본문 바로가기
IT 이야기/네트워크(Network)

시스코 무선랜컨트롤러(WLC)에서 무선AP 가 사라졌다면?

아이홀 2022. 7. 31.
728x90
반응형

시스코 무선랜컨트롤러(WLC)에서 무선AP 가 사라졌다면?

 

잘 사용중이던 무선AP가 어느날 정전 후 연결이 되지 않나요?

 

그렇다면 H/W 인증서가 만료되지 않았는지 의심해 보시기 바랍니다.

 

출처 : Cisco.com

 

 

H/W 인증서?

Cisco의 무선 제품은 허가되지 않은 타사의 제품과 연결을 차단하기 위해 2005년 7월 18일부터 모든 무선 제품에 하드웨어(H/W) 인증 절차를 적용하였습니다.

이때 MIC(Manufacturer Installed Certificates) 라는 것을 이용해 무선 제품 상호간 검증 절차를 거치게 됩니다.

이 MIC 값은 각각의 무선제품마다 고유한 값으로 일반적으로 10년이 지나면 만료가 됩니다.

 

 

정확한 MIC 만료 일자는

  • 2005/07/18 ~ 2017년 중반 제조 : 10년 후 만료
  • 2017년 이후 제조 : 2037년(20년) 만료
  • 2019년 이후 제조된 9800 WLC와 9100 AP : 2099년 만료

 

아마도 지금 현재 해당 문제를 겪고 계시다면 10년 만료 인증서(MIC) 가 설치된 2005년 7월 ~ 2017년에 제조된 무선 제품일 가능성이 높습니다.

 

본문 내용과 관계없음

 

로그 확인

 

MIC가 만료된 WLC와 통신을 시도하는 무선AP에서의 Log

*Aug 1 05:16:27.127: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain 
 validation has failed.
The certificate (SN: 423F49A800000005FEAE) has expired. Validity period ended
 on 14:39:18 UTC Sep 3 2023 Peer certificate verification failed 001A
*Aug 1 05:16:27.127: %CAPWAP-3-ERRORLOG: Certificate verification failed!

 

AP나 WLC, C9800 제품별 로그는 조금씩 상이하지만 대부분 아래의 글자가 포함된 로그를 뿌립니다.

 

%PKI-3-CERTIFICATE_INVALID_EXPIRED

 

 

조치방법

만약 사용중인 무선 제품 중 MIC 만료로 CAPWAP 통신이 되지 않는다면 어떻게 조치할 수 있을까요?

 

1. WLC 의 시간을 만료되기 이전의 날짜로 변경합니다.

   - WLC > COMMANDS > Set Time 메뉴에서 시스템 시간을 변경할 수 있습니다.

   - 이 때, 시간을 너무 예전으로 변경하면 최신 AP가 연결되지 않을 수도 있습니다.

   - 시간을 변경하면 SNMP 를 사용하는 NMS 등에 정상적인 이벤트 수집이 되지 않을 수도 있습니다.

 

2. MIC 인증서 체크를 무시하는 Config 를 설정합니다.

   - WLC 에서 아래 명령어를 입력하면 MIC 인증서 만료여부를 체크하지 않습니다.

   - config ap cert-expiry-ignore {mic | ssc} enable

(Cisco Controller) >config ap cert-expiry-ignore ?
               
mic            Configures cert-expiry-ignore check operation for MIC. 
ssc            Configures cert-expiry-ignore check operation for SSC. 
               
(Cisco Controller) >config ap cert-expiry-ignore mic ?
               
enable         Enabling will ignore the lifetime-check for MIC. 
disable        Disabling will do the lifetime-check for MIC. 
               
(Cisco Controller)

   - OS Version 또는 WLC 모델에 따라 위 명령은 적용이 불가할 수도 있습니다.

 

현재 해당 문제를 겪고 계시다면 장애상황이기 때문에 WLC에서 System Time 을 2017년 즈음으로 변경하는게 

가장 빠르고 정확한 방법일 수 있습니다.

 

도움이 되셨길 바랍니다.

 

*. 참고자료: https://www.cisco.com/c/en/us/support/docs/field-notices/639/fn63942.html

 

 

 

읽어주셔서 감사합니다
티스토리 댓글과 공감은 로그인이 필요 없습니다.
로그인하시면 구독 가능합니다.

 

 

728x90
반응형
저작자표시 비영리 변경금지

'IT 이야기 > 네트워크(Network)' 카테고리의 다른 글

Cisco WLC Mac Filtering & ACS MAC 일괄 등록 및 삭제  (13) 2022.07.02
Cisco WLC SSID 신규 생성 방법_(3)WLC SSID 및 인증설정  (20) 2022.03.19
Cisco WLC SSID신규 생성 방법_(2)WLC Interface 및 DHCP  (10) 2022.03.19
Cisco WLC SSID신규 생성 방법_(1)네트워크 설정  (22) 2022.03.19
Cisco 3850 or 3650 Switch IOS-XE Upgrade(Bundle or Install Mode)  (8) 2021.10.30
KT 인터넷 먹통에 대처하는 네떡쟁이의 자세  (5) 2021.10.25
[F5] BiG-IP/ tcpdump 명령을 활용한 L4 스위치 트래픽 확인 방법  (8) 2021.07.22
[F5] BIG-IP L4 스위치 관리자 웹(http/s) 접근 제어  (4) 2021.06.09

'IT 이야기/네트워크(Network)' 관련글

티스토리툴바