show logging
- show controllers nss stats show controllers nss status
- show ip tunnel fabric
CWAに関する問題の場合は、トップコマンドに加えて、次のログも収集してください。次のコマンドは、テストの完了前後に1回収集する必要があります。
- show client access-lists pre-auth all <client mac>
- show client access-lists post-auth all <client mac>
- show ip access-lists
- show controller d [0/1] client
- show capwap cli detailrcb
- show tech support
2. APデバッグ(MACアドレスごとにフィルタ)
クライアントデータパスの問題:
- debug dot11 client datapath eapol addr <mac>
- debug dot11 client datapath dhcp addr <mac>
- debug dot11 client datapath arp addr <mac>
クライアントAPトレース:
- config ap client-trace address add <mac>
- config ap client-trace output console-log enable
- config ap client-trace filter all enable
- config ap client-trace filter probe disable
- config ap client-trace start
- term mon
- exec-timeout 0 0
CWAの問題:
- debug capwap client avc all
- debug capwap client acl
- debug client <client mac>
- debug dot11 client level info address <mac>
- debug dot11 client level events address <mac>
- debug flexconnect pmk
ユースケースのデバッグ
クライアントCWAデバッグ
注意事項:
- SDAにCWAを導入するときは、常にDNACを使用して設定を導入してください。
- DNACを使用して展開すると、DNACによって、認可ポリシー、認証ポリシー、および認可プロファイルもISEに展開されます。
- 認証のIDは、Dot1xの場合と同様に手動で設定する必要があります
この問題が観察される段階を確認します。
ステップ1:クライアントがIPアドレスを取得してWebauthに移動することは保留中ですか。
- 「はい」の場合は、次のステップに進みます。
- この問題が発生しない場合は、最初の参加段階です。
- WLCとAPの設定を確認します。
- ACLがAPにプッシュされ、WLC上の内容と一致していることを確認します
- ACLが正しくプッシュされていない場合は、APをリロードし、設定がプッシュされない暫定ステートであることを確認します。1つのAPで確認したら、DNACを介してAPのプロビジョニングが行われていることを確認します。
ステップ2:クライアントはリダイレクトページをロードできますか。
- 「はい」の場合は、次のステップに進みます。
- 問題がない場合は、複数の場所で問題が発生している可能性があります。
- WLCとAPの設定を確認します。
- ACLがAPにプッシュされ、WLC上の内容と一致していることを確認します
- ACLが正しくプッシュされていない場合は、APをリロードし、設定がプッシュされない暫定ステートであることを確認します。1つのAPで確認したら、DNACを介してAPのプロビジョニングが行われていることを確認します。
- WLCから、APがISEに接続されているISEおよびスイッチへの到達可能性を確認します。間にファイアウォールがないことを確認します
- DNSが正しく設定されていることを確認します。
ステップ3:クライアントはWebページを表示できますが、問題はログインと成功への移行ですか。
- ステップ1とステップ2の設定を再確認します。
- 認可プロファイル、認証ポリシー、および認可ポリシーが正しいことを確認します。
- ISEライブログの確認
- ユーザ名/パスワードがISE IDで正しく設定されていることを確認します。
- すべてが正常に動作している場合は、WLCとAPで次のようにデバッグを収集します。
1. WLCでのデバッグ:
- AireOSとPolarisのshowコマンドをそれぞれ次に示します。
AireOS:
- show run-config
- show wlan summary
- show wlan <id_for_Guest>
- show flexconnect acl summary
- show flexconnect acl detailed <ACl_from_previous_command>
極性:
- show running
- show tech-support wireless
- show tech-support wireless fabric
- show wlan summary
- show wlan id <id_for_guest>
- show ap name <AP_name> config general
- show running-config | sec ACL
- show wireless profile flex summary
- show wireless profile flex detailed <profile_name_from_above>
- AireOSとPolarisで次のデバッグを有効にします。
AireOS:
- debug client <client_mac>
- debug aaa all enable
- 問題を再現します。
- コンソール/ssh/telnetログの収集
ポリア(9300/9400/9500):
set platform software trace wncd switch active r0 all-modules debug
問題を再現します。
show platform software trace message wncd switch active R0 reverse |リダイレクトフラッシュ:<ファイル名>
Request Platform Software Trace Archive
フラッシュから両方のファイルを収集します
2. APでのデバッグ:
ACL情報を収集します。
show ip access-lists
APから次のデバッグを収集します。
- debug capwap client avc all
- debug capwap client acl
- debug client <client mac>
- debug dot11 client level info address <mac>
- debug dot11 client level events address <mac>
- debug flexconnect pmk
クライアントDHCPデバッグ
一部の問題は、次のデバッグを使用してデバッグできます。
1.スイッチでDHCP Discoverメッセージが表示されない。
2.ワイヤレスクライアントがDHCPオファーを受信していない。DHCP Discoverは、debug ip dhcp snooping packetログで確認されます。
3. APに接続されているポート、アップリンクポート、およびfusion側のDHCPサーバに接続されているポートでパケットキャプチャを収集します。
次のようなdebug/showコマンドがあります。
1. SSIDがIPプールに割り当てられているかどうかをCisco DNA Centerで確認します。
2. WLCでWLANが有効になっているかどうかを確認します。
3.無線が有効で、802.11aおよび802.11bネットワークの両方が有効になっているかどうかを確認します。
APでのクライアントパフォーマンスデバッグ
1.問題を有線または無線に絞り込むか、両方に影響します。同じVNIDでワイヤレスに接続されているクライアントで同じトラフィックをテストし、同じVNIDで有線と同じトラフィックをテストします。
2.同じVN上のファブリック内の有線クライアントで問題が発生していないが、無線クライアントで問題が発生している場合は、AP側で問題が発生しています。
3.クライアントのパフォーマンスやトラフィックに関連する問題でAP側でデバッグを行うには、最初にクライアント接続が問題でないことを確認します。
4. WLCでdebug clientを使用して、クライアントがローミング中、セッションタイムアウト、または同じAPへの安定した接続で劣化を観察していることを確認します。
5.問題が同じAPにあることを絞り込んだ後、次の手順に従って、3800/2800/4800 AP上のデバッグと、APに接続されたスイッチ上のパケットキャプチャおよび地上波パケットキャプチャを収集します。
ステップ1:問題の再現に使用されるトラフィックが実際に問題を模倣していることを確認します。
ステップ2:テストが実行されるお客様の側で地上波パケットキャプチャを設定する必要があります。
Instructions for collecting over-the-air packet captures:
Here you find the guide how to set up an Over-The-Air packet capture, you can use a windows client machine, apple client machine or configure a sniffer mode AP (suggested). https://www.cisco.com/c/en/us/support/docs/wireless-mobility/80211/200527-Fundamentals-of-802-11-Wireless-Sniffing.html There are few things we need to consider: +Use an Open L2/L3 security SSID to avoid encryption on the packets through the air. +Set client-serving-AP and sniffer AP on the same channel. +Sniffer AP should be close enough to capture what serving-client-AP is receiving or sending. SPAN session should be taken at the same time than OTA pcap for a proper analysis, how to configure a SPAN session (swport traffic mirroring): Nexus switches: https://www.cisco.com/c/en/us/support/docs/switches/nexus-7000-series-switches/113038-span-nexus-config.html IOS switches: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/network_management/configuration_guide/b_nm_15ex_2960-x_cg/b_nm_15ex_2960-x_cg_chapter_0111.html
ステップ3:WLCからクライアントをデバッグし、APが接続されているスイッチからパケットキャプチャを取得します。スイッチのEPCキャプチャは、これらのログをキャプチャするために利用できます。
ステップ4:3800 AP ssh/telnetセッションからのデバッグ
Logs to be collected from 3800 AP: A) Run following commands once before starting the test. [Once all commands are tested, copy all commands in a text file so that it is easy to copy and paste on devshell, we would need multiple iterations of this command outputs during the test] Step A Devshell commands on AP - Use SSH. -------------------------------------------------- 1) To Get wired0 input packet count date cd /click/fromdev_wired0/ cat icounts ocounts calls 2) Fabric gateway and clients cat /click/client_ip_table/cli_fabric_clients cd /click/fabric_tunnel/ cat show_fabric_gw 3) Tunnel Decap stats cd /click/tunnel_decap/ cat icounts ocounts tunnel_decap_stats tunnel_decap_no_match decap_vxlan_stats cat tunnel_decap_list 4) Tunnel Encap stats cd /click/tunnel_encap/ cat icounts ocounts tunnel_encap_stats encap_vxlan_stats tunnel_encap_discard cat get_mtu eogre_encap_list 5) Wireless client stats
注:正しい無線vapコンボで、これらの最後のコマンドセットを発行する必要があります。たとえば、クライアントが無線1の場合、vap 1:cat /click/client_ip_table/list = Check client connected port/interface aprXvYという出力から、以下の出力を得るために同じものを使用します。cd /click/fromdev_ apr1v3/ cat icounts ocounts calls cd /click/todev_ apr1v3/ cat icounts ocounts calls Step B - E B) AP間でOTAを開始します。クライアント.有線PCAP(クライアントが接続されているスパニングAPポート)を開始します。(分析に有線と無線の両方のpcapが必要) C)オープン認証WLANを使用します(OTA pcapを分析するセキュリティはありません)。 iperfテストを開始し、10 ~ 15分間、継続的に実行します。D) dateコマンドを使用して、手順Aを2分ごとに繰り返します。5回以上繰り返します。E)テスト完了後:APからshow techを収集します。
APオンボーディング
従来の方法/手順:
AP Vlan Scopeには、WLCを指すオプション43またはオプション60があると見なされます。
1. 「認証なし」を選択します。
2. Infra_VNをAP IPプールに、Default_VNをWireless Client IPプールに設定します。
3. APがInfra_VNに接続されているエッジインターフェイスポートを設定します。
4. APがIPを取得してWLCに加入すると、デバイスインベントリで検出されます。
5. APを選択して特定のサイトに割り当て、APをプロビジョニングします。
6.プロビジョニングが完了すると、WLCをファブリックに追加するときに作成されたAPグループにAPが割り当てられます。
プラグアンドプレイ/ゼロタッチAPプロビジョニング
AP Vlan Scopeには、Cisco DNA Centerを指すオプション43が含まれていると見なされます。DNACガイドに従ってAP PNPを設定します
ファブリックエッジ側:
次のデバッグを有効にします。
- debug ip dhcp snooping packet
- debug ip dhcp snooping event
関連情報
シスコ エンジニア提供
- Rutvik ShahCisco Engineering
フィードバックシスコに問い合わせ
- サポート ケースをオープン
- (シスコ サービス契約が必要です。)