ملاحظات حول استعادة Catalyst9800-CL عند نقله إلى بيئة مختلفة

عند نقل Catalyst9800-CL إلى بيئة مختلفة، لم يكن من الممكن فقط إدخال التكوين الحالي للاتصال بـ HTTPS (واجهة المستخدم الرسومية) أو انضمام AP، لذا أترك الملاحظات أدناه. سأقوم بإعادة كتابة هذا عندما أجد الوقت.

1. الهدف

استعادة الأخطاء التي قد تحدث بعد RMA/النقل/اتباع التكوين، فقط باستخدام CLI.

  • لا يمكن الاتصال بـ GUI (HTTPS)
  • لا يمكن لـ AP الانضمام (فشل في مصافحة DTLS)

تتوقع هذه الإجراءات بشكل خاص الأخطاء الناتجة عن عدم إنشاء/تخصيص vWLC-SSC (SSC)، والتي غالبًا ما يتم تجاهلها في 9800-CL.

2. أعراض الأخطاء المتوقعة

2.1 أمثلة على أعراض فشل GUI (HTTPS)

  • لا يمكن الاتصال بـ GUI عبر المتصفح

  • عند تنفيذ curl https://<WLC-IP> على العميل، يظهر مثال:

    • TLS connect error: ... tlsv1 alert internal error

2.2 أمثلة على أعراض فشل انضمام AP (من جانب WLC)

  • عند تنفيذ show wireless stats ap join summary، يظهر ما يلي:

    • Status: Not Joined
    • Last Failure Phase: Dtls-Handshake
    • Last Disconnect Reason: DTLS cert-chain not available

3. السبب (جوهر هذه الحالة)

قد تظل الإعدادات موجودة بعد RMA/اتباع التكوين، لكن الشهادات والمفاتيح الخاصة قد لا توجد في الجهاز الجديد (VM الجديد).

خصوصًا في انضمام AP لـ 9800-CL (CAPWAP-DTLS)، هناك حاجة إلى سلسلة الشهادات الخاصة بـ DTLS (SSC/MIC) المرتبطة بـ WMI (واجهة إدارة الشبكات اللاسلكية)، وإذا كانت مفقودة، فلن يتمكن AP من الانضمام.

  • إذا كان show wireless management trustpoint يظهر

    • Certificate Info : Not Available
    • Private key Info : Not Available فلن تتم المصافحة DTLS.

4. الشروط المسبقة والملاحظات

4.1 المتطلبات الأساسية

  • يفترض أن GUI معطلة، لذا يجب أن تكون قادرًا على الدخول إلى CLI لـ WLC عبر وحدة التحكم / SSH.
  • أثناء العمل، قد يحدث استعادة/عدم استقرار انضمام AP، لذا يجب تأمين فترة التأثير.

4.2 النقاط المهمة في 9800-CL

  • يجب أن تكون WMI (واجهة إدارة الشبكات اللاسلكية) مُعدة بشكل صحيح وتكون في حالة up/up إذا كانت هذه غير صحيحة، فقد لا يتم إنشاء وتخصيص SSC كما هو متوقع.

4.3 ملاحظات حول كلمة المرور (أمر إنشاء SSC)

  • يجب أن يكون <pw> في wireless config vwlc-ssc ... password 0 <pw> ليس قصيرًا جدًا (يفضل أن يكون أكثر من 8 أحرف) إذا كانت قصيرة جدًا، قد تبقى في حالة “تكوين…” دون الانتقال إلى حالة النجاح/التخصيص.
  • تجنب السلاسل التي قد تفشل بسبب الاعتماد على البيئة، مثل الرموز في البداية.

5. التحقيق في الحالة الحالية (التحقق قبل الاستعادة)

5.1 تحقق من trustpoint الذي يشير إليه خادم HTTPS

show ip http server status

العناصر التي يجب النظر إليها:

  • HTTP secure server status: Enabled
  • HTTP secure server trustpoint: <TP名>

5.2 تحقق مما إذا كان هناك كيان لـ trustpoint (شهادة/مفتاح)

show crypto pki trustpoints
show crypto pki certificates <TP名>
show crypto key mypubkey rsa | begin Key name: <TP名>

5.3 تحقق من وجود كيان trustpoint لـ DTLS (انضمام AP)

show wireless management trustpoint
  • إذا كان Not Available، فإن سلسلة/مفتاح DTLS مفقود.

5.4 تأكيد سبب فشل انضمام AP

show wireless stats ap join summary
  • إذا ظهر DTLS cert-chain not available، فإن نقص الشهادات الخاصة بـ DTLS من جانب WLC هو الأكثر احتمالاً.

6. خطوات الاستعادة (الموصى بها: إنشاء SSC → تخصيص لـ WMI → استعادة HTTPS/DTLS)

الخطوة 1) تحقق مما إذا كانت WMI (واجهة إدارة الشبكات اللاسلكية) مُعدة

show running-config | include ^wireless management interface
show ip interface brief

التوقعات:

  • وجود wireless management interface vlan <番号>
  • أن يكون Vlan<番号> في حالة up/up وتم تخصيص IP له

إذا كانت غير مُعدة أو مُعدة بشكل خاطئ، قم بتصحيح WMI وفقًا لتصميم البيئة (مثال):

conf t
wireless management interface vlan <WMIのVLAN番号>
end

الخطوة 2) إنشاء vWLC-SSC (نقطة عمياء في 9800-CL)

يجب تنفيذ ذلك في وضع EXEC (ليس داخل conf t).

wireless config vwlc-ssc key-size 2048 signature-algo sha256 password 0 <كلمة مرور أكثر من 8 أحرف>

بعد التنفيذ، تحقق:

show crypto pki trustpoints
show wireless management trustpoint

الحالة المتوقعة:

  • يجب أن يظهر اسم trustpoint في show wireless management trustpoint
  • Certificate Info : Available
  • Private key Info : Available

ملاحظة: عادةً ما يتم إنشاء trustpoint جديد (مثل ewlc-default-tp وغيرها) وتخصيصه لـ WMI عند إنشاء SSC. إذا كنت تعرف اسم trustpoint الذي تم إنشاؤه، قم بتخصيصه بشكل صريح في الخطوة 3 التالية.

الخطوة 3) إذا كانت trustpoint لـ WMI فارغة، قم بالتخصيص اليدوي

إذا كان اسم trustpoint في show wireless management trustpoint فارغًا، تحقق من trustpoint الذي تم إنشاؤه وقم بتخصيصه يدويًا.

  1. تحقق من اسم trustpoint الذي تم إنشاؤه
show crypto pki trustpoints
  1. تخصيص لـ WMI (استبدل اسم trustpoint الذي وجدته أعلاه)
conf t
wireless management trustpoint <اسم trustpoint الذي تم إنشاؤه بواسطة SSC>
end
  1. تحقق
show wireless management trustpoint

الخطوة 4) توحيد trustpoint لـ HTTPS (إذا كانت السياسة “عدم التمييز”)

الخطط الحالية: عدم استخدام trustpoint مختلف لـ HTTPS و DTLS → من المؤكد تخصيص trustpoint الذي تم إنشاؤه لـ DTLS أيضًا لـ HTTPS.

conf t
ip http secure-trustpoint <اسم trustpoint الذي تم تخصيصه لـ DTLS>
end
write memory

إذا لزم الأمر، قم بإعادة تشغيل خادم HTTPS (للتطبيق):

conf t
no ip http secure-server
ip http secure-server
end

الخطوة 5) إعادة محاولة انضمام AP

راقب حالة AP من جانب WLC، وأعد تشغيل AP (أو capwap restart).

التحقق من جانب WLC:

show wireless stats ap join summary

إذا لزم الأمر، أعد تشغيل AP (مثال):

ap name <اسم AP> reset

7. التحقق بعد الاستعادة (معايير النجاح)

7.1 DTLS/انضمام AP

show wireless management trustpoint
show wireless stats ap join summary

معايير النجاح:

  • يجب أن يكون في show wireless management trustpoint

    • اسم trustpoint ليس فارغًا
    • الشهادة/المفتاح الخاص متاحان

  • يجب أن يكون في show wireless stats ap join summary

    • Status: Joined
    • اختفاء DTLS cert-chain not available

7.2 HTTPS (واجهة المستخدم الرسومية)

show ip http server status | include secure|trustpoint

على العميل (يوصى باستخدام -k للتأكد من أن حتى الشهادات الذاتية تعمل):

curl -vk https://<WLC-IP>/

معايير النجاح:

  • يجب أن تتم المصافحة TLS بنجاح، ويجب أن يتم إرجاع استجابة HTTP

8. الأنماط الشائعة للفشل والتعامل معها

8.1 بعد تنفيذ wireless config vwlc-ssc، يبقى اسم trustpoint فارغًا

ترتيب الشكوك:

  1. WMI (واجهة إدارة الشبكات اللاسلكية) غير مُعدة/في حالة Down
  2. كلمة المرور قصيرة جدًا/فشل بسبب عوامل السلسلة
  3. تم إنشاؤها ولكن لم يتم تخصيصها → تخصيص يدوي في الخطوة 3

أوامر التحقق:

show running-config | include ^wireless management interface
show ip interface brief
show crypto pki trustpoints
show wireless management trustpoint

9. سجل العمل (نموذج)

لإضافة إلى الوثيقة، أضف ما يلي بعد العمل.

show ip http server status
show wireless management trustpoint
show wireless stats ap join summary
show crypto pki trustpoints

10. الدروس المستفادة (نقاط رئيسية من منظور الصيانة)

  • قد يؤدي اتباع التكوين فقط في RMA/النقل إلى فقدان الأصول PKI (الشهادات/المفاتيح).
  • في استعادة انضمام AP لـ 9800-CL، قد يكون إنشاء/تخصيص SSC (vWLC-SSC) نقطة عمياء.
  • إذا ظهر سبب فشل الانضمام DTLS cert-chain not available، يجب أن يكون نقص كيان trustpoint لـ WMI هو أول شيء يتم الشك فيه.