檢視無線區域網控制器(WLC)錯誤和系統消息常見問題解答

問題： 輕量型存取點通訊協定(LWAPP) AP無法加入其控制器。無線區域網控制器(WLC)日誌顯示一條類似消息：LWAPP Join-Request does not include valid certificate in CERTIFICATE_PAYLOAD from AP 00:0b：85:68：ab：01。為什麼？

A.如果AP與WLC之間的LWAPP隧道經過的MTU小於1500位元組的網路路徑，您可能會收到此錯誤消息。這會導致LWAPP資料包分段。這是控制器中的已知Bug。請參閱Cisco bug IDCSCsd39911。

解決方案是將控制器韌體升級至4.0(155)。

注意：只有已註冊的思科使用者才能訪問思科內部錯誤資訊和工具。

問題： 我想在內部控制器與非軍事區(DMZ)上的虛擬錨點控制器之間建立訪客隧道。但是，當使用者嘗試與訪客SSID關聯時，使用者無法如預期從DMZ接收IP地址。因此，使用者流量不會透過通道傳輸到DMZ上的控制器。debug mobile handoff命令的輸出顯示了如下消息：Security Policy Mismatch for WLAN <Wlan ID>。Anchor Export Request from Switch IP： <controller Ip address> Ignored。有什麼問題？

A.訪客隧道為訪客使用者訪問公司無線網路提供額外的安全性。這有助於確保訪客使用者在未通過企業防火牆之前無法訪問企業網路。當使用者與指定為訪客WLAN的WLAN建立關聯時，使用者流量會透過通道傳輸至位於企業防火牆外部DMZ上的WLAN控制器。

現在，考慮到此情況，此訪客隧道無法如預期運作，可能有幾個原因。如debugcommand輸出所示，問題可能是為內部控制器以及DMZ控制器中特定WLAN配置的任意安全策略不匹配。檢查安全策略和其他設定（如會話超時設定）是否匹配。

此問題的另一個常見原因是DMZ控制器並未針對該特定WLAN錨定至其自身。為了讓訪客通道正常運作，並讓DMZ管理使用者（屬於訪客WLAN的使用者）的IP位址，務必為該特定WLAN執行適當的錨定。

問題： 我在2006無線區域網控制器(WLC)上看到許多「CPU Receive Multicast Queue is full on Controller」消息，但4400 WLC上沒有。為什麼？我已停用控制器上的組播。2006和4400 WLC平台之間的組播隊列限制有何區別？

答：由於控制器上停用了組播，導致此警報的消息可以是地址解析協定(ARP)消息。2000 WLC和4400 WLC之間的佇列深度（512個封包）沒有差異。區別在於4400 NPU過濾ARP資料包，而所有操作都在2006上的軟體中完成。這解釋了為什麼2006 WLC看到消息，而不是4400 WLC。44xx WLC透過硬體（透過CPU）處理組播資料包。2000 WLC透過軟體處理多點傳送封包。CPU處理比軟體更有效。因此，4400的隊列被清除得更快，而2006 WLC在看到大量此類消息時會遇到一些困難。

問題： 我在我的一個控制器中看到「[SECURITY] apf_foreignap.c 763： STA [00:0A：E4:36:1F：9B] Received a packet on port 1 but no Foreign AP configured for this port.」錯誤消息。此錯誤意味著什麼？我需要採取什麼步驟來解決它？

A.當控制器收到MAC地址（它沒有狀態機）的DHCP請求時，將顯示此消息。在網橋或運行VMWare等虛擬機器的系統中通常可以看到這一點。控制器偵聽DHCP請求，因為它執行DHCP監聽，從而知道哪些地址與連線到其存取點(AP)的客戶端相關聯。無線使用者端的所有流量都會透過控制器。當封包的目的地是無線使用者端時，它會先前往控制器，再透過輕量存取點通訊協定(LWAPP)通道連線到AP，然後前往使用者端。以下措施有助於減少此消息，即對於在交換機上使用switchport vlan allowcommand進入控制器的中繼，在控制器上只允許使用VLAN。

問題： 為什麼在控制檯上看到此錯誤消息：Msg 'Set Default Gateway' of System Table failed， Id = 0x0050b986錯誤值= 0xfffffffc？

A.這可能是由於CPU負載過高。當控制器CPU負載過重時（例如當它執行檔案複製或其他任務時），它沒有時間處理NPU為響應配置消息而傳送的所有ACK。發生這種情況時，CPU會產生錯誤訊息。然而，錯誤訊息不會影響服務或功能。

如需詳細資訊，請參閱Cisco無線LAN控制器。

問題： 我在無線控制系統(WCS)上收到以下有線等效保密(WEP)金鑰錯誤消息：在站點配置的WEP金鑰可能錯誤。Station MAC Address is 'xx：xx：xx：xx：xx'， AP base radio MAC is 'xx：xx：xx：xx：xx' and Slot ID is '1'。但是，我不使用WEP作為網路中的安全引數。我只使用Wi-Fi保護的存取(WPA)。為什麼會收到這些WEP錯誤訊息？

答：如果所有與安全性相關的組態都非常完美，您目前收到的訊息就是因為錯誤。控制器中有些已知Bug。請參閱思科漏洞IDCSCse17260和思科漏洞ID CSCse11202，其中說明「分別使用WPA和TKIP客戶端，在站點配置的WEP金鑰可能錯誤」。實際上，思科錯誤ID CSCse17260與思科錯誤ID CSCse11202重複。Cisco but ID CSCse11202的修復已隨WLC版本3.2.171.5提供。

附註：最新的WLC版本已修正這些錯誤。

注意：只有已註冊的思科使用者才能訪問內部思科錯誤資訊和工具。

問題： 我使用外部RADIUS伺服器透過控制器對無線客戶端進行身份驗證。控制器定期傳送此錯誤消息：no radius servers are responding。我為什麼會看到這些錯誤訊息？

答：當請求從WLC發出到RADIUS伺服器時，每個資料包都有一個WLC期望得到響應的序列號。如果沒有響應，則顯示「showsradius-server not responding」消息。

WLC從RADIUS伺服器接聽迴音的預設時間是2秒。此值在WLC GUI的Security > authentication-server下進行設定。最大值為30秒。因此，將此逾時值設定為其最大值會很有幫助，可解決此問題。

有時，RADIUS伺服器會對來自WLC的要求封包執行「靜默丟棄」。由於證書不匹配和其他幾個原因，RADIUS伺服器可能會拒絕這些資料包。這是伺服器的有效動作。此外，在這些情況下，控制器可以將RADIUS伺服器標籤為無響應

要解決靜默丟棄問題，請在WLC中停用主動故障切換功能。

如果在WLC中啟用主動故障切換功能，則WLC會過於主動，以至於無法將AAA伺服器標籤為無響應。但是，不能這樣做，因為AAA伺服器無法僅響應該特定客戶端（它執行靜默丟棄）。它可以是對其他有效客戶端（具有有效證書）的響應。但是，WLC仍可將AAA伺服器標籤為無響應且無法正常工作。

為了克服這種情況，請停用主動故障切換功能。從控制器CLI中發出config radius aggressive-failover disablecommand以執行此操作。如果停用此選項，則只有在有3個連續使用者端無法從RADIUS伺服器接收回應時，控制器才會容錯移轉至下一個AAA伺服器。

問：多個客戶端無法關聯到LWAPP，且控制器日誌中顯示IAPP-3-MSGTAG015： iappSocketTask： iappRecvPkt returned error 錯誤消息。為什麼會發生這種情況？

答：發生這種情況的主要原因是支援CCX v4但執行低於10.5.1.0的使用者端套件版本之Intel介面卡發生問題。如果將軟體升級至10.5.1.0或更新版本，這會修正此問題。有關此錯誤消息的詳細資訊，請參閱Cisco漏洞IDCSCsi91347。

注意：只有已註冊的思科使用者才能訪問內部思科錯誤資訊和工具。

問題： 我在無線區域網控制器(WLC)上看到以下錯誤消息：Reached Max EAP-Identity Request retries (21) for STA 00:05:4e：42：ad：c5。為什麼？

A.當使用者嘗試連線到EAP保護的WLAN網路且嘗試的EAP次數達到預先設定失敗時，就會出現此錯誤訊息。如果使用者無法進行驗證，控制器就會排除使用者端，而且使用者端必須等到排除計時器過期或管理員手動覆寫時才能連線到網路。

排除檢測單個裝置進行的身份驗證嘗試。當該裝置超過最大失敗次數時，不再允許該MAC地址關聯。

發生排除：

• 在共用身份驗證連續5次身份驗證失敗後（第6次嘗試被排除）

• 在MAC身份驗證連續5次關聯失敗後（第6次嘗試被排除）

• 在連續3次EAP/802.1X驗證失敗後（第4次嘗試排除）

• 任何外部策略伺服器故障(NAC)

• 任何IP地址複製例項

• 連續3次Web身份驗證失敗後（第4次嘗試被排除）

可以配置客戶端被排除的時間的計時器，並且可以在控制器或WLAN級別啟用或停用排除功能。

問題： 我在無線區域網控制器(WLC)上看到此錯誤消息：交換機WLCSCH01/10.0.16.5生成嚴重性為1的類別交換機警報。該警報的消息為控制器「10.0.16.5」。RADIUS伺服器未響應身份驗證請求。問題是什麼？

A.這可能是由於思科漏洞ID CSCsc05495所致。由於此錯誤，控制器會定期將錯誤的AV配對（屬性24，「state」）注入到違反RADIUS RFP的驗證要求訊息中，並為某些驗證伺服器造成問題。此錯誤已在3.2.179.6中修正。

注意：只有已註冊的思科使用者才能訪問內部思科錯誤資訊和工具。

問題： 我在「Monitor > 802.11b/g Radios（監控> 802.11b/g無線電）」下收到「Noise Profile failure（噪音配置檔案故障）」消息。我想瞭解為什麼我會看到此失敗訊息？

答：噪音配置檔案失敗/透過狀態是在WLC完成測試結果後與當前設定的閾值比較後設定的。預設情況下，「噪音」值設定為-70。FAILED狀態表示已超過該特定引數或存取點(AP)的閾值。您可以調整配置檔案中的引數，但建議在清楚地瞭解網路設計及其對網路效能的影響後更改設定。

Radio Resource Management (RRM) PASSED/FAILED閾值是在802.11a Global Parameters > Auto RFand 802.11b/g Global Parameters > Auto RFpages上為所有AP全局設定的。RRM PASSED/FAILED閾值是在802.11 AP Interfaces > Performance Profilepage上為該AP單獨設定的。

問題： 我不能將埠2設定為AP管理器介面的備份埠。返回的錯誤消息如下：Could not set port configuration。我可以將埠2設定為管理介面的備份埠。兩個介面的當前活動埠是埠1。為什麼？

答：AP管理器沒有備份埠。在以前的版本中，它曾經受到支援。從4.0版及更高版本開始，不支援AP管理器介面的備份埠。通常，必須在每個埠上配置一個AP管理器（無備份）。如果使用鏈路聚合(LAG)，則只有一個AP管理器。

靜態（或永久）AP管理器介面必須分配給分佈系統埠1，並且必須具有唯一的IP地址。它無法對映到備份埠。它通常與管理介面配置在同一個VLAN或IP子網上，但這不是必需的。

問題： 我看到以下錯誤消息：AP '00:0b：85:67:6b：b0'在協定'1'上收到來自站點'00:13:02:8d：f6:41'的WPA MIC錯誤。Counter measures have been activated and traffic has been suspended for 60 seconds。為什麼？

A.整合在Wi-Fi保護存取(WPA)中的訊息整合性檢查(MIC)包含可防止中間人攻擊的訊框計數器。此錯誤表示網路中的某個人想要重新執行原始使用者端傳送的訊息，或者可能表示使用者端發生錯誤。

如果客戶端反覆未通過MIC檢查，控制器將停用AP介面上檢測到錯誤的WLAN，時間為60秒。記錄第一個MIC故障，並啟動計時器，以便實施對策。如果在最近一次失敗後的60秒內發生後續MIC故障，則其IEEE 802.1X實體充當請求方的STA應使自身無效，或者如果其IEEE 802.1X實體充當驗證方，則透過安全關聯使所有STA無效。*

此外，在檢測到第二故障後的至少60秒的時間內，所述裝置不接收或傳輸任何TKIP加密的資料幀，並且不接收或傳輸除IEEE 802.1X消息之外的任何未加密的資料幀。如果裝置是AP，則它在這段60秒內不允許與TKIP建立新關聯；在60秒期結束時，AP將恢復正常操作並允許STA進行（重新）關聯。

這樣可以防止對加密方案發起可能的攻擊。在4.1之前的WLC版本中無法關閉這些MIC錯誤。在無線區域網控制器版本4.1及更高版本中，有一個命令可用於更改MIC錯誤的掃描時間。命令isconfig wlan security tkip hold-down <0-60 seconds> <wlan id>。使用值0可停用針對對策的MIC故障檢測。

* 無效：結束驗證。

問題： 此錯誤消息出現在我的控制器日誌中： [ERROR] dhcp_support.c 357： dhcp_bind()： servPort dhcpstate failed。為什麼？

A.當控制器的服務埠啟用DHCP但未從DHCP伺服器收到IP地址時，通常會顯示這些錯誤消息。

預設情況下，物理服務埠介面已安裝DHCP客戶端，並透過DHCP查詢地址。WLC會嘗試要求服務連線埠的DHCP位址。如果沒有可用的DHCP伺服器，則服務埠的DHCP請求失敗。因此，這會產生錯誤訊息。

解決方法是為服務埠配置靜態IP地址（即使服務埠已斷開連線），或者使用DHCP伺服器為服務埠分配IP地址。然後，視需要重新載入控制器。

服務連線埠實際上會保留供控制器頻外管理、系統復原，以及在網路故障時進行維護之用。這也是控制器處於開機模式時唯一作用中的連線埠。服務連線埠無法承載802.1Q標籤。因此，必須將其連線到鄰居交換機上的接入埠。服務埠的使用是可選的。

服務埠介面控制通訊，並由系統靜態對映到服務埠。它必須具有與管理、AP管理器和任何動態介面不同的子網的IP地址。此外，它無法對映到備份埠。服務埠可以使用DHCP來獲取IP地址，也可以為其分配靜態IP地址，但無法將預設網關分配給服務埠介面。可以透過控制器定義靜態路由，以便遠端訪問服務埠。

問題： 我的無線使用者端無法連線到無線LAN (WLAN)網路。存取點(AP)所連線的WiSM報告以下消息：Big NAV Dos attack from AP with Base Radio MAC 00:0g：23:05:7d：d0， Slot ID 0 and Source MAC 00:00:00:00:00:00。這是什麼意思？

答：作為訪問介質的條件，MAC層檢查其網路分配向量(NAV)的值。NAV是駐留在每個月台上的計數器，代表前一個幀傳送幀所需的時間。NAV必須為零，站點才能嘗試傳送幀。在傳輸幀之前，站點基於幀長度和資料速率計算傳送幀所需的時間。站台會在訊框標頭的「持續時間」欄位中放置代表此時間的值。當站點收到幀時，它們會檢查此持續時間欄位值，並將其用作設定其相應NAV的基礎。此程式會為傳送站保留媒體。

高NAV表示存在膨脹的NAV值（802.11的虛擬載波偵聽機制）。如果報告的MAC地址為00:00:00:00:00，則它可能已被偽裝（可能是真正的攻擊），您需要透過資料包捕獲來確認這一點。

問題： 設定控制器並重新啟動它後，我無法以安全web (https)模式存取控制器。當我嘗試訪問控制器安全Web模式時，收到此錯誤消息：Secure Web： Web Authentication Certificate not found (error) 。此問題的原因是什麼？

答：此問題可能有幾個原因。一個常見原因可能與控制器的虛擬介面配置有關。若要解決此問題，請移除虛擬介面，然後使用以下命令重新產生虛擬介面：

WLC>config interface address virtual 1.1.1.1

然後，重新啟動控制器。控制器重新開機後，使用以下命令在控制器本機上重新產生webauth憑證：

WLC>config certificate generate webauth

在此命令的輸出中，您可以看到以下消息：Web Authentication certificate has been generated。

重新啟動後，您就可以存取控制器的安全Web模式。

Q.控制器有時針對有效的客戶端報告此IDS解除關聯泛洪簽名攻擊警報消息，其中攻擊者MAC地址是加入該控制器的存取點(AP)的MAC地址：警報：在控制器「x.x.x.x.x」上的AP「<AP名稱>」協定「802.11b/g」上檢測到IDS「Disassoc泛洪」簽名攻擊。簽名說明為「取消關聯泛洪」，優先順序為「x」。攻擊者mac地址為「hh：hh：hh：hh：hh」，通道編號為「x」，檢測次數為「x」。為什麼會發生這種情況？

A.這是由Cisco bug IDCSCsg81953所致。   

注意：只有已註冊的思科使用者才能訪問內部思科錯誤資訊和工具。

有時會報告針對有效客戶端的IDS解除關聯泛洪攻擊，攻擊者MAC地址是加入該控制器的AP的MAC地址。

當客戶端與AP關聯但由於卡移除而停止通訊、漫遊超出範圍等原因進入AP時，AP會等待空閒超時。到達空閒超時後，AP會向該客戶端傳送一個分離幀。當客戶端不承認分離幀時，AP會多次重新傳輸該幀（大約60幀）。控制器的IDS子系統會聽到這些重新傳輸消息並發出警報。

此Bug在版本4.0.217.0中已解決。將控制器版本升級為此版本，以克服針對有效客戶端和AP的此警報消息。

問題： 我在控制器的系統日誌中收到此錯誤消息： [警告] apf_80211.c 2408：Received a message with invalid supported rate from station <xx：xx：xx：xx：xx：xx> [錯誤] apf_utils.c 198： Missing Supported Rate。為什麼？

A.實際上， Missing Supported Rate消息表示在無線設定下為某些必需的資料速率配置了WLC，但NIC卡中缺少必需的資料速率。

如果您在控制器上將資料速率（例如1和2M）設定為必要速率，但NIC卡無法在這些資料速率上通訊，您會收到此類訊息。這是NIC卡錯誤行為。另一方面，如果您的控制器是802.11g，且使用者端是802.11b（僅限）卡，則這是合法訊息。如果這些消息未導致任何問題，並且卡仍然可以連線，則可以忽略這些消息（例如，Cisco IOS軟體）。如果訊息是卡片特定的，請確定此卡的驅動程式是最新的。

問題： 此syslog AP：001f.ca26.bfb4： %LWAPP-3-CLIENTERRORLOG： Decode Msg： could not match WLAN ID <id>錯誤消息在我們的網路上廣播。為什麼會發生這種情況？如何阻止它？

A.此消息由LAP廣播。當您為WLAN設定了WLAN覆寫功能，但並未通告該特定WLAN時，就會看到這種情況。

Configureconfig ap syslog host global 0.0.0.0可阻止該消息，或者，如果您有syslog伺服器，您可以放置特定IP地址，以便只將消息廣播到伺服器。

問題： 我在無線區域網控制器(WLC)上收到以下錯誤消息： [ERROR] File： apf_mm.c ： Line： 581 ： Announce collision for mobile 00:90:7a：05:56:8a， deleting。為什麼？

答：通常，此錯誤消息表明控制器已通告無線客戶端的衝突（即，獨立的AP通告它們擁有客戶端），並且控制器未收到從一個AP到下一個AP的切換。沒有要維護的網路狀態。請刪除無線使用者端，然後讓使用者端再試一次。如果此問題經常發生，則可能是移動配置有問題。否則，它可能是與特定客戶端或條件相關的異常。

問題： 我的控制器引發此警報消息：Coverage threshold of '12' violated。此錯誤為何？如何解決此問題？

A.當客戶端訊雜比(SNR)下降到小於特定無線電的SNR閾值的值時，會引發此警報消息。12是覆蓋空洞檢測的預設SNR閾值。

當客戶端的SNR水平小於給定的SNR閾值時，覆蓋空洞檢測與校正演算法確定是否存在覆蓋空洞。此SNR閾值取決於兩個值：AP發射功率和控制器覆蓋配置檔案值。

更詳細地說，客戶端SNR閾值由每個AP的發射功率（以dBm表示）減去常數值17dBm減去使用者可配置的覆蓋範圍配置檔案值（該值預設為12 dB）來定義。

• 客戶端SNR截止值(|dB|) = [AP發射功率(dBm) -常數(17 dBm) -覆蓋配置檔案(dB)]

可以透過以下方式訪問此使用者可配置的覆蓋範圍配置檔案值：

1. 在WLC GUI中，轉到Wireless的主標題，並為左側的WLAN standard of choice選擇Network選項（802.11a或802.11b/g）。然後，在窗口右上角選擇Auto RF。

2. 在Auto RF Global parameters頁中，找到Profile Thresholds部分。您可以在此段落中找到「涵蓋範圍（3到50 dbm）」值。此值為使用者可設定的涵蓋範圍設定檔值。

3. 可編輯此值以影響客戶端SNR閾值。影響此SNR閾值的另一種方法是增加發射功率和補償覆蓋空洞檢測。

問題： 我使用ACS v 4.1和4402無線區域網控制器(WLC)。當WLC嘗試對ACS 4.1進行無線客戶端MAC身份驗證時，ACS無法使用ACS做出響應並報告此錯誤消息：「Internal error has occurred 」。我所有的配置都正確。為什麼會出現此內部錯誤？

A.ACS 4.1中存在與身份驗證相關的思科漏洞IDCSCsh62641，其中ACS顯示theInternal error has occurrererror message。

此錯誤可能是問題。在ACS 4.1下載站點上有一個可用於此Bug的修補程式，可以修復此問題。

注意：只有已註冊的思科使用者才能訪問內部思科錯誤資訊和工具。

問題： Cisco 4400系列無線LAN控制器(WLC)無法啟動。控制器上收到此錯誤消息： ** Unable to use ide 0:4 for fatload ** Error (no IRQ) dev 0 blk 0： status 0x51 Error reg： 10 ** Cannot read from device 0。為什麼？

A.此錯誤的原因可能是硬體問題。建立TAC案例以進一步排除此問題。要提交TAC支援請求，您需要與思科簽訂有效的合約。要與Cisco TAC聯絡，請參閱技術支援。

問題： 無線LAN控制器(WLC)發生記憶體緩衝區問題。一旦記憶體緩衝區已滿，控制器就會當機，需要重新開機才能讓它重新上線。這些錯誤消息顯示在消息日誌中：Mon Apr 9 10:41:03 2007 [ERROR] dtl_net.c 506： Out of System buffers Apr 9 10:41:03 2007 [ERROR] sysapi_if_net.c 537：無法分配新的Mbuf。Mon Apr 9 10:41:03 2007 [ERROR] sysapi_if_net.c 219： MbufGet：沒有可用的Mbuf。為什麼？

A.這是由Cisco bug IDCSCsh93980引起的。此錯誤已在WLC 4.1.185.0版中解決。將控制器升級為此軟體版本或更新版本，以便解決此訊息。

注意：只有已註冊的思科使用者才能訪問內部思科錯誤資訊和工具。

問題： 我執行了將我們的無線區域網控制器(WLC) 4400升級到4.1代碼操作，我們的系統日誌中爆發了以下消息，例如： May03 03:55:49.591 dtl_net.c：1191 DTL -1-ARP_POISON_DETECTED： STA [00:17：f2:43:26:93， 0.0.0.0] ARP (op 1)已收到無效SPA 192.168.1.233/TPA 192.168.1.233。這些消息表示什麼？