การเอา Access Point ที่เคยใช้งานกับ Cisco WLC รุ่นเดิมที่รันอยู่บน AirOS(เช่น 2504,3504,5520) เมื่อต้องการนำมา Join ใช้งานกับ Cisco Catalyst 9800 จะเกิดปัญหาเรื่อง Certificate (SSC : Self Signed Certificate) ที่ AP เคยใช้ในการ Join Controller บน AirOS แต่ตัว Catalyst 9800 ไม่ได้ Enable SSC มาให้ ทำให้ AP ไม่สามารถ Join ได้ แสดง Error ด้านล่าง
[*04/30/2021 06:55:49.0222] CAPWAP State: DTLS Teardown
[*04/30/2021 06:55:53.7707] No more AP manager addresses remain..
[*04/30/2021 06:55:53.7707] No valid AP manager found for controller 'C9800_WLC' (ip: 10.10.1.250)
[*04/30/2021 06:55:53.7707] Failed to join controller C9800_WLC.
[*04/30/2021 06:55:53.7707] Failed to join controller.
[*04/30/2021 06:55:53.7707]
[*04/30/2021 06:55:53.7707] CAPWAP State: Discovery
[*04/30/2021 06:55:53.7707] Discovery Request sent to 10.0.0.249, discovery type STATIC_CONFIG(1)
[*04/30/2021 06:55:53.7807] Discovery Request sent to 10.10.1.250, discovery type STATIC_CONFIG(1)
[*04/30/2021 06:55:53.7807] IP DNS query for CISCO-CAPWAP-CONTROLLER.lap.local
[*04/30/2021 06:55:53.7807] IPv6 DNS query for CISCO-CAPWAP-CONTROLLER.lap.local
[*04/30/2021 06:55:53.8007] Discovery Request sent to 255.255.255.255, discovery type UNKNOWN(0)
[*04/30/2021 06:55:53.8007] Discovery Response from 10.10.1.250
[*04/30/2021 06:55:53.8107] Discovery Response from 10.10.1.250
[*04/30/2021 06:56:03.0000]
[*04/30/2021 06:56:03.0000] CAPWAP State: DTLS Setup
[*04/30/2021 06:57:00.0222] dtls_disconnect: ERROR shutting down dtls connection ...
วิธีแก้มีสองวิธี
วิธีที่ 1 : เอา AP กลับไป Join AirOS Controller และ Disable Enable SSC Hash Validation (อาจจะมี Down Time นะครับ)
1. ทำผ่าน Web GUI
ไปที่ Security > Certificate > SSC และ uncheck Enable SSC Hash Validation, หลังจากนั้น click Apply
2. ทำผ่าน CLI
AirOS_WLC# config certificate ssc hash validation disable
วิธีที่ 2 : ทำการ Config manual Trustpoint ผ่าน CLI บน Catalyst 9800
C9800_WLC#wireless config vwlc-ssc key-size 2048 signature-algo sha256 password 0 cisco123
Verify
C9800_WLC#show wireless management trustpoint
Trustpoint Name : C9800_WLC_WLC_TP
Certificate Info : Available
Certificate Type : SSC
Certificate Hash : 3ec9c1499048b51a2c9b52d765d5e64a6f0e231c
Private key Info : Available
FIPS suitability : Not Applicable
ผลลัพธ์
AP สามารถ Join Controller และ Dowload Firmware ตัวใหม่ ได้แล้วครับ
หลังจาก Access Point Dowload Firmware เรียบร้อย ก็จะ Join เข้าไปที่ Controller ได้
References