Häufig gestellte Fragen: Wireless LAN Controller (WLC)-Fehler und Systemmeldungen

Frage: Ein LWAPP-AP (Lightweight Access Point Protocol) kann seinen Controller nicht verbinden. Im Protokoll des Wireless LAN-Controllers (WLC) wird eine Meldung wie diese angezeigt: "LWAPP Join-Request does not include valid certificate in CERTIFICATE_PAYLOAD from AP 00:0b:85:68:ab:01". Warum ist das so?

A.Sie können diese Fehlermeldung empfangen, wenn der LWAPP-Tunnel zwischen dem AP und dem WLC einen Netzwerkpfad mit einer MTU unter 1500 Byte durchläuft. Dies führt zur Fragmentierung der LWAPP-Pakete. Dies ist ein bekannter Fehler im Controller. Siehe Cisco bug IDCSCsd39911.

Die Lösung besteht darin, die Controller-Firmware auf 4.0(155) zu aktualisieren.

Hinweis: Nur registrierte Cisco Benutzer können auf interne Informationen zu Fehlern und Tools von Cisco zugreifen.

Frage: Ich möchte ein Gast-Tunneling zwischen meinem internen Controller und dem virtuellen Anker-Controller in der DMZ (De-Militarized Zone) einrichten. Wenn ein Benutzer jedoch versucht, eine Verbindung mit einer Gast-SSID herzustellen, kann er die IP-Adresse nicht wie erwartet von der DMZ erhalten. Aus diesem Grund wird der Benutzerdatenverkehr nicht über Tunnel an den Controller der DMZ geleitet. Die Ausgabe des Befehls debug mobile handoff zeigt eine ähnliche Meldung an: Security Policy Mismatch for WLAN <WLAN-ID>. Anker-Exportanforderung von Switch-IP: <IP-Adresse des Controllers> ignoriert. Wo liegt das Problem?

A.Gast-Tunneling bietet zusätzliche Sicherheit für den Gastbenutzerzugriff auf das Wireless-Netzwerk des Unternehmens. Dadurch wird sichergestellt, dass Gastbenutzer nicht auf das Unternehmensnetzwerk zugreifen können, ohne zuvor die Firewall des Unternehmens zu passieren. Wenn ein Benutzer einem WLAN zugeordnet wird, das als Gast-WLAN festgelegt wurde, wird der Benutzerdatenverkehr an den WLAN-Controller getunnelt, der sich in der DMZ außerhalb der Unternehmens-Firewall befindet.

Angesichts dieses Szenarios kann es mehrere Gründe geben, warum dieser Gast-Tunneling-Vorgang nicht wie erwartet funktioniert. Wie die Ausgabe des Befehls debuggt andeutet, kann das Problem in der Diskrepanz zwischen den Sicherheitsrichtlinien bestehen, die für das jeweilige WLAN sowohl intern als auch in den DMZ-Controllern konfiguriert wurden. Überprüfen Sie, ob die Sicherheitsrichtlinien und andere Einstellungen, z. B. die Timeout-Einstellungen für Sitzungen, übereinstimmen.

Ein weiterer häufiger Grund für dieses Problem ist, dass der DMZ-Controller für dieses spezielle WLAN nicht fest mit sich selbst verbunden ist. Damit ein Gast-Tunneling ordnungsgemäß funktioniert und die DMZ die IP-Adresse des Benutzers verwaltet (d. h. des Benutzers, der zu einem Gast-WLAN gehört), muss für dieses spezielle WLAN eine korrekte Verankerung durchgeführt werden.

Frage: Ich sehe viele "CPU Receive Multicast Queue is full on Controller"-Meldungen auf dem 2006 Wireless LAN Controller (WLC), aber nicht auf den 4400 WLCs. Warum ist das so? Ich habe Multicast auf den Controllern deaktiviert. Worin besteht der Unterschied beim Grenzwert für Multicast-Warteschlangen zwischen den WLC-Plattformen 2006 und 4400?

A.Da Multicast auf den Controllern deaktiviert ist, können die Meldungen, die diesen Alarm auslösen, ARP-Meldungen (Address Resolution Protocol) sein. Bei der Warteschlangentiefe (512 Pakete) bestehen keine Unterschiede zwischen den 2.000 WLCs und den 4.400 WLCs. Der Unterschied besteht darin, dass die NPU der Serie 4400 ARP-Pakete filtert, während beim 2006 alles über Software abgewickelt wird. Dies erklärt, warum der WLC von 2006 die Meldungen sieht, nicht aber den 4400 WLC. Ein 44xx WLC verarbeitet Multicast-Pakete über die Hardware (über die CPU). Ein 2000 WLC verarbeitet Multicast-Pakete über Software. Die CPU-Verarbeitung ist effizienter als die Software. Daher wird die Warteschlange der 4400er-Jahre schneller gelöscht, während der WLC 2006 ein wenig Probleme hat, wenn er viele dieser Nachrichten sieht.

Frage: Die Fehlermeldung "[SECURITY] apf_foreignap.c 763: STA [00:0A:E4:36:1F:9B] Received a packet on port 1 but no Foreign AP configured for this port." wird in einem meiner Controller angezeigt. Was bedeutet dieser Fehler, und welche Schritte muss ich unternehmen, um ihn zu beheben?

A.Diese Meldung wird angezeigt, wenn der Controller eine DHCP-Anfrage für eine MAC-Adresse empfängt, für die er keinen Statuscomputer hat. Dies wird häufig von einer Bridge oder einem System aus gesehen, auf dem eine virtuelle Maschine wie VMWare ausgeführt wird. Der Controller nimmt DHCP-Anfragen entgegen, da er DHCP-Snooping durchführt, um zu ermitteln, welche Adressen Clients zugewiesen sind, die mit seinen Access Points (APs) verbunden sind. Der gesamte Datenverkehr für die Wireless-Clients läuft über den Controller. Wenn das Ziel eines Pakets ein Wireless-Client ist, wird es an den Controller weitergeleitet und dann über den LWAPP-Tunnel (Lightweight Access Point Protocol) an den AP und an den Client weitergeleitet. Um diese Meldung zu lindern, können Sie z. B. festlegen, dass die auf dem Controller verwendeten VLANs nur auf den Trunk zugreifen dürfen, der mit dem Befehl witchport vlan allowauf dem Switch zum Controller führt.

Frage: Warum wird diese Fehlermeldung auf der Konsole angezeigt: Meldung 'Set Default Gateway' of System Table failed, Id = 0x0050b986 error value = 0xfffffffc?

A.Dies kann auf eine hohe CPU-Last zurückzuführen sein. Wenn die Controller-CPU stark ausgelastet ist, z. B. wenn Dateien kopiert oder andere Aufgaben ausgeführt werden, hat sie keine Zeit, alle ACKs zu verarbeiten, die die NPU als Reaktion auf Konfigurationsnachrichten sendet. In diesem Fall generiert die CPU Fehlermeldungen. Die Fehlermeldungen wirken sich jedoch nicht auf den Dienst oder die Funktionalität aus.

Weitere Informationen finden Sie unter Cisco Wireless LAN Controller.

Frage: Ich erhalte die folgenden WEP-Fehlermeldungen (Wired Equivalent Privacy) auf meinem Wireless Control System (WCS): Der WEP-Schlüssel, der auf der Station konfiguriert wurde, kann falsch sein. Die MAC-Adresse der Station lautet "xx:xx:xx:xx:xx:xx:xx", die MAC-Adresse der AP-Basisfunkstelle lautet "xx:xx:xx:xx:xx:xx:xx", und die Steckplatz-ID lautet "1". Ich verwende jedoch WEP nicht als Sicherheitsparameter in meinem Netzwerk. Ich verwende nur Wi-Fi Protected Access (WPA). Warum erhalte ich diese WEP-Fehlermeldungen?

A.Wenn alle Ihre sicherheitsrelevanten Konfigurationen perfekt sind, sind die Nachrichten, die Sie jetzt erhalten wegen Bugs. Es gibt einige bekannte Fehler im Controller. Weitere Informationen finden Sie unter dem Cisco Bug IDCSCse17260 und Cisco but ID CSCse1202, in dem es heißt: "Der an der Station konfigurierte WEP-Schlüssel kann bei WPA- bzw. TKIP-Clients falsch sein." Die Cisco Bug-ID CSCse17260 ist ein Duplikat der Cisco Bug-ID CSCse1202. Die Fehlerbehebung für Cisco, aber mit der ID CSCse1202ist bereits in WLC Version 3.2.171.5 verfügbar.

Hinweis: Die neuesten WLC-Versionen haben eine Korrektur für diese Fehler.

Hinweis: Nur registrierte Cisco Benutzer können auf interne Fehlerinformationen und Tools von Cisco zugreifen.

Frage: Ich verwende einen externen RADIUS-Server, um Wireless-Clients über den Controller zu authentifizieren. Der Controller sendet regelmäßig diese Fehlermeldung: Es antworten keine Radius-Server. Warum werden diese Fehlermeldungen angezeigt?

A.Wenn eine Anfrage vom WLC an den RADIUS-Server geht, hat jedes Paket eine Sequenznummer, auf die der WLC eine Antwort erwartet. Wenn keine Antwort erfolgt, wird eine Meldung angezeigt, die anzeigt, dass radius-server nicht reagiert.

Die Standardzeit für die Rückmeldung des WLC vom RADIUS-Server beträgt 2 Sekunden. Diese Einstellung erfolgt über die WLC-GUI unter Security > authentication-server. Der Maximalwert beträgt 30 Sekunden. Daher kann es hilfreich sein, diesen Timeoutwert auf seinen Maximalwert festzulegen, um dieses Problem zu beheben.

Manchmal führen die RADIUS-Server "silent discards" des Anforderungspakets aus, das vom WLC kommt. Der RADIUS-Server kann diese Pakete aufgrund von Zertifikatskonflikten und aus verschiedenen anderen Gründen ablehnen. Dies ist eine gültige Aktion des Servers. Außerdem kann der Controller in solchen Fällen den RADIUS-Server als nicht antwortend markieren.

Deaktivieren Sie die aggressive Failover-Funktion im WLC, um das Problem mit den automatischen Verwerfungen zu beheben.

Wenn in WLC die aggressive Failover-Funktion aktiviert ist, ist der WLC zu aggressiv, um den AAA-Server als nicht antwortend zu markieren. Dies darf jedoch nicht geschehen, da der AAA-Server nicht nur auf diesen bestimmten Client reagieren kann (er verwirft unbeaufsichtigt). Es kann eine Antwort auf andere gültige Clients (mit gültigen Zertifikaten) sein. Der WLC kann den AAA-Server jedoch weiterhin als nicht antwortend und nicht funktionsfähig markieren.

Um dies zu vermeiden, deaktivieren Sie die aggressive Failover-Funktion. Führen Sie den Befehl config radius aggressive-failover disable aus der CLI des Controllers aus, um dies auszuführen. Wenn diese Option deaktiviert ist, führt der Controller nur dann einen Failover zum nächsten AAA-Server durch, wenn drei aufeinander folgende Clients keine Antwort vom RADIUS-Server erhalten.

F. Mehrere Clients können keine Verbindung zu einem LWAPP herstellen, und der Controller protokolliert die Fehlermeldung "IAPP-3-MSGTAG015: iappSocketTask: iappRecvPkt", die eine Fehlermeldung zurückgibt. Warum passiert das?

A.Dies ist meistens auf ein Problem mit den Intel Adaptern zurückzuführen, die CCX v4 unterstützen, aber ein Client-Paket vor Version 10.5.1.0 ausführen. Wenn Sie die Software auf 10.5.1.0 oder höher aktualisieren, wird dieses Problem behoben. Weitere Informationen zu dieser Fehlermeldung finden Sie unter Cisco bug IDCSCsi91347.

Hinweis: Nur registrierte Cisco Benutzer können auf interne Fehlerinformationen und Tools von Cisco zugreifen.

Frage: Diese Fehlermeldung wird auf dem Wireless LAN Controller (WLC) angezeigt: Reached Max EAP-Identity Request retries (21) für STA 00:05:4e:42:ad:c5. Warum ist das so?

A.Diese Fehlermeldung wird angezeigt, wenn der Benutzer versucht, eine Verbindung zu einem EAP-geschützten WLAN-Netzwerk herzustellen, und die vorkonfigurierte Anzahl von EAP-Versuchen fehlgeschlagen ist. Wenn der Benutzer sich nicht authentifiziert, schließt der Controller den Client aus, und der Client kann keine Verbindung mit dem Netzwerk herstellen, bis der Ausschluss-Timer abläuft oder vom Administrator manuell außer Kraft gesetzt wird.

Der Ausschluss erkennt Authentifizierungsversuche, die von einem einzelnen Gerät unternommen werden. Wenn dieses Gerät eine maximale Anzahl von Fehlern überschreitet, kann diese MAC-Adresse nicht mehr zugeordnet werden.

Der Ausschluss tritt ein:

• Nach 5 aufeinander folgenden Authentifizierungsfehlern für gemeinsam genutzte Authentifizierungen (6. Versuch ausgeschlossen)

• Nach fünf aufeinander folgenden Zuordnungsfehlern für die MAC-Authentifizierung (6. Versuch ist ausgeschlossen)

• Nach drei aufeinander folgenden EAP/802.1X-Authentifizierungsfehlern (vierter Versuch ausgeschlossen)

• Externer Policy Server-Fehler (NAC)

• Jede Instanz mit IP-Adressduplizierung

• Nach drei aufeinander folgenden Web-Authentifizierungsfehlern (vierter Versuch ausgeschlossen)

Der Timer für die Dauer des Client-Ausschlusses kann konfiguriert werden. Der Ausschluss kann auf Controller- oder WLAN-Ebene aktiviert oder deaktiviert werden.

Frage: Diese Fehlermeldung wird auf dem Wireless LAN Controller (WLC) angezeigt: Eine Warnmeldung der Kategorie "Switch" wird mit dem Schweregrad 1 von Switch WLCSCH01/10.0.16.5 generiert. Die Warnmeldung lautet Controller "10.0.16.5". RADIUS-Server antworten nicht auf Authentifizierungsanforderungen. Worum geht es?

A.Mögliche Ursache: Cisco Bug-ID CSCsc05495. Aufgrund dieses Fehlers fügt der Controller in regelmäßigen Abständen ein falsches AV-Pair (Attribut 24, "Zustand") in Authentifizierungsanforderungsnachrichten ein, die einen RADIUS-RFP verletzen und bei einigen Authentifizierungsservern Probleme verursachen. Dieser Fehler wurde in 3.2.179.6 behoben.

Hinweis: Nur registrierte Cisco Benutzer können auf interne Fehlerinformationen und Tools von Cisco zugreifen.

Frage: Ich erhalte eine Fehlermeldung zu einem Rauschprofil unter Monitor > 802.11b/g Radios (Überwachung > 802.11b/g Funkmodule). Ich möchte verstehen, warum diese Meldung NICHT BESTANDEN angezeigt wird.

A.Der Status Noise Profile FAILED/PASSED wird nach dem vom WLC durchgeführten Testergebnis und im Vergleich zum aktuell eingestellten Grenzwert festgelegt. Standardmäßig ist der Rauschwert auf -70 festgelegt. Der Status FAILED gibt an, dass der Schwellenwert für diesen Parameter oder Access Point (AP) überschritten wurde. Sie können die Parameter im Profil anpassen. Es wird jedoch empfohlen, die Einstellungen zu ändern, nachdem Sie das Netzwerkdesign und die möglichen Auswirkungen auf die Netzwerkleistung verstanden haben.

Die Grenzwerte für "Radio Resource Management (RRM) PASSED/FAILED" (Durchgegangen/Ausgefallen) werden global für alle APs auf den 802.11a Global Parameters > Auto RF (Globale Parameter) und 802.11b/g Global Parameters > Auto RF (Globale Parameter) festgelegt. Die Grenzwerte für RRM PASSED/FAILED (erfolgreich/fehlerhaft) werden für diesen Access Point auf der Seite "802.11 AP Interfaces > Performance Profile" (802.11 AP-Schnittstellen > Leistungsprofil) einzeln festgelegt.

Frage: Port 2 kann nicht als Backup-Port für die AP-Manager-Schnittstelle festgelegt werden. Die zurückgegebene Fehlermeldung lautet: Die Portkonfiguration konnte nicht festgelegt werden. Ich kann Port 2 als Backup-Port für die Management-Schnittstelle festlegen. Der aktive Port für beide Schnittstellen ist derzeit Port 1. Warum ist das so?

A.Ein AP-Manager verfügt über keinen Backup-Port. Früher wurde es in früheren Versionen unterstützt. Ab Version 4.0 wird der Backup-Port für die AP-Manager-Schnittstelle nicht mehr unterstützt. In der Regel muss an jedem Port ein einzelner AP-Manager konfiguriert werden (keine Backups). Wenn Sie Link Aggregation (LAG) verwenden, ist nur ein AP-Manager vorhanden.

Die statische (oder permanente) AP-Manager-Schnittstelle muss dem Port 1 des Verteilungssystems zugewiesen sein und über eine eindeutige IP-Adresse verfügen. Er kann keinem Backup-Port zugeordnet werden. Sie wird in der Regel auf demselben VLAN oder IP-Subnetz wie die Verwaltungsschnittstelle konfiguriert, dies ist jedoch keine Anforderung.

Frage: Ich sehe diese Fehlermeldung: Der AP '00:0b:85:67:6b:b0' hat einen WPA MIC-Fehler auf Protokoll '1' von Station '00:13:02:8d:f6:41' empfangen. Gegenmaßnahmen wurden aktiviert, und der Datenverkehr wurde für 60 Sekunden ausgesetzt. Warum ist das so?

A.Message Integrity Check (MIC), integriert in Wi-Fi Protected Access (WPA), umfasst einen Frame-Zähler, der einen Man-in-the-Middle-Angriff verhindert. Dieser Fehler bedeutet, dass jemand im Netzwerk die Nachricht wiedergeben möchte, die vom ursprünglichen Client gesendet wurde, oder dass der Client fehlerhaft ist.

Wenn ein Client die MIC-Prüfung wiederholt nicht besteht, deaktiviert der Controller das WLAN an der AP-Schnittstelle, an der die Fehler 60 Sekunden lang erkannt werden. Der erste MIC-Fehler wird protokolliert, und ein Timer wird initiiert, um die Durchsetzung der Gegenmaßnahmen zu ermöglichen. Tritt innerhalb von 60 Sekunden nach dem letzten vorherigen Fehler ein nachfolgender MIC-Fehler auf, so muss ein STA, dessen IEEE 802.1X-Einheit als Supplicant agiert hat, sich selbst ungültig machen oder alle STAs mit einer Sicherheitszuordnung ungültig machen, wenn seine IEEE 802.1X-Einheit als Authenticator agiert hat.*

Darüber hinaus empfängt oder sendet das Gerät keine TKIP-verschlüsselten Datenrahmen und keine unverschlüsselten Datenrahmen außer IEEE 802.1X-Nachrichten für einen Zeitraum von mindestens 60 Sekunden, nachdem es den zweiten Fehler entdeckt hat, an oder von einem Peer. Wenn es sich bei dem Gerät um einen Access Point handelt, werden in diesem Zeitraum von 60 Sekunden keine neuen Verbindungen mit TKIP zugelassen. Nach Ablauf dieses Zeitraums von 60 Sekunden nimmt der Access Point den normalen Betrieb wieder auf und ermöglicht den STAs die (erneute) Zuweisung.

Dadurch wird ein möglicher Angriff auf das Verschlüsselungsschema verhindert. Diese MIC-Fehler können in WLC-Versionen vor 4.1 nicht deaktiviert werden. Mit Wireless LAN Controller Version 4.1 und höher gibt es einen Befehl, um die Scan-Zeit für MIC-Fehler zu ändern. Der Befehl isconfig wlan security tkip hold-down <0-60 seconds> <wlan id>. Verwenden Sie den Wert 0, um die MIC-Ausfallerkennung für Gegenmaßnahmen zu deaktivieren.

*Ungültig: Authentifizierung beenden.

Frage: Diese Fehlermeldung wird in meinen Controller-Protokollen angezeigt: [ERROR] dhcp_support.c 357: dhcp_bind(): servPort dhcpstate failed. Warum ist das so?

A.Diese Fehlermeldungen treten meistens dann auf, wenn auf dem Service-Port des Controllers DHCP aktiviert ist, aber keine IP-Adresse von einem DHCP-Server empfangen wird.

Standardmäßig ist auf der physischen Service-Port-Schnittstelle ein DHCP-Client installiert, und es wird nach einer Adresse über DHCP gesucht. Der WLC versucht, eine DHCP-Adresse für den Service-Port anzufordern. Wenn kein DHCP-Server verfügbar ist, schlägt eine DHCP-Anfrage für den Service-Port fehl. Dadurch werden die Fehlermeldungen erzeugt.

Die Problemumgehung besteht darin, eine statische IP-Adresse für den Service-Port zu konfigurieren (auch wenn der Service-Port nicht angeschlossen ist) oder einen DHCP-Server zur Verfügung zu haben, um dem Service-Port eine IP-Adresse zuzuweisen. Laden Sie dann ggf. den Controller neu.

Der Service-Port ist für das Out-of-Band-Management des Controllers, die Systemwiederherstellung und die Wartung bei Netzwerkausfällen reserviert. Er ist auch der einzige aktive Port, wenn sich der Controller im Startmodus befindet. Der Service-Port kann keine 802.1Q-Tags tragen. Aus diesem Grund muss er mit einem Access-Port am benachbarten Switch verbunden werden. Die Verwendung des Service-Ports ist optional.

Die Service-Port-Schnittstelle steuert die Kommunikation über und wird vom System statisch dem Service-Port zugeordnet. Er muss über eine IP-Adresse in einem anderen Subnetz als das Management, der AP-Manager und alle dynamischen Schnittstellen verfügen. Außerdem kann sie keinem Backup-Port zugeordnet werden. Der Service-Port kann DHCP verwenden, um eine IP-Adresse abzurufen, oder ihm kann eine statische IP-Adresse zugewiesen werden, aber der Service-Port-Schnittstelle kann kein Standard-Gateway zugewiesen werden. Über den Controller können statische Routen für den Remote-Netzwerkzugriff auf den Service-Port definiert werden.

Frage: Meine Wireless-Clients können keine Verbindung zum Wireless LAN (WLAN)-Netzwerk herstellen. Das WiSM, mit dem der Access Point (AP) verbunden ist, meldet folgende Meldung: Big NAV Dos-Angriff von AP mit Base Radio MAC 00:0g:23:05:7d:d0, Slot ID 0 und Source MAC 00:00:00:00:00:00. Was bedeutet das?

A.Als Bedingung für den Zugriff auf das Medium überprüft die MAC-Schicht den Wert ihres Netzwerkzuweisungsvektors (NAV). Der NAV ist ein Zähler, der sich an jeder Station befindet und den Zeitraum angibt, den der vorherige Frame benötigt, um seinen Frame zu senden. Der NAV muss 0 sein, bevor eine Station versuchen kann, einen Frame zu senden. Vor der Übertragung eines Frames berechnet eine Station die Zeit, die zum Senden des Frames erforderlich ist, basierend auf der Frame-Länge und der Datenrate. Die Workstation platziert einen Wert, der diese Zeit darstellt, im Feld für die Dauer in der Kopfzeile des Frames. Wenn die Stationen den Frame empfangen, überprüfen sie diesen Wert im Feld für die Dauer und verwenden ihn als Grundlage für die Festlegung der entsprechenden NAVs. Dieser Vorgang reserviert das Medium für die sendende Station.

Ein hoher NAV weist auf einen überhöhten NAV-Wert hin (Virtual Carrier Sense Mechanism für 802.11). Wenn die gemeldete MAC-Adresse 00:00:00:00:00:00 lautet, ist sie wahrscheinlich gefälscht (möglicherweise ein echter Angriff), und Sie müssen dies mit einer Paketerfassung bestätigen.

Frage: Nach der Konfiguration und dem Neustart des Controllers kann ich nicht mehr im sicheren Web-Modus (HTTPS) auf den Controller zugreifen. Diese Fehlermeldung wird angezeigt, wenn ich versuche, auf den sicheren Webmodus des Controllers zuzugreifen: Sicheres Web: Web-Authentifizierungszertifikat nicht gefunden (Fehler). Was ist der Grund für dieses Problem?

A.Dieses Problem kann aus verschiedenen Gründen auftreten. Ein häufiger Grund kann in der Konfiguration der virtuellen Schnittstelle des Controllers liegen. Um dieses Problem zu beheben, entfernen Sie die virtuelle Schnittstelle, und generieren Sie sie dann mit dem folgenden Befehl neu:

WLC>config interface address virtual 1.1.1.1

Starten Sie dann den Controller neu. Nachdem der Controller neu gestartet wurde, generieren Sie das Webauthentifizierungszertifikat lokal auf dem Controller mit dem folgenden Befehl:

WLC>config certificate generate webauth

In der Ausgabe dieses Befehls wird die folgende Meldung angezeigt: Das Webauthentifizierungszertifikat wurde generiert.

Sie können nun nach dem Neustart auf den sicheren Webmodus des Controllers zugreifen.

Q. Controller melden manchmal diese IDS Disassociation Flood Signature Attack-Warnmeldung für gültige Clients, bei denen die MAC-Adresse des Angreifers die eines mit diesem Controller verbundenen Access Points (AP) ist: Warnung: IDS 'Disassoc flood' Signature attack detected on AP '<AP name>' protocol '802.11b/g' on Controller 'x.x.x.x'. Die Signaturbeschreibung lautet 'Disassociation Flood', mit dem Vorrang 'x'. Die MAC-Adresse des Angreifers lautet "hh:hh:hh:hh:hh:hh", die Kanalnummer lautet "x", und die Anzahl der Erkennungen ist "x". Warum passiert das?

A.Grund hierfür ist der Cisco-Bug IDCSCsg81953 .   

Hinweis: Nur registrierte Cisco Benutzer können auf interne Fehlerinformationen und Tools von Cisco zugreifen.

IDS Disassociation Flood-Angriffe gegen gültige Clients werden manchmal gemeldet, wenn die MAC-Adresse des Angreifers die eines APs ist, der mit diesem Controller verbunden ist.

Wenn ein Client mit dem WAP verbunden ist, aber die Kommunikation aufgrund der Kartenentfernung beendet, befindet er sich außerhalb der Reichweite usw. des WAP, und der WAP wartet bis zum Timeout bei Inaktivität. Sobald der Timeout für Leerlauf erreicht ist, sendet der WAP dem Client einen separaten Frame. Wenn der Client den separaten Frame nicht bestätigt, sendet der Access Point den Frame mehrmals (ca. 60 Frames). Das IDS-Subsystem des Controllers hört diese Neuübertragungen und Warnungen mit dieser Nachricht.

Dieser Fehler wurde in Version 4.0.217.0 behoben. Aktualisieren Sie Ihre Controller-Version auf diese Version, um diese Warnmeldung bei gültigen Clients und APs zu überwinden.

Frage: Ich erhalte diese Fehlermeldung im Syslog des Controllers: [WARNUNG] apf_80211.c 2408: Es wurde eine Meldung mit einer ungültigen unterstützten Rate von der Station <xx:xx:xx:xx:xx:xx:xx> [ERROR] apf_utils.c 198: Missing Supported Rate. Warum ist das so?

A.Eigentlich weisen fehlende unterstützte Übertragungsraten darauf hin, dass der WLC für bestimmte erforderliche Datenübertragungsraten unter den Wireless-Einstellungen konfiguriert ist, dass die NIC-Karte jedoch nicht über die erforderliche Übertragungsrate verfügt.

Wenn Sie Datenraten wie 1 und 2M für den Controller festgelegt haben, aber die NIC-Karte nicht über diese Datenraten kommuniziert, können Sie diese Art von Nachricht empfangen. Dies ist ein Fehlverhalten der Netzwerkkarte. Wenn Ihr Controller jedoch 802.11g unterstützt und der Client eine 802.11b(only)-Karte ist, handelt es sich um eine legitime Nachricht. Wenn diese Nachrichten keine Probleme verursachen und die Karten immer noch eine Verbindung herstellen können, können diese Nachrichten ignoriert werden. Wenn die Meldungen kartenspezifisch sind, stellen Sie sicher, dass der Treiber für diese Karte aktuell ist.

Frage: Diese Syslog-AP:001f.ca26.bfb4: %LWAPP-3-CLIENTERRORLOG: Decode Msg: could not match WLAN ID <id>-Fehlermeldung wird in unserem Netzwerk gesendet. Warum passiert das und wie kann ich es stoppen?

A.Diese Nachricht wird von den LAPs gesendet. Dies wird angezeigt, wenn Sie die WLAN-Änderungsfunktion für ein WLAN konfiguriert haben und dieses spezielle WLAN nicht angekündigt wird.

Konfigurieren Sie ap syslog host global 0.0.0.0, um es zu beenden, oder Sie können eine bestimmte IP-Adresse eingeben, wenn Sie einen Syslog-Server haben, sodass die Nachricht nur an den Server gesendet wird.

Frage: Ich erhalte diese Fehlermeldung auf meinem Wireless LAN Controller (WLC): [ERROR] Datei: apf_mm.c : Zeile: 581 : Kündige Kollision für Mobilgeräte 00:90:7a:05:56:8a, löschen. Warum ist das so?

A.Im Allgemeinen zeigt diese Fehlermeldung an, dass der Controller Kollisionen für einen Wireless-Client angekündigt hat (d. h. dass separate APs den Client ankündigen), und dass der Controller keine Übergabe von einem AP zum nächsten erhalten hat. Es ist kein Netzwerkstatus zu verwalten. Löschen Sie den Wireless-Client, und versuchen Sie es erneut. Tritt dieses Problem häufig auf, kann es zu Problemen mit der Mobilitätskonfiguration kommen. Andernfalls kann es sich um eine Anomalie handeln, die mit einem bestimmten Kunden oder einer bestimmten Bedingung in Zusammenhang steht.

Frage: Mein Controller löst diese Warnmeldung aus: Abdeckungsschwellenwert von '12' überschritten. Worum handelt es sich bei diesem Fehler, und wie kann er behoben werden?

A.Diese Alarmmeldung wird ausgelöst, wenn ein Signal-Rausch-Verhältnis (SNR) des Clients auf einen Wert fällt, der unter dem SNR-Schwellenwert für die jeweilige Funkeinheit liegt. 12 ist der SNR-Standardschwellenwert für die Erkennung von Abdeckungslöchern.

Der Algorithmus zur Erkennung und Korrektur von Abdeckungslöchern bestimmt, ob Abdeckungslöcher vorhanden sind, wenn die SNR-Pegel von Clients unter einem bestimmten SNR-Schwellenwert liegen. Dieser SNR-Schwellenwert hängt von zwei Werten ab: der AP-Übertragungsleistung und dem Abdeckungsprofilwert des Controllers.

Im Detail wird der Client-SNR-Schwellenwert durch die Übertragungsleistung jedes Access Points (dargestellt in dBm) minus dem konstanten Wert von 17 dBm minus dem vom Benutzer konfigurierbaren Wert für das Abdeckungsprofil definiert (dieser Wert wird standardmäßig auf 12 dB festgelegt).

• Client SNR-Abschaltwert (|dB|) = [AP-Übertragungsleistung (dBm) - Konstante (17 dBm) - Abdeckungsprofil (dB)]

Auf diesen vom Benutzer konfigurierbaren Wert für das Abdeckungsprofil kann folgendermaßen zugegriffen werden:

1. Wechseln Sie in der WLC-GUI zur Hauptüberschrift Wireless, und wählen Sie auf der linken Seite die gewünschte Netzwerkoption für den WLAN-Standard aus (802.11a oder 802.11b/g). Wählen Sie dann oben rechts im Fenster die Option Auto RF aus.

2. Suchen Sie auf der Seite "Auto RF Global Parameters" den Abschnitt Profile Thresholds. In diesem Abschnitt finden Sie den Coverage-Wert (3 bis 50 dBm). Dieser Wert ist der vom Benutzer konfigurierbare Wert für das Abdeckungsprofil.

3. Dieser Wert kann geändert werden, um den Client SNR-Schwellenwert zu beeinflussen. Die andere Möglichkeit, diese SNR-Schwelle zu beeinflussen, besteht darin, die Übertragungsleistung zu erhöhen und die Erkennung von Abdeckungslöchern zu kompensieren.

Frage: Ich verwende ACS 4.1 und einen 4402 Wireless LAN Controller (WLC). Wenn der WLC versucht, einen Wireless-Client für ACS 4.1 MAC-zu authentifizieren, antwortet der ACS nicht mit dem ACS und meldet die folgende Fehlermeldung: " Internal error has present " (Interner Fehler ist aufgetreten). Ich habe alle meine Konfigurationen korrekt konfiguriert. Warum tritt dieser interne Fehler auf?

A.Im ACS 4.1 gibt es einen authentifizierungsbezogenen Cisco Bug IDCSCsh62641, wobei der ACS denInternal error has cierderror meldet.

Dieser Fehler kann das Problem sein. Für diesen Fehler ist auf der ACS 4.1 Downloads-Website ein Patch verfügbar, der das Problem beheben kann.

Hinweis: Nur registrierte Cisco Benutzer können auf interne Fehlerinformationen und Tools von Cisco zugreifen.

Frage: Der Cisco Wireless LAN Controller (WLC) der Serie 4400 kann nicht gestartet werden. Diese Fehlermeldung wird auf dem Controller empfangen: ** Die Seite 0:4 kann nicht für Fatload verwendet werden ** Fehler (kein IRQ) dev 0 blk 0: status 0x51 Fehlerreg: 10 ** Kann nicht von Gerät 0 gelesen werden. Warum ist das so?

A.Der Grund für diesen Fehler kann ein Hardwareproblem sein. Öffnen Sie ein TAC-Ticket, um dieses Problem weiter zu beheben. Um ein TAC-Ticket zu erstellen, benötigen Sie einen gültigen Vertrag mit Cisco. Wenden Sie sich an den technischen Support, um das Cisco TAC zu kontaktieren.

Frage: Beim Wireless LAN-Controller (WLC) treten Probleme mit dem Speicherpuffer auf. Wenn die Speicherpuffer voll sind, stürzt der Controller ab und muss neu gestartet werden, damit er wieder online ist. Diese Fehlermeldungen werden im Protokoll der Meldung angezeigt: Mon Apr 9 10:41:03 2007 [ERROR] dtl_net.c 506: Out of System buffers Mon Apr 9 10:41:03 2007 [ERROR] sysapi_if_net.c 5 37: Neuer Mbuf kann nicht zugewiesen werden. Mon Apr 9 10:41:03 2007 [ERROR] sysapi_if_net.c 219: MbufGet: no free Mbufs. Warum ist das so?

A.Dies ist auf den Cisco Bug IDCSCsh93980 zurückzuführen. Dieser Fehler wurde in WLC Version 4.1.185.0 behoben. Aktualisieren Sie Ihren Controller auf diese Softwareversion oder höher, um diese Meldung zu überwinden.

Hinweis: Nur registrierte Cisco Benutzer können auf interne Fehlerinformationen und Tools von Cisco zugreifen.

Frage: Ich habe den Code unseres Wireless LAN Controllers (WLC) 4400s auf 4.1 aktualisiert, und unser Syslog wurde mit folgenden Meldungen bombardiert: May03 03:55:49.591 dtl_net.c:1191 DTL-1-ARP_POISON_DETECTED: STA [00:17:f2:43:26:93, 0.0.0.0] ARP (op 1) mit ungültigem SPA 192.168.1.233/TPA 192.168.1.233 empfangen. Worauf deuten diese Meldungen hin?