2017年度信锐课堂高级认证课程二01_FAQ与无线故障排查

2、NAC上，AP的授权数不够，此时AP可以发现NAC，但激活后，AP不能在线
配置类
Contents
1 2 3 4 5 6
控制台与后台调试 AP发现异常
AP激活后离线
AP离线排查 DHCP获取地址异常 用户注销及再次认证
现象确定
1、AP接入在线时间有更新，在NAC的无线状态中查看AP的接入时间是否在不断更新，初步判定 是AP集体掉线还是个别AP掉线
日志查看
在NAC上查看系统日志dhcp模块或者所有模块的告警日志与错误日志
配置类
Contents
1 2 3 4 5 6
控制台与后台调试 AP发现异常
AP激活后离线
AP离线排查 DHCP获取地址异常 用户注销及再次认证
主动注销
1、管理员可以通过【系统状态】——【在线用户】——【无线用户】——【注销所有用户】的 方式注销所有用户，该方法常用于多次测试认证效果时
2、从无线2.0版本开始支持单个用户注销，以及把在线用户拉到MAC黑名单
主动注销
通过web方式认证的，用户还可以主动登录页面http://2.2.2.1，手动去注销
1、账号认证：支持登录页面手动注销 2、访客认证： 1）短信验证 ：支持登录页面手动注销 2）微信认证：不支持登录页面手动注销 3）二维码认证：支持登录页面手动注销 4）临时访客认证 ：支持登录页面手动注销
网络原因
1、路由不通，AP能发现NAC，但是此时AP的地址和NAC之间无法通信，导致激活后配置下发失 败。比如：内网有私接路由器，AP分配到了错误的IP地址
2、AP到NAC的TCP 7070控制端口不通，被防火墙或上网行为管理AC或交换机给拦截，无法建立 控制隧道
3、AP与NAC版本不匹配，AP激活后，没有自动升降级，AP到NAC的TCP 800端口不通，导致 AP无法从NAC上下载自动升级包，所以一直无法在线 4、网速慢，AP从NAC上下载升级包时（大约有8-10M的大小），比如门店通过公网端口映射， 或VPN专线方式下载包慢
信锐课堂高级认证课程二 01 FAQ 与无线故障排查
目录
Contents
1 2
配置类 体验类
配置类
Contents
1 2 3 4 5 6
控制台与后台调试 AP发现异常
AP激活后离线
AP离线排查 DHCP获取地址异常 用户注销及再次认证
配置类
Contents
1 2 3 4 5 6
控制台与后台调试 AP发现异常
5、POE交换机与线缆原因，线缆供电和数据传输不标准，导致收发数据异常，AP的灯亮，但是 数据传输容易异常，导致AP不在线，可以更换AP与更换线路对比测试
配置类
Contents
1 2 3 4 5 6
控制台与后台调试 AP发现异常
AP激活后离线
AP离线排查 DHCP获取地址异常 用户注销及再次认证
总结
PC要与AP在同一个广播网络下，不在一个网段也可以正常通讯
修改AP配置，需要输入的密码，默认为beyondos1，如果AP激活过，需要采用与WAC控制台相同的密 码才能配置
该工具目前修改后只能临时生效，AP重启后失效；需要在控制台上修改配置才能永久生效
配置类
Contents
1 2 3 4 5 6
控制台与后台调试 AP发现异常
2、首次激活时，给AP配置了固定IP和网关，但是网关地址配错了，导致AP与NAC无法通讯
3、AP与NAC 同2层网络环境中，采用2层广播的方式发现，但由于交换机VLAN配置不当，配置了错 误的vlan或trunk，导致AP与NAC不在同一个广播域
AP发现技巧-DNS方式
NAC自身支持写HOSTS，而且也可以做DNS代理，所以在网络环境中没有DNS服务器或无法配置 dhcp-option43选项时，可以在NAC上配置HOSTS，把www.wlanadmin.com域名指向NAC接口的IP 地址，启用DNS代理，并把客户环境中的DNS服务器配置为NAC的接口地址，当AP获取地址和DNS后， 其dns请求会直接发送到NAC，这样也是可以让AP自动发现NAC。
3、本地转发时，无线终端所在的广播域中，没有DHCP服务器
配置问题
1、SSID的VLAN配置有问题，没有指定网络中相应的vlan，保持的默认vlan1
2、NAC上开启了DHCP-snooping，对于外部的DHCP服务器，没有添加到受信任的DHCP服务器列 表中，会出现IP地址获取不到的情况
从2.2版本开始，DHCP-snooping功能在本地转发环境下也生效了，因此本地转发，启用此功能后， 需要把DHCP服务器与DHCP-relay服务器都添加到列表中
2) 在NAC上激活后，更换地方使用，AP无法与控制器NAC通信
3) 获取到了非法私接DHCP服务器分配的IP地址，不能与NAC通讯，需排查出私接路由器 4) 给AP提前配置的固定IP地址，但与网络中的其他设备出现IP冲突 5) AP到NAC之间的UDP7777被网络中的防火墙拦截了，或端口映射不通，或映射错误
集体掉线-网络环境
3、网络链路有中断的情况，光纤线路中断，网线掉线等物理原因，排查环境中各个设备的接口的up 和down状态日志，如果NAC直连的接口出现过down掉，NAC的告警事件会提示有接口断开和连接 的状态。
集体掉线-设备异常
1、查看NAC是否有重启、查看系统日志，以及管理员操作日志，看是人为重启或异常重启
被动注销
1、二层认证（PSK\OPEN\企业等认证方式），在终端没有注销但无线关闭的情况下（比如部分手机进入 待机状态会自动断开无线），在70秒内终端如没有任何流量(包括数据帧和管理帧)，且ap给终端发送一个 null data探测数据帧后，终端也没有回应ack，则70秒会被AP剔除下线 2、终端没有任何流量，但是ap给终端发送null data探测数据帧后，终端有回应ack，则300秒后会踢终端 下线 3、如果是Web认证，这个也遵循上面说的两个原则，当二层认证断开后，三层认证的信息会默认保留120 分钟，120分钟后二层没有重新关联上，就完全注销掉，该值可以手动配置
部分掉线-网络环境
1、内网有其他设备的IP与AP的IP冲突了，可以在内网把AP断电，去长ping AP的IP地址核实。
2、在与AP同网段的PC上长ping AP的IP，并通过arp –d去刷新arp表，通过arp –a | findstr “冲突的IP“核实是否存在IP冲突
3、AP到NAC的网络链路不稳定： 1）链路不稳定，容易断线，比如远程部署的AP，或者VPN专线断开导致AP掉线 2）链路容易丢包，AP到NAC之间的链路带宽已经跑满，或者有流控设备，udp数据7077数据包 和TCP7070被流控丢包 3）TCP7070端口数据被防火墙主动断开，检测AP到NAC之间是否有防火墙设备，可以把AP或 NAC的IP添加到防火墙的全局排除地址等
配置问题
给AP激活时，虽然给AP写入了正确的NAC的地址，但是AP所在组的主控制器与AP的控制器IP地址 不匹配，导致AP一直在寻找AP组中的主控制器，需要两边保持一致，或者删掉AP组中的控制器IP即 可。
其他原因
1、激活报错，提示ap hdware error，当NAC软件版本发布时，该AP型号还未发布，所以不支持， 具体支持情况以发布文档为准，比如AP4600，不支持在2.0的版本上激活
诊断工具使用方法
1、运行AP诊断工具，选择本地连接的物理网卡进行扫描
2、扫描到AP后，即可开始进行批量编辑，或者进行单个配置，默认发货密码为beyondos1,如果密码 不对可尝试使用admin
诊断工具注意事项
注意事项： PC需要安装winpcap，或者wireshark，否则运行会报错 PC不要开启防火墙，尤其是小红伞等工具，否则诊断工具无法发现AP
2、如果是NAC有双机部署，查看系统日志，检测NAC是否有双机切换动作，查看系统日志，开启 排查双机切换原因，比如链路故障
部分供电排查
当部分AP掉线时，确定POE交换机是否有重启过，POE交换机的管理IP是192.168.0.1/24
解决办法： 1、更换POE交换机接口、更换POE交换机、更换插线板 2、对AP采用独立电源适配器对比测试 3、更换网线测试下
配置问题
DHCP-option43未生效，有多的空格（windows2003），或少了双引号(dhcp-svr)，或编码不对(华 为Switch)；核心三层需要采用ASCII码方式的IP地址格式,而非直接写IP
配置问题
1、内网配置的DNS无法正常解析，需要配置A记录指向域名：www.wlanadmin.com。可以用nslookup dnsserver指定dns服务器的方式测试
接入点故障分析
在控制器【系统维护】—【调试选项】下的接入点故障分析，可以对和控制器处于同一广播域环 境中的AP进行相关配置及操作，此工具进行操作的配置，AP重启会丢失！
密码同接入的控制器密码一致，默认是beyondos1
AP诊断工具
在电脑上使用该工具调试AP时，需要确保AP与电脑处于同一广播域环境中，登录密码是控制器 admin的密码，默认beyondos1；在AP无法获取IP或者无法发现和连接NAC的情况下，可以临时给 AP配置IP地址与控制器IP地址，便于AP激活上线，此工具进行操作的配置，AP重启会丢失！
2、接入点日志，有告警提示ap授权服务或者unable to connect to gateway
集体掉线-供电排查
当AP集体掉线时，确定POE交换机是否有重启过，POE交换机的管理IP是192.168.0.1/24
解决办法： 1、线路过载，电压不稳，更换供电电源，比如切换市电、或采用UPS供电设备 2、更换POE交换机接口、更换POE交换机、更换插线板 3、对AP采用独立电源适配器对比
1、NAC的接口配置错误，物理口应该配置成2层口的时候配置成为了3层路由口，导致无线终 端和DHCP服务器（VLAN接口或物理接口）不在同一个广播域中，DHCP服务器无法收到 DHCP请求。 2、给SSID的VLAN设置非VLAN 1，又采用了本地转发，但是AP直连的前端交换机并没有配 置为trunk口，导致带有vlan标签的数据通不过，终端无法获取IP
集体掉线-网络问题
1、有网络设备与NAC的IP地址冲突的情况，通过长ping控制器IP地址，发现ping一会能通，一会 不能通。而且发现NAC的监听端口，也是一会通，一会不通，基本就可以判断了。比如telnet监听 23号端口。可以在NAC直连的核心设备上对NAC的IP地址进行MAC绑定
2、与NAC直连的核心三层有ARP-Guard类似的防护命令、数据包流控等命令，关闭掉
AP激活后离线
AP离线排查 DHCP获取地址异常 用户注销及再次认证
常见原因
1、NAC上AP的授权个数为0，需要开授权 2、AP接在了10M的交换机或集线器上，而AP不支持10M的速率设备，导致AP无法获取IP和通讯
3、检测AP的供电情况，供电不正常，POE供电网线是否线序错乱或缺失
4、内网需要配置有dhcp-option43、DNS、2层广播中的三种方式，让AP自动发现NAC 5、AP无法与NAC之间通信： 1) AP默认没有IP地址，首次使用，内网需要有DHCP服务；或在二层环境下用AP诊断工具
AP激活后离线
AP离线排查 DHCP获取地址异常 用户注销及再次认证
命令行控制台
在【系统维护】—【命令行控制台】下，可以使用ping、udpconnect、tcpconnect等命令测试IP 和端口连通性
远程telnet
Telnet方式登录后与控制台界面上的命令行一致，密码同NAC控制台admin的密码一致
部分掉线-网络环境
4、AP没有配置固定IP，AP重启后没有正常获取到IP地址，或者获取到了错误的IP地址。可以用 AP诊断工具在2层环境下去扫描AP，给AP固定配置IP地址，并配置控制器IP，如果NAC和AP同在 一个2层环境下，可以在NAC的调试选项中，接入点故障分析，来扫描并修改AP的IP地址
AP发现技巧-诊断工具
在AP无法获取IP或者无法发现和连接NAC的情况下，可以通过诊断工具临时给AP配置IP地址与控制 器IP地址，便于AP发现、激活上线
配置类
Contents
1 2 3 4 5 6
控制台与后台调试 AP发现异常
AP激活后离线Baidu Nhomakorabea
AP离线排查 DHCP获取地址异常 用户注销及再次认证