锐捷无线网络排错指南：AC旁挂模式下，AP获取不到IP或终端无法上网的5个常见原因及解决方法

锐捷无线网络排错实战AC旁挂模式下AP与终端连网故障深度解析当企业无线网络采用锐捷AC三层旁挂架构时AP无法获取IP或终端无法上网的问题往往让运维人员头疼不已。这类故障通常隐藏在CAPWAP隧道、DHCP中继、VLAN放行等关键环节中需要系统化的排查思路。本文将基于真实运维场景拆解五个最常见故障点的诊断方法与修复方案。1. CAPWAP隧道建立失败三层网络中的隐形杀手CAPWAP隧道是AP与AC通信的生命线。在旁挂模式下AC与AP通常位于不同网段此时需要重点关注三层可达性和option 138配置。某次现场部署中AP始终显示Discovery状态通过以下排查流程定位问题首先验证基础连通性# 在AP所在网段测试AC可达性 ping 192.168.10.1 traceroute 192.168.10.1若网络层通畅需检查DHCP option 138配置# 查看DHCP地址池配置 show running-config | include option 138 # 正确示例应显示 # option 138 ip 192.168.10.1常见配置误区包括option 138指向错误IP如误填AC管理接口VLAN IPDHCP中继未正确透传option 138参数核心交换机未放行option 138流量典型修复方案确认AC管理接口IP与option 138声明一致在中继设备添加特殊配置interface Vlan30 ip helper-address 192.168.10.1 dhcp relay information option-insert2. DHCP中继失效隐藏在ip helper背后的陷阱当AP和终端分属不同VLAN时DHCP中继配置直接影响地址分配。曾遇到一个案例终端可以获取IP但AP始终离线最终发现是DHCP中继未生效。关键检查点检查项正常状态异常表现中继接口状态UPAdministratively downhelper地址正确DHCP服务器IP指向错误设备VLAN放行包含中继VLAN缺失必要VLAN诊断命令示例# 查看中继接口配置 show running-config interface Vlan30 # 验证DHCP请求转发 debug ip dhcp server packet解决方案分步指南确认中继设备与DHCP服务器间路由可达检查每个跳点的ACL是否放行UDP 67/68端口在核心交换机添加冗余中继配置interface Vlan30 ip helper-address 192.168.10.1 ip helper-address 192.168.10.23. 转发模式混淆本地转发与集中转发的选择困境转发模式配置错误会导致数据包有去无回。某医院部署案例显示当采用本地转发时若未同步调整以下参数终端将无法通信关键配置对比参数集中转发本地转发tunnel模式centrallocal业务VLAN仅AC处理需透传到AP交换机配置常规trunk需放行业务VLAN配置示例# 改为本地转发模式 wlan-config 1 Hospital-WiFi tunnel local # 对应AP组配置 ap-group default interface-mapping 1 20 radio 6排错要点通过show ap config general AP名称验证实际生效模式在接入交换机确认业务VLAN已放行测试不同位置终端获取的IP是否属于正确VLAN4. Trunk端口配置错误VLAN放行的多米诺效应交换机trunk配置错误是导致AP离线的常见元凶。某园区网故障排查发现虽然核心交换机配置正确但接入交换机的trunk端口漏放管理VLAN诊断流程# 检查端口VLAN放行情况 show interfaces trunk GigabitEthernet 0/1 # 理想输出应包含 # VLAN 10,20,30配置规范建议采用白名单机制interface GigabitEthernet 0/1 switchport trunk allowed vlan only 10,20,30避免使用native VLAN承载管理流量跨设备VLAN ID需保持一致关键提示当使用多厂商设备混接时特别注意默认VLAN是否被占用5. 安全策略冲突WPA认证的隐蔽陷阱过于严格的安全策略会导致终端关联失败。某企业网络出现终端反复认证失败最终发现是WPA配置与终端兼容性问题典型故障现象终端显示已保存但无法连接日志出现4-way handshake timeout优化方案wlansec 1 security wpa enable security wpa ciphers tkip aes # 兼容旧设备 security wpa akm psk enable security wpa akm psk set-key ascii ComplexPss2023安全配置黄金法则测试阶段先采用开放式认证排查基础连通性生产环境推荐WPA2-AES加密组合避免特殊字符在PSK密码中引发兼容性问题