Upload
trandang
View
543
Download
10
Embed Size (px)
Citation preview
シスコサポートコミュニティ Live Expert Webcast
大崎 秀行 (Hideyuki Osaki) テクニカルアシスタンスセンターテクニカルサービス
2014年10月7日
Cisco ワイヤレス製品 (CUWN) のトラブルシューティング
2 copy 2013-2014 Cisco andor its affiliates All rights reserved
投票質問 1
無線を導入したい運用したい売りたいけど何が一番不安ですか
a 干渉による通信断
b 有線より遅い
c クライアントの設定
d WLC の設定
e CUWN 全体のデザイン
f 無線 LAN 経由の攻撃
g 繋がらない場所の発生
h ローミング時の途切れ
i そもそも障害をどう検知把握すればよいのか分からない
j 正直どんな問題が起きるのか予測がつかない
3 copy 2013-2014 Cisco andor its affiliates All rights reserved
無線 LAN で発生する典型的な問題 問題の概要
関連する技術やプロトコル
最初の一歩
次の一歩
想定される原因(想定困難な場合は省略)
最近の要チェックなソフトウェア不具合
Version 80 の運用上要チェックな新機能
Agenda
4 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 無線 LAN で発生する 典型的な問題
5 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が WLC に Join しない
検証時から繋がらない
検証では繋がったのに運用開始すると繋がらない
なんか遅い気がする不定期に駄目になる
有線では通信できるのに無線だとできない
特定のエリアや部屋で繋がらない
新しいデバイスや OS でサービスが使えない
音声が途切れる片方向通話になる無音になる
iPhone iPad が繋がらない
Android の新しいバージョンだけ繋がらない
Windows の新しいバージョンだけ繋がらない
Macbook OS X の新しいバージョンだけ繋がらない
TAC に申請される SR の例 (HW 障害や Crash を除く)
6 copy 2013-2014 Cisco andor its affiliates All rights reserved
7 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
WLC GUI 上で AP が見えない show ap summary に表示されない
show traplog で AP Disassociated と出る
クライアント通信不可報告のある近辺でAP の LED がカラフルに点滅を繰り返している
関連する技術やプロトコル
Control And Provisioning of Wireless Access Points (CAPWAP) ndash RFC 5415
Cisco IOS の基本動作 (ARP DHCP Bridge Dot1Q trunk 等) および有線ネットワークの設定
AP が WLC に Join しない
8 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP は標準化されていてRFC 5415 で公開されているhttptoolsietforghtmlrfc5415
RFC では WLC のことを Access Controller (AC) AP のことを WTP (Wireless Termination Points) と呼ぶ
WTP は Wi-Fi AP に限定されず例えば WiMAX 装置等でも CAPWAP で管理できるように作られている
Wi-Fi もしくは IEEE 80211 への CAPWAP の適用については RFC 5416 で詳細に検討されている
80211 への適用についてはベンダー独自の実装も認められておりvendor specific payload として実装されている
CUWN ではバージョン 52 以降で CAPWAP に移行したそれまでは LWAPP というシスコ独自のプロトコルを使っていた
CUWN では RFC 5415 で必須のメッセージ要素が実装されており標準に準拠している
CAPWAP は国際標準
9 copy 2013-2014 Cisco andor its affiliates All rights reserved
CPAWAP パケットの入力(受信)とステート(状態)に基づいたステートマシン(状態遷移機構)
イベントとステートの組み合わせが正しくない場合はエラーを出力して 受信した CAPWAP パケットが破棄される
Join 時の他に定期的にダイナミックに Path MTU ディスカバリを実施しているICMP code 4 による WLC と AP の間の PMTU 計算を実施しJoin 後も可能な限り大きな MTU を使おうとする
定期的なエコー要求(Heartbeat もしくは Keepalive とも呼ぶ)を実施する
定期的な統計情報アップデート (Rogue CleanAir 等)がある
CAPWAP 制御メッセージの交換は高信頼性がある(TCP のようにリクエストに対してレスポンスがある)
CAPWAP の実装
10 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP ステートマシン (RFC 5415 から転載)
11 copy 2013-2014 Cisco andor its affiliates All rights reserved
簡易版 (各ステートの行き先は決まっている)
START
IDLE DISCOVERY
DTLS Init
DTLS Connect
Authorize DTLS Tear Down
DEAD
JOIN
Configure
Image Data
Validation
RUN
Reset
Sulking
12 copy 2013-2014 Cisco andor its affiliates All rights reserved
Idle ステートマシン初期状態
Discovery AP が Discovery Request を送信しWLC が Response を返すことで Join の候補となる WLC を識別する
Sulking Discovery 失敗時と DTLS 切断時に使うステートここで受信する CAPWAPメッセージは破棄される
DTLS Init セキュアな DTLS セッションをピアと確立し始める
DTLS Authorize DTLS スタックの Authorization (MIC AP 認証)
DTLS Tear Down DTLS セッションが切断される(AP が Join から外れる)
Dead DTLS セッションが完全に破棄される(DTLS の情報が破棄される)
各ステート解説
13 copy 2013-2014 Cisco andor its affiliates All rights reserved
Join WLC へ Join Request を送信する
Configure WLC が AP へ必要なコンフィグを実施する
Data Validation WLC が AP コンフィグの正常性を精査する
Image WLC が AP へ新たな Lightweight IOS (k9w8) をダウンロードする
Reset CAPWAP ステートマシンをリセットする
RUN CAPWAP 制御通信およびデータ通信リンクが確立されている
各ステート解説
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
2 copy 2013-2014 Cisco andor its affiliates All rights reserved
投票質問 1
無線を導入したい運用したい売りたいけど何が一番不安ですか
a 干渉による通信断
b 有線より遅い
c クライアントの設定
d WLC の設定
e CUWN 全体のデザイン
f 無線 LAN 経由の攻撃
g 繋がらない場所の発生
h ローミング時の途切れ
i そもそも障害をどう検知把握すればよいのか分からない
j 正直どんな問題が起きるのか予測がつかない
3 copy 2013-2014 Cisco andor its affiliates All rights reserved
無線 LAN で発生する典型的な問題 問題の概要
関連する技術やプロトコル
最初の一歩
次の一歩
想定される原因(想定困難な場合は省略)
最近の要チェックなソフトウェア不具合
Version 80 の運用上要チェックな新機能
Agenda
4 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 無線 LAN で発生する 典型的な問題
5 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が WLC に Join しない
検証時から繋がらない
検証では繋がったのに運用開始すると繋がらない
なんか遅い気がする不定期に駄目になる
有線では通信できるのに無線だとできない
特定のエリアや部屋で繋がらない
新しいデバイスや OS でサービスが使えない
音声が途切れる片方向通話になる無音になる
iPhone iPad が繋がらない
Android の新しいバージョンだけ繋がらない
Windows の新しいバージョンだけ繋がらない
Macbook OS X の新しいバージョンだけ繋がらない
TAC に申請される SR の例 (HW 障害や Crash を除く)
6 copy 2013-2014 Cisco andor its affiliates All rights reserved
7 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
WLC GUI 上で AP が見えない show ap summary に表示されない
show traplog で AP Disassociated と出る
クライアント通信不可報告のある近辺でAP の LED がカラフルに点滅を繰り返している
関連する技術やプロトコル
Control And Provisioning of Wireless Access Points (CAPWAP) ndash RFC 5415
Cisco IOS の基本動作 (ARP DHCP Bridge Dot1Q trunk 等) および有線ネットワークの設定
AP が WLC に Join しない
8 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP は標準化されていてRFC 5415 で公開されているhttptoolsietforghtmlrfc5415
RFC では WLC のことを Access Controller (AC) AP のことを WTP (Wireless Termination Points) と呼ぶ
WTP は Wi-Fi AP に限定されず例えば WiMAX 装置等でも CAPWAP で管理できるように作られている
Wi-Fi もしくは IEEE 80211 への CAPWAP の適用については RFC 5416 で詳細に検討されている
80211 への適用についてはベンダー独自の実装も認められておりvendor specific payload として実装されている
CUWN ではバージョン 52 以降で CAPWAP に移行したそれまでは LWAPP というシスコ独自のプロトコルを使っていた
CUWN では RFC 5415 で必須のメッセージ要素が実装されており標準に準拠している
CAPWAP は国際標準
9 copy 2013-2014 Cisco andor its affiliates All rights reserved
CPAWAP パケットの入力(受信)とステート(状態)に基づいたステートマシン(状態遷移機構)
イベントとステートの組み合わせが正しくない場合はエラーを出力して 受信した CAPWAP パケットが破棄される
Join 時の他に定期的にダイナミックに Path MTU ディスカバリを実施しているICMP code 4 による WLC と AP の間の PMTU 計算を実施しJoin 後も可能な限り大きな MTU を使おうとする
定期的なエコー要求(Heartbeat もしくは Keepalive とも呼ぶ)を実施する
定期的な統計情報アップデート (Rogue CleanAir 等)がある
CAPWAP 制御メッセージの交換は高信頼性がある(TCP のようにリクエストに対してレスポンスがある)
CAPWAP の実装
10 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP ステートマシン (RFC 5415 から転載)
11 copy 2013-2014 Cisco andor its affiliates All rights reserved
簡易版 (各ステートの行き先は決まっている)
START
IDLE DISCOVERY
DTLS Init
DTLS Connect
Authorize DTLS Tear Down
DEAD
JOIN
Configure
Image Data
Validation
RUN
Reset
Sulking
12 copy 2013-2014 Cisco andor its affiliates All rights reserved
Idle ステートマシン初期状態
Discovery AP が Discovery Request を送信しWLC が Response を返すことで Join の候補となる WLC を識別する
Sulking Discovery 失敗時と DTLS 切断時に使うステートここで受信する CAPWAPメッセージは破棄される
DTLS Init セキュアな DTLS セッションをピアと確立し始める
DTLS Authorize DTLS スタックの Authorization (MIC AP 認証)
DTLS Tear Down DTLS セッションが切断される(AP が Join から外れる)
Dead DTLS セッションが完全に破棄される(DTLS の情報が破棄される)
各ステート解説
13 copy 2013-2014 Cisco andor its affiliates All rights reserved
Join WLC へ Join Request を送信する
Configure WLC が AP へ必要なコンフィグを実施する
Data Validation WLC が AP コンフィグの正常性を精査する
Image WLC が AP へ新たな Lightweight IOS (k9w8) をダウンロードする
Reset CAPWAP ステートマシンをリセットする
RUN CAPWAP 制御通信およびデータ通信リンクが確立されている
各ステート解説
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
3 copy 2013-2014 Cisco andor its affiliates All rights reserved
無線 LAN で発生する典型的な問題 問題の概要
関連する技術やプロトコル
最初の一歩
次の一歩
想定される原因(想定困難な場合は省略)
最近の要チェックなソフトウェア不具合
Version 80 の運用上要チェックな新機能
Agenda
4 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 無線 LAN で発生する 典型的な問題
5 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が WLC に Join しない
検証時から繋がらない
検証では繋がったのに運用開始すると繋がらない
なんか遅い気がする不定期に駄目になる
有線では通信できるのに無線だとできない
特定のエリアや部屋で繋がらない
新しいデバイスや OS でサービスが使えない
音声が途切れる片方向通話になる無音になる
iPhone iPad が繋がらない
Android の新しいバージョンだけ繋がらない
Windows の新しいバージョンだけ繋がらない
Macbook OS X の新しいバージョンだけ繋がらない
TAC に申請される SR の例 (HW 障害や Crash を除く)
6 copy 2013-2014 Cisco andor its affiliates All rights reserved
7 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
WLC GUI 上で AP が見えない show ap summary に表示されない
show traplog で AP Disassociated と出る
クライアント通信不可報告のある近辺でAP の LED がカラフルに点滅を繰り返している
関連する技術やプロトコル
Control And Provisioning of Wireless Access Points (CAPWAP) ndash RFC 5415
Cisco IOS の基本動作 (ARP DHCP Bridge Dot1Q trunk 等) および有線ネットワークの設定
AP が WLC に Join しない
8 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP は標準化されていてRFC 5415 で公開されているhttptoolsietforghtmlrfc5415
RFC では WLC のことを Access Controller (AC) AP のことを WTP (Wireless Termination Points) と呼ぶ
WTP は Wi-Fi AP に限定されず例えば WiMAX 装置等でも CAPWAP で管理できるように作られている
Wi-Fi もしくは IEEE 80211 への CAPWAP の適用については RFC 5416 で詳細に検討されている
80211 への適用についてはベンダー独自の実装も認められておりvendor specific payload として実装されている
CUWN ではバージョン 52 以降で CAPWAP に移行したそれまでは LWAPP というシスコ独自のプロトコルを使っていた
CUWN では RFC 5415 で必須のメッセージ要素が実装されており標準に準拠している
CAPWAP は国際標準
9 copy 2013-2014 Cisco andor its affiliates All rights reserved
CPAWAP パケットの入力(受信)とステート(状態)に基づいたステートマシン(状態遷移機構)
イベントとステートの組み合わせが正しくない場合はエラーを出力して 受信した CAPWAP パケットが破棄される
Join 時の他に定期的にダイナミックに Path MTU ディスカバリを実施しているICMP code 4 による WLC と AP の間の PMTU 計算を実施しJoin 後も可能な限り大きな MTU を使おうとする
定期的なエコー要求(Heartbeat もしくは Keepalive とも呼ぶ)を実施する
定期的な統計情報アップデート (Rogue CleanAir 等)がある
CAPWAP 制御メッセージの交換は高信頼性がある(TCP のようにリクエストに対してレスポンスがある)
CAPWAP の実装
10 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP ステートマシン (RFC 5415 から転載)
11 copy 2013-2014 Cisco andor its affiliates All rights reserved
簡易版 (各ステートの行き先は決まっている)
START
IDLE DISCOVERY
DTLS Init
DTLS Connect
Authorize DTLS Tear Down
DEAD
JOIN
Configure
Image Data
Validation
RUN
Reset
Sulking
12 copy 2013-2014 Cisco andor its affiliates All rights reserved
Idle ステートマシン初期状態
Discovery AP が Discovery Request を送信しWLC が Response を返すことで Join の候補となる WLC を識別する
Sulking Discovery 失敗時と DTLS 切断時に使うステートここで受信する CAPWAPメッセージは破棄される
DTLS Init セキュアな DTLS セッションをピアと確立し始める
DTLS Authorize DTLS スタックの Authorization (MIC AP 認証)
DTLS Tear Down DTLS セッションが切断される(AP が Join から外れる)
Dead DTLS セッションが完全に破棄される(DTLS の情報が破棄される)
各ステート解説
13 copy 2013-2014 Cisco andor its affiliates All rights reserved
Join WLC へ Join Request を送信する
Configure WLC が AP へ必要なコンフィグを実施する
Data Validation WLC が AP コンフィグの正常性を精査する
Image WLC が AP へ新たな Lightweight IOS (k9w8) をダウンロードする
Reset CAPWAP ステートマシンをリセットする
RUN CAPWAP 制御通信およびデータ通信リンクが確立されている
各ステート解説
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
4 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 無線 LAN で発生する 典型的な問題
5 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が WLC に Join しない
検証時から繋がらない
検証では繋がったのに運用開始すると繋がらない
なんか遅い気がする不定期に駄目になる
有線では通信できるのに無線だとできない
特定のエリアや部屋で繋がらない
新しいデバイスや OS でサービスが使えない
音声が途切れる片方向通話になる無音になる
iPhone iPad が繋がらない
Android の新しいバージョンだけ繋がらない
Windows の新しいバージョンだけ繋がらない
Macbook OS X の新しいバージョンだけ繋がらない
TAC に申請される SR の例 (HW 障害や Crash を除く)
6 copy 2013-2014 Cisco andor its affiliates All rights reserved
7 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
WLC GUI 上で AP が見えない show ap summary に表示されない
show traplog で AP Disassociated と出る
クライアント通信不可報告のある近辺でAP の LED がカラフルに点滅を繰り返している
関連する技術やプロトコル
Control And Provisioning of Wireless Access Points (CAPWAP) ndash RFC 5415
Cisco IOS の基本動作 (ARP DHCP Bridge Dot1Q trunk 等) および有線ネットワークの設定
AP が WLC に Join しない
8 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP は標準化されていてRFC 5415 で公開されているhttptoolsietforghtmlrfc5415
RFC では WLC のことを Access Controller (AC) AP のことを WTP (Wireless Termination Points) と呼ぶ
WTP は Wi-Fi AP に限定されず例えば WiMAX 装置等でも CAPWAP で管理できるように作られている
Wi-Fi もしくは IEEE 80211 への CAPWAP の適用については RFC 5416 で詳細に検討されている
80211 への適用についてはベンダー独自の実装も認められておりvendor specific payload として実装されている
CUWN ではバージョン 52 以降で CAPWAP に移行したそれまでは LWAPP というシスコ独自のプロトコルを使っていた
CUWN では RFC 5415 で必須のメッセージ要素が実装されており標準に準拠している
CAPWAP は国際標準
9 copy 2013-2014 Cisco andor its affiliates All rights reserved
CPAWAP パケットの入力(受信)とステート(状態)に基づいたステートマシン(状態遷移機構)
イベントとステートの組み合わせが正しくない場合はエラーを出力して 受信した CAPWAP パケットが破棄される
Join 時の他に定期的にダイナミックに Path MTU ディスカバリを実施しているICMP code 4 による WLC と AP の間の PMTU 計算を実施しJoin 後も可能な限り大きな MTU を使おうとする
定期的なエコー要求(Heartbeat もしくは Keepalive とも呼ぶ)を実施する
定期的な統計情報アップデート (Rogue CleanAir 等)がある
CAPWAP 制御メッセージの交換は高信頼性がある(TCP のようにリクエストに対してレスポンスがある)
CAPWAP の実装
10 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP ステートマシン (RFC 5415 から転載)
11 copy 2013-2014 Cisco andor its affiliates All rights reserved
簡易版 (各ステートの行き先は決まっている)
START
IDLE DISCOVERY
DTLS Init
DTLS Connect
Authorize DTLS Tear Down
DEAD
JOIN
Configure
Image Data
Validation
RUN
Reset
Sulking
12 copy 2013-2014 Cisco andor its affiliates All rights reserved
Idle ステートマシン初期状態
Discovery AP が Discovery Request を送信しWLC が Response を返すことで Join の候補となる WLC を識別する
Sulking Discovery 失敗時と DTLS 切断時に使うステートここで受信する CAPWAPメッセージは破棄される
DTLS Init セキュアな DTLS セッションをピアと確立し始める
DTLS Authorize DTLS スタックの Authorization (MIC AP 認証)
DTLS Tear Down DTLS セッションが切断される(AP が Join から外れる)
Dead DTLS セッションが完全に破棄される(DTLS の情報が破棄される)
各ステート解説
13 copy 2013-2014 Cisco andor its affiliates All rights reserved
Join WLC へ Join Request を送信する
Configure WLC が AP へ必要なコンフィグを実施する
Data Validation WLC が AP コンフィグの正常性を精査する
Image WLC が AP へ新たな Lightweight IOS (k9w8) をダウンロードする
Reset CAPWAP ステートマシンをリセットする
RUN CAPWAP 制御通信およびデータ通信リンクが確立されている
各ステート解説
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
5 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が WLC に Join しない
検証時から繋がらない
検証では繋がったのに運用開始すると繋がらない
なんか遅い気がする不定期に駄目になる
有線では通信できるのに無線だとできない
特定のエリアや部屋で繋がらない
新しいデバイスや OS でサービスが使えない
音声が途切れる片方向通話になる無音になる
iPhone iPad が繋がらない
Android の新しいバージョンだけ繋がらない
Windows の新しいバージョンだけ繋がらない
Macbook OS X の新しいバージョンだけ繋がらない
TAC に申請される SR の例 (HW 障害や Crash を除く)
6 copy 2013-2014 Cisco andor its affiliates All rights reserved
7 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
WLC GUI 上で AP が見えない show ap summary に表示されない
show traplog で AP Disassociated と出る
クライアント通信不可報告のある近辺でAP の LED がカラフルに点滅を繰り返している
関連する技術やプロトコル
Control And Provisioning of Wireless Access Points (CAPWAP) ndash RFC 5415
Cisco IOS の基本動作 (ARP DHCP Bridge Dot1Q trunk 等) および有線ネットワークの設定
AP が WLC に Join しない
8 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP は標準化されていてRFC 5415 で公開されているhttptoolsietforghtmlrfc5415
RFC では WLC のことを Access Controller (AC) AP のことを WTP (Wireless Termination Points) と呼ぶ
WTP は Wi-Fi AP に限定されず例えば WiMAX 装置等でも CAPWAP で管理できるように作られている
Wi-Fi もしくは IEEE 80211 への CAPWAP の適用については RFC 5416 で詳細に検討されている
80211 への適用についてはベンダー独自の実装も認められておりvendor specific payload として実装されている
CUWN ではバージョン 52 以降で CAPWAP に移行したそれまでは LWAPP というシスコ独自のプロトコルを使っていた
CUWN では RFC 5415 で必須のメッセージ要素が実装されており標準に準拠している
CAPWAP は国際標準
9 copy 2013-2014 Cisco andor its affiliates All rights reserved
CPAWAP パケットの入力(受信)とステート(状態)に基づいたステートマシン(状態遷移機構)
イベントとステートの組み合わせが正しくない場合はエラーを出力して 受信した CAPWAP パケットが破棄される
Join 時の他に定期的にダイナミックに Path MTU ディスカバリを実施しているICMP code 4 による WLC と AP の間の PMTU 計算を実施しJoin 後も可能な限り大きな MTU を使おうとする
定期的なエコー要求(Heartbeat もしくは Keepalive とも呼ぶ)を実施する
定期的な統計情報アップデート (Rogue CleanAir 等)がある
CAPWAP 制御メッセージの交換は高信頼性がある(TCP のようにリクエストに対してレスポンスがある)
CAPWAP の実装
10 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP ステートマシン (RFC 5415 から転載)
11 copy 2013-2014 Cisco andor its affiliates All rights reserved
簡易版 (各ステートの行き先は決まっている)
START
IDLE DISCOVERY
DTLS Init
DTLS Connect
Authorize DTLS Tear Down
DEAD
JOIN
Configure
Image Data
Validation
RUN
Reset
Sulking
12 copy 2013-2014 Cisco andor its affiliates All rights reserved
Idle ステートマシン初期状態
Discovery AP が Discovery Request を送信しWLC が Response を返すことで Join の候補となる WLC を識別する
Sulking Discovery 失敗時と DTLS 切断時に使うステートここで受信する CAPWAPメッセージは破棄される
DTLS Init セキュアな DTLS セッションをピアと確立し始める
DTLS Authorize DTLS スタックの Authorization (MIC AP 認証)
DTLS Tear Down DTLS セッションが切断される(AP が Join から外れる)
Dead DTLS セッションが完全に破棄される(DTLS の情報が破棄される)
各ステート解説
13 copy 2013-2014 Cisco andor its affiliates All rights reserved
Join WLC へ Join Request を送信する
Configure WLC が AP へ必要なコンフィグを実施する
Data Validation WLC が AP コンフィグの正常性を精査する
Image WLC が AP へ新たな Lightweight IOS (k9w8) をダウンロードする
Reset CAPWAP ステートマシンをリセットする
RUN CAPWAP 制御通信およびデータ通信リンクが確立されている
各ステート解説
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
6 copy 2013-2014 Cisco andor its affiliates All rights reserved
7 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
WLC GUI 上で AP が見えない show ap summary に表示されない
show traplog で AP Disassociated と出る
クライアント通信不可報告のある近辺でAP の LED がカラフルに点滅を繰り返している
関連する技術やプロトコル
Control And Provisioning of Wireless Access Points (CAPWAP) ndash RFC 5415
Cisco IOS の基本動作 (ARP DHCP Bridge Dot1Q trunk 等) および有線ネットワークの設定
AP が WLC に Join しない
8 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP は標準化されていてRFC 5415 で公開されているhttptoolsietforghtmlrfc5415
RFC では WLC のことを Access Controller (AC) AP のことを WTP (Wireless Termination Points) と呼ぶ
WTP は Wi-Fi AP に限定されず例えば WiMAX 装置等でも CAPWAP で管理できるように作られている
Wi-Fi もしくは IEEE 80211 への CAPWAP の適用については RFC 5416 で詳細に検討されている
80211 への適用についてはベンダー独自の実装も認められておりvendor specific payload として実装されている
CUWN ではバージョン 52 以降で CAPWAP に移行したそれまでは LWAPP というシスコ独自のプロトコルを使っていた
CUWN では RFC 5415 で必須のメッセージ要素が実装されており標準に準拠している
CAPWAP は国際標準
9 copy 2013-2014 Cisco andor its affiliates All rights reserved
CPAWAP パケットの入力(受信)とステート(状態)に基づいたステートマシン(状態遷移機構)
イベントとステートの組み合わせが正しくない場合はエラーを出力して 受信した CAPWAP パケットが破棄される
Join 時の他に定期的にダイナミックに Path MTU ディスカバリを実施しているICMP code 4 による WLC と AP の間の PMTU 計算を実施しJoin 後も可能な限り大きな MTU を使おうとする
定期的なエコー要求(Heartbeat もしくは Keepalive とも呼ぶ)を実施する
定期的な統計情報アップデート (Rogue CleanAir 等)がある
CAPWAP 制御メッセージの交換は高信頼性がある(TCP のようにリクエストに対してレスポンスがある)
CAPWAP の実装
10 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP ステートマシン (RFC 5415 から転載)
11 copy 2013-2014 Cisco andor its affiliates All rights reserved
簡易版 (各ステートの行き先は決まっている)
START
IDLE DISCOVERY
DTLS Init
DTLS Connect
Authorize DTLS Tear Down
DEAD
JOIN
Configure
Image Data
Validation
RUN
Reset
Sulking
12 copy 2013-2014 Cisco andor its affiliates All rights reserved
Idle ステートマシン初期状態
Discovery AP が Discovery Request を送信しWLC が Response を返すことで Join の候補となる WLC を識別する
Sulking Discovery 失敗時と DTLS 切断時に使うステートここで受信する CAPWAPメッセージは破棄される
DTLS Init セキュアな DTLS セッションをピアと確立し始める
DTLS Authorize DTLS スタックの Authorization (MIC AP 認証)
DTLS Tear Down DTLS セッションが切断される(AP が Join から外れる)
Dead DTLS セッションが完全に破棄される(DTLS の情報が破棄される)
各ステート解説
13 copy 2013-2014 Cisco andor its affiliates All rights reserved
Join WLC へ Join Request を送信する
Configure WLC が AP へ必要なコンフィグを実施する
Data Validation WLC が AP コンフィグの正常性を精査する
Image WLC が AP へ新たな Lightweight IOS (k9w8) をダウンロードする
Reset CAPWAP ステートマシンをリセットする
RUN CAPWAP 制御通信およびデータ通信リンクが確立されている
各ステート解説
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
7 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
WLC GUI 上で AP が見えない show ap summary に表示されない
show traplog で AP Disassociated と出る
クライアント通信不可報告のある近辺でAP の LED がカラフルに点滅を繰り返している
関連する技術やプロトコル
Control And Provisioning of Wireless Access Points (CAPWAP) ndash RFC 5415
Cisco IOS の基本動作 (ARP DHCP Bridge Dot1Q trunk 等) および有線ネットワークの設定
AP が WLC に Join しない
8 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP は標準化されていてRFC 5415 で公開されているhttptoolsietforghtmlrfc5415
RFC では WLC のことを Access Controller (AC) AP のことを WTP (Wireless Termination Points) と呼ぶ
WTP は Wi-Fi AP に限定されず例えば WiMAX 装置等でも CAPWAP で管理できるように作られている
Wi-Fi もしくは IEEE 80211 への CAPWAP の適用については RFC 5416 で詳細に検討されている
80211 への適用についてはベンダー独自の実装も認められておりvendor specific payload として実装されている
CUWN ではバージョン 52 以降で CAPWAP に移行したそれまでは LWAPP というシスコ独自のプロトコルを使っていた
CUWN では RFC 5415 で必須のメッセージ要素が実装されており標準に準拠している
CAPWAP は国際標準
9 copy 2013-2014 Cisco andor its affiliates All rights reserved
CPAWAP パケットの入力(受信)とステート(状態)に基づいたステートマシン(状態遷移機構)
イベントとステートの組み合わせが正しくない場合はエラーを出力して 受信した CAPWAP パケットが破棄される
Join 時の他に定期的にダイナミックに Path MTU ディスカバリを実施しているICMP code 4 による WLC と AP の間の PMTU 計算を実施しJoin 後も可能な限り大きな MTU を使おうとする
定期的なエコー要求(Heartbeat もしくは Keepalive とも呼ぶ)を実施する
定期的な統計情報アップデート (Rogue CleanAir 等)がある
CAPWAP 制御メッセージの交換は高信頼性がある(TCP のようにリクエストに対してレスポンスがある)
CAPWAP の実装
10 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP ステートマシン (RFC 5415 から転載)
11 copy 2013-2014 Cisco andor its affiliates All rights reserved
簡易版 (各ステートの行き先は決まっている)
START
IDLE DISCOVERY
DTLS Init
DTLS Connect
Authorize DTLS Tear Down
DEAD
JOIN
Configure
Image Data
Validation
RUN
Reset
Sulking
12 copy 2013-2014 Cisco andor its affiliates All rights reserved
Idle ステートマシン初期状態
Discovery AP が Discovery Request を送信しWLC が Response を返すことで Join の候補となる WLC を識別する
Sulking Discovery 失敗時と DTLS 切断時に使うステートここで受信する CAPWAPメッセージは破棄される
DTLS Init セキュアな DTLS セッションをピアと確立し始める
DTLS Authorize DTLS スタックの Authorization (MIC AP 認証)
DTLS Tear Down DTLS セッションが切断される(AP が Join から外れる)
Dead DTLS セッションが完全に破棄される(DTLS の情報が破棄される)
各ステート解説
13 copy 2013-2014 Cisco andor its affiliates All rights reserved
Join WLC へ Join Request を送信する
Configure WLC が AP へ必要なコンフィグを実施する
Data Validation WLC が AP コンフィグの正常性を精査する
Image WLC が AP へ新たな Lightweight IOS (k9w8) をダウンロードする
Reset CAPWAP ステートマシンをリセットする
RUN CAPWAP 制御通信およびデータ通信リンクが確立されている
各ステート解説
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
8 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP は標準化されていてRFC 5415 で公開されているhttptoolsietforghtmlrfc5415
RFC では WLC のことを Access Controller (AC) AP のことを WTP (Wireless Termination Points) と呼ぶ
WTP は Wi-Fi AP に限定されず例えば WiMAX 装置等でも CAPWAP で管理できるように作られている
Wi-Fi もしくは IEEE 80211 への CAPWAP の適用については RFC 5416 で詳細に検討されている
80211 への適用についてはベンダー独自の実装も認められておりvendor specific payload として実装されている
CUWN ではバージョン 52 以降で CAPWAP に移行したそれまでは LWAPP というシスコ独自のプロトコルを使っていた
CUWN では RFC 5415 で必須のメッセージ要素が実装されており標準に準拠している
CAPWAP は国際標準
9 copy 2013-2014 Cisco andor its affiliates All rights reserved
CPAWAP パケットの入力(受信)とステート(状態)に基づいたステートマシン(状態遷移機構)
イベントとステートの組み合わせが正しくない場合はエラーを出力して 受信した CAPWAP パケットが破棄される
Join 時の他に定期的にダイナミックに Path MTU ディスカバリを実施しているICMP code 4 による WLC と AP の間の PMTU 計算を実施しJoin 後も可能な限り大きな MTU を使おうとする
定期的なエコー要求(Heartbeat もしくは Keepalive とも呼ぶ)を実施する
定期的な統計情報アップデート (Rogue CleanAir 等)がある
CAPWAP 制御メッセージの交換は高信頼性がある(TCP のようにリクエストに対してレスポンスがある)
CAPWAP の実装
10 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP ステートマシン (RFC 5415 から転載)
11 copy 2013-2014 Cisco andor its affiliates All rights reserved
簡易版 (各ステートの行き先は決まっている)
START
IDLE DISCOVERY
DTLS Init
DTLS Connect
Authorize DTLS Tear Down
DEAD
JOIN
Configure
Image Data
Validation
RUN
Reset
Sulking
12 copy 2013-2014 Cisco andor its affiliates All rights reserved
Idle ステートマシン初期状態
Discovery AP が Discovery Request を送信しWLC が Response を返すことで Join の候補となる WLC を識別する
Sulking Discovery 失敗時と DTLS 切断時に使うステートここで受信する CAPWAPメッセージは破棄される
DTLS Init セキュアな DTLS セッションをピアと確立し始める
DTLS Authorize DTLS スタックの Authorization (MIC AP 認証)
DTLS Tear Down DTLS セッションが切断される(AP が Join から外れる)
Dead DTLS セッションが完全に破棄される(DTLS の情報が破棄される)
各ステート解説
13 copy 2013-2014 Cisco andor its affiliates All rights reserved
Join WLC へ Join Request を送信する
Configure WLC が AP へ必要なコンフィグを実施する
Data Validation WLC が AP コンフィグの正常性を精査する
Image WLC が AP へ新たな Lightweight IOS (k9w8) をダウンロードする
Reset CAPWAP ステートマシンをリセットする
RUN CAPWAP 制御通信およびデータ通信リンクが確立されている
各ステート解説
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
9 copy 2013-2014 Cisco andor its affiliates All rights reserved
CPAWAP パケットの入力(受信)とステート(状態)に基づいたステートマシン(状態遷移機構)
イベントとステートの組み合わせが正しくない場合はエラーを出力して 受信した CAPWAP パケットが破棄される
Join 時の他に定期的にダイナミックに Path MTU ディスカバリを実施しているICMP code 4 による WLC と AP の間の PMTU 計算を実施しJoin 後も可能な限り大きな MTU を使おうとする
定期的なエコー要求(Heartbeat もしくは Keepalive とも呼ぶ)を実施する
定期的な統計情報アップデート (Rogue CleanAir 等)がある
CAPWAP 制御メッセージの交換は高信頼性がある(TCP のようにリクエストに対してレスポンスがある)
CAPWAP の実装
10 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP ステートマシン (RFC 5415 から転載)
11 copy 2013-2014 Cisco andor its affiliates All rights reserved
簡易版 (各ステートの行き先は決まっている)
START
IDLE DISCOVERY
DTLS Init
DTLS Connect
Authorize DTLS Tear Down
DEAD
JOIN
Configure
Image Data
Validation
RUN
Reset
Sulking
12 copy 2013-2014 Cisco andor its affiliates All rights reserved
Idle ステートマシン初期状態
Discovery AP が Discovery Request を送信しWLC が Response を返すことで Join の候補となる WLC を識別する
Sulking Discovery 失敗時と DTLS 切断時に使うステートここで受信する CAPWAPメッセージは破棄される
DTLS Init セキュアな DTLS セッションをピアと確立し始める
DTLS Authorize DTLS スタックの Authorization (MIC AP 認証)
DTLS Tear Down DTLS セッションが切断される(AP が Join から外れる)
Dead DTLS セッションが完全に破棄される(DTLS の情報が破棄される)
各ステート解説
13 copy 2013-2014 Cisco andor its affiliates All rights reserved
Join WLC へ Join Request を送信する
Configure WLC が AP へ必要なコンフィグを実施する
Data Validation WLC が AP コンフィグの正常性を精査する
Image WLC が AP へ新たな Lightweight IOS (k9w8) をダウンロードする
Reset CAPWAP ステートマシンをリセットする
RUN CAPWAP 制御通信およびデータ通信リンクが確立されている
各ステート解説
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
10 copy 2013-2014 Cisco andor its affiliates All rights reserved
CAPWAP ステートマシン (RFC 5415 から転載)
11 copy 2013-2014 Cisco andor its affiliates All rights reserved
簡易版 (各ステートの行き先は決まっている)
START
IDLE DISCOVERY
DTLS Init
DTLS Connect
Authorize DTLS Tear Down
DEAD
JOIN
Configure
Image Data
Validation
RUN
Reset
Sulking
12 copy 2013-2014 Cisco andor its affiliates All rights reserved
Idle ステートマシン初期状態
Discovery AP が Discovery Request を送信しWLC が Response を返すことで Join の候補となる WLC を識別する
Sulking Discovery 失敗時と DTLS 切断時に使うステートここで受信する CAPWAPメッセージは破棄される
DTLS Init セキュアな DTLS セッションをピアと確立し始める
DTLS Authorize DTLS スタックの Authorization (MIC AP 認証)
DTLS Tear Down DTLS セッションが切断される(AP が Join から外れる)
Dead DTLS セッションが完全に破棄される(DTLS の情報が破棄される)
各ステート解説
13 copy 2013-2014 Cisco andor its affiliates All rights reserved
Join WLC へ Join Request を送信する
Configure WLC が AP へ必要なコンフィグを実施する
Data Validation WLC が AP コンフィグの正常性を精査する
Image WLC が AP へ新たな Lightweight IOS (k9w8) をダウンロードする
Reset CAPWAP ステートマシンをリセットする
RUN CAPWAP 制御通信およびデータ通信リンクが確立されている
各ステート解説
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
11 copy 2013-2014 Cisco andor its affiliates All rights reserved
簡易版 (各ステートの行き先は決まっている)
START
IDLE DISCOVERY
DTLS Init
DTLS Connect
Authorize DTLS Tear Down
DEAD
JOIN
Configure
Image Data
Validation
RUN
Reset
Sulking
12 copy 2013-2014 Cisco andor its affiliates All rights reserved
Idle ステートマシン初期状態
Discovery AP が Discovery Request を送信しWLC が Response を返すことで Join の候補となる WLC を識別する
Sulking Discovery 失敗時と DTLS 切断時に使うステートここで受信する CAPWAPメッセージは破棄される
DTLS Init セキュアな DTLS セッションをピアと確立し始める
DTLS Authorize DTLS スタックの Authorization (MIC AP 認証)
DTLS Tear Down DTLS セッションが切断される(AP が Join から外れる)
Dead DTLS セッションが完全に破棄される(DTLS の情報が破棄される)
各ステート解説
13 copy 2013-2014 Cisco andor its affiliates All rights reserved
Join WLC へ Join Request を送信する
Configure WLC が AP へ必要なコンフィグを実施する
Data Validation WLC が AP コンフィグの正常性を精査する
Image WLC が AP へ新たな Lightweight IOS (k9w8) をダウンロードする
Reset CAPWAP ステートマシンをリセットする
RUN CAPWAP 制御通信およびデータ通信リンクが確立されている
各ステート解説
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
12 copy 2013-2014 Cisco andor its affiliates All rights reserved
Idle ステートマシン初期状態
Discovery AP が Discovery Request を送信しWLC が Response を返すことで Join の候補となる WLC を識別する
Sulking Discovery 失敗時と DTLS 切断時に使うステートここで受信する CAPWAPメッセージは破棄される
DTLS Init セキュアな DTLS セッションをピアと確立し始める
DTLS Authorize DTLS スタックの Authorization (MIC AP 認証)
DTLS Tear Down DTLS セッションが切断される(AP が Join から外れる)
Dead DTLS セッションが完全に破棄される(DTLS の情報が破棄される)
各ステート解説
13 copy 2013-2014 Cisco andor its affiliates All rights reserved
Join WLC へ Join Request を送信する
Configure WLC が AP へ必要なコンフィグを実施する
Data Validation WLC が AP コンフィグの正常性を精査する
Image WLC が AP へ新たな Lightweight IOS (k9w8) をダウンロードする
Reset CAPWAP ステートマシンをリセットする
RUN CAPWAP 制御通信およびデータ通信リンクが確立されている
各ステート解説
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
13 copy 2013-2014 Cisco andor its affiliates All rights reserved
Join WLC へ Join Request を送信する
Configure WLC が AP へ必要なコンフィグを実施する
Data Validation WLC が AP コンフィグの正常性を精査する
Image WLC が AP へ新たな Lightweight IOS (k9w8) をダウンロードする
Reset CAPWAP ステートマシンをリセットする
RUN CAPWAP 制御通信およびデータ通信リンクが確立されている
各ステート解説
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
14 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Discovery Request (Broadcast Unicast)
Discovery Response (Unicast)
Client Hello
Verified Hello (Cookie)
Client Hello (with cookie)
Server Hello (Certificate)
Discovery
DTLS
ハンドシェイク
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
15 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC に Join して RUN になるまで
AP WLC
Join Request (Unicast)
Join Response (Unicast)
Config Status Request
Config Status Response
Change State Event Request
Change State Event Response
Join
Configure
Echo Response
Echo Request Heartbeat
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
16 copy 2013-2014 Cisco andor its affiliates All rights reserved
まずAP が Discovery Request を送信できる状態かチェック
L3 プロトコル (UDP 5246番) を使うためAP が IP アドレスを取得できていることが原則
DHCP サーバからアドレスが AP へリースされているか確認
AP 接続スイッチポートの trunk 設定を確認
Local mode AP の場合は trunk ではなく access で問題なし
AP はデフォルト状態では Native VLAN (タグなし) で CAPWAP 通信を実施するためスイッチポートの Native VLAN (Catalyst の初期 ID = 1) を使って WLC と通信を試みる
FlexConnect Local Switching で VLAN ndash WLAN マッピングを実施している場合は CAPWAP が使う Native VLAN の ID が何に設定されているかを確認
VLAN tagging on Ethernet interface 機能 (Version 73) を使っている場合は allowed vlan に CAPWAP で使う VLAN を含める必要がある
Join しないときの最初の一歩 (13)
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
17 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP に Static で IP アドレスを設定している場合設定状態を確認
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 172162012 YES TFTP up up
Dot11Radio0 unassigned NO unset up up
Dot11Radio1 unassigned NO unset up up
show capwap ip config
LWAPP Static IP Configuration
IP Address 172162012
IP netmask 2552552550
Default Gateway 1721620254
Static IP 設定が間違っている場合は設定しなおす
capwap ap ip address IP address Subnet mask
capwap ap ip default-gateway IP address
Join しないときの最初の一歩 (23)
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
18 copy 2013-2014 Cisco andor its affiliates All rights reserved
Static IP を使って Discovery Request を送信しても Response を得られない場合AP は DHCP fallback mode という機能が強制的に働きDHCP により IP アドレスを取得しようとする
Mar 1 021109463 CAPWAP-3-STATIC_TO_DHCP_IP Could not discover WLC using static IP Forcing AP to use DHCP
show ip interface brief
Interface IP-Address OK Method Status Protocol
BVI1 unassigned YES DHCP up up
Dot11Radio0 unassigned NO unset up up
Mar 1 021209467 CAPWAP-3-DHCP_RENEW Could not discover WLC using DHCP IP Renewing DHCP IP
Join しないときの最初の一歩 (33)
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
19 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の show traplog show logging で確認
show traplog
1 Mon Apr 29 161600 2014 AP lsquoFW51-2602Irsquo MAC 34bdc8d8c240 disassociated previously due to Link Failure Uptime 0 days 04 h 32 m 15 s Reason Capwap Echo request ltltlt これは障害後に再び Join した時の trap
2 Mon Apr 29 161356 2014 AP Disassociated Base Radio MAC34bdc8d8c240 ltltlt こっちが AP が Join から外れたときの trap
show logging
spamApTask0 Apr 29 161600812 34bdc8d8c240 AP 34bdc8d8c240 associated Last AP failure was due to Link Failurereason CONFIGURE_COMMAND_RES ltltlt 同様に障害後に Join した時のログ
spamApTask0 Apr 29 161600482 DTLS-5-ESTABLISHED_TO_PEER openssl_dtlsc745 DTLS connection established to 1721717106
spamApTask7 Apr 29 161356604 CAPWAP-3-ECHO_ERR capwap_ac_smc7014 Did not receive heartbeat reply AP 34bdc8d8c240 ltltlt Join から外れたときのログ
Join しないときの次の一歩 (15)
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
20 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP で CAPWAP に関するエラーが発生していないか debug で確認
AP3702Idebug capwap client error
WLC と AP のバージョンがミスマッチしているパターン
Mar 1 020821471 CAPWAP-3-ERRORLOG Discovery response from MWAR lsquoCT2504-Arsquorunning version 741210 is rejected ltltlt AP3700 をサポートしないバージョン
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to decode discovery response
Mar 1 020821471 CAPWAP-3-ERRORLOG CAPWAP SM handler Failed to process message type 2 state 2
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to handle capwap control message from controller
Mar 1 020821471 CAPWAP-3-ERRORLOG Failed to process unencrypted capwap packet from 172212061
Keep-alive が途切れたパターン
Apr 29 071313999 DTLS-5-SEND_ALERT Send FATAL Close notify Alert to 1722319255246 ltltlt WLC に DTLS セッションを切断すると伝えている
Join しないときの次の一歩 (25)
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
21 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP では下記の debug が最初から有効になっている(Version 80)
APshow debug
DTLS
DTLS ERROR debugging is on
LWAPP
LWAPP Client ERROR display debugging is on
CAPWAP
CAPWAP Client AVC Netflow Error debugging is on
CAPWAP Client ERROR display debugging is on
CAPWAP console CLI allowdisallow debugging is on
Join しないときの次の一歩 (35)
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
22 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC で同じように CAPWAP でエラーが発生していないかチェック
debug mac addr AP Radio MAC address ログに表示する AP をフィルタする
(CT5508) gtshow ap config 80211a summary
AP Name SubBand RadioMAC Status Channel PwLvl SlotId
-------------------- ------- ------------------ -------- ------- ------ ------ FW51-2602I - 34bdc8d8c240 ENABLED 40 3 1
debug capwap error enable
spamApTask7 Apr 29 161356605 34bdc8d8c240 Echo Timer Expiry Did not receive heartbeat reply from AP 34bdc8d8c240 (172171710644357)
Join しないときの次の一歩 (45)
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
23 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信しているがWLC で受信できていない場合( = debug capwap のログが出力されない場合)
経路上のドロップが推測されるのでAP と WLC のそれぞれの接続ポートでパケットキャプチャにより確認をし次に中間スイッチルータ間等と範囲を狭めていく
中間スイッチやルータでは ACL で宛先 UDP 5246 をフィルタしてカウンタの上昇を確認することでも簡易的に確認できる
ip access-list extended capwap-check
permit udp host AP IP address host WLC IP address eq 5246 log
permit udp host AP IP address host WLC IP address eq 5247 log
permit ip any any
AP_DGW(config-if) ip access-group capwap-check in
AP_DGWshow ip access-lists capwap-check
Extended IP access list capwap-check
10 permit udp host 1721717102 host 172231925 eq 5246 log (16 matches) ltltlt OK
20 permit udp host 1721717102 host 172231925 eq 5247 log (65 matches)
30 permit ip any any (38 matches)
Join しないときの次の一歩 (55)
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
24 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client timer AP が CAPWAP で次に何をしようとしているかを表示可能
Capwap Timers
| 2104 CAPWAP PARENT ltltlt 直近でイベントが発生するまでの残り時間
| 2104 DISCOVERY_INTERVAL ltltlt Discovery Request を送信するまであと 2秒
Capwap Timers
| 4396 CAPWAP PARENT
| 4396 DATA_CHANNEL_KEEP_ALIVE_TIMER
| 13396 PATHMTU_TIMER ltltlt MTU 最大なのでパス
| 20472 ECHO_INTERVAL
| 41944 PRIMARY_DISCOVERY_TIMER
| 220048 PERIODIC_ECHO
4秒後 Apr 29 085324347 CAPWAP-3-EVENTLOG Unencrypted Data keep-alive Transmitted to
1722319255247
20秒後 Apr 29 085340423 CAPWAP-3-EVENTLOG Echo Request sent to 172231925
42秒後Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to
172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231926
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Request sent to 172231922
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery Response from 172231925
Apr 29 085401471 CAPWAP-3-EVENTLOG Primary Discovery response from MWAR rsquoCT5508running version 801000
その他 AP Join 問題で使えるコマンド (AP) (13)
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
25 copy 2013-2014 Cisco andor its affiliates All rights reserved
show capwap client mn CAPWAP 経由で Association しているクライアント情報
CAPWAP mobile database
-------------------------------------------------------------------------------- MAC State WLAN Interface 04466555c1fe CAPWAP_MN_ST_ADDED 11 Dot11Radio1
show capwap client config AP の CAPWAP スタック全体を確認
capwap ap primary-base WLC sysname WLC IP address Join 先の特定の WLC を明示的に指定するのはこれcapwap ap controller ip address コマンドは不適切
[参考] httpssupportforumsciscocomjadocument12186011
test capwap restart CAPWAP ステートを強制的に START へ戻して Join をやり直す (リセット)
debug capwap client event Heartbeat 等を含めて全ての AP ndash WLC 間の CAPWAP イベントを表示(ただしエラーが埋もれがちになる)
その他 AP Join 問題で使えるコマンド (AP) (23)
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
26 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug capwap event enable (debug mac addr でフィルタしておく)
show ap join stats summary all Join している AP 試みている AP がわかる
show ap join stats detailed AP Radio MAC address 特定の AP の CAPWAP 通信の統計値(エラー発生状況)がわかる Discovery phase statistics ltltltlt ステートマシン
- Discovery requests received 2 - Successful discovery responses sent 2 - Unsuccessful discovery request processing 0 - Reason for last unsuccessful discovery attempt Not applicable - Time at last successful discovery attempt Aug 21 125023335 - Time at last unsuccessful discovery attempt Not applicable Join phase statistics ltltltlt ステートマシン
- Join requests received 1 - Successful join responses sent 1 - Unsuccessful join request processing 1 - Reason for last unsuccessful join attemptRADIUS authorization is pending for the AP - Time at last successful join attempt Aug 21 125034481 - Time at last unsuccessful join attempt Aug 21 125034374 Configuration phase statistics ltltltlt ステートマシン
- Configuration requests received 1 - Successful configuration responses sent 1 - Unsuccessful configuration request processing 0 - Reason for last unsuccessful configuration attempt Not applicable - Time at last successful configuration attempt Aug 21 125034374 - Time at last unsuccessful configuration attempt Not applicable Last AP message decryption failure details - Reason for last message decryption failure Not applicable Last AP disconnect details - Reason for last AP connection failure Not applicable Last join error summary - Type of error that occurred last Lwapp join request rejected - Reason for error that occurred last RADIUS authorization is pending for the AP - Time at which the last join error occurred Aug 21 125034374
その他 AP Join 問題で使えるコマンド (WLC) (33)
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
27 copy 2013-2014 Cisco andor its affiliates All rights reserved
MTU が大き過ぎてどこかでドロップしている
Routershow interfaces gigabitEthernet 11
GigabitEthernet11 is up line protocol is up (connected)
MTU 1216 bytes BW 1000000 Kbit DLY 10 usec
APshow capwap client rcb
CAPWAP Path MTU 1485 ltltlt 経路上のルータスイッチより大きい
AP 認証が失敗している (Mesh AP の場合は MAC 登録も確認)
(WLC) gt show run-config
Authorization List
Authorize MIC APs against AAA enabled ltltlt RADIUS MAC 認証必要
Authorize LSC APs against Auth-List disabled
APs Allowed to Join
AP with Manufacturing Installed Certificate yes
AP with Self-Signed Certificate yes
AP with Locally Significant Certificate yes
AP Join 問題で想定される原因の例 (12)
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
28 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC を指定するコマンドが間違っている (primary-base を使う)
show capwap client config
mwarName ltltlt WLC sysname が空白
mwarIPAddress 19216811
WLC のバージョンが AP よりも古い (機器交換時等に注意)
AP は Lightweight IOS イメージを WLC から取得できない
WLC が NTP と同期しておらずMIC の有効期限外の時間で動作している
show time で確認
(Cisco Controller) gtshow time Time Mon May 19 203350 2014 ltltlt OK Timezone delta 00 Timezone location (GMT -800) Pacific Time (US and Canada) NTP Servers NTP Polling Interval 86400 Index NTP Key Index NTP Server NTP Msg Auth Status ------- ---------------------------------------------------------------------------------- 1 0 6416891 AUTH DISABLED
Firewall 等が UDP 5246 通信をブロックしている
AP Join 問題で想定される原因の例 (22)
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
29 copy 2013-2014 Cisco andor its affiliates All rights reserved
AP が Discovery Request を送信できる状態設定ネットワーク構成となっているかを確認する
WLC の traplog msglog と AP の logging を確認する
debug capwap (client) error (enable) を AP と WLC で実施して Join しない理由Discovery が成功しない理由を探る
必要に応じて各種 show コマンドや ACLパケットキャプチャ を使って詳細を確認する
AP が Join しない ときのまとめ
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
30 copy 2013-2014 Cisco andor its affiliates All rights reserved
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
31 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
設定はあっているはずなのになぜかクライアントが無線 LAN に繋がらない
一度も接続に成功しない
関連する技術やプロトコル
IEEE 80211 全般 WPAWPA2
EAP RADIUS
Ethernet ARP IP ICMP 等有線側のプロトコル
クライアント OSサプリカント 実装特有機能
WLC 特有機能
etc
導入検証時に一度も繋がらない
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
32 copy 2013-2014 Cisco andor its affiliates All rights reserved
設定の問題の可能性が高いと認識する
クライアントの設定なのかWLC の設定なのか認証周辺の問題か
Association できない 認証失敗IP 通信不可 - 区別する
特に Windows OS で ldquo制限付きアクセスrdquo となる場合はAssociation はできているが Link Local Address 169254xx の IP アドレスになっているなど80211 には問題ないけれどもIP スタックの通信に問題があることが多い
ipconfig all で確認 (Windows)
スマートフォンでは IP 通信が可能になってはじめて Wi-Fi のアイコンが点灯する実装が多いためアイコンの様子を確認
まず手元のスマートフォンと PC でダブルチェックする
片方だけの問題ということであればクライアントの設定実装問題を視野にいれる
クライアントの再起動サプリカント再設定等を実施
暗号化無しかつ本番用と同一 VLAN の Open 認証テスト SSID を別途作成しておきそちらで問題が再現するかをチェック
問題が発生しないようであれば IP 通信には問題がないと推測できる
一度も繋がらないの最初の一歩
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
33 copy 2013-2014 Cisco andor its affiliates All rights reserved
繋がるようになるまでのシーケンスでどこで止まっているかを考える
一度も繋がらないの次の一歩 (15)
Probe Request
Probe Response
Auth Request
Auth Response
Association Request
Association Response
EAP Start
EAP ID Request
EAP ID Response
EAP Method
EAP Success
EAPoL 4 way handshake
DATA
AP WLC Radius
2 ndash 10+ 往復
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
34 copy 2013-2014 Cisco andor its affiliates All rights reserved
WLC の debug client で流れを追うことができるのでどこで止まっているのかを突き止める
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gtshow debug
MAC address 0016eab20436
Debug Flags Enabled
dhcp packet enabled
dot11 mobile enabled
dot11 state enabled
dot1x events enabled
dot1x states enabled
pem events enabled
pem state enabled
CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (25)
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
35 copy 2013-2014 Cisco andor its affiliates All rights reserved
7273 以降では最大 4 - 10台の クライアントに対して同時に debug 可能なので可能性のあるクライアントのアドレスを放り込んで再現を待つ
(CT5508) gtdebug client 112233445566 abcdefdeabcd abcd1234efab (CT5508) gtshow debug MAC Addr 1 112233445566 MAC Addr 2 ABCDEFDEABCD MAC Addr 3 ABCD1234EFAB
Debug Flags Enabled dhcp packet enabled dot11 mobile enabled dot11 state enabled dot1x events enabled dot1x states enabled mobility client handoff enabled pem events enabled pem state enabled 80211r event debug enabled 80211w event debug enabled CCKM client debug enabled
WLC に負荷はほとんどかかりません積極的に活用してください
一度も繋がらないの次の一歩 (35)
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
36 copy 2013-2014 Cisco andor its affiliates All rights reserved
GUI (Monitor gt Client) または show client detail クライアント MAC アドレス コマンドでクライアントの PEM (Policy Enforcement Module Policy Manager State) を確認
show client detail e48b7fdd73f4
Client MAC Address e48b7fdd73f4
Client Username NA
AP MAC Address f025727151f0
AP Name AP2
Client State Associated
Wireless LAN Id 1
BSSID f025727151ff
IP Address 1921681250
Security Policy Completed Yes
Policy Manager State RUN
Policy Manager Rule Created Yes
一度も繋がらないの次の一歩 (45)
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
37 copy 2013-2014 Cisco andor its affiliates All rights reserved
PEM が取るステートの例
START Association Request を受信した段階初期値
AUTHCHECK WPAWPA2 等による L2 認証が必要な状態
8021X_REQD PSKEAPRADIUS による認証が必要な状態
L2AUTHCOMPLETE L2認証が成功して暗号化の準備ができた状態
WEP_REQD WEP によるパスワード認証が必要な状態
CENTRAL_WEB_AUTH Central Web Auth ISE による中央認証が追加で必要な状態
DHCP_REQD クライアントの IP アドレスを WLC が学習していない状態 必ずしも DHCP によるアドレス取得が必要な状態ということではなくStatic IP の場合もこの状態は通過する
WEBAUTH_REQD Web 認証が追加で必要な状態
RUN 最終状態RUN のときだけ正常な IP 通信が可能これ以外のステートは未完了
一度も繋がらないの次の一歩 (55)
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
38 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gtdebug client 0016EAB20436
(Cisco Controller) gt
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface rsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentlsquo
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
0000 START (0) Initializing policy
0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2)
0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3)
0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client
0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1
apfMsAssoStateInc
apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated
Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
debug client の出力例 (80211 Association)
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
39 copy 2013-2014 Cisco andor its affiliates All rights reserved
Association received from mobile on AP 0026cb9444c0
0000 START (0) Changing ACL none (ACL ID 0) ===gt none (ACL ID 255) --- (caller apf_policyc1621)
Applying site-specific IPv6 override for station 0016eab20436 - vapId 1 site default-group interface lsquostudent
Applying IPv6 Interface Policy for station 0016eab20436 - vlan 3 interface id 8 interface rsquostudentrsquo
Association received Association Request をクライアントから受信
Association なのでローミングではないはず(Reassociation ではない)
Radio MAC が 0026cb9444c0 の AP に Association Request を送信した(Version 80 では AP 名で表示可能に)
vapId 1 site default-group interface lsquostudentlsquo
vapId WLAN ID 番号 (Wlan ID 1)
site AP グループ (default-group)
Interface インターフェイス名 (student)
vlan 3
Vlan インターフェイスに関連付けられた VLAN ID
debug client から分かること
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
40 copy 2013-2014 Cisco andor its affiliates All rights reserved
STA - rates (12) 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
Processing RSN IE type 48 length 22 for mobile 0016eab20436
STA - rates データレート
Madatory レートは128以上で表示される 128 を引いた後に 2 で割ると本当の値がわかる
Supported レートは 128未満で表示される 2 で割ると本当の値がわかる
-gt1m2m55m11m6s9s12s18s24s36s48s54s
Processing RSN IE type 48 暗号化方式
WPA2-AES は type 48 となる
Processing WPA IE type 221
WPA-TKIP は type 221 となる
debug client から分かること
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
41 copy 2013-2014 Cisco andor its affiliates All rights reserved
0000 START (0) Initializing policy 0000 START (0) Change state to AUTHCHECK (2) last state AUTHCHECK (2) 0000 AUTHCHECK (2) Change state to 8021X_REQD (3) last state 8021X_REQD (3) 0000 8021X_REQD (3) DHCP Not required on AP 0026cb9444c0 vapId 1 apVapId 1for this client 0000 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 0026cb9444c0 vapId 1 apVapId 1 apfMsAssoStateInc apfPemAddUser2 Changing state for mobile 0016eab20436 on AP 0026cb9444c0 from Idle to Associated Scheduling deletion of Mobile Station (callerId 49) in 1800 seconds
0000 START
0000 = 既に WLC のクライアントデータベースに情報がある場合IP アドレスを表示する0000 なので IP アドレス情報は残っていないことがわかる
Change state to 8021X_REQD
80211 の Association フェーズは通過し次の状態 8021X_REQD に移した
Scheduling deletion of Mobile Station
このクライアント (Mobile Station MS) の WLAN セッションタイマーをセット (1800秒)
debug client から分かること
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
42 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Slot 0 80211bgn(24GHz) Radio インターフェイス
Slot 1 80211anac(5GHz) Radio インターフェイス
Sending Assoc Response Status 0 = Success
Status 0 は 80211 Association の成功を意味する0 以外の値だと問題発生
Assoc Response Failures コードの一例
1 Unknown Reason 定義済みのコード以外の理由で失敗
12 不明もしくは無効な SSID
17 クライアント数が多過ぎる (Load Balancing)
18 クライアントが使っているデータレートと AP の間でミスマッチ
35 WLAN で WMM 必須となっているがクライアントが WMM を非サポート
201 QoS Platinum ではない WLAN に Voice 端末が接続しようとしている
202 帯域不足のため CAC により新規音声通話を拒否
debug client から分かること
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
43 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Station 0016eab20436 setting dot1x reauth timeout = 1800
dot1x - moving mobile 0016eab20436 into Connecting state
Sending EAP-RequestIdentity to mobile 0016eab20436 (EAP Id 1) ltltlt AP が EAP Identity 送信
Received EAPOL EAPPKT from mobile 0016eab20436
Username entry (cisco) created for mobile
Received Identity Response (count=1) from mobile 0016eab20436 ltltlt クライアントから EAP Identity 受信
EAP State update from Connecting to Authenticating for mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Authenticating state
Entering Backend Auth Req state (id=3) for mobile 0016eab20436 ltltlt ldquoBackend Authrdquo は RADIUS のこと
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 3) ltltlt RAIDUS サーバから EAP Request 受信
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 3 EAP Type 25) ltltlt クライアントから PEAP の EAP Response 受信
Received EAP Response from mobile 0016eab20436 (EAP Id 10 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Challenge for mobile 0016eab20436
Entering Backend Auth Req state (id=11) for mobile 0016eab20436
Sending EAP Request from AAA to mobile 0016eab20436 (EAP Id 11)
Received EAPOL EAPPKT from mobile 0016eab20436
Received EAP Response from mobile 0016eab20436 (EAP Id 11 EAP Type 25)
Entering Backend Auth Response state for mobile 0016eab20436
Processing Access-Accept for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Accept 認証成功応答を受信
もしくは
Processing Access-Reject for mobile 0016eab20436 ltltlt RAIDUS サーバから Access Reject 認証失敗応答を受信
debug client 出力例 (EAPRADIUS)
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
44 copy 2013-2014 Cisco andor its affiliates All rights reserved
1 Identity
2 Notification
3 NAK
4 MD5
5 OTP
6 Generic Token
13 EAP TLS
17 LEAP
18 EAP SIM
21 EAP TTLS
25 PEAP
43 EAP-FAST
EAP Type リスト
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
45 copy 2013-2014 Cisco andor its affiliates All rights reserved
Sending Assoc Response to station on BSSID 0026cb9444c0 (status 0) ApVapId 1 Slot 0
Creating a PKC PMKID Cache entry for station 0016eab20436 (RSN 2)
Adding BSSID 0026cb9444c0 to PMKID cache for station 0016eab20436
New PMKID (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Initiating RSN PSK to mobile 0016eab20436
dot1x - moving mobile 0016eab20436 into Force Auth state
Skipping EAP-Success to mobile 0016eab20436
Including PMKID in M1 (16)
[0000] 31 d5 5b 0b 64 28 2b be c5 8d d5 4c 03 30 c7 cd
Starting key exchange to mobile 0016eab20436 data packets will be dropped
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 1 送信
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTK_START state (message 2) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 2 受信
Stopping retransmission timer for mobile 0016eab20436
Sending EAPOL-Key Message to mobile 0016eab20436 ltltlt AP がクライアントに EAPoL-Key Message 3 送信
state PTKINITNEGOTIATING (message 3) replay counter 0000000000000001
Received EAPOL-Key from mobile 0016eab20436
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 0016eab20436
Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 0016eab20436 ltltlt クライアントから EAPoL-Key Message 4 受信
apfMs1xStateInc
0000 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state L2AUTHCOMPLETE (4)
debug client 出力例 (EAPoL 4-way handshake 成功時 PSK)
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
46 copy 2013-2014 Cisco andor its affiliates All rights reserved
Starting key exchange to mobile 001e8c0fa457 data packets will be dropped
Sending EAPOL-Key Message to mobile 001e8c0fa457
state INITPMK (message 1) replay counter 0000000000000000
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
Received EAPOL-Key from mobile 001e8c0fa457
Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile 001e8c0fa457
Received EAPOL-key in PTK_START state (message 2) from mobile 001e8c0fa457
Received EAPOL-key M2 with invalid MIC from mobile 001e8c0fa457
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit 2 of EAPOL-Key M1 (length 121) for mobile 001e8c0fa457
helliphelliphelliphelliphelliphelliphellip
8021x timeoutEvt Timer expired for station 001e8c0fa457
Retransmit failure for EAPOL-Key M1 to mobile 001e8c0fa457
retransmit count 3 mscb deauth count 3
Blacklisting (if enabled) mobile 001e8c0fa457
apfBlacklistMobileStationEntry2 (apf_msc4192) Changing state for mobile 001e8c0fa457 on
AP 00169c4bc4c0 from Associated to Exclusion-list (1)
debug client 出力例 (4-way handshake 失敗時)
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
47 copy 2013-2014 Cisco andor its affiliates All rights reserved
(Cisco Controller) gt show exclusionlist
No manually disabled clients
Dynamically Disabled Clients
----------------------------
MAC Address Exclusion Reason Time Remaining (in secs)
----------- ---------------- ------------------------
001e8c0fa457 8021X Failure 51
config exclusionlist delete 001e8c0fa457
show wlan WLAN_ID
WLAN Identifier 1
Profile Name student-wlan
Network Name (SSID) student-wlan
Status Enabled
MAC Filtering Disabled
Broadcast SSID Enabled
Exclusionlist Enabled
config wlan exclusionlist WLAN_ID disabled
exclusionlist の確認と削除
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
48 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211 で失敗 データレートが AP とクライアントでミスマッチしている
Voice トラフィックの場合帯域が不足していて CAC で拒否されている
PMF (IEEE 80211w) 設定がなされている
L2 認証で失敗 認証が失敗して Access Reject を受信しているあるいは RADIUS サーバが応答していない
クライアントの暗号化の実装状態に不具合がある (4-way handshake)
Exclusion list に登録されてしまっている
DHCP で失敗 DHCP のやりとりに問題があるWLC の接続スイッチポートでパケットキャプチャ
IP レイヤで失敗 IP アドレスが重複している
リンクローカルアドレス 169254xx から復帰してこない
CAPWAP データ通信 (UDP 5247 番) のドロップ AP Join の問題と同じスタンスでトラブルシューティング
想定される原因の例
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
49 copy 2013-2014 Cisco andor its affiliates All rights reserved
Management Frame 管理フレーム
Association Request Association Response
Disassociation
Deauthentication 等
AP に成りすまし被害クライアントに Deauthentication を送信するような DoS 攻撃に対抗するためのプロトコル
PMFって ndash Protected Management Frame IEEE 80211w
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
50 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 741000 IOS-XE 33から 80211w をサポート
シスコ独自の Client MFP および Infrastructure MFP とは別物
Windows 8 は 80211w をサポートしておりベンダーが提供する WLAN miniport ドライバが Windows 8 ハードウェア認定を得る為には 80211w サポートが必須となっている
Windows 881 との接続性に問題となる場合がある
CSCua29504 80211w-capable client fails pairwise key handshake with AES
これは Cisco 製品の不具合として修正リリースを提供済み
CSCum69317 Windows Surface do not associate to Autnomous AP wPMF (80211w) Enabled
CSCum86371 PMF causes Windows 81 clients to timeout on EAPOL M2
この上 2つの問題についてはシスコ製品の不具合とは確定せずPMF を WLAN で無効にすることで対応
Apple 製品については 80211w 対応の記載は見当たらず
WPA2 with PMF 認定を受けたデバイスの一覧はこちら httpwwwwi-fiorgcertified-products-
resultscid=ampsortby=defaultamporg=0ampga_category_2=Access+Point+for+Home+or+Small+Office+28Wireless+Router29ampga_capabilities=[22Protected+Management+Frames22]ampcategory=Selectampcategory_two=3ampstart_date[date]=ampend_date[date]=ampcapabilities[58]=58ampop=Searchampform_build_id=form-lZLdntrAJZU7mCyfqRIo2QCSfp71HjiMmSCHy0zEgrEampform_id=wifi_cert_api_advanced_search_form
Windows 80 81 Surface Pro Android が全然繋がらない - クライアントの実装が影響した例
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
51 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須の場合のビーコンを無線キャプチャで確認
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
52 copy 2013-2014 Cisco andor its affiliates All rights reserved
80211w 必須としていないクライアントの Probe Request
WLC の 11 に対して 01 となっている
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
53 copy 2013-2014 Cisco andor its affiliates All rights reserved
クライアントが DHCP_REQD 状態 WLC はまだ IP アドレスを知らない
WLC DHCP Proxy Enabled の場合
WLC が受け取った DHCP Discover は DHCP サーバへユニキャストで送信される
Internal DHCP サーバを動かす場合は Proxy Enabled が必須
WLC DHCP Proxy Disabled の場合
WLC が受け取った DHCP Discover はその WLAN のインターフェイスの VLAN セグメントでブロードキャストされる
DHCP サーバが別セグメントにある場合はデフォルトゲートウェイでの IP helper 設定が必要になる
DHCP の正常なシーケンス
1 クライアントが DHCP Discover
2 サーバが DHCP Offer
3 クライアントが DHCP Request
4 サーバが DHCP Ack
5 WLC はこの IP アドレスをクライアントの IP アドレスとして学習し次のステートへ
DHCP の動作を復習
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
54 copy 2013-2014 Cisco andor its affiliates All rights reserved
スマートフォンでも PC でも繋がらないのか確認する
どこのレイヤの問題なのかを考える
暗号化無しのそっくりな SSID を作成しておきそちらで再現性を確認する
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
クライアントOS の実装との相互接続性に問題はないかという意識を持つ
一度も繋がらないときのまとめ
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
55 copy 2013-2014 Cisco andor its affiliates All rights reserved
休憩 - 投票質問 2
皆さんの CUWN に関する知識と経験は
a 70 の時代で止まってます
b 72 と 73 までなんとか
c 74 なら安心ですね
d 75 だけど 11ac できますよ
e 76 で高速 11ac ですね
f 80 も予習導入済みです
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
56 copy 2013-2014 Cisco andor its affiliates All rights reserved
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
57 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
検証時には問題なかったのに本番環境に移行したらなぜかクライアントが無線 LAN に繋がらない
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 無線電波環境ユーザ環境
DFSノイズ干渉等
クライアント特有の実装
本番環境に移したら繋がらない
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
58 copy 2013-2014 Cisco andor its affiliates All rights reserved
検証環境と比較するとどこかに有意な差分がある
クライアントの数規模 1台だけで繋がるのかを確認
同時認証の負荷 (8021X または Web 認証)
大学の大講義開始時等ではこの許容数を超える可能性がある
検証時と同一の OS とサプリカントを使っているか確認
ユーザが OS を自分で (あるいは知らずに) アップグレードしている可能性がある
証明書や PAC の有効期限信頼関係に問題が生じている可能性がある
有線ネットワークは検証時と同じ構成か確認
HSRP VSS 等の冗長構成は正常に機能しているか
LAG を使っている場合および WISM12 を使っている場合接続スイッチの Etherchannel Load Balance アルゴリズムは src-dst-ip となっているか
src-dst-ip でない場合フラグメントされたクライアント証明書が WLC で組み立てられず RADIUS サーバに対して正常な状態で認証を実施できない
本番で繋がらないの最初の一歩
WLC モデル WLC4400 WiSM1 CT5508 WiSM2 CT5760 (Ver 32SE)
Web 認証負荷耐久性 同時に 125 ユーザ 同時に 150 ユーザ 毎秒 100 ユーザ
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
59 copy 2013-2014 Cisco andor its affiliates All rights reserved
特定の場所や部屋だけで繋がらないのか
無線電波環境高密度構成やチャネルの影響を考慮する
DFS チャネル (W53 W56帯) についてはレーダが存在する可能性を考慮して traplog を確認する
35 Wed Feb 12 145110 2014 Radar signals have been detected on channel 56 by 80211a radio with MAC 64d9894322a0 and slot 1
クライアントの密度が高く無線区間で輻輳している可能性を考慮する
show run-config
Load Information Load Profile FAILED Receive Utilization 45 Transmit Utilization 23 Channel Utilization 78 Attached Clients 49 clients
show traplog
22 Wed Mar 26 185603 2014 Load Profile Failed for Base Radio MAC 10bc125f8140 and slotNo 1
本番で繋がらないの最初の一歩
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
60 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で流れを追って原因個所を突き止める
debug client のプロトコル出力上は問題無く RUN になっているあるいは debug client に何も出力が無い状態で切断されている場合は次の一手を考える
電波環境の問題はどう解決するか
RRM 設定をチェック
Auto となっているか(Auto 設定は実際の現場の電波状態に基づいて動作する)
DCA リストの中にRadar が検知されやすいチャネルが入ってないか
レーダ検知 (DFS) の履歴を確認する(方法はこちら128071)
httpssupportforumsciscocomjadocument12186051
CleanAir による EDRRM は有効になっているか
明示的にログでわかる干渉源は無いか
Band Select 機能で 5GHz へ誘導できているか
特に混んでいるあるいは干渉のひどいチャネルが無いかCleanAir のレポートや Air Quality (AQ) 値を基に確認
SE Connect モードの CleanAir AP を使ってスペクトラムの状態を確認
本番で繋がらないの次の一歩
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
61 copy 2013-2014 Cisco andor its affiliates All rights reserved
SE Connect で取得できるスペクトラム WLC の traplog
チャネルの区別がつかない
チャネル 1 のDuty Cycle はほぼ MAX
Mon Aug 29 114818 2014 AP FW75_AP3602[0] (0c85259e4780) Device ID 0xa Type Bluetooth Link[1] Severity 2 Channels 6 Cluster ID 606760000022 Previous Cluster ID 606760000022 Event Set
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
62 copy 2013-2014 Cisco andor its affiliates All rights reserved
本番環境と検証環境で大きく違う点はどこかと考える
本番環境だけに特有の状況は何かと考える
クライアントOS のバージョンや設定に問題はないかという意識を持つ
debug client コマンドを show コマンドのように気軽に利用してどこで問題が起きていそうかを把握する
電波環境の問題はCUWN 独自の機能をフル活用して問題箇所を見つける
本番環境で繋がらないときのまとめ
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
63 copy 2013-2014 Cisco andor its affiliates All rights reserved
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
64 copy 2013-2014 Cisco andor its affiliates All rights reserved
問題の概要
本番環境でもだいたい使えているが不定期に「繋がらない」「切断されて接続できない」という連絡が入る
切断までは至らないけどもサーバレスポンスがタイムアウトして再読み込みすると使える
ファイルをダウンロードしようとすると有線よりだいぶ時間がかかる
関連する技術やプロトコル
一度も繋がらないケースと同様
+ 本番環境で繋がらないケースと同様
+ 定期的あるいは不定期に発生するトリガーを各レイヤで想定する
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらない
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
65 copy 2013-2014 Cisco andor its affiliates All rights reserved
ldquo気がするrdquo では不十分
どのアプリやトラフィックを使った際にどのようにldquo遅いrdquoと感じるのか
まずその端末上で Wireshark によるパケットキャプチャを実施してどのプロトコルがどう止まっているかを把握する
本当にldquo不定期rdquoか
レポートがあった時刻とユーザ(MAC アドレス) を時系列に並べ発生時刻に規則性が無いか確認する
show logging および show traplog を活用
WLAN セッションタイマーは初期値で 30分間が設定されており再認証が走るためそこで失敗していると 30分の倍数間隔という形で規則性が現れる
ブロードキャストキーの更新は初期値で 60分おきに走るためそこで失敗していると 1時間の倍数間隔かつ複数クライアントで同時発生という形で規則性が現れる
RRM で使うオフチャネルスキャンは 180 秒おきに一定のチャネルを訪れるためそこでパケットロスしている場合は 180チャネル数=14秒(24GHz の場合) 間隔かつ複数クライアントで同時発生という形で規則性が現れる
遅いrdquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (13)
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
66 copy 2013-2014 Cisco andor its affiliates All rights reserved
本当にldquo不定期rdquoか(続き)
DHCP の Request や Release の間隔に注意する
Windows の場合はリース期間の半分に達するときに一度 Request を送信して DHCP Renewal を試みるそのときに Renewal できなかった場合リース期間の 875 (リース期間が 24時間の場合は 21時間目) で DHCP Discover を実施する
クライアントの ARP キャッシュがローカルに残る時間に注意する
Windows の場合は最大 10分間でキャッシュが消失するためその段階で初めてデフォルトゲートウェイの ARP エントリが消滅しネットワーク超えの通信ができないことに気付く場合がある
IPv6 関連のパケットの着信を疑う使っていない場合はクライアント上で無効化
IPv6 の NDP (NS NA RS RA) DHCPv6 (DHCPv6 Solicitation)
IPv6 インフラが整っていない環境でもLAN 内のデュアルスタッククライアントが IPv6 ルータであるかのように振る舞ったりDHCPv6 による IPv6 アドレスの取得を試みているケースがある
DHCPv6 の処理がクライアントの CPU を使う場合適切に解決できないときに IPv4 の通信まで一時停止してしまうといったの弊害が出ることがある
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (23)
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
67 copy 2013-2014 Cisco andor its affiliates All rights reserved
DHCPv6 Solicitation (全 DHCPv6 ノード宛) 受信時に TCP ACK の送信を一時的に (約 02 秒間) 止めてしまったときの例DHCPv6 の間隔で定期的に発生
遅いldquo気がするrdquordquo不定期にrdquo繋がらないの最初の一歩 (33)
02s
TCP でのファイルサーバアクセス通信に遅延発生
サーバ 無線クライアント
本来期待される応答速度 (06msec)
同一 VLANSSID の
Windows 端末からの
DHCPv6 Solicitation
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
68 copy 2013-2014 Cisco andor its affiliates All rights reserved
debug client で PEM に問題が無いか確認
debug client で出力がないときに問題が起きている場合
本番環境で繋がらないケースと同様のトラブルシューティング
有線パケットに加えて無線フレームのキャプチャを実施
有線でキャプチャする場所問題のクライアント上 + WLC 接続スイッチポート
無線フレームをキャプチャする方法はこちら
httpssupportforumsciscocomjadocument12186576
なんだか遅いldquo気がするrdquordquo不定期にrdquo繋がらないの次の一歩
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
69 copy 2013-2014 Cisco andor its affiliates All rights reserved
パケットキャプチャを使いどのアプリプロトコルがどのように止まっているのかを具体的に把握する
不定期に見える事象も実は定期的な発生トリガーを持つ場合があるということを考えてログを見る
問題発生時に debug client でログが出てくるかどうかを確認する
クライアント上WLC ポートで有線キャプチャを実施し同時に無線フレームもキャプチャする
なんだか遅いと言われたときのまとめ
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
70 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 最近の要チェックな ソフトウェア不具合
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
71 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17283 ap3700 uses 8 replay counters w clients that support only 1 (ARP fails)
問題の見え方 AP が ARP Response をクライアントに送信するもその内容をクライアントが理解できない
特徴 AP3702 の 5GHz インターフェイス特有の問題だが根本原因はクライアントの実装変更にあった
761100 で修正済み
CSCum49200 76100 Broadcom client connectivity problems if WMM enabled w ap3600
問題の見え方 PEM は RUN になるもゲートウェイへ Ping できない
特徴 AP26003600 と Broadcom の WLAN チップセットの組み合わせ特有の問題761000 かつ WMM が有効な WLAN で発生
761100 で修正済み
要チェック (12)
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
72 copy 2013-2014 Cisco andor its affiliates All rights reserved
CSCuj17683 80211r Roaming AP may sometimes send deauth with reason code 7
問題の見え方 特定ベンダークライアントだけ稀に切断される
特徴 80211r 対応クライアント (Samsung i565) がローミングするときに稀に発生
801000 で修正済み
CSCul15555 FlexConnect AP decrypt errors after CCKM roam phone stuck in DHCP req
問題の見え方 Cisco Wireless LAN Phone 792x シリーズで通話ができなくなる
特徴 CCKM サポートの電話のみで発生741100 でのみ発生FlexConnect Local Switching の場合のみ発生ローミング時のみ発生
801000 で修正済み
要チェック (22)
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
73 copy 2013-2014 Cisco andor its affiliates All rights reserved
2 CUWN Version 80 の 運用上要チェックな新機能
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
74 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (19) WLAN を削除せずに Profile 名と SSID 名を変更できるようになった
つまり WLAN ID の変更が入らないためWLAN ndashVLAN マッピングや WLC 間での設定一致および Prime Infrastructure からの Template プッシュ等との親和性が高まった
PSK WLAN の場合は PSK を入力し直す必要があるので注意
ダイナミックインターフェイスを送信元に指定して Ping が打てるようになった
つまり IOS の拡張 Ping っぽいことが可能になった
(CT5508) gtping 17223192254
[ltinterface-namegt] [ltrepeat count[1-100]gt] [ltpacket size[10-2000]gt] Enter interface name andor repeat count(1-100) andor packet size(10-2000)
(CT5508) gtping 17223192254 vlan2410 100 200
Send count=100 Receive count=100 from 17223192254 Packet size = 200
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
75 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (29)
CAPWAP データリンクでの Keep-alive がデフォルトで有効になった
これまではコントロールリンクでのみ Keep-alive を実施しておりデータリンクでも Keep-alive を有効にするためにはデータリンク DTLS 暗号化を有効にする必要があった(PAT 環境ではセキュリティ向上目的でない暗号化が強制されていた)
AP はデータリンクの暗号化が不要になりオーバーヘッドも無くなる
(Cisco Controller) gtdebug capwap dtls-keepalive enable
(Cisco Controller) gtcapwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062140031 08cc68b446c0 Data Keepalive packet reflected back to 1723125510962319
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive received on IP 1723125540 port 5247
capwapSocketTask Jun 01 062201594 3cce731a0960 Data Keepalive packet reflected back to 10102120943147
この状態で NATPAT 環境で運用可能
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
76 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (39) RF プロファイル毎に DCA の設定ができるようになった
従来のグローバル設定 (使用例) RF プロファイルで既知のレーダチャネルを除外
(使用例) そのレーダを受信する位置にある AP を
AP Group にまとめRF プロファイルを適用
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
77 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (49)
80MHz 幅の 80211ac を検知可能になった
80211ac 対応のクライアントスマートフォンの数が急増しておりこれらを検知して RRM のチャネル計画に生かすことが可能に
AP1600 シリーズで CleanAir Express 機能が利用可能になった
機能自体は上位機種の CleanAir と同じだが追跡できる干渉源は 1 無線インターフェイスあたり 3 台までという制限がある点に注意
ldquoshow ap summaryrdquo コマンドで AP の IP アドレスとクライアント接続数がわかるようになった
(CT5508) gtshow ap summary
Number of APs 7
Global AP User Name xxxx
Global AP Dot1x User Name Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients
------------------ ----- -------------------- ----------------- ---------------- ------- --------------- -------
CAP1602 2 AIR-CAP1602I-Q-K9 c08c60297753 default location J4 172312542 0
APa80c0dd21f2c 2 AIR-CAP2702I-Q-K9 a80c0dd21f2c default location J4 1721717122 1
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
78 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (59)
show system コマンドが追加されWLC のパフォーマンスがわかりやすくなった
(CT5508) gtshow system
dmesg Displays dmesg logs
interfaces Displays information about the configured
network interfaces
interrupts Displays the number of interrupts
iostat Displays CPU and inputoutput statistics for
devices
ipv6 Displays system ipv6 information
meminfo Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat Display system network stats
process Displays process related information
route Displays system routing table
slabs Displays memory usage on slab level
slabtop Displays the slab usage
timers Display system timer info
top Displays the cpu usage
vmstat Displays system virtual memory statistics
(CT5508) gtshow system meminfo
MemTotal 1001976 kB
MemFree 274804 kB
Buffers 368 kB
Cached 163192 kB
SwapCached 0 kB
Active 587636 kB
Inactive 68188 kB
SwapTotal 0 kB
SwapFree 0 kB
Dirty 0 kB
Writeback 0 kB
AnonPages 492320 kB
Mapped 33752 kB
Slab 43024 kB
SReclaimable 2732 kB
SUnreclaim 40292 kB
PageTables 2012 kB
NFS_Unstable 0 kB
Bounce 0 kB
CommitLimit 500988 kB
Committed_AS 926020 kB
VmallocTotal 1073741824 kB
VmallocUsed 16252 kB
VmallocChunk 1073723488 kB
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
79 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (69) show run-config startup-config コマンド(機能)が追加された
従来の transfer upload datatype config でアップロードされるバックアップコンフィグと同じ内容が出力されコピーampペーストにより設定を簡単にバックアップリストアできるようになった
show client detail の出力に WLAN Profile と SSID 名が表示されるようになった (CT5508) gtshow client detail 04466555c1fe
Client MAC Address 04466555c1fe
Client Username NA
AP MAC Address a80c0ddbba20
AP Name FW41-AP2702E
AP radio slot Id 1
Client State Associated
Client User Group
Client NAC OOB State Access
Wireless LAN Id 11
Wireless LAN Network Name (SSID) test-students
Wireless LAN Profile Name students-wlan
Hotspot (80211u) Not Supported
BSSID a80c0ddbba25
Connected For 63 secs
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
80 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (79) debug client の出力に AP 名が表示されるようになった
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Processing assoc-req station7831c1bb775e AP0c85259e4780-01 thread150e53e0
apfMsConnTask_5 Sep 29 150054273 7831c1bb775e Reassociation received from mobile on BSSID 0c85259e4785 AP FW75_AP3602
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
81 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (89) Wi-Fi アライアンスの方針によりWPA (Version 1) + TKIP の組み合わせ単独では設定できなくなりましたWPAv2 + AES と一緒に設定する必要があります
(CT5508) gtconfig wlan security wpa wpa1 enable 12 (CT5508) gtconfig wlan security wpa wpa1 ciphers aes Configures WPAAES support tkip Configures WPATKIP support (CT5508) gtconfig wlan security wpa wpa1 ciphers tkip enable 12 (CT5508) gtconfig wlan enable 12 (CT5508) gtshow wlan 12 WLAN Identifier 12 Profile Name wpa1-tkip-only Network Name (SSID) wpa-tkip Status Enabled Security 80211 Authentication Open System FT Support Disabled Static WEP Keys Disabled 8021X Enabled Wi-Fi Protected Access (WPAWPA2) Enabled WPA (SSN IE) Enabled TKIP Cipher Enabled AES Cipher Disabled WPA2 (RSN IE) Enabled TKIP Cipher Disabled AES Cipher Enabled (CT5508) gtconfig wlan disable 12 (CT5508) gtconfig wlan security wpa wpa2 disable 12 Request failed Not allowed to disable the WPA2 policy when WPA1 TKIP is enabled on WLAN 12
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
82 copy 2013-2014 Cisco andor its affiliates All rights reserved
CUWN 運用観点からの 801000 の要チェックな新機能 (99)
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you
83 copy 2013-2014 Cisco andor its affiliates All rights reserved
Thank you