三、AP上線的那些事兒（2）AP三層如何發現AC？出現故障怎麼維護？

（2）AC與AP都在不一樣VLAN網段的場景（這裏省去外網以及有線部分，咱們這裏主要講解無線上線這塊）

                          場景一（最多見）：AP分佈在各個VLAN網段下面

  場景2：總部由AC，由N多分支的AP想經過總部進行集中管理

不論是什麼樣的場景，這裏能夠看到，AC與AP都是在不一樣的VLAN網段下的，這時候就須要用到咱們以前提到的一個功能就是option 43，option 43的做用就是在DHCP下發地址的時候利用option 43的參數下發來讓AP知道AC的地址，咱們把這種組網方式叫作三層上線，這裏咱們用場景1來舉例。

 

場景一的拓撲分析：

一、AC、三層交換機以及辦公室的二層交換機都是可配置的

二、監控網的交換機是傻瓜不支持配置

三、總體一個管理網段爲VLAN 100，辦公室的業務VLAN是2，監控網的VLAN是3

四、辦公網的AP天然就屬於VLAN2，監控網的AP屬於VLAN 3

五、VLAN之間的通訊依賴三層交換機的VLANIF網關進行轉發，須要配置VLANIF。

 

初始化配置

一、三層交換機

vlanbatch 2 3 100 

#建立VLAN

dhcp enable

#開啓DHCP功能

interface Vlanif100

 ip address 192.168.100.1 255.255.255.0

#建立100的VLANIF網關

interface Vlanif2

 ip address 192.168.2.1 255.255.255.0

 dhcp select interface

#建立VLANIF 2的網關而且開始DHCP

interface Vlanif3

 ip address 192.168.3.1 255.255.255.0

 dhcp select interface

#建立VLANIF 3的網關而且開啓DHCP

interfaceGigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 100

#

interfaceGigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 2 100

#                                        

interfaceGigabitEthernet0/0/3

 port link-type access

 port default vlan 3

#1號口對接AC，2號口對接下面可配置的二層交換機POE，都配置成了trunk容許對應的VLAN經過，而3口接的是傻瓜交換機，這裏直接把這個口劃入到VLAN3便可，那麼下面對應的都在VLAN3了

 

二、POE二層交換機配置

vlan batch 2 100

#建立對應VLAN

interfaceGigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 2 100

#對接三層交換機的口配置爲trunk，容許2跟100經過

interfaceGigabitEthernet0/0/2

 port link-type access

 port default vlan 2

#對接AP的口配置成access，加入VLAN2鍾

interface Vlanif100

 ip address 192.168.100.2 255.255.255.0

#建立一個VLANIF100做爲管理（這裏只是模擬真實環境，在上線過程當中不起到做用）

ip route-static 0.0.0.00.0.0.0 192.168.100.1

#寫一條默認路由到三層，其餘網段能夠訪問到

 

三、AC配置

vlan 100

#建立VLAN

#

interfaceGigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 100

#對接三層交換機的口配置成trunk

interface Vlanif100

 ip address 192.168.100.3 255.255.255.0

#建立管理地址，而且用於跟AP創建CAPWAP隧道用

ip route-static 0.0.0.00.0.0.0 192.168.100.1

#默認路由讓其餘VLAN都能互訪，很重要。

capwap source  interface Vlanif 100

#指定CAPWAP源接口

wlan

ap auth-mode no-auth

#AP上線爲不認證

能夠看到兩個AP都獲取到對應VLAN網段的地址了，而且能夠跟100.3通訊

AC上面天然沒看到AP，以前咱們瞭解過CAPWAP發現機制，它屬於廣播報文，而這個環境是跨越了VLAN的，因此AC根本收不到，這時候咱們就用到一直在講到option43了。

 

三層交換機上面

interface Vlanif2

 dhcp server option 43 sub-option 3 ascii192.168.100.3

 

interfaceVlanif3

 dhcp server option 43 sub-option 3 ascii192.168.100.3

 

咱們在重啓AP，這個時候在來看下。

抓包咱們能夠看到，在DHCP服務器迴應的報文種會攜帶一個option 43參數，這個就是附帶的AC地址，這樣AP就知道AC在哪了。

這個時候就能夠看到2臺AP已經上線了。這裏能夠看到三層上線就依賴dhcp option 43，AP經過option 43知道AC的位置，而後經過單播跟AC創建CAPWAP隧道。

 

（3）AP採用靜態地址上線（這裏省去外網以及有線部分，咱們這裏主要講解無線上線這塊）

靜態地址設置的場景通常很少

一、在DHCP不支持option 43的狀況下，須要寫靜態指定

二、分支想經過總部AC統一管理的狀況，分支沒有DHCP支持option43，能夠採用靜態指定方式

 

默認狀況下AP是屬於DHCP方式

ap-address mode static

ap-address staticip-address 192.168.100.1 255.255.255.0 192.168.100.254

ap-address  static ac-list 192.168.2.1

#經過指定方式來指定爲靜態，而後指定AP的地址、掩碼、網關、以及AC地址

這裏必定要注意，靜態地址設置是必定須要重啓AP才生效的。輸入reboot fast直接重啓不須要保存

常見維護命令以及注意地方

 

排錯相關命令介紹

displayap online-fail-record all：用來查看AP上線失敗的緣由

這裏列舉幾個常見遇到的提示跟解決辦法，而且列表中記錄了MAC地址以及最後的顯示時間

 

一、Not in MAC whitelist或者Not in SN whitelist：是由於AC開啓了MAC/SN認證AP的方式，解決辦法（1）添加白名單apwhitelist MAC/SN 後面跟MAC或者SN參數（2）離線添加AP ：ap-id  0 ap-mac

 

二、The AP is added to the AP blacklist：是由於AC配置了AP黑名單，能夠直接undo  ap blacklist （在WLAN視圖下）

 

三、（1）CAPWAP tunnelnegotiation fails.（2）The CAPWAP tunnel fails to be established：這2個提示都是CAPWAP創建失敗致使這個緣由（1）線路問題  （2）速率雙工協商不一致（3） AP到AC的路徑中出現了故障

 

四、Insufficient license resources：AC受權不夠了致使AP沒辦法上線，好比有10臺AP，只有8個受權，那麼另外2個是怎麼都不會顯示的。（受權查看display license，也能夠在WEB端的維護裏面查看到）

能夠看到總數量 是56個，而後受權爲永久。

displaylicense resource usage :經過該命令能夠直接查看當前用了多少，總數量是多少

 

五、（1）The versions of the AP and AC do not match （2）The AC does notsupport the AP type：（1）第一個提示是說AP跟AC的版本不一致（2）第二個提示是目前AC的版本不支持該AP（一般是好比AC的版本是有幾個版本沒更新了，而新加入的AP是後面版本才加入支持的，因此識別不到）  解決辦法（1）AC上面批量升級AP （2）升級AC版本到支持該AP型號的版本。經過display ap-type all

能夠看到目前AC支持的型號由哪些，若是發現買的AP的型號不在列表裏面，那麼說明該AC當前版本不支持，須要升級了。

 

display ap offline-record all ：查看AP下線記錄信息，這裏說下常見的

一、Echo time：AP與AC的中間網絡故障致使的心跳報文超時（檢查對應中間線路、配置是否出現問題）

 

二、重啓AP以及AP升級自動重啓會出現的提示（這個是常規提示，不須要處理）

Reboot by ap updatereset command.

The AP is resetautomatically after the upgrade.

 

三、Insufficient license resources   受權不足

 

四、The AP is added to the blacklist   AP被添加進了黑名單

 

 

AC與AP中間通過的設備須要注意的地方

一、AC、交換機的 VLAN是否建立，接口是否正常配置，好比trunk Access

 

二、跨三層的AP上線，DHCP是否配置了option43

 

三、跨三層的時候，VLAN間是否通訊正常

 

 

維護相關命令介紹

 

display  ap all：查看當前AP信息，包括ID序列號、AP的MAC地址、名稱、在哪一個組、IP地址、AP類型、狀態、運行時間

 

這裏特別說下狀態 state（它提現的是CAPWAPAP與AC創建隧道的正常與否），這裏說明幾個常見的。

 

一、nor：正常狀態

二、fault：曾經正常上線，可是某些緣由跟AC失去了通訊。（1）供電問題（2）AP的上行線路出故障 （3）升級自動重啓 （4）AP設備故障  （5）AP與AC之間的網絡出現故障

三、dload：當AP與AC版本不一致的時候，咱們在AC配置了升級那麼升級中的AP會出現這個狀態

四、cfg：當新的AP上線到AC後，AC會下發業務配置給AP，AP進行同步。若是出現了cfgfa表示同步失敗，須要檢查AP與AC之間的連通性。

五、cmt：當AP已經上線在AC後，AC增長或者刪除、更改了WLAN業務配置，AC會主動下發給AP這些變更的配置。若是出現了cmtfa表示下發失敗，須要檢查AP與AC之間的連通性。

六、idle：AP與AC重來沒有創建過CAPWAP隧道，而是人爲添加上去，一直沒有上線成功

七、vmiss：當前AC與AP的版本不一致，沒法正常工做，須要進行升級或者降級。

八、namec：兩個AP的名字衝突了，能夠經過ap-renameap-id 來更更名字

 

displaycapwap configuration：查看當前CAPWAP的配置

一、會顯示CAPWAP的指定源接口或者IP地址

二、發送ECHO的間隔爲25s，超時時間爲6次，就是AP會每隔25s發送一次EHCO，若是AC沒有在25S收到EHCO，那麼在6次還沒收到，那麼則認爲AP出現了故障

三、默認DTLS加密是關閉的

display  ap global configuration：查看當前AP採用的認證方式

display ap   version  all：查看AP當前版本，主要檢查與AC是否匹配

display  ap blacklist：顯示AP的黑名單，有時候不當心添加進去了，致使AP上不了線

 

AP維護相關命令介紹

 

display  ip int br：查看AP是否獲取到地址，只有獲取到地址才能跟AC進行創建隧道

ping：ping AC地址是否能通，包括延遲、丟包狀況等

 

display version：查看AP當前版本以及型號，FIT表示瘦模式，FAT表示胖，若是是胖模式是須要刷機到瘦

AC常見操做命令介紹

全部操做都在WLAN視圖下完成

一、ap-reset：能夠重啓某一臺AP、或者所有AP

二、ap-rename：對某個AP進行名字更改，衝突的時候或者位置名字發生改變使用

三、ap-id 1 ap-mac：離線添加AP

四、ap auth-mode：AP認證模式更改

五、ap lldp enable ：這個功能比較實用，能夠看到AP接在哪一個交換機下面，前提對應的POE交換機也開了LLDP功能  display ap lldpneighbor brief

6、ap username / ap password：更改AP的登錄認證賬號密碼，默認爲初始化賬號密碼

7、ap blacklist mac / ap whitelist mac ：AP的黑白名單功能，在白名單裏面，AP採用MAC認證的狀況下直接經過，若是是黑名單，則直接不容許。

須要掌握：

關於AP二三層AP上線以及排錯跟維護都講解完畢了，你們須要掌握的是

一、AP與AC創建CAPWAP的過程（有一個大概的瞭解，後期咱們排錯有一個好的思路，知道卡在哪一個階段了）

二、AP與AC中間設備的配置，好比VLAN建立、接口的模式是trunk仍是access

三、AC上面的VLAN與VLANIF配置，指定CAPWAP源接口，以及接口模式

四、AC對AP的認證方式

五、開啓DHCP功能，若是是跨三層的話須要定義option 43來告訴AP AC在哪

六、熟悉排錯命令以及常見的維護命令

 

 WEB相關 

 

一、DHCP option 43的配置

二、查看AP狀態，能夠查看上線失敗記錄、下線失敗記錄，當前狀態等。

三、維護相關（包括升級、重啓、日誌管理登，關於升級咱們後續單獨用一篇講解）

 

  四、操做方面

 

能夠點擊修改，更名字、以及IP地址獲取方式，改爲固定。固然還有白名單、黑名單登

 

 練習鞏固：

一、搭建一個二層上線拓撲，而且完成上線

二、搭建一個三層上線拓撲，而且完成上線

三、分別採用MAC、不認證體驗

四、能夠用命令行與WEB分別體驗下 

 

 關於升級與刷機   

   原本下一篇開始要講解批量升級與刷機，後來想了下，仍是不這樣安排了，下一篇開始講解正式的無線業務配置，已經連續兩篇講解上線相關的，在來一篇升級與刷機有點枯燥，因此下一篇開始正式進入無線業務配置，這一塊也比較花費時間跟精力，涉及的東西有點多，博主會以實際工做中常見的組網來說解，方便你們理解跟後續部署。

本文首發於公衆號：網絡之路博客