无线CAPWAP隧道技术——实践篇

通过上一篇文章（无线CAPWAP隧道技术——理论篇），相信大家对CAPWAP协议技术原理有了一定的认识，本期我们从实践出发，帮大家梳理项目中最常遇到的CAPWAP隧道无法建立问题的解决思路。

CAPWAP协议介绍

AC通过CAPWAP协议实现对瘦AP的统一管理，在无线的日常实施和运维中，AP与AC无法建立CAPWAP隧道，会是各位工程师遇到最多的问题之一。今天就带各位读者梳理下CAPWAP隧道无法建立可能的原因以及解决办法。在AC或AP上通过命令show capwap state查看CAPWAP状态，如果状态未显示为Run说明CAPWAP隧道未建立成功，可按照以下步骤定位无法建立原因。

通过命令show capwap state查看CAPWAP状态

CAPWAP隧道无法建立排查表

检查AC的CPU利用率，AC的CPU过高（80%以上）可能会造成无法处理AP上线，在AC上可以通过命令show cpu查看当前CPU的使用率。

 在AC上可以通过命令show cpu查看当前CPU的使用率

检查AC的配置，常见的AC配置错误导致无法与AP建立CAPWAP隧道如下，如果读者目前还无法快速检查出以下配置问题也没有关系，这里可以先留有一个印象，下文中也有相应的排查手段进行定位：

• AC隧道地址配置错误；

• AC配置了AP接入安全限制；

• AC配置中AP名称冲突。

除了检查以上配置外，如果AC部署了冗余方案，AC热备或者AC虚拟化技术，还应该根据不同的冗余方案对不同方面的配置进行检查。如果部署了AC热备技术，要确保主备AC热备相关配置、AP组配置及AP配置一致。如果部署了AC虚拟化技术，确保AP到虚拟AC线路中涉及聚合线路的设备都配置负载均衡方式为基于源目IP负载均衡。

检查AP是否正常上电，可通过AP指示灯进行判断，如果AP指示灯灭，有可能是AP未正常加电。如果AP指示灯一直都是绿色闪烁，说明有可能AP主程序丢失，此时建议准备配置线进行主程序恢复。不同型号AP的指示灯表示含有略有差异，可参考相应型号的设备安装手册，官网下载位置 http://www.ruijie.com.cn/fw/wd/ 找到对应型号设备的安装手册进行指示灯状态确认。

检查AP是否工作在瘦模式，AP有瘦模式和胖模式两种工作模式，AP出厂后默认为瘦模式，只有瘦AP才会与AC建立CAPWAP隧道。在AP上可以通过命令show ap mode确认AP的工作模式，fit表示瘦模式，fat表示胖模式。如果AP的工作模式是胖模式，AP在特权模式下通过命令ap-mode fit切换为瘦模式。

CAPWAP隧道的建立是AP发起的，所以AP需要知道AC的CAPWAP隧道地址才能向AC发起CAPWAP隧道连接，AP发现AC的地址方法有多种。

AP被连接到网络时即进入发现AC的过程。AP使用广播、组播、单播方式发送“Discovery Request发现请求”报文向AC发起CAPWAP隧道连接。当使用单播方式时，需首先通过静态配置AC的IP地址、DHCP或DNS方式获得AC的IP地址列表。

AP向学习到AC的IP地址列表内所有地址发送“Discovery Request发现请求

Discovery Request发现请求报文中Discovery Type消息要素标记AP通过哪种方式学习到AC

那么AP同时使用广播、组播、单播方式向AC发送请求，那么AC会回复哪个请求呢？AC根据AP获取AC的IP地址的方式不同存在不同的优先级，静态配置AC IP优先级为7，动态DHCP或DNS获取的AC IP优先级为8，广播或组播报文优先级为9，数值越小越优先。

在AP上可以通过命令show capwap client state查看AC的IP地址列表，确认AP是否学习到正常的AC的CAPWAP隧道地址。AC的IP地址列表中初始有三个地址，255.255.255.255、224.0.1.140、ff02::18c，即IPv4的广播地址、组播地址和IPv6的组播地址，AP通过以下三种方式学习AC的IP地址列表：

• AP把静态配置的AC的IP地址加入到AC的IP地址列表中，在AP上通过命令acip ipv4/ipv6静态配置AC的CAPWAP隧道的IP地址

查看AC的IP地址列表存在静态配置方式学习到AC的IP地址

• AP通过收到DHCP报文中Option138或Option43字段的IP地址学习为AC的IP地址

查看AC的IP地址列表存在DHCP方式学习到AC的IP地址

• AP通过发送DNS报文解析出域名为ac.ruijie.com.cn的IP地址学习为AC的IP地址，其中默认域名ac.ruijie.com.cn可以修改

查看AC的IP地址列表存在DNS方式学习到AC的IP地址

所以当AP与AC在同一个广播域或者组播报文可达时，AP可以不学习到AC的IP地址，通过广播报文或组播报文直接与AC建立CAPWAP隧道。反之AP与AC不在同一个广播域或者组播报文不可达时，AP必须通过静态配置AC的IP地址、DHCP或DNS三种方式的其中一种学习到AC的IP地址，可以在AP上通过命令show capwap client state查看AC的IP地址列表，检查AP是否学习到了AC的IP地址。

锐捷AC和AP主要有10.X和11.X两个类型版本，目前主流使用的是11.X版本，10.X已逐渐不再使用，需要注意的是AC和AP必须同时使用11.X版本或同时使用10.X版本才能完成CAPWAP隧道建立。可以在AP和AC上通过命令show version确认当前使用的软件版本。

在AC和AP同时使用10.X版本时，对AP于AC的版本匹配要求非常高，版本号需要完全保证一致，不一致的情况很可能导致AP不上线。

从11.X版本开始AC和AP的版本开始去耦合，对于大多数11.X版本来说，AC与AP均在11.X版本即可，不需要版本号完全一致。

在AP和AC上通过命令show version确认当前使用的软件版本

在AP与AC建立CAPWAP隧道过程中，会交互多种CAPWAP报文。在AP上可以通过命令show capwap statistics查看各类CAPWAP报文接收与发送的数量，可通过查看AP的CAPWAP报文的接收与发送数量初步判断是否AP与AC隧道地址存在连通性问题。

如下图show capwap statistics中统计了AP自起机以来sended发送的报文数量、received接收的报文数量以及retrycnt重传的报文数量。如果sended发送的报文数量持续增长而received接收的报文数量未增加，建议检查AP与AC隧道地址是否存在不通的情况；如果retrycnt重传的报文数量持续增长建议检查AP与AC隧道地址是否存在丢包的情况。

查看AP的CAPWAP报文的接收与发送数量初步判断是否AP与AC隧道地址存在连通性问题

首先要确认AC的CAPWAP隧道地址是多少，在AC上通过命令show ac-config查看AC的CAPWAP隧道地址。一台AC上一般会存在多个IP地址，那么AC会使用哪个IP地址作为CAPWAP隧道地址与AP通信呢？默认AC是以Loopback 0地址作为CAPWAP隧道地址，如果AC上Loopback 0没有地址将没有CAPWAP隧道地址，在ac-controller模式下可通过命令capwap ctrl-ip手工指定AC的CAPWAP隧道地址。

在AC上通过命令show ac-config查看AC的CAPWAP隧道地址

其次检查AP到AC的CAPWAP隧道地址是否Ping连通，确定好AC的CAPWAP隧道地址后，登入已获得正确IP地址的AP上Ping AC的CAPWAP隧道地址，确定是否可正常Ping通。在不方便登入AP情况下，可使用电脑替换AP接入交换机，电脑上Ping AC的CAPWAP隧道地址查看是否正常通讯。如果检查存在AP到AC的CAPWAP隧道地址Ping连通性异常，需解决AP到AC的CAPWAP隧道地址网络层连通性，保证AP到AC的CAPWAP隧道地址三层可达。

如果AP到AC的CAPWAP隧道地址Ping连通，最后检查AP到AC的CAPWAP隧道地址是否UDP5246和UDP5247端口连通。在AC上通过命令show ip fpm flows | include AP的IP查看AC的流表，确认UDP5246和UDP5247端口是否有SendBytes发送流量和RecvBytes接收流量。如果检查存在AP到AC的CAPWAP隧道地址端口连通性异常，需解决AP到AC的CAPWAP隧道地址传输层连通性，保证AP到AC的CAPWAP隧道地址四层可达。

在AC上通过命令show ip fpm flows | include AP的IP查看AC的流表

如果AP上retrycnt重传的报文持续增长，首先检查AP到AC的CAPWAP隧道地址的Ping丢包情况，如果存在Ping丢包一般是中间链路环境导致，可以检查是否存在中间链路不稳定、网络中存在环路或者广播流量过大等情况。

除此之外AP与AC中间链路的MTU过小也会造成传输的CAPWAP报文重传，默认AP的CAPWAP隧道路径的MTU是1500字节，并且锐捷无线设备默认关闭CAPWAP分片功能，所以当AP与AC的中间链路设备MTU如果有小于1500字节的情况，就会造成超过1500字节的CAPWAP的报文被丢弃。可以在AC上通过将Ping包的大小调试为1500字节后Ping AP测试大报文能否连通。如果发现中间链路的MTU小于1500字节，可以在AC上AP配置模式或AP组配置模式通过命令capwap mtu调小CAPWAP隧道路径的MTU值保证CAPWAP报文通过链路而不被丢弃。

如果以上内容检查都没有问题，最后需确认是否有AC拒绝AP接入的情况。AC拒绝AP接入的原因有很多，比如配置问题、设备限制、安全限制等，可在AC上通过命令show ap-config summary deny-ap查看是否存在AC拒绝AP接入的日志以及拒绝的原因。

 AC上通过命令show ap-config summary deny-ap查看AC拒绝AP接入的原因

show ap-config summary deny-ap常见拒绝原因及解决办法

常见的AC拒绝AP接入的原因

本期CAPWAP隧道技术实践篇，通过详细的分析及科学的处理方法，阐述了AP和AC之间无法建立隧道的解决思路，希望可以帮助到遇到困难的读者朋友们。

锐捷网络秉承“场景化创新”和核心技术自行研发的理念，针对不同的应用场景，设计一个个量身定制的无线解决方案，方案不仅包含全场景的Wi-Fi 6系列产品，还有自主研发的自动化无线网络优化软件WIS，让更多企业拥有看的见的极速好无线。

详情请点击 http://www.ruijie.com.cn/cp/wx/