技术盛宴|无线CAPWAP隧道技术——实践篇

资讯文章 232
[[[[交换机|技术盛宴 | 聊聊新基建之数据中心的网络运维技术tag24_]tag0_] target="_blank" href="http://mp.weixin.qq.com/s?__biz=MjM5NzU5MDM4Mw==&mid=2655983549&idx=1&sn=59a9d1b1c8ab59d29dd81a6030e7d237&chksm=bd6c13bd8a1b9aabb3c18380f19647d188ca63d56356fbdcee837304be635c3925dae757e480&scene=21#wechat_redirect" textvalue="技术盛宴 |交换机|技术盛宴 | 站点间IPSec VPN网络技术深度解析|技术盛宴 | 站点间IPSec VPN网络技术深度解析tag1049_]tag0_]


前言


通过上一篇文章(技术盛宴|无线CAPWAP隧道技术——理论篇|技术盛宴|无线CAPWAP隧道技术——理论篇|技术盛宴|无线CAPWAP隧道技术——理论篇|无线CAPWAP隧道技术——理论篇),相信大家对CAPWAP协议技术原理有了一定的认识,本期我们从实践出发,帮大家梳理项目中最常遇到的CAPWAP隧道无法建立问题的解决思路。


CAPWAP协议介绍


AC通过CAPWAP协议实现对瘦AP的统一管理,在无线的日常实施和运维中,AP与AC无法建立CAPWAP隧道,会是各位工程师遇到最多的问题之一。今天就带各位读者梳理下CAPWAP隧道无法建立可能的原因以及解决办法。在AC或AP上通过命令show capwap state查看CAPWAP状态,如果状态未显示为Run说明CAPWAP隧道未建立成功,可按照以下步骤定位无法建立原因。


通过命令show capwap state查看CAPWAP状态


1

检查AC的状态和配置

检查AC的CPU状态

检查AC的配置

2

检查AP的状态

检查AP是否正常起机

检查AP的工作模式

检查AP是否获取正确管理地址和AC隧道地址

3

检查AP与AC的软件版本是否匹配

4

检查AP与AC隧道地址连通性

检查AP与AC之间是否不通

检查AP与AC之间是否存在丢包

5

检查是否AC拒绝AP接入

CAPWAP隧道无法建立排查表


检查AC的状态和配置


检查AC的CPU利用率,AC的CPU过高(80%以上)可能会造成无法处理AP上线,在AC上可以通过命令show cpu查看当前CPU的使用率。


 在AC上可以通过命令show cpu查看当前CPU的使用率


检查AC的配置,常见的AC配置错误导致无法与AP建立CAPWAP隧道如下,如果读者目前还无法快速检查出以下配置问题也没有关系,这里可以先留有一个印象,下文中也有相应的排查手段进行定位:


  • AC隧道地址配置错误;

  • AC配置了AP接入安全限制;

  • AC配置中AP名称冲突。


除了检查以上配置外,如果AC部署了冗余方案,AC热备或者AC虚拟化技术,还应该根据不同的冗余方案对不同方面的配置进行检查。如果部署了AC热备技术,要确保主备AC热备相关配置、AP组配置及AP配置一致。如果部署了AC虚拟化技术,确保AP到虚拟AC线路中涉及聚合线路的设备都配置负载均衡方式为基于源目IP负载均衡。


检查AP的状态



检查AP是否正常起机


检查AP是否正常上电,可通过AP指示灯进行判断,如果AP指示灯灭,有可能是AP未正常加电。如果AP指示灯一直都是绿色闪烁,说明有可能AP主程序丢失,此时建议准备配置线进行主程序恢复。不同型号AP的指示灯表示含有略有差异,可参考相应型号的设备安装手册,官网下载位置 http://www.ruijie.com.cn/fw/wd/ 找到对应型号设备的安装手册进行指示灯状态确认。



检查AP的工作模式


检查AP是否工作在瘦模式,AP有瘦模式和胖模式两种工作模式,AP出厂后默认为瘦模式,只有瘦AP才会与AC建立CAPWAP隧道。在AP上可以通过命令show ap mode确认AP的工作模式,fit表示瘦模式,fat表示胖模式。如果AP的工作模式是胖模式,AP在特权模式下通过命令ap-mode fit切换为瘦模式。



检查AP是否获取到正确管理地址和AC隧道地址


  • AP未获取到正确管理地址


登录AP查看是否获取到正确的管理地址,若AP无法获取到管理地址,检查上联交换机配置是否正确,可以将AP接口接入笔记本查看是否获取正常,配置静态地址是否正常。


  • AP未获取到正确AC隧道地址


CAPWAP隧道的建立是AP发起的,所以AP需要知道AC的CAPWAP隧道地址才能向AC发起CAPWAP隧道连接,AP发现AC的地址方法有多种。


AP被连接到网络时即进入发现AC的过程。AP使用广播、组播、单播方式发送“Discovery Request发现请求”报文向AC发起CAPWAP隧道连接。当使用单播方式时,需首先通过静态配置AC的IP地址、DHCP或DNS方式获得AC的IP地址列表。


AP向学习到AC的IP地址列表内所有地址发送“Discovery Request发现请求


Discovery Request发现请求报文中Discovery Type消息要素标记AP通过哪种方式学习到AC


那么AP同时使用广播、组播、单播方式向AC发送请求,那么AC会回复哪个请求呢?AC根据AP获取AC的IP地址的方式不同存在不同的优先级,静态配置AC IP优先级为7,动态DHCP或DNS获取的AC IP优先级为8,广播或组播报文优先级为9,数值越小越优先。


在AP上可以通过命令show capwap client state查看AC的IP地址列表,确认AP是否学习到正常的AC的CAPWAP隧道地址。AC的IP地址列表中初始有三个地址,255.255.255.255、224.0.1.140、ff02::18c,即IPv4的广播地址、组播地址和IPv6的组播地址,AP通过以下三种方式学习AC的IP地址列表:


  • AP把静态配置的AC的IP地址加入到AC的IP地址列表中,在AP上通过命令acip ipv4/ipv6静态配置AC的CAPWAP隧道的IP地址


查看AC的IP地址列表存在静态配置方式学习到AC的IP地址


  • AP通过收到DHCP报文中Option138或Option43字段的IP地址学习为AC的IP地址


查看AC的IP地址列表存在DHCP方式学习到AC的IP地址


  • AP通过发送DNS报文解析出域名为ac.ruijie.com.cn的IP地址学习为AC的IP地址,其中默认域名ac.ruijie.com.cn可以修改


查看AC的IP地址列表存在DNS方式学习到AC的IP地址


所以当AP与AC在同一个广播域或者组播报文可达时,AP可以不学习到AC的IP地址,通过广播报文或组播报文直接与AC建立CAPWAP隧道。反之AP与AC不在同一个广播域或者组播报文不可达时,AP必须通过静态配置AC的IP地址、DHCP或DNS三种方式的其中一种学习到AC的IP地址,可以在AP上通过命令show capwap client state查看AC的IP地址列表,检查AP是否学习到了AC的IP地址。


检查AP与AC的软件版本是否匹配


锐捷AC和AP主要有10.X和11.X两个类型版本,目前主流使用的是11.X版本,10.X已逐渐不再使用,需要注意的是AC和AP必须同时使用11.X版本或同时使用10.X版本才能完成CAPWAP隧道建立。可以在AP和AC上通过命令show version确认当前使用的软件版本。


在AC和AP同时使用10.X版本时,对AP于AC的版本匹配要求非常高,版本号需要完全保证一致,不一致的情况很可能导致AP不上线。


从11.X版本开始AC和AP的版本开始去耦合,对于大多数11.X版本来说,AC与AP均在11.X版本即可,不需要版本号完全一致。


在AP和AC上通过命令show version确认当前使用的软件版本


检查AP与AC隧道地址连通性


在AP与AC建立CAPWAP隧道过程中,会交互多种CAPWAP报文。在AP上可以通过命令show capwap statistics查看各类CAPWAP报文接收与发送的数量,可通过查看AP的CAPWAP报文的接收与发送数量初步判断是否AP与AC隧道地址存在连通性问题。


如下图show capwap statistics中统计了AP自起机以来sended发送的报文数量、received接收的报文数量以及retrycnt重传的报文数量。如果sended发送的报文数量持续增长而received接收的报文数量未增加,建议检查AP与AC隧道地址是否存在不通的情况;如果retrycnt重传的报文数量持续增长建议检查AP与AC隧道地址是否存在丢包的情况。


查看AP的CAPWAP报文的接收与发送数量初步判断是否AP与AC隧道地址存在连通性问题



检查AP与AC之间是否不通


首先要确认AC的CAPWAP隧道地址是多少,在AC上通过命令show ac-config查看AC的CAPWAP隧道地址。一台AC上一般会存在多个IP地址,那么AC会使用哪个IP地址作为CAPWAP隧道地址与AP通信呢?默认AC是以Loopback 0地址作为CAPWAP隧道地址,如果AC上Loopback 0没有地址将没有CAPWAP隧道地址,在ac-controller模式下可通过命令capwap ctrl-ip手工指定AC的CAPWAP隧道地址。


在AC上通过命令show ac-config查看AC的CAPWAP隧道地址


其次检查AP到AC的CAPWAP隧道地址是否Ping连通,确定好AC的CAPWAP隧道地址后,登入已获得正确IP地址的AP上Ping AC的CAPWAP隧道地址,确定是否可正常Ping通。在不方便登入AP情况下,可使用电脑替换AP接入交换机,电脑上Ping AC的CAPWAP隧道地址查看是否正常通讯。如果检查存在AP到AC的CAPWAP隧道地址Ping连通性异常,需解决AP到AC的CAPWAP隧道地址网络层连通性,保证AP到AC的CAPWAP隧道地址三层可达。


如果AP到AC的CAPWAP隧道地址Ping连通,最后检查AP到AC的CAPWAP隧道地址是否UDP5246和UDP5247端口连通。在AC上通过命令show ip fpm flows | include AP的IP查看AC的流表,确认UDP5246和UDP5247端口是否有SendBytes发送流量和RecvBytes接收流量。如果检查存在AP到AC的CAPWAP隧道地址端口连通性异常,需解决AP到AC的CAPWAP隧道地址传输层连通性,保证AP到AC的CAPWAP隧道地址四层可达。


在AC上通过命令show ip fpm flows | include AP的IP查看AC的流表



检查AP与AC之间是否存在丢包


如果AP上retrycnt重传的报文持续增长,首先检查AP到AC的CAPWAP隧道地址的Ping丢包情况,如果存在Ping丢包一般是中间链路环境导致,可以检查是否存在中间链路不稳定、网络中存在环路或者广播流量过大等情况。


除此之外AP与AC中间链路的MTU过小也会造成传输的CAPWAP报文重传,默认AP的CAPWAP隧道路径的MTU是1500字节,并且锐捷无线设备默认关闭CAPWAP分片功能,所以当AP与AC的中间链路设备MTU如果有小于1500字节的情况,就会造成超过1500字节的CAPWAP的报文被丢弃。可以在AC上通过将Ping包的大小调试为1500字节后Ping AP测试大报文能否连通。如果发现中间链路的MTU小于1500字节,可以在AC上AP配置模式或AP组配置模式通过命令capwap mtu调小CAPWAP隧道路径的MTU值保证CAPWAP报文通过链路而不被丢弃。


检查是否AC拒绝AP接入


如果以上内容检查都没有问题,最后需确认是否有AC拒绝AP接入的情况。AC拒绝AP接入的原因有很多,比如配置问题、设备限制、安全限制等,可在AC上通过命令show ap-config summary deny-ap查看是否存在AC拒绝AP接入的日志以及拒绝的原因。


 AC上通过命令show ap-config summary deny-ap查看AC拒绝AP接入的原因


AC拒绝原因

拒绝原因解释

解决办法

By wtp-limit

在线AP数达到上限,一般是License授权不足、在线AP容量上限、小概率还可能是wtp-limit配置限制导致

导入License/升级型号/wtp-limit配置

By total-ap-num

AP总数(在线+离线)、AP隧道数达到上限

删除不需要的离线AP的配置

By local-limit

VAC场景下单AC设备保护,限制接入本机AP数,可能交换机负载不均衡、工作AC过少等情况

可能存在负载不均衡,查交换机负载均衡配置

By bind-ap-mac

AP-MAC绑定拒绝,AC上开启MAC白名单bind-ap-mac功能,但该AP的MAC不在ap-config中

删除bind-ap-mac配置,或预配置ap-config

By ap-auth

AP接入认证限制,AC上开启证书、序列号、密码形式的接入认证,而AP未携带认证信息

关闭AP接入认证,或将对应的认证信息添加上

By deny-flag

AC上主动配置拒绝该AP加入,配置deny-join限制

删除对应AP下的deny-join配置

By hot-backup

热备限制,如AP使用AP虚拟化技术,而AP虚拟化不支持热备功能,配置上却将该AP划入热备中

将该AP虚拟化配置去除或将AP移出热备组

By  vendor id

其它厂商AP不支持对接

不支持和友商对接替换使用锐捷AP

By user-class

不同行业的AP产品,比如SMB-AP只能与SMB-AC对接、不能对接普通AC

更换为使用同行业的AP

By conflict

AP名字、MAC有冲突,AC端已经有该AP名字、MAC的其它AP在线或配置的

修改AC上同名的AP名称或修改未上线AP名称

show ap-config summary deny-ap常见拒绝原因及解决办法


常见的AC拒绝AP接入的原因


总结


本期CAPWAP隧道技术实践篇,通过详细的分析及科学的处理方法,阐述了AP和AC之间无法建立隧道的解决思路,希望可以帮助到遇到困难的读者朋友们。


锐捷网络秉承“场景化创新”和核心技术自主研发的理念,针对不同的应用场景,设计一个个量身定制的无线解决方案,方案不仅包含全场景的Wi-Fi 6系列产品,还有自主研发的自动化无线网络优化软件WIS,让更多企业拥有看的见的领先好无线。


详情请点击阅读原文


往期精彩回顾