H3C无线产品故障处理手册
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
2.2 设备升级以后,重新登录Web时失败,提示“功能函数错误”
3.2 AP使用电源适配器供电,系统控制平台无打印信息,同时电源指示灯未亮
3.5 采用PoE-MH通过网口给AP供电时,发现AP不能上电
4.6 AP最多只能与两台AP建立Mesh连接,无法与第三台AP建立Mesh连接
4.7 两台或更多台AP建立Mesh连接后,Mesh连接经常up/down
4.8 两台FIT AP无法建立Mesh连接或经过MAP的ping操作失败
4.10 Client不停的在几个AP间漫游或Client漫游困难
4.12 802.1X和ACS配合认证时,Client关联成功并下线后,再关联时无法关联成功
4.13 802.1X认证配置都正确,客户端上线时一直处于验证身份阶段
4.15 使用RADIUS服务器进行MAC地址认证和PSK认证时,用户上不了线
5.1 FIT AP无法获取IP地址,但是用客户端替换FIT AP后能够获取IP地址
5.2 Client连接到信号较弱的AP,而未连接到信号较强且距离较近的AP
5.3 同时支持网口PoE供电和电源适配器供电的AP设备,在电源适配器供电状态下,断开电源适配器时系统会重启
5.5 无线网卡提示Windows无法配置无线连接,而WirelessZeroConfigure服务已经启动
5.6 客户端可以Ping通AC,也能Telnet到AC,但是无法通过Web登录成功
5.15 终端通过DHCPv6方式自动获取IPv6 DNS信息失败
本文档介绍H3C无线控制器软、硬件常见故障的诊断及处理措施。
在进行故障诊断和处理时,请注意以下事项:
· 设备出现故障时,请尽可能全面、详细地记录现场信息(包括但不限于以下内容),收集信息越全面、越详细,越有利于故障的快速定位。
¡ 记录具体的故障现象、故障时间、配置信息。
¡ 记录完整的网络拓扑,包括组网图、端口连接关系、故障位置。
¡ 收集设备的日志信息和诊断信息(收集方法请参见1.2 收集设备运行信息)。
¡ 记录设备故障时电源状态指示灯、设备工作状态指示灯以及各端口状态指示灯等各种状态指示灯的状态(可以现场给设备拍照记录)。
¡ 记录现场采取的故障处理措施(比如配置操作、插拔线缆、手工重启设备)及处理后的现象和效果。
¡ 记录故障处理过程中配置的所有命令行显示信息。
· 更换和维护设备部件时,请佩戴防静电腕带,以确保您和设备的安全。
· 故障处理过程中如需更换硬件部件,请参考与软件版本对应的版本说明书,确保新硬件部件和软件版本的兼容性。
· 设备正常运行时,建议您在完成重要功能的配置后,及时保存并备份当前配置,以免设备出现故障后配置丢失。建议您定期将配置文件备份至远程服务器上,以便故障发生后能够迅速恢复配置。
为方便故障快速定位,请使用info-center enable命令开启信息中心。缺省情况下,信息中心处于开启状态。
设备运行过程中会产生普通日志信息、诊断日志信息及各模块的诊断信息。这些信息存储在设备的Flash或CF卡中,可以通过FTP、TFTP、USB等方式导出。不同设备中导出的普通日志信息、诊断日志信息、各模块的诊断信息文件请按照一定规则存放(如不同的文件夹),避免不同设备的运行信息相互混淆,以方便查询。
表1-1 设备运行信息介绍
分类 |
文件名 |
内容 |
普通日志 |
logfileX.log |
命令行记录、设备运行中产生的记录信息 |
诊断日志 |
diagfileX.log |
设备运行中产生的调试信息,如系统运行到错误流程时的参数值、设备无法启动时的信息、主控板与业务板通信异常时的握手信息。 |
各模块诊断信息 |
XXX.tar.gz |
系统当前多个功能模块运行的统计信息,包括设备状态、CPU状态、内存状态、配置情况、软件表项、硬件表项等 |
对于支持单日志文件的设备,普通日志和诊断日志有容量限制,当存储介质的存储空间不足或者存储介质有存储空间但日志文件的大小达到最大值时,系统会使用最新日志覆盖最旧日志。
对于支持多日志文件的设备,日志文件有容量限制,当日志文件的大小达到最大值,系统会自动创建logfile1.log来存储日志。logfile1.log写满后,会被压缩成logfile1.log.gz,再自动创建logfile2.log来存储日志。logfile2.log写满后,会被压缩成logfile2.log.gz,再自动创建logfile3.log来存储日志,以此类推。当日志文件的个数达到设备支持的最大值时,系统会找出生成时间最早的压缩文件(例如为logfileX.log.gz),并创建一个同名日志文件(logfileX.log)来存储日志,logfileX.log写满后,会被压缩成logfileX.log.gz来替换现有的logfileX.log.gz,以此类推。建议及时备份日志文件和日志压缩文件,以免重要日志被覆盖
(1) 执行logfile save命令将日志文件缓冲区中的内容全部保存到日志文件中。
<Sysname> logfile save
The contents in the log file buffer have been saved to the file cfa0:/logfile/logfile8.log
(2) 查看设备上的日志文件数目和名称。
<Sysname> dir cfa0:/logfile/
Directory of cfa0:/logfile
0 -rw- 21863 Jul 11 2018 16:00:37 logfile8.log
1021104 KB total (421552 KB free)
(3) 使用FTP、TFTP或者USB接口将日志文件传输到指定位置。
(1) 执行diagnostic-logfile save命令将诊断日志文件缓冲区中的内容全部保存到诊断日志文件中。
<Sysname> diagnostic-logfile save
The contents in the diagnostic log file buffer have been saved to the file cfa0:/diagfile/diagfile18.log
(2) 查看设备的诊断日志文件数目和名称。
<Sysname> dir cfa0:/diagfile/
Directory of cfa0:/diagfile
0 -rw- 161321 Jul 11 2018 16:16:00 diagfile18.log
1021104 KB total (421416 KB free)
(3) 使用FTP、TFTP或者USB接口将日志文件传输到指定位置。
诊断信息可以通过两种方式收集:将诊断信息保存到文件,或者将诊断信息直接显示在屏幕上。为保证信息收集的完整性,建议您使用将诊断信息保存到文件的方式收集诊断信息。
通过Console口收集诊断信息所用的时间比通过业务网口收集所用的时间要长。在有可用业务网口或管理口的情况下,建议通过业务网口或管理口登录和传输文件。
(1) 执行screen-length disable命令关闭当前用户的分屏显示功能,以避免屏幕输出被打断(如果是将诊断信息保存到文件中,则忽略此步骤)。
<Sysname> screen-length disable
(2) 执行display diagnostic-information命令收集诊断信息。
<Sysname> display diagnostic-information
Save or display diagnostic information (Y=save, N=display)? [Y/N] :
(3) 选择将诊断信息保存至文件中,还是将直接在屏幕上显示。
¡ 输入“Y”,以及保存诊断信息的路径和名称,将诊断信息保存至文件中。
Save or display diagnostic information (Y=save, N=display)? [Y/N] : Y
Please input the file name(*.tar.gz)[cfa0:/diag_H3C_20180626-174139.tar.gz] :cfa0:/diag.tar.gz
Diagnostic information is outputting to cfa0:/diag.tar.gz.
Please wait...
Save successfully.
<Sysname> dir cfa0:/
Directory of cfa0:
……
6 -rw- 898180 Jun 26 2018 09:23:51 diag.tar.gz
1021808 KB total (259072 KB free)
¡ 输入“N”,将诊断信息直接显示在屏幕上。
Save or display diagnostic information (Y=save, N=display)? [Y/N]:n
===============================================
===============display clock===============
17:26:39 UTC Wed 03/21/2018
=================================================
===============display version===============
H3C Comware Software, Version 7.1.064, Customer 5419
Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.
H3C WX5580H uptime is 0 weeks, 5 days, 6 hours, 17 minutes
Last reboot reason : User soft reboot
Boot image: cfa0:/boot.bin
Boot image version: 7.1.064, Customer 5419
Compiled Feb 01 2018 16:00:00
System image: cfa0:/system.bin
System image version: 7.1.064, Customer 5419
Compiled Feb 01 2018 16:00:00
Slot 1
Uptime is 0 week, 5 days, 6 hours, 17 minutes
with 1 1400MHz Multi-core Processor
32736M bytes DDR3
16M bytes NorFlash Memory
4002M bytes CFCard Memory
Hardware Version is Ver.A
CPLD 1 Version is 001
CPLD 2 Version is 002
FPGA1 Logic Version is 138
FPGA2 Logic Version is 138
Basic Bootrom Version is 5.07
Extend Bootrom Version is 5.15
[Subslot 0]WX5580H Hardware Version is Ver.A
===============display system internal version===============
H3C WX5580H V500R001B64D029SP19
Comware V700R001B64D029SP19
================================================
===============display device verbose===============
Slot No. Subslot No. Board Type Status Max Ports
1 0 WX5580H Normal 25
Slot 1
Status: Normal
Type: WX5580H
Hardware: A
Driver: 5.15
CPLD 1 CPLD: 001
CPLD 2 CPLD: 002
……
当故障无法自行解决时,请准备好设备运行信息、故障现象等材料,发送给H3C技术支持人员进行故障定位分析。
用户通过Web方式登录时提示“用户数超限”,在设备上通过命令display web users检查登录的Web用户数,显示有多个Web用户在线。
出现这个问题是由于其他用户登录Web后,退出Web时直接关闭了浏览器,没有点击Web右上角的<退出登录>按钮,造成设备上的用户没有真正退出。
在设备上使用命令free web users all强制在线Web用户下线,然后再次登录Web。
设备升级以后,用户终端能够Ping通设备,也可以远程Telnet登录设备,但是重新通过Web进行登录时,Web界面上会弹出一个错误提示对话框,提示“功能函数执行错误”。
这个问题是由于用户没有清除浏览器缓存所致。由于两个不同的软件版本的Web界面可能存在着差异,重新通过Web登录以后,浏览器里面缓存的信息与新版本的Web信息不兼容,因此重新通过Web登录设备之前,请先将浏览器缓存清理一下。
用户无法登录云AP的本地Web页面。
本类故障的常见原因主要包括:
· 云AP没有上电,导致搜索不到云AP的管理Wi-Fi,无法登录本地Web页面。
· 云AP没有工作在Cloud模式,导致搜索不到云AP的管理Wi-Fi,无法登录本地Web页面。
· 无线客户端或带有无线网卡的计算机没有连接云AP的管理Wi-Fi,导致无法登录云AP的本地Web页面。
本类故障的诊断流程如图2-1所示。
图2-1 无法登录云AP的本地Web页面故障排查流程图
(1) 确认云AP已上电
可以通过以下两种方式快捷地确认设备是否上电。
¡ 通过云AP的指示灯查看设备是否上电,在没有手动关闭设备指示灯的情况下,指示灯点亮,说明设备已经上电。请通过设备的安装手册确认指示灯颜色、闪烁对应设备的状态。
请取下设备的面板盖,或通过设备背面的铭牌或取MAC地址。
¡ 如果设备已经上电,请继续执行步骤(2)。
(2) 检查云AP是否工作在Cloud模式
部分云AP产品支持多种工作模式,请确保AP当前工作在Cloud模式。如果能搜索到“H3C_XXXXXX”(XXXXXX为设备的MAC地址后六位)的无线服务,说明设备工作在Cloud模式。或在设备任意视图下执行display wlan device role命令,查看设备的工作模式。
¡ 如果设备没有工作在Cloud模式,需要将工作模式切换为Cloud。不同系列的AP支持的工作模式、确认当前工作模式的方法和模式切换的操作步骤有差异,详情请参见AP的版本说明书,或切换工作模式的操作如果出错可能导致云AP功能不可用。
¡ 如果设备工作在Cloud模式,请继续执行步骤(3)。
将无线终端或带无线网卡的计算机设置为动态获取IP地址和DNS方式。
图2-2 配置PC自动获取IP地址
(4) 是否忘记本地Web的登录密码
丢失或者忘记密码时,若设备关联云平台,则可以通过云平台重置密码;若设备未关联云平台,则可通过reset按键恢复出厂设置并重新设置密码,reset按键的具体使用方法请参见设备的安装指导手册。云AP允许同时登录本地Web页面的最大用户数为5个。
(5) 如果故障仍然未能排除,请收集如下信息,并拨打热线400-810-0504求助。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
用户无法通过Web方式登录设备。
本类故障的常见原因主要包括:
· 网络连通性异常。
· 网络链路异常。
· 地址输入错误。
· 输入的用户名和密码错误。
· 用户不支持HTTP或HTTPS服务。
· 设备未开启HTTP或HTTPS服务。
本类故障的诊断流程如图2-3所示。
图2-3 Web登录失败的故障诊断流程图
(1) 检查主机能否Ping通设备Web页面的IP地址。
使用ping命令查看网络连接情况。
a. 如果能Ping通,则可以访问设备的Web页面。
b. 如果Ping不通,请排查网络链路是否正常。
¡ 物理链路:有线连接,请检查网线接口;无线连接,请检查无线网卡配置。
¡ 逻辑链路:如果主机与设备之间为二层访问,请检查主机地址与设备接口的地址是否是同一网段;如果主机与设备之间为三层访问,请检查主机与设备接口之间路由是否可达。
(2) 检查输入的地址和协议是否正确。设备支持HTTP和HTTPS两种服务,默认状态下HTTP服务为开启状态,HTTPS服务为关闭状态,以无线控制器为例:正确的地址和协议为http://192.168.0.100/或https://192.168.0.100/。
a. 输入的地址和协议正确,则可以访问设备的Web页面。
b. 输入的地址或协议错误,请输入正确的地址和协议。
(3) 检查登录的用户名和密码是否正确。无线控制器默认的用户名和密码均为admin,FAT AP的默认用户名和密码分别为admin和h3capadmin。
a. 用户名和密码正确,则可以登录设备的Web页面。
b. 用户名和密码错误,请输入正确的用户名和密码。
¡ 如果是自己设置的用户,输入帐号密码时要区分大小写,不要有空格。若仍登录失败,请确认浏览器输入的协议类型与设置的用户服务类型一致,若不一致,请在本地用户视图下通过 service-type 命令支持对应的浏览器输入的协议类型。
[AC-luser-manage-admin1]service-type https
¡ 如果默认用户名及密码无法登录,可使用Console线进入设备的命令行,通过执行命令display local-user查看是否存在用户名为admin的local-user。若没有此用户,则需手动创建,并使其支持HTTP或HTTPS服务功能。
<Sysname>display local-user
Device management user admin:
State: Active
Service type: HTTP/HTTPS
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-admin
Password control configurations:
Password complexity: username checking
Total 1 local users matched.
创建用户,并使其支持HTTP或HTTPS服务功能可通过如下命令实现。
[Sysname]local-user abc class manage
New local user added.
[Sysname-luser-manage-abc]service-type http https
[Sysname-luser-manage-abc]
(4) 检查设备是否开启HTTP或HTTPS服务(设备默认开启HTTP服务,关闭HTTPS服务。)
(5) 检查设备是否开启HTTP或HTTPS服务可通过display ip http 或display ip https 命令查看。
[Sysname]display ip http
HTTP port: 80
ACL: 0
Operation status : Enabled
¡ 如果已开启,则可以正常访问设备的Web页面。
¡ 如果未开启,请通过命令行开启HTTP和HTTPS服务。
[Sysname]ip http enable
[Sysname]ip https enable
(6) 如果故障仍然未能排除,请收集如下信息,并拨打热线400-810-0504求助。
a. 上述步骤的执行结果。
b. 设备的配置信息。
通过在系统用户视图下输入display current-configuration收集设备的所有配置。
<Sysname>display current-configuration
#
version 7.1.064, ESS 5452P05
#
clock timezone Beijing add 08:00:00
#
…
同一台PoE交换机连接的部分AP会自动重新启动(和AC的连接断开)。
PoE交换机有各自的供电规格及预留空间,所以当对外供电总量超过可以供电量时,交换机会自动断开低优先级的接口,从而造成下挂的AP设备重启。
可以通过交换机上的Log信息确认:
#Apr 6 11:26:44:368 2019 YXY-WLAN-04 DRV_DEM/5/POE WARNING:- 1 -Power budget exceeded
#Apr 6 11:26:44:418 2019 YXY-WLAN-04 DRV_DEM/5/POE WARNING:- 1 -Poe function of Ethernet1/0/6 is disabled.
第一个表示总的功率超过预算,无法再给新的端口供电,第二个表示断掉了一个接口的PoE供电。
解决方案是增加PoE交换机或者使用PoE模块对AP进行单独供电。
供电问题必须在网络设计的时候就充分考虑,避免出现问题后再分析解决。
AP只采用电源适配器一种供电方式供电时,系统控制平台无打印信息,同时电源指示灯未亮。
(1) 请检查是否采用系统要求的电源适配器规格,需要确保电源的输入电压在系统规格要求的范围。
(2) AP外观是否有明显被摔痕迹,防止AP内部的器件被摔坏而导致系统不能上电。
(3) AP是否进过水或者设备工作环境温度是否超出规格要求,如果室内型AP被用于室外,有雨水进入AP或者关键芯片环境温度不满足要求,会导致系统出现工作异常状态,AP无法上电。
AP上电后,用户终端的串口接到AP设备的RJ-45口,但是没有打印信息。
(1) 请确认用户终端的串口是否插到了设备的Console口,如果插到AP的网口的话就不会有打印信息。
(2) 检查用户终端的串口设置,特别是波特率需要设置为9600bps,校验(Parity)设置为none即不需要校验位,数据位(Databits)设置为8。
系统上电启动后,发现AP与其他设备对接时网口无法建立连接。
(1) 请确认网线是否插错,如果插到Console口就不会建立连接;
(2) 请确认网线长度是否超过了规格要求(如100米),如果网线长度超过了规格要求也可能会出现不能建立连接现象;
(3) 请检查一下网线的线序是否有误,如果既不是直连也不是交叉网线的线序也不能建立连接。
采用电源适配器和PoE-MH通过网口给AP供电时,发现AP不能上电。
确保给AP供电的网线接到PoE-MH的正确位置。PoE-MH除了供电源适配器插入的电源口外,还有两个RJ-45口,其中一个RJ-45(#1)和电源在一侧,另外一个RJ-45口(#2)在另外一侧。给设备供电的网线应该插在RJ-45 #2,如果插到了RJ-45 #1的话是无法给AP供电的。
当光模块插入设备时,如果插反,会将光口的I2C总线的SCL时钟信号拉到GND,这样的话有的CPU的I2C就会挂死,导致后续光口的I2C工作异常,且CPU会一直在访问I2C的现象,影响CPU处理其他业务。设备的光口工作异常,不能link,同时串口打印也可能出现异常。
重启设备,同时确保光模块的Tx和Rx没有插反。
AP设备信号弱。
(1) 根据设备的型号选择配置内置或外置天线。
(2) 正确安装外置天线,并检查2.4GHz和5GHz天线是否安装错位置(比如把2.4GHz天线安装在了5GHz天馈口)。
(3) 用max-power命令将AP的射频传输功率设置成最大。
设备无法正常上电,AP的指示灯未正常亮起。
本类故障的常见原因包括:
· 电源适配器或PoE注入器输出电压或功率未满足要求。
· PoE交换机输出功率未满足要求。
· AP侧硬件故障。
本类故障的诊断流程如图3-1所示。
(1) 供电设备是否满足供电要求
如果AP采用电源适配器或PoE注入器供电方式,需要查看电源适配器或PoE注入器的输出功率(电压和电流)是否满足AP安装手册中的电压要求。
¡ 如果未满足,请更换符合要求的电源适配器或PoE注入器。
¡ 如果满足,则执行步骤(2)。
(2) 定位故障设备
采用交叉测试的方式确认故障出现在供电侧还是AP侧。
¡ 更换同型号的电源适配器或PoE注入器进行交叉测试。如果问题得到解决,则为供电侧故障,请更换供电设备。
¡ 更换同型号AP进行交叉测试。如果问题得到解决,则为AP侧故障,建议执行步骤(3)。
(3) 观察指示灯状态
AP的指示灯状态说明请参考各型号AP的安装指导手册,通过指示灯状态可以协助用户判断当前设备的工作状态。
¡ 如果电源指示灯未正常亮起,则多为AP硬件故障,请拨打H3C客户服务热线400-810-0504寻求帮助。
¡ 如果指示灯状态显示异常,需要进一步定位。
(1) 供电设备是否满足供电要求
如果AP采用PoE供电方式,需要查看:
a. AP和PoE交换机的供电模式是否匹配,AP采用PoE、PoE+还是PoE++供电。
b. PoE交换机单端口的输出功率是否满足供电要求;确认PoE交换机上所接AP的总功率是否超过交换机的供电功率规格。
¡ 如果未满足,请更换符合要求的供电设备。
¡ 如果满足,则执行步骤(2)。
(2) 定位故障设备
采用交叉测试的方式确认故障出现在供电侧还是AP侧。
¡ 调整PoE交换机的供电端口或更换同型号的PoE交换机。如果问题得到解决,则为供电侧故障,请调整供电端口或更换供电设备。
¡ 更换同型号AP进行交叉测试。如果问题得到解决,则为AP侧故障,建议执行步骤(3)。
(3) 观察指示灯状态
AP的指示灯状态说明请参考各型号AP的安装指导手册,通过指示灯状态可以协助用户判断当前设备的工作状态。
¡ 如果电源指示灯未正常亮起,则多为AP硬件故障,请联系技术支持人员或您购买设备的代理商,更换新的设备。
¡ 如果指示灯状态显示异常,需要进一步定位。
设备正常上电后,无法正常启动或反复重启。此类情况下,对于单指示灯AP,指示灯长时间处于“黄色常亮”状态;多于多指示灯AP,电源指示灯长时间处于““黄色常亮”状态”。
本类故障的常见原因包括:
· 无法找到启动文件
· 启动文件异常
· 内存故障
· BootWare扩展段异常
· 硬件初始化设备
· 设备自检错误
对于无Console口的AP,无法查看AP的启动过程信息,请通过尝试恢复出厂配置的方式查看问题是否得到解决。
对于有Console口的AP,可以通过Console口进行本地登录,查看AP是否正常启动。本类故障的诊断流程如图3-2所示。
图3-2 含Console口AP启动异常的故障诊断流程图
设备可以通过长按RESET按钮5秒以上的方式恢复至出厂配置。如果问题未得到解决,请拨打H3C客户服务热线400-810-0504寻求帮助。
(1) AP出现启动异常后,在许可的操作的范围内,建议先尝试进行重启、格式化、重新导入版本操作。
¡ 如果故障未能解决,可以参照步骤(2)、步骤(3)定位异常启动原因。
¡ 若无法定位问题,请收集相应的现象、日志信息等并拨打H3C客户服务热线400-810-0504寻求帮助。
(2) 检查配置终端是否打印启动信息
使用电缆连接计算机的串口和设备Console口,设备上电后,正常情况下将在配置终端上显示设备启动信息。
¡ 如果配置终端显示AP启动但未打印启动信息,请尝试更换其他AP和网络设备。如果问题得到解决,则多为AP硬件故障,建议更换AP。
System is starting...
¡ 如果配置终端显示AP启动信息,建议执行步骤(3)。
(3) 检查启动信息是否存在异常
AP上电后,无法正常启动或反复重启,常见为以下几种情况:
¡ 无法找到启动文件
当配置终端显示如下启动信息是,表明找不到镜像文件,启动失败。建议重新启动设备并重新导入AP的版本文件。
BootWare Validating...
Press Ctrl+B to access EXTENDED-BOOTWARE MENU...
Loading the main image files...
The image does not exist!
Loading the backup image files...
¡ 启动文件异常
启动文件异常一般是由启动文件本身异常或Flash故障导致。当配置终端打印如下信息后,请键入“Ctrl+B”进入BootWare主菜单界面。
BootWare Validating...
¡ Press Ctrl+B to access EXTENDED-BOOTWARE MENU...
¡ 在BootWare主菜单下,键入“Ctrl+F”,格式化Flash后重新加载启动文件。如果格式化过程中报错,建议更换AP。
¡ 内存故障
¡ Bootware启动时提示内存测试失败信息,具体如下:
System is starting...
Press Ctrl+D to access BASIC-BOOTWARE MENU
Value read :55555564;Value expected:55555555
DRAM test failed at:87FC0004
DRAM test failed at: 87fc0004
Fatal error! Please reboot the board.
建议重新启动设备并键入“Ctrl+D”进入基本BootWare菜单,而后键入“Ctrl+U”,选择“RAM Test”,进行内存测试。如果出现内存测试失败的提示,则为内存故障,建议更换AP。
System is starting...
Press Ctrl+D to access BASIC-BOOTWARE MENU...
=====================<BASIC-BOOTWARE MENU (Ver 7.18) >======================
|<1> Modify Serial Interface Parameter
|<2> Update Extended BootWare
|<3> Update Full BootWare
|<4> Boot Extended BootWare
|<5> Boot Backup Extended BootWare
|<0> Reboot
============================================================================
Ctrl+U: Access BASIC ASSISTANT MENU
Enter your choice(0-5):
===========================<BASIC ASSISTANT MENU>===========================
|<1> RAM Test
|<0> Exit To Main Menu
============================================================================
Enter your choice(0-1): 1
Warning:Test Memory will take a long time? [Y/N]Y
Memory test......................................................
475 Mbytes memory has been tested.
Memory test failed.
¡ BootWare扩展段丢失
¡ 如果配置终端在显示“Press Ctrl+D to access BASIC-BOOTWARE MENU...”的提示后,未打印“Press Ctrl+B to access EXTENDED-BOOTWARE MENU...”提示,且键入“Ctrl+B”后,无法进入BootWare主菜单界面,则表示AP BootWare扩展段丢失。
System is starting...
Press Ctrl+D to access BASIC-BOOTWARE MENU...
Booting Normal Extend BootWare..
The Extend BootWare is self-decompressing............................Done!
当配置终端出现“Press Ctrl+D to access BASIC-BOOTWARE MENU”时,立即键入“Ctrl+D”,进入基本BootWare菜单,键入<3>,重新引导扩展段启动。
=====================<BASIC-BOOTWARE MENU (Ver 0.06) >======================
|<1> Modify Serial Interface Parameter |
|<2> Update Extended BootWare |
|<3> Update Full BootWare |
|<4> Boot Extended BootWare |
|<5> Boot Backup Extended BootWare |
|<0> Reboot |
============================================================================
Ctrl+U: Access BASIC ASSISTANT MENU
Ctrl+A: Enter Command Line
Ctrl+C: Display Copyright
Enter your choice(0-5): 3
Please Start To Transfer File, Press <Ctrl+C> To Exit.
Waiting ...C
打开终端软件,界面菜单栏选择 Xmodem发送数据,完成BootWare版本传输,具体操作过程请参见设备的版本说明书“升级BootWare菜单”章节。
¡ 硬件初始化失败
如果AP刚启动即打印“The process wloclited exited abnormally.”的异常退出错误信息,则判断为硬件初始化失败,建议更换AP。
¡ 设备自检错误
如果设备启动时打印“Fatal error!”,表示设备设备自检错误,判断为AP硬件故障,建议更换AP。
启动过程中,串口无输出或打印乱码;设备完成启动后,无法输入命令。
本类故障的常见原因包括:
· Console线缆损坏
· 终端仿真程序的串口设置有误
· BootWare基本段损坏
· Flash硬件故障
本类故障的诊断流程如图3-3所示。
(1) 检查Console线缆是否损坏
(2) 更换连接计算机的串口和设备Console口的线缆,查看配置终端能否正常显示。
¡ 如果问题得到解决,则为Console线缆损坏。
¡ 如果问题无法解决,则执行步骤(2)。
(3) 检查终端仿真程序的串口配置是否有误
请按如下要求设置终端仿真参数:波特率:9600;数据位:8;停止位:1;奇偶校验:无;流量控制:无。
¡ 如果问题得到解决,则为配置终端串口设置有误。
¡ 如果问题无法解决,则执行步骤(3)。
(4) 如果配置终端不打印任何信息或打印一行乱码,则BootWare基本段损坏,建议更换AP。
(5) 检查命令输入输出是否正常
(6) AP完成启动后,验证基本命令的输入输出是否正常。如果AP能够打印输出信息,但是无法输入任何信息,请更换其他AP进行测试。如果问题得到解决,则考虑为Flash硬件故障,建议更换AP。
AP完成启动并通过网线与交换机或其他网络设备相连后,无发与相连设备进行通信。
本类故障的常见原因包括:
· AP有线接口通信异常
· 链路异常
对于无Console口或不能通过Console方式登录的AP,在上行设备上,查看AP对端接口的端口状态,进而定位是以太网接口通信异常,还是接口状态异常。
对于有Console口的AP,可以通过Console口进行本地登录,查看AP上行口的端口状态,进而定位是以太网接口通信异常,还是接口状态异常。
通过多次执行display interface查看物理端口状态,确认端口是否UP、入方向的报文统计是否增长。为方便查看,可以通过reset counter interface命令清空当前端口的报文统计结果再进行观察。
#查看AP上行口的端口状态。
<Sysname> display interface GigabitEthernet 1/0/1
GigabitEthernet1/0/1
Current state: UP
Line protocol state: UP
IP packet frame type: Ethernet II, hardware address: a4fa-7679-b6f0
……
Input (total): 196 packets, 21078 bytes
106 unicasts, 37 broadcasts, 53 multicasts, 0 pauses
Input (normal): 196 packets, 21078 bytes
106 unicasts, 37 broadcasts, 53 multicasts, 0 pauses
Input: 0 input errors, 0 runts, 0 giants, - throttles
0 CRC, - frame, 0 overruns, 0 aborts
- ignored, - parity errors
Output (total): 158 packets, 10179 bytes
157 unicasts, 0 broadcasts, 1 multicasts, 0 pauses
Output (normal): 158 packets, 10179 bytes
157 unicasts, 0 broadcasts, 1 multicasts, 0 pauses
Output: 0 output errors, 0 underruns, - buffer failures
- aborts, 0 deferred, 0 collisions, 0 late collisions
- lost carrier, - no carrier
· 在AP的上行设备上,通过display interface命令查看AP对端接口的端口状态。
· 如果接口状态为UP,则查看接口入方向报文统计情况。若接口入方向的广播包未正常增长,替换其他同型号AP后测试入方向广播包增长,则考虑为AP以太网接口通信异常,建议更换AP。
· 如果AP的对端接口无法正常UP,需要进一步检查有线接口状态,具体请参见3.12 AP接口状态异常。
· 在AP上,通过display interface命令查看AP上行口的端口状态。
· 如果接口状态为UP,则查看接口出方向报文统计情况。若接口出方向的广播包未正常增长,考虑为AP以太网接口通信异常,建议更换AP。
· 如果AP上行口无法正常UP,需要进一步检查有线接口状态,具体请参见3.12 AP接口状态异常。
设备运行后,检查接口状态存在异常。常见的异常现象包括:
· 通过display interface命令
¡ 查看物理端口状态,显示信息Current state字段表现为物理Down或Down(类型)。
¡ 端口输入、输出方向存在大量的错误包。
· 有线接口频繁UP/DOWN。
本类故障的常见原因包括:
· 端口配置有误
· 接口两端配置不一致
· 端口流量控制功能开启
· 链路质量差
· 针对支持光模块的设备,常见原因还包括:
· 光口收发功率异常
· 光电转换器异常
设备运行后,检查接口的状态是否存在异常,一般可以通过端口自检、光口自检排查出大部分的问题。
(1) 查看接口Down类型
通过display interface查看物理端口状态,确认端口是否Down,并查看端口Down类型。例如,“Current state: Administratively DOWN”状态,表示端口视图下配置了shutdown,需要执行undo shutdown命令开启。
<Sysname> display interface GigabitEthernet 1/0/1
GigabitEthernet1/0/1
Current state: Administratively DOWN
常见的Down类型包括:
¡ Administratively DOWN:表示该接口已经通过shutdown命令被关闭,即管理状态为关闭。
¡ DOWN:表示该接口的管理状态为开启,但物理状态为关闭,可能因为没有物理连线或者线路故障。
¡ DOWN ( Link-Aggregation interface down ):表示该接口所属的聚合接口已经通过shutdown命令被关闭。
¡ mac-address moving down:由于MAC地址迁移抑制导致接口被关闭。
¡ STP DOWN:表示接口由于触发了STP BPDU保护而自动关闭。
(2) 检查接口协商链路双工类型
通过display interface brief命令查看接口的概要信息。
¡ 自协商(A)状态时,端口的速率双工状态由本端口和对端端口自动协商而定,两端双工速率需匹配一致。
¡ 半双工(H)状态时,需要检查接口两端配置是否不一致。
¡ #查看接口的概要信息。
<Sysname> display interface brief
The brief information of interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Main IP Description
NULL0 UP UP(s) --
Vlan1 UP UP 192.168.1.254
Vlan2 UP UP --
The brief information of interface(s) under bridge mode:
Link: ADM - administratively down; Stby - standby
Speed or Duplex: (a)/A - auto; H - half; F - full
Type: A - access; T - trunk; H - hybrid
Interface Link Speed Duplex Type PVID Description
BAGG1 UP 2G(a) F(a) T 1
GE1/0/1 UP 1G F T 1
GE1/0/2 UP 1G F T 1
WLAN-ESS10 UP -- -- A 2
WLAN-DBSS10:0 UP -- -- A 2
(3) 检查接口流量控制状态
# 在以太网接口视图下,通过display this命令,查看接口是否开启了流量控制。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] display this
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
flow-control
#
如果该端口不需要开启,建议使用undo flow control关闭该接口的流量控制功能。
(4) 检查错包增长情况
通过多次执行display interface查看物理端口状态,确认端口输入、输出方向是否有大量的错误包。为方便查看,可以通过reset counter interface命令清空当前端口的报文统计结果再进行观察。
AP端口入方向异常,主要表现如下:
¡ 如果端口入包统计不增加,同时上行设备对端出包统计也不增加,建议排查对端设备。
¡ 如果端口入包的错误统计频繁增加:
- 建议测试链路,链路质量差或者线路光衰大会导致报文在传输过程中出错。
- 通过display interface命令,查看两端端口的工作模式是否相同。
- 如果是网线,建议检查水晶头、更换网线。
- 如果是光纤,更换光模块、更换光纤
AP端口出方向异常,主要表现如下:
¡ 如果下行设备对端入包CRC、frame、throttles计数增加,建议测试链路:
- 如果是网线,建议检查水晶头和网线;
- 如果是光纤,检查收发光的衰减是否在正常的阈值范围内、线缆中间连接的光电转换器是否异常。
¡ 如果下行设备端口入包overruns、ignored计数增加,表明端口输入速率超过接收方处理能力,导致丢包,建议排查对端设备。
#查看AP端口状态。
<Sysname> display interface GigabitEthernet 1/0/1
GigabitEthernet1/0/1
Current state: UP
Line protocol state: UP
IP packet frame type: Ethernet II, hardware address: a4fa-7679-b6f0
Description: GigabitEthernet1/0/1 Interface
Bandwidth: 1000000 kbps
Loopback is not set
Media type is twisted pair, promiscuous mode not set
1000Mbps-speed mode, full-duplex mode
Link speed type is autonegotiation, link duplex type is autonegotiation
……
Input (total): 205 packets, 21078 bytes
106 unicasts, 37 broadcasts, 53 multicasts, 0 pauses
Input (normal): 196 packets, 21078 bytes
106 unicasts, 37 broadcasts, 53 multicasts, 0 pauses
Input: 9 input errors, 0 runts, 0 giants, - throttles
8 CRC, - frame, 0 overruns, 1 aborts
- ignored, - parity errors
Output (total): 162 packets, 10179 bytes
157 unicasts, 0 broadcasts, 1 multicasts, 0 pauses
Output (normal): 158 packets, 10179 bytes
157 unicasts, 0 broadcasts, 1 multicasts, 0 pauses
Output: 2 output errors, 2 underruns, - buffer failures
- aborts, 0 deferred, 0 collisions, 0 late collisions
- lost carrier, - no carrier
(5) 检查端口是否UP/DOWN频繁震荡
(6) 如果设备的端口状态频繁UP/DOWN,建议从以下方面排查。
¡ 对于以太网电口,如果端口处于自协商状态,则可能是协商不稳定。建议首先尝试设置强制速率双工,如果问题无法解决,则排查是否存在中间设备。
¡ 对于以太网光口,通过display transceiver diagnosis interface命令查看端口的收发光功率,确保接收到的功率应在接收灵敏度与过载功率之间。
收发光功率小于接收灵敏度,则接口不能Up。
收发光功率大于过载功率,可能已经造成光模块损坏。
(7) 如果排查以上方面后,问题得不到解决,则一般为硬件问题,请拨打H3C客户服务热线400-810-0504寻求帮助。
登录到交换机上以后,试图通过OAP方式登录到无线控制器业务板上进行查询或者配置,却发现无法登录成功,提示“The OAP connection is busy, please try again later!”。
<Sysname> oap connect slot 1
The OAP connection is busy, please try again later!
(1) 确认当前是否有其他人在使用OAP连接。
(2) 登录到无线控制器业务板,通过display users命令收集当前访问无线控制器业务板的用户信息:
<Sysname> display users
Idx Line Idle Time Pid Type
0 CON 0 00:00:00 Aug 11 10:06:51 1249
+ 1 VTY 0 00:00:00 Aug 11 10:09:24 1273 TEL
Following are more details.
VTY 0 :
User name: admin
Location: 180.10.1.1
+ : Current operation user.
F : Current operation user works in async mode.
通过该命令可以看到当前登录到无线控制器业务板的用户(此信息说明当前有两个用户,其中“+”开头的用户为自己)可以多次执行上面的命令,如果Idle时间始终为00:00:00,则很大可能是该用户使用了OAP链接。
上面给出了Console用户的显示信息,如果通过Telnet登录发现con 0在线,而且Idle时间始终为00:00:00,则很有可能说明Console用户已经离开,但是使用了OAP连接,所以需要将该用户踢掉,以恢复OAP连接。
(3) 在无线控制器业务板的用户视图下执行free user-interface命令踢掉怀疑使用OAP连接的用户,其中下面的参数VTY和0分别为display users中的Line信息:
<Sysname> free user-interface vty 0
Are you sure to free user-interface vty0? [Y/N]:y
[OK]
(4) 如果踢掉用户成功,再次进行OAP登录,应该可以连接成功,否则可以踢掉所有的用户进行测试。
(5) 如果踢掉所有的用户也没有效果,只有重新启动设备或者联系厂商的维护人员确认。
(1) FIT AP启用本地转发后,在AC上可以看到AP状态为“Run”,但是大约30秒后又切换为“Idle”状态;
(2) 在设备上可以看到如下打印信息:
%Aug 11 10:25:04:225 2018 H3C CWS/4/CWS_AP_DOWN: CAPWAP tunnel to AP a4fa-7679-b390 went down. Reason: Failed to retransmit message.
%Aug 11 10:25:04:273 2018 H3C APMGR/6/APMGR_AP_OFFLINE: AP a4fa-7679-b390 went offline. State changed to Idle.
这是由于下发到FIT AP的本地配置文件将上行以太网接口的PVID修改了,不再是原来的VLAN 1,最终导致AP和AC不通,AC的状态机超时,并断开连接。因此需要修改本地转发文件,保证上行接口PVID为1。
· 目前FIT AP使用VLAN 1获取地址并和AC进行连接,所以必须保证AP上使用VLAN 1能够成功从网络中获取地址,也就是上行口必须支持VLAN 1。
· 如果FIT AP上行交换机为AP分配地址不在VLAN 1中,则FIT AP上行接口的PVID必须配置为VLAN 1。
· 如果FIT AP上行交换机为AP分配地址在VLAN 1中,且要将FIT AP上行接口PVID修改为其他的VLAN,则FIT AP上行接口必须设置支持VLAN 1,而且为tag方式,同时上行交换机也必须保证接口为VLAN 1的tag方式。
· 对于无线用户接入的VLAN,尽量在FIT AP上行接口使用tag方式,否则属于PVID的无线用户报文将在上行交换机被接入到上行交换机接口的PVID的VLAN中。
主AC故障恢复后,AP和Client仍然连在备AC上,不能自动回切。
使用priority命令将主AC上配置的AP优先级设为7,在AC热备功能中,必须将优先级设置为7才支持回切。
<Master_AC> system-view
[Master_AC] wlan ap ap1 model WA6320
[Master_AC-wlan-ap-ap1] priority 7
无线客户端上线后,无法触发Portal认证或者客户端无法弹出Portal认证页面。
(1) 首先检查客户端的设置。
¡ 检查客户端是否分配到正确的VLAN IP地址,检查所在VLAN是否是需要进行Portal认证的VLAN,如果有误请检查DHCP服务器相关配置是否正确。
¡ 如果客户端分配到的地址是正确的,检查客户端的网关IP地址是否是AC上启用Portal认证的接口IP地址。
¡ 检查是否还有别的网卡在使用,导致路由有问题,可在DOS下修改客户端的路由配置。
(2) 检查AC上Portal相关配置是否正确。
¡ 无线服务模板下Portal配置:选择正确的Portal Web服务器和认证方式;
¡ 全局下Portal配置:配置正确的Portal认证服务器IP地址和Portal Web服务器URL,配置正确的免认证规则,放行免认证流量。
(3) 确保以上无误后,仍无法弹出页面,进一步检查Portal认证服务器的配置。
¡ 检查Portal认证服务器上配置的设备IP地址、密钥是否和AC上配置相同;
¡ 检查Portal认证服务器上配置的IP地址组范围,必须是Portal认证VLAN的IP地址范围。
无线客户端可以弹出Portal认证页面,但是输入用户名和密码,提示认证失败。
(1) 首先确保用户名和密码正确。
(2) 如果用户名和密码无误,检查AC上的RADIUS和认证域相关配置:
a. 检查AC是否能和RADIUS服务器互相访问;
b. 检查AC配置的RADIUS认证、授权、计费服务器的IP地址、密钥是否正确;
c. 检查认证域是否配置正确;
d. 检查nas-ip地址是否和RADIUS服务器配置的接入设备IP地址相同。
(3) 确保AC上的配置无误后,进一步检查RADIUS服务器配置:
a. 检查RADIUS服务器上配置的接入设备是否添加了该AC的IP地址以及密钥是否正确;
b. 检查RADIUS服务器上配置的接入服务配置中认证类型是否正确,有无下发不存在的User Profile、ACL等(AC上必须配置相应的User Profile和ACL);
c. Portal认证不支持下发规则中匹配了源的ACL以及rule中带log参数的ACL。
AP最多只能与两台AP建立Mesh连接,无法与第三台AP建立Mesh连接。
AP默认最多只能与其他两台AP建立Mesh连接,如果想与多台AP建立Mesh连接,需要修改Mesh策略。
· 如果AP的射频口下配置了Mesh策略:
a. 首先使用undo mesh-policy命令将Mesh策略与绑定的射频口解绑定;
b. 然后在Mesh策略视图中使用link-maximum-number命令根据实际情况配置允许建立的最大链路数;
c. 最后使用mesh-policy命令将Mesh策略重新绑定到射频。
· 如果AP的射频口下没有配置Mesh策略:
a. 首先使用wlan mesh-policy命令用创建一个新的Mesh策略;
b. 然后在Mesh策略视图中使用link-maximum-number命令根据实际情况配置允许建立的最大链路数;
c. 最后使用mesh-policy命令将Mesh策略绑定到射频;
d. 使用radio enable命令开启射频。
使用两台或多台AP建立Mesh连接,虽然Mesh可以建立成功,但经常up/down。
· 两台AP建立Mesh连接后,可能一台AP启动了STP,另外一个没有启动STP协议,引起Mesh不稳定,所以当只有两台AP建立Mesh连接时,可以不在AP上启动STP协议,或者在两台AP上都启动STP协议。
· 多台AP建立Mesh连接后,可能没有启动STP,造成环路,此时需要在每台AP上都启动STP协议,避免造成环路。
与AC相连的MPP CAPWAP连接正常,Mesh Profile也绑定到射频,但MAP却无法与其建立正常Mesh链路,或经过MAP的ping操作失败。
(1) MPP上需要使用portal-service enable命令配置MPP停止发送邻居探测请求。
(2) MPP和MAP所在的信道应该相同。
Client不能在AC间快速漫游,Client在切换AP时都是重新走认证上线流程,没有走快速漫游流程。
快速漫游需要几个条件,必须满足这些条件才能快速漫游:
· 网卡要支持快速漫游。如果一个Client可以协商采用802.1X(RSN)认证方式,并且在发给FA的reasso消息中携带了PMKID,则该终端具有AC间快速漫游能力;
· AC间建立漫游组,且漫游组处于run状态;
· 服务模板是CCMP+WPA2+dot1x方式。
(1) Client不停的在几个AP间漫游;
(2) Client漫游困难,Client原来关联的AP信号已经很差,但Client仍然不会主动漫游到信号较好的AP上。
· 如果Client不停的在几个AP间漫游,需要将Client的漫游主动性(漫游趋势或漫游灵敏度,仅部分网卡支持,请以网卡的实际情况为准)调低。
· 如果Client漫游困难,需要将Client的漫游主动性(漫游趋势或漫游灵敏度,仅部分网卡支持,请以网卡的实际情况为准)调高。
端口安全配置802.1X采用RADIUS认证,用户关联不成功。
(1) 确认设备和RADIUS服务器之间可以互通。
(2) 检查无线服务模板下配置的WLAN用户接入认证模式是否为dot1x。
(3) 检查AC上的nas-ip地址与服务器端配置是否一致,key配置是否一致。
(4) 如果采用CHAP或PAP认证,需要检查AC上配置的是否携带域名与服务器上的配置是否保持一致。
(5) 通过使用debugging radius packet命令,查看RADIUS服务器和AC报文交互情况。
(6) 检查AC上配置的port-mode和服务器上配置的证书认证类型是否一致。
(7) 查看服务器端配置是否和设备匹配。
(8) 查看客户端的配置是否正确。
802.1X和ACS配合认证时,Client关联到无线服务,下线后再关联,无法关联成功。
在ACS的“System Configuration -> Global Authentication Setup“中将“Enable Fast Reconnect”后面的勾去除。
图4-1 关闭快速重关联功能
802.1X认证过程中,设备端的配置都是正确的,输入用户名和密码也是正确的,但客户端网卡显示一直处于验证身份阶段。
在无线服务模板视图下配置了dot1x handshake enable命令,开启了802.1X在线用户握手功能,就会出现这样的情况,需要使用undo dot1x handshake enable命令关闭802.1X在线用户握手功能。
端口安全配置802.1X采用本地认证,用户关联不成功。
(1) 使用debugging port-security命令检查是否因为没有配置全局端口安全导致没有进行端口安全认证功能。
(2) 确认是否是设备上配置的port-mode不正确,设备上没有PKI证书或者PKI证书过期。
(3) 查看客户端的配置是否正确。
端口安全配置MAC地址认证和PSK认证并采用RADIUS服务器,正确输入PSK密钥后用户关联不成功。
(1) 确认设备和RADIUS服务器之间互通。
(2) 检查是否配置了全局开启端口安全。
(3) 检查AC上的nas-ip地址与服务器端配置是否一致,key配置是否一致。
(4) 用户名是否携带域名要和服务器上配置的用户名一致。
(5) 查看RADIUS服务器端配置是否和设备匹配。
端口安全采用MAC地址和PSK的认证方式,并采用本地认证,正确输入PSK密钥后,Client无法关联上线。
(1) 需要确认配置的local-user用户名是否和user-name-format配置的一致。如果不一致,需要使用mac-authentication user-name-format命令修改MAC地址认证用户的帐号格式。
(2) 如果MAC地址中有字母的,在配置本地用户的时候有可能写成大写。此时需要使用mac-authentication user-name-format命令将用户的MAC地址大写字母改为小写字母,同时将密码改为和用户名一致,如下所示。
[Sysname-luser-00-14-6c-72-29-5c]display this
#
local-user 00-14-6c-72-29-5c
password simple 00-14-6c-72-29-5c
authorization-attribute level 3
service-type lan-access
#
在AC上打开调试信息,AC上能够收到AP的报文,但无法注册。
缺省情况下,自动AP功能处于关闭状态,这种情况的调试信息显示如下:
*Aug 11 15:26:16:766 2018 H3C CWS/7/RCV_PKT: Received discovery request from AP: IP address=180.10.1.67, MAC address=c4ca-d98e-c350,
serial ID=219801A0CLC11B000010.
*Aug 11 15:26:16:767 2018 H3C CWS/7/ERROR: Failed to process discovery request from AP with serial ID 219801A0CLC11B000010:
在设备上使用wlan auto-ap enable命令开启自动AP功能。
用户在云平台上添加云AP设备后,云AP不能在云平台上线。
本类故障的常见原因主要包括:
· 在云平台添加设备时没有正确输入云AP的SN码,导致云AP添加后不能上线。
· 云AP没有连接外网,导致云AP无法在云平台上线。
· 云AP在本地Web页面上的云管理配置不正确,导致云AP无法在云平台上线。
· 云AP已经在AC上线,因为云AP无法同时在AC与云平台上线,导致在云平台上线失败。
图4-2 云AP无法连接至云平台故障排查流程图
(1) 确认在云平台添加设备时正确输入设备的SN码
添加设备时如果输入SN码错误,会导致设备无法在云平台上线。
请取下设备的面板盖,或通过设备背面的铭牌或取设备的SN码。
如果故障仍不能排除,则执行步骤(2)。
(2) 查看云平台是否存在云AP的License
登录云平台账号,在[网络管理/设置/License许可]页面的“License管理”页签中选择“已安装License”查看云平台是否存在云AP License。
图4-3 查看云AP License
新注册的云平台账户拥有云AP试用License,支持最多128台、每台最多180天的试用,试用结束后云AP将自动下线。
¡ 若不存在,请购买并安装正式授权。云AP License授权码及操作方法请参见《H3C云AP License使用指南》。
¡ 若存在,请将License绑定云AP设备。
如果故障仍不能排除,则执行步骤(3)。
(3) 云AP是否连接外网
请确保云AP的上行设备正确接入网络,云AP可以从上行设备动态获取到IP地址,且该地址与公网网络可达。
¡ 若云AP IP地址与公网网络不可达,请参考《H3C 云AP连接绿洲平台典型配置举例(V7)》重新配置网络。
¡ 若云AP IP地址与公网网络可达,则执行步骤(4)。
(4) 云AP的云管理配置是否正确
登录本地Web页面,确保云平台服务器域名填写正确,填写错误将导致云AP无法连接云平台。云AP本地Web页面的云平台服务器域名为cloudnet.h3c.com。
图4-4 本地Web云管理配置
如果故障仍不能排除,则执行步骤(5)。
(5) 云AP的CAPWAP隧道是否断开
云AP同时只能被AC和云平台其中一个管理。云AP已经存在CAPWAP隧道时,无法在云平台上线。
¡ 如果云AP当前已经在AC上线,可以在AC的系统视图下通过undo wlan ap命令删除该云AP,或将云AP与AC间的物理链路断开,以断开AP与AC间的CAPWAP隧道。
¡ 如果云AP没有在AC上线,则执行步骤(6)。
(6) 如果故障仍不能排除,请收集如下信息,并拨打热线400-810-0504求助。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
WIPS反制不生效。
本类故障的常见原因主要包括:
· 超出了Sensor AP的反制覆盖范围。
· Sensor AP的配置不正确。
· WIPS规则的相关配置不正确。
· Sensor AP未向终端以及AP发送deauth帧。
本类故障的诊断流程如图4-5所示。
图4-5 WIPS反制故障诊断流程图
(1) 检查Sensor AP的覆盖范围。
WIPS反制功能的覆盖范围大概是30到50米,超出该范围反制效果就不明显甚至失效。现场可以在开启反制的AP上释放一个测试用SSID,然后使用终端扫描该AP覆盖范围,信号强度大于-75dBm的情况下为满足反制功能的覆盖范围。
(2) 检查Sensor AP的配置。
检查Sensor AP上是否开启了无线反制的功能,是否在指定的Radio口开启了WIPS功能,是否将Sensor AP加入到指定的VSD中。
# 创建AP名称为Sensor,开启WIPS功能。
[AC] wlan ap Sensor model WA6320
[AC-wlan-ap-Sensor] serial-id 219801A28N819CE0002T
[AC-wlan-ap-Sensor] radio 1
[AC-wlan-ap-Sensor-radio-1] radio enable
[AC-wlan-ap-Sensor-radio-1] wips enable
[AC-wlan-ap-Sensor-radio-1] quit
# 配置Sensor加入虚拟安全域vsd1。
[AC-wlan-ap-Sensor] wips virtual-security-domain vsd1
[AC-wlan-ap-Sensor] quit
(3) 检查WIPS规则的相关配置。
检查WIPS规则的相关配置,是否正确定义了分类规则,是否正确的将分类规则关联到分类策略上,是否正确的定义了反制策略,是否正确的将分类策略和反制策略应用于WIPS虚拟安全域中。
# 检查WIPS规则的相关配置。
# 定义WIPS的AP分类规则
wips
ap-classification rule 1
ssid equal rwfz
# 定义WIPS分类策略
classification policy class1
apply ap-classification rule 1 rogue-ap
# 定义WIPS反制策略
countermeasure policy 1
countermeasure rogue-ap
# 定义WIPS虚拟安全域
virtual-security-domain vsd1
apply classification policy class1
apply countermeasure policy 1
(4) 在AC上查看被反制设备的信息。
在AC上通过命令display wips virtual-security-domain countermeasure record来显示指定VSD内被反制设备的信息,以明确下一步操作。
<Sysname> display wips virtual-security-domain vsd1 countermeasure record
Total 3 times countermeasure, current 3 countermeasure record in virtual-security-domain vsd1
Reason: Att - attack; Ass - associated; Black - blacklist;
Class - classification; Manu - manual;
MAC address Type Reason Countermeasure AP Radio ID Time
1000-0000-00e3 AP Manu ap1 1 2016-05-03/09:32:01
1000-0000-00e4 AP Manu ap2 1 2016-05-03/09:32:11
2000-0000-f282 Client Black ap3 1 2016-05-03/09:31:56
(5) 在AC上查看被反制设备的详细信息。
通过命令display wips virtual-security-domain device显示指定VSD内检测到的无线设备的信息,以明确下一步操作。
<Sysname> display wips virtual-security-domain vsd1 device verbose
Total 1 detected devices in virtual-security-domain vsd1
Client: 2000-0000-0000
Last reported associated AP: 1000-0000-0000
Classification: Uncate
Severity level: 0
Classify way: Auto
Dissociative status: No
Status: Active
Status duration: 00h 00m 02s
Vendor: Not found
Radio type: 802.11a
40mhz intolerance: No
Countermeasuring: No
Man in the middle: No
Total number of reported sensors: 1
Sensor 1:
Sensor ID: 2
Sensor name: 1
Radio ID: 1
RSSI: 50
Channel: 149
First reported time: 2014-06-03/14:52:56
Last reported time: 2014-06-03/14:52:56
Reported associated AP: 1000-0000-0000
(6) 空口抓包查看Sensor AP是否发出deauth帧。
当WIPS反制功能没有生效的时候,可以使用无线抓包软件进行空口抓包,查看Sensor AP是否向终端以及AP发送了deauth帧。空口抓包是个比较有效的手段,但是现场通常都没有空口抓包的软件和网卡,如果条件不允许,可以不进行这一步。
图4-6 无线抓包
从deauth帧的Extra byte字段可以看出countermeasure frame的字样,表示该帧是由Sensor AP发出的deauth帧,即反制帧。
(7) 优化操作。
V7不再有对应的命令指定Sensor AP的工作模式。如果AP射频不绑定无线服务模板,则表示只工作在检测反制模式;如果绑定无线服务模板,则表示AP工作在检测反制和接入服务都有的混合模式。如果指定具体信道,AP也能在多个信道进行扫描和反制。AP同时提供WIPS和接入服务时,需要分配接入和探测的时间,会减弱探测反制的功能,所以为了达到更好的防入侵效果,建议AP单独提供WIPS服务。
表4-1 优化操作
|
接入服务时长(ms) |
工作信道扫描时长(ms) |
轮询信道扫描时长(ms) |
普通模式 |
5000 |
100 |
100 |
服务优先 |
通过命令 scan idle-time idle-time判断接入服务空闲了,再扫描 |
100 |
100 |
纯探针及反制 |
自动检测到没有配置接入服务模板,直接周期轮询所有信道 |
0 |
100 |
(8) 版本升级。
新版本对WIPS功能做过优化调整,如果通过以上步骤排查后WIPS反制效果依然不明显,可以考虑将AC版本升级至官网最新版本。新版本针对WIPS功能的调整优化,可以参考版本说明书中的解决问题列表。
(9) 拨打热线400-810-0504寻求帮助。
若上述故障处理方法均无法解决问题,则需要收集如下信息并联系客户服务热线400-810-0504进行处理。
需要收集的信息如下:
¡ AC及AP的版本和型号;
¡ 在AC上通过命令debugging wips countermeasure收集调试信息;
¡ AC的诊断信息。
WA4320E无法连接上行网络。
本类故障的常见原因主要包括:
· WA4320E工作模式与上行无线网络环境不匹配。
· Client模式的连接配置不正确。
· Client模式的漫游配置不正确。
· 上行网络AC侧配置不正确。
本类故障的诊断流程如图4-7所示。
图4-7 WA4320E无法连接上行网络的故障诊断流程图
(1) 查看WA4320E工作模式。
连接WA4320E的管理Wi-Fi并登录到本地WEB页面,登录信息如下:
¡ Wi-Fi名称:H3C_XXXXXX(XXXXXX为设备MAC地址的后六位)。
¡ 本地WEB页面的管理IP地址:10.40.94.1。
超级AGV模式即快速模式下,2.4G频段仅做扫描使用,不提供任何无线接入服务,只有5G频段提供管理Wi-Fi。设备缺省工作在超级AGV模式下,所以进行配置时需要终端支持5G频段。
图4-8 管理Wi-Fi示例
图4-9 查看工作模式
(2) 确认现场无线网络环境。
AGV小车CPE设备上的工作模式分为普通AGV模式和快速AGV模式:
¡ 普通AGV模式:除了提供对外无线连接功能、接入任意第三方WLAN网络外,本身还可以向外提供无线接入服务。
¡ 快速AGV模式:只提供对外无线连接功能,但相对于普通AGV模式其漫游的性能指标更佳,适合已经部署、或计划与CPE设备一起部署H3C WLAN网络的使用场景。如果现场无线环境是第三方无线网络,只能使用普通AGV模式,无法使用快速AGV模式。
(3) 检查Client模式的连接配置
a. 检查普通AGV模式下的连接配置。
检查连接的对端无线网络的信息,确认配置的网络名称和密码是否正确。
图4-10 检查普通AGV模式下的连接配置
b. 检查快速AGV模式的连接配置。
快速AGV模式下,设备支持零配置,在零配置模式下,由于使用的射频策略与快速AGV模式相同,因此两者的漫游性能一样。区别在于2.4G频段的扫描结果新增了“5G是否加密标志位”,WA4320E在5G频段会发送报文询问网络侧提供的无线服务的接入密码,在网络侧的AC设备上开启了无线客户端智能接入功能后,网络侧的AP设备会回复携带无线服务密码的报文,待收到此报文后WA4320E解析报文并完成上线。此功能需要结合H3C WLAN网络使用并且需要在AC上进行额外的配置。
图4-11 检查快速AGV模式的连接配置
(4) 检查WA4320E漫游的相关配置。
表4-2 漫游配置项说明
配置项 |
说明 |
(5G)扫描信道 |
配置扫描信道 |
信道扫描周期 |
射频信道扫描持续的时间 |
决策时间间隔 |
(仅“快速”工作方式支持)设备决定是否进行漫游的时间间隔,每隔一个决策时间间隔,设备会自动检测是否进行漫游 |
扫描时间间隔 |
(仅“普通”工作方式支持)每个信道扫描所间隔的时间 |
保活时间间隔 |
AP给上行设备发送保活报文的时间间隔 |
最大保活次数 |
保活报文超时的最大次数,当链路连接成功后,发送保活报文超时达到最大次数后,则认为此链路不通 |
漫游切换差值 |
(仅“快速”工作方式支持)漫游切换门限,漫游后与漫游前的无线信号的RSSI(Received Singnal Strength Indication,接收信号强度指示)差值,只有差值大于等于配置的漫游切换差值,才会漫游切换 |
触发扫描RSSI |
(仅“普通”工作方式支持)触发扫描的RSSI值 |
大多数场景不需要对漫游参数进行修改,但是也可根据现场实际环境进行调整,注意事项如下:
¡ 信道扫描周期配置过低可能会导致网络扫描不全的情况,影响漫游质量。
¡ 普通AGV模式只需WA4320E的5G进行扫描连接,无需2.4G辅助连接。
¡ 5G信道中雷达信道不支持扫描使用,请勿配置。
图4-12 漫游配置示例
(5) 检查AC侧的配置。
如果WA4320E工作在普通AGV模式,则AC按照正常无线接入配置即可;如果WA4320E工作在快速AGV模式,则AC需要进行额外配置。
# 创建无线服务模板h3c-agv,用于为WA4320E提供无线接入服务。
[AC] wlan service-template h3c-agv
# 配置无线服务模板h3c-agv的SSID为h3c-agv。
[AC-wlan-st-h3c-agv] ssid h3c-agv
# 开启无线客户端智能接入功能(仅在快速AGV零配置模式下需要配置,开启本功能后,可以在仅创建无线服务模板或身份认证与密钥管理模式配置为PSK的情况下,自动将我司配套的无线客户端接入到无线网络)。
[AC-wlan-st-h3c-agv] client smart-access enable
# 配置AKM为PSK,配置PSK密钥,使用明文的字符串12345678作为共享密钥。
[AC-wlan-st-h3c-agv] akm mode psk
[AC-wlan-st-h3c-agv] preshared-key pass-phrase simple 12345678
# 配置CCMP为加密套件,配置RSN为安全信息元素。
[AC-wlan-st-h3c-agv] cipher-suite ccmp
[AC-wlan-st-h3c-agv] security-ie rsn
# 开启无线服务。
[AC-wlan-st-h3c-agv] service-template enable
[AC-wlan-st-h3c-agv] quit
# 创建无线服务模板h3c-agv-2g,用于为WA4320E提供漫游辅助无线服务。
[AC] wlan service-template h3c-agv-2g
[AC-wlan-st-h3c-agv-2g] ssid h3c-agv-2g
[AC-wlan-st-h3c-agv-2g] service-template enable
[AC-wlan-st-h3c-agv-2g] quit
# 进入AP组g1的5GHz射频视图。
[AC] wlan ap-group g1
[AC-wlan-ap-group-g1] ap-model WA5320-SI
[AC-wlan-ap-group-g1-ap-model-WA5320-SI] radio 1
# 配置固定信道(请根据实际组网情况避开干扰信道,避免干扰)。
[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-1] channel 36
# 将网络侧的无线接入服务h3c-agv绑定到AP组g1的5GHz射频下。
[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-1] service-template h3c-agv
# 开启射频功能。
[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-1] radio enable
[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-1] quit
# 进入AP组g1的2.4GHz射频视图。
[AC-wlan-ap-group-g1-ap-model-WA5320-SI] radio 2
# 配置固定信道(请根据实际组网情况干扰避开,避免干扰)。
[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-2] channel 1
# 将网络侧的漫游辅助无线服务h3c-agv-2g绑定到AP组g1的2.4GHz射频下。
[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-2] service-template h3c-agv-2g
# 开启射频功能。
[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-2] radio enable
# 在2.4GHz射频上开启漫游增强功能,指定携带网络侧的无线接入服务h3c-agv的信息(快速AGV模式和快速AGV零配置模式必须配置此命令)。
[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-2] roam-enhance ssid h3c-agv
完整的详细配置请参见官网的部署手册。
(6) 收集WA4320E系统日志信息。
可以通过本地WEB的高级功能获取设备的系统日志信息。
图4-13 获取系统日志
图4-14 系统日志包含信息
(7) 拨打热线400-810-0504寻求帮助。
若上述故障处理方法均无法解决WA4320E故障问题,则需要收集如下信息并联系400-810-0504进行处理。
需要收集的信息如下:
¡ 具体故障现象;
¡ AC配置;
¡ WA4320E系统日志。
Remote AP功能不生效,即当AC与AP间隧道断开后,出现在线终端下线和新终端无法接入的故障。
报文转发位置配置在AC上,导致Remote AP功能不生效。
本类故障的诊断流程如图4-15所示。
图4-15 Remote AP功能不生效故障排查流程图
(1) 检查是否开启Remote AP功能
查看AP/AP组配置,确认在需要Remote AP功能的AP上开启了功能。具体操作步骤为进入AP/AP组视图,执行display this命令查看AP/AP组当前配置,以下文的操作为例。
<AC> system-view
[AC] wlan ap ap1
[AC-wlan-ap-ap1] display this
#
wlan ap ap1 model WA5320
vlan 1
bonjour enable
hybrid-remote-ap enable
rfid-tracking aeroscout enable
rfid-tracking cupid enable
radio 1
type dot11a
radio enable
radio 2
gigabitethernet 1
gigabitethernet 2
#
¡ 如果没有在AP/AP组配置Remote AP功能,则需要在AP/AP组视图下执行hybrid-remote-ap enable命令开启Remote AP功能。
¡ 如果AP/AP组配置了Remote AP功能,则继续执行步骤(2)。
查看终端接入的的无线服务模板配置,仅当终端数据报文的转发位置在AP上时,Remote AP功能才会生效。具体操作步骤为进入无线服务模板视图,执行display this命令查看当前配置,以下文的操作为例。
<AC> system-view
[AC] wlan service-template 1
[AC-wlan-st-1]display this
#
wlan service-template 1
ssid service
client forwarding-location ap
akm mode psk
preshared-key pass-phrase cipher $c$3$X2Rlxl49vpJ158WfBfCMdjt0NpHVdUHApNcS
cipher-suite ccmp
security-ie rsn
ip verify source
service-template enable
#
¡ 如果终端数据报文转发位置为AC,则在无线服务模板视图下,通过client forwarding-location ap命令配置数据报文转发位置为AP。
¡ 如果终端数据报文转发位置为AP,请继续执行步骤(3)。
(3) 如果故障仍然未能排除,请收集如下信息,并拨打热线400-810-0504求助。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
当AC与AP间隧道断开,Remote AP功能生效后,原有终端业务不受影响,新终端出现无法接入的故障。
本类故障的常见原因主要包括:
· 终端认证/关联位置没有配置在AP上,导致新终端无法完成关联/认证流程。
· 当使用远程认证时,没有将相关配置下发给AP,导致新终端无法接入。
· 当使用本地MAC认证时,没有将相关配置下发给AP,导致新终端无法接入。
图4-16 原有终端业务不受影响,新终端无法接入故障排查流程图
(1) 查看终端关联/认证位置
查看终端接入的的无线服务模板配置。具体操作步骤为进入无线服务模板视图,执行display this命令查看当前配置,以下文的操作为例。
<AC> system-view
[AC] wlan service-template 1
[AC-wlan-st-1]display this
#
wlan service-template 1
ssid service
client forwarding-location ap
client association-location ap
client-security authentication-location ap
akm mode psk
preshared-key pass-phrase cipher $c$3$X2Rlxl49vpJ158WfBfCMdjt0NpHVdUHApNcS
cipher-suite ccmp
security-ie rsn
ip verify source
service-template enable
#
¡ 如果终端关联位置或用户接入认证位置为AC,则在无线服务模板视图下,通过client association-location ap配置终端关联位置为AP,通过client-security authentication-location ap命令配置用户接入认证位置为AP。
¡ 如果如果终端关联位置和用户接入认证位置为AP,请继续执行步骤(2)。
Remote AP场景下,新接入终端无需进行Portal认证,可以直接访问网络。
使用远程认证对于原有终端业务不受影响,对于新接入终端则需要保证以下两点,才能接入。
a. AP和远程认证服务器网络互通。
b. 全部的远程认证配置通过map文件等方式下发AP。
因为远程认证对AP的资源占用和性能影响较大,故不建议在Remote AP场景下使用远程认证。
¡ 如果配置了远程认证,建议修改配置,采用本地认证。
¡ 如果没有配置远程认证,请继续执行步骤(3)。
Remote AP场景下,Portal认证会失效,新终端无需认证,可以直接访问网络。
如果配置了本地MAC认证,需要将domain以及local-user都通过map文件等方式下发到AP,才能保证新终端的正常接入。下文以map文件方式下发配置的操作为例。
# 编辑apcfg.txt配置文件,内容为:
system-view
vlan 44
Interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 44
#
domain mac1
Authorization-attribute idle-cut 15 1024
Authentication lan-access local
#
local-user 3cf0114e7811 class network
password simple 3cf0114e7811
service-type lan-access
#将配置文件apcfg.txt上传至AC。(略)
# 在AC上将配置文件apcfg.txt下发到AP。
[AC-wlan-ap-ap1] map-configuration apcfg.txt
[AC-wlan-ap-ap1] quit
¡ 如果没有配置本地认证,请继续执行步骤(4)。
(4) 如果故障仍不能排除,请收集如下信息,并拨打热线400-810-0504求助。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
802.1X认证下发ACL失败。
本类故障的常见原因主要包括:
· 802.1X认证配置不正确。
· AC上没有配置对应的ACL或者ACL配置不正确。
· AC与服务器路由不可达。
· 服务器侧下发的ACL编号不正确。
· 本地转发模式下,AP的MAP文件中没有增加对应的ACL配置。
· 服务器没有下发ACL属性。
本类故障的诊断流程如图4-17所示。
图4-17 802.1X认证下发ACL失败的故障诊断流程图
(1) 检查802.1X认证配置。
根据802.1X认证的典型配置检查AC上相关配置是否正确。例如:检查Radius scheme配置是否正确,Domain调用是否正确,无线服务模板下的802.1X认证配置是否正确。
(2) 检查AC上ACL配置。
认证服务器只下发ACL的编号,如果AC上没有配置对应的ACL则不会授权生效,且需要检查对应ACL的配置是否正确。
可通过命令display acl查看AC上ACL配置:
[AC] display acl 3001
Advanced IPv4 ACL 3001, 1 rule,
ACL's step is 5
rule 1 deny ip destination 192.168.137.6 0
(3) 检查AC与服务器侧通信是否正常。
802.1x认证需要AC与服务器直接交互Radius协议报文,并使用命令radius nas-ip指定的IP地址通信,因此需要保证AC上radius nas-ip指定的IP地址与服务器路由可达。
可通过命令ping –a source-IP-address destination-IP-address检查AC与服务器侧通信是否正常:
<AC> ping –a 192.168.137.6
1.1.1.3
Ping 1.1.1.3 (1.1.1.3) from 192.168.137.6: 56 data bytes, press CTRL_C to break
56 bytes from 1.1.1.3: icmp_seq=0 ttl=255 time=0.945 ms
56 bytes from 1.1.1.3: icmp_seq=1 ttl=255 time=0.556 ms
56 bytes from 1.1.1.3: icmp_seq=2 ttl=255 time=0.530 ms
56 bytes from 1.1.1.3: icmp_seq=3 ttl=255 time=0.550 ms
56 bytes from 1.1.1.3: icmp_seq=4 ttl=255 time=0.538 ms
(4) 查看服务器侧下发的ACL编号是否正确。
802.1X认证时,服务器会在Radius的2号报文中携带需要下发给终端的ACL编号,需要检查终端侧收到服务器下发的ACL编号是否正确。
可通过命令display wlan client mac-address mac-address verbose查看终端侧收到服务器下发的ACL编号:
<AC> display wlan client mac-address 0015-00ba-0428 verbose
Total number of clients: 1
MAC address : 0015-00ba-0428
IPv4 address : 138.200.0.1
IPv6 address : N/A
Username :
wjh1x
…
AKM mode : 802.1X
Cipher suite : CCMP
User authentication mode : 802.1X
Authorization ACL ID : 3001
如果ACL下发失败,则“Authorization ACL ID”字段会显示为N/A;如果ACL下发成功,则“Authorization ACL ID”字段会显示具体的ACL编号。
(5) 检查本地转发的MAP文件配置。
检查该无线服务的转发方式,如果是本地转发则需要在对应AP的MAP文件中增加对应ACL的配置。
可通过命令more apcfg.txt查看MAP文件的配置:
<AC> more apcfg.txt
system-view
vlan 200
quit
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 200
(6) 检查服务器是否下发ACL属性。
按照Radius协议规范,服务器会在Radius 2号报文中携带ACL授权属性。可通过抓包的方式查看Radius的coed 2报文中是否存在attribute value pairs字段,下发的值是否就是对应的ACL值。
图4-18 检查服务器是否下发ACL属性
(7) 拨打热线400-810-0504求助。
如果根据上述相关步骤排查还是无法解决ACL下发失败的问题,请收集AC的诊断和抓包信息,拨打400-810-0504热线寻求帮助。
AC+FIT AP组网采用集中转发模式时,无线终端可以连接无线网络,但无法取得IP地址,导致终端不能上网。
因为集中转发和本地转发的故障处理步骤不同,首先需要查看当前转发模式。在AC的任意视图下,执行display wlan service-template verbose命令查看无线服务模板的转发模式。Forwarder字段显示为AC时,说明是集中转发。
<AC> display wlan service-template 1 verbose
Service template name : 1
Description : Not configured
SSID : 123
…
Forwarder : AC
本类故障的常见原因主要包括:
· 设备的VLAN配置不正确,导致终端获取不到IP地址。
· 设备的接口配置不正确,导致终端获取不到IP地址。
· 无线终端与DHCP Server中间链路不通。
· 配置基于VLAN的用户隔离功能时,网关实际MAC地址与配置的MAC地址不对应,使得DHCP和ARP广播报文被阻断,导致终端获取不到IP地址。
· 无线终端与DHCP Server间的DHCP报文交互流程出现问题,导致终端获取不到IP地址。
本类故障的诊断流程如图4-19所示。
图4-19 集中转发下无线终端无法获取IP地址故障排查流程图
(1) 检查组网中的VLAN配置
集中转发模式下,客户端的数据流量由AP通过CAPWAP隧道透传到AC,由AC转发数据报文。实际使用中通常会划分AP上线的管理VLAN和无线终端接入的业务VLAN,数据报文通过管理VLAN发送至AC,AC再通过业务VLAN转发数据报文,所以需要在AC转发业务报文的链路上放通业务VLAN,否则终端无法取得IP地址。
业务VLAN有多种配置方式,其优先级为认证授权VLAN>Radio接口绑定VLAN>服务模板指定VLAN。
如图4-20所示,核心交换机作为网关,AC旁挂在核心交换机上,AP与接入交换机相连。需要在AC转发无线业务报文的链路,即AC-Switch1链路放通业务VLAN200。
在设备的任意视图下,通过display current-configuration命令查看本设备全部VLAN配置。
<Sysname> display current-configuration
#
vlan 100
#
vlan 200
#
…
#
interface Vlan-interface100
ip address 192.1.1.1 255.255.0.0
#
interface Vlan-interface200
ip address 192.2.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100 200
¡ 如果设备的VLAN配置不正确,请参考上文举例或依据实际情况修改配置。
¡ 如果设备的VLAN配置正确,则继续执行步骤(2)。
物理接口配置错误可能导致VLAN放通失败。如图4-20所示组网中,需要将AC与网关Switch1链路的物理接口GE1/0/1和GE1/0/2配置为Trunk模式并允许业务VLAN200通过。
在设备的任意视图下,通过display current-configuration命令查看本设备全部接口配置。
¡ 如果设备的接口配置不正确,请参考上文举例或依据实际情况修改配置。
¡ 如果设备的接口配置正确,则继续执行步骤(3)。
如果中间链路网络不通,终端无法通过DHCP方式获取IP地址。有两种方式可以判断中间链路网络是否可通:
a. 在DHCP Server(通常是网关设备,也可能是AC)的任意视图下执行display mac-address命令查看MAC地址表中是否存在无线终端的MAC地址,以及对应VLAN是否正确。如果正确学习到无线终端MAC地址,说明二层网络互通,反之则不通。
<Sysname> display mac-address
MAC Address VLAN ID State Port/Nickname Aging
0008-2246-da06 200 Client WLAN-BSS1/0/527 N
5098-b853-5201 790 Learned BAGG1 Y
b. 为无线终端手动配置与网关处于同一网段的静态IP地址,再去Ping网关。如果Ping通,则说明中间链路网络互通。
¡ 如果中间链路网络不通,请排查中间链路网络故障。
¡ 如果中间链路网络互通,请继续执行步骤(4)。
(4) 查看基于VLAN的二层隔离功能配置
为了降低骨干网络对无线局域网的广播报文数量,无线网络可能配置了基于VLAN的二层隔离。一般将permit-mac配置为网关的MAC地址,当网络存在调整,网关MAC地址变化时,如果没有修改二层隔离的配置,会造成广播报文不通的情况,此时无线终端无法通过DHCP方式获取IP地址。典型的配置如下:
# 在VLAN 200上开启用户隔离功能,允许访问MAC地址为00bb-ccdd-eeff的设备(允许的MAC地址通常为网关MAC地址),同时禁止有线用户(permit-mac允许的mac地址除外)发送广播、组播报文给无线用户。
<AC> system-view
[AC] user-isolation vlan 200 enable
[AC] user-isolation vlan 200 permit-mac 00bb-ccdd-eeff
[AC] undo user-isolation permit-broadcast
查看基于VLAN的二层隔离功能配置的方法为,在AC的任意视图下执行display user-isolation statistics命令,以下文为例:
<Sysname> display user-isolation statistics
Number of VLANs enabled with user isolation: 2
Number of VLANs disabled with user isolation: 1
VLAN Status Drops Permit-Unicast Permitted MACs Permit IPv4|I
Pv6 Acl
4 Enabled 0 Y N/A 3001|3002
200 Enabled 0 Y 00bb-ccdd-eeff N/A|N/A
5 Enabled 0 Y N/A N/A|N/A
¡ 如果基于VLAN的二层隔离功能配置不正确,请参照举例修改配置。
¡ 如果基于VLAN的二层隔离功能配置正确,或没有配置本功能,请继续执行步骤(5)。
(5) 如果故障仍然未能排除,请收集如下信息,并拨打热线400-810-0504求助。
¡ 在AP的上行接口抓包来判断DHCP报文交互过程。
设备间DHCP交互不完整时,终端无法获取IP地址。如所示,完整的DHCP交互流程,需要完成四个报文交互:
表4-3 完整的DHCP交互流程
DHCP报文类型 |
描述 |
DHCP Discover |
DHCP客户端会在本地网络内以广播方式发送请求报文,即DHCP Discover报文,目的是发现网络中的DHCP服务器。 所有收到Discover报文的DHCP服务器都会发送回应报文,DHCP客户端据此可以知道网络中存在的DHCP服务器的位置。 |
DHCP Offer |
DHCP服务器收到Discover报文后,会在所配置的地址池中选取IP地址,加上相应的租约期限、网关和DNS服务器等信息,通过Offer报文告知客户端该服务器可用。 |
DHCP Request |
DHCP客户端可能会收到很多Offer报文,客户端通常选择第一个回应Offer报文的服务器作为自己的目标服务器,并回应一个广播Request报文通告选择的服务器。在DHCP客户端成功获取IP地址后,也会通过Request报文续延租期。 |
DHCP ACK |
DHCP服务器收到Request报文后,根据Request报文中携带的用户MAC来查找是否存在相应的租约记录,若存在,则发送ACK报文作为回应,通知用户可以使用分配的IP地址。 |
图4-21 抓包DHCP报文完整交互过程
¡ 在DHCP Server通过debugging dhcp server命令收集信息,判断终端是否发送了DHCP请求。
收到客户端发送的DHCP Discovery报文的Debug信息如下:
*Oct 14 11:43:09:422 2020 AC DHCPS/7/PACKET:
From 0.0.0.0 port 68, interface M-GigabitEthernet0/0/0
Message type: REQUEST (1)
Hardware type: 1, Hardware address length: 6
Hops: 0, Transaction ID: 650682081 //同一个DHCP交互关注TID是否相同
Seconds: 0, Broadcast flag: 1
Client IP address: 0.0.0.0 Your IP address: 0.0.0.0
Server IP address: 0.0.0.0 Relay agent IP address: 0.0.0.0
Client hardware address: 782c-2962-b098
Server host name: not configured
Boot file name: not configured
DHCP message type: DHCPDISCOVER (1) // DHCP报文类型
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
AC+FIT AP组网采用本地转发模式时,无线终端可以连接无线网络,但无法取得IP地址,导致终端不能上网。
因为集中转发和本地转发的故障处理步骤不同,首先需要查看当前转发模式。在AC的任意视图下,执行display wlan service-template verbose命令查看无线服务模板的转发模式。Forwarder字段显示为AP时,说明是本地转发。
<AC> display wlan service-template 1 verbose
Service template name : 1
Description : Not configured
SSID : 123
…
Forwarder : AP
本类故障的常见原因主要包括:
· 设备的VLAN配置不正确,导致终端获取不到IP地址。
· 设备的接口配置不正确,导致终端获取不到IP地址。
· 无线终端与DHCP Server中间链路不通。
· 无线终端与DHCP Server间的DHCP报文交互流程出现问题,导致终端获取不到IP地址。
· 配置基于VLAN的用户隔离功能时,下发给FIT AP的网关实际MAC地址与配置的MAC地址不对应,使得DHCP和ARP广播报文被阻断,导致终端获取不到IP地址。
· 在需要终端漫游的场景下,AP上行未能放通全部业务VLAN,终端漫游时可能无法上线。
图4-22 本地转发下无线终端无法获取IP地址故障排查流程图
(1) 检查组网中的VLAN配置
本地转发模式下,无线终端和AC间会通过CAPWAP隧道交互控制报文,并由AP转发数据报文。实际使用中通常会区别AP上线的管理VLAN和无线终端接入的业务VLAN,所以需要在AP转发业务报文的链路上放通业务VLAN,否则终端无法取得IP地址。
业务VLAN有多种配置方式,其优先级为认证授权VLAN>Radio接口绑定VLAN>服务模板指定VLAN。
如图4-23所示,核心交换机作为网关,AC旁挂在核心交换机上,AP与接入交换机相连。在AP转发无线业务报文的链路,即Switch1-Switch2-AP链路放通业务VLAN200。
检查VLAN配置的方法为,在设备的任意视图下,通过display current-configuration命令查看全部VLAN配置。
<Sysname> display current-configuration
#
vlan 100
#
…
#
interface Vlan-interface100
ip address 192.1.1.1 255.255.0.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 100
¡ 如果设备的VLAN配置不正确,请参考上文举例或依据实际情况修改配置。
¡ 如果设备的VLAN配置正确,则继续执行步骤(2)。
物理接口配置错误可能导致VLAN放通失败。如图4-23所示组网中,正确的物理接口配置如下:
a. 本地转发模式下,需要将AP的与上行设备的物理接口加入客户端上线的VLAN。可以在AC上通过编辑好的MAP文件,或远程配置功能下发给AP,本章节以MAP文件为例进行介绍。
无线终端在VLAN 200上线,则需要将AP与Switch相连的接口interface GigabitEthernet 1/0/1加入VLAN 200,MAP文件的内容如下:
apcfg.txt的内容,要求为文本文件,按照命令行配置的顺序编写文本文件上传至AC即可,AC与AP关联后,通过map-configuration命令下发至AP生效。从而完成对AP的配置。
# apcfg.txt配置文件为:
system-view
vlan 200
quit
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 200
b. 将网关Switch1下行接口、接入交换机链路Switch2的上下行物理接口配置为Trunk模式并VLAN200通过,Switch2与AP连接的GE1/0/2接口的PVID配置为100。
检查中间设备配置的方法为,在任意视图下通过display current-configuration命令查看中间设备全部VLAN和接口配置。
<Sysname> display current-configuration
#
vlan 100
#
vlan 200
#
interface Vlan-interface100
ip address 192.1.1.2 255.255.0.0
#
interface Vlan-interface200
ip address 192.2.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 100
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100 200
port trunk pvid vlan 100
#
¡ 如果设备的接口配置不正确,请参考上文举例或依据实际情况修改配置。
¡ 如果设备的接口配置正确,则继续执行步骤(3)。
如果中间链路网络不通,终端无法通过DHCP方式获取IP地址。有两种方式可以判断中间链路网络是否可通:
a. 在DHCP Server(通常是网关设备,也可能是AC)的任意视图下执行display mac-address命令查看MAC地址表中是否存在无线终端的MAC地址,以及对应VLAN是否正确。如果正确学习到无线终端MAC地址,说明二层网络互通,反之则不通。
<Sysname> display mac-address
MAC Address VLAN ID State Port/Nickname Aging
0008-2246-da06 200 Client WLAN-BSS1/0/527 N
5098-b853-5201 790 Learned BAGG1 Y
b. 为无线终端手动配置与网关处于同一网段的静态IP地址,再去Ping网关。如果Ping通,则说明中间链路网络互通。
¡ 如果中间链路网络不通,请排查中间链路网络故障。
¡ 如果中间链路网络互通,请继续执行步骤(4)。
(4) 检查下发给FIT AP的基于VLAN的二层隔离功能配置
为了降低骨干网络对无线局域网的广播报文数量,无线网络可能配置了基于VLAN的二层隔离。一般将permit-mac配置为网关的MAC地址,当网络存在调整,网关MAC地址变化时,如果没有修改二层隔离的配置,会造成广播报文不通的情况,此时无线终端无法通过DHCP方式获取IP地址。本地转发下,需要将配置下发至AP,典型的配置如下:
# apcfg.txt配置文件为:
system-view
system-view
user-isolation vlan 200 permit-mac 000f-e212-7788
user-isolation vlan 200 enable
¡ 如果基于VLAN的二层隔离功能配置不正确,请参照举例修改配置。
¡ 如果基于VLAN的二层隔离功能配置正确,或没有配置本功能,请继续执行步骤(5)。
(5) 查看漫游场景下AP是否放通全部业务VLAN
在漫游场景下,如果无线网络中存在多个终端上线的业务VLAN,则无线网络中的每个AP都需要在上行接口放通全部业务VLAN,否则在终端漫游时,可能无法连接至无线网络。如图4-24所示,需要在AP1、AP2和AP3的GE1/0/1接口将VLAN100、VLAN200和VLAN300全部放通。通过MAP文件向AP下发配置的操作请参考步骤(2)。
¡ 如果漫游场景存在多个业务VLAN且AP上行接口未全部放通,请参考上文举例或实际情况进行修改。
¡ 如果所有AP上行接口放通了全部业务VLAN,则故障原因可能是DHCP Server与无线客户端间的DHCP报文交互出现问题,请继续执行步骤(6)。
(6) 如果故障仍然未能排除,请收集如下信息,并拨打热线400-810-0504求助。
¡ 在AP的上行接口抓包来判断DHCP报文交互过程。
设备间DHCP交互不完整时,终端无法获取IP地址。完整的DHCP交互流程,需要完成四个报文交互:
表4-4 完整的DHCP交互流程
DHCP报文类型 |
描述 |
DHCP Discover |
DHCP客户端会在本地网络内以广播方式发送请求报文,即DHCP Discover报文,目的是发现网络中的DHCP服务器。 所有收到Discover报文的DHCP服务器都会发送回应报文,DHCP客户端据此可以知道网络中存在的DHCP服务器的位置。 |
DHCP Offer |
DHCP服务器收到Discover报文后,会在所配置的地址池中选取IP地址,加上相应的租约期限、网关和DNS服务器等信息,通过Offer报文告知客户端该服务器可用。 |
DHCP Request |
DHCP客户端可能会收到很多Offer报文,客户端通常选择第一个回应Offer报文的服务器作为自己的目标服务器,并回应一个广播Request报文通告选择的服务器。在DHCP客户端成功获取IP地址后,也会通过Request报文续延租期。 |
DHCP ACK |
DHCP服务器收到Request报文后,根据Request报文中携带的用户MAC来查找是否存在相应的租约记录,若存在,则发送ACK报文作为回应,通知用户可以使用分配的IP地址。 |
图4-25 抓包DHCP报文完整交互过程
¡ 在DHCP Server通过debugging dhcp server命令收集信息,判断终端是否发送了DHCP请求。
收到客户端发送的DHCP Discovery报文的Debug信息如下:
*Oct 14 11:43:09:422 2020 AC DHCPS/7/PACKET:
From 0.0.0.0 port 68, interface M-GigabitEthernet0/0/0
Message type: REQUEST (1)
Hardware type: 1, Hardware address length: 6
Hops: 0, Transaction ID: 650682081 //同一个DHCP交互关注TID是否相同
Seconds: 0, Broadcast flag: 1
Client IP address: 0.0.0.0 Your IP address: 0.0.0.0
Server IP address: 0.0.0.0 Relay agent IP address: 0.0.0.0
Client hardware address: 782c-2962-b098
Server host name: not configured
Boot file name: not configured
DHCP message type: DHCPDISCOVER (1) // DHCP报文类型
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
(1) FIT AP无法成功注册到AC上,AC收不到任何该AP的报文,该AP无法动态获取IP地址;
(2) 使用客户端替换FIT AP后,客户端可以成功获取IP地址并使用网络资源;
(3) 通过抓包和调试可以发现AP已经正常发送了DHCP discover报文申请IP地址,然而却没有收到DHCP offer报文,而通过DHCP server信息发现已经收到了Discover报文并且回应offer报文。
(1) FIT AP配置静态IP地址可以和AC互通,并且注册到AC设备上;
(2) 在DHCP server位置挂一台PC 1,将AP替换成PC 2,两台PC都配置静态IP地址(IP地址为DHCP server要分配的网段地址);
(3) 清除两台PC的ARP,此时PC 1无法ping通PC 2,但是PC 2可以ping通PC 1;
(4) 因此可以断定广播上行OK,但是下行不通;
(5) 通过逐个设备上镜像抓包,确定丢包位置,排查下行广播报文丢失情况。
Client连接到了一个信号相对较弱的AP上,而没有连接到相对信号较强且距离较近的AP上。
(1) 请确认客户端分布是否合理,不要造成大量客户端聚集在某个AP附近,否则即使负载均衡到其他的AP上,也会因为信号强度相差太大而触发频繁的漫游。
(2) 如果发生Client无法连接的情况,要关闭负载均衡后再进行观察。
(3) 基于流量的负载均衡不宜控制,不建议使用,尤其是有些加密、安全配置限制了AP的接入数量的情况下(例如TKIP加密使得AP只能接入28个用户),建议使用基于会话的负载均衡。
AP同时具备网口PoE供电和电源适配器供电的情况下,如果电源适配器处于供电工作状态,此时断开电源适配器时系统会重启,同时系统会切换到由网口PoE供电。
AP存在网口PoE供电和电源适配器供电两种供电方式,如果AP处于电源适配器供电工作状态,而网口PoE在此次上电期间没有供过电,当断开电源适配器供电时,网口PoE会依次进行检测>分级>供电,在网口PoE重新供电过程中,设备经过了断电重新上电的过程,所以系统会重启。
可以通过系统的电源指示灯确认,因为电源指示灯会灭,然后再常亮。
该问题属于系统网口PoE供电固有的特性造成,不算问题,无需解决。
设置AP分片门限为256,Client关联到AP上后,从AP上ping客户端,指定选项–s 500,抓包确认,发现ping包并未分片。
WMM协议规定,开启WMM功能后不支持报文分片,所以需要使用wmm disable命令将WMM功能关掉后再测试报文分片功能。
打开客户端上的无线网卡后,刷新无线网络列表,提示Windows无法配置无线连接,而WirelessZeroConfigure服务已经启动。
客户端上安装了该无线网卡自己携带的或者其它无线网卡客户端管理软件(例如H3C iNode无线客户端软件)。此时需要卸载或者退出该无线网卡客户端管理软件和其它相关客户端管理软件(包括H3C iNode客户端等),然后开启WirelessZeroConfigure服务。
客户端无法通过Web登录AC,提示无法显示网页,但是从客户端可以Ping 通AC,也可以Telnet登录到AC。
(1) 关闭Windows防火墙,Windows系统自带的防火墙开启后偶尔会造成此现象。
(2) Telnet登录到AC,检查AC配置,将HTTP和HTTPS功能开启。
无法修改自动AP方式生成的AP服务模板。
系统固有实现,不支持修改自动AP方式下的AP服务模板。用户需要通过wlan auto-ap persistent命令将自动AP固化为手工AP后才能修改AP服务模板。
当AP通过版本预下载方式从V7旧版本升级到V7新版本时,AP出现版本升级失败的现象。
本类故障的常见原因主要包括:
· 下载过程中AP掉线
· AP内存不足
· 预下载文件不存在
· AP版本重传失败
· AP应答版本下载报文超时
本类故障的诊断流程如图5-1所示。
图5-1 AP通过版本预下载方式升级版本失败故障诊断流程图
当AP开始进行版本预下载时,可通过执行display wlan ap statistics image-download命令查看AP软件版本预下载进度、花费时间、本次需要进行版本升级的AP的数量、下载成功的AP的数量、正在下载版本的AP的数量,下载版本失败的AP的数量。
(1) 当AP出现版本预下载失败时,请执行display wlan ap statistics image-download failed命令查看AP预下载失败的原因。
[Sysname] display wlan ap statistics image-download failed
AP name Failure reason
ap1 Tunnel down
ap2 AP memory not enough
ap3 Image file does not exist
¡ 如果提示失败原因为“Tunnel down”,表示AP下线。请检查AP链路,并使AP在AC上重新上线,然后重新配置AC给AP下发版本。
¡ 如果提示失败原因为“AP memory not enough”,表示AP内存不足。建议重启AP或删除不用的文件,等AP重新上线后再进行预下载。
¡ 如果提示失败原因为“Image file does not exist”,表示文件不存在。请检查文件是否存在或出现异常,具体可参见5.9 (2)。
¡ 如果提示失败原因为“Retransmission failed”,表示AP版本重传失败。请检查网络,确认网络是否存在大延时或丢包。
¡ 如果提示失败原因为“Time out”,表示AP应答版本下载报文超时。请检查网络,确认网络是否存在大延时或丢包。
(2) 通过以上步骤分析依旧无法解决问题,请在AC、AP上收集版本升级失败的完整过程信息,并联系H3C售后技术人员分析处理。
<Sysname>debugging wlan capwap error all
<Sysname>terminal debugging
The current terminal is enabled to display debugging logs.
<Sysname>terminal monitor
The current terminal is enabled to display logs.
当AP通过AC自动从V7旧版本升级到V7新版本时,AP出现版本升级失败的现象。
本类故障的常见原因主要包括:
· AC未升级到最新版本
· AC的ipe文件里没有对应AP的ipe文件
· AC已关闭AP版本升级功能
· AC的版本和AP要升级版本不一致
本类故障的诊断流程如图5-2所示。
图5-2 AP通过AC自动升级版本失败故障诊断流程图
(1) 执行display version命令确认AC版本是否已经升级到新版本。
¡ 如果AC已经升级到最新版本,请参见步骤(2)。
[Sysname]display version
H3C Comware Software, Version 7.1.064, ESS 5568
Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.
H3C WX2560X uptime is 1 week, 0 days, 8 hours, 10 minutes
¡ 如果AC没有升级到最新版本,请参考对应软件版本说明书重新升级AC到最新版本。
(2) 通过查看软件版本说明书,了解待升级AP的ipe文件相关信息,并执行dir apimge命令查看AC的ipe文件里是否有对应AP的ipe文件,以及确认文件大小是否正确。
¡ 如果AC的ipe文件里存在对应AP的ipe文件且文件无问题,请参见步骤(3)。
<Sysname>dir apimge
Directory of cfa0:/apimge
0 -rw- 14518272 Jun 07 2021 03:56:22 wa4300h.ipe
1 -rw- 14533632 Jun 07 2021 03:56:16 wa4300s.ipe
2 -rw- 23323648 Jun 07 2021 03:56:18 wa5300.ipe
3 -rw- 48217088 Jun 07 2021 03:56:32 wa6300.ipe
4 -rw- 48883712 Jun 07 2021 03:57:00 wa6300a.ipe
5 -rw- 36919296 Jun 07 2021 03:56:26 wa6500.ipe
6 -rw- 52670464 Jun 07 2021 03:57:06 wa6500a.ipe
7 -rw- 50496512 Jun 07 2021 03:57:12 wa6500b.ipe
8 -rw- 63531008 Jun 07 2021 03:56:38 wa6600.ipe
¡ 如果AC的ipe文件里不存在对应AP的ipe文件或文件异常,请到官网“产品支持与服务/文档与软件/软件下载/无线”路径下载对应产品的版本文件压缩包,解压后将需要的AP文件上传到设备的\apimge路径下即可。
WX2500H系列、3010H等系列的AC的ipe文件中无部分型号AP的ipe文件,具体可参见对应版本说明书。其它系列的AC默认都会包含所有AP的ipe文件,不需要单独上传AP的ipe文件。
(3) 查看AC的AP视图、AP组视图或者全局视图下是否配置了firmware-upgrade disable命令(系统默认是firmware-upgrade enable)。
¡ 如果配置了firmware-upgrade disable命令,则AC不会检测AP的版本匹配情况,且不会通知AP下载新版本。请执行undo firmware-upgrade,开启AP版本升级功能。
# AP视图
<Sysname> system-view
[Sysname] wlan ap ap3 model WA6320
[Sysname-wlan-ap-ap3] firmware-upgrade disable
# AP组视图
<Sysname> system-view
[Sysname] wlan ap-group group1
[Sysname-wlan-ap-group-group1] firmware-upgrade disable
# 全局配置视图
<Sysname> system-view
[Sysname] wlan global-configuration
[Sysname-wlan-global-configuration] firmware-upgrade disable
¡ 如果没有配置firmware-update disable命令,请参见步骤(4)。
(4) 执行display wlan ap-model name model-name命令,确认该AP要升级的版本与当前AC的配套版本是否一致。
当apdb命令指定的软件版本优先于AC和AP默认匹配的版本时,请先开启版本检查功能(firmware-update enable)。
¡ 如果该AP要升级的版本与当前AC的配套版本不一致,需要在AC上执行apdb命令指定要单独升级的AP版本。
<Sysname> system-view
[Sysname]wlan apdb WA6320 Ver.C E2108
[Sysname]wlan image-load filepath local //下载目录下的文件
¡ 如果该AP要升级的版本与当前AC的配套版本一致,则删除AC的apdb命令和image-load filepath local命令,只保留firmware-update enable命令。
(5) 通过以上步骤分析依旧无法解决问题,请在AC、AP上收集版本升级失败的完整过程信息,并联系H3C售后技术人员分析处理。
<Sysname>debugging wlan capwap error all
<Sysname>terminal debugging
The current terminal is enabled to display debugging logs.
<Sysname>terminal monitor
The current terminal is enabled to display logs.
当AP通过bootware菜单手动从V7旧版本升级到V7新版本时,AP出现版本升级失败的现象。
本类故障的常见原因主要包括:
· 未导入正确AP版本升级文件
· IP、下载路径等设置错误
· AP版本升级文件出现异常
· AP存储空间不足
本类故障的诊断流程如图5-3所示。
图5-3 AP通过bootware菜单手动升级版本失败故障诊断流程图
由于V7的软件包里没有单独存放AP的ipe文件,如果需要手动给AP导入新版本,首先需要获取正确的ipe文件,然后通过bootware菜单导入版本文件。AP的ipe文件可以在AC的apimge文件夹中下载,也可联系售后技术支持人员获取。
(1) 执行display version命令检查版本信息,确保所导入的版本文件是正确的AP版本升级文件。
¡ 如果版本信息正确,请参见步骤(2)。
¡ 如果版本信息不正确,请将正确的AP版本升级文件拷贝到服务器,并参考对应版本说明书重新升级AP到最新版本。
<H3C> display version
H3C Comware Software, Version 7.1.064, Release 2449P01
Copyright (c) 2004-2022 New H3C Technologies Co., Ltd. All rights reserved.
H3C WA6320 uptime is 0 weeks, 0 days, 0 hours, 0 minutes
Last reboot reason : User soft reboot
Boot image: flash:/wa6300-boot.bin
Boot image version: 7.1.064, Release 2449P01
Compiled Jul 19 2021 16:00:00
System image: flash:/wa6300-system.bin
System image version: 7.1.064, Release 2449P01
Compiled Jul 19 2021 16:00:00
以协议方式选择TFTP为例,Load File Name表示下载文件名,要与下载的实际文件名一致;Target File Name表示存储的目标文件名,缺省情况下与服务器端文件名一致;Server IP Address表示TFTP/FTP服务器的IP地址;Local IP Address表示本地IP地址,且必须保证和Server IP Address在同一网段;Gateway IP Address保持0.0.0.0即可。
==========================<ETHERNET PARAMETER SET>==========================
|Note: '.' = Clear field. |
| '-' = Go to previous field. |
| Ctrl+D = Quit. |
============================================================================
Protocol (FTP or TFTP) :tftp
Load File Name :wa6300.ipe
:
Target File Name :wa6300.ipe
:
Server IP Address :192.168.1.1
Local IP Address :192.168.1.253
Subnet Mask :0.0.0.0
Gateway IP Address :0.0.0.0
(2) 确认升级过程中,是否出现以下提示内容。
¡ 如果出现提示“Loading Failed!”,表示版本下载失败,请检查以下内容。
- 请检查TFTP下载路径是否正确;
- 请检查TFTP端口是否处于监听状态;
- 请检查PC是否和AP二层有线互通;
- 请检查Server IP Address设置是否有问题;
- 请检查Local IP Address 是否和Server IP Address在同一网段。
¡ 如果出现提示“Something wrong with the file!”,表示上传的版本文件有问题导致运行异常。同时,当版本文件出现问题时,设备在启动时会提示“Booting App fails!”。
- 请检查版本的Target File Name是否写错,尤其注意下划线和连字符的区别;
- 请注意fit和fat的区别,例如在fit模式下上传了一个fat版本,或在fat模式下上传了一个fit版本;
- 请检查文件的大小,查看下载的文件是否完整,上传的版本文件是否和AP型号匹配等。
¡ 如果提示“The space is not enough Failed!”,表示存储空间不够。需要删除AP里面不用的版本或格式化后再重新导入版本。
¡ 如果没有相关提示,且当版本下载成功后,将显示如下信息。
Loading.....................................................................
............................................................................
............................................................................
............................................................................
............................................................................
............................................................................
............................................................................
............................................................................
............................................................................
.....................................Done.
36462592 bytes downloaded!
Image file wa6300-boot.bin is self-decompressing...
Saving file flash:/wa6300-boot.bin .................................Done.
Image file wa6300-system.bin is self-decompressing...
Saving file flash:/wa6300-system.bin .......................................
................................Done.
(3) 通过以上步骤分析依旧无法解决问题,请记录下AP升级过程中的打印信息和其它相关信息,反馈给售后技术支持人员。
以AP启动的打印信息为例:
BootWare Validating...
Press Ctrl+B to enter extended boot menu...
..略..
System image is starting...
Startup configuration file doesn't exist or is invalid.
Line con0 is available.
Press ENTER to get started.
在AC+Fit AP的组网架构下,对于已经正常运行的网络,出现AP掉线的情况。
在AC+Fit AP的组网架构下,AC和AP之间采用CAPWAP(Control and Provisioning of Wireless Access Points)隧道进行通信,AP上线的过程主要分为:获取AC地址、AP发现AC、AP接入AC
、AC向Fit AP下发配置、CAPWAP隧道维持和配置更新六个阶段。AP正常注册至AC上并稳定运行,需要保证上述六个过程均正常。
对于已经正常运行的网络,出现AP掉线情况的原因包括:
· AP掉电重启
· AC和AP间链路不畅通
· AC的CPU或内存利用率过高
· AP的CPU或内存利用率过高
· AC上不存在AP的版本文件或版本文件异常
· AC或AP侧配置有误
本类故障的定位思路一般为:首先,查看AP运行状态以及掉线原因;然后,判断AC和AP间链路是否畅通;再次,判断AC和AP的运行状态以及配置是否正常;最后,通过收集AC和AP的debugging信息分析问题原因。
本类故障的诊断流程如图5-4所示。
图5-4 Fit AP异常掉线的故障诊断流程图
本类问题建议按照如下步骤排查:
(1) 查看AP状态
查看AP当前状态的方式有两种:
¡ 在AC上,通过display wlan ap name ap-name命令的State显示字段,可以确认AP是否在线。
- State为“I”表示AP未在线。
- State为“R/M”表示AP已上线,与主AC成功建立主隧道。
- State为“R/B”表示AP已上线,与备AC成功建立备隧道。
- 有关State显示字段的更多介绍请参见“AP管理命令参考”。
# 显示ap1的信息。
<Sysname> display wlan ap name ap1
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run M = Master, B = Backup
AP name APID State Model Serial ID
ap1 1 I WA6320 219801A28N819CE0002T
¡ 在AC上,通过display wlan ap all connection-record查看AP连接记录。
- State为“Run”表示AP已上线,显示时间为已持续连接CAPWAP隧道的时间。
- State为“Offline”表示AP未在线,显示时间为AP与AC最后一次建立CAPWAP隧道的时间。
# 显示AC上所有AP的连接记录。
<Sysname> display wlan ap all connection-record
AP name IP address State Time
ap1 192.168.100.27 Run 01-06 09:06:40
(2) 查看AP掉线原因
在AC上,执行display wlan ap name ap-name verbose 命令,查看“Online time”、“System uptime”和“Tunnel down reason”显示字段。其中:
¡ “Online time”显示字段表示AP在线时长。
¡ “System uptime”显示字段表示AP系统启动时长。
¡ “Tunnel down reason”显示字段表示CAPWAP隧道关闭的原因。如果AP在成功和AC建立链接后,出现过链路中断,则该显示字段会记录下AC检测到的链路断开的原因。AP常见的掉线原因如表5-1所示。如需了解更多Tunnel down reason显示字段的含义,请参见“AP管理命令参考”。
表5-1 Tunnel down reason显示字段常见输出信息
字段输出信息 |
含义 |
Neighbor dead timer expired |
邻居报告定时器超时,AC在三倍的握手时间内没有收到AP的Echo request报文 |
Request wait timer expired |
等待请求消息定时器超时,AC向AP发送了一个需要回应的控制报文后,AP在等待时间内没有响应 |
Processed join request in Run state |
AC与AP完成CAPWAP隧道建立后,Run状态下收到并处理Join Request报文,断开隧道 |
Failed to retransmit message |
报文重传失败 |
AP was reset due to inconsistent local and reported radio statistics |
Radio数据统计信息上报数据不一致 |
AP was reset |
AP重启,造成CAPWAP隧道断开 |
如果AP在线时长与AP系统启动时长相近,且“Tunnel down reason”显示字段为AP was reset,则表示AP重启导致掉线。如需进一步定位AP重启原因,请参考 无线接入点重启故障处理相关内容。否则,建议执行步骤(3)。
<Sysname> display wlan ap name ap1 verbose
AP name : ap1
AP ID : 1
AP group name : default-group
State : Run
Backup type : Master
Online time : 0 days 1 hours 25 minutes 12 seconds
System uptime : 0 days 2 hours 22 minutes 12 seconds
Model : WA6320
Region code : CN
显示信息略……
Last reboot reason (AP check) : The radio physical status was down
Last reboot reason (AC check) : The radio physical status was down
Latest IP address : 10.1.0.2
Current AC IP : 192.168.1.1
Tunnel down reason : Request wait timer expired
显示信息略……
(3) 检查AC和AP间链路是否畅通
AC和AP之间的网络不通会导致AP无法在AC上线。在AC和AP上分别执行ping命令,查看双方能否相互ping通。需要注意的是:CAPWAP隧道对AC和AP之间的链路丢包比较敏感,要求有线丢包率小于0.1%。同时链路要支持MTU 1500。
# 在AC上,ping 1472字节包(MTU 1500),强制不分片,检测AP和AC间的链路。
<Sysname> ping -s 1472 -f 192.168.100.27
PING 192.168.100.27: 1472 data bytes, press CTRL_C to break
Reply from 192.168.100.27: bytes=1472 Sequence=1 ttl=21 time=20 ms
Reply from 192.168.100.27: bytes=1472 Sequence=2 ttl=21 time=20 ms
Reply from 192.168.100.27: bytes=1472 Sequence=3 ttl=21 time=20 ms
Reply from 192.168.100.27: bytes=1472 Sequence=4 ttl=21 time=20 ms
¡ 如果无法ping通,请检查物理链路、VLAN配置、STP状态是否异常,IP地址是否过期。
¡ 如果时延过大或存在丢包的情况,请检查中间网络是否出现环路。
¡ 如果ping包不丢包,延时正常,执行下一步检查。
(4) 检查AC和AP的运行情况
¡ 检查AC、AP的CPU利用率和内存使用情况
通过display cpu-usage命令和display memory命令查看设备的CUP利用率和内存使用信息。
# 显示设备的CUP利用率统计信息。
<Sysname> display cpu-usage
Unit CPU usage:
70% in last 5 seconds
71% in last 1 minute
75% in last 5 minutes
# 显示设备的内存使用信息。
<Sysname>display memory
Memory statistics are measured in KB:
Slot 1:
Total Used Free Shared Buffers Cached FreeRatio
Mem: 1974712 718496 1256216 0 9740 282512 64.3%
-/+ Buffers/Cache: 426244 1548468
Swap: 0 0 0
当CPU利用率高于70%,表示CPU状态异常,建议从以下方面定位问题。
- 通过display process cpu命令查看当前设备所有进程的CPU使用率信息,定位长时间占用CPU的进程。
- 了解当前网络是否存在重大操作,如:版本升级、整网配置修改、设备掉电、重启等。
当内存利用率高于70%且出现持续增长,表示内存状态异常,建议从以下方面定位问题。
- 通过display process memory命令查看当前设备所有进程的内存使用信息,定位长时间占用内存的进程。
- 了解当前网络是否存在重大操作,如:新增网管需要采集设备信息、新增配置等。
- 通过display logbuffer命令,查看并收集告警、日志等历史信息。
¡ 检查AC和AP的版本文件是否匹配
Fit AP版本随AC版本发布,AC和AP之间需要版本匹配,才能保证AP在AC上上线。AC和AP版本不匹配的情况包括:
- AC不支持对当前AP型号纳管。
- AC和AP之间的版本配套关系有误或版本文件异常。
通过AC的版本说明书中的“配套AP列表”章节,查看AC能否对当前AP进行纳管。配套Fit AP列表中,如果对应的AP型号在“是否打包”一列中为“否”,表示AP的ipe文件未打包到AC的ipe中。如果当前局点有使用该类型AP的需求,需要手工上传AP版本至AC的/apimge目录。用户在AC版本对应的zip压缩包中可以获取未打包AP的ipe文件。
在AC上执行dir命令,可以查看AC上是否存在AP设备的版本文件,请检查AP版本文件是否与AC对应的版本配套,版本文件大小是否异常。
<Sysname> dir flash:/apimge
Directory of flash:/apimge
0 -rw- 19171328 Jul 20 2022 23:51:00 wa4300.ipe
1 -rw- 14518272 Jul 20 2022 23:52:42 wa4300h.ipe
2 -rw- 14533632 Jul 20 2022 23:51:17 wa4300s.ipe
3 -rw- 18617344 Jul 20 2022 23:51:59 wa4600.ipe
4 -rw- 23329792 Jul 20 2022 23:52:26 wa5300.ipe
5 -rw- 19996672 Jul 20 2022 23:51:39 wa5600.ipe
6 -rw- 36929536 Jul 20 2022 23:53:24 wa6500.ipe
1015808 KB total (744748 KB free)
(5) 检查AC侧配置是否有误,具体包括:
¡ 查看License的安装情况和有效期。
用户可以通过display license命令或者Web页面查看设备是否已安装License、授权的有效期。建议在有效期内安装新的授权,以免当前授权过期,影响对应业务的继续运行。有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息,请参见《http://www.h3c.com/cn/home/qr/default.htm?id=607》。
# 显示设备上所有License的详细信息
<Sysname> display license
flash:/license/210235A1JMC1660000282021060717343842697.ak
Feature: APMGR
Product Description: Enhanced Access Controller License,8 APs,for Verticals,for V7
Registered at: 2021-06-07 17:01:55
License Type: Trial (days restricted)
Trial Time Left (days): 0
Current State: Expired
Pre-installed License
Feature: APMGR
Feature Description: PreAtom This is APMGR license
Time Left (days): 0
Current State: Expired
¡ 查看License资源剩余情况和AC最大管理AP数量。
AC允许上线的AP数量受最大支持AP License数量和最大管理AP数量共同限制。通过display wlan ap all命令可以查看AC最大管理AP数量和License资源的剩余情况。
# 显示所有AP的信息。
<Sysname> display wlan ap all
Total number of APs: 3
Total number of connected APs: 3
Total number of connected manual APs: 3
Total number of connected auto APs: 0
Total number of connected common APs: 3
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 2048
Remaining APs: 2045
Total AP licenses: 128
Local AP licenses: 128
Server AP licenses: 0
Remaining local AP licenses: 125
Sync AP licenses: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run M = Master, B = Backup
AP name APID State Model Serial ID
ap1 1 R/M WA6320 219801A28N819CE0002T
ap2 2 R/M WA6320 219801A28N819CE0003T
ap3 3 R/M WA6320 219801A28N819CE0004T
¡ 查看与AP相关的配置是否有误
¡ 在AC上执行display current-configuration configuration wlan-ap命令可以查看设备上AP相关的配置信息。如果通过MAP文件的方式向指定AP下发配置,则需要进一步查看MAP文件内容。
¡ # 显示设备上与AP相关的配置信息
<Sysname> display current-configuration configuration wlan-ap
#
wlan ap ap1 model WA6320
serial-id 219801A2YF819BE002X6
map-configuration flash:/map.txt
radio 1
radio 2
radio enable
service-template hello
gigabitethernet 1
#
¡ # 显示文件map.txt的内容。
<Sysname> more flash:/map.txt
System-view
vlan 200
interface gigabitethernet1/0/1
port link-type trunk
port trunk permit vlan 200
(6) 检查AP侧配置
查看AP上行口的配置信息。在AP上执行display current-configuration interface命令,检查AP的上行口配置是否被修改。
检查是否在AP上通过wlan management-vlan命令配置了AP的管理VLAN。如果AP侧修改了管理VLAN,则需要检查中间网络设备是否已放通管理VLAN。
(7) 如果故障仍未排除,请收集如下信息,并拨打H3C客户服务热线400-810-0504寻求帮助。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
¡ Debug命令输出的调试信息
开启Debug之前,请检查CPU和内存的使用情况,确保开启Debug不会影响设备的正常运行。完成收集后,请及时关闭Debug。
如果需要在控制台显示调试信息,则需要进行如下配置:
a. 配置terminal debugging命令允许调试信息输出到当前终端。
b. 执行info-center enable命令,开启信息中心功能(信息中心功能缺省处于开启状态)。
c. 使用debugging命令打开功能模块的调试信息开关。例如:通过debugging wlan capwap命令用来打开CAPWAP调试信息开关后,业务模块生成的debugging级别的日志信息。
监视终端是指以VTY类型用户线登录的用户终端。如果需要需要在监视终端上显示调试信息,则需要进行如下配置:
a. 配置terminal monitor命令允许日志信息输出到当前终端,配置terminal debugging命令允许调试信息输出到当前终端。
b. 执行info-center enable命令,开启信息中心功能(信息中心功能缺省处于开启状态)。
c. 使用debugging命令打开功能模块的调试信息开关。
扫码枪网络随机不通。
本类故障的常见原因主要包括:
· 扫码枪的信号值不满足要求。
· AP空口有干扰。
· 加密方式不同导致扫码枪关联存在问题。
· 扫码枪工作在省电模式或休眠模式。
· 扫码枪版本过低或者网卡较老。
本类故障的诊断流程如图5-5所示。
(1) 检查扫码枪的信号值是否满足要求。
无线报文交互是一个双向传输的过程,设备侧感知到的终端信号强度就是AP接收到无线终端回传报文的信号强度。
在AC上通过如下命令查看终端信号强度,mac-address为扫码枪的MAC地址。
<AC> display wlan client mac-address mac-address verbose | include RSSI
RSSI : 30
设备侧我们一般要求终端的信号强度RSSI>30,如果RSSI<25,终端实际发包速率就会明显降低;如果RSSI<20,终端无线基本不可用。
扫码枪的作业场景一般为物流仓库,如果扫码枪的信号值较弱,会影响回传报文的质量,建议检查如下:
¡ 扫码枪作业的范围是否有明显的阻挡物、衰减物,如实体墙等;
¡ 检查扫码枪是否连接到了远端AP;
¡ 检查现场AP的点位和部署方式,尽可能的保证终端连接的信号值。
(2) 查看AP空口干扰。
空口利用率体现了信道的繁忙程度,这个值是实时波动的。无线信号频率越高衰减越大。大多扫码枪的网卡性能较老,并且只能连接2.4G频段。由于2.4G频谱资源有限,相比5G衰减小,又属于工业开放频段,易受干扰,我们尤其要关注2.4G频段的空口利用率情况,尽可能的降低环境的影响。
AC上可以快速查看所有AP当前时刻的空口利用率(每50秒统计一次),以便对整个网络环境有一个基本了解。而AP上可以看到该射频200秒(每10秒钟统计一次)内的空口变化情况,更具有实际意义,强烈建议在AP上查看。
通过AC查看空口利用率:
<AC> display wlan ap all radio
Total number of APs: 1
……
AP name RID State Channel BW Usage TxPower Clients
(MHz) (%) (dBm)
7c1e-067a-8140 1 Up 52(auto) 80 8 18 0
7c1e-067a-8140 2 Up 149(auto) 80 22 20 0
7c1e-067a-8140 3 Up 6(auto) 20 19 20 1
RID 1、2、3分别代表射频1、射频2和射频3,Usage代表空口利用率。
通过AP查看空口利用率,登录AP,进入Probe视图,查看Tx、Rx方向的空口利用率。
[ap] probe
[ap-probe] display ar5drv 2 channelbusy
ChannelBusy information
Ctl Channel: 08 Channel Band:20M
Record Interval(s): 9
Date/Month/Year: 23/11/2019
Time(h/m/s): CtlBusy(%) TxBusy(%) RxBusy(%) ExtBusy(%)
01 19:11:56 4 0 3 0
02 19:11:47 8 0 5 0
03 19:11:38 7 0 4 0
(3) 检查是否因加密方式不同导致的问题。
尝试不加密、RSN+CCMP和WPA+TKIP组合加密方式,观察扫码枪关联是否存在问题。
(4) 检查终端工作模式。
a. 检查扫码枪是否工作在省电模式或休眠模式。
图5-6 检查扫码枪是否工作在省电模式或休眠模式
b. 在AC上查看扫码枪的休眠次数是否过多,如果扫码枪的休眠次数过多,则会影响终端的上网体验,尤其是在终端移动(存在漫游)和信号强度较低时。对于休眠次数过多的问题,可以通过在设备侧配置客户端保活来缓解。当无线客户端进入休眠状态后,通过定时监听Beacon帧中的TIM(Taffic Indication Map,数据待传指示信息)来判断AP是否为其缓存了报文,如果AP为其缓存了报文则终止休眠状态,与AP进行数据通信。通过命令option keep-active enable开启缩短客户端休眠时间功能后,AP通过修改Beacon帧中的TIM,缩短了客户端的休眠时间,从而提高了传输效率。但该问题的根本原因与客户端网卡自身休眠的机制有关,所以强烈建议检查扫码枪的工作模式。
查看客户端休眠次数:
<AC> display wlan client mac-address mac-address verbose
……
Sleep count : 35737
……
RSSI : 22
(5) 检查扫码枪的型号和版本。
a. 确认扫码枪的型号和版本,如果当前扫码枪的版本过低,建议升级为最新版本和网卡驱动。
b. 强制11g模式。
部分扫码枪的网卡较老,为了配合它的Wi-Fi模式,可以将射频配置为11g模式进行观察。
[AC] wlan ap ap1 model model-name
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] type dot11g
c. 禁用5.5速率。
根据问题处理经验,部分摩托罗拉的扫码枪对5.5速率支持不好,导致协商到该速率时出现掉线的情况,可针对现网情况尝试禁用该速率并进行观察。
[AC] wlan ap ap1 model model-name
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] rate disabled 5.5
d. 配置长导码。
前导码是位于数据包起始处的一组bit位,接收者可以据此同步并准备接收数据。只有射频模式为802.11b、802.11g或802.11gn模式,才支持配置前导码类型。选择短前导码能使网络同步性能更好,我们的设备默认是短前导码,但是有些早期的客户端网卡为长导码,我们可以选择长前导码兼容这些客户端网卡。
# 配置前导码类型为长前导码。(Radio视图)
[AC] wlan ap ap1 model model-name
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] type dot11g
[AC-wlan-ap-ap1-radio-2] preamble long
(6) 第三方网卡抓包。
在故障时刻,通过无线抓包网卡进行空口抓包。
a. 在故障时刻,记录下故障终端的MAC或IP地址,保留故障现象,避免客户端重新关联导致故障消失。
b. 通过命令display wlan client | include X.X.X.X在AC上找到该终端关联的AP。
c. 记录AP的工作信道,可通过命令display wlan ap all radio查看。
d. 安装无线抓包网卡,打开omnipeek软件,在802.11栏目选择关联AP工作的信道。
图5-7 选择信道
e. 在“Filters”过滤器栏目输入客户端的MAC地址,并选择双向。
图5-8 过滤客户端MAC地址
f. 点击右上角“Start Capture”开始抓包。
图5-9 开始抓包
(7) 拨打热线400-810-0504求助。
如果根据上述相关步骤排查还是无法定位扫码枪网络中断问题,请收集故障时的AC诊断、AP诊断、抓包信息、终端verbose信息、终端型号和组网拓扑情况,拨打400-810-0504热线寻求帮助。
在AC+Fit AP的组网架构下,客户端数据报文转发位置可以在AC或者AP上。
· 集中转发:客户端数据报文转发位置配置在AC上,客户端的数据流量由AP通过CAPWAP(Control and Provisioning of Wireless Access Points)隧道透传到AC,由AC转发数据报文。
· 本地转发:客户端数据报文转发位置配置在AP上,客户端的数据流量直接由AP进行转发。将转发位置配置在AP上可以缓解AC的数据转发压力。
本文中,“集中转发方式下无线上网卡慢”问题是指在同等条件下,采用本地转发方式无此问题、有线网络无此问题。具体表现在:无线终端打开网页慢、观看视频卡顿等,直接现象是集中转发方式下无线终端Ping网关有大迟延和丢包。
本类问题的常见原因包括:
· AC和网关间的有线链路异常。
· 有线口广播、组播报文占比过大。
· 有线口存在瞬时大流量冲击。
· AC的转发进程过于繁忙,导致无线丢包。
· AP空口质量不佳。
本类故障的定位思路一般为:
(1) 通过AC Ping网关操作,检查AC和网关间的有线链路是否异常。
(2) 摸索故障的规律性,观察故障发生是否和时间段强相关,是否和网络中流量模型相关。
(3) 查看AC有线口报文统计信息。
(4) 检查AC的转发进程是否长时间占用CPU。
(5) AP空口质量是否不佳
本类故障的诊断流程如图5-10所示。
本类故障建议按照如下步骤排查:
(1) 查看AC和网关间的有线链路是否异常
集中式转发架构下,AC通常旁挂在交换机上,在AC执行ping网关操作确定故障范围,检查AP与网关间的有线链路是否正常。
¡ 如果无法ping通,请检查物理链路、VLAN配置、STP状态是否异常,IP地址是否过期。
¡ 如果时延过大或存在丢包的情况,请检查AC和网关间的链路是否出现环路。当有线网络中存在环路时,AC会收到大量的组播报文或组播报文,导致设备无法处理无线报文,从而影响无线用户的网速。
¡ 如果ping包不丢包,延时正常,说明问题出现在无线终端至AC间的链路段,执行步骤(2)。
(2) 观察故障和时间段的相关性
关注无线网络使用体验不佳是否和时间段强相关。例如:办公场景下,某一段办公时间无线上网卡慢,其它时间正常;高校宿舍场景下,非教学时间明显出现无线卡慢等。
¡ 如果无线使用体验不佳和时间段强相关,则大概率是网络中流量发生变化导致,需要重点梳理有线网络中的流量。
¡ 如果无线使用体验不佳和时间段不相关,则执行步骤(3)。
(3) 查看AC有线口接收或发送的非单播报文占比
如果AC有线口接收或者发送广播、组播报文数量明显大于单播报文数量,则说明网络中广播或组播报文过多,需要重新梳理有线网络流量,考虑是否接口放通VLAN过多或者存在广播风暴。具体确认步骤如下:
a. 清空AC上联口的报文统计结果。
为方便查看,通过reset counter interface命令清空AC接口的报文统计结果并修改接口统计周期为5秒(缺省情况下,接口统计周期为300秒)。
<Sysname> reset counters interface gigabitethernet 1/0/1
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1]flow-interval 5
b. 查看接口的报文统计结果。
在任意视图下,每间隔几秒执行display interface命令,查看接口的报文统计结果。
# 查看以太网接口GigabitEthernet1/0/1的统计信息。
<Sysname> display interface GigabitEthernet 1/0/1
GigabitEthernet1/0/1
Current state: DOWN
Line protocol state: DOWN
IP packet frame type: Ethernet II, hardware address: fc60-9ba1-81e0
Description: GigabitEthernet1/0/1 Interface
显示信息略…
Last time when physical state changed to up:-
Last time when physical state changed to down:-
Last 5 seconds input: 511025 packets/sec 405002105 bytes/sec 8%
Last 5 seconds output: 685075 packets/sec 426870884 bytes/sec 8%
Input (total): 58328063 packets, 21043223173 bytes
27274961 unicasts, 14726456 broadcasts, 16326646 multicasts, 0 pauses
显示信息略…
Output (total): 25964106 packets, 6817109645 bytes
25756796 unicasts, 431 broadcasts, 206879 multicasts, 0 pauses
显示信息略…
该命令需要重点关注的显示信息如表5-2所示。
表5-2 display interface命令重点关注的显示信息
显示字段 |
描述 |
Last 5 seconds input: 511025 packets/sec 405002105 bytes/sec 8% Last 5 seconds output: 685075 packets/sec 426870884 bytes/sec 8% |
端口在最近一个统计周期(统计周期可以通过flow-interval命令设置)内接收和发送报文的平均速率,单位分别为数据包/秒和字节/秒,以及实际速率和接口带宽的百分比。 |
Input (total): 58328063 packets, 21043223173 bytes 27274961 unicasts, 14726456 broadcasts, 16326646 multicasts, 0 pauses |
端口接收报文的统计值,包括正常报文、异常报文和正常PAUSE帧的报文数、字节数 端口接收的单播报文(unicasts)、广播报文( broadcasts)、组播报文(multicasts)和PAUSE帧的数量 |
Output (total): 25964106 packets, 6817109645 bytes 25756796 unicasts, 431 broadcasts, 206879 multicasts, 0 pauses |
端口发送报文的统计值,包括正常报文、异常报文和正常PAUSE帧的报文数、字节数 端口发送的单播报文(unicasts)、广播报文( broadcasts)、组播报文(multicasts)和PAUSE帧的数量 |
- 通过“Input (total):”和“Output (total): ”显示字段,查看AC有线口入/出方向单播、广播、组播报文的比例,确认是否存在广播、组播报文占比过大的现象。如果广播或组播报文数量明显大于单播报文数量,则说明网络中广播或组播报文过多,需要重新梳理有线网络流量,考虑是否接口放通VLAN过多或者存在广播风暴。
- 在集中转发方式下,业务数据报文会在AC上进行CAPWAP封装和解封装。如果网络中AC对N个AP进行纳管,AC从上行网络中收到1份业务VLAN的广播报文后,会将该广播报文复制N份,并发送给N个AP。广播报文的复制和分发。一方面会极大消耗AC的CPU,造成AC繁忙;另一方面,当广播报文会以最低速率在空口中传输,极大占用空口资源,对无线网络造成冲击。
通过“Last 5 seconds input:”和“Last 5 seconds output:”显示字段,查看果AC上线口出方向报文是否明显多于入方向报文。如果是,则存在广播复制的情况,需要梳理网络流量,做好广播组播报文的隔离。
c. (可选)通过FPL统计功能查看AC有线口的报文统计数据。
如果排查问题时没有复现故障,即故障现象发生在过去某一段时间。可以通过FPL统计功能查看AC有线口当月7天内的报文数量统计数据,统计间隔为1分钟。
在Probe视图下,执行fpl-diag命令,其中,“item”显示字段为“XGE1/0/3RxBroadcast”表示XGE1/0/3接口接收的广播报文;“Delta”显示字段表示报文每分钟的增长量。如果有线口发送(Tx)或接收(Rx)方向的广播报文或者组播报文量级较大且波动明显,则存在异常广播或组播报文,需要梳理有线网络。
FPL统计功能的支持情况与设备型号有关,请以实际情况为准。
# 显示本月3日9点0分起100分钟内的统计数据
<Sysname> system-view
[Sysname] probe
[Sysname-probe] fpl-diag slot 1 showlogall 3,9,0,100
idx item date rx delta
9530 XGE1/0/3RxBroadcast 09:11:36 06/03/2020 2502814 3824
9531 XGE1/0/3RxBroadcast 09:12:36 06/03/2020 2506986 4172
9532 XGE1/0/3RxBroadcast 09:13:36 06/03/2020 2511841 4855
9533 XGE1/0/3RxBroadcast 09:14:36 06/03/2020 3443 0
9534 XGE1/0/3RxBroadcast 09:15:36 06/03/2020 3105 0
如果AC接口报文统计信息未发现异常,则执行步骤(4)。
(4) 查看AC有线口是否存在尖峰流量
查看AC有线口是否存在在瞬时大流量报文进出:
¡ 如果存在,需要进一步检查网络中是否存在环路、广播风暴等。
¡ 如果不存在,则执行步骤(5)
具体操作步骤如下:
a. 查看有线口是否存在端口接收队列溢出的情形。
在任意视图下,每间隔几秒执行display interface命令,查看接口的报文统计结果。重点关注“overruns”显示字段:如果overruns不为0,说明有线口存在瞬时大流量报文进出,由于端口的接收速率超过接收队列的处理能力,导致报文被丢弃。
<Sysname> display interface gigabitethernet 1/0/1
GigabitEthernet1/0/1
Current state: UP
Line protocol state: UP
IP packet frame type: Ethernet II, hardware address: a4fa-7679-b6f0
……
Input (total): 58328063 packets, 21043223173 bytes
27274961 unicasts, 14726456 broadcasts, 16326646 multicasts, 0 pauses
显示信息略…
Input: 31153 input errors, 0 runts, 0 giants, - throttles
0 CRC, - frame, 31153 overruns, 0 aborts
- ignored, - parity errors
显示信息略…
b. 查看有线口是否存在瞬时非单播报文冲击。
广播流量不一定是持续并发,可能存在瞬时大流量冲击,仅通过接口的报文统计信息不一定能发现问题,此时可以通过每间隔几秒执行display counters rate命令的方式,查看接口的报文速率统计信息。
如果AC有线口接收或发送广播报文(或组播报文)的平均速率明显高于单播报文,则说明网络中存在瞬时异常广播组播流量的冲击。
# 显示接口的报文接收速率统计信息。
<Sysname> display counters rate inbound interface GigabitEthernet 1/0/1
Usage: Bandwidth utilization in percentage
Interface Usage (%) Total (pps) Broadcast (pps) Multicast (pps)
GE1/0/1 100 983276 669595 25518
Overflow: More than 14 digits.
--: Not supported
(5) 查看AC CPU转发进程
无论AC是否支持FPGA硬件转发,大多协议控制报文、部分数据报文会上送CPU处理。
a. 定位长时间占用CPU的进程。
在AC上执行display process cpu命令查看所有进程的CPU使用率信息,定位长时间占用CPU的进程。当AC所有转发进程(kdrvfwd)的CPU使用率超过50%时,表明转发进程过于繁忙,则会出现无线丢包的情况。AC支持转发进程的数量与设备型号有关,例如:WX5500H系列存在16个转发进程,如果某个转发进程CPU使用率超过2.5%,则可能出现无线丢包;如果CPU占比超过3%就会出现明显丢包。
- 如果AC CPU转发进程存在异常,则执行步骤“b(可选)通过FPL统计功能查看转发进程丢弃的报文”。
- 如果AC CPU转发进程不存在异常,则执行步骤(6)。
# 显示设备的CUP利用率统计信息。
<Sysname> display process cpu
CPU utilization in 5 secs: 51.4%; 1 min: 52.1%; 5 mins: 52.3%
JID 5Sec 1Min 5Min Name
显示信息略…
308 3.2% 3.2% 3.2% [kdrvfwd16]
309 3.2% 3.2% 3.0% [kdrvfwd17]
310 3.2% 3.2% 3.2% [kdrvfwd18]
311 2.6% 3.2% 2.9% [kdrvfwd19]
312 3.2% 3.2% 3.2% [kdrvfwd20]
313 3.2% 3.2% 3.2% [kdrvfwd21]
314 3.2% 3.2% 3.2% [kdrvfwd22]
315 2.6% 3.2% 3.1% [kdrvfwd23]
316 3.2% 3.2% 3.2% [kdrvfwd24]
317 3.2% 3.2% 3.2% [kdrvfwd25]
318 3.2% 3.2% 3.2% [kdrvfwd26]
319 3.2% 3.2% 3.2% [kdrvfwd27]
320 3.2% 3.2% 3.2% [kdrvfwd28]
显示信息略…
b. (可选)通过FPL统计功能查看转发进程丢弃的报文。
排查转发进程是否存在丢包最直接的办法是在Probe视图下,执行fpl-diag命令,查看AC当月7天内的报文数量统计数据,统计间隔为1分钟。其中,“item”显示字段为“PoeDropPkt”表示转发进程丢弃的报文。“Delta”显示字段表示每分钟丢弃的转发报文个数,如果Delta项数值波动明显,则说明转发进程存在丢包。
FPL统计功能的支持情况与设备型号有关,请以实际情况为准。
# 显示本月3日9点0分起100分钟内的统计数据
<Sysname> system-view
[Sysname] probe
[Sysname-probe] fpl-diag slot 1 showlogall 3,9,0,100
idx item date rx delta
9519 PoeDropPkt 09:00:36 06/03/2020 822506 10
9520 PoeDropPkt 09:01:36 06/03/2020 822521 15
9521 PoeDropPkt 09:02:36 06/03/2020 822540 19
9522 PoeDropPkt 09:03:36 06/03/2020 822596 56
9523 PoeDropPkt 09:04:36 06/03/2020 822608 12
9524 PoeDropPkt 09:05:36 06/03/2020 822638 30
9525 PoeDropPkt 09:06:36 06/03/2020 822665 27
9526 PoeDropPkt 09:07:36 06/03/2020 822690 25
9527 PoeDropPkt 09:08:36 06/03/2020 822707 17
9528 PoeDropPkt 09:09:36 06/03/2020 822722 15
9529 PoeDropPkt 09:10:36 06/03/2020 822739 17
9530 PoeDropPkt 09:11:36 06/03/2020 822755 16
9531 PoeDropPkt 09:12:36 06/03/2020 822781 26
c. 定位AC转发进程长时间占用CPU的原因。
AC转发进程长时间占用CPU的原因如下:
首先,查看设备是否支持硬件转发。如果设备支持硬件转发,需要查看硬件转发功能是否开启,未开启硬件转发功能会导致无线业务报文上送CPU处理,进而加重的CPU工作负担。
# 开启WLAN硬件快速转发功能。
<Sysname> system-view
[Sysname] undo wlan fast-forwarding hardware disable
如果设备不支持硬件转发,则所有的无线业务报文需要上送CPU处理。当WLAN网络中存在大量的无线网络设备和无线客户端,AC就需要消耗大部分的CPU资源来处理无线业务报文,可能导致AC的转发性能达到瓶颈,此时可以将“集中转发”修改为“本地转发”。
其次,查看是否存在特殊的业务模型
如果无线网络中,大部分业务是大量的TCP流量(如视频业务),可以尝试修改CAPWAP隧道的MSS(Max Segment Size,TCP最大报文段长度)来避免大包报文分片转发,进而减轻分片报文上送CPU处理引起的转发进程繁忙。
# 配置CAPWAP隧道的TCP最大报文段长度为2000字节。
<Sysname> system-view
[Sysname]wlan tcp mss 2000
(6) 查看AP空口质量
WLAN网络中,由于空口共享传输介质,容易引发空口质量问。在集中转发架构下,出现无线上网卡慢问题需要重点关注空口干扰和空口广播、组播包占比。查看AP空口质量的步骤如下:
a. 远程登录至AP。
开启上线AP的执行控制台(缺省为开启),通过Telnet方式登录至终端关联的AP上,AP的缺省登录密码为h3capadmin。
# 查找当前终端关联AP的名称
<Sysname> display wlan client
Total number of clients: 3
MAC address Username AP name R IP address VLAN
000f-e265-6400 N/A ap1 1 1.1.1.1 200
# 查找当前终端关联AP的IP地址
<Sysname> display wlan ap name ap1 verbose
AP name : ap1
AP ID : 1
AP group name : default-group
State : Run
Backup type : Master
Online time : 0 days 1 hours 25 minutes 12 seconds
System uptime : 0 days 2 hours 22 minutes 12 seconds
Model : WA6320
Region code : CN
Region code lock : Disable
Serial ID : 219801A28N819CE0002T
MAC address : 0AFB-423B-893C
IP address : 192.168.1.50
UDP control port number : 18313
UDP data port number : N/A
显示信息略…
# 开启上线AP的执行控制台,
<Sysname> system-view
[Sysname] probe
[Sysname-probe] wlan ap-execute ap1 exec-console enable
[Sysname-probe] quit
[Sysname] quit
<Sysname> telnet 192.168.1.50
Trying 192.168.1.50 ...
Press CTRL+K to abort
Connected to 192.168.1.50 ...
* Copyright (c) 2004-2022 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Password:
<AP1>
b. 查看空口干扰。
通过display ar5drv radio channelbusy命令查看信道利用率,判断射频繁忙情况。
- 如果CtlBusy高于60%时,则表示该射频繁忙,需要调整射频参数(信道、功率、频宽)。
# 查看AP1 Radio1的信道利用率
<AP1> system-view
[AP1] probe
[AP1-probe] display ar5drv 1 channelbusy
ChannelBusy information
Ctl Channel: 52 Channel Band: 80M
Record Interval(s): 9
IdleCheck Delay(s): 0 Measure Delay(s): 0
Date/Month/Year: 22/09/2022
Time(h/m/s): CtlBusy(%) TxBusy(%) RxBusy(%) ExtBusy(%)
01 03:15:42 68 37 28 -
02 03:15:33 67 36 29 -
03 03:15:24 63 35 26 -
04 03:15:15 78 40 33 -
05 03:15:06 81 43 36 -
显示信息略…
AP使用最低速率发送广播和组播报文,大量的广播或组播报文占用射频资源,会降低整体网络使用效率,因此需要对AP Radio接口发送的广播和组播报文进行控制。
通过display ar5drv radio statistics命令查看AP射频统计情况,判断空口质量。
<AP1> system-view
[AP1] probe
[AP1-probe] display ar5drv 1 statistics
[Radio Statistics]
TxFrameAllCnt : 388216
TxFrameAllBytes : 134143677
RxFrameAllCnt : 633177
RxFrameAllBytes : 84402310
[Tx Queue Statistics]
Queue Number : 0 1 2 3
-----------------------------------------------------------
TxFrmCnt : 353398 24 132 1504
TxFrmBytes : 133247267 1274 21000 269470
TxUcastFrmCnt : 215625 24 132 1504
TxUcastFrmBytes : 87605120 1274 21000 269470
TxBcastFrmCnt : 137773 0 0 0
TxMcastFrmCnt : 0 0 0 0
TxMRetryCnt : 34 0 2 69
TxFragCnt : 0 0 0 0
TxDiscardFrm : 0 0 0 0
TxDiscardFrmBytes : 0 0 0 0
TxDataFrmCnt : 342037 6 131 328
TxDataFrmBytes : 130829678 300 20943 16400
TxUDataFrmCnt : 204264 6 131 328
TxHwRetryExc : 225 1 11 424
显示信息略…
ResetOnErr : 0
显示信息略…
BeaconBusyCnt : 2
BeaconErrCnt : 0
…
该命令需要重点关注的显示信息如表5-3所示。
表5-3 display ar5drv radio statistics命令重点关注的显示信息
显示字段 |
描述 |
TxFrmCnt |
空口统计到的发送报文总量 |
TxUcastFrmCnt |
空口统计到的发送单播报文数量 |
TxBcastFrmCnt |
空口统计到的发送广播报文数量 |
TxMcastFrmCnt |
空口统计到的发送组播报文数量 |
TxDiscardFrm |
队列丢弃的报文总数,包括发送失败和队列溢出的报文 |
BeaconBusyCnt |
AP发送Beacon报文的繁忙程度 |
BeaconErrCnt |
AP发送Beacon报文的错误统计 |
如果出现如下情况,则会明显影响无线网络的使用体验,产生Ping包大迟延和丢包现象。此时,需要在AP的以太网接口上配置二层隔离,梳理有线网络流量。
- 如果(TxBcastFrmCnt+TxMcastFrmCnt)/TxFrmCnt超过50%。
- 如果TxDiscardFra/TxUcastFrameCnt超过3%
- 如果BeaconBusyCnt和BeaconErrCnt出现增长。
(7) 拨打热线400-810-0504求助。
如果故障仍未排除,请收集如下信息,并拨打H3C客户服务热线400-810-0504寻求帮助。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
¡ Debug命令输出的调试信息
终端通过RA方式自动获取IPv6 DNS信息失败。RA配置方式是指路由侧通过RA报文(Option 25携带DNS信息)来进行IPv6 DNS 信息下发,也称为无状态地址配置。
本类故障的常见原因主要包括:
· AC版本过低,不支持通过RA报文下发IPv6 DNS Server信息。
· Windows终端不支持通过RA方式自动获取IPv6 DNS信息。
· 设备侧RA配置错误,导致终端获取不到IPv6 DNS信息。
· 网络中设备VLAN配置不正确,导致二层网络不通,终端获取不到IPv6 DNS信息。
· 网络中设备的接口配置不正确,导致二层网络不通,终端获取不到IPv6 DNS信息。
· 无线终端与设备间的RS/RA报文交互流程出现问题,导致终端获取不到IPv6 DNS信息。
本类故障的诊断流程如图5-11所示。
图5-11 通过RA方式自动获取IPv6 DNS信息失败故障排查流程图
(1) 检查设备侧版本
E5420或者R5420之后的版本才支持通过RA方式下发IPv6 DNS信息,AC版本过低会导致终端无法获取IPv6 DNS信息。
在AC的任意视图下执行display version命令查看版本信息。
<AC> display version
H3C Comware Software, Version 7.1.064, Release 5457
…
¡ 如果AC的版本过低,请升级AC版本。访问H3C官网获取版本文件,版本升级的操作步骤请参见H3C官网对应产品配置指导中的“基础配置指导/软件升级”。
¡ 如果AC的版本支持RA方式下发IPv6 DNS信息,则继续执行步骤(2)。
(2) 查看终端类型
部分安卓终端是不支持IPv6单协议栈。只有在IPv4+IPv6混合组网下,此类安卓终端才可能获取DNS相关信息。
Windows终端只支持通过DHCPv6的方式获取DNS地址信息,不支持通过RA报文自动获取IPv6 DNS信息。
¡ 如果无线终端是Windows系统,请配置DHCPv6方式获取IPv6 DNS信息,配置步骤请参见5.15 4. (4)。
¡ 如果无线终端不是Windows系统,请继续执行步骤(3)。
(3) 检查网络中设备的VLAN配置
如果设备的VLAN配置不正确,会导致中间链路不通,此时无线终端无法获取IPv6地址。无线网络分为本地转发和集中转发两种转发方式,设备VLAN配置不同,具体配置原则如下。
¡ 集中转发:
集中转发模式下,客户端的数据流量由AP通过CAPWAP隧道透传到AC,由AC转发数据报文。实际使用中通常会划分AP上线的管理VLAN和无线终端接入的业务VLAN,数据报文通过管理VLAN发送至AC,AC再通过业务VLAN转发数据报文,所以需要在AC转发业务报文的链路上放通业务VLAN,否则终端无法取得IP地址。
业务VLAN有多种配置方式,其优先级为认证授权VLAN>Radio接口绑定VLAN>服务模板指定VLAN。
如图5-12所示,核心交换机作为网关,AC旁挂在核心交换机上,AP与接入交换机相连。需要在AC转发无线业务报文的链路,即AC-Switch1链路放通业务VLAN200。
¡ 本地转发:
本地转发模式下,无线终端和AC间会通过CAPWAP隧道交互控制报文,并由AP转发数据报文。实际使用中通常会区别AP上线的管理VLAN和无线终端接入的业务VLAN,所以需要在AP转发业务报文的链路上放通业务VLAN,否则终端无法取得IP地址。
业务VLAN有多种配置方式,其优先级为认证授权VLAN>Radio接口绑定VLAN>服务模板指定VLAN。
如图5-13所示,核心交换机作为网关,AC旁挂在核心交换机上,AP与接入交换机相连。在AP转发无线业务报文的链路,即Switch1-Switch2-AP链路放通业务VLAN200。
在设备的任意视图下执行display current-configuration命令查看全部VLAN配置。
¡ 如果网络中设备的VLAN配置不正确,请参照上文排查VLAN配置。
¡ 如果网络中设备的VLAN配置正确,请继续执行步骤(4)。
物理接口配置错误可能导致VLAN放通失败,正确的接口配置如下。
¡ 集中转发:
如图5-12所示组网中,需要将AC与网关Switch1链路的物理接口GE1/0/1和GE1/0/2配置为Trunk模式并允许业务VLAN200通过。
¡ 本地转发:
如图5-13所示组网中,需要将AP的与上行设备的物理接口加入客户端上线的VLAN。可以在AC上通过编辑好的MAP文件,或远程配置功能下发给AP,本章节以MAP文件为例进行介绍。
无线终端在VLAN200上线,则需要将AP与Switch相连的接口interface GigabitEthernet 1/0/1加入VLAN200,MAP文件的内容如下:
apcfg.txt的内容,要求为文本文件,按照命令行配置的顺序编写文本文件上传至AC即可,AC与AP关联后,通过map-configuration命令下发至AP生效。从而完成对AP的配置。
# apcfg.txt配置文件为:
system-view
vlan 200
quit
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 200
还需要将网关Switch1下行接口、接入交换机链路Switch2的上下行物理接口配置为Trunk模式并允许VLAN200通过,Switch2与AP连接的GE1/0/2接口的PVID配置为100。
在设备的任意视图下执行display current-configuration命令查看全部VLAN配置。
¡ 如果网络中设备的接口配置不正确,请参照上文排查接口配置。
¡ 如果网络中设备的接口配置正确,请继续执行步骤(5)。
设备侧RA配置不正确会导致无线终端无法通过RA方式获取IPv6 DNS信息。通常以网关Switch作为路由通告发布的设备,以下面配置为例:
¡ Comware V7/V9设备:
<Switch> system-view
[Switch] interface Vlan-interface2
[Switch-Vlan-interface2] ipv6 address 2001::1/64 //配置设备接口IPv6地址及前缀长度信息
[Switch-Vlan-interface2] ipv6 nd ra dns server 2001::2 100000 sequence 1 //配置dns server信息
[Switch-Vlan-interface2] undo ipv6 nd ra halt //开启设备IPv6 ND RA报文发送能力
¡ Comware V5设备:
<Switch> system-view
[Switch] ipv6 //V5 Switch需要全局使能IPv6功能,V7 Switch默认已使能,不需要配置该命令
[Switch] interface Vlan-interface2
[Switch-Vlan-interface2] ipv6 address 2001::1/64 //配置设备接口IPv6地址及前缀长度信息
[Switch-Vlan-interface2] ipv6 nd ra dns server 2001::2 100000 sequence 1 //配置dns server信息
[Switch-Vlan-interface2] undo ipv6 nd ra halt //开启设备IPv6 ND RA报文发送能力
在设备的任意视图下执行display current-configuration命令查看设备的全部配置。
¡ 如果设备侧RA配置不正确,请参照举例修改配置。
¡ 如果设备侧RA配置正确,请继续执行步骤(6)。
(6) 如果故障仍然未能排除,请收集如下信息,并拨打热线400-810-0504求助。
¡ 在AC的进出口方向或无线终端侧抓包来查看终端和AC的RS/RA报文交互过程,判断交互过程中的哪一环节出错,以缩小故障处理范围。
查看终端是否发送RS请求报文:
RS(路由器请求,Router Solicitation)是一个组播报文,由主机侧发送,用于请求路由器迅速提供路由器公告,要求路由器立即产生路由器通告消息,而不必等待下一个预定时间。IP部分源地址为发送接口IPv6地址或全0,目的地址是链路本地范围内所有路由器的组播地址FF02::2。RS报文属于ICMP报文,在抓包软件(以Wireshark为例)中可以通过“icmpv6”关键字进行报文过滤。
图5-14 RS报文抓包示意图
查看AC是否回应终端RA报文:
RA(路由器公告,Router Advertisement)。RA报文由路由器侧周期发送,通告它的存在以及配置的链路和网络参数(这其中就包括DNS信息),或者以公告响应路由器请求。IP部分源地址为发送接口链路本地地址,目的地址为所有节点多播地址FF02::1。RA报文也属于ICMP报文,在Wireshak中可以通过“icmpv6”关键字进行报文过滤。
查看RA报文中是否有携带option 25属性,是否包含了DNS Server的地址信息:
图5-15 RA报文抓包示意图
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
终端通过DHCPv6方式自动获取IPv6 DNS信息失败。DHCPv6(Dynamic Host Configuration Protocol for IPv6)是针对IPv6编址方案设计的,为主机分配IPv6前缀、IPv6地址和其他网络配置参数的协议,其中就包括DNS Server地址信息,其工作机制与IPv4 网络中的DHCP 协议类似,也称为有状态地址配置。
本类故障的常见原因主要包括:
· 安卓终端不支持通过DHCPv6方式自动获取IPv6 DNS信息。
· 网络中设备VLAN配置不正确,导致二层网络不通,终端获取不到IPv6 DNS信息。
· 网络中设备的接口配置不正确,导致二层网络不通,终端获取不到IPv6 DNS信息。
· 设备侧DHCPv6配置错误,导致终端获取不到IPv6 DNS信息。
· 无线终端与设备间的DHCPv6报文交互流程出现问题,导致终端获取不到IPv6 DNS信息。
本类故障的诊断流程如图5-16所示。
图5-16 通过DHCPv6方式自动获取IPv6 DNS信息失败故障排查流程图
(1) 查看终端类型
安卓终端只支持通过RA的方式获取DNS地址信息,不支持通过DHCPv6方式自动获取IPv6 DNS信息。
¡ 如果无线终端是安卓系统,请配置RA方式获取IPv6 DNS信息,配置步骤请参见5.14 4. (5)。
¡ 如果无线终端不是安卓系统,请继续执行步骤(2)。
(2) 检查网络中设备的VLAN配置
如果设备的VLAN配置不正确,会导致中间链路不通,此时无线终端无法获取IPv6地址。无线网络分为本地转发和集中转发两种转发方式,设备VLAN配置不同,具体配置原则如下。
¡ 集中转发:
集中转发模式下,客户端的数据流量由AP通过CAPWAP隧道透传到AC,由AC转发数据报文。实际使用中通常会划分AP上线的管理VLAN和无线终端接入的业务VLAN,数据报文通过管理VLAN发送至AC,AC再通过业务VLAN转发数据报文,所以需要在AC转发业务报文的链路上放通业务VLAN,否则终端无法取得IP地址。
业务VLAN有多种配置方式,其优先级为认证授权VLAN>Radio接口绑定VLAN>服务模板指定VLAN。
如图5-17所示,核心交换机作为网关,AC旁挂在核心交换机上,AP与接入交换机相连。需要在AC转发无线业务报文的链路,即AC-Switch1链路放通业务VLAN200。
¡ 本地转发:
本地转发模式下,无线终端和AC间会通过CAPWAP隧道交互控制报文,并由AP转发数据报文。实际使用中通常会区别AP上线的管理VLAN和无线终端接入的业务VLAN,所以需要在AP转发业务报文的链路上放通业务VLAN,否则终端无法取得IP地址。
业务VLAN有多种配置方式,其优先级为认证授权VLAN>Radio接口绑定VLAN>服务模板指定VLAN。
如图5-18所示,核心交换机作为网关,AC旁挂在核心交换机上,AP与接入交换机相连。在AP转发无线业务报文的链路,即Switch1-Switch2-AP链路放通业务VLAN200。
在设备的任意视图下执行display current-configuration命令查看全部VLAN配置。
¡ 如果网络中设备的VLAN配置不正确,请参照上文排查VLAN配置。
¡ 如果网络中设备的VLAN配置正确,请继续执行步骤(3)。
物理接口配置错误可能导致VLAN放通失败,正确的接口配置如下。
¡ 集中转发:
如图5-17所示组网中,需要将AC与网关Switch1链路的物理接口GE1/0/1和GE1/0/2配置为Trunk模式并允许业务VLAN200通过。
¡ 本地转发:
如图5-18所示组网中,需要将AP的与上行设备的物理接口加入客户端上线的VLAN。可以在AC上通过编辑好的MAP文件,或远程配置功能下发给AP,本章节以MAP文件为例进行介绍。
无线终端在VLAN200上线,则需要将AP与Switch相连的接口interface GigabitEthernet 1/0/1加入VLAN200,MAP文件的内容如下:
apcfg.txt的内容,要求为文本文件,按照命令行配置的顺序编写文本文件上传至AC即可,AC与AP关联后,通过map-configuration命令下发至AP生效。从而完成对AP的配置。
# apcfg.txt配置文件为:
system-view
vlan 200
quit
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 200
还需要将网关Switch1下行接口、接入交换机链路Switch2的上下行物理接口配置为Trunk模式并允许VLAN200通过,Switch2与AP连接的GE1/0/2接口的PVID配置为100。
在设备的任意视图下执行display current-configuration命令查看全部VLAN配置。
¡ 如果网络中设备的接口配置不正确,请参照上文排查接口配置。
¡ 如果网络中设备的接口配置正确,请继续执行步骤(4)。
(4) 检查设备侧DHCPv6配置
设备侧DHCPv6配置不正确会导致无线终端无法通过DHCPv6方式获取IPv6 DNS信息。通常以网关Switch作为路由通告发布的设备,以下面配置为例:
¡ Comware V7/V9设备:
<Switch> system-view
[Switch]IPv6 dhcp pool ipv6
[Switch-dhcp6-pool-ipv6] network 2001::/64
[Switch-dhcp6-pool-ipv6] gateway-list 2001::1
[Switch-dhcp6-pool-ipv6] dns-server 2001::2 //配置IPv6 DNS Server地址信息
[Switch-dhcp6-pool-ipv6] quit
[Switch] interface Vlan-interface2
[Switch-Vlan-interface2] ipv6 nd autoconfig other-flag //设置ND RA报文中的O位
[Switch-Vlan-interface2] undo ipv6 nd ra halt //开启设备IPv6 ND RA报文发送能力
[Switch-Vlan-interface2] ipv6 dhcp select server
[Switch-Vlan-interface2] ipv6 dhcp server apply pool ipv6 //将配置好的地址池在接口上调用
¡ Comware V5设备:
<Switch> system-view
[Switch] ipv6 //V5 Switch需要全局使能IPv6功能,V7 Switch默认已使能,不需要配置该命令
[Switch]ipv6 dhcp server enable //V5 Switch需使能DHCPv6服务器功能,V7 Switch不需要配置
[Switch]IPv6 dhcp pool ipv6
[Switch-dhcp6-pool-ipv6] network 2001::/64
[Switch-dhcp6-pool-ipv6] gateway-list 2001::1
[Switch-dhcp6-pool-ipv6] dns-server 2001::2 //配置IPv6 DNS Server地址信息
[Switch-dhcp6-pool-ipv6] quit
[Switch] interface Vlan-interface2
[Switch-Vlan-interface2] ipv6 nd autoconfig other-flag //设置ND RA报文中的O位
[Switch-Vlan-interface2] undo ipv6 nd ra halt //开启设备IPv6 ND RA报文发送能力
[Switch-Vlan-interface2] ipv6 dhcp server apply pool ipv6 //将配置好的地址池在接口上调用
在设备的任意视图下执行display current-configuration命令查看设备的全部配置。
Windows终端成功获取IPv6 DNS信息结果如下图。
图5-19 Windows终端获取IPv6 DNS信息
¡ 如果设备侧DHCPv6配置不正确,请参照举例修改配置。
¡ 如果设备侧DHCPv6配置正确,请继续执行步骤(5)。
(5) 如果故障仍然未能排除,请收集如下信息,并拨打热线400-810-0504求助。
¡ 在AC的进出口方向或无线终端侧抓包来查看终端和AC的DHCPv6报文交互过程,判断交互过程中的哪一环节出错,以缩小故障处理范围。
完整的DHCPv6报文交互过程如下图。
图5-20 完整的DHCPv6报文交互过程
可以在抓包软件(以Wireshark为例)中通过“DHCPv6”关键字进行过滤,下面是一个完整的DHCPv6报文交互过程的抓包示意。
Solicit报文:DHCPv6客户端使用Solicit报文来确定DHCP服务器的位置。
图5-21 Solicit报文抓包
Advertise报文:DHCPv6服务器发送Advertise报文进行回应,宣告自己能够提供DHCPv6服务,并携带DNS信息。
图5-22 Advertise报文抓包
Request报文:DHCPv6客户端向DHCPv6服务器请求IPv6 DNS配置信息。
图5-23 Request报文抓包
Reply报文:DHCPv6服务器发送携带了配置信息(包含DNS信息)的Reply消息来回应从DHCPv6客户端收到的Solicit、Request等报文。
图5-24 Reply报文抓包
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
终端通过RA方式自动获取IPv6地址失败。无状态地址配置是指主机根据自己的链路层地址及路由器发布的前缀信息自动配置IPv6地址及相关信息。
本类故障的常见原因主要包括:
· 网络中设备VLAN配置不正确,导致网络不通,终端获取不到IPv6地址。
· 网络中设备的接口配置不正确,导致网络不通,终端获取不到IPv6地址
· 设备侧无状态地址配置不正确,导致终端无法自动获取IPv6地址。
· 路由前缀是非64位,导致终端无法自动生成IPv6地址。
· 安卓终端不支持在纯IPv6网络中,通过无状态地址配置获取IPv6地址。
· 无线终端与设备间的RS/RA报文交互流程出现问题,导致终端获取不到IPv6地址。
本类故障的诊断流程如图5-25所示。
图5-25 通过无状态地址配置自动获取IPv6地址失败故障排查流程图
(1) 检查网络中设备的VLAN配置
如果设备的VLAN配置不正确,会导致中间链路不通,此时无线终端无法获取IPv6地址。无线网络分为本地转发和集中转发两种转发方式,设备VLAN配置不同,具体配置原则如下。
¡ 集中转发:
集中转发模式下,客户端的数据流量由AP通过CAPWAP隧道透传到AC,由AC转发数据报文。实际使用中通常会划分AP上线的管理VLAN和无线终端接入的业务VLAN,数据报文通过管理VLAN发送至AC,AC再通过业务VLAN转发数据报文,所以需要在AC转发业务报文的链路上放通业务VLAN,否则终端无法取得IP地址。
业务VLAN有多种配置方式,其优先级为认证授权VLAN>Radio接口绑定VLAN>服务模板指定VLAN。
如图5-26所示,核心交换机作为网关,AC旁挂在核心交换机上,AP与接入交换机相连。需要在AC转发无线业务报文的链路,即AC-Switch1链路放通业务VLAN200。
¡ 本地转发:
本地转发模式下,无线终端和AC间会通过CAPWAP隧道交互控制报文,并由AP转发数据报文。实际使用中通常会区别AP上线的管理VLAN和无线终端接入的业务VLAN,所以需要在AP转发业务报文的链路上放通业务VLAN,否则终端无法取得IP地址。
业务VLAN有多种配置方式,其优先级为认证授权VLAN>Radio接口绑定VLAN>服务模板指定VLAN。
如图5-27所示,核心交换机作为网关,AC旁挂在核心交换机上,AP与接入交换机相连。在AP转发无线业务报文的链路,即Switch1-Switch2-AP链路放通业务VLAN200。
在设备的任意视图下执行display current-configuration命令查看全部VLAN配置。
¡ 如果网络中设备的VLAN配置不正确,请参照上文排查VLAN配置。
¡ 如果网络中设备的VLAN配置正确,请继续执行步骤(2)。
如果设备的接口配置不正确,会导致中间链路不通,此时无线终端无法获取IPv6地址。无线网络分为本地转发和集中转发两种转发方式,设备接口的配置不同,具体配置原则如下。
¡ 集中转发:
如图5-26所示组网中,需要将AC与网关Switch1链路的物理接口GE1/0/1和GE1/0/2配置为Trunk模式并允许业务VLAN200通过。
¡ 本地转发:
如图5-27所示组网中,需要将AP的与上行设备的物理接口加入客户端上线的VLAN。可以在AC上通过编辑好的MAP文件,或远程配置功能下发给AP,本章节以MAP文件为例进行介绍。
无线终端在VLAN200上线,则需要将AP与Switch相连的接口interface GigabitEthernet 1/0/1加入VLAN200,MAP文件的内容如下:
apcfg.txt的内容,要求为文本文件,按照命令行配置的顺序编写文本文件上传至AC即可,AC与AP关联后,通过map-configuration命令下发至AP生效。从而完成对AP的配置。
# apcfg.txt配置文件为:
system-view
vlan 200
quit
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 200
还需要将网关Switch1下行接口、接入交换机链路Switch2的上下行物理接口配置为Trunk模式并允许VLAN200通过,Switch2与AP连接的GE1/0/2接口的PVID配置为100。
在设备的任意视图下执行display current-configuration命令查看全部VLAN配置。
¡ 如果网络中设备的接口配置不正确,请参照上文排查接口配置。
¡ 如果网络中设备的接口配置正确,请继续执行步骤(3)。
设备侧RA配置不正确会导致无线终端无法通过RA方式获取IPv6地址。通常将网关交换机作为路由通告发布的设备,则正确的配置如下:
¡ Comware V7/V9设备:
<Switch> system-view
[Switch] interface Vlan-interface2
[Switch-Vlan-interface2] ipv6 address 2001::1/64 //配置设备接口IPv6地址及前缀长度信息
[Switch-Vlan-interface2] undo ipv6 nd ra halt //开启设备IPv6 ND RA报文发送能力
¡ Comware V5设备:
<Switch> system-view
[Switch] ipv6 //V5 Switch需要全局使能IPv6功能,V7 Switch默认已使能,不需要配置该命令
[Switch] interface Vlan-interface2
[Switch-Vlan-interface2] ipv6 address 2001::1/64 //配置设备接口IPv6地址及前缀长度信息
[Switch-Vlan-interface2] undo ipv6 nd ra halt //开启设备IPv6 ND RA报文发送能力
在设备的任意视图下执行display current-configuration命令查看设备的全部配置。
¡ 如果设备侧RA配置不正确,请参照举例修改配置。
¡ 如果设备侧RA配置正确,请继续执行步骤。
(4) 检查路由前缀
RA报文中携带的前缀必须是64位,终端才可以自动获取到IPv6地址。缺省情况下,RA报文使用的前缀是报文转发接口的IPv6地址前缀。在报文转发的设备上,通过display ipv6 interface prefix命令查看报文转发接口的前缀是否为64位。
# 查看VLAN接口10的IPv6前缀信息。
<Sysname> display ipv6 interface Vlan-interface 10 prefix
Prefix: 1001::/64 Origin: ADDRESS
Age: - Flag: AL
Lifetime(Valid/Preferred): 2592000/604800
Prefix: 2001::/64 Origin: STATIC
Age: - Flag: L
Lifetime(Valid/Preferred): 3000/2000
Prefix: 3001::/64 Origin: RA
Age: 600 Flag: A
Lifetime(Valid/Preferred): -
¡ 如果报文转发接口的前缀不为64位,可以通过ipv6 address命令手动修改前缀长度,或执行ipv6 nd ra prefix命令配置RA消息中的前缀长度。
¡ 如果报文转发接口的前缀均为64位,则继续执行步骤。
(5) 查看终端类型
安卓终端不支持IPv6单协议栈。只有在IPv4+IPv6混合组网,安卓终端获取到IPv4地址情况下才能获取到IPv6地址,才可能获取IPv6地址。
如果网络中Windows/IOS终端可以正常通过无状态地址配置获取IPv6地址,仅安卓终端出现异常,则需要修改组网规划,给安卓终端同时分配IPv4的地址。
¡ 如果是安卓终端且网络为纯IPv6组网时,请修改网络规划。
¡ 如果网络为IPv4+IPv6混合组网,请继续执行步骤。
(6) 如果故障仍然未能排除,请收集如下信息,并拨打热线400-810-0504求助。
¡ 在AC的进出口方向或无线终端侧抓包来查看终端和AC的RS/RA报文交互过程,判断交互过程中的哪一环节出错,以缩小故障处理范围。
查看终端是否有发起RS报文请求路由信息。
路由器请求RS (Router Solicitation)是一个组播报文,由主机侧发送,用于请求路由器迅速提供路由器公告,要求路由器立即产生路由器通告消息,而不必等待下一个预定时间。IP部分源地址为发送接口IPv6地址或全0,目的地址是链路本地范围内所有路由器的组播地址FF02::2。RS报文属于ICMP报文,在Wireshak中可以通过“icmpv6”关键字进行报文过滤。
图5-28 RS报文抓包示意图
查看AC 是否有回应路由器公告RA(Router Advertisement)。RA报文由路由器侧周期发送,通告它的存在以及配置的链路和网络参数,或者以公告响应路由器请求。IP部分源地址为发送接口链路本地地址,目的地址为所有节点多播地址FF02::1。RA报文也属于ICMP报文,在抓包软件(以Wireshak为例)中可以通过“icmpv6”关键字进行报文过滤。
然后查看RA报文中的Flag标志位中的M位是否有置零。M位(Managed Address Configuration Flag)置位时使用有状态可管理的协议进行自动地址配置,否则只使用无状态自动地址配置。M位这个标志位默认置零 ,如果没有置零说明设备侧路由信息配置错误,需检查设备侧配置。
图5-29 RA报文抓包示意图
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
终端通过DHCPv6方式自动获取IPv6地址失败。DHCPv6(Dynamic Host Configuration Protocol for IPv6)是针对IPv6编址方案设计的,为主机分配IPv6前缀、IPv6地址和其他网络配置参数的协议,其工作机制与IPv4 网络中的DHCP协议类似,也称为有状态地址配置。
本类故障的常见原因主要包括:
· 安卓终端不支持通过有状态方式自动获取IPv6地址。
· 网络中设备的接口和VLAN配置不正确,导致二层网络不通,终端获取不到IPv6地址。
· 设备侧有状态地址配置错误,导致终端获取不到IPv6地址。
· 无线终端与设备间的DHCPv6报文交互流程出现问题,导致终端获取不到IPv6地址。
本类故障的诊断流程如图5-30所示。
图5-30 通过有状态方式自动获取IPv6地址失败故障排查流程图
(1) 查看终端类型
安卓终端只支持通过无状态方式获取IPv6地址,不支持通过有状态方式获取IPv6地址。
¡ 如果无线终端是安卓系统,请配置无状态方式获取IPv6地址,配置步骤请参见5.16 4. (3)。
¡ 如果无线终端不是安卓系统,请继续执行步骤(2)。
(2) 检查网络中设备的VLAN配置
如果设备的VLAN配置不正确,会导致中间链路不通,此时无线终端无法获取IPv6地址。无线网络分为本地转发和集中转发两种转发方式,设备VLAN配置不同,具体配置原则如下。
¡ 集中转发:
集中转发模式下,客户端的数据流量由AP通过CAPWAP隧道透传到AC,由AC转发数据报文。实际使用中通常会划分AP上线的管理VLAN和无线终端接入的业务VLAN,数据报文通过管理VLAN发送至AC,AC再通过业务VLAN转发数据报文,所以需要在AC转发业务报文的链路上放通业务VLAN,否则终端无法取得IP地址。
业务VLAN有多种配置方式,其优先级为认证授权VLAN>Radio接口绑定VLAN>服务模板指定VLAN。
如图5-31所示,核心交换机作为网关,AC旁挂在核心交换机上,AP与接入交换机相连。需要在AC转发无线业务报文的链路,即AC-Switch1链路放通业务VLAN200。
¡ 本地转发:
本地转发模式下,无线终端和AC间会通过CAPWAP隧道交互控制报文,并由AP转发数据报文。实际使用中通常会区别AP上线的管理VLAN和无线终端接入的业务VLAN,所以需要在AP转发业务报文的链路上放通业务VLAN,否则终端无法取得IP地址。
业务VLAN有多种配置方式,其优先级为认证授权VLAN>Radio接口绑定VLAN>服务模板指定VLAN。
如图5-32所示,核心交换机作为网关,AC旁挂在核心交换机上,AP与接入交换机相连。在AP转发无线业务报文的链路,即Switch1-Switch2-AP链路放通业务VLAN200。
在设备的任意视图下执行display current-configuration命令查看全部VLAN配置。
¡ 如果网络中设备的VLAN配置不正确,请参照上文排查VLAN配置。
¡ 如果网络中设备的VLAN配置正确,请继续执行步骤(3)。
物理接口配置错误可能导致VLAN放通失败,正确的接口配置如下。
¡ 集中转发:
如图5-31所示组网中,需要将AC与网关Switch1链路的物理接口GE1/0/1和GE1/0/2配置为Trunk模式并允许业务VLAN200通过。
¡ 本地转发:
如图5-32所示组网中,需要将AP的与上行设备的物理接口加入客户端上线的VLAN。可以在AC上通过编辑好的MAP文件,或远程配置功能下发给AP,本章节以MAP文件为例进行介绍。
无线终端在VLAN200上线,则需要将AP与Switch相连的接口interface GigabitEthernet 1/0/1加入VLAN200,MAP文件的内容如下:
apcfg.txt的内容,要求为文本文件,按照命令行配置的顺序编写文本文件上传至AC即可,AC与AP关联后,通过map-configuration命令下发至AP生效。从而完成对AP的配置。
# apcfg.txt配置文件为:
system-view
vlan 200
quit
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 200
还需要将网关Switch1下行接口、接入交换机链路Switch2的上下行物理接口配置为Trunk模式并允许VLAN200通过,Switch2与AP连接的GE1/0/2接口的PVID配置为100。
在设备的任意视图下执行display current-configuration命令查看全部VLAN配置。
¡ 如果网络中设备的接口配置不正确,请参照上文排查接口配置。
¡ 如果网络中设备的接口配置正确,请继续执行步骤(4)。
设备侧有状态地址配置不正确会导致无线终端无法通过有状态方式获取IPv6地址。通常以网关交换机作为路由通告发布的设备,则正确的配置如下:
¡ Comware V7/V9设备:
<Switch> system-view
[Switch] IPv6 dhcp pool ipv6
[Switch-dhcp6-pool-ipv6] network 2001::/64
[Switch-dhcp6-pool-ipv6] gateway-list 2001::1
[Switch-dhcp6-pool-ipv6] dns-list 2001::2
[Switch-dhcp6-pool-ipv6] quit
[Switch] interface Vlan-interface2
[Switch-Vlan-interface2] ipv6 address 2001::1/64 //配置设备接口IPv6地址及前缀长度信息
[Switch-Vlan-interface2] ipv6 ipv6 nd ra prefix 2001::/64 2592000 604800 no-autoconfig //指定前缀不用于无状态地址配置,可选
[Switch-Vlan-interface2] ipv6 nd autoconfig other-flag //设置ND RA报文中的o位
[Switch-Vlan-interface2] ipv6 nd autoconfig managed-address-flag //设置ND RA报文中的M位
[Switch-Vlan-interface2] ipv6 dhcp server allow-hint rapid-commit //可选
[Switch-Vlan-interface2] undo ipv6 nd ra halt //开启设备IPv6 ND RA报文发送能力
[Switch-Vlan-interface2] ipv6 dhcp select server
[Switch-Vlan-interface2] ipv6 dhcp server apply pool ipv6 //将配置好的地址池在接口上调用
¡ Comware V5设备:
<Switch> system-view
[Switch]ipv6 // V5设备需要全局使能IPv6功能,V7设备 默认已使能,不需要配置此命令
[Switch]ipv6 dhcp server enable //V5设备需使能DHCPv6服务器功能,V7设备不需要配置
[Switch]IPv6 dhcp pool ipv6
[Switch-dhcp6-pool-ipv6]network 2001::/64
[Switch-dhcp6-pool-ipv6]gateway-list 2001::1
[Switch-dhcp6-pool-ipv6]dns-list 2001::2
[Switch] interface Vlan-interface2
[Switch-Vlan-interface2]ipv6 address 2001::1/64 //配置设备接口IPv6地址及前缀长度信息
[Switch-Vlan-interface2]ipv6 ipv6 nd ra prefix 2001::/64 2592000 604800 no-autoconfig //指定前缀不用于无状态地址配置,可选
[Switch-Vlan-interface2]ipv6 nd autoconfig other-flag //设置ND RA报文中的o位,必配
[Switch-Vlan-interface2]ipv6 nd autoconfig managed-address-flag //设置ND RA报文中的M位
[Switch-Vlan-interface2]ipv6 dhcp server allow-hint rapid-commit //可选
[Switch-Vlan-interface2]undo ipv6 nd ra halt //开启设备IPv6 ND RA报文发送能力
[Switch-Vlan-interface2] ipv6 dhcp server apply pool ipv6 //将配置好的地址池在接口上调用
在设备的任意视图下执行display current-configuration命令查看设备的全部配置。
¡ 如果设备侧有状态地址配置不正确,请参照举例修改配置。
¡ 如果设备侧有状态地址配置正确,请继续执行步骤(5)。
(5) 如果故障仍然未能排除,请收集如下信息,并拨打热线400-810-0504求助。
¡ 在AC的进出口方向或无线终端侧抓包来查看终端和AC的DHCPv6报文交互过程,判断交互过程中的哪一环节出错,以缩小故障处理范围。
完整的DHCPv6报文交互过程如下图。
图5-33 完整的DHCPv6报文交互过程
可以在抓包软件(以Wireshark为例)中通过“DHCPv6”关键字进行过滤,下面是一个完整的DHCPv6报文交互过程的抓包示意。
Solicit报文:DHCPv6客户端使用Solicit报文来确定DHCP服务器的位置。
图5-34 Solicit报文抓包
Advertise报文:DHCPv6服务器发送Advertise报文进行回应,宣告自己能够提供DHCPv6服务,并携带DNS信息。
图5-35 Advertise报文抓包
Request报文:DHCPv6客户端向DHCPv6服务器请求IPv6 DNS配置信息。
图5-36 Request报文抓包
Reply报文:DHCPv6服务器发送携带了配置信息(包含DNS信息)的Reply消息来回应从DHCPv6客户端收到的Solicit、Request等报文。
图5-37 Reply报文抓包
¡ 在AC上执行debugging ipv6 dhcp server event/all命令,并收集调试信息,通过报文转发接口收发的DHCPv6报文记录来判断AC与终端间DHCPv6报文交互是否完整。下面是设备debug到的一个正常的DHCPv6交互过程:
*Nov 14 09:59:14:487 2019 AC DHCPS6/7/EVENT: Received Solicit from FE80::1C1C:1E22:907A:9654.
*Nov 14 09:59:14:487 2019 AC DHCPS6/7/PACKET:
From FE80::1C1C:1E22:907A:9654 port 546, interface Vlan-interface82
Message type: Solicit (1)
Transaction ID: 0x00484796
*Nov 14 09:59:14:488 2019 AC DHCPS6/7/EVENT: Send Advertise to FE80::1C1C:1E22:907A:9654.
*Nov 14 09:59:14:488 2019 AC DHCPS6/7/PACKET:
To FE80::1C1C:1E22:907A:9654 port 8706, interface Vlan-interface82
Message type: Advertise (2)
Transaction ID: 0x00484796
*Nov 14 09:59:15:466 2019 AC DHCPS6/7/EVENT: Received Request from FE80::1C1C:1E22:907A:9654.
*Nov 14 09:59:15:466 2019 AC DHCPS6/7/PACKET:
From FE80::1C1C:1E22:907A:9654 port 546, interface Vlan-interface82
Message type: Request (3)
Transaction ID: 0x000ddf2e
*Nov 14 09:59:15:466 2019 AC DHCPS6/7/EVENT: Send Reply to FE80::1C1C:1E22:907A:9654.
*Nov 14 09:59:15:466 2019 AC DHCPS6/7/PACKET:
To FE80::1C1C:1E22:907A:9654 port 8706, interface Vlan-interface82
Message type: Reply (7)
Transaction ID: 0x000ddf2e
¡ 上述步骤的执行结果
¡ 设备的配置文件、日志信息、告警信息。
无线网络测速慢。
本类故障的常见原因主要包括:
· 有线链路吞吐量较低。
· 无线网络部署不合适。
· 链路连通性和时延状态异常。
· 非最佳无线配置。
· 终端能力影响。
· 无线周边环境影响。
本类故障的诊断流程如图5-38所示。
(1) 确认有线链路吞吐量。
无线网络其实只是有线网络的延伸,因此在测试无线网速之前必须要先明确有线网络的Ping包、延迟、抖动以及业务使用是否正常。只有在有线链路完全正常的前提之下,测试无线网速才是有意义的。
可以使用测速软件测试有线链路的速率,比如:360测速或者其他类似工具。
(2) 了解无线网络部署架构。
无线网络有很多的解决方案和产品,因此在测试无线速率之前先要明确自己当前网络环境的产品形态和部署方式。
无线网络部署架构大致分类为:
¡ AC+FIT AP架构
¡ FAT AP架构
¡ 开启NAT功能的AC+FIT AP架构
AC+FIT AP架构下,按照报文的转发模式可以大致分类为:
¡ 集中转发
¡ 本地转发
了解自己的产品形态和部署方式对于后续的步骤至关重要。
对于AC+FIT AP架构下的转发模式,需要在AC上查看无线服务模板的配置,查看方式如下:
# 在AC上查看服务模板是否为本地转发
[AC] wlan service-template 1
[AC-wlan-st-1] display this
#
wlan service-template 1
ssid XXX
client forwarding-location ap //location为AP表示为本地转发
service-template enable
#
return
根据维护经验来看,本地转发模式下的无线吞吐及速率往往会优于集中转发模式,因此如果是集中转发且在线人数数量很多的场景,可以考虑是否能够采用本地转发的部署方案。
(3) 检查无线终端长Ping是否正常。
通过无线终端长Ping来判断一段时间内终端与Internet之间的链路连通性和时延状态。
# 常用方式ping 114.114.114.114。
C:\AA>ping 114.114.114.114 -t
正在 Ping 114.114.114.114 具有 32 字节的数据:
来自 114.114.114.114 的回复: 字节=32 时间=10ms TTL=253
来自 114.114.114.114 的回复: 字节=32 时间=11ms TTL=253
来自 114.114.114.114 的回复: 字节=32 时间=11ms TTL=253
来自 114.114.114.114 的回复: 字节=32 时间=12ms TTL=253
……
正常的延迟和较低的丢包率是体验良好的前提,如果存在丢包和延迟严重的情况,需要对此问题进行重点排查。
(4) 无线配置优化调整。
通过Ping操作进行连通性和时延判断之后,如果能定位到是无线链路造成的问题那就需要按照实际情况进行无线配置优化。
根据维护经验,大部分的办公使用场景都需要做特定的优化配置,请参考《H3C无线产品部署与维护操作指导》进行优化,核心目的是降低无线的空口利用率和提升稳定的终端协商速度。
# 在AP上查看Radio的ChannelBusy数值,2.4GHz射频无业务吞吐情况下一般要求20%以下,5.8GHz射频无业务吞吐情况下一般要求10%以下,并且RX和TX的相加值和CTL的差值不能超过10,否则可能存在非WLAN干扰。显示信息如下:
[AP-probe] display ar5drv 1 channelbusy
ChannelBusy information
Ctl Channel: 36
BandWidth: 1
Record Interval(s): 9
CurrentTime: 23:55:45
Time(h/m/s): CtlBusy(%) TxBusy(%) RxBusy(%)
01 23:55:43 26 0 25
02 23:55:34 29 0 29
03 23:55:25 31 0 31
04 23:55:16 30 0 29
针对具备FPGA硬件转发模块的AC还可以开启硬件快转功能,加速在集中转发环境下报文的处理效率:
# 开启AC硬件快转,加速报文处理效率。
[AC] wlan fast-forwarding enable
(5) 确认终端能力。
进行无线优化操作之后,如果还存在无线网络速率慢的情况,这个时候需要检查下终端自身的支持能力。不同终端在无线空口的协商能力各不相同,清晰的认知终端的协商能力有助于判断这个终端在无线网络下的速率极限和多用户并发下的资源抢占能力。
¡ 常规而言,大部分笔记本都是2 × 2无线网卡,如果支持11ac射频模式,那么最高协商速率为866.7Mbps,无线的实现原理是时隙半双工模型,最终的极限吞吐能力在600Mbps左右。但是考虑综合使用和干扰并存的前提下,大部分终端可能表现为350~400Mbps。
¡ 同时还需要考虑传输工具的发包效率,使用专用的IxChariot软件可以测出较高的吞吐能力,但是普通的FTP工具或者测速软件在除去开销之外最终应该会形成200~300Mbps的表现。
¡ 另外受限于出口网络带宽和家用宽带是否有上行速率的限速因素,理论速率与实际吞吐结果还会存在一定的差异。
¡ 如果是1 × 1的终端,大部分的手机或者智能终端设备效果也会减半。
对于这方面的数据可以参考产品配置指导部分关于MCS速率的表格,例如:
表5-4 VHT-MCS对应速率表(80MHz,2NSS)
VHT-MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
800ns GI |
400ns GI |
|||
0 |
2 |
BPSK |
58.5 |
65.0 |
1 |
2 |
QPSK |
117.0 |
130.0 |
2 |
2 |
QPSK |
175.5 |
195.0 |
3 |
2 |
16-QAM |
234.0 |
260.0 |
4 |
2 |
16-QAM |
351.0 |
390.0 |
5 |
2 |
64-QAM |
468.0 |
520.0 |
6 |
2 |
64-QAM |
526.5 |
585.0 |
7 |
2 |
64-QAM |
585.0 |
650.0 |
8 |
2 |
256-QAM |
702.0 |
780.0 |
9 |
2 |
256-QAM |
780.0 |
866.7 |
(6) 检查无线周边环境。
在日常无线环境中,一个AP下往往可能有多个终端同时接入,形成一种并发趋势。由于无线资源是共享且有限的,因此在业务重载和轻载的状况下,同样的终端和AP设备表项出的吞吐也不尽相同,在有条件的情况下尽量维持业务轻载部署。
若无法平衡终端使用密度和AP部署数量,那么只能对于每个用户的无线业务进行限速控制,将速率控制在可控范围内,保证不会抢占过多的空口资源。
此外还可以考虑降低5GHz射频的频宽,默认11ac环境下是80MHz,可选信道不多,终端数量密集环境下可以调整到40MHz或者20MHz,增加可选非重叠信道,单个信道的最大协商速率也会降低。
(7) 拨打热线400-810-0504求助。
根据上述相关步骤优化、调整之后,如果依旧存在无线网络测速慢的问题,请收集故障时的诊断信息,拨打400-810-0504热线寻求帮助。
启动过程中串口无输出或打印乱码。
(1) 设备的默认串口速率是9600,但可能部分设备设置的串口速率不是9600,需要修改设备串口速率与登录软件的串口速率一致即可。
(2) 部分设备会发生内存条接口接触不良或接口磨损情况,这个时候可以尝试拔出来擦拭接口再插入(该方法只适用于允许插拔内存条的设备),确保插入没有问题;如果内存条本身损坏了,开始启动(内存低端损坏)或者启动过程中(内存高端损坏)会打印乱码,可以在进入Bootware菜单后,按Ctrl+U进入如下菜单,测试内存是否完好(如下的菜单选择<1>即可)。如果内存损坏了,只能更换内存了。
===========================<BASIC-ASSISTANT MENU>===========================
|<1> RAM Test |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-1): 1
Warning:Test Memory will take a long time? [Y/N]Y.....................
526385152 bytes memory test ok.
Memory tested success.
(3) Bootware菜单的基本段被破坏的情况,请参见6.2 2. 中的Bootware菜单的加载问题。
上电后,设备无法启动。
查看Bootware菜单的加载信息,如果没有输出System image is starting...消息就停住了,则是Bootware菜单加载问题,如果已经输出了这个消息,则是版本文件有问题。
· 针对Bootware被破坏的情况:如果基本段被破坏了,应该是什么都不输出或者输一行乱码,这个时候没有其它办法,返厂烧片才能解决。如果是扩展段破坏了,找到产品对应的Bootware文件,重新升级Bootware即可。
· 针对启动文件信息破坏的情况:表现为扩展段找不到启动文件,可以进入扩展段重新设置启动文件,或者下载新的启动文件。
· 针对文件系统损坏的情况:也表现为找不到启动文件,并且设置启动文件和下载文件不成功。那么可以格式化文件系统,再下载启动文件。
· 版本文件问题不常出现,如果开启了看门狗,表现为异常重启或直接地反复重启;如果没有开启看门狗,表现为系统阻塞。在排除下载了错误的版本原因后,只能联系研发的支持解决;更推荐的做法,就是更换其它的正常启动版本。
设备突发或反复重启,用户无法定位AP重启原因。
本类故障的常见原因包括三大类:设备掉电重启、人为重启、软件重启。
不同的重启原因对应不同的排查方法,所以无线接入点重启的排查思路首先是定位重启原因,然后根据重启类型进行具体分析。
· 设备掉电重启的主要原因包括:连接线缆异常和供电设备异常。
· 人为重启的主要原因包括:
¡ 人为通过RESET按钮重启设备。
¡ 人为通过命令行、SNMP、Web等管理手段重启设备。
¡ AP长时间未在AC上注册。
· 软件重启的主要原因包括内核异常、内存泄漏、看门狗重启和版本自动升级等。
查看AP重启原因的方法一般有两种:
· 在AC上通过display wlan ap name ap-name verbose命令查看AP的详细信息,通过Last reboot reason显示字段定位AP重启原因。
<Sysname> display wlan ap name ap1 verbose
AP name : ap1
AP ID : 1
AP group name : default-group
State : Run
Backup type : Master
Online time : 0 days 1 hours 25 minutes 12 seconds
System uptime : 0 days 2 hours 22 minutes 12 seconds
Model : WA6320
Region code : CN
Region code lock : Disable
Serial ID : 219801A28N819CE0002T
MAC address : 0AFB-423B-893C
IP address : 192.168.1.50
UDP control port number : 18313
UDP data port number : N/A
H/W version : Ver.C
S/W version : E2321
Boot version : 1.01
显示信息略……
Sent control packets : 1
Received control packets : 1
Echo requests : 147
Lost echo responses : 0
Average echo delay : 3
Last reboot reason : User soft reboot
Last reboot reason (AP check) : The radio physical status was down
Last reboot reason (AC check) : The radio physical status was down
显示信息略……
· 通过Console方式登录AP,在Probe视图下通过diag boot-info display命令查看设备最近10次的重启时间和原因。
<Sysname>system-view
System View: return to User View with Ctrl+Z.
[Sysname]probe
[Sysname-probe]diag boot-info display
******************************************************************************
PowerOn BootTimes : 19
Watchdog BootTimes : 0
Software BootTimes : 262
Hardware BootTimes : 1
MotherBoard BootTimes: 0
Backup BootTimes : 0
SlotOut BootTimes : 0
Current Boot Type : Hardware-boot
Current Running Time: 120(s)
Running Time : 83(d)0(h)
*** Boot History(Startup Time and Reason) ***
2022-07-11 02:05:19(GMT+0) Hard reboot
2022-07-11 02:05:19(GMT+0) Power on
2022-07-11 02:05:19(GMT+0) User soft reboot(Stayed in idle state for a long time)
2022-07-11 01:55:14(GMT+0) User soft reboot(Stayed in idle state for a long time)
2022-07-11 01:45:09(GMT+0) User soft reboot(Stayed in idle state for a long time)
2022-07-11 01:35:04(GMT+0) Power on
2022-07-11 01:35:04(GMT+0) User soft reboot(Stayed in idle state for a long time)
2022-07-11 01:24:59(GMT+0) Power on
2022-07-11 01:24:59(GMT+0) User soft reboot(Stayed in idle state for a long time)
2022-07-11 01:14:54(GMT+0) User soft reboot(Stayed in idle state for a long time)
AP常见的重启原因如表6-1所示。
表6-1 AP常见重启原因
字段 |
重启原因 |
排查方式 |
Power on |
AP设备上电重启,即AP掉电后重新上电 |
|
Hard reboot |
硬重启,即使用RESRT按钮重启AP设备 |
|
User soft reboot |
· 通过命令行、SNMP、Web等管理手段重启设备 · AP长时间未在AC上注册 |
|
Watchdog reboot |
看门狗重启 |
|
Unknown reboot |
未知原因重启 |
|
Kernel exception soft reboot |
内核异常重启 |
|
Kernel deadloop soft reboot |
内核死循环重启 |
|
Auto update soft reboot |
版本自动升级 |
|
Unknown soft reboot |
未知软件原因 |
|
Memory exhausted |
内存耗尽 |
|
Other unknown soft reboot |
其他原因 |
在AC上通过display wlan ap name ap-name verbose命令或登录AP后在Probe视图下通过diag boot-info display命令查看设备重启原因,显示字段为“Power on”。
当AP采用PoE供电方式时,本类故障的常见原因包括:网线不符合要求、PoE交换机重启、触发PoE交换机过载保护断电功能。
当AP通过电源适配器或PoE注入器供电时,本类故障的常见原因包括:供电设备不符合要求和供电设备损坏。
图6-2 设备掉电重启的故障诊断流程图(电源适配器或PoE注入器供电方式)
当AP采用PoE供电方式时,建议按照如下步骤排查:
(1) 检查线缆状况
a. 检查网线规格
查看网线规格是否符合要求:一般要求使用超五类及以上线缆。2.5/5GE接口请务必使用超五类线(CAT5E)以上标准的线缆。10GE接口请务必使用六类线(CAT6)及以上标准的线缆。
如果未满足,请更换符合要求的网线。如果满足,则执行步骤b。
b. 检查网线是否损坏
查看连接设备的网线水晶头是否松动,使用全新网线后观察一段时间,查看AP是否仍然有重启现象。如果问题得到解决,则为网线损坏。如果问题未解决,则执行步骤c。
c. 检查PoE供电距离是否超出正常距离
核实部署AP时,供电距离是否超出可靠供电距离,供电距离一般建议在90米以内,最大不应超过100米。如果超出正常距离,建议缩短供电设备(PSE)与受电设备(PD)之间的距离或尝试其他供电方式。
(2) 检查PoE交换机供电状况
a. 检查PoE交换机是否重启
在PoE交换机上执行display version命令,可以查看交换机的运行时间。
<Sysname> display version
H3C Comware Software, Version 7.1.070, Feature 2607
Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.
H3C XXX uptime is 0 weeks, 0 days, 2 hours, 14 minutes
Last reboot reason : Cold reboot
Boot image: flash:/XXX-cmw710-boot-f2607.bin
显示信息略……
通过对比交换机的运行时间和AP的运行时间是否相近,可以判断是否是交换机重启造成的AP重启。
b. 检查是否触发过载保护断电功能
IEEE先后发布了802.3af(PoE)、802.3at(PoE+)和802.3bt(PoE++)PoE标准,后发布的标准兼容先发布的标准。
表6-2 供电技术及对应参数
供电技术 |
PoE |
PoE+ |
PoE++ |
遵循标准 |
IEEE802.3af |
IEEE802.3at |
IEEE802.3bt |
PSE输出功率 |
≤15.4W |
≤30W |
≤90W |
PD最大功率 |
12.95W |
25.5W |
71.3W |
线缆要求 |
无 |
超五类线(CAT5E)以上标准的线缆 |
超五类线(CAT5E)以上标准的线缆 |
访问H3C官网查看无线接入点对应的安装指导,获取AP受电口遵循的标准和整机功耗等信息。
- 如果AP的整机功耗不超过12.95W,则支持PoE功能的交换机即可满足供电要求;
- 如果AP的整机功耗大于12.95W,但小于等于25.5W,则可以通过PoE+交换机或电源注入器供电;
- 如果AP的整机功耗超过25.5W,则需要支持PoE++的交换机或对外供电60W的PoE注入器供电。
如果AP和PoE交换机实际协商遵循IEEE802.3af标准时,则交换机单端口最大输出功率为15.4W。在接入用户数增多的场景下,AP的实际功率可能会超过15.4W,此时会触发交换机上的过载保护断电功能,用户可以尝试通过poe max-power max-power命令调高PoE接口的最大功率。
不同交换机PoE接口支持配置的最大供电功率不同,请以设备的实际情况为准。
(3) 如果排查以上方面后,问题得不到解决,请拨打H3C客户服务热线400-810-0504寻求帮助。
当AP通过电源适配器或PoE注入器供电时,建议按照如下步骤进行排查:
(1) 检查供电设备规格
查看电源适配器或PoE注入器的输出功率(电压和电流)是否满足AP安装手册中的电压要求。如果未满足,请更换符合要求的电源适配器或PoE注入器。如果满足,则执行步骤(2)。
(2) 检查供电设备是否损坏。
更换同型号的电源适配器或PoE注入器进行交叉测试。如果问题得到解决,则为供电侧故障,请更换供电设备。
(3) 如果排查以上方面后,问题得不到解决,请拨打H3C客户服务热线400-810-0504寻求帮助。
在AC上通过display wlan ap name ap-name verbose命令或登录AP后在Probe视图下通过diag boot-info display命令查看设备重启原因,显示字段为“Hard reboot”或“User soft reboot”。
本类故障的常见原因包括:
· 人为按压RESET按钮导致设备硬重启
· 人为下发重启配置
· 配置了定时重启功能
· Fit模式下AP未在AC上上线。
本类故障的诊断流程如图6-3所示。
(1) 确认无人按压RESET按钮。
当设备重启原因显示“Hard reboot”时,表示曾通过按压RESET按钮的方式重启AP。设备的RESET按钮示意图如图6-4所示。
图6-4 设备RESET按钮示意图
(2) 确认是否人为通过配置重启设备。
当设备重启原因显示“User soft reboot”时,建议按照如下步骤排查:
a. 确认是否人为下发重启配置
AP重启前,有无人员通过命令行、SNMP、Web等管理手段重启设备,并了解具体执行哪些操作。如果无人下发重启设备操作,则执行步骤b。
b. 检查是否配置了定时重启功能
执行display scheduler job和dis scheduler schedule命令,查看是否为AP配置了定时重启功能。下面以AP工作在Fit模式为例进行介绍。
# 在AC上配置ap1于每周六21:00重启。
[Sysname]scheduler job resetap
[Sysname-job-resetap]command 1 reset wlan ap name ap1
[Sysname-job-resetap]quit
[Sysname]scheduler schedule resetap
[Sysname-schedule-resetap]job resetap
[Sysname-schedule-resetap]time repeating at 21:00 week-day Sat
# 显示Job的配置信息。
[Sysname]display scheduler job
Job name: resetsp
reset wlan ap name ap1
# 显示定时任务的运行信息。
[Sysname]dis scheduler schedule
Schedule name : resetap
Schedule type : Run on every Sat at 21:00:00
Start time : Sat Jul 16 21:00:00 2022
Last execution time : Sat Jul 16 21:00:00 2022
Last completion time : Sat Jul 16 21:00:15 2022
Execution counts : 1
-----------------------------------------------------------------------
Job name Last execution status
resetap Successful
c. 确认Fit AP是否在线
当AP工作在Fit模式时,如果AP未在AC上上线,AP会每隔一段时间(一般为7-8分钟)重启一次,通过display wlan ap name ap-name命令的State显示字段可以确认AP是否在线。
<Sysname> display wlan ap name ap1
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run M = Master, B = Backup
AP name APID State Model Serial ID
ap1 1 I WA6320 219801A28N819CE0002T
当AP不在线时,可以通过display wlan ap name ap-name verbose命令的“Tunnel down reason”显示字段查看CAPWAP隧道断开的原因,显示字段的具体含义请参见“AP管理命令参考”。
<Sysname> display wlan ap name ap1 verbose
AP name : ap1
AP ID : 1
AP group name : default-group
State : Run
Backup type : Master
Online time : 0 days 1 hours 25 minutes 12 seconds
System uptime : 0 days 2 hours 22 minutes 12 seconds
Model : WA6320
Region code : CN
显示信息略……
Last reboot reason (AP check) : The radio physical status was down
Last reboot reason (AC check) : The radio physical status was down
Latest IP address : 10.1.0.2
Current AC IP : 192.168.1.1
Tunnel down reason : Request wait timer expired
显示信息略……
(3) 如果排查以上方面后,问题得不到解决,请拨打H3C客户服务热线400-810-0504寻求帮助。
在AC上通过display wlan ap name ap-name verbose命令或登录AP后在Probe视图下通过diag boot-info display命令查看设备重启原因,显示字段为以下任一情况:
· Watchdog reboot:看门狗重启
· Unknown reboot:未知原因重启
· Kernel exception soft reboot:内核异常重启
· Kernel deadloop soft reboot:内核死循环重启
· Auto update soft reboot:版本自动升级
· Unknown soft reboot:未知软件原因
· Memory exhausted:内存耗尽
· Other unknown soft reboot:其他原因
软件重启的主要原因包括内核异常、内存泄漏、看门狗重启和版本自动升级等。此外,无法判断的重启原因也归类为软件重启,例如CPU异常等。
本类故障建议用户查看产品对应的版本说明书,尝试将设备升级至最新版本后,观察问题是否得到解决。
本类问题建议按照如下步骤排查:
(1) 升级设备版本
查看产品版本说明书中,是否有针对重启问题的解决问题列表或遗留问题列表,如果产品后续版本中将对应重启问题列入“解决问题列表”,则需要对设备进行版本升级。
(2) 如果无法通过版本升级解决问题,请拨打H3C客户服务热线400-810-0504寻求帮助。