思科室外AP沒法註冊到WLC

思科的一些新的室外AP，在購買回來時，有時候會出現沒法加入WLC的狀況，現象基本是沒法加入，或感受加入了，立馬又掉了。

例如：

AIR-AP1562E-H-K9

AIR-AP1572EAC-H-K9

 

1、具體的緣由分析以下：

一、客戶須要購買的AP是Lightweight AP，可是收到AP後，AP的模式不正確，致使加入WLC存在問題。

二、這類AP出廠可能的模式爲bridge或mesh等模式。

 

經過在CLI debug可能出現的現象：

[........]Failed to decode discovery response.
[........]CAPWAP SM handler:Failed to process message type 2 state 2
[........]Failed to handle capwap control message from controller-status 4
[........]Failed to process unencrypted capwap packet 0x17a6000 from x.x.x.x
[........]Failed to send capwap message 0 to the state machine,Packet already freed.
[........]Discovery Response from x.x.x.x
[........]Discovery response from MWAR 'xxzx' running version 8.2.151.0 is rejected.
[........]Failed to decode discovery response.
[........]CAPWAP SM handler:Failed to process message type 2 state 2.
[........]Failed to handle capwap control message from controller-status 4
[........]Failed to process unencrypted capwap packet 0x1791000 from y.y.y.y
[........]Failed to send capwap message 0 to the state machine,Packet already freed.
[........]IPv4 wtpProcessPacketFromSocket returned 4.
[........]set led_patteren 12

[........]CAPWAP State:DTLS Setup
[........]dtls_load_ca_certs:LSC Root Certificate not present

......

 

或者在GUI界面觀察：

 

2、解釋：

在LAP註冊過程當中，LAP和WLC使用X.509證書進行相互身份驗證。

X.509證書在出廠AP和WLC上都被刻錄到受保護的其閃存中。在AP上，出廠安裝的證書稱爲製造安裝證書（manufacturing installed certificates，MIC）。 2005年7月18日以後生產的全部思科AP都有MIC。

2005年7月18日以前製造的Cisco Aironet 1200,1130和1240 AP已從自主IOS升級到輕量接入點協議（LWAPP）IOS，在升級過程當中生成自簽名證書（self-signed certificate，SSC）。有關如何使用SSC管理AP的信息，請參閱將自主Cisco Aironet接入點升級到輕量級模式。
https://www.cisco.com/en/US/docs/wireless/access_point/conversion/lwapp/upgrade/guide/lwapnote.html

除了在註冊過程當中發生的這種相互認證以外，WLC還能夠基於LAP的MAC地址限制向其註冊的LAP。

經過使用LAP的MAC地址以不用太在乎密碼的強壯性，WLC在經過RADIUS服務器受權AP以前會使用MIC來驗證AP。
MIC的使用提供了強大的身份驗證。

LAP受權能夠經過兩種方式執行：

一、使用WLC上的內部受權列表

二、在AAA服務器上使用MAC地址數據庫

LAP的行爲因使用的證書而異：

具備SSC的LAP：WLC將僅使用內部受權列表，而且不會將請求轉發到RADIUS服務器以用於這些LAP。

具備MIC的LAP：可使用WLC上配置的內部受權列表，也能夠使用RADIUS服務器受權LAP

 

3、解決方法

通常的，咱們能夠在WLC上去添加這些AP的MAC地址，以使得LAP能夠加入WLC。經過GUI來添加AP的MAC地址：Security>AAA>AP Policies

AP加入後，能夠修改其模式，例如，修改成Local。

 

或者：

咱們在使用的AP的時候，直接console到AP的CLI界面，而後輸入capwap ap mode local

將它直接修改成local模式，註冊到對應WLC應該也是沒有問題的。

注意：首先得保證WLC的軟件版本是正常該型號的LAP的！

 

關於Lightweight Access Point (LAP) Authorization 更詳細的，能夠參考思科文檔：

https://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/98848-lap-auth-uwn-config.html#conf