连不上 总部 ap 有10 分部有6 另一个分部也是6个

您好，从您的描述来看，这是一个典型的在分布式无线网络（总部+多个分部）中，从“本地认证”切换到“集中认证”后出现的故障。您提供的链接我无法直接访问，但根据您的文字描述，我可以清晰地分析问题并提供解决方案。

问题根因分析

当您将认证方式从 “本地切换 + 本地认证” 改为 “本地切换 + 集中认证” 后，无线客户端“嘎嘎掉线”的根本原因是： 分部AP下的无线客户端，无法成功到达或与总部的集中认证服务器（通常是Radius服务器，可能集成在AC或独立设备上）完成认证交互。

“本地切换”保证了用户在同一个AC管理的AP间漫游时快速切换，但 认证过程本身 的路径发生了变化：

1. 本地认证时 ：认证发生在分部本地的AC/交换机上。用户密码、密钥等信息就存在分部设备里，认证流程非常短，都在本地网络完成，速度快且稳定。
2. 集中认证时 ：认证请求需要从分部的AC/AP，穿越广域网（WAN），到达总部的认证服务器进行验证。这个过程引入了新的变量：
网络连通性 ：分部网络能否路由到总部的认证服务器IP地址？
防火墙策略 ：分部、总部或沿途的防火墙是否放行了认证协议（如Radius使用的UDP 1812, 1813端口）的通信？
服务器配置 ：总部的认证服务器是否将分部AC的设备IP地址添加为合法的认证客户端（NAS-Client）？
超时时间 ：由于WAN链路延迟比局域网大，认证请求可能因超时而失败，导致用户连接断开。
排查与解决步骤
请您按照以下顺序进行排查：
第一步：检查网络连通性与防火墙策略（最可能的原因）
1. 测试可达性 ：在分部AC的命令行界面，使用 `ping` 命令测试到总部认证服务器IP地址的连通性。确保基础IP可达。
2. 检查防火墙 ：
分部出口防火墙 ：确保允许从分部AC（或整个内网）发往 总部认证服务器IP，目的端口UDP 1812和1813 的流量。
总部入口防火墙 ：确保允许从各分部AC的 公网IP或专线IP 发来的，目的端口为UDP 1812和1813的流量访问认证服务器。
关键点 ：总部防火墙不仅要做目的IP+端口的限制， 源IP也必须正确放行 ，即每个分部AC的IP地址。
第二步：检查集中认证服务器配置
登录总部的认证服务器（例如H3C IMC、CISCO ISE或其他Radius服务器）：
1. 确认NAS/IP地址列表 ：检查是否已经将 所有分部AC的管理IP地址 （即作为Network Access Server的设备IP）添加到了认证客户端的列表中。
2. 共享密钥匹配 ：确保在总部认证服务器上为每个分部AC配置的 共享密钥（Shared Secret） ，与在分部AC上配置的指向该服务器的密钥 完全一致 （区分大小写）。
3. 认证协议支持 ：确保服务器和AC配置的认证协议（如PAP, CHAP, EAP等）匹配。
第三步：检查分部AC的认证配置
登录分部AC的配置界面：
1. Radius服务器配置 ：检查指定的主用Radius服务器IP地址是否正确。
2. Radius密钥 ：核对与总部服务器配置的共享密钥。
3. 逃生机制（重要） ：在集中认证场景下，强烈建议配置本地逃生机制。即当无法连接到集中服务器时，可以回退到本地认证，避免全网中断。
这通常通过配置备份的认证方案来实现，例如主方案为Radius，备方案为本地认证。
第四步：检查AC-AP隧道状态与认证点设置
1. 确认AP与AC的隧道正常 ：确保所有分部AP都稳定地注册到了分部的AC上。
2. 确认认证点位置 ：在“本地切换”组网中，通常将“认证点”设置在AC上。请确认配置无误，确保用户连接AP后，其认证请求是由分部的AC代理后，再转发给总部服务器，而不是由AP直接尝试跨广域网访问总部服务器（AP通常没有去总部的路由）。