Re: problema ao juntar um ap 1522 a minha wlc 5508

leonardoresendedelgadoe · ‎08-03-2021

tenho uma controladora 5508 no que consegue com facilidade controlar meus roteadores 1852 e 2802 no entanto no consigo fazer a junção dos 1522

<!--LOG do AP

% CDP não é compatível com esta interface ou para este encapsulamento
* 3 de agosto 10: 13: 05.000:% CAPWAP-5-DTLSREQSEND: solicitação de conexão DTLS enviada peer_ip: 172.16.9.2 peer_port: 5246
* 3 de agosto 10: 13: 06.791:% CAPWAP-5-DTLSREQSUCC: Conexão DTLS criada com sucesso peer_ip: 172.16.9.2 peer_port: 5246
* 3 de agosto 10: 13: 06.795:% CAPWAP-5-SENDJOIN: enviando solicitação de associação para 172.16.9.2
* 3 de agosto 10: 13: 06.795:% DTLS-5-ALERT: Recebido AVISO: Fechar alerta de notificação de 172.16.9.2
* 3 de agosto 10: 13: 06.795:% DTLS-5-SEND_ALERT: Enviar FATAL: Fechar alerta de notificação para 172.16.9.2:5246
* 3 de agosto 10: 13: 06.835:% LWAPP-3-CLIENTERRORLOG: LWAPP LED Init: estado incorreto do led 255
* Ago 3 10: 13: 16.899:% CAPWAP-3-ERRORLOG: Vá juntar-se a um controlador capwap
* 3 de agosto 10: 13: 19.000:% CAPWAP-5-DTLSREQSEND: solicitação de conexão DTLS enviar peer ip: 172 , 16. 9.2 peer_port: 5246
* 3 de agosto 10: 13: 20.779:% CAPWAP-5-DTLSREQSUCC: Conexão DTLS criada com sucesso peer ip: 172.16.9.2 peer_port: 5246
* 3 de agosto 10: 13: 20.779:% CAPWAP-5- SENDJOIN: enviando solicitação de adesão para 172.16.9.2
* 3 de agosto 10: 13: 20.783:% DTLS-5-ALERTA: Recebido AVISO: Fechar notificação alerta de 172.16.9.2
* 3 de agosto 10: 13: 20.783:% DTLS- 5 -SEND_ALERT: Enviar FATAL: Fechar alerta de notificação para 172.16.9.2:5246
* 3 de agosto 10: 13: 20.783:% CAPWAP-3-ERRORLOG: Ir ingressar em um driver capwap
* 3 de agosto 10: 13: 19.000:% CAPWAP-5-DTLSREQSEND: solicitação de conexão DTLS enviada peer_ip: 172.16.9.2 peer_port: 5246-->

Rich R · ‎08-04-2021

Have you read and carefully followed the instructions in https://www.cisco.com/c/en/us/support/docs/field-notices/639/fn63942.html ?

------------------------------
Please click Helpful if this post helped you and Select as Solution (drop down menu at top right of this reply) if this answered your query.
------------------------------
TAC recommended codes for AireOS WLC's and TAC recommended codes for 9800 WLC's
Best Practices for AireOS WLC's, Best Practices for 9800 WLC's and Cisco Wireless compatibility matrix
Check your 9800 WLC config with Wireless Config Analyzer using "show tech wireless" output or "config paging disable" then "show run-config" output on AireOS and use Wireless Debug Analyzer to analyze your WLC client debugs
Field Notice: FN63942 APs and WLCs Fail to Create CAPWAP Connections Due to Certificate Expiration
Field Notice: FN72424 Later Versions of WiFi 6 APs Fail to Join WLC - Software Upgrade Required
Field Notice: FN72524 IOS APs stuck in downloading state after 4 Dec 2022 due to Certificate Expired
- Fixed in 8.10.190.0, latest 9800 releases, 8.5.182.11 (8.5 mainline) and 8.5.182.108 (8.5 IRCM)
Field Notice: FN70479 AP Fails to Join or Joins with 1 Radio due to Country Mismatch, RMA needed
How to avoid boot loop due to corrupted image on Wave 2 and Catalyst 11ax Access Points (CSCvx32806)
Field Notice: FN74035 - Wave2 APs DFS May Not Detect Radar After Channel Availability Check Time
Leo's list of bugs affecting 2800/3800/4800/1560 APs

leonardoresendedelgadoe · ‎08-04-2021

apos verificar a pagina o erro que passei ater foi esse

*Aug 4 15:18:38.999: %CAPWAP-3-ERRORLOG: Go join a capwap controller
*Aug 4 15:17:34.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 172.16.9.2 peer_port: 5246
*Aug 4 15:17:39.999: DTLS_CLIENT_ERROR: ../capwap/base_capwap/dtls/base_capwap_dtls_handshake.c:924 Unexpected message received while expecting HelloVerifyRequest
*Aug 4 15:17:39.999: %DTLS-5-SEND_ALERT: Send FATAL : Unexpected message Alert to 172.16.9.2:5246
*Aug 4 15:17:39.999: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 172.16.9.2:5246
*Aug 4 15:17:39.999: %CAPWAP-3-ERRORLOG: Dropping dtls packet since session is not established. 172.16.9.2, 147E, 172.16.9.44, 52F1, 0
*Aug 4 15:17:39.999: %CAPWAP-3-ERRORLOG: Dropping dtls packet since session is not established. 172.16.9.2, 147E, 172.16.9.44, 52F1, 0
*Aug 4 15:17:39.999: %CAPWAP-3-ERRORLOG: Dropping dtls packet since session is not established. 172.16.9.2, 147E, 172.16.9.44, 52F1, 0
*Aug 4 15:17:39.999: %CAPWAP-3-ERRORLOG: Invalid event 38 & state 3 combination.
*Aug 4 15:17:39.999: %CAPWAP-3-ERRORLOG: Dropping dtls packet since session is not established. 172.16.9.2, 147E, 172.16.9.44, 52F1, 0
*Aug 4 15:17:39.999: %CAPWAP-3-ERRORLOG: Dropping dtls packet since session is not established. 172.16.9.2, 147E, 172.16.9.44, 52F1, 0

ajc · ‎08-04-2021

Hola leonardo,

Este erro geralmente se deve ao fato do AP estar com o certificado de fabricação vencido, por isso não fará parte do WLC. Você precisa aplicar o seguinte comando em 5508, para 7.4.140.0 e posterior:
(WLC)> config ap cert-expiry-ignore mic enable

(WLC)> config ap cert-expiry-ignore ssc enable

Os WLC 5508s são muito antigos, você tem que verificar se o certificado de fabricação não está vencido porque se isso acontecer você não poderá mais usá-lo. Tenho vários 5508 cujo certificado expirou em 2020 e não pude mais usá-los, tive que comprar 8540

ajc · ‎08-04-2021

Para verificar o certificado instalado no 5508 você deve executar o seguinte comando do SSH e olhar as informações que o comando fornece, o certificado SHA1 e sua data de expiração

If you have AireOS 8.0 or later, to determine when the WLC certificate expires, run this command and look for the "Cisco SHA1 device cert":

WLC_CLI: show certificate all

Certificate Name: Cisco SHA1 device cert
Subject Name :
C=US, ST=California, L=San Jose, O=Cisco Systems, CN=AIR-CT2504-K9-d0c282d65a20, MAILTO=support@cisco.com
Issuer Name :
O=Cisco Systems, CN=Cisco Manufacturing CA
Serial Number :
454384735992863371807890
Validity :
Start : 2011 Jul 26th, 20:17:17 GMT
End : 2021 Jul 26th, 20:27:17 GMT
Signature Algorithm :
rsa-pkcs1-sha1
Hash key :
SHA1 Fingerprint : 98:89:eb:12:2a:98:bc:fe:ad:5b:8f:23:63:0f:47:d1:36:ce:f5:be
MD5 Fingerprint : ba:f3:98:9a:cd:f8:01:08:84:b8:66:3c:6a:6c:d3:05

leonardoresendedelgadoe · ‎08-04-2021

de fato minha controla nao tem certificado nenhum

(Cisco Controller) >show certificate summary
Web Administration Certificate................... 3rd Party
Web Authentication Certificate................... Locally Generated
Certificate compatibility mode:.................. off

SSC Hash validation.............................. Enabled.

SSC device certificate not present.

(Cisco Controller) >show certificate lsc summary

LSC Enabled...................................... No
LSC CA-Server.................................... None

LSC AP-Provisioning.............................. No

LSC Params:
Country......................................
State........................................
City.........................................
Orgn.........................................
Dept.........................................
Email........................................
KeySize...................................... 2048

LSC Certs:
CA Cert...................................... Not Configured
RA Cert...................................... Not Configured