Descripción del problema
El cliente tiene la topología de la siguiente manera. El AP5030DN se conectó a un AC a través del túnel IPSec e informó que el AC no puede ver el AP en línea.
Información de alarma
La salida del comando display ap muestra los AP5030DN en estado de falla:
<AC6005-02>display ap all All AP information: Normal[1],Fault[2],Commit-failed[0],Committing[0],Config[0],Download[0] Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0] ------------------------------------------------------------------------------ AP AP AP Profile AP AP /Region ID Type MAC ID State Sysname ------------------------------------------------------------------------------ 0 AP5030DN 7ca2-3efc-1660 0/0 fault ap-0
Proceso de manipulación
1. Lo primero que debe verificar para tener comunicación CAPWAP entre AP y AC es si los puertos UDP 5246 (canal de control) y 5247 (canal de datos) están permitidos a través del túnel VPN IPSec y en ambas direcciones.
2. Si se confirma el primer paso, una sugerencia sería verificar los paquetes al mismo tiempo y en ambas direcciones antes de que el tráfico ingrese al túnel IPSec y luego salga de él en la dirección AP-IPSec-AC en el momento en que el AP no se comunica con AC.
Causa principal
La captura de los paquetes al mismo tiempo antes y después de que el tráfico ingrese al túnel IPSec nos lleva a la causa raíz de este problema porque observamos algunas diferencias entre los paquetes enviados por el AC y recibidos por el AP.
Tramas enviadas por el AC:
Tramas recibidas por AP:
Las tramas que faltan entre las enviadas y recibidas tienen 1514 Bytes (y tenga en cuenta que aquí no se captura el preámbulo 8 Bytes, el tráiler 4 Bytes, 4 Bytes de la etiqueta 802.1Q):
Solución
Por lo tanto, el problema se encontro en el tamaño de MTU en el camino desde el AC al AP.
Se sugiere al cliente que aumente el tamaño del MTU en los dispositivos intermedios para permitir un overhead de frames. Al ampliar el tamaño del MTU se soluciona el problema reportado.
Nota: El MTU entre el AP y AC se establece en 1500 Bytes (sin tener en cuenta el encabezado Ethernet).
Saludos.
FIN.
También te puede interesar:
Guía de dimensionamiento firewall USG6000 Series NGFW
Descripción general de la función DNS utilizado en firewalls de Huawei.
Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente