AP能ping通却无法上线，这确实是个让人头疼的问题。别担心，既然能telnet进AP，我们完全可以一步步把问题定位出来。

 优先级排查

• 立即检查：在AC上用 display wlan ap all看AP状态，再用 display wlan ap unauthorized确认是否待认证。如果有待认证的，执行 wlan ap ap-name serial-id xxxx手动添加。

• 版本兼容性检查：AP型号WA6320-SI-H20-FIT与WX2520X-LI AC必须有明确的版本适配关系。可升级AC软件到最新版，或在AC上用 display ap-model all查询当前版本支持的AP列表。若新AP无法上线，很可能是AC软件版本不支持该款型，需升级AC软件。

• 检查AC配置：

  • 开启自动AP功能：wlan auto-ap enable。

  • 检查License是否充足：用 display license检查剩余授权。若满，可卸载无用License或增购。

  • 检查AC源接口：用 display wlan capwap configuration确认配置了AC的IP地址。

  • 排查VPN-instance：若配置了VPN，先移除undo vpn-instance再测试。

  • 检查隧道专用配置：避免设置非标准MTU（<1500）。

• CAPWAP隧道深度排查：若AC和AP都在，但隧道没建起来，问题在CAPWAP。抓包确认AP是否发Discovery Request，AC是否回应。无回应可能因ACL阻断UDP 5246/5247。在AC和AP间互Ping大包（ping -f -l 1472），出现Packet needs to be fragmented but DF set说明MTU问题。

一、先在 AC 上看状态（最关键）

• 如果完全看不到这台 AP：AP 根本没注册上来
• 如果看到但状态 Idle / Failed：版本不匹配或授权不足

• not support（型号不支持）
• license insufficient（授权不够）
• version mismatch（版本不匹配）
• no auth（未认证）

二、最常见原因：AC 没有开启 AP 自动认证

解决：

三、第二个高频：AP 版本与 AC 不匹配

你现在能 telnet AP，直接在 AP 上查：

四、授权问题（WX2520X-LI 常见）

五、静态绑定 AP 强制上线（最快验证）

1. 先查 AP MAC（在 AP 上 display dev mac）
2. AC 上配置：

六、网络层面最后确认（虽然你能 ping）

• CAPWAP 状态：Run
• 没有 ACL 拦截 UDP 5246、5247

最快排查顺序（你照着做就行）

1. AC 开启 ap-authentication mode auto
2. AC 查看授权是否足够
3. AP 重新 capwap ip AC地址 并重启
4. AC 手动添加 AP 型号 + MAC 强制上线
   99% 这几步就能上线。

用这个命令排查下 display wlan ap statistics association-failure-record命令用来显示AP上线失败原因。