証明書の期限切れでWLCコントローラから消えたCisco LWAPの復帰

投稿者: | 2022年2月7日

ある日突然、 Cisco 3702 Lightweight APが Cisco 2504 WLC コントローラから離脱してしまい、再起動させても復帰しない事態に。LWAP自身の起動には問題無く、原因は内蔵する 証明書 が 期限切れのため、コントローラから接続拒否されたものでした。

ある日突然停波するLightWeight AP

より高速な11acの社内導入を目的として数年前に設置したCisco CT2504 WLC コントローラと、Cisco Aeronet CAP3702 Lightweight AP。時代は代わり、社内設備は既にWiFi6対応のFortinet製品へ移行しつつありますが、それでもまだ数基が現役稼働中です。

そんな中、突然WLCコントローラから離脱し、WiFiを停波してしまったLWAPが2基、現場から取り外され自席へ持ち込まれました。

図1.コントローラからBANされたLWAP

図1.コントローラからBANされたLWAP

せっかく持ち込まれたのですがLightweight APそのものに問題はなく、正常に起動するもWiFi Radio がDOWNしたままの状態にあることが、コンソール越しに確認することができたことから、LWAPはネットワーク上に戻してのトラブルシューティングに臨みます。

 

ヒントはLWAPではなくWLCコントローラに

それではなぜコントローラに登録されないのか、LWAPの基本的なネットワーク設定に問題は無いことをコンソール越しに確認した後、次の要領でコントローラの管理ログを開くと、

「MANAGEMENT」→「Logs」→「Message Logs」

今回コントローラから抜けてしまった2つのLWAPに対する以下のような大量のエラーメッセージを見つけました。

図2.WLC管理ログに現れたエラー

図2.WLC管理ログに現れたエラー

エラーメッセージから調べてみると、こちらの記事の他、Ciscoからもこうした障害に対するガイドが公開されています。

要するに、LWAP内の証明書(MIC:Manufactured Installed Certificate)が10年の期限を過ぎたため、WLCコントローラから認めてもらえないというもの。実は同じ機種でもまだWLCコントローラの管理下で正常運用出来ているLWAPもあるのですが、これはロット違いでまだ期日に達していないということでしょうか。

 

対処1.証明書期限チェック無効化

WLCコントローラのコンソール上で、次のコマンドを発行すると証明書の期限切れを無視するようになり、そのまま数分待つとLWAPがコントローラの管理下へ復帰します。

なお、コマンドを発行しても戻り値が無いので不安になりますが、もう一度発行するとこのように「それはすでに設定済み」と返されるので問題ありません。

 

対処2.LWAPのMACアドレスをWLCへ登録

上記により1基はWLCコントローラの管理下へ復帰したものの、残るもう1基はいくら待てども、再起動させても孤立したままなので、こちらの記事を参考にしながら、LWAPのMACアドレスをWLCコントローラへ登録してみます。

ここで必要になるLWAPのMACアドレスとは、コンソール上で機器基本情報を確認する show version コマンドで得られる「Base ethernet MAC Address」か、BVIインターフェイス設定内に記述されている「mac-address」です。

こうしてLWAPのMACアドレスを得たら、ブラウザからWLCコントローラのWebGUIを開いて次の要領で進みます。

「SECURITY」→「AAA」→「AP Policies」

ページ右上の「ADD」ボタン押下すると出てくるテキストボックスへ先ほどのMACアドレスを入力したら、「ADD」を押して信頼されたAPリストへ追加します。

図3.AP Authorization Listへ追加

図3.AP Authorization Listへ追加

登録後、数分するとこのLWAPも無事にWLCコントローラの管理下へ復帰していました。せっかくなので、証明書の期日がまだ到達していない残りのLWAPも、そのMACアドレスをここへ全て登録しておきました。

 

余談:Lightweight APをコンソールから再起動するには

トラブルシューティングの過程でコンソールからLightweight APを再起動させたいことがあったのですが、Cisco機器ではお馴染みのreloadコマンドを発行すると次のようにエラーになります。

コマンド一覧にもreloadは見当たりません。

こちらのユーザフォーラムによると、事前にデバッグモードのようなものを有効にしておく必要があるのだそう。

 

参考文献

 

 

証明書の期限切れでWLCコントローラから消えたCisco LWAPの復帰」への2件のフィードバック

  1. taka

    記事投稿ありがとうございます。ウチのCT2504でも全く同じ症状が発生し、エラーメッセージでググったところこちらのページに辿り着き、無事解決することができました。EoL製品のためTACにも相談できず、最悪捨てることも覚悟しましたが、おかげさまでまだまだ戦えそうです。

    返信
    1. ServerCan 投稿作成者

      コメント有り難うございますっ

      周回遅れのマイナー機種が、弊社以外でもまだ現役であることに勇気づけられました〜

      返信

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA