www.SAMURAJ-cz.com 

27.05.2024 Valdemar Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Cisco WLC C9800 - provoz, dohled a troubleshooting

Upraveno 09.10.2023 16:00 | vytvořeno 02.10.2023 19:09 | Samuraj - Petr Bouška |
Poslední část popisu konfigurace IOS XE based kontrolérů Cisco Catalyst 9800 Wireless Controller. Zasloužila by si být mnohem obsáhlejší, ale pouze stručně se věnuje určitým oblastem z provozu a dohledu klientů. Malé části řešení problémů a pár zmínkám o informacích na straně Windows. Na konci je popis nastavení Smart Licensing Using Policy.
zobrazeno: 1 514krát | Komentáře [0]

Pozn.: Popis v článku vychází z Cisco Catalyst 9800-L Wireless Controller s Cisco IOS XE Cupertino verze 17.9.3 (v tuto chvíli doporučená verze). Ke kterému jsou připojeny přístupové body (Access Point) Cisco Catalyst 9164I AP.

Když provedeme dobře nasazení WLAN, tak může celá infrastruktura fungovat relativně bez zásahu. Na počátku ovšem často řešíme nějaké ladění a problémy, kdy se někteří klienti nemohou připojit, jsou odpojováni apod. Hodně nám pomohou logy Radioactive Trace. Například, když se klienti pravidelně odpojují a znovu připojují, tak podle logu můžeme zjistit, že je potřeba zvětšit session timeout.

Když provedeme bezpečnější nastavení WLANy a chceme používat moderní protokoly a algoritmy, tak se nám starší klienti nepřipojí. Musíme zvážit, zda povolíme starší bezpečnostní metodu (třeba i vytvoříme oddělenou WLAN) nebo staré klienty nebudeme podporovat.

Jedno řešení je použití Open Security a Web Auth. Protože komunikace není šifrovaná, tak se připojí snad každý klient. A autentizaci na webu patrně zvládne. Je tu ovšem ten problém, že komunikace není šifrovaná. Také je potřeba se při každém připojení přihlásit.

Když řešíme problémy na mobilním zařízení a chceme procházet logy (najít je podle MAC adresy), tak je často potřeba se podívat do nastavení Wi-Fi sítě a změnit Use randomized MAC na Use device MAC. Jinak nemůžeme hledat podle MAC adresy zařízení.

Při provozu můžeme sledovat informace o klientech a přístupových bodech. Různé statistiky a vytížení. Případně můžeme reagovat určitými změnami.

Dohled a provoz

Dashboard nabízí řadu zajímavých informací pro provozní dohled. Vše můžeme rozkliknout a dostat se do stránek s detailními informacemi, kde se většinou aplikuje filtr.

WLC C9800 WebUI - Configuration - Tags & Profiles - WLANs - Filter

Best Practices

  • Administration - Best Practices

Můžeme využít Cisco doporučení vzhledem k naší konfiguraci.

Souborový systém WLC

  • Administration - Management - File Manager

Jednoduchý přístup na soubory WLC přes web. Můžeme nahrávat nebo stahovat.

CLI

  • Administration - Command Line Interface

Pro rychlé použití určitého příkazu se nemusíme připojovat na CLI přes SSH, ale můžeme zadat v GUI.

Připojení klienti

  • Monitoring - Wireless - Clients

Vidíme zde seznam připojených klientů s řadou detailů. Můžeme přidat Filter (hlavička tabulky) a například zobrazit klienty na určitém AP nebo s určitým protokolem. Kliknutím na ikonu klíče vedle MAC adresy se nastaví adresa v Radioactive Trace.

Na záložce Excluded Clients vidíme vyloučené klienty a můžeme je odstranit (povolit).

Kliknutím na klienta se zobrazí velké množství detailů o něm.

  • 360 View - hlavní záložka ukazuje kde a jak je klient připojen, jeho identifikace, statistiky použitých aplikací, apod.
  • Mobility History - se hodí pro sledování, jak klient cestoval mezi AP a jaký typ roamingu použil
  • General - Security Information - zde vidíme, jaké politiky (protokoly, šifrování, apod) klient použil pro připojení
WLC C9800 WebUI - Monitoring - Wireless - Clients - Security Informati

Access Points

  • Monitoring - Wireless - AP Statistics

Vidíme zde seznam AP, jejich hlavní konfiguraci a různé statistiky. Můžeme se přepnout do konfigurace (ozubené kolečko). V detailu AP (klikneme na řádek) vidíme třeba sloty pro radia (Slot 0 - 2.4 GHz, Slot 1 - 5 GHz, Slot 2 - 6 GHz) a využití kanálů. Vedle jména AP je ikona AP Operational Configuration, kde vidíme, jaké tagy a konfigurace jsou aplikované na AP (tedy seznam SSID, které AP vysílá).

WLC C9800 WebUI - Monitoring - Wireless - AP Statistics - 360 View
  • Monitoring - Wireless - Radio Statistics

Vidíme zde rádiové statistiky pro jednotlivá pásma a APčka. Jaký kanál má AP aktuálně nastavený, jaká je šířka kanálu, vysílací výkon a další. Kliknutím na AP se dozvíme další detaily. Třeba jaká sousední AP vidí, jak jsou zarušené kanály, apod.

Může se hodit podívat na vysílací výkon. V optimálním designu by všechna AP měla vysílat relativně silně (1 je nejvyšší stupeň). Malý výkon bývá pouze v hustém osazení.

WLC C9800 WebUI - Monitoring - Wireless - Radio Statistics

Aplikace na měření WiFi

Existuje mnoho aplikací, které můžeme použít pro měření kvality a síly bezdrátového signálu. Samostatná oblast jsou profesionální Site Survey nástroje. Příklad mobilní Android aplikace je Aruba Utilities. Jedna z aplikací pro Windows je inSSIDer.

Dobré je ověřit sílu signálu v různých místech a testovat přepojování mezi AP (Roaming). Pro měření se hodí zapnout Advertise AP Name a inSSIDer pak zobrazuje názvy AP.

Troubleshooting

  • Troubleshooting

Nachází se zde různé nástroje pro řešení problémů, jako

  • Logs - web přístup na Syslog, Webserver Log, License Log
  • Packet Capture - možnost zachytit komunikaci

Radioactive Trace

  • Troubleshooting - Radioactive Trace

Velice užitečný nástroj, když řešíme problémy určitého klienta. Zadáme MAC adresu klienta a můžeme stáhnout (vygenerovat) jeho logy za určité období. Můžeme tak hledat problémy, když se nedaří připojit do WLAN. Nebo nalezneme události, když se klient nečekaně odpojuje. Třeba, že se uplatní Session Timeout, tak v logu je (pouze malá část z událostí)

14:17:57 [client-orch-sm] [16032]: (note): MAC: e0dc.ffeb.2663  Client delete initiated. Reason: CO_CLIENT_DELETE_REASON_SESSION_TIMEOUT
14:17:57 [client-orch-state] [16032]: (note): MAC: e0dc.ffeb.2663  Client state transition: S_CO_DELETE_IN_PROGRESS -> S_CO_DELETED
14:17:59 [client-orch-state] [16032]: (note): MAC: e0dc.ffeb.2663  Client state transition: S_CO_INIT -> S_CO_ASSOCIATING

Pokud potřebujeme více detailů, tak můžeme zapnout Debug tlačítkem Start (po nastavení MAC adresy). Pak je potřeba aby nastala problematická událost, debug zastavíme a vygenerujeme/stáhneme rozsáhlé logy.

WLC C9800 WebUI - Troubleshooting - Radioactive Trace

Vytížení CPU jádra číslo 7 na 100%

Na dashboardu mám stále varování na vysoké vytížení CPU. Odpověď Cisco je, že je to v pořádku.

This process is used by the WLC to listen for packets in an effort to improve packet throughput and reduce packet latency and jitter, this increases the amount of CPU cycles that "ucode_pkt_PPE0" process consumes at baseline even without any traffic. This is the reason why is normal to see the CPU at a high level for that specific process on the core 7. So taking into consideration this process and the rest of the outputs we consider that the CPU behaves as expected and under normal operation standard.

WLC C9800 WebUI - Dashboard - CPU Usage

Řešení na straně Windows OS

Logy ve Windows

Když řešíme problémy s připojením do WiFi ve Windows, tak se hodí podívat do logů.

  • Event Viewer - Applications and Services Logs - Microsoft - Windows - WLAN-AutoConfig

Windows roaming mezi AP a preferování 5 GHz pásma

Když klesá síla signálu AP (třeba při pohybu), ke kterému je připojen Windows notebook, tak v určitou chvíli WiFi adaptér spustí vyhledávání dalšího AP kandidáta. Při lepších parametrech se k němu připojí. Pokud se nám stává, že zůstáváme dlouho připojeni k původnímu AP (které má již slabý signál), tak můžeme zkusit upravit práh síly signálu. Jde o nastavení Roaming Aggressiveness na adaptéru.

Ve Windows můžeme nastavit ve vlastnostech bezdrátového síťového adaptéru na záložce Advanced. Položka Roaming Aggressiveness, výchozí hodnota je Medium.

Windows Network Adapter Properties - Roaming Aggressiveness

Další nastavení, které můžeme v parametrech síťového adaptéru upravit, je Preferred Band. V řadě situací může být lepší využívat pásmo 5 GHz.

Windows podporované bezpečnostní metody (nastavení)

Pomocí řádkového příkazu můžeme vypsat informace o síťovém adaptéru. Jaké podporuje IEEE 802.11 standardy (typy rádia), pásma, autentizaci a šifrování (bezpečnostní standardy).

C:\>netsh wlan show drivers

Interface name: Wi-Fi

    Driver                    : Intel(R) Wi-Fi 6E AX211 160MHz
    Vendor                    : Intel Corporation
    Provider                  : Intel
    Date                      : 18.06.2023
    Version                   : 22.240.0.6
    INF file                  : oem214.inf
    Type                      : Native Wi-Fi Driver
    Radio types supported     : 802.11b 802.11g 802.11n 802.11a 802.11ac 802.11ax
    FIPS 140-2 mode supported : Yes
    802.11w Management Frame Protection supported : Yes
    Hosted network supported  : No
    Authentication and cipher supported in infrastructure mode:
                                Open             None
                                Open             WEP-40bit
                                Open             WEP-104bit
                                Open             WEP
                                WPA-Enterprise   TKIP
                                WPA-Enterprise   CCMP
                                WPA-Personal     TKIP
                                WPA-Personal     CCMP
                                WPA2-Enterprise  TKIP
                                WPA2-Enterprise  CCMP
                                WPA2-Personal    TKIP
                                WPA2-Personal    CCMP
                                Open             Vendor defined
                                WPA3-Personal    CCMP
                                Vendor defined   Vendor defined
                                WPA3-Enterprise 192 Bits GCMP-256
                                OWE              CCMP
                                WPA3-Enterprise  CCMP
                                WPA3-Enterprise  TKIP
    Number of supported bands : 3
                                2.4 GHz [ 0 MHz - 0 MHz]
                                5 GHz   [ 0 MHz - 0 MHz]
                                6 GHz   [ 0 MHz - 0 MHz]
    IHV service present       : Yes
    IHV adapter OUI           : [00 00 00], type: [00]
    IHV extensibility DLL path: C:\Windows\System32\DriverStore\FileRepository\netwtw6e.inf_amd64_fa3402905034e59a\IntelIHVRouter12.dll
    IHV UI extensibility ClSID: {00000000-0000-0000-0000-000000000000}
    IHV diagnostics CLSID     : {00000000-0000-0000-0000-000000000000}
    Wireless Display Supported: Yes (Graphics Driver: Yes, Wi-Fi Driver: Yes)

Smart Licensing Using Policy

Licencování C9800 využívá Smart Software Licensing stejně jako IOS XE switche a další zařízení či aplikace. Existuje starší Legacy Smart Licensing, který se používal od IOS XE verze 16.10.1, a novější doporučovaný Smart Licensing Using Policy, který přišel s IOS XE verze 17.3.2.

Licence spravujeme v portále Smart Software Licensing / Manager a potřebujeme Smart Account. Zařízení se přímo nebo nepřímo připojují k Cisco Smart Software Manager (CSSM) cloudu. Zde se podíváme pouze na nejjednodušší možnost zvanou Direct connect to CSSM.

Pro připojení na CSSM se používá určitá komunikační metoda (Transport):

  • Smart Transport - doporučená moderní metoda komunikace, adresa https://smartreceiver.cisco.com/licservice/license
  • Call-home Transport - stará metoda, která se používala pro Smart Licensing, je možno (ale nedoporučeno) ji použít pro Smart Licensing Using Policy, adresa https://tools.cisco.com/its/service/oddce/services/DDCEService

Nastavení licencí a připojení k CSSM můžeme provést i v GUI. Ale pokud narazíme na problémy, tak musíme využít CLI.

  • Licensing - Service Settings

Konfigurace pomocí CLI není složitá. V praxi jsem narazil na problém, že mi přes GUI nešlo připojit do CSSM. Nedařilo se to ani v CLI a dala se nalézt chyba:

Trust Establishment:
  Attempts: Total=2, Success=0, Fail=2  Ongoing Failure: Overall=2 Communication=2
  Last Response: NO REPLY on Oct 02 10:45:16 2023 CET

Oct  2 10:46:48: %SESSION_MGR-5-FAIL: Chassis 1 R0/0: wncd: Authorization failed or unapplied for client (xxxx.xxxx.xxxx)
 on Interface capwap_900000f8 AuditSessionID 6F64A8C00001B353EF8F9CEF. Failure reason: Authc fail. Authc failure reason: No
  Response from Client.

Musel jsem použít dva příkazy, které jsme při konfiguraci switchů C9300 a C9500 nikdy nepoužíval. Nastavení klientského certifikátu (self signed certifikát TP-self-signed-xxxxxxxxxx) a zdrojového L3 rozhraní (VLANy pro WMI).

Konfigurace Smart Licensing Using Policy je popsána na odkaze v úvodu kapitoly, včetně dalších variant. Zde jen stručně. Musíme splnit určité podmínky, jako že musí fungovat DNS překlad a HTTPS komunikace na Cisco adresu smartreceiver.cisco.com.

conf t
 ip domain lookup
 ip http client source-interface <interface>
 ip http client secure-trustpoint <TP>
 license smart transport smart
 license smart url default
end
write

Na CSSM portále vygenerujeme registrační Token, který použijeme v dalším příkaze pro navázání důvěry (Establish Trust) mezi WLC (PI - Product Instance) a CSSM. Vytvoří se pár šifrovacích klíčů a nainstaluje Trust Code.

license smart trust idtoken <token> all force

Poté, co se naváže vztah důvěry, můžeme ručně vyvolat synchronizaci (standardně probíhá po pár minutách automaticky):

license smart sync all

Některé příkazy na zobrazení informací a stavů:

show license status
show license all
show license tech support | s Trus

Poslední příkaz ukazuje údaje o různých operacích (jako Trust Establishment, Trust Acknowledgement a Trust Sync) a poslední odpověď, v případě chyby její důvod (Failure Reason).

Související články:

Cisco WLC

Wireless LAN Controller je Cisco zařízení pro centrální správu WiFi sítě (přístupových bodů). Články se věnují popisu funkce a konfigurace Cisco bezdrátových sítí. Od Access Points (tedy přístupových bodů), přes WLC, Wireless Control System (WCS) po Cisco Prime Infrastructure.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím tento záznam nikdo nekomentoval.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách