Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 14:12



Ответить на тему  [ Сообщений: 5 ] 
air-sap702i-r-k9 + dfl 860e 
Автор Сообщение

Зарегистрирован: 06 окт 2021, 12:20
Сообщения: 3
День добрый, есть проблема, которую никак не могу решить.

Имеется фаервол dlink-860e на входе, который роутит lan сеть. DHCP поднят на WinServ 2016. Есть около 5 точек разных производителей, которые работают в режиме AP без каких либо проблем.
Мне поручили настроить точки air-sap702i-r-k9 - данные точки в любой другой сети работают нормально, но в этой сети происходят проблемы.
Проблема: как только компьютер (пробовал 2 разных ноутбука с разными адаптерами и системами) уходит в сон и возвращается - перестаёт работать интернет, пингуется всё кроме шлюза (DFL). Маршрут остаётся на месте. На DFL в логах ловлю ошибку:
Цитата:
13:04:36 Warning ARP
300009 arp_resolution_failed
remove_entry ipaddr=192.168.0.121 iface=lan 2020-05-17


на дфл запрос arp -show -ip=192.168.0.121
Цитата:
ARP cache of iface lan
Reslvng 192.168.0.121 = 00-00-00-00-00-00 Expire=1


Просто переподключение к точке не помогает. Как только я делают shutdown/no shutdown if Dot11Radio1 и подключаюсь - всё моментально начинает работать. Пробовал 2 разных железных точки, 3 доступных мне прошивки (сейчас стоит /ap1g1-k9w7-mx.153-3.JK3). У меня есть подозрение, что проблема вовсе не cisco ap, а в настройках dfl, но в сети 5 точек разных производителей и нигде такой проблемы нет.
Конфиг точки:

Цитата:
Current configuration : 3677 bytes
!
! Last configuration change at 13:47:42 MSK Mon Oct 11 2021 by admin
version 15.3
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname wifisch
!
!
logging rate-limit console 9
enable secret 5 $1$GMJ.$BJVnyKlrZYdpKGHdFurQq0
!
no aaa new-model
clock timezone MSK 3 0
no ip source-route
no ip cef
!
!
!
!
dot11 pause-time 100
dot11 syslog
!
dot11 ssid gamma
authentication open
authentication key-management wpa version 2
guest-mode
wpa-psk ascii 7 0408595759761F1C584F52
!
dot11 ssid gamma5
authentication open
authentication key-management wpa version 2
guest-mode
wpa-psk ascii 7 1444405A5A537979757E64
!
!
!
no ipv6 cef
!
crypto pki trustpoint TP-self-signed-1633560238
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1633560238
revocation-check none
rsakeypair TP-self-signed-1633560238
!
!
crypto pki certificate chain TP-self-signed-1633560238
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31363333 35363032 3338301E 170D3933 30333031 30303236
33365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 36333335
36303233 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100AF68 464E955E 8231A6B0 3D77B3C9 74AED22B D894A21A AEE3C7D5 9A15D8FE
5E49AE24 279A0AE2 52DAE660 44C47A77 718E5EF7 766DCDB6 2F93A741 AC195C08
BC7D83D3 2F1A4A16 54FD02D1 7D5957E2 29C8AB42 EA0CB6B7 AEA67FFC A1C993CC
6D4F256A 93D764EE ABCD7178 2EC7106F 830E9761 57580E48 3C726CE4 A3656F22
BC810203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
551D2304 18301680 14CF6F2D C0012AA3 C7647826 D3234216 4BB222B4 87301D06
03551D0E 04160414 CF6F2DC0 012AA3C7 647826D3 2342164B B222B487 300D0609
2A864886 F70D0101 05050003 81810064 BF942D39 116E605C 1B48138D 630370E4
B0D271AE A6F937BA AEC114FD 84EB36C3 6AF917CC DCA178C2 B468DC75 BB309D3A
45D9D4EA CEB38C3B A4236B22 B5B5EAC2 1C0E6EDD F22C93D7 43930E97 0ABC8AC8
D2924160 F6686571 F04FFF7E EBC33248 00661069 061AFE54 18FB3239 0057F309
83663743 7BF70CAD C8F230CF FCF7AC
quit
username admin privilege 15 secret 5 $1$Sw41$A4djQmN9aFEk39kshXKi/1
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
!
encryption mode ciphers aes-ccm
!
ssid gamma
!
antenna gain 0
packet retries 128 drop-packet
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
!
encryption mode ciphers aes-ccm
!
ssid gamma5
!
antenna gain 0
packet retries 128 drop-packet
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
mac-address 2852.615e.26ae
ip address dhcp client-id GigabitEthernet0
arp timeout 600
!
ip forward-protocol nd
ip http server
ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/sm ... g/help/eag
ip ssh version 2
!
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
sntp server time.nist.gov
end


На всякий случай прикладываю скрин настроек arp DFL.

Изображение


11 окт 2021, 14:01
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Снимите дамп трафика на свитче.
Интересует пять ситуаций.
1. Когда клиент просто подключается к сети с нуля на проблемной точке.
2. Когда клиент подключается к проблемной точке после сна.
3. Когда клиент подключается к проблемной точке после сна со сделанными shutdown/no shutdown if Dot11Radio1.
4. Когда клиент подключается к рабочей точке с нуля.
5. Когда клиент подключается к рабочей точке после сна.


11 окт 2021, 18:38
Профиль WWW

Зарегистрирован: 06 окт 2021, 12:20
Сообщения: 3
Спасибо за отклик!

я использовал фильтр: arp.dst.proto_ipv4 == 192.168.0.123 or (arp.dst.proto_ipv4 == 192.168.0.2 and (arp.src.proto_ipv4 == 192.168.0.121 or arp.src.proto_ipv4 == 192.168.0.123)) or (arp.src.proto_ipv4 == 192.168.0.2 and arp.dst.proto_ipv4 == 192.168.0.121)

192.168.0.2 - dfl
192.168.0.121 - клиент
192.168.0.123 - ap cisco

https://disk.yandex.ru/d/DLDwlpOeqC03oQ


12 окт 2021, 11:19
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
В дампах нет ARP-ответов. Это почему так?


18 окт 2021, 17:56
Профиль WWW

Зарегистрирован: 06 окт 2021, 12:20
Сообщения: 3
Black Fox писал(а):
В дампах нет ARP-ответов. Это почему так?


наверное, потому что я перемудрил. я снимал дампы с компьютера который был подключен к тупому свитчу (возможности с порт мирором сейчас нет) куда был воткнут приход + точка ап + этот самый компьютер. я не учёл что арп ответы это юникаст.
сейчас я снял дампы с самого ноутбука непосредственно с вай фай адаптера.

https://disk.yandex.ru/d/t3CCW-knK4av5Q

Еще заметил, что сон должен быть больше ~5 минут, если моментально пробуждать то проблемы не случается.

(arp.dst.proto_ipv4 == 192.168.0.199 and arp.src.proto_ipv4 == 192.168.0.2) or (arp.dst.proto_ipv4 == 192.168.0.2 and arp.src.proto_ipv4 == 192.168.0.199)
0.199 pc
0.2 dfl


19 окт 2021, 13:47
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 51


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB