Anchor WLC 9800CL и Foreigns WLC 9800 LF
-
Здравствуйте, Я работаю над новым развертыванием с Anchor 9800CL, где мобильные туннели не устанавливаются полностью. Я обнаруживаю следующие ошибки на WLC foreign. 038011: 1 декабря 23:25:16.095: %MM_NODE_LOG-4-DTLS_HANDSHAKE_FAIL: Шасси 1 R0/0: mobilityd: Ошибка установления соединения Mobility DTLS Ctrl для IP: 192.168.254.22 HB не работает, необходимо повторно инициировать DTLS handshake
038012: 1 декабря 23:25:28.095: %MM_NODE_LOG-4-DTLS_HANDSHAKE_FAIL: Шасси 1 R0/0: mobilityd: Mobility DTLS Ctrl handshake failed for IP: 192.168.254.22 HB is down, need to re-initiate DTLS handshake
038013: 1 декабря 23:25:37.096: %DTLS_TRACE_MSG-3-X509_CERT_VERIFY_ERR: Шасси 1 R0/0: mobilityd: Ошибка проверки сертификата, сеанс: 192.168.254.22[16666], хеш сертификата недействителен
038014: 1 декабря 23:25:37.096: %DTLS_TRACE_MSG-3-WLC_DTLS_ERR: Шасси 1 R0/0: mobilityd: Ошибка DTLS, сессия: 192.168.254.22[16666], Проверка сертификата не удалась Состояние туннеля от внешнего WLC Информация о мобильном
партнере ===================
IP-адрес: 192.168.254.22
Публичный IP-адрес: 192.168.254.22
MAC-адрес: 11e.bdee.afff Имя
группы: ANCHOR-WLC
Общее количество клиентов на пире: 0
Локальные клиенты, экспортированные на пир: 0
Локально закрепленные клиенты пира: 0 Статус шифрования
канала передачи данных: Отключено Статус канала
передачи данных Keepalive: UP Статус канала
управления Keepalive: UP Шифрование канала
передачи данных DTLS: TLS_NUM_NULL_WITH_NULL_NULL Статус канала
передачи данных DTLS: Отключено Шифрование канала
управления DTLS: TLS_NUM_NULL_WITH_NULL_NULL Статус канала
управления DTLS: Отключено
PMTU: 1385
Туннель подключен: Да IFID
туннеля: 0xA0000B98
Количество флапсов пути передачи данных: 0
Последний флапс пути передачи данных: Никогда Состояние туннеля от Anchor WLC Информация о мобильном
партнере ===================
IP-адрес: 172.16.131.180
Общедоступный IP-адрес: 172.16.131.180
MAC-адрес: 18c6.5021.ce2f
Название группы: FOREIGN-WLC
Общее количество клиентов на пире : 446
Локальные клиенты, экспортированные на пир : 0
Локально закрепленные клиенты пира : 0 Статус шифрования
канала передачи данных : Отключено Статус канала
передачи данных Keepalive : UP Статус канала
управления Keepalive : UP Шифрование канала
передачи данных DTLS : TLS_NUM_NULL_WITH_NULL_NULL Статус канала
передачи данных DTLS : Отключено Шифрование канала
управления DTLS: TLS_NUM_NULL_WITH_NULL_NULL Статус канала
управления DTLS: Init
PMTU: 1385
Туннель подключен: Да Точка доверия WMI Anchor WLC Anchor-WLC#show wire mana trustpoint Имя точки
доверия: Anchor-WLC_WLC_TP
Информация о сертификате: Доступно
Тип сертификата: SSC Хеш
сертификата: d1354d53a3d70a541b7c5e3097356e802f2eaa5d
Информация о закрытом ключе: Доступно
Соответствие FIPS: Неприменимо Точка доверия WMI Foreign WLC Foreign-WLC01-V#show wire mana trustpoint Имя
доверенного пункта: CISCO_IDEVID_CMCA3_SUDI
Информация о сертификате: Доступно
Тип сертификата: MIC Хеш
сертификата: a35bde1f47bcce757a9911007b3634e6ac75dca3
Информация о закрытом ключе: Доступно
Соответствие FIPS: Неприменимо Есть какие-нибудь идеи
[, @Mark Elsen]
@Scott Fella
? Спасибо -
Здравствуйте
[, @Mark Elsen]
, Да, я запустил WLCCA для обоих WLC. Обнаружил следующую ситуацию в Foreign (9800LF) DTLS_TRACE_MSG-3-X509_CERT_VERIFY_ERR Время просмотра 376
Первое время просмотра 039900: 2 декабря 05:34:38.090:
Последнее появление 042646: 2 декабря 13:22:39.243:
Текст шасси 1 R0/0: mobilityd: Ошибка проверки сертификата, сессия: 192.168.254.22[16666], хэш сертификата недействителен DTLS_TRACE_MSG-3-WLC_DTLS_ERR Время просмотра 376
Первое появление 039901: 2 декабря 05:34:38.090:
Последнее появление 042647: 2 декабря 13:22:39.243:
Текст шасси 1 R0/0: mobilityd: Ошибка DTLS, сессия: 192.168.254.22[16666], Проверка сертификата не удалась В анкоре (9800CL) состояние канала управления DTLS — Init, и в WLCCA не отображаются ошибки. Я решил эту проблему, используя тот же хеш SSC, который был сгенерирован 9800CL, чтобы установить HASHING для обоих WLC. Будет ли такое поведение необходимо при использовании мобильных туннелей с анкером типа CLOUD? -
@JesusSeijas
Use
show wireless management trustpoint
и
show crypto pki trustpoints
команды для проверки информации о сертификате на
WLC 9800CL
Проверьте полную конфигурацию этого контроллера с помощью команды
CLI
show tech wireless
и введите вывод этой команды в
Wireless Config Analyzer
Используйте полную команду, как показано зеленым цветом; она не работает с
show tech-support M. -- Пусть все происходит с вами
Красота и ужас
Просто продолжайте
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899) -
Здравствуйте, Спасибо
[, @Mark Elsen] WMI trustpoint Anchor WLC (9800 CL) Anchor-WLC#show wire mana trustpoint Имя точки
доверия: Anchor-WLC_WLC_TP
Информация о сертификате: Доступно
Тип сертификата: SSC Хеш
сертификата: d1354d53a3d70a541b7c5e3097356e802f2eaa5d
Информация о закрытом ключе: Доступно
Соответствие FIPS: Неприменимо Anchor-WLC# show crypto pki trustpoints
Доверительная точка SLA-TrustPoint: Имя
субъекта:
cn=Cisco Licensing Root CA
o=Cisco
Серийный номер (шестнадцатеричный): 01
Сертификат настроен. Trustpoint TP-self-signed-2627895496: Имя
субъекта:
hostname=Anchor-WLC.dcdomain.com
cn=IOS-Self-Signed-Certificate-2627895496
Серийный номер (шестнадцатеричный): 01
Постоянная точка доверия
самоподписанного сертификата Использование метки ключа TP-self-signed-2627895496 Trustpoint WLC_CA: Имя
субъекта:
o=Cisco Virtual Wireless LAN Controller
cn=CA-vWLC_Anchor-WLC
Серийный номер (шестнадцатеричный): 01
Сертификат настроен. Точка доверия Anchor-WLC_WLC_TP: Имя
субъекта:
o=Cisco Virtual Wireless LAN Controller
cn=CA-vWLC_Anchor-WLC
Серийный номер (шестнадцатеричный): 01
Сертификат настроен. URL
SCEP:
http://192.168.254.22:80/cgi-bin Я провел несколько отладок в Foreign WLC (9800 LF) и обнаружил возможную проблему. Возможно, необходимо загрузить сертификат Anchor 9800CL в Foreign 9800LF? [mm-client] [16941]: (отладка): MAC: 0000.0000.0000 Отправка keepalive_ctrl_rsp XID (132) на (ipv4: 192.168.254.22 )
[mm-keepalive] [16941]: (примечание): IP-адрес партнера: 192.168.254.22 Состояние контрольного канала установлено на UP (было DOWN)
[errmsg] [16941]: (примечание): %MM_NODE_LOG-5-KEEP_ALIVE: R0/0: mobilityd: Туннель управления мобильностью к IP-адресу партнера: 192.168.254.22 изменил состояние на UP
ap-upgrade] [15872]: (примечание): Сообщение о процессе туннеля мобильности Up: Не найдено сообщение об обновлении. Название отчета:
[mm-dtls] [16941]: (примечание): IP-адрес однорангового узла: 192.168.254.22 Порт: 16666 DTLS_CLEAR_KEY: ключи DTLS удалены из MNC и FMAN
[mm-dtls] [16941]: (примечание): IP-адрес партнера: 192.168.254.22 Порт: 16666, Локальный IP-адрес: 172.16.131.180 Порт: 16666 DTLS_CLOSE_CB: соединение DTLS закрыто
[ewlc-dtls-sess] [16941]: (информация): освобождение ресурса клиента
sm [ewlc-dtls-sess] [16941]: (примечание): Удаленный хост: 192.168.254.22[16666] Сеанс DTLS уничтожен
[mm-client] [16941]: (отладка): MAC: 001e.bdee.afff Получено keepalive_data, подтип: 0 из XID (0) от (ipv4: 192.168.254.22 )
[mm-dtls] [16941]: (отладка): IP-адрес узла: 192.168.254.22 Порт: 16667 MM_KA_DTLS_START: DTLS не поддерживается Спасибо -
@JesusSeijas
Проверьте полную конфигурацию
обоих
контроллеров с помощью команды CLI
show tech wireless
и введите вывод этой команды в
Wireless Config Analyzer
Используйте полную команду, как показано зеленым цветом; она не работает с
show tech-support + Убедитесь, что настроен уникальный MAC-адрес мобильности- Проверьте вывод команды
show wireless mobility summary M. -- Позвольте всему происходить с вами
Красота и ужас
Просто продолжайте идти
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899)
- Проверьте вывод команды
-
@JesusSeijas
Да, я так думаю М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай идти
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899) -
Это статический NAT 1:1? Убедитесь, что вы настроили внешний IP-адрес в конфигурации анкера. Попробуйте захватить пакеты. https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/221707-configure-9800-wireless-lan-controller-m.html#toc-hId--1386946523 BB
=====Preenayamo Vasudevam=====
***** Оценить все полезные ответы *****
Как обратиться за помощью к сообществу Cisco -
Здравствуйте
[, @balaji.bandi] Да, это то же самое, что и внутреннее, то есть мы не применяем NAT в WLC и позже, потому что эта связь может быть установлена с использованием частных IP-адресов.
Я решил эту проблему, используя тот же хеш SSC, который был сгенерирован 9800CL, чтобы установить HASHING для обоих WLC. Будет ли такое поведение необходимо при использовании мобильных туннелей с анкером типа CLOUD?
Спасибо. -
Если вы используете эту конфигурацию, обе стороны всегда должны иметь одинаковую конфигурацию HASH. Не могли бы вы проверить захват пакетов, чтобы увидеть, что не так? После проверки конфигурации? BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco -
Они оба находятся на одном кампусе? Между ними есть какой-нибудь FW? Какой код работает на обоих WLC? Проверьте конфигурацию и требования к портам: https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213912-configure-mobility-anchor-on-catalyst-98.html зависит от версии, проверьте ошибку: https://bst.cisco.com/quickview/bug/CSCwe60294 BB
=====Preenayamo Vasudevam=====
***** Оценить все полезные ответы *****
Как обратиться за помощью к сообществу Cisco -
Здравствуйте
[, @balaji.bandi] Какой код работает на обоих WLC? Анкерный WLC (9800CL) --> 17.15.4b Иностранный WLC (9800LF) --> 17.9.6 Они находятся в разных местах. Да, у нас есть разные брандмауэры в середине этой связи, это разрешено, связи keepalives в обоих WLC в порядке. Анкерный WLC (9800CL) Состояние канала данных Keepalive: UP Состояние канала
управления Keepalive: UP Шифрование
канала данных DTLS: TLS_NUM_NULL_WITH_NULL_NULL Состояние
канала данных DTLS: Отключено Шифрование канала
управления DTLS: TLS_NUM_NULL_WITH_NULL_NULL Состояние канала
управления DTLS: Init
PMTU: 1385
Туннель подключен: Да Внешний WLC (9800LF) Состояние канала данных Keepalive: UP Состояние канала
управления Keepalive: UP Шифрование
канала данных DTLS: TLS_NUM_NULL_WITH_NULL_NULL Состояние
канала данных DTLS: отключено Шифрование канала
управления DTLS: TLS_NUM_NULL_WITH_NULL_NULL Состояние канала
управления DTLS: отключено
PMTU: 1385
Туннель подключен: да Я провел отладку в Foreign WLC (9800 LF) и обнаружил возможную проблему. Возможно, необходимо загрузить сертификат Anchor 9800CL в Foreign 9800LF? [mm-client] [16941]: (отладка): MAC: 0000.0000.0000 Отправка keepalive_ctrl_rsp XID (132) на (ipv4: 192.168.254.22 )
[mm-keepalive] [16941]: (примечание): IP-адрес партнера: 192.168.254.22 Состояние контрольного канала установлено на UP (было DOWN)
[errmsg] [16941]: (примечание): %MM_NODE_LOG-5-KEEP_ALIVE: R0/0: mobilityd: Туннель управления мобильностью к IP-адресу партнера: 192.168.254.22 изменил состояние на UP
ap-upgrade] [15872]: (примечание): Сообщение о процессе туннеля мобильности Up: Не найдено сообщение об обновлении. Название отчета:
[mm-dtls] [16941]: (примечание): IP-адрес однорангового узла: 192.168.254.22 Порт: 16666 DTLS_CLEAR_KEY: ключи DTLS удалены из MNC и FMAN
[mm-dtls] [16941]: (примечание): IP-адрес партнера: 192.168.254.22 Порт: 16666, Локальный IP-адрес: 172.16.131.180 Порт: 16666 DTLS_CLOSE_CB: соединение DTLS закрыто
[ewlc-dtls-sess] [16941]: (информация): освобождение ресурса
клиента sm[ewlc-dtls-sess] [16941]: (примечание): Удаленный хост: 192.168.254.22[16666] Сеанс DTLS уничтожен
[mm-client] [16941]: (отладка): MAC: 001e.bdee.afff Получено keepalive_data, подтип: 0 из XID (0) от (ipv4: 192.168.254.22 )
[mm-dtls] [16941]: (отладка): IP-адрес узла: 192.168.254.22 Порт: 16667 MM_KA_DTLS_START: DTLS не поддерживается Спасибо
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти