輕松排錯，讓無線網絡順暢運行

劉景云

隨著無線網絡的日益普及，越來越多的單位都部署了無線網絡。對于無線網絡來說，AP、無線路由器、無線控制器等設備是不可或缺的。在實際的使用過程中，可能會遇到很多棘手的問題。例如AP無法連接到無線控制器，客戶端無法連接無線網絡等。這給實際的網絡管理帶來了不小的困惑，因此，管理人員就需要結合實際情況，采取不同的策略，靈活的排查故障。下面就從不同的角度，分析常見的故障處理方法。

處理AP無線關聯故障

實際的網絡環境中，一般會有大量的AP設備部署，AP只有連接到WLC無線控制器，才可以讓客戶端順利連接到核心網絡。因為AP必須和無線控制器之間建立CAPWAP隧道，才可以轉發用戶的網絡流量。在關聯WLC時，可能會因為各種問題，導致無法順利連接到WLC無線控制器，遇到這種情況，該如何處理呢？其實，有很多原因都會導致AP無法關聯無線控制器。這里就以具體的實例，來說明如何排查此類故障。

在本實驗環境中，存在名為SW1和SW2兩臺思科交換機，前者的G1/0/1和后者的Fa0/1通過Trunk連接。無線控制器WLC的Port1和SW2的G0/1通過Trunk連接。一臺思科AP設備連接到SW1上的G1/0/2接口上，客戶機PC1通過無線網卡連接該AP，管理主機PC1連接到SW2的Fa0/24口。SW2帶有路由功能，充當核心交換機的作用，所有的VLAN都配置在該設備上。在SW2上創建VLAN10和VLAN20，其地址范圍分別為172.16.1.0/24和172.16.2.0/24。

WLC的Manager Interface（管理口）的IP為172.16.1.100，Guanli-PC的IP為172.16.1.11，其都從屬于VLAN10。AP連接的G1/0/2從屬于VLAN20，VLAN10主要用于管理所需。AP被劃分到VLAN20，AP可以通過DHCP獲取所需的IP，AP通過CAPWAP隧道注冊到WLC。AP是跨網段進行注冊的，需要為其指定WLC的位置。VLAN10和VLAN20的SVI接口均位于SW2上。在SW2上執行“config/t”命令，進入全局配置模式。執行“ip/routing”命令，開啟路由功能，讓不同的VLAN可以互訪。

端口設置異常，導致 AP關聯錯誤

在AP關聯無線控制器時，如果AP無法獲取地址，自然無法連接到AP，在WLC上甚至都無法看到相關的報錯信息。如果在AP和WLC之間存在一些中間設備（例如防火墻等），其對AP連接的UDP 5246/5247等端口沒有放行，也會造成AP無法關聯。

因為UDP5246是CAPWAP的控制層面端口，UDP5247是數據層面端口，當AP沒有正常獲取WLC地址，WLC的License存在問題，AP和WLC的時間存在差異，WLC利用MAC授權機制對AP進行了過濾，AP的證書和WLC的Auth-list控制策略存在沖突，WLC的國家代碼有誤，WLC的版本不符合AP的要求，不同廠商之間的產品不兼容等問題，都會造成AP無法順利關聯到WLC。

設置合適的國家代碼

在AP中必須設置合適的國家代碼，才可以使其射頻廣播頻率、接口、頻段以及發射功能符合特定國家的規定。國家代碼不匹配，如使用的是其他國家的WLC，在AP上設置的國家代碼卻是CN等，AP就無法進行關聯。例如在AP上標識“AIR-CAP3702I-H-K9”等字樣，說明其國家代碼應為CN。

如果國家代碼有誤，在WLC工具欄上點擊“MANAGEMENT”項，在左側選擇“Logs”-“Message logs”項，在右側會顯示“The system detects an Invalid regolatory domain”“The system detects an Invalid country code”之類的信息。在WLC管理界面中是無法直接修改國家代碼的，必須在工具欄上點擊“WIRELESS”項，在左側選擇“802.11a/n/ac”-“Network”項，在右側的“802.11a Network Status”欄中取消“Enabled”項的選擇。

在左側選擇“802.11b/g/n”-“Network”項，在右側的“802.11b/g Network Status”欄中取消“Enabled”項的選擇狀態，關閉5Gha和2.4GHz射頻功能。之后在左側選擇“Country”項，在右側列表中選擇合適的國家代碼（圖1），之后打開5Gha和2.4GHz射頻功能。

配置DNS，讓AP順暢關聯WLC

這里為了便于說明，使用一臺Windows Server 2008 Server作為DNS和DHCP服務器。其IP為172.16.1.20。在SW1上執行“config t”“inter vlan 20”“ip helper-address 172.16.1.20”“end”命令，將IP請求信息發送到該服務器上，在該服務器上打開DHCP控制臺，在其中創建一個作用域，范圍從172.16.2.100到20.10.1.200，為AP分配IP。

在其作用域選項中創建了003路由器（IP為172.16.2.254）、043供應商特定信息（為WLC地址，其格式比較特殊，默認必須以“f1”開頭，例如“f104xxx”，表示IP地址為4個字節，“xxx”為WLC的十六進制地址）、015 DNS域名（例如“xxx.com”）、006 DNS服務器（IP為172.16.1.20），在DNS控制臺選擇“正向查找區域”-“xxx.com”項，在其右鍵菜單上點擊“新建主機”項，輸入合適的名稱（例如“capwap-lookup”），對應的IP為172.16.1.100，點擊確定按鈕，創建該紀錄。這樣，使用該DNS紀錄，就可以定位WLC。這樣，當AP啟動時，就會通過直連廣播、DHCP服務以及DNS服務來定位WLC，只要其中任何一種成功，都可以讓AP找到WLC。如果AP和WLC之間既不是直連，又沒有配置DHCP Option 43選項和DNS紀錄（或者配置有誤，例如寫錯了WLC的地址等），那么AP是無法關聯到WLC的，其只會通過不斷地重啟來嘗試關聯。

對該AP設備進行查看，主要通過觀察AP的表面的指示燈，直觀地查看其工作狀態。不同的AP雖然外觀不同，但是一般都包含無線狀態、鏈路狀態、系統狀態、電源等指示燈。相關指示燈亮起表示開啟對應的功能，閃爍表示數據傳輸或者相關功能啟動，熄滅表示對應功能關閉。例如對無線狀態指示燈來說，其綠色常亮表示射頻單元開啟，閃爍表示正在傳輸數據，熄滅表示射頻單元關閉。

對于鏈路指示燈來說，其綠色常亮表示以太網連接已經建立，閃爍表示以太網正在傳輸數據，熄滅表示以太網鏈路沒有連接或者已經關閉。對于電源指示燈來說，綠色常亮表示設備正常工作，熄滅表示斷電或者出現故障，啟動階段慢閃爍（2次/秒）表示系統自檢或者載入軟件程序，運行階段快閃爍（4次/秒）表示運行出現異常等。這里從該AP的指示燈顯示情況看，其并不存在故障現象。

接著檢測該AP是否獲取了IP地址，因為這里的AC設備是作為DHCP服務器使用的，所以在AC上執行“display ip pool name xxx used”命令，顯示地址非配情況，其中的“xxx”為地址池的名稱。在“Network section”欄中顯示地址池的范圍，在AP地址列表中顯示已經獲取IP的設備信息，其中可以看到存在問題的AP的MAC地址和對應的IP地址，說明該AP已經獲取了地址。

之后在AC上執行“display ap global configuration”命令，顯示當前的認證模式信息。在“AP auth-mode”欄中顯示“MAC-auth”字樣，說明當前AP的認證模式為MAC認證。如果該AP沒有通過認證，自然無法順利上線。執行“display ap unauthorized record”命令，查看AP未認證列表。在其中的“AP MAC address”欄中果然發現目標AP的MAC地址，說明該AP的確沒有通過認證。在AC上執行“system-view”和“wlan”命令，切換到WLAN視圖。執行“ap-mac xxxx-xxxx-xxxx”命令，將該AP添加到認證列表中，其中的“xxxx-xxxx-xxxx”為該AP的MAC地址。之后再次執行“display ap all”命令，發現該AP已經正常上線了。

讓客戶端順利訪問無線網絡

當AP的故障排除后，發現客戶端依然無法正常關聯AP，說明問題出在終端到AP的連接環節上。在終端上打開網絡和共享中心窗口，點擊“更改適配器設置”項，先禁用無線網卡設備，之后再將其啟用，發現問題依舊。如果終端周邊存在較強的干擾信號，就會造成WLAN信號質量較差，就可能造成連接失敗、自動斷線、網絡緩慢等問題。運行inSSIDer這款檢測工具，在SSID列表中的“SIGNAL”列中查看目標AP的干擾情況，發現其WLAN的信號情況良好。

之后在AC上執行“display access-user-num”命令，查看允許連接的最大并發用戶數和在線用戶數量，在和目標AP射頻口相關的“max-user-num”列中顯示允許最大用戶數，在“online-user-num”列中顯示在線的用戶數，兩者加以比對，說明沒有超過目標AP的最大連接數。執行“display sta-blacklist-Profile all”和“display sta-whitelist-profile all”命令，顯示針對用戶的黑白名單信息，這里均為空白。接著需要檢測和Dot1X認證相關的配置情況，在AC的WLAN視圖下執行“vap-profilefile name xxx”命令，進入VAP模板配置界面，其中的“xxx”為模板名稱。

執行“display this”命令，查看VAP模板的配置信息。在AC的WLAN視圖下執行“security-profile name xxx”命令，進入安全模板配置界面。執行“display this”命令，查看安全模板配置信息。之后對認證模板配置進行查看，經過比較分析，發現和DOT1X認證的相關配置不存在問題。在AC系統視圖下執行“display dot1x”命令，查看全局DOT1X認證參數，并沒有發現任何問題。如果終端用戶名和密碼不正確，也不能順利連接。在AC上執行“test-aaa username passwOrd radius-template xxx”命令，對用戶名和密碼進行檢測，其中的“username”為用戶名，“password”為密碼，“xxx”為Radius服務器模板名稱。在返回信息中顯示“Account test succeed”字樣，說明檢測通過。

排除了以上問題，就需要在終端上檢測802.1X認證的配置信息了。打開網絡和共享中心窗口，進入無線網絡管理界面，點擊工具欄上的“添加”→“手動創建網絡配置文件”項，在手動連接到無線網絡窗口中輸入網絡名（即目標AP的SSID名稱）、安全類型（這里選擇“WPA2-企業”）和加密類型（這里選擇“AES”），點擊下一步按鈕創建該無線連接。打開該無線連接的屬性窗口，在“安全”面板中的“選擇網絡身份驗證方法”列表中選擇“Microsoft受保護的EAP（PEAP）”項。

點擊“高級設置”按鈕，在打開窗口中列表中選擇“安全密碼（EAP-MSCHAP V2）”項，點擊其右側的“配置”按鈕，在彈出窗口中不要選擇“自動使用Windows登錄名和密碼”項。之后在無線連接面板中點擊該連接項，在彈出的網絡身份驗證窗口中輸入用戶名和密碼，確認后終于順利連接到了無線網絡中。總結以上排查過程，發現問題出現兩個關鍵點上，一個是目標AP沒有啟用MAC認證，另一個是因為客戶端沒有正確的配置802.1X認證，才導致以上故障情況的發生。