无线CAPWAP隧道技术——实践篇

【CAPWAP隧道技术】本文从实践出发，帮大家梳理项目中最常遇到的CAPWAP隧道无法建立问题的解决思路。

#互联网

发布时间：2021-01-20
点击量：
点赞：

分享至

我想评论

前言

通过上一篇文章（无线CAPWAP隧道技术——理论篇），相信大家对CAPWAP协议技术原理有了一定的认识，本期我们从实践出发，帮大家梳理项目中最常遇到的CAPWAP隧道无法建立问题的解决思路。

CAPWAP协议介绍

AC通过CAPWAP协议实现对瘦AP的统一管理，在无线的日常实施和运维中，AP与AC无法建立CAPWAP隧道，会是各位工程师遇到最多的问题之一。今天就带各位读者梳理下CAPWAP隧道无法建立可能的原因以及解决办法。在AC或AP上通过命令show capwap state查看CAPWAP状态，如果状态未显示为Run说明CAPWAP隧道未建立成功，可按照以下步骤定位无法建立原因。

通过命令show capwap state查看CAPWAP状态

1	检查AC的状态和配置	检查AC的CPU状态
		检查AC的配置
2	检查AP的状态	检查AP是否正常起机
		检查AP的工作模式
		检查AP是否获取正确管理地址和AC隧道地址
3	检查AP与AC的软件版本是否匹配
4	检查AP与AC隧道地址连通性	检查AP与AC之间是否不通
		检查AP与AC之间是否存在丢包
5	检查是否AC拒绝AP接入

CAPWAP隧道无法建立排查表

检查AC的状态和配置

检查AC的CPU利用率，AC的CPU过高（80%以上）可能会造成无法处理AP上线，在AC上可以通过命令show cpu查看当前CPU的使用率。

在AC上可以通过命令show cpu查看当前CPU的使用率

检查AC的配置，常见的AC配置错误导致无法与AP建立CAPWAP隧道如下，如果读者目前还无法快速检查出以下配置问题也没有关系，这里可以先留有一个印象，下文中也有相应的排查手段进行定位：

AC隧道地址配置错误；
AC配置了AP接入安全限制；
AC配置中AP名称冲突。

除了检查以上配置外，如果AC部署了冗余方案，AC热备或者AC虚拟化技术，还应该根据不同的冗余方案对不同方面的配置进行检查。如果部署了AC热备技术，要确保主备AC热备相关配置、AP组配置及AP配置一致。如果部署了AC虚拟化技术，确保AP到虚拟AC线路中涉及聚合线路的设备都配置负载均衡方式为基于源目IP负载均衡。

检查AP的状态

检查AP是否正常起机

检查AP是否正常上电，可通过AP指示灯进行判断，如果AP指示灯灭，有可能是AP未正常加电。如果AP指示灯一直都是绿色闪烁，说明有可能AP主程序丢失，此时建议准备配置线进行主程序恢复。不同型号AP的指示灯表示含有略有差异，可参考相应型号的设备安装手册，官网下载位置 http://m.m.6mon69y.sgdianzi.com/fw/wd/ 找到对应型号设备的安装手册进行指示灯状态确认。

检查AP的工作模式

检查AP是否工作在瘦模式，AP有瘦模式和胖模式两种工作模式，AP出厂后默认为瘦模式，只有瘦AP才会与AC建立CAPWAP隧道。在AP上可以通过命令show ap mode确认AP的工作模式，fit表示瘦模式，fat表示胖模式。如果AP的工作模式是胖模式，AP在特权模式下通过命令ap-mode fit切换为瘦模式。

检查AP是否获取到正确管理地址和AC隧道地址

AP未获取到正确管理地址

登录AP查看是否获取到正确的管理地址，若AP无法获取到管理地址，检查上联交换机配置是否正确，可以将AP接口接入笔记本查看是否获取正常，配置静态地址是否正常。

AP未获取到正确AC隧道地址

CAPWAP隧道的建立是AP发起的，所以AP需要知道AC的CAPWAP隧道地址才能向AC发起CAPWAP隧道连接，AP发现AC的地址方法有多种。

AP被连接到网络时即进入发现AC的过程。AP使用广播、组播、单播方式发送“Discovery Request发现请求”报文向AC发起CAPWAP隧道连接。当使用单播方式时，需首先通过静态配置AC的IP地址、DHCP或DNS方式获得AC的IP地址列表。

AP向学习到AC的IP地址列表内所有地址发送“Discovery Request发现请求

Discovery Request发现请求报文中Discovery Type消息要素标记AP通过哪种方式学习到AC

那么AP同时使用广播、组播、单播方式向AC发送请求，那么AC会回复哪个请求呢？AC根据AP获取AC的IP地址的方式不同存在不同的优先级，静态配置AC IP优先级为7，动态DHCP或DNS获取的AC IP优先级为8，广播或组播报文优先级为9，数值越小越优先。

在AP上可以通过命令show capwap client state查看AC的IP地址列表，确认AP是否学习到正常的AC的CAPWAP隧道地址。AC的IP地址列表中初始有三个地址，255.255.255.255、224.0.1.140、ff02::18c，即IPv4的广播地址、组播地址和IPv6的组播地址，AP通过以下三种方式学习AC的IP地址列表：

AP把静态配置的AC的IP地址加入到AC的IP地址列表中，在AP上通过命令acip ipv4/ipv6静态配置AC的CAPWAP隧道的IP地址

查看AC的IP地址列表存在静态配置方式学习到AC的IP地址

AP通过收到DHCP报文中Option138或Option43字段的IP地址学习为AC的IP地址

查看AC的IP地址列表存在DHCP方式学习到AC的IP地址

AP通过发送DNS报文解析出域名为ac.sgdianzi.com的IP地址学习为AC的IP地址，其中默认域名ac.sgdianzi.com可以修改

查看AC的IP地址列表存在DNS方式学习到AC的IP地址

所以当AP与AC在同一个广播域或者组播报文可达时，AP可以不学习到AC的IP地址，通过广播报文或组播报文直接与AC建立CAPWAP隧道。反之AP与AC不在同一个广播域或者组播报文不可达时，AP必须通过静态配置AC的IP地址、DHCP或DNS三种方式的其中一种学习到AC的IP地址，可以在AP上通过命令show capwap client state查看AC的IP地址列表，检查AP是否学习到了AC的IP地址。

检查AP与AC的软件版本是否匹配

尊龙时凯AC和AP主要有10.X和11.X两个类型版本，目前主流使用的是11.X版本，10.X已逐渐不再使用，需要注意的是AC和AP必须同时使用11.X版本或同时使用10.X版本才能完成CAPWAP隧道建立。可以在AP和AC上通过命令show version确认当前使用的软件版本。

在AC和AP同时使用10.X版本时，对AP于AC的版本匹配要求非常高，版本号需要完全保证一致，不一致的情况很可能导致AP不上线。

从11.X版本开始AC和AP的版本开始去耦合，对于大多数11.X版本来说，AC与AP均在11.X版本即可，不需要版本号完全一致。

在AP和AC上通过命令show version确认当前使用的软件版本

检查AP与AC隧道地址连通性

在AP与AC建立CAPWAP隧道过程中，会交互多种CAPWAP报文。在AP上可以通过命令show capwap statistics查看各类CAPWAP报文接收与发送的数量，可通过查看AP的CAPWAP报文的接收与发送数量初步判断是否AP与AC隧道地址存在连通性问题。

如下图show capwap statistics中统计了AP自起机以来sended发送的报文数量、received接收的报文数量以及retrycnt重传的报文数量。如果sended发送的报文数量持续增长而received接收的报文数量未增加，建议检查AP与AC隧道地址是否存在不通的情况；如果retrycnt重传的报文数量持续增长建议检查AP与AC隧道地址是否存在丢包的情况。

查看AP的CAPWAP报文的接收与发送数量初步判断是否AP与AC隧道地址存在连通性问题

检查AP与AC之间是否不通

首先要确认AC的CAPWAP隧道地址是多少，在AC上通过命令show ac-config查看AC的CAPWAP隧道地址。一台AC上一般会存在多个IP地址，那么AC会使用哪个IP地址作为CAPWAP隧道地址与AP通信呢？默认AC是以Loopback 0地址作为CAPWAP隧道地址，如果AC上Loopback 0没有地址将没有CAPWAP隧道地址，在ac-controller模式下可通过命令capwap ctrl-ip手工指定AC的CAPWAP隧道地址。

在AC上通过命令show ac-config查看AC的CAPWAP隧道地址

其次检查AP到AC的CAPWAP隧道地址是否Ping连通，确定好AC的CAPWAP隧道地址后，登入已获得正确IP地址的AP上Ping AC的CAPWAP隧道地址，确定是否可正常Ping通。在不方便登入AP情况下，可使用电脑替换AP接入交换机，电脑上Ping AC的CAPWAP隧道地址查看是否正常通讯。如果检查存在AP到AC的CAPWAP隧道地址Ping连通性异常，需解决AP到AC的CAPWAP隧道地址网络层连通性，保证AP到AC的CAPWAP隧道地址三层可达。

如果AP到AC的CAPWAP隧道地址Ping连通，最后检查AP到AC的CAPWAP隧道地址是否UDP5246和UDP5247端口连通。在AC上通过命令show ip fpm flows | include AP的IP查看AC的流表，确认UDP5246和UDP5247端口是否有SendBytes发送流量和RecvBytes接收流量。如果检查存在AP到AC的CAPWAP隧道地址端口连通性异常，需解决AP到AC的CAPWAP隧道地址传输层连通性，保证AP到AC的CAPWAP隧道地址四层可达。

在AC上通过命令show ip fpm flows | include AP的IP查看AC的流表

检查AP与AC之间是否存在丢包

如果AP上retrycnt重传的报文持续增长，首先检查AP到AC的CAPWAP隧道地址的Ping丢包情况，如果存在Ping丢包一般是中间链路环境导致，可以检查是否存在中间链路不稳定、网络中存在环路或者广播流量过大等情况。

除此之外AP与AC中间链路的MTU过小也会造成传输的CAPWAP报文重传，默认AP的CAPWAP隧道路径的MTU是1500字节，并且尊龙时凯无线设备默认关闭CAPWAP分片功能，所以当AP与AC的中间链路设备MTU如果有小于1500字节的情况，就会造成超过1500字节的CAPWAP的报文被丢弃。可以在AC上通过将Ping包的大小调试为1500字节后Ping AP测试大报文能否连通。如果发现中间链路的MTU小于1500字节，可以在AC上AP配置模式或AP组配置模式通过命令capwap mtu调小CAPWAP隧道路径的MTU值保证CAPWAP报文通过链路而不被丢弃。

检查是否AC拒绝AP接入

如果以上内容检查都没有问题，最后需确认是否有AC拒绝AP接入的情况。AC拒绝AP接入的原因有很多，比如配置问题、设备限制、安全限制等，可在AC上通过命令show ap-config summary deny-ap查看是否存在AC拒绝AP接入的日志以及拒绝的原因。

AC上通过命令show ap-config summary deny-ap查看AC拒绝AP接入的原因

AC拒绝原因	拒绝原因解释	解决办法
By wtp-limit	在线AP数达到上限，一般是License授权不足、在线AP容量上限、小概率还可能是wtp-limit配置限制导致	导入License/升级型号/wtp-limit配置
By total-ap-num	AP总数（在线+离线）、AP隧道数达到上限	删除不需要的离线AP的配置
By local-limit	VAC场景下单AC设备保护，限制接入本机AP数，可能交换机负载不均衡、工作AC过少等情况	可能存在负载不均衡，查交换机负载均衡配置
By bind-ap-mac	AP-MAC绑定拒绝，AC上开启MAC白名单bind-ap-mac功能，但该AP的MAC不在ap-config中	删除bind-ap-mac配置，或预配置ap-config
By ap-auth	AP接入认证限制，AC上开启证书、序列号、密码形式的接入认证，而AP未携带认证信息	关闭AP接入认证，或将对应的认证信息添加上
By deny-flag	AC上主动配置拒绝该AP加入，配置deny-join限制	删除对应AP下的deny-join配置
By hot-backup	热备限制，如AP使用AP虚拟化技术，而AP虚拟化不支持热备功能，配置上却将该AP划入热备中	将该AP虚拟化配置去除或将AP移出热备组
By vendor id	其它厂商AP不支持对接	不支持和友商对接替换使用尊龙时凯AP
By user-class	不同行业的AP产品，比如SMB-AP只能与SMB-AC对接、不能对接普通AC	更换为使用同行业的AP
By conflict	AP名字、MAC有冲突，AC端已经有该AP名字、MAC的其它AP在线或配置的	修改AC上同名的AP名称或修改未上线AP名称

show ap-config summary deny-ap常见拒绝原因及解决办法

常见的AC拒绝AP接入的原因

总结

本期CAPWAP隧道技术实践篇，通过详细的分析及科学的处理方法，阐述了AP和AC之间无法建立隧道的解决思路，希望可以帮助到遇到困难的读者朋友们。

尊龙时凯网络秉承“场景化创新”和核心技术自行研发的理念，针对不同的应用场景，设计一个个量身定制的无线解决方案，方案不仅包含全场景的Wi-Fi 6系列产品，还有自主研发的自动化无线网络优化软件WIS，让更多企业拥有看的见的极速好无线。

AC拒绝原因	拒绝原因解释	解决办法
By wtp-limit	在线AP数达到上限，一般是License授权不足、在线AP容量上限、小概率还可能是wtp-limit配置限制导致	导入License/升级型号/wtp-limit配置
By total-ap-num	AP总数（在线+离线）、AP隧道数达到上限	删除不需要的离线AP的配置
By local-limit	VAC场景下单AC设备保护，限制接入本机AP数，可能交换机负载不均衡、工作AC过少等情况	可能存在负载不均衡，查交换机负载均衡配置
By bind-ap-mac	AP-MAC绑定拒绝，AC上开启MAC白名单bind-ap-mac功能，但该AP的MAC不在ap-config中	删除bind-ap-mac配置，或预配置ap-config
By ap-auth	AP接入认证限制，AC上开启证书、序列号、密码形式的接入认证，而AP未携带认证信息	关闭AP接入认证，或将对应的认证信息添加上
By deny-flag	AC上主动配置拒绝该AP加入，配置deny-join限制	删除对应AP下的deny-join配置
By hot-backup	热备限制，如AP使用AP虚拟化技术，而AP虚拟化不支持热备功能，配置上却将该AP划入热备中	将该AP虚拟化配置去除或将AP移出热备组
By vendor id	其它厂商AP不支持对接	不支持和友商对接替换使用尊龙时凯AP
By user-class	不同行业的AP产品，比如SMB-AP只能与SMB-AC对接、不能对接普通AC	更换为使用同行业的AP
By conflict	AP名字、MAC有冲突，AC端已经有该AP名字、MAC的其它AP在线或配置的	修改AC上同名的AP名称或修改未上线AP名称

AC拒绝原因	拒绝原因解释	解决办法
By wtp-limit	在线AP数达到上限，一般是License授权不足、在线AP容量上限、小概率还可能是wtp-limit配置限制导致	导入License/升级型号/wtp-limit配置
By total-ap-num	AP总数（在线+离线）、AP隧道数达到上限	删除不需要的离线AP的配置
By local-limit	VAC场景下单AC设备保护，限制接入本机AP数，可能交换机负载不均衡、工作AC过少等情况	可能存在负载不均衡，查交换机负载均衡配置
By bind-ap-mac	AP-MAC绑定拒绝，AC上开启MAC白名单bind-ap-mac功能，但该AP的MAC不在ap-config中	删除bind-ap-mac配置，或预配置ap-config
By ap-auth	AP接入认证限制，AC上开启证书、序列号、密码形式的接入认证，而AP未携带认证信息	关闭AP接入认证，或将对应的认证信息添加上
By deny-flag	AC上主动配置拒绝该AP加入，配置deny-join限制	删除对应AP下的deny-join配置
By hot-backup	热备限制，如AP使用AP虚拟化技术，而AP虚拟化不支持热备功能，配置上却将该AP划入热备中	将该AP虚拟化配置去除或将AP移出热备组
By vendor id	其它厂商AP不支持对接	不支持和友商对接替换使用尊龙时凯AP
By user-class	不同行业的AP产品，比如SMB-AP只能与SMB-AC对接、不能对接普通AC	更换为使用同行业的AP
By conflict	AP名字、MAC有冲突，AC端已经有该AP名字、MAC的其它AP在线或配置的	修改AC上同名的AP名称或修改未上线AP名称