AC运维培训.ppt

ac运维培训 confidential copyright 2010. aruba networks, inc. all rights reserved title 管理平台维护常用命令 业务平台维护常用命令 ap加入ac阶段常见问题 用户获取不到地址常见问题 用户获取地址，无法正常弹portal页面 用户弹出portal，无法通过认证 confidential copyright 2010. aruba networks, inc. all rights reserved 管理平台维护常用命令 业务平台维护常用命令 ap加入ac阶段常见问题 用户获取不到地址常见问题 用户获取地址，无法正常弹portal页面 用户弹出portal，无法通过认证 confidential copyright 2010. aruba networks, inc. all rights reserved 1.1、如何修改管理平台后台账号密码 在管理平台后台命令行提示符下输入： passwd 根据提示输入新的口令 可以修改root，vupdate用户默认口令。 管理平台维护常用命令 confidential copyright 2010. aruba networks, inc. all rights reserved 1.2、如何修改接口ip地址 /etc/network.d/目录下存放的是网卡配置文件 ifcfg-ethx (x是网卡的编号，为数字0-5) 此配置文件的格式如下： device=eth3 onboot=yes bootproto=none hwaddr=00:0b:ab:1a:9c:a4 netmask= ipaddr=7 type=ethernet userctl=no ipv6init=no peerdns=yes 其中我们只需要配置蓝色的两个字段即可 系统内置vi编辑工具，可以直接用vi编辑相关配置文件。 管理平台维护常用命令 confidential copyright 2010. aruba networks, inc. all rights reserved 1.3、增加静态路由和默认路由 /etc/network.d/目录下存放有静态路由配置文件static_route static_route的配置格式如下： -net /24 gw default gw 其中第一条是网段路由,其含义是： 目的ip是 掩码为这个网段的, 网关为 其中第二条是默认路由,其含义是： 默认路由为 管理平台维护常用命令 confidential copyright 2010. aruba networks, inc. all rights reserved 1.4、修改网络配置文件，让其立即生效 修改/etc/network.d下面的网络配置文件后, 如果想其立即生效 执行/etc/init.d/network restart 保存配置文件 执行copy_run_to_startup 管理平台维护常用命令 confidential copyright 2010. aruba networks, inc. all rights reserved 1.5、debug命令 排查故障时可以打开后台的debug命令，输出相关调试信息，执行较多的命 令如： 执行debug accomm all 关闭debug消息打印 执行no debug accomm all 管理平台维护常用命令 confidential copyright 2010. aruba networks, inc. all rights reserved 管理平台维护常用命令 业务平台维护常用命令 ap加入ac阶段常见问题 用户获取不到地址常见问题 用户获取地址，无法正常弹portal页面 用户弹出portal，无法通过认证 confidential copyright 2010. aruba networks, inc. all rights reserved 2.1、如何配置带vlan标记的互联接口 interface gigabitethernet 1/0.0 vlan id 49 ip address 22 52 业务平台维护常用命令 confidential copyright 2010. aruba networks, inc. all rights reserved 2.2、接口协商常见问题 如果和对端设备link不上，建议对端设备接口配置强制全双工，业务 板接口配置以下命令 interface gigabitethernet 1/0.0 duplex full #强制全双工 业务板2、3号端口和对端设备link不上（包括业务板的12ge背插扩 展板），尝试在全局模式下配置以下命令 bnos(config)# front-port-serdes port 2 bnos(config)# front-port-serdes port 3 业务平台维护常用命令 confidential copyright 2010. aruba networks, inc. all rights reserved 2.3、查看端口状态 查看端口1/0状态 show interface 1/0 查看所有端口状态 show interface gigaethernet 1/0: = ethernet address is 00:08:d2:f2:70:a1 mtu is 1500 line link state is up admin state is up work mode is 1000m, full 55018(53.746k) packets received 64bytes: 1164(1.140k) 65-127bytes: 31000(30.280k) 128-255bytes: 5302(5.182k) 256-511bytes: 4099(4.003k) 512-1023bytes: 3607(3.535k) 1024-1518bytes: 9810(9.594k) 1519-1530bytes: 36(36) 50679(49.503k) packets sent 64bytes: 160(160) 65-127bytes: 23987(23.435k) 128-255bytes: 3184(3.112k) 256-511bytes: 4487(4.391k) 512-1023bytes: 3392(3.320k) 1024-1518bytes: 13189(12.901k) 1519-1530bytes: 2280(2.232k) 1444(1.420k) multicast packets received 0(0) multicast packets sent 24(24) input errors, 0(0) output errors 23(23) drops rcvd rate is 0(0)packets/s, 34(34)/s sent rate is 0(0)packets/s, 32(32)/s interface doesnt config ip address 业务平台维护常用命令 confidential copyright 2010. aruba networks, inc. all rights reserved 2.4、查看dhcp用户信息 查看dhcp用户信息 bnos# show dhcpuser ip 用户mac 接入mac port vlan cvlan lease online = = 00:11:b5:1b:89:86 00:11:b5:1b:89:86 0 1409 1449 600 108 00:11:b5:1b:89:a0 00:11:b5:1b:89:a0 0 1409 1449 600 104 00:11:b5:1b:89:5c 00:11:b5:1b:89:5c 0 1409 1449 600 285 2 00:11:b5:1b:8a:10 00:11:b5:1b:8a:10 0 1409 1449 600 80 - total online users: 4 bnos# 业务平台维护常用命令 confidential copyright 2010. aruba networks, inc. all rights reserved 2.5、查看认证用户信息 查看认证用户信息 bnos# show auth-user 当前系统中共有30个认证用户在线 用户名 ip地址 端口 vlan 类型 上网时长 =du 1 3480 dhcps 4:45:12du 1 3480 dhcps 0:15:44du 3 1 3480 dhcps 1:25:44du 70 1 1801 dhcps 3:21:21du 74 1 1801 dhcps 4:26:26du 75 1 1801 dhcps 3:3:52du 82 1 1911 dhcps 0:28:30du 96 1 1799 dhcps 3:50:20du 33 1 1799 dhcps 2:40:7du 1 1801 dhcps 0:57:560 1 1737 dhcps 0:53:122 1 1739 dhcps 1:2:2du 1 1 1799 dhcps 0:19:301 1 1797 dhcps 0:3:37du 48 1 1799 dhcps 1:55:2du 68 1 1801 dhcps 7:45:8 bnos# 业务平台维护常用命令 confidential copyright 2010. aruba networks, inc. all rights reserved 2.6、查看用户隧道转发表信息 查看用户隧道转发表信息 bnos# show wireless station sta_mac vlan_ac vlan_ap bssid tunnpeerip tick lctunid lcsesid rttunid rtsesid ssid = = 00:25:d3:6f:92:1b 1831 1831 00:11:b5:1a:2a:a6 8 131557412 779 34 779 34 cmcc 00:1f:3c:23:f4:fb 1799 1799 00:11:b5:1a:10:1d 5 146531968 716 5 716 5 cmcc-edu 00:24:d2:60:ce:09 1911 1911 00:11:b5:1a:14:9e 51 148873511 141 3 141 3 cmcc-edu 00:12:f0:41:90:b0 3480 3480 00:11:b5:19:d3:16 9 146828700 254 28 254 28 cmcc-edu 00:25:d3:fb:3d:2a 1801 1801 00:11:b5:1a:0f:19 31 148207018 745 8 745 8 cmcc-edu c4:17:fe:51:40:ff 1801 1801 00:11:b5:1a:2b:ed 36 147851884 172 11 172 11 cmcc-edu 1c:4b:d6:58:e3:3e 3480 3480 00:11:b5:19:69:24 6 148552138 266 64 266 64 cmcc-edu 00:0f:10:72:03:69 1739 1739 00:11:b5:19:c9:5a 0 148694949 415 0 415 0 cmcc 00:26:82:2c:b9:32 1803 1803 00:11:b5:1a:2b:57 26 148019106 677 0 677 0 cmcc-edu 00:13:02:23:79:9e 1801 1801 00:11:b5:1a:0f:19 31 148621183 745 22 745 22 cmcc-edu 00:26:5e:88:64:88 1803 1803 00:11:b5:1a:2b:57 26 147358848 677 0 677 0 cmcc-edu 00:15:af:52:a6:9b 1783 1783 00:11:b5:17:f6:38 89 148749577 621 0 621 0 cmcc 00:1f:3b:04:ef:6f 1799 1799 00:11:b5:1a:10:59 1 148087423 722 14 722 14 cmcc-edu 00:1f:3c:33:cb:65 1799 1799 00:11:b5:1a:10:59 1 148904055 722 30 722 30 cmcc-edu 00:e0:4c:9b:85:5f 1803 1803 00:11:b5:1a:10:8b 27 145850746 679 0 679 0 cmcc-edu 1c:4b:d6:92:a8:e7 1801 1801 00:11:b5:1a:0f:19 31 147781170 745 68 745 68 cmcc-edu bnos# 业务平台维护常用命令 confidential copyright 2010. aruba networks, inc. all rights reserved 2.7、常用debug调试开关 dhcp调试开关 debug dhcp #打开dhcp调试开关 no debug dhcp #关闭dhcp调试开关 radius调试开关 debug radius #打开radius调试开关 no debug radius #关闭radius调试开关 portal调试开关 debug exportal #打开portal调试开关 no debug exportal #关闭portal调试开关 业务平台维护常用命令 confidential copyright 2010. aruba networks, inc. all rights reserved 管理平台维护常用命令 业务平台维护常用命令 ap加入ac阶段常见问题 用户获取不到地址常见问题 用户获取地址，无法正常弹portal页面 用户弹出portal，无法通过认证 confidential copyright 2010. aruba networks, inc. all rights reserved 3.1、ap无法获取地址或获取地址不正确 排查流程图 ap加入ac阶段常见问题 confidential copyright 2010. aruba networks, inc. all rights reserved 3.1、ap无法获取地址或获取地址不正确 排查步骤 ap到ac为二层组网方式： 如果ap加电正常，则在ac上开启debug dhcp,查看是否有ap的dhcp discover请求 包上来，如果有dhcp discover包，则先检查ap地址池配置，available-interface port vlan 是否配置正确，ip dhcp server 是否配置正确， option-60 enterprise-code 配置是否正确。确认以上配置无误，则需根据 打印信息判断上报的信息是否为ap发出（根据mac地址以及接入端口和vlan）。如 果ac回复offer报文，未收到ap的request报文，原因可能是ap发了，但未正确上传到 ac，需检查线路和中间设备配置，特别注意热点接入交换机环路以及中间交换机的 qinq配置； 如果ac上没有看到debug 打印信息，则说明discover包没有上传至ac，故障可能出 现在传输或者中间设备上，排查思路可以跟踪ap mac地址，从接入层交换机开始排 查，查看是否存在ap mac和对应的vlan id，如果有mac但对应的vlan id不正确 ，需要检查交换机接口配置。 确认ac所下发的业务vlan和接入层交换机没有问题，且接入层交换机又可以正常查 看到ap的mac，这就要一层一层逐一往上跟踪ap mac，直到找到丢失ap mac的交 换机，找到这台交换机检查接口配置，同时也要检查这台设备的下联设备接口配置， 查看是否有透传ap管理vlan。 ap加入ac阶段常见问题 confidential copyright 2010. aruba networks, inc. all rights reserved 3.1、ap无法获取地址或获取地址不正确 ap到ac为三层组网方式： 首先确认ac上是否可以看到打印信息，如果没有，则在中继设备上查看是否有打印， 如果中继设备也没有打印，则按上述：“ap到ac为二层组网方式”处理方法排查。注 ：三层接入地址池接入控制语句ip pool available-interface 需配置在全局模式下。 如果中继上有dhcp discover包，但ac上没有，则在ac上检查看能否ping通中继上 ap地址池的网关，如不通则检查路由配置，（注有时候要ping通中继网关需先no掉三 层地址）检查完确认路由无问题，在重新配置ap三层管理地址池，no地址池时请将全 局模式下的ip pool available-interface 语句一并no掉。 在ac上如果可以看到discover包和offer包，但没有其它报文，这就需要检查中继设 备，在中继设备上可以看到offer，但ap端收不到，在确保vlan透传配置无误的情 况下，基本是中继配置有问题，如果是华为设备作bras ,ac置的dhcp server地址与 华为上配置的dhcp relay地址一致. ap的地址不是从ac上获取的； 一般原因为，ap发送多次携带option60属性的dhcp请求报文，没有得到响应，一定 时间后，发送普通dhcp请求报文，获取了其他dhcp服务器分配的ip地址。一般为传输 线路中间配置不正确，未正确透传ap管理vlan或者中继设备配置不正确。 ap加入ac阶段常见问题 confidential copyright 2010. aruba networks, inc. all rights reserved 3.2、ap正确获取地址，无法加入到ac 排查流程图 ap加入ac阶段常见问题 confidential copyright 2010. aruba networks, inc. all rights reserved 3.2、ap正确获取地址，无法加入到ac 排查步骤： 查看管理地址池中相关ac管理地址的语句是否配置正确。 option-60 ac-manage-ip option-43 ip-list 原则是ac管理平台地址必须与ap获取的地址路由可达；如果ap到ac为三层，且管理平台是nat出 去的，ap只能访问nat后的管理平台地址，那么此地址就需要配置为nat后的管理平台地址。确保 ap获取了正确的ac管理平台地址，可以远程到ap上查看相关ap日志。 从管理平台直接ping ap的ip地址，看是否能通。 如果不通，在管理平台用route n查看是否有正确的默认路由，如果存在两条默认路由则删除其中 一条不正确的，直到能ping通ap的ip。提示如果ap到ac是三层，ap可以直接访问管理平台地址 而不是nat后的管理平台地址，那么无需在ap三层管理地址池下配置ip nat outside，否则可能会 出现管理平台无法ping通ap的ip地址。 ap能正常ping通管理平台，但无法加入ac。 可以在管理平台后台打开相关调试开关，查看在步骤加入不正常。 #debug accomm all 关闭调试开关 #no debug accomm all 一般为没有配置正确的ap版本信息，可以根据调试信息看到ap上报的版本信息。 确保ap状态不是胖ap模式，确保运行的瘦ap版本和ac版本经过了严格联调测试。 ap加入ac阶段常见问题 confidential copyright 2010. aruba networks, inc. all rights reserved 3.3、ap加入到ac，但配置无法下发 排查步骤： 查看ap所在的分组是否和相应的wlan分组正确关联。 在web管理页面，wlan-分组策略关联中，ap所在的分组是否和wlan分组关联。 是否配置了错误的ap升级参数。 在web管理页面，基本配置-ap版本信息中，升级特征码、目标版本以及目标版本文件 是否配置正确，如果ap升级失败，可能会不断重启循环走升级流程，导致配置无法正 确下发。 ac管理平台和ap之间单向通信故障也可能出现在管理平台上显示ap在线但无法下发 配置的情况。 在管理平台show wtp，然后选择ping 其中的某一个ap，看是否能ping通，如果不通 参考3.2中处理。 ap加入ac阶段常见问题 confidential copyright 2010. aruba networks, inc. all rights reserved 管理平台维护常用命令 业务平台维护常用命令 ap加入ac阶段常见问题 用户获取不到地址常见问题 用户获取地址，无法正常弹portal页面 用户弹出portal，无法通过认证 confidential copyright 2010. aruba networks, inc. all rights reserved dhcp的流程 dhcp使用udp协议（67/68） 用户获取不到地址常见问题 confidential copyright 2010. aruba networks, inc. all rights reserved 4.1、用户获取不到地址 排查流程图： 用户获取不到地址常见问题 confidential copyright 2010. aruba networks, inc. all rights reserved 4.1、用户获取不到地址 排查此类故障，首先要查看是否是所有的sta获取不到地址，还是极个别少数的sta获 取不到地址，如果是个别现象，要看这些sta是否有相同属性，比如在同一个热点（一 个onu下或者一个接入交换机下或者一个ap下），主要关注传输故障、ap故障、某 个热点的ssid配置是否正确等。因为如果ac出现问题，应该是全部sta都无法获取地 址，而不会是某一小部分。还有个要注意的地方就是，现场ap无线信号质量如何，是 否干扰严重，这个都会影响到用户获取地址，如果所有sta都无法获取地址，那么按照 以下方法排查。 用户获取不到地址常见问题 confidential copyright 2010. aruba networks, inc. all rights reserved 4.2、本地转发模式，用户获取不到地址 排查步骤： 在接入平台开启debug dhcp调试开关，查看是否收到用户dhcp请求信息，如果没有 则主要放在链路排查上。通过排查接入交换和汇聚交换机，查看用户的业务vlan有没 有一级一级透传到ac上来（用户地址在外置bras上拿地址的话，采用同样的排查方 法）。 检查wlan分组中的ssid配置，如果ap的管理vlan和业务vlan在同一个vlan当中 ，ssid的vlan id需配置为0，如果管理vlan和业务vlan不是同一个vlan，则 ssid中的vlan id需配置成业务vlan id（确保接入交换机接ap端口为业务vlan打 上相应标签）。 如果接入平台有收到用户dhcp请求报文，看ac是否回给用户offer报文，以及用户 终端收到offer报文后是否发出request报文，ac收到用户终端的requset报文后 会发一个ack确认报文，用户终端收到ack确认报文，整个dhcp流程就正常走完，用 户终端就可以获取到正确ip地址，任何一个环节出现问题，都会导致用户终端获取不到 地址。 一般问题会出现在以下几种情况之一： 用户获取不到地址常见问题 confidential copyright 2010. aruba networks, inc. all rights reserved 4.2、本地转发模式，用户获取不到地址 提示找不到可用的地址池，一般是地址池中的available-interface port x vlan xxx语句配置参数与用户终端上报的端口和vlan号不匹配，或者是地址池中配置 有option60属性。 接入平台有回offer报文，但未收到用户的request报文，此种情况可能是ap到 ac单向通信造成，比如中间交换机有配置qinq，也有可能是接入交换机端出现 了环路，产生了广播风暴，导致报文在接入交换机端丢失，重点排查放在中间链 路。如果条件允许可以在ap接入交换机和ac下行口（用户报文上传ac端口）同 时抓包。 接入平台报cpu利用率高，用户获取不到地址，基本上是接入交换机或者是传输 端发生环路，产生广播分包，ac收到大量广播报文，导致拒绝服务。 用户获取不到地址常见问题 confidential copyright 2010. aruba networks, inc. all rights reserved 4.3、集中转发模式，用户获取不到地址 集中转发模式下用户获取不到地址，首先应该检查下发的ssid是集中转发模式还是本 地转发模式，然后应该检查隧道配置是否正确，确保隧道能正常工作。 排查步骤： 接入平台下show wireless station是否有隧道表，有则表示数据同步正常。如果没有 检查相关隧道配置，比如管理平台的access.conf和forword.conf文件配置，管理平台 隧道目的地址（接入平台地址，ap路由可达的接入平台地址）、隧道端口（5248）、 隧道模式（1-macbrigde），接入平台的相关隧道配置。 管理平台的业务vlan配置，特别是wlan和vlan关联，如果没有qinq配置，内层 vlan就是对应业务vlan，外层vlan配置为0。 排查隧道故障两个调试开关，debug wireless-data-tunnel和debug wireless-data- sync，在全局模式下执行，可以跟踪处理隧道报文经过，以及用户关联数据等信息。 如果是三层终结的隧道模式，show wireless station隧道表建立正常，用户还是获取 不到地址，参照本地转发排查步骤3。 如果是二层转发的隧道模式，show wireless station隧道表建立正常，用户还是获取 不到地址，则需要检查上面bras的数据是否制作正确，以及透传的业务vlan是否准 确无误。 用户获取不到地址常见问题 confidential copyright 2010. aruba networks, inc. all rights reserved 管理平台维护常用命令 业务平台维护常用命令 ap加入ac阶段常见问题 用户获取不到地址常见问题 用户获取地址，无法正常弹portal页面 用户弹出portal，无法通过认证 confidential copyright 2010. aruba networks, inc. all rights reserved 5、用户获取地址，无法正常弹portal页面 排查流程图 用户获取地址，无法正常弹portal页面 confidential copyright 2010. aruba networks, inc. all rights reserved 5、用户获取地址，无法正常弹portal页面 排查步骤: sta首先在windows dos窗口下输入命令ping 40（portal服务器地址）, 如果能pint通，再在dos窗口下输入nslookup命令，根据提示输入或 者其他网站域名，看是否能解析成ip地址，如果提示time out无法正确解析，则肯定 是dns域名服务器出现故障了，可以尝试在ie浏览器页面直接输入回车，正常 情况应该是能打开portal页面； 如果sta无法ping通portal服务器地址，则重点放在ac上。通过console或telnet进入 ac接入平台，在ac上ping portal地址，如果不通，排查ac的出口路由，主要是定位 ac与portal服务器之间网络是否正常通信。如果在ac上可以ping通，检查ac配置， 例如认证策略配置，用户地址池内引用的策略是否允许用户不经过认证就访问portal服 务器。 如果无线用户可以同时ping通portal服务器及正常dns解析，打开浏览器输入任意ip 地址或网站，观察ac是否重定向portal的url，如果ac重定向到portal服务器，但是 portal服务器无法推送认证页面，同时无线用户再手工输入portal页面的url是否可以 正常打开portal页面，如果不行，请与局方沟通，协调portal厂家，共同进一步定位问 题所在。 如果打开portal页面时提示非热点区域，或者获取不到ac地址等错误提示，则表示 portal服务器侧未注册ac和用户地址段相关信息。 用户获取地址，无法正常弹portal页面 confidential copyright 2010. aruba networks, inc. all rights reserved 5、用户获取地址，无法正常弹portal页面 如果无线用户通过浏览器无重定向portal的url，我们重点检查ac上的认证策略（ 用户地址池认证前只允许访问portal地址、自服务地址和国漫服务器地址，其他地 址不允许访问）以及ac负荷情况（查看cpu利用率等，看是否遭到了tcp同步攻击 等现象）。 有的省市具有集团的portal和省内自己的portal两套系统，对重定向的url后携带的 字段要求不一致，例如有的省份要求携带wlanacip字段、vlan字段等，比如说移动 集团星巴克功能需要携带ssid字段，移动集团也为cmcc和cmcc-edu用户定制了 个性化的portal页面都需要携带ssid字段，这些字段如果上报不正确也无法弹出正 确的相应的portal页面。 列出几个常用的在全局模式配置携带字段的语句： ex-portal ac-name string wlanacip ipaddress 配置ac推送的portal-url中ac-name 值和wlanacip的值，其中wlanacip为可选参 数，不配置则推送的protal-url不会携带wlanacip。 wireless star-bucks enable 开启星巴克功能，如果重定向url中需要携带ssid字段，需开启此功能 如果热点开启了多ssid多portal功能，需要查看show wireless station表，看 sta对应的ssid是否匹配正确，才能弹出相对应的portal页面。 如果走的是二层隧道，用户不在ac上管理，如果能