问
AC+AP采用三层,AP不上线,如何排查
2025-12-18提问
- 0关注
- 0收藏,567浏览
问题描述:
现网核心为华为交换机(地址池配置option 13 ip address xxxxx)
现在,AP可以正常拿到AC地址和AP管理地址,但是AP无法注册到AC(授权等都是足够的),如何排查?
- 2025-12-18提问
- 举报
-
(0)
、核心问题分析
| 现象 | 可能原因 |
|---|---|
| AP能获取IP地址 | DHCP服务器工作正常 |
| AP能获取AC地址 | option 13/43配置正确 |
| AP无法注册 | ① CAPWAP隧道建立失败 ② 通信端口被阻断 ③ 认证/版本不兼容 |
二、排查流程图
开始
↓
① 检查AP获取的地址信息
↓
② 检查AC与AP连通性
↓
③ 检查CAPWAP端口状态
↓
④ 检查AC配置
↓
⑤ 检查网络中间设备
↓
结束三、详细排查步骤
步骤1:确认AP获取的地址信息
1.1 查看AP获取的地址
# 在核心交换机(华为)查看AP的DHCP租约
display dhcp server ip-in-use all
# 或
display ip pool name <pool-name> used- IP地址:
192.168.x.x - 网关地址:
192.168.x.1 - AC地址(option 13):
<AC-IP> - 子网掩码
1.2 验证AC地址正确性
- 确认AC地址是AC的管理地址(不是回环地址)
- 确认该地址在AP所在VLAN是可路由的
步骤2:检查AC与AP连通性
2.1 在AC上ping AP地址
# 在AC上执行
ping -a <AC管理地址> <AP获取的IP>
# 例如
ping -a 10.1.1.1 192.168.10.100- AC到AP的路由
- AC接口IP配置
- 中间防火墙策略
2.2 在AP侧测试连通性
如果可以物理接触AP,通过串口登录AP:# 登录AP(通常通过串口)
system-view
ping <AC管理地址>
display dhcp client verbose
display capwap configuration步骤3:检查CAPWAP通信端口
三层CAPWAP需要以下端口开放:| 端口 | 协议 | 方向 | 用途 |
|---|---|---|---|
| 5246 | UDP | AP→AC | CAPWAP控制通道 |
| 5247 | UDP | AC→AP | CAPWAP控制通道 |
| 5248 | UDP | AP→AC | CAPWAP数据通道 |
| 5249 | UDP | AC→AP | CAPWAP数据通道 |
| 80/443 | TCP | AP→AC | 部分型号用于初始发现 |
3.1 在华为交换机检查ACL
# 查看ACL规则
display acl all
display packet-filter all
# 检查接口ACL应用
display current-configuration interface <interface>3.2 如果有防火墙,检查策略
# 在F1000防火墙上检查
display security-policy rule
display session table source-ip <AP-IP> destination-ip <AC-IP>
# 创建临时放行策略测试
security-policy ip
rule name permit_capwap
source-zone trust
destination-zone dmz
source-address <AP网段> mask <掩码>
destination-address <AC-IP> mask 255.255.255.255
service capwap
action pass步骤4:检查AC配置
4.1 查看AC基本配置
# 进入WLAN视图
wlan
# 查看AC全局配置
display current-configuration | include wlan
display wlan ap all
# 查看CAPWAP源接口配置
display capwap configuration4.2 确认关键配置
# 1. 确认CAPWAP源接口(必须与AP路由可达)
capwap source interface Vlanifxxx
# 或
capwap source ip-address <AC-IP>
# 2. 查看AP配置模板
display wlan ap-system-profile all
display wlan ap-region-profile all4.3 检查AP认证配置
# 查看AP认证模式
display wlan ap all
display wlan ap name <AP名称>
# 常见认证模式
# 序列号认证(默认)
# 不认证
# MAC地址认证wlan
ap-auth mode no-auth
commit步骤5:检查华为交换机配置
5.1 确认DHCP option配置
# 查看DHCP服务器配置
display current-configuration | include dhcp
display current-configuration | include option
# 典型配置示例
ip pool vlan10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
option 13 ip-address 10.1.1.1 # AC地址
dns-list 8.8.8.8- option 43:十六进制格式(推荐)
- option 138:IP地址格式
- option 13:某些旧型号支持
# 华为交换机配置
option 13 ip-address 10.1.1.1
option 43 hex 0104c0a80101 # 0104 + AC IP的十六进制
# 其中0104表示子选项01+长度04,c0a80101=192.168.1.15.2 计算option 43值
AC IP: 10.1.1.1
转换为十六进制: 0a010101
完整格式: 0104 0a010101
最终值: 01040a010101option 43 hex 01040a010101步骤6:版本兼容性检查
6.1 查看AC和AP版本
# 查看AC版本
display version
# 查看已注册AP版本
display wlan ap all
# 查看AP型号支持列表
display wlan ap model all6.2 常见版本问题
- AP版本过旧,不支持AC的CAPWAP协议
- AC版本过新,不兼容旧AP
- 需要升级AP版本
步骤7:抓包分析
7.1 在AC上抓包
# 抓取CAPWAP相关报文
display capture-packet interface <interface> destination file capwap.pcap
# 或
tcpdump -i any -w capwap.pcap port 5246 or port 52477.2 在核心交换机镜像AP流量
# 华为交换机配置端口镜像
observe-port 1 interface GigabitEthernet0/0/24
interface GigabitEthernet0/0/1 # AP接入端口
port-mirroring to observe-port 1 inbound
port-mirroring to observe-port 1 outbound- AP是否发送Discovery请求
- AC是否回复Discovery响应
- 是否完成DTLS握手
- 在哪个阶段失败
步骤8:启用详细日志
8.1 AC上启用调试日志
# 启用CAPWAP调试
terminal monitor
terminal debugging
debugging wlan capwap all
debugging wlan ap all
# 查看实时日志
display debugging8.2 查看AP注册日志
# 查看AP注册失败原因
display wlan ap offline-record
display wlan ap reject-record
display logbuffer四、常见问题与解决方案
问题1:CAPWAP端口被阻断
解决方案:# 在华为交换机上创建ACL放行CAPWAP
acl 3000
rule 5 permit udp source 192.168.10.0 0.0.0.255 destination 10.1.1.1 0 destination-port eq 5246
rule 10 permit udp source 192.168.10.0 0.0.0.255 destination 10.1.1.1 0 destination-port eq 5247
rule 15 permit udp source 192.168.10.0 0.0.0.255 destination 10.1.1.1 0 destination-port eq 5248
rule 20 permit udp source 192.168.10.0 0.0.0.255 destination 10.1.1.1 0 destination-port eq 5249问题2:option配置错误
解决方案:同时配置option 13和option 43:# 华为DHCP配置
ip pool vlan10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
option 13 ip-address 10.1.1.1
option 43 hex 01040a010101问题3:AC源接口未配置
解决方案:# AC上配置
system-view
capwap source ip-address 10.1.1.1
# 或
capwap source interface Vlanif10问题4:路由不可达
解决方案:# 在核心交换机添加路由
ip route-static 192.168.10.0 24 下一跳地址
# 在AC网关设备添加回程路由
ip route-static 10.1.1.0 24 下一跳地址五、快速排查脚本
在AC上执行以下命令收集信息:# 保存配置信息
display current-configuration > config.txt
display wlan ap all > ap_status.txt
display wlan ap offline-record > offline.txt
display capwap configuration > capwap.txt
display interface brief > interface.txt
display ip routing-table > route.txt
display acl all > acl.txt
display logbuffer > log.txt
# 测试连通性
ping -c 10 <AP-IP>
tracert <AP-IP>六、最终验证
配置修复后,验证步骤:- 重启AP使其重新获取地址
- 在AC上监控:
display wlan ap all display wlan ap online-record - 查看AP状态:
display wlan ap name <AP-名称> display wlan ap serial-id <AP序列号>
七、如果仍无法解决
如果以上步骤都无法解决,请收集以下信息联系H3C技术支持:- AC信息:
display version display diagnostic-information display wlan ap all - 网络拓扑:
- 网络拓扑图
- VLAN规划
- IP地址规划
- AP信息:
- AP型号
- AP版本
- AP序列号
- 配置信息:
- AC完整配置
- 核心交换机相关配置
- 抓包文件
总结
最常见的原因为:CAPWAP端口被防火墙/ACL阻断 或 option配置格式错误。建议按以下顺序排查:
- 确认AC与AP三层连通性
- 检查CAPWAP端口是否开放
- 验证DHCP option配置
- 检查AC的capwap源接口配置
- 查看版本兼容性
- 2025-12-18回答
- 评论(0)
- 举报
-
(0)
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论