AIR-CAP3502I vWLCにjoinしない問題

Cisco無線検証を行うにあたって、ヤフオクでCisco AP(AIR-CAP3502I-Q-K9)を3台5,000円で購入した。

WLCは、仮想コントローラを使用することにした。

＜用意したもの＞

• Cisco AP ：AIR-CAP3502I-Q-K9　※ image version 7.0.112.74
• vWLC 8.5.140.0
• Catalyst 3750　※PoEスイッチ

★APのOSイメージがなかなか古いのが気になる。。

　→ソフトウェア 12.4(23c)JA4

＜設定内容＞

# capwap ap hostname APxxx
# capwap ap ip address 192.168.1.28 255.255.255.0
# capwap ap ip default-gateway 192.168.1.1
# capwap ap controller ip address 192.168.1.25
# capwap ap primary-base vwlc 192.168.1.25

上記のとおり、APにホスト名、IPアドレス、サブネット、GW、コントローラIP、プライマリアドレスを設定すると、以下のログが継続的に表示される。

*May 29 00:36:49.037: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY
*May 29 00:36:49.037: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY
*May 29 00:36:59.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 192.168.1.25 peer_port: 5246
*May 29 00:36:59.000: %CAPWAP-5-CHANGED: CAPWAP changed state to
*May 29 00:36:59.003: %LWAPP-3-CLIENTERRORLOG: Peer certificate verification failed

*May 29 00:36:59.003: %CAPWAP-3-ERRORLOG: Certificate verification failed!

*May 29 00:36:59.003: DTLS_CLIENT_ERROR: ../capwap/capwap_wtp_dtls.c:352 Certificate verified failed!

*May 29 00:36:59.003: %DTLS-4-BAD_CERT: Certificate verification failed. Peer IP: 192.168.1.25

*May 29 00:36:59.006: %DTLS-5-SEND_ALERT: Send FATAL : Bad certificate Alert to 192.168.1.25:5246

*May 29 00:36:59.006: %DTLS-3-BAD_RECORD: Erroneous record received from 192.168.1.25: Malformed Certificate

*May 29 00:36:59.006: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 192.168.1.25:5246

*May 29 00:36:59.006: %CAPWAP-3-ERRORLOG: Invalid event 38 & state 3 combination.

ログからvWLCへjoinしようとしているようだが、その後に証明書がうんぬん言われている。。。APが保持している証明書関連が古すぎてWLC側とマッチしない可能性がある？

そこで、以下の対処を行った。

• APの初期化。→NG
• vWLCの時刻を正しく設定。→NG
• カントリーコードJ4からJ2へ変更。→NG
• vWLCにてAPの証明書を無視する設定。→NG

• config ap lifetime-check mic enable

• config ap lifetime-check ssc enable

• APの同バージョンOSリカバリの適用。→NG
• vWLCのソフトウェアバージョン変更。→NG
• 物理WLC　2504へjoinさせてみる。→OK
• 物理WLCへjoinした際に、APモードをH-REAP(後のFlex connect)へ変更後、vWLCへ帰属させようとした。→NG

WLC側は一通り試行錯誤したが解決はせず、やはり、AP側に問題がありそうな感じ。

現在のAironet 3500iのIOSソフトウェアは、[12.4(23c)JA4]である。

最新IOSソフトウェアは、[15.3.3-JF9]のため、手動でリカバリOSを入れ直してみよう。

＜IOSソフトウェア入れ替え方法＞

①FlashにリカバリOSが入っていると新しいリカバリOSが入れられないため、Flashに入っているリカバリOSを削除する。

# dir flash:
# format flash:

②TFTPから最新のリカバリOSをダウンロードする。

Cisco 3502I リカバリOSのダウンロードはこちら

# debug capwap console cli　            #TFTP使えるようにする
# archive download-sw tftp://x.x.x.x/ap3g1-rcvk9w8-tar.153-3.JF9.tar
# show boot
# reload

③APが再起動すると、、、vWLCにjoin成功！！！！

extracting ap3g1-k9w8-mx.153-3.JA10/ap3g1-boot-m_upg (393216 bytes)-5-DTLSREQSEND: DTLS connection request sent peer_ip: 192.168.1.25 peer_port: 5246
*Jun 1 10:21:37.276: %CAPWAP-5-DTLSREQSUCC: DTLS connection created sucessfully peer_ip: 192.168.1.25 peer_port: 5246
*Jun 1 10:21:37.276: %CAPWAP-5-SENDJOIN: sending Join Request to 192.168.1.25perform archive download capwap:/ap3g1 tar file
*Jun 1 10:21:37.311: %CAPWAP-6-AP_IMG_DWNLD: Required image not found on AP. Downloading image from Controller.

結果、APのソフトウェアを最新のものに入れ替えたら問題解決。

APの証明書関連だったのかは不明だがWLCにjoinすればどうだっていいよね。😁