排查AP关联控制器常见问题

■ 河南 刘景云

对于无线网络来说，AP的作用是非常重要的，客户通过AP接入网络，AP和WLC无线控制器之间会建立CAPWAP隧道，并通过该隧道和WLC建立关联。在实际的管理中经常会遇到AP无法关联到WLC的问题。实际上，有很多因素都会导致该问题，给无线网络的运行带来困扰这里就由浅入深的分析具体的应对策略。

搭建建安实验环境

在本实验环境中，存在名为SW1和SW2两台思科交换机，前者的G1/0/1和后者的Fa 0/1通过Trunk连接。无线控制器WLC的Port1和SW2的G0/1通过Trunk连接。一台思科AP设备连接到SW1上的G1/0/2接口上，客户机PC1通过无线网卡连接该AP，管理主机PC1连接到SW2的Fa0/24口。SW2带有路由功能，充当核心交换机的作用，所有的VLAN都配置在该设备上。在SW2上创建VLAN 10和VLAN 20，其地址范围分别为172.16.1.0/24和172.16.2.0/24。

其 中，WLC的Manager Interface的IP为172.16.1.100，Guanli-PC的IP为172.16.1.11，其都从属于VLAN 10。AP连接的G1/0/2的从属于VLAN 20，VLAN10主要用于管理所需。AP被划分到VLAN 20，AP可以通过DHCP获取所需的IP，AP通过CAPWAP隧道注册到WLC。AP是跨网段进行注册的，需要为其指定WLC的位置。VLAN 10和VLAN 20的SVI接口均位于SW2上。在SW2上执行“config t”命令，进入全局配置模式。执行“ip routing”命令，开启路由功能，让不同的VLAN可以互访。

AP关联失败的常见问题

在AP关联WLC时，可能会因为各种问题，导致无法顺利连接到WLC。例如AP无法获取地址的话，自然无法连接到AP，在WLC上甚至都无法看到相关的报错信息。如果在AP和WLC之间存在一些中间设备（例如防火墙等），其对AP连接的UDP 5246/5247等端口没有放行，也造成AP无法关联。

图1 设置合适的国家代码

因为UDP 5246是CAPWAP的控制层面端口，UDP 5247是数据层面端口，当AP没有正常获取WLC地址，WLC的License存在问题，AP和WLC的时间存在差异，WLC利用MAC授权机制对AP进行了过滤，AP的证书和WLC的Auth-list控制策略存在冲突，WLC的国家代码有误，WLC的版本不符合AP的要求，不同厂商之间的产品不兼容等问题，都会造成AP无法顺利关联到WLC。

设置合适的国家代码

在AP中必须设置合适的Country Code，才可以使其射频广播频率，接口，频段以及发射功能符合特定国家的规定，国家代码不匹配，AP就无法进行关联。例如使用的其他国家的WLC，在AP上设置的却是CN代码等。例如在AP上标识“AIR-CAP3702IH-K9”等字样，说明其国家代码应为CN。

如果国家代码有误，在WLC工具栏上点击“MANAGEMENT”项，在左侧选择“Logs→Message logs”项，在右侧会显示“The system detects an Invalid regolatory domain”“The system detects an Invalid country code”之类信息。在WLC管理界面中无法直接修改国家代码，必须在工具栏上点击“WIRELESS”，在左侧选择“802.11a/n/ac→Network”项，在右侧的“802.11a Network Status”栏中取消“Enabled”的选择。

在左侧选择“802.11b/g/n→Network”项，在右侧的“802.11b/g Network Status”栏中取消“Enabled”项的选择状态。来关闭5Gha和2.4GHz射频功能。之后在左侧选择“Country”项，在右侧列表中选择合适的国家代码（如图1所示）。之后打开5Gha和2.4GHz射频功能。

让AP顺利定位WLC

这里为了便于说明，可以使用一台Windows Server 2008 Server作为DNS和DHCP服务器，其IP为172.16.1.20。在SW1上执行命令：

config t

inter vlan 20

ip helper-address 172.16.1.20”

end

将IP请求信息发送到该服务器上，在该服务器上打开DHCP控制台，在其中创建一个作用域，范围从172.16.2.100到20.10.1.200，为AP分配IP。

在其作用域选项中创建 了003路由器（IP为172.16.2.254），043供应商特定信息（为WLC地址，其格式比较特殊，默认必须以“f1”开头，例如“f104xxx”，表示IP地址为4个字节，“xxx”为WLC的十六进制地 址。），015 DNS域 名（例如“xxx.com”），006 DNS服务 器（IP为172.16.1.20），在DNS控制台选择“正向查找区域→xxx.com”项，在其右键菜单上点击“新建主机”项，输入合适的名称（例如“capwap-lookup”），对应的IP为172.16.1.100，点击“确定”按钮，创建该记录。

这样，使用该DNS记录，就可以定位WLC。这样，当AP启动时，就会通过直连广播，DHCP服务以及DNS服务来定位WLC，只要其中任何一种成功，都可以让AP找到WLC。如果AP和WLC之间既不是直连，又没有没有配置DHCP Option 43选项和DNS纪录（或者配置有误，例如写错了WLC的地址等），那么AP是无法关联到WLC的，其只会不断的重启来尝试关联。

和WLC授权有关的问题

如果WLC没有得到授权，那么在AP启动时，虽然会通过DHCP Option 43选项定位到了WLC，但是其会提示“Could not discover WLC，Ether IP address is not assigned or assigned ip is wrong”的错误信息，提示无法发现WLC，该WLC的地址可能存在问题。

在WLC管理界面工具栏上选择“MONITOR”项，在左侧选择“Statistics→AP Join”项，会显示对应AP的状态为“Not joined”。点击该AP项，在其属性窗口中 的“Reason For Last Unsuccessful Attempt”栏中会显示“Maxinum number of AP supported has already Joined”字样，提示支持的AP最大数量已经达到。

点击工具栏上的“MANAGEMENT”项，在左侧选择“Software Activation→Licenses”项，在右侧点击“base-ap-count”项，在打开窗口中的“Priority”列表中选择“High”项，点击“Set Priority”按钮，在授权说明栏中点击“I Accept”按钮，接受该授权。点击窗口右上角的“Apply”按钮，激活该配置信息。在“MONITOR”面板中会显示“xxx Access Points Supported”信息，说明该WLC可以支持的AP的数量，“xxx”为具体的数值。这样，AP就可以顺利关联到WLC了。

处理和AP证书有关的问题

对AP证书来说，在2005年1月之后使用的都是MIC（Manufactured-Installed Certificate，厂商原装证书）证书，不同厂商的证书是不同的，WLC和AP之间使用证书进行签名和认证，这就会造成彼此之间不能关联，例如思科的AP无法关联到华为的WLC等。在AP上执行“show crypto pki certificates”命令，会显示证书信息。在其中的“Associated trustpoints:”栏中显示诸如“Cisco_IOS_M2_MIC_cert”之类信息的证书，是内建的有效的厂商原装证书。

当AP关 联WLC时，WLC会收到AP发来的证书信息，如果WLC发现自己的时间在AP证书的有效期之外，就会认为AP证书无效，导致DTS隧道无法建立，AP就无法连接到WLC。如果WLC的时间信息配置错误，AP会显示“Certificate unknows alert from 172.16.100”的提示信息。

图2 AP策略设置窗口

在WLC工具栏上点击“MANAGEMENT”项，在左侧选择“Logs→Message logs”项，在右侧显示“openssl_dtls Failed to complete DTLS handsshake with peer xxx”的信息，说明和对方的DTLS握手无法完成，“xxx”表示AP的IP。解决的方法是先在AP端查看证书信息。了解MIC证书的有效时间，之后在WLC工具栏上点击“COMMANDS→Set Time”项，在右侧数值正确的日期，时间和时区。这样，WLC就会判定AP的证书有效并接受其关联。

在WLC工具栏上点击“SECURITY”项，在左侧选择“AAA→AP Poliies”项，在右侧看到“AcceptManufactured Installed Certificates(MIC)”项处于选择状态（如图2），表示默认只允许MIC证书进行认证。如果取消该项选择，那么AP是无法连接的，而且在WLC端是无法显示相应的错误信息，AP会显示“Received WARNING:Close notify from 172.16.1.100”之类的提示信息。

如果存在多台WLC，可以在工具栏上点击“WIRELESS”项，在列表中选择某个AP，在其属性窗口中的“High Avaliability”面板中的“Primary Controller”“Secondary Controller”等栏中输入优先的WLC地址，及第二第三WLC地址，这些信息会保存到该AP中，当AP进行关联时，可逐个进行测试，直到关联上为止。