思科室外AP无法注册到WLC

思科的一些新的室外AP，在购买回来时，有时候会出现无法加入WLC的情况，现象基本是无法加入，或感觉加入了，立马又掉了。

例如：

AIR-AP1562E-H-K9

AIR-AP1572EAC-H-K9

一、具体的原因分析如下：

1、客户需要购买的AP是Lightweight AP，但是收到AP后，AP的模式不正确，导致加入WLC存在问题。

2、这类AP出厂可能的模式为bridge或mesh等模式。

通过在CLI debug可能出现的现象：

[........]Failed to decode discovery response.
[........]CAPWAP SM handler:Failed to process message type 2 state 2
[........]Failed to handle capwap control message from controller-status 4
[........]Failed to process unencrypted capwap packet 0x17a6000 from x.x.x.x
[........]Failed to send capwap message 0 to the state machine,Packet already freed.
[........]Discovery Response from x.x.x.x
[........]Discovery response from MWAR 'xxzx' running version 8.2.151.0 is rejected.
[........]Failed to decode discovery response.
[........]CAPWAP SM handler:Failed to process message type 2 state 2.
[........]Failed to handle capwap control message from controller-status 4
[........]Failed to process unencrypted capwap packet 0x1791000 from y.y.y.y
[........]Failed to send capwap message 0 to the state machine,Packet already freed.
[........]IPv4 wtpProcessPacketFromSocket returned 4.
[........]set led_patteren 12

[........]CAPWAP State:DTLS Setup
[........]dtls_load_ca_certs:LSC Root Certificate not present

......

 

或者在GUI界面观察：

 

二、解释：

在LAP注册过程中，LAP和WLC使用X.509证书进行相互身份验证。

X.509证书在出厂AP和WLC上都被刻录到受保护的其闪存中。在AP上，出厂安装的证书称为制造安装证书（manufacturing installed certificates，MIC）。 2005年7月18日之后生产的所有思科AP都有MIC。

2005年7月18日之前制造的Cisco Aironet 1200,1130和1240 AP已从自主IOS升级到轻量接入点协议（LWAPP）IOS，在升级过程中生成自签名证书（self-signed certificate，SSC）。有关如何使用SSC管理AP的信息，请参阅将自主Cisco Aironet接入点升级到轻量级模式。
https://www.cisco.com/en/US/docs/wireless/access_point/conversion/lwapp/upgrade/guide/lwapnote.html

除了在注册过程中发生的这种相互认证之外，WLC还可以基于LAP的MAC地址限制向其注册的LAP。

通过使用LAP的MAC地址以不用太在意密码的强壮性，WLC在通过RADIUS服务器授权AP之前会使用MIC来验证AP。
MIC的使用提供了强大的身份验证。

LAP授权可以通过两种方式执行：

1、使用WLC上的内部授权列表

2、在AAA服务器上使用MAC地址数据库

LAP的行为因使用的证书而异：

具有SSC的LAP：WLC将仅使用内部授权列表，并且不会将请求转发到RADIUS服务器以用于这些LAP。

具有MIC的LAP：可以使用WLC上配置的内部授权列表，也可以使用RADIUS服务器授权LAP

三、解决方法

一般的，我们可以在WLC上去添加这些AP的MAC地址，以使得LAP可以加入WLC。通过GUI来添加AP的MAC地址：Security>AAA>AP Policies

AP加入后，可以修改其模式，例如，修改为Local。

或者：

我们在使用的AP的时候，直接console到AP的CLI界面，然后输入capwap ap mode local

将它直接修改为local模式，注册到对应WLC应该也是没有问题的。

注意：首先得保证WLC的软件版本是正常该型号的LAP的！

关于Lightweight Access Point (LAP) Authorization 更详细的，可以参考思科文档：

https://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/98848-lap-auth-uwn-config.html#conf