瘦ap无法上线，与ac能互相ping通

瘦AP能获取IP地址且能ping通AC，但无法上线，说明基础网络连通性没问题，故障点很可能在CAPWAP隧道的建立过程中。建议按以下顺序排查：

 1. 基础信息快速检查

• AP状态：在AC上执行 display wlan ap all，确认状态码。I (Idle) 表示未建立连接，J (Join) 表示正在建立。

• AP工作模式：确认AP处于“瘦”模式。（H3C默认，锐捷等可能需要手动指定）

• 授权许可：执行 display license，确认AC的AP授权数量是否足够。

 2. AC发现机制排查（重点）

AP必须“找到”AC才能建立连接。根据组网不同，发现方式也不同：

• 场景一：AC与AP在同一网段（二层网络）
  AP通过广播自动发现AC。需检查：

  • 两者IP是否在同一网段。

  • 交换机上是否配置了端口隔离或DHCP Snooping等阻止二层广播的功能。

• 场景二：AC与AP在不同网段（三层网络）
  AP需通过DHCP的Option 43字段或DNS解析来获取AC的IP地址

  • 检查Option 43配置：如果AP已获取IP，检查配置是否正确，AP是否能解析出AC的IP。

  • 验证方案：可在AP上通过 wlan ac ip x.x.x.x 手动指定AC地址进行测试。

 3. CAPWAP隧道建立排查

• DTLS加密：AC默认开启DTLS加密可能阻止AP上线。可在AC上临时执行 capwap dtls no-auth enable 来验证是否为DTLS导致。

• 发现策略：检查AC是否限制了发现策略，如 wlan capwap discovery-policy unicast。

• 防火墙策略：确保AC与AP之间安全策略放通了UDP端口 5246 和 5247。

 4. 版本兼容性排查

• 版本匹配：检查AC当前软件版本是否支持该AP型号。如不匹配，可将AC或AP的软件版本升级到互相兼容的版本。

 5. 硬件与链路排查

• 单点故障：将正常AP与故障AP对调，判断故障是否跟随AP。

• 供电与物理链路：检查PoE供电功率和网线是否正常。

能ping通AC但无法上线，说明网络层（IP层）是通的，问题大概率出在应用层（CAPWAP协议协商）或AC侧配置上。

参考官方手册提供的排查流程，建议按以下顺序排查，尤其是第三步的查看失败记录最直接：

1. 第一步：确认AC基础配置是否到位

如果这是AC新增的AP或AC配置有过改动，请检查以下几点：

• AP授权(License)是否充足：执行 display license ap 查看剩余可用授权数。这是AP能上线的硬性条件，如果License已满，新AP会直接被拒。

• 是否开启了自动注册：若未提前手动添加AP的MAC/SN，需确保AC开启了自动注册功能。

  bash

  [AC] wlan auto-ap enable # 开启自动AP发现 [AC] wlan auto-persistent enable # 开启自动固化

• 检查隧道加密：如果AP默认组开启了隧道加密，可能会导致协商失败。

  bash

  [AC-wlan-ap-group-default-group] undo tunnel encryption enable

2. 第二步：检查CAPWAP通信细节

虽然ping通，但CAPWAP协议可能被拦截。AC基于UDP端口与AP通信：控制隧道使用端口5246，数据隧道使用端口5247。

• 检查中间链路：确保AP与AC之间的交换机、防火墙没有阻断上述UDP端口。

• 检测MTU值：大包传输可能被丢。在AC上带源地址ping AP的大包：

  bash

  [AC] ping –a <AC的管理IP> –s 1472 –f <AP的IP地址>

  如果不通或报错，说明MTU值有问题，需要排查中间链路。

3. 第三步：查看AC上的失败原因（最关键步骤）

AC的日志里会直接记录AP无法上线的具体原因，这能最快定位问题。

• 查看关联失败记录：

  bash

  [AC] display wlan ap statistics association-failure-record

  • 如果看到 Lack of AP license，就是第一步提到的授权问题。

  • 如果看到 AP authentication failed，说明AC拒绝了AP的认证请求，需检查AP的MAC或SN是否已正确添加。

• 查看隧道关闭记录：

  bash

  [AC] display wlan ap statistics tunnel-down-record

  • 如果看到 Failed to retransmit message，通常意味着链路质量问题或设备性能瓶颈，导致AC发给AP的报文无响应。

  • 如果看到 Neighbor dead timer expired，很可能是链路存在瞬时中断，或像MAP文件配置错误导致端口配置变动。

4. 第四步：检查版本兼容性

这是很常见但容易被忽略的点。

• 检查版本体系：确认AC和AP都是V7平台，或都是V5平台。V7的AP无法注册到V5的AC上。

• 检查固件包：确认AC的flash中是否包含了该AP型号的瘦版本文件（Image）。

• 观察AP状态：在AC上执行 display wlan ap all，如果AP状态长时间卡在 IL (Image Loading)，说明AC正在尝试给AP升级镜像，但可能因为版本不匹配或传输失败导致无法上线。