2017年度信锐课堂高级认证课程二01_FAQ与无线故障排查

初级课程课时三实验1. 实验目的掌握认证授权的方式：账号认证、免用户认证、临时访客认证了解角色授权，利用角色授权做访问控制等策略。

了解营销SSID的创建和营销策略的配置。

2. 实验拓扑首先确保控制器能够ping通外网，终端连上无线网络后能够正常上网。

3.认证实验3.1账号认证1、新增一个无线网络，选择开放式+WEB认证类型，选择账号认证的方式，认证前角色调用只允许DNS的角色，账号认证选择本地用户（本地用户中需要有用户信息），认证后角色设置为默认角色。

2、用户接入SSID，匹配认证前角色，只允许DNS，AP把接入信息转发给NAC。

3、NAC给用户登录web页面重定向到portal认证页面4、用户输入用户名密码，并把信息转发到NAC5、NAC验证用户信息，认证通过，匹配认证后角色，允许用户上网。

3.2 访客认证在部署用于访客使用的无线网络时，为了简化用户体验，通常设置为开放式的无线网络。

但单纯的开放式的无线网络，存在无法验证访客身份的问题，因此通常需要设置认证方式。

此方式主要部署在公众访问的无线网络中，例如部署在机场，交通枢纽，医院，酒店，商场，学校等地方。

3.3 免用户认证免用户认证是指访问无线网络时，访客无需认证，在广告页面点击登录按钮即可上网。

1、新建SSID，选择开放式+WEB认证，认证前角色为只允许DNS的角色，认证后角色为默认角色。

2、访客连接到SSID，打开浏览器，访问任意网站，系统将把用户的浏览器重定向到认证页面。

3、认证页面中，用户点击登录，直接上网。

3.4临时访客认证此方式通常用于企业、酒店的访客无线网络认证，可以在访客登记后，接待人员创建一个临时帐号，并设置帐号的有效期。

访客使用此帐号完成无线网络认证。

1、网络管理员在访客管理系统中，为此顾客添加一个临时帐号，以手机号或者身份证号码作为帐号的用户名，密码为手机号码或身份证号码的后6位。

帐号的有效时间设置为顾客的离店时间。

2、顾客连接到开放式的无线网络，打开浏览器，访问任意网站，系统将把浏览器重定向到认证页面。

锐捷网络认证客户端使用过程常见故障处理汇总作者：网络中心文章来源：网络中心更新时间：2010-3-271、现象：认证失败，没有任何错误提示原因：WinXP操作系统用户启用了系统自带的802.1X认证解决方法：双击网络连接图标，把属性里面的身份验证标签下“启用802.1X身份认证”前的勾去掉。

2、现象：客户端一运行即消失原因：设置多个DNS（二个以上）或者多个IP。

系统里有system32.exe这个进程，可能是木马进程序，有可能伪装成其它的名字。

解决方法：正确设置IP（网管中心提供的IP地址）和DNS（二个以内）。

检测系统中的非法进程，注意个人电脑防护。

3、现象：客户端提示“找不到合适的网卡”原因：系统没有正确获得网卡信息，或者网卡有问题；解决方法：退出并重新打开客户端，如果问题依旧存在，请将网卡驱动程序卸载重装，如果还是不能解决问题，更换一张网卡；4、现象：客户端提示“目前系统工作环境与软件运行环境相冲突,软件不能正常运行CODE ＝ffice:smarttags" />2”原因：安装了多块网卡，和SAM要求的不符合；（虚拟机或某些摄像头驱动会被认为是网卡，需禁用）解决方法：卸载或者禁用多余网卡，只保留一张网卡运行（如果是win98系统，禁用拨号适配器）；5、现象：“目前系统工作环境与软件运行环境相冲突,软件不能正常运行CODE＝4”原因：安装了代理服务器，和SAM要求的不符合；（虚拟机会被认为是代理，需禁用）解决方法：关闭或卸载代理服务器以及一切可能成为代理服务器的软件；6、现象：认证失败，提示“已达到最大连接数”原因：使用的帐号已在线，可能使用了别人的帐号，或者帐号输入错误解决方法：确认自己帐号正确性，如果确属自己帐号，则告知相关请有效证件，要求网管中心将其帐号下线。

7、现象：认证失败，提示“IP类型错误”原因：系统没有获得你的IP地址信息解决方法：在本地连接属性里面正确填写IP地址，如果还是不能解决，请将网卡驱动程序卸载重装一次。

SUNDRAY无线测试/实施指导手册（Ver1.2）2015年05月第1章网络环境确认 (4)1.1.环境确认表《环境确认表》 (4)1.2.工堪需求确认 (4)第2章测试/实施前准备工作 (5)2.1.若自带产品，需先走设备自检流程 (5)2.1.1.硬件检查 (5)2.1.2.软件检查 (5)2.1.3.稳定性检查 (6)2.1.4.测试内容检查 (6)2.1.5.异常情况处理 (6)2.1.6.测试前需要给设备打上最新补丁包 (6)2.2.通过电话与用户沟通，获取用户信息和预约上门安装时间 (7)2.2.1.获取用户的详细资料 (7)2.2.2.获取用户的网络环境 (7)2.2.3.建议获取其他厂商在用户环境中的测试情况 (7)2.2.4.约定上门的时间 (7)第3章整理安装实施所需要的资料 (8)3.1.实施方案和验收文档 (8)第4章主要部署模式基本配置规范 (9)4.1.目的 (9)4.2.交换模式部署规范 (9)4.2.1.三层交换部署规范 (9)4.2.2.网络拓扑 (9)4.2.3.二层交换单网段部署规范 (11)4.3.单臂模式部署基本配置规范 (12)4.3.1.三层单臂部署规范 (12)4.3.2.二层单臂模式基本配置规范 (13)第5章WAC安装部署规范 (16)5.1.上架前准备 (16)5.2.设备安装 (17)5.3.设备安装检查 (17)第6章AP安装部署规范 (19)6.1.按照工堪指导手册标准安装AP (19)6.2.AP-260室内安装手册 (19)6.3.AP-260接入点部署指南 (19)6.4.AP部署勘测规范 (19)第7章现场无线测试规范 (20)第8章紧急事件处理规范 (21)第9章测试/实施完成后扫尾规范 (22)第10章常见问题处理 (23)10.1.AP不能自动发现WAC，分析原因 (23)10.2.AP自动发现WAC后，在WAC上激活后，AP一直不在线。

目录第1章无线FAQ与故障分析_对外版本 (2)1.1. 控制台与后台调试 (2)1.1.1. WEBui方式登录WAC控制台 (2)1.1.2. Telnet方式登录WAC和AP (2)1.1.3. 利用AP诊断工具（troubleshoot.exe）登录设备 (3)1.1.4. 串口登录AP (4)1.2. AP不能自动发现WAC (4)1.3. AP发现WAC后，激活AP不在线 (7)1.4. AP掉线排查 (8)1.4.1. 集体掉线排查 (8)1.4.2. 个别掉线 (10)1.5. 终端获取不到IP地址 (11)1.6. 无法连接上网络 (12)1.7. 连上网络无法上网 (14)1.8. 终端容易掉线 (15)1.9. 认证页面弹出与跳转 (15)1.10. 认证后页面跳转不出 (17)1.11. 关于注销和再认证 (17)1.11.1. 主动注销 (17)1.11.2. 被动注销 (18)1.11.3. 二（再）次认证： (19)1.11.4. 各种认证方式详解： (20)1.12. WEBui相关 (23)第2章无线优化 (25)第1章无线FAQ与故障分析_对外版本————20140812 1.1.控制台与后台调试1.1.1.WEBui方式登录WAC控制台可以使用ping、udpconnect、tcpconnect等命令测试IP和UDP以及TCP端口联通性。

1.1.2.Telnet方式登录WAC和AP开启ssh与telnet方式登录设备，其中telnet的密码为WAC控制台管理员的联动密码。

注意：ssh方式登录后台仅提供给厂家工程师维护使用，渠道与客户后台调试设备仅开放telnet权限，当控制台上关闭ssh功能时，厂家工程师也无法登录后台。

1.1.3.利用AP诊断工具（troubleshoot.exe）登录设备在笔记本上采用该工具时，需要确保AP与笔记本处于同网段的一个广播域环境中，登录密码是WAC 的控制器密码，默认admin。

深信服_⽆线常见问题排查专题_持续更新⽆线常见问题排查1、AP不能⾃动发现WAC，分析原因答案：（1）先分析AP采⽤4种⽅法的哪⼀种⾃动发现⽅式1、采⽤⼴播⽅式时，AP和WAC是否同时处于⼀个⼴播域中，是否被3层⼝隔离；2、采⽤DNS⽅式时（HOSTS），DNS服务器是否可以正常做DNS解析或DNS代理,PC⽤nslookup – dnsip测试⼀下；3、采⽤DHCPoption43的时候，是否配置正确，AP是否可以获取到该选项字段，抓包分析（2）WAC上AP的授权数为0（3）AP⾃动获取到的IP或提前激活配置的IP地址在⽹络中不通，与WAC的IP 不能互相通信，⽐如AP⾃动获取IP时，获取到了⽹络中私接的路由器设备或AP提前激活时配置了错误的⽹关和IP（4）AP到WAC的udp-7777端⼝号不通，端⼝测试⼯具可以参考：http://200.200.0.20:5/dedecms/plus/view.php?aid=3692（5）在AP和WAC上抓包分析，串⼝或pshell登录AP的eth0⼝上直接抓包，确保AP有发出udp,7777的⼴播包；在WAC物理⼝上抓包时，都需要镜像到pcapif1或pcapif2⼝上抓包；在虚拟3层⼝时可以直接抓包，确保WAC有收到7777的⼴播报⽂。

2、AP⾃动发现WAC后，在WAC上激活后，AP⼀直不在线。

答案：（1）AP到WAC的TCP：7070控制端⼝与UDP：7077数据端⼝不通，还有AP到WAC的TCP：800端⼝不通（2）AP版本⽐WAC版本低时，AP仍然可以在WAC上激活，激活后，AP会⾃动从WAC上wget⽅式下载IMG镜像升级包升级，采⽤TCP800端⼝下载，升级包约8-10M 左右，当⽹速慢，或端⼝不通时，AP会升级慢或升级不成功，导致AP⼀直不在线状态。

⼀般AP版本和WAC版本不⼀致时，建议放在2层环境下，提前激活并保证AP在线后，再把AP放到各个不同的地理位置。

无线排障（一）本帖最后由 adds 于 2017-11-4 15:03 编辑AP型号：AP-260客户需求：将一个AP以普通路由的形式部署在办公室。

AP-260图片（没有在现场拍，从网上荡了一个，AP上的Logo 是Sangfor）：一、尝试使用“AP诊断工具”给AP配置IP地址在给AP刷胖AP升级包时，首先要知道AP的地址。

大多数情况下，我们使用troubleshoot.exe工具进行配置。

1、运行troubleshoot.exe工具，选择自己电脑的本地网卡，点击绿色按钮进行AP发现。

结果：没有发现任何AP。

排查：（1）确认网线通信情况。

电脑连接交换机，配置可上网地址，上网正常。

（2）电源没有问题。

使用该电源接其他AP工作正常。

（3）重置AP。

长按AP的reset键大概10秒，当网口两侧的状态灯同时熄灭时，松开reset键，等待设备重启。

重启后再使用troubleshoot工具进行AP发现，依旧搜索不到。

2、解决AP无法被发现的问题当电脑直连AP也无法配置的时候，我怀疑是AP有了问题，于是求助400。

说明下：只有是AC（某公司上网行为管理）控制的AP出了问题，联系400-630-6430；其他的场景下，不论AP上的Logo是Sangfor 还是Sundray，都是联系400-878-3389。

诊断结果：该AP版本为1.5，而1.5的版本的AP是不能被AP诊断工具发现的。

只有1.8及以上的版本才能被发现。

二、AP升级1、NAC恢复密码对AP进行升级操作，需要使用NAC，现在有一台不知道密码的NAC-6100。

优先尝试各种常见密码，当尝试不出来时，使用U盘进行密码恢复。

NAC使用U盘恢复密码成功率很高，基本一次搞定。

建议某公司的AC等产品线学习下。

2、NAC配置因为AP无法进行配置，所以需要在NAC上配置DHCP，这样，AP就可以获取到地址，进而发现NAC。

AP发现NAC的端口为TCP 7777。

高级课程课时一实验
1、实验一
1.1实验背景
销售同事从我们办事处所在的办公楼管理处得知，办公楼需要做无线全覆盖，已经和管理处的经理沟通过，今天下午2点，由我们的工程师对大楼做一次无线AP点位工勘。

1.2实验内容
1、和办公楼管理处的经理沟通，确定哪些位置为重点覆盖区域；
2、预估终端接入数量，确定覆盖方式、主要的无线上网流量类型和无线出口带宽大小；
3、查看现场的物理环境和干扰情况，使用INSSIDer软件或者福禄克等专业工具，查看现场的无线和非无线干扰情况；
4、根据图纸，标记设计的AP点位，并使用自带的AP，实地测试AP的信号强度；
5、确定所需AP、交换机等设备的数量，规划弱电走线
6、向客户输出工勘报告（报告模板见附件）
XXXX无线工勘报告
点位清单.xlsx
.docx。