el 02-15-2019 01:46 PM
Buenas tardes,
En la empresa en la que laboro, durante los utlimos 3 dias los usuarios estan presentando problemas de conexion en el SSID coporativo, revisando los logs de los dos AP que hay en esa zona unicamente arroja este tipo de mensajes
RCECOAP181#
*Feb 15 19:51:43.907: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth f00f.ec65.12ca
*Feb 15 20:02:51.851: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth f00f.ec65.12ca
*Feb 15 20:19:44.887: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth ec89.1429.6310
*Feb 15 20:26:07.423: %WIDS-4-SIG_ALARM: Attack is detected on Sig:Standard Id:9 Channel:1 Source MAC:500f.8092.30a0
*Feb 15 20:26:07.423: %WIDS-4-SIG_ALARM: Attack is detected on Sig:Standard Id:9 Channel:1 Source MAC:500f.8092.30a0
*Feb 15 20:30:11.311: %WIDS-6-SIG_ALARM_OFF: Attack is cleared on Sig:Standard Id:2 Channel:1
*Feb 15 20:40:32.691: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth 3441.5d98.ad23
*Feb 15 20:43:15.635: %WIDS-4-SIG_ALARM: Attack is detected on Sig:Standard Id:2 Channel:1 Source MAC:328d.db6e.9a84
*Feb 15 20:46:07.675: %WIDS-6-SIG_ALARM_OFF: Attack is cleared on Sig:Standard Id:9 Channel:1
*Feb 15 20:46:07.675: %WIDS-6-SIG_ALARM_OFF: Attack is cleared on Sig:Standard Id:9 Channel:1
*Feb 15 21:01:27.783: %WIDS-6-SIG_ALARM_OFF: Attack is cleared on Sig:Standard Id:2 Channel:11
*Feb 15 21:02:14.155: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth 5cc3.0767.4c2f
*Feb 15 21:09:05.383: %WIDS-4-SIG_ALARM: Attack is detected on Sig:Standard Id:2 Channel:11 Source MAC:328d.db6e.9b96
*Feb 15 21:24:36.779: %DOT11-4-BA_FLUSH: Client:d077.145c.7991 ba flush with 40164 200
*Feb 15 21:27:17.151: %WIDS-4-SIG_ALARM: Attack is detected on Sig:Standard Id:1 Channel:11 Source MAC:500f.809e.f7d0
*Feb 15 21:35:59.331: %DOT11-4-BA_FLUSH: Client:0010.40af.32b0 ba flush with 40166 200
*Feb 15 21:40:06.323: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth 5cc3.0767.4c2f
*Feb 15 21:40:19.427: %WIDS-6-SIG_ALARM_OFF: Attack is cleared on Sig:Standard Id:1 Channel:11
*Feb 15 21:44:05.199: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth d004.01b9.236a
*Feb 15 21:44:11.247: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth 3441.5d98.75dd
He mirado varias opciones pero hasta el momento no ha funcionado y siguen apareciendo estos mensajes. Agradezco la ayuda que me puedan brindar. Mil gracias
el 02-15-2019 02:37 PM
Hola @eleitor07
Este post no tiene relación con este?
Si es así por favor utilicemos solo uno para tratar de ayudarte.
Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**
*Tu reconocimiento nos alienta a seguir participando en los foros *
el 02-15-2019 02:56 PM
Gracias por darle un vistazo a ambas dudas y por apoyar, como siempre, a los miembros de la comunidad. Efectivamente es una entrada duplicada.
@eleitor07 hemos quitado la otra entrada, ya que es similar a esta, principalmente para evitar confusiones. La respuesta a tu duda se dará en este post.
el 02-15-2019 03:45 PM
Hola @eleitor07,
Revisa este link:
https://learningnetwork.cisco.com/thread/64321
Encontraras algunos tips que te podrían ayudar en la búsqueda de la solución a tu problema.
Saludos
el 02-15-2019 05:47 PM
Hola @eleitor07
Por favor ayudanos contestando las sigueintes preguntas:
Qué model de WLC tienes?
Qué versión de software estas corriendo?
Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**
*Tu reconocimiento nos alienta a seguir participando en los foros *
el 02-16-2019 04:40 PM
Buenas tarde Daniel,
Gracias por tu ayuda. Esta es la informacion que me pides:
1. La WLC es una AIR-CT5508-K9 y la version que tiene actualmente es la 8.0.152.0
2. Actualmente no sabria decirte exactamente MSE, podrias ser mas especifico, soy un poco nuevo en wireless.
2. De acuerdo a lo que me comentan los usuarios de esa sede comenzo hace 3 dias, en la red no he realizado cambio alguno sobre la WLAN.
3. Sucede lo mismo en las dos bandas.
Adjnuto el log generado por el AP. Muchas gracias y quedo atento.
el 02-16-2019 05:19 PM
hola @eleitor07
Ok, Existen algunos caminos por donde podemos ir.
Estaremos pendientes de tus comentarios.
Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**
*Tu reconocimiento nos alienta a seguir participando en los foros *
02-18-2019 06:37 AM - editado 02-25-2019 06:54 AM
Buen dia Daniel, como estas?
La actualizacion va a ser dificil dado a que todos los AP de la organizacion estan centralizados en esta controladora y aun existen modelos viejos que no serian compatibles con la nueva version. Eso lo puedes evidenciar en el archivo de configuracion adjunto.
Las potencias y canales estan asignados de manera manual, estaban automaticos pero ante las quejas de los usuarios procedi a dejarlos de manera manual.
En la banda de 2.4GHz estos son los data rates:
6, 9 ,11, 12, 18, 24, 36, 48, 54
En la banda de 5GHz estos son los data rates:
6, 9, 12, 18, 24, 36, 48, 54.
La captura de paquetes no se puede ya que es una zona desatendida por el soporte en sitio y el acceso es dificil, unicamente me puedo basar en los logs de los AP y de la WLC.
Gracias por tu ayuda y quedo atento.
el 02-18-2019 08:36 AM
Hola @eleitor07
Veo que tienes varios grupos de APs y estos a su vez los tienes asociados a grupos de Flexconnect. El problema que tienes ocurre en todos los sitios remotos?
La recomendación que te puedo hacer, es la siguiente:
Para los sitios dónde no tienes un RE-Profile personalizado (ya que veo 12) aplica los siguientes cambios:
Si el problema se da en un sitio especifico, puedes compartirnos la configuracion del puerto de tu switch que se conecta a la WLC y la configuración del puerto dónde conectas tus APs. Ya que veo estas haciendo Local Switching.
Quedamos atentos a tu respuesta. Ah!! y es posible que uno de tus APs en el sitio que se encuentre Afectado, lo utilicemos como sniffer para ver los paquetes.
Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**
*Tu reconocimiento nos alienta a seguir participando en los foros *
el 02-18-2019 05:57 PM
Buena noche Daniel,
Actualmente solo me han reportado en el sitio donde te comente de los logs mostrados al abrir este foro. Que serian los AP 180 y 181. Hoy pude observar otro AP de otra zona con el mismo registro en el log, pero los usuarios no mencionaron problemas de conexion. Lo del sniffer como seria?
Esta es la configuracion actual de los puertos de la WLC y de los AP
WLC
interface GigabitEthernet1/1
description CONEXION_WLAN_CONTROLLER
switchport mode trunk
channel-group 1 mode on
end
Current configuration : 106 bytes
!
interface Port-channel1
description CONEXION_CONTROLADORA_WLAN
switchport
switchport mode trunk
end
Access Point
interface GigabitEthernet1/0/3
description AP180
switchport trunk native vlan 161
switchport mode trunk
switchport nonegotiate
end
Gracias y quedo atento
el 02-19-2019 09:10 AM
Hola @eleitor07
Recuerdame que grupo es dónde tienes el problema y ayudame con el siguiente bug de unos de tus usuarios:
Debug client <mac add of the affected client>
02-19-2019 01:24 PM - editado 02-25-2019 06:55 AM
Buena tarde Daniel,
El grupo es el que dice Ecocementos, pero te comento que el dia de ayer movi los AP a una WLC de otro modelo 3504 que tiene una version actualizada, teniendo en cuenta lo que me habias comentado de un Bug en una respuesta anterior, para ver si este era el problema, la version actual es la 8.5.131.0, lo curioso de todo es que la red corporativa, me dicen los usuarios, mejoro y la red para visitantes comenzo a presentar el sintoma de desconexiones, pero segun lo que entiendo de los logs de los AP las dos redes siguen intermitentes. Adjunto la configuracion de la controladora actual y el debug de uno de los clientes conectado a la red de visitantes. todo esta en el adjunto.
Gracias y quedo atento
el 02-19-2019 03:04 PM
Hola @eleitor07
Los APs, de este grupo "Ecocementos" ya se encuentra en otra WLC ?
Tienes la misma configuración qué existe en la WLC 5508? Mismos grupos? Mismo mapeo de VLANs?
el 02-19-2019 03:07 PM
Hola Daniel
correcto, está configurada de la misma manera, lo único que cambia es la versión de la WLC
Saludos
el 02-19-2019 03:16 PM
hola @eleitor07
En estos logs no veo nada raro o el mismo mensaje de ataque que tienes en la WLC 5508, las desatenticaciones son por que los clientes dejan el área de cobertura. El log de los usuarios de se bien, todos llegan a RUN state.
Crees que podamos hacer una sesión remota para revisar toda la configuración incluyendo tu LAN?
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad