终端关联类常见故障

一、STA无法关联AP的故障案例

1、故障现象

无线终端无法连接上AP信号,log信息中一直提示以下信息

2、排查步骤:

1)  根据日志信息初步怀疑是用户的认证报文在中间线路丢弃;

2)  收集以下信息:

debug rsna H.H.H

3)   中间线路分段抓包分析

出口下联口抓包如下:

出口上联口抓包没有相关数据信息;

故障定位是中间设备将认证报文过滤掉,导致终端连接不上。

4)  联系友商检查对应的出口设备配置,经确认核实存在相关的防火墙配置,删除之后,终端连接正常。

3、解决方案:

修改出口的防火墙策略。 


二、STA获取不到地址

1、故障现象

AP220-E,胖模式,客户反映配置了DHCP但是获取不到IP地址.

2、网络环境

客户就是一个简单的胖AP,没有接任何交换机,就想配置发射一个信号,能够获取到地址就可以

3、处理步骤

(1)手动配置地址能否ping通网关

(2)DHCP配置是否正确

(3)地址是否耗尽

(4)DHCP报文是否被过滤(开启了dhcpsnooping没设置trust口)

(5)AP版本是否升级到最新

(6)尝试开启data-plane wireless-broadcast enable

(7)无线信号强度是否很弱

(8)更新网卡驱动 

4、故障解决

客户创建了一个vlan 88作为用户的vlan,但是 配置bvi的地址是在 bvi 1下面配置的地址,让客户修改成bvi 88下面配置地址之后,用户可以正常获取到地址了,问题解决。 

5、故障总结及注意点

(1)某个vlan下的用户要能获取到该vlan的地址必须要保证该vlan的网关有正确配置,并且该vlan的svi口是up的

 

三、胖AP获取不到地址

1、故障现象

AP530-I,胖模式客户反映无线用户无法获取地址,并且无法ping通AP的管理地址

2、网络环境

网络拓扑:核心交换--2928AP530,客户配置了两个ssid ,封装的vlan 分别是100和800,用户的DHCP和网关都在核心上,用户的网段是10.1.10.0/24.客户反映电脑直接接在2928上面可以获取地址。

3、处理步骤

(1)检查胖AP的配置,ssid有没有关联上正确的vlan

(2)在AP上配置管理地址,看能不能ping通上联的网关地址

(3)手动配置地址能否ping通网关

(4)DHCP配置是否正确

(5)地址是否耗尽

(6)DHCP报文是否被过滤(开启了dhcp snooping没设置trust口)

(7)如果是多个ssid,在AP的物理接口子接口上有没有封装相应的vlan

(8)无线信号强度

(9)更新网卡驱动

4、故障解决

(1)查看配置发现客户没有在物理接口子接口下封装vlan 100 和800----封装之后可以正常获取地址

(2)客户地址是获取正确了,可以ping通网关10.10.10.254,但是无法ping通AP的管理地址10.10.10.253

(3)进一步查看配置,发现客户管理地址是配置在bvi 1,进一步询问客户,网关在核心上10.10.10.254配置在vlan 10的svi口下,帮助客户把bvi 1的地址no掉,然后再bvi 10上配置该管理地址。并且在物理接口的子接口上封装vlan 10之后,可以ping通管理地址

5、故障总结及注意

在物理接口子接口下封装vlan是相当于trunk口,直接透传vlan上去,在物理接口主接口下封装vlan,相当于access口,会去掉vlan标签

 

四、AP连华为交换机,端口无法up

1、故障现象

AP连华为交换机,端口无法up

2、网络环境

华为交换机----poe模块---ap

3、处理步骤

(1)登录AP查看接口,是否人为shutdown

(2)强制百兆全双工或者千兆全双工

(3)更换网线

(4)更换物理端口

(5)直接把PC接到AP物理口上,看是否up

(6)更换AP 

4、故障解决

客户更换了网线后,问题解决 

5、故障总结及注意

接口无法up一般是速率不匹配或者网线问题


五、AP无线用户访问内部网站卡

1、故障现象

AP无线用户访问内部网站卡 

2、网络环境

胖模式

3、处理步骤

(1)有线访问是否正常

(2)版本是否升级到最新

(3)是否有同频干扰

(4)是否有低速率用户接入

(5)信号是否弱

(6)是否有流氓AP开启反制

(7)查看AP的接口状态,是否速率双工协商正确

4、故障解决

查看AP的接口状态,发现是半双工,把接口双工速率设置正确之后问题解决。

5、故障总结及注意

在无线打开网页卡的故障中,AP的接口速率双工是很容易忽略的一个点

 

六、从低版本升级到高版本后无法连接信号

1、故障现象

 AP220-E胖模式,从1b17 版本升级到1b19 p2 167368 ,发现之前可以连接无线的手机现在无法正常连接无线了

2、网络环境

AP胖模式

3、处理步骤

(1)客户一开始配置wep加密。帮客户取消测试,故障依旧

(2)关闭低速率用户,调整无线信道到11,6有一些其他ap存在---故障依旧

(3)确认客户现场的无线信号是否为满格,6个天线是否都接好,是否有的天线没有接好-----确认是满格,天线接好。链接后故障依旧

(4)由于看到有多个用户在链接。配置了wpa2 加密,链接---故障依旧

(5)看到客户把射频卡2也修改为802.11b,使用信道13,担心邻频干扰,帮客户关闭该射频卡测试,故障依旧

(6)客户表示之前1b17可以,升级后处的问题。核实后发现升级到1b19 p2,底层的一些信息会修改,需要清空配置和flash 重新配置------操作后在场手机都可以正常连接

4、故障解决

通过清空配置和清空flash缓存后,重新配置胖ap,问题解决。

5、故障总结及注意

对于原来正常的功能,从低版本升级到高版本后出现原来功能无法使用的故障,可以尝试清空配置和重置flash,重新配置。


七、AP只能连接24个用户就无法连接

1、故障现象

AP 客户反映设备只能连接24个用户就无法连接。

2、网络环境

环境是胖AP,电子书包测试,目前连接了24个用户就无法连接,需求是60个用户。 目前客户版本是1b18,使用dot1/0连接用户,sta配置了128最大,1信道。 测试到连接24个用户就无法联系,DHCP服务器在网关上,无法看到DHCP获取的信息,地址客户表示足够,但是不排除有很多IDLE的状态地址。

3、处理步骤

(1)在射频卡下把限制用户数调大

(2)AP的版本是否最新,给升级到最新

(3)DHCP不在AP上要检查一下地址池是否够用。--把地址池做在AP上测试

(4)替换一个AP测试 

4、故障解决

升级到1b19 p2的版本测试。

5、故障总结及注意

如果遇到接入了多少个用户就无法再接入的故障,首先要调整接入用户数的限制,如果不行再看版本是否有需要升级。


八、WS出现部分无线用户连不上WIFI或者无法获取到地址

1、故障现象

WS出现部分无线用户连不上WIFI或者无法获取到地址

2、网络环境

无线瘦模式部署,DHCP都是部署在核心8606交换机

3、故障可能原因

3、故障可能的原因

(1)AP/AC版本一致性

(2)无线用户的dhcp地址池配置不正确

(3)做了无线加密,终端网卡不兼容该加密方式

(4)无线信号弱

(5)无线环境干扰,存在反制

(6)无线ARP攻击

(7)中间设备阻断,接入交换机开启了dhcp snooping

(8)终端网卡个例故障

4、故障处理

(1)排查AP/AC版本是否一致,不一致同步升级AP版本到AC版本一致

(2)确认核心DHCP配置是否正确,以及检查租约时间以及地址分配个数

(3)无线用户静态配置一个IP地址测试看是否可以正常连接

(4)无线忽略信号或者把加密去掉测试看是否可以正常连接

(5)在接AP的交换机上划一个无线用户的vlan接口给有线电脑测试看是否可以正确获取地址

(6)使用wirelessmon或wifi魔盒扫描检测现场环境是否有干扰的情况

(7)更新网卡驱动测试

(8)无线终端网卡和DHCP服务器下连口同时抓包分析

 5、故障解决

   经过排查,该问题主要由于DHCP服务器问题导致,有以下几点需要注意:

(1)客户的核心是8606,DHCP snooping表项是2000条,客户DHCP设置在8606上同时开了DHCP snooping 由于用户数比较多导致DHCP snooping表占满,无法再分配地址,建议是做为dhcp服务器的设备不开启dhcp snooping。

(2)核心8606上show ip dhcp snooping bind 有较多的idle条数,超过10000条,但是8606的DHCP容量只有8000条,之前旧的版本会有idle状态地址无法下发的问题,建议这种情况也可以clear ip dhcp bind *测试该问题,但是会清空所有dhcp分配条目,需要先和客户确认同步清楚。

6、故障总结及注意事项

这类的故障主要可以从加密和DHCP入手,就算客户反馈只是有部分用户随机获取不到地址也有可能是地址池问题,包括汇聚交换机的snooping表项也是一个可疑点(如果汇聚或者接入交换机开启了dhcp snooping功能,但是snooping表项被占满了也会导致故障),但是前期无线这边可能也会花比较多时间排查,后续遇到这种可注意下。


九、WS 隐藏ssid后,手机终端在4楼添加ssid后在8楼点击之前添加的信号提示已保存,需要再手动添加一次信号才能连接

1、故障现象

   WS 隐藏ssid后,手机终端在4楼添加ssid后在8楼点击之前添加的信号提示已保存,需要再手动添加一次信号才能连接

2、故障处理

    分析发现原因跟隐藏ssid无关,主要是客户那边部署了5g优先,5g优先开启后,ap对于2.4g的关联请求回应很消极,对于支持双频的终端不用5g去关联,以及只支持2.4g终端的用户,会出现接入缓慢的异常现象。当时终端提示密码错误连不上的时候,ap上都没有终端的任何日志信息。

 3、故障解决

    客户环境中不适合开启5g优先,将5g优先关闭,之后将2.4g的发射功率调低,将5g发射功率调高,实现在同一个点位,5g的信号强度比2.4g强,引导双频终端使用5g接入。调试后问题得以解决。
十、 AC-AP跨公网上线,终端连接难
【网络架构】
AC/AP跨公网VPN上线,使用本地转发模式。
【故障现象】
无线终端连接无线比较慢,有时尝试四五次才连接成功;查看对应的日志,发现的认证关联都是成功的,终端却没正常连接;
*Nov  1 13:50:45: %WLAN-6-OUTPUT: STA(c814.5122.68a2) actives in BSSID(0674.9c2b.4677): Auth succeed.
*Nov  1 13:50:45: %WLAN-6-OUTPUT: STA(c814.5122.68a2) actives in BSSID(0674.9c2b.4677): Assoc succeed.
【故障分析】
1、在初步排查中将AP切换为胖模式测试,终端连接正常;
2、由于AC/AP跨公网VPN上线,怀疑中间链路是否有问题,ping测试发现,虽然AP ping AC的IP没有丢包,但是延迟较大,进一步确认是否是因为延迟大的问题导致的故障;
3、在故障的ssid上增加配置tunnel local-auth(ap本地处理关联/认证请求报文,需要本地转发并开启RIPT功能,该命令10.x不支持,11.x版本才支持)配置,测试发现终端连接正常;
4、进一步抓包分析终端处理报文的情况发现,中间网络线路延迟200~300ms,导致inter芯片的网卡不处理关联报文,从而引起故障;
【故障总结】
该故障为AC/AP跨公网VPN上线,由于中间链路问题导致延迟较高,出现终端关联难的问题,通过配置对应的ssid为 tunnel local-auth模式并配置ript功能解决;
瘦AP模式下,无论是集中转发还是本地转发,认证报文和关联报文都是通过capwap的数据隧道送AC处理的,如果中间链路有问题,或者对应的5247端口不通,都会造成用户无法连接的问题。
tunnel local-auth:本地认证转发模式,AP将收到的无线数据直接在本地转发,同时STA在AP端完成认证过程。该功能必须在ript场景下使用。 该命令10.x不支持,11.x版本才支持