故障現(xiàn)象

筆者單位無線網(wǎng)絡(luò)中，某些無線客戶無法正常上網(wǎng)。該無線網(wǎng)絡(luò)采用隧道轉(zhuǎn)發(fā)方式，為了提高連接的安全性，采用了WPA2的安全策略，通過配置802.1X認(rèn)證，使用安全性較高的AES加密方式，來驗(yàn)證無線用戶的身份。相關(guān)的AC和Radius服務(wù)器等設(shè)備掛接到匯聚交換機(jī)上，AP設(shè)備連接到接入交換機(jī)上。匯聚交換機(jī)連接到路由器上，讓內(nèi)網(wǎng)用戶可以訪問Internet。這里使用的均為華為的某款A(yù)C和AP設(shè)備。在使用過程中，有用戶反映無法正常訪問外網(wǎng)。

故障排查

對于以上問題，需要從兩個(gè)環(huán)節(jié)入手：一是AP設(shè)備是否正常連接到了AC，二是終端是否可以順利關(guān)聯(lián)AP。首先檢測AP的狀態(tài)，對于AP無法上線的故障，排查方法是先查看AP的狀態(tài)，如果處于Fault狀態(tài)，說明該AP存在問題，可以更換AP設(shè)備來解決。如果AP處于正常狀態(tài)，就需要檢查AP是否能夠獲取IP地址，如果不能獲取，就需要檢測DHCP配置情況。當(dāng)AP已經(jīng)獲取了IP地址，就需要測試AP和AC是否可以連通。如果存在問題，需要查看兩者之間的網(wǎng)絡(luò)配置情況。否則的話，就需要查看AP是否通過了AC認(rèn)證，如果沒有通過認(rèn)證，則需要將AC的MAC地址加入到AC的白名單中。

如果AP認(rèn)證沒有問題，需要查看AP是否超出了AC的連接數(shù)，解決方法是申請并加載License。最后需要檢測AP的MAC/SN是否存在重復(fù)問題，處理方法是更改AP參數(shù)。通過Console口登錄到AC上，在用戶視圖下執(zhí)行“display ap all”命令，查看AP的連接狀態(tài)。在AP列表中發(fā)現(xiàn)目標(biāo)AP并沒有上線，說明該AP工作異常，與之連接的客戶機(jī)自然無法上網(wǎng)。對該AP設(shè)備進(jìn)行查看，主要通過觀察AP的表面的指示燈，直觀地查看其工作狀態(tài)。不同的AP雖然外觀不同，但是一般都包含無線狀態(tài)、鏈路狀態(tài)、系統(tǒng)狀態(tài)、電源等指示燈。相關(guān)指示燈亮起表示開啟對應(yīng)的功能，閃爍表示數(shù)據(jù)傳輸或者相關(guān)功能啟動，熄滅表示對應(yīng)功能關(guān)閉。這里從該AP的指示燈顯示情況看，其并不存在故障現(xiàn)象。接著檢測該AP是否獲取了IP地址，因?yàn)檫@里的AC設(shè)備是作為DHCP服務(wù)器使用的，所以在AC上執(zhí)行“display ip pool name xxx used”命令，顯示地址配置情況，其中的“xxx”為地址池的名稱。在“Network section”欄中顯示地址池的范圍，在AP地址列表中顯示已經(jīng)獲取IP的設(shè)備信息，其中可以看到存在問題AP的MAC地址和對應(yīng)的IP地址，說明該AP已經(jīng)獲取了地址。之后在AC上執(zhí)行“display ap global configuration”命令，顯示當(dāng)前的認(rèn)證模式信 息。 在“AP auth-mode”欄中顯示“MAC-auth”字樣，說明當(dāng)前AP的認(rèn)證模式為MAC認(rèn)證。

如果該AP沒有通過認(rèn)證，自然無法順利上線。 執(zhí) 行“display ap unauthorized record”命令，查看AP未認(rèn)證列表。在其 中 的“AP MAC address”欄中果然發(fā)現(xiàn)目標(biāo)AP的MAC地址，說明該AP的沒有通過認(rèn)證。在AC上執(zhí)行“system-view”和“wlan”命令，切換到WLAN視圖。執(zhí)行“ap-mac xxxx-xxxx-xxxx”命令，將該AP添加到認(rèn)證列表中，其中的“xxxx-xxxxxxxx”為該AP的MAC地址。之后再次執(zhí)行“display ap all”命令。發(fā)現(xiàn)該AP已經(jīng)正常上線。

當(dāng)AP的故障排除后，發(fā)現(xiàn)客戶端依然無法正常關(guān)聯(lián)AP，說明問題出在終端到AP的連接環(huán)節(jié)上。在終端上打開網(wǎng)絡(luò)和共享中心窗口，點(diǎn)擊“更改適配器設(shè)置”項(xiàng)，先禁用無線網(wǎng)卡設(shè)備，之后再將其啟用，發(fā)現(xiàn)問題依舊。如果終端周邊存在較強(qiáng)的干擾信號，就會造成WLAN信號質(zhì)量較差，就可能造成信號差、連接失敗、自動斷線、網(wǎng)絡(luò)緩慢等問題。運(yùn)行inSSIDer這款檢測工具，在SSID列表中的“SIGNAL”列中查看目標(biāo)AP的干擾情況，發(fā)現(xiàn)其WLAN的信號情況良好。

之后在AC上執(zhí)行“display access-usernum”命令，查看允許連接的最大并發(fā)用戶數(shù)和在線用戶數(shù)量，在和目標(biāo)AP射頻口相關(guān)的“max-usernum”列中顯示允許最大用戶 數(shù)，在“online-usernum”列中顯示在線的用戶數(shù)，兩者加以比對，說明沒有超過目標(biāo)AP的最大連接數(shù)。執(zhí)行“display sta-blacklist-Profile all” 和“display stawhitelist-profile all”命令，顯示針對用戶的黑白名單信息，這里均為空白。

接著需要檢測和DOT1X認(rèn)證相關(guān)的配置情況，在AC的WLAN視圖下執(zhí)行“vap-profilefile name xxx”命令，進(jìn)入VAP模板配置界面，其中的“xxx”為模板名稱。

執(zhí)行“display this”命令，查看VAP模板的配置信息。在AC的WLAN視圖下執(zhí)行“security-profile name xxx”命令，進(jìn)入安全模板配置界面。執(zhí)行“display this”命令，查看安全模板配置信息。之后對認(rèn)證模板配置進(jìn)行查看，經(jīng)過比較分析，發(fā)現(xiàn)和DOT1X認(rèn)證的相關(guān)配置不存在問題。在AC系統(tǒng)視圖下執(zhí)行“display dot1x”命 令，查 看 全 局DOT1X認(rèn)證參數(shù)，并沒有發(fā)現(xiàn)任何問題。如果終端用戶名和密碼不正確，也不能順利連接。在AC上執(zhí)行“test-aaa username passwprd radiustemplate xxx”命令，對用戶名和密碼進(jìn)行檢測，其中的“username”為用戶名，“password”為 密 碼，“xxx”為Radius服務(wù)器模板名稱。在返回信息中顯示“Account test succeed”字樣，說明檢測通過。

故障解決

排除了以上問題，就需要在終端上檢測802.1X認(rèn)證的配置信息了。打開網(wǎng)絡(luò)和共享中心窗口，進(jìn)入無線網(wǎng)絡(luò)管理界面，點(diǎn)擊工具欄上的“添加→手動創(chuàng)建網(wǎng)絡(luò)配置文件”項(xiàng)，在手動連接到無線網(wǎng)絡(luò)窗口中輸入網(wǎng)絡(luò)名（即目標(biāo)AP的 SSID名稱），安全類型（這 里 選 擇“WPA2-企業(yè)”）和加密類型（這里選擇“AES”），點(diǎn)擊“下一步”創(chuàng)建該無線連接。打開該無線連接的屬性窗口，在“安全”面板中的“選擇網(wǎng)絡(luò)身份驗(yàn)證方法”列表中選擇“Microsoft受保護(hù)的 EAP（PEAP）”項(xiàng)。

點(diǎn)擊“高級設(shè)置”按鈕，在打開窗口列表中選擇“安 全 密 碼（EAP-MSCHAP V2）”項(xiàng)，點(diǎn)擊右側(cè)的“配置”按鈕，在彈出窗口中不要選擇“自動使用Windows登錄名和密碼（以及域，如果有的話）”項(xiàng)。之后在無線連接面板中點(diǎn)擊該連接項(xiàng)，在彈出的網(wǎng)絡(luò)身份驗(yàn)證窗口中輸入用戶名和密碼，確認(rèn)后順利連接到了無線網(wǎng)絡(luò)中。

經(jīng)驗(yàn)總結(jié)

總結(jié)以上排查過程，問題出在兩個(gè)關(guān)鍵點(diǎn)上，一個(gè)是目標(biāo)AP沒有啟用MAC認(rèn)證，另一個(gè)是因?yàn)榭蛻舳藳]有正確配置802.1X認(rèn)證，才導(dǎo)致故障的發(fā)生。