AC 上显示AP一直在下载版本中

把自动升级关了，看看你AP能不能上线，上线之后会不会掉线，先排除网络不稳定导致AP一会上一会掉

多半是版本配套或ipe文件问题，检查下细节吧

参考手册排查 5.9 AP通过AC自动升级版本失败

建议直接升级到最新版本 

WX5540X AP 下载版本失败 tunnel down 完整根因 + 分步修复
故障核心释义
image-download failed tunnel down：AP 从 AC 大流量下载版本镜像时，CAPWAP 控制隧道被中断断开，下载流程终止，反复重试卡在 “正在下载版本”。
CAPWAP 隧道承载版本包时流量大，网络抖动、ACL 限速、MTU 不匹配、缓存 / 带宽不足都会直接断隧道。
一、高频根因按排查优先级排序
1. 全网 MTU 不匹配（现场最高发）
CAPWAP 报文会额外封装 50 字节头部（UDP 5246 + 隧道封装），若中间交换机接口 MTU=1500，大包分片异常、丢包，隧道直接断开。
修复配置（AC、接入交换机、AP 上联口统一执行）
plaintext
# AC连接接入交换机的互联口
interface GigabitEthernet 1/0/X
jumboframe enable
mtu 1600
# 接入交换机上联/下联AP口同样配置mtu 1600
interface GigabitEthernet 1/0/Y
port link-type trunk
port trunk permit vlan AP管理VLAN
mtu 1600
jumboframe enable

验证：ping -l 1550 AP管理IP -f 能通代表 MTU 无分片丢包。
2. 中间设备 ACL / 包过滤拦截 CAPWAP UDP5246 大包
交换机、防火墙 ACL 只放行小包，丢弃超大 CAPWAP 分片报文，隧道断开。
排查 & 修复
plaintext
# 交换机查看接口入方向包过滤
display packet-filter interface GigabitEthernet 1/0/X inbound
# ACL放行完整CAPWAP流量，不要限制报文长度
acl number 4000
rule permit udp eq 5246

若跨防火墙，放行双向 UDP 5246，关闭防火墙分片丢弃策略。
3. AP 上联链路带宽 / 缓存不足，拥塞断隧道
WA6322H 镜像文件较大，下载时瞬间大流量，交换机端口缓存溢出、队列拥塞，CAPWAP 保活报文丢包，隧道判定 down。
更换 AP 千兆网线，强制接口千兆全双工，避免百兆协商限速；
交换机接口关闭端口限速 / 流量监管：
plaintext
interface GigabitEthernet 1/0/X
undo qos lr inbound
undo qos lr outbound

扩容接口缓存（Comware V7 交换机）：
plaintext
qos queue length interface GigabitEthernet 1/0/X 1024

4. CAPWAP 隧道保活参数过短，大流量下误断
默认隧道保活超时短，下载镜像时 CPU / 流量高，保活报文延迟到达，AC 判定隧道 down。
AC 全局调大 CAPWAP 隧道超时（缓解大下载场景误断）：
plaintext
system-view
wlan capwap
tunnel keepalive interval 30
tunnel keepalive retry-count 8

5. AC 与 AP 镜像版本不配套、文件异常
检查 AC 本地镜像文件完整无损坏：
plaintext
display wlan ap image all
# 确认WA6322H对应bin包存在，md5校验正常

不匹配场景：AC 系统大版本 R8307，AP 镜像为 R8207，跨大版本下载极易隧道中断；
解决：上传同 Release 完整 IPE 包，执行boot-loader update all同步 AC 与 AP 镜像版本。
6. 接入交换机开启安全功能误拦截 CAPWAP
端口安全、DAI、ARP 防攻击、环路检测等功能会丢弃 CAPWAP 分片大包：
plaintext
# 临时关闭测试定位
interface GigabitEthernet 1/0/X
undo arp anti-attack check source-mac
undo port-security enable
undo loopback-detection enable

7. 三层跨 VLAN / 跨设备路由抖动
AP 管理 VLAN 与 AC 三层互通存在路由震荡，大流量下载时路由切换，CAPWAP 隧道断开；
排查：长 ping AP 管理 IP，看是否存在丢包、延迟突增。
二、标准化分步排查操作（现场按顺序执行）
步骤 1：基础连通性校验
长 ping AP 管理 IP，ping x.x.x.x -t观察是否丢包、延迟波动；
测试大包分片：ping x.x.x.x -l 1550 -f，不通 = MTU 不匹配，优先改 mtu1600。
步骤 2：统一全网 MTU 1600（必做第一步优化）
AC、中间交换机所有透传 AP 管理 VLAN 的 Trunk 口全部配置mtu 1600，开启巨帧。
步骤 3：清理链路限速、ACL 拦截
删除接口流量监管，放行 UDP5246 完整报文，关闭端口安全 / DAI 等拦截功能。
步骤 4：优化 CAPWAP 隧道保活参数
AC 下配置加长隧道保活间隔与重试次数，避免下载大镜像时误断隧道。
步骤 5：校验 AC 镜像完整性与版本匹配
plaintext
display wlan ap image all
# 重新上传同版本IPE，解压更新AP镜像
uncompress xxx.ipe flash:

步骤 6：单台 AP 隔离测试
把故障 AP 直连 AC 空闲接口，绕过中间交换机下载版本，若正常 = 中间网络问题；依旧失败 = AC/AP 版本 / 镜像问题。
三、下载提速兜底方案（规避大流量断隧道）
本地预加载镜像（推荐）
将 WA6322H 镜像单独上传至 AP Flash，AP 上电本地启动，不通过 CAPWAP 隧道下载大包，彻底规避 tunnel down；
分时段升级
业务低谷批量升级 AP，避免多台 AP 同时并发下载，造成 AC 上行拥塞；
临时关闭无线业务 QOS 调度，优先保障 CAPWAP 隧道流量。
四、验证修复命令
plaintext
# 查看AP镜像下载统计，无failed记录
display wlan ap statistics image-download
# 查看CAPWAP隧道状态，无down记录
display wlan ap all
# 查看隧道保活报文收发是否正常
display wlan capwap statistics

极简总结
tunnel down本质是大版本下载时 CAPWAP 隧道报文丢包断开，90% 现场由 MTU1500 分片丢包导致；优先全网接口统一 mtu1600，再排查 ACL 限速、隧道保活、镜像版本匹配问题。

AC上把版本一致性关了试试，还有就是检查适配关系了，是否需要额外ipe文件