AP在cloudnet平台中，显示离线

参考手册排查 用户在云平台上添加云AP设备后，云AP不能在云平台上线。

从你的 display cloud-management state 日志可以直接定位问题：
plaintext
Cloud connection state : Unconnected
Failure reason : Message received
Last down reason : Insufficient or expired license
根本原因：AP 与 Cloudnet 平台的授权不足 / 已过期，导致连接被平台主动拒绝，直接离线。
虽然你能 ping 通服务器地址、AP 也能正常上网，但平台侧因授权问题不接受该 AP 的注册请求，所以显示离线。
一、先解决核心：授权问题（最优先级）
1. 平台侧检查授权
登录 Cloudnet（云简网络）控制台
进入 资源管理 → 授权管理，查看：
当前账号下的 云 AP 授权数量 是否足够（WA6320 需要独立的云 AP 授权）
授权是否在有效期内，是否已过期
已在线的 AP 数量是否已达授权上限
2. 快速修复方式
若授权不足：
联系 H3C 代理商 / 原厂，购买对应数量的 云 AP 管理授权
在控制台激活授权，同步后等待 5-10 分钟，AP 会自动重新注册
若授权已过期：
续费授权，激活后平台会恢复对该 AP 的管理权限
若不再使用云管理，可将 AP 切换为 Fit/Fat 模式，脱离 Cloudnet 平台
二、排除网络 / 防火墙侧的隐性拦截
你能 ping 通 IP，不代表 HTTPS/443 端口 和 云管理私有报文 没被拦截，需重点检查防火墙配置：
1. 放行 Cloudnet 服务器全量地址与端口
必须放行：
目标域名：oasis.h3c.com
端口：TCP 443（HTTPS）、UDP 123（NTP 时间同步）
你已列出的所有云服务器 IP，均需放行入 / 出方向
防火墙策略建议：
bash
运行
# 以H3C防火墙为例，临时放行所有云地址测试
policy-based
rule permit ip source any destination 152.136.24.133 0
rule permit ip source any destination 49.232.149.153 0
rule permit ip source any destination oasis.h3c.com
2. 关闭防火墙的 SSL/TLS 检测 / 内容过滤
部分防火墙会对 HTTPS 流量进行深度检测，可能误拦截 AP 的云管理报文，建议临时关闭：
关闭 SSL 解密 / HTTPS 检测
关闭 应用识别 / 内容过滤 对 oasis.h3c.com 的策略
确保没有配置 会话老化 / 超时 导致连接被主动断开
3. 检查 AP 侧的时间同步
AP 的系统时间若不正确，会导致 HTTPS 证书校验失败，连接被拒绝：
bash
运行
# 在AP上配置NTP服务器
<WA6320> system-view
[WA6320] ntp server 101.42.20.242
[WA6320] ntp enable
[WA6320] quit
# 查看时间
<WA6320> display clock
三、AP 侧配置验证与修复
1. 确认 AP 的云管理模式
bash
运行
<WA6320> display cloud-management state
确认 Cloud connection mode 为 oasis.h3c.com，Cloud server port 为 443
若模式错误，重新配置：
bash
运行
<WA6320> system-view
[WA6320] cloud-management enable
[WA6320] cloud-management server domain oasis.h3c.com
[WA6320] cloud-management server port https 443
2. 重启云管理服务，触发重连
bash
运行
<WA6320> system-view
[WA6320] undo cloud-management enable
[WA6320] cloud-management enable
3. 查看连接日志，定位详细错误
bash
运行
<WA6320> display logbuffer | include cloud
重点关注 license、authentication failed、certificate error 相关日志
四、快速排障顺序（按优先级）
平台侧检查授权：确认授权数量、有效期是否正常
防火墙放行策略：放行所有云服务器 IP、端口，关闭 SSL 检测
AP 侧配置验证：确认云管理模式、NTP 时间同步正常
重启服务：重启 AP 的云管理服务，触发重连
五、备选方案：切换 AP 模式
若暂时无法解决授权问题，可将 AP 切换为 Fit 模式（对接本地 AC）或 Fat 模式（独立管理），业务不受影响：
bash
运行
# 切换为Fit模式
<WA6320> system-view
[WA6320] ap-mode fit
[WA6320] quit
<WA6320> reboot
💡 关键提醒
AP 的云管理离线，最直接的原因是平台侧的授权问题，网络侧 ping 通不代表云管理连接正常，优先处理授权问题，再排查网络策略。

1. 检查 DNS 解析配置（最常见原因）

• 排查方法：登录 AP 后台，检查其获取的 DNS 是否为公共可用 DNS（如 223.5.5.5 或 114.114.114.114）。如果 DNS 是路由器内网 IP 且未做转发，会导致解析失败。
• 验证命令：在设备上执行 ping cloudnet.h3c.com。如果不通但能 ping 通外网 IP，说明需要修改设备的 DNS 配置。

2. 检查防火墙端口放通策略（关键步骤）

• TCP 443 / 80：用于登录、认证及基础通信（涉及 IP 如 101.36.161.141、101.36.161.146 等）。
• TCP 19443：这是云简设备建立连接的核心端口（涉及 IP 如 101.36.161.120），极易被企业防火墙默认拦截。
• 建议操作：为避免遗漏，建议在防火墙上将 H3C 云简网络相关的所有已知 IP 段及上述端口加入白名单。

3. 核对云平台连云配置与 License 状态

• 域名与端口匹配：通过 Console 或 SSH 登录 AP，执行 display cloud-management state 命令。检查输出中的 Cloud server domain name 是否为 cloudnet.h3c.com，以及端口是否为 19443 或 443。若不正确，需手动添加配置：
  [Sysname] cloud-management server domain cloudnet.h3c.com [Sysname] cloud-management server port 19443
• License 有效性：登录 Cloudnet 平台，进入“设置 > License 许可”，确认账户下是否有可用的云 AP License。若 License 过期或数量不足，新配置将无法下发，设备也会受限。

4. 检查 MTU 值与 STP 干扰

• TCP MSS 过大：AP 与云平台基于 TCP 协议通信，如果网络出接口的 TCP MSS 过大，会造成报文分片甚至丢弃。可尝试在网关设备上将通往云平台的出接口 TCP MSS 值修改为小于 1400（例如 tcp mss 1280）。
• STP 拓扑变更：如果 AP 频繁出现上线又离线的情况，可能是对端交换机启用了 STP 功能。当接收到 STP TC BPDUs 时会导致 ARP 表项丢失，进而引起心跳超时。建议在接入交换机的 AP 端口上禁用 STP 功能。

5. 查看本地日志与重启测试

• 使用 display logbuffer 命令查看 AP 本地是否有报错信息（如认证失败、DNS parse failed 等），这能提供最直接的故障线索。
• 完成上述网络侧调整后，建议直接拔掉 AP 电源等待 10 秒后重新插上，排除设备临时假死状态，观察其是否能重新向云端发起注册。