无线局域网控制器(WLC)常见问题-3
Q. 能否在网络地址转换 (NAT) 下放置轻量接入点 (LAP)? 从接入点 (AP) 到 WLC 的轻量接入点协议 (LWAPP) 通过 NAT 边界后能否发挥作用?
A. 是,可以在 NAT 下放置 LAP。 在 AP 端可以配置任何类型的 NAT,但在 WLC 端只能配置 1:1(静态 NAT)。 在 WLC 端无法配置 PAT,因为如果将端口转换为 12222 或 12223 以外的端口(用作数据和控制消息),LAP 即无法响应 WLC。
Q. 如何配置 WLC 才能只允许 802.11g 客户端?
A. 使用 config 802.11b disable 命令可禁用或启用整个网络或单个 Cisco 无线电设备的 802.11b/g 传输
注意: 必须使用此命令禁用网络,然后再使用其他 config 802.11b 命令。 CLI 界面活动时随时可以使用此命令。
语法如下。
config 802.11b disable {network | Cisco_AP}
如何禁用 AP01 802.11b/g 传输的示例如下:
config 802.11b disable network
要禁用 AP01 802.11b/g 传输,请使用此命令:
config 802.11b disable AP01
或者,可以使用此命令禁用 802.11b 数据速率:
config 802.11b rate {disabled | mandatory | supported} rate
Q. 在 Cisco WLC 上升级操作系统 (OS) 软件的过程是什么?
答:请参阅文档无线 LAN 控制器 (WLC) 软件升级以提供在 WLC 上升级软件的过程。
Q. 能否将 WLC 从一个主要版本直接升级到另一个主要版本?
A. 只能在二个发行版本之间对 WLC 软件进行升级或降级。 升级或降级要超过两个发行版本,必须首先安装一个中间发行版本。 例如,如果 WLC 运行的是 4.2 或 5.0 发行版本,则可以将 WLC 直接升级到软件发行版本 5.1.151.0。 如果 WLC 运行的是 3.2、4.0 或 4.1 发行版本,则必须将 WLC 升级到某个中间发行版本,然后再升级到 5.1.151.0。 要了解任何 WLC 版本的升级路径,请参阅相应发行版本的发行版本注释。
Q. 波束成形是什么?
答:波束成形(也称为 ClientLink)是在发射器上使用的一种空间滤波机制,用于提高预期接收器所收到信号的功率或信噪比 (SNR)。 波束成形技术使用多个发射天线将发出的信号集中在 802.11a 或 802.11g 客户端的方向,这样可提高下行链路 SNR 和到客户端的数据速率、减少覆盖盲区以及提高系统的总体性能。 Cisco Aironet 1140 和 1250 系列接入点支持波束成形,并且该技术可与所有现有的 802.11a 和 802.11g 客户端配合工作。 默认情况下禁用该技术。
有关配置波束成形的信息,请参阅无线 LAN 控制器配置指南的配置波束成形部分。
Q. 能否下载无线局域网控制器的一条登录标识?
A. 可使用控制器 GUI 或 CLI 下载登录标语文件。 登录标语是使用 Telnet、SSH 或控制台端口连接访问控制器 GUI 或 CLI 时用户身份验证之前屏幕上显示的文本。
故障排除常见问题解答
Q. 已完成轻量接入点 (LAP) 的初始部署。 客户端从大楼的一端移向另一端时,始终与最近的 AP 关联。 直到来自初始 AP 的信号强度完全消失后,客户端才会转移到下一个最近的 AP。 为什么?
答:AP 的覆盖区域完全由 WLC 控制。 WLC 在其各个 AP 之间通信,并且根据每个 AP 检测其他 AP 的方式管理这些 AP 的信号强度。 但是,客户端从一个 AP 移到其他 AP 则完全由客户端控制。 客户端中的无线电确定客户端要在何时从一个 AP 移至其他 AP。 WLC、AP 或网络上其余设备的设置都无法影响客户端漫游到不同 AP 的决定。
Q. 已将 WLC 更改为主令控制器模式,并且保存了配置。 随后,重新启动 WLC 后,发现 WLC 未保留主令控制器模式。 为什么? 这属于问题还是正常行为?
A. 这是预料之中的行为。 通常只有在向 Cisco 无线 LAN 解决方案(Cisco WLAN 解决方案)添加新接入点时才使用主令控制器模式。 不再向网络添加其他接入点时,Cisco WLAN 解决方案建议禁用主令控制器模式。 由于所部署的网络中一般不使用主令控制器,因此重新启动或 OS 代码升级后即自动禁用主令控制器设置。
Q. 已将 WLC 连接到配置用于路由的 Cat6500 交换机,并且已在这些交换机之间配置了 HSRP。 但是,现在无法通过 WLC 访问其他子网。 如何解决此问题?
A. 设置 HSRP 后,通常会为用于路由的 HSRP 组配置虚拟 IP 地址和 MAC 地址。 即使某台交换机停机,改为使用备用设备,主机也会继续向这个一致的 IP 和 MAC 地址转发 IP 数据包。 完成以下这些步骤可解决路由问题:
确保在 WLC 上将虚拟 IP 地址配置为默认网关。
注意: 某些较早版本的 WLC 不向 HSRP MAC 地址转发数据包,这会导致路由数据包失败。 要解决此问题,请升级 WLC。
确保正确配置 WLC 上的虚拟接口。 有关接口的详细信息,请参阅 WLC 配置指南的配置端口和接口部分。
Q. 如何防止 WLC 上出现环路?
A. 可以在 WLC 上启用 STP 以防止出现环路。 在 WLC GUI 上,单击 Controller,然后导航到应用程序左侧的 Advanced 子菜单。 单击 Spanning Tree 选项,然后对应用程序右侧的 Spanning Tree Algorithm 选择 Enable。
默认情况下,无须启用 STP 以防止环路。 因为映射到 WLC 上 WLAN 的每个接口都映射到主端口和备份端口。 某个特定时刻只使用一个端口。 仅通过主端口转发来自 WLAN 的流量。 主端口活动时,WLC 从不使用辅助端口。 只有在主端口关闭时 WLC 才使用辅助端口,因此默认情况下不会产生环路。
Q. 已将 WLC 更改为主令控制器模式,并且保存了配置。 随后,重新启动 WLC 后,发现 WLC 未保留主令控制器模式。 为什么? 这属于问题还是正常行为?
A. 这是预料之中的行为。 通常只有在向 Cisco 无线 LAN 解决方案(Cisco WLAN 解决方案)添加新接入点时才使用主令控制器模式。 不再向网络添加其他接入点时,Cisco WLAN 解决方案建议禁用主令控制器模式。 由于所部署的网络中一般不使用主令控制器,因此重新启动或 OS 代码升级后即自动禁用主令控制器设置。
Q. 有没有提供附加安全性的任何选项给网络?
A. 您能使用选项82为了提供附加安全性。 选项82阻拦IP地址给接入网络的未授权的客户端。 欲知更多信息,请参见Cisco无线LAN控制器配置指南,版本6.0的配置的DHCP选项82部分。
Q. 是否有方式可恢复 WLC 的口令?
A. 如果忘记了 WLC 5.1 版及更高版本中的口令,可以从控制器的串行控制台中使用 CLI 配置新的用户名和口令。 完成以下这些步骤可配置新用户名和口令。
控制器启动之后,在用户提示符下输入 Restore-Password。
注意: 出于安全考虑,控制器控制台上不显示所输入的文本。
在 Enter User Name 提示符下输入新用户名。
在 Enter Password 提示符下输入新口令。
在 Re-enter Password 提示符下,重新输入新口令。
控制器验证这些条目,并将其存储在数据库中。
再次显示 User 提示符时,输入新用户名。
显示 Password 提示符时,输入新口令。
随后控制器用您的新用户名和口令为您登录。
注意: 对于运行较早版本固件(早于 5.1)的 WLC 无法恢复口令。 如果使用 Cisco 无线控制系统 (WCS) 管理 WLC、无线 LAN 控制器模块 (WLCM) 或无线服务模块 (WiSM),则应能够从 WCS 访问 WLC,并且无须登录 WLC 自身即可创建新的管理用户。 或者,如果删除用户之后未在 WLC 上保存配置,则重新启动(重新加电)WLC 应能将其恢复,此后系统中将仍有所删除的用户。 如果没有默认的管理帐户或可用其登录的其他用户帐户,则只能将 WLC 恢复默认出厂设置,然后从头重新配置它。
Q. 将 1030 接入点 (AP) 的轻量接入点 (LAP) 模式从 Local 改为 Bridge,而 2006 WLC 无法再检测到该接入点。 如何能够将 1030 AP 还原回其 Local AP 模式?
答:要以 Local 模式配置网桥,请完成以下这些步骤:
转到 WLC GUI,然后选择 Wireless >。 此时将显示当前已注册到 WLC 的 AP 的列表。 单击需要更改其模式的 AP。
注意: 检查 AP 是否支持 REAP 模式。 对于室内桥接 AP,此项必须为 YES。
选中 AP mode 选项。 如果该选项为 Bridge,则将其改回 Local。 这会将 Bridge AP 改为 Normal AP。
有关如何配置桥接模式的详细信息,请参阅点对点无线网状网络中以太网桥接配置示例。
Q. 已设置了访客无线 LAN,并且 WLC 与内部 LAN 物理隔离。 决定使用此 WLC 的内部 DHCP 功能,但无线客户端无法从 WLC 获得 IP 地址。 在物理隔离的网络上连接无线访客用户时,这些用户如何从 WLC 获取 IP 地址?
请检查是否在 WLC 上启用了 DHCP 作用域。 要检查此项内容,请单击 Controller 菜单,然后单击左侧的 Internal DHCP server。
通常,在映射到 WLAN 的接口上指定 DHCP 服务器。 请确保将 WLC 的管理接口地址指定为映射到访客用户 WLAN 的接口上的 DHCP 服务器。 或者,可以启用 WLANs > Edit 页上的 DHCP Server override 选项,并在 DHCP server IP Addr 字段中指定 WLC 的管理接口地址。
Q. 已将 4400 系列无线 LAN 控制器 (WLC) 和轻量接入点 (LAP) 注册到 WLC。 为使客户端连接到 WLC 上,已配置了 WLAN。 问题是 WLC 不广播为 WLAN 配置的服务集标识符 (SSID)。 为什么?
A. 默认情况下禁用 Admin Status 和 Broadcast SSID 参数。 完成以下这些步骤可启用 Admin Status 和 Broadcast SSID:
1 转到 WLC GUI,然后选择 Controller> WLANs。 此时将出现 WLANs 页。 此页列出所配置的 WLAN。
1 选择要为其启用 SSID 广播的 WLAN,然后单击 Edit。
1 在 WLAN > Edit 页中,选中 Admin Staus 启用该 WLAN。 此外,选中 Broadcast SSID,确保在 AP 发送的信标消息中广播 SSID。
问:Cisco 统一无线解决方案是否在用于访客隧道的 DMZ 中支持冗余 WLC?
A. 是,用于访客隧道的 DMZ 中支持冗余 WLC。 有关如何配置冗余 WLC 的详细信息,请参阅文档 Cisco 无线 LAN 控制器配置指南 5.1 版的配置自动锚点移动性部分。
问:与轻量接入点关联的无线 LAN 客户端无法从 DHCP 服务器获得 IP 地址。 如何处理?
A. 接口上通常标有客户端的 DHCP 服务器,映射到客户端所连接的 WLAN。 检查是否正确配置了接口。 有关如何排除 DHCP 相关问题的详细信息,请参阅文档排除 Cisco 统一无线网络中的客户端问题的 IP 地址问题部分。
Q. 1131 轻量接入点 (LAP) 无法注册到 4402 无线 LAN 控制器 (WLC)。 造成这种情况的原因可能是什么?
A. 一个常见原因是在 WLC 上配置了轻量接入点协议 (LWAPP) 传输模式。 4402 WLC 可以在 Layer 2 和 Layer 3 的 LWAPP 模式下运行。 而 1131 LAP 只能在 Layer 3 模式下运行。 1131 LAP 不支持 Layer 2 模式。 因此,如果对 WLC 配置了 Layer 2 作为 LWAPP 传输模式,则 LAP 即无法加入 WLC。 要克服此问题,请将 WLC 的 LWAPP 传输模式从 Layer 2 改为 Layer 3。
要使用 GUI 更改 LWAPP 传输模式,请转到 WLC 页,并在主要字段中找到内容为 LWAPP Transport Mode 的第二个选择。 将此改为 Layer 3,然后重新启动 WLC。 现在,LAP 即可注册到 WLC。 有关 LAP 注册相关问题的详细信息,请参阅文档排除轻量接入点无法加入无线 LAN 控制器的故障。
Q. WLC 没有针对非法对等体生成任何陷阱,并且对 WLC 的 SNMP 调试也没有显示任何来自 WLC 针对对等体的陷阱,即使 WLC GUI 报告了非法对等体也是如此。 WLC 运行的固件版本为 3.2.116.21。 为什么会发生这种情况?
A. 这是 Cisco Bug ID CSCse14889(仅限注册用户)所致。 WLC 对于检测到的非法接入点 (AP) 可持续发送陷阱,而对检测到的非法对等体则不能。 此 Bug 在 WLC 固件版本 3.2.171.5 及更高版本中得以修复。
Q. 我们有一个企业 Cisco Airespace WLAN 基础设施。 WLAN 客户端无法访问 Microsoft Active Directory (AD) 域。 我们的一座大厦内发生了这个问题。 但其他大厦没有此问题。 我们在内部不使用任何访问控制列表 (ACL)。 此外,当发生故障的客户端采用硬联线时,立即就能浏览 Microsoft AD 域。 可能是什么原因?
A. 其中一个原因可能是在 WLC 上禁用了多播模式。 请在 WLC 上启用多播模式,然后检查能否访问 Microsoft AD 域。
问:第 3 层移动能否对接入点 (AP) 组 VLAN 配置发挥作用?
A. 是,第 3 层移动可以对 AP 组 VLAN 配置发挥作用。 当前,将来自第 3 层漫游无线客户端的流量源安放到 WLAN 上分配的动态接口或 AP 组 VLAN 的接口上。
Q. 为什么我们的接入点 (AP) 注册到同一 RF 组中的其他 WLC 即显示为非法?
A. 这可能是 Cisco Bug ID CSCse87066(仅限注册用户)所致。 出于以下某个原因,同一 RF 组中的 LWAPP AP 会被另一个 WLC 视为非法 AP:
AP 检测到超过 24 个邻居。 邻居列表大小为 24,因此将第 25 个 AP 报告为非法。
AP1 可以侦听与 AP2 通信的客户端,但是无法侦听 AP2。 因此,无法将其验证为邻居。
解决方法是在 WLC 和/或 WCS 上将 AP 手动设置为已知内部 AP。 在 WLC 上完成以下这些步骤,以便将 AP 手动设置为已知内部 AP:
1 转到 WLC GUI,然后选择 Wireless。
1 单击左侧菜单中的 Rogue Aps。
1 在 Rogue-AP 列表中,选择特定的接入点,然后单击 Edit。
1 从 Update Status 菜单中,选择 Known internal。
1 单击 Apply。 此 Bug 在版本 4.0.179.11 中得以修复。
Q. 有一个 1200 轻量接入点 (LAP) 要注册到无线 LAN 控制器 (WLC)。 已用选项 43 配置了 DHCP 服务器。 如何能验证 DHCP 选项 43 是否正常运行?
A. 采用 DHCP 选项 43 时,DHCP 服务器提供 WLC 的 IP 地址以及通过 DHCP 提供的 IP 地址。 如果 AP 是基于 Cisco IOS 的轻量接入点协议 (LWAPP) AP(如 1242 或 1131AG LAP),则可以从 LAP 验证这一点。 在这些情况下,请在 AP 端发出 debug dhcp detail 命令,以查看 AP 能否成功收到选项 43 信息以及收到的内容。
Q. 2006 WLC 显示已向注册接入点 (AP) 分配了不同的信道。 但是,用 Aironet Desktop Utility (ADU) 或 Netstumbler 扫描后发现所有 AP 都在同一信道 (1) 中。 这是什么原因?
A. 当这些注册的 AP 彼此过于接近时就会发生此问题。 可能遇到了 Cisco Bug ID CSCsg03420(仅限注册用户)。
Q. 在计算机的命令提示符下发出 ipconfig /all 命令时,显示了一个不同的 DHCP 服务器地址。 该命令显示 1.1.1.1 作为 DHCP 服务器的 IP 地址。 这是 WLC 的虚拟接口 IP 地址,而非 DHCP 服务器地址。 为什么显示此内容作为 DHCP 服务器?
A. 这是因为 1.1.1.1 虚拟接口地址充当原始 DHCP 服务器的 DHCP 代理。 如果要在 ipconfig /all 命令的输出中看到原始的 DHCP 服务器地址,请在与客户端关联的 WLC 中禁用 DHCP 代理功能。 用 config dhcp proxy disable 命令可禁用此功能。
此命令将 1.1.1.1 虚拟接口地址(将自身显示为 DHCP 服务器)替换为在接口上或 WLAN 的 override 选项中定义的 DHCP 服务器实际 IP 地址。
Q. 我们有两台访问控制服务器 (ACS),用于对与无线 LAN 控制器 (WLC) 关联的无线客户端进行身份验证。 一台 ACS 充当主身份验证服务器,另一台 ACS 充当故障切换服务器。 如果主服务器出故障,则 WLC 改为使用辅助服务器对无线客户端进行身份验证。 但主服务器恢复后,WLC 无法改为使用主服务器。 为什么?
A. 这是预料之中的行为。 在多 ACS 部署中通过 WLC 对客户端进行身份验证时,将发生以下这些步骤:
启动时,WLC 确定活动的 ACS。
如果此活动 ACS 无法响应来自 WLC 的 RADIUS 请求,则 WLC 搜索辅助 ACS,并故障切换到该服务器。
即使主 ACS 恢复正常,也只有到 WLC 当前向其进行身份验证的 ACS 失败后才会改为使用主 ACS。
在此类情况下,请重新启动 WLC,以使 WLC 再次识别主 ACS 并改为使用它。 重新启动后不会立即进行此转换。 可能会过一段时间才进行。
Q. 使用 SecureCRT SSH v2 SH 客户端软件时,无法通过 Secure Shell (SSH) 连入无线 LAN 控制器 (WLC)。 WLC 运行的版本为 4.0.179.8。
答:SecureCRT 只能与运行版本 4.0.206.0 或更高版本的 WLC 配合工作。 请将 WLC 升级到此版本。 然后,即可使用 SecureCRT SH 客户端通过 SSH 连入 WLC。
Q. 如何加密 WLC 上的配置文件?
答:WLC 中已提供对配置文件的加密。 如果从 WLC GUI 中选择 Commands > Upload File,则会看到 Configuration File Encryption 复选框。
可以用这种方式在 WCS 中强制将该文件加密。
从 WCS GUI 中选择 Configure controller。 此时将显示在 WCS 中配置的 WLC 的列表。 单击某个 WLC。
单击左侧的 commands 选项。 此时将收到控制器命令的列表。
在 Upload/Download Commands 下,从下拉菜单中选择 download config。 此时将看到此消息: 注意: Configuration file encryption key is not set. Downloading configuration file will fail if encryption key is needed. Please click here to setup encryption.
·
基本上,可以强制 WCS 始终为 WLC 配置设置加密密钥。 默认情况下不启用加密,但根据需要在 WLC 和 WCS 中都可以启用加密。
Q. WLCs如何支持太大的接入点?
A.控制器软件版本5.0或以后允许您升级到一个太大的访问接入节点镜像通过自动删除恢复镜像创建足够的空间。 此功能影响有8 MB的仅接入点闪存(1100年, 1200年和1310年系列访问访问接入点)。 所有更新的接入点比8 MB有更大的闪存大小。 在2007年8月,没有太大的访问接入节点镜像,但是,当新特性被添加,访问接入节点镜像大小将继续增长。 欲知更多信息,请参见Cisco无线LAN控制器配置指南,版本6.0的支持的太大的访问接入节点镜像部分。