• はじめに
• WLC で取得する基本ログ一覧　（WLCでの基本ログの記事も参照してください）
• 無線クライアントが接続できない場合の基本的な対応指針
• Exclusion list に登録されて接続ができない場合
• “なんとなく通信速度が遅い気がする” という状況の場合
• 電波環境の問題
• 参考資料

はじめに

 この記事では CUWN において無線クライアントが接続できないという問題が発生した場合に取得する基本的なログと、対応の指針等をご紹介します。

WLC で取得する基本ログ一覧　（WLCでの基本ログの記事も参照してください）

show traplog
show logging
show client summary
show ap summary
show client detail {クライアントの MAC アドレス}

show client detail {クライアント MAC アドレス} コマンドで、クライアントの Policy Manager State を確認してください。

<出力例>

(CT5508) >show client detail 78:31:c1:bb:77:5e
Client MAC Address............................... 78:31:c1:bb:77:5e
Client Username ................................. N/A
AP MAC Address................................... e4:c7:22:aa:45:60
AP Name.......................................... AP702W
AP radio slot Id................................. 1
Client State..................................... Associated
Client User Group................................
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 8
Wireless LAN Network Name (SSID)................. ssid-8
Wireless LAN Profile Name........................ wlan-8
Hotspot (802.11u)................................ Not Supported
BSSID............................................ e4:c7:22:aa:45:68
Connected For ................................... 5926 secs
Channel.......................................... 140
IP Address....................................... 172.23.110.100
Gateway Address.................................. 172.23.110.254
Netmask.......................................... 255.255.255.0
Association Id................................... 1
Authentication Algorithm......................... Open System
Reason Code...................................... 1
Status Code...................................... 0
Session Timeout.................................. 0
Client CCX version............................... No CCX support
QoS Level........................................ Silver
Avg data Rate.................................... 0
Burst data Rate.................................. 0
Avg Real time data Rate.......................... 0
Burst Real Time data Rate........................ 0
802.1P Priority Tag.............................. disabled
CTS Security Group Tag........................... Not Applicable
KTS CAC Capability............................... No
Qos Map Capability............................... No
WMM Support...................................... Enabled
  APSD ACs.......................................  BK  BE  VI  VO
Current Rate..................................... m15
Supported Rates.................................. 6.0,9.0,12.0,18.0,24.0,36.0,
    ............................................. 48.0,54.0
Mobility State................................... Local
Mobility Move Count.............................. 0
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Audit Session ID................................. ac17c005434002a356a0d2ec
AAA Role Type.................................... none
Local Policy Applied............................. none
IPv4 ACL Name.................................... none

GUI (Monitor > Clients) の場合は下図の表示部分です。

Policy Manager State は次のいずれかの値を取ることができますが、”RUN” となっていない場合は正常に IP 通信ができません。

Policy Manager State 一覧

• START: Association Request を受信した段階。初期値。
• AUTHCHECK : WPA/WPA2 等による　L2 認証が必要な状態。
• 8021X_REQD : PSK/EAP/RADIUS による認証が必要な状態。
• L2AUTHCOMPLETE : L2認証が成功して暗号化の準備ができた状態。
• WEP_REQD: WEP によるパスワード認証が必要な状態。
• CENTRAL_WEB_AUTH : Central Web Auth, ISE による中央認証が追加で必要な状態。
• SUPPLICANT_PROVISIONING : BYOD ソリューションにおいて ISE 等による Provisioning が必要な状態。
  
• DHCP_REQD : クライアントの IP アドレスを WLC が学習していない状態。 必ずしも DHCP によるアドレス取得が必要な状態ということではなく、Static IP の場合もこの状態は通過します。
• WEBAUTH_REQD : Web 認証が追加で必要な状態。
• RUN : 最終状態。RUN のときだけ、正常な IP 通信が可能。これ以外のステートは未完了です。

無線クライアントが接続できない場合の基本的な対応指針

 　特に、一度も繋がらない場合は、設定に問題がある可能性を意識しましょう。

 　無線クライアントの設定なのか、WLC の設定なのか、認証サーバの設定なのかという視点を持ちましょう。クライアントが接続や通信ができないという症状の場合、それは Wi-Fi に最初のAssociation をすることすらできない状態であるのか、その後の認証が失敗しているのか、あるいは認証後のIP 通信ができない状態であるのか、といった具合にネットワークのレイヤ別に事象を区別することが問題解決への近道です。

特に Windows OS で 制限付きアクセス となる場合は、Wi-Fi の Association はできているが、通信不可能な Link Local Address 169.254.x.x の IP アドレスを使っているなど、802.11 (レイヤ 2) には問題ないけれども、IP スタック (レイヤ 3) の通信に問題があることが多いようです。

　ipconfig /all で IP アドレスは確認できます (Windows の場合)。

　クライアントにてデフォルトゲーウェイ の IP アドレスに対して ping を実行してみましょう。

　スマートフォンの場合は IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いため、アイコンの様子を確認してみましょう。

まず手元のスマートフォンとパソコンでダブルチェックすることも事象を切り分けるのに有効です。片方だけの問題ということであれば、クライアントの設定・実装問題を視野にいれましょう。クライアントの再起動、サプリカント再設定等を実施してみましょう。

メーカーの異なるパソコン同士で比較をしてみると特定のパソコンでのみ問題が起きているといった切り分けができます。

　暗号化無し、かつ本番用と同一 VLAN の Open 認証テスト SSID を別途同じ WLC に作成しておき、そちらの SSID で問題が再現するかをチェックしてみましょう。問題が発生しないようであれば、 レイヤ 3 の IP 通信には問題がなく、そこに至るまでの レイヤ 1 またはレイヤ 2 の問題であると推測できます。

Exclusion list に登録されて接続ができない場合

　802.1X 認証に連続して失敗した場合等は、クライアントは Exclusion list といういわゆるブラックリストに一時的に登録されます。ここに登録されている間はクライアントからの接続要求は無視されてしまいます。

コマンド show exclusionlist の出力に問題のクライアントが登録されていないか確認しましょう。

(Cisco Controller) > show exclusionlist 
No manually disabled clients.
Dynamically Disabled Clients
---------------------------- 
MAC Address               Exclusion Reason        Time Remaining (in secs) 
-----------                         ----------------                    ------------------------
00:1e:4b:0e:c4:23                    802.1X Failure             51

登録されていた場合は次のコマンドでリストから一旦削除できます。

config exclusionlist delete 00:1e:4b:0e:c4:23

また、Exclusion list の使用は WLAN/SSID 単位で無効にすることができます。コマンドは次のとおりです。

 config wlan exclusionlist {WLAN_ID} disabled

WLAN にて Exclusion list が有効か否かは次のコマンドで確認できます。

show wlan {WLAN_ID}
WLAN Identifier.................................. 1
Profile Name..................................... student-wlan
Network Name (SSID).............................. student-wlan
Status........................................... Enabled
MAC Filtering.................................... Disabled
Broadcast SSID................................... Enabled
Exclusionlist.................................... Enabled

“なんとなく通信速度が遅い気がする” という状況の場合

 　具体的にはどのアプリやトラフィックを使った際に、どのように“遅い”とユーザは感じるのでしょうか。まずそのユーザの端末上で Wireshark によるパケットキャプチャを実施して、いつ、どのプロトコルが、どのように止まっているかを把握してみましょう。ARP のタイムアウト, DHCP のリース期限, TCP の再送や HTTP のエラーコード応答などの様子が観測できるかもしれません。

　障害の申告があった時刻とユーザ（MAC アドレス) を時系列に並べ、発生時刻に規則性が無いか確認してみましょう。show logging および show traplog を活用します。

　電波環境に問題がないか確認してみましょう。

電波環境の問題

　RRM 設定をチェックしてみましょう。DCA の Channel Assignment Methodは Automatic となっていますか？Automatic 設定は実際の現場の電波状態に基づいて動作しますので、机上検討結果をもって手動で設定するよりも、現実的な解答を与えてくれます。

 　DCA リストの中に、レーダが検知されやすいチャネルが入ってないかも確認しましょう。レーダ検知 (DFS) の履歴を確認する方法はこちらの記事を参照してください。

802.11a/n/ac 5GHz 帯でレーダを検知した (DFS) 履歴を確認する方法

　明示的にログでわかる干渉源は無いか traplog を見てみましょう。

　2.4GHz 帯にコードレスフォンや Bluetooth 機器等干渉源が多く存在する場合、Band Select 機能が有効になっているか確認しましょう。

　CleanAir による EDRRM は有効になっているか確認しましょう。

　特に電波干渉のひどいチャネルが無いか、CleanAir のレポートや Air Quality (AQ) 値を基に確認してみましょう。

　Wireless Dashboard でチャネル占有率や干渉影響度の高い AP が無いか確認してみましょう。

参考資料

"Cisco ワイヤレス製品 (CUWN) のトラブルシューティング", Webcast July, 2014

Wireshark ダウンロードサイト