欢迎来访~

Cisco AP注册不上控制器原因汇总

针对Cisco AP无法注册上控制器,或者AP注册上之后频繁断开的现象,这里列举出几个常见的原因和解决方法,供日后借鉴。

AP证书时间问题

这种现象出现在型号较老的AP上,由于思科AP出厂只有10年的证书有效期时间,当AP使用超过10年后,AP注册控制器时证书校验失败,就无法注册上控制器了。当然如果AP一直注册在控制器上,不断电,不离开,即使证书到期也不影响正常使用。所有这个AP证书时间问题经常出现在AP出现重启或其它意外情况AP与控制器断开之后。
AP证书查看命令,登录AP,show crypto pki certificates,看倒数第二项,Certificate那一项的证书起始时间。
AP证书过期一般有类似以下的日志:
*May 28 01:14:43.294: %PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: Certificate chain validation has failed.  The certificate (SN: 2BAE49080000000737F8) is not yet valid   Validity period starts on 14:11:53 UTC Mar 13 2016Peer certificate verification failed 000B
*May 28 01:14:43.296: %CAPWAP-3-ERRORLOG: Certificate verification failed!
*May 28 01:14:43.296: DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:447 Certificate verified failed!
*May 28 01:14:43.296: %DTLS-5-SEND_ALERT: Send FATAL : Bad certificate Alert to 172.17.10.10:5246
*May 28 01:14:43.297: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 172.17.10.10:5246
解决方法:
1,更改控制器时间,让控制器的时间在AP证书的区间内。如现在时2020年,改为2017年差不多就可以又撑个三年了。这种方法比较建议。
2,控制器通过命令忽略证书验证,config apcert-expiry-ignore {mic|ssc} enable,不是所有控制器版本都生效。如果控制器不支持这条命令这种方法就不行。
3,升级硬件,更换新型号的AP。

控制器证书时间问题

这个和AP证书时间问题类似,控制器也有10年的限制。
控制器证书查看命令,登录控制器,show certificate all,看倒数第三项,Cisco SHA1 device cert 证书的起始时间。
解决方法:
1,更改控制器时间,让控制器的时间在AP证书的区间内。如现在时2020年,改为2017年差不多就可以又撑个三年了。这种方法比较建议。
2,控制器通过命令忽略证书验证,config apcert-expiry-ignore {mic|ssc} enable,不是所有控制器版本都生效。如果控制器不支持这条命令这种方法就不行。
3,升级硬件,更换新型号的无线控制器。

国家代码问题

一般国内的是CN ,AP型号一般为-H,-C。美国的是US,AP型号一般为-A。  AP型号刷过的除外。
般可以通过show logg 或者debug capwap信息看到如Country code is not configured  等报错,
解决方法:
WLC 是支持多个国家代码的配置的,将无法加入控制器的AP的国家代码添加,就可以了。

无线控制器硬件与AP不兼容

对于老的控制器硬件,它的最高支持的软件版本也会受限制,可能不再支持一些新的控制器软件版本,对应的新型号的AP可能也就不再支持,这个要看思科官网关于控制器对应软件版本的兼容性列表,查列表即可。

无线控制器软件版本与AP不兼容

新增新型号AP或者升级控制器版本之前要看思科官网关于控制器对应软件版本的兼容性列表,确保控制器软件版本支持所有AP。
这种一般出现在控制器软件升级或降低版本之后,回滚版本即可。有的打个控制器软件补丁也可以。

AP 跟WLC 不在相同管理网段内,或者option 配置错误(无配置或者配置不正确)

新加入的AP 无法加入WLC ,首先看AP 获取的地址是否正确,可以登陆AP  show  ip inter b 查看IP 信息,然后在AP 上面ping WLC 的IP地址
也可以是电脑接AP 网线,一样的操作测试。 另外如果跨网段的情详细看看DHCP 服务器的option配置是否正确。

通信被防火墙等策略阻断

这个可能是防火墙或者其他安全策略配置阻断了CAPWAP 必要通信端口导致
– 为 CAPWAP 流量启用以下 UDP 端口:数据 – 5247控制 – 5246
– 为移动性流量启用如下 UDP 端口:16666 – 1666616667 – 16667
– 为 CAPWAP 流量启用 UDP 端口 5246 和 5247。
– 用于 SNMP 的 TCP 161 和 162(适用于 Wire-ess Contro- System [WCS])
以下端口为可选端口(可根据自己的需要决定是否启用):
– UDP 69,用于 TFTP
– TCP 80 和/或 443,用于通过 HTTP 或 HTTPS 的 GUI 访问
– TCP 23 和/或 22,用于通过 Te-net 或 SSH 的 C-I 访问

AP的mac地址未加入AP Policies

对于模式是Root或者mesh的AP,注册时会自动加入AP Policies,但有时候也需要手工添加,通过show version获取AP的mac地址,然后在AP Policies内搜索该mac,如没有,右上角add,手动添加以下即可。

WLC IP地址重复

这个虽然不常见,但是也会导致AP注册不上控制器。一般是有人私自配置了IP地址与WLC 冲突。
赞(4)
可附来源转载:姜维驿站 » Cisco AP注册不上控制器原因汇总

富强、民主、文明、和谐、自由、平等、公正、法治、爱国、敬业、诚信、友善