无线云集群主备切换，AP全部离线，且无法自动上线，已接入业务不受影响

您好，您描述的这个问题非常典型，而且细节很清晰，是无线控制器集群故障排查中的一个经典场景。虽然您说“未改动设备配置”，但这类问题往往由底层网络或设备自身状态触发。

根据您的描述，我们可以将故障现象拆解并分析如下：

故障现象核心点梳理

1. 1.

   ​​触发事件​​： 主备切换。这是所有问题的起点。

2. 2.

   ​​告警顺序​​： 先报“主AC云集群接口DOWN”，约2分钟后报“主AC业务接口DOWN”。​​这是最关键的时间线​​。

3. 3.

   ​​业务影响​​：

   • •

     ​​已接入业务不受影响​​： 这强烈表明您的无线业务数据平面是​​本地转发​​（Local Switching）。AP与终端之间的数据流量不经过AC，直接由AP本身交换或送上联网络。因此，即使AC失控，现有的数据流不会中断。

   • •

     ​​新AP全部离线且无法自动上线​​： 这表明AP的管理控制平面（Control Plane）与AC的连接中断。AP需要通过CAPWAP协议与AC建立管理隧道，这个过程中断了。

4. 4.

   ​​配置确认​​： 未配置Remote AP，排除了特定配置导致的问题。

根本原因分析

问题的核心在于：​​为什么主备切换后，备AC无法成功接管并管理所有AP？​​

导致这个现象的根本原因通常有以下几种可能，您可以按此顺序进行排查：

1. 主备心跳链路问题（最可能）

告警顺序明确指出，先是“云集群接口DOWN”。这个接口通常就是​​主备AC之间用于心跳（Heartbeat）和状态同步的专用链路​​。

• •

  ​​可能原因​​：

  • •

    ​​物理链路故障​​： 连接主备AC的心跳线（网线、光纤）或接口模块（光模块）松动、损坏。

  • •

    ​​网络设备故障​​： 心跳链路经过的交换机端口或整机故障。

  • •

    ​​IP地址冲突或配置错误​​： 虽然您说未改动配置，但可能由于ARP欺骗、网络环路等临时性问题导致心跳地址不可达。

• •

  ​​为什么会导致AP离线？​​

  当备AC检测到与主AC的心跳超时后，它会认为主AC失效，从而触发主备切换，自己升级为主AC。但是，​​如果心跳链路本身就有问题​​，备AC可能处于一种“脑裂”（Split-Brain）的怀疑状态，或者其同步状态不是最新的，影响了接管流程的完整性。

2. 备AC的业务接口或配置问题

在备AC升主后，AP会尝试与新的主AC（原来的备AC）重新建立CAPWAP隧道。

• •

  ​​可能原因​​：

  • •

    ​​业务接口状态异常​​： 备AC的业务接口（AP用来连接的接口）虽然物理UP，但协议可能有问题，或者MTU设置不一致，导致CAPWAP隧道无法建立。

  • •

    ​​License授权问题​​： 备AC的AP授权（License）数量不足，无法允许多个AP同时上线。

  • •

    ​​软件版本或配置不同步​​： 极少数情况下，主备AC的软件版本可能存在细微差异，或者某些非核心配置未能完全同步，导致新主AC的行为异常。

3. 主AC自身故障（假死）

告警显示主AC的业务接口在心跳中断​​2分钟後​​才报DOWN。这可能意味着：

主AC并未完全崩溃，而是发生了某种“假死”（例如：CPU/内存爆满，管理进程卡死），它先无法响应备AC的心跳包，过了一会儿管理进程才彻底崩溃或业务端口才停止响应。

4. 网络连通性问题（针对新主AC）

切换完成后，AP需要能与​​新的主AC​​（原备AC）的IP地址通信。

• •

  ​​可能原因​​： 网络中存在静态路由指向了​​老主AC的IP​​，或者ACLP、防火墙策略​​只允许AP与老主AC的IP通信​​，而未允许与备AC的IP通信。切换后，AP无法将CAPWAP发现报文发送到正确的新目的地。

排查步骤建议

1. 1.

   ​​检查心跳链路​​：

   • •

     登录主备AC，检查集群状态命令（通常是 display cluster state或类似命令），查看当前集群状态和切换历史记录。

   • •

     ​​物理检查​​： 检查心跳线缆、接口模块、交换机端口指示灯和配置。换端口、换线缆测试。

   • •

     ​​逻辑检查​​： 在主备AC上互相Ping对端的心跳IP地址，检查延迟和丢包。

2. 2.

   ​​检查新主AC（原备AC）的状态​​：

   • •

     ​​接口状态​​： display interface brief确认业务接口物理和协议状态均为UP。

   • •

     ​​License​​： display license确认AP License充足且未过期。

   • •

     ​​CAPWAP服务​​： 确认CAPWAP服务进程正常，监听端口正常。

   • •

     ​​AP连接尝试​​： 使用 display capwap connection或类似命令，查看是否有AP正在尝试连接但失败，失败原因是什么（如超时、拒绝等）。

3. 3.

   ​​检查网络设备​​：

   • •

     检查连接AP和AC的核心/汇聚交换机。查看日志中是否有端口震荡、MAC地址表剧烈变化等记录。

   • •

     检查防火墙策略，确保允许AP网段与​​主备AC的业务IP​​同时通信。

4. 4.

   ​​收集日志信息​​：

   • •

     这是最重要的步骤。同时导出主备AC在故障时间点的​​系统日志和操作日志​​。重点关注故障前的心跳超时日志、切换日志、以及AP尝试连接失败的日志。

​​总结：​​

您遇到的问题很大概率是由于​​主备AC之间的心跳链路不稳定或中断​​触发了切换，而切换后由于上述第2、第4点原因（如License、网络策略或新主AC接口状态），导致AP无法向新主AC注册。

建议优先从​​心跳链路​​和​​新主AC的状态​​开始排查，并立刻联系设备厂商的技术支持，将您的详细现象和收集到的日志提供给他们，他们可以从后台更深入地分析切换的具体原因和AP注册失败的精确错误码。这是一个需要仔细排查的故障，但方向是明确的。

您好，主备切换过程中，CAPWAP 隧道可能出现异常。虽然已接入业务未受影响，但隧道状态可能变化。可在 AC 上执行display wlan ap all verbose | include Tunnel Down Reason命令，查看 AP 掉线原因，确认是否是 CAPWAP 隧道相关问题。同时检查 AC 与 AP 之间的 CAPWAP 心跳检测配置，确保心跳检测间隔时间和报文次数设置合理，并且链路支持 MTU 1500，有线丢包率小于 0.1%。