In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument werden häufig gestellte Fragen zu Fehlermeldungen und Systemmeldungen für die Cisco Wireless LAN (WLAN) Controller (WLCs) beschrieben.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Frage: Mit einem Cisco 4404 WLC wurde die Umstellung von mehr als 200 Access Points (APs) von der Cisco IOS® Software auf das Lightweight AP Protocol (LWAPP) begonnen. Die Umwandlung von 48 APs wurde abgeschlossen, und die auf dem WLC empfangene Nachricht lautete: [ERROR] spam_lrad.c 4212: AP kann nicht beitreten, da die maximale Anzahl von APs auf Schnittstelle 1 erreicht ist. Warum tritt der Fehler auf?
A.Sie müssen zusätzliche AP-Manager-Schnittstellen erstellen, um mehr als 48 APs zu unterstützen. Andernfalls erhalten Sie den Fehler, der wie folgt aussieht:
Wed Sep 28 12:26:41 2005 [ERROR] spam_lrad.c 4212: AP cannot join because the maximum number of APs on interface 1 is reached.Konfigurieren Sie mehrere AP-Manager-Schnittstellen, und konfigurieren Sie primäre/Backup-Ports, die von anderen AP-Manager-Schnittstellen nicht verwendet werden. Sie müssen eine zweite AP-Manager-Schnittstelle erstellen, um zusätzliche APs zu aktivieren. Stellen Sie jedoch sicher, dass sich die Konfigurationen des primären Ports und des Backup-Ports für die einzelnen Manager nicht überschneiden. Mit anderen Worten: Wenn AP-Manager 1 Port 1 als primäres und Port 2 als Backup verwendet, muss AP-Manager 2 Port 3 als primäres und Port 4 als Backup verwenden.
Frage: Ich verfüge über einen Wireless LAN Controller (WLC) 4402 und nutze 1240 Lightweight Access Points (LAPs). Ich aktivierte die 128-Bit-Verschlüsselung auf dem WLC. Wenn ich die 128-Bit-WEP-Verschlüsselung auf dem WLC wähle, erhalte ich eine Fehlermeldung, die besagt, dass 128-Bit auf den 1240ern nicht unterstützt wird: [ERROR] spam_lrad.c 12839: Not create SSID mode on CISCO AP xx:xx:xx:xx:xx weil WEP122 8 Bit wird nicht unterstützt. Warum erhalte ich diesen Fehler?
A.Die auf den WLCs angegebenen Schlüssellängen entsprechen der Anzahl der Bits, die im gemeinsamen geheimen Schlüssel enthalten sind, und umfassen nicht die 24-Bit des Initialisierungsvektors (IV). Viele Produkte, zu denen auch die Aironet-Produkte gehören, nennen es einen 128-Bit-WEP-Schlüssel. In Wirklichkeit ist es ein 104-Bit-Schlüssel mit 24-Bit-IV. Die Schlüssellänge von 104-Bit entspricht dem, was Sie auf dem WLC für die 128-Bit-WEP-Verschlüsselung aktivieren müssen.
Wenn Sie die Schlüssellänge von 128 Bit für den WLC auswählen, handelt es sich um eine 152-Bit-WEP-Schlüsselverschlüsselung (128 + 24 IV). Nur Cisco LAPs der Serie 1000 (AP1010, AP1020, AP1030) unterstützen die Verwendung der WLC 128-Bit-WEP-Schlüsseleinstellung.
Frage: Warum erhalte ich die WEP-Schlüsselgröße von 128 Bit wird auf den APs der Modelle 11xx, 12xx und 13xx nicht unterstützt. WLAN kann nicht an diese Access Points gesendet werden. Fehlermeldung, wenn ich versuche, WEP auf einem WLC zu konfigurieren?
A. Wenn Sie auf einem Wireless LAN-Controller statisches WEP als Layer-2-Sicherheitsmethode auswählen, stehen Ihnen diese Optionen für die WEP-Schlüsselgröße zur Verfügung.
nicht festgelegt
40 Bit
104 Bit
128 Bit
Zu diesen Schlüsselgrößenwerten gehört nicht der 24-Bit-Initialisierungsvektor (IV), der mit dem WEP-Schlüssel verknüpft ist. Für ein 64-Bit-WEP müssen Sie also 40 Bit als WEP-Schlüsselgröße auswählen. Der Controller fügt die 24-Bit-IV hinzu, um einen 64-Bit-WEP-Schlüssel zu erstellen. Wählen Sie ähnlich für einen 128-Bit-WEP-Schlüssel 104 Bit aus.
Controller unterstützen auch 152-Bit-WEP-Schlüssel (128 Bit + 24 Bit IV). Diese Konfiguration wird auf den APs der Modelle 11xx, 12xx und 13xx nicht unterstützt. Wenn Sie also versuchen, WEP mit 144 Bit zu konfigurieren, gibt der Controller eine Meldung aus, dass diese WEP-Konfiguration nicht an die APs der Modelle 11xx, 12xx und 13xx weitergeleitet wird.
F. Clients können sich nicht in einem WLAN authentifizieren, das für WPA2 konfiguriert ist, und der Controller zeigt die Station apf_80211.c:1923 APF-1-PROC_RSN_WARP_IE_FAILED: Die RSN- und WARP IE-Station konnte nicht verarbeitet werden, ohne RSN (WPA2) im WLAN zu verwenden, für das RSN erforderlich ist. c:f1:0c:51:22, SSID:<>-Fehlermeldung. Warum erhalte ich diesen Fehler?
A.Dies geschieht hauptsächlich aufgrund von Inkompatibilität auf der Clientseite. Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
Überprüfen Sie, ob der Client für WPA2 Wi-Fi-zertifiziert ist, und überprüfen Sie die Konfiguration des Clients für WPA2.
Überprüfen Sie im Datenblatt, ob das Client-Dienstprogramm WPA2 unterstützt. Installieren Sie alle Patches, die vom Anbieter veröffentlicht wurden, um WPA2 zu unterstützen. Wenn Sie Windows Utility verwenden, stellen Sie sicher, dass Sie den WPA2-Patch von Microsoft installiert haben, um WPA2 zu unterstützen. Weitere Informationen finden Sie unter Microsoft Support.
Aktualisieren Sie den Client-Treiber und die Firmware.
Deaktivieren Sie Aironet-Erweiterungen im WLAN.
Frage: Sobald ich den WLC neu starte, erhalte ich die Mon Jul 17 15:23:28 2006 MFP Anomaly Detected - 3023 Invalid MIC event(s) found as violated by the radio 00:XX:XX:XX:XX:XX and detected by the dot11 interface at slot 0 of AP 00:XX:XX:XX:XX in 300 Sekunden beim Beobachten von Testantworten, Beacon-Frames-Fehlermeldung. Warum tritt dieser Fehler auf und wie kann ich ihn loswerden?
A.Diese Fehlermeldung wird angezeigt, wenn MFP-fähige LAPs Frames mit falschen MIC-Werten erkennen. Weitere Informationen zu MFP finden Sie unter Infrastructure Management Frame Protection (MFP) with WLC and LAP Configuration Example. Führen Sie einen der folgenden vier Schritte aus:
Überprüfen und entfernen Sie alle nicht autorisierten oder ungültigen APs oder Clients in Ihrem Netzwerk, die ungültige Frames generieren.
Deaktivieren Sie den Infrastruktur-MFP, wenn MFP für andere Mitglieder der Mobilitätsgruppe nicht aktiviert ist, da LAPs Management-Frames von LAPs anderer WLCs in der Gruppe hören können, für die MFP nicht aktiviert ist. Weitere Informationen zur Mobility Group finden Sie unter Wireless LAN Controller (WLC) Mobility Groups FAQ.
Die Behebung dieser Fehlermeldung ist in den WLC-Versionen 4.2.112.0 und 5.0.148.2 verfügbar. Aktualisieren Sie die WLCs auf eine dieser Versionen.
Laden Sie als letzte Option die LAP neu, die diese Fehlermeldung generiert.
Q. Client AIR-PI21AG-E-K9 erfolgreich einem Access Point (AP) mit Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) zugeordnet. Wenn der verbundene WAP jedoch ausgeschaltet ist, führt der Client kein Roaming zu einem anderen WAP durch. Diese Meldung erscheint fortlaufend im Controller-Meldungsprotokoll: "Fr Jun 2 14:48:49 2006 [SECURITY] 1x_auth_pae.c 1922: Der Benutzer kann nicht in das System zugelassen werden - ist der Benutzer möglicherweise bereits am System angemeldet? Fr Jun 2 14:48:49 2006 [SECURITY] apf_ms.c 2557: Benutzername für Mobil kann nicht gelöscht werden 00:40:96:ad:75:f4". Warum ist das so?
A.Wenn die Client-Karte Roaming benötigt, sendet sie eine Authentifizierungsanforderung, aber sie verarbeitet die Schlüssel nicht richtig (informiert den Access Point/Controller nicht, beantwortet die Neuauthentifizierung nicht).
Dies ist dokumentiert in Cisco bug IDCSCsd02837. Dieser Fehler wurde mit dem Installationsassistenten für Cisco Aironet 802.11a/b/g-Client-Adapter 3.5 behoben.
Im Allgemeinen tritt der Fehler beim Löschen des Benutzernamens für mobileNachrichten aus einem der folgenden Gründe auf:
Der jeweilige Benutzername wird auf mehreren Clientgeräten verwendet.
Die für dieses WLAN verwendete Authentifizierungsmethode hat eine externe anonyme Identität. Beispielsweise ist es in PEAP-GTC oder in EAP-FAST möglich, einen generischen Benutzernamen als externe (sichtbare) Identität zu definieren, und der tatsächliche Benutzername ist im TLS-Tunnel zwischen Client und Radius-Server verborgen, sodass der Controller ihn nicht sehen und verwenden kann. In solchen Fällen kann diese Meldung angezeigt werden. Dieses Problem tritt häufiger bei einem Drittanbieter und einem alten Firmware-Client auf.
Hinweis: Nur registrierte Cisco Benutzer können auf interne Informationen zu Fehlern und Tools von Cisco zugreifen.
Frage: Wenn ich den neuen Wireless Services Module (WiSM) Blade-Server im 6509 Switch installiere und PEAP (Protected Extensible Authentication Protocol) mit dem Microsoft IAS-Server implementiere, erhalte ich den folgenden Fehler: *Mar 1 00:00:23.526: %LWAPP-5-CHANGED: LWAPP hat den Status auf DISCOVERY geändert *Mar 1 0 0:00:23.700: %SYS-5-RELOAD: Neuladen vom LWAPP-CLIENT angefordert.Grund für Neuladen: FEHLGESCHLAGENER CRYPTO-INIT. *1. März 00:00:23.700: %LWAPP-5-CHANGED: LWAPP wechselt state to DOWN *1. März 00:00:23.528: %LWAPP-5-CHANGED: LWAPP geändert in DISCOVERY *1. März 00:00:23.557: LWAPP_CLIENT_ERROR_DEBUG:lwapp_crypto_init_ssc_keys_and_de Zertifikate ohne Zertifikate in der privaten SSC-Datei *1. März 00:00:23.557: LWAPP_CLIENT_ERROR_DEBUG: *1. März 00:00:23.557: lwapp_crypto_init: PKI_StartSitzung fehlgeschlagen *1. März 00:00:23.706: %SYS-5-RELOAD: Neustart vom LWAPP-CLIENT angefordert. . Warum ist das so?
A.RADIUS- und dot1x-Debugging zeigen, dass der WLC eine Zugriffsanforderung sendet, jedoch keine Antwort vom IAS-Server vorliegt. Führen Sie die folgenden Schritte aus, um das Problem zu beheben:
- Überprüfen und überprüfen Sie die IAS-Serverkonfiguration.
- Überprüfen Sie die Protokolldatei.
- Installieren Sie Software wie Ethereal, die Ihnen Authentifizierungsdetails bereitstellen kann.
- Beenden und starten Sie den IAS-Dienst.
Frage: Die Lightweight Access Points (LAPs) sind nicht am Controller registriert. Was kann das Problem sein? Ich sehe diese Fehlermeldungen auf dem Controller: Do Feb 3 03:20:47 2028: LWAPP Join-Request enthält kein gültiges Zertifikat in CERTIFICATE_PAYLOAD von AP 00:0b:85:68:f4:f0. Do. 3. Februar 03:20:47:2028: Öffentlicher Schlüssel für AP kann nicht freigegeben werden 00:0B:85:68:F4:F0.
A.Wenn der Access Point (AP) die Join-Anforderung des LWAPP (Lightweight Access Point Protocol) an den WLC sendet, bettet er sein X.509-Zertifikat in die LWAPP-Nachricht ein. Außerdem wird eine zufällige Sitzungs-ID generiert, die in der LWAPP-Join-Anforderung enthalten ist. Wenn der WLC die LWAPP-Join-Anforderung empfängt, validiert er die Signatur des X.509-Zertifikats mit dem öffentlichen Schlüssel der APs und überprüft, ob das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Außerdem wird das Startdatum und die Startzeit für das Gültigkeitsintervall des AP-Zertifikats überprüft und mit dem Datum und der Uhrzeit des Zertifikats verglichen.
Dieses Problem kann aufgrund einer falschen Uhreneinstellung auf dem WLC auftreten. Um die Uhr auf dem WLC einzustellen, geben Sie die Befehle
show time und
config time ein.
Frage: Ein LWAPP-AP (Lightweight Access Point Protocol) kann seinen Controller nicht verbinden. Im Protokoll des Wireless LAN-Controllers (WLC) wird eine Meldung wie diese angezeigt: "LWAPP Join-Request does not include valid certificate in CERTIFICATE_PAYLOAD from AP 00:0b:85:68:ab:01". Warum ist das so?
A.Sie können diese Fehlermeldung empfangen, wenn der LWAPP-Tunnel zwischen dem AP und dem WLC einen Netzwerkpfad mit einer MTU unter 1500 Byte durchläuft. Dies führt zur Fragmentierung der LWAPP-Pakete. Dies ist ein bekannter Fehler im Controller. Siehe Cisco bug IDCSCsd39911.
Die Lösung besteht darin, die Controller-Firmware auf 4.0(155) zu aktualisieren.
Hinweis: Nur registrierte Cisco Benutzer können auf interne Informationen zu Fehlern und Tools von Cisco zugreifen.
Frage: Ich möchte ein Gast-Tunneling zwischen meinem internen Controller und dem virtuellen Anker-Controller in der DMZ (De-Militarized Zone) einrichten. Wenn ein Benutzer jedoch versucht, eine Verbindung mit einer Gast-SSID herzustellen, kann er die IP-Adresse nicht wie erwartet von der DMZ erhalten. Aus diesem Grund wird der Benutzerdatenverkehr nicht über Tunnel an den Controller der DMZ geleitet. Die Ausgabe des Befehls debug mobile handoff zeigt eine ähnliche Meldung an: Security Policy Mismatch for WLAN <WLAN-ID>. Anker-Exportanforderung von Switch-IP: <IP-Adresse des Controllers> ignoriert. Wo liegt das Problem?
A.Gast-Tunneling bietet zusätzliche Sicherheit für den Gastbenutzerzugriff auf das Wireless-Netzwerk des Unternehmens. Dadurch wird sichergestellt, dass Gastbenutzer nicht auf das Unternehmensnetzwerk zugreifen können, ohne zuvor die Firewall des Unternehmens zu passieren. Wenn ein Benutzer einem WLAN zugeordnet wird, das als Gast-WLAN festgelegt wurde, wird der Benutzerdatenverkehr an den WLAN-Controller getunnelt, der sich in der DMZ außerhalb der Unternehmens-Firewall befindet.
Angesichts dieses Szenarios kann es mehrere Gründe geben, warum dieser Gast-Tunneling-Vorgang nicht wie erwartet funktioniert. Wie die Ausgabe des Befehls debuggt andeutet, kann das Problem in der Diskrepanz zwischen den Sicherheitsrichtlinien bestehen, die für das jeweilige WLAN sowohl intern als auch in den DMZ-Controllern konfiguriert wurden. Überprüfen Sie, ob die Sicherheitsrichtlinien und andere Einstellungen, z. B. die Timeout-Einstellungen für Sitzungen, übereinstimmen.
Ein weiterer häufiger Grund für dieses Problem ist, dass der DMZ-Controller für dieses spezielle WLAN nicht fest mit sich selbst verbunden ist. Damit ein Gast-Tunneling ordnungsgemäß funktioniert und die DMZ die IP-Adresse des Benutzers verwaltet (d. h. des Benutzers, der zu einem Gast-WLAN gehört), muss für dieses spezielle WLAN eine korrekte Verankerung durchgeführt werden.
Frage: Ich sehe viele "CPU Receive Multicast Queue is full on Controller"-Meldungen auf dem 2006 Wireless LAN Controller (WLC), aber nicht auf den 4400 WLCs. Warum ist das so? Ich habe Multicast auf den Controllern deaktiviert. Worin besteht der Unterschied beim Grenzwert für Multicast-Warteschlangen zwischen den WLC-Plattformen 2006 und 4400?
A.Da Multicast auf den Controllern deaktiviert ist, können die Meldungen, die diesen Alarm auslösen, ARP-Meldungen (Address Resolution Protocol) sein. Bei der Warteschlangentiefe (512 Pakete) bestehen keine Unterschiede zwischen den 2.000 WLCs und den 4.400 WLCs. Der Unterschied besteht darin, dass die NPU der Serie 4400 ARP-Pakete filtert, während beim 2006 alles über Software abgewickelt wird. Dies erklärt, warum der WLC von 2006 die Meldungen sieht, nicht aber den 4400 WLC. Ein 44xx WLC verarbeitet Multicast-Pakete über die Hardware (über die CPU). Ein 2000 WLC verarbeitet Multicast-Pakete über Software. Die CPU-Verarbeitung ist effizienter als die Software. Daher wird die Warteschlange der 4400er-Jahre schneller gelöscht, während der WLC 2006 ein wenig Probleme hat, wenn er viele dieser Nachrichten sieht.
Frage: Die Fehlermeldung "[SECURITY] apf_foreignap.c 763: STA [00:0A:E4:36:1F:9B] Received a packet on port 1 but no Foreign AP configured for this port." wird in einem meiner Controller angezeigt. Was bedeutet dieser Fehler, und welche Schritte muss ich unternehmen, um ihn zu beheben?
A.Diese Meldung wird angezeigt, wenn der Controller eine DHCP-Anfrage für eine MAC-Adresse empfängt, für die er keinen Statuscomputer hat. Dies wird häufig von einer Bridge oder einem System aus gesehen, auf dem eine virtuelle Maschine wie VMWare ausgeführt wird. Der Controller nimmt DHCP-Anfragen entgegen, da er DHCP-Snooping durchführt, um zu ermitteln, welche Adressen Clients zugewiesen sind, die mit seinen Access Points (APs) verbunden sind. Der gesamte Datenverkehr für die Wireless-Clients läuft über den Controller. Wenn das Ziel eines Pakets ein Wireless-Client ist, wird es an den Controller weitergeleitet und dann über den LWAPP-Tunnel (Lightweight Access Point Protocol) an den AP und an den Client weitergeleitet. Um diese Meldung zu lindern, können Sie z. B. festlegen, dass die auf dem Controller verwendeten VLANs nur auf den Trunk zugreifen dürfen, der mit dem Befehl witchport vlan allowauf dem Switch zum Controller führt.
Frage: Warum wird diese Fehlermeldung auf der Konsole angezeigt: Meldung 'Set Default Gateway' of System Table failed, Id = 0x0050b986 error value = 0xfffffffc?
A.Dies kann auf eine hohe CPU-Last zurückzuführen sein. Wenn die Controller-CPU stark ausgelastet ist, z. B. wenn Dateien kopiert oder andere Aufgaben ausgeführt werden, hat sie keine Zeit, alle ACKs zu verarbeiten, die die NPU als Reaktion auf Konfigurationsnachrichten sendet. In diesem Fall generiert die CPU Fehlermeldungen. Die Fehlermeldungen wirken sich jedoch nicht auf den Dienst oder die Funktionalität aus.
Weitere Informationen finden Sie unter Cisco Wireless LAN Controller.
Frage: Ich erhalte die folgenden WEP-Fehlermeldungen (Wired Equivalent Privacy) auf meinem Wireless Control System (WCS): Der WEP-Schlüssel, der auf der Station konfiguriert wurde, kann falsch sein. Die MAC-Adresse der Station lautet "xx:xx:xx:xx:xx:xx:xx", die MAC-Adresse der AP-Basisfunkstelle lautet "xx:xx:xx:xx:xx:xx:xx", und die Steckplatz-ID lautet "1". Ich verwende jedoch WEP nicht als Sicherheitsparameter in meinem Netzwerk. Ich verwende nur Wi-Fi Protected Access (WPA). Warum erhalte ich diese WEP-Fehlermeldungen?
A.Wenn alle Ihre sicherheitsrelevanten Konfigurationen perfekt sind, sind die Nachrichten, die Sie jetzt erhalten wegen Bugs. Es gibt einige bekannte Fehler im Controller. Weitere Informationen finden Sie unter dem Cisco Bug IDCSCse17260 und Cisco but ID CSCse1202, in dem es heißt: "Der an der Station konfigurierte WEP-Schlüssel kann bei WPA- bzw. TKIP-Clients falsch sein." Die Cisco Bug-ID CSCse17260 ist ein Duplikat der Cisco Bug-ID CSCse1202. Die Fehlerbehebung für Cisco, aber mit der ID CSCse1202ist bereits in WLC Version 3.2.171.5 verfügbar.
Hinweis: Die neuesten WLC-Versionen haben eine Korrektur für diese Fehler.
Hinweis: Nur registrierte Cisco Benutzer können auf interne Fehlerinformationen und Tools von Cisco zugreifen.
Frage: Ich verwende einen externen RADIUS-Server, um Wireless-Clients über den Controller zu authentifizieren. Der Controller sendet regelmäßig diese Fehlermeldung: Es antworten keine Radius-Server. Warum werden diese Fehlermeldungen angezeigt?
A.Wenn eine Anfrage vom WLC an den RADIUS-Server geht, hat jedes Paket eine Sequenznummer, auf die der WLC eine Antwort erwartet. Wenn keine Antwort erfolgt, wird eine Meldung angezeigt, die anzeigt, dass radius-server nicht reagiert.
Die Standardzeit für die Rückmeldung des WLC vom RADIUS-Server beträgt 2 Sekunden. Diese Einstellung erfolgt über die WLC-GUI unter Security > authentication-server. Der Maximalwert beträgt 30 Sekunden. Daher kann es hilfreich sein, diesen Timeoutwert auf seinen Maximalwert festzulegen, um dieses Problem zu beheben.
Manchmal führen die RADIUS-Server "silent discards" des Anforderungspakets aus, das vom WLC kommt. Der RADIUS-Server kann diese Pakete aufgrund von Zertifikatskonflikten und aus verschiedenen anderen Gründen ablehnen. Dies ist eine gültige Aktion des Servers. Außerdem kann der Controller in solchen Fällen den RADIUS-Server als nicht antwortend markieren.
Deaktivieren Sie die aggressive Failover-Funktion im WLC, um das Problem mit den automatischen Verwerfungen zu beheben.
Wenn in WLC die aggressive Failover-Funktion aktiviert ist, ist der WLC zu aggressiv, um den AAA-Server als nicht antwortend zu markieren. Dies darf jedoch nicht geschehen, da der AAA-Server nicht nur auf diesen bestimmten Client reagieren kann (er verwirft unbeaufsichtigt). Es kann eine Antwort auf andere gültige Clients (mit gültigen Zertifikaten) sein. Der WLC kann den AAA-Server jedoch weiterhin als nicht antwortend und nicht funktionsfähig markieren.
Um dies zu vermeiden, deaktivieren Sie die aggressive Failover-Funktion. Führen Sie den Befehl config radius aggressive-failover disable aus der CLI des Controllers aus, um dies auszuführen. Wenn diese Option deaktiviert ist, führt der Controller nur dann einen Failover zum nächsten AAA-Server durch, wenn drei aufeinander folgende Clients keine Antwort vom RADIUS-Server erhalten.
F. Mehrere Clients können keine Verbindung zu einem LWAPP herstellen, und der Controller protokolliert die Fehlermeldung "IAPP-3-MSGTAG015: iappSocketTask: iappRecvPkt", die eine Fehlermeldung zurückgibt. Warum passiert das?
A.Dies ist meistens auf ein Problem mit den Intel Adaptern zurückzuführen, die CCX v4 unterstützen, aber ein Client-Paket vor Version 10.5.1.0 ausführen. Wenn Sie die Software auf 10.5.1.0 oder höher aktualisieren, wird dieses Problem behoben. Weitere Informationen zu dieser Fehlermeldung finden Sie unter Cisco bug IDCSCsi91347.
Hinweis: Nur registrierte Cisco Benutzer können auf interne Fehlerinformationen und Tools von Cisco zugreifen.
Frage: Diese Fehlermeldung wird auf dem Wireless LAN Controller (WLC) angezeigt: Reached Max EAP-Identity Request retries (21) für STA 00:05:4e:42:ad:c5. Warum ist das so?
A.Diese Fehlermeldung wird angezeigt, wenn der Benutzer versucht, eine Verbindung zu einem EAP-geschützten WLAN-Netzwerk herzustellen, und die vorkonfigurierte Anzahl von EAP-Versuchen fehlgeschlagen ist. Wenn der Benutzer sich nicht authentifiziert, schließt der Controller den Client aus, und der Client kann keine Verbindung mit dem Netzwerk herstellen, bis der Ausschluss-Timer abläuft oder vom Administrator manuell außer Kraft gesetzt wird.
Der Ausschluss erkennt Authentifizierungsversuche, die von einem einzelnen Gerät unternommen werden. Wenn dieses Gerät eine maximale Anzahl von Fehlern überschreitet, kann diese MAC-Adresse nicht mehr zugeordnet werden.
Der Ausschluss tritt ein:
-
Nach 5 aufeinander folgenden Authentifizierungsfehlern für gemeinsam genutzte Authentifizierungen (6. Versuch ausgeschlossen)
-
Nach fünf aufeinander folgenden Zuordnungsfehlern für die MAC-Authentifizierung (6. Versuch ist ausgeschlossen)
-
Nach drei aufeinander folgenden EAP/802.1X-Authentifizierungsfehlern (vierter Versuch ausgeschlossen)
-
Externer Policy Server-Fehler (NAC)
-
Jede Instanz mit IP-Adressduplizierung
-
Nach drei aufeinander folgenden Web-Authentifizierungsfehlern (vierter Versuch ausgeschlossen)
Der Timer für die Dauer des Client-Ausschlusses kann konfiguriert werden. Der Ausschluss kann auf Controller- oder WLAN-Ebene aktiviert oder deaktiviert werden.
Frage: Diese Fehlermeldung wird auf dem Wireless LAN Controller (WLC) angezeigt: Eine Warnmeldung der Kategorie "Switch" wird mit dem Schweregrad 1 von Switch WLCSCH01/10.0.16.5 generiert. Die Warnmeldung lautet Controller "10.0.16.5". RADIUS-Server antworten nicht auf Authentifizierungsanforderungen. Worum geht es?
A.Mögliche Ursache: Cisco Bug-ID CSCsc05495. Aufgrund dieses Fehlers fügt der Controller in regelmäßigen Abständen ein falsches AV-Pair (Attribut 24, "Zustand") in Authentifizierungsanforderungsnachrichten ein, die einen RADIUS-RFP verletzen und bei einigen Authentifizierungsservern Probleme verursachen. Dieser Fehler wurde in 3.2.179.6 behoben.
Hinweis: Nur registrierte Cisco Benutzer können auf interne Fehlerinformationen und Tools von Cisco zugreifen.
Frage: Ich erhalte eine Fehlermeldung zu einem Rauschprofil unter Monitor > 802.11b/g Radios (Überwachung > 802.11b/g Funkmodule). Ich möchte verstehen, warum diese Meldung NICHT BESTANDEN angezeigt wird.
A.Der Status Noise Profile FAILED/PASSED wird nach dem vom WLC durchgeführten Testergebnis und im Vergleich zum aktuell eingestellten Grenzwert festgelegt. Standardmäßig ist der Rauschwert auf -70 festgelegt. Der Status FAILED gibt an, dass der Schwellenwert für diesen Parameter oder Access Point (AP) überschritten wurde. Sie können die Parameter im Profil anpassen. Es wird jedoch empfohlen, die Einstellungen zu ändern, nachdem Sie das Netzwerkdesign und die möglichen Auswirkungen auf die Netzwerkleistung verstanden haben.
Die Grenzwerte für "Radio Resource Management (RRM) PASSED/FAILED" (Durchgegangen/Ausgefallen) werden global für alle APs auf den 802.11a Global Parameters > Auto RF (Globale Parameter) und 802.11b/g Global Parameters > Auto RF (Globale Parameter) festgelegt. Die Grenzwerte für RRM PASSED/FAILED (erfolgreich/fehlerhaft) werden für diesen Access Point auf der Seite "802.11 AP Interfaces > Performance Profile" (802.11 AP-Schnittstellen > Leistungsprofil) einzeln festgelegt.
Frage: Port 2 kann nicht als Backup-Port für die AP-Manager-Schnittstelle festgelegt werden. Die zurückgegebene Fehlermeldung lautet: Die Portkonfiguration konnte nicht festgelegt werden. Ich kann Port 2 als Backup-Port für die Management-Schnittstelle festlegen. Der aktive Port für beide Schnittstellen ist derzeit Port 1. Warum ist das so?
A.Ein AP-Manager verfügt über keinen Backup-Port. Früher wurde es in früheren Versionen unterstützt. Ab Version 4.0 wird der Backup-Port für die AP-Manager-Schnittstelle nicht mehr unterstützt. In der Regel muss an jedem Port ein einzelner AP-Manager konfiguriert werden (keine Backups). Wenn Sie Link Aggregation (LAG) verwenden, ist nur ein AP-Manager vorhanden.
Die statische (oder permanente) AP-Manager-Schnittstelle muss dem Port 1 des Verteilungssystems zugewiesen sein und über eine eindeutige IP-Adresse verfügen. Er kann keinem Backup-Port zugeordnet werden. Sie wird in der Regel auf demselben VLAN oder IP-Subnetz wie die Verwaltungsschnittstelle konfiguriert, dies ist jedoch keine Anforderung.
Frage: Ich sehe diese Fehlermeldung: Der AP '00:0b:85:67:6b:b0' hat einen WPA MIC-Fehler auf Protokoll '1' von Station '00:13:02:8d:f6:41' empfangen. Gegenmaßnahmen wurden aktiviert, und der Datenverkehr wurde für 60 Sekunden ausgesetzt. Warum ist das so?
A.Message Integrity Check (MIC), integriert in Wi-Fi Protected Access (WPA), umfasst einen Frame-Zähler, der einen Man-in-the-Middle-Angriff verhindert. Dieser Fehler bedeutet, dass jemand im Netzwerk die Nachricht wiedergeben möchte, die vom ursprünglichen Client gesendet wurde, oder dass der Client fehlerhaft ist.
Wenn ein Client die MIC-Prüfung wiederholt nicht besteht, deaktiviert der Controller das WLAN an der AP-Schnittstelle, an der die Fehler 60 Sekunden lang erkannt werden. Der erste MIC-Fehler wird protokolliert, und ein Timer wird initiiert, um die Durchsetzung der Gegenmaßnahmen zu ermöglichen. Tritt innerhalb von 60 Sekunden nach dem letzten vorherigen Fehler ein nachfolgender MIC-Fehler auf, so muss ein STA, dessen IEEE 802.1X-Einheit als Supplicant agiert hat, sich selbst ungültig machen oder alle STAs mit einer Sicherheitszuordnung ungültig machen, wenn seine IEEE 802.1X-Einheit als Authenticator agiert hat.*
Darüber hinaus empfängt oder sendet das Gerät keine TKIP-verschlüsselten Datenrahmen und keine unverschlüsselten Datenrahmen außer IEEE 802.1X-Nachrichten für einen Zeitraum von mindestens 60 Sekunden, nachdem es den zweiten Fehler entdeckt hat, an oder von einem Peer. Wenn es sich bei dem Gerät um einen Access Point handelt, werden in diesem Zeitraum von 60 Sekunden keine neuen Verbindungen mit TKIP zugelassen. Nach Ablauf dieses Zeitraums von 60 Sekunden nimmt der Access Point den normalen Betrieb wieder auf und ermöglicht den STAs die (erneute) Zuweisung.
Dadurch wird ein möglicher Angriff auf das Verschlüsselungsschema verhindert. Diese MIC-Fehler können in WLC-Versionen vor 4.1 nicht deaktiviert werden. Mit Wireless LAN Controller Version 4.1 und höher gibt es einen Befehl, um die Scan-Zeit für MIC-Fehler zu ändern. Der Befehl isconfig wlan security tkip hold-down <0-60 seconds> <wlan id>. Verwenden Sie den Wert 0, um die MIC-Ausfallerkennung für Gegenmaßnahmen zu deaktivieren.
*Ungültig: Authentifizierung beenden.
Frage: Diese Fehlermeldung wird in meinen Controller-Protokollen angezeigt: [ERROR] dhcp_support.c 357: dhcp_bind(): servPort dhcpstate failed. Warum ist das so?
A.Diese Fehlermeldungen treten meistens dann auf, wenn auf dem Service-Port des Controllers DHCP aktiviert ist, aber keine IP-Adresse von einem DHCP-Server empfangen wird.
Standardmäßig ist auf der physischen Service-Port-Schnittstelle ein DHCP-Client installiert, und es wird nach einer Adresse über DHCP gesucht. Der WLC versucht, eine DHCP-Adresse für den Service-Port anzufordern. Wenn kein DHCP-Server verfügbar ist, schlägt eine DHCP-Anfrage für den Service-Port fehl. Dadurch werden die Fehlermeldungen erzeugt.
Die Problemumgehung besteht darin, eine statische IP-Adresse für den Service-Port zu konfigurieren (auch wenn der Service-Port nicht angeschlossen ist) oder einen DHCP-Server zur Verfügung zu haben, um dem Service-Port eine IP-Adresse zuzuweisen. Laden Sie dann ggf. den Controller neu.
Der Service-Port ist für das Out-of-Band-Management des Controllers, die Systemwiederherstellung und die Wartung bei Netzwerkausfällen reserviert. Er ist auch der einzige aktive Port, wenn sich der Controller im Startmodus befindet. Der Service-Port kann keine 802.1Q-Tags tragen. Aus diesem Grund muss er mit einem Access-Port am benachbarten Switch verbunden werden. Die Verwendung des Service-Ports ist optional.
Die Service-Port-Schnittstelle steuert die Kommunikation über und wird vom System statisch dem Service-Port zugeordnet. Er muss über eine IP-Adresse in einem anderen Subnetz als das Management, der AP-Manager und alle dynamischen Schnittstellen verfügen. Außerdem kann sie keinem Backup-Port zugeordnet werden. Der Service-Port kann DHCP verwenden, um eine IP-Adresse abzurufen, oder ihm kann eine statische IP-Adresse zugewiesen werden, aber der Service-Port-Schnittstelle kann kein Standard-Gateway zugewiesen werden. Über den Controller können statische Routen für den Remote-Netzwerkzugriff auf den Service-Port definiert werden.
Frage: Meine Wireless-Clients können keine Verbindung zum Wireless LAN (WLAN)-Netzwerk herstellen. Das WiSM, mit dem der Access Point (AP) verbunden ist, meldet folgende Meldung: Big NAV Dos-Angriff von AP mit Base Radio MAC 00:0g:23:05:7d:d0, Slot ID 0 und Source MAC 00:00:00:00:00:00. Was bedeutet das?
A.Als Bedingung für den Zugriff auf das Medium überprüft die MAC-Schicht den Wert ihres Netzwerkzuweisungsvektors (NAV). Der NAV ist ein Zähler, der sich an jeder Station befindet und den Zeitraum angibt, den der vorherige Frame benötigt, um seinen Frame zu senden. Der NAV muss 0 sein, bevor eine Station versuchen kann, einen Frame zu senden. Vor der Übertragung eines Frames berechnet eine Station die Zeit, die zum Senden des Frames erforderlich ist, basierend auf der Frame-Länge und der Datenrate. Die Workstation platziert einen Wert, der diese Zeit darstellt, im Feld für die Dauer in der Kopfzeile des Frames. Wenn die Stationen den Frame empfangen, überprüfen sie diesen Wert im Feld für die Dauer und verwenden ihn als Grundlage für die Festlegung der entsprechenden NAVs. Dieser Vorgang reserviert das Medium für die sendende Station.
Ein hoher NAV weist auf einen überhöhten NAV-Wert hin (Virtual Carrier Sense Mechanism für 802.11). Wenn die gemeldete MAC-Adresse 00:00:00:00:00:00 lautet, ist sie wahrscheinlich gefälscht (möglicherweise ein echter Angriff), und Sie müssen dies mit einer Paketerfassung bestätigen.
Frage: Nach der Konfiguration und dem Neustart des Controllers kann ich nicht mehr im sicheren Web-Modus (HTTPS) auf den Controller zugreifen. Diese Fehlermeldung wird angezeigt, wenn ich versuche, auf den sicheren Webmodus des Controllers zuzugreifen: Sicheres Web: Web-Authentifizierungszertifikat nicht gefunden (Fehler). Was ist der Grund für dieses Problem?
A.Dieses Problem kann aus verschiedenen Gründen auftreten. Ein häufiger Grund kann in der Konfiguration der virtuellen Schnittstelle des Controllers liegen. Um dieses Problem zu beheben, entfernen Sie die virtuelle Schnittstelle, und generieren Sie sie dann mit dem folgenden Befehl neu:
WLC>config interface address virtual 1.1.1.1
Starten Sie dann den Controller neu. Nachdem der Controller neu gestartet wurde, generieren Sie das Webauthentifizierungszertifikat lokal auf dem Controller mit dem folgenden Befehl:
WLC>config certificate generate webauth
In der Ausgabe dieses Befehls wird die folgende Meldung angezeigt: Das Webauthentifizierungszertifikat wurde generiert.
Sie können nun nach dem Neustart auf den sicheren Webmodus des Controllers zugreifen.
Q. Controller melden manchmal diese IDS Disassociation Flood Signature Attack-Warnmeldung für gültige Clients, bei denen die MAC-Adresse des Angreifers die eines mit diesem Controller verbundenen Access Points (AP) ist: Warnung: IDS 'Disassoc flood' Signature attack detected on AP '<AP name>' protocol '802.11b/g' on Controller 'x.x.x.x'. Die Signaturbeschreibung lautet 'Disassociation Flood', mit dem Vorrang 'x'. Die MAC-Adresse des Angreifers lautet "hh:hh:hh:hh:hh:hh", die Kanalnummer lautet "x", und die Anzahl der Erkennungen ist "x". Warum passiert das?
A.Grund hierfür ist der Cisco-Bug IDCSCsg81953 .
Hinweis: Nur registrierte Cisco Benutzer können auf interne Fehlerinformationen und Tools von Cisco zugreifen.
IDS Disassociation Flood-Angriffe gegen gültige Clients werden manchmal gemeldet, wenn die MAC-Adresse des Angreifers die eines APs ist, der mit diesem Controller verbunden ist.
Wenn ein Client mit dem WAP verbunden ist, aber die Kommunikation aufgrund der Kartenentfernung beendet, befindet er sich außerhalb der Reichweite usw. des WAP, und der WAP wartet bis zum Timeout bei Inaktivität. Sobald der Timeout für Leerlauf erreicht ist, sendet der WAP dem Client einen separaten Frame. Wenn der Client den separaten Frame nicht bestätigt, sendet der Access Point den Frame mehrmals (ca. 60 Frames). Das IDS-Subsystem des Controllers hört diese Neuübertragungen und Warnungen mit dieser Nachricht.
Dieser Fehler wurde in Version 4.0.217.0 behoben. Aktualisieren Sie Ihre Controller-Version auf diese Version, um diese Warnmeldung bei gültigen Clients und APs zu überwinden.
Frage: Ich erhalte diese Fehlermeldung im Syslog des Controllers: [WARNUNG] apf_80211.c 2408: Es wurde eine Meldung mit einer ungültigen unterstützten Rate von der Station <xx:xx:xx:xx:xx:xx:xx> [ERROR] apf_utils.c 198: Missing Supported Rate. Warum ist das so?
A.Eigentlich weisen fehlende unterstützte Übertragungsraten darauf hin, dass der WLC für bestimmte erforderliche Datenübertragungsraten unter den Wireless-Einstellungen konfiguriert ist, dass die NIC-Karte jedoch nicht über die erforderliche Übertragungsrate verfügt.
Wenn Sie Datenraten wie 1 und 2M für den Controller festgelegt haben, aber die NIC-Karte nicht über diese Datenraten kommuniziert, können Sie diese Art von Nachricht empfangen. Dies ist ein Fehlverhalten der Netzwerkkarte. Wenn Ihr Controller jedoch 802.11g unterstützt und der Client eine 802.11b(only)-Karte ist, handelt es sich um eine legitime Nachricht. Wenn diese Nachrichten keine Probleme verursachen und die Karten immer noch eine Verbindung herstellen können, können diese Nachrichten ignoriert werden. Wenn die Meldungen kartenspezifisch sind, stellen Sie sicher, dass der Treiber für diese Karte aktuell ist.
Frage: Diese Syslog-AP:001f.ca26.bfb4: %LWAPP-3-CLIENTERRORLOG: Decode Msg: could not match WLAN ID <id>-Fehlermeldung wird in unserem Netzwerk gesendet. Warum passiert das und wie kann ich es stoppen?
A.Diese Nachricht wird von den LAPs gesendet. Dies wird angezeigt, wenn Sie die WLAN-Änderungsfunktion für ein WLAN konfiguriert haben und dieses spezielle WLAN nicht angekündigt wird.
Konfigurieren Sie ap syslog host global 0.0.0.0, um es zu beenden, oder Sie können eine bestimmte IP-Adresse eingeben, wenn Sie einen Syslog-Server haben, sodass die Nachricht nur an den Server gesendet wird.
Frage: Ich erhalte diese Fehlermeldung auf meinem Wireless LAN Controller (WLC): [ERROR] Datei: apf_mm.c : Zeile: 581 : Kündige Kollision für Mobilgeräte 00:90:7a:05:56:8a, löschen. Warum ist das so?
A.Im Allgemeinen zeigt diese Fehlermeldung an, dass der Controller Kollisionen für einen Wireless-Client angekündigt hat (d. h. dass separate APs den Client ankündigen), und dass der Controller keine Übergabe von einem AP zum nächsten erhalten hat. Es ist kein Netzwerkstatus zu verwalten. Löschen Sie den Wireless-Client, und versuchen Sie es erneut. Tritt dieses Problem häufig auf, kann es zu Problemen mit der Mobilitätskonfiguration kommen. Andernfalls kann es sich um eine Anomalie handeln, die mit einem bestimmten Kunden oder einer bestimmten Bedingung in Zusammenhang steht.
Frage: Mein Controller löst diese Warnmeldung aus: Abdeckungsschwellenwert von '12' überschritten. Worum handelt es sich bei diesem Fehler, und wie kann er behoben werden?
A.Diese Alarmmeldung wird ausgelöst, wenn ein Signal-Rausch-Verhältnis (SNR) des Clients auf einen Wert fällt, der unter dem SNR-Schwellenwert für die jeweilige Funkeinheit liegt. 12 ist der SNR-Standardschwellenwert für die Erkennung von Abdeckungslöchern.
Der Algorithmus zur Erkennung und Korrektur von Abdeckungslöchern bestimmt, ob Abdeckungslöcher vorhanden sind, wenn die SNR-Pegel von Clients unter einem bestimmten SNR-Schwellenwert liegen. Dieser SNR-Schwellenwert hängt von zwei Werten ab: der AP-Übertragungsleistung und dem Abdeckungsprofilwert des Controllers.
Im Detail wird der Client-SNR-Schwellenwert durch die Übertragungsleistung jedes Access Points (dargestellt in dBm) minus dem konstanten Wert von 17 dBm minus dem vom Benutzer konfigurierbaren Wert für das Abdeckungsprofil definiert (dieser Wert wird standardmäßig auf 12 dB festgelegt).
-
Client SNR-Abschaltwert (|dB|) = [AP-Übertragungsleistung (dBm) - Konstante (17 dBm) - Abdeckungsprofil (dB)]
Auf diesen vom Benutzer konfigurierbaren Wert für das Abdeckungsprofil kann folgendermaßen zugegriffen werden:
-
Wechseln Sie in der WLC-GUI zur Hauptüberschrift Wireless, und wählen Sie auf der linken Seite die gewünschte Netzwerkoption für den WLAN-Standard aus (802.11a oder 802.11b/g). Wählen Sie dann oben rechts im Fenster die Option Auto RF aus.
-
Suchen Sie auf der Seite "Auto RF Global Parameters" den Abschnitt Profile Thresholds. In diesem Abschnitt finden Sie den Coverage-Wert (3 bis 50 dBm). Dieser Wert ist der vom Benutzer konfigurierbare Wert für das Abdeckungsprofil.
-
Dieser Wert kann geändert werden, um den Client SNR-Schwellenwert zu beeinflussen. Die andere Möglichkeit, diese SNR-Schwelle zu beeinflussen, besteht darin, die Übertragungsleistung zu erhöhen und die Erkennung von Abdeckungslöchern zu kompensieren.
Frage: Ich verwende ACS 4.1 und einen 4402 Wireless LAN Controller (WLC). Wenn der WLC versucht, einen Wireless-Client für ACS 4.1 MAC-zu authentifizieren, antwortet der ACS nicht mit dem ACS und meldet die folgende Fehlermeldung: " Internal error has present " (Interner Fehler ist aufgetreten). Ich habe alle meine Konfigurationen korrekt konfiguriert. Warum tritt dieser interne Fehler auf?
A.Im ACS 4.1 gibt es einen authentifizierungsbezogenen Cisco Bug IDCSCsh62641, wobei der ACS denInternal error has cierderror meldet.
Dieser Fehler kann das Problem sein. Für diesen Fehler ist auf der ACS 4.1 Downloads-Website ein Patch verfügbar, der das Problem beheben kann.
Hinweis: Nur registrierte Cisco Benutzer können auf interne Fehlerinformationen und Tools von Cisco zugreifen.
Frage: Der Cisco Wireless LAN Controller (WLC) der Serie 4400 kann nicht gestartet werden. Diese Fehlermeldung wird auf dem Controller empfangen: ** Die Seite 0:4 kann nicht für Fatload verwendet werden ** Fehler (kein IRQ) dev 0 blk 0: status 0x51 Fehlerreg: 10 ** Kann nicht von Gerät 0 gelesen werden. Warum ist das so?
A.Der Grund für diesen Fehler kann ein Hardwareproblem sein. Öffnen Sie ein TAC-Ticket, um dieses Problem weiter zu beheben. Um ein TAC-Ticket zu erstellen, benötigen Sie einen gültigen Vertrag mit Cisco. Wenden Sie sich an den technischen Support, um das Cisco TAC zu kontaktieren.
Frage: Beim Wireless LAN-Controller (WLC) treten Probleme mit dem Speicherpuffer auf. Wenn die Speicherpuffer voll sind, stürzt der Controller ab und muss neu gestartet werden, damit er wieder online ist. Diese Fehlermeldungen werden im Protokoll der Meldung angezeigt: Mon Apr 9 10:41:03 2007 [ERROR] dtl_net.c 506: Out of System buffers Mon Apr 9 10:41:03 2007 [ERROR] sysapi_if_net.c 5 37: Neuer Mbuf kann nicht zugewiesen werden. Mon Apr 9 10:41:03 2007 [ERROR] sysapi_if_net.c 219: MbufGet: no free Mbufs. Warum ist das so?
A.Dies ist auf den Cisco Bug IDCSCsh93980 zurückzuführen. Dieser Fehler wurde in WLC Version 4.1.185.0 behoben. Aktualisieren Sie Ihren Controller auf diese Softwareversion oder höher, um diese Meldung zu überwinden.
Hinweis: Nur registrierte Cisco Benutzer können auf interne Fehlerinformationen und Tools von Cisco zugreifen.
Frage: Ich habe den Code unseres Wireless LAN Controllers (WLC) 4400s auf 4.1 aktualisiert, und unser Syslog wurde mit folgenden Meldungen bombardiert: May03 03:55:49.591 dtl_net.c:1191 DTL-1-ARP_POISON_DETECTED: STA [00:17:f2:43:26:93, 0.0.0.0] ARP (op 1) mit ungültigem SPA 192.168.1.233/TPA 192.168.1.233 empfangen
. Worauf deuten diese Meldungen hin?
A.Dies kann auftreten, wenn das WLAN als DHCP erforderlich markiert ist. In solchen Fällen können nur Stationen eine Verbindung herstellen, die eine IP-Adresse über DHCP erhalten. Statische Clients können keine Verbindung mit diesem WLAN herstellen. WLC fungiert als DHCP-Relay-Agent und zeichnet die IP-Adresse aller Stationen auf. Diese Fehlermeldung wird generiert, wenn der WLC eine ARP-Anforderung von einer Station empfängt, bevor der WLC DHCP-Pakete von der Station empfangen und seine IP-Adresse aufgezeichnet hat.
Frage: Wenn Sie Power over Ethernet (PoE) auf dem Cisco 2106 Wireless LAN Controller verwenden, sind die AP-Funkmodule nicht aktiviert. Der Access Point kann die Inline-Stromversorgung nicht ausreichend überprüfen. Funksteckplatz deaktiviert. Fehlermeldung wird angezeigt. Wie kann ich das reparieren?
A.Diese Fehlermeldung tritt auf, wenn der Switch, der den Access Point hochfährt, ein vorstandardmäßiger Switch ist, der AP jedoch den vorstandardmäßigen Eingangsleistungsmodus nicht unterstützt.
Ein Cisco Pre-Standard-Switch bietet keine Unterstützung für intelligentes Power Management (IPM), verfügt aber über ausreichend Strom für einen Standard-Access Point.
Sie müssen den Modus "Pre-Standard" aktivieren, damit der Access Point, der dieser Fehlermeldung unterzogen wird, eingeschaltet wird. Dies kann über die CLI des Controllers mit der vorkonfigurierten Stromversorgung vor dem {enable}-Standard erfolgen. | disable} {all | Cisco_AP}-Befehl.
Dieser Befehl muss bei Bedarf bereits konfiguriert werden, wenn Sie ein Upgrade von einer früheren Version auf die Softwareversion 4.1 durchführen. Es ist jedoch möglich, dass Sie diesen Befehl für neue Installationen eingeben müssen, oder wenn Sie den Access Point auf die Werkseinstellungen zurücksetzen.
Folgende Cisco Prestandard-Switches mit 15 Watt sind erhältlich:
-
AIR-WLC2106-K9
-
WS-C3550, WS-C3560, WS-C3750
-
C1880
-
2600, 2610, 2611, 2621, 2650, 2651
-
2610XM, 2611XM, 2621XM, 2650XM, 2651XM, 2691
-
2811, 2821, 2851
-
3631-Telco, 3620, 3640, 3660
-
3725, 3745
-
3825, 3845
Frage: Der Controller generiert einen dtl_arp.c:2003 DTL-3-NPUARP_ADD_FAILED: Es konnte kein ARP-Eintrag für xx:xx.-xxx.x zum Netzwerkprozessor hinzugefügt werden. Der Eintrag ist nicht vorhanden. Syslog-Meldung wie diese. Was bedeutet diese Syslog-Meldung?
A.Während ein Wireless-Client eine ARP-Antwort sendet, muss die Netzwerkprozessoreinheit (NPU) diese Antwort kennen. Die ARP-Antwort wird also an die NPU weitergeleitet, aber die WLC-Software darf nicht versuchen, diesen Eintrag dem Netzwerkprozessor hinzuzufügen. In diesem Fall werden diese Meldungen generiert. Dies hat keine Auswirkungen auf die Funktionalität des WLC, aber der WLC generiert diese Syslog-Meldung.
Frage: Ich habe einen neuen Cisco 2106 WLC installiert und konfiguriert. Der WLC zeigt an, dass der Temperatursensor ausgefallen ist. Wenn Sie sich unter "Controller-Zusammenfassung" bei der Webschnittstelle anmelden, wird neben der internen Temperatur "Sensor failed" (Sensor ausgefallen) angezeigt. Alles andere scheint normal zu funktionieren.
A.Der Ausfall des internen Temperatursensors ist eine kosmetische Störung und kann durch ein Upgrade auf die WLC-Version 4.2.61.0 behoben werden.
WLC 2106 und WLC 526ab dem 01.07.2007 können den Temperatursensor-Chip eines anderen Anbieters verwenden. Dieser neue Sensor funktioniert einwandfrei, ist jedoch nicht mit Software nach Version 4.2 kompatibel. Daher ist ältere Software nicht in der Lage, die Temperatur zu lesen und zeigt diesen Fehler. Alle anderen Controller-Funktionalitäten sind von diesem Mangel nicht betroffen.
In Zusammenhang mit diesem Problem ist ein bekannter Cisco Bug IDCSCsk97299 bekannt. Dieser Fehler wird im Release Note von WLC Version 4.2 erwähnt.
Hinweis: Nur registrierte Cisco Benutzer können auf interne Fehlerinformationen und Tools von Cisco zugreifen.
Frage: Ich erhalte die Nachricht radius_db.c:1823 AAA-5-RADSERVER_NOT_FOUND: Konnte keinen geeigneten RADIUS-Server für WLAN <WLAN-ID> finden - konnte keine Standard-Server-Nachricht für ALLE SSIDs finden. Diese Meldung wird auch bei SSIDs angezeigt, die keine AAA-Server verwenden.
A.Diese Fehlermeldung bedeutet, dass der Controller nicht in der Lage war, den Standard-Radius-Server zu kontaktieren, oder dass einer nicht definiert wurde.
Ein möglicher Grund für dieses Verhalten ist der Cisco-Fehler IDCSCsk08181, der in Version 4.2 behoben wurde. Aktualisieren Sie Ihren Controller auf Version 4.2.
Frage: Die Meldung: Jul 10 17:55:00.725 sim.c:1061 SIM-3-MACADDR_GET_FAIL: Interface 1 source MAC address is not found. error message shows on the Wireless LAN controller (WLC). Was bedeutet das?
A.Dies bedeutet, dass der Controller beim Senden eines Pakets, das von der CPU stammt, einen Fehler hatte.
Frage: Die folgenden Fehlermeldungen werden auf dem Wireless LAN Controller (WLC) angezeigt:
-
10. Juli 14:52:21.902 nvstore.c:304 SYSTEM-3-FILE_READ_FAIL: Fehler beim Lesen der Konfigurationsdatei 'cliWebInitParms.cfg'
-
10. Juli 14:52:21.624 nvstore.c:304 SYSTEM-3-FILE_READ_FAIL: Fehler beim Lesen der Konfigurationsdatei "rfidInitParms.cfg"
-
10. Juli 14:52:21.610 nvstore.c:304 SYSTEM-3-FILE_READ_FAIL: Fehler beim Lesen der Konfigurationsdatei "dhcpParms.cfg"
-
10. Juli 14:52:21.287 nvstore.c:304 SYSTEM-3-FILE_READ_FAIL: Fehler beim Lesen der Konfigurationsdatei 'bcastInitParms.cfg'
-
18. März 16:05:56.753 osapi_file.c:274 OSAPI-5-FILE_DEL_FAILED: Fehler beim Löschen der Datei: sshpmInitParms.cfg. Fehler beim Entfernen der Datei. - Prozess: Name:fp_main_task, ID:11ca7618
-
18. März 16:05:56.753 osapi_file.c:274 OSAPI-5-FILE_DEL_FAILED: Fehler beim Löschen der Datei: bcastInitParms.cfg. Fehler beim Entfernen der Datei. - Prozess: Name:fp_main_task, ID:11ca7618
Frage: Worauf weist diese Fehlermeldung hin?
A.Diese Meldungen sind informative Meldungen und Teil des normalen Bootvorgangs. Diese Meldungen werden angezeigt, weil mehrere unterschiedliche Konfigurationsdateien nicht gelesen oder gelöscht wurden. Wenn bestimmte Konfigurationsdateien nicht gefunden werden oder die Konfigurationsdatei nicht gelesen werden kann, sendet die Konfigurationssequenz für jeden Prozess diese Meldung, z. B. no DHCP server config, no tags (RF ID) config usw. Diese Meldungen mit niedrigem Schweregrad können problemlos ignoriert werden. Diese Meldungen unterbrechen nicht den Betrieb des Controllers.
Frage: Der HE6-WLC01,local0,alert,2008-07-25,12:48:18,apf_rogue.c:740 APF-1-UNABLE_TO_KEEP_ROUGE_CONTAIN: Unfähig, unberechtigtes Gerät zu behalten 00:14:XX:0 2:XX:XX in geschlossenem Zustand - kein verfügbarer Access Point vorhanden. Fehlermeldung wird angezeigt. Was bedeutet das?
A.Dies bedeutet, dass der Access Point, der die Eindämmungsfunktion für nicht autorisierte APs ausgeführt hat, nicht mehr verfügbar ist und der Controller keinen geeigneten Access Point für die Durchführung der nicht autorisierten Eindämmung finden kann.
Frage: Die Systemmeldung DTL-1-ARP_POISON_DETECTED: STA [00:01:02:0e:54:c4, 0.0.0.0] ARP (op 1), empfangen mit ungültigem SPA 192.168.1.152/TPA 192.168.0.206 LAN-Controller Was bedeutet diese Botschaft?
A.Es ist möglich, dass das System ARP-Spoofing oder -Poisoning erkannt hat. Diese Meldung bedeutet jedoch nicht unbedingt, dass ein bösartiges ARP-Spoofing aufgetreten ist. Die Meldung wird angezeigt, wenn folgende Bedingungen zutreffen:
-
Ein WLAN wird mit erforderlichem DHCP konfiguriert, und ein Client-Gerät sendet nach der Verbindung mit diesem WLAN eine ARP-Nachricht, ohne DHCP zuerst abzuschließen. Dies kann ein normales Verhalten sein, z. B. wenn der Client statisch angesprochen wird oder wenn der Client eine gültige DHCP-Lease von einer vorherigen Zuordnung besitzt. Die Fehlermeldung kann wie im folgenden Beispiel aussehen:
DTL-1-ARP_POISON_DETECTED: STA [00:01:02:0e:54:c4, 0.0.0.0] ARP (op 1) received with invalid SPA 192.168.1.152/TPA 192.168.0.206
Diese Bedingung hat zur Folge, dass der Client keinen Datenverkehr senden oder empfangen kann, bis er eine DHCP-Verbindung über den WLC herstellt.
Weitere Informationen finden Sie im Abschnitt DTL Messagesim Cisco Wireless LAN Controller System Message Guide.
Frage: LAPs verwenden zum Einschalten kein Power over Ethernet (POE). Die Protokolle werden auf dem Wireless LAN Controller angezeigt:
AP's Interface:1(802.11a) Operation State Down: Base Radio MAC:XX:1X:XX:AA:VV:CD Cause=Low in-line power
Frage: Worum geht es?
A.Dies kann passieren, wenn die Power over Ethernet (PoE)-Einstellungen nicht richtig konfiguriert sind. Wenn ein Access Point, der in den Lightweight-Modus umgewandelt wurde, z. B. ein AP1131 oder AP1242, oder ein Access Point der Serie 1250 von einem Power Injector mit Strom versorgt wird, der mit einem Cisco Pre-Intelligent Power Management (Pre-IPM) Switch verbunden ist, müssen Sie Power over Ethernet (PoE) konfigurieren, auch bekannt als Inline-Stromversorgung.
Weitere Informationen finden Sie unter Configure Power over Ethernet, Ethernet Support.
Frage: Diese Meldung wird auf dem Wireless LAN Controller (WLC) angezeigt:
*Mar 05 10:45:21.778: %LWAPP-3-DISC_MAX_AP2: capwap_ac_sm.c:1924 Dropping primary discovery request from
AP XX:1X:XX:AA:VV:CD - maximum APs joined 6/6
Frage: Was bedeutet das?
A.Lightweight Access Points verfolgen einen bestimmten Algorithmus, um einen Controller zu finden. Der Erkennungs- und Zusammenführungsprozess wird ausführlich unter Lightweight AP (LAP)-Registrierung bei einem Wireless LAN Controller (WLC) beschrieben.
Diese Fehlermeldung wird auf dem WLC angezeigt, wenn er eine Erkennungsanforderung empfängt, nachdem er seine maximale AP-Kapazität erreicht hat.
Wenn der primäre Controller für eine LAP nicht konfiguriert ist oder es sich um eine neue, sofort einsatzbereite LAP handelt, sendet diese LWAPP-Erkennungsanforderungen an alle erreichbaren Controller. Wenn die Erkennungsanforderungen einen Controller erreichen, der mit seiner vollen AP-Kapazität ausgeführt wird, erhält der WLC die Anforderungen und erkennt, dass er seine maximale AP-Kapazität erreicht hat und nicht auf die Anforderung reagiert, und gibt diesen Fehler aus.
Frage: Wo finde ich weitere Informationen zu den Systemmeldungen von LWAPP?
A.Weitere Informationen zu den LWAPP-Systemmeldungen finden Sie im Cisco Wireless LAN Controller System Message Guide, 4.2 (Reretien).
Frage: Die Fehlermeldung Fehler beim Extrahieren der Webauthentifizierungsdateien wird auf dem Wireless LAN Controller (WLC) angezeigt. Was bedeutet das?
A.WLC kann kein Paket für benutzerdefinierte Webauthentifizierung/Passthrough laden, wenn eine der gebündelten Dateien mehr als 30 Zeichen im Dateinamen enthält, der die Dateierweiterung enthält. Das benutzerdefinierte Web-Authentifizierungspaket darf maximal 30 Zeichen für Dateinamen enthalten. Stellen Sie sicher, dass keine Dateinamen im Paket mehr als 30 Zeichen enthalten.
F. Wireless LAN-Controller (WLCs) mit Code 5.2 oder 6.0 und einer großen Anzahl von AP-Gruppen. In der Web-GUI werden nicht alle konfigurierten AP-Gruppen angezeigt. Worum geht es?
A.Wenn Sie den CLI-show wlan ap-groupsBefehl verwenden, werden die fehlenden AP-Gruppen angezeigt.
Fügen Sie der Liste eine weitere AP-Gruppe hinzu. Beispielsweise wurden 51 AP-Gruppen bereitgestellt, und der 51. fehlt (Seite 3). Fügen Sie die 52. Gruppe hinzu, und Seite 3 muss in der Web-GUI angezeigt werden.
Um dieses Problem zu beheben, führen Sie ein Upgrade auf WLC Version 7.0.220.0 durch.
Zugehörige Informationen
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
2.0 |
09-Feb-2023 |
Aktualisiertes Format, korrigierter CCW-Status. Rezertifizierung. |
1.0 |
23-Apr-2007 |
Erstveröffentlichung |