AP上线流程和故障处理

AP上线流程和故障处理

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

AP上线流程和故障处理

简介

在AC + FIT AP的组网架构中，AC对FIT AP进行集中的配置管理，AC和AP之间采用CAPWAP（Control and Provisioning of Wireless Access Points）协议进行通信。本文档主要介绍了AP发现并接入AC的流程，AP上线的配置，以及AP上线失败常见问题的故障处理方法。

前提条件

您需要了解AC + FIT AP的基本组网架构以及CAPWAP的基础知识。

CAPWAP隧道建立过程是以华为公司的WLAN设备为例进行介绍的，和CAPWAP标准协议存在一些差异。

本文档以V200R010版本为例，其他版本的信息可能略有差异，但是基本过程是一致的。

AP上线流程

AP上线流程中的报文交互如图1-1所示，通常将AP上线的主要流程分为AP获取IP地址阶段（以DHCP方式为例）、AP发现AC阶段、AP接入AC阶段、AC下发配置阶段、CAPWAP隧道维持阶段和配置更新阶段等几个阶段。

图1-1 AP上线流程中的报文交互
点击放大

图中同时标明了AP的CAPWAP状态机的部分状态，各个状态的含义如下：

Discovery：AP发现AC的状态
DTLS connect：AP和AC之间建立DTLS连接状态
Join：DTLS连接完成，AP加入AC的状态
Image data：AP从AC下载软件版本文件进行升级的状态
Configure：AP从AC获取初始化配置的状态
Data check：AP和AC进行信息交换，确认配置的状态
Run：CAPWAP链路正常建立的状态
Config：AP从AC获取下发的配置

这里从AP的CAPWAP状态机状态的变化，来简单梳理一下AP上线的基本流程，具体的流程可以参考后续章节内容：

Idle（图中未标识）
AP正常启动，初始化完成后的状态，AP开启CAPWAP状态机。
Idle -> Discovery
AP获取地址后，由Idle切换到Discovery状态，开始发送Discovery Request报文发现AC。
Discovery -> DTLS connect
在AP选择AC后，会根据AC的配置选择建立DTLS连接，AP由Discovery切换到DTLS connect状态（实际上在这中间还有DTLS会话建立、DTLS认证等状态，这里做了简化描述）。
DTLS connect -> Join
DTLS连接建立完成后，AP状态由DTLS connect切换为Join，开始发送Join Request报文请求加入AC。
Join -> Image data
AC回复Join Response报文，报文中携带了期望的AP软件版本，如果AP当前的软件版本和AC期望的软件版本不一致的话，AP状态由Join切换到Image data，开始在线升级版本。版本升级完成后，AP会重启并重复上述过程。
Join -> Configure
AC允许AP加入后，AP状态由Join切换为Configure，开始发送Configuration Status Request报文请求AC下发初始化配置。
Configure -> Data check
AC下发初始化配置后，AP状态由Configure切换为Data check，开始和AC交换信息确认配置。
Data check -> Run
当初始化配置确认完成，AC给AP发送了Change State Event Response报文后，AP状态由Data check切换为Run，即CAPWAP链路正常建立。在这个阶段，AP和AC之间会周期性的通过发送Keep Alive和Echo报文来检查CAPWAP数据隧道和控制隧道的连通性。

AP获取IP地址阶段

AP获取IP地址的方式包括静态方式、DHCP方式和SLAAC（Stateless Address Autoconfiguration）方式。

静态方式：即登录到AP设备上手工配置静态IP地址。
DHCP方式：通过配置DHCP服务器，使AP作为DHCP客户端向DHCP服务器发起DHCP请求，完成IP地址的动态获取。DHCP方式是最常见的AP获取IP地址的方式。
图1-2 AP通过DHCP方式获取IP地址报文交互

实际报文示例：
1. AP以广播方式发送DHCP Discover报文，该报文中携带了AP的MAC地址、需要请求的参数列表选项、广播标志位等信息。
2. DHCP服务器接收到DHCP Discover报文后，会从跟接收DHCP Discover报文接口的IP地址处于同一网段的地址池中选择一个可用的IP地址，然后通过DHCP Offer报文发送给AP。
3. AP广播发送DHCP Request报文通知所有的DHCP服务器，它将选择某个DHCP服务器提供的IP地址，其他DHCP服务器可以重新将曾经分配给客户端的IP地址分配给其他客户端。
4. 当DHCP服务器收到AP发送的DHCP Request报文后，DHCP服务器回应DHCP ACK报文，表示DHCP Request报文中请求的IP地址允许AP使用。
SLAAC方式：AP通过无状态自动地址分配方式获取IP地址，只支持获取IPv6地址。
SLAAC方式是通过RA（Router Advertisement）报文获取网络地址的前缀，然后自动生成接口ID，组合在一起就是IPv6地址。

实际报文示例：

AP获取IP地址阶段的常见问题如下：

常见问题	可能原因	处理措施
AP静态地址配置错误	AP配置的静态IP地址不唯一，与网络中其他设备的IP地址存在冲突。二层组网规划下，AP配置的静态IP地址和AC不在一个网段。三层组网规划下，未配置AP路由的出口网关。 AP未重启，导致配置的静态IP地址未生效。	AP静态地址配置错误
DHCP方式下AP未分配到IP地址	DHCP服务器和AP之间网络不通，如VLAN未创建或未放通等。 DHCP配置不正确。未配置DHCP地址池或DHCP地址池中空闲地址不足。	AP和AC之间的网络不通 AP未分配到IP地址

常见问题

可能原因

处理措施

AP静态地址配置错误

AP配置的静态IP地址不唯一，与网络中其他设备的IP地址存在冲突。
二层组网规划下，AP配置的静态IP地址和AC不在一个网段。
三层组网规划下，未配置AP路由的出口网关。
AP未重启，导致配置的静态IP地址未生效。

AP静态地址配置错误

DHCP方式下AP未分配到IP地址

DHCP服务器和AP之间网络不通，如VLAN未创建或未放通等。
DHCP配置不正确。
未配置DHCP地址池或DHCP地址池中空闲地址不足。

AP和AC之间的网络不通

AP未分配到IP地址

AP发现AC阶段

AP发现AC阶段的报文交互如图1-3所示。

图1-3 AP发现AC阶段报文交互

实际报文示例：

Discovery（AP发现AC）：

点击放大

DTLS connect（AP和AC建立DTLS连接）：

点击放大

AP通过AC发现机制来得知当前网络中哪些AC是可用的，然后决定最佳的AC来建立CAPWAP链路。

AP在获取到IP地址后，需要通过Discovery Request报文来发现当前网络中可用的AC。在AP发送Discovery Request文启动发现AC的流程后，其CAPWAP状态由Idle变更为Discovery。Discovery Request报文中包含了AP的版本和胖瘦形态等信息。
AC在接收到Discovery Request报文后，会结合根据配置的IP版本、AP的黑白名单、AP认证方式（MAC认证、SN认证和不需要认证）以及License资源限制等信息判断是否允许该AP接入并记录判断结果。如果允许，则向该AP单播回应Discovery Response报文，该报文中包含了AC Name、AC版本、CAPWAP源地址和DTLS状态等信息；如果不允许，则不回应Discovery Response报文。
如果AP收到多个AC回应的Discovery Response报文，AP会根据AC的优先级、AC的负载（AC上当前AP的个数）等信息来决策并选择AC。

AP可以通过静态配置和动态方式获取AC的IP地址：

如果AP和AC之间是二层组网，可以不需要指定AC的IP地址，AP可以通过广播方式发现AC；如果AP和AC之间是三层组网，则必须指定AC的IP地址，否则AP无法通过广播方式发现AC。

如果未指定AC的IP地址，则通过发送Discovery Request广播报文来发现AC；如果已经指定了AC的IP地址，则直接给指定的AC发送Discovery Request单播报文。

静态配置：指的是直接在AP上指定了AC的IP地址。
动态获取：动态获取又分为DHCP和DNS方式，AP在从DHCP服务器获取IP地址时，DHCP服务器会给AP发送DHCP响应报文，通过配置DHCP响应报文中的Option属性，将Option属性所携带AC的IP地址（DHCP方式）或域名（DNS方式）等相关信息传递给AP。其中：
- Option 43：携带AC的IPv4地址列表
- Option 52：携带AC的IPv6地址列表
- Option 15：携带AC的IPv4域名
- Option 24：携带AC的IPv6域名。
以最常用的Option 43为例，其报文示例如下：

如果AC上开启了DTLS功能，并通过Discovery Response报文告知AP，AP会启动DTLS协商以建立和AC之间的DTLS连接。AP和AC之间建立DTLS连接之后，后续的报文会加密传输。DTLS可以对CAPWAP中的数据报文和控制报文分别进行加密配置。

AP发现AC阶段的常见问题如下：

常见问题	可能原因	处理措施
AP和AC之间网络不通	管理VLAN未创建中间网络未放通管理VLAN VLAN tag配置错误中间网络存在环路	AP和AC之间的网络不通
未指定AC的IP地址或指定的AC IP地址错误	AC与AP之间配置为三层组网，但是AP未指定AC的IP地址 AC VRRP组网场景下，AP未指定的AC的虚地址	未指定AC的IP地址或指定的AC IP地址错误
AC未配置CAPWAP源接口/源地址或配置错误	AC未配置CAPWAP源接口/源地址或配置错误	AC上未配置CAPWAP源接口或源地址
AP不是FIT形态	AP不支持FIT形态 AP被切换成FAT或云形态	AP不是FIT形态
License资源不足或者AP数量超过AC规格	License资源不足 AP连接数超规格	AP连接数超过AC最大能接入的AP数
CAPWAP链路的DTLS协商失败	AC和AP的DTLS PSK密钥不一致	DTLS协商失败
AC上离线添加的AP的MAC和SN与AP实际不一致	在离线添加AP时，添加的AP MAC和SN与实际AP不一致	AC上配置的AP MAC和AP SN与实际AP不一致
AP被加入黑名单	AP被误添加到了黑名单中	AP被加入到黑名单

AP接入AC阶段

AP接入AC阶段的报文交互如图1-4所示。

图1-4 AP接入控制阶段报文交互

实际报文示例：

点击放大

AP和AC之间的DTLS连接建立完成后，AP会向前一个阶段选择的AC发送Join Request报文申请加入该AC，AP进入Join状态。
AC判断是否允许AP接入。如果在Discovery阶段已经进行了判断，则直接利用Discovery阶段缓存的判断结果，无需重复判断；如果没有缓存结果，则按照图1-5所示流程重新进行判断。完成判断后，AC会回复Join Response报文给AP，告知是否允许AP接入的判断结果，同时报文中还包含了期望AP使用的版本信息。
图1-5 AC判断是否允许AP接入流程
AP在接收到Join Response报文后，会比较当前运行的系统软件版本和AC期望的软件版本是否一致。如果不一致，则AP进入Image data状态，开始下载升级文件并启动软件版本升级，升级方式包括AC模式、FTP模式和SFTP模式。AP在软件版本更新完成后重新启动，重启后会重复进行前面几个阶段。需要说明的是，如果升级失败了，AP一样会重启，然后一样会重复进行前面几个阶段，所以，如果AP在线升级配置错误了，可能会导致AP在上述几个阶段不停循环，直到AP正确升级软件版本。

AP接入AC阶段的常见问题如下：

常见问题	常见原因	处理措施
AC和AP之间版本不匹配	AC不支持当前的AP款型 AP版本与AC版本不匹配	AC和AP之间版本不匹配
AP在线升级失败	AC上配置了AP在线升级，但是未正确上传AP的软件包或上传的软件包错误 AP和FTP/SFTP服务器之间网络不通	AP在线升级失败

AC下发配置阶段

当AP比较版本后判断AP无需升级或AP已经升级成功后，AC开始给AP下发配置。

AC下发配置阶段的报文交互如图1-6所示。

图1-6 Configure阶段报文交互流程

实际报文示例：

Configure：

点击放大

Data check：

点击放大

AP接收到AC的Join Response报文后，判断AC允许其接入且当前运行的软件版本和AC期望的软件版本一致时，AP向AC发送Configuration Status Request报文来传递AP当前的配置并进入Configure状态，报文中携带了多个Radio Administrative State信息。
AC收到Configuration Status Request报文后，给AP发送回应报文Configuration Status Response，给AP下发初始化配置。实际上，在这个阶段AC并未进行实际的业务下发，而是在CAPWAP链路正常建立后，才正式下发业务配置。
AP收到Configuration Status Response报文后，进入data check状态，并根据报文内容执行相应的初始化配置。
AP在执行完初始化配置后，给AC发送Change State Event Request报文通知配置执行情况，报文中包含了配置执行后Radio的状态以及配置执行的结果。
AC收到Change State Event Request报文后，发送回应报文Change State Event Response，并根据需要刷新AP的相关信息。

AC下发配置阶段的常见问题如下：

常见问题	常见原因	处理措施
AP初始化配置失败	AP和AC的中间网络的MTU配置不合理。有线侧存在丢包。	AP初始化配置失败

CAPWAP隧道维持阶段

CAPWAP隧道维持阶段的报文交互如图1-6所示。

图1-7 CAPWAP隧道维持阶段报文交互流程

实际报文示例：

点击放大

在经过了前面几个阶段之后，AP已经在AC上正常上线了，但是还有一个重要的阶段，也就是要维持AC和AP之间的CAPWAP隧道。

AP和AC之间会互相发送Keep Alive报文来检测数据隧道的连通状态；互相发送Echo报文来检测控制隧道的连通状态。

AP会启动定时器来发送Keep Alive和Echo报文，同时启动隧道检测超时定时器，如果在规定的时间内收到Keep Alive和Echo Response报文，则重置超时定时器；否则认为接收报文超时。

配置更新阶段

配置更新阶段的报文交互如图1-6所示。

图1-8 配置更新阶段报文交互流程

AP在AC上正常上线后，AC会给AP发送Configuration Update Request报文下发配置。
AP在接受到Configuration Update Request报文后，会从Run状态转为Config状态，完成真正的配置下发。
AP接收AC下发的配置后，会给AC发送Configuration Update Response报文告知AC是否成功接收AC下发的配置。

配置更新阶段的常见问题如下：

常见问题	具体描述	处理措施
AP上线后WLAN业务配置下发失败	AP在AC上正常上线之后，在AC上对AP进行WLAN业务配置，如果AC和AP之间存在链路不通或者对端设备无回应等情况，AC下发WLAN业务配置给AP失败。	AP和AC之间的网络不通

配置AP上线

通过静态方式配置AP上线

组网需求

如图1-9所示，AC和AP之间二层组网，AP以静态方式上线。

图1-9 配置AP静态上线组网图

操作步骤

配置周边设备

# 配置交换机Switch的GE0/0/1和GE0/0/2接口加入VLAN100，接口GE0/0/1的缺省VLAN为VLAN100。

<HUAWEI> system-view 
[HUAWEI] sysname Switch 
[Switch] vlan batch 100 
[Switch] interface gigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] port link-type trunk 
[Switch-GigabitEthernet0/0/1] port trunk pvid vlan 100 
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 
[Switch-GigabitEthernet0/0/1] port-isolate enable 
[Switch-GigabitEthernet0/0/1] quit 
[Switch] interface gigabitethernet 0/0/2 
[Switch-GigabitEthernet0/0/2] port link-type trunk 
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 
[Switch-GigabitEthernet0/0/2] quit

配置AC与其它网络设备互通

如果AC直接连接AP，需要在AC直连AP的接口上配置缺省VLAN为管理VLAN100。

# 配置AC的接口GE0/0/1加入VLAN100，创建接口VLANIF100，接口地址为10.23.100.1/24。

<HUAWEI> system-view 
[HUAWEI] sysname AC 
[AC] vlan batch 100 
[AC] interface gigabitethernet 0/0/1 
[AC-GigabitEthernet0/0/1] port link-type trunk 
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 
[AC-GigabitEthernet0/0/1] quit 
[AC] interface vlanif 100 
[AC-Vlanif100] ip address 10.23.100.1 24 
[AC-Vlanif100] quit

配置AP静态IP地址

# 登录到AP，配置AP获取IP地址的方式（缺省为DHCP方式）

<AP> system-view
[AP] ap-address mode static

# 配置AP静态上线IP地址和网关地址

[AP] ap-address static ip-address 10.23.100.100 24 10.23.100.1 
[AP] ap-address static ac-list 10.23.100.1  //AC的IP地址最多可以连续配置4个，中间以空格隔开。
[AP] quit

# 查看配置结果

<AP> display ap-address-info
==============================================================
Active AP Address Info
  AP Mode     : dhcp
  Ip Address  : -
  Ip Version  : -
  Mask        : -
  Gateway     : -
  AC 0 ip     : -
  AC 1 ip     : -
  AC 2 ip     : -
  AC 3 ip     : -
--------------------------------------------------------------
Reboot Active AP Address Info  //重启AP后生效的地址信息
  AP Mode     : static
  Ip Address  : 10.23.100.100
  Ip Version  : 4
  Mask        : 24
  Gateway     : 10.23.100.1
  AC 0 ip     : 10.23.100.1
  AC 1 ip     : -
  AC 2 ip     : -
  AC 3 ip     : -
==============================================================

如果AP和AC之间是三层组网，需要在AP的网关设备上配置路由，使得AP的IP地址和AP上线的AC源地址路由可达。

# 确认配置正确后重启AP使配置生效（如果AP和AC之间是三层组网，建议在配置完AC的IP地址后再重启）

<AP> reboot
System will reboot! Continue ? [y/n]:y

配置AP上线
1. 创建AP组，用于将相同配置的AP都加入同一AP组中。
```
[AC-wlan-view] ap-group name ap-group1 
[AC-wlan-ap-group-ap-group1] quit
```
2. 配置AC的源接口。
```
[AC] capwap source interface vlanif 100
```
3. 在AC上离线导入AP，并将AP加入AP组“ap-group1”中。假设AP的MAC地址为60de-4476-e360，并且根据AP的部署位置为AP配置名称，便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4476-e360的AP部署在1号区域，命名此AP为area_1。
  
  ap auth-mode命令缺省情况下为MAC认证，如果之前没有修改其缺省配置，可以不用执行ap auth-mode mac-auth。
  
  举例中使用的AP为AP5030DN，具有射频0和射频1两个射频。AP5030DN的射频0为2.4GHz射频，射频1为5GHz射频。
```
[AC] wlan 
[AC-wlan-view] ap auth-mode mac-auth 
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360 
[AC-wlan-ap-0] ap-name area_1 
Warning: This operation may cause AP reset. Continue? [Y/N]:y   
[AC-wlan-ap-0] ap-group ap-group1 
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration s of the radio, Whether to continue? [Y/N]:y   
[AC-wlan-ap-0] quit
```

检查配置结果

# 执行命令display ap all查看到AP状态，当“State”字段为“nor”时，表示AP正常上线。

[AC-wlan-view] display ap all
Total AP information:nor  : normal          [1]
Extra information:
P  : insufficient power supply
--------------------------------------------------------------------------------------------------
ID   MAC            Name   Group     IP            Type            State STA Uptime      ExtraInfo
--------------------------------------------------------------------------------------------------
0    60de-4476-e360 area_1 ap-group1 10.23.10.254  AP5030DN        nor   0   10S         -
--------------------------------------------------------------------------------------------------
Total: 1

通过DHCP方式配置AP上线

组网需求

如图1-10所示，AC和AP之间为三层组网，AC作为DHCP服务器为AP分配IP地址。

图1-10 配置AP DHCP方式上线组网图

操作步骤

配置周边设备

# 配置交换机Switch的GE0/0/1和GE0/0/2接口加入VLAN100，接口GE0/0/1的缺省VLAN为VLAN100。

<HUAWEI> system-view 
[HUAWEI] sysname Switch 
[Switch] vlan batch 100 
[Switch] interface gigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] port link-type trunk 
[Switch-GigabitEthernet0/0/1] port trunk pvid vlan 100 
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 
[Switch-GigabitEthernet0/0/1] port-isolate enable 
[Switch-GigabitEthernet0/0/1] quit 
[Switch] interface gigabitethernet 0/0/2 
[Switch-GigabitEthernet0/0/2] port link-type trunk 
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 
[Switch-GigabitEthernet0/0/2] quit

配置AC与其它网络设备互通

如果AC直接连接AP，需要在AC直连AP的接口上配置缺省VLAN为管理VLAN100。

# 配置AC的接口GE0/0/1加入VLAN100，创建接口VLANIF100，接口地址为10.23.100.1/24。

<HUAWEI> system-view 
[HUAWEI] sysname AC 
[AC] vlan batch 100 
[AC] interface gigabitethernet 0/0/1 
[AC-GigabitEthernet0/0/1] port link-type trunk 
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 
[AC-GigabitEthernet0/0/1] quit 
[AC] interface vlanif 100 
[AC-Vlanif100] ip address 10.23.100.1 24 
[AC-Vlanif100] quit

配置DHCP服务器为AP分配IP地址

以AC作为AP的DHCP服务器为例。AC作为DHCP服务器为AP分配IP地址有两种配置方式：

基于全局地址池：在DHCP服务器的系统视图下创建IP地址池，在接口视图下配置服务器采用全局地址池来为客户端分配IP地址、网关、DNS服务器地址等信息。
基于接口地址池：在DHCP服务器的接口视图下配置服务器采用接口地址池来为客户端分配IP地址、网关、DNS服务器地址等信息。

两者的差异在于全局地址池方式支持DHCP中继场景，接口地址池方式则不支持DHCP中继场景。

基于全局地址池的DHCP服务器的配置示例如下：

在AC上创建全局地址池为AP提供地址。

<AC> system-view
[AC] dhcp enable  //全局模式下开启DHCP功能
[AC] ip pool huawei  //创建全局地址池
[AC-ip-pool-huawei] network 10.23.10.0 mask 24  //配置全局地址池下可分配的网段地址
[AC-ip-pool-huawei] gateway-list 10.23.10.1  //为AP配置网关地址
[AC-ip-pool-huawei] option 43 sub-option 2 ip-address 10.23.100.1  //配置option 43，为AP指定AC的IP地址
[AC-ip-pool-huawei] quit
[AC] interface vlanif 100
[AC-Vlanif100] dhcp select global  //开启接口采用全局地址池的DHCP Server功能
[AC-Vlanif100] quit

在Switch上配置DHCP中继，代理AC分配IP地址。

<Switch> system-view
[Switch] dhcp enable  //开启DHCP功能
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.23.10.1 24
[Switch-Vlanif10] dhcp select relay  //开启DHCP中继功能
[Switch-Vlanif10] dhcp relay server-ip 10.23.100.1  //配置DHCP中继所代理的DHCP服务器的IP地址
[Switch-Vlanif10] quit

基于接口地址池的DHCP服务器的配置示例如下：

开启DHCP功能。
```
<AC> system-view 
[AC] dhcp enable
```

使能接口VLANIF100接口采用接口地址池的DHCP服务器功能。

[AC] interface vlanif 100
[AC-Vlanif10] ip address 10.23.100.1 255.255.255.0 //配置接口IP地址
[AC-Vlanif10] dhcp select interface //配置基于接口地址池的DHCP服务器功能
[AC-Vlanif10] quit

配置AP上线

创建AP组，用于将相同配置的AP都加入同一个AP组中。

[AC] wlan 
[AC-wlan-view] ap-group name ap-group1 
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit

配置AC的源接口。
```
[AC] capwap source interface vlanif 100
```
在AC上添加AP。
添加AP有三种方式：离线导入AP、自动发现AP以及手工确认未认证列表中的AP。
- 离线导入AP：预先配置AP的MAC地址和SN，当AP与AC连接时，如果AC发现AP和预先增加的AP的MAC地址和SN匹配，则AC开始与AP建立连接。
```
<AC> system-view
[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth  //配置认证模式为MAC认证
[AC-wlan-view] ap-id 1 type-id 115 ap-mac 0025-9e07-8270  //离线添加AP
```
- 自动发现AP：当配置AP的认证模式为不认证或配置AP的认证模式为MAC或SN认证且将AP加入AP白名单中，则当AP与AC连接时，AP将被AC自动发现并正常上线。
  - 配置AP的认证模式为不认证
```
<AC> system-view
[AC] wlan
[AC-wlan-view] ap auth-mode no-auth
```
  - 配置AP的认证模式为MAC认证且将AP加入AP白名单中
```
<AC> system-view
[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth  //配置认证模式为MAC认证
[AC-wlan-view] ap whitelist mac 0025-9e07-8270  //将AP添加到白名单中
```
  - 配置AP的认证模式为SN认证且将AP加入AP白名单中
```
<AC> system-view
[AC] wlan
[AC-wlan-view] ap auth-mode sn-auth  //配置认证模式为SN认证
[AC-wlan-view] ap whitelist sn 08PE56430071  //将AP添加到白名单中
```
- 手工确认未认证列表中的AP：当配置AP的认证模式为MAC或SN认证但AP没有离线导入且不在已设置的AP白名单中，则该AP会被记录到未授权的AP列表中。需要用户手工确认后，此AP才能正常上线。
```
<AC> system-view
[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth  //配置认证模式为MAC认证
[AC-wlan-view] display ap unauthorized record
[AC-wlan-view] ap-confirm mac 0025-9e07-8270  //手工确认认证未通过的AP，允许其上线
```

检查配置结果

# 执行命令display ap all查看到AP状态，当“State”字段为“nor”时，表示AP正常上线。

[AC-wlan-view] display ap all
Total AP information:nor  : normal          [1]
Extra information:
P  : insufficient power supply
--------------------------------------------------------------------------------------------------
ID   MAC            Name   Group     IP            Type            State STA Uptime      ExtraInfo
--------------------------------------------------------------------------------------------------
0    60de-4476-e360 area_1 ap-group1 10.23.10.254  AP5030DN        nor   0   10S         -
--------------------------------------------------------------------------------------------------
Total: 1

AP上线失败常见原因及处理方法

AP上线失败定位常用定位思路

点击放大

查看AP信息

命令行：display ap { all | ap-group ap-group }

用途：主要用于查看AP的IP地址以及状态信息，重点关注AP是否正常获取到IP地址，AP状态是否正常。

AP的状态如表1-1所示。

表1-1 AP状态列表

AP状态	描述	处理建议
commit-failed（cmtfa）	AP上线后WLAN业务配置下发失败状态。 AP在AC上正常上线之后，在AC上对AP进行WLAN业务配置，如果AC和AP之间存在链路不通或者对端设备无回应等情况，AC下发WLAN业务配置给AP失败。	检查AC和AP之间网络状态。请参考AP和AC之间的网络不通进行处理。
committing（cmt）	AP上线后WLAN业务配置正在下发状态。 AP在AC上正常上线之后，在AC上对AP进行WLAN业务配置，AC给AP下发这些配置的过程就是committing状态。	正常过程状态，无需关注。
config（cfg）	AP上线过程中WLAN业务配置正在下发状态。当AP和AC建链成功后，在AC下发业务配置给AP的阶段，AP的状态为config。	正常过程状态，无需关注。
config-failed（cfgfa）	AP上线过程中的WLAN业务配置下发失败状态。当AP和AC建链成功后，AC下发业务配置给AP，如果存在链路不通等原因，下发失败，AP的状态为config-failed。	AC下发初始化配置失败，请参考AP初始化配置失败进行处理。
download（dload）	AP正在升级状态。 AP执行升级操作时，会切换到download状态。	AP升级状态，请确认AP升级结束后，再次查看AP状态。如果升级失败，请参考AP在线升级失败进行处理。
fault	AP上线失败状态。	请参考查看AP上线失败的原因查看AP上线失败的具体原因。
idle	AP和AC建链前的初始状态。	idle状态可能的原因以及对应的处理手段如下：如果AP从未和当前AC建立过CAPWAP链路，当首次建立链路前AP处于idle状态，此时为正常过程状态，无需关注。 AC上未配置CAPWAP源接口或源地址，请参考AC上未配置CAPWAP源接口或源地址进行处理。离线添加AP时配置的MAC或SN与真实AP不一致，此时请参考AC上配置的AP MAC和AP SN与实际AP不一致进行处理。 License资源不足导致AC无法管理AP，此时请参考AP连接数超过AC最大能接入的AP数进行处理。
name-conflicted（namec）	AP名称重名冲突状态。 AP的名称和已在AC上上线的AP名称冲突	执行命令ap-rename ap-id ap-id new-name ap-new-name更改AP名称。
normal（nor）	AP正常状态。 AP在AC上成功上线。	正常过程状态，无需关注。
standby（stdby）	AP在备AC上的正常状态。在双机热备份、双链路冷备份和N+1备份场景下，主备AC链路建立正常，AP正常上线之后在备AC上的状态是standby状态，在主AC上是normal状态。	正常过程状态，无需关注。
ver-mismatch（vmiss）	AC和AP的版本不匹配状态。	请参考AC和AP之间版本不匹配进行处理。
countryCode-mismatch（cmiss）	AC和AP的国家码不匹配状态。 AP不支持AC上配置的国家码。	AP不支持该国家码，请升级AP或者修改AC的国家码配置。
type-mismatch（tmiss）	AP类型不匹配状态。配置的AP类型和实际不匹配。	请修改AP类型配置。
unauth	AP未通过认证的状态。	可使用命令display ap unauthorized record查询未通过认证的AP。执行命令ap-confirm，确认认证未通过的AP，可允许其上线。

查看AP上线失败的原因

命令行：display ap online-fail record

用途：主要用于查看AP上线失败的原因，然后可以根据具体原因采取相应的措施。

AP上线失败原因（仅列举部分上线失败原因）如表1-2所示。

表1-2 AP上线失败原因列表

AP上线失败原因	解释	处理建议
Insufficient license resources.	License资源不足。	请参考AP连接数超过AC最大能接入的AP数进行处理。
The AP is not in the SN whitelist.	AP不在SN白名单中。	请执行命令ap whitelist sn ap-sn1 [ to ap-sn2 ]添加AP到白名单，或者执行命令ap-confirm对此AP执行通过认证操作。
The AP is not in the MAC whitelist.	AP不在MAC白名单中。	请执行命令ap whitelist mac ap-mac1 [ to ap-mac2 ]添加AP到白名单，或者执行命令ap-confirm对此AP执行通过认证操作。
The AP is added to the AP blacklist.	AP被添加到黑名单中。	请参考AP被加入到黑名单进行处理。
The MAC address and SN of the AP do not match.	AP的MAC和SN不匹配。	请参考AC上配置的AP MAC和AP SN与实际AP不一致进行处理。
DTLS negotiation for CAPWAP tunnel setup fails.	CAPWAP链路的DTLS协商失败。	请参考DTLS协商失败进行处理。
DTLS negotiation failed, because of negotiation timeout or inconsistent PSKs on two ends.	DTLS协商失败，协商超时或者密钥不一致。	请参考DTLS协商失败进行处理。
CAPWAP tunnel negotiation fails.	CAPWAP建链协商失败。	请参考AP和AC之间的网络不通进行处理。
APs cannot go online during data backup.	数据备份期间暂停支持AP上线。	请等待备份结束。
The upgrade fails.	升级失败。	请参考AP在线升级失败进行处理。
The CAPWAP tunnel fails to be established.	CAPWAP建链失败。	请参考AP和AC之间的网络不通进行处理。
The configuration fails to be delivered.	配置下发失败。	设备会尝试重新下发配置，若持续失败请参考AP和AC之间的网络不通进行处理。
The versions of the AP and AC do not match.	AP版本与AC版本不匹配。	请参考AC和AP之间版本不匹配进行处理。
The AC does not support the AP type.	AC不支持此AP类型。	请更换AP为AC支持的类型，或更换AC版本为支持此AP的版本。
Unsupported AP type, AC version may need to be upgraded.	AC不支持此AP类型。	请更换AP为AC支持的类型，或更换AC版本为支持此AP的版本。
The AP name conflicts.	AP名称冲突。	请通过命令ap-rename修改AP名称。
The number of central APs reaches the upper limit.	中心AP数达到最大规格。	请参考AP连接数超过AC最大能接入的AP数进行处理。
The number of common APs reaches the upper limit.	普通AP数达到最大规格。	请参考AP连接数超过AC最大能接入的AP数进行处理。
The CAPWAP sensitive-info PSK is different on the two ends of the CAPWAP tunnel.	CAPWAP链路两端敏感信息加密预共享密钥不匹配。	请参考DTLS协商失败进行处理。
The CAPWAP integrity-check PSK is different on the two ends of the CAPWAP tunnel.	CAPWAP链路两端报文完整性校验预共享密钥不匹配。	请参考DTLS协商失败进行处理。
The AC license is not active.	AC license没有激活。	请激活AC license。
Too many APs go online concurrently, leading to a failure to create sufficient DBSS interfaces.	并发上线AP数过多，DBSS口还没有及时创建完成。	无需处理，AP会尝试重新上线。
The country codes of the AP and AC are inconsistent, and the country code of the AP is locked.	AP的国家码和AC下发的不一致，AP国家码已锁定。	部分AP款型的国家码不可修改，例如后缀是-US的AP款型，仅在美国使用，国家码固定为美国。在AC上配置国家码，应和AP的国家码保持一致。
Reset for the AC mode switching.	AC模式切换。	无需处理。

全流程跟踪

命令行：trace enable brief和trace object mac-address ap-mac-address

用途：对AP进行业务流程诊断，重点关注打印信息中是否存在异常情况。

正常的AP上线全流程如下所示，包含了获取IP地址、Discovery、Join、配置下发以及配置更新等各个阶段。如果AP上线失败，可以通过全流程跟踪方式进行定位，通过将打印信息和正常流程进行对比，来观察AP是在哪个阶段出现的问题，然后有针对地进行故障处理。

[AC] trace enable brief
[AC] trace object mac-address acf9-703e-90a0
[BTRACE][2020/03/12 15:36:01][768][DHCPPRO][acf9-703e-90a0]:Receive DHCP DISCOVER message.orgif:GE0/0/3 srcif:Vlanif400 L3if:Vlanif400 DstIf:GE0/0/3 srcmac:acf9-703e-90a0 dstmac:ffff-ffff-ffff vsi:- vlan:400/0 srcip:0.0.0.0 dstip:255.255.255.255 VPN:- src-port:68 dst-port:67 msgtype:BOOT-REQUEST dhcp msgtype:DHCP DISCOVER bflag:uc chaddr:acf9-703e-90a0 ciaddr:0.0.0.0 reqip:0.0.0.0 giaddr:0.0.0.0 serverid:0.0.0.0 yiaddr:0.0.0.0 xid:0x166d4ae3
[BTRACE][2020/03/12 15:36:01][768][DHCPS][acf9-703e-90a0]:DHCP Server is enable.(interface:Vlanif400).
[BTRACE][2020/03/12 15:36:01][768][DHCPS][acf9-703e-90a0]:Gateway=192.168.1.1, mask=255.255.255.0.
[BTRACE][2020/03/12 15:36:01][768][DHCPS][acf9-703e-90a0]:Get pool Vlanif400 by gateway 192.168.1.1 and vrf 0.
[BTRACE][2020/03/12 15:36:01][768][DHCPS][acf9-703e-90a0]:New session hash node(mac:acf9-703e-90a0 Xid=376261347)
[BTRACE][2020/03/12 15:36:01][768][DHCPS][acf9-703e-90a0]:Discover session create(Xid=376261347 mac:acf9-703e-90a0)
[BTRACE][2020/03/12 15:36:01][768][DHCPS][acf9-703e-90a0]:Get pool Vlanif400 by gateway 192.168.1.1 and vrf 0.
[BTRACE][2020/03/12 15:36:01][768][DHCPS][acf9-703e-90a0]:Proc Request IP ACK.(MsgType = 773, MsgType = 1, usPool = 0, ERRcode = 10, IPAlloc = 192.168.1.176, SessionStatus = 0)
[BTRACE][2020/03/12 15:36:01][768][DHCPS][acf9-703e-90a0]:Send DHCP OFFER packet.(Chaddr=acf9-703e-90a0, Offer IP=192.168.1.176).
[BTRACE][2020/03/12 15:36:01][768][DHCPPRO][acf9-703e-90a0]:Receive DHCP OFFER message.orgif: srcif: L3if: DstIf:GE0/0/3 srcmac:084f-0a6d-0df2 dstmac:acf9-703e-90a0 vsi:- vlan:400/0 srcip:192.168.1.1 dstip:192.168.1.176 VPN:- src-port:67 dst-port:68 msgtype:BOOT-REPLY dhcp msgtype:DHCP OFFER bflag:uc chaddr:acf9-703e-90a0 ciaddr:0.0.0.0 reqip:0.0.0.0 giaddr:0.0.0.0 serverid:192.168.1.1 yiaddr:192.168.1.176 xid:0x166d4ae3
[BTRACE][2020/03/12 15:36:01][768][DHCPPRO][acf9-703e-90a0]:Receive DHCP REQUEST message.orgif:GE0/0/3 srcif:Vlanif400 L3if:Vlanif400 DstIf:GE0/0/3 srcmac:acf9-703e-90a0 dstmac:ffff-ffff-ffff vsi:- vlan:400/0 srcip:0.0.0.0 dstip:255.255.255.255 VPN:- src-port:68 dst-port:67 msgtype:BOOT-REQUEST dhcp msgtype:DHCP REQUEST bflag:uc chaddr:acf9-703e-90a0 ciaddr:0.0.0.0 reqip:192.168.1.176 giaddr:0.0.0.0
[BTRACE][2020/03/12 15:36:01][768][DHCPS][acf9-703e-90a0]:Send DHCP ACK packet.(Chaddr=acf9-703e-90a0, Offer IP=192.168.1.176).
[BTRACE][2020/03/12 15:36:01][768][DHCPPRO][acf9-703e-90a0]:Receive DHCP ACK message.orgif: srcif: L3if: DstIf:GE0/0/3 srcmac:084f-0a6d-0df2 dstmac:acf9-703e-90a0 vsi:- vlan:400/0 srcip:192.168.1.1 dstip:192.168.1.176 VPN:- src-port:67 dst-port:68 msgtype:BOOT-REPLY dhcp msgtype:DHCP ACK bflag:uc chaddr:acf9-703e-90a0 ciaddr:0.0.0.0 reqip:0.0.0.0 giaddr:0.0.0.0 serverid:192.168.1.1 yiaddr:192.168.1.176 xid:0x166d4ae3
[BTRACE][2020/03/12 15:36:12][256][WLAN_AC][acf9-703e-90a0]:[Process:1][CAPWAP] Process discovery request message.
[BTRACE][2020/03/12 15:36:12][256][WLAN_AC][acf9-703e-90a0]:[Process:1][CAPWAP] Send discovery response successfully. MAC: acf9-703e-90a0
[BTRACE][2020/03/12 15:36:17][512][WLAN_AC][acf9-703e-90a0]:[Process:2][CAPWAP] Create Link Success, Link[3] Sip[192.168.1.176] SrcUdpPort[58138] Vpn[-1].
[BTRACE][2020/03/12 15:36:17][512][WLAN_AC][acf9-703e-90a0]:[Process:2][CAPWAP] Process join request message. MAC: acf9-703e-90a0
[BTRACE][2020/03/12 15:36:17][512][WLAN_AC][acf9-703e-90a0]:[Process:2][CAPWAP] Send join response successfully. MAC: acf9-703e-90a0
[BTRACE][2020/03/12 15:36:17][512][WLAN_AC][acf9-703e-90a0]:[Process:2][CAPWAP] Process config status request message. MAC: acf9-703e-90a0
[BTRACE][2020/03/12 15:36:17][512][WLAN_AC][acf9-703e-90a0]:[Process:2][CAPWAP] Send configuation state response successfully. MAC: acf9-703e-90a0
[BTRACE][2020/03/12 15:36:17][512][WLAN_AC][acf9-703e-90a0]:[Process:2][CAPWAP] Process change state event request message and status id CONFIGURE. MAC: acf9-703e-90a0
[BTRACE][2020/03/12 15:36:17][512][WLAN_AC][acf9-703e-90a0]:[Process:2][CAPWAP] Send change state event response successfully. MAC: acf9-703e-90a0
[BTRACE][2020/03/12 15:36:17][512][WLAN_AC][acf9-703e-90a0]:[Process:2][CAPWAP] FSM DataLinkEnterinRun, Dlink[3] CLink[3] Mac[acf9-703e-90a0] DevId[1]
[BTRACE][2020/03/12 15:36:17][512][WLAN_AC][acf9-703e-90a0]:[Process:2][CAPWAP] CtrlLink[3] enterin run. MAC: acf9-703e-90a0
[BTRACE][2020/03/12 15:36:18][512][WLAN_AC][acf9-703e-90a0]:[WDEV] AP:1 CONFIG phase-0 Func-0xacb8accc TimeOut-300000 IsDAp-0 Ret-0x0 IsNeedCfg-0
[BTRACE][2020/03/12 15:36:18][512][WLAN_AC][acf9-703e-90a0]:[WDEV] AP:1 CONFIG notify next phase result-0x0
[BTRACE][2020/03/12 15:36:18][512][WLAN_AC][acf9-703e-90a0]:[WDEV] AP:1 CONFIG phase-1 Func-0xabf7f150 TimeOut-300000 IsDAp-0 Ret-0x0 IsNeedCfg-1
[BTRACE][2020/03/12 15:36:18][512][WLAN_AC][acf9-703e-90a0]:[WDEV] AP:1 CONFIG phase-2 Func-0xac0d570c TimeOut-300000 IsDAp-0 Ret-0x0 IsNeedCfg-1
[BTRACE][2020/03/12 15:36:18][512][WLAN_AC][acf9-703e-90a0]:[WDEV] AP:1 CONFIG pass phase3 Ret 0x0
[BTRACE][2020/03/12 15:36:18][512][WLAN_AC][acf9-703e-90a0]:[WDEV] AP:1 CONFIG phase-4 Func-0xabc66570 TimeOut-300000 IsDAp-0 Ret-0x0 IsNeedCfg-1
[BTRACE][2020/03/12 15:36:18][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] receive commit start response, begin to config ap tree.
[BTRACE][2020/03/12 15:36:18][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] SET AP object 0x0001ffff ac Ret 0x0 CfgFlag 1
[BTRACE][2020/03/12 15:36:18][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] SET Radio object 0x000100ff ac Ret 0x0 CfgFlag 1
[BTRACE][2020/03/12 15:36:18][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] SET Radio object 0x000101ff ac Ret 0x0 CfgFlag 1
[BTRACE][2020/03/12 15:36:18][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] SET AP object 0x0001ffff ap ret ok ProcRet 0
[BTRACE][2020/03/12 15:36:19][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] SET Radio object 0x000100ff ap ret ok ProcRet 0
[BTRACE][2020/03/12 15:36:19][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] SET Radio object 0x000101ff ap ret ok ProcRet 0
[BTRACE][2020/03/12 15:36:19][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] WMP cfg success over
[BTRACE][2020/03/12 15:36:19][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] pdt-cfg-phase-0 Func-0xabc5c168 Ret 0x0 TimeOut 60000
[BTRACE][2020/03/12 15:36:19][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP:1 cmt result 0 [Cur 0 - Notify 0]
[BTRACE][2020/03/12 15:36:19][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] pdt phase-0 notify cmt success
[BTRACE][2020/03/12 15:36:19][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] pdt-cfg-phase-1 Func-0xabc5c1b0 Ret 0x0 TimeOut 30000
[BTRACE][2020/03/12 15:36:19][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP:1 cmt result 0 [Cur 0 - Notify 0]
[BTRACE][2020/03/12 15:36:19][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] pdt phase-1 notify cmt success
[BTRACE][2020/03/12 15:36:19][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] pdt commit over
[BTRACE][2020/03/12 15:36:19][512][WLAN_AC][acf9-703e-90a0]:[Process:2]RTRecePktProc Link[3]Type[0]Msg[514828]Que[1]SN[50]Len[4]Ret[0]Mac[acf9-703e-90a0]
[BTRACE][2020/03/12 15:36:19][512][WLAN_AC][acf9-703e-90a0]:[WCFG] AP[1] receive commit-end response

AP启动不正常

常见原因

供电方不支持PoE功能或故障。
供电方不支持设备所需的供电模式。
供电方输出电源功率不足。
供电方配置错误（禁用PoE功能，或PoE下电时间段设置不合理）。
线路故障（网线或电源线损坏或未插牢）。
AP设备故障。

故障处理步骤

观察AP的电源指示灯、网线指示灯是否正常闪烁。指示灯说明请参见《WLAN硬件安装与维护指南》。

如果不正常，请参考如下步骤进行处理：

如果AP采用PoE方式供电，检查供电方是否支持PoE功能、是否存在故障。
检查供电方输出电源模式是否和设备支持的受电模式一致。
检查供电方输出功率是否能支撑设备最大功耗。
检查供电方是否存在引起PoE供电异常的配置问题，如未使能、下电时间段设置不当等。
检查电源线、网线连接是否正常。可以尝试更换优质、8芯全通的网线进行测试。
确认完以上步骤后，如果AP仍然不能正常上电，则有很大可能是AP本身有故障，请联系技术支持人员或您购买设备的代理商，更换新的AP。

AP和AC之间的网络不通

AP和AC之间的网络不通会导致AP和AC之间无法正常收发报文，导致AP无法在AC上线。

参照如下步骤检查AP与AC间的网络是否通畅：

在AC和AP上分别执行ping命令，查看能否相互ping通。
- 如果无法ping通，请检查IP地址是否过期，中间网络设备的链路是否良好，同时检查链路相关配置。
- 如果出现ping时延过大或丢包的情况，请检查中间网络是否出现环路（可通过各端口的统计信息进行判断）。
- 如果ping包不丢包，延时正常，执行下一步检查。
开局场景，AP不能上线一般是由于AC和中间网络设备上的配置不正确导致。
请参考下述经验：
- WLAN业务配置时，一般是一个管理VLAN，一个或多个业务VLAN。
- AP自身发出的报文（包括AP DHCP获取地址及与AC交互的CAPWAP控制报文）默认是不带VLAN tag信息的，一般需要在与AP直接相连的交换机接口上为AP发出的报文打上管理VLAN的tag，然后通过网络中VLAN和路由的控制，使报文到达DHCP服务器或者AC等网络设备。
- 直接转发时，需保证AP上行接口一直到用户的网关都要通行业务VLAN，接口一般可以配置为hybrid或者trunk，不能配置为access，同时允许管理VLAN和业务VLAN通行。直接转发时，直连AP的交换机必须能配置VLAN，不能使用不支持配置VLAN的交换机直连AP。
  例如管理VLAN为VLAN 10，业务VLAN为VLAN 20，以配置直连AP的交换机接口为例：
```
<Switch> system-view
[Switch] interface gigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk pvid vlan 10
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20
```
  或者
```
<Switch> system-view
[Switch] interface gigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type hybrid
[Switch-GigabitEthernet0/0/1] port hybrid pvid vlan 10
[Switch-GigabitEthernet0/0/1] port hybrid untagged vlan 10
[Switch-GigabitEthernet0/0/1] port hybrid tagged vlan 20
```
- 隧道转发时，由于业务报文被封装在CAPWAP报文中，对外不感知，AP上行接口仅允许管理VLAN通行，此时接口可以设置为access、trunk或hybrid。
  例如管理VLAN为VLAN 10，业务VLAN为VLAN 20，以配置直连AP的交换机接口为例：
```
<Switch> system-view
[Switch] interface gigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default-vlan 10
```
  或
```
<Switch> system-view
[Switch] interface gigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk pvid vlan 10
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
```
  或
```
<Switch> system-view
[Switch] interface gigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type hybrid
[Switch-GigabitEthernet0/0/1] port hybrid pvid vlan 10
[Switch-GigabitEthernet0/0/1] port hybrid untagged vlan 10
```
- 配置WDS时，在更改AP的网桥模式（root、middle、leaf）后需要重启AP才会生效，否则容易造成AP无法注册的问题。
- 检查交换机和AP之间是否是通过eth-trunk方式连接。
  - 对于V200R008及之前版本，需要先配置eth-trunk再连接物理连线，否则可能会在网络中形成环路，导致AP无法上线。
  - 对于V200R009及之后版本，可以先连接物理连线再配置eth-trunk。

检查AP是否配置了Management VLAN

登录到AP，执行命令display system-information查看当前AP上是否有生效的Management VLAN。

<AP> display system-information 
System Information                             
===============================================
......
System Name              : AP
Country Code             : CN                  
MAC Address              : 10:47:80:af:fb:c0   
Radio 0 MAC Address      : 10:47:80:af:fb:c0   
Radio 1 MAC Address      : 10:47:80:af:fb:d0   
IP Address               : 10.1.15.254         
Subnet Mask              : 255.255.240.0       
Default Gateway          : 0.0.0.0             
IPv6 IP Address          :                     
IPv6 Default Gateway     :                     
Management VLAN ID(AP)   : 1219
IP MODE                  : static              
......            
===============================================

如果Management VLAN是误配置，可以在AP系统视图下执行命令undo management-vlan删除管理VLAN，并重启AP。

如果需要配置Management VLAN，则需要检查中间网络，查看是否已将管理VLAN放通，要确保AC和AP之间能相互ping通。

如果由于误配置的Management VLAN导致AP一直无法上线，可先尝试将接入交换机上端口上的VLAN标签去掉，待AP上线后再恢复配置。

AP静态地址配置错误

常见原因

AP配置的静态IP地址不唯一，与网络中其他设备的IP地址存在冲突。
二层组网规划下，AP配置的静态IP地址和AC不在一个网段。
三层组网规划下，未配置AP路由的出口网关。
AP未重启，导致配置的静态IP地址未生效。

故障处理步骤

AP获取到IP地址，是AP与AC建立CAPWAP隧道的前提条件之一。如果AP配置静态IP地址后上线失败，请参考如下步骤进行排查：

登录到AP，执行命令display ap-address-info查看当前AP的IP地址信息。

<AP> display ap-address-info
==============================================================
Active AP Address Info
  AP Mode     : static  //AP上线方式为静态IP上线
  Ip Address  : 10.1.1.100  //AP的静态IP地址 
  Ip Version  : 4
  Mask        : 255.255.255.0  //AP的IP地址子网掩码 
  Gateway     : 10.1.1.1  //AP的网关 
  AC 0 ip     : 10.1.2.111  //AC的IP地址 
  AC 1 ip     : -
  AC 2 ip     : -
  AC 3 ip     : -
--------------------------------------------------------------
......

检查生效的静态IP地址信息是否正确，包括AP IP的唯一性、IP网关、AC IP等。
- 配置的AP的IP地址不能与网络中其他网络设备的IP地址存在冲突，要确保IP的唯一性。
- 如果AP和AC之间规划的是二层组网，则AP上配置的静态IP地址需要与AC的IP地址在同一网段。
- 如果AP和AC之间规划的是三层组网，则必须要配置AP路由的出口网关，使得AP的IP地址与AP上线的AC源地址路由可达。
如果IP地址配置错误，请参照如下方式中的一种进行处理。
- 在系统视图下执行命令ap-address mode dhcp将AP IP地址更改为DHCP动态获取方式，然后重启AP生效。
```
[AP] ap-address mode dhcp                          
Info: The configuration takes effect after the AP is restarted.
```
- 在系统视图下执行命令ap-address static ip-address ip-address subnet-mask更改AP的静态IP地址，然后重启AP生效。
```
[AP] ap-address static ip-address 10.1.2.253 255.255.255.0
Info: The configuration takes effect after the AP is restarted.
```

AP未分配到IP地址

常见原因

DHCP服务器和AP之间网络不通，如VLAN未创建或未放通等。
DHCP配置不正确。
未配置DHCP地址池或DHCP地址池中空闲地址不足。

故障处理步骤

# 在DHCP服务器上通过相关命令查看该AP是否分配到IP地址。以AC作为DHCP 服务器为例。

检查AP和AC之间链路是否正常，排查方法请参见AP和AC之间的网络不通。
对于有DHCP中继的场景，请以DHCP服务器的IP地址为源IP地址，DHCP中继的IP地址作为目的IP地址，执行Ping操作。如果Ping不通说明路由设置存在问题，排查路由配置。

执行命令display ip pool { interface interface-pool-name | name ip-pool-name } used，查看已分配的IP地址情况，通过MAC地址对比检查AP是否已经获取到地址。同时查看当前地址池中空闲地址是否充足。

[AC] display ip pool interface Vlanif1219 used
  Pool-name      : Vlanif1219
  Pool-No        : 4 
  Lease          : 1 Days 0 Hours 0 Minutes
  Domain-name    : -
  DNS-server0    : -
  NBNS-server0   : -
  Netbios-type   : -
  Position       : Interface       Status           : Unlocked
  Gateway-0      : 10.1.1.2
  Network        : 10.1.0.0
  Mask           : 255.255.240.0
  VPN instance   : --
  Conflicted address recycle interval: -

 -----------------------------------------------------------------------------
         Start           End     Total  Used  Idle(Expired)  Conflict  Disable
 -----------------------------------------------------------------------------
        10.1.0.1     10.1.15.254  4093     4       4084(0)         5        0
 -----------------------------------------------------------------------------
 
  Network section :
  -----------------------------------------------------------------------
  Index              IP               MAC      Lease   Status
  -----------------------------------------------------------------------
   4085     10.1.15.246    dcd2-fc9a-c800       7375   Used
   4086     10.1.15.247    1047-80af-fbc0       7369   Used
   4087     10.1.15.248    dcd2-fcf4-6420       7929   Used
   4090     10.1.15.251    dcd2-fc22-d880       9368   Used
  -----------------------------------------------------------------------

如果DHCP服务器上地址池资源不足，则可以通过增加IP地址数量或减小IP地址租期的方式来解决。

通过输入命令display arp查看所有的ARP映射表项，通过MAC地址对比看AP是否已经获取到地址，并ping该地址进行测试。

[AC] display arp
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE
                                          VLAN/CEVLAN PVC
------------------------------------------------------------------------------
......
10.1.1.2        0200-0000-0017            I -         Vlanif1219
10.1.15.251     dcd2-fc22-d880  2         D-0         GE0/0/1
                                          1219/-
10.1.15.247     1047-80af-fbc0  16        D-0         GE0/0/1
                                          1219/-
10.1.15.246     dcd2-fc9a-c800  15        D-0         GE0/0/1
                                          1219/-
10.1.15.248     dcd2-fcf4-6420  6         D-0         GE0/0/1
                                          1219/-
10.1.1.219      4c1f-cc6b-c248  16        D-0         GE0/0/1

用ping测试该MAC对应的IP地址。如果能够ping通说明AP已经获取到了地址；如果ping不通，说明AP获取的地址已经过期或没有获取到地址。

[AC] ping 10.1.15.251
  PING 10.1.15.251: 56  data bytes, press CTRL_C to break
    Reply from 10.1.15.251: bytes=56 Sequence=1 ttl=255 time=1 ms
    Reply from 10.1.15.251: bytes=56 Sequence=2 ttl=255 time=1 ms
    Reply from 10.1.15.251: bytes=56 Sequence=3 ttl=255 time=1 ms
    Reply from 10.1.15.251: bytes=56 Sequence=4 ttl=255 time=1 ms
    Reply from 10.1.15.251: bytes=56 Sequence=5 ttl=255 time=1 ms

  --- 10.1.15.251 ping statistics ---
    5 packet(s) transmitted 
    5 packet(s) received
    0.00% packet loss 
    round-trip min/avg/max = 1/1/1 ms

检查DHCP配置是否正确。正确的DHCP配置方法请参见配置通过DHCP方式给AP分配IP地址。

未指定AC的IP地址或指定的AC IP地址错误

常见原因

AC与AP之间配置为三层组网，但是AP未指定AC的IP地址
AC VRRP组网场景下，AP未指定的AC的虚地址

故障处理步骤

检查AP上是否正确指定了AC的IP地址。
如果AP和AC之间是二层组网，可以不需要指定AC的IP地址，AP可以通过广播方式发现AC；如果AP和AC之间是三层组网，则必须指定AC的IP地址，否则AP无法通过广播方式发现AC。
- 静态IP地址方式上线
  如果当前配置了AP上线方式为静态IP地址上线方式，那么需要进行如下排查步骤：
  1. 登录到AP，执行命令display ap-address-info查看当前AP生效的静态IP地址信息是否正确，检查包括AP IP的唯一性、IP网关、AC IP等。
    <AP> display ap-address-info ============================================================== Active AP Address Info AP Mode : static //AP上线方式为静态IP上线 Ip Address : 20.1.1.100 //AP的静态IP地址 Ip Version : 4 Mask : 255.255.255.0 //AP的IP地址子网掩码 Gateway : 20.1.1.1 //AP的网关 AC 0 ip : 10.1.1.111 //AC的IP地址 AC 1 ip : - AC 2 ip : - AC 3 ip : - --------------------------------------------------------------.
  2. 如果未指定AC的IP地址或者指定的IP地址错误，请参照如下方式中的一种进行处理。
    在系统视图下执行命令ap-address static ac-list ip-address &<1-4>给AP指定AC的IP地址，然后重启AP生效。
    [AP] ap-address static ac-list 10.23.200.1
- DHCP方式上线
  AP与AC三层组网的情况需检查地址池中是否配置了option43，建议使用option 43 sub-option 2 ip-address ip-address &<1-8>。VRRP热备场景，option43需要指定AC上capwap source配置的虚地址。
  - option 43 hex hex-string
  - option 43 sub-option 3 ascii ascii-string
  - option 43 sub-option 2 ip-address ip-address &<1-8>
  - option 43 sub-option 1 hex hex-string
  option 43 sub-option 3 ascii ascii-string、option 43 sub-option 2 ip-address ip-address &<1-8>和option 43 sub-option 1 hex hex-string三条命令中建议只选择使用一条命令进行配置，如果同时使用两条或三条命令进行配置，只有最后配置的一条命令会生效。
  配置示例如下：
  - 执行命令option 43 hex 031D3139322e3136382e3139342e35302c3139322e3136382e3139342e3534配置设备为AP指定AC的IP地址为192.168.194.50和192.168.194.54。其中，“03”为固定值；“1D”表示IP地址（192.168.194.50,192.168.194.54）的长度为29，长度包含“.”和“,”，多个IP地址用逗号“,”隔开；“3139322e3136382e3139342e3530”表示IP地址192.168.194.50的ASCII码值；“2C”表示逗号“,”的ASCII码值；“3139322e3136382e3139342e3534”表示IP地址192.168.194.54的ASCII码值。
  - 执行命令option 43 sub-option 1 hex C0A80001C0A80002配置设备为AP指定AC的IP地址为192.168.0.1和192.168.0.2。其中，“C0A80001”表示IP地址192.168.0.1的十六进制格式，“C0A80002”表示IP地址192.168.0.2的十六进制格式。
  - 执行命令option 43 sub-option 2 ip-address 192.168.0.1 192.168.0.2配置设备为AP指定AC的IP地址为192.168.0.1和192.168.0.2。
  - 执行命令option 43 sub-option 3 ascii 192.168.0.1,192.168.0.2配置设备为AP指定AC的IP地址为192.168.0.1和192.168.0.2。
AC VRRP组网场景下，检查指定的AC IP地址是否是VRRP虚地址。如果不是，则需要指定为VRRP虚地址。

AC上未配置CAPWAP源接口或源地址

每台AC都必须指定一个或两个IP地址、VLANIF接口或者Loopback接口，该AC管理的AP学习到此IP地址或者此接口下配置的IP地址，用于AC和AP间建立CAPWAP隧道通信。此IP地址或者接口称为源地址或源接口。

故障处理步骤

在AC上执行命令display capwap configuration，检查是否配置了CAPWAP源接口或源地址。

<AC> display capwap configuration
  ---------------------------------------------------------------
  Source interface IPv4                            : vlanif100
  Source interface IPv6                            : -
  Source IPv4 address                              : -
  Source IPv6 address                              : -
  ...
  ...

如果配置了源接口，还需要检查该接口下是否正确配置了IP地址。

<AC> system-view
[AC] interface vlanif 100
[AC] display this
#
interface Vlanif100
 ip address 10.100.1.2 255.255.255.0
#

如果既没有配置CAPWAP源接口，也没有配置CAPWAP源地址，则需要执行命令capwap source interface或capwap source { ip-address | ipv6-address }进行配置。
以配置CAPWAP源接口为例：
```
<AC> system-view 
[AC] interface vlanif 100 
[AC-Vlanif100] ip address 192.168.10.1 24 
[AC-Vlanif100] quit 
[AC] capwap source interface vlanif 100
```

AP不是FIT形态

常见原因

AP不支持FIT形态
AP被切换成FAT或云形态

故障处理步骤

确认AP形态，查看当前激活的版本是否是FIT AP。

# 登录AP，在诊断视图下执行命令display image查看当前激活的软件版本。

[AP-diagnose] display image 
ImageStatusVersion 
============================================================== 
Image A(Active)AP8030DNV200R006C10SPC300B031(FAT) 
Image B(Backup)AP8030DNV200R003C00SPCc00B100(FAT) 
==============================================================

如果AP当前是FAT或云形态，请参考AP模式切换将AP切换为FIT形态。

AP连接数超过AC最大能接入的AP数

常见原因

License资源不足
AP连接数超规格

故障处理步骤

AC能够接入AP的数目受以下因素限制：

License资源项：普通AP+中心AP的总数不超过License资源项数目，其中远端单元数量不占用License资源。
AC可管理AP的最大数：
- 普通AP+远端单元的总数不超过AC可管理普通AP+远端单元的最大数。
- 中心AP的总数不超过AC可管理中心AP的最大数。

执行命令display license resource usage查看License资源使用比例，如果当前资源使用达到License文件资源授权值，新添加的AP将无法上线。
```
<AC> display license resource usage
Activated License: flash:/LIC92680232*****_*****5396810CB000006.dat
FeatureName    | ConfigureItemName       | ResourceUsage
CRFEA1            LH85WLANAP01                0/256   
```
如果超过License文件资源授权值，则申请并加载新的License文件。
如果未超过License文件资源授权值，则执行命令display ap all查看当前状态为normal的AP数量是否超过AC支持的AP规格数。
各款型AP支持的AP规格请通过Info-Finder进行查询。

如果超规格，请根据AC可管理的AP最大数重新进行合理的网络规划。

DTLS协商失败

常见原因

AC和AP之间网络异常。
AC和AP的DTLS PSK密钥不一致。

故障处理步骤

AP和AC之间建立DTLS连接时，会进行DTLS协商，如果两端的预共享密钥不一致，则会导致DTLS协商失败。

检查AC和AP的共享密钥是否一致，如果不一致，请配置一致或者执行命令capwap dtls psk-mandatory-match enable，开启AP以默认PSK密钥与AC进行DTLS会话功能。
检查网络ping包是否正常，如果不正常说明DTLS协商时网络异常导致协商超时，请参考AP和AC之间的网络不通检查AC和AP之间的网络。

AC上配置的AP MAC和AP SN与实际AP不一致

常见原因

在离线添加AP时，添加的AP MAC和SN与之际AP不一致

故障处理步骤

在AC诊断视图下执行命令display wlan wdev ap-information ap-id ap-id 查看AP的MAC与SN信息。

[AC-diagnose] display wlan wdev ap-information ap-id 4
 Ap profile Info:
    aucName: dcd2-fc22-d880
    APID_AVL: 4
    APID: 4
    aucSn:  210235555310D1000067  //AC上配置的AP的SN 
    group name: default
    aucMac: dcd2-fc22-d860  //AC上配置的AP的MAC地址 
......

如果与真实AP的信息不一致，可在WLAN视图下先执行命令undo ap ap-id ap-id 将其删除，再执行命令ap-id ap-id ap-mac mac-address ap-sn ap-sn重新离线添加AP。
```
<AC> system-view
[AC] wlan 
[AC-wlan-view] undo ap ap-id 4 //删除AP 
[AC-wlan-view] ap-id 4 ap-mac dcd2-fc22-d880  //重新离线添加AP
```

AP被加入到黑名单

常见原因

AP被误添加到了黑名单中

故障处理步骤

如果AP的MAC地址在黑名单中存在，则此AP无法上线。若AP黑名单和AP白名单同时配置，会优先检查AP是否在黑名单中。

查看AP黑名单信息。

<AC> display ap blacklist
-----------------------------------
ID     MAC                         
-----------------------------------
0      0001-0002-0001
-----------------------------------
Total: 1

如果AP被误加入到黑名单中，需要在黑名单中删除该AP。

<AC> system-view
[AC] wlan
[AC-wlan-view] undo ap blacklist mac 0001-0002-0001

AC和AP之间版本不匹配

常见原因

AC不支持当前的AP款型
AP版本与AC版本不匹配。

故障处理步骤

AC和AP之间需要版本匹配，AP才能在AC上正常上线。如果AC和AP版本不匹配，可能会出现：

AC不支持当前AP款型，例如V200R008C10版本的AC不支持起始版本为V200R010C00版本的AP款型。

SOHO/智易云系列AC仅支持管理SOHO/智易云系列AP，不支持管理其他AP；非SOHO/智易云系列AC不支持管理SOHO/智易云系列AP。
AP在AC上的状态显示为ver-mismatch或vmiss。

AC和AP之间的版本配套关系，请参考WLAN AP版本配套和形态速查表。

执行命令display ap-type all，查看AC是否支持当前的AP款型。
如果AP款型不在列表中，说明当前版本的AC不支持此AP款型，请参考升级指导书升级AC版本。
执行命令display ap all，查看AP列表中是否存在状态为ver-mismatch或vmiss的AP。
如果有，请参考升级指导书升级AP或者AC，确保AP和AC版本匹配。

AP在线升级失败

常见原因

AC上配置了AP在线升级，但是未正确上传AP的软件包或上传的软件包错误
AP和FTP/SFTP服务器之间网络不通

故障处理步骤

检查AP软件版本是否存在且文件名是否正确
升级设备前请确保升级文件已存放在文件服务器相关目录下且可以读取；AP升级文件名和大小需要和源文件一致，不可以修改。如果升级文件不存在或文件名、文件大小不正确，请登录华为公司企业业务支持网站（http://support.huawei.com/enterprise）获取正确的升级文件，上传至AC或者文件服务器。
- 如果通过ac-mode方式或者AC作为SFTP/FTP服务器，需将AP软件版本存储在AC默认存储器路径。
```
<AC> dir flash:/*.bin
Directory of flash:/

  Idx  Attr     Size(Byte)  Date        Time(LMT)  FileName
    0  -rw-     12,815,616  May 23 2016 19:09:45   FitAP5X30XN_V200R006C10SPC300.bin

206,324 KB total (89,768 KB free)
```
- 如果是使用其他软件作为SFTP/FTP服务器，确保软件版本已存放在SFTP/FTP目录下且可读取，同时需要确保文件名和文件大小和源文件一致。
检查AP软件版本同设备类型是否匹配
AP软件版本必须同设备类型一致，不同类型AP的软件版本不可互相加载。
检查AP和服务器网络之间是否可以Ping通且网络质量良好
以PC作为文件服务器为例，升级AP时，以PC作为文件服务器，利用FTP、TFTP或SFTP软件进行上传操作，PC的网口必须与AP网口直连，并且需要保证PC和AP之间能够正常通信。
1. 在PC上进入Windows的命令行提示符，执行命令ping，查看PC是否能够ping通AP。
  当系统显示“Request time out”时，表示目标设备不可达。
2. 如果ping不通AP，则需要修改PC的IP地址，使得PC的IP地址与AP的IP地址同网段。
  FIT AP缺省的IP地址为169.254.1.1，所以PC的IP地址必须在169.254.1.0网段（169.254.1.1除外，建议使用169.254.1.100），子网掩码是255.255.255.0。
  
  如果FIT AP的IP地址已经修改，可在AC上执行display ap all命令查看AP的IP地址。
3. 修改完成后，在PC上再次执行ping命令，确认能够ping通AP。
4. 如果设备与服务器之间网络延时大或者丢包，会导致AP下载软件版本超时失败，需要排查中间网络。

检查FTP/SFTP服务器用户名或密码是否正确

服务器用户名或密码配置不正确会导致下载AP软件版本失败。

执行display ap update configuration命令查看AP版本升级时的配置信息。

[AC-wlan-view] display ap update configuration
------------------------------------------------------------------
AP update mode         : ftp-mode
FTP configuration
 FTP IP                : 192.168.0.11
 FTP username          : ftp
 FTP password          : ******
 FTP max number        : 50
SFTP configuration
 SFTP IP               : -
 SFTP username         : anonymous
 SFTP password         : ******
 SFTP max number       : 50
------------------------------------------------------------------

检查登录服务器的用户名和密码是否配置正确，如果配置错误，执行如下命令进行重新配置。

配置升级模式为SFTP模式并配置SFTP服务器。

<AC> system-view
[AC] wlan 
[AC-wlan-view] ap update mode sftp-mode
[AC-wlan-view] ap update sftp-server ip-address 192.168.10.11 sftp-username xxx sftp-password cipher yyy  //xxx,yyy分别指登录SFTP server时的用户名和密码

配置升级模式为FTP模式并配置FTP服务器。

<Huawei> system-view
[Huawei] wlan 
[Huawei-wlan-view] ap update mode ftp-mode
[Huawei-wlan-view] ap update ftp-server ip-address 192.168.10.11 ftp-username xxx ftp-password cipher yyy   //xxx,yyy分别指登录FTP server时的用户名和密码

检查AC是否未开启FTP/SFTP Server

配置AC为FTP服务器时，执行display ftp-server命令检查是否开启FTP服务。

<AC> display ftp-server
   FTP server is running
   Max user number                 50
   User count                      0
   Timeout value(in minute)        30
   Listening port                  21
   Acl number                      0
   FTP server's source address     0.0.0.0

如果FTP服务功能没有开启，请在系统视图下执行ftp server enable命令开启设备的FTP服务。

配置AC为SFTP服务器时，执行display ssh server status命令检查是否开启SFTP服务。

<AC> display ssh server status
 SSH version                         :2.0
 SSH connection timeout              :60 seconds
 SSH server key generating interval  :0 hours
 SSH Authentication retries          :3 times
 SFTP Server                         :Enable
 Stelnet server                      :Enable

如果SFTP服务功能没有开启，请在系统视图下执行sftp server enable命令开启SSH服务器端的SFTP服务。

AP初始化配置失败

常见原因

AP和AC的中间网络的MTU配置不合理。
有线侧存在丢包。

故障处理步骤

在配置下发阶段，AC会给AP下发初始化配置，如果报文在传输过程中存在丢包的情况，会导致AP初始化配置失败。

AC和AP互ping长度大于1600的报文，检查是否丢包。
如果存在丢包，则检查中间网络MTU值配置是否合理。如不合理会导致报文无法正常传输，进而导致AP无法正常上线。
当AC和AP之间的网络经过SD-WAN、运营商网络等MTU值较小的隧道场景时，需要在AC上将CAPWAP隧道的MTU值改小以尝试让AP上线。

V200R021C10及之前版本的随板AC上CAPWAP隧道的MTU最小值支持配置为1500；V200R022C00版本开始，随板AC上CAPWAP隧道的MTU最小值支持配置为1000。
```
<AC> system-view 
[AC] wlan  
[AC-wlan-view] ap-system-profile name ap-system1 
[AC-wlan-ap-system-prof-ap-system1] mtu 1200
```
如果中间网络配置了NAT穿越，请检查NAT通信是否正常。

企业业务网站

华为云网站

运营商网络业务网站

消费者业务网站

集团网站

AP上线流程和故障处理

简介

前提条件

AP上线流程

AP获取IP地址阶段

AP发现AC阶段

AP接入AC阶段

AC下发配置阶段

CAPWAP隧道维持阶段

配置更新阶段

配置AP上线

通过静态方式配置AP上线

组网需求

操作步骤

检查配置结果

通过DHCP方式配置AP上线

组网需求

操作步骤

检查配置结果

AP上线失败常见原因及处理方法

AP上线失败定位常用定位思路

查看AP信息

查看AP上线失败的原因

全流程跟踪

AP启动不正常

常见原因

故障处理步骤

AP和AC之间的网络不通

AP静态地址配置错误

常见原因

故障处理步骤

AP未分配到IP地址

常见原因

故障处理步骤

未指定AC的IP地址或指定的AC IP地址错误

常见原因

故障处理步骤

AC上未配置CAPWAP源接口或源地址

故障处理步骤

AP不是FIT形态

常见原因

故障处理步骤

AP连接数超过AC最大能接入的AP数

常见原因

故障处理步骤

DTLS协商失败

常见原因

故障处理步骤

AC上配置的AP MAC和AP SN与实际AP不一致

常见原因

故障处理步骤

AP被加入到黑名单

常见原因

故障处理步骤

AC和AP之间版本不匹配

常见原因

故障处理步骤

AP在线升级失败

常见原因

故障处理步骤

AP初始化配置失败

常见原因

故障处理步骤

相关信息：AP上线后配置WLAN基本业务

相关版本

相关文档

数字签名