WLAN故障处理指导

WLAN故障处理指导
Page用户侧故障二故障二：无线终端扫描到无线信号后，为什
么关联不成功AC上是否已经配置ACID和运营商ID，若没有配置，采用的是默认值，容易和其它AC设备上接入的AP
造成BSSID冲突，导致关联不成功；在AP上使用showintwg[wlanid]确认一下配置的VAP
和AC上是否一致，特别关注WLANid；在AP上使用showstation命令查询，确认是否有该statio
n接入，Auth状态是否为TRUE，Assoc是否为TRUE，若都为TRUE，可能是WPA/WAPI认证失败，可以
先用Open方式验证业务是否可以通，然后在排查认证失败的其它原因；Page用户侧故障三故障三：无线终端上已经显示下线，为什么AC上还可以查询该STA某些无线终端下线时，不会知会AP，可以在AP上使用showstation命令
查询一下，确认该station是否还在，若AP上存在，那就是以上原因引起的，等老化时间到后，该STA才会下线（同时也可以无线抓包确认STA是否确实没有发送Deauth等报文）；若AP 上不存在，AC上还有，出现异常，请联系开发人员定位；
Page用户侧WAPI安全故障排错问题一：证书安装不成功首先确认证书是否符合WAPI的标准，在导入证书时，会检查证书版本号以及证书公钥字段，不符合标准将被认为是错误的证书；确认AC的证书是否由Issuer签发，当AC和Issuer的证书都导入时，会使用Issuer证书来验证AC证书的正确性，如果验证失败则不允许导入；确认AC的证书和私钥是否匹配，导入时会对证书和私钥进行
匹配校验，不匹配不允许导入；问题二：证书删除后仍然可以查询到证书安装后，会导入到内存，删除设备上的证书文件并不会导致已安装的证
书删除，除非重启系统；一个证书被多个安全模板所安装时，在
一个模板中删除证书，不会导致该证书真正被删除，除非所有安装该证书的模板都
删除。

Page用户侧WAPI安全故障排错问题三：证书认证不成功检查AC设备上ASU证书，AC证书和私钥是否正确安装；
检查STA的证书是否正确安装；检查STA和AC的证书是否是由AC颁发，在ASU上查看证书序列号；检查STA和AC的证书是否被吊销，在ASU上查看证书的状态；检查安全模板中配置的ASU的IP地址是否正确；检查AC设备和ASU之间是否可达；Page STA无法搜索到无线信号的故障诊断流程Page无线用户经常掉线的故障诊断流程Page第1章WLAN典型
组网第2章AP无法上线问题处理第3章配置类故障第4章用户侧故障第5章license特性问题PageLic
ense特性基本原理原理：AC通过License文件的信息来控制AP 的链路数量，从而实现对上线AP数量的控制。

特点支持L icense试用期功能。

试用期间最大支持1024个AP上线。

设备在未加载License文件前，WLAN特性有30天的试用期。

在试用期期间，设备会每隔一段时间向用户发送License剩余试用时间的告警，前25天每天发送一次告警，后5天每4小时发送一次告警。

Li
cense试用期结束后，且未加载License文件时，设备默认支持最多5个AP上线，设备会将超出5个以外的AP踢下线，被踢下线的A P无法继续提供业务。

支持6种License规格：0/64/128/256/512/1024，分别支持对应数量的上线AP。

Pa geLicense特性常见问题WLANLicense的作用是控制AC上AP 上线的数量，因此License的问题主要是引起
AP无法上线。

步骤一：收集相关信息在诊断模式下，通过调试命令查看当前License状态。

WS6603(diagnose)%
%debugwlan411{|integer<0,4294967295>}:Command:
debugwlan411Wholecapability:1024//整机能够支
持的最大的AP数量，WS6603为1024SrvCapability:64//当前
Lice
nse支持的最大的AP数量，为64ApOnLineNum:1//已上线占用的License数
量，为1个步骤二：判断及处理根据License数量及AP上线数量判断AP无法上线是否由License数量导致。

说明：AP无法上线的原因很多，像License这类很容易判断的原因可以放在最开始进行排查。

其他原因的排查可以参考《AP不能上线的FAQ》Page查询系统License信息使用命令displayLicenseWS6603(config)#display
licenseLicensefunctionisenabled//查看License功能是否
打开Activemainboardlicenseprotocolversion:1.2Activemai nboardLIBversion:1.2.038ActivemainboardlicenseserialNo
.:LIC20100329009D00ActivemainboardESN:B83F08B58CEBE 6FBA3E71
442BBDBF6FBBBB3D696//License基本信息，其中ESN是根据设备的MAC地址生成的。

License
相关命令Page查询系统license的feature信息使用命令displayfeature，例如查询WS6603
的License参数：WS6603(config)#displayfeatureFeaturelist:Fea
turenameis:H85AP01//WLANlicense名称为H85AP01Resou cre:“LH85APCO01=64“//资源项，WS6603产品BOM编码为LH85APCO01，支持数量为64
，即WS6603最大支持64个AP上线。

Function:Featuretotalnumis:1License
相关命令Page案例：某局点ME60设备上连接有5台AP，刚开始能上线，发现过一段时间后，所有AP都掉线了，无法再上线。

问题定位：由于刚开始能够上线，后来无法上线，并且和一线确认了配置也没有变化。

经过检查发现AC的License已经过期了，问题原
因已经找到，重新加载License后AP就正常上线。

问题解决方案：确认AC设备上License的状态是否正常。

通常发现AP不
能上线时，可以最开始的时候就确认是否是License的问题导致的。

License相关案例分享在介绍WLAN的组网方
式前，我们先了解下WLAN的两种转发模式：隧道转发模式和直接转发模式隧道转发模式，是指业务报文在AC和AP之间传输时，报文被CA
PWAP封装的转发模式我们看下在WLAN网络中抓取的CAPWAP报文第二个报文是一个CAPWAP的控制报文，它的源、目标端
口均为5247第三个报文117即为CAPWAP封装的DHCP报文，该报文被解析出来直接转发模式里的业务报文没有被CAPWA P封装WLAN业务的组网方式分为：汇聚型组网和旁挂型组网两种方式在汇聚型组网方式下，AC部署在网络的汇聚层，汇聚从接入层交
换机上来的WLAN流量在AC交换机和上下行设备间可以使用LACP聚合或者静态聚合的方式增加链路带宽该组网方式适合于小型组网环境
在旁挂型组网方式下，AC旁挂部署在网络的汇聚层交换机或者核心交换机之下如果使用隧道转发模式，AC与交换机之间也可以使用链路
聚合的方式增加链路带宽这里给出了一个AP不能上线的定位步骤流程图1、查询AP无法上线后，进一步查看AP是否申请到了IP 地址2、如果没有申请到IP地址，打开AC上的DHCP调试开关3、查看调试信息，看是否有该AP的申请信息4、没有该AP的申请信
息，就需要查看AP和AC之间的网络是否通畅5、如果有该AP 的申请信息，但是仍然无法申请成功，请联系技术工程师处理6、如果AP申
请到了IP地址，查看下AC和AP之间的capwap链路建立情况
7、如果以上均未解决，请联系技术工程师处理如何进行AP和AC
之间的网络检查呢如果AP上的IP地址申请失败怎么办HUAWEITECHNOLOGIES
CO.,LTD.HUAWEIConfidential谢谢HUAWEITECHNOLOG
IESCO.,HUAWEIConfidentialSecurityLe vel
:企业数通技术服务部WLAN团队袁向卫/00204402Page第1章WLAN典型组网第2章AP无法上
线问题处理第3章配置类故障第4章用户侧故障第5章license特性问题PageWLAN业务的转发模式--隧道
转发模式报文为UDP报文，源端口和目的端口号为5247；原始报文的内容在UDP报文的Data字段中，该Data字段还包含8个字节的CAPWAP头信息；由于报文被重新封装，所以一般的抓包工具是无法解析CAPWAP数据报文中的原始报文的，新版的Wiresha rk（）可以解析一般的CAPWAP封装的报文，如下图，CAPWAP封装的DHCP
报文可以被解析出来（packet117）。

业务报文在AC和AP之间传输时，报文被CAPWAP封装的转发模式，叫做隧道转发模式。

在该转发模式下，业务报文的都被封装在一个CAPWAP数据报文之中，即在原来的业务报文的基础上，添加了一个CAPWAP头。

CAP WAP数据报文的特点：PageWLAN业务的转发模式--隧道转发模式PageWLAN业务的转发模式--直接转发
模式相对于隧道转发模式，直接转发模式是指，业务报文在AC和AP之间传输时，报文没有被封装CAPWAP头的转发模式。

该模式下报文
没有被封装，普通的抓包工具都可以解析出业务报文的内容。

该模式需要在接AP交换机上同时配置业务VLAN和管理VLAN，因此接入的A
P侧需要配置成trunk模式，pvid为管理VLANid，同时允许业
务VLANid通过。

HuaweiAPHuawei
AP汇聚交换机L2交换机HuaweiACBRASIP城域网VLAN：800VLAN：800VLAN：80
0VLAN：800数据VLAN:101管理VLAN:800数据VLAN:102管理VLAN:800管理VLAN
:800数据VLAN:101数据VLAN:102STASTAPageWLAN业务的组网方式--汇聚型组
网汇聚型组网的特点：AC负责管理AP和STA；在直接转发或者隧道转发情况下，业务流都经过AC，然后由AC再转发出去。

Pa geWLAN业务的组网方式--旁挂型组网旁挂型组网的特点：AC负责管理AP和STA；直接转发模式下，业务报文不经过AC
，直接由LSW转发；隧道转发模式下，业务报文会先经过AC，由AC解CAPWAP封装之后，再转发。

Page第1章WLA N典型组网第2章AP无法上线问题处理第3章配置类故障第4章用户侧故障第5章license特性问题Page
AP不能上线的定位步骤注：对于DHCPServer不在AC上的情况，则先进行网络链路检查，在确保网络通畅的情况下，再去检查DH CPServer的配置。

PageAP和AC之间的网络检查首先检查与AC 相连的交换机和AC之间的网络是否正常。

在AC和
LSW使用同一个VLAN创建vlanif，然后分别配置同网段的IP地址，然后进行ping测试，如果能够ping通，则说明AC和LS W之间可以互通；检查AP和LSW之间是否可以ping通。

在LSW上创建一个192.168.1.x网段的vlanif，vlan选择
一个其它端口都没有使用的，同时配置该端口的defaultvlan为接口所在VLAN，然后在LSW上pingAP，AP在没有获取
到IP地址的时候，有一个默认的IP地址：192.168.1.1，如果LSW能够ping通192.168.1.1，则说明AP和LSW
之间网络正常；如果1、2都正常，组网为二层组网的时候，需要检查LSW端口vlan的配置，同时检查DHCPServer的配置；
如果1、2都正常，组网为三层组网的时候，需要检查
DHCPRelay的配置以及DHCPServer的配置；PageIP
地址申请失败故障排查检查IP地址池是否已经没有空闲IP地址；检查IP地址池的Option60选项有没有配置正确，Option 60字段的正确格式为：HuaweiAP；如果1、2都正常，则进行AP和DHCPServer之间的网络检查，确保链路正常；
如果DHCPServer上有AP申请IP地址的信息，但是申请不到，做如下检查：PageAC上查看AP的CAPWAP链路
信息在AC上查看CAPWAP链路信息，命令如下：WAC(diagnose)%%debugwlan361
{|integer<0,429496
7295>}:
Command:
debugwlan361
--------------------------
----------------------------------------------------LINK
APAPAPACFwdInIf
FSMIDIPAddrCPortDPortIPAddrModeI
ndexState-----------------------------------------
-------------------------------------41.1.1.20103
010311.1.1.11519RUN5
1.1.1.19103010311.1.1.11519
RUN上表显示AP与AC之间的CAPWAP链路信息，RUN状态表示链路已经建立完成。

如果AP已经正常获取的IP地址，却无法上线
，作如下排查：PageAC上查看AP的CAPWAP链路信息根据AP 获取到的IP地址查找一下AP的链路信息是否在列表中，如果一直都查不到AP的建链信息，则检查DHCPServer的Option43配置是否正确，正确的Option43格式为：H
uaweiAC-192.168.1.1；V1R3C01版本中，需要确认AP是否在
未认证列表中；检查License状态；如果
能查到AP的链路信息但是一直不能到RUN状态，则需要联系技术工程师处理。

PageAP不能上线原因小结AP与POE供电的设备（交换机或者ONU）之间单通，即上行通下行不通，这个占了绝大多数，通常主要是AP和POE供电设备之间的网线的问题；三层组网时
，DHCPRelay的设备上，配置的IP地址池和Server上不一致；AP在复位阶段接收ARP广播报文复位，最新的AP版本没有该问题，老版本的话配置二层隔离就可以解决；License试用期过后仍未加载或License已过期导致最多只能有5个AP上线。

这种情况比较少见；AC上没有配置WLANACsource，这个是配置问题，一般很少出现；(V1R3C01)V1R3C01版本中
，取消了AP的autofind状态，未通过认证的AP会在未认证列表中查询到，对未认证列表中的AP进行confirm操作，AP才能正常上线。

Page第1章WLAN典型组网第2章AP无法上线问题处理第3章配置类故障第4章用户侧故障第5章
license特性问题Page配置类故障一故障一：无法进入WLANAC 模式V1R3C01灵活运营商标识特性对每台A
C的CarrierID和ACID进行了强制要求，造成和原有流程有所差异。

若发现进入不了WLANAC模式，请用wlanac-
globle命令来先对CarrierID和ACID先进行设置；Page配置类故障二故障二：CAPWAP状态机为什
么不能到RUNAP和AC是否有IP地址；AP与AC直接能否相互PING通；AC是否开启了WLAN功能（wlanacsou
rceinterface）；ETH层是否有收到CAPWAP报文(debuggingetherpacket)；IP层是否
有收到CAPWAP报文(debuggingippacket)；UDP层是否有收到CAPWAP报文(debuggingu
dppacket)；CAPWAP模块是否有收到CAPWAP报文(debugwlan3711)；CAPWAP模块是否
内部处理出错，打开调试开关后搜索err，并对应代码看错误原因：AC上：debugwlan320xfffffff
fAP上：WADP_DebugProc0,3,2,0xffffffff；Page配置类故障三故障三：
CAPWAP状态机为什么会Teardown如果状态机已经run了，运行过程中异常teardown，可以定位为keepalive(
UDP端口号为5247)或echo(UDP端口号为5246)报文在某个地方丢弃了；keepalive和echo报文均为AP发出
，AC收到之后会进行回应；APCAPWAP模块是否有发出CAPWAP报文；AP设备是否有发出CAPWAP报文；中间设备是否有丢弃CAPWAP报文；AC设备是否有丢弃CAPWAP报文；CAPWAP模块是否有处理出错；Page配置类故障四故
障四：AP为什么不能通过DHCP方式获取到IP地址检查AP上的配置，是否设置为DHCP方式获取IP；如果是WS6603的vl anif作为DHCP服务器，检查VLANIF是否设置了dhcpsenable 及ippool的设置是否正确，检查端口是否加入VL
AN及nativevlan是否正确；Page配置类故障五故障五：配置multi-load后AP没有开始加载只有当
AP的主备区中的文件都与加载文件的版本不一致时才会加载，请检查一下AP的FLASH主备区中的版本文件是不是和加载文件一样；检查
AC加载方式时，请检查加载文件的文件名和路径是否正确；Page配置类故障六故障六：AC上修改VAP的属性后，AP上未生效检查是否修改了该VAP的属性，而不是修改的其他VAP的属性；确定该VAP所在的APID、RADIOID、ESSID，
以及该ESSID所绑定的traffic-profileID、security-profileID；检查修改了该属性后，对应
的标志位是否已置为修改；是否执行了commit命令；Commit 后是否调用该属性注册的取值函数获取值填充到报文中；是否向对应的AP发送了capwap消息；AP是否收到对应的capwap消息？
解析是否正确；调用AP接口修改属性是否成功；Page
配置类故障七故障七：AP上VAP创建失败AP是否存在；AP上VAP是否已满；射频数据是否配置完整(主要是射频是否绑定了射频模板)；是否执行了commit命令；AP状态是否normal，配置消息是否送达AP；调用AP接口VAP_AddVap是
否执行成功。

Page配置类故障八故障八：启动全局调优后探测不到邻居信息检查执行全局调优命令时，是否使能了监听非法邻居；检查执行完全局调优命令后，AC是否下发探测邻居的MAP消息；检查AP是否收到AC的探测邻居消息；检查AP是否启动了探测邻居
；检查AP是否上报了探测到的邻居信息；检查AC是否收到AP 上报的邻居信息；检查AC在存储邻居信息时是否出错。

Page 配置类故障九故障九：启动全局调优后探测不到合法邻居检查AC 上是否配置了ACID和运营商ID，并commit；依据故障八的步骤检查是否下发探测邻居的消息、AP是否上报邻居信息、AC 是否正确存储邻居信息等；Page配置类故障十故障十：查询负载均衡组信息时，射频成员的流量信息不准确检查该射频是否正常工作，上下行业务是否畅通；检查AP是否定时上报流量信息(周期固定为30
s)；检查AP上报报文中流量信息是否准确；检查AC是否收到AP 上报的流量信息报文，处理是否正确；Page配置类故障
十一故障十一：AP(WA62)一直不停重起需要检查AC上是否设置了FTP的升级方式；如果设置了FTP升级方式，需要检查F TP服务器是否存在，并且FTP服务器里是否有指定的升级文件；（原因：FTP升级过程中，如果不能和FTP建立连接，CAPWAP模块会让AP重启）Page配置类故障十二故障十二：AP无法进行自动调优确认我们的AP周围的环境是否复杂。

（AP运行过程中检测干扰(实际是检测丢包率)，发现丢包率超过AC上设的门限后AC会下发启动信道调整）；检查AP上是否配置了VAP（如果AP 上
没有配置VAP，那么就不能发becon帧，从而无法探测到邻居信息，从而导致AP无法进行信道调优）；Page第1章WLA N典型组网第2章AP无法上线问题处理第3章配置类故障第4章用户侧故障第5章license特性问题Page
用户侧故障一故障一：无线网卡搜索不到AP上配置的SSID看AP 上的射频灯是否开启。

如果未开启，证明射频此时不工作；检查有没有插上天线，如果未插上天线，加之环境的干扰，可能探测不到SSID；检查你是否在AC上配置了隐藏SSID模式；HUAWEITE CHNOLOGIESCO.,LTD.HUAWEIConfidential谢谢HUAWE
ITECHNOLOGIESCO.,HUAWEIConfiden tialSec
urityLevel:在介绍WLAN的组网方式前，我们先了解下WLAN的两种转发模式：隧道转发模式和直接转发模式隧道转发模式，是指业务报文在AC和AP之间传输时，报文被CAPWAP封装的转发模式我们看下在WLAN网络中抓取的CAPWAP报文第二个报文是一个CAPWAP的控制报文，它的源、目标端口均为5247第三个报文117即为CAPWAP封装的DHCP报文，该报文被解析出来直接转发模式里的业务报文没有被CAPWAP封装WLAN业务的组网方式分为：汇聚型组网和旁挂型组网两种方式在汇聚型组网方式下，AC部署在网络的汇聚层，汇聚从接入层交换机上来的WLAN流量在AC交换机和上下行设备间可以使用LACP聚合或者静态聚合的方式增加链路带宽该组网方式适合于小型组网环境在旁挂型组网方式下，AC旁挂部署在网络的汇聚层交换机或者核心交换机之下如果使用隧道转发模式，AC与交换机之间也可以使用链路聚合的方式增加链路带宽这里给出了一个AP不能上线的定位步骤流程图1、查询AP无法上线后，进一步查看AP是否申请到了IP地址2、如果没有申请到IP地址，打开AC上的DHCP调试开关3、查看调试信息，看是否有该AP的申请信息4、没有该AP的申请信息，就需要查看AP和AC之间的网络是否通畅5、如果有该AP的申请信息，但是仍然无法申请成功，请联系技术工程师
处理6、如果AP申请到了IP地址，查看下AC和AP之间的capwap 链路建立情况7、如果以上均未解决，请联系技术工程师处理如何进行AP和AC之间的网络检查呢如果AP上的IP地址申请失败怎么办。