Cisco Support Community Expert Series Webcast · 通常型番 WLC ※ 5508...
Transcript of Cisco Support Community Expert Series Webcast · 通常型番 WLC ※ 5508...
松村 一平(Kunitaka Matsumura)
テクニカルアシスタンスセンター, テクニカルサービス
Aug 25, 2015
Cisco Unified Wireless Network (CUWN) の新機能の紹介とトラブルシューティング
Cisco Support Community
Expert Series Webcast
ご参加ありがとうございます 本日の資料はこちらからダウンロードいただけます http://supportforums.cisco.com/ja/community/5356/webcast
直接ダウンロードする場合はこちらhttps://supportforums.cisco.com/ja/document/12588596
オーディオ ブロードキャスト について [Audio Broadcast(オーディオ ブロードキャスト)] ウィンドウが自動的に表示され、コンピュータのスピーカーから音声が流れます
[Audio Broadcast(オーディオ ブロードキャスト)] ウィンドウが表示されない場合は、[Communicate(コミュニケート)] メニューから [Audio Broadcast(オーディオ ブロードキャスト)] を選択します
イベントが開始されると自動的に音声が流れ始めます
音声接続に関する詳細はこちらをご参照ください。解決しない場合は、QA ウィンドウよりお知らせください。 https://supportforums.cisco.com/ja/document/82876
ご質問方法 Webcast 中のご質問は全て画面右側のQAウィンドウより All Panelist 宛に送信してください
会社案内 グローバルナレッジネットワーク株式会社
We are Global Knowledge
世界約30か国で展開するITビジネストレーニングの独立系リーディング
カンパニー
Global Knowledge Asia グループとしてアジア7ヶ国に展開
子会社グローバルナレッジマネジメントセンター株式会社を通じ、世界最大の 人材育成組織 American Management Association のサービスを国内で唯一提供
Lineup
Partnership
世界有数のベンダー各社の認定教育機関
アワード受賞実績多数
アライアンスパートナーの 優れたコンテンツ
Original
ベンダー非依存の要素技術
クロスプラットフォーム&マルチベンダー
ヒューマン・スキル
グローバルビジネススキル
集合研修 (定期開催)
集合研修 (一社向け)
Virtual Classroom (定期開催)
eラーニング
(ASP/ CD-ROM)
オンライン配信
(一社向け)
Virtual Classroom (一社向け)
NEW TRAIN MIX
TRAIN (新入社員研修)
Worldwide Training Service
テスト センター
提供コース1,000以上
年間提供クラス6,000以上
推奨コースと おすすめ情報
CCNA Wireless関連トレーニングコースのご案内
★ CCNA Wireless関連コース
● 速習Cisco Wireless ~IUWNEv2.0対応~
Cisco認定コースImplementing Cisco Unified Wireless Networking Essentials ≪IUWNE≫ v2.0 を3日間に
短縮したコースです。
▼コース詳細はこちら
http://gknet.jp/cnw
エキスパート スピーカー
松村 一平 (Kunitaka Matsumura) テクニカルアシスタンスセンター,
テクニカルサービス カスタマー サポート エンジニア
松村 一平(Kunitaka Matsumura)
Aug 25, 2015
Cisco Support Community Expert Series Webcast
CUWN の新機能の紹介とトラブルシューティング
テクニカルアシスタンスセンター, テクニカルサービス
• 今回 WebCast トレーニングを受講されている動機はなんですか?
1. CCNA, CCNP, CCIE Wireless 試験に興味がある。
2. Cisco のワイヤレス製品を導入、運用している。または、その予定がある。
3. 1 と 2 の両方
4. 1 と 2 のどちらでもない
投票質問1
CCIE Wireless 試験の更新内容
• WLC の冗長化構成 ( HA : High Availability )
HA の機能紹介
Trouble Shooting
• 高速ローミング ( 802.11r : Fast BSS Transition )
高速ローミングの機能紹介
Trouble Shooting
アジェンダ
Wireless Lan Controller のソフトウェアバージョン
• 7.0.x
• 7.1.x ( ダウンロードページから取り下げ )
• 7.2.x
• 7.3.x (ダウンロードページから取り下げ )
• 7.4.x
• 7.5.x (ダウンロードページから取り下げ )
• 7.6.x
• 8.0.x
e.x.) 7.6 から導入
High Availability Introduction
• WLC の High Availability 機能についてどの程度ご存知ですか?
1. 実装・運用の経験があり、トラブルシューティングの方法もある程度知識がある
2. 設定の経験はあるが、トラブル対応はしたことがない
3. 機能は知っているが、実機で試したことがない
4. あまり知らない
投票質問 2
これまでの WLC の冗長構成
Primary WLC Secondary WLC
Primary WLC から Secondary
WLC に切り替わる際、AP は
Discovery Mode に遷移する
IP Config
IP Config
Discovery
Mode
Discovery
Mode
Client
AP が Secondary WLC
に帰属し直す時間
Client が AP に
接続しなおす時間 無線通信の
ダウンタイム = +
LAP LAP
High Availability 機能 7.3 からの追加機能 ( AP SSO : AP Stateful Switchover )
Active WLC Standby WLC Redundancy
Port
IP
Config
AP Database
• AP は Discovery Mode に遷移することなく WLC を切り替える
Client
Client が AP に
接続しなおす時間 無線通信の
ダウンタイム =
Active
• Active WLC がダウンした場合、Active の WLC が切り替わる。(Switchover)
Client SSO ( Client Stateful Switchover )
( 7.5 からの機能拡張 )
Active WLC と Standby WLC で帰属しているクライアントの Database も共有することで、
Switchover (切り替わり) が発生した際にクライアントが切断されない。
• RUN Status ( 通信可能状態 ) のクライアントの情報を Active と Standby で Sync
• クライアントの統計情報などは Sync されない
• Internal DHCP Server (*1) の情報は Sync しない
( 7.6 以前。8.0 からはサポート )
(*1) WLC を DHCP Server として動作させ、IP を配布させる機能
Client SSO の制限事項
HA 構成の実装 (1/3) 1. 機器とライセンスの準備
Active ( Primary ) Standby ( Secondary )
通常型番 WLC
with Permanent License
HA 型番 WLC
( License Count 0 )
通常型番 WLC
with Permanent License
通常型番 WLC
※ 5508 を利用する場合は、50 AP Count 以上のライセンスが必要
通常型番 WLC
with Evaluation License
HA 型番 WLC
( License Count 0 )
通常型番 WLC
with Evaluation License
通常型番 WLC
※ 5508 を利用する場合は、50 AP Count 以上のライセンスが必要
Secondary WLC として、通常の WLC 型番 (AIR-CT5508-50-K9 など ) または HA 型番
(AIR-CT5508-HA-K9 など ) のどちらかを利用する
HA 構成の実装 (2/3) 2. 物理配線
Active WLC Standby WLC
Redundancy
Port
Active WLC Standby WLC
Redundancy
Port Redundancy
Port
Back-to-Back での接続 スイッチ経由での接続 ( 7.5 からサポート )
RP 1
RP 2
Active Controller
Standby Controller • Redundancy Management Interface の接続
Management Interface と同じ物理ポートを利用
• Redundancy Port の接続
Redundancy Port Link
RMI Link
HA 構成の実装 (3/3)
• Redundancy Management Interface ( RMI ) に IP アドレスの設定
※ Management Interface と同じサブネットと Vlan に設定
• RP の IP アドレスは、RMI が設定されると自動的に割り当てられる ( 169.254.x.x )
• WLC の Primary, Secondary の設定
• HA を有効化 ( 設定後、再起動 )
Redundancy
Port
RP : 169.254.175.11 RP : 169.254.175.13
Management Interface : 172.22.175.1 Management Interface : 172.22.175.3
RMI : 172.22.175.11 RMI : 172.22.175.13
Redundancy Port Link
RMI Link
3. 機器の設定 ( それぞれの WLC に設定 )
HA の CLI 設定サンプル
Configuration on Primary WLC:
Configuration on Secondary WLC:
configure interface address management 172.22.175.1 255.255.255.0 172.22.175.254
configure interface address redundancy-management 172.22.175.11 peer-redundancy-management
172.22.175.13
configure redundancy unit primary
configure redundancy mode sso
configure interface address management 172.22.175.3 255.255.255.0 172.22.175.254
configure interface address redundancy-management 172.22.175.13 peer-redundancy-management
172.22.175.11
configure redundancy unit secondary
configure redundancy mode sso
HA が構成されるまでのプロセス
HA を有効化
再起動
コピー
WLC ペアの検索 ( Peer Search )
再起動
Negotiation Role Negotiation
Configuration Configuration
再起動
起動
8.0 以降ではこの再起動は省略
Primary ( Active ) Secondary ( Standby )
show interface summary ( 8.0 で確認) (5508a) >show interface summary Number of Interfaces.......................... 7 Interface Name Port Vlan Id IP Address Type Ap Mgr Guest -------------------------------- ---- -------- --------------- ------- ------ ----- management LAG 175 172.22.175.1 Static Yes No redundancy-management LAG 175 172.22.175.11 Static No No redundancy-port - untagged 169.254.175.11 Static No No service-port N/A N/A 4.4.4.4 Static No No virtual N/A N/A 2.2.2.2 Static No No vlan178 LAG 178 172.22.178.1 Dynamic No No vlan180 LAG 180 172.22.180.1 Dynamic No No
(5508a-Standby) >show interface summary Number of Interfaces.......................... 7 Interface Name Port Vlan Id IP Address Type Ap Mgr Guest -------------------------------- ---- -------- --------------- ------- ------ ----- management LAG 175 172.22.175.1 Static Yes No redundancy-management LAG 175 172.22.175.13 Static No No redundancy-port - untagged 169.254.175.13 Static No No service-port N/A N/A 5.5.5.5 Static No No virtual N/A N/A 2.2.2.2 Static No No vlan178 LAG 178 172.22.178.1 Dynamic No No vlan180 LAG 180 172.22.180.1 Dynamic No No
② Standby となった WLC の CLI のプロンプトには、’Standby’ の文字が自動的に追加される
① Management IF の IP は Primary のものが採用され、Secondary の IP 設定は上書きされる( HA 構成を崩しても元の設定には戻らない )
④ Service-port の設定も、元の設定が残る。 ( 7.4 から )
①
①
② ③ RMI と RP は、元の設定が残る
③
③
④
④
show redundancy summary ( 8.0 で確認 ) (5508a) >show redundancy summary Redundancy Mode = SSO ENABLED --- 1 Local State = ACTIVE --- 2 Peer State = STANDBY HOT --- 3 Unit = Primary --- 4 Unit ID = E0:2F:6D:7C:D8:60 --- 5 Redundancy State = SSO --- 6 Mobility MAC = E0:2F:6D:7C:D8:60 --- 7 BulkSync Status = Complete --- 8 Average Redundancy Peer Reachability Latency = 430 Micro Seconds Average Management Gateway Reachability Latency = 597 Micro Seconds
(5508a-Standby) >show redundancy summary Redundancy Mode = SSO ENABLED --- 1 Local State = STANDBY HOT --- 2 Peer State = ACTIVE --- 3 Unit = Secondary (Inherited AP License Count = 17) 4 Unit ID = 10:F3:11:99:9B:C0 --- 5 Redundancy State = SSO --- 6 Mobility MAC = E0:2F:6D:7C:D8:60 --- 7 Average Redundancy Peer Reachability Latency = 431 Micro Seconds Average Management Gateway Reachability Latency = 410 Micro Seconds
1. 設定から HA が Enable かどうか
2. 自身の HA ステータス
3. 対向 WLC の HA ステータス
4. Primary, Secondary の設定内容
5. 自身の MAC アドレス
6. HA の構成状況
SSO : HA が構成されている
Not Redundant : 構成されていない
7. Mobility Group の MAC
8. Active と Standby WLC の Sync 状況
( 8.0 から )
HA のステータス • Active, Standby
- Standby Active : 再起動なし
- Active Standby : 再起動する
• Maintenance
Standby WLC が Backup としての役割を果たせない状況の時遷移する。
(1) Standby WLC が default GW との疎通がとれない場合
(2) Standby WLC が HA ペアとなる WLC を見つけられない場合
(3) Redundancy Port が Down
(4) ソフトウェアバージョンが不一致
Maintenance Mode への遷移と復旧 7.5 より以前 7.6 8.0 以降
e.x.) Standby WLC から Default GW への疎通が途切れる
e.x.) Standby WLC から Default GW への疎通が復旧
Maintenance Mode
Reboot
手動 Reboot 自動 Reboot
Standby Mode
Standby Mode
Reboot Reboot なし
自動 Reboot
High Availability Trouble Shooting
Trouble 予期せぬ Switchover が発生した
・ 気づいたら Switchover が発生していた。その原因を教えてほしい。
トラブルシューティングの流れ
① 問題の発生状況を確認する
② 製品の動作の再確認
Switchover が発生する条件を再確認する
③ ログの調査
Switchover の調査に必要なログ
Switchover Reason の確認
④ さらなる調査を行なうには
⑤ ワークアラウンドの検討
① 問題の発生条件の確認 WLC のハードウェア型番は?
AIR-CT5508-50-K9, AIR-CT5508-HA-K9
Switchover
Active
Standby
Standby
Active
問題発生の条件は(トリガなど)?
不明。気がついた時には Switchover が発生していた
WLC のソフトウェアバージョンは?
8.0.120.0
問題の発生頻度は?
一回のみ
問題の発生時刻は ?
Aug 14, 9:30 ごろ
Redundancy Port Link
RMI Link
② 製品の動作の再確認 Switchover が発生する条件とは?
1. Active WLC の電源断や再起動 ( 手動での再起動を含む )
RP の
ステータス
Standby WLC と
Active WLC の
Reachability
Active WLC から
Default GW への
Reachability
Standby WLC から
Default GW への
Reachability
up yes no yes
up no no yes
down no yes yes
down no no yes
2.
3.
4.
5.
3 種類の keep alive (1/3) 1. Active WLC から default GW への Keep alive
2. Standby WLC から default GW への Keep alive
Active WLC Standby WLC
Default GW
Keep alive Keep alive
- 1 sec おきに ICMP Request を送信
- Retries Count は 3 ( 7.6 まで )
- 8.0 からは Retries Count は変更可能 ( default では 12 )
(5508a) >config redundancy retries gateway-retry ?
<retry count> Configures gateway retry count values between 6 to 12
(5508a) >show redundancy retries gateway-retry
Gateway Retries : 12
- Disable にすることも可能 ( 7.5 以降 )
(5508a) >config redundancy management-gateway-failover disable
Redundancy Port Link
RMI Link
3 種類の keep alive (2/3)
3. Standby WLC と Active WLC の keep alive
Active WLC Standby WLC
Default GW
Redundancy Port Link
RMI Link
i. 100 ms ごとに RP 経由で keep alive パケットを送信
ii. RP 経由での応答が得られない場合、RMI 経由でkeep alive を確認
iii. RMI 経由での応答も得られない場合、再度 i を行なう
iv. i, ii を 3 回繰り返し応答が得られない場合は、Active WLC が Down しているとみなし Switchover
(i)
(ii)
3 種類の keep alive (3/3) - RP 経由での keep alive は100 ms から変更可能
- Retries 回数は 3 回から変更可能 ( 8.0 以降 )
(5508a) >config redundancy retries keep-alive-retry ?
<retry count> Configures keep-alive retry count between 3 and 10
(5508a) >show redundancy retries keep-alive-retry
Keep Alive Retries : 3
100 msec から 400 msec の間で変更可能 ( 7.6 以前 )
100 msec から 1000 msec の間で変更可能 ( 8.0 以降 )
(5508a) >config redundancy timer keep-alive-timer ?
<timer msecs> Configures keep-alive timer value in milli seconds between 100 and 1000 in multiple of 50.
(5508a) >show redundancy timers keep-alive-timer
Keep Alive Timer : 100 msecs
③ ログの調査
Switchover の調査にまず取得するログ
• show tech-support
• show run-config
• show logging
• show trapflags
• show traplog
Active WLC, Standby WLC それぞれ から以下のログの確認
• show redundancy summary ( show tech-support に含まれる )
• show redundancy detail
• show redundancy statistic
( WLC の基本的なログ )
( HA 関連のログ )
問題発生後のshow redundancy summary の確認 (5508a) >show redundancy summary
Redundancy Mode = SSO ENABLED
Local State = ACTIVE
Peer State = STANDBY HOT
Unit = Secondary (Inherited AP License Count = 17)
Unit ID = 10:F3:11:99:9B:C0
Redundancy State = SSO
Mobility MAC = E0:2F:6D:7C:D8:60
BulkSync Status = Complete
Average Redundancy Peer Reachability Latency = 426 Micro Seconds
Average Management Gateway Reachability Latency = 779 Micro Seconds
- どちらの WLC が Active になっているのか
- Switchover 後、HA は正常に構成されているか
- 対向 WLC のステータス ( Maintenance mode になっていないか )
問題発生後のshow redundancy detail の確認 (5508a) >show redundancy detail
Redundancy Management IP Address................. 172.22.175.13
Peer Redundancy Management IP Address............ 172.22.175.11
Redundancy Port IP Address....................... 169.254.175.13
Peer Redundancy Port IP Address.................. 169.254.175.11
Peer Service Port IP Address..................... 4.4.4.4
Switchover History[1]:
Previous Active = 172.22.175.11, Current Active = 172.22.175.13
Switchover Reason = Active controller failed, Switchover Time = Fri Aug 14 09:30:57 2015
Redundancy Timeout Values.....:
----------------------------------------------------
Keep Alive Timeout : 100 msecs
Peer Search Timeout : 120 secs
- Switchover Reason の確認
- Switchover が発生した時刻を確認。( 申告を受けている発生時刻と比較 )
主な Switchover Reason
• User initiated
WLC の手動リセット
手動で Switchover
• Active controller failed
Active WLC のクラッシュ
Standby WLC と Active WLC の Reachability が失われた
• Default gateway is not reachable
Active WLC から Default GW への Reachability が失われた
• Not known
どのカテゴリにも該当しない
など
Crashfile の確認
Active WLC のクラッシュにより Switchover が発生している場合、
通常 Crashfile が WLC に生成されている
GUI からの確認方法
Management > Tech Support > Controller Crash
CLI からの確認方法
show tech-support の末尾
************************************************************
* Start Cisco Crash Handler *
************************************************************
Sys Name: 5508b
Model: AIR-CT5508-K9
Version: 8.1.102.0
Timestamp: Sat May 30 18:43:28 2015
SystemUpTime: 0 days 0 hrs 24 mins 37 secs
signal: 8
Swichover 発生時には WLC のクラッシュは発生していない
show logging の出力の確認
*spamApTask1: Aug 14 09:30:57.899: #RMGR-3-RED_WLC_SWITCHOVER: [SA] rmgr_sm.c:3243 WLC HA - Switchover Occurred,
role changed from Standby to Active, Reason:HB Timeout, Peer HealthSt:0x90 (| All Peer Ports down || Config changed |)
*rmgrMain: Aug 14 09:30:57.655: #RMGR-3-RED_HEARTBEAT_TMOUT: [SS] rmgr_sm.c:1810 Standby WLC has lost keep-alives with
peer. !! Active WLC との疎通を失ったため Switchover 発生
*rmgrMain: Aug 14 09:30:57.655: #RMGR-3-RED_HA_KA_STATS: [SS] rmgr_main.c:650 Keep-alive stats: peer RP KA loss count 3,
peer RMI KA received count 0 !! RP 経由での keep alive が loss, RMI 経由も受信なし (3 回目)
*rmgrMain: Aug 14 09:30:57.655: #RMGR-3-RED_HA_GW_STATS: [SS] rmgr_main.c:649 Default gateway stats: ping loss count 0, ping
received count 1 !! Default GW への疎通はとれている
*rmgrMain: Aug 14 09:30:57.551: #RMGR-3-RED_HA_KA_STATS: [SS] rmgr_main.c:650 Keep-alive stats: peer RP KA loss count 2,
peer RMI KA received count 0 !! RP 経由での keep alive が loss, RMI 経由も受信なし(2 回目)
*rmgrMain: Aug 14 09:30:57.551: #RMGR-3-RED_HA_GW_STATS: [SS] rmgr_main.c:649 Default gateway stats: ping loss count 0, ping
received count 1 !! Default GW への疎通はとれている
*rmgrMain: Aug 14 09:30:57.447: #RMGR-3-RED_HA_KA_STATS: [SS] rmgr_main.c:650 Keep-alive stats: peer RP KA loss count 1,
peer RMI KA received count 0 !! RP 経由での keep alive が loss, RMI 経由も受信なし(1 回目)
Standby から Active に切り替わった WLC から以下のログが確認できる
Standby から Active WLC への疎通がとれなくなったことにより、Switchover が発生していた
④ さらなる調査のために
* 有線キャプチャにより keep alive パケットがどのポイントでドロップしているのか絞り込む
Standby WLC と Active WLC の Reachability がなぜ途切れたのか ?
* 問題の発生条件を出来るだけ詳細に確認する
e.x.) Active WLC がドロップ、Standby WLC がドロップ、間のネットワークでドロップなど
e.x.) ファイルの書き込みを行った時に発生、多数の AP を同時に帰属させた時に発生 など
⑤ ワークアラウンドの検討 (1/2)
• Switchover Reason が Active controller failed
Standby WLC と Active WLC の Reachability が失われた場合
RP 間の keep alive 間隔を調整
RP 経由と RMI 経由で行なう keep alive の retry 回数を調整 ( 8.0 以降 )
7.6 以前の場合、100 msec から 400 msec の間で変更可能
8.0 以降の場合、100 msec から 1000 msec の間で変更可能
3 回から 10 回の間で変更可能 ( 8.0 以降 )
⑤ ワークアラウンドの検討 (2/2)
• Switchover Reason が Default gateway is not reachable
Active WLC から Default GW への Reachability が失われた場合
Default GW との keep alive の試行回数を調整する
Default GW との keep alive を Disable にする ( 7.5 以降 )
Retries Count は 3 ( 7.6 まで )
8.0 からは Retries Count は変更可能 ( default では 12 )
(5508a) >config redundancy management-gateway-failover disable
Fast BSS Transition Roaming
・ Fast BSS Transition (FT) Roaming 機能についてどの程度ご存知ですか?
1. 実装・運用の経験があり、トラブルシューティングの方法もある程度知識がある
2. 設定の経験はあるが、トラブル対応はしたことがない
3. 機能は知っているが、実機で試したことがない
4. あまり知らない
投票質問 3
このセクションの流れ
• 無線クライアントが接続するまでの認証のプロセス
• WPA2-PSK
• WPA2-802.1x
• 通常のローミングのプロセス
• 高速ローミング ( Fast Secure Roaming )
PMKID Caching with Sticky Key Cashing ( SKC )
PMKID Caching with Opportunistic Key Caching ( OKC )
Fast BSS Transition Roaming ( 802.11r )
Main Topic
クライアント接続のプロセス (WPA2-PSK)
Probe Request
Probe Response
Authentication Request
Authentication Response
Association Request
Association Response
EAPOL-key ( 4 way handshake )
LAP Client WLC
PMK PMK
PTK PTK
• 共有している PSK パスワードから PMK ( Pairwise Master Key )
を生成する
• 4 way handshake により、PMK
から PTK ( Pairwise Transient
Key ) の生成
クライアント接続のプロセス (WPA2-802.1x)
Probe Request
Probe Response
Authentication Request
Authentication Response
Association Request
Association Response
EAP ( 802.1x 認証 )
EAPOL-key ( 4 way handshake )
LAP Client WLC 認証サーバ
PMK PMK
PTK PTK
• EAP 認証により PMK ( Pairwise
Master Key ) を生成する
通常のローミングのプロセス
Probe Request
Probe Response
Authentication Request
Authentication Response
Reassociation Request
Reassociation Response
EAP ( 802.1x 認証 )
EAPOL-key
( 4 way handshake )
LAP 2 Client LAP 1
( LAP1 から LAP2 へローミングすることを想定 )
• クライアントはローミング先の
AP に Reassociation Request を送信
• 通常の無線接続と同じように、802.1x 認証、4 way handshake
を行なう
PMKID とは?
• PMK
• Client MAC
• AP MAC (BSSID)
から計算されるハッシュ値
Client
Client
WLC/認証サーバ
PMK PMK
WLC/認証サーバ
LAP1
LAP2
PMKID 1 PMKID 1
PMKID 2 PMKID 2
PMK
PMKID
PMKID Caching with SKC のプロセス
Probe Request
Probe Response
Authentication Request
Authentication Response
Reassociation Request
Reassociation Response
EAP ( 802.1x 認証 )
EAPOL-key
( 4 way handshake )
LAP 2 Client LAP 1
( LAP1 から以前接続したことのある LAP2 へローミングすることを想定 )
• クライアントは、以前接続したことのある AP にローミングする際は、802.1x 認証を省略する
• 初めて接続する AP や、Caching されていた PMKID が
既に削除されている場合は、通常どおり 802.1x 認証を行なう
PMKID 2 PMKID 1
クライアントが接続した際に計算した PMKID をキャシングしている
• SKC : Sticky Key Caching
PMKID Caching with SKC
• IEEE Standard 802.11i で定義されている
• 802.1x 認証により生成された Pairwise Master Key ( PMK ) を AP ごとに
Caching する ( PMKID を Caching している )
• ローミング先の AP が以前接続したことのある AP の場合、802.1x 認証のプロセスをスキップする
ローミング先の AP が一度も接続したことのない AP の場合、通常通り 802.1x
認証のプロセスを行なう
Caching する PMKID の数は限られており、すでに削除されている場合は、
以前接続した AP にローミングする際も 802.1x 認証のプロセスが必要
制限事項
PMK
PMKID Caching with OKC のプロセス
Probe Request
Probe Response
Authentication Request
Authentication Response
Reassociation Request
Reassociation Response
EAPOL-key
( 4 way handshake )
LAP 2 Client LAP 1
( LAP1 から同じ Mobility Group に所属する LAP2 へローミングすることを想定 )
• クライアントは、AP にローミングする際は同じ Mobility Group に所属する 、802.1x 認証を省略する
• Caching している PMK とクライアントのローミング先の AP の
BSSID から PMKID を適宜計算
WLC
クライアントが初めて SSID に接
続した際に計算した PMK をキャシングしている
• OKC : Opportunistic Key Caching
PMKID 2
Mobility Group とは?
同じ Mobility Group 名を持つ WLC のグループ
One WLC Network
WLC WLC WLC
Mobility Group
WLC 間でクライアントの情報などを共有し、コントローラ間でのクライアントのローミングなどをサポートする。
PMKID Caching with OKC
• PMKID with SKC の機能を拡張させたもの
• 802.1x 認証により生成された Pairwise Master Key ( PMK ) を WLAN
( SSID ) ごとに Caching する
• クライアントが同じ Mobility Group に所属する AP にローミングを行なう場合、
802.1x 認証のプロセスをスキップする
• ローミング先の AP の BSSID を用いて PMKID を生成する
一度も接続したことのない LAP へも、高速ローミングが可能
• WPA2-PSK の場合は、ローミング処理の大きな改善はない
• PKC ( Proactive Key Caching ) とも呼ばれる。
Fast BSS Transition (FT) ローミング の概要
• IEEE Standard 802.11r で定義されている
• 二種類の方法がある
Over the Air
Over the Distribution System (DS)
• クライアントが同じ Mobility Group に所属する AP にローミングを行なう場合、
802.1x 認証のプロセスと 4 way handshake プロセスを省略する
• 7.2 から Local Mode AP、7.3 から FlexConnect ModeのAPでサポート
Over the Air のプロセス
Probe Request
Probe Response
Auth Req with FT info
Auth Res with FT info
Reassociation Request
Reassociation Response
LAP 2 Client LAP 1
( LAP1 から LAP2 へローミングすることを想定 )
• Auth Req のパケットに 4 way
handshake でやりとりしていた鍵生成に必要な情報を付加する
• 802.1x 認証と 4 way handshake
のプロセスを省略
クライアントが初めて SSID に接
続した際に計算した PMK をキャシング
WLC
PMK
• PMK は Mobility Group 内で共有
Over the DS のプロセス
Probe Request
Probe Response
Action Frame FT Res
Action Frame FT Req
Reassociation Request
Reassociation Response
LAP 2 Client LAP 1
( LAP1 から LAP2 へローミングすることを想定 )
WLC
• 802.1x 認証と 4 way handshake
のプロセスを省略
• WLC 経由でローミング先の AP
に情報を共有
クライアントが初めて SSID に接続した際に計算した PMK
をキャシング
PMK
Preauth info
• PMK は Mobility Group 内で共有
• Action Frame のパケットに 4
way handshake でやりとりしてい
た鍵生成に必要な情報を付加する
Fast BSS Transition (FT) Roaming の設定
Fast Transition を有効化
Over the DS の Enalbe/Disable を選択
FT PSK or FT 802.1x を選択
Fast BSS Transition ローミングの制限事項 • 802.11r を有効にした WLAN/SSID には、802.11r に対応したクライアントしか接続ができない ( 7.6 まで )
802.11r に対応していないクライアントも混在している環境には、802.11r を利用しない WLAN/SSID を作成する必要がある
• FlexConnect Mode への対応
Central Authentication でも利用可能
Local Authentication では利用できない
AP の Standalone モードではサポートしていない
• 8.0 からは、802.11r クライアントと non-802.11r クライアントをひとつの WLAN でサポート可能 ( 802.11r Mixed Mode )
※ Legacy Client は接続できない場合があります。
FT Roaming Trouble Shooting
Trouble 無線通信がたまに途切れる。
・ 会議のため、部屋を移動した後によく起こるとお客様から申告
ローミングが原因 ?
トラブルシューティングの流れ
① 問題の発生状況を確認する
② 製品の動作の再確認
FT Roaming のプロセスの確認
③ ログの調査
FT Roaming のトラブルの際に確認するログ
クライアントが SSID に接続しはじめてからの一連のログの確認
④ さらなる調査を行なうには
① 問題の発生状況を確認する
LAP 2 LAP 1
WLC
Roaming に失敗 ?
WLC と AP のハードウェア型番は?
AIR-CT5508-50-K9, AIR-CAP3702I
WLC のソフトウェアバージョンは? 7.6.130.0
発生頻度は? 毎日 3-4 件の報告がある
発生時刻は? 最後に報告があるのは Aug 15, 15:15 ごろ
AP の hostname は? LAP1, LAP2
WLAN ( SSID 名 ) は? kFTpsk
クライアントの MAC アドレスは? a8:66:7f:9e:xx:xx
クライアントの種類は? iPhone6, iOS 8.4.1 Client
WLAN 設定の確認 ( GUI )
WLAN 設定の確認 ( CLI ) (5508b) >show wlan 3
802.11 Authentication:........................ Open System
FT Support.................................... Enabled
Static WEP Keys............................... Disabled
802.1X........................................ Disabled
Wi-Fi Protected Access (WPA/WPA2)............. Enabled
WPA (SSN IE)............................... Disabled
WPA2 (RSN IE).............................. Enabled
TKIP Cipher............................. Disabled
AES Cipher.............................. Enabled
Auth Key Management
802.1x.................................. Disabled
PSK..................................... Disabled
CCKM.................................... Disabled
FT-1X(802.11r).......................... Disabled
FT-PSK(802.11r)......................... Enabled
PMF-1X(802.11w)......................... Disabled
PMF-PSK(802.11w)........................ Disabled
FT Reassociation Timeout................... 20
FT Over-The-DS mode........................ Disabled
② 製品の動作の確認
( FT Roaming over the Air )
クライアントが SSID に接続して
からの一連のプロセスを確認する必要がある
• 無線接続問題がローミング処
理の失敗により発生しているか断定できない
Probe Request
Probe Response
Auth Req with FT info
Auth Res with FT info
Reassociation Request
Reassociation Response
LAP 2 Client LAP 1
クライアントが初めて SSID に接続した際に計算した PMK
をキャシング
WLC
PMK
• ローミング発生前の、PMK の
キャッシングや計算処理に失敗している場合も考えられる
③ ログの調査
• show tech-support
• show run-config
• show logging
• show trapflags
• show traplog
( WLC の基本的なログ )
• debug client <クライアントの MAC アドレス >
( FT Roaming に関するログ )
• debug ft events enable
クライアントの接続問題を調査するための、
一般的なコマンド
※ 事象発生時に取得する
(Tips) debug client コマンド
• 無線クライアントのステータスなどの情報が得られる
(5508b) >debug client a8:66:7f:9e:4e:46
(5508b) >show debug
MAC Addr 1.................................. A8:66:7F:9E:4E:46
Debug Flags Enabled:
dhcp packet enabled.
dot11 mobile enabled.
dot11 state enabled
dot1x events enabled.
dot1x states enabled.
FlexConnect ft enabled.
pem events enabled.
pem state enabled.
CCKM client debug enabled.
• 7.3 以降では 10 Clients まで 指定が可能
クライアントの接続問題の解析には必須
debug client 解析のポイント
• WLAN の設定をあらかじめ確認しておく
今回は WPA2-PSK + FT roaming ( over the DS は disable )
• 可能な限り、問題未発生時の debug のログも取得し、比較を行なう。
• 認証方式のプロセスの流れを確認しておく
• クライアントのステータスに着目する
クライアントのステータス遷移
• どのプロセスで問題が発生しているのか、
特定がしやすい。
8021X_REQD : L2 Authentication Pending
DHCP_REQD : IP Learning State
RUN : Client Traffic Forwarding
WPA2-PSK ( DHCP )
問題発生時の debug ログの確認 (1/5)
* Association プロセス
*apfMsConnTask_0: Aug 16 20:47:46.246: Processing assoc-req station:a8:66:7f:9e:4e:46 AP:a8:0c:0d:db:ba:20-01
thread:14d12560
*apfMsConnTask_0: Aug 16 20:47:46.246: a8:66:7f:9e:4e:46 Adding mobile on LWAPP AP a8:0c:0d:db:ba:20(1)
*apfMsConnTask_0: Aug 16 20:47:46.246: a8:66:7f:9e:4e:46Association received from mobile on BSSID a8:0c:0d:db:ba:2d
!! クライアントから Association Request を受け取る
*apfMsConnTask_0: Aug 16 20:47:46.247: a8:66:7f:9e:4e:46 Marking this mobile as TGr capable.
!! クライアントが 11r 対応端末であることを確認
*apfMsConnTask_0: Aug 16 20:47:46.247: a8:66:7f:9e:4e:46 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state
START (0)
*apfMsConnTask_0: Aug 16 20:47:46.247: a8:66:7f:9e:4e:46 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last
state AUTHCHECK (2) !! L2 の認証プロセスに移行
*apfMsConnTask_0: Aug 16 20:47:46.248: Sending assoc-resp station:a8:66:7f:9e:4e:46 AP:a8:0c:0d:db:ba:20-01
thread:14d12560 !! Association Response の返信
LAP1 : a8:0c:0d:db:ba:20 (BSSID)
Client : a8:66:7f:9e:4e:46
問題発生時の debug ログの確認 (2/5)
* PMKID の計算と PMK のキャッシング
*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.250: a8:66:7f:9e:4e:46 Adding BSSID a8:0c:0d:db:ba:2d to PMKID cache at index 0
for station a8:66:7f:9e:4e:46 !! AP の BSSID PMKID の計算
*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.250: New PMKID: (16)
!! 新しい PMKID
*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.250: [0000] 89 3e b4 37 37 cd 1b 88 8e d8 c7 e4 09 fc ed 05
*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.250: a8:66:7f:9e:4e:46 Creating global PMK cache for this TGr client
*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.251: a8:66:7f:9e:4e:46 Created PMK Cache Entry for TGr AKM:PSK
a8:66:7f:9e:4e:46 !! PMK のキャッシング
LAP1 : a8:0c:0d:db:ba:20 (BSSID)
Client : a8:66:7f:9e:4e:46
問題発生時の debug ログの確認 (3/5)
* 4 way handshake
*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.252: a8:66:7f:9e:4e:46 Sending EAPOL-Key Message to mobile
a8:66:7f:9e:4e:46 state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00 !! AP -> Client
*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.254: a8:66:7f:9e:4e:46 Received EAPOL-key in PTK_START state
(message 2) from mobile a8:66:7f:9e:4e:46 !! Client -> AP
*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.256: a8:66:7f:9e:4e:46 Sending EAPOL-Key Message to mobile
a8:66:7f:9e:4e:46 state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01
!! AP -> Client
*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.259: a8:66:7f:9e:4e:46 Received EAPOL-key in
PTKINITNEGOTIATING state (message 4) from mobile a8:66:7f:9e:4e:46 !! Client -> AP
*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.259: a8:66:7f:9e:4e:46 0.0.0.0 8021X_REQD (3) Change state to
L2AUTHCOMPLETE (4) last state 8021X_REQD (3)
!! L2 認証の完了
LAP1 : a8:0c:0d:db:ba:20 (BSSID)
Client : a8:66:7f:9e:4e:46
問題発生時の debug ログの確認 (4/5)
* DHCP プロセス
*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.259: a8:66:7f:9e:4e:46 0.0.0.0 L2AUTHCOMPLETE (4) Change state to
DHCP_REQD (7) last state L2AUTHCOMPLETE (4)
!! DHCP のプロセスに移行
*DHCP Socket Task: Aug 16 20:05:02.460: a8:66:7f:9e:4e:46 172.22.175.134 DHCP_REQD (7) Change state to
RUN (20) last state DHCP_REQD (7)
!! DHCP プロセスを完了させ、Run ステータスに移行
*DHCP Socket Task: Aug 16 20:47:48.738: a8:66:7f:9e:4e:46 DHCP transmitting DHCP ACK (5)
*DHCP Socket Task: Aug 16 20:47:48.738: a8:66:7f:9e:4e:46 172.22.175.134 RUN (20) Successfully plumbed
mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255) !! クライアントの情報を更新
* RUN ステータスへ
LAP1 : a8:0c:0d:db:ba:20 (BSSID)
Client : a8:66:7f:9e:4e:46
問題発生時の debug ログの確認 (5/5)
* Authentication (with FT info ) の処理
*apfMsConnTask_7: Aug 16 20:50:45.301: a8:66:7f:9e:4e:46 Doing preauth for this client over the Air
!! FT Roaming over the Air の Authentication を確認
*apfMsConnTask_7: Aug 16 20:50:45.301: a8:66:7f:9e:4e:46 Doing local roaming for destination address
08:cc:68:b4:47:0d !! ローミング先の AP に通知
*apfMsConnTask_7: Aug 16 20:50:45.301: a8:66:7f:9e:4e:46 Created a new preauth entry for AP:08:cc:68:b4:47:0d
*apfMsConnTask_7: Aug 16 20:50:45.301: Adding MDIE, ID is:0x24d3
*spamApTask0: Aug 16 20:50:45.322: a8:66:7f:9e:4e:46 Association Failed on REAP AP BSSID 08:cc:68:b4:47:0d (slot
1), status 55 0 !! クライアントの Association に失敗
*spamApTask0: Aug 16 20:50:45.322: a8:66:7f:9e:4e:46 apfMsDeleteByMscb Scheduling mobile for deletion with
deleteReason 8, reasonCode 1
LAP1 : a8:0c:0d:db:ba:20 (BSSID)
Client : a8:66:7f:9e:4e:46
LAP2 : 08:cc:68:b4:47:0d (BSSID)
FT Roaming の処理は開始しているが、Authentication からReassociation の間で失敗している
正常に FT Roaming が完了する場合の debug ログの確認 (1/2)
* Authentication (with FT info ) の処理
*apfMsConnTask_7: Aug 16 19:19:59.066: a8:66:7f:9e:4e:46 Doing preauth for this client over the Air
!! FT Roaming over the Air の Authentication を確認
*apfMsConnTask_7: Aug 16 19:19:59.066: a8:66:7f:9e:4e:46 Doing local roaming for destination address 08:cc:68:b4:47:0d
*apfMsConnTask_7: Aug 16 19:19:59.066: a8:66:7f:9e:4e:46 Created a new preauth entry for AP:08:cc:68:b4:47:0d
*apfMsConnTask_7: Aug 16 19:19:59.066: Adding MDIE, ID is:0x24d3
*apfMsConnTask_7: Aug 16 19:19:59.086: Processing assoc-req station:a8:66:7f:9e:4e:46 AP:08:cc:68:b4:47:00-01
thread:14d13ec0 !! Association の処理に進む
LAP1 : a8:0c:0d:db:ba:20 (BSSID)
Client : a8:66:7f:9e:4e:46
LAP2 : 08:cc:68:b4:47:0d (BSSID)
正常に FT Roaming が完了する場合の debug ログの確認 (2/2)
* Reassociation の処理
*apfMsConnTask_7: Aug 16 19:19:59.086: a8:66:7f:9e:4e:46 Reassociation received from mobile on BSSID
08:cc:68:b4:47:02 !! Reassociation Rerequest を受け取る
*apfMsConnTask_7: Aug 16 19:19:59.088: a8:66:7f:9e:4e:46 Updated location for station old AP a8:0c:0d:db:ba:20-
0, new AP 08:cc:68:b4:47:00-1 !! Client の Location データの更新
*apfMsConnTask_7: Aug 16 19:19:59.089: Sending assoc-resp station:a8:66:7f:9e:4e:46 AP:08:cc:68:b4:47:00-01
thread:14d13ec0 !! Association Response の送信
*Dot1x_NW_MsgTask_6: Aug 16 19:19:59.091: a8:66:7f:9e:4e:46 Finishing FT roaming for mobile
a8:66:7f:9e:4e:46 !! FT Roaming の完了
LAP1 : a8:0c:0d:db:ba:20 (BSSID)
Client : a8:66:7f:9e:4e:46
LAP2 : 08:cc:68:b4:47:0d (BSSID)
debug client のログより
• FT Roaming の Authentication と Reassociation 処理の途中で Fail
*spamApTask0: Aug 16 20:50:45.322: a8:66:7f:9e:4e:46 Association Failed on REAP AP BSSID
08:cc:68:b4:47:0d (slot 1), status 55 0
*spamApTask0: Aug 16 20:50:45.322: a8:66:7f:9e:4e:46 apfMsDeleteByMscb Scheduling mobile for
deletion with deleteReason 8, reasonCode 1
( 問題発生時のログ )
• ローミング処理が失敗することにより、クライントの切断が発生しており、他のプロセスには異常がないことがログから確認できた
さらなる調査のためには 問題の発生条件をより明確化
- FT psk の場合のみ問題発生 ( FT 802.1x では発生しない ) - FlexConnect Mode 間のローミングのみで発生 ( AP が Local Mode の際は発生しない )
再現環境より、無線パケットキャプチャやより詳細な debug ログの取得
ローミング先の AP の BSSID とキャッシングされている PMK から PMKID が適切に計算されていなかったため、
FT Roaming に失敗していたことが判明。
(今回の事例では)
(今回の事例では)
WLC
LAP 2
PMK PMKID 2
不適切
問題の原因
CSCui26077 : FT roams don't work with FlexConnect APs
問題事象
発生条件
ワークアラウンド
FlexConnect AP 間での FT Roaming に失敗する
FT psk を利用しており、AP は FlexConnect Mode
- FT 802.1x を利用する
- Local Mode の AP を利用する
まとめ
• WLC の冗長化構成 ( HA : High Availability )
HA の機能紹介
予期せぬ Switchover が発生する問題へのアプローチ
ワークアラウンドの検討
• 高速ローミング ( 802.11r : Fast BSS Transition )
高速ローミングのプロセスの説明
ローミングによる無線接続問題へのアプローチ ( 既知不具合 CSCui26077 )
Q & A 画面右側のQ&A ウィンドウから All Panelist 宛に送信してください
Ask the Expert with
本日聞けなかった質問は、今回のエキスパートが担当するエキスパートに質問( 8月26日~ 9月6日まで開催)へお寄せください!
https://supportforums.cisco.com/ja/discussion/12583
956
Webcastの内容やQ&Aドキュメントは、本日より5営業日以内にこのサイトへ掲載いたします。
https://supportforums.cisco.com/ja/community/5356/
webcast
今後のWebcast 予定
2015年 9月17日(木) 10:00-11:30
基礎から学習するNAT (Network
Address Translation) 設定
ASAとルータのコマンドの比較
コンテンツに関するご意見を募集しています!
掲載してほしい情報 あったら役に立つ情報 英語ではなく日本語でほしい情報など リクエストをお寄せください
ソーシャルメディアで サポートコミュニティと 繋がろう
http://www.facebook.com/CiscoSupportCommunityJapan
Twitter- http://bit.ly/csc-twitterhttps://twitter.com/cscjapan
https://www.youtube.com/user/CSCJapanModerator
Google+ http://bit.ly/csc-googleplus
LinkedIn http://bit.ly/csc-linked-in
Instgram http://bit.ly/csc-instagram
Newsletter Subscription http://bit.ly/csc-newsletter
ご参加ありがとうございました アンケートにもご協力ください