annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
9416
Visites
0
Compliment
9
Réponses

Problème Cisco Mobility Express Ap 1815i et 1702i

remi2
Level 1
Level 1

Bonjour a tous,

J'ai deux AP Cisco AIR-AP1815I-E-K9 les deux sont en "Me capable" une des deux est "primary controller"

En version : 8.8.111.0

 

Je veux ajouter une AP Cisco AIR-CAP1702I-E-K au Cisco Mobility Express.

Je l'ai passé en mode léger avec le fichier "ap3g2.tar"

 

En réalisant un sh ver j'ai bien ceci :

C1700 Software (AP3G2-K9W8-M), Version 15.3(3)JI3

 

Le problème est que sur l'interface ME l'AP 1702i apparaît puis disparaît...

 

En console sur l'AP 1702i j'ai ceci en boucle :
*Mar 26 14:44:20.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 192.168.1.53 peer_port: 5246
*Mar 26 14:44:20.323: %CAPWAP-5-DTLSREQSUCC: DTLS connection created sucessfully peer_ip: 192.168.1.53 peer_port: 5246
*Mar 26 14:44:20.327: %CAPWAP-5-SENDJOIN: sending Join Request to 192.168.1.53
*Mar 26 14:44:25.323: %CAPWAP-5-SENDJOIN: sending Join Request to 192.168.1.53
*Mar 26 14:44:25.323: %DTLS-5-ALERT: Received WARNING : Close notify alert from 192.168.1.53
*Mar 26 14:44:25.323: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 192.168.1.53:5246

 

Le contrôleur (192.168.1.53)  et l'AP sont à la même date et heure.

 

Pouvez vous m'aider ? car je sèche la

Merci :)

1 SOLUTION APPROUVÉE

Solutions approuvées

Bonsoir,

Voilà les log, j'ai testé avec une autre AP 1702 et le problème était le même.

 

J'ai donc réinitialiser les bornes (par la même occasion le contrôleur)

J'ai attribué une IP fixe au borne 1815i, j'ai pris la mains sur ME je l'ai reconfigurer.

Ensuite j'ai ajouté une AP 1702 sur le réseaux et elle s'est enregistré sans aucun problème :)

Donc tout fonctionne correctement.

Merci beaucoup de m'avoir aidé et pour le temps passé.

Bonne soirée

Voir la solution dans l'envoi d'origine

9 RÉPONSES 9

Quelques questions:
Quel modèle est exactement l'équipe 1700?
Quel code de pays avez-vous configuré dans l'équipement avec ME.
Vous avez essayé de configurer statiquement l'équipement 1700
Vous pouvez partager la sortie des commandes suivantes:

1. WLC: sh sysinfo;
2. WLC: sh time;
3. AP: version sh; et
4. AP: sh interface sh brief

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

Bonjour,

Merci de la réponse et de l'aide :)

J'ai joint 4 fichiers txt avec les info de différente commande.

Cordialement,

 

 

riduarte
Cisco Employee
Cisco Employee

Bonjour Remi2.
Lorsque nous ajoutons de nouveaux points d'accès à une configuration Mobility Express, il y a quelques facteurs à considérer, comme si l'image sur le 1702i AP est équivalente à celle sur laquelle Mobility Express WLC s'exécute. Dans votre scénario, 15.3(3)JI3 est en effet équivalent à 8.8.111.0 selon la matrice de compatibilité WLC.

Je comprends qu'un autre AP 1815i est connecté en tant que subordonné et le problème est spécifique au 1702i AP, nous devons donc comprendre d'où il vient. Des sorties montrées, nous pouvons voir que DTLS a réussi, signifiant que le certificat a été accepté mais la jointure a échoué parce que le WLC l'a rejeté. Le journal "%DTLS-5-ALERT: Received WARNING : Close notify alert" est très générique et cela peut se produire pour diverses raisons.

Le WLC peut parfois indiquer précisément la raison pour laquelle il a rejeté un AP, et peut être vu dans les statistiques de jointure AP. Tout d'abord, consultez le résumé AP et obtenez l'adresse MAC AP, puis obtenez les détails de jointure AP de cette adresse MAC et presque à la fin, elle l'affichera.

(WLC-1852I-ME-RIDUARTE) >show ap summary

Number of APs.................................... 2

Global AP User Name.............................. admin
Global AP Dot1x User Name........................ Not Configured

AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients DSE Location
------------------ ----- -------------------- ----------------- ---------------- ---------- --------------- -------- --------------
AP-1852I-ME-RIDUARTE 2 AIR-AP1852I-B-K9 38:ed:18:c6:0f:90 default location US 172.16.64.410 [0 ,0 ,0 ]


(WLC-1852I-ME-RIDUARTE) >show ap join stats detailed 38:ed:18:c6:0f:90

...

Last join error summary
- Type of error that occurred last......................... None
- Reason for error that occurred last...................... Not applicable
- Time at which the last join error occurred............... Not applicable

AP disconnect details
- Reason for last AP connection failure.................... Not applicable


Si ce n'est pas clair, compte tenu de votre scénario, les causes courantes sont :

1. Le WLC peut avoir une politique AP pour le filtrage MAC, la validation MIC ou SSH. Dans des circonstances normales, une "show auth-list" ressemble à ceci:

(WLC-1852I-ME-RIDUARTE) >show auth-list

Authorize MIC APs against Auth-list or AAA ...... disabled
Authorize LSC APs against Auth-List ............. disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate.... yes
AP with Self-Signed Certificate................ no
AP with Locally Significant Certificate........ no


2. Le 1702i AP peut avoir un hachage de mobilité configuré à partir d'un WLC précédent. Les points d'accès par défaut ont la validation de hachage du contrôleur SSC activée, mais en plus, nous pouvons voir si le point d'accès utilise un hachage de mobilité avec la commande "show capwap client config". Sur le WLC, "show mobility group member hash" nous confirmera si un hachage existe ou non sur le WLC précédent ou sur le nouveau.

(WLC-1852I-ME-RIDUARTE) >show mobility group member hash

Default Mobility Domain.......................... default

IP Address Hash Key
---------------------------------------------------------


Ce ne sont que quelques raisons pour lesquelles un WLC peut rejeter un AP, mais afin de mieux déterminer la cause, vous pouvez exécuter ces débogages:

From ME WLC
debug capwap errors enable
debug capwap events enable
debug dtls all enable

From AP
debug capwap client error
debug capwap client event
debug dtls client error
debug dtls client event


J'espère que cela vous rapproche de la résolution du problème.

Bonjour et merci pour votre réponse.

J’ai joint les fichiers de debbug et d'info.

Je ne voie pas ce qui bloque, la borne est bien ajoutée puis jeté. Si vous observez quelque chose dite le moi.

Encore merci pour le temps consacré.

Cordialement,

 

 

Bonjour Remi2,

J'ai revu les et bien que les logs ne pointent pas vers un problème spécifique, le comportement est similaire à lorsque l'AP exécute une image différente de celle du WLC. Une autre possibilité est que l'AP soit configuré avec un code de pays différent car le domaine de réglementation électronique comprend plusieurs pays, surtout si l'AP provient d'un autre environnement.
La sortie de la commande (output) "show ap join detailed" était vide car l'AP n'était pas répertoriée à ce moment-là, alors veuillez l'exécuter (run) quelques secondes après que le WLC ait rejeté l'AP. Si vous ne pouvez pas attraper l'adresse MAC, vous pouvez l'exécuter à partir du WLC qui enregistre historiquement les adresses MAC des points d'accès AP :

(WLC-1852I-ME-RIDUARTE) >show ap join stats summary all

Number of APs.............................................. 6

Base Mac AP EthernetMac AP Name IP Address Status
00:c8:8b:27:6d:e0 N A AP-1702I-RIDUARTE 172.16.64.15Not Joined
38:ed:18:c6:86:80 38:ed:18:c6:08:08 AP-1852I-ME-SECONDARY 172.16.64.42Joined
38:ed:18:c6:a4:a0 38:ed:18:c6:0f:90 AP-1852I-ME-RIDUARTE 172.16.64.41Joined
Là, vous trouverez l'adresse 1702i AP MAC comme " Not Joined " et vous pouvez ensuite exécuter la commande "show ap join stats detailed [AP-MAC-address]" pour trouver la raison du rejet.
Si nous n'avons toujours pas de raison précise, il y a encore quelque chose à vérifier ou à faire.

1. Vérifiez le code de pays configuré sur le WLC et l'AP et écrasez l'image AP :

Depuis WLC
show country supported

Depuis l'AP
show controllers d0

Si c'est différent, activez d'abord le code AP sur le WLC, puis autorisez l'AP à se joindre et à partir du WLC changez le code de pays AP. Enfin, désactivez le code de pays indésirable du WLC.

2. Effacez la configuration actuelle et définissez statiquement et manuellement le WLC sur AP :

clear capwap private-config
reload
[no]

debug capwap console cli
capwap ap primary-base Cisco-Maison 192.168.1.53
test capwap restart

Si cela ne se joint toujours pas, écrasez l'image AP, avec la première trouvée ici :
https://software.cisco.com/download/home/286281141/type/280775090/release/15.3.3-JI3

debug capwap console cli
archive download-sw /reload /overwrite tftp://x.x.x.x/ap3g2-k9w8-tar.153-3.JI3.tar

3. Mettez à niveau (upgrade) le code WLC vers 8.8.130.0 et téléchargez le dossier ZIP qui inclut l'image ap3g2 pour l'AP 1702i ou mettez à niveau l'AP manuellement vers la version 15.3.3-JI6. À partir de l'AP, réexécutez le débogage des erreurs car le fichier était vide, plus quelques autres:

From AP
debug capwap errors enable
debug capwap client mgmt
debug capwap client payload

From WLC
debug capwap payload enable

Nous y sommes presque !

Bonjour,

 

J'ai pu faire les 2 étapes mais sans succès, l'AP ne s'enregistre toujours pas.

Pour la commande :

Depuis l'AP
show controllers d0

j'ai énormément d'information en retour,mais le champs pour le pays est :

Carrier Set: () (-E) ?

 

Pour la mise a jours en 8.8.130.0 je n'ai pas le droit de le télécharger.

Je vais voir lundi avec un collègue s'il peut la télécharger.

Bonjour,

 

Je suis passé en 8.8.130.0 et maintenant ap 1815 contrôleur ne monte plus :

[*03/30/2020 15:52:34.7599] Waiting for preferred uplink IP configuration
[*03/30/2020 15:52:35.7799] Resetting wired0 and restart DHCP client

 

Édit :

Je suis passé en IP fixe et plus de problème

avec la commande:

capwap ap ip 192.168.1.19 255.255.255.0 192.168.1.254

 

Mais j'ai toujours :


*Mar 30 19:14:38.363: %DTLS-5-ALERT: Received WARNING : Close notify alert from 192.168.1.53
*Mar 30 19:14:38.363: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 192.168.1.53:5246

 

Je suis passé en version 8.8.130.0 et toujours le même problème ... j'ai joint quelque log.

Merci pour le temps passé.

 

Bonjour Remi2.

Je suis content que vous ayez pu récupérer l'AP. Dans Mobility Express, le WLC doit avoir une adresse IP statique et comme meilleure pratique l'AP interne léger (Lightweight internal AP) et les autres AP subordonnés devraient utiliser DHCP.

Ce qui a attiré mon attention dans vos logs est que l'AP 1702i n'a pas de code de pays défini, comme si l'AP était UX et non "primed". Une autre chose qui a aidé est le log "Join failed as dtls connection not found" et la charge utile confirmant que l'AP utilise le MIC et non un LSC ou un SSC. Ce scénario de rejet est commun aux points d'accès en mode maillé (mesh mode) ou aux points d'accès dont le certificat a expiré.

1. Afin d'alléger ceci et également comme meilleure pratique, placez le WLC pour autoriser tous APs même avec les certificats expirés. J'ajoute également une commande pour activer les SSC, car par défaut, tous les SSC expirent le 1er janvier 2020:

config ap cert-expiration-ignore mic enable
config ap cert-expiration-ignore ssc enable
config auth-list ap-policy ssc enable

2. Depuis le WLC et le point d'accès 1702i, obtenez toutes ces sorties (outputs). Je sais que "show controllers" se montre partout, mais c'est très important:

Depuis WLC:
config paging disable (pour vous éviter de taper un espace en blanc à chaque reprise.)
show msglog

Depuis le AP:
terminal length 0 (pour vous éviter de taper un espace en blanc à chaque reprise.)
show inventory
show version
show crypto pki certificates
show capwap client config
show capwap client rcb
show controllers d0
show controllers d1
show log

N'oubliez pas que le 1702i doit avoir été mis à niveau vers 15.3.3-JI6 (upgrade) pour correspondre à l'image et rejoindre le WLC. Le mode AP ne doit pas être un pont, seulement local ou FlexConnect. Si le "show capwap client config" montre que le mode est défini comme pont, alors le WLC rejette l'AP car il utilise le filtrage MAC pour tous les AP maillés. Afin de le fixer, exécutez ceci sur AP:

capwap ap mode local

L'AP devrait redémarrer et rejoindre.

3. Si l'AP est "unprimed", il y a un processus élaboré à faire mais vous pouvez commencer par réinitialiser durement l'AP avec la commande "capwap ap erase all". Vous pouvez également appuyer sur le bouton Mode/Reset et le maintenir appuyé (pendant environ 2 à 3 secondes) jusqu'à ce que l'état du LED devienne orange ou ambre. Alors, relâchez le bouton. Les instructions complètes vous pouvez les retrouver ci-dessous :
https://www.cisco.com/c/en/us/td/docs/wireless/access_point/ux-ap/guide/uxap-mobapp-g.html

Ce type de problème est très commun, c'est pourquoi il y a beaucoup de raisons possibles à l'échec, mais travaillons pour les réduire. Je suis curieux de voir comment ça se passe!

Bonsoir,

Voilà les log, j'ai testé avec une autre AP 1702 et le problème était le même.

 

J'ai donc réinitialiser les bornes (par la même occasion le contrôleur)

J'ai attribué une IP fixe au borne 1815i, j'ai pris la mains sur ME je l'ai reconfigurer.

Ensuite j'ai ajouté une AP 1702 sur le réseaux et elle s'est enregistré sans aucun problème :)

Donc tout fonctionne correctement.

Merci beaucoup de m'avoir aidé et pour le temps passé.

Bonne soirée