[問題描述]
客戶現場有一套非常久的思科WLC2125與AIR-LAP1242AG,2020年1月1日起就沒有辦法運用。思科無線控制器WLC是冗餘的,WLC01狀態燈異常先不管,WLC02可以正常訪問也沒有辦法正常接管AP?
從日誌中發現如下的信息:
*spamReceiveTask: Jan 02 16:49:00.408: %DTLS-3-HANDSHAKE_FAILURE: openssl_dtls.c:629 Failed to complete DTLS handshake with peer 172.19.79.15
*spamReceiveTask: Jan 02 16:48:49.607: %DTLS-3-HANDSHAKE_FAILURE: openssl_dtls.c:629 Failed to complete DTLS handshake with peer 172.19.79.16
*spamReceiveTask: Jan 02 16:48:47.651: %DTLS-3-HANDSHAKE_FAILURE: openssl_dtls.c:629 Failed to complete DTLS handshake with peer 172.19.79.25
[問題分析]
這似乎問題是AP證書已過期。爲了解決此問題,我們可以將WLC日期時間調整爲證書時間滿足AP證書有效期或忽略證書有效期。思科官方解釋:
https://community.cisco.com/t5/wireless-mobility-documents/lightweight-ap-fail-to-create-capwap-lwapp-connection-due-to/ta-p/3155111
文章中說自簽名證書都會在2020年1月1日失效,這就造成本次故障的出現。
[問題處理]
-
通過WLC01點檢截圖發現其固件版本是7.0.98.0,而WLC02是6.0.196。WLC02固件異常?WLC02固件版本升級到AIR-WLC2100-K9-7-0-98-0.aes,問題沒有解決。
-
WLC02證書檢查已經過期,但手動更新,問題沒有解決。
-
關閉NTP服務並將時間調整到2014年,問題解決!
忽略檢查證書有效期的方法:
7.0.252 版本或以上:
config ap life-check mic enable
config ap life-check ssc enable
7.4.140 版本或以上:
config ap cert-expiry-ignore mic enable