思科WLC与AP无法正常Join

最新推荐文章于 2025-02-11 00:17:52 发布
最新推荐文章于 2025-02-11 00:17:52 发布
阅读量7.5k 收藏 7
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 路由交换
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38623994/article/details/103812963
本文描述了思科WLC2125与AIR-LAP1242AG因AP证书过期导致无法正常运行的问题,通过调整WLC时间至2014年解决了DTLS握手失败的情况,提供了忽略证书有效期的配置方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[问题描述]
客户现场有一套非常久的思科WLC2125与AIR-LAP1242AG,2020年1月1日起就没有办法运用。思科无线控制器WLC是冗余的,WLC01状态灯异常先不管,WLC02可以正常访问也没有办法正常接管AP?

从日志中发现如下的信息:

*spamReceiveTask: Jan 02 16:49:00.408: %DTLS-3-HANDSHAKE_FAILURE: openssl_dtls.c:629 Failed to complete DTLS handshake with peer 172.19.79.15
*spamReceiveTask: Jan 02 16:48:49.607: %DTLS-3-HANDSHAKE_FAILURE: openssl_dtls.c:629 Failed to complete DTLS handshake with peer 172.19.79.16
*spamReceiveTask: Jan 02 16:48:47.651: %DTLS-3-HANDSHAKE_FAILURE: openssl_dtls.c:629 Failed to complete DTLS handshake with peer 172.19.79.25

[问题分析]
这似乎问题是AP证书已过期。为了解决此问题,我们可以将WLC日期时间调整为证书时间满足AP证书有效期或忽略证书有效期。思科官方解释:
https://community.cisco.com/t5/wireless-mobility-documents/lightweight-ap-fail-to-create-capwap-lwapp-connection-due-to/ta-p/3155111

文章中说自签名证书都会在2020年1月1日失效,这就造成本次故障的出现。
在这里插入图片描述

[问题处理]

  1. 通过WLC01点检截图发现其固件版本是7.0.98.0,而WLC02是6.0.196。WLC02固件异常?WLC02固件版本升级到AIR-WLC2100-K9-7-0-98-0.aes,问题没有解决。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  2. WLC02证书检查已经过期,但手动更新,问题没有解决。
    在这里插入图片描述
    在这里插入图片描述

  3. 关闭NTP服务并将时间调整到2014年,问题解决!
    在这里插入图片描述

忽略检查证书有效期的方法:
7.0.252 版本或以上:

config ap life-check mic enable
config ap life-check ssc enable

7.4.140 版本或以上:

config ap cert-expiry-ignore mic enable
无线瘦AP部署——Capwap隧道原理及故障:Capwap隧道常见问题-11.X版本
君逍遥o
10-13 3371
ap 没有获取到ip地址 ap 没有获取到option 138字段 ap 无法ping通ac 建立隧道地址 capwap udp 5246、5247端口被中间设备丢弃或过滤
关于思科AP因证书过期无法自动上线WLC问题
2301_78170223的博客
12-16 4840
122: %L INK-S-CHANGED: Interface DotilRadioõ, changed state to reset 8: XINEPRoTOirupbom: ine protoco,on interface Dotiikadiol. changed state to.up.163: %LINEPROTO-5-UPDOWN: Line protoco1 on Interface Dot11Radio0,'changed state to down.195:%LINK-6-UPDOWN:I
CISCO AIR-CT2504-15-K9 AP 注册不上常见问题 思科
土牛兄弟的博客
01-05 3037
从MANAGEMENT->Logs->Message logs看到:DTLS-3-HANDSHAKE_FAILURE: openssl_dtls.c:860 Failed to complete DTLS handshake with peer 192.168.*.*CISCO AIR-CT2504-15-K9 思科 2504 无线控制器 我们从官网了解到2023年4月12日已终止技术支持,最近这两天发现15个AP,掉了10个,剩5个在线,其中有10个AP 无法注册,提示:Not joined
proxmox 控制台无法连接_思科AP无法加入WLC故障排除3
weixin_30419031的博客
11-26 1210
故障排除为何无线接入点无法加无线控制器版本 4.2.61.0 开始, 无线控制器保持跟踪所有的无线接入点发送的发现请求和已 经对哪些无线接入点发送一个发现答复。 它还跟踪尝试加入无线控制器的无线接入点的成功 状态。无线控制器上有 2 个新的 CLI(通过控制台或 SSH)命令来帮助解决为什么无线接入 点无法加入无线控制器:Show ap join stats...
断电后设备重新启动,思科AP无法接入到WLC
Adelais_Z的博客
10-07 2185
断电后设备重新启动,思科AP正常获取地址,但无法接入到WLC
cisco ap 上线不成功
weixin_34125592的博客
09-17 1399
调试命令 debug capwap events enable https://cciewirelessnotes.wordpress.com/ An instance occurred where a Cisco 3600 series AP is unable to join a WLC, due to error ‘RADIUS authorization is pending for th...
Cisco无线AP无法注册至控制器故障
weixin_34250434的博客
06-30 2717
因厂区停电两天,通电后所Cisco AP竟然无法使用,SSID也无法搜索到,经过对控制器(Cisco 2504)的检查,发现因停电问题导致控制器的系统时间恢复到了出厂值,导致所有AP无法注册,经过修改控制器时间后,所有AP正常注册上。 转载于:https://blog.51cto.com/summer2008/1794424...
思科1242 AP无法连接到无线控制器
weixin_33836874的博客
03-20 2567
思科1242 AP 证书有效期为10年,如果证书到期后,首先,把WLC升级成ios 7.4.140或者8.0.120以上版本,其次,在WLC上输入以下命令关闭AP证书的检测功能config apcert-expiry-ignore {mic|ssc} enable(注意:这个命令只有IOS 7.4.140或者8.0.120以上才有的)最后,在WLC上设置一下,让AP下载WL...
思科AP无线异常及信道相关知识点整理
前端水獭的博客
05-20 2795
Cisco DNAC 公司的主网络使用的是Cisco的DANC架构。所有思科设备在DNAC上进行管理,状态等信息均可以看到。包括AP运行状态,终端连接状态等。很大程度上实现集成化管理。 问题 但是偶尔出现下面的网络使用部门的同事(后文称用户)反应网络体验很差。当出现这样的反馈时,用户的MAC提供给我们,我们进行DNAC上的查验。例如: 从设置中找到mac地址,在dnac上进行查找。 DNAC上反应出来的状态一般都是极好,良好,会有一定的干扰。但总体看往往都是正常。 也就是说,现场用户体验和DNAC上反
Cisco AP在两台AP之间不断漂移,无法注册。
Robert's Log
06-10 1196
捆绑在 AP IOS 映像中的映像签名证书于 2012 年 12 月 4 日颁发,并于 2022 年 12 月 4 日到期。因此,在 2022 年 12 月 4 日之后,当 AP 由于软件升级/降级或由于在运行不同版本的 WLC 之间移动而下载代码时,AP无法验证映像并将无限期地保持在下载映像循环中。当 IOS AP 通过 CAPWAP 升级或降级时,在 2022 年 12 月 4 日之后,它们可能会陷入映像下载循环,从而无法加入 WLC,因为无法验证下载映像中的签名证书。
BUG搬运工-LAP/WLC MIC or SSC lifetime expiration causes DTLS failure
剪刀石头布
03-07 1224
LAP/WLC MIC or SSC lifetime expiration causes DTLS failureCSCuq19142 DescriptionSymptom:Wireless Access Points fail to connect to the Wireless LAN Controller.Symptom 1 (where the AP's certificate...
CiscoAP升级排错指南,Cisco无线环境下必备!
03-10
ciscoAP升级排错只能, 非常有用。
Cisco WLAN(思科无线)工作中遇到的问题集(持续更新)
最新发布
alone443525711的博客
02-11 1159
2.1 首先检查WLC系统时间,如果时间不对,尝试更改系统时间为今天之前的几个月(不会对在线AP产生影响),如果设备正常上线了,你又想时间正确,那么可以按照2.2进行设定。capwap ap (问号查询自己需要使用的,通常我只是在AP无法上线时候重置后使用他来配置控制器地址,大部分情况DHCP可以链接到控制器)2.2 如果控制器时间正常,但AP依然无法上线,大概率是AP出厂时自带的证书过期了,这个时候可以在控制器设定对于证书不做验证便可。2、AP掉线后交换机看状态正常AP无法正常上线。
Cisco 1131AP掉线问题处理
weixin_34218890的博客
05-29 1442
前几天用户打来电话说是行政楼的无线网络不好用了,所有AP都亮红灯!很奇怪,因为前一天使用都正常,怎么全部都不好用了呢?赶到用户现场登录WLC,发现WLC上了少了很多AP,而这些AP都是1131的,其它的型号的1142、1602都工作正常,难道真的都坏了?查看WLC日志,看到日志,恍惚记得以前看到过一篇文章,说是AP因为使用证书问题不能注意到控制器上,为了验证这个问题,我找到了...
思科无线控制器在中小企业的最佳实践
normanhere的博客
05-15 600
等客户端重新关联AP,可以看到客户端获得了正确的IP地址,Data Switching 为本地交换,认证为中心WLC认证,表明设置成功,这样数据在AP本地交换,数据交换速率从原本的2504 100M capwap隧道改为1000M AP直接发给交换机,再到防火墙。这里假设WLCAP在同一个VLAN,首先创建一个WLAN 我用到的是很老的2504型号的WLC,由于是使用H-REAP模式,这里的interface 选择management就可以,不需要创建capwap隧道对应的接口。
DTLS 握手
键盘敲的劈啪响
09-26 2410
DTLS(Datagram Transport Layer Security)是基于 UDP 场景下数据包可能丢失或重新排序的现实情况下,为 UDP 定制和改进的 TLS 协议。从上图可以看出:在 WebRTC 中,媒体包通过 SRTP/SRTCP 进行传输,而数据包通过 SCTP 进行传输,他们都是基于 UDP 协议的。其中,SRTP SCTP 的加密握手,由 DTLS 协议来完成。
SSL Handshake Failure【记一次线上问题处理过程】
热门推荐
浴血重生-学习空间
03-24 3万+
1 现象 客户端抓包:client发送client hello,服务器确认后,没有发送server hello,而是等待超时后,发送FIN包,断开连接。 从客户端抓包来看,客户端怀疑服务端未发送server hello,那就再服务端抓包查看 serverhello 和client hello的数量是否一致。 ssl.handshake.type==2 server hello 的过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值