华三AP改组后无法上线如何排查？

一、华三AP改组后无法上线：从基础到深层的排错路径

在企业无线网络架构中，H3C（华三）AP在完成配置迁移或“改组”后常出现无法正常上线的问题。其中最常见的是AP获取IP地址异常，导致其无法与AC建立CAPWAP隧道。该问题涉及多个技术层面，包括DHCP服务、VLAN划分、三层路由、Option 43/DNS配置以及AC侧认证机制。

1.1 基础排查：确认AP是否成功获取IP地址

• 通过交换机端口抓包或使用display arp命令查看AP的MAC地址是否存在对应IP条目。
• 登录接入交换机，执行：
  display ip interface brief
  确认AP所连接端口所属VLAN对应的SVI接口处于UP状态。
• 若AP为零配置启动，必须依赖DHCP获取IP及AC发现信息。

1.2 检查DHCP服务器分配能力

DHCP是AP上线的第一步。若未正确分配IP，则后续流程全部中断。

1.3 VLAN与三层互通性验证

AP改组后可能被划入错误的业务VLAN，导致与AC通信失败。

1. 确认AP当前所处的接入VLAN（可通过交换机端口配置判断）。
2. 核实该VLAN是否已在核心交换机上配置三层接口（SVI）。
3. 测试从AP网段到AC管理IP的连通性：
   ping <AC_IP>
4. 如跨汇聚层，需确保路由表中存在可达路径。
5. 特别注意防火墙或ACL策略是否阻止UDP 5246/5247端口（CAPWAP控制/数据通道）。

1.4 AP发现AC的方式：Option 43 vs DNS

华三AP支持两种主要方式定位AC：

• Option 43：在DHCP响应中携带AC IP列表，推荐用于大规模部署。
• DNS方式：AP尝试解析ac-discovery.h3c.com域名。

示例Option 43配置（以AC IP为192.168.10.100为例）：

1.5 静态IP配置场景下的注意事项

部分场景下AP采用静态IP配置，此时需人工核对以下参数：

1.6 AC侧认证机制：序列号/MAC白名单

即使AP获得IP并能访问AC，仍可能因认证失败而拒绝上线。

• 进入AC管理界面，检查AP认证模式：
  display wlan ap all
• 确认是否启用“自动上线”功能；若关闭，则必须预先导入AP的MAC或序列号。
• 可通过如下命令添加授权AP：
  wlan ap ap-name mac-address <mac>

1.7 综合诊断流程图（Mermaid格式）

```mermaid
graph TD
    A[AP无法上线] --> B{是否获取IP?}
    B -- 否 --> C[检查DHCP服务/VLAN/SVI]
    B -- 是 --> D{能否访问AC IP?}
    D -- 否 --> E[检查三层路由/ACL/FW]
    D -- 是 --> F{AC是否收到请求?}
    F -- 否 --> G[检查Option 43/DNS配置]
    F -- 是 --> H{是否认证通过?}
    H -- 否 --> I[添加AP MAC/序列号至白名单]
    H -- 是 --> J[AP正常上线]
```
    

1.8 进阶建议：日志分析与抓包辅助

当常规排查无效时，应启用深度分析手段：

• 在AC上开启调试日志：
  terminal monitor
debugging wlan capwap event
• 在AP侧或交换机镜像端口进行抓包，过滤UDP 5246端口，观察CAPWAP Discovery报文是否发出及响应。
• 结合Wireshark分析DHCP Offer中是否包含正确的Option 43字段。