关于思科AP因证书过期无法自动上线WLC问题

122: %L INK-S-CHANGED: Interface DotilRadioõ, changed state to reset
8: XINEPRoTOirupbom: ine protoco,on interface Dotiikadiol. changed state to.up.163: %LINEPROTO-5-UPDOWN: Line protoco1 on Interface Dot11Radio0,'changed state to down.195:%LINK-6-UPDOWN:Interface Dot1Radio0,changed state to up
.195: %LINEPROTO-5-UPDOWN: Line protocol on Interface Dot11Radio0,changed state to up
3.111: %CAPWAP-3-ERRORLOG: Go join a/capwap controller/fish
8.000:%CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 192.168.1.254 peer_port: 5246
3.103: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate 
d ended on 02:10:41 UTC Aug 7 2023Peer certificate verification failed 001A
8.103: %CAPWAP-3-ERRORLOG: Certificate verification failed!
18.103:
DTLS_CLIENT_ERROR:../capwap/base_capwap/capwap/base_capwap_wtp_dtls.C:447_Certificate verified failed!
8.103: %DTLS-5-SEND ALERT: Send-FATAL
 Bad certificate Alert to 192.168.1.254:5246
8.103: %DTLS-5-SEND ALERT~ Send FATAL : Close notity Alert to 192.168.1.254:5246
08.107: %CAPWAP-3-ERRORLOG: Invalid event 38-& state 3 combination.
12.999: %CAPWAP-3-ERRORLOG: Go joinla capwap controller
08.000: %CAPWAP-5-DTLSREQSEND:OTLS connection request.sent, peer ip: 192.168.1.254 peer_port: 5246
08.103: %PKI-3-CERTIFICATE INVALID_EXPIRED:lCertificate chain vaTidation has failed. The certificate 
od ended on 02:10:41 UTC Aug 7 2023Peer certificate-verification failed 001A
08.107: %CAPWAP-3-ERRORLOG:Certificate verification failed!
:08.107: DTLS_CLIENT ERROR:'--/capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:447 Certificate verified failed!
:08.107: %DTLS-5-SEND_ALERT: Send FATAL : Bad certificate Alert to 192.168.1.254:5246
:08.107:%DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 192.168.1.254:5246
:08.107: %CAPWAP-3-ERRORLOG:Invalid event 38 & state 3 combination.

1. 问题分析

上述为某公司思科AP所输出的日志告警,当前故障现像为AP无法自动注册上线,用户终端无法接收射频信号来访问互联网。通过分析日志,首先我们可以看到AP通过capwap隧道去发现WLC,其中192.168.1.254是WLC的IP地址,而后面所携带的端口号5246是capwap在建立时所携带的一个控制端口,而AP在与WLC建立capwap隧道会用到一个加密协议DTLS来加密AP与WLC之间的数据传输,在DTLS加密过程中就会对双方证书是否有效进行检查,检查通过后才可进行加密传输。

CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate 
d ended on 02:10:41 UTC Aug 7 2023Peer certificate verification failed 001A
8.103: %CAPWAP-3-ERRORLOG: Certificate verification failed!
18.103:

查看这段日志我们可以发现AP的证书在2023年的8月份已经过期,所以导致AP无法自动上线WLC,并且无法发出射频型号,通常在AP上线成功后,AP上线的指示灯等会保持常绿闪烁状态,如果上线失败则会呈现红灯会不停闪烁。

2. 关于CAPWAP和DTLS的基础协议原理

DTLS:Datagram Transport Layer Security:数据报文传输层安全。

他相当于是SSL(安全套接层)和TLS(传输层安全)协议结合体,因为在传统来看SSL和TLS是两种安全协议是不能用UDP的传输的,但在某些情况UDP也有一些安全传输的需求,所以就有了DTLS协议。

DTLS协议采用非对称加密分发对称加密的密钥,也就是DTLS握手。当DTLS握手完成后,即可使用对称加密的密钥来进行加密通信,所以其实DTLS所使用的加密为混合加密,因为普通的对称加密加解密所使用的是同一个密钥,算法比较简单,并且需要在双方通讯前就把密钥传递给对方,密钥在传递过程中容易被截获安全性有很大的问题,而非对称加密双方是各自持有公钥和私钥,私钥和公钥是互相加解密的关系,如果使用公钥加密就只能使用私钥解密,使用私钥加密就只能使用公钥解密,并且只有公钥会在网络中传递,基于机制和算法的原因安全性非常高,但对资源的消耗也是非常大的,所以使用混合加密既可以保证安全性也不会使数据容易被截获。而DTLS的安全性也可以从以下几个方面得到保障。

1. DTLS在握手时进行cookie校验,防止dos攻

2. DTLS在握手时具有身份证书和数据签名,防
止篡改和冒充。
3. DTLS在握手时使用公钥密码进行加密,防止
秘密密钥被泄露。
4. DTLS在通信时使用秘密密钥进行加密,防止
通信内容泄露
5. DTLS在传输方面使用HMAC对数据完整性进
行校验,防止数据被篡改

CAPWAP:Control And Provisioning of Wireless Access Points Protocol Specification:无线接入点的控制和配置协议

在一些中大型企业中会用到AC+AP的组网方式,而在瘦AP场景下,AP不能单独工作,需要与AC配合使用,因此AC和AP之间需要一个通信协议可以让它们进行互联。CAPWAP协议用于AC对其所关联的AP的集中管理和控制,为AP和AC之间的互通性提供了一个通用封装和传输机制。

而CAPWAP协议是有两种报文的,CAPWAP数据报文和控制报文,控制报文主要携带的是信息要素,用于AC对于AP的工作参数配置以及CAPWAP隧道的维护,而数据报文主要携带的是终端用户发送的数据,因为CAPWAP协议使用UDP传输,控制报文和数据报文所使用的端口号也不同,控制报文使用的的端口为5246,而数据报文为5247。其中思科的无线设备默认情况控制报文受DTLS保护,而受DTLS保护的CAPWAP控制报文由CAPWAP前导、DTLS首部、CAPWAP首部、控制首部、信息要素、DTLS尾部组成。是否受DTLS保护是CAPWAP的可选项, DTLS用于对CAPWAP报文进行加密和验证,提高CAPWAP报文的安全性。下面为受DTLS保护的封装头部

b08916a368d64595af7097ae631e4823.jpeg

3.问题解决

解决上述问题的方法有很多种,本文只介绍其中两种

1. 可以在WLC上通过命令忽略对证书的检查,因为在DTLS握手过程中检查证书这个选项是可选的所以取消证书的检查即可解决无法上线问题。

ios 7.0.252版本或以上:

config ap life-check mic enable

config ap life-check ssc enable

ios 7.4.140 版本或以上:

config ap cert-expiry-ignore mic enable

当然可能在某些WLC上因硬件问题不支持这几条命令,也可以采用第二种方法

2. 将WLC的系统时间改为证书过期前,使系统认为证书没有到达有效期也可以解决无法上线问题。

clock set 13:00:00 may 12 2017 (enable视图下)

 

 

 

 

 

 

 

 

  • 28
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值