H3C无线产品故障处理手册

Copyright © 2023 新华三技术有限公司 版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品。

目  录

1 简介

1.1 故障处理注意事项

1.2 收集设备运行信息

1.3 故障处理求助方式

2 Web类故障处理问题

2.1 通过Web登录时，提示“用户数超限！”

2.2 设备升级以后，重新登录Web时失败，提示“功能函数错误”

2.3 无法登录云AP的本地Web页面

2.4 Web登录设备故障处理

3 设备硬件类故障处理

3.1 同一台PoE交换机下的部分AP自动重启

3.2 AP使用电源适配器供电，系统控制平台无打印信息，同时电源指示灯未亮

3.3 AP上电后，串口没有打印信息

3.4 网口无法连接

3.5 采用PoE-MH通过网口给AP供电时，发现AP不能上电

3.6 光模块插入设备的光口时反插导致设备光口工作异常

3.7 AP设备信号弱

3.8 AP上电异常

3.9 AP启动异常

3.10 AP设备输入输出异常

3.11 AP接口通信异常

3.12 AP接口状态异常

4 设备软件配置类故障处理

4.1 交换机通过OAP方式登录无线控制器业务板失败

4.2 使用本地转发时FIT AP注册成功后一会儿连接断开

4.3 主、备AC切换，主AC无法回切

4.4 客户端无法弹出Portal认证页面

4.5 Portal认证失败

4.6 AP最多只能与两台AP建立Mesh连接，无法与第三台AP建立Mesh连接

4.7 两台或更多台AP建立Mesh连接后，Mesh连接经常up/down

4.8 两台FIT AP无法建立Mesh连接或经过MAP的ping操作失败

4.9 快速漫游失败

4.10 Client不停的在几个AP间漫游或Client漫游困难

4.11 802.1X远程服务器认证失败问题

4.12 802.1X和ACS配合认证时，Client关联成功并下线后，再关联时无法关联成功

4.13 802.1X认证配置都正确，客户端上线时一直处于验证身份阶段

4.14 802.1X本地认证失败问题

4.15 使用RADIUS服务器进行MAC地址认证和PSK认证时，用户上不了线

4.16 采用本地MAC地址认证时，用户上不了线

4.17 未开启自动AP配置功能造成AP无法注册

4.18 云AP无法连接至云平台

4.19 WIPS反制故障处理

4.20 无线AGV小车方案故障处理

4.21 Remeote AP功能不生效

4.22 开启Remote AP功能后，新终端无法接入

4.23 802.1X认证下发ACL失败

4.24 集中转发下无线终端无法获取IP地址

4.25 本地转发下无线终端无法获取IP地址

5 非设备故障类故障处理

5.1 FIT AP无法获取IP地址，但是用客户端替换FIT AP后能够获取IP地址

5.2 Client连接到信号较弱的AP，而未连接到信号较强且距离较近的AP

5.3 同时支持网口PoE供电和电源适配器供电的AP设备，在电源适配器供电状态下，断开电源适配器时系统会重启

5.4 WMM不支持分片

5.5 无线网卡提示Windows无法配置无线连接，而WirelessZeroConfigure服务已经启动

5.6 客户端可以Ping通AC，也能Telnet到AC，但是无法通过Web登录成功

5.7 无法修改自动AP方式生成的AP服务模板

5.8 AP通过版本预下载方式升级版本失败

5.9 AP通过AC自动升级版本失败

5.10 AP通过BootWare菜单手动升级版本失败

5.11 Fit AP异常掉线

5.12 扫码枪网络随机不通

5.13 集中转发方式下无线上网卡慢

5.14 终端通过RA方式自动获取IPv6 DNS信息失败

5.15 终端通过DHCPv6方式自动获取IPv6 DNS信息失败

5.16 终端通过无状态地址配置自动获取IPv6地址失败

5.17 终端通过有状态地址配置自动获取IPv6地址失败

5.18 无线测速慢

6 设备常见启动问题

6.1 启动过程中串口无输出或打印乱码

6.2 系统启动不了

6.3 AP未知原因重启

6.4 设备掉电重启

6.5 人为重启

6.6 软件重启

本文档介绍H3C无线控制器软、硬件常见故障的诊断及处理措施。

在进行故障诊断和处理时，请注意以下事项：

·     设备出现故障时，请尽可能全面、详细地记录现场信息（包括但不限于以下内容），收集信息越全面、越详细，越有利于故障的快速定位。

¡     记录具体的故障现象、故障时间、配置信息。

¡     记录完整的网络拓扑，包括组网图、端口连接关系、故障位置。

¡     收集设备的日志信息和诊断信息（收集方法请参见1.2  收集设备运行信息）。

¡     记录设备故障时电源状态指示灯、设备工作状态指示灯以及各端口状态指示灯等各种状态指示灯的状态（可以现场给设备拍照记录）。

¡     记录现场采取的故障处理措施（比如配置操作、插拔线缆、手工重启设备）及处理后的现象和效果。

¡     记录故障处理过程中配置的所有命令行显示信息。

·     更换和维护设备部件时，请佩戴防静电腕带，以确保您和设备的安全。

·     故障处理过程中如需更换硬件部件，请参考与软件版本对应的版本说明书，确保新硬件部件和软件版本的兼容性。

·     设备正常运行时，建议您在完成重要功能的配置后，及时保存并备份当前配置，以免设备出现故障后配置丢失。建议您定期将配置文件备份至远程服务器上，以便故障发生后能够迅速恢复配置。

为方便故障快速定位，请使用info-center enable命令开启信息中心。缺省情况下，信息中心处于开启状态。

设备运行过程中会产生普通日志信息、诊断日志信息及各模块的诊断信息。这些信息存储在设备的Flash或CF卡中，可以通过FTP、TFTP、USB等方式导出。不同设备中导出的普通日志信息、诊断日志信息、各模块的诊断信息文件请按照一定规则存放（如不同的文件夹），避免不同设备的运行信息相互混淆，以方便查询。

表1-1 设备运行信息介绍

分类

文件名

内容

普通日志

logfileX.log

命令行记录、设备运行中产生的记录信息

诊断日志

diagfileX.log

设备运行中产生的调试信息，如系统运行到错误流程时的参数值、设备无法启动时的信息、主控板与业务板通信异常时的握手信息。

各模块诊断信息

XXX.tar.gz

系统当前多个功能模块运行的统计信息，包括设备状态、CPU状态、内存状态、配置情况、软件表项、硬件表项等

对于支持单日志文件的设备，普通日志和诊断日志有容量限制，当存储介质的存储空间不足或者存储介质有存储空间但日志文件的大小达到最大值时，系统会使用最新日志覆盖最旧日志。

对于支持多日志文件的设备，日志文件有容量限制，当日志文件的大小达到最大值，系统会自动创建logfile1.log来存储日志。logfile1.log写满后，会被压缩成logfile1.log.gz，再自动创建logfile2.log来存储日志。logfile2.log写满后，会被压缩成logfile2.log.gz，再自动创建logfile3.log来存储日志，以此类推。当日志文件的个数达到设备支持的最大值时，系统会找出生成时间最早的压缩文件（例如为logfileX.log.gz），并创建一个同名日志文件（logfileX.log）来存储日志，logfileX.log写满后，会被压缩成logfileX.log.gz来替换现有的logfileX.log.gz，以此类推。建议及时备份日志文件和日志压缩文件，以免重要日志被覆盖

(1)     执行logfile save命令将日志文件缓冲区中的内容全部保存到日志文件中。

logfile save

The contents in the log file buffer have been saved to the file cfa0:/logfile/logfile8.log

(2)     查看设备上的日志文件数目和名称。

dir cfa0:/logfile/

Directory of cfa0:/logfile

   0 -rw-       21863 Jul 11 2018 16:00:37   logfile8.log

1021104 KB total (421552 KB free)

(3)     使用FTP、TFTP或者USB接口将日志文件传输到指定位置。

(1)     执行diagnostic-logfile save命令将诊断日志文件缓冲区中的内容全部保存到诊断日志文件中。

diagnostic-logfile save

The contents in the diagnostic log file buffer have been saved to the file cfa0:/diagfile/diagfile18.log

(2)     查看设备的诊断日志文件数目和名称。

dir cfa0:/diagfile/

Directory of cfa0:/diagfile

   0 -rw-      161321 Jul 11 2018 16:16:00   diagfile18.log

1021104 KB total (421416 KB free)

(3)     使用FTP、TFTP或者USB接口将日志文件传输到指定位置。

诊断信息可以通过两种方式收集：将诊断信息保存到文件，或者将诊断信息直接显示在屏幕上。为保证信息收集的完整性，建议您使用将诊断信息保存到文件的方式收集诊断信息。

通过Console口收集诊断信息所用的时间比通过业务网口收集所用的时间要长。在有可用业务网口或管理口的情况下，建议通过业务网口或管理口登录和传输文件。

(1)     执行screen-length disable命令关闭当前用户的分屏显示功能，以避免屏幕输出被打断（如果是将诊断信息保存到文件中，则忽略此步骤）。

screen-length disable

(2)     执行display diagnostic-information命令收集诊断信息。

display diagnostic-information

Save or display diagnostic information (Y=save, N=display)? [Y/N] :

(3)     选择将诊断信息保存至文件中，还是将直接在屏幕上显示。

¡     输入“Y”，以及保存诊断信息的路径和名称，将诊断信息保存至文件中。

Save or display diagnostic information (Y=save, N=display)? [Y/N] : Y

Please input the file name(*.tar.gz)[cfa0:/diag_H3C_20180626-174139.tar.gz] :cfa0:/diag.tar.gz

Diagnostic information is outputting to cfa0:/diag.tar.gz.

Please wait...

Save successfully.

dir cfa0:/

Directory of cfa0:

……

   6 -rw-      898180 Jun 26 2018 09:23:51   diag.tar.gz

1021808 KB total (259072 KB free)

¡     输入“N”，将诊断信息直接显示在屏幕上。

Save or display diagnostic information (Y=save, N=display)? [Y/N]:n

===============================================

  ===============display clock===============

17:26:39 UTC Wed 03/21/2018

=================================================

  ===============display version===============

H3C Comware Software, Version 7.1.064, Customer 5419

Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.

H3C WX5580H uptime is 0 weeks, 5 days, 6 hours, 17 minutes

Last reboot reason : User soft reboot

Boot image: cfa0:/boot.bin

Boot image version: 7.1.064, Customer 5419

  Compiled Feb 01 2018 16:00:00

System image: cfa0:/system.bin

System image version: 7.1.064, Customer 5419

  Compiled Feb 01 2018 16:00:00

Slot 1

Uptime is 0 week, 5 days, 6 hours, 17 minutes

with 1 1400MHz Multi-core Processor

32736M bytes DDR3

16M bytes NorFlash Memory

4002M bytes CFCard Memory

Hardware Version is Ver.A

CPLD 1 Version is 001

CPLD 2 Version is 002

FPGA1 Logic Version is 138

FPGA2 Logic Version is 138

Basic Bootrom Version is 5.07

Extend Bootrom Version is 5.15

[Subslot 0]WX5580H Hardware Version is Ver.A

  ===============display system internal version===============

H3C WX5580H V500R001B64D029SP19

Comware V700R001B64D029SP19

================================================

  ===============display device verbose===============

Slot No.  Subslot No. Board Type        Status    Max Ports

1         0           WX5580H           Normal      25

Slot 1

Status: Normal

Type: WX5580H

Hardware: A

Driver: 5.15

CPLD 1 CPLD: 001

CPLD 2 CPLD: 002

……

当故障无法自行解决时，请准备好设备运行信息、故障现象等材料，发送给H3C技术支持人员进行故障定位分析。

用户通过Web方式登录时提示“用户数超限”，在设备上通过命令display web users检查登录的Web用户数，显示有多个Web用户在线。

出现这个问题是由于其他用户登录Web后，退出Web时直接关闭了浏览器，没有点击Web右上角的按钮，造成设备上的用户没有真正退出。

在设备上使用命令free web users all强制在线Web用户下线，然后再次登录Web。

设备升级以后，用户终端能够Ping通设备，也可以远程Telnet登录设备，但是重新通过Web进行登录时，Web界面上会弹出一个错误提示对话框，提示“功能函数执行错误”。

这个问题是由于用户没有清除浏览器缓存所致。由于两个不同的软件版本的Web界面可能存在着差异，重新通过Web登录以后，浏览器里面缓存的信息与新版本的Web信息不兼容，因此重新通过Web登录设备之前，请先将浏览器缓存清理一下。

用户无法登录云AP的本地Web页面。

本类故障的常见原因主要包括：

·     云AP没有上电，导致搜索不到云AP的管理Wi-Fi，无法登录本地Web页面。

·     云AP没有工作在Cloud模式，导致搜索不到云AP的管理Wi-Fi，无法登录本地Web页面。

·     无线客户端或带有无线网卡的计算机没有连接云AP的管理Wi-Fi，导致无法登录云AP的本地Web页面。

本类故障的诊断流程如图2-1所示。

图2-1 无法登录云AP的本地Web页面故障排查流程图

(1)     确认云AP已上电

可以通过以下两种方式快捷地确认设备是否上电。

¡     通过云AP的指示灯查看设备是否上电，在没有手动关闭设备指示灯的情况下，指示灯点亮，说明设备已经上电。请通过设备的安装手册确认指示灯颜色、闪烁对应设备的状态。

请取下设备的面板盖，或通过设备背面的铭牌或取MAC地址。

¡     如果设备已经上电，请继续执行步骤(2)。

(2)     检查云AP是否工作在Cloud模式

部分云AP产品支持多种工作模式，请确保AP当前工作在Cloud模式。如果能搜索到“H3C_XXXXXX”（XXXXXX为设备的MAC地址后六位）的无线服务，说明设备工作在Cloud模式。或在设备任意视图下执行display wlan device role命令，查看设备的工作模式。

¡     如果设备没有工作在Cloud模式，需要将工作模式切换为Cloud。不同系列的AP支持的工作模式、确认当前工作模式的方法和模式切换的操作步骤有差异，详情请参见AP的版本说明书，或切换工作模式的操作如果出错可能导致云AP功能不可用。

¡     如果设备工作在Cloud模式，请继续执行步骤(3)。

(3)     检查无线终端或携带无线网卡的计算机的网络配置

将无线终端或带无线网卡的计算机设置为动态获取IP地址和DNS方式。

图2-2 配置PC自动获取IP地址

(4)     是否忘记本地Web的登录密码

丢失或者忘记密码时，若设备关联云平台，则可以通过云平台重置密码；若设备未关联云平台，则可通过reset按键恢复出厂设置并重新设置密码，reset按键的具体使用方法请参见设备的安装指导手册。云AP允许同时登录本地Web页面的最大用户数为5个。

(5)     如果故障仍然未能排除，请收集如下信息，并拨打热线400-810-0504求助。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

用户无法通过Web方式登录设备。

本类故障的常见原因主要包括：

·     网络连通性异常。

·     网络链路异常。

·     地址输入错误。

·     输入的用户名和密码错误。

·     用户不支持HTTP或HTTPS服务。

·     设备未开启HTTP或HTTPS服务。

本类故障的诊断流程如图2-3所示。

图2-3 Web登录失败的故障诊断流程图

(1)     检查主机能否Ping通设备Web页面的IP地址。

使用ping命令查看网络连接情况。

a.     如果能Ping通，则可以访问设备的Web页面。

b.     如果Ping不通，请排查网络链路是否正常。

¡     物理链路：有线连接，请检查网线接口；无线连接，请检查无线网卡配置。

¡     逻辑链路：如果主机与设备之间为二层访问，请检查主机地址与设备接口的地址是否是同一网段；如果主机与设备之间为三层访问，请检查主机与设备接口之间路由是否可达。

(2)     检查输入的地址和协议是否正确。设备支持HTTP和HTTPS两种服务，默认状态下HTTP服务为开启状态，HTTPS服务为关闭状态，以无线控制器为例：正确的地址和协议为http://192.168.0.100/或https://192.168.0.100/。

a.     输入的地址和协议正确，则可以访问设备的Web页面。

b.     输入的地址或协议错误，请输入正确的地址和协议。

(3)     检查登录的用户名和密码是否正确。无线控制器默认的用户名和密码均为admin，FAT AP的默认用户名和密码分别为admin和h3capadmin。

a.     用户名和密码正确，则可以登录设备的Web页面。

b.     用户名和密码错误，请输入正确的用户名和密码。

¡     如果是自己设置的用户，输入帐号密码时要区分大小写，不要有空格。若仍登录失败，请确认浏览器输入的协议类型与设置的用户服务类型一致，若不一致，请在本地用户视图下通过 service-type 命令支持对应的浏览器输入的协议类型。

[AC-luser-manage-admin1]service-type https

¡     如果默认用户名及密码无法登录，可使用Console线进入设备的命令行，通过执行命令display local-user查看是否存在用户名为admin的local-user。若没有此用户，则需手动创建，并使其支持HTTP或HTTPS服务功能。

display local-user                                                    

Device management user admin:                                                  

  State:                     Active                                            

  Service type:              HTTP/HTTPS                                 

  User group:                system                                            

  Bind attributes:                                                             

  Authorization attributes:                                                     

    Work directory:          flash:                                            

    User role list:          network-admin                                     

  Password control configurations:                                             

    Password complexity:     username checking                                 

Total 1 local users matched. 

创建用户，并使其支持HTTP或HTTPS服务功能可通过如下命令实现。

[Sysname]local-user abc class manage                                           

New local user added.                                                          

[Sysname-luser-manage-abc]service-type http https                              

[Sysname-luser-manage-abc]  

(4)     检查设备是否开启HTTP或HTTPS服务（设备默认开启HTTP服务，关闭HTTPS服务。）

(5)     检查设备是否开启HTTP或HTTPS服务可通过display ip  http 或display ip https 命令查看。

[Sysname]display ip http                                                           

HTTP port: 80                                                                   

ACL: 0                                                                         

Operation status : Enabled

¡     如果已开启，则可以正常访问设备的Web页面。

¡     如果未开启，请通过命令行开启HTTP和HTTPS服务。

[Sysname]ip http enable                                                        

[Sysname]ip https enable

(6)     如果故障仍然未能排除，请收集如下信息，并拨打热线400-810-0504求助。

a.     上述步骤的执行结果。

b.     设备的配置信息。

通过在系统用户视图下输入display current-configuration收集设备的所有配置。

display current-configuration                                         

#                                                                              

 version 7.1.064, ESS 5452P05                                                  

#                                                                              

 clock timezone Beijing add 08:00:00                                           

#                                                                              

…   

同一台PoE交换机连接的部分AP会自动重新启动（和AC的连接断开）。

PoE交换机有各自的供电规格及预留空间，所以当对外供电总量超过可以供电量时，交换机会自动断开低优先级的接口，从而造成下挂的AP设备重启。

可以通过交换机上的Log信息确认：

#Apr  6 11:26:44:368 2019 YXY-WLAN-04 DRV_DEM/5/POE WARNING:- 1 -Power budget exceeded

#Apr  6 11:26:44:418 2019 YXY-WLAN-04 DRV_DEM/5/POE WARNING:- 1 -Poe function of Ethernet1/0/6 is disabled.

第一个表示总的功率超过预算，无法再给新的端口供电，第二个表示断掉了一个接口的PoE供电。

解决方案是增加PoE交换机或者使用PoE模块对AP进行单独供电。

供电问题必须在网络设计的时候就充分考虑，避免出现问题后再分析解决。

AP只采用电源适配器一种供电方式供电时，系统控制平台无打印信息，同时电源指示灯未亮。

(1)     请检查是否采用系统要求的电源适配器规格，需要确保电源的输入电压在系统规格要求的范围。

(2)     AP外观是否有明显被摔痕迹，防止AP内部的器件被摔坏而导致系统不能上电。

(3)     AP是否进过水或者设备工作环境温度是否超出规格要求，如果室内型AP被用于室外，有雨水进入AP或者关键芯片环境温度不满足要求，会导致系统出现工作异常状态，AP无法上电。

AP上电后，用户终端的串口接到AP设备的RJ-45口，但是没有打印信息。

(1)     请确认用户终端的串口是否插到了设备的Console口，如果插到AP的网口的话就不会有打印信息。

(2)     检查用户终端的串口设置，特别是波特率需要设置为9600bps，校验（Parity）设置为none即不需要校验位，数据位（Databits）设置为8。

系统上电启动后，发现AP与其他设备对接时网口无法建立连接。

(1)     请确认网线是否插错，如果插到Console口就不会建立连接；

(2)     请确认网线长度是否超过了规格要求（如100米），如果网线长度超过了规格要求也可能会出现不能建立连接现象；

(3)     请检查一下网线的线序是否有误，如果既不是直连也不是交叉网线的线序也不能建立连接。

采用电源适配器和PoE-MH通过网口给AP供电时，发现AP不能上电。

确保给AP供电的网线接到PoE-MH的正确位置。PoE-MH除了供电源适配器插入的电源口外，还有两个RJ-45口，其中一个RJ-45（#1）和电源在一侧，另外一个RJ-45口（#2）在另外一侧。给设备供电的网线应该插在RJ-45 #2，如果插到了RJ-45 #1的话是无法给AP供电的。

当光模块插入设备时，如果插反，会将光口的I2C总线的SCL时钟信号拉到GND，这样的话有的CPU的I2C就会挂死，导致后续光口的I2C工作异常，且CPU会一直在访问I2C的现象，影响CPU处理其他业务。设备的光口工作异常，不能link，同时串口打印也可能出现异常。

重启设备，同时确保光模块的Tx和Rx没有插反。

AP设备信号弱。

(1)     根据设备的型号选择配置内置或外置天线。

(2)     正确安装外置天线，并检查2.4GHz和5GHz天线是否安装错位置（比如把2.4GHz天线安装在了5GHz天馈口）。

(3)     用max-power命令将AP的射频传输功率设置成最大。

设备无法正常上电，AP的指示灯未正常亮起。

本类故障的常见原因包括：

·     电源适配器或PoE注入器输出电压或功率未满足要求。

·     PoE交换机输出功率未满足要求。

·     AP侧硬件故障。

本类故障的诊断流程如图3-1所示。

图3-1 设备上电异常的故障诊断流程图

(1)     供电设备是否满足供电要求

如果AP采用电源适配器或PoE注入器供电方式，需要查看电源适配器或PoE注入器的输出功率（电压和电流）是否满足AP安装手册中的电压要求。

¡     如果未满足，请更换符合要求的电源适配器或PoE注入器。

¡     如果满足，则执行步骤(2)。

(2)     定位故障设备

采用交叉测试的方式确认故障出现在供电侧还是AP侧。

¡     更换同型号的电源适配器或PoE注入器进行交叉测试。如果问题得到解决，则为供电侧故障，请更换供电设备。

¡     更换同型号AP进行交叉测试。如果问题得到解决，则为AP侧故障，建议执行步骤(3)。

(3)     观察指示灯状态

AP的指示灯状态说明请参考各型号AP的安装指导手册，通过指示灯状态可以协助用户判断当前设备的工作状态。

¡     如果电源指示灯未正常亮起，则多为AP硬件故障，请拨打H3C客户服务热线400-810-0504寻求帮助。

¡     如果指示灯状态显示异常，需要进一步定位。

(1)     供电设备是否满足供电要求

如果AP采用PoE供电方式，需要查看：

a.     AP和PoE交换机的供电模式是否匹配，AP采用PoE、PoE+还是PoE++供电。

b.     PoE交换机单端口的输出功率是否满足供电要求；确认PoE交换机上所接AP的总功率是否超过交换机的供电功率规格。

¡     如果未满足，请更换符合要求的供电设备。

¡     如果满足，则执行步骤(2)。

(2)     定位故障设备

采用交叉测试的方式确认故障出现在供电侧还是AP侧。

¡     调整PoE交换机的供电端口或更换同型号的PoE交换机。如果问题得到解决，则为供电侧故障，请调整供电端口或更换供电设备。

¡     更换同型号AP进行交叉测试。如果问题得到解决，则为AP侧故障，建议执行步骤(3)。

(3)     观察指示灯状态

AP的指示灯状态说明请参考各型号AP的安装指导手册，通过指示灯状态可以协助用户判断当前设备的工作状态。

¡     如果电源指示灯未正常亮起，则多为AP硬件故障，请联系技术支持人员或您购买设备的代理商，更换新的设备。

¡     如果指示灯状态显示异常，需要进一步定位。

设备正常上电后，无法正常启动或反复重启。此类情况下，对于单指示灯AP，指示灯长时间处于“黄色常亮”状态；多于多指示灯AP，电源指示灯长时间处于““黄色常亮”状态”。

本类故障的常见原因包括：

·     无法找到启动文件

·     启动文件异常

·     内存故障

·     BootWare扩展段异常

·     硬件初始化设备

·     设备自检错误

对于无Console口的AP，无法查看AP的启动过程信息，请通过尝试恢复出厂配置的方式查看问题是否得到解决。

对于有Console口的AP，可以通过Console口进行本地登录，查看AP是否正常启动。本类故障的诊断流程如图3-2所示。

图3-2 含Console口AP启动异常的故障诊断流程图

设备可以通过长按RESET按钮5秒以上的方式恢复至出厂配置。如果问题未得到解决，请拨打H3C客户服务热线400-810-0504寻求帮助。

(1)     AP出现启动异常后，在许可的操作的范围内，建议先尝试进行重启、格式化、重新导入版本操作。

¡     如果故障未能解决，可以参照步骤(2)、步骤(3)定位异常启动原因。

¡     若无法定位问题，请收集相应的现象、日志信息等并拨打H3C客户服务热线400-810-0504寻求帮助。

(2)     检查配置终端是否打印启动信息

使用电缆连接计算机的串口和设备Console口，设备上电后，正常情况下将在配置终端上显示设备启动信息。

¡     如果配置终端显示AP启动但未打印启动信息，请尝试更换其他AP和网络设备。如果问题得到解决，则多为AP硬件故障，建议更换AP。

System is starting...

¡     如果配置终端显示AP启动信息，建议执行步骤(3)。

(3)     检查启动信息是否存在异常

AP上电后，无法正常启动或反复重启，常见为以下几种情况：

¡     无法找到启动文件

当配置终端显示如下启动信息是，表明找不到镜像文件，启动失败。建议重新启动设备并重新导入AP的版本文件。

BootWare Validating...

Press Ctrl+B to access EXTENDED-BOOTWARE MENU...

Loading the main image files...

The image does not exist!

Loading the backup image files...

¡     启动文件异常

启动文件异常一般是由启动文件本身异常或Flash故障导致。当配置终端打印如下信息后，请键入“Ctrl+B”进入BootWare主菜单界面。

BootWare Validating...

¡     Press Ctrl+B to access EXTENDED-BOOTWARE MENU...

¡     在BootWare主菜单下，键入“Ctrl+F”，格式化Flash后重新加载启动文件。如果格式化过程中报错，建议更换AP。

¡     内存故障

¡     Bootware启动时提示内存测试失败信息，具体如下：

System is starting...

Press Ctrl+D to access BASIC-BOOTWARE MENU

Value read :55555564;Value expected:55555555

DRAM test failed at:87FC0004

DRAM test failed at: 87fc0004

Fatal error! Please reboot the board.

建议重新启动设备并键入“Ctrl+D”进入基本BootWare菜单，而后键入“Ctrl+U”，选择“RAM Test”，进行内存测试。如果出现内存测试失败的提示，则为内存故障，建议更换AP。

System is starting...

Press Ctrl+D to access BASIC-BOOTWARE MENU...

===========================================

| Modify Serial Interface Parameter                                      

| Update Extended BootWare                                               

| Update Full BootWare                                                   

| Boot Extended BootWare                                                 

| Boot Backup Extended BootWare                                          

| Reboot                                                                 

============================================================================

Ctrl+U: Access BASIC ASSISTANT MENU

Enter your choice(0-5):

======================================================

| RAM Test                                                               

| Exit To Main Menu                                                      

============================================================================

Enter your choice(0-1): 1

Warning:Test Memory will take a long time? [Y/N]Y

Memory test......................................................

475 Mbytes memory has been tested.

Memory test failed.

¡     BootWare扩展段丢失

¡     如果配置终端在显示“Press Ctrl+D to access BASIC-BOOTWARE MENU...”的提示后，未打印“Press Ctrl+B to access EXTENDED-BOOTWARE MENU...”提示，且键入“Ctrl+B”后，无法进入BootWare主菜单界面，则表示AP BootWare扩展段丢失。

System is starting...

Press Ctrl+D to access BASIC-BOOTWARE MENU...

Booting Normal Extend BootWare..

The Extend BootWare is self-decompressing............................Done!

当配置终端出现“Press Ctrl+D to access BASIC-BOOTWARE MENU”时，立即键入“Ctrl+D”，进入基本BootWare菜单，键入，重新引导扩展段启动。

===========================================

| Modify Serial Interface Parameter |

| Update Extended BootWare |

| Update Full BootWare |

| Boot Extended BootWare |

| Boot Backup Extended BootWare |

| Reboot |

============================================================================

Ctrl+U: Access BASIC ASSISTANT MENU

Ctrl+A: Enter Command Line

Ctrl+C: Display Copyright

Enter your choice(0-5): 3

Please Start To Transfer File, Press To Exit.

Waiting ...C

打开终端软件，界面菜单栏选择 Xmodem发送数据，完成BootWare版本传输，具体操作过程请参见设备的版本说明书“升级BootWare菜单”章节。

¡     硬件初始化失败

如果AP刚启动即打印“The process wloclited exited abnormally.”的异常退出错误信息，则判断为硬件初始化失败，建议更换AP。

¡     设备自检错误

如果设备启动时打印“Fatal error！”，表示设备设备自检错误，判断为AP硬件故障，建议更换AP。

启动过程中，串口无输出或打印乱码；设备完成启动后，无法输入命令。

本类故障的常见原因包括：

·     Console线缆损坏

·     终端仿真程序的串口设置有误

·     BootWare基本段损坏

·     Flash硬件故障

本类故障的诊断流程如图3-3所示。

图3-3 设备输入输出异常的故障诊断流程

(1)     检查Console线缆是否损坏

(2)     更换连接计算机的串口和设备Console口的线缆，查看配置终端能否正常显示。

¡     如果问题得到解决，则为Console线缆损坏。

¡     如果问题无法解决，则执行步骤(2)。

(3)     检查终端仿真程序的串口配置是否有误

请按如下要求设置终端仿真参数：波特率：9600；数据位：8；停止位：1；奇偶校验：无；流量控制：无。

¡     如果问题得到解决，则为配置终端串口设置有误。

¡     如果问题无法解决，则执行步骤(3)。

(4)     如果配置终端不打印任何信息或打印一行乱码，则BootWare基本段损坏，建议更换AP。

(5)     检查命令输入输出是否正常

(6)     AP完成启动后，验证基本命令的输入输出是否正常。如果AP能够打印输出信息，但是无法输入任何信息，请更换其他AP进行测试。如果问题得到解决，则考虑为Flash硬件故障，建议更换AP。

AP完成启动并通过网线与交换机或其他网络设备相连后，无发与相连设备进行通信。

本类故障的常见原因包括：

·     AP有线接口通信异常

·     链路异常

对于无Console口或不能通过Console方式登录的AP，在上行设备上，查看AP对端接口的端口状态，进而定位是以太网接口通信异常，还是接口状态异常。

对于有Console口的AP，可以通过Console口进行本地登录，查看AP上行口的端口状态，进而定位是以太网接口通信异常，还是接口状态异常。

通过多次执行display interface查看物理端口状态，确认端口是否UP、入方向的报文统计是否增长。为方便查看，可以通过reset counter interface命令清空当前端口的报文统计结果再进行观察。

#查看AP上行口的端口状态。

display interface GigabitEthernet 1/0/1                               

GigabitEthernet1/0/1                                                            

Current state: UP                                                              

Line protocol state: UP                                                        

IP packet frame type: Ethernet II, hardware address: a4fa-7679-b6f0            

……

 Input (total):  196 packets, 21078 bytes                                      

          106 unicasts, 37 broadcasts, 53 multicasts, 0 pauses                 

 Input (normal):  196 packets, 21078 bytes                                     

          106 unicasts, 37 broadcasts, 53 multicasts, 0 pauses                 

 Input:  0 input errors, 0 runts, 0 giants, - throttles                        

          0 CRC, - frame, 0 overruns, 0 aborts                                 

          - ignored, - parity errors                                            

 Output (total): 158 packets, 10179 bytes                                      

          157 unicasts, 0 broadcasts, 1 multicasts, 0 pauses                   

 Output (normal): 158 packets, 10179 bytes                                     

          157 unicasts, 0 broadcasts, 1 multicasts, 0 pauses                   

 Output: 0 output errors, 0 underruns, - buffer failures                       

          - aborts, 0 deferred, 0 collisions, 0 late collisions                

          - lost carrier, - no carrier                  

·     在AP的上行设备上，通过display interface命令查看AP对端接口的端口状态。

·     如果接口状态为UP，则查看接口入方向报文统计情况。若接口入方向的广播包未正常增长，替换其他同型号AP后测试入方向广播包增长，则考虑为AP以太网接口通信异常，建议更换AP。

·     如果AP的对端接口无法正常UP，需要进一步检查有线接口状态，具体请参见3.12  AP接口状态异常。

·     在AP上，通过display interface命令查看AP上行口的端口状态。

·     如果接口状态为UP，则查看接口出方向报文统计情况。若接口出方向的广播包未正常增长，考虑为AP以太网接口通信异常，建议更换AP。

·     如果AP上行口无法正常UP，需要进一步检查有线接口状态，具体请参见3.12  AP接口状态异常。

设备运行后，检查接口状态存在异常。常见的异常现象包括：

·     通过display interface命令

¡     查看物理端口状态，显示信息Current state字段表现为物理Down或Down(类型)。

¡     端口输入、输出方向存在大量的错误包。

·     有线接口频繁UP/DOWN。

本类故障的常见原因包括：

·     端口配置有误

·     接口两端配置不一致

·     端口流量控制功能开启

·     链路质量差

·     针对支持光模块的设备，常见原因还包括：

·     光口收发功率异常

·     光电转换器异常

设备运行后，检查接口的状态是否存在异常，一般可以通过端口自检、光口自检排查出大部分的问题。

(1)     查看接口Down类型

通过display interface查看物理端口状态，确认端口是否Down，并查看端口Down类型。例如，“Current state: Administratively DOWN”状态，表示端口视图下配置了shutdown，需要执行undo shutdown命令开启。

display interface GigabitEthernet 1/0/1                               

GigabitEthernet1/0/1                                                            

Current state: Administratively DOWN                                            

常见的Down类型包括：

¡     Administratively DOWN：表示该接口已经通过shutdown命令被关闭，即管理状态为关闭。

¡     DOWN：表示该接口的管理状态为开启，但物理状态为关闭，可能因为没有物理连线或者线路故障。

¡     DOWN ( Link-Aggregation interface down )：表示该接口所属的聚合接口已经通过shutdown命令被关闭。

¡     mac-address moving down：由于MAC地址迁移抑制导致接口被关闭。

¡     STP DOWN：表示接口由于触发了STP BPDU保护而自动关闭。

(2)     检查接口协商链路双工类型

通过display interface brief命令查看接口的概要信息。

¡     自协商（A）状态时，端口的速率双工状态由本端口和对端端口自动协商而定，两端双工速率需匹配一致。

¡     半双工（H）状态时，需要检查接口两端配置是否不一致。

¡     #查看接口的概要信息。

display interface brief

The brief information of interface(s) under route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Main IP         Description

NULL0                UP   UP(s)    --

Vlan1                UP   UP       192.168.1.254

Vlan2                UP   UP       --

The brief information of interface(s) under bridge mode:

Link: ADM - administratively down; Stby - standby

Speed or Duplex: (a)/A - auto; H - half; F - full

Type: A - access; T - trunk; H - hybrid

Interface            Link Speed   Duplex Type PVID Description

BAGG1                UP   2G(a)   F(a)   T    1

GE1/0/1              UP   1G      F      T    1

GE1/0/2              UP   1G      F      T    1

WLAN-ESS10           UP   --      --     A    2

WLAN-DBSS10:0        UP   --      --     A    2

(3)     检查接口流量控制状态

# 在以太网接口视图下，通过display this命令，查看接口是否开启了流量控制。

system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] display this

#

interface GigabitEthernet1/0/1

 port link-type trunk

 port trunk permit vlan all

 flow-control

#

如果该端口不需要开启，建议使用undo flow control关闭该接口的流量控制功能。

(4)     检查错包增长情况

通过多次执行display interface查看物理端口状态，确认端口输入、输出方向是否有大量的错误包。为方便查看，可以通过reset counter interface命令清空当前端口的报文统计结果再进行观察。

AP端口入方向异常，主要表现如下：

¡     如果端口入包统计不增加，同时上行设备对端出包统计也不增加，建议排查对端设备。

¡     如果端口入包的错误统计频繁增加：

-     建议测试链路，链路质量差或者线路光衰大会导致报文在传输过程中出错。

-     通过display interface命令，查看两端端口的工作模式是否相同。

-     如果是网线，建议检查水晶头、更换网线。

-     如果是光纤，更换光模块、更换光纤

AP端口出方向异常，主要表现如下：

¡     如果下行设备对端入包CRC、frame、throttles计数增加，建议测试链路：

-     如果是网线，建议检查水晶头和网线；

-     如果是光纤，检查收发光的衰减是否在正常的阈值范围内、线缆中间连接的光电转换器是否异常。

¡     如果下行设备端口入包overruns、ignored计数增加，表明端口输入速率超过接收方处理能力，导致丢包，建议排查对端设备。

#查看AP端口状态。

display interface GigabitEthernet 1/0/1                                

GigabitEthernet1/0/1                                                            

Current state: UP                                                              

Line protocol state: UP                                                        

IP packet frame type: Ethernet II, hardware address: a4fa-7679-b6f0            

Description: GigabitEthernet1/0/1 Interface                                    

Bandwidth: 1000000 kbps                                                        

Loopback is not set                                                             

Media type is twisted pair, promiscuous mode not set                           

1000Mbps-speed mode, full-duplex mode                                          

Link speed type is autonegotiation, link duplex type is autonegotiation         

……

 Input (total):  205 packets, 21078 bytes                                      

          106 unicasts, 37 broadcasts, 53 multicasts, 0 pauses                 

 Input (normal):  196 packets, 21078 bytes                                     

          106 unicasts, 37 broadcasts, 53 multicasts, 0 pauses                 

 Input:  9 input errors, 0 runts, 0 giants, - throttles                        

          8 CRC, - frame, 0 overruns, 1 aborts                                 

          - ignored, - parity errors                                           

 Output (total): 162 packets, 10179 bytes                                      

          157 unicasts, 0 broadcasts, 1 multicasts, 0 pauses                   

 Output (normal): 158 packets, 10179 bytes                                     

          157 unicasts, 0 broadcasts, 1 multicasts, 0 pauses                   

 Output: 2 output errors, 2 underruns, - buffer failures                       

          - aborts, 0 deferred, 0 collisions, 0 late collisions                

          - lost carrier, - no carrier                  

(5)     检查端口是否UP/DOWN频繁震荡

(6)     如果设备的端口状态频繁UP/DOWN，建议从以下方面排查。

¡     对于以太网电口，如果端口处于自协商状态，则可能是协商不稳定。建议首先尝试设置强制速率双工，如果问题无法解决，则排查是否存在中间设备。

¡     对于以太网光口，通过display transceiver diagnosis interface命令查看端口的收发光功率，确保接收到的功率应在接收灵敏度与过载功率之间。

      收发光功率小于接收灵敏度，则接口不能Up。

      收发光功率大于过载功率，可能已经造成光模块损坏。

(7)     如果排查以上方面后，问题得不到解决，则一般为硬件问题，请拨打H3C客户服务热线400-810-0504寻求帮助。

登录到交换机上以后，试图通过OAP方式登录到无线控制器业务板上进行查询或者配置，却发现无法登录成功，提示“The OAP connection is busy, please try again later!”。

oap connect slot 1

The OAP connection is busy, please try again later!

(1)     确认当前是否有其他人在使用OAP连接。

(2)     登录到无线控制器业务板，通过display users命令收集当前访问无线控制器业务板的用户信息：

display users

  Idx  Line     Idle       Time              Pid     Type

  0    CON 0    00:00:00   Aug 11 10:06:51   1249

+ 1    VTY 0    00:00:00   Aug 11 10:09:24   1273    TEL

Following are more details.

VTY 0   :

        User name: admin

        Location: 180.10.1.1

 +    : Current operation user.

 F    : Current operation user works in async mode.

通过该命令可以看到当前登录到无线控制器业务板的用户（此信息说明当前有两个用户，其中“+”开头的用户为自己）可以多次执行上面的命令，如果Idle时间始终为00:00:00，则很大可能是该用户使用了OAP链接。

上面给出了Console用户的显示信息，如果通过Telnet登录发现con 0在线，而且Idle时间始终为00:00:00，则很有可能说明Console用户已经离开，但是使用了OAP连接，所以需要将该用户踢掉，以恢复OAP连接。

(3)     在无线控制器业务板的用户视图下执行free user-interface命令踢掉怀疑使用OAP连接的用户，其中下面的参数VTY和0分别为display users中的Line信息：

free user-interface vty 0

Are you sure to free user-interface vty0? [Y/N]:y

 [OK]

(4)     如果踢掉用户成功，再次进行OAP登录，应该可以连接成功，否则可以踢掉所有的用户进行测试。

(5)     如果踢掉所有的用户也没有效果，只有重新启动设备或者联系厂商的维护人员确认。

(1)     FIT AP启用本地转发后，在AC上可以看到AP状态为“Run”，但是大约30秒后又切换为“Idle”状态；

(2)     在设备上可以看到如下打印信息：

%Aug 11 10:25:04:225 2018 H3C CWS/4/CWS_AP_DOWN: CAPWAP tunnel to AP a4fa-7679-b390 went down. Reason: Failed to retransmit message.

%Aug 11 10:25:04:273 2018 H3C APMGR/6/APMGR_AP_OFFLINE: AP a4fa-7679-b390 went offline. State changed to Idle.

这是由于下发到FIT AP的本地配置文件将上行以太网接口的PVID修改了，不再是原来的VLAN 1，最终导致AP和AC不通，AC的状态机超时，并断开连接。因此需要修改本地转发文件，保证上行接口PVID为1。

·     目前FIT AP使用VLAN 1获取地址并和AC进行连接，所以必须保证AP上使用VLAN 1能够成功从网络中获取地址，也就是上行口必须支持VLAN 1。

·     如果FIT AP上行交换机为AP分配地址不在VLAN 1中，则FIT AP上行接口的PVID必须配置为VLAN 1。

·     如果FIT AP上行交换机为AP分配地址在VLAN 1中，且要将FIT AP上行接口PVID修改为其他的VLAN，则FIT AP上行接口必须设置支持VLAN 1，而且为tag方式，同时上行交换机也必须保证接口为VLAN 1的tag方式。

·     对于无线用户接入的VLAN，尽量在FIT AP上行接口使用tag方式，否则属于PVID的无线用户报文将在上行交换机被接入到上行交换机接口的PVID的VLAN中。

主AC故障恢复后，AP和Client仍然连在备AC上，不能自动回切。

使用priority命令将主AC上配置的AP优先级设为7，在AC热备功能中，必须将优先级设置为7才支持回切。

system-view

[Master_AC] wlan ap ap1 model WA6320

[Master_AC-wlan-ap-ap1] priority 7

无线客户端上线后，无法触发Portal认证或者客户端无法弹出Portal认证页面。

(1)     首先检查客户端的设置。

¡     检查客户端是否分配到正确的VLAN IP地址，检查所在VLAN是否是需要进行Portal认证的VLAN，如果有误请检查DHCP服务器相关配置是否正确。

¡     如果客户端分配到的地址是正确的，检查客户端的网关IP地址是否是AC上启用Portal认证的接口IP地址。

¡     检查是否还有别的网卡在使用，导致路由有问题，可在DOS下修改客户端的路由配置。

(2)     检查AC上Portal相关配置是否正确。

¡     无线服务模板下Portal配置：选择正确的Portal Web服务器和认证方式；

¡     全局下Portal配置：配置正确的Portal认证服务器IP地址和Portal Web服务器URL，配置正确的免认证规则，放行免认证流量。

(3)     确保以上无误后，仍无法弹出页面，进一步检查Portal认证服务器的配置。

¡     检查Portal认证服务器上配置的设备IP地址、密钥是否和AC上配置相同；

¡     检查Portal认证服务器上配置的IP地址组范围，必须是Portal认证VLAN的IP地址范围。

无线客户端可以弹出Portal认证页面，但是输入用户名和密码，提示认证失败。

(1)     首先确保用户名和密码正确。

(2)     如果用户名和密码无误，检查AC上的RADIUS和认证域相关配置：

a.     检查AC是否能和RADIUS服务器互相访问；

b.     检查AC配置的RADIUS认证、授权、计费服务器的IP地址、密钥是否正确；

c.     检查认证域是否配置正确；

d.     检查nas-ip地址是否和RADIUS服务器配置的接入设备IP地址相同。

(3)     确保AC上的配置无误后，进一步检查RADIUS服务器配置：

a.     检查RADIUS服务器上配置的接入设备是否添加了该AC的IP地址以及密钥是否正确；

b.     检查RADIUS服务器上配置的接入服务配置中认证类型是否正确，有无下发不存在的User Profile、ACL等（AC上必须配置相应的User Profile和ACL）；

c.     Portal认证不支持下发规则中匹配了源的ACL以及rule中带log参数的ACL。

AP最多只能与两台AP建立Mesh连接，无法与第三台AP建立Mesh连接。

AP默认最多只能与其他两台AP建立Mesh连接，如果想与多台AP建立Mesh连接，需要修改Mesh策略。

·     如果AP的射频口下配置了Mesh策略：

a.     首先使用undo mesh-policy命令将Mesh策略与绑定的射频口解绑定；

b.     然后在Mesh策略视图中使用link-maximum-number命令根据实际情况配置允许建立的最大链路数；

c.     最后使用mesh-policy命令将Mesh策略重新绑定到射频。

·     如果AP的射频口下没有配置Mesh策略：

a.     首先使用wlan mesh-policy命令用创建一个新的Mesh策略；

b.     然后在Mesh策略视图中使用link-maximum-number命令根据实际情况配置允许建立的最大链路数；

c.     最后使用mesh-policy命令将Mesh策略绑定到射频；

d.     使用radio enable命令开启射频。

使用两台或多台AP建立Mesh连接，虽然Mesh可以建立成功，但经常up/down。

·     两台AP建立Mesh连接后，可能一台AP启动了STP，另外一个没有启动STP协议，引起Mesh不稳定，所以当只有两台AP建立Mesh连接时，可以不在AP上启动STP协议，或者在两台AP上都启动STP协议。

·     多台AP建立Mesh连接后，可能没有启动STP，造成环路，此时需要在每台AP上都启动STP协议，避免造成环路。

与AC相连的MPP CAPWAP连接正常，Mesh Profile也绑定到射频，但MAP却无法与其建立正常Mesh链路，或经过MAP的ping操作失败。

(1)     MPP上需要使用portal-service enable命令配置MPP停止发送邻居探测请求。

(2)     MPP和MAP所在的信道应该相同。

Client不能在AC间快速漫游，Client在切换AP时都是重新走认证上线流程，没有走快速漫游流程。

快速漫游需要几个条件，必须满足这些条件才能快速漫游：

·     网卡要支持快速漫游。如果一个Client可以协商采用802.1X（RSN）认证方式，并且在发给FA的reasso消息中携带了PMKID，则该终端具有AC间快速漫游能力；

·     AC间建立漫游组，且漫游组处于run状态；

·     服务模板是CCMP+WPA2+dot1x方式。

(1)     Client不停的在几个AP间漫游；

(2)     Client漫游困难，Client原来关联的AP信号已经很差，但Client仍然不会主动漫游到信号较好的AP上。

·     如果Client不停的在几个AP间漫游，需要将Client的漫游主动性（漫游趋势或漫游灵敏度，仅部分网卡支持，请以网卡的实际情况为准）调低。

·     如果Client漫游困难，需要将Client的漫游主动性（漫游趋势或漫游灵敏度，仅部分网卡支持，请以网卡的实际情况为准）调高。

端口安全配置802.1X采用RADIUS认证，用户关联不成功。

(1)     确认设备和RADIUS服务器之间可以互通。

(2)     检查无线服务模板下配置的WLAN用户接入认证模式是否为dot1x。

(3)     检查AC上的nas-ip地址与服务器端配置是否一致，key配置是否一致。

(4)     如果采用CHAP或PAP认证，需要检查AC上配置的是否携带域名与服务器上的配置是否保持一致。

(5)     通过使用debugging radius packet命令，查看RADIUS服务器和AC报文交互情况。

(6)     检查AC上配置的port-mode和服务器上配置的证书认证类型是否一致。

(7)     查看服务器端配置是否和设备匹配。

(8)     查看客户端的配置是否正确。

802.1X和ACS配合认证时，Client关联到无线服务，下线后再关联，无法关联成功。

在ACS的“System Configuration -> Global Authentication Setup“中将“Enable Fast Reconnect”后面的勾去除。

图4-1 关闭快速重关联功能

802.1X认证过程中，设备端的配置都是正确的，输入用户名和密码也是正确的，但客户端网卡显示一直处于验证身份阶段。

在无线服务模板视图下配置了dot1x handshake enable命令，开启了802.1X在线用户握手功能，就会出现这样的情况，需要使用undo dot1x handshake enable命令关闭802.1X在线用户握手功能。

端口安全配置802.1X采用本地认证，用户关联不成功。

(1)     使用debugging port-security命令检查是否因为没有配置全局端口安全导致没有进行端口安全认证功能。

(2)     确认是否是设备上配置的port-mode不正确，设备上没有PKI证书或者PKI证书过期。

(3)     查看客户端的配置是否正确。

端口安全配置MAC地址认证和PSK认证并采用RADIUS服务器，正确输入PSK密钥后用户关联不成功。

(1)     确认设备和RADIUS服务器之间互通。

(2)     检查是否配置了全局开启端口安全。

(3)     检查AC上的nas-ip地址与服务器端配置是否一致，key配置是否一致。

(4)     用户名是否携带域名要和服务器上配置的用户名一致。

(5)     查看RADIUS服务器端配置是否和设备匹配。

端口安全采用MAC地址和PSK的认证方式，并采用本地认证，正确输入PSK密钥后，Client无法关联上线。

(1)     需要确认配置的local-user用户名是否和user-name-format配置的一致。如果不一致，需要使用mac-authentication user-name-format命令修改MAC地址认证用户的帐号格式。

(2)     如果MAC地址中有字母的，在配置本地用户的时候有可能写成大写。此时需要使用mac-authentication user-name-format命令将用户的MAC地址大写字母改为小写字母，同时将密码改为和用户名一致，如下所示。

[Sysname-luser-00-14-6c-72-29-5c]display this

#

local-user 00-14-6c-72-29-5c

    password simple 00-14-6c-72-29-5c

    authorization-attribute level 3

    service-type lan-access

#

在AC上打开调试信息，AC上能够收到AP的报文，但无法注册。

缺省情况下，自动AP功能处于关闭状态，这种情况的调试信息显示如下：

*Aug 11 15:26:16:766 2018 H3C CWS/7/RCV_PKT: Received discovery request from AP: IP address=180.10.1.67, MAC address=c4ca-d98e-c350,

 serial ID=219801A0CLC11B000010.

*Aug 11 15:26:16:767 2018 H3C CWS/7/ERROR: Failed to process discovery request from AP with serial ID 219801A0CLC11B000010:

在设备上使用wlan auto-ap enable命令开启自动AP功能。

用户在云平台上添加云AP设备后，云AP不能在云平台上线。

本类故障的常见原因主要包括：

·     在云平台添加设备时没有正确输入云AP的SN码，导致云AP添加后不能上线。

·     云AP没有连接外网，导致云AP无法在云平台上线。

·     云AP在本地Web页面上的云管理配置不正确，导致云AP无法在云平台上线。

·     云AP已经在AC上线，因为云AP无法同时在AC与云平台上线，导致在云平台上线失败。

图4-2 云AP无法连接至云平台故障排查流程图

(1)     确认在云平台添加设备时正确输入设备的SN码

添加设备时如果输入SN码错误，会导致设备无法在云平台上线。

请取下设备的面板盖，或通过设备背面的铭牌或取设备的SN码。

如果故障仍不能排除，则执行步骤(2)。

(2)     查看云平台是否存在云AP的License

登录云平台账号，在[网络管理/设置/License许可]页面的“License管理”页签中选择“已安装License”查看云平台是否存在云AP License。

图4-3 查看云AP License

新注册的云平台账户拥有云AP试用License，支持最多128台、每台最多180天的试用，试用结束后云AP将自动下线。

¡     若不存在，请购买并安装正式授权。云AP License授权码及操作方法请参见《H3C云AP License使用指南》。

¡     若存在，请将License绑定云AP设备。

如果故障仍不能排除，则执行步骤(3)。

(3)     云AP是否连接外网

请确保云AP的上行设备正确接入网络，云AP可以从上行设备动态获取到IP地址，且该地址与公网网络可达。

¡     若云AP IP地址与公网网络不可达，请参考《H3C 云AP连接绿洲平台典型配置举例(V7)》重新配置网络。

¡     若云AP IP地址与公网网络可达，则执行步骤(4)。

(4)     云AP的云管理配置是否正确

登录本地Web页面，确保云平台服务器域名填写正确，填写错误将导致云AP无法连接云平台。云AP本地Web页面的云平台服务器域名为cloudnet.h3c.com。

图4-4 本地Web云管理配置

如果故障仍不能排除，则执行步骤(5)。

(5)     云AP的CAPWAP隧道是否断开

云AP同时只能被AC和云平台其中一个管理。云AP已经存在CAPWAP隧道时，无法在云平台上线。

¡     如果云AP当前已经在AC上线，可以在AC的系统视图下通过undo wlan ap命令删除该云AP，或将云AP与AC间的物理链路断开，以断开AP与AC间的CAPWAP隧道。

¡     如果云AP没有在AC上线，则执行步骤(6)。

(6)     如果故障仍不能排除，请收集如下信息，并拨打热线400-810-0504求助。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

WIPS反制不生效。

本类故障的常见原因主要包括：

·     超出了Sensor AP的反制覆盖范围。

·     Sensor AP的配置不正确。

·     WIPS规则的相关配置不正确。

·     Sensor AP未向终端以及AP发送deauth帧。

本类故障的诊断流程如图4-5所示。

图4-5 WIPS反制故障诊断流程图

(1)     检查Sensor AP的覆盖范围。

WIPS反制功能的覆盖范围大概是30到50米，超出该范围反制效果就不明显甚至失效。现场可以在开启反制的AP上释放一个测试用SSID，然后使用终端扫描该AP覆盖范围，信号强度大于-75dBm的情况下为满足反制功能的覆盖范围。

(2)     检查Sensor AP的配置。

检查Sensor AP上是否开启了无线反制的功能，是否在指定的Radio口开启了WIPS功能，是否将Sensor AP加入到指定的VSD中。

# 创建AP名称为Sensor，开启WIPS功能。

[AC] wlan ap Sensor model WA6320

[AC-wlan-ap-Sensor] serial-id 219801A28N819CE0002T

[AC-wlan-ap-Sensor] radio 1

[AC-wlan-ap-Sensor-radio-1] radio enable

[AC-wlan-ap-Sensor-radio-1] wips enable

[AC-wlan-ap-Sensor-radio-1] quit

# 配置Sensor加入虚拟安全域vsd1。

[AC-wlan-ap-Sensor] wips virtual-security-domain vsd1

[AC-wlan-ap-Sensor] quit

(3)     检查WIPS规则的相关配置。

检查WIPS规则的相关配置，是否正确定义了分类规则，是否正确的将分类规则关联到分类策略上，是否正确的定义了反制策略，是否正确的将分类策略和反制策略应用于WIPS虚拟安全域中。

# 检查WIPS规则的相关配置。

# 定义WIPS的AP分类规则

wips

 ap-classification rule 1 

  ssid equal rwfz

# 定义WIPS分类策略

 classification policy class1 

  apply ap-classification rule 1 rogue-ap

# 定义WIPS反制策略

 countermeasure policy 1 

  countermeasure rogue-ap

# 定义WIPS虚拟安全域

 virtual-security-domain vsd1 

  apply classification policy class1

  apply countermeasure policy 1

(4)     在AC上查看被反制设备的信息。

在AC上通过命令display wips virtual-security-domain countermeasure record来显示指定VSD内被反制设备的信息，以明确下一步操作。

display wips virtual-security-domain vsd1 countermeasure record

Total 3 times countermeasure, current 3 countermeasure record in virtual-security-domain vsd1

Reason: Att - attack; Ass - associated; Black - blacklist;

        Class - classification; Manu - manual;

MAC address    Type   Reason   Countermeasure AP     Radio ID   Time

1000-0000-00e3 AP     Manu     ap1                    1          2016-05-03/09:32:01

1000-0000-00e4 AP     Manu     ap2                    1          2016-05-03/09:32:11

2000-0000-f282 Client Black    ap3                    1          2016-05-03/09:31:56

(5)     在AC上查看被反制设备的详细信息。

通过命令display wips virtual-security-domain device显示指定VSD内检测到的无线设备的信息，以明确下一步操作。

display wips virtual-security-domain vsd1 device verbose

Total 1 detected devices in virtual-security-domain vsd1

Client: 2000-0000-0000

  Last reported associated AP: 1000-0000-0000

  Classification: Uncate

  Severity level: 0

  Classify way: Auto

  Dissociative status: No

  Status: Active

  Status duration: 00h 00m 02s

  Vendor: Not found

  Radio type: 802.11a

  40mhz intolerance: No

  Countermeasuring: No

  Man in the middle: No

  Total number of reported sensors: 1

     Sensor 1:

       Sensor ID: 2

       Sensor name: 1

       Radio ID: 1

       RSSI: 50

       Channel: 149

       First reported time: 2014-06-03/14:52:56

       Last reported time: 2014-06-03/14:52:56

       Reported associated AP: 1000-0000-0000

(6)     空口抓包查看Sensor AP是否发出deauth帧。

当WIPS反制功能没有生效的时候，可以使用无线抓包软件进行空口抓包，查看Sensor AP是否向终端以及AP发送了deauth帧。空口抓包是个比较有效的手段，但是现场通常都没有空口抓包的软件和网卡，如果条件不允许，可以不进行这一步。

图4-6 无线抓包

从deauth帧的Extra byte字段可以看出countermeasure frame的字样，表示该帧是由Sensor AP发出的deauth帧，即反制帧。

(7)     优化操作。

V7不再有对应的命令指定Sensor AP的工作模式。如果AP射频不绑定无线服务模板，则表示只工作在检测反制模式；如果绑定无线服务模板，则表示AP工作在检测反制和接入服务都有的混合模式。如果指定具体信道，AP也能在多个信道进行扫描和反制。AP同时提供WIPS和接入服务时，需要分配接入和探测的时间，会减弱探测反制的功能，所以为了达到更好的防入侵效果，建议AP单独提供WIPS服务。

表4-1 优化操作

接入服务时长(ms)

工作信道扫描时长(ms)

轮询信道扫描时长(ms)

普通模式

5000

100

100

服务优先

通过命令 scan idle-time idle-time判断接入服务空闲了，再扫描

100

100

纯探针及反制

自动检测到没有配置接入服务模板，直接周期轮询所有信道

0

100

(8)     版本升级。

新版本对WIPS功能做过优化调整，如果通过以上步骤排查后WIPS反制效果依然不明显，可以考虑将AC版本升级至官网最新版本。新版本针对WIPS功能的调整优化，可以参考版本说明书中的解决问题列表。

(9)     拨打热线400-810-0504寻求帮助。

若上述故障处理方法均无法解决问题，则需要收集如下信息并联系客户服务热线400-810-0504进行处理。

需要收集的信息如下：

¡     AC及AP的版本和型号；

¡     在AC上通过命令debugging wips countermeasure收集调试信息；

¡     AC的诊断信息。

WA4320E无法连接上行网络。

本类故障的常见原因主要包括：

·     WA4320E工作模式与上行无线网络环境不匹配。

·     Client模式的连接配置不正确。

·     Client模式的漫游配置不正确。

·     上行网络AC侧配置不正确。

本类故障的诊断流程如图4-7所示。

图4-7 WA4320E无法连接上行网络的故障诊断流程图

(1)     查看WA4320E工作模式。

连接WA4320E的管理Wi-Fi并登录到本地WEB页面，登录信息如下：

¡     Wi-Fi名称：H3C_XXXXXX（XXXXXX为设备MAC地址的后六位）。

¡     本地WEB页面的管理IP地址：10.40.94.1。

超级AGV模式即快速模式下，2.4G频段仅做扫描使用，不提供任何无线接入服务，只有5G频段提供管理Wi-Fi。设备缺省工作在超级AGV模式下，所以进行配置时需要终端支持5G频段。

图4-8 管理Wi-Fi示例

图4-9 查看工作模式

(2)     确认现场无线网络环境。

AGV小车CPE设备上的工作模式分为普通AGV模式和快速AGV模式：

¡     普通AGV模式：除了提供对外无线连接功能、接入任意第三方WLAN网络外，本身还可以向外提供无线接入服务。

¡     快速AGV模式：只提供对外无线连接功能，但相对于普通AGV模式其漫游的性能指标更佳，适合已经部署、或计划与CPE设备一起部署H3C WLAN网络的使用场景。如果现场无线环境是第三方无线网络，只能使用普通AGV模式，无法使用快速AGV模式。

(3)     检查Client模式的连接配置

a.     检查普通AGV模式下的连接配置。

检查连接的对端无线网络的信息，确认配置的网络名称和密码是否正确。

图4-10 检查普通AGV模式下的连接配置

b.     检查快速AGV模式的连接配置。

快速AGV模式下，设备支持零配置，在零配置模式下，由于使用的射频策略与快速AGV模式相同，因此两者的漫游性能一样。区别在于2.4G频段的扫描结果新增了“5G是否加密标志位”，WA4320E在5G频段会发送报文询问网络侧提供的无线服务的接入密码，在网络侧的AC设备上开启了无线客户端智能接入功能后，网络侧的AP设备会回复携带无线服务密码的报文，待收到此报文后WA4320E解析报文并完成上线。此功能需要结合H3C WLAN网络使用并且需要在AC上进行额外的配置。

图4-11 检查快速AGV模式的连接配置

(4)     检查WA4320E漫游的相关配置。

表4-2 漫游配置项说明

配置项

说明

（5G）扫描信道

配置扫描信道

信道扫描周期

射频信道扫描持续的时间

决策时间间隔

（仅“快速”工作方式支持）设备决定是否进行漫游的时间间隔，每隔一个决策时间间隔，设备会自动检测是否进行漫游

扫描时间间隔

（仅“普通”工作方式支持）每个信道扫描所间隔的时间

保活时间间隔

AP给上行设备发送保活报文的时间间隔

最大保活次数

保活报文超时的最大次数，当链路连接成功后，发送保活报文超时达到最大次数后，则认为此链路不通

漫游切换差值

（仅“快速”工作方式支持）漫游切换门限，漫游后与漫游前的无线信号的RSSI（Received Singnal Strength Indication，接收信号强度指示）差值，只有差值大于等于配置的漫游切换差值，才会漫游切换

触发扫描RSSI

（仅“普通”工作方式支持）触发扫描的RSSI值

大多数场景不需要对漫游参数进行修改，但是也可根据现场实际环境进行调整，注意事项如下：

¡     信道扫描周期配置过低可能会导致网络扫描不全的情况，影响漫游质量。

¡     普通AGV模式只需WA4320E的5G进行扫描连接，无需2.4G辅助连接。

¡     5G信道中雷达信道不支持扫描使用，请勿配置。

图4-12 漫游配置示例

(5)     检查AC侧的配置。

如果WA4320E工作在普通AGV模式，则AC按照正常无线接入配置即可；如果WA4320E工作在快速AGV模式，则AC需要进行额外配置。

¡     配置无线服务

# 创建无线服务模板h3c-agv，用于为WA4320E提供无线接入服务。

[AC] wlan service-template h3c-agv

# 配置无线服务模板h3c-agv的SSID为h3c-agv。

[AC-wlan-st-h3c-agv] ssid h3c-agv

# 开启无线客户端智能接入功能（仅在快速AGV零配置模式下需要配置，开启本功能后，可以在仅创建无线服务模板或身份认证与密钥管理模式配置为PSK的情况下，自动将我司配套的无线客户端接入到无线网络）。

[AC-wlan-st-h3c-agv] client smart-access enable

# 配置AKM为PSK，配置PSK密钥，使用明文的字符串12345678作为共享密钥。

[AC-wlan-st-h3c-agv] akm mode psk

[AC-wlan-st-h3c-agv] preshared-key pass-phrase simple 12345678

# 配置CCMP为加密套件，配置RSN为安全信息元素。

[AC-wlan-st-h3c-agv] cipher-suite ccmp

[AC-wlan-st-h3c-agv] security-ie rsn

# 开启无线服务。

[AC-wlan-st-h3c-agv] service-template enable

[AC-wlan-st-h3c-agv] quit

# 创建无线服务模板h3c-agv-2g，用于为WA4320E提供漫游辅助无线服务。

[AC] wlan service-template h3c-agv-2g

[AC-wlan-st-h3c-agv-2g] ssid h3c-agv-2g

[AC-wlan-st-h3c-agv-2g] service-template enable

[AC-wlan-st-h3c-agv-2g] quit

¡     配置Radio

# 进入AP组g1的5GHz射频视图。

[AC] wlan ap-group g1

[AC-wlan-ap-group-g1] ap-model WA5320-SI

[AC-wlan-ap-group-g1-ap-model-WA5320-SI] radio 1

# 配置固定信道（请根据实际组网情况避开干扰信道，避免干扰）。

[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-1] channel 36

# 将网络侧的无线接入服务h3c-agv绑定到AP组g1的5GHz射频下。

[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-1] service-template h3c-agv

# 开启射频功能。

[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-1] radio enable

[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-1] quit

# 进入AP组g1的2.4GHz射频视图。

[AC-wlan-ap-group-g1-ap-model-WA5320-SI] radio 2

# 配置固定信道（请根据实际组网情况干扰避开，避免干扰）。

[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-2] channel 1

# 将网络侧的漫游辅助无线服务h3c-agv-2g绑定到AP组g1的2.4GHz射频下。

[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-2] service-template h3c-agv-2g

# 开启射频功能。

[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-2] radio enable

# 在2.4GHz射频上开启漫游增强功能，指定携带网络侧的无线接入服务h3c-agv的信息（快速AGV模式和快速AGV零配置模式必须配置此命令）。

[AC-wlan-ap-group-g1-ap-model-WA5320-SI-radio-2] roam-enhance ssid h3c-agv

完整的详细配置请参见官网的部署手册。

(6)     收集WA4320E系统日志信息。

可以通过本地WEB的高级功能获取设备的系统日志信息。

图4-13 获取系统日志

图4-14 系统日志包含信息

(7)     拨打热线400-810-0504寻求帮助。

若上述故障处理方法均无法解决WA4320E故障问题，则需要收集如下信息并联系400-810-0504进行处理。

需要收集的信息如下：

¡     具体故障现象；

¡     AC配置；

¡     WA4320E系统日志。

Remote AP功能不生效，即当AC与AP间隧道断开后，出现在线终端下线和新终端无法接入的故障。

报文转发位置配置在AC上，导致Remote AP功能不生效。

本类故障的诊断流程如图4-15所示。

图4-15 Remote AP功能不生效故障排查流程图

(1)     检查是否开启Remote AP功能

查看AP/AP组配置，确认在需要Remote AP功能的AP上开启了功能。具体操作步骤为进入AP/AP组视图，执行display this命令查看AP/AP组当前配置，以下文的操作为例。

system-view

[AC] wlan ap ap1

[AC-wlan-ap-ap1] display this

#

wlan ap ap1 model WA5320

 vlan 1

 bonjour enable

 hybrid-remote-ap enable

 rfid-tracking aeroscout enable

 rfid-tracking cupid enable

 radio 1

  type dot11a

  radio enable

 radio 2

 gigabitethernet 1

 gigabitethernet 2

#

¡     如果没有在AP/AP组配置Remote AP功能，则需要在AP/AP组视图下执行hybrid-remote-ap enable命令开启Remote AP功能。

¡     如果AP/AP组配置了Remote AP功能，则继续执行步骤(2)。

(2)     检查报文转发位置

查看终端接入的的无线服务模板配置，仅当终端数据报文的转发位置在AP上时，Remote AP功能才会生效。具体操作步骤为进入无线服务模板视图，执行display this命令查看当前配置，以下文的操作为例。

system-view

[AC] wlan service-template 1

[AC-wlan-st-1]display this

#

wlan service-template 1

 ssid service

 client forwarding-location ap

 akm mode psk

 preshared-key pass-phrase cipher $c$3$X2Rlxl49vpJ158WfBfCMdjt0NpHVdUHApNcS

 cipher-suite ccmp

 security-ie rsn

 ip verify source

 service-template enable

#

¡     如果终端数据报文转发位置为AC，则在无线服务模板视图下，通过client forwarding-location ap命令配置数据报文转发位置为AP。

¡     如果终端数据报文转发位置为AP，请继续执行步骤(3)。

(3)     如果故障仍然未能排除，请收集如下信息，并拨打热线400-810-0504求助。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

当AC与AP间隧道断开，Remote AP功能生效后，原有终端业务不受影响，新终端出现无法接入的故障。

本类故障的常见原因主要包括：

·     终端认证/关联位置没有配置在AP上，导致新终端无法完成关联/认证流程。

·     当使用远程认证时，没有将相关配置下发给AP，导致新终端无法接入。

·     当使用本地MAC认证时，没有将相关配置下发给AP，导致新终端无法接入。

图4-16 原有终端业务不受影响，新终端无法接入故障排查流程图

(1)     查看终端关联/认证位置

查看终端接入的的无线服务模板配置。具体操作步骤为进入无线服务模板视图，执行display this命令查看当前配置，以下文的操作为例。

system-view

[AC] wlan service-template 1

[AC-wlan-st-1]display this

#

wlan service-template 1

 ssid service

 client forwarding-location ap

 client association-location ap

 client-security authentication-location ap

 akm mode psk

 preshared-key pass-phrase cipher $c$3$X2Rlxl49vpJ158WfBfCMdjt0NpHVdUHApNcS

 cipher-suite ccmp

 security-ie rsn

 ip verify source

 service-template enable

#

¡     如果终端关联位置或用户接入认证位置为AC，则在无线服务模板视图下，通过client association-location ap配置终端关联位置为AP，通过client-security authentication-location ap命令配置用户接入认证位置为AP。

¡     如果如果终端关联位置和用户接入认证位置为AP，请继续执行步骤(2)。

(2)     查看远程认证配置

Remote AP场景下，新接入终端无需进行Portal认证，可以直接访问网络。

使用远程认证对于原有终端业务不受影响，对于新接入终端则需要保证以下两点，才能接入。

a.     AP和远程认证服务器网络互通。

b.     全部的远程认证配置通过map文件等方式下发AP。

因为远程认证对AP的资源占用和性能影响较大，故不建议在Remote AP场景下使用远程认证。

¡     如果配置了远程认证，建议修改配置，采用本地认证。

¡     如果没有配置远程认证，请继续执行步骤(3)。

(3)     查看本地认证配置

Remote AP场景下，Portal认证会失效，新终端无需认证，可以直接访问网络。

如果配置了本地MAC认证，需要将domain以及local-user都通过map文件等方式下发到AP，才能保证新终端的正常接入。下文以map文件方式下发配置的操作为例。

# 编辑apcfg.txt配置文件，内容为：

system-view

vlan 44

Interface GigabitEthernet 1/0/1

port link-type trunk

port trunk permit vlan 44

#

domain mac1

Authorization-attribute idle-cut 15 1024

Authentication lan-access local

#

local-user 3cf0114e7811 class network

password simple 3cf0114e7811

service-type lan-access

#将配置文件apcfg.txt上传至AC。（略）

# 在AC上将配置文件apcfg.txt下发到AP。

[AC-wlan-ap-ap1] map-configuration apcfg.txt

[AC-wlan-ap-ap1] quit

¡     如果没有配置本地认证，请继续执行步骤(4)。

(4)     如果故障仍不能排除，请收集如下信息，并拨打热线400-810-0504求助。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

802.1X认证下发ACL失败。

本类故障的常见原因主要包括：

·     802.1X认证配置不正确。

·     AC上没有配置对应的ACL或者ACL配置不正确。

·     AC与服务器路由不可达。

·     服务器侧下发的ACL编号不正确。

·     本地转发模式下，AP的MAP文件中没有增加对应的ACL配置。

·     服务器没有下发ACL属性。

本类故障的诊断流程如图4-17所示。

图4-17 802.1X认证下发ACL失败的故障诊断流程图

(1)     检查802.1X认证配置。

根据802.1X认证的典型配置检查AC上相关配置是否正确。例如：检查Radius scheme配置是否正确，Domain调用是否正确，无线服务模板下的802.1X认证配置是否正确。

(2)     检查AC上ACL配置。

认证服务器只下发ACL的编号，如果AC上没有配置对应的ACL则不会授权生效，且需要检查对应ACL的配置是否正确。

可通过命令display acl查看AC上ACL配置：

[AC] display acl 3001

Advanced IPv4 ACL 3001, 1 rule,

ACL's step is 5

 rule 1 deny ip destination 192.168.137.6 0

(3)     检查AC与服务器侧通信是否正常。

802．1x认证需要AC与服务器直接交互Radius协议报文，并使用命令radius nas-ip指定的IP地址通信，因此需要保证AC上radius nas-ip指定的IP地址与服务器路由可达。

可通过命令ping –a source-IP-address destination-IP-address检查AC与服务器侧通信是否正常：

ping –a 192.168.137.6 1.1.1.3 Ping 1.1.1.3 (1.1.1.3) from 192.168.137.6: 56 data bytes, press CTRL_C to break 56 bytes from 1.1.1.3: icmp_seq=0 ttl=255 time=0.945 ms 56 bytes from 1.1.1.3: icmp_seq=1 ttl=255 time=0.556 ms 56 bytes from 1.1.1.3: icmp_seq=2 ttl=255 time=0.530 ms 56 bytes from 1.1.1.3: icmp_seq=3 ttl=255 time=0.550 ms 56 bytes from 1.1.1.3: icmp_seq=4 ttl=255 time=0.538 ms

(4)     查看服务器侧下发的ACL编号是否正确。

802.1X认证时，服务器会在Radius的2号报文中携带需要下发给终端的ACL编号，需要检查终端侧收到服务器下发的ACL编号是否正确。

可通过命令display wlan client mac-address mac-address verbose查看终端侧收到服务器下发的ACL编号：

display wlan client mac-address 0015-00ba-0428 verbose

Total number of clients: 1

MAC   address                         : 0015-00ba-0428  

IPv4 address                          : 138.200.0.1  

IPv6 address                          : N/A  

Username                              : wjh1x  …

AKM mode                              : 802.1X     

Cipher suite                          : CCMP

User authentication mode              : 802.1X

Authorization ACL ID                  : 3001

如果ACL下发失败，则“Authorization ACL ID”字段会显示为N/A；如果ACL下发成功，则“Authorization ACL ID”字段会显示具体的ACL编号。

(5)     检查本地转发的MAP文件配置。

检查该无线服务的转发方式，如果是本地转发则需要在对应AP的MAP文件中增加对应ACL的配置。

可通过命令more apcfg.txt查看MAP文件的配置：

more apcfg.txt

system-view

vlan 200

quit

interface GigabitEthernet 1/0/1

port link-type trunk

port trunk permit vlan 200

(6)     检查服务器是否下发ACL属性。

按照Radius协议规范，服务器会在Radius 2号报文中携带ACL授权属性。可通过抓包的方式查看Radius的coed 2报文中是否存在attribute value pairs字段，下发的值是否就是对应的ACL值。

图4-18 检查服务器是否下发ACL属性

(7)     拨打热线400-810-0504求助。

如果根据上述相关步骤排查还是无法解决ACL下发失败的问题，请收集AC的诊断和抓包信息，拨打400-810-0504热线寻求帮助。

AC＋FIT AP组网采用集中转发模式时，无线终端可以连接无线网络，但无法取得IP地址，导致终端不能上网。

因为集中转发和本地转发的故障处理步骤不同，首先需要查看当前转发模式。在AC的任意视图下，执行display wlan service-template verbose命令查看无线服务模板的转发模式。Forwarder字段显示为AC时，说明是集中转发。

display wlan service-template 1 verbose

Service template name        : 1

 Description                  : Not configured

 SSID                         : 123

…

Forwarder                    : AC

本类故障的常见原因主要包括：

·     设备的VLAN配置不正确，导致终端获取不到IP地址。

·     设备的接口配置不正确，导致终端获取不到IP地址。

·     无线终端与DHCP Server中间链路不通。

·     配置基于VLAN的用户隔离功能时，网关实际MAC地址与配置的MAC地址不对应，使得DHCP和ARP广播报文被阻断，导致终端获取不到IP地址。

·     无线终端与DHCP Server间的DHCP报文交互流程出现问题，导致终端获取不到IP地址。

本类故障的诊断流程如图4-19所示。

图4-19 集中转发下无线终端无法获取IP地址故障排查流程图

(1)     检查组网中的VLAN配置

集中转发模式下，客户端的数据流量由AP通过CAPWAP隧道透传到AC，由AC转发数据报文。实际使用中通常会划分AP上线的管理VLAN和无线终端接入的业务VLAN，数据报文通过管理VLAN发送至AC，AC再通过业务VLAN转发数据报文，所以需要在AC转发业务报文的链路上放通业务VLAN，否则终端无法取得IP地址。

业务VLAN有多种配置方式，其优先级为认证授权VLAN＞Radio接口绑定VLAN＞服务模板指定VLAN。

如图4-20所示，核心交换机作为网关，AC旁挂在核心交换机上，AP与接入交换机相连。需要在AC转发无线业务报文的链路，即AC-Switch1链路放通业务VLAN200。

图4-20 集中转发组网VLAN配置

在设备的任意视图下，通过display current-configuration命令查看本设备全部VLAN配置。

display current-configuration

#

vlan 100

#

vlan 200

#

…

#

interface Vlan-interface100

 ip address 192.1.1.1 255.255.0.0

#

interface Vlan-interface200

 ip address 192.2.1.1 255.255.255.0

#

interface GigabitEthernet1/0/1

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 100 200

¡     如果设备的VLAN配置不正确，请参考上文举例或依据实际情况修改配置。

¡     如果设备的VLAN配置正确，则继续执行步骤(2)。

(2)     检查组网中的物理接口配置

物理接口配置错误可能导致VLAN放通失败。如图4-20所示组网中，需要将AC与网关Switch1链路的物理接口GE1/0/1和GE1/0/2配置为Trunk模式并允许业务VLAN200通过。

在设备的任意视图下，通过display current-configuration命令查看本设备全部接口配置。

¡     如果设备的接口配置不正确，请参考上文举例或依据实际情况修改配置。

¡     如果设备的接口配置正确，则继续执行步骤(3)。

(3)     判断中间链路网络是否可通

如果中间链路网络不通，终端无法通过DHCP方式获取IP地址。有两种方式可以判断中间链路网络是否可通：

a.     在DHCP Server（通常是网关设备，也可能是AC）的任意视图下执行display mac-address命令查看MAC地址表中是否存在无线终端的MAC地址，以及对应VLAN是否正确。如果正确学习到无线终端MAC地址，说明二层网络互通，反之则不通。

display mac-address

MAC Address       VLAN ID    State            Port/Nickname            Aging

0008-2246-da06    200        Client           WLAN-BSS1/0/527          N

5098-b853-5201    790        Learned          BAGG1                    Y

b.     为无线终端手动配置与网关处于同一网段的静态IP地址，再去Ping网关。如果Ping通，则说明中间链路网络互通。

¡     如果中间链路网络不通，请排查中间链路网络故障。

¡     如果中间链路网络互通，请继续执行步骤(4)。

(4)     查看基于VLAN的二层隔离功能配置

为了降低骨干网络对无线局域网的广播报文数量，无线网络可能配置了基于VLAN的二层隔离。一般将permit-mac配置为网关的MAC地址，当网络存在调整，网关MAC地址变化时，如果没有修改二层隔离的配置，会造成广播报文不通的情况，此时无线终端无法通过DHCP方式获取IP地址。典型的配置如下：

# 在VLAN 200上开启用户隔离功能，允许访问MAC地址为00bb-ccdd-eeff的设备（允许的MAC地址通常为网关MAC地址），同时禁止有线用户（permit-mac允许的mac地址除外）发送广播、组播报文给无线用户。

system-view

[AC] user-isolation vlan 200 enable

[AC] user-isolation vlan 200 permit-mac 00bb-ccdd-eeff

[AC] undo user-isolation permit-broadcast

查看基于VLAN的二层隔离功能配置的方法为，在AC的任意视图下执行display user-isolation statistics命令，以下文为例：

display user-isolation statistics

Number of VLANs enabled with user isolation: 2

Number of VLANs disabled with user isolation: 1

VLAN    Status    Drops        Permit-Unicast    Permitted MACs    Permit IPv4|I

Pv6 Acl                                                                         

4       Enabled   0            Y                 N/A               3001|3002

200     Enabled   0            Y                 00bb-ccdd-eeff    N/A|N/A

5       Enabled   0            Y                 N/A               N/A|N/A

¡     如果基于VLAN的二层隔离功能配置不正确，请参照举例修改配置。

¡     如果基于VLAN的二层隔离功能配置正确，或没有配置本功能，请继续执行步骤(5)。

(5)     如果故障仍然未能排除，请收集如下信息，并拨打热线400-810-0504求助。

¡     在AP的上行接口抓包来判断DHCP报文交互过程。

设备间DHCP交互不完整时，终端无法获取IP地址。如所示，完整的DHCP交互流程,需要完成四个报文交互：

表4-3 完整的DHCP交互流程

DHCP报文类型

描述

DHCP Discover

DHCP客户端会在本地网络内以广播方式发送请求报文，即DHCP Discover报文，目的是发现网络中的DHCP服务器。

所有收到Discover报文的DHCP服务器都会发送回应报文，DHCP客户端据此可以知道网络中存在的DHCP服务器的位置。

DHCP Offer

DHCP服务器收到Discover报文后，会在所配置的地址池中选取IP地址，加上相应的租约期限、网关和DNS服务器等信息，通过Offer报文告知客户端该服务器可用。

DHCP Request

DHCP客户端可能会收到很多Offer报文，客户端通常选择第一个回应Offer报文的服务器作为自己的目标服务器，并回应一个广播Request报文通告选择的服务器。在DHCP客户端成功获取IP地址后，也会通过Request报文续延租期。

DHCP ACK

DHCP服务器收到Request报文后，根据Request报文中携带的用户MAC来查找是否存在相应的租约记录，若存在，则发送ACK报文作为回应，通知用户可以使用分配的IP地址。

图4-21 抓包DHCP报文完整交互过程

¡     在DHCP Server通过debugging dhcp server命令收集信息，判断终端是否发送了DHCP请求。

收到客户端发送的DHCP Discovery报文的Debug信息如下：

*Oct 14 11:43:09:422 2020 AC DHCPS/7/PACKET:

From 0.0.0.0 port 68, interface M-GigabitEthernet0/0/0

    Message type: REQUEST (1)

    Hardware type: 1, Hardware address length: 6

    Hops: 0, Transaction ID: 650682081              //同一个DHCP交互关注TID是否相同

    Seconds: 0, Broadcast flag: 1

    Client IP address: 0.0.0.0   Your IP address: 0.0.0.0

    Server IP address: 0.0.0.0   Relay agent IP address: 0.0.0.0

    Client hardware address: 782c-2962-b098

    Server host name: not configured

    Boot file name: not configured

    DHCP message type: DHCPDISCOVER (1)            // DHCP报文类型

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

AC＋FIT AP组网采用本地转发模式时，无线终端可以连接无线网络，但无法取得IP地址，导致终端不能上网。

因为集中转发和本地转发的故障处理步骤不同，首先需要查看当前转发模式。在AC的任意视图下，执行display wlan service-template verbose命令查看无线服务模板的转发模式。Forwarder字段显示为AP时，说明是本地转发。

display wlan service-template 1 verbose

Service template name        : 1

 Description                  : Not configured

 SSID                         : 123

…

Forwarder                    : AP

本类故障的常见原因主要包括：

·     设备的VLAN配置不正确，导致终端获取不到IP地址。

·     设备的接口配置不正确，导致终端获取不到IP地址。

·     无线终端与DHCP Server中间链路不通。

·     无线终端与DHCP Server间的DHCP报文交互流程出现问题，导致终端获取不到IP地址。

·     配置基于VLAN的用户隔离功能时，下发给FIT AP的网关实际MAC地址与配置的MAC地址不对应，使得DHCP和ARP广播报文被阻断，导致终端获取不到IP地址。

·     在需要终端漫游的场景下，AP上行未能放通全部业务VLAN，终端漫游时可能无法上线。

图4-22 本地转发下无线终端无法获取IP地址故障排查流程图

(1)     检查组网中的VLAN配置

本地转发模式下，无线终端和AC间会通过CAPWAP隧道交互控制报文，并由AP转发数据报文。实际使用中通常会区别AP上线的管理VLAN和无线终端接入的业务VLAN，所以需要在AP转发业务报文的链路上放通业务VLAN，否则终端无法取得IP地址。

业务VLAN有多种配置方式，其优先级为认证授权VLAN＞Radio接口绑定VLAN＞服务模板指定VLAN。

如图4-23所示，核心交换机作为网关，AC旁挂在核心交换机上，AP与接入交换机相连。在AP转发无线业务报文的链路，即Switch1-Switch2-AP链路放通业务VLAN200。

图4-23 本地转发组网AC配置

检查VLAN配置的方法为，在设备的任意视图下，通过display current-configuration命令查看全部VLAN配置。

display current-configuration

#

vlan 100

#

…

#

interface Vlan-interface100

 ip address 192.1.1.1 255.255.0.0

#

interface GigabitEthernet1/0/1

 port link-type trunk

port trunk permit vlan 100

¡     如果设备的VLAN配置不正确，请参考上文举例或依据实际情况修改配置。

¡     如果设备的VLAN配置正确，则继续执行步骤(2)。

(2)     检查组网中的接口配置

物理接口配置错误可能导致VLAN放通失败。如图4-23所示组网中，正确的物理接口配置如下：

a.     本地转发模式下，需要将AP的与上行设备的物理接口加入客户端上线的VLAN。可以在AC上通过编辑好的MAP文件，或远程配置功能下发给AP，本章节以MAP文件为例进行介绍。

无线终端在VLAN 200上线，则需要将AP与Switch相连的接口interface GigabitEthernet 1/0/1加入VLAN 200，MAP文件的内容如下：

apcfg.txt的内容，要求为文本文件，按照命令行配置的顺序编写文本文件上传至AC即可，AC与AP关联后，通过map-configuration命令下发至AP生效。从而完成对AP的配置。

# apcfg.txt配置文件为：

system-view

vlan 200

quit

interface GigabitEthernet 1/0/1

port link-type trunk

port trunk permit vlan 200

b.     将网关Switch1下行接口、接入交换机链路Switch2的上下行物理接口配置为Trunk模式并VLAN200通过，Switch2与AP连接的GE1/0/2接口的PVID配置为100。

检查中间设备配置的方法为，在任意视图下通过display current-configuration命令查看中间设备全部VLAN和接口配置。

display current-configuration

#

vlan 100

#

vlan 200

#

interface Vlan-interface100

 ip address 192.1.1.2 255.255.0.0

#

interface Vlan-interface200

 ip address 192.2.1.1 255.255.255.0

#

interface GigabitEthernet1/0/1

 port link-mode bridge

port link-type trunk

port trunk permit vlan 1 100

#

interface GigabitEthernet1/0/2

 port link-mode bridge

port link-type trunk

undo port trunk permit vlan 1

 port trunk permit vlan 100 200

 port trunk pvid vlan 100

#

¡     如果设备的接口配置不正确，请参考上文举例或依据实际情况修改配置。

¡     如果设备的接口配置正确，则继续执行步骤(3)。

(3)     判断中间链路网络是否可通

如果中间链路网络不通，终端无法通过DHCP方式获取IP地址。有两种方式可以判断中间链路网络是否可通：

a.     在DHCP Server（通常是网关设备，也可能是AC）的任意视图下执行display mac-address命令查看MAC地址表中是否存在无线终端的MAC地址，以及对应VLAN是否正确。如果正确学习到无线终端MAC地址，说明二层网络互通，反之则不通。

display mac-address

MAC Address       VLAN ID    State            Port/Nickname            Aging

0008-2246-da06    200        Client           WLAN-BSS1/0/527          N

5098-b853-5201    790        Learned          BAGG1                    Y

b.     为无线终端手动配置与网关处于同一网段的静态IP地址，再去Ping网关。如果Ping通，则说明中间链路网络互通。

¡     如果中间链路网络不通，请排查中间链路网络故障。

¡     如果中间链路网络互通，请继续执行步骤(4)。

(4)     检查下发给FIT AP的基于VLAN的二层隔离功能配置

为了降低骨干网络对无线局域网的广播报文数量，无线网络可能配置了基于VLAN的二层隔离。一般将permit-mac配置为网关的MAC地址，当网络存在调整，网关MAC地址变化时，如果没有修改二层隔离的配置，会造成广播报文不通的情况，此时无线终端无法通过DHCP方式获取IP地址。本地转发下，需要将配置下发至AP，典型的配置如下：

# apcfg.txt配置文件为：

system-view

system-view

user-isolation vlan 200 permit-mac 000f-e212-7788

user-isolation vlan 200 enable

¡     如果基于VLAN的二层隔离功能配置不正确，请参照举例修改配置。

¡     如果基于VLAN的二层隔离功能配置正确，或没有配置本功能，请继续执行步骤(5)。

(5)     查看漫游场景下AP是否放通全部业务VLAN

在漫游场景下，如果无线网络中存在多个终端上线的业务VLAN，则无线网络中的每个AP都需要在上行接口放通全部业务VLAN，否则在终端漫游时，可能无法连接至无线网络。如图4-24所示，需要在AP1、AP2和AP3的GE1/0/1接口将VLAN100、VLAN200和VLAN300全部放通。通过MAP文件向AP下发配置的操作请参考步骤(2)。

图4-24 漫游场景存在多个业务VLAN示意图

¡     如果漫游场景存在多个业务VLAN且AP上行接口未全部放通，请参考上文举例或实际情况进行修改。

¡     如果所有AP上行接口放通了全部业务VLAN，则故障原因可能是DHCP Server与无线客户端间的DHCP报文交互出现问题，请继续执行步骤(6)。

(6)     如果故障仍然未能排除，请收集如下信息，并拨打热线400-810-0504求助。

¡     在AP的上行接口抓包来判断DHCP报文交互过程。

设备间DHCP交互不完整时，终端无法获取IP地址。完整的DHCP交互流程,需要完成四个报文交互：

表4-4 完整的DHCP交互流程

DHCP报文类型

描述

DHCP Discover

DHCP客户端会在本地网络内以广播方式发送请求报文，即DHCP Discover报文，目的是发现网络中的DHCP服务器。

所有收到Discover报文的DHCP服务器都会发送回应报文，DHCP客户端据此可以知道网络中存在的DHCP服务器的位置。

DHCP Offer

DHCP服务器收到Discover报文后，会在所配置的地址池中选取IP地址，加上相应的租约期限、网关和DNS服务器等信息，通过Offer报文告知客户端该服务器可用。

DHCP Request

DHCP客户端可能会收到很多Offer报文，客户端通常选择第一个回应Offer报文的服务器作为自己的目标服务器，并回应一个广播Request报文通告选择的服务器。在DHCP客户端成功获取IP地址后，也会通过Request报文续延租期。

DHCP ACK

DHCP服务器收到Request报文后，根据Request报文中携带的用户MAC来查找是否存在相应的租约记录，若存在，则发送ACK报文作为回应，通知用户可以使用分配的IP地址。

图4-25 抓包DHCP报文完整交互过程

¡     在DHCP Server通过debugging dhcp server命令收集信息，判断终端是否发送了DHCP请求。

收到客户端发送的DHCP Discovery报文的Debug信息如下：

*Oct 14 11:43:09:422 2020 AC DHCPS/7/PACKET:

From 0.0.0.0 port 68, interface M-GigabitEthernet0/0/0

    Message type: REQUEST (1)

    Hardware type: 1, Hardware address length: 6

    Hops: 0, Transaction ID: 650682081              //同一个DHCP交互关注TID是否相同

    Seconds: 0, Broadcast flag: 1

    Client IP address: 0.0.0.0   Your IP address: 0.0.0.0

    Server IP address: 0.0.0.0   Relay agent IP address: 0.0.0.0

    Client hardware address: 782c-2962-b098

    Server host name: not configured

    Boot file name: not configured

    DHCP message type: DHCPDISCOVER (1)            // DHCP报文类型

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

(1)     FIT AP无法成功注册到AC上，AC收不到任何该AP的报文，该AP无法动态获取IP地址；

(2)     使用客户端替换FIT AP后，客户端可以成功获取IP地址并使用网络资源；

(3)     通过抓包和调试可以发现AP已经正常发送了DHCP discover报文申请IP地址，然而却没有收到DHCP offer报文，而通过DHCP server信息发现已经收到了Discover报文并且回应offer报文。

(1)     FIT AP配置静态IP地址可以和AC互通，并且注册到AC设备上；

(2)     在DHCP server位置挂一台PC 1，将AP替换成PC 2，两台PC都配置静态IP地址（IP地址为DHCP server要分配的网段地址）；

(3)     清除两台PC的ARP，此时PC 1无法ping通PC 2，但是PC 2可以ping通PC 1；

(4)     因此可以断定广播上行OK，但是下行不通；

(5)     通过逐个设备上镜像抓包，确定丢包位置，排查下行广播报文丢失情况。

Client连接到了一个信号相对较弱的AP上，而没有连接到相对信号较强且距离较近的AP上。

(1)     请确认客户端分布是否合理，不要造成大量客户端聚集在某个AP附近，否则即使负载均衡到其他的AP上，也会因为信号强度相差太大而触发频繁的漫游。

(2)     如果发生Client无法连接的情况，要关闭负载均衡后再进行观察。

(3)     基于流量的负载均衡不宜控制，不建议使用，尤其是有些加密、安全配置限制了AP的接入数量的情况下（例如TKIP加密使得AP只能接入28个用户），建议使用基于会话的负载均衡。

AP同时具备网口PoE供电和电源适配器供电的情况下，如果电源适配器处于供电工作状态，此时断开电源适配器时系统会重启，同时系统会切换到由网口PoE供电。

AP存在网口PoE供电和电源适配器供电两种供电方式，如果AP处于电源适配器供电工作状态，而网口PoE在此次上电期间没有供过电，当断开电源适配器供电时，网口PoE会依次进行检测>分级>供电，在网口PoE重新供电过程中，设备经过了断电重新上电的过程，所以系统会重启。

可以通过系统的电源指示灯确认，因为电源指示灯会灭，然后再常亮。

该问题属于系统网口PoE供电固有的特性造成，不算问题，无需解决。

设置AP分片门限为256，Client关联到AP上后，从AP上ping客户端，指定选项–s 500，抓包确认，发现ping包并未分片。

WMM协议规定，开启WMM功能后不支持报文分片，所以需要使用wmm disable命令将WMM功能关掉后再测试报文分片功能。

打开客户端上的无线网卡后，刷新无线网络列表，提示Windows无法配置无线连接，而WirelessZeroConfigure服务已经启动。

客户端上安装了该无线网卡自己携带的或者其它无线网卡客户端管理软件（例如H3C iNode无线客户端软件）。此时需要卸载或者退出该无线网卡客户端管理软件和其它相关客户端管理软件（包括H3C iNode客户端等），然后开启WirelessZeroConfigure服务。

客户端无法通过Web登录AC，提示无法显示网页，但是从客户端可以Ping 通AC，也可以Telnet登录到AC。

(1)     关闭Windows防火墙，Windows系统自带的防火墙开启后偶尔会造成此现象。

(2)     Telnet登录到AC，检查AC配置，将HTTP和HTTPS功能开启。

无法修改自动AP方式生成的AP服务模板。

系统固有实现，不支持修改自动AP方式下的AP服务模板。用户需要通过wlan auto-ap persistent命令将自动AP固化为手工AP后才能修改AP服务模板。

当AP通过版本预下载方式从V7旧版本升级到V7新版本时，AP出现版本升级失败的现象。

本类故障的常见原因主要包括：

·     下载过程中AP掉线

·     AP内存不足

·     预下载文件不存在

·     AP版本重传失败

·     AP应答版本下载报文超时

本类故障的诊断流程如图5-1所示。

图5-1 AP通过版本预下载方式升级版本失败故障诊断流程图

当AP开始进行版本预下载时，可通过执行display wlan ap statistics image-download命令查看AP软件版本预下载进度、花费时间、本次需要进行版本升级的AP的数量、下载成功的AP的数量、正在下载版本的AP的数量，下载版本失败的AP的数量。

(1)     当AP出现版本预下载失败时，请执行display wlan ap statistics image-download failed命令查看AP预下载失败的原因。

[Sysname] display wlan ap statistics image-download failed

AP name                        Failure reason

ap1                             Tunnel down

ap2                             AP memory not enough

ap3                             Image file does not exist

¡     如果提示失败原因为“Tunnel down”，表示AP下线。请检查AP链路，并使AP在AC上重新上线，然后重新配置AC给AP下发版本。

¡     如果提示失败原因为“AP memory not enough”，表示AP内存不足。建议重启AP或删除不用的文件，等AP重新上线后再进行预下载。

¡     如果提示失败原因为“Image file does not exist”，表示文件不存在。请检查文件是否存在或出现异常，具体可参见5.9  (2)。

¡     如果提示失败原因为“Retransmission failed”，表示AP版本重传失败。请检查网络，确认网络是否存在大延时或丢包。

¡     如果提示失败原因为“Time out”，表示AP应答版本下载报文超时。请检查网络，确认网络是否存在大延时或丢包。

(2)     通过以上步骤分析依旧无法解决问题，请在AC、AP上收集版本升级失败的完整过程信息，并联系H3C售后技术人员分析处理。

debugging wlan capwap error all

terminal debugging

The current terminal is enabled to display debugging logs.

terminal monitor

The current terminal is enabled to display logs.

当AP通过AC自动从V7旧版本升级到V7新版本时，AP出现版本升级失败的现象。

本类故障的常见原因主要包括：

·     AC未升级到最新版本

·     AC的ipe文件里没有对应AP的ipe文件

·     AC已关闭AP版本升级功能

·     AC的版本和AP要升级版本不一致

本类故障的诊断流程如图5-2所示。

图5-2 AP通过AC自动升级版本失败故障诊断流程图

(1)     执行display version命令确认AC版本是否已经升级到新版本。

¡     如果AC已经升级到最新版本，请参见步骤（2）。

[Sysname]display  version

H3C Comware Software, Version 7.1.064, ESS 5568                               

Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.   

H3C WX2560X uptime is 1 week, 0 days, 8 hours, 10 minutes

¡     如果AC没有升级到最新版本，请参考对应软件版本说明书重新升级AC到最新版本。

(2)     通过查看软件版本说明书，了解待升级AP的ipe文件相关信息，并执行dir apimge命令查看AC的ipe文件里是否有对应AP的ipe文件，以及确认文件大小是否正确。

¡     如果AC的ipe文件里存在对应AP的ipe文件且文件无问题，请参见步骤（3）。

dir apimge

Directory of cfa0:/apimge

   0 -rw-    14518272 Jun 07 2021 03:56:22   wa4300h.ipe                       

   1 -rw-    14533632 Jun 07 2021 03:56:16   wa4300s.ipe                       

   2 -rw-    23323648 Jun 07 2021 03:56:18   wa5300.ipe                        

   3 -rw-    48217088 Jun 07 2021 03:56:32   wa6300.ipe                        

   4 -rw-    48883712 Jun 07 2021 03:57:00   wa6300a.ipe                       

   5 -rw-    36919296 Jun 07 2021 03:56:26   wa6500.ipe                        

   6 -rw-    52670464 Jun 07 2021 03:57:06   wa6500a.ipe                       

   7 -rw-    50496512 Jun 07 2021 03:57:12   wa6500b.ipe                       

   8 -rw-    63531008 Jun 07 2021 03:56:38   wa6600.ipe                        

¡     如果AC的ipe文件里不存在对应AP的ipe文件或文件异常，请到官网“产品支持与服务/文档与软件/软件下载/无线”路径下载对应产品的版本文件压缩包，解压后将需要的AP文件上传到设备的\apimge路径下即可。

WX2500H系列、3010H等系列的AC的ipe文件中无部分型号AP的ipe文件，具体可参见对应版本说明书。其它系列的AC默认都会包含所有AP的ipe文件，不需要单独上传AP的ipe文件。

(3)     查看AC的AP视图、AP组视图或者全局视图下是否配置了firmware-upgrade disable命令（系统默认是firmware-upgrade enable）。

¡     如果配置了firmware-upgrade disable命令，则AC不会检测AP的版本匹配情况，且不会通知AP下载新版本。请执行undo firmware-upgrade，开启AP版本升级功能。

# AP视图

system-view

[Sysname] wlan ap ap3 model WA6320

[Sysname-wlan-ap-ap3] firmware-upgrade disable

# AP组视图

system-view

[Sysname] wlan ap-group group1

[Sysname-wlan-ap-group-group1] firmware-upgrade disable

# 全局配置视图

system-view

[Sysname] wlan global-configuration

[Sysname-wlan-global-configuration] firmware-upgrade disable

¡     如果没有配置firmware-update disable命令，请参见步骤（4）。

(4)     执行display wlan ap-model name model-name命令，确认该AP要升级的版本与当前AC的配套版本是否一致。

当apdb命令指定的软件版本优先于AC和AP默认匹配的版本时，请先开启版本检查功能（firmware-update enable）。

¡     如果该AP要升级的版本与当前AC的配套版本不一致，需要在AC上执行apdb命令指定要单独升级的AP版本。

system-view

[Sysname]wlan apdb WA6320 Ver.C E2108

[Sysname]wlan image-load filepath local    //下载目录下的文件

¡     如果该AP要升级的版本与当前AC的配套版本一致，则删除AC的apdb命令和image-load filepath local命令，只保留firmware-update enable命令。

(5)     通过以上步骤分析依旧无法解决问题，请在AC、AP上收集版本升级失败的完整过程信息，并联系H3C售后技术人员分析处理。

debugging wlan capwap error all

terminal debugging

The current terminal is enabled to display debugging logs.

terminal monitor

The current terminal is enabled to display logs.

当AP通过bootware菜单手动从V7旧版本升级到V7新版本时，AP出现版本升级失败的现象。

本类故障的常见原因主要包括：

·     未导入正确AP版本升级文件

·     IP、下载路径等设置错误

·     AP版本升级文件出现异常

·     AP存储空间不足

本类故障的诊断流程如图5-3所示。

图5-3 AP通过bootware菜单手动升级版本失败故障诊断流程图

由于V7的软件包里没有单独存放AP的ipe文件，如果需要手动给AP导入新版本，首先需要获取正确的ipe文件，然后通过bootware菜单导入版本文件。AP的ipe文件可以在AC的apimge文件夹中下载，也可联系售后技术支持人员获取。

(1)     执行display version命令检查版本信息，确保所导入的版本文件是正确的AP版本升级文件。

¡     如果版本信息正确，请参见步骤（2）。

¡     如果版本信息不正确，请将正确的AP版本升级文件拷贝到服务器，并参考对应版本说明书重新升级AP到最新版本。

display version

H3C Comware Software, Version 7.1.064, Release 2449P01

Copyright (c) 2004-2022 New H3C Technologies Co., Ltd. All rights reserved.

H3C WA6320 uptime is 0 weeks, 0 days, 0 hours, 0 minutes

Last reboot reason : User soft reboot

Boot image: flash:/wa6300-boot.bin

Boot image version: 7.1.064, Release 2449P01

Compiled Jul 19 2021 16:00:00

System image: flash:/wa6300-system.bin

System image version: 7.1.064, Release 2449P01

Compiled Jul 19 2021 16:00:00

以协议方式选择TFTP为例，Load File Name表示下载文件名，要与下载的实际文件名一致；Target File Name表示存储的目标文件名，缺省情况下与服务器端文件名一致；Server IP Address表示TFTP/FTP服务器的IP地址；Local IP Address表示本地IP地址，且必须保证和Server IP Address在同一网段；Gateway IP Address保持0.0.0.0即可。

====================================================

|Note: '.' = Clear field. |

| '-' = Go to previous field. |

| Ctrl+D = Quit. |

============================================================================

Protocol (FTP or TFTP) :tftp

Load File Name :wa6300.ipe

:

Target File Name :wa6300.ipe

:

Server IP Address :192.168.1.1

Local IP Address :192.168.1.253

Subnet Mask :0.0.0.0

Gateway IP Address :0.0.0.0

(2)     确认升级过程中，是否出现以下提示内容。

¡     如果出现提示“Loading Failed!”，表示版本下载失败，请检查以下内容。

-     请检查TFTP下载路径是否正确；

-     请检查TFTP端口是否处于监听状态；

-     请检查PC是否和AP二层有线互通；

-     请检查Server IP Address设置是否有问题；

-     请检查Local IP Address 是否和Server IP Address在同一网段。

¡     如果出现提示“Something wrong with the file！”，表示上传的版本文件有问题导致运行异常。同时，当版本文件出现问题时，设备在启动时会提示“Booting App fails!”。

-     请检查版本的Target File Name是否写错，尤其注意下划线和连字符的区别；

-     请注意fit和fat的区别，例如在fit模式下上传了一个fat版本，或在fat模式下上传了一个fit版本；

-     请检查文件的大小，查看下载的文件是否完整，上传的版本文件是否和AP型号匹配等。

¡     如果提示“The space is not enough Failed!”，表示存储空间不够。需要删除AP里面不用的版本或格式化后再重新导入版本。

¡     如果没有相关提示，且当版本下载成功后，将显示如下信息。

Loading.....................................................................

............................................................................

............................................................................

............................................................................

............................................................................

............................................................................

............................................................................

............................................................................

............................................................................

.....................................Done.

36462592 bytes downloaded!

Image file wa6300-boot.bin is self-decompressing...

Saving file flash:/wa6300-boot.bin .................................Done.

Image file wa6300-system.bin is self-decompressing...

Saving file flash:/wa6300-system.bin .......................................

................................Done.

(3)     通过以上步骤分析依旧无法解决问题，请记录下AP升级过程中的打印信息和其它相关信息，反馈给售后技术支持人员。

以AP启动的打印信息为例：

BootWare Validating...

Press Ctrl+B to enter extended boot menu...

..略..

System image is starting...

Startup configuration file doesn't exist or is invalid.

Line con0 is available.

Press ENTER to get started.

在AC+Fit AP的组网架构下，对于已经正常运行的网络，出现AP掉线的情况。

在AC+Fit AP的组网架构下，AC和AP之间采用CAPWAP（Control and Provisioning of Wireless Access Points）隧道进行通信，AP上线的过程主要分为：获取AC地址、AP发现AC、AP接入AC

、AC向Fit AP下发配置、CAPWAP隧道维持和配置更新六个阶段。AP正常注册至AC上并稳定运行，需要保证上述六个过程均正常。

对于已经正常运行的网络，出现AP掉线情况的原因包括：

·     AP掉电重启

·     AC和AP间链路不畅通

·     AC的CPU或内存利用率过高

·     AP的CPU或内存利用率过高

·     AC上不存在AP的版本文件或版本文件异常

·     AC或AP侧配置有误

本类故障的定位思路一般为：首先，查看AP运行状态以及掉线原因；然后，判断AC和AP间链路是否畅通；再次，判断AC和AP的运行状态以及配置是否正常；最后，通过收集AC和AP的debugging信息分析问题原因。

本类故障的诊断流程如图5-4所示。

图5-4 Fit AP异常掉线的故障诊断流程图

本类问题建议按照如下步骤排查：

(1)     查看AP状态

查看AP当前状态的方式有两种：

¡     在AC上，通过display wlan ap name ap-name命令的State显示字段，可以确认AP是否在线。

-     State为“I”表示AP未在线。

-     State为“R/M”表示AP已上线，与主AC成功建立主隧道。

-     State为“R/B”表示AP已上线，与备AC成功建立备隧道。

-     有关State显示字段的更多介绍请参见“AP管理命令参考”。

# 显示ap1的信息。

display wlan ap name ap1

                               AP information

 State : I = Idle,       J  = Join,       JA = JoinAck,    IL = ImageLoad

         C = Config,     DC = DataCheck,  R  = Run   M = Master,  B = Backup

AP name                        APID  State Model           Serial ID

ap1                            1     I     WA6320          219801A28N819CE0002T

¡     在AC上，通过display wlan ap all connection-record查看AP连接记录。

-     State为“Run”表示AP已上线，显示时间为已持续连接CAPWAP隧道的时间。

-     State为“Offline”表示AP未在线，显示时间为AP与AC最后一次建立CAPWAP隧道的时间。

# 显示AC上所有AP的连接记录。

display wlan ap all connection-record

AP name                         IP address      State     Time

ap1                             192.168.100.27  Run       01-06 09:06:40

(2)     查看AP掉线原因

在AC上，执行display wlan ap  name ap-name verbose 命令，查看“Online time”、“System uptime”和“Tunnel down reason”显示字段。其中：

¡     “Online time”显示字段表示AP在线时长。

¡     “System uptime”显示字段表示AP系统启动时长。

¡     “Tunnel down reason”显示字段表示CAPWAP隧道关闭的原因。如果AP在成功和AC建立链接后，出现过链路中断，则该显示字段会记录下AC检测到的链路断开的原因。AP常见的掉线原因如表5-1所示。如需了解更多Tunnel down reason显示字段的含义，请参见“AP管理命令参考”。

表5-1 Tunnel down reason显示字段常见输出信息

字段输出信息

含义

Neighbor dead timer expired

邻居报告定时器超时，AC在三倍的握手时间内没有收到AP的Echo request报文

Request wait timer expired

等待请求消息定时器超时，AC向AP发送了一个需要回应的控制报文后，AP在等待时间内没有响应

Processed join request in Run state

AC与AP完成CAPWAP隧道建立后，Run状态下收到并处理Join Request报文，断开隧道

Failed to retransmit message

报文重传失败

AP was reset due to inconsistent local and reported radio statistics

Radio数据统计信息上报数据不一致

AP was reset

AP重启，造成CAPWAP隧道断开

如果AP在线时长与AP系统启动时长相近，且“Tunnel down reason”显示字段为AP was reset，则表示AP重启导致掉线。如需进一步定位AP重启原因，请参考 无线接入点重启故障处理相关内容。否则，建议执行步骤(3)。

display wlan ap name ap1 verbose

AP name                       : ap1

AP ID                         : 1

AP group name                 : default-group

State                         : Run

Backup type                   : Master

Online time                   : 0 days 1 hours 25 minutes 12 seconds

System uptime                 : 0 days 2 hours 22 minutes 12 seconds

Model                         : WA6320

Region code                   : CN

显示信息略……

Last reboot reason (AP check) : The radio physical status was down

Last reboot reason (AC check) : The radio physical status was down

Latest IP address             : 10.1.0.2

Current AC IP                 : 192.168.1.1

Tunnel down reason            : Request wait timer expired

显示信息略……

(3)     检查AC和AP间链路是否畅通

AC和AP之间的网络不通会导致AP无法在AC上线。在AC和AP上分别执行ping命令，查看双方能否相互ping通。需要注意的是：CAPWAP隧道对AC和AP之间的链路丢包比较敏感，要求有线丢包率小于0.1%。同时链路要支持MTU 1500。

# 在AC上，ping 1472字节包（MTU 1500），强制不分片，检测AP和AC间的链路。

ping -s 1472 -f 192.168.100.27

  PING 192.168.100.27: 1472  data bytes, press CTRL_C to break

    Reply from 192.168.100.27: bytes=1472 Sequence=1 ttl=21 time=20 ms

    Reply from 192.168.100.27: bytes=1472 Sequence=2 ttl=21 time=20 ms

    Reply from 192.168.100.27: bytes=1472 Sequence=3 ttl=21 time=20 ms

Reply from 192.168.100.27: bytes=1472 Sequence=4 ttl=21 time=20 ms

¡     如果无法ping通，请检查物理链路、VLAN配置、STP状态是否异常，IP地址是否过期。

¡     如果时延过大或存在丢包的情况，请检查中间网络是否出现环路。

¡     如果ping包不丢包，延时正常，执行下一步检查。

(4)     检查AC和AP的运行情况

¡     检查AC、AP的CPU利用率和内存使用情况

通过display cpu-usage命令和display memory命令查看设备的CUP利用率和内存使用信息。

# 显示设备的CUP利用率统计信息。

display cpu-usage

Unit CPU usage:

       70% in last 5 seconds

       71% in last 1 minute

       75% in last 5 minutes

# 显示设备的内存使用信息。

display memory

Memory statistics are measured in KB:

Slot 1:

             Total      Used      Free    Shared   Buffers    Cached   FreeRatio

Mem:       1974712    718496   1256216         0      9740    282512       64.3%

-/+ Buffers/Cache:    426244   1548468

Swap:           0         0         0

当CPU利用率高于70%，表示CPU状态异常，建议从以下方面定位问题。

-     通过display process cpu命令查看当前设备所有进程的CPU使用率信息，定位长时间占用CPU的进程。

-     了解当前网络是否存在重大操作，如：版本升级、整网配置修改、设备掉电、重启等。

当内存利用率高于70%且出现持续增长，表示内存状态异常，建议从以下方面定位问题。

-     通过display process memory命令查看当前设备所有进程的内存使用信息，定位长时间占用内存的进程。

-     了解当前网络是否存在重大操作，如：新增网管需要采集设备信息、新增配置等。

-     通过display logbuffer命令，查看并收集告警、日志等历史信息。

¡     检查AC和AP的版本文件是否匹配

Fit AP版本随AC版本发布，AC和AP之间需要版本匹配，才能保证AP在AC上上线。AC和AP版本不匹配的情况包括：

-     AC不支持对当前AP型号纳管。

-     AC和AP之间的版本配套关系有误或版本文件异常。

通过AC的版本说明书中的“配套AP列表”章节，查看AC能否对当前AP进行纳管。配套Fit AP列表中，如果对应的AP型号在“是否打包”一列中为“否”，表示AP的ipe文件未打包到AC的ipe中。如果当前局点有使用该类型AP的需求，需要手工上传AP版本至AC的/apimge目录。用户在AC版本对应的zip压缩包中可以获取未打包AP的ipe文件。

在AC上执行dir命令，可以查看AC上是否存在AP设备的版本文件，请检查AP版本文件是否与AC对应的版本配套，版本文件大小是否异常。

dir flash:/apimge

Directory of flash:/apimge

   0 -rw-    19171328 Jul 20 2022 23:51:00   wa4300.ipe

   1 -rw-    14518272 Jul 20 2022 23:52:42   wa4300h.ipe

   2 -rw-    14533632 Jul 20 2022 23:51:17   wa4300s.ipe

   3 -rw-    18617344 Jul 20 2022 23:51:59   wa4600.ipe

   4 -rw-    23329792 Jul 20 2022 23:52:26   wa5300.ipe

   5 -rw-    19996672 Jul 20 2022 23:51:39   wa5600.ipe

   6 -rw-    36929536 Jul 20 2022 23:53:24   wa6500.ipe

1015808 KB total (744748 KB free)

(5)     检查AC侧配置是否有误，具体包括：

¡     查看License的安装情况和有效期。

用户可以通过display license命令或者Web页面查看设备是否已安装License、授权的有效期。建议在有效期内安装新的授权，以免当前授权过期，影响对应业务的继续运行。有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息，请参见《http://www.h3c.com/cn/home/qr/default.htm?id=607》。

# 显示设备上所有License的详细信息

display license

flash:/license/210235A1JMC1660000282021060717343842697.ak

Feature: APMGR

Product Description: Enhanced Access Controller License,8 APs,for Verticals,for V7

Registered at: 2021-06-07 17:01:55

License Type: Trial (days restricted)

Trial Time Left (days): 0

Current State: Expired

Pre-installed License

Feature: APMGR

Feature Description: PreAtom This is APMGR license

Time Left (days): 0

Current State: Expired

¡     查看License资源剩余情况和AC最大管理AP数量。

AC允许上线的AP数量受最大支持AP License数量和最大管理AP数量共同限制。通过display wlan ap all命令可以查看AC最大管理AP数量和License资源的剩余情况。

# 显示所有AP的信息。

display wlan ap all

Total number of APs: 3

Total number of connected APs: 3

Total number of connected manual APs: 3

Total number of connected auto APs: 0

Total number of connected common APs: 3

Total number of connected WTUs: 0

Total number of inside APs: 0

Maximum supported APs: 2048

Remaining APs: 2045

Total AP licenses: 128

Local AP licenses: 128

Server AP licenses: 0

Remaining local AP licenses: 125

Sync AP licenses: 0 

                                 AP information

 State : I = Idle,       J  = Join,       JA = JoinAck,    IL = ImageLoad

         C = Config,     DC = DataCheck,  R  = Run   M = Master,  B = Backup

AP name                        APID  State Model           Serial ID

ap1                             1     R/M    WA6320          219801A28N819CE0002T

ap2                             2     R/M    WA6320          219801A28N819CE0003T

ap3                             3     R/M    WA6320          219801A28N819CE0004T

¡     查看与AP相关的配置是否有误

¡     在AC上执行display current-configuration configuration wlan-ap命令可以查看设备上AP相关的配置信息。如果通过MAP文件的方式向指定AP下发配置，则需要进一步查看MAP文件内容。

¡     # 显示设备上与AP相关的配置信息

display current-configuration configuration wlan-ap

#

wlan ap ap1 model WA6320

 serial-id 219801A2YF819BE002X6

 map-configuration flash:/map.txt

 radio 1

 radio 2

  radio enable

  service-template hello

 gigabitethernet 1

#

¡     # 显示文件map.txt的内容。

more flash:/map.txt

System-view

vlan 200

interface gigabitethernet1/0/1

port link-type trunk

port trunk permit vlan 200

(6)     检查AP侧配置

查看AP上行口的配置信息。在AP上执行display current-configuration interface命令，检查AP的上行口配置是否被修改。

检查是否在AP上通过wlan management-vlan命令配置了AP的管理VLAN。如果AP侧修改了管理VLAN，则需要检查中间网络设备是否已放通管理VLAN。

(7)     如果故障仍未排除，请收集如下信息，并拨打H3C客户服务热线400-810-0504寻求帮助。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

¡     Debug命令输出的调试信息

开启Debug之前，请检查CPU和内存的使用情况，确保开启Debug不会影响设备的正常运行。完成收集后，请及时关闭Debug。

如果需要在控制台显示调试信息，则需要进行如下配置：

a.     配置terminal debugging命令允许调试信息输出到当前终端。

b.     执行info-center enable命令，开启信息中心功能（信息中心功能缺省处于开启状态）。

c.     使用debugging命令打开功能模块的调试信息开关。例如：通过debugging wlan capwap命令用来打开CAPWAP调试信息开关后，业务模块生成的debugging级别的日志信息。

监视终端是指以VTY类型用户线登录的用户终端。如果需要需要在监视终端上显示调试信息，则需要进行如下配置：

a.     配置terminal monitor命令允许日志信息输出到当前终端，配置terminal debugging命令允许调试信息输出到当前终端。

b.     执行info-center enable命令，开启信息中心功能（信息中心功能缺省处于开启状态）。

c.     使用debugging命令打开功能模块的调试信息开关。

扫码枪网络随机不通。

本类故障的常见原因主要包括：

·     扫码枪的信号值不满足要求。

·     AP空口有干扰。

·     加密方式不同导致扫码枪关联存在问题。

·     扫码枪工作在省电模式或休眠模式。

·     扫码枪版本过低或者网卡较老。

本类故障的诊断流程如图5-5所示。

图5-5 扫码枪网络随机不通的故障诊断流程图

(1)     检查扫码枪的信号值是否满足要求。

无线报文交互是一个双向传输的过程，设备侧感知到的终端信号强度就是AP接收到无线终端回传报文的信号强度。

在AC上通过如下命令查看终端信号强度，mac-address为扫码枪的MAC地址。

display wlan client mac-address mac-address verbose | include RSSI

RSSI                              : 30

设备侧我们一般要求终端的信号强度RSSI>30，如果RSSI