122: %L INK-S-CHANGED: Interface DotilRadioõ, changed state to reset
8: XINEPRoTOirupbom: ine protoco,on interface Dotiikadiol. changed state to.up.163: %LINEPROTO-5-UPDOWN: Line protoco1 on Interface Dot11Radio0,'changed state to down.195:%LINK-6-UPDOWN:Interface Dot1Radio0,changed state to up
.195: %LINEPROTO-5-UPDOWN: Line protocol on Interface Dot11Radio0,changed state to up
3.111: %CAPWAP-3-ERRORLOG: Go join a/capwap controller/fish
8.000:%CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 192.168.1.254 peer_port: 5246
3.103: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate
d ended on 02:10:41 UTC Aug 7 2023Peer certificate verification failed 001A
8.103: %CAPWAP-3-ERRORLOG: Certificate verification failed!
18.103:
DTLS_CLIENT_ERROR:../capwap/base_capwap/capwap/base_capwap_wtp_dtls.C:447_Certificate verified failed!
8.103: %DTLS-5-SEND ALERT: Send-FATAL
Bad certificate Alert to 192.168.1.254:5246
8.103: %DTLS-5-SEND ALERT~ Send FATAL : Close notity Alert to 192.168.1.254:5246
08.107: %CAPWAP-3-ERRORLOG: Invalid event 38-& state 3 combination.
12.999: %CAPWAP-3-ERRORLOG: Go joinla capwap controller
08.000: %CAPWAP-5-DTLSREQSEND:OTLS connection request.sent, peer ip: 192.168.1.254 peer_port: 5246
08.103: %PKI-3-CERTIFICATE INVALID_EXPIRED:lCertificate chain vaTidation has failed. The certificate
od ended on 02:10:41 UTC Aug 7 2023Peer certificate-verification failed 001A
08.107: %CAPWAP-3-ERRORLOG:Certificate verification failed!
:08.107: DTLS_CLIENT ERROR:'--/capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:447 Certificate verified failed!
:08.107: %DTLS-5-SEND_ALERT: Send FATAL : Bad certificate Alert to 192.168.1.254:5246
:08.107:%DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 192.168.1.254:5246
:08.107: %CAPWAP-3-ERRORLOG:Invalid event 38 & state 3 combination.
1. 问题分析
上述为某公司思科AP所输出的日志告警,当前故障现像为AP无法自动注册上线,用户终端无法接收射频信号来访问互联网。通过分析日志,首先我们可以看到AP通过capwap隧道去发现WLC,其中192.168.1.254是WLC的IP地址,而后面所携带的端口号5246是capwap在建立时所携带的一个控制端口,而AP在与WLC建立capwap隧道会用到一个加密协议DTLS来加密AP与WLC之间的数据传输,在DTLS加密过程中就会对双方证书是否有效进行检查,检查通过后才可进行加密传输。
CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate
d ended on 02:10:41 UTC Aug 7 2023Peer certificate verification failed 001A
8.103: %CAPWAP-3-ERRORLOG: Certificate verification failed!
18.103:
查看这段日志我们可以发现AP的证书在2023年的8月份已经过期,所以导致AP无法自动上线WLC,并且无法发出射频型号,通常在AP上线成功后,AP上线的指示灯等会保持常绿闪烁状态,如果上线失败则会呈现红灯会不停闪烁。
2. 关于CAPWAP和DTLS的基础协议原理
DTLS:Datagram Transport Layer Security:数据报文传输层安全。
他相当于是SSL(安全套接层)和TLS(传输层安全)协议结合体,因为在传统来看SSL和TLS是两种安全协议是不能用UDP的传输的,但在某些情况UDP也有一些安全传输的需求,所以就有了DTLS协议。
DTLS协议采用非对称加密分发对称加密的密钥,也就是DTLS握手。当DTLS握手完成后,即可使用对称加密的密钥来进行加密通信,所以其实DTLS所使用的加密为混合加密,因为普通的对称加密加解密所使用的是同一个密钥,算法比较简单,并且需要在双方通讯前就把密钥传递给对方,密钥在传递过程中容易被截获安全性有很大的问题,而非对称加密双方是各自持有公钥和私钥,私钥和公钥是互相加解密的关系,如果使用公钥加密就只能使用私钥解密,使用私钥加密就只能使用公钥解密,并且只有公钥会在网络中传递,基于机制和算法的原因安全性非常高,但对资源的消耗也是非常大的,所以使用混合加密既可以保证安全性也不会使数据容易被截获。而DTLS的安全性也可以从以下几个方面得到保障。
1. DTLS在握手时进行cookie校验,防止dos攻
击
2. DTLS在握手时具有身份证书和数据签名,防
止篡改和冒充。
3. DTLS在握手时使用公钥密码进行加密,防止
秘密密钥被泄露。
4. DTLS在通信时使用秘密密钥进行加密,防止
通信内容泄露
5. DTLS在传输方面使用HMAC对数据完整性进
行校验,防止数据被篡改
CAPWAP:Control And Provisioning of Wireless Access Points Protocol Specification:无线接入点的控制和配置协议
在一些中大型企业中会用到AC+AP的组网方式,而在瘦AP场景下,AP不能单独工作,需要与AC配合使用,因此AC和AP之间需要一个通信协议可以让它们进行互联。CAPWAP协议用于AC对其所关联的AP的集中管理和控制,为AP和AC之间的互通性提供了一个通用封装和传输机制。
而CAPWAP协议是有两种报文的,CAPWAP数据报文和控制报文,控制报文主要携带的是信息要素,用于AC对于AP的工作参数配置以及CAPWAP隧道的维护,而数据报文主要携带的是终端用户发送的数据,因为CAPWAP协议使用UDP传输,控制报文和数据报文所使用的端口号也不同,控制报文使用的的端口为5246,而数据报文为5247。其中思科的无线设备默认情况控制报文受DTLS保护,而受DTLS保护的CAPWAP控制报文由CAPWAP前导、DTLS首部、CAPWAP首部、控制首部、信息要素、DTLS尾部组成。是否受DTLS保护是CAPWAP的可选项, DTLS用于对CAPWAP报文进行加密和验证,提高CAPWAP报文的安全性。下面为受DTLS保护的封装头部
3.问题解决
解决上述问题的方法有很多种,本文只介绍其中两种
1. 可以在WLC上通过命令忽略对证书的检查,因为在DTLS握手过程中检查证书这个选项是可选的所以取消证书的检查即可解决无法上线问题。
ios 7.0.252版本或以上:
config ap life-check mic enable
config ap life-check ssc enable
ios 7.4.140 版本或以上:
config ap cert-expiry-ignore mic enable
当然可能在某些WLC上因硬件问题不支持这几条命令,也可以采用第二种方法
2. 将WLC的系统时间改为证书过期前,使系统认为证书没有到达有效期也可以解决无法上线问题。
clock set 13:00:00 may 12 2017 (enable视图下)
1974
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
