无线WiFi-博达无线产品线故障排查.docx

1.故障处理流程检查AC配置是否 正确这种一般为powerac故障导致，ACWEB启动后会与powerac建立一个IPC连接，这是一个 AC内部的IP连接通信，如果没有建立或者连接不稳就会造成链路中断的现象。rootlocalhost # netstat -anp |grep javatcp00127.0.0.1:8005:*LISTEN15766/javatcp000.0.0.0:80090.0.0.0:*LISTEN15766/javatcp000.0.0.0:900.0.0.0:*LISTEN15766/javatcp00127.0.0.1:33289127.0.0.1:5001 ESTABLISHED 15766/java上述最后一行就是ACWEB与powerac建立的通讯连接，powerac监听的端口是tcp 5001 , 如果没有建立这条连接，或者连接不稳定，就会出现读不到动态信息的现象，并且会提示链路中断。 造成这种现象的原因一般是powerac故障，或者powerac发生了重启但ACWEB没有跟着重启， 可能会造成通讯异常，从而导致此类故障。可用pidof powerac查看进程号，正常情况下可以看 到很多数字（进程号），如果没有则说明powerac异常，需手动重启powerac :rootlocalhost # cd /usr/1ocal/ac/bi nrootlocalhost # ulimit -c unlimitedrootlocalhost # kill all -9 powerac; nohup ./powerac >/dev/null 2>&1 & rootlocalhost # pidof powerac7305 7304 7288 7287 7286 7285 7284 7283 7282 7281 7280 7279 7278 7277 7276 7275 7274 7273 7272 7271 7270 7269 7268 7267 7266 7265 7264 7259备注：上述第二行是打开堆栈的动作，这样一旦powerac再次发生故障可能会记录一个core 文件，可以协助分析进程重启的原因，并非必要。3）进行配置操作时提示需要进行网元同步出现这种现象的原因是AC上保存的配置跟AP上实际的配置不一致，原因可能是之前的配置 没能正确下发，这时候最好不要点"是"进行网元同步，那样会消耗比较长的时间。建议点击【WEB 服务管理-WEB服务全局刷新】进行全局刷新，或者重启下ACWEB ,并注意尽量避免多人同时登 陆WEB进行操作，那样会造成配置数据异常。4）配置时出现不允许配置的问题查看【WEB服务管理-WEB访问控制】是否做了相应的权限配置，如果没有强制要求，这个 地方不建议进行读写权限配置。如果已经进行配置且用户没办法进行操作了，请联系技术支持。查看自己的账号是否具有配置权限。5）其它配置错误23 AC挂死AC挂死指AC设备系统进入一个异常状态，无法正常运行，甚至连报文收发都不正常，而且 不会自动重启，必须人为干预的一个异常状态。目前已知的会导致AC设备挂死的原因有：机框式 X86单板BIOS版本是A1.2 ,如果遇到供电电流抖动，时间超过50ms ,就会进入挂死状态,解决 办法是升级BIOS到A1.3 ,目前新出厂的设备BIOS都会更新到A1.3。主控板的前面板接口图如下所示：COM USB GbE主控板前面板图此外前面板上提供以下LED灯用于指示单板状态:无服务LED （红色）介质LED （琥珀色）用户LED（绿色）热插拔LED （蓝色）重置按钮LEDLED灯的详细定义如下:热插拔LED （蓝色）FRU状态号FRU状态名称灭M0FRU没有安装亮MlFRU没有激活长闪M2FRU需要激活灭M3FRU正在激活灭M4FRU激活短闪M5FRU需要去激活短闪M6FRU正在去激活无服务LED（红色）状态备注闪烁BIOS POST 中FRU状态M4灭BIOS POST 成功FRU状态M4亮关闭os后FRU状态Ml介质LED （琥珀色）状态备注闪烁进入硬盘I/O接口灭硬盘I/O 口空闲用户LED （绿色）状态备注亮默认亮这个LED是为客户程序预留的, 可以通过GPIO控制。正常情况下，无服务LED灯应该是灭的，如果常亮说明系统故障，设备挂死。正常情况下所 有的热插拔指示灯都是灭的，如果有亮蓝色灯说明相应模块没有插好，或供电异常，请重新插拔板 卡和相应的模块，如果仍不正常可尝试用替换法更换槽位和板卡来测试故障点。正常情况下，用户LED灯应该常亮，代表系统正常运行；介质LED灯应该偶尔闪亮，代表硬 盘在进行读写操作；网口指示灯右边一个常亮，代表网口已经连通，左边一个闪亮，代表正在收发 数据；光口指示灯应该闪亮，代表光口连通并有数据收发，如果不亮，可能是光纤插反或光路不通。如果机框周围指示灯有亮蓝色灯,说明机框给板卡的供电异常，尝试更换槽位看能否恢复正常； 如果主控板上有亮任何蓝色灯，说明有模块未插好，重新插拔后重启看能否恢复，不能恢复则替换 相应模块。如果用户LED灯不亮或者无服务LED灯常亮，说明系统运行异常，必须用串口或者外接显示 器、键盘查看启动情况；如果串口无反应，尝试掉电重启AC,查看串口有无打印，如果无则硬件 损坏，必须返厂维修，如果能进入BI,主要是查看能否找到硬盘，可尝试把BIOS恢复缺省配置再 重启试试看OS ,可按DEL键进入BIOS查看外围设备是否都正常，如果找不到硬盘，则说明硬盘 坏或硬盘未插紧，此时硬盘卡的热插拔灯应该亮蓝色，重插硬盘卡即可；如果能找到硬盘，系统应 该能自动从硬盘引导并进入系统，可多等几分钟看能否正常启动，如果不能则说明硬盘数据损坏， 可替换硬盘或者直接返厂。3.用户现场故障处理WLAN网络中通过AC+瘦AP以及交换机、BAS等网元设备的组网，实现了用户无线接入网络以提供方便的网络服务，按照AC/AP对用户业务报文的处理方式，可以将组网分为3类，分别是本地转发，集中转发二层转出和集中转发三层转出，如下图所示:用户业务流左边是本地转发方式组网，本地转发的特点是业务流不经过AC ,由AP添加业务VLAN ,交 换机二层透传直至BAS,目前大部分WLAN网络采用这种方式组网。本地转发组网下AC不用处 理用户业务报文，只需对AP进行管理，用户报文由AP添加业务VLAN并转发，透过二层网络直 至BAS ,由BAS来给用户下发地址、提供认证功能和上网通道。中间一种是集中二层转出的组网方式，业务流要经过AC,不过AC并不做处理，而是直接二 层转出，还是由BAS来给用户下发地址、提供认证功能和上网通道。集中转发的特点是业务流要 经过AC,对AC吞吐量的要求比较高；在AC-AP之间，用户的业务报文是经过CAPWAP隧道封 装的，与管理报文共享传输通道，因此下行链路无需配置业务VLAN ;报文抵达AC后，剥除隧道 并添加业务VLAN后二层转发到BAS ,因此业务VLAN只需配置到L2-WAN 即可。右边是集中三层转出的组网示意图，这种组网方式是由AC给用户分配地址并提供认证功能， AC作为用户业务网关，可以实现对用户业务的三层转发，支持NAT和路由,可以理解成AC融合 了 BAS的功能，同时也需要对AP进行管理。下行链路与集中二层转出一样，也是通过隧道接收用 户报文，无需配置业务VLAN ；内部需配置用户网关地址、DHCP服务以及认证等功能，业务VLAN 终结在AC上;上行接口是L3-WAN 口 ,需配置公网IP、网关以及互联VLAN，保证AC可以正 常访问公网。用户面上网可以分为两个阶段，首先是用户无线关联AP,建立二层通路，这个过程相当于有 线网络中的插上网线的过程，由于无线网络的便捷性、安全性的要求，加上无线介质本身的不可靠 性，无线的关联过程并不像有线简单的插上网一样简单；第二阶段是用户业务报文由AP-AC进 行转发并处理的过程，本地转发组网用户业务是由AP-交换机-传输链路-BAS来完成转发；集中二 层转发则是由AP-AC-BAS来完成业务转发和处理，其中AP-AC间经历了传输链路；集中三层转 发则是由AP-AC完成业务转发和处理，AC是业务控制点。因此故障可分为无线和组网两部分来排查。3.1 无线问题问题分析注意区分用户无法关联和无法获取地址的区别，无法关联就像是网口没插一样，网络连接图标 是未连接状态，是一个红叉的图标，表示链路未连通；而关联获取不到ip地址会显示网络受限， 是一个三角形加感叹号图标，表示当前网卡网络层不通。有些情况下无需获取ip地址只要关联上即可比如用户采用PPPoE拨号上网比如用户进行802.1X认证的过程中但是若需要进行Portal 认证前则一定要先获取IP地址，用户完成802.1X认证后开始访问网络之前也是必须获取IP地址。故障排查1）用户无法关联到AP用户关联到AP的过程比较简单，首先终端发起关联请求，AP收到关联请求后回以关联响应, 响应报文中包含鉴权方式；根据鉴权方式的不同，终端发起鉴权请求，OPEN方式AP侧无需进行 鉴权直接回应鉴权响应用户成功关联到AP如果AP设置了安全访问限制比如采用WPA/WPA2 加密，则需进行进一步的鉴权交互，鉴权完成后，终端才能关联到APO如果用户无法关联，先检查AP上SSID是否是Open方式鉴权，一般情况下，业务SSID都 是Open方式鉴权；如果是而用户却关联不上，则检查AP上是否设置了关联数用户限制，以及是 否已经达到限制的用户数；注意有两个用户数限制可配，分别是AP级用户数限制和VAP级用户数 限制，任何一个达到临界值用户都无法关联成功。如果SSID配置了安全策略，请先确保客户端设 备支持所选择的鉴权、认证方式，（比如Android手机目前就不支持SIM认证,I0S6存在SIM认证 缺陷）且需对客户端进行相应的配置，具体请参考附件中WPA接入说明，并需提供正确的凭据以供 验证。用命令检查AP上关联统计，分析关联失败原因:# ieee80211cfg apO_l getstat assoc ssid: CMCCulStaAssoc:2ulAllStaTime:40731ulAssocTimes:911ulAssocFaiiTimes:848ulReassocTimes:8ulDi sassocBySta:31ulAssocFai1 Resource:0ulAssocFai1 BaseRate:0的总次数ulAssocFai1NotStd:0ulAssocFailOther:848当前关联的终端数关联次数由于接入点资源有限而被拒绝关联的总次数因终端不支持基本速率集要求的所有速率而关联失败由不在802.11标准制定范围内的原因而关联失败的总未知原因而导致关联失败的总次数由于之前的关联无法识别与转移而导致重新关联失败重关联失败次数ulAssocFai1NotShi ft:0的总次数ulReassocFai1Times:0ulReassocFai1Resource:0ulReassocFai1 BaseRate:0ulReassocFai1NotStd:0ulReassocFai1 Other:0ulReassocFai1NotShift:0对于由于接入点资源有限而被拒绝关联的总次数 一般是由于AP上用户数已经达到配置的最大接入用户 数导致的关联失败；其它原因则需进一步查看统计，并把统计反馈给研发处理。 # iwpriv apO_l iv_stats;dmesg省略mgmt frame stats火*女*火*i s rx mgtdi scard= 510537i s rx bad auth= 0i s rx auth spoof= 0i s rx acl= 0i s rx auth countermeasures= 0i s_rx_auth_unsupported= 0i s rx auth fail= 0i s rx assoc notrun= 0i s rx reassoc notrun= 0i s rx assoc bss= 0i s rx reassoc bss= 0i s rx assoc badrequest= 0i s rx reassoc badrequest= 0i s rx assoc notauth= 397i s rx reassoc-notauth= 0i s rx assoc capmi smatch= 0i s rx reassoc capmi smatch= 0i s rx assoc norate= 0i s rx reassoc norate= 0i s rx assoc badwpai e= 475/wpa 关联失败i s rx reassoc badwpai e= 0省略确认用户无线网卡支持相应的频段和模式：比如大部分终端网卡不支持5.8G频段，因此无法关联至 5.8G的AP信号；如果终端被强制成5.8G模式，就会无法关联到2.4G信号；如果终端只 能支持11b模式，或者被强制配置成11b模式，而AP被配置成g/n模式，不兼容b模式，就会 出现关联失败；如果终端或者AP的国家码不正确，由于不同国家的ISM频段也不尽相同，因此也 可能造成无法关联甚至搜索不到信号的问题，请将终端国家码设置成中国。2）确认无线信号是否正常使用WirelessMon等无线扫描软件可以扫描到AP发出的信号情况，看AP信号的强度是否 足够，以及是否稳定；一般信号强度在-30-60dBm连接效果比较好，低于-75dBm则信号偏弱, 信号覆盖不足，高于-20dBm则信号过强;如果信号强度波动很大，经常时有时无，则终端关联也 会不稳定。常用信号扫描软件用法参见附录。查看信道干扰情况，对于2.4G无线网络有3个独立信道,常用的是1、6、11三个信道，尽 量让AP均匀分布在这三个独立信道，尤其相邻区域AP信道应当尽量避开，以避免互相干扰；如 果信号很好，但同信道相同SSID的AP个数超过3个，且最强信号强度与次强信号强度差不足 10dB ,则属于过覆盖，应该适当降低AP的发射功率，如果调整功率仍无法满足，应当减少AP布 放。如果最强信号强度不足-65dBm ,则属于覆盖不足，应当适当增加AP发射功率,或适当调整 天线位置和角度，以满足信号覆盖强度要求，如果不足则增加AP覆盖。AP上查看终端上行信号强度是否满足要求： # wlanconfig apO_l list staAID CHAN TXRATE RxRATE RSSI IDLE TXSEQ RXSEQ CAPSACAPS ERPSTATE5010 15604 48512 ESs5010 15604 48512 ESs00:la:7f:0a:4f:04 1154M11M23 Q WMEbc:cf:cc:df:a4:4f 211M11M1504262096 ESs33 Q WME00:e4:4c:30:a5:21300:e4:4c:30:a5:21354M54M45064348023 Q WMERSSI列表示AP接收到终端信号的信噪比，一般20以上说明信号比较好，28-60之间最佳，低于20说明信号偏弱；TxRATE表示AP给终端发包的速率，RxRATE为AP接收终端上行报文的 速率，如果信号弱则收发报文速率会比较慢。3.2 本地组网转发问题分析本地转发情况下，用户业务由AP打上业务VLAN并转发，如果出现用户业务故障，一般跟AC无关，比较常见的原因是业务VLAN不正确或者AP本身故障。本地转发组网要求传输网络同 时配置管理VLAN和业务VLAN ,其中管理VLAN终结至! AC或三层交换机（有些是BAS）,业务 VLAN终结到业务BASO本地转发业务和管理通道分离，AC-AP间管理隧道只传送管理报文，不 传送业务报文，用户业务报文由AP本地转发，不封装隧道,直接添加VLAN后经由业务VLAN二 层直达BASO用户无法上网，首先应排查用户能否正确获取IP地址，并测试网络连通情况和丢包 情况。故障排查telnet登陆AP , brctl show命令查看AP接口关系，注意IXP平台的AP命令是brctl show ANYO # brctl showbridge namebridge idSTP enabledinterfacesmesh28000.0680487376c3 noixpO.2232ap0_lmeshl8000.0e804874b31enoixplapl_4vdev_meshO8000.0080487376c3noixpOap0_0 apl_2mesh2是本地转发桥，meshl是集中转发桥，meshO是管理桥。如上例所示，mesh2桥下 有两个 interface ,分另!是 apO_l 和 ixpO.2232 ,其中 apO_l 是 VAP ,无线接口，ixpO.2232 是有 线接口上的vlan子接口 ;即接入apO_l的用户业务报文由有线口的业务VLAN 2232转出，这样 就实现了无线SSID到有线业务VLAN的映射。接入这颗AP下apO.l这个SSID的用户对应的业 务 VLAN 是 2232。可以用命令简单测试业务vlan是否通畅zdhclient -p 68 mesh2命令可以让mesh2调用dhcp 客户端程序获取一个IP ,相当于用户无线接入去获取IP地址。如果能获取IP地址，证明业务VLAN 是通的；如果不能，用ifconfig ixpO.2232查看是接口是否有报文收发，如果只有TX没有RX ,说明交换机或者上行链路该业务vlan不通，一般多半是配置错误。注意使用了这个指令以后最好要 重启一下AP,或者ps找到进程ID然后手动杀掉进程并把mesh2的IP修改成0o用户无法打开portal页面的问题，首先查看用户是否正确获取了 IP地址、子网掩码以及网关、 DNS等配置，如果获取配置不全或不正确，都无法打开portal页面。用户获取IP地址后，在CMD 命令行中ping网关DNS和portal地址，查看丢包情况，有些BAS设备可能会设置禁ping ,此 时网关ping不通，但DNS和portal 一般能通。如果可ping通且丢包率正常，证明网络通畅， 打不开portal页面一般是用户电脑问题。网络慢或延迟大问题，先同上进行ping测试，如果延迟有异常，再到机房试下网口直连业务 链路是否正常。如果直连网络正常而通过无线就出现异常，基本可以确定问题是在无线侧，可能原 因是AP、无线链路或者用户PC问题。从AC去ping AP的管理地址，确认管理通道以及网口是 否正常；如果正常，再给该AP创建一个test SSID ,本地转发业务VLAN为0 ,用户关联上去获 取IP地址并ping AP的管理地址，并换不同终端进行测试，如果有终端正常，证明无线和AP均 正常，个别终端存在问题；如果所有终端都异常，则问题很可能出在AP或者无线链路上;试试给 AP切换不同的信道进行测试，如果有信道工作情况明显有改善，一般说明是干扰导致，如果所有 信道都比较差，可能是AP本身故障，考虑替换AP试试。本地转发配置要点：务必要将业务SSID设置为本地转发模式，并配置正确的业务VLAN。在 AP上使用brctl show能看到配置已正确下发并生效。3.3 集中二层转出组网问题分析集中转发二层转出组网方式，用户业务由AC-AP集中转发,AP-AC之间建立CAPWAP隧道, 业务报文和管理报文都经由隧道封装，因此只需要一个管理通道即可，AC-AP之间无需配置业务 VLAN ; AC侧会将管理和业务报文分离，并将业务报文集中转发，并添加相应的业务VLAN后由 L2-WAN 口二层转出。故障排查2.控制层的故障处理控制面的故障包括AC侧故障和AP侧故障。WLAN网络元素主要有AC和AP,其中AP是无线访问点，能发射无线信号，并能供用户接 入使用。一般AP的无线覆盖范围比较有限根据AP无线发射功率的大小可分为大功率(500mw)AP 和小功率(lOOmw)AP。在普通室内环境下，考虑到房间墙体的衰减等，小功率AP的覆盖半径大约 是15m;而大功率设备一般通过接入室分系统来让信号覆盖范围更广，或者通过外接高增益天线 实现在室外空旷环境下对较远距离的覆盖。但是受限于终端的发射功率，一般终端设备如笔记本、 手机等效果较差，可以使用大功率网卡和CPE等特殊的大功率终端设备来取得较好的效果。AC是AP控制器，是集中管理AP设备的专用设备，AC相当于服务器，AP相当于客户端。 AC可以管理AP是WLAN网络正常运行的必要条件。能管理AP是AC设备的基本功能，同时AC 一般还具有转发用户业务报文的能力，甚至可以作为用户网关，给用户分配IP地址，提供多种认 证方式等功能。从业务层面看，对用户而言，AP提供的是一个无线接口 ；对网络而言，AP实现的是用户业务 报文从有线到无线之间的转换。同时AP作为一个小型的网元设备，本身要作为一个客户端被AC 管理，AC-AP之间的管理协议CAPWAP协议，是基于UDP/IP的一个管理协议，因此AP欲要正 常在AC上上线，受到AC管理，首先必须获取管理IP地址，并能跟指定的AC通信。21AP侧故障处理2.1.1 AP无法上线问题分析AP不上线是指在AC上没有看到AP进入在线状态，或者根本看不到AP的信息。WLAN瘦AP是"零配置"设备，"零配置”是指AP本身是无需做任何配置，只要上电，网 络畅通即且配置正确可自动寻找到AC并上线。因此AP上线的客观条件有两个：正常上电启动， 网络畅通且数据配置正确。telnet登陆AP , brctl show命令查看AP接口关系，注意IXP平台的AP命令是brctl showANYO# brctl showbridge namebridge idSTP enabled iinterfacesmesh28000.0680487376c3 noixpO.2232ap0_lmeshl8000.0e804874b31enoi xplapl_ vdevmeshO8000.0080487376c3noixpOap0_0 apl_2如上所示，meshl是集中转发桥，桥下有3个接口分别是ixplzapl_4和vdev_0 , ixpl和 vdev_0都是系统设备，apl_4是无线VAP ,代表apl_4这个VAP是集中转发业务SSID,这里可 以看到并无vlan信息，因为我们的集中转发业务VLAN并非由AP添加，而是由AC映射添加， 因此AP上并不需要业务VLAN配置。AC上用brctl show命令查看AC的端口与桥关系，看端口设置是否正确： rootlocalhost # brctl show bridge name bridge idSTPenabled interfacesbasebr8000.00306421d588noeth7eth6brO8000.00306421acacnoeth8.5brl8000.00306421acacnoeth8.1000eth4vdev_0br28000.00306421acacnoeth8.8br38000.000000000000nomngbr8000.0030642Id587noeth5如上所示，AC上的桥比较多，basebr是板卡间管理桥，brO是AP管理桥，brl是集中转发 用户桥，br2是AC管理桥，也是AC对外的三层接口，br3是主备通信桥，mngbr是本地管理桥, 对应的是本地管理口 B (eth5)o集中转发用户业务VLAN由AC根据映射规则来添加，目前有以下4种映射规则可配，按照优 先级从高到底排序分别是：终端MAC-VLAN映射端口-VLAN映射,APIP地址段-VLAN映 射SSID-VLAN映射。如果没有配置正确的VLAN映射关系，可能会导致业务VLAN不通或错误。对于集中L2转出的组网情况下，业务VLAN还必须要在L2-WAN 口启用，才能正确收发业务报 文。集中转发业务不通常见的故障原因有内核错误等，可用下列命令查看： rootlocalhost # grep default /etc/grub.conf default=0rootlocalhost # uname -aLinux 1 ocalhost. 1 ocaldomain 2.6.18.8.ac #1 SMP wed Dec 28 15:13:14 CST 2011 i686 i 686 i 386 GNU/Li nux如果上述打印存在异常，请联系技术支持。由于集中转发业务报文经由AC处理，而目前AC的硬件架构都是X86架构，转发能力有限。 因此当流量过大时，可能会造成网速慢的问题，原因是已经达到AC转发能力极限。2012年前出 的AC旧版本版本的转发能力大约为300Mbps , 2013年出的版 本以及之后的版本，转发性能大约是700Mbps。（上下行速率之和）可通过top命令查看当前CPU 负载情况，再按1键可查看每颗CPU内核的负载情况。top - 14:31:46 up 27 days, 15:13, 1 user, load average: 1.22, 1.87, 2.01 Tasks: 165 total,2 running, 163 sleeping, 0 stopped, 0 zombieCpuO: 13.4%us,2.6%sy,0.0%ni, 46.l%id,0.3%wa,4.2%hi, 33.3%si,0.0%stCpul: 3.3%us,10.5%sy,0.0%ni, 43.1%id,0.0%wa,3.3%hi, 39.9%si,0.0%stCpu2:2.6%us,4.9%sy,0.0%ni, 43.0%id,1.9%wa,4.5%hi, 43.0%si,0.0%stCpu3:2.6%us,12.3%sy,0.0%ni, 52.8%id,0.0%wa,4.5%hi, 27.8%si,0.0%stMem: 3631756k total, 3193684k used,438072k free, 200076k buffersSwap:0k total, 0k used, 0k free, 908652k cached如上所示，当AC业务比较繁忙时，top命令查看到软中断(si)占用CPU利用率比较高。正常 情况下CPU负载比较均衡，如果看到CPU有一直维持在很高利用率的情况，请联系技术支持。上 例中AC整体的CPU利用率大约是50% ,可以看到空闲率(id)平均在50%左右，另一种算法是拿 load average数值除以4(核)，即可得到平均负载，3个数字分别是最近1分钟、5分钟、15分钟 系统的负载，可以看到当前系统15分钟的平均负载也是50%左右。集中L2转出的组网方式配置要点：SSID配置成集中转发，业务VLAN为0 ;然后在AC上添 加业务VLAN并在L2-WAN 口启用，配置适当的VLAN映射策略；如果存在疑难问题可以抓包进 行确认，tcpdump -i brl -s 0 -v -w xxx.pcap udp port 67 or 68 或者过滤用户 mac 地址，并 在终端同步抓包，分析报文是否一致，流程是否正确，以及是否丢包等。3.4集中三层转出组网问题分析集中转发三层转出组网方式，AC需配置用户级地址池和网关，用户业务报文由brl桥接收， 然后由L3-WAN路由或NAT三层转出。此时AC是业务控制点和用户网关，因此配置比较多，也 比较容易遇到问题。故障排查1）用户无法获取IP地址问题此时用户IP地址由AC分配，如果用户获取不到IP地址，应首先检查AC配置：检查SSID配 置是否是集中转发，VLAN为0 ,检查VLAN映射是否配置，检查用户级地址池是否配置正确，是 否绑定了错误的VLAN。如果配置没有问题，可进行抓包确认，在用户桥brl抓包，看能否抓到用户获取IP地址的报 文:tcpdump -i brl -s 0 -v -w /usr/local/ac/001.pcap udp port 67 or 68 ,等一段时间抓到 足够多的报文后，按ctrl+c停止抓包，并将报文取回分析。报文分析中可以查看到用户获取IP地 址的过程，根据MAC可以分析到谁给用户分配了 IP地址。试试在客户端禁用并重新启用无线网卡再重新关联信号，尝试能否获取IP地址；用ipconfig /release手动释放地址，用ipconfig /renew重新获取地址，用ipconfig /all查看地址配置。2）用户无法弹出PORTAL页面问题先确认用户能否获取IP地址，以及IP地址、网关、DNS等是否正确，并ping网关、DNS、 PORTAL服务器地址进行测试，看延迟和丢包率是否正常；一般如果能正确获取IP地址和网关， 都能正常ping通网关和PORTAL ,如果忘记配置DNS服务器，就会导致用户无法弹出PORTAL 页面，因为用户上网必须由DNS来解析域名，没有DNS就会无法解析域名而无法上网，但是QQ 等应用则可以正常使用。AC上查看认证配置和PORTAL配置是否正确，是否打开强制PORTAL认证功能,PORTAL URL配置是否正确，白名单是否添加。（PORTAL/DNS会被系统默认加入白名单,无需手动添加） 遇到疑难情况可以在客户端安装并使用抓包软件wireshark来抓包分析以分析问题根本原因,AC上可以同步抓包定位，以便核对报文是否被正确转发到AC, tcpdump -i brl -s 0 -v -w xxx.pcap ether host aa:bb:cc:dd:ee:ff,抓包工具的用法参见附录。3）无法认证或者认证错误问题遇到认证错误问题先检查认证数据配置是否正确，是否配置了正确的NAS-ID和NAS-IP ,认 证服务器地址、端口以及密码是否正确，AC能否ping通认证服务器，hrd和account进程是否 运行正常，连接是否建立。rootlocalhost # pidof hrd4274rootlocalhost # pi dof account5400 5399 5398 4252rootlocalhost # netstat -anp |grep accountUdp00111.9.11.94:33280221.176.1.138:2646ESTABLISHED4252/accountUdp00111.9.11.94:33281221.176.1.138:2646ESTABLISHED4252/account以下省略若干行在AC上进行抓包，以便分析认证过程及其失败原因:tcpdump -i br2 -s 0 -v -w xxx.pcap udp port 1645 or 1646 or 2000 ,具体需要抓取的端口视配置而定，一般中移会用到udp 1645/1646/1812/1813/2645/2645 作为认证计费端口，udp 2000/50100/50200 等作为PORTAL交互端口，udp 3799作为DM下线端口。4）其它用户受限及网速慢的问题可参见本章其它章节。附录4.1后台修改WEB监听端口修改WEB监听端口只要修改文件中相应的字段即可，注意外场AC上的该文件可能跟下面列举的不完全相同，只要关注相应的字段即可。用vi编辑器打开这个文件,按/键输入字符串port=H 80"（当前端口可以通过netstat命令查看）回车搜索，找到下面标红的一行，把80端口修改成90端口，再重启WEB服务即可。下列内容是剔除了注释和空格的server.xml文件内容，有些AC内容可能不尽相同，只要找到<Service name="Catalina”>或者（Service name=匕c-web”>开始的段落即可。<Service name=HCatalinaH><Connector port="80" protocol="HTTP/1.1"connect!onTimeout="20000"redi rectPort=n443" /><Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150n scheme="https" secure=,'truen clientAuth="false" sslProtocol=nTLS，7><Connector port=n443H protocol="HTTP/1.1" SSLEnabled=Htruen maxThreads="150" scheme=',httpsn secure=,true" clientAuth=nfalseH sslProtocol=nTLSHkeystoreFi1e="/etc/tomcat.keystore* keystorePass="changeit"/><Connector port="8009M enableLookups="false" protocol="AJP/l.3nredi rectPort=,443H /><Engi ne name="Catali na" defaultHost=n1ocalhost"><Host name="localhost" appBase="webapps" unpackWARs=ntruen autoDeploy="true” xmlVaiidation=Hfalse" xmlNamespaceAware="falsen><Context docBase="/usr/local/ac/web/ac-web" path=n" reloadable="truen workDi r=n/usr/local/ac/web/ac-web/work"/></Host></Engi ne></Servi ce>4.2 修改AC OEM信老的AC版本在ACWEB上创建AP时会自动创建一个对应运营商的SSID ,比如移动AC会自 动创建CMCC的信号，联通会自动创建ChinaUnicom ,电信的会自动创建ChinaNeto如果拿电 信的AC到移动那边去用，那么新建的AP会自动创建一个ChinaNet的信号，这样很显然是不合 适的，此时可以通过修改AC的OEM配置来修改默认创建的SSIDO用IE浏览器打开http:xxx.x/customerjsp ,输入密码：日期_customer_oem ,日期是当天的日子