劉景云

隨著無線網(wǎng)絡(luò)的日益普及，越來越多的單位都部署了無線網(wǎng)絡(luò)。對于無線網(wǎng)絡(luò)來說，AP、無線路由器、無線控制器等設(shè)備是不可或缺的。在實際的使用過程中，可能會遇到很多棘手的問題。例如AP無法連接到無線控制器，客戶端無法連接無線網(wǎng)絡(luò)等。這給實際的網(wǎng)絡(luò)管理帶來了不小的困惑，因此，管理人員就需要結(jié)合實際情況，采取不同的策略，靈活的排查故障。下面就從不同的角度，分析常見的故障處理方法。

處理AP無線關(guān)聯(lián)故障

實際的網(wǎng)絡(luò)環(huán)境中，一般會有大量的AP設(shè)備部署，AP只有連接到WLC無線控制器，才可以讓客戶端順利連接到核心網(wǎng)絡(luò)。因為AP必須和無線控制器之間建立CAPWAP隧道，才可以轉(zhuǎn)發(fā)用戶的網(wǎng)絡(luò)流量。在關(guān)聯(lián)WLC時，可能會因為各種問題，導(dǎo)致無法順利連接到WLC無線控制器，遇到這種情況，該如何處理呢？其實，有很多原因都會導(dǎo)致AP無法關(guān)聯(lián)無線控制器。這里就以具體的實例，來說明如何排查此類故障。

在本實驗環(huán)境中，存在名為SW1和SW2兩臺思科交換機，前者的G1/0/1和后者的Fa0/1通過Trunk連接。無線控制器WLC的Port1和SW2的G0/1通過Trunk連接。一臺思科AP設(shè)備連接到SW1上的G1/0/2接口上，客戶機PC1通過無線網(wǎng)卡連接該AP，管理主機PC1連接到SW2的Fa0/24口。SW2帶有路由功能，充當(dāng)核心交換機的作用，所有的VLAN都配置在該設(shè)備上。在SW2上創(chuàng)建VLAN10和VLAN20，其地址范圍分別為172.16.1.0/24和172.16.2.0/24。

WLC的Manager Interface（管理口）的IP為172.16.1.100，Guanli-PC的IP為172.16.1.11，其都從屬于VLAN10。AP連接的G1/0/2從屬于VLAN20，VLAN10主要用于管理所需。AP被劃分到VLAN20，AP可以通過DHCP獲取所需的IP，AP通過CAPWAP隧道注冊到WLC。AP是跨網(wǎng)段進行注冊的，需要為其指定WLC的位置。VLAN10和VLAN20的SVI接口均位于SW2上。在SW2上執(zhí)行“config/t”命令，進入全局配置模式。執(zhí)行“ip/routing”命令，開啟路由功能，讓不同的VLAN可以互訪。

端口設(shè)置異常，導(dǎo)致 AP關(guān)聯(lián)錯誤

在AP關(guān)聯(lián)無線控制器時，如果AP無法獲取地址，自然無法連接到AP，在WLC上甚至都無法看到相關(guān)的報錯信息。如果在AP和WLC之間存在一些中間設(shè)備（例如防火墻等），其對AP連接的UDP 5246/5247等端口沒有放行，也會造成AP無法關(guān)聯(lián)。

因為UDP5246是CAPWAP的控制層面端口，UDP5247是數(shù)據(jù)層面端口，當(dāng)AP沒有正常獲取WLC地址，WLC的License存在問題，AP和WLC的時間存在差異，WLC利用MAC授權(quán)機制對AP進行了過濾，AP的證書和WLC的Auth-list控制策略存在沖突，WLC的國家代碼有誤，WLC的版本不符合AP的要求，不同廠商之間的產(chǎn)品不兼容等問題，都會造成AP無法順利關(guān)聯(lián)到WLC。

設(shè)置合適的國家代碼

在AP中必須設(shè)置合適的國家代碼，才可以使其射頻廣播頻率、接口、頻段以及發(fā)射功能符合特定國家的規(guī)定。國家代碼不匹配，如使用的是其他國家的WLC，在AP上設(shè)置的國家代碼卻是CN等，AP就無法進行關(guān)聯(lián)。例如在AP上標(biāo)識“AIR-CAP3702I-H-K9”等字樣，說明其國家代碼應(yīng)為CN。

如果國家代碼有誤，在WLC工具欄上點擊“MANAGEMENT”項，在左側(cè)選擇“Logs”-“Message logs”項，在右側(cè)會顯示“The system detects an Invalid regolatory domain”“The system detects an Invalid country code”之類的信息。在WLC管理界面中是無法直接修改國家代碼的，必須在工具欄上點擊“WIRELESS”項，在左側(cè)選擇“802.11a/n/ac”-“Network”項，在右側(cè)的“802.11a Network Status”欄中取消“Enabled”項的選擇。

在左側(cè)選擇“802.11b/g/n”-“Network”項，在右側(cè)的“802.11b/g Network Status”欄中取消“Enabled”項的選擇狀態(tài)，關(guān)閉5Gha和2.4GHz射頻功能。之后在左側(cè)選擇“Country”項，在右側(cè)列表中選擇合適的國家代碼（圖1），之后打開5Gha和2.4GHz射頻功能。

配置DNS，讓AP順暢關(guān)聯(lián)WLC

這里為了便于說明，使用一臺Windows Server 2008 Server作為DNS和DHCP服務(wù)器。其IP為172.16.1.20。在SW1上執(zhí)行“config t”“inter vlan 20”“ip helper-address 172.16.1.20”“end”命令，將IP請求信息發(fā)送到該服務(wù)器上，在該服務(wù)器上打開DHCP控制臺，在其中創(chuàng)建一個作用域，范圍從172.16.2.100到20.10.1.200，為AP分配IP。

在其作用域選項中創(chuàng)建了003路由器（IP為172.16.2.254）、043供應(yīng)商特定信息（為WLC地址，其格式比較特殊，默認(rèn)必須以“f1”開頭，例如“f104xxx”，表示IP地址為4個字節(jié)，“xxx”為WLC的十六進制地址）、015 DNS域名（例如“xxx.com”）、006 DNS服務(wù)器（IP為172.16.1.20），在DNS控制臺選擇“正向查找區(qū)域”-“xxx.com”項，在其右鍵菜單上點擊“新建主機”項，輸入合適的名稱（例如“capwap-lookup”），對應(yīng)的IP為172.16.1.100，點擊確定按鈕，創(chuàng)建該紀(jì)錄。這樣，使用該DNS紀(jì)錄，就可以定位WLC。這樣，當(dāng)AP啟動時，就會通過直連廣播、DHCP服務(wù)以及DNS服務(wù)來定位WLC，只要其中任何一種成功，都可以讓AP找到WLC。如果AP和WLC之間既不是直連，又沒有配置DHCP Option 43選項和DNS紀(jì)錄（或者配置有誤，例如寫錯了WLC的地址等），那么AP是無法關(guān)聯(lián)到WLC的，其只會通過不斷地重啟來嘗試關(guān)聯(lián)。

對該AP設(shè)備進行查看，主要通過觀察AP的表面的指示燈，直觀地查看其工作狀態(tài)。不同的AP雖然外觀不同，但是一般都包含無線狀態(tài)、鏈路狀態(tài)、系統(tǒng)狀態(tài)、電源等指示燈。相關(guān)指示燈亮起表示開啟對應(yīng)的功能，閃爍表示數(shù)據(jù)傳輸或者相關(guān)功能啟動，熄滅表示對應(yīng)功能關(guān)閉。例如對無線狀態(tài)指示燈來說，其綠色常亮表示射頻單元開啟，閃爍表示正在傳輸數(shù)據(jù)，熄滅表示射頻單元關(guān)閉。

對于鏈路指示燈來說，其綠色常亮表示以太網(wǎng)連接已經(jīng)建立，閃爍表示以太網(wǎng)正在傳輸數(shù)據(jù)，熄滅表示以太網(wǎng)鏈路沒有連接或者已經(jīng)關(guān)閉。對于電源指示燈來說，綠色常亮表示設(shè)備正常工作，熄滅表示斷電或者出現(xiàn)故障，啟動階段慢閃爍（2次/秒）表示系統(tǒng)自檢或者載入軟件程序，運行階段快閃爍（4次/秒）表示運行出現(xiàn)異常等。這里從該AP的指示燈顯示情況看，其并不存在故障現(xiàn)象。

接著檢測該AP是否獲取了IP地址，因為這里的AC設(shè)備是作為DHCP服務(wù)器使用的，所以在AC上執(zhí)行“display ip pool name xxx used”命令，顯示地址非配情況，其中的“xxx”為地址池的名稱。在“Network section”欄中顯示地址池的范圍，在AP地址列表中顯示已經(jīng)獲取IP的設(shè)備信息，其中可以看到存在問題的AP的MAC地址和對應(yīng)的IP地址，說明該AP已經(jīng)獲取了地址。

之后在AC上執(zhí)行“display ap global configuration”命令，顯示當(dāng)前的認(rèn)證模式信息。在“AP auth-mode”欄中顯示“MAC-auth”字樣，說明當(dāng)前AP的認(rèn)證模式為MAC認(rèn)證。如果該AP沒有通過認(rèn)證，自然無法順利上線。執(zhí)行“display ap unauthorized record”命令，查看AP未認(rèn)證列表。在其中的“AP MAC address”欄中果然發(fā)現(xiàn)目標(biāo)AP的MAC地址，說明該AP的確沒有通過認(rèn)證。在AC上執(zhí)行“system-view”和“wlan”命令，切換到WLAN視圖。執(zhí)行“ap-mac xxxx-xxxx-xxxx”命令，將該AP添加到認(rèn)證列表中，其中的“xxxx-xxxx-xxxx”為該AP的MAC地址。之后再次執(zhí)行“display ap all”命令，發(fā)現(xiàn)該AP已經(jīng)正常上線了。

讓客戶端順利訪問無線網(wǎng)絡(luò)

當(dāng)AP的故障排除后，發(fā)現(xiàn)客戶端依然無法正常關(guān)聯(lián)AP，說明問題出在終端到AP的連接環(huán)節(jié)上。在終端上打開網(wǎng)絡(luò)和共享中心窗口，點擊“更改適配器設(shè)置”項，先禁用無線網(wǎng)卡設(shè)備，之后再將其啟用，發(fā)現(xiàn)問題依舊。如果終端周邊存在較強的干擾信號，就會造成WLAN信號質(zhì)量較差，就可能造成連接失敗、自動斷線、網(wǎng)絡(luò)緩慢等問題。運行inSSIDer這款檢測工具，在SSID列表中的“SIGNAL”列中查看目標(biāo)AP的干擾情況，發(fā)現(xiàn)其WLAN的信號情況良好。

之后在AC上執(zhí)行“display access-user-num”命令，查看允許連接的最大并發(fā)用戶數(shù)和在線用戶數(shù)量，在和目標(biāo)AP射頻口相關(guān)的“max-user-num”列中顯示允許最大用戶數(shù)，在“online-user-num”列中顯示在線的用戶數(shù)，兩者加以比對，說明沒有超過目標(biāo)AP的最大連接數(shù)。執(zhí)行“display sta-blacklist-Profile all”和“display sta-whitelist-profile all”命令，顯示針對用戶的黑白名單信息，這里均為空白。接著需要檢測和Dot1X認(rèn)證相關(guān)的配置情況，在AC的WLAN視圖下執(zhí)行“vap-profilefile name xxx”命令，進入VAP模板配置界面，其中的“xxx”為模板名稱。

執(zhí)行“display this”命令，查看VAP模板的配置信息。在AC的WLAN視圖下執(zhí)行“security-profile name xxx”命令，進入安全模板配置界面。執(zhí)行“display this”命令，查看安全模板配置信息。之后對認(rèn)證模板配置進行查看，經(jīng)過比較分析，發(fā)現(xiàn)和DOT1X認(rèn)證的相關(guān)配置不存在問題。在AC系統(tǒng)視圖下執(zhí)行“display dot1x”命令，查看全局DOT1X認(rèn)證參數(shù)，并沒有發(fā)現(xiàn)任何問題。如果終端用戶名和密碼不正確，也不能順利連接。在AC上執(zhí)行“test-aaa username passwOrd radius-template xxx”命令，對用戶名和密碼進行檢測，其中的“username”為用戶名，“password”為密碼，“xxx”為Radius服務(wù)器模板名稱。在返回信息中顯示“Account test succeed”字樣，說明檢測通過。

排除了以上問題，就需要在終端上檢測802.1X認(rèn)證的配置信息了。打開網(wǎng)絡(luò)和共享中心窗口，進入無線網(wǎng)絡(luò)管理界面，點擊工具欄上的“添加”→“手動創(chuàng)建網(wǎng)絡(luò)配置文件”項，在手動連接到無線網(wǎng)絡(luò)窗口中輸入網(wǎng)絡(luò)名（即目標(biāo)AP的SSID名稱）、安全類型（這里選擇“WPA2-企業(yè)”）和加密類型（這里選擇“AES”），點擊下一步按鈕創(chuàng)建該無線連接。打開該無線連接的屬性窗口，在“安全”面板中的“選擇網(wǎng)絡(luò)身份驗證方法”列表中選擇“Microsoft受保護的EAP（PEAP）”項。

點擊“高級設(shè)置”按鈕，在打開窗口中列表中選擇“安全密碼（EAP-MSCHAP V2）”項，點擊其右側(cè)的“配置”按鈕，在彈出窗口中不要選擇“自動使用Windows登錄名和密碼”項。之后在無線連接面板中點擊該連接項，在彈出的網(wǎng)絡(luò)身份驗證窗口中輸入用戶名和密碼，確認(rèn)后終于順利連接到了無線網(wǎng)絡(luò)中?？偨Y(jié)以上排查過程，發(fā)現(xiàn)問題出現(xiàn)兩個關(guān)鍵點上，一個是目標(biāo)AP沒有啟用MAC認(rèn)證，另一個是因為客戶端沒有正確的配置802.1X認(rèn)證，才導(dǎo)致以上故障情況的發(fā)生。