排查無線網連接故障

故障現象

筆者單位無線網絡中，某些無線客戶無法正常上網。該無線網絡采用隧道轉發方式，為了提高連接的安全性，采用了WPA2的安全策略，通過配置802.1X認證，使用安全性較高的AES加密方式，來驗證無線用戶的身份。相關的AC和Radius服務器等設備掛接到匯聚交換機上，AP設備連接到接入交換機上。匯聚交換機連接到路由器上，讓內網用戶可以訪問Internet。這里使用的均為華為的某款AC和AP設備。在使用過程中，有用戶反映無法正常訪問外網。

故障排查

對于以上問題，需要從兩個環節入手：一是AP設備是否正常連接到了AC，二是終端是否可以順利關聯AP。首先檢測AP的狀態，對于AP無法上線的故障，排查方法是先查看AP的狀態，如果處于Fault狀態，說明該AP存在問題，可以更換AP設備來解決。如果AP處于正常狀態，就需要檢查AP是否能夠獲取IP地址，如果不能獲取，就需要檢測DHCP配置情況。當AP已經獲取了IP地址，就需要測試AP和AC是否可以連通。如果存在問題，需要查看兩者之間的網絡配置情況。否則的話，就需要查看AP是否通過了AC認證，如果沒有通過認證，則需要將AC的MAC地址加入到AC的白名單中。

如果AP認證沒有問題，需要查看AP是否超出了AC的連接數，解決方法是申請并加載License。最后需要檢測AP的MAC/SN是否存在重復問題，處理方法是更改AP參數。通過Console口登錄到AC上，在用戶視圖下執行“display ap all”命令，查看AP的連接狀態。在AP列表中發現目標AP并沒有上線，說明該AP工作異常，與之連接的客戶機自然無法上網。對該AP設備進行查看，主要通過觀察AP的表面的指示燈，直觀地查看其工作狀態。不同的AP雖然外觀不同，但是一般都包含無線狀態、鏈路狀態、系統狀態、電源等指示燈。相關指示燈亮起表示開啟對應的功能，閃爍表示數據傳輸或者相關功能啟動，熄滅表示對應功能關閉。這里從該AP的指示燈顯示情況看，其并不存在故障現象。接著檢測該AP是否獲取了IP地址，因為這里的AC設備是作為DHCP服務器使用的，所以在AC上執行“display ip pool name xxx used”命令，顯示地址配置情況，其中的“xxx”為地址池的名稱。在“Network section”欄中顯示地址池的范圍，在AP地址列表中顯示已經獲取IP的設備信息，其中可以看到存在問題AP的MAC地址和對應的IP地址，說明該AP已經獲取了地址。之后在AC上執行“display ap global configuration”命令，顯示當前的認證模式信 息。 在“AP auth-mode”欄中顯示“MAC-auth”字樣，說明當前AP的認證模式為MAC認證。

如果該AP沒有通過認證，自然無法順利上線。 執 行“display ap unauthorized record”命令，查看AP未認證列表。在其 中 的“AP MAC address”欄中果然發現目標AP的MAC地址，說明該AP的沒有通過認證。在AC上執行“system-view”和“wlan”命令，切換到WLAN視圖。執行“ap-mac xxxx-xxxx-xxxx”命令，將該AP添加到認證列表中，其中的“xxxx-xxxxxxxx”為該AP的MAC地址。之后再次執行“display ap all”命令。發現該AP已經正常上線。

當AP的故障排除后，發現客戶端依然無法正常關聯AP，說明問題出在終端到AP的連接環節上。在終端上打開網絡和共享中心窗口，點擊“更改適配器設置”項，先禁用無線網卡設備，之后再將其啟用，發現問題依舊。如果終端周邊存在較強的干擾信號，就會造成WLAN信號質量較差，就可能造成信號差、連接失敗、自動斷線、網絡緩慢等問題。運行inSSIDer這款檢測工具，在SSID列表中的“SIGNAL”列中查看目標AP的干擾情況，發現其WLAN的信號情況良好。

之后在AC上執行“display access-usernum”命令，查看允許連接的最大并發用戶數和在線用戶數量，在和目標AP射頻口相關的“max-usernum”列中顯示允許最大用戶 數，在“online-usernum”列中顯示在線的用戶數，兩者加以比對，說明沒有超過目標AP的最大連接數。執行“display sta-blacklist-Profile all” 和“display stawhitelist-profile all”命令，顯示針對用戶的黑白名單信息，這里均為空白。

接著需要檢測和DOT1X認證相關的配置情況，在AC的WLAN視圖下執行“vap-profilefile name xxx”命令，進入VAP模板配置界面，其中的“xxx”為模板名稱。

執行“display this”命令，查看VAP模板的配置信息。在AC的WLAN視圖下執行“security-profile name xxx”命令，進入安全模板配置界面。執行“display this”命令，查看安全模板配置信息。之后對認證模板配置進行查看，經過比較分析，發現和DOT1X認證的相關配置不存在問題。在AC系統視圖下執行“display dot1x”命 令，查 看 全 局DOT1X認證參數，并沒有發現任何問題。如果終端用戶名和密碼不正確，也不能順利連接。在AC上執行“test-aaa username passwprd radiustemplate xxx”命令，對用戶名和密碼進行檢測，其中的“username”為用戶名，“password”為 密 碼，“xxx”為Radius服務器模板名稱。在返回信息中顯示“Account test succeed”字樣，說明檢測通過。

故障解決

排除了以上問題，就需要在終端上檢測802.1X認證的配置信息了。打開網絡和共享中心窗口，進入無線網絡管理界面，點擊工具欄上的“添加→手動創建網絡配置文件”項，在手動連接到無線網絡窗口中輸入網絡名（即目標AP的 SSID名稱），安全類型（這 里 選 擇“WPA2-企業”）和加密類型（這里選擇“AES”），點擊“下一步”創建該無線連接。打開該無線連接的屬性窗口，在“安全”面板中的“選擇網絡身份驗證方法”列表中選擇“Microsoft受保護的 EAP（PEAP）”項。

點擊“高級設置”按鈕，在打開窗口列表中選擇“安 全 密 碼（EAP-MSCHAP V2）”項，點擊右側的“配置”按鈕，在彈出窗口中不要選擇“自動使用Windows登錄名和密碼（以及域，如果有的話）”項。之后在無線連接面板中點擊該連接項，在彈出的網絡身份驗證窗口中輸入用戶名和密碼，確認后順利連接到了無線網絡中。

經驗總結

總結以上排查過程，問題出在兩個關鍵點上，一個是目標AP沒有啟用MAC認證，另一個是因為客戶端沒有正確配置802.1X認證，才導致故障的發生。