通過上一篇文章（無線CAPWAP隧道技術——理論篇），相信大家對CAPWAP協議技術原理有了一定的認識，本期我們從實踐出發，幫大家梳理項目中常遇到的CAPWAP隧道無法建立問題的解決思路。

CAPWAP協議介紹

AC通過CAPWAP協議實現對瘦AP的統一管理，在無線的日常實施和運維中，AP與AC無法建立CAPWAP隧道，會是各位工程師遇到的問題之一。今天就帶各位讀者梳理下CAPWAP隧道無法建立可能的原因以及解決辦法。在AC或AP上通過命令show capwap state查看CAPWAP狀態，如果狀態未顯示為Run說明CAPWAP隧道未建立成功，可按照以下步驟定位無法建立原因。

通過命令show capwap state查看CAPWAP狀態

CAPWAP隧道無法建立排查表

檢查AC的CPU利用率，AC的CPU過高（80%以上）可能會造成無法處理AP上線，在AC上可以通過命令show cpu查看當前CPU的使用率。

 在AC上可以通過命令show cpu查看當前CPU的使用率

檢查AC的配置，常見的AC配置錯誤導致無法與AP建立CAPWAP隧道如下，如果讀者目前還無法快速檢查出以下配置問題也沒有關系，這里可以先留有一個印象，下文中也有相應的排查手段進行定位：

• AC隧道地址配置錯誤；

• AC配置了AP接入安全限制；

• AC配置中AP名稱沖突。

除了檢查以上配置外，如果AC部署了冗余方案，AC熱備或者AC虛擬化技術，還應該根據不同的冗余方案對不同方面的配置進行檢查。如果部署了AC熱備技術，要確保主備AC熱備相關配置、AP組配置及AP配置一致。如果部署了AC虛擬化技術，確保AP到虛擬AC線路中涉及聚合線路的設備都配置負載均衡方式為基于源目IP負載均衡。

檢查AP是否正常上電，可通過AP指示燈進行判斷，如果AP指示燈滅，有可能是AP未正常加電。如果AP指示燈一直都是綠色閃爍，說明有可能AP主程序丟失，此時建議準備配置線進行主程序恢復。不同型號AP的指示燈表示含有略有差異，可參考相應型號的設備安裝手冊，官網下載位置 http://m.yeeliu.cn/fw/wd/ 找到對應型號設備的安裝手冊進行指示燈狀態確認。

檢查AP是否工作在瘦模式，AP有瘦模式和胖模式兩種工作模式，AP出廠后默認為瘦模式，只有瘦AP才會與AC建立CAPWAP隧道。在AP上可以通過命令show ap mode確認AP的工作模式，fit表示瘦模式，fat表示胖模式。如果AP的工作模式是胖模式，AP在特權模式下通過命令ap-mode fit切換為瘦模式。

CAPWAP隧道的建立是AP發起的，所以AP需要知道AC的CAPWAP隧道地址才能向AC發起CAPWAP隧道連接，AP發現AC的地址方法有多種。

AP被連接到網絡時即進入發現AC的過程。AP使用廣播、組播、單播方式發送“Discovery Request發現請求”報文向AC發起CAPWAP隧道連接。當使用單播方式時，需首先通過靜態配置AC的IP地址、DHCP或DNS方式獲得AC的IP地址列表。

AP向學習到AC的IP地址列表內所有地址發送“Discovery Request發現請求

Discovery Request發現請求報文中Discovery Type消息要素標記AP通過哪種方式學習到AC

那么AP同時使用廣播、組播、單播方式向AC發送請求，那么AC會回復哪個請求呢？AC根據AP獲取AC的IP地址的方式不同存在不同的優先級，靜態配置AC IP優先級為7，動態DHCP或DNS獲取的AC IP優先級為8，廣播或組播報文優先級為9，數值越小越優先。

在AP上可以通過命令show capwap client state查看AC的IP地址列表，確認AP是否學習到正常的AC的CAPWAP隧道地址。AC的IP地址列表中初始有三個地址，255.255.255.255、224.0.1.140、ff02::18c，即IPv4的廣播地址、組播地址和IPv6的組播地址，AP通過以下三種方式學習AC的IP地址列表：

• AP把靜態配置的AC的IP地址加入到AC的IP地址列表中，在AP上通過命令acip ipv4/ipv6靜態配置AC的CAPWAP隧道的IP地址

查看AC的IP地址列表存在靜態配置方式學習到AC的IP地址

• AP通過收到DHCP報文中Option138或Option43字段的IP地址學習為AC的IP地址

查看AC的IP地址列表存在DHCP方式學習到AC的IP地址

• AP通過發送DNS報文解析出域名為ac.ruijie.com.cn的IP地址學習為AC的IP地址，其中默認域名ac.ruijie.com.cn可以修改

查看AC的IP地址列表存在DNS方式學習到AC的IP地址

所以當AP與AC在同一個廣播域或者組播報文可達時，AP可以不學習到AC的IP地址，通過廣播報文或組播報文直接與AC建立CAPWAP隧道。反之AP與AC不在同一個廣播域或者組播報文不可達時，AP必須通過靜態配置AC的IP地址、DHCP或DNS三種方式的其中一種學習到AC的IP地址，可以在AP上通過命令show capwap client state查看AC的IP地址列表，檢查AP是否學習到了AC的IP地址。

銳捷AC和AP主要有10.X和11.X兩個類型版本，目前主流使用的是11.X版本，10.X已逐漸不再使用，需要注意的是AC和AP必須同時使用11.X版本或同時使用10.X版本才能完成CAPWAP隧道建立。可以在AP和AC上通過命令show version確認當前使用的軟件版本。

在AC和AP同時使用10.X版本時，對AP于AC的版本匹配要求非常高，版本號需要保證一致，不一致的情況很可能導致AP不上線。

從11.X版本開始AC和AP的版本開始去耦合，對于大多數11.X版本來說，AC與AP均在11.X版本即可，不需要版本號一致。

在AP和AC上通過命令show version確認當前使用的軟件版本

在AP與AC建立CAPWAP隧道過程中，會交互多種CAPWAP報文。在AP上可以通過命令show capwap statistics查看各類CAPWAP報文接收與發送的數量，可通過查看AP的CAPWAP報文的接收與發送數量初步判斷是否AP與AC隧道地址存在連通性問題。

如下圖show capwap statistics中統計了AP自起機以來sended發送的報文數量、received接收的報文數量以及retrycnt重傳的報文數量。如果sended發送的報文數量持續增長而received接收的報文數量未增加，建議檢查AP與AC隧道地址是否存在不通的情況；如果retrycnt重傳的報文數量持續增長建議檢查AP與AC隧道地址是否存在丟包的情況。

查看AP的CAPWAP報文的接收與發送數量初步判斷是否AP與AC隧道地址存在連通性問題

首先要確認AC的CAPWAP隧道地址是多少，在AC上通過命令show ac-config查看AC的CAPWAP隧道地址。一臺AC上一般會存在多個IP地址，那么AC會使用哪個IP地址作為CAPWAP隧道地址與AP通信呢？默認AC是以Loopback 0地址作為CAPWAP隧道地址，如果AC上Loopback 0沒有地址將沒有CAPWAP隧道地址，在ac-controller模式下可通過命令capwap ctrl-ip手工指定AC的CAPWAP隧道地址。

在AC上通過命令show ac-config查看AC的CAPWAP隧道地址

其次檢查AP到AC的CAPWAP隧道地址是否Ping連通，確定好AC的CAPWAP隧道地址后，登入已獲得正確IP地址的AP上Ping AC的CAPWAP隧道地址，確定是否可正常Ping通。在不方便登入AP情況下，可使用電腦替換AP接入交換機，電腦上Ping AC的CAPWAP隧道地址查看是否正常通訊。如果檢查存在AP到AC的CAPWAP隧道地址Ping連通性異常，需解決AP到AC的CAPWAP隧道地址網絡層連通性，保證AP到AC的CAPWAP隧道地址三層可達。

如果AP到AC的CAPWAP隧道地址Ping連通，檢查AP到AC的CAPWAP隧道地址是否UDP5246和UDP5247端口連通。在AC上通過命令show ip fpm flows | include AP的IP查看AC的流表，確認UDP5246和UDP5247端口是否有SendBytes發送流量和RecvBytes接收流量。如果檢查存在AP到AC的CAPWAP隧道地址端口連通性異常，需解決AP到AC的CAPWAP隧道地址傳輸層連通性，保證AP到AC的CAPWAP隧道地址四層可達。

在AC上通過命令show ip fpm flows | include AP的IP查看AC的流表

如果AP上retrycnt重傳的報文持續增長，首先檢查AP到AC的CAPWAP隧道地址的Ping丟包情況，如果存在Ping丟包一般是中間鏈路環境導致，可以檢查是否存在中間鏈路不穩定、網絡中存在環路或者廣播流量過大等情況。

除此之外AP與AC中間鏈路的MTU過小也會造成傳輸的CAPWAP報文重傳，默認AP的CAPWAP隧道路徑的MTU是1500字節，并且銳捷無線設備默認關閉CAPWAP分片功能，所以當AP與AC的中間鏈路設備MTU如果有小于1500字節的情況，就會造成超過1500字節的CAPWAP的報文被丟棄?？梢栽贏C上通過將Ping包的大小調試為1500字節后Ping AP測試大報文能否連通。如果發現中間鏈路的MTU小于1500字節，可以在AC上AP配置模式或AP組配置模式通過命令capwap mtu調小CAPWAP隧道路徑的MTU值保證CAPWAP報文通過鏈路而不被丟棄。

如果以上內容檢查都沒有問題，需確認是否有AC拒絕AP接入的情況。AC拒絕AP接入的原因有很多，比如配置問題、設備限制、安全限制等，可在AC上通過命令show ap-config summary deny-ap查看是否存在AC拒絕AP接入的日志以及拒絕的原因。

 AC上通過命令show ap-config summary deny-ap查看AC拒絕AP接入的原因

show ap-config summary deny-ap常見拒絕原因及解決辦法

常見的AC拒絕AP接入的原因

本期CAPWAP隧道技術實踐篇，通過詳細的分析及科學的處理方法，闡述了AP和AC之間無法建立隧道的解決思路，希望可以幫助到遇到困難的讀者朋友們。

銳捷網絡秉承“場景化創新”和核心技術自行研發的理念，針對不同的應用場景，設計一個個量身定制的無線解決方案，方案不僅包含全場景的Wi-Fi 6系列產品，還有自主研發的自動化無線網絡優化軟件WIS，讓更多企業擁有看的見的高速好無線。

詳情請點擊 http://m.yeeliu.cn/cp/wx/