1、故障现象

用户反馈无线无法上网

 

2、网络环境

 简化：AP220-----POE交换机-------中间设备------5708k设备

2、故障原因

             （1）开启ip源保护，导致静态AP直连不通

 

3、处理步骤

（1）查看AP灯正常显示；

（2）console线连接到AP设备上，发现AP隧道断开

Ruijie#show capwap state  ------查看隧道情况，发现没有任何信息

 

而实际正常情况如下：

Ruijie#show capwap state

CAPWAP tunnel state, 2 peers, 2 is run:

Index     Peer IP              Port      State       

1         55.55.55.51          5246      Run         

2         55.55.55.52          5246      Run  

（3）登陆到AC设备上，从AC ping APIP地址，无法ping通

（4）重启AP发现故障无法解除

（5）如上判断，AP与AC之间线路发生断开，即中间设备可能出现问题

              （6）根据“最短路径优先”方法定位，首先定位AP与POE之间直连情况     

              （7）AP上ping POE交换机直连地址无法ping通，即可判断问题可能出现在AP和POE交换机之间

              （8）在POE交换机上打开debug ip icmp  发现请求报文没有到达POE设备上

              （9）在POE交换机上查看配置，发现连接AP的接口上开启了IP源地址检测（IP Source guard）   

              （10）在接口上去掉IP Source guard绑定，AP和POE交换机立刻ping通，故障解决。

4、故障解决

           在接口上去掉IP Source guard绑定，AP和POE交换机立刻ping通，故障解决。

5、故障总结及注意点

         IP Source guard只使用于用户动态IP地址，防私设地址用的，而AP是设置三层APIP地址，故在接口上需要符合如下原理和运用场景，

       导致出现问题

       原理

·            通过DHCP Snooping功能将用户正确的IP与MAC写入交换机的DHCP Snooping表

·            通过IP Source guard将DHCP Snooping表的写入交换机的ACE（类似端口安全）

·            使用ARP-check功能校验ARP报文的正确性

   应用场景

·            用户使用动态IP地址

·            同样适用于SAM认证环境

·            动态环境下如果使用安全通道，请勿在安全通道中允许ARP报文通过

   缺点

           无