设为首页 收藏本站
云服务器等爆品抢先购,低至4.2元/月
查看: 3304|回复: 0

[经验分享] 思科1242 AP无法连接到无线控制器

[复制链接]
累计签到:1 天
连续签到:1 天
发表于 2017-3-21 13:25:35 | 显示全部楼层 |阅读模式
思科1242 AP 证书有效期为10年,如果证书到期后,
首先,把WLC升级成ios 7.4.140或者8.0.120以上版本,
其次,在WLC上输入以下命令关闭AP证书的检测功能

config apcert-expiry-ignore {mic|ssc} enable(注意:这个命令只有IOS 7.4.140或者8.0.120以上才有的)

最后,在WLC上设置一下,让AP下载WLC的证书即可
iyunv.com-2017-3-2133.png
这样AP就可以正常注册到WLC,本人亲测,欢迎转载~
LAP / WLC MIC或SSC寿命到期导致DTLS故障

描述
症状:无线接入点无法连接到无线局域网控制器。
症状1(AP的证书已过期):
在加入失败时,WLC的msglog可能显示类似
如下的消息:
Jul 10 16:13:52.443 spam_lrad.c:6164 LWAPP-3-PAYLOAD_ERR:加入请求证书有效负载中不包含有效证书
- AP 00:11:22:33:44:55
症状2(WLC的制造安装证书已过期):
WLC的MIC过期后,当前加入的AP CAPWAP会话将保持建立。
但是,一旦AP需要重新建立CAPWAP连接,它将失败。
AP记录器将显示类似于以下内容的消息:
* Oct 29 18:01:56.107:%PKI-3-CERTIFICATE_INVALID_EXPIRED:证书链验证失败。
证书(SN:7E3446C40000000CBD95)已过期。有效期结束于14:38:08 UTC十月
26 2021Peer证书验证失败001A
* 10月29日18:01:56.107:DTLS_CLIENT_ERROR:../
capwap/base_capwap /capwap/base_capwap_wtp_dtls.c:496 证书验证失败!
* Oct 29 18:01:56.107:%DTLS-5-SEND_ALERT:发送致命:错误证书警报至192.168.10.10:5246
* 10月29日18:01:56.107:%DTLS-5-SEND_ALERT:发送致命:到192.168.10.10:5246
在WLC端,你只会看到这样的消息:
* osapiBsnTimer:Oct 29 11:05:04.571:#DTLS-3-HANDSHAKE_FAILURE:openssl_dtls.c:2962
无法完成与对等体的DTLS握手192.168.202.8
条件:此症状将在设备制造日期10年后发生
2005年7月制造了具有MIC的最早的AP(1120,1130,1230,1310系列),
因此这些AP将无法从2015年7月开始加入AireOS控制器。
这个问题在制造日期后约10年也影响WLC
对于使用由升级工具生成的自签名证书(SSCs)的AP,症状将发生在2020年1月1日。
要确定何时创建AP的MIC,请在WLC上运行此命令以查找SN:
(Cisco控制器)> show ap inventory all
库存lap1130-sw3-9
名称:“思科AP”,DESCR:“思科无线接入点”
PID:AIR-LAP1131AG-E-K9,VID:V01,
FCZ1128Q0PE 名:“Dot11Radio0”,DESCR:“802.11G无线”
PID:未知,VID:,SN:GAM112706LC
名字:“Dot11Radio1”,DESCR:“802.11a无线电”
PID:未知,VID:,SN:ALP112706LC
美联社底盘SN位于输出的第一部分,例如:PID:AIR-LAP1131AG-E-K9,VID:V01,SN:FCZ1128Q0PE
序列号格式为:“LLLYYWWSSSS”; 其中“YY”是制造年份,“WW”是制造周期。日期代码可以在序列号的4个中间数字中找到。
制造年份代码:
01 = 1997 06 = 2002 11 = 2007 16 = 2012
02 = 1998 07 = 2003 12 = 2008 17 = 2013
03 = 1999 08 = 2004 13 = 2009 18 = 2014
04 = 2000 09 = 2005 14 = 2010
05 = 2001 10 = 2006年15 = 2011
制造周代码:
1-5:1月15日至18日:4月28日至31日7月41-44:年10月
6-9:2月19日至22日:32-35五月八月45-48:十一月
10- 14:3月23 - 27日:6月36-40:9月49-52:12
示例:SN FCZ1128Q0PE的年代码为11,意味着它于2007年制造。周代码为12,意味着它在3月制造。
还可以使用Prime Infrastructure Reporting找到所有AP的SN的SN。
解决方法:
CCO for 7.0,7.4,8.x中提供了带有修订的代码
对于7.6,
您可以联系TAC获取升级代码,尽管建议转移到8.0以备将来支持在故障情况下恢复AP:
注意:此解决方法应仅用于允许已过期证书的AP加入WLC足够长时间升级软件。
如果证书已过期,请禁用NTP,然后将WLC时钟时间更改为最近更早的时间,当证书仍然有效时。如果将时钟设置得太远,较新的AP可能无法加入。一旦软件已升级,并且受影响的AP已加入,则WLC时钟应重置为有效时间。
解决方案:
思科已经发布了AireOS 7.0.252.0,并将于2015年4月发布7.4版本的重建版本,并于2015年6月发布8.0版本。
这些重建将实施新的CLI命令,以在WLC上禁用
MIC和SSC的生存期有效性检查。默认情况下,命令将被禁用,即具有过期MIC和SSC的AP将无法加入。
升级到新的重建后,使用新命令禁用
终生有效性检查,允许具有10年以上MIC或SSC的AP 加入。


运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-353111-1-1.html 上篇帖子: cisco vlan详解 下篇帖子: 思科4506E交换机系统升级 控制器 思科 无线
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表