在2015年2月10日的第八期【CSC公开课】中,思科TAC技术支持专家Chao Feng和Guomin Zhang担任答疑专家组成员,帮助解答了与会者的在线提问。
答疑专家:
Chao Feng
Guomin Zhang问题解答列表:
•问:coredump要打开这个功能才能有dump文件保存么?--
•答:默认其实是打开的-
可以通过这个命令查看:
WiSM-slot8-1) >show coredump summary
Core Dump is enabled-
打开是这个样子的,
configcoredump enable
configcoredump ftp (ip address)(filename)
configcoredump username(username) password (password)-‑
•问:CurrentTxRateSetm7Data RateSet 6.0,9.0,12.0,18.0,24.0,36.0,48.0,54.0Current TxRateSet 的值m7是代 表什么?和data rateset有对应关系吗?
•问:能否说明下认证和加密的关系,wpa/wpa2 是认证和加密一起做,其他的是分开设置吗 ?如果只做认证,不作数据加密,恶意客户端是否可以随意的获取这些未加密数据?-
•答:这个要深究可能不便于在聊天窗口回答了,建议可以看下各种认证和加密方式的规范-
•问:也有类似问题。radiusmac地址认证和wpa2 相比,用户更容易连上wpa2.用户认为 wpa2 的ssid更好用。如何解释好点-
•答:首先这个行为是由客户端决定去连接哪个SSID-
我们对于广播的不同SSID,没有优先级设定,决定权都在客户端driver 层面-
•问:AP 注册AC,通过广播,通过DHCP,dns拿地址,或者通过静态地址这些有顺序吗?-
•答:无所谓顺序, AP 会把这些过程都走一遍-
•问:-是否有针对中国网络环境特定的分析-?
•答:不是特别明白您所说的中国网络环境特定的分析是指什么,能帮忙解释下,我看能不能答复您,关于问题的等级,我们有四个等级,P1-P4, P1一般针对网络中断,P2一般针对网络业务受到重大影响,P3是针对一般性问题,P4一般是针对咨询类问题-。
•问:cisco的产品遍及全球。但是从使用的网络环境来看,中国的使用的网络会比其他国家更加复杂
•答:-从我们目前看到的情况,中国的使用的网络跟其他国家相比,没有看出明显的更复杂的情况,具体实施中每个客户的应用和环境都不同,跟国家可能没发现有特别大的关系-‑
•问:coredump是什么含义呢?-
•答:coredump是系统crash之前保存的一个内存快照
•问:保存在内存里面了吧?这个如何读取?-
•答:默认保存在flash,可以设置导出到ftp-‑
-
•问:ACS ISE 至少可以
•答:ISE目前还不可以,后续应该会有新版本支持
•问:CCKM主要提前认证吧?
•答:CCKM主要是是引进秘钥集中管理,减少诸如EAP重看认证的开销-
•问:flexcon就是HREAP吧-
•答:是的, 7.2 开始更名的-当然7.2 之后 功能上也增加了很多-
•问:WLC 限制user登陆设备数量。区分大小写?
•答:大小写敏感-
建议在AAA服务器侧做max user 限制-
是的,所以建议用ACS之类的AAA服务器做,那个没有这个问题-
•问:AAA服务器 可以做了 是吧 -
•答:可以做,我们的ACS就可以做,具体是否支持,要取决于AAA服务器的规范和功能-
•问:ISE 哪一个版本 做max user 限制-
•答:ISE目前只针对guest user可以做,普通的用户暂时还不支持,ACS支持-
•问:WLC 可以是用 LDAP 用 802.1x认证吗-
•答:可以,直接可以集成LDAP-
•问:不需要 ACS 还在 ISE-?
•答:不需要,但是EAP的方式有限制-
•问:PEAP 支持吗?-
•答:这个得后台给你确认下具体支持的协议-‑
•问:好的 做了好几次 失败中。。。。。。
•答:The LDAPbackend database supports these local EAP methods: EAP-TLS, EAP-FAST/GTC, andPEAPv1/GTC. LEAP, EAP-FAST/MSCHAPv2, and PEAPv0/MSCHAPv2 are also supported butonly if the LDAP server is set up to return a clear-text password.-
•问:ISE-HA 使用自签名证书(有效期1年),这个证书过期后,ISE 影响User的认证吗?-
•答:会影响HA,如果你用证书认证,也会影响用户认证,咱不是WLC的课程么,怎么跑题了....-
-
•问:目前实施的WLAN发现都在使用2.4G的无线,5G的没有客户端连接,有办法让客户端连5G吗?-
•答:这纯粹取决于客户端是否支持以及客户端网卡的设定偏好-
•问:AP與WLC之間的抓包是在WLC enable capture ?-
•答:一般是在AP 和wlc前面的交换机上做镜像抓包-
•问:好像可以在WLC用MAC地址来限制用户登录特定的SSID-
•答:MAC Filter 功能可以实现,mac地址过滤-
•问:wirelesssniffer 是思科的专有工具软件吗-
•答:不是,基于不同平台,是平台相关的一些工具-
•问:如果在接口下开启dhcp proxy enable,是不是debug里面就只能看到virtual ip来发起dhcp request了?
•答:从原理上来说,是这样的,但是具体的debug信息,我手头可能没样本,可以做一个测试,或者
•问:发现同一台AP上不同SSID信号有的好有的坏,设置都一样,验证方式不一样,web验证的ssid信号会比WPA2验证的信号好或者差,有时候web验证的能连上wpa2的连不上,有时候反过来,在同一个地方同一个AP-
•答:亲,这个建议你抓下show run-congi,以及debugclient之类的信息来分析了,光看目前这个症状可能很难分析
•问:思科AP有没有推荐无线网卡列表,感觉跟有一些网卡兼容性不是很好-
•答:这个原则上我们没有推荐,在每个版本的releasenote里面,我们会列出一些经过测试的设备,但是这个肯定无法遍历客户这边使用的情况,兼容性不好的情况,可能需要我们和无线网卡厂商共同来排错,确定是谁的问题,由谁来修复-‑
•问:很奇怪,要是没信号应该所有SSID都消失了
•答:可以先尝试升级客户端driver,如果问题还在,建议抓取配置,debug,无线抓包等信息来分析-‑
•问:请问 WLCCA 支持 WLC 8.0么-
•答:新版本应该支持,而且这个工具仍然有人在维护更新-
•问:比如图片中柱形图的说明,代表三个channel么-
•答:柱状图横坐标是频率,纵坐标是信号强度-
•问:有相关的user guide 吗,容易理解的-
•问:请问,在支持2.5&5频段的环境中,客户端也支持2.4G&5GHZ ,这时发现客户端频繁在这两个频段之间切换,可能是什么原因呢-
•答:如果经常切换,要看这个AP 当时的power level,是不是当时的信号都比较弱。另外就是debug client看-
•问:client在两个AP之间频繁掉注册怎么解决?
•答:可以 先尝试升级或更改client端 无线驱动-
一般是client行为, 或者client处在信号非常弱的2个ap之间。具体还得详细看
•问:在AC反面调试可以解决client频繁掉线有重注册的问题吗(client在2个AP之间频繁切换)
•答:可以先拿debugclient看看,如果发现确实是客户端频繁在发association或者reassociation,那基本是客户端问题,还有一个可以排查的是,看看这两个AP的power level是否在期间有变动,可以把TPC和DCA设成静态排查一下
本期【CSC公开课】同主题相关资料: