wx3510X，无线用户拒绝接入问题

第一步：故障发生时的信息收集

重启AC会丢失关键现场，在重启前，建议先执行以下命令，记录下AC的“病发”状态。

1. 确认AP状态：检查所有AP是否正常在线。

   <H3C> display wlan ap all 关注AP的状态（如Run），如果多数AP状态异常（如Idle、Fault），问题可能出在AC与AP的连接上。

2. 检查CAPWAP隧道状态：核心是看AP与AC间的隧道是否正常，这是无线业务的基础。

   <H3C> display wlan ap statistics tunnel-down-record 这个命令能记录CAPWAP隧道断开的原因，是排查AP掉线的关键线索。

3. 检查DHCP交互：确认是终端无法关联Wi-Fi，还是关联后无法获取IP。

   # 查看在线终端，确认终端是否已经关联上AC

   <H3C> display wlan client all # 如果AC开启了DHCP Snooping或中继，可以查看统计 <H3C> display dhcp relay statistics 如果display wlan client all看不到任何终端，说明终端连AP关联这一步都没完成，问题可能在于AP或射频。

4. 全方位日志与诊断信息：

   • 系统日志：display logbuffer。这是最重要的信息来源，升级后往往会产生新的日志，需要仔细检查。

   • 设备状态：display device 和 display environment，查看板卡、电源、风扇等硬件状态。

   • 性能监控：display cpu-usage history 和 display memory，了解故障时的CPU和内存负载趋势。

   • 诊断信息：display diagnostic-information。这是最全面的信息收集命令，建议在故障时保存其输出，供H3C技术支持分析。

 第二步：按场景排查

根据上述初步检查结果，你可以从以下几个方向深入排查。

 场景一：AP/隧道问题

• AC软件版本与AP配套表：升级后的AC版本是否支持你所有的AP型号？某些新版本可能不再支持老旧AP。务必去官网核对“H3C WLAN AP与AC版本配套表”。

• CAPWAP隧道资源：V7平台对CAPWAP隧道数量有规格限制。可检查display wlan ap all的输出，看Idle状态的AP是否很多，可能导致资源耗尽。

• 用户隔离功能：排查user-isolation等配置。有案例显示，启用用户隔离后会导致终端无法获取IP地址。

• 广播/组播优化功能：高版本AC默认开启广播/组播控制功能。此功能会优化ARP和DHCP报文处理，但也可能引发兼容性问题。可尝试关闭该功能进行测试。

 场景二：DHCP中继问题

• DHCP中继代理：核心交换机上的DHCP中继配置（dhcp relay address-check）可能在设备重启后失效，或地址池被占满，导致无法为新用户分配IP。

• Option 43配置：跨三层组网时，确保Option 43配置正确，让AP能正确发现AC。

• DHCP Snooping：如果AC开启了DHCP Snooping，需要检查相关绑定表是否异常，可能阻止了用户报文。

 场景三：AC软件/进程问题

• AC内部服务进程：升级可能带来新bug，导致AC进程僵死。需要查阅新版本的Release Notes，看看是否有关于“进程异常”或“内存泄漏”的已知问题。

• 安全策略加速失败：如果AC启用了安全策略（如包过滤），检查是否存在“安全策略规则加速失败”的日志，这通常与内存资源不足有关。

• 授权/AP数量限制：升级后License可能失效，或达到AP数量上限。需要检查display license和display wlan ap all，确认实际AP数与授权数。

 场景四：网络连通性与环路问题

• MAC地址漂移：检查核心交换机上是否有MAC地址漂移（display mac-address mac-move）。网络环路可能导致AP或终端的MAC在端口间不断迁移，造成网络震荡。

• 生成树协议（STP）：STP重新收敛可能导致端口阻塞。检查相关端口的状态是否为Forwarding。

• ARP表项异常：检查AC上AP的ARP表是否正常。如果AP的ARP信息错误，会导致AC与AP失联。

• 端口协商问题：检查AC与核心交换机互联的端口速率、双工模式是否正确协商。