无线FAQ与故障分析公开版本V4..docx

无线FAQ与故障分析公开版本无线FAQ与故障分析V4.820150714文档密级：渠道合作伙伴与直接客户公开目录1抓包与常用调试方法41.1命令控制台与Debug shell41.1.1命令控制台41.1.2设备Debug shell51.2AP 诊断工具使用72AP发现、激活排查102.1AP不能自动发现NAC102.1.1常见原因102.1.2其他原因102.1.3常用技巧1122.1.4常用技巧2-AP诊断工具122.2AP激活后不在线132.2.1激活时报错132.2.2常见原因132.2.3版本原因143AP掉线排查163.1.1掉线现象判断163.1.2AP集体掉线173.1.3部分AP掉线204无法连接上网络234.1终端获取不到IP地址234.1.1所有终端都获取不到234.1.2部分终端获取IP异常254.2信号过弱或不稳定264.3无线环境原因274.4配置原因294.5终端自身原因：304.6其他原因315连上无线后的问题335.1连上网络无法上网335.1.1配置原因：335.1.2环境原因345.1.3无线终端自身原因。365.2终端连上网络容易掉线365.2.1AP掉线引起365.2.2配置不当365.2.3漫游引起375.2.4掉线后一直连接不上385.3Portal认证页面无法打开385.3.1Portal认证页面打开原理385.3.2配置原因405.3.3环境原因415.3.4其他原因与排查方法455.4认证后页面跳转不出455.5其他网络异常情况465.5.1分析方法：抓包分析与后台排查466关于注销和再认证476.1.1主动注销476.1.2被动注销486.1.3各种认证方式详解：506.1.4二次认证不符合预期537AP故障检测与升级相关557.1AP故障检测流程557.2WAC升级相关问题567.3WEBui相关577.3.1登录控制台报错577.3.2登录不上控制台578延时大、易丢包、速率低、漫游差598.1延时大、易丢包、速率低、漫游差598.1.1自身产品优化598.1.2信号覆盖满足要求628.1.3终端自身原因638.1.4有线环境原因648.1.5环境干扰原因668.1.6工堪优化668.2通用排查方法对比验证679无线吞吐与速度PK测试6910无线一句话问答7010.1.1无线哪个版本开始独立支持应用识别和应用审计?7010.1.2NAC-500是否支持短信认证或微信认证？7010.1.3NA-500C不支持的功能列表，详情查看NAC-500专题7010.1.4对应无线用户要进行应用审计，行为管理？701 抓包与常用调试方法1.1 命令控制台与Debug shell 1.1.1 命令控制台可以使用ping、udpconnect、tcpconnect等命令测试Ip和端口联通性。对于tcpconnect与udpconnect测试端口的结果，仅仅支持初步判断，不能完成依赖和可信，因为由于网络中其他设备拦截与伪造数据包回复，尤其是网络中的防火墙或其他带有行为管理的设备，比如如AC和AF；如果udpconnect测试端口不通，端口肯定不通，如果测试端口通，结果也不一定通，最终以抓包结果为准来判断。1.1.2 设备Debug shell串口登录AP时，115200波特率，且都不需要勾选flow control。密码采用NAC控制台密码，也可以登录到调试shell，可以使用ping，等常用诊断小工具Telnet登录设备进入Debug shellAP与NAC都开启了SSH与telnet方式调试接口，SSH仅供厂家工程师维护使用，Telnet方式登录后与WEBUI调试选项中的命令控制台一致，密码采用NAC控制台管理员的密码提前确保控制器有开启telnetd调试串口，控制器才可以正常登录，如下图：1.2 AP 诊断工具使用AP诊断工具与在线调试（troubleshoot.exe）可以通过在NAC的系统维护-调试选项-AP故障分析页面下载AP诊断工具，下载页面如下，下载后，在PC上运行，需要确保PC安装过wincap，或已安装过wireshark：使用该工具时，需要确保AP与笔记本处于同网段的一个有线以太网二层环境中，扫描后输入密码：admin（从2.4版本后，默认为beyondos1，如果，已经被NAC激活过，需要采用的admin管理员密码）；这样可以临时给AP配置IP地址与控制器IP地址，便于AP激活上线和调试排错。尤其是在没有DHCP的环境中，该工具给AP配置IP，修改IP，和控制器IP。建议使用时，区别AP的版本和在控制器上的版本匹配或相近，版本跨度大，可能会存在不兼容的情况，比如1.8版本上下载的AP诊断工具，给2.6版本的AP操作，就可能不兼容。AP诊断工具使用注意事项：（1） PC需要安装winpcap，或者wireshark（2） PC电脑不能开启防火墙，尤其是小红伞等工具，否则诊断工具无法发现AP（3） PC要与AP在同一个2层环境下，不在一个网段也可以正常通讯。（4） 修改AP配置，需要输入的密码，默认为admin，如果AP激活过，需要采用与WAC控制台相同的密码才能配置（5） 该工具目前只能临时修改生效，AP重启后失效，需要在控制台上修改配置才能永久生效诊断工具采用的二层协议如下，有问题时，可以在PC和AP上同时抓包，看是否有交互，比如当AP接入交换机相互不兼容本身协商速率不稳定时，AP是收不到到数据报文的：2 AP发现、激活排查2.1 AP不能自动发现NAC2.1.1 常见原因1、 NAC上AP的授权个数为0，需要开授权2、 检测AP的供电是否正常，观察网口灯是否正常亮起，POWER灯是否正常，POE供电网线是否线序错乱或缺失。3、 内网需要配置有dhcp-option43、DNS、2层广播中的三种方式，让AP自动发现NAC。4、 AP接在了10M的交换机与集线器上，而AP不支持10M的速率设备，导致AP无法获取IP和通讯5、 AP无法与NAC正常通讯（1） AP默认没有IP地址，首次使用，内网需要有DHCP服务；或在二层环境下用AP诊断工具（2） 在WAC上激活后，更换地方使用，AP无法与控制器NAC通讯。（3） AP获取到了非法私接DHCP服务器分配的IP地址，不能与NAC通讯，需排查出私接路由器。（如果是在2层广播环境可以发现，部分版本激活无效，配置无法下发）（4） 给AP提前配置的固定IP地址，但与网络中的其他设备出现IP冲突现象（5） AP到NAC之间的UDP7777被网络中的防火墙拦截了，或端口映射不通，或映射错误2.1.2 其他原因6、 DHCP-option43未生效，有多的空格（windows2003），或少了双引号(dhcp-svr)，或编码不对(华为Switch)；核心三层需要采用ASCII码方式的IP地址格式,而非直接写IP，最终的确认方式是抓包能看到dhcp-option43的选项是控制器的IP地址。如下图：7、 内网配置的DNS无法正常解析，需要配置A记录指向信锐采用域名：（）。可以用nslookup - dnsserver指定dns服务器的方式测试8、 首次激活时，给AP配置了固定IP和网关，但是网关地址配错了，导致AP与NAC无法通讯。9、 AP与NAC 同2层网络环境中，采用2层广播的方式发现，但由于交换机VLAN配置不当，配置了错误的vlan或trunk，导致AP与NAC不在同一个广播域2.1.3 常用技巧1由于NAC的webui控制台自身支持写HOSTS，而且也可以做DNS代理，所以在客户环境测试，无法配置DNS或dhcp-option43选项时，可以在NAC上配置HOSTS，把（信锐AP用此域名）域名指向NAC接口的IP地址，启用DNS代理，并把客户环境中的DNS服务器配置为NAC的接口地址，当AP获取地址和DNS后，其dns请求会直接发送到NAC，这样也是可以让AP自动发现NAC。2.1.4 常用技巧2-AP诊断工具对于分析环境原因时，如果AP与WAC同在一个2层广播环境下，可以通过WAC的系统维护-调试选项-AP故障分析页面下载AP诊断工具，该工具可以给AP配置IP，修改IP，和配置控制器IP。如果WAC与AP不在同一个2层广播环境下，可以下载AP诊断工具在PC上，安装运行，同样可以操作AP。此时AP诊断工具与AP采用2层协议通讯，不需要IP也是可以正常操作和使用的。AP诊断工具使用注意事项：（1） PC需要安装winpcap，或者wireshark（2） PC电脑不要开启防火墙，尤其是小红伞等工具，否则诊断工具无法发现AP（3） PC要与AP在同一个2层环境下，不在一个网段也可以正常通讯。（4） 修改AP配置，需要输入的密码，默认为admin，如果AP激活过，需要采用与WAC控制台相同的密码才能配置（5） 该工具目前只能临时修改生效，AP重启后失效；需要在控制台上修改配置才能永久生效2.2 AP激活后不在线常用方法：把AP在WAC上删掉后，看AP是否可以自动发现NAC，再次重新激活，如AP不能自动发现NAC，参考上一节。2.2.1 激活时报错1、 激活报错，提示ap hdware err，原因该版本的WAC不支持该型号的AP，比如当WAC软件版本发布时，该AP型号还未发布，所以不支持。NAC具体支持AP型号以该版本的发布文档为准； 2.2.2 常见原因1、 在二层环境激活AP时，内网有私接路由器，分配到了错误的IP地址（在AP激活前可以在NAC上看到该IP）。尝试直接把AP插在NAC上，开启DHCP分配地址方式激活。1、 给AP激活时，虽然给AP写入了正确的NAC的地址，但是AP所在组的主控制器与AP的控制器IP地址不匹配，导致AP一直在寻找AP组中的主控制器，要么保持一致，要么删掉AP组的控制器即可。 2、 激活时，给AP配置了固定IP和网关，但是网关地址配错了，AP与NAC跨网段无法通讯。2.2.3 版本原因1、 AP与NAC版本不匹配，AP激活后，AP会自动升级或降级到与NAC相匹配版本的版本的，具体原理参考升级原理指导，如果发现异常，需作为问题排查。 2、 AP到NAC的TCP：800端口不通，当AP与NAC版本不匹配时，AP一直无法成功的从NAC上下载升级包，因此无法在线。3、 网速慢，AP从NAC上下载升级包时，通过公网，或网络出口有流控限制时，AP升级包下载会很慢，导致AP一直无法成功升级在线。常用窍门：在NAC上删掉AP，看AP是否还会自动发现成功，重新给AP激活配置。给AP进行RESET操作，重新激活使用3 AP掉线排查3.1.1 掉线现象判断1、AP接入在线时间有更新。在NAC的接入点状态中检测AP的接入时间点，是否在不断更新，初步判定是AP集体掉线还是个别AP掉线。2、接入点日志，有告警提示unable to connect to gateway3.1.2 AP集体掉线 供电排查1、后台登录AP以及控制台登录POE交换机，POE交换机是否有重启过，POE交换机的管理IP是/24。解决办法：a） 线路过载，电压不稳，更换供电电源，比如切换市电、或采用UPS供电设备b） 更换POE交换机接口、更换POE交换机、更换插线板c） 对AP采用独立电源适配器对比 环境排查1、 有网络设备与NAC的IP地址冲突的情况，在NAC直连的核心设备上对NAC的IP地址进行MAC绑定。（1）在出现问题现象时，通过长ping控制器IP地址，发现ping一会能通，一会不能通。而且发现NAC的监听端口，也是一会通，一会不通，基本就可以判断了。比如telnetd监听的23号端口。2、 与NAC直连的核心三层有ARP-Guard类似的防护命令、数据包流控等命令，关闭掉。3、 网络链路有中断的情况，光纤线路中断，网线掉线等物理原因，排查环境中各个设备的接口的up和down状态日志，如果NAC直连的接口出现过down掉，NAC的告警事件会提示有接口断开和连接的状态。 NAC重启1、 后台查看NAC是否有重启、查看是系统日志，以及管理员操作日志，看是人为重启或异常重启 双机切换1、 如果是NAC有双机部署，查看系统日志，检测NAC是否有双机切换动作，查看系统日志，开启排查双机切换原因，比如链路故障。3.1.3 部分AP掉线 供电原因1、后台登录AP或控制台登录POE交换机，POE交换机是否有重启过，POE交换机的管理IP是/24。解决办法：a） 对AP760采用大功率的黑色POE注入器，AP260或240采用白色的小功率注入器，不能混合使用。b） 更换POE交换机接口、更换POE交换机、更换插线板c） 对AP采用独立电源适配器对比测试 环境排查1、 内网有其他设备的IP与AP的IP冲突了，可以在内网把AP断电，去长ping AP的IP地址核实。2、 还可以在与AP同网段的PC上长ping AP的IP，并通过arp d去刷新arp表，通过arp a | findstr “冲突的IP“核实是否存在IP冲突，如下图3、 AP到NAC的网络链路原因。a） 链路不稳定，容易断线；比如远程部署的AP、或通过VPN虚拟线路连接的AP。b） 链路容易丢包，AP到NAC之间的链路带宽已经跑满，或者有流控设备，udp数据7077数据包和TCP7070被流控丢包了远程部署AP时，需要在出口设备上，对WAC和AP之间的流量进行通道保障，避免丢包，当有AC时，必须做流控保障，其他设备时，也需要做流控保障，避免出口带宽跑满，应用为：TCP7070，udp,7077,TCP:800，有portal页面认证时，还需要对TCP8081和8082端口做保障。c） TCP7070端口数据防火墙主动断开，检测AP到NAC之间是否有防火墙设备，可以把AP或NAC的IP添加到防火墙的全局排除地址等操作。4、 没有给AP配置固定IP，AP每次都是自动获取IP的，而AP没有正常获取到IP地址，或者获取到了错误的IP地址。可以用AP诊断工具在2层环境下去扫描AP，给AP固定配置IP地址，并配置控制器IP，如果NAC和AP同在一个2层环境下，可以在NAC的调试选项中，接入点故障分析，来扫描并修改AP的IP地址。5、 POE交换机与线缆原因，线缆供电和数据传输不标准，包括POE网线超过80米，导致收发数据异常，AP的灯亮，但是数据传输容易异常，导致AP不在线，可以更换AP与更换线路对比测试4 无法连接上网络4.1 终端获取不到IP地址4.1.1 所有终端都获取不到 部署不合理1、 应该给NAC配置2层交换口的网络环境，却给NAC的物理口配置成为3层口，导致无线终端和DHCP服务器（VLAN接口或物理接口）不在同一个广播域中，DHCP服务器无法收到DHCP请求。比如AP和NAC在纯2层环境下，启用物理3层口的DHCP，又启用集中转发就会获取不到IP（参考部署专题）。2、 给SSID的VLAN设置非VLAN 1，又采用了本地转发，但是AP直连的前端交换机并没有配置为trunk口，导致带有vlan标签的数据通不过，终端无法获取IP。3、 本地转发时，无线终端所在的广播域中，没有DHCP服务器。 配置有错误1、 在NAC1.8以前的版本，SSID启用web认证后，有认证前的vlan划分，认证前与认证后vlan需要配置一致，才能正常获取IP。2、 SSID的VLAN配置有问题，部分AP没有配置好相应的VLAN3、 配置DHCP-relay，通过外部的服务器来分配IP地址，但是地址配错了。4、 外部DHCP-server本身有问题，无法正常提供DHCP服务，比如DHCP地址池对应dhcp-relay地址有误5、 查看NAC上是否开启了DHCP-snooping,对于外部的DHCP服务器，如果开启该功能，合法的DHCP服务器又不在列表中，会出现IP地址获取不到的情况注意：从2.2版本开始，DHCP-Snooping功能在本地转发环境下也生效了，因此本地转发，启用此功能后，需要注意把DHCP服务器与DHCP-relay服务器都添加到列表中。 查看日志1、 在NAC上查看系统日志是否dhcp模块或者所有模块的告警日志与错误日志，发原厂工程师分析4.1.2 部分终端获取IP异常 配置有错误1、 在NAC1.8以前的版本，SSID启用web认证后，有认证前的vlan划分，认证前与认证后vlan需要配置一致，才能正常获取IP地址2、 SSID的VLAN配置有问题，部分AP没有配置好相应的VLAN3、 查看NAC上是否开启了DHCP-snooping,对于外部的DHCP服务器，如果开启该功能，合法的DHCP服务器又不再列表中，会出现IP地址获取不到的情况4.2 信号过弱或不稳定1、 先确保无线信号稳定在-65dBm以上，用Inssider扫描无线，观察无线信号强度，是否稳定在-65dB以上，主要上网区域需要达到-40dBm到-60dBm范围。（1） AP本身功率设置过小（2） 供电异常，功率不足，比如室外AP760需要采用大功率的黑色POE注入器，而非采用白色的小功率的POE注入器（3） POE供电线路不标准，供电和数据传输异常，没有采用标准的超5类以上的以太网线缆，采用4芯网线或者采用转接头，可以更换AP与更换线路对比测试。2、 更换AP对比测试4.3 无线环境原因1、 AP工作所在信道利用率很高，导致无线终端连接很缓慢，甚至连接不上。信道利用高的原因有：（1） 其他WIFI干扰分析，用inssider验证，用OmniPeek抓包验证（2） 无线接入用户过多，查看AP接入人数（3） 非802.11的干扰，用Fluke测试仪器、或频谱分析仪器、Wipry探测2、 无线网络中有欺骗攻击发生，或者其他WIFI开启了反制功能。3、 无线网络中有DOS攻击，用户请求过多，并发数过大，收发小包过多，都被加入MAC黑名单4.4 配置原因1、 在NAC1.8以前的版本，SSID启用web认证后，有认证前的vlan划分，认证前与认证后vlan需要配置一致，认证前获取到IP，web认证后，所属vlan变化，会导致无法正常通讯，感觉也如同未连上网络，1.8以后的版本已经无认证前的vlan配置要求。2、 接入人数已经达到AP的上限reach radio max sta limit (60).3、 采用的是企业级802.1X认证，windows的PC需要用自动配置工具配置，或手动修改配置文件，详情见802.1X认证指导专题。4、 策略中的时长配额与流量配额用完了5、 手动添加到了MAC黑名单，或者SSID启用了白名单接入限制6、 802.1X的认证用户名和密码错误，查看用户认证日志。4.5 终端自身原因：1、 特殊终端，比如欧洲版或美洲版本或日本版的无线扫码枪或PAD，调整设备的wifi频段，或换一个信道测试。2、 删除无线的配置文件，重新连接无线，避免同SSID不同修改过认证方式和相关属性。3、 驱动程序有问题，运行windows的网络诊断工具，更新无线网卡驱动，禁用无线网卡再启用无线网卡4、 终端自身系统原因，重启手机或电脑，刷机或升级系统比如MAC OS X 10.8.4版本就出现过WIFI连接不上以及断线问题，可升级系统/2013/0827/230085.shtml5、 针对该款无线终端，网上搜索，看是否有类似问题，比如有些手机终端信号不好，其WIFI信号接收和发送能力很弱，可以反馈相关厂商咨询。4.6 其他原因1、 抓包分析，包括分析DHCP数据包和DNS以及HTTP数据包是否正常（1）包括802.1X认证，认证不成功等场景2、 空口抓包，用OminPeek抓包，分析无线数据报文，是否正常交互。5 连上无线后的问题5.1 连上网络无法上网5.1.1 配置原因：1、 集中转发下，如果NAC做了SNAT，确保给用户配置的SNAT规则，不要选错或漏选接口，配错IP地址段2、 如果NAC是配置的固定IP地址，确保已经给NAC添加8个0的默认路由。 3、 当NAC有配置多vlan接口时，确保VLAN间路由都是启用的4、 本地转发时，如果AP前端是access类型的口，用PC替换AP确保能正常上网测试。5、 单IP限速太低，而且单IP限速时，单位KB/s与Kb/s容易选错。6、 策略中的时长配额与流量配额用完了5.1.2 环境原因1、 给NAC配置SNAT规则后，确保NAC能正常上网，前端无其他设备给NAC做权限设置，比如MAC地址绑定、权限设置，路由能正常出去上网（1） 在NAC控制台上ping 网关、ping公网地址（2） 确保NAC上的DNS是正确的，NAC能正常解析所有域名。（3） 在NAC上，wget 公网连接，确保能正常下载连接，并且非其他设备的认证重定向页面，比如AC认证页面。（4） NAC被前段设备冻结或临时限制上网了2、 带宽异常不足，进行带宽测试（1） 带宽不够，出口带宽已经跑满3、 会话数不足或连接数受到限制（1） 用NAC作为出口时，或者前端设备作为出口时，都只用单IP的SNAT规则出去上网，会话数长期超过3万。（2） 前端有AF或AC，限制了单IP的连接数与并发数5.1.3 无线终端自身原因。1、 终端自身获取到的DNS不是从DHCP服务器获取到的，也不是手动配置的，获取到一个不存在无法解析的DNS服务器，或者为与的服务器，这时建议手动配置当地可用的DNS服务器，并建议杀毒排查，清理系统和浏览器插件，nslookup测试。上网慢，在AP上抓取该终端的数据报文，看到DNS请求相当慢，甚至完全没有收到DNS回复，导致上网慢5.2 终端连上网络容易掉线5.2.1 AP掉线引起1、 观察NAC的接入点日志，排查AP是否有掉线情况，如果有，参考AP掉线原因方法排查5.2.2 配置不当1、 NAC2.0版本开始有终端防粘滞功能，参数配置不合理会导致用户容易被主动踢掉下线，默认参数是-90dBm,500,中，终端会容易漫游切换，因此表现为容易掉线。为了提高漫游的质量，推荐网络规划初更好的工堪，合理的设计和部署AP的点位，并进行功率和信道优化，绝大部场景推荐关闭该功能。2、 开启了动率自动调整，把信道扫描时间配置在了用户使用时间，当AP在功率自动调整时，会引起无线用户掉线，建议AP信道扫描时间放到夜间无人使用无线的时候调整，或者采用手工固定AP功率的方法3、 其他5.2.3 漫游引起1、 检测NAC上的用户的接入和退出日志，看终端是否有发生漫游、包括一个AP上的2.4G与5G频段的漫游，如果有，查看终端漫游所在AP，到该终端所在位置的信号强度是否都稳定在-65dBm。如果不是，则需要进行AP功率优化，或点位优化，让远端AP功率更小，近端AP信号强度更大，符合网络验收标准的。（详细的验收标准请参考无线工堪指导书或网络优化指导书）5.2.4 掉线后一直连接不上按照上一小节方法排查。5.3 Portal认证页面无法打开5.3.1 Portal认证页面打开原理用户希望终端连接上无线，立马就能自动弹出WEB认证页面，这个能做到吗？在回答这个问题之前，我们先来了解PORTAL页面弹出原理：当无线客户端连接到无线后，主动发出http或https的类型请求，该请求可以是终端系统自动去探测的，也可以是用户主动打开浏览器点击的，还可能是安装的某一类型的WIFI连接软件发出的，这些数据请求包括80和8080端口，443端口，以及自定义的其他端口，NAC（集中转发）或AP（本地转发）会对该请求发http302 moved temporarily重定向到连接到来处理认证信息，就是Portal认证页面。所以客户要求一连接上无线，就能自动弹出认证页面，一方面由无线终端的操作系统类型及安装的软件决定的，是否会自动发送探测网络流量。另一方面，由NAC来决定是放通该流量，还是拦截并重定向到认证页面，包括主动网页推送也是此原理进行重定向页面。比如windows7的PC，连接上无线后，如果需要进行认证才能访问网络，他会自动进行探测网络是否正常，通过抓包分析，windows7使用域名进行探测：；苹果的iphone或ipad连接上无线后，会主动访问或appstore、thinkdifferent.us类似的域名在NAC1.8，有一个放通网络探测流量，NAC2.0版本中，“连接WIFI时，不自动弹出认证页面”。表示会放通这些探测域名，不会重定向到，这样portal页面不会自动弹出来了。NAC1.8NAC2.0同理，部分android手机，比如红米手机、华为S6手机，由于自身并不会发送探测流量，无法进行重定向页面弹出，无法正常自动弹出认证页面，需要手工去点击。 对于认证页面自动弹出的答复建议1、 并不是所有手机都会自动弹出认证页面，部分可以，部分不可以，因为手机自身是否会发出网络探测流量决定，比如定制系统或定制软件版本2、 可以尝试在android手机上，安装一些WIFI连接管理软件，连接WIFI后，它会提示用户点击，并自动打开认证页面5.3.2 配置原因1、 WEB认证前角色，不能选择默认选择“默认角色”，需要点击“帮我自动创建认证前的角色”，该角色自动生成后，默认只允许访问DNS，就可以弹出认证页面，因为选择了默认角色，表示已经放通了HTTP，所以认证页面就弹不出来。注意：如果人为修改访问控制策略，把默认自动生成的“允许DNS”策略，原本对any进行拒绝的，给配置为“放通”了，也会导致认证页面就弹不出来。2、 当无线SSID本地转发模式，这时AP需要通过TCP：8081和8082端口号去NAC上下载portal页面，如果AP到NAC的8081和8082端口不通，也会导致认证页面打不开。尤其是门店放置AP时，总部出口需要映射TCP的8081和8082端口给NAC。5.3.3 环境原因 有线环境原因1、 无线终端DNS解析无法成功，抓包看一直有DNS解析请求，无DNS回复，终端无法发起http请求，也就无法给终端发出重定向认证页面。a） 比如SNAT配置错误或不生效，回包路由没写b） DNS本身无法解析，有些区域用、14这样的域名解析有时也会有异常。c） 比如内网有上网行为管理AC，启用了的无线热点发现，没有把无线用户放入到可信列表中。d） 在AP或NAC上抓包，全部都是DNS请求流量，无DNS回复。 无线环境原因1、 AP工作所在信道利用率很高，导致无线页面刷新很慢，甚至打不开。信道利用高的原因有：（1） 其他WIFI干扰分析，用inssider验证，用Omnipeek抓包验证（2） 无线接入用户过多，查看AP接入人数（3） 非802.11的干扰，用Fluke测试仪器、或频谱分析仪器、Wipry探测（4） 自身AP点位和信道、频宽划分不合理，需要进行网络优化2、 无线网络中有欺骗攻击发生，或者其他WIFI开启了反制功能。3、 无线网络中有DOS攻击，用户请求过多，并发数过大，收发小包过多，都被加入MAC黑名单4、 信号值达不到验收标准，先确保无线信号稳定在-65dBm以上，用Inssider扫描无线，观察无线信号强度，是否稳定在-65dB以上，主要上网区域需要达到-40dBm到-60dBm范围。（1） 供电异常，功率不足，比如室外AP760需要采用大功率的黑色POE注入器，而非采用白色的小功率的POE注入器（2） POE供电线路不标准，没有采用标准的超5类以上的以太网线缆，采用4芯网线或者采用转接头。5、 工堪优化、参考工堪指导书与优化指导书5.3.4 其他原因与排查方法1、 主动用浏览器打开看是否可以正常打开2、 抓包确认5.4 认证后页面跳转不出1、 是否配置了认证后，页面自定义跳转，确保终端能正常解析和访问该页面。a） 认证后的角色不能限制访问自定义的页面b） 放通访问控制策略，看终端自身能否访问到该页面c） 在NAC上ping该域名，看是否可以解析，给NAC配置DNS。2、 抓包分析3、 在NAC1.8版本以前的版本，web认证后的VLAN和认证前的VLAN不匹配，导致认证后，之前获取的IP无法通讯，又获取不到新的IP，导致认证成功，无法弹出上网页面4、 远程部署AP时，需要在出口设备上，对WAC和AP之间的流量进行通道保障，避免丢包，除了对应用为：TCP7070，udp,7077,TCP:800，还需要对TCP8081和8082端口做保障，才能正常跳转portal认证页面。从2.4版本以后必须要通7077端口5.5 其他网络异常情况5.5.1 分析方法：抓包分析与后台排查6 关于注销和再认证6.1.1 主动注销 管理员主动注销a） 管理员可以通过系统维护重启及注销注销在线用户的方式注销所有用户，该方法常用于多次测试认证效果时采用。b） 从无线2.0版本开始支持单个用户注销，以及把在线用户拉到MAC黑名单。 用户主动注销a） 通过3层web方式认证的，用户还可以主动登录页面，手动去注销1) 账号认证 支持登录页面手动注销2) 访客认证3) 短信验证 支持登录页面手动注销4) 微信认证 不支持登录页面手动注销5) 二维码认证 支持登录页面手动注销6) 临时访客认证 支持登录页面手动注销6.1.2 被动注销 关于无流量自动注销？a） 首先，不使用无线终端并不是真正意义的无流量（比如手机放那不用不等于无流量，这里的流量是指数据帧，beacon帧不是数据帧，且终端不会发beacon帧，且终端关联上后平时基本上不会发管理帧(聚合ampdu相关的管理帧除外)，所以可认为终端的流量就是主要是指明数据帧。b） 如果是2层认证（PSKOPEN企业），在终端没有注销但是无线有关闭的情况下（比如部分手机待机就有这种现象）AP会检查终端是不是真的一点流量没有，这个只等70秒。70秒后还没有就断开。终端没有任何流量(包括数据帧和管理帧)，且ap给终端发送一个null data探测数据帧，终端也没有回应ack，则70秒会踢终端下线。c） 遵循上面的原则，终端没有任何流量，但是ap给终端发送null data探测数据帧，终端回应ack，则300秒后会踢终端下线。d） 如果是portal认证，这个也遵循上面说的两个原则，当二层认证断开后，三层认证的信息会默认保留15分钟，15分钟后二层没有重新关联上，就完全注销掉（该值可以手动配置）。 二（再）次认证：用户主动或被动注销后，第二次认证或再次认证，是否还需要输入用户名或密码，或再次审核，或点击申请上网，这些都与认证选项配置参数有关。无线15版本如下：无线2.0版本如下：6.1.3 各种认证方式详解： 短信认证短信认证：短信验证码默认永久有效，当第一次认证通过后，在 “短信验证的访客” 里面会有相应的记录，下次再登录时，是直接就可以登录成功的，没有重新获取验证码和输入验证码的；到访客帐号页面删除相应的记录后，才会让再次获取验证码，如果记录不删除是不会记再次获取验证码和输入验证码的NAC2.0版本开始，可以自动清除多少天未登陆的用户，清除后，该用户下次访问网络时，就需要输入验证码了。如果需要每次访问网络都需要验证码，可以走定制。 临时访客：临时访客账号设置的有效期，假如有效期为24小时，如果用户一直在线，没有下线过，则用户可以一直用，用上一年也没有关系；但如果用户24小时后，有下线，则不能再上线；可以不用删除重新建立账号，通过修改相应的有效期时间，则计时会重新开始，重新计算有效期 二维码认证认证：二维码认证一般是给于经常访问的访客使用的，二维码认证可以配置为永久生效，只要不删除该用户，用户可以再次上线。二维码访客可以设置一个有效期，超过有效期需要内部员工再次审核。在有效期内，用户下线后再次访问网络时，可以设置弹出窗口，直接点击登录即可再次认证上线；或者完全不需要弹出窗口，访客完全无感知的再次上网。适合多次访问的访客，而且又能限制每次上网时长补充：在有效期内上线的，中间一直不下线，即使过了有效期，也可以一直在线NAC1.5版本（在认证选项菜单下）NAC2.0版本 微信认证：微信关注后，当无流量下线后，再次上线时，只要没有超过微信配置的有效期，可以无感知的继续上网，也可以是弹出一个认证窗口（仅有登录按钮），点击登录即可上网。（取决于访客非首次认证的配置），这里与二维码认证相同。过了有效期之后，需要再次到微信认证认证页面点击申请上网“WNS”。补充：在有效期内上线的，中间一直不下线，即使过了有效期，也可以一直在线NAC1.5版本：NAC2.0版本：6.1.4 二次认证不符合预期1、 设置的WEB认证，有效期也设置的很长，而第二次来还需要进行认证，为何？（1） 用户被主动踢掉了，包括被负载、终端防粘滞功能踢掉后,IP地址获取失败，目前会重新开始计时认证。（如果有IP地址获取失败导致的二次认证，可以找研发要补丁包不踢掉用户的在线和时长统计，二次认证就不需要认证，2.4版本已合入）2、 WEB认证包含了访客认证与帐号认证，访客每次认证都会打开重定向认证页面（1）访客非首次认证，再次认证设置的时长仅对单独配置的访客网络生效。对于用户接入同时配置了访客认证7 AP故障检测与升级相关7.1 AP故障检测流程1、 先检测AP是否有告警日志、错误报告，下载给原厂工程师分析。2、 查看WAC系统日志，是否有关于AP的异常日志3、 如果AP有串口，必须登录串口，排查信息，没有串口，可以ping通的，尝试ssh和telnet登录后台排查，按上一小节方法分析4、 如果AP因为升级故障，或其他原因，AP一直未成功激活，怀疑有硬件问题需要做如下排查操作（1） 在二层环境下，把PC（或WAC）和AP接到一个二层交换机上，用AP诊断工具扫描AP，如果能扫描到，在WAC上删掉这个AP，重新尝试给AP激活。（2） 独立搭建一个二层环境下，用WAC（2.0以及以上版本）和AP接到一个二层交换环境下，开启DHCP功能，配置DHCP-option43，配置DNS，和域名都指向自身接口地址，并配置自身接口地址为DNS服务器，开启DNS代理服务。RESET一下AP，重新发现和激活AP。（AP有可能异常原因（如升级突然断电），进入到备系统模式，此方法可以让AP从备系统升级到正常版本）7.2 WAC升级相关问题因为在NAC界面上打过补丁的，可以直接在界面上回滚方式去除补丁包，然后再给设备升级。给设备升级，建议采用专门的升级客户端升级，尽量不用web界面的升级客户端。且必须是在NAC的内网环境升级，不能从公网进行设备升级。7.3 WEBui相关7.3.1 登录控制台报错1、 需要清空浏览器缓存，与历史访问记录（1） 比如NAC刚升级后，再次登录NAC容易出现下面报错。（2） 使用同一个IP的登录不同的NAC，比如默认52登录不同版本的NAC7.3.2 登录不上控制台1、 控制台443页面被端口映射了2、 WAC刚升级到2.2，登录不上由于WAC刚升级，大量AP同时触发在线升级，导致WAC一时性能繁忙，导致控制器登录不上，2.4以及以后版本改进。当前版本，可以先联系研发修改后台问题，临时解决，并且升级前关闭AP的信息上报功能。8 延时大、易丢包、速率低、漫游差注意：测试丢包和延时的时候，不能开启inssider扫描工具或其他无线扫描工具，详细版本请参考无线验收与优化指导书：如果此文档提供的建议无法解决问题，仍需参考：无线验收与优化指导书8.1 延时大、易丢包、速率低、漫游差8.1.1 自身产品优化在进行网络优化前，需要先进行以下产品功能优化 启用高密优化当单个AP接入用户超过40人时，推荐启用高密优化功能 增加AP接入人数限制根据场景推荐放宽AP接入人数限制60到80范围 开启5G优先接入，关闭AP组负载开启5G优先接入，不勾选“AP接入点智能负载均衡”。开启5G优先接入，能更好的引导双频用户优先接入信号良好的到5G频段。不勾选智能负载均衡，目的在于防止启用该功能后，终端会接入到用户少但相对较远的AP，影响体验，而且开启该功能后，会对有部分终端在接入无线时，由于进行负载运算，影响用户的接入效率。一般推荐合理的部署AP的点位，和调整功率来优化，无必要时，不开启接入点智能负载均衡。 启用低速终端限制推荐所有场景都开启低速终端限制，选择5.5Mbps，可以让终端就近选择AP接入，让离AP较远、接收信号弱、协商速率低、这类体验不好的终端无法接入，这样可以改善无线信道的传输，提高该AP上所有用户的整体无线体验。 推荐关闭“终端防粘滞”功能推荐关闭“终端防粘滞”功能。要实现漫游，依靠终端自身，以及合理的AP点位和功率规划来达到；AP的点位与功率规划能保障绝大部终端能正常漫游即可；部分终端通过修改自身的漫游灵敏度以及更新驱动、返厂维修等方式来实现漫游（如下图）；如果开启该功能，会有部分终端容易掉线主动漫游切换，反而影响无线用户的体验。 推荐关闭用户间平均分配带宽设备版本默认是开启时间公平性，在许多环境下，都能改善无线用户相互间合理的利用信道资源，但是启用后，有时也容易增大延时和引起丢包，高密场景下推荐关闭该功能。8.1.2 信号覆盖满足要求 通用场景验收优化标准（1） 在某个AP底下（3米范围内）测试信号，该AP不论是2.4G还是5.8G，信号强度应该至少大于其他AP的信号6dBm。（2） 5.8G信号强度在-40到-55dBm的AP个数，需要控制在1-5个范围。同信道信号强度大于-65dBm的AP不超过2个。（3） 2.4G信号强度在-40到-55dBm的AP个数，需要控制器在1-3个范围。同信道信号强度大于-65dBm的AP不超过2个。（4） 在临近AP1与AP2的中间位置，两个AP信号强度都需要大于-65dBm的。如果达不到如上信号覆盖标准，该采取的措施1、 减小AP的功率，但不推荐低于13dBm，如果需要低于13dBm，宁愿选择关闭该AP的信号发射，增加附近AP的功率（有条件不低于15dBm的，可以不低于15dBm）2、 适当调整AP的部署间距8.1.3 终端自身原因1、 无线网卡自身的芯片质量问题，容易引起丢包和不稳定，本身吞吐能力达不到，一般Atheros的芯片和Intel的芯片就较其他无线网卡芯片好，不容易丢包，延时也较小，可以备用几个高性能的USB无线网卡对比测试。2、 有些无线网卡需要专门的驱动，才能稳定高速的工作，有独立驱动的，可以不用windows自带的，采用独立驱动安装使用。3、 终端网卡本身不支持802.11n，或者只支持802.11n也只是1X1，不支持2X2的，无法协商到300Mbps。4、 有些无线网卡甚至搜索不到某一信道的信号，比如信道13，常见于比较老的笔记本或美版的无线网卡。5、 终端本身不支持瘦AP组网方式的自动漫游，属于终端本身原因a) 如innos手机，漫游不会自动重连，需要手动移除信任列表重新，输入密码才能正常连接无线。;客服4001-666-568.b) 如GT-N7100手机，同一个地点，其他4台终端（3台手机，1台笔记本）都能正常搜索到很强的信号，甚至满格，唯独这一台手机信号只有1格或0格的信号。6、 调整无线网卡的漫游灵敏度。8.1.4 有线环境原因1、 检测内网是否防火墙进行了做连接数限制，用连接数测试工具web stress tester测试出口连接数