glmonarch Posted July 17, 2014 · Report post Всем привет! Заранее извиняюсь, если вопрос не для этой темы - ткните куда:) Дано: точки доступа Cisco AIR-LAP1142N-R-K9 (на борту: c1140-k9w7-mx.124-25d.JA2) и виртуальный контроллер vWLC 7-6-100-0. Задача: прицепить точку доступа к контроллеру vWLC. Сразу скажу, что с wi-fi от Cisco дела никогда не имел, поэтому сразу полез на офф сайт читать доки. Что уже сделал: 1. Сконвертировал точку autonomous ==> lightweight таким способом: archive download-sw /overwrite /reload tftp: //location/image-name теперь на борту: c1140-rcvk9w8-mx/c1140-rcvk9w8-mx" 2. Уперся в то, что контроллер ругается на некорректный сертификат от точки. Лог с точки: *Jul 17 15:36:04.000: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY *Jul 17 15:36:04.000: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY *Jul 17 15:36:14.007: %CAPWAP-3-ERRORLOG: Go join a capwap controller *Jul 17 15:36:14.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 172.26.18.245 peer_port: 5246 *Jul 17 15:36:14.000: %CAPWAP-5-CHANGED: CAPWAP changed state to *Jul 17 15:36:14.034: %LWAPP-3-CLIENTERRORLOG: Peer certificate verification failed *Jul 17 15:36:14.034: %CAPWAP-3-ERRORLOG: Certificate verification failed! *Jul 17 15:36:14.034: DTLS_CLIENT_ERROR: ../capwap/capwap_wtp_dtls.c:333 Certificate verified failed! *Jul 17 15:36:14.035: %DTLS-4-BAD_CERT: Certificate verification failed. Peer IP: 172.26.18.245 *Jul 17 15:36:14.035: %DTLS-5-SEND_ALERT: Send FATAL : Bad certificate Alert to 172.26.18.245:5246 *Jul 17 15:36:14.035: %DTLS-3-BAD_RECORD: Erroneous record received from 172.26.18.245: Malformed Certificate *Jul 17 15:36:14.035: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 172.26.18.245:5246 Далее, нужно внести в базу контроллера MAC-адрес точки и ее SHA1-хэш SSC сертификата, чтобы контроллер мог ее опознать. SHA1-хэш предлагается узнать, включив дебаг на контроллере командой #debug pm pki enable Во всех листингах из документации в выводе этого дебага значится SHA1-хэш сертификата, который нужно скопировать и добавить в базу контроллера. Но, у меня данный хэш не светится в выводе. В этом случае на офф форуме Cisco советуют воспользоваться тулзой Cisco Upgrade Tool для апгрейда autonomous_to_lightweight, что якобы после этого в папке с программой появится .csv файл, содержащий искомый хэш. Но, т.к. у меня точка серии 1140, а: The Upgrade Utility version 3.2 does not support the conversion of 1140 and 1250 series autonomous access points to lightweight mode. To convert these autonomous access points to lightweight mode, telnet to the access point and issue the following command to upgrade the IOS: archive download-sw /overwrite /reload tftp: //location/image-name то с этим я пролетаю. Далее, нашел мануал по ручной генерации сертификата: http://www.skytale.net/blog/archives/37-Manually-converting-a-Cisco-AP-to-LAP-mode.html Но и после этого в дебаге контроллера хэш не появился. Вопрос - как найти SHA1-хэш SSC сертификата, чтобы подсунуть его контроллеру? Или есть другие способы подружить точку и виртуальный контроллер? Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
cmhungry Posted July 18, 2014 · Report post на точке с консоли test capwap reset / test capwap restart в скрытых командах должны быть. Тогда они сбрасывают кэш сертификата Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...