1、终端关联过程详解
无线客户端(STA)接入到802.11
无线网络的过程分为以下四个步骤:
(1) STA通过主动扫描或者被动侦听搜索附近存在的AP;
(2) STA选择AP后,向其发起Authentication过程;
(3) 通过Authentication后,STA发起Association过程;
(4) 通过Association后,STA和AP之间链路已建立,可以互相收发数据报文。
例如,下面为不加密无认证的空口抓包过程:
在排查无线终端关联失败故障的过程中,我们需要按照终端的关联过程依次排查,定位无线终端关联问题的思路是:
首先,需要关注扫描过程,是否使用广播SSID方式,如果使用隐藏SSID方式则需要检查终端的设置,确保终端能够发现无线信号。
其次,确保认证报文交互成功,这里的认证只是简单的AP与STA间的authentication报文交互,不是我们常说的802.1X或者PSK等高级认证。
最后,排查关联过程,常用的关联成功率也是与这一过程息息相关的,关联成功后则表示终端和AP可以进行正常的报文收发了,然后才能进行加密协商或者其它高级认证。
2 、排查步骤
1、 判断网络信号强度是否达标
当终端在信号很弱的情况下,会导致无线链路非常不稳定。无线网络传输会对每个报文进行
物理层的确认,在整个交互过程中,任何一方出现问题都会导致终端接入失败的现象。
解决方法:建议测试时,终端的RSSI保持大于30
[AC]display wlan client mac-address 000f-e265-6400 verbose
Total number of clients: 1
MAC address : 000f-e265-6400
RSSI : 62
2、判断终端是否获取到
IP地址首先判断终端关联失败的原因究竟是关联阶段的问题还是最后获取地址的问题,在实际问题处理中终端关联不上有很多是因为获取不到IP地址,导致表面上看起来是关联失败的问题。
解决方法:首先检查DHCP的配置和业务VLAN的配置,给终端配置业务
网段的地址尝试关联,如果仍然关联失败,可以按照接下来的步骤排查关联的问题。
3、当前SSID是否采用明文方式
常见的SSID分为明文不加密方式和WEP、WPA、WPA2等加密方式,其中加密方式会受到终端的支持度、加密的配置等多种情况的影响。因此在排查问题时,我们需要先明确当前网络采用的方式。
解决方法:新建一个明文、不加密的SSID进行测试。
4、是否存在备份AC
检查现网是否配置AC备份,若存在,检查主备AC的配置并修改一致,否则可能会存在终端无法关联的现象。
解决方法:统一主备AC配置
5、检查WIDS黑
白名单配置
查看AC是否配置静态黑白名单。若存在
黑名单,名单中的客户端将不允许上线,如果静态黑名单中的客户端在线,设备会解除与该客户端的关联;若存在白名单,只有在白名单内的客户端才允许上线。
解决方法:删除黑白名单配置
[AC]undo wlan static-blacklist mac-address 001c-f0bf-9c92
[AC] undo wlan whitelist mac-address 001c-f0bf-9c92
6、查看AC-AP数据隧道状态是否正常
通过命令display wlan ap name ap1 verbose命令查看AP运行状态
display wlan ap name ap1 verbose
AP name : ap1
AP ID : 1
AP group name : default-group
CWPCAP data-tunnel status : Down
AP注册时通过CAPWAP的控制端口UDP 5246进行注册和管理,通过UDP 5247进行数据转发。AP注册状态正常,说明控制隧道正常;数据隧道状态Down,说明AP与AC之间数据隧道未建立,可能为AP与AC之间链路不稳定、或AP与AC之间链路堵塞了UDP 5247端口。
AC在默认情况下关联点在AC,即无线终端的关联请求报文交互需要AP通过数据隧道上送给AC处理,如果数据隧道Down会导致关联请求无法送达AC,所以导致关联失败。
解决方法:AC-AP沿途放通UDP 5247 端口,或AC配置终端关联点在AP临时规避
[AC]wlan service-template 1
[AC-wlan-st-1]client association-location ap
7、收集debug信息反馈400
debugging wlan client mac
debugging wlan mac client
debugging wlan usersec all
3、 典型案例解析
问题描述:无线终端无法接入,WiFi图标显示 “网络拒绝接入”,同一个POE交换机下面部分AP是可以正常接入的
过程分析:
1、通过在AC上debug,AC有收到终端发送的认证请求authentication request 报文,也回复了认证回复authentication response报文,但是没有收到接下来的关联请求association request,这种情况可能有两个原因:
(1)AC给AP发出的authentication response可能丢失在中间链路;
排查思路:排查中间设备是否正常转发了AC—AP的报文。
(2)AP收到authentication response后,未将报文发送给终端。
排查思路:若AP已经收到认证回复报文,可通过空口抓包判断AP射频是否正常发出,若未发出则判断问题点在AP;
(3)AP收到authentication response后,已将报文发送给终端。
排查思路:若AP已收到认证回复报文,并且将报文转发给终端,可通过空口抓包进一步判断终端是否发起association request关联请求,或报文是否丢在有线中间链路。
我们在AC上收集关联过程的debug:
[H3C]*Dec 24 10:26:09:340 2021 H3C STAMGR/7/FSM: [APID: 33] [MAC: b0cc-fe6d-xxxx, BSSID: 38a9-1c3c-xxxx] Received authentication request in the Unauth state. //AC收到认证请求
*Dec 24 10:26:09:340 2021 H3C STAMGR/7/Event: [APID: 33] [MAC: b0cc-fe6d-xxxx, BSSID: 38a9-1c3c-xxxx] Processed authentication request successfully, and sent authentication response. //AC发送认证回复
*Dec 24 10:26:09:340 2021 H3C STAMGR/7/Timer: [APID: 33] [MAC: b0cc-fe6d-xxxx, BSSID: 38a9-1c3c-xxxx] Created state timer.
*Dec 24 10:26:09:340 2021 H3C STAMGR/7/FSM: [APID: 33] [MAC: b0cc-fe6d-xxxx, BSSID: 38a9-1c3c-xxxx] Changed the client's state from Unauth to Auth.
2、在中间所有经过的设备上做流量统计,发现在POE设备上出现报文统计异常,AC1给AP1下终端的认证回复报文(authentication response),交换机发送给了另外的AP2,经查原来是核心交换机上配置了静态arp:
arp static 192.168.50.21 38a9-1c3b-xxxx 50 GigabitEthernet1/0/2
其配置的IP地址和
MAC地址与AP不对应,导致核心交换机在转发报文的时候出现异常,将包回错设备。
解决方案:
删除核心设备上的静态arp配置
PS:若排查沿途链路不存在问题,则需要继续按照排查思路进一步判断AP是否正常发包哦~
#知识创作官#
想了解更多精彩内容,快来关注四川人在香港