Jump to content
Калькуляторы

Подключение Cisco AP1142 к виртуальному контроллеру VWLC 7.6.100

Всем привет!

 

Заранее извиняюсь, если вопрос не для этой темы - ткните куда:)

 

Дано: точки доступа Cisco AIR-LAP1142N-R-K9 (на борту: c1140-k9w7-mx.124-25d.JA2) и виртуальный контроллер vWLC 7-6-100-0.

 

Задача: прицепить точку доступа к контроллеру vWLC.

 

Сразу скажу, что с wi-fi от Cisco дела никогда не имел, поэтому сразу полез на офф сайт читать доки.

 

Что уже сделал:

 

1. Сконвертировал точку autonomous ==> lightweight таким способом:

 

archive download-sw /overwrite /reload tftp: //location/image-name

 

теперь на борту: c1140-rcvk9w8-mx/c1140-rcvk9w8-mx"

 

2. Уперся в то, что контроллер ругается на некорректный сертификат от точки.

 

Лог с точки:

 

*Jul 17 15:36:04.000: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY

*Jul 17 15:36:04.000: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY

*Jul 17 15:36:14.007: %CAPWAP-3-ERRORLOG: Go join a capwap controller

*Jul 17 15:36:14.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 172.26.18.245 peer_port: 5246

*Jul 17 15:36:14.000: %CAPWAP-5-CHANGED: CAPWAP changed state to

*Jul 17 15:36:14.034: %LWAPP-3-CLIENTERRORLOG: Peer certificate verification failed

*Jul 17 15:36:14.034: %CAPWAP-3-ERRORLOG: Certificate verification failed!

*Jul 17 15:36:14.034: DTLS_CLIENT_ERROR: ../capwap/capwap_wtp_dtls.c:333 Certificate verified failed!

*Jul 17 15:36:14.035: %DTLS-4-BAD_CERT: Certificate verification failed. Peer IP: 172.26.18.245

*Jul 17 15:36:14.035: %DTLS-5-SEND_ALERT: Send FATAL : Bad certificate Alert to 172.26.18.245:5246

*Jul 17 15:36:14.035: %DTLS-3-BAD_RECORD: Erroneous record received from 172.26.18.245: Malformed Certificate

*Jul 17 15:36:14.035: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 172.26.18.245:5246

 

Далее, нужно внести в базу контроллера MAC-адрес точки и ее SHA1-хэш SSC сертификата, чтобы контроллер мог ее опознать. SHA1-хэш предлагается узнать, включив дебаг на контроллере командой

 

#debug pm pki enable

 

Во всех листингах из документации в выводе этого дебага значится SHA1-хэш сертификата, который нужно скопировать и добавить в базу контроллера. Но, у меня данный хэш не светится в выводе.

В этом случае на офф форуме Cisco советуют воспользоваться тулзой Cisco Upgrade Tool для апгрейда autonomous_to_lightweight, что якобы после этого в папке с программой появится .csv файл, содержащий искомый хэш. Но, т.к. у меня точка серии 1140, а:

 

The Upgrade Utility version 3.2 does not support the conversion of 1140 and 1250 series autonomous access points to lightweight mode. To convert these autonomous access points to lightweight mode, telnet to the access point and issue the following command to upgrade the IOS:

archive download-sw /overwrite /reload tftp: //location/image-name

 

то с этим я пролетаю.

 

Далее, нашел мануал по ручной генерации сертификата: http://www.skytale.net/blog/archives/37-Manually-converting-a-Cisco-AP-to-LAP-mode.html

 

Но и после этого в дебаге контроллера хэш не появился.

 

 

Вопрос - как найти SHA1-хэш SSC сертификата, чтобы подсунуть его контроллеру? Или есть другие способы подружить точку и виртуальный контроллер? Спасибо.

Share this post


Link to post
Share on other sites

на точке с консоли test capwap reset / test capwap restart в скрытых командах должны быть. Тогда они сбрасывают кэш сертификата

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this