排查无线网连接故障

故障现象

笔者单位无线网络中，某些无线客户无法正常上网。该无线网络采用隧道转发方式，为了提高连接的安全性，采用了WPA2的安全策略，通过配置802.1X认证，使用安全性较高的AES加密方式，来验证无线用户的身份。相关的AC和Radius服务器等设备挂接到汇聚交换机上，AP设备连接到接入交换机上。汇聚交换机连接到路由器上，让内网用户可以访问Internet。这里使用的均为华为的某款AC和AP设备。在使用过程中，有用户反映无法正常访问外网。

故障排查

对于以上问题，需要从两个环节入手：一是AP设备是否正常连接到了AC，二是终端是否可以顺利关联AP。首先检测AP的状态，对于AP无法上线的故障，排查方法是先查看AP的状态，如果处于Fault状态，说明该AP存在问题，可以更换AP设备来解决。如果AP处于正常状态，就需要检查AP是否能够获取IP地址，如果不能获取，就需要检测DHCP配置情况。当AP已经获取了IP地址，就需要测试AP和AC是否可以连通。如果存在问题，需要查看两者之间的网络配置情况。否则的话，就需要查看AP是否通过了AC认证，如果没有通过认证，则需要将AC的MAC地址加入到AC的白名单中。

如果AP认证没有问题，需要查看AP是否超出了AC的连接数，解决方法是申请并加载License。最后需要检测AP的MAC/SN是否存在重复问题，处理方法是更改AP参数。通过Console口登录到AC上，在用户视图下执行“display ap all”命令，查看AP的连接状态。在AP列表中发现目标AP并没有上线，说明该AP工作异常，与之连接的客户机自然无法上网。对该AP设备进行查看，主要通过观察AP的表面的指示灯，直观地查看其工作状态。不同的AP虽然外观不同，但是一般都包含无线状态、链路状态、系统状态、电源等指示灯。相关指示灯亮起表示开启对应的功能，闪烁表示数据传输或者相关功能启动，熄灭表示对应功能关闭。这里从该AP的指示灯显示情况看，其并不存在故障现象。接着检测该AP是否获取了IP地址，因为这里的AC设备是作为DHCP服务器使用的，所以在AC上执行“display ip pool name xxx used”命令，显示地址配置情况，其中的“xxx”为地址池的名称。在“Network section”栏中显示地址池的范围，在AP地址列表中显示已经获取IP的设备信息，其中可以看到存在问题AP的MAC地址和对应的IP地址，说明该AP已经获取了地址。之后在AC上执行“display ap global configuration”命令，显示当前的认证模式信 息。 在“AP auth-mode”栏中显示“MAC-auth”字样，说明当前AP的认证模式为MAC认证。

如果该AP没有通过认证，自然无法顺利上线。 执 行“display ap unauthorized record”命令，查看AP未认证列表。在其 中 的“AP MAC address”栏中果然发现目标AP的MAC地址，说明该AP的没有通过认证。在AC上执行“system-view”和“wlan”命令，切换到WLAN视图。执行“ap-mac xxxx-xxxx-xxxx”命令，将该AP添加到认证列表中，其中的“xxxx-xxxxxxxx”为该AP的MAC地址。之后再次执行“display ap all”命令。发现该AP已经正常上线。

当AP的故障排除后，发现客户端依然无法正常关联AP，说明问题出在终端到AP的连接环节上。在终端上打开网络和共享中心窗口，点击“更改适配器设置”项，先禁用无线网卡设备，之后再将其启用，发现问题依旧。如果终端周边存在较强的干扰信号，就会造成WLAN信号质量较差，就可能造成信号差、连接失败、自动断线、网络缓慢等问题。运行inSSIDer这款检测工具，在SSID列表中的“SIGNAL”列中查看目标AP的干扰情况，发现其WLAN的信号情况良好。

之后在AC上执行“display access-usernum”命令，查看允许连接的最大并发用户数和在线用户数量，在和目标AP射频口相关的“max-usernum”列中显示允许最大用户 数，在“online-usernum”列中显示在线的用户数，两者加以比对，说明没有超过目标AP的最大连接数。执行“display sta-blacklist-Profile all” 和“display stawhitelist-profile all”命令，显示针对用户的黑白名单信息，这里均为空白。

接着需要检测和DOT1X认证相关的配置情况，在AC的WLAN视图下执行“vap-profilefile name xxx”命令，进入VAP模板配置界面，其中的“xxx”为模板名称。

执行“display this”命令，查看VAP模板的配置信息。在AC的WLAN视图下执行“security-profile name xxx”命令，进入安全模板配置界面。执行“display this”命令，查看安全模板配置信息。之后对认证模板配置进行查看，经过比较分析，发现和DOT1X认证的相关配置不存在问题。在AC系统视图下执行“display dot1x”命 令，查 看 全 局DOT1X认证参数，并没有发现任何问题。如果终端用户名和密码不正确，也不能顺利连接。在AC上执行“test-aaa username passwprd radiustemplate xxx”命令，对用户名和密码进行检测，其中的“username”为用户名，“password”为 密 码，“xxx”为Radius服务器模板名称。在返回信息中显示“Account test succeed”字样，说明检测通过。

故障解决

排除了以上问题，就需要在终端上检测802.1X认证的配置信息了。打开网络和共享中心窗口，进入无线网络管理界面，点击工具栏上的“添加→手动创建网络配置文件”项，在手动连接到无线网络窗口中输入网络名（即目标AP的 SSID名称），安全类型（这 里 选 择“WPA2-企业”）和加密类型（这里选择“AES”），点击“下一步”创建该无线连接。打开该无线连接的属性窗口，在“安全”面板中的“选择网络身份验证方法”列表中选择“Microsoft受保护的 EAP（PEAP）”项。

点击“高级设置”按钮，在打开窗口列表中选择“安 全 密 码（EAP-MSCHAP V2）”项，点击右侧的“配置”按钮，在弹出窗口中不要选择“自动使用Windows登录名和密码（以及域，如果有的话）”项。之后在无线连接面板中点击该连接项，在弹出的网络身份验证窗口中输入用户名和密码，确认后顺利连接到了无线网络中。

经验总结

总结以上排查过程，问题出在两个关键点上，一个是目标AP没有启用MAC认证，另一个是因为客户端没有正确配置802.1X认证，才导致故障的发生。