type
status
date
slug
summary
tags
category
icon
password
Troubleshoot a Lightweight AP that Fails to Join a WLC
Complete these steps in order to troubleshoot this problem:
- Issue
debug dtls client error + debug dtls client eventcommands on the AP:
*Jun 28 09:21:25.011: DTLS_CLIENT_EVENT: dtls_process_Certificate: Processing...Peer certificate verification failed 001A*Jun 28 09:21:25.031: DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:509 Certificate verified failed!*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Bad certificate Alert*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_client_process_record: Error processing Certificate.*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_disconnect: Disconnecting DTLS connection 0x8AE7FD0*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_free_connection: Free Called... for Connection 0x8AE7FD0*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Close notify Alert
This information clearly shows the controller time is outside the certificate validity interval of the AP. Therefore, the AP cannot register with the controller. Certificates installed in the AP have a predefined validity interval. The controller time must be set so it is within the certificate validity interval of the AP certificate.
- Issue the
show timecommand from the controller CLI in order to verify the date and time set on your controller falls within this validity interval. If the controller time is higher or lower than this certificate validity interval, then change the controller time to fall within this interval.
Note: If the time is not set correctly on the controller, choose
Commands > Set Time in the controller GUI mode, or issue the config time command in the controller CLI in order to set the controller time.- On APs with CLI access, verify the certificates with the
show crypto ca certificatescommand from the AP CLI.
This command allows you to verify the certificate validity interval set in the AP. This is an example:
AP00c1.649a.be5c#show crypto ca cert.....................................................................................................................................................................................CertificateStatus: AvailableCertificate Serial Number (hex): 7D1125A900000002A61ACertificate Usage: General PurposeIssuer:cn=Cisco Manufacturing CA SHA2o=CiscoSubject:Name: AP1G2-00c1649abe5ce=support@cisco.comcn=AP1G2-00c1649abe5co=Cisco Systemsl=San Josest=Californiac=USCRL Distribution Points:http://www.cisco.com/security/pki/crl/cmca2.crlValidity Date:start date: 01:05:37 UTC Mar 24 2016end date: 01:15:37 UTC Mar 24 2026Associated Trustpoints: Cisco_IOS_M2_MIC_certStorage:............................................................................................................
The entire output is not listed because there can be many validity intervals associated with the output of this command. Consider only the validity interval specified by the Associated Trustpoint: Cisco_IOS_MIC_cert with the relevant AP name in the name field. In this example output, it is Name: C1200-001563e50c7e. This is the actual certificate validity interval to be considered.
- Please refer to Cisco bug ID CSCuq19142 LAP/WLC MIC or SSC lifetime expiration causes DTLS failure: Cisco bug ID CSCuq19142.
在检测IP通信层面正常之后 如果还是无法加入上线 请检查以下三个方面
AP 加入不到WLC 最常见解决方法:
1.country code 一致
2. 时间配置一致,目的是让证书时间一致,不至于一个过期,一个不过期
3. WLC允许的最大AP连接数数目等。
你可以将 AP MAC 地址 加入WLC 的 MAC Filter
WLC (Security > MAC Filtering > New...
" You must enter the MAC address for all mesh access points that you want to use
in the mesh network into the appropriate controller. A controller only responds to
discovery requests from outdoor radios that appear in its authorization list.
MAC filtering is enabled by default on the controller, so only the MAC addresses
need to be configured. If the access point has an SSC and has been added to the AP Authorization
List, then the MAC address of the AP need not be added to the MAC Filtering List. "
1.国别有没有设置对
2.AP有没有被改号
3.有没有做证书
4.WLC时间有没有设置正确
Cisco AP注册不上控制器原因汇总2020-06-02 分类:技术学习 阅读(3151)
针对Cisco AP无法注册上控制器,或者AP注册上之后频繁断开的现象,这里列举出几个常见的原因和解决方法,供日后借鉴。
AP证书时间问题
这种现象出现在型号较老的AP上,由于思科AP出厂只有10年的证书有效期时间,当AP使用超过10年后,AP注册控制器时证书校验失败,就无法注册上控制器了。当然如果AP一直注册在控制器上,不断电,不离开,即使证书到期也不影响正常使用。所有这个AP证书时间问题经常出现在AP出现重启或其它意外情况AP与控制器断开之后。
AP证书查看命令,登录AP,show crypto pki certificates,看倒数第二项,Certificate那一项的证书起始时间。
AP证书过期一般有类似以下的日志:
- May 28 01:14:43.294: %PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: Certificate chain validation has failed. The certificate (SN: 2BAE49080000000737F8) is not yet valid Validity period starts on 14:11:53 UTC Mar 13 2016Peer certificate verification failed 000B
- May 28 01:14:43.296: %CAPWAP-3-ERRORLOG: Certificate verification failed!
- May 28 01:14:43.296: DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:447 Certificate verified failed!
- May 28 01:14:43.296: %DTLS-5-SEND_ALERT: Send FATAL : Bad certificate Alert to 172.17.10.10:5246
- May 28 01:14:43.297: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 172.17.10.10:5246
解决方法:
1,更改控制器时间,让控制器的时间在AP证书的区间内。如现在时2020年,改为2017年差不多就可以又撑个三年了。这种方法比较建议。
2,控制器通过命令忽略证书验证,config apcert-expiry-ignore {mic|ssc} enable,不是所有控制器版本都生效。如果控制器不支持这条命令这种方法就不行。
3,升级硬件,更换新型号的AP。
控制器证书时间问题
这个和AP证书时间问题类似,控制器也有10年的限制。
控制器证书查看命令,登录控制器,show certificate all,看倒数第三项,Cisco SHA1 device cert 证书的起始时间。
解决方法:
1,更改控制器时间,让控制器的时间在AP证书的区间内。如现在时2020年,改为2017年差不多就可以又撑个三年了。这种方法比较建议。
2,控制器通过命令忽略证书验证,config apcert-expiry-ignore {mic|ssc} enable,不是所有控制器版本都生效。如果控制器不支持这条命令这种方法就不行。
3,升级硬件,更换新型号的无线控制器。
国家代码问题
一般国内的是CN ,AP型号一般为-H,-C。美国的是US,AP型号一般为-A。 AP型号刷过的除外。
般可以通过show logg 或者debug capwap信息看到如Country code is not configured 等报错,
解决方法:
WLC 是支持多个国家代码的配置的,将无法加入控制器的AP的国家代码添加,就可以了。
无线控制器硬件与AP不兼容
对于老的控制器硬件,它的最高支持的软件版本也会受限制,可能不再支持一些新的控制器软件版本,对应的新型号的AP可能也就不再支持,这个要看思科官网关于控制器对应软件版本的兼容性列表,查列表即可。
无线控制器软件版本与AP不兼容
新增新型号AP或者升级控制器版本之前要看思科官网关于控制器对应软件版本的兼容性列表,确保控制器软件版本支持所有AP。
这种一般出现在控制器软件升级或降低版本之后,回滚版本即可。有的打个控制器软件补丁也可以。
AP 跟WLC 不在相同管理网段内,或者option 配置错误(无配置或者配置不正确)
新加入的AP 无法加入WLC ,首先看AP 获取的地址是否正确,可以登陆AP show ip inter b 查看IP 信息,然后在AP 上面ping WLC 的IP地址
也可以是电脑接AP 网线,一样的操作测试。 另外如果跨网段的情详细看看DHCP 服务器的option配置是否正确。
通信被防火墙等策略阻断
这个可能是防火墙或者其他安全策略配置阻断了CAPWAP 必要通信端口导致
– 为 CAPWAP 流量启用以下 UDP 端口:数据 – 5247控制 – 5246
– 为移动性流量启用如下 UDP 端口:16666 – 1666616667 – 16667
– 为 CAPWAP 流量启用 UDP 端口 5246 和 5247。
– 用于 SNMP 的 TCP 161 和 162(适用于 Wire-ess Contro- System [WCS])
以下端口为可选端口(可根据自己的需要决定是否启用):
– UDP 69,用于 TFTP
– TCP 80 和/或 443,用于通过 HTTP 或 HTTPS 的 GUI 访问
– TCP 23 和/或 22,用于通过 Te-net 或 SSH 的 C-I 访问
AP的mac地址未加入AP Policies
对于模式是Root或者mesh的AP,注册时会自动加入AP Policies,但有时候也需要手工添加,通过show version获取AP的mac地址,然后在AP Policies内搜索该mac,如没有,右上角add,手动添加以下即可。
WLC IP地址重复
这个虽然不常见,但是也会导致AP注册不上控制器。一般是有人私自配置了IP地址与WLC 冲突。
根据搜索结果,Cisco 2504控制器管理的AP显示"not joined"状态可能由多种原因导致,以下是综合排查和解决方案:
一、常见原因分析
- 授权不足
- AC控制器支持的AP数量超过授权许可(如授权仅支持5个AP,但实际连接7个AP),导致部分AP无法注册。
- 现象:日志提示"Maximum number of AP supported has already joined"。
- 证书或DTLS握手失败
- AP与AC之间的DTLS加密握手失败,常见于证书未通过验证: 可能原因包括证书过期、根证书未同步或MIC证书无效。
- 网络配置问题
- AP与AC的IP连通性异常(如子网掩码、网关错误)。
- VLAN或端口配置不匹配,导致AP无法发现AC。
- 硬件或兼容性问题
- AP型号与AC不兼容(如SMB-AP无法对接普通AC)。
- AP射频模块故障或电源问题。
- AC集群状态异常
- 主备AC切换时,若备用AC未完全同步或证书失效,可能导致AP漂移。
二、解决方案
1. 检查授权与容量
- 步骤:
- 登录AC控制台,查看
Monitor > Statistics > AP Join确认已注册AP数是否超过授权限制。 - 若超限,需扩容License或移除闲置AP配置。
2. 修复证书问题
- 操作:
- 重新签发AP和AC的MIC证书,确保根证书链完整。
- 检查AC的证书信任链:
- 重启AP强制重新协商DTLS。
3. 验证网络配置
- 关键点:
- 确保AP与AC在同一子网或可通过路由互通。
- 检查AC的
CAPWAP端口(默认5246/5247)未被防火墙拦截。 - 确认AP的BVI接口IP配置正确(仅BVI1可配置管理IP)。
4. 排查硬件与兼容性
- 方法:
- 更换AP测试,确认是否为硬件故障。
- 检查AP型号是否在AC兼容列表(如CAP1602需匹配2504的固件版本)。
5. 日志与调试命令
- 关键命令:
三、预防措施
- 定期维护
- 监控AC集群状态,避免主备切换导致证书失效。
- 定期清理离线AP配置,释放License资源。
- 配置标准化
- 为AP命名并绑定MAC地址,便于故障定位。
- 使用DHCP Option 43或DNS记录指向AC地址,简化AP发现流程。
- 固件升级
- 确保AC和AP固件版本兼容(如Cisco 2504需匹配AP的IOS版本)。
四、扩展参考
- AC重启后AP漂移问题:检查主备AC的证书同步状态,避免因证书不一致导致AP反复切换。
- 企业多AP环境:建议配置热备AC并启用负载均衡,避免单点故障。
若问题仍未解决,建议收集完整日志(包括AC的
debug capwap packet和AP的Console输出)进一步分析。
Loading...
