刘景云

随着无线网络的日益普及，越来越多的单位都部署了无线网络。对于无线网络来说，AP、无线路由器、无线控制器等设备是不可或缺的。在实际的使用过程中，可能会遇到很多棘手的问题。例如AP无法连接到无线控制器，客户端无法连接无线网络等。这给实际的网络管理带来了不小的困惑，因此，管理人员就需要结合实际情况，采取不同的策略，灵活的排查故障。下面就从不同的角度，分析常见的故障处理方法。

处理AP无线关联故障

实际的网络环境中，一般会有大量的AP设备部署，AP只有连接到WLC无线控制器，才可以让客户端顺利连接到核心网络。因为AP必须和无线控制器之间建立CAPWAP隧道，才可以转发用户的网络流量。在关联WLC时，可能会因为各种问题，导致无法顺利连接到WLC无线控制器，遇到这种情况，该如何处理呢？其实，有很多原因都会导致AP无法关联无线控制器。这里就以具体的实例，来说明如何排查此类故障。

在本实验环境中，存在名为SW1和SW2两台思科交换机，前者的G1/0/1和后者的Fa0/1通过Trunk连接。无线控制器WLC的Port1和SW2的G0/1通过Trunk连接。一台思科AP设备连接到SW1上的G1/0/2接口上，客户机PC1通过无线网卡连接该AP，管理主机PC1连接到SW2的Fa0/24口。SW2带有路由功能，充当核心交换机的作用，所有的VLAN都配置在该设备上。在SW2上创建VLAN10和VLAN20，其地址范围分别为172.16.1.0/24和172.16.2.0/24。

WLC的Manager Interface（管理口）的IP为172.16.1.100，Guanli-PC的IP为172.16.1.11，其都从属于VLAN10。AP连接的G1/0/2从属于VLAN20，VLAN10主要用于管理所需。AP被划分到VLAN20，AP可以通过DHCP获取所需的IP，AP通过CAPWAP隧道注册到WLC。AP是跨网段进行注册的，需要为其指定WLC的位置。VLAN10和VLAN20的SVI接口均位于SW2上。在SW2上执行“config/t”命令，进入全局配置模式。执行“ip/routing”命令，开启路由功能，让不同的VLAN可以互访。

端口设置异常，导致 AP关联错误

在AP关联无线控制器时，如果AP无法获取地址，自然无法连接到AP，在WLC上甚至都无法看到相关的报错信息。如果在AP和WLC之间存在一些中间设备（例如防火墙等），其对AP连接的UDP 5246/5247等端口没有放行，也会造成AP无法关联。

因为UDP5246是CAPWAP的控制层面端口，UDP5247是数据层面端口，当AP没有正常获取WLC地址，WLC的License存在问题，AP和WLC的时间存在差异，WLC利用MAC授权机制对AP进行了过滤，AP的证书和WLC的Auth-list控制策略存在冲突，WLC的国家代码有误，WLC的版本不符合AP的要求，不同厂商之间的产品不兼容等问题，都会造成AP无法顺利关联到WLC。

设置合适的国家代码

在AP中必须设置合适的国家代码，才可以使其射频广播频率、接口、频段以及发射功能符合特定国家的规定。国家代码不匹配，如使用的是其他国家的WLC，在AP上设置的国家代码却是CN等，AP就无法进行关联。例如在AP上标识“AIR-CAP3702I-H-K9”等字样，说明其国家代码应为CN。

如果国家代码有误，在WLC工具栏上点击“MANAGEMENT”项，在左侧选择“Logs”-“Message logs”项，在右侧会显示“The system detects an Invalid regolatory domain”“The system detects an Invalid country code”之类的信息。在WLC管理界面中是无法直接修改国家代码的，必须在工具栏上点击“WIRELESS”项，在左侧选择“802.11a/n/ac”-“Network”项，在右侧的“802.11a Network Status”栏中取消“Enabled”項的选择。

在左侧选择“802.11b/g/n”-“Network”项，在右侧的“802.11b/g Network Status”栏中取消“Enabled”项的选择状态，关闭5Gha和2.4GHz射频功能。之后在左侧选择“Country”项，在右侧列表中选择合适的国家代码（图1），之后打开5Gha和2.4GHz射频功能。

配置DNS，让AP顺畅关联WLC

这里为了便于说明，使用一台Windows Server 2008 Server作为DNS和DHCP服务器。其IP为172.16.1.20。在SW1上执行“config t”“inter vlan 20”“ip helper-address 172.16.1.20”“end”命令，将IP请求信息发送到该服务器上，在该服务器上打开DHCP控制台，在其中创建一个作用域，范围从172.16.2.100到20.10.1.200，为AP分配IP。

在其作用域选项中创建了003路由器（IP为172.16.2.254）、043供应商特定信息（为WLC地址，其格式比较特殊，默认必须以“f1”开头，例如“f104xxx”，表示IP地址为4个字节，“xxx”为WLC的十六进制地址）、015 DNS域名（例如“xxx.com”）、006 DNS服务器（IP为172.16.1.20），在DNS控制台选择“正向查找区域”-“xxx.com”项，在其右键菜单上点击“新建主机”项，输入合适的名称（例如“capwap-lookup”），对应的IP为172.16.1.100，点击确定按钮，创建该纪录。这样，使用该DNS纪录，就可以定位WLC。这样，当AP启动时，就会通过直连广播、DHCP服务以及DNS服务来定位WLC，只要其中任何一种成功，都可以让AP找到WLC。如果AP和WLC之间既不是直连，又没有配置DHCP Option 43选项和DNS纪录（或者配置有误，例如写错了WLC的地址等），那么AP是无法关联到WLC的，其只会通过不断地重启来尝试关联。

对该AP设备进行查看，主要通过观察AP的表面的指示灯，直观地查看其工作状态。不同的AP虽然外观不同，但是一般都包含無线状态、链路状态、系统状态、电源等指示灯。相关指示灯亮起表示开启对应的功能，闪烁表示数据传输或者相关功能启动，熄灭表示对应功能关闭。例如对无线状态指示灯来说，其绿色常亮表示射频单元开启，闪烁表示正在传输数据，熄灭表示射频单元关闭。

对于链路指示灯来说，其绿色常亮表示以太网连接已经建立，闪烁表示以太网正在传输数据，熄灭表示以太网链路没有连接或者已经关闭。对于电源指示灯来说，绿色常亮表示设备正常工作，熄灭表示断电或者出现故障，启动阶段慢闪烁（2次/秒）表示系统自检或者载入软件程序，运行阶段快闪烁（4次/秒）表示运行出现异常等。这里从该AP的指示灯显示情况看，其并不存在故障现象。

接着检测该AP是否获取了IP地址，因为这里的AC设备是作为DHCP服务器使用的，所以在AC上执行“display ip pool name xxx used”命令，显示地址非配情况，其中的“xxx”为地址池的名称。在“Network section”栏中显示地址池的范围，在AP地址列表中显示已经获取IP的设备信息，其中可以看到存在问题的AP的MAC地址和对应的IP地址，说明该AP已经获取了地址。

之后在AC上执行“display ap global configuration”命令，显示当前的认证模式信息。在“AP auth-mode”栏中显示“MAC-auth”字样，说明当前AP的认证模式为MAC认证。如果该AP没有通过认证，自然无法顺利上线。执行“display ap unauthorized record”命令，查看AP未认证列表。在其中的“AP MAC address”栏中果然发现目标AP的MAC地址，说明该AP的确没有通过认证。在AC上执行“system-view”和“wlan”命令，切换到WLAN视图。执行“ap-mac xxxx-xxxx-xxxx”命令，将该AP添加到认证列表中，其中的“xxxx-xxxx-xxxx”为该AP的MAC地址。之后再次执行“display ap all”命令，发现该AP已经正常上线了。

让客户端顺利访问无线网络

当AP的故障排除后，发现客户端依然无法正常关联AP，说明问题出在终端到AP的连接环节上。在终端上打开网络和共享中心窗口，点击“更改适配器设置”项，先禁用无线网卡设备，之后再将其启用，发现问题依旧。如果终端周边存在较强的干扰信号，就会造成WLAN信号质量较差，就可能造成连接失败、自动断线、网络缓慢等问题。运行inSSIDer这款检测工具，在SSID列表中的“SIGNAL”列中查看目标AP的干扰情况，发现其WLAN的信号情况良好。

之后在AC上执行“display access-user-num”命令，查看允许连接的最大并发用户数和在线用户数量，在和目标AP射频口相关的“max-user-num”列中显示允许最大用户数，在“online-user-num”列中显示在线的用户数，两者加以比对，说明没有超过目标AP的最大连接数。执行“display sta-blacklist-Profile all”和“display sta-whitelist-profile all”命令，显示针对用户的黑白名单信息，这里均为空白。接着需要检测和Dot1X认证相关的配置情况，在AC的WLAN视图下执行“vap-profilefile name xxx”命令，进入VAP模板配置界面，其中的“xxx”为模板名称。

执行“display this”命令，查看VAP模板的配置信息。在AC的WLAN视图下执行“security-profile name xxx”命令，进入安全模板配置界面。执行“display this”命令，查看安全模板配置信息。之后对认证模板配置进行查看，经过比较分析，发现和DOT1X认证的相关配置不存在问题。在AC系统视图下执行“display dot1x”命令，查看全局DOT1X认证参数，并没有发现任何问题。如果终端用户名和密码不正确，也不能顺利连接。在AC上执行“test-aaa username passwOrd radius-template xxx”命令，对用户名和密码进行检测，其中的“username”为用户名，“password”为密码，“xxx”为Radius服务器模板名称。在返回信息中显示“Account test succeed”字样，说明检测通过。

排除了以上问题，就需要在终端上检测802.1X认证的配置信息了。打开网络和共享中心窗口，进入无线网络管理界面，点击工具栏上的“添加”→“手动创建网络配置文件”项，在手动连接到无线网络窗口中输入网络名（即目标AP的SSID名称）、安全类型（这里选择“WPA2-企业”）和加密类型（这里选择“AES”），点击下一步按钮创建该无线连接。打开该无线连接的属性窗口，在“安全”面板中的“选择网络身份验证方法”列表中选择“Microsoft受保护的EAP（PEAP）”项。

点击“高级设置”按钮，在打开窗口中列表中选择“安全密码（EAP-MSCHAP V2）”项，点击其右侧的“配置”按钮，在弹出窗口中不要选择“自动使用Windows登录名和密码”项。之后在无线连接面板中点击该连接项，在弹出的网络身份验证窗口中输入用户名和密码，确认后终于顺利连接到了无线网络中。总结以上排查过程，发现问题出现两个关键点上，一个是目标AP没有启用MAC认证，另一个是因为客户端没有正确的配置802.1X认证，才导致以上故障情况的发生。