Pozn.: Popis v článku vychází z Cisco Catalyst 9800-L Wireless Controller s Cisco IOS XE Cupertino verze 17.9.3 (v tuto chvíli doporučená verze). Ke kterému jsou připojeny přístupové body (Access Point) Cisco Catalyst 9164I AP.
Když provedeme dobře nasazení WLAN, tak může celá infrastruktura fungovat relativně bez zásahu. Na počátku ovšem často řešíme nějaké ladění a problémy, kdy se někteří klienti nemohou připojit, jsou odpojováni apod. Hodně nám pomohou logy Radioactive Trace. Například, když se klienti pravidelně odpojují a znovu připojují, tak podle logu můžeme zjistit, že je potřeba zvětšit session timeout.
Když provedeme bezpečnější nastavení WLANy a chceme používat moderní protokoly a algoritmy, tak se nám starší klienti nepřipojí. Musíme zvážit, zda povolíme starší bezpečnostní metodu (třeba i vytvoříme oddělenou WLAN) nebo staré klienty nebudeme podporovat.
Jedno řešení je použití Open Security a Web Auth. Protože komunikace není šifrovaná, tak se připojí snad každý klient. A autentizaci na webu patrně zvládne. Je tu ovšem ten problém, že komunikace není šifrovaná. Také je potřeba se při každém připojení přihlásit.
Když řešíme problémy na mobilním zařízení a chceme procházet logy (najít je podle MAC adresy), tak je často potřeba se podívat do nastavení Wi-Fi sítě a změnit Use randomized MAC na Use device MAC. Jinak nemůžeme hledat podle MAC adresy zařízení.
Při provozu můžeme sledovat informace o klientech a přístupových bodech. Různé statistiky a vytížení. Případně můžeme reagovat určitými změnami.
Dohled a provoz
Dashboard nabízí řadu zajímavých informací pro provozní dohled. Vše můžeme rozkliknout a dostat se do stránek s detailními informacemi, kde se většinou aplikuje filtr.
Best Practices
- Administration - Best Practices
Můžeme využít Cisco doporučení vzhledem k naší konfiguraci.
Souborový systém WLC
- Administration - Management - File Manager
Jednoduchý přístup na soubory WLC přes web. Můžeme nahrávat nebo stahovat.
CLI
- Administration - Command Line Interface
Pro rychlé použití určitého příkazu se nemusíme připojovat na CLI přes SSH, ale můžeme zadat v GUI.
Připojení klienti
- Monitoring - Wireless - Clients
Vidíme zde seznam připojených klientů s řadou detailů. Můžeme přidat Filter (hlavička tabulky) a například zobrazit klienty na určitém AP nebo s určitým protokolem. Kliknutím na ikonu klíče vedle MAC adresy se nastaví adresa v Radioactive Trace.
Na záložce Excluded Clients vidíme vyloučené klienty a můžeme je odstranit (povolit).
Kliknutím na klienta se zobrazí velké množství detailů o něm.
- 360 View - hlavní záložka ukazuje kde a jak je klient připojen, jeho identifikace, statistiky použitých aplikací, apod.
- Mobility History - se hodí pro sledování, jak klient cestoval mezi AP a jaký typ roamingu použil
- General - Security Information - zde vidíme, jaké politiky (protokoly, šifrování, apod) klient použil pro připojení
Access Points
- Monitoring - Wireless - AP Statistics
Vidíme zde seznam AP, jejich hlavní konfiguraci a různé statistiky. Můžeme se přepnout do konfigurace (ozubené kolečko). V detailu AP (klikneme na řádek) vidíme třeba sloty pro radia (Slot 0 - 2.4 GHz, Slot 1 - 5 GHz, Slot 2 - 6 GHz) a využití kanálů. Vedle jména AP je ikona AP Operational Configuration, kde vidíme, jaké tagy a konfigurace jsou aplikované na AP (tedy seznam SSID, které AP vysílá).
- Monitoring - Wireless - Radio Statistics
Vidíme zde rádiové statistiky pro jednotlivá pásma a APčka. Jaký kanál má AP aktuálně nastavený, jaká je šířka kanálu, vysílací výkon a další. Kliknutím na AP se dozvíme další detaily. Třeba jaká sousední AP vidí, jak jsou zarušené kanály, apod.
Může se hodit podívat na vysílací výkon. V optimálním designu by všechna AP měla vysílat relativně silně (1 je nejvyšší stupeň). Malý výkon bývá pouze v hustém osazení.
Aplikace na měření WiFi
Existuje mnoho aplikací, které můžeme použít pro měření kvality a síly bezdrátového signálu. Samostatná oblast jsou profesionální Site Survey nástroje. Příklad mobilní Android aplikace je Aruba Utilities. Jedna z aplikací pro Windows je inSSIDer.
Dobré je ověřit sílu signálu v různých místech a testovat přepojování mezi AP (Roaming). Pro měření se hodí zapnout Advertise AP Name a inSSIDer pak zobrazuje názvy AP.
Troubleshooting
- Troubleshooting
Nachází se zde různé nástroje pro řešení problémů, jako
- Logs - web přístup na Syslog, Webserver Log, License Log
- Packet Capture - možnost zachytit komunikaci
Radioactive Trace
- Troubleshooting - Radioactive Trace
Velice užitečný nástroj, když řešíme problémy určitého klienta. Zadáme MAC adresu klienta a můžeme stáhnout (vygenerovat) jeho logy za určité období. Můžeme tak hledat problémy, když se nedaří připojit do WLAN. Nebo nalezneme události, když se klient nečekaně odpojuje. Třeba, že se uplatní Session Timeout, tak v logu je (pouze malá část z událostí)
14:17:57 [client-orch-sm] [16032]: (note): MAC: e0dc.ffeb.2663 Client delete initiated. Reason: CO_CLIENT_DELETE_REASON_SESSION_TIMEOUT 14:17:57 [client-orch-state] [16032]: (note): MAC: e0dc.ffeb.2663 Client state transition: S_CO_DELETE_IN_PROGRESS -> S_CO_DELETED 14:17:59 [client-orch-state] [16032]: (note): MAC: e0dc.ffeb.2663 Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
Pokud potřebujeme více detailů, tak můžeme zapnout Debug tlačítkem Start (po nastavení MAC adresy). Pak je potřeba aby nastala problematická událost, debug zastavíme a vygenerujeme/stáhneme rozsáhlé logy.
Vytížení CPU jádra číslo 7 na 100%
Na dashboardu mám stále varování na vysoké vytížení CPU. Odpověď Cisco je, že je to v pořádku.
This process is used by the WLC to listen for packets in an effort to improve packet throughput and reduce packet latency and jitter, this increases the amount of CPU cycles that "ucode_pkt_PPE0" process consumes at baseline even without any traffic. This is the reason why is normal to see the CPU at a high level for that specific process on the core 7. So taking into consideration this process and the rest of the outputs we consider that the CPU behaves as expected and under normal operation standard.
Řešení na straně Windows OS
Logy ve Windows
Když řešíme problémy s připojením do WiFi ve Windows, tak se hodí podívat do logů.
- Event Viewer - Applications and Services Logs - Microsoft - Windows - WLAN-AutoConfig
Windows roaming mezi AP a preferování 5 GHz pásma
Když klesá síla signálu AP (třeba při pohybu), ke kterému je připojen Windows notebook, tak v určitou chvíli WiFi adaptér spustí vyhledávání dalšího AP kandidáta. Při lepších parametrech se k němu připojí. Pokud se nám stává, že zůstáváme dlouho připojeni k původnímu AP (které má již slabý signál), tak můžeme zkusit upravit práh síly signálu. Jde o nastavení Roaming Aggressiveness na adaptéru.
Ve Windows můžeme nastavit ve vlastnostech bezdrátového síťového adaptéru na záložce Advanced. Položka Roaming Aggressiveness, výchozí hodnota je Medium.
Další nastavení, které můžeme v parametrech síťového adaptéru upravit, je Preferred Band. V řadě situací může být lepší využívat pásmo 5 GHz.
Windows podporované bezpečnostní metody (nastavení)
Pomocí řádkového příkazu můžeme vypsat informace o síťovém adaptéru. Jaké podporuje IEEE 802.11 standardy (typy rádia), pásma, autentizaci a šifrování (bezpečnostní standardy).
C:\>netsh wlan show drivers
Interface name: Wi-Fi
Driver : Intel(R) Wi-Fi 6E AX211 160MHz
Vendor : Intel Corporation
Provider : Intel
Date : 18.06.2023
Version : 22.240.0.6
INF file : oem214.inf
Type : Native Wi-Fi Driver
Radio types supported : 802.11b 802.11g 802.11n 802.11a 802.11ac 802.11ax
FIPS 140-2 mode supported : Yes
802.11w Management Frame Protection supported : Yes
Hosted network supported : No
Authentication and cipher supported in infrastructure mode:
Open None
Open WEP-40bit
Open WEP-104bit
Open WEP
WPA-Enterprise TKIP
WPA-Enterprise CCMP
WPA-Personal TKIP
WPA-Personal CCMP
WPA2-Enterprise TKIP
WPA2-Enterprise CCMP
WPA2-Personal TKIP
WPA2-Personal CCMP
Open Vendor defined
WPA3-Personal CCMP
Vendor defined Vendor defined
WPA3-Enterprise 192 Bits GCMP-256
OWE CCMP
WPA3-Enterprise CCMP
WPA3-Enterprise TKIP
Number of supported bands : 3
2.4 GHz [ 0 MHz - 0 MHz]
5 GHz [ 0 MHz - 0 MHz]
6 GHz [ 0 MHz - 0 MHz]
IHV service present : Yes
IHV adapter OUI : [00 00 00], type: [00]
IHV extensibility DLL path: C:\Windows\System32\DriverStore\FileRepository\netwtw6e.inf_amd64_fa3402905034e59a\IntelIHVRouter12.dll
IHV UI extensibility ClSID: {00000000-0000-0000-0000-000000000000}
IHV diagnostics CLSID : {00000000-0000-0000-0000-000000000000}
Wireless Display Supported: Yes (Graphics Driver: Yes, Wi-Fi Driver: Yes)
Smart Licensing Using Policy
Licencování C9800 využívá Smart Software Licensing stejně jako IOS XE switche a další zařízení či aplikace. Existuje starší Legacy Smart Licensing, který se používal od IOS XE verze 16.10.1, a novější doporučovaný Smart Licensing Using Policy, který přišel s IOS XE verze 17.3.2.
Licence spravujeme v portále Smart Software Licensing / Manager a potřebujeme Smart Account. Zařízení se přímo nebo nepřímo připojují k Cisco Smart Software Manager (CSSM) cloudu. Zde se podíváme pouze na nejjednodušší možnost zvanou Direct connect to CSSM.
Pro připojení na CSSM se používá určitá komunikační metoda (Transport):
- Smart Transport - doporučená moderní metoda komunikace, adresa
https://smartreceiver.cisco.com/licservice/license - Call-home Transport - stará metoda, která se používala pro Smart Licensing, je možno (ale nedoporučeno) ji použít pro Smart Licensing Using Policy, adresa
https://tools.cisco.com/its/service/oddce/services/DDCEService
Nastavení licencí a připojení k CSSM můžeme provést i v GUI. Ale pokud narazíme na problémy, tak musíme využít CLI.
- Licensing - Service Settings
Konfigurace pomocí CLI není složitá. V praxi jsem narazil na problém, že mi přes GUI nešlo připojit do CSSM. Nedařilo se to ani v CLI a dala se nalézt chyba:
Trust Establishment: Attempts: Total=2, Success=0, Fail=2 Ongoing Failure: Overall=2 Communication=2 Last Response: NO REPLY on Oct 02 10:45:16 2023 CET Oct 2 10:46:48: %SESSION_MGR-5-FAIL: Chassis 1 R0/0: wncd: Authorization failed or unapplied for client (xxxx.xxxx.xxxx) on Interface capwap_900000f8 AuditSessionID 6F64A8C00001B353EF8F9CEF. Failure reason: Authc fail. Authc failure reason: No Response from Client.
Musel jsem použít dva příkazy, které jsme při konfiguraci switchů C9300 a C9500 nikdy nepoužíval. Nastavení klientského certifikátu (self signed certifikát TP-self-signed-xxxxxxxxxx) a zdrojového L3 rozhraní (VLANy pro WMI).
Konfigurace Smart Licensing Using Policy je popsána na odkaze v úvodu kapitoly, včetně dalších variant. Zde jen stručně. Musíme splnit určité podmínky, jako že musí fungovat DNS překlad a HTTPS komunikace na Cisco adresu smartreceiver.cisco.com.
conf t ip domain lookup ip http client source-interface <interface> ip http client secure-trustpoint <TP> license smart transport smart license smart url default end write
Na CSSM portále vygenerujeme registrační Token, který použijeme v dalším příkaze pro navázání důvěry (Establish Trust) mezi WLC (PI - Product Instance) a CSSM. Vytvoří se pár šifrovacích klíčů a nainstaluje Trust Code.
license smart trust idtoken <token> all force
Poté, co se naváže vztah důvěry, můžeme ručně vyvolat synchronizaci (standardně probíhá po pár minutách automaticky):
license smart sync all
Některé příkazy na zobrazení informací a stavů:
show license status show license all show license tech support | s Trus
Poslední příkaz ukazuje údaje o různých operacích (jako Trust Establishment, Trust Acknowledgement a Trust Sync) a poslední odpověď, v případě chyby její důvod (Failure Reason).
Komentáře
Zatím tento záznam nikdo nekomentoval.