查看无线局域网控制器(WLC)错误和系统消息常见问题

问： 轻量接入点协议 (LWAPP) AP 无法加入其控制器。无线局域网控制器(WLC)日志显示类似以下内容的消息：LWAPP加入请求没有包含来自AP 00:0b：85:68：ab：01的CERTIFICATE_PAYLOAD中的有效证书。为什么？

A.如果AP和WLC之间的LWAPP隧道经过的MTU小于1500字节的网络路径，您可能会收到此错误消息。这会导致 LWAPP 数据包的分段。这是控制器中的一个已知 Bug。请参阅Cisco bug IDCSCsd39911。

解决办法是将控制器固件升级到 4.0(155)。

注意：只有思科注册用户才能访问内部思科漏洞信息和工具。

问： 我想在内部控制器和非军事化区域(DMZ)的虚拟锚点控制器之间建立访客隧道。然而，当用户试图与访客 SSID 关联时，用户无法如预期的那样从 DMZ 接收 IP 地址。所以，用户流量没有通过隧道传输给 DMZ 中的控制器。debug mobile handoff命令的输出显示了如下消息：WLAN <Wlan ID>的安全策略不匹配。来自交换机IP的锚点导出请求：<controller Ip address> Ignored。问题出在哪里？

A.访客隧道为访客用户访问公司无线网络提供额外的安全性。这有助于确保访客用户首先必须通过公司防火墙才能访问公司网络。当用户与指定为访客 WLAN 的 WLAN 关联时，用户流量通过隧道传输到位于公司防火墙之外的 DMZ 中的 WLAN 控制器。

在此情况中，该访客隧道未能如预期那样正常工作的原因可能有几个。如debugcommand输出所示，问题可能是为内部控制器以及DMZ控制器中特定WLAN配置的任意安全策略不匹配。请检查安全策略以及其他设置（如会话超时设置）是否匹配。

此问题的另一个常见原因是，对于该特定WLAN，DMZ控制器未锚定到其自身。为使访客隧道正常工作，且 DMZ 能管理属于访客 WLAN 的用户的 IP 地址，必须对该特定 WLAN 执行正确锚定。

问： 我在 2006 无线局域网控制器 (WLC) 上看到许多“CPU Receive Multicast Queue is full on Controller”消息，但 4400 WLC 上没有。为什么？我已经在控制器上禁用了组播。2006 与 4400 WLC 平台的组播队列限制有何区别？

A.由于控制器上禁用了组播，导致此警报的消息可能是地址解析协议(ARP)消息。2000 WLC 与 4400 WLC 在队列深度（512 数据包）上没有区别。不同之处在于 4400 NPU 过滤 ARP 数据包，而 2006 在软件中完成所有操作。这解释为什么在 2006 WLC 中看到以上消息，但 4400 WLC 中没有。44xx WLC 通过硬件（通过 CPU）处理组播数据包。2000 WLC 通过软件处理组播数据包。CPU 处理比软件处理效率更高。所以，4400 的队列清除速度更快，而 2006 WLC 在收到很多以上消息时需要花更多时间来处理。

问： 我在我的一个控制器中看到“[SECURITY] apf_foreignap.c 763： STA [00:0A：E4:36:1F：9B] Received a packet on port 1 but no Foreign AP configured for this port.”错误消息。此错误意味着什么？我必须采取什么步骤来解决它？

A.控制器收到MAC地址（它没有状态机）的DHCP请求时，会看到此消息。在网桥或运行虚拟机（如 VMWare）的系统中，经常会出现此消息。控制器听取 DHCP 请求，因为执行 DHCP 监听，因此知道哪些地址与附加到其接入点 (AP) 的客户端关联。无线客户端的所有流量都通过控制器。当数据包的目的地是无线客户端时，它会去往控制器，然后通过轻量接入点协议 (LWAPP) 隧道，从 AP 到达客户端。以下措施有助于减少此消息，即对于在交换机上采用switchport vlan allowcommand进入控制器的中继，在控制器上只允许使用VLAN。

问： 为什么在控制台上看到以下错误消息：Msg 'Set Default Gateway' of System Table failed， Id = 0x0050b986 error value = 0xfffffffc？

A.这可能是由于CPU负载过高。当控制器 CPU 负载很重时，例如当它执行文件复制或其他任务时，没有时间处理 NPU 为响应配置消息而发送的所有 ACK。此时，CPU 会生成错误消息。不过，此错误消息不会影响服务或功能。

有关详细信息，请参阅Cisco无线LAN控制器。

问： 我在无线控制系统(WCS)上收到以下有线等效保密(WEP)密钥错误消息：在站点配置的WEP密钥可能错误。Station MAC Address is 'xx：xx：xx：xx：xx：xx'， AP base radio MAC is 'xx：xx：xx：xx：xx' and Slot ID is '1'。然而，我的网络中并未使用 WEP 作为安全参数，只使用了 Wi-Fi Protected Access (WPA)。为什么我会收到这些 WEP 错误消息？

答：如果所有与安全相关的配置都非常完美，您现在收到的消息就是由Bug导致的。控制器中存在某些已知 Bug。请参阅Cisco bug IDCSCse17260（仅限思科）和Cisco bug ID CSCse11202（仅限注册用户），其中说明“分别使用WPA和TKIP客户端时，站点上配置的WEP密钥可能不正确。”实际上，思科漏洞ID CSCse17260与思科漏洞ID CSCse11202重复。思科但ID为CSCse11202的修复已随WLC版本3.2.171.5提供。

注意：最新的WLC版本具有针对这些bug的修补程序。

注意：只有思科注册用户才能访问内部思科漏洞信息和工具。

问： 我使用外部RADIUS服务器通过控制器对无线客户端进行身份验证。控制器定期发送此错误消息：no radius servers are responding。为什么会显示这些错误消息？

A.当请求从WLC发出到RADIUS服务器时，每个数据包都有一个序列号，WLC期望收到响应。如果无响应，则显示“show radius-server not responding”消息。

WLC 收到 RADIUS 服务器响应的默认时间为 2 秒。此值在WLC GUI的Security > authentication-server下进行设置。最大值为 30 秒。因此，将此超时值设置为最大值有助于解决此问题。

有时，RADIUS服务器会对来自WLC的请求数据包执行“静默丢弃”。RADIUS 服务器可以因证书不匹配以及其他几个原因而拒绝这些数据包。这是服务器执行的有效操作。此外，在这种情况下，控制器可以将RADIUS服务器标记为无响应

要解决静默丢弃问题，可在WLC中禁用主动故障切换功能。

如果在WLC中启用主动故障切换功能，则WLC会过于主动，以至于无法将AAA服务器标记为无响应。但是，不能这样做，因为AAA服务器无法仅响应该特定客户端（它执行静默丢弃）。它可以对其他具有效证书的有效客户端进行响应。但是，WLC仍可将AAA服务器标记为无响应且不起作用。

为了克服这种情况，请禁用主动故障切换功能。从控制器CLI中发出config radius aggressive-failover disablecommand以执行此操作。如果禁用了此功能，则当连续三个客户端都未能从 RADIUS 服务器收到响应时，控制器只会将故障切换到下一个 AAA 服务器。

问：多个客户端无法关联到LWAPP，且控制器日志中显示“IAPP-3-MSGTAG015： iappSocketTask： iappRecvPkt returned error”错误消息。为什么会发生这种情况？

A.发生这种情况的主要原因是支持CCX v4但运行早于10.5.1.0的客户端捆绑版本的英特尔适配器出现问题。要修复此问题，可将软件升级到 10.5.1.0 或更高版本。有关此错误消息的详细信息，请参阅Cisco bug IDCSCsi91347。

注意：只有思科注册用户才能访问内部思科漏洞信息和工具。

问： 我在无线局域网控制器(WLC)上看到以下错误消息：Reached Max EAP-Identity Request retries (21) for STA 00:05:4e：42：ad：c5。为什么？

A.当用户尝试连接受EAP保护的WLAN网络但未能达到预配置的EAP尝试次数时，出现此错误消息。当用户无法进行身份验证时，控制器会排除客户端，并且客户端无法连接到网络，直到排除计时器过期或被管理员手动覆盖。

排除会检测单个设备执行的认证尝试。当该设备达到最大失败次数时，将不再允许该 MAC 地址进行关联。

以下情况下将发生排除：

• 共享认证连续 5 次认证失败后（不提供第 6 次尝试）

• MAC 认证连续 5 次关联失败后（不提供第 6 次尝试）

• 连续 3 次 EAP/802.1X 认证失败后（不提供第 4 次尝试）

• 任何外部策略服务器故障 (NAC)

• 任何 IP 地址复制实例

• 连续 3 次 Web 认证失败后（不提供第 4 次尝试）

表示客户端排除时间长短的计时器是可以配置的，并且可以在控制器或 WLAN 级别启用或禁用排除。

问： 我在无线局域网控制器(WLC)上看到此错误消息：交换机WLCSCH01/10.0.16.5生成严重性为1的类别交换机警报。该警报的消息为控制器'10.0.16.5'。RADIUS server(s) are not responding to authentication requests。问题是什么？

A.这可能是由于Cisco Bug ID CSCsc05495。由于此 Bug 的存在，控制器会定期将不正确的 AV 对（属性 24，“state”）插入认证请求消息中，这违反了 RADIUS RFP 并会造成某些认证服务器出现问题。此 Bug 在 3.2.179.6 中已修复。

注意：只有思科注册用户才能访问内部思科漏洞信息和工具。

问： 我在 Monitor > 802.11b/g Radios 情况下收到噪声配置文件故障消息。我想知道为什么会看到此 FAILED 消息？

A.噪声配置文件FAILED/PASSED状态在WLC完成测试结果后设置，并与当前设置的阈值进行比较。默认情况下，噪声值设置为 -70。FAILED 状态表明已超出该特定参数或接入点 (AP) 的阈值。您可以调整配置文件中的参数，但建议您在清楚了解网络设计及其对网络性能的影响后更改设置。

无线电资源管理(RRM) PASSED/FAILED阈值是在802.11a Global Parameters > Auto RFand 802.11b/g Global Parameters > Auto RFpages上为所有AP全局设置的。RRM PASSED/FAILED阈值是在802.11 AP Interfaces > Performance Profilepage上为该AP单独设置的。

问： 我无法将端口 2 设置为 AP 管理器接口的备份端口。返回的错误消息如下：Could not set port configuration。我可以将端口 2 设置为管理接口的备份端口。两个接口的当前活动端口是端口 1。为什么？

A.AP管理器没有备份端口。较早版本中支持该设置。自版本 4.0 起，不再支持 AP 管理器接口的备份端口。通常，必须在每个端口上配置一个AP管理器（无备份）。如果使用链路聚合 (LAG)，则只有一个 AP 管理器。

必须为系统端口 1 分配静态（或永久）AP 管理器接口，且该接口必须具有唯一 IP 地址。它不能映射到备份端口。通常是在与管理接口相同的 VLAN 或 IP 子网上配置这一点，但这并非一项要求。

问： 我看到以下错误消息：AP '00:0b：85:67:6b：b0'从站点'00:13:02:8d：f6:41'收到协议'1'的WPA MIC错误。Counter measures have been activated and traffic has been suspended for 60 seconds。为什么？

A.集成在Wi-Fi保护访问(WPA)中的消息完整性检查(MIC)包括防止中间人攻击的帧计数器。此错误表示网络中的某个人想重播原始客户端发送的消息，或者可能表示客户端有故障。

如果客户端的 MIC 检查反复失败，控制器会对检测到错误 60 秒的 AP 接口禁用 WLAN。将记录第一次 MIC 失败，并启动计时器以强制实施应对措施。如果在最近上一次故障发生60秒内发生后续MIC故障，则其IEEE 802.1X实体作为请求方的STA如果其IEEE 802.1X实体作为身份验证器，则该STA应使自身无效或使具有安全关联的所有STA失效。*

此外，在检测到第二个故障后的至少60秒内，该设备不会接收或传输任何TKIP加密的数据帧，也不会接收或传输任何对等体发送或接收任何未加密的数据帧（IEEE 802.1X消息除外）。如果设备是AP，则在此60秒内不允许与TKIP建立新关联；在60秒期结束时，AP将恢复正常操作并允许STA进行（重新）关联。

这样可防止对加密方案的可能攻击。在低于 4.1 的 WLC 版本中，这些 MIC 错误无法关闭。在无线局域网控制器版本 4.1 及更高版本中，有一个命令可更改 MIC 错误的扫描时间。命令isconfig wlan security tkip hold-down <0-60 seconds> <wlan id>。使用值 0 可为应对措施禁用 MIC 故障检测。

* 无效：结束身份验证。

问： 控制器日志中出现以下错误消息： [ERROR] dhcp_support.c 357： dhcp_bind()： servPort dhcpstate failed。为什么？

A.当控制器的服务端口启用了DHCP但未从DHCP服务器收到IP地址时，通常会显示这些错误消息。

默认情况下，物理服务端口接口安装有 DHCP 客户端并通过 DHCP 寻找地址。WLC 尝试为该服务端口请求 DHCP 地址。如果 DHCP 服务器不可用，则服务端口的 DHCP 请求失败。因而会产生此错误消息。

应急方案是为该服务端口配置一个静态 IP 地址（即使该服务端口已断开），或者让可用的 DHCP 服务器为该服务端口分配一个 IP 地址。然后，如有必要，重新载入控制器。

该服务端口实际上是为发生网络故障时的控制器带外管理和系统恢复而预留的。它也是当控制器处于启动模式时唯一的活动端口。该服务端口不能传输 802.1Q 标记。所以，它必须连接到相邻交换机的接入端口。是否使用该服务端口是可选的。

该服务端口接口控制通过的通信，并由系统静态映射到服务端口。在不同管理子网、AP 管理器和任意动态接口上，它必须具有 IP 地址。此外，它不能映射到备份端口。服务端口可以使用 DHCP 获取 IP 地址，或为其分配一个静态 IP 地址，但不能将默认网关分配给该服务端口接口。可通过控制器定义静态路由，以对服务端口进行远程网络访问。

问： 我的无线客户端无法连接到无线局域网 (WLAN) 网络。无线接入点(AP)所连接的WiSM报告以下消息：Big NAV Dos attack from AP with Base Radio MAC 00:0g：23:05:7d：d0， Slot ID 0 and Source MAC 00:00:00:00:00:00。这是什么意思？

答：作为访问介质的一个条件，MAC层会检查其网络分配矢量(NAV)的值。NAV 是驻留在每个站点上的计数器，用于表示上一帧发送其帧所需的时间。在站点可以尝试发送帧之前，NAV 值必须为零。在传输帧之前，站点根据帧长度和数据速率计算发送帧所需的时间。站点在帧报头的持续时间字段中放入一个表示该时间的值。当其他站点收到帧时，会检查此持续时间字段值并以此为基础设置相应的 NAV。此过程保留发送站的介质。

高 NAV 意味着 NAV 值过大（802.11 的虚拟载波侦听机制）。如果报告的MAC地址为00:00:00:00:00:00，则它可能是伪装的（可能是真正的攻击），您需要通过数据包捕获来确认这一点。

问： 我配置控制器并重新启动它后，无法在安全网络(https)模式下访问控制器。当我尝试访问控制器安全Web模式时收到此错误消息：Secure Web： Web Authentication Certificate not found (error) 。出现该问题的原因是什么？

答：有几个原因与此问题相关。一个常见的原因是控制器的虚拟接口配置导致的。为解决该问题，可删除该虚拟接口，然后用以下命令重新生成接口：

WLC>config interface address virtual 1.1.1.1

然后，请重新启动控制器。控制器重新启动后，在控制器上采用以下命令重新生成本地 Webauth 证书：

WLC>config certificate generate webauth

在此命令的输出中，您可以看到以下消息：Web Authentication certificate has been generated。

现在，您可以在重新启动后访问控制器的安全Web模式。

Q.控制器有时针对以下有效客户端报告此IDS取消关联泛洪签名攻击警报消息：攻击者MAC地址是加入该控制器的接入点(AP)的地址：警报：在控制器“x.x.x.x”上的AP“<AP名称>”协议“802.11b/g”上检测到IDS“取消关联泛洪”签名攻击。The Signature description is 'Disassociation flood', with precedence 'x'.攻击者mac地址为'hh：hh：hh：hh：hh：hh'，信道编号为'x'，检测次数为'x'。为什么会发生这种情况？

A.这是由Cisco Bug IDCSCsg81953所致。   

注意：只有思科注册用户才能访问内部思科漏洞信息和工具。

有时会报告针对有效客户端的IDS解除关联泛洪攻击，其中攻击者MAC地址是加入该控制器的AP的MAC地址。

当客户端与AP相关联但由于移除卡而停止通信时，它会漫游到覆盖范围之外，以此类推，到AP时，AP会等待空闲超时。一旦达到空闲超时，AP 向该客户端发送取消关联帧。如果客户端不确认取消关联帧，则 AP 会多次重复发送该帧（大约 60 次）。控制器的 IDS 子系统收到这些重复发送的帧，并通过此消息提出警报。

此 Bug 在版本 4.0.217.0 中已解决。为消除针对有效客户端和 AP 的此警报消息，可将您的控制器升级到该版本。

问： 我在控制器的syslog中收到以下错误消息： [警告] apf_80211.c 2408：从站点<xx：xx：xx：xx：xx：xx：xx：xx> [错误] apf_utils.c 198：Missing Supported Rate。为什么？

A.实际上， Missing Supported Rate消息表示在无线设置下为某些必需的数据速率配置了WLC，但NIC卡中缺少必需的数据速率。

如果您在控制器上设置了必需的数据速率（如 1 和 2M），但 NIC 卡未对这些数据速率进行通信，那么您会收到此类消息。这属于 NIC 卡的错误行为。另一方面，如果您的控制器启用了 802.11g，且客户端只有 802.11b 卡，那么这是一个合法消息。如果此消息不引起任何问题，并且卡仍然可以连接，则此消息可以忽略。如果此消息是针对某个卡的，那么请确保卡的驱动程序是最新的。

问： 我们的网络中广播了以下Syslog AP：001f.ca26.bfb4： %LWAPP-3-CLIENTERRORLOG： Decode Msg： could not match WLAN ID <id>错误消息。为什么会发生这种情况，该如何阻止？

A.此消息由LAP广播。当您为WLAN配置了WLAN覆盖功能并且未通告该特定WLAN时，就会看到此消息。

Configureconfig ap syslog host global 0.0.0.0可阻止该消息，在拥有syslog服务器的情况下也可以放置特定IP地址，以便只向服务器广播消息。

问： 我在我的无线局域网控制器(WLC)上收到以下错误消息：[错误]文件：apf_mm.c：行：581：Announce collision for mobile 00:90:7a：05:56:8a， deleting。为什么？

A.通常，此错误消息表明控制器已通告无线客户端的冲突（即，单独的AP通告它们拥有客户端），并且控制器未收到从一个AP到另一个AP的切换。没有要保持的网络状态。请删除无线客户端，然后让客户端重试。如果此问题频繁发生，则可能是移动配置有问题。否则，它可能是与特定客户端或条件相关的异常。

问： 我的控制器引发此警报消息：Coverage threshold of '12' violated。此错误是什么？如何解决此问题？

A.当客户端信噪比(SNR)降至低于特定无线电的SNR阈值时，会发出此警报消息。12是覆盖空洞检测的默认SNR阈值。

当客户端的SNR水平小于给定的SNR阈值时，覆盖空洞检测与校正算法确定是否存在覆盖空洞。此SNR阈值取决于两个值：AP发射功率和控制器覆盖范围配置文件值。

具体而言，客户端SNR阈值由每个AP的发射功率（以dBm表示）减去常数值17dBm再减去用户可配置的覆盖配置文件值（该值默认为12 dB）来定义。

• 客户端SNR截止值(|dB|) = [AP发射功率(dBm) -常数(17 dBm) -覆盖配置文件(dB)]

可以通过以下方式访问此用户可配置的覆盖配置文件值：

1. 在WLC GUI中，转到Wireless的大标题，并为左侧的WLAN standard of choice选择Network选项(802.11a or 802.11b/g)。然后，在窗口右上方选择Auto RF。

2. 在Auto RF Global parameters页中，找到Profile Thresholds部分。在此部分中，可以找到 Coverage 值（3 到 50 dbm）。该值为用户可配置的覆盖配置文件值。

3. 可编辑此值以修改客户端 SNR 阈值。影响此SNR阈值的另一种方式是增加发射功率和补偿覆盖空洞检测。

问： 我使用ACS v 4.1和4402无线局域网控制器(WLC)。当WLC尝试对ACS 4.1的无线客户端进行MAC身份验证时，ACS无法使用ACS进行响应并报告此错误消息：“Internal error has occurred ”。我所有的配置都正确。为什么会出现此内部错误？

答：ACS 4.1中存在与身份验证相关的Cisco bug IDCSCsh62641，ACS显示theInternal error has occurrererror message。

此Bug可能是问题。在ACS 4.1下载站点上有一个可用于此Bug的修补程序，可以修复此问题。

注意：只有思科注册用户才能访问内部思科漏洞信息和工具。

问： Cisco 4400系列无线局域网控制器(WLC)无法启动。控制器上收到以下错误消息： ** Unable to use ide 0:4 for fatload ** Error (no IRQ) dev 0 blk 0： status 0x51 Error reg： 10 ** Cannot read from device 0。为什么？

A.此错误的原因可能是硬件问题。打开TAC案例以进一步解决此问题。要提交TAC支持请求，您需要与思科签订有效合同。要与Cisco TAC联系，请参阅技术支持。

问： 无线局域网控制器 (WLC) 遇到存储器缓冲区问题。一旦内存缓冲区已满，控制器就会崩溃，需要重新启动以使其重新联机。消息日志中显示了这些错误消息：Mon Apr 9 10:41:03 2007 [ERROR] dtl_net.c 506： Out of System buffers Mon Apr 9 10:41:03 2007 [ERROR] sysapi_if_net.c 537： Cannot allocate new Mbuf.Mon Apr 9 10:41:03 2007 [错误] sysapi_if_net.c 219： MbufGet：无可用Mbufs。为什么？

A.这是由Cisco Bug IDCSCsh93980引起的。WLC 版本 4.1.185.0 中已解决此 Bug 问题。将控制器升级到此软件版本或更高版本，以便克服此消息。

注意：只有思科注册用户才能访问内部思科漏洞信息和工具。

问： 我执行了将我们的无线局域网控制器(WLC) 4400升级到4.1代码，并且我们的系统日志被消息攻击，例如 May03 03:55:49.591 dtl_net.c：1191 DTL -1-ARP_POISON_DETECTED： STA [00:17：f2:43:26:93， 0.0.0.0] ARP (op 1)已收到无效SPA 192.168.1.233/TPA 192.168.1.233。这些消息表示什么？