前几天用户打来电话说是行政楼的无线网络不好用了,所有AP都亮红灯!很奇怪,因为前一天使用都正常,怎么全部都不好用了呢?

赶到用户现场登录WLC,发现WLC上了少了很多AP,而这些AP都是1131的,其它的型号的1142、1602都工作正常,难道真的都坏了?

查看WLC日志,看到日志,恍惚记得以前看到过一篇文章,说是AP因为使用证书问题不能注意到控制器上,为了验证这个问题,我找到了一个确认好用的AP接入到网络中,发现这个好用的AP仍然不能注册到控制器上。看来真是那个证书过期问题了。

进一步查阅文档发现:AP在出厂的时候,内部会有一个证书,当使用时间超出了证书的有效时间时,AP是不能再join到WLC的,这个时间一般是10年,与用户一起回忆了一下,这批1131的AP也的确差不多是10年前部署的。

查看思科官方的文档发现这算是一个BUG:CSCuq19142

在WLC上查看日志,会有如下类似信息:

*osapiBsnTimer: Oct 29 11:05:04.571: #DTLS-3-HANDSHAKE_FAILURE: openssl_dtls.c:2962 Failed to complete DTLS handshake with peer 192.168.202.8。

我控制器上的日志信息没有保存,不过跟显示一样。

确认证书有效时间的方法如下:

在控制器上运行show ap inventory all

*********************************以下内容摘自思科官网*********************************************

(Cisco Controller) >show ap inventory all
Inventory for lap1130-sw3-9
NAME: "Cisco AP" , DESCR: "Cisco Wireless Access Point"
PID: AIR-LAP1131AG-E-K9, VID: V01, SN: FCZ1128Q0PE
NAME: "Dot11Radio0" , DESCR: "802.11G Radio"
PID: UNKNOWN, VID: , SN: GAM112706LC
NAME: "Dot11Radio1" , DESCR: "802.11A Radio"
PID: UNKNOWN, VID: , SN: ALP112706LC
The AP chassis SN is in the first section of the output, for example: PID: AIR-LAP1131AG-E-K9, VID: V01, SN: FCZ1128Q0PE
The serial number format is: "LLLYYWWSSSS"; where "YY" is the year of manufacture and "WW" is the week of manufacture. The date code can be found in the 4 middle digits of the serial number.
Manufacturing Year Codes:
01 = 1997 06 = 2002 11 = 2007 16 = 2012
02 = 1998 07 = 2003 12 = 2008 17 = 2013
03 = 1999 08 = 2004 13 = 2009 18 = 2014
04 = 2000 09 = 2005 14 = 2010
05 = 2001 10 = 2006 15 = 2011

Manufacturing Week Codes:
1-5 : January 15-18 : April 28-31 : July 41-44 : October
6-9 : February 19-22 : May 32-35 : August 45-48 : November
10-14 : March 23-27 : June 36-40 : September 49-52 : December

Example: SN FCZ1128Q0PE has year code 11, meaning it was manufactured in 2007. The week code is 12, meaning it was manufactured in March.
The SN can also be found using Prime Infrastructure Reporting to find SNs for all of the APs.

********************************************************************************************************************

我查看了一下我控制器中AP的信息如下:
NAME: "Cisco AP"    , DESCR: "Cisco Wireless Access Point"
PID: AIR-LAP1131AG-C-K9,  VID: V01,  SN: FOC12172U3Q
NAME: "Dot11Radio0"    , DESCR: "802.11G Radio"
PID: UNKNOWN,  VID:  ,  SN: GAM12172U3Q
NAME: "Dot11Radio1"    , DESCR: "802.11A Radio"
PID: UNKNOWN,  VID:  ,  SN: ALP12172U3Q

NAME: "Cisco AP"    , DESCR: "Cisco Wireless Access Point"
PID: AIR-LAP1131AG-C-K9,  VID: V01,  SN: FOC12174E38
NAME: "Dot11Radio0"    , DESCR: "802.11G Radio"
PID: UNKNOWN,  VID:  ,  SN: GAM12174E38
NAME: "Dot11Radio1"    , DESCR: "802.11A Radio"
PID: UNKNOWN,  VID:  ,  SN: ALP12174E38

通过对照发现我的AP是在2008年4月制造出厂的。

真没有想到竟然赶上了AP了生死大劫!

目前这种问题的处理方法有两种:

(1)升级无线控制器,目前一些新的版本已经禁用了MIC和SSC的生存周期有效性检查,允许具有10年以上MIC或SSC的AP 加入。但是升级有可能面临一个问题,那就升级后的WLC不支持一些老型号的AP了。这点需要慎重考虑。

(2)修改WLC的时间,往前修改,但是不要往前太久了,不然有一些新的AP就不被支持了。


在这里我们的解决方法是修改WLC的时间,把时间向前调了4年,调完后,再观察WLC,发现一会儿那些掉线的AP都正常注册上来了。至此,故障解决了!