Cisco Support Community Expert Series Webcast · 通常型番 WLC ※ 5508...

松村一平(Kunitaka Matsumura）

テクニカルアシスタンスセンター, テクニカルサービス

Aug 25, 2015

Cisco Unified Wireless Network (CUWN) の新機能の紹介とトラブルシューティング

Cisco Support Community

Expert Series Webcast

ご参加ありがとうございます本日の資料はこちらからダウンロードいただけます http://supportforums.cisco.com/ja/community/5356/webcast

直接ダウンロードする場合はこちらhttps://supportforums.cisco.com/ja/document/12588596

オーディオブロードキャストについて [Audio Broadcast（オーディオブロードキャスト）] ウィンドウが自動的に表示され、コンピュータのスピーカーから音声が流れます

[Audio Broadcast（オーディオブロードキャスト）] ウィンドウが表示されない場合は、[Communicate（コミュニケート）] メニューから [Audio Broadcast（オーディオブロードキャスト）] を選択します

イベントが開始されると自動的に音声が流れ始めます

音声接続に関する詳細はこちらをご参照ください。解決しない場合は、QA ウィンドウよりお知らせください。 https://supportforums.cisco.com/ja/document/82876

ご質問方法 Webcast 中のご質問は全て画面右側のQAウィンドウより All Panelist 宛に送信してください

会社案内グローバルナレッジネットワーク株式会社

We are Global Knowledge

世界約30か国で展開するITビジネストレーニングの独立系リーディング

カンパニー

Global Knowledge Asia グループとしてアジア７ヶ国に展開

子会社グローバルナレッジマネジメントセンター株式会社を通じ、世界最大の人材育成組織 American Management Association のサービスを国内で唯一提供

Lineup

Partnership

世界有数のベンダー各社の認定教育機関

アワード受賞実績多数

アライアンスパートナーの優れたコンテンツ

Original

ベンダー非依存の要素技術

クロスプラットフォーム＆マルチベンダー

ヒューマン・スキル

グローバルビジネススキル

集合研修 (定期開催)

集合研修 (一社向け)

Virtual Classroom (定期開催)

eラーニング

(ASP／ CD-ROM)

オンライン配信

(一社向け)

Virtual Classroom (一社向け)

NEW TRAIN MIX

TRAIN (新入社員研修)

Worldwide Training Service

テストセンター

提供コース1,000以上

年間提供クラス6,000以上

推奨コースとおすすめ情報

CCNA Wireless関連トレーニングコースのご案内

★ CCNA Wireless関連コース

● 速習Cisco Wireless ～IUWNEv2.0対応～

Cisco認定コースImplementing Cisco Unified Wireless Networking Essentials ≪IUWNE≫ v2.0 を3日間に

短縮したコースです。

▼コース詳細はこちら

http://gknet.jp/cnw

エキスパートスピーカー

松村一平（Kunitaka Matsumura）テクニカルアシスタンスセンター,

テクニカルサービスカスタマーサポートエンジニア

松村一平(Kunitaka Matsumura)

Aug 25, 2015

Cisco Support Community Expert Series Webcast

CUWN の新機能の紹介とトラブルシューティング

テクニカルアシスタンスセンター, テクニカルサービス

• 今回 WebCast トレーニングを受講されている動機はなんですか？

1. CCNA, CCNP, CCIE Wireless 試験に興味がある。

2. Cisco のワイヤレス製品を導入、運用している。または、その予定がある。

3. 1 と 2 の両方

4. 1 と 2 のどちらでもない

投票質問1

CCIE Wireless 試験の更新内容

• WLC の冗長化構成 ( HA : High Availability )

HA の機能紹介

Trouble Shooting

• 高速ローミング ( 802.11r : Fast BSS Transition )

高速ローミングの機能紹介

Trouble Shooting

アジェンダ

Wireless Lan Controller のソフトウェアバージョン

• 7.0.x

• 7.1.x ( ダウンロードページから取り下げ )

• 7.2.x

• 7.3.x (ダウンロードページから取り下げ )

• 7.4.x

• 7.5.x (ダウンロードページから取り下げ )

• 7.6.x

• 8.0.x

e.x.) 7.6 から導入

High Availability Introduction

• WLC の High Availability 機能についてどの程度ご存知ですか？

1. 実装・運用の経験があり、トラブルシューティングの方法もある程度知識がある

2. 設定の経験はあるが、トラブル対応はしたことがない

3. 機能は知っているが、実機で試したことがない

4. あまり知らない

投票質問 2

これまでの WLC の冗長構成

Primary WLC Secondary WLC

Primary WLC から Secondary

WLC に切り替わる際、AP は

Discovery Mode に遷移する

IP Config

IP Config

Discovery

Mode

Discovery

Mode

Client

AP が Secondary WLC

に帰属し直す時間

Client が AP に

接続しなおす時間無線通信の

ダウンタイム＝ +

LAP LAP

High Availability 機能 7.3 からの追加機能 ( AP SSO : AP Stateful Switchover )

Active WLC Standby WLC Redundancy

Port

IP

Config

AP Database

• AP は Discovery Mode に遷移することなく WLC を切り替える

Client

Client が AP に

接続しなおす時間無線通信の

ダウンタイム＝

Active

• Active WLC がダウンした場合、Active の WLC が切り替わる。(Switchover)

Client SSO ( Client Stateful Switchover )

( 7.5 からの機能拡張 )

Active WLC と Standby WLC で帰属しているクライアントの Database も共有することで、

Switchover (切り替わり) が発生した際にクライアントが切断されない。

• RUN Status ( 通信可能状態 ) のクライアントの情報を Active と Standby で Sync

• クライアントの統計情報などは Sync されない

• Internal DHCP Server (*1) の情報は Sync しない

( 7.6 以前。8.0 からはサポート )

(*1) WLC を DHCP Server として動作させ、IP を配布させる機能

Client SSO の制限事項

HA 構成の実装 (1/3) 1. 機器とライセンスの準備

Active ( Primary ) Standby ( Secondary )

通常型番 WLC

with Permanent License

HA 型番 WLC

( License Count 0 )

通常型番 WLC

with Permanent License

通常型番 WLC

※ 5508 を利用する場合は、50 AP Count 以上のライセンスが必要

通常型番 WLC

with Evaluation License

HA 型番 WLC

( License Count 0 )

通常型番 WLC

with Evaluation License

通常型番 WLC

※ 5508 を利用する場合は、50 AP Count 以上のライセンスが必要

Secondary WLC として、通常の WLC 型番 (AIR-CT5508-50-K9 など ) または HA 型番

(AIR-CT5508-HA-K9 など ) のどちらかを利用する

HA 構成の実装 (2/3) 2. 物理配線

Active WLC Standby WLC

Redundancy

Port


Redundancy

Port Redundancy

Port

Back-to-Back での接続スイッチ経由での接続 ( 7.5 からサポート )

RP 1

RP 2

Active Controller

Standby Controller • Redundancy Management Interface の接続

Management Interface と同じ物理ポートを利用

• Redundancy Port の接続

Redundancy Port Link

RMI Link

HA 構成の実装 (3/3)

• Redundancy Management Interface ( RMI ) に IP アドレスの設定

※ Management Interface と同じサブネットと Vlan に設定

• RP の IP アドレスは、RMI が設定されると自動的に割り当てられる ( 169.254.x.x )

• WLC の Primary, Secondary の設定

• HA を有効化 ( 設定後、再起動 )

Redundancy

Port

RP : 169.254.175.11 RP : 169.254.175.13

Management Interface : 172.22.175.1 Management Interface : 172.22.175.3

RMI : 172.22.175.11 RMI : 172.22.175.13


RMI Link

3. 機器の設定 ( それぞれの WLC に設定）

HA の CLI 設定サンプル

Configuration on Primary WLC:

Configuration on Secondary WLC:

configure interface address management 172.22.175.1 255.255.255.0 172.22.175.254

configure interface address redundancy-management 172.22.175.11 peer-redundancy-management

172.22.175.13

configure redundancy unit primary

configure redundancy mode sso

configure interface address management 172.22.175.3 255.255.255.0 172.22.175.254

configure interface address redundancy-management 172.22.175.13 peer-redundancy-management

172.22.175.11

configure redundancy unit secondary

configure redundancy mode sso

HA が構成されるまでのプロセス

HA を有効化

再起動

コピー

WLC ペアの検索 ( Peer Search )

再起動

Negotiation Role Negotiation

Configuration Configuration

再起動

起動

8.0 以降ではこの再起動は省略

Primary ( Active ) Secondary ( Standby )

show interface summary ( 8.0 で確認) (5508a) >show interface summary Number of Interfaces.......................... 7 Interface Name Port Vlan Id IP Address Type Ap Mgr Guest -------------------------------- ---- -------- --------------- ------- ------ ----- management LAG 175 172.22.175.1 Static Yes No redundancy-management LAG 175 172.22.175.11 Static No No redundancy-port - untagged 169.254.175.11 Static No No service-port N/A N/A 4.4.4.4 Static No No virtual N/A N/A 2.2.2.2 Static No No vlan178 LAG 178 172.22.178.1 Dynamic No No vlan180 LAG 180 172.22.180.1 Dynamic No No

(5508a-Standby) >show interface summary Number of Interfaces.......................... 7 Interface Name Port Vlan Id IP Address Type Ap Mgr Guest -------------------------------- ---- -------- --------------- ------- ------ ----- management LAG 175 172.22.175.1 Static Yes No redundancy-management LAG 175 172.22.175.13 Static No No redundancy-port - untagged 169.254.175.13 Static No No service-port N/A N/A 5.5.5.5 Static No No virtual N/A N/A 2.2.2.2 Static No No vlan178 LAG 178 172.22.178.1 Dynamic No No vlan180 LAG 180 172.22.180.1 Dynamic No No

② Standby となった WLC の CLI のプロンプトには、’Standby’ の文字が自動的に追加される

① Management IF の IP は Primary のものが採用され、Secondary の IP 設定は上書きされる（ HA 構成を崩しても元の設定には戻らない )

④ Service-port の設定も、元の設定が残る。 ( 7.4 から )

①

①

② ③ RMI と RP は、元の設定が残る

③

③

④

④

show redundancy summary ( 8.0 で確認 ) (5508a) >show redundancy summary Redundancy Mode = SSO ENABLED --- 1 Local State = ACTIVE --- 2 Peer State = STANDBY HOT --- 3 Unit = Primary --- 4 Unit ID = E0:2F:6D:7C:D8:60 --- 5 Redundancy State = SSO --- 6 Mobility MAC = E0:2F:6D:7C:D8:60 --- 7 BulkSync Status = Complete --- 8 Average Redundancy Peer Reachability Latency = 430 Micro Seconds Average Management Gateway Reachability Latency = 597 Micro Seconds

(5508a-Standby) >show redundancy summary Redundancy Mode = SSO ENABLED --- 1 Local State = STANDBY HOT --- 2 Peer State = ACTIVE --- 3 Unit = Secondary (Inherited AP License Count = 17) 4 Unit ID = 10:F3:11:99:9B:C0 --- 5 Redundancy State = SSO --- 6 Mobility MAC = E0:2F:6D:7C:D8:60 --- 7 Average Redundancy Peer Reachability Latency = 431 Micro Seconds Average Management Gateway Reachability Latency = 410 Micro Seconds

1. 設定から HA が Enable かどうか

2. 自身の HA ステータス

3. 対向 WLC の HA ステータス

4. Primary, Secondary の設定内容

5. 自身の MAC アドレス

6. HA の構成状況

SSO : HA が構成されている

Not Redundant : 構成されていない

7. Mobility Group の MAC

8. Active と Standby WLC の Sync 状況

( 8.0 から )

HA のステータス • Active, Standby

- Standby Active : 再起動なし

- Active Standby : 再起動する

• Maintenance

Standby WLC が Backup としての役割を果たせない状況の時遷移する。

(1) Standby WLC が default GW との疎通がとれない場合

(2) Standby WLC が HA ペアとなる WLC を見つけられない場合

(3) Redundancy Port が Down

(4) ソフトウェアバージョンが不一致

Maintenance Mode への遷移と復旧 7.5 より以前 7.6 8.0 以降

e.x.) Standby WLC から Default GW への疎通が途切れる

e.x.) Standby WLC から Default GW への疎通が復旧

Maintenance Mode

Reboot

手動 Reboot 自動 Reboot

Standby Mode

Standby Mode

Reboot Reboot なし

自動 Reboot

High Availability Trouble Shooting

Trouble 予期せぬ Switchover が発生した

・気づいたら Switchover が発生していた。その原因を教えてほしい。

トラブルシューティングの流れ

① 問題の発生状況を確認する

② 製品の動作の再確認

Switchover が発生する条件を再確認する

③ ログの調査

Switchover の調査に必要なログ

Switchover Reason の確認

④ さらなる調査を行なうには

⑤ ワークアラウンドの検討

① 問題の発生条件の確認 WLC のハードウェア型番は？

AIR-CT5508-50-K9, AIR-CT5508-HA-K9

Switchover

Active

Standby

Standby

Active

問題発生の条件は（トリガなど）？

不明。気がついた時には Switchover が発生していた

WLC のソフトウェアバージョンは？

8.0.120.0

問題の発生頻度は？

一回のみ

問題の発生時刻は？

Aug 14, 9:30 ごろ


RMI Link

② 製品の動作の再確認 Switchover が発生する条件とは？

1. Active WLC の電源断や再起動 ( 手動での再起動を含む )

RP の

ステータス

Standby WLC と

Active WLC の

Reachability

Active WLC から

Default GW への

Reachability

Standby WLC から

Default GW への

Reachability

up yes no yes

up no no yes

down no yes yes

down no no yes

2.

3.

4.

5.

3 種類の keep alive (1/3) 1. Active WLC から default GW への Keep alive

2. Standby WLC から default GW への Keep alive


Default GW

Keep alive Keep alive

- 1 sec おきに ICMP Request を送信

- Retries Count は 3 ( 7.6 まで )

- 8.0 からは Retries Count は変更可能 ( default では 12 )

(5508a) >config redundancy retries gateway-retry ?

<retry count> Configures gateway retry count values between 6 to 12

(5508a) >show redundancy retries gateway-retry

Gateway Retries : 12

- Disable にすることも可能 ( 7.5 以降 )

(5508a) >config redundancy management-gateway-failover disable


RMI Link

3 種類の keep alive (2/3)

3. Standby WLC と Active WLC の keep alive


Default GW


RMI Link

i. 100 ms ごとに RP 経由で keep alive パケットを送信

ii. RP 経由での応答が得られない場合、RMI 経由でkeep alive を確認

iii. RMI 経由での応答も得られない場合、再度 i を行なう

iv. i, ii を 3 回繰り返し応答が得られない場合は、Active WLC が Down しているとみなし Switchover

(i)

(ii)

3 種類の keep alive (3/3) - RP 経由での keep alive は100 ms から変更可能

- Retries 回数は 3 回から変更可能 ( 8.0 以降 )

(5508a) >config redundancy retries keep-alive-retry ?

<retry count> Configures keep-alive retry count between 3 and 10

(5508a) >show redundancy retries keep-alive-retry

Keep Alive Retries : 3

100 msec から 400 msec の間で変更可能 ( 7.6 以前 )

100 msec から 1000 msec の間で変更可能 ( 8.0 以降 )

(5508a) >config redundancy timer keep-alive-timer ?

<timer msecs> Configures keep-alive timer value in milli seconds between 100 and 1000 in multiple of 50.

(5508a) >show redundancy timers keep-alive-timer

Keep Alive Timer : 100 msecs

③ ログの調査

Switchover の調査にまず取得するログ

• show tech-support

• show run-config

• show logging

• show trapflags

• show traplog

Active WLC, Standby WLC それぞれから以下のログの確認

• show redundancy summary ( show tech-support に含まれる )

• show redundancy detail

• show redundancy statistic

( WLC の基本的なログ )

( HA 関連のログ )

問題発生後のshow redundancy summary の確認 (5508a) >show redundancy summary

Redundancy Mode = SSO ENABLED

Local State = ACTIVE

Peer State = STANDBY HOT

Unit = Secondary (Inherited AP License Count = 17)

Unit ID = 10:F3:11:99:9B:C0

Redundancy State = SSO

Mobility MAC = E0:2F:6D:7C:D8:60

BulkSync Status = Complete

Average Redundancy Peer Reachability Latency = 426 Micro Seconds

Average Management Gateway Reachability Latency = 779 Micro Seconds

- どちらの WLC が Active になっているのか

- Switchover 後、HA は正常に構成されているか

- 対向 WLC のステータス ( Maintenance mode になっていないか )

問題発生後のshow redundancy detail の確認 (5508a) >show redundancy detail

Redundancy Management IP Address................. 172.22.175.13

Peer Redundancy Management IP Address............ 172.22.175.11

Redundancy Port IP Address....................... 169.254.175.13

Peer Redundancy Port IP Address.................. 169.254.175.11

Peer Service Port IP Address..................... 4.4.4.4

Switchover History[1]:

Previous Active = 172.22.175.11, Current Active = 172.22.175.13

Switchover Reason = Active controller failed, Switchover Time = Fri Aug 14 09:30:57 2015

Redundancy Timeout Values.....:

----------------------------------------------------

Keep Alive Timeout : 100 msecs

Peer Search Timeout : 120 secs

- Switchover Reason の確認

- Switchover が発生した時刻を確認。( 申告を受けている発生時刻と比較 )

主な Switchover Reason

• User initiated

WLC の手動リセット

手動で Switchover

• Active controller failed

Active WLC のクラッシュ

Standby WLC と Active WLC の Reachability が失われた

• Default gateway is not reachable

Active WLC から Default GW への Reachability が失われた

• Not known

どのカテゴリにも該当しない

など

Crashfile の確認

Active WLC のクラッシュにより Switchover が発生している場合、

通常 Crashfile が WLC に生成されている

GUI からの確認方法

Management > Tech Support > Controller Crash

CLI からの確認方法

show tech-support の末尾

************************************************************

* Start Cisco Crash Handler *

************************************************************

Sys Name: 5508b

Model: AIR-CT5508-K9

Version: 8.1.102.0

Timestamp: Sat May 30 18:43:28 2015

SystemUpTime: 0 days 0 hrs 24 mins 37 secs

signal: 8

Swichover 発生時には WLC のクラッシュは発生していない

show logging の出力の確認

*spamApTask1: Aug 14 09:30:57.899: #RMGR-3-RED_WLC_SWITCHOVER: [SA] rmgr_sm.c:3243 WLC HA - Switchover Occurred,

role changed from Standby to Active, Reason:HB Timeout, Peer HealthSt:0x90 (| All Peer Ports down || Config changed |)

*rmgrMain: Aug 14 09:30:57.655: #RMGR-3-RED_HEARTBEAT_TMOUT: [SS] rmgr_sm.c:1810 Standby WLC has lost keep-alives with

peer. !! Active WLC との疎通を失ったため Switchover 発生

*rmgrMain: Aug 14 09:30:57.655: #RMGR-3-RED_HA_KA_STATS: [SS] rmgr_main.c:650 Keep-alive stats: peer RP KA loss count 3,

peer RMI KA received count 0 !! RP 経由での keep alive が loss, RMI 経由も受信なし（3 回目)

*rmgrMain: Aug 14 09:30:57.655: #RMGR-3-RED_HA_GW_STATS: [SS] rmgr_main.c:649 Default gateway stats: ping loss count 0, ping

received count 1 !! Default GW への疎通はとれている



*rmgrMain: Aug 14 09:30:57.551: #RMGR-3-RED_HA_GW_STATS: [SS] rmgr_main.c:649 Default gateway stats: ping loss count 0, ping

received count 1 !! Default GW への疎通はとれている



Standby から Active に切り替わった WLC から以下のログが確認できる

Standby から Active WLC への疎通がとれなくなったことにより、Switchover が発生していた

④ さらなる調査のために

* 有線キャプチャにより keep alive パケットがどのポイントでドロップしているのか絞り込む

Standby WLC と Active WLC の Reachability がなぜ途切れたのか？

* 問題の発生条件を出来るだけ詳細に確認する

e.x.) Active WLC がドロップ、Standby WLC がドロップ、間のネットワークでドロップなど

e.x.) ファイルの書き込みを行った時に発生、多数の AP を同時に帰属させた時に発生など

⑤ ワークアラウンドの検討 (1/2)

• Switchover Reason が Active controller failed

Standby WLC と Active WLC の Reachability が失われた場合

RP 間の keep alive 間隔を調整

RP 経由と RMI 経由で行なう keep alive の retry 回数を調整 ( 8.0 以降 )

7.6 以前の場合、100 msec から 400 msec の間で変更可能

8.0 以降の場合、100 msec から 1000 msec の間で変更可能

3 回から 10 回の間で変更可能 ( 8.0 以降 )

⑤ ワークアラウンドの検討 (2/2)

• Switchover Reason が Default gateway is not reachable

Active WLC から Default GW への Reachability が失われた場合

Default GW との keep alive の試行回数を調整する

Default GW との keep alive を Disable にする ( 7.5 以降 )

Retries Count は 3 ( 7.6 まで )

8.0 からは Retries Count は変更可能 ( default では 12 )

(5508a) >config redundancy management-gateway-failover disable

Fast BSS Transition Roaming

・ Fast BSS Transition (FT) Roaming 機能についてどの程度ご存知ですか？

1. 実装・運用の経験があり、トラブルシューティングの方法もある程度知識がある

2. 設定の経験はあるが、トラブル対応はしたことがない

3. 機能は知っているが、実機で試したことがない

4. あまり知らない

投票質問 3

このセクションの流れ

• 無線クライアントが接続するまでの認証のプロセス

• WPA2-PSK

• WPA2-802.1x

• 通常のローミングのプロセス

• 高速ローミング ( Fast Secure Roaming )

PMKID Caching with Sticky Key Cashing ( SKC )

PMKID Caching with Opportunistic Key Caching ( OKC )

Fast BSS Transition Roaming ( 802.11r )

Main Topic

クライアント接続のプロセス (WPA2-PSK)

Probe Request

Probe Response

Authentication Request

Authentication Response

Association Request

Association Response

EAPOL-key ( 4 way handshake )

LAP Client WLC

PMK PMK

PTK PTK

• 共有している PSK パスワードから PMK ( Pairwise Master Key )

を生成する

• 4 way handshake により、PMK

から PTK ( Pairwise Transient

Key ) の生成

クライアント接続のプロセス (WPA2-802.1x)

Probe Request

Probe Response



Association Request

Association Response

EAP ( 802.1x 認証 )

EAPOL-key ( 4 way handshake )

LAP Client WLC 認証サーバ

PMK PMK

PTK PTK

• EAP 認証により PMK ( Pairwise

Master Key ) を生成する

通常のローミングのプロセス

Probe Request

Probe Response



Reassociation Request

Reassociation Response

EAP ( 802.1x 認証 )

EAPOL-key

( 4 way handshake )

LAP 2 Client LAP 1

( LAP1 から LAP2 へローミングすることを想定 )

• クライアントはローミング先の

AP に Reassociation Request を送信

• 通常の無線接続と同じように、802.1x 認証、4 way handshake

を行なう

PMKID とは？

• PMK

• Client MAC

• AP MAC (BSSID)

から計算されるハッシュ値

Client

Client

WLC/認証サーバ

PMK PMK

WLC/認証サーバ

LAP1

LAP2

PMKID 1 PMKID 1

PMKID 2 PMKID 2

PMK

PMKID

PMKID Caching with SKC のプロセス

Probe Request

Probe Response





EAP ( 802.1x 認証 )

EAPOL-key

( 4 way handshake )

LAP 2 Client LAP 1

( LAP1 から以前接続したことのある LAP2 へローミングすることを想定 )

• クライアントは、以前接続したことのある AP にローミングする際は、802.1x 認証を省略する

• 初めて接続する AP や、Caching されていた PMKID が

既に削除されている場合は、通常どおり 802.1x 認証を行なう

PMKID 2 PMKID 1

クライアントが接続した際に計算した PMKID をキャシングしている

• SKC : Sticky Key Caching

PMKID Caching with SKC

• IEEE Standard 802.11i で定義されている

• 802.1x 認証により生成された Pairwise Master Key ( PMK ) を AP ごとに

Caching する ( PMKID を Caching している )

• ローミング先の AP が以前接続したことのある AP の場合、802.1x 認証のプロセスをスキップする

ローミング先の AP が一度も接続したことのない AP の場合、通常通り 802.1x

認証のプロセスを行なう

Caching する PMKID の数は限られており、すでに削除されている場合は、

以前接続した AP にローミングする際も 802.1x 認証のプロセスが必要

制限事項

PMK

PMKID Caching with OKC のプロセス

Probe Request

Probe Response





EAPOL-key

( 4 way handshake )

LAP 2 Client LAP 1

( LAP1 から同じ Mobility Group に所属する LAP2 へローミングすることを想定 )

• クライアントは、AP にローミングする際は同じ Mobility Group に所属する、802.1x 認証を省略する

• Caching している PMK とクライアントのローミング先の AP の

BSSID から PMKID を適宜計算

WLC

クライアントが初めて SSID に接

続した際に計算した PMK をキャシングしている

• OKC : Opportunistic Key Caching

PMKID 2

Mobility Group とは？

同じ Mobility Group 名を持つ WLC のグループ

One WLC Network

WLC WLC WLC

Mobility Group

WLC 間でクライアントの情報などを共有し、コントローラ間でのクライアントのローミングなどをサポートする。

PMKID Caching with OKC

• PMKID with SKC の機能を拡張させたもの

• 802.1x 認証により生成された Pairwise Master Key ( PMK ) を WLAN

( SSID ) ごとに Caching する

• クライアントが同じ Mobility Group に所属する AP にローミングを行なう場合、

802.1x 認証のプロセスをスキップする

• ローミング先の AP の BSSID を用いて PMKID を生成する

一度も接続したことのない LAP へも、高速ローミングが可能

• WPA2-PSK の場合は、ローミング処理の大きな改善はない

• PKC ( Proactive Key Caching ) とも呼ばれる。

Fast BSS Transition (FT) ローミングの概要

• IEEE Standard 802.11r で定義されている

• 二種類の方法がある

Over the Air

Over the Distribution System (DS)

• クライアントが同じ Mobility Group に所属する AP にローミングを行なう場合、

802.1x 認証のプロセスと 4 way handshake プロセスを省略する

• 7.2 から Local Mode AP、7.3 から FlexConnect ModeのAPでサポート

Over the Air のプロセス

Probe Request

Probe Response

Auth Req with FT info

Auth Res with FT info



LAP 2 Client LAP 1


• Auth Req のパケットに 4 way

handshake でやりとりしていた鍵生成に必要な情報を付加する

• 802.1x 認証と 4 way handshake

のプロセスを省略

クライアントが初めて SSID に接

続した際に計算した PMK をキャシング

WLC

PMK

• PMK は Mobility Group 内で共有

Over the DS のプロセス

Probe Request

Probe Response

Action Frame FT Res

Action Frame FT Req



LAP 2 Client LAP 1


WLC

• 802.1x 認証と 4 way handshake

のプロセスを省略

• WLC 経由でローミング先の AP

に情報を共有

クライアントが初めて SSID に接続した際に計算した PMK

をキャシング

PMK

Preauth info

• PMK は Mobility Group 内で共有

• Action Frame のパケットに 4

way handshake でやりとりしてい

た鍵生成に必要な情報を付加する

Fast BSS Transition (FT) Roaming の設定

Fast Transition を有効化

Over the DS の Enalbe/Disable を選択

FT PSK or FT 802.1x を選択

Fast BSS Transition ローミングの制限事項 • 802.11r を有効にした WLAN/SSID には、802.11r に対応したクライアントしか接続ができない ( 7.6 まで )

802.11r に対応していないクライアントも混在している環境には、802.11r を利用しない WLAN/SSID を作成する必要がある

• FlexConnect Mode への対応

Central Authentication でも利用可能

Local Authentication では利用できない

AP の Standalone モードではサポートしていない

• 8.0 からは、802.11r クライアントと non-802.11r クライアントをひとつの WLAN でサポート可能 ( 802.11r Mixed Mode )

※ Legacy Client は接続できない場合があります。

FT Roaming Trouble Shooting

Trouble 無線通信がたまに途切れる。

・会議のため、部屋を移動した後によく起こるとお客様から申告

ローミングが原因？

トラブルシューティングの流れ


② 製品の動作の再確認

FT Roaming のプロセスの確認

③ ログの調査

FT Roaming のトラブルの際に確認するログ

クライアントが SSID に接続しはじめてからの一連のログの確認

④ さらなる調査を行なうには


LAP 2 LAP 1

WLC

Roaming に失敗 ?

WLC と AP のハードウェア型番は？

AIR-CT5508-50-K9, AIR-CAP3702I

WLC のソフトウェアバージョンは？ 7.6.130.0

発生頻度は？毎日 3-4 件の報告がある

発生時刻は？最後に報告があるのは Aug 15, 15:15 ごろ

AP の hostname は？ LAP1, LAP2

WLAN ( SSID 名 ) は？ kFTpsk

クライアントの MAC アドレスは？ a8:66:7f:9e:xx:xx

クライアントの種類は？ iPhone6, iOS 8.4.1 Client

WLAN 設定の確認 ( GUI )

WLAN 設定の確認 ( CLI ) (5508b) >show wlan 3

802.11 Authentication:........................ Open System

FT Support.................................... Enabled

Static WEP Keys............................... Disabled

802.1X........................................ Disabled

Wi-Fi Protected Access (WPA/WPA2)............. Enabled

WPA (SSN IE)............................... Disabled

WPA2 (RSN IE).............................. Enabled

TKIP Cipher............................. Disabled

AES Cipher.............................. Enabled

Auth Key Management

802.1x.................................. Disabled

PSK..................................... Disabled

CCKM.................................... Disabled

FT-1X(802.11r).......................... Disabled

FT-PSK(802.11r)......................... Enabled

PMF-1X(802.11w)......................... Disabled

PMF-PSK(802.11w)........................ Disabled

FT Reassociation Timeout................... 20

FT Over-The-DS mode........................ Disabled

② 製品の動作の確認

( FT Roaming over the Air )

クライアントが SSID に接続して

からの一連のプロセスを確認する必要がある

• 無線接続問題がローミング処

理の失敗により発生しているか断定できない

Probe Request

Probe Response

Auth Req with FT info

Auth Res with FT info



LAP 2 Client LAP 1

クライアントが初めて SSID に接続した際に計算した PMK

をキャシング

WLC

PMK

• ローミング発生前の、PMK の

キャッシングや計算処理に失敗している場合も考えられる

③ ログの調査

• show tech-support

• show run-config

• show logging

• show trapflags

• show traplog

( WLC の基本的なログ )

• debug client <クライアントの MAC アドレス >

( FT Roaming に関するログ )

• debug ft events enable

クライアントの接続問題を調査するための、

一般的なコマンド

※ 事象発生時に取得する

(Tips) debug client コマンド

• 無線クライアントのステータスなどの情報が得られる

(5508b) >debug client a8:66:7f:9e:4e:46

(5508b) >show debug

MAC Addr 1.................................. A8:66:7F:9E:4E:46

Debug Flags Enabled:

dhcp packet enabled.

dot11 mobile enabled.

dot11 state enabled

dot1x events enabled.

dot1x states enabled.

FlexConnect ft enabled.

pem events enabled.

pem state enabled.

CCKM client debug enabled.

• 7.3 以降では 10 Clients まで指定が可能

クライアントの接続問題の解析には必須

debug client 解析のポイント

• WLAN の設定をあらかじめ確認しておく

今回は WPA2-PSK + FT roaming ( over the DS は disable )

• 可能な限り、問題未発生時の debug のログも取得し、比較を行なう。

• 認証方式のプロセスの流れを確認しておく

• クライアントのステータスに着目する

クライアントのステータス遷移

• どのプロセスで問題が発生しているのか、

特定がしやすい。

8021X_REQD : L2 Authentication Pending

DHCP_REQD : IP Learning State

RUN : Client Traffic Forwarding

WPA2-PSK ( DHCP )

問題発生時の debug ログの確認 (1/5)

* Association プロセス

*apfMsConnTask_0: Aug 16 20:47:46.246: Processing assoc-req station:a8:66:7f:9e:4e:46 AP:a8:0c:0d:db:ba:20-01

thread:14d12560

*apfMsConnTask_0: Aug 16 20:47:46.246: a8:66:7f:9e:4e:46 Adding mobile on LWAPP AP a8:0c:0d:db:ba:20(1)

*apfMsConnTask_0: Aug 16 20:47:46.246: a8:66:7f:9e:4e:46Association received from mobile on BSSID a8:0c:0d:db:ba:2d

!! クライアントから Association Request を受け取る

*apfMsConnTask_0: Aug 16 20:47:46.247: a8:66:7f:9e:4e:46 Marking this mobile as TGr capable.

!! クライアントが 11r 対応端末であることを確認

*apfMsConnTask_0: Aug 16 20:47:46.247: a8:66:7f:9e:4e:46 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state

START (0)

*apfMsConnTask_0: Aug 16 20:47:46.247: a8:66:7f:9e:4e:46 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last

state AUTHCHECK (2) !! L2 の認証プロセスに移行

*apfMsConnTask_0: Aug 16 20:47:46.248: Sending assoc-resp station:a8:66:7f:9e:4e:46 AP:a8:0c:0d:db:ba:20-01

thread:14d12560 !! Association Response の返信

LAP1 : a8:0c:0d:db:ba:20 (BSSID)

Client : a8:66:7f:9e:4e:46


* PMKID の計算と PMK のキャッシング

*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.250: a8:66:7f:9e:4e:46 Adding BSSID a8:0c:0d:db:ba:2d to PMKID cache at index 0

for station a8:66:7f:9e:4e:46 !! AP の BSSID PMKID の計算

*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.250: New PMKID: (16)

!! 新しい PMKID

*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.250: [0000] 89 3e b4 37 37 cd 1b 88 8e d8 c7 e4 09 fc ed 05

*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.250: a8:66:7f:9e:4e:46 Creating global PMK cache for this TGr client

*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.251: a8:66:7f:9e:4e:46 Created PMK Cache Entry for TGr AKM:PSK

a8:66:7f:9e:4e:46 !! PMK のキャッシング


Client : a8:66:7f:9e:4e:46


* 4 way handshake

*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.252: a8:66:7f:9e:4e:46 Sending EAPOL-Key Message to mobile

a8:66:7f:9e:4e:46 state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00 !! AP -> Client

*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.254: a8:66:7f:9e:4e:46 Received EAPOL-key in PTK_START state

(message 2) from mobile a8:66:7f:9e:4e:46 !! Client -> AP

*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.256: a8:66:7f:9e:4e:46 Sending EAPOL-Key Message to mobile

a8:66:7f:9e:4e:46 state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01

!! AP -> Client

*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.259: a8:66:7f:9e:4e:46 Received EAPOL-key in

PTKINITNEGOTIATING state (message 4) from mobile a8:66:7f:9e:4e:46 !! Client -> AP

*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.259: a8:66:7f:9e:4e:46 0.0.0.0 8021X_REQD (3) Change state to

L2AUTHCOMPLETE (4) last state 8021X_REQD (3)

!! L2 認証の完了


Client : a8:66:7f:9e:4e:46


* DHCP プロセス

*Dot1x_NW_MsgTask_6: Aug 16 20:47:46.259: a8:66:7f:9e:4e:46 0.0.0.0 L2AUTHCOMPLETE (4) Change state to

DHCP_REQD (7) last state L2AUTHCOMPLETE (4)

!! DHCP のプロセスに移行

*DHCP Socket Task: Aug 16 20:05:02.460: a8:66:7f:9e:4e:46 172.22.175.134 DHCP_REQD (7) Change state to

RUN (20) last state DHCP_REQD (7)

!! DHCP プロセスを完了させ、Run ステータスに移行

*DHCP Socket Task: Aug 16 20:47:48.738: a8:66:7f:9e:4e:46 DHCP transmitting DHCP ACK (5)

*DHCP Socket Task: Aug 16 20:47:48.738: a8:66:7f:9e:4e:46 172.22.175.134 RUN (20) Successfully plumbed

mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255) !! クライアントの情報を更新

* RUN ステータスへ


Client : a8:66:7f:9e:4e:46


* Authentication (with FT info ) の処理

*apfMsConnTask_7: Aug 16 20:50:45.301: a8:66:7f:9e:4e:46 Doing preauth for this client over the Air

!! FT Roaming over the Air の Authentication を確認

*apfMsConnTask_7: Aug 16 20:50:45.301: a8:66:7f:9e:4e:46 Doing local roaming for destination address

08:cc:68:b4:47:0d !! ローミング先の AP に通知

*apfMsConnTask_7: Aug 16 20:50:45.301: a8:66:7f:9e:4e:46 Created a new preauth entry for AP:08:cc:68:b4:47:0d

*apfMsConnTask_7: Aug 16 20:50:45.301: Adding MDIE, ID is:0x24d3

*spamApTask0: Aug 16 20:50:45.322: a8:66:7f:9e:4e:46 Association Failed on REAP AP BSSID 08:cc:68:b4:47:0d (slot

1), status 55 0 !! クライアントの Association に失敗

*spamApTask0: Aug 16 20:50:45.322: a8:66:7f:9e:4e:46 apfMsDeleteByMscb Scheduling mobile for deletion with

deleteReason 8, reasonCode 1


Client : a8:66:7f:9e:4e:46

LAP2 : 08:cc:68:b4:47:0d (BSSID)

FT Roaming の処理は開始しているが、Authentication からReassociation の間で失敗している

正常に FT Roaming が完了する場合の debug ログの確認 (1/2)

* Authentication (with FT info ) の処理

*apfMsConnTask_7: Aug 16 19:19:59.066: a8:66:7f:9e:4e:46 Doing preauth for this client over the Air

!! FT Roaming over the Air の Authentication を確認

*apfMsConnTask_7: Aug 16 19:19:59.066: a8:66:7f:9e:4e:46 Doing local roaming for destination address 08:cc:68:b4:47:0d

*apfMsConnTask_7: Aug 16 19:19:59.066: a8:66:7f:9e:4e:46 Created a new preauth entry for AP:08:cc:68:b4:47:0d

*apfMsConnTask_7: Aug 16 19:19:59.066: Adding MDIE, ID is:0x24d3

*apfMsConnTask_7: Aug 16 19:19:59.086: Processing assoc-req station:a8:66:7f:9e:4e:46 AP:08:cc:68:b4:47:00-01

thread:14d13ec0 !! Association の処理に進む


Client : a8:66:7f:9e:4e:46

LAP2 : 08:cc:68:b4:47:0d (BSSID)

正常に FT Roaming が完了する場合の debug ログの確認 (2/2)

* Reassociation の処理

*apfMsConnTask_7: Aug 16 19:19:59.086: a8:66:7f:9e:4e:46 Reassociation received from mobile on BSSID

08:cc:68:b4:47:02 !! Reassociation Rerequest を受け取る

*apfMsConnTask_7: Aug 16 19:19:59.088: a8:66:7f:9e:4e:46 Updated location for station old AP a8:0c:0d:db:ba:20-

0, new AP 08:cc:68:b4:47:00-1 !! Client の Location データの更新

*apfMsConnTask_7: Aug 16 19:19:59.089: Sending assoc-resp station:a8:66:7f:9e:4e:46 AP:08:cc:68:b4:47:00-01

thread:14d13ec0 !! Association Response の送信

*Dot1x_NW_MsgTask_6: Aug 16 19:19:59.091: a8:66:7f:9e:4e:46 Finishing FT roaming for mobile

a8:66:7f:9e:4e:46 !! FT Roaming の完了


Client : a8:66:7f:9e:4e:46

LAP2 : 08:cc:68:b4:47:0d (BSSID)

debug client のログより

• FT Roaming の Authentication と Reassociation 処理の途中で Fail

*spamApTask0: Aug 16 20:50:45.322: a8:66:7f:9e:4e:46 Association Failed on REAP AP BSSID

08:cc:68:b4:47:0d (slot 1), status 55 0

*spamApTask0: Aug 16 20:50:45.322: a8:66:7f:9e:4e:46 apfMsDeleteByMscb Scheduling mobile for

deletion with deleteReason 8, reasonCode 1

( 問題発生時のログ )

• ローミング処理が失敗することにより、クライントの切断が発生しており、他のプロセスには異常がないことがログから確認できた

さらなる調査のためには問題の発生条件をより明確化

- FT psk の場合のみ問題発生 ( FT 802.1x では発生しない） - FlexConnect Mode 間のローミングのみで発生 ( AP が Local Mode の際は発生しない )

再現環境より、無線パケットキャプチャやより詳細な debug ログの取得

ローミング先の AP の BSSID とキャッシングされている PMK から PMKID が適切に計算されていなかったため、

FT Roaming に失敗していたことが判明。

(今回の事例では)

(今回の事例では)

WLC

LAP 2

PMK PMKID 2

不適切

問題の原因

CSCui26077 : FT roams don't work with FlexConnect APs

問題事象

発生条件

ワークアラウンド

FlexConnect AP 間での FT Roaming に失敗する

FT psk を利用しており、AP は FlexConnect Mode

- FT 802.1x を利用する

- Local Mode の AP を利用する

まとめ

• WLC の冗長化構成 ( HA : High Availability )

HA の機能紹介

予期せぬ Switchover が発生する問題へのアプローチ

ワークアラウンドの検討

• 高速ローミング ( 802.11r : Fast BSS Transition )

高速ローミングのプロセスの説明

ローミングによる無線接続問題へのアプローチ ( 既知不具合 CSCui26077 )

Q & A 画面右側のQ&A ウィンドウから All Panelist 宛に送信してください

Ask the Expert with

本日聞けなかった質問は、今回のエキスパートが担当するエキスパートに質問（ 8月26日～ 9月6日まで開催）へお寄せください！

https://supportforums.cisco.com/ja/discussion/12583

956

Webcastの内容やQ&Aドキュメントは、本日より5営業日以内にこのサイトへ掲載いたします。

https://supportforums.cisco.com/ja/community/5356/

webcast




https://supportforums.cisco.com/ja/community/5356/webcast



今後のWebcast 予定

2015年 9月17日（木） 10:00-11:30

基礎から学習するNAT (Network

Address Translation) 設定

ASAとルータのコマンドの比較

コンテンツに関するご意見を募集しています！

掲載してほしい情報あったら役に立つ情報英語ではなく日本語でほしい情報などリクエストをお寄せください

ソーシャルメディアでサポートコミュニティと繋がろう

http://www.facebook.com/CiscoSupportCommunityJapan

Twitter- http://bit.ly/csc-twitterhttps://twitter.com/cscjapan

https://www.youtube.com/user/CSCJapanModerator

Google+ http://bit.ly/csc-googleplus

LinkedIn http://bit.ly/csc-linked-in

Instgram http://bit.ly/csc-instagram

Newsletter Subscription http://bit.ly/csc-newsletter

http://bit.ly/csc-googleplus




http://bit.ly/csc-linked-in






http://bit.ly/csc-instagram



http://bit.ly/csc-newsletter



ご参加ありがとうございましたアンケートにもご協力ください

Cisco Support Community Expert Series Webcast · 通常型番 WLC ※ 5508...

Documents

Transcript of Cisco Support Community Expert Series Webcast · 通常型番 WLC ※ 5508...