CAPWAP Access Point - Trouble Shooting



 ◆ APがWLCにジョインできない場合 - その1

 WLCにジョインできない状態が続いて、なおかつAPのログで
Bad Certificate alert received from peer
 メッセージが出力されている場合、WLCの時刻をなるべく正しい状態にしましょう。WLCにSSHアクセス
 して(Cisco Controller)>config time manual で設定変更します。CAPWAPのAPとWLCとの時刻設定が
 大きくずれている場合、このような事象が発生します。

 または、WLCにジョインできない状態が続き、APのログで
status of voice_diag_test from WLC is false
 メッセージが出力される場合やワークアラウンドを実施しても解決しない場合、APでcapwapコマンドを
 再入力して再起動しましょう。その際に capwap ap controller ip address と入力し設定するパターンと
 capwap ap primary-baseと設定する両パターンを試してみましょう。それでも解決しないならAP初期化。



 ◆ APがWLCにジョインできない場合 - その2

 Aironet 1600/2600/3600/2700/3700 の場合、初期セットアップ時にCountryコードを
J4にする必要が
 あります。上記のAPでCountryコードが
J4 でない場合、AP側で以下のエラーメッセージが出力されます。


 CAPWAP-3-ERRORLOG: Could Not resolve CISCO-CAPWAP-CONTROLLER
 CAPWAP-3-ERRORLOG: Selected MWAR 'WLC5508-TEST1'(index 0).
 CAPWAP-3-ERRORLOG: Go join a capwap controller
 CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 192.168.40.1 peer_port: 5246
 CAPWAP-5-DTLSREQSUCC: DTLS connection created sucessfully peer_ip: 192.168.40.1 peer_port: 5246
 CAPWAP-5-SENDJOIN: sending Join Request to 192.168.40.1
 Translating "CISCO-CAPWAP-CONTROLLER"...domain server (255.255.255.255)
 CAPWAP-3-ERRORLOG: Retransmission count for packet exceeded max(
UNKNOWN_MESSAGE_TYPE (5)
 CAPWAP-3-ERRORLOG: GOING BACK TO DISCOVER MODE
 DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 192.168.40.1:5246
 LWAPP-3-CLIENTERRORLOG: LWAPP LED Init: incorrect led state 255


 あるいは、WLCのバージョンによってはAPで以下のようなメッセージが出力されます。


 CAPWAP-5-SENDJOIN: sending Join Request to 192.168.40.1
 CAPWAP-3-ERRORLOG: Invalid event 10 & state 5 combination.
 CAPWAP-3-ERRORLOG: CAPWAP SM handler: Failed to process message type 10 state 5.
 CAPWAP-3-ERRORLOG: Failed to handle capwap control message from controller
 CAPWAP-3-ERRORLOG:
Failed to process encrypted capwap packet from 192.168.40.1
 Translating "CISCO-CAPWAP-CONTROLLER"...domain server (255.255.255.255)
 CAPWAP-3-ERRORLOG: Retransmission count for packet exceeded max(UNKNOWN_MESSAGE_TYPE (5)



 例えば、AP1142やAP3502などで構築した無線LANネットワークにAP2602や3602などを混在させる時は
 注意が必要です。なぜならAP1142やAP3502の環境ではWLC5508の「Country Code」をJ4ではなく
J2
 セットアップしていることが多いからです。一般的にはこの組み合わせではJ2でセットアップすることが
 多いですが1600/2600/3600/2700/3700ではWLCでJ4でセットアップしないJoinできないのでご注意を!

 JoinできないAironetで
show capwap client config と入力し、以下の通り「^@」と表示されている場合
 WLCに設定されているCountry Codeが、JoinしようとするAPのCountryCodeと適合していないことを意味。


 Slot 0
 adminstate ADMIN_ENABLED(1)
 radioType RADIO_TYPE_80211bg
 CleanAirAdminState Enabled
 countryCode ^@^@^@
 countryISOCode ^@^@^@




 ◆ LWAPP/CAPWAP アクセスポイント - WLCの登録後

 WLC登録後にAPにアクセスしようとするとユーザ名及びパスワードが求められるようになります。これは
 デフォルトでは全て
Ciscoとなります。ただしWLC側ですでに以下の構文による設定がある場合には、この
 コマンド設定に従った内容が、全てのAPのログインに適用されることになります。設定構文は以下です。

 
◆ config ap mgmtuser add username <ユーザ名> password <パスワード> secret <イネーブルパスワード> all
 
◆ 設定例:ユーザ名に「admin」、パスワードに「Cisco1」、イネーブルパスワードに「Cisco2」と設定
  (Cisco Controller) > config ap mgmtuser add username admin password Cisco1 secret Cisco2 all

 ※ 上記コマンドで設定したコマンドは、Consoleアクセスだけでなくtelnetアクセスにも適用されます。


 セキュリティの観点からWLCに登録されたAPのリセットボタンをdisableにする方法があります。その場合
 以下のコマンドを入力すればOKですがあまり推奨しません。※disable を enable にすれば元通りなります。

  (Cisco Controller) > config ap rst-button disable all


 ところで、一度WLC登録された後に、そのAPを
 設定変更しようとするとERROR!!!Command
 is disabled.というメッセージが表示されます。
 ※ APを初期化したい場合でもメッセージは発生。

 ただしCAPWAPのIPアドレス、デフォルトゲート
 ウェイ、コントローラーのIPアドレスについては、
 上書きという形で、設定変更することができます。


 If you enter the clear capwap private-config command, you might see this error message:

 AP0017.XXXX.XXXX#clear capwap private-config
 
ERROR!!! Command is disabled.
 This error message indicates that the static configuration commands are locked out because either:

 @ This command was entered while the AP is registered to a controller.
 A The AP was previously registered to a WLC, but the username/password was not changed from the default.



 ◆ WLCからAPへのPING

 WLC管理画面の右上の「Ping」を選択するとWLCからPINGができます。Firewallでブロックしていない限り
 WLCからAPへはPINGの応答があるはずなので確認してみましょう。PING応答があると以下が表示されます。

        


 PING応答がない場合は以下の画面が表示されます。APがWLCに正しくジョインしている状態にも関わらず
 PING応答がない場合は、APを再起動しましょう。WLC ⇔ AP間でICMPがブロックされていないことが前提。

              



Cisco無線LAN - WLC 設定

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.